中国区块链发展报告(2019)|分布式数字身份开发与研究
作者:张一峰平庆瑞(CBPM区块链技术学院)
本文首次出现在《中国区块链发展报告(2019)》技术创新文章中。
资料来源:微信公众号区块链技术研究院
摘要
传统Internet的发展以中心化服务为特征,每个应用程序都是一个孤立的孤岛。个人身份取决于不同的中心化服务提供商。随着web2.0的迅速发展,大型技术巨头高度垄断了资金,数据和流量资源。网络犯罪和隐私泄露问题变得越来越严重。应用程序之间安全,合法和方便的合作的首要前提是解决可信数字身份的问题。 。
为了使身份真正具有自治性,需要将数字身份基础结构分解为由单个组织或联合组织控制的中心化封闭环境,并将其放置在开放的分布式环境中。本文从分布式数字身份的研究背景,分布式数字身份的核心概念和基本内容,关键技术,技术架构以及国内外的发展现状等方面对分布式数字身份进行了说明,以期为读者提供分布式信息。数字身份更加全面和系统。
分布式数字身份是构建受信任网络的基础,也是国家网络安全策略的基石。研究相关技术,促进分布式数字身份基础设施的建设,发展相关的生态学和应用,具有重要意义。
关键词
分布式自主数字身份可验证声明分布式分类帐隐私
今年是互联网诞生50周年。随着网络技术的成熟和发展,越来越多的应用服务通过互联网为公众服务。毫不夸张地说,随着人类创造的数字世界的迅速扩展,人们正在将物理世界体验到数字世界。移民。但是,随着每天使用网络服务的人数的增加以及在不同应用程序服务之间进行可信赖的协作的需求,由Internet中缺少身份协议层引起的用户身份问题变得越来越突出。
在Internet设计之初,没有标准且清晰的用户标识或组织。 Internet应用程序服务提供商通常通过基于用户名和密码创建本地帐户来解决用户身份管理的问题,这已成为网络身份的主要解决方案。这种基于帐户的身份管理方法已逐渐揭示出以下缺点:
1.多重身份建立,维护成本高,效率低
在以应用程序为中心的帐户管理模式下,用户没有自己完整的数字身份。他们只有几十个或几百个碎片去中心化在不同的组织中。控制,更新和维护此信息只能根据应用程序一个人开发。重复又麻烦。例如,人们需要在各种业务系统中提交相同的身份信息,并重复类似的身份认证过程。
随着规模的应用,对于个人而言,基于应用帐户的身份管理方法难以维护,安全隐患日益明显。身份验证者(例如政府,金融,社会基本服务)和依赖方(服务提供者)同一实体的身份验证服务的重复时间和经济成本;超越网站和Web应用程序的角度,数百万个组织在获取,存储,管理和保护大量用户数据方面的全球成本与持有此类数据有关。责任增加,全局数据重复以及数据之间的不一致导致巨大的成本。浪费身份认证过程。据估计,仅英国身份认证流程的成本每年就超过33亿英镑,美国身份认证流程的成本每年约为220亿美元。
2,用户名密码方式带来安全隐患
使用用户名密码方法的前提是只有用户才知道帐户信息,这是当前信息技术环境下最基本,最容易实现的用户管理解决方案。但是,用户名和密码方法存在许多问题。首先,简单的用户名密码不具有系统要求的安全性,并且用户很难记住大量不同的复杂用户名密码。另外,用户名和密码也有安全隐患。这些安全风险不仅发生在密码输入过程中,而且还发生在密码传输,存储和验证过程中。
密码被广泛使用的原因是其经济性,并且对大多数用户没有任何障碍。尽管安全性不高,但是它比任何安全措施都要好。与密码相关的问题包括:安全性,详尽的尝试,通用密码,生命周期,泄漏等。在某些情况下,用户使用默认密码或在应用程序或设备中内置通用密码。这些已知的缺陷非常容易被破解。随着技术的发展,强制破解高强度密码所需的时间越来越短。用户名和密码的安全性缺陷随着大型应用程序变得越来越明显,这给网络带来了巨大的安全风险。网络上有10%的用户冒充他人进行网络犯罪。
