证券通证+身份丨如何为证券通证设计身份协议？

本文是探讨证券通证中身份功能概念的第二篇文章。在第一篇文章中，我们探讨了一些基本的身份准则，并将它们延伸到加密证券世界。在这篇文章中，笔者想集中讨论一个技术模型，将一些准则与现有的证券通证平台结合在一起。

需要注意的是，文章的主要前提就是身份应该作为证券通证体系架构中的独立协议发展。身份应该成为跨平台互操作性的基本构建块之一，而不是绑定到特定的证券通证协议或发行模型。第一篇文章概述了证券通证中身份表示的五个关键属性：

·由用户拥有，由应用执行：在证券通证模型中，身份应由用户拥有，并由不同的证券通证应用程序（如发行平台或交易所）执行。

·基于声明：证券通证应用程序中的身份应该是关于特定用户或实体的一组声明或断言。

·可逆：为了执行证券法，身份表示应该是可逆的，这意味着监管机构能够追索用于生成用户断言的文件。

·基于身份标准：在过去几年中，证券通证行业已经产生了许多高质量标准，例如SAML或OpenID Connect，这些标准已经被我们每天使用的许多应用所采用。笔者相信证券通证协议应该利用一些既定标准作为其协议的一部分，而不是建立新标准。

·可编程：身份应该能够重新用到其他证券通证协议中。

这五个准则提供了一个证券通证身份表示的指导准则。投资者应提交身份证明，以便进行诸如了解客户（KYC）、反洗钱（AML）或认证等流程。身份证明可以是从现有身份提供机构处获取的文档或ID。在完成该过程后，应使用一组声明建立用户身份，该声明包含了证券法的相关属性（例如：管辖权、行业认证等）。这些属性将在加密证券发生交易时用作合规性规则的一部分。最后，监管机构可以使用用户的身份可以用来检索合规流程的相关文件。

身份困境：到底要不要去中心化？

在证券通证模型中启用身份协议的根本性问题在于，是遵循传统的中心化方案，还是使用新兴的去中心化身份模型。中心化方案依赖于身份提供者，身份提供者充当身份代币的发行者和验证者。

这种中心化模型似乎能与当前一代证券通证平台很好地配合，但显然在证券通证体系架构中引入了另一层次的中心化。中心化身份模型本身不是问题，整个互联网都依赖于它们。但是，当你拥有基于去中心化协议的区块链时，中心化身份模型会带来明显的摩擦。毕竟，当协议依赖于中央权威机构的一个关键功能时，协议怎么能实现去中心化呢？

为了区块链身份所面临的挑战，行业一直倾向于采用去中心化的身份模型，将区块链协议作为第一类对象（first-class citizen，可以在执行期创造并作为参数传递给其他函数或存入一个变数的实体）。在这个领域，一些最具前瞻性的工作来自去中心化身份基金会（DIF），它将身份管理和区块链市场中一些最重要的参与者聚集在了一起。

证券通证的去中心化身份模型

去中心化身份领域试图充分利用数十年来身份方案和标准上的技术进步。为了实现这一目标，需要重建身份，将许多传统的身份动态转移到去中心化的参与者网络中。

在过去的20年里，微软一直是身份管理领域的领先者之一，但它们也意识到区块链需要新的身份模型。受到DIF启发，微软最近提出了一种前瞻性架构，以支持区块链的去中心化身份。 Microsoft的架构包括以下组件：

Microsoft的身份管理架构组件

·W3C去中心化身份标识（DID）：用户创建、拥有和控制独立于任何组织或政府的ID。DID是连接到去中心化公钥基础设施（DPKI）元数据（元数据由包含公钥材料、身份验证描述符和服务端点的JSON文档组成）的唯一全局性标识，。

·去中心化系统：DID植根于去中心化系统，提供DPKI所需的机制和功能。

·DID用户代理（User Agents）：使真人能够使用去中心化身份的应用程序。用户代理应用有助于创建DID，管理数据和权限以及签署/验证与DID相关的声明。

·DIF通用解析器：一种服务器，利用DID一系列驱动程序为不同客户端和去中心化系统中的DID提供标准的查找和解析方法，并返回封装了与DID相关DPKI元数据的DID文档对象。

·DIF身份中心（hub）：加密个人数据存储的复制网格（replicated mesh），由云和边缘实例（如移动电话、PC或智能扬声器）组成，可促进身份数据存储和身份交互。

·DID 证明：DID签署的证明基于标准格式和协议。它们使身份所有者能够生成、呈现和验证声明。这构成了系统用户之间信任的基础。

上面概述的架构可以在无需重大修改的情况下稍微调整以适应证券通证模型。对于证券通证，我们可以设想证券通证平台发行DID，它包含关于用户KYC-AML过程结果的证明。这些DID将通过去中心化的hub在链上获取，并将作为合规协议的一部分进行整合。

零知识证明数据库（Store）

证明、声明以及去中心化hub的概念是去中心化身份模型的一些最重要的原则。一个有趣的想法是将去中心化hub与零知识证明协议（如zk-SNARK）相结合，为DID增加另一层的隐私，同时允许其他协议验证身份证明。笔者喜欢将这个概念称为零知识库，并且这一概念已被uPort等协议所支持。举个例子，我们可以设想一种证券通证协议，该协议需要验证投资者是否已获得认证且位于德国。这些声明/证明可以表示为SNARK并在转移时验证，但不会泄露有关用户身份的任何信息。

去中心化hub与零知识证明协议（如zk-SNARK）相结合

一些可能有帮助的协议

去中心化身份行业仍然处在非常早期的阶段，但已经有一些协议可能有助于为证券通证协议提供灵感。

·uPort：uPort一直在稳步构建一系列协议和解决方案，用于管理去中心化应用中的身份。当前的堆栈与以太坊智能合约兼容，可以在许可链的应用程序中使用。

·Azure BaaS：Azure团队在扩展不同区块链的核心协议以充分利用Azure Active Directory。最近他们在以太坊应用程序中实施了权威证明（PoA）共识协议。

·Sidetree：它是代码级组件的组合，包括确定性处理逻辑，内容可寻址（content addressable）的存储抽象以及状态验证过程，可以部署在去中心化分类帐系统（例如公共区块链）的一层上，以生成无需权限的第2层DID网络。

就像合规性一样，身份很可能成为证券通证架构的独立构建块，并且应该成为其他功能的推动者。虽然中心化模型可能是构建第一代身份模型最简单的方法，但去中心化身份架构很可能在长期内占主导地位。像DIF这样的机构以及微软和uPort等公司的成果可以为证券通证中的去中心化身份模型提供坚实的起点。