《北京金融科技产业联盟:金融分布式数字身份技术研究报告(2021)(97页).pdf》由会员分享,可在线阅读,更多相关《北京金融科技产业联盟:金融分布式数字身份技术研究报告(2021)(97页).pdf(97页珍藏版)》请在三个皮匠报告上搜索。
1、The Research Report of Decentralized Identity in Financial Industry金融分布式数字身份技术研究报告2021年12月金融分布式数字身份技术研究报告金融分布式数字身份技术研究报告 The Research Report of Decentralized Identity in Financial Industry 北京金融科技产业联盟 金融分布式数字身份技术研究报告 编委会名单 主编 潘润红 编 写 组 穆长春 狄 刚 钱友才 高 阳 陈晓明 聂丽琴 胡达川 王 硕 李 寻 余冠宇 张一锋 平庆瑞 李 力 蒋 昊 肖 然 何 超 刘
2、 胜 万 化 马文婷 王成勇 童 威 李 伟(趣链科技)张 璐 张开翔 孙善禄 王绍刚 毛强华 郑锦荣 汪佳伟 黄步添 汪德嘉 张智涵 参 编 单 位 中国人民银行数字货币研究所 北京金融科技产业联盟秘书处 中钞信用卡产业发展有限公司杭州区块链技术研究院 腾讯云计算(北京)有限责任公司 华为技术有限公司 联动优势科技有限公司 上海浦东发展银行股份有限公司 上海票据交易所股份有限公司 杭州趣链科技有限公司 深圳前海微众银行股份有限公司 蚂蚁科技集团股份有限公司 工银科技有限公司 兴业数字金融服务(上海)股份有限公司 中兴通讯股份有限公司 百度在线网络技术(北京)有限公司 杭州云象网络技术有限公司
3、 江苏通付盾科技有限公司 四川大学经济学院 目录目 录 第一章 背景研究.1 1.1 数字身份问题的提出.2 1.2 数字身份的发展.3 1.3 分布式数字身份的优势.4 第二章 基本原理.7 2.1 中心化数字身份系统.7 2.2 分布式数字身份系统.11 第三章 体系结构.15 3.1 身份管理授权模型.15 3.2 标识符体系架构.17 3.3 凭证体系架构.19 3.4 治理架构.20 第四章 关键技术.23 4.1 分布式账本.24 4.2 去中心化标识符(DIDs).25 4.3 去中心化密钥管理系统(DKMS).27 4.4 可验证凭证技术.29 4.5 安全数据存储.32 4.
4、6 点对点通信协议.34 第五章 核心组件.38 5.1 分布式账本.38 5.2 身份代理软件.40 5.3 身份数据中心.46 金融分布式数字身份技术研究报告第六章 典型案例.48 6.1 贸金平台数字身份的应用实践.48 6.2 Sovrin 身份管理网络.53 6.3 微软 ION 项目.55 6.4 uPort 项目.57 6.5 Blockstack 项目.58 6.6 ShoCard 身份管理平台.60 6.7 Civic 项目.62 6.8 微众 WeIdentity 项目.64 6.9 蚂蚁链 DIS.66 6.10 腾讯云分布式身份 TDID.68 6.11 络谱分布式身份
5、 BropID.70 6.12 百度分布式身份 XuperDID.71 第七章 应用场景.73 7.1 多源身份认证.73 7.2 供应链金融.75 7.3 普惠金融.77 7.4 开放银行.78 7.5 共享经济.79 7.6 数字保险.80 7.7 可信教育.81 7.8 数字档案.83 7.9 物联网.84 第八章 未来展望.86 8.1 有待解决的问题.86 8.2 发展趋势展望.87 附录:参考文献.89 金融分布式数字身份技术研究报告 1 第一章 背景研究 当前,全球正处于新一轮科技革命和产业变革突破爆发的历史交汇期,新一代信息通信技术和人类生产生活交汇融合,成为引领创新和驱动转型
6、的先导力量,正在加速重构全球经济的新版图。然而,网络安全和信息化是一体之两翼,驱动之双轮,没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全与信息化必须统一谋划、统一部署、统一推进、统一实施。2014 年 2 月,网络安全与信息化领导小组成立,网络安全与国家信息化上升到了同等重要的地位。作为网络安全基石的数字身份在现有的网络设计中并没有标准的、明确的身份识别及组织方式。随着规模化应用日益明显,当前基于中心化管理的用户账户方式,不仅难以维护,而且安全性弊端明显;联盟身份进一步导致了数据集中和垄断化,增加了数据泄露的风险,引发了个人隐私问题。为了更好地促进数字经济的发展,我们需要重构数字
7、身份体系,解决现有互联网中心化身份所存在安全问题、隐私保护问题和不可移植性问题。这个数字身份体系作为公共基第一章 背景研究 2 础设施,必须是面向全社会的、安全的、便利的。1.1 数字身份问题的提出 数字活动的基础是数字身份,数字身份是通过数字化信息将用户可识别地刻画出来,可将其理解为浓缩成数字代码形式的实体身份信息,用于对用户行为产生的数字信息进行绑定、查询和验证。传统互联网发展以中心化服务为特征,网络应用提供商各自管理自己的用户,用户通过向特定应用注册用户名和密码的方式创建自己的数字身份。由于应用之间用户身份无法互通,同一实体的身份信息在不同应用系统中分别存储,无法综合利用,存在着重复认证
8、、多地认证的问题,大量的用户名口令对使用者而言安全度低,维护困难。随着 Web2.0 的发展,许多服务提供商倾向于通过联盟身份的方式获取用户的身份信息,即用户能够使用某个服务的凭证登录到另一个服务,甚至允许不同的服务共享有关用户的详细信息,这种方式为用户身份提供了一定的可移植性,然而联盟身份更容易导致数据、流量资源等被大型科技公司高度垄断,带来更严重的数据风险问题,导致网络犯罪和隐私泄露风险日益严重。金融分布式数字身份技术研究报告 3 1.2 数字身份的发展 数字身份的诉求是寻求持久、安全、互认互通、隐私保护,数字身份也将从单一应用的用户账户逐步发展到自主权身份,摆脱对第三方的依赖,可以由身份
9、所有者自主创建、维护和自由使用。综观发展过程,数字身份经过以下四个发展阶段。数字身份 1.0 阶段单一应用账户,也是目前我们接触到的最常用的模式,通常以用户名和密码的模式来创建,个人信息保存在各应用或网站的数据库中。这个模式的主要优点是建立广泛,易于理解且易于使用,但是用户在这种模式下需要分别为每一个账户维护信息,同时各组织需要收集、存储和保护各自独立的个人数据,经济成本高。数字身份 2.0 阶段联盟身份,是解决单一应用账户的一种解决方案,在这种模式下,用户的身份拥有一定的可移植性,允许用户使用一个用户名和密码访问多个独立的内部服务,从而简化身份验证,改善用户体验。这个模式的缺点是加剧了数据的
10、中心化垄断,造成了更大的数据安全隐患。数字身份 3.0 阶段用户中心身份,是指仅当用户请求时,才发生用户信息从提供者到应用方的传输。用户在自己的数据存储中填充了其同意提供给其他组织的信息,并在第一章 背景研究 4 这样做时保留记录。但是由于用户无法控制数据本身,当数据从一个库移动到另一个库时容易发生有意或无意的数据泄露,甚至出现数据存储方受利益驱动,将用户信息变成商品进行买卖。数字身份 4.0 阶段自主权身份,该阶段下用户或组织机构以“身份钱包”的方式实现自我主权身份,身份数据存储在个人设备或授权托管的云端。用户对自己的各种身份信息和凭证拥有所有权,不依赖于任何特定公司或其他实体,通过授权他人
11、共享数据,实现身份的可移植应用,具有安全和自主可控的特点。目前我们所使用的身份认证方式多为单一应用账户或联盟身份,用户信息依旧掌握在服务商手中,容易导致身份信息的泄露。实现自主权身份是解决现有网络数字身份的安全、隐私性和互用性问题的方案,最重要的是实现数字身份的多中心化,这就是分布式数字身份分布式数字身份。1.3 分布式数字身份的优势 为了更好地解决身份问题,用户亟需对自己的数字身份拥有真正的自我主权。用分布式基础设施改变应用厂商控制数字身份的模式,让用户控制和管理其数字身份,将数据所有权归还用户,不仅有助于从根本上解决用户数据安全和隐金融分布式数字身份技术研究报告 5 私问题,更有利于降低社
12、会整体数据治理成本,提高数据治理质量,这种新技术就是分布式数字身份分布式数字身份(Decentralized Identifier,DID)。分布式是一种多中心化的思想,相对于中心化来说更稳定,抗风险能力更强,更公平、更透明,也是 Web3.0 重要的特征之一。分布式数字身份旨在将分布式账本技术与身份治理融合,建立一个以密码学为基础的隐私保护与数据安全的数字身份认证系统,将数字身份的所有权和数据流转控制权归还所有者。在分布式数字身份系统中,用户可根据不同场景需要,自主选择使用不同的身份。分布式数字身份具有以下优势。(1)安全性 身份信息的提供符合最小披露原则,身份所有者的身份信息不会无意泄露,
13、且可长期保存。(2)身份自主可控 身份所有者自主管理其身份,且可以控制其身份数据的分享,无需依赖第三方。(3)身份的可移植性 身份所有者能在多种场景下任意使用其身份数据,而无需依赖特定的身份服务提供商。第一章 背景研究 6 正是基于以上特征,分布式数字身份提供了一种以数据所有者为中心的新型数据流转范式,通过数据依赖方直接对接数据方获取数据的方式将逐渐退出历史舞台。数据所有者在知情和授权条件下主动发起的数据共享不仅能够满足数据保护相关法规的要求,而且可以实现相关数据的精准流动,身份保护将促进数据的安全流转,并最终推动数据在全社会的开放共享,最大限度地激发社会创造力。金融分布式数字身份技术研究报告
14、 7 第二章 基本原理 对于传统的互联网应用来说,中心化数字身份系统是里程碑式的发展,它解决了用户身份的可靠性、可辨识、唯一的问题,让用户享受到了互联网服务的便捷。然而,中心化身份系统的痼疾会危及网络安全,影响互联网可信交互,制约更进一步的价值流转。为了进一步保障互联网用户的信息安全,有效地解决中心化结构自身存在的信息安全问题,同时更好地解决数字身份与数据确权问题,分布式数字身份系统应运而生。2.1 中心化数字身份系统 中心化数字身份是指用户在应用服务中创建与应用相关的特定身份,并依据身份获取该机构提供的服务。中心化数字身份要求用户在不同的权威机构进行身份注册,中心权威机构作为第三方,使用其认
15、证策略和认证系统保存用户的数字身份信息。认证系统的功能是对用户的认证请求进行响应,向合法用户发放通行证,通行证的信息包含了用户个人信息、系统权限信息和用户自身数字签名。取得通行证的用户可以第二章 基本原理8 享受应用服务,未取得通行证的用户将被拒绝访问。2.1.1 工作模型工作模型 中心化数字身份系统中,每一位用户的身份标识及数据(或用户证书)存储在应用平台的中心服务器和数据库中,应用平台或者中心权威机构负责对用户的合法性进行验证。中心化数字身份认证模式较好地体现了统一规划、统一部署的思想,将各个原本离散的局部用户身份以中心化标准的数字身份统一起来,这种认证结构由各平台自身协议负责,便于各平台
16、自身管理。目前,中心化数字身份认证模式依然是主流应用模式。身份认证系统是中心化数字身份系统的核心系统。它的最主要功能是为各自平台或者第三方应用提供用户的身份认证服务。一个完整的身份认证系统划分为认证授权子系统、身份管理子系统和应用管理子系统。认证授权子系统是认证系统的核心,它将保存在认证系统中的用户信息和应用系统进行关联,对合法用户进行授权;身份管理子系统允许用户注册账户,对用户信息进行维护、更新和删除;应用管理子系统对应用系统的权限列表和授权策略进行管理,同时可以记录、监控和审计认证系统的数据操作行为。金融分布式数字身份技术研究报告 9 图 1 中心化数字身份认证系统 2.1.2 问题与挑战
