证券通证+身份丨如何为证券通证设计身份协议?

图片 3

企业采用许可区块链(Permissioned
blockchain)是一条充满挑战的道路,在复杂的企业业务流程中应用基于去中心化账本的Web3堆栈技术仍然尚未成熟。在企业级区块链平台缺失的模块中,身份作为新一代企业解决方案其重要性被提升到了首位。我们经常面临在被许可的区块链解决方案中启用身份管理功能的挑战。因此,企业区块链解决方案的身份层就显得尤为重要。过去五年里,随着新一代技术的出现,身份管理领域经历了一次复兴,这些技术从复杂的系统,比如CA、Microsoft
Active Directory向更开放的系统过渡,比如Okta、Ping Identity、One
Login等API驱动平台,以及AWS、Azure或Google
Cloud等云平台中的相应堆栈。这些平台将身份的功能从私有系统转移到开放协议,如SAML、OpenID
Connect等。然而,这并不意味着身份管理技术简单易用。恰恰相反,随着身份功能的发展,身份管理解决方案的需求也变得越来越复杂,目前的企业身份管理体系结构领域有以下几个显著特征:·基于中心化的身份提供者:身份管理解决方案通常依赖于中心化身份提供者,这些提供者接收某种形式的用户凭证作为身份通证的输入和输出。·基于身份协议:目前,很大比例的身份管理解决方案利用SAML、OAuth2等协议进行交互。·细分:企业环境中用户身份分布在不同的业务系统或用户目录中。因此,不同的应用程序倾向于与不同形式的身份标识进行交互。在许可区块链中启用身份识别的基本矛盾点将所有这些部分放在一起,我们得到了这样一幅图:企业中的用户身份分布在许多系统中,但是都由中心化身份提供者强制执行。当谈到身份时,我们需要解决当前企业体系结构和区块链技术之间的两个基本矛盾。·共识
vs 认同·中心化 vs 去中心化身份断言(Assertions)1)共识 vs
认同在许可区块链场景中启用身份管理功能不仅是技术挑战,还会与去中心化层的基本原则产生矛盾。区块链技术最大的贡献是,在计算机科学史上,我们第一次有了一个模型,可以信任数学和密码学,而不是依靠中心化的各方。以该原则为基础,区块链体系结构基于共识协议,比如工作量证明(PoW)或权益证明(PoS)进行发展,这些协议依赖于计算来做出决策。在去中心化世界里,由于动态网络可以实现最优的决策过程,因此身份并不是一个基本的构建单元。基于计算的区块链共识模型与企业解决方案形成了鲜明对比。从这个意义上说,在一个已知身份的世界里,共识协议提供的信息非常少。2)中心化
vs
去中心化身份断言身份管理系统的当前体系结构依赖于中心化的网关管理员来创建关于用户身份的断言,将该模型与分布式分类账体系结构协调起来绝非易事。理想情况下,我们需要一个模型,可以让身份断言在链上以加密方式进行编码并分发到相关网络上。在许可区块链中构建去中心化身份模块为了解决上述挑战,有一些技术组件与许可区块链体系结构非常相关。1)Proof-Of-Authority权威证明(PoA)是一种共识机制,由以太坊联合创始人兼前首席技术官Gavin
Wood于2017年提出。这一共识模型充分运用身份的价值,依赖于有限数量的区块验证者,这意味着,被选为区块验证者凭借的不是抵押的加密货币而是个人信誉。因此,权威证明区块链由任意选择的具有可信实体的验证节点保护。在企业级区块链场景中,PoA共识非常重要,因为它可以利用用户和系统的现有身份,而不是依赖于计算难题。目前已有很多许可链PoA共识有几种实现与许可区块链相关,包括奇偶校验和Microsoft
Azure2)去中心化身份协议在去中心化世界中,新兴的去中心化身份领域看起来在身份的方法和标准上都取得了长足的技术进步。为了实现去中心化身份,我们需要对身份进行重新架构,将许多传统的身份动态转移到去中心化网络中。在过去20年里,微软一直是身份管理领域的领导者之一,但即使是他们也意识到区块链运行时需要一个新的身份模型。受DIF的启发,微软最近提出了一种具有前瞻性的体系结构,以支持区块链的去中心化身份。微软架构包括以下组件:·W3C去中心化标识符(DIDs):IDs用户的创建、拥有和控制独立于任何组织或政府。DID是全局惟一标识符,链接到去中心化公钥基础设施(DPKI)元数据,元数据由包含公钥材料、身份验证描述符和服务端点的JSON文档组成。·去中心化系统:DIDs根植于去中心化系统,提供DPKI所需的机制和特性。·DID用户代理:用户代理应用程序帮助创建DID,管理数据和权限,并签名/验证与DID链接的声明。微软将提供一款类似钱包的应用程序,可以作为管理DIDs和相关数据的用户代理。·DIF通用解析器:一种服务器,它使用一组DID驱动程序来为跨系统的DID提供标准查找和解析方法。·DIF身份中心:一个复制的加密个人数据存储网络,由云和边缘实体(如移动电话、个人电脑或智能扬声器)组成,方便身份数据存储和身份交互。·DID认证:DID签署的认证基于标准格式和协议。它们使身份所有者能够生成、呈现和验证声明,这构成了系统用户之间信任的基础。在许可区块链的框架下,去中心化身份协议在传统企业身份管理系统和区块链DApps之间架起了一座清晰的桥梁。3)零知识证明身份存储认证、声明以及去中心化的概念是去中心化身份模型一些最重要的原则。一个有趣的想法是,将去中心化的概念与零知识证明协议(如zk-SNARKs)结合起来,在允许其他协议验证身份的同时,为DIDs增加另一层隐私,这个概念可以被称为零知识身份存储,并且已经被uPort之类的协议所接受。在零知识身份存储模型中,与用户身份相关的断言将使用zk-SNARKs进行编码,并在链上发布。智能合约可以验证关于用户身份的断言,而不需要透露任何关于底层用户身份的信息,底层用户在链上执行的同时,还实现了更高程度的隐私。作为一种新生技术,去中心化身份目前已经有一些相关案例可以为证券类通证协议提供启发。·uPort:uPort一直在稳步构建一系列协议和解决方案,用于在去中心化应用程序中管理身份。目前的堆栈与以太坊智能合约兼容,并且可以在许可区块链应用程序中使用。·Azure
BaaS:Azure团队出色地扩展了不同区块链的核心协议,以利用Azure Active
Directory身份,最近的一个例子是在以太坊应用程序中实现了PoA共识协议。·Sidetree:它是一个代码级组件的组合,包括确定的处理逻辑、可寻址的内容存储抽象和状态验证程序,可以部署在第1层去中心化分类账系统(例如公共区块链)之上,以生成没有许可的第2层DID网络。·Hyperledger
Indy:Indy提供了一个最完整的堆栈来支持身份管理功能,Indy的当前版本包括一些工具和库,它们是实现了去中心化身份解决方案中一些最常见的模式。作为区块链应用程序的基本模块之一,去中心化身份在逐渐被主流采用的过程中,仍然需要解决如何与现实世界衔接的问题。不过已有一些组织正在这方面做着努力,比如去中心化身份基金会(DIF)正在致力于弥合传统身份系统和区块链之间的差距。尽管在这个领域有一些协议和工具,但在企业区块链解决方案中启用身份功能仍将是一项相当复杂的工作,需要区块链行业和科技企业的共同努力。

本文是探讨证券通证中身份功能概念的第二篇文章。在第一篇文章中,我们探讨了一些基本的身份准则,并将它们延伸到加密证券世界。在这篇文章中,笔者想集中讨论一个技术模型,将一些准则与现有的证券通证平台结合在一起。

微软正在努力推出基于区块链的去中心化身份产品业务线。在本周发布的白皮书中,该软件巨头表示,它打算开发两种产品,旨在让消费者更好地控制他们的个人数据。其中一种产品是加密的个人数据存储或“身份中心”,它是微软通过其云计算服务Azure提供的用户个人设备和云存储的组合产品。虽然所提供的细节很少,但大概理念是消费者可以在这个中心中存储身份信息,通过许可后第三方才可以对数据进行访问。另一款微软将要开发的产品是一个“钱包式应用程序”,人们可以使用该应用程序对数据权限进行管理,其中包括在需要时撤销授权。微软正在努力推出基于区块链的去中心化身份产品业务线。在本周发布的白皮书中,该软件巨头表示,它打算开发两种产品,旨在让消费者更好地控制他们的个人数据。长期以来,区块链领域和相关行业的许多技术专家都希望可以实现这一技术。其中一种产品是加密的个人数据存储或“身份中心”,它是微软通过其云计算服务Azure提供的用户个人设备和云存储的组合产品。虽然所提供的细节很少,但大概理念是消费者可以在这个中心中存储身份信息,通过许可后第三方才可以对数据进行访问。这样的技术与现在的情况形成了鲜明的对比,目前有无数的第三方可以持有消费者数据,并且还在用户不知情的情况下定期获取数据。另一款微软将要开发的产品是一个“钱包式应用程序”,人们可以使用该应用程序对数据权限进行管理,其中包括在需要时撤销授权。值得注意的是,从区块链的角度来说,这两种产品都将建立在去中心化标识符(DIDs,decentralized
identifiers)的基础之上,去中心化标识符是一种在万维网基金会(W3C)的支持下开发的规范。DID在ID社区中被许多人看作是一个重点突破,它不需要中央权威,仅在分布式账本或其他去中心化系统上进行注册或“锚定”。这意味着,与传统标识符(例如电话号码或Twitter句柄)不同,DID始终受用户控制,这与加密货币用户拥有域名的方式大致相同。此外,该文件还揭示了微软正在开发一种DID的开源实现,它可以作为多个区块链之上的第二层,类似于比特币的闪电网络,允许进行加密货币中的大量低价值支付,保留区块链以进行最终结算,身份数据的第二层是“为世界范围的大规模使用而设计的”。文件显示,该项目的目标旨在“建立一个统一的、可互操作的生态系统,开发人员和企业可以依赖这个生态系统从而构建新的产品、应用程序和服务”。虽然微软并没有给出任何项目的具体时间表,但这些举措都表明该公司正在加大对“自有身份”的投资,此前微软曾参与去中心化身份基金会(DIF)的建立。文件中写道:“每个人都有权拥有和控制自己的身份,我们希望让DID成为微软身份堆栈的一等公民。”受区块链技术的启发作为一家拥有数十年历史的跨国公司,微软似乎不应支持这种去中心化的愿景。然而,虽然微软正在构建的新系统的大多数组件,都将在链下运营,但区块链的出现显然激发了想象力。Yorke
Rhodes是微软区块链工程团队的一名项目经理,上个月他在一次播客采访中谈到:“如果你从区块链可以为身份做什么的角度开始思考,那么你就会想到应该如何拥有消费者或者机构所有的ID,然后你就可以做不同的事情。”Rhodes表示,微软加入了DIF,因为该公司想要确保今天所构建的系统最终不会成为“像今天的社交媒体岛这样的新岛屿,在那里你无法将身份从LinkedIn连接到Twitter,再到Facebook,到微信,微博。”相反,在一个理想的系统中,Rhodes表示:“如果我在微软系统中创建我的身份,如果有人使用MetaMask或uPort或任何其他的钱包,他们实际上应该能够理解这个身份是什么。”MetaMask和uPort指的是两个以示例为基础的基于以太坊的应用程序。Rhodes还表示,在未来的几个月内,微软将扩大其企业ID系统Active
Directory可识别的身份类型范围,以包括基于区块链的去中心化身份。这将允许公司快速录入新员工信息,识别所控制的去中心化ID,并将其与新的公司员工ID相关联。Rhodes说:“在我看来,其中的杠杆之一实际上有助于推动消费者持有身份的发展。”可以肯定的是,微软并不是唯一一家希望为这一新兴领域做出贡献的知名公司。Kaliya
Young是Internet Identity
Workshop的联合创始人、ID专家和创新者半年度聚会的组织者,她指出包括IBM、埃森哲和RSA等其他大公司都加入了DIF,她还特别赞扬了IBM推进DID的开放标准和名为Verifiable
Credential的相关W3C计划的工作。此外,区块链ID创业公司Evernym的首席信托官兼Sovrin
Trust框架工作组主席Drummond
Reed指出,其他公司,包括在Sovrin网络上运营节点的所有“管理员”(其中含有IBM和思科的团队),在过去的一年中曾经“支持DID和便携式数字凭证作为去中心化身份的基础”。但如果像白皮书中所承诺的,建立身份中心这样的产品,那么微软可能会成为该领域第一个提出大众市场解决方案的著名公司。社区工作然而,ID社区的一些成员认为像微软这样的大公司,进行这种规模的工作应该更加透明化。区块链数据平台Tierion首席执行官兼DIF指导委员会成员Wayne
Vaughan表示:“我不知道微软开发了什么,我也还没有看到任何实际的代码。虽然微软一直在征求社区的意见,但他们的软件开发一直都十分私密,现在才公开发布。但话又说回来,有总比没有好。”Vaughan认为,如果像微软这样的公司都不会让他们的工作更加透明,那么其他拥有用户身份的大公司,比如谷歌和Facebook,可能会觉得他们并没有参与而拒绝进一步采用所需的解决方案,从而该项目无法被广泛接受而取得成功。此外,社区希望微软不仅可以生成代码片段,还可以参与交换凭证的通用标准开发,Reed补充说,他认为,该标准应该支持零知识密码术,这在白皮书中并没有提到。支付创业公司Digital
Bazaar的创始人兼首席执行官Manu
Sporny和一名在几个W3C工作组中的积极参与者分享了类似的想法。Sporny表示:“大家都希望微软可以加入目前在W3C上发生的去中心化标识符和可验证证书的开发工作,
我相信他们会及时做出正确决策并加入这个领域的国际标准制定工作。”微软首席项目经理Ankur
Patel在给CoinDesk的电子邮件中回应了这些问题:“我们致力于建立开放标准并为开源做出贡献,使去中心化取得成功。随着我们的进一步进展,我们将做出适当的贡献。在这样一个充满活力的领域中,有许多建立共同标准的机会。我们将继续评估并参与最有意义的活动。我们致力于与DIF、W3C以及我们认为有助于实现去中心化身份平台成功的其他行业或标准组进行合作。”在任何情况下,随着关于不同概念和所实施的工作经验的积累,我们可以预料到,去中心化身份项目将于2019年首次公开并在2019年实现使用。Young总结到:“在未来的五年内,我们将看到这些工具的广泛采用。身份是复杂的,去中心化的身份解决方案,将用户置于他们自己的凭证管理中心,这是解决复杂问题的唯一途径。”来源:区块链铅笔

