一分钟学习数据安全—自主管理身份SSI分布式加密密钥管理

 

在这篇之前,我们已经对SSI有了一个全局的了解。这个系列的文章可以作为一个学习笔记来参考,真正要实践其中的一些方案、协议,还需要参考专业的书籍和官方文档。作为一个SSI系列学习笔记的最后一篇,我们做一个简单的延伸,看看有了SSI及其生态内的架构和技术的加持,在密钥管理这个方向上,会发生什么样的变革。

一、概述

传统的PKI体系中,以及现在流行的加密货币体系中,本质上都是基于数学算法构建起来的一套生态系统。业界主流的观点,是算法是公开的,但是数字密钥是保护的,通过公认的数学方法来保证这套体系的安全。密钥的泄漏会危及由密钥保护的所有信息和程序。客户端节点必须能够信任密钥或密钥组件来自可信来源,并且它们的机密性和完整性在存储和传输过程中都受到保护。

所以,数字密钥的管理对于整个互联网基础设施非常重要。这方面,国际上以及中国国内,都有密钥管理系统相关的标准定义。密钥管理系统本质上可以是集中式系统,也可以是分布式系统。

二、信任根

PKI架构中,信任根通过一种称为根证书的特殊数字凭证来表示。信任方必须拥有根证书的副本,才能进一步验证信任链。操作系统、浏览器都会内置根证书列表。

SSI给出了一组关于信任根的不同假设。


1、管理信任根用于传统公钥基础设施:CA确保数字凭证的质量和完整性。管理信任根本身的信任来源于服务商的资质和声誉。

2、算法信任根,依托计算机算法,创建一种没有任何一方能够单独控制但又可以共享数据源的安全系统。

3、自认证信任根基于安全随机数和密码技术。最安全的自认证信任根使用安全处理器或可信处理模块等特殊硬件来生成密钥对和保护私钥。

要实现向SSI分布式密钥管理的范式转变,意味着要从管理信任根转向算法信任根和自认证信任根。管理信任根的本质是集中式的,容易受到人为错误的影响。算法信任根和自认证信任根能够部分或完全实现自动化和分布式管理。

三、新工具

SSI带来新工具使得分布式密钥管理成为可能。

传统的公钥基础设施中,需要CA颁发的X.509数字凭证来验证公钥以及身份。而DID能够将DID控制者公钥与其他身份属性验证分离。

 

借助SSI,使用算法信任根或自认证信任根就可以从公私钥对生成DID。DID控制者使用自己的私钥对自己的DID文档进行签名,就可以证明他们控制者DID。

如果DID方法使用的是自认证信任根,在DID控制者的保护下,可以在其数字钱包或其他密钥生成和签名系统中完成密钥生成和轮换。如果DID方法使用的是算法信任根,则需要与外部可验证数据注册表如区块链进行事务处理。这些都可以由代理自动执行。取消人工环节使这些步骤的成本几乎为0,并且可以生成足够多的DID。

DID和DID文档解决了密钥验证带来的挑战,使可验证凭证发挥最大所长,向第三方证明DID控制者的真实身份属性。验证者必须由此在真实世界中建立商业或社会信任。

DID控制者不需要依赖任何外部管理员就可以完成密钥轮换。SSI的数字钱包不能向更高一级申请重置密码或替换密钥,备份和恢复功能直接内置于架构中。

可以使用基于账本DID方法的密钥管理,使用私钥对分布式账本或区块链重点事务进行数字签名,以记录DID和初始关联公钥。记录创建后,账本就成了DID的算法信任根。

也可以使用对等DID方法的密钥管理,许多情况下,自认证的DID和DID文档完全可以在数字钱包中生成,并直接进行对等交换。对等DID可以是公共的,基于区块链的DID。对等DID的密钥轮换和密钥恢复关系所有对等体。对等DID不再需要算法信任根,直接基于用于初始密钥对的自认证信任根,不必依赖网络。可以像互联网本身一样分布和可扩展。唯一的缺点:不能被公开发现和解析。

如果要使整个DID方法实现自认证,不仅是初始的自认证标识符,还包括之后的所有密钥轮换,就可以利用KERI密钥事件接收基础设施。KERI架构中,可编辑公私钥对的所有使用或更改历史,从而普遍为自认证标识符和相关公私钥对之间的绑定提供自认证证明。KERI是第一个提出完全自治、可移植且可加密验证标识的标识和密钥管理系统,目标是成为首个可适用于任何基本数字钱包或密钥管理服务器的分布式密钥管理架构。

