Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
В современном мире ваша цифровая и физическая жизнь становится все более тесно связана с приложениями, службами и устройствами, которые вы используете. Эта цифровая революция открыла мир возможностей, позволяя вам связаться с бесчисленными компаниями и отдельными людьми способами, которые когда-то невообразимы.
Это повышает уровень подключения, что повышает риск кражи удостоверений и нарушений данных. Эти нарушения могут быть разрушительными для личных и профессиональных жизней. Майкрософт активно сотрудничает с различными организациями и органами стандартов для создания решения децентрализованного удостоверения, которое ставит отдельных лиц под контроль над собственными цифровыми удостоверениями. Децентрализованные технологии идентификации обеспечивают безопасный и частный способ управления данными удостоверений без использования централизованных органов или посредников.
Почему децентрализованное удостоверение важно
Сегодня вы используете цифровое удостоверение на работе, дома и в каждом приложении, службе и устройстве, которое вы используете. Эта идентичность состоит из всего, что вы говорите, делаете и переживаете в своей жизни: покупка билетов на мероприятие, регистрация в отеле или даже заказ обеда. В настоящее время ваша идентичность и все ваши цифровые взаимодействия зависят от третьих лиц, в некоторых случаях даже без вашего ведома.
Каждый день пользователи предоставляют приложениям и устройствам доступ к их данным. Для них потребуется много усилий для отслеживания того, кто имеет доступ к каким фрагментам информации. На корпоративном уровне для совместной работы с потребителями и партнерами требуется сложная оркестрация для безопасного обмена данными с сохранением конфиденциальности.
Система децентрализованных удостоверений на основе стандартов может разблокировать новый набор возможностей, которые предоставляют пользователям и организациям больший контроль над своими данными и обеспечить более высокую степень доверия и безопасности для приложений, устройств и поставщиков услуг.
Лидерство с открытыми стандартами
Майкрософт активно сотрудничает с членами Децентрализованного фонда удостоверений (DIF), группы сообщества учетных данных W3C и более широкого сообщества удостоверений. В службах проверенных идентификаторов реализованы следующие стандарты.
- Децентрализованные идентификаторы W3C
- Проверяемые учетные данные W3C
- DIF Sidetree
- Общепринятая конфигурация DIF DID
- DIF DID-SIOP
- DIF Presentation Exchange
Что такое DIDs?
Прежде чем понять ДИУ, полезно сравнить их с другими идентификационными системами. Адреса электронной почты и идентификаторы социальных сетей — это понятные для совместной работы псевдонимы, но теперь перегружены для использования в качестве контрольных точек для доступа к данным во многих сценариях за пределами совместной работы. Эта ситуация создает потенциальную проблему, так как доступ к этим идентификаторам может быть удален в любое время. Децентрализованные идентификаторы (DID) работают иначе. Идентификаторы DID, создаваемые пользователями, являются самоуправляемыми и глобально уникальными идентификаторами, основанными на децентрализованных системах доверия. Они обладают уникальными характеристиками, такими как высокая гарантия неизменяемости, устойчивость к цензуре и защита от вмешательств. Эти атрибуты критически важны для любой системы идентификаторов, предназначенной для обеспечения самостоятельного владения и управления пользователями.
Решение Майкрософт для проверяемых учетных данных использует децентрализованные учетные данные (DID) для криптографической подписи, подтверждая, что проверяющая сторона (верификатор) заверяет информацию, подтверждающую их владение проверяемыми учетными данными. Для всех пользователей, создающих проверяемое решение для учетных данных, рекомендуется получить базовое представление о децентрализованных идентификаторах на основе платформы Майкрософт.
Что такое проверяемые учетные данные?
Вы используете идентификаторы в повседневной жизни. У вас есть водительские лицензии, которые вы используете в качестве доказательства вашей способности управлять автомобилем. Университеты выдают дипломы, которые доказывают, что вы достигли уровня образования. Вы используете паспорта, чтобы предъявить свои документы властям, когда прибываете в иностранные пункты назначения. Модель данных описывает, как можно обрабатывать эти типы сценариев при работе через Интернет, но в безопасном режиме, который уважает конфиденциальность пользователей. Дополнительные сведения см. в модели данных с проверяемыми учетными данными 1.0.
