1. 简介
W3C 强认证和身份验证技术研讨会聚集了该领域专家,探讨现有的标准格局,研究已有的技术路线图,并识别有关强身份验证和强认证技术应如何在 Web 上发挥作用的未来潜在工作。研讨会讨论了最近的 W3C 规范(WebAuthn、可验证声明、Web支付),以及 W3C 凭证社区组(DIDs、DIDsAuth)、IETF 和 ISO 正在开展的工作,及其他现有的社区标准(如 IndieAuth、开放 ID Connect、OAuth 和 SAML)。
2. 研讨会议程
3. 演讲报告
我们对演讲报告进行了总结,并整理了讲者的演示文稿。有关讨论内容详情,请参阅会议记录 。
3.2. 可验证凭证
可验证凭证是持有者可以向验证者提供的对象,来显示发布方的声明。可验证凭证包含一个或多个声明、元数据、可选标识符和加密证明,防止数字文档被篡改。 W3C 的可验证声明工作组准备在2019年发布可验证凭证数据模型1.0版(Verifiable Credentials Data Model) 推荐标准。
讲者演示文稿:Understanding Verifiable Credentials
3.3. 分散标识符 (DID)
分散标识符(DID)是一种新型可验证的“自主权”数字身份标识符。DID 完全受 DID 主体控制,独立于任何中心化的注册表、身份提供者或证书颁发机构。DID 实现或“方法”必须指定针对目标分类账的创建、读取、更新和删除操作。DID “解析”到 DID 文档,这样通过其服务端点和加密密钥材料列表就可以启动身份验证和 DID 管理等操作。
W3C凭证社区组已经孵化了一份社区组报告草案,即分散标识符(DID)的数据模型和语法(Data Model and Syntaxes for Decentralized Identifiers (DIDs))。W3C 凭证社区组提议接下来成立 W3C DID工作组。
相关文档:
- DID 工作组章程提案
- DID 用例
- DID 规范 (由 W3C CCG 发布)
讲者演示文稿:Understanding DIDs
3.4. DID 身份验证
在分散标识符(DID)社区中,经常在各种环境中使用“DID Auth”这一术语,然而,对于它是作为一个高级整体概念,还是作为一组具体协议却没有一个清晰的理解。如果我们考虑 DID 及其分布式公钥基础设施(DPKI)本质上提供了什么,那么出于身份验证的目的而“证明 DID 的控制”似乎非常有用且相对简单。
一般证明这种 DID 控制的方法如下:1. 信任方向 DID 控制器发送质询; 2. DID 控制器构建签名响应并将其发送给信任方; 3. 信任方将 DID 解析为其 DID 文档; 4. 信任方使用 DID 文档中发现的公钥来验证签名响应。
然而,除了这个基本流程之外,许多不同的项目当前正使用不同的数据格式、传输机制和协议,以不同的方式实现高层次的概念。为了引入一些清晰的概念,Rebooting-the-Web-of-Trust 社区编写了一份报告 ,描述了“DID Auth”概念的范围及不同形式。
鉴于“DID Auth”目前仍是一个相对较新且未经证实的概念,现在有很多关于它如何与现有的身份验证技术相关联的讨论,如 OIDC 和 Web 认证(WebAuthentication)等技术,这些技术已经成熟并经过验证,且具有很强的反相关性、反网络钓鱼和密钥管理的特性。
后续建议:
-
作为“DID Auth”和其它基于 DID 协议和应用程序的基线,继续完善 DID 以及 DID 分辨率规范
-
续探索如何重新使用现有成熟的身份验证框架,如 OIDC 和 Web 认证(WebAuthentication),以及如何将这些协议的优势与 DID 的新特性结合起来。
讲者演示文稿:Understanding DID-Auth
3.5. Web 认证、CTAP、EAT、FIDO 和身份验证器
现代身份验证:“FIDO 2”是 CTAP 和 WebAuthn 的总称。 CTAP(客户端到身份验证器协议)由 FIDO 开发; Web 认证(Web Authentication)是浏览器向信任方(web 应用程序)进行身份验证的 API,是 W3C 正式推荐标准。这两者一起为 Web 实现了强大的免密身份验证。
EAT:IETF 正在讨论中的实体认证令牌(EAT)提供关于来源的设备认证。这种认证可用于 WebAuthn 和 FIDO,需要身份验证器强度的证明。
FIDO 和身份验证器:FIDO 联盟负责监督验证程序,确认身份验证器实现的安全性在一至三级以上。
讲者演示文稿:Understanding WebAuthentication, CTAP, EAT, FIDO, and Authenticators
3.6. JWT / CWT,OpenID 和 IndieWeb
JSON Web 令牌(JWT)是 JSON 中的声明表示。它可以用 JWS 进行签名,由 OpenID Connect 等使用。 OpenID Connect 是 OAuth 2.0 之上的标识层。
IndieAuth:通过链接(URL)带入身份。提示用户输入身份,从链接(URL)中发现授权端点,向用户发送权限,在重定向返回时,交换访问令牌的授权代码和用户标准链接(URL)。
讲者演示文稿:Understanding JWT/CWT, OpenID, and IndieWeb
3.7. 当前和未来所面临的挑战:
3.7.1 政府
来自不列颠哥伦比亚省政府的 Peter Watkins 分享了一些身份需求和挑战,例如各级的管辖、管理和背景(个人和公司、法定职称、专业证书、健康、教育、司法等)。 “我们做也砸,不做也砸(Damned if we do, damned if we don’t)” 提供身份验证/身份令牌,因为政府特定的身份有着高价值/不经常使用;但依赖第三方进行政府识别存在隐私和问责担忧。
讲者演示文稿:Government, Supply Chain, Legal
3.7.2 医疗保健
Allen Brown 描述了将健康和医疗信息与身份结合起来所面临的挑战,其中包括军事野战医院或仅寻求零星紧急护理的平民患者。付费者、提供者、患者和数据都需要有身份。
讲者演示文稿:Healthcare
3.7.3. 垂直市场:供应链
Jim Masloski 分享了供应链分类账的挑战,它一边要求某些方面保持透明,而另一边又要求其他方面则要保密。使用 DID 来识别代理、供应商和客户,并使用可验证凭证来描述产品和来源。面临的挑战之一是从法律规定的形式中提取信息。
讲者演示文稿:Government, Supply Chain, Legal
3.7.4 垂直市场:法律
Scott David 就 DID 相关的法律实践分享了他“温和”及“不同寻常”的观点。
讲者演示文稿:Government, Supply Chain, Legal
3.7.5 企业:曾几何时
John Fontana 回顾了科技新闻25年来的历史,涵盖了安全、目录、消息传递和身份各个方面,还谈到“从 LDAP 目录到我们现在所处的位置以及已经完成了多少工作”。他提到开发标准所需的大量努力,对小组的活动表达了赞赏,同时表示现在通过标准进行的合作似乎比以往任何时候都要紧密。
[第一天议程结束]
3.8 探索文化和经济视角
3.8.1 日本 ID 平台碎片化现状
Takashi Minamii 描述了日本采用的分散式和竖井式身份识别系统。在日本,企业建立自己的身份识别平台,而驾照就是最常见的了解用户身份的方法。他认为一个宽松开放的身份联盟是十分必要的。
3.8.2 自动识别标准
Shigeya Suzuki 描述了结构化标识符,查看了包括 UPC 条形码在内的 GS1 标准。他建议有机会在 GS1 和 DID 之间进行工作交叉。
讲者演示文稿:Cultural and Economic Perspectives
3.8.3 法律和边界
从亚太地区的角度,Pindar Wong 邀请讨论小组考虑到下面谈到的十多亿人,让自我管理标识符服务于那些在网上工作权利不确定或不合法的外籍网民和流离失所者,因为他们具有令人质疑的法律地位抑或非合法地位。
讲者演示文稿:Law and Borders: Self-Administered IDentifiers and NExTPats: NETizen eXpatriates
3.9. 受信身份
Tom Jones 和 Mary Hodder 谈到了提供和使用“受信身份”的挑战,受访者可以信任的验证声明是受信身份的前提和保障。
讲者演示文稿:Use Case
3.10. 避免错误和雷区
Jeff Hodges 分享了从构思到规范再到实现过程中的共同挑战。他指出了术语假设和模型不一致的错误,而且信任不会量表。他提出了“灵活性”的原则,即构建一些名称上有用且具有延展性的概念,这样它就可以进一步演变以满足更多的用例。
讲者演示文稿:Avoiding Mistakes and Minefields
3.11. 路线图:认证
Mathias Brossard 将认证描述为一个始于 EAT 和 RAT 的物联网安全构建模块。
讲者演示文稿:Attestation roadmap
3.13. 路线图:分散标识符和可验证凭证
