本文由中鈔區塊鏈技術研究院授權巴比特資訊獨家首發,轉載需注明出處。
原題《分布式數字身份架構及項目研究》
作者:中鈔區塊鏈技術研究院潘镥镥
概述
數字身份伴隨著計算機科學的應用而發展。
在上個世紀50年代到90年代,數字身份緊跟著互聯網的發展而發展,它可能是email地址、IP地址、域名,通常由不同的網絡服務提供。
當互聯網建立了統一的協議標準,迎來了計算機技術和互聯網應用的蓬勃發展,越來越多的工作和生活線上化。數字身份演變為復雜的體系,需要一套處理認證和訪問控制的業務系統。這時出于便利性的考量,大多數互聯網應用的數字身份一般是用戶名密碼。
當互聯網應用的量級劇烈增加,質的變化悄然發生。
?互聯網巨頭依靠平臺效應壟斷市場,利用用戶數據作為護城河,產生了大量價值,但用戶并沒有對自己的數據擁有什么話語權和價值收入。
?由于利益驅使,圍繞著用戶數據發生的非法收集、數據泄露和買賣行為防不勝防,損害用戶安全。
?用戶的數字身份——賬號密碼由服務商控制,用戶租借使用,服務商可以決定賬號禁用、服務終止。
?互聯網的數字身份從屬于應用系統,決定了用戶要重復注冊很多的賬號密碼,而且互聯網在應用層面并不互聯互通,一個跨應用的業務實現難度很大。尤其對于需要用戶確權操作的跨應用業務,可能需要更改整個業務架構增加跨應用的用戶身份。
為解決這些問題,人們已做了大量的嘗試。
隱私保護政策紛紛落地。《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《信息安全技術個人信息安全規范》等國家技術標準出臺,明確了企業在收集、使用、保存隱私數據時所需要達到的技術效果及建議使用的標準化技術手段。國際上,被稱為史上最嚴格的隱私保護法案《通用數據保護法案》(GDPR)除了明確技術效果之外,更引入了巨額的罰款措施。
區塊鏈技術帶來了新的啟示。作為一種新的分布式系統形態,區塊鏈技術用哈希鏈的數據結構改變了電子數據易被篡改的屬性,用“區塊共識算法”解決分布式系統的數據一致性問題,拜占庭容錯能力保證跨實體運行的系統不受少數節點惡意行為的影響,從而解決業務層面的信任難題,有望在服務商之間搭建互聯互通的協議。
在政策、技術、市場因素的共同驅動下,產生了一種新的數字身份形態——分布式數字身份,它用分布式基礎設施改變應用廠商控制數字身份的模式,讓用戶控制和管理數字身份,通過將數據所有權歸還用戶從根本上解決隱私問題。它通過定義身份層協議提供跨應用的互操作性,促進應用間的互聯互通,創造了一種扁平化、彈性化的數字身份模式。
1分布式數字身份基本概念和模型
國際標準化組織/國際電子技術委員會將“身份”定義為“一組與實體關聯的屬性”,其中“實體”定義為“操作某個特定域的相關項,具有物理或邏輯形態,包括自然人、組織、設備、SIM卡、護照、網卡、應用軟件、服務或網站”。數字身份
通常由代表實體的身份標識符及與之關聯的屬性聲明來表示,分布式數字身份包
括分布式數字身份標識符和數字身份憑證兩部分。
分布式數字身份標識符是由字符串組成的標識符,用來代表一個數字身份,它是一種去中心化可驗證的標識符,實體可自主完成DID的注冊、解析、更新或者撤銷操作,不需要中央注冊機構就可以實現全球唯一性。通常,一個實體可以擁有多個身份,由實體自己進行管理、維護,不同的身份之間沒有關聯信息,可有效避免身份信息被第三方歸集。
數字身份憑證中一般包含一個或多個“聲明”。聲明信息是與身份關聯的屬性信息,通常包括:姓名,年齡、學歷、職業等等。憑證由發行者簽名,可通過密碼學證明是否由憑證中聲稱的實體簽發且未被篡改,因此被稱為可驗證憑證。
1.1可驗證憑證模型
數字身份系統的主要目的是認證數字身份所有者的身份屬性,基于其身份信息提供應用系統的授權訪問和服務。
基于上節中分布式數字身份的設計,可以很好地實現基于可驗證憑證模型的工作流程:
憑證發行方根據身份所有者請求簽署發布可驗證憑證;身份所有者將可驗證聲明以加密方式保存,并在需要的時候自主提交給憑證驗證方進行驗證;憑證驗證方在無需對接憑證發行方的情況下,通過檢索身份注冊表,即可確認憑證與提交者之間的所屬關系,并驗證屬性聲明的真實來源。圖1可驗證憑證流轉模型
在分布式數字身份的模型中,將身份標識符的生成/維護,與身份屬性聲明的生成/存儲/使用分離開來,有助于構建一個模塊化的、靈活的、具有競爭力的身份服務生態系統。1.2體系架構
如前所述,分布式數字身份的核心模型是分布式數字身份標識符和可驗證憑證流轉,核心技術是分布式賬本和密碼學技術,這二者的結合用以創建不可抵賴、且不可篡改的身份記錄。
從實現的角度而言,分布式賬本基礎設施、基于DID的交互、可驗證憑證應用、治理框架組成了分布式數字身份的四層體系架構。
圖2分布式數字身份體系架構
1.2.1分布式賬本具有分布式key-value數據存儲能力的分布式賬本,用作分布式數字身份標識符的注冊表,只要確保身份所有者保持對其私鑰的控制權,則任何第三方都無法擁有該標識符的使用權,也就無法冒充身份持有者意愿,危害其利益。
馬斯克否認擁有狗狗幣的鯨魚錢包:6月18日消息,去年6月,Elon Musk收到一項內幕交易的集體訴訟,訴訟指控他參與了狗狗幣的“pump-and-dump”活動,并損害了散戶投資者,原告律師聲稱馬斯克將Twitter的標志從藍色小鳥改為狗狗幣標志也是他所謂計劃的一部分。然而,據《紐約郵報》獲得的一封馬斯克律師Alex Spiro的最新信函辯稱,馬斯克并非原告所說的所謂“DOGE鯨魚”,并在寫給原告律師的書面溝通中表示,馬斯克擁有特定錢包的指控“毫無依據”,他表示:“您的主張唯一的依據是這些錢包在根據第三次修正起訴書所稱,價格上漲時出售了狗狗幣。”[2023/6/18 21:44:42]
分布式賬本不可篡改的特點,讓它既適合用于分布式數字身份數據的發布和維護,也適合用于被多方信任的公開信息的公示和驗證。
1.2.2基于DID的交互
分布式數字身份主張用戶管理和控制數字身份,不同用戶之間不依賴于第三方進行安全通信。通過用戶自己管理的DID標識符和密鑰、注冊到分布式賬本的分布式數字身份數據,滿足基于DID的點對點相互認證和安全通信需要。
就兩點間通信而言,其安全通信的工作原理依然是基于傳統PKI挑戰響應機制和協商數據加密方式。這種安全通信的底層協議可使用HTTP、RPC、藍牙、NFC或其它協議,成為不同解決方案之間端到端互聯互通的標準通信方式;
就全網所有節點而言,通過部署在去中心化服務器及個人客戶端的身份密鑰錢包,以及全網共享的DID分布式賬本,代表任意不同實體身份的節點之間都可以實現基于非對稱密鑰方式的認證交互,并最終通過這種實體間的信任傳遞實現全網信任。
1.2.3可驗證憑證應用
可驗證憑證應用層包括各類基于DID交互的上層應用。數字身份應用的主要目的是認證身份屬性,和基于其身份信息提供應用系統的授權訪問。可驗證憑證提供了一種以身份持有方為主導,連接憑證發行方和憑證驗證方,憑證發行方和憑證驗證方不需要通信的憑證流轉方式。
除可驗證憑證流轉外,將來在這層也能實現其它點對點的典型應用,如加密社交、股份轉移,等等。
1.2.4治理框架
要在分布式網絡中建立人類信任,需要建立業務和法律協議,這是治理框架的工作。
治理框架指管理分布式數字身份生態系統的一套決策體系。它對于在沒有權利中心進行決策的生態中,有效發揮生態的作用非常重要。治理框架的主要元素包括治理角色、決策范圍、決策程序,通俗的說即人、事、規則。
2分布式數字身份項目
分布式數字身份出現的歷史雖短,且仍在快速演化中。通過橫向比較具有代表性的一些項目特點,有助于我們更好的理解其技術本質/模式,也有助于了解其未來走向。
本研究選取的比較研究對象是uport、sovrin、微軟DID、WeIdentity這幾個具有一定時間跨度、方案特征差異性、不同場景中的代表性項目。
表1項目概況
項目歷史主導機構設計思想uPort2017年發布白皮書Consensys建立在以太坊區塊鏈上的分布式身份管理應用Sovrin2017年正式啟動網絡,2018年發布白皮書Sovrin基金會負責運營,HyperledgerIndy和Aries為實現方案自我主權身份和去中心化信任的數字身份生態和網絡微軟DID2019年發布試用版本微軟和DIF基于Azure云服務的DID基礎設施組件和標準WeIdentity2019年發布微眾銀行基于聯盟鏈的可信數據交換解決方案2.1項目簡介1.uPort
uPort是Consensys推出的基于以太坊的分布式數字身份管理服務,它可以允許用戶進行身份驗證、無密登錄、數字簽名并和以太坊上的其它應用交互。uPort旨在解決普遍存在的區塊鏈用戶密鑰管理問題,為用戶提供持久可用的數字身份。于2017年發布白皮書。
2.Sovrin
Sovrin是Evernym初始開發、Sovrin基金會運營、Hyperledger孵化開源的一種用戶自主主權身份和去中心化信任的協議,它致力于提供自我主權身份的去中心化的全球公共網絡,該網絡于2017年7月正式啟動。
3.微軟DID
微軟DID是一套基于Azure云服務的分布式數字身份技術架構,它公開了源代碼、標準,希望實現互聯互通,于2019年發布試用版本。
4.WeIdentity
WeIdentity是由微眾銀行推出的基于聯盟鏈身份的實體身份標識和可信數據交換解決方案,依托權威機構提供用戶KYC服務,并以聯盟鏈作為各用戶角色的連接中心和信息的存證中心,促進數據可信交換。于2019年發布。
2.2架構比較
表2項目架構對比
對比項uPortSovrin微軟DIDWeIdentity分布式賬本以太坊SorvinLedger或其他DLT基于Azure云服務的多鏈賬本FISCO-BCOSDID方法did:Ethrdid:sovdid:ion-test;did:test
did:weid(符合W3C,不具有互操作性)基于DID的交互通過智能合約之間轉發交易進行交互遵循HyperlegerAries,標準化的端到端交互模式IdentityHub支持基于DID和密鑰的相互認證、安全通信用戶依賴于用戶代理機構轉發可驗證憑證應用基于智能合約綁定DID和鏈下的身份憑證,使其成為一種新型的用戶控制的“數字證書”
數據:zkSync橋接存儲總價值突破20萬枚ETH:金色財經報道,據 Dune Analytics 數據顯示,以太坊 Layer2 擴容解決方案 zkSync 跨鏈橋接存儲總價值已突破 20 萬枚 ETH,截至目前達到 200,003 ETH(按照當前 ETH 價格計算超過 3.3 億美元),參與橋接交易的用戶量為 530,753 個。其他 L2 存儲總價值方面,當前 Arbitrum 跨鏈橋存儲總價值約為 211.23 萬枚 ETH,Optimism 約為 46.65 萬枚 ETH,StarkNet 約為 1.04 萬枚 ETH。金色財經此前報道,zkSync 開發公司 Matter Labs 于去年 11 月中旬完成 2 億美元 C 輪融資,Blockchain Capital 和 Dragonfly 共同領投。[2023/1/21 11:24:26]
遵循W3C可驗證憑證數據模型不提供身份認證應用,提供應用需要使用的隱私數據存儲管理模塊IdentityHub基于W3C可驗證憑證數據模型的數據分享,有直接出示和鏈上授權兩種方式治理框架以太幣支付交易費用的公有鏈方式Sovrin治理框架基于云服務的中心化治理聯盟鏈治理方式2.2.1uPortuPort是基于以太坊的分布式數字身份管理服務,它可以允許用戶進行身份驗證、無密登錄、數字簽名并和以太坊上的其它應用交互。
uPort的整體架構由智能合約、開發者庫和移動APP組成。其中移動APP持有用戶的密鑰。以太坊智能合約構成身份管理的核心,包括用戶的uPort標識符管理、身份憑證的管理、以及可讓用戶在丟失移動設備時恢復身份的邏輯。開發者庫可讓第三方應用開發者把uPort集成到他們的應用中。
1、分布式賬本
uPort的底層基礎設施是公有鏈以太坊。uPortDID方法已注冊到W3C維護的注冊表。
2、基于DID的交互
uPort智能合約設計體現了用戶對數字身份的管理控制和使用。用戶使用uPortDID登錄其他在以太坊上注冊的應用。
圖3?uPort基于標識符的交互方式
標識符其中,代理合約是用戶數字身份的象征,uPort身份的核心標識符是代理合約的地址;控制合約,是代理合約的正式擁有者。控制合約維護了核心訪問控制特性,包含密鑰恢復和訪問控制邏輯;控制合約由uPort移動App中安全存儲的密鑰進行控制。
這種設計允許用戶使用密鑰向代理合約自我認證,并代表代理合約行事,有利于用戶在保持標識符不變的情況下替換私鑰。
交互
應用DAPP與uPortApp均使用了以太坊智能合約,代理合約可以向應用合約轉發交易,并且通過這種機制,uPort身份與以太坊區塊鏈上的其他智能合約進行交互。
3、可驗證憑證應用層
uPort的身份認證應用中的用戶角色包含憑證發放機構、用戶、應用、uPort共四方。
uPort和憑證發布機構合作,憑證發放機構在以太坊網絡上注冊自己的身份,能夠簽署和驗證數據;憑證發放機構在其應用中提供二維碼信息以便于用戶交互,用戶使用uPortAPP掃描二維碼,向憑證發放機構注冊自己的uPortID。憑證發放機構根據業務需求按自己的方式認證用戶信息,認證通過后向用戶發放帶有簽名的身份憑證。
uPort服務通過注冊合約管理uPortID和用戶的身份憑證信息,每一個uPort身份標識符綁定了一個相關的鏈下數據結構,身份憑證存儲在鏈下。注冊合約扮演邏輯上中心化,物理上去中心的注冊表或查找表,將每一個uPort身份標識符映射到一個IPFS摘要上,這個IPFS摘要與包含了用戶屬性、個人數據、見證的結構相鏈接。只有uPort身份的所有者才有權利去修改相對應的注冊入口。
用戶注冊新的應用時,應用通過二維碼與用戶交互,獲取uPortID和應用需要的憑證。如果用戶注冊合約中已經存儲了相應的憑證,應用從uPort服務器獲取該憑證進行驗證。驗證通過后,應用將uPortID注冊為用戶賬戶,以后用戶只需要使用uPortID即可登錄該應用。
4、治理框架
uPort沒有提出新的治理框架,遵循了以太坊的治理模式,即通過以太幣支付網絡交易費用。
2.2.2Sovrin
Sovrin是一種用戶主權身份的基礎設施和全球可互操作的身份協議,它不是一種具體的解決方案,不依賴于特定軟件實現,不同的解決方案實現廠商可基于Sovrin協議和基礎設施搭建具有互操作性的平臺。Sovrin定義了分層的、解耦合、
模塊化的模型。
Sovrin基金會牽頭推進了HyperledgerIndy項目,提供基于區塊鏈或其他分
布式賬本技術的工具、代碼庫和模塊化組件用于實現獨立的數字主權身份。2019年,從Indy項目中獨立出了HyperledgerAries項目,用于實現其中的端到端交互。
1.分布式賬本
Sovrin基金會管理了一個特定的賬本SovrinLedger,由Stewards操作節點與Sovrin共識協議進行通信維護,但同時Sovrin協議可以運行在任何支持上面三層的分布式賬本上,不依賴于一種特定的區塊鏈或分布式賬本技術,才能形成全球可互操作的用戶主權身份網絡。
AZA Finance:被錯誤納入FTX破產申請中,已采取措施糾正法庭文件問題:11月13日消息,全球支付和外匯金融科技公司AZA Finance表示,公司注意到FTX的Chapter 11破產申請中BTC Africa SA和其他AZA Finance實體被納入與事實不符,公司正在采取措施糾正錯誤的法庭文件。
2022年初,AZA Finance(前身是BitPesa)與FTX Africa建立商業合作伙伴關系,在此過程中,FTX Africa成為AZA Finance客戶,但FTX或其任何關聯實體均不擁有或控制AZA Finance即其他相關實體,包括BTC Africa SA,也不屬于FTX破產的一部分,FTX倉促中錯誤地把相關實體列在其破產申請中。
據昨日報道,FTX官方推特賬號發布“關于第11章法案中未包括的部分實體的說明”。子公司LedgerX、FTX Digital Markets、FTX Australia以及FTX Express Pay不包括在第11章程序中。此外,以下實體也不包括在第11章法案程序中,即FTX Capital Markets、Embed Financial Technologies和Embed Clearing。
