信息化觀察網(wǎng)

最近發(fā)生了一件令人非常震驚的事情，包括億萬(wàn)富翁比爾·蓋茨、馬斯克、奧巴馬在內(nèi)的一些特賬戶遭到黑客攻擊，黑客欺詐用戶Bitcoin。漏洞很快被修復(fù)，但該地址收到了超過(guò)12個(gè)Bitcoin。雖然其中可能有黑客自導(dǎo)自演，當(dāng)托的行為，但可以相信有一些用戶上了當(dāng)，丟失了資產(chǎn)。

損失不僅僅包括用戶的經(jīng)濟(jì)損失，還包括巨大的信任損失。雖然事情的真相尚不清楚，但這件事嚴(yán)重影響了人們對(duì)推特的信任，甚至是對(duì)互聯(lián)網(wǎng)的信任。

其實(shí)，說(shuō)“震驚”，但并不意外。因?yàn)樽鳛閺臉I(yè)者來(lái)說(shuō)，類似的事情可以說(shuō)是層出不窮，只是影響大小不同罷了。我們需要反思，是否是目前互聯(lián)網(wǎng)的架構(gòu)存在缺陷，以至于這類安全事件幾乎一定會(huì)發(fā)生？

譬如說(shuō)，我們看到這些賬戶上都打了勾，這代表這些賬戶受過(guò)驗(yàn)證，可以和真實(shí)世界的人對(duì)應(yīng)起來(lái)，但他們的每次發(fā)言是否都代表了他們的意圖？互聯(lián)網(wǎng)賬號(hào)作為人映射的一個(gè)身份，是否足夠可信呢？那我們今天就來(lái)討論一下，數(shù)字身份和區(qū)塊鏈，能否重塑數(shù)字世界的信任呢？

威廉·吉布森有一句話，經(jīng)常被廣泛引用，我也很喜歡，“The future is already here - it's just not evenly distributed（未來(lái)方興未艾，只是尚未流行）”。如今的互聯(lián)網(wǎng)面臨著什么樣的問題，與信任互聯(lián)網(wǎng)還有多少距離，數(shù)字身份、自主權(quán)身份、分布式身份又是什么，它們是如何幫助互聯(lián)網(wǎng)重構(gòu)信任的，又有哪些挑戰(zhàn)呢？讓我們先從互聯(lián)網(wǎng)面臨的一些問題說(shuō)起。

現(xiàn)在大家在使用互聯(lián)網(wǎng)的時(shí)候，我想或多或少會(huì)遇到以下的這樣一些問題。

第一，賬戶分散導(dǎo)致不便。大家使用互聯(lián)網(wǎng)的時(shí)候，需要注冊(cè)不同的賬號(hào)服務(wù)，記錄在不同網(wǎng)站的密碼真的是難事。很多人選擇在不同的網(wǎng)站使用相同的密碼，這帶來(lái)了額外的風(fēng)險(xiǎn)，只要一個(gè)網(wǎng)站保存不當(dāng)，所謂“拖庫(kù)”，那用戶使用相同密碼的網(wǎng)站的賬戶都受到安全威脅。而如果使用不同的密碼，則很容易忘記，因此經(jīng)常會(huì)點(diǎn)擊重試密碼，浪費(fèi)了很多寶貴的時(shí)間。

第二，個(gè)人隱私數(shù)據(jù)泄露。2018年3月17日，《紐約時(shí)報(bào)》《衛(wèi)報(bào)》和《觀察者報(bào)》，報(bào)道了劍橋分析公司及其關(guān)聯(lián)公司SCL竊取并私自保留了5000萬(wàn)Facebook用戶數(shù)據(jù)的消息。在丑聞曝光一周后，扎克伯格于3月26日在《華盛頓郵報(bào)》《紐約時(shí)報(bào)》《華爾街日?qǐng)?bào)》和6家英國(guó)報(bào)紙上刊登了一整頁(yè)廣告，就數(shù)據(jù)泄露丑聞道歉。致歉信以簡(jiǎn)單的白紙黑字開始：“我們有責(zé)任保護(hù)您的信息。如果我們做不到，就不配為您服務(wù)。”最終事情達(dá)成了和解，F(xiàn)acebook同意成立一個(gè)獨(dú)立的隱私委員會(huì)。Facebook首席執(zhí)行官馬克·扎克伯格（Mark Zuckerberg）將被要求證明該公司的行為，與此同時(shí)Facebook必須在其平臺(tái)上實(shí)行更多的隱私保護(hù)措施。此外，F(xiàn)acebook還被罰款50億美元。但是，隱私數(shù)據(jù)泄露的根本原因仍然還在那里。

第三，身份冒用引發(fā)信任危機(jī)。去年有一段時(shí)間，我的微博賬戶總是莫名其妙給一些營(yíng)銷賬戶點(diǎn)贊，主要是娛樂新聞、微商、減肥、代購(gòu)等信息，點(diǎn)贊數(shù)都在幾千以上，但大都只有零星評(píng)論。我修改了密碼，也清理了登錄的設(shè)備，都無(wú)法解決。最終，我發(fā)現(xiàn)這些行為總是在我連接某一個(gè)寬帶之后出現(xiàn)，通過(guò)配置固定的DNS我解決了問題。做活動(dòng)前，我查詢了一下事情后續(xù)。根據(jù)“隱私護(hù)衛(wèi)隊(duì)”自媒體的報(bào)道，2018年，浙江紹興警方就曾破獲一起黑產(chǎn)利用運(yùn)營(yíng)商管理漏洞劫持流量的案件，包括微博在內(nèi)的96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取，微博是其中之一。

據(jù)了解，該犯罪團(tuán)伙將自主編寫的惡意程序放在運(yùn)營(yíng)商內(nèi)部的服務(wù)器上，當(dāng)用戶的流量經(jīng)過(guò)運(yùn)營(yíng)商的服務(wù)器時(shí)，該程序就自動(dòng)運(yùn)行，從中清洗、采集出用戶 cookie（用戶登錄網(wǎng)站論壇之類的賬戶密碼等數(shù)據(jù)記錄）等關(guān)鍵數(shù)據(jù)。下游公司就會(huì)利用已泄露的數(shù)據(jù)操控用戶賬號(hào)在微博等社交平臺(tái)上點(diǎn)贊、關(guān)注等。

所以你看到的行為未必是真的，因此如果你的伴侶問你為什么要給某些內(nèi)容點(diǎn)贊，你也可以找到一個(gè)好的借口。

這些問題應(yīng)該怎么去解決呢？技術(shù)上總是有辦法。有一些比較直觀的想法，技術(shù)手段幫忙解決。

第一個(gè)問題，不夠便利?？梢园奄~戶統(tǒng)一，一個(gè)賬戶去訪問多個(gè)賬戶或者一個(gè)賬戶去管理多個(gè)密碼。

第二個(gè)問題，隱私的問題?？梢园褦?shù)據(jù)加密，一方面是要提高企業(yè)的能力，比如說(shuō)facebook要把數(shù)據(jù)加密保存，可以第三方使用的時(shí)候去控制數(shù)據(jù)的內(nèi)容和邊界，并且有相應(yīng)的法律在背后去保護(hù)。最終，終極的方案是數(shù)據(jù)在本地加密，這個(gè)密鑰由個(gè)人去管理。

第三個(gè)問題，這件事情是不是你做的。比如說(shuō)你發(fā)一個(gè)微博或者說(shuō)給一個(gè)人點(diǎn)贊，怎么來(lái)驗(yàn)證是不是用戶的真實(shí)企圖呢？可以用數(shù)字簽名這樣一種手段來(lái)識(shí)別用戶的意圖，任何人是沒有辦法偽造用戶的意圖。同時(shí)，也可以用可驗(yàn)證憑證的方式來(lái)驗(yàn)證用戶符合某些條件，而不是要把原始的數(shù)據(jù)披露出來(lái)。

舉個(gè)例子來(lái)說(shuō)明。譬如去酒吧，酒吧需要查看身份證件，以確認(rèn)用戶是否達(dá)到合法年齡，但這會(huì)泄露用戶的信息。通過(guò)電子證書的方式，可以讓酒吧只去驗(yàn)證用戶的證件是否由合法的機(jī)構(gòu)頒發(fā)，并且年齡達(dá)到標(biāo)準(zhǔn)。

傳統(tǒng)的解決方案也非常成型，大家應(yīng)該都很熟悉了，比如：

技術(shù)手段1：使用Open ID的方式，運(yùn)用一個(gè)社交媒體賬戶去登錄多個(gè)網(wǎng)站，這個(gè)大家應(yīng)該都熟悉，國(guó)內(nèi)可能微信登錄或者說(shuō)微博登錄，這也是流行的一個(gè)手段。

技術(shù)手段2：數(shù)據(jù)加密，像PGP，是一種加密的方式。PGP的意思就是Pretty Good Privacy，就是“超贊的隱私”。用本地加密的方式，中間傳的都是密文數(shù)據(jù)，當(dāng)然是沒有辦法泄露隱私。

