身份管理（ID）是計(jì)算機(jī)技術(shù)基礎(chǔ)設(shè)施的組成部分，但是因?yàn)槠浜?jiǎn)單而且無(wú)處不在，因此經(jīng)常被大家理解為想當(dāng)然的存在而被忽略。就像生活中我們一出生就默認(rèn)有了身份一樣。但是，一旦我們丟失了ID之后或者像《諜影重重》電影里面的主人公被政府剝奪身份后，就會(huì)發(fā)現(xiàn)我們寸步難行。

(相關(guān)資料圖)

正像現(xiàn)實(shí)世界里面ID是生活的基礎(chǔ)組成部分，ID技術(shù)也是計(jì)算機(jī)的基礎(chǔ)設(shè)施。我們打開(kāi)電腦的時(shí)候，第一步就是要輸入用戶名和密碼登陸系統(tǒng)，我們?cè)L問(wèn)任何網(wǎng)站的時(shí)候，大部份的操作需要輸入用戶名和密碼。

人類社會(huì)進(jìn)入文明社會(huì)以來(lái)，這世界上的大多國(guó)家都建立了完整的身份管理系統(tǒng)。國(guó)內(nèi)用身份證或者駕照或者社會(huì)保險(xiǎn)號(hào)，國(guó)際旅行用護(hù)照。互聯(lián)網(wǎng)大概遵循了同樣的發(fā)展道路：

從1996年的“在互聯(lián)網(wǎng)網(wǎng)上沒(méi)有人知道對(duì)方是條狗”的匿名時(shí)代，發(fā)展到了2004年Facebook成立后的實(shí)名社交時(shí)代?；ヂ?lián)網(wǎng)也從一種信息獲取手段發(fā)展到了電子商務(wù)和電子政務(wù)等重要工作效率手段。

可以預(yù)測(cè)到，區(qū)塊鏈也會(huì)從現(xiàn)在完全匿名的狀態(tài)，在未來(lái)一個(gè)周期發(fā)展到由DID去中心化身份（Decentralized Identity）支持的實(shí)名階段。區(qū)塊鏈至今缺乏對(duì)用戶身份的支持，因此被過(guò)度的金融化而無(wú)法進(jìn)入實(shí)用場(chǎng)景。而且，正如互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)平臺(tái)效應(yīng)在由用戶控制的共享情況下產(chǎn)生的效用，要遠(yuǎn)遠(yuǎn)高于完全被公司控制（如Facebook）或者完全公有被政府控制（如道路）的機(jī)制。

當(dāng)然，ID不僅僅包括人，還包括各種主體，比如：公司有營(yíng)業(yè)執(zhí)照和D-U-N-S®代碼，手機(jī)有mac地址，我們可以統(tǒng)一將這些稱為主體（subject）。

因此我們使用ID這個(gè)術(shù)語(yǔ)的時(shí)候，我們應(yīng)該小心，有些人認(rèn)為權(quán)威機(jī)構(gòu)頒發(fā)的才叫ID，有些人認(rèn)為任何一個(gè)機(jī)構(gòu)都可以頒發(fā)由自己認(rèn)證的ID。本文討論的DID用的廣泛意義的ID，比如用戶自主生成的公密鑰對(duì)就可以作為ID。

事實(shí)上，任何一個(gè)用戶已經(jīng)在使用DID，因?yàn)橛脩暨M(jìn)入加密世界的第一步就是生成錢包，在比特幣鏈上，你的比特幣地址就是一個(gè)你的DID（比特幣的設(shè)計(jì)并不友好，因?yàn)槊恳淮谓灰锥甲兏刂窞榱吮Ｗo(hù)隱私）；在以太坊上，每個(gè)用戶都擁有一個(gè)以公鑰為地址的DID。不管廣義還是狹義的ID，ID都必須在一定范圍（namespace）內(nèi)保證唯一性，而且生成ID的意義一般綁定一定的使用環(huán)境（context）。

和DID緊密相關(guān)但是又沒(méi)有必然關(guān)系的一個(gè)概念是Verified Credential（VC）。VC代表了一個(gè)由中心化主體（issuer）對(duì)一個(gè)主體（subject）發(fā)行（issue）的證書(shū)（credential）。傳統(tǒng)上因?yàn)檫@個(gè)證書(shū)無(wú)法保真，因此issuer必須提供相應(yīng)的查詢驗(yàn)證服務(wù)，比如：在中國(guó)教育部提供了學(xué)歷查詢驗(yàn)證服務(wù)網(wǎng)站。因此，如果查詢驗(yàn)證必須線下進(jìn)行不夠便利，就會(huì)刺激偽造證書(shū)和影響證書(shū)的使用效率；如果發(fā)行主體停止提供服務(wù)，就會(huì)影響證書(shū)的使用；如果證書(shū)有有效期經(jīng)常需要更新，就會(huì)更麻煩。

但如果基于加密技術(shù)的證書(shū)，就可以通過(guò)發(fā)行主體（issuer）的數(shù)字簽名對(duì)證書(shū)進(jìn)行簽名，驗(yàn)證可以在加密算法數(shù)學(xué)的支持下單獨(dú)進(jìn)行，subject可以將VC放入自己的數(shù)字存儲(chǔ)介質(zhì)（repository，包括錢包）里面，在需要的時(shí)候提供給第三方（verifier）查看和驗(yàn)證。

雖然w3協(xié)議明確說(shuō)明DID協(xié)議和其VC協(xié)議是完全分開(kāi)的，可以獨(dú)立存在的協(xié)議，但是其DID假設(shè)用戶自主生成的公密鑰對(duì)必須結(jié)合權(quán)威機(jī)構(gòu)頒發(fā)的VC使用才有意義。w3的DID協(xié)議里面的公密鑰對(duì)只是作為DID架構(gòu)的支撐部分而存在，用來(lái)鏈接一個(gè)用戶擁有的不同VC，以及解耦合VC查詢，驗(yàn)證，展示對(duì)于發(fā)證機(jī)關(guān)的依賴。

而且，DID的存在不需要區(qū)塊鏈，區(qū)塊鏈技術(shù)支撐的DID地址解析和數(shù)據(jù)登記只是作為DID生態(tài)的一部分。但是，本文作者認(rèn)為，作為數(shù)字原生的元宇宙的組成部分，一個(gè)subject可以完全脫離VC而存在，根據(jù)subject的元宇宙行為而獨(dú)立于VC存在。就像在DeFi熱潮中，大量用戶根據(jù)公鑰地址作為DAPP的賬戶系統(tǒng)參與DeFi交互，雖然不方便，用戶還是通過(guò)Nansen等錢包地址標(biāo)簽來(lái)進(jìn)行交流。

我認(rèn)為，加密世界里面的NFT、gameFi、DeFi等大量的應(yīng)用場(chǎng)景為原生的DID以及對(duì)應(yīng)的鏈上信譽(yù)提供了足夠的市場(chǎng)應(yīng)用場(chǎng)景。這些設(shè)計(jì)哲學(xué)方面的不同，導(dǎo)致了w3的DID和區(qū)塊鏈原教旨的DID有很大的不同。鑒于整個(gè)去中心化身份的技術(shù)剛剛起步，各個(gè)技術(shù)流派需要互相借鑒，本文的討論不區(qū)分w3 DID和區(qū)塊鏈原生DID技術(shù)。

另外，一個(gè)subject可以有多個(gè)ID，即一個(gè)人可以有多個(gè)身份；persona是一個(gè)相對(duì)概念，比如在國(guó)內(nèi)使用身份證，跨國(guó)使用護(hù)照，那么護(hù)照和身份證相對(duì)于同一個(gè)主體就是不同的persona。

經(jīng)常和ID管理聯(lián)系在一起的概念還包括驗(yàn)證（authentication）和授權(quán)（authorization）。驗(yàn)證指第三方（verifier）通過(guò)issuer或者加密算法驗(yàn)證主體身份的過(guò)程；驗(yàn)證身份之后，第三方根據(jù)自己的政策（policy）授予主體對(duì)應(yīng)的權(quán)利范圍，這個(gè)過(guò)程稱為授權(quán)（authorization），簡(jiǎn)單舉例，當(dāng)我們登陸一個(gè)論壇的時(shí)候，輸入用戶名和密碼的過(guò)程稱為驗(yàn)證，網(wǎng)站會(huì)根據(jù)我們是管理員還是普通用戶會(huì)授予我們相應(yīng)的讀帖和刪貼的權(quán)利。對(duì)用戶權(quán)利管理的政策經(jīng)常會(huì)被稱為Access Control List（ACL）。

一個(gè)ID可以有很多屬性（attributes），一組屬性可以定義角色（roles），這樣提供ID應(yīng)用場(chǎng)景的管理員可以方便的基于自己定義的訪問(wèn)限制列表（Access Control List），按照不同的屬性或者角色授予（autherize）不同的ID不同的權(quán)限。

比如：Tom（subject）第一天入職公司Big（issuer），領(lǐng)到了66的工號(hào)（ID），他的名字Tom為屬性（attribute），分配的工作崗位為信息管理員（roles），賦予（authorize）了相應(yīng)的可以進(jìn)出機(jī)房的權(quán)利（ACL）。

在DID出現(xiàn)之前，所有的ID都是由一個(gè)中心主體（issuer）基于某種政策（policy）授予一個(gè)主體，這個(gè)中心主體因此有權(quán)利授予或者取消某個(gè)個(gè)體獲得ID的權(quán)利；有時(shí)候，這個(gè)中心主體必須為第三方（verifier）提供對(duì)應(yīng)的驗(yàn)真查詢服務(wù)（比如Tom更換工作后，新的雇主希望做背景調(diào)查核實(shí)Tom是否真的為Big工作過(guò)）。因此，subject依賴于issuer的服務(wù)，issuer如果停止服務(wù)或者拒絕服務(wù)，就會(huì)對(duì)subject使用ID的權(quán)利造成影響。

我們無(wú)法低估DID帶給人類的意義，因?yàn)槿耸巧鐣?huì)動(dòng)物，而身份是社會(huì)關(guān)系的起點(diǎn)，不依賴于發(fā)行方的身份自由是自由的起點(diǎn)，有了身份，才能討論包括財(cái)產(chǎn)權(quán)的各種權(quán)利，就如同注冊(cè)賬戶后才能使用網(wǎng)站的權(quán)利。當(dāng)我們擁有一個(gè)不依賴于任何主體而生成和使用的身份主體的時(shí)候，才能討論建立數(shù)據(jù)擁有權(quán)。因此DID的設(shè)計(jì)理念經(jīng)常被稱為自我主權(quán)身份（SSI, Self-Sovereigh Identity）。

因?yàn)闆](méi)有了一個(gè)中心化的身份發(fā)行方提供查詢驗(yàn)證服務(wù)，DID與傳統(tǒng)ID管理技術(shù)（IAM）最大的區(qū)別是，誰(shuí)來(lái)生成這個(gè)ID？以及當(dāng)你聲稱（claim）你擁有或者控制這個(gè)ID的時(shí)候，你如何證明你是你自己？

DID是人類歷史上第一次給予了subject自己證明是自己的一個(gè)技術(shù)。

DID基于密碼學(xué)技術(shù)自我生成一對(duì)公密鑰，公鑰作為自己的ID，密鑰作為自己控制對(duì)應(yīng)公鑰的證明。為了關(guān)聯(lián)自己的其他中心化的身份，如果發(fā)行主體提供VC服務(wù)，就可以非常簡(jiǎn)單的通過(guò)驗(yàn)證簽名VC來(lái)關(guān)聯(lián)；如果發(fā)行主體不提供，則subject可以聲明（claim）擁有某個(gè)中心化ID或者鏈下身份，然后通過(guò)第三方驗(yàn)證（attestation）服務(wù)來(lái)關(guān)聯(lián)。

我們小結(jié)一下，DID的特征和術(shù)語(yǔ)：

ID代表的主體（subject）可以是人，公司或者任何一個(gè)物體；

ID在一個(gè)范圍（namespace）內(nèi)必須是唯一的；

ID一定有一個(gè)發(fā)行方（issuer或者傳統(tǒng)IAM中稱為Identity Provider），DID的發(fā)行方是subject自己；

issuer需要為第三方（verifier或者傳統(tǒng)IAM中Relying Party）提供查詢和驗(yàn)證服務(wù)，DID的驗(yàn)證由加密算法的數(shù)學(xué)公式提供；

一個(gè)聲明（claim或者statement或者assertion）包括自我聲明或者第三方聲明，需要提供對(duì)應(yīng)的驗(yàn)證（verify或者attest）機(jī)制；這種驗(yàn)證機(jī)制有時(shí)候是確定性的，比如一個(gè)人聲明他擁有1個(gè)比特幣，可以通過(guò)驗(yàn)證他是否控制一個(gè)超過(guò)一個(gè)比特幣的地址驗(yàn)證；驗(yàn)證機(jī)制有時(shí)候是概率性的，比如一個(gè)人聲明他擁有Java編程能力，這個(gè)聲明需要以前的同事背書(shū)，雖然擁有編程能力的熟練程度是一個(gè)概率；

身份天生具有場(chǎng)景特征，人們?cè)诓煌膱?chǎng)景使用不同的身份（persona）；而職能（role）定義了一個(gè)屬性（attributes）集合，代表了一類用戶經(jīng)過(guò)認(rèn)證（authenticate）后被賦予不同的權(quán)利范圍（ACL）。

由于DID和VC的技術(shù)基于加密算法，這給零知識(shí)證明的應(yīng)用提供了空間。當(dāng)用戶需要驗(yàn)證年齡需要出示自己身份證的時(shí)候，不再需要擔(dān)心驗(yàn)證者順便看到了自己的家庭住址；當(dāng)用戶需要證明自己的資產(chǎn)滿足某個(gè)條件對(duì)時(shí)候不需要讓對(duì)方知道準(zhǔn)確的資產(chǎn)總額。

關(guān)鍵詞： subject issuer