區塊鏈技術是解決與存儲和維護相關的隱私問題和風險的新穎解決方案生物識別數據。區塊鏈是一種分布式賬本技術,可在多個網絡安全應用程序之間共享基礎設施。它是比特幣等加密貨幣的基礎,在身份驗證、供應鏈完整性和確保數據來源方面具有潛在作用。從本質上講,它允許數字信息被分發但不能被復制。數據被組織成塊,然后鏈接在一起,這意味著它通過設計和持久性是安全的。區塊鏈與傳統數據存儲方法之間的主要區別數據是分散的并且是防篡改的——或者在某些應用中,有效地防篡改。此外,由于每個塊都包含時間戳和對前一個塊的引用,因此信息以線性方式存儲,這有助于訪問和維護數據。這些功能使區塊鏈對于任何管理和存儲敏感信息的系統都具有吸引力。
用戶隱私是生物識別認證發展領域的一個主要問題。在生物識別技術出現之前,數字領域的隱私主要集中在防止未經授權的個人數據收集及其濫用方面。然而,在生物特征認證的背景下,收集生物特征樣本(例如指紋)只是該過程的開始。一旦捕獲數據,它就會變成模板,即樣本的數學表示,系統實際使用的正是這些數據。因此,只需獲得對模板數據的訪問權即可使個人的生物特征數據受到損害。此外,生物識別數據一旦被盜或以其他方式獲得,就無法替換,個人被迫在余生中承受身份盜用增加的風險。出于這些以及許多其他法律、社會和道德原因,防止未經授權訪問個人生物識別數據已成為該領域研究和開發的主要焦點。
生物識別身份驗證是一種現代的安全方法。它利用指紋、虹膜圖案和語音識別等獨特的生物特征來建立和確認個人的身份。生物識別技術已經存在多年并且發展迅速,特別是在執法等領域,但直到最近,其使用還僅限于高安全性、金融或刑事司法應用。然而,隨著智能手機和平板電腦等支持生物特征認證的設備的商業化,任何人都可以使用這項技術。隨著智能手表和其他可監測脈搏和其他活動的可穿戴設備的發展,生物識別技術的使用顯然將繼續增加。
1.1 生物特征認證概述
生物識別身份驗證使用一個人的生理特征來驗證其身份。這種類型的身份驗證通常涉及使用生物識別掃描儀,這是一種讀取生物識別數據并將其轉換為數字信息的設備。可以使用不同類型的生物識別數據,例如面部圖像、聲紋和指紋。一旦數據被轉換成數字信息,它就會被存儲并用于驗證一個人的身份。例如,當一個人使用指紋解鎖智能手機時,會將手機上存儲的指紋數據與正在顯示的指紋進行比較。只有當出示的指紋與存儲的指紋匹配時,手機才會被解鎖。使用生物識別數據進行身份驗證已變得越來越流行,許多組織和公司現在都提供生物識別身份驗證服務,例如在手機等智能設備上使用指紋和面部識別。然而,生物識別認證對用戶隱私的影響引起了人們的擔憂。
1.2 生物識別中用戶隱私的重要性
因此,本文將繼續討論網絡安全行業當前在管理和保護生物識別數據方面的普遍觀點,然后繼續探索區塊鏈作為保護此類數據的手段。
這完美地說明了情況的嚴重性:如果生物識別數據及其隱私不被使用者認真對待,那么廣大消費者和受害者可能會感受到潛在的影響所遭受的虐待是無法估量的。因此,區塊鏈作為解決方案的潛力特別令人興奮。這種對生物識別模板數據和生物識別方法的處理和存儲的徹底重新構想,很可能最終會利用這些網絡安全主要產品提供的優勢:去中心化和開放,從而回避我們當前更傳統的網絡安全方法所面臨的問題。 ,可公開訪問但完全安全的數據集。
