柚木

印章,微信与区块链

本文作者:陈浩,元界CTO,Metaverse元界开源项目的创始人之一。

元界是一个基于公有区块链技术开发的去中心化平台,致力于提供基于资产登记、数字资产交换、数字身份、价值中介的去中心化服务,创建智能资产价值网络。

元界官网:The New Reality Blockchain Project

Abstract:本文讨论分析了身份的概念与以及探讨了数字身份的一些特性。

石器时代——实物身份

在古时代,人们验证身份凭借印章,如玉玺象征皇权,兵符象征兵权。

上至皇帝,下至百姓,都使用印章来验证身份,并在出示印章(验证真伪)时,进行授权(发起事件),这事儿经过了两千年,依然如此,办理各种证件须有盖章,注册公司需要盖章,没有印章的发票肯定无法报销,由此可见,印章在、人类信证发展历史中扮演着主角。

青铜时代——电子化身份

不过,现在好点儿了,我们有了身份证。身份证这种东西在中国是神器,有了它,可以在全国各地畅通无阻,只要出示身份证,就能证明你是中国合法公民,依法享有公民权利。并且比印章高级的地方是,这玩意小巧方便携带,而且还能“滴”一下,将有限的信息注入互联网进行验证并且授权。

但是身份证有三个弊端,

  1. 一是丢失风险:这种基于实体物的证明,存在被盗、易丢失的风险;全国人口基数庞大,身份证的制作、更换都是一个漫长的消耗过程。也因为其使用的便利性,没有身份证,也会让你寸步难行:没法坐火车,没法找工作,甚至没法去酒店滚床单(大误。。。),也容易被捡到的人非法利用。

  2. 二是授权方式有限,授权这个动作是有时效性的,可以是一小时、一个月、一年、甚至永久。可当你掏出身份证进行授权(常见是复印件)时,并没有规定你的身份信息在此事件中的有效时长,所以在身份证复印件上,经常需要手写“仅用于xxx,有效期xx”。

  3. 三是无法大规模网络验证:目前在很多金融验证的场合,进行KYC/AML时都要求拍照或视频认证,要求手持身份证。这其实也是实体物的弊端,我们将身份这种信息注入“印章”,却要靠人和“印章”一起拍照才能确定身份的有效性,且接入公安系统还有高昂的成本。有没有感觉这种方式弱到爆?

就产品设计来说,设计依然很原始,保留了大部分印章时代的气息。所以,我们进入互联网时代以后,有了新的身份证明方式。

铁器时代——信息化身份

在互联网时代,我经常与其他人提起,目前全世界最接近数字身份概念的只有两个产品——国内的微信,国外的脸书。这里我说的不是社交,而是以社交为基础的,所展现的强大的信息化身份证明的能力。

我在“石器时代”“青铜时代”就提到了身份的两个核心功能:验证与授权。

验证:

我们看看微信是如何做到身份验证的?

微信遵循了互联网的传统账户设计,有帐号和密码,那么:

a. 忘记微信号时如何处理:

1)联系好友查看微信号 3)申诉方式找回微信号 我们看到1和3是非常常见的找回方式,1和3同时表达了同众设计理念:利用你自己创造的历史事实来验证你的身份,你需要提供这些历史事实的细节。

这基本可以确定你身份的真实性,但是依然有“被假冒的风险”(互联网操蛋的隐私性)。

所以我们需要:

b. 忘记密码时如何处理:通过手机号找回/通过邮箱找回/通过注册QQ号找回

这与a中不同的时,利用了一个比较立体的方式,来确定你的身份:利用其他比较可信的工具,相互证明你是你,但这也属于“历史事实”的一部分,但与这部分不同的是,它可以重复使用,拒绝了“被假冒的风险”(互联网的隐私性)。

授权:

那么微信是如何授权的呢,既然来到了互联网,那么就要从互联网应用说起。

在移动互联网早期时,很多应用是需要注册一个新的账户才能使用,我们使用了N个应用,基本上需要N个帐号密码。

随着时间推移,移动互联网的寡头应用已经产生,微信作为代表成为了一个标准的互联网身份平台,注册新的应用不需要注册新账户,只需要从微信授权即可。

相信微信授权其他应用,大家应该都不陌生,多多少少都操作过几次。

我们通过分析会发现,支付宝在金融领域也有类似功能,其他也比较代表性的应用也有类似功能。

这是一个新的普适模式,可称之为信息化身份模式。

这种信息化身份有如下局限性:

  • 隐私不够安全

互联网隐私的问题,相信我不用说明,问题是如何解决?

