第1部分 自主管理身份简介

SSI 于 2015 年就已经出现，但它作为一种技术和产业的转变仍然非常年轻。从事数字身份行业的人对 SSI 很熟悉，但对那些从事其他行业的人员—尤其是在技术领域之外的人员而言，它可能是一个全新的概念。

第 1 部分介绍了 SSI 的方方面面，无论你来自哪个领域都可以通过这部分来熟悉SSI。第 1 部分分为 4 章。

◎第 1 章首先介绍了我们需要数字身份的根本原因，以及为何前两代解决方案（中心化身份管理和联邦化身份管理）没有解决这个问题。接着解释了自主管理身份作为一种基于区块链、云和移动计算技术的互联网身份模型的起源，并介绍了 SSI 在电子商务、金融、医疗保健和旅游领域产生的影响。

◎第 2 章介绍了 SSI 的 7 个基本组成部分，包括数字凭证、数字钱包、数字代理和区块链，这些内容对非技术人员而言比较容易理解。

◎第 3 章从第 2 章中选取了 7 个组成部分，并展示了如何将它们组合在一起，以应用于数字信任中的不同场景。

◎第 4 章介绍了“SSI 记分卡”，将其作为系统评估 SSI 的主要特征和优势的工具（我们在第 4 部分中再次使用该工具来评估 SSI 对各个行业和垂直市场应用领域的影响）。

一、为何互联网缺少身份层—为何 SSI可以为其提供身份层

自主管理身份（SSI）是互联网数字身份的一种新模式，可帮助我们向某些网站、服务和应用程序证明自己的身份以建立信任关系，从而进行访问或保护自己在上面的隐私信息。在密码学、分布式网络、云计算等技术和标准的推动下，SSI 与其他技术上的范式转移相似，是一种数字身份的范式转移，如从键盘驱动的用户界面（如 MS-DOS）到图形用户界面（如 Windows、Mac 和 iOS）的转移，或从非智能手机到智能手机的转移。

然而，SSI 范式转移是比技术转移更深层次的转移，它是互联网自身基础设施和权利机制的转移。从这方面看，它更接近于其他基础设施的范式转移，如交通工具的范式转移。

（1）从马匹旅行到火车旅行的转移。

（2）从火车旅行到汽车旅行的转移。

（3）从汽车旅行到飞机旅行的转移。

每一次技术转移都使社会和商业的形态和发展动态产生了更深层次的结构性变化。数字身份向 SSI 的范式转移也是如此。虽然具体内容的发展十分迅速，但已经初露头角的 SSI 的“大图景”呈现出清晰的脉络和巨大的吸引力，不断向实际应用方面发展。

在本书中，我们试图以最浅显易懂的语言阐述这种 SSI 的范式转移。我们的出发点不是将观点强加于人，而是谨以此向读者展示促进 SSI 发展的技术、商业和社会的变化。

让我们以如下观点为切入点。

互联网的构建缺少一个身份层。

—金·卡梅隆（Kim Cameron），微软首席身份架构师

Kim 的这句话是什么意思？什么是“身份层”？ Kim 在他的《身份的法则》（Identity Layer）这一系列极具开创性的文章中给出了答案，该文章于 2004—2005 年连续数月发表在他的博客上：

互联网的构建方式让你无法得知所连接的人和物是什么。这限制了我们对互联网的使用，并让我们面临越来越多的危险。如果我们坐视不管，就将面临迅速激增的盗窃和欺诈事件，这些不断积累的事件将改变公众对互联网的信任。

Kim 谈到，互联网最初是由美国军方在 20 世纪 60 年代到 70 年代开发的 [ 由美国国防部高级研究计划局（DARPA）赞助 ]。建立互联网的初衷是解决如何连接各个机器，从而在多个网络中共享信息和资源。这种解决方案基于数据包的数据交换和传输控制协议 / 网络协议（TCP/IP），十分巧妙，终于实现了真正的“网络之网”。而剩下的故事，就众所周知了。

然而 Kim 想表达的是：你如果通过互联网的 TCP/IP 进行连接，那么你只能知道所连接的机器的地址，而无法知道负责用机器与你通信的人、机构或设备的情况 [ 网络黑客已经向人们展示了如何在地址还没被发送到远程网络设备之前就修改计算机的硬件（MAC）或 IP地址，所以人们不太可能信赖现有的网络级标识 ]。

这个问题似乎不难解决—毕竟互联网是由人和组织建立的，而我们控制着（或者说至少我们自认为控制着）它的所有“使用者”。那么，设计一种简洁、标准化的途径来识别你通过互联网打交道的人、机构或设备，会有多难呢？

答案是非常非常难。

为什么呢？简而言之，互联网在初期应用并不是很广泛。当时使用网络的主要是学术界的计算机科学家。他们多数人都相互认识，而且他们都有机会使用昂贵的机器和复杂的技术。因此，尽管互联网的设计是分布式的，但初期它实际上的圈子很小。

无须多言，现在互联网已经发生了翻天覆地的变化。互联网连接着数十亿人和设备，而且绝大多数人都互不相识。在这种环境下，一个不幸的事实是，有很多人想隐藏自己在网上的身份。身份（或身份的缺失）是网络犯罪的主要原因之一。

1.1　问题变得有多严重？

回顾一下 Kim 在 2005 年对互联网身份层缺失的预言中的最后一句话：“如果我们坐视不管，就将面临迅速激增的盗窃和欺诈事件，这些不断积累的事件将改变公众对互联网的信任。”

尽管人们为解决互联网身份问题做出了种种努力，但仍未取得突破性的解决方案，这足以证明 Kim 的预言是正确的。何况截至 2017 年，平均每个企业用户须记下 191 个密码。用户名和密码管理已经成为影响互联网消费体验最大的事情，这不仅仅带来使用的不便，更严重的威胁在于网络犯罪、网络欺诈、经济摩擦等对人们隐私的侵犯。

据不完全统计，网络对人们隐私的侵犯所造成的威胁如下。

（1） IBM 总裁兼首席执行官 Ginni Rometty 将网络犯罪描述为“对世界上每份职业、每个行业、每家企业最大的威胁”。

（2）截至 2021 年，全球网络犯罪带来的损失每年达到 6 万亿美元。

（3）超过 90% 的美国消费者认为他们无法掌控被各种机构收集和使用的个人信息。

（4） 2016 年，30 亿个雅虎账户被黑客攻击，这是史上最重大的隐私泄露事件之一。

（5） 80% 与黑客有关的泄露事件源于用户密码泄露。

（6） Equifax 的泄露事件造成该公司损失总计超过 40 亿美元。

（7） Ctrl-Shift 公司 2014 年的一项研究表明，仅英国在身份保护程序上的花费每年就超过 33 亿英镑（2014 年，1 英镑约为 10 元人民币）。

互联网身份的保护屡屡失败，如果这个问题得不到解决，互联网将前途未卜。

1.2　进入区块链技术和分布式阶段

与许多颠覆性创新一样，重大突破的出现往往出乎意料。当中本聪（Satoshi Nakamoto）在 2008 年 10 月首次发表关于比特币的文章时，没人想到它会引起人们对互联网身份和信任的思考方式的根本转变。

然而几个世纪以来，身份和货币之间的关系一直密不可分—David Birch 在 2014 年出版的书中，对这段历史进行了丰富而有趣的探讨。因此，直到 2015 年，比特币的分布式区块链模式吸引行业和全球媒体的注意时，互联网身份社群才不出意料地注意到它们之间的关系。

在 2015 年春季互联网身份论坛（IIW）上举行了几场关于“区块链身份”的会议。该论坛自 2004 年来每年举办两届，每届为期 3 天，汇聚了众多互联网身份领域的专家。会议成立一个非正式小组，研究如何发挥区块链技术的最大优势来应对 IIW 十多年来一直专注的、以用户为中心的身份管理的挑战。在 2015 年秋季论坛上，该小组在多场会议中做了汇报，在 IIW 中引起一片轰动。

两个月后，美国国土安全局科技部公布了一个名为“区块链技术对注重隐私保护的身份管理系统的适用性”的小企业创新研究（SBIR）资助课题，其中提到以下两点。

（1）区块链技术不仅可以应用在“加密货币”领域（“加密货币”仅仅是以该技术为基础的一种应用），还可以应用在智能合约、信息追溯、信息的分布式验证等方面。

（2） SBIR 课题着眼于验证有关信息安全的典型概念（如保密性、完整性、可用性、不可否认性），以及有关隐私的典型概念（如笔名和选择性披露信息）是否可以在区块链技术的基础上建立，从而为注重隐私保护的身份管理系统提供一个分布式、可扩展的方法。

美国政府机构提出，区块链技术的原则也许能解决互联网缺少身份层的关键问题，而且许多国家都在行动。为了尽可能从集中式数字身份系统转变为分布式数字身份系统，欧盟正在通过某些举措研究分布式身份。

但为什么转变为分布式如此重要？

1.3　数字身份的3种模式

互联网身份模式的演变过程可以很好地说明为何集中式转变为分布式如此重要。

注：这种描述互联网身份演变的方式是由 Timothy Ruff 于 2018 年在 Evernym 公司首次提出的——数字身份的 3 种模式。

1.3.1　中心化数字身份模式

中心化数字身份模式是最通俗易懂的。我们长期以来所用的所有标识和证件绝大多数采用这种模式，如政府颁发的身份证号码、护照、身份证、驾驶执照，以及发票、网站登录账号、用户名等。以上数字身份都是由中心化的政府或诸如银行、电信公司等服务商颁发的。这种中心化模式在现实中非常普遍，可以分为以下两种类型。

（1）斯堪的纳维亚模式（Scandinavian Model）—企业（金融和电信公司）提供用于对接政府的中心化数字身份服务（如芬兰的 TUPAS、瑞典的 BankID 等）。

（2）大陆模式（Continental Model）—政府向企业提供数字身份服务，用于政府与公民互动（如欧洲）。

注：以上中心化模式在 2016 年世界经济论坛的杰出报告《数字身份的蓝图》（A Blueprint for Digital Identity）中有所阐述。

中心化数字身份模式是互联网身份的最初形式，而且如今我们仍然继续使用。例如，你在一个网站、服务或应用程序注册一个账户（通常是一个用户名和密码）并建立了身份。该模式也被称为基于账户的身份。如图 1.1 所示，“用户”是一个虚线圈，因为采用中心化数字身份模式，必须在这个中心化系统中建立某个账户，否则真正的“用户”是不存在的。真正的“用户”得到授权，能够接入网站、服务或应用程序，因为“机构”向用户提供了“代表用户”的凭证，凭证具有有限的权限。这些凭证最终是属于“机构”的。如果用户删除了这些中心化供应商提供的所有账户，用户访问服务的权限就会被撤销，图 1.1 中的“用户”将从互联网中彻底消失，然而关于用户的所有数据仍属于机构，不受用户的控制。

这只是中心化数字身份认证的诸多问题之一，其他问题如下。

（1）记忆和管理所有用户名和密码（或是其他多要素认证工具，如一次性密码）的责任完全落在用户身上。

（2）每个网站都实施自己的安全和隐私策略，而且这些策略各不相同（一个典型的例子是，各种密码设置要遵守令人抓狂的规则：最小长度、可用的特殊字符等）。

（3）用户的身份数据不能在其他地方使用或重复使用（用户被警告永远不要使用重复的密码）。

（4）这些中心化的个人信息数据库是庞大的“蜜罐”，历史上曾发生过一些严重的数据泄露事件。

1.3.2　联邦化身份管理模式

为了缓解中心化数字身份模式的某些痛点，业界开发了一种新的模式，称为“联邦化身份管理”（FIM）模式。它的基本概念很简单，就是在用户和机构之间接入一个名为身份提供商（IdP）的服务商，如图 1.2 所示。

用户只需在 IdP 注册一个身份账户，就可以登录使用该 IdP 的网站、服务或应用程序，并向身份提供商分享一些基本的身份数据。所有使用同一个 IdP（或同一组 IdP）的网站集合被称为联邦。在一个联邦中，每个“机构”通常被称为“信赖方”（RP）。

自2005年以来，联邦化身份协议已经开发了三代—安全断言标记语言（SAML）、OAuth和 OpenID Connect，它们都取得了一定的成功。采用此类协议进行单点登录（SSO）是现在大多数企业内网和外网的一个标准功能。

联邦化身份管理逐渐在互联网用户中普及，它开始被称为“以用户为中心的身份”。采用像 OpenID Connect 协议的脸书、谷歌、推特、领英等社交网站登录按钮是许多面向用户的网站的标准功能，如图 1.3 所示。

尽管自 2005 年以来，人们在联邦化身份管理方面做了许多努力，但它仍然未能构建互联网所缺少的身份层，其中的原因不一而足。

（1）没有一种身份提供商账户可以适用于所有网站、服务和应用程序。因此，一个用户需要有多个身份提供商账户，而他们很快就会忘记在哪个网站、服务或应用程序中使用了哪个身份提供商账户。

（2）由于身份提供商需要服务很多网站，因此它们必须制定拥有“最小共同点”的安全和隐私策略。

（3）许多用户和网站反对在它们之间设置“中间人”，因为“中间人”可以监视一个用户在多个网站的登录行为。

（4）一些大型身份提供商成为网络犯罪的最大“蜜罐”。

（5）身份提供商账户的通用性并不比中心化数字身份账户的通用性强。如果你注销谷歌、脸书或推特这类身份提供商账户，则所有账户的登录信息都会丢失。

（6）出于安全和隐私方面的考虑，身份提供商不能协助用户安全地分享他们最重要的个人数据，如护照信息、身份证信息、健康数据、财务数据等。

1.3.3　分布式数字身份模式

在区块链技术的影响下，2015 年出现了一种新的模式——分布式数字身份。线上快速身份验证（FIDO）联盟创立于 2013 年，但它采用的是一种混合方法——点对点连接，由FIDO 联盟而非区块链集中进行密钥管理。这种模式不再依赖中心化或联邦化的身份提供商，而是从根本上采取分布式的模式。它发展迅速，吸收了密码学、分布式数据库和分布式网络的最新进步成果，催生了新的分布式身份标准，如可验证凭证（VC）和分布式标识，我们在本书的第 2 章和第 2 部分进行更详细的阐述。

然而，此模式最重要的特点在于“它不再基于某个账户”。相反，它的运行模式和现实世界中的身份运行模式一样，即基于你和另一方作为“对等”的直接关系，如图 1.4 所示。你们中的任何一方都没有“提供”“控制”或“拥有”与对等方的关系。无论对等方是个人、机构还是设备，这一特点都不变。

在一个点对点的关系中，你们任何一方都没有对等方的“账户”。相反，你们都共享一个“连接”。就像双方都握住一根绳子—如果任何一方放手，这根绳子就会掉下去。但是，只要双方都想要它，这种联系就会持续下去。

点对点连接本质上是分布式的，因为任何对等方都可以在任意地方连接到任何其他对等方，这正是互联网的运作方式。但这如何成为一个身份层，以及为什么它需要区块链技术？

答案在于公钥 / 私钥的加密方式：一种利用加密算法来保护数据的方式，其算法是基于各方持有的加密密钥。身份管理并非将区块链技术用于“加密货币”，而是将其用于分布式公钥基础设施（DPKI）。在接下来的几章中，我们将更详细地讨论这个问题。但实质上，区块链技术和其他分布式网络技术可以为我们提供强大的分布式解决方案，可以用于以下方面。

（1）直接交换公钥，在任意两个对等方之间形成私密、安全的连接。

（2）在公共区块链上存储其中一些公钥，以验证对等方可交换的数字身份凭证（又称可验证凭证）上的签名，从而在现实中提供身份证明。

有趣的是，最适合用来类比分布式身份模式的正是我们每天在现实中证明自己身份的方式——拿出我们的钱包，展示我们从其他受信任方获得的证件。不同点在于，在分布式数字身份中，我们是通过数字钱包、数字凭证和数字连接来实现的，如图 1.5 所示。

1.4　为什么是“自主管理身份”

随着分布式数字身份模式逐渐普及，它的名称也迅速演变成自主管理身份。这个术语起初由于其内涵而颇具争议。这个术语如此“棘手”，为何现在却成了顶尖行业分析公司和全球领先数字身份会议都会采用的新的身份模式的标准术语？

让我们从“主权”（Sovereign）这个词开始介绍。我们大多数人在日常交流中不经常使用这个词，它本身就具有一些威信。根据定义，它是一个有力量感的词—有时直接被用作国王或国家元首的同义词，但如今也有自主或独立的意思，还有一个常见的内涵是主权国家。

一种词典中对主权的定义是：

作为统治者或拥有最高权力或最权威的特征或状态；统治者的地位、统治权、权力或权威；皇家等级或地位；皇室。

在“主权”前加上“自主”这个词，意思就显而易见了：“不依赖也不受制于任何其他权力或国家”。

当然，我们讨论的术语不是“主权”，而是“自主管理身份”。

这个词可能存在争议—为什么尽管它很有力量感，但有时会妨碍人们理解分布式数字身份模式的价值。这个词往往会让两个关于 SSI 长期存在的错误观念延续下去。

（1）自主管理身份是自主主张的身份。也就是说，你是唯一能主张自己身份的人。当然，这样说不正确，就像你可以签发自己实体钱包中的所有证件一样是不正确的。你的身份信息大部分来自其他可信信息—这也是其他各方愿意信赖它的原因。

