分散的数字身份架构

1。介绍和范围

过去的十年已经取得了大量的新举措来创建数字身份的自然人。其中的一些项目,比如ID4D项目主办世界银行(2019)和罗兴伽项目(2019)涉及到一个特定的焦点在人道主义背景下,而其他的,如Evernym (2019)和ID2020 (2019)有一个更一般的范围,包括发达国家标识解决方案。一些项目是特别关心孩子的权利(5权利基金会,2019年)。一些项目使用生物识别技术,提高某些道德问题(潘迪亚,2019)。一些项目寻求non-transferability强,通过连接所有相关凭证到特定自然人到一个特定的标识符,生物特征数据,或彼此是匿名的凭证的情况下提出的Camenisch和Lysyanskaya (2001)。一些项目设计目标,包括特殊的访问(“后门”)当局,被广泛认为是有问题的(Abelson et al ., 1997,2015年;Benaloh et al ., 2018)。

尽管本文应当专注于挑战成人身份系统相关人员在发达世界中,我们认为,考虑到数据保护和个人数据适用于人道主义的背景下,阐述了的此类国际红十字委员会(库恩和公司,2017年版;史蒂文斯et al ., 2018),也适用于一般情况下。我们专门考虑的越来越普遍应用身份系统“促进目标,分析和监测”“绑定我们记录特征和行为”(隐私国际2019)。尽管我们主要集中在系统数字证书的应用相对富裕的公民社会,我们希望我们的建议的体系结构可能导致身份等环境的时代精神的人道主义援助,抢险救灾、难民迁移,以及儿童的特殊利益集团。

我们认为虽然要求强non-transferability可能适合某些应用程序,这是不适当的和危险的。具体地说,我们认为质量监测的威胁的普通的人根据他们的习惯,属性和世界事务。尽管西方民主国家的政府可能会负责一些形式的质量监测,例如通过的建议金融行动特别工作组(2018)或各种努力来监视网络活动(2016年英国议会;澳大利亚议会,2018年),监视资本主义(美妙的歌声2015年企业,),包括“实体解析”的实践通过聚合和数据分析(Waldman et al ., 2018对人类自治),提出了一种特殊的风险。

我们建议许多“日常”活动,如图书馆资源的使用,公共交通服务和移动数据服务都包含在一个类别的活动强烈non-transferability不是必要的,真正需要的技术,明确保护个人的合法隐私利益。我们认为系统,鼓励个人建立一个单一的、统一的¹《阿凡达》(或“万能钥匙”)使用在许多情况下可以最终影响和限制这种人的行为,我们认为,如果两个属性之间的联系可以证明或事务,那么它就可以被强制发现。因此,我们认为,支持多种,不可链接的身份是一个重要的权利和必要性数字对人类社会未来的发展。

本文的其余部分组织如下。在下一节中节中,我们提供了一些背景身份系统;我们框架问题空间和提供现有解决方案的例子。在第三节,我们介绍一组约束作为属性,一个数字身份基础设施必须支持人权。在第四节中,我们描述一个数字识别系统和一组固定的演员可能运作和如何改进。在第5部分中,我们介绍分布式分类技术促进竞争市场发行者和审核员的凭证和约束参与者之间的交互的方式保护个人用户的隐私。在第6节,我们考虑应该如何操作和维护该系统是否满足人权要求。在第7节中,我们提出了一些潜在的用例,和8节中我们得出结论。

2。背景

建立有意义的凭证为个人和组织在一个环境中各种当局不均匀可信赖的礼物的问题目前已部署的服务,通常是基于层次信任网络,通用的身份证,和其他构件的监测经济。在自然人之间的相互作用的背景下,身份是普遍和层次,自顶向下的方法来识别通常假定可以征收普遍层次结构。考虑“Zooko三角形”,即名称可以分布,安全,或人类可读的,但并不是所有的三个(Wilcox-O赫恩,2018)。舞台上的艺术家的名字可能是分布式和可读但并不是真正的安全,因为他们依靠信任当局解决冲突。名字个体分配给朋友,或者一个小社区分配给它的成员(“乳名。”Stiegler 2005)是安全的和可读而不是分布。我们延长悖论背后的推理问题的身份本身和断言寻找统一的身份对个人是有问题的。它在技术上是有问题的,因为没有内生的方法来确保一个人只有一个自查名称(赏钱,2002),没有办法确定可信度或一个指定名称的普遍性,并没有办法确保个人中只存在一个特定的社区。更重要的是,我们断言的能力来管理身份在许多不同的环境中,包括创建多个不相关的身份,是一个重要的人权。

2.1。制造信任

当前最先进的身份系统,从技术平台到银行卡,实施不对称附着在他们的用户的信任关系和合同,包括最终用户以及地方政府、企业、合作社和社区团体。这种信任关系,往往采取分级信任基础设施的形式,要求用户接受一个特定的受信任的认证中心(“信任锚”)或身份证与私钥生成的由一个可信的第三方。在这种情况下,系统易受社会破坏性的商业行为,腐败和不法经营者,可怜的安全措施,强制的或控制点风险在政治上或经济上强大的演员。最终,问题在于可疑的假设一些特定的政党或政党普遍被认为是值得信赖的。

通常,非对称信任关系奠定了安全漏洞。流氓认证中心构成一个众所周知的风险,甚至复杂的政府角色(Charette 2016;Vanderburg 2018),和伪造的签名一直负责一系列网络攻击包括Stuxnet蠕虫,所谓的网络武器认为伊朗核计划造成损害(库什纳,2013),以及一个潜在的政府应对Stuxnet的伊朗(利2011)。公司经营的最大信任锚已被证明是脆弱的。伪造凭证负责赛门铁克数据违反(Goodin, 2017等)和其他受欢迎的信任锚Equifax不免疫安全漏洞(Equifax Inc ., 2018)。谷歌发布了一份“认证机构,它认为是不可靠的(Chirgwin 2016),管理员有时破坏了信任模型,依靠根认证中心(Slashdot, 2014)。最后,即使他们的系统是安全的,他们的运营商是正直的,信任锚是一样安全的抗胁迫能力,和他们有时会挪用政府(明亮,2010)。

这些问题是全球性的,影响着发达国家和新兴经济体。身份系统,依靠单一的技术,一个实现,或一套运营商已被证明不可靠(Goodin, 2017 b,c;月亮,2017)。广受好评的国家身份系统,包括但不限于基于X-Road爱沙尼亚身份证系统(Thevoz 2016)和印度Aadhaar (真爱一世情,2017),特点是集中控制点,安全风险和监控。

