菜单
去中心化身份会成为数字时代的关键吗?

当今世界已进入数字时代,身份是一切活动的关键所在。没看完流媒体电视节目,想接着前一次中断的地方继续看?一时冲动购买了昂贵的飞行模拟装置,急于知道什么时候能送到手中?在数字世界,无论我们做什么,能够证明我们的身份和信息访问权限都至关重要。


在数字业务中同样如此。


数字身份是一个入口,可用来访问您的员工、合作伙伴和客户所依赖的系统。但是,要确定具体对象的访问权限正变得越发困难——起码如果不抛弃过时的身份管理理念的话,是这样。


如今,任何特定的业务流程都可能取决于少数几个相互连接的系统,而其中每个系统都可能运行在不同的云端。在该流程的每一步中,您的企业声誉都取决于一点:确保只有那些具有足够特权的人才能访问特定信息。


研究与咨询机构 Forrester 在 2020 年 1 月 2 日发布的报告《新技术——去中心化数字身份(DDID)(2020 年第 1 季度)》中指出,“目前的数字身份框架是中心化的,其缺点是缺乏信任,携带不便,不能让消费者拥有控制权。”


解决这些问题需要新的方法。ThoughtWorks 全球技术主管Dave Elliman认为,去中心化身份可能是最有希望的方法之一。在去中心化身份系统中,实体——人员、企业和事物——可以控制自己的身份并允许可信的交互。


Elliman说,这种方法的强大之处在于,它使人们在与不同的服务机构共享自己的身份信息时,可以选择性提供自己身份的不同面。“您与医疗健康保险公司交换的一些详细信息可能完全不适合提供给您的放贷机构。去中心化身份系统有望实现的是,您只要拥有一个系统,就可以向多个实体进行身份验证。”


能够从去中心化的身份验证方法中获益的不单是个人。


如今的企业在管理客户数据时已经面临着难以置信的复杂性。ThoughtWorks 澳大利亚数据与人工智能业务总监David Colls解释说,客户在与同一家企业往来时可能会使用多个不同的“身份”。


例如,一个人可能是您公司的长期高价值客户,同时还担任当地足球队的财务主管,而该足球队也是您公司的客户。柯尔斯说:“如果您采用去中心化身份这种深思熟虑的架构体系,则可以将权力交回客户手中,而且使企业可以轻松地为客户所选择的不同身份提供服务。这将真正解决新出现的去中心化身份现象导致的许多复杂问题。”


在坚实基础上建立去中心化身份


去中心化身份系统与当前的诸多方法存在本质区别。


Elliman说,如今,围绕下一代身份验证,大多数企业级方案都集中在诸如 SPIFFE(Secure Production Identity Framework For Everyone,通用安全身份框架)之类的计划上。


SPIFEE 旨在无需依赖 API 密钥或密码而解决跨分布式云系统的身份验证问题。


但是这些方法要求由企业负责管理身份验证。真正的去中心化身份系统是让个人拥有控制权。 Elliman说,监管机构也越来越支持这种对用户的赋权。


ThoughtWorks 英国首席技术顾问Danilo Sato表示,如果研究一下欧盟的《通用数据保护法》(GDPR)或《加州消费者隐私法》(CCPA),就会发现,它们在解决身份问题时非常注重将权力归还给个人。


诸如被遗忘权之类的概念,或者个人可以要求知道企业掌握自己的哪些数据的原则,对于当今的企业来说是一个真正的挑战。佐藤说:“从个人的角度出发,我着实怀疑一家企业是否真的会按照我的要求销毁我的个人数据。”


去中心化身份系统通过仅共享个人愿意共享的数据来解决这一问题;如果他们不想继续共享这些数据,或者确定某个机构不再需要这些数据,他们有控制权来撤销授权。


构建去中心化身份系统的一个核心推动力是标准。诸如去中心化身份基金会(DIF)之类的机构正在引领这项工作。它的任务是为面向人员、企业、应用程序和设备的开放的、基于标准的去中心化身份生态系统开发组件。它的大部分精力集中在开放的去中心化身份标识符这一概念——一种独一无二的、不变的并能够由个人管理的身份标识符。


进入区块链


正是在这一点上,许多去中心化身份的支持者开始谈论区块链。毕竟我们研究的是去中心化和加密安全交易。而这正是区块链最重要的特征。


但是,Elliman对此持谨慎态度。


“区块链肯定是有希望实现去中心化身份的途径之一,但绝不是唯一的途径。许多支持去中心化身份的想法都可以不通过区块链实现,因此,重要的是不要将两者混为一谈。”


但是,尽管一些区块链爱好者对它在众多应用程序方面的潜力过于兴奋,但还是有一些确凿的理由支持我们至少去考虑一下它在去中心化身份中的作用。


比如说投资。分析机构 IDC 认为,尽管新冠疫情已经影响了全球的 IT 投资,但银行、政府和医疗保健等行业预计仍将继续优先投资基于区块链的身份管理解决方案。该机构估计,身份管理占所有区块链支出的 7% 以上。显然,有足够多的企业已经被说服,认为投入大量资金支持区块链是可行的。

Customer making mobile payment
Customer making mobile payment

在其他地方,新冠疫情促进了基于区块链的去中心化身份管理系统的提前实施。例如,韩国济州岛已经开始推出基于区块链的游客联系人追踪系统。访客需要在到达旅游目的地时下载移动应用程序,并获得基于区块链的“凭证”,用于在旅游过程中证实自己的身份。


在 ThoughtWorks 中国,新冠疫情引起的活动限制让我们的一些同事有了空闲时间。这意味着他们可以专心研究自己酷爱的区块链技术。“有些同事已经使用区块链为客户完成了一些去中心化身份方面的工作,我们有兴趣将它应用在下一代支付系统中,”ThoughtWorks 中国区区块链事业部负责人刘尚奇说。


他们提出的方案是 TWallet一种可以保护用户隐私的移动数字钱包。“中国已经有许多非常有效的移动支付方式,但通常都是由大公司运营的。而且我们认为,能让用户了解到自己的隐私是有保障的,独立、开放的替代方案是有发展机会的。


Twallet 使用区块链技术验证用户的身份并保证移动支付的安全。由于付款是在用户移动设备上进行身份验证的,因此不会在互联网上共享任何数据,从而使用户能够保护自己的隐私。


Elliman说,目前,这种基于区块链的去中心化身份方法是有趣的概念验证,但在区块链成为主流业务技术之前,还有很长的路要走。


他说:“到目前为止,区块链还不是真正为通常与企业级技术相关联的速度和规模而构建的。但这并不是说企业领导者应该忽略这一技术。真正的意义在于,来自消费者的压力将极大地推动实现自我主权身份,即个人要求自己控制共享其个人信息的方式。”


“当今的企业领导者可能已经为身份问题绞尽了脑汁,因此也难怪他们不想考虑进行重大方向性改变。但据我们所知,正是那些不注重发展技术的企业会在周围世界突然发生变化时陷入困境,” Elliman说。


考虑到这一点,就算您不会立即开始部署去中心化身份管理系统,但还是值得考虑一下它对您的业务意味着什么。

探索最新一期技术雷达