微軟的分散式數字身份系統解密 | 互鏈獨家

買賣虛擬貨幣

文丨互鏈脈搏特約作者·趙振華

未經授權,不得轉載!

超級賬本中國區聯席主席

如果你留意區塊鏈的新聞,你可能會注意到這麼兩則新聞:一是微軟要在比特幣網路上搭建自己的電子身份基礎平臺ION,二是加拿大BC省利用Indy分散式身份,每年減少數十億美元開銷。

那麼什麼是身份呢?每個人都有很多身份,比如國家公民,同時我們還是是公司職員等等。為了證明我們的身份,我們就發明了證件。據說一箇中國人一生要辦103個證!沒有出生的時候父母就要去辦理一個準生證;一出生就要辦理出生證,然後是身份證,預防接種證、入學證、畢業證;結婚要辦結婚證、工作要辦理社保證明,公積金等;退休了要辦理退休證等等,等人死了還要開一個死亡證明。而這103個還是到政府部門辦理的長期使用的證件。其實我們還要使用很多臨時使用的證件,如車票,機票,電影票;特定場合使用的票證,如工作證、五花八門的會員卡等。這些都是物理性證件,證件上一般註明個人姓名、性別等基本資訊,為了便於識別會增加持卡人的照片。通常和證件關聯的還有很多額外資訊,這些資訊儲存在相應的個人檔案裡,而檔案由發證機構保管。這些資料是持卡人和發證機構共享的。

網際網路的出現,為了社交需求和獲取各種各樣的網際網路服務,我們大部分人都註冊、擁有了不計其數的網路ID。隨著資訊化程度的提供,企業內部的IT系統和裝置也越來越多,員工需要訪問的系統和也裝置也越來越多,所以在企業內部我們同樣需要很多ID。

這就出現了兩個問題:一是ID太多,管理難度大大增加,個人沒有辦法管理如此多的ID和密碼;二是,ID身份真實程度低、身份核實難。

ID太多,自然地可以透過減少ID的辦法解決。

首先,對於網際網路平臺採用開發授權標準。什麼是開放授權呢?就是像QQ,微信,國外的Facebook,google等這樣的大公司,把他們的ID認證系統開放出來,其他的網站、App等可以透過他們的認證系統確認使用者。比如現在我們已經可以用微信登入很多手機App了。對我們使用者來說,可以少記很多ID和密碼;對於這些App運營公司來說,他們可以簡化他們的ID管理。而像微信,Facebook,Google等這樣的大公司,他們的ID系統一般更加安全可靠,密碼不容易被盜,我們使用者的個人資訊也更加安全。

其次,企業內部使用專門的ID管理工具。微軟的Active Directory就是這類工具的優秀代表。員工只需要在AD上註冊一個ID,透過AD給員工授予不同的訪問許可權,員工就可以透過同一個ID訪問不同的系統或者裝置了。

核實身份,藉助於非對稱加密演算法來實現,就是常說的PKI(Public Key Infrastructure)。這裡需要引入可信的第三方機構就是CA。CA核實申請人的身份之後,給申請人辦法一個數字證書,證書上註明持證人的身份和公鑰,數字證書是公開的;而持證人自己保管對應的私鑰,並且不能告訴任何人。使用時,需要核實持證人身份的一方從CA獲取持證人的數字證書。通訊過程中一方使用數字證書上面的公鑰,而另一端是持證人使用相對應的私鑰,對資料進行加密解密。非對稱性密碼演算法保證了資料的安全性。

然而PKI也不是萬能的,它也有很多不足之處。CA是一個強中心化的第三方機構,頒發、維護證書需要一定的費用;數字證書一旦釋出,任何人都可以很方便地獲取到,雖然證書本身有過期日期,但是即使過期,證書上的內容仍然是可見的;證書更新不方便。想想你重辦身份證有多複雜。

有沒有更好的辦法呢?

有!

W3C(The World Wide Web Consortium )提出了DID(Decentralized Identifier)的方案。這個方案的核心是去中心化和Self-sovereign identity——自己的資料由自己完全掌控。而Decentralized Identity Foundation(DIF) 就是推動DID方案的開源基金會,其主要工作就是制定基於DID的具體技術標準,並且促進不同行業之間的相互交流。這個基金會目前已經有70家會員,包括IT巨頭IBM,微軟,NEC,埃森哲;區塊鏈組織超級賬本,R3,以太坊企業聯盟,ID解決方案組織evernym,sovrin,SecureKey,Validated ID,Anth0,LifeID;金融機構MasterCard,微眾銀行等等。DIF的多個成員都有自己DID的產品,包括IBM有和銀行合作推出的Trust Identity,微眾銀行有WeIdentity,超級賬本有Hyperledger Indy,Sovrin是Indy專案的程式碼貢獻者和Sponsor,IBM也是Sovin的成員。

這些產品或者方案都無一例外地採用區塊鏈技術來實現。以區塊鏈和密碼學為核心。什麼是DID呢,首先它有一個唯一性的ID,有點類似URL地址。這個DID和一個DID文件(DID Document)關聯。DID文件上記錄的資料是由使用者自己決定的,不必要的資訊可以完全不記錄在DID文件上。在DID系統中,有身份頒佈者,身份持有人和驗證者三類角色。持有人向頒佈者申請身份,驗證者在需要時驗證持有人的身份。DID資料存放在區塊鏈上,鏈上不儲存隱私資料。而他們三組直接的相互互動使用非對稱加密演算法、零知識證明等密碼演算法。

雖然同是DID,但是微軟的ION和Indy有很大不同。首先,Indy是一個基於聯盟鏈,這個鏈需要聯盟成員自己搭建(Sovin已經搭建了一個全球性的網路)。而ION則把資料儲存在比特幣上。最近比特幣大漲,不知是否和ION有關。假如ION能夠成功,影響到的是像Facebook,Google等這樣的開放授權ID系統。

ION能否成功,讓我們拭目以待。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;