區塊鏈身份系統可能替代傳統身份體系 防止數據泄露

　　來源：IDHub 

　　摘要： 區塊鏈技術在隱私和安全性方面能夠顯示出有別於傳統系統的優勢，它會成為用戶信任的起點。區塊鏈身份系統也將隨之受到更廣泛的關注，並極有可能成為傳統身份體系的最終替代者。

　　根據IDC《數據時代2025》白皮書預測：在2025年，全球數據量將達到史無前例的163ZB，是目前的10倍，其中30%-40%屬於個人數據。如今，數字身份資訊的創造、獲取和複製速度遠遠超出人們想象，隨之而來的則是有害的副作用——全球數據泄露。金雅拓（Gemalto）發布的數據泄露水準指數（Breach Level Index）顯示，2017年全球有26億條數據記錄被盜、丟失或外泄，比2016年增加88%，而2018年的數據泄露程度將會更加驚人。

　　在全球，38%的消費者認為大部分企業並不了解如何保護個人數據。近期，華住酒店集團旗下10余個品牌酒店共140G、近5億條數據公開在“暗網”售賣，標價為8個比特幣，這些數據包括注冊資訊、身份登記資訊和開放記錄。如此一家大型連鎖酒店集團，掌握巨量的用戶隱私數據，竟然缺乏最基本的數據保護常識和措施，輿論嘩然。但這只是近年來連鎖酒店發生數據泄露的冰山一角。

　　身份數據冗余嚴重，可互操作的身份系統重要性凸顯

　　造成數據泄露的根源不僅在於服務平台保護不力，更源於我們身份數據的泛濫。今天，數字產品和服務需求的不斷增長正在推動更多的身份認證和創造，比如消費者不再局限於在國家範圍內購物。據Forrester稱，未來6年，全球跨境零售將增長兩倍。但全球的數字身份系統彼此分離，缺乏跨境和跨平台的能力，這讓用戶無法以一個通用身份獲得不同系統的認證，零售商不得不擴大身份驗證的使用，以適應不斷增長的需求。

　　同時，不同國家有不同的數字身份識別方案，不同商業組織也都在為每個客戶創建一個或多個身份账戶，但這其中大部分是冗余的，造成了大量富有價值卻處於休眠狀態的身份數據，這些數據成為身份盜竊和欺詐的攻擊點，也是身份資訊泄露無法根除的原因之一。

　　在眾多身份解決方案和協定中，Facebook的Graph API、OAuth、OpenID Connect、xAuth、SAML、RESTful和FIDO聯盟已成為身份驗證的主流。經過數十年的嘗試，通用身份的目標正在實現，你可以用Facebook、Twitter账號或OAuth/xAuth來驗證身份，但互操作問題依然存在。

　　如果我們可以通過區塊鏈數字身份解決身份和平台之間互操作性，不僅可以保護個人隱私，還能激發相互信任，提供更高的安全性。美國商務部國家標準與技術研究所（NIST）一直致力於建立統一的數字身份系統的技術標準，該標準旨在讓用戶更加容易地進行身份注冊和聲明驗證。

　　NIST的技術標準是建立在對風險防控的基礎上，這為區塊鏈身份系統的創建者提供了對認證或驗證文檔校準的靈活性。例如，對一項具有風險的金融交易進行身份驗證，需要通過可信的憑證，如駕照、公用事業账單或社會保險卡等物理文檔對合法身份進行驗證，然後將這個身份綁定到一個唯一的數字標識符，這個數字標識符可以在整個數字身份生態系統中被識別。一項風險較低的交易則可能不需要完整的法律身份證明，只需通過部分的身份憑證即可進行證明。

　　公眾情緒觸發身份體系變革，區塊鏈數字身份前途光明但任重道遠

　　8月15日，Coinbase宣布收購一家總部位於舊金山、專注於數字身份的創業公司Distributed Systems，該公司已經開始研究分布式身份解決方案。Coinbase數字身份項目經理Byrne表示，一個去中心化的身份會讓你證明擁有一個身份，或者你與社會保障局有關係，而不需要複製那個身份，個人只需授權不同公共服務或商業機構，將他們持有的不同資訊連接起來，便可進行互認和交易，這其中互操作性是最為重要的一環。

　　如今，分布式數字身份基金會（DIF）和萬維網聯盟（W3C）正在設計主權數字身份認證標準。同時，許多像Polkadot、Cosmos、AION等初創公司也在構建互操作性平台。這些公司通過建立一個可以被所有身份驗證平台所接受的通用身份標準，來形成一個身份生態系統，這樣可以極大地減少個人數據的產生數量。相反，用戶將使用一個基於區塊鏈的身份創建一個账戶，然後將使用該身份來注冊其他服務和系統。

　　如果一個具備互操作能力的區塊鏈身份平台得到採用，用戶將只需要一次性注冊個人數據，就可以安全、快速地為其他平台提供身份證明，且無需向第三方公開任何數據。類似情況也適用於其他基於區塊鏈的身份平台，比如愛沙尼亞的KSI（Keyless Signature Infrastructure）架構並不是一個使用非對稱密鑰加密技術的區塊鏈，而是一種基於Merkle Tree的分類账本。KSI不需要依賴第三方或數字簽名密鑰，就可以對數據進行完整性校驗和保護。這將大大降低驗證成本：不需保護任何密鑰，同時也不需要定期重簽任何檔案。

　　與此同時，Sovrin通過一組有限的“驗證器節點”實現了共識，可以說這使得它不像其他區塊鏈那樣去中心化。這種權衡表明，如果一個身份平台想要提高可擴展性，那麽它需要在某些方面減少去中心化，並因此可能會變得不安全。但從實際角度來看，更重要的是重新定義什麽是“區塊鏈”，因為目前人們最熟悉的區塊鏈無法勝任大規模數據保護和傳輸的任務。

　　我們需要承認的是，當前只有少數國家和州政府（如新加坡、伊利諾斯州）一直在試用區塊鏈身份系統。英國和澳大利亞政府已經投入數百萬美元，用於建立和優化自己的中心化身份驗證系統。同樣，Facebook想把自己改造成一個真正的去中心化平台也不切實際，因為Facebook通過數據交易每年能獲得數十億美元的利潤，它還被廣泛用於用戶在線識別，因此不太可能輕易剝奪中心化平台的“霸主”地位。

　　但公眾情緒可能是改變這種情況的關鍵因素，在全球一件件愈演愈烈的數據泄露事件背後，公眾情緒正發生著轉變。即使區塊鏈技術的實用性在加密貨幣領域之外仍未得到有效證明，但它只要在隱私和安全性方面能夠顯示出有別於傳統系統的優勢，就會成為用戶信任的起點，區塊鏈身份系統也將隨之受到更廣泛的關注，並極有可能成為傳統身份體系的最終替代者。

責任編輯：吳化章