社會的數(shù)字化正在推動身份的數(shù)字化。從健康信息到專業(yè)認證，對身份信息和憑證的需求都在不斷增加，無論是在數(shù)量、種類還是價值方面。傳統(tǒng)上，身份信息由第三方監(jiān)控和驗證-這可能是政府或者私營部門。然而，低信任度和新工具讓人們開始質疑這些傳統(tǒng)做法。

[[415997]]

隨著個人數(shù)據(jù)量、數(shù)字交互頻率和安全威脅風險的不斷增加，基于紙張的身份形式越來越不適合數(shù)字世界。然而，我們尚不清楚新興技術將如何重塑身份。

在組織環(huán)境中，身份和訪問管理 (IAM) 技術發(fā)揮著重要作用，它可以幫助識別、驗證和授權誰可訪問服務或系統(tǒng)。這個類別包含多個流程，訪問可以指任何事情，從客戶登錄軟件和員工配置硬件，到市民使用政府服務，再到用戶驗證、認證和證明的各種方式。身份屬性是附加在身份上的標簽：職業(yè)、國籍、與服務提供商的關系、獲得政府權利和人口統(tǒng)計數(shù)據(jù)。這些標簽不僅是數(shù)字表示，而且可以證明我們是誰。

分布式賬本技術(DLT)，通常被稱為區(qū)塊鏈，是為IAM提供潛在模型的新興技術之一。我們最好將DLT理解為一個總稱，它涵蓋用于數(shù)據(jù)安全和計算的各種分布式設計，以及其中捆綁的技術。在其核心，它使交易、身份驗證和交互能夠由網(wǎng)絡進行記錄和驗證，而不是單個中央機構。這種按順序記錄和獲取已存儲數(shù)據(jù)的能力被認為是記錄保存領域的根本性突破，其應用遠遠超過加密貨幣。

區(qū)塊鏈改進IAM的10種方式

在多個用例中，區(qū)塊鏈技術(或者說受區(qū)塊鏈啟發(fā)的設計)可能會改進IAM流程，這包括以下：

(1) 多方驗證

多方驗證涉及用一組實體替代中央身份服務公司，這些實體由網(wǎng)絡管理，并歸合資企業(yè)或聯(lián)合企業(yè)所有。這種做法可將DLT應用于IAM系統(tǒng)以提高效率，盡管各方協(xié)調(diào)的復雜性限制大規(guī)模部署。

(2) 可驗證憑證

根據(jù)萬維網(wǎng)聯(lián)盟 (W3C) 的說法，“可驗證憑證代表發(fā)行者做出的聲明，以防篡改和尊重隱私的方式。”它們是身份驗證的重要組成部分，而DLT帶來機會可為固定聲明加上“數(shù)字水印”。正如基于區(qū)塊鏈的不可替代令牌使藝術家能夠對其原始介質進行數(shù)字水印一樣，類似的功能也可用于驗證身份憑證。這就是說，企業(yè)不應在區(qū)塊鏈上存儲個人身份信息 (PII);他們應該只存儲聲明的哈希值。

(3) 分布屬性

在公共區(qū)塊鏈架構，或基于開源軟件的混合架構中，訪問不受限制，并且有可能支持全局搜索和發(fā)現(xiàn)屬性，而不需要中央目錄。這種透明度可能會威脅到隱私原則，但通過額外的隱私工程層，更容易獲得的分布式有可能改善金融包容性，并幫助那些無法證明自己身份的人獲得權利。

(4) 訪問屬性

屬性可以被加密，智能合約可以被編碼以在需要時解密它們，智能合約是指區(qū)塊鏈上的編碼邏輯和算法的條款。為了避免將PII或屬性本身存儲在區(qū)塊鏈上，只有屬性哈希值的簽名應該存儲在分類賬上，而用戶可從他們的設備中顯示屬性。

(5) 屬性來源

我們?nèi)绾沃郎矸輰傩缘膩碓春蜏蚀_性?畢竟，屬性的可靠性取決于我們對其來源的信任。正如共享賬本提高供應鏈食品跟蹤的透明度和效率，共享賬本也可能用于驗證身份，它可提高身份屬性發(fā)布來源的時間戳的透明度。這種相同的功能對于密鑰生命周期管理很有用，特別是對加密密鑰生命周期元數(shù)據(jù)的同步可視性，例如誰有權訪問什么。學術界正在考慮使用它，因為它可以幫助驗證和認證證書及招聘憑證。

