《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > ?基于區(qū)塊鏈的身份管理研究*
?基于區(qū)塊鏈的身份管理研究*
陳宇翔,張兆雷,卓見,彭笛,劉地軍
(中國電子科技集團公司第三十研究所,四川 成都 610041)
摘要: 針對網(wǎng)絡空間的身份管理問題,首先,概述了身份管理面臨的問題和需求,分析了基于區(qū)塊鏈的身份管理方案相對于傳統(tǒng)身份管理系統(tǒng)的優(yōu)勢。然后,重點對ShoCard、Uport、Civic為代表的基于區(qū)塊鏈的身份管理方案進行研究,分析其突出特點和對其他方案的影響。最后,對比分析國內外主要方案的優(yōu)缺點及實踐經驗,提出對未來發(fā)展的展望。
中圖分類號:TP316 文獻標識碼:A DOI: 10.19358/j.issn.2096-5133.2018.07.006
中文引用格式:陳宇翔,張兆雷,卓見,等.基于區(qū)塊鏈的身份管理研究[J].信息技術與網(wǎng)絡安全,2018,37(7):22-26.
Identity management research based on blockchain
Chen Yuxiang,Zhang Zhaolei,Zhuo Jian,Peng Di,Liu Dijun
(No.30 Institue of China Electronics Technology Group Corporation, Chengdu 610041, China)
Abstract: Aiming at the problem of identity management in cyberspace, this paper firstly summarizes the problems and requirements faced by identity management. The advantages of the identity management scheme based on blockchain over the traditional identity management system are analyzed. Then, it focuses on the blockchain-based identity management scheme represented by ShoCard, Uport and Civic, and analyzes its outstanding characteristics and its influence on other schemes. Finally, the advantages and disadvantages and practical experiences of the main schemes at home and abroad are compared and analyzed, and the prospect of future development is put forward.
Key words : identity management; blockchain; authentication; information security

0  引言

身份管理信息安全的關鍵技術[1]。進入大數(shù)據(jù)時代,與日俱增的數(shù)據(jù)量對中心化身份管理系統(tǒng)帶來的壓力越來越大,中心化數(shù)據(jù)庫被攻擊的風險高,用戶不能把握個人數(shù)據(jù)的主動權,出現(xiàn)隱私泄露而不知情等[2-3]。在這樣的背景下,ALLEN C[4]提出了自主權身份,并對身份管理系統(tǒng)提出了10項要求,這些要求描述了用戶實體獨立存在(Existence),控制自己身份(Control),直接訪問自己的數(shù)據(jù)(Access),系統(tǒng)邏輯的透明性(Transparency),身份持久存在(Persistence),輕便可移植性(Portability),讓身份盡可能廣泛使用的互操作性(Interoperability),用戶控制自己信息(Consent),聲明揭露信息量盡可能小(Minimization),用戶權益被保護(protection)等方面。

區(qū)塊鏈技術分布式、不可篡改的技術特點為滿足IMS(Identity Management System)的上述要求提供了重要手段。區(qū)塊鏈分布式身份管理系統(tǒng)與傳統(tǒng)中心式身份管理系統(tǒng)對比如表1所示。

微信截圖_20181023160331.png

1  區(qū)塊鏈引入身份管理的早期探索

比特幣作為分布式無中心的系統(tǒng)安全運行了數(shù)十年,徹底顛覆了中心化管理系統(tǒng)架構,西方最早進行了區(qū)塊鏈與身份管理結合的嘗試。比如荷蘭的PKIoverheid[5]、Idensys項目[6],愛沙尼亞的e-Residents等[7],更早在2014年Bitnation就發(fā)布了“世界公民身份證”項目,該項目的身份系統(tǒng)為用戶創(chuàng)建全新且沒有從屬關系的身份[7]。但這些早期嘗試的項目缺點也很明顯,大多使用了比特幣區(qū)塊鏈,比特幣區(qū)塊鏈的成千上萬個節(jié)點都有分布式賬本,每次驗證需要眾多節(jié)點同步數(shù)據(jù)庫,花費十幾個小時,對用戶認證很不友好。且比特幣平臺對所有人開放,沒有商業(yè)理由吸引公司在該平臺創(chuàng)建推廣身份管理系統(tǒng),支付高額的軟件許可費,第三方對用戶行為的關聯(lián)分析也一定程度泄露隱私等[8]

早期的概念驗證項目讓人們意識到基于區(qū)塊鏈的身份系統(tǒng)相比傳統(tǒng)中心化身份系統(tǒng)的巨大優(yōu)勢,也激勵著后續(xù)更加成熟的基于區(qū)塊鏈的身份管理方案不斷涌現(xiàn)。

