社會的數(shù)字化正在推動身份的數(shù)字化。從健康信息到專業(yè)認(rèn)證，對身份信息和憑證的需求都在不斷增加，無論是在數(shù)量、種類還是價值方面。傳統(tǒng)上，身份信息由第三方監(jiān)控和驗證-這可能是政府或者私營部門。然而，低信任度和新工具讓人們開始質(zhì)疑這些傳統(tǒng)做法。

[[415997]]

隨著個人數(shù)據(jù)量、數(shù)字交互頻率和安全威脅風(fēng)險的不斷增加，基于紙張的身份形式越來越不適合數(shù)字世界。然而，我們尚不清楚新興技術(shù)將如何重塑身份。

在組織環(huán)境中，身份和訪問管理 (IAM) 技術(shù)發(fā)揮著重要作用，它可以幫助識別、驗證和授權(quán)誰可訪問服務(wù)或系統(tǒng)。這個類別包含多個流程，訪問可以指任何事情，從客戶登錄軟件和員工配置硬件，到市民使用政府服務(wù)，再到用戶驗證、認(rèn)證和證明的各種方式。身份屬性是附加在身份上的標(biāo)簽：職業(yè)、國籍、與服務(wù)提供商的關(guān)系、獲得政府權(quán)利和人口統(tǒng)計數(shù)據(jù)。這些標(biāo)簽不僅是數(shù)字表示，而且可以證明我們是誰。

分布式賬本技術(shù)(DLT)，通常被稱為區(qū)塊鏈，是為IAM提供潛在模型的新興技術(shù)之一。我們最好將DLT理解為一個總稱，它涵蓋用于數(shù)據(jù)安全和計算的各種分布式設(shè)計，以及其中捆綁的技術(shù)。在其核心，它使交易、身份驗證和交互能夠由網(wǎng)絡(luò)進(jìn)行記錄和驗證，而不是單個中央機(jī)構(gòu)。這種按順序記錄和獲取已存儲數(shù)據(jù)的能力被認(rèn)為是記錄保存領(lǐng)域的根本性突破，其應(yīng)用遠(yuǎn)遠(yuǎn)超過加密貨幣。

區(qū)塊鏈改進(jìn)IAM的10種方式

在多個用例中，區(qū)塊鏈技術(shù)(或者說受區(qū)塊鏈啟發(fā)的設(shè)計)可能會改進(jìn)IAM流程，這包括以下：

(1) 多方驗證

多方驗證涉及用一組實體替代中央身份服務(wù)公司，這些實體由網(wǎng)絡(luò)管理，并歸合資企業(yè)或聯(lián)合企業(yè)所有。這種做法可將DLT應(yīng)用于IAM系統(tǒng)以提高效率，盡管各方協(xié)調(diào)的復(fù)雜性限制大規(guī)模部署。

(2) 可驗證憑證

根據(jù)萬維網(wǎng)聯(lián)盟 (W3C) 的說法，“可驗證憑證代表發(fā)行者做出的聲明，以防篡改和尊重隱私的方式。”它們是身份驗證的重要組成部分，而DLT帶來機(jī)會可為固定聲明加上“數(shù)字水印”。正如基于區(qū)塊鏈的不可替代令牌使藝術(shù)家能夠?qū)ζ湓冀橘|(zhì)進(jìn)行數(shù)字水印一樣，類似的功能也可用于驗證身份憑證。這就是說，企業(yè)不應(yīng)在區(qū)塊鏈上存儲個人身份信息 (PII);他們應(yīng)該只存儲聲明的哈希值。

(3) 分布屬性

在公共區(qū)塊鏈架構(gòu)，或基于開源軟件的混合架構(gòu)中，訪問不受限制，并且有可能支持全局搜索和發(fā)現(xiàn)屬性，而不需要中央目錄。這種透明度可能會威脅到隱私原則，但通過額外的隱私工程層，更容易獲得的分布式有可能改善金融包容性，并幫助那些無法證明自己身份的人獲得權(quán)利。

(4) 訪問屬性

屬性可以被加密，智能合約可以被編碼以在需要時解密它們，智能合約是指區(qū)塊鏈上的編碼邏輯和算法的條款。為了避免將PII或?qū)傩员旧泶鎯υ趨^(qū)塊鏈上，只有屬性哈希值的簽名應(yīng)該存儲在分類賬上，而用戶可從他們的設(shè)備中顯示屬性。

(5) 屬性來源

我們?nèi)绾沃郎矸輰傩缘膩碓春蜏?zhǔn)確性?畢竟，屬性的可靠性取決于我們對其來源的信任。正如共享賬本提高供應(yīng)鏈?zhǔn)称犯櫟耐该鞫群托剩蚕碣~本也可能用于驗證身份，它可提高身份屬性發(fā)布來源的時間戳的透明度。這種相同的功能對于密鑰生命周期管理很有用，特別是對加密密鑰生命周期元數(shù)據(jù)的同步可視性，例如誰有權(quán)訪問什么。學(xué)術(shù)界正在考慮使用它，因為它可以幫助驗證和認(rèn)證證書及招聘憑證。

