Self-Sovereign身份在全球化的世界:作为经济的驱动程序包含基于凭证的身份系统

介绍身份管理系统

在本节中,我们将介绍一套原则和术语相关的身份空间,尤其是应用于技术用于实现身份管理系统,如web标准,密码学,区块链帐,和cryptocurrency应用程序。

初步定义

在身份目前很多混乱空间对于特定的核心术语如“身份”和“标识符”,“属性”和“角色”,往往交替使用,含糊不清地,没有正确定义每个术语的意义和范围。我们在这里提供一个初步的这些术语之间的区别,以及初步定义,将在本文的其余部分中使用。

一个“身份“以不同的方式定义,根据领域的努力。在心理学中,它通常被用来指所有一个人的心理特征,包括人格、信仰和其他个人属性(Strohminger et al ., 2017)。在社会学中,它包含了文化、历史、宗教和传统,一个人是它的一部分(象牙海岸,1996)。从法律的角度来看,身份可以联系到的概念(即“自然人”。,一个真正的人类),或“法人”(这可能是指一个公司,一个信任,合作,或另一个集体的人确认为一个人根据法律)。

对于本文的目的,我们使用“身份”的术语来描述一个人的所有属性,唯一定义了人的一生,提供一致性和连续性,尽管不同方面和条件。因此,我们区分的概念”数字身份”描述之间的关系,拥有专门的和本身¹,的概念”定性的身份”只是描述不同的事物的属性的共同点(加勒特,2002):只有当两件事之间有总定性的身份,这两件事可以看作是数值相同。

然而,即使在数字身份的背景下,重要的是要注意,身份的属性可以随时间而变化。身份的形成是一个持续的过程,一个人的身份是发达的多年来,不断发展的结果与人的交互环境(Eakin 1999)。因此,身份是动态的和多方面的,因此,每个身份管理系统必须以这样一种方式设计要足够灵活,弹性和动态适应变量和复杂的人类身份的本质。然而,无论这些系统的复杂性,没有身份管理系统将能够明确捕获的所有方面的身份。实际上,只要我们试图设计一个系统来管理和分类各种不同的身份,重要的是要理解从一开始就这样的分类不一定会减少每个特定的方面或用例的身份组成²。

一个“角色”是一个身份的一个特定方面,表达在一个特定的上下文。而独特的身份定义了一个人,同一个人可以拥有多个角色,根据社会背景,考虑到(南,2002)。例如,爱丽丝可能是一个专用的妈妈为她的女儿和她的丈夫一个贤淑的妻子。她可能是一个可信赖的朋友,她的一些同事,和严格的管理员工。这些角色都是同一身份的一部分,但可能显示略有修改特性或心理特质。从技术的角度来看,他们可以被描述为假名或实际身份(骤然加剧,2013)。虽然身份是一个抽象的概念,涉及到个人作为一个整体,一个人物任何身份管理系统是一个关键组成部分,因为它与个人“验证”自己的系统(托斯和Subramanium, 2003)。

一个“属性“描述一个至关重要的,一个人明确的产权,使它作为一组给定(或类)的人。因此,一个属性通常不是唯一的那个人。每个人都可以有一个无限数量的属性:元素(如性别、身高、体重、障碍或固有能力的人,或元素如民族和国籍,已分配(和可能撤销)由第三方,以区分或组织人们特定的类别(例如,美国与法国公民)。当然,大多数的这些类别是抽象类,可以任意定义,即使他们指固有财产。考虑属性的“红发”,限定一个人作为红头发的一部分人。显然,这是一个自然、non-revocable属性,然而,红头发的人有点任意定义的类(什么是红色的阴影,使有人这样吗?)。同样,“性别”类别已经很长一段时间有限的“男性”或“女性”是最近被扩大与识别为“非二进制的人的出现。”最后,属性的关键特征之一是,因为他们是为了一个实体分类到特定的类别,他们不是独特:多个实体可以共享相同的属性。

一个“标识符”,相反,并不打算描述或限定一个人,而是作为“参考”真实身份(或一个特定的角色)。因此,标识符通常指定由第三方(任意),对于一个特定的用例或域(例如,一个人的法律名称,一个社会安全号码,或一个简单的用户名)。在其他情况下,他们可以是一个特定的表示一个实体的可观察到的属性(如指纹或其他生物识别数据)。重要的是要注意,这两个属性和标识符,从严格的技术角度来看,仅仅是数据的字符串可以使用来验证一个特定的个体(或角色)。根据手头的域,可以使用相同的数据字符串符合一个实体作为一组一员,区分不同的成员,或内惟一地标识一组。然而,属性和标识符不同对他们的目的:一个属性(作为“限定词”)旨在分类的人在一个特定的类别,而一个标识符(作为“参考”)的目的是识别一个人在一个特定的领域。因此,尽管一些身份管理系统允许多个个体共享相同的标识符(例如,许多人共享一个相同的名称),或对一个人有多个标识符(例如,在匿名的情况下),为了便于识别和身份验证的过程,通常是理想的一个标识符能够识别一个人的独特的和明确的方式(Jøsang和教皇,2005年)。这需要一个身份管理系统来满足至少两个基本标准:(1)没有两个人应该有相同的标识符(单一性),(2)没有人应该不止一个标识符(奇点在相同的领域)。

根据这一点,大多数标识符是由一个随机字符串的字符是独一无二的在一个特定的领域。这些通常是发行的一个集中的实体,如政府机构或行政机关,如护照号码的情况下或社会安全号码;或一个公司或组织,就像一个银行账户或一个电子邮件地址。集中,在这种背景下,有助于确保标识符是一定程度的信心独特的(即。,相同的社会安全号码)和未分配给两个不同的人单数(即一个身份。,没有人可能不止一个社会安全号码)。

或者,可以生成一个标识符直接由人,像一对加密密钥的情况下用于访问cryptocurrency钱包。在这种情况下,单一性保证了数学至少一个很高程度的概率(Schartner和谢弗,2005),但奇点不能保证(即。,同一个人可以生成多个标识符)。同样的,分散的标识符(所做的)是一个开源的基于web的标准,它使用一个网址(URL)作为唯一标识符包含或指向公共识别身份的信息主题。公众识别信息与可能包括公开可见的凭证或证明,或公钥/地址cryptocurrency钱包。通过这种方式,并可用于结合区块链技术和公私密钥对(穆勒et al ., 2018)。

最后,最近的技术进步使人们有可能开发生物标识符,直接关系到一个人的身体,就像指纹,虹膜扫描或者人脸识别。如果我们的折扣可能的错误和不准确的相关技术(Proenca和亚历山大,2010;Canham 2018),都经常被吹捧为生物标识独特的和单数一个身份。然而,生物特征模板是有限的,即使是最先进的扫描工具只提供近似表征(Nagar et al ., 2010)。稍微缓解,多通道生物识别技术(虹膜扫描,结合指纹、人脸识别等)提供更高程度的罕见(罗斯和耆那教的,2004年)。最终,这一切都取决于人口的大小设置(Duta 2009):给定一个人口不多,据说这样的标识符可以unique-although这造成了严重的隐私问题(详情见下文)。

标识符的相互作用、角色和密钥对

关于互联网,最基本的标识符,在网络层,是IP地址,这使得它可以路由数据包从一台机器到另一个,直到它到达正确的机器。IP地址不传达任何信息机器它指(即。,这不是一个属性),然而,在某些情况下,可能一个IP地址关联回一个特定的个人或组织,可以确定其身份相关的互联网服务提供商(ISP)。³

在应用程序层、用户帐号和密码是用来识别特定的角色(这可能是人,公司,机器或其他实体)在线服务进行交互。虽然这些也不提供,因此,任何个人角色的信息,许多在线服务提供商要求用户沟通附加属性或标识符(例如,真实姓名,年龄,等等),以确保只有合法的个人可以访问服务。

然而,值得一提的是,对于一个IP地址和用户帐户,只有一个子集的这些标识符可能会解决自然人。事实上,这些标识符仅仅是指一个特定的端点与一个在线互动服务,但没有保证这个端点可以唯一地与个人身份有关。例如,一个IP地址可能使用多重性的人,如今,许多用户帐户控制的机器人,而不是人。

上下文中的blockchain-based系统标识符通常是通过公钥/私钥对,唯一地标识钱包持有人(De菲利皮主持和赖特,2018年)。然而,这些也不传达任何个人识别信息的人,除非有关的额外信息(Androulaki et al ., 2013)。因此,相同的实体(一个人,一台电脑或机器人)可能拥有或控制多个密钥对,作为密钥对不一定指个体身份。例如,玛丽对她拥有密钥对比特币钱包,和一个不同的密钥对醚的钱包。

从技术角度来看,公私密钥对都证明监护权和所有权cryptocurrency或标记化的资产在一个特定的数字地址,或钱包。私钥必须执行事务的区块链地址由公钥标识。事务是不限于crypto-asset如比特币的转移或乙醚,但也可能代表转让或发行密码令牌通过智能合同事务(赖特和De菲利皮主持,2015年)。一个例子将是一个数据访问令牌,它的主人的数据集(如健康记录或信用记录)问题第三方希望访问的一些数据。令牌就如同一个关键数据存储,和事务的令牌被记录在一个区块链分类帐记录已经被授予的权限和访问(美沙et al ., 2017)。

