区块链身份管理：引发数据安全革命

从 2013 年泄露的 30 亿个雅虎电子邮件帐户到 1.43 亿美国人从 Equifax 征信机构窃取的信用和身份数据（以及无数其他攻击），大规模数据泄露已经变得再熟悉不过了。

这些攻击的频率和严重程度，加上受害者的高水平安全性和技术复杂性，引发了公众的愤怒和质疑，是否有可能对未来的违规行为提供足够的保护。 国际数据安全公司金雅拓在其 2017 年上半年的漏洞级别指数报告中总结了这一观点：“越来越多的组织正在接受这样一个事实，即尽管尽了最大的努力，但安全漏洞是不可避免的。”

虽然比特币和以太坊等加密货币和加密货币网络继续成为头条新闻，但区块链技术的未来应用可能最终解决一系列影响企业和个人的有害问题。

随着区块链技术的兴起，一些人已经看到了解决这个问题的有希望的未来解决方案。 正如 Toptal Insights 最近的一篇文章所解释的，区块链技术是指点对点分布式、不可变的信息分类帐。 每个信息“块”都包含每笔交易的完整准确记录，一旦验证就无法更改，并且受到加密保护。 该技术的一个决定性特征是其分布式的点对点结构，从理论上讲，它不需要像 Yahoo 或 Equifax 这样的中介来存储数据。 虽然比特币和以太坊等加密货币和加密货币网络继续成为头条新闻，但区块链技术的未来应用可能最终解决一系列影响企业和个人的有害问题。

关于身份保护，一些人认为区块链技术可以潜在地消除对中介的需求，并允许个人完全控制其数字身份，而另一些人则建议公司仍然可以处理个人数据，但使用区块链技术来访问和验证这些数据无需使用容易被黑客入侵的服务器。 本文将更深入地探讨这些解决方案中的每一个，重点介绍每种方法的一个示例。 在此过程中，我们将了解每家公司所采用的方法、它们面临的挑战以及它们的相对优点。

问题：集中化

要了解区块链技术如何用作身份管理解决方案，首先要从基本层面了解当前系统的弱点是如何表现出来的，这一点很重要。

互联网最初被设计为点对点、分散的连接网络，这意味着任何用户都可以在不依赖中介的情况下与任何其他用户进行通信和连接。 然而，随着互联网变得越来越私有化，第三方中介出现并成为互联网结构的基础。

服务器可能（并且，正如我们所知，已经）被黑客入侵，而个人数据集中在一小部分公司手中会增加这些违规行为继续发生的风险。

一小部分公司控制了从颁发网站安全证书到巡查万维网访问到管理个人在线身份的所有事情。 这种集中控制使这些公司能够从每个使用互联网的人那里收集大量的个人数据，这些数据位于服务器上。 这些服务器可能（而且，正如我们所知，已经）被黑客入侵，而个人数据集中在一小部分公司手中会增加未来发生此类类似违规行为的风险。

区块链身份管理：一种理论解决方案

区块链技术通过使人们能够将数据存储在区块链上而不是可破解的服务器上，为所概述的问题提供了潜在的解决方案。 信息一旦存储在区块链上，就会受到加密保护，无法更改或删除，因此即使理论上不可能，也很难造成大规模数据泄露。

虽然将数据存储在区块链上作为一种通用的高级解决方案似乎很清楚，但实现它有多种理论方法。 一种策略是通过使个人能够将他们的身份和数据直接存储在用户在线随身携带的区块链上，从而消除对中介的需求。 由于用户的数字身份以加密方式直接存储在互联网浏览器的区块链上，理论上用户不再需要向任何第三方提供敏感数据。 另一种方法是允许用户将他们的个人数据编码到第三方可以访问的区块链上。 这种方法并没有完全消除对中介的需求，而是消除了中介将敏感个人数据直接存储在其服务器上的需求。

以下是两个突出这些策略的案例研究。

Blockstack：构建一个新的和改进的互联网

2013 年，Ryan Shea 和 Muneeb Ali 创立了 Blockstack（最初称为 Onename 应用程序）。 使用区块链技术，Blockstack 旨在通过消除对数字中介的需求并允许个人保留对其数据的完全控制来解决上述安全挑战。 个人可以不用依赖外部第三方来存储数据，而是可以使用 Blockstack 的浏览器来运行去中心化的应用程序，用户信息被加密并存放在用户的个人设备上。