从技术发展的角度来看,由于其维护问题和安全风险,单个用户名密码最终将退出主流身份管理解决方案的历史阶段。
3,身份数据不是自我管理的,存在隐私泄露的风险
在帐户模式下,个人身份由其依赖的应用程序提供-每个应用程序都通过建立自己的用户数据库来管理用户身份数据。一些组织比其他组织具有更好的数据库和更全面的用户数据信息,因此,不管身份所有者的同意如何,已经开发了一种复杂且昂贵的机制来将用户数据信息从一个岛传递到另一个岛。此过程通常伴随无意或不希望的用户数据泄漏。
仅在2018年,Facebook就爆发了数次严重的隐私泄漏,包括Facebook的主观访问界面,从而允许诸如微软,亚马逊,Spotify,Netflix和苹果之类的公司读取,发送和删除用户的私人信息。该程序中还包含一个错误,该错误导致第三方应用程序访问了用户上传的私人照片; Google还经历了一些事件,其中由于访问界面的问题而损害了用户资料。由于软件故障,Google可以隐藏Google+用户私有数据库。外部开发人员可以访问它,并最终关闭Google+软件以消除泄漏的麻烦。根据安全研究公司Kromtech Security Researchers的数据,2017年10月,医疗保健提供商存储在Amazon S3上的大约47GB的医疗数据意外地向公众开放,包括315,363个PDF文件,涉及至少150,000位患者。
2018年5月25日,欧盟的通用数据保护条例(GDPR)生效,使其成为历史上最严格的隐私数据保护条例。 GDPR大大提高了数据保护的强制性和责任感,并要求数据供应链中各方自上而下负责。 GDPR指定:
GDPR将以数据为起点以及网络安全的基础技术治理,成为未来全球网络空间规则的基石。这将对基于个人信息和隐私收集的Internet 2.0行业的收入模型产生重大影响,甚至产生颠覆性影响。
总而言之,现在是时候为Internet建立统一的身份层了,使人们,组织和事物拥有自己的主权身份并管理自己的身份信息。基于自治的可信数字身份是打开可信网络的关键,并且是将来部署可信数据和可信资产的基础。
一,数字身份的演变
互联网身份的演变是满足数字身份的三个基本要求的结果:
回顾数字身份发展的历史,演进过程经历了以下四个发展阶段。
图1.数字身份开发的各个阶段
大多数Internet身份是中心化的。这意味着它们由单独的实体组织拥有和控制,例如电子商务站点或社交网络。本地身份识别在特定的应用领域中运作良好,但是很难满足当今用户与各种在线网站和服务进行交互的迅速增长的需求。
由于大多数人在因特网上的唯一身份是中心化的,因此删除帐户也将清除人的在线身份。这些身份可能会被用户上涨数年,这对他们来说是非常有价值且不可替代的。数据。
联盟身份用于解决中心化身份问题,并且可以提供一定程度的可移植性。例如,用户可以使用其服务凭证之一登录到另一服务。在更复杂的级别上,可以允许不同的服务共享有关用户的详细信息。
联盟在大型企业中很常见,并且单点登录机制允许用户使用单个用户名和密码访问多个独立的内部服务,包括一些政府机构使用联盟身份来为其公民服务。尽管联盟似乎是可移植的,但它仍然依靠联盟身份提供者的力量,并且删除联盟帐户所造成的损害要深得多。实际上,联盟身份加剧了数据的中心化垄断,为黑客准备了大量蜜罐数据,从而带来更大的数据安全风险。
用户控制的核心要求是,仅当用户请求时,才会发生从索赔提供者到依赖方的信息流。个人将自己可以允许其提供给其他组织的信息填充到自己的数据存储中,并在这样做时保留记录。但是,此过程仍然取决于用户选择身份提供者并同意其单方面附加合约。由于这些好处,当数据从一个库移到另一个库时,容易发生有意或无意的数据泄漏,并且用户信息成为一种出售产品。
