轉載 | 身份體系中一個極端的存在：SSI（自主身份）

自主身份(SSI：self-sovereign identity)是數字身份體系中一個極端的存在。其焦點放在將控制交回用戶手中。但SSI不是解決問題的唯一方式。

身份領域流傳有很多關於自主身份(SSI)的話題。SSI的宗旨就是將用戶置於數字身份管理和控制的中心。以用戶爲中心的數字身份不是新鮮概念，2005年 Kim Cameron 的《身份法則》一書中就提出了這一概念。法則1：身份元系統的成功取決於其使用者。

SSI以用戶爲中心，但以用戶爲中心的不止SSI系統一家。

理論上講，SSI很不錯。畢竟，數字身份就是用來解決你如何處理自身標識信息的——這當然應該在你自己的掌控之下。然而，有幾個問題令人懷疑SSI真的能夠滿足我們對身份的需求嗎？

1. 自主身份是什麼？

自主身份採用區塊鏈註冊個人身份屬性。這是什麼意思呢？你的身份數據(屬性或聲明)——決定 “數字化的你” 或 “此物是此物” 的東西，被註冊到區塊鏈中的某個區塊上。該區塊鏈是個分佈式賬本(沒有中央權威控制)，後續的去中心化聲明是個人識別數據的一部分，可在用戶控制下與請求方(如銀行或政府機構等)共享。

SSI的實質基於可驗證聲明。數字身份領域裏，驗證是件頗爲棘手的事；沒那麼直觀，也不是弄點“用戶友好”就能應付過去的。但Sovrin這樣的組織就是建立在通過適用於數字身份的分佈式賬本技術主幹網管理可驗證聲明的概念上。(Sovrin提供SSI骨幹網。)

2. 什麼是可驗證聲明？

關於個人的數據點必須是真實的，或者至少要具備能滿足服務提供商要求的一定真實性，纔是有效的。由可信第三方覈實(驗證)過的聲明即被視爲可驗證的。Web標準監管者W3C就曾研究過可驗證聲明標準的問題。其研究極不看好用戶爲中心的和隱私增強的模式。他們的聲明極爲強硬：沒有以用戶爲中心的、隱私增強的可驗證聲明生態系統。

該研究的結論包括：

• 信任是去中心化的。可驗證聲明的消費者決定哪些發佈者可信任。
• 用戶可共享可驗證的聲明而無需向用於存儲聲明的軟件代理透露既定接收方。

但是，這種情況下，你需要一套去中心化的身份系統來實現去中心化的可驗證聲明嗎？二者是否是互斥的呢？

3. 關於SSI的3個關鍵問題

1). 誰來支付？

我們生活的世界建立在一定商業架構基礎之上。這種架構很大程度上受金錢驅動。基於出示可驗證聲明的身份框架要如何應用到服務上呢？誰來支付驗證費用？如果某家公司付費，這些數據被競爭公司共享來與之建立可信關係了怎麼辦？

我們是不是又回到了當初聯合身份的那些老問題上？就像2006年時 Phillip Windley 所說的：

毫不意外，困難的部分通常都不是技術，而是管理那些過程和商業關係以確保聯盟可靠、安全，並提供適當的隱私保護。

自主系統是否會遇到聯合身份遭遇的類似商業問題？只不過，這次問題大概會出在使用付費上？

信任網絡工作組研究了上述問題的解決辦法，他們正在著述的論文《SSI如何挺過資本主義》對此提出了一些有趣的觀點。他們的分析中有個值得關注的論述：由於缺乏平臺而導致的前期融資缺乏(雞生蛋蛋生雞問題)。

另外，英國某政府官員還提出：政府認證的身份文件，比如護照，真是你持有的數據嗎？

2). 弱點在哪兒？

SSI是否是難民的神奇萬靈丹也無法確定。Sovrin之類的自主框架採用管家模式維護信任。其中管家就是可信第三方——運營分佈式賬本中節點的組織。Sovrin目前有50多個管家機構提供人力及算力。

