上個月,隨著微軟發(fā)布運(yùn)行在比特幣網(wǎng)絡(luò)上的去中心化身份(Decentralized Identity, DID)網(wǎng)絡(luò)的早期預(yù)覽版、ArcBlock 區(qū)塊基石發(fā)布全球首個全面支持 DID 的數(shù)字加密錢包,DID 正在成為區(qū)塊鏈業(yè)者和用戶關(guān)注熱議的話題。
那么,到底什么是去中心化身份(DID)?它解決什么問題?其大致的實(shí)現(xiàn)原理是什么?本文嘗試用圖文并茂的方式為您作一個簡明的入門介紹。
身份的定義
提到身份,我們自然會想到身份證、戶口本、駕照等一系列證明“你是你”的文件。確實(shí),在今天的世界,一個人沒有身份就無法擁有銀行賬戶,無法獲得社會福利,無法行使受教育的權(quán)利,更談不上參與政治生活。據(jù)聯(lián)合國 2017 年數(shù)據(jù)統(tǒng)計(jì),全球有 11 億 1/6 多的人口沒有合法身份,基本與現(xiàn)代社會正常生活絕緣脫節(jié)。
按照國際標(biāo)準(zhǔn)組織的定義,身份是“與某一實(shí)體相關(guān)的屬性集”,而這一實(shí)體可以指人、機(jī)構(gòu)、應(yīng)用或設(shè)備。本文討論的以人和機(jī)構(gòu)為主的身份,其信息則由三個方面構(gòu)成——
屬性: 生理和社會屬性,例如你的出生情況、教育背景、金融借貸歷史、醫(yī)療記錄等;
關(guān)系: 社會關(guān)系,比如你是哪國公民,什么公司的雇員,是誰的親屬朋友;
代理: 受你委托的民事代理如律師、房地產(chǎn)經(jīng)紀(jì)人等,以及你使用的 iPhone 應(yīng)用、云計(jì)算服務(wù)等互聯(lián)網(wǎng)服務(wù)。
同時,身份也是由不同參與方的聲明和可驗(yàn)證聲明等動態(tài)行為形成的——
聲明: 往往是個人或機(jī)構(gòu)對自己身份的聲稱和主張,例如“我叫麥金塔,1984年1月24日出生。”
可驗(yàn)證聲明:
證明: 為聲明提供證據(jù)的某種形式的文件。通常對個人來說是護(hù)照、出生證和公用事業(yè)賬單的復(fù)印件;對于公司來說,則是一堆公司章程、營業(yè)執(zhí)照等注冊文件。
認(rèn)證: 是指第三方根據(jù)他們的記錄來確認(rèn)聲明是真實(shí)的。例如,一所大學(xué)可以證明某人在那里學(xué)習(xí)并獲得了學(xué)位。來自權(quán)威的證明,要比能夠偽造的證明更有說服力。
數(shù)字身份的演變
時至今日,全球有近三分之二的人口連接上網(wǎng),各種豐富的互聯(lián)網(wǎng)應(yīng)用和服務(wù)通過各種計(jì)算機(jī)設(shè)備將我們的數(shù)字生活和現(xiàn)實(shí)生活融合在一起,并讓我們用以前無法想象的方式與數(shù)以百計(jì)的企業(yè)與機(jī)構(gòu),數(shù)以千計(jì)的其他個人用戶時時刻刻進(jìn)行互動。在這互動當(dāng)中,連接映射線下本體到線上并由計(jì)算機(jī)自動驗(yàn)證和處理的數(shù)字身份,其便捷和重要性日益凸顯。麥肯錫今年1月發(fā)布的一份關(guān)于數(shù)字身份的研究報告披露:如果普及并正確實(shí)施數(shù)字身份,將有 78% 低收入國家的非正規(guī)從業(yè)人員受益,將有 1100 億小時的時間通過政府服務(wù)、社會保障的精簡節(jié)省出來,產(chǎn)生的經(jīng)濟(jì)價值相當(dāng)于每個典型新興經(jīng)濟(jì)體6%GDP或每個成熟經(jīng)濟(jì)體 3% 的 GDP。
