新型标识解析技术研究*
2022-11-09倪东霍如张钰雯黄韬
倪东 霍如 张钰雯 黄韬
(1. 网络通信与安全紫金山实验室,南京 211111;2. 北京工业大学信息学部,北京 100124;3. 中国信息通信研究院工业互联网与物联网研究所,北京 100191;4. 北京邮电大学网络与交换国家重点实验室,北京 100876)
0 引言
万物通过网络虚拟地连接起来,可以实现全要素、各环节的互联互通。庞大、复杂的物理实体和虚拟实体需要通过“标识”实现对话,标识解析体系为此提供了契机[1]。标识解析体系通过给每一个对象赋予标识,并借助标识解析技术,实现跨地域、跨行业、跨企业的信息查询和共享[2]。
目前,国内外已经发展出多种标识解析体系。一类是基于域名系统(Domain Name System,DNS)的改良路径,该路径在DNS体系架构的基础上进行扩充,提供标识解析服务,如美国麻省理工学院提出的产品电子代码(Electronic Product Code,EPC)技术、国际标准化组织(International Organization for Standardization,ISO)和国际电信联盟(Internatial Telecommunication Union-Telecommunication Standardization Sector,ITU-T)联合制订的对象标识符(Object Identifier,OID)技术,我国自主研发的物联网统一标识(Entity Code for IoT,Ecode)技术等。另一类是独立于DNS体系的革新路径,如多纳基金会(DONA Foundation)维护的Handle标识解析技术、东京大学提出的泛在识别(Ubiquitous ID,UID)技术等[3-4]。
标识解析体系在发展的同时也暴露了一些问题:一是体系架构缺陷:传统标识解析体系大多采用树状分层架构,导致当体系架构中某一层节点出现问题时,会对整个架构的安全性产生威胁;二是身份管理风险:标识解析体系中各种角色均存在身份管理风险,常见的风险中人员风险主要为身份欺骗、越权访问等,机器和物的风险主要为身份欺骗和设备漏洞等;三是数据安全性问题:标识解析体系包含标识注册、标识解析、标识服务日志等重要数据,因此其也存在数据全生命周期流转过程中存在的数据窃取、数据篡改、隐私数据泄露等问题;四是治理偏差:目前大部分标识解析体系都是中心化的管理模式,系统内存在节点不对等、治理偏差等问题,影响系统间数据互通的效果。
图1 去中心化标识解析体系使能模型
区块链技术具有去中心化、不可篡改、可追溯等特征[5],利用区块链技术为传统标识解析体系赋能,可以消除网络的中心节点,打破传统标识解析技术的分层或平行化存储架构,解决传统标识解析体系架构风险;区块链技术下多方共同参与标识数据治理,可实现去中心化标识管理,同时用户对数据的一切操作过程均被记录,确保了标识数据的安全性。从2011年开始,业界陆续对基于区块链技术的去中心化标识解析体系展开研究,包括去中心化DNS体系和去中心化数字身份等,致力于通过区块链技术打造新型标识方案。现阶段,由于体系结构设计还不完善、区块链技术自身存在性能瓶颈等原因导致这些标识解析体系仍处于探索阶段,还没有得到社会普遍认可,且未支持大规模商用。
本文从去中心化标识解析体系使能关键技术出发,首先介绍去中心化标识解析体系的研究现状及产业化应用情况,并对各体系进行对比,最后对未来标识解析体系长足发展需要改进的部分给予展望。
1 去中心化标识解析体系使能技术
为了实现去中心化标识解析体系,需要多项关键技术支持。本文设计的去中心化标识解析体系使能模型如图1所示,其中区块链层为标识服务层提供底层架构支撑,标识服务层为去中心化标识应用赋能。本章主要介绍区块链层及标识服务层的关键技术。
1.1 区块链层关键技术
区块链技术采用“区块+链式”数据结构实现数据的存储与验证,利用密码学技术实现数据的安全传输与访问,采用共识算法生成与更新数据,利用逻辑代码生成智能合约进而操作数据,是一种全新的分布式基础架构与计算范式[6]。其关键技术主要包含共识算法、哈希签名、智能合约、分布式账本等。
共识算法:通过选择若干利益不相干的节点进行投票,只要这些节点对交易的确认结果达成一致,则认为全网对此达成共识[7],即不同节点之间依赖相同的制度维护区块链节点的数据一致性。
