microsoft blockchain - DID whitepaper
Executive summary
Our digital and physical lives are increasingly linked to the apps, services, and devices we use to access a rich set of experiences. This digital transformation allows us to interact with hundreds of companies and thousands of other users in ways that were previously unimaginable.
But identity data has too often been exposed in breaches, affecting our social, professional, and financial lives. Microsoft believes that there’s a better way. Every person has a right to an identity that they own and control, one that securely stores elements of their digital identity and preserves privacy. This whitepaper explains how we are joining hands with a diverse community to build an open, trustworthy, interoperable, and standards-based Decentralized Identity (DID) olution for individuals and organizations.
Each of us needs a digital identity we own, one which securely and privately stores all elements of our digital identity.
This self-owned identity must seamlessly integrate into our lives and give us complete control over how our identity data is accessed and used.
Why we need Decentralized Identity
Today we use our digital identity at work, at home, and across every app, service, and device we engage with. It’s made up of everything we say, do, and experience in our lives—purchasing tickets for an event, checking into a hotel, or even ordering lunch. Currently, our identity and all our digital interactions are owned and controlled by other parties, some of whom we aren’t even aware of.
The status quo for users is to grant consent to numerous apps and devices, which warrants a high degree of vigilance of tracking who has access to what information. On the enterprise front, collaboration with consumers and partners requires high-touch orchestration to securely exchange data in a way that maintains privacy and security for all involved.
We believe a standards-based Decentralized Identity system can unlock a new set of experiences that empowers users and organizations to have greater control over their data—and deliver a higher degree of trust and security for apps, devices, and service providers.
Microsoft’s strategy for Decentralized Identity
Microsoft’s mission is to empower every person on the planet to achieve more.
Microsoft cloud identity systems already empower developers, organizations, and billions of people to work, play, and achieve more, but there’s so much more we can do to create a world where each of us, even in displaced populations, can pursue our life goals, including educating our children, improving our quality of life, and starting a business.
To achieve this vision, we need to augment existing cloud identity systems with one that individuals, organizations, and devices can own so they can control their digital identity and data. This self-owned identity must seamlessly integrate into our daily lives, providing complete control over what we share and with whom we share it, and—when necessary—provide the ability to take it back. Instead of granting broad consent to countless apps and services and spreading their identity data across numerous providers, individuals need a secure, encrypted digital hub where they can store their identity data and easily control access to it.
Lead with open standards
We’re committed to working closely with customers, partners, and the community to unlock the next generation of Decentralized Identity–based experiences, and we’re excited to partner with the individuals and organizations that are making incredible contributions in this space. If the DID ecosystem is to grow, standards, technical components, and code deliverables must be open source and accessible to all.
Microsoft is actively collaborating with members of the Decentralized Identity Foundation (DIF), the W3C Credentials Community Group, and the wider identity community. We’re working with these groups to identify and develop critical standards. We’re developing an open source DID implementation that runs atop existing public chains as a public Layer 2 network designed for world-scale use. The purpose of this implementation is to establish a unified, interoperable ecosystem that developers and businesses can rely on to build a new wave of products, applications, and services that put users in control.
How does Decentralized Identity work?
Today, the digital representation of a user’s identity is a mix of data fragmented across many apps and services.
A new form of identity is needed, one that weaves together technologies and standards to deliver key identity attributes—such as self-ownership and censorship resistance—that are difficult to achieve with existing systems.
To deliver on these promises, we need a technical foundation made up of seven key innovations—most notably, dentifiers that are owned by the user, a user agent to manage keys associated with such identifiers, and encrypted, user-controlled datastores.
W3C Decentralized Identifiers (DIDs) —IDs users create, own, and control independently of any organization or government. DIDs are globally unique identifiers linked to Decentralized Public Key Infrastructure (DPKI) metadata composed of JSON documents that contain public key material, authentication descriptors, and service endpoints.
Decentralized systems (for example, blockchains and ledgers) —DIDs are rooted in decentralized systems that provide the mechanism and features required for DPKI. Microsoft is participating in the development of standards and echnologies that are being developed by the community to allow for a vibrant ecosystem of DID implementations that support a variety of blockchains and ledgers.
DID User Agents —applications that enable real people to use decentralized identities. User Agent apps aid in creating DIDs, managing data and permissions, and signing/validating DID-linked claims. Microsoft will offer a Wallet-like app that can act as a User Agent for managing DIDs and associated data.
DIF Universal Resolver—a server that utilizes a collection of DID Drivers to provide a standard means of lookup and resolution for DIDs across implementations and decentralized systems and that returns the DID Document Object (DDO) that encapsulates DPKI metadata associated with a DID.
DIF Identity Hubs—a replicated mesh of encrypted personal datastores, composed of cloud and edge instances (like mobile phones, PCs or smart speakers), that facilitate identity data storage and identity interactions.
DID Attestations—DID-signed attestations are based on standard formats and protocols. They enable identity owners to generate, present, and verify claims. This forms the basis of trust between users of the systems.
Decentralized apps and services—DIDs paired with Identity Hub personal datastores enable the creation of a new class of apps and services. They store data with the user’s Identity Hub and operate within the confines of the permissions they are granted.
