蜂巢学院线上公开课|DID专场：基于区块链的去中心化身份技术及应用

PA荐读｜2020-08-17 17:34

本文为万向区块链蜂巢学院线上公开课第20期内容.在本期公开课中,MYKEY研究部负责人姚翔分享了他对区块链数字身份的观点....

蜂巢学院线上公开课直播间第24期，邀请了Parity亚洲区技术总监贾瑶琪、HashKey Me联合发起人Saijie、MYKEY研究部门负责人姚翔，共同探讨《基于区块链的去中心化身份技术及应用》。本文为直播分享全纪录，错过直播的小伙伴，看下文！

贾瑶琪：

大家晚上好！欢迎各位来到蜂巢学院线上公开课直播间第二十四期，本次公开课是Web3.0训练营DID专场：基于区块链的去中心化身份技术及应用。

首先第一个问题想请两位分别介绍下HashKey Me、MYKEY这两个项目，分别是解决了什么场景需求？运用了什么区块链技术？

Saijie：

大家好！我先介绍一下HashKey Me的情况。HashKey Me是Web3.0时代的身份钱包，在能力上主要是智能钱包和DID两块。在钱包客户端侧主要是借助了分布式密钥生成和门限阈值签名技术（TSS），实现钱包的创建、保管等，甚至在DeFi和DApp的交互过程中用户不需要操作私钥，通过交互计算完成交易签名。避免了在系统内存中还原出密钥的风险，同时也能在密钥恢复上有比较好的安全性保障。

得益于此，能够实现同一个账户同时管理多个主流区块链上的资产，免去了重复创建私钥保管备份的复杂流程，简化用户操作的同时不会产生额外的安全隐患，这是在钱包客户端侧。

另一块能力是MeID，MeID是在W3C DID标准基础上设计的兼顾数据隐私和数据可用性的身份方案，目标是为用户提供可靠载体，在确保用户隐私保护和数据主权Web3.0要素的基础上，DID会优化用户身份数据的使用方式，减少不必要的注册，能够让用户的身份通过载体在不同应用场景和生态中使用。

HashKey MeID另外一个关键点在于数据的可用性，数据隐私往往会造成数据整合过滤分析，在过程中会造成一些阻碍，对未来数据分析、大数据、数据价值上产生壁垒。

MeID希望用户拥有数据主权的前提下，通过机制设计、密码学技术手段、激励机制提供一套不仅关注数据隐私，同时能在数据可用性上提供比较好的方案设想。这样未来可以基于数据改变当前的价值分配模式。

这是HashKey Me的项目介绍。

姚翔：

接下来我会对MYKEY进行介绍，MYKEY是多链钱包，或者说以钱包为载体的自主权多链数字身份，我们主要解决的问题有三个：

第一，引入智能合约。在用户身份层面不仅是基于公私钥体系的身份系统，MYKEY基于智能合约实现了一套逻辑，通过引入紧急联系人的机制实现用户自主账户恢复。同时可以实现更精细化的权限切分，会把权限切分成管理权限、操作权限，通过设计提升账户安全。

第二，不同区块链底层在使用上有费用的问题，我们为每个用户的身份建立了网络费用账户，使用统一计费单位，帮助用户支付不同区块链上的使用费用，解决不同区块链上的费用摩擦过大的问题。

第三，基于DID的登录，对接了一些包括游戏在内的项目，可以使用DID体系登录，就不需要再额外注册账户。

在实现产品的过程中，主要使用的技术：

一是在管理合约升级的时候用到多重签名技术，这是比较成熟的技术。

二是刚才Saijie提到的门限签名技术在内部也有应用，不是在用户侧，而是作为紧急联系人的时候内部对权限的管理采用门限签名技术，保证协助用户恢复帐号的这把密钥是安全的。