Вкратце, проверяемые учетные данные — это объекты данных, состоящие из утверждений о каком-либо объекте, предоставленных издателем данных. Схема определяет эти утверждения. Утверждения содержат DID издателя и субъекта. DID издателя создает цифровую подпись в качестве доказательства своего подтверждения этой информации.
Как работает децентрализованная идентификация?
Требуется новая форма идентификации. Идентификация, которая объединяет технологии и стандарты для предоставления ключевых атрибутов идентификации, таких как самосознание и сопротивление цензуры. Этого сложно добиться, используя существующие системы.
Для реализации этих обещаний необходимо техническое основание, состоящее из семи ключевых инноваций. Одним из ключевых инноваций является идентификаторы пользователей, агент пользователя для управления ключами, связанными с такими идентификаторами, и зашифрованными, управляемыми пользователем хранилищами данных.
1. Децентрализованные идентификаторы W3C (DID) Пользователи создают, владеют и управляют этими идентификаторами независимо от каких-либо организаций или правительств. DID — это глобально уникальные идентификаторы, связанные с метаданными децентрализованной инфраструктуры открытых ключей (DPKI), состоящие из документов JSON, которые содержат материал открытых ключей, дескрипторы аутентификации и конечные точки служб.
2. Система доверия.
Чтобы обеспечить возможность разрешать документы DID, обычно они записываются в некоторую базовую сеть, которая выполняет роль системы доверия. Майкрософт в настоящее время поддерживает систему доверия did:web. Система did:web доверия — это модель на основе разрешений, которая позволяет доверять с помощью существующей репутации веб-домена. Этот did:web метод общедоступен.
3. Агент пользователей и кошелек DID: Microsoft Authenticator app. Позволяет реальным людям использовать децентрализованные идентификаторы и проверяемые учётные данные. Microsoft Authenticator создает DID, упрощает выдачу и запросы на представление проверяемых учетных данных и управляет резервным копированием вашего DID через зашифрованный файл кошелька.
4. Майкрософт Резолвер.
API, который осуществляет поиск и разрешение DID с помощью метода did:web и возвращает объект DID-документа (DDO). DDO включает метаданные DPKI, связанные с DID, в частности открытые ключи и конечные точки служб.
5. служба Проверенные учетные данные Microsoft Entra.
Служба выдачи и верификации в Azure, а также REST API для W3C верифицируемых учетных данных, подписанных с использованием метода did:web. Они позволяют владельцам удостоверений создавать, представлять и проверять утверждения. Эта служба формирует основу доверия между пользователями систем.
Пример сценария
В следующем сценарии объясняется, как работают проверяемые учетные данные:
- Woodgrove Inc., компания.
- Proseware, компания, которая предоставляет сотрудникам Woodgrove скидки.
- Алиса, сотрудник в Woodgrove, Inc. который хочет получить скидку от Proseware.
Сегодня Алиса предоставляет имя пользователя и пароль для входа в сетевую среду Woodgrove. Woodgrove развертывает решение с проверяемым удостоверением, чтобы предоставить Алисе более удобный способ доказать свой статус занятости в Woodgrove. Proseware принимает проверяемые учетные данные, выданные Woodgrove как доказательство занятости, которые предоставляют доступ к корпоративным скидкам в рамках корпоративной программы скидок.
Алиса запрашивает у Woodgrove Inc проверяемое удостоверение в качестве доказательства трудоустройства. Woodgrove Inc подтверждает личность Алисы и выдает подписанное проверяемое удостоверение, которое Алиса может принять и хранить в своем приложении цифрового кошелька. Алиса теперь может представлять это проверяемое удостоверение в качестве доказательства трудоустройства на сайте Proseware. После успешного представления учетных данных Алиса получает право на скидки в Proseware. Транзакция регистрируется в приложении кошелька Алисы. Записи журнала помогают Алисе отслеживать, где и кому она показала свое проверяемое удостоверение занятости.
Роли в решении с проверяемыми аккредитивами
В решении проверяемых удостоверений участвуют три ключевых участника. На следующей схеме:
- На шаге 1пользователь запрашивает проверяемое удостоверение от издателя.
