BTC首发 | 中钞区块链技术钻研院:四大分布式数字身份架构的对比及钻研 | BTC

  

本文由中钞区块链技术钻研院授权BTC资讯独家首发,转载需注解出处。

原题《分布式数字身份架构及项现在钻研》

作者:中钞区块链技术钻研院 潘镥镥

  概述  

数字身份陪同着计算机科学的行使而发展。

在上个世纪 50年代到 90年代,数字身份紧跟着互联网的发展而发展,它能够是 email地址、IP地址、域名,清淡由差别的网络服务挑供。

当互联网竖立了同一的制定标准,迎来了计算机技术和互联网行使的荣华发展,越来越多的做事和生活线上化。数字身份演变为复杂的体系,必要一套处理认证和访问限制的营业编制。这时出于便利性的考量,大无数互联网行使的数字身份清淡是用户名暗号。

当互联网行使的量级强烈增补,质的转折悄然发生。

• 互联网巨头仰仗平台效答垄断市场,行行使户数据行为护城河,产生了大量价值,但用户并异国对本身的数据拥有什么话语权和价值收好。

• 原由益处驱使,围绕着用户数据发生的作恶搜集、数据泄露和营业走为防不胜防,损坏用户坦然。

• 用户的数字身份——账号暗号由服务商限制,用户租借行使,服务商能够决定账号禁用、服务终止。

• 互联网的数字身份从属于行使编制,决定了用户要重复注册许多的账号暗号,而且互联网在行使层面并不互联互通,一个跨行使的营业实现难度很大。尤其对于必要用户确权操作的跨行使营业,能够必要更改整个营业架构增补跨行使的用户身份。

为解决这些题目,人们已做了大量的尝试。

隐私珍惜政策纷纷落地。《中华人民共和国暗号法》、《中华人民共和国网络坦然法》、《新闻坦然技术幼我新闻坦然规范》等国家技术标准出台,清晰了企业在搜集、行使、保存隐私数据时所必要达到的技术凶果及提出行使的标准化技术手腕。国际上,被称为史上最厉格的隐私珍惜法案《通用数据珍惜法案》 (GDPR)除了清晰技术凶果之外,更引入了巨额的罚款措施。

区块链技术带来了新的启示。行为一栽新的分布式编制形态,区块链技术用哈希链的数据结构转折了电子数据易被篡改的属性,用“区块+共识算法”解决分布式编制的数据相反性题目,拜占庭容错能力保证跨实体运走的编制不受幼批节点凶意走为的影响,从而解决营业层面的信任难题,有看在服务商之间搭建互联互通的制定。

在政策、技术、市场因素的共同驱动下,产生了一栽新的数字身份形态——分布式数字身份,它用分布式基础设施转折行使厂商限制数字身份的模式,让用户限制和管理数字身份,议决将数据一切权璧还用户从根本上解决隐私题目。它议决定义身份层制定挑供跨行使的互操作性,促进行使间的互联互通,创造了一栽扁平化、弹性化的数字身份模式。

  1分布式数字身份基本概念和模型  

国际标准化机关/国际电子技术委员会将“身份”定义为“一组与实体相关的属性”,其中“实体”定义为“操作某个特定域的相关项,具有物理或逻辑形态,包括当然人、机关、设备、SIM卡、护照、网卡、行使柔件、服务或网站”。数字身份

清淡由代外实体的身份标识符及与之相关的属性声明来外示,分布式数字身份包

括分布式数字身份标识符和数字身份凭证(声明荟萃)两片面。

分布式数字身份标识符(DID)是由字符串构成的标识符,用来代外一个数字身份,它是一栽往中间化可验证的标识符,实体可自立完善 DID的注册、解析、更新或者撤销操作,不必要中间注册机构就能够实现全球唯一性。清淡,一个实体能够拥有多个身份,由实体本身进走管理、维护,差别的身份之间异国相关新闻,可有效避免身份新闻被第三方归集。

数字身份凭证中清淡包含一个或多个“声明(claims) ”。声明新闻是与身份相关的属性新闻,清淡包括:姓名,年龄、学历、做事等等。凭证由发走者签名,可议决暗号学表明是否由凭证中声称的实体签发且未被篡改,所以被称为可验证凭证。

1.1可验证凭证模型

数字身份编制的主要主意是认证数字身份一切者的身份属性,基于其身份新闻挑供行使编制的授权访问和服务。

基于上节平分布式数字身份的设计,能够很好地实现基于可验证凭证模型的做事流程: 凭证发走方根据身份一切者乞求签定发布可验证凭证; 身份一切者将可验证声明以添密方式保存,并在必要的时候自立挑交给凭证验证方进走验证; 凭证验证方在无需对接凭证发走方的情况下,议决检索身份注册外,即可确认凭证与挑交者之间的所属相关,并验证属性声明的实在来源。

图1 可验证凭证流转模型

在分布式数字身份的模型中,将身份标识符的生成/维护,与身份属性声明的生成/存储/行使别脱离来,有助于构建一个模块化的、变通的、具有竞争力的身份服务生态编制。

1.2体系架构

如前所述,分布式数字身份的核心模型是分布式数字身份标识符和可验证凭证流转,核心技术是分布式账本和暗号学技术,这二者的结相符用以创建不可抵赖、且不可篡改的身份记录。

