什么是自我主权身份？

免责声明

该材料的专家建议由 CryptoEssay Telegram 频道 Stepan Gershuni 的作者提供。

什么是主权身份？

主权身份（Self-Sovereign Identity，SSI）是关于一个人的一组信息，她可以控制，与任何私人或公共机构共享，并随时随意撤销对他们的访问。  

SSI 系统基于去中心化的技术架构，旨在优先考虑安全性、隐私、个人自主权和用户自我实现的能力。

主权身份提供了哪些机会？

SSI 允许你创建独立于中心化提供商的通用终身数字身份和凭证。该技术的经济效益可以从以下独特的 SSI 特性中获得：

• 降低签发和验证文件的成本。 

• 信息标准化——通用数据标准的实施。 

• 反欺诈 – 加密货币签名比物理签名安全数百倍。

• 加密货币数据的去中心化存储比大型中心化数据库更不易受到攻击。 

• 上下文的统一 – 以编程方式组合和组合来自各种来源的数据以进行内容验证和审计的能力。 

• 即时验证数据的机密性 – 用户控制对其信息的访问，允许 SSI 系统遵守信息安全要求。 

• 个性化 – 用户可以创建偏好或成就组合，并使用它来接收个性化服务。

SSI解决了什么问题？

数据碎片化

数字世界具有许多互连，需要一种新型文档——对每个用户开放和访问，原生数字化，在个人计算机或电话上可用，永久的，可证明的，不需要用户依赖供应商。

作为社交媒体、银行和政府的替代方案，SSI 提供了可以连接多个应用程序并共享数据的一站式解决方案。 

标准的预定义性质使它们更易于采用并降低了维护和开发它们的成本。与包含成百上千个 API 的传统安装模型不同，SSI 允许你只安装一次文档架构，之后任何第三方都可以立即使用它。虽然这些计划本质上是公开的，但任何个人数据只能在拥有人的明确许可下共享。 

组合隔离存储系统的另一个优点是它允许你从原始数据中受益。例如，一个总是准时到工厂的工人可以向未来的雇主证明他的准时。完成数千个家庭作业的学生可以在进入大学时制定个性化的学习策略。 

文件处理效率低下 

通常，任何证书（证明文件）的价值不在于文件的内容，而在于对其所有者开放的服务、产品和机会。例如，为了找到工作或获得研究资助，你可能需要教育文凭；需要财务详细信息才能获得信用卡或创建公司银行账户等。 

为了加快服务的交付并使其更加方便，有必要使官僚系统自动化。身份数据的验证和增持，以及处理文件，应该由算法而不是人来执行。自动化简化、现代化、标准化和加快流程，并解决腐败、歧视和个人偏见。 

随着使用可验证身份和 SSI 的官僚系统数量的增加，对该过程的信任将会增加。例如，在银行完成对商誉和合规性的 KYC 检查后，客户可以使用结果从另一个组织获得另一项服务，前提是该组织信任银行。 

数据标准化 

为了进一步扩展和自动化现有的信任系统，有必要实施一个既适用于人类又适用于机器的标准。随着由软件生成和验证的文档数量的增加，对机器可读数据的标准化格式的需求也在增加。

数据标准化还解决了集成不同数据提供者和验证者的问题。创建一对一的 API 集成是一个昂贵且耗时的过程——整个行业或国家都可以采用由经过验证的身份支持的共享数据格式。 

保密 

最终用户和监管机构越来越重视数据保护。企业被迫考虑监管机构的要求——加州消费者数据保护法、欧盟通用数据保护条例、美国联邦信息安全管理法等。

遵守欧盟的《通用数据保护条例》将使财富全球 500 强公司每年损失 78 亿美元，而遵守《加利福尼亚消费者数据保护法》将使美国企业损失 550 亿美元。 

SSI 技术允许你实现所有隐私保护功能：数据的透明使用、被遗忘权、数据使用审计、通过版本控制系统管理监管批准。

在数字时代，SSI 可能是监视资本主义问题的解决方案。如果用户能够控制其个人数据并选择与谁共享以及何时撤销访问权限，则该数据不能用于犯罪目的。未经用户明确许可，互联网公司不能将其用户货币化。此外，他们将被要求与用户分享利润。在线业务将改变范式：从努力从用户那里获取最多数据，它将转向提供更好的服务。

主权身份是如何产生的？

根据一些研究人员的说法，主权身份概念的出现是试图在个人层面实施威斯特伐利亚国际关系体系的结果。这一制度是在威斯特伐利亚和约的基础上产生于欧洲，作为总结 1648 年结束的三十年战争的协议。《威斯特伐利亚和约》的主要原则——主权国家、自决和直接自治——今天仍然有效。 

SSI 的思想渊源是自主权的概念。该概念的持有者认为，独立（主权）自治的可能性是人性的“与生俱来”的显着特征。她甚至在“注册”程序之前就在场，这使得参与公共生活成为可能。“注册”行为意味着一个社会控制的管理过程对于身份的存在是必要的。同时，社会被视为身份的所有者，个人被视为社会经济管理的一种产物。 

身份管理是实现数字主权的关键因素，即个人以知情和独立的方式采取行动和决策的能力，以及控制自己的数据、设备、软件、计算设备和其他技术的能力。

通常，“主权身份”一词与“去中心化身份”和“数字身份”等表达方式互换使用。

以数字方式表达和存储的数字身份与互联网的发明同时开始发展。域名、电子邮件地址、社交媒体账户都是数字身份的例子，没有这些，现代人的日常生活是不可能的。

SSI 架构如何工作？

数字身份由三个元素组成：去中心化标识符 (DID)、身份验证系统和可验证凭证认证系统。 

除了这些元素之外，SSI 还包括 DKMS，一个去中心化的密钥管理系统。它用于使用数字签名管理私钥。 

去中心化标识符 (DID)

DID 是任何人、组织或事物的机器可读标识符。它可用于断言对数字身份的控制以及发布或接收可验证的身份。 

一个用户可以有许多标识符（用于企业、政府、密友）。通常，ID 是免费且易于生成和控制的。 

可验证凭证 

可验证的身份证明文件 – 由一个 DID 发行人签发然后发送给另一个（所有者）的文件和事实。发行人和所有者可以是同一实体，但通常情况并非如此。根据用例，经过验证的 ID 可以是最简单的数据（电子邮件地址、电话号码或实际地址的证明），也可以是相对复杂的结构，如银行对账单。

SSI 架构。数据：中等。

SSI 的四个元素构成了堆栈架构：

• 在第一层，身份的固定发生了； 

• 在第二层，与底层分布式账本交互以及用户数据和私钥的存储； 

• 在第三级，使用第二级数据来验证用户的身份。

在 Verifiable Credentials 层成功认证后，可以发送各种凭证来验证用户的身份。各层的交互类似于 TCP/IP 协议套件的工作。每一层都有自己的协议和规范。

有哪些 SSI 组织？

由于 SSI 需要一系列协议的密切互操作性和协调性，因此技术进步取决于统一的规范和明确定义的协议。它们可以由非营利组织提供，例如：

• 重新启动信任网络 (RWoT)；

• W3C 证书社区组（W3C CCG）；

• 去中心化身份基金会（DIF）；
• 互联网身份研讨会 (IIW)。

这些组织在过去五年中一直卓有成效地工作。其中最活跃的是 RWOT。自 2016 年以来，该组织已发布 56 篇白皮书，以及许多技术规范和开源。 

RwoT 技术规范已提交给 W3C 和 IETF 以供进一步规范。DID 规范草案主要基于 RWoT 的工作（甚至 SSI 本身也是在 RWoT 中创造的）。

SSI 架构中使用了哪些规范？

1. 去中心化标识符（DID）

DID 是 SSI 架构中最低和最关键的层。它负责写入/读取分布式账本中的身份。由字母和数字组成的去中心化标识符是唯一的，并与特定分布式账本中的 DID 文档相关联。 

