万维网联盟(W3C)可验证的凭证工作组本周发布了候选推荐草案规格可验证的凭据数据模型v2.0(VCDM 2.0)用于在网络上使用数字标识。
VCDM 2.0引入了几种增强功能,包括处理澄清,过渡到有形的数据模型,媒体类型和数据模型简化,同时仍保持维护VCDM 1.1基线。
在美国国土安全部科学技术局(S&T)和美国公民和移民服务(USCIS)的支持下,W3C工作组一直在制定在线数字ID标准。
在美国公民济会(USCIS)的进气和文件生产办公室内的文件管理部负责人贾里德·古德温(Jared Goodwin)表示,在S&T,USCIS和许多其他志同道合的合作伙伴的支持下,这些标准描述了如何实施尊重数字证书过程的安全隐私。
Goodwin解释说,W3C标准的一部分承诺是能够仅共享完成安全数字交易所必需的数据,并指出DHS的隐私办公室被指控“嵌入和执行所有DHS活动中的隐私保护和透明度”。 DHS被带入该过程,以审查W3C可验证的凭证数据模型和分散的标识符框架,并就潜在问题提供建议。
国土安全部S&T在上个月的一份声明中说:“ W3C标准的部分承诺是仅分享交易所需的数据的能力,这是“将隐私置于人民手中的重要一步”。
DHS Silicon Valley Innovation Program董事总经理Melissa OH说:“除了确保全球互操作性外,W3C制定的标准还经过广泛的评论,以确保它们结合安全,隐私,可访问性和国际化。” “通过在我们的数字证书努力中帮助实施这些标准,SVIP通过SVIP来确保我们使用的技术在人们如何确保其数字交易和保护其隐私方面有所作为。”
古德温说:“展望未来,政府希望确保个人能够代理并控制自己的数字互动。” “用户应该能够拥有自己的身份并决定何时共享它,并且我们不希望一个必须回到代理商进行验证的系统。”
这候选推荐草案并不意味着W3C及其成员的认可。一个候选推荐草案仅整合了与以前的草稿的更改候选推荐快照。
一个候选推荐快照是满足集团宪章或后续要求文件中建立的技术要求的文件;有小组参与者的共识;已收到公众审查;已收到其他W3C小组的正式审查;并且是用于实施者最终反馈的规范。
W3C说,新的“规格”草案可以随时被其他文件更新,更换或渲染。
W3C解释说,“目前很难表达教育资格,医疗保健数据,财务帐户详细信息以及其他类型的第三方验证的机器可读的个人信息”,并且“在网络上表达数字证书的困难使通过网络获得相同的凭据相同的好处,使物理凭据在物理世界中为我们提供相同的好处。”
新的规范在新的候选推荐草案W3C工作组表示:“ W3C工作组表示,以隐私,尊重和机器验证的方式在网络上表达凭据的标准方法。
该草案的设计旨在简化新型可验证凭证的原型制作。 W3C表示,开发人员可以将模板复制到草稿中,并将其粘贴到常见的可验证凭证工具中,以开始发行,持有和验证原型凭据。
W3C工作组解释说,在规范草案中阐明的“生态系统”与典型的两方或联合身份提供商模型,一个身份提供者,有时被缩写为IDP,是为持有人创建,维护和管理身份信息的系统,同时为依赖联邦或分布式网络中的依赖方应用程序提供身份验证服务。”
在联合身份模型中,规范草案解释说:“持有人与身份提供者紧密绑定”,因此“规范”草案不使用'身份提供者'“联合身份”,“除非将概念或将草案中的概念比较或映射到草案中,否则
新草案还“将身份提供者的概念分解为两个不同的概念:发行人和持有人。”
草案的“生态系统概述”部分“描述了核心参与者的作用及其之间的关系,在预期可验证的凭证有用的生态系统中。” W3C工作组表示:“角色是可能以许多不同方式实施的抽象”,“角色的分离提出了标准化的可能接口和协议。”
增强隐私是草案规范的关键设计功能。草稿说:“因此,对于使用该技术的实体,仅表达适合给定情况的某些部分很重要。一个人角色子集的表达称为可验证的演示。
可验证的演示文稿由持有人创建,可以从多个可验证的凭据表达数据,并且可以包含任意的其他数据,用于向验证者提出索赔。也可以直接呈现可验证的凭证。
因为可验证的凭据通常包含个人身份信息(pii)强烈建议实施者使用机制,同时存储和运输可验证的凭证,以保护数据免受不应该访问的数据的侵害。可以考虑的机制包括运输层安全性(TLS)或其他在运输过程中加密数据的方法,以及在休息时在可验证的凭据中保护数据的加密或数据访问控制机制。
通常,建议个人假设像大多数物理凭证一样可验证的凭证在共享时会泄漏个人身份信息。为了应对这种泄漏,需要专门设计可验证的凭证和确保机制,以避免相关性。确实存在专门设计用于防止个人身份信息泄漏的可验证凭证。敦促个人和实施者更喜欢这些类型的凭证,而不是旨在保护个人身份信息的凭证。
随时欢迎有关规范草案的评论,可以直接通过Girub或通过电子邮件发送至[email protected]。
