??安全盟大所有1文不得轉(zhuǎn)發(fā);(d)該商標(biāo)、版權(quán)或其他聲明不得刪除。在遵關(guān)條款情況下合理使用本文內(nèi)容，使用時(shí)請(qǐng)注明引用?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有2?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有3DNA、慢霧科技、安比實(shí)驗(yàn)室、啟明星辰、天融信、聯(lián)想、OPPO、零時(shí)科技、?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有4?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有5 3 4 7 7 9第二章：用戶自治的數(shù)字身份（SSI）和去中心化數(shù)字身份（DID） 21 27 31 42 ?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有6 45 49 49 52 54 56 58 ?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有7第一章：為什么需要用戶自治的數(shù)字身1.1傳統(tǒng)的中心化數(shù)字身份傳統(tǒng)的數(shù)字身份是中心化的，主要可以按照下面的通常企業(yè)內(nèi)用戶身份主要是用于認(rèn)證及授權(quán)。用戶對(duì)于企業(yè)信息系統(tǒng)的訪為了增強(qiáng)安全性，很多企業(yè)引入了多因子認(rèn)證機(jī)制（MFA:Multi-Factor戶僅需要單點(diǎn)登陸服務(wù)器的一次身份認(rèn)證，就可以1.職責(zé)分開（SeparationofDuty:SOD）：為不同職責(zé)的用戶分配不同的權(quán)限，避免單個(gè)職員有過(guò)多的、職責(zé)沖突的系統(tǒng)操作權(quán)限，從而在系統(tǒng)中2.最小權(quán)限（LeastPrivilege）：授權(quán)采用按需最小的原則，僅授予職員工?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有8次性配置，然后將角色權(quán)限授予相關(guān)的用戶。當(dāng)用戶的工作內(nèi)容發(fā)生變更時(shí)，只需要調(diào)整相關(guān)的角色分配即可以完4.基于屬性的訪問(wèn)控制（AttributeBasedAccessControl:ABCA，不同于基驗(yàn)證用戶的身份后，基于一些特性（比如訪問(wèn)者職位、部門、登陸地點(diǎn)等）進(jìn)行計(jì)算，根據(jù)計(jì)算結(jié)果，采用預(yù)定的訪問(wèn)策略給予授權(quán)。ABAC通常個(gè)人/消費(fèi)者用戶要求更方便的認(rèn)證及授權(quán)體驗(yàn)，訪問(wèn)負(fù)載通常變化也過(guò)局域網(wǎng)LAN，虛擬私有網(wǎng)絡(luò)VPN加密通道等方式訪問(wèn)），消費(fèi)者訪問(wèn)一般都碼是否正確。如果錯(cuò)誤則返回錯(cuò)誤信息。如果App后臺(tái)驗(yàn)證正確，生成一個(gè)隨為了減少token被盜產(chǎn)生的安全風(fēng)險(xiǎn)，用戶每隔一?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有91.2傳統(tǒng)的數(shù)字身份系統(tǒng)的痛點(diǎn)2.中心化數(shù)據(jù)可能被平臺(tái)或者第三方不合理使用。例子包括劍橋分析(CambridgeAnalytics)師公司對(duì)于美國(guó)和英國(guó)民意的控制，也包括國(guó)內(nèi)在2019年），數(shù)據(jù)與工業(yè)時(shí)代的汽油一樣重要。但是，目前平交易沒有好的解決方案。數(shù)據(jù)時(shí)代，數(shù)據(jù)私有化是數(shù)據(jù)是否能夠被合理，有?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有10的前提下，可以疊加用戶的信譽(yù)分?jǐn)?shù)，在保護(hù)隱私的條件下有償?shù)卮鎯?chǔ)和分享信譽(yù)分?jǐn)?shù)，并需要滿足各國(guó)的隱私法律和監(jiān)管條例（如歐盟GDPR，美國(guó)加州第二章：用戶自治的數(shù)字身份（SSI）和去中心化數(shù)字身份（DID）個(gè)層面。