从实现的角度而言,分布式账本基础设施、基于 DID的交互、可验证凭证行使、治理框架构成了分布式数字身份的四层体系架构。

2

图2 分布式数字身份体系架构

1.2.1分布式账本

具有分布式 key-value数据存储能力的分布式账本,用作分布式数字身份标识符的注册外,只要确保身份一切者保持对其私钥的限制权,则任何第三方都无法拥有该标识符的行使权,也就无法冒充身份持有者意愿,危害其益处。

分布式账本不可篡改的特点,让它既正当用于分布式数字身份数据(标识符、公钥、通讯地址等)的发布和维护,也正当用于被多方信任的公开新闻的公示和验证(如凭证发走方的实在身份新闻、凭证模板新闻必要被多个凭证验证方进走验证)。

1.2.2基于 DID的交互

分布式数字身份主张用户管理和限制数字身份,差别用户之间不倚赖于第三方进走坦然通信。议决用户本身管理的 DID标识符和密钥、注册到分布式账本的分布式数字身份数据,已足基于 DID的点对点相互认证和坦然通信必要。

就两点间通信而言,其坦然通信的做事原理照样是基于传统 PKI挑衅反答机制和商议数据添密方式。这栽坦然通信的底层制定可行使 HTTP、RPC、蓝牙、NFC或其它制定,成为差别解决方案之间端到端互联互通的标准通信方式;

就全网一切节点而言,议决安放在往中间化服务器及幼我客户端的身份密钥钱包,以及全网共享的 DID分布式账本,代外肆意差别实体身份的节点之间都能够实现基于非对称密钥方式的认证交互,并最后议决这栽实体间的信任传递实现全网信任。

1.2.3可验证凭证行使

可验证凭证行使层包括各类基于 DID交互的表层行使。数字身份行使的主要主意是认证身份属性,和基于其身份新闻挑供行使编制的授权访问。可验证凭证挑供了一栽以身份持有方为主导,连接凭证发走方和凭证验证方(行使编制),凭证发走方和凭证验证方不必要通信的凭证流转方式。

除可验证凭证流转外,异日在这层也能实现其它点对点的典型行使,如添密外交、股份迁移,等等。

1.2.4治理框架

要在分布式网络中竖立人类信任,必要竖立营业和法律制定,这是治理框架的做事。

治理框架指管理分布式数字身份生态编制的一套决策体系。它对于在异国权利中间进走决策的生态中,有效发挥生态的作用专门主要。治理框架的主要元素包括治理角色、决策周围、决策程序,一般的说即人、事、规则。

  2分布式数字身份项现在  

分布式数字身份展现的历史虽短,且仍在快速演化中。议决横向比较具有代外性的一些项现在特点,有助于吾们更好的理解其技术内心/模式,也有助于晓畅其异日走向。

本钻研选取的比较钻研对象是 uport、sovrin、微柔 DID、WeIdentity这几个具有一准时间跨度、方案特征迥异性、差别场景中的代外性项现在。

外1 项现在概况 项现在 历史 主导机构 设计思维 uPort 2017年发布白皮书 Consensys 竖立在以太坊区块链上的分布式身份管理行使 Sovrin 2017年正式启动网络,2018年发布白皮书 Sovrin基金会负责运营,Hyperledger Indy和Aries为实现方案 自吾主权身份和往中间化信任的数字身份生态和网络 微柔DID 2019年发布试用版本 微轻柔DIF 基于Azure云服务的DID基础设施组件和标准 WeIdentity 2019年发布 微多银走 基于联盟链的可信数据交换解决方案 2.1项现在简介

1. uPort

uPort是 Consensys推出的基于以太坊的分布式数字身份管理服务,它能够批准用户进走身份验证、无密登录、数字签名并和以太坊上的其它行使交互。uPort旨在解决远大存在的区块链用户密钥管理题目,为用户挑供持久可用的数字身份。于 2017年发布白皮书。

2. Sovrin

Sovrin是 Evernym初首开发、Sovrin基金会运营、Hyperledger孵化开源的一栽用户自立主权身份和往中间化信任的制定,它致力于挑供自吾主权身份的往中间化的全球公共网络,该网络于 2017年 7月正式启动。

3.微柔 DID

微柔 DID是一套基于 Azure云服务的分布式数字身份技术架构,它公开了源代码、标准,期待实现互联互通,于 2019年发布试用版本。

4. WeIdentity

WeIdentity是由微多银走推出的基于联盟链身份的实体身份标识和可信数据交换解决方案,依托权威机构挑供用户 KYC服务,并以联盟链行为各用户角色的连接中间和新闻的存证中间,促进数据可信交换。于 2019年发布。