2  主流方案對比分析

2.1  ShoCard

ShoCard[9]是早期嘗試區(qū)塊鏈身份管理的公司并發(fā)展至今,具有代表性(技術框架如圖1所示),當前基于區(qū)塊鏈的身份技術思路形成共識,即用戶終端存儲個人數(shù)據(jù),區(qū)塊鏈作為去中心的交換承諾而存在,不存儲敏感信息,保證信息的有效性、完整性。其他公司方案都在此共識基礎上加入自己的特點,以下重點分析其它方案的創(chuàng)新細節(jié)及實踐經驗。

微信截圖_20181023160911.png

2.2  Uport

Uport[10]作為一種自主權身份建立在以太坊平臺,不依賴中心身份提供者,其身份以Ethereum地址的形式存在,可以是人、程序、設備等。

Uport方案創(chuàng)新之處在于其核心是全網(wǎng)唯一且持久的Uport標識符,該標識符被以太坊代理(proxy)合約定義,代理合約(proxy)可以傳遞交易,通過該合約機制與以太坊區(qū)塊鏈的其他智能合約互動(如圖2所示)。

微信截圖_20181023161141.png


當用戶想與特定應用智能合約互動時,通過控制合約發(fā)送事務,代理合約將事務傳遞給應用合約。其中控制合約包含了訪問控制策略。因為其不變的標識符,特定應用則把代理合約看做互動實體。通過代理合約的方式在用戶私鑰和應用合約引入了中間件,也能夠讓用戶在丟失終端后替換原有私鑰。

控制合約保持了還原網(wǎng)絡(圖3),其成員由用戶指定,可以是好友、可信機構等。一旦終端丟失,在獲取了新終端后(步驟2),向還原網(wǎng)絡廣播新公鑰(步驟3),還原網(wǎng)絡中成員通過還原合約將用戶新公鑰確認并發(fā)送到控制合約中保存,當達到要求的成員數(shù)量(比如2/3)確認后(步驟4),控制合約更新用戶公鑰(步驟5),用戶身份恢復(步驟6)。

微信截圖_20181023161149.png

Uport也可用于非區(qū)塊鏈身份相關用例(如圖4所示),通過存儲合約以密碼方式將額外數(shù)據(jù)結構綁定Uport標識符,密碼方式的綁定定義在智能合約的訪問控制策略中,只有代理合約可以更新存儲合約。存儲合約包括了從Uport標識符到IPFS哈希的映射。IPFS是存儲、關聯(lián)和傳輸數(shù)據(jù)的分布式系統(tǒng),以哈希保證數(shù)據(jù)結構的完整性。

微信截圖_20181023161504.png

2.3  Civic方案

2.3.1  Civic概述

Civic[11]是通過區(qū)塊鏈促進identity verification(IDV)服務向著按需求、安全、低訪問開銷發(fā)展的一個生態(tài)系統(tǒng),讓每次身份查驗不用從頭開始。

Civic最大的創(chuàng)新是引入了激勵機制CVC(Civic通證),以CVC換取IDV相關服務,來提高用戶體驗,增強安全和隱私保護,打破現(xiàn)有IDV供應鏈。

2.3.2 Civic創(chuàng)新分析

Civic通證的引入讓管理激勵成為可能,使系統(tǒng)向參與者有利的方面發(fā)揮作用。系統(tǒng)內通證不是像比特幣通過挖礦產生,介紹新用戶、注冊、提供身份、提供證明等方式均可獲得。

通證與IDV結合流程如圖5所示,用戶申請服務提供商A的服務,通過Civic APP向A發(fā)送所需PII(步驟1),服務商A用已有方法驗證用戶提供的PII是否符合服務條件(步驟2),服務商A將用戶出示的PII計算哈希值,并將哈希值在區(qū)塊鏈上記錄作為“證明”,“證明”除PII外還包括元數(shù)據(jù)(比如驗證等級,驗證細節(jié),應用工業(yè)標準等)。同時將該區(qū)塊鏈事務的“證明”細節(jié)給提供用戶(步驟3)。之后用戶申請服務商B的服務(步驟4),B發(fā)送要求的用戶PII、相關規(guī)則等,用戶端APP則檢查自己數(shù)據(jù)是否滿足B的需求。假設用戶有并愿意出示要求的PII,且用戶和B之間就誰(之前驗證過用戶,且驗證的是相同數(shù)據(jù)和規(guī)則的角色)來驗證達成共識(本例中假設為A),A以CVC的形式出示價格,服務商B選擇是否接受(步驟5、6)。B接受后,用戶向B發(fā)送A的證明的數(shù)據(jù)類型、區(qū)塊鏈位置信息等。B將用戶提供的元數(shù)據(jù)PII重新哈希后與區(qū)塊鏈事務對比以確認所得到信息的有效性,如果有效,B支付該證明所需的(價格)CVC到托管賬戶中(通過智能合約)(步驟7)。一旦B支付了CVC,用戶可以發(fā)送服務商B所要求的PII明文數(shù)據(jù)(步驟8)。然后用戶觸發(fā)托管賬戶中CVC釋放,釋放的CVC將以智能合約中約定的比例分配給用戶和服務商A,交易到此完成。