從字面意義的角度,DID更加強(qiáng)調(diào)去中心化特性，更加強(qiáng)調(diào)身份系統(tǒng)中有許可權(quán)的訴求。比較SSI，DID在國(guó)際是更加通用，因此在這篇白皮書，我們上查找必要的公鑰進(jìn)行驗(yàn)證，而不管他們是否屬于同一身份證書頒發(fā)機(jī)構(gòu)?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有11份網(wǎng)絡(luò)。這樣的數(shù)字身份系統(tǒng)從對(duì)于中心化的身份證書頒發(fā)機(jī)構(gòu)（CA）的依賴（/TR/did-core/）。有“公共”DID和“私有”或“對(duì)等”（Pairwise）DID。公用DID可用作“跳出”點(diǎn)，以觸發(fā)私有DID的交換。私有用戶可以為每個(gè)數(shù)字關(guān)系使用不同的DID來(lái)保護(hù)隱私。任何人都可以隨時(shí)創(chuàng)建發(fā)行了一種標(biāo)準(zhǔn)的開放式“可驗(yàn)證證書（VC-Ve線數(shù)據(jù)被關(guān)聯(lián)的可能性。類似于使電子郵件使用SMTP和Internet使用TCP/IP（/TR/vc-data-model/）。任何人都可以出于任何目的將任何?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有122.1DID標(biāo)準(zhǔn)介紹有關(guān)單位·參考資料·/presentations/european-self-sovereign-3：基于IP的信任網(wǎng)路（Trust?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有132.用戶對(duì)于數(shù)字身份的可控制性。3.身份沒有中心化發(fā)行或者認(rèn)證機(jī)構(gòu)。），基本都假定底層的技術(shù)是基于區(qū)塊鏈。具體區(qū)塊鏈技術(shù)可以用協(xié)議的方下面我們主要對(duì)于其中3種標(biāo)準(zhǔn)進(jìn)行介紹因?yàn)樗麄円粋€(gè)代表北美的標(biāo)準(zhǔn)（DID）也有國(guó)內(nèi)和歐洲的有關(guān)機(jī)構(gòu)支持，另外一個(gè)主要是歐洲的標(biāo)準(zhǔn)，最后一基于區(qū)塊鏈建立符合W3C標(biāo)準(zhǔn)的數(shù)字身份系統(tǒng)，為企業(yè)、用戶提供去中心化的數(shù)字身份，保證數(shù)字身份的絕對(duì)可控和絕對(duì)擁有，解決企業(yè)和用戶隱私泄識(shí)之間的安全通訊，為可驗(yàn)證聲明（一種數(shù)字?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有14DID是一個(gè)協(xié)議標(biāo)準(zhǔn)，主要定義了實(shí)現(xiàn)的格式與驗(yàn)證方法。下面為一個(gè)基{"@context":"https://www."type":"Ed25519Ver"controller":"did:example:"publicKeyBase58":"H3C2AVvLMv6gmMNam3uVAjZpfkc""type":"Ed25519Ver"controller":"did:example:"publicKeyBase58":"H3C2AVvLMv6gmMNam3uVAjZpfkcJ"did:example:123456789a{"type":"Ed25519Ver?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有15"controller":"did:example:"publicKeyBase58":"H3C2AVvLMv6gmMNam3uVAjZpfkc"}"did:example:12D3KooWMHdrzcwpjb********cgqX3example:key=id=bafyreicubtx5w*******zrkctfhwd6rewezgpwoe4swir"o9r6LxgoGN8FoaeeUA6EdDcv12GvDzFEmCgjWzvpur2YSQy"id":"did:example:123456"type":"Verifiable"serviceEndpoint":"https:}Document>)))；pubickey,DID文檔可以表達(dá)加密密鑰和其他?