最近的趋势在技术和消费服务表明,流动性和可伸缩性的担忧会导致身份管理系统的部署,确定消费者跨各种不同的服务,提供鉴定服务的新市场瓦格纳(2014)。一般来说,重用的凭证有重要隐私的影响作为一个消费者的活动可能跨多个服务或跟踪多个使用相同的服务。出于这个原因,潜在的系统总事务数据必须收集和评估在评估其影响其用户的隐私。

而数据分析越来越有效地识别和链接个人的数字痕迹,它已成为相应必要捍卫个人用户的隐私和实现工具,允许和促进匿名访问服务。这一现实被英国政府认可的设计GOV.UK验证计划(政府电子服务,2018年),一个联邦身份提供者和网络服务。然而,系统部署具有显著的技术缺陷有可能危及其用户的隐私(巴et al ., 2015;惠特利,2018),包括一个中心枢纽和可以利用的漏洞链接个人与他们所使用的服务(奥哈拉et al ., 2011)。

不幸的是,许多最近设计的系统不仅提供或披露的数据对他们的用户对他们的利益,但他们已经明确的设计。例如,考虑数字版权管理系统,迫使用户识别事前然后使用数字水印透露他们的身份(托马斯,2009)。在某些情况下,可论证的隐私被认为是一个不受欢迎的特性和设计,保护用户的身份本质上是明确排除在外,例如车辆的情况特别的网络(Shuhaimi Juhana, 2012),系统没有特殊访问特性的含义是危险的。最后,特别关注的是识别系统,依靠生物识别技术。通过绑定识别特征,用户(甚至在大多数情况下,政府)不能改变,生物识别技术中隐式地防止用户交易系统没有连接每个事务,可能一个永久的记录。近年来,各种各样的美国专利申请和授予通用身份系统,依靠生物特征数据来创建一个“根”身份以这种方式链接的所有事务(刘et al ., 2008;Thackston 2018)。

2.2。方法使用分布式帐

主流的身份系统通常需要用户来接受第三方值得信赖。替代实施新的信任关系与现有的信任关系是通过允许用户、企业和社区自行部署技术而言,独立的外部服务提供者。不同群体在这一节中,我们确定了一个系统级方法允许现有的机构和服务提供商保持其相对权威和决策权没有强行要求他们配合中央政府(如政府和机构),服务提供者(如系统运营商),或核心技术的实现者。我们建议在理想的情况下,解决方案不需要现有的机构和服务提供商运营自己的基础设施不依赖平台运营商,同时认识提高允许政府等组织和顾问充当顾问,监管机构和审计人员,而不是运营商。分布式分类帐可以服务于这个目的,作为一个中立的参与者之间的管道,受治理的局限性确保中立和设计限制在服务操作所需的分类帐的参与者。图1提供了一个例证。

现代身份系统被用来协调三个活动:标识、身份验证和授权。要解决的核心问题是如何管理这些功能在分散的环境中,没有普遍信任的政府。而不是试图迫使所有参与者使用特定的新技术或平台,我们建议使用一个多方利益相关者的过程开发通用标准,为交互定义的一组规则。任何组织将能够开发和使用自己的系统互操作与由其他组织在不必征得任何特定的权威或同意部署任何特定的技术。

各种各样的从业者最近提议使用一个分布式分类帐分散身份管理系统(Dunphy Petitcolas, 2018),我们一致认为,分布式的属性分类技术是适合这个任务。特别是,分布式分类帐允许参与者分享系统的控制。他们还提供了一个共同的观点的事务确保每个人都看到相同的事务历史。

各种团体认为,分布式分类帐可以用来减轻风险,一个强大的、中心的演员可能控制下地幔的操作效率。然而,目前还不太清楚这个崇高的目标是在实践中实现。现有DLT-enabled身份管理系统支持组织的例子包括以下,其中:

•ShoCard悉(2016)是由一个商业实体,作为受信任的中介(Dunphy Petitcolas, 2018)。

•珠穆朗玛峰埃佛勒斯峰(2019)设计作为一个支付解决方案支持的生物识别身份的用户。珠峰背后的公司管理生物特征数据和隐式地要求自然人最多有一个身份在系统(Graglia et al ., 2018)。

•Evernym (2019)依赖于一个基金会(托宾和里德,2016管理组批准的认证机构(的)艾特肯,2018),基础是否可以管理当局与平静还有待检验。

•ID2020 (2019)提供便携式身份使用生物识别技术来实现强non-transferability和持久性(ID2020联盟,2019年)。

•uPortLundkvist et al。(2016)不依赖中央权威,而不是允许社会复苏等机制。然而,其设计特点一个可选的中央注册中心,可能会引入交易链接在一起的一种手段,用户更愿意保持独立的(Dunphy Petitcolas, 2018)。uPort架构与电话号码和隐式地阻碍了个体从系统中有多个身份(Graglia et al ., 2018)。

研究者提出替代设计解决的一些问题。设计建议由Kaaniche和劳伦不需要中央权威的区块链基础设施但确实需要一个可信中心实体对其关键基础设施(Kaaniche和劳伦特,2017年)。椰子,选择性披露凭证所使用的方案Chainspace (2019)对恶意,被设计成健壮的当局和可能部署的方式解决这些担忧(Sonnino et al ., 2018)²。我们发现很多这样的系统要求用户维系他们的凭证事前³为了实现non-transferability,基本上设计提出的Camenisch和Lysyanskaya (2001)建立一个“万能钥匙”,允许每个用户证明她所有的凭证是相互关联的。图2提供了一个例证。即使用户可以选择建立多个独立的主键,服务提供者或他人可能会破坏这个选项要求证明他们的凭证之间的链接。

个体的概念有“多重身份”可能是混乱的,所以让我们明确一点。在物理文档的背景下,在发达国家,自然人通常拥有多个身份证明文件,包括但不限于护照、驾驶执照、出生证明、银行卡、保险卡片,等等。虽然个人可能不认为这些文件以及它们所代表的属性构成多重身份,身份证件一般独立的个体,有限的目的和不需要提出的一套捆绑与显式属性之间的联系。服务提供商可能会合理地认为两个不同的身份证件是属于两个不同的个体,甚至当他们可能已经发给同一个人。一个系统,通过前期绑定多个属性可以消除这种可能性联系在一起。当我们提到“多重身份”指记录的属性或交易,不互相联系。身份证件的用户可能会愿意牺牲这方面控制的方便,但潜在的黑名单和监测早期绑定介绍则是显著的。正是因为这一原因,我们把问题和要求,建议通过各种组织包括(国际电信联盟,2018年),个人不能拥有多个身份。这样的要求是无害的或中性的。

表1总结了现行的景观数字身份的解决方案。我们想象的核心技术支撑这些和类似的方法可能适用于广泛兼容的实现一个协议我们在本文中描述。但是,我们怀疑在实践中他们将需要修改鼓励用户建立多个,完全独立的身份。特别是,服务提供者将不能假设用户已经绑定他们的凭证事前,如果non-transferability是必需的,那么系统将需要以不同的方式实现它。

2.3。参与者的身份系统

我们将使用以下符号代表与一个典型的交互的各方身份系统:

•(1)“认证供应商”(CP)。这将是一个实体或组织负责建立凭证根据基础数据。凭据可以作为一种身份和一般代表,组织检查用户的个人身份。在数字环境中支付,这或许是一个银行。

•(2)一个“身份验证提供者”(美联社)。这将是任何可能被信任的实体或组织验证凭据有效,还没有撤销。在目前的系统中,这个函数通常是由一个平台或网络,例如支付网络如与信用卡有关。

•(3)一个“终端用户服务提供商”(服务)。这将是一个服务需要用户提供凭证。它可能是一个商人出售产品,政府服务,或其他类型的看门人,例如一个俱乐部或在线论坛。

•(4)用户(用户)。这将是一个人类的运营商,在大多数情况下,在一个设备或机器的帮助下,是否独立代理或代表一个组织或业务。

为例,这可能是如何工作的,假设一个用户想要与当地的领事馆预约。领事办公室想知道用户是在一个特定的地区定居。用户银行账户与银行愿意证明用户在这一地区定居。此外,一个著名的身份验证提供者从银行愿意接受认证,和领事办公室接受签署了声明,身份验证提供者。因此,用户可以先问银行签署一份声明,证明他在该地区定居的问题。领事馆要求住所的证明时,用户可以将签署声明从银行身份验证提供者和请求身份验证提供者签订新的声明担保用户的地区的住所,使用来自银行的信息作为依据声明,没有提供任何相关信息银行领事办公室。

3所示。设计限制隐私作为人权

反思今天使用的各种身份系统,包括但不限于居留许可,银行账户,付款卡,交通,和在线平台登录,我们观察到大量的特性与隐私相关的弱点和漏洞(和在某些情况下安全),有可能侵犯人权。尽管1948年的人权宣言》明确承认隐私权作为一项人权(联合国,1948年),《宣言》起草之前的广泛认可的出现所造成的特定危险的广泛使用电脑进行数据汇总和分析(武装者,1975),更不用说监视资本主义(2015年企业,)。我们认为隐私的数字身份是一项人权,因此,依赖于最近考虑人权滥用的影响经济信息(欧洲议会,1999)。有鉴于此,我们确定了以下八个基本约束框架技术基础设施(我们的设计要求Goodell身上花费,2018):

结构要求:

1。最小化控制点系统可以用来拉拢。单点的信任是一个单点故障,国家演员和技术公司历史上被证明滥用这种信任。

2。抵制建立潜在的滥用过程和实践包括法律流程,依靠控制点。基础设施,可以用来虐待和控制个人是有问题的,即使那些监督成立真正是良性的。一旦创建基础设施,它可能在未来被用于其他目的,其运营商受益。

人类的需求:

3所示。减轻建筑特点导致质量监测个体的人。质量监测是控制尽可能多的是关于发现:人们当他们认为他们会有不同的行为活动正在监控评估(1945年梅奥,)。强大的演员有时使用监控创建个人奖励,例如进行营销促销活动或信用评分操作。这样的激励措施可以防止个人自主行动,机会发现违规行为,模式,甚至不当行为通常不会证明这样的机制控制。

4所示。不要强加不经同意信任关系在受益人。是一种强制的行为的一个服务提供者要求客户保持直接信任关系与特定的第三方平台提供者或认证权威。基础设施提供商不能显式或隐式地参与胁迫等,我们应该认识到它是什么和不能容忍的名字方便。

5。赋予个人用户管理联系在他们的活动。真正自由和自主,个人必须能够管理他们的活动的横截面,属性,和事务或可能发现的各种机构,企业,和国家的演员。

经济需求:

6。从建立一个预防解决方案提供商垄断地位。一些商业模式是合理的机会取得垄断地位的基础设施。垄断基础设施不仅是有问题的,因为它剥夺了用户的消费者剩余,还因为它使运营商规定的条款可以使用基础设施。

7所示。使当地企业和合作社建立他们自己的信任的关系。有机会按照自己的方式建立信任关系是很重要的对于企业在一个自由竞争市场和企业行为的方式反映了他们的社区的利益。

8。授权服务提供商建立他们自己的业务实践和方法。关键服务提供商必须采取实践工作中的价值观和他们的社区。

这些约束构成一组系统级需求,涉及人类演员、技术和他们的互动,不要与混淆技术要求都被定性为必要self-sovereign身份(SSI) (史蒂文斯et al ., 2018)。虽然我们的设计目标可能会重叠SSI系统的设计目标,我们寻求关注系统级的结果。虽然政府层面的政策变化可能需要完全实现愿景所建议的一些要求,我们希望一个数字标识系统不包含特性本质上促进他们的违反。

经验表明,控制点最终会被强大的政党,无论那些构建的意图,自己的,或者操作控制点。考虑,例如,涉嫌滥用Facebook Inc .的数据资产—剑桥操纵选民在英国和美国(Koslowska et al ., 2018)和俄罗斯政府宣称其如何影响全球的企业从事domain-fronting (Lunden 2018;Savov 2018)。固有的风险,集中汇总数据集可能会被滥用,不仅当事人做聚合也由第三方,意味着价值在系统设计中,避免了控制点和信任基础设施运营商,特别是当个人资料和生计。

4所示。数字识别系统

现有各种数字身份架构和部署执行我们前面提到的三种不同的功能:标识、身份验证和授权(莱利,2006)。我们引入第四个功能,审计,所做的判断依据系统可以解释和评价。我们描述的四个函数如下:

•识别。用户第一次建立了某种凭证或标识符。凭据可能是一个简单的登记,例如与权威机构或其他组织。在其他情况下,这可能意味着一个特定的属性。暗示可能是隐式的,作为一个特定国家的护照可能意味着公民或凭证出具银行可能意味着银行的关系,也可能是明确的,风格的attribute-backed凭证(Camenisch Lysyanskaya, 2003;IBM苏黎世研究,2018)⁴。

