欢迎来到“梦回2015’s系列”之三,今天讲讲数字身份的历史,一个概念从思想到落地,不是今天说起明天就有的,笔者有必要将数字身份的历史以及SSI的起源给大家梳理一下,本篇是图文并茂式混编版本,涵盖一份来自2016具有里程碑意义的身份文章,供大家了解那段历史。
前言
在上篇文章(空客开发数据空间用于所有数据共享)讲了身份设施是数据空间的三大支柱之一,零信任策略是基石,且是去中心化。在其Gaia-X信任框架揭示了去中心化身份的属性,其实还没展开,只是最近看了几篇网上的所谓解读,我感觉要让它飘一会儿。大概两年多前接触到DS的时候,感觉包装得挺好,业务视角的行业对它还是比较客观和冷静,一位大佬的博客这么一说:“数据流通的前提是数据的提供方和使用方的业务都要高度数字化,二十五年前的B2B电子商务失败的一个主要原因就是平台各方内部的ERP系统、 MES系统、供应链系统都没有准备好,企业连ERP都没用好,搞什么DS呢。”
那么我认为这里还有一个潜在的问题,就是“连接”,Identity天然具备“连接”的特性。
在2024年11月22日,国家数据局发布向社会公开征求《国家数据基础设施建设指引(征求意见稿)》意见的公告,其中五、重点方向(一)建设数据流通利用设施底座章节描述,建立全国一体化的分布式数字身份体系,规范身份标识生成、身份注册和认证机制。建立统一的数据凭证、交易凭证结构、生成与验证机制,支持利用区块链、加密技术、智能合约等手段提高凭证的可溯性和信任性。
在“上头”的时候,不要忘记Identity是业务“支点”,核心中的核心。
自主主权身份思想萌芽期
马修·罗森菲尔德(Matthew Rosenfeld),笔名莫西·马林斯派克(Moxie Marlinspike),是一位企业家、密码学家和计算机安全研究员,他曾经展示了一种解决自主主权身份的方法:使用基于密码学的策略来保护用户的自主权和控制权。此外,Windhover的数字身份、信任机制和数据管理规则以及uPort、Evernym等身份系统提供了更多关于自主主权身份(Self-Sovereign Identity , 以下简称SSI)的观点。
2012年2月,SSI首次被引用。SSI是一种哲学,也是一种由其衍生的技术框架,旨在让用户能够控制自己的数字身份,从创建到使用和删除,一切都以保护隐私的方式进行。在快速数字化、数据创建空前增长和社交登录使用激增的背景下,一系列导致SSI概念的研究可以追溯到2012年Devon Loffreto关于主权来源权威 (SSA) 的帖子。他的疑问(在社会中“身份登记”之前,个人是什么?当今社会默认参与的数据管理框架是什么?),此处省略xx字。
自主主权身份提出期
2012年2月10日,Devon Loffreto Blog提出SSI。叙述必须直接从个人生活中发出,而不是从由个人活动抽象出来的管理机制中发出,并且必须在设计和意图上直接由具有原始来源权威的个人发出。
自我主权身份将每个人类个体身份视为权威的来源。自我主权身份会产生一条数据关系的管理线索,该线索始于并解决到个人。每个人类个体都可能拥有自我主权身份,任何个人或任何类型的抽象都不能改变这种与生俱来的人权。此处省略xx字。
SSI整合期
数字身份领域的权威专家,区块链和去中心化身份架构师,互联网密码学先驱--TLS安全标准合著者Christopher Allen对SSI概念进行了整合和再描述,2016年发表了“The Path to Self-Sovereign Identity”这篇文章,笔者确认是数字身份发展历史上最重要的文章之一。
“平行时空”Web3.0
自由信任技术专家,Polkadot、Kusama、Parity、Web3基金会和以太坊的创始人Gavin Wood博士2014年提出了Web3.0的革命性愿景。他认为Web3是一套广泛的运动和协议,旨在使互联网更加去中心化、可验证和安全;实现无服务器、去中心化的互联网,用户可控制自己的身份、数据和命运。Web3将开启一个新的全球数字经济体系,创造新的商业模式和新市场,打破平台垄断,推动广泛的自下而上的创新。他注意到“斯诺登”事件后,发现零信任交互系统的需求增加,从而促使了它…