此外,FTX集團(FTX Group)不包括FTX集團不擁有或控制的公司,例如Bitvo Inc.和BTC Africa S.A.以及其各自的子公司。[2022/11/13 12:57:56]
2.基于DID的交互
Sovrin支持基于DID進行點對點相互認證和安全通信,并且在HyperledgerAries項目中孵化一套標準化的端到端交互軟件基礎設施,Aries項目于2019年提出。
Aries的功能包括:建立和使用點對點連接,發送/接收點對點協議消息,并代表模塊所代表的實體執行操作。它是Sovrin基礎架構的基石,通過該模塊,Sovrin實體形成連接并共享Sovrin身份。點對點連接是兩個Sovrin實體之間關系的基本單位,由一對僅被雙方實體知道的匿名標識符組成,這樣可以最大限度地避免一個實體的多個標識符被第三方歸集。
3.可驗證憑證應用層
基于零知識證明的匿名憑證技術實現了可驗證憑證,支持憑證信息的最小化披露:
支持對一個或多個憑證中的聲明進行選擇、組合并出示;
?憑證驗證方不獲得數據明文或密文,而僅獲得數據的密碼學驗證方法,因
此也無法復用它來模擬另一個用戶。典型例子是在不揭示實際出生日期信息的情況下,出示有關年齡情況的證明。
4.治理框架
Sovrin基金會發布了治理框架,建立用于自我主權身份的分布式網絡所需的治理方法。框架定義了Sovrin網絡所有成員同意遵守的商業、法律和技術術語,并且規定了Sovrin基金會和成員之間的法律合同。
2.2.3微軟DID
微軟DID是一套基于Azure云服務的分布式數字身份技術架構和基礎功能,讓解決方案實施商可方便的在不同區塊鏈上實現分布式數字身份整體解決方案。微軟是DIF聯盟的重要成員,以標準的開源技術、協議和參考實現為主要目標。
微軟DID的技術架構包括區塊鏈BAAS服務、注冊DID的Layer2方法ION、隱私數據管理模塊IdentityHub,均以API的形式為開發者提供服務,ION和IdentityHub還提供了開源軟件。在未實現的計劃中,還包括手機端的身份管理模塊。
?通過區塊鏈BAAS服務向不同區塊鏈注冊分布式數字身份標識,可以成為廣泛使用的中間層,實現DIF的互聯互通目標。
?ION方法是SideTree協議基于比特幣網絡的實現,用于解決向公有鏈注冊DID存在的效率低下問題。
?IdentityHub為開發者提供了管理用戶隱私數據的基礎模塊。
1.分布式賬本
微軟DID的基礎設施不依賴于特定的分布式賬本。與Azure區塊鏈服務的設計思想一脈相承,微軟DID依托于Azure云服務支持多種分布式賬本協議,并且注冊了基于該分布式賬本的DID操作方法,對開發者隱藏分布式賬本的接入細節,提供RestfulAPI接口。
目前微軟DID支持以下兩個DID操作方法:
?Ion-test:注冊到比特幣測試網絡
test:注冊到微軟數據庫同時正在開發對以下三個分布式賬本的支持:
?比特幣正式網絡
?通過uport的DID方法,注冊到以太坊
?通過Sovrin的DID方法,注冊到Sovrin網絡
在DID注冊和查詢過程中,為解決公鏈效率低下的問題,微軟和DIF聯盟的幾個成員發起了SideTree協議,構建了L1層公鏈和L2層DID操作的分層架構:
?L2層保存了DID操作的源數據并推送到IPFS網絡,匯聚盡可能多的DID操作后錨定到L1層;
?L2層的每個“節點”各自與L1層同步,獲取Sidetree錨定交易后,拉取DID操作源數據。
推特將允許用戶添加長篇文字,Elon Musk被指利用被解雇員工成果邀功:11月6日消息,已收購社交平臺推特(Twitter)的特斯拉CEO Elon Musk發布推文稱,推特很快將增加在推文中附加長篇文字的功能,“結束記事本式截圖的荒謬做法”。他還說,在這一功能推出之后,將是“所有內容形式的創作者的貨幣化”。數小時后他又聲稱將改善推特的搜索功能。“推特的內部搜索讓我想起了98年的Infoseek!這也將很快得到很大的改善。”
據悉,在馬斯克宣布這一添加長文本的消息后,美國全國廣播公司(NBC)記者本·柯林斯迅速指出,在馬斯克接管推特之前,推特已經在測試文本共享的功能。“他在利用一些被解雇員工之前所做的工作邀功。”今年2月,獨立應用程序研究員簡·曼春·黃發現推特正開發用于發布較長信息的“文章”功能的證據。(界面)[2022/11/6 12:22:18]
圖4SideTree架構
2.基于DID的交互&可驗證憑證應用微軟DID中未提供完整的DID交互和可驗證憑證應用軟件,由開發者根據自己需求進行設計。微軟DID主要為開發者提供了IdentityHub模塊,它的目標是為用戶存儲和管理隱私數據,以增強數據表達能力的“語義數據模型”實現。在DIF的認可下,已發布了第一版開源代碼。
與傳統的數據存儲解決方案相比,IdentityHub具有去中心化的特性:
?標準化接口:Hub的實現廠商需要滿足標準化的數據存取接口,包括為每個用戶的Hub注冊DID,不同用戶的Hub通過DID標識符進行互操作。
開源:通過開源代碼,鼓勵開發者運營自己的Hub。
IdentityHub支持與用戶通過DID進行點對點的安全通信,遵循DIDAuth的相互認證和加密傳輸。
2.2.4WeIdentity