还存在独立的个人数据存储,但是问题仍然存在。在成熟的个人数据存储生态系统中,依赖方需要与许多此类身份提供者建立联系,以覆盖广泛的客户群体。由于复杂和耗时的集成,难以产生规模效应。 。
自治是指身份所属的个人(或组织)完全拥有,控制和管理其身份。它消除了上述三个阶段的中心化外部控制,因此个人的数字化与任何单个组织都没有关系。没有人可以剥夺某人的自主权。自治可以看作是由身份所有者控制的数字容器,使用户可以共享数据并实现身份的便携式应用程序。身份声明数据可以是自声明的,也可以是第三方的声明,其真实性可以由依赖方独立验证。
“自治身份”的典型特征可以归纳为以下三点。
表1.分布式数字身份相关技术标准
二,分布式数字身份
为了使身份真正具有自治性,需要将数字身份基础结构放置在分布式环境中,而不是由单个组织或联合组织控制的中心化环境中。
基于分布式图书的技术(DLT)是一项技术突破,使之成为可能。它使多个组织,组织和政府可以通过像Internet一样交互的分布式网络来一起工作。身份数据被复制到多个位置,以防止故障和篡改。分布式分类帐技术已经存在并发展了一段时间。已经证明了其在分发和安全性方面的功能。当将其与公钥基础结构和匿名凭证技术结合使用时,就可以实现分布式自主数字身份的技术实现。
01
数字身份和可验证的索赔模型
1.1数字身份表示
国际电工委员会将“身份”定义为“与实体关联的一组属性”。数字身份通常由身份标识符和与其关联的属性声明表示。分布式数字身份包括两部分:分布式数字身份标识符和数字身份证书(声明集)。
分布式数字身份标识符(DID)是由代表数字身份的字符串组成的标识符,并且可以在全球范围内唯一,而无需中央注册表。通常,一个实体可以具有多个身份,每个身份被分配一个唯一的DID值以及与之关联的不对称密钥。不同身份之间没有关联的信息,从而有效地避免了所有者身份信息的收集。
“声明”是指与身份相关联的属性信息。该术语源自基于声明的数字身份,这是一种主张数字身份的方式,独立于依赖于它的任何特定系统。声明信息通常包括:例如姓名,电子邮件地址,年龄,职业等。
声明可以由身份所有者(例如个人或组织)或其他发行者发出,当该声明由发行者签出时,称为可验证声明。用户将索赔提交给相关应用程序,该应用程序将对其进行检查,并且应用程序服务提供者可以将由发行人签名的可验证声明信任为信任发行人。多个声明的集合称为凭证。
1.2可验证的声明模型
数字身份管理的主要目的是使身份所有者能够轻松获得声明并使用声明来证明其身份属性。索赔管理是数字身份系统的主要内容。
基于上一节中分布式数字身份的设计,可以很好地实现基于可验证声明模型的声明管理和工作流:可验证声明由身份认可者(声明发布者)根据身份所有者的请求,身份所有者以加密货币方式保存可验证的声明,并在需要时将其提交给身份依赖方(索赔验证者)进行验证;身份依赖方(索赔验证者)不需要停靠身份认可者来检索身份注册表来验证索赔和提交者之间的关系并验证身份持有者的属性索赔的真实来源。
图2.可验证的索赔模型
与传统的身份认证方法相比,身份依赖方收集用户信息,并通过安全通道将其发送给身份认证者进行认证。在验证声明模型下,身份验证者无需关注,信任和对接身份依赖方系统。仅要求身份请求者批准并发布真实性声明文件,并且身份依赖方可以实现对多样化的用户身份信息的访问和信息的真实性,而无需对接不同的身份验证器。
在数字身份的应用中,将身份标识符的生成和维护与身份属性声明的生成/存储/使用分开有助于构建模块化,灵活且具有竞争力的身份服务生态系统。 。
02
为什么要分发?