17、问题与挑战 中心化身份认证系统采用中心化的技术架构,用户的数字身份和中心授权系统的授权信息集中全部保存在中心机构的服务器中,用户信息的所有权属于身份认证系统中心服务器,用户在中心认证系统的授权下才能使用身份信息。中心化数字身份系统对单一中心机构有很强的依赖性,但通常各应用所需的用户身份信息不同,加之各应用信息互不相通,导致用户针对不同应用服务需要多次提交身份属性信息,不仅加大了时间成本,而且给用户带来了密码记忆的问题。用户长时间不更改密码或将密码保留在公共环境中,很容易产生身份信息的泄露、盗用、篡改和欺诈等风险。第二章 基本原理 10 图 2 中心化身份认证流程 在中心化的环境下,数字身份合法
18、性的认证和第三方应用平台应用程序的访问授权都直接依赖于各中心机构服务器,也存在一定的安全隐患。一旦中心服务器出现了故障,整个系统的安全性都会受到影响。中心系统管理员要管理和维护用户信息,往往具有高于普通用户的信息操作权限,导致普通用户的个人信息存在被泄露的风险。此外,由于第三方平台为了增加用户数量,一般都会在多个中心授权系统注册信息,只要其中任意一个认证系统出现信息泄露,整个第三方应用的用户信息安全将无法得到保证。金融分布式数字身份技术研究报告 11 2.2 分布式数字身份系统 分布式数字身份是自主权身份的一种实现方式。分布式数字身份主张用分布式基础设施改变中心化的应用用户数字身份的模式,使每
19、个人都有权获得并管控自己的数字身份。该身份体系可以安全地存储用户数字身份的元素并保护隐私,通过将数据所有权归还用户、数据使用需要通过用户授权来从根本上解决隐私问题。分布式数字身份提供了一种协议层身份解决方案,可以支持跨应用的互操作性,促进应用间的互联互通,有助于实现一种扁平化、弹性化的身份信任模式。当前,分布式数字身份相关的开源协议标准主要有万维网联盟(W3C)的去中心化标识符(DID)、可验证凭证(VC)以及去中心化身份基金会(DIF)的分布式身份认证(DID Auth)。2.2.1 系统参与者系统参与者 国际标准组织(ISO)将“身份”定义为“一组与实体关联的声明”1。声明信息是与身份关联
20、的属性信息,通常包括姓名、年龄、学历、职业等。凭证包含多条与身份属性相关的声明,通 1 参见 ISO/IEC 24760-1:2019“set of attributes related to an entity”第二章 基本原理 12 常由特定的权威机构进行背书发布。分布式数字身份的识别与验证以可验证凭证流转为基础,分布式身份系统的基本参与者可以大致分为以下几类。(1)凭证持有人。凭证持有人可以是各种实体(如学生、员工和客户,当然也可以是公司等机构,甚至是物体),它们拥有一个或多个数字凭证,并可以据此生成并签发新的凭证。持有人可以通过用户代理与发行者和验证者进行交互。(2)凭证颁发者。凭证颁
21、发者也是实体,它确认有关一个或多个主体的声明,然后基于这些声明创建可验证凭证,并将其发送给持有人。如公司、非政府组织、行业协会、政府和个人。(3)凭证主体。主体是声明对应的实体。主体可以是人、动物和事物。在许多情况下,可验证凭证的持有者就是主体本身,但在某些情况下不是。例如,父母(持有人)可能持有孩子(主体)的凭证,或者宠物的主人(持有人)可能持有其宠物(主体)的凭证。这意味着,凭证持有人所持有的凭证并不一定是他自己的,这与现实世界是对应的。(4)凭证验证者(依赖方)。金融分布式数字身份技术研究报告 13 凭证验证者也是实体,他接收并处理一个或多个凭证,如雇主、安检人员和网站等。(5)数据注册
22、表。数据注册表是一个系统,用来创建和验证分布式标识符、密钥和其他相关数据的基础设施。例如,数据注册表可以是可信的数据库、分布式数据库、政府标识数据库和分布式账本。在生态系统中,可以同时使用多种类型的注册表。2.2.2 可验证凭证流转模型可验证凭证流转模型 由凭证发行人、持有人、验证人组成的可验证凭证流转模型能够阐述分布式数字身份的核心工作原理。图 3 可验证凭证流转模型 基于可验证凭证模型的工作流程为:首先,凭证发行人根据身份持有人请求签署发布一个或多个可验证凭证;其次,身份持有人将可验证凭证保存在凭证存储库中(如 APP 等形第二章 基本原理 14 态的数字钱包、云服务等);再次,身份持有人
23、根据验证人需求,自主提交凭证给验证人进行验证;最后,凭证验证人在无须对接凭证发行人的情况下,通过检索身份注册表,即可确认凭证与提交者之间的所属关系,并验证属性声明的真实来源。在分布式数字身份的模型中,将身份标识符的生成、维护,与身份属性声明的生成、存储、使用分离开来,有助于构建一个模块化的、灵活的、具有竞争力的身份服务生态系统。金融分布式数字身份技术研究报告 15 第三章 体系结构 分布式数字身份的最终目标是使得网络上进行交互的任意双方可以相互信任。通过在分布式网络中植根凭证发行者的公共可解析 DID 和公共密钥,凭证验证人得以验证发行者的数字签名,从而构建了基于非对称的加密信任。然而,就密码
24、信任本身而言,它无法解决诸如“了解你的客户”(KYC)的问题,在加密信任之上,分布式数字身份通过可验证凭证提供人类信任。本章将从身份管理授权模型、标识符体系架构、凭证体系架构、治理架构几个方面,讨论分布式数字身份的体系架构。3.1 身份管理授权模型 身份管理系统中的授权模型定义如何控制身份,两种主要方法分别是自上而下和自下而上。(1)自上而下方式。自上而下的身份管理系统中,系统所有者充当中央机构,控制标识符的起源和/或证书的颁发,着重为单个托管资源(如应用程序)实现身份管理,并通过角色委派来创建身份第三章 体系结构 16 的层次结构,以方便提供更高业务层级上的功能(自上而下身份管理方法通常仅适
25、用于管理与应用密切相关的用户。)(2)自下而上方式。在自下而上的身份管理系统中,即使有些实体在设计和维护身份系统和激励措施方面比其他实体发挥了更大作用,也没有哪个实体可以作为中央机构来控制标识符的来源和/或证书的发放。参与者仅需遵守身份管理系统规则(通常通过基础设施的软件实现来实施),无须任何第三方许可即可创建、管理自己的标识符和凭证。自上而下的方式适合已知身份管理主题(目标)明确的情况,但存在规则不可扩展,需要大量人工干预的问题;相反,自下而上的方法适合身份管理主体动态变化发展的情况,方便实现协作(交互),但协同目标性和组织性较弱。前者通常与中心化身份治理相关联,而后者通常与自主权(SSI)
26、身份相关联。这两种方法分别用于支持不同类型的治理结构和权力委派机制。将分布式数字身份技术应用于自上而下方法的,通常是那些希望更好地为用户提供增强控制和隐私保护,同时又可以继续保留系统所有权和控制权的组织,其身份管理解决方金融分布式数字身份技术研究报告 17 案本身依然是中心化的。分布式数字身份技术应用于自下而上方法,适合用户进行自主身份(密钥)管理,以实现跨应用的大量用户的自由交互。相比于自上而下的方法,其目的是为尽可能多的用户,而不是使用特定应用程序的一部分用户提供身份/密钥管理。根据授权模型的不同,身份标识符及凭证管理的方式也不同。分布式身份管理包括与身份相关的标识符及凭证的创建、发行、发
27、现、转移、恢复、中止和吊销。自上而下越严格,中心化管理程度也越高,传统由特定实体或联盟控制的身份通常属于这种情况,随着多中心化程度的增强,不同类别的身份依次包括联盟组织注册身份、分布式自治组织注册身份以及基于开放场景的自主权身份。3.2 标识符体系架构 根据标识符的属性不同,DID 注册管理所采用的架构也可能不同,常用的架构包括链上注册和链外注册。就链上注册而言,又包括一级结构和二级结构。一级结构即 ID 注册表,是直接在区块链上为每个系统的标识符部署一组智能合约,用作存储和管理所有标识符的全局注册表。智能合约的编写者可以对各种可能的治理模型进行编码,合约部署者可以对系统具有完全控制权、有限控
28、制第三章 体系结构 18 权或者无控制权。这种架构支持自上而下或自下而上的权限模型,身份持有者通过证明自己对身份合约的所有权来控制自己的标识符。二级结构也称为锚注册表,是在区块链上部署一个单一的智能合约,该合约充当全局注册表,用于注册标识符管理操作的哈希值,而非标识符对象数据本身,这些哈希值被组合在一起进行锚定。标识符管理操作的捆绑分组由位于锚定注册表所在的区块链之上的第二层协议执行,第二层协议负责将这些锚点的哈希值添加到注册表中,并使用分布式存储系统存储锚点数据(标识符管理操作)。基于以太坊区块链之上的 SideTree 协议的 Element 标识符管理系统遵循此架构。与第二层协议耦合的锚
29、注册表不仅可用于链上 ID 注册,也可以用作链上凭证注册。链外注册主要是指标识符的创建和存储不依赖区块链,而是直接在本地身份钱包中完成的情况,此体系结构遵循自下而上的权限模型,身份由用户自主离线创建,无须管理人或交易费用,用户可以完全控制其标识符,并且由于标识符无须公开可见,用户可以获得隐私优势,这种架构通常用于关系标识符或唯一的一次性标识符的管理,由于创建关系标识符不需要依赖区块链交易,因此有助于系统大规模运行。金融分布式数字身份技术研究报告 19 3.3 凭证体系架构 分布式数字身份中,标识符管理与凭证管理解耦,凭证管理也具有独立的体系架构,链上和链下凭据存储和管理方法在可用性、隐私和安全
30、隐患方面不尽相同。链上凭证架构通常仅需要在链上存储凭证的哈希值,而非散列凭证数据则存储在凭证所有者可以访问的任何数据存储上,可以是指定的中心化保管人,也可以是分布式存储系统。凭证接收方可以通过凭证散列化,并将散列值与在区块链上找到的凭证散列值进行比较,以检查数据的完整性。链上凭证可以作为每个标识符智能合约中的条目进行管理,使主体对其凭证进行单方面控制,也可以构造与全局标识符注册表体系结构相似的凭证注册表每项凭证作为单个条目进行注册和管理,以支持自上而下的权限管理方式。凭证也可以采用脱链对象的形式,直接保存在持有者的设备上和/或指定的托管服务器上,凭证可以作为消息对象,直接在各方之间进行传输和交
31、换。这种结构可以与链下标识符架构一起建立大规模运行的轻量级身份管理系统。不过,对于凭证的验证通常还需要进行链访问,特别是如果允许撤销,则需要一个链上组件来检查凭据注销状态,如凭据吊销注册表。链下凭证管理架构可以为身份主体提供高度的控制第三章 体系结构 20 权和自主权,使其管理自己的凭证,它可以确保隐私,并且不必局限于特定的区块链。3.4 治理架构 分布式数字身份治理包含两个层面的内容,一是身份系统自身的建设治理;二是旨在实现信任扩散的可信治理。前者着重解决分布式身份系统自身的安全与可信问题,后者着重解决将身份方案完全映射并集成到市场的信任保证要求中。(1)系统治理 基于区块链的分布式数字身份
32、管理系统可以由营利性组织(如公司、集团)、非营利性组织(如基金会)、政府机构、开源社区和/或 数据访问对象(DAO)拥有,采用特定治理结构,以使系统对其参与者值得信赖。因此,身份系统可以被设计和管理为许可系统,以满足一个组织或一组组织的成员的需求,这意味着只有经过批准的一组用户才能访问和维护该系统。每个系统都应建立参与者与给定系统交互的规则,这些规则通常通过对所有参与者可见的智能合约代码来实施和执行。(2)可信治理 可信治理旨在解决实际应用中可验证凭证实际落地相关的问题,以使验证者的工作更加容易。可信治理的核心是解金融分布式数字身份技术研究报告 21 决对多发行者签发凭证的信任问题,凭证可信扩
