我們每個人都需要擁有自己的一套數位身份,來安全地、私密地儲存我們數位身份相關的所有資訊。這套自有的數位身份必須易於使用,只有用戶本人才能完全控制身份數據的儲存和使用。—Ankur Patel,微軟身份部門首席產品經理
事實上,不久前微軟發布的 ION(Identity Overlay Network 身份覆蓋網路), 在業界得到了廣泛熱議,ION 正是一個去中心化身份 DID(Decentralized ID)的實現。
微軟的 DID 代表了大型互聯網公司公開擁抱去中心化技術,為我們展開了利用 DID 技術來搭建未來身份帳號體系的一個宏偉藍圖。
DID 怎麼用?
談到 DID,通常就離不開可驗證聲明(Verified Claim)。目前,大部分 DID 示例場景都是可驗證聲明。舉個例子,「張三是上市公司員工」就是一個可驗證聲明。
那可驗證聲明用在什麼場景中呢?
大樓的門禁系統是一個典型的 DID 應用,訪客提前使用自己的 DID 申請授權,訪問公司認可的任一員工使用自己的 DID 接受申請,訪客來訪時使用自己的 DID 就可以順利進樓了。
或者,用戶去車行租車,通常要求用戶提供押金,以降低營運風險,但是對於某些資質好的用戶可以提供免押金要求,比如上市公司或是大型國有企業的員工。
上述功能在 DID 網路中如何運行呢? 以租車需要提供的證明為例:
方法1:用戶提供上市公司或者是大型國有企業的工作工卡,這是最直接的方法,但是用戶會暴露一定程度的隱私,即會向租車方提供並不必要的工作資訊。
方法2:透過 DID 可驗證聲明來證實,用戶提供的 DID 文件中,聲明了此用戶屬於上市公司或大型國企的員工,租車行可以去向頒發機構驗證,驗證結果只會返回一個「是/否」的結果,不需要返回用戶具體的工作資訊,因此在滿足業務需求的同時,用戶保留了自己的隱私。
在上面例子中,車行需要向聲明(Claim)的頒發機構(Issuer)去驗證結果,頒發機構一般是一個守信的第三方,比如 LinkedIn。用戶在獲取可驗證聲明時候,可能需要向頒發機構提供自己的工卡證明,頒發機構則可以生成可驗證聲明提供給用戶使用。
DID 是如何實現的?
前面提到,DID 是透過不同的 method(方法)來實現。method 提供了訪問 DID 的方法,以最近微軟發布的 ION(Identity Overlay Network)為例。
ION 透過實現 Sidetree 協議來訪問比特幣網路。由於比特幣是一個處理速度比較慢的網路,ION 透過在比特幣第二層進行批量合併的方式,將大量 DID 操作合併成一個上鏈操作,將修改的數據實體存在 IPFS ,數據實體的哈希存在比特幣網路的方式,來實現 DID 數據的可信儲存。
與所有基於 Sidetree 的 DID 網路一樣,ION 包括三大功能: 一系列核心 Sidetree 邏輯模塊、基於比特幣網路的讀寫適配器和在節點之間複製數據的 CAS 協議(例如IPFS)。這三大體系共同創建了在現有比特幣之上的第二層 DID 網路,ION 可以支持每秒數千甚至數萬個操作。
由於比特幣上鏈需要交易費,維護 ION 節點也需要成本,但目前 ION 並沒有公布完整的經濟運行機制。ION 可以向進行 DID 數據操作的用戶收費,但是這個收費能不能覆蓋 ION 網路運行成本還是個問題。當然,微軟完全可以自行承擔 ION 網路的運行成本,但這又與 DID 去中心化運行的初衷相離了。
在使用上,微軟推出的 DID,和目前的支付寶掃碼租用充電寶的流程可能相類似。
據微軟宣稱:微軟認證器(Microsoft Authenticator App)每天有數百萬用戶用來進行身份驗證,微軟計劃下一步將會在應用中支持去中心化身份,並進行測試。在用戶同意的情況下,透過這一應用來管理用戶身份數據並作為加密密鑰,此時只有 ID 保存在鏈上,身份數據則是用密鑰加密後,保存在鏈下的 ID Hub 中。
本文為巴比特資訊授權刊登,原文標題為「微軟這個項目堪比Facebook發幣,很多人卻仍未看懂並「蒙」在鼓里」