01
歷程溯源
在現代社會中,身份是處理實體關係的入口。對實體身份資訊進行判別和認證,並未實體提供與其身份匹配的服務,是社會關係的一種重要模式。並要求使用者的身份資訊和服務方共享。
今天,我們先來簡要的談一談身份和數字身份。
身份
國際電子技術委員會將“
身份
”定義為“一組與實體關聯的屬性”。這裡的實體不僅僅是人,對於機器或者物體都可以是實體,甚至網路中虛擬的東西也可以是實體並擁有身份。這些實體作為數字化社會的重要組成部分,共同構建了數字生態。
數字身份
隨著網際網路的出現和普及,傳統的身份有了另外一種表現形式,即數字身份。一般認為數字身份的演進經歷了四個階段,分別是:
中心化身份
、
聯盟身份
、
以使用者為中心的身份
以及
自我主權身份
。
中心化身份:
由單一的權威機構進行管理和控制的,現在網際網路上的大多數身份還是中心化身份。
聯盟身份:
解決了中心化身份中身份資料零碎混亂的弊端,此種身份是多個機構或者聯盟進行管理和控制的,使用者的身份資料具備了一定程度的可移植性,例如允許使用者登入某個網站時,可以使用其他網站的賬戶資訊,類似於QQ、微信或者微博跨平臺的登入。
以使用者為中心的身份:
重點集中在去中心化上,透過授權和許可進行身份資料的共享,例如OpenID。
自我主權身份:
真正意義上的去中心化的、完全由個人所擁有的和控制的身份。
02
PKI&DPKI
“
身份
”本身是基礎並客觀存在的,如今的網際網路廣泛透過“租借”第三方機構(DNS註冊機構、證書頒發機構、ICANN)服務來構建信任體系、實現實體間的安全通訊,若要實現去中心化生態體系,那我們應該瞭解基本的PKI與DPKI體系之間的關係。
PKI
PKI
是Public Key Infrastructure的縮寫,翻譯過來是公鑰基礎設施,是生成、儲存、分發和撤銷使用者數字身份證書所必須的軟體、硬體、人、策略及處理過程的集合,也是國際公認普遍適用的一整套資訊安全系統。
PKI
的建立依賴於權威的認證,離不開可信第三方的協同工作,透過運用多種技術,可為應用提
供認證、加密和數字簽名等安全支撐
,為資訊系統提供
秘鑰管理和證書管理等安全服務
,其主要載體為
X.509
格式的證書檔案。
DPKI
分散式公鑰基礎設施(DPKI)
作為
PKI
的演進,並非是對
PKI
的全盤拋棄和替代,更多是在原有認證體系基礎之上的一種改進和補充,透過構建一種分散式的認證體系來解決中心化認證體系存在的問題,是未來網路信任生態的基礎設施。
DPKI
與
PKI
在業務流程上並無明顯區別,首先使用者提供相關資訊併發起申請,接下來發證方稽核資訊,頒發證書,最後使用者出示證書完成驗證。但不同於PKI體系,
DPKI強呼叫戶身份的自主可控、身份可移植和分散式認證,個人身份的驗證不再依賴於發證方
。
03
數字身份標識-DID
伴隨著區塊鏈等可信技術的發展,各大公司、機構紛紛入局,對DPKI的實現展開了更深入的研究探索,分散式數字身份(DID)解決方案應運而生。透過結合區塊鏈技術,分散式數字身份使使用者真正擁有並控制自己的個人資料和資產,可實現跨部門、跨行業、跨地域的去中心化共享能力。
Decentralized Identity 去中心化身份,簡稱DID,相對於傳統的的基於PKI的身份體系,基於區塊鏈建立的DID數字身份系統具有
保證資料真實可信
、
保護使用者隱私安全
、
可移植性強
等特徵,其優勢在在於
• 去中心化:
基於區塊鏈,避免了身份資料被單一的中心化權威機構所控制。
•
身份自主可控
:基於DPKI(分散式公鑰基礎設施),每個使用者的身份不是由可信第三方控制,而是由其所有者控制,個人能自主管理自己的身份。
•
可信的資料交換
:身份相關資料錨定在區塊鏈上,認證的過程不需要依賴於提供身份的應用方。
DID 標識
DID 識別符號其實就是一個字串,在 W3C 中DID 參考的是 URN 的標準,特定格式如下:
DID 文件
每個DID標識都會對應一個DID文件(Document),文件為JSON字串格式,主要包含了與DID驗證相關的金鑰資訊和驗證方法,用以實現對實體身份標識的控制,DID文件內容格式如下圖所示:
並且,一個實體可對應多個DID,實體在透過註冊申請後可獲得一個或多個由自己進行維護管理的DID標識,不同DID標識所代表的身份之間互不相關,有效降低了身份資訊之間的耦合性。總的來說,我們可以將DID基礎層看作是一個鍵值資料庫,DID識別符號當作鍵,而DID文件則是對應的值,二者之間的關係結構如下圖所示:
可驗證宣告
