企业区块链+身份丨如何为许可链设计身份模型？

在企业中采用许可链技术是一条充满挑战的道路。从根本上来说，基于分布式分类账的所谓Web3堆栈对于实现复杂的企业业务流程是不成熟的。在企业区块链平台中缺失的构建块中，身份作为新一代企业解决方案无处不在的挑战而成为首要的考虑因素。本文将探讨一下企业区块链解决方案中的身份管理功能以及身份层模型。

图片来源：The Blue Diamond Gallery

在过去五年中，随着新一代技术的出现，从CA或Microsoft Active Directory等复杂系统过渡到更开放的API驱动平台，如Okta、Ping Identity、One Login as以及AWS、Azure或Google Cloud等云平台中的相应堆栈，身份管理行业迎来了巨大的发展。这些平台将身份的功能从专有系统转移到开放协议，如SAML、OpenID Connect等。但是，这并不意味着企业身份管理技术是简单易用的。恰恰相反，随着身份功能的发展，对身份管理解决方案的要求也越来越复杂。查看企业中当前的身份管理架构，有一些值得强调的特征：

·基于中心化的身份提供机构：企业身份管理解决方案通常依赖于中心化的身份提供机构，这些身份提供机构接收某种形式的用户凭证作为输入，然后输出身份通证。

·基于身份协议：目前，很大比例的企业身份管理解决方案利用SAML、OAuth2等协议进行交互。

·分散化：企业环境中的用户身份分布在不同的业务系统或用户目录中。结果，不同的应用程序倾向于与用户身份的不同表示进行交互。

在许可链中实现身份功能的基本摩擦

将所有这些特点结合起来，我们可以知道，企业中的用户身份分布在许多系统中，但由身份提供机构来具体执行。对于身份，在当前的企业系统架构和区块链技术领域之间需要解决两个根本性的摩擦。

·共识与身份

·中心化与去中心化的身份断言（assertion）

企业系统架构和区块链技术领域的根本性摩擦

共识与身份

在许可链的场景中启用身份管理功能与去中心化层的基本原则产生了摩擦。区块链技术的最大贡献在于，我们第一次在计算机科学史上拥有一个模型，在这个模型中，我们可以信任数学和密码学而不是中心化的实体。以该原则为基础，区块链的架构是基于共识协议发展的。而在去中心化的世界中，身份还不是一个基本的构建块，因为网络的动态需要先达到最佳的决策过程。

基于计算的区块链堆栈共识模型从根本上与企业解决方案存在很大不同，在企业解决方案中，参与者的身份是已知的。从这个意义上说，你可以认为，共识协议在已知身份的世界中可以提供的好处很少。

中心化与去中心化的身份断言

当前企业身份管理系统的架构依赖于中心化机构来创建关于用户身份的断言。将该模型与分布式分类账架构（其中断言将分布在参与者网络中）进行协调绝非小事。理想情况下，我们需要一种模型，其中身份断言以加密安全的方式进行编码并上链，然后分发给相关的网络实体。

许可链中去中心化身份的构建块

为了应对上一节中列出的一些挑战，我们发现有一些技术组件对于许可链架构或许非常有用。

权威证明（PoA）

权威证明（PoA）是一种共识机制，依赖于身份作为第一类物件（可以在执行期创造并作为参数传递给其他函数或存入一个变数的实体）。在PoA网络中，通过引用验证者列表来实现共识。验证者是一组允许参与共识的帐户/节点；他们验证交易和区块。 PoA不需要解决计算成本非常高的谜题来提交交易。相反，交易只需要由大多数验证者签署，在这种情况下，它成为永久记录的一部分。

权威证明

对于企业区块链场景，PoA共识也是很实用的，因为它可以充分利用用户和系统的现有身份。目前已经有许多与许可链相关的PoA共识实现，包括Parity和Microsoft Azure。

去中心化的身份协议

为了实现去中心化身份，需要对身份重新进行架构，将许多传统的身份动态转移到去中心化的参与者网络中。

在过去的20年里，微软一直是身份管理领域的领先者之一，但它们也意识到区块链需要新的身份模型。受到DIF（去中心化身份基金会）启发，微软最近提出了一种前瞻性架构，以支持区块链的去中心化身份。 Microsoft的架构包括以下组件：

微软去中心化身份管理架构

·W3C去中心化身份标识（DID）：用户创建、拥有和控制独立于任何组织或政府的ID。DID是连接到去中心化公钥基础设施（DPKI）元数据（元数据由包含公钥材料、身份验证描述符和服务端点的JSON文档组成）的唯一全局性标识。

·去中心化系统：DID植根于去中心化系统，提供DPKI所需的机制和功能。

·DID用户代理（User Agents）：使真人能够使用去中心化身份的应用程序。用户代理应用有助于创建DID，管理数据和权限以及签署/验证与DID相关的声明。

·DIF通用解析器：一种服务器，利用DID一系列驱动程序为不同客户端和去中心化系统中的DID提供标准的查找和解析方法，并返回封装了与DID相关DPKI元数据的DID文档对象。

·DIF身份中心（hub）：加密个人数据存储的复制网格（replicated mesh），由云和边缘实例（如移动电话、PC或智能扬声器）组成，可促进身份数据存储和身份交互。

·DID 证明：DID签署的证明基于标准格式和协议。它们使身份所有者能够生成、呈现和验证声明。这构成了系统用户之间信任的基础。·

对于许可链，去中心化的身份协议在传统的企业身份管理系统和区块链DApp之间提供了清晰的桥梁。

零知识证明身份存储（Identity Stores）

证明、声明以及去中心化hub的概念是去中心化身份模型的一些最重要的原则。一个有趣的想法是将去中心化hub与零知识证明协议（如zk-SNARK）相结合，为DID增加另一层的隐私，同时允许其他协议验证身份证明。笔者喜欢将这个概念称为零知识储存，并且这一概念已被uPort等协议所支持。

在零知识身份存储模型中，与用户身份相关的断言将使用zk-SNARK进行编码并在链上发布。智能合约可以验证关于用户身份的断言，而不会泄露有关基础用户身份的任何信息，从而在执行高级别隐私的同时维持链上的执行。

小结

身份是许可链应用程序的基本构建块之一，需要解决这一问题才能实现许可链的主流采用。 去中心化身份基金会（DIF）等机构的努力将引领传统身份系统与区块链新世界之间的融合。 虽然该领域已有一些协议和工具，但在企业区块链解决方案中实现身份功能仍然是一项相当复杂的工作。