近日,我们公布了Ontology 2.0的部分技术细节:集成了 Layer 2技术,具备让开发者快速上手和为企业提供完整解决方案的领先优势。今天,我们带来从本体创立之初一直专注的数字身份方面的重大技术更新——ONT ID 2.0。
前 言
数字身份是数字世界的重要基础设施。根据 ISO/IEC 24760-1的定义,数字身份是某个实体的相关属性集合。如今,数字身份关联了更多的数据,数据隐私问题显得更加突出。
据报道,Facebook 在去年下半年就有两起严重的用户数据泄露。2019年9月,有网友指出,一个包含4亿多条 Facebook 用户记录的公开服务器可以被任何网络用户轻松访问。同年12月,Facebook 的数据隐私问题再次摆在了公众面前,2.67亿 Facebook 用户信息被盗。另外,前不久,知名会议系统软件 Zoom 也掀起了数据泄露风波,其逾50万用户数据被黑客明码标价。
我们的数据安全,真的这样岌岌可危吗?
我们需要更可靠的技术来保护实体身份与其数据的隐私和安全。我们坚信:任何实体都有权利全面掌控自己的身份和数据,并按自己的意愿授权应用和其他个体访问其数据的能力。
ONT ID 2.0的特性
ONT ID 是本体基于 W3C 去中心化标识规范,使用区块链和密码学技术打造的去中心化身份框架,能快速标识和连接人、财、物、事,具有去中心化、自主管理、隐私保护、安全易用等特点。ONT ID 帮助用户充分保护其身份与数据的隐私和安全,赋予他们全面掌控自己的身份和数据的权利。
ONT ID 2.0是 ONT ID 的升级版本,通过本体公有链上的原生智能合约来实现。开发者和用户可查看 ONT ID 规范和相关的合约接口说明。
详见:https://docs.ont.io/
这里简单归纳一下 ONT ID 2.0值得注意的几个特性:
1. 符合 W3C 的定义与要求
ONT ID 2.0方案完全符合 W3C 标准草案 Decentralized Identifiers (DIDs) v1.0中的定义和要求。ONT ID 2.0在实现上具备高完整度,支持 W3C 标准定义的所有操作,能够和遵循同样标准、注册在不同区块链以及其它系统中的 DID 实现互通。
2. ONT ID 2.0的认证与控制
ONT ID 对应的 DID Document 中存在“authentication”属性,该属性定义了认证该 ONT ID 的方法。目前,和绝大部分 DID 一样,ONT ID 仅支持采用签名机制来对所有人进行认证。另外,某个 ONT ID 可以被另外一个 ONT ID 代理控制,这通过设置 ONT ID 的“controller”属性来完成。“controller”属性可以是一个 ONT ID 或者一组 ONT ID,通过逻辑表达式来实现复杂的控制机制,以适应不同的应用场景。
举例
我们可以把“ONT ID E”的“controller”的属性设置成为[ONT ID A] or {[ONT ID B] and [ONT ID C]},即表示ONT ID A可以控制ONT ID E,或者 ONT ID B 和 ONT ID C 一起才可以控制 ONT ID E。
3. 支持自定义的恢复人机制
当 ONT ID 的认证密钥丢失或者失窃后,可以通过恢复人来重新设置 ONT ID 的认证密钥。恢复人的设置通过 ONT ID 的“recovery”属性来完成。同样,“recovery”属性可以是一个 ONT ID 或者一组 ONT ID,通过逻辑表达式来实现复杂的控制机制,以适应不同的应用场景。
4. 自定义属性设置
ONT ID 支持自定义属性的链上绑定,这通过设置 ONT ID Document 的“attribute”属性来完整。“attribute”属性中每一项都是一个三元组<key, type, value>,用户可以根据自己需要往里面写信息。“attribute”属性中条目数量等有一些限制,用户可以查看 ONT ID 规范中相应的说明。
同时,我们根据 W3C 的 Verifiable Credentials Data Model 1.0标准,设计了基于 ONT ID 的可验证凭证协议和流程。在可验证凭证方面,我们实现了普通凭证、选择性披露凭证等多种凭证类型,用户可以根据场景需要,有选择性地披露凭证中包含的信息。同时,本体在 ONT ID 的基础上设计了基于 DID 的分布式数据交换协议,并根据协议进行了相关实现,使得基于 DID 的分布式数据交换成为可能。
ONT ID 2.0与上一版本对比
ONT ID 的应用场景
通过 ONT ID,任何实体都可以全面掌控自己的身份和数据,并按自己的意愿授权应用和其他个体访问其数据的能力。一些典型的应用场景如下:
1. 作为统一账户进行单点登录
目前,用户一般采用用户名和口令的方式来登录互联网服务,由此产生的数据也存在服务提供商的服务器上。用户名-口令登录方式的安全性也被诟病已久:为了登录多个互联网服务,用户需要记住多组用户名和口令,这会导致口令设置的简单化;另外,很多服务提供商在用户口令保存上没有采取合适的措施,使得口令安全事件频发。
采用 ONT ID 来作为统一账户,用户可以将数据留在自己手中。同时,利用 ONT ID 绑定的密钥对和挑战-响应等身份验证方式来实现登录,彻底屏除不安全的口令登录方式,最大程度地实体身份与其数据的隐私和安全。
2. 基于 ONT ID 的学分/毕业凭证
学生在申请奖学金或者工作实习机会时,一般会向奖学金或者工作实习机会的第三方提供学分/毕业情况,让第三方验证是否具备资格。
采用基于 ONT ID 的可验证凭证技术对学生学分或者毕业情况进行认证,可以使得第三方迅速地对学生学分情况进行验证,并以此判断是否满足相应资格。结合选择性披露技术,学生可以在不披露实际分数的情况下可以向第三方证明自己分数达到了第三方规定的条件,让第三方确信自己已经满足资格。