身份安全的下一站:去中心化身份管理(DID)技術簡析
責編:gltian |2024-03-01 14:23:19隨著互聯網技術的出現和普及,數字身份幾乎支撐著我們生活的方方面面。而這些數字身份也經歷了多個不同的發展階段:最初的階段是由單一組織進行授權、管理和控制的中心化身份,不同機構之間身份數據互不相通;接下來的階段是由多個機構或者聯盟組織進行管理和控制的聯盟身份,在此階段,用戶的身份數據具備了一定的可移植性和復用性。隨著數字化創新應用的不斷發展,以用戶為中心的身份管理需求不斷增強,用戶需要能夠自主掌控自身的數字身份信息,以去中心化為特征的數字身份管理時代已經來臨。
去中心化身份管理的理念
去中心化身份管理是一種創新的身份安全和訪問管理理念,它不再強調用戶信息的集中化采集、存儲,而是增強了用戶個人對其身份數據的控制,因此也被稱為自我主權模式(Self-Sovereign identity,SSI)的身份管理。
在去中心化身份認證方式下,會要求每個用戶自主擁有自己的身份信息,不同的用戶可以將憑據和個人信息存儲在類似于“數字錢包”的管理工具中。而在進行去中心化身份認證時,相關身份信息的使用也會分布在分布式計算機系統中,如分布式賬本或區塊鏈,這樣可以使數字身份避免被篡改和竊取的影響,即使用戶的身份信息以電子格式記錄,也難以被更改、竊取或刪除。而且,去中心化身份管理特有的透明性使得身份信息可以即時驗證,而不必依賴于身份發行者。下圖是對去中心化身份管理工作原理的簡要說明:
【去中心化身份管理運行體系示意圖】
需要說明的是,在去中心化身份管理模式下,各類身份信息本身并不存儲在區塊鏈上,區塊鏈只是用于生成一個不可變的交易記錄,可以清晰看到信息是如何從發行組織傳遞給用戶。這種“數字指紋”(也稱為哈希)對每個憑據都是唯一的,能夠可靠地證明用戶的身份所有權。
在去中心化身份管理生態系統中,會涉及多種類型的參與者,主要包括:
??用戶/持有者(holder):擁有和使用身份信息的個人。這些用戶可以在數字錢包中保存各種標識符,并根據需要共享它們。
??發行者(issuer):向用戶發放憑據和聲明的組織和機構。這可以是政府的稅務部門,也可以是企業雇主、學術機構或者任何可以發布身份信息的實體。
??驗證者(verifier):需要身份信息來建立信任并授予服務訪問權限的第三方。例如,在線商店在允許您購買某些商品之前可能需要用戶的年齡或公民身份證明。任何能夠證明身份的信息都需要可被核實。
【去中心化身份系統的主要參與者】
與任何現有的統一身份管理系統架構一樣,去中心化身份管理的各類組件可以組合在一起,從而更加安全地促進對關鍵信息的訪問,同時更加便捷地驗證用戶的身份。
去中心化身份管理的關鍵要素
去中心化身份管理可以讓每個用戶獨立控制自己的個人信息,而不是由中央組織或某個企業組織控制,這與傳統的中心化身份管理模式有著顯著差異,具體差別如下表所示:
從以上特點可以發現,組織在構建去中心化身份管理系統時,需要包含以下幾個關鍵要素:
??區塊鏈:系統需要構建一個去中心化的數據庫,在區塊鏈網絡中的計算機之間共享,以一種很難改變、黑客攻擊或欺騙系統的方式記錄身份相關信息。
??去中心化身份管理工具:一個應用程序,允許用戶創建自己的去中心化標識符并管理他們的可驗證憑據。
??去中心化身份標識符(DID):這主要指區塊鏈上的唯一標識符,由一串字母和數字組成,其中包含公鑰和驗證信息等詳細信息。
??可驗證憑證(VC):紙質憑證和數字憑證的數字加密安全版本,人們可以將其提交給需要驗證的組織。
采用去中心化身份管理的必要性
通過一些實際落地的應用實踐表明,采用去中心化身份管理模式能夠給企業組織帶來以下諸多好處:
1?讓用戶能夠更好地控制自己的個人信息
在中心化身份管理情境下,用戶必須相信中央組織或公司會保護他們的個人信息安全,且不會被濫用。但通過去中心化身份管理方法,用戶可以控制誰可以訪問他們的個人信息,并且可以在必要時自行撤銷訪問權限;
2?實現更高的安全性
在中心化身份管理模式中,如果中央組織或企業的安全態勢受到損害,則其所有用戶的所有個人信息都將處于危險之中。而采用去中心化身份管理方法時,每個用戶的個人信息是去中心化的,而非集中在一個地方,因此即使部分用戶的身份信息被泄露,也不會影響到組織其他用戶的身份信息安全。
3?讓身份管理更加私密性
在身份集中管理的情況下,用戶往往需要向中央機構或公司提供大量的個人信息,這些信息可能會被用于定向廣告或其他用戶可能不太滿意的目的。有了去中心化的身份管理,用戶只需要分享他們想要的個人信息,其余的都可以保密。
4?讓身份認證更便捷
去中心化身份管理可以消除繁瑣的多因素認證協議,實現無密碼認證,這讓很多數字化服務的開展變得更容易和更快捷,因為用戶無需再輸入繁瑣的長密碼。組織機構也可以快速驗證用戶身份,而無需強迫他們接受繁瑣的KYC流程。
5?降低身份管理成本
統計數據顯示,全球企業組織每年用于身份管理的花費高達數十億美元,去中心化身份管理讓每個用戶都參與到管理工作中,并存儲報關個人的身份數據,從而能夠為企業減輕負擔。如果沒有了身份數據中心的管理需求,企業就可以減少身份管理的運行成本,并將資金重新投入到改善數字安全運營的其他方面。
6?有利于監管合規
全球各國的監管機構正在不斷加強數據隱私的法律監管。不遵守用戶隱私保護的企業,或將面臨嚴厲制裁。去中心化身份管理體系能夠幫助組織降低對用戶身份信息管理的法律責任。因此,公司可以更好地遵守數據隱私法,避免引起監管機構的關注和處罰。
7?加強組織和用戶之間的信任
信任是維系公司和客戶之間關系的粘合劑。消費者面對公司收集他們的身份信息數據時,往往會擔心被用于身份欺詐,因此企業在提供服務之前需要漫長的驗證過程。去中心化身份可以解決這個問題,并在用戶和服務提供者之間建立其前所未有的信任水平。
實施去中心化身份管理面臨的主要挑戰
與目前大多數行業一樣,AI技術正在影響運營并導致組織實時發展,這對去中心化身份管理體系的構建也是如此。AI技術使個人的真實性變得不那么明顯,因此企業需要提出分層的身份驗證方法,以確保人們在獲得憑據之前確認他們的真實性。
此外,用戶體驗也會帶來挑戰,這包括如何使用身份、身份回收、數字錢包選擇以及編寫管理聲明等,此外,當發行方和驗證方是不同的組織時,它需要可互操作的協議,而這仍處于較早期的產品研發階段。
標準和互操作性也是應用去中心化身份管理是的一個關鍵挑戰。必須存在標準,以支持充當發行者和驗證者的不同企業之間的互操作性,以及不同的身份管理工具(數字錢包),這些參與企業可以通過不同供應商的開源應用來實現,這需要重新思考企業與用戶身份數據信息之間的關系以及如何挖掘這些數據的使用潛力。
與任何創新一樣,攻擊者始終都會找到有效的攻擊方法滲透到即使是最強大的安全控制措施中。有鑒于此,企業組織在應用去中心化身份管理方法時,也需要對可能的新型攻擊保持警惕。特別是隨著去中心化身份應用變得越來越普遍,企業需要投資新的安全防護產品來阻止潛在風險,從而保持領先于攻擊者一步。
參考鏈接: