互聯網沒有建立標準化的、明確的身份識別方式或組織。網站只提供本地帳戶的用戶名和密碼，這是一直以來的主要解決方案。

隨著互聯網的擴展，人們每天使用越來越多的服務。這種基于垂直庫的方法，用戶必須為每個與之交互的站點維護身份，這種方式已經不能維持下去。這不僅僅是個人可用性的災難，還為黑客創建了大量的數據蜜罐 – 違反這些會影響所有互聯網服務的信任。

為了解決這個問題，我們試圖在不同的聯合模型中連接不同的身份庫。但產生了無意的副作用，例如集中控制少數供應商，通過無意的共享增加數據泄露以及引發隱私問題，但實際上并未給予個人真正的控制權。

與此同時，世界各地的組織不得不收集、存儲和保護各自獨立的個人數據，經濟效率低下至臨界點。

互聯網的下一步發展將是建立一個共同的身份層，允許人們、組織和事物擁有他們自己的主權身份 —一個他們擁有和控制、不能剝奪的數字身份。自主權身份是生態系統的自然演變，其運行速度超過其支持能力。

本文著眼于這一演變過程，以及自主權身份如何能不僅引發新一輪創新浪潮，而且為全世界每個人提供建立便攜、安全和可控身份的方法，這種身份本質上是他們自己的。

網絡缺失的身份層

微軟公司身份首席架構師金卡梅隆表示：“互聯網是在沒有身份層的情況下創建的。”他的意思是互聯網的尋址系統基于識別網絡上的物理端點（機器）。 人們不是網絡上的端點。因此，互聯網無法唯一地識別人。

由于互聯網無法識別人，因此網站和應用程序必須完成這項工作。不幸的是，大多數應用程序開發人員只關心自己的需求，這就是為什么用戶名和密碼如此深深地嵌入網絡結構中的原因。 然而，人們普遍承認，除了糟糕的用戶體驗之外，人們不能也不會使用用戶名和密碼來保證他們的安全。

缺乏安全、便攜、用戶可控的身份會帶來可怕的后果。這意味著一個人的身份和個人數據只存在于他或她使用的每個特定網站或應用程序的背景中。停止使用網站或應用程序，這個人的數字化存在就沒有意義了。用戶對其身份和數據的控制必須在逐個應用程序的基礎上進行。

超越網站來看，數百萬組織獲取、存儲、管理和保護大量用戶數據的全球成本與持有此類數據相關的責任一起增加。 全球數據重復的嚴重導致的低效率是驚人的。估計僅英國身份保證流程的成本每年超過33億英鎊。如果按人口數量推算，這相當于美國220億美元。這僅僅是為了初步證明 – 存儲、保護，違規和監管的成本更大。

隨著用戶信任度下降，監管負擔也在增加。滲透和破壞的風險每天都在增加，扼殺創新。但迄今為止，還沒有可信的替代方案。

缺失身份層帶來的影響

隨著越來越多的日常生活依賴于數字服務，這種缺失身份層的影響變得越來越嚴重。

· 企業必須為其部署的每個平臺（實體店，網頁，移動應用）開發和管理不同的安全體系結構。

· CTRL-Shift估計英國身份保證流程的總成本超過33億英鎊。 他們估計，如果人們能夠控制自己的身份數據，這可能會降至5億英鎊。

· 包含敏感和機密信息的每個被盜記錄的平均零售成本為165美元。

· 客服中心通話量的30-40％與密碼和賬戶恢復有關。

· 美國每分鐘有25人成為身份盜竊的受害者，導致2015年1310萬消費者損失150億美元。

· 由于用戶名和密碼問題，18％的顧客放棄購物車。

· 82％的企業與假冒用戶斗爭，平均有10％的面向網絡的組織用戶群將是假冒的。

沒有身份層，答案是建立一個內部數據庫。一個關于客戶數據庫，無論他們喜歡與否，以及數據是否有相關性。

有些組織比其他組織有更好的數據庫，所以復雜的、昂貴的機制已經發展到將數據從一個庫傳遞到另一個庫，無論是否經用戶同意，并且通常伴隨著無意或不需要的數據泄漏。

用戶是這種數據庫的受害者。由于每個組織花費稀缺資源嘗試創建完美的用戶注冊過程，所有用戶都看到的是另一個網站或應用程序它們需要與他們希望使用的最后50個服務中輸入的細節相同的細節。 而他們還記得另一個用戶名和密碼。

用戶沒有自己的合并數字身份，他們只有幾十或幾百個分散在不同組織中的碎片，無法有效控制，更新或保護它們。

從用戶的角度來看，這種情況已經達到了不可持續的荒謬程度。用戶名和密碼的不斷挑戰已成為雞尾酒會的對話主題。從欺詐者的角度看，這種情況已經達到了不可阻擋的機會水平。

低效率讓監管機構站了出來。為了應對將數據從一個庫轉移到另一個庫的趨勢，對用戶的最大利益使用粘附合同以及經常缺乏明確的知情同意，更嚴格的監管正在實施。 “歐盟通用數據保護條例”261頁是最新的監管條例。其目的在于控制一個行業的過度行為，這個行業被更多數據的承諾所陶醉。直接后果將是為了維持數據控制器和數據處理器的較高成本，增加了身份生態系統中已經很大的成本和效率低。

用戶也將首當其沖，因為注冊過程在合規性競賽中進行了修補，出現了尷尬的用戶體驗。與即將到來的內容相比，極其惱人的歐盟cookie接受法規與此無法相比。

有些事情必須改變。

互聯網身份的演進

互聯網身份的演變是試圖滿足三個基本要求的結果：

1.安全 — 必須防止身份信息被無意泄漏；

2.控制 — 身份所有者必須控制誰可以查看、訪問他們的數據以及用于什么目的；

3.可移植性 — 用戶必須能夠在任何他們想要的地方使用他們的身份數據，而不是綁定到單一提供商。

Christopher Allen在文章“自主權認同之路”中對在線身份進行了清晰的剖析，并對其進化路徑進行了規劃。他的分析描述了4個發展階段。

集中

絕大多數互聯網身份都是集中的。這意味著它們由單獨的實體擁有和控制，例如電子商務網站或社交網絡。在其領域內，集中身份識別能夠正常工作，但它一直在掙扎著跟上當今用戶與之互動的快速增長和各種在線網站和服務的步伐。

最嚴重的是，因為用戶不擁有他們的身份記錄，可以在任何時候被剝奪。 以下是主要網站條款和條件：

雅虎可能會在沒有通知您的情況下立即取消或限制您訪問您的雅虎帳戶，以及某些雅虎服務和任何關聯的電子郵件地址。

如果您違反本聲明的文字或精神，或為我們制造風險或可能的法律風險，我們可以停止向您提供全部或部分Facebook服務。

我們保留在任何時候以任何理由修改或終止本服務或您訪問本服務的權利，恕不另行通知，且不對您承擔任何責任。［Instagram］

我們有權隨時（但無義務）刪除或拒絕分發服務中的任何內容，暫停或終止用戶，并收回用戶名，而不對您承擔任何責任。［Twitter］

由于大多數人在網上的唯一身份是集中的，因此刪除一個帳戶可以有效地清除一個人的在線身份，這些身份可能是花費數年的時間培養并對他們有重大價值，并且無法替代的。

聯合

聯盟是解決集權問題的一個答案。最簡單的情況是，聯盟為中央身份提供一定程度的可移植性，例如，用戶能夠使用某個服務的憑證登錄到另一個服務。 在更復雜的層面上，可以允許不同的服務共享有關用戶的詳細信息。

聯盟在大型企業中很常見，單點登錄機制允許用戶使用一個用戶名和密碼訪問多個獨立的內部服務，例如人力資源、工資單等。在消費者互聯網中，聯盟可以在諸如Facebook登錄等服務中看到，其中網站使用戶能夠使用他們的Facebook憑證創建賬戶并登錄。

高可信度的聯盟正在成為一個新的市場。英國政府已將數字身份證明工作外包給了一些身份提供商，他們檢查用戶的詳細信息，如果通過相關測試，則為他們創建一個賬戶。然后用戶可以使用該帳戶登錄到支持該計劃的多個政府服務，稱為“GOV.UK驗證”。

盡管聯盟看似可移植，但仍然存在聯合網絡中心的身份提供者的權力。事實上，如果該帳戶是許多其他第三方服務的關鍵，那么對將中心化聯合帳戶刪除或受到損害的用戶所產生的影響要深遠得多。

以用戶為中心

Kim Cameron，Reinhard Posch和Kai Rannenberg在2008年的一篇論文中描述了“以用戶為中心的身份元系統”。它詳細介紹了系統的框架設計，該設計用戶控制自己的數據，將數據積累起來，并將其發布給第三方。

在文中作者指出：“用戶控制的核心要求是，從聲明提供者到依賴方的信息流只在用戶請求時發生。” 個人在他們自己的數據存儲中填充了他們可以允許其提供給其他組織的信息，并在這樣做時保留記錄。

以用戶為中心的身份最常表現以另一端獨立個人數據存儲以及另一端的大型社交網絡的形式。然而，整個范圍仍然依賴用戶選擇個人身份提供者并同意他們經常單方面的附加合同。

一些現有的以用戶為中心的實施方案在將數據從一個庫移動到另一個庫時也容易受到意外數據泄露的指控，交易用戶將其個人數據交換給第三方以提高便利性的意愿。 因為是利潤驅動的業務，用戶成為買賣產品，損害獨立性并限制真正的便攜性。

獨立的個人數據存儲也存在，它們更接近Cameron等人在其2008年論文中闡述的愿景。他們正確地宣傳個人控制、許可和同意的價值觀，并提供非常有效的用戶界面。但問題依然存在，在成熟的個人數據存儲生態系統中，依賴方需要連接許多此類提供商才能覆蓋廣泛的客戶群，從而導致復雜耗時的集成，沒有規模效應。