Christopher Allen 从可验证凭证(VC)、分散标识符(DID)、DID-Auth 以及未来工作的其他潜在技术中创建了分散身份堆栈的图片。他分享了凭证社区组的路线图,即 Credentials Community Group’s roadmap diagram。
讲者演示文稿:DID & VC Architecture roadmap
3.14. 路线图:生物识别技术
John Callahan 专注于生物识别技术在企业中的应用,该技术支持“漫游 KYC”。(了解您的客户)
讲者演示文稿:Biometric Authenticators
3.15. 路线图:付款验证
Marie Lathière 描述了欧洲法规要求严格的客户身份验证,她建议使用 WebAuthn 将身份验证委托给商家,从而实现良好的安全性和用户体验。
讲者演示文稿:the impacts of European regulation
4. 研讨会数据
与会者进行了多次的分组讨论,其中一些讨论结果记录在会议纪要中,其他数据则记录在在索引卡和“点投票表决”表中。这些材料链接在这里。
5. 发展趋势
5.1. WebAuthn 与遗留系统的集成
存在大型遗留身份验证系统为大多政府及公司提供部署和使用的高安全性。比如通用访问卡(CAC)和个人身份验证(PIV)卡系统。目前正在开展的工作是使用现有基础架构来创建“衍生凭证”, 用于较新的身份验证技术,比如 Web 认证(WebAuthentication )规范提供的技术,以及通过 DIDs-Auth 提供的潜在机制。
5.2. 分散标识符和可验证凭证
参与研讨会的许多技术公司正在参与构建基于分散标识符和可验证凭证的解决方案,并将它们与大多公司和政府的更传统的身份和凭证发布系统结合起来。在许多这样的项目中,W3C 对全球互操作性的关注和与供应商锁定的斗争被认为是政府和行业资金用于构建互操作生态系统的关键原因。许多概念验证侧重于分散标识符、凭证发行者、凭证持有者(数字钱包)和凭证验证者角色上的互操作性。虽然迄今为止的大部分工作都集中在数据模型上,但人们对可互操作协议的兴趣正日益增加,这些协议将可互操作的数据格式从 DID 分类账转移到发行方到持有者再到验证者。
5.3. 强化隐私保护技术
强化隐私保护技术有着强大的发展趋势,即把标识符、凭证和身份验证器的主要控制权交给个人。此外,也确立了摒弃对标识符、凭证和身份验证器相关信息的集中控制与存储的期望。虽然这对于解决最近的各种数据泄露和围绕数据主权的问题是个好兆头,但社区似乎一致认为,仍需要做大量的工作来确保未来默认使用强化隐私保护技术。参与研讨会的许多人士指出,W3C 社区及更广大的技术社区需要不断保持警戒,确保当前的趋势可以持续下去。
6. 社区后续计划
社区成员已确定以下后续计划:
-
下一次 Rebooting-the-Web-of-Trust(RWoT)将于3月1日至3日在巴塞罗那举行。所有以上这些都将成为活跃的讨论话题,尤其是 DID 以及将“DID Auth”转换为其他现有协议这一大方向。
-
下一次互联网身份研讨会将于4月30日至5月2日在加利福尼亚州山景城举行。预计这次研讨会将继续推进社区对话 https://www.internetidentityworkshop.com/
-
W3C 凭证社区组路线图: https://w3c-ccg.github.io/roadmap/diagram.html
-
IETF 非工作组 EAT 列表(实体认证令牌):https://mailarchive.ietf.org/arch/browse/eat/
-
IETF 非工作组 RATS 列表(远程 ATtestatio 程序)https://mailarchive.ietf.org/arch/browse/rats/ 以及章程草案 https://datatracker.ietf.org/doc/charter-ietf-rats/
7. W3C 后续计划
W3C 目前正在开展以下后续计划:
- DID 章程接受前期预审:https://lists.w3.org/Archives/Public/public-new-work/2019Feb/0004.html
- 可验证声明数据模型v1.0即将成为候选推荐标准: https://w3c.github.io/vc-data-model/
- WebAuthnAPI 是 W3C 的正式推荐标准:https://www.w3.org/TR/webauthn/. 工作组正在进行第二版规范的准备工作。
随之举行的会议
-
紧随 RWoT 之后,可验证声明工作组于3月4日至5日在巴塞罗那举行了面对面会议。
-
Web 认证工作组于3月7日在加利福尼亚州旧金山面对面地开展了关于开发 Web 认证规范第二级的工作。