微信截圖_20181023161718.png

2.4  其他方案

ShoCard、Uport Civic三個代表性方案對比如表2所示。

微信截圖_20181023161724.png

以上三個方案在區(qū)塊鏈的身份管理領域具有代表性,分別突出了總體技術路線、自主管理身份和通證激勵,對其他方案影響較大,比如:IDHub[12]是國內世紀互聯(lián)公司的首個基于區(qū)塊鏈的去中心數(shù)字身份平臺,用于網(wǎng)絡新型登錄方式公民權利相關的身份認證等[14](架構如圖6所示)。

香港的SelfKey[13]致力實現(xiàn)自主管理身份的生態(tài)系統(tǒng),同樣借鑒了通證激勵方式和Uport智能合約管理方法,外部應用采用通證激勵關系,如圖7所示。

烏克蘭的REMME[15]方案致力用區(qū)塊鏈實現(xiàn)不涉及密碼的登錄服務。在其去中心化網(wǎng)絡存儲用戶的唯一SSL設備證書,通過REMME按鈕和電話確認等雙因素認證,消除驗證過程中的人為因素,防止?jié)撛诘墓敉緩健?/span>

3  結論

分析了知名區(qū)塊鏈的身份管理方案,分別介紹了其技術路線、突出特點。本文將以上方案橫向對比,如表3所示。

從ID發(fā)行方看,除了IDHub外,其他方案都有固定的ID發(fā)行方,由平臺內部或其支持方對參與系統(tǒng)的角色發(fā)行ID,比如Civic、ShoCard由方案本身發(fā)行參與者ID,UportID由支持方ConsenSys發(fā)布。IDHub中,任何人、機構、組織都可發(fā)行ID,讓成員依據(jù)該合法身份開發(fā)相應區(qū)塊鏈應用來參與生態(tài)系統(tǒng)運行,強調兼容性、可擴展性,有利于系統(tǒng)生長。

微信截圖_20181023162135.png

微信截圖_20181023162151.png

在賬號管理方面,Uport,IDHub,SelfKey采用事先約定好的智能合約實現(xiàn)以用戶為中心的賬號管理,其中IDHub因為任何人可發(fā)行ID,相應采用多種類型的身份管理合約來集成各類區(qū)塊鏈應用,理念先進。ShoCard、Civic、Air則采用了IDProvider為中心的賬戶管理方案。

在相應身份使用范圍來看,ShoCard、Civic、SelfKey、Air的身份都只能在相應的生態(tài)系統(tǒng)內部使用。Uport、IDHub將身份使用范圍分為鏈上和鏈下,在智能合約中準確記錄換Key操作,將用戶區(qū)塊鏈身份(標識符)與鏈下用戶公私鑰對綁定,實現(xiàn)生態(tài)系統(tǒng)外的使用。

在用戶數(shù)據(jù)存儲方面,從早期到當前的主流技術方案都將用戶數(shù)據(jù)存儲在手機終端,比如ShoCard、Civic等。但Uport將所有數(shù)據(jù)存儲在IPFS(星際文件系統(tǒng)),存在泄漏風險。IDHub在此基礎上做了區(qū)分:把數(shù)據(jù)分為公開數(shù)據(jù)和隱私數(shù)據(jù),公開數(shù)據(jù)存儲在IPFS,將隱私數(shù)據(jù)存在用戶終端,上鏈服務不保存用戶信息。

主流方案中除Uport外,其他方案任何人都可對給出的認證記錄在區(qū)塊鏈上校驗,Uport身份是以太坊地址,安全性依托于以太坊區(qū)塊鏈,未提供傳統(tǒng)管理系統(tǒng)中的證書服務。

各方案系統(tǒng)性能受所使用的區(qū)塊鏈平臺影響,可用于身份管理的平臺主要有,Ethereum、Rootstock、Hyperledger等,也未能達成統(tǒng)一共識,根據(jù)不同需求選擇。以太坊屬于典型公有鏈,基于Uport身份的企業(yè)級應較少。Civic采用的RootStock是建立在比特幣網(wǎng)絡上的中間件,提供安全可擴展的智能合約解決方案,并能創(chuàng)建完全不同于比特幣的通證(token)用于系統(tǒng)激勵。IDHub方案兼容多種區(qū)塊鏈,計劃隨跨鏈交換技術成熟后遷移到具有跨鏈功能的專用區(qū)塊鏈上。Air所使用的Hyperledger平臺針對企業(yè)級應用,國內外采用較多。

通過對比各個方案細節(jié)和實踐經驗,ShoCard實踐較早,Uport身份依托于以太坊,最大的創(chuàng)新是用分級的智能合約方式實現(xiàn)以用戶為中心的賬號管理和依托賬號管理實現(xiàn)非區(qū)塊鏈應用身份的關聯(lián)具有很好的兼容性,并被后來的IDHub、SelfKey等方案所借鑒。Civic最大的特點在于引入token(通證)激勵機制,并受到越來越多的共識,不同于比特幣、以太幣等加密貨幣,通證作為一種系統(tǒng)權益,代表比代幣更高維度的價值,比如身份權證、積分、信用、服務等功能性權證,也包含物理世界的資產,從國內區(qū)塊鏈公司IDHub和SelfKey即可看出。IDHub不但有佛山禪城公證處這樣的落地項目,更吸取了其他方案的優(yōu)秀理念,比如Uport賬號管理方案、Civic通證激勵機制。此外IDHub提出任何人可發(fā)行ID,期望成為所有區(qū)塊鏈的公共身份,效果如何,尚有待觀察。

通過分析身份管理系統(tǒng)各參與方需求以及國內權威機構監(jiān)管需求,身份管理系統(tǒng)的發(fā)展不會完全去中心,也不能完全中心化,因此通過聯(lián)盟鏈構建基于區(qū)塊鏈的身份管理系統(tǒng)會成為國內主流技術解決方案。此外,從區(qū)塊鏈技術特點及上述基于區(qū)塊鏈的身份管理系統(tǒng)來看,對于用戶可提供以用戶為中心的安全、可控、便捷的身份管理,對于身份提供方可提供有效的激勵機制,對于依賴方可降低身份驗證成本。但是挑戰(zhàn)與機遇并存,區(qū)塊鏈的發(fā)展將會給公司、政府、金融等各行業(yè)的中心化身份管理系統(tǒng)帶來沖擊,只有通過技術方案和產品的改革才能更好地適應技術的發(fā)展。

參考文獻

[1] ITU-T X.1250《增強的全球身份管理信任和互操作性能力》[Z].

[2] 鄧臻. 基于PKI的分布式異構身份認證體系信任域互連的研究[D]. 長沙:長沙理工大學, 2008.

[3] 盧慧鋒,趙文濤,孫志峰,等. 社會化網(wǎng)絡服務中OAuth2.0的應用研究與實現(xiàn)[J]. 計算機應用, 2014(s1):50-54.

[4] ALLEN C. The path to self-sovereign identity[EB/OL].[2018-03-14]. http: //www. coindesk. com/path-self-sovereign-identity/.

[5] PKIoverheid- Logius[EB/OL].[2018-03-14]. https:// www.logius.nl/diensten/pkioverheid/.

[6] GDI. [EB/OL].[2018-03-14]: https://www.digitaleoverheid.nl/digitaal- 2017/digitalisering-aanbod/gdi.

[7] Estonia’s new e-residents are surpassing the country’s birth rate[EB/OL].[2018-03-14]: https: //thenextweb.com/eu/2017/07/25/estonias-new-e-residents-surpassing-countrys-birth-rate/.

[8] MOOIJMAN A. PoC KYC on blockchain with Tradle[R]. 2016.

[9] Travel Identity of the future.[EB/OL].[2018-03-14]: https://shocard.com/.

[10] ConsenSys[EB/OL].[2018-03-14]. https://uport.me/%7B%5C#%7Dhome.

[11] Civic Technologies, Inc. Civic WHITEPAPER[EB/OL].[2018-03-14] https://tokensale.civic.com/CivicTokenSaleWhitePaper.pdf.

[12] IDHub數(shù)字身份白皮書[Z].2017.

[13] SelfKey.[EB/OL].[2018-03-14]https://selfkey.org/wp-content/uploads/2017/11/selfkey-whitepaper-en.pdf.

[14] Linda. Air Platform:用區(qū)塊鏈技術打造數(shù)字身份管理系統(tǒng)[EB/OL].(2018-07-19)[2018-03-14]http://www.jinse.com /news/blockchain/45505.html

[15] Distributed public key infrastructure (PKI) protocol and access management DApps[EB/OL].[2018-03-14] https://www.remme.io/.

(收稿日期:2018-07-01)

 

作者簡介:

陳宇翔(1993-),男,碩士,主要研究方向:身份管理、區(qū)塊鏈。

張兆雷(1985-),男,碩士,高級工程師,主要研究方向:信息安全。

卓見(1987-),女,碩士,工程師,主要研究方向:信息安全。


 *基金項目:國家重點研發(fā)計劃“異構身份聯(lián)盟隱私保護技術研究”項目(2017YFB0802304)


此內容為AET網(wǎng)站原創(chuàng),未經授權禁止轉載。