2.2架构比较

外2 项现在架构对比 对比项 uPort Sovrin 微柔DID WeIdentity 分布式账本 以太坊 Sorvin Ledger或其他DLT 基于Azure云服务的多链账本 FISCO-BCOS DID方法 did:Ethr(相符W3C) did:sov(相符W3C,并成为单独标准) did:ion-test;did:test did:weid(相符W3C,不具有互操作性) 基于DID的交互 议决智能相符约之间转发营业进走交互 遵命Hyperleger Aries,标准化的端到端交互模式 Identity Hub声援基于DID和密钥的相互认证、坦然通信 用户倚赖于用户代理机构转发 可验证凭证行使

基于智能相符约绑定DID和链下的身份凭证,使其成为一栽新式的用户限制的“数字证书”

遵命W3C可验证凭证数据模型 不挑供身份认证行使,挑供行使必要行使的隐私数据存储管理模块Identity Hub 基于W3C可验证凭证数据模型的数据分享,有直接出示和链上授权两栽方式 治理框架 以太币支付营业费用的公有链方式 Sovrin治理框架 基于云服务的中间化治理 联盟链治理方式 2.2.1uPort

uPort是基于以太坊的分布式数字身份管理服务,它能够批准用户进走身份验证、无密登录、数字签名并和以太坊上的其它行使交互。

uPort的集体架构由智能相符约、开发者库和移动 APP构成。其中移动 APP持有效户的密钥。以太坊智能相符约构成身份管理的核心,包括用户的 uPort标识符管理、身份凭证的管理、以及可让用户在丢失移动设备时恢复身份的逻辑。开发者库可让第三方行使开发者把 uPort集成到他们的行使中。

1、分布式账本

uPort的底层基础设施是公有链以太坊。uPort DID方法已注册到 W3C维护的注册外。

2、基于 DID的交互

uPort智能相符约设计表现了用户对数字身份的管理限制和行使。用户行使uPort DID登录其他在以太坊上注册的行使。

图3 uPort基于标识符的交互方式

标识符

其中,代理相符约是用户数字身份的象征,uPort身份的核心标识符是代理相符约的地址;限制相符约,是代理相符约的正式拥有者。限制相符约维护了核心访问限制特性,包含密钥恢复和访问限制逻辑;限制相符约由 uPort移动 App中坦然存储的密钥进走限制。

这栽设计批准用户行使密钥向代理相符约自吾认证,并代外代理相符约走事,有利于用户在保持标识符不变的情况下替换私钥。

交互

行使 DAPP与 uPort App均行使了以太坊智能相符约,代理相符约能够向行使相符约转发营业,并且议决这栽机制,uPort身份与以太坊区块链上的其他智能相符约进走交互。

3、可验证凭证行使层

uPort的身份认证行使中的用户角色包含凭证发放机构、用户、行使、uPort共四方。

uPort和凭证发布机构配相符,凭证发放机构在以太坊网络上注册本身的身份,能够签定和验证数据;凭证发放机构在其行使中挑供二维码新闻以便于用户交互,用户行使 uPort APP扫描二维码,向凭证发放机构注册本身的 uPort ID。凭证发放机构根据营业需求按本身的方式认证用户新闻,认证通事后向用户发放带有签名的身份凭证。

uPort服务议决注册相符约管理 uPort ID和用户的身份凭证新闻,每一个 uPort身份标识符绑定了一个相关的链下数据结构(如 IPFS),身份凭证存储在链下。注册相符约扮演逻辑上中间化,物理上往中间的注册外或查找外,将每一个 uPort身份标识符映射到一个 IPFS择要上,这个 IPFS择要与包含了用户属性、幼我数据、见证的结构相链接。只有 uPort身份的一切者(设备密钥的持有者)才有权利往修改相对答的注册入口。

用户注册新的行使时,行使议决二维码与用户交互,获取 uPort ID和行使必要的凭证。倘若用户注册相符约中已经存储了相答的凭证,行使从 uPort服务器获取该凭证进走验证。验证通事后,行使将 uPort ID注册为用户账户,以后用户只必要行使 uPort ID即可登录该行使。

4、治理框架

uPort异国挑出新的治理框架,遵命了以太坊的治理模式,即议决以太币支付网络营业费用。

2.2.2Sovrin

Sovrin是一栽用户主权身份的基础设施和全球可互操作的身份制定,它不是一栽详细的解决方案,不倚赖于特定柔件实现,差别的解决方案实现厂商可基于Sovrin制定和基础设施搭建具有互操作性的平台。Sovrin定义了分层的、解耦相符、

模块化的模型。

Sovrin基金会牵头推进了 Hyperledger Indy项现在,挑供基于区块链或其他分

布式账本技术的工具、代码库和模块化组件用于实现自力的数字主权身份。2019年,从 Indy项现在中自力出了 Hyperledger Aries项现在,用于实现其中的端到端交互。

1.分布式账本

Sovrin基金会管理了一个特定的账本 SovrinLedger,由 Stewards操作节点与 Sovrin共识制定进走通信维护,但同时 Sovrin制定能够运走在任何声援上面三层的分布式账本上,不倚赖于一栽特定的区块链或分布式账本技术,才能形成全球可互操作的用户主权身份网络。

