数字身份的一些应用和方案
當(dāng)前身份處理的項(xiàng)目:
1.eID
eID類似于身份證號(hào),每個(gè)人綁定一個(gè)eID。比如住酒店,我們只需要向酒店提供這個(gè)eID,酒店負(fù)責(zé)登記信息的應(yīng)用向連接“公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”的服務(wù)機(jī)構(gòu)發(fā)出請(qǐng)求,公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)會(huì)回應(yīng)這個(gè)人有沒(méi)有資格入住酒店,比如他是個(gè)逃犯就不能入住。同時(shí),公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)會(huì)向酒店登記信息應(yīng)用發(fā)送一個(gè)網(wǎng)絡(luò)身份應(yīng)用標(biāo)識(shí),這個(gè)標(biāo)識(shí)代表這個(gè)人在這個(gè)應(yīng)用系統(tǒng)里面的ID,用于酒店管理和統(tǒng)計(jì)等,比如酒店可以給這個(gè)ID辦會(huì)員卡。這樣一來(lái),酒店知道的就是我們的酒店ID和我們有沒(méi)有資格入住這兩個(gè)信息,完全拿不到我們的個(gè)人數(shù)據(jù)。同時(shí),你登錄其它網(wǎng)站,會(huì)得到另外一個(gè)網(wǎng)絡(luò)身份應(yīng)用標(biāo)識(shí),不同的應(yīng)用得到的應(yīng)用標(biāo)識(shí)不一樣,每個(gè)應(yīng)用都通過(guò)專屬的網(wǎng)絡(luò)身份應(yīng)用標(biāo)識(shí)來(lái)管理他們的用戶。這樣一來(lái),當(dāng)你登錄淘寶的時(shí)候,淘寶只能知道你的網(wǎng)絡(luò)身份淘寶ID,然后再登錄百度的時(shí)候,百度想通過(guò)你的網(wǎng)絡(luò)身份百度ID向你推送廣告是不可能的,因?yàn)樗静恢滥憔W(wǎng)絡(luò)身份百度ID對(duì)應(yīng)的是哪個(gè)網(wǎng)絡(luò)身份淘寶ID,避免了大數(shù)據(jù)殺熟。應(yīng)用到區(qū)塊鏈去中心化身份里,就是每個(gè)人一個(gè)DID.避免了我們的身份數(shù)據(jù)被聯(lián)系起來(lái)。
eID同樣支持簽名,芯片內(nèi)部設(shè)置了公私鑰,簽名時(shí)輸入密碼或錄入指紋就可使用私鑰進(jìn)行簽名,因?yàn)榭赡苁撬送当I了你的手機(jī),所以在使用公私鑰簽名之前需要加上密碼或者指紋這么一層措施。
如果我制作了一個(gè)應(yīng)用,如何使用eID呢?見接入流程
數(shù)據(jù)只有流動(dòng)才會(huì)產(chǎn)生價(jià)值!,但是數(shù)據(jù)流需要管控!
