Análisis técnico de la autenticación de identidad DID descentralizada
La Identidad Digital Descentralizada (DID) es un sistema de identidad digital basado en la tecnología blockchain. Puede garantizar que los datos de identidad sean auténticos y creíbles, al mismo tiempo que protege la privacidad relacionada con la identidad del usuario y garantiza que los datos relacionados con la identidad personal pertenezcan al individuo. Es muy coherente con la "Ley de Protección de Información Personal de China" que se implementará en noviembre de 2021, ¿existe alguna?
V1.0 Autenticación de identidad tradicional: los usuarios registran cuentas repetidamente en cada sitio web e inician sesión con una cuenta y contraseña. Cada sitio web contiene la información de identidad del usuario, como se muestra en la Figura 1 (a).
Desventajas: los usuarios a menudo no pueden recordar las contraseñas de sus cuentas cuando registran cuentas repetidamente; y varios sitios web tienen información del usuario, lo que también conduce a la filtración de información.
V2.0 Autenticación de identidad representada por inicio de sesión único: la cuenta del usuario registrada en un sitio web puede recibir autorización para iniciar sesión en otros sitios web, como después de registrar una cuenta en Alipay, WeChat, Facebook, Google. y otros sitios web, autorizados para iniciar sesión en otros sitios web, como se muestra en la Figura 1 (b).
Desventajas: la información del usuario se guarda en varios sitios web grandes, habrá elementos de "fraude en la tienda" y también es propenso a la fuga de información, como el problema de fuga de información del usuario de Facebook.
Autenticación de identidad descentralizada V3.0: los usuarios conservan su propia información de identidad y, cuando es necesario, la presentan a varios sitios web para su confirmación de forma mínima, como se muestra en la Figura 1(c).
¿Es una carencia? Blockchain es necesario como soporte técnico subyacente y como tercero confiable para garantizar la integridad y corrección de la información de identidad.
El documento DID es una descripción detallada de DID. Es una relación uno a uno y puede considerarse que consta de dos partes: metadatos DID y clave pública DID, como se muestra en la Figura 4 (a). ), donde la clave pública es Clave, utilizada para operaciones de firma digital o cifrado, etc.
Generalmente, el propio usuario guarda el DID, mientras que el documento DID se guarda en la cadena de bloques (el DID se puede indexar como la clave) para garantizar la exactitud del documento DID.
Cuando un usuario registra un DID en la cadena de bloques, el DID y los documentos relacionados se pueden generar de acuerdo con el contrato inteligente, y el contrato inteligente es responsable de leer y actualizar el DID en la cadena.
El proceso de autenticación DID implica la interacción de cuatro partes: el emisor del certificado, el titular del certificado (puede tener una aplicación para guardar varias credenciales de certificado VC), el verificador y el sistema de registro DID (como la cadena de bloques).
El emisor del certificado es una organización autorizada, como una universidad, una agencia de seguridad pública, etc.; el titular guardará la credencial VC emitida por la organización autorizada (como el certificado de graduación obtenido de la universidad, la identidad obtenida por la agencia de seguridad pública), certificados, etc.); el verificador verificará la representación (VP) de estas credenciales en combinación con la información en la cadena de bloques.
La premisa de la certificación DID es que las instituciones autorizadas, los titulares de VC y los verificadores hayan registrado sus respectivos ID en la cadena de bloques.
VC (Verifiable Credential): Credencial verificable, que equivale a un certificado de graduación emitido por una universidad o una cédula de identidad emitida por un organismo de seguridad pública.
El formato se muestra en la Figura 4(b), e incluye:
(1) metadatos de VC, como emisor, fecha de emisión, tipo de reclamo, etc.;
(2 ) reclamo : Es una o más descripciones sobre el tema. Por ejemplo, la declaración de la credencial del documento de identidad incluye: nombre, sexo, fecha de nacimiento, origen étnico, domicilio, etc.
(3) Comprobante: Guarda al emisor. La firma digital se utiliza para verificar la exactitud y el origen del VC.
En algunos planes de implementación, se utilizan aplicaciones o billeteras para almacenar VC, y los titulares pueden conservarlos ellos mismos y también pueden almacenarlos en la cadena de bloques como datos privados.