可驗證宣告(Verifiable Credential)提供了一種規範來描述實體所具有的某些屬性,實現基於證據的信任。DID持有者,可以透過可驗證宣告,向其他實體(個人、組織、具體事物等)證明自己的某些屬性是可信的。同時,結合數字簽名和零知識證明等密碼學技術,可以使得宣告更加安全可信,並進一步保障使用者隱私不被侵犯。
在DID生態體系內,主要有使用者、發證方、使用方三種角色。
•
使用者(User)
:擁有鏈上數字身份的任何人/組織/實物。任何實體物件都可透過開發者的專案去建立、管理自己的DID。
•
發證方(Issuer)
:可發行數字憑證的人/組織。例如:高校可為某個學生頒發數字畢業證,那麼這個高校便是一個發證方。
•
驗證方(Verifier)
:也稱為業務方,指使用數字憑證的人/組織,驗證方在經使用者授權後,可對使用者的身份或其數字憑證進行驗證。例如:企業錄取某個人的時候,要對其高校畢業證進行驗證,那麼這個企業便是一個驗證方。
04
應用場景
身份認證
身份認證可以說是DID最基本的應用了,對於有身份識別(KYC)需求的場景,透過提前將多個機構頒發的VC與使用者繫結,且錨定到區塊鏈上,憑藉密碼演算法,可進行分散式驗證,使用者只需獲取一次VC,便可隨時出示使用。例如員工入職背景調查,材料在流轉過程中極易遭受篡改,且驗證手段較為匱乏,若使用DID解決方案,學生可以在鏈上使用自己的DID標識向學校申請學歷(學位)憑證,向前公司申請工作(離職)憑證,而在求職時,現公司只需透過驗證介面對上述憑證真實性進行核驗,即可快速完成員工的入職背調。
無密碼安全登入
無口令安全登入的應用場景類似於微信掃碼登陸,當我們需要註冊或登入網站時,無需輸入使用者名稱、電子郵箱、密碼之類的口令,只需使用手機中儲存的使用者DID資訊完成與網站DID的雙向驗證。雖然登陸形式看起來沒有發生任何變化,但與傳統掃碼認證方式不同的是,DID中的身份資訊由使用者自己掌控,使用者首先透過二維碼獲得網站DID並進行驗證獲得公鑰,再使用公鑰加密請求資料,傳送自己的身份資訊交由伺服器驗證,若驗證透過,則登陸成功。透過整個流程我們可以看出,伺服器並不知道使用者的口令,而且也無法獲得除使用者DID文件以外的任何資訊,從而有效防止資料洩露,保護使用者身份隱私。
個人隱私保護
隱私保護是任何身份管理解決方案中不可或缺的一部分,DID也不例外,透過對使用者屬性的選擇性披露可以有效降低使用者隱私洩露的風險。在實際生活中,使用者身份通常具有多個屬性,如身份證上的姓名、出生年月、家庭住址、身份證號等,我們並不總是希望直接將整個證件亮給驗證者檢視,過多關聯資訊的洩露會帶來一系列麻煩,不法分子就曾利用通行大資料(健康寶)竊取明星隱私並進行傳播售賣DID憑證結合零知識證明技術,可以做到資訊最小化提供的同時不影響憑證的合法性驗證,有效保護使用者隱私。例如,一個有社會責任心的商店老闆拒絕向未成年人出售香菸,對於買菸的顧客需要查驗其年齡資訊,此時若使用身份證則會洩露關聯敏感資訊,但在DID技術中,可以只出示部分資訊,證明自己已超過一定年齡(18歲)而無需透露其他資訊,包括出生年月,從而實現對個人隱私資訊的選擇性披露。
數字版權保護
線上數字內容往往會面臨一系列的版權糾紛,利用區塊鏈不可篡改及數字身份自主可控的特性,可有效解決數字內容版權保護問題,實現多方資訊的實時共享、版權認證、交易維權,促使數字資產合法合規流動。鏈上參與者透過使用DID技術,使得作品具備唯一標識,著作權經過認證後,成為不可篡改的鏈上憑證,可以作為舉證、流轉的宣告,應用於資產確權、資料定價、流轉監測分析以及侵權取證等場景。
物聯網及邊緣計算
物聯網裝置通常分佈在不同的地域,採用多種方式接入網路,這也使得其編碼標準存在多樣性,具有較高管理成本和安全風險。若使用DID技術為物聯網裝置分配全域性唯一標識,並結合廠家生產資訊、物聯網運營商以及裝置的所有權資訊,為裝置頒發多種憑證,賦予裝置可宣告、可驗證的自主身份,即可在區塊鏈上實現裝置身份和資料的高效分散式認證,有效保障資料來源的真實性,同時也有利於對裝置產生的資料進行確權、計價。
05
總結
隨著數字經濟時代來臨,數字化發展已成為全球共識。當前,170多個國家陸續釋出數字國家相關戰略,我國在“十四五規劃綱要”明確以數字化轉型整體驅動生產方式、生活方式和治理方式變革,從數字經濟、數字社會、數字政府、數字生態四方面建設“數字中國”。
數字身份的發展將幫助使用者掌握其個人資料、實現資料在各數字化活動之間自由流轉,數字身份將成為數字世界的入口,其重要性不言而喻。