數字身份是打開數字世界裡信任大門的鑰匙,我們不能丢失對于它的掌管權利,就如同我們不能把鑰匙交給陌生人保管一樣。
我們的信任
前段時間,我讀過一本書《我們的信任:為什麼有時信任,有時不信任》(Liars and Outliers),文中專門探讨信任的話題,作者是布魯斯·施奈爾,出人意料的是,布魯斯并非社會學家而是一名頂級的安全專家。他的觀點是社會壓力才是信任的起源。
他描述了一種現象:人既想在背叛群體中獲益,又想維持自我良好的感覺,這種沖突或者稱為微妙的平衡,來自于社會壓力的限制。據此他提出了四種不同的社會壓力,即道德壓力、名譽壓力、制度壓力和防護機制。這些社會壓力應用到不同的對象身上産生的效應也是不一樣的。
比如對于公司或者個人,道德壓力和名譽壓力是最有效的——21世紀公司崇尚的社會責任感;對于政府,人數變多了,範圍也擴大了,道德和名譽的力量作用比較小,是以需要用規則和法律來限制,對于公權力也需要“把權力關進制度的籠子”,制度壓力起到了關鍵性作用;除此之外,還有防護機制,不論是實體世界的防盜門還是數字世界中各種安全技術,它們被應用在不同規模的群體進而産生信任。
是以說,信任起源于不同層次的社會壓力,有了這些壓力,個體的行為才會被限制,群體才可能合作,人們也就不必懷揣“誰誰亡我之心不死”而忐忑地生活。
但是,在網際網路構造出的數字世界裡,人類社會苦心經營的信任似乎不那麼管用了。網際網路興起之初,有條段子盛行——在網際網路上沒人知道你是一條狗,這句話便是當時混亂局面的真實寫照。此外,諸如人肉搜尋、網絡暴力、謠言(啊!fake news)這些應當被管控得當的人類迷惑行為也在網絡上肆意瘋長。
為什麼數字世界裡普遍缺乏信任呢?究其原因,是身份的缺位所緻。以布魯斯的理論觀之,信任源于社會壓力,然而數字世界裡的身份和社會是脫節的,是以也就無法将現實中的壓力平移到網絡上,以至于數字世界裡的信任還處于重塑和再造的莽荒階段。
(漫畫“在網際網路上沒人知道你是一條狗”)
信任的關鍵是身份
應對這種問題,站在現在的立場,我們很容易想到建立網絡實名制。然而實名制本質上是對數字身份的補充說明,其主要的目的是證明數字身份某些屬性的真實和有效,例如:年齡。是以,抽象來看,數字身份有兩個作用:一是區分,二是證明。區分指的是身份辨別的唯一性,身份辨別服務于國家人口管理制度,實行一人一号,在中國是公⺠身份證号碼,在美國就是社會保險号。證明則是有權威或者公信力的機構出具特定的證明檔案,增加交往雙方的信任度以完成一定的社會行為,比方說,出入小區時展示的健康碼便是一種證明的方式。
數字身份依賴系統實作功能。在一個身份系統當中,一般包含了3類角色。使用者、身份提供者還有依賴方。舉個例子,當一個人攜帶介紹信前往招聘辦事處,他就是一個使用者。介紹信來自願意擔保使用者值得被聘任的人,推介者就是身份提供者。介紹信送出的對象就是依賴方,依賴方根據自身的判斷和他們對身份提供者的了解程度決定是否接受介紹信的請求。
上圖便是我們對身份系統的一種簡化表述,這也是複刻了我們在現實中的生活體驗。可是一旦我們進入現實的健康碼場景當中,我們填報健康調查獲得健康碼,在出入商場時,健康碼基本是人眼掃過,并未進行機讀校驗。即便進行了機讀,依賴方也并非基于使用者提供的證明原件來做出自己的判斷。原因是在這類驗證流程中,頒發者和依賴方往往是同一個系統。如下圖所示:
頒發者和依賴方耦合勢必會産生一些問題,其中最顯著的就是出現諸多筒倉的身份系統。因為在校驗的流程中,我們其實并非信任使用者出示的證明,而是相信承載證明的系統,當信任無法透過證明的形式傳遞時,我們就得在每一處身份系統中建構出新的身份,然後讓信任不同身份系統的依賴方做出“校驗”的樣子。
假如我們把信任看成有形的憑證,那麼數字世界裡的信任又會回歸到現實中應該具有的形态。頒發者将信任憑證發送給用者,用者将憑證呈現給依賴方,依賴方檢查後确認憑證确實是頒發者所頒發并做最小資訊披露的校驗,然後做出自己的判斷。可以看出,頒發憑證者和依賴方不必是同一個人。如下圖所示:
而事實上,這種靈活度的轉變正是通過将“控制權”從中心化系統轉移到網絡邊緣(對等的個人)做到的。在進一步探讨這種對等身份之前,我們需要了解一下數字身份演化的三種模式。
第一種模式是集中式的身份模型,在網際網路蓬勃發展的年代,每個網站都有自己獨立的一套身份注冊和登入系統。使用者注冊了一個賬戶(使用者名),同時獲得了網站頒發的一份憑證(密碼)。
第二種模式是聯邦身份模型。人們發現身份系統建立得越多,對于使用者越不友好。是以自2005年以來,企業合作開發了三代聯合身份協定:SAML,OAuth 和 OpenID Connect。如今,SSO(單點登入)現在已成為大多數公司内部網和外部網的标準功能。在消費者網際網路中,聯邦身份搖身一變成為了使用者為中心的身份。使用諸如 OpenID Connect 之類的協定,來自微信,支付寶, Facebook,Google,Twitter,LinkedIn, 等登入按鈕現在已成為許多面向消費者的網站的标準功能。
而第三種模式是自主身份(self-soverign identity)模型。這種模型的理念是要将身份的控制權交還到使用者手中,所謂的控制權,實質上是現實中身份相關的證明或憑證所具備的便攜性和實用性。使用者可以攜帶、隐藏、披露、撤銷自己的證明,而依賴方始終能校驗證明的真實性和有效性,就像我們使用錢包裡的身份證一樣。
小結
總得來說,數字世界裡的信任需要基于數字身份來建立。數字身份不隻是用來當唯一辨別以作區分,更重要的是用于證明。頒發證明和驗證證明是可以解耦的兩種操作,但是歸咎于網際網路日趨中心化的架構這兩者合二為一,恰恰把最重要的使用者置于一邊,由此造成了諸多的身份筒倉。我們知道信任是可以傳遞的,這就像你的朋友将一位陌生人介紹給你,你是以對他産生了信任感。在數字世界裡,這也是可行的,而基于區塊鍊的自主身份正在解決這個問題。
本文版權屬ThoughtWorks公司所有,如需轉載請在背景留言聯系。