图:Gavin Wood 2014年Blog
归纳如下图,SSI的理念,与Web 3.0的目标一致。
称谓融合期
市面上出现了自主主权身份(SSI),分布式数字身份,去中心化身份,自主管理身份这四种称谓,还有一个代号DID(Decentralized Identifier,去中心化标识符)。
2015年,微软等企业在互联网身份大会中首次提出“去中心化身份”概念,W3C编制DID标准开始一路走来。从管理范围上看,去中心化身份概念是包含SSI的,从技术落地上都有共同之处,为了方便理解,人们又取了一个名称叫“分布式数字身份”,所以可以等同看待,但DID属于W3C标准的名称,很多时候又把它作为日常称呼。
译文
本章节将时间拉回到2016年,这是具有里程碑意义的身份文章,在保留原滋原味的同时,笔者对某些词语进行了柔性处理,并对部分背景知识进行了扩展批注(紫色字体),读者也可以参看网络上的原文。
The Path to Self-Sovereign Identity
通往自主主权身份之路
2016年4月26日
Christopher Allen
今天,我要参加为期一个月的与身份相关的系列活动:下周我将参加第22届互联网身份研讨会;然后我将在区块链会议“身份共识”上发言;接下来我将作为团队成员参加在联合国举办第一届ID2020数字身份峰会;最后,我将主持第二届关于去中心化身份的#Rebooting Web Of Trust设计研讨会。
在所有这些活动中,我都想分享一个愿景,即我们如何能够增强数字身份的能力,在保护个人隐私的同时实现信任。这个愿景就是我所说的“自主主权身份”。
为什么我们现在需要这个愿景?大家正在共享前所未有的大量信息,将人们的观看习惯、购买行为、白天的所在位置、晚上的睡眠地点以及交往对象等所有信息相互关联。此外,随着更多的国家进入计算机时代,数字公民身份为第三世界居民提供了更多人权和全球经济机会。如果设计和实施得当,自主主权身份可以提供这些好处,同时保护个人免受当权者日益加强的控制,而当权者可能并不关心个人的最大利益。
但我所说的“自主主权身份”到底是什么意思呢?
没有“我”就无法拼写身份
1
身份是人类独有的概念。它是自我意识中不可言喻的“我”,世界上每个文化中的每个人都能理解这一点。正如勒内·笛卡尔所说,我思故我在——我思故我在。
如下图所示:
然而,现代社会混淆了身份这一概念。如今,将驾驶执照、社会保障卡和其他由国家颁发的证件与身份混为一谈;这是有问题的,因为这意味着如果某个国家吊销了他的证件,或者即使他只是跨越了州界,他也可能失去他的身份。我想,但我没有。
如下图所示:
数字世界中的身份问题更加棘手。它同样面临集中控制的问题,但同时又非常分散:身份是零散的,在不同的互联网领域各不相同。
随着数字世界对物理世界越来越重要,它也带来了新的机遇;它提供了重新定义现代身份概念的可能性。它或许能让我们重新掌控身份——再次将身份与不可言喻的“我”统一起来。
近年来,这种对身份的重新定义开始有了一个新的名字:自主主权身份。不过,为了理解这个术语,我们需要回顾一下身份技术的一些历史:
身份的演变
2
自互联网出现以来,在线身份模型经历了四个大阶段:集中身份、联合身份、以用户为中心的身份和自主主权身份。
笔者绘制了两幅图来囊括一下内容:
第一阶段:集中身份(由单一权威机构或层级进行管理控制)
3
在互联网发展的早期,中央机构成为数字身份的发布者和认证者。IANA(1988 年)等组织确定了IP地址的有效性,ICANN(1998年)仲裁了域名。然后,从1995年开始,证书颁发机构 (CA) 开始帮助互联网商务网站证明其身份。
其中一些组织在集中化上迈出了一小步,并创建了层级结构。根控制者可以指定其他组织来监督各自的层级结构。然而,根控制者仍然拥有核心权力——他们只是在自己之下创建新的、权力较小的集中化。
不幸的是,将数字身份的控制权交给网络世界的集中权威机构,会遭遇与现实世界的国家权威机构相同的问题:用户被锁定在一个权威机构中,该权威机构可以否认他们的身份,甚至确认虚假身份。集中化本质上将权力赋予了集中实体,而不是用户。
随着互联网的发展,随着权力在各个阶层之间不断积累,另一个问题也暴露出来:身份越来越分裂。随着网站数量的增加,身份也不断增多,迫使用户在数十个不同的网站上同时使用数十个身份,而他们却无法控制任何一个身份。
在很大程度上,当今互联网上的身份仍然是集中式的,或者充其量是分层的。数字身份由CA、域名注册商和各个网站拥有,然后出租给用户或随时撤销。然而,在过去的二十年里,也有越来越多的人推动将身份归还给人民,以便他们能够真正控制它们。
扩展,Alex Preukschat and Drummond Reed在书(如下图)中有这么一段描述:“You”是一个虚线圈,因为在集中身份的世界里,在某个集中系统中没有账户,真正的您拥有插入网站、服务或应用程序的权限,因为该组织借给您提供具有有限的控制和权限的凭据。
换句话说,你还是你,你是基于“角色”而进入一个组织的。
间奏:预示未来
4
PGP(1991年)首次为实现自主主权身份提供了线索。它引入了“信任网络”1,通过允许同行充当公钥的引入者和验证者2,为数字身份建立了信任。任何人都可以成为PGP模型中的验证者。结果是分散信任管理的一个有力例子,但它专注于电子邮件地址,这意味着它仍然依赖于集中层次结构。由于各种原因,PGP从未被广泛采用。
其他早期想法出现在Carl Ellison的论文《无需认证机构即可建立身份》(1996年)中,该论文探讨了如何创建数字身份3。他考虑了认证机构等机构和PGP等对等系统作为定义数字身份的选项。然后,他确定了一种通过安全渠道交换共享机密来验证在线身份的方法。这允许用户控制自己的身份,而无需依赖管理机构。
埃里森也是SPKI/SDSI项目 (1999) 4 - 5的核心人物。该项目的目标是构建一个更简单的公共身份证书基础设施,以取代复杂的X.509系统。虽然集中式机构被认为是一种选择,但它们并不是唯一的选择。
这是一个开始,但在21世纪,需要对身份进行更具革命性的身份重新认识,才能真正将自主主权推到首位。
第二阶段:联合身份(由多个联合机构进行行政控制)
5
数字身份的下一个重大进步发生在世纪之交,当时各种商业组织超越了等级制度,以新的方式解除了在线身份的分裂。
微软的Passport(1999年)计划是首批计划之一。它设想了联合身份,允许用户在多个站点上使用同一身份。然而,它将微软置于联合的中心,这使得联合几乎与传统权威机构一样集中化。
为了应对这种情况,Sun Microsoft组织了自由联盟(2001)。他们抵制中央集权的理念,而是创建了一个“真正的”联邦,但结果却是一个寡头政治:中央集权的权力现在被几个强大的实体瓜分。
联盟改善了分裂问题:用户可以在系统下从一个站点移动到另一个站点。但是,每个站点仍然具有权威性。
第三阶段:以用户为中心的身份(无需联合,即可跨多个机构进行个人或行政控制)
6
增强型社交网络(2000年)在其创建下一代互联网的提案中为一种新型数字身份奠定了基础。在一份详尽的白皮书6中,他们建议将“持久的在线身份”构建到互联网的架构中。从自主主权身份的角度来看,他们最重要的进步是“假设每个人都应该有权控制自己的在线身份”。ASN小组认为Passport和自由联盟无法实现这些目标,因为“基于商业的举措”过于强调信息的私有化和将用户建模为消费者。
这些ASN理念将成为后续许多思想的基础。