•身份验证。接下来,当一个服务的提供者寻求验证一个用户,用户必须能够验证凭证的问题是有效的。

•授权。最后,用户可以使用身份验证凭据断言服务提供者,她有权特定服务。

•审计。建立的标识系统将保持记录,过期,撤销证书的成功或失败可以解释任何身份验证请求。

最后,它是数字身份的治理系统,包括其内在政策和机制以及责任的个人和团体控制其操作,决定是否授权用户或奴役。我们建议适当的治理,特别是包括技术和政策的统一的方法,系统组成,避免意外后果实施至关重要。我们在第六节进一步解决这些问题。

图3给出了函数的图形表示。表2定义的符号,我们将使用我们的数据。在第三节约束枚举作为设计要求,我们提出一个广义身份系统架构,实现我们的目标。可以评估候选人在第二节系统识别通过比较他们的特性,我们的架构。因为我们打算提出一个实用的解决方案,我们开始系统目前享受广泛部署。

4.1。SecureKey礼宾

作为基准的身份框架中,我们考虑一个系统,使用银行认证提供者同时规避全球支付系统。SecureKey礼宾(SKC) (SecureKey技术公司,2015年版)是一个加拿大政府所使用的解决方案为用户提供访问它的各种系统在一个标准的方式。SKC架构寻求以下好处:

1。利用现有的“认证供应商”等银行和其他金融机构完善,制度程序确定顾客的身份。这些程序往往是受到法律框架如反洗钱(AML)和“了解你的客户”什么规定,普遍大幅代理银行和金融机构(GOV.UK 2014)收集各方身份信息,利用他们的服务,建立预期的交易模式将随着时间的推移,和监控异常活动的事务与预期不一致(更好的商业融资,2017年)。

2。隔离服务提供者从个人识别银行细节和消除需要共享特定服务相关细节与认证提供者,同时避免支付等传统认证服务提供商网络。

图4提供的程式化表示SKC架构,从它的在线文档(解释SecureKey技术公司,2015年版)。当用户想要访问服务,服务提供者向用户发送一个请求(1)⁵为凭证。用户发送加密的识别信息(例如,银行账户登录信息)的身份验证提供者(2),在本例中是SKC,然后将它转发到认证提供者(3)。接下来,认证提供者肯定地回应,“没有意义,但独特的“标识符u代表用户,并将其发送给身份验证提供者(4)。然后,身份验证提供者响应通过签署自己的标识符u′代表用户并向用户发送消息(5),这反过来又将它传递给服务提供者(6)。在这一点上,服务提供者可以接受用户的凭证是有效的。SKC文档表明SKC使用不同,链接的值u′为每个服务提供者。

4.2。一个两阶段的方法

我们可能会考虑修改SKC架构,这样用户不需要登录到CP每次请求一个服务。为了达到这个目标,我们将协议分为两个阶段,如图所示图5:一个设置阶段(图5一个)用户建立凭证的“认证供应商”(CP)服务使用的,和一个操作阶段(图5 b),用户使用证书身份验证过程中与服务提供者。设置阶段做一次,每个服务请求完成一次操作阶段。在设置阶段,用户第一次发送身份验证凭证,比如用来取钱从银行帐户,身份验证提供者(1)。然后身份验证提供者使用认证的凭据进行身份验证提供者(2),生成一个惟一的标识符u可用于后续与服务提供者交互并将其发送给身份验证提供者(3),将它转发到用户(4),然后在操作阶段,服务提供者请求从用户凭证(5),进而使用先前建立的惟一标识符u请求证书的身份验证提供者(6),这意味着用户将隐式地保持与身份验证提供者的关系,包括登录。身份验证提供者然后验证凭证没有撤销的认证供应商。验证CP凭据的过程仍然有效可能离线,通过定期检查,或在网上,要求美联社接触美联社当它打算撤销证书或要求美联社CP实时发送一个请求。在后一种情况下,美联社只查找更新的用户已经通过设置阶段,它不需要确定哪些用户请求。一旦美联社满意,它发送一个签名认证的标识符u′用户(7),将它转发到服务提供者(8)。

不幸的是,即使我们可以避免用户需要登录到CP每次他们想要使用一个服务时,身份验证提供者本身作为一个受信任的第三方。尽管SKC架构可能消除需要相信现有的支付系统,身份验证提供者维护服务提供商之间的映射和个人使用的认证供应商请求服务。也隐式信任管理的所有认证令牌,并没有办法确保它不选择他们的方式披露信息服务提供商或认证提供者。特别是,用户需要信任所使用的身份验证提供者标识符不允许服务提供者关联活动,和用户可能还不时还想使用不同的标识符与交流相同服务提供者。作为垄断平台,它也有能力税收或拒绝服务认证提供者,用户根据自己的利益或服务提供商,它是容易受到剥削的单点控制。所有的这些原因,我们主张SKC架构仍然从公共利益的角度来看问题。

4.3。一个面向用户的身份架构

在4.2节中给出的架构,身份验证提供者占据了一个位置的控制。在网络系统中,控制点赋予经济优势占领他们的人(价值链动力学工作组(VCDWG), 2005年)和相关的业务激励机会构建平台业务控制点被用来证明他们的继续扩散(Ramakrishnan Selvarajan, 2017)。

然而,控制点也让消费者风险,不仅因为控制点的占领者可能滥用其地位,还因为控制点本身为攻击由第三方创建一个向量。由于这两个原因,我们寻求防止身份验证提供者持有太多的关于用户的信息。特别是,我们不希望一个身份验证提供者之间维持一个映射用户和用户请求的特定服务,我们不希望一个身份验证提供者建立垄断地位,它可以规定条款的用户和服务提供者进行交互。出于这个原因,我们把用户,而不是身份验证提供者,中心的架构。

4.4。隔离目标

用户确定她不是提供一个通道,身份验证提供者会泄露她的身份或服务提供者可以跟踪她的活动,然后她必须隔离系统中不同的参与者。允许我们定义的约束隔离目标如下:

1。设备上的用户生成链接标识符,他们自己和信任吗。除非他们生成的标识符,用户没有办法知道确定标识符分配给他们不包含个人身份信息。用户验证标识符不会披露信息,可能发现他们后,他们将需要生成随机标识符使用设备和软件,他们控制和信任。我们建议用户信任的设备,它的硬件和软件必须开源,可审计的设计和可审计的起源。虽然我们不会期望大多数用户能够判断他们所使用的设备的安全属性,开源社区经常提供机制,用户没有专业知识可以合理地得出结论,在使用新硬件或软件,一个多元化的社区,专家们考虑并批准了安全方面的技术。这样的社区的例子包括Debian (公共利益软件公司,2019年版软件和()Arduino 2019)硬件和值得信赖的访问这些社区可能提供的当地组织如图书馆或大学。

2。确保身份验证提供者不了解的用户的身份或使用服务。身份验证提供者需要用户的基本信息,或者能够将随着时间的推移,不同的请求与相同的用户,能够收集所需信息超出严格操作的目的。身份验证提供者的作用是充当中立的频道,赋予权威认证提供者、使用者请求证书,和分离的认证供应商服务的提供者。执行这个函数不需要它来收集用户个人信息在任何时候。

3所示。确保信息给服务提供者并不与身份验证提供者共享。用户必须能够可靠地相信他或她与服务提供者交互必须是私有的。

四方之间的沟通,我们建议可以通过简单的同步协议(例如,HTTP),很容易由智能手机和其他移动设备。加密处理公共密钥可以通过使用标准public-key-based技术。

4.5。重新定位用户的中心

图6演示如何修改系统中所示图5实现上面定义的三个隔离目标。在这里,我们介绍盲签名(Chaum 1983)允许用户现在没有允许签名者和验证签名依赖方联系的身份主体的合法使用的一个服务。

图6描绘了新的设置阶段。首先,在她自己的可信硬件(见4.4节),用户自己生成的标识符x₁、…x_n她打算使用,最多一次,在未来通信的身份验证提供者。生成标识符不计算要求,可以用一个普通的智能手机。通过生成自己的标识符,没有编码的用户更好地控制可能会减少她的匿名的标识符。然后用户发送识别信息和标识符x₁、…x_n认证供应商认证提供者(1)。然后用一组签名响应对应的每个标识符(2)。然后用户发送的签名为将来使用身份验证提供者(3)。

图6 b描述了新操作阶段。首先,服务发送一个请求到用户还有一个新的现时标志(一次性标识符)y对应于用户请求(4)。然后致盲函数适用于特定场合y,创建一个失明nonce (y]。用户选择的一个标识符x_我她在设置阶段生成并发送标识符以及失明nonce (y身份验证提供者(5)]。提供的签名x_我没有被撤销,身份验证提供者证实它是有效的签署y),并将签名发送给用户(6)。用户“截断符号”上签名y并将选取签名发送给服务提供者(7)。使用盲签名确保身份验证提供者不能链接看到什么特定的用户和服务提供者之间的交互。

4.6。体系结构方面的考虑

为了满足第三节中列出的限制,所有三个流程步骤(标识、身份验证和授权)必须彼此隔绝。虽然我们建议的体系结构引入了额外的交互和计算,我们断言建议的体系结构的复杂性是吝啬的和合理的:

1。如果认证提供者和服务提供者一样,然后用户将受到直接控制和监督组织,违反约束1,3,5。

2。如果身份验证提供者一样的认证提供者,那么用户将别无选择,只能回到相同的组织在每次请求服务,1和4违反约束。该组织将能够辨别模式在其活动中,违反约束3和5。就没有独立的身份验证提供者为其服务面临的竞争不同于认证服务,违反约束6。

3所示。如果身份验证提供者和服务提供者一样,然后定位服务提供者将迫使用户使用特定的认证提供者,违反约束1和4。服务提供者也可以把限制强加给认证提供者可能揭示了一个个体,违反约束3,或如何认证提供者建立个人的身份,违反约束8。

4所示。如果用户不能生成自己的标识符,然后认证提供者可以生成标识符,显示关于用户的信息,违反约束3。

5。如果用户没有使用盲签名保护来自服务提供者的请求,然后服务提供者和身份验证提供者可以比较辨别用户的活动模式,指出违反约束5。

建议的体系结构并不能实现其目标如果认证供应商或服务提供商勾结身份验证提供者;我们假设有效的制度政策将补充适当的技术来确保敏感数据不共享的方式,将用户的利益妥协。

5。一个分散的身份架构

的一个重要问题仍在4.5节中描述的设计要求O(n²)身份验证提供者和认证供应商(即之间的关系。,with each authentication provider connected directly to each certification provider that it considers valid) to be truly decentralized. Recall that the system relies critically upon the ability of an certification provider to撤销凭证发给用户,身份验证提供者需要一种方法来学习认证提供者证书是否被撤销。在线注册如OCSP (瞻博网络,2018),它是由一个认证提供者或值得信赖的权威,是一个常见的方式来解决这个问题,尽管第三方信托违反约束的必要性1。相关的问题需要每个身份验证提供者建立自己的每个候选人认证提供者的判断业务而不是一个技术问题。分级信任关系出现因为关系是昂贵的维护和引入风险;在其他条件保持不变的情况下,企业主希望少。认为在这种情况下,浓度和缺乏身份验证提供者之间的竞争是很有意义的。如果一个或少量的身份验证提供者已经广泛的认证供应商建立联系,正如维萨和万事达等支付系统完成了一套广泛的银行,然后认证提供者的成本与一个新的身份验证提供者的关系将成为一个新身份验证提供者的门槛。身份验证可能下降的控制下的市场垄断或卡特尔。

5.1。引入分布式分类技术

我们建议使用分布式分类技术(DLT)允许认证提供者和身份验证提供者增殖而避免行业集中。分布式分类帐可以作为一种标准的方式来认证提供商建立关系与任何或所有身份验证提供者,反之亦然。分类帐本身将是一个分配机制签名和撤销签证;这将是共享的参与者,而不是由任何一党控制。图7显示用户不会直接与分布式交互分类帐但通过他们选择的认证提供者和身份验证提供者。此外,用户不会被绑定到使用任何特定的身份验证提供者当验证一个特定的凭证,甚至可能每次都使用不同的身份验证提供者。提供的社区参与分布式分类帐仍然足够多样化,控制点不会集中在任何特定的组或上下文,和市场的验证可以保持竞争力。

因为分布式分类架构本身就不需要每一个新的认证提供者与所有相关的身份验证提供者建立关系,反之亦然,它促进了新的身份验证提供者和认证供应商的进入,从而使分散的可能性。

我们认为一个分布式分类是一个适当的技术来维持权威记录的凭证(或撤销)发行和交易发生。我们不相信任何特定的第三方管理官方记录的列表,我们需要系统健壮的相当大一部分它的组成部分是妥协。分布式分类帐可以采取多种形式,包括但不限于区块链,,尽管各种容错算法共识可能是恰当的,我们假设节点操作符的集合是众所周知的,一个特征,我们认为可能需要确保适当的治理。

