V1.0中的傳統身份認證:用戶在各個網站重復註冊賬號,使用賬號+密碼的方式登錄。每個網站都保存著用戶的身份信息,如圖1(a)所示。
缺點:重復註冊賬號,用戶會經常忘記賬號密碼;而且多個網站都有用戶信息,也導致信息泄露。
V2.0認證為單點登錄代表:在壹個網站註冊的賬號可以授權用戶登錄其他網站,如支付寶、微信、facebook、google等網站,然後再授權用戶登錄其他網站,如圖1(b)。
缺點:用戶的信息掌握在幾個大網站,會有“店小二欺負顧客”的成分,也容易出現信息泄露,比如facebook的用戶信息泄露。
V3.0去中心化身份認證:用戶可以保留自己的身份信息,必要時可以以極小的方式展示給各個網站確認,如圖1(c)。
是缺點嗎?需要區塊鏈作為底層技術支撐,作為可信第三方來保證身份信息的完整性和正確性。
DID文檔是對DID的詳細描述,是壹對壹的關系。可視為由DID元數據和DID公鑰兩部分組成,如圖4(a)所示,其中公鑰為密鑰,用於數字簽名或加密操作。
壹般DID由用戶自己保存,DID文檔保存在區塊鏈(DID可以作為key的索引)中,以保證DID文檔的正確性。
用戶在區塊鏈上註冊DID時,可以根據智能合約生成DID和相關文檔,智能合約負責讀取和更新鏈上的DID。
DID的認證過程涉及四方交互:證書頒發者、證書持有者(可以有壹個app存儲多個證書憑據VC)、驗證者、DID註冊系統(如區塊鏈)。
證書頒發者是權威機構,如大學、公安機關等。持有人會保留權威機構出具的憑據VC(如大學取得的畢業證、公安機關取得的身份證等。);驗證者將驗證這些憑證的表示(VP)並組合區塊鏈上的信息。
DID認證的前提是當局、VC持有者和驗證者已經在區塊鏈註冊了各自的ID。
VC(可驗證憑據):可驗證的憑據,相當於大學頒發的畢業證或公安機關頒發的身份證。其格式如圖4(b)所示,包括:
(1) VC元數據,如發行人、發行日期、索賠類型等。
(2)聲明:關於主題的壹個或多個描述,如身份證憑據聲明,包括:姓名、性別、出生日期、國籍、地址等。
(3)證明:保存發行者的數字簽名,以驗證VC的正確性和來源。
在壹些實現中,使用應用或錢包來存儲VC,並且持有者自己保存它,或者VC可以作為私有數據存儲在區塊鏈中。
VP(可驗證表示):表示可驗證憑證,或者顯示可驗證憑證。在某些場景下,持有者不方便將VC直接展示給驗證者,或者壹次驗證會涉及多個VCS,所以將壹個或多個VCS封裝成VP,格式如圖4(c)所示:
(1) VP元數據,包括版本等信息;
(2) VC列表,VC要向公眾展示的內容,如果是在選擇性公開或隱私保護的情況下,需要對原有VC進行壹些修改,並添加修改的證明。
(3)證明主要指持有人在此VP上的簽名信息。
VC中的索賠五花八門,可能是大學畢業證,身份證,駕照,結婚證等。為了正確地解析它,需要事先在區塊鏈中註冊它的解析方法。
這種事情壹般都是權威人士做的。根據業務場景的分類,在區塊鏈中定義並註冊了不同類型數據結構的索賠結構,以確保全網的充分利用。
以身份證為例,其完整的VC憑據包括姓名、性別、出生日期、國籍、住址、照片等。買火車票的時候,可能只需要姓名和身份證號。註冊學校時,可能只需要姓名、出生日期等。在確認少數民族身份時,需要明確民族信息。所以在很多場景下,並不是所有的選項都需要,可能只需要其中的壹兩項,只需要披露必要的項目即可。
但是如何確認這些披露的項目是正確的,沒有被修改過?這裏使用了經典的Merkle樹結構,如圖5所示。例如,在只需要公開生日的場景中,可以借用“生日”的兄弟選項“國籍”作為其到樹根的路徑
比如證書過期,頒發者需要撤銷之前頒發的證書VC,這裏用到密碼學中的累加器。
發行方發布VC時,會為每個VC設置壹個大素數,並保存所有大素數的RSA累加結果;當壹個VC需要撤銷時,首先用VC的大素數去掉累加器,更新累加器。經核實,發行人披露的累加器去掉VC對應的大素數。如果是可分的,說明VC是有效的(不是撤銷的)。
基於以太坊,眾所周知的DID是uPort。我也關註過Hyperledger的DID項目Hyperledger Indy,但是它的底層采用了自己的區塊鏈架構,而不是Hyperledger Fabric,這大概是基於Fabric的DID實現較少的原因。基於自己的BCOS架構,微眾銀行FISCO BCOS實現了自己的壹套WeIdentity。
本章只是簡單描述了DID是什麽,粗略介紹了它的使用原理。還有很多細節不能湊在壹起。如果您需要更多詳細信息,請移動:
本文介紹了DID的單壹實現方法。今天看到另壹篇博客,揭秘數字身份(2/2),或者參考其翻譯,揭開數字身份的神秘面紗。建議通過壹組鏈接文檔實現擴展DID,以信息圖譜的形式組織文檔,如主鏈、關聯賬戶、分類基礎信息概要、關聯外部服務或資源等。,如下圖所示。這種DID可以與任何應用、服務或用戶連接,並且是全球可用的、分布式的和可審計的DID。