哈希签名:通过哈希函数可以把任意长度的输入变换成固定长度的输出,并且难以找到不同的输入映射到同一个输出。区块链通过此技术生成默克尔树,保证数据防篡改与安全性验证。
智能合约[8]:是一套通过代码及自动化脚本实现的业务规则,合约参与方可以在上面执行这些规则,用计算机语言取代语言记录条款并由程序自动执行。
分布式账本:交易记账由分布在不同地方的多个节点共同完成,每一个节点都记录完整的交易副本,共同参与监督交易的合法性。
1.2 标识服务层关键技术
标识服务层通过标识码为实体对象或虚拟对象赋予唯一的身份,进而记录和追溯对象的全生命周期信息,实现实体的唯一性定位和信息查询。其关键技术主要包含标识编码、标识存储、标识解析、标识元数据管理等。
标识编码:指通过设计编码规则为实体对象或虚拟对象提供唯一性的命名方式。目前去中心化标识解析体系主要采用层次化编码的方式,通过多级语义序列标识不同的实体信息。
标识存储:负责将注册到去中心化标识解析体系的标识元数据信息落盘到区块链节点或外部存储媒介中去。为增加系统可扩展性,部分去中心化标识解析体系采用链上和链下两种方式并存的存储结构。
标识解析:指根据标识编码定位标识元数据信息,并将定位结果返回的过程。去中心化标识解析体系主要采用扁平解析方式,每个区块链节点被命中的可能性相同,避免解析服务被非法控制,实现分权、对等解析。
标识元数据管理:标准化元数据结构,可实现数据更新与注销等操作[9]。
2 去中心化标识解析体系发展现状及产业化应用
2.1 去中心化标识解析体系管理与解析过程概述
为了说明去中心化标识解析体系中标识与区块链技术的融合,本文抽象出去中心化标识管理与解析过程,具体如图2所示。该过程包括标识解析部分、标识管理部分和区块链部分。
标识解析部分主要针对用户端,为用户提供去中心化标识解析能力。标签识读器读取标签后将识读到的去中心化标识交给解析客户端,如果为域名解析,则解析过程从解析客户端开始。解析客户端将解析请求传递给标识解析服务器,标识解析服务器将该请求封装为可与区块链接口交互的形式后,通过区块链的远程过程调用(Remote Procedure Call,RPC)命令或智能合约等获取区块链中的标识解析结果,最终返回给用户。
标识管理部分主要针对标识申请者或标识所有者,标识申请者通过标识管理客户端向标识管理服务器发起标识注册请求,标识管理服务器封装该请求并发送至区块链进行审核和验证,验证通过的标识及标识元数据信息被上传到区块链,生效后对外提供服务。标识所有者可以通过该部分操作区块链上已获得的标识,进行标识的更新、撤销等管理操作。
区块链部分为去中心化标识解析体系提供可信及去中心化的基础设施,通过智能合约及RPC命令等方式执行标识管理及解析交易。
2.2 去中心化标识解析体系发展现状
从2011年开始,去中心化DNS技术开始发展,如今基于比特币的域名币(NameCoin)、BNS代币(BNS Token)系统,基于以太坊的以太坊域名服务(Ethereum Name Service,ENS)系统等发展迅速[10],各体系的域名管理架构如图3所示。
首先,NameCoin[11]在比特币基础上拓展新功能,在不违背比特币挖矿、共识等机制的前提下,构建具有唯一性的去中心化域名解析系统。该系统通过一些额外的RPC命令来发送交易请求,链上通过[Key: Value]键值对的方式存储资源记录信息,其中Key为域名名称,Value为对应的资源记录信息。NameCoin顶级域名固定为“.bit”,主要由name_new、name_firstupdate、name_update 3个RPC命令实现域名的全生命周期管理。name_new:实现域名的预定,该操作在真正的域名注册操作之前完成,可以防止多个域名注册者同时注册相同的域名,通过name_new命令预定的域名在区块链中保留12个区块的时间。name_firstupdate:经过预定后的域名通过name_firstupdate实现真正的域名注册。name_update:域名成功注册或成功更新后,经过36 000个区块会失效,为了防止域名失效,name_update可以用来更新、转让域名或者重置失效时间。
图2 去中心化标识管理与解析过程
图3 去中心化DNS各体系域名管理框架
