Self-Sovereign Identity:什么是自我主权身份?

Posted by LB on Mon, Dec 12, 2022

SSI

如今,我们日常生活的许多方面都依赖数字服务,从在线购物到所谓的 Web2.0 中的金融服务。我们使用多个(如果不是数百个)帐户与不同的集中式网络平台(例如社交媒体或电子邮件服务)进行交互。问题是,当我们无法访问我们的帐户时,我们就会失去我们的数字身份,因为网站无法再识别我们是谁。这意味着我们实际上并不拥有我们的身份和数据。这有问题。我们需要收回数据和数字身份的所有权,而自主身份可以实现这一点,为我们进入 Web3.0 铺平道路。

自我主权身份是指一种让个人控制其数字身份的方法。自我主权身份 (SSI) 是一项运动,它声称数字身份应该与一个人的人类身份一样合法,同时所有人都可以访问、保护隐私并且不依赖于单一的政府或公司。

那么究竟什么是自我主权身份呢?自我主权身份是指一种让个人控制其数字身份的方法。为了更好地理解这个概念,让我们看一下两个模型:

Web 2.0 - 集中式模型

我们的电子邮件帐户、网站帐户和社交媒体帐户目前允许数字服务在线识别我们。我们要么为每个平台创建一个帐户,要么使用 Facebook 或 Google 等服务提供商提供的单点登录。无论我们使用哪种方法,我们的数据都由帐户提供商集中存储。这种模式产生了一些严重的问题:

  • 管理困难:我们努力管理众多帐户以访问不同的数字平台。此外,这些平台可以单方面决定关闭我们的帐户,或代表我们管理它。

  • 安全和依赖风险:由于我们的大多数帐户都与我们的电子邮件地址相关联,如果我们的电子邮件访问受到威胁,黑客可以通过“忘记我的密码”方法更改密码来轻松接管使用该电子邮件的其他帐户。例如,黑客可以伪装成数字化的你,并在 Facebook 上欺骗你的家人和朋友。

  • 隐私的脆弱性:如果我们使用的服务被黑客入侵,我们的数据很可能会被泄露,因为它是集中存储的。根据身份盗窃研究中心的数据,到 2021 年 10 月,将近 2.815 亿人受到某种数据泄露的影响。

  • 缺乏数据自主权:我们无法控制我们的数据如何被使用或与其他平台共享。更糟糕的是,这些数据是代表我们的身份。

SSI

Web 3.0 - 去中心化模型

为了克服中心化身份模型的上述所有问题,我们需要引入去中心化身份模型,从而实现自我主权身份。个人与对应方(例如个人、组织或物联网)之间的关系是点对点的。它不再依赖中心化的实体,而是利用去中心化的网络,即区块链技术。这种方法的一些好处:

  • 弹性网络:区块链网络永远不会宕机,而集中式网络由公司运营。
  • 可验证凭证:数据和信息由身份所有者选择的受信任方(例如政府和银行)作为凭证发布。如果授予访问权限,其他节点可以验证链上的凭证。
  • 建立信任:不变性是区块链的本质,它确保了可验证凭证的真实性。例如,同行可以通过链上证明来验证文凭是否由大学颁发。
  • 控制数据:自主身份的所有者可以决定何时共享凭据,以及共享哪些凭据。

自我主权身份是一种以用户为中心的数字身份,我们作为用户可以完全控制我们的在线身份,但它不仅适用于个人,也适用于组织甚至设备 (IoT) 或程序。我们相信在不久的将来,我们都将使用自主身份在数字世界中进行点对点交互,而不是依赖于其他方基于账户的数字身份。

身份类型

SSI

真实身份

人类身份是一个复杂的话题,几个世纪以来哲学家们一直在争论这个问题,而我所说的任何话都无法解决这些争论。我将人的身份简化为两部分,这两部分对于一个人成为社会上有生产力的成员来说都是必不可少的。

  • 内在同一性:这就是我们照镜子时所看到的。这是我们的性别认同、政治认同或文化认同。在我们与最亲密的知己的关系中,这就是我们的身份。它是我们固有的,是身份的最真实形式。

  • 外在身份:这是其他人(通常是机构)识别我们的方式。驾照是最普遍的例子。虽然旨在证明您有资格在公共道路上行驶,但它也是金融机构、机场和酒吧识别您的方式。它之所以有效,是因为机构信任,并且有了驾照,您始终可以得到担保。而且它不仅限于政府、教育、专业和会员凭证都以同样的方式工作。

数字身份

一些最大的社交媒体、博客和其他互联网平台的存在基本上是为了帮助人们表达他们内在的身份。但是(值得注意的是)仍然没有很好的方法来数字化管理我们的外在身份。我们仍然使用纸质文件和塑料卡来访问我们生活中一些最重要的服务,使我们身份的一些最敏感和最重要的方面受到欺诈。令人恐惧的是,在日益数字化的世界中,我们有时必须扫描、通过电子邮件发送或发送这些文件的照片才能完成一些基本的事情,例如获得购房资格或开设银行账户。

自我主权身份

自我主权身份是真实身份与数字世界的结合,最终将使人们的生活更美好。它仍处于起步阶段,要真正使数字身份像现实世界一样合法,还有很长的路要走身份。但最近有几项非常有前途的技术进步代表了巨大的突破,其中最重要的是数字钱包的出现和可验证凭证的标准化,这些共同创造了一条首次将我们的外在身份在线化的途径。

技术组成

SSI

SSI 架构由 W3C 定义的七项关键技术组成。这七项技术是:

  • 去中心化标识符:Decentralized Identifiers
  • 可验证凭证:Verifiable Credentials
  • 去中心化公钥基础设施:Decentralized Public Key Infrastructure
  • 区块链和分布式账本技术:Blockchain and Distributed Ledger Technology
  • 可验证数据注册表:Verifiable Data Registry
  • 代理程序:Agents
  • 数字钱包:Digital Wallets

接下来详细描述每一个组成部分:

去中心化标识符 (DID)

分散标识符 (DID) 是全球唯一标识符,其结构类似于通用唯一标识符 (UUID),但经过修改以启用加密身份/安全性 。第一个区别是没有中央集权机构管理身份。 DID 使用去中心化机制,如去中心化账本技术 (DLT) 。另一个区别是 DID 具有加密属性。密钥对作为 DID 地址的一部分生成,可用于以与数字签名相同的方式证明所有权/身份。 DID Auth 协议是一个质询-响应过程,因此能够取代集中式身份验证系统的用户名/密码结构。区块链的不变性和使用密码证明来确认所有权使 DID 平台成为开发权威身份验证的丰富环境。

可验证凭证

SSI

可验证凭证是在线表示外部身份的标准方式。作为 SSI 钱包中的主要内容,它们通常是您通常保存在实体钱包中的卡片的数字化、防篡改、不可转让、可验证版本。您可以在保护隐私的同时共享来自这些凭据的经过验证的信息(例如在不透露您的地址的情况下共享您的选民选区或在不透露您的 SSN 的情况下共享您的信用评分)。由于凭据是您的,因此您不需要用户名和密码即可访问它们。在未来的状态下,服务的访问可能基于这些凭据。

SSI

在颁发可验证凭证的过程中,Issuer (1) 向 Holder 颁发凭证,Holder 是使用凭证进行身份验证的实体。持有人 (3) 将凭证及其使用模式提交给可验证数据注册表,发行人 (2) 在此处验证凭证的身份和使用模式。持有者 (4) 还在演示文稿中将凭证发送给验证者,验证者 (5) 将身份发送到验证身份和模式的可验证数据注册表。

可验证凭证 (VC) 正是人们所认为的,能够由凭证颁发者验证的凭证。 VC主要分为三个部分;发行人、持有人和注册机构(见图2)。颁发者向注册表定义凭证方案以及向持有人颁发特定证书。持有人将在注册表中注册证书。为完成验证交易,第三方验证者将收到持有者的证书展示,然后与注册中心确认证书的真实性。凭证表示是凭证的“视图”,它被定义为凭证的特定属性,验证者需要查看这些特定属性以确认凭证的真实性。这种有限观点的好处是,演示文稿不需要披露证书中的所有信息,而只需披露持有人和验证者就哪些信息“足以”确认证书的真实性达成一致。

可验证凭证有很多实现线路,目前我所关注的是DID+DPKI模型的方案。

去中心化公钥基础设施 (DPKI)

去中心化公钥基础设施 (DPKI) 是整体去中心化身份验证模型的一部分。虽然 DPKI 与个人身份验证没有直接关系,但它是一个重要的安全系统,SSI 系统依赖它来提供系统/URI 身份验证。如果 PKI 被破坏,则 SSI 环境可能被破坏,从而使整个系统的准确性受到质疑。 DPKI 解决了当前公钥基础设施证书颁发机构 (PKI/CA) 系统的多个漏洞。 DPKI 利用区块链和智能合约提供系统身份确认。

区块链和分布式账本技术 (DLT)

通常所说的区块链是一种分布式账本技术(DLT)。区块链随着比特币的普及而声名狼藉。比特币是基于中本聪 于 2008 年撰写的白皮书的早期加密货币实现。加密货币利用区块链的信任和完整性来管理/记录各方之间的交易。由于区块链的分布式特性,在架构中也提供了可用性。机密性不是依赖于查看所有交易能力的加密货币的问题。 SSI 利用了安全三位一体的所有三个方面;机密性、完整性和可用性。区块链可以在四种配置中实现,其中两个参数有两种设置。四种配置如下:

  • 公开 - 未经许可
  • 公开 - 许可
  • 私人 - 未经许可
  • 私人 - 许可

虽然加密货币通常是公开的 - 无许可的,任何人都可以看到和添加它们,但 SSI 实现通常是公开的 - 允许的,任何人都可以看到,但需要特殊许可才能添加到区块链。 私人 - 许可是能够支持 SSI 中所需的完整性。区块链中的每个区块都包含哈希交易,创建一个不可变区块作为分布式分类账的一部分。

可验证数据注册表

可验证数据注册表管理凭证的生命周期和验证。作为可验证数据注册表的数据库系统可以采用多种形式,驾驶执照、护照和其他政府 ID 数据库是可验证数据注册表的示例。

代理程序

代理是在云中或“边缘”设备(例如移动设备或浏览器)上运行的软件应用程序。代理代表实体访问数字钱包以及执行其他加密操作。代理的好处是通过使用代理提供了更多的隐私。

数字钱包

数字钱包顾名思义:一个安全的数字环境,您可以在其中保存重要的卡片(例如驾照、员工身份证)或货币。就像在现实世界中一样,这个钱包有一些重要的属性:

  • 钱包中的卡是由受信任的实体(即颁发的驾驶执照)提供给您的。

  • 您可以随心所欲地使用这些卡片来证明您的身份或其他特征。

  • 卡片是你的;没有人能把它们带走。但是,为您提供该卡的组织可能会撤销它或让它过期。

  • 未经您的许可,任何人甚至无法查看您钱包中的内容,即使是钱包提供商。

  • 您可以随意切换钱包。如果你找到另一个钱包,你可以相对轻松地将你的卡换到新的。

钱包,无论是实体钱包还是数字钱包,都只是一个容器。它需要有价值的内容,数字钱包持有的“卡片”被称为“可验证凭证”。

商业价值

SSI

自我主权身份对企业也有巨大的影响,在下面列出几个示例:

  • 改进转换:当前的技术迫使公司在保证和转换之间做出权衡。借助 SSI,公司可以消除在银行、保险、医疗保健等高价值环境中即时加入新用户的摩擦,在这些环境中,简单的 CAPTCHA 是不够的。
  • 新融合:额外的信任可以在哪些方面帮助您更好地与利益相关者互动?B2C 案例包括使用数字政府 ID 开立银行账户而无需平均24 天 KYC入职流程的银行、验证军人、教师和学生身份的零售公司,以及介于两者之间的一切。还有很多 B2B 案例,从供应链公司认证工业设施的审计合规性到医疗软件集成以简化保险理赔验证。
  • 验证: 任何时候验证成本高昂或很重要,SSI 都可以提供帮助。尽管每年在身份验证上花费数十亿美元,但仍有数十亿美元因欺诈而损失。SSI 支持更好的身份验证过程,不仅适用于合法身份,还适用于任何特征。
  • 风险:如果您的企业持有密码、社会安全号码、信用卡号码或其他高价值个人身份信息,您将面临数据泄露的风险。SSI 可以让您避免收集、存储、保护和维护异常的个人身份信息,从而降低您的风险。例如,您可以在不收集社保号码的情况下验证信用评分,或者在没有地址的情况下确认选民选区。
  • 合规性:在过去十年中,合规性是第三方支付处理商(如 Stripe 和 PayPal)增长的重要驱动力。同样,GDPR、CCPA和无数其他数据保护法规正在推动 SSI 的采用。

自我主权身份将在全球所有市场释放巨大的宝贵机会,任何行业都将受到其影响。

附录

  1. Self-Sovereign Identity in a World of Authentication: Architecture and Domain Usecases
  2. Compare and Contrast — Federated Identity vs Self-sovereign Identity
  3. Self-Sovereign Identity in a World of Authentication: Architecture and Domain Usecases
  4. https://trinsic.id/what-is-self-sovereign-identity
  5. https://www.onchainid.com/post/what-is-self-sovereign-identity