您现在的位置是: 首页 > 科技 >

在隐私和安全失败的情况下 数字身份认证取得了进步

  • 2020-01-08 16:10:36

近年来,人们对越来越多的隐私和安全问题感到失望,这推动了数字身份的创建,而这些数字身份仅由信息所有者控制。

这些被称为“自主身份”的数字身份将在未来几年被消费者、企业、员工和政府用来验证一切,从信用价值和大学文凭到执照和企业对企业的凭证。

“我们正慢慢地从爬行走向行走。我们需要一到两年的时间,才能拥有可靠的能力,激发有意义的去中心化身份采用,”高德纳(Gartner)高级研究总监赫曼法拉曼德(Homan Farahmand)说。“一个主要的非技术障碍是组织要学习这个概念,并采取必要的步骤来适当地调整他们的业务流程以适应分散的身份生态系统。”

越来越多的组织正在寻求更好地理解基于区块链电子账本的去中心化身份识别技术。目前,涉及少数组织的概念验证项目要多于生产系统。根据Farahmand的说法,这些试点项目正在政府、金融服务、保险、医疗、能源和制造业等领域进行试验,尚不构成一个完整的生态系统。

Farahmand说:“虽然这些项目有助于发现治理、用户体验、标准化和互操作性等方面的差距,但目前还没有一个(上升到)实际的去中心化生态系统来引导普遍采用。”

自我主权设想消费者和企业最终控制他们在电子设备和在线上的信息,使他们能够提供验证凭证,而不需要像现在这样依赖中央存储库。自我主权的身份识别技术也从社交网络、银行机构和政府机构的集中式身份数据库手中夺走了控制权。

一个人的凭证将被保存在一个加密的数字钱包中,用来记录与政府、银行、雇主、学校和其他机构的可信关系。但是需要注意的是,自我主权的身份识别系统并不是自我认证的。信任谁的责任取决于另一方。无论您将数字ID提供给谁,都必须确定其中的凭据是否可以接受。

阿里说:“例如,如果我申请一份工作,他们要求我证明我毕业于某一所特定的学校,需要看我的文凭,我可以用数字形式展示。”而且,证书很可能必须由颁发证书的学校以密码签名。因此,作为我的工作地点的依托方,将不得不决定我何时提交凭据,以确定签名密钥是否是他们信任的东西。”

例如,一个工作地点可以发出电子确认或“凭证”,可以存储在该员工的数字钱包中,表明您为XYZ公司工作。甚至像健康俱乐部会员认证这样简单的事情都可以添加到用户的钱包中,并通过移动应用程序呈现。

对消费者很注意他们的网上信息,信用卡号码、出生日期、年收入等。——blockchain-based网络意味着用户控制谁可以看到他们的数据或获得采购批准没有公布细节,如他们的年收入或年龄和地址。

对于银行等企业而言,诸如了解客户(KYC)之类的规则使基于区块链的数字身份更具吸引力。

自我主权身份可以这样工作:用户有银行确认信用额度或雇主确认年收入;这些确认信息是加密的,但是在一个公共的区块链分类账上是可用的,消费者持有这个分类账的私钥和公钥。

例如,想从汽车经销商那里获得汽车贷款的消费者,可以通过公钥向经销商授予许可,以确认他或她有足够的信用或年收入来购买汽车——而无需透露确切的金额。因此,举例来说,如果经销商想要确保一个消费者一年的收入超过5万美元,区块链分类账就只能确认这个数字(而不是说这个人实际上赚了72,587美元或其他确切的数字)。

这种保密技术被称为零知识证明(zero-knowledge proof, ZKP),这是一种加密技术,允许用户证明资金、资产或识别信息的存在,而不需要披露其背后的细节。

自我主权的身份扩展到企业或其他组织,它们希望能够验证(或被验证)与其他企业或政府机构的交易。例如,安永会计师事务所Young创建了一个公共区块链,允许公司使用ZKPs秘密地完成业务交易,而不会暴露敏感的业务数据。

在另一个例子中,CULedger,一个由几十个信用合作社拥有的,旨在提供后台服务的合作社,与区块链公司R3合作创建了ecupay,一个建立在R3的Corda区块链平台上的安全电子资金转账(EFT)支付网络。CUPay是跨境客户支付的结算轨道。

区块链结算系统还可以作为分布式身份认证平台,用户可以通过信用社进行认证,然后携带自己的数字身份进行跨境支付,无论他们身处哪个国家,也无论涉及哪些金融机构。

CUPay利用R3的Corda作为组织标识,而CULedger的MyCUID则固定在Sovrin上作为个人标识。该解决方案提供了集成的KYC和AML服务,可以集成到多个网络中,消除了手动输入收件人详细信息的需要,并为信用合作社提供了内置的合规管理。

R3的身份管理主管阿巴斯•阿里表示:“因此,他们开发的PoC是为了使用SWIFT支付轨道,但他们可以使用任何他们想要的轨道,甚至可以使用加密货币来结算(金融交易),如果他们需要的话。”

R3是五年前由一家领先的金融服务公司组成的财团创建的,它领导着一个由300多家公司组成的团队,致力于在他们的区块链平台Corda上构建分布式应用程序。第三方可以开发数据应用程序(称为CorDapps),用于Corda平台上的任何行业,包括金融服务、保险和医疗。