Identity Commons(2001年至今)开始巩固数字身份方面的新工作,重点是去中心化。他们最重要的贡献可能是与Identity Gang合作创建了Internet Identity Workshop(2005 年至今)工作组。在过去十年中,IIW在一系列半年一度的会议中提出了去中心化身份的理念。
IIW社区关注一个新术语,该术语与以服务器为中心的集中式权威模型相悖:以用户为中心的身份。该术语表明用户处于身份识别过程的中间。该主题的初步讨论集中在创造更好的用户体验7,这强调了在寻求在线身份时将用户放在首位的必要性。然而,以用户为中心的身份的定义很快就扩展到包括用户希望对自己的身份有更多控制权以及希望信任分散8。
IIW 的工作支持了许多创建数字身份的新方法,包括 OpenID(2005年)、OpenID 2.0(2006年)、OpenID Connect(2014年)、OAuth(2010年)和 FIDO(2013年)。在实施过程中,以用户为中心的方法往往侧重于两个要素:用户同意和互操作性。通过采用这些方法,用户可以决定将身份从一项服务共享到另一项服务,从而打破其数字自我的桎梏。
以用户为中心的身份社区有着更宏伟的愿景;他们打算让用户完全控制自己的数字身份。不幸的是,强大的机构利用了他们的努力,阻止他们完全实现目标。与自由联盟一样,如今以用户为中心的身份的最终所有权仍归注册它们的实体所有。
OpenID就是一个例子。理论上,用户可以注册自己的OpenID,然后可以自主使用。但是,这需要一些技术知识,因此普通互联网用户更有可能使用某个公共网站的OpenID作为另一个网站的登录名。如果用户选择一个长期存在且值得信赖的网站,他可以获得自主主权身份的许多优势——但它可能随时被注册实体夺走!
Facebook Connect (2008)在OpenID问世几年后出现,吸取了之前的经验教训,并且由于更好的用户界面9而取得了数倍的成功。不幸的是,Facebook Connect甚至偏离了最初以用户为中心、由用户控制的理念。首先,没有提供商选择;它就是Facebook。更糟糕的是,Facebook有随意关闭账户的历史,最近的实名争议10就是明证。因此,使用“以用户为中心”的Facebook Connect身份访问其他网站的人可能比OpenID用户更容易同时在多个地方丢失该身份。
这又是中央集权的翻版。更糟糕的是,这就像国家控制的身份验证,只不过是自选的“流氓”国家。
换句话说:以用户为中心是不够的。
第四阶段:自主主权身份(个人对任意数量的权威机构的控制)
7
以用户为中心的设计将集中式身份转变为具有集中控制的可互操作联合身份,同时还尊重用户对如何共享身份(以及与谁共享身份)的某种程度的同意。这是迈向真正用户控制身份的重要一步,但仅仅是一步。要迈出下一步,需要用户自主。
这是自主主权身份的核心,这一术语在2010年代使用得越来越多。自主主权身份不仅主张用户成为身份流程的中心,还要求用户成为自己身份的主人。
2012年2月,开发人员Devon Loffreto撰写了关于“主权来源权威” 11 的文章,这是首次提及身份主权。他说,个人“拥有‘身份’的既定权利”,但XX注册会破坏这种主权。一些想法正在酝酿之中,因此毫不奇怪,几乎同时,2012年3月,Patrick Deegan开始研究Open Mustard Seed,这是一个开源框架,可让用户控制其在去中心化系统中的数字身份和数据12。它是同时出现的几个“个人云”计划之一。
从那时起,自主主权身份的理念开始兴起。Loffreto曾在博客中阐述过该术语的演变过程13。作为一名开发人员,他展示了一种解决自主主权身份的方法:作为一种数学策略,其中使用加密技术来保护用户的自主权和控制权。然而,这并不是唯一的模式。Respect Network则将自主主权身份作为一种法律政策;他们定义了网络成员同意遵守的合同规则和原则14。《Windhover数字身份、信任和数据原则》15和 Everynym的身份系统要点16为自 2012 年以来自主主权身份的快速发展提供了一些额外的视角。
