什么是去中心化身份DID

上個月，隨著微軟發(fā)布運(yùn)行在比特幣網(wǎng)絡(luò)上的去中心化身份（Decentralized Identity， DID）網(wǎng)絡(luò)的早期預(yù)覽版、ArcBlock 區(qū)塊基石發(fā)布全球首個全面支持 DID 的數(shù)字加密錢包，DID 正在成為區(qū)塊鏈業(yè)者和用戶關(guān)注熱議的話題。

那么，到底什么是去中心化身份（DID）？它解決什么問題？其大致的實(shí)現(xiàn)原理是什么？本文嘗試用圖文并茂的方式為您作一個簡明的入門介紹。

身份的定義

提到身份，我們自然會想到身份證、戶口本、駕照等一系列證明“你是你”的文件。確實(shí)，在今天的世界，一個人沒有身份就無法擁有銀行賬戶，無法獲得社會福利，無法行使受教育的權(quán)利，更談不上參與政治生活。據(jù)聯(lián)合國 2017 年數(shù)據(jù)統(tǒng)計(jì)，全球有 11 億 1/6 多的人口沒有合法身份，基本與現(xiàn)代社會正常生活絕緣脫節(jié)。

按照國際標(biāo)準(zhǔn)組織的定義，身份是“與某一實(shí)體相關(guān)的屬性集”，而這一實(shí)體可以指人、機(jī)構(gòu)、應(yīng)用或設(shè)備。本文討論的以人和機(jī)構(gòu)為主的身份，其信息則由三個方面構(gòu)成——

屬性： 生理和社會屬性，例如你的出生情況、教育背景、金融借貸歷史、醫(yī)療記錄等；

關(guān)系： 社會關(guān)系，比如你是哪國公民，什么公司的雇員，是誰的親屬朋友；

代理： 受你委托的民事代理如律師、房地產(chǎn)經(jīng)紀(jì)人等，以及你使用的 iPhone 應(yīng)用、云計(jì)算服務(wù)等互聯(lián)網(wǎng)服務(wù)。

同時，身份也是由不同參與方的聲明和可驗(yàn)證聲明等動態(tài)行為形成的——

聲明： 往往是個人或機(jī)構(gòu)對自己身份的聲稱和主張，例如“我叫麥金塔，1984年1月24日出生。”

可驗(yàn)證聲明：

證明： 為聲明提供證據(jù)的某種形式的文件。通常對個人來說是護(hù)照、出生證和公用事業(yè)賬單的復(fù)印件；對于公司來說，則是一堆公司章程、營業(yè)執(zhí)照等注冊文件。

認(rèn)證： 是指第三方根據(jù)他們的記錄來確認(rèn)聲明是真實(shí)的。例如，一所大學(xué)可以證明某人在那里學(xué)習(xí)并獲得了學(xué)位。來自權(quán)威的證明，要比能夠偽造的證明更有說服力。

數(shù)字身份的演變

時至今日，全球有近三分之二的人口連接上網(wǎng)，各種豐富的互聯(lián)網(wǎng)應(yīng)用和服務(wù)通過各種計(jì)算機(jī)設(shè)備將我們的數(shù)字生活和現(xiàn)實(shí)生活融合在一起，并讓我們用以前無法想象的方式與數(shù)以百計(jì)的企業(yè)與機(jī)構(gòu)，數(shù)以千計(jì)的其他個人用戶時時刻刻進(jìn)行互動。在這互動當(dāng)中，連接映射線下本體到線上并由計(jì)算機(jī)自動驗(yàn)證和處理的數(shù)字身份，其便捷和重要性日益凸顯。麥肯錫今年1月發(fā)布的一份關(guān)于數(shù)字身份的研究報告披露：如果普及并正確實(shí)施數(shù)字身份，將有 78% 低收入國家的非正規(guī)從業(yè)人員受益，將有 1100 億小時的時間通過政府服務(wù)、社會保障的精簡節(jié)省出來，產(chǎn)生的經(jīng)濟(jì)價值相當(dāng)于每個典型新興經(jīng)濟(jì)體6%GDP或每個成熟經(jīng)濟(jì)體 3% 的 GDP。

不過，在萬維網(wǎng) 30 年前誕生之初，并沒有在其底層協(xié)議進(jìn)行數(shù)字身份的設(shè)計(jì)，所以有了這幅著名漫畫“在互聯(lián)網(wǎng)上，沒人知道你是一條狗”，它非常生動的描畫出，二十多年前互聯(lián)網(wǎng)剛剛走入尋常百姓家，人們盡享在網(wǎng)上匿名沖浪的快樂，乃至放縱。

最早的數(shù)字身份就是大家耳熟能詳?shù)幕ヂ?lián)網(wǎng)傳統(tǒng)賬號模式。

當(dāng)你使用論壇、社區(qū)、電商、游戲等各種不同的應(yīng)用和服務(wù)時，你必須向這個系統(tǒng)注冊申請一個用戶賬號，然后用 ID 和密碼來登錄使用。實(shí)際上，是你把自己的身份信息提供給了每個服務(wù)商，然后服務(wù)商創(chuàng)建了 ID，然后把這個 ID 借給你用，你所有的數(shù)據(jù)存儲在他們的服務(wù)器上，根據(jù)你簽署同意的用戶協(xié)議，你的 ID 和數(shù)據(jù)法律上也歸屬于服務(wù)提供商。到如今，這一身份模式給用戶體驗(yàn)帶來的問題是：每個應(yīng)用服務(wù)都要創(chuàng)建賬戶，賬戶越來越多，管理這么多賬戶實(shí)在太麻煩了。

因此，產(chǎn)生了第二種數(shù)字身份的模式：一鍵登錄。

與前一種模式不同的是，一鍵登錄是你把數(shù)據(jù)上傳給某一個登錄服務(wù)提供商的中心系統(tǒng)，經(jīng)你授權(quán)，由它把你的數(shù)據(jù)提供給第三方。目前，大家都普遍接受微信、Facebook 等這樣的大平臺提供的賬號 ID 一鍵登錄各種不同的應(yīng)用服務(wù)，使用非常方便。不過，實(shí)踐中，這一數(shù)字身份模式出現(xiàn)的問題大致有以下兩種——

隱私泄露： 全球第一大社交平臺 Facebook 日活躍用戶占世界人口 1/5，許多用戶用 Facebook Connect 登錄許多外部服務(wù)的時候，F(xiàn)acebook 并沒有保護(hù)好用戶隱私，而是把各種各樣社交信息信息全部提供出去，導(dǎo)致僅在去年一年就泄露 8700 萬用戶信息，英國劍橋分析公司未獲授權(quán)收集 5000 萬 Facebook 用戶信息用于精準(zhǔn)投放政治競選廣告，只是最為臭名昭著的一例。

限制封鎖： 微信登錄似乎是個反例。當(dāng)你使用微信登錄任何一個第三方應(yīng)用，不論你怎么授權(quán)，微信提供的信息都極為有限，因?yàn)槲⑿挪幌氚延脩敉扑徒o別人。極端的例子則是徹底封鎖，由于騰訊與今日頭條的競爭進(jìn)入白熱化狀態(tài)，導(dǎo)致用戶無法使用微信賬號登錄今日頭條旗下抖音的服務(wù)（見下圖）。

無論是互聯(lián)網(wǎng)傳統(tǒng)賬戶還是一鍵登錄，這兩種數(shù)字身份，從技術(shù)和法律上，從來不屬于用戶自己。隨著用戶數(shù)據(jù)泄露和濫用的痛點(diǎn)日益凸顯，讓每個人在數(shù)字世界都有權(quán)擁有并控制自己的身份，其數(shù)字身份信息能夠安全存儲并保護(hù)好隱私，成為日益強(qiáng)烈的剛需。

去中心化身份

去中心化身份（DID）利用區(qū)塊鏈技術(shù)實(shí)現(xiàn)讓數(shù)字身份真正為用戶所擁有并支配，就像我們把身份證、護(hù)照、戶口本這些紙質(zhì)文件放在自己家里小心保存，只有在需要的時候再拿出來一樣，不再有任何中間人（即使是 DID 技術(shù)供應(yīng)商）接觸擁有控制用戶的身份和數(shù)據(jù)。

