在生成式AI技术飞速发展的今天,AI可以模仿任何人的声音、形象甚至行为,虚假信息可以轻易生成并足以以假乱真,如何证明“我是谁”显得尤为重要,在此背景下,可信的数字身份成为解决这个问题的关键。
数字身份经历了从中心化(由单一机构全权管理)到联盟身份(多方共治的协作模式)再到如今的分布式数字身份(用户自主管理身份)的发展历程。分布式数字身份作为这一进程的最新成果,通过密码学算法等技术确保信息验证不可伪造,为AI时代建立了一个以用户为中心的信任框架。
为帮助大家深入理解这一关键领域,我们推出“分布式数字身份”技术专栏,从底层架构到实现细节,全面剖析分布式数字身份相关技术。本篇文章介绍传统基于PKI技术体系的中心化数字身份与基于分布式标识技术体系的分布式数字身份的区别。
01
PKI技术体系
PKI(Public Key Infrastructure,公钥基础设施)是一套完整的安全框架,它通过非对称加密技术,解决开放网络环境中的身份认证和数据安全问题。CA(Certificate Authority,证书颁发机构)是PKI体系中的核心组件,是负责验证、签发和管理数字证书的可信任第三方。整个PKI技术体系都依赖于预设的信任锚点(Root CA)和层级化的证书链。
图1 PKI技术体系架构
PKI技术体系工作流程如下:
1. 身份验证:申请者向CA或RA提交身份信息和公钥。
2. 证书签发:CA验证身份后,使用其私钥对申请者的公钥和身份信息进行签名,生成数字证书。
3. 证书分发:将签发的证书分发给申请者。
4. 证书使用:证书持有者在通信或交易中出示证书来证明身份。
5. 证书验证:接收方通过CA的公钥验证证书真实性和有效性。
6. 证书管理:CA负责证书的更新、吊销和状态查询服务。
02
分布式标识技术体系
分布式标识技术是一套基于分布式标识符DID(Decentralized Identifier)和可验证凭证VC(Verifiable Credential)的新型数字身份技术体系,具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。
图2分布式标识技术体系架构
分布式标识技术体系的工作流程如下:
1.创建DID:用户生成密钥对并选择DID方法,将包含公钥等信息的DID文档自主注册到分布式账本或其他分布式存储系统。
2.申请凭证:用户向发证方提供DID和必要信息,通过身份验证后申请可验证凭证。
3.签发凭证:发证方验证用户信息后,生成可验证凭证并用其私钥进行签名,然后发送给用户。
4.存储凭证:用户将可验证凭证存储在数字钱包中,钱包提供加密存储和备份功能。
5. 出示凭证:用户通过数字钱包选择性披露凭证的部分属性,并出示给验证方。
6.验证凭证:验证方通过发证方的公钥验证凭证签名,检查其有效期、撤销状态等信息,确认凭证的有效性。
7.凭证撤销和状态管理:发证方必要时可通过分布式账本等方式发布撤销信息撤销凭证,验证方可自主查询到凭证状态。
03
数字身份的演进
1.信任机制:从管理到自主
信任模式从纯社会信任到社会与技术信任分离。PKI技术体系本质上是一种纯社会信任模式,虽然它应用了密码学原理,但其信任基础仍然是对人和机构的信任,在这种模式下,密码学仅仅是实现工具,而不是信任源头;分布式标识技术体系的创新在于其实现了社会信任与技术信任的清晰分离:在技术信任层面,DID完全基于可验证的密码学证明,不需要信任任何中心机构;在社会信任层面,用户可自主选择信任发证方,这种信任针对的是内容真实性,而非技术有效性。
隐私保护手段从政策约束到技术保障。PKI技术体系的隐私保护主要依赖于CA的数据处理政策和企业诚信,缺乏技术层面的隐私保障,一旦CA违反承诺或遭遇数据泄露,用户隐私将面临泄露风险;分布式标识技术体系将隐私保护机制内置于技术架构中,通过密码学、零知识证明等选择性披露方式提供可验证的隐私保障,这种基于技术的隐私保护不依赖任何第三方的诚信合规,即使验证者充满恶意,也无法获取超出必要范围的信息。
2.信任主体:从单一到多元
验证角色从颁发验证一体到发证验证分离。PKI技术体系下发证方与验证方的高度耦合导致了信任链条的僵化,证书颁发机构不仅负责身份凭证的签发,还控制整个验证过程,这种耦合使得整个信任体系依赖单一权威,形成了垂直化的信任结构;相比之下,分布式标识技术体系中发证方与验证方彻底分离,发证方负责签发可验证凭证,任何想要成为验证方的第三方均可通过密码学算法验证凭证真实性,这种分离使得信任关系更加动态多元,验证方可自主决定接受哪些发证方的凭证,不必被动接受预设的信任链条。
信任粒度从完全信任权威第三方到信任第三方的某一特定断言。PKI技术体系采用整体信任的方式,用户一旦接受某个CA,就必须整体接受其签发的所有证书,这种粗颗粒的信任模式无法适应复杂多变的现实信任需求;分布式标识技术体系通过定义不同的凭证实现不同的认证功能,用户可针对特定凭证类型和特定颁发者建立精确的信任关系,从而达到信任的精细化控制,这种细粒度的信任控制使数字世界的信任更加符合现实世界的信任模式。
3.互操作性:从封闭生态到开放互联
技术标准从专有协议到开放标准。PKI技术体系虽有一定标准化,但实际应用中往往形成各自为政的技术孤岛,不同CA之间的互操作性受限,导致用户需要在不同系统间重复验证身份;分布式标识技术体系强调开放标准和互操作性,如W3C的DID和VC规范,这些标准使不同系统和平台能够无缝识别和验证数字身份,用户可以在多个生态系统中使用同一身份标识,可以极大地降低数字身份的使用门槛和整体社会成本。
生态结构从垂直封闭到水平开放。PKI技术体系通常会形成垂直一体化的封闭生态,用户被锁定在特定提供商的技术体系内;分布式标识技术体系通过分离基础设施层、协议层和应用层,实现了技术栈的水平解耦,这种开放架构促进了创新,允许专业化分工,同时保障了整体系统的兼容性和可持续发展。
04
结语
目前,PKI技术体系凭借成熟的技术和广泛的应用基础仍在特定场景中发挥着作用,而分布式标识技术通过多元的技术手段和先进的设计理念,在跨域认证、用户数据主权和隐私保护等众多领域展现出了独一无二的优势。未来,这两种技术模式可能会长期共存、相互补充,形成多层次、多维度的数字身份认证生态。

