本文来自:infoQ,作者:季宙栋,星球日报经授权转发,有删减。
为什么我们需要自主主权身份?各国政府和商业公司正在共享海量的信息,从商品的浏览习惯、白天工作的地理位置、晚上睡觉的地方甚至到我们与谁交往的“朋友圈”,所有这些数据都是相互关联的。此外,随着全世界进入移动互联网时代,数字公民身份正在为第三世界居民激活人权和接入全球经济的能力。如果设计和实施得当,自主主权身份在提供这些好处前提下,同时也可以保护个人不受日益增长的隐私泄露的影响,使得个人利益重新归属个人而不是某个企业。首先,我们来看自主主权身份是指什么?身份是人类特有的概念,这是生活在不同国度、不同文化的人们都理解的“我是谁”。随着现代社会发展,国家和企业将驾照、社保卡和其他国家颁发的凭证与身份相混淆;这可能是有问题的,假如一个国家撤销颁发的证书或者即使他只是穿越了国界,一个人就会失去自己的身份,这显然不合理。数字世界中的身份更加棘手。它不但受到中心化控制,同时还十分琐碎,不同互联网领域都有身份的部分信息。随着数字化的深入,区块链提供了重新定义数字身份的可能性,我们终于可以重新控制自己的身份。近年来,这种身份的重新定义已经开始有一个新的名字:自主主权身份。但是,为了理解这个术语,我们需要回顾一下身份技术发展的一些历史:身份的演变
自互联网出现以来,在线身份模型已经历经了四个广泛的阶段:中心化身份,联盟身份,以用户为中心的身份和自主主权身份。第一阶段:中心化身份在互联网早期,中央政府成为数字身份的发起者和认证者。IANA负责确定IP地址有效性,ICANN仲裁域名的有效性。从1995年开始,证书颁发机构开始帮助互联网商业网站证明他们是谁。有一些组织向去中心化更进了一步,创建了层次结构。一个根控制器可以替换二级机构来管理他们自己的层次结构。但是,根仍然具有核心地位-他们只是看上去把权力下放了一部分给二级的认证机构。随着互联网的发展,越来越多的中央集权层出不穷,另外一个问题就显露出来了:我们的网络身份被日益分化,迫使我们在不同的网站上使用不同的身份,当然,这些身份是由这些网站中心化控制的,支付宝没法登陆微信,微信没法登陆亚马逊。当今互联网的数字身份依然是中心化的或者使用oauth做的授权多层次。数字身份由CA、域名注册商和网站拥有,然后随时赋予用户或撤销。然而,过去二十年来,人们也做了大量努力把身份归还给人们自己。插曲:展望未来PGP提出了可能创造自主主权身份的第一个方案。它引入了“信任网络”的概念,它通过允许节点担任公钥的介绍者和验证者来建立对数字身份的信任。任何人都可以在PGP模型中进行验证,这是一个典型的分布式信任管理的例子,但它主要针对电子邮件地址,电邮依赖于中心化的层次结构。由于各种原因,PGP未被广泛采用。其他早期的想法出现在CarlEllison的一篇论文“建立不依赖CA的身份”中,该论文研究了如何创建数字身份。他认为,不管是像PGP这样的点对点系统还是CA证书颁发机构都可以作为定义数字身份的选项。Ellison提出通过在安全信道上交换共享秘密来验证数字身份,这允许用户在不依赖管理机构的情况下控制自己的身份。Ellison也是SPKI/SDSI项目的核心成员。其目标是建立一个更简单的身份证明公共基础设施,以取代复杂的X.509系统。这只是个开始,二十一世纪身份革命的重头戏-自主主权身份还未开始。第二阶段:联盟身份数字身份的下一个重大进步发生在20世纪末,各种商业组织使用一种新形式的在线身份超越了传统的层级制。微软的Passport计划是最早的一个。它设想了“联盟身份”的概念,允许用户在多个站点上使用相同的身份。但是,这使得微软成为联盟的中心,微软和传统中央集权机构拥有一样大的权力。作为回应,Sun公司组织了自由联盟。他们抵制中央集权,希望建立了一个“真正的”联盟,结果却形成了又一个寡头统治,在这个时期,我们看到中央集权的力量现在被分成几个强大的实体。联盟有助于一定程度解决身份割裂的问题,用户可以在多个系统间自由访问。但是,每个单独的网站依然是一个中心,大的体系之间并不互认。第三阶段:以用户为中心的身份增强社交网络ASN为创建下一代互联网提出了新的数字身份标准。在他们的白皮书中,他们建议在互联网的架构中建立“永存的在线身份”。从自主主权身份的角度来看,他们最主要的进步是提出“每个人都有控制自己数字身份的权力”的假设。ASN小组认为Passport和自由联盟无法实现这些目标,因为“基于商业驱动”会主要考虑将信息私有化和留存这些客户。ASN的这些想法成为了很多后续项目的基础。身份共享项目开始在去中心化上开展数字身份工作。他们最重要的贡献是与身份协会共同创建了互联网身份工作室IIW。在过去的十年中,这个工作小组在半年一度的会议上提出了多个去中心化身份的想法。IIW社区针对以服务器为中心的中央认证授权模式提出了一个新名词:以用户为中心的身份。工作组最初的讨论集中在创造一个更好的用户体验,强调把用户放在第一位和以用户为中心。然而,以用户为中心的定义很快扩展到,包括用户希望对他的身份有更多的控制权、去中心化的信任等等。IIW的工作支持了许多创建数字身份的项目,包括OpenID,OpenID2.0,OpenIDConnect,OAuth和FIDO。以用户为中心的方法倾向于关注两个要素:用户授权和互操作性。通过授权和许可,用户可以决定从一个服务到另一个服务共享一个身份。以用户为中心的数字身份社区有更雄心勃勃的愿景,他们打算让用户完全控制自己的数字身份。不幸的是,他们的努力并没有成功。OpenID提供了一个例子。用户理论上可以注册他自己的OpenID,然后他可以自主使用。但是,这有一定技术门槛,所以大部分互联网用户更可能选择一个长期可靠的网站的OpenID来登陆网站。看上去,用户拥有了自主主权身份的优势,但是它可以随时被注册OpenID的提供商剥夺!FacebookConnect在OpenID之后几年发布,吸取了之前的经验教训,提供了更好的用户界面从而大获成功。不幸的是,FacebookConnect更偏离以用户为中心的原始理念。首先,身份供应商只有Facebook。更糟糕的是,Facebook存在随意关闭账户的历史。因此,“以用户为中心”的FacebookConnect可能比OpenID更加脆弱,这一切又回归了中央集权。看到这里我们发现,光以用户为中心是不够的。第四阶段:自主主权身份以用户为中心的设计将中心化身份转化为可互操作的联盟身份,同时还允许用户对如何共享身份进行一定的控制。这是向完全自主控制身份迈出的重要一步,下一步我们需要用户的自主权。这是自主主权身份的核心,它要求用户成为自己身份的支配者,而不是让用户仅参与认证的过程。身份主权第一次被引用发生在2012年2月,开发人员莫克西·马林斯皮克展示了一种解决自主主权身份的方法:使用基于密码学的策略来保护用户的自主权和控制权。RespectNetwork将自主主权身份当做法律政策看待;他们定义了网络成员同意遵守的合同规则和原则。数字身份的Windhover原则、TrustandData和Everynym身份系统提供了更多关于自我主权身份的观点。去年,自主主权身份也进入了国际政策领域。这很大程度上是因为欧洲的难民危机,导致许多人由于从出具证书的国家逃离而缺乏公认的身份。然而,这是一个长期存在的国际问题,由于缺乏国家颁发的证书,外国工人经常被工作地所在的国家滥用,据联合国统计全球没有身份的大约有10亿人口。自主主权身份的重要性正在快速增长,现在是走向自主主权身份时代的时候了。自主主权身份的界定究竟什么是自主主权身份呢?事实是到目前为止还没有共识。本文会提供一些观点:自主主权身份:用户必须是身份管理的中心。这不仅需要在用户同意的情况下实现跨区域身份的互操作性,还要求用户对该数字身份的真实控制,从而创建用户的自主权。要做到这一点,一个自主主权身份必须是全局的、去中心化的。自主主权身份还必须允许普通用户可以提出声明,可能是能力信息、职业信息、学历信息等。它甚至可以包含有关其他人所声称的信息。在创建自主主权身份的过程中,必须小心保护个人权益,防止侵犯人权的超级节点的存在。任何自主主权身份也必须符合一系列指导原则,如下:自主主权身份的十大原则
声音 | 陆金所张义军:需要寻找一个新的机构间合作模式以拓展区块链应用场景:1月11日,中国经营报刊文“区块链应用场景急拓展 合作模式亟待创新”。文章称,陆金所技术架构总经理张义军表示,区块链技术的落地相对较难的主要原因之一,是因为缺乏大型应用场景所需要的上下游,主要在于区块链的去中心、数据共享的特性,需要机构改变原有合作模式、利益分配机制。张义军进一步表示,拓展区块链的应用场景需要一个更为开放、透明的环境,最重要的就是需要寻找一个新的机构间合作模式。[2020/1/11]
金卡梅隆写了最早的“身份法则”,而前述RespectNetwork撰写的政策和W3C可验证声明工作组的FAQ提供了关于数字身份的观点。这些原则用于确保用户控制是自主主权身份的核心。但是,我们也意识到,身份可以是一把双刃剑-既可以用于有益的目的,也可以用于恶意的目的。因此,数字身份必须要平衡好透明度、公平性并且能够保护个人权益。存在性:用户必须是独立存在的,这是任何自主主权身份的核心。可控性:用户必须完全控制他们的身份,依托安全算法确保身份及其有关声明的持续有效性、可读性。可访问:用户必须有权访问自己的数据。用户能够轻松地查询其身份的所有声明和相关数据。透明度:系统和算法必须是透明的。用于管理和操作身份网络的系统必须是公开的,包括它们包含的功能和治理模型。算法应该是免费的、开源的,任何人都能开放使用。持久性:身份必须是永远存在的或者至少持续到用户期望的期限为止。可能私钥需要更换或者数据需要更改,但关联的数字身份应该保持存在。在快速发展的互联网世界中,这个目标可能并不完全合理,所以至少让数字身份维持到新的认证体系来临之前。可移植性:关于身份的信息和服务必须是可迁移的。数字身份不能仅由一个单一的第三方实体拥有,即使这是一个值得信赖的实体,希望能够为用户的最佳利益行事。问题是实体可能会消失-而且在互联网上,任何实体都可能最终会消失。政权可能会改变,用户可能会迁往不同的司法管辖区。可迁移的数字身份确保用户无论任何情况都可以保持对自己身份的控制。互操作性:数字身份应尽可能被广泛使用。如果他们只在有限的领域工作,身份是没有多大价值的。共识:必须经过用户同意才能使用他们的身份。数字身份系统都是围绕共享该身份及其声明而建立的,互操作会增加系统共享的数量。但是,共享数据的前提是用户授权同意。非身份持有者提出的声明必须经过用户同意才能生效。最小化:声明信息的披露必须尽可能的少。当披露数据时,披露的内容应该是满足验证要求的最小信息。例如,如果只要求一个最低年龄,那么确切的年龄就不应该被公开,如果只要求一个年龄,那么不应该公开更精确的出生日期。这个原则可以通过选择性披露、范围证明和零知识证明技术来支持,我们所做的就是尽可能地保护隐私。保护:保护用户的权利。当身份网络的需求和个人用户的权利存在冲突时,系统可能会犯错误。为了防范这一点,身份认证必须通过独立、共识、透明的算法以去中心化方式运行。结论数字身份的概念已经诞生几十年,从中心化身份到联盟身份、以用户为中心的身份到自主主权身份。然而,即使在今天,自主主权身份究竟是什么,它应该参考什么规则,了解的人并不多。区块链正在激活这个概念的再一次革命,遵循一套简单的定义和一套共识的原则,引用自联合国ID2020,全球依然有近5分之一人口没有身份,区块链/分布式账本技术系统的特性天然与自主主权身份相匹配,并且已纳入ISOTC307的工作范畴。感谢大家阅读数字身份的发展简史,希望不久的将来,数字化新时代能够真正跨越国界实现全人类分布式大协作。
动态 | 农行贵州分行积极探索将“区块链”技术与农地产权改革有效融合进行探索创新:1月24日,农民日报刊文《农村产权制度改革的“金融答卷”》,文章指出,为进一步提升服务农村产权改革的效率,农行贵州分行积极探索将“区块链”技术与农地产权改革有效融合进行探索创新。历经与当地人行、政府等部门多次沟通,通过筛选客户、与政府平台对接、共建区块链节点等方式,最终成功研发投产农权农地抵押交易系统。[2019/1/24]
行情 | 美股区块链概念股仅一股上涨:今日美股股指全线低开,区块链概念股仅一股上涨。柯达下跌1.11%,埃森哲下跌1.44%,overstock.com下跌1.26%;Riot Blockchain上涨6.71%,Marathon Patent下跌7.69%,Square下跌1.12%。[2018/12/28]
声音 | 百度李丰:人们普遍高估了区块链的短期状态:据火星财经消息,李丰在今日举办的人民网区块链秋季论坛上表示,当前人们普遍高估了区块链行业的短期状态,区块链2.0的问题还没有解决,遑论3.0。区块链技术跟产业的融合目前有难度,每个行业的痛点和诉求点不同,不能拿着锤子找钉子。区块链行业需要复合型的人才。短期出现爆款应用很难。[2018/10/23]
区块链概念回调:12月25日,沪指低开0.03%,深证成指高开0.07%,创业板指低开0.02%。区块链、人工智能、国产软件等板块跌幅居前。[2017/12/25]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。