Popis fungování ověřitelných přihlašovacích údajů

  • 11 min

Decentralizované identifikátory jsou klíčovou komponentou procesu sloužící k vydávání, prezentování a ověřování ověřitelných přihlašovacích údajů a jsou důvodem, proč můžou uživatelé řídit, jak a kdy se zobrazují a sdílí. Jinými slovy identifikátory DID umožňují ověřitelné přihlašovací údaje.

Entity zapojené do ověřitelného ekosystému přihlašovacích údajů

Je důležité nejprve popsat některé strany zapojené do ověřitelného ekosystému přihlašovacích údajů, jak je definováno doporučením W3C k ověřitelnému datovému modelu přihlašovacích údajů verze 1.1.

  • Vystavitel – Vystavitel vytvoří ověřitelné přihlašovací údaje. Mezi příklady vystavitelů patří společnosti, vládní subjekty, obchodní organizace a další. Vystavitel o vás tvrdí deklarace identity jako předmět přihlašovacích údajů.
  • Subject – Subjekt je entita, o které se deklarace identity v přihlašovacích údajích provádějí. Předmětem ověřitelných přihlašovacích údajů je obvykle osoba, ale může to být věc nebo zvíře. Příkladem, kde může být předmět věcí, je ověřitelné přihlašovací údaje, které tvrdí, že vaše vozidlo je registrováno ve vašem stavu. Podobně by zvíře mohlo být předmětem stejně jako u přihlašovacích údajů, které tvrdí, že váš domácí mazlíček je licencovaný a očkovaný proti rabí. V našem scénáři předpokládáme, že předmět je osoba a v našem scénáři můžeme na předmět odkazovat jako na uživatele.
  • Držitel – Držitel je entita, která má jednu nebo více ověřitelných přihlašovacích údajů. Mezi příklady držitelů patří studenti, zaměstnanci, zákazníci atd. Držitel se může lišit od předmětu, stejně jako u vlastníka domácího mazlíčka, který uchovává přihlašovací údaje, které tvrdí, že jejich domácí mazlíček (předmět) je licencovaný a očkovaný. V našem příkladu a pro jednoduchost bude držitel a předmět stejné a bude v našem scénáři označován jako uživatel nebo držitel.
  • Verifier – Ověřovatel je entita, která přijímá ověřitelné přihlašovací údaje ke zpracování. Mezi příklady entit, které mohou sloužit jako ověřovatelé, patří zaměstnavatelé, pracovníci zabezpečení, weby, univerzity atd.
  • Ověřitelný registr dat – Ověřitelné registry dat jsou systémy, které se podílejí na vytváření a záznamu identifikátorů DID, veřejných klíčů a dalších dat používaných s ověřitelnými přihlašovacími údaji. Tyto systémy jsou obvykle distribuované sítě, jako jsou distribuované knihy, blockchainy, distribuované systémy souborů nebo jiné důvěryhodné úložiště dat. Typ použitého registru závisí na metodě DID. V rámci ověřitelného ekosystému přihlašovacích údajů může existovat mnoho registrů. Kolekci těchto registrů si můžete představit jako základní síť, která představuje systém důvěryhodnosti.

Všechny strany zapojené do transakce ověřitelných přihlašovacích údajů (vystavitel, uživatel, ověřovatel) mají vlastní jedinečný identifikátor DID, který lze přeložit na přidružený dokument DID.

Diagram znázorňující hlavní aktéry ve ověřitelném scénáři přihlašovacích údajů Patří mezi ně vystavitel, uživatel, ověřovatel, ověřitelný registr dat, který představuje systém důvěryhodnosti.

Digitální peněženka

Jednou z dalších důležitých součástí ověřitelného ekosystému přihlašovacích údajů je digitální peněženka. Jednoduše řečeno, digitální peněženka představuje naši fyzickou peněženku jako softwarovou aplikaci. Stejně jako naše fyzické peněženky ho používáme k uložení přihlašovacích údajů, jako je průchod na palubě, karta knihovny, peníze, průchody a mnoho dalších typů přihlašovacích údajů a privátních dat.