(6) 數(shù)據(jù)最小化

服務提供商實際上需要知道哪些信息來認證某人?各種DLT功能(例如智能合約、零知識證明或選擇性披露)可配置為最大限度地減少驗證所需的數(shù)據(jù)或屬性，并且，這些數(shù)據(jù)或屬性永遠不會被披露。

(7) 審計追蹤 在很多企業(yè)環(huán)境中，創(chuàng)建交互日志不僅是操作和安全最佳做法，而且是合規(guī)性要求。雖然在記錄信息用于審計時區(qū)塊鏈不是強制性要求，例如，用戶注冊、用戶登錄、用戶請求權限或用戶被停用，但區(qū)塊鏈可用于跨各方的同步、維護日志完整性和減少篡改或欺詐的可能性。

(8) 合規(guī)性驗證

通過共享審計跟蹤實現(xiàn)的另一個用例是合規(guī)性驗證，因為審計員可能是共享分類賬網(wǎng)絡中基于權限的利益相關者。很多企業(yè)身份用例還需要合規(guī)性驗證，例如金融服務中的客戶調(diào)查(KYC)。在這個例子中，IAM與區(qū)塊鏈的融合不會消除對中央機構的需求(在KYC的情況下，中央機構是政府機構)，但可以為個人和銀行提供更高效率。銀行可以“看到”并證明其他銀行已經(jīng)進行了KYC盡職調(diào)查并已驗證客戶身份，這同時可降低銀行的成本。

(9) 自主身份(SSI)

盡管完全自主決定以及轉移所有屬性的控制權給最終用戶的概念早于區(qū)塊鏈和IAM，但DLT激發(fā)了一些創(chuàng)新設計，以實現(xiàn)對個人數(shù)據(jù)的更大自主決定。DLT示例包括專為屬性可靠性設計的共識算法。雖然SSI具有潛力，但有些風險較高的企業(yè)用例，例如在醫(yī)療保健或金融服務業(yè)，可能總是需要外部授權來驗證身份聲明。

(10) 去中心化標識符(DID)

DID是完全由身份所有者控制的標識符，獨立于中央機構或提供商。DID是SSI的組件，被設計為由用戶控制，無法重新分配和解析。這意味著它們包含公鑰文檔、身份驗證協(xié)議，以及通過密碼學或發(fā)行機構簽名的可驗證性。

例如，考慮一下這些用例在醫(yī)療保健領域提供的機會。醫(yī)院、保險公司、護理人員、診所和藥房之間缺乏溝通阻礙效率、成本節(jié)約和護理的可及性。這個問題的核心挑戰(zhàn)之一是身份層。DLT支持的用例可以實現(xiàn)以下目標：

• 通過單一可信源，為醫(yī)療保健認證過程中所有利益相關則會提高可視性;
• 跟蹤和驗證從業(yè)者認證(在其職業(yè)生涯中)，以及組織許可;
• 驗證健康記錄的真實性和同步許可訪問;
• 通過私鑰、數(shù)據(jù)最小化、憑證驗證、更好的患者控制等，支持更大的信息隱私;
• 通過編碼智能合約和實時可視性提高合規(guī)性;
• 通過減少數(shù)據(jù)孤島和重復，降低與驗證憑證相關的成本、復雜性和時間。

區(qū)塊鏈和IAM的現(xiàn)實

這些用例展現(xiàn)了區(qū)塊鏈和IAM相結合的好處，但忽略一個重要的現(xiàn)實：身份很復雜。身份是個人的，并且越來越具有生物特征，而身份的數(shù)字化是前所未有的。

盡管IAM連接了多個域、系統(tǒng)、技術和服務提供商，但將身份信息編碼到DLT中不僅僅是技術工作。詢問有關數(shù)據(jù)的問題很重要：應該存儲什么、誰為其擔保、如何維護以及由誰決定。這些問題涉及哲學、經(jīng)濟、文化和法律方面。技術仍在不斷變化，技術有可能將身份控制點從集中但斷開連接的中心轉移到分散和互連的信任網(wǎng)絡。