1.什么是元宇宙?元宇宙有哪些特征?
究竟什么是元宇宙,大多数技术专家普遍认同,元宇宙将是新一代互联网,它是一个虚拟的数字空间,具有 3D 可视化形态,人们可像在现实世界一样在元宇宙中进行交互和创造;同时,元宇宙不仅与现实世界平行和同步运行,还会关联和赋能现实世界。
元宇宙是下一代互联网的新形态。从网络技术架构看,当前互联网的形态源自 20 世纪 80 年代末英国科学家蒂姆·伯纳斯·李提出的万维网(World Wide Web,简称 Web),这也称为 Web 1.0。随着技术进步,发展成 Web 2.0,即移动互联网。
最新提出的 Web 3.0 就是元宇宙的网络基座,在此基础之上,5G 通信和云计算让通信和计算成为像水电一样的基础设施,而大数据、人工智能、区块链、虚拟现实 / 增强现实(VR/AR)等技术的发展,让互联网发展进入一个新的转折点,元宇宙变革也就水到渠成。
元宇宙最主要的特征是拥有与现实世界类似的经济系统和社交环境,这其中,数字身份的作用至关重要。它可用于识别身份,将人们的个人信息、数字足迹关联起来,构建个人的数字身份和用户画像,以便政府、商业与金融等组织机构能够进行个性化互动和精准服务。
在 Roblox 公司的 CEO 大卫·巴斯祖奇提出的“元宇宙”八大基本特征中,数字身份名列首位。国际咨询机构高德纳(Gartner)也将公民数字身份列为 2021 年政府应关注的十大技术趋势之一。
信任是现代经济社会运行的重要基础要素。与现实经济社会类似,元宇宙中充斥着风险和欺诈,黑客、暗网、电信诈骗等层出不穷,滋生出庞大的黑灰产业链。当前互联网面临着严重的垄断问题、网络和数据安全问题、隐私保护问题,很大程度上都是身份系统和信任治理的不足和缺失导致的。
当前,数字信任已经被纳入全球重要议程。《联合国成立 75周年宣言》就曾呼吁各国通力合作,解决数字信任和安全问题。欧盟在其整体数字化转型的宏观战略中,将强化信任和安全列为主要目标。数字身份对于元宇宙来说是关键基础设施,而去中心化数字身份被称为数字信任治理的圣杯。
2.什么是数字身份?数字身份技术管理框架
在数字经济时代,人类的经济和数据活动转移到了网络空间,传统身份认证体系难以适应数字经济的需求,传统人际关系、政府监管和市场契约等传统信任体系,将转变成以数字身份(Digital Identity)为核心的数字信息,这是对传统信任体系的突破和超越。数字身份通过识别、认证、签名、信任等功能,为人们在数字空间的各种交互和活动提供信任环境。
我们首先给出数字身份的一个定义:数字身份就是现实世界的人 /物 / 系统等实体映射到数字 / 网络空间的、具有唯一性的标识符,以及实体相关属性的数字化表示。它是人们在数字空间进行识别和交互的一系列特征。具体来说,数字身份可以是我们的姓名、手机号、电子邮箱地址,也可以是系统定义的用户名、用户账号、数字证书等特征数据。本书讨论的数字身份主要有以下三种形式。
①网络账号数字身份。数字身份是一个网络数字空间概念,主要用于在网络中标识个人、组织及电子设备,最早的数字身份是网络中的计算机 IP 地址和域名,用于识别接入互联网的计算机,并通过用户使用计算机及网络的行为特征识别个人,但这种数字身份不能直接标识用户的身份。网络账号通常包括用户名、口令以及权威机构颁发的数字证书等属性,用于鉴别用户身份的真伪。
数字身份的使用范围可能限定于一台计算机、一个局域网系统,也可能只适用于一个互联网的网站或平台系统。用户要访问不同的网络社区和平台,就需要注册多个不同的身份账号,比如一个人有多个网购账号或者微博账号等。网络社区、公共服务、工作网络等也需要用户注册账号。
由于网络空间的持久化特性,其任何活动必然会在网络上留下印迹,这些印迹可以被认为是用户在互联网上留下的数字足迹,比如网络搜索或浏览记录、电商订单、社交聊天记录、银行流水记录、健康档案信息等,这些数据是数字身份的重要内容,反映了用户的行为特征和习惯爱好,蕴藏着巨大的社会经济价值,但也涉及很多用户隐私。
②全局性数字身份。网络账号数字身份通常局限于特定平台或网站,全局性身份体系通常为主权数字身份,其主要用于满足政府及经济社会治理的需要,由国家公安机关或政府管理机构签发,比如数字身份证、电子护照等。
主权身份有两重含义:一是国家赋予本国公民的具有法律属性的身份,代表了公民的义务和权利,如纳税的义务、选举投票的权利等;二是社会阶层的身份,如学历、职务、职称等。主权身份的表现形式通常就是身份证,包含唯一的证件号码,以及姓名、籍贯、出生日期等个人属性。
主权数字身份可以是数字化身份证,比如 eID、CTID 等,还可以是去中心化的可验证凭证,通常利用数字钱包管理。
③通用实体数字身份。在网络和信息安全领域,数字身份建立在更广泛意义上的“实体”空间,这些“实体”通常为重要资产,如人、服务、设备或者组织机构等。通过对网络信息资产进行全面数字化身份标识,可以实现对网络中各实体在统一的身份框架下进行全生命周期管理。
在物联网空间,物品已成为重要的网络参与实体,为了便于治理物联网,网络中的每一个物品都需要按照一定规则被赋予特定的标识,这个标识就是物联网空间的数字身份。物联网标识符或物联网域名,是由 ISO(国际标准组织)、IEC(国际电工委员会)、ITU(国际电信联盟)共同提出的,用于对任何类型的实体对象、概念或者“事物”在全球范围内进行无歧义的唯一命名,并且一旦命名,该名称就终生有效。
2020 年 2 月,美国国家标准与技术研究院(NIST)发布第三版数字身份标准框架,其中定义了一个标准的数字身份管理模型。在这一模型中,数字身份管理被划分为两个关键过程:身份注册和身份证明、数字身份认证或鉴别(具体参见图 1-1)。身份注册与身份证明的目的是给用户签发身份凭证,其可以是完全数字形式的,在线颁发,比如可验证凭证、数字证书;也可以是保存在物理载体上的,比如 U 盾、eID 卡、IC 卡、SIM 卡等。
为了确保数字身份代表的个人身份的真实性,身份注册和身份证明的过程首先需要身份识别,通过身份标识确定身份声明信息的有效性,建立身份信息与主体的直接联系;其次进行身份核验,具体实现方式有现场人工核验、远程在线核验,或者通过独一无二的生物特征(如人脸、指纹、虹膜等)信息进行核验。
也可以采用离线与在线相结合的方式进行核验。身份核验中最关键的环节是收集和验证身份信息的种类及内容,这直接决定了身份核验服务的可信程度,在 NIST 的标准中,规定了三个身份保证级别,分别为 IAL1、IAL2、IAL3。为提高身份信息收集和验证的效率,大陆的 CTID 和 eID 都是以法定居民身份证为信任根,直接采用身份证信息。
数字身份认证是用户提供身份“证据”,以证明自己就是数字身份凭证拥有者,其目的就是获得某个在线资源或服务的授权。最简单的方式是用户名 / 口令或手机号和短信验证码进行身份鉴别。还可以使用生物特征识别手段进行身份鉴别。证据类型不同,身份鉴别的安全强度也会有所差异。
数字身份的管理功能还包括身份信息的储存、更新,以及授权、注销等一系列事项。数字身份的管理模式可分为两大类,一类是中心化数字身份系统,用户主要通过专业中介机构获得身份服务,最常见的是由在线商业服务平台创建的特定身份服务或由权威机构背书的数字身份服务,以及政府机构基于法定证件提供的数字身份服务;另一类是分布式数字身份系统,也称去中心化数字身份,这一模式没有集中的管理平台,而是通过技术手段建立信任。
3.在元宇宙中的个人身份及数据治理
人是元宇宙的主体,其中的每个用户都在源源不断地产生数据,这其中包含大量个人信息和隐私,它们是元宇宙信任治理的核心之一。区块链是信任基础设施,但并非所有个人数据都保存在区块链上。
我们以去中心化数字身份为例,区块链上只是保存着去中心化身份标识和去中心化身份文档,而对于个人真实数据,通常链下保存。一方面是因为个人数据的数据量很大,在区块链上保存需要大量冗余存储,效率不高;另一方面,出于安全考虑,人们往往不愿意将真实数据发布到公共网络,即使采用加密措施,也很难保证绝对的安全。链下个人数据存储(PDS)及治理是一个很复杂的问题。
最简单的方法是用户自行存储和管理,比如存储在手机、U 盘、硬盘或者光盘中,但这种方法的不足也很明显,那就是使用不便,安全性和可靠性不高,一旦硬件损坏,数据就会丢失。当然,用户也可以在家里建设个人私有云存储,比如 NAS(网络附属存储)系统,安全性和可靠性大大提高。不过这种方式成本高昂,使用和运维管理技术复杂,绝大多数人都难以承担。另一个方案是使用专业的云存储服务,也就是我们俗称的网盘或云盘。
为保障数据安全,云存储服务通常需要采取端到端加密保护。当然,云存储也有很多弊端,那就是服务质量参差不齐,一旦云服务关闭,那上面的个人数据都将荡然无存。此外,还存在隐私泄露等问题。这需要对服务商进行监管和治理。
目前已经有专门的个人数据存储解决方案,比如万维网发明者蒂姆·伯纳斯·李主持开发的个人数据管理工具 SoLiD,基于 LinkedData (链接数据)原理,以去中心化 Web 应用方式提供个人数据管理。此外,类似的工具还有 MyDex、Digi.me、Hub of all Things、OpenPDS 等。这些工具的目标都是通过提供个人数据存储与管理服务,让用户拥有真正的数据所有权。
实际上,个人数据安全关系到每个人的切身利益,因此,个人数据存储和管理可以作为一项公共服务设施,由公共服务机构提供云存储平台,民众可在其上创建数据空间来存储个人数据,从而为用户掌控个人数据提供技术支撑。同时,这也便于国家相关部门对个人数据提供统一治理和公共服务。个人数据治理的另一重点是数据隐私保护协议及条款。
无论是电商商务、社交娱乐服务,还是云存储服务,用户使用平台服务或安装相应 APP 时,服务提供商都要求用户先签署一份提前拟定的用户隐私使用协议,篇幅通常为 6000 多字到接近 2 万字,章节层次嵌套,晦涩难懂,一般用户读完需要半小时以上。据调查统计,73.3% 的用户都不会花时间去仔细阅读弹出窗口中的隐私使用条款,而是习惯性地选择按“同意”后直接安装 APP。
而用户确认后,就把获取其隐私的权力轻易地交给了 APP。用户不知道自己同意的这些权限究竟是不是系统实现功能所必需的,也不知道商家拿这些数据会干什么。在现实世界,如果你去超市或商场购物,要是经营者要求你必须出示并复制你的身份证件,并让你授权他们获取你的兴趣偏好等隐私信息,你肯定不会答应。但在数字空间,这已经成了行业普遍的潜规则。