图片 1

需要注意的是,文章的主要前提就是身份应该作为证券通证体系架构中的独立协议发展。身份应该成为跨平台互操作性的基本构建块之一,而不是绑定到特定的证券通证协议或发行模型。第一篇文章概述了证券通证中身份表示的五个关键属性:

·由用户拥有,由应用执行:在证券通证模型中,身份应由用户拥有,并由不同的证券通证应用程序(如发行平台或交易所)执行。

·基于声明:证券通证应用程序中的身份应该是关于特定用户或实体的一组声明或断言。

·可逆:为了执行证券法,身份表示应该是可逆的,这意味着监管机构能够追索用于生成用户断言的文件。

·基于身份标准:在过去几年中,证券通证行业已经产生了许多高质量标准,例如SAML或OpenID
Connect,这些标准已经被我们每天使用的许多应用所采用。笔者相信证券通证协议应该利用一些既定标准作为其协议的一部分,而不是建立新标准。

·可编程:身份应该能够重新用到其他证券通证协议中。

这五个准则提供了一个证券通证身份表示的指导准则。投资者应提交身份证明,以便进行诸如了解客户、反洗钱或认证等流程。身份证明可以是从现有身份提供机构处获取的文档或ID。在完成该过程后,应使用一组声明建立用户身份,该声明包含了证券法的相关属性(例如:管辖权、行业认证等)。这些属性将在加密证券发生交易时用作合规性规则的一部分。最后,监管机构可以使用用户的身份可以用来检索合规流程的相关文件。

身份困境:到底要不要去中心化?

在证券通证模型中启用身份协议的根本性问题在于,是遵循传统的中心化方案,还是使用新兴的去中心化身份模型。中心化方案依赖于身份提供者,身份提供者充当身份代币的发行者和验证者。

这种中心化模型似乎能与当前一代证券通证平台很好地配合,但显然在证券通证体系架构中引入了另一层次的中心化。中心化身份模型本身不是问题,整个互联网都依赖于它们。但是,当你拥有基于去中心化协议的区块链时,中心化身份模型会带来明显的摩擦。毕竟,当协议依赖于中央权威机构的一个关键功能时,协议怎么能实现去中心化呢?

为了区块链身份所面临的挑战,行业一直倾向于采用去中心化的身份模型,将区块链协议作为第一类对象(first-class
citizen,可以在执行期创造并作为参数传递给其他函数或存入一个变数的实体)。在这个领域,一些最具前瞻性的工作来自去中心化身份基金会,它将身份管理和区块链市场中一些最重要的参与者聚集在了一起。

证券通证的去中心化身份模型

去中心化身份领域试图充分利用数十年来身份方案和标准上的技术进步。为了实现这一目标,需要重建身份,将许多传统的身份动态转移到去中心化的参与者网络中。

在过去的20年里,微软一直是身份管理领域的领先者之一,但它们也意识到区块链需要新的身份模型。受到DIF启发,微软最近提出了一种前瞻性架构,以支持区块链的去中心化身份。
Microsoft的架构包括以下组件:

图片 2

Microsoft的身份管理架构组件

·W3C去中心化身份标识:用户创建、拥有和控制独立于任何组织或政府的ID。DID是连接到去中心化公钥基础设施元数据(元数据由包含公钥材料、身份验证描述符和服务端点的JSON文档组成)的唯一全局性标识,。

·去中心化系统:DID植根于去中心化系统,提供DPKI所需的机制和功能。

·DID用户代理(User
Agents):使真人能够使用去中心化身份的应用程序。用户代理应用有助于创建DID,管理数据和权限以及签署/验证与DID相关的声明。

·DIF通用解析器:一种服务器,利用DID一系列驱动程序为不同客户端和去中心化系统中的DID提供标准的查找和解析方法,并返回封装了与DID相关DPKI元数据的DID文档对象。

·DIF身份中心:加密个人数据存储的复制网格(replicated
mesh),由云和边缘实例(如移动电话、PC或智能扬声器)组成,可促进身份数据存储和身份交互。

·DID
证明:DID签署的证明基于标准格式和协议。它们使身份所有者能够生成、呈现和验证声明。这构成了系统用户之间信任的基础。

上面概述的架构可以在无需重大修改的情况下稍微调整以适应证券通证模型。对于证券通证,我们可以设想证券通证平台发行DID,它包含关于用户KYC-AML过程结果的证明。这些DID将通过去中心化的hub在链上获取,并将作为合规协议的一部分进行整合。

零知识证明数据库

证明、声明以及去中心化hub的概念是去中心化身份模型的一些最重要的原则。一个有趣的想法是将去中心化hub与零知识证明协议(如zk-SNARK)相结合,为DID增加另一层的隐私,同时允许其他协议验证身份证明。笔者喜欢将这个概念称为零知识库,并且这一概念已被uPort等协议所支持。举个例子,我们可以设想一种证券通证协议,该协议需要验证投资者是否已获得认证且位于德国。这些声明/证明可以表示为SNARK并在转移时验证,但不会泄露有关用户身份的任何信息。

图片 3

去中心化hub与零知识证明协议(如zk-SNARK)相结合

一些可能有帮助的协议

去中心化身份行业仍然处在非常早期的阶段,但已经有一些协议可能有助于为证券通证协议提供灵感。

·uPort:uPort一直在稳步构建一系列协议和解决方案,用于管理去中心化应用中的身份。当前的堆栈与以太坊智能合约兼容,可以在许可链的应用程序中使用。

·Azure BaaS:Azure团队在扩展不同区块链的核心协议以充分利用Azure Active
Directory。最近他们在以太坊应用程序中实施了权威证明共识协议。

·Sidetree:它是代码级组件的组合,包括确定性处理逻辑,内容可寻址(content
addressable)的存储抽象以及状态验证过程,可以部署在去中心化分类帐系统的一层上,以生成无需权限的第2层DID网络。

就像合规性一样,身份很可能成为证券通证架构的独立构建块,并且应该成为其他功能的推动者。虽然中心化模型可能是构建第一代身份模型最简单的方法,但去中心化身份架构很可能在长期内占主导地位。像DIF这样的机构以及微软和uPort等公司的成果可以为证券通证中的去中心化身份模型提供坚实的起点。