自主权身份是一种让个人完全拥有和控制其数字身份的模型,并且无需依赖中心化机构。
原文标题:Self-Sovereign Identity: The Ultimate Guide 2022
原文作者:Dock
原文来源:blog.dock.io
编译:ChinaDeFi
原文来自Dock官网。Dock是Web3领域的佼佼者。自2017年以来,Dock的专家团队一直在构建最前沿的可验证凭证和自主权身份技术。Dock创建了这个完整的自主权身份指南,以解释它对组织和个人的重要性,以及该技术如何以一种简单的方式工作。
如果你发现你的博士学位是假的,你会有什么感觉?
如果你是一个食品供应商,当你无法追溯其来源时,你将如何控制一批受污染的产品?
虽然所有这些情况看起来完全不相关,但它们实际上都与过时的验证系统和传统身份管理系统的安全性降低有关。
当我们访问应用程序和网站时,组织机构默认使用中心化和联合身份管理系统(例如使用谷歌或Facebook帐户登录)。中心化系统将数据置于大规模黑客攻击和入侵的风险之下,而联合模式则使公司能够在用户不知情的情况下跟踪用户数据。网络安全支出每年都在增加。
这些问题正是驱动自主权身份模型来管理数字身份的原因。自主权身份有很多优势:
自主权身份(SSI)是一种让个人完全拥有和控制其数字身份而不依赖于第三方的模型。与中心化身份管理相比,你是你身份的老板,可以决定谁可以看到你的数据。你还可以在任何时候删除对数据的访问。
在深入探讨自主权身份的细节之前,首先了解什么是数字身份是很重要的。数字身份是在线存在的任何可以追溯到的个人或组织的数据。可识别数据包括密码、用户名、银行账户和社交媒体照片。
SSI技术使人们可以自行管理自己的数字身份,而不需要依赖第三方提供商来存储和管理数据。目前,自主权身份可以和去中心化身份互换使用。
SSI系统主要有三个参与者:
持有者、签发者和验证者之间的交互有时被称为“信任三角”。每次验证者要求提供信息时,持有者都会选择是否允许他们访问自己的数据。
可验证凭证、区块链和去中心化标识符是自主权身份的三个支柱。
自我主权身份由3个支柱组成:
例如,假设一家新健身房开业,每个员工都必须持有急救培训证书,有效期为三年。
以下是这些角色在自主权身份系统中的作用:
在这种情况下,健身房只需相信急救培训机构是签发者,而且Sandy无法伪造证书。该培训机构的DID是公开的,只有由该签发者签发的作为可验证凭证的急救证书才会被认为对验证者有效。
如果有人试图通过更改数据来制造一个假的数字证书,验证就会失败。失败的验证会表明证书是不真实的,因为签名与签发者的DID不匹配,或者哈希(类似于数字指纹)是错误的。
有了自主权身份系统,用户完全拥有和控制自己的数据,并决定与谁共享数据。
很多人都写过关于身份原则的文章,虽然在不同的作者和组织中,对于什么是自主权身份没有达到明确的共识,但有10个关键原则总结了SSI的基本方面。
在世界范围内,对SSI的讨论越来越多。但这种数字身份的方法从何而来?
Christopher Allen是区块链开发初创公司Blockstream的标准和身份实践专家,也是一名经验丰富的开发人员。他认为,SSI开始于90年代初,当时Pretty Good Privacy(PGP)提到了“信任网”的想法,这是可能成为自主权身份的第一个说法。PGP是一种安全程序,它可以通过数字签名和文件加密对电子邮件进行解密和加密以及对电子邮件消息进行身份验证。
“信任网”是一种可以通过允许对等方充当公钥的引入者和验证者来建立信任的方法,任何人都可以成为PGP模型中的验证者。虽然这种方法是去中心化信任管理的一个很好的例子,但它的局限性在于,它只关注依赖于中心化层次结构的电子邮件地址。除了其他原因外,这也是PGP从未被广泛采用的主要原因。
在21世纪,随着互联网的发展,SSI才真正获得了动力。
自互联网发明以来,网络身份模型经历了以下四个主要阶段:
目前,我们主要使用中心化的标识符,如电子邮件、电话号码和用户名来验证我们的身份,以访问网站和应用程序。随着我们创建更多的账户,我们的个人数据在互联网上传播得越来越多。
阶段1:中心化身份(由单个机构或层次结构进行管理控制)
随着互联网的发展,中心化机构成为数字身份的发布者和验证者。IANA(1988)是一个确定IP地址有效性的组织,ICANN(1998)是仲裁域名有效性的组织。1995年,证书签发机构帮助商业网站验证其身份。