eID雖然把用戶在不同應(yīng)用下的數(shù)據(jù)隔離了開來(lái),但也形成了數(shù)據(jù)孤島。這樣大數(shù)據(jù)企業(yè)就沒(méi)法搞了,我們的數(shù)據(jù)也就難以產(chǎn)生價(jià)值了。后來(lái)eID推出了eID數(shù)據(jù)身份鏈,有效解決了這個(gè)問(wèn)題。
eID數(shù)據(jù)身份鏈的作用是,在依法依規(guī)保護(hù)個(gè)人用戶數(shù)據(jù)權(quán)利的前提下,助力開放數(shù)據(jù)資源,有效激活數(shù)據(jù)價(jià)值。數(shù)據(jù)需求方節(jié)點(diǎn)可以在獲得用戶eID簽名授權(quán)后直接得到服務(wù)節(jié)點(diǎn)提供的數(shù)據(jù)。
我對(duì)這個(gè)圖的理解:
底層:eID管理中心給不同的應(yīng)用比如淘寶、qq、微博頒發(fā)了不同的應(yīng)用ID。
第二層:用戶使用淘寶、qq、微博產(chǎn)生的數(shù)據(jù)分別存放在淘寶、qq、微博的數(shù)據(jù)庫(kù)中。
第三層:淘寶可以申請(qǐng)獲取原始數(shù)據(jù),數(shù)據(jù)來(lái)源不止局限于淘寶的數(shù)據(jù)庫(kù),如果有授權(quán)的話還可以從QQ上拿,但是得向用戶本人申請(qǐng)。
第四層:用戶登錄淘寶app,就會(huì)使用它的eID,會(huì)從eID管理中心那里獲取淘寶的appID。通過(guò)淘寶的appID獲取第三層淘寶服務(wù)器上的數(shù)據(jù),也可以獲取再訪問(wèn)此eID對(duì)應(yīng)的qq的appID來(lái)獲取qq服務(wù)器上的數(shù)據(jù)。這個(gè)時(shí)候相當(dāng)于淘寶可以訪問(wèn)QQ了,實(shí)現(xiàn)互操作性。
區(qū)塊鏈部分:數(shù)據(jù)索引上鏈,用戶授權(quán)獲取信息后,在區(qū)塊鏈上進(jìn)行授權(quán)記錄存證,第三方通過(guò)存證來(lái)訪問(wèn)數(shù)據(jù)。
eID我認(rèn)為存在的問(wèn)題:
- 網(wǎng)站只能得到一個(gè)應(yīng)用標(biāo)識(shí),說(shuō)明鑒權(quán)通過(guò)了,但是它是怎么鑒權(quán)的呢,比如他如何鑒定當(dāng)前用戶的年齡大于18歲?整個(gè)鑒定的流程是怎么樣的,支不支持這種驗(yàn)證方式,還是后臺(tái)直接把身份證交給了網(wǎng)站?
- eID的如果要全國(guó)通用,那么它的驗(yàn)證系統(tǒng)每日需要處理非常大的訪問(wèn)量,需要要足夠穩(wěn)健強(qiáng)大,而且是一個(gè)中心化的設(shè)施,容易造成單點(diǎn)故障。
- eID目前第三方網(wǎng)站接入的積極性不高,誰(shuí)會(huì)愿意放棄對(duì)用戶信息的控制?所以只有政府等網(wǎng)站使用率較高。
- 支付寶有自己的一套身份驗(yàn)證系統(tǒng),并沒(méi)有使用eID,它是如何實(shí)現(xiàn)的?
- 在國(guó)際上,大量的難民甚至沒(méi)有身份證,這時(shí)候eID解決不了。
- 以上可參考:eID在我國(guó)應(yīng)用并不廣泛,尚未達(dá)到設(shè)計(jì)預(yù)期
和eID存在直接競(jìng)爭(zhēng)關(guān)系的是CTID,CTID是公安部第一研究生頒發(fā)的,eID是公安部第三研究生頒發(fā)的,eID需要一個(gè)硬件芯片,手機(jī)上想使用eID得裝上芯片(現(xiàn)在很多手機(jī)都內(nèi)置了,詳見eID官網(wǎng))。目前可以在華為錢包等使用。
CTID不需要硬件,只是單純一個(gè)軟件。因此目前好像比較流行一些,已經(jīng)內(nèi)置在微信、支付寶里邊。
2.DID
用戶DID不是由單一機(jī)構(gòu)賦予的,而是根據(jù)確定的算法(DID Spec)生成,同時(shí)還會(huì)生成一對(duì)秘鑰(公鑰和私鑰),其中公鑰與DID綁定在分布式存儲(chǔ)(IPFS)上,私鑰則保存在用戶的設(shè)備(比如手機(jī))。
