企業級區塊鏈如何構建去中心化身份？

企業采用許可區塊鏈(Permissioned blockchain)是一條充滿挑戰的道路，在復雜的企業業務流程中應用基于去中心化賬本的Web3堆棧技術仍然尚未成熟。在企業級區塊鏈平臺缺失的模塊中，身份作為新一代企業解決方案其重要性被提升到了首位。我們經常面臨在被許可的區塊鏈解決方案中啟用身份管理功能的挑戰。因此，企業區塊鏈解決方案的身份層就顯得尤為重要。

過去五年里，隨著新一代技術的出現，身份管理領域經歷了一次復興，這些技術從復雜的系統，比如CA、Microsoft Active Directory向更開放的系統過渡，比如Okta、Ping Identity、One Login等API驅動平臺，以及AWS、Azure或Google Cloud等云平臺中的相應堆棧。這些平臺將身份的功能從私有系統轉移到開放協議，如SAML、OpenID Connect等。

然而，這并不意味著身份管理技術簡單易用。恰恰相反，隨著身份功能的發展，身份管理解決方案的需求也變得越來越復雜，目前的企業身份管理體系結構領域有以下幾個顯著特征：

·基于中心化的身份提供者：身份管理解決方案通常依賴于中心化身份提供者，這些提供者接收某種形式的用戶憑證作為身份通證的輸入和輸出。

·基于身份協議：目前，很大比例的身份管理解決方案利用SAML、OAuth2等協議進行交互。

·細分：企業環境中用戶身份分布在不同的業務系統或用戶目錄中。因此，不同的應用程序傾向于與不同形式的身份標識進行交互。

在許可區塊鏈中啟用身份識別的基本矛盾點

將所有這些部分放在一起，我們得到了這樣一幅圖：企業中的用戶身份分布在許多系統中，但是都由中心化身份提供者強制執行。當談到身份時，我們需要解決當前企業體系結構和區塊鏈技術之間的兩個基本矛盾。

·共識 vs 認同

·中心化 vs 去中心化身份斷言(Assertions)

1)共識 vs 認同

在許可區塊鏈場景中啟用身份管理功能不僅是技術挑戰，還會與去中心化層的基本原則產生矛盾。區塊鏈技術最大的貢獻是，在計算機科學史上，我們第一次有了一個模型，可以信任數學和密碼學，而不是依靠中心化的各方。以該原則為基礎，區塊鏈體系結構基于共識協議，比如工作量證明(PoW)或權益證明(PoS)進行發展，這些協議依賴于計算來做出決策。在去中心化世界里，由于動態網絡可以實現最優的決策過程，因此身份并不是一個基本的構建單元。

基于計算的區塊鏈共識模型與企業解決方案形成了鮮明對比。從這個意義上說，在一個已知身份的世界里，共識協議提供的信息非常少。

2)中心化 vs 去中心化身份斷言

身份管理系統的當前體系結構依賴于中心化的網關管理員來創建關于用戶身份的斷言，將該模型與分布式分類賬體系結構協調起來絕非易事。理想情況下，我們需要一個模型，可以讓身份斷言在鏈上以加密方式進行編碼并分發到相關網絡上。

在許可區塊鏈中構建去中心化身份模塊

為了解決上述挑戰，有一些技術組件與許可區塊鏈體系結構非常相關。

1)Proof-Of-Authority

權威證明(PoA)是一種共識機制，由以太坊聯合創始人兼前首席技術官Gavin Wood于2017年提出。這一共識模型充分運用身份的價值，依賴于有限數量的區塊驗證者，這意味著，被選為區塊驗證者憑借的不是抵押的加密貨幣而是個人信譽。因此，權威證明區塊鏈由任意選擇的具有可信實體的驗證節點保護。

在企業級區塊鏈場景中，PoA共識非常重要，因為它可以利用用戶和系統的現有身份，而不是依賴于計算難題。目前已有很多許可鏈PoA共識有幾種實現與許可區塊鏈相關，包括奇偶校驗和Microsoft Azure