四、后记

关于KERI分布式密钥管理架构的更详尽的内容,可以参考相关标准。到此,这个SSI相关的一分钟学习系列就结束了。我们再复习一遍SSI的基本原则:

  1. 代表性:为任何实体提供方法来获得任意数量的对其有代表性的数字身份。
  2. 互操作性:使用开放的、公用的、无版税的标准,使实体的数字身份信息可以在跨系统操作时代仍有代表性。
  3. 去中心化:不依赖任何集中式系统来表示、控制及验证一个实体的数字身份信息。
  4. 控制及代理:能赋能具有自然、人类及法律权利的实体,使其作为“身份权利持有者”对其相关的数字信息控制、使用或放权。
  5. 参与性:不应强制身份权利持有者参与。
  6. 平等与包容:不排斥或歧视治理范围内的任何身份权利持有者。
  7. 可用性、无障碍性及一致性。
  8. 可转移性。
  9. 安全性。
  10. 可验证性和真实性。
  11. 隐私保护及最小化信息披露。
  12. 透明度。

安当也将持续探索互联网身份认证方面的前沿技术,并在未来产品演进中加入更多匹配客户安全需求的功能。

文章作者:太白               

©本文章解释权归安当西安研发中心所有

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/40976.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【中项第三版】系统集成项目管理工程师 | 第 9 章 项目管理概论① | 9.1 - 9.3

前言 第 9 章对应的内容选择题和案例分析都会进行考查,这一章节理论性较强,学习要以教材为准。本章分值预计在4-5分。 目录 9.1 PMBOK的发展 9.2 项目基本要素 9.2.1 项目基础 9.2.2 项目管理 9.2.3 项目成功的标准 9.2.4 项目、项目集、项目组合…

Lemo 的 AGI 应用实战博文导航

AGI系列(1):掌握AI大模型提示词优化术,提问准确率飙升秘籍 AGI系列(2):掌握AI大模型提示词优化术,从容应对各种提问场景 AGI系列(3):2024年国内最…

多态的优点

多态的优点 1、多态的优点1.1 可替换性(Substitutability)2、可扩充性(Extensibility) 2、总结 💖The Begin💖点点关注,收藏不迷路💖 1、多态的优点 在面向对象编程(OOP…

无服务器【Serverless】架构的深度剖析:组件介绍、优缺点与适用场景

🐇明明跟你说过:个人主页 🏅个人专栏:《未来已来:云原生之旅》🏅 🔖行路有良友,便是天堂🔖 目录 一、引言 1、云计算的发展趋势 2、无服务器计算简介 二、无服务…

项目迭代中新老逻辑切流和对比 - 异步查询新接口

项目迭代中新老逻辑切流-切换入口项目迭代中新老逻辑切流 - 异步查询新接口项目迭代中新老逻辑切流 - 新老数据对比—待更新 前言 前面说到了 项目迭代中新老逻辑切换入口 ,有兴趣的可以先看一下,不知道大家有什么疑问吗? 怎么知道自己新接…

红海云签约海新域集团,产业服务运营领军企业加速人力资源数字化转型

北京海新域城市更新集团有限公司(以下简称“海新域集团”)是北京市海淀国有资产投资集团有限公司一级监管企业,致力于成为国内领先的产业服务运营商。集团积极探索城市和产业升级新模式,通过对老旧、低效等空间载体重新定位规划、…

FPGA基本资源介绍

文章目录 FPGA资源介绍1.可编程输入输出单元(IOB)2.可配置逻辑块(CLB)3.数字时钟管理模块(DCM)4.嵌入式块RAM(BLOCK RAM / BRAM)4.1其他ram 5.丰富的布线资源6.底层内嵌功能单元7.内嵌专用硬核软核、硬核、以及固核的概念 FPGA资源介绍 1.可编程输入输出单元(IOB) 可编程输入…

C++视觉开发 五.答题卡识别

答题卡识别主要步骤 (1)反二值化,选项处理为前景(白色),其它处理为背景(黑色)。 (2)每个选项提取出来,计算各选项白色像素点个数。 (3)筛选出白色像素点最多的选项作为考生答案。 (4)与标准答案…

