倒锥壳水塔DID去中⼼化⾝份认证技术调研
数字⾝份
国际电⼦技术委员会将“⾝份”定义为“⼀组与实体关联的属性”。这⾥的实体不仅仅是⼈,对于机器或者物体都可以是实体,甚⾄⽹络中虚拟的东西也可以是实体并拥有⾝份。随着互联⽹的出现和普及,传统的⾝份有了另外⼀种表现形式,即数字⾝份。⼀般认为,数字⾝份的演进经历了以下四个阶段:
(1)中⼼化⾝份:中⼼化⾝份是由单⼀的权威机构进⾏管理和控制的,现在互联⽹上的⼤多数⾝份还是中⼼化⾝份,⽐如ICANN管理的域名与IP地址分配,以及PKI(Public Key Infrastructure)系统中的CA(Certificate Authority)证书机构管理的数字证书。中⼼化⾝份系统的本质就是,中央集权化的权威机构掌握着⾝份数据,个⼈并不是真正意义上拥有⾃⼰的⾝份且⾝份在不同应⽤中⽆法互通。 (2)联盟⾝份:联盟⾝份的出现解决了中⼼化⾝份中⾝份数据零碎混乱的弊端,此种⾝份是有多个机构或者联盟进⾏管理和控制的,⽤户的⾝份数据具备了⼀定程度的可移植性,例如允许⽤户登录某个⽹站时,可以使⽤其他⽹站的账户信息,类似于QQ、或者微博的跨平台登录。
(3)以⽤户为中⼼的⾝份:在联盟⾝份提出后,⾝份系统就开始⾛向去中⼼化了。期间也有很多去中⼼化的标准、⽅案出现,⽐如OpenID。这种以⽤户为中⼼的⾝份将重点集中在去中⼼化上,通过授权和许可进⾏⾝份数据的共享。
(4)⾃我主权⾝份:⾃我主权⾝份才是真正意义上的去中⼼化的、完全由个⼈所拥有和控制的⾝份。该⾝份不⽌是⼈,包括组织,甚⾄未来也包括物品。这些⼈或者组织、物品不简单依靠于原先中⼼化权威机构,⽆法被拿⾛或者删除,⽽且是终⾝携带的⾝份。
制定班级公约分布式⾝份标识(DID)
(⼀)分布式数字⾝份标识符
分布式数字⾝份标识符是⼀种去中⼼化的可验证的数字标识符,具有分布式、⾃主可控、跨链复⽤等特点。它是由字符串组成的标识符,⽤来代表⼀个数字⾝份,不需要中央注册机构就可以实现全球唯⼀性。通常,⼀个实体可以拥有多个⾝份,每个⾝份被分配唯⼀的DID值,以及与之关联的⾮对称密钥,实体可⾃主完成DID的注册、解析、更新或者撤销操作。不同的⾝份之间没有关联信息,从⽽有效地避免了所有者⾝份信息的归集。DID本质上是⼀个全球唯⼀的地址标识符URL,在W3C的DID标准化⽂档中,将DID标识符的规范格式定义为:
前缀did是固定的,表⽰这个字符串是⼀个did标识字符串。中间的example被称为DID⽅法,就是⽤来表⽰这个DID标识是⽤哪⼀套⽅案(⽅法)来进⾏定义和操作的。这个DID⽅法我们可以⾃定义,并且注册到W3C的⽹站中。最后⾯的部分是在该DID⽅法下的唯⼀标识字符串。
在应⽤过程中,DID标识将具体解析为写有与⽤户⾝份关联的属性信息的DID⽂档,这个⽂档就是⼀个JSON字符串,与DID标识符形成键值对,描述的是与被识别对象进⾏密码验证交互所必须的DID主体标识、公钥、验证协议、服务端点等,例如下图是W3C官⽅提供的⼀个具体的DID⽂档⽰例:
我们⼀般是把DID标识作为Key,把DID⽂档作为Value存储到区块链中,利⽤区块链不可篡改、共享数据访问的特点,实现在验证⾝份时能快速访问获取可信数据。
(⼆)数字⾝份凭证(声明集合)