简而言之,你可以把区块链平台想象成操作系统。它提供网络上的所有身份部分;它为参与者提供了一个相互通信的协议,但仅此而已。任何特定的用例或业务应用程序都将基于CorDapp的形式,”Ali说。

他补充道:“在应用层面,我们有很多合作伙伴利用所谓的分散身份(DiD)来开发身份访问管理解决方案。”

CULedger的CUPay消除了用户名和密码的需要,并免除了信用合作社呼叫中心在客户丢失时重新设置用户名和密码的义务。使用公钥基础设施(PKI)加密的数字身份仅由信用社客户控制。

CUPay与现代支付铁路系统的不同之处在于,用户的身份被附加到他们进行的每一笔交易中。目前的系统,如SWIFT的结算轨道,不通过电汇发送用户身份;它与电汇指令是分开的,这意味着只有汇款银行知道谁在汇款。

“优势在于接收方,”阿里说。“对他们来说,这只是他们开发PoC用例的一个例子,但他们有更大的愿景。他们希望人们能够灵活地在不同的供应商之间流动。你的手机上有身份证明,或者你的信用合作社签发的申请…(如果)你决定转到一个新的州或国家或改变信用社的提供者,你可以带着这个身份。这是一个更大的用例。”

如何使用CULedger的MyCUID手机应用:左图显示的是一名信用合作社会员被要求验证自己的身份。第二张图(右)显示的是确认身份的成员。如果会员按了“不”,信用合作社就会得到警告,他们可能正在处理的是一个糟糕的参与者或非会员。

阿里说,整个金融服务行业致力于开发分散的身份识别系统,这种系统将消除目前通过将用户信息保存在由一家公司或合作伙伴公司联盟控制的竖井中来识别用户的方法。

DID的关键是没有任何实体或个人验证企业或个人的身份。身份验证的责任在于依赖方。

“无论你向谁展示你的数字身份,都必须决定你通过钱包展示的证明是否可以接受,”阿里说。“最重要的不是你如何评价自己,而是一个值得信任的组织如何评价你。”

这意味着银行、政府、医疗机构或任何其他验证自我主权身份用户信息的实体将负责确保信息是可信的。

例如,2017年,麻省理工学院开始试验区块证书,这是一种基于区块链的网络,用于存储和共享学术证书。麻省理工学院与数字身份识别公司Learning Machine合作开发了该应用程序。

如今,Blockcerts已经开始运行,并被69%的毕业生使用。麻省理工学院(MIT)注册主任玛丽•卡拉汉(Mary Callahan)表示,在最后一个毕业班的3718名学生中,有2561名学生选择将毕业证书数字化,并通过基于区块链的应用程序提供。

Blockcerts创造了一个单一的数字身份钱包,毕业生可以通过一个链接到未来的雇主或其他学校来验证学术成就。

麻省理工学院的Blockcerts移动应用程序存储了经过验证的数字文凭,学生可以与潜在的雇主或其他学校共享。

“你可以想象,拥有一张表明你毕业的纸是世界上很有价值的商品。所以欺诈是一个问题,”卡拉汉说。“这也是一个真正认可学生终身学习的机会。对我们的学生来说,这是他们学习轨迹上的一站。他们可能会获得证书、徽章、硕士学位、博士学位,这可以把他们放在一个简单的证书组合中。”

麻省理工学院助理教授彼得•海耶斯表示,该学院通过学校的报纸、展板和各个学术部门的管理人员,积极向学生推销Blockcerts,这一努力使Blockcerts在过去一年的使用率增加了一倍。

“我们现在正在做的一件事就是与就业服务办公室合作,提高潜在雇主的形象。他们在校园里举办招聘会,有400到500名雇主。

Hayes说,仅去年一年,Blockcert应用程序就被使用了4124次来验证毕业生证书。“所以,虽然学生们没有给我们直接的反馈,但我们可以看到……数字表明他们正在使用它,”他表示。

据高德纳咨询公司(Gartner)称,这种自我独立的身份认同运动横跨多个行业。

建立DID基础设施的努力包括:

根据Gartner的Farahmand,越来越多的初创公司和传统的身份和安全供应商也正直接或间接地进入去中心化的身份市场。

然而,为了使分散的身份和可验证的索赔交换变得无处不在,需要通过将一些法律协议和策略推进到分散的协议(例如智能契约)中来实现行业标准化、互操作性和自治操作。

Farahmand说:“我们希望在去中心化的身份和区块链社区之间看到更多的合作,以利用智能合同和诸如Accord项目等举措。”(Accord计划正在努力让人们更容易在中立的平台上构建智能合同和文档。)

分散身份和可验证索赔交换是实现诸如用户身份验证、数字签名、同意和可验证索赔等功能的关键,Farahmand说。他说:“尽管我们观察到消费者、员工和企业对企业场景的所有这些用例的实现,可验证索赔交换是迄今为止最有效的,因为它可以破坏我们交换身份数据的方式。”

可核实的索赔交换可能涉及金融、医疗、教育、零售、专业服务甚至物联网等许多行业。

R3的Ali对此表示同意,称将采取更大的标准努力来推进全球去中心化的身份网络。

“您需要消除一个最大的障碍,即缺乏互操作性,”Ali说。“你需要互操作性,因为我们不相信一个区块链可以统治所有。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
Top