一些组织超越了中心化,并创建了层次结构,其中根控制器将选择其他组织来监督自己的层次结构。但是根控制器总是有更大的能力。随着互联网的发展,中心化机构的权力越来越大,因为需要越来越多的人来管理越来越多的数字身份,但他们本身却无法控制它们。
这种模式是一个孤立的模式,系统之间是相互隔离的,因为人们必须为每个平台创建一个数字身份帐户。平均每个人有100个密码,悉尼大学对澳大利亚、英国和美国的社交媒体用户进行的一项调查显示,三分之一的人不信任社交媒体公司的数据。这造成了糟糕的用户体验,因为他们必须管理越来越多的帐户。
阶段2:联合身份(由多个联合机构进行管理控制)
为了解决第一个孤立的数字身份模型导致的问题,所以就开发了联合身份。联合身份允许授权用户使用一组凭证访问多个应用程序和域,就像人们可以使用他们的谷歌或Facebook登录网站或应用程序一样。联合身份将用户的身份跨多个身份管理系统链接起来,这样用户就可以高效地访问不同的应用程序。
微软于1999年推出的Passport是最早提供联合身份的产品之一。
在联合身份识别系统中,个人数据经常在人们不知情的情况下被存储、跟踪并共享给其他方。2019年,Facebook在亚马逊云服务器(CBS)上暴露了5.4亿个用户记录。目前,每39秒就有一次黑客攻击。
阶段3:以用户为中心的身份(跨多个机构的个人或管理控制,而不需要联合)
2000年,增强社交网络(Augmented Social Network)为下一代互联网的新型数字身份奠定了基础。他们建议,应该在互联网的架构中建立一个持久的在线身份。数字身份的关键进步是假定每个人都应该有权控制自己的网络身份。
随着时间的流逝,该领域开始关注一个新术语:以用户为中心的身份。
以用户为中心的身份模型表明,用户必须对自己的身份有更多的控制权,信任必须建立在去中心化上。以用户为中心的方法倾向于关注用户同意和互操作性。
以用户为中心的身份的所有权仍然属于注册它们的实体。仅仅以用户为中心是不够的。
阶段4:自主权身份(个人可以完全控制任意数量的权力)
自主权身份是超越以用户为中心的身份的下一步。自主权身份一词在2010年代被更多地使用,当时人们主张人们不仅是身份认同过程的中心,而且他们是自己身份的主人。
2020年,3.3万名失业申请人面临数据安全漏洞。
组织
个人
开发人员
像Dock这样的自主权身份平台使人们和组织能够在去中心化的网络上创建、管理和存储他们的数据。
我们将讨论SSI三大支柱的关键细节,即区块链、去中心化标识符和可验证凭证,以及它们如何协同工作的。
SSI支柱1:区块链
区块链是一个将信息记录在数字分布式数据库中的系统,该数据库在区块链网络中的计算机之间共享。这些计算机被称为节点。区块链的设计方式使得更改、攻击或欺骗系统变得非常困难。每个区块都有关于前一个区块的惟一数据,一旦验证了区块上的数据,就将它们添加到区块链中。
自主权身份区块链的主要特性:
让我们考虑一个公司,其中只有一个人可以访问财务记录和历史。如果他们改了数据,谁会知道?对于这种变化,很有可能没有可追踪的证据或记录,所以他们可以很容易地窃取金钱或实施欺诈。但是,如果所有交易都记录在一个区块链上,其他工作人员可以审计和检查交易,以确保它们是准确的。
以下是各方如何在自主权身份系统中使用区块链:
区块链允许持有者、签发者和验证者拥有相同的事实来源,即哪些凭证是有效的,以及谁验证了凭证中数据的有效性。
身份和凭证并不存储在区块链上,而是存储在持有人的数字钱包上。
支柱2:去中心化标识符(DID)
每个上网的人都有一个数字标识符,比如电子邮件地址或用户名。今天,我们主要依赖中心化的标识符,如谷歌、Facebook、电子邮件提供商或移动网络运营商来连接网站和应用程序。这些公司可以知道我们给谁发了信息,我们买了什么,我们住在哪里,我们的位置等等。
去中心化标识符(DID)允许人们创建数字身份,他们可以安全地连接到他们的可验证凭证,在未经授权的情况下不会泄露个人信息。DID允许我们对数据拥有完全的所有权和控制权。拥有多个DID使得人们更难将这些DID连在一起。
DID是由一串独立于任何组织的字母和数字组成的惟一标识符。
下面是一个Dock DID的示例:
一个DID:
人们可以根据不同的目的和交互来创建尽可能多的DID。例如,某人可以生成三种不同的DID:
用户可以为不同的目的和交互创建任意数量的 DID。
要了解私钥和公钥是如何工作的,重要的是要理解什么是加密。加密是一种获取信息并对其内容进行加密的过程,只有特定的人可以看到你的信息。
有两种加密方式:
