我们的生活越来越需要身份验证,例如求职、买车、申请抵押贷款或注册一项新服务。然而,现有的在线用户认证和信任建立系统对用户来说很不方便,对企业来说也很繁重,管理用户信息的成本过高。更重要的是,目前的方法迫使用户放弃他们的隐私,而在线交易的安全和信任几乎没有达到“足够好”的标准。以网上购物为例,我们的个人信息,包括姓名、地址和信用卡信息,可能存储在几十个网站。通过存储这些信息,未来的购买可以更容易地进行——也就是说,假设消费者可以有效地管理登录网站所需的几十个用户名和密码。但存储这些数据也会带来风险,我们都熟悉这样的事件层出不穷,公司遭到入侵,用户使用弱密码,网络钓鱼计划将密码泄露给网络犯罪分子,欺诈、盗窃,以及难以合规的企业。一种名为“去中心化身份”(decentralized identity,DID)的新模式使消费者重新控制自己的个人信息,同时企业也获得信任,相信与他们共享的消费者信息是准确的,与他们的交易对象有关,从而减少欺诈。
何为去中心化身份
根据信任三角,去中心化身份认证系统由issuer、holder、verifier三个重要角色组成。首先由issuer(一般是一些权威的机构,例如学校、医院、政府等)向holder发放可验证的证书,并将其记录到分布式账本中(区块链),holder将可验证证书保存到钱包中,在需要使用身份信息时,根据最小信息纰漏原则,生成可验证表达,发送给verifier验证其真实性。Verifier根据分布式账本上的信息,可以快速验证身份的真实性。在整个身份验证过程中,holder可以自主控制自己身份信息的使用权,因此,也叫自主权身份。与传统的身份认证相比,去中心化身份将身份信息的使用权完全归还给用户,大大降低企业管理用户信息的成本,同时保证用户的信息不被滥用。
去中心化身份如何工作
在去中心化身份识别中,消费者使用一种被称为“钱包”的应用程序,它存储他们的证书和个人信息。传统的密码不再使用,取而代之的是不可破解的密钥,可以透明地向企业认证用户,同时保护他们的通信安全。这些钱包还存储经过验证的身份信息,包括姓名、年龄、地址、信用卡账户、就业、公民身份、教育程度、信用历史——任何你可能需要分享的信息,以建立信任、证明资格或完成交易。
这些信息由多个受信任的权威机构签署,以证明其准确性,并与企业或其他个人共享。用户总是在掌控之中,选择分享关于自己的什么内容以及与谁分享——这就是为什么这被称为“自主身份”。尽管这些技术标准相当新,但用于实现去中心化身份钱包和支持服务的软件非常丰富,从开源构建模块,到一系列初创公司,再到一些科技界最知名的公司。许多提供钱包应用程序或可以帮助组织将技术整合到自己的应用程序的供应商都是去中心化身份基金会(Decentralized Identity Foundation,DIF)和知识产权信托基金会(Trust Over IP Foundation)的成员。
当我们完全采用去中心化身份时,会发生什么变化?购物网站不需要建立和存储个人信息和信用卡信息。相反,您经过验证的支付和运输信息会从您的钱包安全地传输。存储在数据库中的信息越少,对企业来说,破坏性数据泄露的次数就越少,合规也就越简单。通过网络钓鱼窃取账户密码的做法被消除了,这是一种不太安全的过去的记忆。过去需要大量文书工作的贷款申请现在可以在几秒钟内提交和处理。我们的目标是让我们感觉在网上卖家和买家可以建立和分享可验证的声誉。公民们可以在网上论坛上讨论当地的问题,与他们认为是邻居的人分享观点,而不是机器人或远方的挑衅者。
去中心化身份如何发挥作用
那么,为什么我们还没有使用去中心化身份呢?去中心化身份的好处随着使用它的企业和个人的数量而增长。银行可以选择发行与去中心化身份协议兼容的数字版信用卡,但这只在有接受它的商店的情况下对持卡人有用。政府可以发给你一个数字的、可验证的驾照,你可以把它存储在手机里,但你仍然需要携带你的实体驾照,除非租车公司和当地的调酒师有工具来验证数字驾照。简而言之,我们面临着先有鸡还是先有蛋的局面。
尽管如此,无论是政府部门还是私营部门,利用去中心化身份识别技术的项目都在向前发展。安大略省和欧盟都计划利用去中心化的身份。其他早期采用者横跨多个行业,从金融到医疗到旅游。采用该技术的另一个障碍是,一些公司可能不愿意采用减少其获取客户数据的技术,近几十年来,为了营销目的,这些数据被出售、组合、关联和分析。这种“数据共享经济”将受到影响,因为去中心化身份允许消费者暴露更少的私人信息。但减少共享和更好地控制个人数据无疑对消费者有利。
随着数字交易数量的增加,我们应该寻找机会将去中心化的身份纳入其中,首先从以下交易中受益最大:
1、一个组织需要建立对客户的信任(例如,避免欺诈或滥用或确保安全)。
2、该信任基于个人数据(例如,个人信息、财务或医疗信息)。
3、数据的真实性可以通过第三方进行验证。
当设计系统以实现这些特征的交易时,使用去中心化身份可能会提供更容易的集成、更简单的遵从性、更低的风险,并使用户受益于增加的隐私和更少的侵入性验证。由于它仍处于早期阶段,这条道路还没有被广泛采用,并且使用去中心化身份实现服务将涉及一些不确定性。但是,寻找符合W3C和去中心化身份基金会(Decentralized Identity Foundation)开发的标准的供应商,或者利用这些标准的开源参考实现,以便随着生态系统的发展保持相关性和互操作性,这是一个好主意。
总结
我们拥有建设一个更好、更安全的未来所需的技术,在这个未来,我们每个人都能更多地控制自己的个人隐私,商业是值得信赖和高效的,在线社区植根于信任。采用去中心化的身份协议将大大减少针对企业和政府的身份盗窃和欺诈行为,但这需要企业、机构和政府之间的合作和协调。
