2023年12月12日,BSN实名DID服务发布会在北京成功举办,会上正式发布了BSN实名DID服务。这一服务充分融合了BSN区块链服务网络和CTID数字身份链两大基础设施,满足“前台匿名、后台实名”的管理要求,对服务数字经济发展、支撑国家数据基础设施建设具有重要意义。
BSN发展联盟常务理事何亦凡在发布会上介绍了BSN实名DID服务在各种领域的具体应用案例,以下是BSN实名DID服务场景案例介绍的相关视频及文字整理,为便于阅读,文字部分有所编辑修改。
BSN实名DID服务场景案例介绍
BSN也好,CTID系统也好,实际上都是非常后台的系统,从前端是很难模拟出来它们到底是干什么的,所以我的工作就是科普,争取用大家都能听懂的方式解释清楚BSN实名DID服务。
理解实名DID首先要理解密码学领域的一个关键名词,即非对称加密的“公私钥对”,这是1974年由美国人提出来的一套加密学算法,一直沿用到今天,也是加密学里在实际工程上用来加密的最主要的算法。
但是我认为科技永远在模拟人的行为,“公私钥对”的逻辑实际上几千年前在我们中国就出现了。我给大家举两个例子就清楚了,是两个成语典故:“破镜重圆”和“窃符救赵”,一个讲述的是1500年前的事情,一个是2300年前的事情。
破镜重圆是说隋朝灭陈的时候,陈国的公主被迫逃跑,在临行前将一面镜子分成两半,与驸马各自持有一半,并约定5年以后凭各自保管的一半镜子相认。五年以后在一个集市上,公主的老仆人拿着一半镜子,驸马拿着一半镜子,两个人一对,果然就相认了。这就是一个公钥、一个私钥对在一起,确认了身份,验证了其中一人是驸马。
窃符救赵的故事大家应该都很熟悉了,兵符有两个,一个在魏王手里,一个在将军手里,必须拿着魏王这一半,相当于私钥,找到将军两边一对,相当于公钥验证,才可以出兵,于是信陵君就把魏王的兵符偷了出来。
所以大家可以看到,“公私钥对”其实是非常古老的逻辑,已经存在了几千年,只是在1974年才用数学的方法计算出来,它的逻辑就是一定要有两个东西拼在一起,才能产生一系列的作用。
那么公私钥对到底能做什么?私钥发起的动作就相当于盖章,然后用公钥可以证明这个章是用某个特定的印章盖出来的。而公钥相当于是一个保密箱,可以把文件或数据装在这个箱子里进行加密,加密以后,甚至装箱的人也无法解密,只有使用私钥才能解开。
公私钥对的作用就是这两件事:盖章、验证章,实际上就是加密和解密。破镜重圆的故事讲的其实就是加密,拿着镜子的老仆人就等于是被加密过的一个字符串,已经没有人能认出他的真实身份了,但是驸马用自己的半个镜子验证了老仆人原来就是公主的代理人。窃符救赵故事里的兵符就等于是用魏王的私钥盖了一个章,将军用自己的公钥验证之后,就可以调兵遣将。
公私钥对的作用实际上就是这两个动作:私钥盖章,公钥验证;公钥加密,私钥开锁。大家记住这个口诀,也等于是个密码学专家了。
那么什么是BSN实名DID服务?其实很简单,公钥一定是可以很容易让大家拿到的,这样才能让任何人都能验证某个章是用对应的私钥盖的;或者在发送数据的时候,才能很容易地使用公钥去进行加密,接收方使用对应的私钥来解密。所以公钥的一个特点,就是一定要保存在一个公开环境内,方便大家获取。
因此,BSN实名DID服务实际上由两部分逻辑组成。第一部分是对接CTID平台,经过CTID平台进行身份认证以后生成一个DID标识,用于寻址公钥,公钥就保存在DID标识对应的实名DID文档中。这部分逻辑实现了两个功能:首先,可以证明为某个个人生成了公私钥对;其次,将公钥存入了经过实名认证的文档里,这也代表着公钥与个人的姓名、身份证号码等实名身份产生了关联。第二部分逻辑是将公钥保存在BSN的公开网络环境里,而DID标识就相当于Web3.0中的一个地址,甚至可以关联一个分布式域名,任何人都可以通过DID标识或分布式域名来获得文档,提取公钥,之后进行加密或验证。
所以BSN实名DID服务就是把公钥与个人的身份验证关联,同时放在一个公开环境里,让大家可以提取,就是这样的逻辑。
接下来我来介绍一下BSN实名DID服务的应用案例。
第一,BSN个人数据确权服务。大家自己可以生成一个文件,无论是什么文件,PDF、图片、Word文档或是电子邮件,发出去以后如何证明文件是自己的?这在Web2的互联网上其实是没有办法证明的。
但是现在可以证明了,我们可以总是生成一个公私钥对,无论产生什么文件,都用私钥盖章,当然还会用到一些哈希算法,对应的公钥经过认证以后放到实名DID文档里,通过实名DID文档,任何人都可以用公钥验证这个文件属于你。
BSN实名DID服务让互联网出现了之前从来没有出现过的事情,就是一个文件,永远可以被证明是属于谁的。并且这个过程是大家感知不到的,例如数码相机在激活的时候就产生公私钥对,然后照相机直接连BSN实名DID服务系统,把公钥注册进去,拍照的时候自动用私钥为照片盖章,相当于打上实名水印,这样就总是能够证明照片是由谁拍摄的。除了照片外,还包括PDF文档、电子邮件。现在是给了人们一个方法,让大家开始能够对数据进行确权,我认为这是非常伟大的变革。
第二,个人数据流转。实名DID文档不是只能存一个公钥,而是可以存很多公钥。某个业务平台方可以生成公私钥,在实名DID文档内存入公钥;某家银行也可以为提款业务生成公私钥,公钥存入DID文档,私钥交给个人用户。每个人都可以管理很多公钥和私钥。两个业务方各自在实名DID文档内存入一个公钥,就可以对二者之间的数据传递实现完全加密。而且除对方以外,任何人都无法解密。这为大家提供了在互联网上对数据流转进行绝对加密的服务,可以应用在很多涉密的场景当中,例如某些涉密行业的两个工作人员之间发电子邮件,就可以全程实现绝对的加密。
第三,隐私保护登录,这是我认为最重要的。30年前,我们的登录方式叫用户名密码登录,10~15年前是手机验证码登录,而未来10年就将会是公私钥对登录。现在用BSN实名DID服务,注册的时候只需要DID标识或者一个地址,之后使用手机上自己生成的私钥签名就可以登录,所有的业务全部使用DID标识进行处理。
这种方式下,实现了对个人信息的零收集。不再需要用户名和密码,用户名和密码都是隐私数据,手机号也是隐私数据,这些隐私数据都不再需要提供。而只需要提供不是隐私数据的DID标识。这会形成一种全新的局面,在网站上个人隐私数据与业务数据是完全脱钩的,这就可以彻底避免应用平台倒卖用户数据,因为这些数据与个人身份没有任何关联,也就不具有任何价值。
我认为10年之内,很多国家会立法禁止大的互联网平台保存大家的隐私数据,而是必须使用实名DID手段进行登录。目前欧盟的GDPR法案规定,用户可以要求互联网平台删除数据,而互联网平台必须删除,包括备份。之所以这样规定,是因为现在的互联网没有手段实现全匿名登录。有了实名DID技术以后,我相信这一法律一定会改成直接不允许互联网平台保存用户数据,必须使用欧盟签发的实名DID处理所有的业务,解决所有的问题。这是巨大的变革,直接改变了大家使用网站的行为方式。这是已经实现了的,如果有网站想提供匿名登录服务,现在就可以提供。
第四,自定义业务DID。之前提到的实名DID文档我们称为官方DID文档,这个文档只能写入公钥,对身份和私钥进行验证,其他信息则没有办法验证。但是业务方可以生成自己的业务DID文档,并且可以是很多业务DID文档,写入各种业务信息。
就像元宇宙中有虚拟人,国家一定会要求虚拟人能够关联到实际的个人。所以我们就有了这样一个场景,个人有一个官方实名DID文档,他创建了20个虚拟人,就可以生成相应的20个业务DID,等于为每个虚拟人配置了一个永久的ID,但是业务DID文档内可以不用写入公钥,而是写入虚拟人的建模数据。这将使虚拟人在任何元宇宙、任何游戏平台、任何网站展现出来的形象都是一致的,因为所有的平台方调用的数据,不是存在某个后台,而是存在公共环境内,供任何人调用。