随着研究的深入及技术的落地,NameCoin逐渐暴露出安全性、吞吐量等痛点问题[12]。2014年穆尼布·阿里和瑞安·谢等人创建BlockStack项目,并基于此开发了基于区块链技术的BNS[13]域名系统,解决了NameCoin存在的问题,并将业务和域名存储分离开来,将系统分成控制层和数据层(见图3)。其中,控制层又分为区块链层与虚拟链层,区块链层采用比特币作为底层区块链基础设施,负责存储BlockStack的操作序列,并就这些操作序列达成共识;虚拟链层为BNS的核心,定义了BlockStack上的操作序列,当区块链层中有一个新区块产生时,BlockStack会读取该区块,并检查系统的BlockStack是否达成共识,达成则将该区块提交到到虚拟链层。路由层主要存储区文件信息,可以快速定位到域名所在位置,提升域名解析效率。存储层以key-value的形式存储真实的域名数据,这些数据都会被用户所拥有的公钥进行加密。
2017年年初ENS[14]由以太坊基金会创办,于2018年作为一个独立的组织分离出来。该系统的所有操作均采用智能合约实现,由注册表和解析器两个组件构成。注册表采用智能合约来规范域名与子域名之间的关联关系,并存储域名的所有者、域名解析器、资源记录存活时间等域名关键信息,可以实现域名到相应解析器的映射。解析器的实现也采用智能合约,提供域名到IP地址的映射能力,解析器智能合约需要满足一定规范,对存在特殊解析需求的用户需开发定制化合约。ENS解析主要分为两个步骤,首先用户发起域名解析请求到注册表,注册表智能合约定位到相应的解析器,然后解析器智能合约到链上获得解析结果返回给用户。
2019年11月7日,万维网联盟(World Wide Web Consortium,W3C)分散式标识符工作组发布分散式标识符(Decentralized Identifiers,DIDs)核心数据模型和语法规范的首个公开工作草案。DID[15]是用于去中心化数字身份的一种新型标识符。与传统的基于公钥基础设施(Public Key Infrastructure,PKI)的中心化数字身份相比,区块链的赋能保证了数据的可信性、实现了用户身份隐私保护,具有身份自主可控、可信的数据交换等优势。首先,一个实体的DID标识由多个机构赋予,用户根据确定的算法生成,完全自主可控。其次,生成DID标识的同时也会生成一对秘钥,并把公钥发布到区块链上,私钥由用户保管。最后,应用方验证用户身份信息时,只需要拿到区块链上的公钥信息,即可实现用户验证。多方可以接入到DID标识之间组成的可信数据交换网络中去,建立不同身份标识之间的安全通信。
上述可信数据交换网络中有用户、发证方、应用方3种角色,其交互关系如图4所示。用户为DID的使用者,通过不同的DID客户端自主创建和管理。发证方是向用户创建并签发可验证声明的机构或个人。应用方是能够让用户使用DID的应用服务提供方,会验证用户的DID以及可验证声明,从而间接地验证用户的真实性。
图4 DID角色交互关系
去中心化DNS及去中心化数字身份统称为去中心化标识解析体系。这些体系在设计目标、底层架构、智能合约等方面存在差异,对比分析结果如表1所示。
2.3 去中心化标识解析体系产业化应用
去中心化标识解析体系的应用探索过程,主要围绕去中心化数字身份、去中心化域名解析系统、去中心化工业互联网标识解析体系等领域展开。本节列举了一些国内外大型科技公司及科研机构已经开发或正在推进的去中心化标识体系应用情况。这些单位从不同的技术路径出发,以业务驱动和生态推进为目的,提出了不同的解决方案,详情如图5所示。
2.3.1 去中心化数字身份
微软、百度等跨国科技公司均基于DID技术开发了各自的去中心化数字身份解决方案[16],包括百度Cloud DID、微软ION等。这些方案主要应用在用户身份认证与授权两方面,为用户提供统一的个人身份标识,结合电子签名和区块链技术,链接个人各维度数据,在保护用户数据的前提下,实现多个信息系统的数据互通,保证数字身份的自主可控,解决企业和用户隐私泄露难题。目前,主流的去中心化数字身份主要是面向企业的应用场景,例如在联盟链上有多个参与方,比如银行和运营商,对于一个终端消费者而言,如果他既是银行的用户,同时又是运营商的会员,且两家机构注册在同一联盟链上,他们可以相互认证,而不再需要繁琐的材料来证明用户的真实信息。
2.3.2 去中心化域名解析系统
去中心化DNS目前最大的应用场景是使用去中心化域名访问网站,其构成的去中心化域名解析系统具有安全、快速、保护隐私、免费与开源等特点。如NameCoin构建DoT-BIT系统,并使用.bit顶级域进行网页访问,是一个虚拟顶级域名,未经互联网名称与数字地址分配机构认可,因此常规DNS服务器无法解析.bit域,而是返回NXDOMAIN错误。ENS的典型应用是EthDNS[17],是一种从DNS访问以太坊域名服务的方法。EthDNS由ENS解析器和服务器两部分内容组成,前者允许在区块链上存储和访问域名信息,后者则允许采用与传统DNS等效的方式进行域名解析。
