如何证明你妈是你妈，来聊聊区块链中的身份认证问题

【专栏介绍】

石头记为DAEX大象社区新推出的区块链技术专栏，所有文章均为大象社区特约专栏作家石头记原创

有道是：谨慎能捕千秋蝉，小心驶得万年船。

上篇随笔（查看上一篇随笔）说到区块链与数字资产行业的基础设施与市场服务缺失造成了交易平台各自为政，进而导致了风险事件频发。那么如何解决这些问题呢？需要多方面考虑完善市场基础设施，今天先聊聊最基础的身份认证体系，也就是如何证明我是我，你是你，我妈是我妈……

和三点钟群中的大佬不同，我不喜欢说一些高深莫测的名词来自嗨，撇开区块链与数字资产的表象，数字世界中对身份进行认证识别无外乎两种方式：一是传统意义上的数字身份，在某个机构进行注册，需要绑定物理世界中的某些信息，也就是一种映射关系；二是公链的极客思维，我妈都认不识我才是最好的，带着公钥地址走天涯。第一种方式是对机构的保护，最大程度上解决了你是你这个命题，对个人的隐私安全其实是一种侵犯。第二种方式在某个社区是行得通的，更大范围的信息交互就无从谈起了，而且打开浏览器啥都能看到，所谓的隐私也无从谈起，究其原因还是体系设计的缺失，没有从全局的视角来部署方案。那么解决这个问题的思路哪里呢？上篇随笔中其实已经给出了答案，就是在照顾市场多元化的基础上，分布式的部署一套包括身份认证与注册、认证确信等级、身份凭证管理，身份鉴别应用在内的协议和规范，叫这个是钱包也好，或者CA证书也好，或者侧链服务也好，悉听尊便。主要目的是在保护机构与用户之间取得平衡，同时又不会阻碍创新。

说了那么多废话，在区块链和数字资产行业进行身份认证的技术框架应该包括哪些要素呢？

身份认证的整体架构，明确谁来参与身份认证，采用哪些认证方式，通过什么渠道来采集信息。

明确认证确信等级，以及不同确信等级所需要满足的技术要求，类似于强弱认证。

提供身份认证的可信环境，通常类似于硬件钱包。钱包中需提供身份凭证发行、更新、注销等管理机制，所能抵御的安全威胁的要求等。

提供身份认证在数字资产领域的典型使用场景，比如分布式交易所等。

在完整的数字资产交易流转过程中，用户的身份认证过程包含身份证实，身份注册、身份凭证发行与管理、身份鉴别四个环节。参照区块链的业务组织思路，秘钥只能由用户自身在可信设备中掌控，可以采用多级秘钥体系，将子秘钥在不同的清算环节中使用。用户注册则有不同的注册确信等级，相对应的用户身份凭证具有凭证确信等级，根据身份认证过程中各个环节的认证强度，可以定义不同级别的身份认证确信等级。

主要包括以下参与角色：

用户：在不同的场景下具有不同的含义，可以为注册申请者、注册用户或者认证对象。

客户端：已授权可用于身份认证服务的服务接入点，是运行在消费者个人终端的可信环境中的DAPP应用。

注册机构：提供身份认证注册服务的实体。职责主要包括：提供用户身份认证注册服务入口，收集用户提供的身份信息，例如数字资产地址、交易所开户身份、与身份证实相关的其他材料，可包括生物特征信息等，可自行验证或通过身份信息权威机构进行验证，以实现对用户身份的确认。在完成用户身份证实后，可通知凭证服务提供方向用户发行凭证信息。以分布式交易所为例，该服务需联合尽可能多的交易平台与数字资产供应商，提供全局的身份注册服务。

凭证服务提供方：提供凭证发行、更新、验证、注销等生命周期管理的服务提供方。

身份认证服务提供方：在身份认证环节中，经授权能够对用户提供的身份认证信息进行有效验证并给出认证结果的服务提供方。

实际应用中，服务机构可承担一个或多个角色。例如，可同时承担注册机构、凭证服务提供方、身份认证服务提供方等多个角色，但是应该至少满足以下两个基本条件。

首先，服务机构应该提供用于身份证实的可信环境，具备必要的采集设备，能够支持用户安全准确地提供身份凭证信息，避免被他人恶意获取。

其次，身份认证过程中会面临着攻击者不同攻击手段造成的安全威胁，服务机构需要部署必要的安全技术来防范认证通讯过程中的在线猜测、身份认证服务提供方扮演（如钓鱼攻击或网域欺骗）、窃听攻击、重放攻击、会话劫持和中间人攻击等，此外，还有可能针对身份认证服务提供方系统的拒绝服务攻击和恶意代码注入攻击等。

为了通俗易懂，本篇略去了很多实现细节，技术的实现从来都不是难事，站在全局的高度呵护行业的发展，照顾多元化的利益诉求才是真正的大智慧。所谓是，不畏浮云遮望眼，风物长宜放眼量！

Twitter:DAEX@DaexBlockchain