隨著互聯(lián)網(wǎng)技術(shù)的出現(xiàn)和普及，數(shù)字身份幾乎支撐著我們生活的方方面面。而這些數(shù)字身份也經(jīng)歷了多個(gè)不同的發(fā)展階段：最初的階段是由單一組織進(jìn)行授權(quán)、管理和控制的中心化身份，不同機(jī)構(gòu)之間身份數(shù)據(jù)互不相通；接下來的階段是由多個(gè)機(jī)構(gòu)或者聯(lián)盟組織進(jìn)行管理和控制的聯(lián)盟身份，在此階段，用戶的身份數(shù)據(jù)具備了一定的可移植性和復(fù)用性。隨著數(shù)字化創(chuàng)新應(yīng)用的不斷發(fā)展，以用戶為中心的身份管理需求不斷增強(qiáng)，用戶需要能夠自主掌控自身的數(shù)字身份信息，以去中心化為特征的數(shù)字身份管理時(shí)代已經(jīng)來臨。

　　去中心化身份管理的理念

　　去中心化身份管理是一種創(chuàng)新的身份安全和訪問管理理念，它不再強(qiáng)調(diào)用戶信息的集中化采集、存儲，而是增強(qiáng)了用戶個(gè)人對其身份數(shù)據(jù)的控制，因此也被稱為自我主權(quán)模式（Self-Sovereign identity，SSI）的身份管理。

　　在去中心化身份認(rèn)證方式下，會要求每個(gè)用戶自主擁有自己的身份信息，不同的用戶可以將憑據(jù)和個(gè)人信息存儲在類似于“數(shù)字錢包”的管理工具中。而在進(jìn)行去中心化身份認(rèn)證時(shí)，相關(guān)身份信息的使用也會分布在分布式計(jì)算機(jī)系統(tǒng)中，如分布式賬本或區(qū)塊鏈，這樣可以使數(shù)字身份避免被篡改和竊取的影響，即使用戶的身份信息以電子格式記錄，也難以被更改、竊取或刪除。而且，去中心化身份管理特有的透明性使得身份信息可以即時(shí)驗(yàn)證，而不必依賴于身份發(fā)行者。下圖是對去中心化身份管理工作原理的簡要說明：


　　需要說明的是，在去中心化身份管理模式下，各類身份信息本身并不存儲在區(qū)塊鏈上，區(qū)塊鏈只是用于生成一個(gè)不可變的交易記錄，可以清晰看到信息是如何從發(fā)行組織傳遞給用戶。這種“數(shù)字指紋”（也稱為哈希）對每個(gè)憑據(jù)都是唯一的，能夠可靠地證明用戶的身份所有權(quán)。

　　在去中心化身份管理生態(tài)系統(tǒng)中，會涉及多種類型的參與者，主要包括：

　　•用戶/持有者（holder）：擁有和使用身份信息的個(gè)人。這些用戶可以在數(shù)字錢包中保存各種標(biāo)識符，并根據(jù)需要共享它們。

　　•發(fā)行者（issuer）：向用戶發(fā)放憑據(jù)和聲明的組織和機(jī)構(gòu)。這可以是政府的稅務(wù)部門，也可以是企業(yè)雇主、學(xué)術(shù)機(jī)構(gòu)或者任何可以發(fā)布身份信息的實(shí)體。

　　•驗(yàn)證者（verifier）：需要身份信息來建立信任并授予服務(wù)訪問權(quán)限的第三方。例如，在線商店在允許您購買某些商品之前可能需要用戶的年齡或公民身份證明。任何能夠證明身份的信息都需要可被核實(shí)。

　
　　與任何現(xiàn)有的統(tǒng)一身份管理系統(tǒng)架構(gòu)一樣，去中心化身份管理的各類組件可以組合在一起，從而更加安全地促進(jìn)對關(guān)鍵信息的訪問，同時(shí)更加便捷地驗(yàn)證用戶的身份。

　　去中心化身份管理的關(guān)鍵要素

　　去中心化身份管理可以讓每個(gè)用戶獨(dú)立控制自己的個(gè)人信息，而不是由中央組織或某個(gè)企業(yè)組織控制，這與傳統(tǒng)的中心化身份管理模式有著顯著差異，具體差別如下表所示：

　　從以上特點(diǎn)可以發(fā)現(xiàn)，組織在構(gòu)建去中心化身份管理系統(tǒng)時(shí)，需要包含以下幾個(gè)關(guān)鍵要素：

　　•區(qū)塊鏈：系統(tǒng)需要構(gòu)建一個(gè)去中心化的數(shù)據(jù)庫，在區(qū)塊鏈網(wǎng)絡(luò)中的計(jì)算機(jī)之間共享，以一種很難改變、黑客攻擊或欺騙系統(tǒng)的方式記錄身份相關(guān)信息。

　　•去中心化身份管理工具：一個(gè)應(yīng)用程序，允許用戶創(chuàng)建自己的去中心化標(biāo)識符并管理他們的可驗(yàn)證憑據(jù)。

　　•去中心化身份標(biāo)識符（DID）：這主要指區(qū)塊鏈上的唯一標(biāo)識符，由一串字母和數(shù)字組成，其中包含公鑰和驗(yàn)證信息等詳細(xì)信息。

　　•可驗(yàn)證憑證（VC）：紙質(zhì)憑證和數(shù)字憑證的數(shù)字加密安全版本，人們可以將其提交給需要驗(yàn)證的組織。

　　采用去中心化身份管理的必要性

　　通過一些實(shí)際落地的應(yīng)用實(shí)踐表明，采用去中心化身份管理模式能夠給企業(yè)組織帶來以下諸多好處：

　　1讓用戶能夠更好地控制自己的個(gè)人信息

　　在中心化身份管理情境下，用戶必須相信中央組織或公司會保護(hù)他們的個(gè)人信息安全，且不會被濫用。但通過去中心化身份管理方法，用戶可以控制誰可以訪問他們的個(gè)人信息，并且可以在必要時(shí)自行撤銷訪問權(quán)限；

　　2實(shí)現(xiàn)更高的安全性

　　在中心化身份管理模式中，如果中央組織或企業(yè)的安全態(tài)勢受到損害，則其所有用戶的所有個(gè)人信息都將處于危險(xiǎn)之中。而采用去中心化身份管理方法時(shí)，每個(gè)用戶的個(gè)人信息是去中心化的，而非集中在一個(gè)地方，因此即使部分用戶的身份信息被泄露，也不會影響到組織其他用戶的身份信息安全。

　　3讓身份管理更加私密性

　　在身份集中管理的情況下，用戶往往需要向中央機(jī)構(gòu)或公司提供大量的個(gè)人信息，這些信息可能會被用于定向廣告或其他用戶可能不太滿意的目的。有了去中心化的身份管理，用戶只需要分享他們想要的個(gè)人信息，其余的都可以保密。

　　4讓身份認(rèn)證更便捷

　　去中心化身份管理可以消除繁瑣的多因素認(rèn)證協(xié)議，實(shí)現(xiàn)無密碼認(rèn)證，這讓很多數(shù)字化服務(wù)的開展變得更容易和更快捷，因?yàn)橛脩魺o需再輸入繁瑣的長密碼。組織機(jī)構(gòu)也可以快速驗(yàn)證用戶身份，而無需強(qiáng)迫他們接受繁瑣的KYC流程。

　　5降低身份管理成本

　　統(tǒng)計(jì)數(shù)據(jù)顯示，全球企業(yè)組織每年用于身份管理的花費(fèi)高達(dá)數(shù)十億美元，去中心化身份管理讓每個(gè)用戶都參與到管理工作中，并存儲報(bào)關(guān)個(gè)人的身份數(shù)據(jù)，從而能夠?yàn)槠髽I(yè)減輕負(fù)擔(dān)。如果沒有了身份數(shù)據(jù)中心的管理需求，企業(yè)就可以減少身份管理的運(yùn)行成本，并將資金重新投入到改善數(shù)字安全運(yùn)營的其他方面。

　　6有利于監(jiān)管合規(guī)

　　全球各國的監(jiān)管機(jī)構(gòu)正在不斷加強(qiáng)數(shù)據(jù)隱私的法律監(jiān)管。不遵守用戶隱私保護(hù)的企業(yè)，或?qū)⒚媾R嚴(yán)厲制裁。去中心化身份管理體系能夠幫助組織降低對用戶身份信息管理的法律責(zé)任。因此，公司可以更好地遵守?cái)?shù)據(jù)隱私法，避免引起監(jiān)管機(jī)構(gòu)的關(guān)注和處罰。

　　7加強(qiáng)組織和用戶之間的信任

　　信任是維系公司和客戶之間關(guān)系的粘合劑。消費(fèi)者面對公司收集他們的身份信息數(shù)據(jù)時(shí)，往往會擔(dān)心被用于身份欺詐，因此企業(yè)在提供服務(wù)之前需要漫長的驗(yàn)證過程。去中心化身份可以解決這個(gè)問題，并在用戶和服務(wù)提供者之間建立其前所未有的信任水平。

　　實(shí)施去中心化身份管理面臨的主要挑戰(zhàn)

　　與目前大多數(shù)行業(yè)一樣，AI技術(shù)正在影響運(yùn)營并導(dǎo)致組織實(shí)時(shí)發(fā)展，這對去中心化身份管理體系的構(gòu)建也是如此。AI技術(shù)使個(gè)人的真實(shí)性變得不那么明顯，因此企業(yè)需要提出分層的身份驗(yàn)證方法，以確保人們在獲得憑據(jù)之前確認(rèn)他們的真實(shí)性。

　　此外，用戶體驗(yàn)也會帶來挑戰(zhàn)，這包括如何使用身份、身份回收、數(shù)字錢包選擇以及編寫管理聲明等，此外，當(dāng)發(fā)行方和驗(yàn)證方是不同的組織時(shí)，它需要可互操作的協(xié)議，而這仍處于較早期的產(chǎn)品研發(fā)階段。

　　標(biāo)準(zhǔn)和互操作性也是應(yīng)用去中心化身份管理是的一個(gè)關(guān)鍵挑戰(zhàn)。必須存在標(biāo)準(zhǔn)，以支持充當(dāng)發(fā)行者和驗(yàn)證者的不同企業(yè)之間的互操作性，以及不同的身份管理工具（數(shù)字錢包），這些參與企業(yè)可以通過不同供應(yīng)商的開源應(yīng)用來實(shí)現(xiàn)，這需要重新思考企業(yè)與用戶身份數(shù)據(jù)信息之間的關(guān)系以及如何挖掘這些數(shù)據(jù)的使用潛力。

　　與任何創(chuàng)新一樣，攻擊者始終都會找到有效的攻擊方法滲透到即使是最強(qiáng)大的安全控制措施中。有鑒于此，企業(yè)組織在應(yīng)用去中心化身份管理方法時(shí)，也需要對可能的新型攻擊保持警惕。特別是隨著去中心化身份應(yīng)用變得越來越普遍，企業(yè)需要投資新的安全防護(hù)產(chǎn)品來阻止?jié)撛陲L(fēng)險(xiǎn)，從而保持領(lǐng)先于攻擊者一步。

　　參考鏈接：

　　https://web3.hashnode.com/what-is-decentralized-identity

　　https://www.okta.com/blog/2021/01/what-is-decentralized-identity/