身份系统中的一种极端存在：SSI（self-sovereignidentity）

Self-sovereignidentity（SSI）是数字身份系统中的一种极端存在。它的重点是将控制权交还给用户。但SSI并不是解决问题的唯一途径。在身份空间中有很多关于自我主权身份(SSI)的讨论。SSI的使命是将用户置于数字身份管理和控制的中心。以用户为中心的数字身份并不是一个新概念，它是在KimCameron2005年的书《身份法则》中提出的。法则1：身份元系统的成功取决于其用户。SSI以用户为中心，但不仅仅是SSI系统以用户为中心。从理论上讲，SSI很棒。毕竟，数字身份是关于您如何处理可识别您身份的信息——这当然应该在您的控制之下。但是，有几个问题让人怀疑SSI是否真的能满足我们对身份的需求？1.什么是自主身份？自我主权身份使用区块链来注册个人身份属性。这是什么意思？你的身份数据（属性或声明）——决定“数字化的你”或“这个东西就是这个东西”的东西——被注册到区块链的一个块中。区块链是一个分布式账本（没有中央权限控制），其后的去中心化声明是用户控制下可以与请求方（如银行或政府机构等）共享的一部分个人身份数据。SSI的本质是基于可验证的声明。在数字身份领域，验证是一项棘手的工作；它不是那么直观，也不是您可以通过一点“用户友好性”来处理的东西。但像Sovrin这样的组织建立在通过数字身份的分布式账本技术骨干管理可验证声明的概念之上。（Sovrin提供SSI主干。）2.什么是可验证声明？要有效，关于个人的数据点必须是真实的，或者至少具有满足服务提供商要求的一定程度的真实性。已由受信任的第三方验证（验证）的声明被认为是可验证的。Web标准监管机构W3C研究了可验证声明的标准问题。它的研究对以用户为中心和增强隐私的模型极为悲观。他们的主张非常强烈：不存在以用户为中心、增强隐私的可验证声明生态系统。该研究的结论包括：信任是分散的。可验证声明的消费者决定哪些发布者可以信任。用户可以共享可验证的声明，而无需向存储声明的软件代理透露预期的接收者。然而，在这种情况下，是否需要一个去中心化的身份系统来实现去中心化的可验证声明？两者是相互排斥的吗？3.关于SSI的3个关键问题(1)谁支付？我们生活的世界是基于一定的商业结构。这种架构主要是由金钱驱动的。基于呈现可验证声明的身份框架如何应用于服务？谁支付验证费用？如果一家公司付费并与竞争公司共享数据以与其建立信任关系怎么办？我们又回来了吗？回到联邦身份的那些老问题？正如PhillipWindley在2006年所说：毫不奇怪，困难的部分通常不是技术，而是管理这些流程和业务关系以确保联盟可靠、安全并提供适当的隐私保护。自治系统会遇到与联合身份类似的业务问题吗？只有这一次，想必，问题将是按使用付费？提出了一些有趣的观点。他们分析中值得注意的一点是：由于缺乏平台而缺乏前期融资（先有鸡还是先有蛋的问题）。此外，英国政府官员还质问：护照等政府认证的身份证明文件，真的是你持有的数据吗？(2)弱点在哪里？SSI是否是难民的灵丹妙药也不确定。像Sovrin这样的自治框架采用管理模型来维护信任。管家是受信任的第三方——在分布式账本中操作节点的组织。Sovrin目前拥有50多个管家组织提供人力和计算能力。该模型扩展了去中心化的概念。但是管家本身会不会成为系统的软肋呢？网络犯罪分子会攻击管家以获得对节点的控制吗？(3)私密性如何？在去中心化隐私方面，SSI正是这个系统的魅力所在。以Sovrin为例，采用零知识证明作为底层机制，最大限度减少数据泄露。“你18岁吗？”这种类型的问题只透露“是/否”。当然，SSI并不是唯一提供隐私属性的系统。出于隐私目的，有多种使用传统身份服务的方法。其中之一是MutableStatements，由SidSidner于2006年开发。这种机制已经应用于传统的身份服务，类似于SSI，它只公开某些数据，例如“是/否”或某些属性。问题就出在这里。最少的披露固然很好，但如果您想在线购买一双鞋怎么办？卖家怎么能在不知道你地址的情况下发货呢？他们可能会出于营销目的询问您的姓名和其他信息。因此，您的数据已脱离SSI，并以更传统的方式保存。当然，这是你无法控制的。4.身份生态系统之前的PGP协议提供了基于“信任网络”概念的安全电子邮件通信的承诺。PGP似乎有点太“古怪”，总感觉你需要一个博士学位。在计算机科学中使用它。阻碍PGP推广的是可用性而不是它的方法论，甚至PGP的领导者PhilZimmerman自己也停止使用PGP。SSI趋势中也有一丝PGPgeek的感觉。SSI圈子里的人努力构建和集成简单易用的应用程序，但仍然有类似PGP的味道。也许我们不仅需要技术来发挥作用，还需要了解为什么首先使用数字身份，了解真实的用例，并了解此类用例的陷阱。区块链确实有一些适应性很好的用例，并且作为技术堆栈中的附加层具有巨大的潜力。加拿大政府金融委员会秘书处身份管理高级政策分析师TimBouma最近***总结了SSI辩论：最极端（去中心化）的情况是没有服务提供者，但很可能是中心化的，联合和分散选项的组合。这很好，因为有选择可以造就一个健康的生态系统。Self-sovereignidentity（SSI）是数字身份系统中的一个极端存在。它的重点是将控制权交还给用户。但SSI并不是解决问题的唯一途径。至少在可预见的未来，需要结合多种技术来满足身份生态系统的各种需求。SSI当然有用例，但它是否会成为人类解决数字领域问题的主要方式还有待观察。估计除非对以上三个问题有令人信服的答案，否则SSI仍然只是众多解决方案中的一种。Sovrin：https://sovrin.org/W3C对可验证声明的研究：https://www.w3.org/2017/vc/charter.html【本文为专栏作家“李少鹏”原创文章，转载请注明出处通过SafeBull（微信?id:gooann-sectv）获取授权】点此阅读作者更多好文