1.1 身份和数字身份
身份、身份识别、身份认证、身份授权是各类传统服务系统中的核心要素之一,是打开服务系统大门的钥匙,服务系统只有在确认了用户身份后,才能进行授权并提供相应服务。
身份要解决的根本问题是:我是谁?如何证明我是谁?
身份系统具有区分个体和证明资格[1]两大功能,也就是要在个体和行动之间实现一个绑定操作。例如,在校生Bob可以进教室听课。如果证明当前的个体是Bob,同时证明Bob是在校生,那么Bob就可以进教室听课。
在数字时代,身份解决方案随着数字技术的发展持续升级,传统的纸质身份证明将被数字化的身份替代,简称数字身份。
数字身份既能够让世界上最贫穷的人群受益,也能够让弱势群体更容易获得教育、卫生、金融等关键社会服务。世界银行2017年度报告中提到的全球11亿没有身份证明的人可以通过获得数字身份来改变生活。
1.1.1 概念
1.身份(Identity)
《韦氏词典》(Merriam-Webster)这样解释身份:the distinguishing character or personality of an individual,即个人的显著性格或个性。
身份是“与实体相关的属性集”,一个实体可以有多个身份,多个实体也可以具有相同的身份[1]。
乔·安德里厄(Joe Andrieu)认为,身份是指“我们如何识别、记住和回应另一个实体(Entity)”[2]。
这里的实体不仅指人类个体,任何物体甚至游戏中的装备都可以是实体并拥有身份。在物联网时代,不限于自然人、法人、组织、机构,还包括各种物体和抽象关系等,都具备了一定的人格特征,即以独立个体的身份与其他个体进行交互。在数字空间中,身份可以被赋予人类、自然物质和数字实体等。在物联网中,物体(如工厂设备、游戏中的人物或装备等)有了唯一身份后,就可以更有效地“沟通”,使数据质量有所提升,也更便于交易。
在日常生活中,常见的区分、验证个体身份的方法有如下几种。
第一种,根据个体与生俱来的天然独一特征区分,如生物指纹、虹膜、DNA、长相等。
第二种,根据个人相对独特的内容区分,如生日、住址、爱好、童年所在地、喜欢的人、毕业院校、昵称等。
第三种,根据个人持有的独特物品来区分,如工作证、门票、机票、智能卡、个人电话、会员卡、信件等。
一般来说,身份包含声明、证明和验证3个部分。
声明(Claim、Assertion)是由个人、企业或机构等发起的关于自主身份和资格的描述。例如,“我叫Bob,出生于2001年8月23日(在2019年9月,我已年满18周岁)。2019年,我被EU(Example University,示例大学)录取,录取通知书编号是871395”。
证明(Proof、Certificate)是某种形式的文件,为声明提供证据。例如,在通常情况下,Bob 的出生证、身份证、护照、驾照等权威资料都可以证明“Bob出生于2001年8月23日”。
验证(Verify、Authenticate)是指第三方根据自己的需求确认某个主体的声明是真实有效的。例如,M大学招生处需要验证Bob持有的护照是指定政府机构发布的且在有效期内,并且 M 大学的录取通知书是真实有效的。可以看出,对发证机关来说,实时验证是一个长期负担,相关资料需要长时间保留并随时提供验证服务。
再看一个验证场景,金融机构需要最大限度地了解客户的最新资料以便检查其资格和信用变化情况。在数字化普及之前,证明资料通常是以图片和纸质形式保存的非结构化数据,这意味着银行工作人员必须通过人工提取相关数据,规范化后再输入系统进行存储和处理。即使借助各类辅助工具,这也是一项容易出错的繁重且枯燥的工作。
某些形式的证据(如原始文件的复印件)很容易被伪造,这意味着机构必须采取额外的步骤(如使用专业鉴别系统、聘请专业鉴别人士、增加公证环节等)来证明资料的真实性和有效性,这必然导致更多的费用投入。在验证过程中增加这些费用昂贵、专业、耗时且枯燥的工作环节,也只是为了防范占比极少的作弊行为。
在传统身份系统设计过程中,要重点关注的个人身份信息(Personally Identifiable Information,PII),其要点如下[3]。
(1)个人身份信息使用数据确认身份。
(2)敏感的个人身份信息包括全名、社会统一号码(如居民身份证号码)、驾照、财务信息和医疗记录等。
(3)非敏感的个人身份信息可从公共来源轻松访问,如邮政编码、民族、性别和出生日期等。
(4)护照包含个人身份信息。
(5)社交媒体网站要求提交的信息被视为非敏感的个人身份信息。
在实际应用中,可将个人身份信息定义为允许直接或间接推断个人身份的任何信息。
敏感的个人数据需要更严格的处理准则,因为如果敏感的个人数据泄露,个人的风险会增加。以加密或密码保护的格式丢失的敏感个人身份信息也可能成为隐私事件。例如,如果加密或受密码保护的敏感个人身份信息,以及用于访问信息的“密钥”或密码被发送、展示给没有必要知道这些信息的人或个人电子邮件,这将被视为隐私事件。
2.数字身份(Digital Identity,Identity of Digital Subject)
数字身份是现实世界中的事物(对象、实体、关系等)身份在数字世界中的映射与延伸,是一个数字主体(Digital Subject)对自己或另一个数字主体提出的一组声明。其中,数字主体是正在处理的数字领域中的具体人或物;声明(Claim)是对某些事情的真实性的断言或判断,通常是有争议或有疑问的[4]。
数字身份是实体社会中的自然人身份在数字空间的映射,是能代表数字主体身份属性特征集合的标记,在一定范围内用于唯一标记该数字主体,并且将之与其他数字主体区分[1]。
在数字世界中,通过数字身份将数字主体可识别的部分刻画出来,把复杂的群体分为可单独处理的数字主体,每个数字主体的关键属性和关系都赋予实际值,从而为抽象的概念赋予了一个个实在的生命和实例,让数字世界鲜活起来。
对互联网来说,数字身份的特殊意义在于弥补当年互联网架构设计中缺少身份层的“设计缺陷”。如无特别说明,本书中所说的“身份”等同于“数字身份”。
3.卡梅伦身份七定律
2005年,金·卡梅伦(Kim Cameron)提出了身份七定律,试图通过定义一个统一身份元系统(Unifying Identity Metasystem),为互联网提供身份层[4]。卡梅伦身份七定律成为构建数字身份系统的基石,其主要内容如下。
(1)用户的控制和同意(User Control and Consent)。
身份技术支持系统必须仅显示经用户同意的用于识别用户身份的信息。该系统必须赢得用户的信任。赢得这种信任需要一个整体的承诺,首先,必须通过方便和简单的方法来吸引人;其次,必须明确用户能够控制使用哪些数字身份,以及发布哪些信息;最后,系统必须保护用户,防止用户被诈骗、跟踪等。
(2)受限用途的最小披露(Minimal Disclosure for a Constrained Use)。
披露最少的识别信息并最大限度地限制其使用的解决方案是最稳定的长期解决方案。缺陷不可避免,为了降低风险,请求身份信息时应基于“知应知、留应留”的原则。身份识别信息在聚合的同时也聚合了风险,这意味着,若要最大限度地降低风险,就要最大限度地减少信息聚合。
(3)正当理由的当事人(Justifiable Parties)。
数字身份系统的设计必须使身份信息的披露仅限于给定的身份关系中具有必要和合理地位的各方。身份系统必须让其用户在共享信息时意识到与其进行交互的一方或多方。正当理由要求既适用于披露信息的主体,也适用于信息的依赖方,中介机构也面临建立信任结构的问题。这条定律的目的不是表明可能性的局限,而是概括我们必须意识到的动态。披露信息的每一方都必须向披露信息方提供有关信息使用的政策声明。
身份交互当事人及身份信息流动示例如图1-1所示。
(4)定向的身份(Directed Identity)。
通用身份系统必须支持供公共实体使用的“全向”标识符和供私有实体使用的“单向”标识符,从而发现与防止不必要的关联并处理释放。技术身份始终相对于某些其他身份或一组身份进行断言,也可以说身份是有方向的向量(Vector),而不是单一维度的标量(Scalar)。例如,护照阅读器是公共设备,但护照应该只回应受信任的阅读器,而不应向任何非法阅读器发出信号。
图1-1 身份交互当事人及身份信息流动示例[5]
(5)运营商和技术的多元化(Pluralism of Operators and Technologies)。
通用身份系统必须引导并实现由多个身份运营商运营的多种身份技术的互通。当涉及数字身份时,这不仅是一个由不同方(包括个人本身)运行的身份运营商的问题,而且是拥有提供不同(甚至相互矛盾)特征的身份系统的问题。一个通用身份系统必须包含差异化,认识到每个实体在不同的背景下可能同时是公民、员工、客户、虚拟角色等身份,这意味着在统一身份元系统中必须存在不同的身份系统。这就需要一个简单的封装协议(一种共识并传输事物的方式),还需要一种通过统一的用户体验来显示信息的方法,该体验允许个人和组织在进行日常活动时选择适当的身份运营商和功能。统一身份元系统不能是另一个整体式组件,它必须是多中心的,也是多态的(Polymorphic,以不同的形式存在),这将促使身份生态出现、进化和自主组织。
(6)人与人的融合(Human Integration)。
统一身份元系统必须将用户定义为分布式系统的一个组件,通过明确的人机通信机制进行集成,并且提供针对身份攻击的保护。身份系统必须扩展到人类用户并整合在一起,用户绝对不希望在弄清楚与谁交谈或要透露哪些个人身份信息时出现意想不到的后果。仪式(Ceremony)用来描述跨越人类和控制论系统组件混合网络的交互——从Web服务器到人脑的完整通道。仪式超越了网络协议,以确保与用户通信的完整性。这个概念会深刻地改变用户的体验,使其变得可预测和明确,以便做出明智的决策。由于身份系统必须在所有平台上工作,所以它必须在所有平台上都是安全的,其安全属性既不能基于晦涩难懂、位于底层的平台,也不能使用罕见的软件或低采用率的技术来实现。典型案例如飞机的驾驶舱与空中交通管制之间的实时对话,各方都确切地知道塔台和飞机的期望,因此,即使存在大量的无线电噪声,飞行员和塔台也很容易挑选出通信的确切内容,也就是说,通道中的有限符号意味着通信具有非常高的可靠性。我们需要同样的有限符号和高度可预测的仪式来交换身份信息,需要注意,仪式不是“任何感觉良好的东西”,它是预先确定的。
(7)跨上下文的一致体验(Consistent Experience Across Contexts)。
统一身份元系统必须保证其用户获得简单、一致的体验,同时通过多个运算符和技术实现上下文分离。上下文身份是由雇主颁发的企业内的公共合作身份、由金融机构签发的信用卡身份、由政府颁发的公民身份等。为了实现这一目标,我们必须将数字身份“具象化”,也就是将它们转换成用户可以在界面上看到的“东西”,以方便添加、删除、选择和共享。我们必须对数字身份做个人计算机界面上代表文件夹和文档的统一图标和统一列表同样的事情。不同的依赖方需要不同类型的数字身份,单一依赖方往往希望可以接受一种以上的身份;而用户则希望了解他或她的选项,并且为上下文选择最佳身份。另外,用户体验必须防止用户同意中产生歧义,让用户理解所涉及的各方及其建议的用途。这些选项需要保持一致和明确,只有保持跨上下文的一致性,才能与人类系统组件以明确的通信方式完成此操作。
互联网巨头企业早已着手抢占身份领域的市场。谷歌和苹果等公司已经率先将生物识别技术作为一种身份认证形式,谷歌购买了虹膜扫描隐形眼镜的专利。自2013年推出Touch ID以来,苹果公司一直使用指纹身份验证。在连接终端设备和指纹扫描仪、隐形眼镜、面部识别设备之前,微软的身份概念自早期的微软Passport以来已经取得了重大进展[6]。
1.1.2 发展历史
克里斯托弗·艾伦(Christopher Allen)认为数字身份的发展经历了中心化身份(Centralized Identity)、联盟身份(Federated Identity)、以用户为中心的身份(User-Centric Identity)和自主主权身份(Self-Sovereign Identity)[6] 4个阶段。
如果简单一点的话,数字身份也可以划分为中心化身份(Centralized Identity)、联盟身份(Federated Identity)和分布式身份(Decentralized Identity)3个阶段。
联盟身份和以用户为中心的身份都是一种由中心化向非中心化过渡的身份,因为身份的掌控权还在某些中心化机构而不是分散在身份主体手中。由此可以更简单地将数字身份的发展分为中心化身份阶段和去中心化身份阶段两个阶段。
互联网从开始就注定没有哪个公司或身份机构可以掌控全部互联网用户的身份。
1.数字身份1.0:中心化身份
中心化身份的特点是,多个单一机构分散管理,结果导致数据过分集中。
典型的中心化身份机构包括IANA、ICANN、CA等颁发机构。
在互联网早期,权威机构成为数字身份的发起者和认证者。其中,互联网号码分配机构(Internet Assigned Numbers Authority,IANA)是为互联网协议分配唯一参数的集中协调机构。IANA由互联网协会(Internet Society,ISOC)特许,是分配和协调众多互联网协议参数使用的信息交换所[7]。
另一个机构互联网名称与数字地址分配机构(Internet Corporation for Assigned Names and Numbers,ICANN)的职能是仲裁域名。
从1995年开始,证书颁发机构(Certificate Authority,CA)开始帮助互联网商业网站证明“我是谁”。CA是一种公司或组织,它通过颁发被称为数字证书的电子文档来验证实体(如网站、电子邮件地址、公司或个人)的身份,并且将其绑定到加密密钥[8]。