如果正确实现在系统层面上,使用一个分布式分类帐可以确保认证提供者和身份验证提供者之间的通信是有限的,这是写在分类帐。如果所有的盲签名都没有包括任何附带的元数据,只要个人用户不显示盲签名在分类帐对应选取签名,他或她是身份验证提供者批准,然后在分类帐将没有透露任何个人信息人员证书的主题。我们假设认证中心将有一个有限的,知名的公共密钥,他们将使用签署凭证,与每个键对应类别的个人特定的属性。匿名的大小设置为aa凭据,因此系统的有效性在保护个人隐私的用户凭据,取决于范畴的普遍性。我们将鼓励认证机构分配尽可能大的类别。我们也假设所使用的签名密钥认证的官方设定提供者和身份验证提供者也保持在分类帐,这样做会确保所有用户的系统有相同的视图的键的各种认证提供者和身份验证提供者使用。

5.2。实现分散分布的分类帐

图8显示了修改后的体系结构的分布式分类技术是可行的。图8显示了设置阶段。前两个消息从用户认证提供者与同行相似协议所示图6。然而,现在用户还生成n非对称密钥对$(x_{我},x_{我}^{*})$,在那里x_我公钥和吗$x_{我}^{*}$的私钥对吗我每个公共密钥,它发送x₁、…x_n认证供应商(1),而不是把自己的签名消息身份验证提供者通过用户认证提供者与其直接写签名证书分布式分类(2)。重要的是,证书将不会包含任何元数据只有公钥x_我和其光签名;消除元数据是必要的,以确保没有认证渠道提供商可能注入信息可能是以后用来识别用户。图8 b显示操作阶段,开始当一个服务提供者要求用户进行身份验证,并提供一些特定场合y作为请求的一部分。

认证提供者可以通过交易撤销证书的分布式分类帐和没有与身份验证提供者交互。因为用户和身份验证提供者不再认为互相信任彼此,现在必须证明身份验证提供者的用户,用户私钥$x_{我}^{*}$当用户要求身份验证提供者签订蒙蔽nonce (y)(4)。在这一点上我们假设的身份验证提供者维护其自身的副本分布式分类帐和接收更新。身份验证提供者然后指其副本分布式分类帐凭证是否被撤销,因为认证提供者撤销一个凭据或因为撤销自己的签名密钥认证提供者。提供的证书没有被撤销,身份验证提供者蒙蔽nonce(迹象y)(5),然后用户无效符号并发送到服务提供者(6)。以下信息进行完成的图6 b。

我们假设每个认证提供者和身份验证提供者都有一个独特的签名证书代表每个可能的政策属性的关键,我们进一步假设每个可能的政策属性承认为一个足够大的匿名将不能识别用户,如5.1节所述。政策可能包含一组属性的结合,因为用户可以防止任意属性的子集身份验证提供者和服务提供者,我们相信,在大多数情况下,它并不实用结构政策属性以这样一种方式,一个属性代表一个资格或限制另一个。此外,在系统层面上,身份验证提供者和服务提供者必须不需要一组属性,从同一发行人或从不同的发行人,将限制匿名集的组合在某种程度上,可能会揭示用户的身份。

5.3。操作系统离线

该方法也可以适应工作离线,特别是当用户没有访问网络身份验证提供者,它请求一个服务从服务提供者。这种情况适用于两种情况:第一,在身份验证提供者只有断断续续的访问分布式分类帐同行(可能因为身份验证提供者只有断断续续的上网),其次,在用户没有访问身份验证提供者(也许是因为用户没有访问互联网),它请求一个服务。

在第一种情况下,请注意使用分布式分类帐身份验证提供者可以避免需要发送实时查询⁶。如果从网络断开时,身份验证提供者,那么它可以使用最新版本的分布式分类检查撤销。如果身份验证提供者是最近的记录是足够满意,那么可以签记录的关键是经常旋转指示其及时性,我们应当表示美联社_T。我们假定美联社_T不可撤销,但只在有限的时间内有效。如果身份验证提供者与分布式分类帐同行,但仍与服务提供者连接到网络,那么它仍然可以从服务提供者签订nonce和往常一样。

在第二种情况下,然而,尽管用户断开网络,服务提供者仍然需要身份验证提供者的及时性的签名。广义的解决方案是适应操作阶段的协议图8 c。在这里,我们假设用户事先知道她打算请求服务在某种程度上在不久的将来,所以她发送请求身份验证提供者先发制人,连同一个一次性的标识符u_我(3)。然后,身份验证提供者验证通过总帐标识符和迹象表明,一次性标识符u_我是有时限的关键美联社_T(4)。后来,当服务提供者请求授权(5),用户响应签署一次性标识符,它已从身份验证提供者获得(6)。在这个协议,服务提供者也有一个新的责任,这是一次性的跟踪标识以确保没有重复。

5.4。实现与盲凭证不可链接性

不幸的是,5.2和5.3节中描述的架构有一个重要的缺点由于依靠用户凭证的撤销。因为证书认证提供商分类帐的帖子是明确具体的用户时,用户要求身份验证提供者验证证书,认证提供者可能与个人身份验证提供者勾结确定当用户使这样的请求。即使在协议的背景下,一个不道德的(或破坏,或强迫)认证提供者可能发布撤销信息的所有凭证关联到一个特定的用户,因此将它们联系在一起。

出于这个原因,我们建议修改的协议,以防止这种攻击利用改善metadata-resistance蒙蔽凭证。图9显示了这是如何实现的。而不是把自己的公钥x_我直接认证提供者,用户发送盲公钥(x_我),每个系列的一个具体,商定的时间间隔(1)。进而将签署的认证提供者使用盲签名方案,不允许撤销(1)认证提供者不会签署所有的公共密钥和发布证书立即分类帐;相反,它将签署并发布证书分类帐在每个时间间隔的开始我,在每个实例签约用户键与键自己的特定的时间间隔,CP_我(2)。如果用户希望每个时间间隔和欲望使多个事务的事务保持互相链接,用户可以为每个时间间隔发送多个键。

时用户请求服务,用户必须证明它是相对应的私钥的所有者(盲)的公钥,已签署的认证供应商。所以用户必须首先获得的证书签署的CP_我从身份验证提供者,它可以获得通过一个特定的请求,request-certs。然后它能找到的盲签名(x_我从列表中)和截断符号显示的签名CP_我(x_我)。它可以发送这个签名的身份验证提供者及其所有权的证明$x_{我}^{*}$像以前一样。

这个版本的协议是我们建议对于大多数用途。虽然request-certs交换可能需要用户下载一个潜在的大量的证书,这样的要求将希望表明大匿名集。此外,可能会有方法来减轻负担相关的证书由客户端加载的体积。例如,我们可能会假定服务提供者提供了一个高带宽网络连接,允许用户请求的匿名证书身份验证提供者。另外,我们可能会考虑认证提供者细分匿名集分成更小的集使用多个著名的公钥,而不是一个CP_我,或者我们可以考虑允许交互式协议之间的用户和用户的身份验证提供者自愿选择减少她的匿名集,例如通过指定的一小部分比特(x_我)来请求只有一个子集的证书。

5.5。调整支出令牌的设计

5.4节中定义的架构还可以适应允许用户一次性花牌。这个选项会特别感兴趣的社会和人道主义服务,在令牌是用来购买食物,药物,或基本服务政府机构出具或援助组织一个社区。在这种情况下,人权限制尤为重要。图10显示认证提供者如何处理用户令牌的发行人发行可使用的令牌,谁可能会代表自己或组织。

图10显示了设置阶段。我们假设服务提供者首先告诉用户,它将接受颁发的令牌认证供应商(1),然后用户发送一组n新生成的公钥,连同所需的身份或凭证信息,认证提供者(2)。我们假设令牌的目的是可替代的,所以认证供应商的问题n新的可替代的分类帐(3)令牌。我们不需要指定第二个消息是如何工作的细节在实践中;分类帐可能取决于信任模型很简单,签署一份声明递增与认证相关的值提供者的帐户,或者它可能是一个请求令牌显式地从一个帐户转移到另一个。然后,认证提供者的迹象n消息,每个包含一个失明的公钥,并将它们发送给用户(4)。消息将函数作为本票,生成密钥,用户可赎回的控制令牌。

图10 b显示操作阶段。当一个服务提供者的请求令牌(5),用户发送一条消息身份验证提供者证明它有权控制令牌认证颁发的提供者,并希望签牌到服务提供者(6),身份验证提供者,从不学习识别用户的信息,提出一个事务分类帐上分配权利与令牌服务提供者(7),生成一个收据(8),一旦交易完成,身份验证提供者与用户共享一个收据(9),然后用户可以共享与服务提供者(10),他现在可以接受付款完成。

如5.4节中描述的“主要”架构,“令牌”架构也可以配置为工作在脱机情况下通过修改操作阶段。图10 c显示了这是如何实现的。身份验证提供者的用户请求一个或多个物理“对象”,它可能采取的形式不可转让的电子收据或物理标记,可以兑换服务的服务提供者(5),身份验证提供者将对象发送到用户(8),赎回他们在未来的交互与服务提供者(9、10)。

6。治理方面的考虑

与分布式总帐系统一个重要的挑战仍然是第五节中描述的管理组织,参与分布式分类机制的共识。我们相信这将需要仔细协调当地企业和合作社,以确保系统本身不强加任何非双方自愿的信任关系(约束4),没有一个市场参与者将获得主导地位(约束6),并且参与企业和合作社能够继续建立自己的商业惯例和信任关系的条款(7)约束,即使同意的决定社区组织参与共享的分类帐。我们相信将会增强我们的方法建立一个多方利益相关者的过程开发各方之间可以交互的协议,包括但不限于那些需要参与分布式分类帐,并最终促进所需的多种不同的实现技术参与。行业组织和监管机构仍将需要解决的重要问题确定规则和参与者。我们surmize各个组织,从咨询公司援助组织,将定位为社区提供指导参与者在网络,没有实施新的限制。

6.1。开放标准

为了一个共同的,全行业的关键数据交换平台,通过一个分布式分类帐是强大的。类似的机制已经成功地部署在金融行业。建立机制采取集中管理的形式迅速等合作平台(全球银行间金融电信协会,2018),它安全地携带消息代表金融市场参与者,而其他人采取一致同意的行业标准的形式,如电子数据交换(EDI)标准颁布X12 (认证标准委员会,2018年EDIFACT()和联合国欧洲经济委员会,2018年)。分布式帐等纹波(2019)和Hyperledger (IBM 2019)提出补充或替换现有的机制。

数字身份的基础设施,我们建议最合适的申请第5部分中描述的分布式分类系统将是一个商业交易技术标准颁布一个自我监管组织认识提高与政府监管机构的合作。从金融行业是一个典型的例子最佳执行,以监管NMS (证券交易委员会,2005年),导致结构性垄断的拆除电子股票交易在美国⁷。尽管美国证券交易委员会有权强迫交流参与全国市场系统自1975年以来,直到30年后,美国证券交易委员会(SEC)搬到明确地址所享有的垄断纽约证交所(NYSE)。2005监管保护强加的规则(611年规则)”要求(ed)市场参与者向最好的价格显示在全美市场系统自动交易中心,因此建立一个关键链接框架”(证券交易委员会历史协会,2018)。垄断被打破,纽约证券交易所会员公司利润每况愈下,和纽约证券交易所在2013年最终被洲际交易所收购(路透社报道,2018)。

我们认为,分布式分类帐提供一个有用的机制,自我监管组织满足规定正是为了防止控制点的出现,市场集中度,或系统的设计反映了他们的运营商和用户之间的利益冲突。

6.2。没有主键,没有前期绑定

一个重要的期望隐式的设计我们的系统,用户可以建立和使用他们想要尽可能多的身份,没有限制。这不仅意味着用户可以选择显示哪些凭据依赖政党,也不会将用户凭证绑定到对方之前以任何方式使用。这样一个绑定将违反约束5从第三节。特别是,给定两个凭证,应该没有办法知道或证明发给同一个人或设备。这个属性是不共享的一些方案为不可转让的匿名认证,鼓励用户相互结合在一起的凭证通过主键或类似的机制(Camenisch Lysyanskaya, 2001如2.2节所述。

如果能够证明相关的两个或两个以上的凭证是相同的身份,然后一个人可能会被迫将一组凭证与彼此紧密联系起来,即使一个人可能会给一个选项来显示只有一个子集的他或她的凭证服务提供者在任何给定的时间,可能是,个体之间的联系可能会被迫透露两个或两个以上的凭证。例如,个人使用的设备可能会妥协,直接揭示了主密钥,将问题如果相同的主密钥被用于许多或所有个人的凭证。另外,个人可能会强迫证明相同的主密钥一直与两个或两个以上的相关凭证。

