信息科学技术伦理与道德 课件 第六章 数字身份.pptx

数字身份1 登记建立身份后，在 ND-ID 系统中创建唯一记录。提供认证方式密码/PIN、智能卡、安全令牌等。通常在验证后的一段时间内发出。分发可能具有挑战性。设备可能会在运输途中丢失。挑在中心位置不方便。设备可能被遗忘、停用。 验证用户需要向服务证明其身份的方法。仅凭身份证号码是不安全的。密码简单易用。弱密码，容易丢失。密码恢复是安全漏洞。智能卡需要额外的读卡器。不方便且成本高。 验证安全加密器产生安全的一次性密码。用户需要随身携带加密器，容易丢失。技术限制，例如去同步时钟。手机一台设备中的处理、通信、生物识别。SIM卡也可以做认证。问题包括高成本、多张 SIM 卡、无线连接不佳、盗窃。 授权在对服务进行身份验证后，用户被授权执行某些功能。用户还授权服务获取某些信息。使授权信息细化，而不是全有或全无。类似于应用程序权限或网站 cookie。尽量减少请求的信息。ND-ID 机构可以要求参与服务来证明他们的请求是合理的。 构建系统ND-ID 由政府驱动，但可以涉及私营部门。一种方法是政府建立和管理整个系统。提出需求，设计系统架构，通过法律法规，实施和维护系统。可以基于现有 ID 系统的 ND-ID 并使用现有数据库。更容易确保遵守隐私和安全法。但政府可能缺乏此类复杂项目的专业知识。还需要技术方法来防止无根据的政府监督。 构建系统连接 ID 和服务提供商的两种方式。直接方法ID 和服务提供商签署双边协议。用户选择一个 ID 提供者来使用任何服务。建立协议既昂贵又复杂。隐私有限，提供商可以观察用户活动。中介方法ID 和服务提供商与经纪人/中心达成协议以相互连接。通常政府实施中介。更大的用户隐私、“三盲”ID 提供商、服务、经纪。 案例研究：爱沙尼亚自 2002 年以来，全国 130 万公民使用成熟的强制性 eID 系统。政府开发和管理。实体卡实现PKI。使用 PIN 身份验证。可以签署文件，加密数据。用于 99% 的公共服务和广泛的业务。声称可以节省 2% 的 GDP 政府开支。曾面临网络攻击，但不断维护和更新。 案例研究：英国GOV.UK 由政府和企业开发的验证系统。使用护照、驾驶执照、银行记录等的在线多步骤注册过程。合作伙伴提供的 ID 服务，例如 Royal Mail、Barclays bank、SecureIdentity 等。ID可用于数十种政府服务，主要与税收有关，但很少有商业服务。因开发缓慢、验证成功率低（例如 2018 年为 47%）而受到批评。 案例研究：印度Aadhaar 是一个政府数字身份系统，拥有超过 13 亿用户。注册需要饲养员文件和生物识别扫描。用户会收到一个 12 位数字的 Aadhaar 号码和卡片。可以使用卡、基于电话的 OTP 或生物识别技术进行身份验证。 案例研究：印度用户可以获得某些政府福利、社会保障体系和一些其他服务。旨在最终取代重叠的 ID 系统。制度争议不断。政府试图强制银行账户、SIM 卡、福利等使用 Aadhaar。印度最高法院否决了其中一些决定。安全漏洞导致欺诈。发生了大规模的数据泄漏。