如第一段所述,如今,互联网上任何实体的数字身份控制权都由第三方掌握,无论是电子邮件地址,用户名还是数字证书,我们都会将其传递给服务提供商, CA中心和社交网络。租赁,导致整个Internet出现严重的可用性和安全性问题。为了将对数字身份的控制权返回给所有者实体,需要一套机制来支持身份所有者在无需许可证的情况下创建引导加密的数字身份,这需要将数字身份基础结构置于分布式环境中。
对分布式数字身份基础结构的需求解决了以下问题:
•自主控制和管理数字身份标识符
•基于非对称密钥的点对点身份验证和安全信息交互
•提供密码应用程序的用户友好性
建立分布式数字身份的答案是DPKI,即分布式公钥基础结构。 DPKI基于分布式分类帐技术,实现了身份所有者的不可篡改且全球共享的身份所有者身份ID-vk(身份验证公钥)信息,使该地区和组织中的不同实体能够就共享身份数据的内容和状态达成共识。形成分布。信任。
DPKI支持将身份ID的控制权返回给所有者,并消除了困扰传统公钥基础结构(PKI)的MITM(中间人攻击)的影响,同时确保没有任何第三方可以破坏整个系统。诚信与安全。
03
分布式数字身份密钥技术
在分布式数字身份技术中,除了分布式数字身份标识符和分布式数字身份表达的可验证声明之外,还包括以下关键技术:
当前,在基于DNS和X.509 PKIX的Internet身份管理系统中存在一些安全性和可用性问题。这些问题的根源在于系统的中心化。中心化设计可防止身份所有者自己控制代表其身份的身份标识符,从而使第三方有可能破坏其身份。为了解决这个问题,我们需要建立一个分布式公钥基础设施,并阐明分布式密钥管理方法。
可以通过为实体提供分布式数字身份钱包应用程序来实现分布式密钥管理。身份钱包使用户能够创建自己的身份,维护身份秘密(私钥)并控制密钥的使用;并通过不可篡改的分发,分类帐注册并发布所有者身份标识符和关联的身份验证公共密钥信息。基于这种设计的DPKI甚至可以在资源受限的移动设备上工作,并且可以通过提供私钥保护来维护用户身份标识符的完整性。
实施基于DPKI的对等身份验证和安全通信的目的是为用户和数据提供安全且机密的对等信任关系。安全的点对点通信系统需要满足以下三个基本要求。
机密性–确保对等网络中的数据未被未经授权的人员访问。
完整性–确保发送的数据是由授权的对等节点发送的,并且未经授权的人员不能伪造或修改数据。
可用性–确保授权的对等节点能够正确使用网络资源,并且对未经授权的用户不可用。
对于两点之间的通信,安全通信的工作原理仍然基于传统的PKI质询响应机制和协商数据加密货币方法。对于整个网络的所有节点,在去中心化服务器和个人客户端上部署的身份密钥全网络共享的钱包和DID分布式分类帐可以基于代表任何不同节点之间的非对称密钥模式来实现身份验证交互实体身份,最后通过实体之间的信任转移实现整个网络的信任。
传统的访问控制方法是基于用户向服务提供商提供其身份信息,然后服务提供商确定用户是否可以使用该服务。这种基于身份的访问控制不是匿名的,用户通常需要披露的信息远远超出了获得对该服务访问权限的必要范围。
一种名为“匿名证书(AC)”的解决方案可以帮助用户摆脱这种情况。匿名凭证是凭证发行者提供的包含用户信息的特殊凭证。它用于传输声明信息,但实际上不包含声明性数据的明文或密文版本。相反,它为索赔结果提供了一种密码验证方法。匿名凭证的典型示例是年龄证明(例如,“ 21岁以上”),而没有透露实际的出生日期信息。 AC的一大优点是服务提供商无法获得数据的完整凭证,而且他们也无法重用它来模拟另一个用户。 AC提供了匿名性,这意味着其他人可以看到具有授权属性的用户进行操作,但看不到该用户是谁。
基于零知识证明的匿名凭证是一项重要的隐私增强技术,十多年来一直是Microsoft和IBM广泛研究和开发的主题。它们在共享高度敏感或相关信息的同时具有保护隐私的巨大潜力。
匿名凭证适用于基于属性的访问控制(ABAC)方法-根据对象的属性,环境条件以及基于这些属性和条件的一组策略来授予对对象执行操作的请求。拒绝使用ABAC控制模式可以很好地支持开放环境中的动态和灵活访问策略。
图3.基于属性的访问控制
在全球范围内,对分布式数字身份的研究只是最近几年的事,但它发展迅速。从最初的单个项目和单个技术研究开始,它也已进入由超大型技术公司领导的标准化研究过程。国际标准组织W3C已开发出分布式数字身份中的关键数据的组织形式,例如分布式标识符(DID)和经过验证的凭证。分布式密钥管理标准是国际结构化的信息标准促进组织OASIS促进了准备和提交。
表2.分布式数字身份相关技术标准
三,分布式数字身份架构
如前所述,分布式数字身份技术的核心是分布式分类帐和加密货币技术,两者结合起来可创建不可否认性和不可更改的身份记录。分布式数字身份簿中数字身份的起点是彼此不关联的安全身份(ID-vk)。它仅与具有明确用户身份的行为,数字资产或数据相关联;个人使用“管理和使用数字证书”容器创建数字身份,他们可以接受分布式数字身份网络中任何组织发布的证书,并在需要时提供凭据以提供身份验证;每个组织都可以基于凭据Trust和凭证验证结果,以确定是否信任容器中的凭证。
从分布式数字身份系统体系结构的角度来看,身份钱包客户端,云代理和分布式数字身份簿构成了分布式数字身份系统的三层体系结构。
图4.分布式数字身份系统的三层架构
01
分布式数字身份证
DPKI的基础是具有分布式键值数据存储功能的分布式分类帐,可用作分布式数字身份标识符注册表。只要这样的注册有效并且身份所有者保持对其私钥的控制,任何第三方都不能访问标识符,并且不能冒充和危害身份所有者的意愿。
分布式分类帐的主要特征是联合维护多个节点,以确保公共分类帐记录不会被篡改。在分布式数字身份体系结构中,分布式分类帐主要用于支持分布式数字身份数据(ID,公钥,通信入口点)的分发和维护,以便所有实体都可以检索交互式对象的ID和密钥。身份间身份验证和安全的网络通信,支持分布式数字身份簿密钥发现的功能基本上是免费的。另外,分布式数字身份证还用于记录和发布凭证模板信息以及凭证流的存放信息。
由于不同的身份实体对身份隐私的要求不同,因此身份数据的共享范围也将有所不同。例如,对于政府,行业机构和大学,通常支持身份数据以进行完整的生态披露;对于企业和商人,支持上下游合作公司及其客户;对于个人,他们需要最大程度地防止匿名。为了满足身份的不同可见要求,可能有必要构造不同的分布式数字身份簿以一起工作。本书的设计是考虑相互依赖性,数据一致性和整体运营效率的关键。
从隐私保护的角度来看,分布式分类帐用于存储交易的永久记录。如果个人身份密钥丢失或损坏或凭证,或者如果依赖方受到损害,则不建议将个人身份信息存储在分布式分类帐中(包括对私人数据进行哈希处理),或者攻击者可能会获得以下身份数据记录:身份持有者无法否认,这会影响用户的权益,并且还违反了诸如《欧盟通用数据保护条例》之类的法律要求。
02
分布式数字身份钱包
分布式数字身份钱包是个人身份数据容器,它是用于管理实体身份和身份管理软件模块普及的基础结构。在个人身份持有者的情况下,它通常作为客户端应用程序出现在用户的终端设备上,而在机构身份持有者的情况下,它可以是部署在具有密钥管理功能的特定服务器上的一个。服务。
分布式数字身份钱包是对身份控制权掌握在身份持有者手中的保证。一般来说,它具有以下功能:
标识符可用于验证从用户到他们的所有内容。标识符的健壮性使这些标识符非常有价值,并且与这些标识符匹配的密钥是其所有者拥有的“数字王国密钥”。可以解锁与实体相对应的数字身份和与身份相关的数据或数字资产。
分布式数字身份钱包的最关键功能是管理和保护身份所有者的关Tether。关Tether包括:DID关系对,DID关系密钥,DID通信入口点。此设计的关键是每个身份及其对应的通信入口点和密钥都不同。此信息不提供身份所有者的不同角色之间的任何关联线索。身份关联只能由身份拥有。发起并实施。
图5.关Tether结构
除了实施所有者关Tether管理外,分布式数字身份钱包还支持所有者本地数字凭单存储,管理如何将该数据安全地存储在加载特定操作系统的特定个人终端设备上。
由于不同设备的存储容量和带宽变化很大,因此可能没有身份所有者的钱包客户端可以具有个人数据容器数据的完整副本。因此,钱包客户端的另一个功能是管理如何共享存储在设备数据容器中的内容,以及在必要时共享给其他所有者钱包客户端的方式。
分布式数字身份钱包客户端支持通过蓝牙,NFC或其他网状网络协议的对等通信,或通过云代理使用分布式安全传输协议与其他实体的安全连接。
03
分布式数字身份云代理
云代理构成了分布式数字身份系统体系结构的“中间层”。它既是DID分布式数字身份簿的客户端,又是具有可寻址网络门户的分布式数字身份钱包的服务器。 The main function provided by the distributed digital identity cloud proxy in the distributed digital identity architecture is persistent P2P message routing, because identity clients running on terminal devices (smartphones, laptops, cars, etc.) usually do not have their own On the message side, the cloud proxy service can provide them with addressable network communication functions as well as persistent message online services.