Ve skutečnosti je digitální peněženka mnohem víc. Digitální peněženka má dvě části, samotnou peněženku a digitální agenta. Peněženka slouží jako kontejner pro všechny věci, které do ní vložíte – všechny přihlašovací údaje, průchody, soukromá data atd. Digitální agent je software, který spravuje interakce s peněženkou. Agent je trochu jako uživatel, který vloží přihlašovací údaje do fyzické peněženky a vezme ho k prezentaci někomu, kdo potřebuje ověřit vaši identitu. V kontextu ověřitelného ekosystému přihlašovacích údajů agent dělá více. Agent jménem koncového uživatele (držitel digitální peněženky), generuje páry veřejného a privátního klíče a identifikátory DID, odesílá žádosti o přihlašovací údaje a prezentuje je (obvykle prostřednictvím uživatele kódů QR), digitálně podepíše komunikaci s vystaviteli a ověřovateli přihlašovacích údajů a další. Některé z těchto věcí, jako je vytváření kryptografických klíčů, identifikátorů DID, digitálních podpisů atd. jsou pro uživatele transparentní, ale jsou to důležité komponenty používané při vydávání a ověřování ověřitelných přihlašovacích údajů.

Z hlediska koncového uživatele je funkce digitálního agenta nerozlišitelná od samotné peněženky, protože agent je obecně integrovaný do peněženky. Pro tento dokument zacházíme s peněženkou a digitálním agentem jako s jednou a označujeme ji jako digitální peněženku.

Scénář a ověřitelný tok přihlašovacích údajů

Alice (uživatel) je zaměstnancem společnosti Woodgrove, Inc. (vystavitel) hledající slevu za zaměstnance z přidružené organizace, Proseware (ověřovatel).

Diagram znázorňující tok vystavení a ověření ověřitelných přihlašovacích údajů

  1. Jak už bylo zmíněno dříve, všechny strany mají své veřejné klíče a DID, které se zaznamenávají do ověřitelného registru dat, jako je decentralizovaný registr. Aby se minimalizovalo nepotřebné, obrázek znázorňuje záznam těchto informací v registru pouze pro Woodgrove.
  2. Alice se přihlásí k portálu zaměstnanců ve woodgrovu a požádá o doklad o přihlašovacích údajích o zaměstnání. V tomto okamžiku může Woodgrove zobrazit kód QR na portálu zaměstnance. Alice naskenuje kód QR pomocí aplikace digitální peněženky na svém mobilním zařízení (může to být aplikace Microsoft Authenticator), která zahájí model ověření identity společnosti Woodgrove pro ověření, že Alice je skutečným zaměstnancem. Ověření identity může mít různé formy. Woodgrove může například vyžadovat, aby se Alice ověřila ve vlastním adresáři, může vyžadovat, aby Alice prošla cestou kontroly identity, která zahrnuje třetí stranu, která provádí ověření identity a kontrolu pravopisu, nebo může vyžadovat, aby Alice zadala pin kód. V tomto scénáři předpokládejme, že Alice musí zadat špendlík pomocí digitální peněženky na svém mobilním zařízení.
  3. Jakmile Woodgrove ověří, že Alice je zaměstnancem, woodgrove odpoví přihlašovacími údaji. Když Woodgrove vydá přihlašovací údaje, zahrnuje:
    • Woodgrove's DID (vystavitel DID)
    • Předmět DID (Alice je předmětem).
    • Tvrzení, že Woodgrove potvrzuje. V tomto případě Woodgrove potvrzuje, že Alice má titul manažera programu od roku 2011.
    • Podpis společnosti Woodgrove (podpis vystavitele). Woodgrove podepíše přihlašovací údaje svým privátním klíčem.
  4. Alice přijme toto přihlašovací údaje, které se pak přidají do své digitální peněženky. Teď, když má Alice své přihlašovací údaje, přejde na web Proseware a koupí si počítač.
  5. Než bude moct získat slevu, proseware vyžaduje, aby Alice předložila doklad o zaměstnání.
  6. Alice se teď může podívat do své digitální peněženky a autorizovat peněženku jménem, aby tento přihlašovací údaje představila Proseware. Prezentace zahrnuje:
    • Přihlašovací údaje vydané společností Woodgrove
      • Woodgrove's DID (vystavitel DID)
      • Alice DID (předmět DID).
      • Tvrzení, že Woodgrove potvrzuje. V tomto případě Woodgrove potvrzuje, že Alice má titul manažera programu od roku 2011.
      • Podpis společnosti Woodgrove (podpis vystavitele). Woodgrove podepíše přihlašovací údaje svým privátním klíčem.
    • Alice podpis (podpis předmětu). Alice podepíše přihlašovací údaje svým privátním klíčem.
  7. Proseware obdržel doklad o zaměstnání a nyní provádí vyhledávání, aby ověřil, že přihlašovací údaje vydal Woodgrove a že předmětem přihlašovacích údajů je Alice.
    • Ověřte předmět:
      • Vzhledem k tomu, že přihlašovací údaje zahrnují Alice DID, Může Proseware vyřešit DID a získat dokument DID, který obsahuje veřejný klíč.
      • Vzhledem k tomu, že přihlašovací údaje podepsal Alice, může Proseware použít veřejný klíč k ověření, že podpis na přihlašovacích údajích skutečně pochází od Alice, jako předmět.
    • Ověřte vystavitele:
      • Vzhledem k tomu, že přihlašovací údaje zahrnují DID společnosti Woodgrove, může Proseware vyřešit kód DID a získat dokument DID společnosti Woodgrove, který obsahuje veřejný klíč.
      • Vzhledem k tomu, že přihlašovací údaje zahrnují také podpis Společnosti Woodgrove, může Proseware použít veřejný klíč k ověření, že podpis na přihlašovacích údajích skutečně pochází z Woodgrove, jako vystavitel.
      • Při ověřování vystavitele se Proseware nikdy neměl připojovat přímo s Woodgrove. Proseware se musí připojit jenom s distribuovaným registrem dat.
      • Teď, když Společnost Proseware přijala a ověřila přihlašovací údaje Alice, pak se obchodní logika Proseware spustí, aby Alice mohla koupit počítač za zvýhodněnou cenu.