WeIdentity是基于聯盟鏈的可信數據交換解決方案,它是一套基于FISCO-BCOS區塊鏈底層平臺的解決方案,也是BCOS聯盟鏈的應用場景。聯盟鏈為各用戶角色提供了接入中心,為數據交換提供了數據存證和驗證功能。
WeIdentity中的用戶角色包括憑證發行者、憑證驗證者、用戶代理和用戶共四種,其中用戶代理一般為權威可信機構,為用戶KYC并生成數字身份標識符,用戶的數字身份和隱私數據托管于用戶代理中。
1.分布式賬本
WeIdentity基于微眾銀行的FISCO-BCOS聯盟鏈實現,其整體架構具有明顯的聯盟鏈特征。
2.基于DID的交互
用戶的數字身份標識符、個人數據均托管于用戶代理中,由用戶代理與憑證發行方和憑證驗證方進行通信。
因此,用戶與其它實體之間的通信均通過用戶代理進行轉接。用戶代理由場景選擇,一個場景中一般具有一個用戶代理,這個用戶代理成為一個聯盟鏈網絡中的中心轉接點。
本方案中的數字身份標識符等同于聯盟鏈中的身份合約,是一條鏈上的唯一標識,提供了鏈上行為的可驗證和追溯特性。由于用戶的實體身份和標識符通過用戶代理機構綁定,用戶行為可查可歸集。
3.應用層
應用層是WeIdentity解決方案的重點,以可驗證憑證數據模型規范作為標準的數據組織方式并進行分享。其目的是借助區塊鏈實現可信數據的交換,提供直接出示和鏈上授權兩種方式。
1)直接出示
2)鏈上授權
i.憑證發行方產生憑證,同時上鏈存證憑證摘要
ii.用戶向憑證驗證方發行一個授權憑證,并上鏈存證授權憑證摘要
iii.憑證驗證方向憑證發行方請求數據,出示用戶授權憑證,憑證發行方進
行驗證。
iv.驗證通過后,憑證發行方與憑證驗證方建立數據傳輸通道進行數據傳輸
4.治理框架
WeIdentity是基于場景落地的聯盟鏈解決方案,治理方式也具有明顯的聯盟鏈特征。
聯盟鏈中,新成員加入都需要進行KYC。個人用戶通過用戶代理機構進行KYC和業務接入,比如使用用戶代理機構提供的身份管理工具App;機構用戶可通過部署區塊鏈節點、或通過業務發起方提供開放平臺的方式接入聯盟鏈。
除用戶代理外,系統中還有一類具有特殊權限的權威機構。鏈上每個WeIdentityDID持有者都可以成為憑證發行者,但只有聯盟鏈里面的權威機構才可以注冊成為AuthorityIssuer。每個注冊為AuthorityIssuer的新成員需要聯盟鏈內其他機構投票通過。
系統中還有一些聯盟鏈的內部治理角色,如系統管理員、機構委員會等。
WeIdentity的角色權限管理通過智能合約實現,不同類型的合約角色分配不同的權限。
2.3特性比較
本研究抽取了隱私保護和跨應用互操作性這兩個關鍵維度,對代表性項目的現狀和趨勢進行了分析。
一、隱私保護
隱私保護不完全等同于信息安全,信息安全強調在計算機技術層面上信息的保密性、完整性和可用性,目標在于保障授權用戶能夠在需要信息的任何時間點,獲得保密的、沒有被非法更改過的數據,是隱私保護的基礎。
創作者服務商Yumon推出幻想世界游戲,為純廣告收入模式提供替代方案:8月30日消息,創作者服務商 Yumon 推出幻想世界游戲,玩家通過驗證后的數字收藏品將 YouTube 主播和流媒體變成幻想英雄。游戲中的英雄等收藏品可以由粉絲播放和交易,所有數據由玩家擁有。
據悉,Yumon 通過 NFT 結合了數字所有權、主流游戲機制和創造者經濟,旨在通過為創作者建立新的收入來源,同時為他們提供與粉絲互動的創新方式,并為他們的純廣告收入模式提供可靠的替代方案。此前 1 月份,Yumon 完成 200 萬美元融資,參投方包括 Meta、Epic、Unity、Webedia、Ubisoft、Twitch 和 The Sandbox 的 Sébastien Borget 等。(venturebeat)[2022/8/30 12:58:06]
隱私保護的目標在于防止隱私數據被非授權的主體使用或者以一種未授權的方式使用。隱私數據的范疇包括了所有的非公開數據。對于個人來講,隱私數據是關于自己和周邊環境包括社交網絡的個人數據。對于企業來講,隱私數據是關于自己和合作伙伴的業務和其他非公開數據。
目前,已有多種技術用于分布式數字身份系統以解決隱私性問題,主要可以分為改變數據控制權、使用多個標識符和基于密碼學三類。
改變數據控制權是指通過改變用戶數字身份數據的所有權從根本上解決隱私性問題。
絕大多數分布式數字身份項目主張自我主權身份,自我主權身份意味著用戶是身份管理的中心,包括使用、授權和存儲等各個環節。
用戶將身份信息、密鑰和其它數據存儲在自己的設備上,而非互聯網公司的服務器上。如此一來,所有數據都始終掌握在個人手中,可以隨時新增或刪除數據,授權或取消給他人讀取或寫入數據。用戶不需要以犧牲個人隱私、犧牲個人數據自主權的方式,來交換互聯網公司提供的免費服務。基于這個目的,用戶對管理身份、存儲數據的軟件服務應具有選擇權,軟件運營商應提供可移植性以便用戶遷移。
使用多個標識符指不同場景使用新的身份標識符,使攻擊者難以分析標識符和用戶實體之間的聯系,從而避免用戶信息的歸集。
基于密碼學的技術依靠密碼學中的同態加密、零知識證明等技術,在敏感信息不外泄的基礎上實現系統功能。密碼學技術主要用于應用層可驗證聲明數據模型和數據存儲軟件中。
各項目使用了幾種隱私保護技術的集合:
表3項目隱私保護特性對比
uportSovrin微軟DIDWeIdentity改變控制權提倡自主主權身份,為用戶提供了個人身份錢包客戶端以便管理控制數字身份標識符,和自己鏈下的身份憑證。提倡自主主權身份,為用戶提供了個人身份錢包客戶端以便管理密鑰、點對點連接、可驗證憑證,提供云代理服務作為客戶端和區塊鏈的中間層;個人身份錢包客戶端和云代理服務應滿足可移植性提倡用戶自主控制數據;提供去中心化特性的基礎設施,IdentityHub的標準化接口已提交DIF等標準制定組織,并且通過開源鼓勵開發者自己運營。依賴于用戶代理對個人、企業用戶進行KYC、生成鏈上ID并托管私鑰和可驗證憑證。隱私信息的控制權在于用戶代理機構。多個標識符無除發證方、應用方需要公示的身份信息外,其余標識符均不上鏈,僅在交互雙方間共享,每一對新的交互主體產生一對新標識符無
無
基于密碼學比較簡單,可以對注冊合約中的特定屬性單獨加密,但其結構仍然可見。存儲在IPFS中的數據存在泄露風險。基于零知識證明的匿名憑證技術實現了可驗證憑證,支持最小化披露。憑證驗證方不獲得數據明文或密文,而僅獲得數據的密碼學驗證方法。
典型例子是在不揭示實際出生日期信息的情況下,出示有關年齡情況的證明在用戶隱私數據的管理軟件IdentityHub中,設計了數據加密功能,目標是用端加密數據,Hub不知道明文。基于哈希算法實現了可驗證憑證,用戶出示可驗證憑證時可選擇憑證中字段,支持最小化披露。與sovrin匿名憑證技術的區別是,憑證驗證方獲得字段明文信息,不支持范圍證明。
二、跨應用互操作性提供跨應用互操作性目的是為了促進應用間的互聯互通,解決互聯網信息孤島、跨應用合作困難的問題,以及在未來獲得非線性增長的能力。
一種方案是否有助于促進互聯互通和它是否支持標準化建設、適用范圍和應用增長速度這三個方面都有著重要關系。
標準化建設
分布式數字身份研究時間不長,但發展迅速,也已從最初的單一項目、單一技術研究進入到超大型技術公司為主導的標準化研究進程。分布式數字身份中的關鍵數據的組織形式,如分布式標識符及可驗證憑證規范已由國際化標準組織W3C牽頭制定中。
適用范圍
適用范圍指一個方案可以使用的邊界和適合應用的場景,它決定了一個方案能達到互聯互通的上限。
應用增長速度
以HTTP協議為例,一個最終被廣泛應用的協議不一定是最優秀的,和營銷、發展速度也有關。若能形成網絡效應可以獲得超線性的增長速度。
一方面,網絡協議具有網絡效應,隨著越來越多的人使用,對用戶會更有價值。另一方面,憑證發行方和憑證驗證方具有典型的雙邊網絡效應,任何一組用戶的增加會增加對另一組用戶的需求。
表4項目跨應用互操作性對比
項目
uPort
Sovrin
微軟DID
WeIdentity
標準化建設
遵循W3CDID規范
遵循W3CDID、可驗證憑證規范,DKMS規范,DIDAuth規范,開發標準化的端到端交互模塊
遵循W3CDID規范,DIDAuth規范,制定SideTree、IdentityHub規范并開放源碼
遵循W3C數據規范
適用范圍
以太坊生態內
支持Sovrin協議的各種分布式數字身份解決方案
支持DID規范、DIDAuth規范的各種解決方案
需加入聯盟鏈,不開放
適用場景
應用單點登錄
用戶主權的身份驗證、基于點對點的任何場景
廣泛
數據交換
應用增長速度
uPort需要和憑證發布機構合作以提供更多的憑證,工作量較大
通過Steward啟動分布式網絡;應用層需考慮憑證發行方和憑證驗證方的引入策略
本質上提供云服務,對網絡效應的依賴不大
場景式落地,不依賴于網絡效應,不形成網絡效應
3?分布式數字身份應用案例
目前在W3C的DID注冊表中已注冊了50多個項目,這些構建在分布式基礎設施上的數字身份項目都統稱為分布式數字身份,而通過上一章我們也看到不同項目的差異性非常大。在應用落地的過程中,通常針對不同場景中的不同需求采取了不同的實現方案。通過這些應用案例的分析,有助于我們理解不同分布式數字身份方案的價值。
3.1??VON
VON全稱VerifiableOrganizationNetwork,即可驗證企業網絡,是Sovrin協議的開源項目HyperledgerIndy的應用。由加拿大的哥倫比亞省政府發起,目前已在哥倫比亞省和安大略省公開商用,為企業簽發了數百萬個可驗證憑證。
作為政府,關心如何為企業提供優質服務、以及提高整體經濟活力。相比個人應用來說,企業在線上的商業應用非常少,幾乎只有商品交易和廣告,因此線上經濟具有強大的潛力。線上經濟最大的挑戰還是對企業數字身份的認證和識別,政府擁有絕大多數企業所需的數字身份的認證能力,但傳統的數字身份方案從屬于應用,且數字身份易被黑客攻擊和竊取,難以讓企業數字身份產生可信和具有規模的跨應用使用,從而帶來最大的經濟活力。
應用了HyperledgerIndy后,用戶自主控制的特性增加了身份竊取和偽裝的難度,加上可驗證憑證流轉提供了可信的數字身份屬性,為企業提供標準化可驗證的數字身份,將政府的高可信屬性傳遞給企業,減少社會總體信任成本。
由于政府是天然的憑證發行方,在既沒有憑證發行方/驗證方、也沒有企業身份所有者來接收和存儲憑證的情況下,哥倫比亞省政府選擇了“構建企業公開信息注冊表,引入憑證發行方”的策略。即由可信機構運營企業憑證的公開注冊表OrgBook,接收憑證發行方發出的企業憑證,并向個人和企業提供企業信息的搜索和驗證。因此在當前階段,VON僅支持企業公開信息的簽發,不支持隱私場景。將來,通過企業自己管理數字身份數據,憑證發行方可將隱私數據簽發至企業自己。