三是在账户的智能合约里可以实现原子化的多交易，比如说在区块链上要发起两笔交易，这两笔交易是有先后关系的，但是第二笔交易必须依赖于第一笔交易成功以后才能执行。MYKEY通过智能合约让两笔交易可以保持原子性。

贾瑶琪：

两位都讲到了如何用各种方式帮助用户更方便地使用区块链进行操作，我想问一下除了刚刚大家提到的紧急联系方式、门限签名、多重签名的方式外，大家如何以其他方式保障个人用户的数据安全？以及像现在做DID的时候，很多时候会将用户个人信息进行绑定，咱们的项目是通过哪种方式获取用户其他方面的数据？

姚翔：

首先从钱包角度，不需要用户的个人信息。但为了提供紧急联系人的服务，要验证用户是用户自己，所以用户可以主动选择添加MYKEY Lab作为紧急联系人，这个时候用户需要提交一些信息，包括证件信息、生物特征，数据都会加密之后存储，密钥来自于用户的输入，只有在用户发起验证的时候，输入相应的信息后才能把数据解开。

也就是说，即使是管理员也只能看到密文的数据，用户需要恢复账户就会发起请求，之后输入信息，信息会作为解密的密钥把原始数据解开。对外防护会做的更加严格，数据之间更多是传统网络安全，即使是加密后的数据，仍然会进行比较严格的数据安全的管理。

在产品内做了比较有趣的功能，我们知道很多场景下用户都要做身份信息提交，不同机构都要对用户进行身份校验。我们允许用户将相关信息存储在手机应用本地，使用钱包密码生成对称密钥，用密钥对数据进行加密放在本地的“数据保险柜”中。当他需要在其他应用里提交身份信息时，可以从保险柜中取出数据提交，而不需要重新拍身份证照片，也不需要把身份证照片放在手机相册里，这都是有安全隐患的。

Saijie：

我介绍一下HashKey Me的情况。刚刚讲到数据来源，DID更多还是让用户自己输入和填写自己的静态身份信息。其他还有一些信息是行为数据，包括在不同场合的消费数据，这些数据会在具体的场景环节中形成导入，导入授权会让用户自己来做控制。

关于数据来源，我们对用户输入的信息主要还是在用户客户端本地做处理，在源头上做到了不去触碰用户的隐私。

刚刚姚翔老师也讲到数据保管，我们数据采用密文保管在用户自己的手机上，我们也提供了其他的能力。比方说可以放在自己的邮箱、自己的网盘，对于存放介质让用户自己选择。

HashKey Me也提供了一套存储方案，让用户数据加密之后放在我们提供的中立存储位置，这块位置本身会做分布式冗余，在数据隐私保护的基础上在可用性上做一层保证。

除了数据保管还有数据使用，具体使用过程中把本地加密后数据做解密给到第三方，具体的方案会采用代理层加密的方式做更高安全性的保障，这是具体的使用机制。

在具体的信息披露上，为了做到信息最小化披露，我们也运用了密码学，比如说选择性披露，对于本地比较完整的信息可以做到仅针对其中一些部分属性字段进行披露，尽量少地披露当前的信息。

另外基于零知识证明的Range Proof，这主要是解决向第三方证明年龄信息，很多第三方只是要去验证你大于18岁的结果，并不关心你具体多少岁，通过Range Proof数字上验证的手段，可以在不告诉他具体年龄下告诉他是否满足大于18岁的结果。

HashKey Me主要是从数据来源、数据保管、数据使用的场景上做安全性保障。

贾瑶琪：

Saijie讲的这几点特别好，不管用零知识证明还是其他方法，已经涉及到保护用户的隐私。HashKey Me在数据隐私、数据可用性之间做了哪些努力达到比较好的平衡？有些数据加密后是很难在加密数据上进行操作的，特别是现在同态加解密还是比较差，咱们有没有比较好的方式来平衡隐私和可用性？

