人,總以某個身份出現。
身份是人類特有的概念,是生活在不同國度、不同文化的人們都理解的“我是誰”。“身份”中的“份”,包含“名分”的意思,也就是出身、階層、職業等,“身份”可被譯為status,即地位、狀態。而我們日常生活中使用頻繁的卻是identity,即“同一性”。
通常身份證中包含唯一的證件號碼,以及相關屬性,比如姓名、籍貫、出生日期等。當你出示身份證時,證明的我是政府檔案中的“我”,也就是證明我與政府檔案的關聯性和同一性。
但國家將身份證、駕照、社保卡和其他國家頒發的憑證與身份相混淆,假如一個國家撤銷頒發的證書或者即使他只是穿越了國界,一個人就會失去自己的身份,這顯然不合理。同時,數字世界中的身份更加棘手。網際網路發展至今,仍然存在一些無法解決的問題,比如管理碎片化,使用者需要不斷重複註冊賬號或賬戶,對於使用者隱私資料的使用則依賴第三方服務商的能力與自律。
隨著數字化的深入,區塊鏈為重新定義數字身份帶來了可能性。近年來,“自主主權身份”概念成為區塊鏈數字身份領域的一大熱詞,該概念是由美國技術專家克里斯托弗·艾倫(Christopher Allen)於2016年提出。為了更深刻地理解自主身份,我們需要翻開身份技術發展的時間簡史。
第一階段:中心化身份(由單一機構進行認證和管理)
在網際網路早期,政府成為數字身份的唯一發起者和認證者。IANA (The Internet Assigned Numbers Authority, 網際網路數字分配機構)負責確定IP地址有效性,之後由ICANN(Internet Corporation for Assigned Names and Numbers, 網際網路名稱與數字地址分配機構)負責行使IANA職能,仲裁域名的有效性。從1995年開始,CA (Certificate Authority, 證書頒發機構)開始幫助網際網路商業網站證明他們是誰。
如果申請者想得到一份屬於自己的證書,應先向CA提出申請,在CA判明申請者的身份後,便為他分配一個公鑰,並且CA將該公鑰與申請者的身份資訊綁在一起,併為之簽字後,便形成證書發給申請者。如果一個申請者想鑑別另一個證書的真偽,他就用CA的公鑰對證書上的簽字進行驗證,一旦驗證透過,該證書就被認為是有效的。可見,證書就是使用者在網上的電子個人身份證,CA相當於網上公安局,專門發放、驗證身份證。
隨著網際網路的發展,越來越多的中央集權層出不窮,另外一個問題就顯露出來:我們的網路身份被日益分化,迫使我們在不同的網站上使用不同的身份,這些身份都是由網站中心化控制的,但各自卻封閉嚴重無法打通。
當今網際網路的數字身份依然是中心化的,或者使用OAuth做的授權多層次。數字身份由CA、域名註冊商和網站擁有,可以隨時賦予使用者或撤銷。然而,人們也做了大量努力去奪回原本屬於自己的身份控制權。
第二階段:聯盟身份(由多個機構或聯盟進行管理)
20世紀末,數字身份發生了重大進步,商業組織開始使用一種超越傳統層級制的線上身份。在所有線上身份服務中,微軟Passport是最早的一個,該服務屬於微軟.Net戰略一部分,設想了“聯盟身份”的概念,允許使用者透過一次登入就可以獲得訪問多個網站的許可權。但是,這使得微軟成為聯盟的中心,讓微軟和傳統中央集權機構擁有一樣大的權力。
作為迴應,SUN於2001年主導組織了“自由聯盟”(Liberty Alliance),可以讓企業確保網站上身份資料和賬號的安全,併為消費者提供不同網站的單一登入功能,減少重複輸入使用者資訊的動作。他們希望建立了一個真正的聯盟,結果卻形成了又一個新的寡頭統治。這個時期,中央集權的力量被分割成了由幾個強勢巨頭組成聯盟。
雖然聯盟形式有助於一定程度解決身份割裂的問題,讓使用者可以在多個系統間自由訪問,但每個單獨的網站依然是一箇中心,大的體系之間並不互認,這些聯盟其實只是巨頭之間為了相互對抗而結成的組織。
第三階段:以使用者為中心的身份(跨個人或機構進行管理)
ASN(Augmented Social Network)為建立下一代網際網路提出了新的數字身份標準,他們建議在網際網路架構中建立“永存的線上身份”。ASN主要有三個目標:1)建立一個網際網路範圍的系統,使跨機構、地理和社會邊界的人們更有效地共享知識;2)建立一種持久的線上身份的形式;3)加強公民在社羣中的聯絡和自我組織能力,以便更好地參與民主治理的程序。實際上,ASN為資訊時代提出了一種“線上公民身份”的形式。
從自主主權身份角度來看,ASN最主要的進步是提出了“每個人都有控制自己數字身份權力”的假設。ASN認為,Passport和自由聯盟無法實現這些目標,因為“基於商業驅動”會主要考慮將資訊私有化和留存這些客戶,ASN的這些想法成為了很多後續專案的基礎。
2005年,Sovrin基金會主席Windley與作家Doc Searls和身份顧問Kaliya Hamlin共同建立了網際網路身份工作室(Internet Identity Workshop,簡稱IIW)。IIW社羣針對以伺服器為中心的中央認證授權模式提出了一個新名詞:以使用者為中心的身份。工作組最初的討論集中在創造一個更好的使用者體驗,強調把使用者放在第一位和以使用者為中心。然而,以使用者為中心的定義很快進行了擴充套件,包括使用者希望對他的身份擁有更多控制權、去中心化的信任等等。
IIW支援了許多建立數字身份的專案,包括 OpenID(2005)、OpenID 2.0(2006)、OpenID Connect(2014)、OAuth(2010)和FIDO(2013)。以使用者為中心的方法傾向於關注兩個要素:使用者授權和互操作性。透過授權和許可,使用者可以決定將身份從一個服務共享到另一個服務。
以使用者為中心的數字身份社羣計劃讓使用者完全控制自己的身份,但沒有取得成功。以OpenID為例,理論上使用者可以註冊自己的OpenID並自主使用,但其中也有一定技術門檻,所以大部分網際網路使用者更願意選擇一個長期可靠的網站註冊OpenID來登陸網站。看上去使用者擁有了自主主權身份,但它卻可以隨時被註冊OpenID的提供商剝奪。
在OpenID之後,Facebook吸取了之前的經驗教訓,於2008 年正式推出Facebook Connect服務。透過Facebook Connect,會員可以在網路上使用Facebook的身份驗證資料,包括檔案照片、名稱、照片、朋友、群組、活動和其他資訊。例如Facebook的個人簡介內容,可出現在其他社交網站,而Facebook的活動表,理論上也可連結外部的活動和邀請服務。
不幸的是,Facebook Connect更偏離了以使用者為中心的初衷和理念。這一服務導致Facebook成為唯一的身份供應商,並且Facebook還存在隨意關閉賬戶的歷史。因此,“以使用者為中心”的Facebook Connect要比OpenID更加脆弱,讓一切又重新回到了中央集權的老路上。
第四階段:自主主權身份(個人完全控制)
以使用者為中心的設計將中心化身份轉化為可互操作的聯盟身份,同時還允許使用者對身份共享進行一定控制,這是向完全的自主身份邁出的重要一步。下一步我們需要使用者完全掌控自主權,這是主權身份的核心,它要求使用者成為自主身份的支配者,而不僅是讓使用者參與認證的過程。
2012年2月,自主身份首次被引用。開發人員莫克西·馬林斯佩克(Moxie Marlinspike)展示了一種解決自主主權身份的方法:使用基於密碼學的策略來保護使用者的自主權和控制權,並呼籲廢除現行國家登記制度所強加的“身份奴隸制”。位於華盛頓的<a href="/project/R/" target="_blank"">Respect Network將自主主權身份等同於法律政策來看待,他們定義了網路成員同意遵守的合同規則和原則。此外,Windhover的數字身份、信任機制和資料管理規則以及uPort、Evernym等身份系統提供了更多關於自我主權身份的觀點。
去年,自主身份更多地進入國際政策領域。比如ID2020計劃,致力於幫助個人和難民獲得基本的服務,包括在新居住地上獲得醫療保健和教育服務,這將是一個長期的過程。如今,區塊鏈數字身份市場規模的快速增長,標誌著自主身份時代正式到來。
從中心化身份、聯盟身份、以使用者為中心的身份到自主主權身份,數字身份的概念自誕生至今已經幾十年,雖然它與我們生活息息相關,但主權身份究竟是什麼?它應該參考怎樣的標準和規則?我們應該如何保護它?真正知道的人卻並不多。
幸運的是,越來越多的數字身份公司開始在數字身份的普及和推廣方面做出努力,相信在不遠的未來,它必將成為連結人們鏈上和鏈下生活的橋樑,並被普通民眾所熟知和了解。
