去中心化身份系统:架构、挑战、解决方案和未来方向
摘要
由于互联网在过去二十年中的指数级增长,数字存在已经看到了巨大的增长。今天,数十亿人、设备和物体通过数字连接,使得互动比以前更容易。为了在数字时代安全地建立这种连接,数字身份的证明变得至关重要。因此,越来越多的组织正在构建建立、验证和管理数字身份的解决方案。然而,有效管理数字身份及其相关数据的解决方案仍远未实现。为了充分了解这一不足背后的原因,本文详细介绍了与身份管理系统相关的最新进展,概述了传统的系统,分析了它们的优点和局限性,重点研究了基于区块链的新型去中心化身份系统;详细描述了它们的体系结构、生命周期和工作流程。此外,根据自主权身份的十项原则,讨论、分析和比较了支持去中心化身份的解决方案。最后,讨论了阻碍向完全去中心化身份范式转变的挑战。
关键词:区块链;数字身份;身份管理系统;自我主权身份
引言
在过去的二十年中,互联网和Web 2.0的兴起导致了数字实体之间交互方式的演变([1])。从网上银行、电子商务到信息和旅游预订,整个社会几乎完全互联,几乎所有行业都在向数字空间提供服务。这种持续的在线应用趋势极大地改变了企业和客户的行为。对企业来说,数字化经济需要找到与客户互动的新方式;企业营销产品的方式必须完全改变。企业的关系不仅改变了客户和产品之间的关系,也改变了与合作伙伴、供应商和员工之间的关系。
如今,关系越来越多地转移到电子世界,并由自动化过程而不是中介人员[2]来调节。对于客户来说,变化同样巨大。过去人们在实体店购买商品,现在则是通过在线服务进行交易。此外,大多数客户所依赖的经典信任向量要么不存在,要么可以被伪造。
为了应对所有这些变化,必须对数字身份(DI)进行有效管理,并更好地控制交互。DI是一组信息,用来表示数字世界[3]中的一个实体。这个实体可以是一个人、组织、应用程序,甚至是一个设备。DI中包含的信息允许评估和认证web上的实体,而无需人工操作人员的参与。这些信息存储在计算机系统中,通常包括公民或国家属性,如姓名、出生日期、地址等。
DI目前非常普遍,许多讨论都将其视为实体在线活动产生的全部数据的集合。这些信息可以分为属性、偏好和特征[4]。属性指的是实体获得的数据,如顾客过去的购买行为。偏好表示实体的愿望,例如航空公司的首选座位。最后,特征类似于实体的属性和特征,但它们是固有的,而不是后天获得的,比如出生日期。
DI不仅包含唯一描述实体的数据,还包含关于实体与其环境的交互和关系的信息。一个实体可能有多个子身份,每个身份包含一个与特定主题相关或在特定环境中使用的属性子集。
由于数字时代的最新进展,已经启用了许多DI发挥关键作用的用例。这些用例高度驱动了创新,对于构建一个健壮的数字世界至关重要。例如,安全日志服务允许证明“某人是他声称的真实的人”。因此,这使得可以访问广泛的在线应用程序,如银行账户、客户门户、医疗应用程序等。
由于DI参与了几乎所有基于在线的应用程序,个人和公司不断寻求跨多种服务、市场、标准和技术的高效身份管理系统(IMSs)。这对于建立在线交流的实体,以及企业识别员工、系统、资源和服务都是至关重要的。
尽管DI领域取得了进展,但仍面临着更多的数据泄露问题;脆弱的身份识别系统的脆弱性几乎每天都在凸显。最近的研究表明,2017年有近6000万美国人受到身份***的影响;自2013年以来,超过100亿份记录被破坏;2018年,超过6500起导致泄露数据的事件被公开披露;据估计,一次身份欺诈的平均成本为每人263美元;据估计,2016年身份***的年度总成本为160亿美元;每条包含敏感和机密数据的记录被盗或丢失的平均成本估计为148美元1。毫无疑问,所有这些事实都需要开发新的身份解决方案,努力回归到令人满意的隐私水平。
在DI的背景下,本文旨在提供与现有IMS(s)相关的建设性的最新进展。从用户、业务、技术组件和法规等多个角度讨论了它们的优点和局限性。本文还讨论了由于新技术区块链的出现而在DI领域取得的最新进展。研究这项新技术的影响是为了了解如何构建更有效的IMS。
基于区块链的去中心化IMSs能否完全解决传统的身份认证问题,如数据安全、用户隐私和个人属性保护等。为了回答这个问题,首先分析了经典IMSs的局限性;然后,介绍了新的IMSs,并讨论了它们的优点和局限性。
本文的其余部分组织如下。第1节和第2节介绍了DI的主题和背景,并解释了这个时代最常用的术语。第3节将讨论集中式身份解决方案。第4节介绍了基于区块链的新型自主身份(Self-Sovereign Identity, SSI)范式。随后,根据SSI的十项原则,提出了一些去中心化身份方案,并对其进行了讨论和评估。第5节详述了去中心化身份的挑战和局限性。第6节概述了现有的研究,并讨论了它们与本文相比的主要差异和不足。最后,对未来的研究工作进行了展望。
预备知识
为了更好地理解本文中使用的术语,这里详细说明了一些定义和缩写。
2. 你拥有的东西,如身份证、银行卡、智能卡、安全令牌、手机或身份证件。
3. 你是什么,比如指纹、脸、虹膜和声音。
4. 你所做的事情,如运动技能、手势和按键或应用程序。
集中式和联邦式系统与经典系统类似,因为其中的身份属性由第三方(如身份提供者)管理。
去中心化系统是管理数字身份的新形式,其属性由用户自己管理。在本节中,讨论了经典系统的工作流程、优点和局限性。
- IMS(Identity Management System):是指可以用于企业或跨网络身份管理的一个系统或一组技术。
- 数字身份(DI):可以定义为一组信息,用于表示、评估和认证数字世界中的实体,而无需人工操作。
- 主体或实体:是数字连接的人、组织、软件程序、机器或设备。实体必须持有DI,以便在请求访问在线资源时能够进行身份验证和最终授权。
- 属性:是一个实体的特征。属性可以是持久的,如个人的出生日期,临时的(如地址)或长期的(如社会保险号)。
- 身份:定义为一组难以或不可能更改与实体关联的属性。这些属性通常称为持久身份(persistent identifier),用于标识实体。这种身份的一个例子是个体的遗传模式。
- 标识:标识与表示属性的实体的关联。例如,将自然人与声称的姓名相关联;将公司与财务记录联系起来;或者把病人和身体特征联系起来。
- 身份验证:是提供适当凭证以证明实体身份的过程。例如,当提供适当的用户名和密码时,用户会证明帐户的所有权。有几种认证[8]的方法,分别是:
2. 你拥有的东西,如身份证、银行卡、智能卡、安全令牌、手机或身份证件。
3. 你是什么,比如指纹、脸、虹膜和声音。
4. 你所做的事情,如运动技能、手势和按键或应用程序。
- 授权:一旦成功完成识别和认证过程,就可以根据已证明的身份向实体授予授权。因此,可以基于实体属性进行特定的操作。例子包括个人申请信贷额度的能力或紧急车辆闯红灯的权利。
- SSI:自主身份指一种新的IMS,用户应该完全拥有他/她的身份数据,而不需要外部管理机构的任何干预。
- 去中心化身份(DID):指一种新型的数字身份,它支持可验证的、去中心化的DI。
- 可验证凭证(VCs):指与物理凭证(如护照或驾驶执照)等同的电子凭证。
- 权威证明(PoA):是一种共识算法,通过基于身份作为权益的共识机制交付相对快速的交易。
- 零知识证明(ZKP):是一种数字方法,一方向另一方证明拥有信息而不泄露它。
- 软件开发包(Software Development Kit, SDK):是针对特定设备或操作系统开发应用程序的软件集合。
经典身份管理系统
IMS定义了DI的整个生命周期,从创建、存储、认证、授权到撤销和销毁。身份认证方案可以分为三类:集中式[9]、联邦式[10]和去中心式[11]。集中式和联邦式系统与经典系统类似,因为其中的身份属性由第三方(如身份提供者)管理。
去中心化系统是管理数字身份的新形式,其属性由用户自己管理。在本节中,讨论了经典系统的工作流程、优点和局限性。
集中的身份
这是一种传统的范式,在这种范式中,个人访问管理或拥有身份系统的组织的服务。系统的所有者收集、存储和使用个人的身份及其相关数据。目前,这种系统是由银行、社交媒体公司甚至政府等私人组织提出的。 集中式身份识别系统的采用如今非常广泛。目前大多数身份验证是通过登录名和密码之间的匹配验证建立的。数字账户通常由用户创建,并存储在服务提供商的数据库中。用户通常为每个服务提供者拥有一个帐户,如图1所示。
此类身份系统中的数据质量因持有用户账户的服务提供商的策略而异。例如,政府和金融服务等监管严格的行业有彻底的身份证明程序。然而,在其他系统中,例如在一些社交媒体平台中,创建多个甚至恶意身份是很容易的。
很明显,这种方法已经成功地启用了实体的数字表示,从而允许广泛的在线服务[12]。然而,由于数据由第三方管理,用户的隐私可能会受到损害,他们的在线活动可能被链接并最终被跟踪。此外,由于用户必须为每个服务提供商创建一个身份,这将创建一个极其分散的格局,非流动的体验将伴随着用户的在线存在。从服务提供商的角度来看,这种方法通常需要投入较高的资源来存储、维护和保护用户的[13]数据。
联合身份