技術(shù)手段3：數(shù)字證書，這也是比較常見的技術(shù)手段。

雖然這些方式尚未完全流行，但已經(jīng)慢慢在普及了，但似乎總是很割裂，也沒有解決根本問題。譬如，Open ID仍然依賴這些應(yīng)用提供商的可信，PGP如何實(shí)現(xiàn)密鑰和人的對(duì)應(yīng)，數(shù)字證書又是如何和人聯(lián)系起來(lái)，怎樣用一個(gè)普適、易用的方式解決問題呢？

這就回到今天的主題“數(shù)字身份”，我們先看“身份”是什么？在現(xiàn)實(shí)社會(huì)中，身份的主體可以是人、組織、物理設(shè)備，以人為例，身份既是生物信息的總和，也是包括身份證件、駕駛證、結(jié)婚證的證件所給予的社會(huì)認(rèn)同，也包含了社會(huì)關(guān)系。那么數(shù)字身份又是什么呢？

我們來(lái)看這張圖，首先是實(shí)體，實(shí)體可以對(duì)應(yīng)很多身份，就像我今天在這里用真名姚翔，在微信上大家都喊我沙漏。根據(jù) ISO/IEC 24760-1 身份是與一個(gè)實(shí)體相關(guān)的屬性集合，數(shù)字身份則是實(shí)體的數(shù)字化展現(xiàn)，包含個(gè)人身份信息和輔助信息。

自主權(quán)身份稍有不同，是從身份的最終控制權(quán)上說(shuō)的。自主權(quán)身份由用戶完全自主掌控的身份數(shù)據(jù)和標(biāo)識(shí)符，不會(huì)被任何權(quán)力機(jī)構(gòu)撤銷。身份持有者可以完全控制自己的憑證，而不需向中介機(jī)構(gòu)或中央主管部門申請(qǐng)?jiān)S可，并可以控制個(gè)人數(shù)據(jù)的共享和使用方式。

自主身份可以是一個(gè)分布式身份，也可以是來(lái)自社交媒體賬戶的數(shù)據(jù)、電子商務(wù)網(wǎng)站上的交易記錄或朋友或同事的證明。

分布式身份則是從 身份的注冊(cè) 上說(shuō)的，我們看到DID的時(shí)候，可能指的是兩種東西，分布式身份/分布式標(biāo)識(shí)符。全球唯一的持久性標(biāo)識(shí)符，不需要中心化的注冊(cè)機(jī)構(gòu)批準(zhǔn)，因?yàn)樗峭ㄟ^(guò)密碼學(xué)方式生成和注冊(cè)的。

有關(guān) 數(shù)字身份、自主權(quán)身份、分布式身份的關(guān)系如圖所示，這個(gè)圖是我自己整理的，如有問題還請(qǐng)指出。

分布式身份到底長(zhǎng)什么樣子呢？右邊這個(gè)圖是W3C的一個(gè)規(guī)范文檔。我們看圖片中間，DID（數(shù)據(jù)身份）包含了哪些內(nèi)容，這里只列了一些主要的，首先它是有一個(gè)自描述的標(biāo)記符，是全局唯一的標(biāo)識(shí)符"id": "did:example:21tDAKCERh95uGgKbJNHYp"

它包含了一些密鑰，比如說(shuō)你要去指定這個(gè)身份包含哪一個(gè)或者哪一組公鑰，以及認(rèn)證方式，怎么去認(rèn)證身份的行為。比如說(shuō)這個(gè)密鑰是用來(lái)簽名的，這個(gè)密鑰是用來(lái)加密的，這個(gè)密鑰是用來(lái)訪問專門的賬戶，這叫認(rèn)證方式的集合。同時(shí)，密鑰本身就包含了所采用的簽名算法。

還有一個(gè)叫服務(wù)端點(diǎn)，這其實(shí)是一個(gè)去定義身份本身，它會(huì)包含著一些服務(wù)，比如說(shuō)指定一個(gè)URL，說(shuō)這個(gè)身份上的所有證件都可以在這個(gè)網(wǎng)址里找到，就可以通過(guò)訪問這個(gè)網(wǎng)址來(lái)找到證件。此外還包括時(shí)間戳和簽名。

DID和其他各個(gè)組件之間又是什么關(guān)系呢？先看subject，就是上面提到的主體（entity），DID就是用來(lái)標(biāo)記和識(shí)別subject。

還要注意DID和上面的可驗(yàn)證數(shù)據(jù)注冊(cè)表，這是什么關(guān)系呢？DID是基于上面的。什么叫可驗(yàn)證的數(shù)據(jù)注冊(cè)表？這個(gè)賣個(gè)關(guān)子，一會(huì)再說(shuō)。

同時(shí)，DID和一些文檔的關(guān)系。首先要注意，根據(jù)現(xiàn)在的數(shù)據(jù)指引，DID本身是不能包含標(biāo)志符、密鑰，是不能包含個(gè)人信息的，比如說(shuō)證件號(hào)或者名字是不能出現(xiàn)在這里，這些信息是要通過(guò)一個(gè)附加的文檔來(lái)進(jìn)行處理，通過(guò)一個(gè)解釋器去指向文檔。其他的內(nèi)容，詳細(xì)的大家可以去看這個(gè)文檔，我就不展開了。

剛才賣了一個(gè)小關(guān)子，說(shuō)可驗(yàn)證的注冊(cè)器是什么。大家也會(huì)想到今天的題目，數(shù)字身份和區(qū)塊鏈又是什么關(guān)系呢？其實(shí)，區(qū)塊鏈就是一個(gè)無(wú)需許可的、可驗(yàn)證的、持久化的分布式的身份注冊(cè)器，也就說(shuō)我們把這些DID去注冊(cè)在區(qū)塊鏈上。

無(wú)需許可指的是任何人都可以去注冊(cè)這個(gè)身份，可能是一個(gè)公鑰，也可以是一個(gè)智能合約；可驗(yàn)證，任何對(duì)用戶身份的改動(dòng)都需要相應(yīng)的授權(quán)，是沒有辦法偽造的，注冊(cè)一個(gè)身份后其他人是沒有辦法去偽造或者修改身份當(dāng)中的信息；持久化，這個(gè)身份一旦注冊(cè)就可以長(zhǎng)期存在，因?yàn)閰^(qū)塊鏈上的信息具有持久性。

數(shù)字身份會(huì)為區(qū)塊鏈引入更多與現(xiàn)實(shí)世界的連接?，F(xiàn)在區(qū)塊鏈上本身既不能去保存?zhèn)€人信息，但又需要和外界連接，只有和外界、現(xiàn)實(shí)社會(huì)，和真實(shí)的社會(huì)生活、生產(chǎn)發(fā)生關(guān)系，區(qū)塊鏈的價(jià)值才能被進(jìn)一步的豐富，數(shù)字身份就是很好的切入點(diǎn)。通過(guò)上面規(guī)定的這套協(xié)議，可以增加真實(shí)世界的資產(chǎn)信息，與區(qū)塊鏈上的身份或者賬戶產(chǎn)生關(guān)聯(lián)。

現(xiàn)有的區(qū)塊鏈以及相應(yīng)的基礎(chǔ)設(shè)施有助于數(shù)字身份的推廣和落地。如果說(shuō)從頭再來(lái)推廣數(shù)字身份，那相關(guān)的一些應(yīng)用，比如說(shuō)瀏覽器的支持，比如說(shuō)和其他應(yīng)用的兼容性，很多東西是要從頭開始做的。

剛才說(shuō)到在自主權(quán)身份里有一部分是其他人給頒發(fā)的信息，是屬于自主權(quán)身份的一部分，或者說(shuō)DID相關(guān)的文檔。這些信息和數(shù)字身份到底又是什么關(guān)系呢？

這里看到，為了保證這個(gè)文檔本身的可信度，必須要提供相應(yīng)的簽名，所以叫它是可驗(yàn)證憑證（Verifiable Credentials），簡(jiǎn)稱叫VC。這個(gè)的標(biāo)準(zhǔn)定義是說(shuō)現(xiàn)實(shí)生活中的證書能表達(dá)什么信息，就可以用數(shù)字化的方式去表達(dá)等價(jià)信息。

比如說(shuō)你有一張駕駛證，駕駛證上可能有你的名字，證件是哪天頒發(fā)的、有效期、什么樣的車。數(shù)字化證件里就包含了相應(yīng)的信息，以及可信的機(jī)構(gòu)，在我們國(guó)家可能就是公安局、交管對(duì)應(yīng)的簽名，這就是一個(gè)可驗(yàn)證憑證。

簽發(fā)者：對(duì)應(yīng)簽發(fā)這些證書的人就叫做簽發(fā)者，可以是任何身份，包括政府、公司和個(gè)人，但簽發(fā)者簽發(fā)的證書是否有意義，取決于他和現(xiàn)實(shí)生活中的關(guān)聯(lián)。

驗(yàn)證者：就是使用這些憑證的人，回到剛才的例子，比如說(shuō)你要去酒吧，要檢查，如果有駕照自然是大于18歲的，至少在我們國(guó)家應(yīng)該是這樣。就可以使用憑證當(dāng)中所攜帶的信息開展業(yè)務(wù)。

持有者：就是這個(gè)身份的主體，這個(gè)憑證是頒發(fā)給誰(shuí)的，對(duì)應(yīng)著現(xiàn)實(shí)身份的主體。

這些信息的流轉(zhuǎn)就是由簽發(fā)者發(fā)給持有人，然后由驗(yàn)證者去驗(yàn)證這個(gè)憑證是不是符合某些信息，而所有關(guān)于這些信息的登記，都是在可驗(yàn)證注冊(cè)表上。再與區(qū)塊鏈結(jié)合，就是在區(qū)塊鏈上做的。這個(gè)是可以看W3C的關(guān)于可驗(yàn)證憑證數(shù)據(jù)模型的文檔。

那我們看看數(shù)字身份在現(xiàn)實(shí)中可以有哪些應(yīng)用呢？我舉幾個(gè)例子。

應(yīng)用1：健康信息的管理

現(xiàn)在疫情流行，出行可能不便，大家也有體會(huì)，為了控制病毒傳播，在乘坐交通工具或者住酒店的時(shí)候要出示相關(guān)的健康證明，但現(xiàn)在這種模式有幾個(gè)問題：1、容易偽造；2、有可能會(huì)造成隱私泄露，現(xiàn)在做了很多手段、很多保護(hù)，但還是會(huì)有這樣的可能性；3、互認(rèn)標(biāo)準(zhǔn)的問題，到不同的城市都要去申請(qǐng)相應(yīng)的憑證，這里是有一個(gè)數(shù)據(jù)互認(rèn)的問題。

covidcreds這個(gè)網(wǎng)站大概有一百多個(gè)全球機(jī)構(gòu)去嘗試在用數(shù)字身份作為基礎(chǔ)，去解決這樣一個(gè)問題。就采用剛才那套數(shù)據(jù)模型來(lái)實(shí)現(xiàn)對(duì)個(gè)人健康信息的管理和認(rèn)證。

應(yīng)用2：網(wǎng)絡(luò)應(yīng)用登錄

這個(gè)很好理解，比如說(shuō)有個(gè)區(qū)塊鏈賬戶，就可以有它來(lái)登錄傳統(tǒng)的應(yīng)用。如果我是一個(gè)應(yīng)用開發(fā)者，也可以去選擇允許一個(gè)區(qū)塊鏈賬戶來(lái)登錄，這個(gè)賬戶是不需要再注冊(cè)的，具體項(xiàng)目在這里就不展開了。

應(yīng)用3：賦能電子政務(wù)

比如說(shuō)出國(guó)去辦簽證，可能要提交很多資料，非常麻煩。其實(shí)現(xiàn)在歐盟已經(jīng)提供了相應(yīng)的電子化流程，在后面會(huì)相應(yīng)展開。

應(yīng)用4：隱私數(shù)據(jù)保護(hù)

這里提到一個(gè)項(xiàng)目叫Maskbook，大家可能聽說(shuō)過(guò)，它可以讓你在傳統(tǒng)的社交網(wǎng)絡(luò)上去公開加密過(guò)的信息。比如說(shuō)我在微博上發(fā)一條消息，是加密的，別人是看不到或者看不懂的，看到一串亂碼，但是我選擇分享的人，因?yàn)閾碛薪忾_這個(gè)消息的密鑰，就可以解開這個(gè)信息，通過(guò)這種方式來(lái)保護(hù)隱私。

與此同時(shí)，數(shù)字身份也面臨著很多挑戰(zhàn)：

挑戰(zhàn)1：技術(shù)層面。如何實(shí)現(xiàn)信息的有限披露？這個(gè)在技術(shù)上是比較難的點(diǎn)，也有很多相關(guān)密碼學(xué)的研究。密鑰代表你是這個(gè)身份的主人，怎么去存儲(chǔ)它呢？萬(wàn)一丟了怎么辦，這一系列的問題有很多解決方案在探討。

挑戰(zhàn)2：基礎(chǔ)設(shè)施層面。首先，相關(guān)的標(biāo)準(zhǔn)現(xiàn)在還沒有建立。其次，目前的區(qū)塊鏈設(shè)施，不管是公有鏈也好，還是聯(lián)盟鏈也好，尚不能去承載大規(guī)模的應(yīng)用。同時(shí)，比如說(shuō)有不同的鏈，鏈與鏈之間數(shù)據(jù)交換的標(biāo)準(zhǔn)也需要去討論。

挑戰(zhàn)3：法律政策層面。剛才也說(shuō)到歐盟在電子政務(wù)領(lǐng)域的嘗試，如果沒有相應(yīng)的法規(guī)，沒有相應(yīng)的對(duì)數(shù)字身份和可驗(yàn)證憑證的一些定義，以及給予它相應(yīng)法律的支持，那這些應(yīng)用也是很難推廣。

最后給大家介紹一些行業(yè)內(nèi)領(lǐng)先的機(jī)構(gòu)和全球化的組織，包含標(biāo)準(zhǔn)化組織和技術(shù)及產(chǎn)業(yè)聯(lián)盟。

標(biāo)準(zhǔn)化組織

第一，是eiDAS，歐洲電子簽名及信任，這個(gè)是歐盟實(shí)施跨境身份互認(rèn)和開展數(shù)字信任服務(wù)，推進(jìn)數(shù)字單一市場(chǎng)的關(guān)鍵支柱，現(xiàn)在已經(jīng)有6個(gè)國(guó)家，包括德國(guó)、意大利、愛桑尼亞、西班牙、克羅地亞、盧森堡?？梢杂眠@個(gè)國(guó)家eID來(lái)訪問。歐盟其他的會(huì)員國(guó)也必須是承認(rèn)相應(yīng)的eID，在一些政務(wù)領(lǐng)域就必須要提供原來(lái)的那些紙質(zhì)證件。

第二，就是剛才提到的W3C的WG，在之前它還是一個(gè)社區(qū)工作組，現(xiàn)在已經(jīng)是正式的工作組了。這個(gè)是剛剛下午截的圖，是兩天前才更新的，大家一直在討論DID應(yīng)該包含哪些內(nèi)容、數(shù)據(jù)的格式是怎么樣的。這里有很多的區(qū)塊鏈公司，也在貢獻(xiàn)自己的一些思考。

技術(shù)及產(chǎn)業(yè)聯(lián)盟

第一，更像社區(qū)形式組織的，叫DIF（分布式身份基金會(huì)），這是一個(gè)開放社區(qū)，里面有很多機(jī)構(gòu)，現(xiàn)在應(yīng)該有七八十家吧，MYKEY也是最近幾個(gè)月前加入了。它有幾個(gè)工作組，包括存儲(chǔ)、隱私、認(rèn)證等等，這些工作組中大家會(huì)去討論技術(shù)規(guī)范以及可供參考的實(shí)踐方式，討論產(chǎn)業(yè)之間的生態(tài)伙伴怎么去協(xié)作。這里包含了一些像微軟、IBM這樣的科技巨頭，也有很多區(qū)塊鏈公司，也有像萬(wàn)事達(dá)這樣的金融公司，所以大家中間會(huì)產(chǎn)生很多新的想法。

第二，Hyperledger Indy，超級(jí)賬本。超級(jí)賬本的一個(gè)子項(xiàng)目，它是一個(gè)分布式身份管理的技術(shù)平臺(tái)，會(huì)提供一些相應(yīng)的工具、樣板庫(kù)以及模塊化組件，去幫助其他項(xiàng)目來(lái)構(gòu)建自主權(quán)身份系統(tǒng)。

第三，分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟，大概是兩周前成立的，是國(guó)內(nèi)17家單位聯(lián)合發(fā)起的，包括百度等等。這些企業(yè)聯(lián)合起來(lái)會(huì)促進(jìn)數(shù)字身份的行業(yè)應(yīng)用，搭建中國(guó)的數(shù)字身份網(wǎng)絡(luò)。它們有一個(gè)白皮書，預(yù)計(jì)在今年的三季度發(fā)表，到時(shí)候大家可以去關(guān)注。

最后對(duì)今天的分享做總結(jié)：

第一，數(shù)字身份是重塑數(shù)字世界信任的重要基礎(chǔ)設(shè)施，能提高使用互聯(lián)網(wǎng)的便利，也可以更好的保護(hù)用戶隱私。

第二，目前全球各國(guó)、重要行業(yè)組織、公司都重視數(shù)字身份的發(fā)展。

第三，區(qū)塊鏈有助于數(shù)字身份的持久化的登記和驗(yàn)證。

第四，數(shù)字錢包作為數(shù)字身份的載體，有助于數(shù)字身份的推廣和應(yīng)用。

第五，目前數(shù)字身份仍然面臨著技術(shù)、基礎(chǔ)設(shè)施以及法律法規(guī)的諸多挑戰(zhàn)。

也歡迎大家參與到其中討論，與我們共同去打造更好的互聯(lián)網(wǎng)，重塑互聯(lián)網(wǎng)的信任。最后謝謝大家，這是我今天的分享。

互動(dòng)問答

Q：數(shù)字身份真的需要區(qū)塊鏈嗎？

姚翔：剛才說(shuō)到數(shù)字身份需要有一個(gè)注冊(cè)器，就說(shuō)身份得注冊(cè)在一個(gè)地方，目前來(lái)看區(qū)塊鏈?zhǔn)且粋€(gè)比較好的注冊(cè)平臺(tái)，因?yàn)槿绻麤]有這樣一個(gè)地方去注冊(cè)，只能依賴一個(gè)中心組織去注冊(cè)身份，同時(shí)要去查詢身份對(duì)應(yīng)的信息。

有這樣一個(gè)組織當(dāng)然是好，但目前來(lái)看，這可能還會(huì)存在一些問題。比如說(shuō)像推特黑客攻擊事件，雖然有身份，但是沒有在一個(gè)地方登記，其他人并不知道你這個(gè)身份的存在，就沒有辦法去和你溝通，這是我覺得區(qū)塊鏈存在的意義。

反過(guò)來(lái)說(shuō)，數(shù)字身份對(duì)區(qū)塊鏈有什么意義？我覺得這個(gè)也是非常重要的。我舉個(gè)例子，比如說(shuō)在區(qū)塊鏈上要去持有股票，實(shí)際上是要有相應(yīng)資質(zhì)的，不可能說(shuō)任何一個(gè)人都可以去持有。那這些資質(zhì)怎么在區(qū)塊鏈上進(jìn)行認(rèn)定呢？必須要有相應(yīng)的身份標(biāo)準(zhǔn)，必須要有數(shù)據(jù)的檢查標(biāo)準(zhǔn)，一個(gè)是身份，一個(gè)是可驗(yàn)證憑證?？赡芫托枰幸粋€(gè)可信的機(jī)構(gòu)，給這個(gè)身份頒發(fā)一個(gè)可持有股票的憑證，有這個(gè)憑證以后就可以在區(qū)塊鏈上持有對(duì)應(yīng)的資產(chǎn)。

Q：數(shù)字身份的發(fā)展經(jīng)歷了哪幾個(gè)階段？DID現(xiàn)在其實(shí)也有很多科技巨頭已經(jīng)在布局，可以談一下您的看法嗎？

姚翔：我覺得現(xiàn)在還是在業(yè)態(tài)非常早期的時(shí)間，我可能沒有辦法去給出一個(gè)很準(zhǔn)確的定義。其實(shí)今天我引用的很多定義都是由權(quán)威組織給出的，我想談一些自己的看法。

回想最開始上互聯(lián)網(wǎng)，可能去使用論壇，非常簡(jiǎn)單，只需要輸入一個(gè)用戶名、密碼就可以完成注冊(cè)，如果忘記了那沒有辦法，因?yàn)楦揪蜎]有辦法來(lái)鑒別你是“你”，這是最簡(jiǎn)陋的階段。

后來(lái)發(fā)現(xiàn)可以有郵件、手機(jī)號(hào)，可以和名稱去綁定，如果密碼忘記了可以找回。一直到現(xiàn)在可以用微信賬戶去登錄各個(gè)論壇、應(yīng)用，但這些都不是自主權(quán)身份，你的身份都是由相應(yīng)的應(yīng)用來(lái)管理，它隨時(shí)可以撤銷你對(duì)這個(gè)服務(wù)的訪問。

只有當(dāng)進(jìn)入到一個(gè)大家都擁有自己的密鑰，對(duì)身份的認(rèn)證都是基于對(duì)用戶是否擁有公鑰所對(duì)應(yīng)私鑰的認(rèn)證，方法也就是通過(guò)數(shù)字簽名來(lái)鑒別，這可能會(huì)邁向第二階段。

第二個(gè)階段我認(rèn)為就是自主權(quán)身份的階段，現(xiàn)在才剛剛開始。當(dāng)這個(gè)做到很好的時(shí)候，可能每個(gè)人都有自己的密鑰，這樣之后我們會(huì)需要解決更多的數(shù)據(jù)誤操作性等問題。比如說(shuō)不同的區(qū)塊鏈之間怎么互相訪問，也不一定是區(qū)塊鏈，比如自己的密鑰，但是在一個(gè)中心化的機(jī)構(gòu)登記，這也沒有問題，但它怎么去和其他的系統(tǒng)之間產(chǎn)生互認(rèn)，如果是不同的密碼體系，這中間怎么去處理，這是接下來(lái)長(zhǎng)期內(nèi)的一些挑戰(zhàn)。

