根据IDC《数据时代2025》白皮书预测:在2025年,全球数据量将达到史无前例的163ZB,是目前的10倍,其中30%-40%属于个人数据。如今,数字身份信息的创造、获取和复制速度远远超出人们想象,随之而来的则是有害的副作用——全球数据泄露。金雅拓(Gemalto)发布的数据泄露水平指数(Breach Level Index)显示,2017年全球有26亿条数据记录被盗、丢失或外泄,比2016年增加88%,而2018年的数据泄露程度将会更加惊人。
在全球,38%的消费者认为大部分企业并不了解如何保护个人数据。近期,华住酒店集团旗下10余个品牌酒店共140G、近5亿条数据公开在“暗网”售卖,标价为8个比特币,这些数据包括注册信息、身份登记信息和开放记录。如此一家大型连锁酒店集团,掌握巨量的用户隐私数据,竟然缺乏最基本的数据保护常识和措施,舆论哗然。但这只是近年来连锁酒店发生数据泄露的冰山一角。
身份数据冗余严重 可互操作的身份系统重要性凸显
造成数据泄露的根源不仅在于服务平台保护不力,更源于我们身份数据的泛滥。今天,数字产品和服务需求的不断增长正在推动更多的身份认证和创造,比如消费者不再局限于在国家范围内购物。据Forrester称,未来6年,全球跨境零售将增长两倍。但全球的数字身份系统彼此分离,缺乏跨境和跨平台的能力,这让用户无法以一个通用身份获得不同系统的认证,零售商不得不扩大身份验证的使用,以适应不断增长的需求。
同时,不同国家有不同的数字身份识别方案,不同商业组织也都在为每个客户创建一个或多个身份账户,但这其中大部分是冗余的,造成了大量富有价值却处于休眠状态的身份数据,这些数据成为身份盗窃和欺诈的攻击点,也是身份信息泄露无法根除的原因之一。
在众多身份解决方案和协议中,Facebook的Graph API、OAuth、OpenID Connect、xAuth、SAML、RESTful和FIDO联盟已成为身份验证的主流。经过数十年的尝试,通用身份的目标正在实现,你可以用Facebook、Twitter账号或OAuth/xAuth来验证身份,但互操作问题依然存在。
如果我们可以通过区块链数字身份解决身份和平台之间互操作性,不仅可以保护个人隐私,还能激发相互信任,提供更高的安全性。美国商务部国家标准与技术研究所(NIST)一直致力于建立统一的数字身份系统的技术标准,该标准旨在让用户更加容易地进行身份注册和声明验证。
NIST的技术标准是建立在对风险防控的基础上,这为区块链身份系统的创建者提供了对认证或验证文档校准的灵活性。例如,对一项具有风险的金融交易进行身份验证,需要通过可信的凭证,如驾照、公用事业账单或社会保险卡等物理文档对合法身份进行验证,然后将这个身份绑定到一个唯一的数字标识符,这个数字标识符可以在整个数字身份生态系统中被识别。一项风险较低的交易则可能不需要完整的法律身份证明,只需通过部分的身份凭证即可进行证明。
公众情绪触发身份体系变革 区块链数字身份前途光明但任重道远
8月15日,Coinbase宣布收购一家总部位于旧金山、专注于数字身份的创业公司Distributed Systems,该公司已经开始研究分布式身份解决方案。Coinbase数字身份项目经理Byrne表示,一个去中心化的身份会让你证明拥有一个身份,或者你与社会保障局有关系,而不需要复制那个身份,个人只需授权不同公共服务或商业机构,将他们持有的不同信息连接起来,便可进行互认和交易,这其中互操作性是最为重要的一环。
如今,分布式数字身份基金会(DIF)和万维网联盟(W3C)正在设计主权数字身份认证标准。同时,许多像Polkadot、Cosmos、AION等初创公司也在构建互操作性平台。这些公司通过建立一个可以被所有身份验证平台所接受的通用身份标准,来形成一个身份生态系统,这样可以极大地减少个人数据的产生数量。相反,用户将使用一个基于区块链的身份创建一个账户,然后将使用该身份来注册其他服务和系统。
如果一个具备互操作能力的区块链身份平台得到采用,用户将只需要一次性注册个人数据,就可以安全、快速地为其他平台提供身份证明,且无需向第三方公开任何数据。类似情况也适用于其他基于区块链的身份平台,比如爱沙尼亚的KSI(Keyless Signature Infrastructure)架构并不是一个使用非对称密钥加密技术的区块链,而是一种基于Merkle Tree的分类账本。KSI不需要依赖第三方或数字签名密钥,就可以对数据进行完整性校验和保护。这将大大降低验证成本:不需保护任何密钥,同时也不需要定期重签任何文件。
与此同时,Sovrin通过一组有限的“验证器节点”实现了共识,可以说这使得它不像其他区块链那样去中心化。这种权衡表明,如果一个身份平台想要提高可扩展性,那么它需要在某些方面减少去中心化,并因此可能会变得不安全。但从实际角度来看,更重要的是重新定义什么是“区块链”,因为目前人们最熟悉的区块链无法胜任大规模数据保护和传输的任务。
我们需要承认的是,当前只有少数国家和州政府(如新加坡、伊利诺斯州)一直在试用区块链身份系统。英国和澳大利亚政府已经投入数百万美元,用于建立和优化自己的中心化身份验证系统。同样,Facebook想把自己改造成一个真正的去中心化平台也不切实际,因为Facebook通过数据交易每年能获得数十亿美元的利润,它还被广泛用于用户在线识别,因此不太可能轻易剥夺中心化平台的“霸主”地位。
但公众情绪可能是改变这种情况的关键因素,在全球一件件愈演愈烈的数据泄露事件背后,公众情绪正发生着转变。即使区块链技术的实用性在加密货币领域之外仍未得到有效证明,但它只要在隐私和安全性方面能够显示出有别于传统系统的优势,就会成为用户信任的起点,区块链身份系统也将随之受到更广泛的关注,并极有可能成为传统身份体系的最终替代者。