(6) 數(shù)據(jù)最小化

服務(wù)提供商實際上需要知道哪些信息來認(rèn)證某人?各種DLT功能(例如智能合約、零知識證明或選擇性披露)可配置為最大限度地減少驗證所需的數(shù)據(jù)或?qū)傩裕⑶遥@些數(shù)據(jù)或?qū)傩杂肋h(yuǎn)不會被披露。

(7) 審計追蹤 在很多企業(yè)環(huán)境中，創(chuàng)建交互日志不僅是操作和安全最佳做法，而且是合規(guī)性要求。雖然在記錄信息用于審計時區(qū)塊鏈不是強(qiáng)制性要求，例如，用戶注冊、用戶登錄、用戶請求權(quán)限或用戶被停用，但區(qū)塊鏈可用于跨各方的同步、維護(hù)日志完整性和減少篡改或欺詐的可能性。

(8) 合規(guī)性驗證

通過共享審計跟蹤實現(xiàn)的另一個用例是合規(guī)性驗證，因為審計員可能是共享分類賬網(wǎng)絡(luò)中基于權(quán)限的利益相關(guān)者。很多企業(yè)身份用例還需要合規(guī)性驗證，例如金融服務(wù)中的客戶調(diào)查(KYC)。在這個例子中，IAM與區(qū)塊鏈的融合不會消除對中央機(jī)構(gòu)的需求(在KYC的情況下，中央機(jī)構(gòu)是政府機(jī)構(gòu))，但可以為個人和銀行提供更高效率。銀行可以“看到”并證明其他銀行已經(jīng)進(jìn)行了KYC盡職調(diào)查并已驗證客戶身份，這同時可降低銀行的成本。

(9) 自主身份(SSI)

盡管完全自主決定以及轉(zhuǎn)移所有屬性的控制權(quán)給最終用戶的概念早于區(qū)塊鏈和IAM，但DLT激發(fā)了一些創(chuàng)新設(shè)計，以實現(xiàn)對個人數(shù)據(jù)的更大自主決定。DLT示例包括專為屬性可靠性設(shè)計的共識算法。雖然SSI具有潛力，但有些風(fēng)險較高的企業(yè)用例，例如在醫(yī)療保健或金融服務(wù)業(yè)，可能總是需要外部授權(quán)來驗證身份聲明。

(10) 去中心化標(biāo)識符(DID)

DID是完全由身份所有者控制的標(biāo)識符，獨立于中央機(jī)構(gòu)或提供商。DID是SSI的組件，被設(shè)計為由用戶控制，無法重新分配和解析。這意味著它們包含公鑰文檔、身份驗證協(xié)議，以及通過密碼學(xué)或發(fā)行機(jī)構(gòu)簽名的可驗證性。

例如，考慮一下這些用例在醫(yī)療保健領(lǐng)域提供的機(jī)會。醫(yī)院、保險公司、護(hù)理人員、診所和藥房之間缺乏溝通阻礙效率、成本節(jié)約和護(hù)理的可及性。這個問題的核心挑戰(zhàn)之一是身份層。DLT支持的用例可以實現(xiàn)以下目標(biāo)：

• 通過單一可信源，為醫(yī)療保健認(rèn)證過程中所有利益相關(guān)則會提高可視性;
• 跟蹤和驗證從業(yè)者認(rèn)證(在其職業(yè)生涯中)，以及組織許可;
• 驗證健康記錄的真實性和同步許可訪問;
• 通過私鑰、數(shù)據(jù)最小化、憑證驗證、更好的患者控制等，支持更大的信息隱私;
• 通過編碼智能合約和實時可視性提高合規(guī)性;
• 通過減少數(shù)據(jù)孤島和重復(fù)，降低與驗證憑證相關(guān)的成本、復(fù)雜性和時間。

區(qū)塊鏈和IAM的現(xiàn)實

這些用例展現(xiàn)了區(qū)塊鏈和IAM相結(jié)合的好處，但忽略一個重要的現(xiàn)實：身份很復(fù)雜。身份是個人的，并且越來越具有生物特征，而身份的數(shù)字化是前所未有的。

盡管IAM連接了多個域、系統(tǒng)、技術(shù)和服務(wù)提供商，但將身份信息編碼到DLT中不僅僅是技術(shù)工作。詢問有關(guān)數(shù)據(jù)的問題很重要：應(yīng)該存儲什么、誰為其擔(dān)保、如何維護(hù)以及由誰決定。這些問題涉及哲學(xué)、經(jīng)濟(jì)、文化和法律方面。技術(shù)仍在不斷變化，技術(shù)有可能將身份控制點從集中但斷開連接的中心轉(zhuǎn)移到分散和互連的信任網(wǎng)絡(luò)。