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有16），DID主體。身份驗(yàn)證嘗試的驗(yàn)證者可以檢查身份驗(yàn)證方是否正在提供有效的身份驗(yàn)證證明，即他們是他們所說(shuō)的身份。authentication屬性是DID主題和一組驗(yàn)證方法（例如但不限于公鑰）之間的關(guān)系。這意味屬性的值應(yīng)該是一組驗(yàn)證方法。由DID文他如capabilityInvocation,c3、assertionMethod屬性也用于表示驗(yàn)證關(guān)系，該關(guān)系指示驗(yàn)證方法可以用如鏈接數(shù)據(jù)證明所定義，通過(guò)使用鏈接數(shù)據(jù)證明[LD-PROOFS]，鏈接數(shù)據(jù)簽名?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有17的消息傳遞服務(wù)關(guān)聯(lián)的元數(shù)據(jù)可以表示在消息傳遞開始之前如何啟動(dòng)加密的鏈?zhǔn)褂胹ervice屬性表示服務(wù)的指針。每個(gè)服務(wù)都有自己的id和typ是挑戰(zhàn)-響應(yīng)機(jī)制：App首先根據(jù)用戶提供的DID用從DIDResolver查到對(duì)應(yīng)歐洲經(jīng)濟(jì)和社會(huì)委員會(huì)于2019年組織發(fā)表了ESSIF-EuropeanSelfSovereignidentityframework（簡(jiǎn)稱SID）的標(biāo)準(zhǔn)。SID表明于對(duì)于數(shù)字身份在數(shù)字化生活l驗(yàn)證的結(jié)果不能進(jìn)行有效共享，機(jī)構(gòu)需要對(duì)紙質(zhì)文件的真實(shí)性需要進(jìn)行?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有18l相同的信息需要向多個(gè)不同的機(jī)構(gòu)進(jìn)行提交，不同的機(jī)構(gòu)也要進(jìn)行相同因此，EESC提出了一個(gè)一次性認(rèn)證的SID關(guān)系架構(gòu)圖，如下：?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有19公安部第三研究所于十二五期間承擔(dān)了國(guó)家863計(jì)劃“網(wǎng)域空間身份管理”等信息安全重大專項(xiàng)，研發(fā)了“網(wǎng)絡(luò)電子身份標(biāo)識(shí)（e標(biāo)準(zhǔn)體系。并于2018年，從我國(guó)數(shù)字身份發(fā)展的突索引的基礎(chǔ)鏈，在此基礎(chǔ)之上自下而上形成eID數(shù)字身份網(wǎng)絡(luò)、數(shù)據(jù)網(wǎng)絡(luò)、服務(wù)網(wǎng)絡(luò)、應(yīng)用網(wǎng)絡(luò)，面向政務(wù)、企業(yè)、社會(huì)、行業(yè)等提供身份證明、聲譽(yù)證明、資產(chǎn)保管、支付記賬、數(shù)據(jù)存證、數(shù)據(jù)管理?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有20在技術(shù)分層架構(gòu)上，依賴eID數(shù)字身份鏈，在四個(gè)層次上構(gòu)建了相互關(guān)聯(lián)的網(wǎng)絡(luò)，分別為:eID數(shù)字身份網(wǎng)絡(luò)、數(shù)據(jù)網(wǎng)絡(luò)、服務(wù)網(wǎng)絡(luò)、應(yīng)用網(wǎng)絡(luò)。?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有21中國(guó)公安部的EID1：數(shù)字身份的全是是是2：用戶對(duì)于數(shù)字是是是3：身份沒有中心化發(fā)行或者認(rèn)證5：基于非對(duì)稱加是是是6：底層區(qū)塊鏈技是是是2.2DID代表性項(xiàng)目介紹于以太坊的數(shù)字身份項(xiàng)目。微軟代表著大公司對(duì)元界DNA的DID數(shù)字身份又稱呼為“Avatar”,是元界DNA認(rèn)為數(shù)字身份是虛擬世界不可分割的一部分。