分散式數位身分識別與區塊鏈：我們看到的未來

大家好，

我希望您和我一樣也對今天的文章內容感興趣。這有點是讓大腦放鬆，並概述數位身分識別未來令人興奮的願景。

過去 12 個月，我們投資了一系列使用區塊鏈 (與其他分散式總帳技術) 的創意培育計劃，來建立新型數位身分識別，從頭開始設計身分識別，以強化個人隱私權、安全性和控制度。我們對於所學到的經驗以及在過程中形成的新合作夥伴關係感到非常興奮。今天我們要藉此機會與您分享我們的想法和未來走向。這篇部落格文章是系列文章的其中一篇，是接續 Peggy Johnson 的宣布 Microsoft 加入 ID2020 計劃部落格一文。如果您尚未讀過 Peggy 的文章，我建議您先行閱讀。

我邀請了小組中負責領導這些培育計劃的計劃經理 Ankur Patel，開始與我們討論關於分散式數位身分識別。他的文章著重於分享我們學到的一些核心內容，以及我們用來向前推動這類領域投資的一些結果準則。

如同以往，我們非常歡迎您提供想法和意見反應。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

———-

大家好，我是 Microsoft 身分識別部門的 Ankur Patel。很榮幸有這個機會能和您分享所學的一些經驗和未來走向，這些都是我們在培育以區塊鏈/分散式總帳為基礎之分散式身分識別的過程所做的努力。

我們的發現

正如您每天感受的許多體驗，這個世界正在經歷一場全球性數位轉型，數位與實際現實的界線正逐漸模糊成單一整合式的現代生活方式。新的世界需要新的數位身分識別模型，而這個新模型要能同時在實際與數位世界中強化個人的隱私權和安全性。

Microsoft 的雲端身分識別系統已讓數千個開發人員、組織與數十億人能夠工作、玩樂，並達成更多目標。然而，我們還可以做更多努力來賦予每個人能力。我們渴望建立一個世界，讓今日生活在沒有可靠身分識別的數十億個人，最終能夠實現我們大家分享的夢想，例如教育孩子、改善生活品質或創業。

為了達成這項願景，我們相信個人擁有並控制其數位身分識別的所有元素是至關重要的。個人需要的是一個能讓他們能儲存身分識別資料並輕鬆掌控存取權的安全加密數位中心，而不是授與無數 App 和服務各種權限，讓自己的身分識別資料散佈給無數的提供者。

我們每個人都需要專屬的數位身分識別，要能安全且私密地儲存數位身分識別的所有元素。  這個自我專屬的身分識別必須簡單好用，並能讓我們完整掌控自己身分識別資料的存取和使用方式。

我們知道，實現這種自我主權的數位身分識別遠大於任何單一公司或組織。我們致力於與客戶、合作夥伴和社群緊密合作，以充分發揮新一代數位身分識別型的體驗，而且我們很高興能與產業內在此領域有卓越貢獻的許多人士一起合作開發。

我們所學的經驗

為達此目的，我們今天要以我們在分散式身分識別培育計劃所學的經驗為基礎，與您分享我們的寶貴想法，以實現豐富的體驗為目標所做的努力、提升信任度並減少摩擦，同時讓每個人都能擁有並掌控他們的數位身分識別。

1. 擁有並掌控您的身分識別。 現今的使用者授與無數 App 和服務各種權限來收集、使用並保留資料，卻超越能掌控的範圍。隨著資料外洩與身分識別盜用事件越來越複雜且頻繁，使用者需要一種能夠掌握其身分識別的方式。在測試過分散式儲存系統、共識通訊協定、區塊鏈和各種新興標準之後，我們相信區塊鏈技術與通訊協定都適合用來實現分散式身分識別 (DID)。
2. 從頭開始打造著重隱私權的設計。
   現今的 App、服務和組織能提供方便、可預測、量身打造的體驗，全都仰賴控制與身分識別繫結的資料。我們需要一個能與使用者資料互動的安全加密數位中心 (ID Hub)，同時尊重使用者隱私權與控制權。
3. 由個人獲得、由社群建立的信任。
   傳統身分識別系統主要針對驗證與存取管理而開發。自我專屬的身分識別系統加入了對真確性的關注，以及社群建立信任的方式。分散式系統中的信任是以證明為基礎：也就是來自其他實體認可的宣告，這能協助從多方面來證明某人的身分識別。
4. 以使用者為中心建置的 App 與服務。
   現今某些最吸引人的 App 與服務都是藉由獲取使用者的個人識別資訊 (PII)，來提供使用者個人化體驗。DID 和 ID Hub 能讓開發人員獲得更精確的證明集存取權，同時透過處理而非代表使用者進行控制這類資訊的方式，來降低法律與合規性風險。
5. 開放式、互通的基礎。
   為了建立能存取所有資訊的強大分散式身分識別生態系統，它必須以標準且開放原始碼的技術、通訊協定和參考實做為基礎。過去幾年，我們參加了分散式身分識別基金會 (DIF)，該基金會是由擁有同樣的動機而想接受這項挑戰的個人和組織所組成。我們合作開發下列重要元件：
   

• 分散式識別碼 (DID)：這是一種定義常見檔案格式的 W3C 規格，可用來描述分散式識別碼的狀態
  
• 身分識別中心：這是一種提供訊息/意圖轉送、證明處理和特定身分識別計算端點的加密身分識別資料存放區。
  
• 通用 DID 解析程式：跨區塊鏈解析 DID 的伺服器
  
• 可驗證的認證：這是一種定義文件格式的 W3C 規格，可用來編碼 DID 型證明。
  

6. 為全球規模做好準備：
   為了支援眾多的全球使用者、組織和裝置，基礎技術必須具有與傳統系統相當的規模與效能。部分公開區塊鏈 (舉例而言，比特幣 [BTC]、Ethereum、萊特幣等) 為根 DID (Rooting DID)、記錄 DPKI 作業和錨定證明提供了扎實的基礎。雖然部分區塊鏈社群提升了鏈上交易功能 (例如增加區塊大小)，但這種方法通常會降低網路的分散式狀態，且無法達到系統在全球規模範圍內會產生的每秒數百萬次交易量。為了克服這些技術障礙，我們正針對在這些公開區塊鏈上執行的分散式第 2 層通訊協定進行共同作業，以達成全球規模，同時保留世界級 DID 系統的屬性。
   
7. 所有人都能存取：
   現今的區塊鏈生態系統大多仍是願意花時間、心力並有熱忱來管理金鑰並保護裝置的早期採用者。這並不是我們期待主流人員去處理的工作。我們需要以直覺且萬無一失的方式克服關鍵的管理挑戰，例如復原、變換和安全存取。
   

我們的後續步驟

新的系統和大膽的創意在白板上通常都很合理。所有線索都能夠彼此連結，而且假設似乎也很實在。不過，產品和工程小組在推出的過程中學到的最多。

現在，每天都有數百萬人使用 Microsoft Authenticator App 來證明其身分識別。我們的下一步將是透過在 Microsoft Authenticator 上加入支援分散式身分識別來進行試驗。經過您的同意，Microsoft Authenticator 能夠做為您的使用者代理程式，來管理身分識別資料與密碼編譯金鑰。在這個設計中，只有身分識別會在鏈上進行根處理。系統會使用這些密碼編譯金鑰將身分識別資料儲存在經過加密的鏈外 ID Hub (Microsoft 看不到) 中。

在我們新增這項功能後，App 與服務將能藉由要求精確同意來使用常見的傳訊管道，進而與使用者資料互動。我們在初期將支援一組所選的跨區塊鏈的 DID 實作，我們在未來可能會加入更多支援。

未來展望

我們對於能接受如此巨大的挑戰感到謙虛和興奮，同時也了解這並不是能單獨達成的目標。我們持續倚賴聯盟合作夥伴和分散式身分識別基金會的成員，以及 Microsoft 生態系統中各種設計師、原則制定者、商務合作夥伴、軟硬體製造商的支援和投入的心力。最重要的是我們需要您，需要我們的客戶在我們開始測試第一組案例時提供意見反應。

這是關於我們對分散式身分識別投注心力的第一篇文章。在後續文章中，我們將分享相關的概念證明資訊，以及上述關鍵領域的技術詳細資料。

我們期待您加入我們的冒險行列！

重要資源：

• 前往 Twitter 的 @AzureAD 關注我們
  
• 參與分散式身分識別基金會 (DIF)
  
• 加入 W3C Credentials Community Group
  

謝謝您，

Ankur Patel (@_AnkurPatel)

首席計劃經理

Microsoft 身分識別部門