01 历程溯源
在现代社会中,身份是处理实体关系的入口。对实体身份信息进行判别和认证,并未实体提供与其身份匹配的服务,是社会关系的一种重要模式。并要求用户的身份信息和服务方共享。
今天,我们先来简要的谈一谈身份和数字身份。
- 身份
国际电子技术委员会将“身份”定义为“一组与实体关联的属性”。这里的实体不仅仅是人,对于机器或者物体都可以是实体,甚至网络中虚拟的东西也可以是实体并拥有身份。这些实体作为数字化社会的重要组成部分,共同构建了数字生态。
- 数字身份
随着互联网的出现和普及,传统的身份有了另外一种表现形式,即数字身份。一般认为数字身份的演进经历了四个阶段,分别是:中心化身份、联盟身份、以用户为中心的身份以及自我主权身份。
- 中心化身份:由单一的权威机构进行管理和控制的,现在互联网上的大多数身份还是中心化身份。
- 联盟身份:解决了中心化身份中身份数据零碎混乱的弊端,此种身份是多个机构或者联盟进行管理和控制的,用户的身份数据具备了一定程度的可移植性,例如允许用户登录某个网站时,可以使用其他网站的账户信息,类似于QQ、微信或者微博跨平台的登录。
- 以用户为中心的身份:重点集中在去中心化上,通过授权和许可进行身份数据的共享,例如OpenID。
- 自我主权身份:真正意义上的去中心化的、完全由个人所拥有的和控制的身份。
02 PKI&DPKI
“身份”本身是基础并客观存在的,如今的互联网广泛通过“租借”第三方机构(DNS注册机构、证书颁发机构、ICANN)服务来构建信任体系、实现实体间的安全通信,若要实现去中心化生态体系,那我们应该了解基本的PKI与DPKI体系之间的关系。
- PKI
PKI是Public Key Infrastructure的缩写,翻译过来是公钥基础设施,是生成、存储、分发和撤销用户数字身份证书所必须的软件、硬件、人、策略及处理过程的集合,也是国际公认普遍适用的一整套信息安全系统。PKI的建立依赖于权威的认证,离不开可信第三方的协同工作,通过运用多种技术,可为应用提供认证、加密和数字签名等安全支撑,为信息系统提供秘钥管理和证书管理等安全服务,其主要载体为X.509格式的证书文件。
- DPKI
分布式公钥基础设施(DPKI)作为PKI的演进,并非是对PKI的全盘抛弃和替代,更多是在原有认证体系基础之上的一种改进和补充,通过构建一种分布式的认证体系来解决中心化认证体系存在的问题,是未来网络信任生态的基础设施。DPKI与PKI在业务流程上并无明显区别,首先用户提供相关信息并发起申请,接下来发证方审核信息,颁发证书,最后用户出示证书完成验证。但不同于PKI体系,DPKI强调用户身份的自主可控、身份可移植和分布式认证,个人身份的验证不再依赖于发证方。
03 数字身份标识-DID
伴随着区块链等可信技术的发展,各大公司、机构纷纷入局,对DPKI的实现展开了更深入的研究探索,分布式数字身份(DID)解决方案应运而生。通过结合区块链技术,分布式数字身份使用户真正拥有并控制自己的个人数据和资产,可实现跨部门、跨行业、跨地域的去中心化共享能力。
Decentralized Identity 去中心化身份,简称DID,相对于传统的的基于PKI的身份体系,基于区块链建立的DID数字身份系统具有保证数据真实可信、保护用户隐私安全、可移植性强等特征,其优势在在于
• 去中心化:基于区块链,避免了身份数据被单一的中心化权威机构所控制。
• 身份自主可控:基于DPKI(分布式公钥基础设施),每个用户的身份不是由可信第三方控制,而是由其所有者控制,个人能自主管理自己的身份。
• 可信的数据交换:身份相关数据锚定在区块链上,认证的过程不需要依赖于提供身份的应用方。
- DID 标识
DID 标识符其实就是一个字符串,在 W3C 中DID 参考的是 URN 的标准,特定格式如下:
- DID 文档
每个DID标识都会对应一个DID文档(Document),文档为JSON字符串格式,主要包含了与DID验证相关的密钥信息和验证方法,用以实现对实体身份标识的控制,DID文档内容格式如下图所示:
并且,一个实体可对应多个DID,实体在通过注册申请后可获得一个或多个由自己进行维护管理的DID标识,不同DID标识所代表的身份之间互不相关,有效降低了身份信息之间的耦合性。总的来说,我们可以将DID基础层看作是一个键值数据库,DID标识符当作键,而DID文档则是对应的值,二者之间的关系结构如下图所示:
- 可验证声明
可验证声明(Verifiable Credential)提供了一种规范来描述实体所具有的某些属性,实现基于证据的信任。DID持有者,可以通过可验证声明,向其他实体(个人、组织、具体事物等)证明自己的某些属性是可信的。同时,结合数字签名和零知识证明等密码学技术,可以使得声明更加安全可信,并进一步保障用户隐私不被侵犯。
在DID生态体系内,主要有用户、发证方、使用方三种角色。
• 用户(User):拥有链上数字身份的任何人/组织/实物。任何实体对象都可通过开发者的项目去创建、管理自己的DID。
• 发证方(Issuer):可发行数字凭证的人/组织。例如:高校可为某个学生颁发数字毕业证,那么这个高校便是一个发证方。
• 验证方(Verifier):也称为业务方,指使用数字凭证的人/组织,验证方在经用户授权后,可对用户的身份或其数字凭证进行验证。例如:企业录取某个人的时候,要对其高校毕业证进行验证,那么这个企业便是一个验证方。
04 应用场景
- 身份认证
身份认证可以说是DID最基本的应用了,对于有身份识别(KYC)需求的场景,通过提前将多个机构颁发的VC与用户绑定,且锚定到区块链上,凭借密码算法,可进行分布式验证,用户只需获取一次VC,便可随时出示使用。例如员工入职背景调查,材料在流转过程中极易遭受篡改,且验证手段较为匮乏,若使用DID解决方案,学生可以在链上使用自己的DID标识向学校申请学历(学位)凭证,向前公司申请工作(离职)凭证,而在求职时,现公司只需通过验证接口对上述凭证真实性进行核验,即可快速完成员工的入职背调。
- 无密码安全登录
无口令安全登录的应用场景类似于微信扫码登陆,当我们需要注册或登录网站时,无需输入用户名、电子邮箱、密码之类的口令,只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化,但与传统扫码认证方式不同的是,DID中的身份信息由用户自己掌控,用户首先通过二维码获得网站DID并进行验证获得公钥,再使用公钥加密请求数据,发送自己的身份信息交由服务器验证,若验证通过,则登陆成功。通过整个流程我们可以看出,服务器并不知道用户的口令,而且也无法获得除用户DID文档以外的任何信息,从而有效防止数据泄露,保护用户身份隐私。
- 个人隐私保护
隐私保护是任何身份管理解决方案中不可或缺的一部分,DID也不例外,通过对用户属性的选择性披露可以有效降低用户隐私泄露的风险。在实际生活中,用户身份通常具有多个属性,如身份证上的姓名、出生年月、家庭住址、身份证号等,我们并不总是希望直接将整个证件亮给验证者查看,过多关联信息的泄露会带来一系列麻烦,不法分子就曾利用通行大数据(健康宝)窃取明星隐私并进行传播售卖DID凭证结合零知识证明技术,可以做到信息最小化提供的同时不影响凭证的合法性验证,有效保护用户隐私。例如,一个有社会责任心的商店老板拒绝向未成年人出售香烟,对于买烟的顾客需要查验其年龄信息,此时若使用身份证则会泄露关联敏感信息,但在DID技术中,可以只出示部分信息,证明自己已超过一定年龄(18岁)而无需透露其他信息,包括出生年月,从而实现对个人隐私信息的选择性披露。
- 数字版权保护
线上数字内容往往会面临一系列的版权纠纷,利用区块链不可篡改及数字身份自主可控的特性,可有效解决数字内容版权保护问题,实现多方信息的实时共享、版权认证、交易维权,促使数字资产合法合规流动。链上参与者通过使用DID技术,使得作品具备唯一标识,著作权经过认证后,成为不可篡改的链上凭证,可以作为举证、流转的声明,应用于资产确权、数据定价、流转监测分析以及侵权取证等场景。
- 物联网及边缘计算
物联网设备通常分布在不同的地域,采用多种方式接入网络,这也使得其编码标准存在多样性,具有较高管理成本和安全风险。若使用DID技术为物联网设备分配全局唯一标识,并结合厂家生产信息、物联网运营商以及设备的所有权信息,为设备颁发多种凭证,赋予设备可声明、可验证的自主身份,即可在区块链上实现设备身份和数据的高效分布式认证,有效保障数据来源的真实性,同时也有利于对设备产生的数据进行确权、计价。
05 总结
随着数字经济时代来临,数字化发展已成为全球共识。当前,170多个国家陆续发布数字国家相关战略,我国在“十四五规划纲要”明确以数字化转型整体驱动生产方式、生活方式和治理方式变革,从数字经济、数字社会、数字政府、数字生态四方面建设“数字中国”。数字身份的发展将帮助用户掌握其个人数据、实现数据在各数字化活动之间自由流转,数字身份将成为数字世界的入口,其重要性不言而喻。
