◆彭永勇 張曉韜

基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證關(guān)鍵技術(shù)研究

◆彭永勇 張曉韜

(四川中電啟明星信息技術(shù)有限公司 四川 610225)

為了避免密碼及核心數(shù)據(jù)被挾持攻擊等數(shù)據(jù)安全風(fēng)險(xiǎn)，本文提出了一種新的基于區(qū)塊鏈應(yīng)用模式的身份認(rèn)證技術(shù)實(shí)現(xiàn)方案，利用區(qū)塊鏈保護(hù)存儲(chǔ)信息的不可篡改性，作為數(shù)字身份認(rèn)證的原始比對(duì)信息提供真實(shí)性保障，實(shí)現(xiàn)區(qū)塊鏈保護(hù)的分布式存儲(chǔ)、信息維護(hù)、安全傳輸、分布式互信關(guān)系建立、及身份安全校驗(yàn)。

安全；可信；身份認(rèn)證

0 引言

根據(jù)Verizon 2016 泄露報(bào)告的數(shù)據(jù)統(tǒng)計(jì)，有超過(guò)一半的企業(yè)網(wǎng)絡(luò)安全事故和身份認(rèn)證憑據(jù)盜用有關(guān)。采用更加高效和安全的身份認(rèn)證技術(shù)也變得越來(lái)越重要，傳統(tǒng)的賬號(hào)密碼這種單一的認(rèn)證方式已無(wú)法滿足企業(yè)級(jí)統(tǒng)一認(rèn)證需求，也不再適應(yīng)未來(lái)的需求。如何為應(yīng)用系統(tǒng)提供方便、安全、快捷的身份認(rèn)證服務(wù)，成為擺在我們面前不得不面對(duì)的課題。數(shù)據(jù)安全始終是每一個(gè)信息系統(tǒng)信息交互過(guò)程都要面臨的一個(gè)重要問(wèn)題。

然而，基于傳統(tǒng)的中心化應(yīng)用構(gòu)建模式，身份認(rèn)證方式讓我們不得不用大腦或筆記來(lái)記住各種各樣的密碼，甚至?xí)涀约旱拿艽a，總會(huì)擔(dān)心密碼及核心交易數(shù)據(jù)被安全攻擊挾持等風(fēng)險(xiǎn)。

本文提出了一種基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證技術(shù)，使用其存儲(chǔ)信息的不可篡改性來(lái)實(shí)現(xiàn)身份識(shí)別及訪問(wèn)控制，以彌補(bǔ)傳統(tǒng)方式的不足。

區(qū)塊鏈?zhǔn)且粋€(gè)分布式賬本，一種通過(guò)去中心化、去信任化的方式集體維護(hù)一個(gè)可靠數(shù)據(jù)庫(kù)的技術(shù)方案。因此，我們期望能夠基于區(qū)塊鏈技術(shù)方案實(shí)現(xiàn)高安全級(jí)別的身份認(rèn)證和訪問(wèn)控制，利用區(qū)塊鏈分布式存儲(chǔ)信息的不可篡改性，為數(shù)字身份認(rèn)證的原始比對(duì)信息提供真實(shí)性保障。

1 傳統(tǒng)身份認(rèn)證技術(shù)分析

為了實(shí)現(xiàn)企業(yè)身份認(rèn)證安全管理，有的企業(yè)會(huì)用賬號(hào)密碼的限制策略，一些注重賬號(hào)安全的企業(yè)常常會(huì)采用OTP（一次性密碼）、手機(jī)短信等認(rèn)證方式來(lái)替代賬號(hào)密碼或作為二次認(rèn)證措施。有的企業(yè)會(huì)為大部分員工配備了一次性動(dòng)態(tài)令牌硬件，以保證安全性。這些方法有一定成效，但也存在種種弊端，比如成本昂貴、使用不便等。

傳統(tǒng)的身份認(rèn)證實(shí)現(xiàn)技術(shù)五花八門，目前應(yīng)用比較成體系的解決方案主要有4A和IAM，在國(guó)內(nèi)傳統(tǒng)企業(yè)來(lái)說(shuō)，大家都認(rèn)4A，但是在國(guó)外使用更多的是IAM方案，IAM算是比4A更先進(jìn)的企業(yè)身份認(rèn)證解決方案，所有也被稱為“大4A”，但其實(shí)從本質(zhì)上看來(lái)，兩者相差無(wú)幾，都是把內(nèi)部的多個(gè)系統(tǒng)進(jìn)行集中授權(quán)和管理，配備一個(gè)強(qiáng)身份認(rèn)證手段，根據(jù)不同用戶的不同身份來(lái)分配對(duì)應(yīng)的權(quán)限。近年大數(shù)據(jù)分析興起，因此在IAM 的方案中，越來(lái)越多地開始采用大數(shù)據(jù)分析進(jìn)行用戶行為審計(jì)，判斷用戶身份的真實(shí)性，提供多因素的認(rèn)證手段，保障企業(yè)身份認(rèn)證的安全性。然而，互聯(lián)網(wǎng)應(yīng)用的盛行、云計(jì)算普及的今天，身份認(rèn)證憑據(jù)被盜、個(gè)人隱私暴露、信息被篡改、應(yīng)用公信力低下等系列安全性問(wèn)題始終是困擾用戶的一個(gè)痛。

