信息化觀察網(wǎng)

社會(huì)的數(shù)字化推動(dòng)著身份的數(shù)字化。從健康信息到專業(yè)認(rèn)證，無(wú)論是數(shù)量、種類還是價(jià)值，社會(huì)各界對(duì)身份信息和證書認(rèn)證的需求都在增長(zhǎng)。以往，身份信息由政府或者私營(yíng)部門這些第三方進(jìn)行監(jiān)測(cè)和核實(shí)。然而，搖搖欲墜的信任和新技術(shù)的發(fā)展使身份識(shí)別與訪問(wèn)管理中的業(yè)務(wù)組織受到了質(zhì)疑。

隨著個(gè)人數(shù)據(jù)量、數(shù)字交互頻率和安全風(fēng)險(xiǎn)的不斷增加，基于紙張的身份證明越來(lái)越不適于數(shù)字世界。目前尚不清楚新興技術(shù)將如何重塑身份。

身份和訪問(wèn)管理（IAM）技術(shù)在組織管理事件中對(duì)于識(shí)別、驗(yàn)證和授權(quán)誰(shuí)訪問(wèn)服務(wù)或系統(tǒng)方面發(fā)揮著重要作用。日常生活中有很多用例，這里的訪問(wèn)可以針對(duì)任何內(nèi)容，從客戶登錄軟件到開發(fā)人員配置硬件，從公民使用政府服務(wù)到各種形式的用戶驗(yàn)證、認(rèn)證和證明。

身份屬性是附加在身份上的標(biāo)簽：就業(yè)、國(guó)籍、與服務(wù)提供商的關(guān)系、獲得政府權(quán)利和人口統(tǒng)計(jì)資料。這些標(biāo)簽不僅僅是數(shù)字標(biāo)簽，而且還證明了我們是誰(shuí)。

分布式賬本技術(shù)(DLT)，通常稱為區(qū)塊鏈技術(shù)，是為IAM提供潛在的新模型的幾種新興技術(shù)之一。區(qū)塊鏈技術(shù)是一個(gè)包括各種分布式數(shù)據(jù)安全和計(jì)算以及捆綁在其中的技術(shù)的合集。（編者注：區(qū)塊鏈技術(shù)與DLT技術(shù)通常并不混為一談，此處僅為原作者觀點(diǎn)。）

它的核心是去中心化的處理交易、進(jìn)行身份驗(yàn)證和交互，而不需要一個(gè)中央權(quán)威進(jìn)行記錄和驗(yàn)證。這種按順序記錄和獲取存儲(chǔ)數(shù)據(jù)的能力被稱為在數(shù)據(jù)保存方面的一個(gè)根本性突破，其應(yīng)用范圍遠(yuǎn)遠(yuǎn)超出了Crypto領(lǐng)域。

區(qū)塊鏈技術(shù)改進(jìn)IAM的10種用例

我們簡(jiǎn)述了一些利用區(qū)塊鏈技術(shù)或者受到區(qū)塊鏈技術(shù)啟發(fā)而設(shè)計(jì)的，可以改進(jìn)IAM的舉措。包括：

1.多方驗(yàn)證

多方驗(yàn)證涉及用一組實(shí)體取代一家作為中央機(jī)構(gòu)的身份驗(yàn)證服務(wù)公司，這些實(shí)體由一個(gè)合資企業(yè)或企業(yè)聯(lián)盟所擁有并通過(guò)一個(gè)網(wǎng)絡(luò)來(lái)治理。這是將區(qū)塊鏈技術(shù)應(yīng)用于IAM系統(tǒng)以提高效率的最廣泛愿景，盡管各方之間協(xié)調(diào)的復(fù)雜性使得這種應(yīng)用目前在規(guī)模上有限。

