我认为目前使用第三方的服务的关于身份的三种情况:
1:不需要身份,随意使用,比如不需要账号就可以上B站浏览视频,享受B站提供的视频服务。
2:可以是比较随意的账号身份,你可以随便注册一个账号,不填写身份信息。通过这个账号来进行使用第三方提供的历史浏览、留言、评论等服务。比如以前的QQ账号,这涉及到需不需要在网络中实名。现在这种情况很少见,多数需要你提供手机号码和邮箱,而手机现在已经实名认证了。
3、必须使用现实身份,方便进行监管,比如你在网上发不良言论可以通过这个身份找到你。比如身份证,去政府办理业务就必须需要身份证。
身份处理主要解决两个问题:认证和授权。认证是证明你有某项权力,比如你住酒店,需要认证你是不是罪犯,认证可以是提交你的证照,或是让认证方向证件颁发机构请求验证。二是授权,医院想要调用你的病历,你得给他授权,授权方式为使用你的私钥进行签名。
同时隐私保护(最小化披露)、跨应用的互操作性(解决跨应用合作、数据孤岛问题)、使用身份登录时是否代表了本人意愿(被盗号)也要考虑。
问题:
如果某一应用登录不需要验证身份,但是里面的某一个操作需要验证身份,比如腾讯QQ的日常使用和转账操作,该如何处理?
去中心化身份商业属性较弱。比较依赖公共机构牵头。以政府或者公共机构牵头建立的区块链数字身份系统,在早期更容易被广泛认可,更有希望形成社会共识。当前去中心化身份主要由国际化标准组织 W3C 牵头制定,标准化还不完全。
想要从发证方获取数据,你需要证明你是数据的拥有者,或者你得到了数据的访问权限。这里有三个问题,如何证明你是数据的拥有者,如何证明你有权限,数据如何确权?比如你在淘宝上的某个商家购买了一件衣服。你购买衣服的相关数据是你的?还是淘宝的?还是商家的?他们都有权去使用吗?
如果一个大数据公司想要研究人们不同地区的穿衣风格,需要拿到你买的衣服的数据、收货地址。那么这个数据公司问你要,还是问淘宝要,还是问商家要?甚至是问快递公司要?谁有权力把这个数据卖给这个大数据公司?
区块链身份的难点:
1.区块链体型变大了之后,遍历搜索数据会变慢,tps低下。
2.对于隐私保护技术来说,身份认证的常用技术为零知识证明,用于保证用户在授权其他应用身份时是匿名的,无需透露身份信息。零知识证明本身是一种还未成熟的技术,且其需要依靠双方的多次交互来进行,必然会导致效率的低下。而未来如果要使用安全多方计算,则对网络资源的依靠会更加严重。
因此,分布式身份受到网络和共识的影响会限制其发展,在技术本身不够成熟的情况下,短期内只能实现相对简单的认证功能。随着 5G 上线,将能够进一步扩宽网络的带宽,稍微改善隐私保护技术的交互效率。也有一些学者在研究提升区块链身份认证的效率的方法,如汤凌韬等(2019)提出一种基于密码累加器的身份认证方式,将链上身份和公钥信息映射为累加值,实现认证功能的同时提高了身份—公钥对的验证效率,同时解决了区块链体积不断增长的情况下轻节点存储空间不够的问题。
3.身份验证可能比较简单,如果要保护隐私就很容易和数据共享冲突。
4.一个网站对应一个DID的话,如何管理众多DID,放在区块链上吗?如果所有DID都放在手机上,那手机丢了就凉凉。
DID如何锚定到个人的真实身份?比如网上付款需要真实的身份信息。而eID的处理方式就比较好在公安那里很容易锚定到个人。在监管上,DID如何锚定到个人的真实身份是必要的!