社会的数字化正在推动身份的数字化。从健康信息到专业认证,对身份信息和证书的需求在数量、种类和价值上都在增加。传统上,身份信息由第三方监控和验证——这可能是政府或私营部门。然而,低信任度和新工具正在质疑这些传统做法。随着个人数据量、数字交互频率和安全威胁风险的增加,纸质形式的身份越来越不适合数字世界。然而,我们还不知道新兴技术将如何重塑身份。在组织环境中,身份和访问管理(IAM)技术通过帮助识别、验证和授权有权访问服务或系统的人员发挥重要作用。此类别包含多个过程,访问可以指从客户登录软件和员工配置硬件,到公民使用政府服务,再到用户进行身份验证、认证和证明的各种方式。身份属性是附加在身份上的标签:职业、国籍、与服务提供商的关系、获得政府权利和人口统计数据。这些标签不仅仅是数字表示,而是我们是谁的证明。分布式账本技术(DLT),通常称为区块链,是为IAM提供潜在模型的新兴技术之一。DLT最好被理解为一个总称,它涵盖了用于数据安全和计算的各种分布式设计,以及其中捆绑的技术。它的核心是使交易、身份验证和交互能够由网络而不是单个中央机构来记录和验证。这种按顺序记录和检索存储数据的能力被认为是记录保存的根本性突破,其应用远远超出了加密货币。区块链改进IAM的10种方式区块链技术(或受区块链启发的设计)可以改进IAM流程的几种用例包括:(1)多方验证多方验证涉及使用中央身份服务而不是中央身份服务公司、集团实体由网络管理并由合资企业或联合会拥有。这种方法可以将DLT应用于IAM系统以提高效率,尽管各方协调的复杂性限制了大规模部署。(2)可验证证书根据万维网联盟(W3C),“可验证证书代表发行者以防篡改和尊重隐私的方式提出的声明。”它们是身份验证的重要组成部分,DLT为“数字水印”固定声明带来了机遇。正如基于区块链的不可替代令牌使艺术家能够为其原始媒体添加数字水印一样,类似的功能也可用于验证身份凭证。也就是说,企业不应在区块链上存储个人身份信息(PII);他们应该只存储声明的哈希值。(3)分布式属性在公共区块链架构,或基于开源软件的混合架构中,访问不受限制,并有可能支持属性的全局搜索和发现,而不需要中央目录。这种透明度可能会威胁到隐私原则,但通过一层额外的隐私工程,更容易获得的分发有可能改善金融包容性并帮助那些无法证明自己身份的人。(4)访问属性属性可以被加密,智能合约可以被编码以在需要时解密,智能合约是指区块链上的编码逻辑和算法的术语。为避免将PII或财产本身存储在区块链上,只有财产哈希的签名应该存储在分类账上,而用户可以从他们的设备上显示财产。(5)属性来源我们如何知道身份属性的来源和准确性?毕竟,属性的可靠性取决于我们对其来源的信任。正如共享账本提高了供应链中食品跟踪的透明度和效率一样,共享账本也可用于通过增加发布身份属性的时间戳的透明度来验证身份。同样的功能对于密钥生命周期管理很有用,特别是对加密密钥生命周期元数据的同步可见性,例如谁有权访问什么。学术界正在考虑它,因为它可以帮助验证和验证证书和招聘证书。(6)数据最小化服务提供商实际需要知道哪些信息才能对某人进行身份验证?可以配置各种DLT功能(例如智能合约、零知识证明或选择性披露)以最小化数据或属性,并且这些数据或属性永远不会被披露。(7)审计追踪在许多企业环境中,创建交互日志不仅是一种操作和安全最佳实践,也是一种合规性要求。虽然区块链在记录用于审计目的的信息时不是强制性要求,例如用户注册、用户登录、用户请求权限或用户停用,但区块链可用于各方同步,保持日志完整性并减少篡改或欺诈的可能性.(8)合规性验证共享审计跟踪支持的另一个用例是合规性验证,因为审计员可能是共享账本网络中基于许可的利益相关者。许多企业身份用例也需要合规验证,例如金融服务中的了解你的客户(KYC)。在这个例子中,IAM和区块链的融合不会消除对中央机构的需要(在KYC的情况下,政府机构),但会为个人和银行提供更高的效率。银行可以“看到”并证明其他银行已经进行了KYC尽职调查并验证了客户身份,这也降低了银行的成本。(9)Self-SovereignIdentity(SSI)虽然完全自主决定和将所有属性的控制权转移给最终用户的概念早于区块链和IAM,但DLT激发了一些创新设计,使个人数据具有更大的自主权.DLT示例包括为财产可靠性而设计的共识算法。虽然SSI具有潜力,但一些风险较高的企业用例(例如医疗保健或金融服务)可能始终需要外部机构来验证身份声明。(10)去中心化标识符(DID)DID是完全由身份所有者控制的标识符,独立于中央机构或提供者。DID是SSI的组件,旨在由用户控制,不能重新分配和解析。这意味着它们包含公钥文件、身份验证协议以及通过密码学或发行机构签名的可验证性。例如,考虑这些用例在医疗保健中存在的机会。医院、保险公司、护理人员、诊所和药房之间缺乏沟通阻碍了效率、成本节约和获得护理的机会。这个问题的核心挑战之一是身份层。DLT支持的用例可以实现以下目标:通过单一事实来源提高医疗保健认证过程中所有利益相关者的可见性;跟踪和验证从业者认证(在他们的职业生涯中)和组织许可;验证真实性并同时允许访问健康记录;通过私钥、数据最小化、凭证验证、更好的患者控制等支持更大的信息隐私;通过编码的智能合约和实时可见性提高合规性;通过减少数据孤岛和重复,降低与验证凭据相关的成本、复杂性和时间。区块链和IAM的现实这些用例展示了结合区块链和IAM的好处,但忽略了一个重要的现实:身份是复杂的。身份是个人的,并且越来越具有生物特征,身份的数字化是前所未有的。虽然IAM连接了多个领域、系统、技术和服务提供商,但将身份信息编码成DLT不仅仅是技术工作。提出有关数据的问题很重要:应该存储什么、谁为其提供担保、如何维护以及由谁来决定。这些问题具有哲学、经济、文化和法律方面的问题。技术仍在不断变化,技术有可能将身份控制点从集中但断开连接的中心转移到分散且相互关联的信任网络。
