自主管理身份初探

姚前

身份管理非常重要，世界各國都將其作為最根本的社會治理制度之一。由眾多互聯(lián)網(wǎng)平臺企業(yè)建立的以開戶為前提的中心化身份管理模式，可能存在一些弊端。而基于區(qū)塊鏈的分布式自主管理身份破除了對互聯(lián)網(wǎng)平臺的依賴，并具有極大的開放性和包容性。

身份管理非常重要，世界各國都將其作為最根本的社會治理制度之一。在我國，自殷商以來就有嚴密的戶籍管理制度，戶籍管理制度是征兵、賦役、管制的基礎(chǔ)。戶籍管理不光中國有，國外也同樣有。外國的戶籍管理多叫“民事登記”或“生命登記”“人事登記”，叫法不一，但基本上與我國的戶籍管理大同小異。

戶籍、戶口、賬戶均有“戶”字?！皯簟钡墓抛中蜗褚簧乳T的形狀，本義指單扇的門，由本義引申為房屋的出入口。一家人住在一個門內(nèi)，“戶”又引申為家庭甚至家族。能將一個人的信息具體到某一家庭或家族，那么這個人是誰、有什么基本特征，也就能確定了。從這個意義上來說，“戶”即是一個人的身份標記。人的身份由其“戶”來體現(xiàn)。要確定一個人是不是某某，只要查看他的戶籍即可。反過來，一個人要證明自己是某某，也需要拿出相應(yīng)“戶”的證明。這里的關(guān)鍵是“戶”的證明要可信。

在日常生活中，人們通常要依靠權(quán)威機構(gòu)發(fā)布的紙質(zhì)證書證明自己的身份。比如，有權(quán)機關(guān)特別印制、難以偽造的身份證，或加蓋其特制印章的書面證明文件，可以證明“我”是政府戶籍系統(tǒng)里具體的哪個“我”。在登錄銀行賬戶或網(wǎng)絡(luò)賬戶時，人們則依靠數(shù)字證書（Digital Certificate）證明身份。數(shù)字證書的本質(zhì)是一種電子文檔，是由特定第三方證書認證中心所頒發(fā)的一種較為權(quán)威與公正的證書。數(shù)字證書的技術(shù)支撐是公鑰基礎(chǔ)設(shè)施體系（Public Key Infrastructure，簡稱PKI），即利用一對密鑰達成加密和解密以及簽名諸功能。加密密鑰公開，是為公鑰；解密密鑰由個人秘密持有并維護其機密性，是為私鑰。從私鑰可以推導(dǎo)出公鑰，但從公鑰很難逆推出私鑰。私鑰持有者可以通過私鑰來給自己發(fā)出的信息簽名，任何獲得對應(yīng)公鑰的人均可經(jīng)由公鑰對其進行驗簽。只要通過驗簽，即可證明數(shù)字身份。

總的來說，人們經(jīng)常談到的所謂身份往往體現(xiàn)在由中心化機構(gòu)建立的戶籍系統(tǒng)或賬戶系統(tǒng)里的“戶”，并且還需要依賴權(quán)威機構(gòu)出具的可信證書證明“我”擁有這個“戶”，從而驗明正身。這就是人們常說的中心化身份模式。這一模式的特點在于，人們?nèi)粢獡碛心骋痪唧w身份，就需要在相應(yīng)的系統(tǒng)里開戶。比如，只有上了戶口，人們才能有身份證；只有在互聯(lián)網(wǎng)平臺上開了賬戶，人們才能有參與相應(yīng)線上活動的資格。

政府構(gòu)建的中心化身份管理模式在國家治理中發(fā)揮至關(guān)重要的作用，是網(wǎng)絡(luò)治理和監(jiān)管的底座基石。就像銀行賬戶實名制、火車票實名制、證券賬戶實名制、手機卡實名制一樣，實名制成為網(wǎng)絡(luò)支付和網(wǎng)絡(luò)監(jiān)管的重點內(nèi)容。這既是保護線上主體財產(chǎn)權(quán)利的應(yīng)有之義，也是反洗錢、反恐怖融資、防范和遏制線上違法犯罪活動的必要之舉。

由眾多互聯(lián)網(wǎng)平臺企業(yè)建立的以開戶為前提的中心化身份管理模式，可能存在一些弊端。比如，不同互聯(lián)網(wǎng)平臺企業(yè)建立不同的賬戶體系，各賬戶體系有不同規(guī)則，用戶需要管理許多賬戶和密碼。每開一次戶，用戶都要反復(fù)填寫個人信息，加大了個人數(shù)據(jù)隱私泄露風(fēng)險。個人相對弱勢，不利于個人信息保護。不同賬戶體系相互獨立，容易形成“孤島”，不利于互聯(lián)網(wǎng)生態(tài)發(fā)展，還衍生出壟斷、不正當競爭等問題。尤其是，在以開戶為前提的中心化身份管理模式下，互聯(lián)網(wǎng)平臺用戶對自己的身份沒有自主管理權(quán)。只有開戶，才能有數(shù)字身份；一旦銷戶，就失去了相應(yīng)權(quán)限。

