基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證關(guān)鍵技術(shù)研究

◆彭永勇 張曉韜

基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證關(guān)鍵技術(shù)研究

◆彭永勇 張曉韜

(四川中電啟明星信息技術(shù)有限公司 四川 610225)

為了避免密碼及核心數(shù)據(jù)被挾持攻擊等數(shù)據(jù)安全風(fēng)險，本文提出了一種新的基于區(qū)塊鏈應(yīng)用模式的身份認(rèn)證技術(shù)實現(xiàn)方案，利用區(qū)塊鏈保護(hù)存儲信息的不可篡改性，作為數(shù)字身份認(rèn)證的原始比對信息提供真實性保障，實現(xiàn)區(qū)塊鏈保護(hù)的分布式存儲、信息維護(hù)、安全傳輸、分布式互信關(guān)系建立、及身份安全校驗。

安全；可信；身份認(rèn)證

0 引言

根據(jù)Verizon 2016 泄露報告的數(shù)據(jù)統(tǒng)計，有超過一半的企業(yè)網(wǎng)絡(luò)安全事故和身份認(rèn)證憑據(jù)盜用有關(guān)。采用更加高效和安全的身份認(rèn)證技術(shù)也變得越來越重要，傳統(tǒng)的賬號密碼這種單一的認(rèn)證方式已無法滿足企業(yè)級統(tǒng)一認(rèn)證需求，也不再適應(yīng)未來的需求。如何為應(yīng)用系統(tǒng)提供方便、安全、快捷的身份認(rèn)證服務(wù)，成為擺在我們面前不得不面對的課題。數(shù)據(jù)安全始終是每一個信息系統(tǒng)信息交互過程都要面臨的一個重要問題。

然而，基于傳統(tǒng)的中心化應(yīng)用構(gòu)建模式，身份認(rèn)證方式讓我們不得不用大腦或筆記來記住各種各樣的密碼，甚至?xí)涀约旱拿艽a，總會擔(dān)心密碼及核心交易數(shù)據(jù)被安全攻擊挾持等風(fēng)險。

本文提出了一種基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證技術(shù)，使用其存儲信息的不可篡改性來實現(xiàn)身份識別及訪問控制，以彌補(bǔ)傳統(tǒng)方式的不足。

區(qū)塊鏈?zhǔn)且粋€分布式賬本，一種通過去中心化、去信任化的方式集體維護(hù)一個可靠數(shù)據(jù)庫的技術(shù)方案。因此，我們期望能夠基于區(qū)塊鏈技術(shù)方案實現(xiàn)高安全級別的身份認(rèn)證和訪問控制，利用區(qū)塊鏈分布式存儲信息的不可篡改性，為數(shù)字身份認(rèn)證的原始比對信息提供真實性保障。

1 傳統(tǒng)身份認(rèn)證技術(shù)分析

為了實現(xiàn)企業(yè)身份認(rèn)證安全管理，有的企業(yè)會用賬號密碼的限制策略，一些注重賬號安全的企業(yè)常常會采用OTP（一次性密碼）、手機(jī)短信等認(rèn)證方式來替代賬號密碼或作為二次認(rèn)證措施。有的企業(yè)會為大部分員工配備了一次性動態(tài)令牌硬件，以保證安全性。這些方法有一定成效，但也存在種種弊端，比如成本昂貴、使用不便等。

傳統(tǒng)的身份認(rèn)證實現(xiàn)技術(shù)五花八門，目前應(yīng)用比較成體系的解決方案主要有4A和IAM，在國內(nèi)傳統(tǒng)企業(yè)來說，大家都認(rèn)4A，但是在國外使用更多的是IAM方案，IAM算是比4A更先進(jìn)的企業(yè)身份認(rèn)證解決方案，所有也被稱為“大4A”，但其實從本質(zhì)上看來，兩者相差無幾，都是把內(nèi)部的多個系統(tǒng)進(jìn)行集中授權(quán)和管理，配備一個強(qiáng)身份認(rèn)證手段，根據(jù)不同用戶的不同身份來分配對應(yīng)的權(quán)限。近年大數(shù)據(jù)分析興起，因此在IAM 的方案中，越來越多地開始采用大數(shù)據(jù)分析進(jìn)行用戶行為審計，判斷用戶身份的真實性，提供多因素的認(rèn)證手段，保障企業(yè)身份認(rèn)證的安全性。然而，互聯(lián)網(wǎng)應(yīng)用的盛行、云計算普及的今天，身份認(rèn)證憑據(jù)被盜、個人隱私暴露、信息被篡改、應(yīng)用公信力低下等系列安全性問題始終是困擾用戶的一個痛。

