作者:中國工商銀行金融科技研究院區塊鏈研究團隊
隨著網路的出現與普及,數位身分已逐漸融入我們的日常生活,傳統的身分(如身分證或戶口本等實物證件)也逐漸被數位身分所取代。目前我們使用的數位身分以中心化的數位身分為主,由單一服務平台提供身分識別資訊管理和身分認證服務,使用者需要在不同服務平台重複提交原始的證明資料註冊不同帳號來進行身分認證。同時,服務平台可以根據協議單方面停用或註銷用戶帳號,甚至將帳號回收後重新分配給其他用戶,如果這些帳號(如手機號和郵箱等)又關聯了用戶其他帳號,透過簡訊驗證碼登錄或重設密碼,將有冒用他人帳號和偷看他人資訊的風險。此外,各服務平台存有大量使用者的身分數據,由於管理程度參差不齊,導致資料外洩的案件時有發生。為了解決上述問題,結合以區塊鏈為代表的去中心化分散式帳本技術,業界提出了去中心化數位身分的解決方案。本文將簡要介紹去中心化數位身分技術的原理,並展望其在金融業的應用前景。
一、什麼是去中心化數位身份
數位身分是實體(包括人、裝置、應用程式等)身分在網路空間的映射,是實體身分的數位化表現形式。數位身分主要由數位身分識別識別屬性構成,其中數位身分識別識別碼可類比實體身分的身分證號,身分屬性則可類比與實體身分相關的一切數位訊息,如性別、年齡、家庭住址、個人嗜好等。傳統數位身份是中心化的數位身份,由單一應用服務平台提供和管理,身份的使用局限於單一平台。
去中心化數位身分(Decentralized Identity,DID)又稱為分散式數位身分或基於區塊鏈的數位身份,是一種透過分散式帳本技術使其具備去中心化技術特性的新型數位身分。 DID可以讓使用者擁有和控制自己的數位身份,而不是依賴某個中心化的服務提供者。
與傳統的中心化數位身分相比,DID在控制權、隱私權保護、互通性、安全性和管理成本等方面存在優勢。在控制權方面,使用者可以決定如何儲存和使用自己的身份數據,不需要依賴第三方機構。在隱私保護方面,只有經過用戶授權才能存取和使用用戶的身份信息,減少了用戶資訊被濫用和洩露的風險。在互通性方面,遵循統一開放的規範協議,可以跨平台、跨機構和跨場景共享和使用經過用戶授權的身份數據,不需要用戶在不同平台和應用之間重複註冊不同帳號。在安全性方面,用戶的身份資料透過分散式帳本(如區塊鏈)進行發布和驗證,降低了被篡改和濫用的風險。在管理成本方面,使用者的身分資料可以由使用者自主管理,企業不需要投入大量資源來儲存和保管使用者身分資料。
二、去中心化數位身分技術
近年來業界圍繞DID制定了一系列技術標準和協議,其中W3C(萬維網聯盟)的DID規範和協議被廣泛認可和應用,業界DID產品基本上都遵循該規範協議。在W3C的規格中,DID的組成主要包括分散式識別、可驗證憑證和分散式帳本(如圖1所示)。
圖1 去中心化數位身分的組成
分散式身分識別(DID標識)是一個特定格式的字串(格式為:did:example:123456789abcdefghi),可以用來代表任一個實體,全網唯一。 DID標識採用公私鑰機制,透過私鑰簽章和公鑰驗證來實現身分認證。每個DID標識會綁定一個DID文檔,用於記錄該DID標識的相關信息,其中包括最關鍵的公鑰信息。公鑰會隨DID文件發佈到分散式帳本上全網公開,私鑰則由實體自行保管,從而實現了一種去中心化的數位身分驗證方式。
可驗證憑證(Verifiable Credential),類似我們日常生活中的各種證明資料(如出生證明、收入證明等),一般由可信賴的權威機構所頒發。可驗證憑證除了包含發行者對指定使用者提出的聲明資訊(如醫院所發出的出生證明,包含持證人的出生時間、地點以及父母等資訊)外,還附有使用了發行者的DID標識私鑰所產生的數位簽章資訊。由於該私鑰由發行者保管和使用,其他人無法偽造,同時其他用戶可以使用公鑰進行快速驗證,包括驗證該憑證是否由可信的權威機構頒發,憑證內容是否有被篡改,確保憑證的可信度和權威性。
分散式帳本是一種基於點對點的網路的資料庫,去中心化特性是其核心特徵之一,所有交易都需要經過共識機制進行驗證,以確保所有參與者的帳本記錄一致。透過使用分散式帳本註冊和維護DID標識,儲存和公佈DID文檔,即使沒有權威的中心化CA(認證機構),也能實現DID標識全網唯一,每個實體都能擁有一個(或多個)獨一無二的身份識別。此外,所有使用者都可以透過分散式帳本取得DID標識公鑰,對使用者提供的數位簽章和憑證進行驗證。
三、去中心化數位身分的工作流程
W3C規格也提出了可驗證憑證流轉的參考模型,該模型由身分持有者、憑證發行者、憑證驗證者和可驗證資料註冊中心組成(如圖2所示)。
圖2 可驗證憑證流轉模型
身分持有者是一個實體,擁有一個或多個DID標識和可驗證憑證;憑證發行者也是一個實體,同樣擁有一個或多個DID標識,具有一定權威性,如政府部門、金融機構等,可以基於某個實體的聲明頒發可驗證憑證,然後將憑證提供給身分持有者自行保管;憑證驗證者一般為服務提供方,透過接收身分持有者提供的一個或多個可驗證憑證,對其身分進行確認,為符合條件的用戶提供服務;可驗證資料註冊中心用於註冊和維護DID標識,採用分散式帳本(如區塊鏈等)儲存和公佈DID文件。
可驗證憑證流轉模型的工作流程主要包括註冊身分、請求憑證、頒發憑證、保存憑證、出示憑證和驗證憑證六個環節。
註冊身分
身分持有者、憑證發行者和憑證驗證者需要先在可驗證資料註冊中心上註冊DID標識,以獲得一個全網唯一的數位身分標識。註冊身分的操作可以由使用者自主完成,透過密碼學演算法產生一對公私鑰,私鑰由使用者自行保管,公鑰則作為DID文件的一部分登記到可驗證資料註冊中心,並對全網所有使用者公開。
請求憑證
前文提到“數字身份主要由數字身份標識和身份屬性構成”,透過身份註冊,用戶已經獲得了一個全網唯一的數字身份標識,而身份屬性還需要通過可驗證憑證來實現。所有實體都能頒發可驗證憑證,但服務提供者只接受他們信任和認可的服務機構所頒發的可驗證憑證。因此,使用者需要選擇一個大家信任和認可的服務機構,作為憑證發行者為自己頒發後續可用於證明自己身分和權益的數位憑證。
頒發憑證
憑證發行者先對使用者提供的身份資訊進行核驗,核驗通過後頒發其所需的數位憑證給用戶。由於憑證中帶有憑證發行者DID標識私鑰產生的數位簽名,可以為憑證中的聲明內容進行背書,使用者可以透過出示憑證來證明自己的身分和權益。
保存憑證
憑證發行者發給使用者憑證後,使用者作為身分持有者對帶有自己的身分屬性資訊的數位憑證擁有自主控制權,可以選擇安全和便捷的保存方式,如保存在本地或其他儲存設備中,以備後續在需要時出示和使用。
出示憑證
服務提供者在向使用者提供服務前,需要作為憑證驗證者對使用者的身分和權益進行確認,需要使用者提供能證明其身分和權益的相應憑證。使用者作為身分持有者從已儲存的憑證清單中選擇符合要求的憑證提供給服務提供者。
驗證憑證
服務提供者作為憑證驗證者接收到使用者提供的一個或多個憑證,可以從憑證中取得到憑證發行者的DID標識,然後從可驗證資料註冊中心取得憑證發行者DID標識的公鑰,再對憑證中的數位簽章進行驗證,可以確認憑證的真偽和內容是否有被竄改。驗證通過後,服務提供者為符合條件的使用者提供相關服務。
總的來說,去中心化數位身分與傳統的中心化數位身分相比,主要區別在於服務提供者對使用者進行身分認證可以無需依賴第三方認證服務機構。使用者保管自己的身分認證資料(私鑰和憑證),需要時再提供給服務提供者。驗證資訊透過分散式帳本儲存和發布,服務提供者可以從可驗證資料註冊中心取得DID標識的公鑰,並對使用者提供的數位簽章和數位憑證進行驗證來確認使用者的身分。
四、去中心化數位身分的應用
去中心化數位身分可以解決使用者在不同平台和機構之間身分認證,資料共享和協作等問題。以下以供應鏈金融、數位資產和資料流通應用為例,說明去中心化數位身分在其中所扮演的角色。
供應鏈金融
供應鏈金融存在的問題主要包括資訊不對稱,以及風險防控和監管程度不足。各類資訊分散在不同的參與者手上,線下流程紙本單據的真實性難以驗證,上下游多級供應商、經銷商無法借助核心企業的信用進行貸款融資,導致中小企業融資困難。去中心化數位身分可以為供應鏈金融提供一種統一的身份認證機制,透過可驗證憑證,參與者可以透過技術手段驗證串流資訊以及單據的真實性和有效性,提高風險防控和監管水平,做到交易可追溯且公開透明,實現核心企業的信用向下游的中小企業傳遞,解決供應鏈中小企業的融資難、融資貴等問題。
數位資產
數位資產存在的問題主要包括數位資產的確權和私有化問題,以及數位資產在源頭的真實性問題。在數位資產領域應用去中心化數位身分技術,主要涉及數位資產交易和所有權驗證。在數位資產交易方面,參與者可以使用去中心化數位身分進行身分驗證,無需依賴第三方機構,有助於提高交易的隱私性和安全性;在所有權驗證方面,數位資產的所有者可以透過可驗證憑證來證明自己對該資產的所有權,並對其進行驗證,有助於防止數位資產的盜用和詐欺行為。
數據流通
資料流通存在的問題主要包括資料共享與流轉複雜,一方面難以界定資料的權屬,另一方面使用者資訊難以充分保護,容易發生隱私外洩。去中心化數位身分在資料流通領域發揮著重要的作用,在資料共享和串流方面,透過使用去中心化數位身分系統,使用者或機構可以授權其他個人或機構存取自己的數據,同時可以控制資料的存取權限和共享範圍,避免資料外洩和濫用。此外,結合可驗證憑證,資料買家可以驗證資料賣家的身份和資料的真實性,避免資料詐欺和假冒行為,促進資料的流通和利用。
去中心化數位身分應用前景廣闊,可以提供更安全、可靠的身分認證和管理方式,降低了維運風險和成本。目前去中心化數位身分尚處於不斷發展和完善的過程中,國內的應用場景主要以試點驗證為主。隨著使用者對個人資訊主權和隱私保護訴求的不斷提高,國內相關法律法規的不斷完善,金融科技的不斷發展和數位化的加速轉型,以及Web3.0和元宇宙等前沿領域創新場景的不斷探索,相信去中心數位身分將會得到越來越廣泛的應用,並將成為建構未來身分認證體係不可或缺的基礎設施,為我們的工作和生活帶來更多便利和安全保障。