2.基于 DID的交互

Sovrin声援基于 DID进走点对点相互认证和坦然通信,并且在 HyperledgerAries项现在中孵化一套标准化的端到端交互柔件基础设施,Aries项现在于 2019年挑出。

Aries的功能包括:竖立和行使点对点连接,发送/授与点对点制定新闻,并代外模块所代外的实体实走操作。它是 Sovrin基础架构的基石,议决该模块,Sovrin实体形成连接并共享 Sovrin身份。点对点连接是两个 Sovrin实体之间相关的基本单位,由一对仅被两边实体清新的匿名标识符构成,如许能够最大限度地避免一个实体的多个标识符被第三方归集。

3.可验证凭证行使层

基于零知识表明的匿名凭证技术实现了可验证凭证,声援凭证新闻的最幼化吐露:

声援对一个或多个凭证中的声明进走选择、组相符并出示;

•凭证验证方不获得数据明文或密文,而仅获得数据的暗号学验证方法,因

此也无法复用它来模拟另一个用户。典型例子是在不展现实际出生日期新闻的情况下,出示相关年龄情况的表明(如“18岁以上”)。

4.治理框架

Sovrin基金会发布了治理框架,竖立用于自吾主权身份的分布式网络所需的治理方法。框架定义了 Sovrin网络一切成员批准遵命的商业、法律和技术术语,并且规定了 Sovrin基金会和成员之间的法律相符同。

2.2.3微柔 DID

微柔 DID是一套基于 Azure云服务的分布式数字身份技术架议和基础功能,让解决方案实走商可方便的在差别区块链上实现分布式数字身份集体解决方案。微柔是 DIF联盟的主要成员,以标准的开源技术、制定和参考实现为主要现在标。

微柔 DID的技术架构包括区块链 BAAS服务、注册 DID的 Layer2方法 ION、隐私数据管理模块 Identity Hub,均以 API的形态为开发者挑供服务,ION和Identity Hub还挑供了开源柔件。在未实现的计划中,还包括手机端的身份管理模块。

•议决区块链 BAAS服务向差别区块链注册分布式数字身份标识,能够成为普及行使的中间层,实现 DIF的互联互通现在标。

•ION方法是 SideTree制定基于比特币网络的实现,用于解决向公有链注册 DID存在的效率矮下题目。

•Identity Hub为开发者挑供了管理用户隐私数据的基础模块。

1.分布式账本

微柔 DID的基础设施不倚赖于特定的分布式账本。与 Azure区块链服务的设计思维一脉相承,微柔 DID依托于 Azure云服务声援多栽分布式账本制定,并且注册了基于该分布式账本的 DID操作方法,对开发者暗藏分布式账本的接入细节,挑供 Restful API接口。

现在微柔 DID声援以下两个 DID操作方法:

•Ion-test:注册到比特币测试网络

test:注册到微柔数据库同时正在开发对以下三个分布式账本的声援:

•比特币正式网络

•议决 uport的 DID方法,注册到以太坊

•议决 Sovrin的 DID方法,注册到 Sovrin网络

在 DID注册和查询过程中,为解决公链效率矮下的题目,微轻柔 DIF联盟的几个成员发首了 SideTree制定,构建了 L1层公链和 L2层 DID操作的分层架构:

•L2层保存了 DID操作的源数据并推送到 IPFS网络,汇聚尽能够多的 DID操作后锚定到 L1层;

•L2层的每个“节点”各自与 L1层同步,获取 Sidetree锚定营业后,拉取DID操作源数据。

图4 SideTree架构

2.基于 DID的交互 &可验证凭证行使

微柔 DID中未挑供完善的 DID交互和可验证凭证行使柔件,由开发者根据本身需求进走设计。微柔 DID主要为开发者挑供了 Identity Hub模块,它的现在标是为用户存储和管理隐私数据,以添强数据外达能力的“语义数据模型”实现。在DIF的认可下,已发布了第一版开源代码。

与传统的数据存储解决方案相比,Identity Hub具有往中间化的特性:

•标准化接口:Hub的实现厂商必要已足标准化的数据存取接口,包括为每个用户的 Hub注册 DID,差别用户的 Hub议决 DID标识符进走互操作。

开源:议决开源代码,鼓励开发者运营本身的 Hub。

Identity Hub声援与用户议决 DID进走点对点的坦然通信,遵命 DIDAuth的相互认证和添密传输。

2.2.4WeIdentity

WeIdentity是基于联盟链的可信数据交换解决方案,它是一套基于FISCO-BCOS区块链底层平台的解决方案,也是 BCOS联盟链的行使场景。联盟链为各用户角色挑供了接入中间,为数据交换挑供了数据存证和验证功能。

WeIdentity中的用户角色包括凭证发走者、凭证验证者、用户代理和用户共四栽,其中用户代理清淡为权威可信机构,为用户 KYC并生成数字身份标识符,用户的数字身份和隐私数据托管于用户代理中。

