分布式身份在金融领域的应用
作者:黄硕(中原银行业务创新条线CTO)
一、产业互联网的趋势
随着今年推行的新发展格局,产业互联网,以及近年提出的新基建等热词。各个行业将自己的生产和商业活动数字化,搬到线上的趋势势不可挡。未来的10年的互联网字数创新很大程度会发生在电商、零售、社交、互动以外的实体行业,例如制造业、贸易、政务、物流等行业。在2021-2025这5年,会有大量的实体经济实现数字化、线上化和数智化。外加上5G技术、万物互联的加持,到2030年,全中国社会超过60%的营商活动的数据都会上云。
近期,又有很多新技术的推进可以极大的加速产业互联网的发展。
1.万物计算
ARM芯片设计公司于2020年开始推进塑料制芯片的研发【2】。以往的芯片需要用硅作为原材料,该类芯片的设计与生产的门槛高、制造设备与生产过程的成本极高,只有当到达到百万片甚至亿级的生产规模才能把芯片的成本降低到消费级市场可以接受的,例如7nm的新品的设计成本就高到20亿美元,单个新品达到百万级的生产成本也在每片100美元以上。塑料制程的芯片的原材料和制程的复杂度都远低于基于硅的芯片。最终的生产成本,IoT芯片可以降到几元钱甚至几毛钱,用不那么精密的制造技术满足更定制化的边缘计算需求。真正做到万物互联。可能5-10年后,连一个水杯上都可以有一个计算和通信芯片。
2.万物互联
近期又有很多新的网络技术在商业领域得到了应用,这包括了软件与硬件。随着5G的发展进入成熟期,终端之间的通信延时降低到毫秒级。新的10G、25G级别的网络设备、10G级别的Wifi技术的逐渐走入普及。除此之外,新的网络协议走进互联网应用、网络通信设备。例如由IPv6, UDP协议主导的Aeron、HTTP3(QUIC),以及更先进的应用层通信协议RSocket等,网络的吞吐量和信息互换规模与速度将会达到新的高度。
3.新生云技术
云化以及云原生技术的普及,如虚拟化技术、基于epbf的高阶容器服务网格、流量的治理和编排技术更加普及,业务应用迭代的速度1年会是过去10年互联网发展史的总和。当企业的大部分业务都中台化,去耦合,做到良好的抽象之后可以通过Serverless,甚至前后端全栈Serverless来节约研发成本以及服务器的使用成本。甚至通过低代码来更进一步提升研发的速度,降低成本。
4.业务的创新与标准化
随着更多的行业进行了充分的数字化转型,更多的产业互联网应运而生并且得到充分的迭代。会有各个行业的新龙头、新标准化的解决方案、新的行业级标准迸发出来。
5.数智化
随着产业互联网的成熟,各个不同行业的营商数据会聚集上云。届时,通过大数据、运筹、机器学习、深度学习等算法提供的智能化、无人工干预的智能决策方案势必会百花齐放,并且对各行业的降本增效起到关键作用。越来越多以前需要人工审核、决策的重复性工作会被算法替代。也因此会诞生出更多贴合用户需求、贴合实际生产与营商环境的非标准化解决方案。让C2X,B2X的成本更低,效果更好。
这个十年是前所未有的数智化向前“大迈进”的10年,在这个过程中数据的相互信任,打破数据孤岛就是一个亟待解决的问题。分布式身份就是一个国际的行业级解决方案用来解决万物互联之后所有物体在数字世界被唯一追溯与识别的问题。并且通过去中心化的方式管控、鉴别、存储分布式身份,可以让服务的使用方掌管自己的个人、权证等信息,方便更细粒度的管控谁可以使用、查看、校验这些信息。更加契合我国推进更好的个人信息隐私保护的愿景【3】。
二、分布式身份简述
分布式身份DID标识符(Decentralized Identifiers)【1】是W3C分布式身份工作组制定的分布式身份标识的存储、验真标准。该标准并不约束分布式身份存储的方式、媒介、加密的算法以及所提供的数据读取、创建、验真、鉴别等操作的技术与提供方式。DID标准定义的是一套基于JSON LD【4】定义的分布式身份内容以及以
did:<method>:<id>
做为通用标识符定义分布式身份的标准。其中分布式身份标识符是一个全球唯一的标识符,且可以去中心化的生产,存储与验真。
1.应用场景
传统的CFCA ukey或银行可以用来标识一个企业或个体,其颁发与验真通常是中心化的。而DID可以被用于标识人、企业、物品、单据、护照、证件、纳税识别号等任何需要唯一标识的物体。每个物体都可以被去中心化的创建、识别与管控,也可做到唯一标识,不穷尽。
W3C举例的应用场景就包括了学历证书的创建与鉴别、护照的创建与鉴别、优惠券的创建与核销,医疗服务过程中患者、药品以及病例的管控等。
2.基础概念
简要架构
整体架构
DID 标识符
did:<method>:<id>
其中did是必填项,method是一套业务或平台特殊的执行标准,也可以近似等同于一套命名空间,method定义了关于一套DID的实现包括创建、管理、里面的文档规范、鉴权验真等操作。id则是在这个method空间内的一个唯一的id。这个标识符代表一个坐标,也可以等同于一个URI用来唯一标识一个被标识的对象。
{
"id": "did:zybank:123456789abcdefghijk"
}
DID Subject
分布式身份标识符的标记对象,这个对象就是被标识符标记的人、物、组织等。
DID URL
基于DID的标识符号,用户可以执行类似URL path,query和访问fragment等操作来调用DID所支持的一些能力。
did:zybank:123456/path
did:zybank:123456?versionId=1
did:zybank:123#agent
DID Controller
DID的实控对象,人或组织或可以决策的对象可以决定访问DID或鉴权DID的使用方,是否开放给该使用方使用。
{
"@context": "https://www.w3.org/ns/did/v1",
"id": "did:zybank:123456789abcdefghi",
"controller": "did:zybank:bcehfew7h32f32h7af3",
}
DID Document
描述DID的文档,对于个人可以是证件,个人信息,学历等,对于企业可以是营业执照,法人信息等
Verifiable Data Registry
这个是加密的DID存储,可以是去中心化的,例如区块链。
DID Method
操作DID数据的方法,增删查改、验真、鉴权等。
DID Resolver
基于一个DID标识,求解出对应的对象。
DID Dereferencer
基于DID的URL来查找对应的资源。
DID Verification Method
DID的验证方法定义。
{
"@context": [
"https://www.w3.org/ns/did/v1",
"https://w3id.org/security/suites/jws-2020/v1"
"https://w3id.org/security/suites/ed25519-2020/v1"
]
"id": "did:example:123456789abcdefghi",
...
"verificationMethod": [{
"id": ...,
"type": ...,
"controller": ...,
"publicKeyJwk": ...
}, {
"id": ...,
"type": ...,
"controller": ...,
"publicKeyMultibase": ...
}]
}
DID Authentication
DID的访问鉴权,定义了只有特定的controller才能操作当前DID。
{
"@context": [
"https://www.w3.org/ns/did/v1",
"https://w3id.org/security/suites/ed25519-2020/v1"
],
"id": "did:example:123456789abcdefghi",
...
"authentication": [
// this method can be used to authenticate as did:...fghi
"did:example:123456789abcdefghi#keys-1",
// this method is *only* approved for authentication, it may not
// be used for any other proof purpose, so its full description is
// embedded here rather than using only a reference
{
"id": "did:example:123456789abcdefghi#keys-2",
"type": "Ed25519VerificationKey2020",
"controller": "did:example:123456789abcdefghi",
"publicKeyMultibase": "zH3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}
],
...
}
DID Assertion
DID断言,用来定义DID的生命,例如一个人是某学校的博士学位,需要断言验证是否有学位证。
{
"@context": [
"https://www.w3.org/ns/did/v1",
"https://w3id.org/security/suites/ed25519-2020/v1"
],
"id": "did:example:123456789abcdefghi",
...
"assertionMethod": [
// this method can be used to assert statements as did:...fghi
"did:example:123456789abcdefghi#keys-1",
// this method is *only* approved for assertion of statements, it is not
// used for any other verification relationship, so its full description is
// embedded here rather than using a reference
{
"id": "did:example:123456789abcdefghi#keys-2",
"type": "Ed25519VerificationKey2020", // external (property value)
"controller": "did:example:123456789abcdefghi",
"publicKeyMultibase": "zH3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}
],
...
}
DID Capability Invocation
DID验证是需要调用的能力,可以是HTTP接口。
{
"@context": [
"https://www.w3.org/ns/did/v1",
"https://w3id.org/security/suites/ed25519-2020/v1"
],
"id": "did:example:123456789abcdefghi",
...
"capabilityInvocation": [
// this method can be used to invoke capabilities as did:...fghi
"did:example:123456789abcdefghi#keys-1",
// this method is *only* approved for capability invocation usage, it will not
// be used for any other verification relationship, so its full description is
// embedded here rather than using only a reference
{
"id": "did:example:123456789abcdefghi#keys-2",
"type": "Ed25519VerificationKey2020", // external (property value)
"controller": "did:example:123456789abcdefghi",
"publicKeyMultibase": "zH3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}
],
...
}
DID Capability Delegation
DID调用能力的代理,可以代理给其他的参与方,其他的DID,例如验证1个粮仓粮食的能力代理给一个三方公司,三方公司也提供了DID的验证方法。
{
"@context": [
"https://www.w3.org/ns/did/v1",
"https://w3id.org/security/suites/ed25519-2020/v1"
],
"id": "did:example:123456789abcdefghi",
...
"capabilityDelegation": [
// this method can be used to perform capability delegation as did:...fghi
"did:example:123456789abcdefghi#keys-1",
// this method is *only* approved for granting capabilities; it will not
// be used for any other verification relationship, so its full description is
// embedded here rather than using only a reference
{
"id": "did:example:123456789abcdefghi#keys-2",
"type": "Ed25519VerificationKey2020", // external (property value)
"controller": "did:example:123456789abcdefghi",
"publicKeyMultibase": "zH3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}
],
...
}
DID 服务
可以被调用的发现,鉴权,验真,交互的DID服务。
{
"service": [{
"id":"did:example:123#linked-domain",
"type": "LinkedDomains", // external (property value)
"serviceEndpoint": "https://bar.example.com"
}]
}
DID不光是描述了怎么去定义被标识物体的坐标同时也定义了,同时也清晰的定义了谁可以决定这个信息可以被使用、被验证等,同时也可以作为服务的发现,定义各类使用、更改、验真的能力。同时这些定义都可以被身份的持有方掌控,授权。可以说是非常强大。
三、分布式身份在金融领域的应用
1.全线上KYC
以往的KYC环节传统的是放在线下来收集个人和企业信息的。线上也是通过拍照采集并且每次使用都需要采集。如果刚好客户的证件不在手边上,业务办理就会延迟或者丢掉客户。因此可以通过一定的技术设施建设,让用户主动录入自己的证照,通过验证后自动生成DID,然后储存在用户自有的存储媒介中,或云服务商提供的存储服务中。当任何机构需要使用,鉴别用户或组织的身份时可以直接发起用户授权,并获得该信息。该流程可以全线上,无人干预,并且可以极大程度的保护用户的证照与个人隐私。以往需要人工采集的各种证照需要按周级别,可以变成每小时就能处理几千次KYC。
2.供应链金融
企业营商往往都会有上下游企业作为客户或供应商。供应链上下游的交易过程中往往涉及到多个组织的多个不同角色的人会经手不同的货品、仓库、车辆和各式各样的单据。通过分布式身份可以将这个过程中所有的人、组织、仓库、物、单据都进行身份的全球唯一识别并且进行追溯。尤其是一笔或一批供应链上下游和涉及的相关企业都可以给自己的员工,操作员,设备,货物进行唯一标识校验。
并且分布式身份的验真和数据可以被人或设备进行读取,验真从而一定程度的实现DAO(Decenturalized Autonomous Organization),即贸易营商活动大部分的流程都通过区块链上的智能合约执行,所有交易过程中的数据都被及时记录,不可篡改。所有的重要货品,操作记录,操作的人,设备与组织都可以被唯一的追溯。让交易信息对贸易的各方,尤其是金融参与方完全可见、透明。如下图,是分布式身份同一份去中心化数据被解答成不同格式的信息,被不同的自动化服务,人员进行验真和审核。
四、总结
分布式身份可以将复杂的商贸环节中的所有物件都进行全球唯一的追溯与标识,并且可以做到细粒度访问控制,访问的管控权都交给这些物件的所有方。各个业务实体各自维护自己的分布式身份与鉴权的智能合约与权限。真正做到了去中心化,全线上化,免人工干预和可信。是产业互联网,产业互联网与金融充分挖掘数据价值,降本提效的必要关键技术。
五、引用
- 分布式身份 Decentralized Identifiers (DIDs) v1.0 (w3.org)
- 塑料芯片 PlasticArm: Get Your Next CPU, Made Without Silicon (anandtech.com)
- 个人信息保护法 中华人民共和国个人信息保护法_中国人大网 (npc.gov.cn)
- JSON-LD - JSON for Linking Data