CSA 用户自治数字身份安全白皮书 2020 在线下载,免费下载

m o c . 5 b u h t i g ©2020 云安全联盟大中华区-版权所有 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下: （a）本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2020 云安全联盟大中华区-版权所有 2 致谢云安全联盟大中华区（简称：CSA GCR）区块链安全工作组在 2020 年 2 月份成立。包括 100 多位安全专家们，分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、武汉大学、世界银行、华为、腾讯、知道创宇、赛博英杰、元界 DNA、慢雾科技、安比实验室、启明星辰、天融信、联想、OPPO、零时科技、安永、阿斯利康等五十多家单位。区块链安全工作组有 9 个项目小组，包括智能合约安全、数字钱包安全、共识算法安全、交易所安全、Dapp 安全、去中心化数字身份（DID）安全、网络层 m o c . 5 安全、数据层安全，AML 技术安全等方向。本白皮书主要由去中心化数字身份安全小组专家撰写，并由 DID 安全小组及 IAM 工作组的专家共同审核，感谢以下专家的贡献： b u 区块链安全组组长：黄连金 DID 安全小组的领军人物：初夏虎 h t i g 白皮书作者名单：程伟强、初夏虎、黄连金、李程、李腾飞、刘洁、王登辉、于继万、袁运亮、周庆松（按照字母排序）贡献单位：安讯奔、大华、e 签宝、华为（按照字母排序）如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱：info@c-csa.cn; 云安全联盟 CSA 公众号： ©2020 云安全联盟大中华区-版权所有 3 序言数字身份是保障数字经济安全的信任基石，业界目前的数字身份体系一般都是中心化的，区块链作为解决可信问题的分布式技术，给数字身份自治的场景打开了天窗，比如减少分散云计算中心化身份数据大量聚合的泄露风险，在边缘计算分布式系统中使可信身份认证管理更加便捷私密等等。这本白皮书不是有关于用户自治数字身份（DID）的标准。DID 标准是 W3C 正在开发的一系列标准，包括 DID 数据模型，DID 方法，DID 通讯等等。本书主要是针对于希望用 DID 来进行技术开发或者应用落地的项目或公司需要注意的一些安全与隐私的问题，且分 m o c . 5 析为什么在新的数字化转型过程中 DID 能够解决的痛点问题，介绍目前国际已有的标准和案例。本白皮书目前是第一版本，因为 DID 本身的一系列标准还在开发之中，安全对于数字身份是第一要素，新的安全问题肯定会出现，欢迎读者专家们能够提出意见，使下一个版本的覆盖面更广，对于行业的发展能有更大贡献。 b u h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录致谢................................................................................................................................ 3 序言................................................................................................................................ 4 第一章：为什么需要用户自治的数字身份................................................................ 7 1.1 传统的中心化数字身份..................................................................................7 1.2 传统的数字身份系统的痛点..........................................................................9 第二章：用户自治的数字身份（SSI）和去中心化数字身份（DID）................... 10 2.1 DID 标准介绍.............................................................................................. 12 m o c . 5 2.1.1 W3C 的 DID...................................................................................... 13 2.1.2 欧洲的 SID....................................................................................... 17 2.1.3 中国公安部的 EID........................................................................... 19 2.2 DID 代表性项目介绍..................................................................................21 b u 2.2.1 元界 DNA 的 DID 数字身份.............................................................21 2.2.2 Civic 数字身份项目......................................................................... 25 2.2.3 Evernym 数字身份项目...................................................................27 2.2.4 uPort 数字身份项目........................................................................31 2.2.5 微软的 DID 数字身份项目..............................................................32 h t i g 第三章：DID 安全与隐私考虑................................................................................... 37 3.1 DID 安全注意事项: 窃听.............................................................................. 39 3.2 DID 安全注意事项: 重放攻击...................................................................... 40 3.3 DID 安全注意事项：消息操纵..................................................................... 40 3.4 DID 安全注意事项: 中间人攻击.................................................................. 41 3.5 DID 安全注意事项: DID 的 CRUD 安全.........................................................42 3.6 DID 安全注意事项：密钥和签名到期......................................................... 43 3.7 DID 安全注意事项：抵赖攻击（Repudiation)............................................ 44 3.8 DID 安全注意事项：服务端点(Service End Point)...................................... 44 3.9 DID 安全注意事项：缓存............................................................................. 44 3.10 DID 安全注意事项：密钥吊销和恢复....................................................... 45 ©2020 云安全联盟大中华区-版权所有 5 3.11 DID 安全注意事项：中继方（Relayer）威胁...........................................45 3.12 DID 安全注意事项：残留风险................................................................... 46 3.13 DID 隐私注意事项：将个人身份信息（PII）保密...................................46 3.14 DID 隐私注意事项：DID 标识符的关联风险............................................ 47 3.15 DID 隐私注意事项：DID 文档的关联风险................................................ 47 3.16 DID 隐私注意事项：群体隐私................................................................... 48 第四章