信息化觀察網(wǎng)

最近發(fā)生了一件令人非常震驚的事情，包括億萬富翁比爾·蓋茨、馬斯克、奧巴馬在內(nèi)的一些特賬戶遭到黑客攻擊，黑客欺詐用戶Bitcoin。漏洞很快被修復(fù)，但該地址收到了超過12個Bitcoin。雖然其中可能有黑客自導(dǎo)自演，當(dāng)托的行為，但可以相信有一些用戶上了當(dāng)，丟失了資產(chǎn)。

損失不僅僅包括用戶的經(jīng)濟(jì)損失，還包括巨大的信任損失。雖然事情的真相尚不清楚，但這件事嚴(yán)重影響了人們對推特的信任，甚至是對互聯(lián)網(wǎng)的信任。

其實(shí)，說“震驚”，但并不意外。因?yàn)樽鳛閺臉I(yè)者來說，類似的事情可以說是層出不窮，只是影響大小不同罷了。我們需要反思，是否是目前互聯(lián)網(wǎng)的架構(gòu)存在缺陷，以至于這類安全事件幾乎一定會發(fā)生？

譬如說，我們看到這些賬戶上都打了勾，這代表這些賬戶受過驗(yàn)證，可以和真實(shí)世界的人對應(yīng)起來，但他們的每次發(fā)言是否都代表了他們的意圖？互聯(lián)網(wǎng)賬號作為人映射的一個身份，是否足夠可信呢？那我們今天就來討論一下，數(shù)字身份和區(qū)塊鏈，能否重塑數(shù)字世界的信任呢？

威廉·吉布森有一句話，經(jīng)常被廣泛引用，我也很喜歡，“The future is already here - it's just not evenly distributed（未來方興未艾，只是尚未流行）”。如今的互聯(lián)網(wǎng)面臨著什么樣的問題，與信任互聯(lián)網(wǎng)還有多少距離，數(shù)字身份、自主權(quán)身份、分布式身份又是什么，它們是如何幫助互聯(lián)網(wǎng)重構(gòu)信任的，又有哪些挑戰(zhàn)呢？讓我們先從互聯(lián)網(wǎng)面臨的一些問題說起。

現(xiàn)在大家在使用互聯(lián)網(wǎng)的時候，我想或多或少會遇到以下的這樣一些問題。

第一，賬戶分散導(dǎo)致不便。大家使用互聯(lián)網(wǎng)的時候，需要注冊不同的賬號服務(wù)，記錄在不同網(wǎng)站的密碼真的是難事。很多人選擇在不同的網(wǎng)站使用相同的密碼，這帶來了額外的風(fēng)險(xiǎn)，只要一個網(wǎng)站保存不當(dāng)，所謂“拖庫”，那用戶使用相同密碼的網(wǎng)站的賬戶都受到安全威脅。而如果使用不同的密碼，則很容易忘記，因此經(jīng)常會點(diǎn)擊重試密碼，浪費(fèi)了很多寶貴的時間。

第二，個人隱私數(shù)據(jù)泄露。2018年3月17日，《紐約時報(bào)》《衛(wèi)報(bào)》和《觀察者報(bào)》，報(bào)道了劍橋分析公司及其關(guān)聯(lián)公司SCL竊取并私自保留了5000萬Facebook用戶數(shù)據(jù)的消息。在丑聞曝光一周后，扎克伯格于3月26日在《華盛頓郵報(bào)》《紐約時報(bào)》《華爾街日報(bào)》和6家英國報(bào)紙上刊登了一整頁廣告，就數(shù)據(jù)泄露丑聞道歉。致歉信以簡單的白紙黑字開始：“我們有責(zé)任保護(hù)您的信息。如果我們做不到，就不配為您服務(wù)。”最終事情達(dá)成了和解，F(xiàn)acebook同意成立一個獨(dú)立的隱私委員會。Facebook首席執(zhí)行官馬克·扎克伯格（Mark Zuckerberg）將被要求證明該公司的行為，與此同時Facebook必須在其平臺上實(shí)行更多的隱私保護(hù)措施。此外，F(xiàn)acebook還被罰款50億美元。但是，隱私數(shù)據(jù)泄露的根本原因仍然還在那里。

