公司面临的数字身份和用户数据问题

在数据所统治的世界中，客户和私有数据是关注的焦点。不仅仅是每天处理数据的Google，Yahoo，Microsoft，Amazon，Facebook等大型科技巨头。银行和保险公司每天通过其服务处理数百万条个人数据。数字身份，例如用户名，用户登录名和密码，用户国家ID文档扫描及其加密密钥，每天都会通过中央服务器和各种数据库进行传输。这是否是处理个人数据的正确方法值得怀疑。最近的一些指令，例如EIDAS，PSD2和GDPR 要求金融公司更好地保护更好的个人数据和数字身份，使用户（只有他们自己）才能掌握和控制其数字身份。

可以通过两种不同的技术（实际上是互补的）实现保护数字身份的安全：

• 用于存储数字数据的物理形式，例如智能卡技术

• 真正的数字分布式网络，例如区块链技术

智能卡技术将数字证书和与用户相关的数据存储在安全环境中，例如智能卡的安全存储器，只有在身份验证之后才能访问，并且通常具有FIPS-140 Lvl 3或更高级别的保护。护照，国民身份证，健康卡等已经保护了用户数据并保护了其数字身份。

问题在于，智能卡是物理令牌，需要操作接触式阅读器终端或非接触式应答器并与远程服务器进行通信。身份智能卡通常还与集中式服务器一起使用。使问题进一步复杂化的政府机构几乎不可能扩大规模，因为政府机构必须管理，维护和共享负责为公民提供服务的已批准请求。

图：典型的简化区块链交易流程

区块链技术通过拥有“持有”数字资产（例如数字身份）的分布式链来解决该问题。对链的更改进行管理，控制和审核，例如添加新身份，更改身份以及共享记录（全部或部分记录）。为了确保合规性和最高安全性要求，必须对数字资产进行加密保护，包括必须具有受控修改和合规性明显审核的要求。

图：典型的简化安全区块链交易流程

银行，保险公司和其他与金融相关的公司很容易在复杂的法规迷宫中迷失自己，并有失去客户，被罚款或参与法律诉讼的风险。因此，需要一种新的身份管理系统。 

接下来，我们将详细介绍区块链如何与经过验证的集成安全技术（例如HSM）一起创建更好的数字身份系统。

区块链如何创建更好的数字身份

用户希望以尊重其隐私的方式来管理其数字身份。此外，他们希望仅授予某些组织访问权限，以收集，存储和共享其个人数据。 

另一方面，企业需要在尊重客户隐私的同时，识别并验证其最终客户，但仍具有与他们建立有利可图的关系的能力。 

完美的身份管理解决方案是：

• 专用于用户

• 坚持用户

• 便携式，可以从世界任何地方进行虚拟访问

• 只有用户知道，并且只有授权访问它的用户才知道

区块链的设计使其可以删除中间人服务，本地服务器和本地数据库。在区块链中，业务实体可以例如验证彼此的用户身份。因此，用户的数字身份将驻留在可从任何地方访问并从任何地方进行检查的区块链中。

块链充当“脊柱”，并防止任何数据篡改，因为修改一个块意味着破坏整个区块链。这是高度可靠的标识来源。 

区块链使用密码运算来构建自身。添加新块后，将计算哈希并由多个参与者对它们进行数字签名。通常，区块链依赖于经过验证的已知加密方法，因此只能使用FIPS 140-2 Lvl 3+级HSM来真正确保其安全性，该HSM可以安全，快速地执行签名和哈希操作。通常不可能使用基于纯软件的解决方案，因为这样的解决方案还有其他限制，包括满足安全需求的专有安全机制。

银行可以将基于区块链的安全数字身份与FIPS 140-2 Lvl 3+ HSM结合使用，并解决EIDAS和GDPR等许多监管问题。

下图描述了基于区块链的身份管理的主要流程。

图：基于区块链的身份管理的主要流程

例如，可以使用诸如Corda或Hyperledger项目之类的许可框架来构建此类区块链。借助区块链技术，区块链可作为分散的数字身份库，通过共识而不是中央机构的决定来获得一次性验证。

添加后，数字身份将无法更改或删除。这与期望的数字身份一致，因为用户本身不应该更改其身份。

共识比基于中央权威的验证更好。它可以防止篡改并防止流氓用户伪造身份，因为验证是“集体的”。换句话说，是整个区块链决定添加或不添加新的数字身份。

当然，在实现中，数字身份将在区块链内部进行加密和令牌化，因此要进行解密和解密的凭据通常将由最终用户拥有的加密密钥，密码等组成。例如，这些用户密钥可以驻留在智能卡上。当然，要获得相同级别的安全性，必须将它们存储在使用它们的银行系统的区块链系统上的HSM上。

各国政府可能不愿意允许开发此类数字身份区块链，尤其是如果它将是公共区块链。但是，银行等组织对使用它们有真正的兴趣。他们的客户可能会越来越害怕让任何组织控制他们的数据和身份。因此，这些客户可能希望对其进行统一和集体控制。

目前，用户仍然可以享受数字身份的特权，这将使他们比基于区块链的系统具有最高的安全性和最高的识别度。但是这种趋势肯定会改变，数字身份区块链肯定会上升。在这种情况下，将需要HSM以确保以快速，安全的方式完成操作区块链所需的常规加密操作。 

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD