網際網路時代,我們越來越多的在網路上與各種應用程式、裝置、服務機構進行互動,但是其中互動的資料經常被洩露,尤其是個人數字身份資訊。隨著數字經濟改革的深入,數字身份已經成為了當今時代的重要基礎設施。
本期將從數字身份的含義、演進歷史展開,在對比傳統數字身份與分散式數字身份的不同之處後,提出一個開放、可信、可互動的分散式身份認證系統方案。
數字身份
隨著網際網路的出現,紙質材料逐漸轉變為電子資訊,傳統的身份也有了另一種表現形式即數字身份。數字身份是網際網路中使用者身份的標識,用於向相關人員、單位、機構提供身份所有者的社會身份資訊及相關行為資料。在數字經濟時代,數字身份不僅能指代人、還能指代物。
數字身份的演進一共經歷了四個階段,分別是:中心化身份、聯盟身份、以使用者為中心的身份以及去中心化身份。
中心化身份:由單一的中心機構進行管理和控制;
聯盟身份:由多個機構或者聯盟進行管理和控制,使用者的身份資料有一定程度的可共享、可移植性,例如QQ、微信的跨平臺登入;
以使用者為中心的身份:身份服務節點需要透過使用者的授權和許可才能進行身份資料的共享,例如OpenID;
去中心化身份:身份資訊由使用者完全擁有和控制。
傳統數字身份
傳統的數字身份主要表現形式為中心化身份,由於其容易出現身份資訊洩露、信任成本高等問題,已經不適合現階段數字經濟的發展要求。具體問題如下:
(1)身份資料存在於各個機構,使用者需重複註冊認證,而且各個機構資料難以共享;
(2)身份資料容易被他人盜取利用,造成使用者隱私洩露;
(3)傳統中心化身份認證模式信任成本高,由於為單一服務機構,容易出現節點失效問題;
(4)傳統的數字身份無法覆蓋所有人,根據統計,全球約有11億人沒有個人身份證明,他們無法擁有醫療、教育、保險等權利。
相對於傳統的基於PKI(公鑰基礎設施)的數字身份,基於區塊鏈技術建立的分散式數字身份認證系統具有資料可共享、使用者資料可信、使用者隱私安全、可移植、難以失效等特徵。
分散式身份認證系統利用區塊鏈賬本的不可篡改性,並結合密碼學演算法,將使用者的身份資料加密上鍊,使用者透過掌握個人身份私鑰進行身份資訊的可信授權。
分散式身份認證系統
在現實生活中,使用者經常會向大量的應用程式、裝置、服務機構授予身份資訊許可,在這個過程中,使用者需要時刻關注自身的身份資訊的流向以確保身份資料的安全性。透過基於區塊鏈技術的分散式身份認證系統可以為使用者帶來更隱私、更安全、更便捷的體驗,讓使用者能夠對自身的身份資料有足夠的控制權。
目前大多數分散式身份認證系統是基於W3C分散式身份標識協議(DID),使用區塊鏈網路和密碼學技術建立的身份框架,可以幫助使用者保護自身資訊資料的隱私與安全,具有去中心化、隱私保護、自主管理等特點。
數秦研究院將分散式身份認證系統技術棧分為自上而下的四層結構,第一層是網路協議,第二層為區塊鏈網路,第三層為DID協議,第四層為應用程式。第二層結構透過使用區塊鏈技術可以讓使用者的身份資訊更加可信,並應用密碼學演算法保護使用者資訊隱私和資料安全;第三層結構包含基礎層的DID識別符號、JSON文件、應用層的可驗證宣告(VC)、DNS、去中心化儲存資料庫方案;第四層主要包含分散式身份管理應用程式。
DID識別符號
分散式身份認證系統的使用者識別符號(DID)是由演算法所生成,分散式身份認證系統利用數字簽名技術來實現使用者對於自身DID的管理權。生成DID的同時,會生成與DID繫結的一對公私金鑰,DID與公鑰、使用者身份資訊將會加密儲存在去中心化加密儲存資料庫中,DID與公鑰生成的雜湊值上傳到區塊鏈網路上進行存證,用於保證該身份可信,私鑰則由使用者保管。
可驗證宣告
分散式身份認證系統應用層的可驗證宣告(VC)與使用者的真實身份資訊相關聯,用來證明使用者的身份。該宣告可以被任何實體驗證,它由宣告後設資料、宣告事實及宣告者的簽名組成,其中宣告事實可以是任何資料。VC的生命週期由發行者、驗證者、擁有者進行管理。
- 發行者:擁有使用者資料並能簽發VC的實體,如學校、銀行、政府等機構和組織;
- 擁有者:持有可驗證宣告的使用者或機構。擁有者可以自主決定身份資訊向誰公開,並可以選擇公開的內容;
- 驗證者:需要驗證使用者身份的應用或機構,驗證者不需要與身份擁有者直接互動,只需要根據擁有者的身份ID從分散式身份認證系統中獲取其公鑰資訊即可認證身份是否可信。
去中心化加密儲存資料庫
去中心化加密儲存資料庫用於儲存使用者重要的資料。眾所周知,網際網路巨頭都是透過中心化儲存控制使用者的資料,這些資料會發生洩露等問題,而分散式身份認證系統的各個環節的資料使用都需要經過使用者的許可,所以中心化儲存方案無法滿足分散式身份認證系統的需要。
同時由於區塊鏈賬本無法支撐海量的資料儲存,因此數秦研究院提出了“去中心化加密儲存資料庫”解決方案,該儲存資料庫採用資料分片、資料加密等技術將使用者資料分塊,由不同的分散式儲存伺服器儲存一部分資料塊,分散式儲存伺服器將資料雜湊上傳到區塊鏈網路進行存證,大大加強了使用者資料的安全性與可信性。
管理應用程式
分散式身份管理應用程式用於建立使用者的DID身份標識、管理資料和許可權以及資料儲存的方式。
透過應用上述技術,分散式身份認證系統在執行過程中較難受到外部因素的影響,其優點如下:
1、分散式身份認證系統不會像中心化身份認證系統一樣容易受到單節點故障和斷網的影響。在分散式身份認證系統中,如果一個節點掉線,剩餘節點仍然可以進行資訊互動、身份驗證。
2、在分散式身份認證系統中,身份資訊具有獨立的儲存空間,使用者資料在分散式區域儲存,不予傳輸到公共區塊鏈上,避免了使用者資訊的洩露。
3、分散式身份認證系統將使用者的身份資料進行加密,轉為雜湊值儲存在分散式資料庫上,並透過區塊鏈網路建立有效的監督機制和共識機制,一旦惡意節點想要透過攻擊等手段盜取使用者資訊,其行為馬上會被多個驗證方進行阻止並懲罰。
身份資料隱私保護
分散式身份認證系統中結合軟硬體和多種密碼學技術來保護使用者身份資料隱私:
(1)安全多方計算
安全多方計算(Secure Muti-party Computation,簡稱 MPC)允許多個資料所有者在互不信任的情況下進行協同計算,輸出計算結果,並保證任何一方均無法得到除應得的計算結果之外的其他任何資訊。簡而言之,MPC 可以獲取資料使用價值,卻不洩露原始資料內容。
安全多方計算的特點包括輸入隱私性、計算正確性及去中心化。
(2)零知識證明
零知識證明(Zero—Knowledge Proof)指的是證明者能夠在不向驗證者提供任何有用的資訊的情況下,使驗證者相信某個論斷是正確的。
在分散式身份認證系統解決方案中,零知識證明可以結合可驗證宣告VC為驗證者提供使用者身份的驗證,在驗證過程中分散式身份認證系統僅提供驗證結果,不會提供詳細使用者資訊,保證了使用者的隱私。
(3)可信執行環境
可信執行環境(Trusted Execution Environment,TEE)是一個由處理器直接管理的隔離區域,在可信執行環境中執行的程式碼將完全隔離於系統。將TEE引入分散式身份認證系統,可以將使用者的私鑰與資訊載入在TEE中,所有的身份授權與簽名的過程都將在TEE裡執行,使得身份資訊處於保護狀態。
(4)分散式金鑰管理
分散式身份認證系統解決方案中內建了分散式金鑰管理系統 ( Distributed key manage system) ,該系統具有良好的金鑰容錯性和安全性,可以提供金鑰管理、金鑰分散式儲存、代理重加密 (Proxy re-encryption)等服務。
分散式身份認證系統準則
分散式身份認證系統應在在安全性、可控性、相容性三個維度定義相關準則。
- 安全性
使用者的身份資訊必須得到充分的保護,使用者身份資訊暴露程度限制在身份可信前提的最低水平;
- 可控性
使用者可自主決定身份資訊的註冊、刪除、登出;使用者可以自主選擇個人資訊是否公開;任何機構使用、儲存使用者的資訊時,必須得到使用者的授權許可;
- 相容性
分散式身份認證系統中的各類協議的實現都相容國內外的主要協議標準和體系
總結
隨著數字經濟的發展,分散式身份認證可以更好的幫助使用者和機構進行KYC和監管,促進跨部門、跨地域的身份認證和資料合作,同時隨著聯盟鏈、跨鏈技術、區塊鏈應用的發展,分散式身份認證可以為此形成可信安全的身份資訊互通體系,促進區塊鏈生態的建設與發展。