数字证书能提供如下功能。
(1)身份验证。通过充当凭证来验证颁发给它的实体的身份。
(2)加密。通过对传输内容进行加密,以通过不安全的网络(如互联网)进行安全通信。
(3)防篡改。传输使用证书签名的文档以确保文档内容的完整性。如果在传输过程中内容被第三方篡改,则可以使用签名技术检测出被更改的状态。
IANA确定IP地址的有效性,ICANN确定域名的有效性,CA证明身份的真实性,这都是典型的中心化身份管理模式。
在互联网和移动互联网发展成熟后,各大型互联网公司均储备了海量用户,这些用户的身份信息存储在互联网公司的服务器上。这种中心化的存储与使用带来用户隐私安全和系统间互通障碍两大问题。
英国信息监管局(Information Commissioner’s Office,ICO)的伊丽莎白·德纳姆(Elizabeth Denham)表示:“公民个人信息数据是极其私密的。当受委托的组织未能保护其客户数据免受损失、损坏,或者数据被盗时,客户的潜在损失更大。个人数据具有真正的价值,因此组织有法律义务确保其安全。”[9]
2014年,学者亚历山大·科根(Aleksandr Kogan)和他的公司Global Science Research创建了一个名为“这是你的数字生活”的App,用户在进行心理测试后可以拿到酬劳。该 App 在收集心理测试数据的同时,还收集了用户的 Facebook朋友数据。大约27万个拿了小钱的用户,自愿把个人信息交给亚历山大·科根,而他们的5000万个好友并不知道自己的信息被下载,但Facebook知道,并且授权了亚历山大·科根。通过这种方式,5000万个Facebook用户的个人资料被挖掘出来。亚历山大·科根随后与剑桥分析(Cambridge Analytica)分享了数据,剑桥分析构建了一个软件解决方案,以帮助影响各类选举中参与者的选择。这就是著名的剑桥分析丑闻事件[10]。
2020年8月,淘宝(中国)软件有限公司报警称,2020年7月6日至13日,有黑客通过 mtop 订单评价接口绕过平台风控批量爬取加密数据。这期间平均每天的爬取数量为500万条,爬取内容包括买家用户昵称、用户评价内容等敏感字段。后经司法鉴定,犯罪嫌疑人通过其开发的软件爬取淘宝用户的数字ID、昵称、手机号码等信息共计1180738048条[11]。
2018年9月,英国航空公司表示其网站和手机应用程序遭黑客攻击,包括用户的姓名、住址、信用卡信息等在内的约38万笔网上支付信息被泄露。英国信息监管局调查后表示,泄露事件自2018年6月就已开始,英国航空公司的安全监管措施不力,才导致如此多的用户信息遭到泄露。英国信息监管局对英国航空公司开出了总额为1.8339亿英镑的罚单[12]。
英国信息监管局因为2018 年的客户数据泄露事件给万豪(Marriott)开出了约9900万英镑的罚单[13]。在那次事件中,有3.39亿名客户的记录遭到泄露,有超过500万个未加密的护照号码被盗。时隔不到两年,万豪旗下的连锁酒店又发生了客户数据泄露事件,导致520万名客户的信息泄露[14]。
以下列举了更多公开报道的较大数据泄露事件[15]。
(1)雅虎保持着有史以来最大的数据泄露纪录,约有30亿个账户受损。
(2)2019年,第一美国金融公司(First American Financial Corp.)在网上暴露了8.85亿条记录,包括银行交易、社会保险号等。
(3)2019年,Facebook 在亚马逊云服务器上暴露了5.4亿条用户记录。
(4)2016年,AdultFriendFinder的网络被黑客攻击,暴露了4.12亿名用户的私人数据。
(5)Experian旗下的Court Ventures于2013年无意中将信息直接出售给了越南的欺诈服务机构,涉及多达2亿条记录。
企业数据泄露的可能原因如下。
(1)外部人员恶意入侵:通过木马程序盗取账号或者发起 SQL 注入等方式入侵核心数据库。
(2)企业管理人员泄露:企业内部高权限用户如系统管理员、数据库管理员(DBA)等角色,在日常工作中可以接触到系统的大量信息甚至完整的数据库信息,他们可能疏忽大意导致数据泄露或在利益驱使下复制数据。
(3)操作人员泄露:业务操作人员在开展业务时,会接触到身份证、护照、手机号码、银行卡号、家庭地址等私密信息,也存在信息泄露风险。
除安全风险外,各个系统的身份数据在应用层是完全隔离的。跨系统或跨机构的安全互通成本非常高,或者出于商业壁垒考虑人为造成障碍,这就是系统间的身份互通障碍,如谷歌用户无法使用MSN资源。造成身份数据互通障碍的原因是各个应用系统的身份是先于一个统一身份而“随意”建立的。如果要把统一身份植入每个应用系统中,则需要巨大的开发和协调工作量。
