隨著 WEB2.0 的發展,BAT 等平臺商發展壯大,微信及支付寶使用者體量規模巨大,阿里和騰訊積累了大量的使用者身份資訊。由於網際網路獲客成本越來越高,很多小微企業和商戶在網際網路上提供服務時,傾向透過聯盟身份方式,獲得微信或支付寶提供的使用者身份資訊訪問介面。長期以往,根據馬太效應,網際網路巨頭企業的使用者資料規模巨大,伴隨資料壟斷性將帶來很大的蜜罐資料風險。
為了使身份真正具有自主權,數字身份基礎設施需置於分散式環境中,而不是屬於單一組織或聯盟組織控制的中心化環境。
象鏈科技分散式身份系統(Ele-DID)在分散式儲存技術上進行升級和最佳化,使多個機構、組織和政府能夠共享身份資料,同時抵禦故障和篡改。象鏈科技分散式身份系統(Ele-DID)在分散式賬本的技術背景下,在安全性和匿名性方面進行了深度研究和最佳化,並融合了EleChain的公鑰基礎設施和匿名憑證技術相結合。
1數字身份的表示和採集
國際電子技術委員會將“身份”定義為“一組與實體關聯的屬性”。數字身份通常由身份識別符號及與之關聯的屬性宣告來表示,分散式數字身份包括:分散式數字身份識別符號和數字身份憑證(宣告集合)兩部分。
1.1 分散式數字身份識別符號(Decentralized ID)
分散式數字身份識別符號(DID)是由字串組成的識別符號,用來代表一個數字身份,不需要中央序號產生器構就可以實現全球唯一性。通常,一個實體可以擁有多個身份,每個身份被分配唯一的 DID 值,以及與之關聯的非對稱金鑰。不同的身份之間沒有關聯資訊,從而有效地避免了所有者身份資訊的歸集。
1.2 可驗證宣告(Verified Claims)
“宣告(claims)”是指與身份關聯的屬性資訊,這個術語起源於基於宣告的數字身份,一種斷言(assert)數字身份的方式,獨立於任何需要依賴它的特定系統。宣告資訊通常包括:諸如姓名,電子郵件地址、年齡、職業等。
宣告可以是一個身份所有者(如個人或組織)自己發出的,也可以是由其他宣告發行人發出的,當宣告由發行人簽出時被稱為可驗證宣告。使用者將宣告提交給相關的應用,應用程式對其進行檢查,應用服務商可以像信任發行人般信任其簽署的可驗證宣告。多項宣告的集合稱為憑證(credentials)。
2可驗證身份模型
數字身份管理的主要目的是使身份所有者能夠方便地獲得宣告並使用宣告,以證明其身份屬性,宣告管理是數字身份體系的主要內容。
可驗證宣告由身份背書方(宣告發行方)根據身份所有人請求進行簽署釋出,身份所有者將可驗證宣告以加密方式儲存,並在需要的時候自主提交給身份依賴方(宣告驗證方)進行驗證;身份依賴方(宣告驗證方)在無需對接身份背書方的情況下,透過檢索身份登錄檔,即可確認宣告與提交者之間的所屬關係,並驗證身份持有人屬性宣告的真實來源。
對比傳統的身份認證方式——身份依賴方採集使用者資訊,透過安全通道將其傳輸給身份認證方進行認證的做法,可驗證宣告模型下,身份認證方不需要關注、信任和對接身份依賴方系統,只需要為身份請求者核准和簽發真實性宣告檔案,身份依賴方則在無需對接不同認證方的情況下也能夠實現對多樣化使用者身份資訊的訪問及資訊真實性的驗證。
在數字身份的應用中,將身份識別符號的生成、維護,與身份屬性宣告的生成 / 儲存 / 使用分離開來,有助於構建一個模組化的、靈活的、具有競爭力的身份服務生態系統。
3Ele-DID分散式數字身份的技術特點
如開篇所講,今天任何實體在網際網路上的數字身份的控制權其實是在第三方手中,不論是電子郵件地址、使用者名稱、數字證書都是我們透過向服務提供商、CA 中心以及社交網路“租借”的,這導致整個網際網路範圍內出現了嚴重的可用性和安全性問題。
為了將數字身份的控制權返還給所有者實體,需要一套支援身份所有者進行無需許可、建立自舉加密數字身份的機制,Ele-DID所做的就是將數字身份基礎設施置於分散式環境中。
分散式數字身份解決了以下問題:
數字身份識別符號的自主控制與管理
