互联网上身份验证的复杂性与不对称性探讨

在互联网的虚拟世界中，身份验证呈现出极高的复杂度，这不仅使得原本应流畅的互动变得异常艰难，还揭示了身份识别机制的深层次问题。

身份验证的分层解析

为了深入理解当前互联网环境下个体是如何被识别的，我们构建了一个分层模型，这在某种程度上与身份验证的OSI模型相似。

初始层级：IP地址的局限性

IP地址的引入一度引发激烈讨论，许多人认为这是一个不当的决策。虽然IP地址为互联网连接奠定了基础，但其实际能提供的信息却相当有限。尽管可以对数据包进行IP地址标记并发送，但数据包的最终目的地则依赖于网络的不确定性。在某些情况下，标有原始IP地址的数据包可能会返回，但它们是否确实来自于原始发送者、是否含有有价值的信息、或途中是否遗失了数据，均无法预知。

第二层级：品牌的作用

随后，我们进入了互联网的核心层面——即品牌层。这一层级代表了那些我们熟知的域名，它们从最早的大学和军事实验室，演变至今天的互联网巨头如腾讯、百度和阿里巴巴。

从理论上讲，域名系统（DNS）能够将这些品牌名称映射到IP地址。然而，在实践中，这一映射的作用微乎其微。相反，真正发挥关键作用的是TLS证书，通过大约180个权威机构的协助，确保了数据包确实与某特定品牌相关联。

第三层级：注册人格的确认

一旦与某一品牌的通信得以确认，下一个挑战便是如何确保品牌实际上是与一个真实个体进行互动。

这个验证过程极为模糊，可能包含从简单地注册电子邮件地址和设定密码，到提交官方身份证明及自拍照，乃至通过手机验证或执行金融交易等多样化手段。核心在于满足品牌的安全需求，这通常由品牌的反欺诈团队根据软件指标来确定。

在这一过程中，实现了人与品牌之间的双向沟通。

第四层级：个体的界定

在此层级，品牌起到了定义个体身份的角色。

若Alice希望与Bob沟通，她需要通过特定品牌来实现这一过程。通常，这种沟通完全限于品牌的域内，且数据未曾离开其数据库或应用。

第五层级：品牌间的身份协议

部分品牌选择通过其他品牌进行身份验证，如“使用QQ登录”或“通过微信登录”的功能。核心协议包括OAuth2和SAML。鉴于第三层的模糊性，这常常需要将用户重定向至其他品牌的域名。

面临的挑战与问题

• 个体能与品牌交流。
• 个体通过品牌与其他个体交流。

这意味着，若Alice欲开发软件与Bob直接通信，而不依赖于大型企业，她必须首先创立一个品牌，购置域名，并获取TLS证书，然后将品牌名称告知Bob。虽然Bob可通过OAuth2验证与Alice的品牌互动，这个过程比想象中复杂。

如果Alice花费数周开发一个复杂程序，认证过程的时间可能只是项目总耗时的一小部分。但若Alice仅用半小时在Mathematica中编写了一个统计分析工具，或在PHP中开发了一个文字冒险游戏，并希望邀请Bob体验，该如何是好？这些均是有价值的创作，而创造一个易于分享的环境至关重要。Alice通过设置固定密码并发送给Bob，可以将与OAuth2斗争的时间大幅减少，但其余的设置域名和服务启动工作，可能比编程本身更耗时更复杂。

这突显了互联网身份验证体系中的根本不对称性：品牌数量有限且易于识别，而没有品牌的个体则众多且难以辨认。

此外，Bob如何得知Alice的品牌？通过短信或电邮——换言之，借助其他品牌的通讯系统。如果人们不能首先就品牌身份达成共识，那么个体间的有效识别与沟通将无从谈起。

我们完全有能力做得更好，应利用那些已建立且相对开放的大型品牌身份系统。我们应该可以编写简便快捷的程序，无论运行于个人电脑、后院的树莓派，还是云端，都能轻松地与

他人共享。