一文了解 EverID 运行机制

作者：Evelyn Zhu @ Contributor of PermaDAO

审阅：Sandy @ Contributor of PermaDAO

EverID 是 everPay 网络中管理数字资产的身份账户体系，它可以通过 Crypto 钱包地址、邮箱地址和生物识别等多种方式让用户快速创建 everPay 数字资产账户。目前 BETA 版本已经上线，大家时常会对 EverID 如何做到使用邮箱地址或生物识别的方式注册感到好奇，本文将从什么是 EverID，钱包地址的签名机制，基于 FIDO2 认证系统的 EverID 这几个部分解答大家的疑惑。

什么是 EverID

EverID 是 everPay 网络中管理数字资产的身份账户体系，它可以通过 Crypto 钱包地址、邮箱地址和生物识别等多种方式让用户快速创建 everPay 数字资产账户。 EverID 的推出将大幅度降低用户使用门槛，更好地拉近 Web3 与 Web2 之间的距离，让传统网络中的用户轻松地拥有非托管账户并管理自己的资产。

EverID 的账户管理主要有两套机制，一是大家熟悉的基于钱包地址的账户，和其他区块链项目使用钱包的方式一致。二是基于 FIDO 身份验证体系的账户，通过这种方式，用户可以使用邮箱地址或生物识别等多种方式快速创建 everPay 数字资产账户。极大地降低了用户的使用门槛。

接下来我们将从钱包的签名机制开始讲解，到基于 FIDO 的运行机制，希望每一个想要了解更多的朋友，可以通过本文更加深入的认识到 EverID 的运行机制以及它的可靠性。

钱包签名机制

使用区块链产品，钱包似乎是每个用户必备的。那用户使用钱包管理资产的运行机制又是如何的？

具体来说，每个用户在创建钱包时，需要使用钱包软件基于非对称加密算法生成公私钥对，公钥就是用户的钱包地址可以公开，而私钥需要保存在用户的设备或其他安全介质中。其中私钥可以通过 SHA256 算法推导出公钥，但没有办法通过公钥推到出私钥。

用户进行交易时，需要使用私钥对交易进行签名，以保证交易的安全性和真实性。矿工会通过交易签名来验证交易的正确性，只有通过验证的交易才会打包到区块链上。在区块链网络中，其他用户可以通过地址也就是公钥查看用户的交易记录或向用户转账，但只有拥有对应私钥的用户才能完成交易。

为什么需要这种机制呢？非对称加密算法可以保证用户数据和交易的安全性，避免资产被盗或被篡改。拥有私钥的人，就拥有了资产的支配权。

下载钱包 APP 几乎是每一个进入 Web3 朋友的第一步，但也是用户的拦路虎。下载钱包的繁琐操作过程与私钥管理的认知门槛都给用户带来了多重障碍。我们有更简单的管理资产的方式吗？当然有的，那就是基于 FIDO 的账户体系。

基于 FIDO 账户体系的 EverID

FIDO 全称为 Fast Identity Online，是一套身份认证框架协议。可以提高互联网安全性和用户体验，解决常见的用户验证问题。旨在提供更高级、更安全、更便捷的身份验证，直接解决了对传统密码的依赖。使用这些标准实现的身份认证可以大大减少身份盗窃及其他网络攻击的风险，同时还使得用户可以更加轻松地使用他们的设备和应用程序进行身份验证。FIDO 的账户体系可以与各种应用程序和服务进行集成，通过使用生物识别技术（如指纹或面部识别）或物理安全密钥等方式验证用户身份。

2019 年正式发布的 FIDO2，是 FIDO 系列规范的第 2 版。包含CTAP（Client to Authenticator Protocols）和 WebAuthn 两部分。

CTAP：允许通过 USB、NFC 或 BLE 使用外部身份验证器（比如 FIDO 安全密钥，移动设备）在启用 FIDO2 的浏览器和操作系统上进行身份验证，以提供无密码、二次身份验证或多重身份验证体验。
WebAuthn：定义了内置在浏览器和平台中的标准 Web API，以支持 FIDO 身份验证。

EverID 使用了 WebAuthn 帮助用户更加简易、安全地管理资产。

WebAuthn 技术实现机制

在 EverID 使用的 WebAuthn 的架构里面，有四个角色参与其中，他们分别是：

依赖方（Relying Party）：服务提供方，即网站。
用户（User ）：准备注册、登录的用户。
认证器（Authenticator ）：通常指手机或电脑设备内置的生物识别装置或者外置的 USB 硬件设备等，它们负责生成秘钥对并进行非对称加密（签名）。
用户代理（User Agent）：通常指的是浏览器或者用户使用的 APP 应用系统，负责与认证器进行交互。

每一个角色都至关重要，他们之间的相互协作保证了用户的资产安全。

与钱包的生成，签名类似，WebAuthn 也分为注册和认证两个部分。

注册：用户向 everPay（依赖方）申请添加认证器的过程。
认证：用户使用注册过的认证器向 everPay（依赖方）进行身份认证。

接下来我们将分别详细讲述这两部分是如何运行的。

账户初始注册流程

用户第一次使用 everPay 时，无需钱包地址，可以直接注册基于 FIDO 的 EverID 账户。其具体的运行机制如下。

1.在浏览器中打开 everPay 网址注册 EeverID。

2.用户代理（浏览器）发出注册请求到 everPay。

3.everPay 将相关的注册信息（如邮箱地址，账户名称等）返回给用户代理（浏览器）。

4.用户代理（浏览器）收到数据之后调用认证器，请求认证器去创建秘钥对（通行密钥）。

5.认证器（手机或者电脑设备）接收到创建秘钥对的请求之后，会让用户进行生物识别或使用 PIN 码，确认用户在场并同意注册。验证通过之后，认证器会创建一对非对称公私密钥对并存储。

6.认证器创建好秘钥对之后，会把公钥等非私密数据返回给用户代理（浏览器），再由用户代理（浏览器）返回给 everPay (依赖方)。

7.everPay (依赖方)接收到数据之后，进行一系列的检查和校验之后，完成用户注册。

可以看到在这个过程中账户的安全和钱包相似仍是由公私钥对进行控制，其中私钥等私密信息将会储存在认证器的设备当中。更好的是，用户可以不需要额外注册钱包地址进行操作，大大减轻了用户的使用负担。接着我们再一起看看发送交易时是如何验证的。

发起交易的验证流程

用户交易的流程和钱包地址的验证流程相似，主要是签名和验证交易两个部分，其具体的操作机制如下。

1.用户进入 everPay 网站，发起交易。

2.浏览器向 everPay 发出验证请求，everPay 响应用户的交易信息。

3.浏览器把相关的交易信息传递给认证器。

4.认证器接收到请求之后会让用户进行生物识别或 PIN 码验证，并通过在注册时保存的私钥对数据进行签名。

5.认证器把认证的数据和签名返回给浏览器，浏览器再返回给 everPay。

6.everPay 接收到数据，验证之后执行一系列的交易。

为什么需要 EverID

目前，对于普通用户而言，进入加密行业门槛较高，尤其是链上的交互和体验较差，用户需要花费大量的学习成本才能完成钱包的注册，更别说保管助记词，完成链上转账等。这些都成为了阻碍区块链技术大规模应用的瓶颈。EverID 的优势主要有以下几点。

降低用户门槛：用户不再需要像过去一样了解复杂的区块链知识，通过复杂操作备份私钥/助记词。EverID 在通过区块链技术保障资产安全的同时，尽可能简化了繁琐操作过程与认知门槛，只需通过邮箱注册，即可拥有 Web3 账户，让更多传统用户都能体验 Web3 带来的全新数字金融网络。
解决私钥管理负担：在传统数字钱包管理中，用户持有的私钥是唯一的 Web3 身份 ID 和签名方式，然而，很多用户容易将私钥丢失或泄露，从而导致资产损失。EverID 通过使用 WebAuthn 网络身份认证标准，使用可靠的密钥保存技术管理用户创建的身份 ID。从此不必再有私钥管理负担。
更好的用户体验：使用 EverID 可以快速进入 everPay 网络，体验实时无 gas 费的 Web3 转账交易。