針對憑證發行方/驗證方,VON提供便利、個性化的接入方式以完成快速對接,具體包括監控憑證發行方數據源并向Indyagent批量推送發證數據、以及通過OrgBook提供的API驗證企業憑證以確認企業是否擁有申請某憑證的前置條件。
圖5VON方案架構
VON是一系列生態系統,每個生態系統均由一個司法管轄區域運營,一般由一個OrgBook和圍繞著OrgBook的一組憑證發行方/驗證方Agent組成。按照VON的設想,以及按照標準化端到端交互模塊的實際實現,多個生態系統之間可以互相連接,以形成跨區域的可驗證組織網絡。分布式數字身份在VON項目中的應用帶來了以下特性:
一、可信數據
基于匿名憑證技術實現的可驗證憑證,由密碼學保證了憑證的發行方和憑證的接收方真實可信、憑證內容未被篡改、以及憑證未被撤銷,能夠成為企業的可信基礎,并提供離線驗證特性,即憑證驗證方無需聯系憑證發行方,通過分布式賬本和密碼學技術即可驗證數據的可信。
二、易于擴展
VON遵循Sovrin協議,在HyperledgerIndy的基礎上實現,目前一直在持續地產品化和模塊化,未來能兼容HyperledgerAries標準。因此VON網絡非常易于擴展,形成跨區域跨應用的可驗證組織網絡。
3.2??澳門智慧城市
澳門智慧城市建設的“證書電子化”項目中應用了WeIdentity方案。
早在2005年,澳門特別行政區就制定了《個人資料保護法》,規定了以公開、透明以及尊重資料當事人意愿的原則處理個人資料,設置了嚴格的安全保護措施。比如機構向當事人收集個人資料,無論通過哪種途徑、用于何處、交由其它機構,都必須告知當事人并取得同意。
在用戶求職等場景中,求職企業需要驗證個人用戶的畢業證書、職業證書等憑證。由于政府機構也受到上述法律法規的約束,不能隨意收集用戶數據,因此澳門沒有類似于學信網這一類政府運營、提供公開服務的第三方機構,企業必須通過聯系不同的憑證發行方才能驗證真偽。
WeIdentity方案主要通過區塊鏈提供的存證功能解決憑證驗證問題。憑證發行方和驗證方都通過區塊鏈節點接入網絡,憑證發行方將個人資料的密碼學摘要作為可驗證憑證發布上鏈,憑證驗證方收到個人資料后向區塊鏈查詢真偽。在這過程中不需要第三方存儲和收集個人資料明文信息。
在該項目中,澳門特別行政區身份證明局承擔了用戶代理的角色。身份證明局是由行政法務司監督,輔助澳門特別行政區行政當局在民事與刑事身份認別及旅行證件的行政機構,本就具有對個人用戶KYC的能力與職責;澳門生產力中心、澳門理工大學等機構承擔了憑證發行方角色;澳門電訊等企業承擔了憑證驗證方角色。
分布式數字身份在澳門“證書電子化”項目中的應用帶來了以下特性:
一、可信數據WeIdentity方案中,可驗證憑證以摘要形式存證在區塊鏈上,任何人可根據數據原文驗證可驗證憑證的內容未被篡改。
二、隱私保護
基于屬性分片進行摘要算法實現的鏈上可驗證憑證,支持憑證驗證方對其中部分屬性進行驗證,從而支持用戶只向憑證驗證方出示部分屬性。這通過使用一種比匿名憑證技術更加簡單的方式實現了部分匿名憑證的功能,匿名憑證技術的優勢在于不需要向憑證驗證方出示屬性明文,而僅出示屬性的密碼學證明。
三、場景式落地
用戶代理是方案中的控制中心和數據中心,托管了用戶密鑰和可驗證憑證。因此實際上用戶不具有對自己數據的控制權。由于聯盟鏈的本質和中心化管理方式,不同場景之間不需要進行連通,可根據不同場景進行定制化開發。
3.3??更多
本文中提到的4個項目僅是分布式數字身份藍圖中的一小部分,更多項目已在全球各地產生和應用。
一、ShoCard
ShoCard是較早嘗試分布式數字身份管理的項目,它利用分布式賬本為用戶綁定標識符和現有的可信憑證,記錄驗證歷史,為用戶提供分布式的可信身份。
ShoCard的典型應用是與SITA航空合作的旅行認證解決方案。人們在跨國旅行時,在機場安檢的過程中要不斷出示護照、登機牌、面部核驗等信息,這些信息組成的數字身份是個人與身份驗證方互動的關鍵。
旅行者使用移動終端對身份證件拍照,將元數據加密存儲在本地,將可驗證信息存證于區塊鏈,當用戶出示證件進行驗證時,身份驗證方除了驗證物理證件,還可驗證區塊鏈記錄。如果驗證通過,身份驗證方請求ShoCard成員管理服務器生成認證證書。認證證書存儲在用戶終端,同時在區塊鏈存證。以后可用于提供給有相同要求的身份驗證方。
ShoCard實踐較早,應用廣泛。包括:與多家銀行合作將用戶KYC信息作為可信憑證發送給用戶,以便銀行在不查詢其它金融機構數據庫的情況下授權客戶,減少重復KYC流程;為繁忙的醫護人員提供胸牌安全憑證,對于與多個醫療保健機構簽約的醫療工作者可以在不需要中心化身份的情況下訪問多家機構的資源。
ShoCard作為一個早期方案,在適用范圍、隱私保護上均有所欠缺。其用戶數字身份由身份提供方創建,只能在相應的生態系統內使用。而成員管理服務器的存在,可以關聯用戶與身份驗證方的關系,也造成了用戶使用的不確定性——當公司不存在時,用戶將無法使用已獲得的證書。
ShoCard的價值主要是創新性的提出了技術思路,即在個人終端存儲密鑰和憑證等個人數據,以區塊鏈作為去中心的交換承諾而存在,不存儲敏感信息,保證信息的可信和完整。其它較早期的分布式數字身份方案均在此共識基礎上加入創新,包括Civic、IDHub等等。
二、IdentiCAT