V transakci vydávání, prezentování a ověření transakce existuje několik bodů, které stojí za zmínku, které pomáhají zvýraznit hodnotu ověřitelných přihlašovacích údajů:

  • Při vydávání přihlašovacích údajů jsou prezentované deklarace identity minimální sadou deklarací potřebných k dosažení cíle. V takovém případě přihlašovací údaje musí obsahovat pouze žádost o titul zaměstnance a rok zahájení zaměstnání. Tím se omezí množství sdílených osobních údajů.
  • Uživatel má kontrolu nad přihlašovacími údaji a určuje, s kým bude přihlašovací údaje sdílet. Kromě toho peněženka uživatele udržuje protokol entit, se kterými byly přihlašovací údaje sdíleny, spolu s dalšími informacemi.
  • Když ověřovatel ověří přihlašovací údaje, provede to bez nutnosti připojení k vystaviteli. Ověřovatel vyřeší, že vystavitel získal veřejné klíče a s veřejným klíčem, dokáže ověřit podpis vystavitele, který se zobrazí na přihlašovacích údajích.

Běžným scénářem s libovolnými přihlašovacími údaji je, že platnost přihlašovacích údajů může vypršet nebo vystavitel může potřebovat odvolat tyto přihlašovací údaje. Doporučení W3C pro ověřitelný datový model přihlašovacích údajů verze 1.1 obsahuje pole vlastností v přihlašovacích údajích pro účely těchto scénářů.

V digitální peněžence Alice se přihlašovací údaje zobrazují jako karta jako typ přihlašovacích údajů, které bychom měli v naší fyzické peněžence. Ve skutečnosti je ale ověřitelné přihlašovací údaje strojově čitelnou datovou strukturou JSON, která se skládá z řady párů klíč/hodnota a zahrnuje DID vystavitele, deklarace identity, které se uplatňují v přihlašovacích údajích, digitálních podpisech a dalších.

Navštivte https://aka.ms/vcdemo ucelenější ukázku scénáře ověření ověřitelných přihlašovacích údajů.