基於非對稱金鑰的點對點認證及安全資訊互動
提供密碼學應用的使用者友好性
3.1 基於 DPKI 的分散式金鑰管理與使用
目前,基於 DNS 和 X.509 PKIX 的網際網路身份管理系統中存在一些安全和可用性問題,這些問題的根源在於系統的中心化。中心化設計阻礙了身份所有者本人控制代表他們身份的身份識別符號,從而使第三方有危害其身份安全的可能性。為了解決這一問題,我們需要構建分散式公鑰基礎設施,明確分散式金鑰管理辦法。
分散式金鑰管理可以透過為實體提供分散式數字身份錢包應用來實現,身份錢包支援使用者自行建立身份,進行身份密(私)鑰的維護和控制金鑰使用;同時透過不可篡改的分散式賬本來登記和釋出所有者身份識別符號及關聯的驗證公鑰資訊。基於此設計的 DPKI 即使在資源受限的移動裝置上也能正常工作,並且能夠透過提供私鑰保護實現對使用者身份識別符號的完整性保全。
3.2 基於DPKI的點對點認證及安全通訊
實現基於 DPKI 的點對點認證及安全通訊的目的是為使用者和資料提供安全、保密的點對點信任關係。一個安全的點對點通訊系統需要滿足以下三項基本要求。
機密性 - 確保點對點網路中的資料不被未授權者訪問。
完整性 - 確保傳送的資料是由授權的對等節點發出,資料不能被未授權者偽造或修改。
可用性 – 確保授權的對等節點能正常使用網路資源,而未授權者無法使用。
就兩點間通訊而言,其安全通訊的工作原理依然是基於傳統 PKI 挑戰響應機制和協商資料加密方式;就全網所有節點而言,透過部署在去中心化伺服器及個人客戶端的身份金鑰錢包,以及全網共享的 DID 分散式賬本,代表任意不同實體身份的節點之間都可以實現基於非對稱金鑰方式的認證互動,並最終透過這種實體間的信任傳遞實現全網信任。
3.3 基於零知識證明的匿名憑證的研究與實現
傳統的訪問控制方式是基於使用者向服務提供者出示自己的身份資訊,然後由服務提供者判斷使用者是否可以使用該服務。這種基於身份的訪問控制不是匿名方式的,使用者需要披露的資訊往往遠超過必要範圍才能獲得對服務的訪問許可權。
一種名為匿名憑證(Anonymous Credential, AC)的解決方案可以幫助使用者擺脫這種情況。匿名憑證是由憑證發行方提供的包含使用者資訊的特殊憑證,它用來傳輸宣告資訊,但不實際包含宣告資料的明文或密文版本,而是提供有關宣告結果的密碼學驗證方法。匿名憑證的典型例子是在不揭示實際出生日期資訊的情況下,出示有關年齡情況的證明(如“21 歲以上”)。AC 的一大優勢是服務提供商無法獲得包含資料的完整憑證,也無法複用它來模擬另一個使用者。AC 提供匿名性,這意味著其他人可以看到具有授權屬性的使用者進行操作但無法識別該使用者是誰。
匿名憑證適用於基於屬性的訪問控制(Attribute-Based Access Control,ABAC)辦法 —— 根據物件的屬性、環境條件,以及根據這些屬性和條件制定的一組策略,對物件執行操作的請求進行授予或拒絕,ABAC 控制模式可以很好地支援開放環境下動態、靈活的訪問策略。
4後記
網路安全和資訊化是一體之兩翼,驅動之雙輪,沒有網路安全就沒有國家安全,沒有網路資訊化就沒有現代化。象鏈科技願意與各界人士一同推進網路安全和資訊化的程序,更好地促進數字經濟的發展,適應人們越來越豐富的數字生活。
- END-
相關連結
3.技術篇 | EleChain V3.0 中的多重簽名演算法
4.技術篇 | 基於安全多方計算的EleChain平臺的隱私保護機制
關於象鏈科技
象鏈科技(上海)有限公司,是一家快速成長的區塊鏈領先企業,一直以“區塊鏈技術 服務民生”為理念,致力於區塊鏈基礎研究和應用研發,為人工智慧、智慧城市、智慧政務、民生服務的發展助力。象鏈科技的願景是打造區塊鏈+人工智慧數字經濟新生態,擁有首個融合ABCD(A-AI B-Blockchain C-Cloud D-BigData)產業的高效能自主研發公鏈底層相容聯盟鏈平臺EleChain。