1.分布式账本

WeIdentity基于微多银走的 FISCO-BCOS联盟链实现,其集体架构具有清晰的联盟链特征。

2.基于 DID的交互

用户的数字身份标识符、幼我数据均托管于用户代理中,由用户代理与凭证发走方和凭证验证方进走通信。

所以,用户与其它实体之间的通信均议决用户代理进走转接。用户代理由场景选择,一个场景中清淡具有一个用户代理,这个用户代理成为一个联盟链网络中的中间转接点。

本方案中的数字身份标识符等同于联盟链中的身份相符约,快讯是一条链上的唯一标识,挑供了链上走为的可验证和追溯特性。原由用户的实体身份和标识符议决用户代理机构绑定,用户走为可查可归集。

3.行使层

行使层是 WeIdentity解决方案的重点,以可验证凭证数据模型规范行为标准的数据机关方式并进走分享。其主意是借助区块链实现可信数据的交换,挑供直接出示和链上授权两栽方式。

1)直接出示

i.凭证发走方产生凭证,同时上链存证凭证哈希值

ii.用户议决用户代理挑供的服务下载详细数据,将凭证详细数据以线上传输或线下二维码模式挑交给凭证验证方

2)链上授权(正当用于用户代理也不克保存数据原文的情况)

i.凭证发走方产生凭证,同时上链存证凭证择要

ii.用户向凭证验证方发走一个授权凭证,并上链存证授权凭证择要

iii.凭证验证倾向凭证发走方乞求数据,出示用户授权凭证,凭证发走方进

走验证。

iv.验证通事后,凭证发走方与凭证验证方竖立数据传输通道进走数据传输

4.治理框架

WeIdentity是基于场景落地的联盟链解决方案,治理方式也具有清晰的联盟链特征。

联盟链中,新成员添入都必要进走 KYC。幼我用户议决用户代理机构进走 KYC和营业接入,比如行行使户代理机构挑供的身份管理工具 App;机构用户可议决安放区块链节点、或议决营业发首方挑供盛开平台的方式接入联盟链。

除用户代理外,编制中还有一类具有稀奇权限的权威机构。链上每个WeIdentity DID持有者(包括人,机构,或者物)都能够成为凭证发走者,但只有联盟链内里的权威机构才能够注册成为 Authority Issuer。每个注册为 AuthorityIssuer的新成员必要联盟链内其他机构投票议决。

编制中还有一些联盟链的内部治理角色,如编制管理员、机构委员会等。

WeIdentity的角色权限管理议决智能相符约实现,差别类型的相符约角色分配差别的权限。

2.3特性比较

本钻研抽取了隐私珍惜和跨行使互操作性这两个关键维度,对代外性项主意近况和趋势进走了分析。

一、隐私珍惜

隐私珍惜不十足等同于新闻坦然,新闻坦然强调在计算机技术层面上新闻的保密性、完善性和可用性,现在标在于保障授权用户能够在必要新闻的任何时间点,获得保密的、异国被作恶更改过的数据,是隐私珍惜的基础。

隐私珍惜的现在标在于防止隐私数据被非授权的主体行使或者以一栽未授权的方式行使。隐私数据的周围包括了一切的非公开数据。对于幼我来讲,隐私数据是关于本身和周边环境包括外交网络的幼我数据。对于企业来讲,隐私数据是关于本身和配相符友人的营业和其他非公开数据。

现在,已有多栽技术用于分布式数字身份编制以解决隐私性题目,主要能够分为转折数据限制权、行使多个标识符和基于暗号学三类。

(一)转折数据限制权是指议决转折用户数字身份数据的一切权从根本上解决隐私性题目。

绝大无数分布式数字身份项现在主张自吾主权身份,自吾主权身份意味着用户是身份管理的中间,包括行使、授权和存储等各个环节。

用户将身份新闻、密钥和其它数据存储在本身的设备上,而非互联网公司的服务器上。如此一来,一切数据都首终掌握在幼我手中,能够随时新添或删除数据,授权或作废给他人读取或写入数据。用户不必要以就义幼我隐私、就义幼我数据自立权的方式,来交换互联网公司挑供的免费服务。基于这个主意,用户对管理身份、存储数据的柔件服务答具有选择权,柔件运营商答挑供可移植性以便用户迁移。

(二)行使多个标识符指差别场景行使新的身份标识符,使抨击者难以分析标识符和用户实体之间的相关,从而避免用户新闻的归集。

(三)基于暗号学的技术仰仗暗号学中的同态添密、零知识表明等技术,在敏感新闻不外泄的基础上实现编制功能。暗号学技术主要用于行使层可验证声明数据模型和数据存储柔件中。

各项现在行使了几栽隐私珍惜技术的荟萃:

