人机之战再次打响：Web 3身份管理的逻辑与实践

作者：Chloe, IOSG Associate

DID & PoP身份验证和管理

上期《人机博弈才刚刚开始》讲到了为什么 DID 和 PoP 在 Web 3.0 尤为重要。本周，我们将对 DID 和PoP的概念进行挖掘，并为大家介绍几个 PoP 验证方式 和 头部项目 。

PoP(Proof of Personhood)与DID(Decentralized Identifier)都是身份管理的概念 。提到“身份管理”，我们首先联想到的就是身份证。每个人都有一个身份证号，这串数字会伴随一个人的一生。当需要验证身份时，我们就会拿出身份证件，证件上印着我们的照片。这样人和证一对应，就能证明“我是我”了。我们的生活离不开这张小小的证件，参加高考，开微博账号，工作了之后缴社保，都需要身份证。因此，越来越多的“身份信息”会被附属到身份证号上，形成一个人在社会中的身份。

普适的身份管理逻辑

不管是现实世界的身份管理，还是Web3.0的DiD，都遵循以下这些逻辑。

• 标记个体 。首先，我们需要一个 identifier 来“标记”一个人。 这个 identifier 必须是唯一且不变的，比如身份证号。
• 验证身份 。其次，我们需要对 identifier 进行验证。通常现实世界的身份验证是通过证明所属权，比如持有身份证件，或者通过生物信息进行验证（指纹识别、面部识别等）。当一个人有了唯一“identifier”的标记，并且这种对应关系被验证为正确时。一个生物人就和一个身份等同了。
• 转移数据 。最后，人的数据就会被“转移”到这个身份上，包括社交数据、地理位置、工作单位等等一切有关信息都会被附加在身份上。这就是现实世界身份管理的大致过程。

（图片来源：IOSG Ventures）

DID的特殊之处

那么 DID 有什么特殊之处呢？首先是DID 在“decentralized”方面。与传统的由中心化权威机构控制的 identifier 不同，DID 的 identifier 应该是自有的，独立的，依存于P2P去中心化网络的 。其次，DID的验证手段也有所不同，并不是通过持有某种证件证明的，而是 通过加密的公钥-私钥对签名进行验证的 。最后，个人信息的侧重点也有所不同。 这里的信息主要是链上活动 ，如购买了哪些NFT，有多少转账记录，玩了什么链游等等，这些链上数据会被附属到 identifier 上。

这个过程看起来和中心化的身份管理没有本质区别。然而，DID并不需要本人去某个机构办理，而是在线上进行的。这就产生了很多现实世界身份系统从未遇到过的问题，即在所有的身份管理程序启动之前， 如何验证屏幕前面是AI还是生物人？

（图片来源：IOSG Ventures）

PoP的各种实践

Proof of Personhood，顾名思义，是基于生物人的身份验证，如何有效区分生物人和AI呢。如今，人工智能的发展已经到了可以在很多领域打败人类的程度，例如AlphaGo击败世界围棋冠军等。因此，要像成功识别出AI和生物人，还需要从AI的弱点入手。

首先，最简单直接的逻辑就是人和AI长得不一样。AI可以模仿人的思维，却很难模仿人的外表，比如瞳孔、皮肤质感等等生物特征。因此，最直接方式就是通过展示生物特征让人进行分别，这种方式被称为 匿名聚会（Pseudonym Parties） 。就像参加面试一样，用户需要通过参加线上或者线下的聚会来展示自己的面容、声音等等生物特征，以证明自己是生物人。

其次，人类区别于AI的另一大特点为社交属性。人类是社会动物，必定会与周围的人产生社交联系，这是机器人并不具备的。因此， 信任网络（Web of Trust） 就利用了这一特点，通过人的社交属性进行验证。如果一个用户长时间使用多个社交平台，并与他人产生越多交互，那么这个人是 bot 的概率就会越低。

此外，区别于AI，人类十分擅长逻辑思考和图形识别，这恰恰是机器学习很难攻克的一点。 逆图灵测试（Reverse Turing Tests） 正是利用了这一特性。逆图灵测试已有多年历史并且应用十分广泛。大家在上网时一定都遇到过一个包含的九个图块的弹出窗口，让用户选出包含红绿灯/机车/斑马线的图块完成识别，这便是逆图灵测试的应用。

目前PoP赛道的头部项目大多采用了以上一种或者多种混合的验证方式。例如 Proof of Humanity 和 BrightID 通过匿名聚会和社交关系进行验证。这两个项目的逻辑相似，都是通过小圈子的视频共识来进行验证。BrightID还在此基础之上进行了创新，推出了基于在社交网络图上的所处位置的新验证方式——Bitu验证。 Bitu验证的方式是，评估用户每个社交关系靠近网络中心的程度。如果用户和毫无交集的陌生账户进行关联，则会收到扣分惩罚，增加了“作恶”的成本 。然而，Proof of Humanity和BrightID依然存在一些问题。首先是要求用户“露脸”并公布一些个人数据，一定程度上牺牲了用户的隐私。另一个缺陷是组织会议、人工验证和维护 PoP 网络的成本太高，降低了可扩展性。

提到可扩展性高的验证方式，那就不得不提到另外一个领跑者——Idena Network。想要从Idena Network获得验证，用户需要获得参加测试的资格，即从已通过验证的用户那里获得邀请码。这便是Idena为用户设置的第一道“关卡”，需要一些实际的人际关系才能获得验证码。获得验证码后，用户必须在全球同步的指定时间参与线上逆图灵测试。并且在参加完测试之后，还需要用户参与设计新的测试。通过这重重关卡才能获得“Human”认证。 该协议理论上在当前拥有 PoP 业界最高的扩展性和效率，但实质上图片题目均由用户上传，相当繁琐且耗费用户时间，并且题目质量较低。 长期来看题目被 AI 破解也只是时间的问题。项目机制设计还要求用户每隔一段时间必须重新通过验证，费时费力。综合看来此方案也并不比社交验证更有优势。

Idena用户验证级别和数量

对于DID和PoP的探索，还任重道远。目前，大多数 DID 解决方案都致力于为用户积累链上/链下数据，比如最近火热的 SocialFi 项目，CyberConnect、Galaxy 等等，它们为用户建立社交图谱和用户画像。然而， 对于“identifier”的讨论和探索还相对滞后，人们普遍将 Web 3.0 的 identifier 与钱包地址等同起来。一个人只能有唯一的身份，却可以申请无数个钱包地址。 幸运的是，Sismo 在这个方向上迈出了第一步，Sismo 是一个利用 zk 技术并且基于链上活动向用户颁发徽章的 DID 解决方案。用户可以指定其他钱包地址，并且将其他钱包地址的活动徽章都汇集在 同一ENS域名下。这样即解决了用户多个钱包和唯一身份的冲突，又保护了用户隐私。然而，用户依然可以申领多个ENS域名。 目前业界对 identifier 的探索各出奇招，然而这些应用的广泛推广还任重道远。 作为Web3.0基础的DID，未来定会有更多创新的项目对其进行探索。持续关注 IOSG，我们会带来更多有关 Web 3.0 的文章。