企业区块链+身份丨如何为许可链设计身份模型？

图片来源图虫：已授站长之家使用

声明：本文由站长之家内容合作伙伴 巴比特 授权发布。

在企业中采用许可链技术是一条充满挑战的道路。从根本上来说，基于分布式分类账的所谓Web3 堆栈对于实现复杂的企业业务流程是不成熟的。在企业区块链平台中缺失的构建块中，身份作为新一代企业解决方案无处不在的挑战而成为首要的考虑因素。本文将探讨一下企业区块链解决方案中的身份管理功能以及身份层模型。

在过去五年中，随着新一代技术的出现，从CA或Microsoft Active Directory等复杂系统过渡到更开放的API驱动平台，如Okta、Ping Identity、One Login as以及AWS、Azure或Google Cloud等云平台中的相应堆栈，身份管理行业迎来了巨大的发展。这些平台将身份的功能从专有系统转移到开放协议，如SAML、OpenID Connect等。但是，这并不意味着企业身份管理技术是简单易用的。恰恰相反，随着身份功能的发展，对身份管理解决方案的要求也越来越复杂。查看企业中当前的身份管理架构，有一些值得强调的特征：

·基于中心化的身份提供机构：企业身份管理解决方案通常依赖于中心化的身份提供机构，这些身份提供机构接收某种形式的用户凭证作为输入，然后输出身份通证。

·基于身份协议：目前，很大比例的企业身份管理解决方案利用SAML、OAuth2 等协议进行交互。

·分散化：企业环境中的用户身份分布在不同的业务系统或用户目录中。结果，不同的应用程序倾向于与用户身份的不同表示进行交互。

将所有这些特点结合起来，我们可以知道，企业中的用户身份分布在许多系统中，但由身份提供机构来具体执行。对于身份，在当前的企业系统架构和区块链技术领域之间需要解决两个根本性的摩擦。

·共识与身份

·中心化与去中心化的身份断言(assertion)

企业系统架构和区块链技术领域的根本性摩擦

共识与身份

在许可链的场景中启用身份管理功能与去中心化层的基本原则产生了摩擦。区块链技术的最大贡献在于，我们第一次在计算机科学史上拥有一个模型，在这个模型中，我们可以信任数学和密码学而不是中心化的实体。以该原则为基础，区块链的架构是基于共识协议发展的。而在去中心化的世界中，身份还不是一个基本的构建块，因为网络的动态需要先达到最佳的决策过程。

基于计算的区块链堆栈共识模型从根本上与企业解决方案存在很大不同，在企业解决方案中，参与者的身份是已知的。从这个意义上说，你可以认为，共识协议在已知身份的世界中可以提供的好处很少。

中心化与去中心化的身份断言

当前企业身份管理系统的架构依赖于中心化机构来创建关于用户身份的断言。将该模型与分布式分类账架构(其中断言将分布在参与者网络中)进行协调绝非小事。理想情况下，我们需要一种模型，其中身份断言以加密安全的方式进行编码并上链，然后分发给相关的网络实体。

为了应对上一节中列出的一些挑战，我们发现有一些技术组件对于许可链架构或许非常有用。

权威证明(PoA)

权威证明(PoA)是一种共识机制，依赖于身份作为第一类物件(可以在执行期创造并作为参数传递给其他函数或存入一个变数的实体)。在PoA网络中，通过引用验证者列表来实现共识。验证者是一组允许参与共识的帐户/节点;他们验证交易和区块。 PoA不需要解决计算成本非常高的谜题来提交交易。相反，交易只需要由大多数验证者签署，在这种情况下，它成为永久记录的一部分。

权威证明

对于企业区块链场景，PoA共识也是很实用的，因为它可以充分利用用户和系统的现有身份。目前已经有许多与许可链相关的PoA共识实现，包括Parity和Microsoft Azure。

去中心化的身份协议

为了实现去中心化身份，需要对身份重新进行架构，将许多传统的身份动态转移到去中心化的参与者网络中。