在公共和无许可⁴区块链像比特币或Ethereum,经营没有任何集中的权威或中介操作符(De菲利皮主持和Loveluck, 2016年),维护网络的节点(例如,“矿工”)没有关联到一个特定的身份(El Haddouti和El Kettani, 2019年)。在许可区块链,一个集中的实体或财团负责识别或治安维持区块链分类帐的节点,每个矿工密钥对由通常与现实世界的身份(Hardjono Pentland, 2019)。依赖真实身份提供了额外的警察的能力(惩罚),从而使许可blockchains省掉一些匿名的安全措施(或匿名的)无许可公众连锁店必须使用,例如,工作或股份的证明(证明谢瑞尔et al ., 2016)。需要注意的是,用户必须信任治理实践中央实体或财团治安许可区块链(戴维森et al ., 2016)。

集中识别系统基于惟一标识符与多方面的网络信任的索赔和凭证系统

正如前面所讨论的那样,任何正常运转的身份系统的关键原则是“单一性”和“奇点的性质。“唯一性是指每个标识符是用来唯一地标识一个(且只有一个)的个体,即。,没有两个人应该有相同的标识符。奇点是指这样一个事实,每个人拥有一个(且只有一个)标识符在一个特定的领域,例如,没有两个标识符应该指的是同一个人。

可以实现唯一性没有集中的权威,因为数学原语可以确保没有两个人得到相同的标识符,即使没有中央权威协调标识符。每个身份提供者可以使用非常大的随机数问题一个标识符,即使有一个理论上的可能性,两个演员问题相同的标识符不同的受益者,如此之低的概率是可以忽略不计。

为了实现这些奇点的需求,然而,大多数现有的身份系统依靠中央权威,确保每一个独特的和明确的标识符是与一个单一的身份(Kulkarni et al ., 2012)。集中的权威必须收集个人信息,以确保任何标识符的奇点发布到系统中。这样一个系统通常是昂贵的和官僚,在政治上可能不切实际的用例的移民(尤其是弱势群体的移动),并受高隐私,数据滥用和网络安全风险(惠特利和侯赛因,2010)。例如,2012年,印度发起了Aadhaar身份管理系统,利用生物特征数据,以确定其13亿inhabitants-many其中没有任何正式的识别(Sarkar 2014)。参与到Aadhaar系统已成为一个要求印第安人获得社会福利,在学校注册手机或寄存器。然而,这样一个系统引起了人们的担忧来自公民自由团体(Jain和Nandakumar, 2012年),与多个诉讼之前,印度最高法院这样一个系统是否违反了印度的宪法隐私权⁵。

理想情况下,一个身份系统应该尊重身份和本质的多看看不同的属性或角色根据用例。只有少数的用例实际上需要一个独特的和奇异(即个体之间的联系及其标识符。,个体被确定由一个惟一的标识符在一个特定的域)。这可能是投票的情况下,一个人应该排除在多次投票下多个标识符(帽,Maibaum, 2001;阿尔瓦雷斯et al ., 2009)。

替代基于独特而非凡的身份系统标识符是一个基于索赔和凭证的系统(Rannenberg et al ., 2015)。在这样一个系统,身份不是减少到一个权威的标识符,如生物或政府发行身份证号码;相反,身份是通过网络定义基于索赔和凭证网络的信任⁶身份验证(哈雷,里夫金,1997年)。这样一个系统更好的反映人类身份的多方面的性质,允许不同配置文件和角色出现通过结合不同的主张和凭证根据用例。一个概要文件,适合一个贷款申请可能不同于使用的一个公共论坛。而这样一个系统将不一定保证个人使用该系统的奇点,它适合大多数日常用例。

对社会经济包容性的角色身份

多年来,世界银行强调需要每个公民被赋予一个有效的身份证明,如识别已成为金融包容的必要性和获得基本服务和权利。具体来说,从发展的角度来看,世界银行最近的一份报告⁷任何识别系统识别三个总体目标:

•包容和获得基本服务如医疗保健和教育、选举权利,金融服务,以及社会安全网方案;

•有效和高效的政府公共服务的、透明的政策决策和改进governance-particularly减少重复和浪费;

•更准确的测量的发展进步在降低孕产妇和婴儿死亡率等领域。

然而,时至今日,超过15亿人被排除在访问基本服务由于其无法证明自己的身份⁸。绝大多数的这些人都位于亚洲和非洲,缺乏适当的地区基础设施登记出生和其他生活事件(例如,在南亚和撒哈拉以南非洲地区,分别只有39岁和44%的儿童出生登记⁹),一般属于一些最贫困的人口。

与此同时,据联合国难民署¹⁰那些流离失所,目前有超过7000万人由于冲突或迫害,其中2500万refugees-mostly来自叙利亚,阿富汗,和南苏丹。也有大约四百万无状态的人,一直否认一个国籍,因此被切断获得基本服务和权利。这些数字预计将增长在未来几年,尤其是考虑到日益恶化的气候谈判蒙的影响已经被认为是政治冲突的一个关键因素¹¹,作为一个重要的驱动程序内部和国际移民¹²。

根据这个,联合国最近推出了ID2020联盟¹³多方利益相关者合作,汇集了跨国组织、非营利组织、企业和政府,所有面向的目标确保数字身份负责实现和广泛的访问。联盟的目标是双重的:一方面,它负责定义参数和伦理数字标识系统,另一方面,它负责资金和实现数字身份与社会公益项目的心态。除此之外,ID2020联盟还创建了一个认证标志¹⁴用于标签技术解决方案,满足技术标准和要求建立的联盟和满足的原则可移植性、持久性、隐私和用户控件。

许多概念验证目前正在开发的公共和私人机构提供数字身份目前缺乏正式鉴定的手段¹⁵。然而,当设计这些标识解决方案,重要的是要确保一个演员不持有和控制每个识别个体的人格同一性的记录,这可能会提高重要的隐私问题。在难民中缺乏适当的识别,特别是数字身份可以作为一种手段来识别特定个人或家庭有资格获得现金援助或其他类型的好处。然而,因为这些人口的脆弱,特别重要的是找到方法来识别这些个体在一个独特的和明确的方式,同时确保他们的隐私保护。这就需要设计一个身份管理系统,最大限度地减少的控制一个演员的个人信息的难民人口。

因此,尽管它仍然是技术无关,ID2020联盟显示区块链技术尤其感兴趣,作为一个可能的解决方案来提供数字身份的方式既可追踪的和不可改变的,可能并不是一个公司或组织的控制下。ID2020定义的一个基本需求的数字身份,事实上,身份保持移动,人们保持控制他们的个人数据,选择和谁可以共享和用于什么目的。

一些非营利组织在人道主义部门也参与定义的最佳实践和指导原则,以确保人们处理移民和难民尊重他们的隐私和数据保护的基本权利。核心文档已经在这方面发展,包括“数据管理手册”(Blazewicz et al ., 2012),隐私国际的报告(2018年)的“人道主义的元数据的问题,”¹⁶红十字国际委员会的“人道主义行动”数据保护手册(红十字国际委员会,2017),具体地址额外的隐私需求交互时必须到位,脆弱的人。所有这些指导方针邀请组织提供人道主义援助,采取所有必要的措施保护所有有关的人的个人资料,同时关注人道主义的核心原则——“不伤害”和促进人类尊严。

然而,即使组织收集数据方面所有的这些隐私准则,任何集中的机构持有这样的大量个人数据不可避免地构成一个单点故障,这可能会无意中导致显著的数据泄漏。真正分散的解决方案使人们保持完全控制他们的个人数据(真实self-sovereign标识解决方案),但缺乏集中的数据库的身份将很难保证“单一性”和“奇点”的身份。

一个确定的解决方案提供一个持久的身份从出生,而不需要一个集中的权威负责将一个特定的标识符分配给每个人,是依靠生物特征数据来生成一个惟一的标识符(生物散列)关联到每一个人。事实上,没有一个集中的权威能够确保没有同一个人注册两次身份,确保标识的奇点的唯一途径,没有公开透露任何敏感数据对个人而言,是让这些标识符与cryptographically-hashed生物识别信息。这个生物散列可以用作一种认证的手段,因为它可以很容易地验证通过比较它与另一个生物散列,但它不能用于检索有关个人的生物特征信息。

然而,尽管这种模式很可能提供重要的隐私利益,它有奇点的警告标识符与系统的可靠性呈负相关¹⁷。事实上,唯一性和奇点是一个程度的问题:不同的标识符具有不同特点可能将自我定位在不同的连续的点。虽然生物数据可以用来创建独特的和明确的标识符,他们是否通过足够阈值的奇点最终将取决于技术复杂程度和人口的大小(Bhargav-Spantzel et al ., 2010;Unar et al ., 2014)。下面我们分析这些系统的好处和风险,为了评估在多大程度上他们可以合理地用于难民的识别和援助支出的目的。

生物特征身份识别系统的益处和风险

使用生物识别技术的身份管理系统有几个优点。如果人们可以识别自己通过他们的生物识别技术,他们不再需要使用密码(通常是弱密码更容易记住,但很容易破坏)。只要生物很难伪造(或更昂贵打造打破弱密码)相比,生物识别技术可能比现有的相对更安全的身份验证系统。然而,使用生物识别技术在身份管理系统可能会引起重大的安全和隐私风险,取决于如何使用生物识别技术,存储和许可(角色et al ., 2003)。例如,生物识别技术存储在集中式系统,减少数据访问政策或安全设计的措施,可能会受到更大的安全风险比如果数据本地存储在用户的设备(穆勒,2010)。

因此,近年来,已经有越来越多的研究和行动研究分散的基础设施的使用,主要是基于区块链技术,引导新类型的self-sovereign身份管理系统(巴尔,2016;Jacobovitz 2016;托宾和里德,2016;Dunphy Petitcolas, 2018),结合生物识别技术作为一种手段,以确保在这些系统奇点的身份(Hammudoglu et al ., 2017;加西亚,2018;奥斯曼和卡拉汉,2018)。

没有进入这些解决方案的优点,我们描述以下这些身份管理系统的基本操作和程序方面,关注时必须考虑的关键问题设计一个标识系统,依赖于blockchain-based基础设施和生物信息识别和身份验证过程的一部分。

分散的基础设施与集中保管钥匙

所有blockchain-based系统依靠公私密钥对记录信息(包括,但不限于,金融交易)在一个共享的和分散的分类帐。因此,任何blockchain-based身份系统的一个重要方面是谁最终拥有或控制必要的私钥来执行一个事务。在这一点上,一个重要的区别需要分散blockchain-based之间的基础设施,和blockchain-based标识系统管理的机制与每个实体相关联的键。

区块链是分散的,因为它的事务历史是永恒地记录和维护计算机的分布式网络节点,为了防止系统性盗窃(即。历史,改写事务,使支出)的两倍。区块链网络的分散性质不,然而,适用于钥匙的保管和安全存储,控制网络的个人钱包(身体,劳赫2017)。集中控制和存储这些键是一个重大的安全漏洞,解释了许多引人注目的cryptocurrency交换抢劫案。从纯技术的角度(尽管法律和合同义务),资产的所有权的区块链是等同于控制资产,这是通过私钥管理包含资产关联到一个钱包。以至于cryptocurrency与钱包的交流控制相关联的私钥(或账户内部交流)包含客户资金,他们也有效地控制这些资金,因为这些密钥托管最终意味着完全控制的资金存储在account-much像物理纸张现金(菲利皮主持,2014)。因此,因为客户的私钥没有适当分散的方式存储和安全,这些集中交流迅速成为有价值的“蜂蜜罐子”吸引攻击者(杰拉德,2017)。

生物识别技术与cryptocurrency结婚时,重要的是不要使用生物特征数据作为私钥的种子解锁进入cryptocurrency基金。否则,谁能获得对个人的生物特征数据的访问能够获得个人的私钥,因此解锁cryptocurrency基金。从安全和隐私的角度来看,这样的一个系统比普通集中式cryptocurrency交换更危险,作为生物识别数据包含最敏感的和不可改变的个人识别信息(van der Ploeg, 2003年)。简而言之,即使分散区块链基础设施如比特币或Ethereum用作身份的支柱系统(2014年德菲利皮主持和毛罗。),分散的安全好处不转让只要保管钥匙仍然集中没有减轻安全设计因素。

识别和验证

接下来,当评估一个识别系统,识别类型的信息是很重要的,必须提供在不同步骤的过程中,作为个体登记成一个特定的身份系统,当他们在系统进行身份验证。下面我们分析各个步骤biometrics-based身份系统。

招生

招生是一个过程,创建一个新的用户身份的生物系统。每个用户必须提供有关生物样品(如指纹、虹膜、脸)将被生物扫描仪或类似设备。收集到的生物数据将被用来生成一个生物模板和生物标识符,与个人信息(如人口数据)用于后续的认证(Araujo et al ., 2005)。

身份验证

验证的过程,个人注册到系统后,系统检查这些人是否有适当的权限来访问一个特定的服务或受益于一个特定类型的援助,通过匹配新的生物对生物样本模板中创建注册(2003年奥格尔曼说道)。身份验证阶段可以分为两个不同的步骤:识别和验证。

验证

验证是验证一个人的身份的过程。它提供了一个答案:你你说你是谁?这是一个一对一的匹配过程,新的生物样本匹配一个经过验证的记录。这是使用指纹或面临的情况下扫描访问设备如电脑或手机。目前,标准的做法是,生物特征加密格式的记录存储在本地和实际设备(Schneier 1999)。因此,移动应用程序开发人员和设备制造商都访问模板。原始扫描用于创建的模板匹配的目的是摧毁,所以是新的扫描每一个新的登录时,匹配过程完成后(Uludag et al ., 2004)。

生物特征模板的本地存储在设备上(而不是一个中央服务器)是一种分散的数据存储,可以进一步分散的生物特征模板分解成多个部分,一起为了必须可读。这种方法保护隐私和提高安全(Zibran 2012)。

识别

识别是一个过程,检索一个特定个人的身份,基于一个标识符。它提供了一个答案:你是谁?这是一个一对多匹配过程,即一个新的生物样本是许多模板匹配身份数据库来检索相关的特定身份一直是(Jain et al ., 2007)。

理想情况下,样本扫描应该销毁一旦交易完成。然而,原始生物模板一定必须存储在一个服务器上,或者其他运营商的身份访问系统,用于匹配的目的。因此,而不是验证过程,可以在用户的设备上完成,在识别过程中,生物特征模板需要在线访问。为了减少安全风险,因此重要的是要确定安全机制分散存储和处理的数据(Ganapathy et al ., 2011),比如安全多方计算(Goldreich 1998)或基于同态加密的新兴解决方案(绅士,然后再2009)。

个人控制和组织控制的个人数据

除了情况生物模板存储在本地用户的设备上(主要是用于验证),在所有其他情况下上面所描述的那样,下的生物特征和个人识别信息不是拥有数据的主题,而是组织的收集、存储和管理数据的一个特定的身份系统。在数据保护regulations-especially Europe-enable主题限制的数据收集和处理个人资料(Tikkinen-Piri et al ., 2018),一旦收集到的,这些数据可能保持的控制下谁拥有硬件(服务器、设备)数据存储的地方。也是如此的行为对他们的用户和社会企业收集的数据,在统计上编译的身份资料可能用于广告,选择信用评分、身份验证等(Bygrave, 2012)。

隐私法和数据保护法规提供一些保护的信息可能存储、使用或收集。然而,数据保护法规仅仅实施数据收集器和处理器获得的义务通知和明确的同意从数据对象才能从事个人资料的收集或使用一个特定的目的(Kosta 2013)。一些jurisdictions-such欧洲新颁布的通用数据保护监管¹⁸——引入额外的权利,包括对数据的可移植性¹⁹和擦除^20.(即被遗忘的权利)。然而,这样的保护并不存在,有可能个人数据(包括生物模板或样本)仍将是孤立的组织控制它们,没有真正的可能性为主题的数据请求删除或数据除非这样的可移植性组织实现他们自己的隐私政策,执行这些要求。

生物识别技术与其他类型的标识符

虽然生物识别技术提供有趣的好处一个身份管理系统,他们不是没有任何缺点。首先,利用生物特征数据来创建一个奇异而独特的标识符要求个人认为自己是一个且只有一个形象甚至当没有必要为一个特定的用例(Jain et al ., 2004)——可能存在重要的隐私问题,尤其是在政治难民的情况。

生物识别技术也可以更多的问题比传统形式的身份验证(例如,密码和其他标识符这样的密码,硬件设备,等等),因为一个人不能改变他或她的生物数据(角色et al ., 2003)。重要的是,生物信息是有效的公共信息:我们离开生物信息无处不在,例如,指纹,DNA,记录我们的步伐,我们的脸的照片或irises-from先进的计算机算法可以提取生物模板(莫蒂妮了起来,2008年)。指纹很容易被盗,复制,或取消。人脸识别可以通过照片或视频很容易欺骗。虹膜扫描或者行为生物识别技术,如步态可能更困难或昂贵的恶搞或复制,但不简单(例如,隐形眼镜可以愚弄虹膜扫描)。因此,由于其固有的公共性质,生物识别技术只能作为用户名(即。公钥),而不是密码(即。私钥)。只要使用生物识别技术,需要某种形式的第二因素身份验证,如销或物理标记,验证照片ID或一个物理存在的人(美国莱恩et al ., 2013)。

此外,我们的身体受到物理变化。虹膜扫描成为由于白内障。指纹可能消失由于劳役或烧伤。步态可能改变由于老化、事故或疾病。一项研究显示²¹美国国家标准与技术研究院(NIST),即使在健康的人,单一的错误率虹膜扫描的范围可以从2.5%上升到20%在一些情况下显著比例的世界人口75亿人。作为身份从业者喜欢Vinay古普塔认为,因为复杂的变异和细微差别的生物形式,根本不可能依靠生物措施作为人类的奇异而独特的标识符。²²事实上,如果生物识别技术作为一个通用标识符的身份和权利,这些基线错误率在百分之三的后果可能会麻痹和可怕。例如,在印度的生物识别ID系统的情况下,一项研究显示,20%的家庭,在贾坎德邦状态没有得到他们的口粮将生物识别技术的错误,这是五倍高于普通配给卡的失败率²³。

最后,因为公众的生物识别技术为更多的“科学”,因此更多的权威,生物识别技术的缺点错误是经常被忽视。然而,如果一个生物标识符用作身份的支柱管理系统用于保护基本权利和特权,它不能灾难性的失败,即使失败的概率非常小。理想情况下,正常运转的身份系统必须是弹性与低概率,但非常重要的负面事件和收益价值增加输入和与世界的互动。然而,身份系统,依赖于生物识别技术作为唯一权威的标识符不仅是脆弱,脆弱的系统(弗里德曼et al ., 2011),它从网络安全和隐私的角度也很有问题(角色et al ., 2003;Campisi 2013)——尤其相关的移民和难民等弱势群体。

Self-Sovereign身份和凭证管理系统

self-sovereign身份的概念已经出现在过去的几年里,虽然还没有约定定义术语到底意味着什么(范Wingerde 2017)。一般来说,self-sovereign身份是为了保持正确的选择性信息披露的一个的身份和各种组件的不同方面,在不同的领域和上下文设置。这无关地应用这些方面和组件是否应该被一个特定的政府,公司,或组织。更具体地说,self-sovereign身份也指的是个人应当保持控制他们的个人资料,在一定程度上,代表他们的身份(或角色)在一个特定的身份管理系统。这需要给他们建立的能力(和控制)谁有权访问特定的信息,与高度的粒度(Der et al ., 2017)。

从技术角度来看,self-sovereign身份通常被认为是网络身份管理的新范式,即个人和实体可以管理自己的信息(即标志。、标识符、属性和凭证或其他个人资料)在本地存储它们在自己的设备上(或远程分布式网络)和选择性地给予授权的第三方访问这些信息,而不需要引用任何可信的机构或中介运营商提供或验证这些说法(穆勒et al ., 2018)。这允许更大的控制个人识别信息,或其他相关数据对个人或实体。因为可以各种格式的数字标识符,一个重要的全球身份系统要求是建立技术标准的互操作性。下面我们描述的最普遍的标准,分散的标识符(做),我们前面提到的。

开源数字身份和可核查的Web标准

万维网联盟(W3C)是一个开放的互联网技术标准的身体,在分散的标识符()标准。²⁴确实是一种新型的可核查的标识符,self-sovereign数字身份,这也是很普遍的发现和可互操作的一系列系统。²⁵支持的标准是分散的身份基金会,一个财团的公司正在开发和构建应用程序使用标准,包括微软、IBM、Hyperledger,埃森哲,万事达卡,RSA,和所有的主要区块链等企业公民身份和数据,uPort, BigChainDB Sovrin,和许多其他人²⁶。

做的是url(即。独特的网址),解决了文档,它提供了如何使用特定的信息²⁷。例如,一个文档可以指定了一个特定的验证方法(如加密公钥或匿名的生物识别协议)可以用于身份验证的目的。做文档也可能引用了一系列的服务端点,使进一步的互动做的控制器。例如,可以引用的位置相关的个人资料,请求者将需要问权限访问了控制器(McMullen et al ., 2019)。

本身是只用于身份验证的目的。结合使用时就特别有用可核查的索赔或credentials-another W3C标准,可以用来制作任意数量的证明了主题(Dunphy Petitcolas, 2018)。这些证明包括证书和认证,授予访问权限或特权。例如,一个可核查的要求可以证明,一个人了解你的客户什么批准,因此有资格开一个银行账户,同一个人的资格认证的驱动,或授权访问某些项目作为一个系统管理员(Aydar Ayvaz, 2019)。

可核查的要求包含了它的主题(例如,银行客户)的认证(如KYC批准),而且必须签署的个人或实体使用私钥进行索赔与索赔有关发行人的(如银行)。可核查的索赔因此方法信任政府,比如银行,证明地出具认证证书关联到一个特定的。并声称仍是主体的控制下,可以用来证明了主题的特定属性,独立于证书权威,身份提供者或集中的注册表(巴尔,2016)。证明是实际的主题,(通过指定的身份验证方法)将使个人或实体受益于与这些凭证相关的访问权限。

虽然是独立的,不需要区块链技术,它们被设计成与任何分布式分类帐或区块链网络兼容。自从做了可能与一个特定的有关私人/公共密钥对用于签名的身份,可以把密钥对(即。,导致的密钥对)和密钥对用于签署金融交易区块链。最重要的是,做规范还可以将特定的方法,它指定程序键注册,更换,旋转,复苏,过期。已经实现了一些方法计划到目前为止,利用区块链的韧性和抗干扰技术来管理做的(例如,BTCR, Blockstack, Ethereum ERC725)²⁸。W3C组织正在努力确保不同技术之间的互操作性的方法。

然而,重要的是要注意,鉴于区块链的透明度和不变性,个人信息不应存储在区块链本身(菲利皮主持,2016)。然而,区块链可以用来跟踪的许可和访问的个人识别数据存储off-chain,从而创建一个可审计的信息访问的踪迹。因此,除了标准化的方法,一个区块链也可以用来记录并最终撤销索赔或旗下的授予和撤销访问个人数据存储^29日和其他功能可能是特定于特定的标识系统(例如,投诉和解决争端解决机制的一部分关于假的证明)。

路线图向Self-Sovereign身份

道路如此self-sovereign身份还长,因为我们只在早期阶段的理解如何实现一个数字身份系统,为个人提供完全控制和自治。然而,在欧洲的难民危机,和越来越多的无家可归的人缺乏一种形式化的识别,今天也许超过不再追求向self-sovereign身份变得至关重要。

如前所述,self-sovereign标识解决方案旨在让个人控制他们自己的身份,人应该有可能恰恰决定信息披露对自己,谁,在什么情况下。在self-sovereign身份模式下,身份提供者不应该阻止个人基本人权运动的可能性,如正确的自己,正确的言论自由和隐私权。虽然这并不一定需要的唯一持有人任何个人信息,self-sovereign身份的一个重要前提是数字身份并不局限于任何给定的平台,也由给定的操作符,而是保持便携和可互操作的跨多个平台,因此,个人可以自由选择他们最信任的标识符,并从一个运营商移动到另一个,如果是理想的。

而精确的定义self-sovereign身份目前并不存在,一系列的标准已确定self-sovereign同一性的基础原则^30.。这些原则可以被视为一个初步指标来评估现有self-sovereign标识解决方案:

1。存在:个人必须有一个独立的存在,独立的数字标识符,只是作为一个参考。

2。控制:个人必须控制他们的身份,他们应该可以引用它,更新它,甚至隐藏终端如果其他人可以对这些身份。

3所示。访问:个人必须能够访问所有相关的数据,他们的身份,并应该能够检索他们的声明时必要的。

4所示。透明度:系统和算法用于管理和操作数字身份必须公开、透明,对它们的操作和维护。

5。持久性:身份必须长寿,最好是他们应该永远持续下去,或者至少只要用户希望保持他们。

6。可移植性:信息和服务身份必须是可移动,而不是由一个单一的第三方实体,即使这是一个信任的实体。

7所示。互操作性:身份应该尽可能广泛可用的,而不是只在孤立的环境中工作。

8。同意:个人必须同意使用他们的身份,共享用户数据必须同意发生数据的主题。

9。最小化:披露声明必须限制在最低必要完成手头的任务

10。保护:用户必须不惜一切代价保护的权利,即使这样做违背身份提供者的利益。

大多数数字身份项目将不能满足所有这些标准,许多甚至不都符合“self-sovereign”身份项目将讨论本文的两个案例研究利用生物识别技术结合区块链技术为用户提供一定程度的主权他们的数字身份。第一个案例研究Kiva协议,其重点是身份信用评分和安全的信用记录在小额信贷机构之间的共享。第二个案例研究是世界粮食计划署构建块及其生物特征身份向受益人提供服务解决方案中需要特别为受益人提供更好的交付服务由多个联合国机构。

这两个项目选择,因为他们更高程度的技术准备对其他选择,他们的信誉和潜在影响的未来大规模部署,最后,因为之前的实验进行,这使我们收集有价值的数据点关于他们当前在多大程度上实现满足self-sovereign身份系统的标准。

以下部分描述,这两个项目优先的具体原则self-sovereign身份最相关的用例。在这两种情况下,标识解决方案重点,首先,原则与互操作性和身份的安全共享各方之间。最小化的原则,同意、可移植性和持久性也有很大的重要性。使用区块链分类帐是有用的因为它使数据安全地共享多个政党,和政党必须被授予的权限,以便访问和附加信息区块链。从身份的角度来看,一个持久和便携数字身份和数字都是非常有价值的历史脆弱人群经常移动。证明的有效性,尤其是来自受信任的组织如Kiva和联合国机构、重要的身份主题建立或重建信誉和对资源的访问。