2)去中心化身份協議

在去中心化世界中，新興的去中心化身份領域看起來在身份的方法和標準上都取得了長足的技術進步。為了實現去中心化身份，我們需要對身份進行重新架構，將許多傳統的身份動態轉移到去中心化網絡中。

在過去20年里，微軟一直是身份管理領域的領導者之一，但即使是他們也意識到區塊鏈運行時需要一個新的身份模型。受DIF的啟發，微軟最近提出了一種具有前瞻性的體系結構，以支持區塊鏈的去中心化身份。

微軟架構包括以下組件：

·W3C去中心化標識符(DIDs)：IDs用戶的創建、擁有和控制獨立于任何組織或政府。DID是全局惟一標識符，鏈接到去中心化公鑰基礎設施(DPKI)元數據，元數據由包含公鑰材料、身份驗證描述符和服務端點的JSON文檔組成。

·去中心化系統：DIDs根植于去中心化系統，提供DPKI所需的機制和特性。

·DID用戶代理：用戶代理應用程序幫助創建DID，管理數據和權限，并簽名/驗證與DID鏈接的聲明。微軟將提供一款類似錢包的應用程序，可以作為管理DIDs和相關數據的用戶代理。

·DIF通用解析器：一種服務器，它使用一組DID驅動程序來為跨系統的DID提供標準查找和解析方法。

·DIF身份中心：一個復制的加密個人數據存儲網絡，由云和邊緣實體(如移動電話、個人電腦或智能揚聲器)組成，方便身份數據存儲和身份交互。

·DID認證：DID簽署的認證基于標準格式和協議。它們使身份所有者能夠生成、呈現和驗證聲明，這構成了系統用戶之間信任的基礎。

在許可區塊鏈的框架下，去中心化身份協議在傳統企業身份管理系統和區塊鏈DApps之間架起了一座清晰的橋梁。

3)零知識證明身份存儲

認證、聲明以及去中心化的概念是去中心化身份模型一些最重要的原則。一個有趣的想法是，將去中心化的概念與零知識證明協議(如zk-SNARKs)結合起來，在允許其他協議驗證身份的同時，為DIDs增加另一層隱私，這個概念可以被稱為零知識身份存儲，并且已經被uPort之類的協議所接受。

在零知識身份存儲模型中，與用戶身份相關的斷言將使用zk-SNARKs進行編碼，并在鏈上發布。智能合約可以驗證關于用戶身份的斷言，而不需要透露任何關于底層用戶身份的信息，底層用戶在鏈上執行的同時，還實現了更高程度的隱私。

作為一種新生技術，去中心化身份目前已經有一些相關案例可以為證券類通證協議提供啟發。

·uPort：uPort一直在穩步構建一系列協議和解決方案，用于在去中心化應用程序中管理身份。目前的堆棧與以太坊智能合約兼容，并且可以在許可區塊鏈應用程序中使用。

·Azure BaaS：Azure團隊出色地擴展了不同區塊鏈的核心協議，以利用Azure Active Directory身份，最近的一個例子是在以太坊應用程序中實現了PoA共識協議。

·Sidetree：它是一個代碼級組件的組合，包括確定的處理邏輯、可尋址的內容存儲抽象和狀態驗證程序，可以部署在第1層去中心化分類賬系統(例如公共區塊鏈)之上，以生成沒有許可的第2層DID網絡。

·Hyperledger Indy：Indy提供了一個最完整的堆棧來支持身份管理功能，Indy的當前版本包括一些工具和庫，它們是實現了去中心化身份解決方案中一些最常見的模式。

作為區塊鏈應用程序的基本模塊之一，去中心化身份在逐漸被主流采用的過程中，仍然需要解決如何與現實世界銜接的問題。不過已有一些組織正在這方面做著努力，比如去中心化身份基金會(DIF)正在致力于彌合傳統身份系統和區塊鏈之間的差距。盡管在這個領域有一些協議和工具，但在企業區塊鏈解決方案中啟用身份功能仍將是一項相當復雜的工作，需要區塊鏈行業和科技企業的共同努力。