為了減少對賬戶的依賴，提升用戶的數(shù)字身份自主權(quán)，聯(lián)邦化身份管理（Federated Identity Management，簡稱FIM）模式逐漸流行起來。用戶只需在一個互聯(lián)網(wǎng)平臺上開立一個賬戶，就可利用這個賬戶的數(shù)字身份登錄其他網(wǎng)站、服務(wù)或應(yīng)用程序。使用同一個或同一組數(shù)字身份的網(wǎng)站集合被稱為聯(lián)邦。例如，我們?nèi)粢卿洶俣染W(wǎng)盤，一種方式是注冊百度網(wǎng)盤賬號，還有一種方式是點擊頁面上的微信登錄按鈕，頁面會跳轉(zhuǎn)出微信登錄二維碼，此時用戶用微信客戶端掃描二維碼，則會出現(xiàn)詢問客戶是否同意使用微信賬號登錄百度網(wǎng)盤，客戶可選擇同意或拒絕。

聯(lián)邦化身份管理減少了用戶重復(fù)開戶次數(shù)，給予用戶一定的身份自主體驗感。即便如此，聯(lián)邦化身份管理只能是緩解，但沒有從根本上改變互聯(lián)網(wǎng)平臺身份管理模式的弊端。數(shù)字身份仍捆綁在某個互聯(lián)網(wǎng)平臺的具體賬戶上。能否更進一步破除這一綁定，使數(shù)字身份不再基于互聯(lián)網(wǎng)平臺的某個賬戶，構(gòu)建一個用戶完全自主的不依賴特定互聯(lián)網(wǎng)平臺的數(shù)字身份體系？我們稱之為自主管理身份（Self-Sovereign Identity，簡稱SSI）。

從技術(shù)思路上看，沒有互聯(lián)網(wǎng)平臺的賬戶，用戶之間依然可以通過公私鑰的簽名與驗簽，相互識別身份。賬戶確實不是數(shù)字身份的必要前提。

自主管理身份這一概念的提出是在2005年，迄今尚未實現(xiàn)大規(guī)模應(yīng)用，原因是多方面的。自主管理身份不同于傳統(tǒng)的基于中心化機構(gòu)的身份管理模式，自主管理身份如果要大范圍推廣，必然面臨生態(tài)建設(shè)的問題。

從技術(shù)上講，自主管理身份的技術(shù)難點在于，如何在沒有互聯(lián)網(wǎng)平臺賬戶的條件下可信地驗證身份。區(qū)塊鏈技術(shù)為此提供了解決方案。區(qū)塊鏈是一個嚴防篡改的分布式可信計算范式，通過加密算法、共識機制、時間戳等技術(shù)手段，在分布式系統(tǒng)中實現(xiàn)了不依賴于某一特定中心的點對點協(xié)作機制。利用區(qū)塊鏈技術(shù)，我們可以構(gòu)建一個分布式的公鑰基礎(chǔ)設(shè)施(Distributed Public Key Infrastructure，簡稱DPKI)和一種全新的可信分布式身份管理系統(tǒng)。在區(qū)塊鏈這一可信機器上，發(fā)證方、持證方和驗證方之間可以端到端地傳遞信任。智能合約還可以不依賴中介服務(wù)機構(gòu)增加復(fù)雜的業(yè)務(wù)邏輯，增強終端用戶的掌控能力。這些技術(shù)將數(shù)字身份的所有權(quán)從互聯(lián)網(wǎng)平臺擴展至個體，使數(shù)字身份更加自主可控。什么身份信息可以向誰共享，均由用戶決定，且更安全。

破除了對互聯(lián)網(wǎng)平臺的依賴，基于區(qū)塊鏈的分布式自主管理身份還具有極大的開放性和包容性。身份認證不局限于某一特定機構(gòu)，而且不僅可證明“我”是“誰”，還可證明其他有關(guān)“我”的信息，例如，生理特征、行為特征，甚至包括“我”發(fā)生過的可追溯事件，從而衍生出更加豐富的應(yīng)用場景，例如，數(shù)字資產(chǎn)流轉(zhuǎn)、分布式金融、物聯(lián)網(wǎng)、元宇宙等。

需要注意的是，基于區(qū)塊鏈的分布式自主管理身份體系并不排斥傳統(tǒng)的基于中心化機構(gòu)的身份管理模式。政府或其他權(quán)威機構(gòu)可以作為分布式網(wǎng)絡(luò)的重要節(jié)點，在自主管理身份體系框架下，為各方提供可驗證證書服務(wù)，例如實名認證服務(wù)，從而為分布式網(wǎng)絡(luò)空間治理與監(jiān)管創(chuàng)造不可或缺的基礎(chǔ)。也只有政府或有權(quán)機構(gòu)的參與和治理，分布式網(wǎng)絡(luò)才不會淪為暗網(wǎng)、非法交易網(wǎng)絡(luò)、洗錢的“天堂”。

總之，自主管理身份是一個正在發(fā)展的前沿領(lǐng)域。無論是技術(shù)架構(gòu)、治理框架，還是標準設(shè)計，仍在不斷探索中。