Upload
hanhi
View
215
Download
0
Embed Size (px)
Citation preview
Blockchain IdentityIl futuro dell’Identity & Access Management?
Security Summit 14 Marzo 2018Fabrizio Gilardone – Client Delivery Manager (Vantea Smart)Matteo Mattei – Business Solution Architect (Oracle)
Chi siamo
2
Vantea Smart è una nuova ma già consolidata realtà del panorama IT italiano.
Con un portafoglio clienti, partnership e competenze, si pone in una posizione di assolutarilevanza per capacità e know-how nella proposta di soluzioni e servizi di eccellenza.
Con un area fortemente specializzata sull’ambito dell’ Identity & Access Managementtradizionale, siamo costantemente attenti nella ricerca di quali saranno le evoluzionifuture dello IAM sia in termini tecnologici che relativi alla sua applicabilità.
Premessa
3
Un modello quindi che può essere considerato “collaudato” e affidabile
Perchè Blockchain? Alcune considerazioni riguardo l’infrastruttrua più comunemente nota: la Blockchain dei Bitcoin
➢ Market Capitalization in USD pari a circa di $ 100B con punte di $ 300B raggiunto negliultimi mesi.
➢ Quotidianamente viene processato un volume di scambio pari a $ 2B (una crescita di 10 volte nel 2017)
➢ Negli ultimi 2 anni il numero delle transazioni effettuate si attesta su una media di 350K con punte di 500K operazioni al giorno
➢ La Blockchain Bitcoin, sembra, non essere stata mai compromessa da hacker
Blockchain in sintesi
4
➢ una serie di blocchi che memorizzano dati combinando funzioni di hashing e timestamp➢ tentare di compromettere una blockchain o I suoi dati è estremamente complicato➢ il modello blockchain non prevede un sistema centralizzato, eliminando quindi la possibilià di attaccare un punto
centrale critico, tipicamente oggetto di attenzione degli hacker
▪ il punto chiave di sicurezza di una blockchain consiste nel propagarenell'immediato, a tutti i nodi appartenenti alla blockchain, qualunque modificaeffettuata sui dati
▪ avendo quindi una copia distribuita e decentralizzata, l'intero sistema rimanesicuro anche qualora uno dei nodi dovesse essere compromesso
➢ sebbene la blockchain abbia diversi vantaggi rispetto ad altri sistemi più tradizionali, ci sono ancora alcune sfidein termini di compliance, normative e applicazione che dovranno essere affrontate.
➢ ma considerando che progressivamente crescerà la richiesta di utilizzo della blockchain, tutti gli aspetti sarannopresto indirizzati
In quali ambiti quindi la Blockchain potrebbe essere utilizzata e applicata?
Utilizzo della Blockchain
5
Identificazione - identità digitale, passaporti, documenti e certificati anagrafici, etc...
IoT devices - interazione sicura peer-to-peer fra i dispostivi IoT, senza la necessità di un'autorità di terze parti
Banking e finance - deposito sicuro per il trasferimento di valuta
Sanità - permettere ai contribuenti e alle strutture sanitarie di condividere l’accesso al registro distribuito senza compromettere la sicurezza e l’integrità dei dati
Voto elettronico - strumento per la selezione, il monitoraggio e il conteggio dei voti
E tanti altri… - automotive, insurance, trasporti, gestione HR, pubblica amministrazione, etc…
Non solo cryptocurrencies: Blockchain in diversi ambiti
6
Prevenzione del furto di identità
Protezione contro la manomissione dei dati
Protezione di infrastrutture critiche
Rendere le password “obsolete”
Blockchainil futuro dell’ Identity & Access Management?
Evoluzione della Digital Identity
7
Centralized Identity: Gestione e governance da una singola Authority
Federated Identity: Gestione e governance da più Authorities federate fra loro
User-Centric Identity: Gestione e Governance da più Authorities non federate fra loro
Self-Sovereign Identity: Gestione e Governance individuale su qualsiasi Authority
Self-Sovereign Identity
8
Nel mondo digitale (online) verificare l’identità presenta alcune criticità:
• Flessibilità: i tradizionali sistemi IAM sono ‘rigidi’, spesso con schemi fissi e che soddisfano determinati use case prestabiliti
• Prossimità: la distanza fra gli “interlocutori” consente (facilita) l’incremento delle frodi
• Scalabilità: i tradizionali sistemi IAM sono basati su integrazioni tecnologiche spesso articolate e costose in termini di estensioni o modifiche sull’as-is
• Privacy: tipicamente oggi i dati personali sono raccolti in un unico repository centralizzato, che come notorisulta essere l’oggetto e il target degli hackers
Self-Sovereign Identity si basa sul concetto che tutte le persone devono essere gli owner dellapropria identità, sia nel mondo digitale (online) che fisico (offline).