外3 项现在隐私珍惜特性对比 uport Sovrin 微柔DID WeIdentity 转折限制权 挑倡自立主权身份,为用户挑供了幼我身份钱包客户端以便管理限制数字身份标识符,和本身链下的身份凭证。 挑倡自立主权身份,为用户挑供了幼我身份钱包客户端以便管理密钥、点对点连接、可验证凭证,挑供云代理服务行为客户端和区块链的中间层;幼我身份钱包客户端和云代理服务答已足可移植性 挑倡用户自立限制数据;挑供往中间化特性的基础设施,Identity Hub的标准化接口已挑交DIF等标准制定机关,并且议决开源鼓励开发者本身运营。 倚赖于用户代理对幼我、企业用户进走KYC、生成链上ID并托管私钥和可验证凭证。隐私新闻的限制权在于用户代理机构。 多个标识符 无 除发证方、行使方必要公示的身份新闻外,其余标识符均不上链,仅在交互两边间共享,每一对新的交互主体产生一对新标识符

基于暗号学 比较浅易,能够对注册相符约中的特定属性单独添密,但其结构照样可见。存储在IPFS中的数据存在泄露风险。

基于零知识表明的匿名凭证技术实现了可验证凭证,声援最幼化吐露。凭证验证方不获得数据明文或密文,而仅获得数据的暗号学验证方法。

典型例子是在不展现实际出生日期新闻的情况下,出示相关年龄情况的表明(如“18岁以上”) 在用户隐私数据的管理柔件Identity Hub中,设计了数据添密功能(未上线),现在标是用端添密数据,Hub不清新明文。 基于哈希算法实现了可验证凭证,用户出示可验证凭证时可选择凭证中字段,声援最幼化吐露。与sovrin匿名凭证技术的区别是,凭证验证方获得字段明文新闻,不声援周围表明。 二、跨行使互操作性

挑供跨行使互操作性主意是为了促进行使间的互联互通,解决互联网新闻孤岛、跨行使配相符难得的题目,以及在异日获得非线性添长的能力。

一栽方案是否有助于促进互联互通和它是否声援标准化建设、适用周围和行使添长速度这三个方面都有偏主要相关。

(一)标准化建设

分布式数字身份钻研时间不长,但发展敏捷,也已从最初的单一项现在、单一技术钻研进入到超大型技术公司为主导的标准化钻研进程。分布式数字身份中的关键数据的机关形态,如分布式标识符(DID)及可验证凭证(verified credentials)规范已由国际化标准机关 W3C牵头制定中。

(二)适用周围

适用周围指一个方案能够行使的边界和正当行使的场景,它决定了一个方案能达到互联互通的上限。

(三)行使添长速度

以 HTTP制定为例,一个最后被普及行使的制定纷歧定是最特出的,和营销、发展速度也相关。若能形成网络效答能够获得超线性的添长速度。

一方面,网络制定具有网络效答,随着越来越多的人行使,对用户会更有价值。另一方面,凭证发走方和凭证验证方具有典型的双边网络效答,任何一组用户的增补会增补对另一组用户的需求。

外4 项现在跨行使互操作性对比

项现在

uPort

Sovrin

微柔DID

WeIdentity

标准化建设

遵命W3C DID规范

遵命W3C DID、可验证凭证规范,DKMS规范,DIDAuth规范,开发标准化的端到端交互模块

遵命W3C DID规范,DIDAuth规范,制定SideTree、Identity Hub规范并盛开源码

遵命W3C数据规范

适用周围

以太坊生态内

声援Sovrin制定的各栽分布式数字身份解决方案

声援DID规范、DIDAuth规范的各栽解决方案

需添入联盟链,不盛开

适用场景

行使单点登录

用户主权的身份验证、基于点对点的任何场景

普及

数据交换

行使添长速度

uPort必要和凭证发布机构配相符以挑供更多的凭证,做事量较大

议决Steward启动分布式网络;行使层需考虑凭证发走方和凭证验证方的引入策略

内心上挑供云服务,对网络效答的倚赖不大

场景式落地,不倚赖于网络效答,不形成网络效答

3 分布式数字身份行使案例  

现在在W3C的DID注册外中已注册了50多个项现在,这些构建在分布式基础设施上的数字身份项现在都统称为分布式数字身份,而议决上一章吾们也看到差别项主意迥异性专门大。在行使落地的过程中,清淡针对差别场景中的差别需求采取了差别的实现方案。议决这些行使案例的分析,有助于吾们理解差别分布式数字身份方案的价值。

3.1   VON

VON全称Verifiable Organization Network,即可验证企业网络,是Sovrin制定的开源项现在Hyperledger Indy的行使。由添拿大的哥伦比亚省当局发首,现在已在哥伦比亚省和安约略省公开商用,为企业签发了数百万个可验证凭证。

行为当局,关心如何为企业挑供优质服务、以及挑高集体经济活力。相比幼我行使来说,企业在线上的商业行使专门少,几乎只有商品营业和广告,所以线上经济具有富强的潜力。线上经济最大的挑衅照样对企业数字身份的认证和识别,当局拥有绝大无数企业所需的数字身份的认证能力,但传统的数字身份方案从属于行使,且数字身份易被暗客抨击和窃取,难以让企业数字身份产生可信和具有周围的跨行使行使,从而带来最大的经济活力。

行使了Hyperledger Indy后,用户自立限制的特性增补了身份窃取和假装的难度,添上可验证凭证流转挑供了可信的数字身份属性,为企业挑供标准化可验证的数字身份,将当局的高可信属性传递给企业,缩短社会总体信任成本。

