技术篇分布式数据⾝份Ele-DID
美国语伴下载随着WEB2.0 的发展,BAT 等平台商发展壮⼤,微信及⽀付宝⽤户体量规模巨⼤,阿⾥和腾讯积累了⼤量的⽤户⾝份信息。由于互联⽹获客成本越来越⾼,很多⼩微企业和商户在互联⽹上提供服务时,倾向通过联盟⾝份⽅式,获得微信或⽀付宝提供的⽤户⾝份信息访问接⼝。长期以往,根据马太效应,互联⽹巨头企业的⽤户数据规模巨⼤,伴随数据垄断性将带来很⼤的蜜罐数据风险。
为了使⾝份真正具有⾃主权,数字⾝份基础设施需置于分布式环境中,⽽不是属于单⼀组织或联盟组织控制的中⼼化环境。
象链科技分布式⾝份系统(Ele-DID)在分布式存储技术上进⾏升级和优化,使多个机构、组织和政府能够共享⾝份数据,同时抵御故障和篡改。象链科技分布式⾝份系统(Ele-DID)在分布式账本的技术背景下,在安全性和匿名性⽅⾯进⾏了深度研究和优化,并融合了EleChain的公钥基础设施和匿名凭证技术相结合。
1数字⾝份的表⽰和采集
国际电⼦技术委员会将“⾝份”定义为“⼀组与实体关联的属性”。数字⾝份通常由⾝份标识符及与之关联的属性声明来表⽰,分布式数字⾝份包括:分布式数字⾝份标识符和数字⾝份凭证(声明集合)两部分。
1.1 分布式数字⾝份标识符(Decentralized ID)
分布式数字⾝份标识符(DID)是由字符串组成的标识符,⽤来代表⼀个数字⾝份,不需要中央注册机构就可以实现全球唯⼀性。通常,⼀个实体可以拥有多个⾝份,每个⾝份被分配唯⼀的 DID 值,以及与之关联的⾮对称密钥。不同的⾝份之间没有关联信息,从⽽有效地避免了所有者⾝份信息的归集。
1.2 可验证声明(Verified Claims)
“声明(claims)”是指与⾝份关联的属性信息,这个术语起源于基于声明的数字⾝份,⼀种断⾔(asrt)数字⾝份的⽅式,独⽴于任何需要依赖它的特定系统。声明信息通常包括:诸如姓名,电⼦邮件地址、年龄、职业等。
声明可以是⼀个⾝份所有者(如个⼈或组织)⾃⼰发出的,也可以是由其他声明发⾏⼈发出的,当声明由发⾏⼈签出时被称为可验证声明。⽤户将声明提交给相关的应⽤,应⽤程序对其进⾏检查,应⽤服务商可以像信任发⾏⼈般信任其签署的可验证声明。多项声明的集合称为凭证(credentials)。
2可验证⾝份模型
数字⾝份管理的主要⽬的是使⾝份所有者能够⽅便地获得声明并使⽤声明,以证明其⾝份属性,声明
管理是数字⾝份体系的主要内容。
可验证声明由⾝份背书⽅(声明发⾏⽅)根据⾝份所有⼈请求进⾏签署发布,⾝份所有者将可验证声明以加密⽅式保存,并在需要的时候⾃主提交给⾝份依赖⽅(声明验证⽅)进⾏验证;⾝份依赖⽅(声明验证⽅)在⽆需对接⾝份背书⽅的情况下,通过检索⾝份注册表,即可确认声明与提交者之间的所属关系,并验证⾝份持有⼈属性声明的真实来源。
对⽐传统的⾝份认证⽅式——⾝份依赖⽅采集⽤户信息,通过安全信道将其传输给⾝份认证⽅进⾏认证的做法,可验证声明模型下,⾝份认证⽅不需要关注、信任和对接⾝份依赖⽅系统,只需要为⾝份请求者核准和签发真实性声明⽂件,⾝份依赖⽅则在⽆需对接不同认证⽅的情况下也能够实现对多样化⽤户⾝份信息的访问及信息真实性的验证。
在数字⾝份的应⽤中,将⾝份标识符的⽣成、维护,与⾝份属性声明的⽣成 / 存储 / 使⽤分离开来,有助于构建⼀个模块化的、灵活的、具有竞争⼒的⾝份服务⽣态系统。
3Ele-DID分布式数字⾝份的技术特点
kornferry如开篇所讲,今天任何实体在互联⽹上的数字⾝份的控制权其实是在第三⽅⼿中,不论是电⼦邮件地址、⽤户名、数字证书都是我们通过向服务提供商、CA 中⼼以及社交⽹络“租借”的,这导致整个互联⽹范围内出现了严重的可⽤性和安全性问题。
为了将数字⾝份的控制权返还给所有者实体,需要⼀套⽀持⾝份所有者进⾏⽆需许可、创建⾃举加密数字⾝份的机
为了将数字⾝份的控制权返还给所有者实体,需要⼀套⽀持⾝份所有者进⾏⽆需许可、创建⾃举加密数字⾝份的机北京师范大学附中
制,Ele-DID所做的就是将数字⾝份基础设施置于分布式环境中。
