互聯網時代，我們越來越多的在網絡上與各種應用程序、設備、服務機構進行交互，但是其中交互的數據經常被洩露，尤其是個人數字身份信息。随着數字經濟改革的深入，數字身份已經成為了當今時代的重要基礎設施。

本期将從數字身份的含義、演進曆史展開，在對比傳統數字身份與分布式數字身份的不同之處後，提出一個開放、可信、可交互的分布式身份認證系統方案。

随着互聯網的出現，紙質材料逐漸轉變為電子信息，傳統的身份也有了另一種表現形式即數字身份。數字身份是互聯網中用戶身份的标識，用于向相關人員、單位、機構提供身份所有者的社會身份信息及相關行為數據。在數字經濟時代，數字身份不僅能指代人、還能指代物。

數字身份的演進一共經曆了四個階段，分别是：中心化身份、聯盟身份、以用戶為中心的身份以及去中心化身份。

中心化身份：由單一的中心機構進行管理和控制；

聯盟身份：由多個機構或者聯盟進行管理和控制，用戶的身份數據有一定程度的可共享、可移植性，例如QQ、微信的跨平台登錄；

以用戶為中心的身份：身份服務節點需要通過用戶的授權和許可才能進行身份數據的共享，例如OpenID；

去中心化身份：身份信息由用戶完全擁有和控制。

傳統的數字身份主要表現形式為中心化身份，由于其容易出現身份信息洩露、信任成本高等問題，已經不适合現階段數字經濟的發展要求。具體問題如下：

（1）身份數據存在于各個機構，用戶需重複注冊認證，而且各個機構數據難以共享；

（2）身份數據容易被他人盜取利用，造成用戶隐私洩露；

（3）傳統中心化身份認證模式信任成本高，由于為單一服務機構，容易出現節點失效問題；

（4）傳統的數字身份無法覆蓋所有人，根據統計，全球約有11億人沒有個人身份證明，他們無法擁有醫療、教育、保險等權利。

相對于傳統的基于PKI（公鑰基礎設施）的數字身份，基于區塊鍊技術建立的分布式數字身份認證系統具有數據可共享、用戶數據可信、用戶隐私安全、可移植、難以失效等特征。

分布式身份認證系統利用區塊鍊賬本的不可篡改性，并結合密碼學算法，将用戶的身份數據加密上鍊，用戶通過掌握個人身份私鑰進行身份信息的可信授權。

在現實生活中，用戶經常會向大量的應用程序、設備、服務機構授予身份信息許可，在這個過程中，用戶需要時刻關注自身的身份信息的流向以确保身份數據的安全性。通過基于區塊鍊技術的分布式身份認證系統可以為用戶帶來更隐私、更安全、更便捷的體驗，讓用戶能夠對自身的身份數據有足夠的控制權。

目前大多數分布式身份認證系統是基于W3C分布式身份标識協議（DID），使用區塊鍊網絡和密碼學技術建立的身份框架，可以幫助用戶保護自身信息數據的隐私與安全，具有去中心化、隐私保護、自主管理等特點。

數秦研究院将分布式身份認證系統技術棧分為自上而下的四層結構，第一層是網絡協議，第二層為區塊鍊網絡，第三層為DID協議，第四層為應用程序。第二層結構通過使用區塊鍊技術可以讓用戶的身份信息更加可信，并應用密碼學算法保護用戶信息隐私和數據安全；第三層結構包含基礎層的DID标識符、JSON文檔、應用層的可驗證聲明（VC）、DNS、去中心化存儲數據庫方案；第四層主要包含分布式身份管理應用程序。

DID标識符

分布式身份認證系統的用戶标識符（DID）是由算法所生成，分布式身份認證系統利用數字簽名技術來實現用戶對于自身DID的管理權。生成DID的同時，會生成與DID綁定的一對公私密鑰，DID與公鑰、用戶身份信息将會加密存儲在去中心化加密存儲數據庫中，DID與公鑰生成的哈希值上傳到區塊鍊網絡上進行存證，用于保證該身份可信，私鑰則由用戶保管。

可驗證聲明

分布式身份認證系統應用層的可驗證聲明（VC）與用戶的真實身份信息相關聯，用來證明用戶的身份。該聲明可以被任何實體驗證，它由聲明元數據、聲明事實及聲明者的簽名組成，其中聲明事實可以是任何數據。VC的生命周期由發行者、驗證者、擁有者進行管理。

