在对SSI的概念、组成、架构以及用到的加密技术有了大概的了解之后,我们进入到SSI架构的核心:可验证凭证。
可验证凭证旨在实现以下两个目的:
- 提供数字钱包中的证书的数字版本。
- 用一组关于标识符的声明“自上而下”证明身份,而非“自下而上”试图界定,然后附加信息。
一、生态系统
可验证凭证生态中包含许多实体和角色:
- 发证方,向用户签发可验证凭证实体。
- 对象,相关特征保存在可验证凭证中的实体。可以是人、组织、人造或自然物或逻辑事物。
- 持证方,持有可验证凭证并将其提交给验证方的实体。
- 验证方,接收凭证并反馈验证结果的实体。
- 钱包,为持证方存放可验证凭证的实体。
- 持证方代理,代表持证方与可验证凭证生态系统交互的软件。
- 可验证凭证注册表,存储可验证凭证生态系统运行所需的所有基本数据和元数据。比如发证方公钥、实体特征等。
二、信任模型
可验证,表示可对证书进行数字签名,并且数字签名可加密验证。在联邦化的身份管理架构中,身份提供者是生态系统的核心,在可验证凭证生态系统中,持证方是核心。由用户来决定向谁签发可验证凭证。
上图中,持证方位于中心,验证方需要信任发证方及各方信任的可验证数据注册表。这个信任模型与我们一直使用的实物信任模型并无不同,这也是可验证凭证生态系统的主要优势。
三、VC属性
最基本的VC保存六条信息,这些信息被编码为JSON属性。其他可选但非常有用的属性还有发证日期、有效期、凭证状态等。
一个可验证证书(VC)可以包含多个声明,这些声明分别对应不同的证书主体。每个VC可以包含多份证明,以确保其真实性和有效性。持证方可以选择将多个VC打包成一个可验证呈现(VP),这样,当需要向验证方展示时,持证方可以一次性发送包含多个VC的VP。这种方法使得信息的传递更加高效,同时也保证了数据的完整性和安全性。
四、后记
如今联邦身份管理基础设施赋予了发证方巨大的权力,因为他们处于生态系统的中心。可验证凭证颠覆了这种模式,将用户放在中心位置。真正的变革难免涉及到经济利益的问题,可验证凭证作为自主管理身份基础设施中的关键点,所有安全和隐私属性都依赖于加密技术,用于构建和验证可验证凭证的数据结构和规则必须精确到最后一个细微之处。
下一篇一分钟,我们将介绍一种明确支持可验证凭证的加密验证标识:DID。
安当也将持续探索互联网身份认证方面的前沿技术,并在未来产品演进中加入更多匹配客户安全需求的功能。
文章作者:太白
©本文章解释权归安当西安研发中心所有
