关于作者:Abhishek Bansal是 IAM 的思想领袖,在网络安全行业拥有十多年的经验。他曾在大型企业担任高级网络安全领导职务,并且是一家基于 IGAaaS 的网络安全初创公司的早期成员。Abhishek 是网络安全领域公认的全球领导者、天使投资人、初创公司顾问以及信息安全(身份和访问管理、身份治理和合规性)主题专家,拥有了解行业技术和业务方面的罕见能力。
介绍
区块链是一个虚拟的分布式系统,由一系列不可变的带有时间戳的数据记录组成,每个信息“块”都存储在广泛的计算机网络上。它越来越多地应用于信息安全的各个领域,包括身份管理。身份管理是指组织用来识别、验证和授权用户访问信息和系统的所有流程和技术。区块链身份管理解决方案实施后,可以提供一种安全的方式来管理用于监管(合规)目的的数字身份,从而有助于促进监管(合规)举措。以下是基于区块链的身份管理解决方案的一些合规策略。
建立基于区块链的身份管理政策
应建立基于区块链的身份管理政策来指导整个身份管理流程。它必须明确相关成员的角色和职责,提供高级管理层的监督和支持,指定访问权限,并规定对违反协议的情况进行制裁。
1、该政策的结果应该是所有利益相关者在认证过程。
2、用户跟踪和身份验证、通过私钥支持更大的信息隐私、数据最小化、凭证验证以及通过加密智能合约提高监管合规性方面获得更好的可见性,除其他方面外。
获得用户同意共享数据
未经个人明确同意,不得共享身份数据。在实施基于区块链的身份管理解决方案时,每次请求数据时,解决方案都会询问用户显示特定凭证的权限,这一点很重要。基于区块链的身份管理系统还应避免存储用户信息,以防止静态数据被篡改。这降低了不遵守法律法规的风险,特别是在隐私方面。
定义数据的所有权和控制权
在实施和管理基于区块链的身份管理解决方案时,必须确保访问网站和应用程序的人员对其数字身份拥有完全控制和所有权。
任何人都不应能够获得所有者的身份,以便在未经用户同意的情况下访问属于用户的数据。区块链链接的身份管理系统对于用户来说必须非常安全,用户必须能够控制自己的个人身份信息,并且未经所有者同意不得进行任何交易。
出于监管合规目的实施自我主权身份 (SSI)
人们能够在自己的设备上存储自己的身份数据的概念被称为自我主权身份(SSI)。基于区块链的身份管理解决方案应该是去中心化的,而不依赖于中央机构来控制数据或用于验证目的。去中心化标识符(DID)是指由身份所有者独立于中央机构控制的身份,数据存储在用户的个人设备上。
这些身份也无法重新分配,使得攻击者很难一次性访问大量个人信息。使用集中式存储系统,攻击者可以同时访问多个帐户,但使用基于区块链的去中心化 ID 存储,同一攻击者需要攻击单个数据存储,这是昂贵的。还要确保用户设备上存储的任何敏感信息均由星际文件系统 (IPFS) 备份。IPFS 是一种基于区块链的身份管理解决方案,可防止数据盗窃并防止单点故障 (SPOF) 问题。
实施KYC 入职培训
KYC 可以采用基于区块链的身份管理解决方案,以实现快速、安全的身份验证和合规流程。将用户的验证凭据(例如护照和驾驶执照)与其 DID 相关联。成功入职后,向他们颁发验证凭证 (VC),确认 KYC 元素的物理特征。经过验证的凭证可以被下游组织重复使用,不再需要执行昂贵的 KYC 流程。他们只需要依靠 VC KYC,简化原本复杂的合规流程。下图显示了在整个身份范围内进行 KYC 流程和验证的区块链实施情况。
该图描绘了在整个身份范围内进行 KYC 流程和验证的区块链实施情况
实施智能合约
在区块链身份管理术语中,智能合约是指自主维护合同条款和条件的不可变代码片段。智能合约是自动化的,具有不可逆转的结果,并且可以根据双方之间合同协议条款管辖的预定标准自行执行,如智能合约程序中编码的那样。它们是许多区块链系统的非常重要的一部分,因为它们允许受控且安全地披露数据。这确保了无缝 3并保证遵守许多法律和法规。区块链智能合约的一些例子是以太坊和 Solana。这些提供了透明度和安全性优势,并且可以在各种用例中实施,包括工资和养老金管理以及账单支付。
确保数据最小化
基于区块链的身份系统可以进行战略性配置,以最大限度地减少数据,并为用户提供仅共享验证者或监管者所需的部分凭证的选项。例如,该技术可以配置为仅显示用户所在的城市,而不透露他们的完整地址,这一过程通常称为选择性披露。零知识证明功能还可以配置为在不泄露任何数据的情况下证明主张。例如,人们可以使用基于区块链的身份管理解决方案在购买酒精之前确认自己已年满 18 岁,而无需透露其确切的出生日期。通过数据最小化,可以最大限度地降低违反合规性要求的风险。
启用审计跟踪和资产跟踪
基于区块链的身份管理系统的另一个合规策略是启用和强制执行审计日志。在大多数业务环境中,创建系统事务记录是基本的合规性要求。必须启用区块链技术来收集所有记录并提供审计跟踪、同步各方之间的记录并持续维护记录的完整性。资产跟踪功能还可以合并到基于区块链的身份管理系统中,通过在流程中引入自动化来帮助降低库存管理成本。基于区块链的资产跟踪设备越来越多地应用于全球物流行业,以提供物流监控、集装箱跟踪和货物防盗等领域的实时信息。
设置互操作性
为了确保正确且完全遵守各种合规性要求,请确保基于区块链的身份管理系统配置为可与其他系统互操作。这允许用户跨不同平台转移他们的身份。区块链技术应该为在各种身份管理系统中创建信任、安全和透明度提供基础,从而更容易同时满足多种要求。互操作性还允许多方验证,其中中央身份服务公司被一组由网络管理的实体取代。通过简化所有相关方之间的复杂性协调,可以提高监管流程(合规性)的效率。
投资于合格人才
实施基于区块链的身份管理解决方案永远不需要合格的专家来运行它们。需要熟练的专业人员来设计和实施区块链系统、监控其运行以识别异常、管理安全控制以及响应事件和攻击。我们必须投资培养这些专业人员在云、数据分析、合规性法规和必要的人际交往能力等各个方面的技能。
实施基于区块链的身份管理的挑战
结论
基于区块链的身份管理解决方案在IAM中越来越受欢迎,因为从监管(合规)角度来看,它们具有许多优势。虽然这是可取的,但对于糟糕的策略来说,采购过程可能会非常困难。用于监管(合规)目的的基于区块链的身份管理是一个复杂的领域,由各种技术、安全协议和人机交互组成。这需要深思熟虑的策略,如本文所示。
2024年身份安全的7个趋势
原文始发于微信公众号(安全红蓝紫):基于区块链的身份管理解决方案的合规策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论