本文来历:金融科技产业资讯
前情提要
2021年1月15日,北京金融科技产业联盟成功举行“根据区块链的金融分布式数字身份技能使用研讨会”。本次研讨会邀请金融组织和科技公司专家,一起探讨分布式数字身份技能理论、模型原理和体系架构,分享技能完成、使用案例及落地实践经验,加强产用端的交流与协作。
中钞区块链技能研究院首席产品专家平庆瑞从分布式数字身份概念、作业机制、技能架构和技能特点等几方面做了详尽阐述。
本篇文章根据嘉宾演讲内容整理。
分布式数字身份的来历
咱们知道人类的文明史也是一部人类的迁徙史,为了生存和繁衍,数万年前咱们的远古祖先从亚非大陆动身,长途迁徙,阅历农耕社会、工业革命,人类终于踏上了地球的每一块土地。今日,生活在国际各地的人们,经过信息技能完成长途通讯,进行跨地域的社会交往。
互联网的呈现大大改变了人们的生活方法,越来越多现实生活中的活动正在迁移到网络国际中。网络空间现已被公认为继陆、海、空、天之后的第五边境。
可是,互联网在开展之初没有构建身份协议层,仅仅用来为传输信息而规划,因而无法处理网络上的身份互信问题。1993年,《New York》上的这幅漫画阐释了互联网的信赖缺失问题。
为了在互联网上供给服务,完成可信交互,发生了中心化身份账户身份处理方案。
该方案是指由网络使用服务供给商对其用户进行身份办理,包含供给身份注册服务以分配用户身份标识、保存用户身份信息数据,进行用户身份的辨认、验证和服务授权等。后来为了处理中小服务商难以供给用户身份办理的问题,发生了联盟身份,即由大的网络服务供给商来代为供给用户办理。中心化的身份账户存在以下首要问题。
首要,用户身份依靠身份供给者;其次,用户身份简略被盗用,无法完成行为的防狡赖;再次,不支撑身份跨使用互认,因而难以完成服务协同。联盟身份的开展导致了数据高度集中,构成了独占趋势,一旦用户数据走漏,对用户造成的损失影响严重。
分布式身份正是在这样一种年代背景下的产品,它将替代中心化身份认证的方案,以协议层方法重构互联网底层信赖根底设施。
分布式身份将处理身份一切权、身份安全性以及身份互联互信的问题,是开启下一个互联网年代的进口。简略来讲,根据分布式数字身份根底设施能够完成:一是协议层的身份处理方案,促进使用孤岛的交融。二是服务供给商不需求进行用户身份办理,只需求经过API完成用户数据的请求和验证。三是用户持有身份数据,操控其身份数据的授权访问。四是每个安排都能够简略地介入互联网的身份层,并从现已存在的生态安排中获益。五是能够发明具有网络规模效应的价值。
分布式数字身份的作业机制
咱们说身份有三个维度,这三个维度分别是身份标识、身份的特点以及身份的交互。在物理国际,身份实体一切者自身就是身份的标识,在数字国际,咱们需求用一个字符串来指代身份的一切者。在分布式数字身份中,分布式数字身份标识符由字符串组成,不需求中心注册组织就能够完成全球仅有性,它能够用来指代身份主体在不同场景下的身份人物。
一个实体所具有的特点是指,比方他是某国家的公民,某公司的职工,他具有某种车型的驾照。在数字国际里,需求经过与标识符所相关的身份特点断语来表示,这种断语因为有权威数据方的背书而具有公信力。在分布式数字身份中,身份的特点经过可验证凭据数据来表达。
与其他数字身份相同,分布式数字身份交互也要处理身份的辨认、验证和授权问题。所不同的是,因为去中心化特征,分布式身份将开展出标准化的点对点通讯协议。在评论分布式身份作业机制之前,咱们需求进一步了解分布式身份的三个维度。
首要是去中心化标识符,咱们看到的是。W3C关于分布式标识标准中的一个数据结构示例,一个标准的分布式数字身份标识符,经过结构化的DID Dock表示。除了分布式数字身份标识符以外,DID Dock中还包含与此身份相相关的公钥信息、授权支撑信息、服务进口点地址、以及用于审计的时间戳和用于数据完整性校验的签名数据。能够看出,分布式数字身份其实是一种公钥设施,身份DID的持有证明,也是DID私钥的持有证明,经过公钥验签方法来完成。此外,经过授权支撑能够完成身份主体与身份操控者的分离,支撑身份托付需求。
分布式身份中的第二个维度是可验证凭据。简略来说,可验证凭据就是关于某身份主体具有某种身份特点的背书断语数据,包含身份断语和身份断语签名两部分。如图,是W3C可验证凭据数据结构标准中的一个简例,这是一个关于名字的可验证凭据,断语部分只包含名字特点,签名Proof的内容包含Proof验证办法与凭据发行者ID所相关的关于断语的私钥签名。
分布式身份第三个维度是分布式通讯协议,这个通讯协议的2.0版别标准正在由DIF安排起草。DID Communication协议与传统的Web API的首要不同在于,不是经过服务器来操控一切各方的交互状况。相反,DID各方都是对等的,他们经过彼此对规则和目标的一起了解以及一致来进行互动。
协议首要包含两个特征:一是DID通讯协议是根据音讯、异步和单工机制的。二是音讯的安全性是根据对等身份验证来树立的。根据DID通讯协议进行自定义音讯传递和处理,能够完成不同场景下的事务需求和扩展。咱们能够看到DID Communication不依靠任何第三方安排能够最大程度满意点对点实体的自在交互,激起数字化使用创新。
在了解了分布式身份的三个维度之后,咱们来看一下分布式身份的作业模型。分布式身份的生态能够简化为发行者、持有者和验证者三方,其作业原理即可验证凭据流通模型。
首要,身份各方将自己的身份在分布式账本上进行公示,以供给后续身份交互过程中的数据验证支撑。第二,发行人向身份持有者签发身份凭据,身份持有人接纳验证并保存凭据。第三,身份验证方向持有人请求身份凭据信息,持有者签名并出示可验证凭据,身份验证方验证凭据的归属和凭据签发来历。可验证凭据流通模型的首要特点或者说是首要优势在于:一是支撑实体ID经过不同场景下人物来进行表达,然后避免了人物信息被归集。二是DID与可验证凭据解耦,支撑了用户名下的凭据信息能够被重新组合复用。三是根据分布式身份构建的可信Web不需求遵循任何预先树立的层次结构。
咱们看这一点就与传统的CA体系有很大的不同。中心化的CA体系之间如果要进行互认,那么需求依靠顶层的CA,这就需求在CA体系构建之初就进行规划规划,明确下来。
分布式数字身份技能架构
去中心化公钥根底设施是分布式身份的柱石,它为分布式数字身份供给了衔接安全。与传统PKI不同,去中心化公钥根底设施不需求中心化的CA安排来完成密钥的分发与保管,而是身份一切者自己进行身份密钥的创建与注册。分布式账本供给了统一的密钥公式、保护和发现机制。与传统PKI相比,去中心化公钥根底设施具有以下特征:它不依靠单一的中心化组织,没有后门和办理员特权,无体系单点故障,具有弹性的信赖根底结构,支撑互操作性。
根据去中心化公钥根底设施,能够有用的去除从前PKI体系下的中间人进犯问题。那么咱们需求怎么树立DPKI的根底设施呢?在分布式身份中,每个实体具有不止一个DID,每个ID对应一个关系,一个私有的音讯安全通道。怎样来办理这些DID和私钥?如果这些信息丢失了又应该怎么办?答案是分布式密钥办理体系。
分布式密钥办理体系根据分布式账本组件和身份署理软件构建。分布式账本用于发布衔接验证公钥和数据一切者验证公钥信息,供给揭露的身份验证和凭据验证。署理代表独立的身份一切者和身份操控者,具有仅有表现其授权的加密密钥,署理根据DID通讯协议进行交互。
署理软件通常包含音讯通讯组件、身份钱包组件、本地数据容器组件。音讯署理组件担任与外界的交互,以完成音讯的收发。其次音讯署理组件担任调用本地的身份钱包和数据容器,进行音讯的加解密与存储。身份钱包组件首要是进行密钥和秘密数据的办理,详细而言,它会担任进行署理办理、DID衔接办理以及凭据办理。
署理软件根据其布置的位置不同,又分为边际署理和云署理。办理身份密钥的署理软件,大都情况下会安装在个人一切的移动智能通讯设备上。为了完成耐久音讯在线和边际设备寻址,需求扩展身份署理到云端,云署理能够有不同的厂商来完成和保护,被注册的边际署理供给音讯路由服务。此外,云署理服务能够简化边际署理的密钥找回机制,并完成边际署理的数据备份和多设备同步需求,可是不会构成对边际设备的绑架和数据的偷听。边际设备是仅有用户身份密钥办理设备,因而仅有能够代表身份持有者的意愿。
身份数据通常在边际设备的身份钱包中加密今后上传云署理保管。在音讯传输的过程中,边际署理建议交互,并进行音讯加解密,云署理则首要供给音讯路由、路由加解密功用,DKMS标准约束了钱包和署理的行为,其制定的主旨是使身份署理标准化,消除安全隐私和供应商锁定的危险。
