技术篇|分布式数据身份Ele-DID

随着 WEB2.0 的发展，BAT 等平台商发展壮大，微信及支付宝用户体量规模巨大，阿里和腾讯积累了大量的用户身份信息。由于互联网获客成本越来越高，很多小微企业和商户在互联网上提供服务时，倾向通过联盟身份方式，获得微信或支付宝提供的用户身份信息访问接口。长期以往，根据马太效应，互联网巨头企业的用户数据规模巨大，伴随数据垄断性将带来很大的蜜罐数据风险。

为了使身份真正具有自主权，数字身份基础设施需置于分布式环境中，而不是属于单一组织或联盟组织控制的中心化环境。

象链科技分布式身份系统（Ele-DID）在分布式存储技术上进行升级和优化，使多个机构、组织和政府能够共享身份数据，同时抵御故障和篡改。象链科技分布式身份系统（Ele-DID）在分布式账本的技术背景下，在安全性和匿名性方面进行了深度研究和优化，并融合了EleChain的公钥基础设施和匿名凭证技术相结合。

1数字身份的表示和采集

国际电子技术委员会将“身份”定义为“一组与实体关联的属性”。数字身份通常由身份标识符及与之关联的属性声明来表示，分布式数字身份包括：分布式数字身份标识符和数字身份凭证（声明集合）两部分。

1.1 分布式数字身份标识符（Decentralized ID）

分布式数字身份标识符（DID）是由字符串组成的标识符，用来代表一个数字身份，不需要中央注册机构就可以实现全球唯一性。通常，一个实体可以拥有多个身份，每个身份被分配唯一的 DID 值，以及与之关联的非对称密钥。不同的身份之间没有关联信息，从而有效地避免了所有者身份信息的归集。

1.2 可验证声明（Verified Claims）

“声明（claims）”是指与身份关联的属性信息，这个术语起源于基于声明的数字身份，一种断言（assert）数字身份的方式，独立于任何需要依赖它的特定系统。声明信息通常包括：诸如姓名，电子邮件地址、年龄、职业等。

声明可以是一个身份所有者（如个人或组织）自己发出的，也可以是由其他声明发行人发出的，当声明由发行人签出时被称为可验证声明。用户将声明提交给相关的应用，应用程序对其进行检查，应用服务商可以像信任发行人般信任其签署的可验证声明。多项声明的集合称为凭证（credentials）。

2可验证身份模型

数字身份管理的主要目的是使身份所有者能够方便地获得声明并使用声明，以证明其身份属性，声明管理是数字身份体系的主要内容。

可验证声明由身份背书方（声明发行方）根据身份所有人请求进行签署发布，身份所有者将可验证声明以加密方式保存，并在需要的时候自主提交给身份依赖方（声明验证方）进行验证；身份依赖方（声明验证方）在无需对接身份背书方的情况下，通过检索身份注册表，即可确认声明与提交者之间的所属关系，并验证身份持有人属性声明的真实来源。

对比传统的身份认证方式——身份依赖方采集用户信息，通过安全信道将其传输给身份认证方进行认证的做法，可验证声明模型下，身份认证方不需要关注、信任和对接身份依赖方系统，只需要为身份请求者核准和签发真实性声明文件，身份依赖方则在无需对接不同认证方的情况下也能够实现对多样化用户身份信息的访问及信息真实性的验证。

在数字身份的应用中，将身份标识符的生成、维护，与身份属性声明的生成 / 存储 / 使用分离开来，有助于构建一个模块化的、灵活的、具有竞争力的身份服务生态系统。

3Ele-DID分布式数字身份的技术特点

如开篇所讲，今天任何实体在互联网上的数字身份的控制权其实是在第三方手中，不论是电子邮件地址、用户名、数字证书都是我们通过向服务提供商、CA 中心以及社交网络“租借”的，这导致整个互联网范围内出现了严重的可用性和安全性问题。

为了将数字身份的控制权返还给所有者实体，需要一套支持身份所有者进行无需许可、创建自举加密数字身份的机制，Ele-DID所做的就是将数字身份基础设施置于分布式环境中。

