查看原文
其他

可验证凭证 - 数字身份的核心

王智慧 刘冀伟 Thoughtworks商业洞见
2024-10-31

当下我们所使用的数字凭证的确可以证实我们的个人身份信息,但大多都是通过信息系统的简单数据记录来实现,易于修改和伪造,并且经常暴露出不必要的信息。可验证凭证(VC:Verifiable Credential)因其真实可信、自主可控、隐私保护的特性是数字凭证最值得期待的方向之一。

 Prepare for the unpredictable

据艾媒咨询发布的《2020年中国手机App隐私权限测评报告》统计,97%的APP默认调用相机权限,35%的APP默认调用读取联系人权限,全球2020年仅第一季度数据泄漏量就已达84亿条;IBM发布的2020年度《数据泄露成本报告》中称,现在平均数据泄露事件成本为386万美元,隐私数据的泄漏对个人和企业的影响都在日益加剧。数权的建立、安全与高效的数字化体验从未显得如此重要,它们的缺失使数据所有者对社会、经济与企业缺乏安全感、获得感和生产数据的动力,不利于数字时代的发展。这一切的实现都依托于数字身份,而数字身份的核心是基于凭证来证明我是我、谁是谁、什么是什么。

当下我们所使用的数字凭证的确可以证实我们的个人身份信息,但大多都是通过信息系统的简单数据记录来实现,易于修改和伪造,并且经常暴露出不必要的信息。可验证凭证(VC:Verifiable Credential)因其真实可信、自主可控、隐私保护的特性是数字凭证最值得期待的方向之一,也是本文探讨的核心。

一、当前凭证潜在的问题

数据时代,凭证要面临高频请求、海量数据、隐私安全和不断出现的新型数字化场景的挑战。物理凭证无法有效应对,其电子化产品由于仍是基于其身份基础和生态也不能从根本上解决问题,例如电子公交卡、电子发票、电子医保卡、电子会员卡等,虽在便利性上有所提升,但仍面临数据孤立、易丢失、不安全、隐私泄漏的问题。

具体来看,现有凭证主要面临着如下几方面的问题。

1,身份基础不统一

目前主流的数字身份是中心化或联盟化的,但都未实现用户自主可控,而基于此的凭证无法实现身份层的共享统一、多方治理下的信任,进而导致了多场景下凭证重复认证。

2,电子化成本高,效率提升不明显

物理凭证的单纯电子化,既无法从根本上解决物理凭证的局限,也面临着电子化的高成本和录入过程中的数据不一致、遗漏、错误等问题。对于凭证发行方需要承担电子化的软硬件成本、人力成本和相应增加的综合管理成本。对于凭证验证方需要特定的软硬件集成、人力投入。对于持有人来说,需要专门办理电子化,且需要同时管理物理凭证与电子凭证。对于各方来说除了增加额外成本外,也并未有效提高管理效率。

3,隐私安全得不到保障

随着全球各地数据隐私安全法的完善,个人隐私安全的重视达到了空前的地步,而对于数字托管方的风险与责任也越来越严峻。中心化的电子凭证面临着数据易丢失、可篡改、滥用用户数据等问题。

二、数字凭证的演进方向之可验证凭证

可验证凭证(VC)

数字凭证的发展依赖并服务于数字身份的发展,随着数字身份经历中心化、联盟化与自我主权身份的发展,数字凭证最新的演进方向是可验证凭证(VC):通过加密算法与数字签名等技术实现,将物理凭证的有效性与可移植性转移至数字设备,其声明的内容、签名、元数据在几秒钟甚至毫秒内即可被进行数字验证。

此验证过程通过图中所示的四块内容,可以回答凭证是否以标准的数据请求格式、经有效签名、未被篡改的形式证明其是否有效和主体的真实性。

如下图展示了VC的参与方与各方基于凭证的交互。

VC的特性

VC的实现模式使其拥有以下特性,既能解决上述凭证的各类问题,又使其在社会经济各领域拥有宽阔的应用空间:

  • 安全性:通过分布式帐本、加密算法与数字签名,保证数据的安全不可篡改
  • 隐私性:基于凭证的数据共享必须经过持有方授权,且可以基于数据属性有灵活的共享策略,全责最小信息披露
  • 自主性:以用户为中心,与物理凭证一样,所有权完全归用户自主管理
  • 真实性:凭证所含数据模板、内容与发行方均公开可验,确保了数据的真实性
  • 一致性:在同类数据重复情况下,以持有方甄别确认后出示的为准,避免了数据的重复
  • 交互性:可验证凭证为为数据的跨域跨系统交互定义了一种标准格式
  • 扩展性:可按属性细粒度组合扩展,同时可以完全脱离物理凭证,适用不同场景

不同于物理与电子凭证

VC不同于物理凭证的直接电子化,且在身份层、应用层和信任层都有着本质的区别,既弥补了物理凭证的局限性,也是数字凭证的重要演进形态。

VC的应用价值

VC不只是技术驱动的解决方案,对于企业与个人其应用落地的核心价值与驱动力体现在以下三方面:
  1. 市场价值:业务效率和客户体验的提升 主要体现在大幅提升企业数据安全性,优化工作流程实现降本增效,以及提供更好的用户体验来增加竞争力。
  2. 安全价值:隐私安全的保护 在类似GDRP数权法完善的大势下,VC是对个人隐私诉求的响应,也是对现有互联网商业模式的挑战,同时也是各大互联网平台面对数权运动的主要战略性选择,用来规避数据安全带的挑战。
  3. 用户价值:自主数权 基于数权法的完善,用户数权意识的觉醒,数据经济时代越来越多的人需要夺回对其生活和数据的控制权与所有权。
对于企业,VC在重塑信任与数据治理的场景上有得天独厚的优势,使用VC而不是传统电子化凭证在保证了真实可信的基础上,既保护了数据隐私,又实现了数字格式与交互的标准化,大幅降低了信任与数据治理的摩擦系数。除此之外,VC也是企业规避数据安全风险的有效手段。
对于个人,可无感获取VC并省去众多重复的验证、可以灵活组合使用,同时有效保护了个人的隐私安全。

