Principios, modelos y tecnologías clave de la identidad digital distribuida

El 15 de enero de 2021, la Alianza de la Industria de Tecnología Financiera de Beijing celebró con éxito el "Seminario de Aplicación de Tecnología de Identidad Digital Distribuida Financiera basada en Blockchain". Este seminario invita a expertos de instituciones financieras y empresas de tecnología a discutir la teoría, los principios del modelo y la arquitectura del sistema de la tecnología de identidad digital distribuida, compartir la implementación de la tecnología, los casos de aplicación y la experiencia práctica, y fortalecer los intercambios y la cooperación entre la industria y los usuarios. Ping Qingrui, jefe experto en productos del Instituto de Investigación de Tecnología Blockchain de Zhongchao, explicó el concepto de identidad digital distribuida, el mecanismo de trabajo, la arquitectura técnica y las características técnicas. Este artículo está organizado en base al contenido de los discursos de los invitados. Sabemos que la historia de la civilización humana es también una historia de migración humana. Con el fin de sobrevivir y reproducirse, nuestros ancestros partieron de los continentes asiático y africano hace decenas de miles de años y emigraron largas distancias. Después de experimentar la sociedad agrícola y revolución industrial, los seres humanos finalmente pisaron la tierra, cada pedazo de tierra. Hoy en día, las personas que viven en todo el mundo se dan cuenta de la comunicación a larga distancia y la interacción social entre regiones a través de la tecnología de la información. La aparición de Internet ha cambiado mucho la forma de vida de las personas, y cada vez más actividades de la vida real están migrando al mundo de las redes. El ciberespacio ha sido reconocido como la quinta frontera después de la tierra, el mar, el aire y el espacio. Sin embargo, Internet no construyó una capa de protocolo de identidad al comienzo de su desarrollo, solo fue diseñado para la transmisión de información, por lo que no pudo resolver el problema de la confianza mutua de identidad en Internet. Esta caricatura de Nueva York de 1993 ilustra la falta de confianza en Internet. Para proporcionar servicios en Internet y realizar interacciones confiables, se ha producido una solución de identidad de cuenta de identidad centralizada. La solución se refiere a la gestión de identidad de sus usuarios por parte del proveedor de servicios de aplicaciones de red, incluida la prestación de servicios de registro de identidad para asignar marcas de identidad de usuario, guardar datos de información de identidad de usuario y realizar identificación, verificación y autorización de servicio de identidad de usuario. Más tarde, para resolver el problema de que es difícil para los pequeños y medianos proveedores de servicios proporcionar gestión de identidad de usuario, se creó una identidad federada, es decir, un gran proveedor de servicios de red proporciona gestión de usuarios en su nombre. Las cuentas de identidad centralizadas tienen los siguientes problemas principales. En primer lugar, la identidad del usuario depende del proveedor de identidad; en segundo lugar, la identidad del usuario es fácil de robar y no se puede realizar el anti-repudio del comportamiento; en tercer lugar, el reconocimiento mutuo de identidad entre aplicaciones no es compatible, por lo que es difícil para realizar la colaboración de servicio. El desarrollo de la identidad de la alianza ha llevado a un alto grado de concentración de datos, formando una tendencia de monopolio. Una vez que se filtren los datos de los usuarios, tendrá un impacto significativo en la pérdida de usuarios. La identidad distribuida es el producto de ese trasfondo de era, reemplazará el esquema de autenticación de identidad centralizada y reconstruirá la infraestructura de confianza subyacente de Internet en la capa de protocolo. La identidad distribuida resolverá los problemas de propiedad de identidad, seguridad de identidad e interconexión de identidad y confianza mutua, y es la entrada a la próxima era de Internet. En pocas palabras, con base en la infraestructura de identidad digital distribuida, se puede realizar lo siguiente: Primero, la solución de identidad en la capa de protocolo, que promueve la integración de islas de aplicación. En segundo lugar, los proveedores de servicios no necesitan administrar las identidades de los usuarios, solo necesitan solicitar y verificar los datos de los usuarios a través de las API. La tercera es que los usuarios posean datos de identidad y controlen el acceso autorizado a sus datos de identidad. Cuarto, cada organización puede simplemente intervenir en la capa de identidad de Internet y beneficiarse de la organización ecológica existente. Quinto, puede crear valor con efecto de escala de red. Decimos que la identidad tiene tres dimensiones, y estas tres dimensiones son la identificación de la identidad, los atributos de la identidad y la interacción de la identidad. En el mundo físico, el propietario de la entidad de identidad es el identificador de la identidad. En el mundo digital, necesitamos usar una cadena para referirnos al propietario de la identidad. En la identidad digital distribuida, el identificador de identidad digital distribuida se compone de cadenas de caracteres, que pueden lograr la singularidad global sin