白帽黑客

独立身份(SSI)是数字身份管理体系中一个极端化的存有。其聚焦点放到将操纵交还客户手上。但SSI并不是处理问题的唯一方法。

身份行业广为流传有很多有关独立身份(SSI)的话题讨论。SSI的服务宗旨便是将客户放置数字身份管理方法和操控的中心。以用户为中心的数字身份并不是新鲜的定义，2005年 Kim Cameron 的《身份规律》一文中就指出了这一定义。规律1：身份元系统软件的顺利在于其使用人。

SSI以用户为中心，但以用户为中心的不仅SSI系统软件一家。

理论上讲，SSI很非常好。终究，数字身份便是用于处理你如何处理本身标志信息的——这自然应当在你自己的操控下。殊不知，有几个问题让人猜疑SSI确实可以达到大家对身份的需要吗?

1. 独立身份是啥?

独立身份选用区块链技术申请注册本人身份特性。是啥意思呢?你的身份数据信息(特性或申明)——决策 “数字化的你” 或 “这物是此物” 的物品，被申请注册到区块链技术中的某一区块链上。该区块链技术是个分布式账本(沒有中间权威性操纵)，后面的去中心化申明是本人鉴别信息的一部分，可在客户操纵下与要求方(如金融机构或政府部门等)共享资源。

SSI的本质根据验证申明。数字身份行业里，认证是件甚为繁杂的事;没那麼形象化，也不是弄点“客户友善”就能应收以往的。但Sovrin那样的机构便是构建在根据适用数字身份的分布式账本技术性主干网管理方法验证申明的定义上。(Sovrin给予SSI主干网。)

2. 什么叫验证申明?

有关本人的数据信息点一定是真正的，或是最少要具有能达到服务提供商规定的一定真实有效，才算是合理的。由可靠第三方核查(认证)过的申明即被视作验证的。Web标准监管者W3C就曾科学研究过验证申明规范的问题。其科学研究极不看中客户为中心的和个人隐私提高的方式。她们的申明极其强势：沒有以用户为中心的、个人隐私提高的验证申明生态体系。

该探讨的结果包含：

• 信赖是去中心化的。验证申明的顾客决策什么发送者可信任站点。
• 客户可共享资源验证的申明而不用向用以储存申明的软件代理表露明确接受方。

可是，这样的事情下，你需要一套去中心化的身份系统软件来完成去中心化的验证申明吗?二者是不是互斥的呢?

3. 有关SSI的3个至关重要的问题

(1) 谁来付款?

大家生话的全球创建在一定商业服务构架基本以上。这类构架非常大层度中受钱财推动。根据提供验证申明的身份架构要怎样使用到服务项目上呢?谁来付款认证花费?假如一家企业付钱，这种数据信息被市场竞争企业共享资源来与之创建可靠关联了该怎么办?

大家是否又返回了当时协同身份的一些老问题上?如同2006年时 Phillip Windley 常说的：

一点也不出现意外，艰难的部位通常都并不是技术性，反而是管理方法这些全过程和商业服务关联以保证同盟靠谱、安全性，并给予合理的个人隐私保护。

独立系统软件是不是会碰到协同身份遭受的相近商业服务问题?只不过是，此次问题大约会出在应用付钱上?

信赖互联网调研组科学研究了以上问题的解决方案，她们已经著述的毕业论文《SSI如何挺过资本主义》对于此事明确提出了一些有意思的见解。她们的研究中有一个非常值得留意的阐述：因为欠缺服务平台而致使的早期股权融资欠缺(鸡生蛋蛋生鸡问题)。

此外，法国某政府官员还明确提出：政府部门验证的身份文档，例如护照签证，真的是你持股的数据信息吗?

(2) 缺点在哪里?

SSI是不是侨民的奇妙万灵丹也没法明确。Sovrin之类的独立架构选用大管家方式维护保养信赖。在其中大管家便是可靠第三方——经营分布式账本中连接点的机构。Sovrin现阶段有50好几个大管家组织给予人力资源及算率。

这类方式拓宽了去中心化的定义。但大管家本身是否会变成系统软件中的缺点呢?互联网犯罪分子是否会对大管家组织着手以获得连接点的决策权呢?

(3) 究竟有多个人隐私?

去中心化的隐私层面，SSI恰好是该体系的吸引力所属。以Sovrin为例子，选用零知识证明做为降到最低数据信息公布的最底层体制。“你满18岁了没有?” 这类问题只公布了 “是/否”。自然，给予个人隐私特性的系统软件不仅SSI一个。有很多方式可以应用传统式身份服务项目达到个人隐私目地。在其中之一便是 Sid Sidner 在2006年开发设计的“可变申明”。该体制已使用在传统式身份服务项目中，与SSI相近，仅公布一定数据信息，例如“是/否”或一部分特性。

问题就出在这儿。最少公布自然很好，但当你要想网上购物一双鞋呢?不许商家了解你的详细地址，他如何让你快递公司?出自于营销推广目地，她们也许会索取你的名字和别的信息。你的数据信息从此跑出SSI，以更传统式的形式被拥有了。自然，也就没有在你操纵下了。

4. 身份生态体系

以前的PGP协议书根据“信赖网”的定义给予了安全性电子邮箱通讯的期待。PGP看上去很有可能有点儿过度“极克”，总感觉得有电子信息科学博士研究生才可以用的模样。是易用性而不是其科学方法论阻隔了PGP的营销推广，乃至PGP的*** Phil Zimmerman 自身都早已不会再应用PGP了。SSI热潮里也透着一丝PGP的极克觉得。SSI圈的人着力打造和融合简约实用的运用，但仍能闻到一股相近PGP的味儿。也许大家不仅仅必须技术性来完成作用，还得了解应用数字身份的初心，掌握真实的测试用例，了解该类测试用例的缺点。

区块链技术的确早已有一些测试用例融入优良，可以做为技术栈的额外层，具备较大的发展潜力。

加拿大政府会计联合会学术部身份管理方法高級现行政策投资分析师 Tim Bouma 近期***汇总了相关SSI的争执：

最恶劣的(去中心化)实例便是无服务提供商，但它很可能是集中化、协同和分散化选择项的组成。这没有什么，由于有挑选才可以铸就身心健康的生态体系。

独立身份(SSI)是数字身份管理体系中一个极端化的存有。其聚焦点放到将操纵交还客户手上。但SSI并不是处理问题的唯一方法。最少在可预料的将来，多种多样新技术的综合性才可以融入身份生态体系的各类不一样要求。SSI测试用例自然有，但它能不能变成人们在数字行业解决困难的主要方法尚未可知。可能除非是以上3个问题拥有站得住脚的回答，不然SSI依然仅仅诸多解决方法中的一种。

• Sovrin：https://sovrin.org/
• W3C有关验证申明的科学研究：https://www.w3.org/2017/vc/charter.html

【文中是51CTO栏目创作者“李少鹏”的原创文章内容，转截请根据i春秋（微信公众平台id:gooann-sectv）获得受权】

戳这儿，看该创作者大量好文章