Saijie：

这也是HashKey Me重点关注的方向，平衡数据隐私和可用性方案。

我们设计了一套DID Bank的机制，将用户分散在多方获得的凭证数据，比方说向学校、政府机构拿到的数据，能在相对结构化的存储介质上做汇总。听上去会有一定的中心化，所以在此基础上我们做了机制设计。

在DID Bank的存储和控制权，通过多签、门限签名的方式对控制权进行签名。对ID和真实数据做映射关系的模糊，在具体数据使用过程中平台方没有办法获得ID真实对应的数据，没有办法从ID关联到本身的数据。所以我们主要是从存储、控制权、映射关系三个层面做分散化，能够避免在DID Bank机制上有单一的一方获得用户的数据，本身对于DID Bank的使用也是需要用户做一层授权，相当于把分散关联到DID上的数据做汇总。

目前我们提供了这一套基于机制设计和多方协作的思路，提供DID Bank数据解决方案，平衡数据隐私和可用性问题。

姚翔：

目前我们主要涉及的数据是验证用户身份，提供紧急联系人的时候要做两个检查：第一个检查是这个人是当时那个人；第二个是证件和这个人是相匹配的。如果数据本身是密文，那我们是没有能力打开的。现在采用的方式是采用用户的姓名+证件号码的Hash，用这个作为对称密钥对数据进行加密。

数据在申请自我恢复的时候需要用户再次输入，这个加密的密钥我们不知道，但是用户大概率是不会忘记的，因为姓名跟证件号数字本身不太会忘记。现在我们是采用这样的方式来做平衡，如果说用随机密钥做加密，很可能当时数据的可用性就难以保证，就没有办法恢复数据，方案现在还在迭代的过程中。

关于证件和用户本人的校验上我们也做了工作，一方面通过图像识别的算法做比对，另外有人工接入过程，人工接入时会要求工作人员进行检查，同时对视频存档，避免未来可能的法律纠纷，因为这里涉及到资产的问题。

但这里的数据也会采取加密保管的方式，只是未来如果说有纠纷的时候会在用户的协助下把数据恢复。

贾瑶琪：

对于普通用户和从业者（非区块链行业），大家会看区块链解决了哪些目前生活中解决不了的问题。在你们看来DID、去中心化数字身份有解决目前互联网或者生活中没有解决的问题吗？你们认为DID可以解决哪些比较棘手的问题？

姚翔：

隐私的问题在最近两三年受到的关注呈指数级增长，两三年以前大家还不太谈这个话题。

DID是下一代互联网技术的重要拼图，仅仅有DID本身是不够的。DID最关键最核心的点是在技术上让“Don’t be evil”变成“Can’t be evil”，用户自己掌握自己的私钥。也就是SSI（自主权身份），用户自己掌握私钥，这样才能真正把数据主权掌握在自己手里，密码学保证其他人没有办法获得隐私数据。但仅仅有DID密钥是不够的，是要有大量配套的基础设施。

之前我参与了一些国际上关于DID的探讨会，大家认为可验证凭证要有比较专业的机构来颁发凭证，凭证颁发机构的认定包括机构怎么颁发凭证，我们想象每颁发一次凭证都要做数字签名，这对颁发者内部的流程是很大的改变。

比如说这些凭证存储在哪里？是放在现在的云存储上或者说有一些Web3存储的设施。同时机构提供了相应的服务，怎么给他支出费用？这些问题都是比较大的问题。

另外还有在技术层面可以有更大发展空间的，比如零知识证明，最近我看到一些基于零知识证明可验证凭证校验技术。这些对整个行业发展、隐私保护都是非常关键的，但DID可能是第一步，让用户先掌握自己的密钥，让用户意识到隐私问题首先要自己把数据放在自己的手里，然后这些“积木”慢慢搭起来，隐私的问题才会得到比较好的解决。