但是,法規并不能阻止商業和國家利益干涉用戶的隱私,這在我們日益受到監控的社會中正成為一個日益令人擔憂的問題。隨著機器學習和預測分析挖掘出更先進的分析方法,我們的生物識別數據現在不僅可以用來確定我們的個人身份。這不僅僅是防止身份盜竊或欺詐的問題;理論上,有人可以采用存儲的生物識別數據模板,并通過鏈接構造者傳記數據來構建一個人的生活和互動的多方面檔案,從而推斷出足夠的知識來實施詳細的、現實世界的社會入侵。
因此,生物識別方法的創建、分析和實施所涉及的大部分技術確實遵循許多操作要求和數據保護原則,例如英國數據保護中概述的原則2018 年法案 (GDPR)。 GDPR 要求用戶被告知數據的收集和用途,個人身份數據和生物識別數據屬于特殊類別數據的定義,需要遵守更嚴格的處理條件。這也適用于 GDPR 第 9 條中的生物識別數據,該條概述了對此類數據的使用的限制。
現代技術使生物特征認證領域取得了巨大進步。然而,在使用人體作為身份認證手段的背景下,隱私的至關重要性不容忽視。由于生物識別數據是指個人身份數據(這意味著通過生物識別方法收集的可用于識別個人身份的數據),因此不僅建議保護這些數據,而且對保護消費者至關重要。
1.3 區塊鏈技術簡介
因此,區塊鏈被認為是數據篡改和網絡攻擊的潛在解決方案。這在生物識別數據的背景下尤其重要,任何數據泄露都可能對個人的身份和隱私產生嚴重影響。值得注意的是,區塊鏈的使用將使生物識別數據的所有活動都記錄在單個分類賬中,并帶有時間戳和獨特的加密簽名。這可以提供一種更好地監管和監控收集和存儲生物識別數據的公司活動的方法。然而,隨著數據規模和用戶數量的增加,人們越來越擔心區塊鏈的高能源需求。在考慮區塊鏈在促進可持續網絡安全格局方面的潛力時,需要注意這一點。
當一個人首次注冊使用生物特征認證系統時,他們的生物特征數據將被掃描,并創建該信息的數字記錄。然后使用私鑰對該數字記錄進行加密并存儲在鏈上的信息“塊”中。當一個人使用生物識別系統時,他們的數據會與使用公鑰存儲在鏈上的加密數據進行比較。如果比較成功,則授予訪問權限。然后,該數據“塊”被加上時間戳并添加到鏈中的前一個數據“塊”中,以形成連續的數據“鏈接”。正是區塊鏈的這一特性——每個區塊都包含根據前一個區塊的內容生成的唯一代碼——使其成為一種如此安全的數據存儲方式。由于不可能在不改變整個鏈的情況下改變任何給定區塊中的信息,因此嘗試破解區塊鏈面臨著巨大的挑戰。做到這一點所需的計算能力將是巨大的。
區塊鏈技術最初是作為一種存儲和記錄比特幣交易的方式而開發的,但現在它已經發展成為一種可用于一系列不同應用的技術。在網絡安全和數據存儲的背景下,區塊鏈引起了廣泛關注。它被視為網絡安全專家面臨的一系列不同挑戰的潛在解決方案。例如,有人建議使用區塊鏈技術來取代傳統的用戶名密碼認證方法。區塊鏈技術可能會幫助我們使用指紋或面部識別等生物識別數據,轉向無密碼身份驗證解決方案。
2.生物識別認證對用戶隱私的影響