然而,的原则控制和访问仍难以实现在发展中经济体,从技术角度来看,智能手机普及率和所需技术知识self-custody仍然是新生。缺乏适当的连接和硬件基础设施(例如,虽然大多数难民有一部手机,他们并不总是有智能手机)是一个关键的障碍要克服对self-sovereign身份的路线图。Kiva和构建块计划因此不得不为他们的身份实现托管模型解决方案,大大减少程度的控制,个人可以锻炼他们的数字身份。然而,这可能会改变随着时间的推移,随着智能手机变得更便宜和用户在技术上变得更加知识渊博。在任何情况下,这两个案例研究提供宝贵的经验关于多个障碍与self-sovereign身份的解决方案的实现在人道主义背景下,和每一个项目,采用的不同方法是试图在短期内克服这些障碍而专注于眼前的用户需求。

Kiva的案例研究:解决信用记录^31日

Kiva³²是建立一个身份协议,预计将推出了全国的塞拉Leone-this证明了项目的强度和供应的重要性与数字身份系统脆弱的人。

Kiva是基于上述凭证和模型,使用Hyperledger印第安纳·琼斯作为底层区块链层。它依赖于一个基于证书的身份系统,其中的基本标识符是一个公共/私有密钥对,多个索赔和证明可以联系。Kiva协议,发行人可验证凭证被称为“信任锚”现实世界声誉。Kiva身份协议是目前设计为私有权限系统,即所有信任锚必须通过Kiva和/或塞拉利昂政府为了发行证书,签署的证明,和阅读身份要求。在未来,信任锚可以扩大到包括非政府组织、Facebook和谷歌等科技公司和其他组织能提供相关的信息到一个特定的身份³³。

目前,信任锚仅限于塞拉利昂政府机构和小额信贷机构,因为小额贷款面临的直接解决问题的目标industry-whereby许多选民资格贷款由于缺乏任何正式的身份和历史为承销贷款(数据)。事实上,塞拉利昂,政府通过中央银行发行的影响银行执照,会的需要所有的小额信贷机构,银行和其他金融机构参与的证书发行者Kiva的标识系统。这特别适用于小额贷款发展中经济体,没有国家信用机构,使银行很难检查交叉负债。没有检查借款人的总债务的能力,很难正确价格为这些贷款违约风险和担保。

Kiva协议功能和更大的信用局由个人隐私和控制相比,传统的信用机构。信贷档案,由有关信贷和索赔的证明、便携的个人,而不是锁在一个集中的信用局。重要的是,个人可以控制谁可以访问他们的配置文件,而目前未经许可任何人都可以执行信用检查。在Kiva模型中,个体可以决定是否提供银行访问她的信用历史。

Kiva将提供每个塞拉利昂公民资格政府发行的ID,并和相关公共/私有密钥对身份签署声明,以及从塞拉利昂政府第一次认证(可验证凭证的形式包含公民的散列的生物识别技术和其他政府标识符)。在Kiva框架中,生物识别技术仅仅是另一个属性是附加到,类似于出生日期,出生地,或任何其他的身份信息。这样可以减少系统性风险的大部分使用生物识别技术作为独家的识别形式,如上所述。在此系统中,因为生物特征数据不作为标识符,生物识别技术将主要用于验证,而不是用于识别目的。

任何人试图访问信息与档案必须请求(即主题。塞拉利昂公民)授予许可。的Hyperledger区块链是用来记录第三方(如被它的公钥与)要求,被授予,并最终被撤销访问相关的可核查的索赔或凭据,根据时间戳。每个公民都有一个root-DID映射到生成无限的sub-DIDs为每个新贷款事务或与银行的关系。Sub-DIDs也可以为不同的目的即创建。,每个sub-DID代表一个不同的形象或形象。使用sub-DIDs允许一定程度的隐私隐私(见下节)。

Kiva协议体系结构

下面是Kiva身份的高级体系结构协议:

在一个理想的模型,所有的敏感信息,如私钥,文件链接root-DIDs sub-DIDs,身份要求和其他信息只存储在本地设备上控制的身份问题,如手机和电脑。因此,控制和存储的个人信息结构分散。在发展中国家,然而,这需要时间,智能手机渗透率仍然很低(尽管在许多市场快速增长),许多人未必即个人设备。之间,一个电话可能共享一个家庭。目前,它不可能安全地存储私钥在功能手机。因此,它可能是,非营利组织或商业等第三方企业可以作为代理,帮助管理私钥或共享设备。在理想的情况下,私钥不共享,一直被困在钱包共享设备,让用户可以使用生物识别技术开启个人私钥,销或密码时访问共享设备。

即使非营利组织和其他社会组织作为受托人或代理来帮助用户管理自己的私钥,备份的身份要求和私钥是必要的。管理方面的实际困难,与一个特定的关联的公钥/私钥对,Kiva身份协议部署一个监护模式,即Kiva和塞拉利昂政府作为系统中的超级托管人。Kiva将托管密钥对代表的身份,他们可能需要的密钥对托管在任何时间。在Kiva的监护模式下,备份密钥托管加密和只能通过多因素过程恢复如,生物识别技术和/或销。

还Kiva的服务器存储数据文件映射root-DIDs和相关sub-DID之间的链接,以及备份加密的身份的说法(附带元数据)在一个单独的数据存储格式,如ipf。在下一阶段的协议、加密的身份宣称可能存储在一个更多的分布式方式等许可分类帐Hyperledger面料,更好的设计来存储数据,而Hyperledger印第安纳·琼斯是验证并击中的。

最私有和敏感数据是在监护Kiva的分布式服务器上在Postgres数据库中。数据库的本地副本(或并行数据库)可能由塞拉利昂政府维护,根据塞拉利昂数据本地化法规要求敏感数据存储国内公民。

Kiva监护下层是私有许可区块链分类帐上运行Hyperledger印第安纳·琼斯。塞拉利昂的央行将允许节点,Kiva和塞拉利昂政府。因为中央银行要求所有贷款机构贷款交易协议,小额信贷银行和其他金融机构,属于中央银行的授权将被要求登记为节点。此外,非营利组织等其他各方可能适用于信任锚或管家(Sovrin观察者节点),这有助于提高安全性和弹性的分类帐多元化节点远离在塞拉利昂注册的实体。

未链接的节点存储副本和sub-DIDs,以及哈希表的相关单位索赔。如上所述,Hyperledger印第安纳·琼斯不是用来存储实际索赔数据,标识对象将可以选择存储在Kiva的监护,后来那些声称可以迁移到Hyperledger织物,用来支持索赔数据,如上所述。

与Kiva交互协议:循序渐进

我们在这里描述的计划一步一步操作Kiva协议,以及塞拉利昂公民如何与Kiva交互协议,一旦全面部署。塞拉利昂政府将部署活动登记公民身份协议。公民将在投票站登记,他们将获得一个物理与生物识别身份证和一个数字ID,在的形式和相关的私有密钥保存在钱包,理想情况下个人的设备上。在许多情况下,如上所述,个人可能没有自己的手机或电话有能力持有私钥的钱包。在这种情况下,钥匙和未来的身份宣称将在通过Kiva监护。塞拉利昂政府将首次认证身份签署声称,塞拉利昂和官员的个人是公民身份信息,如生物识别字符串,出生日期和其他数据。

个人时,我们会打电话给玛丽,去当地的小额贷款银行要求贷款,银行将首先要求玛丽的身份宣称政府签署的塞拉利昂(官方ID)。玛丽将访问应用程序(在她的手机或设备上的银行),授予银行许可验证政府签署声明。理想情况下,为了保护隐私,银行并不实际阅读的内容要求(例如,生物、出生日期)如果这些信息实际上并不是KYC或信贷承销的目的有关。所有的银行需要知道的是,政府已经签署了一项有效的索赔证明玛丽的身份,满足银行的最低什么义务。

接下来,银行会问玛丽允许披露她的信用历史。如果玛丽说,是的,玛丽将开启她的身份宣称使用她的私钥。银行将验证身份索赔Hyperledger印地确认身份的散列声称都是完整和真实的。如果有一个错误,银行将收到一条失败消息。

如果玛丽无法使用自己的设备来管理身份和钥匙,银行将要求允许直接从Kiva的服务器检索单位索赔。为了签这个许可在Kiva的保管使用钥匙,玛丽等需要提供第二个因素身份验证她的生物识别技术或销。

一旦批准贷款,银行将签署身份索赔有关贷款支付和偿还。玛丽将接收消息她的手机应用程序通知她,世行正在写索赔如关于还款,玛丽可以接受这个行动³⁴。索赔将被发送到玛丽的设备,如果她选择数据只保留本地设备;否则索赔将被加密并存储在玛丽的钱包在监护Kiva的服务器(如果玛丽Kiva也可能存储备份所以选择即使她管理数据在自己的设备上)。

玛丽也会发起一个争议解决行动如果她认为银行写了一个不正确的索赔或未能提供要求还款。争端解决过程可能会off-chain,玛丽将与事实文件一张票,由一个仲裁机构决定。如果仲裁机构决定在玛丽的忙,她的确为她支付银行现金按月付款,仲裁机构将要求银行签署这样的索赔,否则仲裁机构签署这样的主张有自己的钥匙。

在贷款和偿还的现金,玛丽需要信任她的银行偿还索赔。她可能会收到一个物理收据现金还款,她可能给银行要求偿还索赔(或仲裁员如果银行未能这样做)。在未来的模型中,如果数字货币的贷款支付,支付,和还款可以自动记录身份,与区块链交易附加付款证明。

隐私方面的考虑和选择性披露的问题

为了保持隐私和减少带来的安全漏洞,Kiva协议努力经营下零知识证明的原则,即只有绝对必要的信息暴露和措施以确保没有人可以寻求信息系统中未经许可。因此,每笔贷款,玛丽将被关联到一个新的sub-DID,而不是直接与她root-DID。这可以防止银行能够监控未来信贷活动绑定到一个root-DID未经单位允许主题,作为未来的信用交易将与新生成的sub-DIDs有关,和银行没有访问该文件映射sub-DIDs root-DID。

隐私是选择性披露的问题,与之相对,贷款人必须检查cross-leverage。在承销过程中,玛丽的银行可以看到完整的信用记录在她sub-DIDs因为在验证过程中,银行将首先查询Kiva的服务器获得宇宙sub-DIDs与玛丽的root-DID。如上所述,该文件映射sub-DIDs root-DID只能在Kiva的服务器。然而,在任何时刻,银行暴露在实际sub-DIDs或root-DID;银行只接触到事务与sub-DIDs相关联。世行将继续与索赔事务的散列Hyperledger印第安纳·琼斯为了验证这种说法,如上所述。

即使在一个完全self-sovereign身份系统的情况下,并不是所有的数据将会拥有和控制的个体,可能产生的一些数据和维护由第三方的证明。例如,银行将继续控制自己的关于个人贷款历史记录和银行。然而,与集中式商业资信咨询机构相比,信息将不会集中聚合和传达到一个运营商。数据仍然可以由第三方存储,而相关的认证(可核查的索赔的形式)是分配和控制个人和存储区块链。因此,即使塞拉利昂的市民可能不能控制所有的信息关于他们,他们仍然控制的可核查的凭据集代表它们的属性,它们可以自由组合成一个有用的身份或一组配置文件和角色。

最后,重要的是要注意,Kiva的标识系统,在它的根,可核查的索赔数据的存储库,不歧视政治敏感的身份的说法。当它被设计为塞拉利昂,相同的身份系统可能被应用,例如,叙利亚难民,允许叙利亚政府问题有关一个特定的难民的身份的证明、签名和时间戳。如果叙利亚政府发行单位不再存在,难民仍能证明他或她的身份在那特定的时间点。

在回到我们的列表self-sovereign身份原则,Kiva标识系统首先关注同意,互操作性和最小化。这个服务的主要用例使小额信贷机构共享信息和创建一个持久的信用历史的记录,在某种程度上,仍然保留了借款人的隐私暴露的小额信贷机构只有必要的信息做决定。虽然大多数用户不会self-custodying身份信息从一开始由于技术挑战,系统设计,用户可能会选择Kiva作为超级托管人。随着时间的推移,self-custody和控制将变得更加普遍,和身份仍是全球便携式和持久。

解决世界粮食计划署案例研究:在联合国机构的优化和协调援助³⁵

背景

世界粮食计划署(WFP)³⁶是联合国的粮食援助分支和世界上最大的人道主义组织解决饥饿和促进粮食安全。世界粮食计划署提供粮食援助,在80多个国家有超过8000万人。

在过去的几年里,这种趋势已经使人们曾做出自己的购买决定(现金干预(CBI)而不是实物食物分布。2018年,世界粮食计划署分布式CBI超过17亿美元,超过一半的全球现金援助分布³⁷。在正确的条件下,CBI程序可以更划算,有利于当地经济以及提供元素的增加人民的尊严。

世界粮食计划署率先创新在联合国机构、识别潜在的区块链技术在CBI四倍:(1)提高效率减少成本和风险和增强等责任和控制,(2)创建一个统一的视图的人从而减少重复和分裂,为优化和协调,创造机会和连接各种援助演员通过一个连接到区块链,(3)乘以救赎选项(如自动取款机、食品店、卫生网络,和学校)提供给参与组织和服务的人,和(4)铺平了道路区块链为基础的数字身份通过展示底层技术在实践中关键的利益攸关方聚集在一起,讨论一个中立的区块链网络。

构建块

在本节中,我们描述了世界粮食计划署的blockchain-based CBI项目称为“积木”。³⁸积木出生在2017年1月,100人的概念验证(PoC)在巴基斯坦Umerkot村庄。当时,目的是证明区块链可以使用cryptocurrency以外的应用程序。

PoC,受益人账户上创建区块链和满载着令牌代表现金或食品和每个受益人之间随机分配一个标识符1到100年,这是与他们的公钥一对一。赎回权利,受益人将自己在现金或食品商人和提供随机标识符。商人将插入受益人的标识符以及赎回量到一个web应用程序。web应用程序将发送请求构建块,然后发送一次性密码(OTP)受益人的功能手机通过短信验证机制。受益人将提供OTP商人会将其插入到web应用程序并将其发送构建块。如果OTP有效,积木将检查请求的赎回量对可用的区块链津贴,如果足够,触发受益人私钥事务被记录并发送一个确认回商人。看到确认,商人会将现金或食物受益人的请求数量。世界粮食计划署将根据构建块记录,确定每个商人欠量,与直接解决。

PoC,构件使用公众Ethereum区块链。这个决定是基于公共链通过crypto-economic激励和自我维持的验证器的公共网络,因此不依赖世界粮食计划署和联合国。然而,连锁项目团队发现重大公共事务吞吐量较低交易成本和昂贵的由于Proof-of-Work的患病率(战俘)共识机制,基于计算能力为了确保公众事务分类。

约旦的实现

演示了使用区块链分类帐的概念,并结合PoC的经验,2017年5月积木发起大规模的飞行员在约旦10000叙利亚难民。这个概念是类似于巴基斯坦PoC。然而,乔丹试点,构建块变成了一个私人时,允许区块链端使用奇偶校验Ethereum Proof-of-Authority共识(PoA)算法。

私人小网络为构件提供了一个非常高的事务吞吐量每个事务不花钱。私人网络还提供了更高的保证数据保护隐私。私有网络的主要缺点是,它不是自给自足。然而,聪明的合同之间的代码是相同的私人和公共网络。因此,当公共网络充分解决了吞吐量,成本,和隐私问题,构建块可以通过仅仅是复制粘贴代码转换。另一个缺点是私有网络弹性和防毒不如公共网络由于节点越少。然而,每个额外的独立节点区块链,一个私人链变得越来越接近公共链的特征的弹性和不变性。

与巴基斯坦PoC,身份验证是通过OTP提供短信,在约旦构件集成与现有的虹膜生物识别认证系统通过联合国难民事务高级专员公署(UNHCR)³⁹。通过构建块,难民只需要扫描的虹膜销售点接受粮食援助。所有交易都记录在一个私人blockchain-based基础设施,作为一个注册表来计算每一个难民的平衡,以及基金的数量必须由世界粮食计划署支付到相关的商人。⁴⁰这个系统的优点是,仅仅是展示自己可以访问和转移资金的受益者biometric-based前的识别系统,而不需要移动电话等设备。事实上,鉴于约旦难民的危险的情况下,是不可能承担常数互联网连接或受益人永远拥有足够复杂的电话处理密钥管理。促进无缝食物或基金等对临界资源的访问是特别重要的难民在关键的需要。

像Kiva,世界粮食计划署面临问题与最终用户拥有智能手机和数据连接。因此,构建块的监护权也有监护模式键用于签署的事务。世界粮食计划署函数作为托管人受益者的私有密钥,通过虹膜生物识别认证,触发签署区块链CBI相关事务。像Kiva模型、世界粮食计划署模型也旨在使self-custody用户选择应该做当足够的基础设施使这个可行例如,廉价智能手机的可用性与密钥管理功能。最终,目的是为所有受益人提供一套新的公私密钥对(它们将创建并拥有完全控制)和他们的援助学分转移到这些新钱包。

如前所述,世界粮食计划署的构建块使用联合国难民署的生物特征身份管理系统(智能化)⁴¹进行身份验证。生物数据的智能化系统可能包括原始数字扫描虹膜(如照片),特性集(即。生物模板抽象的数字扫描),和减少特性集数据字符串,函数作为唯一标识符。在登记过程中,联合国难民署收集个人的生物识别技术和同事生物数据(减少到一个数据字符串)与一个独特的建筑智能化数据库中随机标识符。个人然后分为家庭单位(作为第二层次的抽象),每个都有他们独特的标识符(一个12个字符的字符串)。

验证在联合国难民署的背景下现金援助系统要求受益人提供一个虹膜扫描每一个销售点(POS)的事务。操作过程如下:首先,生物识别系统在POS用于收集生物数据通过一个虹膜扫描。然后扫描转换为模板和传达联合国难民署和匹配模板的宇宙智能化系统数据库中检索与受益人的家庭单元相关联的唯一标识符。这个标识符然后发送到世界粮食计划署的构件系统检索相关的公私密钥对标识符。公共密钥将被用来检查是否足以使受益人的资产交易。如果结果是足以支付事务,私钥将触发签署区块链上的事务,代表受益人。整个过程中的每个通信腿端到端加密。

目前,该系统已经实施了一系列最佳实践来减轻风险的集中的生物识别技术,通过将钥匙的保管(通过世界粮食计划署)从生物特征信息的注册与个人的身份(由联合国难民署)。因此,从隐私和安全的角度来看,世界粮食计划署的构建块包含必要的保障措施,以确保商人,银行,付款处理器,支付网络,和其他中介机构不公开的信息不相关的功能。事实上,POS支付处理器仅仅需要知道一个人是否已经进入系统和相应的账户余额是否足够。它不需要知道真实的身份,甚至也不是准确的个人帐户余额⁴²。

此外,降低安全风险,联合国难民署不存储任何个人识别信息(如姓名、国籍、出生年月日、性别、家庭关系等)的生物智能化系统数据库中的数据。所有生物测定数据安全存储和完全隔离从任何其他个人信息。同样,建筑智能化不存储的信息关于受益人的私人钥匙的只是从世界粮食计划署的构件系统访问。因此难民保护的隐私,因为世界粮食计划署不知道的实际身份的个人事务处理和联合国难民署没有进入交易的个人识别。

根据试点的成功,2018年1月,积木是规定为所有106000叙利亚难民帮助WFP在约旦营地。目前最大的区块链技术实现人道主义援助。迄今为止,构件加工CBI的6000万美元到300万年交易和节省900000美元的银行费用⁴³。

下一个步骤

前面部分所描述的一切可以达到与传统数据库。然而,随着区块链是一种相对较新的和经常在人道主义援助世界理论概念,构建块是第一步在揭秘区块链技术通过演示技术的某些方面在规模在人道主义背景下工作。因此,构建块计划是第一位的。

取得了初步目标,构建块现在打算下一步欢迎新成员网络,为了促进无缝交互与各种不同的机构。非政府组织(ngo)在人道主义语境下的特殊的安全需求,以及国际非政府组织往往是难以调和的大片地区的收集个人数据跨多个机构发行的数字身份。在约旦的难民营,例如,超过45组织帮助相同的受益者。然而,各种连接和可互操作的系统并没有显著的改善。这导致重复的工作,有些支离破碎的人,那些需要反复透露自己的个人信息机构之间移动。

如果这些组织引导他们的权利每个受益人的公钥,将会有一个统一的视图的人服务,为优化和协调创造机会。程序设计和需求目标也会变得更加公平。此外,所有的演员都可以通过一个连接到区块链有关,和各种媒体(如食物、现金、健康和教育)可能合并。优雅的解决方案是,每个组织可以维持其专有系统登记,目标,和福利管理,同时还避免碎片。

联合国妇女⁴⁴是第一次组织加入网络构建块,并联合试验于2019年6月来演示如何两个或两个以上的组织可以协助合作共享区块链网络上同样的人。该模型旨在作为更广泛合作的蓝图。

联合国妇女(和每个后续新成员)运行一个独立的构件节点,每个节点验证和记录每笔交易网络。鉴于目前不能假定所有受益者有智能手机和连接,构建模块已经开发了一个创新的解决方案,允许每个人道主义提供者在积木的托管人私有密钥相关的权利,同时维护一个统一的视图在区块链的人服务。构建块链上不存储任何个人身份信息。

一旦权利的概念统一区块链上充分展现出和接受,这是一个简单的一步转移到身份的证明。例如,一个组织可能证明公钥的所有者是一个奶妈。另一个组织可以搜索所有“奶妈”的公钥认证和目标服务的受益者,属于他们的授权,而不需要了解底层人民的敏感的个人信息。

作为一个人的身份的不同难题是由不同的演员,获得基于共享的理解技术的协作和授权人的潜力是基本实现有意义的blockchain-based身份通过将所有的碎片在一个地方。积木正在全面blockchain-based之路的方法识别系统是最好的开始与不敏感组件的身份。例如,只要CBI津贴和分布式以孤立的方式决定,相关事务细节也分散在各种系统和金融服务提供商(FSP)。在这种情况下,如果一个信贷机构希望分析交易数据分配承销贷款的信用评分,他们只可能获得的所有数据的一部分。用更少的数据点,统计可以确定风险较低程度的准确性,导致受益人被收取更高的利率。相反,如果所有权利被引导到统一为每个受益人区块链钱包和交易授权从那里,金融交易的历史也会统一。在此基础上,组织如Kiva,使用zero-knowledge-proof协议,例如,可以建立一个信用评级为受益人使用的所有数据,最终导致一个更有利的利率贷款。此外,与构建模块,数据是可移植的,所以如果一个叙利亚难民回家,她可以使用生成的数据在约旦获得小企业贷款在叙利亚和再次成为自给自足。否则,数据可能会留下来在约旦和FSPs将无法访问叙利亚的难民返回(或一个新的目的地)。

像Kiva协议,积木也首先关注互操作性和最小化的原则,即多个联合国机构合作安全的统一视图相同的受益人,但没有透露链上的个人识别信息,从而保护隐私的身份问题。也喜欢Kiva,考虑到用户的条件,self-custody是困难的,因此不是一个优先级。在这两种情况下,一个blockchain-based身份基础设施使可移植性旗下的移民人口。随着时间的推移,更多的用例可以建立在识别系统,如使用CBI事务细节跨多个联合国机构预测信贷质量的数据点。

对未来的一个问题是,Kiva协议可能与构建块进行互操作。迄今为止,互操作性都集中在演员在用例例如,小额信贷机构在塞拉利昂Kiva和联合国机构的构建块。每个身份系统的用户可能会重叠在未来,因为这些项目的规模。例如,一个参与者(或前参与者)的构建块程序可能会寻求小额贷款在一个使用Kiva协议管辖。在引导她的信用,将她CBI交易和从积木被认可的证明小额信贷机构参与Kiva协议吗?识别需要off-chain政策协议和技术标准链上的互操作性。相反,一个参与者在Kiva协议可能成为一个参与者的构建块。她从Kiva协议的证明可以用于构建块各种联合国机构更好地为她的需要吗?可能这两个身份系统允许以外的其他受信任方的初始设置允许节点成为证人和节点?健壮的互操作性,技术标准和政策调整使这些身份系统可组合性和堆叠,新应用程序可以建立在基本身份的层。

未来的视角

随着人们越来越移动,一个工作身份系统,可以在全球范围内已成为确保平等机会在全球经济的先决条件。作为发展中国家正在重建他们的身份重新系统,重要的是要注意一个系统设计不当可能导致的后果。当前方法集中governmental-based身份的系统依赖于生物识别技术有严重的局限性对安全和隐私(角色et al ., 2003)。更分散和self-sovereign身份系统使用可核查的凭证和访问控制不仅是更加灵活和高效,但有助于保护基本人权,特别是国家的脆弱不稳定的政府和机构(Lemieux 2017)。由于紧急情况,移民,难民和其他弱势群体可能会受益于一个系统,使他们能够有选择地披露一些属性而不是其他人,根据用例。

Self-Sovereignty依赖技术的基础设施

真正self-sovereign识别系统需要一定水平的基础设施,主要是负担得起的智能手机普及率高,可以安全地存储私钥和可靠的连接。从业人员在这一领域,如Kiva和世界粮食计划署,承认他们的选民的现实,那些弱势群体在低基础设施环境,其中许多人生活在贫困线以下。因此,它是不可能承担广泛的可用性的技术基础设施和成熟的自我管理私钥。

本地化的另一个问题关键storage-beyond硬件关键复苏的承受能力则是更大的问题,因为,在自我管理环境中,失去一个人的电话一定需要失去一个人的私钥。因此,也许最重要的障碍,实现全面复苏self-sovereignty是问题的关键,结合硬件的价格。

根据这些问题,有一个共识,目前的最佳实践是一个托管或监护模式,即项目管理员如Kiva或WFP可以管理钥匙代表选民,但选民总是有能力选择退出的监护他们应该选择自助的地方。

为应对这些挑战,一些公司正在进入建筑区块链的第一代智能手机。HTC《出埃及记》⁴⁵是第一个区块链的手机市场,2018年10月发布。《出埃及记》的手机都有自己的可信执行环境安全的密钥管理和事务签署。它部署一个社会的密钥恢复机制来恢复私钥电话或密码丢失时,让用户把私钥在三到五个信任的联系人。⁴⁶HTC发布了一个更便宜的区块链2019年第三季度手机叫《出埃及记》1 s,价格在250美元的范围。⁴⁷虽然这仍然是昂贵的Kiva的或世界粮食计划署的成分,这是一个正确方向的一步。⁴⁸

数字货币和Self-Sovereign身份的重要性

区块链的使用承担对等转账有许多在发展经济学的影响,进一步凸显了需要self-sovereign标识解决方案。区块链技术的一个有趣的应用程序本地或补充货币的数字化是数字cryptocurrency本身。社区货币通常是温柔地盯住国家货币,因此主要交换媒介的职能,而不是一个存储有价值的或单位账户。

