企业级区块链如何构建去中心化身份？

企业采用许可区块链(Permissioned blockchain)是一条充满挑战的道路，在复杂的企业业务流程中应用基于去中心化账本的Web3堆栈技术仍然尚未成熟。在企业级区块链平台缺失的模块中，身份作为新一代企业解决方案其重要性被提升到了首位。我们经常面临在被许可的区块链解决方案中启用身份管理功能的挑战。因此，企业区块链解决方案的身份层就显得尤为重要。

过去五年里，随着新一代技术的出现，身份管理领域经历了一次复兴，这些技术从复杂的系统，比如CA、Microsoft Active Directory向更开放的系统过渡，比如Okta、Ping Identity、One Login等API驱动平台，以及AWS、Azure或Google Cloud等云平台中的相应堆栈。这些平台将身份的功能从私有系统转移到开放协议，如SAML、OpenID Connect等。

然而，这并不意味着身份管理技术简单易用。恰恰相反，随着身份功能的发展，身份管理解决方案的需求也变得越来越复杂，目前的企业身份管理体系结构领域有以下几个显著特征：

·基于中心化的身份提供者：身份管理解决方案通常依赖于中心化身份提供者，这些提供者接收某种形式的用户凭证作为身份通证的输入和输出。

·基于身份协议：目前，很大比例的身份管理解决方案利用SAML、OAuth2等协议进行交互。

·细分：企业环境中用户身份分布在不同的业务系统或用户目录中。因此，不同的应用程序倾向于与不同形式的身份标识进行交互。

在许可区块链中启用身份识别的基本矛盾点

将所有这些部分放在一起，我们得到了这样一幅图：企业中的用户身份分布在许多系统中，但是都由中心化身份提供者强制执行。当谈到身份时，我们需要解决当前企业体系结构和区块链技术之间的两个基本矛盾。

·共识 vs 认同

·中心化 vs 去中心化身份断言(Assertions)

1)共识 vs 认同

在许可区块链场景中启用身份管理功能不仅是技术挑战，还会与去中心化层的基本原则产生矛盾。区块链技术最大的贡献是，在计算机科学史上，我们第一次有了一个模型，可以信任数学和密码学，而不是依靠中心化的各方。以该原则为基础，区块链体系结构基于共识协议，比如工作量证明(PoW)或权益证明(PoS)进行发展，这些协议依赖于计算来做出决策。在去中心化世界里，由于动态网络可以实现最优的决策过程，因此身份并不是一个基本的构建单元。

基于计算的区块链共识模型与企业解决方案形成了鲜明对比。从这个意义上说，在一个已知身份的世界里，共识协议提供的信息非常少。

2)中心化 vs 去中心化身份断言

身份管理系统的当前体系结构依赖于中心化的网关管理员来创建关于用户身份的断言，将该模型与分布式分类账体系结构协调起来绝非易事。理想情况下，我们需要一个模型，可以让身份断言在链上以加密方式进行编码并分发到相关网络上。

在许可区块链中构建去中心化身份模块

为了解决上述挑战，有一些技术组件与许可区块链体系结构非常相关。

1)Proof-Of-Authority

权威证明(PoA)是一种共识机制，由以太坊联合创始人兼前首席技术官Gavin Wood于2017年提出。这一共识模型充分运用身份的价值，依赖于有限数量的区块验证者，这意味着，被选为区块验证者凭借的不是抵押的加密货币而是个人信誉。因此，权威证明区块链由任意选择的具有可信实体的验证节点保护。

在企业级区块链场景中，PoA共识非常重要，因为它可以利用用户和系统的现有身份，而不是依赖于计算难题。目前已有很多许可链PoA共识有几种实现与许可区块链相关，包括奇偶校验和Microsoft Azure

2)去中心化身份协议

在去中心化世界中，新兴的去中心化身份领域看起来在身份的方法和标准上都取得了长足的技术进步。为了实现去中心化身份，我们需要对身份进行重新架构，将许多传统的身份动态转移到去中心化网络中。

在过去20年里，微软一直是身份管理领域的领导者之一，但即使是他们也意识到区块链运行时需要一个新的身份模型。受DIF的启发，微软最近提出了一种具有前瞻性的体系结构，以支持区块链的去中心化身份。

微软架构包括以下组件：

·W3C去中心化标识符(DIDs)：IDs用户的创建、拥有和控制独立于任何组织或政府。DID是全局惟一标识符，链接到去中心化公钥基础设施(DPKI)元数据，元数据由包含公钥材料、身份验证描述符和服务端点的JSON文档组成。

·去中心化系统：DIDs根植于去中心化系统，提供DPKI所需的机制和特性。

·DID用户代理：用户代理应用程序帮助创建DID，管理数据和权限，并签名/验证与DID链接的声明。微软将提供一款类似钱包的应用程序，可以作为管理DIDs和相关数据的用户代理。

·DIF通用解析器：一种服务器，它使用一组DID驱动程序来为跨系统的DID提供标准查找和解析方法。

·DIF身份中心：一个复制的加密个人数据存储网络，由云和边缘实体(如移动电话、个人电脑或智能扬声器)组成，方便身份数据存储和身份交互。

·DID认证：DID签署的认证基于标准格式和协议。它们使身份所有者能够生成、呈现和验证声明，这构成了系统用户之间信任的基础。

在许可区块链的框架下，去中心化身份协议在传统企业身份管理系统和区块链DApps之间架起了一座清晰的桥梁。

3)零知识证明身份存储

认证、声明以及去中心化的概念是去中心化身份模型一些最重要的原则。一个有趣的想法是，将去中心化的概念与零知识证明协议(如zk-SNARKs)结合起来，在允许其他协议验证身份的同时，为DIDs增加另一层隐私，这个概念可以被称为零知识身份存储，并且已经被uPort之类的协议所接受。

在零知识身份存储模型中，与用户身份相关的断言将使用zk-SNARKs进行编码，并在链上发布。智能合约可以验证关于用户身份的断言，而不需要透露任何关于底层用户身份的信息，底层用户在链上执行的同时，还实现了更高程度的隐私。

作为一种新生技术，去中心化身份目前已经有一些相关案例可以为证券类通证协议提供启发。

·uPort：uPort一直在稳步构建一系列协议和解决方案，用于在去中心化应用程序中管理身份。目前的堆栈与以太坊智能合约兼容，并且可以在许可区块链应用程序中使用。

·Azure BaaS：Azure团队出色地扩展了不同区块链的核心协议，以利用Azure Active Directory身份，最近的一个例子是在以太坊应用程序中实现了PoA共识协议。

·Sidetree：它是一个代码级组件的组合，包括确定的处理逻辑、可寻址的内容存储抽象和状态验证程序，可以部署在第1层去中心化分类账系统(例如公共区块链)之上，以生成没有许可的第2层DID网络。

·Hyperledger Indy：Indy提供了一个最完整的堆栈来支持身份管理功能，Indy的当前版本包括一些工具和库，它们是实现了去中心化身份解决方案中一些最常见的模式。

作为区块链应用程序的基本模块之一，去中心化身份在逐渐被主流采用的过程中，仍然需要解决如何与现实世界衔接的问题。不过已有一些组织正在这方面做着努力，比如去中心化身份基金会(DIF)正在致力于弥合传统身份系统和区块链之间的差距。尽管在这个领域有一些协议和工具，但在企业区块链解决方案中启用身份功能仍将是一项相当复杂的工作，需要区块链行业和科技企业的共同努力。