去年,自主主权身份也进入了国际政策领域17。这在很大程度上是由欧洲的难民危机推动的,这场危机导致许多人因逃离签发其证件的国家而缺乏公认的身份。然而,这是一个长期存在的国际问题,因为外国工人经常因缺乏国家颁发的证件而受到其工作国家的虐待。
如果说自主主权身份在几年前就已变得重要,那么鉴于当前的国际危机,其重要性则飙升。
现在是走向自主主权身份的时候了。
自主主权身份的定义
8
话虽如此,但自主主权身份到底是什么?事实是,我们并没有达成共识。本文的目的主要是就这一话题展开对话。不过,我希望提供一个起点。
自主主权身份是超越以用户为中心的身份的下一步,这意味着它从同一个地方开始:用户必须是身份管理的中心。这不仅要求用户身份在用户同意的情况下跨多个位置实现互操作性,还需要用户真正控制该数字身份,从而实现用户自主。要实现这一点,自主主权身份必须是可转移的;它不能被锁定在一个站点或地区。
自主主权身份还必须允许普通用户提出主张,其中可能包括个人身份信息或有关个人能力或团体成员身份的事实18。它甚至可以包含其他个人或团体主张的有关用户的信息。
在创建自主主权身份的过程中,我们必须小心保护个人。自主主权身份必须防范财务和其他损失,防止强权侵犯人权,并支持个人做自己和自由结社的权利19。
然而,自主主权身份的意义远不止这些。任何自主主权身份还必须满足一系列指导原则——这些原则实际上为自主主权身份提供了更好、更全面的定义。以下是针对这些原则的提议:
自主主权身份的十大原则
8
大家忽视一个顶层问题,微软首席身份架构师Kim,在2005年的时候提出一个焦点问题,即“互联网是在没有身份层的情况下建立的。”创建开发互联网的这帮大佬当时认为他们之间彼此信任,而忽视了其他人。当今的互联网缺乏本地身份层,而是基于一次性身份的拼凑而成。
许多不同的人都写过关于身份原则的文章。Kim Cameron撰写了最早的《身份法则》之一20,而前面提到的Respect Network 政策21和W3C可验证声明任务组常见问题解答22提供了有关数字身份的其他观点。本节借鉴了所有这些想法,创建了一组特定于自主主权身份的原则。与定义本身一样,将这些原则视为引发关于真正重要的事情的讨论的出发点。
这些原则试图确保用户控制权,这是自主身份的核心。然而,他们也认识到身份可能是一把双刃剑——既可用于有益目的,也可用于有害目的。因此,身份系统必须在透明度、公平性和对公共资源的支持与对个人的保护之间取得平衡。
1.存在。用户必须具有独立的存在性。任何自主主权身份最终都基于身份核心中不可言喻的“我”。它永远不可能完全以数字形式存在。这必须是自我的核心,并得到维护和支持。自主主权身份只是将已经存在的“我”的一些有限方面公开并可供访问。
2.控制。用户必须控制自己的身份。在确保身份及其声明持续有效的易于理解且安全的算法的约束下,用户是其身份的最终权威。他们应该始终能够引用、更新甚至隐藏身份。他们必须能够根据自己的喜好选择名人或隐私。这并不意味着用户控制其身份的所有声明:其他用户可以对用户提出声明,但他们不应成为身份本身的核心。
3.访问。用户必须有权访问自己的数据。用户必须始终能够轻松检索其身份内的所有声明和其他数据。不得有隐藏数据,也不得有看门人。这并不意味着用户一定可以修改与其身份相关的所有声明,但确实意味着他们应该了解这些声明。这也不意味着用户只能平等地访问自己的数据,而不能访问他人的数据。
4.透明度。系统和算法必须透明。用于管理和运营身份网络的系统必须是开放的,无论是其运作方式还是管理和更新方式。算法应该是免费的、开源的、众所周知的,并且尽可能独立于任何特定的架构;任何人都应该能够检查它们的工作原理。