與DID相關(guān)的個(gè)人數(shù)據(jù)不上鏈,而是加密存儲(chǔ)在發(fā)證方,用發(fā)證方頒發(fā)的聲明來(lái)證明用戶的隱私屬性(比如姓名、年齡、職業(yè)、郵箱地址等),但需經(jīng)用戶授權(quán)才能讀取。這是與中心化數(shù)字身份的區(qū)別。
DID的隱私保護(hù)方案有:
一個(gè)人可以創(chuàng)建多個(gè)DID、私有數(shù)據(jù)不上鏈、選擇性披露、零知識(shí)證明。
問(wèn)題:
DID 技術(shù)棧的優(yōu)勢(shì)在于治理結(jié)構(gòu)、獨(dú)立的存儲(chǔ)空間、不易受到網(wǎng)絡(luò)故障的影響等7個(gè)優(yōu)點(diǎn),但也存在私鑰可丟失風(fēng)險(xiǎn)、可拓展性受限、TPS不足、用戶可接受性差等缺陷。
3.百度智能云CloudDID
CloudDID 是百度智能云于 2019 年 11 月推出的一款智能小程序,其核心是基于企業(yè)區(qū)塊鏈平臺(tái)天鏈的可信數(shù)字身份解決方案,為企業(yè) / 用戶提供數(shù)字身份服務(wù)。百度 CloudDID 的項(xiàng)目運(yùn)行原理與微軟 DID 項(xiàng)目基本一樣。
4.uPort
uPort 是 ConsenSys 建立在以太坊區(qū)塊鏈上的身份管理應(yīng)用,基本符合 W3C 制定的關(guān)于 DID 的標(biāo)準(zhǔn)。屬于用戶的代理,即 Holder 角色,會(huì)幫助用戶去進(jìn)行可驗(yàn)證聲明 VC 的申請(qǐng)、儲(chǔ)存和授權(quán),以及 DID 在區(qū)塊鏈上的注冊(cè)。總之也是DID的一種實(shí)現(xiàn)。
5.井證 J_DID
井證有兩個(gè)產(chǎn)品:
第一個(gè)產(chǎn)品Jpassword是一個(gè)密碼管理軟件,用于用于保存用戶名、密碼、私鑰和其他個(gè)人隱私數(shù)據(jù);可以把個(gè)人的qq、微信、微博等賬號(hào)密碼交給它管理。
第二個(gè)產(chǎn)品J-DID,也是DID的一種實(shí)現(xiàn)。用戶的J-DID和私鑰存儲(chǔ)在SIM卡安全芯片,類似于eID。與DID相關(guān)的隱私數(shù)據(jù)保存在IPFS分布式存儲(chǔ)平臺(tái)。用戶的數(shù)據(jù)由自己控制,為未來(lái)的數(shù)據(jù)確權(quán)和交易奠定基礎(chǔ)。
6.HyperLedger Indy
IBM 與 HyperLedger 共同發(fā)起的 HyperLedger Indy 項(xiàng)目 Soverin 是企業(yè)級(jí)方案的先行者,對(duì)企業(yè)需要立刻部署基于開源技術(shù)的 DID 具有優(yōu)勢(shì)。打造了一個(gè)專門的區(qū)塊鏈負(fù)責(zé)處理身份信息。
7.OAUTH協(xié)議、OpenID等。(我覺(jué)得類似聯(lián)盟身份)
聯(lián)盟身份是有一個(gè)身份提供商,用戶在這個(gè)身份提供商注冊(cè)身份,這個(gè)身份可以在聯(lián)盟中的其它企業(yè)進(jìn)行登錄,登錄時(shí)其它企業(yè)會(huì)訪問(wèn)這個(gè)身份提供商確認(rèn)身份信息。
OAUTH協(xié)議解決的是第三方登錄的問(wèn)題,比如想要使用CSDN提供的服務(wù),但又不想重新注冊(cè)一個(gè)CSDN賬號(hào)。想使用QQ的賬號(hào)進(jìn)行登錄,這樣你就不用記住兩個(gè)賬號(hào)和密碼了。這種方式需要做到不能讓CSDN知道你的QQ密碼,不然CSDN就可以登錄你的qq修改你的數(shù)據(jù)了。
想要達(dá)成這個(gè)做法,需要QQ使用OAUTH協(xié)議,開放相關(guān)接口進(jìn)行支持。
