《基于区块链的去中心化数字身份研究及验证.docx》由会员分享,可在线阅读,更多相关《基于区块链的去中心化数字身份研究及验证.docx(17页珍藏版)》请在第一文库网上搜索。
1、基于区块链的去中心化数字身份研究及验证关键词:数字身份;区块链;隐私保护;分布式身份标识目录目录1摘要1前言21 . 弓I言32 .数字身份现状和挑战32. 1.概述31.2. 需求与挑战43 .数字身份演进54 .分布式数字身份64. 1. DID的基础层64.2. DID的应用层75.区块链与去中心化数字身份85. 1.数字化时代的基石,去中心化身份的必然85.2.公有链、联盟链,谁才是最优解? 85 . 3.区块链离大规模落地还有多远? 96 .场景分析及建模97 .模型验证108 .区块链与数字身份管理128. 1.区块链技术和优势121. 2.区块链与数字身份138. 3.去中心化数
2、字身份DID149. 结束语15参考文献16摘要随着数字化活动的普及,数字身份作为数字化活动的基础显得尤为重要。传统的中心化身份管理系统存在诸多弊端,如数字身份的拥有者没有实际的控制自己的身份,存在着身份信息容易泄露及滥用的风险。区块链技术的各种优点,正好可以解决中心化数字身份存在的问题。因此,在分析数字身份由中心化到去中心化转型的必要性后,重点研究基于区块链的分布式数字身份技术,以某单位新入职员工入职流程为例,建立去中心化数字身份模型,并搭建区块链基础网络,对模型进行身份验证。当今世界,各个国家大力发展数字化经济。如今,大数据、云计算等技术逐步成熟,很多企业开发的云上课堂、疫情防控二维码层出
3、不穷,万物互联的时代已经来临。各种数字化活动的基础是数字化身份,只有确保人、物的数字身份真实无误,人、物关联的各种信息、产生的各种线上交易才能确保真实有效。随着数据的爆炸式增长,各种安全问题随之而来。登录第三方网站注册的个人信息,往往由于第三方互联网企业缺乏安全意识、缺乏信息保护的技术手段,导致用户真实的身份信息被非法机构入侵获取并加以贩卖。同时: 用户的个人信息不由用户自己支配,无授权下的滥用场景频发。2021年315晚会爆出了科勒卫浴、宝马等商业店铺内安装的人脸识别摄像头,采集了大量顾客人脸,并进行人脸分析记录,从而针对顾客实行定制的商业计划,即大量的人脸信息在没有征求用户同意的情况下被非
4、法获取。以上各种身份问题频发,暴露出用户数字身份管理的重要性,急需对用户身份信息进行安全保护。区块链技术凭借其去中心化、多方共识、公开透明、防篡改以及可追溯等特征,给数字身份的安全转型提供了可信的解决方案。该技术恰好可以解决数字身份当前的痛点,使得身份所有者对自己的数字身份有着绝对的话语权。1刖百数字身份是构建数字经济时代信任体系的关键要素之一,一切电子政务、电子商务和公共服务都必须建立在真实有效的数字身份基础之上。随着移动互联网应用的迅速渗透,用户个人身份信息被大规模的采集、处理和“共享”。然而,在当前中心统筹式的身份管理模式下,中心机构安全和隐私保护能力的欠缺,导致用户面临着越来越多的身份
5、信息泄露风险。近年来,用户身份信息的隐私保护问题受到广泛关注。区块链技术凭借其去中心化、多方共识、公开透明、防篡改、可追溯等特征,正在发展成为构建未来数字经济信任体系的关键技术之一。文章主要讨论了数字身份管理的现状和挑战以及区块链数字身份的发展,探索身份服务提供商的创新发展。1.引言当前,世界各国都把推进数字经济作为实现创新发展的重要动能之一。现阶段,我国正在大力推动实施国家大数据战略,加快完善数字基础设施建设,推进数据资源的整合和开放共享,以便更好地服务于我国经济社会的发展,改善人民生活水平。随着云计算、大数据、人工智能、移动网络等技术的快速发展和“互联网+”政策的深入落地,互联网应用迅速渗
6、透,越来越多的人们通过移动终端在线办理衣、食、住、行、娱、购、学等各类业务。在移动互联网时代,一切互联网活动都必须建立在真实有效的用户身份基础之上,个人身份信息作为开展各类电子政务、电子商务和社会公共服务等数字活动的基础,被大规模的采集、处理和“共享”,网络空间的“信任危机”也随之而来。互联网企业的安全和隐私保护能力的欠缺,导致用户身份信息被非法/超需求收集和买卖,个人隐私信息批量泄露,促使了网络欺诈和黑色产业链的滋生。用户身份信息的隐私保护等网络可信身份管理已是大势所趋。区块链技术凭借其去中心化、多方共识、公开透明、防篡改、可追溯等特征,正在激活可信数字身份的创新发展,让用户对自己的身份信息
7、拥有绝对的控制权和使用权。2.数字身份现状和挑战2.1. 概述数字身份通常指对网络实体的数字化刻画,形成的数字信息(标识与其所绑定的属性信息)可作为用户在网络上证明其身份(属性)声明真实性的凭证。通常来讲,用户所持有的数字身份在特定的应用服务中是唯一的、相应的,用户在不同的应用服务中可使用不同的数字身份来唯一标识自己的身份。数字身份作为用户接入互联网应用的入口,在身份信息的安全性、可控性以及便携性等需求的综合作用下不断演进,经历了中心化身份、第三方身份提供商IDP(ID Provider)身份以及自主主权身份SSI (Self-sovereign Identity)三个阶段。(1)中心化身份。
8、传统互联网应用服务的中心化,导致用户身份的认证和管理等,均对单一的中心机构有很强的依赖性。通常,各应用所需的用户身份属性信息不尽相同,以及应用间的不互通,导致用户需针对不同的应用服务多次提交身份属性信息。”多应用多身份”不仅给用户带来了 “密码疼痛”,也导致用户身份信息在网络中的过度“共享”。(2)基于IDP的身份。针对中心化身份的痛点,nW(Internet IdentityWorkshop)社区提出了基于IDP的解决方案。该方案通过对用户进行跨平台/机构的统一管理,使用户使用少量的身份信息即可获取跨系统、机构、地域的互联网服务,提供了一定的便捷性,被大型互联网企业广泛采用。在基于IDP的身
9、份中,用户向单个/多个IDP提交个人信息进行注册,当用户发起网站/应用登录请求时,由IDP向与之关联的网站/应用提供用户身份声明。换句话说,用户使用同一用户名和密码即可实现多个网站/应用的登录,即单点登录(Single Sign On, SSO),显著提升了用户体验。与此同时,业界也涌现出OpenlD、SAML、OAuth、FIDO等一系列国际标准,来实现不同IDP身份认证系统之间的互联互通和跨域访问授权。与中心化身份相比,用户无需将个人身份信息“广播”给所有应用,从一定程度上降低了用户信息泄露的风险,但IDP自身的系统安全风险和隐私保护能力的欠缺,仍会导致用户身份的泄露和滥用等问题。(3)自
10、主主权身份SSI。从本质上来讲,基于IDP的身份是中心化的,用户身份的使用If、控制权和管理权仍旧被单一/多个IDP机构所掌握。2012年2月,自主主权身份的概念被提出,通过使用基于密码学的策略,让用户身份的管理权和使用权不再依赖于任何中心化的机构,而是由用户自己保存其个人身份信息,并决定如何使用。2. 2.需求与挑战一方面,随着数字身份逐步发展成为重要的网络战略资源,中华人民共和国网络安全法、全国人大常委会关于加强网络信息保护的决定、公安部信息安全等级保护管理办法、工业与信息化部电信和互联网用户个人信息保护规定、网信办移动互联网一个用程序信息服务管理规定、银监会网络借贷信息中介机构业务活动管
11、理暂行办法、人民银行关于推动移动金融技术创新健康发展的指导意见等法律法规相继颁布,对用户真实身份等隐私信息的保护已成为法律法规监管的重点,身份隐私保护需求日益迫切。另一方面,互联网应用对用户个人身份信息的大量采集、处理和“共享”,让网络用户面临着越来越多的信息泄露风险。京东12G用户数据泄露、济南20万孩童信息被叫卖、国家电网APP泄露千万用户信息、12306订票网站13万余条用户数据泄露、万豪旗下酒店5亿顾客信息遭泄露、陌陌被曝3000万用户账号密码泄露、大麦网600多万用户账户密码泄露等,用户信息泄露的事件频发,导致网民对信息技术的信心持续削弱。3 .数字身份演进当前普遍存在的身份管理都是
12、中心化的管理。中心化身份管理系统的本质是中央集权化的身份或者授权机构掌握着身份数据,数字身份持有者在日常活动的认证、授权过程受中心化机构的管理,身份不由用户自己控制。不同的中心化网站(如淘宝、京东等)有一套自己的身份系统,同一用户在不同网站使用的身份信息不相通,所以用户访问不同的网站时都需要重新注册新账户。为了解决这个问题,1999年微软提出了联盟身份的概念,即各个网站组成联盟,联盟内身份可以互认。在联盟身份体系推出后,用户的数字身份在多个网站之间形成了共享。联盟身份的代表产物就是使用微信、QQ等一些常见的社交账户一键关联登录。随着联盟身份的逐步成熟,数字身份开始向去中心化转型。虽然很多网站支
13、持微信、QQ第三方登录,但是其用户体验并不是很好,登录成功后还需要用户进行手机号码的再次绑定。综上所述,中心化集权管理的身份系统存在着两个难以解决的问题:一是身份拥有者本身其实对自己的身份信息没有绝对的支配地位;二是各个中心化身份管理系统相互隔离,身份信息无法实现共享。随着区块链技术迅速的发展,政策、技术、市场也引导区块链技术改变了人们的生活方式,一种新的数字身份模式(分布式数字身份)应运而生。该数字身份模式改变了中心化数字身份集权控制的弊端,真正让身份拥有者控制自己身份,通过数字身份所有权回归的方式彻底改变了身份滥用和泄露问题。4 .分布式数字身份数字身份最通用的模型是代表实体的身份标识符及
14、与之关联的属性声明。同理,分布式数字身份(Decentralized ID, DID)包括分布式数字身份标识符和数字身份凭证(声明集合)两部分。W3c制定了 DID生成的相关标准,如图1所示。标准指出,DID可以分为基础层和应用层两个层次。基础层主要侧重DID的规范,包括DID标识符号和DID文档;应用层主要是可验证声明Verifiable Credentials,简写为VC。图1 did的组成模型4. 1. DID的基础层DID基础层是一个全局键值对数据库。DID标识符是键,DID文档是值。在DID标识中,example字段表示这个数据库要么是某个DID兼容的区块链,要么是某个DID兼容的分
15、布式账本,或者是某个DID兼容的去中心化网络。DID标识符是一段特殊的字符串,具有全网唯一、可以分离解析和加密可验证性的特点。W3C规定的DID标识的基本格式为did:example:123xxx,其中example代表区块链、分布式账本或者去中心化网络。当前已有很多,如微众银行该字段为weidoDID文档是一个JSON-LD格式的数据,包括6个部分。每个部分用户可以选择性披露,其中的加密材料和服务端点等属性往往和DID的标识符关联起来,从而达到建立安全通道的目的。表1 DID文档的基本内容4.2. DID的应用层DID的应用层主要是可验证声明VCo VC提供了一种规范来表征用户实体具有的某种属性。DID的实体可以向其他实体出示自己的VC证明自己某些属性的真实性。常见的VC模型一般由四个角色组成:(1)发行者(Issuer):拥有用户某些属性的证明数据,并具有开具用户VC能力的实体机构,如提供身份证明的公安部门、提供学历证明的学校、提供培
免费区 
