在企業中採用許可鏈技術是一條充滿挑戰的道路。從根本上來說,基於分散式分類賬的所謂Web3堆疊對於實現複雜的企業業務流程是不成熟的。在企業區塊鏈平臺中缺失的構建塊中,身份作為新一代企業解決方案無處不在的挑戰而成為首要的考慮因素。本文將探討一下企業區塊鏈解決方案中的身份管理功能以及身份層模型。
在過去五年中,隨著新一代技術的出現,從CA或Microsoft Active Directory等複雜系統過渡到更開放的API驅動平臺,如Okta、Ping Identity、One Login as以及AWS、Azure或Google Cloud等雲平臺中的相應堆疊,身份管理行業迎來了巨大的發展。這些平臺將身份的功能從專有系統轉移到開放協議,如SAML、OpenID Connect等。但是,這並不意味著企業身份管理技術是簡單易用的。恰恰相反,隨著身份功能的發展,對身份管理解決方案的要求也越來越複雜。檢視企業中當前的身份管理架構,有一些值得強調的特徵:
·基於中心化的身份提供機構:企業身份管理解決方案通常依賴於中心化的身份提供機構,這些身份提供機構接收某種形式的使用者憑證作為輸入,然後輸出身份通證。
·基於身份協議:目前,很大比例的企業身份管理解決方案利用SAML、OAuth2等協議進行互動。
·分散化:企業環境中的使用者身份分佈在不同的業務系統或使用者目錄中。結果,不同的應用程式傾向於與使用者身份的不同表示進行互動。
在許可鏈中實現身份功能的基本摩擦
將所有這些特點結合起來,我們可以知道,企業中的使用者身份分佈在許多系統中,但由身份提供機構來具體執行。對於身份,在當前的企業系統架構和區塊鏈技術領域之間需要解決兩個根本性的摩擦。
·共識與身份
·中心化與去中心化的身份斷言(assertion)
對於企業區塊鏈場景,PoA共識也是很實用的,因為它可以充分利用使用者和系統的現有身份。目前已經有許多與許可鏈相關的PoA共識實現,包括Parity和Microsoft Azure。
去中心化的身份協議
為了實現去中心化身份,需要對身份重新進行架構,將許多傳統的身份動態轉移到去中心化的參與者網路中。
在過去的20年裡,微軟一直是身份管理領域的領先者之一,但它們也意識到區塊鏈需要新的身份模型。受到DIF(去中心化身份基金會)啟發,微軟最近提出了一種前瞻性架構,以支援區塊鏈的去中心化身份。 Microsoft的架構包括以下元件:
·W3C去中心化身份標識(DID):使用者建立、擁有和控制獨立於任何組織或政府的ID。DID是連線到去中心化公鑰基礎設施(DPKI)後設資料(後設資料由包含公鑰材料、身份驗證描述符和服務端點的JSON文件組成)的唯一全域性性標識。
·去中心化系統:DID植根於去中心化系統,提供DPKI所需的機制和功能。
·DID使用者代理(User Agents):使真人能夠使用去中心化身份的應用程式。使用者代理應用有助於建立DID,管理資料和許可權以及簽署/驗證與DID相關的宣告。
·DIF通用解析器:一種伺服器,利用DID一系列驅動程式為不同客戶端和去中心化系統中的DID提供標準的查詢和解析方法,並返回封裝了與DID相關DPKI後設資料的DID文件物件。
·DIF身份中心(hub):加密個人資料儲存的複製網格(replicated mesh),由雲和邊緣例項(如行動電話、PC或智慧揚聲器)組成,可促進身份資料儲存和身份互動。
·DID 證明:DID簽署的證明基於標準格式和協議。它們使身份所有者能夠生成、呈現和驗證宣告。這構成了系統使用者之間信任的基礎。·
對於許可鏈,去中心化的身份協議在傳統的企業身份管理系統和區塊鏈DApp之間提供了清晰的橋樑。
零知識證明身份儲存(Identity Stores)
證明、宣告以及去中心化hub的概念是去中心化身份模型的一些最重要的原則。一個有趣的想法是將去中心化hub與零知識證明協議(如zk-SNARK)相結合,為DID增加另一層的隱私,同時允許其他協議驗證身份證明。筆者喜歡將這個概念稱為零知識儲存,並且這一概念已被uPort等協議所支援。
在零知識身份儲存模型中,與使用者身份相關的斷言將使用zk-SNARK進行編碼並在鏈上釋出。智慧合約可以驗證關於使用者身份的斷言,而不會洩露有關基礎使用者身份的任何資訊,從而在執行高階別隱私的同時維持鏈上的執行。
小結
身份是許可鏈應用程式的基本構建塊之一,需要解決這一問題才能實現許可鏈的主流採用。 去中心化身份基金會(DIF)等機構的努力將引領傳統身份系統與區塊鏈新世界之間的融合。 雖然該領域已有一些協議和工具,但在企業區塊鏈解決方案中實現身份功能仍然是一項相當複雜的工作。