就其本身而言，數(shù)字身?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有22的現(xiàn)實(shí)身份為基礎(chǔ)。用戶可以通過(guò)數(shù)字身份在元界DNA生態(tài)系統(tǒng)中建立自己的們多年樹立的身份和聲譽(yù)將永遠(yuǎn)消失。元界DNA則不同，用戶的數(shù)字身份及其數(shù)字身份作為用戶擁有的主私鑰所對(duì)應(yīng)賬戶的Profile信息的統(tǒng)稱，主要包括了Oracle角色以及普通用戶角色，任何數(shù)字身份都可以作為Oracle和普通用戶參與到數(shù)據(jù)身份的應(yīng)用中。Profile擁有一個(gè)全網(wǎng)唯一標(biāo)識(shí)（DID），其主要包1.創(chuàng)建：任何用戶都可以創(chuàng)建數(shù)字身份，并與自己的主私鑰綁定。如果創(chuàng)3.授權(quán)：通過(guò)觸發(fā)腳本去驗(yàn)證目標(biāo)賬戶數(shù)字身份信息中的資產(chǎn)信息后方提4.查詢：使用DID標(biāo)識(shí)作為在場(chǎng)外交易的?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有232.具備鑒定數(shù)據(jù)資格的Oracle（數(shù)字身份的一種）鑒定該數(shù)字身份所提交3.經(jīng)數(shù)據(jù)所有者和Oracle簽名后的資產(chǎn)將通過(guò)主私鑰與數(shù)字身份綁定；4.其他用戶可以在數(shù)據(jù)所有者的授權(quán)下，查看該數(shù)據(jù)資產(chǎn)所代表的詳細(xì)信?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有24的信息，平臺(tái)則無(wú)法讀取。下面的圖介紹Oracle角元界支持基于公鏈的BaaS概念，即企業(yè)或個(gè)人可以根據(jù)自概念.?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有25Civic是一個(gè)全新的基于區(qū)塊鏈技術(shù)的身份驗(yàn)證平臺(tái)，它為用戶提供了按需定義、安全和低成本的數(shù)字身份隱私服務(wù)。Civic允許人們控制其身份信息的使Civic使用區(qū)塊鏈和生物識(shí)別技術(shù)的分散式架構(gòu)（區(qū)塊鏈&生物識(shí)別&數(shù)），），l在用戶設(shè)備上的應(yīng)用程序中的身份數(shù)據(jù)完全加密，只能使用生物識(shí)l驗(yàn)證授權(quán)機(jī)構(gòu)的公共標(biāo)識(shí)符，散列標(biāo)識(shí)數(shù)據(jù)和指示數(shù)據(jù)的標(biāo)志仍然身份數(shù)據(jù)的真正所有者可以使用SPS（安全私人注冊(cè)）創(chuàng)建新帳戶。同時(shí)，?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有262.數(shù)據(jù)可撤銷：身份數(shù)據(jù)可由身份驗(yàn)證機(jī)構(gòu)撤銷。3.Civic不存儲(chǔ)用戶數(shù)據(jù)：身份數(shù)據(jù)被加密并存儲(chǔ)在用戶移4.全球保護(hù)：使用第三方認(rèn)證的身份數(shù)據(jù)，Civic不能被外國(guó)政府或犯罪組5.全球兼容：用戶可以在世界任何地方存儲(chǔ)和分享自己的身份，他們的數(shù)6.安全：Civic利用區(qū)塊鏈的強(qiáng)大功能確保為企業(yè)提供最高質(zhì)量份盜竊保險(xiǎn)等措施提供事件之前、期間和之?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有27或組織100%擁有和控制的身份。未經(jīng)主人明確同意，任何人不得閱讀、使用、1.Sovrin分類賬本是一個(gè)基礎(chǔ)的組成部分，是一個(gè)全球分布的根身份記錄2.Sovrin代理是一種新型的網(wǎng)絡(luò)服務(wù)，它為Sovrin身份所有者（個(gè)人和組3.Sovrin客戶端是Sovrin身份所有者（通常在本地設(shè)備上如智能手機(jī)、筆記本電腦等）使用的應(yīng)用程序，用戶可以使用該客戶端與Sovrin代理商?