この記事の冒頭では、W3C の DID 標準を解釈したいと思いますが、DID キーワードを検索すると、DPKI、PKI、VC などの多くの用語が表示され、非常に混乱することが多いため、学びと探求の道を歩み続けるのは難しい。
皆さんにもっと理解していただくために、まずはインターネットアイデンティティの開発背景を簡単に説明する記事を書きたいと思います。そこで今回は、アイデンティティについて話していきましょう。
1. アイデンティティの機能
Baidu のエントリでのアイデンティティの説明は次のとおりです。アイデンティティとは、人の出自と社会的地位を指します。
このアイデンティティには 2 つの意味が含まれています: 1 つは主権国家によって国民に与えられる法的または市民的アイデンティティであり、もう 1 つは運命を決定するために生まれてきたと一般大衆によってよく言われる社会階級のアイデンティティです。
クラスについては話さず、人口管理とサービスの観点からアイデンティティの問題についてのみ議論しましょう。アイデンティティには 2 つの機能があります。1 つは区別することであり、もう 1 つは証明することです。
1. アイデンティティの識別機能は、国の人口管理システムに役立ちます。
人口管理のためには、国勢調査と人口登録を実施する必要があります。1969 年に国連が発行した「人口登録または同様のシステムの方法と評価」では、人口登録を次のように定義しています。「継続的に記録および/または調整する個人データのシステム」特定の間隔で人口の規模と特徴に関する最新の情報を確認するために、国の居住人口の各メンバーに関する情報のメカニズムを連携させること。」
人口登録を容易にするために、多くの国は 1 人 1 番号システムを採用しています。たとえば、中国では国民 ID 番号を人口データのインデックスに使用し、米国では社会保障番号 (社会保障番号) をインデックスとして使用しています。人口データを記録するため。
2. ID 管理のもう 1 つの機能は証明です。
社会全体の運営は、社会的主体に対するある程度の信頼に基づく必要があります。
信頼は社会的主題の理解から生まれますが、この信頼の必要性を解決するために、身元証明が登場し始めています。
原始社会においては、社会主体間のコミュニケーションは部族間の物々交換に過ぎず、相互理解に基づいてアイデンティティを証明することができたが、生産性の進歩により、社会構成員間の交流の範囲はこれに限定されなくなった。現時点では、権威ある機関または信頼できる機関は、特定の社会的行動を完了するために二者間の信頼を高めるために特定の証明書を発行する必要があります。
我が国のIDカードは、政府が国民に発行する身分証明書の一種ですが、統一された国民身分証明書を持たない国では、ソーシャル・セキュリティ・カード(社会保障カード)や米国が発行する運転免許証などが使用されます。政府機関の証明書を身分証明書として使用できます。
2. デジタルアイデンティティ
デジタル アイデンティティは、物理社会における自然人のアイデンティティをデジタル空間にマッピングしたものです。
デジタル ID の概念については多くの議論がありますが、デジタル ID は主にデジタル サービスを提供する際にユーザーを識別するために使用されると一般に考えられています。私たちは、デジタル アイデンティティは、主体のアイデンティティの属性の集合を表すことができるトークンであると考えています。デジタル ID は、対象を一意にマークし、他の対象と区別するためにある程度使用されます。
デジタル アイデンティティが高度に識別可能であり、対象者のネットワーク動作と密接に関連していることを考えると、デジタル アイデンティティによって表される対象の属性には、非常に機密性の高い個人情報が含まれる可能性があります。
デジタル ID は、ユーザーがインターネット上で自分の ID (属性) の信頼性を証明するための認証情報として使用でき、ユーザーはさまざまなアプリケーション サービス (携帯電話番号、電子メール アドレス、Weibo、WeChat など) での識別にさまざまなデジタル ID を使用できます。 .). ID 属性情報は、企業組織が個人の ID を判断するのに役立ちますが、そのような情報は変更、非表示、さらにはキャンセルして破棄される可能性があります。
デジタル ID テクノロジーの開発は、集中型 ID、サードパーティ ID プロバイダー IDP (ID プロバイダー)、および自己主権型 ID SSI (自己主権型 ID) の 3 つの段階を経ました。
3. 一元化されたアイデンティティ
インターネット ID の大部分は一元化されています。
一元化された ID はアカウントベースの ID です。
このモデルでは、個人アカウントは集中組織の存在に依存しており、集中組織がなければ個人アカウントは存在しません。
フォーラム、コミュニティ、電子商取引、ゲームなどの各種アプリケーションやサービスをご利用いただく際には、本システムに登録してアカウントを申請し、ユーザー名とパスワードでログインする必要があります。
同時に、各 Web サイトにはアカウント ID があります。このアカウント ID を「集中型」と呼ぶのは、対応する Web サイトがユーザー名とパスワードを確認する権限を持っているためです。