33、展需要通过治理框架达成,这类似于银行信用卡网络的创立和维护。治理架构是关于如何将分布式数字身份基础架构应用于特定信任社区的一组业务、法律和技术规则,包括政策、机制,以及控制其操作的个人和团体的责任。适当的治理,特别是对系统所包含的技术和政策采用统一的方法,有助于避免实施中产生的意外后果(见图 4)。图 4 可信治理框架与信任三角形 治理框架是可验证凭证良性运转的基石,它指定了发行人发行特定凭证必须遵循的政策和程序。在某些情况下,它还指定了持有人必须同意获得的条款和条件。当验证人向发行人支付证书费用时,治理框架还明确债权责任、保险要求,以及验证人可能在其信任决策中考虑的其他法律和业务变量。第三章
34、 体系结构 22 治理框架是可验证凭证得以在任何规模的信任社区从单个城市到整个行业,或者从一个国家到整个互联网中推广和应用的关键,它将最终促成数字世界的信任扩散。金融分布式数字身份技术研究报告 23 第四章 关键技术 近年来,多个标准组织、开源社区共同推进并制定了一系列分布式数字身份相关的技术标准和协议,逐步完善了分布式数字身份的技术栈。其中主要包括:W3C 组织制定的分布式身份标识符(DID)和可验证凭证(VC)规范;OASIS 组织制定的分布式密钥管理系统(DKMS)规范;RWOT 工作组推动的分布式身份认证(DID Auth)规范;DIF 基金会推动的分布式身份认证(DID Comm)协
35、议。图 5 分布式数字身份相关标准与协议 第四章 关键技术 24 这些规范的制定,为在不同的应用之间进行互联互通身份认证提供了数据格式和通信协议的标准,在这些技术的共同作用下,形成了分布式数字身份的整体方案。4.1 分布式账本 分布式身份重新定义了人们控制和共享其个人信息的方式,使人们能够掌控自己的身份。在分布式数字身份系统中,可验证数据注册表可以采用集中或分布式数据库、分布式账本技术(Distributed Ledger Technology,DLT)等技术方案。按照 W3C 的定义,分布式账本是一种在网络成员之间共享、复制和同步数据的数据库。按中国人民银行的规范定义,分布式账本指可以在多个
36、站点、不同地理位置或者多个机构组成的网络里实现共同治理及分享的资产数据库。分布式账本技术是密码算法、共识机制、点对点通信协议、分布式存储等多种核心技术体系高度融合形成的一种基础架构与计算范式。分布式账本记录网络参与者之间的交易,如资产或数据的交换。分布式账本网络中的参与者根据共识机制来制约和协商对账本的更新,而不依赖于第三方机构(如金融机构或票据交换所)。分布式账本中的每条记录都有一个时间戳和金融分布式数字身份技术研究报告 25 唯一的密码学签名,这使得账本成为网络中所有交易的可审计历史记录。区块链技术的分布式特性和共识算法使其成为当前实现分布式账本的主流技术。区块链是一种防篡改的、共享的数字
37、化账本,用于记录公有或私有对等网络中的交易。账本分发给网络中的所有成员节点,在通过哈希算法链接的区块的顺序链中,永久记录网络中的对等节点之间发生的历史交易。4.2 去中心化标识符(DIDs)根据 W3C 的定义,分布式标识符(DID)是一种新型可验证的“自主权”数字身份标识符,通过它能够操作可验证的、分布式的数字身份一个 DID 可以标识任何主体(如人、组织、事物、数据模型、抽象实体等)。新的标识符旨在使DID 的主体能够证明对它的控制,并且它的获取不依赖于任何集中式注册表、身份服务商或证书颁发机构。4.2.1 DIDDID 标识标识符符 DID 是一个由 3 个部分组成的统一资源描述符(UR
38、I):(1)固定格式的前缀 Scheme:“did:“。(2)DID 方法的标识符 DID Method,如腾讯云区块链的 DID Method 名为“tdid”;第四章 关键技术 26(3)由 DID 方法和进行规范生成的、全球唯一的标识符。图 6 DID 数据形式 作为一种 URL,DID 将 DID 的拥有者与 DID 文档关联起来,从而允许外部与该主体进行可信交互。DID 文档中可以包含加密材料、验证方法或服务端点。文档中这些信息提供了一组机制,使 DID 的拥有者能够证明其对 DID 的控制。服务端点能够使外部与 DID 主体进行可信交互。DID 文档可能包含有关它标识的主体的语义。
39、DID 作为全球唯一的标识符,不需要中央注册机构,因为它是通过分布式账本技术(DLT)或其他形式的分布式网络进行注册。4.2.2 DIDDID 文档(文档(DID DOCDID DOC)DID 文档由一组属性组成,这些属性是 key/value 对(属性名称和属性值)。DID 文档包含与 DID 相关的元数据。它们描述了与 DID 主体有关的验证方法(如公钥)和服务。DID文档根据特定语法进行序列化。DID 本身也是语法中“id”属金融分布式数字身份技术研究报告 27 性的值。DID 文档中的属性可以通过特定的操作进行更新,这些操作由具体的 DID 方法(DID Method)说明和实现。DI
40、D 文档是一组描述 DID 主体的数据,也包含公钥和生物识别等机制,使得 DID 主体可以用来验证自身并证明自身与此 DID 相关联。DID 文档还可以包含描述主体的其他属性或声明。这些文档是基于图的数据结构,通常使用 JSON-LD表示,也可以使用其他兼容的基于图的数据格式表示。4.3 去中心化密钥管理系统(DKMS)基于证书认证授权(CA)的公钥基础设施(PKI)是当前主流的中心化信任结构,用户身份由受信任的第三方 CA 定义,用户通过安全交付公钥和相应的专用密钥,确保其在网络上与其他 CA 用户的通信安全。然而,中心化 PKI 系统存在较大的安全隐患,中间人攻击(Man-In-The-M
41、iddle Attack)充斥其间,当前,全球大约有 3600 多个受信任的 CA,几乎都已成为网络犯罪分子的目标。去中心化公钥基础结构(DPKI)是一种基于区块链的,不必依赖第三方的更加安全的 PKI 系统。在 DPKI 中,区块链充当分布式的密钥存储,它能够保护读取的数据,以防止MITM 攻击,并最大限度地降低第三方的作用区块链信任是根据共识协议建立和维护的,这些协议可以有效防止区第四章 关键技术 28 块链中的不良行为并限制其作用,确保没有任何第三方可以损害整个系统的完整性和安全性。使用分布式账本技术分散了信任风险,使地理和空间上不同的实体有可能就共享数据库的状态达成共识。区块链允许分配
42、身份标识符的公共密钥,并允许这些值以安全的方式全局可读,而不会受到 PKIX 中可能发生的 MITM 攻击的影响。分布式身份的信任模型利用了分布式账本的高安全性、防篡改性、高可用性和弹性,以提供高可伸缩性的密钥分发、验证和恢复能力。这种将 PKI 转变为 DPKI 的做法消除了中心化带来的弊端,但与此同时,由于 DKMS 中没有中心化的权威机构,因此密钥管理的主要责任直接转移到了身份所有者身上。这就需要构建一个分布式的、并且与中心化的加密密钥管理系统(CKMS)等效的系统。去中心化密钥管理系统(Decentralized Key Management System,DKMS)是一种新的分布式的
43、密钥管理方法,使用没有集中管控机构的区块链和分布式账本技术对密钥进行管理。与传统公钥基础设施 PKI 不同,DKMS 不依赖于 CA 机构对公钥进行认证。在 DKMS 中,所有参与者的初始“信任根”金融分布式数字身份技术研究报告 29 是支持分布式标识符 DID 这一新形式的根身份记录的分布式账本。DKMS 体系结构总体上包含三个逻辑层:一是基础 DID层,由通过区块链注册和解析的 DID 组成;二是云计算层,由服务器端代理和钱包组成,这些代理和钱包提供了在 DID层与边缘层之间进行通信和中介的方式;三是边缘层,由身份所有者直接使用的本地设备、代理和钱包组成,用于生成和存储大多数私钥,并执行大
44、多数密钥管理操作。4.4 可验证凭证技术 从前文的介绍可以看出,DID 和 DID 文档本身并不带有任何个人身份信息(Personally-Identifiable Information,PII)。将 DID 绑定到现实世界中的某个实体(如某个人或公司),使这个实体拥有与该 DID 相应的证明,则需要通过可验证凭证(VC)来实现。物理凭证(Credential)广泛存在于我们的日常生活中,机动车驾驶证、结婚证、学位证书等都是表明我们某种属性或能力的证明。2019 年 11 月 19 日,W3C CCG工作组发布的可验证凭证数据模型(Verifiable Credentials Data Mo
45、del 1.0)规范提供了一种网络凭证的使用机制。第四章 关键技术 30 4.4.1 可验证凭证可验证凭证 声明(Claims)是关于某个主体的描述,使用“主体-属性-值”三元关系模型来表示。多个声明可以合在一起以表达关于某个主体的信息。图 7 多声明的信息模型 可验证凭证(VC)是由发行人作出的一个声明或由多个声明组成的集合。凭证可以包括标识符和用于描述凭证属性的元数据,如发行人、到期日期和时间、图片、用于验证目的的公钥、吊销列表等。这些元数据可以由发行人签名。可验证凭证是一组不可篡改的声明和元数据的集合,可通过密码学技术证明谁是这个凭证的颁发者。图 8 展示了可验证凭证的组件结构。金融分布
46、式数字身份技术研究报告 31 图 8 可验证凭证的基本结构 4.4.2 可验证表述可验证表述 可验证凭证的持有人可以将来自不同发行人的可验证凭证 组 装 到 单 个 结 构 中,构 成 可 验 证 表 述(Verifiable Presentations),然后与验证者共享这些可验证表述,以证明他们拥有某些特征或属性。可验证表述可以用于合并凭证,并展示可验证凭证的真实性,仅能由凭证持有人进行加密计算生成。可验证表述中的数据通常都是关于同一主体的,但是对数据中主体或发行人的数量没有限制。聚合来自多个可验证凭证的信息是可验证表述的典型用法。可验证表述是防篡改的,其编码方式可以通过密码学验证来信任可
47、验证表述的提供者的身份。某些类型的可验证表述(基于零知识证明)可能包含从原始的多个可验证凭证合成的数据,但不包含原始第四章 关键技术 32 可验证凭证。可验证表述方案的主要设计目的是为了增强隐私保护。基于匿名凭证的可验证表述,实体可以仅提交凭证信息中特定的属性提供验证。图 9 展示了可验证表述的组件结构。图 9 可验证表述的基本结构 可验证凭证和派生的可验证表述都可以在线传输,从而能够很方便地建立远距离信任,这个是物理凭证难以实现的。4.5 安全数据存储 当前网络服务商在线存储了大量敏感数据,例如,个人识别信息(PII)、商业秘密、家庭照片和客户信息,这些数据通常没有得到适当的保护。通用数据保
48、护条例(GDPR)之类的法规要求服务提供商更好地保护个人隐私,并在数据金融分布式数字身份技术研究报告 33 泄露的情况下承担责任;安全数据存储提供了这样的信息技术能力以及许多其他能力。安全数据存储基于隐私保护机制,在存储提供者处存储、索引和检索加密数据。这项技术非常适用于在分布式数字身份系统中,个人或组织要求存储提供者以无法查看、分析、汇总或转售数据的方式托管他们的凭证,这项技术还确保了所有者的凭证数据是可移植的,凭证访问须经其授权。图 10 数据安全存储系统 安全数据存储系统中,服务器的信任度较低,对持久化的数据必须不可见。客户端负责提供与服务器的接口,并根据实现要求为每个相关协议(HTTP