CSDN只需你的部分QQ數(shù)據(jù),因此需要你本人的授權(quán),授權(quán)讓CSDN去QQ服務(wù)器訪問(wèn)你的QQ的部分?jǐn)?shù)據(jù)。一般來(lái)說(shuō)是在CSDN登錄界面點(diǎn)擊使用QQ登錄,然后就會(huì)跳到QQ的某一個(gè)頁(yè)面上,在這個(gè)頁(yè)面上你輸入用戶密碼登錄QQ,并點(diǎn)擊授權(quán),這樣CSDN就會(huì)通過(guò)提前放置的回調(diào)地址就可以獲取授權(quán)碼,通過(guò)這個(gè)授權(quán)碼就可以訪問(wèn)QQ服務(wù)器上你的部分QQ數(shù)據(jù)了。
詳見:
你能聽懂的 OAuth2 協(xié)議簡(jiǎn)介
理解OAuth 2.0
缺點(diǎn):
容易形成身份信息寡頭壟斷的格局!這種情況下,QQ這種大的服務(wù)商掌握著你的所有數(shù)據(jù)。第三方其實(shí)也掌控著你的部分?jǐn)?shù)據(jù),他們可能會(huì)泄露你的數(shù)據(jù)。用戶并沒(méi)有掌控自己的數(shù)據(jù)。
一旦QQ服務(wù)器的數(shù)據(jù)被刪了,那么你使用的所有第三方的數(shù)據(jù)全都沒(méi)了。
8.Microsoft DID:ION(Identity Overlay Network)
2019年5月13日,微軟發(fā)布了其 DID 的實(shí)現(xiàn)——ION(Identity Overlay Network)。ION 是一個(gè)基于比特幣的雙層網(wǎng)絡(luò),通過(guò) Sidetree 協(xié)議訪問(wèn)比特幣網(wǎng)絡(luò)。ION 通過(guò)在第二層網(wǎng)絡(luò)進(jìn)行批量合并的方式,將大量 DID 操作合并成一個(gè)上鏈操作,并通過(guò)將數(shù)據(jù)存于 IPFS,而通過(guò)將數(shù)據(jù)的哈希存在比特幣網(wǎng)絡(luò)上的方式,從而實(shí)現(xiàn) DID 數(shù)據(jù)的可信存儲(chǔ)。ION 規(guī)避了比特幣網(wǎng)絡(luò)的性能問(wèn)題,可以支持每秒數(shù)千甚至數(shù)萬(wàn)的數(shù)據(jù)吞吐量。
9.Civic
Civic和shoCard類似。首先用戶注冊(cè)時(shí)需要掃描身份證、進(jìn)行人臉識(shí)別、填寫身份信息等把數(shù)據(jù)保存在手機(jī)中,并且把每項(xiàng)數(shù)據(jù)的哈希值使用自己的私鑰簽名進(jìn)行上鏈。
Civic目標(biāo)在于對(duì)于需要通過(guò)身份認(rèn)證才能提供服務(wù)的企業(yè),他們依靠 Civic 系統(tǒng)能更加有效以及低成本的完成用戶的身份認(rèn)證,同時(shí)能起到防偽的作用來(lái)提升服務(wù)質(zhì)量。用戶在 Civic 系統(tǒng)內(nèi)能掌控自己的身份信息所有權(quán),并且在生態(tài)系統(tǒng)內(nèi)能便捷地享受完成身份認(rèn)證后的各種服務(wù)。
因?yàn)閿?shù)據(jù)已經(jīng)保存在手機(jī)上,每次進(jìn)行身份認(rèn)證的時(shí)候就不需要填寫身份信息了。也不需要注冊(cè),直接拿手機(jī)上現(xiàn)有的數(shù)據(jù)進(jìn)行登錄。
Civic在驗(yàn)證身份信息時(shí),有一個(gè)Validator的角色,相當(dāng)于可信第三方,用戶在使用服務(wù)機(jī)構(gòu)比如銀行的服務(wù)時(shí),把數(shù)據(jù)交給Validator來(lái)進(jìn)行驗(yàn)證,Validator負(fù)責(zé)對(duì)數(shù)據(jù)取哈希并和區(qū)塊鏈上的hash進(jìn)行比對(duì),并把驗(yàn)證結(jié)果告知銀行和用戶。這樣銀行并不會(huì)拿到個(gè)人數(shù)據(jù)。
缺點(diǎn):取決于中心化機(jī)構(gòu)Validator的可信性和安全性。
10.ShoCard
shoCard比較無(wú)腦,直接把數(shù)據(jù)給第三方?