我们描述的系统明确不寻求依靠事前绑定在一起的凭证来实现non-transferability或用于任何其他目的。我们建议non-transferability具体站和要求可能会随相应的用例,可以解决。外源性途径实现non-transferability可能身份验证提供者要求用户存储凭证使用受信任的托管服务或物理硬件与伪造的强烈反对,如双重认证设备。内生方法可能身份验证提供者记录选取签名分类帐一旦他们提出的检查,这样多个使用相同的证书成为显式绑定事后或者是完全无效。回想一下,系统假设凭证只使用一次,认证机构将产生新的凭证为个人在有限的批次,例如以一定的速度。

7所示。用例

我们预计,可能有很多潜在的用例一个分散的数字身份基础设施,提供用户的能力来管理他们的凭证之间的联系。表3提供一个视图的用例可能分为四个类别的基础上,目的是维护权利和花牌,在服务的问题是否由公共部门和私营部门。用例涉及维护权利可能包括主张加入俱乐部的目的是获得设备,访问受限资源,或展示贴现资格,可能的基础上,年龄,残疾,或经济困难,在销售点。用例涉及支出令牌可能是破坏性的,尤其是在区域生成个人身份信息。我们想象一个分散的数字身份基础设施达到隐私的需求将会逐步部署,是否通用。我们建议以下三个用例可能特别合适,因为日常的本性,也许会是一个不错的起点:

1。进入图书馆。公共图书馆是特别敏感的风险监测(齐默Tijerina, 2018)。公共图书馆的资源是其选区的财产,和用户一组特定权利的具体时间和数量方面的限制。福利水平可以通过发行人使用不同的签名密钥管理对于每一个权利。用户限制可以以几种不同的方式执行。其中一个方法就是要求用户做押金,当时发布的资源被返回并确定适合再循环。另一种方法涉及到要求图书馆检查分类帐验证一次性凭证尚未用作提供资源的前提和要求用户购买一次性的权利凭证,只能发在返回的资源。

2。公共交通。可以学习习惯、活动和关系的个体在城市交通系统,通过监测他们的行程,需要一个系统级的解决方案已经认可(Heydt-Benjamin 2006)。标记为公共交通(例如,现收现付制或每月巴士票)可以用现金购买的一个实例,然后花了时间与每个旅行不可链接的每个人。这可以通过拥有一个发行人生产的一次性使用盲令牌,以换取现金和有一个为每个后续访问用户产生一个令牌。有时限的服务,如每月旅行通行证可以批量发布,包括签名与一个固定的到期日为一个足够大的匿名集。发行人也可以创建令牌,可以使用多次,受到同样的条件,旅行可以使用联系在一起。

3所示。无线数据服务计划。目前,许多移动设备如手机包含惟一标识符由服务提供者和相关账户可以确定当设备连接到细胞塔(GSM协会,2019年)。然而,它实际上并不是技术服务提供商必须知道某一特定客户的特殊塔连接。数据服务业务是站得住脚的,我们建议服务提供商真正需要的是一个知道他们的客户支付方式。移动电话服务的用户可以将他们的设备现在盲目的令牌,从发行者通过订阅计划,购买后在销售办事处或蜂窝塔没有透露其具体身份,从而使他们能够避免长时间的跟踪。令牌可能是有效的在有限的时间等一个小时,和一个客户会提供一个令牌在有限的时间内接受服务。系统设计考虑可能会包括隐私的程度和效率之间的权衡之间的移动切换塔或时间段。

我们不能预见或声称,我们的系统将适用于所有的目的可能需要一个单独的电子凭证。我们会想象,获得安全许可或执行某些职责与公职可能明确需要统一的身份。某些活动与国家安全相关的由普通的人员,如跨越国际边界,也属于这一类,尽管我们认为这些用例必须相对狭小的通过记录链接提供有限的监测价值。特别是,连接任何强烈的不可转让的标识符或凭据的身份个人使用常规活动(如社会媒体,例如,或上述用例)将专门妥协他们的隐私权。其他应用领域,如涉及公共健康或医疗记录,呈现特定的并发症,可能需要不同的设计。某些金融活动需要与监管的金融中介机构互动AML和KYC规则,正如4.1节中提到的。出于这个原因,实现隐私为金融交易可能需要一种不同的方法,与现有的金融监管(Goodell身上花费,2019)。

8。结论和未来的工作

我们认为个人的能力来创建和维护多个无关的身份是一个基本的,不可剥夺的人权。数字经济的功能,同时支持这个人权,个人必须能够控制和限制别人可以了解他们的许多交互与服务,包括政府和机构服务。

我们引入了一个框架,一个开放的数字身份架构促进身份的实现架构,满足约束我们认为必要的保护人权,我们相信强大的技术的结合和深思熟虑的政策将有必要促进和保证实现,部署和使用的技术,满足他们。我们已经阐述了八个要求技术基础设施和证明他们可以通过分散的架构来实现。我们的框架不寻求强劲non-transferability通过前期绑定的方法,我们认为可以使用分布式分类帐不仅实现隐私目标还提供另一种选择non-transferability强劲。我们已经识别出与可伸缩性和治理相关的挑战,我们还演示了如何在令牌通过这样一个系统,以及如何使用该系统在离线情况下。

未来的工作可能包括正式的信息安全属性分析系统根据这个框架设计,以及一个概念验证实现的发展和相应的评估相关的各种实现权衡不同的用例。我们建议不同的用例需要显著不同的设计选择。

的具体机制促进社区参与的组织取决于那些组织和组织之间的关系,最终认为确保系统的角色并不对用户非双方自愿的信任关系。必须指出,任何系统,把控制权交给最终用户教育的负担,为系统的完善和维护它的作用在保护公众利益。因此,未来的研究必须包括案例研究类似的系统已经开发出来,如何部署,随着时间的推移和维护,在各种不同的社会和商业环境。

作者的贡献

GG是主要的作者进行研究和写论文。助教指导研究,编辑引用的论文,观众框架,与现有的文学语言和语境化。

的利益冲突

作者声明,这项研究是在没有进行任何商业或财务关系可能被视为一个潜在的利益冲突。

确认

我们感谢瓦莱丽汗,埃德加·惠特利,保罗马金,奥斯卡王深思的见解。GG也是一个副中心的技术和全球事务牛津大学。我们承认工程和物理科学研究委员会(EPSRC) BARAC项目(EP / P031730/1)和欧盟委员会(European Commission) FinTech项目(825215年h2020 - ict - 2018 - 2)。助教承认经济和社会研究理事会(ESRC)资助系统性风险中心(ES / K0 02309/1)。这个手稿已经发布预印http://export.arxiv.org/pdf/1902.08769。

脚注

引用