很遗憾的目前并没有特别好的解决方案,这取决于自我保护意识,以及供应商的节操。

  • 数据所有权不明

我在这个回答里提到了数据所有权的问题:使用区块链(blockchain)实现的网络服务是怎样的架构,比起传统服务器/数据库架构有何优势? - 知乎

那么你来考虑,你今天发布的美食照片,在哪里消费了多少钱,这个数据不应当完全是服务商所有,这是你自己的数据,他们提供了服务,就理所当然的占有了你的数据,甚至可以毫无底线地出卖你的数据。
如果服务商想利用你的(隐私)数据产生商业价值,应该获得你的授权,不是吗?

  • 授权方式不够多样化

授权目前不支持比较智能的方式,智能的授权方式应该能提供一些比较基础的策略,使得用户能利用这些策略来构建自己的应用。

普通话:我有一套常用的授权策略,针对我信任的APP,我会长期授权,并且可访问我绝大部分私有数据,针对半信任APP,我会短期授权,只能访问我的公开数据。这些策略可以组合,比方授权到期后,用户能否根据授权情况从供应商处获得相应收益?

我的完整私有数据,只有我自己拥有(含签名和托管数据),所有的APP访问必须通过我的授权。

所以,我们急需进入数字(智能)身份时代。

文明时代——数字身份时代

如果要给身份下一个定义,我会这么定义:身份,是作为个体或机构在时间序列上发生的一切事件集合的统称,该集合具有可被验证、可被授权两大核心功能

基于这两大核心功能,利用区块链技术,我们能够构建一个完全自治的身份系统,因为区块链所依赖的加密技术,为数字身份提供了非常好的基础结构,目前正在发展的零知识证明,完全匿名交易也为数字身份提供了更好的隐私和商业化应用场景,我们完全可以构建一个 The Ledger of Your Life,一种新型的去中心化数字身份。

验证

如何在区块链上验证你的身份?

假设我们存在一个公有区块链,绝大多数与身份相关的活动均以存证的形式存储到区块链,当第三方需要验证你的身份时,你只需要出示签名即可。

但这不足以满足具体的应用场景,还是太原始了。

我怎么知道这笔交易确实是你签署的?我怎么知道你的身份是否可被信任?

作为你,你怎么知道我有节操,不会泄漏此次授权的数据?

作为区块链系统,怎么确保在全网可见的情况下,私有数据仅被授权方可见?

以上问题都亟待解决。

信用

我们验证了某人的身份以后,其实并不是为了验证身份,而是为了在更多的场合查询这个身份背后的信用。即某人的历史事件的集合是否对我有利,以便我判断是否能够提供服务。“芝麻信用”等互联网产品均属此类,属于身份的衍生应用,也是最常见的最基础应用。

那么如果我们能将区块链上发生的历史事件,提取出有效信息,供Oracle(价值中介)查询,以进行认证,这样将是一个行之有效的方案。

在Metaverse(元界,国内第一条公有区块链)上,我们称这种方式为链上证明。

同样地,我们还有链下证明,即由用户导入至链上的数据,被Oracle验证并签名的过程,称之为链下导入证明。

在元界上,还将为用户提供一个身份评价系统,提供完全基于用户的不可被干扰的自治评价体系。

授权

区块链天生就可以做授权,它基于非对称加密的账户体系,且具备HD功能,同时具备多方签名功能,进一步还可以使用区块链智能合约开发更复杂的授权逻辑。

这简直就是为授权而生的系统——自带服务,自带金融属性。

那么如何利用区块链把身份授权功能做好呢?我们面临三个挑战。

三个挑战

1. 数字身份在区块链上的隐私性问题

数字身份应当具备高度隐私的选项,仅对我完全信任的第三方开放,且所有访问需要经过我的授权(或多方授权)。

2. 数字身份在授权过程中避免信息泄漏

随着时间推移,我授权的次数足够多,通过社会工程学,对我的私有数据进行Profile(画像)也不是不可能。

尤其是商业领域,在全网可见的情况下,必须保证授权过程是私密的,且具备零知识证明过程的,即被授权方只能拿到被授权的结果,并不能进行原始数据反推。

3. 身份的多面性以及身份的演化如何在区块链上体现?

儿时你是学生,同时也是少先队员,成人了你是工程师,同时也是某个孩子的家长。

这系列身份的变换和多面性,在系统的设计上提出了挑战。

元界作为底层,将对所有的CASE进行抽象提取,将所有的功能抽象化形成简单智能合约,

具体的身份数据以及关联性,仍然由应用层去把控,政府、医疗机构、互联网企业均可以享受由公有链带来的数字身份的便利性。

以上,谢谢