隨着互聯網功能的不斷髮展,我們也早已從剛剛興起的時候郵件或者瀏覽網頁等簡單功能,發展成了包羅萬象的網絡鏈接,越來越多的隱私數據存儲在網絡中,我們對網絡安全的需求也越來越高,其中最基礎的便是身份認證。
對於身份認證,相信對很多人來說,是再熟悉不過的一件事,無論是賬號密碼還是短信驗證,又或者最近興起的面部識別和指紋識別,越來越多的技術都在爲身份認證的安全性添磚加瓦。
但也正是因爲互聯網的飛速發展,越來越多的數據、隱私、財產等都被存儲在網絡中,可信身份安全便變得相當重要,簡單的密碼方案越來越難以擔當起保障用戶身份的重擔,衝量網絡將通過SGX技術與可信計算結合,實現身份真正可信。
目前的身份認證,如果用形象一點的話來說,就是用戶向對方服務器說明自己賬戶屬於自己,類似於“我是我”,以確認在端側的動作都是用戶本人發出並確認的,例如傳統的密碼賬戶模型,需要將密碼和賬戶傳輸到遠程服務端進行比對,如果正確,那便證明了“我是我”,當然,除此之外,一些服務商還會加入其他的二級驗證,例如短信等。
但這樣會存在泄露的風險,因此可信身份技術便出現在人們的視野裏,其結合可信計算技術,幫助人們在隔離狀態下完成身份認證。可信身份認證一般都會先隔離出一個獨立的安全環境,例如SGX技術會利用特定芯片將數據和代碼隔離出來,這個安全方案可以保證即使操作被攻破也不影響整個系統身份認證的安全可信。
因爲隔離區域的存在,傳統的身份認證被拆分成兩步,第一步是用戶到隔離區域,第二步是從隔離區域到服務器,分別保障這兩個分路徑的可信和安全,就可以保證從用戶到服務端的可信身份認證。
作爲一種通過隔離的方法保護數據和程序的技術,TEE由Global Platform(GP)提出,旨在構建一個資源豐富的執行環境,能夠主動防禦來自外部的安全威脅,更有效地保障身份安全,衝量網絡將數字身份與TEE結合,制定一體化方案來實現可信身份。
TEE本身可以作爲一個天然ID,如面部識別、指紋傳感器和聲音授權等,比傳統的PIN碼和密碼形式更加安全。一般基於TEE的認證可以劃分爲三個步驟:1.獲得數據輸入。2.在設備TEE存儲一個參考模板,並與輸入數據進行對比。3.利用AI算法對數據進行比對,並反饋給服務器輸入端。
相對於傳統的身份解決方案,衝量網絡將結合區塊鏈與可信計算環境(TEE),是的TEE能記錄更改的狀態,一旦代碼被更改,其每次更改會記錄在區塊鏈或SGX上,從而使得用戶可以對比其數據哈希來判斷是否被篡改。並且,由於TEE將代碼和數據放在隔離的“容器”中,使得節點無法讀取或修改TEE中的數據。
TEE的可信身份認證解決方案,可以分爲兩類,一類是純依靠硬件進行,另一類則是結合其他技術互相驗證的方案
純依靠硬件進行一般都是用於本地或局域網的可信身份認證,比如指紋解鎖、指紋支付功能等生物特徵識別就屬於這一類型,其優勢是效率高,但缺點也很明顯,其無法保證用戶數據到TEE側的安全。一般作爲密碼認證方式的一種補充。
而衝量網絡則採用了另一類方案,將可信計算與區塊鏈結合,保證用戶個人信息數據到TEE,以及TEE到認證服務器側的安全,使得分佈式身份、AI與可信計算有機地結合在一起,藉助分佈式認證方式,使得用戶的認證過程都會在鏈上體現,避免他們冒用其賬號進行認證。同時保證數據即使被篡改,用戶也能馬上獲取相關信息,並做出對應的措施。
對於可信身份而言,任何單一技術都無法保證其絕對安全,需要多種技術進行優勢互補,通過區塊鏈與可信計算相結合,形成軟硬件一體的完整解決方案。使得黑客對軟硬件的而攻擊無法,衝量網絡將將充分發揮區塊鏈和可信計算其潛力,成爲可信身份的先行者。
另外,衝量網絡也將結合鏈上鍊下相關的可信計算能力,支持保護數據隱私和安全前提下的可信身份及相關的應用。並建立起覆蓋全網絡的可信安全通道,保障在遠程認證和計算中數據也是安全的。