生物識別數據是與人類物理特征(例如指紋、視網膜、虹膜、聲音、面部、手、耳朵等)和人類行為特征(例如步態、簽名、擊鍵等)相關的任何測量數據. 用于識別一個人的。生物識別數據是特殊類別的信息。根據 2011 年信息技術(合理的安全實踐和程序以及敏感個人數據或信息)規則,這些數據被視為“敏感個人數據或信息”。Aadhaar(有針對性地提供財務和其他補貼、福利和服務)法案, 2016 年僅允許將生物識別信息用于 Aadhaar 注冊和身份驗證目的。這是因為法律承認,如果其他人使用一個人的生物識別數據,他們可能很難證明這一點,而且他們的隱私和身份面臨很高的風險。通過考慮以下示例,我們可以很容易地理解這一點:如果有人侵入受密碼或個人識別碼保護的帳戶,受影響的人可能會更改密碼或 PIN。然而,被盜的生物測量數據將永久受到損害。它不像密碼一樣可以更改;如果指紋被盜,無法確保其不會被用于惡意目的。此外,一旦生物識別數據遭到泄露,就無法將其秘密地用作驗證個人身份的方法。其他方法則不然,例如可以更改和重新頒發密碼。當生物識別身份驗證遭到破壞時,受影響個人的個人信息比密碼或 PIN 碼面臨的風險更大。生物識別數據即使受到損害也無法更改。它可用于各種詐騙,例如讓個人難堪、進行非法活動以及一系列新的、更具破壞性的攻擊。這意味著受生物識別數據盜竊影響的人面臨一系列潛在危害——從被陷害犯罪到泄露敏感個人數據。此外,每個生物識別系統都有識別錯誤率。這是衡量給定系統錯誤識別輸入的可能性的指標。例如,一種用于指紋識別的系統的錯誤率為 2%。這意味著,每 100 次嘗試使用指紋獲取訪問權限,系統預計會錯誤地拒絕 2 次進入。當它乘以可能使用生物識別身份驗證的大量用戶或交易時,錯誤數量在現實世界的使用中可能具有重要意義。因此,當發生此類錯誤時,生物識別數據的排他性可能會產生深遠的影響,特別是在商品和服務的訪問依賴于此類身份驗證的情況下。如果醫療或社會保障等重要服務采用生物識別身份驗證,這可能會導致無法獲得此類服務。在生物識別數據保護的隱私評估中,必須考慮生物識別信息的排他性以及即使是最準確的系統所遭受的錯誤率的影響。
2.1 生物識別數據的收集和存儲
有關生物識別數據使用的最大問題之一是數據收集和存儲的方法。當系統最初存儲生物特征時,算法會創建一個獨特的數字表示。原始生物特征本身通常會被丟棄,這意味著數據庫中僅保存其表示形式。然而,許多人認為,丟棄原始生物特征的做法并不保證數據不能被重建,而整齊的表示只會削弱數據的實用性而不是其隱私性。這是因為如果模板被盜,它可以用來重建原始生物特征的圖像。雖然生物識別行業認為重建圖像不夠準確,值得關注,但研究表明情況并非一定如此——事實上,模板的存儲及其相應的可構造性已被用來成功地批評公眾——判例法中的手生物識別系統。此外,生物識別存儲的行業標準是 ISO/IEC 24745,該標準根據第 4.21 條指出,生物識別的臨時圖像可以保存在數據庫中或在數據導入過程中。這引發了人們的擔憂,即黑客可能能夠瞄準并訪問這些圖像的實時源和本地數據庫——這一擔憂得到了反復出現的數據泄露實例的支持,在這些實例中,黑客獲得了數百萬張臨時圖像的訪問權限。一些人建議采用類似于某些法律體系中的系統,以防止生物識別數據的集中化。例如,2008年通過的美國生物識別隱私立法具有一個新穎的特點,即與保護個人隱私免受侵犯的傳統隱私法不同,生物識別法據說可以保護個人隱私免受企業和機構收集生物識別數據的影響。企業運作。在有關該主題的文獻中發現的對此方法的一種解釋是,它禁止出售或租賃個人的生物識別信息,并限制可以披露生物識別標識符的情況。這可能是存儲生物識別信息的一種有效方法,因為一個黑客訪問公司數據庫不會危及該系統上的所有用戶。然而,批評者認為這不會消除其他隱私問題,并且可能會阻礙生物識別技術的潛在商業應用。
