區塊鏈改進IAM的10種方式
社會的數字化正在推動身份的數字化。從健康信息到專業認證,對身份信息和憑證的需求都在不斷增加,無論是在數量、種類還是價值方面。傳統上,身份信息由第三方監控和驗證-這可能是政府或者私營部門。然而,低信任度和新工具讓人們開始質疑這些傳統做法。
隨著個人數據量、數字交互頻率和安全威脅風險的不斷增加,基于紙張的身份形式越來越不適合數字世界。然而,我們尚不清楚新興技術將如何重塑身份。
在組織環境中,身份和訪問管理 (IAM) 技術發揮著重要作用,它可以幫助識別、驗證和授權誰可訪問服務或系統。這個類別包含多個流程,訪問可以指任何事情,從客戶登錄軟件和員工配置硬件,到市民使用政府服務,再到用戶驗證、認證和證明的各種方式。身份屬性是附加在身份上的標簽:職業、國籍、與服務提供商的關系、獲得政府權利和人口統計數據。這些標簽不僅是數字表示,而且可以證明我們是誰。
分布式賬本技術(DLT),通常被稱為區塊鏈,是為IAM提供潛在模型的新興技術之一。我們最好將DLT理解為一個總稱,它涵蓋用于數據安全和計算的各種分布式設計,以及其中捆綁的技術。在其核心,它使交易、身份驗證和交互能夠由網絡進行記錄和驗證,而不是單個中央機構。這種按順序記錄和獲取已存儲數據的能力被認為是記錄保存領域的根本性突破,其應用遠遠超過加密貨幣。
區塊鏈改進IAM的10種方式
在多個用例中,區塊鏈技術(或者說受區塊鏈啟發的設計)可能會改進IAM流程,這包括以下:
- 多方驗證
多方驗證涉及用一組實體替代中央身份服務公司,這些實體由網絡管理,并歸合資企業或聯合企業所有。這種做法可將DLT應用于IAM系統以提高效率,盡管各方協調的復雜性限制大規模部署。
- 可驗證憑證
根據萬維網聯盟 (W3C) 的說法,“可驗證憑證代表發行者做出的聲明,以防篡改和尊重隱私的方式。”它們是身份驗證的重要組成部分,而DLT帶來機會可為固定聲明加上“數字水印”。正如基于區塊鏈的不可替代令牌使藝術家能夠對其原始介質進行數字水印一樣,類似的功能也可用于驗證身份憑證。這就是說,企業不應在區塊鏈上存儲個人身份信息 (PII);他們應該只存儲聲明的哈希值。
- 分布屬性
在公共區塊鏈架構,或基于開源軟件的混合架構中,訪問不受限制,并且有可能支持全局搜索和發現屬性,而不需要中央目錄。這種透明度可能會威脅到隱私原則,但通過額外的隱私工程層,更容易獲得的分布式有可能改善金融包容性,并幫助那些無法證明自己身份的人獲得權利。
- 訪問屬性
屬性可以被加密,智能合約可以被編碼以在需要時解密它們,智能合約是指區塊鏈上的編碼邏輯和算法的條款。為了避免將PII或屬性本身存儲在區塊鏈上,只有屬性哈希值的簽名應該存儲在分類賬上,而用戶可從他們的設備中顯示屬性。
- 屬性來源
我們如何知道身份屬性的來源和準確性?畢竟,屬性的可靠性取決于我們對其來源的信任。正如共享賬本提高供應鏈食品跟蹤的透明度和效率,共享賬本也可能用于驗證身份,它可提高身份屬性發布來源的時間戳的透明度。這種相同的功能對于密鑰生命周期管理很有用,特別是對加密密鑰生命周期元數據的同步可視性,例如誰有權訪問什么。學術界正在考慮使用它,因為它可以幫助驗證和認證證書及招聘憑證。
- 數據最小化
服務提供商實際上需要知道哪些信息來認證某人?各種DLT功能(例如智能合約、零知識證明或選擇性披露)可配置為最大限度地減少驗證所需的數據或屬性,并且,這些數據或屬性永遠不會被披露。
7. 審計追蹤
在很多企業環境中,創建交互日志不僅是操作和安全最佳做法,而且是合規性要求。雖然在記錄信息用于審計時區塊鏈不是強制性要求,例如,用戶注冊、用戶登錄、用戶請求權限或用戶被停用,但區塊鏈可用于跨各方的同步、維護日志完整性和減少篡改或欺詐的可能性。
- 合規性驗證
通過共享審計跟蹤實現的另一個用例是合規性驗證,因為審計員可能是共享分類賬網絡中基于權限的利益相關者。很多企業身份用例還需要合規性驗證,例如金融服務中的客戶調查(KYC)。在這個例子中,IAM與區塊鏈的融合不會消除對中央機構的需求(在KYC的情況下,中央機構是政府機構),但可以為個人和銀行提供更高效率。銀行可以“看到”并證明其他銀行已經進行了KYC盡職調查并已驗證客戶身份,這同時可降低銀行的成本。
- 自主身份(SSI)
盡管完全自主決定以及轉移所有屬性的控制權給最終用戶的概念早于區塊鏈和IAM,但DLT激發了一些創新設計,以實現對個人數據的更大自主決定。DLT示例包括專為屬性可靠性設計的共識算法。雖然SSI具有潛力,但有些風險較高的企業用例,例如在醫療保健或金融服務業,可能總是需要外部授權來驗證身份聲明。
- 去中心化標識符(DID)
DID是完全由身份所有者控制的標識符,獨立于中央機構或提供商。DID是SSI的組件,被設計為由用戶控制,無法重新分配和解析。這意味著它們包含公鑰文檔、身份驗證協議,以及通過密碼學或發行機構簽名的可驗證性。
例如,考慮一下這些用例在醫療保健領域提供的機會。醫院、保險公司、護理人員、診所和藥房之間缺乏溝通阻礙效率、成本節約和護理的可及性。這個問題的核心挑戰之一是身份層。DLT支持的用例可以實現以下目標:
- 通過單一可信源,為醫療保健認證過程中所有利益相關則會提高可視性;
- 跟蹤和驗證從業者認證(在其職業生涯中),以及組織許可;
- 驗證健康記錄的真實性和同步許可訪問;
- 通過私鑰、數據最小化、憑證驗證、更好的患者控制等,支持更大的信息隱私;
- 通過編碼智能合約和實時可視性提高合規性;
- 通過減少數據孤島和重復,降低與驗證憑證相關的成本、復雜性和時間。
區塊鏈和IAM的現實
這些用例展現了區塊鏈和IAM相結合的好處,但忽略一個重要的現實:身份很復雜。身份是個人的,并且越來越具有生物特征,而身份的數字化是前所未有的。
盡管IAM連接了多個域、系統、技術和服務提供商,但將身份信息編碼到DLT中不僅僅是技術工作。詢問有關數據的問題很重要:應該存儲什么、誰為其擔保、如何維護以及由誰決定。這些問題涉及哲學、經濟、文化和法律方面。技術仍在不斷變化,技術有可能將身份控制點從集中但斷開連接的中心轉移到分散和互連的信任網絡。
