数字身份的三种模型
数字身份(digital identity)有三种模型,分别是:中心化身份、联邦身份和去中心化身份。
第一种模型,中心化身份,就是每个网站/APP一个帐号,网站/APP后台为每个用户存储独立的帐号信息。 这很好理解,我们非常熟悉这种模型。这种模型的问题在于:
- 帐号太多,难以管理,
- 每个网站/APP需要独立的做需要的身份信息核实
- 每增加一个后台,用户身份信息的泄漏风险就增加一种可能
- 用户无法控制自己的帐号和数据
第二种模型,联邦身份,是指有一个身份提供商介于用户和最终网站/APP之间,用户使用身份提供商的身份来“登录”最终的网站/APP。 在中国,常见的身份提供商包括微博、微信、支付宝、手机号运营商。这种模式下,帐号会比第一种少很多,身份信息核实平台也少,但 用户仍然无法控制自己的帐号和数据。
第三种模型,去中心化身份,用户和网站/APP是对等关系,其“共享”一个通信通道,而这个通信通道不属于任何一方。这种模式的最佳例子 是以太坊上的Dapp,Dapp是去中心化APP,而普通以太坊地址(非合约地址)对应用户身份。去中心化身份的最大好处是用户夺回了 身份和数据的自主权,平台和Dapp都无法在用户不同意的情况下修改用户的数据。 在这种模型中,理想的去中心化身份模式应该能够:用最少的身份,访问尽可能多的应用。所谓最少,是用户控制的最少:如果用户愿意,1个就行。从这个角度看, 如果能有一个互联网规模的去中心化身份基础设施(事实上已经有组织和项目开始做了,具体是啥本文暂且不表),所有的用户都共享这个基础设施来创建、使用和删除数据,简直不要太爽!仅仅以太坊地址作为去中心化身份,因为是区块链内的,还远远不能达到理想的 要求。
在后续文章中,我将重点关注去中心化身份,因为这代表未来。而自主身份(英文Self-Sovereign Idengity, 简写为SSI)必然要求是去中心化的, 否则没没法做到“自主”。至于去中心化身份和自主身份的异同,我想
- 二者是包含关系:去中心化身份是超级,自主身份是子集。
- 去中心化身份更强调身份标识和公私钥对,而自主身份的概念中还暗含“可验证凭据”(verifiable credentials)。
自主身份的概念后文待续。