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有28不考慮系統(tǒng)以前或?qū)?lái)的性能/條件的情況下，并行執(zhí)行多個(gè)具有不同主驗(yàn)證節(jié)1.用于節(jié)點(diǎn)間通信的數(shù)字簽名（RBFT使用MAC認(rèn)證器，其速度更快，但）；2.只向f+1節(jié)點(diǎn)分發(fā)請(qǐng)求（f是故障節(jié)點(diǎn)的數(shù)目）；4.gossipprotocol（允許集體共識(shí)在部分分區(qū)的網(wǎng)絡(luò)中）；5.多個(gè)明確的黑名單策略（Plenum考慮故障的嚴(yán)重性并應(yīng)用適當(dāng)?shù)暮诿麊危?.catch-upmechanism（用于新的或崩潰/恢復(fù)的節(jié)點(diǎn)有效而安全地重新獲?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有29寫請(qǐng)求多出一個(gè)數(shù)量級(jí)。Sovrin觀察節(jié)點(diǎn)使Sovrin身份記錄的需求能夠2.熱備份：由于觀察節(jié)點(diǎn)也由Sovrinstewards操作，因此如果另一個(gè)驗(yàn)證程序節(jié)點(diǎn)出現(xiàn)故障或受損，它們可以作為活動(dòng)驗(yàn)節(jié)點(diǎn)提供了一種將事件通知推送到?jīng)]有增加驗(yàn)證器節(jié)點(diǎn)負(fù)載的訂閱服務(wù)Sovrin代理是Sovrin網(wǎng)絡(luò)的P2P端點(diǎn)。Sovrin代理和Sovrin客戶端都充當(dāng)Sovrin分類賬的客戶端，其主要的區(qū)別在于，Sovrin代理不僅僅?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有30需要注意的是Sovrin體系結(jié)構(gòu)并不嚴(yán)格要求具有Sovrin代理，任何Sovrin1.Keychains：Sovrin身份所有者的私鑰作為最重要的單一數(shù)據(jù)資產(chǎn)，需要Sovrin客戶端進(jìn)行管理和保護(hù)。為了維護(hù)身份所有者Sovrin交易的安全2.本地容器：Sovrin客戶端維護(hù)著身份所有者Sovrin數(shù)據(jù)容器的全部或部分本地副本，故需要其管理特定操作系統(tǒng)來(lái)講這些數(shù)據(jù)安全地在物理存3.首次配置：Sovrin客戶端必須連接到網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證之后方可使4.配置額外的Sovrin客戶端：身份所有的當(dāng)前Sovrin代理之間執(zhí)行身份驗(yàn)證過(guò)程?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有31uPort是一個(gè)安全、易用的自主身份識(shí)別系統(tǒng)，致力于創(chuàng)建一個(gè)權(quán)。uPort將身份歸還給個(gè)人，其開放式身份系統(tǒng)允許用戶在以太坊上注冊(cè)自己的身份、發(fā)送和查詢證書、簽署交易以及安uPort身份完全由創(chuàng)建者擁有和控制，并且不依賴于集中化數(shù)據(jù)blob的散列，與該標(biāo)識(shí)關(guān)聯(lián)的所有數(shù)據(jù)都安全地存儲(chǔ)在該散列上。由于使用代理合約作為核心標(biāo)識(shí)符的目的是允許用戶在維護(hù)持久標(biāo)識(shí)符的同時(shí)?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有32uPort通過(guò)代理合約及控制器合約希望實(shí)現(xiàn)用戶能夠在不更改其核心uPortuPort系統(tǒng)支持選擇性公開或者選擇與誰(shuí)共享經(jīng)過(guò)用戶允許的在默認(rèn)情況下進(jìn)行了加密保護(hù)。通過(guò)此方式可以增加ION通過(guò)在第二層網(wǎng)絡(luò)進(jìn)行批量合并的方式，將大量DID操作合并成一個(gè)上鏈操作，并將數(shù)據(jù)存于IPFS，另外將數(shù)據(jù)的哈希存在比特幣網(wǎng)絡(luò)上的方式，從而實(shí)現(xiàn)DID數(shù)據(jù)的不可篡改和可信存儲(chǔ)。ION規(guī)避了比特幣網(wǎng)絡(luò)的性能問(wèn)題，可以支持比較好的數(shù)據(jù)吞吐量。微軟的MicrosoftAuthenticatorApp的使用也是的MicrosoftAuthenticatorApp代碼將作為開放源代碼發(fā)布。此外，Microsoft表?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有33W3C標(biāo)準(zhǔn)去中心化身份標(biāo)識(shí)（DIDs）：W3C標(biāo)準(zhǔn)去中心化身份標(biāo)識(shí)作為獨(dú)立于任何組織或政府的ID用戶創(chuàng)建、擁有和控制。DID是與分散公鑰基礎(chǔ)設(shè)施去中心化系統(tǒng)（例如，區(qū)塊鏈和分類賬）：DID基于為DPKI提供所需機(jī)制?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有34因DID創(chuàng)建之初僅代表這一個(gè)空洞的身份，只有所有者才能證明其擁有的推移建立逐漸建立起信任，以匹配其訪問(wèn)的應(yīng)用程序或?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有35并基于維護(hù)DPKI操作的去中心化系統(tǒng)。系統(tǒng)基于此可支持進(jìn)一步的身份活動(dòng)，記錄，并在不信任其他實(shí)體或組織記錄發(fā)生時(shí)間的用戶可以使用DID與其他人、應(yīng)用程序或服務(wù)進(jìn)行交互（其中包含身份驗(yàn)交互，為無(wú)服務(wù)器、提供者無(wú)關(guān)的、分散的應(yīng)用程序提供基礎(chǔ)。用戶可以通過(guò)?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有36是是身份的全球唯是是是是是字身份的可控是是是是是4：身份沒有中心化發(fā)行或者認(rèn)證機(jī)是是是是是是是是是是6：基于非對(duì)稱加密算是是是是是?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有37第三章：DID安全與隱私考慮關(guān)聯(lián)的機(jī)制，例如公鑰和偽匿名生物驗(yàn)證數(shù)據(jù)。DID文檔可能還包含描述主體DID的創(chuàng)建（Create），讀?。≧ead），更新（Update）和刪除（Delete）或者?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有38https://w3c-ccg.github.io/di諸如瀏覽器或其他Web客戶端，或者移動(dòng)客戶端之），進(jìn)行驗(yàn)證。DID驗(yàn)證者可以是DID服務(wù)的提供方(ServiceProvider)或者中繼方?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有39l至少必須考慮以下形式的攻擊：竊聽，重放，消息插入，刪除，修l如果協(xié)議包含密碼保護(hù)機(jī)制，則應(yīng)明確指出數(shù)據(jù)的哪些部分受到保還應(yīng)該給出一些說(shuō)明描述密碼保護(hù)可以受到哪些攻擊。應(yīng)該保密的l如果該技術(shù)涉及身份驗(yàn)證，尤其是用戶與服務(wù)器之間的身份驗(yàn)證，3.1DID安全注意事項(xiàng):竊聽DID由于沒有規(guī)定傳輸中的機(jī)密性要求，竊聽方可能會(huì)在相對(duì)應(yīng)的響應(yīng)（Response）DID文檔中獲取敏感信息。DID請(qǐng)求的詳細(xì)信息將削弱請(qǐng)求方和響?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有403.2DID安全注意事項(xiàng):重放攻擊（1）重放會(huì)話（Session）攻擊：黑客可能會(huì)使用經(jīng)過(guò)驗(yàn)證的身份信息和會(huì)（2）硬分叉引發(fā)的重放攻擊：在兩條鏈（尤其是硬分叉鏈）上進(jìn)行相同的交易。例如，由于最初的BCH和BSV硬分叉沒有對(duì)重放攻擊的限制，因可以在BCH和BSV鏈上發(fā)起相同的交易，從而導(dǎo)致在兩個(gè)鏈上重放交易或（1）會(huì)話管理：DID協(xié)議未指定任何會(huì)話管理要求。