FutureDID:一个完全分散的具有多方验证的身份系统
作者:Haotian Deng, Jinwen Liang, Chuan Zhang, Ximeng Liu, Liehuang Zhu, and Song Guo
论文摘要原文:
Decentralized identity (DID) systems conforming to the World Wide Web Consortium (W3C) Decentralized Identifiers (DIDs) and Verifiable Credentials Data Model recommendations have recently attracted attention due to their better autonomy, interoperability, and openness design. However, those W3C recommendations lack a design for addressing the single point of failure (SPOF) and identity revocation, which could seriously compromise the robustness and practicality of DID systems. To remedy these limitations, we propose FutureDID, a DID system that enables multiple parties to jointly issue credentials and efficiently revoke DID identities, providing a robust and practical DID system. FutureDID is designed with a multi-party credential issuing mechanism based on distributed key generation technology, which transforms trust from a single entity to distributed committees and facilitates authentication between issuers, making it more resistant to SPOF. Moreover, the underlying blockchain system is built on a chameleon hash function to ensure tamper-proof and enable efficient identity revocation. We have implemented a prototype system using FISCO BCOS and conducted extensive evaluations to demonstrate the effectiveness and practicality of our system. Our evaluations have shown that FutureDID provides a significant improvement in efficiency, achieving at least a 60 × efficiency improvement in identity revocation compared to state-of-the-art systems.
论文摘要中文:
符合万维网联盟(W3C)分布式标识符(DID)和可验证凭证数据模型建议的分布式身份(DID)系统最近因其更好的自治性,互操作性和开放性设计而受到关注。然而,这些W3C建议缺乏解决单点故障(SPOF)和身份撤销的设计,这可能会严重损害DID系统的鲁棒性和实用性。为了弥补这些局限性,我们提出了FutureDID,一个DID系统,使多方能够联合发出凭证,并有效地撤销DID身份,提供了一个强大的和实用的DID系统。FutureDID设计了基于分布式密钥生成技术的多方证书颁发机制,将信任从单个实体转变为分布式委员会,并促进颁发者之间的认证,使其更能抵抗SPOF。此外,底层区块链系统建立在变色龙哈希函数上,以确保防篡改并实现有效的身份撤销。我们已经实现了一个原型系统,使用FISCO BCOS和进行了广泛的评估,以证明我们的系统的有效性和实用性。我们的评估表明,FutureDID在效率上有了显着的提高,与最先进的系统相比,身份撤销的效率至少提高了60倍。
研究问题、关键问题: 本文主要研究现有的 W3C DID 推荐标准存在局限性,缺乏对单点故障和身份撤销的设计,这可能会严重影响 DID 系统的鲁棒性和实用性。其中关键问题为:
- 单点故障问题:
(1)现有的 DID 系统允许单个发行者发行凭证,并且验证者仅验证发行者的签名,这存在单点故障的风险。
(2)如果发行者被攻击或参与恶意行为,DID 系统的安全性和鲁棒性可能会受到影响。 - 身份撤销问题:
(1)DID 系统需要能够撤销恶意或非法用户的身份,例如政府制裁、学历撤销等情况。
(2)由于区块链的不可篡改性和缺乏中心服务器,身份撤销在 DID 系统中是一个具有挑战性的问题。
(3)现有的 DID 系统缺乏有效的身份撤销机制,例如 CanDID 使用制裁列表,存在存储和查询开销过大的问题。
研究动机、研究意义:
- 研究动机:
(1)现有的 DID 系统存在局限性,缺乏对单点故障和身份撤销的设计,这可能会严重影响 DID 系统的鲁棒性和实用性。
(2)随着区块链技术的发展,去中心化身份管理在 Web3 和元宇宙等领域具有重要的应用价值,需要更加安全、高效、实用的 DID 系统。 - 研究意义:
(1)解决 DID 系统的局限性: FutureDID 通过多方验证和可撤销的身份机制,有效地解决了现有 DID 系统的单点故障和身份撤销问题,提高了 DID 系统的鲁棒性和实用性。
(2)推动 DID 技术发展: FutureDID 的研究成果可以推动 DID 技术的发展,为构建更加安全、高效、实用的 DID 系统提供参考和借鉴。
(3)促进 Web3 和元宇宙发展: FutureDID 为 Web3 和元宇宙等新兴应用场景提供了可靠的数字身份管理解决方案,可以促进这些领域的发展和应用。
(4)保护用户隐私和安全: FutureDID 的去中心化设计可以保护用户的隐私和安全,防止数据泄露和滥用。
