第 2 章. 定义数字身份

家庭治疗师萨尔瓦多-米努钦宣称："人类的身份体验有两个要素：归属感和分离感"。¹这既是对数字身份的描述，也是对我们心理身份的描述。数字身份包含唯一描述个人或事物的数据，但也包含主体与其他实体关系的信息。

举个例子，您可以看一下存储在您所在州或国家的计算机中代表您的汽车的数据记录。该记录通常被称为所有权，包含唯一标识汽车的车辆识别码 (VIN)。此外，它还包含汽车的其他属性，如年份、品牌、型号和颜色。所有权还包含各种关系：最明显的是，所有权将车辆与拥有车辆的人联系在一起。²在很多地方，产权证也是一份历史文件，因为它可以识别从汽车制造开始的每一位车主，以及汽车是否曾被洪水冲走或以其他方式抢救过。

虽然哲学、商业和技术等不同领域都对身份进行了定义，但大多数都无助于构建、管理和使用数字身份系统。相反，我们需要从功能上定义身份，为我们在决策和思考数字身份问题时提供帮助。

Legendary Requirements 公司负责人 Joe Andrieu 写道："身份 是我们识别、记忆和回应特定人和事的方式。身份系统 获取、关联、应用、推理和管理主体、标识符、属性、原始数据和上下文的信息资产"。³这个定义是我最喜欢的，因为多年来的实践证明，它有助于思考棘手的身份问题。我将在全书中使用它。

汽车的身份记录包括系统识别汽车所需的属性：在本例中是汽车识别号。所有权还包括对关心（即需要回应）汽车的人和组织有用的属性，包括车主、州政府和潜在买家。政府运行着一个产权管理系统，用于创建、管理、转让和治理车辆（用 Andrieu 的说法就是记忆车辆）。该系统旨在实现其主要目标（记录有价值的财产，国家有兴趣对其征税并进行管理）和次要目标（保护潜在买家并创造一种证明所有权的方式）。

数字身份管理包括创建、管理、使用和最终销毁数字记录（如包含汽车所有权的记录）的流程。这些记录可以识别一个人、一辆车、一台电脑、一块土地或几乎任何其他东西。有时，创建这些记录只是为了清点库存，但更有趣的是，创建记录时还会考虑到其他目的：允许或拒绝进入建筑物、创建文件、转移资金等等。这些关系和与之相关的授权行动使数字身份变得有用、有价值，有时也很难管理。

数字身份的语言

数字身份世界有自己的术语。大多数术语都耳熟能详，但都有特定的使用方式。本节将介绍其中的一些术语。

主体是指个人、组织、软件程序、机器或其他记录中的事物。身份系统的主要目的之一是 验证主体的身份，并 授权访问 资源的请求。资源可以是网页、数据库中的数据，甚至是信用卡交易。要访问资源，主体必须声称拥有 身份记录。对于人来说，这通常称为 账户。在本书中，我将使用 实体一词来泛指身份记录的主体，如人、地点、事物和组织。

如果可以避免，我不喜欢在谈论人时使用主体或用户这样的词。我认为，我们在网络隐私和监控方面遇到的许多问题，在一定程度上都是技术人员在构建系统时将人非人化的结果。同样，我不喜欢人们使用 身份这个词，因为他们真正指的是账户、身份记录或标识符。问题是，身份意味着很多东西。我们在谈论身份时最好准确无误。你在亚马逊的账户并不是你的身份。你的身份比单个数据库记录，甚至是数据库记录的集合所能记录的要复杂得多，也细致得多。因此，虽然有身份系统、记录、账户等等，但实际上并没有什么是 "身份"。

在这种情况下，身份记录是一个主体的数据集合，代表属性、偏好和特征：

属性

属性 描述主体的信息，特别是获得的特征。对于一个人来说，这可能包括药物过敏、购物、银行存款、信用等级、衣服尺寸、年龄等。 ...