Self-Sovereign Identity & Blockchain
9
I sistemi Self-Sovereign Identity basati su Blockchain - distributed ledgers - consentono di individuare e verificare un identità senza richiedere il censimento in un repository/directory centralizzato.
1. Creazione “Identity digital wallet
2. Certificazione del Passaporto
3. Passaporto certificato
5. Richiesta di accesso ad un servizio
4.Identity Info attestate
5.Verifica Digital Identity6. OK Digital Identity verificata
Self-Sovereign Identity
10
Self-Sovereign Identity - 10 Principles
➢ Existence: Users must have an independent existence
➢ Control: Users must control their identities
➢ Access: Users must have access to their own data
➢ Transparency: Systems and algorithms must be transparent
➢ Persistence: Identities must be long-lived
➢ Portability: Information and services about identity must be transportable
➢ Interoperability: Identities should be as widely usable as possible
➢ Consent: Users must agree to the use of their identity
➢ Minimalization: Disclosure of claims must be minimized
➢ Protection: The rights of users must be protected
Christopher Allen - "The Path to Self-Sovereign Identity“ (http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html)
Self-Sovereign Identity
11
Security❖ Protection❖ Persistance❖ Minimisation
Controllability❖ Existence❖ Persistence❖ Control❖ Consent
Portability❖ Interoperability❖ Transparency❖ Access
the identity information must be kept secure
the user must be in control of who can see and access their data
the user must be able to use their identity data wherever they want and not be tied to a single provider
• Hyperledger
▪ Component and Services
▪ Comparisons
▪ Architecture
▪ Integration and Interactions
• Conclusioni
Agenda
Components of a Oracle Blockchain Cloud ServiceValidating
Nodes / Peers
Ordering Service
Smart Contract/ Chaincode
Ledger (World State)
Applications
REST Proxy
Membership Service
Admin Console
REST Proxy
Users and ApplicationsUsers and
ApplicationsApplications(SDK based)
Users and ApplicationsUsers and
ApplicationsApplications(REST API)
Managed PaaS
Peer Node
Smart Contract
Ordering Service
Distributed Ledger
Membership Service
Blockchain Network Console
Smart Contract
Peer Node
Gateway
Three Major Blockchain Technology ComparisonsCharacteristic Ethereum Hyperledger Fabric R3 Corda
Description Generic blockchain platform Modular blockchain platform Specialized for banking
Governance Ethereum developer and banks via the EEA (Enterprise Ethereum Alliance)
Linux Foundation R3 Membership
Mode of Operation Permissionless (Public) or Permissioned (EEA)
Permissioned Permissioned
Consensus Mining PoW (Proof of Work) and others POS (Proof of Stake)Ledger Level
Multiple approaches (e.g., Kafka-based ordering service)
Specific understanding of consensus based on notary nodes
Privacy No Yes, confidentiality domains allow members to conduct private transactions over confidential channels
Mandatory, all transactions are visible only to participants
Smart Contract Languages
Solidity GO, Java Kotlin, Java
Currency Ether or Tokens via SC None built-in; Currency and tokens via smart contracts
None
Who is Using Fintechs, Banks, Enterprises Enterprises, Banks Banking only
Frothy ICOs (Initial Coin Offerings)
Yes No No
Industrialized Blockchain cloud platform for enterprise
Infrastructure and PaaS ServicesApplication Container CS (Managed Docker Containers), Identity CS (identity and key mgmt),
Event Hub CS (Kafka service), Management Service
Blockchain Nodes & ContainersPeer Nodes, Smart Contract Containers,
Membership Services, Ordering Service, REST Proxy
REST APIs for Integrations
Data ServicesObject Store CS
NoSQL DB CS
AdministrationDynamic Configuration,
Monitoring and Troubleshooting
Pre-assembled Managed service Production-ready Public or private cloud
On PremisesPaaS
SaaS
Public Cloud/BMCSIaaS, SaaS, PaaS
REST
gRPCREST
gRPC
Oracle Blockchain Service Architecture
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Manufacturer
Network Setup
28
Dealer A
Dealer B
Dealer C
Dealer D
Channel 2
Channel 1
Channel 4
Using Channels Organizations can only read the ledgers they are granted access to.