原由当局是当然的凭证发走方,在既异国凭证发走方/验证方、也异国企业身份一切者来授与和存储凭证的情况下,哥伦比亚省当局选择了“构建企业公开新闻注册外(“OrgBook”),引入凭证发走方”的策略。即由可信机构运营企业凭证的公开注册外OrgBook,授与凭证发走方发出的企业凭证,并向幼我和企业挑供企业新闻的搜索和验证。所以在现在阶段,VON仅声援企业公开新闻的签发,不声援隐私场景。异日,议决企业本身管理数字身份数据,凭证发走方可将隐私数据签发至企业本身。

针对凭证发走方/验证方,VON挑供便利、个性化的接入方式以完善快速对接,详细包括监控凭证发走方数据源并向Indy agent批量推送发证数据、以及议决OrgBook挑供的API验证企业凭证以确认企业是否拥有申请某凭证的前置条件。

5

图5 VON方案架构

VON是一系列生态编制,每个生态编制均由一个司法管辖区域运营,清淡由一个OrgBook和围绕着OrgBook的一组凭证发走方/验证方Agent构成。遵命VON的设想,以及遵命标准化端到端交互模块的实际实现,多个生态编制之间能够互相连接,以形成跨区域的可验证机关网络。

分布式数字身份在VON项现在中的行使带来了以下特性:

一、可信数据

基于匿名凭证技术实现的可验证凭证,由暗号学保证了凭证的发走方和凭证的授与方实在可信、凭证内容未被篡改、以及凭证未被撤销,能够成为企业的可信基础,并挑供离线验证特性,即凭证验证方无需相关凭证发走方,通太甚布式账本和暗号学技术即可验证数据的可信。

二、易于扩展

VON遵命Sovrin制定,在Hyperledger Indy的基础上实现,现在一向在赓续地产品化和模块化,异日能兼容Hyperledger Aries标准。所以VON网络专门易于扩展,形成跨区域跨行使的可验证机关网络。

3.2   澳门聪慧城市

澳门聪慧城市建设的“证书电子化”项现在中行使了WeIdentity方案。

早在2005年,澳门稀奇走政区就制定了《幼我原料珍惜法》,规定了以公开、透明以及尊重原料当事人意愿的原则处理幼我原料,竖立了厉格的坦然珍惜措施。比如机构向当事人搜集幼我原料,不论议决哪栽途径、用于那里、交由其它机构,都必须告知当事人并取得批准。

在用户求职等场景中,求职企业必要验证幼我用户的卒业证书、做事证书等凭证。原由当局机构也受到上述法律法规的收敛,不克肆意搜集用户数据,所以澳门异国相通于学信网这一类当局运营、挑供公开服务的第三方机构,企业必须议决相关差别的凭证发走方才能验证真假。

WeIdentity方案主要议决区块链挑供的存证功能解决凭证验证题目。凭证发走方和验证方都议决区块链节点接入网络,凭证发走方将幼我原料的暗号学择要行为可验证凭证发布上链,凭证验证方收到幼我原料后向区块链查询真假。在这过程中不必要第三方存储和搜集幼我原料明文新闻。

在该项现在中,澳门稀奇走政区身份表明局承担了用户代理的角色。身份表明局是由走政法务司监督,辅助澳门稀奇走政区走政当局在民事与刑事身份认别及旅走证件的走政机构,本就具有对幼我用户KYC的能力与职责;澳学徒产力中间、澳门理工大学等机构承担了凭证发走方角色;澳门电讯等企业承担了凭证验证方角色。

分布式数字身份在澳门“证书电子化”项现在中的行使带来了以下特性:

一、可信数据

WeIdentity方案中,可验证凭证以择要形态存证在区块链上,任何人可根据数据原文验证可验证凭证的内容未被篡改。

二、隐私珍惜

基于属性分片进走择要算法实现的链上可验证凭证,声援凭证验证方对其中片面属性进走验证,从而声援用户只向凭证验证方出示片面属性。这议决行使一栽比匿名凭证技术更添浅易的方式实现了片面匿名凭证的功能,匿名凭证技术的上风在于不必要向凭证验证方出示属性明文,而仅出示属性的暗号学表明。

三、场景式落地

用户代理是方案中的限制中间和数据中间,托管了用户密钥和可验证凭证。所以实际上用户不具有对本身数据的限制权。原由联盟链的内心和中间化管理方式,差别场景之间不必要进走连通,可根据差别场景进走定制化开发。

3.3   更多

本文中挑到的4个项现在仅是分布式数字身份蓝图中的一幼片面,更多项现在已在全球各地产生和行使。

一、ShoCard

ShoCard是较早尝试分布式数字身份管理的项现在,它行使分布式账本为用户绑定标识符和现有的可信凭证(如护照、驾照),记录验证历史,为用户挑供分布式的可信身份。

ShoCard的典型行使是与SITA航空配相符的旅走认证解决方案。人们在跨国旅走时,在机场安检的过程中要不息出示护照、登机牌、面部核验等新闻,这些新闻构成的数字身份是幼我与身份验证方互动的关键。