例如,草根经济学⁴⁹在肯尼亚是一个非营利,实现当地货币名为Sarafu信贷与农村农民自2010年以来。轻轻地Sarafu货币盯住肯尼亚先令,接受当地社区的农民、商人和学校。在社区获得现金(肯尼亚先令)是困难的,由于缺乏银行账户是没有必要的身份证件,和移动货币提供者像m - pesa收取过高的费用高,农民越来越多地依赖于当地社区货币,作为国家货币(补充解Dissaux鲁迪,2017)。

2018年10月以来,草根经济学Sarafu信贷变成stablecoin交易简单功能手机。stablecoin是cryptocurrency上交易区块链分类,其价值挂钩是国家货币或参考一篮子货币的资产。的数字化Sarafu信贷stablecoin盯住肯尼亚先令,交易成本明显低于Sarafu的论文版本,和m - pesa事务。例如,一个101肯尼亚先令事务将交易费11 m - pesa先令,但是只有2先令Sarafu(两个短信的成本,USSD连接和运行加密交易费用可以忽略不计的Ethereum侧链)。

最有趣的是,事务信息,否则会拥有和控制的m - pesa,或用纸币仍然是难以捉摸的,现在可以记录区块链。这些数据包括统计每个钱包什么样的商品和服务支出的资金,交易大小,等等。这样的开放源码交易数据,当与self-sovereign身份系统,将提供丰富的行为信息为目的的承销小额贷款,微型保险或其他人道主义应用,如需求评估计划确定的现金援助提供的受益者。传统上,需求评估是通过焦点小组和调查。动态数据的实时事务会更准确,及时,深刻在确保受益人接受适量的现金援助。此外,描述在Kiva模型中,如果使用cryptocurrency贷款支付和偿还,支付和偿还索赔可以自动添加到Kiva的身份协议,从而加强用户的信用档案,加强数字身份的丰富性。

草根经济学,Sempo(澳大利亚创业)和红十字会现在一起工作在一个新项目被称为社区包含货币(CICs),这是一个模型,将现金援助和其他来源的慈善或私营部门的现金储备,这些当地货币略微问题。通过部分准备金模型、现金捐款和援助是有效的杠杆。例如,价值100美元的现金捐赠可以发行价值120美元的CICs。如果CICs在社区内流传在高速度,进一步放大了最初的100美元的现金援助的影响。为了保持价格稳定的CICs,救赎的CICs潜在的现金可以封闭的算法相对于现有的CICs, CICs的发行和赎回利率,存款准备金率。CICs将作为stablecoin盯住国家货币发行,和理想的储备也会存储为fiat-pegged stablecoin,通过智能与发行和赎回自动化合同。中投模型可以使一个可伸缩的替代机制,社区银行。例如,女性可以存款储蓄和贷款组集体积蓄储备,每当成员需要贷款,聪明的合同将发行新的CICs。随着时间的推移,利率和储蓄利率可以添加为了使各种中投项目经济可持续发展。中投项目被授予两年拨款创新挪威,挪威政府的一个部门,飞行员和规模在肯尼亚和全球其他地方⁵⁰。

Stablecoins主要指向未来,金钱成了全球和数字,但bankless (Balvers和麦当劳,2017)。钱直到cryptocurrency的出现,数字并不一定意味着bank-facilitated事务,与银行或其他金融机构(银行rails网关)执行KYC和AML检查。因此,那些没有身份证件都被排除在全球数字经济(他和Disyatat, 2010年)。随着金钱变得越来越全球化,可能会有相应的机会建立一个同样全球和数字身份管理系统,保护用户的隐私(豇豆属和凯西,2016年),而坚持合规KYC AML和全球监管制度。特别是,数字货币和数字之间的协同作用可能出现的身份,通过blockchain-based介导的基础设施,即事务数据可以作为增加丰富的数字身份的证明资料。这可能有助于更好的信贷承销、人道主义需求评估,更准确的(并最终更具包容性)KYC AML /合规风险评估。

身份保险担保和收入流的身份提供者?

创新理念和新的市场数字身份尚未实现。一个有趣的提议探索创建一个保险市场与身份相关的间接损害索赔⁵¹,这可能是建立在类似Kiva的数字身份管理系统的体系结构。这样一个市场可以提供“最后一英里”保证对标识错误(例如,错误数据进入身份系统),并提供一个市场机制来评估正确度、可信度和有用性与身份相关的各种索赔(唐et al ., 2003)。这将使银行更愿意承销贷款给个人,没有正式的信用记录,如果与个人相关的索赔的资料是投保相应的损失对贷款的成本。随着时间的推移,牵引贷款活动会导致新的从该银行的证明,从而增加个人的信任和降低保险费。

身份保险也可能成为一个新的收入来源等身份提供者银行和小额信贷银行,是谁,在任何情况下,法律规定进行勤奋KYC检查。在这样一个semi-decentralized身份管理系统、银行和贷款人可以承销与发行有关的风险一个身份凭证区块链,从而帮助后续贷款减少,创造了经济激励“第一度假村”的银行——(即。银行愿意借钱给或历史身份凭证在借款人的数字问题)。

难民与不可能服从更高的风险溢价的证明(因为他们没有跟踪历史),直到难民获得更多质量证明,使他们更值得信赖。这样一个模型可以鼓励难民进行尽可能多的与特定的机构或组织,为了收集一个积极的可验证的记录凭证,因此减少与他们的身份相关的保险费。在某些情况下,风险溢价甚至可能补贴机构如联合国难民署或其他相关组织。尽管这样一个保险模型可能最终是有益的难民和流离失所的人,谁没有一个强有力的政府来保障他们的身份,它只能尝试进行了广泛的研究,之后减轻任何潜在的缺点或系统性风险的认同保险,如引入非法偏见、歧视或任意价值判断为底层身份系统。

结论

Self-sovereign身份是一个相对较新的研究领域,它是现在才开始化为新的数字身份管理系统的实际应用。这是特别有价值的应用程序的规模和能力大大提高弱势群体的金融和社会包容(Blakstad和艾伦,2018年)。然而,重要的是要记住,虽然有新兴的最佳实践标准和原语self-sovereign身份(McMullen et al ., 2019),没有通用的身份协议,解决了所有用例。Kiva和世界粮食计划署的案例研究,为代表的身份本质上是用例相关的。规模的互操作性和标准化将是重要的,但一个特定的标识应用程序的成功将取决于它的部署是根据用例和当地条件。一个成功的身份管理系统将因此需要足够灵活适应人类身份的固有的可塑的性质。

cryptocurrencies的发展作为一种新的开源移动货币,尤其是stablecoins,让用户将受益于增加的经济机会带来的新的金融服务之上的系统(。托马森et al ., 2018)。可验证通过信任的演员可以作为身份证件要求。如上所述,世界粮食计划署特定受益人签署的证书可以作为替代信用评分,而像Kiva的组织可以提供身份证明。同样,草根经济,目前管理Sarafu计划在肯尼亚,签署的身份宣称代表参与者基于Sarafu交易,可以帮助其选民渐渐变为Kiva的身份协议和小额信贷的生态系统。

最终,Kiva可以提供贷款资金stablecoin小额信贷合作伙伴,通过点对点交易相比,更便宜,更快的通过代理银行(国际转账达灵顿,2014)。小额信贷银行可以直接支付贷款stablecoin以本币计价的借款人。Kiva的小额信贷银行的身份协议将自动签名的身份宣称关于支付和偿还贷款的,像这样的交易现在可核查的链上,从而减少潜在的争端。借款人可以随后使用这些贷款的业务需求:采购库存的商店,向员工支付工资,等等。结果,先前和成功偿还贷款将函数作为身份证明,进一步丰富数字历史和信贷的借款人,并创建金融包容的良性循环。这些新身份的商业模式,如身份保险,可能会出现的移动钱包/身份生态系统,进一步加强生态系统作为一个整体的鲁棒性。虽然我们仍然拥有一个真正的数字,全球和self-sovereign身份系统,我们相信区块链技术可能是一个关键的构件实例化这个愿景。

作者的注意

弗兰克-威廉姆斯是一名律师和企业家,目前担任助理总法律顾问公司基金会支持区块链项目MakerDAO。她与人共同创立了ixo区块链协议作为数字资产分社会影响的结果。她开始她的职业生涯在华尔街律师在纽约和伦敦。她收到她从哥伦比亚大学法律学位和加州大学伯克利分校的本科学位。她可以达成的fennie@makerdao.com。PD是法律学者,他们的工作重点区块链技术的法律挑战和机遇。她是一个永久的科学研究所研究员,教师在Berkman-Klein哈佛大学网络与社会中心的共同创始人自动化联盟法律应用程序(考拉)。她可以达成的pdefilippi@cyber.harvard.edu。

作者的贡献

所有作者列出了一大笔,直接和知识贡献的工作,批准发布。

的利益冲突

弗兰克-威廉姆斯是受雇于生产商基金会在写这篇文章的时候。

其余作者宣称,这项研究是在没有进行任何商业或财务关系可能被视为一个潜在的利益冲突。

确认

作者要感谢Kevin O ' brien,亚伦Goldsmid Kiva, Houman哈达德的世界粮食计划署和尼克·威廉姆斯Sempo的输入和反馈,以及格奥尔基Ishmaev对他的评论论文的初步版本。

脚注

引用