2.2 與生物識別數據相關的風險和漏洞
請務必記住,生物識別數據是個人數據,存儲個人的生物識別特征或信息可能會使個人面臨多種風險。生物識別數據可能會在相關個人不知情或同意的情況下被濫用來跟蹤個人的活動、行為等。它可用于對公眾進行潛在的大規模監視,并可用于分析,這是歐盟通用數據保護條例所規定的一個關鍵主題。然而,根據 GDPR,生物識別數據被定義為敏感數據,因為生物識別數據在經過處理以唯一識別個人時,被視為個人數據。 GDPR 第 9 條和第 51 條規定,除非出于特定目的,否則禁止處理此類數據,例如數據主體出于一個或多個特定原因明確同意處理。盡管保護生物識別數據的法律框架似乎很強大,但已經制定了一些舉措來破壞與生物識別數據的收集和使用相關的隱私和其他公民自由問題。例如,在美國,聯邦調查局開發了下一代身份識別系統,這是一個生物識別數據庫系統,在其中央生物識別數據庫——州際照片中存儲數字指紋記錄、面部識別照片和其他生物識別數據。系統。該系統被稱為“21世紀老大哥”并非沒有道理。在世界其他地區,生物識別技術的實施損害了隱私權。例如,在中國,一項被稱為“銳眼計劃”的大規模監控項目已經啟動,旨在合并來自政府和私人安全攝像頭的數據,并整合面部識別技術來跟蹤公共場所的個人。政府對該項目的計劃是到 2020 年在中國大陸實現完美監控,不留盲點。該項目的名稱特別貼切,因為它是以中國前主席毛澤東的一句話命名的:“人民群眾的眼睛是雪亮的。”生物識別技術的這種使用及其潛在后果表明了為什么需要討論保護生物識別數據隱私。面部識別或 DNA 分析等新的、更復雜的生物識別技術的引入,使得生物識別數據變得更容易獲取、更容易收集和分析。值得注意的是,面部識別是指利用技術來識別人臉的一種方式。這可能涉及拍攝某人的照片(在移動設備上使用面部識別的最典型方法是拍攝該人的臉部照片)并使用該照片中的數據來幫助識別該人。
2.3 隱私問題和生物識別數據的潛在濫用
盡管蘭利律師事務所的就業和數據保護專家認為不會立即出現禁令,但隨著圍繞數據保護的判例法隨著技術進步而不斷發展和變化,肯定會帶來挑戰反對將來進行此類數據處理。他們的意思是,司法機構和議會已經表明愿意適應新技術及其對隱私造成的威脅。再加上最近引入的巨額經濟處罰,例如《通用數據保護條例》(GDPR) 下的處罰,意味著未來幾年可能會引入變化和進一步的限制,以保護個人免受潛在的生物識別數據濫用的影響。但也應該看到,人們對生物識別數據的認知度仍然較低。
例如,在就業方面,一些雇主已經開始使用生物識別技術來跟蹤工人。去年,英國一家大型鐵路公司宣布將開始使用生物識別手持掃描儀來管理員工出勤。有人擔心這種技術可能使雇主能夠進行監視,從而損害工人的隱私權。英國醫學協會已經呼吁徹底禁止雇主使用生物識別數據,并擔心敏感信息可能被用來監視健康和生活習慣,從而對招聘和工作場所歧視法產生不利影響。
雖然英國和歐洲不斷制定生物識別數據保護的新法律和方法,但目前活動人士正在通過法院采取行動。去年,高等法院允許隱私組織“Big Brother Watch”對南威爾士警方使用生物識別技術的行為提出法律質疑。然而,可能引起擔憂的不僅僅是政府濫用生物識別數據。公共部門以外的實體(例如私營公司)可能會以可能對個人造成潛在危害的方式使用生物識別數據。
