Author

Topic: Sphre发布区块链数字认证系统确保在线服务安全性 (Read 183 times)

hero member
Activity: 588
Merit: 500
据用户认证管家LoginRadius介绍,五分之四的用户不喜欢在网站上注册时提供个人信息的繁琐过程。而英国网络研究公司Baynard研究所报告显示,由于要求创建账号,35%的网络购物者放弃了购物车,此外据ITProPortal估计,到2020年人们将需要管理200多个数字账号。

正因如此,美国商业巨头Bill Gates在2004年的RSA安全会议上预测了密码使用的终结——随着时间的推移,人们将不再依靠密码。人们在不同的系统上使用相同的密码,并且把它们写下来,这不能保护你真正想要保护的任何东西。

在线注册时使用社交媒体账号登录已经成为盛行的替代方式。这种方法允许互联网用户利用Facebook,Twitter或Google等平台内的现有信息,实现一键登录。

LoginRadius称,相比于传统电子邮件注册,93%的消费者更喜欢使用社交媒体账号登录。 其中,喜欢使用Facebook的用户占53%,而使用谷歌、Twitter等的用户占40%。

一键登录账号的好处不只是操作简单,企业也可以获得好处。我们生活在一个被称为注意力经济的时代,人的注意力被视为一种稀缺商品。

现在的网站不再使用无关信息轰炸潜在客户,而是利用消费者使用的一键登录账号所提供的信息。此信息包括用户的姓名、电子邮件、家乡、兴趣、活动和朋友。

企业现在可以通过对个人的观察了解客户的网络行为,从而专门为用户定制内容。然而,这种一键登录功能需要付出高昂的代价。许多一键登录过程由名为OAuth 2.0的协议支持。 2016年11月,香港中文大学的三位研究人员发表了《使用OAuth 2.0轻松登录十亿手机应用账户》。研究人员探讨了黑客可能会远程利用第三方应用开发人员对OAuth 2.0的不正确使用这一漏洞,而受害者毫不知情。

美国和中国排名前600的使用OAuth 2.0认证服务的应用程序均受到过攻击。这篇论文中提到:“我们的实证结果令人震惊:平均而言,41.21%的应用程序容易受到这种新型攻击。”

“OAuth本就不该做验证用户身份的工作,这是由验证服务来处理的。验证过程是验证用户的身份(例如要求提供用户名和密码进行登录),而授权是检查现有用户已有的权限。”

——来自Stormpath公司的Randall Degges

但是,OAuth 2.0只是安全难题之一。2014年,英国国家卫生服务机构发现,他们的病人数据库系统面对攻击十分脆弱。2015年7月,一家婚外情网站Ashley Madison被窃取了3200万条用户数据。去年12月,Google账户遭到一个名为Gooligan的新型恶意软件的攻击。

公司正在尽力保护客户的信息,但价格昂贵。根据用户导向营销解决方案公司Ctrl-Shift的数据,英国身份认证流程的成本超过了每年3.3亿英镑。如果按人口规模推算,那么美国所需成本相当于22亿美元。这还不包括存储、保护、违规和监管的费用。

但它并非一无是处。来自国际专业服务公司德勤(Deloitte)的一个团队与世界经济论坛(World Economic Forum)合作,试图阐明当安全被视为首要任务时,数字认证系统如何能够实现最大价值。

德勤的数字认证领导表示:“我们认为区块链和数字认证是相互依存的。数字认证是扩展区块链应用的关键推动因素,同时区块链为数字认证系统提供强大的功能,例如通过分布式账本提供无法伪造的、可公开验证的身份证明。”

区块链将能够提供便利的一键登录方式,并能在多个组织中使用该身份。2016年9月,Evernym宣布将Sovrin身份认证网络的知识产权捐赠给新成立的非营利组织Sovrin基金会(The Sovrin Foundation),可能是这种区块链的首次亮相。

“像互联网一样的认证系统由来已久,但是我很高兴分布式计算的最新发展使得真正的自我主权认证系统得以实现。”

——Sovrin基金会主席Phillip J. Windley博士

Sovrin基金会认为,随着互联网不断发展,人们可以随时获取比以往更多的服务。Sovrin发布白皮书称:“孤岛式的验证方法要求用户必须在他们互动的每个站点上进行身份验证,这已经变得站不住脚。这不仅仅是个人可用性的巨大阻碍,还为黑客创造了大量窃取数据的机会——这违背了对所有互联网服务的信任。”

Sovrin团队正在试图利用区块链技术的力量来整合互联网用户的碎片化的数字认证。实现这一点需要满足三个基本要求:安全性,身份必须受到保护,未经授权不得披露;控制权,身份认证的所有者必须能够选择谁可以看到和访问他们的数据并了解其目的;便携性,用户需要能够自行选择使用他们的身份,而不是被唯一提供商绑定。

为了实现自己的目标,Sovrin的团队利用了超级账本(Hyperledger)项目,这是一个由美国的国际科技公司IBM创立的开源合作项目。超级账本由Linux基金会(The Linux Foundation)管理,旨在创建一个开放的、标准化的分布式框架。该项目引起了各类公司的高度关注,以期实施区块链服务(BaaS,即“blockchain as a service”),而Sovrin并不是唯一一家利用超级账本项目功能进行数字认证的组织。

去年12月,Sphre发布其核心产品:数字认证系统Air。Sphre执行董事Daren Seymour解释说,该平台旨在推翻当前的数字认证模式,将个人身份的价值归还给个人,同时增加隐私度和安全性。

“我突然意识到,我们有一个可行的区块链技术,可以解决企业和个人数字认证的难题,可能进一步增强隐私以及社会和财务的包容性,但目前还无法使全球数十亿人使用。这可能是一个有点乌托邦式的观点,但是我希望我们能够建立一个更公平的互联网。”

——Sphre董事总经理Daren Seymour

Air平台由三个关键部分组成:应用编程界面,允许第三方组织和企业整合Air所支持的功能;移动应用程序,能够安全维护个人的私钥;链码,与智能合约类似,允许个人在手机丢失时恢复身份。

终端消费者的移动应用将利用注意力经济学,进行用户推广。这个移动应用将建立在已经进行了原型验证的Air核心系统之上。这个核心系统和终端用户应用程序最终的软件需求步骤也已经完成。

为了实现进一步发展,Sphre将于2017年4月19日至2017年5月29日举办Air众筹活动。来自众筹的资金将用于完成产品开发和发布。这些资金将由多个签约人持有,按照项目顺利完成的进度发放。Seymour说,有一个例外是,将在项目完成后支付为推动众筹而参与的合作方的费用。

未来,Sphre将试图创建更多项目,如健康管理系统Eon。Seymour表示:“这些产品具有很大潜力,能够在他们所针对的产品行业内将控制权归还给个人,并且能够增加企业的利润。这令我感到非常激动。”

来源:bravenewcoin.com
Jump to: