自主权身份简介
2017 年 5 月,印度互联网与社会研究中心(Centre for Internet and Society)发布了一份报告,其中详细说明了印度国家身份数据库(Aadhaar)泄漏的方式,这对个人信息造成了潜在的威胁。这些信息涉及到超过 1.3 亿位印度国民。这次泄漏给金融诈骗创造了一个极佳的机会,并且对牵连到的个人的隐私造成了无法挽回的损害。
很明显,中央身份存储库(Central identity repository)模型存在缺陷。本文则描述了一个管理我们的数字身份的新范式:自主权身份(Self-sovereign identity)。
自主权身份是这样的概念:个人和企业可以解开对中央身份数据库的依赖,而将身份数据存储在自己的设备上,并将其高效地提供给那些需要验证它的人。这是一种数字化的方式,通过这种方式来完成目前我们通过纸质文件来做的事情。比起当前的人工处理与印度 Aadhaar 等中央仓库,这样做是有好处的。
高效的识别过程可以促进普惠金融(Financial inclusion)。通过降低银行为小企业开户的成本,融资对银行而言变得有利可图,因此小企业也能获得融资。
身份中重要的概念是什么?
身份,分为三个部分:声明(Claims),证明(Proofs)和认证(Attestations)。
声明
一个身份的声明是由个人或企业所做出的声明:
“我的名字是安东尼,我的出生日期是 1901 年 1 月 1 日”
证明
一份证明,是为声明提供证据的某种形式的文档。证明有着各种各样的格式。于个人来说,它通常是护照、出生证明和水电费账单的复印件。而于公司来说,就是一系列关于注册登记(Incorporation)与所有权结构(Ownership structure)的文件。
认证
认证,是当第三方根据他们的记录进行验证时,声明是真实的。例如,一所大学可能会对某人在那里学习并获得学位这些情况进行认证。一个来自官方权威的认证比证明更有力(证明有可能是伪造出来的)。然而,鉴于信息可能是敏感的,认证对当局来说是一种负担。这意味着需要维护这些信息,使得只有特定的人才能访问它。
身份中存在什么问题?
银行需要对他们的新顾客与商业客户进行一番了解,检查他们是否符合资格,从而规避处于黑名单中的那些用户。他们还需保持所了解到的客户信息是最新的。
存在下面几个问题:
- 证明通常是采用图像和影印形式的非结构化数据(Unstructured data)。这就是说,为了提取出相关的数据以输入到系统中进行存储与处理,银行的工作人员必须手动读取和扫描文档。
- 当现实生活中的数据发生变化时(例如地址变更,或公司所有权结构发生变化),客户有义务告知与他们有关系的各种金融服务企业。
- 某些形式的证明(例如原始文件的复印件)可以被轻易伪造,这就意味着需要采取额外的步骤来证明其真实性(例如经过公证的复印件),如此会导致额外的开销。
这些问题的存在令人们感到烦心,因为它们导致处理流程变得昂贵、耗时并且麻烦。
技术上的改进是什么?
无论采用何种整体解决方案,上述的三个问题都需要从技术方面解决。标准和数字签名的组合就能做得很好。
将数据以机器可读的结构化格式进行存储与传输(例如将文本存储在带有标准标签的盒子中),就是改进非结构化数据的技术解决方案。
管理数据中的变化的技术解决方案,则是用一个通用方法来更新所有必要的实体。也就是说要使用一些 API 来进行连接,自我验证(证明这是您自己的帐户),并更新详细资料。
而证明身份中,"证明(Proofs)"部分的真实性,相应的技术解决方案是采用数字签名认证(Digitally signed attestations),它或许带有时限。数字签名的证明实际上就等于认证,因为数字签名是无法伪造的。数字签名的两个特性令其从本质上优于纸质文档:
- 如果被签名过文档发生任何更改,数字签名就会失效。换句话说,他们保证了文件的真实性。
- 数字签名不能被 '解除',也不能从一个文档复制到另一个文档。
何谓集中式解决方案?
通常的身份管理方案是一个中央存储库。第三方拥有(并且控制)存有许多人身份的存储库。客户输入他们的真实情况到系统中,并且上传能够支持这些情况的证据。无论有谁需要(当然还需要得到客户的许可),都可以访问这些数据,而且可以系统地将这些数据吸纳到他们自己的系统中。当其中的详细信息出现变化,客户就会进行更新,并将相应更改推送到有联系的银行。
这听起来妙不可言,它肯定是有一些优点的。但这个模型存在着一些问题。
集中式解决方案中存在哪些问题?
1. 毒性数据
掌管这个身份存储库是一把双刃剑。一方面,运营商可以通过收取便利的费用来赚钱。另一方面,这些数据对运营商来说是一个负担:中央身份系统对黑客来说如同金矿,这也是令运营商头痛的的网络安全问题。
如果黑客可以侵入系统并复制数据,他们可以将数字身份和与之相关的证明文档倒卖给其他坏蛋。然后,这些坏蛋就能以无辜者的名义来窃取身份,并进行欺诈和犯罪。这会破坏无辜者的生活,并给运营商创造极大的负担。
2. 管辖权政策
监管机构希望将个人数据存储在其控制下的辖区的地域边界内。由于始终存在着关于 ”数据存储在哪个国家,以及谁有访问权限“ 这样的争论,因此要创建一个国际性的身份存储库是艰难的。
3. 垄断倾向
这对于中央储存库运营商来说算不上问题,但对用户来说这就是个问题了。如果公用事业运营商获得足够的吸引力,网络效应会让它们吸收到更多用户。则公用事业运营商就能成为准垄断者。垄断职能的运行商往往会对变革产生抵触情绪。而由于缺乏竞争压力,他们滥收费用,并不再创新。这对于运营商来说是美好的,但却损害了用户的利益。
化整为零的方案是什么?
答案是区块链吗?
区块链是一种分布式账簿,其中所有数据都可以实时复制到所有参与者。是否应将身份数据存储在由多个参与实体(比如较大的银行)管理的区块链中?这不可行:
- 将所有身份数据复制给各方,则破坏了各种规则:将个人资料保存在一个管辖范围内;只存储与业务相关的个人数据;只存储客户许可的数据。
- 增加了网络安全风险。如果一个中央数据存储难以确保安全,那么把这些数据复制到多方,将使得攻击者更容易窃取到数据,因为每一方都有自己的网络安全实践与漏洞。
若身份数据是加密的呢?
- 加密的个人数据仍可能违反个人数据规定。
- 各方(比如银行)凭什么要存储和管理一堆他们无法看到或使用的身份数据?这对他们有什么好处?
那么答案是什么呢?
脱颖而出的答案是 “自主权身份”。这个数字概念与我们当前保持非数字身份的方式非常相似。
今天,我们将护照、出生证明和水电费放在自己的控制之下,也许放在一个 “重要的抽屉里”,我们会在需要时把它们亮出来。我们不会将这些纸质文件交给第三方保存。自我主权的身份相当于我们现在使用的这些纸质文件的数字等价物。
自主权身份如何运作?
您将在智能手机或计算机上安装一个应用程序(某种“身份钱包”),身份数据将存储在您的设备硬盘中,这些数据可能会备份在另一台设备或私人的备份解决方案上,但关键是不会将其存储在一个中央储存库。
您的身份钱包开始是空的,只带有从公钥衍生出的自生成身份号码(Self-generated identification),以及与其相对应的私钥(就像一串密码,用于创建数字签名)。这个密钥对与用户名和密码不同,因为它是用户通过“摇骰子(随机算法)并做一些数学运算”创建出来的,而不是从第三方申请一个用户名/密码组合而得来的。
在此阶段,世界上没有其他人知道这个身份号码。也没有人把它发给你,它由你自己创建。这个身份号码是自主权的。大的数字和随机性的规律确保了其他人不会生成与您相同的身份号码。
然后,您使用此身份号码以及您的身份声明,并从相关部门获取认证。
您可以使用这些经过认证的声明作为您的身份信息。
声明将通过将文本输入到标准化文本字段中,以及保存照片或扫描的文档来进行存储。
证明将通过保存证明文档的照片或扫描件来进行存储。不过这只是为了向后兼容,因为数字签名认证除去了我们今天所了解的对证明的需求。
认证也会存储在这个钱包里。它们将是机器可读的,信息中的数字签名片段,这些片段在某段时间内是有效的。有关部门(如护照机构,医院,车管所,公安局等等)需要用数字签名对它们进行签字。
点到即止地了解:认证方可以提供“捆绑”的认证声明(如“大于 18 岁”,“大于 21 岁”,“合格的投资者”,“可以驾驶汽车”等),以供用户使用在合适的场景中。身份的所有者将能选择传递给任何请求者信息中的哪些片段。比如说,如果您需要证明自己已超过 18 岁,则无需共享出生日期信息,只需要一份由相关机构签署的声明,说明您已超过 18 岁即可。
共享这种数据对于身份提供者和接收者都是安全的。提供者不需要过度分享,而接受者也不需要存储不必要的敏感数据(比如说,若接受者被黑客入侵,对方仅能存储 “大于 18 岁” 的标志,而非出生日期)。
即使是银行本身也可以证明有账户的人。首先我们要了解他们在创建这些认证时所承担的责任。我认为,彼时他们向您发送银行对账单(您可以用于作为地址的证明)时所承担的责任不会比现在多。
数据共享
数据将存储在个人设备上(正如当前保存在家中的那些纸质文件),当收到请求时,个人将准许第三方收集特定数据(通过在他们的设备上点击相关通知),我们已经有类似的机制 —— 如果您曾通过“链接”您的 Facebook 或 LinkedIn 帐户使用了服务,这是类似的 —— 但并非通过 Facebook 的服务器收集您的个人数据,而是通过你的手机。并且您可以对共享的数据进行细粒度的掌控。
总结 —— 以及分布式账簿
由谁来进行编排呢?这也许就是分布式账簿(Distributed ledgers)发挥作用的所在。软件,网络和工作流都需要被构建,运行与维护。数字签名需要公钥和私钥,这些都需要进行管理。并且证书需要被发布、撤销和更新。依据某些业务逻辑可知,身份数据并非静态的,它需要演变。
非区块链分布式账簿将是一个理想的平台。R3(注:本文作者在R3工作)的 Corda(该公司的一种分布式账簿服务)已经具备许多必要的元素 —— 协调的工作流、数字签名、数据演变规则,以及由 80 多家金融机构组成的联合体正在试验这一确切的自主权身份概念。
腾讯云开发者