49、、RPC 或二进制在线协议)绑定。数据的所有加密和解密都在客户端的边缘进行。数据第四章 关键技术 34(包括元数据)对于服务器必须是不透明的,并且应当设计合适的架构,防止服务器对其进行解密。具体地,第一层(A)包含一个客户端服务器系统,该系统能够对传输中和静止时的数据进行加密。第二层(B&C)系统能够实现在多个实体之间共享数据,进行版本控制和复制,并能够以有效的方式执行隐私保护搜索。第三层(D)负责当数据存储提供者在更改持久化数据时通知客户端,这可以通过更新订阅机制实现。安全数据存储系统中,数据库存储的基本单位是加密结构化文档,文档可以存储结构化数据和有关结构化数据的元数据。对于大文件或原始的
50、二进制数据格式,以 API 方式实现到数据库的流传输。此外,安全数据库检索方案,支持数据库客户端能够进行元数据索引,而又不会将元数据泄漏给存储提供者。4.6 点对点通信协议 分布式数字身份主张用户管理和控制数字身份,不同用户之间不依赖于第三方进行安全通信。通过用户自己管理的 DID 和密钥以及注册到分布式账本中的分布式数字身份数据,可以实现全网基于 DID 的点对点相互认证和安全通信金融分布式数字身份技术研究报告 35 就两个 DID 实体而言,其安全通信的工作原理依然是基于传统 PKI 挑战响应机制和协商数据加密方式。DID 实体间的消息传递则遵循 DID 消息(Comm)协议,这种分布式协
51、议意味没有监督者来保证信息流,强制双方行为并确保一致性,双方基于对规则和目标的共同理解和共识达成互动,这与 WebAPI 方式下依赖中心化的规则管理有很大的不同。分布式数字身份系统中的凭证流转都可以基于相关消息协议完成。DIDComm 协议的两个主要特征。1.基于消息,异步和单工方式 当今,移动和 Web 开发中的主要范式是双工请求响应。通常调用具有特定输入的 API,随即在同一通道上获得具有特定输出的响应。然而,许多代理不能很好地模拟 Web 服务器,例如,移动设备以无法预测的时间间隔关闭,并且缺少与网络的稳定连接。DIDComm 的基本范例是基于消息,异步和单工方式的。代理 X 通过通道
52、A 发送消息。随后,它可能会通过通道 B 从代理 Y 接收响应。相比 Web 范式,DIDComm 协议更接近电子邮件范式。2.消息级安全性,基于对等身份验证 第四章 关键技术 36 传统 Web C/S 模式下,传输级别(TLS)提供了 Web 安全性,但这种安全并不是消息本身的独立属性。在异步单工工作模式下,对于传统的 TLS,登录和会话有效期这些安全措施是适用的,但无法继续支撑通信的安全性。此外,中心化服务器和证书颁发机构使服务器和客户端之间存在不平衡和不对等,不适合面向对等通信的 DIDComm 协议。DIDComm 协议使用 DID 持有人本人身份钱包所提供的公钥密码技术实现 DPK
53、I 安全通信,而不是第三方的证书和在其他方登记注册的密码,独立于它所基于的数据传输方式,它是非会话保持方式的,当需要进行身份验证时,所有各方都以相同的方式对等进行。DIDComm 协议可以基于 HTTP、RPC、蓝牙、NFC 等任何标准传输协议,消息协议建立可以考虑基于普遍的二维码扫描方式进行,消息数据可以采用标准 JSON 格式。金融分布式数字身份技术研究报告 37 图 11 DIDComm 协议支持不同消息数据格式 基于 DIDComm 协议的设计,可以实现 DID 实体通信的安全性、隐私保护、互操作性和可扩展性。第五章 核心组件 38 第五章 核心组件 为了支撑用户更好地使用分布式数字身
54、份,需要由一系列分布式数字身份组件实现以上相关技术栈,分布式数字身份系统通常由分布式账本、身份代理和身份数据中心组成。分布式账本提供对身份自主权的支持,代理组件提供用户身份管理以及与其他实体通信的能力,身份数据中心提供链接到给定实体的链外加密个人数据存储服务。5.1 分布式账本 为了使身份多中心化,数字身份的基础设施需置于分布式信任的环境中,而不属于任何单一组织所控制的环境,分布式账本正是这样一种创新技术,它具备不可篡改性、可追溯性、多中心化性等特点,为数字身份系统提供了较好的分布式存储载体。开放的分布式账本(无论是非许可的还是许可的)对于分布式数字身份至关重要,因为它将提供开放的全球信任根。
55、自主权身份 DID 通过锚定于分布式账本,可以避免被特定中心化服务所掌控。分布式账本作为 DID 系统的底层基础设施,用作分布式金融分布式数字身份技术研究报告 39 数字身份标识符的注册表,提供对 DID 文档以及其他需要分布式存储内容的数据存储支撑。DID 文档可以直接存储在分布式账本中。DID 文档中的核心是保护 DID 与公钥的对应关系不被篡改,用户即可凭借私钥确认对 DID 文档的控制权。DID 对象持有者所持有的 DID 与 DID 文档本身代表了对象的身份信息,通过数字身份系统向分布式账本写入 DID与 DID 文档,并通过其分布式架构体系,将存储信息分布于各个账本节点上。此外,可
56、以根据使用的范围与业务需要,进行账本节点的扩容与部署地理的设计,最终用户可以通过自身的业务特点和所在位置,直接选取合适的账本节点,进行 DID 信息的查询与更新。图 12 分布式账本用作 DID 注册表 分布式账本系统向上对用户提供了 Key-Value 形式的数据存取能力的智能合约接口。用户可通过合约接口定义自身的业务逻辑,并将其部署于相应的记账节点上,最终可通过调用此合约来完成具体的业务记账逻辑。在分布式数字身份系统中,分布式账本提供了基础的 KV 数据账本,以及简单第五章 核心组件 40 的键值对写入和更新功能,数字身份系统将 DID作为 Key 数据,将 DID Doc 数据作为 Va
57、lue 数据,以作为键值对,写入分布式账本中,完成对 DID 的注册、更新、失效操作,并可通过分布式账本提供的 Key 查询,完成对指定 DID 对应 DID Doc 的检索。DID Doc 的更新权限通常设定为所有者自身操作,相关交易请求需验证身份有效性后方可执行。分布式账本通过其链式哈希带来的不可篡改特性,可以很好地保护 DID 数据,使其不被恶意修改。同时,账本会完整地保留 DID 的更新历史,可以完整的回溯 DID 的更新变迁。5.2 身份代理软件 在数字环境中,人和组织无法直接产生和消费数字信息、存储和管理数据,分布式数字身份系统中代表身份所有者执行自主权身份相关的数字权益的“数字代
58、表”软件被称为代理组件。从功能上区分,代理包括负责消息通信的代理(Agent)组件和负责分布式密钥管理的钱包(Wallet)组件;从部署位置上区分,代理包括边缘代理组件和云代理组件。金融分布式数字身份技术研究报告 41 5.2.1 代理与钱包代理与钱包 在数字世界管理身份需要一些软件工具,一方面是因为身份密钥的管理和使用是件复杂的事,另一方面因为在数字环境中,人和组织(有时是事物)无法直接产生和消费数字信息,以及存储和管理数据,执行自主权身份相关的数字权益需要由软件程序来实现,分布式身份系统中身份所有者的“数字代表”软件被称为代理(程序)。身份代理(程序)具有以下三个基本特征:一是通常代表独立
59、的身份所有者,也可以代表 IoT 设备、宠物等的控制者,或者是未成年人或难民的监护人或受托管理人;二是拥有唯一体现其授权的加密密钥;三是使用可互操作的协议进行交互。代理组建通常包括负责对外消息通信的代理组件、支持分布式密钥管理的钱包组件,有时候还包括边缘设备上的本地数据容器(Hub)组件。代理组件是分布式身份的对外接口,负责调用本地身份钱包和数据容器。(1)代理组件。代理组件作为身份所有者在数字世界的“替身”,其核心功能是实现身份所有者与其他对象之间的点对点通信。由于许多代理并不会在网络上具有永久的可访问的入口点(IP地址),因此不应将它们都设想为可以支持 API 请求响应的第五章 核心组件
60、42 Web 服务器。代理通信中,以通信协议替代 API。为了保证安全、私有和互联互通,协议应当是分布式和互操作性的,并旨在发展成面向未来的主权身份交互中的通用语言,DID 通信协议是适用于代理间消息交互的协议标准。图 13 身份持有者代理软件 代理通过标准连接协议相互连接,通过标准 DID 文档发现彼此的端点和密钥,以一种标准方式发现彼此的功能并维护关系。(2)钱包组件。身份钱包是一种数字容器,用于存储控制自我主权身份所需的数据。身份钱包最重要的作用是管理为数众多的关系,金融分布式数字身份技术研究报告 43 它不是可见的应用程序,而是由容器及其数据组成,通过基础钱包的接口提供外部使用,这种设
61、计保证了钱包的可移植性。钱包的主要作用是处理秘密信息,故应采取加密安全策略,确保在安全的地方生成和使用这些秘密,比如 TPM、HSM或 SE,而不会将其传递给不受信任的各方。钱包外部的世界通过钱包组件提供的公共接口与钱包交互,该接口提供了查询功能,其实现确保适当的加密和秘密处理;在下面一层,钱包存储可以是文件系统、对象存储、键值存储或任何类似的存储,以提供持久性和查询功能。存储层不必考虑加密,数据到达时,已经被安全加密,存储上方的层负责将来自钱包外部使用者的查询与加密形式进行转换。图 14 钱包组件示意图 第五章 核心组件 44 5.2.2 边缘层与云层边缘层与云层 分布式身份网络中,根据所部
62、署的位置,身份代理软件可以分为边缘代理软件和云层代理软件。边缘代理(Edge Agent)通常部署在身份持有者自主控制的本地终端设备上,云层代理软件作为边缘代理间的服务中介,通常部署在云端服务器上。边缘代理通常表现为由身份持有者自身控制的客户端应用软件,包括代理组件和钱包组件,前者负责实现与其他代理(主要是云层代理)的通信,后者则负责实现身份持有者相关密钥和身份数据的管理。代理是面向工作流的,工作管理的单元是一个 DID 消息协议,到达代理的消息被路由到协议处理程序,协议处理程序再根据消息的内容和状态机设置采取后续处理。由于消息可能需要被加密或存储,边缘代理在实现消息协议时,通常会请求本地钱包
63、进行数据密钥签名或加密等处理。金融分布式数字身份技术研究报告 45 图 15 边缘层与云端 由于边缘代理通常部署在移动或非移动终端设备上,基本不能支持直接在网络上的寻址,更无法实现永久寻址,因此难以实现与其他身份所有者之间的直接通信,通过设置“云代理”,使用身份所有者获得一个公开的、稳定的入口点地址,以提供其他代理发现并与之“对话”。部署在云端的代理软件也有自己的钱包组件,云钱包主要维护“云代理商”与客户边缘代理之间的连接关系(含对应密钥)。云层软件在分布式网络中提供以下核心功能:为边缘代理提供持久的端到端消息;解决在身份所有者运行多个边缘代理情况下,各个代理之间协调消息和状态的难题;为方便身
64、份所有者密钥恢复而设置的密钥备份功能。考虑到其典型的计算能力、带宽、存储容量、可靠性和/或可用性,这些通常都是边缘设备所不具有的。从体系结构的角度来看,第五章 核心组件 46 云层代理软件的设计至关重要,应避免使 DKMS 的任何方面出现“中心化”特征。5.3 身份数据中心 身份数据中心(ID-hub 组件)是连接在一起并链接到给定实体的链外加密个人数据存储。它们可以用于直接在用户设备上或在用户指定的云存储服务上安全地存储身份数据,并在所有者授权时进行细粒度分享,其特点是安全、可移植。用户的个人设备,特别是移动端设备在数据存储方面有容量限制,可能导致用户的客户端代理在进行本地凭证存储时无法保存
65、全部的个人凭证记录,这种情况下,可以考虑使用分布式存储对用户凭证进行云端托管,数据托管服务应确保随时随地都是安全、可用和可共享的。身份数据中心是面向数据管理的,它提供数据对象提交和状态读取服务,与传统云存储服务不同,身份数据中心的接口与供应商和平台无关,且云端数据的加密由身份所有者本人的密钥加密,即使发生数据泄漏,也因使用了个人持有的密钥加密而无法被第三方识别和盗用。身份数据中心本身不持有所有者的密钥,也不能代表所有者采取任何行动,但是可以将消息中继到其他组件(如代理)进行处理。金融分布式数字身份技术研究报告 47 一个身份所有者可以使用多个身份数据空间,每个身份数据空间通过注册到特定的用户
66、DID 提供云存储服务的寻址,个人数据组件对外提供的统一接口,支持多个数据组件保持数据有效同步和基于用户的控制权的数据序列化导出,从而可以使数据在不同的云服务平台之间进行平滑迁移。第六章 典型案例 48 第六章 典型案例 近几年,国内外针对分布式身份技术的研究越来越多,涌现出较多有代表性的分布式数字身份项目。本章主要分析其中旨在建立分布式网络身份基础设施的开源工程项目、商业化程度较高的服务化平台,以及大量结合场景应用的试点项目。6.1 贸金平台数字身份的应用实践 贸易金融区块链平台(以下简称“贸金平台”)是基于区块链技术的开放、可信、安全等特性打造的中立、权威、专业、合规、高效、公益、共享的贸
67、易金融服务平台。该平台致力于服务国家战略发展,积极解决实体经济遇到的重大问题,通过积极探索创新性贸易金融产品形态和坚持贯彻金融监管政策,贸易金融中各方合作与发展,实现监管方、融资方、资金方、贸易服务方多方共赢的局面,最终营造辐射全球的开放金融贸易生态。在贸易金融中,业务参与机构涉及银行、核心企业、多级供应商、多级经销商等,对于这些参与机构的身份和资质的确认非常重要。传统的数字身份服务往往依赖于某一身份金融分布式数字身份技术研究报告 49 服务机构来提供,包括诸如 KYC、数据存储、信息筛查等。用户在不同的场景中需要切换身份,通过访问这些场景中的特定的身份服务机构来获得身份凭证等数据,这会导致一
68、系列问题,例如:(1)冗余问题:用户在不同生态和不同应用场景下需要分别进行 KYC,这不仅会降低用户体验,还会导致生态整体效率低下、成本增加的问题。(2)孤岛问题:分散的身份和应用数据会导致信息孤岛问题,阻碍了信息在不同应用之间的互联和共享。(3)隐私问题:用户信息存储于特定的身份服务机构,有泄露隐私的风险。对于金融类敏感数据,这一问题尤其突出。(4)监管问题:用户信息的分散化会带来监管难度的提升。针对以上问题,平台参考 W3C 关于 DID 规范实现了数字身份的标准化,基于区块链技术实现了数字身份的链上存储和链外验证技术,贸金平台实现了统一的数字身份服务,从而实现了贸金平台的优势。如图 16
69、 所示,贸金平台数字身份分用户侧、认证侧和应用侧三部分,用户侧是供用户管理自己的身份,认证侧是机第六章 典型案例 50 构对用户的授权和颁发凭证,应用侧是用户与实际业务场景的结合使用。图 16 贸金平台数字身份应用 总体流程中包含三类用户,分别是数字身份持有者、数字身份认证机构和监管机构三类用户。总体设计理念是能够让用户更新自己的身份逻辑的同时不改变数字身份全局唯一标识符,平台设计了代理合约和身份合约两种合约,来代表用户的身份。具体地:(1)代理合约:该合约主要是供应用场景查询用户身份凭证。代理合约随着用户在贸金平台上开立身份而生成,生成的是一个 20 字节的十六进制字符串,作为数字身份全局唯
70、一的持久化标识符。(2)身份合约:该合约主要是控制身份逻辑和存储身份信息,同时接受代理合约转发的查询需求。身份合约随着用户在贸金平台上开立身份而生成,生成后注册到代理合约。金融分布式数字身份技术研究报告 51 当用户需要替换新的身份合约时,用户将在代理合约中用新的身份合约替换已有的身份合约,而不影响与其身份相关联的数据和服务。用户的使用流程为:1)身份开立:希望获得贸金平台数字身份的用户向监管机构发送身份开立申请,监管机构验证无误后将授权信息返回给用户,用户凭借此授权信息可在贸金平台上开立身份,生成身份合约和代理合约。图 17 贸金平台数字身份开立 2)身份认证:当用户希望获得某一种身份凭证时
71、,向相关数字身份认证机构发起认证申请,该机构审核相关信息无误后将该用户的身份凭证返回给用户,用户将其凭证存入身份合约中。用户身份认证除了支持单一机构的认证,还支持多机构共同认证。第六章 典型案例 52 图 18 贸金平台数字身份认证 3)身份验证:当应用需要验证用户的身份时,通过调用代理合约查询需要验证的用户凭证,应用拿到凭证后在链外进行验证,包括凭证是否确属于该用户,凭证信息是否完整,签名是否正确等,验证通过后可以执行后续操作。图 19 贸金平台数字身份验证 4)身份升级:当用户需要对身份的智能合约逻辑升级时,先创建新的身份合约,再通过调用身份合约注册接口,把身份合约注册到代理合约中,完成身
72、份智能合约逻金融分布式数字身份技术研究报告 53 辑升级。5)身份找回:如果用户丢失私钥(这意味着他无法再调用身份合约),可以通过“紧急联系人”共同签名的方式进行“找回”。具体而言,用户在生成身份合约的时候可以设置多个其他机构(例如该用户的上下游合作伙伴)作为紧急联系人,将这些联系人的信息注册到身份合约中。当用户丢失私钥后,重新生成公私钥并通过这些联系人共同签名的方式调用身份合约找回接口,将新公私钥的地址替换身份合约中的旧地址来找回身份。6.2 Sovrin 身份管理网络 Sovrin 身份管理网络是 Sovrin 基金会主导开发的一个公众许可区块链,针对解决自我主权身份(SSI)的隐私保护和
73、可验证问题。区块链技术现在允许每个公钥都有其自己的地址,即 DID,DID 与 DID 文档一起存储在公共分类账中,该 DID文档包含 DID 的公共密钥、可以公开的其他公共凭据以及进行通信的网络地址,Sovrin 身份管理网络针对 DID 和 DID 文档进行了优化,使用 Sovrin 身份管理网络,身份拥有者使用自己的私钥控制 DID 文档,在 Sovrin 身份管理网络上存储和更新的主要对象是公共 DID。第六章 典型案例 54 实现 SSI 绕不过四个主要需求:管理(Governance)、扩展性(Scalability)、访问(Accessibility)和隐私性(Privacy)。
74、Sovrin 身份管理网络在架构设计上从 SSI 的四个需求出发,创新性地提出了相应的解决方案。在管理方面,Sovrin 基金会提出了信任框架原则,作为分布式自主身份的信任基础,为 Sovrin 身份管理网络成为全球公用身份基础设施提供了法律和政策的基础,在信任框架的指导下,网络中运行的节点组织都必须遵守该框架中规定的原则。在扩展性方面,Sovrin 身份管理网络设计了两个节点环,一个观察者节点环,用于运行只读区块链的拷贝处理读请求;一个验证节点环,用于处理写入交易请求。另外,Sovrin 身份管理网络能够返回一个轻量级的加密证明,即状态证明,可以在移动设备上进行状态有效性验证。在访问方面,为
75、了提供全球通用访问性,Sovrin 基金会组成了“所有人身份理事会(Identity for All Council)”,用于确保 Sovrin 身份管理网络作为一个全球公用的基础设施能够满足所有人对身份证明的需求;在隐私方面,Sovrin 身份管理网络提供的符合 GDPR 隐私保护要求的分布式数字身份整体解决方案,使用“默认隐私性设置”解决隐私性问题,金融分布式数字身份技术研究报告 55“默认使用假名”,所有身份信息和公钥默认的都使用假名;“默认使用隐私代理”,每个 DID 对应一个私有代理,避免相互关联风险;“默认有选择地暴漏信息”,结合零知识证明验证支持数据最小化。Sovrin 身份管理
76、网络采用了 DID、区块链,零知识证明等技术解决 SSI 存在的一些问题,但是在生态建设、信息准确及覆盖范围等方面尚有许多难题需要解决。6.3 微软 ION 项目 微软在 2018 年 2 月宣布从分布式身份作为公司的区块链战略切入点,并于 2018 年 10 月发布去中心化身份白皮书。微软在白皮书介绍了其 DID 的技术基础框架,由 W3C去中心化身份标识(DID)、分布式系统(如区块链和分布式账本)、DID 用户代理、全局 DID 解析器、身份中心、DID认证、去中心化和服务 7 个技术模块构成。底层的分布式系统不依赖于特定的分布式账本,它依托于 Azure 云服务可以支持多种分布式账本协
77、议,对外提供 DID 操作方法,使用者无须关心写入账本的细节。微软的身份覆盖网络(Identity Overlay Network,ION)是一个公共的、无权限的分布式身份标识符(DID)网络。它包括三大功能模块:一系列核心 Sidetree 逻辑模块、基于比第六章 典型案例 56 特币网络的读写适配器和在节点之间复制数据的 CAS 协议。这三个组成部分综合起来构成了一个类似于区块链第二层扩展的系统,依附于比特币主网。通过在比特币第二层进行批量合并的方式,ION 将大量 DID 操作合并成一个上链操作,修改的数据实体存在于分布式存储网络,数据实体的哈希存在于比特币网络。图 20 微软分布式身份
78、框架(资料来源:Decentralized Identity Own and control your identity)微软 DID 技术架构全面,具有较强的普适性。微软的 DID 方案的实施对该领域标准的制定、推广起到了很好的推动作用。对于 DID 可能面临的区块链性能瓶颈,微软 DID 在使用区块链网络比特币的同时,解决了比特币性能较低的问题,是一种兼顾安全与效率的解决方案。微软对于 DID 的研金融分布式数字身份技术研究报告 57 究,无论对分布式数字身份技术的探索,还是互联网的发展具有深远的意义。6.4 uPort 项目 uPort 是建立在以太坊和分布式存储网络之上的一个“以用户为
79、中心”的开放式身份系统和数据平台。首先,uPort 允许用户基于以太坊网络来自主注册身份、签署和发送身份证明、登录网络服务等,并在此过程中安全地管理个人密钥和个人数据;其次,uPort 也支持建立企业数字身份,方便快捷地为企业与员工和客户建立起安全访问控制环境和合规操作流程;最后,uPort 基于分布式存储网络为个人和企业提供数据存储和授权分享机制,而不依赖任何中心化系统或机构。一个完整的 uPort 系统主要包括以下几部分。一是智能合约组件。其中,代理合约用于转发相关请求,并将其合约地址作为用户 uPort 身份标识;控制器合约用于维护对代理合约的访问控制和其他附加功能;恢复仲裁合约用于在用
80、户密钥丢失时帮助其恢复身份;注册合约用于维护uPort 标识和链外数据之间的关联关系。二是数据服务组件。提供用户可验证身份凭证的产生、存储、分发、验证。此凭证通常存储在链外。三是开发工具包组件。帮助开发人员将 uPort 集成到已有的数字服务或 DApp 中。第六章 典型案例 58 四是移动端组件。在移动端的 TEE 可信执行环境中存储和管理用于控制身份和签署证明的私钥信息。五是服务器组件。包括消息服务器、GAS 加注服务器、I-nfura RPC 等。图 21 uPort 系统相关智能合约和数据存储 uPort 通过将代理合约地址作为核心标识符,从而让用户能拥有并维护其永久性身份标识,并在其