2019年9月,西班牙加泰羅尼亞自治區政府宣布啟動用戶主權的分布式數字身份項目IdentiCAT,這是歐洲第一個開放的數字身份。IdentiCAT提倡用戶控制自己的數字身份和相關數據,構建在分布式賬本基礎上,居民通過自己的軟件管理數字身份,維護隱私。它遵循歐盟的eIDAS規范,因此可在歐盟的所有國家使用。在該項目中,政府不收集數據,主要承擔項目保障的角色,為居民、企業提供工具和可信賴的法律框架。
趨勢與展望
相比傳統數字身份系統,分布式數字身份具有隱私保護、可控安全、持久可用等特點,基于屬性的授權訪問方式能夠更好的支持開放環境下靈活的訪問策略。短短幾年時間,已取得了豐富的規范和技術標準化研究成果。隨著標準化成果的繼續拓展,未來越來越多的應用可方便、安全的切換到分布式數字身份基礎設施上來,形成互聯互通的互聯網身份網絡。
參考文獻:
W3C.DecentralizedIdentifiers(DIDs)v1.0..https://w3c-ccg.github.io/did-spec/
W3C.VerifiableCredentialsDataModel1.0..https://w3c.github.io/vc-data-model/
ChristopherAllen.Thepathtoself-sovereignidentity..http://www.lifewithalacrity.com/previous/.
OskarVanDeventer.Self-sovereignidentity-thegood,thebadandtheugly;May2019..https://blockchain.tno.nl/blog/self-sovereign-identity-the-good-the-bad-and-the-ugly/
WebofTrust...https://github.com/WebOfTrustInfo/rwot6-santabarbara/blob/master/final-documents/did-auth.md
WebofTrust...https://github.com/WebOfTrustInfo/rwot1-sf/blob/master/final-documents/dpki.pdf
ConsenSys...https://www.uport.me/
Dr.ChristianLundkvist,RouvenHeck,JoelTorstensson,ZacMitton,MichaelSena.UPort:APlatformforSelf-SovereignIdentity..https://blockchainlab.com/pdf/uPort_whitepaper_DRAFT20161020.pdf
Sovrin.Sovrin:AProtocolAndTokenForSelf-SovereignIdentityAndDecentralizedTrust..?https://sovrin.org/library/sovrin-protocol-and-token-white-paper/
NathanGeorge.HyperlegerAriesProposal..https://wiki.hyperledger.org/display/HYP/HyperledgerAriesProposal
Microsoft.DecentralizedIdentity:Ownandcontrolyouridentity..https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2DjfY
TheSidetreeProtocol:ScalableDPKIforDecentralizedIdentity..https://medium.com/decentralized-identity/the-sidetree-scalable-dpki-for-decentralized-identity-1a9105dfbb58
WeBank..https://fintech.webank.com/weid/
AboutVerifiableOrganizationsNetwork(VON)...https://vonx.io/about/
NowEx合約平臺推出的秒期權的行情指數,是采用火幣、OKEX、幣安等7大交易所比特幣現貨指數加權平均出來的指數,更加平滑透明,公平公正.
1900/1/1 0:00:00親愛的用戶, ?DigiFinex旗下衍生品交易平臺DigiDeriv,支持幣本位和U本位永續合約服務.
1900/1/1 0:00:00一、疑似中本聰地址異動,比特幣恐慌下跌5月21日23時許,BTC價格大幅下跌,跌至9330U附近隨后持續震蕩。5月22日凌震,BTC再度下跌,逼近8800U附近.
1900/1/1 0:00:00奔午飯刷屏手忙腳亂?看我搜的熱點:?阿里巴巴聯合創始人馬云將退出軟銀的董事會,軟銀今年在加密幣支付領域發力,參與了IBM和TBCASoft創立的區塊鏈電信支付平臺.
1900/1/1 0:00:00據CryptoBriefing報道,ElectricCapital最近在對投資者的跟進信息中列出了一個框架,以確定一項資產是否為價值儲存手段.
1900/1/1 0:00:00投資入場點靠的是技術分析,入場后靠的是心態,倉位管理以及運氣,而利潤的出現,保持,擴大,靠的是移動止損和止盈。嚴格的作風,導致了我實時狙擊止盈點的執著,有你的跟隨,趙詠必能盡善其美.
1900/1/1 0:00:00