つまり、ユーザーの権利を享受するには、対応するユーザー名とパスワードを Web サイトに入力し、認証に合格する必要があります。
実際、あなたのデータはすべてサービス プロバイダーのサーバーに保存されており、署名したユーザー契約に従って、あなたのアカウントとデータも法的にサービス プロバイダーによって所有されます。
ただし、Web サイトによっては通常のユーザー名が使用できない場合や、パスワードの設定要件が変更され、同じパスワードを使用できない場合があります。
このアイデンティティ モデルは、ユーザー エクスペリエンスの問題を引き起こします。各アプリケーション サービスはアカウントを作成する必要があり、アカウントの数はますます増えており、管理が非常に面倒です。
4. フェデレーション ID モデル
上記の問題に直面して、人々は 2 番目のデジタル ID モデルであるフェデレーテッド ID モデル ( Federated Identity Management、FIM )を作成しました。
フェデレーション ID 管理は、ユーザー情報がサードパーティの ID プロバイダー (IdP)に保存されている場合にID 管理システムに接続する方法を提供します。
フェデレーション ID モデル
このプロセスには、いくつかの紛らわしい概念が含まれます。
1. ID プロバイダー (略して IdP) は、ユーザー名、パスワードなどのユーザー ID 情報を収集および保存する責任を負い、ユーザーがログインするときにユーザー サービスを認証する責任を負います。ID プロバイダーは、企業自体の ID プロバイダーを指します。現在、一般的に使用されているサードパーティ IdP には、Microsoft Active Directory (AD FS) や Shibboleth などがあります。
2. サービス プロバイダー (略して SP) サービス プロバイダーは、アイデンティティ プロバイダー IdP と信頼関係を確立し、IdP から提供されるユーザー情報を使用してユーザーに特定のサービスを提供します。
3. 連邦アイデンティティ認証:アイデンティティ プロバイダー IdP とサービス プロバイダー SP の間に信頼関係を確立し、ユーザーのシングル サインオンを実現するための対話プロセスを完了するプロセスは、フェデレーション ID 認証と呼ばれます。
4. シングル サインオン (シングル サインオン、SSO と呼ばれます)ユーザーは、アイデンティティ プロバイダーの IdP システムにログインした後、ジャンプ リンクを介して、相互信頼関係が確立されたサービス プロバイダーの SP システムにアクセスできます。シングルポイントログインと呼ばれます。
異なる IDP 認証システム間の相互接続とクロスドメイン アクセス許可を実現するために、OpenID、SAML、OAuth、FIDO などの一連の国際標準も業界で登場しました。
以前のモデルとは異なり、フェデレーテッド ID モデルでは、ユーザーがログイン サービス プロバイダーの中央システムにデータをアップロードし、ユーザーの承認を得てデータを第三者に提供します。
現在、誰もが一般に、WeChat、Facebook、その他の大きなプラットフォームが提供するアカウントを受け入れて、さまざまなアプリケーションサービスにログインすることができ、非常に便利です。
新しい Web サイトにログインするときに、ユーザー名やパスワードなどを繰り返し入力する必要がなくなり、QR コードをタップまたはスキャンするだけで 3 番目の方法でログインできるようになりました。パーティーアカウント。
しかし、この解決策は、ユーザー名とパスワードの検証プロセスを以前の Web サイトからログイン プラットフォームに移すだけです。つまり、ログイン プラットフォームなしでは対象のサービス プロバイダーにログインできません。
さらに、シングル サインオンにより、さまざまな Web サイトに残した記録を共通のログイン プラットフォームを通じて連結できるようになります。これらのデータ記録に基づいて、サードパーティはより詳細なユーザー ポートレートを生成したり、機械学習やビッグ データ分析を使用してさらに隠された情報を掘り出すこともできます。これにより、データ プライバシーの漏洩や悪用のリスクが増大します。
実際には、このデジタル アイデンティティ モデルの問題は、一般に次の 2 つのカテゴリに分類されます。
まず、プライバシーの漏洩です。世界最大のソーシャル プラットフォームである Facebook の毎日のアクティブ ユーザーは、世界人口の 1/5 を占めていますが、多くのユーザーが Facebook アカウントを通じて多くの外部サービスにログインしている場合、Facebook はユーザーのプライバシーを保護せず、これらすべてのソーシャル情報が提供され、 Facebook は 2018 年だけで 8,700 万件のユーザー情報を漏洩させましたが、ケンブリッジ アナリティカは正確な政治キャンペーン広告のために 5,000 万件の Facebook ユーザー情報を収集する権限を持っていませんでした。