一種可能的對(duì)策是使所有DID連接變?yōu)闊o(wú)會(huì)話（Sessionless）連接。如果的，則一種可能的設(shè)計(jì)是允許“一次性使用密碼(OTP)“或每次交易的往返都使用隨機(jī)數(shù)(nonce)作為這個(gè)交易的唯3.3DID安全注意事項(xiàng)：消息操縱）：?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有41合謀攻擊（CollusionAttack）：DID控制者們?cè)诓唤?jīng)過(guò)DID主體同意的情況）：），合謀攻擊（CollusionAttack）：當(dāng)DID所有者或主體丟失密鑰時(shí)，DID超前運(yùn)行攻擊1）帶外通信（outofband）是一種對(duì)策。這個(gè)對(duì)策利用2）可以增強(qiáng)性能和隱私，一定程度上防止超前運(yùn)行攻擊。但是不能防止中繼系3.4DID安全注意事項(xiàng):中間人攻擊?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有42）：所或其他DLT應(yīng)用，請(qǐng)始終使用雙因子驗(yàn)證（2-FA）。使用2-FA并不能保證完）：體如何實(shí)現(xiàn)與底層的DLT或者區(qū)塊鏈技術(shù)有關(guān)。每一個(gè)具體的定義是由DIDMethod（方法）來(lái)決定。需要考慮的安全威脅包括如下：）：l更新（Update）：經(jīng)驗(yàn)證的DIDResolver如果合謀串通，則?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有43了。刪除是永久的，不可撤消。因此用戶的失誤操作會(huì)產(chǎn)生不可逆轉(zhuǎn)的l更新：使用時(shí)間戳（BIP0113）和時(shí)間鎖定（BI新進(jìn)行時(shí)間戳的檢查和時(shí)間鎖的審查。防止更改，在發(fā)生更改時(shí)監(jiān)視并積極通知DID主體沒有中介注冊(cè)商或帳戶提供商可以生成此類通知。但是，如果利用可驗(yàn)證數(shù)據(jù)注冊(cè)表支持更改通知，則可以向DID控制l刪除：刪除前請(qǐng)仔細(xì)檢查，或者利用時(shí)間戳和控制3.6DID安全注意事項(xiàng)：密鑰和簽名到期?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有443.7DID安全注意事項(xiàng)：抵賴攻擊（Repudiation)對(duì)策：對(duì)于高價(jià)值（HighValue）的交易，設(shè)置監(jiān)視并通知DID主體關(guān)于交時(shí)間戳（BIP0113），可以利用時(shí)間戳增加不可抵賴的能力。防抵賴還有一個(gè)重3.8DID安全注意事項(xiàng)：服務(wù)端點(diǎn)(ServiceEndPoint)3.9DID安全注意事項(xiàng)：緩存?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有45對(duì)于緩存的安全保護(hù)，也可以采用IntelSGX等技術(shù)或者針對(duì)分布式緩存系3.10DID安全注意事項(xiàng)：密鑰吊銷和恢復(fù)）：另外一個(gè)方法是使用時(shí)間戳（BIP0113）和時(shí)間鎖定（BIP65））來(lái)吊銷和3.11DID安全注意事項(xiàng)：中繼方（Relayer）威脅利用同態(tài)加密：同態(tài)加密允許對(duì)加密數(shù)據(jù)進(jìn)行數(shù)學(xué)運(yùn)算（例如，DID文檔于DID的交易，同時(shí)保持其數(shù)據(jù)彼此之間的私密性（例如，DID各方可以使用也可以利用差分隱私（DifferentialPrivacy）：差分隱私允許通過(guò)向聚合查差分隱私算法保證攻擊者能獲取的個(gè)人數(shù)據(jù)幾乎和他們從沒有這個(gè)人記錄的數(shù)?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有463.12DID安全注意事項(xiàng)：殘留風(fēng)險(xiǎn)由于殘留風(fēng)險(xiǎn)是未知的，因此許多組織選擇接受或者轉(zhuǎn)移殘留風(fēng)險(xiǎn)-例如，通過(guò)購(gòu)買保險(xiǎn)將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司。例如，如果企業(yè)使用開源的DID代碼，開源（1）針對(duì)使用的開源代碼，做好開源軟件的生命周期管控，尤其是開源軟3.13DID隱私注意事項(xiàng)：將個(gè)人身份信息（PII）保密可能幫還個(gè)人隱私數(shù)據(jù)，如果存儲(chǔ)到公開的分布式賬本就有隱私泄漏的風(fēng)服務(wù)端點(diǎn)中的URL不應(yīng)泄漏個(gè)人數(shù)據(jù)或相關(guān)信息，例如包含用戶名的URL?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有473.14DID隱私注意事項(xiàng)：DID標(biāo)識(shí)符的關(guān)聯(lián)風(fēng)險(xiǎn)像任何類型的全球唯一標(biāo)識(shí)符一樣，DID標(biāo)識(shí)符可以用于關(guān)聯(lián)。DID控制者僅當(dāng)DID主體明確授權(quán)其他方之間的關(guān)聯(lián)時(shí)，才容許與多方共享Pairwise3.15DID隱私注意事項(xiàng)：DID文檔的關(guān)聯(lián)風(fēng)險(xiǎn)如果可以將對(duì)應(yīng)的DID文檔中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)，則容易破壞上面提到的?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有483.16DID隱私注意事項(xiàng)：群體隱私1.團(tuán)體簽名（GroupSignature）允許一組實(shí)體在掩蓋其身份的同時(shí)進(jìn)行交3.零知識(shí)證明（ZeroKnowledgeProofing）可以在不透露數(shù)據(jù)的情況下證5.多方計(jì)算（Multi-PartyComputation）允許多個(gè)6.差分隱私：允許通過(guò)向聚合查詢結(jié)果添加隨機(jī)化"噪聲"來(lái)實(shí)現(xiàn)，以保護(hù)個(gè)人的條目，而不會(huì)顯著改變查詢結(jié)果。差分隱私算法保證攻擊者能獲?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有49取的個(gè)人數(shù)據(jù)幾乎和他們從沒有這個(gè)人記錄的數(shù)據(jù)集中能獲取的相差無(wú)第四章：SID在國(guó)內(nèi)的應(yīng)用案例4.1SID在數(shù)字政務(wù)中的使用電子政務(wù)是指政府行政部門利用信息技術(shù)及現(xiàn)代通信技術(shù)變革傳統(tǒng)工作模設(shè)的指導(dǎo)意見》提出，要在2022年底前80年代初到2001年以前20年，是使用計(jì)算機(jī)協(xié)同處理政務(wù)?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有50形成了政府信息化的主要框架。各級(jí)地方政府也規(guī)劃建設(shè)了相當(dāng)數(shù)量的應(yīng)用系2011~至今，這個(gè)階段的發(fā)展模式以整合、集中為主。數(shù)字政務(wù)在政策導(dǎo)向具規(guī)模、彈性、靈活等特性，形成健壯的IT基礎(chǔ)架構(gòu)和強(qiáng)大的中臺(tái)特性，為未成本、運(yùn)維復(fù)雜度等都將極大降低，應(yīng)用創(chuàng)新會(huì)進(jìn)入一個(gè)高速發(fā)展期。最終，?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有51目前數(shù)字政務(wù)處于面向資源集中化-基礎(chǔ)架構(gòu)進(jìn)化階段末期階段，實(shí)現(xiàn)為數(shù)字政務(wù)的集中化，要建成一站式政務(wù)平臺(tái)，各級(jí)政府部門掌握大量的政府信息數(shù)據(jù)庫(kù),這些庫(kù)分別屬于不同部門。由于?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有52），?2020云安全聯(lián)盟大中華區(qū)-版權(quán)所有53驗(yàn)證方一般是用戶證書的使用方，需要驗(yàn)證用戶2.用戶填寫相關(guān)信息（聲明），使用自己的私鑰