社会的数字化正在推动身份的数字化。从健康信息到专业认证,对身份信息和凭证的需求都在不断增加,无论是在数量、种类还是价值方面。传统上,身份信息由第三方监控和验证-这可能是政府或者私营部门。然而,低信任度和新工具让人们开始质疑这些传统做法。
随着个人数据量、数字交互频率和安全威胁风险的不断增加,基于纸张的身份形式越来越不适合数字世界。然而,我们尚不清楚新兴技术将如何重塑身份。
在组织环境中,身份和访问管理 (IAM) 技术发挥着重要作用,它可以帮助识别、验证和授权谁可访问服务或系统。这个类别包含多个流程,访问可以指任何事情,从客户登录软件和员工配置硬件,到市民使用政府服务,再到用户验证、认证和证明的各种方式。身份属性是附加在身份上的标签:职业、国籍、与服务提供商的关系、获得政府权利和人口统计数据。这些标签不仅是数字表示,而且可以证明我们是谁。
分布式账本技术(DLT),通常被称为区块链,是为IAM提供潜在模型的新兴技术之一。我们最好将DLT理解为一个总称,它涵盖用于数据安全和计算的各种分布式设计,以及其中捆绑的技术。在其核心,它使交易、身份验证和交互能够由网络进行记录和验证,而不是单个中央机构。这种按顺序记录和获取已存储数据的能力被认为是记录保存领域的根本性突破,其应用远远超过加密货币。
区块链改进IAM的10种方式
在多个用例中,区块链技术(或者说受区块链启发的设计)可能会改进IAM流程,这包括以下:
(1) 多方验证
多方验证涉及用一组实体替代中央身份服务公司,这些实体由网络管理,并归合资企业或联合企业所有。这种做法可将DLT应用于IAM系统以提高效率,尽管各方协调的复杂性限制大规模部署。
(2) 可验证凭证
根据万维网联盟 (W3C) 的说法,“可验证凭证代表发行者做出的声明,以防篡改和尊重隐私的方式。”它们是身份验证的重要组成部分,而DLT带来机会可为固定声明加上“数字水印”。正如基于区块链的不可替代令牌使艺术家能够对其原始介质进行数字水印一样,类似的功能也可用于验证身份凭证。这就是说,企业不应在区块链上存储个人身份信息 (PII);他们应该只存储声明的哈希值。
(3) 分布属性
在公共区块链架构,或基于开源软件的混合架构中,访问不受限制,并且有可能支持全局搜索和发现属性,而不需要中央目录。这种透明度可能会威胁到隐私原则,但通过额外的隐私工程层,更容易获得的分布式有可能改善金融包容性,并帮助那些无法证明自己身份的人获得权利。
(4) 访问属性
属性可以被加密,智能合约可以被编码以在需要时解密它们,智能合约是指区块链上的编码逻辑和算法的条款。为了避免将PII或属性本身存储在区块链上,只有属性哈希值的签名应该存储在分类账上,而用户可从他们的设备中显示属性。
(5) 属性来源
我们如何知道身份属性的来源和准确性?毕竟,属性的可靠性取决于我们对其来源的信任。正如共享账本提高供应链食品跟踪的透明度和效率,共享账本也可能用于验证身份,它可提高身份属性发布来源的时间戳的透明度。这种相同的功能对于密钥生命周期管理很有用,特别是对加密密钥生命周期元数据的同步可视性,例如谁有权访问什么。学术界正在考虑使用它,因为它可以帮助验证和认证证书及招聘凭证。
(6) 数据最小化
服务提供商实际上需要知道哪些信息来认证某人?各种DLT功能(例如智能合约、零知识证明或选择性披露)可配置为最大限度地减少验证所需的数据或属性,并且,这些数据或属性永远不会被披露。
(7) 审计追踪 在很多企业环境中,创建交互日志不仅是操作和安全最佳做法,而且是合规性要求。虽然在记录信息用于审计时区块链不是强制性要求,例如,用户注册、用户登录、用户请求权限或用户被停用,但区块链可用于跨各方的同步、维护日志完整性和减少篡改或欺诈的可能性。
(8) 合规性验证
通过共享审计跟踪实现的另一个用例是合规性验证,因为审计员可能是共享分类账网络中基于权限的利益相关者。很多企业身份用例还需要合规性验证,例如金融服务中的客户调查(KYC)。在这个例子中,IAM与区块链的融合不会消除对中央机构的需求(在KYC的情况下,中央机构是政府机构),但可以为个人和银行提供更高效率。银行可以“看到”并证明其他银行已经进行了KYC尽职调查并已验证客户身份,这同时可降低银行的成本。
(9) 自主身份(SSI)
尽管完全自主决定以及转移所有属性的控制权给最终用户的概念早于区块链和IAM,但DLT激发了一些创新设计,以实现对个人数据的更大自主决定。DLT示例包括专为属性可靠性设计的共识算法。虽然SSI具有潜力,但有些风险较高的企业用例,例如在医疗保健或金融服务业,可能总是需要外部授权来验证身份声明。
(10) 去中心化标识符(DID)
DID是完全由身份所有者控制的标识符,独立于中央机构或提供商。DID是SSI的组件,被设计为由用户控制,无法重新分配和解析。这意味着它们包含公钥文档、身份验证协议,以及通过密码学或发行机构签名的可验证性。
例如,考虑一下这些用例在医疗保健领域提供的机会。医院、保险公司、护理人员、诊所和药房之间缺乏沟通阻碍效率、成本节约和护理的可及性。这个问题的核心挑战之一是身份层。DLT支持的用例可以实现以下目标:
- 通过单一可信源,为医疗保健认证过程中所有利益相关则会提高可视性;
- 跟踪和验证从业者认证(在其职业生涯中),以及组织许可;
- 验证健康记录的真实性和同步许可访问;
- 通过私钥、数据最小化、凭证验证、更好的患者控制等,支持更大的信息隐私;
- 通过编码智能合约和实时可视性提高合规性;
- 通过减少数据孤岛和重复,降低与验证凭证相关的成本、复杂性和时间。
区块链和IAM的现实
这些用例展现了区块链和IAM相结合的好处,但忽略一个重要的现实:身份很复杂。身份是个人的,并且越来越具有生物特征,而身份的数字化是前所未有的。
尽管IAM连接了多个域、系统、技术和服务提供商,但将身份信息编码到DLT中不仅仅是技术工作。询问有关数据的问题很重要:应该存储什么、谁为其担保、如何维护以及由谁决定。这些问题涉及哲学、经济、文化和法律方面。技术仍在不断变化,技术有可能将身份控制点从集中但断开连接的中心转移到分散和互连的信任网络。