可验证凭据技能供给了分布式数字身份中的数据安全,前面咱们现已讲到可验证凭据是DID实体之间进行数据交换的方法,经过发行者签名保证数据不可篡改。与可验证凭据相对应的可验证表述是身份一切者向身份验证者供给数据的方法,它由分布式数字身份钱包中的加密组件进行结构,它也是一种防篡改的表述,来自一个或多个可验证凭据,由披露该目标的主体进行签名,无论是直接或者是直接引证可验证凭据,身份特点都以可验证表述的方法进行提交,这也就是说可验证表述中不包含可验证凭据的原文,因而不会发生可验证凭据接纳者进行身份盗用的问题。
概括而言分布式数字身份体系的分布式表现在以下四个部分。
一是DID发现。根据开放的分布式账本,而不是根据某一个中心化组织的体系。二是DID验证。它是一种根据特点的验证,由署理之间彼此认证,而不需求依靠第三方。三是DID交互。它是典型的点对点通讯协议,与传输协议无关,他们之间的交互也不需求依靠第三方。四是DID数据存储。根据分布式加密存储,其推广和分享都需求由一切者进行授权,数据具有可移植性,是不需求绑定在DID存储商身上。
根据以上架构,分布式身份有用地树立了网络主体之间的机器信赖和人的信赖,完成了身份的自主性、安全性和可移植性。
特别补充说明,在分布式数字身份可验证凭据技能中,采用根据零常识证明的匿名凭据技能,能够有用处理隐私保护问题,完成凭据特点的最小披露和根据逻辑范式的成果证明。分布式数字身份技能很好的回答了怎么完成未来数字身份的十项基本要求。
从使用层面看,分布式数字身份将对数字化生活带来哪些重要的影响呢?一是以用户为中心,分布式身份改变了传统的数据依靠方直接对接数据发行方的模式,使得数据回归一切者,服务与数据分离,网络使用得以以身份一切者为中心展开。二是根据特点的访问授权将逐渐取代根据人物的访问授权,使用服务不再是千人一面,而是真实能够做到千人千面的定制化服务。三是根据分布式身份能够完成一切实体之间的可信身份交互和可信数据流通,这不仅仅是分布式体系之间的,也包含中心化体系之间以及中心化体系到分布式体系之间,然后树立起真实的全网可信。四是可信数据与数据凭据化流通将激活数据的资产特点,也使得线下资产得以以数据化流通,数字经济将借由可信网络而昌盛和开展。五是分布式身份和点对点通讯协议将促进去中心化安排的开展,开释人类在数字国际的创新潜能,加快人类经由数字化开展,提高团体社会智能的脚步。
视野开拓
我从1984年开始教育生涯,这是一种非常有益的经历,甚至是一种奖励。但这也是一个令人不安的职业,因为我曾经教过数千人,从中发现了所有人——包 括我自己的一个共同点:我们都拥有巨大的潜能——这一上天赏赐的礼物。然而,问题是我们都或多或少地存在着某种自我怀疑,从而阻碍了自己的前进。阻碍我们 前进的障碍很少是由于缺乏技术性信息,更多的是由于缺乏自信。 一旦我们离开学校,我们之中大部分人就会意识到,仅仅有大学文凭或好分数是远远不够的。在校园之外的现实世界里,有许多比好分数更为重要的东西,我常 常听到人们将这些东西称之为“魄力”、“勇气”、“毅力”、“大胆”、“气势”、“精明”、“勇敢”。“坚强”、“才华横溢”等等。不管怎么称呼,这都是 比学校分数更能从根本上决定人们未来的因素。 在我们每个人的性格当中,既有勇敢、聪明、泼辣的一面,也有畏惧、愚昧和胆怯的一面,这就好像一些非常勇敢顽强的英雄有时也会跪下来乞求上帝的恩赐。 作为一名海军特种部队的飞行员,我在越南战场上呆了一年后,发现这两种倾向在我身上同时存在,并不表现为哪种倾向更占优势。 但是,作为一名教师,我意识到过分的畏惧和自我怀疑是浪费我们才能的最大因素。看到学生们明明知道该做什么,却缺乏勇气付诸实践,我就感到十分悲哀。在现实世界里,人们往往是依靠勇气而不是聪明去领先于其他人的。 在我的个人体验中,培养财务智慧既需要有专业知识,又需要有足够的勇气。如果畏难情绪太大,往往会压抑才能的发挥。 在我的班上,我极力劝说学生们学着去冒险,去勇敢地发挥才能,把畏难情绪转化成动力和智慧。我的建议使许多人受到触动,并且有的人受到良好的影响,但 我也明显意识到,对大多数人来说,一旦涉及到金钱的问题,他们总是把安全性放在第一位。我不得不即席答复这样一些问题,诸如:为什么要去冒险? 为什么必须不厌其烦地提高自己的财商?为什么必须懂得财务知识...-《富爸爸穷爸爸》
