微軟的分佈式數字身份系統解密 | 互鏈獨家
超級賬本中國區聯席主席
如果你留意區塊鏈的新聞,你可能會注意到這麼兩則新聞:一是微軟要在比特幣網絡上搭建自己的電子身份基礎平臺ION,二是加拿大BC省利用Indy分佈式身份,每年減少數十億美元開銷。
那麼什麼是身份呢?每個人都有很多身份,比如國家公民,同時我們還是是公司職員等等。為了證明我們的身份,我們就發明了證件。據說一箇中國人一生要辦103個證!沒有出生的時候父母就要去辦理一個準生證;一出生就要辦理出生證,然後是身份證,預防接種證、入學證、畢業證;結婚要辦結婚證、工作要辦理社保證明,公積金等;退休了要辦理退休證等等,等人死了還要開一個死亡證明。而這103個還是到政府部門辦理的長期使用的證件。其實我們還要使用很多臨時使用的證件,如車票,機票,電影票;特定場合使用的票證,如工作證、五花八門的會員卡等。這些都是物理性證件,證件上一般註明個人姓名、性別等基本信息,為了便於識別會增加持卡人的照片。通常和證件關聯的還有很多額外信息,這些信息保存在相應的個人檔案裡,而檔案由發證機構保管。這些資料是持卡人和發證機構共享的。
互聯網的出現,為了社交需求和獲取各種各樣的互聯網服務,我們大部分人都註冊、擁有了不計其數的網絡ID。隨著信息化程度的提供,企業內部的IT系統和設備也越來越多,員工需要訪問的系統和也設備也越來越多,所以在企業內部我們同樣需要很多ID。
這就出現了兩個問題:一是ID太多,管理難度大大增加,個人沒有辦法管理如此多的ID和密碼;二是,ID身份真實程度低、身份核實難。
ID太多,自然地可以通過減少ID的辦法解決。
首先,對於互聯網平臺採用開發授權標準。什麼是開放授權呢?就是像QQ,微信,國外的Facebook,google等這樣的大公司,把他們的ID認證系統開放出來,其他的網站、App等可以通過他們的認證系統確認用戶。比如現在我們已經可以用微信登錄很多手機App了。對我們用戶來說,可以少記很多ID和密碼;對於這些App運營公司來說,他們可以簡化他們的ID管理。而像微信,Facebook,Google等這樣的大公司,他們的ID系統一般更加安全可靠,密碼不容易被盜,我們用戶的個人信息也更加安全。
其次,企業內部使用專門的ID管理工具。微軟的Active Directory就是這類工具的優秀代表。員工只需要在AD上註冊一個ID,通過AD給員工授予不同的訪問權限,員工就可以通過同一個ID訪問不同的系統或者設備了。
核實身份,藉助於非對稱加密算法來實現,就是常說的PKI(Public Key Infrastructure)。這裡需要引入可信的第三方機構就是CA。CA核實申請人的身份之後,給申請人辦法一個數字證書,證書上註明持證人的身份和公鑰,數字證書是公開的;而持證人自己保管對應的私鑰,並且不能告訴任何人。使用時,需要核實持證人身份的一方從CA獲取持證人的數字證書。通信過程中一方使用數字證書上面的公鑰,而另一端是持證人使用相對應的私鑰,對數據進行加密解密。非對稱性密碼算法保證了數據的安全性。
然而PKI也不是萬能的,它也有很多不足之處。CA是一個強中心化的第三方機構,頒發、維護證書需要一定的費用;數字證書一旦發佈,任何人都可以很方便地獲取到,雖然證書本身有過期日期,但是即使過期,證書上的內容仍然是可見的;證書更新不方便。想想你重辦身份證有多複雜。
有沒有更好的辦法呢?
有!
W3C(The World Wide Web Consortium )提出了DID(Decentralized Identifier)的方案。這個方案的核心是去中心化和Self-sovereign identity——自己的數據由自己完全掌控。而Decentralized Identity Foundation(DIF) 就是推動DID方案的開源基金會,其主要工作就是制定基於DID的具體技術標準,並且促進不同行業之間的相互交流。這個基金會目前已經有70家會員,包括IT巨頭IBM,微軟,NEC,埃森哲;區塊鏈組織超級賬本,R3,以太坊企業聯盟,ID解決方案組織evernym,sovrin,SecureKey,Validated ID,Anth0,LifeID;金融機構MasterCard,微眾銀行等等。DIF的多個成員都有自己DID的產品,包括IBM有和銀行合作推出的Trust Identity,微眾銀行有WeIdentity,超級賬本有Hyperledger Indy,Sovrin是Indy項目的代碼貢獻者和Sponsor,IBM也是Sovin的成員。
這些產品或者方案都無一例外地採用區塊鏈技術來實現。以區塊鏈和密碼學為核心。什麼是DID呢,首先它有一個唯一性的ID,有點類似URL地址。這個DID和一個DID文檔(DID Document)關聯。DID文檔上記錄的數據是由用戶自己決定的,不必要的信息可以完全不記錄在DID文檔上。在DID系統中,有身份頒佈者,身份持有人和驗證者三類角色。持有人向頒佈者申請身份,驗證者在需要時驗證持有人的身份。DID數據存放在區塊鏈上,鏈上不存儲隱私數據。而他們三組直接的相互交互使用非對稱加密算法、零知識證明等密碼算法。
雖然同是DID,但是微軟的ION和Indy有很大不同。首先,Indy是一個基於聯盟鏈,這個鏈需要聯盟成員自己搭建(Sovin已經搭建了一個全球性的網絡)。而ION則把數據存儲在比特幣上。最近比特幣大漲,不知是否和ION有關。假如ION能夠成功,影響到的是像Facebook,Google等這樣的開放授權ID系統。
ION能否成功,讓我們拭目以待。