例如,國家可以使用生物識別數據來跟蹤個人并壓制政治異議。在美國,聯邦調查局一直在開發生物識別數據庫,這將有助于其識別罪犯和恐怖分子,但也有可能用于監視普通公民。在英國,活動人士警告說,在邊境使用生物識別數據可能會導致監視范圍的大幅擴大。人們認為情況確實如此,因為該技術將使政府能夠監控和記錄每個人進出該國的情況,而這是使用護照和其他非生物識別身份無法實現的方式文件。
生物識別數據的使用存在許多隱私問題。在當今的電子世界中,個人數據經常遭受潛在的不必要的訪問。密碼或安全卡并不是可以更換的;生物標記一旦受到損害,就再也不能完全依賴于身份驗證。濫用生物特征數據對隱私的潛在威脅是廣泛的,并可能導致重大損害。
3.區塊鏈作為隱私保護安全數據存儲的解決方案
如今,生物識別數據的數據處理系統是內部連接的,外部請求的訪問要么通過不同訪問權限的密鑰進行控制,要么通過數據系統驗證請求者的真實性來控制。但在此過程中仍然存在安全弱點和復雜的場景。簡單的任務會帶來安全挑戰,例如生物識別模板保護和令牌管理。生物識別數據的多功能性和時間依賴性給個人數據隱私和數據安全的保護帶來了獨特的挑戰。由于數據泄露和勒索軟件的持續增長速度令人震驚,因此建立更強大、更安全的技術表面的要求超出了預期。近年來,密碼技術和基于區塊鏈的技術因其增強的安全性、數據隱私性和操作透明度而變得相當流行。區塊鏈技術基本上是指數據持有和保留的去中心化設置,或者簡稱為分布式賬本。該分類賬包含數字記錄的數據,并將每筆交易的信息存儲在鏈中。一旦記錄,任何給定區塊中的數據都無法在不更改所有后續區塊和網絡達成共識的情況下更改。區塊鏈用于各種需要安全性、責任性和耐用性的交易和其他數字賬本應用程序。區塊鏈技術因非常真實的原因而讓人們著迷。首先,數據不在單個服務器上,而且是公開的。如果您的數據分布在數千個位置,那么不良行為者將需要同時危害所有這些位置。每次更新、輸入或以其他方式修改數據點時,該更改都會傳遞到每個副本。這意味著,如果您有一份完整的數據副本,而我嘗試感染和損壞其中一份數據,您的副本將被網絡識別并自動修復。其次,區塊鏈技術速度快,并且在整個操作過程中立即發揮作用。最后,區塊鏈具有歷史性且不可變。至于公認的定義,信任是足夠好的安全性的關鍵。在考慮數據安全性時,保持不變性是一個很好的功能。這些屬性對于金融和政府運營中遇到的各種記錄保存非常有用且必要。區塊鏈具有很好的防篡改能力。每筆交易都帶有時間戳并由鏈中的每個節點驗證。最重要的是,由于塊中的數據是由其本身的數學函數以及直到前一個塊的所有數據來描述的,因此更改任何數據都會改變該函數,從而破壞鏈條。因此,數據塊與其之前的數據之間存在這種清晰的鏈接將確保此類存儲系統的完整性和安全性。對于生物識別安全和隱私,許多專家已經探索區塊鏈技術可以為配置和處理的生物識別數據提供非常高的安全級別。通過使用安全密碼技術和基于區塊鏈的方法,例如生物識別加密、生物識別模板保護和生物識別令牌管理,可以輕松消除當代生物識別系統中的許多安全漏洞和風險,并在技術基礎設施的影響下延長數據保護時間。變得越來越明智。借助現代密碼技術和基于區塊鏈的方法,可以進行完整而穩健的檢修,因為該技術可以在更安全的狀態下支持生物識別系統的設計、開發和調試,并且還可以支持大規模的生物識別系統。長期的數據供應和數據管理。哇說。 (2022)。生物識別身份驗證對用戶隱私的影響以及區塊鏈在保護安全數據中的作用。 2022 年 1 月 6 日檢索自 [Link]
3.1 區塊鏈技術如何運作
區塊鏈是一種去中心化的分布式賬本系統,其中數據存儲在塊中。每個區塊都包含一個交易列表,每筆交易都必須記錄在一個區塊上。所有區塊都使用數字加密技術鏈接,因此被稱為區塊鏈。區塊鏈網絡由多個節點組成,每個節點都有整個區塊鏈的副本。當新塊添加到區塊鏈時,每個節點都會更新其區塊鏈以反映更改。這使得篡改任何區塊的內容幾乎不可能,因為這種更改需要網絡中每個節點的共識。此外,在驗證過程中使用數字簽名可確保數據的安全性,因為所有交易均由正確的各方簽名以保證其真實性。數字簽名還可以防止塊中包含的數據被惡意第三方更改,從而提供進一步的安全層。區塊鏈技術的另一個特點是它支持智能合約,智能合約是自動執行的合約,其中合約條款直接寫入代碼行。在滿足某些條件的情況下,智能合約會自動執行和執行合同條款。當與區塊鏈技術結合時,這些合約會特別有用,因為一旦將智能合約添加到區塊中,它就變得不可變,這意味著合約代碼無法更改,合約也無法停止或篡改。這允許兩個不同方之間進行無需信任的協作,其中一方可以保證另一方不會退出合同。最后,區塊鏈網絡可以是公共的,也可以是私有的。在公共區塊鏈中,每個人都可以參與驗證過程和記錄交易,而私有區塊鏈在組織的范圍內運行,并控制誰擁有區塊鏈的寫入和讀取權限。了解區塊鏈技術的這三個不同關鍵方面如何有助于數據的整體安全性和完整性,有助于強調區塊鏈作為生物特征認證中保護隱私的方法的重要性。
3.2 使用區塊鏈進行數據存儲的優勢
與數據庫容易出現服務器故障和網絡攻擊的傳統存儲系統不同,區塊鏈通常被設計為安全和容錯。在區塊鏈系統中,數據(包括塊的內容和它們鏈接的時間順序)由節點驗證,然后以加密方式強制執行。一旦一個區塊被添加到區塊鏈的末尾,就很難返回并更改該區塊的內容,除非大多數網絡節點達成共識。如前所述,中央機構不負責區塊鏈。因此,用戶不需要對數據有任何信任。他們可以直接自己驗證數據。網絡中的每個用戶都可以擁有自己的區塊鏈“副本”,并且用戶提出的任何新塊都將廣播給網絡中的每個用戶。將使用某些共識算法進行驗證過程,以確定該塊是否有效,可以添加到自己的區塊鏈中。區塊鏈的這種分布式特性提供了高容錯能力:如果一個節點發生故障,系統仍然能夠繼續運行,可能會由于一個或幾個節點的丟失而導致性能略有下降。此外,區塊鏈平臺可以設計為具有高水平的可審計性,因為執行的每個操作都可以記錄為交易。網絡中的每個節點都將擁有從第一個塊到最近一個塊的所有交易記錄的完整歷史記錄。此功能對于醫療保健系統特別有利,因為不同的醫務人員將需要訪問患者的電子健康記錄。記錄中的每次訪問和更改都將記錄在區塊鏈中,所有授權人員都將擁有完整、透明的患者病史視圖。這將有效防止數據未經同意被更改或刪除等情況。
3.3 區塊鏈在生物識別認證隱私保護中的作用
但是,如果不以傳統方式存儲生物識別數據,而是將其簡單地保存在區塊鏈中,則可以完全緩解這種攻擊。生物識別身份驗證仍然有效——例如,當您需要接受檢查時,有人仍然會掃描您的指紋。但是,系統不會掃描打印件并將其從某些中央數據庫中檢查出來。
但是,鑒于現代 IT 系統的擴展性,許多不同的組織可能希望執行此類檢查 – 因此他們可能都需要訪問用戶的生物特征數據。即使數據庫沒有以任何方式相互連接,這也可能代表非常廣泛的漏洞攻擊面。如果這些網站中的任何一個受到攻擊并且生物識別數據被盜,它就可以被用來在任何其他網站上冒充該用戶。
當用戶在系統中注冊其生物特征數據(例如指紋或面部掃描圖像)時,這些數據將存儲在數據庫中的某個位置。當用戶需要進行身份驗證時(換句話說,需要檢查他們的身份),他們提供的生物識別數據將與該數據庫中的數據進行檢查。
生物識別數據是數據隱私中特別值得關注的問題。例如,與密碼不同的是,如果某人的生物識別數據被盜,則無法更改它。這使得生物識別數據對攻擊者來說非常有價值 – 一旦被盜,就永遠被盜。
使用區塊鏈技術確保生物識別數據的私密性和安全性是當前研究中廣泛關注的領域。區塊鏈技術最初是作為為加密貨幣交易提供安全記錄保存的一種手段而開發的。然而,后來發現,區塊鏈的特性使其在這一目的上非常有用,可以用來提供生物特征數據的隱私性。
4.結論
前景廣闊的生物識別認證和區塊鏈技術為增強用戶數據的安全性和隱私性提供了前所未有的機會。一方面,生物識別身份驗證為傳統的基于密碼的身份驗證方法提供了方便且安全的替代方案。然而,生物識別數據的收集和處理引起了重大的隱私和數據保護問題。更重要的是,如果不妥善解決這些問題,生物識別數據存儲和使用中的風險和漏洞可能會對用戶的隱私和個人自由產生嚴重后果。另一方面,區塊鏈技術具有去中心化、透明性和不可篡改的特性,可用于解決各種數字數據(包括身份驗證系統中的生物識別數據)的安全和隱私問題。通過將生物識別數據的哈希密鑰而不是生物識別數據本身存儲在區塊鏈賬本中,它允許更安全和保護隱私的數據存儲方法。此外,共識算法和區塊鏈的分布式特性可以幫助防止未經授權的數據修改和篡改生物識別數據的潛在網絡攻擊。在整篇文章中,我展示了生物識別時代如何影響用戶隱私,以及區塊鏈如何真正保護生物識別系統中的數據安全和數據隱私。此外,我還展示了第一個現實世界的例子——愛沙尼亞電子居住計劃——利用政府頒發的數字身份證中的生物識別數據與區塊鏈技術的結合,成功地釋放了遠程數字社會的全部潛力。通過對比傳統的中心化數據存儲和新興的基于區塊鏈的數據存儲,我也闡述了利用區塊鏈保護生物特征數據隱私的具體優勢。最后但并非最不重要的一點是,文章中的討論強調了研究區塊鏈隱私保護的未來考慮因素和挑戰。最后,我相信這項工作可以為未來的研究以及新標準和法規的制定提供啟示,以確保生物特征認證中的數據隱私和數據安全。謝謝。
4.1 生物識別認證對用戶隱私影響總結
大多數用戶不了解事情的嚴重性或不知道如何閱讀隱私政策,因此他們不會受到服務提供商的操縱。此外,當發生安全事件時,受害者通常無法立即獲取有關事件的信息,因為在某些情況下,受影響的公司正在接受調查,泄露公司獨家信息是犯罪行為。然而,在保護用戶隱私方面,美國大多數州都會在向公眾披露安全漏洞之前給予受影響公司一段短暫的寬限期,以便其采取補救措施。這樣的隱私法有助于在一定程度上減少使用生物特征認證的缺點。此外,正如課堂上所討論的,法律體系可以幫助保護用戶的權利。例如,美國 1996 年《電信法》規定竊聽屬于非法行為。如果生物識別數據在傳輸過程中被截獲,則跟蹤活動(即使部分成功)也將構成犯罪。