A sample scenario
Alice has recently graduated from college. She can request a digital copy of her diploma, issued by the university against her DID. She can choose to present her diploma to anyone—like a potential employer—who can independently verify the issuer of the diploma, the time of issuance, and its status.
Getting started with DIDs
To understand DIDs, it helps to compare them with current identity systems. Email addresses and social network IDs were created as human-friendly aliases for collaboration but are now overloaded to serve as the control points for data access across many scenarios beyond collaboration. This poses a potential problem, given that access to these IDs can be removed at any time by the email provider, social network provider, or other external parties.
Decentralized Identifiers (DIDs) are different. DIDs are user-generated, self-owned, globally unique identifiers rooted in decentralized systems. They possess unique characteristics, like greater assurance of immutability, censorship esistance, and tamper evasiveness. These are critical attributes for any ID system that is intended to provide self-ownership and user control.
Acquiring a DID
To acquire a DID, you use a device under your control to download a DID User Agent app. Just as a web browser is a trusted user agent that helps you navigate the web, a DID User Agent helps you manage all aspects of DIDs—creation of identifiers, authentication, data encryption, and management of keys and permissions. A common misconception about decentralized identity is that all identity data is exposed on public systems like blockchains. This is incorrect. Microsoft believes DID implementations should use decentralized systems strictly to anchor identifiers and non-PII DPKI metadata (as listed above) to enable routing and authentication for the DID owner without risk of censorship. A user’s actual identity data resides encrypted “off-chain,” under the user’s sole control. (For more details, see the “DID interaction using personal datastores” section of this document.)
DID interaction using personal datastores
DID User Agent app assembles a DID registration payload that includes key references, Identity Hub service endpoints, and public values required for recovery.
DID User Agent app generates a device key and an encrypted owner recovery bundle.
DID User Agent app pushes the DID registration payload to the decentralized system, in accordance with the protocol of the DID implementation the user selects.
Primary and pairwise DIDs
The broad use of email addresses or social IDs as primary identifiers has led to bad practices. Users have developed a habit of using the same identifier and password across a wide array of products and services. This results in poor security and an association and tracking of accounts.
Conceptually, DIDs can fall into two classes: public DIDs and pairwise DIDs. Public DIDs are IDs that users choose to knowingly link themselves with data intended for the public—for example, a small bio that includes a photograph and a brief description. Public DIDs are suitable if you intend an activity or interaction to be linked to yourself in
a way that can be verified by others. But having everything you do tied to a single DID and traceable across the web poses serious privacy and safety risks. This is why pairwise DIDs are useful. Pairwise DIDs are generated whenever users want to isolate their interactions and prevent correlation. For many users, pairwise DIDs might be the primary mechanism they use to conduct identity interactions.
Lookup and discovery of DIDs
Once you have a DID, you might question what you should do if you come across another DID or want to search for one.
DID User Agent apps communicate with DIF Universal Resolver instances to look up DIDs. When a DID is passed to the Universal Resolver, the resolver uses the appropriate driver to interface with decentralized systems and retrieve the matching DID Document.
Some DID implementations are created with the ability to discover all DIDs present in the decentralized system they’re rooted in; others lack this capability. Microsoft believes this is a valuable feature because it allows apps and services to deterministically generate a universal directory of DIDs. This is useful in many app and service scenarios that would be difficult without it.
Establishing trust between DIDs
In a world where anyone can create an account or get a DID, how do you know a DID-based identity isn’t fake? Much like a personal reputation, DIDs begin life with no evidence of proof; they represent empty identities, and only the owner can prove possession of the DID in question. To accrue evidence of legitimacy, DIDs require endorsements from existing trust providers and processes, like businesses, educational institutions, and governments. DID-based systems provide a mechanism to create attestations that include independent verification of who issued an endorsement and when. By accumulating these attestations from multiple trust systems, an Identity can establish greater confidence over time to match the level of risk inherent in being able to access to an app or service.
As opposed to email identifiers and other current account-based systems, DIDs are self-owned, tied to cryptographic keys, and rooted in decentralized systems that maintain a shared, global lineage of DPKI operations. This enables more advanced identity activities, like the creation and verification of DID-signed attestations. Attestations are independently verifiable claims that one or more DIDs sign with their keys to generate an assertion about another DID. Time-state of data can be logged via blockchain ledgers and independently validated without trusting another entity or organization to record the time of occurrence.
For example, a university might sign an attestation with its DID to substantiate that someone’s name is Bob Kelly, that he’s a current student, and that his appearance matches his school photo. Universities and other organizations can prove ownership of a DID by demonstrating control of a web domain or through more direct / in-person validation procedures. Testimonies or attestations can then be issued by such organizations against existing credentials and validated with standard cryptographic key suites. The result is that you can require standard, interoperable, verifiable claims from multiple trust providers before engaging in identity interactions and sensitive disclosures to match the level of value being unlocked. This is a game changer for many industries.
Disclosure and authentication of DIDs
There are several ways you can use your DID to interact with another person, app, or service, but the most basic interaction is authentication. To authenticate a DID with an external party, the DID owner discloses a DID to the party. The external party looks up the DID via the DIF Universal Resolver (probably by using a DID User Agent app), and the resolver returns the matching DPKI metadata. The external party generates a challenge by using the public key references in the DPKI metadata and performs a handshake with the user. If the user is able to complete the challenge-response handshake, it’s been proven that the user is the owner of DID in question. Microsoft is investigating methods of incorporating support for DID with existing standards (like FIDO/WebAuthn) while maintaining privacy, trust, and security promises.
DID interactions using personal datastores
Today, users most commonly store personal data on their local machines or with a provider-based service. While these storage options have their place, they often expose personal data to access by unintended entities and are usually generic storage systems not designed for identity interactions.
DIF Identity Hubs are based on user-controlled, off-chain, personal datastores. Users, via their DID User Agent apps, determine who they want to share data with, and to what level of granularity. Requests to Identity Hubs are routed based on DPKI metadata called Service Endpoints that’s associated with DIDs. Identity Hubs are a multi-instance personal mesh, where data is edge-encrypted and user-permissioned to ensure privacy by design. Identity Hubs are designed to support a wide range of identity interactions and provide a foundation for serverless, provider-agnostic, decentralized apps.
Microsoft believes a widely accepted personal datastore standard is the key to unlocking the most compelling use cases in this new ecosystem and is one of many members in DIF working on the DIF Identity Hub specification and reference implementation. Microsoft will offer an instance of DIF’s Identity Hub as an Azure service that users can select as one of their Identity Hub instances.
Managing permissions for data access
Identity Hub hosts are facilitators of storage and message relay. They don’t have the keys to decrypt user data, and users can revoke/remove encrypted data access from any entity. Permissions are signed with their DID keys, and data is encrypted in accordance with them. Details on the specification for Identity Hub permissions will be made available in the coming weeks.
Synchronization and replication of data
A key property of DIF Identity Hubs is that a user can leverage multiple instances across providers and infrastructure boundaries that sync and replicate data to achieve a shared state. But you’re not required to use a provider for your Identity Hub at all: Identity Hubs are open source server technology that you can run on any device or infrastructure. This ensures that your identity data is not bound to any organization, upholding the commitment to decentralization, self-ownership, and user control.
Building decentralized apps and services
DIDs paired with Identity Hubs create a foundation of a new type of decentralized application, with features and capabilities that enable a wide variety of uses:
Support for provider-agnostic serverless apps that can be written as purely client-side packages that store their data in the Identity Hubs of users, regardless of where Identity Hub instances are located. This allows apps to interact with any user’s Identity Hub through a standard set of APIs that all implementations support.
Semantic, model-less storage of data objects from any shared schema or dataset that apps, services, and organizations use to exchange and collaborate.
An open data layer that anyone can crawl or subscribe to, enabling efficient discovery and awareness of semantic data across all DIDs. DID owners can choose to publish (and when necessary revoke) any type of data, intent, or expression. This creates a vibrant, open marketplace of intended-public data that can be used for P2P offer discovery and value exchange, such as secondhand sales of goods, ride sharing, and vacation rentals.
Here are three examples, across different industries, that illustrate what’s possible when data exchange and storage is reoriented in this way:
- Sellers and gig economy participants can directly publish for-sale items and other offer signals to an open, decentralized market layer by encoding items as semantic Offer objects, and exposing them via Identity Hubs.
- Patients can allow doctors to interact with their medical data by providing access to their Identity Hub’s HL7 FHIR-encoded objects. HL7 FHIR is a schema that’s commonly used among doctors, insurance providers, and hospitals.
- Suppliers and retailers can encode product and service data into their Identity Hubs as GS1 objects, enabling them to exchange supply chain data more efficiently and securely than ever before.
Recovering compromised DIDs
An open question in the DID community is how to handle recovery of DIDs if control is ever compromised via theft or loss of associated keys/devices. We believe that if users are truly the owners of their digital identities, they must be equipped to reliably recover their own DIDs. Microsoft has a hypothesis describing how to empower users to recover their keys on their own. In the coming months, we will share details of our work and code with the community. We look forward to collaborating with you on this important challenge.
Microsoft’s progress on Decentralized Identity
Over the past 18 months, Microsoft has invested in incubating a set of ideas for using blockchain and other distributed ledger technologies to create new types of digital identities—identities that are designed from the ground up to enhance personal privacy, security, and control. We aspire to make DIDs a first-class citizen of the Microsoft identity stack.
Over the next few months, we’ll provide detailed specs, and, where appropriate, make public code contributions to DID-based technical components, including performance and scale improvements and new tools for DID recovery. Our goal is to help bootstrap this new DID ecosystem by standing up key infrastructure that users and the developer community can depend upon.
Key understandings
- A user can have one or more DIDs, based on open standards.
- DIDs can be resolved across chains and ledgers (public, private, and so on).
- DID permissions are managed via keys accessible only to the user.
- Identity attributes (or claims) are stored in off-chain DIF Identity Hub personal datastores.
- Users can have one or more Identity Hub instances, across devices and clouds.
- User consent is required to access attestations/claims—with granular access controls.
- Claims are compatible with existing standards (OAuth 2.0 / OIDC).
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2DjfY
microsoft blockchain - DID 백서
총괄 요약
우리의 디지털 및 물리적 삶은 풍부한 경험을 쌓기 위해 사용하는 앱, 서비스 및 장치와 점점 더 연결되어 있습니다. 이러한 디지털 전환은 이전에는 상상할 수 없었던 방식으로 수 백 개의 회사 및 수천 명의 다른 사용자와 상호 작용할 수있게 해줍니다.
그러나 신원 정보가 너무 자주 침해되어 우리의 사회적, 전문적, 재정적 인 생활에 영향을 미치고 있습니다. Microsoft는 더 나은 방법이 있다고 믿습니다. 모든 사람은 자신이 소유하고 통제하는 정체성에 대한 권리를 가지며, 디지털 신원의 요소를 안전하게 저장하고 개인 정보를 보호합니다. 이 백서에서는 개인 및 조직을위한 개방적이고 신뢰할 수 있고 상호 운용 가능하며 표준 기반의 분산 형 ID (DID) 솔루션을 구축하기 위해 다양한 커뮤니티와 손을 잡는 방법에 대해 설명합니다.
우리 모두는 우리가 소유하고있는 디지털 신원을 필요로합니다. 신원은 우리의 디지털 신원의 모든 요소를 안전하고 사적으로 저장합니다.
이 자체 소유의 ID는 우리 삶에 원활하게 통합되어야하며 ID 데이터가 어떻게 액세스되고 사용되는지 완벽하게 통제 할 수 있어야합니다.
왜 우리는 분산 된 정체성이 필요한가?
오늘날 우리는 직장, 집, 우리가 참여하는 모든 앱, 서비스 및 장치에서 디지털 신원을 사용합니다. 그것은 우리가 말하고 행동하고, 경험하는 티켓을 구입하거나, 호텔에 체크인하거나, 점심 식사를 주문하는 등 일상 생활에서 경험하고 경험 한 모든 것으로 구성됩니다. 현재, 우리의 정체성과 모든 디지털 상호 작용은 다른 당사자들에 의해 소유되고 통제되며, 그 중 일부는 우리가 알고 있지도 않습니다.
사용자의 현상 유지는 많은 앱과 기기에 동의하는 것입니다.이 앱과 기기는 누가 어떤 정보에 액세스 할 수 있는지에 대해 높은 수준의주의를 기울여야합니다. 기업 앞에서는 소비자와 파트너와의 협력을 통해 높은 접촉 방식의 오케스트레이션이 필요한 모든 사람들의 개인 정보와 보안을 유지하는 방식으로 안전하게 데이터를 교환해야합니다.
표준 기반의 분산 아이덴티티 시스템은 사용자와 조직이 데이터를보다 강력하게 제어하고 앱, 장치 및 서비스 제공 업체에 높은 수준의 신뢰와 보안을 제공 할 수있는 새로운 경험을 제공 할 수 있다고 믿습니다.
분산 된 ID에 대한 Microsoft의 전략
Microsoft의 사명은 지구상의 모든 사람에게 더 많은 것을 부여 할 수있는 권한을 부여하는 것입니다.
Microsoft 클라우드 신원 확인 시스템은 이미 개발자, 조직 및 수십억의 사람들이 더 많은 일을하고 놀고 더 많이 달성 할 수 있도록 힘을 실어 주지만, 실향민들조차도 우리 각자가 우리의 삶의 목표를 추구 할 수있는 세상을 만들기 위해 할 수있는 일은 훨씬 더 많습니다. 우리 아이들의 교육, 삶의 질 향상, 사업 시작 등이 포함됩니다.
이러한 비전을 달성하려면 개인, 조직 및 장치가 소유 할 수있는 기존의 클라우드 신원 체계를 강화하여 디지털 ID 및 데이터를 제어 할 수 있어야합니다. 이 자체 소유의 정체성은 우리의 일상 생활에 자연스럽게 통합되어야하며, 우리가 공유하는 것과 공유하는 사람을 완전히 통제하고 필요할 때 다시 되돌릴 수있는 능력을 제공해야합니다. 셀 수없이 많은 앱과 서비스에 폭 넓은 동의를 부여하고 수많은 제공 업체에 ID 데이터를 퍼뜨리는 대신 개인은 ID 데이터를 저장하고 액세스를 쉽게 제어 할 수있는 안전한 암호화 된 디지털 허브가 필요합니다.
개방형 표준을 갖춘 리드
우리는 고객, 파트너 및 커뮤니티와 긴밀하게 협력하여 차세대 분산 Identity 기반 경험을 제공하기 위해 노력하고 있으며,이 분야에서 놀라운 기여를 한 개인 및 조직과 파트너 관계를 맺게 된 것을 대단히 기쁘게 생각합니다. DID 생태계가 성장하려면 표준, 기술 구성 요소 및 코드 산출물이 오픈 소스이어야하며 모든 사람이 액세스 할 수 있어야합니다.
Microsoft는 DIF (Distributed Identity Foundation), W3C 자격 증명 커뮤니티 그룹 및 더 넓은 ID 커뮤니티 구성원과 적극 협업하고 있습니다. 우리는 이러한 그룹과 협력하여 중요한 표준을 확인하고 개발합니다. 우리는 세계적 규모의 사용을 위해 설계된 공용 Layer 2 네트워크로서 기존 공용 체인 위에서 실행되는 오픈 소스 DID 구현을 개발 중입니다. 이 구현의 목적은 개발자와 기업이 사용자가 제어 할 수있는 새로운 제품, 응용 프로그램 및 서비스를 구축하기 위해 의존 할 수있는 통합 된 상호 운용 가능한 생태계를 구축하는 것입니다.
분산 ID는 어떻게 작동합니까?
오늘날 사용자의 신원을 디지털 방식으로 표현하는 것은 많은 앱과 서비스에서 조각난 데이터를 혼합 한 것입니다.
기존 시스템으로는 달성하기 어려운 자체 소유권 및 검열 저항과 같은 주요 신원 속성을 제공하기 위해 기술 및 표준을 결합한 새로운 형태의 신원이 필요합니다.
이러한 약속을 실현하기 위해서는 사용자가 소유 한 Dentifier, 이러한 식별자와 관련된 키를 관리하는 사용자 에이전트 및 암호화 된 사용자 제어 데이터 저장소 등 7 가지 핵심 혁신으로 구성된 기술 기반이 필요합니다.
W3C DID (Distributed Identifiers) - 사용자가 조직이나 정부와 독립적으로 만들고, 소유하고, 제어하는 ID입니다. DID는 공개 키 자료, 인증 설명자 및 서비스 끝점을 포함하는 JSON 문서로 구성된 DPKI (Decentralized Public Key Infrastructure) 메타 데이터에 링크 된 전 세계적으로 고유 한 식별자입니다.
분산 시스템 (예 : 블록 체인 및 원장) -DID는 DPKI에 필요한 메커니즘과 기능을 제공하는 분산 시스템에 뿌리를두고 있습니다. Microsoft는 다양한 블록 체인 및 원장을 지원하는 DID 구현의 활발한 생태계를 허용하기 위해 커뮤니티에서 개발중인 표준 및 echnologies 개발에 참여하고 있습니다.
DID 사용자 에이전트 - 실제 사용자가 분산 ID를 사용할 수있게 해주는 응용 프로그램입니다. 사용자 에이전트 응용 프로그램은 DID 생성, 데이터 및 사용 권한 관리, DID 연결 클레임 서명 / 유효성 검사를 지원합니다. Microsoft는 DID 및 관련 데이터를 관리하기위한 사용자 에이전트로 작동 할 수있는 월렛과 유사한 앱을 제공합니다.
DIF Universal Resolver - DID 드라이버 컬렉션을 사용하여 구현 및 분산 된 시스템에서 DID에 대한 조회 및 해결의 표준 방법을 제공하고 DID와 연결된 DPKI 메타 데이터를 캡슐화하는 DID Document Object (DDO)를 반환하는 서버입니다.
DIF Identity Hubs - 신원 데이터 저장 및 신원 상호 작용을 용이하게하는 클라우드 및 에지 인스턴스 (예 : 휴대폰, PC 또는 스마트 스피커)로 구성된 암호화 된 개인 데이터 스토어의 복제 된 메시입니다.
DID 증명 - DID 서명 인증은 표준 형식 및 프로토콜을 기반으로합니다. ID 소유자는 소유권 주장을 생성, 제시 및 확인할 수 있습니다. 이것은 시스템 사용자 간의 신뢰의 토대를 형성합니다.
분산 형 앱 및 서비스 - 신원 확인 허브 개인 데이터 스토어와 쌍을 이루는 DID는 새로운 종류의 앱 및 서비스를 만들 수 있습니다. 사용자의 ID 허브를 사용하여 데이터를 저장하고 부여 된 사용 권한의 범위 내에서 작동합니다.
샘플 시나리오
Alice는 최근에 대학을 졸업했습니다. 그녀는 DID에 대해 대학에서 발급 한 졸업장의 디지털 사본을 요청할 수 있습니다. 그녀는 졸업장 발행인, 발행시기 및 지위를 독립적으로 확인할 수있는 잠재 고용주와 같이 누구에게나 졸업장을 제공 할 수 있습니다.
DID 시작하기
DID를 이해하려면 현재 ID 시스템과 비교하는 것이 좋습니다. 전자 메일 주소와 소셜 네트워크 ID는 공동 작업을위한 인간 친화적 인 별칭으로 만들어졌지만 이제는 공동 작업을 넘어 여러 시나리오에서 데이터 액세스의 제어점 역할을하도록 과부하되었습니다. 이러한 ID에 대한 액세스가 이메일 제공 업체, 소셜 네트워크 제공 업체 또는 기타 외부 업체에 의해 언제든지 제거 될 수 있으므로 잠재적 인 문제가됩니다.
분산 식별자 (DID)는 다릅니다. DID는 분산 시스템에 뿌리를 둔 사용자가 생성 한 자체 소유의 전 세계적으로 고유 한 식별자입니다. 그들은 불변성, 검열 esistance 및 탬퍼 회피의 더 중대한 보증 같이 유일한 특성을 소유한다. 이는 자체 소유권 및 사용자 제어를 제공하기위한 ID 시스템의 중요한 속성입니다.
DID 획득
DID를 획득하려면 사용자가 제어하는 장치를 사용하여 DID 사용자 에이전트 응용 프로그램을 다운로드해야합니다. 웹 브라우저가 웹 탐색에 도움이되는 신뢰할 수있는 사용자 에이전트 인 것처럼 DID 사용자 에이전트는 식별자 생성, 인증, 데이터 암호화 및 키 및 권한 관리와 같은 DID의 모든 측면을 관리하도록 도와줍니다. 분산 된 정체성에 대한 일반적인 오해는 모든 신원 데이터가 블록 체인과 같은 공개 시스템에 노출된다는 것입니다. 이것은 잘못되었습니다. Microsoft는 DID 구현시 검열의 위험없이 DID 소유자에 대한 라우팅 및 인증을 가능하게하기 위해 식별자 및 PII가 아닌 DPKI 메타 데이터를 고정하기 위해 분산 시스템을 엄격하게 사용해야한다고 생각합니다. 사용자의 실제 ID 데이터는 사용자의 단독 제어하에 암호화 된 "오프 체인 (off-chain)"으로 상주합니다. (자세한 사항은,
개인 데이터 저장소를 사용하여 DID 상호 작용
DID 사용자 에이전트 앱은 키 참조, ID 허브 서비스 끝점 및 복구에 필요한 공용 값을 포함하는 DID 등록 페이로드를 어셈블합니다.
DID 사용자 에이전트 앱은 장치 키와 암호화 된 소유자 복구 번들을 생성합니다.
DID 사용자 에이전트 앱은 사용자가 선택한 DID 구현의 프로토콜에 따라 DID 등록 페이로드를 분산 시스템에 푸시합니다.
기본 및 쌍방향 DID
전자 메일 주소 나 사회 ID를 기본 식별자로 광범위하게 사용하면 나쁜 습관이 생깁니다. 사용자는 다양한 제품 및 서비스에서 동일한 식별자와 암호를 사용하는 습관을 개발했습니다. 이로 인해 보안이 취약 해지고 계정이 연결되고 추적됩니다.
개념적으로 DID는 공개 DID와 쌍으로 된 DID의 두 클래스로 분류 할 수 있습니다. 공개 DID는 사용자가 의도적으로 대중을 대상으로하는 데이터 (예 : 사진 및 간략한 설명이 포함 된 소규모 생체)에 자신을 고의로 연결하는 데 사용하는 ID입니다. 공공 DID는 활동이나 상호 작용을
다른 사람이 확인할 수있는 방식 으로 자신과 연결하려는 경우에 적합합니다 . 그러나 웹 전체에서 추적 할 수있는 단일 DID에 모든 것을 집어 넣으면 심각한 프라이버시 및 안전 위험이 초래됩니다. 이것이 pairwise DID가 유용한 이유입니다. 쌍방향 DID는 사용자가 상호 작용을 격리하고 상호 연관을 방지 할 때마다 생성됩니다. 많은 사용자에게 pairwise DID는 ID 상호 작용을 수행하는 데 사용하는 기본 메커니즘 일 수 있습니다.
DID 조회 및 검색
DID가 있으면 다른 DID를 발견하거나 검색하려고 할 때해야 할 일에 대해 질문 할 수 있습니다.
DID 사용자 에이전트 앱은 DID Universal Resolver 인스턴스와 통신하여 DID를 찾습니다. DID가 Universal Resolver에 전달되면 Resolver는 적절한 드라이버를 사용하여 분산 된 시스템과 인터페이스하고 일치하는 DID Document를 검색합니다.
일부 DID 구현은 분산 된 시스템에있는 모든 DID를 발견 할 수있는 기능으로 만들어집니다. 다른 사람들은이 기능이 없습니다. Microsoft는 앱과 서비스가 결정적으로 DID의 보편적 인 디렉터리를 생성 할 수 있기 때문에 이것이 중요한 기능이라고 생각합니다. 이것은 많은 앱과 서비스 시나리오에서 유용합니다.
DID 간의 신뢰 구축
누구나 계정을 만들거나 DID를 얻을 수있는 세상에서 DID 기반 신원이 가짜가 아니라는 것을 어떻게 알 수 있습니까? 개인 평판과 마찬가지로 DID는 증거가없는 삶을 시작합니다. 그들은 빈 정체성을 대표하며, 소유자 만이 문제의 DID 소유를 증명할 수 있습니다. 합법성의 증거를 얻기 위해 DID는 기업, 교육 기관 및 정부와 같은 기존의 신뢰 공급자 및 프로세스의 보증을 요구합니다. DID 기반 시스템은 누가 보증을 발행했는지에 대한 독립적 인 검증을 포함하는 증명을 생성하는 메커니즘을 제공합니다. 신원은 여러 신탁 시스템에서 이러한 증언을 누적함으로써 앱 또는 서비스에 액세스 할 수있는 고유 한 위험 수준에 맞추기 위해 시간이 지남에 따라 더 큰 신뢰를 구축 할 수 있습니다.
전자 메일 식별자 및 기타 현재 계정 기반 시스템과 달리 DID는 자체 소유이며 암호화 키와 연결되어 있으며 DPKI 작업의 공유 된 글로벌 계보를 유지하는 분산 시스템에 뿌리를두고 있습니다. 이를 통해 DID 서명 된 증명의 작성 및 검증과 같은 고급 신원 활동이 가능합니다. 증명은 하나 이상의 DID가 다른 DID에 대한 주장을 생성하기 위해 키로 서명한다는 독립적 인 검증 가능 주장입니다. 블록 체인 원장을 통해 데이터의 시간 상태를 기록하고 다른 엔티티 또는 조직을 신뢰하지 않고 독립적으로 유효성을 검사하여 발생 시간을 기록 할 수 있습니다.
예를 들어, 대학은 누군가의 이름이 Bob Kelly이고, 현재 학생이며, 그의 모습이 학교 사진과 일치 함을 입증하기 위해 DID가있는 증명에 서명 할 수 있습니다. 대학 및 기타 조직은 웹 도메인의 통제를 입증하거나 직접 / 직접 확인 절차를 통해 DID의 소유권을 입증 할 수 있습니다. 그런 다음 조직에서 기존 자격 증명에 대해 증언하거나 증명할 수 있으며 표준 암호화 키 제품군으로 유효성을 검사 할 수 있습니다. 결과적으로 ID 상호 작용 및 민감한 공개에 참여하기 전에 여러 신뢰 공급자로부터 표준, 상호 운용 가능한 검증 가능한 클레임을 요구하여 잠금 해제되는 가치 수준에 맞출 수 있습니다. 이것은 많은 산업 분야에서 게임 체인저입니다.
DID의 공개 및 인증
DID를 사용하여 다른 사람, 앱 또는 서비스와 상호 작용할 수있는 몇 가지 방법이 있지만 가장 기본적인 상호 작용은 인증입니다. DID를 외부인과 인증하기 위해 DID 소유자는 DID를 당사자에게 공개합니다. 외부 파티는 DIF 유니버설 리졸버 (아마도 DID 사용자 에이전트 앱 사용)를 통해 DID를 조회하고, 리졸버는 일치하는 DPKI 메타 데이터를 반환합니다. 외부 당사자는 DPKI 메타 데이터의 공개 키 참조를 사용하여 챌린지를 생성하고 사용자와 핸드 셰이크를 수행합니다. 사용자가 챌린지 응답 핸드 셰이크를 완료 할 수 있으면 해당 사용자가 해당 DID의 소유자임을 입증합니다. Microsoft는 개인 정보, 신뢰 및 보안 약속을 유지하면서 DID에 대한 지원을 기존 표준 (예 : FIDO / WebAuthn)과 통합하는 방법을 조사하고 있습니다.
개인 데이터 저장소를 사용한 DID 상호 작용
오늘날 사용자는 개인 데이터를 로컬 컴퓨터 또는 공급자 기반 서비스에 가장 일반적으로 저장합니다. 이러한 스토리지 옵션이 자리를 잡으면 서 의도하지 않은 항목에 액세스하기 위해 개인 데이터를 노출하는 경우가 많으며 일반적으로 ID 상호 작용을 위해 설계되지 않은 일반 스토리지 시스템입니다.
DIF ID 허브는 사용자가 제어하고 오프 체인 (off-chain) 인 개인 데이터 스토어를 기반으로합니다. 사용자는 자신의 DID 사용자 에이전트 앱을 통해 데이터를 공유하려는 사용자와 어떤 수준의 세분화 수준을 결정합니다. ID 허브에 대한 요청은 DID와 관련된 서비스 끝점이라고하는 DPKI 메타 데이터를 기반으로 라우팅됩니다. 아이덴티티 허브는 멀티 - 인스턴스 개인용 메시로 데이터를 에지 암호화하고 사용자 권한을 부여하여 설계 상 프라이버시를 보장합니다. ID 허브는 광범위한 ID 상호 작용을 지원하고 서버가 없으며 공급자에 무관심하고 분산 된 응용 프로그램의 토대를 제공합니다.
Microsoft는 광범위하게 수용되는 개인 데이터 저장소 표준이이 새로운 생태계에서 가장 강력한 사용 사례의 잠금을 해제하는 열쇠이며 DIF Identity Hub 사양 및 참조 구현 작업중인 DIF의 많은 구성원 중 하나라고 생각합니다. Microsoft는 DIF의 Identity Hub 인스턴스를 사용자가 Identity Hub 인스턴스 중 하나로 선택할 수있는 Azure 서비스로 제공합니다.
데이터 액세스 권한 관리
신원 확인 호스트는 저장소 및 메시지 릴레이의 촉진자입니다. 사용자 데이터를 해독 할 수있는 키가 없으며 사용자는 모든 엔터티에서 암호화 된 데이터 액세스를 해지 / 제거 할 수 있습니다. 권한은 DID 키로 서명되며 데이터는 그에 따라 암호화됩니다. ID 허브 사용 권한에 대한 세부 사항은 앞으로 몇 주 안에 제공 될 예정입니다.
데이터의 동기화 및 복제
DIF Identity Hubs의 핵심 속성 중 하나는 사용자가 공유 상태를 달성하기 위해 데이터를 동기화 및 복제하는 공급자와 인프라 경계에서 여러 인스턴스를 활용할 수 있다는 것입니다. 그러나 Identity Hub에 대한 공급자를 사용하지 않아도됩니다. Identity Hub는 모든 장치 또는 인프라에서 실행할 수있는 오픈 소스 서버 기술입니다. 이렇게하면 신분 데이터가 모든 조직에 묶여 있지 않고 분권화, 자체 소유 및 사용자 제어에 대한 약속을 지킬 수 있습니다.