2 可信身份認(rèn)證技術(shù)實現(xiàn)原理

本文研究目標(biāo)是一種基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證關(guān)鍵技術(shù)（簡稱：“可信身份認(rèn)證技術(shù)”），通過構(gòu)建基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證體系，彌補(bǔ)傳統(tǒng)應(yīng)用模式的短板和不足，形成以“區(qū)塊鏈技術(shù)＋不對稱加密技術(shù)＋數(shù)字身份認(rèn)證服務(wù)＋生物識別技術(shù)”為基礎(chǔ)的總體解決方案（如圖1）。

圖1 技術(shù)實現(xiàn)原理

可信身份認(rèn)證技術(shù)主要利用區(qū)塊鏈技術(shù)本身的“單向加密、時間戳、去中心、不可篡改、全網(wǎng)保存、分布式共識等”特性，通過研究“分布式網(wǎng)絡(luò)協(xié)議、Hash單向加密、分布式共識算法”及其相關(guān)框架技術(shù)，構(gòu)建具有去中心化的認(rèn)證邏輯體系和具有分布式公信力的應(yīng)用端程序。完成身份信息資產(chǎn)化，爭取個人信息所有權(quán)，提高認(rèn)證準(zhǔn)確程度，保護(hù)個人隱私信息，實現(xiàn)了基于區(qū)塊鏈模式的存儲和身份認(rèn)證能力，解決了傳統(tǒng)中心化方式帶來的信息安全問題。

本文主要是利用生物識別技術(shù)提高身份識別準(zhǔn)確性，利用區(qū)塊鏈進(jìn)行信息存儲解決數(shù)據(jù)存儲安全性問題。

應(yīng)用場景示例如下：

（1）用戶通過可以在StarShield IdCardAPP上傳他們的相關(guān)證明文件進(jìn)行身份驗證，這些文件會在區(qū)塊鏈上進(jìn)行密封和加密生成私鑰和公鑰，只有用戶自己可以更改個人信息，其他人可以通過公鑰來查看個人信息。用戶在辦理其他需要認(rèn)證手續(xù)的業(yè)務(wù)時，第三方線上應(yīng)用可以通過掃描二維碼或者指紋等數(shù)據(jù)來確認(rèn)用戶身份。

（2）在登錄應(yīng)用時，代替輸入容易被黑和忘記用戶名和密碼，用戶只需要簡單掃描一下來自APP上的二維碼，然后，會收到APP推送的一個通知，要求提供指紋驗證，提供指紋數(shù)據(jù)之后，用戶就會自動登錄。

（3）如果因為用戶賬戶問題需要呼叫客服中心，傳統(tǒng)方式可能會問用戶一些安全問題。這些問題可能是用戶之前預(yù)設(shè)好的，如果用戶的賬戶被黑，這些問題也都可能會被破壞。相反，使用APP，一個通知將被發(fā)送到用戶的應(yīng)用程序，同時與運營商通話：通知將要求一個指紋來驗證用戶是誰。指紋被APP驗證之后，運營商就會確定電話的另一端就是用戶本人。

3 可信身份認(rèn)證技術(shù)解決方案

圖2 典型技術(shù)架構(gòu)

在如圖2的典型技術(shù)架構(gòu)中，共提供四個邏輯體系服務(wù)：身份服務(wù)、策略服務(wù)、區(qū)塊鏈服務(wù)、智能合約服務(wù)。上層分別提供第三方應(yīng)用編程接口、開發(fā)工具包以及命令行工具等，實現(xiàn)組件開發(fā)的良好擴(kuò)展性。區(qū)塊鏈服務(wù)提供一個分布式賬本平臺，一般地，多個交易被打包進(jìn)區(qū)塊中，多個區(qū)塊構(gòu)成一條區(qū)塊鏈，區(qū)塊鏈代表的是賬本狀態(tài)機(jī)發(fā)生變更的歷史過程。