自主權

自主權身份是這一演變的最后階段。它提供了三個必需元素：個人控制、安全性和完整的可移植性。它從上述三個階段中去除了集中的外部控制。身份所屬的個人（或組織）完全擁有、控制和管理他們的身份。從這個意義上來說，個人是他們自己的身份提供者—沒有外部方可以聲稱為他們“提供”身份，因為它本身就是他們的身份。個人的數字化存在與任何單一組織無關。沒有人可以剝奪你的自主權身份。

可以把自主權身份當成自身控制的身份交易的數字記錄或容器。您可以自己添加更多數據，或請其他人這樣做。

您可以在部分或全部時間顯示部分或全部內容。您可以記錄與他人共享數據的許可，并輕松促進共享。它持續存在并不依賴于任何第三方。在身份交易中對您提出的聲明可以自我主張，或由第三方主張，其真實性可以由依賴方獨立驗證。

在2016年的一篇文章中，Phil Windley將自主權身份描述為“身份認證互聯網”，與互聯網本身一樣，它具有三個優點：沒有人擁有它、每個人都可以使用它、任何人都可以改進它。與互聯網一樣，向自主權身份的轉變也是從孤島思路轉向層級思路（圖3）。正是因為數據被封閉在孤島中，傳統的身份識別方法一直都與可移植性有關。已經出現了將數據從一個庫轉移到另一個庫的復雜機制和相互競爭的標準，但沒有一個獲得重大的牽引力。當庫持續存在時，個人仍將依賴于擁有和管理其數據的組織。

蓬勃發展的自主權身份的使用引發了后silo世界。每個組織都可以有單一連接到互聯網的身份層，并立即從已經存在的所有組織中受益，而不是維護自己獨立的用戶數據存儲，用一套API連接到其他此類孤島。如果成千上萬的新組織加入該網絡，則不需要額外的工作就可以從中受益。

自主權身份的崛起

為了創建互聯網長期缺失的身份層，需要新的、值得信賴的基礎架構，使得身份所有者不僅能夠共享身份，而且能夠在完全許可情況下共享關于人、組織和事物的屬性。

為了使身份真正具有自主權，這種基礎設施需置于分散信任的環境中，而不屬于任何單一組織甚至小型組織控制的環境。分布式賬本技術（DLT）使這成為可能的突破。

它使多個機構、組織和政府能夠首次通過形成一個非常像互聯網本身的分散式網絡一起工作，數據在多個位置復制，以抵御故障和篡改。分布式賬本技術已經存在了一段時間，像比特幣和以太坊這樣的新型DLT已經使其潛力得到了更大的發揮，特別是在分散化和安全性方面。

當與分布式密鑰管理和點對點共享加密聲明相結合時，DLT最終使自主權身份成為可能。在這個身份層中，發現機制、請求路由、數據交換和記錄事件的機制普遍存在，沒有單個實體被控制。

為了定義“自主權身份”，Christopher Allen的自主權身份的十大原則可以歸納為三個部分：

2016年Caribou Digital / Omidyar關于私營部門數字身份的論文中闡述了分散平臺的力量，作者描述了以下內容：

“開放，分散的系統使個人能夠完全擁有和管理自己的身份，導致”自主權“身份系統的概念。這些系統使用分布式賬本和加密技術的組合來創建不可變的身份記錄。個人創建一個身份“容器”，允許他們接受任何組織（包括州）在任何組織都可以參與（例如頒發憑證）的網絡化生態系統中的屬性或憑證。

每個組織都可以根據經過驗證或認證的組織來決定是否信任容器中的憑證; 換句話說，抵押公司可以接受由全球領先的銀行發行的證書，但不能接受當地銀行發行的證書。重要的是，這種模式不需要啟動基于狀態的憑證（國家憑證可以在以后添加，也可以根本不添加），這消除了應用障礙。”

Consult Hyperion在其2016年關于數字身份市場狀態的文章中提到了他們稱為“沒有IDP”的模型，該模型沒有集中式身份提供者（“IDP”）。取而代之的是“由個人控制的公民數字身份”。 承認“技術承諾高度隱私但未經證實”的主要風險，他們繼續說：

區塊鏈提升了隱私增強的標準。具體而言，數字身份在區塊鏈中的起點是一個不可關聯的安全身份（公私鑰對），它只與具有明確用戶行為的交易、數字資產或其他數據相關聯。對個人可以選擇創建的身份數量也沒有限制，可能允許用戶防止不必要的交易鏈接。“

在該模型中，擔任“身份提供者”的組織仍然扮演著角色 —只是演變為“身份證明者”的角色。換句話說，仍然需要有人進行檢查，確定一個人是誰，他們說他們是誰，擔任現實世界和數字世界的橋梁。保證標準仍然需要得到滿足，依賴方仍需要能夠信任這種保證。這種檢查的簡單性將會改變，大多數人可以簡單地授予訪問驗證數據以滿足任何給定標準的權限，以及個人為了擁有數字身份不受任何信任壁壘的影響。

總而言之，如果自主權身份是互聯網身份演變的自然結果，那么發布它需要分散信任、可移植性、安全性以及沒有單點故障或控制。密碼安全的分布式賬本技術提供了實現這一目標的機制，為未來的互聯網提供身份層。