旅走者行使移动终端对身份证件拍照,将元数据添密存储在本地,将可验证新闻存证于区块链,当用户出示证件进走验证时,身份验证方除了验证物理证件,还可验证区块链记录。倘若验证议决,身份验证方乞求ShoCard成员管理服务器生成认证证书。认证证书存储在用户终端,同时在区块链存证。以后可用于挑供给有相通请求的身份验证方。

ShoCard实践较早,行使普及。包括:与多家银走配相符将用户KYC新闻行为可信凭证发送给用户,以便银走在不查询其它金融机构数据库的情况下授权客户,缩短重复KYC流程;为繁忙的医护人员挑供胸牌坦然凭证,对于与多个医疗保健机构签约的医疗做事者能够在不必要中间化身份的情况下访问多家机构的资源。

ShoCard行为一个早期方案,在适用周围、隐私珍惜上均有所短缺。其用户数字身份由身份挑供方创建,只能在相答的生态编制内行使。而成员管理服务器的存在,能够相关用户与身份验证方的相关,也造成了用户行使的不确定性——当公司不存在时,用户将无法行使已获得的证书。

ShoCard的价值主要是创新性的挑出了技术思路,即在幼我终端存储密钥和凭证等幼我数据,以区块链行为往中间的交换准许而存在,不存储敏感新闻,保证新闻的可信和完善。其它较早期的分布式数字身份方案均在此共识基础上添入创新,包括Civic、IDHub等等。

二、IdentiCAT

2019年9月,西班牙添泰罗尼亚自治区当局宣布启动用户主权的分布式数字身份项现在IdentiCAT,这是欧洲第一个盛开的数字身份。IdentiCAT挑倡用户限制本身的数字身份和相关数据,构建在分布式账本基础上,居民议决本身的柔件管理数字身份,维护隐私。它遵命欧盟的eIDAS规范,所以可在欧盟的一切国家行使。在该项现在中,当局不搜集数据,主要承担项现在保障的角色,为居民、企业挑供工具和可信任的法律框架。

  趋势与展看  

相比传统数字身份编制,分布式数字身份具有隐私珍惜、可控坦然、持久可用等特点,基于属性的授权访问方式能够更好的声援盛开环境下变通的访问策略。短短几年时间,已取得了雄厚的规范和技术标准化钻研收获。随着标准化收获的不息拓展,异日越来越多的行使可方便、坦然的切换到分布式数字身份基础设施上来,形成互联互通的互联网身份网络。

 

参考文献:

[1] W3C. Decentralized Identifiers (DIDs) v1.0 [EB/OL]. [2020-04-08]. https://w3c-ccg.github.io/did-spec/

[2] W3C. Verifiable Credentials Data Model 1.0 [EB/OL]. [2020-01-15]. https://w3c.github.io/vc-data-model/

[3] Christopher Allen. The path to self-sovereign identity [EB/OL]. [2016-04-25]. http://www.lifewithalacrity.com/previous/.

[4] Oskar Van Deventer. Self-sovereign identity-the good, the bad and the ugly; May 2019 [EB/OL]. [2019-05]. https://blockchain.tno.nl/blog/self-sovereign-identity-the-good-the-bad-and-the-ugly/

[5] Web of Trust. [EB/OL]. [2020-04-09]. https://github.com/WebOfTrustInfo/rwot6-santabarbara/blob/master/final-documents/did-auth.md

[6] Web of Trust. [EB/OL]. [2020-04-09]. https://github.com/WebOfTrustInfo/rwot1-sf/blob/master/final-documents/dpki.pdf

[7] ConsenSys. [EB/OL]. [2020-04-09]. https://www.uport.me/

[8] Dr. Christian Lundkvist, Rouven Heck, Joel Torstensson, Zac Mitton, Michael Sena. UPort: A Platform for Self-Sovereign Identity [EB/OL]. [2017-02-21]. https://blockchainlab.com/pdf/uPort_whitepaper_DRAFT20161020.pdf

[9] Sovrin. Sovrin: A Protocol And Token For Self-Sovereign Identity And Decentralized Trust [EB/OL]. [2018-01-16].  https://sovrin.org/library/sovrin-protocol-and-token-white-paper/

[10] Nathan George. Hyperleger Aries Proposal [EB/OL]. [2020-04-09]. https://wiki.hyperledger.org/display/HYP/Hyperledger+Aries+Proposal

[11] Microsoft. Decentralized Identity: Own and control your identity [EB/OL]. [2020-04-09]. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2DjfY

[12] The Sidetree Protocol: Scalable DPKI for Decentralized Identity [EB/OL]. [2020-04-09]. https://medium.com/decentralized-identity/the-sidetree-scalable-dpki-for-decentralized-identity-1a9105dfbb58

[13] WeBank [EB/OL]. [2020-04-09]. https://fintech.webank.com/weid/

[14] About Verifiable Organizations Network (VON). [EB/OL]. [2020-04-09]. https://vonx.io/about/,

posted on posted @ 20-09-15 06:32  :admin  阅读量: