SSI 入门

在本文中,我们将尝试对 SSI 背后的概念和术语进行细分,并说明 SSI(尤其是在欧洲)日益受到重视的原因。 传统上,人类是通过参照物来识别的,如果没有人 “支持”,我们自己提出的主张通常被认为是无用的。 举例来说,如果一个人没有护照,即由可信赖的第三方(此处指政府)签发给他的声明,那么他说自己是 X 国公民就毫无意义。

为了解决这个问题,政府和后来的企业开始为某些索赔出具证明。 有时,这些索偿要求与个人直接相关,在这种情况下,说明这些索偿要求的文件上会印有上述个人的照片或序列号,通常称为税号或个人编号。 其他债权只需说明其属于持有人,在这种情况下,拥有债权的人也是其所有人,或者可以说明债权指的是他们。 随着时间的推移,新的概念被引入,例如法人,即无实体的构造或协议也可以具有身份。 在下文中,我们将使用实体一词来表示这两个术语。

随着互联网的出现,人们需要在网上识别实体,虽然法人的信息可以公开,但自然人希望维护自己的隐私,这也是法律所保障的。 从物理世界中提取的传统模式被转录到数字世界中,最终形成了一种支离破碎的格局,在这种格局中,每一个提供在线服务的实体都拥有自己的用户数据库,进行身份验证,并使用专有的方式存储用户数据。 为了解决这一问题,联合身份网络应运而生,以促进数据共享和互操作性,但由于严格的隐私法,这些联合系统很少跨越国界。

在互联网的私人空间中,围绕在线身份的情况更加糟糕,谷歌、Facebook、Twitter、LinkedIn 等公司提供联合在线 “身份”,但实际上并不知道该身份属于谁。 实质上,他们为电子邮件地址出具证明,但却无法知道谁在控制该电子邮件地址。

“在互联网上,没人知道你是条狗” 彼得-斯坦纳,《纽约客》,5。 1993 年 7 月

最后,我们要谈谈自我主权身份。 这个词经常被误解为实体可以自行发布关于自己的声明,而不需要可信的发布者。 这是不对的,因为报销单仍需由大家信任的人签发,和以前一样。 SSI 的含义是,实体随身携带数据并对其拥有控制权。 这意味着要对存储和访问进行控制。 例如,传统上,你会走进 A 机构获取某份文件,而 B 机构需要这份文件才能为你提供服务。 在联合系统中,这可以通过机构 A 和机构 B 之间直接对话来简化,但这仍然无法解决一个根本问题,即这些数据的所属实体和数据的实际所属实体无法直接控制,并且依赖于机构 A 和机构 B 提供的服务。

根本转变

在 SSI 模式下,这种模式被翻转过来,实体控制数据和对数据的访问,而机构 A 和机构 B 则要求实体提供对其数据的临时访问。 这从根本上改变了互联网实体与服务提供商之间的力量平衡。 SSI 生态系统围绕分散式标识符 (DID) 和可验证凭证 (VC) 展开,这两种标识符和凭证都由 W3C 进行了标准化。 我们可以将 DID 视为文件标识符,它不是集中存储在某个机构,而是存储在分布式网络上,最常见的是区块链。 拥有配对私钥就能证明对 DID 文档及其相关公钥的控制。 既然有了标识符,我们就需要让它识别一些东西。 这就是风险投资发挥作用的地方。 VC 是以 JSON-LD 文档的标准化形式存储的有关实体的声明。 索赔可以是任何内容,包括实体名称、与另一实体的关系,甚至是完整的文件。 UNISOT 通过其 UNISOT ID 服务提供全面的 SSI 解决方案,并在 BSV 分类账上注册了 DID 模式 (did:unisot)。 我们的解决方案遵循 W3C 定义的可验证凭证模型以及 DID 规范。

上图展示了这些概念是如何结合在一起的。 我们看到,传统发行人向公民(持有人)发行债权(VC),同时在分布式账本(区块链)上存储发行的 VC 的签名。 持有者用自己的私人密钥对 VC 进行会签,从而形成强有力的所有权证明。 由于 VC 实质上是一个 JSON 文件,因此其他人很容易就能获取不属于他们的权利要求。 通过使用持有者的私钥对索赔进行会签,并将签名存储在区块链上,我们就在持有者和风险投资公司之间建立了强有力的联系。 验证者实质上是任何希望验证索赔的第三方,它要求持有人出示虚拟货币,并检查虚拟货币在区块链上的签名。

这样,核查人员就能确定是谁签发了越境证明,证明的对象是谁,以及在签发后没有进行任何篡改。 这种模式通过让数据处理者适应持有者使用的数据格式,促进了数据处理者之间的标准化,可以说是对大规模勒索软件攻击的一种有效威慑。 例如,由于数据的时间敏感性,针对医疗机构的勒索软件攻击极具诱惑力。虽然 SSI 无法帮助处理内部数据,但我们可以看到,如果个人拥有自己的全部病史并将其存储在医疗从业人员处,这将非常有用。

欧盟也认为 SSI 是弥合不同成员国身份系统之间差距的有效方法,因为这些成员国往往拒绝根据国家法律跨境共享数据。 将数据所有权转移到公民手中后,这些限制就被绕过了,因为公民有权按照自己的意愿使用数据。 因此,欧洲自主身份框架(ESSIF)应运而生,其目标是成为 SSI 领域的黄金标准,并在全球范围内产生与 GDPR 对隐私权的影响相同的身份影响。

新机遇

如果我们仔细观察 BSV 生态系统以及 SSI 如何在此提供新机遇,就会发现困扰整个区块链领域的问题之一是区块链地址本身对用户的不友好性,这些地址表示为毫无意义的字符串,例如 “n1aAmTXAg4o44Z9k8YCQncEY91r3TV7WU4″。 在 BSV 生态系统中,nChainMoneyButton通过其Paymail身份方案提出了缓解这一问题的方法之一,该方案将 BSV 地址与类似电子邮件的命名格式(如 “username@unisot.id”)联系起来。 地址通过 DNS SRV 记录解析,SRV 记录指向包含支持服务列表的服务器。 虽然 Paymail 绝对是朝着正确方向迈出的一步,但最终验证的仍然是相关电子邮件的 “身份”,而不是个人。 虽然可以通过在签发时确定所有者的身份来解决这个问题,但这仍然会导致依赖 DNS 查询的服务式解决方案。 该模式本质上也是一个基于域的联合系统。 通过为给定的 Paymail 地址签发 VC 的形式,利用 SSI 增强 Paymail,可以有效缓解这些问题,从而在 BSV 生态系统中实现两种身份解决方案之间的协同作用。

米尔科-斯塔尼奇
联塔办事处企业架构师