基于区块链的数字身份发展现状
来源:用户上传
作者:
摘 要:数字身份是构建数字经济时代信任体系的关键要素之一,一切电子政务、电子商务和公共服务都必须建立在真实有效的数字身份基础之上。随着移动互联网应用的迅速渗透,用户个人身份信息被大规模的采集、处理和“共享”。然而,在当前中心统筹式的身份管理模式下,中心机构安全和隐私保护能力的欠缺,导致用户面临着越来越多的身份信息泄露风险。近年来,用户身份信息的隐私保护问题受到广泛关注。区块链技术凭借其去中心化、多方共识、公开透明、防篡改、可追溯等特征,正在发展成为构建未来数字经济信任体系的关键技术之一。文章主要讨论了数字身份管理的现状和挑战以及区块链数字身份的发展,探索身份服务提供商的创新发展。
关键词:数字身份;区块链;隐私保护;分布式身份标识
中图分类号: TP309 文献标识码:A
1 引言
当前,世界各国都把推进数字经济作为实现创新发展的重要动能之一。现阶段,我国正在大力推动实施国家大数据战略,加快完善数字基础设施建设,推进数据资源的整合和开放共享,以便更好地服务于我国经济社会的发展,改善人民生活水平。
随着云计算、大数据、人工智能、移动网络等技术的快速发展和“互联网+”政策的深入落地,互联网应用迅速渗透,越来越多的人们通过移动终端在线办理衣、食、住、行、娱、购、学等各类业务。在移动互联网时代,一切互联网活动都必须建立在真实有效的用户身份基础之上,个人身份信息作为开展各类电子政务、电子商务和社会公共服务等数字活动的基础,被大规模的采集、处理和“共享”,网络空间的“信任危机”也随之而来[1]。互联网企业的安全和隐私保护能力的欠缺,导致用户身份信息被非法/超需求收集和买卖,个人隐私信息批量泄露,促使了网络欺诈和黑色产业链的滋生[2,3]。
用户身份信息的隐私保护等网络可信身份管理已是大势所趋。区块链技术凭借其去中心化、多方共识、公开透明、防篡改、可追溯等特征,正在激活可信数字身份的创新发展,让用户对自己的身份信息拥有绝对的控制权和使用权[4]。
2 数字身份现状和挑战
2.1 概述
数字身份通常指对网络实体的数字化刻画,形成的数字信息(标识与其所绑定的属性信息)可作为用户在网络上证明其身份(属性)声明真实性的凭证。通常来讲,用户所持有的数字身份在特定的应用服务中是唯一的、相应的,用户在不同的应用服务中可使用不同的数字身份来唯一标识自己的身份[5]。
数字身份作为用户接入互联网应用的入口,在身份信息的安全性、可控性以及便携性等需求的综合作用下不断演进,经历了中心化身份、第三方身份提供商IDP(ID Provider)身份以及自主主权身份SSI(Self-sovereign Identity)三个阶段。
(1)中心化身份。传统互联网应用服务的中心化,导致用户身份的认证和管理等,均对单一的中心机构有很强的依赖性。通常,各应用所需的用户身份属性信息不尽相同,以及应用间的不互通,导致用户需针对不同的应用服务多次提交身份属性信息。“多应用多身份”不仅给用户带来了“密码疼痛”,也导致用户身份信息在网络中的过度“共享”[6]。
(2)基于IDP的身份。针对中心化身份的痛点,IIW(Internet Identity Workshop)社区提出了基于IDP的解决方案。该方案通过对用户进行跨平台/机构的统一管理,使用户使用少量的身份信息即可获取跨系统、机构、地域的互联网服务,提供了一定的便捷性,被大型互联网企业广泛采用。在基于IDP的身份中,用户向单个/多个IDP提交个人信息进行注册,当用户发起网站/应用登录请求时,由IDP向与之关联的网站/应用提供用户身份声明。换句话说,用户使用同一用户名和密码即可实现多个网站/应用的登录,即单点登录(Single Sign On,SSO),显著提升了用户体验。
与此同时,业界也涌现出OpenID、SAML、OAuth、FIDO等一系列国际标准,来实现不同IDP身份认证系统之间的互联互通和跨域访问授权[7]。与中心化身份相比,用户无需将个人身份信息“广播”给所有应用,从一定程度上降低了用户信息泄露的风险,但IDP自身的系统安全风险和隐私保护能力的欠缺,仍会导致用户身份的泄露和滥用等问题。
(3)自主主权身份SSI。从本质上来讲,基于IDP的身份是中心化的,用户身份的使用權、控制权和管理权仍旧被单一/多个IDP机构所掌握。2012年2月,自主主权身份的概念被提出,通过使用基于密码学的策略,让用户身份的管理权和使用权不再依赖于任何中心化的机构,而是由用户自己保存其个人身份信息,并决定如何使用[8]。
2.2 需求与挑战
一方面,随着数字身份逐步发展成为重要的网络战略资源,《中华人民共和国网络安全法》、全国人大常委会《关于加强网络信息保护的决定》、公安部《信息安全等级保护管理办法》、工业与信息化部《电信和互联网用户个人信息保护规定》、网信办《移动互联网一个用程序信息服务管理规定》、银监会《网络借贷信息中介机构业务活动管理暂行办法》、人民银行《关于推动移动金融技术创新健康发展的指导意见》等法律法规相继颁布,对用户真实身份等隐私信息的保护已成为法律法规监管的重点,身份隐私保护需求日益迫切。
另一方面,互联网应用对用户个人身份信息的大量采集、处理和“共享”,让网络用户面临着越来越多的信息泄露风险。京东12G用户数据泄露、济南20万孩童信息被叫卖、国家电网APP泄露千万用户信息、12306订票网站13万余条用户数据泄露、万豪旗下酒店5亿顾客信息遭泄露、陌陌被曝3000万用户账号密码泄露、大麦网600多万用户账户密码泄露等,用户信息泄露的事件频发,导致网民对信息技术的信心持续削弱[2,6]。 3 区块链与数字身份管理
3.1 区块链技术和优势
区块链(Blockchain)被定义为是一种由多方共同维护,使用密码学保证传输和访问安全,能够实现数据一致存储、难以篡改、防止抵赖的记账技术,也称为分布式账本技术(Distributed Ledger Technology)[9]。除了加密货币外,区块链依托去中心化、公开透明、防篡改、可追溯等技术特点,能够为各行业重塑信任机制,改变原有应用存在的运行规则痛点。针对数字身份管理,区块链的非对称加密、分布式存储可为用户的隐私和数据安全提供有效保障。
(1)去中心化。身份信息(摘要值)存储在分布式账本中,不再依赖单一的中心权威节点对身份进行认证和管理。
(2)不可篡改。可信时间戳、链式记账规则、哈希加密算法、共识机制等技术保证了记录的不可篡改。
(3)公开透明。任一节点均可通过公开的接口访问区块链上的所有数据信息。
(4)安全可靠。系统中的数据块由众多节点共同维护和校验,任一节点无法修改其他节点的数据。
3.2 区块链与数字身份
基于IDP的身份管理将用户身份信息集中存储在单一的数据中心,篡改和滥用用户身份信息,以及信息泄露的弊端暴露无遗。如上一节讨论,区块链并非主要解决数据的存储问题或是保密问题,而是解决“透明”的问题。因此,基于区块链的数字身份,通常采用非对称加密算法对用户的身份属性信息进行加密,并将哈希摘要值存储在区块链帐本中,供其他节点来验证用户的身份,而不直接将用户的隐私数据存在区块链上。根据有无第三方机构的参与,可将当前主流的区块链数字身份解决方案划分为两类[10] 。
(1)去中心化可信身份。如图1所示,与传统数字身份机制一样,可信第三方作为凭证签发者对用户的身份声明进行验证,并对验证通过的身份声明签名,来提供权威的信用背书,保证用户身份数据在上链前是可信的。不同的是,用户身份凭证不再存储在任何中心化机构的数据库中,而是存储在由所有参与节点共同维护的分布式帐本中,保证了用户身份数据的完整性和安全性,有效地规避了中心化存储方式带来的身份信息泄露、盗用、篡改和欺诈等风险,同时解决链上真实链下虚假的问题。用户作为凭证所有者有选择地向凭证验证者提供特定地身份声明,验证者通过对链上的凭证验签来验证用户身份声明。
(2)自主主权身份。无需任何第三方机构参与,用户身份信息由用户自己保存,从根本上消除了身份窃取和泄露的可能性。利用非对称加密等机制,用户根据实际需要有选择性的公开身份信息,甚至隐藏自己的身份。有效地保障了用户身份的隐私安全,使用户对自己的身份拥有绝对的使用权和控制权,提供一种新型的信任传递和数据交换框架。
3.3 去中心化数字身份 DID
针对数字身份的去中心化和自主主权身份,W3C(The World Wide Web Consortium)的凭证社区组主导研制了一套通过分布式身份标识(Decentralized Identifier,DID)来实现用户身份自主管理的方案[11]。
DID是以区块链技术的分布式账本和DID协议为基础构建的,DID协议主要包括去中心化身份标识符DID和身份凭证(声明的集合)两部分。
(1)去中心化标识符。DID本质上是一个全球唯一的地址标识符URL,指向写有与用户身份关联的属性信息的DID文档。通常,一个用户可拥有任意多个身份(用户自主选择使用哪些属性信息来用于身份验证),每个身份声明对应一个唯一的DID。
(2)可验证声明。是由声明发起人签出的关于身份属性信息的声明,用户属性信息可以為姓名、年龄、邮件地址等。用户(代理)将可验证声明提交给相关的应用(即声明验证人)来发起身份验证流程。其中,声明发起人可以是身份所有者,也可是其他身份背书方。
在DID系统中,用户对自己的身份拥有绝对的控制权,用户根据实际需要自主选择使用哪些个人身份信息来进行身份验证,并将身份信息的哈希值存储在区块链上,供其他人验证。不仅规避了将身份信息集中存储在第三方机构的数据库中带来的身份滥用风险,还在四个方面提供了保障。
1)隐私保护:身份声明通常包含用户身份属性等私人信息,为了保护用户隐私,仅将身份(声明)的哈希值作为凭证存储在区块链上,哈希算法的不可逆性保证用户身份(声明)不被泄露。
2)不可篡改:用户的身份标识符和相关的凭证经加密后存储在区块链上,链上所有节点参与记账,任何用户无法擅自篡改身份信息,也不可否认其身份声明。
3)时间可信:可信时间戳、链式记账规则等可保证用户对其身份声明的生成和修改等操作是在某个确定时刻发生的、自某时刻起失效的(撤销)。
4)假名机制:DIDs由用户自主生成、分配和管理,同一用户的多个DIDs之间无任何关联关系,防止攻击者对用户身份信息进行归集。
在整个Web3.0图景中,去中心化身份是非常重要的实践。在Facebook用户数据泄露事件的教训下,大型社交媒体平台试图停止原本中心化、不透明的数据处理方式。目前,微软、ArcBlock、uPort、lifeID 等企业或项目均已提交各自的DID协议方法。
BID(Blockchain Identity)方法被纳入W3C凭证社区工作组(Credentials Community Group)分布式标识(DID)规范。微软在2019年5月发布了身份覆盖网络(Identity Overlay Network,ION)去中心化身份(DID)网络的早期预览版。ION是在微软比特币网络上搭建的去中心化数字身份基础平台,让互联网用户通过专用公网来创建其去中心化的身份标识,支持用户通过管理公钥基础设施(Public Key Infrastructure,PKI)来控制管理他们的个人数据与信息。与传统的依赖于中心化机构的身份认证体系不同的是,ION网络的公钥基础设施是去中心化的,用户的公/私钥对都掌握在用户自己手中,而不再是中心化的管理机构。除用户本人外,网络中的任何实体都无法掌控用户的身份信息。 IBM也布局了分布式数字身份相关项目,与Hyperledger共同发起的Indy开源项目,采用联盟链来构建区块链生态系统的数字身份工具,让用户安全和私密地交换和验证身份信息。
4 结束语
一方面,全球已经进入数字经济时代。根据IDC预计,到2021年,至少有50%的全球GDP将由数字化经济贡献。《中国数字经济发展白皮书(2017年)》中预测到2030年,中国数字经济占GDP比重将超过50%,中国将全面步入数字经济时代[12],发展数字身份系统已是必然。与此同时,公众对于隐私保护的关注度越来越高,世界各国的隐私保护监管力度也在持续增强,区块链技术的发展,无疑会促使部分国家和地区停止原来对用户身份信息中心化的管理和处理方式。分布式的管理机制将从一定程度上省去许多繁琐的取证、求证和业务办理的工作,同时也为用户提供更方便、快捷、多元化的网络身份认证方式。
另一方面,自主主权身份的实现,不仅是技术上的演进,也促进了网络可信身份管理的变革。用户在对自己身份获得更多控制权的同时,也带来了一些新的问题。比如,用户应该如何选择用于在区块链上证明其身份的属性信息,以最大程度地降低身份信息泄露的风险和可能性。目前,已有一些学者对此展开了研究[13],为用户如何更好的选择用于证明身份的文件提供了一些建议。此外,还包括数据真实性的问题。区块链保障了链上数据的真实完整,但数据本身的真实性以及数据的上链的传输过程仍存在一定的安全风险。
区块链技术的诞生给用户身份隐私保护提供了一个解决方案,虽然区块链与数字身份的结合仍存在一定的阻碍和限制,如何实施也还处于探索阶段。但随着区块链数字身份解决方案的不断细化,去中心化数字身份必将在数字经济时代发挥重要作用。
参考文献
[1] 张博卿.我国网络可信身份服务发展现状、问题和对策研究[J].网络空间安全,2018,9(11):1-5.
[2] 荆继武.网络可信身份管理的现状与趋势[J].信息安全研究,2016,2(07):666-668
[3] 2018 End of Year Data Breach Report[Z].Identity Theft Resource Center, 2018.
[4] 姚前,朱烨东.区块链蓝皮书: 中国区块链发展报告(2019) 第三版[Z].北京:社会科学文献出版社(中国), 2019.
[5] Grassi P. A., Garcia M. E. and Fenton J. L. DRAFT NIST Special Publication 800-63-3 Digital Identity Guidelines[S].Gaithersburg: National Institute of Standards and Technology, 2017.
[6] 江伟玉,高能,李敏.网络可信身份管理战略和方法研究[J].信息安全研究, 2017, 3(09): 803-809.
[7] 電子认证2.0 白皮书 (2018)[Z].北京:全国信息安全标准化技术委员会, 2018.
[8] Tobin A. and Reed D. The Inevitable Rise of Self-sovereign identity[Z].The Sovrin Foundation 29, 2016.
[9] 区块链白皮书 (2019 年)[Z].北京: 中国信息通信研究院, 2019.
[10] Dunphy P. and Petitcolas F. A. P., A First Look at Identity Management Schemes on the Blockchain. IEEE Security Privacy, 16, 4 July 2018, 20–29.
[11] Reed D., Sporny M., Longley D., Allen C., Sabadello M. and Grant R. Decentralized Identifiers (DIDs) v1.0[Z].World Wide Web Consortium (W3C), 2019.
[12] 姜红德.数字时代,需要深度把握[J].中国信息化, 2018(06):5.
[13] Rana R., Zaeem R. N. and Barber K. S. An Assessment of Blockchain Identity Solutions: Minimizing Risk and Liability of Authentication[C].2019 IEEE/WIC/ACM International Conference on Web Intelligence (WI), Thessaloniki, Greece, 2019, pp. 26-33.
转载注明来源:https://www.xzbu.com/1/view-15278343.htm
