集中化系统黯然褪色，主权数字身份走向舞台中央

随着网络中立性的倒退、假新闻的盛行、用户隐私的“裸奔”以及互联网日益中心化，互联网的发明者Tim Berners-Lee再次表示了对互联网前景的担忧。“我仍然是一个乐观主义者，但我感觉自己站在山顶，狂风扑面，我们必须咬紧牙关，拼命抓着围栏，不能再盲目期待网络带给我们美好的东西了。”

“集中化系统正在失效，如今的互联网无法实现真理与民主的目标。”Tim Berners-Lee特别指出，“互联网霸权已经摧毁了民主，当今互联网的控制权已经交到了最擅长操纵术的公司手中。”

集中化的结果是用户的利益不断被侵犯。苹果可以随时下架那些不符合苹果利益的应用，百度可以随意优化搜索结果的排序，淘宝和亚马逊都曾利用价格歧视获取更大的利润。用户在互联网上的身份和资产从来不曾属于用户，其所购买的一切服务都只是服务的使用权，企业有权随时来禁止用户使用它，而用户花的钱却从来没有比过去少过。

在这个时代，企业的权力越来越大，用户拥有的权利反而越来越少。互联网上的数据是用户创造的，但却从不属于用户。一切的数据和隐私却可以被企业肆意使用，这就是中心化互联网的荒唐之处。

随着数据分析公司Cambridge Analytics选举期间的丑闻被曝光后，一场轰轰烈烈的“卸载Facebook”运动拉开序幕。那么问题来了：“我们还有其它选择吗？”这里的答案不是“其它社交平台”，而是另一个以人为本的、建立在开源标准之上的、足以承载新生态系统的新一代互联网基础设施。

当传统身份管理模式黯然褪色，具有自主权的身份管理系统(Self-Sovereign Identity)开始走向舞台中央。在这个系统中，用户的身份隐私信息不再由Web站点(Relying Party, RP)保存，而是由用户自己保存或者保存在可信的第三方身份提供者(Identity Provider, IdP)，从而避免了存储在Web站点的用户身份信息泄露。这些分布式的IdP之间不需要事先建立信任关系，用户可以自己选择任何一个信任的IdP存储身份信息，第三方在使用用户身份信息时，必须经过用户授权，并要满足相应的应用策略。个人可以通过自己所控制的设备或服务，收集、存储、管理和披露自己的身份信息和个人数据。

下面一些关键性技术正被应用于区块链数字身份之中，这些技术将共同推动可信身份系统的构建与完善。

l 分层命名空间(Hierarchy Namespace)

到目前为止，如果想在互联网上为自己创建身份标识，只能在分层命名空间中实现。具体来说，在私有命名空间中，你是处于公司服务条款管辖之下，公司不需任何原因，可以随时终止你的数字身份，并且你还没有任何法律追索权。无论是Google的电地址、还是Twitter、Facebook、LinkedIn、Instagram的账号，几乎所有网站，只要你创建了用户名和密码，你的身份就控制在对方的命名空间之下。

在这个层次之上，还有全球命名空间。最常见的两种是：由互联网编号分配机构(IANA)管理的IP地址体系，和由互联网名称与数字地址分配机构(ICANN)管理的网站域名体系，这些体系一起形成了今天互联网的命名空间。你可以从域名公司手中购买一个域名，然后你就在全球域名系统中拥有了“命名空间”。

在上面的例子中，公司实际上是在租用一个命名空间。如果公司付款逾期30天，或者下一年没有更新域名，这个域名可能被其他人租用。最后，个人是在公司建立的命名空间里建立自己的身份标识。

l 去中心化的身份标识(Decentralized Identifiers)

达到这个目标首先需要面临的挑战，是要让身份标识在全网具有唯一性、可识别性和可解析性。在互联网标准化联盟(W3C)的主持下开发的分布式身份标识(DID)规范是所有解决方案的基础。它奠定了DID以及DID描述对象(DDO)的格式，这些文档包含了验证标识的所有权需要的一切元数据。分布式身份标识有很多种不同的类型和途径，但它们的描述体都遵循同样的基本框架。