假设Ellen有一份文件,她想和同事Ken分享。她使用一个加密程序,用她选择的密码来保护文件。她将消息发送给Ken, Ken无法打开消息,因为他不知道密码,就像他没有“钥匙”可以打开锁来访问文档一样。
Ellen不想通过电子邮件分享密码,因为其他人可以用它来解密Ellen和Ken之间的任何信息。这是对称加密的问题,也是非对称加密试图解决的问题。
使用非对称加密,Ellen和Ken必须在他们的电脑上生成一个密钥对。公钥和私钥将相互链接。可以使用公钥对数据进行加密,只有匹配的私钥才能对数据进行解密。但是如果你知道某人的公钥,你就无法访问他们的私钥。
Ellen和Ken可以使用非对称加密来安全地相互通信。
非对称加密用于安全性非常重要的地方,安全电子邮件的网站或加密货币,以确保只有钱包的所有者可以从钱包中提取或转账。
每个 DID 都带有一个或多个私钥和公钥。
每个DID都附带一个或多个私钥和公钥。
想想街道上的一个公共邮箱,很多人都知道它的位置。任何人都可以投递信件,但只有信的主人才能打开它。邮箱地址就像公钥一样,每个人都可以知道。邮箱的所有者是唯一拥有打开邮箱所需的私钥的人。
为了获得额外的安全性,你可以在与不同方进行交易时生成一个新的公钥,以减少有人将数据串联起来的机会。
SSI支柱3:可验证凭证
身份证、证书和学位很容易被伪造,如果不去像大学或许可机构这样的机构进行繁琐的核对,他们几乎没有办法验证这些证件的真实性。但可验证凭证允许验证者如雇主或应用程序在几秒钟内进行验证。
可验证凭证是纸质和数字凭证的数字加密安全版本,人们可以向需要它们进行验证的各方出示。例如,雇主可以简单地使用应用程序扫描求职者的二维码来确认他们是否有学士学位,而不需要花费几天或几周的时间联系大学来验证某人的学位是否真实。
区块链公司可以通过两种主要方式让人们保护隐私:
你可以决定要向验证者显示凭证的哪些数据,而不暴露除请求内容之外的不必要信息。
通过零知识证明技术,自主权身份提供商甚至可以进一步帮助人们维护隐私,无需透露出生日期就能证明自己已经年满18岁。这可以通过使用密码学实现,持有者可以向验证者表明他们满足某个要求(如最低年龄、收入或居住区域),而无需显示支持该证明的数据。
我们将通过一个例子来演示SSI的所有这些支柱是如何一起工作的。
假设有一个关于如何使用项目管理工具的在线课程,该课程将在学生完成课程后签发一个证书作为可验证的凭证。
一个安全的自主权身份钱包是必不可少的,因为它允许人们携带他们的凭证在他们的手机或数字设备的任何地方。可移性是SSI的原则之一。
SSI钱包的关键方面:
如果Sarah想买酒,并且需要证明自己至少年满18岁,她可以使用一款“自主权身份”,无需透露生日或其他任何身份细节,该钱包采用了零知识证明技术。
SSI可以在各种部门以多种方式使用,新的用例正在不断开发中。下面只是几个例子。
供应链
在追踪区块链跟踪的产品来源时,立即核实供应链中的各方和文件。
简化招聘流程
希望高效招聘高素质人才的机构可以通过SSI即时验证教育和专业证书。与传统的人工验证流程相比,这将节省几天到几周的时间。
医疗保健
为了根据患者身份和病史的准确信息提供高效、一致的服务,SSI可以帮助维护可与相关医疗保健提供者高效共享的准确记录。
验证员工和承包商
组织可以为雇员或承包商的身份签发可核实的凭证。持有人可使用其自主身份钱包登录。
NFT
SSI可以帮助证明谁在其生命周期中创建、拥有或目前拥有NFT。SSI可以让某人证明他们拥有一个NFT,而不需要连接他们的ETH钱包。
收入证明
可以提供收入证明,但不必透露你的实际总收入。
为俱乐部或公司等组织投票
SSI可以用来确保只有成员才能参加和投票。他们的证书将与DID联系起来,他们的名字不会被透露。
自从互联网发明以来,人们主要使用中心化和联合的标识符,如电子邮件和用户名来访问网站和应用程序。中心化身份识别系统常常使组织容易受到大规模黑客攻击和数据分支的攻击,而联合系统则可以使公司在用户不知情的情况下使用用户的个人数据存储和跟踪他们的在线活动。中心化身份管理系统已导致数次的数据泄露。
此外,由于ID和凭证的验证过程非常缓慢、昂贵、低效和过时,凭证造假和缺乏产品可追溯性是许多行业的一个大问题,特别是在供应链和许可方面。
这些问题使自主权身份得到发展,该模型赋予个人对其数字身份的完全所有权和控制权,而不依赖于第三方。越来越多的用例可以在包括医疗保健、金融、教育和加密货币在内的多个领域实现自主权身份管理。
责任编辑:Felix