DPKI的崛起之路——分布式數字身份(DID)
一、引言
互聯網的出現和普及使得傳統身份有了另一種表現形式,即數字身份,除自然人以外,機構組織、智能設備、虛擬網絡都可以作為實體并擁有數字身份,這些實體作為數字化社會的重要組成部分,共同構建了數字生態,數字社會身份體系如下圖所示。
圖1 數字社會身份體系
我們一般認為,數字身份的演進可分為三個階段,第一階段是由單一權威機構進行管理和控制的中心化身份,不同機構之間身份數據互不相通;第二階段是由多機構或者聯盟進行管理和控制的聯盟身份,在該體系下,用戶的身份數據具備了一定的可移植性,第三階段以用戶為中心,身份信息由用戶自主掌控授權,身份管理走向去中心化。可以預見,在未來的數字化社會中,分布式數字身份體系帶來的全新觀念必將催生新的商業模式[1],本篇文章將聚焦分布式數字身份(DID),探索其廣闊應用場景。
二、PKI&&DPKI
“身份”本身是基礎并客觀存在的,今天的互聯網廣泛通過“租借”第三方機構(ICANN、DNS注冊機構、證書頒發機構)服務來構建信任體系,實現實體間的安全通信,若要實現去中心化生態體系,又該如何求解,這里我們就來聊一聊PKI與DPKI體系之間的關系。
2.1 PKI
PKI是Public Key Infrastructure的縮寫,翻譯過來也就是公鑰基礎設施,是生成、存儲、分發和撤銷用戶數字身份證書所必須的軟件、硬件、人、策略及處理過程的集合,也是國際公認普遍適用的一整套信息安全系統。PKI的建立依賴于權威的認證,離不開可信第三方(ICANN、DNS注冊機構、證書頒發機構)的協同工作,通過運用多種技術,可為應用提供認證、加密和數字簽名等安全支撐,為信息系統提供密鑰管理和證書管理等安全服務,其主要載體為X.509格式的證書文件,PKI技術架構如下圖所示。
圖2 PKI技術架構
2.2 DPKI
分布式公鑰基礎設施(DPKI)作為PKI的演進,并非是對PKI的全盤拋棄和替代,更多是在原有認證體系基礎之上的一種改進和補充,通過構建一種分布式的認證體系來解決中心化認證體系存在的問題,是未來網絡信任生態的基礎設施。DPKI與PKI在業務流程上并無明顯區別,首先用戶提供相關信息并發起申請,接下來發證方審核信息,頒發證書,最后用戶出示證書完成驗證。但不同于PKI體系,DPKI強調用戶身份的自主可控、身份可移植和分布式認證,個人身份的驗證不再依賴于發證方,DPKI認證體系的具體特性如下圖所示。
圖3 DPKI認證體系特性
三、分布式數字身份(DID)
伴隨著區塊鏈等可信技術的發展,各大公司、機構紛紛入局,對DPKI的實現展開了更深入的研究探索,分布式數字身份(DID)解決方案應運而生。通過結合區塊鏈技術,分布式數字身份使用戶真正擁有并控制自己的個人數據和資產,可實現跨部門、跨行業、跨地域的去中心化共享能力。
3.1 W3C DID
萬維網聯盟(W3C)作為Web技術領域最具權威和影響力的標準化組織,已制定了200多項影響深遠的Web技術標準及實施指南,其下屬DID工作組已于2019年底發布了首個DID標準規范[2],該標準主要包括分布式身份標識和可驗證聲明(身份憑證)兩大基礎模塊,定義了身份標識符格式,描述文檔以及身份憑證的生成、出示、驗證和銷毀等流程,覆蓋了身份和憑證管理的完整生命周期,使DID技術向著規范化、標準化的目標邁出了一大步,W3C DID標準結構如下圖所示。
圖4 W3C DID標準結構
3.2 基礎層:DID規范
DID基礎層主要定義規范了身份標識符及相應描述文檔,該規范可用來標識人、組織、物品、抽象實體等任意主體。其中,DID標識符是一個特定格式的字符串且全局唯一,用來代表一個實體的數字身份,類似于我們的身份證號碼一樣,而每個DID標識都會對應一個DID文檔(Document),文檔為JSON字符串格式,主要包含了與DID驗證相關的密鑰信息和驗證方法,用以實現對實體身份標識的控制,DID文檔內容格式如下圖所示。
圖5 DID文檔內容格式
并且,一個實體可對應多個DID,實體在通過注冊申請后可獲得一個或多個由自己進行維護管理的DID標識,不同DID標識所代表的身份之間互不相關,有效降低了身份信息之間的耦合性。總的來說,我們可以將DID基礎層看作是一個鍵值數據庫,DID標識符當作鍵,而DID文檔則是對應的值,二者之間的關系結構如下圖所示。
圖6 DID標識規范結構
3.3 應用層:可驗證證明
通過上一小節對DID規范的介紹可以看出,DID文檔中不包含任何與個人真實信息相關的內容,如姓名、手機號、地址等。因此,僅僅依靠DID標識是無法完成身份驗證的,DID應用層可驗證聲明[3]的助力不可或缺。
可驗證聲明(VC)用于在網絡上(區塊鏈)流轉可驗證信息,是建立DID整個體系的價值所在。對于DID應用層,我們可將參與實體劃分為發行人(Issuer)、持有人(Holder)、驗證人(Verifier)、DID注冊系統(區塊鏈)、憑證存儲平臺。其中,發行人擁有用戶數據并且能出具相應VC,如政府部門、公安機關、教育機構等;持有人則是VC的持有者,任何人都可以充當該實體角色;驗證人負責接受VC并進行核驗,由此為VC持有人提供相應類型的服務;DID注冊系統及憑證存儲平臺分別負責鏈上鏈下數據信息的驗證維護,可驗證聲明應用服務如下圖所示。
圖7 可驗證聲明應用服務
四、應用場景
4.1 身份認證
身份認證可以說是DID最基本的應用了,對于有身份識別(KYC)需求的場景,通過提前將多個機構頒發的VC與用戶綁定,且錨定到區塊鏈上,憑借密碼算法,可進行分布式驗證,用戶只需獲取一次VC,便可隨時出示使用。例如員工入職背景調查,材料在流轉過程中極易遭受篡改,且驗證手段較為匱乏,若使用DID解決方案,學生可以在鏈上使用自己的DID標識向學校申請學歷(學位)憑證,向前公司申請工作(離職)憑證,而在求職時,現公司只需通過驗證接口對上述憑證真實性進行核驗,即可快速完成員工的入職背調。
4.2 無密碼安全登錄
無口令安全登錄的應用場景類似于微信掃碼登陸,當我們需要注冊或登錄網站時,無需輸入用戶名、電子郵箱、密碼之類的口令,只需使用手機中存儲的用戶DID信息完成與網站DID的雙向驗證。雖然登陸形式看起來沒有發生任何變化,但與傳統掃碼認證方式不同的是,DID中的身份信息由用戶自己掌控,用戶首先通過二維碼獲得網站DID并進行驗證獲得公鑰,再使用公鑰加密請求數據,發送自己的身份信息交由服務器驗證,若驗證通過,則登陸成功。通過整個流程我們可以看出,服務器并不知道用戶的口令,而且也無法獲得除用戶DID文檔以外的任何信息,從而有效防止數據泄露,保護用戶身份隱私。
4.3 個人隱私保護
隱私保護是任何身份管理解決方案中不可或缺的一部分,DID也不例外,通過對用戶屬性的選擇性披露可以有效降低用戶隱私泄露的風險。在實際生活中,用戶身份通常具有多個屬性,如身份證上的姓名、出生年月、家庭住址、身份證號等,我們并不總是希望直接將整個證件亮給驗證者查看,過多關聯信息的泄露會帶來一系列麻煩,不法份子就曾利用通行大數據(健康寶)竊取明星隱私并進行傳播售賣[4]。DID憑證結合零知識證明技術,可以做到信息最小化提供的同時不影響憑證的合法性驗證,有效保護用戶隱私。例如,一個有社會責任心的商店老板拒絕向未成年人出售香煙,對于買煙的顧客需要查驗其年齡信息,此時若使用身份證則會泄露關聯敏感信息,但在DID技術中,可以只出示部分信息,證明自己已超過一定年齡(18歲)而無需透露其他信息,包括出生年月,從而實現對個人隱私信息的選擇性披露。
4.4 數字版權保護
線上數字內容往往會面臨一系列的版權糾紛,利用區塊鏈不可篡改及數字身份自主可控的特性,可有效解決數字內容版權保護問題,實現多方信息的實時共享、版權認證、交易維權,促使數字資產合法合規流動。鏈上參與者通過使用DID技術,使得作品具備唯一標識,著作權經過認證后,成為不可篡改的鏈上憑證,可以作為舉證、流轉的聲明,應用于資產確權、數據定價、流轉監測分析以及侵權取證等場景。
4.5 物聯網及邊緣計算
物聯網設備通常分布在不同的地域,采用多種方式接入網絡,這也使得其編碼標準存在多樣性,具有較高管理成本和安全風險。若使用DID技術為物聯網設備分配全局唯一標識,并結合廠家生產信息、物聯網運營商以及設備的所有權信息,為設備頒發多種憑證,賦予設備可聲明、可驗證的自主身份,即可在區塊鏈上實現設備身份和數據的高效分布式認證,有效保障數據來源的真實性,同時也有利于對設備產生的數據進行確權、計價。
五、小結
在本篇文章中,我們詳細介紹了分布式數字身份(DID)技術的發展與應用,可以預見,隨著時間的推移及行業的共同努力,技術體系愈發完善,相關運作模式趨于規范合理,在未來將會有更多的權威機構、產業機構以及個人、物聯網設備通過分布式數字身份體系的助力,參與到廣闊的數字經濟世界來,開拓更多的創新應用場景。
未來的數字化社會必定以用戶為核心,實體可通過自主管理數據與可信共享交換來創造價值,分布式數字身份將會幫助數字化社會更健康、更透明、更高效地發展。
參考文獻
1.張開翔, 數字時代的身份基礎設施建設, 微眾銀行, 2020.06.29
2.https://www.w3.org/TR/did-core/
3.https://www.w3.org/TR/vc-data-model/
4.https://baijiahao.baidu.com/s?id=1687424669586301192&wfr=spider&for=pc
5.https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/
6.https://weidentity.readthedocs.io/zh_CN/latest/