三、VC规模化面临的挑战

VC作为凭证数字化的实现方案之一,其身份基础无论是自主身份(SSI)还是其它可信身份方案,落地应用的关键挑战来自于各方信任如何达成,而各方的信任又依赖于治理框架。
以SSI作为身份基础的VC方案为例,实践证明VC的应用需要优先解决治理框架的问题,因为它是SSI和VC技术实现与现实场景中商业、法律和社会的桥梁(如下图)。治理框架对于治理方(例如医疗系统里的管理机构、学历系统里的学历认证机构)不仅是技术的改变,更是治理理念的改变。

图 来自 ToIP 协议栈

能否搭建或整合出匹配的治理框架是VC成功的关键,但VC的优势也在于其并不需要改变现有凭证生态里治理框架的底层,在结构上可以与现有框架保持一致,在实现上提供了更加可信、隐私保护与扩展性更好的信任达成方式。

四、VC的实践发展

目前的VC实践仍处于初期探索中,国外实践主要集中于Soverign生态的伙伴,以SSI为身份基础,例如Evernym, Truu等。由于国内数字身份的趋势是以国家可信身份为主,所以主要实践也是基于可信身份,例如医保电子凭证。
从应用类型来看VC主要应用于医疗、金融和IOT等领域的各类证明与数据治理场景,我司正就VC在医疗领域的应用与多家海外企业共创合作。

案例1:汽车服务后市场

痛点:

汽车后市场的服务量与类型激增,需要大量的人、服务与设备的信息交互来完成交易,传统的方式信息传递不早畅、不真实,身份识别重复复杂且设备的身份识别更是空白。

解决方案:

以自主身份为基础,通过可验证凭证实现汽车服务市场里的服务鉴证与数据治理服务

  1. 获取个人身份,创建设备身份,绑定开成分布式身份上链;

  2. 在服务场景里车辆与服务提供商均向链上请求身份识别;

  3. 确认身份后通过凭证进行服务的发现、请求与确认;

  4. 服务结束后通过VC形成新的可用数据,例如保养记录。

核心价值点:

  1. 赋予物可信身份

  2. 自动化服务流动

  3. 统一人、物、机构各实体的数据治理

上述案例VC的应用都是以人为主体,但VC基于物或服务的应用也是未来非常重要的领域,例如在IOT和供应链领域。

案例2:可信溯源凭证

痛点:
在传统商品供应链中,不同环节的主体之间必然存在大量的交互和协作,由于信息不透明、不流畅导致链条上的各参与主体难以准确了解相关事项的状况及存在的问题,从而影响供应链的效率。
解决方案:
基于区块链的商品溯源解决方案中,通过可验证凭证对商品进行唯一标识,将商品在原材料生产、流通、营销等过程的信息,由各对应主体进行可验证凭证背书并附上时间戳写入区块链。消费者或者监管部门可以从区块链上查阅和验证到商品流转的全过程信息,从而实现精细到唯一可信凭证的全流程正品追溯。
除了消费行为,随着链上数据在不同部门之间进行可信共享,解决多方参与、重复审核等问题。许多农户在收获后马上会面临新一轮的播种,可验证凭证也可作为被授信的依据,以此获得金融支持,保证再次种植生产的进度。

五、总结

数权时代监管的完善与用户自主意识的增强,使得数权的转移将是不可避免的趋势。VC由于其真实可信、自主可控、隐私保护的特性,既是隐私数据的良性载体,也是数权的有效凭证。即可以解决数字时代的各类凭证需求,同时也极大降低了凭证数据治理的摩擦系数与改造成本。
可验证凭证在笔者看来是一种旨在造福人类的技术,并不单单是另一种创建身份的方式。商用只是其大规模采用的一个方面,让大众更多的感知它,更多取决于其在现实世界的应用。安全与保障这两大重要问题,超越了不同国家政体的局限,也超越了人们对于核心基础设施的偏好体系,无论是政府、企业,还是组织、个人,都极其重要。
随着各类技术不断迭代,不断组合,不断优化,我们大概都认同,现在在构建基础设施或者是价值互联网的时候,将旧的系统进行更新是很有必要的。

参考
  • 《基于可信数字身份的区块链应用服务白皮书》(1.0版)
  • Verifiable Credentials,https://w3c.github.io
  • Self-Sovereign Identity Decentralized Digital Identity and Verifiable Credentials Version 8,by Manning Publications
  • Known Traveller Digital Identity,http://www3.weforum.org
  • https://github.com/hyperledger/aries-rfcs/tree/master/concepts/0289-toip-stack


- 直播推荐-

- 相关阅读-

对未来基于大数据的信用体系的设想

企业和用户关于隐私数据博弈的均衡点——自主身份
从三文鱼到南美白虾,现有食品溯源系统能保障我们的安全吗?

区块链助力企业打造忠诚奖励新生态

产业区块链与跨链技术结合的畅想

点击【阅读原文】可至洞见网站查看原文&绿色字体部分的相关链接。

本文版权属ThoughtWorks公司所有,如需垂询或转载请在后台留言联系。
继续滑动看下一个
Thoughtworks商业洞见
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存