为什么企业需要用户自治的数字身 份

声明:本文参考了云安全联盟 用户自治数字身份安全 2020,再次表示感谢，希望本文对大家了解数字身份 有所帮助

1.1 传统的中心化数字身份

传统的数字身份是中心化的，主要可以按照下面的应用场景进行分类。
A. 企业内部使用身份（ Enterprise Identity ）

通常企业内用户身份主要是用于认证及授权。用户对于企业信息系统的访 问，用户使用账号密码登陆，通过认证后，根据服务端的配置获得相关的访问授 权。用户的账号及密码信息存储在认证及授权相关的服务器中（例如LDAP服务 器），用户输入账号及密码，认证程序会对比相关服务器存储的信息，以确认该 用户持有正确的用户账号及密码。从而允许用户访问，并授予相应的访问权限。

为了增强安全性，很多企业引入了多因子认证机制（ MFA: Multi-Factor Authentication），用户不仅仅需要提供所知道的用户账号及密码，还需要提供发 送至个人持有设备（比如令牌、手机等）的随机信息或个人生物认证的信息（比 如人脸、指纹、语音等）。还有一些企业采用PKI（Public Key Infrastructure）体 系，用户（主要是特权用户）持有私有密钥，用户在某些应用场景中需要使用私 有密钥，或者采用私有密钥签名，做为身份的证明。
为了用户登陆企业内多个系统的便利性，很多企业引入了单点登陆机制。用 户仅需要单点登陆服务器的一次身份认证，就可以访问具有相关授权的资源。
企业的用户访问授权主要关注以下几方面：

1. 职责分开（Separation of Duty: SOD）：为不同职责的用户分配不同的权 限，避免单个职员有过多的、职责冲突的系统操作权限，从而在系统中 进行业务授权之外的操作，产生业务风险。

2. 最小权限（Least Privilege）：授权采用按需最小的原则，仅授予职员工 作所必须的操作权限。降低系统误操作、舞弊等风险。

3. 基于角色的访问控制（Role Based Access Control: RBAC）：企业应用系统， 例如ERP等系统，一般采用基于角色的访问控制，通过对角色权限的一 次性配置，然后将角色权限授予相关的用户。当用户的工作内容发生变 更时，只需要调整相关的角色分配即可以完成相关访问权限的调整。

4. 基于属性的访问控制（Attribute Based Access Control: ABCA， 不同于基 于角色的访问控制，ABAC基于一组访问策略进行授权，认证授权服务器 验证用户的身份后，基于一些特性（比如访问者职位、部门、登陆地点 等）进行计算，根据计算结果，采用预定的访问策略给予授权。ABAC 可以更方便地实现细颗粒度的授权管理。

B.个人或者消费者身份管理（ Consumer Identity ）
通常个人/消费者用户要求更方便的认证及授权体验，访问负载通常变化也 比较大。而且不同于企业用户访问通常有一定的内部网络边界，接入渠道受控（通 过局域网LAN，虚拟私有网络VPN加密通道等方式访问），消费者访问一般都 是通过互联网传输，这对于应用服务商带来更多的挑战，应用服务商在提升用户 体验的同时，还需要兼顾相关的安全性。
HTTPS在App后台为了避免每次验证用户身份都需要传输用户名和密码，一 般采用以下机制。App后台接收到App发送的用户名和密码后，验证用户名和密 码是否正确。如果错误则返回错误信息。如果App后台验证正确，生成一个随 机的不重复的token字符串。token字符串作为用户的唯一标识，在Redis（Remote Dictionary Server )中建立token字符串和用户信息的对应关系。App后台把token 字符串和用户信息返回给App，App保存这些数据作为以后身份验证的必备数据。 为了减少token被盗产生的安全风险，用户每隔一段时间，需要重新输入用户名 及密码，生成新的token。
提供用户身份验证除了基本的用户名，密码之外，也采用其它身份验证方式， 例如短信验证码，指纹，人脸生物特征识别等，通过对于设备等其它相关信息的 综合判断，给与登陆用户相应的认证及授权。为了对抗一些暴力破解，还会采取 一些用户行为验证（例如：图形选择，数学计算，拼图等）。
应用服务商集中存储大量用户个人信息及相关验证信息。为避免用户隐私泄 露，认证信息泄露，用户信息数据库的安全防护，就成为应用服务企业重要的控 制领域。除了对服务器数据库的基本防护措施，相关用户存储信息一般需要采用 加密，或摘要等方式，避免万一数据库被盗，引发用户个人信息及认证信息泄露 的问题。

C.物联网设备的身份：

由于物联网设备硬件能力相对比较弱，需要采用轻量级的身份认证方式。提 供IOT服务的云厂商，都有一些物联网身份的解决方案，比如采用X.509证书等。 目前还缺乏成熟的身份管理系统。
用户与设备的认证协议主要为了实现用户匿名和互认证；设备与服务器的认 证协议主要为了实现轻量级认证和隐私保护；设备与设备的认证协议主要为了实 现隐私保护、高效认证和移动认证。

1.2 传统的数字身份系统的痛点

传统的数字身份系统有下面一些主要的痛点：

1.中心化数字身份容易遭到黑客进攻，由于黑客一旦成功攻破一个中心化的 身份数字系统，就可以或得几千万乃至几个亿的数字身份。去中心化数字身份相 对进犯本钱高，因为黑客需要攻破每一个去中心化的身份。

2.中心化数据可能被平台或者第三方不合理使用。例子包括剑桥分析 (Cambridge Analytics)师公司对于美国和英国民意的控制，也包括国内在 2019 年 一些数据公司因为卖隐私数据被审查事件。

3.目前，我们正在进入数据技术时代（DT：Data Technology），在数据技术 数据与工业时代的汽油一样重要。但是，目前的IT架构和中心化的数字身份生 态对于数据的确权，数据的价值定价，和数据在基于所有权不变的前提下进行公 平交易没有好的解决方案。 数据时代，数据私有化是数据是否能够被合理，有 效，安全地使用的必要条件。那么，数据私有化本身的必要条件是什么呢？数字身份私有化就是这个必要条件。没有数字身份的私有化或者说去中心化，公链或 者联盟链生态体系的数据很难确权。

4.数据私有化以后，如何鼓励用户有偿地分享数据呢？中心化的架构不可能 合理，安全，有效地解决这个分享的问题。这个也需要基于去中心化数字身份下 的通证激励机制在身份私有化和数据确权的情况下才能发挥价值。

5.基于用户的信誉的生态系统是包括金融，电子商务，保险，房地产，政务， 物流等等产业系统的技术和数据支撑。区块链项目的落地，也需要与之对应的用 户的信誉的生态系统。传统的数字身份系统下，用户的信誉存储在中心化的数据 库存在被盗用和被篡改的情况。去中心化的数字身份在对于用户的数据进行确权 的前提下，可以叠加用户的信誉分数， 在保护隐私的条件下有偿地存储和分享 信誉分数，并需要满足各国的隐私法律和监管条例（如欧盟GDPR， 美国加州 CCPR， 英国DPA2018等等）和提供用户能管理他们个人的信息和私隐保护。