Saijie：

我想分享的也是数据主权问题，刚刚姚老师已经讲的非常好了，这也是Web3重要的基础设施，在数据主权基础上才能在Web范式上有新的商业模式和业务模式。

另外可能解决的问题是在授权登录上，对大部分普通人来说这是比较直观的功能，解决不同网站、应用中多次重复注册登录的问题。

前段时间深圳出了相关法案，在国内首次提出个人拥有数据主权，并且设立相关工作委员会规范数据要素市场的行为，从法案上保障个人数据不受侵犯。这里面也提到了现实问题，比如说在之前疫情期间各国、国内各省都在建设信息系统来追溯个人的行踪、当前的信息。这些业务系统在各个分管条线收集数据是非常分散的，而且有数据标准不统一的问题。最终导致的结果是公共资源的浪费、群众体验性差、暴露用户个人隐私。这也是在数据主权下发生的问题，数据主权不明确的话会造成当前各种重复建设的问题。

关于反复验证问题，当前去银行办理服务会有其他机构帮忙认证，但这些凭证可能已经在其他地方用过了，能不能复用凭证？包括凭证能不能形成交叉认证的能力，从而帮助从多个维度证明信息。对于DID来说提供了很好的信息归集，减少重复认证和重复用户输入的问题。

DID能不能根本上解决数据隐私和泄漏的问题呢？我认为是可以的，从本质上来说数据主权从根本上是解决了隐私泄漏的问题，数据都在用户自己的手上，解决了大规模第三方泄漏的风险。但本身也有一定的局限性，因为信息、数据的特征在于可复制性。目前密码学的手段能从更小的力度上保护数据，但还是会有信息的可复制性导致的数据隐私泄漏问题，这是未来大家要重点探索的方向。

贾瑶琪：

从你们的角度来看，未来1到2年DID会有哪些比较有意思的应用场景呢？

Saijie：

从我这边观察到或者看到的比较有意思的场景。

灵活用工：因为不同原因，现在远程办公、分布式办公逐渐被大家所接受，从区块链的角度来说DAO的概念慢慢通过这次事件理念向圈外扩散，理解分散用工协作的模式。

之前看了一本书《公司制的黄昏》，提到了未来协同力度会从当前集中式大公司向越来越小的公司、小社群形态逐渐演变。现在很多年轻人（斜杠青年）对分布式办公模式接受度也很高。

在这样的场景里DID能发挥什么样的作用？在协作过程中对个人信用、履历、健康证明、工作经验能够比较好地作为用工协作场景中的信誉证明。

共享经济：在线下的场景中需要信誉/诚信保障的场景，比如说共享租房，比如说去中心化的airbnb，不管是房东还是租客的基本信息都需要，DID可以发挥比较好的作用。

版权交易：最近关于NFT的概念大家也聊的比较多，我创作了作品，那作者和以往的作品通过怎么样的载体沉淀、表现、展示出来？也需要数字身份或者一套机制做背书。

其实有很多场景，包括产业界工业，现在比较火的是互联网场景中企业身份怎么规避企业间合作中的身份作假等。类似这种场景，DID也能发挥比较好的作用。

姚翔：

从两个角度来看DID的应用。

从Web3公有链的角度，现在公有链上DID已经在广泛应用了，也有了大量的用户，咱们都是这个行业的早期用户、建设者。从这个角度来看，DID会向传统业务有更多的融合，刚刚Saijie也提到登录是比较直观的应用场景。未来很可能用Web3的账号登录中心化服务、中心化网站。

对于网站的提供服务者来说也是更简便的集成方式，我们知道吸引新用户也是比较困难的事情，只要支持Web3登录，那么所有拥有DID的人就是潜在用户群，我认为这会在最近1-2年慢慢演变出趋势。

从现在的应用场景上来看，可能会在几个业务场景上有些突破。首先是在医疗层面，疫情下大家更关注隐私，因为在不同场合要填很多很多信息。目前国际上有些协作，基于DID把个人健康信息、诊断记录做证明。未来这件事情会逐步扩展，比如说个人的病史、诊断报告等，都会提供更好的证明。