DID 由以下组件组成：

• DID 方法是位于去中心化标识符中的标识符，用于解析每个 DID。每个注册中心都有特定的 DID 方法和相应的创建/传输文档的规则。例如，在以太坊注册的 ID 的格式将是 did: eth: 12345。对于能够定义 DID 方法的解析引擎，它必须向 W3C 注册。

• DID 文件。分布式账本可以被认为是一个键值数据库。DID是key，分布式注册表中记录的DID文档作为对应的值。DID 文档包含代表身份的公钥、身份验证方法、能够与该身份交互的服务端点等。 
• DID 转换引擎。它有助于高层协议轻松挑战 DID 文档。转型方可以分析各种DID方法，然后将分析结果返回到更高层次。上层协议不需要知道文档解析的细节。

去中心化标识符。数据：中等。

2. 去中心化的密钥管理系统

DKMS 架构。数据：中等。

DKMS 是使用 SSI 的主要接口。除了与基本 DID 通信之外，它还必须提供凭证存储、复制私钥等。 

从规格上来说，DKMS可以分为三个子层次：

• DID 层负责与底层分布式账本通信以执行 DID 查找。

• 云层负责存储个人数据以供更高级别的协议使用 
• 边缘层负责管理私钥。

3.DID认证

DID 身份验证规范还没有单一的标准，但 RwoT 已经发布了许多解决标准化问题的文档。 

DID 认证系统做一件事：它允许用户证明他们有一个身份。所需要做的就是证明用户拥有与 SSI 公钥对应的私钥。一旦身份验证完成，就可以创建一个通信渠道，个人可以通过该渠道交易所经过验证的身份和其他资源。

有多种身份验证协议 – OAuth、OpenID 等。与这些协议类似，DID 认证系统使用问答模式：验证者提出请求，ID 的所有者回答，一方确认答案的真实性。

DID 身份验证。数据：中等。

4. 可验证凭证 (VC)

VC是SSI架构中最早、最成熟的规范。作为一种高级的 SSI 协议，它只有一个目的：替换用户钱包中的所有身份证明文件。 

VC 是一种加密货币安全的数字证书，可用于各种应用。对于 VC，身份是一个连贯的整体。它完全由所有者控制，根据使用场景，所有者可以出示某些身份证明文件。 

VC由三部分组成：

• 描述主题-属性-内容关系的主题语句。例如，短语“Alice – student – school”将 Alice 描述为一名女学生。 

• 证书元数据包含有关证书的附加信息：类型、颁发者、颁发时间等。

• 证明：证明发行人内容的数字签名。

可验证的凭据。数据：中等。

SSI是如何发展的？

在过去的几年中，SSI 生态系统一直在快速发展——出现了新的应用程序、协议、规范。 

政府机构、企业和大学正在推出基于该技术的产品和试点项目：美国国土安全部、欧盟委员会、Europass、世界银行、世界经济论坛、麻省理工学院、哈佛大学、大学伯克利、英国国民健康服务、新加坡办公室移民和边境管制、IBM、微软、SAP、甲骨文、芬兰、加拿大、韩国和许多其他国家的政府。 

2021 年 3 月，微软在开源比特币区块链上推出了 ION 去中心化身份识别解决方案。该技术将允许用户识别自己的身份，以便访问某些信息。如果该帐户被删除，对链接到该帐户的服务的访问权限将保留。与第一个加密货币网络上的交易签署类比，DID 是所有权证明。各个 ION 节点负责监控标识符并为区块链添加时间戳。

2021 年 4 月，Cardano 加密货币 IOG（前身为 IOHK）背后的公司与埃塞俄比亚政府签署了在该国部署 Atala PRISM 去中心化识别系统的协议。该解决方案将在埃塞俄比亚的 3,500 所学校实施，以防止未经授权访问 500 万学生的进度记录。IOG 认为 Cardano 和 Atala Prism 将有助于“为 17 亿非洲人实现社会和金融服务的民主化”。