分布式数字身份解决了以下问题：

数字身份标识符的自主控制与管理

基于非对称密钥的点对点认证及安全信息交互

提供密码学应用的用户友好性

3.1 基于 DPKI 的分布式密钥管理与使用

目前，基于 DNS 和 X.509 PKIX 的互联网身份管理系统中存在一些安全和可用性问题，这些问题的根源在于系统的中心化。中心化设计阻碍了身份所有者本人控制代表他们身份的身份标识符，从而使第三方有危害其身份安全的可能性。为了解决这一问题，我们需要构建分布式公钥基础设施，明确分布式密钥管理办法。

分布式密钥管理可以通过为实体提供分布式数字身份钱包应用来实现，身份钱包支持使用者自行创建身份，进行身份密（私）钥的维护和控制密钥使用；同时通过不可篡改的分布式账本来登记和发布所有者身份标识符及关联的验证公钥信息。基于此设计的 DPKI 即使在资源受限的移动设备上也能正常工作，并且能够通过提供私钥保护实现对用户身份标识符的完整性保全。

3.2 基于DPKI的点对点认证及安全通讯

实现基于 DPKI 的点对点认证及安全通讯的目的是为用户和数据提供安全、保密的点对点信任关系。一个安全的点对点通信系统需要满足以下三项基本要求。

机密性 -确保点对点网络中的数据不被未授权者访问。

完整性 -确保发送的数据是由授权的对等节点发出，数据不能被未授权者伪造或修改。

可用性 –确保授权的对等节点能正常使用网络资源，而未授权者无法使用。

就两点间通讯而言，其安全通讯的工作原理依然是基于传统 PKI 挑战响应机制和协商数据加密方式；就全网所有节点而言，通过部署在去中心化服务器及个人客户端的身份密钥钱包，以及全网共享的 DID 分布式账本，代表任意不同实体身份的节点之间都可以实现基于非对称密钥方式的认证交互，并最终通过这种实体间的信任传递实现全网信任。

3.3 基于零知识证明的匿名凭证的研究与实现

传统的访问控制方式是基于用户向服务提供者出示自己的身份信息，然后由服务提供者判断用户是否可以使用该服务。这种基于身份的访问控制不是匿名方式的，用户需要披露的信息往往远超过必要范围才能获得对服务的访问权限。

一种名为匿名凭证（Anonymous Credential, AC）的解决方案可以帮助用户摆脱这种情况。匿名凭证是由凭证发行方提供的包含用户信息的特殊凭证，它用来传输声明信息，但不实际包含声明数据的明文或密文版本，而是提供有关声明结果的密码学验证方法。匿名凭证的典型例子是在不揭示实际出生日期信息的情况下，出示有关年龄情况的证明（如“21 岁以上”）。AC 的一大优势是服务提供商无法获得包含数据的完整凭证，也无法复用它来模拟另一个用户。AC 提供匿名性，这意味着其他人可以看到具有授权属性的用户进行操作但无法识别该用户是谁。

匿名凭证适用于基于属性的访问控制（Attribute-Based Access Control,ABAC）办法 —— 根据对象的属性、环境条件，以及根据这些属性和条件制定的一组策略，对对象执行操作的请求进行授予或拒绝，ABAC 控制模式可以很好地支持开放环境下动态、灵活的访问策略。

4后记

网络安全和信息化是一体之两翼，驱动之双轮，没有网络安全就没有国家安全，没有网络信息化就没有现代化。象链科技愿意与各界人士一同推进网络安全和信息化的进程，更好地促进数字经济的发展，适应人们越来越丰富的数字生活。

- END-

关于象链科技

象链科技（上海）有限公司，是一家快速成长的区块链领先企业，一直以“区块链技术 服务民生”为理念，致力于区块链基础研究和应用研发，为人工智能、智慧城市、智慧政务、民生服务的发展助力。象链科技的愿景是打造区块链+人工智能数字经济新生态，拥有首个融合ABCD（A-AI B-Blockchain C-Cloud D-BigData）产业的高性能自主研发公链底层兼容联盟链平台EleChain。

—-

编译者/作者：象链科技

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。