leavefor分布式数字⾝份解决了以下问题:
•数字⾝份标识符的⾃主控制与管理
•基于⾮对称密钥的点对点认证及安全信息交互
•提供密码学应⽤的⽤户友好性
3.1 基于 DPKI 的分布式密钥管理与使⽤
⽬前,基于 DNS 和 X.509 PKIX 的互联⽹⾝份管理系统中存在⼀些安全和可⽤性问题,这些问题的根源在于系统的中⼼化。中⼼化设计阻碍了⾝份所有者本⼈控制代表他们⾝份的⾝份标识符,从⽽使第
三⽅有危害其⾝份安全的可能性。为了解决这⼀问题,我们需要构建分布式公钥基础设施,明确分布式密钥管理办法。
分布式密钥管理可以通过为实体提供分布式数字⾝份钱包应⽤来实现,⾝份钱包⽀持使⽤者⾃⾏创建⾝份,进⾏⾝份密(私)钥的维护和控制密钥使⽤;同时通过不可篡改的分布式账本来登记和发布所有者⾝份标识符及关联的验证公钥信息。基于此设计的 DPKI 即使在资源受限的移动设备上也能正常⼯作,并且能够通过提供私钥保护实现对⽤户⾝份标识符的完整性保全。
3.2 基于DPKI的点对点认证及安全通讯
实现基于 DPKI 的点对点认证及安全通讯的⽬的是为⽤户和数据提供安全、保密的点对点信任关系。⼀个安全的点对点通信系统需要满⾜以下三项基本要求。
机密性 - 确保点对点⽹络中的数据不被未授权者访问。
完整性 - 确保发送的数据是由授权的对等节点发出,数据不能被未授权者伪造或修改。
可⽤性 – 确保授权的对等节点能正常使⽤⽹络资源,⽽未授权者⽆法使⽤。
联系方式用英语怎么说就两点间通讯⽽⾔,其安全通讯的⼯作原理依然是基于传统 PKI 挑战响应机制和协商数据加密⽅式;
就全⽹所有节点⽽⾔,通过部署在去中⼼化服务器及个⼈客户端的⾝份密钥钱包,以及全⽹共享的 DID 分布式账本,代表任意不同实体⾝份的节点之间都可以实现基于⾮对称密钥⽅式的认证交互,并最终通过这种实体间的信任传递实现全⽹信任。
3.3 基于零知识证明的匿名凭证的研究与实现
传统的访问控制⽅式是基于⽤户向服务提供者出⽰⾃⼰的⾝份信息,然后由服务提供者判断⽤户是否可以使⽤该服务。这种基于⾝份的访问控制不是匿名⽅式的,⽤户需要披露的信息往往远超过必要范围才能获得对服务的访问权限。
⼀种名为匿名凭证(Anonymous Credential, AC)的解决⽅案可以帮助⽤户摆脱这种情况。匿名凭证是由凭证发⾏⽅提供的包含⽤户信息的特殊凭证,它⽤来传输声明信息,但不实际包含声明数据的明⽂或密⽂版本,⽽是提供有关声明结果的密码学验证⽅法。匿名凭证的典型例⼦是在不揭⽰实际出⽣⽇期信息的情况下,出⽰有关年龄情况的证明(如“21岁以上”)。AC 的⼀⼤优势是服务提供商⽆法获得包含数据的完整凭证,也⽆法复⽤它来模拟另⼀个⽤户。AC 提供匿名性,这意味着其他⼈可以看到具有授权属性的⽤户进⾏操作但⽆法识别该⽤户是谁。
匿名凭证适⽤于基于属性的访问控制(Attribute-Bad Access Control,ABAC)办法 —— 根据对象的属性、环境条件,以及根据这些属性和条件制定的⼀组策略,对对象执⾏操作的请求进⾏授予或拒绝,
ABAC 控制模式可以很好地⽀持开放环境下动态、灵活的访问策略。
4后记grub
spanglish⽹络安全和信息化是⼀体之两翼,驱动之双轮,没有⽹络安全就没有国家安全,没有⽹络信息化就没有现代化。象链科技愿意与各界⼈⼠⼀同推进⽹络安全和信息化的进程,更好地促进数字经济的发展,适应⼈们越来越丰富的数字⽣活。
- END-
关于象链科技社交网络下载
象链科技(上海)有限公司,是⼀家快速成长的区块链领先企业,⼀直以“区块链技术服务民⽣”为理念,致⼒于区块链基础研究和应⽤研发,为⼈⼯智能、智慧城市、智慧政务、民⽣服务的发展助⼒。象链科技的愿景是打造区块链+⼈⼯智能数字经济新⽣态,拥有⾸个融合ABCD(A-AI B-Blockchain C-Cloud D-BigData)产业的⾼性能⾃主研发公链底层兼容联盟链平台EleChain。
negatively>reprented