与 IOG 的合作将启动政府数字埃塞俄比亚 2025 战略的实施，根据该战略，当局引入了国家识别标准。Atala PRISM 是第一个基于它的身份发布系统。

最终用户应用程序的数量还没有人们对一项可能针对数十亿用户的技术所期望的那么大。

开发和采用 SSI 的障碍是什么？

大规模采用主权身份技术的道路面临以下障碍：

• 用户没有必要灵活集成数字钱包和支持服务来控制丢失证书和数据的过程。 

• 与数据保护系统相关的现有法规不适用于 SSI。律师、公证人和监管者往往对这项技术有模糊的理解，这阻碍了监管框架的建立。 

• 一个不发达的数字钱包生态系统，旨在将用户连接到去中心化的 SSI 基础设施。

• 大规模采用 SSI 需要私营企业和政府机构提供方便且直观的解决方案。

• SSI 兼容应用程序没有成熟的市场。 

• 政府在促进向 SSI 的过渡方面进展缓慢：他们没有颁发符合 SSI 的国民身份证，也没有创建必要的技术框架和监管框架。 

• 目前，密钥恢复过程还不够独立、快速和高效。

• 由于 SSI 依赖于存储数据加密货币证据的不可变和去中心化账本，如果该公共账本不仅存储证据，还存储数据本身，则隐私可能会受到损害。去中心化账本和区块链网络不必像传统数据库那样存储文件和机密信息。它们只能用于存储此类数据的证据。

• 使用公共的、去中心化的和不可变的数据注册需要付出巨大的努力来确保数据和标识符的假名。个人数据不应发布在公共登记处。

• DID 和 VC 标准的制定必须继续得到 IEEE、ISO、ITU 和 NIST 等标准开发组织 (SDO) 的采用和推荐。

• 电子签名、交易和数字证书需要适当的监管政策。

• 被遗忘的权利必须得到尊重。根据欧盟通用数据保护条例 (GDPR) 第 17 条，在某些情况下，“数据主体应有权要求控制方销毁与其有关的数据。”    

• 扩展 SSI 解决方案需要高效的去中心化账本。不受监管的去中心化账本和缺乏互操作性的区块链网络的现代生态系统远非理想。尝试创建公共区域网络——欧洲的 EBSI 和拉丁美洲的 LACChain——非常成功。

• 信任框架：需要开发国家和私人框架来建立电子服务的保证水平。合格的身份提供者也应该经过认证——例如欧盟的 eIDAS。 

• 生物识别技术在身份验证和身份验证方面具有巨大潜力，但尚未得到广泛应用。

传统商业模式在 SSI 中不起作用的原因：

• 无法出售数据。在 SSI 的情况下，用户凭证、文件和个人数据不属于平台——它们甚至不属于发行者和验证者。任何对数据的操作都需要获得验证方的许可，没有用户的许可是不能进行的——这违反了SSI的原则。

• 销售在线广告主要取决于平台拥有的用户数据的质量和数量。Google、Facebook 和 Twitter 收到的广告收入金额取决于用户资料数据的可靠性以及确定广告目标受众的算法的有效性。采用 SSI 将使这种关系变得不可能。

• 虽然许多 SSI 应用程序生成的数据可用于创建不同的市场（例如，雇主对具有数字证书的求职者感兴趣的劳动力市场），但在实践中存在一个障碍——需要获得数据所有者的同意它们被第三方使用…… 

• 由于该行业仍在发展中，SSI 公司不应向用户收取多项操作费用——创建 DID 文件、签署数字证书等。否则，对数据的需求及其供应水平将下跌，这将减慢技术采用的过程。

• 你绝对不应为所有 SSI 用户交互收取费用。理想情况下，提供商应该能够区分交易和对用户有价值的交易，并且只从他们那里收取费用。

在 Twitter 上订阅 ForkLog

发现文中有错误？选择它并按 CTRL + ENTER