第三，身份冒用引發(fā)信任危機(jī)。去年有一段時間，我的微博賬戶總是莫名其妙給一些營銷賬戶點(diǎn)贊，主要是娛樂新聞、微商、減肥、代購等信息，點(diǎn)贊數(shù)都在幾千以上，但大都只有零星評論。我修改了密碼，也清理了登錄的設(shè)備，都無法解決。最終，我發(fā)現(xiàn)這些行為總是在我連接某一個寬帶之后出現(xiàn)，通過配置固定的DNS我解決了問題。做活動前，我查詢了一下事情后續(xù)。根據(jù)“隱私護(hù)衛(wèi)隊(duì)”自媒體的報(bào)道，2018年，浙江紹興警方就曾破獲一起黑產(chǎn)利用運(yùn)營商管理漏洞劫持流量的案件，包括微博在內(nèi)的96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取，微博是其中之一。

據(jù)了解，該犯罪團(tuán)伙將自主編寫的惡意程序放在運(yùn)營商內(nèi)部的服務(wù)器上，當(dāng)用戶的流量經(jīng)過運(yùn)營商的服務(wù)器時，該程序就自動運(yùn)行，從中清洗、采集出用戶 cookie（用戶登錄網(wǎng)站論壇之類的賬戶密碼等數(shù)據(jù)記錄）等關(guān)鍵數(shù)據(jù)。下游公司就會利用已泄露的數(shù)據(jù)操控用戶賬號在微博等社交平臺上點(diǎn)贊、關(guān)注等。

所以你看到的行為未必是真的，因此如果你的伴侶問你為什么要給某些內(nèi)容點(diǎn)贊，你也可以找到一個好的借口。

這些問題應(yīng)該怎么去解決呢？技術(shù)上總是有辦法。有一些比較直觀的想法，技術(shù)手段幫忙解決。

第一個問題，不夠便利?？梢园奄~戶統(tǒng)一，一個賬戶去訪問多個賬戶或者一個賬戶去管理多個密碼。

第二個問題，隱私的問題?？梢园褦?shù)據(jù)加密，一方面是要提高企業(yè)的能力，比如說facebook要把數(shù)據(jù)加密保存，可以第三方使用的時候去控制數(shù)據(jù)的內(nèi)容和邊界，并且有相應(yīng)的法律在背后去保護(hù)。最終，終極的方案是數(shù)據(jù)在本地加密，這個密鑰由個人去管理。

第三個問題，這件事情是不是你做的。比如說你發(fā)一個微博或者說給一個人點(diǎn)贊，怎么來驗(yàn)證是不是用戶的真實(shí)企圖呢？可以用數(shù)字簽名這樣一種手段來識別用戶的意圖，任何人是沒有辦法偽造用戶的意圖。同時，也可以用可驗(yàn)證憑證的方式來驗(yàn)證用戶符合某些條件，而不是要把原始的數(shù)據(jù)披露出來。

舉個例子來說明。譬如去酒吧，酒吧需要查看身份證件，以確認(rèn)用戶是否達(dá)到合法年齡，但這會泄露用戶的信息。通過電子證書的方式，可以讓酒吧只去驗(yàn)證用戶的證件是否由合法的機(jī)構(gòu)頒發(fā)，并且年齡達(dá)到標(biāo)準(zhǔn)。

傳統(tǒng)的解決方案也非常成型，大家應(yīng)該都很熟悉了，比如：

技術(shù)手段1：使用Open ID的方式，運(yùn)用一個社交媒體賬戶去登錄多個網(wǎng)站，這個大家應(yīng)該都熟悉，國內(nèi)可能微信登錄或者說微博登錄，這也是流行的一個手段。

技術(shù)手段2：數(shù)據(jù)加密，像PGP，是一種加密的方式。PGP的意思就是Pretty Good Privacy，就是“超贊的隱私”。用本地加密的方式，中間傳的都是密文數(shù)據(jù)，當(dāng)然是沒有辦法泄露隱私。