VP (presentación verificable): representación de credenciales verificables, o el método de visualización de credenciales verificables. En algunos escenarios, es inconveniente para el titular mostrar el VC directamente al verificador, o durante una verificación, varios VC. estarán involucrados, por lo que uno o más VC se empaquetan en VP. El formato es el que se muestra en la Figura 4(c):
(1) Metadatos de VP, incluida la versión y otra información;
<. p> (2) Lista de VC, el contenido de VC que se mostrará al mundo exterior. Si se trata de divulgación selectiva o protección de la privacidad, es necesario realizar algunos cambios en el VC original y agregar pruebas de los cambios.(3) La prueba es principalmente la información de la firma del titular en este VP.
Hay varios reclamos en VC, que pueden ser certificados de graduación universitaria, tarjetas de identificación, licencias de conducir, certificados de matrimonio, etc. Para que se analice correctamente, el método de análisis debe registrarse en la cadena de bloques en avance.
Este tipo de cosas generalmente lo hace la Autoridad. De acuerdo con la clasificación del escenario comercial, las estructuras de reclamo de diferentes tipos de estructuras de datos se definen y registran en la cadena de bloques para garantizar que sean universales en toda la red. .
Tomando el documento de identidad como ejemplo, sus credenciales VC completas incluyen nombre, sexo, fecha de nacimiento, origen étnico, dirección, fotografía, etc. Al comprar un billete de tren, es posible que solo necesite su nombre y número de identificación al registrarse para la escuela, es posible que solo necesite su nombre, fecha de nacimiento, etc., al confirmar la identidad de una minoría étnica, debe aclarar su información étnica; . Por lo tanto, en muchos escenarios, no se requieren todas las opciones, pero es posible que solo se requieran una o dos de ellas, y solo se pueden revelar los elementos necesarios.
Pero ¿cómo confirmar que los elementos divulgados son correctos y no han sido modificados? Aquí se utiliza la estructura clásica de Merkle Tree, como se muestra en la Figura 5. Por ejemplo, en un escenario donde solo es necesario revelar el cumpleaños, puede usar la opción de hermano "étnico" de "cumpleaños" para verificar la exactitud de "cumpleaños" con su ruta a la raíz del árbol
Por ejemplo, si un certificado caduca, el emisor debe revocar la credencial VC emitida previamente. Aquí se utiliza el acumulador en criptografía.
Cuando el emisor emite un VC, establecerá un número primo grande para cada VC y guardará los resultados de la acumulación RSA de todos los números primos grandes cuando sea necesario revocar un VC, el número primo grande del; VC se usará primero. El número primo elimina el Acumulador y actualiza el Acumulador. Durante la verificación posterior, use el número primo grande correspondiente al VC para eliminar el Acumulador expuesto por el Emisor. Si es divisible, significa que el VC es. válido (no revocado).
Basado en Ethereum, el DID más conocido es uPort.
También presté atención al proyecto DID de Hyperledger, Hyperledger Indy, pero su capa inferior utiliza su propio conjunto de arquitectura blockchain en lugar de Hyperledger Fabric. Esto probablemente se deba a que hay menos escenarios de implementación de DID basados en Fabric. WeBank FISCO BCOS implementa su propio conjunto de WeIdentity basado en su propia arquitectura BCOS.
Este capítulo solo describe brevemente qué es DID y presenta a grandes rasgos sus principios de uso. Todavía hay muchos detalles que no están incluidos. por uno, si necesita más detalles, vaya a:
En este artículo, se presenta una implementación única de DID. Hoy vi otro blog Desmitificando la identidad digital (2/2) o consulte su traducción. Revela el misterio de la identidad digital 2/2, se recomienda implementar DID extendido a través de un conjunto de documentos vinculados y organizar los documentos en forma de mapa de información, como cadena principal, múltiples cuentas asociadas, perfiles de información básica clasificada y asociaciones Servicios o recursos externos, etc., como se muestra a continuación. Un DID de este tipo se puede conectar a cualquier aplicación, servicio o usuario, y es un DID disponible, distribuido y auditable globalmente.