联邦身份系统是两个或多个集中式系统[14]之间建立相互信任的结果。这可以通过跨所有身份系统分发验证和信任组件来实现,也可以通过相互接受每个系统应用的标准2来实现。例如,国际组织甚至各国政府可能同意接受彼此的证书。这通常与创建通用标准有关,如eIDAS[15],该标准为欧盟的跨境旅行提供标准。企业也可以同意接受彼此的身份证明系统。身份系统的所有者通常通过法律协议和共同的技术标准建立一对一的信任关系。随着可信关系数量的增加,网络也在增长,它的声誉也在增长。
用户通常喜欢联邦标识在访问不同平台上的多个服务时提供的便利性。这导致了联邦系统的广泛采用。然而,在两个或多个系统所有者之间建立信任关系并不总是一项容易的任务,限制了原型的快速实现。在集中式系统中,信任级别可能会有很大的差异,这取决于系统所有者、身份验证程度和他们执行的数据审查过程。
联邦身份模型的高层体系结构如图2所示。最常用的联合身份系统之一是OAuth[16]提供的第三方认证API。许多网络服务建议使用谷歌或Facebook帐户来使用他们的服务。它们依赖于用户的身份已被其他方验证的信任。由于大多数在线用户拥有Facebook或谷歌账户,这种认证方法被广泛采用。然而,使用这种方法,身份提供者能够追踪用户的活动,并将该信息与身份数据交叉,从而为他们提供许多机密信息。
与集中式系统一样,联邦式平台中的个人几乎无法选择何时、何地、如何以及由谁处理他们的数据。系统所有者的复杂性来自于法律协议的最终需要,包括责任、风险的划分和技术标准的创建。这些复杂性可能导致很高的实现成本,这往往导致许多用户想要的服务无法实现。
面向去中心化的身份
定义
在上面讨论的集中式和联邦式身份范式中,身份由第三方提供。相反,在去中心化身份范式中,实体本身被置于交换的核心,不再需要第三方管理身份。
这种转变是通过将尽可能多的身份基础设施和信息放在实体手中,并依靠可信的去中心化工具和技术,如加密算法和安全的分布式账本,来产生和存储关于身份属性及其关联数据[17]准确性的数学证明。去中心化体系结构的一般体系结构如图3所示。
去中心化的IMS不依赖于一个甚至一组服务提供者来建立和管理身份。相反,它主要依赖于一个私有数据存储来保存身份属性,以及一个数字设备来管理它们的生命周期。两个组件都应该由实体本身管理,否则将重新生成中间件。数据存储通常以手机、个人电脑或私有云存储的形式存在,也包含来自传统信任锚点的证明,如政府、银行、雇主等。实体通过数字设备管理器选择要与谁共享哪些认证或数据属性,以及为了什么目的进行共享。通过这样做,实体应该保持对其身份属性和相关认证的控制。
一个去中心化的身份被认为是安全的,只要拥有身份的实体保持对它的控制。这意味着实体承担其身份数据的责任。对于许多用户来说,这种取舍似乎是可以接受的。
在去中心化的身份世界中,实体创建自己的数字身份(IES)。这通常从创建一个或几个唯一身份开始,然后为它们附加可信和可证明的属性。完成后,实体可以从可信锚点收集凭据,并在需要时使其可用。一个典型的用例是一个人从他/她的大学收集证书。当需要申请时,例如申请学生贷款,申请人只需出示适当的凭证即可。
为了证明证书的真实性(即由指定的权威机构发出且此后未被篡改,以及出示证书的人是指同一人),可以应用各种加密技术,例如数字签名。
目前,术语“可验证声明或可验证凭据”(VCs)是用来指这种可以通过加密方式进行验证的数字凭据。VC不仅给用户更多的控制他或她的身份属性,它还使DI更容易使用。更重要的是,一旦发行,VC可以很容易地转移到许多服务提供商,并在多个网站上雇用。
此外,当一个VC发生变化时,例如用户的地址发生了变化,修改只需要注册一次;也就是说,用户在本地进行更改,然后自动将更改广播给他/她连接的服务提供商。
去中心化的身份不仅应该改善用户的数字体验,它的一个承诺是促进企业的流程,企业多年来一直试图摆脱复杂、昂贵和有风险的身份管理过程,但没有成功。
去中心化的身份不会完全摆脱中间政党。然而,它仍然在很大程度上依赖于第三方提供的签名数据,这些数据将被转换为可移植的VCs。就像他们的实体对手一样,风险投资将保持在颁发它的当局的控制下(例如,国家可以颁发驾照,也可以吊销它)。对于许多用例来说,依赖可信的第三方来签发可以与用户生成的身份相关联的VCs是可取的。
一个DID有一个公钥和一个私钥;前者可以与其他实体公开共享,而后者必须为DID所有者保留;使用这个私钥,实体可以数字证明DID的所有权。
DID是一个永久的身份,因为它永远不需要更改;它也是可解析的,因为可以通过查找它来获取相关的元数据。DID被认为是为一个实体与另一个实体提供一个终生加密的私有信道。它不仅用于身份验证,还用于交换消息和VCs。
一个人或一个实体可以为任何目的创建任意数量的DID。创建DID后,应该将其公共部分注册到分布式账本上,以便关系中涉及的参与者可以查找DID。与DID相关的元数据通常称为DID文档;它只包含与DID相关的信息,因此对创建的关系很重要。
按照W3C的定义,DID的语法如下:Scheme:Method:Method-Specific Identifier。规范方法定义了如何在特定的区块链或分布式账本[19]上读取和写入DID及其文档。目前,活跃的DID方法规范有:Sovrin,Bitcoin Reference,Ethereum uPort,Blockstack,Veres One和IPFS。DID方法规范定义了特定于方法的身份的语法,详细描述了与DID文档相关的任何特定元素,最后描述了对DID及其文档的创建、读取、更新和删除操作。
更具体地说,W3C定义的DID文档包括六个组件:DID本身;用于身份验证的公钥等加密材料;与DID主体交互的密码协议;DID端点列表;审计时间戳;用于验证文档完整性的JSONLD签名。因此,可以将DID文档视为包含与DID所有者建立通信通道所需信息的接口。
区块链提供了一个现成的基础设施,用于以一种去中心化的但可信的方式来管理数据。区块链具有去中心化、不可篡改性和透明性等优点,可以方便地作为去中心化的入侵检测系统的去中心化注册器。
此外,通过将它们的去中心化放在区块链上,可以对实体的凭据进行公证。通过这样做,区块链充当时间戳和电子印章。毫无疑问,这既提供了凭证是何时创建的证明,也提供了一个电子印章,使得凭证的任何篡改对任何外部观察者都是明显的。
此外,区块链可以非常有效地记录信息的访问权限和用户的同意。最后,由于其智能合约执行,区块链可能允许过程自动化。事实上,在许多现实世界的应用中,可验证的凭据被用于触发业务流程,例如向用户发送金钱。
基于上述所有原因,本工作重点关注区块链在去中心化IMS中作为分布式账本的使用。
另一个重要的构建块(其中大部分价值被解锁)在于可验证凭据(VCs)[21]的使用。如前所述,VC是关于实体背景的可信任的密码学信息。
它通常作为可信的、经过验证的证据共享,由公共DID和凭据颁发者在链上编写的凭据定义链接到分布式分类账。通常,这种可信证明具有数字签名的形式,并且可以使用颁发者的DID的公钥进行验证。可验证凭据的一个例子是数字颁发的证书。
在去中心化的身份框架中,VCs必须以一种可被任何其他系统理解和使用的方式进行转移。否则,VCs将必须手动解析;因此,这将阻止自动处理的执行和身份的自动转移。为了解决这个问题,应该对定义VCs结构和内容的方案进行标准化工作。JSON及其一些特殊版本是目前使用最广泛的身份相关数据标准。
为了存储这些私人数据,可以使用个人设备,如智能手机或笔记本电脑,或第三方提供的一些安全解决方案。当完全处于实体本身的控制下时,身份及其相关数据被认为是自主的。将数据置于实体的控制之下还可以使其更具互操作性,允许将数据用于多个平台和不同的目的,并保护实体不被锁定在一个平台上。
去中心化的身份不仅应该改善用户的数字体验,它的一个承诺是促进企业的流程,企业多年来一直试图摆脱复杂、昂贵和有风险的身份管理过程,但没有成功。
去中心化的身份不会完全摆脱中间政党。然而,它仍然在很大程度上依赖于第三方提供的签名数据,这些数据将被转换为可移植的VCs。就像他们的实体对手一样,风险投资将保持在颁发它的当局的控制下(例如,国家可以颁发驾照,也可以吊销它)。对于许多用例来说,依赖可信的第三方来签发可以与用户生成的身份相关联的VCs是可取的。
组件
有不同的方法来实现去中心化的IMS。然而,所有的方法都必须解决一系列类似的问题,其中大多数都必须找到不求助于某些权威而确保信息可信的方法。要了解这是如何工作的,必须考虑以下组件。一个惟一的身份
为了建立一个去中心化的身份,必须建立一个可以以去中心化的方式使用的唯一身份。这通常称为去中心化身份(DID)[18]。与由颁发身份的机构提供的传统身份不同,DIDs是由实体自己创建的。因此,DIDs独立于任何集中的注册中心、身份提供者或证书颁发机构。一个DID有一个公钥和一个私钥;前者可以与其他实体公开共享,而后者必须为DID所有者保留;使用这个私钥,实体可以数字证明DID的所有权。
DID是一个永久的身份,因为它永远不需要更改;它也是可解析的,因为可以通过查找它来获取相关的元数据。DID被认为是为一个实体与另一个实体提供一个终生加密的私有信道。它不仅用于身份验证,还用于交换消息和VCs。
一个人或一个实体可以为任何目的创建任意数量的DID。创建DID后,应该将其公共部分注册到分布式账本上,以便关系中涉及的参与者可以查找DID。与DID相关的元数据通常称为DID文档;它只包含与DID相关的信息,因此对创建的关系很重要。
按照W3C的定义,DID的语法如下:Scheme:Method:Method-Specific Identifier。规范方法定义了如何在特定的区块链或分布式账本[19]上读取和写入DID及其文档。目前,活跃的DID方法规范有:Sovrin,Bitcoin Reference,Ethereum uPort,Blockstack,Veres One和IPFS。DID方法规范定义了特定于方法的身份的语法,详细描述了与DID文档相关的任何特定元素,最后描述了对DID及其文档的创建、读取、更新和删除操作。
DID文档
使用DID,文档通常是相关联的;它由一个JSON-LD文档组成,提供了与DID相关的附加信息。本文档的目的是描述密钥的结构、身份验证所需的协议以及与标识实体交互的服务端点。更具体地说,W3C定义的DID文档包括六个组件:DID本身;用于身份验证的公钥等加密材料;与DID主体交互的密码协议;DID端点列表;审计时间戳;用于验证文档完整性的JSONLD签名。因此,可以将DID文档视为包含与DID所有者建立通信通道所需信息的接口。
分布式分类帐
为了使DIDs去中心化,必须使用分布式账本[20]。虽然区块链不需要去中心化身份,但它可以成为用于不同方面的强大分布式账本4。区块链提供了一个现成的基础设施,用于以一种去中心化的但可信的方式来管理数据。区块链具有去中心化、不可篡改性和透明性等优点,可以方便地作为去中心化的入侵检测系统的去中心化注册器。
此外,通过将它们的去中心化放在区块链上,可以对实体的凭据进行公证。通过这样做,区块链充当时间戳和电子印章。毫无疑问,这既提供了凭证是何时创建的证明,也提供了一个电子印章,使得凭证的任何篡改对任何外部观察者都是明显的。
此外,区块链可以非常有效地记录信息的访问权限和用户的同意。最后,由于其智能合约执行,区块链可能允许过程自动化。事实上,在许多现实世界的应用中,可验证的凭据被用于触发业务流程,例如向用户发送金钱。
基于上述所有原因,本工作重点关注区块链在去中心化IMS中作为分布式账本的使用。
可验证的凭据
创建DIDs及其相关文档,并通过区块链以分布式方式对其进行注册,这不足以启用去中心化身份基础设施的全部特性。另一个重要的构建块(其中大部分价值被解锁)在于可验证凭据(VCs)[21]的使用。如前所述,VC是关于实体背景的可信任的密码学信息。
它通常作为可信的、经过验证的证据共享,由公共DID和凭据颁发者在链上编写的凭据定义链接到分布式分类账。通常,这种可信证明具有数字签名的形式,并且可以使用颁发者的DID的公钥进行验证。可验证凭据的一个例子是数字颁发的证书。
在去中心化的身份框架中,VCs必须以一种可被任何其他系统理解和使用的方式进行转移。否则,VCs将必须手动解析;因此,这将阻止自动处理的执行和身份的自动转移。为了解决这个问题,应该对定义VCs结构和内容的方案进行标准化工作。JSON及其一些特殊版本是目前使用最广泛的身份相关数据标准。
存储代理
为了能够使用它们,VCs应该存储在某个地方,以便在需要时可用。此外,还必须安全地存储与DIDs相关的私钥,以便在证明所有权时可以使用它们。存储这些信息对于任何去中心化的身份系统都是至关重要的。为了存储这些私人数据,可以使用个人设备,如智能手机或笔记本电脑,或第三方提供的一些安全解决方案。当完全处于实体本身的控制下时,身份及其相关数据被认为是自主的。将数据置于实体的控制之下还可以使其更具互操作性,允许将数据用于多个平台和不同的目的,并保护实体不被锁定在一个平台上。
私人钱包
最后,为了实现去中心化的IMS,需要管理DIDs、私钥和可验证凭据的工具。这些工具目前被称为数字“钱包”[22];它们可能以手机应用程序、软件、云甚至硬件钱包的形式出现。与去中心化身份的所有其他方面一样,这里的基本要素是,钱包和对它的访问必须保持在实体的唯一控制之下。 工作流
从工作流的角度来看,如图5所示,首先要在用户和服务提供者之间建立连接。这是由用户发起的,因为在去中心化的身份上下文中,他/她总是所有行动的中心。一旦通过网站、移动应用程序或任何其他通信方式与服务提供者取得联系,DID就必须与用户通信。通过这样做,用户可以验证服务提供者的身份。后者还必须接收用户的DID,以便可以验证服务提供者是否正在与身份的所有者通信。当然,为了进行通信和验证,必须从存储在分布式账本(即区块链)中的DID文档中检索与用户代理端点相关的数据。
一旦在用户和服务提供者之间建立了安全的通信通道,就可以发送、接收和验证任何VCs。也就是说,服务提供者向用户发送请求,要求一些可验证的数据(例如地址证明),以便提供服务。
请求的数据模型与存储在区块链中的凭据模式是线性的。通过通信器代理,用户将重复地收到一个通知,要求批准提交适当的数据以响应服务。因此,用户仍然是唯一可以允许以可验证形式提交数据的实体。
从服务提供者的角度来看,将收到通知以响应提交的需求。响应将以加密、断言或解密的方式包含用户数据。在所有情况下,进行验证步骤是为了检查接收到的数据是真实的,与用户有关,没有被更改,并符合所需的内容。
交换数据最常见的方式是发送原始属性(例如年龄),使用服务提供者的公钥加密。后者稍后将能够解密数据并获得其原始值。
显然,这种经典的方式可能会造成与用户身份相关的一些重要数据的泄露。另一种形式是使用零知识证明(Zero Knowledge Proof, ZKP)协议,用户可以通过该协议向服务提供商证明自己拥有某些信息,而不暴露其原始价值。这样做可以保护真实值,同时服务提供者仍然可以验证用户的一些信息。
最后一种交换模型是向服务提供者发送加密数据。后者将使用高级技术,如同态计算,在加密数据上运行他们的模型。虽然该技术最大限度地保护了用户的隐私,但由于其[23]的高计算时间,仍未得到广泛应用。
评估标准
为了推广SSI,其原则已在[24]中进行了讨论。这些原则试图确保用户在身份系统中的控制,以平衡透明度、隐私和公平性。在本综述中,E节中对现有解决方案的分析将基于这些原则;比较的汇总表载于表2;这十项原则可归纳如下:- 存在:用户永远不能完全数字化;一个独立的存在必须存在。因此,SSI必须基于物理身份。
- 控制:用户必须完全控制他们的身份,引用它,更新它,甚至隐藏它。
- 访问:用户必须能够访问自己的数据,并能够检索自己的所有声明。不得向其所有者隐瞒任何个人资料。
- 透明性:所有SSI组件必须是透明的。SSI解决方案必须公开其工作原理、管理和更新方式。所使用的算法必须是开源的、免费的,并且尽可能独立于任何特定的组织或架构。
- 持久性:身份必须是长期存在的;它只能被它的主人移除。与该身份相关的声明可以更新或删除,但该身份必须是长期存在的。
- 可移植性:身份的属性、声明和服务必须由其所有者进行传输。身份永远不能由第三方单独管理,因为之后可能会消失。
- 互操作性:标识必须尽可能广泛地使用。一个真正的SSI是全球可采用的,不能仅仅局限于某些特定的领域。
- 同意:用户必须自由同意他们的身份属性和数据如何被利用。未经用户同意,不能共享身份信息。
- 最小化:必须最小化暴露身份属性。只有必要的信息必须共享。一个例子是只分享某人是否超过18岁,而不是透露完整的出生日期。
- 保护:用户对强者的权利必须得到保护。用户的权利和自由比网络的需求更重要。
- 可证明的:身份声明必须能够被验证,例如由可信的第三方验证。
现有解决方案:描述和分析
在介绍了SSI系统的主要组成部分和一般体系结构之后,根据之前定义的10个评估标准,对SSI解决方案进行了综述、讨论、分析和评估。uPort
uPort[25]是一个基于以太坊的开源解决方案。它旨在为所有人提供去中心化的身份。身份首先由用户通过存储所有用户身份数据(包括用于签名和共享声明的私钥)的专用移动应用程序创建。一旦用户创建了一个身份,两个智能合约“controller”和“proxy”会自动部署在以太坊区块链上。代理合约对控制人合约的地址有参考;代理函数只能由控制器调用;代理地址包括用户的唯一uPort标识符(uPortID);一个用户可以创建多个不可链接的uPort身份。
将身份属性映射到特定的uPortID是通过部署“注册表智能合约”完成的。这个注册表可以被任何实体查询,但是只有它的所有者可以更新它的属性;由于区块链不专门用于存储大量数据,因此对JSON属性结构进行哈希,然后存储在注册表中;使用外部安全的分布式文件系统(如IPFS)来存储属性本身。
为了解决用户移动设备被盗或密钥丢失的问题,uPort使用一种社会恢复协议,用户指定一组受托人,他们可以投票替换驻留在控制器合约中的公钥。一旦这些受托人达到对新公钥的投票quorum值,控制器就用新生成的密钥更新丢失的密钥。
该恢复协议允许用户在丢失相关密钥后仍然拥有持久的合约。uPort用户能够签署关于其他实体的声明,并将它们发布在分类账上,从而增加此类证明的可信性。
uPort的主要缺陷在于可移植性差。这是因为只有其他uPort身份能够证明。此外,由于它主要基于以太坊,可能会出现互操作性问题。
此外,虽然社会恢复过程允许恢复受损或丢失的uPortID的所有权,但如果他们决定合谋攻击用户,则受托人集合可以成为攻击的输入。如果uPort应用程序被破坏,并且受托人列表被恶意更改,uPortID将被永久破坏。
由于uPort主要基于智能合约,恶意区块链节点可能会跟踪并链接与一个uPortID相关的所有活动;因此,用户的真实身份以及所有相关的操作都可能是已知的。这当然会涉及用户的隐私。
Sovrin
Sovrin5是一个开源的去中心化身份网络,构建在一个受许可的分布式账本之上。Sovrin是公开的,任何人都可以发送读取的交易,然而,只有可信的机构,如政府、银行、大学等,才能有节点参与共识协议;因此,写访问是被允许的。移动应用程序和代理允许用户与网络的其他部分进行交互。这些组件还可以帮助用户管理加密密钥。
与uPort一样,Sovrin使用基于用户提名的受托人的密钥恢复协议。在用户提出请求后,受托人必须达到法定人数才能发送身份记录更改交易,该交易必须由受托人验证。
与Sovrin,没有索赔将登记在区块链。此外,它还定义了一个代理到代理通信,而不依赖于共享账本,这提供了更多的隐私和机密性。
与Sovrin相关的主要问题是在用户和深度学习之间存在预定义的机构作为中间件;虽然他们的最终角色是评估用户的身份,但这种位置可能允许他们访问与用户身份有关的重要信息。
因此,身份原则的同意和保护属性可能会受到损害。此外,Sovrin不提供任何关于网络代理的正确运行的保证。因此,可证明性也可能受到影响。
ShoCard
ShoCard6是一种IMS,它利用区块链和加密哈希将用户身份、现有的可信凭据(如护照或驾驶执照)和其他身份数据绑定在一起。由于ShoCard手机应用,用户首先扫描自己的身份证书;此类数据以加密方式存储在用户的移动设备内;数据也被写入比特币账本,以实现后验数据验证;由此产生的比特币交易的身份是用户ShoCardID,并作为指向ShoCard印章的指针存储在移动设备中。为了将证书与ShoCardID关联起来,用户与身份提供者通过一个称为认证的过程进行交互。由于用户需要向身份提供者等依赖方提供某些属性,并且可能不想在移动设备丢失时丢失这些属性,因此可以使用ShoCard服务器存储这些属性的加密版本。
尽管ShoCard提倡去中心化,但是管理ShoCard用户和依赖方之间加密证书分发的中间中央服务器的存在可能为数据泄露打开大门。
此外,作为中间件的ShoCard角色可能会对ShoCardID的寿命产生不确定性;如果该公司消失,ShoCard用户将无法使用他们已经获得的认证。
相比于对分布式账本的依赖,ShoCard在实践中可以更加集中化。此外,如前所述,对于每个证书,用户都需要提供一个可信的凭据,用户需要嵌入更多的个人信息。除此之外,对比特币的依赖可能会导致额外的问题,如成本和交易验证时间。
IDchainZ
IDchainZ7是一个扩展,以智能账本ChainZy概念验证的形式出现。IDchainZ允许用户拥有一个可信和经过认证的身份声明的密钥环,并使依赖方能够交换了解你的客户和反洗钱数据。这些交换实际上可以扩展到所有类型的文件。作为第一步,用户向认证方提供用于认证的文件;认证者验证文档并创建IDchainZ身份;认证者还创建一个主环,将其密钥发送给用户,并将认证后的文档上传到IDchainZ账本;一旦用户收到密钥,认证者就会删除密钥的副本和底层文档。
一旦服务提供者请求文档,用户从他的主密钥中创建一个子密钥并将其发送给请求者;通过该子键,可以关联和控制持续时间、共享信息、访问次数和使用限制;这允许用户完全控制身份属性的生命周期。
由于没有给出太多关于解决方案的细节,因此很难评估IDchainZ在十大身份原则方面的合规性。总的来说,解决方案高度依赖于IDchainZ本身;因此,身份可能不是持久的,也不能与其他平台互操作。当涉及到数据最小化时,没有给出证明。
EverID
EverID8是一个基于区块链的SSI和价值传递系统;它用于存储身份属性、认证和生物特征。EverID方便了用户的身份验证过程,并使网络成员之间的价值安全传递成为可能。它还使用智能合约来提供个人数据所有权,用户可以控制身份属性如何共享、共享多长时间、与谁共享以及为何种目的共享。在EverID系统中,用户不需要移动设备,政府ID、生物特征数据和第三方认证等构成DI的信息都可以存储在云端。尽管如此,EverID中的最小化原则并没有完全得到遵守。当需要一条身份信息来验证一个声明时,用户别无选择,只能完全披露全部数据。EverID也不是开源的,这损害了SSI的可证明性和透明度原则。
LifeID
LifeID9是一个支持独立创建和管理用户依赖注入的开源平台。用户控制和批准所有在线真实世界的交易,而不依赖于第三方。LifeID中的数据存储在用户的设备上,仅在需要时披露所需的信息;这要感谢ZKP协议。LifeID提供了三种备份和恢复身份属性的选项:冷库、受托人列表和选择可信组织。这为用户提供了更多对抗数据泄露和设备***的解决方案。
LifeID还提供了一个开源软件开发工具包(SDK),允许生态系统合作伙伴使用LifeID作为身份平台层。还开发了一个SDK,以促进在各种设备上创建各种身份解决方案;这当然最大化了解决方案的不可分离性。
LifeID还减少了实现的摩擦,因为它被设计为在任何支持智能合约的区块链上运行。虽然LifeId白皮书内容丰富,并声称满足所有的身份识别原则,但不幸的是,技术细节没有给出;此外,没有给出解决方案的体系结构本身。
对GitHub仓库活动的分析表明,该项目并不活跃。这当然不符合SSI的透明度和可证明性标准。
SelfKey
SelfKey10是一个SSI网络,用户的数据存储在个人设备上。用户也可以将身份信息备份到其他设备或个人备份解决方案。当第三方要求收集特定信息时,用户首先会得到通知,并在信息被披露前得到同意。当收集被批准时,使用ZKP协议来确保只泄露必要的最小数据量。在SelfKey中,用户的身份声明只能由可信实体进行验证,从而保证了SSI的可证明性。尽管SelfKey具有坚实的架构,但依赖于具有权威证明(PoA)共识的以太坊私有实例为许多隐私问题打开了大门。
首先,已知PoA不是拜占庭容错算法[26];这意味着一个恶意的参与者可能会破坏整个共识。
此外,在这种联盟环境中,预定义的参与者可以被视为用户和DL之间的第三方;这可能会导致匿名性、可追溯性和关联性问题。出于这些原因,SelfKey在坚持、同意和保护原则上做出了让步。
Civic
Civic11是一个基于区块链的身份解决方案。它提供了三个主要特性:- 安全身份平台:这是一个去中心化的身份验证平台。用户通过应用程序注册。他们的数据被本地存储在设备上,并使用生物识别认证进行保护。法律文件(护照、身份证、驾照)的扫描是验证身份的必要手段,文件上的图片会与自拍进行比较,以证明用户是文件的真正所有者。将公共身份、哈希私有数据和身份的有效性发布到公共区块链中。
- 可重用KYC:它允许向服务提供商证明身份已由Civic验证。身份验证证明文件存储在Civic区块链中。本服务还管理访问用户个人数据的授权;未经用户同意,不授予任何访问权限。
- ID代码:用于支持使用身份而无需输入密码短语。身份码由想要访问身份的服务提供商提供;它们与服务所需的特定属性相关联。身份码可以通过区块链进行验证,避免恶意服务提供商访问身份数据。
此外,该方法促进了数据最小化,但没有给出技术细节,使得解决方案的可证明性难以评估。最后,基于公民实体的存在来验证用户身份,或者通过CVC代币来设计业务流程。因此,用户的身份可能取决于公民本身的存在;因此,它们不是持久性的。这种依赖关系还可能导致互操作性问题。
THEKEy
THEKEy12是一个基于区块链的DI在NEO区块链上运行的解决方案。生物特征数据首先用于验证和识别后续用户。在注册阶段,生物特征数据是面对面验证的,或者与另一个注册发布的现有生物特征数据进行比较。用户可以完全访问他们的数据,但数据的存储不是去中心化的。
当服务提供者请求访问用户身份时,通知会发送到用户应用程序;然后,用户通过生物特征签名表示同意;稍后,关键平台提供所需的数据,并检查所需属性是否与服务需求匹配。
该方法的工作流程表明,用户身份高度依赖于第三方“THEKEy”平台。因此,无法保证用户的隐私和数据安全,以及身份的持久性和可移植性。此外,评估数据最小化,除了验证平台之外,没有任何证明只提供了所需的数据给服务提供商。
Bitnation
Bitnation[27],或称加密,旨在通过使用区块链技术记录公民之间的重要记录、身份和其他法律事件(例如婚姻合同、出生证、公司注册、土地所有权等)来创建一个去中心化的国家。Bitnation使用名为“Pangea管辖权”的区块链无关网络实现了一个“去中心化的无边界自愿国家”,该网络使用以太坊区块链、IPFS技术和安全的cuttlebutt协议。
