一、引言
互联网的出现和普及使得传统身份有了另一种表现形式,即数字身份,除自然人以外,机构组织、智能设备、虚拟网络都可以作为实体并拥有数字身份,这些实体作为数字化社会的重要组成部分,共同构建了数字生态,数字社会身份体系如下图所示。
我们一般认为,数字身份的演进可分为三个阶段,第一阶段是由单一权威机构进行管理和控制的中心化身份,不同机构之间身份数据互不相通;第二阶段是由多机构或者联盟进行管理和控制的联盟身份,在该体系下,用户的身份数据具备了一定的可移植性,第三阶段以用户为中心,身份信息由用户自主掌控授权,身份管理走向去中心化。可以预见,在未来的数字化社会中,分布式数字身份体系带来的全新观念必将催生新的商业模式[1],本篇文章将聚焦分布式数字身份(DID),探索其广阔应用场景。
二、PKI&&DPKI
“身份”本身是基础并客观存在的,今天的互联网广泛通过“租借”第三方机构(ICANN、DNS注册机构、证书颁发机构)服务来构建信任体系,实现实体间的安全通信,若要实现去中心化生态体系,又该如何求解,这里我们就来聊一聊PKI与DPKI体系之间的关系。
2.1 PKI
PKI是Public Key Infrastructure的缩写,翻译过来也就是公钥基础设施,是生成、存储、分发和撤销用户数字身份证书所必须的软件、硬件、人、策略及处理过程的集合,也是国际公认普遍适用的一整套信息安全系统。PKI的建立依赖于权威的认证,离不开可信第三方(ICANN、DNS注册机构、证书颁发机构)的协同工作,通过运用多种技术,可为应用提供认证、加密和数字签名等安全支撑,为信息系统提供密钥管理和证书管理等安全服务,其主要载体为X.509格式的证书文件,PKI技术架构如下图所示。
2.2 DPKI
分布式公钥基础设施(DPKI)作为PKI的演进,并非是对PKI的全盘抛弃和替代,更多是在原有认证体系基础之上的一种改进和补充,通过构建一种分布式的认证体系来解决中心化认证体系存在的问题,是未来网络信任生态的基础设施。DPKI与PKI在业务流程上并无明显区别,首先用户提供相关信息并发起申请,接下来发证方审核信息,颁发证书,最后用户出示证书完成验证。但不同于PKI体系,DPKI强调用户身份的自主可控、身份可移植和分布式认证,个人身份的验证不再依赖于发证方,DPKI认证体系的具体特性如下图所示。
三、分布式数字身份(DID)
伴随着区块链等可信技术的发展,各大公司、机构纷纷入局,对DPKI的实现展开了更深入的研究探索,分布式数字身份(DID)解决方案应运而生。通过结合区块链技术,分布式数字身份使用户真正拥有并控制自己的个人数据和资产,可实现跨部门、跨行业、跨地域的去中心化共享能力。
3.1 W3C DID
万维网联盟(W3C)作为Web技术领域最具权威和影响力的标准化组织,已制定了200多项影响深远的Web技术标准及实施指南,其下属DID工作组已于2019年底发布了首个DID标准规范[2],该标准主要包括分布式身份标识和可验证声明(身份凭证)两大基础模块,定义了身份标识符格式,描述文档以及身份凭证的生成、出示、验证和销毁等流程,覆盖了身份和凭证管理的完整生命周期,使DID技术向着规范化、标准化的目标迈出了一大步,W3C DID标准结构如下图所示。
3.2 基础层:DID规范
DID基础层主要定义规范了身份标识符及相应描述文档,该规范可用来标识人、组织、物品、抽象实体等任意主体。其中,DID标识符是一个特定格式的字符串且全局唯一,用来代表一个实体的数字身份,类似于我们的身份证号码一样,而每个DID标识都会对应一个DID文档(Document),文档为JSON字符串格式,主要包含了与DID验证相关的密钥信息和验证方法,用以实现对实体身份标识的控制,DID文档内容格式如下图所示。
并且,一个实体可对应多个DID,实体在通过注册申请后可获得一个或多个由自己进行维护管理的DID标识,不同DID标识所代表的身份之间互不相关,有效降低了身份信息之间的耦合性。总的来说,我们可以将DID基础层看作是一个键值数据库,DID标识符当作键,而DID文档则是对应的值,二者之间的关系结构如下图所示。
3.3 应用层:可验证证明
通过上一小节对DID规范的介绍可以看出,DID文档中不包含任何与个人真实信息相关的内容,如姓名、手机号、地址等。因此,仅仅依靠DID标识是无法完成身份验证的,DID应用层可验证声明[3]的助力不可或缺。
可验证声明(VC)用于在网络上(区块链)流转可验证信息,是建立DID整个体系的价值所在。对于DID应用层,我们可将参与实体划分为发行人(Issuer)、持有人(Holder)、验证人(Verifier)、DID注册系统(区块链)、凭证存储平台。其中,发行人拥有用户数据并且能出具相应VC,如政府部门、公安机关、教育机构等;持有人则是VC的持有者,任何人都可以充当该实体角色;验证人负责接受VC并进行核验,由此为VC持有人提供相应类型的服务;DID注册系统及凭证存储平台分别负责链上链下数据信息的验证维护,可验证声明应用服务如下图所示。
四、应用场景
4.1身份认证
身份认证可以说是DID最基本的应用了,对于有身份识别(KYC)需求的场景,通过提前将多个机构颁发的VC与用户绑定,且锚定到区块链上,凭借密码算法,可进行分布式验证,用户只需获取一次VC,便可随时出示使用。例如员工入职背景调查,材料在流转过程中极易遭受篡改,且验证手段较为匮乏,若使用DID解决方案,学生可以在链上使用自己的DID标识向学校申请学历(学位)凭证,向前公司申请工作(离职)凭证,而在求职时,现公司只需通过验证接口对上述凭证真实性进行核验,即可快速完成员工的入职背调。
4.2 无密码安全登录
无口令安全登录的应用场景类似于微信扫码登陆,当我们需要注册或登录网站时,无需输入用户名、电子邮箱、密码之类的口令,只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化,但与传统扫码认证方式不同的是,DID中的身份信息由用户自己掌控,用户首先通过二维码获得网站DID并进行验证获得公钥,再使用公钥加密请求数据,发送自己的身份信息交由服务器验证,若验证通过,则登陆成功。通过整个流程我们可以看出,服务器并不知道用户的口令,而且也无法获得除用户DID文档以外的任何信息,从而有效防止数据泄露,保护用户身份隐私。
4.3 个人隐私保护
隐私保护是任何身份管理解决方案中不可或缺的一部分,DID也不例外,通过对用户属性的选择性披露可以有效降低用户隐私泄露的风险。在实际生活中,用户身份通常具有多个属性,如身份证上的姓名、出生年月、家庭住址、身份证号等,我们并不总是希望直接将整个证件亮给验证者查看,过多关联信息的泄露会带来一系列麻烦,不法份子就曾利用通行大数据(健康宝)窃取明星隐私并进行传播售卖[4]。DID凭证结合零知识证明技术,可以做到信息最小化提供的同时不影响凭证的合法性验证,有效保护用户隐私。例如,一个有社会责任心的商店老板拒绝向未成年人出售香烟,对于买烟的顾客需要查验其年龄信息,此时若使用身份证则会泄露关联敏感信息,但在DID技术中,可以只出示部分信息,证明自己已超过一定年龄(18岁)而无需透露其他信息,包括出生年月,从而实现对个人隐私信息的选择性披露。
4.4 数字版权保护
线上数字内容往往会面临一系列的版权纠纷,利用区块链不可篡改及数字身份自主可控的特性,可有效解决数字内容版权保护问题,实现多方信息的实时共享、版权认证、交易维权,促使数字资产合法合规流动。链上参与者通过使用DID技术,使得作品具备唯一标识,著作权经过认证后,成为不可篡改的链上凭证,可以作为举证、流转的声明,应用于资产确权、数据定价、流转监测分析以及侵权取证等场景。
物联网设备通常分布在不同的地域,采用多种方式接入网络,这也使得其编码标准存在多样性,具有较高管理成本和安全风险。若使用DID技术为物联网设备分配全局唯一标识,并结合厂家生产信息、物联网运营商以及设备的所有权信息,为设备颁发多种凭证,赋予设备可声明、可验证的自主身份,即可在区块链上实现设备身份和数据的高效分布式认证,有效保障数据来源的真实性,同时也有利于对设备产生的数据进行确权、计价。
五、小结
在本篇文章中,我们详细介绍了分布式数字身份(DID)技术的发展与应用,可以预见,随着时间的推移及行业的共同努力,技术体系愈发完善,相关运作模式趋于规范合理,在未来将会有更多的权威机构、产业机构以及个人、物联网设备通过分布式数字身份体系的助力,参与到广阔的数字经济世界来,开拓更多的创新应用场景。
未来的数字化社会必定以用户为核心,实体可通过自主管理数据与可信共享交换来创造价值,分布式数字身份将会帮助数字化社会更健康、更透明、更高效地发展。
参考文献
1.张开翔, 数字时代的身份基础设施建设, 微众银行, 2020.06.29
2.https://www.w3.org/TR/did-core/
3.https://www.w3.org/TR/vc-data-model/
4.https://baijiahao.baidu.com/s?id=1687424669586301192&wfr=spider&for=pc
5.https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/
6.https://weidentity.readthedocs.io/zh_CN/latest/
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。