2 可信身份認(rèn)證技術(shù)實(shí)現(xiàn)原理

本文研究目標(biāo)是一種基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證關(guān)鍵技術(shù)（簡(jiǎn)稱：“可信身份認(rèn)證技術(shù)”），通過(guò)構(gòu)建基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證體系，彌補(bǔ)傳統(tǒng)應(yīng)用模式的短板和不足，形成以“區(qū)塊鏈技術(shù)＋不對(duì)稱加密技術(shù)＋數(shù)字身份認(rèn)證服務(wù)＋生物識(shí)別技術(shù)”為基礎(chǔ)的總體解決方案（如圖1）。

圖1 技術(shù)實(shí)現(xiàn)原理

可信身份認(rèn)證技術(shù)主要利用區(qū)塊鏈技術(shù)本身的“單向加密、時(shí)間戳、去中心、不可篡改、全網(wǎng)保存、分布式共識(shí)等”特性，通過(guò)研究“分布式網(wǎng)絡(luò)協(xié)議、Hash單向加密、分布式共識(shí)算法”及其相關(guān)框架技術(shù)，構(gòu)建具有去中心化的認(rèn)證邏輯體系和具有分布式公信力的應(yīng)用端程序。完成身份信息資產(chǎn)化，爭(zhēng)取個(gè)人信息所有權(quán)，提高認(rèn)證準(zhǔn)確程度，保護(hù)個(gè)人隱私信息，實(shí)現(xiàn)了基于區(qū)塊鏈模式的存儲(chǔ)和身份認(rèn)證能力，解決了傳統(tǒng)中心化方式帶來(lái)的信息安全問(wèn)題。

本文主要是利用生物識(shí)別技術(shù)提高身份識(shí)別準(zhǔn)確性，利用區(qū)塊鏈進(jìn)行信息存儲(chǔ)解決數(shù)據(jù)存儲(chǔ)安全性問(wèn)題。

應(yīng)用場(chǎng)景示例如下：

（1）用戶通過(guò)可以在StarShield IdCardAPP上傳他們的相關(guān)證明文件進(jìn)行身份驗(yàn)證，這些文件會(huì)在區(qū)塊鏈上進(jìn)行密封和加密生成私鑰和公鑰，只有用戶自己可以更改個(gè)人信息，其他人可以通過(guò)公鑰來(lái)查看個(gè)人信息。用戶在辦理其他需要認(rèn)證手續(xù)的業(yè)務(wù)時(shí)，第三方線上應(yīng)用可以通過(guò)掃描二維碼或者指紋等數(shù)據(jù)來(lái)確認(rèn)用戶身份。

（2）在登錄應(yīng)用時(shí)，代替輸入容易被黑和忘記用戶名和密碼，用戶只需要簡(jiǎn)單掃描一下來(lái)自APP上的二維碼，然后，會(huì)收到APP推送的一個(gè)通知，要求提供指紋驗(yàn)證，提供指紋數(shù)據(jù)之后，用戶就會(huì)自動(dòng)登錄。

（3）如果因?yàn)橛脩糍~戶問(wèn)題需要呼叫客服中心，傳統(tǒng)方式可能會(huì)問(wèn)用戶一些安全問(wèn)題。這些問(wèn)題可能是用戶之前預(yù)設(shè)好的，如果用戶的賬戶被黑，這些問(wèn)題也都可能會(huì)被破壞。相反，使用APP，一個(gè)通知將被發(fā)送到用戶的應(yīng)用程序，同時(shí)與運(yùn)營(yíng)商通話：通知將要求一個(gè)指紋來(lái)驗(yàn)證用戶是誰(shuí)。指紋被APP驗(yàn)證之后，運(yùn)營(yíng)商就會(huì)確定電話的另一端就是用戶本人。

3 可信身份認(rèn)證技術(shù)解決方案

圖2 典型技術(shù)架構(gòu)

在如圖2的典型技術(shù)架構(gòu)中，共提供四個(gè)邏輯體系服務(wù)：身份服務(wù)、策略服務(wù)、區(qū)塊鏈服務(wù)、智能合約服務(wù)。上層分別提供第三方應(yīng)用編程接口、開發(fā)工具包以及命令行工具等，實(shí)現(xiàn)組件開發(fā)的良好擴(kuò)展性。區(qū)塊鏈服務(wù)提供一個(gè)分布式賬本平臺(tái)，一般地，多個(gè)交易被打包進(jìn)區(qū)塊中，多個(gè)區(qū)塊構(gòu)成一條區(qū)塊鏈，區(qū)塊鏈代表的是賬本狀態(tài)機(jī)發(fā)生變更的歷史過(guò)程。