In addition, cloud proxy services simplify key recovery by providing encryption key backup capabilities; support encrypted data storage and sharing under identity owner authorization, simplifying and automating the process of storing and sharing data.
In theory, cloud agents do not have to exist. In the absence of cloud agents, the system needs to support client applications to directly access DID distributed digital identity books. In any case, the cloud proxy service should be a commercial, open competition market. Any identity owner does not have to and should not be bound to a specific cloud proxy service provider. Any time the cloud proxy service is migrated or canceled is The identity owner decides at his own discretion.
04
Distributed digital identity application
Distributed digital identity services are suitable for distributed applications, traditional Internet services, and even centralized application service systems.
As a unified digital identity independent of the application, the typical way of distributed digital identity application (verification) is as follows:
- The identity holder establishes an anonymous DID relationship with the service provider in the process of accessing the specific service, and initiates a related transaction request within the secure channel;
- The identity request information sent by the service party reaches the identity holder terminal device via the identity holder message entry point, and wakes up the client application as the identity wallet;
- The identity holder responds to the service provider's identity request information through the client application, and in the case of "confirmation", the wallet application constructs the verifiable identity certificate to be returned to the requester;
- The requester receives the verifiable credential of the identity holder and then verifies, and the business system determines whether to authorize access to the related service according to the authentication result;
Figure 6. Credential-based authorized access method
It can be seen that during the authorization access process based on the identity attribute, the identity owner does not need to memorize and provide a security element such as a username password. The construction of the cryptographic-based identity credential is also completely handled by the program, and the identity holder needs What is done is to respond to the identity request information, and this response can be achieved safely, simply, and amicably through biometrics.
Fourth, the status quo of distributed digital identity research and development
As the "fifth territory" of the Internet, cyber security has been highly valued by all countries. In order to strengthen the research and development of cyber security, countries have launched their own "National Strategy for Cyber Security". China also released the "National Cyberspace Security Strategy" in December 2016. ", "emphasize the network governance system, strengthen the foundation of network security, and enhance the ability of network space protection." As the basic means to ensure network security, trusted identity management has always been an important research content in the field of network security.
In 2011, the United States issued the “National Strategy for Trusted Identity in Cyberspace”, preparing to build a network entity identity ecosystem within a few years to ten years; in 2011, the UK launched an identity protection program aimed at building a one-stop shop. Universal Identity Service provides a safe and fast way to authenticate public access to government websites; in recent years, Russia has issued ID cards containing citizen identification functions to citizens; the Korean government has also established an "I-PIN" network identity platform. Used to register related services to network entities.
Distributed digital identity is the answer to the problem of cracking the trusted digital identity and is the key to breaking the data monopoly. Distributed digital identity research has emerged with the verification and application of distributed ledger technology, and has developed rapidly. So far, it has obtained quite a wealth of technical and standardization research results, and has formed several major mainstream architectures in the international scope.