5.持久性。身份必须长久存在。最好是身份永远存在,或者至少只要用户愿意,身份就会一直存在。虽然私钥可能需要轮换,数据也可能需要更改,但身份仍然存在。在瞬息万变的互联网世界中,这个目标可能并不完全合理,因此身份至少应该持续存在,直到被新的身份系统取代。这一定不能与“被遗忘权”相矛盾;用户应该能够根据需要放弃身份,并且随着时间的推移,声明应该根据需要进行修改或删除。要做到这一点,需要将身份与其声明严格区分开来:它们不能永远联系在一起。
6.可移植性。有关身份的信息和服务必须是可移植的。身份不能由单一的第三方实体持有,即使该实体是一个值得信赖的实体,并且有望为用户的最大利益服务。问题是实体可能会消失——在互联网上,大多数实体最终都会消失。制度可能会改变,用户可能会转移到不同的司法管辖区。可移植身份确保用户无论如何都能控制自己的身份,并且还可以提高身份的持久性。
7.互操作性。身份应尽可能广泛使用。如果身份只在有限的领域发挥作用,那么它的价值就很小。21世纪数字身份系统的目标是让身份信息广泛可用,跨越国际界限,创建全球身份,同时又不失去用户控制权。得益于持久性和自主性,这些广泛可用的身份可以持续可用。
8.同意。用户必须同意使用其身份。任何身份系统都是围绕共享身份及其声明而建立的,而可互操作的系统会增加共享的数量。但是,数据共享必须经过用户同意。尽管雇主、信用局或朋友等其他用户可能会提出声明,但用户仍必须表示同意才能使这些声明生效。请注意,这种同意可能不是交互式的,但它仍必须是经过深思熟虑且易于理解的。
9.最小化。必须尽量减少索赔的披露。披露数据时,披露的内容应尽可能少,以完成手头的任务。例如,如果只要求最低年龄,则不应披露确切年龄,如果只要求年龄,则不应披露更准确的出生日期。这一原则可以通过选择性披露、范围证明和其他零知识技术来支持,但不相关性仍然是一项非常困难(甚至不可能)的任务;我们能做的最好的事情就是使用最小化来尽可能地支持隐私。
10.保护。必须保护用户的权利。当身份网络的需求与个人用户的权利发生冲突时,网络应该宁可保护个人的自由和权利,也不要保护网络的需求。为了确保这一点,身份验证必须通过独立的算法进行,这些算法具有抗审查和抗强制能力,并以去中心化的方式运行。
结论
10
数字身份的概念已经发展了几十年,从中心化身份到联合身份,再到以用户为中心的身份,再到自主主权身份。然而,即使在今天,自主主权身份到底是什么,以及它应该遵循哪些规则,人们仍然不太清楚。
本文试图就该主题展开对话,通过提供一个定义和一套原则作为这种 21 世纪新形式的用户控制和持久身份的起点。
关于
11
感谢对本文初稿发表评论的各位人士。他们的一些建议被逐字逐句地采纳,一些则被改编成文本,所有内容都经过了仔细考虑。最广泛的修订来自Shannon Appelcline、Dave Crocker、Anil John和Drummond Reed的评论。其他评论者和贡献者包括:Doc Searls、Kaliya Young、Devon Loffreto、Greg Slepak、Alex Fowler、Fen Labalme、Justin Netwon、Markus Sabadello、Adam Back、Ryan Shea、Manu Sporney 和 Peter Todd。我知道很多评论都没有出现在这份草稿中,但关于这个话题的讨论仍在继续……
本文中的观点是我个人的观点,不是我雇主的观点,也不一定代表那些对本文发表评论的人的观点。
END
重塑信任网络
2024-10-28
点对点信任度
2024-11-08
盲计算将是数据空间的良药
2024-11-02
什么是数据空间
2024-09-01
分布式数字身份将在6G中大放异彩
2024-06-24
分布式数字身份将迎来飞速发展
2024-06-23
迈向数字自主主权:Web3身份堆栈[译]
2024-06-07
全球第一个使用分布式数字身份的国家
2024-06-06
原文始发于微信公众号(安全红蓝紫):通往自主主权身份之路
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论