基于隐私保护的分布式数字身份认证技术研究及实践探索

目录

0 引言

1 分布式数字身份认证技术概述

1.1 技术框架

图1

1.2 技术流程

1.2.1 概述

图2

1.2.2 数据处理流程

1.3 主要技术

1.3.1 密码学技术

1.3.2 区块链技术

1.3.3 基于生物识别的身份认证技术

2 分布式数字身份隐私保护机制

2.1 终端安全机制

2.1.1 安全核心SDK

2.1.2 设备级安全环境

2.1.3 硬件级安全环境

2.1.4 个人信息披露安全机制

2.2 基于密码学的个人隐私保护机制

图3

图4

2.2.1 基于零知识证明的DID认证

2.2.2 支持最小化披露的身份属性认证

3 视障用户观影场景实现

3.1 基于隐私保护的视障用户身份核验方案

3.2 视障用户隐私保护实例

4 结束语

---

摘要

随着Web 3.0的发展,分布式数字身份应运而生。分布式数字身份面向分布式网络,能够把用户、机构、设备和数字资产统一接入网络,具备去中心化、互通互认、隐私安全等特点。首先研究了基于隐私保护的分布式数字身份认证体系,概述了其技术架构、认证流程、技术特点;其次阐述了基于终端的安全防护机制和基于密码学的隐私保护方案,其中隐私保护安全方案包括基于密码学的分布式身份认证和身份属性认证;最后介绍了视障用户场景实现案例,为分布式数字身份应用场景提供思路,助力用户隐私保护。

关键词： 分布式数字身份; 终端安全; 隐私安全; 零知识证明

0 引言

随着互联网技术的快速发展,个人信息在网络空间的传播速度及范围不断加快和扩大。与此同时,个人信息泄露事件日益增多,用户隐私保护意识也不断提升。《中华人民共和国个人信息保护法》(简称《个人信息保护法》)明确了个人信息的收集、使用、存储、传输、公开、处理、删除等各个环节的具体要求。在数字化时代,如何建设一套认证机制既能保护用户隐私又能保证数据在跨机构流通间的安全性是目前面临的一个严峻挑战。构建以用户为中心的分布式数字身份认证技术体系能够有效解决以上问题。本文旨在探索分布式数字身份认证技术体系的建设,为用户个人信息的保护和存储提供数字化技术基础。

1 分布式数字身份认证技术概述

1.1 技术框架

基于隐私保护的分布式数字身份认证技术架构自下而上分为基础设施层、服务层和应用层(见图1)。基础设施层基于区块链技术,主要实现用户私钥托管、凭证托管与溯源等功能。基于分布式公钥基础设施(Distributed Public Key Infrastructure,DPKI)构建的基础设施层为处于云端的区块链可信网络,主要提供通用的软件即服务(Software as a Service,SaaS)能力,如身份服务与区块链的交互、用户私钥托管、凭证托管与溯源等。基础设施层使用零知识证明等技术来保护用户的隐私,用户可以选择性地最小化披露自己的信息,同时使用共识算法和分布式节点来提高应用系统的可信度,使其更加抗攻击和安全,进而保障用户个人信息安全。服务层由边缘云侧和终端侧两部分组成,其中边缘云侧主要负责机构的管理,凭证模板管理,凭证签发、验证,身份验证以及身份管理和联盟管理等,解决凭证颁发机构可信入驻以及身份服务商的可信接入问题,对用户身份进行溯源和互认等操作,实现统一管控与规范化发展。终端侧实现生态场景的管控,包括分布式身份(Distributed Identity,DID)管理、可验证声明管理;同时,终端侧还对场景使用的凭证进行约束,包括凭证颁发、凭证验证等,终端侧整合了这两部分功能为用户提供完整的分布式认证能力和服务。服务层基于分布式身份底层基础设施,把数字身份业务为主的服务资源以分布式的方式对生态成员开放,为数字身份基础服务提供支撑。应用层则是通过终端安全环境,通过可信桥接颁发方、用户和验证方3个核心主体,安全应用于整个隐私保护的分布式认证基本体系。该技术体系不仅能够保护隐私,还能够有效落实《个人信息保护法》中收集个人信息的最小化原则。

图1

图1   基于隐私保护的分布式数字身份认证技术架构

 

1.2 技术流程

1.2.1 概述

如图2 所示,分布式数字身份认证的数据处理流程主要包含4类主体和两类关键数据。其中,4类主体包括凭证颁发方,即为用户或机构的DID颁发可验证凭证的机构;业务服务提供方(Service Provider,SP),即依托于分布式认证能力为用户提供各类业务服务的机构;DID持有方,即拥有DID私有使用权的机构或个人;身份服务提供方(Identity Provider,IDP),即为分布式认证体系内各个机构和用户提供安全可信的DID注册服务的机构。两类关键数据是可验证凭证(Verifiable Credentials,VC),即由凭证颁发方为DID签发的可用于验证的凭证数据;可验证表达(Verifiable Presentations,VP),即拥有可验证凭证的用户向验证方表明自己身份的数据。

图2

图2   分布式数字身份认证数据处理流程

 

1.2.2 数据处理流程

用户或者机构首先需要向IDP注册用户或机构的DID,在注册身份时,由用户或机构在其自主可控的可信终端(例如移动终端、服务端加密机等)上生成用户的身份密钥对,私钥安全存储在端侧,公钥提交给身份服务提供方上链存证。在DID用户向凭证颁发方主动申请,并选择性披露自己的数字身份属性后,凭证颁发方会为用户签发VC。凭证颁发机构面向特定DID用户签发VC凭证时,组装完凭证信息后,使用机构DID私钥对VC内容数据进行签名,确保VC数据来源可信。用户向业务服务方提供VC内容时,需要在终端侧组装完VP后,使用用户DID私钥对VP内容进行签名,确保VP数据经由用户授权;在分布式数字身份认证端、云、链等各节点间进行数据通信时,会基于各节点DID密钥构建安全可信的通信信道,确保数据传输过程中DID信息、业务敏感数据等不被泄露。