基于此技術(shù)架構(gòu)基礎(chǔ)，通過構(gòu)建本文所述的認(rèn)證服務(wù)組件和應(yīng)用，實現(xiàn)本文所述的區(qū)塊鏈技術(shù)＋數(shù)字身份認(rèn)證服務(wù)總體方案的核心底層邏輯。

下面將通過此核心底層邏輯，實現(xiàn)基于生物識別技術(shù)的分布式可信認(rèn)證服務(wù)（StarShield IdCard APP），如圖3所示。

生物識別技術(shù)可以提高個人身份認(rèn)證的準(zhǔn)確度，但其中心化的信息存儲方式可能會造成信息被篡改，因此我們把采集到的身份信息通過區(qū)塊鏈進(jìn)行信息存儲，個人的準(zhǔn)確性認(rèn)證將進(jìn)一步提升。另外，將不對稱加密的個人信息存儲于區(qū)塊鏈上，生成的私鑰存檔于用戶終端，同一區(qū)塊鏈上的應(yīng)用通過調(diào)用該接口實現(xiàn)身份認(rèn)證。

StarShield IdCard是融合了生物識別技術(shù)和區(qū)塊鏈技術(shù)進(jìn)行數(shù)字身份認(rèn)證，具體的步驟如下：

（1）APP拍照收集個人身份證或護(hù)照信息，將個人身份信封寫入到區(qū)塊鏈中，將加密的圖像信息存放到身份服務(wù)器。

（2）APP將身份信息發(fā)送給第三方應(yīng)用代理，在第三方應(yīng)用代理收到個人身份信息后，根據(jù)個人身份信息完成認(rèn)證令牌頒發(fā)，并且發(fā)送認(rèn)證令牌到區(qū)塊鏈中。

（3）通過身份信息在區(qū)塊鏈當(dāng)中的共享，當(dāng)有新的第三方代理應(yīng)用產(chǎn)生時，將從區(qū)塊鏈上獲取個人身份信封數(shù)據(jù)和加密圖像及令牌數(shù)據(jù)。

圖3 可信身份認(rèn)證-StarShield IdCard

（4）新的第三方代理應(yīng)用會再次采集新的用戶生物信息進(jìn)行驗證，以達(dá)到正確認(rèn)證個人的目的。

4 總結(jié)

傳統(tǒng)方式的身份認(rèn)證安全性較低，容易受到外部攻擊和挾持，并且其中心化的信息存儲方式容易造成信息被篡改。另外，通過物理證件進(jìn)行身份識別則較為麻煩，并且也存在安全漏洞。

利用區(qū)塊鏈進(jìn)行信息存儲解決數(shù)據(jù)存儲安全性問題，利用生物識別技術(shù)提高身份識別準(zhǔn)確性。

（1）提供StarShield IdCard APP完成身份信息的采集和認(rèn)證；

（2）提供StarShield IdCard API實現(xiàn)第三方認(rèn)證集成調(diào)用；

（3）提供StarShield IdCard SDK實現(xiàn)二次擴(kuò)展集成開發(fā)；

（4）提供StarShield IdCard CLI實現(xiàn)命令行工具集。

[1]Kyle.[EB/OL].http://www.8btc.com/blockchain-identity-management.

[2]http://www.8btc.com/blockchain-tech-mining.

[3]http://www.8btc.com/identity-and-the-blockchain-key-questions-we-need-to-solve.

[4]https://www.okcoin.cn/t-1012232.html.

[5]http://chainb.com/?P=Cont&id=1027.

[6]黎妹紅.身份認(rèn)證技術(shù)及應(yīng)用[J].北京郵電大學(xué)，2010.

[7]梁雪梅.數(shù)字身份認(rèn)證技術(shù)[M].水利水電出版社，2009.

[8]邱建華.生物特征識別的身份認(rèn)證革命[J].清華大學(xué)，2012.

[9]鄒均.區(qū)塊鏈技術(shù)指南[M].機(jī)械工業(yè)出版社，2016.

[10]唐文劍.區(qū)塊鏈將如何重新定義世界[M].機(jī)械工業(yè)出版社，2016.

[11]唐塔普斯科特（Don Tapscott）.區(qū)塊鏈革命[M].機(jī)械工業(yè)出版社，2016.