按照我的理解:是的!
shoCard是一個(gè)系統(tǒng),在安卓和蘋果上都有自己的shoCard app。
用戶第一次下載使用shoCard app時(shí),會(huì)生成一個(gè)shoCard ID.
shoCard把數(shù)據(jù)存放在終端上,比如手機(jī),通過(guò)掃描你的身份證,得到你的身份證數(shù)據(jù),然后取哈希值,使用自己的公鑰對(duì)哈希值進(jìn)行簽名。然后放到區(qū)塊鏈上。
第三方驗(yàn)證身份信息真實(shí)性的時(shí)候,第三方比如機(jī)場(chǎng)通過(guò)掃描你手機(jī)上ShoCard應(yīng)用顯示的二維碼。由于你的身份數(shù)據(jù)都在手機(jī)上,然后機(jī)場(chǎng)就得到了你的身份數(shù)據(jù),通過(guò)對(duì)你的數(shù)據(jù)進(jìn)行取哈希,再使用你的公鑰解密上面對(duì)應(yīng)shoCard ID對(duì)應(yīng)的哈希,一致的話身份驗(yàn)證通過(guò)。這種搞法的話相當(dāng)于把數(shù)據(jù)給了機(jī)場(chǎng)。
但是之后,機(jī)場(chǎng)就可以給這個(gè)shoCard ID頒發(fā)一個(gè)證書,并加密上鏈。等到下一個(gè)第三方機(jī)構(gòu)進(jìn)行身份驗(yàn)證時(shí),可以通過(guò)這個(gè)證書進(jìn)行身份驗(yàn)證,就無(wú)需再給自己的身份信息了,因?yàn)檫@個(gè)證書有權(quán)威部門進(jìn)行驗(yàn)證過(guò)了。**這個(gè)方案的目標(biāo)是解決了重復(fù)KYC問(wèn)題。**好處是可以不需要可信第三方(我理解為用戶收集到足夠的證書后,可信值就會(huì)上升,畢竟這個(gè)證書你不信,可以使用另外一個(gè)機(jī)構(gòu)頒發(fā)的證書),生態(tài)逐漸完善后就比較健壯。
shoCard優(yōu)勢(shì):
一是可以不用注冊(cè)賬號(hào),第三方可以不用搭建用戶密碼數(shù)據(jù)庫(kù)(但是如果需要用戶信息的話為什么不存起來(lái)呢?)第三方不搭密碼數(shù)據(jù)庫(kù)的話就不用擔(dān)心被黑客攻擊,如果每個(gè)第三方都有自己的密碼數(shù)據(jù)庫(kù),用戶如果使用相同密碼,那某個(gè)第三方的數(shù)據(jù)庫(kù)被攻擊了之后,多個(gè)網(wǎng)站上的數(shù)據(jù)就會(huì)收到威脅,而且重置密碼也很麻煩。不用搭密碼數(shù)據(jù)庫(kù)帶來(lái)的優(yōu)勢(shì)很大。
這種方式簡(jiǎn)單來(lái)說(shuō)就是把所有第三方的數(shù)據(jù)庫(kù)都使用同一個(gè)區(qū)塊鏈代替了!
二是shocard直接使用數(shù)字身份進(jìn)行登錄,不需要注冊(cè)賬號(hào)。
三是第三方只掌握我們的部分?jǐn)?shù)據(jù)
缺陷:還是存在信息泄露的風(fēng)險(xiǎn)。使用同一身份登錄各種第三方軟件,大數(shù)據(jù)有機(jī)會(huì)從各種第三方手上收集個(gè)人數(shù)據(jù)畫像。可以向eID那樣為每個(gè)應(yīng)用搞一個(gè)專屬用戶ID。
11.劍橋區(qū)塊鏈(Cambridge Blockchain)
用戶自己制作VC,由發(fā)證部門(權(quán)威機(jī)構(gòu))進(jìn)行背書,并加密后返回給用戶,用戶交給第三方(服務(wù)提供商)。整個(gè)操作過(guò)程上鏈。但是數(shù)據(jù)用戶數(shù)據(jù)不上鏈。
12.TEE可信執(zhí)行環(huán)境
可用來(lái)保存處理私鑰信息或者身份信息。金融支付等。
總結(jié)
以上是生活随笔為你收集整理的数字身份的一些应用和方案的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Hyperledger Indy 理解
- 下一篇: 关于去中心化身份的一点思考