（2）自主管理身份只面向人类。因为个人对安全、隐私及个人数据控制的需求，SSI 受到广泛关注，但其实 SSI 模型同样适用于组织和各种物理对象。事实上，它适用于任何在互联网上需要身份的东西。

自主管理身份如今在互联网身份标识行业中得到了广泛的应用，因此本书仍然采用这个术语。

1.5　为什么SSI如此重要？

从许多方面来说，回答这个问题正是本书的意义所在。本书阐述了 SSI 如何影响及为什么会影响绝大多数人的互联网行为。其中一些变化可能与互联网本身在 20 世纪 80 年代和90 年代产生的变化一样深远。

今天，许多人认为互联网和万维网的发展是理所当然的。然而，如果你停下来思考一下，数十亿人的工作生活、社会生活，甚至政治生活都被互联网和万维网彻底改变了。这听起来有些夸大其词，但想一下，如果没有互联网和万维网，当今世界上最有价值的 10 家公司中的 7 家就不会存在。

预测：我们预测 SSI 技术及它所带来的不可计数的新型可信赖的互动模式将对各行各业产生巨大的影响。

基于以上对于 SSI 的阐述：它代表了控制权的转移。起初，我们试图找到解决互联网缺失的身份层的问题，最终我们发现，解决这些问题需要将控制权从互联网的中心—许多“权力点”，转移到互联网的边缘—所有人都成对存在和互动的地方。

在中心化和联邦化身份管理模式中，控制权掌握在互联网上的颁发者和验证者手中。在SSI 模式中，核心控制权转移到了个人用户身上，用户可以作为一个完全对等方与其他人互动，如图 1.6 所示。

这就是为什么 SSI 不仅关乎技术，还涉及重要的商业、法律和社会层面。

到目前为止，本书描述的 SSI 驱动因素是诸如 IIW、重新启动信任网络（RWoT）、MyData及万维网联盟（W3C）分布式标识和可验证凭证工作组等社群。然而，随着 SSI 逐渐成为主流技术，我们预测 SSI 将展现不同特色和应用愿景。这些不同之处将取决于采用 SSI 的不同社群的需求、愿望和重点事项。关键是不同的 SSI 架构如何拥有可互操作性，如同互联网中不同本地网络的可互操作性，只有这样，才能构建一个统一的 SSI 基础设施。

1.6　SSI的市场驱动因素

要了解 SSI 的发展势头及 SSI 架构的不同，方式之一是看什么在驱动需求。对有商业嗅觉的读者来说，这些分类可能有些陌生或归于观念形态，但我们的目的是反映观察到的市场情况。这些驱动因素分为三大类。

（1）商业效率和用户体验—这一市场的需求是安全性高、成本低和便利性强。这是早期阶段驱动 SSI 发展的主要市场需求。企业、政府、大学、非政府组织等都希望提高数据的安全性，更多地遵守隐私和数据保护的法规，通过改善工作流程降低成本，并为用户创造更

好的体验，提高竞争力。

SSI 在这方面的应用主要颠覆了现有身份和访问管理（IAM）市场。像大多数颠覆性技术一样，它在 IAM 市场上催生出新的公司、新的商业模式和新的细分市场。

（2）抵制监视经济—这是针对当今一些大型公司的主流商业模式和策略的反应。正如媒体的广泛报道，网络的主要商业模式（如 Web 2.0）是数字广告，这催生了一个全球性产业，哈佛大学教授 Shoshan Zuboff 称之为“监视资本主义”。

这一细分市场的需求结合了观念形态（如隐私倡导者）、消费者信心和战略定位。欧盟的《通用数据保护条例》（GDPR）等正在领导这种经济，因为这使其与互联网巨头处于更公平的竞争环境。

（3）个人主权运动—这一运动是由那些想要夺回更多数据控制权的人推动的。也许这样描述 SSI 市场驱动因素最为合适：它旨在为分布式身份做出贡献。最开始驱动人们采用 SSI 的因素是商业效率和用户便利，让我们看看几个具体细分市场的例子—其中一些例子更能说明还有一些其他的市场驱动因素。