不過,在萬維網(wǎng) 30 年前誕生之初,并沒有在其底層協(xié)議進(jìn)行數(shù)字身份的設(shè)計(jì),所以有了這幅著名漫畫“在互聯(lián)網(wǎng)上,沒人知道你是一條狗”,它非常生動的描畫出,二十多年前互聯(lián)網(wǎng)剛剛走入尋常百姓家,人們盡享在網(wǎng)上匿名沖浪的快樂,乃至放縱。
最早的數(shù)字身份就是大家耳熟能詳?shù)幕ヂ?lián)網(wǎng)傳統(tǒng)賬號模式。
當(dāng)你使用論壇、社區(qū)、電商、游戲等各種不同的應(yīng)用和服務(wù)時,你必須向這個系統(tǒng)注冊申請一個用戶賬號,然后用 ID 和密碼來登錄使用。實(shí)際上,是你把自己的身份信息提供給了每個服務(wù)商,然后服務(wù)商創(chuàng)建了 ID,然后把這個 ID 借給你用,你所有的數(shù)據(jù)存儲在他們的服務(wù)器上,根據(jù)你簽署同意的用戶協(xié)議,你的 ID 和數(shù)據(jù)法律上也歸屬于服務(wù)提供商。到如今,這一身份模式給用戶體驗(yàn)帶來的問題是:每個應(yīng)用服務(wù)都要創(chuàng)建賬戶,賬戶越來越多,管理這么多賬戶實(shí)在太麻煩了。
因此,產(chǎn)生了第二種數(shù)字身份的模式:一鍵登錄。
與前一種模式不同的是,一鍵登錄是你把數(shù)據(jù)上傳給某一個登錄服務(wù)提供商的中心系統(tǒng),經(jīng)你授權(quán),由它把你的數(shù)據(jù)提供給第三方。目前,大家都普遍接受微信、Facebook 等這樣的大平臺提供的賬號 ID 一鍵登錄各種不同的應(yīng)用服務(wù),使用非常方便。不過,實(shí)踐中,這一數(shù)字身份模式出現(xiàn)的問題大致有以下兩種——
隱私泄露: 全球第一大社交平臺 Facebook 日活躍用戶占世界人口 1/5,許多用戶用 Facebook Connect 登錄許多外部服務(wù)的時候,F(xiàn)acebook 并沒有保護(hù)好用戶隱私,而是把各種各樣社交信息信息全部提供出去,導(dǎo)致僅在去年一年就泄露 8700 萬用戶信息,英國劍橋分析公司未獲授權(quán)收集 5000 萬 Facebook 用戶信息用于精準(zhǔn)投放政治競選廣告,只是最為臭名昭著的一例。
限制封鎖: 微信登錄似乎是個反例。當(dāng)你使用微信登錄任何一個第三方應(yīng)用,不論你怎么授權(quán),微信提供的信息都極為有限,因?yàn)槲⑿挪幌氚延脩敉扑徒o別人。極端的例子則是徹底封鎖,由于騰訊與今日頭條的競爭進(jìn)入白熱化狀態(tài),導(dǎo)致用戶無法使用微信賬號登錄今日頭條旗下抖音的服務(wù)(見下圖)。
無論是互聯(lián)網(wǎng)傳統(tǒng)賬戶還是一鍵登錄,這兩種數(shù)字身份,從技術(shù)和法律上,從來不屬于用戶自己。隨著用戶數(shù)據(jù)泄露和濫用的痛點(diǎn)日益凸顯,讓每個人在數(shù)字世界都有權(quán)擁有并控制自己的身份,其數(shù)字身份信息能夠安全存儲并保護(hù)好隱私,成為日益強(qiáng)烈的剛需。
去中心化身份
去中心化身份(DID)利用區(qū)塊鏈技術(shù)實(shí)現(xiàn)讓數(shù)字身份真正為用戶所擁有并支配,就像我們把身份證、護(hù)照、戶口本這些紙質(zhì)文件放在自己家里小心保存,只有在需要的時候再拿出來一樣,不再有任何中間人(即使是 DID 技術(shù)供應(yīng)商)接觸擁有控制用戶的身份和數(shù)據(jù)。
實(shí)現(xiàn)一個用戶能自主創(chuàng)建、完全去中心化的身份管理,是遠(yuǎn)在區(qū)塊鏈誕生之前、堅(jiān)持互聯(lián)網(wǎng)“去中心化”初心的極客和專家一直追求的目標(biāo)。然而,OpenID 等多個解決方案之所以未能奏效,是因?yàn)樵诩夹g(shù)上永遠(yuǎn)繞不開“認(rèn)證中心“,一旦需要這個認(rèn)證中心,就背離了初衷,而且因?yàn)樯婕暗街行牡恼J(rèn)證,不僅存在隱私和安全問題,多個主體間的 DID 也是互相隔斷的。
區(qū)塊鏈的出現(xiàn),恰恰解決了 DID 最大的問題。區(qū)塊鏈技術(shù)的不可篡改、哈希加密的特性,讓建立標(biāo)識唯一、人皆可信,去中心化運(yùn)維的身份系統(tǒng)得以實(shí)現(xiàn)。今天,無處不在的移動網(wǎng)絡(luò)服務(wù)能夠讓人們一直保持在線狀態(tài),智能手機(jī)的普及讓幾乎人人都隨身攜有一臺計(jì)算能力強(qiáng)大的電腦,近兩年 O2O 的成熟讓掃描二維碼成為最常見易行的用戶行為。這些互聯(lián)網(wǎng)技術(shù)進(jìn)步和模式演變又讓 DID 能夠?qū)崿F(xiàn)流暢良好的用戶體驗(yàn)。
萬維網(wǎng)聯(lián)盟(W3C)正在主持開發(fā)的去中心化標(biāo)識符(Decentralized Identitfiers,DID)正標(biāo)準(zhǔn)正在成為去中心化身份(DID)技術(shù)實(shí)現(xiàn)標(biāo)準(zhǔn),目前有微軟、ArcBlock、uPort、lifeID 等企業(yè)或項(xiàng)目提交了各自的 DID 協(xié)議方法。
DIDs 是身份主體相關(guān)、與該主體進(jìn)行可信互動的 URL。DIDs 解析為 DID 文檔 ——描述如何使用該 DID 的簡單文檔。每個 DID 文檔可能至少包含三部分:證明目的、驗(yàn)證方法和服務(wù)端點(diǎn)。證明目的與驗(yàn)證方法相結(jié)合,以提供證明事物的機(jī)制。例如,DID 文檔可以指定特定的驗(yàn)證方法,例如密碼公鑰或化名生物特征協(xié)議,可以用于驗(yàn)證為目的而創(chuàng)建的方法。服務(wù)端點(diǎn)支持與 DID 控制器的可信交互。
這一可驗(yàn)證、“自我主權(quán)”的數(shù)字身份新型標(biāo)識能夠讓身份數(shù)據(jù)始終置于終端用戶的控制之下,并且不把個人身份信息存儲在區(qū)塊鏈上(僅將簽名的哈希值作為證據(jù)),讓用戶成為身份的唯一所有者,從而擺脫任何中心化注冊服務(wù)、身份提供商或證書頒發(fā)機(jī)構(gòu)的控制。為保護(hù)隱私,DID 通常使用零知識證明方法讓聲明信息的披露盡可能的少:比如國外超市酒吧禁止向未成年人賣酒,有了 DID,你只需要提供由相關(guān)部門簽名認(rèn)證的聲明說你已經(jīng)超過 18 歲,而不需要分享你的出生日期。
DID 技術(shù)實(shí)現(xiàn)的去中心化身份的體驗(yàn)和用途與傳統(tǒng)的數(shù)字身份截然不同:首先,你將不只有一個 DID,而是依據(jù)身份場合需要的不同擁有無數(shù)不同的 DID,每一個 DID 都給你一個單獨(dú)的終生加密的私密渠道與其他個人、組織或事物交互溝通,因此更好的選擇你的身份來交流,更好的保護(hù)你的隱私,傳統(tǒng)互聯(lián)網(wǎng)的“人肉”現(xiàn)象將不會再發(fā)生;DID 將不僅用來證明的身份,而且可用來交換可驗(yàn)證的數(shù)字證書;最棒的是,每個 DID 直接登記在區(qū)塊鏈或分布式網(wǎng)絡(luò)上,無需向中心化注冊機(jī)構(gòu)申請。
評論
查看更多