81、存储密钥的设备丢失时,可以借助控制器合约和恢复仲裁合约来重新绑定新设备并恢复其身份,同时保持用户身份标识不变。基于 uPort ID 的解决方案具有基础设施要求低、安全风险低、符合 GDPR 标准、成本效益高、可扩展强等优点,自2017 年诞生以来,逐步发展成灵活的、具有包容性的身份解决方案。6.5 Blockstack 项目 Blockstack 项目旨在基于分布式身份技术建立一个新型金融分布式数字身份技术研究报告 59 的分布式网络,比现有互联网安全可信。通过支持用户自主管理身份和数据,以授权方式许可第三方应用共享其信息,将数据所有权交还给用户。Blockstack 系统包括以下内容:轻量
82、级区块链(Stacks Blockchain),用于登记用户标识符及公钥信息;高度可扩展、性能优越的分布式存储系统(Gaia),为用户提供私人数据托管;分布式认证协议(Blockstack Auth Protocal),支持用户基于其 ID 进行身份认证;SDK 和开发者工具,简化在Blockstack 生态下分布式应用程序的开发,免除服务器或数据库的运维管理。Blockstack 为个人用户提供生态下的单点登录支持,流程如图 22。图 22 Blockstack 单点登录流程(资料来源:Authentication-Stacks Auth provides single sign on an
83、d authentication without third parties or remote servers)第六章 典型案例 60(1)当用户登录应用程序时,会被定向到 Blockstack 身份验证程序,进行登录用 Blockstack ID 选择和确认对应用的授权。(2)身份验证程序会将用户引导回应用程序,并向应用传递以下信息:用户名、特定应用程序私钥、用户 Gaia Hub指针和首选 Blockstack 节点的 URL。Blockstack 采用了将身份控制与身份数据相分离的设计思路。控制层包括底层区块链和虚拟链部分,用于创建和注册用户身份;数据层实现数据存储,主要包括路由文件
84、Zone File 和数据存储服务。数据由所有者密钥签名,当 DApp 从数据层进行数据访问读取数据时,会根据 Zone File 中的数据哈希和所有者签名对数据进行完整性及可靠性验证。在 Blockstock 上,用户拥有自主权身份,自主管理其行为数据,对第三方数据访问授权;开发者基于 Blockstock 能够快速开发本地应用,在用户许可的情况下通过 API 访问用户数据,而无须考虑对用户和用户数据进行管理。6.6 ShoCard 身份管理平台 ShoCard 身份管理平台是一个基于区块链技术的移动身份管理的平台。ShoCard 身份管理平台在保护用户隐私的同时,提供了用户身份自我验证以及
85、解决企业间重复身份认证金融分布式数字身份技术研究报告 61 问题的方案,明确用户信息的所有权,确保用户能够决定向谁分享哪些个人信息;同时,允许多个实体企业或个人通过独立的信息验证来建立信任,不需要长期相互信任关系,也不需要可信任的第三方进行验证。目前,ShoCard 身份管理平台主要针对对公业务,已经在金融行业和旅游业上具有落地的应用。图 23 Shocard 系统架构图(资料来源:Blockchain Architects:Avoid the Fatal Mistake of Choosing One)ShoCard 身份管理平台系统架构包括:软件工具包(SDK),通过 SDK 支持不同的应
86、用系统,如服务器、iOS 以及安卓系统等,方便接入企业客户端或者移动应用程序;服务层(Sho服务器和 Sho 储存器),进行用户数据存储和处理;侧链、第六章 典型案例 62 区块链缓存、ShoCard 区块链适配器等组成部分,用于存储加密后的身份验证信息以及对接不同的底层区块链。一方面,通过引入本地服务器证明机制,ShoCard 身份管理平台能确保用户信息只掌握在自己的硬件设备上,永远不会被第三方数据库截存,信息安全可靠。只将用户数字签名信息或可验证声明存入区块链,利用生物识别技术进行验证,实现用户身份信息保护;另一方面,只需要用户进行授权,就可以实现用户在不同企业的身份验证,有效减少企业之间
87、的用户身份重复认证集成工作,提升企业间身份认证效率,用户无须再维护每项服务的用户名和密码,用户体验得到提升。ShoCard身份管理平台的区块链架构,能够适配比特币、以太坊等多种不同区块链,通过侧链和缓存有效解决了性能低下的问题。6.7 Civic 项目 Civic 是通过区块链技术和生物识别等多方式进行身份认证的数字身份项目。目前,Civic 提供了一个数字身份平台,名为公民安全身份平台(Secure ldentity Platform,SIP),用户通过 SIP 在个人移动设备上设置自己的数字身份,对其进行验证后,即可成为公民用户。金融分布式数字身份技术研究报告 63 将区块链的分散式架构与
88、移动设备上的生物识别技术相结合,使得该平台用户能够管理自己的身份数据。(1)用户根据请求将其 PII 捕获到 Civic App 中。(2)由 Civic 实现完整的验证过程。(3)通过验证后,身份数据的证明由 Civic 写入区块链中。(4)此后,该身份数据的接受者能使用它们来验证 PII的真实性和所有权。图 24 Civic 架构(资料来源:Civic Token Sale White Paper)验证程序可检验移动端上的 PII。用户可以与生态系统中信任 Civic 的其他参与者共享 PII 和证明。第六章 典型案例 64 Civic 创造了一种叫做 Merkle 的树状模型。代表 PI
89、I 元素的每个节点都包含其内容的哈希值和其子节点的哈希值。这就使 Merkle 根(即“根哈希”)成为数据证明工作的指纹。图 25 Civic 生态系统构想(资料来源:Civic Token Sale White Paper)6.8 微众 WeIdentity 项目 2018 年 10 月,深圳前海微众银行推出了 WeIdentity 项目,WeIdentity 是一个开源项目,技术生态活跃,版本更新敏捷,提供一系列的基础能力与应用接口,以及部署和运营工金融分布式数字身份技术研究报告 65 具,功能完备,可一站式建设分布式数字身份服务。图 26 微众 WeIdentity 解决方案整体架构 W
90、eIdentity 的系统功能如下。(1)引擎支持:可运行在多种区块链底层引擎上,也可以运行在可编程的分布式系统上,具有平台无关性。(2)协议实现:实现符合 W3C DID 规范的分布式身份标识协议,以及符合 W3C VC 的可验证数字凭证技术。(3)认证流程:使用符合 DID 规范的认证流程和标识格式,为用户生成全局唯一的 DID 标识,用户用自己的私钥管理标识。(4)凭据管理:凭据格式可以标准化,内容由权威机构认证,具备高公信力。用户自主管理凭据,并生成可验证的“证明”。更进一步地,WeIdentity 可以将凭证在链上存证。第六章 典型案例 66(5)数据交互:通过 APP、二维码等交互
91、方式,在用户明示授权的前提下实现数据的选择性披露,采用零知识证明等技术实现“以证明代替数据”。(6)支撑功能:实现链外治理、密钥托管、用户数据安全存储、海量数据传输等功能,与跨链、隐私计算等技术结合,用插件化的方式实现可扩展性。当前,WeIdentity 已经在金融、政务、版权、跨境互认、物业管理、司法仲裁等多个场景落地使用,进行隐私保护,提升多实体数据协作效率。6.9 蚂蚁链 DIS 蚂蚁链分布式身份服务(Decentralized Identity Service,DIS)可以提供实体身份的认证、创建、管理,以及可验证声明的颁发、验证和流转等服务。金融分布式数字身份技术研究报告 67 图
92、27 蚂蚁链 DIS 解决方案架构 蚂蚁链 DIS 的核心功能包括以下几个。(1)分布式数字身份钱包。提供面向用户的移动端数字身份管理工具,结合终端的可信执行环境,具备支持生物核身以及分布式身份密钥的安全保护能力;通过终端 TEE 环境实现数字签名、隐私数据加/解密,从终端数据源头确保数 据的真实可信以及隐私保护。(2)认证和核身。支持可描述实体的身份创建,在支持个人身份创建的同时,提供对人的多要素认证能力,并提供生物核身能力,包括指纹、人脸等。(3)端到端隐私保护和计算。基于非中心化的分布式引擎实现,目前基于蚂蚁自主研发的区块链引擎,根据实际情况第六章 典型案例 68 可使用蚂蚁链的可信硬件
93、隐私合约链,可实现端到端的数据隐私保护,同时支持在 TEE 合约链上的隐私计算能力。(4)二层网络架构。基于二层网络进行生态建设,并且通过二层网络将应用层请求进行归并,通过账本分片、合约分片等技术,实现在海量身份的情况下提供高可用服务。(5)DPKI 体系。将公钥与 DID 的绑定关系在蚂蚁链上存证并且不可篡改,结合可信终端密钥保护,实现自主权数字签名认证体系,证明身份授权自主意愿,从而实现对数据和身份的分布式验证体系。(6)密钥安全托管。支持多类型的密钥管理,提供可选结合密钥托管的身份服务,降低维护公私钥的复杂性。(7)多种服务能力。即提供标准 SaaS 化服务,也支持本地化独立部署方式,同
94、时还可结合链下隐私计算、跨链数据打通、跨网络的身份和数据服务发现等。蚂蚁链 DIS 结合零知识证明、可信硬件执行环境等技术实现端到端的数据可信、隐私保护以及计算能力,目前在教育、政务、物流金融、跨境入驻和保险回溯等场景落地应用。6.10 腾讯云分布式身份 TDID 腾讯云分布式数字身份解决方案(Tencent Decentralized ID,TDID)是参照 W3C 标准,以联盟链驱动的实体分布式数金融分布式数字身份技术研究报告 69 字身份解决方案。TDID 提供分布式实体身份标识符和可信电子凭证的全生命周期管理。腾讯云 TDID 依托腾讯云区块链服务平台 TBaaS,整合腾讯云的存储、数
95、据库、密钥管理系统 KMS 以及云安全等基础设施和技术能力,实现了完整分布式身份体系,通过 Rest API/SDK、智能合约等多种形式为企业客户提供高效、易用、安全、弹性的分布式标识符及可信凭证服务,帮助客户理解、掌握、运用分布式身份相关技术,通过 TDID 技术在保护实体数据隐私的前提下,协助客户构建实体间高效数据协作工具和价值流转通道。TDID 方案架构见图 28。图 28 腾讯云 TDID 解决方案架构图 腾讯云 TDID 方案具有如下优势:第六章 典型案例 70(1)良好的扩展性和兼容性。ID 及凭证均遵循国际标准;方案可扩展性强,可通过 API 等形式与既有系统对接,参与机构不会对
96、已有业务造成影响。(2)保护数据隐私。数据归属于用户,机构使用数据需得到用户授权,隐私保护性强;可验证数字凭证的内容均在链下存储。6.11 络谱分布式身份 BropID 络谱分布式身份 BropID 是构建在中钞络谱平台上的分布式数字身份解决方案,可以为络谱生态提供统一的身份服务和可信数据的交换。络谱分布式身份 BropID 系统包括以下几方面。(1)自主研发的开放许可链BroChain,用于登记 DID身份信息和凭证模板。(2)用户客户端身份代理软件,为用户提供身份密钥管理和数据保险柜,以及持久在线的消息推送服务。(3)SDK 和开发者工具,包含非移动身份代理,提供关系管理和凭证配置,方便与
97、发证方/验证方业务系统对接。(4)匿名凭证算法库,支持符合隐私保护需求的最小凭证属性披露和基于多项凭证构造特定凭据证明。BropID 是一个基于开放许可链的分布式身份管理系统,金融分布式数字身份技术研究报告 71 包括基础架构和为身份各方提供的接入组件及工具。BroChain 区块链作为分布式身份管理系统的可信基础设施,用于记录身份相关的标识数据和凭证模板,提供身份验证保证;基于 BropID 发证方工具,发证方可以实现向账本发布凭证模板,以及为身份所有者签发可验证;BropID 代理组件支持用户进行本地身份自主管理、异步安全消息交换和凭证保存,身份所有者在需要的时候向身份验证方出示凭据,实现
98、凭证的可信流转与分布式应用。6.12 百度分布式身份 XuperDID 百度分布式身份 XuperDID,是以 DID 作为用户的可信数字身份,以可验证凭证(VC)作为数据可信交换的载体,从技术特性来看,XuperDID 基于零知识证明技术,在用户可验证凭证上实现选择性信息披露,保护用户隐私;参照 W3C标准,对接 DIF;使用 Sidetree 协议的 L2 层模块,提供系统性能;支持多种语言的 SDK、命令行工具、身份钱包,开箱即用。从开放兼容性看,XuperDID 同时支持基于多重签名的密钥恢复以及代理控制机制,此外还支持与 Fabric、Xuperchain、Ethereum、Quor
99、um 等多种区块链框架对接,可以进行跨链、跨平台、跨场景以及跨身份协议的互操作。第六章 典型案例 72 目前,百度 XuperDID 与人工智能技术融合上,设计了全球首个融合人脸与 5G 的区块链分布式数字身份解决方案。在与物联网技术融合上,结合百度聚屏,让 14 万聚屏硬件节点拥有独立可控的物联网身份,解决广告主对广告投放渠道不信任的问题,降低人工监播成本。金融分布式数字身份技术研究报告 73 第七章 应用场景 分布式数字身份的主要应用在于不同应用中的身份识别,以及互认与互通,基于身份的分布式验证,有望进一步达成在分布式业务协同中的数据确权和资产确权。7.1 多源身份认证 多源身份认证,顾名
100、思义,是依托构建的分布式数字身份支撑体系,通过多个可信数据源来完成用户身份认证的过程。目前,在贸易场景中,金融机构面临的一个难题是如何有效识别贸易平台如供应链上下游企业的身份真实性问题,其真实性主要包括四个方面:企业自身的真实性、用户的真实性、银行账户的真实性、用户与企业隶属或委托关系的真实性。基于区块链的分布式数字身份技术可以在以上场景进行身份信息的交叉验证与查询。由各贸易平台组建联盟链,联盟链中每个节点(节点可以由单一平台、核心企业或机构组成,也可以由多家机构共同构建)本身都拥有各自的企业身第七章 应用场景 74 份信息库,通过区块链连接各身份数据源,从而构成一个 DID网络,并且各节点为
101、各自企业在联盟链开展业务生成一个链上唯一的身份标识符,并提供一套经联盟认可的可验凭证工具。当平台方根据业务需要,对某企业上述四方面的信息进行核验时,其在本地核验能力不足的情况下,可使用 DID 网络向其他各节点上的企业身份信息库查询企业的相关信息,其他节点按照协议规范反馈各自的可验凭证,查询方通过工具选择并验证提供方的可验凭证,并向最终采纳凭证的提供方支付一笔费用。通过这种方式,节点之间可以在保护各自节点隐私的前提下,基于一定的共识算法和商业模式实现对企业身份的交叉验证,并在此基础上进一步实现企业黑名单的共享机制;此外,可以在 DID 网络的基础上,逐步实现基于真实身份且达到一定认证等级的企业
102、在联盟链上一次注册、多节点登录的功能,从而有效提高业务开展的便利性(见图29)。金融分布式数字身份技术研究报告 75 图 29 多源身份认证 7.2 供应链金融 供应链金融,简单地说,就是银行将核心企业和上下游企业联系在一起,提供灵活运用的金融产品和服务的一种融资模式。供应链金融的风控目标:通过获取上下游企业各类信息,降低企业的不可控风险,使供应链整体风险可控。供应链金融中涉及银行、核心企业、多级供应商、多级经销商等众多参与方,由于中小企业获取信用背书较难,传统获取和验证企业各类信息的效能较低,难以满足融资需求的高时效性,应用分布式数字身份技术建立企业信用传导,可以提高企业信用评估审核效率,降
103、低融资服务成本和银行放贷风险。第七章 应用场景 76 图 30 分布式身份应用于供应链金融 供应链金融涉及大量的企业交易信息、贸易背景、融资信息等,数据敏感性高,存储分散而复杂,不易采集充分,真实性难以确定。基于分布式数字身份和可验证凭证技术,能够实现以企业自身为中心的匿名凭证流转凭证由融资企业向背书方(核心企业或上游企业)申请,并提供给融资银行进行验证。基于凭证的密码学属性,银行无须了解凭证流转者(融资需求方)即可确认凭证来源,信任凭证内容,开展贷款业务。分布式身份和可信凭证数据标准化有助于实现不同业务系统之间的实现凭证数据流转(无论这些系统是中心化的,还是分布式的),不仅可以大大降低中小企
104、业获取信用授信的成本与时间,也使得系统具有很好的灵活度和弹性。金融分布式数字身份技术研究报告 77 7.3 普惠金融 普惠金融是指立足机会平等要求和商业可持续原则,以可负担的成本为有金融服务需求的社会各阶层和群体提供适当、有效的金融服务。当前在国家政策导向及金融机构自身可持续发展的要求下,“长尾”客群的重要性凸显。首先,小微企业占我国企业总数的比例超过 98%,得到广泛重视。但是,在传统经营模式下,小微企业群体获取信用背书较难,仍存在服务成本和风险“双高”的问题。小微企业利用分布式数字身份在权威机构生成身份凭证,并在与金融机构的业务往来中流通,有助于实现市场穿透,解决信息不对称问题,促进小微企
105、业业务发展。图 31 分布式身份应用于普惠金融 使用分布式数字身份可以降低“金融门槛”,减少“金融排斥”。分布式数字身份可以打通金融机构间的壁垒,使用户无须多次进行办理银行卡、注册提交各类信息等。通过分第七章 应用场景 78 布式数字身份建立信用传导,使用户可一站式享受贷款申请、贷款审批、贷款发放、资金转换、农业保险等金融服务。国家提倡建立多层级小微企业和普惠信用档案平台,扩大金融信用信息基础数据库的覆盖面,不断向基层延伸。利用分布式数字身份可以建立平台间身份凭证一体化流转,降低服务成本,提升服务效率,提高信贷效率,预防不良贷款。7.4 开放银行 开放银行是利用开放 API 等技术实现银行与第
106、三方机构间的数据共享、银行服务与产品的即插即用,进而提升用户体验,共建开放的泛银行生态系统的商业模式。开放银行也可理解为一种开放平台,银行可通过 API、SDK、小程序等方式与合作伙伴建立连接。开放银行生态中,商业银行将其数据和产品向场景平台开放,从而间接获得开放场景中的用户和数据,在向开放用户提供开放服务时,会存在难以认证用户、难以保障用户数据隐私安全等方面的问题。分布式数字身份技术将解决开放银行向谁开放和安全身份认证的问题。基于分布式数字身份技术可以形成开放银行生态中用户之间信任建立与传递机制,降低中心化信任关系的建立成本和机构合规风险成本,减少用户身份与权限认证金融分布式数字身份技术研究
107、报告 79 的时空限制,提高交易效率。利用区块链的不可篡改以及可追溯性,对可信声明等在开放银行生态中的流通进行存证,利用自动化脚本代码的智能合约来进行编程和数据操作,从而进一步建立一种全新的分布式基础架构与身份范式来支撑开放银行的用户体系。7.5 共享经济 共享经济是一种新的经济模式,其本质是整合线下的闲散物品、劳动力以及各类资源,以较低的价格提供产品或服务,人人都可以通过共享的方式从中获取收益,从而实现物品/资金价值的最大化。从目前共享经济的特点来看,共享经济平台依旧有一些问题:一是租赁冒充、抵赖、篡改的情况时有发生,数据未能形成有效证据链,业务发生纠纷时责任又难以判定;二是缺乏隐私保护机制
108、,租赁者的信息安全得不到保障;三是有些服务方可能在未获用户授权的情况下收集、存储、传输、买卖用户信息,严重侵犯用户隐私。基于区块链的分布式数字身份方案提出了新的解决思路:为共享经济主体提供分布式数字身份,以确认共享经济中出让者与租赁者双方的身份,出让者在确认租赁者身份并确认分享的情况下,通过向使用者签发可验证凭证证明其获得分第七章 应用场景 80 享授权,租赁者在获取租赁物品时需出示基于可验证凭证构建的凭据验证后即可领用,租赁授权凭证可以以摘要方式上链,这个步骤能够在保护租赁者隐私信息的同时,避免租赁合约过程冒充、抵赖、篡改等情况发生,保证了共享业务全过程的可信性并杜绝了纠纷的产生。用分布式身
109、份技术来服务于共享经济项目,具有多中心化降低成本,智能合约促成平台自治,数据公开透明,提供信用保障,保护用户隐私等多个优势。7.6 数字保险 以互联网、移动终端、社交网络、云计算和大数据为代表的数字化技术为保险业数字化提供了技术支持,正在改变保险业务模式和运营模式。互联网的发展为保险公司提供了开发更多直销渠道的可能,移动终端普及拓广了保险公司的客户基数。然而保险业的数字化转型并非简单将现有保险流程与互联网连接,而应进一步使用数字化手段加强客户服务,实现安全可靠、可定制化的保险服务,并依据大数据实现更精准的产品设计、优化保险服务流程,提升客户体验。随着欺诈行为在全球范围内的日益兴起和监管要求的加
110、强,保险公司成为最早采用分布式数字身份开展其业务的组金融分布式数字身份技术研究报告 81 织部门。保险公司通过访问经过验证的客户数据,可以极大地降低后台成本并改善其风险模型。在改善客户体验方面,保险公司通过向其客户提供可验证凭证来证明其身份,并与每个客户建立安全、私有且可信任的连接,提高与客户通信的安全性和便利性;通过使用经过验证的凭证来创建客户的单一视图,为客户创建保险与其他业务的无缝体验。在公司业务运作方面,基于分布式身份和可验证凭证,保险公司可以大大减少验证客户保险资格和声明所花费的时间和资源;并使用零知识证明来维护经过验证的、准确的和最新的数据;通过更可靠的风险模型和数据准确性,在提高
111、利润的同时降低保费。7.7 可信教育 当前,在教育领域,面向学籍、学历、证照、档案、考试、录取、资助、转学、版权等实际应用,亟需实现跨部门、跨业务、跨区域的应用共享。过去没有统一可信的教育数字身份,大大增加了业务应用链的服务成本。首先,同一用户在不同的业务下,呈现多组账户及密码,管理难度大;其次,业务平台或用户需要承担更多的发放用户证书的经济成本,造成重复投资;最后,不利于开展业务数据跨链共享,实现跨链共享首先要解决不同链之间的用户第七章 应用场景 82 身份互认。可信教育数字身份(教育卡)是遵循中华人民共和国密码发 中华人民共和国电子签名法 中华人民共和国网络安全法等法律法规,面向在校学生、
112、教师、毕业生签发的、具有法律效力的可信数字身份标识。依托腾讯云区块链平台提供的分层互联协议、可信身份、多方治理等特性,并采用国产密码技术,创新性的集合了法定身份信息、教育人员身份信息、网络身份信息,形成可信的教育数字身份标识并实现统一认证,具有法律效力,打造了教育信息可信凭证。图 32 数字身份签发上链流程 可信教育数字身份为学历学籍、综合素质评价、教育招生考试、个人终身学习等建立的数字档案平台与可信档案链,实现了教育可信数字档案在全国范围内的跨学校、跨系统、金融分布式数字身份技术研究报告 83 跨地区、跨行业的互信互通与安全共享,解决了网络教育身份可信认证、数字签名、数据加密、个人隐私安全保
113、护、全证据链法律保障、网络行为的不可抵赖等安全需求。7.8 数字档案 在既有技术条件下,网络内容版权保护存在较多痛点:一是确权难,传统版权登记周期长、流程繁、成本高,版权对应的内容收益难定义、难统计、难追踪;二是取证难,数字作品易复制、易传播、难溯源,调查取证手段匮乏、耗时长、成本高;三是维权难,侵权行为认定难,传统的侵权诉讼流程复杂、诉讼成本高、时间长,被侵权方需要投入巨大人力、物力进行维权。基于区块链技术搭建的人民版权保护平台可大幅降低司法过程中的证据取证与保全成本,用传统手段一半的价格便可完成确权、维权全流程,如图 33 所示。基于 WeIdentity 方案,平台为每位实名认证的作者生
114、成WeID;当作者提交作品原创申请时,平台基于登记时间、作品名、核心摘要等信息为作品生成数字指纹 DNA,同时为每篇作品和对应的作者之间的原创关系生成凭证 Credential,生成凭证摘要上链,在链上存证 DNA 数据。当前,人民版权平台正在拓展更多媒体场景化接入,并通过打通链上的侵权取证及诉讼流程实现版权保护及版权交易的全线上化和自动化。第七章 应用场景 84 图 33 数字档案系统 7.9 物联网 简单地说,物联网是一个基于互联网、传统电信网等的信息承载体,它使所有能够被独立寻址的普通物理对象形成互联互通的网络。分布式数字身份赋予物联网硬件设备独立的身份标识,帮助物联网设备产生的数据得到
115、更加规范的管理和保护,在数据流转过程中可验证,并且无法被篡改。聚屏广告系统参与方为广告商、聚屏(提供商)、监管部门,每个参与方都有一个 DID。各参与方在分布式身份系统中的角色(Issuer、Holder、Verifier)并非固定,在不同的业务流程中会进行转换。金融分布式数字身份技术研究报告 85 聚屏资质申请阶段,聚屏提供商向监管部门提交材料,申请相应的广告播放资质(聚屏数量、分布位置等信息),监管部门审核后,向聚屏提供商发放聚屏资质可验证凭证(VC);在广告招标阶段,广告商发出广告招标,聚屏提供商向广告商提供上述 VC 竞标,广告商验证 VC 的有效性后,配合其他指标,确认聚屏提供商中标
116、,并签发广告播放授权 VC,同时向聚屏提供商提供播放广告的内容、数量、时间等信息;聚屏提供商在聚屏投放过程中,SDK 会将相应的播放内容、播放时间、次数等信息上链,上链信息由每个聚屏自己的 DID 进行签名;投放验收阶段,聚屏提供商向监管部门提供授权播放凭证和链上数据,监管部门通过核验数据为聚屏提供商签发广告播放合规凭证,向广告商证明广告已按要求投放。图 34 百度聚屏广告系统 第八章 未来展望 86 第八章 未来展望 8.1 有待解决的问题 分布式数字身份技术目前虽然已经取得了很大的进步,但仍面临不少问题,主要有以下几个方面。一是相关技术尚未完全成熟。例如,在技术路线选择上,是采用公链还是联
117、盟链,又或者是非区块链的技术仍存争议;在身份验证实现上,还没有形成一套成熟且行之有效的验证工具;在密码学和隐私保护上,从理论到实现较为复杂,性能和容量仍须提升。此外,DID 网络所依赖的 PKI 证书体系,仍需要大量的配套设备如 DNS、CA 服务器等软硬件上的改造支持。二是行业应用场景有待验证和普及。从上述章节可以看到,目前分布式数字身份在供应链金融、保险理赔、电子档案、智慧城市等领域已有应用案例,但应用场景目前总体仍处于初步探索阶段,大部分案例以实验性验证为主。未来发展分布式数字身份体系,一方面需要不断宣传普及概念,提高广大用户的认知度,另一方面应逐步探索和具体业务场景的结合,在应用中不断
118、优化完善。三是标准和相关法律法规有待建设。目前,技术规范已金融分布式数字身份技术研究报告 87 经初步成型,但各类身份服务之间需要进一步地实现互联互通,并不断扩充和发展标准在各行业和领域的覆盖范围,且随着场景应用不断修改和完善,同时具备兼容性。此外,利用大数据对用户行为进行追溯,其中涉及诸多法律问题,尚缺乏对应的法律法规,这也是分布式数字身份未来亟须解决的问题。8.2 发展趋势展望 分布式数字身份技术目前还处在发展的初级阶段,但随着人们对于数据产权的重视,数据平权(互联网服务商和用户应该拥有平等的权利)的意识已在慢慢觉醒,相关诉求也会越来越多,这些都会进一步推动分布式数字身份的发展,更加清晰地
119、反映出互联网社会的真实需求。分布式数字身份技术的目标是实现数字世界自主权可控的身份,主要有三点目标。一是安全性,避免用户身份信息被有意或者无意地披露;二是自主控制,身份所有者可以自主控制是否授权他人访问其身份信息;三是可移植性,用户能够在任何需要的地方使用他们的身份数据。随着数字经济的发展,分布式数字身份认证可以更好的帮助用户和机构进行 KYC 和监管,促进跨部门、跨地域的身份认证和数据合作。分布式数字身份技术是分布式商业的前提和基础,是各第八章 未来展望 88 行各业数字化转型的助推器。随着联盟链、跨链技术、区块链应用的蓬勃发展,分布式数字身份技术可以形成可信安全的身份信息互通体系,促进整个
120、区块链生态的建设与发展。最终,分布式数字身份认证技术将会促进不同产业之间、金融与产业之间的深度融合,进一步加速分布式商业模式的到来。金融分布式数字身份技术研究报告 89 附录:参考文献 1.中国人民银行数字货币研究所,分布式数字身份技术体系研究与应用报告 2.中国人民银行数字货币研究所,基于区块链技术的金融隐私保护解决方案 3.中国信通院-区块链白皮书,http:/ (2019)4.2020 年中国公司创业投资(CVC)发展研究报告,清科研究,https:/ Ak1g(2020)9.李嶒,一种去中心化的身份认证模型的设计与实现,辽东学院学报(自然科学版)2020 年 01 期 10.顾嘉伟,王
121、胜清,赵丹群,陈文广,公共文化数字资源云服务的一种中心化身份认证模式,现代图书情报技术,2015,31(2):64-71.11.翁启,一种基于区块链的数字身份认证方案.西安电子科技大学(2019)12.W3C CCG.Decentralized Identifiers(DIDs)v1.0 Data Model and Syntaxes for Decentralized Identifiers.https:/www.w3.org/TR/did-core/(2020)13.W3C CCG.Verifiable Credentials Data Model 1.0-Expressing verif
122、iable information on the Web.(W3C Credentials Community Group).https:/https:/www.w3.org/TR/vc-data-model/(2020)14.Decentralized Identity Foundation.Self-Issued OpenID Connect Provider DID Profile.https:/identity.foundation/did-siop/(2019)15.Hardman D,Curren S,Buchner D.Rhythm and Melody:How Hubs and
123、 Agents Rock 附录:参考文献 90 Together.https:/www.hyperledger.org/blog/2019/07/23/rhythm-and-melody-how-hubs-and-agents-rock-together(2019)16.Sabadello M.A universal resolver for self-sovereign identifiers.(Medium-Decentralized Identity Foundation),https:/ Identity Foundation.DIF Identity Hubs,https:/ M,D
124、en Hartog K,Lundkvist C,Franz C,Elias A,Hughes A,Jordan J,Zagidulin D.Introduction to DID Auth.Rebooting the Web of Trust VI.https:/nbviewer.jupyter.org/github/WebOfTrustInfo/rebooting-the-web-of-trustspring2018/blob/master/final-documents/did-auth.pdf(2018)19.W3C Recommendation.Web Authentication:A
125、n API for accessing Public Key Credentials Level 1.https:/www.w3.org/TR/webauthn/(2019)20.Barker E,Smid M,Branstad D,Chokhani S(2013)A Framework for Designing Cryptographic Key Management Systems.(National Institute of Standards and Technology,Gaithersburg,MD),NIST Special Publication(SP)800-130.htt
126、ps:/doi.org/10.6028/NIST.SP.800-130(2013)21.Sovrin(2019)Sovrin,https:/sovrin.org 22.Guy A,Lamers D,Looker T,Sporny M,Zagidulin D,Bluhm D,Hamilton Duffy K.Encrypted Data Vaults.Rebooting the Web of Trust IX.https:/ Aries Proposal,https:/wiki.hyperledger.org/display/HYP/Hyperledger+Aries+Proposal(2019
127、)24.Terbu O.The Self-sovereign Identity Stack.(Medium-Decentralized Identity Foundation),https:/ S.SecureKey Technologies to explore interoperability between Verified.Me and Hyperledger Indy.(SecureKey),https:/ Proofs.https:/zkp.science(2019)27.MicroSoft.Decentralized Identity Own and control your identity.https:/ 金融分布式数字身份技术研究报告 91(2019)29.Civic.CivicTokenSaleWhitePaper.https:/ WhitePaper.pdf(2019)30.ShoCard.Blockchain Architects:Avoid the Fatal Mistake of Choosing One.https:/