数字⾝份凭证(声明集合)是指与⾝份关联的属性信息,往往是个⼈或机构对⾃⼰⾝份的声称和主张。声明可以由⾝份所有者⾃⼰发出也可以由发⾏⼈发出,其中由发⾏⼈发出的为可验证声明(Verifiable Credential,简称VC)。可验证声明VC是⼀个 DID 给另⼀个 DID 的某些属性做背书⽽发出的描述性声明,并附加⾃⼰的数字签名,⽤以证明这些属性的真实性,可以认为是⼀种数字证书。下图为VC的基本组成结构⽰意图,其包括:(1)VC元数据,主要就是发⾏⼈、发⾏⽇期、声明的类型等信息。(2)声明,⼀个或者多个关于主体的说明。⽐如⾝份证作为公安机关颁发给我的VC,在声明中会包含:姓名、性别、出⽣⽇期、民族、住址等信息。(3)证明,通常就是颁发者的数字签名,保证了本VC能够被验证,防⽌VC内容被篡改以及验证VC的颁发者。它通过提供该种规范来描述实体所具有的某些属性,来实现基于证据的信任。DID持有者可以通过可验证声明VC,向其他实体(个⼈、组织、具体事物等)证明⾃⼰的某些属性是可信的。可验证声明VC 可以表⽰现实事物所具有的相同信息。数字签名等技术的加⼊,使得可验证的凭证⽐其物理对等物更不易被篡改,也更值得信任。可验证的声明可以快速地传输,这使得它们在尝试建⽴距离上的信任时⽐物理对等物更⽅便。第三⽅根据他们的记录来确认声明是真实的。例如,⼀所⼤学可以证明某⼈在那⾥学习并获得了学位。来⾃
权威的证明,要⽐能够伪造的证明更有说服⼒。
为了增强隐私保护,规范还定义了可验证表述(verifiable presentation),⽤于证明实体在特定场景下的⾝份⾓⾊属性。可验证表述是⼀种防篡改的描述,它来⾃⼀个或多个可验证凭证,并由披露这些凭证的主体⽤密码签名。⽆论是直接使⽤可验证凭证,还是从可验证凭证中获得的数据构造⾝份证明,
DID ⾝份证明都将以可验证表述(verifiable Presentation)的⽅式进⾏出⽰。下图为VP的基本组成结构⽰意图,其通常包括:(1)VP元数据,主要包含了版本,本JSON对象的类型等信息。(2)VC列表,要对外展⽰的VC的内容,如果是选择性披露或者隐私保护的情形,可能就不包含任何VC。(3)证明,主要就是持有者对本VP的签名信息。
(三)DID认证过程
公钥基础设施(Public Key Infrastructure,简称PKI),其主要功能是绑定证书持有者的⾝份和相关的密钥对(通过为公钥及相关的⽤户⾝份信息签发数字证书),为⽤户提供⽅便的证书申请、证书作废、证书获取、证书状态查询的途径,并利⽤数字证书及相关的各种服务(证书发布,⿊名单发布,时间戳服务等)实现通信中各实体的⾝份认证、完整性、抗抵赖性和保密性。下图为⼀个PKI系统的层级⽰意图。⼀个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应⽤等。其中PKI安全策略建⽴和定义了⼀个组织信息安全⽅⾯的指导⽅针,同时也定义了密码系统使⽤的处理⽅法和原则,它包括⼀个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控制的级别。证书机构CA是PKI的信任基础,它管理公钥的整个⽣命周期,其作⽤包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。注册机构RA提供⽤户和CA之间的⼀个接⼝,它获取并认证⽤户的⾝份,向CA提出证书请求,它主要完成收集⽤户信息和确认⽤户⾝份的功能。证书发布系统负责证书的发放,如可以通过⽤户⾃⼰,或是通过⽬录服务器发放,⽬录服务器可以是⼀个组织中现存的,也可以是PKI⽅案中提供的。
传统的PKI数字证书体系需要CA来颁发,⽽在DID中也是分为颁发者、持有者、验证者、DID注册系统(也就是区块链),它们的具体关系如图4.2.7所⽰。DID认证过程中的主要⾓⾊有:
多感官>机械手臂论文
(1)颁发者Issuer: 颁发者是拥有⽤户数据并能开具VC的实体,也即证书的颁发机构,⽐如⾝份证就是公安机关作为颁发者,毕业证书就是⼤学作为颁发者。
(2)持有者Holder: 持有者是证书的持有⼈,它向颁发者请求、收到和持有VC,向验证者出⽰VC。开具的VC可以⾃我保存,⽅便以后再次使⽤,例如保存在钱包⾥。
(3)验证者Verifier:验证者是在我们使⽤证书时查看我们证书的⼈或者机构,它通过接受VC并进⾏验证,由此可以提供给出⽰VC者某种类型的服务。⽐如我们⼊住酒店,前台要验证我们的⾝份证,那么酒店前台就是验证者;再⽐如我们⼊职新公司时需要提供⼤学毕业证书,新公司HR就是验证者。
(4)标识符注册机构Verifiable Data Registry:标识符注册机构是我们存储了DID标识和DID⽂档的地⽅,它维护DIDs的数据库如某条区块链、分布式账本,通过DID标识可以在数据库中查询到对应的DID⽂档。之所以需有标识符注册机构,是因为验证者要验证VC,也要验证⽤户。验证VC⽤VC和发VC的Issuer,验证⽤户⽤DID和存DID的数据库。
质量跟踪
相对于传统的基于PKI的⾝份体系,基于区块链建⽴的DID数字⾝份系统具有保证数据真实可信、保护⽤户隐私安全、可移植性强等特征。其优势在于:(1)去中⼼化:基于区块链,避免了⾝份数据被单⼀的中⼼化权威机构所控制。(2)⾝份⾃主可控:基于DPKI (分布式公钥基础设施),每个⽤户的⾝份不是由可信第三⽅控制,⽽是由其所有者控制,个⼈能⾃主管理⾃⼰的⾝份。(3)可信的数据交换:⾝份相关数据锚定在区块链上,认证的过程不需要依赖于提供⾝份的应⽤⽅。
DID认证的应⽤场景
(⼀)数据共享
当前,不同机构间存在着⼤量⽤户数据流通的需求。然⽽,由于各个机构之间通常难以组建有效的信任合作机制,因此,各机构间难以将各⾃保管的⽤户数据安全可信地授权共享给其他机构。通过分布式数字⾝份DID解决⽅案,可帮助机构间进⾏可信数据授权及共享,使得各机构可基于全⾯的数据为⽤户提供更⾼质量的服务。数据共享过程中的参与⽅为:⽤户、数据持有机构、数据使⽤机构、⾝份证明机构。其具体流程为:
(1)在⾝份证明机构、数据持有机构、数据使⽤机构间搭建区块链⽹络,机构作为节点接⼊并注册DID。
(2)由⾝份证明机构为⽤户⽣成DID。
(3)⽤户授权数据使⽤机构使⽤⾃⼰的数据。
(4)数据使⽤机构⽣成授权凭证(Credential),标明授权对象、数据属主、有效期、授权内容等属性,并使⽤机构私钥进⾏签名;数据使⽤机构可选择将授权凭证⽣成摘要并写⼊区块链,达到增信⽬的。
(5)数据使⽤机构出⽰授权凭证给数据持有机构。
(6)数据持有机构通过凭证验证(Verify)接⼝,验证授权凭证。
(7)验证通过,数据持有机构将数据发送给数据使⽤机构。
(⼆)物联⽹标识
分布式光学孔径系统
实际应⽤中IOT也可以与DID进⾏紧密结合,例如我们给每个IOT设备都分配其独⼀⽆⼆的DID,基于物联⽹+区块链+DID构建:商品溯源、车联⽹、智能制造、智慧城市等应⽤场景。
以制造业中的制造机器为例,每个机器都有⼀个DID,该DID是由机器的制造商⽣成并赋予每台机器的,当机器运转时会产⽣⼤量的⽣产数据,该机器会将数据签名,将⾮敏感⽣产数据、签名结果和DID上链。机器的制造商可以根据链上数据得知机器的运⾏情况,便于更好的售后保养服务。当企业需要贷款时,银⾏可以根据区块链上的⽣产数据,并结合机器制造商的背书,判断企业的⽣产经营情况,评估贷款风险。再以⾼价值商品的物联⽹防伪溯源为例,当每个商品被制造出来时,商家就为其IOT设备⽣产私钥并创建唯⼀的DID。因为私钥⽆法复制导出,所以只有在区块链上登记了DID的商品才是正品。⽽且商品的DID可以映射对应的⾮同质化通证,以数字化的形式表现商品的流转过程。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议