實(shí)現(xiàn)一個用戶能自主創(chuàng)建、完全去中心化的身份管理，是遠(yuǎn)在區(qū)塊鏈誕生之前、堅(jiān)持互聯(lián)網(wǎng)“去中心化”初心的極客和專家一直追求的目標(biāo)。然而，OpenID 等多個解決方案之所以未能奏效，是因?yàn)樵诩夹g(shù)上永遠(yuǎn)繞不開“認(rèn)證中心“，一旦需要這個認(rèn)證中心，就背離了初衷，而且因?yàn)樯婕暗街行牡恼J(rèn)證，不僅存在隱私和安全問題，多個主體間的 DID 也是互相隔斷的。

區(qū)塊鏈的出現(xiàn)，恰恰解決了 DID 最大的問題。區(qū)塊鏈技術(shù)的不可篡改、哈希加密的特性，讓建立標(biāo)識唯一、人皆可信，去中心化運(yùn)維的身份系統(tǒng)得以實(shí)現(xiàn)。今天，無處不在的移動網(wǎng)絡(luò)服務(wù)能夠讓人們一直保持在線狀態(tài)，智能手機(jī)的普及讓幾乎人人都隨身攜有一臺計(jì)算能力強(qiáng)大的電腦，近兩年 O2O 的成熟讓掃描二維碼成為最常見易行的用戶行為。這些互聯(lián)網(wǎng)技術(shù)進(jìn)步和模式演變又讓 DID 能夠?qū)崿F(xiàn)流暢良好的用戶體驗(yàn)。

萬維網(wǎng)聯(lián)盟（W3C）正在主持開發(fā)的去中心化標(biāo)識符（Decentralized Identitfiers，DID）正標(biāo)準(zhǔn)正在成為去中心化身份（DID）技術(shù)實(shí)現(xiàn)標(biāo)準(zhǔn)，目前有微軟、ArcBlock、uPort、lifeID 等企業(yè)或項(xiàng)目提交了各自的 DID 協(xié)議方法。

DIDs 是身份主體相關(guān)、與該主體進(jìn)行可信互動的 URL。DIDs 解析為 DID 文檔 ——描述如何使用該 DID 的簡單文檔。每個 DID 文檔可能至少包含三部分：證明目的、驗(yàn)證方法和服務(wù)端點(diǎn)。證明目的與驗(yàn)證方法相結(jié)合，以提供證明事物的機(jī)制。例如，DID 文檔可以指定特定的驗(yàn)證方法，例如密碼公鑰或化名生物特征協(xié)議，可以用于驗(yàn)證為目的而創(chuàng)建的方法。服務(wù)端點(diǎn)支持與 DID 控制器的可信交互。

這一可驗(yàn)證、“自我主權(quán)”的數(shù)字身份新型標(biāo)識能夠讓身份數(shù)據(jù)始終置于終端用戶的控制之下，并且不把個人身份信息存儲在區(qū)塊鏈上（僅將簽名的哈希值作為證據(jù)），讓用戶成為身份的唯一所有者，從而擺脫任何中心化注冊服務(wù)、身份提供商或證書頒發(fā)機(jī)構(gòu)的控制。為保護(hù)隱私，DID 通常使用零知識證明方法讓聲明信息的披露盡可能的少：比如國外超市酒吧禁止向未成年人賣酒，有了 DID，你只需要提供由相關(guān)部門簽名認(rèn)證的聲明說你已經(jīng)超過 18 歲，而不需要分享你的出生日期。

DID 技術(shù)實(shí)現(xiàn)的去中心化身份的體驗(yàn)和用途與傳統(tǒng)的數(shù)字身份截然不同：首先，你將不只有一個 DID，而是依據(jù)身份場合需要的不同擁有無數(shù)不同的 DID，每一個 DID 都給你一個單獨(dú)的終生加密的私密渠道與其他個人、組織或事物交互溝通，因此更好的選擇你的身份來交流，更好的保護(hù)你的隱私，傳統(tǒng)互聯(lián)網(wǎng)的“人肉”現(xiàn)象將不會再發(fā)生；DID 將不僅用來證明的身份，而且可用來交換可驗(yàn)證的數(shù)字證書；最棒的是，每個 DID 直接登記在區(qū)塊鏈或分布式網(wǎng)絡(luò)上，無需向中心化注冊機(jī)構(gòu)申請。