這種模式延伸了去中心化的概念。但管家自身會不會成爲系統中的弱點呢？網絡罪犯會不會對管家機構下手以獲取節點的控制權呢？

3). 到底有多隱私？

去中心化的隱私方面，SSI正是該系統的魅力所在。以Sovrin爲例，採用零知識證明作爲最小化數據披露的底層機制。“你滿18歲了嗎？” 這種問題只披露了 “是/否”。當然，提供隱私屬性的系統不止SSI一個。有很多方法可以運用傳統身份服務達成隱私目的。其中之一就是 Sid Sidner 在2006年開發的“可變聲明”。該機制已應用在傳統身份服務中，與SSI類似，僅披露一定數據，比如“是/否”或部分屬性。

問題就出在這兒。最小披露當然非常好，但如果你想要網購一雙鞋呢？不讓賣家知道你的地址，他怎麼給你快遞？出於營銷目的，他們可能會索要你的姓名和其他信息。你的數據就此跑出SSI，以更傳統的方式被持有了。當然，也就不在你控制之下了。

4. 身份生態系統

之前的PGP協議基於“信任網”的概念提供了安全電子郵件通信的希望。PGP看起來可能有點過於“極客”，總覺得得有計算機科學博士學位才能用的樣子。是可用性而不是其方法論阻斷了PGP的推廣，甚至PGP的發明者 Phil Zimmerman 自己都已經不再使用PGP了。SSI風潮裏也透着一絲PGP的極客感覺。SSI圈的人努力打造和整合簡潔易用的應用，但仍能嗅到一股類似PGP的味道。或許我們不僅需要技術來實現功能，還得理解使用數字身份的初衷，瞭解真正的用例，知道此類用例的缺陷。

區塊鏈確實已經有些用例適應良好，可以作爲技術棧的附加層，具有巨大的潛力。

加拿大政府財務委員會祕書處身份管理高級政策分析師 Tim Bouma 最近完美總結了有關SSI的爭論：

最極端的(去中心化)案例就是無服務提供商，但它很可能是集中、聯合和分散選項的組合。這沒什麼，因爲有選擇才能造就健康的生態系統。

自主身份(SSI)是數字身份體系中一個極端的存在。其焦點放在將控制交回用戶手中。但SSI不是解決問題的唯一方式。至少在可預見的未來，多種技術的綜合才能適應身份生態系統的各種不同需求。SSI用例當然有，但它能否成爲人類在數字領域解決問題的首要方式尚未可知。估計除非上述3個問題有了令人信服的答案，否則SSI仍然只是衆多解決方案中的一種。

Sovrin：

https://sovrin.org/

W3C關於可驗證聲明的研究：

https://www.w3.org/2017/vc/ch...

原文鏈接：https://www.aqniu.com/news-vi...。作者：nana 星期六, 三月 30, 2019

相關閱讀

• Authing 是什麼以及爲什麼需要 Authing
• 我們爲什麼堅持做 ToB 的慢生意
• Authing 知識庫

什麼是 Authing？

Authing 提供專業的身份認證和授權服務。
我們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你可以將任意平臺的應用接入到 Authing（無論是新開發的應用還是老應用都可以），同時你還可以自定義應用程序的登錄方式（如：郵箱/密碼、短信/驗證碼、掃碼登錄等）。
你可以根據你使用的技術，來選擇我們的 SDK 或調用相關 API 來接入你的應用。當用戶發起授權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。

<div align=center>Authing 在應用交互中的位置</div>

• 官網：http://authing.cn
• 小登錄：https://wxapp.authing.cn/#/

• 倉庫： 歡迎 Star，歡迎 PR

  • https://gitee.com/Authi_ng
  • https://github.com/authing

• Demo：

  • https://sample.authing.cn
  • https://github.com/Authing/qr...
• 文檔：https://docs.authing.cn/authing/

歡迎關注 Authing 技術專欄