• 發行者：擁有用戶數據并能簽發VC的實體，如學校、銀行、政府等機構和組織；

• 擁有者：持有可驗證聲明的用戶或機構。擁有者可以自主決定身份信息向誰公開，并可以選擇公開的内容；

• 驗證者：需要驗證用戶身份的應用或機構，驗證者不需要與身份擁有者直接交互，隻需要根據擁有者的身份ID從分布式身份認證系統中獲取其公鑰信息即可認證身份是否可信。

去中心化加密存儲數據庫

去中心化加密存儲數據庫用于存儲用戶重要的數據。衆所周知，互聯網巨頭都是通過中心化存儲控制用戶的數據，這些數據會發生洩露等問題，而分布式身份認證系統的各個環節的數據使用都需要經過用戶的許可，所以中心化存儲方案無法滿足分布式身份認證系統的需要。

同時由于區塊鍊賬本無法支撐海量的數據存儲，因此數秦研究院提出了“去中心化加密存儲數據庫”解決方案，該存儲數據庫采用數據分片、數據加密等技術将用戶數據分塊，由不同的分布式存儲服務器存儲一部分數據塊，分布式存儲服務器将數據哈希上傳到區塊鍊網絡進行存證，大大加強了用戶數據的安全性與可信性。

管理應用程序

分布式身份管理應用程序用于創建用戶的DID身份标識、管理數據和權限以及數據存儲的方式。

通過應用上述技術，分布式身份認證系統在運行過程中較難受到外部因素的影響，其優點如下：

1、分布式身份認證系統不會像中心化身份認證系統一樣容易受到單節點故障和斷網的影響。在分布式身份認證系統中，如果一個節點掉線，剩餘節點仍然可以進行信息交互、身份驗證。

2、在分布式身份認證系統中，身份信息具有獨立的存儲空間，用戶數據在分布式區域存儲，不予傳輸到公共區塊鍊上，避免了用戶信息的洩露。

3、分布式身份認證系統将用戶的身份數據進行加密，轉為哈希值存儲在分布式數據庫上，并通過區塊鍊網絡建立有效的監督機制和共識機制，一旦惡意節點想要通過攻擊等手段盜取用戶信息，其行為馬上會被多個驗證方進行阻止并懲罰。

分布式身份認證系統中結合軟硬件和多種密碼學技術來保護用戶身份數據隐私：

（1）安全多方計算

安全多方計算（Secure Muti-party Computation，簡稱 MPC）允許多個數據所有者在互不信任的情況下進行協同計算，輸出計算結果，并保證任何一方均無法得到除應得的計算結果之外的其他任何信息。簡而言之，MPC 可以獲取數據使用價值，卻不洩露原始數據内容。

安全多方計算的特點包括輸入隐私性、計算正确性及去中心化。

（2）零知識證明

零知識證明(Zero—Knowledge Proof)指的是證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正确的。

在分布式身份認證系統解決方案中，零知識證明可以結合可驗證聲明VC為驗證者提供用戶身份的驗證，在驗證過程中分布式身份認證系統僅提供驗證結果，不會提供詳細用戶信息，保證了用戶的隐私。

（3）可信執行環境

可信執行環境（Trusted Execution Environment，TEE）是一個由處理器直接管理的隔離區域，在可信執行環境中運行的代碼将完全隔離于系統。将TEE引入分布式身份認證系統，可以将用戶的私鑰與信息加載在TEE中，所有的身份授權與簽名的過程都将在TEE裡執行，使得身份信息處于保護狀态。

（4）分布式密鑰管理

分布式身份認證系統解決方案中内置了分布式密鑰管理系統 ( Distributed key manage system) ，該系統具有良好的密鑰容錯性和安全性,可以提供密鑰管理、密鑰分布式存儲、代理重加密 (Proxy re-encryption)等服務。

分布式身份認證系統應在在安全性、可控性、兼容性三個維度定義相關準則。

• 安全性

用戶的身份信息必須得到充分的保護，用戶身份信息暴露程度限制在身份可信前提的最低水平；

• 可控性

用戶可自主決定身份信息的注冊、删除、注銷；用戶可以自主選擇個人信息是否公開；任何機構使用、存儲用戶的信息時，必須得到用戶的授權許可；

• 兼容性

分布式身份認證系統中的各類協議的實現都兼容國内外的主要協議标準和體系

随着數字經濟的發展，分布式身份認證可以更好的幫助用戶和機構進行KYC和監管，促進跨部門、跨地域的身份認證和數據合作，同時随着聯盟鍊、跨鍊技術、區塊鍊應用的發展，分布式身份認證可以為此形成可信安全的身份信息互通體系，促進區塊鍊生态的建設與發展。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!