necesidad de una autoridad de registro central, y se puede utilizar para referirse al rol de identidad del sujeto de identidad en diferentes escenarios. Banco Central: Mantener la estabilidad básica del tipo de cambio del RMB a un nivel razonable y equilibrado: el 11 de octubre, el Departamento de Política Monetaria del Banco Central emitió un documento que establece que en el siguiente paso, el Banco Popular de China se adherirá a la oferta del mercado y la demanda como base, con referencia a una canasta de monedas para ajuste y flotación controlada Para el sistema de tipo de cambio, profundizaremos inquebrantablemente la reforma del tipo de cambio orientada al mercado, aumentaremos la flexibilidad del tipo de cambio del RMB y jugaremos mejor el papel del tipo de cambio como estabilizador automático en la regulación de la macroeconomía y la balanza de pagos. Continuar promoviendo la construcción de un sistema de mercado de divisas de varios niveles, aumentar aún más la profundidad y amplitud del mercado de divisas y guiar a las empresas e instituciones financieras para establecer un concepto neutral al riesgo. Tomar medidas integrales para estabilizar las expectativas, frenar resueltamente las fluctuaciones del tipo de cambio y mantener la estabilidad básica del tipo de cambio del RMB en un nivel razonable y equilibrado. (Golden Ten) [11/10/2022 10:31:07] Los atributos de una entidad se refieren, por ejemplo, a que es ciudadano de un país determinado, empleado de una empresa determinada, y tiene licencia de conducir de cierto tipo de vehículo. En el mundo digital, debe estar representado por la afirmación del atributo de identidad asociado con el identificador, que tiene credibilidad debido al respaldo de la parte autorizada de los datos. En la identidad digital distribuida, los atributos de identidad se expresan a través de datos de credenciales verificables. Al igual que otras identidades digitales, la interacción de identidad digital distribuida también debe resolver problemas de identificación, verificación y autorización de identidad. La diferencia es que, debido a las características de la descentralización, la identidad distribuida desarrollará un protocolo de comunicación punto a punto estandarizado. Antes de discutir el mecanismo de trabajo de la identidad distribuida, debemos comprender mejor las tres dimensiones de la identidad distribuida. El primero es el identificador descentralizado, como puedes ver. Un ejemplo de una estructura de datos en el Estándar de Identidad Distribuida W3C, un identificador de identidad digital distribuido estándar, representado por un DID Dock estructurado. Además del identificador de identidad digital distribuido, DID Dock también incluye información de clave pública asociada con esta identidad, información de soporte de autorización, dirección de punto de entrada del servicio y marca de tiempo para auditoría y firma para datos de verificación de integridad de datos. Se puede observar que la identidad digital distribuida es en realidad una facilidad de clave pública, la prueba de posesión de la identidad DID es también la prueba de posesión de la clave privada del DID, la cual se realiza a través de la verificación de firma de clave pública. Además, la separación del sujeto de identidad y el controlador de identidad se puede realizar a través del soporte de autorización, que respalda el requisito de delegación de identidad. La segunda dimensión de la identidad distribuida son las credenciales verificables. En pocas palabras, una credencial verificable son los datos de afirmación de respaldo sobre un sujeto de identidad que tiene ciertos atributos de identidad, incluidas dos partes: afirmación de identidad y firma de afirmación de identidad. Como se muestra en la figura, es un ejemplo simple en la especificación de estructura de datos de credenciales verificables W3C. Esta es una credencial verificable sobre el nombre. La parte de aserción solo incluye el atributo de nombre. El contenido de la prueba de firma incluye el método de verificación de prueba asociado. con el ID del emisor del certificado Sobre la firma de la clave privada de la aserción. La tercera dimensión de la identidad distribuida es el protocolo de comunicación distribuida, la especificación de la versión 2.0 de este protocolo de comunicación está siendo redactada por la organización DIF. La principal diferencia entre el protocolo de comunicación DID y la API web tradicional es que el servidor no controla el estado de interacción de todas las partes. En cambio, los partidos DID son pares que interactúan a través de la comprensión mutua y el consenso sobre reglas y objetivos. El protocolo incluye principalmente dos características: Primero, el protocolo de comunicación DID se basa en mecanismos de mensajes, asíncronos y símplex. En segundo lugar, la seguridad de los mensajes se establece en función de la autenticación de igual a igual. La entrega y el procesamiento de mensajes personalizados basados ​​en el protocolo de comunicación DID pueden cumplir con los requisitos comerciales y la expansión en diferentes escenarios. Podemos ver que DID Communication no depende de ninguna organización de terceros y puede satisfacer al máximo la libre interacción de entidades punto a punto, estimulando la innovación de aplicaciones digitales. Después de comprender las tres dimensiones de la identidad