2.可驗(yàn)證憑證

根據(jù)萬(wàn)維網(wǎng)聯(lián)盟(W3C)，“可驗(yàn)證憑證代表發(fā)行人以一種公開且尊重隱私的方式所作的聲明。”它們是身份驗(yàn)證的重要組成部分，區(qū)塊鏈技術(shù)提供了“數(shù)字水印”的作用。就像基于區(qū)塊鏈的NFT使藝術(shù)家能夠?qū)ζ湓济襟w加蓋數(shù)字水印一樣，類似的功能也可以用于驗(yàn)證身份憑證。也就是說(shuō)，公司不應(yīng)該在區(qū)塊鏈上存儲(chǔ)個(gè)人可識(shí)別信息，而應(yīng)該存儲(chǔ)可驗(yàn)證的哈希數(shù)列。

3.分布屬性

在公有鏈體系結(jié)構(gòu)或基于開放源代碼的混合體系結(jié)構(gòu)中，訪問(wèn)是不受限制的，并且用戶有可能在不需要中心目錄的情況下對(duì)數(shù)據(jù)進(jìn)行全局搜索和訪問(wèn)。這種透明度可能威脅到隱私，但隨著對(duì)保護(hù)隱私的加強(qiáng)，更容易獲得數(shù)據(jù)的分布屬性可能改善現(xiàn)階段的金融包容性，并幫助那些無(wú)法證明自己身份的人獲得特許權(quán)。

4.可訪問(wèn)屬性

通過(guò)基于代碼邏輯和區(qū)塊鏈算法的智能合約，數(shù)據(jù)可以加密并且在需要時(shí)解密。避免將個(gè)人可標(biāo)識(shí)信息（PII）或個(gè)人原始數(shù)據(jù)存儲(chǔ)在區(qū)塊鏈上，我們只需要將身份屬性的哈希簽名存儲(chǔ)在賬本上，而用戶可以從其設(shè)備中了解其身份屬性。

5.屬性來(lái)源

我們?nèi)绾沃郎矸輰傩缘膩?lái)源和準(zhǔn)確性？畢竟，一個(gè)身份屬性只有在我們對(duì)它的來(lái)源充分信任的情況下才是可靠的。正如共享賬本提高了整個(gè)供應(yīng)鏈溯源糧食的透明度和效率一樣，共享賬本可能會(huì)在發(fā)放身份屬性來(lái)源的時(shí)間戳上提供透明度。

同樣的功能對(duì)于關(guān)鍵的生命周期管理很有用，特別是對(duì)于同步可見生命周期元數(shù)據(jù)。學(xué)術(shù)界正在考慮使用它，因?yàn)樗梢詤f(xié)助驗(yàn)證和證實(shí)資質(zhì)認(rèn)證以及聘用證書的真實(shí)性。

6.數(shù)據(jù)最小化

服務(wù)提供者實(shí)際上需要知道什么數(shù)據(jù)才能對(duì)某人進(jìn)行身份驗(yàn)證？我們可以在區(qū)塊鏈上配置各種功能，例如智能合約、零知識(shí)證明、選擇性披露等等，可以盡可能地減少驗(yàn)證所需的那些數(shù)據(jù)或身份屬性，以及不需要披露的數(shù)據(jù)和屬性。

7.審計(jì)跟蹤

在許多企業(yè)中，創(chuàng)建交互日志不僅基于操作安全，還是法規(guī)的要求。在記錄審計(jì)信息時(shí)，例如注冊(cè)用戶、用戶登錄、用戶請(qǐng)求權(quán)限或用戶停用，區(qū)塊鏈技術(shù)可能不是必須的，但它對(duì)于各方之間的同步、維護(hù)日志完整性和降低篡改或欺詐的可能性非常有用。

8.合規(guī)性驗(yàn)證

和共享審計(jì)跟蹤相同的另一個(gè)用例是合規(guī)性驗(yàn)證，因?yàn)閷徲?jì)師可以是共享賬本網(wǎng)絡(luò)中基于權(quán)限的利益相關(guān)者。許多企業(yè)身份使用案例還需要合規(guī)性驗(yàn)證，例如金融服務(wù)中的“了解您的客戶”（KYC）。

區(qū)塊鏈技術(shù)并不會(huì)消除IAM對(duì)于例如政府機(jī)構(gòu)的中央機(jī)構(gòu)的依賴，但是可以為個(gè)人和銀行提供更高的效率。一家銀行可以訪問(wèn)并驗(yàn)證，其他銀行已經(jīng)進(jìn)行了KYC盡職調(diào)查，并核實(shí)了客戶的身份，這一切都降低了銀行的成本。

9.自我主權(quán)身份(SSI)

盡管完全自主和將所有屬性的控制權(quán)轉(zhuǎn)移回最終用戶的概念早于區(qū)塊鏈和IAM，但區(qū)塊鏈技術(shù)激發(fā)了一些創(chuàng)新設(shè)計(jì)，以實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)的更大自主權(quán)。包括專門為身份屬性可靠性設(shè)計(jì)的一致性算法。盡管存在SSI的可能性，但一些諸如醫(yī)療保健或金融服務(wù)等高風(fēng)險(xiǎn)的用例中，可能還是需要外部機(jī)構(gòu)來(lái)驗(yàn)證身份。

10.去中心化身份認(rèn)證(DID)

DID是完全由身份所有者控制的身份認(rèn)證，獨(dú)立于中央機(jī)構(gòu)或提供者。DID是SSI的一個(gè)組件，設(shè)計(jì)為用戶控制，并且無(wú)法重新分配和更改。這意味著它們包含了公鑰文檔、身份驗(yàn)證協(xié)議和通過(guò)密碼學(xué)簽名的可驗(yàn)證性。

這些用例在醫(yī)療保健方面提供便利。醫(yī)院、保險(xiǎn)公司、護(hù)工、診所和藥店之間缺乏溝通，妨礙了提高效率、節(jié)省費(fèi)用和用戶獲得護(hù)理的機(jī)會(huì)。這個(gè)問(wèn)題的核心挑戰(zhàn)之一就是身份驗(yàn)證。啟用區(qū)塊鏈技術(shù)可以實(shí)現(xiàn)以下功能：

通過(guò)單一的數(shù)據(jù)來(lái)源，提高所有利益相關(guān)者在醫(yī)療認(rèn)證過(guò)程中的可見度；

跟蹤和認(rèn)證從業(yè)人員在其職業(yè)生命周期中的證書以及許可；

核實(shí)健康記錄的真實(shí)性和同步許可訪問(wèn)；

通過(guò)私鑰、數(shù)據(jù)最小化、可驗(yàn)證憑證、更大的病人控制等方式支持更大的信息隱私權(quán)；

通過(guò)編碼的智能合同和實(shí)時(shí)可見性改善監(jiān)管合規(guī)情況；

通過(guò)減少數(shù)據(jù)孤島和重復(fù)，減少與驗(yàn)證憑證有關(guān)的大量成本、復(fù)雜性和時(shí)間。

區(qū)塊鏈與IAM的現(xiàn)狀

以上的用例描述了區(qū)塊鏈技術(shù)給IAM帶來(lái)的好處，但是忽略了一個(gè)重要的現(xiàn)實(shí)：身份是復(fù)雜的且屬于個(gè)人的，而且越來(lái)越多具有更多的生物特征，對(duì)這些數(shù)據(jù)的數(shù)字化是前所未有的。

雖然IAM將多個(gè)領(lǐng)域、系統(tǒng)、技術(shù)和服務(wù)提供商連接了起來(lái)，但將身份信息編碼到區(qū)塊鏈上并不僅僅是一項(xiàng)技術(shù)工作。有關(guān)數(shù)據(jù)的可訪問(wèn)性問(wèn)題是很重要的：應(yīng)該存儲(chǔ)什么、誰(shuí)為其提供擔(dān)保、如何維護(hù)以及由誰(shuí)來(lái)決定可訪問(wèn)性。這些問(wèn)題結(jié)合了哲學(xué)、經(jīng)濟(jì)、文化和法律方面的諸多考慮。盡管技術(shù)仍在變化，但它有可能將身