Channel 3
• BCS Console: Web UI & REST API for administration, operations and monitoring the blockchain network
• Admin tasks:– Bring up/down blockchain network and
manage nodes (peers, orderers, CA)– Configure network channels and policies– Deploy/instantiate smart-contracts– Add peers, orderers, member organizations– Create channels, edit policies
• Monitoring & troubleshooting:– View network topology– Monitor status of peers, orderers and other
network components– Monitor operations metrics– View ledgers blocks– View log files for troubleshooting
BCS Administration/Operations
Security and Confidentiality• Permissioned Blockchain– Enrolled membership based on network Founder’s authorization– Members exchange X509 certificates
• Access Control via Oracle Cloudgate and Identity Management CS– Transport security via TLS– Admin access and REST API authentication via IdM CS defense-in-depth – Blockchain network messages authenticated via digital signatures– In-transit and at-rest encryption protects transaction messages and stored “world state” & ledger blocks
• Confidentiality Domains within the Blockchain Network– Blockchain subnetted into channels to enable private transactions and maintain segregated ledgers – Channels established by a group of member organizations with restricted access governed by policies
for joining with approval by other members– All transactions sent to a channel can only be endorsed and committed by authorized peer nodes
belonging to the specified channel– The channel’s ledger is only accessible by the nodes of the organizations authorized to join– Member organizations’ nodes join a channel with read-only or read/write permissions
• Build Trusted Business Networks– Simple Provisioning
– Complete Blockchain Platform
– Add Partner Organizations
– Support Hybrid Networks
• Automate with Smart Contracts– Business logic for blockchain
– Event Notifications
– Quickly build and deploy chaincode
– Define Endorsement Policies
• Conduct Private Transactions– Confidentiality domains
– Easily Control Member Access Privileges
– Running chaincode across multiple channels
– Dynamically Create Channels
Oracle Blockchain Cloud Service at a Glance
Integration Accelerators for BCS
REST
REST
gRPCREST
PaaS SaaS
Integration, SOA, Process
Cloud
Java Cloud Service for SaaS
Application Toolkits for Blockchain
Java SDK
Java Cloud
Application Container
Cloud
Node.js SDK
Visual Builder Cloud
API Mgmt Cloud
Content & Experience
Cloud
REST
Events
On Premises
REST
gRPC
BCS Interactions – Smart Contract and Application Developers
• Smart contract developers will create and test business logic on blockchain– Deploy through console or through SDK
– Test through Web Services/REST APIs
• Application developers will develop end-user applications, which execute transactions via deployed smart-contracts
– Client SDK (Java, node.js)
– Web Services/REST APIs
• Developer Cloud provided DevOps tools
Client
SDK
Keys
Application Developers Smart Contract Developer
REST Proxy(HLF SDK)
BCS Console
Blockchain Network
REST
Conclusioni
• Timestamping and anchoring sono applicazioni promettenti, apre scenariinteressanti e promettenti
• Smart contract (The DAO) ??? Rischio ancora elevato
• Smart contract (IFTTT), soluzione possibile
• Accordi istantanei, i contanti su di un “libro mastro”, il set di dati condivisi emigliorare l'automazione non sono facili da ottenere
• Smart contract........
An open network of permissionedblockchains has better chances???
BCS Interactions – Creating Business Network
Ledger X
• Collaborative network of organizations using a common blockchain – Oracle cloud or heterogeneous nodes
• Create a new network or add to an existing network
• Ensure privacy by creating channels with distinct policies and data access spanning multiple orgs
BCS A BCS B BCS C
OrgA
OrgB
OrgC
P P P P P P P
P P P P
Consortium: X (A+B+C); Channel: CH1
Consortium: Y (A+C+D); Channel: CH2
P PLedger Y
O
O
O O
O O
HLF D
OrgC
P P
P
Oracle Public Cloud
On Premises
“Se non siamo leader, oggi siamo visionary per diventare i leader di domani”- Alessandro Ippolito, Technology Sales BU Country leader Oracle Italia