distribuida, veamos el modelo de trabajo de la identidad distribuida. La ecología de las identidades distribuidas se puede simplificar en tres partes: el emisor, el titular y el verificador, y su principio de funcionamiento puede verificar el modelo de circulación de credenciales. Primero, todas las partes con identidades publican sus identidades en el libro mayor distribuido para proporcionar soporte de verificación de datos en el proceso de interacción de identidad subsiguiente. En segundo lugar, el emisor emite un certificado de identidad al titular de la identidad, y el titular de la identidad recibe la verificación y guarda el certificado. Tercero, la parte de verificación de identidad solicita información del certificado de identidad del titular, el titular firma y presenta un certificado verificable, y la parte de verificación de identidad verifica la propiedad del certificado y la fuente del certificado. Las principales características o principales ventajas del modelo de transferencia de credenciales verificables son las siguientes: Primero, admite la expresión de ID de entidades a través de roles en diferentes escenarios, evitando así la recopilación de información de roles. El segundo es el desacoplamiento de DID y las credenciales verificables, que admite la recombinación y reutilización de la información de credenciales bajo el nombre de usuario. La tercera es que una web confiable construida sobre identidades distribuidas no necesita seguir ninguna jerarquía preestablecida. Vemos que esto es muy diferente al sistema tradicional de CA. Si existe un reconocimiento mutuo entre los sistemas de CA centralizados, entonces debe confiar en el CA de nivel superior, lo que requiere planificación y diseño al comienzo de la construcción del sistema de CA y aclaraciones. La infraestructura de clave pública descentralizada es la piedra angular de la identidad distribuida, que brinda seguridad de conexión para las identidades digitales distribuidas. A diferencia de la PKI tradicional, la infraestructura de clave pública descentralizada no requiere una organización de CA centralizada para realizar la distribución y custodia de la clave, sino que el propio propietario de la identidad crea y registra la clave de identidad. El libro mayor distribuido proporciona una fórmula clave unificada, un mecanismo de mantenimiento y descubrimiento. En comparación con la PKI tradicional, la infraestructura de clave pública descentralizada tiene las siguientes características: no se basa en una sola organización centralizada, no tiene puertas traseras ni privilegios de administrador, no tiene un punto único de falla del sistema, tiene una infraestructura de confianza resistente y es compatible con la interoperabilidad. Basado en la infraestructura de clave pública descentralizada, puede eliminar de manera efectiva el problema de ataque de intermediario en el sistema PKI anterior. Entonces, ¿cómo necesitamos construir la infraestructura de DPKI? En la identidad distribuida, cada entidad tiene más de un DID, cada ID corresponde a una relación y un canal de seguridad de mensajes privados. ¿Cómo administrar estos DID y claves privadas? ¿Qué pasa si esta información se pierde? La respuesta es un sistema de gestión de claves distribuido. El sistema de administración de claves distribuidas se basa en componentes de libro mayor distribuido y software de intermediario de identidad. El libro mayor distribuido se utiliza para publicar la clave pública de verificación de conexión y la información de clave pública de verificación del propietario de los datos, proporcionando verificación de identidad pública y verificación de certificado. Los agentes representan propietarios y controladores de identidad independientes, y tienen claves de cifrado únicas que reflejan su autorización. Los agentes interactúan según el protocolo de comunicación DID. El software del agente generalmente incluye componentes de comunicación de mensajes, componentes de billetera de identidad y componentes de contenedores de datos locales. El componente de agente de mensajes es responsable de la interacción con el mundo exterior para realizar el envío y recepción de mensajes. En segundo lugar, el componente del agente de mensajes es responsable de invocar la billetera de identidad local y el contenedor de datos para cifrar, descifrar y almacenar mensajes. El componente de billetera de identidad es principalmente para la gestión de datos clave y secretos, específicamente, será responsable de la gestión de proxy, la gestión de conexión DID y la gestión de credenciales. El software proxy se divide en proxy perimetral y proxy en la nube según la ubicación de su implementación. El software del agente que gestiona la clave de identidad se instalará en el dispositivo móvil de comunicación inteligente propiedad del individuo en la mayoría de los casos. Para lograr mensajes persistentes en línea y direccionamiento de dispositivos de borde, es necesario extender el proxy de identidad a la nube.El proxy de nube puede ser implementado y mantenido por diferentes proveedores, y el proxy de borde registrado proporciona servicios de enrutamiento de mensajes. Además, el servicio de proxy en la nube puede simplificar el mecanismo de recuperación de claves del proxy perimetral y cumplir con los requisitos de copia de seguridad de datos y sincronización de múltiples