在企業中採用許可鏈技術是一條充滿挑戰的道路。從根本上來說,基於分佈式分類賬的所謂Web3堆棧對於實現複雜的企業業務流程是不成熟的。在企業區塊鏈平臺中缺失的構建塊中,身份作為新一代企業解決方案無處不在的挑戰而成為首要的考慮因素。本文將探討一下企業區塊鏈解決方案中的身份管理功能以及身份層模型。
在過去五年中,隨著新一代技術的出現,從CA或Microsoft Active Directory等複雜系統過渡到更開放的API驅動平臺,如Okta、Ping Identity、One Login as以及AWS、Azure或Google Cloud等雲平臺中的相應堆棧,身份管理行業迎來了巨大的發展。這些平臺將身份的功能從專有系統轉移到開放協議,如SAML、OpenID Connect等。但是,這並不意味著企業身份管理技術是簡單易用的。恰恰相反,隨著身份功能的發展,對身份管理解決方案的要求也越來越複雜。查看企業中當前的身份管理架構,有一些值得強調的特徵:
·基於中心化的身份提供機構:企業身份管理解決方案通常依賴於中心化的身份提供機構,這些身份提供機構接收某種形式的用戶憑證作為輸入,然後輸出身份通證。
·基於身份協議:目前,很大比例的企業身份管理解決方案利用SAML、OAuth2等協議進行交互。
·分散化:企業環境中的用戶身份分佈在不同的業務系統或用戶目錄中。結果,不同的應用程序傾向於與用戶身份的不同表示進行交互。
在許可鏈中實現身份功能的基本摩擦
將所有這些特點結合起來,我們可以知道,企業中的用戶身份分佈在許多系統中,但由身份提供機構來具體執行。對於身份,在當前的企業系統架構和區塊鏈技術領域之間需要解決兩個根本性的摩擦。
·共識與身份
·中心化與去中心化的身份斷言(assertion)
企業系統架構和區塊鏈技術領域的根本性摩擦
共識與身份
在許可鏈的場景中啟用身份管理功能與去中心化層的基本原則產生了摩擦。區塊鏈技術的最大貢獻在於,我們第一次在計算機科學史上擁有一個模型,在這個模型中,我們可以信任數學和密碼學而不是中心化的實體。以該原則為基礎,區塊鏈的架構是基於共識協議發展的。而在去中心化的世界中,身份還不是一個基本的構建塊,因為網絡的動態需要先達到最佳的決策過程。
基於計算的區塊鏈堆棧共識模型從根本上與企業解決方案存在很大不同,在企業解決方案中,參與者的身份是已知的。從這個意義上說,你可以認為,共識協議在已知身份的世界中可以提供的好處很少。
中心化與去中心化的身份斷言
當前企業身份管理系統的架構依賴於中心化機構來創建關於用戶身份的斷言。將該模型與分佈式分類賬架構(其中斷言將分佈在參與者網絡中)進行協調絕非小事。理想情況下,我們需要一種模型,其中身份斷言以加密安全的方式進行編碼並上鏈,然後分發給相關的網絡實體。
許可鏈中去中心化身份的構建塊
為了應對上一節中列出的一些挑戰,我們發現有一些技術組件對於許可鏈架構或許非常有用。
權威證明(PoA)
權威證明(PoA)是一種共識機制,依賴於身份作為第一類物件(可以在執行期創造並作為參數傳遞給其他函數或存入一個變數的實體)。在PoA網絡中,通過引用驗證者列表來實現共識。驗證者是一組允許參與共識的帳戶/節點;他們驗證交易和區塊。 PoA不需要解決計算成本非常高的謎題來提交交易。相反,交易只需要由大多數驗證者簽署,在這種情況下,它成為永久記錄的一部分。
權威證明
對於企業區塊鏈場景,PoA共識也是很實用的,因為它可以充分利用用戶和系統的現有身份。目前已經有許多與許可鏈相關的PoA共識實現,包括Parity和Microsoft Azure。
去中心化的身份協議
為了實現去中心化身份,需要對身份重新進行架構,將許多傳統的身份動態轉移到去中心化的參與者網絡中。
在過去的20年裡,微軟一直是身份管理領域的領先者之一,但它們也意識到區塊鏈需要新的身份模型。受到DIF(去中心化身份基金會)啟發,微軟最近提出了一種前瞻性架構,以支持區塊鏈的去中心化身份。 Microsoft的架構包括以下組件:
微軟去中心化身份管理架構
·W3C去中心化身份標識(DID):用戶創建、擁有和控制獨立於任何組織或政府的ID。DID是連接到去中心化公鑰基礎設施(DPKI)元數據(元數據由包含公鑰材料、身份驗證描述符和服務端點的JSON文檔組成)的唯一全局性標識。
·去中心化系統:DID植根於去中心化系統,提供DPKI所需的機制和功能。
·DID用戶代理(User Agents):使真人能夠使用去中心化身份的應用程序。用戶代理應用有助於創建DID,管理數據和權限以及簽署/驗證與DID相關的聲明。
·DIF通用解析器:一種服務器,利用DID一系列驅動程序為不同客戶端和去中心化系統中的DID提供標準的查找和解析方法,並返回封裝了與DID相關DPKI元數據的DID文檔對象。
·DIF身份中心(hub):加密個人數據存儲的複製網格(replicated mesh),由雲和邊緣實例(如移動電話、PC或智能揚聲器)組成,可促進身份數據存儲和身份交互。
·DID 證明:DID簽署的證明基於標準格式和協議。它們使身份所有者能夠生成、呈現和驗證聲明。這構成了系統用戶之間信任的基礎。·
對於許可鏈,去中心化的身份協議在傳統的企業身份管理系統和區塊鏈DApp之間提供了清晰的橋樑。
零知識證明身份存儲(Identity Stores)
證明、聲明以及去中心化hub的概念是去中心化身份模型的一些最重要的原則。一個有趣的想法是將去中心化hub與零知識證明協議(如zk-SNARK)相結合,為DID增加另一層的隱私,同時允許其他協議驗證身份證明。筆者喜歡將這個概念稱為零知識儲存,並且這一概念已被uPort等協議所支持。
在零知識身份存儲模型中,與用戶身份相關的斷言將使用zk-SNARK進行編碼並在鏈上發佈。智能合約可以驗證關於用戶身份的斷言,而不會洩露有關基礎用戶身份的任何信息,從而在執行高級別隱私的同時維持鏈上的執行。
小結
身份是許可鏈應用程序的基本構建塊之一,需要解決這一問題才能實現許可鏈的主流採用。 去中心化身份基金會(DIF)等機構的努力將引領傳統身份系統與區塊鏈新世界之間的融合。 雖然該領域已有一些協議和工具,但在企業區塊鏈解決方案中實現身份功能仍然是一項相當複雜的工作。
閱讀更多 巴比特 的文章