【机器学习】连续字段的特征变换

介绍 除了离散变量的重编码外,有的时候我们也需要对连续变量进行转化,以提升模型表现或模型训练效率。在之前的内容中我们曾介绍了关于连续变量标准化和归一化的相关内容,对连续变量而言,标准化可以消除量纲影响并且加快梯度下降…

微信扫码进入小程序的webview页面,发现左上角没有home键

问题描述: 微信扫小程序二维码进到web-view内嵌h5页面,左上角没有返回小程序主页的home键,ios正常显示,Android 没有显示 导致的原因: 因为顶部导航栏我是自定义的 【如果是使用小程序原生的顶部导航栏是不会出现这种…

DiffSynth-Studio全面解析与应用示例

DiffSynth-Studio简介 1.1 DiffSynth-Studio的定义与目标用户 DiffSynth-Studio 是一个创新的扩散引擎,专门设计用于实现图片和视频的风格转换。它通过先进的机器学习技术,为用户提供了一种全新的创作方式,使得风格转换变得更加高效和直观。…

latex中引用参考文献的命令

在LaTeX中,常用于引用参考文献的命令有几种,它们的区别主要在于引用的风格和输出的格式。以下是几种常见的引用命令及其区别: 命令输出效果区别与特点\cite{key}[1]基本的引用命令,输出带方括号的引用编号\citet{key}Author (Yea…

循环序列模型

循环序列模型 1.为什么选择序列模型? 2.数学符号 3.循环神经网络模型 4.通过时间的反向传播 5.不同类型的循环神经网络 6.语言模型和序列生成 7.对新序列采样 8.循环神经网络的梯度消失 9.GRU单元 10.长短期记忆 11.双向循环神经网络 12.深层循环神经网…

年化达21%(K=1),最大回撤35%,K=3时,卡玛比最优,最大回撤20%(年化15.2%)| Quantlab5.0代码发布

原创文章第578篇,专注“AI量化投资、世界运行的规律、个人成长与财富自由"。 Quantlab5.0代码发布: 值得说明,Quantlab5与4没有继承关系,5开始的思路是: 1、尽量少封装,保留回测框架最原始的功能。…

【LabView学习篇 - 1】:初始LabView

文章目录 初始LabView前面板和程序框图前面板(Front Panel)程序框图(Block Diagram)交互和工作流程 练手小案例:LabView中实现加法操作 初始LabView LabVIEW(Laboratory Virtual Instrument Engineering W…

C#的多线程UI窗体控件显示方案

在C#中,特别是在使用Windows窗体(WinForms)或WPF(Windows Presentation Foundation)进行UI开发时,处理多线程与UI控件的交互需要特别小心。由于UI控件不是线程安全的,直接从非UI线程&#xff08…

yolov5 训练过程中的监控指标说明

1、参数的具体含义及其重要性 epoch: 训练迭代次数,表示模型已经进行了多少轮的训练。这是模型训练的基本计数单位,对于跟踪训练进度至关重要。 train/box_loss: 训练过程中边界框(bounding box)预测的损失值。这反映了模型在定位…

【CT】LeetCode手撕—93. 复原 IP 地址

目录 题目1- 思路2- 实现⭐93. 复原 IP 地址——题解思路 3- ACM 实现 题目 原题连接:93. 复原 IP 地址 1- 思路 模式识别:给一个 String 字符串 ——> 复原 IP 地址 ——> 回溯三部曲 ,回溯的切割问题 ——> 实现一个左闭右闭区间…

利用redis数据库管理代理库爬取cosplay网站-cnblog

爬取cos猎人 数据库管理主要分为4个模块,代理获取模块,代理储存模块,代理测试模块,爬取模块 cos猎人已经倒闭,所以放出爬虫源码 api.py 为爬虫评分提供接口支持 import requests import concurrent.futures import …

银河麒麟高级服务器操作系统(通用)安装和编译指定的python3版本

银河麒麟高级服务器操作系统(通用)安装和编译指定的python3版本 一 系统环境二 安装python3.12.42.1 安装编译需要的依赖包2.2 下载官网目前最新的python源码包2.3 解压Python-3.12.4.tar.xz2.4 配置python-3.12.42.5 编译安装2.6 配置环境变量使其生效2…