dispositivos del proxy perimetral, pero no formará el secuestro del dispositivo perimetral ni la escucha de datos. . El dispositivo de borde es el único dispositivo de administración de claves de identidad del usuario, por lo que solo puede representar la voluntad del titular de la identidad. Los datos de identidad generalmente se cifran en la billetera de identidad del dispositivo perimetral y luego se cargan en el agente de la nube para su alojamiento. En el proceso de transmisión de mensajes, el proxy perimetral inicia la interacción y realiza el cifrado y descifrado de mensajes. El proxy en la nube proporciona principalmente enrutamiento de mensajes y funciones de cifrado y descifrado de rutas. La especificación DKMS restringe el comportamiento de las billeteras y los servidores proxy, y su propósito es estandarizar proxies de identidad. , Elimine los peligros ocultos de la seguridad, la privacidad y el bloqueo del proveedor. La tecnología de credencial verificable brinda seguridad de datos en identidades digitales distribuidas, ya mencionamos que la credencial verificable es una forma de intercambio de datos entre entidades DID, la firma del emisor garantiza que los datos no puedan ser manipulados. La expresión verificable correspondiente a la credencial verificable es la forma en que el propietario de la identidad proporciona datos al autenticador. Está construida por el componente de cifrado en la billetera de identidad digital distribuida. También es una expresión a prueba de manipulaciones, que proviene de uno o más Una credencial verificable, firmada por el sujeto que divulga el objeto, independientemente de si la credencial verificable está referenciada directa o indirectamente, los atributos de identidad se presentan en una representación verificable, lo que significa que la representación verificable no incluye la credencial verificable, por lo que no No hay problema de robo de identidad por parte de los destinatarios de credenciales verificables. En pocas palabras, la distribución del sistema de identidad digital distribuida se refleja en las siguientes cuatro partes. Uno es DID descubrimiento. Basado en un libro mayor distribuido abierto, en lugar de un sistema basado en una institución centralizada. El segundo es la verificación DID. Es una autenticación basada en atributos, que los agentes autentican mutuamente sin depender de un tercero. El tercero es la interacción DID. Es un típico protocolo de comunicación punto a punto, que no tiene nada que ver con el protocolo de transmisión, y la interacción entre ellos no necesita depender de un tercero. El cuarto es el almacenamiento de datos DID. Basado en el almacenamiento cifrado distribuido, su promoción y uso compartido deben ser autorizados por el propietario. Los datos son portátiles y no necesitan estar vinculados al proveedor de almacenamiento DID. Con base en la arquitectura anterior, la identidad distribuida establece efectivamente la confianza de la máquina y la confianza humana entre los sujetos de la red, y logra la autonomía, la seguridad y la portabilidad de la identidad. En particular, se complementa que en la tecnología de credencial verificable de identidad digital distribuida, el uso de tecnología de credencial anónima basada en prueba de conocimiento cero puede resolver eficazmente el problema de la protección de la privacidad, realizar la divulgación mínima de atributos de credencial y la prueba de resultado basada en paradigma lógico. La tecnología de identidad digital distribuida es una buena respuesta a cómo cumplir los diez requisitos básicos de la futura identidad digital. Desde la perspectiva de la aplicación, ¿qué impactos importantes tendrán las identidades digitales distribuidas en la vida digital? En primer lugar, la identidad distribuida centrada en el usuario cambia el modo tradicional de las partes que confían en los datos que se conectan directamente con los emisores de datos, lo que permite que los datos regresen al propietario, los servicios y los datos se separan y las aplicaciones de red se pueden desarrollar centradas en el propietario de la identidad. La segunda es que la autorización de acceso basada en atributos reemplazará gradualmente a la autorización de acceso basada en roles. Los servicios de aplicaciones ya no son de talla única, sino servicios verdaderamente personalizados que se pueden personalizar para miles de personas. Tercero, la interacción de identidad confiable y la transferencia de datos confiable entre todas las entidades se pueden realizar en base a identidades distribuidas, no solo entre sistemas distribuidos, sino también entre sistemas centralizados y entre sistemas centralizados y sistemas distribuidos para establecer una confiabilidad real en toda la red. Cuarto, la circulación creíble de datos y credenciales de datos activará los atributos de activos de los datos y también permitirá que los activos fuera de línea se transfieran digitalmente, y la economía digital prosperará y se desarrollará a través de redes confiables. En quinto lugar, las identidades distribuidas y los protocolos de comunicación punto a punto promoverán el desarrollo de organizaciones descentralizadas, liberarán el potencial humano de innovación en el mundo digital, acelerarán el desarrollo humano a través de la digitalización y mejorarán el ritmo de la inteligencia social colectiva

Tags：

OKB