技術(shù)手段3：數(shù)字證書，這也是比較常見的技術(shù)手段。

雖然這些方式尚未完全流行，但已經(jīng)慢慢在普及了，但似乎總是很割裂，也沒有解決根本問題。譬如，Open ID仍然依賴這些應(yīng)用提供商的可信，PGP如何實(shí)現(xiàn)密鑰和人的對應(yīng)，數(shù)字證書又是如何和人聯(lián)系起來，怎樣用一個普適、易用的方式解決問題呢？

這就回到今天的主題“數(shù)字身份”，我們先看“身份”是什么？在現(xiàn)實(shí)社會中，身份的主體可以是人、組織、物理設(shè)備，以人為例，身份既是生物信息的總和，也是包括身份證件、駕駛證、結(jié)婚證的證件所給予的社會認(rèn)同，也包含了社會關(guān)系。那么數(shù)字身份又是什么呢？

我們來看這張圖，首先是實(shí)體，實(shí)體可以對應(yīng)很多身份，就像我今天在這里用真名姚翔，在微信上大家都喊我沙漏。根據(jù) ISO/IEC 24760-1 身份是與一個實(shí)體相關(guān)的屬性集合，數(shù)字身份則是實(shí)體的數(shù)字化展現(xiàn)，包含個人身份信息和輔助信息。

自主權(quán)身份稍有不同，是從身份的最終控制權(quán)上說的。自主權(quán)身份由用戶完全自主掌控的身份數(shù)據(jù)和標(biāo)識符，不會被任何權(quán)力機(jī)構(gòu)撤銷。身份持有者可以完全控制自己的憑證，而不需向中介機(jī)構(gòu)或中央主管部門申請?jiān)S可，并可以控制個人數(shù)據(jù)的共享和使用方式。

自主身份可以是一個分布式身份，也可以是來自社交媒體賬戶的數(shù)據(jù)、電子商務(wù)網(wǎng)站上的交易記錄或朋友或同事的證明。

分布式身份則是從 身份的注冊 上說的，我們看到DID的時候，可能指的是兩種東西，分布式身份/分布式標(biāo)識符。全球唯一的持久性標(biāo)識符，不需要中心化的注冊機(jī)構(gòu)批準(zhǔn)，因?yàn)樗峭ㄟ^密碼學(xué)方式生成和注冊的。

有關(guān) 數(shù)字身份、自主權(quán)身份、分布式身份的關(guān)系如圖所示，這個圖是我自己整理的，如有問題還請指出。

分布式身份到底長什么樣子呢？右邊這個圖是W3C的一個規(guī)范文檔。我們看圖片中間，DID（數(shù)據(jù)身份）包含了哪些內(nèi)容，這里只列了一些主要的，首先它是有一個自描述的標(biāo)記符，是全局唯一的標(biāo)識符"id": "did:example:21tDAKCERh95uGgKbJNHYp"

它包含了一些密鑰，比如說你要去指定這個身份包含哪一個或者哪一組公鑰，以及認(rèn)證方式，怎么去認(rèn)證身份的行為。比如說這個密鑰是用來簽名的，這個密鑰是用來加密的，這個密鑰是用來訪問專門的賬戶，這叫認(rèn)證方式的集合。同時，密鑰本身就包含了所采用的簽名算法。

還有一個叫服務(wù)端點(diǎn)，這其實(shí)是一個去定義身份本身，它會包含著一些服務(wù)，比如說指定一個URL，說這個身份上的所有證件都可以在這個網(wǎng)址里找到，就可以通過訪問這個網(wǎng)址來找到證件。此外還包括時間戳和簽名。

DID和其他各個組件之間又是什么關(guān)系呢？先看subject，就是上面提到的主體（entity），DID就是用來標(biāo)記和識別subject。

還要注意DID和上面的可驗(yàn)證數(shù)據(jù)注冊表，這是什么關(guān)系呢？DID是基于上面的。什么叫可驗(yàn)證的數(shù)據(jù)注冊表？這個賣個關(guān)子，一會再說。

同時，DID和一些文檔的關(guān)系。首先要注意，根據(jù)現(xiàn)在的數(shù)據(jù)指引，DID本身是不能包含標(biāo)志符、密鑰，是不能包含個人信息的，比如說證件號或者名字是不能出現(xiàn)在這里，這些信息是要通過一個附加的文檔來進(jìn)行處理，通過一個解釋器去指向文檔。其他的內(nèi)容，詳細(xì)的大家可以去看這個文檔，我就不展開了。

剛才賣了一個小關(guān)子，說可驗(yàn)證的注冊器是什么。大家也會想到今天的題目，數(shù)字身份和區(qū)塊鏈又是什么關(guān)系呢？其實(shí)，區(qū)塊鏈就是一個無需許可的、可驗(yàn)證的、持久化的分布式的身份注冊器，也就說我們把這些DID去注冊在區(qū)塊鏈上。

無需許可指的是任何人都可以去注冊這個身份，可能是一個公鑰，也可以是一個智能合約；可驗(yàn)證，任何對用戶身份的改動都需要相應(yīng)的授權(quán)，是沒有辦法偽造的，注冊一個身份后其他人是沒有辦法去偽造或者修改身份當(dāng)中的信息；持久化，這個身份一旦注冊就可以長期存在，因?yàn)閰^(qū)塊鏈上的信息具有持久性。

數(shù)字身份會為區(qū)塊鏈引入更多與現(xiàn)實(shí)世界的連接?，F(xiàn)在區(qū)塊鏈上本身既不能去保存?zhèn)€人信息，但又需要和外界連接，只有和外界、現(xiàn)實(shí)社會，和真實(shí)的社會生活、生產(chǎn)發(fā)生關(guān)系，區(qū)塊鏈的價值才能被進(jìn)一步的豐富，數(shù)字身份就是很好的切入點(diǎn)。通過上面規(guī)定的這套協(xié)議，可以增加真實(shí)世界的資產(chǎn)信息，與區(qū)塊鏈上的身份或者賬戶產(chǎn)生關(guān)聯(lián)。

現(xiàn)有的區(qū)塊鏈以及相應(yīng)的基礎(chǔ)設(shè)施有助于數(shù)字身份的推廣和落地。如果說從頭再來推廣數(shù)字身份，那相關(guān)的一些應(yīng)用，比如說瀏覽器的支持，比如說和其他應(yīng)用的兼容性，很多東西是要從頭開始做的。

剛才說到在自主權(quán)身份里有一部分是其他人給頒發(fā)的信息，是屬于自主權(quán)身份的一部分，或者說DID相關(guān)的文檔。這些信息和數(shù)字身份到底又是什么關(guān)系呢？

這里看到，為了保證這個文檔本身的可信度，必須要提供相應(yīng)的簽名，所以叫它是可驗(yàn)證憑證（Verifiable Credentials），簡稱叫VC。這個的標(biāo)準(zhǔn)定義是說現(xiàn)實(shí)生活中的證書能表達(dá)什么信息，就可以用數(shù)字化的方式去表達(dá)等價信息。

比如說你有一張駕駛證，駕駛證上可能有你的名字，證件是哪天頒發(fā)的、有效期、什么樣的車。數(shù)字化證件里就包含了相應(yīng)的信息，以及可信的機(jī)構(gòu)，在我們國家可能就是公安局、交管對應(yīng)的簽名，這就是一個可驗(yàn)證憑證。

簽發(fā)者：對應(yīng)簽發(fā)這些證書的人就叫做簽發(fā)者，可以是任何身份，包括政府、公司和個人，但簽發(fā)者簽發(fā)的證書是否有意義，取決于他和現(xiàn)實(shí)生活中的關(guān)聯(lián)。

驗(yàn)證者：就是使用這些憑證的人，回到剛才的例子，比如說你要去酒吧，要檢查，如果有駕照自然是大于18歲的，至少在我們國家應(yīng)該是這樣。就可以使用憑證當(dāng)中所攜帶的信息開展業(yè)務(wù)。

持有者：就是這個身份的主體，這個憑證是頒發(fā)給誰的，對應(yīng)著現(xiàn)實(shí)身份的主體。

這些信息的流轉(zhuǎn)就是由簽發(fā)者發(fā)給持有人，然后由驗(yàn)證者去驗(yàn)證這個憑證是不是符合某些信息，而所有關(guān)于這些信息的登記，都是在可驗(yàn)證注冊表上。再與區(qū)塊鏈結(jié)合，就是在區(qū)塊鏈上做的。這個是可以看W3C的關(guān)于可驗(yàn)證憑證數(shù)據(jù)模型的文檔。

那我們看看數(shù)字身份在現(xiàn)實(shí)中可以有哪些應(yīng)用呢？我舉幾個例子。

應(yīng)用1：健康信息的管理

現(xiàn)在疫情流行，出行可能不便，大家也有體會，為了控制病毒傳播，在乘坐交通工具或者住酒店的時候要出示相關(guān)的健康證明，但現(xiàn)在這種模式有幾個問題：1、容易偽造；2、有可能會造成隱私泄露，現(xiàn)在做了很多手段、很多保護(hù)，但還是會有這樣的可能性；3、互認(rèn)標(biāo)準(zhǔn)的問題，到不同的城市都要去申請相應(yīng)的憑證，這里是有一個數(shù)據(jù)互認(rèn)的問題。

covidcreds這個網(wǎng)站大概有一百多個全球機(jī)構(gòu)去嘗試在用數(shù)字身份作為基礎(chǔ)，去解決這樣一個問題。就采用剛才那套數(shù)據(jù)模型來實(shí)現(xiàn)對個人健康信息的管理和認(rèn)證。

應(yīng)用2：網(wǎng)絡(luò)應(yīng)用登錄

這個很好理解，比如說有個區(qū)塊鏈賬戶，就可以有它來登錄傳統(tǒng)的應(yīng)用。如果我是一個應(yīng)用開發(fā)者，也可以去選擇允許一個區(qū)塊鏈賬戶來登錄，這個賬戶是不需要再注冊的，具體項(xiàng)目在這里就不展開了。

應(yīng)用3：賦能電子政務(wù)

比如說出國去辦簽證，可能要提交很多資料，非常麻煩。其實(shí)現(xiàn)在歐盟已經(jīng)提供了相應(yīng)的電子化流程，在后面會相應(yīng)展開。

應(yīng)用4：隱私數(shù)據(jù)保護(hù)

這里提到一個項(xiàng)目叫Maskbook，大家可能聽說過，它可以讓你在傳統(tǒng)的社交網(wǎng)絡(luò)上去公開加密過的信息。比如說我在微博上發(fā)一條消息，是加密的，別人是看不到或者看不懂的，看到一串亂碼，但是我選擇分享的人，因?yàn)閾碛薪忾_這個消息的密鑰，就可以解開這個信息，通過這種方式來保護(hù)隱私。

與此同時，數(shù)字身份也面臨著很多挑戰(zhàn)：

挑戰(zhàn)1：技術(shù)層面。如何實(shí)現(xiàn)信息的有限披露？這個在技術(shù)上是比較難的點(diǎn)，也有很多相關(guān)密碼學(xué)的研究。密鑰代表你是這個身份的主人，怎么去存儲它呢？萬一丟了怎么辦，這一系列的問題有很多解決方案在探討。

挑戰(zhàn)2：基礎(chǔ)設(shè)施層面。首先，相關(guān)的標(biāo)準(zhǔn)現(xiàn)在還沒有建立。其次，目前的區(qū)塊鏈設(shè)施，不管是公有鏈也好，還是聯(lián)盟鏈也好，尚不能去承載大規(guī)模的應(yīng)用。同時，比如說有不同的鏈，鏈與鏈之間數(shù)據(jù)交換的標(biāo)準(zhǔn)也需要去討論。

挑戰(zhàn)3：法律政策層面。剛才也說到歐盟在電子政務(wù)領(lǐng)域的嘗試，如果沒有相應(yīng)的法規(guī)，沒有相應(yīng)的對數(shù)字身份和可驗(yàn)證憑證的一些定義，以及給予它相應(yīng)法律的支持，那這些應(yīng)用也是很難推廣。

最后給大家介紹一些行業(yè)內(nèi)領(lǐng)先的機(jī)構(gòu)和全球化的組織，包含標(biāo)準(zhǔn)化組織和技術(shù)及產(chǎn)業(yè)聯(lián)盟。

標(biāo)準(zhǔn)化組織

第一，是eiDAS，歐洲電子簽名及信任，這個是歐盟實(shí)施跨境身份互認(rèn)和開展數(shù)字信任服務(wù)，推進(jìn)數(shù)字單一市場的關(guān)鍵支柱，現(xiàn)在已經(jīng)有6個國家，包括德國、意大利、愛桑尼亞、西班牙、克羅地亞、盧森堡?？梢杂眠@個國家eID來訪問。歐盟其他的會員國也必須是承認(rèn)相應(yīng)的eID，在一些政務(wù)領(lǐng)域就必須要提供原來的那些紙質(zhì)證件。

第二，就是剛才提到的W3C的WG，在之前它還是一個社區(qū)工作組，現(xiàn)在已經(jīng)是正式的工作組了。這個是剛剛下午截的圖，是兩天前才更新的，大家一直在討論DID應(yīng)該包含哪些內(nèi)容、數(shù)據(jù)的格式是怎么樣的。這里有很多的區(qū)塊鏈公司，也在貢獻(xiàn)自己的一些思考。

技術(shù)及產(chǎn)業(yè)聯(lián)盟

第一，更像社區(qū)形式組織的，叫DIF（分布式身份基金會），這是一個開放社區(qū)，里面有很多機(jī)構(gòu)，現(xiàn)在應(yīng)該有七八十家吧，MYKEY也是最近幾個月前加入了。它有幾個工作組，包括存儲、隱私、認(rèn)證等等，這些工作組中大家會去討論技術(shù)規(guī)范以及可供參考的實(shí)踐方式，討論產(chǎn)業(yè)之間的生態(tài)伙伴怎么去協(xié)作。這里包含了一些像微軟、IBM這樣的科技巨頭，也有很多區(qū)塊鏈公司，也有像萬事達(dá)這樣的金融公司，所以大家中間會產(chǎn)生很多新的想法。

第二，Hyperledger Indy，超級賬本。超級賬本的一個子項(xiàng)目，它是一個分布式身份管理的技術(shù)平臺，會提供一些相應(yīng)的工具、樣板庫以及模塊化組件，去幫助其他項(xiàng)目來構(gòu)建自主權(quán)身份系統(tǒng)。

第三，分布式數(shù)字身份產(chǎn)業(yè)聯(lián)盟，大概是兩周前成立的，是國內(nèi)17家單位聯(lián)合發(fā)起的，包括百度等等。這些企業(yè)聯(lián)合起來會促進(jìn)數(shù)字身份的行業(yè)應(yīng)用，搭建中國的數(shù)字身份網(wǎng)絡(luò)。它們有一個白皮書，預(yù)計(jì)在今年的三季度發(fā)表，到時候大家可以去關(guān)注。

最后對今天的分享做總結(jié)：

第一，數(shù)字身份是重塑數(shù)字世界信任的重要基礎(chǔ)設(shè)施，能提高使用互聯(lián)網(wǎng)的便利，也可以更好的保護(hù)用戶隱私。

第二，目前全球各國、重要行業(yè)組織、公司都重視數(shù)字身份的發(fā)展。

第三，區(qū)塊鏈有助于數(shù)字身份的持久化的登記和驗(yàn)證。

第四，數(shù)字錢包作為數(shù)字身份的載體，有助于數(shù)字身份的推廣和應(yīng)用。

第五，目前數(shù)字身份仍然面臨著技術(shù)、基礎(chǔ)設(shè)施以及法律法規(guī)的諸多挑戰(zhàn)。

也歡迎大家參與到其中討論，與我們共同去打造更好的互聯(lián)網(wǎng)，重塑互聯(lián)網(wǎng)的信任。最后謝謝大家，這是我今天的分享。

互動問答

Q：數(shù)字身份真的需要區(qū)塊鏈嗎？

姚翔：剛才說到數(shù)字身份需要有一個注冊器，就說身份得注冊在一個地方，目前來看區(qū)塊鏈?zhǔn)且粋€比較好的注冊平臺，因?yàn)槿绻麤]有這樣一個地方去注冊，只能依賴一個中心組織去注冊身份，同時要去查詢身份對應(yīng)的信息。

有這樣一個組織當(dāng)然是好，但目前來看，這可能還會存在一些問題。比如說像推特黑客攻擊事件，雖然有身份，但是沒有在一個地方登記，其他人并不知道你這個身份的存在，就沒有辦法去和你溝通，這是我覺得區(qū)塊鏈存在的意義。

反過來說，數(shù)字身份對區(qū)塊鏈有什么意義？我覺得這個也是非常重要的。我舉個例子，比如說在區(qū)塊鏈上要去持有股票，實(shí)際上是要有相應(yīng)資質(zhì)的，不可能說任何一個人都可以去持有。那這些資質(zhì)怎么在區(qū)塊鏈上進(jìn)行認(rèn)定呢？必須要有相應(yīng)的身份標(biāo)準(zhǔn)，必須要有數(shù)據(jù)的檢查標(biāo)準(zhǔn)，一個是身份，一個是可驗(yàn)證憑證?？赡芫托枰幸粋€可信的機(jī)構(gòu)，給這個身份頒發(fā)一個可持有股票的憑證，有這個憑證以后就可以在區(qū)塊鏈上持有對應(yīng)的資產(chǎn)。

Q：數(shù)字身份的發(fā)展經(jīng)歷了哪幾個階段？DID現(xiàn)在其實(shí)也有很多科技巨頭已經(jīng)在布局，可以談一下您的看法嗎？

姚翔：我覺得現(xiàn)在還是在業(yè)態(tài)非常早期的時間，我可能沒有辦法去給出一個很準(zhǔn)確的定義。其實(shí)今天我引用的很多定義都是由權(quán)威組織給出的，我想談一些自己的看法。

回想最開始上互聯(lián)網(wǎng)，可能去使用論壇，非常簡單，只需要輸入一個用戶名、密碼就可以完成注冊，如果忘記了那沒有辦法，因?yàn)楦揪蜎]有辦法來鑒別你是“你”，這是最簡陋的階段。

后來發(fā)現(xiàn)可以有郵件、手機(jī)號，可以和名稱去綁定，如果密碼忘記了可以找回。一直到現(xiàn)在可以用微信賬戶去登錄各個論壇、應(yīng)用，但這些都不是自主權(quán)身份，你的身份都是由相應(yīng)的應(yīng)用來管理，它隨時可以撤銷你對這個服務(wù)的訪問。

只有當(dāng)進(jìn)入到一個大家都擁有自己的密鑰，對身份的認(rèn)證都是基于對用戶是否擁有公鑰所對應(yīng)私鑰的認(rèn)證，方法也就是通過數(shù)字簽名來鑒別，這可能會邁向第二階段。

第二個階段我認(rèn)為就是自主權(quán)身份的階段，現(xiàn)在才剛剛開始。當(dāng)這個做到很好的時候，可能每個人都有自己的密鑰，這樣之后我們會需要解決更多的數(shù)據(jù)誤操作性等問題。比如說不同的區(qū)塊鏈之間怎么互相訪問，也不一定是區(qū)塊鏈，比如自己的密鑰，但是在一個中心化的機(jī)構(gòu)登記，這也沒有問題，但它怎么去和其他的系統(tǒng)之間產(chǎn)生互認(rèn)，如果是不同的密碼體系，這中間怎么去處理，這是接下來長期內(nèi)的一些挑戰(zhàn)。

關(guān)于DID的布局，我們也看到像微軟、IBM，也包括一些金融機(jī)構(gòu)，大家開始在這個領(lǐng)域去發(fā)力。大家都看到了，在互聯(lián)網(wǎng)的前面一個階段，賬戶系統(tǒng)變成了非常重要的事情，因?yàn)橘~戶是用戶進(jìn)入互聯(lián)網(wǎng)非常重要的入口，這個入口可以帶來非常多的想象空間。比如說這些巨頭，不管是微信也好，還是谷歌、facebook也好，擁有了賬戶就擁有了流量，擁有了流量就擁有了無限的可能性。

為什么別人會接受微信登錄，而不會接受一個很小的論壇去登錄，就是因?yàn)樗@邊天生有非常多的用戶，就有很多業(yè)務(wù)上的議價權(quán)。

在接下來這個階段，即使是分布式身份或者自主權(quán)身份，仍然會有這樣一些訪問下一代互聯(lián)網(wǎng)設(shè)施的用戶端產(chǎn)品，這些產(chǎn)品可能是新商業(yè)模式的入口點(diǎn)，所以我覺得很多機(jī)構(gòu)在這方面表示重視，可能是出于這方面的原因。但其中會有很多變化，因?yàn)樵瓉砟翘渍J(rèn)證用戶的模式可能會發(fā)生變化。

Q：數(shù)字身份和傳統(tǒng)身份，您覺得本質(zhì)區(qū)別是什么？

姚翔：傳統(tǒng)身份和數(shù)字身份我覺得在數(shù)字世界里，首先是完全對傳統(tǒng)社會的映射，在數(shù)字世界里有這個人。比如說我在這里是用這個ID和大家溝通，我也有我的微信，這其實(shí)是有個映射的過程。但它會有一個問題，這個映射怎么保證是準(zhǔn)確的？比如說像推特黑客攻擊事件，他發(fā)了個消息，你會覺得就是他發(fā)的，因?yàn)槟銢]有辦法去認(rèn)證，但如果他是公布了自己的公鑰，就所有人都可以去檢查這個消息是不是他發(fā)的，因?yàn)榭梢酝ㄟ^驗(yàn)證簽名，即使攻擊者有辦法去攻擊到中心化的賬戶，但因?yàn)檫@個消息是沒有簽名的，所以是沒有辦法偽造。

當(dāng)然這不是說數(shù)字身份和傳統(tǒng)身份的本質(zhì)區(qū)別，我們要做自主權(quán)數(shù)字身份的目標(biāo)，我們要把真實(shí)的意圖去表達(dá)出來，不要有偽造、隱私的泄露，其實(shí)我們是更好的去還原現(xiàn)實(shí)中的場景。但同時又有一些不一樣的地方，比如現(xiàn)實(shí)生活中去簽個名，這總體來說還是比較好偽造的，不太好鑒別。但在數(shù)字世界里這件事情變得比較簡單，很難去偽造，或者說就是不可能去偽造。在傳統(tǒng)世界可以去臨摹筆跡，當(dāng)然可能會有專家來檢查，但對普通人來說是沒有辦法分辨的。在數(shù)字世界里這個就變得很簡單，可以很直接的去判斷，這個行為是不是由真實(shí)的人做出的，而不是別人冒用。

Q：您認(rèn)為數(shù)字身份最適合應(yīng)用在什么領(lǐng)域？

姚翔：其實(shí)數(shù)字身份會和很多東西都相關(guān)，因?yàn)楝F(xiàn)實(shí)生活中身份就是自己，和世界萬物發(fā)生交互，什么時候要檢查你是“你”，這時候身份就會有用。在互聯(lián)網(wǎng)里面，我覺得什么應(yīng)用是最需要去不停驗(yàn)證用戶身份的，可能比如說社交網(wǎng)絡(luò)、金融系統(tǒng)，都是非常需要去檢查用戶是不是他的真實(shí)行為。