现在患者要从A医院换到B医院，很多检查是要重新做的。原因是数据没有很好的打通，除非这两个医院之间已经做了很好的连接。如果说这套体系是基于DID打造的，那用户只要提供授权，医院就可以核实患者的病史，方便就诊，减少摩擦。

政务领域，各个政府部门间数据也并不完全是打通的，数据在保存在不同的部门。比方说社保、买房的流程现在已经比较简化了，但如果跨城市来做的话依然是比较困难的。只有真正让信息变成可验证的凭证，和用户DID进行连接，才能真正地解决这个问题，让证明可携带。

两个角度：第一，Web3融合，向传统领域发展；第二，从传统应用层面慢慢接纳DID技术。

贾瑶琪：

最后一个问题，不管是HashKey Me还是MYKEY，你们认为项目在未来如何助力Web3.0基础设施建设？

Saijie：

我认为Web3.0基础设施可以从两块来助力：

1、提供更好的入口。像MYKEY和HashKey Me都是在这个方向上做了很多努力和尝试。当前区块链的应用还需要用户自己保管私钥、助记词，并且对于公链来说要形成新的私钥。这种烦琐的私钥管理方式很大程度限制了新用户的流入。没有比较好的Web3时机到来入口。对用户来说也会造成私钥保管不当导致丢失的隐患，现在把问题抛给了用户。这是我们这款产品主要助力解决的点。

2、构建一套数据隐私和可用性的方案，也是我们提供的一大特色。我们是基于多方协作的思想将数据的存储、控制权、映射关系做分析，最大限度保证单一的能力提供方规避作恶的可能性。我们希望将在区块链理念中的能力抽象出来，用区块链解决问题的思路运用到具体的数据管理过程中。

这是我们主要助力的方向。

姚翔：

我们做的事情和HashKey Me很像，都是帮助用户更好地接入Web3基础设施，更方便地使用区块链。我们走了一条稍微不太一样的路，我们是基于智能合约的体系来做的。帮助用户把DID注册在不同的区块链上，首先在底层设施上部署一套智能合约，每个用户进来的时候会帮助他将自己的DID注册在区块链上。同时也协助用户，一旦他丢失了自己的设备或者密码没有办法找回了，我们可以作为他授权的紧急联系人帮助他实现身份的恢复。体系是开放的，用户可以自己设置其他联系人。

Web3.0时代我们做的有点像运营商的工作，底层区块链是有相关费用的，我们做了两件事：1、帮用户付；2、向用户收，会有一套计费系统。

在这个层面有一些和现在业务很相似的玩法，针对不同类型的应用可以开展定向的合作、导流。现在运营商会跟银行、游戏发联名卡套餐，比如说玩某个游戏流量是免费的，区块链上这方面的思路也是可行的，我们也在做这方面的尝试。

归根到底，都希望让用户更好地使用区块链，同时仍然保持对自己身份的完整掌控。这点上可以MYKEY跟HashKey Me的目标都是一致的。

贾瑶琪：

谢谢今天两位的分享，今天的活动就到这里结束，谢谢大家。

本次分享结束。此外，想要快速了解行业趋势，get区块链最新技术和应用。除了参加蜂巢学院线上公开课外，参与行业内的顶级交流盛会，聆听行业前行者的智慧分享，与同行面对面交流，更是事半功倍！

第六届区块链全球峰会提供了这样的好机会，这是目前国内最具国际影响力的区块链行业盛会，自2015年首次举办以来已经走过了六个春秋，见证引领了全球区块链发展的趋势。每年国际周都会邀请到区块链行业知名的意见领袖，带来最前沿、最有洞见的区块链行业资讯和观点分享，也汇聚了行业精英和知名企业，帮助大家拓展优质的商业社交网络。

点击阅读原文，有惊喜哦（记得打开音效~）

End

※———长按识别下方二维码关注我们———※