Bitnation提出了一种移动应用程序,允许用户(1)创建账户,(2)创建、加入或退出国家,(3)列出可用的智能合约,以及(4)开始聊天。Bitnation允许用户独立创建和控制自己的身份。
此外,由于在以太坊区块链上执行的智能合约,它提供了对身份的永久访问,并创建了一个用户可以继续构建其便携式身份的环境。Bitnation不提供数据最小化,也不提供已验证的凭证。此外,它不处理使该身份不能与其他解决方案互操作的标准化问题。
评价
作为上述说明的结论,表一和表二总结了对第四-d分节提出的关于SSI十项原则的所有详细解决办法的评估。还提供了其他信息,如创建解决方案的年份、描述解决方案的白皮书的存在性、源代码的可用性、每个解决方案中使用的分布式分类帐以及最后的区块链类型。
挑战和讨论
本节将讨论阻碍开发和构建完整的去中心化IMS的挑战。如图6所示,我们将这些挑战分为两大类:技术和非技术的。
技术上的限制
许多去中心化身份的信徒声称,如今所有的工具和技术都存在于构建一个高效的系统中,在这个系统中,身份的属性及其相关数据完全在最终用户的控制之下。最近,随着区块链技术的兴起,这些说法得到了加强,这些技术被承诺可以使DIDs和VC成为可能。这些信奉者更进一步,明确指出分散IMS的所有组件目前都可以不受任何限制地构建,并且所有用户的数据隐私和控制需求都可以得到满足。
本节的最终目的是指出一些仍未解决的技术点,从而将减缓去中心化身份的转移。这些限制总结如下:
区块链作为分布式账本的作用
正如前面提到的,区块链现在被认为是最有效的技术,可以用作去中心化IMS的分布式账本。这种技术主要用于存储DIDs;由于智能合约,它的用途可以进一步扩展到存储DID文档和用户同意书、公证凭证以及自动化业务流程。因此,如果不研究区块链本身的技术限制,就无法完全完成对去中心化IMS的分析。
首先讨论了区块链协议的匿名性问题;实际上,为了在区块链中注册一个DID,用户必须发送一个事务;为此,用户通常使用一个与区块链地址关联的假名。只要地址和用户的物理身份之间没有联系,发送的交易就保持匿名。但是一旦在区块链地址和用户身份之间建立了任何联系——无论是IP地址、电子邮件还是任何可识别的东西——那么这个掩护就暴露了。
话虽如此,但可以注意到,特定用户创建的所有DIDs都可能被认为是区块链跟踪程序。知道这一点并不意味着所有用户的关系都会被跟踪。
事实上,如果两个DID之间的关系(例如,用户的DID和服务提供商的DID)也被放在公共的分类账上,那么就可以跟踪和链接所有用户的活动。相反,如果关系本身是私下建立的(即仅在关系中涉及的参与者之间的安全连接中),区块链跟踪者无法知道用户的DIDs的目的。这类似于说区块链可以帮助构建去中心化的IMS,然而,后者并不能帮助区块链解决其身份问题。
谈到区块链的使用,不能不提到它的存储限制。想象一下,参与者(例如用户、服务提供商、连接设备)之间建立关系所产生的所有DIDs将存储在一个分布式账本上。即使使用多个区块链来存储DIDs,这显然也是一个需要处理的重要问题。
此外,向区块链添加DIDs不是实时的。也就是说,每当用户表示愿意与另一个实体创建关系时,都应该将DID注册事务发送到区块链,并等待其验证。这无疑会使任何IMS的使用都依赖于事务验证时间。目前,最安全的区块链技术(即比特币)的吞吐量甚至不到每秒10笔交易。
此外,在大多数公共区块链中,为了让交易得到验证并最终写入账本,需要支付一些费用。显然,当用户发送事务来创建他/她的DID时,成本问题就出现了。这不仅与***值本身有关,也与支付机制本身的建立有关。
为了解决公开的区块链技术的可扩展性问题,许多人建议使用联盟技术[30]。虽然这肯定会解决问题,但随后的问题将会出现。实际上,经过许可的区块链假定已经设置了一组参与者来共同运行区块链。
因此,该联盟高度依赖于最初创建的成员。这意味着,DIDs的验证依赖于一组预定义的参与者,这可能与身份的去中心化思想相违背。
密钥存储
密钥存储是开发去中心化IMS时应该考虑的另一个技术点。在创建DIDs时,必须将其关联的私钥和VCs安全地存储在某个地方,以便在需要时使用。目前,大多数解决方案都是将这些宝贵的隐私数据存储在用户的设备中,如智能手机、个人电脑甚至硬件设备。如果失去这种储存工具将会发生什么,这个合理的问题仍有待解决。显然,丢失存储工具意味着丢失其所有者的身份。
为了解决这个问题,许多专家认为用户应该同时拥有多个设备,比如手机和个人电脑。因此,每当设备丢失时,用户可以使用他的其他设备之一来撤销或重建他的身份。
显然,这并不能完全解决问题,因为用户可能会丢失所有的存储设备。更高级的解决方案建议在第三方[31]管理的云存储上保存用户身份隐私数据的备份副本。这些备份数据可以通过只有用户知道的密码进行加密,或者使用更先进的技术,如用户生物特征数据。虽然这可能解决了问题,但这种方法的安全性仍然值得怀疑。
实际上,不建议将敏感数据存储在第三方云存储中,即使数据已加密或哈希。将加密数据交给某人是指给某人无限的时间来破解加密并获得数据背后的真正价值。当数据涉及个人属性时,这变得非常危险。
非技术性问题
除了上述的技术限制,去中心化IMS(s)的发展还面临着与身份法律系统相关的非技术问题,以及与这种重要转变相关的接受程度问题。在本节中,我们将讨论这些挑战。遗留系统
为了允许用户构建身份,凭据应该由信任锚点(如银行和政府机构)收集和签名。目前,许多这样的信任锚运行中心化的身份系统,它们自己存储/管理用户的身份属性。显然,改变关系的性质,以及用户有价值的身份数据的所有权,将不是一项容易的任务。此外,不仅信任锚点需要适应其基础设施,服务提供者和其他信任方也需要适应。
规定
为了从去中心化管理信息系统的好处中获益,技术、标准和管理框架必须不断发展。目前,操作模型是为集中式系统设计的。因此,去中心化的转变需要很长一段时间才能普及。此外,为潜在的入侵或私人数据滥用确定责任可能特别复杂。个人可能需要接受教育以采用去中心化的系统并负责任地使用它们。
采纳情况
为了释放去中心化身份的所有潜力,应该制定标准,使去中心化入侵检测系统及其文件以及证书能够容易地阅读和验证。否则,每个服务提供者都有自己格式的DIDs和凭据,将创建孤立的系统,解决方案之间将缺乏互操作性或难以建立互操作性。这个标准化过程肯定需要一些时间,并且需要全球数字参与者之间的大量协调。
采用
由于去中心化范式代表着数字身份管理的一个重要转变,其采用将主要取决于其参与者的采用水平。在业务方面,提供建立在身份解决方案之上的服务的参与者需要重新组织他们的业务模型,以便从这种转变的潜力中获益,例如可重用的凭证和经过验证的用户数据。在用户端,挑战更加复杂。
用户采用一种新技术可能取决于许多因素,如他们的知识水平、技术的易用性、使用成本和意愿等。很明显,去中心化的IMS将面临复杂性的挑战;打破方便的集中管理身份的现状,即交互通过第三方路由将是非常困难的。
可访问性
去中心化身份的可及性是另一个绝不能被忽视或低估的点。这尤其指确保每个有权拥有身份或凭证的人都能够在新的身份架构中使用它们。
这包括弱势或弱势群体,以及身体或精神残疾的人、儿童、老年人和无法获得技术的人。因此,在构建任何去中心化的IMS时,不能排除或排除这些类别。
可访问性还提出了与持有身份所需的技术基础设施相关的问题。智能手机和个人电脑可能是个人管理去中心化身份的必需品,然而,许多人现在仍然没有机会使用这些工具。此外,由于身体或精神上的残疾,许多人将需要额外的手段来控制他们的身份。也就是说,为了应对这种情况,需要制定法律、规章等具体措施。显然,这种对任何IMS都至关重要的案例将使构建一个去中心化的IMS更具挑战性。
行动者的行为
在任何IMS的开发过程中都必须考虑用户的行为,因为它可能极大地影响解决方案的采用。最常见的例子是工作流过于复杂的解决方案。
用户不会采用这个解决方案,即使他们被迫使用它。相反,他们会尝试寻找更容易的替代方案,通常以牺牲隐私或安全为代价。由于数据泄露的数量越来越多,用户越来越担心他们的私人数据被使用,但仍有绝大多数人相信公司会如何利用这些数据。
基于口令的身份识别是另一种受用户行为影响较小的身份识别解决方案。对于绝大多数用户来说,使用弱密码或重复使用相同的密码是很常见的。基于密码的解决方案的另一个问题是密码丢失。如果服务不提供恢复机制,将不会被大部分用户采用。
利用生物特征信息进行身份认证是一种新的身份认证方案,能够在不降低安全性的情况下解密本地存储的隐私信息。由于去中心化身份的复杂性,用户可以采用第三方管理身份的替代方案。通过这样做,传统的身份范式将被复制。
当请求最少的数据来启用服务时,企业可能会表现出不期望的行为,即他们要求的信息超过必要的数量。显然,这种行为很难被实时检测到。
相关的工作
在最近的研究中,存在几种解决方案,其中集成区块链或任何其他分布式账本,以便在不同的应用场景中设计一个去中心化的IMS。调查文章试图从不同的深度和范围审查这些建议的解决方案。下面,我们根据七个标准讨论现有调查之间的比较表:身份定义:该标准检查调查论文是否提出/详细说明身份定义。
身份组件:一些工作定义了SSI的通用架构并详细描述了其组件。该标准旨在检查标识体系结构及其组件是否被讨论。
用例:身份解决方案可以集成到不同的用例中。对于每个调查,我们研究这种集成是否详细,以及用于哪些用例。
挑战和未来工作:调查的一个有趣部分是提出的挑战和未来工作。在研究的调查中,一些论文完全忽略了新颖的IMSs的挑战,其他论文用细节来呈现挑战,还有一类论文没有细节和讨论来呈现挑战。
生命周期:在处理身份和凭证时,一个重要的任务是详细描述与它们的生命周期相关的不同步骤,例如创建、签发、恢复、暂停、撤销、可发现性和可转移性。因此,该标准检查每个被分析的调查是否详细说明了身份的生命周期。
评价:另一个考虑的标准是关于研究解决方案数量的不同调查的比较,以及关于SSI原则的比较所提出的标准。
出版年份:最终标准与调查的出版年份有关。这一指标很重要,因为SSI概念在过去几年发生了巨大的演变;因此,重要的是调查涵盖最新的状态。
如表三所示,研究了九项调查。在[32]中,我们以非正式的方式讨论了自主性身份的概念及其面临的挑战和机遇。在[33]中,作者的目的是用一种数学模型对自主身份的概念提供一种正式和严格的处理。它还通过详细的顺序图给出了IMS的基本生命周期。在其他工作[34]中,标识是根据不同的用例定义的。作者试图研究一组具有不同成熟度和可用性水平的大型IMSs。
本研究基于三套标准:合规性和责任,用户体验和技术标准。他们的工作讨论了不同用例中IMS的集成。然而,更相关的是筛选一组方法,以消除那些处于初始阶段或没有实现的方法。
此外,这种比较是基于一组高水平的标准。此外,该工作没有详细说明挑战和未来的工作。因此,提供的比较可以推荐给没有技术的读者。针对[35]和[36]中的特定用例进行了非常丰富的研究。前一份调查侧重于物联网的IMSs,而后者的注意力集中在讨论不同政治和经济领域的身份范式。
在[37],[38]中,给出了身份的一个简短的定义。在[38]中详细介绍了SSI的组成部分。然而,对于所选解的比较并没有给予太多的关注。在[39]中,提出了一种新的相关研究。这项工作的主要输出帮助读者理解IMS(s)的术语和标准。此外,它们提供了与安全性、表示和数据共享挑战相关的足够多的细节。
最后,在[40]中,作者有趣地提供了关于区块链使用的SSI解决方案的丰富比较。本文详细介绍了两类主要的解决方案:基于作为分布式账本的区块链技术的解决方案和使用经典分布式解决方案的解决方案。
以下是本文的主要贡献和与现有调查的差异:
- 本文提出了一个全局的、通用的SSI系统的体系结构,并详细介绍了它的主要组成部分、原理和生命周期。最终目的是提供这一研究领域的一般概述。与其他综述不同,本文解释的体系结构和组件是高度抽象的,并且独立于特定的用例。
- 为了评估各种SSI解决方案,已经建立了一个完整的策略。该策略高度考虑社区对解决方案本身的反馈,以及源代码的成熟度和与其他解决方案的互操作性。还分析了解释解决方案的使用和部署的文档和教程的可用性。由于SSI技术经历了巨大的发展,因此重点研究了所研究的解决方案的最新版本。更重要的是,本文提出并讨论了阻碍完全采用新的SSI范式的技术和非技术限制。并对SSI技术在安全性、可扩展性和鲁棒性等方面的研究提出了一些建议和研究方向。
结论
讨论了数字身份的问题。首先给出了定义;然后从重要性、机遇和风险的角度讨论了当前的数字领域。随后,提出了两种经典的身份范式,即集中式和联邦式身份;对它们的方案进行了说明,并讨论了它们的优点和局限性。本文的重点接着是去中心化身份,这是数字身份的新形式;讨论了它的定义、重要性和工作流程。在这种背景下,引入了自主身份;这种新的身份范型是去中心化身份的一种更高级的形式,在这种形式中,不仅身份属性仍然在用户的控制之下,而且数据及其相关的操作也仍然在用户的控制之下。并对这种范式的原理和组成部分进行了说明。为了实现SSI系统,强调了必须实现的最重要的组件。
为了回答SSI系统目前是否可行的问题,有一部分专门讨论了主要的挑战和限制。认为不仅业务和社会因素仍然阻碍着完整的SSI系统的构建,而且还存在一些技术问题。为了完成这篇文献综述,概述了一套声称发展SSI系统的现有解决方案。描述了他们的设计,以及他们应对SSI十条原则的能力。最后,根据几个标准,对现有的调查进行了详细的文献回顾和比较。
由此得出的主要结论是,建立一个既能有效管理用户身份又能保护其数据和行为的去中心化身份系统尚不完全可行。这是由于技术和非技术因素。从技术角度出发,重点讨论了区块链的可扩展性和互操作性问题,以及区块链中可能出现的身份问题,如数据的可链接性、可追踪性和匿名性。此外,有效地处理用户密钥对于任何SSI系统都是必须的。到目前为止,这个问题还没有得到很好的解决。
从非技术的角度来看,为去中心化身份组件制定标准是非常重要的。一些组织和财团已经开始了这项工作,如Sovrin, the identity foundation, European forum等,并应该进一步扩展到更广泛的私人和公共组织。
虽然本文提供了包括最新的SSI在内的IMSs的描述和定性分析,但仍然需要在这方面纳入更多的定量研究。为了填补这一空白,评估基于区块链的SSI解决方案的可扩展性将是未来工作的一部分。更准确地说,Sovrin IMS的吞吐量和延迟将根据活跃用户数量进行评估。此外,将进行关于采用成本和新SSI范式的获取率的统计和业务分析。
最后,对SSI方案的安全等级进行定量评估。考虑到量子计算和后量子密码学的兴起,这无疑已经成为一种必须。
引用
[1] Li, Y., Yu, W., Li, X. and Yang, Z., 2020. Research on the evolution of global internet network interconnection relationship in 21 years. China Communications, 17(8), pp.158-167.
[2] Catlin, T. and Lorenz, J.T., 2017. Digital disruption in insurance: Cutting through the noise. Digit. McKinsey.
[3] Laurent, M., Denouël, J., Levallois-Barth, C. and Waelbroeck, P., 2015. Digital identity. In Digital identity management (pp. 1-45). Elsevier.
[4] Windley, P.J., 2003. Understanding digital identity management. The Windley Group.
[5] Labong, R.C., 2019. Identity Theft Protection Strategies: A Literature Review. Journal of Academic Research, 4(2), pp.1-12.
[6] Hammouchi, H., Cherqi, O., Mezzour, G., Ghogho, M. and El Koutbi, M., 2019. Digging deeper into data breaches: An exploratory data analysis of hacking breaches over time. Procedia Computer Science, 151, pp. 1004-1009.
[7] Goel, R.K., 2019. Identity theft in the internet age: Evidence from the US states. Managerial and Decision Economics, 40(2), pp.169-175.
[8] Moriarty, K.M., 2020. Authentication and Authorization. In Transforming Information Security. Emerald Publishing Limited.
[9] Khalil, M.M., Lamison, M.R. and Dubagunta, S., Verizon Patent and Licensing Inc, 2020. Identity management via a centralized identity management server device. U.S. Patent Application 15/929,806.
[10] Kumar M, N. and Honnavalli, P.B., 2020. Dynamic Federation in Federated Identity Management. Suganthi and Honnavalli, Prasad B, Dynamic Federation in Federated Identity Management.
[11] Kubach, M., Schunck, C.H., Sellung, R. and Roßnagel, H., 2020. Self-sovereign and Decentralized identity as the future of identity management?. Open Identity Summit 2020.
[12] Zhu, X. and Badr, Y., 2018. Identity management systems for the internet of things: a survey towards blockchain solutions. Sensors, 18(12), pp. 4215.
[13] Pöhn, D. and Hommel, W., 2020, August. An overview of limitations and approaches in identity management. In Proceedings of the 15th International Conference on Availability, Reliability and Security, pp. 1-10.
[14] Amoli, G., Kala, M. and Chaurasia, J., 2019. Comprehensive Security Analysis of Federated Identity Management. Journal of Communication Engineering & Systems, 7(1), pp.11-16.
[15] Lin, X., 2020. New Innovations in eIDAS-compliant Trust Services: Blockchain (Bachelor's thesis, Universitat Politècnica de Catalunya).
[16] Sadqi, Y., Belfaik, Y. and Safi, S., 2020, March. Web OAuth-based SSO Systems Security. In Proceedings of the 3rd International Conference on Networking, Information Systems & Security, pp. 1-7.
[17] Kubach, M., Schunck, C.H., Sellung, R. and Roßnagel, H., 2020. Self-sovereign and Decentralized identity as the future of identity management?, Open Identity Summit 2020.
[18] Alzahrani, B., 2020. An Information-Centric Networking based Registry for Decentralized Identifiers and Verifiable Credentials. IEEE Access, 8, pp. 137198-137208.
[19] van Bokkem, D., Hageman, R., Koning, G., Nguyen, L. and Zarin, N., 2019. Self-sovereign identity solutions: The necessity of blockchain technology. arXiv preprint arXiv:1904.12816.
[20] Sunyaev, A., 2020. Distributed ledger technology. In Internet Computing, pp. 265-299, Springer, Cham.
[21] Lux, Z.A., Thatmann, D., Zickau, S. and Beierle, F., 2020. Distributed-Ledger-based Authentication with Decentralized Identifiers and Verifiable Credentials. arXiv preprint arXiv:2006.04754.
[22] Patil, A.S., Belhekar, S.P., Burkul, R.S. and Sambare, M.V., 2019. Review Paper on–Smart Wallet.
[23] Laine, K., 2020. Homomorphic encryption. In Responsible Genomic Data Sharing, pp. 97-122, Academic Press.
[24] van Bokkem, D., Hageman, R., Koning, G., Nguyen, L. and Zarin, N., 2019. Self-sovereign identity solutions: The necessity of blockchain technology. arXiv preprint arXiv:1904.12816.
[25] Panait, A.E., Olimid, R.F. and Stefanescu, A., 2020, September. Analysis of uPort Open, an identity management blockchain-based solution. In International Conference on Trust and Privacy in Digital Business, pp. 3-13, Springer, Cham.
[26] Toyoda, K., Machi, K., Ohtake, Y. and Zhang, A.N., 2020. Function-level bottleneck analysis of private proof-of-authority ethereum blockchain. IEEE Access, 8, pp. 141611-141621.
[27] Gilani, K., Bertin, E., Hatin, J. and Crespi, N., 2020, September. A survey on blockchain-based identity Management and decentralized privacy for personal data. In BRAIN 2020: 2nd conference on Blockchain Research & Applications for Innovative Networks and Services.
[28] S. Foundation, 2018, Sovrin: A protocol and token for self-sovereign identity and decentralized trust, Tech. rep., Sovrin Foundation.
[29] Ebrahimi, A., ShoCard, Inc., 2020, BLOCKCHAIN ID CONNECT. U.S. Patent Application 16/656,477.
[30] Dib, O., Brousmiche, K.L., Durand, A., Thea, E. and Hamida, E.B., 2018. Consortium blockchains: Overview, applications and challenges. International Journal on Advances in Telecommunications, 11(1&2).
[31] Shah, M., Shaikh, M., Mishra, V. and Tuscano, G., 2020, June. Decentralized Cloud Storage Using Blockchain. In 2020 4th International Conference on Trends in Electronics and Informatics (ICOEI), 48184, pp. 384-389, IEEE.
[32] Der, U., Jahnichen, S., And Surmeli, J., 2017, Self-sovereign identity - opportunities and challenges for the digital revolution, arXiv preprint arXiv:1712.01767.
[33] Ferdous, M.S., Chowdhury, F. and Alassafi, M.O., 2019. In search of self-sovereign identity leveraging blockchain technology. IEEE Access, 7, pp. 103059-103079.
[34] Kuperberg, M., 2019, Blockchain-based identity management: A survey from the enterprise and ecosystem perspective. IEEE Transactions on Engineering Management, pp. 1–20.
[35] Zhu, X., And Badr, Y., 2018, Identity management systems for the internet of things: A survey towards blockchain solutions. Sensors, 18, 12, 4215.
[36] Berg, A., Berg, C., Davidson, S., and Potts, J., 2018, The institutional economics of identity. SSRN Electronic Journal, 05.
[37] El Haddouti, S. and El Kettani, M.D.E.C., 2019, Analysis of Identity Management Systems Using Blockchain Technology. In CommNet, pp. 1-7.
[38] Muhle, A., G Runer, A., Gayvoronskaya, T., and Meinel, C., 2018, A survey on essential components of a self-sovereign identity. Computer Science Review 30, pp. 80 – 86.
[39] Lesavre, Lo., 2019, A taxonomic approach to understanding emerging blockchain identity management systems, arXiv preprint arXiv:1908.00929.
[40] Van Bokkem, D., Hageman, R., Koning, G., Nguyen, L., And Zarin, N., 2019, Self-sovereign identity solutions: The necessity of blockchain technology, CoRR abs/1904.12816.
[2] Catlin, T. and Lorenz, J.T., 2017. Digital disruption in insurance: Cutting through the noise. Digit. McKinsey.
[3] Laurent, M., Denouël, J., Levallois-Barth, C. and Waelbroeck, P., 2015. Digital identity. In Digital identity management (pp. 1-45). Elsevier.
[4] Windley, P.J., 2003. Understanding digital identity management. The Windley Group.
[5] Labong, R.C., 2019. Identity Theft Protection Strategies: A Literature Review. Journal of Academic Research, 4(2), pp.1-12.
[6] Hammouchi, H., Cherqi, O., Mezzour, G., Ghogho, M. and El Koutbi, M., 2019. Digging deeper into data breaches: An exploratory data analysis of hacking breaches over time. Procedia Computer Science, 151, pp. 1004-1009.
[7] Goel, R.K., 2019. Identity theft in the internet age: Evidence from the US states. Managerial and Decision Economics, 40(2), pp.169-175.
[8] Moriarty, K.M., 2020. Authentication and Authorization. In Transforming Information Security. Emerald Publishing Limited.
[9] Khalil, M.M., Lamison, M.R. and Dubagunta, S., Verizon Patent and Licensing Inc, 2020. Identity management via a centralized identity management server device. U.S. Patent Application 15/929,806.
[10] Kumar M, N. and Honnavalli, P.B., 2020. Dynamic Federation in Federated Identity Management. Suganthi and Honnavalli, Prasad B, Dynamic Federation in Federated Identity Management.
[11] Kubach, M., Schunck, C.H., Sellung, R. and Roßnagel, H., 2020. Self-sovereign and Decentralized identity as the future of identity management?. Open Identity Summit 2020.
[12] Zhu, X. and Badr, Y., 2018. Identity management systems for the internet of things: a survey towards blockchain solutions. Sensors, 18(12), pp. 4215.
[13] Pöhn, D. and Hommel, W., 2020, August. An overview of limitations and approaches in identity management. In Proceedings of the 15th International Conference on Availability, Reliability and Security, pp. 1-10.
[14] Amoli, G., Kala, M. and Chaurasia, J., 2019. Comprehensive Security Analysis of Federated Identity Management. Journal of Communication Engineering & Systems, 7(1), pp.11-16.
[15] Lin, X., 2020. New Innovations in eIDAS-compliant Trust Services: Blockchain (Bachelor's thesis, Universitat Politècnica de Catalunya).
[16] Sadqi, Y., Belfaik, Y. and Safi, S., 2020, March. Web OAuth-based SSO Systems Security. In Proceedings of the 3rd International Conference on Networking, Information Systems & Security, pp. 1-7.
[17] Kubach, M., Schunck, C.H., Sellung, R. and Roßnagel, H., 2020. Self-sovereign and Decentralized identity as the future of identity management?, Open Identity Summit 2020.
[18] Alzahrani, B., 2020. An Information-Centric Networking based Registry for Decentralized Identifiers and Verifiable Credentials. IEEE Access, 8, pp. 137198-137208.
[19] van Bokkem, D., Hageman, R., Koning, G., Nguyen, L. and Zarin, N., 2019. Self-sovereign identity solutions: The necessity of blockchain technology. arXiv preprint arXiv:1904.12816.
[20] Sunyaev, A., 2020. Distributed ledger technology. In Internet Computing, pp. 265-299, Springer, Cham.
[21] Lux, Z.A., Thatmann, D., Zickau, S. and Beierle, F., 2020. Distributed-Ledger-based Authentication with Decentralized Identifiers and Verifiable Credentials. arXiv preprint arXiv:2006.04754.
[22] Patil, A.S., Belhekar, S.P., Burkul, R.S. and Sambare, M.V., 2019. Review Paper on–Smart Wallet.
[23] Laine, K., 2020. Homomorphic encryption. In Responsible Genomic Data Sharing, pp. 97-122, Academic Press.
[24] van Bokkem, D., Hageman, R., Koning, G., Nguyen, L. and Zarin, N., 2019. Self-sovereign identity solutions: The necessity of blockchain technology. arXiv preprint arXiv:1904.12816.
[25] Panait, A.E., Olimid, R.F. and Stefanescu, A., 2020, September. Analysis of uPort Open, an identity management blockchain-based solution. In International Conference on Trust and Privacy in Digital Business, pp. 3-13, Springer, Cham.
[26] Toyoda, K., Machi, K., Ohtake, Y. and Zhang, A.N., 2020. Function-level bottleneck analysis of private proof-of-authority ethereum blockchain. IEEE Access, 8, pp. 141611-141621.
[27] Gilani, K., Bertin, E., Hatin, J. and Crespi, N., 2020, September. A survey on blockchain-based identity Management and decentralized privacy for personal data. In BRAIN 2020: 2nd conference on Blockchain Research & Applications for Innovative Networks and Services.
[28] S. Foundation, 2018, Sovrin: A protocol and token for self-sovereign identity and decentralized trust, Tech. rep., Sovrin Foundation.
[29] Ebrahimi, A., ShoCard, Inc., 2020, BLOCKCHAIN ID CONNECT. U.S. Patent Application 16/656,477.
[30] Dib, O., Brousmiche, K.L., Durand, A., Thea, E. and Hamida, E.B., 2018. Consortium blockchains: Overview, applications and challenges. International Journal on Advances in Telecommunications, 11(1&2).
[31] Shah, M., Shaikh, M., Mishra, V. and Tuscano, G., 2020, June. Decentralized Cloud Storage Using Blockchain. In 2020 4th International Conference on Trends in Electronics and Informatics (ICOEI), 48184, pp. 384-389, IEEE.
[32] Der, U., Jahnichen, S., And Surmeli, J., 2017, Self-sovereign identity - opportunities and challenges for the digital revolution, arXiv preprint arXiv:1712.01767.
[33] Ferdous, M.S., Chowdhury, F. and Alassafi, M.O., 2019. In search of self-sovereign identity leveraging blockchain technology. IEEE Access, 7, pp. 103059-103079.
[34] Kuperberg, M., 2019, Blockchain-based identity management: A survey from the enterprise and ecosystem perspective. IEEE Transactions on Engineering Management, pp. 1–20.
[35] Zhu, X., And Badr, Y., 2018, Identity management systems for the internet of things: A survey towards blockchain solutions. Sensors, 18, 12, 4215.
[36] Berg, A., Berg, C., Davidson, S., and Potts, J., 2018, The institutional economics of identity. SSRN Electronic Journal, 05.
[37] El Haddouti, S. and El Kettani, M.D.E.C., 2019, Analysis of Identity Management Systems Using Blockchain Technology. In CommNet, pp. 1-7.
[38] Muhle, A., G Runer, A., Gayvoronskaya, T., and Meinel, C., 2018, A survey on essential components of a self-sovereign identity. Computer Science Review 30, pp. 80 – 86.
[39] Lesavre, Lo., 2019, A taxonomic approach to understanding emerging blockchain identity management systems, arXiv preprint arXiv:1908.00929.
[40] Van Bokkem, D., Hageman, R., Koning, G., Nguyen, L., And Zarin, N., 2019, Self-sovereign identity solutions: The necessity of blockchain technology, CoRR abs/1904.12816.
投递牛客等公司9个岗位 >
