本文提出了一种名为BIDO（Biometric Identity Online）的无设备生物特征认证标准。传统的身份认证系统往往依赖于用户携带物理令牌、智能卡等硬件，或者存储长期生物特征模板，存在隐私泄露和资源消耗问题。BIDO旨在实现与NIST SP 800-63B中认证器保证等级2（AAL2）相当的安全强度，同时无需存储任何长期生物特征模板、面部图像或其他个人身份信息（PII）。其核心创新在于：在每次认证事件中，从实时采集的生物特征测量值（如面部图像）和用户自定义的记忆秘密（盐值）中，通过确定性算法派生出基于椭圆曲线数字签名算法（ECDSA）的密钥材料。这一过程消除了持久性私钥存储的需求，并且可以在任何商用传感器终端上完成验证。生成的凭证属于不可发现（非驻留）的WebAuthn凭证，完全兼容所有支持FIDO2的网站和服务，无需对服务器端进行任何修改。BIDO的具体流程包括：捕获200个有效的生物特征样本，使用Dlib 68点面部地标预测器进行特征提取，执行仿射面部对齐、正面门控、计算眼间中点的欧氏距离，再进行模数为8的底除量化、会话间漂移稳定，最后通过多数投票的SHA-256哈希绑定生成验证种子（Vseed）。WebAuthn凭证从Vseed中临时派生，签名后立即在内存中清零。实验基于三个主流面部基准数据集（VGGFace2、LFW、MegaFace）进行评估。结果表明：在LFW上达到99.51%的验证准确率，在MegaFace Challenge 1（含10^6干扰项）上Rank-1识别准确率为92.14%，密码学层次的错误接受率（FAR）仅为0.03%，错误拒绝率（FRR）为0.90%。该工作主要面向身份认证安全领域的研究者和开发者，尤其适用于需要强安全且尊重隐私的无密码认证场景。

该论文探讨了企业AI从副驾驶向自主代理转变过程中面临的授权挑战。随着自主代理能够跨组织边界执行工作流、协商结果并做出决策，传统的身份验证机制已不足以确保安全。论文指出，代理的授权必须明确、可约束、可审计、可撤销，并且能被独立接收方一致解释。通过分析保险理赔和供应链完整性两个代表性企业用例，揭示了现有身份与访问模型中的结构性空白。为应对这些挑战，作者提出了一种可移植的授权模型，该模型基于发行人授权的有效载荷、类型化约束代数、决策一致评估语义、委托衰减、受控语义解析、故障关闭处理和预检发现。该模型分离了凭证容器、授权有效载荷语义和执行引擎，支持JWT/JWS、可验证凭证、OAuth丰富授权请求或策略引擎绑定等多种配置文件，从而在不同信任域之间保持通用的授权含义。论文的主要贡献在于定义了一套可移植的授权标准框架，使得自主代理的权限能够跨系统互操作，同时保留审计和撤销能力。适合从事AI安全、身份与访问管理、分布式系统架构的研究人员和工程师阅读。

本文提出了 InsureConnect，一个基于区块链的系统，旨在提高财产保险工作流在自然灾害后的透明度、可认证性和可审计性。该系统结合了自我主权身份（SSI）、去中心化标识符（DID）、可验证凭证（VC）、卫星图像、Hyperledger Fabric 和 IPFS（星际文件系统）来注册身份、保险合同和损害索赔。财产图像存储在 IPFS 中，而内容哈希和签名记录则保存在许可区块链上。用户通过桌面应用程序与系统交互，链码执行基于角色的访问控制并验证数字签名。原型在 50 到 3000 个并发请求负载下进行了评估，测量了延迟、吞吐量和丢弃连接数。结果表明，系统在负载下能够维持吞吐量增长，尽管延迟增加且在高并发下出现丢弃连接。

本文首次提出并研究了私有认证者交集（Private Certifier Intersection, PCI）问题。在Web 3.0去中心化场景中，互不信任的各方需要基于共同信任的认证机构（certifiers）来交叉验证声明，同时保护不公开的共同认证者以外的隐私。PCI允许持有证书的双方或多方在不泄露交集外任何认证者信息的前提下，识别出共同的认证者并验证其颁发的证书。论文在简化UC框架下形式化定义了多方PCI，针对两种场景：只需任意一个声明有效（PCI-Any）或所有声明均有效（PCI-All）。作者设计并实现了两个可证明安全且实际高效的协议：一个基于ECDSA证书的PCI-Any协议，以及一个基于BLS证书的PCI-All协议。技术核心是提出了首个基于秘密共享的MPC框架，支持黑盒方式高效计算椭圆曲线算术运算，包括双线性对。该框架基于MP-SPDZ库，并使用OpenSSL和RELIC进行椭圆曲线运算。在局域网和广域网环境下进行了基准测试，结果显示跨洲际WAN环境中，处理40个输入集的时间不到一分钟，证明了方案的实用性。

本文研究了AI智能体的身份认证与状态验证问题。AI智能体是一种自主实体，可以按需实例化、跨平台迁移，并与其他智能体或服务交互，无需持续人工监督。在这种环境中，身份对于建立缺乏先验信任关系的智能体之间的可靠交互语义至关重要。现有的身份与访问管理机制是为人类用户或静态机器设计的，假设集中式注册、持久标识符和稳定执行上下文，这些假设对于AI智能体不成立——其身份是自管理的、短暂的，且与执行状态和能力紧密耦合。论文识别出三个挑战：(1) 支持自主创建的智能体自管理身份；(2) 在大规模并发交互下实现认证；(3) 验证智能体动态执行状态（如交互时其上下文和有效性是否仍然有效）。为应对这些挑战，作者提出了AgentDID，一个去中心化的身份认证与状态验证框架。AgentDID利用去中心化标识符（DID）和可验证凭证（VC），使智能体能够管理自身身份并在跨系统中进行认证，无需集中控制。为解决静态凭证方法的局限性，AgentDID引入了挑战-响应机制，允许验证者在交互时验证智能体的执行条件。作者按照W3C标准实现了AgentDID，并通过多智能体并发吞吐量实验进行了评估。结果表明，该系统实现了可扩展的身份认证和状态验证，展示了支持大规模AI智能体群体的潜力。