(5)提高身份管理的效率和便捷性: FutureDID 的多方验证和可撤销的身份机制可以提高身份管理的效率和便捷性,为用户和开发者提供更好的体验。
研究内容(算法、方法、技术、模型):本文主要研究如何设计和实现一个基于 NDN 平台的以太坊区块链客户端,其研究内容主要包括以下几个方面:
- 身份子系统设计:
(1)注册 DID: 用户通过提供真实的身份属性值进行 DID 注册,以防止 Sybil 攻击。
(2)创建声明: 用户创建关于其属性的声明,并将其提交给发行者申请凭证。
(3)选择委员会: FutureDID 根据用户申请的凭证类型,从多凭证委员会 (MC) 中选择一个合适的凭证委员会 (CC)。
(4)相互验证: CC 成员之间进行相互验证,以确保发行者的身份和能力。
(5)凭证发行: 通过 DKG(Distributed key generation) 算法和 Byzantine 共识协议,CC 为用户发行凭证。
(6)凭证验证: 验证者通过验证凭证的签名和用户的 DID 来验证凭证的有效性。
(7)密钥恢复: FutureDID 提供基于密钥恢复机制,允许用户在密钥丢失或设备故障时恢复其密钥。 - 撤销子系统设计:
(1)系统设置: 使用变色龙哈希函数建立可编辑的区块链系统。
(2)区块生成: 在生成新区块时,将临时陷门发送给 AC 进行秘密存储,并广播变色龙哈希值和变色龙哈希随机数。
(3)DID 重写: AC 通过 Byzantine 共识协议审计撤销请求,并通过重写包含非法用户身份信息的区块。
(4)DID 撤销: 区块链节点验证重写结果,并删除非法用户的身份信息。
3.研究算法:
(1)分布式密钥生成 (DKG) 算法: 用于实现多方联合凭证发行,提高安全性并降低单点故障风险。
(2)拜占庭共识协议: 用于实现 CC 成员之间的相互验证和 AC 成员之间的共识,保证系统的安全性和可靠性。
(3)变色龙哈希函数: 用于实现区块链的可编辑性,从而实现身份的可撤销。
(4)女巫攻击防御策略: 通过注册 DID 时提供真实的身份属性值,防止女巫攻击。
(5)密钥恢复机制: 基于密钥恢复机制,允许用户在密钥丢失或设备故障时恢复其密钥。
研究结论、主要贡献:
- 研究结论:
(1)FutureDID 是一个安全、高效、实用的去中心化身份系统,它通过多方验证和可撤销的身份机制解(2)决了现有 DID 系统的局限性,为 Web3 和元宇宙等新兴应用场景提供了可靠的数字身份管理解决方案。
(3)FutureDID 在身份撤销方面比现有系统具有更高的效率,至少比 CanDID 高 60 倍。
(4)FutureDID 具有抵抗单点故障的能力,并通过 Byzantine 共识协议和相互验证机制保证了系统的安全性和可靠性。 - 主要贡献:
(1)单点故障抵抗: FutureDID 使用 DKG 技术和多凭证委员会机制,将信任从单个实体转移到分布式委员会,并通过 Byzantine 共识协议进行身份验证,从而降低单点故障的风险。
(2)相互验证: FutureDID 的多凭证委员会在发行凭证时执行 Byzantine 共识协议,确保凭证的可靠性和安全性。
(3)实用撤销机制: FutureDID 使用变色龙哈希函数实现区块链的可编辑性,可以直接从区块链中删除恶意或非法用户的身份信息,无需存储和查询制裁列表,从而提高身份撤销的效率和实用性。
(4)效率提升: FutureDID 在身份撤销方面比现有系统具有更高的效率,至少比 CanDID 高 60 倍。
(5)安全性: FutureDID 具有抵抗单点故障的能力,并通过 Byzantine 共识协议和相互验证机制保证了系统的安全性和可靠性。
(6)实用性: FutureDID 的设计考虑了实用性和用户体验,例如密钥恢复机制和简单的 API 接口。
创新点、创新性:
- 多方验证机制: FutureDID 使用 DKG 技术和多凭证委员会机制,将信任从单个实体转移到分布式委员会,并通过 Byzantine 共识协议进行身份验证,从而降低单点故障的风险。
- 实用撤销机制: FutureDID 使用变色龙哈希函数实现区块链的可编辑性,可以直接从区块链中删除恶意或非法用户的身份信息,无需存储和查询制裁列表,从而提高身份撤销的效率和实用性。
- 效率提升: 由于CanDID依赖制裁名单,需要查询并证明用户不在名单中,随着名单增大,计算和存储开销呈指数级增长;而FutureDID 在身份撤销方面利用可变哈希函数直接在区块链上删除非法用户身份信息,无需存储和查询名单,撤销操作更高效,经过测试显示比 CanDID 高 60 倍。
技术难点:
- 多方验证机制的实现:
(1)使用安全的 DKG 算法,例如 Pedersen 承诺方案和 Lagrange 插值算法,保证密钥生成的安全性。
(2)使用拜占庭共识协议,例如 PBFT 协议,保证 CC 成员之间共识的有效性和安全性。
(3)设计安全的相互验证机制,例如基于零知识证明的验证方案,防止恶意节点进行攻击。 - 可撤销身份机制的实现:
(1)使用变色龙哈希函数实现区块链的可编辑性,例如 Camenisch 等人提出的具有临时陷门的变色龙哈希函数。
(2)设计高效的身份撤销算法,例如基于变色龙哈希函数的算法,减少存储和查询开销。 - 系统的安全性分析:
(1)使用形式化方法对 FutureDID 的安全性进行证明,例如基于游戏假设的安全性证明。
(2)对 FutureDID 进行安全性测试和评估,例如攻击测试和安全性分析。 - 系统的可扩展性:
(1)使用模块化设计,将系统分解为不同的模块,方便扩展和升级。
(2)使用分布式架构,将系统部署在多个节点上,提高系统的可扩展性和容错性。
(3)优化算法和协议,提高系统的性能,例如减少通信开销和计算开销。
进一步研究思路 (Future Work):
- 更安全的 DKG 算法: 研究更安全的 DKG 算法,例如基于同态加密的 DKG 算法,进一步提高系统的安全性。
- 更高效的凭证撤销算法: 研究更高效的凭证撤销算法,例如基于分布式账本技术的算法,进一步提高系统的效率和可扩展性。
- 支持更多应用场景: 将 FutureDID 应用于更多应用场景,例如物联网、智能合约、供应链管理等,验证其可行性和有效性。
个人总结:
本文提出了 FutureDID,一个完全去中心化的身份系统,通过多方验证机制,有效解决 W3C DID 推荐中存在的单点故障和身份撤销问题。FutureDID 利用 DKG 技术和 Byzantine 协议,实现多方联合颁发证书,并通过可变哈希函数实现高效的撤销机制,提升了系统的安全性、鲁棒性和实用性。