上個月,隨著微軟發布運行在比特幣網絡上的去中心化身份(Decentralized Identity, DID)網絡的早期預覽版、ArcBlock 區塊基石發布全球首個全面支持 DID 的數字加密錢包,DID 正在成為區塊鏈業者和用戶關注熱議的話題。
那么,到底什么是去中心化身份(DID)?它解決什么問題?其大致的實現原理是什么?本文嘗試用圖文并茂的方式為您作一個簡明的入門介紹。
身份的定義
提到身份,我們自然會想到身份證、戶口本、駕照等一系列證明“你是你”的文件。確實,在今天的世界,一個人沒有身份就無法擁有銀行賬戶,無法獲得社會福利,無法行使受教育的權利,更談不上參與政治生活。據聯合國 2017 年數據統計,全球有 11 億 1/6 多的人口沒有合法身份,基本與現代社會正常生活絕緣脫節。
按照國際標準組織的定義,身份是“與某一實體相關的屬性集”,而這一實體可以指人、機構、應用或設備。本文討論的以人和機構為主的身份,其信息則由三個方面構成——
屬性: 生理和社會屬性,例如你的出生情況、教育背景、金融借貸歷史、醫療記錄等;
關系: 社會關系,比如你是哪國公民,什么公司的雇員,是誰的親屬朋友;
代理: 受你委托的民事代理如律師、房地產經紀人等,以及你使用的 iPhone 應用、云計算服務等互聯網服務。
同時,身份也是由不同參與方的聲明和可驗證聲明等動態行為形成的——
聲明: 往往是個人或機構對自己身份的聲稱和主張,例如“我叫麥金塔,1984年1月24日出生。”
可驗證聲明:
證明: 為聲明提供證據的某種形式的文件。通常對個人來說是護照、出生證和公用事業賬單的復印件;對于公司來說,則是一堆公司章程、營業執照等注冊文件。
認證: 是指第三方根據他們的記錄來確認聲明是真實的。例如,一所大學可以證明某人在那里學習并獲得了學位。來自權威的證明,要比能夠偽造的證明更有說服力。
數字身份的演變
時至今日,全球有近三分之二的人口連接上網,各種豐富的互聯網應用和服務通過各種計算機設備將我們的數字生活和現實生活融合在一起,并讓我們用以前無法想象的方式與數以百計的企業與機構,數以千計的其他個人用戶時時刻刻進行互動。在這互動當中,連接映射線下本體到線上并由計算機自動驗證和處理的數字身份,其便捷和重要性日益凸顯。麥肯錫今年1月發布的一份關于數字身份的研究報告披露:如果普及并正確實施數字身份,將有 78% 低收入國家的非正規從業人員受益,將有 1100 億小時的時間通過政府服務、社會保障的精簡節省出來,產生的經濟價值相當于每個典型新興經濟體6%GDP或每個成熟經濟體 3% 的 GDP。
不過,在萬維網 30 年前誕生之初,并沒有在其底層協議進行數字身份的設計,所以有了這幅著名漫畫“在互聯網上,沒人知道你是一條狗”,它非常生動的描畫出,二十多年前互聯網剛剛走入尋常百姓家,人們盡享在網上匿名沖浪的快樂,乃至放縱。
最早的數字身份就是大家耳熟能詳的互聯網傳統賬號模式。
當你使用論壇、社區、電商、游戲等各種不同的應用和服務時,你必須向這個系統注冊申請一個用戶賬號,然后用 ID 和密碼來登錄使用。實際上,是你把自己的身份信息提供給了每個服務商,然后服務商創建了 ID,然后把這個 ID 借給你用,你所有的數據存儲在他們的服務器上,根據你簽署同意的用戶協議,你的 ID 和數據法律上也歸屬于服務提供商。到如今,這一身份模式給用戶體驗帶來的問題是:每個應用服務都要創建賬戶,賬戶越來越多,管理這么多賬戶實在太麻煩了。
因此,產生了第二種數字身份的模式:一鍵登錄。
與前一種模式不同的是,一鍵登錄是你把數據上傳給某一個登錄服務提供商的中心系統,經你授權,由它把你的數據提供給第三方。目前,大家都普遍接受微信、Facebook 等這樣的大平臺提供的賬號 ID 一鍵登錄各種不同的應用服務,使用非常方便。不過,實踐中,這一數字身份模式出現的問題大致有以下兩種——
隱私泄露: 全球第一大社交平臺 Facebook 日活躍用戶占世界人口 1/5,許多用戶用 Facebook Connect 登錄許多外部服務的時候,Facebook 并沒有保護好用戶隱私,而是把各種各樣社交信息信息全部提供出去,導致僅在去年一年就泄露 8700 萬用戶信息,英國劍橋分析公司未獲授權收集 5000 萬 Facebook 用戶信息用于精準投放政治競選廣告,只是最為臭名昭著的一例。
限制封鎖: 微信登錄似乎是個反例。當你使用微信登錄任何一個第三方應用,不論你怎么授權,微信提供的信息都極為有限,因為微信不想把用戶推送給別人。極端的例子則是徹底封鎖,由于騰訊與今日頭條的競爭進入白熱化狀態,導致用戶無法使用微信賬號登錄今日頭條旗下抖音的服務(見下圖)。
無論是互聯網傳統賬戶還是一鍵登錄,這兩種數字身份,從技術和法律上,從來不屬于用戶自己。隨著用戶數據泄露和濫用的痛點日益凸顯,讓每個人在數字世界都有權擁有并控制自己的身份,其數字身份信息能夠安全存儲并保護好隱私,成為日益強烈的剛需。
去中心化身份
去中心化身份(DID)利用區塊鏈技術實現讓數字身份真正為用戶所擁有并支配,就像我們把身份證、護照、戶口本這些紙質文件放在自己家里小心保存,只有在需要的時候再拿出來一樣,不再有任何中間人(即使是 DID 技術供應商)接觸擁有控制用戶的身份和數據。
實現一個用戶能自主創建、完全去中心化的身份管理,是遠在區塊鏈誕生之前、堅持互聯網“去中心化”初心的極客和專家一直追求的目標。然而,OpenID 等多個解決方案之所以未能奏效,是因為在技術上永遠繞不開“認證中心“,一旦需要這個認證中心,就背離了初衷,而且因為涉及到中心的認證,不僅存在隱私和安全問題,多個主體間的 DID 也是互相隔斷的。
區塊鏈的出現,恰恰解決了 DID 最大的問題。區塊鏈技術的不可篡改、哈希加密的特性,讓建立標識唯一、人皆可信,去中心化運維的身份系統得以實現。今天,無處不在的移動網絡服務能夠讓人們一直保持在線狀態,智能手機的普及讓幾乎人人都隨身攜有一臺計算能力強大的電腦,近兩年 O2O 的成熟讓掃描二維碼成為最常見易行的用戶行為。這些互聯網技術進步和模式演變又讓 DID 能夠實現流暢良好的用戶體驗。
萬維網聯盟(W3C)正在主持開發的去中心化標識符(Decentralized Identitfiers,DID)正標準正在成為去中心化身份(DID)技術實現標準,目前有微軟、ArcBlock、uPort、lifeID 等企業或項目提交了各自的 DID 協議方法。
DIDs 是身份主體相關、與該主體進行可信互動的 URL。DIDs 解析為 DID 文檔 ——描述如何使用該 DID 的簡單文檔。每個 DID 文檔可能至少包含三部分:證明目的、驗證方法和服務端點。證明目的與驗證方法相結合,以提供證明事物的機制。例如,DID 文檔可以指定特定的驗證方法,例如密碼公鑰或化名生物特征協議,可以用于驗證為目的而創建的方法。服務端點支持與 DID 控制器的可信交互。
這一可驗證、“自我主權”的數字身份新型標識能夠讓身份數據始終置于終端用戶的控制之下,并且不把個人身份信息存儲在區塊鏈上(僅將簽名的哈希值作為證據),讓用戶成為身份的唯一所有者,從而擺脫任何中心化注冊服務、身份提供商或證書頒發機構的控制。為保護隱私,DID 通常使用零知識證明方法讓聲明信息的披露盡可能的少:比如國外超市酒吧禁止向未成年人賣酒,有了 DID,你只需要提供由相關部門簽名認證的聲明說你已經超過 18 歲,而不需要分享你的出生日期。
DID 技術實現的去中心化身份的體驗和用途與傳統的數字身份截然不同:首先,你將不只有一個 DID,而是依據身份場合需要的不同擁有無數不同的 DID,每一個 DID 都給你一個單獨的終生加密的私密渠道與其他個人、組織或事物交互溝通,因此更好的選擇你的身份來交流,更好的保護你的隱私,傳統互聯網的“人肉”現象將不會再發生;DID 將不僅用來證明的身份,而且可用來交換可驗證的數字證書;最棒的是,每個 DID 直接登記在區塊鏈或分布式網絡上,無需向中心化注冊機構申請。
評論
查看更多