In 2018, Microsoft and ID2020 jointly developed a distributed digital identity authentication network to help individuals and refugees access basic services, including access to health care and education services in new places of residence, as well as digital traditional paper birth certificates and education certificates; Microsoft and MasterCard are working together to promote a digital identity partnership to address the issue of refugee status, ensuring that these users have access to normal financial and social services, or for money laundering.
As a leader and practitioner in the field of digital identity, IBM has recently deployed a number of startups, projects, and alliances related to distributed digital identity. Including the Indy open source project jointly sponsored by IBM and HyperLedger to provide promotion and cooperation to all parties. A blockchain authentication network being built by IBM and SecureKey and members of the Canadian digital identity ecosystem, including major banks, telecommunications companies and government agencies. In the first quarter of 2019, Visa also teamed up with IBM to launch a blockchain-based digital identity system to improve cross-border payment security. In addition, a number of blockchain-based digital identity projects have emerged around the world: UPort, Civic, AirPlatform, ISelfKey, and others.
In China, the development of digital identity in the Internet is still at the stage of alliance status. With the development of WEB2.0, platform vendors such as BAT have grown stronger, and WeChat and Alipay users have a huge volume. Ali and Tencent have accumulated a large amount of user identity information. Due to the increasing cost of Internet access, many small and micro enterprises and merchants tend to use the identity of the alliance to obtain the user identity information access interface provided by WeChat or Alipay. In the long run, according to the Matthew effect, the user data of Internet giants is huge, and the data monopoly will bring a lot of honeypot data risks.
结论
Today, the world has entered the digital economy era. According to IDC, by 2021, at least 50% of global GDP will be contributed by the digital economy. As far as China is concerned, the total number of China's digital economy reached 22.6 trillion in 2016. In 2018, China's digital economy reached 31.3 trillion yuan, accounting for 34.8% of GDP, which has become an important engine for China's economic development. It is predicted that by 2030, China's digital economy will account for more than 50% of GDP, and China will fully enter the digital economy era.
Network security and informatization are two wings of the whole, driving two rounds. Without network security, there is no national security. Without network information, there is no modernization. Network security and informationization must be unified planning, unified deployment, unified promotion, and unified implementation. In order to better promote the development of the digital economy and adapt to the increasingly rich digital life, we need to think at the level of network security underlying governance and data privacy protection as soon as possible, develop independent and controllable information security technologies, and build a society-oriented A secure, convenient and distributed digital identity system that addresses the security, privacy and interoperability of existing digital identity, and further advances the construction of national trusted networks.
references
1. Christopher Allen and Arthur Brock, 'Decentralized Public Key
Infrastructure'. DPKI v1.0.0, 23-Dec-2015
2. Paul Dunphy and Fabiew APPetitcolas, 'A First Look at Identity Management Schemes on the区块链'. VASCO Data Security, 2018
3. 'Evernym HSHQDC-17-C-00018 DKMS Milestone 3'. Evernym DKMS Project, 15-Dec-2017
4. Andrew Tobin and Drummond Reed, 'The-Inevitable-Rise-of-Self-Sovereign-Identity'. The Sovrin基金, 29-Sep-2016
5. 'Sovrin Provisional Trust Framework'. Sovrin Board of Trustees, 28-June-2017
6. Dan Gisolfi and Milan Patel, 'Decentralized Identity Introduction'. IBM Trusted Solution, 2018
7. Drummond Reed, Jason Law & Daniel Hardman, 'What-Goes-On-The-Ledger'. The Sovrin基金, 29-Sep-2016
8. Gregory Neven, 'A Quick Introduction to Anonymous Credentials'. IBM Zurich Research Lab, Aug-2008
9. Melissa Chase, 'Anonymous Credentials: How to show credentials without compriomising privacy'. Microsoft Reserch,
10. 'Decentralized Identity: Own and control your identity', Microsoft, 2018
11. Decentralized Identifiers (DIDs) v0.12, Draft Community Group Report 09, May 2019
12. Les Chasen, 'Decentralized Identifiers (DIDs) and Decentralized Identity Management (DIDM)', A paper for the ID2020 Design Shop, Respect Network 2016-05-16
13. Verifiable Credentials Data Model 1.0, W3C Candidate Recommendation, 28 March 2019