互联网最初的目标是计算机跨网络共享信息和资源,在用户量和网络站点规模有限时,身份并非关键问题。由于互联网在构建时没有身份层,所以无法知道一个实体正在连接到哪个实体。黑客技术(Hacker Technology)可以更改计算机的硬件MAC或IP地址,这意味着网络级标识符不值得信赖。金·卡梅伦(Kim Cameron)在2005年谈到互联网缺失身份层时说道:“如果什么都不做,人们将面临迅速激增的盗窃和欺骗事件,这将逐渐侵蚀公众对互联网的信任。”随着互联网成为人类生活必不可少的基础设施,身份层缺失导致的安全问题也愈演愈烈,这个“预言”已经被大量事实验证,这使得人们必须从更深的层次解决身份层缺失问题。
2.数字身份2.0:联盟身份
联盟身份阶段是一个过渡阶段,最终超级节点的出现,促使形成了另一种形式的数据集中和割据。
分层是最常见的软件架构设计方法之一,现实生活中的各种中介机构是解耦多对多关系的应用实例。从架构角度看,身份联盟就是一种中介机构。
最简单的联盟身份是企业内部的单点登录(Single Sign On,SSO),只需要登录一次,就能够访问多个应用系统。
1999年,微软Passport提供了第一个联盟身份。微软Passport通过让消费者使用单个用户名和密码登录各种站点,迈出了虚拟化用户身份的第一步[16]。
联盟身份模型中涉及的三方关系如图1-2所示。
2022年,社交网络开始允许用户使用其现有的社交身份登录其他网站或移动应用,Facebook、LinkedIn、Twitter、微信、支付宝等身份被广泛采用[16]。当前许多网络资源允许使用社交身份验证,消费者可以通过他们所选的社交身份登录网站和移动应用。
图1-2 联盟身份模型中涉及的三方关系[17]
当前广泛使用的OAuth2.0框架,就属于数字身份2.0时代的作品。
OAuth2.0在“客户端”与“服务提供商”之间设置了一个授权层(Authorization Layer)。客户端不能直接登录服务提供商处,只能登录授权层,以此将用户与客户端区分开来。客户端登录授权层所用的令牌(Token)与用户的密码不同,用户可以在登录的时候指定授权层令牌的权限范围和有效期。这样,在客户端登录授权层以后,服务提供商根据令牌的权限范围和有效期,向客户端开放用户储存的资料使用权限[18]。
某即时通信软件使用OAuth2.0授权登录第三方应用流程如图1-3所示,其过程简述如下。
图1-3 某即时通信软件使用OAuth2.0授权登录第三方应用流程
(1)某即时通信软件用户向第三方应用发出“登录”请求。
(2)第三方应用向某即时通信软件开放平台请求 OAuth2.0 授权登录。
(3)开放平台请求用户确认登录请求信息。
(4)用户向开放平台完成确认后,开放平台向第三方应用发出“拉起第三方应用”或“重定向第三方”的请求,并且授权临时票据(code)。
(5)授权服务器验证code通过后,同意授权,并且返回一个access token。
(6)第三方应用通过access token向资源服务器请求相关资源。
(7)资源服务器验证access token后,将第三方应用请求的资源返回。
从整个过程来看,用户对数据的控制能力非常弱。一方面,需要通过OAuth2.0授权登录(具有授予证书的权利,即许可授予权);另一方面,Access Token是需要向开放平台换取的[19]。
身份联盟是包括一个或多个共享用户访问权限的系统,允许用户在联盟中的一个系统(一般是有资金和技术实力且使用普及度高的巨型系统)完成身份认证后登录联盟中的其他系统,如图1-4所示。多个系统之间的信任通常被称为“信任圈”。
图1-4 身份联盟[17]
身份联盟在一定程度上解决了身份过度分散的问题,也就是传统上进入每个系统都要先注册后使用的问题。使用联盟身份后,只需要在提供验证的系统注册一次,就可以授权登录多个系统,省去了大量重复的用户注册环节,但是,联盟体系之间并不互认。联盟之间的吞并、合并甚至合作,因为涉及巨大的商业利益,从来都不是轻而易举的事情。于是,用户基数大的公众系统,因为马太效应,用户量会越来越庞大,基于结果来看,联盟身份事实上会造成更大规模的身份集中,这与联盟建立时的初衷背道而驰,注定了联盟只是身份发展史上的一个过渡。
3.数字身份3.0:自主主权身份
自主主权身份的特点是个人完全控制,即分布式(去中心化)身份。
2014年,人们看到了下一代数字身份的逐渐崛起。随着数字身份3.0的出现,消费者的真实身份与他们的虚拟生活越来越紧密地交织在一起。除了社交身份,数字身份3.0还包括下一代身份验证方法、增强的安全性、新协议和身份的创新应用。
回顾增强社交网络(Augmented Social Network,ASN)和身份共享项目(The Identity Commons)有助于理解数字身份3.0的发展脉络。
2003年6月,肯·乔丹(Ken Jordan)、扬·豪瑟(Jan Hauser)和史蒂文·福斯特(Steven Foster)在PlaNetwork会议上发表的一篇论文中提出了增强社交网络[20],为创建新一代互联网提出了新的数字身份标准。ASN 白皮书中建议,在互联网的架构中建立“永存的在线身份”,提出了“每个人都有控制自己数字身份的权利”的假设。ASN小组认为,微软Passport或其他联盟身份均无法实现这些目标,因为“基于商业驱动”主要考虑将信息私有化和留存这些客户,21世纪第一个20年,数字身份的发展已经验证了ASN小组的远见卓识。
当初创建 ASN 的目的是在互联网的架构中建立身份和信任,以促进社交网络中共享的亲和力,以及能力互补人群之间的引荐[21]。
ASN的3个主要目标如下。
(1)创建一个互联网范围的系统,使人们能够跨越机构、地理和社会界限,更有效地分享知识。
(2)建立一种持久的在线身份形式。
(3)提高参与者围绕实践社区中的共同利益建立关系和自主组织的能力。
ASN的4个主要元素如下。
(1)永久的身份。自主控制的永久身份使在线个人能够在不同互联网社区之间移动时保持持久的身份,并且对该身份进行个人控制。
(2)在线社区之间的互操作性。人们应该能够轻松地在线上社区之间穿梭,就像在生活中人们可以从一个社交网络转移到另一个社交网络一样。
(3)代理关系。使用基于数据的信息,在线经纪人(代理人,被授权代表实际拥有者进行各类操作的人)应该能够促进具有共同亲和力、互补能力并寻求建立联系的人之间的引荐。
(4)广泛且强大的技术。匹配技术需要足够广泛和强大,以包含关于公共利益问题的全面讨论。
显然,建立对该系统的信任对其成功至关重要。为此,ASN的实施必须以支持这种信任环境的原则为指导。这些原则如下。
(1)开放标准。要使这一制度得到广泛采用,它就必须是透明的,以便所有采用该制度的实体都能合理地确信其可信度。这意味着系统使用的软件代码应该是非专有的和免费的,并且编写软件的过程和制定的标准应该接受最高级别的审查。
(2)互操作性。人们的愿景是建立一个拥有更多桥梁和更少壁垒的互联网,个人可以在各社区之间轻松“旅行”。
(3)包容性。ASN必须是价值中立、开放和包容的。
(4)尊重隐私。ASN必须确保每个在线的人的私人信息都是保密的,并且在个人不知情和没有明确许可的情况下,政府和商业利益集团都不会以任何方式使用这些信息。
(5)去中心化。当系统不是自上而下地被命令,而是自下而上地出现时,互联网的运作效果最好。
身份共享项目最重要的贡献是与身份协会共同创建了互联网身份工作室(Internet Identity Workshop,IIW),IIW提出了多个去中心化身份的想法。IIW针对以服务器为中心的集中认证授权模式提出了一个新名词:以用户为中心的身份。IIW最初的讨论集中在创造更好的用户体验,强调把用户放在第一位和以用户为中心。“以用户为中心”是21世纪初很时髦的企业愿景或口号,然而,以用户为中心的定义很快就扩展到用户希望对身份有更多的控制权、去中心化的信任等。以用户为中心的方法倾向于关注用户授权和互操作性两个要素。通过授权和许可,用户可以决定从一个服务到另一个服务共享一个身份[6]。
与金·卡梅伦(Kim Cameron)提出的数字身份七定律一样,ASN当年的设想和身份共享项目等都为后续诸多身份项目的开发提供了思想上的指导。
2005年,布拉德·菲茨帕特里克(Brad Fitzpatrick)开发了OpenID协议的第一个版本。2007年12月5日,OpenID验证规范2.0和属性交换规范1.0发布[22]。OpenID提供了一种尝试,即用户注册自己的OpenID,然后自主使用。表面上看用户拥有了自主主权身份的优势,其实这个 OpenID 随时可能被 OpenID提供者剥夺。例如,Facebook公司(2021年更名为Meta)的Facebook Connect就有随意关闭用户账户的“黑历史”,并且不仅Facebook一家公司存在这样的黑历史,这意味着用户并不能真正拥有属于自己的身份。