这也是实名DID技术的一个核心价值,即通过DID技术可以把很多业务的数据流打通,让大家共享一套数据流。
第五,个人身份证明凭证。凭证技术实际上是实名DID 技术的衍生,主要就是使用私钥签名的文件。最主要的功能就是由业务方发出,证明用户身份,里面不仅有用户的DID信息、实名信息,还有业务方的签名信息,例如一家银行的签名信息。
这能产生什么效果?用户持有这个凭证到另外一个合作银行就可以直接开户,连信息都不用提供。因为已经有一家银行和CTID系统来保证用户身份,而且用户的信息银行和CTID系统一定是有的,可以直接处理很多业务。
第六,个人身份信息凭证。实际上就是有个人信息的电子凭证,它的私钥一定是由个人保管,安全级别非常高,要经过一定的技术集成才能使用。可以用电子设备去扫描这个凭证,就可以验证你是谁。
第七,自定义个人身份证明凭证。业务方可以自由定义模板,例如为了参加拍卖,需要银行提供一个存款证明,凭证里面还需要加入存款金额。银行就可以基于自定义的模板,发一个电子介绍信,里面有银行的签名、CTID核验的流水号等一系列东西,用于证明用户身份和存款金额。
所以,总结起来,实名DID就像一个连接器,帮大家保存公钥;而凭证则相当于电子介绍信,通过各种私钥签名为大家开具电子介绍信。
从技术角度而言,DID技术实际上非常简单,甚至一个高中生,花20分钟就可以在BSN或任何公链上部署一套DID系统。
但实名DID却非常复杂,首先必须是权威机构去发。包括在美国以及欧洲各国,涉及到实名DID,一定是需要国家在后面对身份进行认证的。
第二,一定要有立法。咱们国家的立法已经到位了,就是《个人数据安全法》,一定要从立法层面对个人数据进行保护,才能督促大家使用新的技术。
第三,私钥最终一定由个人掌握。当然这一点在目前实现起来比较难,包括国内和国外,因为大家现在还没有私钥的概念,同时也缺少管理私钥的工具,所以未来两三年内逐渐会有很多私钥管理工具,私钥托管服务出现,来帮助大家管理私钥。但是最终还是要让个人掌握私钥,才能真正掌握自己的DID和身份。
第四,实名DID一定是放在公共环境里的,任何人都可以调用,并且不需要成本。BSN实名DID服务是放在延安链上,延安链是一个公开环境,由多家共管,包括公安部一所中盾安信、国家信息中心、中国移动等,也就是说任何一家都是没有办法关闭延安链的。未来延安链将有几十家共管,以保证它一直是一个公开透明的环境。
我们认为BSN实名DID服务发布的2023年12月12日将是一个划时代的日子,这也不仅仅是指BSN实名DID,而是未来所有的实名DID,将会改变互联网很多架构性的东西和底层逻辑。
一是不再使用暴露隐私的用户名密码和手机验证码,逐渐改为实名DID和私钥签名的注册登录和网络的浏览。未来十年是公私钥对的管理。公私钥的概念将会越来越强烈。
二是数据永远确权,例如未来office上生成word文档,只需点击保存就会打上实名水印。并且大家也不用担心有纠纷,因为有水印就会有时间戳。同时可以转移它的所有权,甚至将来可以分层,所有权和使用权分离。
三是加密,把很多加密手段给了个人,可以保证哪些数据可以让谁看,让个人用户对数据有了一定的控制权。
我认为实名DID系统,需要强调的是不仅仅是BSN实名DID服务,未来必然会成为通用技术。从此以后人们在互联网上就不会再裸泳了,互联网就像一条滔滔大河,之前想在里边玩,就必须把数据扔进去,谁想看都能看。而现在实名DID系统等于给了我们一个手段,支持我们想放什么数据,我想干什么,有了一定的控制权。这是互联网上身份认证的巨大变革。各国目前都在研究分布式身份的问题,但是没有一家做到实名分布式技术,我们的项目确实比较领先,但是5-10年后,每个国家都会推出实名DID,实名DID将会成为互联网的标配服务。
谢谢大家!