1. 电子商务行业

图 1.7 展示了电子商务行业销售额惊人的增长。如今每笔电子商务的交易都涉及某种数字身份—无论是中心化身份管理，还是联邦化身份管理。如果消费者配备了 SSI 数字钱包，他们就可以做以下事情：

（1）无须密码就可以在任何支持 SSI 的网站或服务系统进行注册和登录；

（2）当所连接的网站或服务系统无法提供他们的可信赖数字凭证时，他们会自动收到警告；

（3）直接从数字钱包支付，而无须进行“结账”，无须用第三方钱包供应商或外部支付端口。在私密的情况下个人电子收据日志可以自动保存，并向消费者所选的任何商家或推荐引擎提供购买证明。

SSI 不仅将彻底改变普通消费者的电商购物体验，还将为全球数字经济节约上千亿美元。

2. 银行业与金融业

根据花旗银行 2018 年的“移动银行研究”，现在约有 1/3 的美国成年人使用移动银行。这是继社交网络之后最受欢迎的移动应用程序。这在“千禧一代”中的比例达到了 2/3。绝大多数的移动银行业务都发生在银行、信用社和其他金融机构直接为客户提供的专门

的应用程序中。某些移动银行因其实用性、安全性和隐私性而获得认可，但大多数仍然是在专门的应用程序中有自己的登录账号和密码，并与单一供应商合作。

当个人获得 SSI 数字钱包后，他们可以做以下事情：

（1）可以与所有支持 SSI 的金融机构合作，并且不用重复填写信息，就可以获得市场上所有供应商的金融服务；

（2）可以提供来自受信任的第三方数字凭证；

（3）能够以数字方式分享所有的信息—由受信任的颁发者进行数字签名，这是快速申请贷款或抵押贷款所必需的程序；

（4）可以进行单方或多方数字签名，授权重要的交易行为，授权金额最高可达数百万美元，并有加密的审计跟踪。

以上的突破性优势并非空中楼阁，其中一些正在实际中发挥作用。例如，全球信用社行业成立了行业联盟，推出 MemberPass ™，这是世界首个全球信用社会员的数字凭证。

3. 医疗保健业

2014 年，美国最大的基于云计算的电子健康档案（EHR）供应商 Practice Fusion 提供了 EHR 应用情况的统计数据：几年前，美国有 90% 的医生手动更新病人的健康档案，并存储在彩色标记文档中。2017 年年底，美国约 90% 的医生使用电子健康档案。

遗憾的是，据《医疗保健信息技术新闻》报道，平均每家医院在其附属机构中有 16 家不同的 EHR 供应商。接下来的问题可以总结为以下内容。

事实上，不同的 EHR 平台之间要实现互操作性十分困难。美国医疗保险和医疗补助服务中心与美国国家卫生信息技术协调员办公室（负责领导公共和私营医疗机构实现互操作性的联邦机构）进行合作，重新调整了 EHR 使用激励计划，致力于实现一体化查看病人数据。

以上所有情况都基于医生、医院和医疗机构的医疗信息技术系统，没有考虑病人如何参与“一体化”查看自己的医疗数据。如果病人可以使用自己的 SSI 数字钱包进行以下操作，那么 EHR 的通用性问题会变得更简单。

（1）在就医流程结束之后，立即获得自己的 EHR（在手机上或存储在安全的私人云盘）。

（2）在确保安全性和私密性的情况下，迅速与所选的医生和护士分享自己的 EHR。

（3）直接从智能手机或其他联网设备为自己、家庭成员、被抚养人等提供安全、合法、可审计的医疗程序同意书。

（4）将终身疫苗接种、过敏、免疫力等情况记录在可验证的电子档案中，能够迅速分享给学校、雇主、医生、护士或任何需要验证的人。

同样，以上列出的情形也不仅仅停留在理论上。第一个以病人为中心交换 SSI 数字凭证的医疗保健大型网络 Lumedic Exchange 于 2020 年 11 月宣布上线，并于 2021 年在美国全国范围内部署。以上内容甚至没有提到个人 EHR 如何存在于自己设备的应用程序中，也没有提到如果能够安全且匿名地与大学和医学研究人员分享医疗数据会产生什么影响，但这些人员可以用它来改善全社会的公共健康状况。

4. 旅游业

经历过国际旅行的人都知道，当你走下飞机来到海关时（通常是一个漫长的过程）会有一种恐惧。这些问题充斥着你的头脑：“排队时间要多久？”

“如果需要几小时呢？”

“我是否

会错过转机航班？”。

全世界的政府和机场一直绞尽脑汁，试图消除国际旅行中这种特定的不便。例如，美国的全球入境计划（Global Entry）和 CLEAR 计划、加拿大的 Nexus 计划、英国的注册旅行者服务（Registered Traveller）及全球的其他项目，都是为了既可以详细检查用户的身份证件，记录其生物特征，又可实现快速通关而制定的。但是，设立这些项目需要花费数千万美元，加入这些项目需要几十或几百美元，并且每个机场需要专门的设施和人员。

如果装有 SSI 数字钱包的智能手机可以实现以下几点，那么国际旅行就会变得更简单。

（1）生成一个手机二维码的即时证明，上面包含你所有的数字凭证，就像一个移动登机牌。

（2）同时收到一个新的凭证，证明你通过了机场安检或海关，从而为行程建立一个私密的、可验证的审计追踪，并可以自行提交给随后的旅行检查站点。

（3）通过设计保证以上所有操作的私密性，特别是采用加密证明的方式，只向每个检查站点披露适当的信息，满足政府的规定。

（4）让包括机票预订、火车票预订、酒店预订、晚餐预订等所需的全部旅行文件自动存入数字钱包。

这听起来可能更像哈利 · 波特的魔法世界，但这种特殊的使用 SSI 的“魔法之旅”成为全世界越来越多的机场、旅游联盟和政府机构的目标。但是，在全球数字旅行凭证成为现实之前，我们仍然需要克服一些巨大的障碍。

1.7　SSI面临的主要挑战

作为本书的作者，我们认为 SSI 的范式转移已经发生了，但在这个过程中我们还将面临重大挑战。2019 年由花旗创投主办的名为“数字身份的未来”活动中，花旗创投董事兼新兴技术总监 Vinod Baya 指出，SSI 的应用主要面临以下三大挑战。

（1）建立新的 SSI 生态系统。

（2）分布式密钥管理（DKM）。

（3）离线访问。

1.7.1　建立新的SSI生态系统

SSI 的某些优势（见第 4 章）可以由单个公司或社群来实现。然而，只有当各个行业、政府和其他生态系统开始接受彼此的数字凭证时，才能体验到完整的网络效应。而这又取决于 SSI 的重要组成部分之间能否实现真正的互操作性，这些内容将在第 2 章中深入讨论。例如，不同供应商的不同数字钱包中必须都能使用数字凭证，其中一些还将加入“数字货币”（如法定货币或“加密货币”）。这些基础设施正在建设中，仍未完善。在它完全准备好大规模应用于互联网之前，我们还有许多工作要完成。

1.7.2　分布式密钥管理

正如前文所述，SSI 的核心在于公钥、私钥。SSI 持有者在自己的数字钱包中持有私钥，丢失这些私钥就等于完全丢失持有者的数字身份。密钥管理一直是密码学的应用和公钥基础设施（PKI）的薄弱环节。由于管理难度高，许多专家认为它只能由大型企业和集中式服务提供商（如银行或政府机构）进行管理。

“加密货币”的发展已经为分布式密钥管理带来一些重大突破，而 SSI 的兴起则推动了该领域更多的研究，我们认为密钥管理是 SSI 能否成功获得市场的主要障碍之一。这就是我们为什么要在第 10 章中详细介绍分布式密钥管理的核心创新。

1.7.3　离线访问

SSI 的基础是在数字网络上共享数字凭证。然而，很多情况下我们需要在没有接通互联网或数字设备的情况下证明自己的身份。例如，加拿大骑警可能要在偏僻的北部地区检查驾驶执照，那里根本没有接通互联网。因此SSI 解决方案需要能够进行离线访问，或在间歇性或不稳定的网络连接下工作。这是 SSI 架构师正在解决的一个主要工程问题。

除 SSI 的应用会面临技术挑战外，SSI 革命性的创新能力能否被接受也是一个风险。要使 SSI 发挥其作用并降低风险，早期基础设施的构建阶段对架构方式的选择至关重要。目前还缺乏更广泛的基础设施专业知识来应对像身份识别这样复杂的领域。许多推崇 SSI 的专家都有技术背景，SSI 在法律方面的优势也吸引了一些精通互联网的律师，但我们还需要来自社会各个学科和领域的人参与，如社会学家、心理学家、人类学家和经济学家等。我们希望随着时间的推移，技术界以外的参与者会越来越多。