表1 不同去中心化标识解析体系对比
图5 去中心化标识解析体系典型产业化应用
2.3.3 去中心化工业互联网标识解析体系
中国信息通信研究院已成为W3C批准的国际VAA发码机构[18],其可为工业互联网领域人、物、机构等多种标识对象提供全球唯一标识,并具备注册服务、用户管理等功能,满足工业互联网标识解析的应用需求。VAA使用DID方法“did:vaa:”进行全球标识分配。目前,中国信息通信研究院已开展DID及VAA标识注册、标识解析以及标识数据共享等系列服务,助力企业解决数字化转型过程中的数据孤岛难题,促进异构、异主、异地数据的共享使用。VAA采用的底层区块链基础设施为星·火链网络。星·火链网络采用“1+N”的主子链群架构,其中主链主要负责链群管理、监管规则、公共数据和价值锚定等功能,子链主要针对不同的业务场景进行独立设计,实现数据的安全隔离及网络的高性能运行。星·火链网络还支持与现有标识解析系统协同发展,其中标识解析系统中的国际根节点与国家顶级节点与星·火链网络中的主链对接,保证提供更好的服务、扩大服务范围、实现国际互联网治理;二级节点和企业节点与子链对接,真正实现产业的带动作用、模式创新。
3 标识解析体系未来发展展望
综上可知,在对标识解析体系的优化及创新中,去中心化成为未来重要趋势。为了保证基于区块链的去中心化标识解析体系的大规模发展与商用,应综合考虑多种因素,实现系统的安全、稳定、持久运行。本文对去中心化标识解析体系的未来展望如下。
3.1 设计完备的域名组织与管理结构
现阶段大多数去中心化标识解析体系顶级域名固定,不支持最高级别域名注册。为此,未来首先应解除顶级域名固定的限制,支持用户申请顶级域名,实现多顶级域名共存,同时设计域名抢注规则,设置域名抢注优先级,当用户持有域名超过一定阈值后,抢注优先级降低,防止域名被少用用户持有;其次应参考现有DNS体系设计域名定价方案与域名注册方式,包括先到先得、拍卖、押金租金等;最后对持有权到期的域名设计注册规则,应设置一定的时间阈值,在该时间内原持有方的抢注优先级最高。
3.2 提升解析性能
区块链受严格的共识及签名认证机制的限制,吞吐量较低且可扩展性差。未来可考虑从存储方式及区块链技术优化两方面解决问题。首先,可以采用链上链下存储相结合的存储方式,通过链下解析,链上验证实现标识快速解析。其次,可以从网络层、共识层、应用层等主要限制区块链性能的层次入手,通过进行区块链层次化体系研究提升区块链本身性能,进而间接地提升标识解析速度。
3.3 增强系统易用性、稳定性及安全性
现有去中心化标识解析体系大多与传统标识解析体系不兼容,为此,未来首先应设计与现有标识体系兼容的新型标识体系方案,做到解析过程的无干预切换,增强系统的易用性;其次为了防止标识数据劫持等问题的发生,可以参考DNS安全扩展(DNS Secutity Extension,DNSSEC)的认证思想,即在客户端对标识元数据信息进行分级验证;最后可以在区块链中对存储的标识元数据信息通过私钥加密生成数字签名,同时发布相应公钥,供客户端检索,当客户端收到解析结果时,通过链上的公钥对解析结果进行验证,确保消息来源可靠,避免恶意诈骗或攻击。
3.4 积极实现推广与生态系统构建
现有去中心化标识解析体系仍处于建设初期,影响力较弱。为此,未来首先可以吸引更多企业来深入打造更多的商业化应用场景;其次去中心化标识解析体系应用项目的标准化制定和推进可以更好地推进跨领域、跨行业的互联互通,解决信息孤岛问题;最后去中心化标识解析体系的应用需要从政策层面进行调研并制定策略,以政府政务为切入点进行推动,以便于形成社会共识,打造全面发展的去中心化标识解析体系生态。
4 结束语
去中心化标识解析体系借助区块链技术,凭借其分布式、去中心化、透明存储、防篡改等特征,可实现标识的完全自主可控。从2011年开始,业界开始对去中心化标识解析体系进行研究与开发,致力于通过区块链技术打造新型标识解析方案。这些方案的应用在去中心化数字身份、去中心化域名解析系统等领域表现出色。区块链技术的赋能为开发去中心化标识解析体系提供了安全的标识管理环境,是未来标识解析体系的重要发展方向。