關(guān)于DID的布局，我們也看到像微軟、IBM，也包括一些金融機(jī)構(gòu)，大家開始在這個(gè)領(lǐng)域去發(fā)力。大家都看到了，在互聯(lián)網(wǎng)的前面一個(gè)階段，賬戶系統(tǒng)變成了非常重要的事情，因?yàn)橘~戶是用戶進(jìn)入互聯(lián)網(wǎng)非常重要的入口，這個(gè)入口可以帶來(lái)非常多的想象空間。比如說(shuō)這些巨頭，不管是微信也好，還是谷歌、facebook也好，擁有了賬戶就擁有了流量，擁有了流量就擁有了無(wú)限的可能性。

為什么別人會(huì)接受微信登錄，而不會(huì)接受一個(gè)很小的論壇去登錄，就是因?yàn)樗@邊天生有非常多的用戶，就有很多業(yè)務(wù)上的議價(jià)權(quán)。

在接下來(lái)這個(gè)階段，即使是分布式身份或者自主權(quán)身份，仍然會(huì)有這樣一些訪問下一代互聯(lián)網(wǎng)設(shè)施的用戶端產(chǎn)品，這些產(chǎn)品可能是新商業(yè)模式的入口點(diǎn)，所以我覺得很多機(jī)構(gòu)在這方面表示重視，可能是出于這方面的原因。但其中會(huì)有很多變化，因?yàn)樵瓉?lái)那套認(rèn)證用戶的模式可能會(huì)發(fā)生變化。

Q：數(shù)字身份和傳統(tǒng)身份，您覺得本質(zhì)區(qū)別是什么？

姚翔：傳統(tǒng)身份和數(shù)字身份我覺得在數(shù)字世界里，首先是完全對(duì)傳統(tǒng)社會(huì)的映射，在數(shù)字世界里有這個(gè)人。比如說(shuō)我在這里是用這個(gè)ID和大家溝通，我也有我的微信，這其實(shí)是有個(gè)映射的過(guò)程。但它會(huì)有一個(gè)問題，這個(gè)映射怎么保證是準(zhǔn)確的？比如說(shuō)像推特黑客攻擊事件，他發(fā)了個(gè)消息，你會(huì)覺得就是他發(fā)的，因?yàn)槟銢]有辦法去認(rèn)證，但如果他是公布了自己的公鑰，就所有人都可以去檢查這個(gè)消息是不是他發(fā)的，因?yàn)榭梢酝ㄟ^(guò)驗(yàn)證簽名，即使攻擊者有辦法去攻擊到中心化的賬戶，但因?yàn)檫@個(gè)消息是沒有簽名的，所以是沒有辦法偽造。

當(dāng)然這不是說(shuō)數(shù)字身份和傳統(tǒng)身份的本質(zhì)區(qū)別，我們要做自主權(quán)數(shù)字身份的目標(biāo)，我們要把真實(shí)的意圖去表達(dá)出來(lái)，不要有偽造、隱私的泄露，其實(shí)我們是更好的去還原現(xiàn)實(shí)中的場(chǎng)景。但同時(shí)又有一些不一樣的地方，比如現(xiàn)實(shí)生活中去簽個(gè)名，這總體來(lái)說(shuō)還是比較好偽造的，不太好鑒別。但在數(shù)字世界里這件事情變得比較簡(jiǎn)單，很難去偽造，或者說(shuō)就是不可能去偽造。在傳統(tǒng)世界可以去臨摹筆跡，當(dāng)然可能會(huì)有專家來(lái)檢查，但對(duì)普通人來(lái)說(shuō)是沒有辦法分辨的。在數(shù)字世界里這個(gè)就變得很簡(jiǎn)單，可以很直接的去判斷，這個(gè)行為是不是由真實(shí)的人做出的，而不是別人冒用。

Q：您認(rèn)為數(shù)字身份最適合應(yīng)用在什么領(lǐng)域？

姚翔：其實(shí)數(shù)字身份會(huì)和很多東西都相關(guān)，因?yàn)楝F(xiàn)實(shí)生活中身份就是自己，和世界萬(wàn)物發(fā)生交互，什么時(shí)候要檢查你是“你”，這時(shí)候身份就會(huì)有用。在互聯(lián)網(wǎng)里面，我覺得什么應(yīng)用是最需要去不停驗(yàn)證用戶身份的，可能比如說(shuō)社交網(wǎng)絡(luò)、金融系統(tǒng)，都是非常需要去檢查用戶是不是他的真實(shí)行為。