第二に、封鎖を制限することです。上記の例と比較すると、WeChat ログインはまったく逆のように見えます。WeChat アカウントを使用してサードパーティ アプリケーションにログインする場合、認証方法に関係なく、WeChat によって提供される情報は非常に制限されます。極端な例としては、完全なブロックが挙げられます。たとえば、ユーザーは WeChat または QQ アカウントを使用して次のことを行うことはできません。ログインして Toutiao の下で Douyin を使用します。
従来のインターネット アカウントであっても、シングル サインオンであっても、これら 2 つのデジタル ID は技術的にも法的にもユーザー自身に属することはありません。ユーザー データの漏洩や悪用の問題点がますます顕著になるにつれ、デジタル世界で自分のアイデンティティを所有し、管理する権利をすべての人が持つことがますます強く求められています。デジタル アイデンティティ情報は安全に保存され、プライバシーは保護されます。守られる。
5. 分散型アイデンティティモデル
したがって、前の 2 つのモデルの共通の特徴は、ユーザー名とパスワードが互いに一致することを検証し、アカウント所有者であることを証明する必要があることです。
分散型 ID モデルの最大の違いは、アカウントベースではなくなったことです。代わりに、それは現実世界のアイデンティティと同じように機能します。つまり、ピアとしての相手との直接の関係に基づいています。どちらも、相手との関係を「提供」したり、「制御」したり、「所有」したりすることはありません。これは、相手が人、組織、物であっても同様です。
分散型 ID により、アカウント所有者はログイン プラットフォームやサードパーティなしで自己識別できます。
分散型アイデンティティでは、ブロックチェーン技術を使用して、私たちが ID カード、パスポート、戸籍簿などの紙の文書を自宅に保管し、必要な場合にのみ持ち出すのと同じように、デジタル ID がユーザーによって実際に所有および管理されていることを実現します。ユーザー ID とデータに触れ、所有し、制御する仲介者 (分散型 ID テクノロジー プロバイダーであっても) はもはや存在しません。
分散型 ID テクノロジーによって実現される分散型 ID のエクスペリエンスと使用は、従来のデジタル ID とは大きく異なります。
まず第一に、あなたは 1 つの分散型 ID を持つだけでなく、さまざまな ID 機会のニーズに応じて無数の異なる分散型 ID を持つことになります。各分散型 ID は、他の個人、組織、または他のユーザーと通信するための、生涯暗号化された個別のプライベート チャネルを提供します。物事は相互に作用し、通信するため、通信する自分のアイデンティティをより適切に選択し、プライバシーをより適切に保護できるようになり、従来のインターネットの「人身」現象は二度と起こらなくなります。
第 2 に、分散型 ID は ID を証明するために使用されるだけでなく、検証可能なデジタル証明書を交換するためにも使用されます。最後に、そして何よりも優れているのは、各分散 ID は、集中レジストリに適用せずに、ブロックチェーンまたは分散ネットワークに直接登録されることです。
さらに、あらゆるものに分散型 ID を持たせることができます。
はい、データに抽象化できるものはすべて、人だけでなく、証明書、文書、映画のチケット、農産物なども含めて、独自の分散型アイデンティティを持つことができます。
家の所有権や友人との関係など、抽象的な関係であっても、分散化されたアイデンティティを持つ可能性があります。
もしそうなら、分散型アイデンティティで十分ではないでしょうか? 理論的にはノーです。理由は簡単です。分散されたアイデンティティが非常に多く存在するからです。
どこまで?10 億人の友人がいて、それぞれが 1 秒あたり 10 億のアドレスを生成できると仮定すると、重複したアドレスが表示されるまでには宇宙全体の存続時間よりも長い時間がかかります。
6. 自己主権的アイデンティティ
分散型デジタル アイデンティティ モデルが普及すると、自己主権アイデンティティというニックネームと、前の記事で説明した自己主権アイデンティティの略語 SSI が急速に発展しました。
収束アイデンティティ モデルでは、コントロール ポイントはネットワーク内の発行者と検証者です。分散型 SSI ID モデルでは、制御のポイントは個々のユーザーに移り、完全なピアとして他のユーザーと対話できるようになります。
分散型 ID は、ユーザーに優れた自律型 ID を提供します。最も直感的な用途の 1 つはログインであり、もう 1 つはより優れたデジタル証明書システムを実装することです。それを技術的にどのように実現するかについては、World Wide Web Consortium が 2019 年 1 月から関連するデジタルアイデンティティ技術標準の策定を開始しており、これがよく目にする W3C が策定した DID 標準です。
SSI には、次の 7 つの主要なモジュールがあります。
-
検証可能な資格情報、つまり VC (Verifiable Credential)
-
トラストトライアングル: 発行者、検証者、保有者
-
デジタルウォレット
-
デジタルエージェンシー
-
分散型識別子 DID
-
ブロックチェーンおよびその他の検証可能なデータのレジストリ
-
ガバナンスフレームワーク、別名トラストフレームワーク
今日の共有はここまでです。次号では検証可能な資格情報について引き続き説明します。