33数字的意义(数字身份的前世)

01 历程溯源

在现代社会中,身份是处理实体关系的入口。对实体身份信息进行判别和认证,并未实体提供与其身份匹配的服务,是社会关系的一种重要模式。并要求用户的身份信息和服务方共享。

今天,我们先来简要的谈一谈身份和数字身份。

  • 身份

国际电子技术委员会将“身份”定义为“一组与实体关联的属性”。这里的实体不仅仅是人,对于机器或者物体都可以是实体,甚至网络中虚拟的东西也可以是实体并拥有身份。这些实体作为数字化社会的重要组成部分,共同构建了数字生态。

  • 数字身份

随着互联网的出现和普及,传统的身份有了另外一种表现形式,即数字身份。一般认为数字身份的演进经历了四个阶段,分别是:中心化身份联盟身份以用户为中心的身份以及自我主权身份

  • 中心化身份:由单一的权威机构进行管理和控制的,现在互联网上的大多数身份还是中心化身份。
  • 联盟身份:解决了中心化身份中身份数据零碎混乱的弊端,此种身份是多个机构或者联盟进行管理和控制的,用户的身份数据具备了一定程度的可移植性,例如允许用户登录某个网站时,可以使用其他网站的账户信息,类似于QQ、微信或者微博跨平台的登录。
  • 以用户为中心的身份:重点集中在去中心化上,通过授权和许可进行身份数据的共享,例如OpenID。
  • 自我主权身份:真正意义上的去中心化的、完全由个人所拥有的和控制的身份。

33数字的意义(数字身份的前世)(1)

02 PKI&DPKI

身份”本身是基础并客观存在的,如今的互联网广泛通过“租借”第三方机构(DNS注册机构、证书颁发机构、ICANN)服务来构建信任体系、实现实体间的安全通信,若要实现去中心化生态体系,那我们应该了解基本的PKI与DPKI体系之间的关系。

  • PKI

PKI是Public Key Infrastructure的缩写,翻译过来是公钥基础设施,是生成、存储、分发和撤销用户数字身份证书所必须的软件、硬件、人、策略及处理过程的集合,也是国际公认普遍适用的一整套信息安全系统。PKI的建立依赖于权威的认证,离不开可信第三方的协同工作,通过运用多种技术,可为应用提供认证、加密和数字签名等安全支撑,为信息系统提供秘钥管理和证书管理等安全服务,其主要载体为X.509格式的证书文件。

  • DPKI

分布式公钥基础设施(DPKI)作为PKI的演进,并非是对PKI的全盘抛弃和替代,更多是在原有认证体系基础之上的一种改进和补充,通过构建一种分布式的认证体系来解决中心化认证体系存在的问题,是未来网络信任生态的基础设施。DPKIPKI在业务流程上并无明显区别,首先用户提供相关信息并发起申请,接下来发证方审核信息,颁发证书,最后用户出示证书完成验证。但不同于PKI体系,DPKI强调用户身份的自主可控、身份可移植和分布式认证,个人身份的验证不再依赖于发证方

33数字的意义(数字身份的前世)(2)

03 数字身份标识-DID

伴随着区块链等可信技术的发展,各大公司、机构纷纷入局,对DPKI的实现展开了更深入的研究探索,分布式数字身份(DID)解决方案应运而生。通过结合区块链技术,分布式数字身份使用户真正拥有并控制自己的个人数据和资产,可实现跨部门、跨行业、跨地域的去中心化共享能力。

Decentralized Identity 去中心化身份,简称DID,相对于传统的的基于PKI的身份体系,基于区块链建立的DID数字身份系统具有保证数据真实可信保护用户隐私安全可移植性强等特征,其优势在在于

• 去中心化:基于区块链,避免了身份数据被单一的中心化权威机构所控制。

身份自主可控:基于DPKI(分布式公钥基础设施),每个用户的身份不是由可信第三方控制,而是由其所有者控制,个人能自主管理自己的身份。

可信的数据交换:身份相关数据锚定在区块链上,认证的过程不需要依赖于提供身份的应用方。

  • DID 标识

DID 标识符其实就是一个字符串,在 W3C 中DID 参考的是 URN 的标准,特定格式如下:

33数字的意义(数字身份的前世)(3)

  • DID 文档

每个DID标识都会对应一个DID文档(Document),文档为JSON字符串格式,主要包含了与DID验证相关的密钥信息和验证方法,用以实现对实体身份标识的控制,DID文档内容格式如下图所示:

33数字的意义(数字身份的前世)(4)

并且,一个实体可对应多个DID,实体在通过注册申请后可获得一个或多个由自己进行维护管理的DID标识,不同DID标识所代表的身份之间互不相关,有效降低了身份信息之间的耦合性。总的来说,我们可以将DID基础层看作是一个键值数据库,DID标识符当作键,而DID文档则是对应的值,二者之间的关系结构如下图所示:

33数字的意义(数字身份的前世)(5)

  • 可验证声明

可验证声明(Verifiable Credential)提供了一种规范来描述实体所具有的某些属性,实现基于证据的信任。DID持有者,可以通过可验证声明,向其他实体(个人、组织、具体事物等)证明自己的某些属性是可信的。同时,结合数字签名和零知识证明等密码学技术,可以使得声明更加安全可信,并进一步保障用户隐私不被侵犯。

在DID生态体系内,主要有用户、发证方、使用方三种角色。

用户(User):拥有链上数字身份的任何人/组织/实物。任何实体对象都可通过开发者的项目去创建、管理自己的DID。

发证方(Issuer):可发行数字凭证的人/组织。例如:高校可为某个学生颁发数字毕业证,那么这个高校便是一个发证方。

验证方(Verifier):也称为业务方,指使用数字凭证的人/组织,验证方在经用户授权后,可对用户的身份或其数字凭证进行验证。例如:企业录取某个人的时候,要对其高校毕业证进行验证,那么这个企业便是一个验证方。

33数字的意义(数字身份的前世)(6)

33数字的意义(数字身份的前世)(7)

04 应用场景

  • 身份认证

身份认证可以说是DID最基本的应用了,对于有身份识别(KYC)需求的场景,通过提前将多个机构颁发的VC与用户绑定,且锚定到区块链上,凭借密码算法,可进行分布式验证,用户只需获取一次VC,便可随时出示使用。例如员工入职背景调查,材料在流转过程中极易遭受篡改,且验证手段较为匮乏,若使用DID解决方案,学生可以在链上使用自己的DID标识向学校申请学历(学位)凭证,向前公司申请工作(离职)凭证,而在求职时,现公司只需通过验证接口对上述凭证真实性进行核验,即可快速完成员工的入职背调。

  • 无密码安全登录

无口令安全登录的应用场景类似于微信扫码登陆,当我们需要注册或登录网站时,无需输入用户名、电子邮箱、密码之类的口令,只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化,但与传统扫码认证方式不同的是,DID中的身份信息由用户自己掌控,用户首先通过二维码获得网站DID并进行验证获得公钥,再使用公钥加密请求数据,发送自己的身份信息交由服务器验证,若验证通过,则登陆成功。通过整个流程我们可以看出,服务器并不知道用户的口令,而且也无法获得除用户DID文档以外的任何信息,从而有效防止数据泄露,保护用户身份隐私。

  • 个人隐私保护

隐私保护是任何身份管理解决方案中不可或缺的一部分,DID也不例外,通过对用户属性的选择性披露可以有效降低用户隐私泄露的风险。在实际生活中,用户身份通常具有多个属性,如身份证上的姓名、出生年月、家庭住址、身份证号等,我们并不总是希望直接将整个证件亮给验证者查看,过多关联信息的泄露会带来一系列麻烦,不法分子就曾利用通行大数据(健康宝)窃取明星隐私并进行传播售卖DID凭证结合零知识证明技术,可以做到信息最小化提供的同时不影响凭证的合法性验证,有效保护用户隐私。例如,一个有社会责任心的商店老板拒绝向未成年人出售香烟,对于买烟的顾客需要查验其年龄信息,此时若使用身份证则会泄露关联敏感信息,但在DID技术中,可以只出示部分信息,证明自己已超过一定年龄(18岁)而无需透露其他信息,包括出生年月,从而实现对个人隐私信息的选择性披露。

  • 数字版权保护

线上数字内容往往会面临一系列的版权纠纷,利用区块链不可篡改及数字身份自主可控的特性,可有效解决数字内容版权保护问题,实现多方信息的实时共享、版权认证、交易维权,促使数字资产合法合规流动。链上参与者通过使用DID技术,使得作品具备唯一标识,著作权经过认证后,成为不可篡改的链上凭证,可以作为举证、流转的声明,应用于资产确权、数据定价、流转监测分析以及侵权取证等场景。

  • 物联网及边缘计算

物联网设备通常分布在不同的地域,采用多种方式接入网络,这也使得其编码标准存在多样性,具有较高管理成本和安全风险。若使用DID技术为物联网设备分配全局唯一标识,并结合厂家生产信息、物联网运营商以及设备的所有权信息,为设备颁发多种凭证,赋予设备可声明、可验证的自主身份,即可在区块链上实现设备身份和数据的高效分布式认证,有效保障数据来源的真实性,同时也有利于对设备产生的数据进行确权、计价。

33数字的意义(数字身份的前世)(8)

05 总结

随着数字经济时代来临,数字化发展已成为全球共识。当前,170多个国家陆续发布数字国家相关战略,我国在“十四五规划纲要”明确以数字化转型整体驱动生产方式、生活方式和治理方式变革,从数字经济、数字社会、数字政府、数字生态四方面建设“数字中国”。数字身份的发展将帮助用户掌握其个人数据、实现数据在各数字化活动之间自由流转,数字身份将成为数字世界的入口,其重要性不言而喻。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页