基于此技術(shù)架構(gòu)基礎(chǔ)，通過(guò)構(gòu)建本文所述的認(rèn)證服務(wù)組件和應(yīng)用，實(shí)現(xiàn)本文所述的區(qū)塊鏈技術(shù)＋數(shù)字身份認(rèn)證服務(wù)總體方案的核心底層邏輯。

下面將通過(guò)此核心底層邏輯，實(shí)現(xiàn)基于生物識(shí)別技術(shù)的分布式可信認(rèn)證服務(wù)（StarShield IdCard APP），如圖3所示。

生物識(shí)別技術(shù)可以提高個(gè)人身份認(rèn)證的準(zhǔn)確度，但其中心化的信息存儲(chǔ)方式可能會(huì)造成信息被篡改，因此我們把采集到的身份信息通過(guò)區(qū)塊鏈進(jìn)行信息存儲(chǔ)，個(gè)人的準(zhǔn)確性認(rèn)證將進(jìn)一步提升。另外，將不對(duì)稱加密的個(gè)人信息存儲(chǔ)于區(qū)塊鏈上，生成的私鑰存檔于用戶終端，同一區(qū)塊鏈上的應(yīng)用通過(guò)調(diào)用該接口實(shí)現(xiàn)身份認(rèn)證。

StarShield IdCard是融合了生物識(shí)別技術(shù)和區(qū)塊鏈技術(shù)進(jìn)行數(shù)字身份認(rèn)證，具體的步驟如下：

（1）APP拍照收集個(gè)人身份證或護(hù)照信息，將個(gè)人身份信封寫入到區(qū)塊鏈中，將加密的圖像信息存放到身份服務(wù)器。

（2）APP將身份信息發(fā)送給第三方應(yīng)用代理，在第三方應(yīng)用代理收到個(gè)人身份信息后，根據(jù)個(gè)人身份信息完成認(rèn)證令牌頒發(fā)，并且發(fā)送認(rèn)證令牌到區(qū)塊鏈中。

（3）通過(guò)身份信息在區(qū)塊鏈當(dāng)中的共享，當(dāng)有新的第三方代理應(yīng)用產(chǎn)生時(shí)，將從區(qū)塊鏈上獲取個(gè)人身份信封數(shù)據(jù)和加密圖像及令牌數(shù)據(jù)。

圖3 可信身份認(rèn)證-StarShield IdCard

（4）新的第三方代理應(yīng)用會(huì)再次采集新的用戶生物信息進(jìn)行驗(yàn)證，以達(dá)到正確認(rèn)證個(gè)人的目的。

4 總結(jié)

傳統(tǒng)方式的身份認(rèn)證安全性較低，容易受到外部攻擊和挾持，并且其中心化的信息存儲(chǔ)方式容易造成信息被篡改。另外，通過(guò)物理證件進(jìn)行身份識(shí)別則較為麻煩，并且也存在安全漏洞。

利用區(qū)塊鏈進(jìn)行信息存儲(chǔ)解決數(shù)據(jù)存儲(chǔ)安全性問(wèn)題，利用生物識(shí)別技術(shù)提高身份識(shí)別準(zhǔn)確性。

（1）提供StarShield IdCard APP完成身份信息的采集和認(rèn)證；

（2）提供StarShield IdCard API實(shí)現(xiàn)第三方認(rèn)證集成調(diào)用；

（3）提供StarShield IdCard SDK實(shí)現(xiàn)二次擴(kuò)展集成開發(fā)；

（4）提供StarShield IdCard CLI實(shí)現(xiàn)命令行工具集。

[1]Kyle.[EB/OL].http://www.8btc.com/blockchain-identity-management.

[2]http://www.8btc.com/blockchain-tech-mining.

[3]http://www.8btc.com/identity-and-the-blockchain-key-questions-we-need-to-solve.

[4]https://www.okcoin.cn/t-1012232.html.

[5]http://chainb.com/?P=Cont&id=1027.

[6]黎妹紅.身份認(rèn)證技術(shù)及應(yīng)用[J].北京郵電大學(xué)，2010.

[7]梁雪梅.數(shù)字身份認(rèn)證技術(shù)[M].水利水電出版社，2009.

[8]邱建華.生物特征識(shí)別的身份認(rèn)證革命[J].清華大學(xué)，2012.

[9]鄒均.區(qū)塊鏈技術(shù)指南[M].機(jī)械工業(yè)出版社，2016.

[10]唐文劍.區(qū)塊鏈將如何重新定義世界[M].機(jī)械工業(yè)出版社，2016.

[11]唐塔普斯科特（Don Tapscott）.區(qū)塊鏈革命[M].機(jī)械工業(yè)出版社，2016.