Blockstack 更广泛、更基本的使命很容易定义，但雄心勃勃：创建一个新的、去中心化的互联网。 在 Blockstack 的技术白皮书开始时，“互联网是 40 年前设计的，并且正在显示出老化的迹象。” Blockstack 旨在用一个更安全且实际上更接近互联网设计者最初设想的系统来取代我们目前所认为的互联网。

“互联网早于我们所说的网络……而那是为了去中心化而设计的，”Shea 说。 《纽约时报》杂志最近的一篇文章对互联网的原始架构提供了有用的解释。 互联网最初是使用开放协议设计的——计算机之间通过互联网进行的通信是免费的，不属于任何中心化机构。

但正如《纽约时报》所描述的，互联网的架构师“未能包含一些后来被证明对网络文化的未来至关重要的关键元素。” 特别是，“他们没有创建在网络上建立人类身份的安全开放标准。” 由于没有在互联网结构中内置标记个人身份的机制，私营公司介入以填补这一空白。

“即使是互联网的最初设计者现在也同意他们错过了核心架构中的某些关键内容。 大多数这些事情基本上都围绕着安全。”

随着某些应用程序（例如 Google 和 Facebook）使人们能够在线建立和交流个人身份并获得普及，互联网变得越来越集中在一小群强大的参与者周围。 这种权力集中已经产生了明显的经济影响，并且与 Blockstack 最相关的是，对个人数据的存储、传输和使用方式产生了深远的影响。

“即使是互联网的最初设计者现在也同意他们错过了核心架构中的某些关键内容，”阿里说。 “这些事情中的大部分基本上都围绕着安全。”

Blockstack 通过将个人身份直接构建到 Blockstack 浏览器中来修复原始互联网的上述设计缺陷，允许人们直接通信而无需使用第三方，例如 Facebook。 通过其去中心化身份系统、域名系统和存储网络，Blockstack 旨在让人们对其数字足迹拥有完全的所有权。 这样做，理论上可以在未来避免大规模的集中式数据泄露，因为不再需要第三方存储数据或促进通信。

“在过去的几年里，发生了许多违规行为，随着时间的推移，这些违规行为变得越来越大，越来越严重，”Shea 说。 “在接下来的几年里，我们会看到更多这样的东西，每个人都会非常非常清楚地知道，一旦你允许数据流出，它就不能放回盒子里。”

区块链技术构成了 Blockstack 产品和愿景的基础。 如上述白皮书所述，区块链“为操作提供存储介质，并就操作的编写顺序达成共识”。 Blockstack 专门使用比特币（网络，而不是货币）作为其底层区块链，Blockstack 架构的其余部分都在此基础上构建。 简而言之，区块链技术使 Blockstack 的互联网能够保持去中心化和安全。

然而，正如白皮书中所描述的，Blockstack 在使用区块链技术时面临的一个关键挑战是区块链可能会受到单个实体的控制——换句话说，它可能会从去中心化变为中心化。

扩展 Blockstack 网络是另一个障碍。 事实上，Blockstack 新互联网的成功取决于积极的网络效应——有多少人使用它，更具体地说，有多少应用程序为它开发。 目前，Blockstack 社区有近 15,000 名开发者，注册域名超过 76,000 个。 Blockstack 最终将需要一个更大的生态系统来实现其既定目标。

Blockstack 已经筹集了传统的风险投资资金，并且最近完成了其首次代币发行，其中 5000 万美元的 Blockstack 代币分配给了合格的投资者，另外 5000 万美元将分配给可以选择在以后购买代币的非合格投资者。 虽然仍处于相对起步阶段，但 Blockstack 提出了一种潜在的革命性解决方案，不仅可以解决当前身份管理和安全方面的问题，还可以解决当前互联网的垄断权力结构。

Civic：有针对性的身份保护解决方案

Civic 成立于 2016 年，推出了一种不同的基于区块链的身份管理解决方案。 Civic 并没有像 Blockstack 的目标那样消除对第三方的需求并创建一个全新的互联网生态系统，而是寻求在现有框架内工作，并特别关注身份管理和安全性。 通过区块链技术，Civic 使个人和公司能够验证他们的身份，而无需将这些数据存储在集中的、可破坏的服务器上。

福布斯最近的一篇文章解释了这个过程。 个人首先注册 Civic 的应用程序，该应用程序通过官方（例如政府）记录验证用户的身份。 Civic 然后对这些信息进行加密加密并将其存储在区块链上。 从那里，请求此类个人数据的其他实体可以根据 Civic 区块链上的信息验证个人提供的信息，从而避免任何一方将敏感数据存储在集中式服务器上。

Civic 的首席执行官兼联合创始人 Vinny Lingham 也在他的博客上解释了这一过程，他经常在博客中写到关于加密货币和区块链技术的未来：

“基本上，思域会验证您的个人信息和身份，将其存储在您的手机上，并且只有您可以查看或使用该信息。 它永远不会存储在我们的服务器上！ 这意味着，如果 Civic 被黑客入侵，您的信息将永远不会被泄露，因为我们只是没有它。”

Civic 面临许多与 Blockstack 相同的障碍：其区块链最终可能会失败，其成功取决于用户的采用。 但哪种方法更有希望？

有些人可能更喜欢 Blockstack 提出的解决方案，因为创建一个全新的互联网这一雄心勃勃的目标所产生的深远影响远远超出了安全或身份管理领域。 Blockstack 为许多互联网上最紧迫的问题提供了一个优雅的解决方案。 它的方法有可能从根本上重新定义互联网的经济学和人们虚拟互动的方式。

但思域目标的相对有限、有针对性的范围可能对其他人具有相同或更多的吸引力。 Civic 的目标不是完全改变或取代互联网的架构。 避开这个目标，转而专注于身份管理的具体问题——这本身就是一个复杂、雄心勃勃的问题，但比创建一个新的互联网要窄——有些人可能会争辩说 Civic 有更好的机会成功完成它所拥有的着手去做。

这个空间的增长和发展——以及这些潜在解决方案的存在这一事实——应该为我们这些关心我们的私人数据安全的人提供一种对身份保护更美好未来的希望。

哪种方法最终会更成功的问题仍未解决。 尽管如此，这个领域的增长和发展——以及这些潜在解决方案的存在这一事实——应该为我们这些关心我们的私人数据安全的人提供一种对身份保护更美好未来的希望。

代币的重要性

Blockstack 和 Civic 各自提供基于使用区块链技术来分散和保护个人数据的身份管理解决方案。 他们还都使用代币（他们自己的加密货币）来推动和激励他们平台的使用。 在 Blockstack 的案例中，开发人员在 Blockstack 网络上构建应用程序时会使用令牌，而用户在注册 Blockstack 用户名时会使用令牌。 对于思域，用户可以获得使用思域应用程序的代币。

这些代币已成为每家企业的资金来源——迄今为止，Blockstack 获得了 5000 万美元（一旦达到一系列增长里程碑即可获得），Civic 获得了 3300 万美元。 但随着监管机构和整个国家打击加密货币交易，对 Blockstack 和 Civic 等项目的全面影响仍然是一个悬而未决的问题。

正如 Muneeb Ali 在 2017 年 12 月的一次采访中指出的那样，在最近的加密货币狂热期间，美国证券交易委员会 (SEC) 基本上保持观望：“我实际上觉得 SEC 在这个领域非常聪明……他们只是在积极地观察，到目前为止，他们采取的所有步骤……实际上似乎是正确的做法，”阿里说。

尽管如此，监管环境仍然不确定，代币在未来可能无法自由交易的可能性迫在眉睫，成为 Blockstack 和 Civic 等企业不应忽视的潜在风险。

尽管如此，这种风险不应阻碍基于区块链的身份管理的探索。 当然，重要的是要注意区块链技术不是灵丹妙药。 事实上，正如阿里在前面提到的采访中所说，区块链技术在某些类型的应用程序中运行良好，而在其他应用程序中可能完全不合适。 数据安全和身份管理代表了非常适合该技术的用例和急需改进的领域。