用户想要的是个人身份的真正自主主权,真正自主主权意味着用户成为自己身份的支配者,而不是仅参与身份认证过程,更不会被机构停止服务,哪怕机构有“充分”的理由这样做。人类身份如指纹、虹膜等个体标识物,是人类个体在社会生活中的一个客观存在,不能被“拿走”或“关闭”,但身份的相关证照(Proof、Certificate)可以被吊销,声明(Claim)也可以被否认。
2012年2月,德文·洛夫雷托(Devon Loffreto)发表了关于“Sovereign Source Authority”的文章,展示了一种解决自主主权身份的方法,即使用密码学保护用户的自主主权和控制权。2012年3月,帕特里克·迪根(Patrick Deegan)开始研究Open Mustard Seed,这是一个开源框架,使用户能够控制他们的数字身份和去中心化系统(Decentralized Systems)中的数据。这是大约同时出现的数个“个人云”计划中的两个[6]。所有的创新和努力,都成为数字身份3.0发展的基石。
自主主权身份的核心观点是用户必须是身份管理的中心。这不仅需要在用户同意的情况下实现跨区域身份的互操作,还要求用户对该数字身份进行真实控制,从而实现用户的自主主权。要做到这一点,一个自主主权身份必须是全局唯一的、去中心化的。
自主主权身份系统必须允许任何用户都可以提出可验证的声明,声明可以是能力信息、职业信息、学历信息等,也可以是包含有关其他实体声称的信息。
在人类文明社会生活中,成熟的身份认证方式就是身份证、学位证、婚姻关系证明等权威机构发布的带有一定防伪手段的证照,原件掌握在身份主体手中,只在必要的场合下展示内容即可。复制一份数据,如抄写、复印、拍照、扫描、打印等获取证照档案信息的方式是实现信息聚合最有效的方式。同时,信息泄露风险就是在这些习以为常的活动中逐渐积累的。
当人类文明进入信息化时代后,主体的身份数据却不真正属于自己,这是一件违反文明进化常识的事。
数字身份的模式经历了从中心化到联盟化的演变。在中心化阶段,数字身份由多个平台分散管理,在互操作性、可移植性、身份自主可控性、安全隐私性等方面都有很大的局限。在联盟化阶段,数字身份由身份供应商管理,显著地提高了身份的易用性。
分布式数字身份将在数字空间中建立凭证颁发者、持有方和验证方之间的信任三角,完成从现实世界到数字空间的可信映射,从而构建数字空间的可信关系。
将身份和数据控制权交还给用户,让用户按照自己的意愿去处理自己的身份和数据是分布式数字身份体系最大的特点。分布式数字身份所带来的自管理性、隐私保护能力及便捷性将在以后的应用中发挥更大的作用。当然,分布式数字身份系统涉及的理论、技术都将超越以往的身份系统。图1-5表达了身份拥有者主导的身份系统构想。
图1-5 身份拥有者主导的身份系统构想
随着以区块链为代表的去中心化存储与交易技术的成熟,自主身份的落地成为可能。
在法律方面,《通用数据保护条例》(General Data Protection Regulation,GDPR)于2018年5月25日正式生效。GDPR统一了欧盟成员国关于数据保护的法律法规,从法治上促进了自主身份在理论和实践上的进步。
1.1.3 数字身份与区块链
经济学家布莱恩·阿瑟在《技术的本质》一书中说:“技术总是进行着这样一种循环,为解决老问题去采用新技术,新技术又引发新问题,新问题的解决又要诉诸更新的技术。人们内心的不安和焦虑就源于对这种循环无休止进行下去的恐惧。”
当新技术、新观念出现时,人们总是更多地关注它解决了以前的什么“痛点”问题,而较少去考虑甚至故意忽略它带来的新问题,这是普遍规律。对每个新方向或新技术都需要权衡利弊。一般来说,非技术群体往往出于商业利益的目的而更乐于鼓吹、夸大新技术解决了什么问题。
简单地说,数字身份让每个人类个体都可以无条件地获得永远属于自己的身份标识,同时提高了社会身份管理的复杂度。
区块链(Block Chain)本质上是一种带时间戳的新型数据库,相对于其他各类数据库来说,区块链是一个另类,它只能以追加模式(Append)新增数据,而没有修改和删除操作;或者说,除了追加区块操作,它是只读的。
对分布式数字身份系统来说,区块链提供了一个去中心化存储的核心组件,让分布式数字身份更容易落地。
图1-6为区块链整体技术架构。区块链中的安全机制在分布式身份系统中也普遍使用,不可篡改账本、数字资产、可编程合约等应用为身份系统的应用研发提供了参考,性能提升关键技术也因分布式身份的推广而得到进一步加强,可以认为,分布式身份是区块链的一个应用场景。
图1-6 区块链整体技术架构
下面简单介绍几个区块链相关的概念。
(1)非对称加密(Asymmetric Cryptography):非对称密码学是密码学的一个分支,其密钥分为公钥和私钥。顾名思义,公钥可以提供给任何人,而私钥必须保密。常见的非对称加密算法有 RSA、Elgamal、背包算法、Rabin、D-H、ECC (椭圆曲线加密算法)等。非对称加密为身份证明提供了方法。
(2)哈希算法(Hash Algorithm):哈希算法是一种数学算法,它可以将消息压缩为固定长度。由于消息或算法中的任何更改都会引起很大变化的值,所以当对原始消息的计算过程执行完毕后,无法在计算结果数据中撤销此计算过程并恢复原始消息。哈希算法可以为消息的完整性提供保障。
(3)共识算法(Consensus Algorithm):共识算法是计算机科学中的一个过程,用于在分布式数字身份系统之间就单个数据值达成一致。共识算法旨在实现多节点网络的可靠性。共识问题在分布式计算和多代理系统中非常重要,为基于算法的信任框架提供了思路[23]。
区块链的设计理念与众不同,它是个人而不是某个机构实际拥有数据或任何交换的信息,这实质上宣告了某种形式的自主主权,带来了一系列自主主权的思维变革和技术更新换代。这里就包括分布式数字身份系统。
以比特币(Bitcoin)和以太坊(Ethereum)为代表的公共区块链已经证明了去中心化方案是有效的,它们已经对整个互联网产业产生了里程碑级的影响,并将继续影响整个数字领域的发展。比特币和以太坊的稳定运行已经证明了全球加密货币可以改变货币的属性,智能合约可以改变机构、企业、金融和法律的执行形式,物理世界正在向数字世界进发,并且加速融合。
区块链由于自身的设计,目前还达不到传统交易系统和未来Web3中的大规模并发量或吞吐量,这需要在图1-6中的性能提升关键技术领域投入更多研发力量。
区块链是如此深刻地影响了整个数字世界,甚至引发了创造一个新数字世界的行动,也就是 Web3。区块链为 Web3 的数字身份系统赋能,数字身份系统为区块链的全面发展提供各类业务需求。
1.1.4 现实意义
身份认证的目的是获得“我是谁”“我可以做什么”的答案。身份认证有两个方向:一是“真我”畅行无阻;二是“假我”寸步难行。
身份认证的主体,已经从过去的人类个体身份确认,扩展到了社会组织(公司、社团、政府等)和社会关系的确认,在物联网时代更是扩展到实体和实体间的关系。
随着数字化更广泛地融入现实生活,数字身份必然会影响需要身份的所有现实场景,这可以概括为以下几个方面。
1.优化社会治理
数字身份进入国际政策领域在很大程度上是因为欧洲的难民危机让许多人因逃离而缺乏公认的身份。这是一个长期存在的国际问题,由于缺乏国家权威机构颁发的身份证明,所以外国工人经常被工作地所在的国家滥用[24]。
数字身份3.0可以让每个人都拥有全球唯一的“身份”,这将是人类文明的一大进步。
艾伦·埃泽尔(Alan Ezell)和约翰·贝尔(Bob Bear)在他们的著作《学位工厂:出售超过百万张假文凭的数十亿美元行业》(Degree Mills:The Billion-Dollar Industry That Selled Over Million Fake Diplomas)中估计,每年在美国购买的假博士学位(50000个)比真正的博士学位(45000个)还要多。数字身份3.0可以有效解决这一难题。
无论过去因为何种原因而没有身份,在数字身份3.0时代都可以轻易获得身份。当一个实体和一个身份绑定时,就是这个实体治理的开始,特别是可以在数字空间中记录行为。
2.促进经济发展
数字身份有助于求职者和企业有效地参与人才匹配计划,以提高招聘效率,让雇主能够快速找到雇员,让求职者找到更适合自己的职位。
数字身份可以提高人才匹配平台上信息的可靠性,减少注册和创建个人资料的摩擦,增加个人和企业的互信,从而降低风险。
数字身份将带来个人信用的数字化,为信用评级机构带来更翔实可靠的信用数据,为个人带来更有利的信用评级。
数字身份普及过程将带来巨大的开发与实施工作量,为 IT 及相关行业带来新的工作投入,增加新工作岗位。
同时,数字身份也将为物联网赋能,有助于提高物联网大数据质量,提升科技水平和经济发展质量。
3.推动文明进步
数字身份能够促进诚信社会建设。数字身份既能有效地保护个人隐私,又可以更准确、多维度地统计交易数据,也给相关监管部门带来崭新的工作模式。结合数字身份的人工智能将获得更大规模、更大范围的深入使用,针对个人的人工智能将发挥更大的作用,如为个人提供定制化服务。
数字身份3.0使得上市企业、公共服务组织机构的运营更大限度地处于公众视野之下,个人行为也变得更加有迹可循,为有效减少纷争、防止不法行为、提高社会运行效率发挥重大作用。
去中心化技术的影响是如此深远,甚至直接引领一场网络革命,使得互联网加速进入Web3时代。