분산 된 앱 및 서비스 구축
ID 허브와 짝을 이루는 DID는 다음과 같은 다양한 용도로 사용할 수있는 새로운 유형의 분산 응용 프로그램의 토대를 마련합니다.
Identity Hub 인스턴스의 위치에 관계없이 사용자의 Identity Hub에 데이터를 저장하는 순수한 클라이언트 측 패키지로 작성 될 수있는 공급자에 무관 한 서버리스 앱을 지원합니다. 이를 통해 앱은 모든 구현이 지원하는 표준 API 세트를 통해 모든 사용자의 ID 허브와 상호 작용할 수 있습니다.
앱, 서비스 및 조직에서 교환 및 공동 작업에 사용하는 공유 스키마 또는 데이터 집합의 데이터 개체를 의미없는 모델로 저장합니다.
누구나 크롤링하거나 가입 할 수있는 공개 데이터 계층으로 모든 DID의 의미 론적 데이터를 효율적으로 검색하고인지 할 수 있습니다. DID 소유자는 모든 유형의 데이터, 인 텐트 또는 표현을 게시 (필요한 경우 해지)하도록 선택할 수 있습니다. P2P 제안 검색 및 가치 교환 (상품의 중고 판매, 승용차 공유 및 휴가 임대)과 같은 공개 데이터의 활발하고 개방 된 마켓 플레이스를 만듭니다.
다음은 서로 다른 업계에서 데이터 교환 및 스토리지가 이러한 방향으로 방향이 바뀌었을 때 가능한 것을 보여주는 세 가지 예제입니다.
판매 및 공연 경제 참가자들은 직접 의미 제공 개체로 항목을 인코딩, 아이덴티티 허브를 통해 그들을 노출에 의해 개방, 분산 된 시장 층에 매도 항목과 다른 제안 신호를 게시 할 수 있습니다.
환자는 ID 허브의 HL7 FHIR 인코딩 개체에 대한 액세스를 제공함으로써 의사가 의료 데이터와 상호 작용할 수 있습니다. HL7 FHIR은 의사, 보험 회사 및 병원에서 일반적으로 사용되는 스키마입니다.
공급 업체 및 소매 업체는 제품 및 서비스 데이터를 GS1 개체로 ID 허브에 인코딩 할 수 있으므로 이전보다 더욱 효율적이고 안전하게 공급망 데이터를 교환 할 수 있습니다.
손상된 DID 복구
DID 커뮤니티의 열린 질문은 관련 키 / 장치의 도난 또는 분실을 통해 제어가 손상된 경우 DID 복구를 처리하는 방법입니다. 우리는 사용자가 진정으로 디지털 ID를 소유하고 있다면 자신의 DID를 안정적으로 복구 할 수 있어야한다고 생각합니다. Microsoft는 사용자가 스스로 키를 복구 할 수있는 방법을 설명하는 가설을 가지고 있습니다. 앞으로 몇 달 안에 우리는 일과 코드에 대한 세부 사항을 커뮤니티와 공유 할 것입니다. 우리는이 중요한 도전에 대해 당신과 협력하기를 고대합니다.
분산 된 정체성에 대한 Microsoft의 진전
지난 18 개월 동안 Microsoft는 블록 체인 및 기타 분산 원장 기술을 사용하여 개인 신상 정보, 보안 및 제어 기능을 강화하기 위해 처음부터 새로 설계된 신원 정보 (신원 확인 정보)를 작성하는 데 투자했습니다. 우리는 DID가 Microsoft ID 스택의 일급 시민이되도록 열망합니다.
향후 몇 개월 동안 우리는 세부 사양을 제공하고, 필요한 경우 성능 및 확장 성 향상 및 DID 복구를위한 새로운 도구를 포함하여 DID 기반 기술 구성 요소에 공개 코드를 제공 할 것입니다. 우리의 목표는 사용자와 개발자 커뮤니티가 의존 할 수있는 핵심 인프라를 구축하여 새로운 DID 에코 시스템을 구축하는 것입니다.
주요 이해
사용자는 공개 표준에 따라 하나 이상의 DID를 가질 수 있습니다.
DID는 체인 및 원장 (공개, 비공개 등)에서 확인할 수 있습니다.
DID 사용 권한은 사용자에게만 액세스 할 수있는 키를 통해 관리됩니다.
ID 특성 (또는 클레임)은 오프 체인 DIF Identity Hub 개인 데이터 저장소에 저장됩니다.
사용자는 하나 이상의 ID 허브 인스턴스를 장치 및 클라우드에 둘 수 있습니다.
세분화 된 액세스 제어로 증명 / 액세스에 액세스하려면 사용자 동의가 필요합니다.
소유권 주장은 기존 표준 (OAuth 2.0 / OIDC)과 호환됩니다.
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2DjfY
This user is on the @buildawhale blacklist for one or more of the following reasons:
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit