精彩回顾|区块链分布式身份技术与实物资产管理

2022-04-26 19:56:08 浏览数 (1)

文章内容源自“Hyperledger超级账本”官方微信公众号

2021年7月31日,全球开源技术峰会(GOTC)“Hyperledger区块链专题论坛”在深圳成功举办,腾讯云区块链资深架构师及分布式身份TDID产品负责人蒋昊先生受邀作为演讲嘉宾发表了“区块链分布式身份技术与实物资产管理”演讲。直播你错过了吗?我们把精华内容整理出来分享给大家,马上带你回顾蒋老师的精彩演讲!

“区块链分布式身份技术与实物资产管理”

腾讯云区块链资深架构师及分布式身份TDID产品负责人蒋昊先生

大家好,非常高兴来到全球开源技术峰会——Hyperledger区块链专题论坛的,希望用30分钟来分享一区块链分布式身份技术和资产管理的思考和应用。

说到身份,可能大家都会有一个想法,马上就会想到身份证,它是政府颁发给每一个居民的,上面有身份的标识和其他身份相关的信息。上面身份的标识就是我们的身份证号、姓名、住址、发证机关和有效期,这些都是凭证上的有效信息。国际标准组织ISO对身份有一个准确的定义,就是一组与某个实体相关联的属性,这个实体就包括了人、企业、物体等。

我们在现实中有非常多的身份,表达为属性(身高、体重)还包括职级、职责,今天走到会场大家都被大会所赋予了一个身份,这个身份是大会作为一个机构来颁发给我们的。

对于我们在生活当中的关系,我们的亲人、朋友以及我们在法律上或者是房产上的经纪人、代理律师等等,这些关系也都是属于围绕我们个人所展开的属性和信息,也都是我们身份的一部分。

从这里面可以看到我们身份本身就是分布式的,由不同的权威机构、不同的人赋予不同场景下的身份,因此从本质上来讲,身份本身就需要分布式的设施来支撑身份体系的建设和身份的流动。

不光是对于人来讲,对于飞机、汽车、甚至一颗螺丝钉都具备一个身份,尤其是在一个工业互联网时代,需要把一个哑设备变成智能设备,把一个物体变成能够联网的有身份的物体时,要做的第一步就是标识它,赋予它不同情况下的属性和数据。

但是可以看到在现实生活中往往难以在网络上表达可信的身份数据,身份凭证。比如说我们的教育资质、医疗健康数据和财务的证明。在这样的信息互联网上,由于原生缺少价值层的协议,导致了我们的各种身份难以当前的信息互联网上表达。

如何利用信息技术在信息互联网上构建价值层,把生活中难以解决的认证、凭证的信任问题拿到互联网上传输,由第三方验证,并且能够做到机器可读?解决这个问题才能在生活中避免由于身份引发的问题,并且能够利用互联网技术提升我们的生产效率。

为了解决这个问题,在2017年、2019年W3C组织成立了两个工作组,这两个工作组分别在2019年和2020年发布了第一个版本的推荐标准,这也为我们现在的分布式身份技术做了一个非常好的开头。

这些国际标准对身份模型的定义,和我们ISO对身份的定义是完全一致的,用DID来构建每一个实体的标识符,用DID Document文档来储存身份的元数据,用DID私钥来对Jason-LD格式的数字凭证进行签名,就可以加密安全,保护隐私和可由第三方进行机器验证的方式在Web上表达现实社会中各种各样的凭证。在区块链、密码学的支持下,这种凭证比物理凭证更加的可信赖。这样的可验证凭证能够实现在线快速传输而能够进行独立地验证其来源归属、持有人权属、凭证完整性权威性等,因此能够远距离地建立信任,这是物理凭证难以实现的。

具体来看一下,这是我们分布式身份具体的展现形式。身份的构成就是这样的构成(图示1),这个身份标识符实际上就是一个URL,类似现在网址,只不过网址是http开头,而分布式身份URL是did开头,后面是腾讯分布式身份的方法标识,后面的一串字符是密码学计算出来的代表身份的字符串,我们可以围绕分布式标识符来进行凭证的颁发和数据的流转。

再来看一下可验证凭证。比如说一块电池的电量是3000mah,它又是手机组成部分,两者都构成了电池相关的属性,这些数据就可以构成电池的凭证。手机作为一个物来讲也有自己的属性,比如说颜色和售价。从这里可以看到这样的标识和凭证构成的模型是如何支持现实社会中万世万物如何进行标识、描述组成、进行互动的。

这是分布式身份生态的架构,最重要的是三个角色,中间是持有人就是个体和实体,我们在区块链上注册分布式身份的标识符,再向身份凭证的发行人比如说今天的大会或者是公司申请,给我颁发这样的凭证来承载个人信息,当然也可以是政府机构。发行人也在区块链帐本上注册DID标识符,通过凭证承载的模式把数据颁发给持有人。

颁发并不是一个目的,只是一个过程,最终是为了使用。今天进入到这个会场,要拿着嘉宾证才能进来,出示加班中的过程就是一个授权过程,需要大会验证才能进场,才能站在这里跟大家做分享。

在验证的时候需要验证了两个事情,一是验证身份标识符,二是需要验证凭证承载的数据完整性和来源,这个过程是你授权的,因为是你出示的。

在分布式身份的体系中可以通过区块链的形式承载身份标识,并关联到身份凭证。这个凭证可以把它存储在各种各样你信任的设备中,比如说手机、电脑,甚至包括可以直接存储到区块链上。这就构成了完整的发行、持有、验证整个生态链的过程。

零零总总说了这么,来看一下分布式身份标识的特点,身份的持有者是通过私钥来掌控身份的标识,这和我们最成功或者说最早的区块链应用比特币是一模一样的。在比特币中,通过区块链的支持在比特币网络上申请一个地址,这个地址是网络账户也是身份的标识。我们掌控了网络地址的私钥和掌控网络身份标识的私钥是一样的,这两者在区块链应用原理上我认为是一脉相承的。

持有者通过身份凭证来持有身份数据,颁发者是各种各样的系统和实体。持有者得到凭证之后在信任的设备上存储数据的凭证,再将它有效地提供验证者。验证者通过分布式帐本,往往是区块链,来进行数据的验证,从颁发到持有和验证都是分布式的状态。

身份数据的颁发者、持有者、验证者都不需要通过中心化的身份平台来进行身份数据的流转和验证,而是通过区块链来完成。不同场景下每一个实体(人、机构、物)都可以拥有多个DID。

比特币区块链应用中每个人可以拥有多个地址,这样可以获得隐私性匿名性,以及在不同场景下与不同的验证方和颁发方构建私密的数据通道。

说到分布式身份的特点,可以从这幅图可以明显地感受到是如何通过分布式身份技术改变过往的模式,原来无论是API还是联盟的模式,很多情况下都需要把各种数据流通的机构之间的系统进行点对点网状式的打通,这就是为什么数据孤岛问题一直存在而难以解决的现实原因。

这种打通方式,实际上如果通过一个机构或者是通过一个公司来实现全生命周期的打通是非常非常困难的。

而通过分布式身份技术这种以实体为中心的模式,模拟了在现实社会中已经有的情况,医疗、银行、金融机构、政府往往是以独立系统形式存在,以个人为中心,为我们的DID颁发他们能够颁发的凭证,我们持有后在信任的存储界上存储,然后再出示给验证方,从而把现实社会中物理凭证的流转过程,通过区块链搬到了线上。我认为这才能真正解决一网通办、跨省通办的障碍,其中最重要的是变革了各层数据打通的模式。

这是腾讯云的分布式身份,是基于云计算和区块链技术的发展,以及欧洲GDPR以及国内的《数据安全法》背景的推动之下,我们去构建了腾讯云的分布式身份,就是我们的TDID。总结起来我们腾讯云TDID的产品有这么几个特点:

  1. 中心化解耦、分布式耦合。它表达的什么意思?在数据流通时不再需要依赖中心机构或者是第三方,而是依托区块链进行分布式身份验证。中心化的业务系统中不需要点对点或者是集中式的耦合,通过分布式网络和分布式共识的机制让数据在系统底层进行流通和验证。系统依然是独立的,中心化解耦了,耦合是通过分布式账本来支撑的。
  2. 分布式ID的自管自控。可以为主体生成符合W3C规范的DID和证明文档,注册行为完全可以由自己发起、注册和控制,只要把私钥控制在自己手里,身份就能够自持自验和机器可读,不同场景下不同ID,保护隐私。
  3. 数字凭证可信可验。是说数字凭证可以加密安全的方式进行第三方验证,在Web上进行表达,能够在线传输和远距离建立信任。
  4. 自主授权最小可用。在调用身份时需要验证ID和凭证时候,需要利用私钥进行授权。授权之后通过选择性揭示和零知识证明等方法,把我们所要展示的数据最小化。比如说我们去到网吧,网吧需要验证我是否成年,可能在现实社会中要出示身份证,但是出示身份证已经暴露了很多的身份数据。身份证上面有身份证号,能从身份证号识别出你是哪里人,多大,上面还包括你的姓名和住址。通过选择性揭示字段,你只需要暴露出生年月就够了。

除此之外,我们的底层目前能支撑三种开源的区块链引擎。一个是长安链,这是国内首个软硬一体、自主可控的区块链技术框架,我们腾讯作为一个核心的力量在参与建设。二个是腾讯系的微众银行主导的FISCO BCOS,当然我们也一定会支持Hyperledger Fabric,这是世界范围内应用得非常广的底层区块链技术之一。

这里细化地讲了腾讯云分布式身份的几个特征,分布式注册,分布式颁/验证等等,可移植和互操作是指只要符合我们TDID以及W3C的规范,我们平台都能提供标准的接口实现跨链跨平台的可操作和移植。

这是根据TDID做出来的,我们依据区块链分布式身份的技术,我们提出了端-链-云-端一体化实体资产管理方案架构,把区块链的能力通过改造模组,以最小化成本的方式把区块链的能力延展到端上,比如说在汽车、飞机、机械制造的机床、电池等等都可以应用。

通过区块链改造的模组连接腾讯云特别是腾讯云的区块链之上,比如腾讯云区块链分布式身份产品,还有我们的TBaaS产品,实现从端到云的连接,到云之后目的还是为了提供服务,服务这端通过微信小程序、SaaS、PaaS 等等来触达用户和对接系统,实现端-链-云-端一体化的资产管理架构。

这是我们的案例,这个案例实际上在不同的场景都讲过,今天讲的是通过端链云端一体化的资产管理框架下做的案例升级。这是在广东佛山做的区块链仓单的系统,我们用了区块链、云直播、电子围栏、AI、IoT等等技术,在新的方式中,通过分布式身份框架的加持,把相关操作的人、系统、物体铭牌、仓单都进行了升级。对于每一个操作人赋予了个人身份DID,操作人通过DID对操作行为日志进行签名,仓管系统进行单据签发,也通过DID来进行承载。物体铭牌的编码改为DID的形式,链上智能地识别货物的标签。仓单就更好理解,它本身就是一种凭证,通过TDID分布式身份技术连接起来,做到不可篡改,易于验证。

除了刚才讲的场景,我们在很多场景都有了探索,包括政务服务方面,国家倡导的一网通办,还特别强调了跨省通办,通过分布式身份技术就很好实现。比如从湖南来到广东,虽然两个系统没有进行连接,如果底层由区块链支撑,在一个联盟中,那么身份的ID和凭证都能够通过底层可信的分布式基础设施得到验证。此外,在数字孪生城市的建设重,用TDID来标识城市部件,标识城市部件关联的建筑等等,相应的属性通过凭证的方式颁发出来,跨系统地进行验证。电子证照就不多讲了,本身电子证照就是凭证的一种形式。

在金融资产方面,可以做到实物资产数字化,我们通过端链云端一体化的架构实现实物资产数字化,包括区块链金融中的应收帐款等等都可以进行表达。供应链金融中涉及到很多企业如何串联起来,用TDID也是很好方式。

医疗方面,通过分布式身份技术标识病患、医生、医院,用凭证来表达电子处方、健康档案。

在教育培训方面,腾讯去年也有一个标杆性的案例就是我们做了一个区块链学分银行,通过分布式身份技术承载。在人的终生学习中会遇到什么机构对你进行培训,会得到什么样的成绩,这很难在一个系统中进行把控。我们通过分布式身份技术来构建终生学习的学分银行,在长期的学习生涯中所获得的培训认证和学分都能够在不同系统的情况下通过区块链进行验证。此外还包括我们的教培和背景调查等等都是我们探索的方向,也希望能够和在座的各位在未来进行更多的探索。

腾讯从2015年开始进行区块链的探索,到现在一直秉承着在产业互联网中通过区块链构建信任的基石,构建信任的网络来连接产业多方的愿景。小到我们这样一个分布式身份的产品来讲,我们也希望通过区块链技术来实现我们产品的愿景,就是数据有权、信任无界。

0 人点赞