IBM赵振华:去中心化身份解决方案
金色财经讯,11月5日,深圳区块链技术与应用大会开幕,IBM区块链高级技术专家、超级账本大中华区技术工作组联席主席赵振华在会上以“去中心化身份解决方案”为题进行分享。他表示,目前联盟链面临两个最大问题就是数据安全和隐私。
以下是嘉宾演讲实录,由金色财经整理,未与演讲者进行二次确认:
大家好,我是来自IBM的赵振华,我演讲的主题是《去中心化身份解决方案》。
前面几位嘉宾分享都讲到了数据安全和隐私,我今天讲的话题和这个也有关, 目前联盟链最大的问题就是安全和隐私,如果你把这个问题解决好了,可能落地会容易很多, 所以我就跟大家分享一下这方面的话题。
首先我们看一下我们物理世界的身份,首先我有一个社会身份,什么是身份?身份就是和具体自然人有关的姓名、电话、出生日期、民族、职位特点场合的权利等等,身份的体现形势有政府、企业、服务提供者所领发的各种卡、证、票等等,用途是向需要核实身份的组织或者个人、系统出示地区自己身份的卡、证、票、帐号和密码。
我今天来做这个分享我是一个嘉宾,在座的是观众,我们是有各种场景化的身份,我们在这里参加可能需要报名我们有一个票,我们看电影坐车都有票可以证明。最后我们的身份确定了之后我们使用的时候我们可以出示给要验证我们身份的机构和个人,我可以通过我的帐号和密码来鉴别我的身份。
我们看我们的身份到我们的数字世界,首先要确定我是我,我自己把这么一个密码有一个签名是我的私钥,还有一个是公开的公钥可以发给任何需要的人,这个可以解决数据传输安全性的问题,我有一个KEY,你知道它存在,是真的有这么一个人,但是你没有办法解决是谁的问题,因为身份的鉴定是没有办法解决的。
这个时候我们有另外一套机制就是我们说的PKI,为了确定我的身份我们邀请有公信力的第三方颁发证书,包括很多的公司也可以产生相应的证书来鉴定他的身份,但是PKI它也有一些问题,第一个问题就是我这个信息公布出去了就不能改,写的我任何的信息都没有办法控制,并且任何人都可以获得,个人信息泄露的风险特别大,对于管理的证书的机构也是一个很大的问题,他也需要很大的管理成本,并且我改变的幅度是特别高的,比如我银行帐户的信息都会有变化,但是我的证书是没有办法更新的。怎么解决这个问题?我们想到SSI,就是我自己可以控制的方案,就是把我们真实世界身份的认证体系搬到了区块链上,比如银行我开户,我户头的银行是银行发给我的,我个人只有一个卡我向别人证实的时候拿出这个卡片,但是具体的信息比如我买房的时候,都是需要银行出示这些信息。
这里它引入了一个DID的技术,DID和你的KEY绑定,不同的DID可以绑定不同的KEY,DID是一个和我们的网络地址很像,我们把DID的信息放到这个链上去,这个信息可以在我们自己手里,也可以在给我们办法信息的机构,我们在医院看病,这个信息我们比较敏感,所以我们的所有信息都放到链上,但是别人怎么获取?
跟我们现在一样,首先是有一个办法认证的机构,不管是一国家工信机构还是一些公司,包括我们这里参加会议的机构,都可以颁发一个身份,每个人拿着这个身份就可以了,我们参加会议验票的时候这个链上取得我们相应的信息就可以了。
所有的信息我们可以自己控制,自己控制是怎么控制的?这个信息的匿名是怎么做的?我们看一下,这里是一个例子,最前面就是DID的格式,下面是我们相对应的KEY,这个和我们的数字证书比较像,不同的标准它都是可以支持的,下面这个红色的框这是一个地址,其他有关的隐私地质别人怎么获取和验证,你就要访问相对应的地址,我们在这个网站自己的提供的服务我们有比较大的自主权。
然后不同的人不想让人访问,我就可以推动这个网站屏蔽,这个现在是超级帐本的另外一个项目(PPT图示),这个项目现在还是孵化的阶段,但是代码已经可以用了,有兴趣的同学可以去用,它的落地就是沿着去中心化的方式,让用户有自主权的,分布式解决方案,第二个是隐私性比较强,可以自己选择上链的信息,第三个是易于交互,这是P2P通信和交换的信息。
另外保存在你本质的东西你可以备份,需要的时候可以恢复,我们看一下准备的架构,也是和我们的体系一样,有三个,第一个中间的这个(PPT图示)证的持有人,还有一个就是你验证我的身份的时候我提供过来,所有的信息都是放在区块链上,这个就不需要一个中心化的机构来帮我们颁发这个证书,相当于我们自己完全控制,我们看一下这个架构,首先是DID我们的链层,可以是一个联盟链的方式,这个上面我们可以部署在云上,云和云之间可以进行交互,相当于每一个客户可以在云上有一些节点进行一些证书的交换和身份的交换都可以在上面完成。
最上面一个就是我们的终端用户,你可以把你的钱包放在你的手机上,也可以部署在你的服务器上,部署在服务器上的公司多一点,某一个公司可以对所有的员工做一个服务器,然后验证员工的信息,这个就是你个人的信息,可以绑定目前在你个人的设备上。
我们看一下身份验证,首先是颁发证书的架构颁发的时候就把响应的信息放在链上,我们验证的时候提供我们个人的身份就可以了,我们公开的内容就在链上,其他隐私的内容就在我们的UL上,这个是我们自己控制,我们可以做一些个性化的设计。
所有数据的加密都是匿名的方式,验证的时候根据你的KEY验证,所有的流程都是标准化,这样就建立了一个完整的身份的生态。
因为活动比较多,大家有兴趣可以和我联络,另外和大家说一下,这个方案其他的很多数据也都可以借鉴这个方案,包括我们的黑名单和白名单,你查个人信息的话,这个银行的帐户的信息可以银行来提供,以及收费的信息都可以通过这样的方式实现。
谢谢大家。