之前我们已经了解了SSI的基本概念。SSI指的是个人数据在数字网络中运作的一套原理,同时,它也是建立在身份管理、分布式计算、区块链和密码学之上的一整套技术。
SSI包含七个基本的组成部分。
一、可验证凭证
我们平常所说的证书,指的是随身携带的能够证明身份的文件或者卡片。比如身份证、银行卡、户口本、护照、驾照、学位证等。这些证书涉及的对象是人,也有一些涉及非人的证书,比如狗证。
不管是涉及人还是涉及动物或者其他物品的证书,都包含一套关于证书对象的申明,涉及持证方的特征、关系或权益。
一个证书能成为一个凭证,其所包含的内容必须可验证,让验证方能够确定真实有效。
- 谁发的?
- 有没有没被篡改?
- 是不是有效?
物理证件通常通过技术防伪手段来实现。而SSI中讲的可验证凭证,可以依赖密码学和互联网技术,在毫秒级完成证书的验证。验证回答以下问题:
- 凭证是否包含标准格式的验证数据?
- 是否有发证方有效的数字签名?
- 是否有效?(PKI体系中的CRL和OCSP)
- 是否提供了持证方是证书对象的加密证明?
二、可验证凭证三角
可验证凭证涉及三个主要角色,分别是发证方、持证方、验证方。
发证方是证书的来源。持证方向发证方申请可验证凭证,并将其保存到数字钱包中,并在收到验证请求时出示。验证方是检验证书对象的任何个人、组织或实物。
三、数字钱包
能叫数字钱包,就是跟实物钱包类比,基本功能相同。比如要放现金、银行卡、身份证,便于收纳和获取。可以选择性地披露自己的身份信息,避免不必要的隐私泄露。这有助于保护用户的隐私权和信息安全。手机上的微信、支付宝都有数字钱包的功能。华为手机上也有华为钱包,可以管理银行卡。
投资过加密货币的人,对于数字钱包更加熟悉。
数字钱包,有的是托管于服务器,有的是存放在特定的硬件设备中。对于SSI需要有一个通用的数字钱包,所以对于便携式凭证和其他敏感隐私数据实施开放标准,并且通过数字代理技术,建立连接并进行证书交换。有几点要求:
- 接受任何标准化的可验证凭证。
- 安装使用方便,可以在设备间同步,并且可以备份。
- 使用体验方便安全。
四、数字代理
在SSI中,数字代理负责保护你的数字钱包,确保只有你和负责管理你的凭证和密钥的人才能使用。数字代理除了帮助身份所有者管理他们的钱包,还根据所有者的指令,通过互联网建立连接并交换证书,这需要一个去中心化安全信息交互协议。边缘代理运行于所有者的本地设备上,云代理运行在云服务托管商的的平台上。云代理可以代表身份所有者存储和同步其他数据。在云代理上存储的数据要经过身份持有者的密钥加密。
五、分布式标识
日常使用互联网时,我们通过IP或者域名访问一个目标服务器或运行其中的服务。有了这IP地址或域名,互联网上的任何两台设备就可以建立起连接。这得益于我们对IP或者与域名对应的IP做了特定的编码和分配,使得两个设备得以找到对方。
在PKI体系中,我们通过公私钥技术和签名验签的非对称算法,实现了对私钥持有者的身份确认。这个体系中的发证方只有世界上一小批机构,发证资格也被严格监管。
SSI体系中,要实现数字代理和数字钱包之间的分布式信息传递的安全,保障数字代理之间能够彼此加密传输可验证凭证。由此需要一种更强大安全的方法让身份持有者和数字代理证明他们对公钥的所有权。解决方案就是分布式数字表示DID。一个DID就是一个公钥的地址。可以用DID来确定实体和数字代理所处的位置。如同任何两个IP地址的设备可以使用TCP/IP连接并交换数据。任何两个DID的身份所有者可以使用SSI协议栈建立安全的连接来交换数据。DID的五个强大特性:
- 永久连接——除非主动中断。
- 专用通道——自动加密。
- 端到端——没有中介。
- 可信赖——验证可交换凭证。
- 可扩展——不限于凭证验证,可以传递任何数据。
六、区块链和其他可验证数据注册表
区块链是一个防篡改的分布式数据库。
- 每笔交易都需要数字签名。每个对等节点管理其私钥,利用区块链进行数字签名。交易必须经过签名验证。
- 交易被分组为区块,然后加密,然后链接起来。
- 新区块被加密复制到对等节点,每个区块由不同的对等实体运行,这依赖共识机制。
SSI体系中,注册和解析DID、公钥,确保数字钱包和数字代理能够安全交流和交换可验证凭证,可以用一种通用的DID方法适配现有不同的区块链或分布式网络。基于区块链技术,就可以最终建立全球分布式数据库,即使遭遇单点故障和攻击,依然可以作为公钥的可信来源。
七、治理框架
SSI基础设施的最终目标:使互联网交互作用的双方实现互相信任。加密、DID、区块链奠定了信任层的基础。但加密信任不等于人的信任,人的信任建立在加密信任之上。
在引入了治理框架之后,第二个信任三角就创建了,它也是可验证凭证的另一面:它规定了发证方发行证书遵循的程序和政策。创建和管理治理框架的实体就是治理机构。
治理机构及治理框架,结合其他的构建模块,将机器与人之间的加密信任与业务、法律和社会的信任相结合,共同支持了可互操作的数字信任生态系统的构建。
八、后记
本文介绍了SSI的基本构建模块,后续我们将在一分钟系列里面继续针对单点的模块继续进行分析介绍。在互联网身份认证方面,安当将继续研究各种前沿的技术,并在未来产品演进中加入更多匹配客户安全需求的功能。
文章作者:太白 ©本文章解释权归安当西安研发中心所有
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/31625