4.2 利用區塊鏈進行安全數據存儲的潛在好處
區塊鏈有效使用的一個例子是“數字身份”。這是我們在網絡世界中證明自己身份的一種方式,就像現實生活中的護照或駕駛執照一樣。用戶有機會將其個人信息存儲在自己的設備上,并且僅提供絕對必要且用于特定目的的詳細信息,例如年齡驗證或地址。每次向區塊鏈添加有關請求該信息的時間和地點的新記錄時,它都會鏈接到以前的記錄并進行數字簽名。這意味著用戶可以清楚地了解誰訪問了他們的信息以及出于什么目的,從而為他們提供了更好的控制和透明度。
除此之外,許多區塊鏈都實現了一個系統,其中對鏈內區塊的任何更改都應得到網絡中所有各方的同意。例如,私有區塊鏈平臺 Hyperledger Fabric 使用多數規則概念,要求網絡中 50% 的給定成員同意并認可擬議的交易,然后才能獲得批準和執行。這種所謂的交易排序和確認共識提供了更高級別的安全性,而迄今為止標準數據庫技術中還不存在這種安全性。 Hyperledger Fabric 更進一步,允許配置區塊鏈安全的不同方面。例如,網絡的創建者可以設置在網絡安全受到威脅之前必須損害多少組織的硬件,以及確定從網絡其他成員接收到的并發有效消息足以確認交易的數量。
將數據寫入區塊,并且使用加密簽名將每個區塊鏈接到前一個區塊,顯然存儲在區塊鏈上的數據更加安全且不易被篡改。此外,區塊鏈的去中心化性質意味著保存數據的數據庫有多個副本。這些被復制到多個節點上。這意味著,為了破壞系統并更改一個塊中的數據,黑客需要在數據庫的大多數實例中操縱所有前面的塊中的數據,并且在新的操作之前的短時間內完成此操作。區塊不斷地添加到鏈中,并且先前的區塊被鎖定,這幾乎是不可能的。
區塊鏈技術的分布式和去中心化性質確保不存在單點控制或故障。一旦數據被寫入區塊鏈,就很難修改或刪除它。這使得區塊鏈成為安全數據存儲的絕佳候選者。正如上一節所討論的,生物識別系統的本質需要存儲生物識別數據。然而,由于存儲此類敏感數據引發的隱私問題,公眾對這些系統的接受受到阻礙。區塊鏈有潛力克服這個問題,通過為用戶提供增強的隱私來徹底改變生物識別安全系統。這對于用戶來說尤其有吸引力,因為在開發任何 IT 系統時,維護數據隱私和安全始終是一個至關重要的方面。
4.3 實施區塊鏈隱私保護的未來考慮因素和挑戰
實施區塊鏈保護隱私的潛在挑戰之一是去中心化同意是否實用的問題。用戶必須能夠控制其生物識別數據的處理方式,以便如果任何用戶不再希望存儲其數據,他們可以撤銷許可,并且數據將是匿名的。然而,區塊鏈和分布式賬本技術的去中心化性質意味著,目前任何擬議的新系統都必須進行廣泛的重新開發,以便包括同意管理員來監督這一過程。這不一定是一個缺點,在未來,可以設想開發一種系統,例如,智能合約可以響應用戶撤回同意而執行數據注銷。然而,向新形式的隱私保護的轉變將需要一個調整期,必須審查這些實際和技術障礙,并必須開發潛在的新數據管理系統。對于那些正在考慮從傳統的集中式數據存儲過渡到新的、更安全的去中心化系統的人來說,這些障礙可能會令人沮喪。它為那些必須根據這些新系統重新評估和調整其程序的公司和組織設置了非常高的變革障礙。克服這些挑戰的動力必須非常高。這可能是面對最近廣為人知的數據泄露事件,因為它有可能恢復公眾對在線數據存儲的信任;然而,如果沒有強大的影響力來推動這個問題,公司的轉型可能會非常緩慢。