- На шаге 2издатель учетных данных удостоверяет, что предоставленное пользователем подтверждение является точным, и создает проверяемое удостоверение, подписанное с помощью DID (для которого DID пользователя является субъектом).
- На шаге 3 пользователь подписывает проверяемую презентацию с помощью DID и отправляет ее подтверждающему. Затем подтверждающий проверяет учетные данные, сопоставляя их с открытым ключом, находящимся в DPKI.
Участники этого сценария:
Издатель
Издатель — это организация, которая создает решение выдачи, запрашивающее информацию от пользователя. Эта информация используется для проверки личности пользователя. Например, в Woodgrove, Inc. имеется решение для выдачи, которое позволяет им создавать проверяемые удостоверения (VC) для всех своих сотрудников. Сотрудник использует приложение Authenticator для входа с именем пользователя и паролем, что передаёт токен удостоверения в службу выдачи. После того как Woodgrove, Inc. проверяет отправленный токен идентификации, решение выдачи создает VC (проверяемое удостоверение), включающее утверждения о сотруднике и подписанное Woodgrove, Inc. Теперь у сотрудника есть проверяемые учетные данные, подписанные работодателем, которые включают DID сотрудника в качестве субъекта DID.
Примечание.
На шаге входа используется традиционная проверка подлинности (например, имя пользователя и пароль) для подтверждения личности сотрудника у издателя. Это не относится непосредственно к самим проверяемым удостоверениям. Проверяемые учетные данные являются переносимым, криптографически подписанным подтверждением того, что сотрудник может позже представить любому проверятелю без необходимости связаться с Woodgrove или любым центральным центром.
Пользователь
Пользователь — это лицо или организация, запрашивающие ВК. Например, Алиса является новым сотрудником компании Woodgrove и ранее получила проверяемое удостоверение, подтверждающее ее занятость. Когда Алиса должна предоставить подтверждение занятости, чтобы получить скидку на Proseware, она может предоставить доступ к учетным данным в своем приложении Authenticator, подписав проверяемую презентацию, которая подтверждает, что Алиса является владельцем DID. Proseware может удостоверить подлинность учетных данных, выданных Woodgrove, и подтверждаемое владение учетными данными Алисы.
Проверяющий
Подтверждающий — компания или сущность, которым необходимо проверять утверждения от одного или нескольких доверенных эмитентов. Например, Proseware доверяет Woodgrove, Inc. и считает, что компания добросовестно выполняет проверку личности своих сотрудников и выдает подлинные и допустимые VC. Когда Алиса пытается заказать оборудование, необходимое для её работы, Proseware использует открытые стандарты, такие как Self-Issued OpenID Provider (SIOP) и Presentation Exchange, чтобы запросить учетные данные у пользователя, подтверждающие, что он является сотрудником компании Woodgrove, Inc. Например, Proseware может предоставить Алисе ссылку на веб-сайт с QR-кодом, который она сканирует камерой своего телефона. При этом будет инициирован запрос для конкретного VC, который Authenticator проанализирует и даст Алисе возможность одобрить запрос, чтобы подтвердить свое трудоустройство в Proseware. Proseware может использовать API-службы проверяемых удостоверений или пакет SDK для проверки подлинности проверяемого представления. На основе информации, предоставляемой Алисой, Алисе предоставляют скидку. Если другие компании и организации знают, что Woodgrove, Inc. выдает своим сотрудникам проверяемые удостоверения, они также могут создать решение для проверки и использовать проверяемое удостоверение Woodgrove, Inc. для предоставления специальных предложений, зарезервированных для сотрудников Woodgrove, Inc.
Примечание.
Проверяющее лицо может использовать открытые стандарты для выполнения презентации и проверки или настроить собственный клиент Microsoft Entra, чтобы служба Проверенные учетные данные Microsoft Entra выполняет большую часть работы.
Следующие шаги
Теперь, когда вы знаете о децентрализованных идентификаторах и учетных данных с подтверждением, попробуйте их использовать самостоятельно, ознакомившись со статьей о начале работы или с одной из статей, предоставляющих более подробную информацию о концепциях проверяемых данных.
- Как начать работать с проверяемыми удостоверениями
- Настройка учетных данных
- Проверяемые удостоверения: вопросы и ответы