DDO包括：分布式身份标识(DID)、公钥列表、控制列表(用于还原密钥)、服务端点列表(用于交互)。这是围绕个人创建新工具和服务，并将个人可识别信息置于自己控制之下的关键。另外还有时间戳(用于审计历史数据)、带私钥的数字签名(确保公正性)。

l 分布式账本技术(Distributed Ledger Technology, DLT)

现在拥有了创建全网唯一性身份标识的方法，可它们存储在哪里？人们又如何访问它呢？分布式账本成为实现这一切的最佳技术。

网络上的计算机彼此保持同步，共同维护一个在无数台机器上被复制的镜像账本和数据库。数据库中的条目会定期被加密并“封存”，使得它们无法被篡改。因此，当你创建一个分布式身份标识，并将其存储在区块链之上时，没有任何第三方可以将其删除，只有你或你的代理可以将其更新。

l 公钥和私钥(Private and Public Key)

如何证明你拥有一个分布式身份标识呢？答案是公钥设施(PKI)。公钥和私钥是在数学上相关的两组代码，公钥可以公之于众，而私钥则为保密，只有所有者可以使用它。

假如A想给B发送一条只有保密信息，A就得用B的公钥以及A的公钥和私钥，才能加密这条信息，并发送出去。在解密信息时，B必须有B的公钥和私钥以及A的公钥，才能解密这条信息，这也是一切加密信息通道的基础架构。接下来，能否为我们与不同实体之间的关系各自建立唯一的身份标识呢？

l 具有导向性的身份标识(Directed Identifiers)

在如今集中化身份信息体系中，你在多处使用相同的身份标识，因此有人可以将你所有活动联系在一起。政府颁发的统一身份标识被到处使用，例如美国的社保号码或印度的Aadhaar号码，这里存在严重的隐私问题，也给系统制造了巨大的弱点。只要了解某人的个人信息，你就可以充当那个人采取行动。而收集这些个人信息易如反掌，姓名和出生日期是公开的，而社保号码也被广泛共享。

但现在，分布式身份标识基础设施让个人可以创建具有全网唯一性的身份标识，并通过公钥机制，使个人和机构之间的安全信息通道成为可能。当用户的银行数据库遭到入侵，私钥发生暴露，那么也只有这个账户会受到影响，银行还可以重新建立起公钥私钥和你之间的安全连接。由于每个不同关系都有各自独特的标识，因此大大降低了数据泄露的影响。

l 零知识证明(Zero-Knowledge Proofs)

在过去，任何信息的验证，都需要通过检验者与信息源联系，才能核对信息的真实性。比如：你去酒吧，酒保一般都会看你的驾照，以及驾照上的出生日期。那如果是一张数字驾照呢？酒保就需要联系颁发证件的相关部门来确定证件上的信息是否属实。这恰恰是你不愿意看到的，如此一来，信息源就会知道你所有的行踪和动作，就像有无数的天眼在监视着你。

那如何证明信息的真实性，又不披露信息呢？零知识证明(ZKP)可以解决这个困扰。当你发出一份零知识证明信息时，检验者可以通过检验信息加密的编码方式，来验证信息的真实性。然后，你可以通过该证明，向对方披露你想披露的信息。在这种情况下，检验者验证了信息的真实性，但你的信息却不用被完全披露，隐私因此得到充分保护。

当所有这些技术汇集到一起时，一个具有自主权的身份系统便成为可能。这种开放标准的设施平台为新一代互联网奠定了基础，在全新的互联网基础设施之上，人们将拥有对自己身份信息的完全控制权，并可以根据自己设定的条件链接到应用工具和服务商，而互联网与用户之间早已倾斜的权力天平，将随着区块链自主身份的发展再一次重新回到平衡。