數位身分證技術探討(三):去中心化身分管理與驗證流程


去中心化身分(De-centralized Identification,DID)識別機制的主要目的,乃鑑於傳統集中式身分管理模式賦予管理者的最高權限,對一般使用者的個資介入調閱和干預,因而侵害一般使用者的個資主控權和隱私權;因此,隨著使用者資安和隱私意識日漸抬頭,使用者身分管理模式應分散集中管控的風險,將使用者個資主權從中樞管理者,逐漸歸還給個別使用者,以保障使用者自身的資料主控權和隱私權,不被任何人得知或掌控。

 

DID去中心化身分識別機制之緣起

DID(去中心化身分)的核心目標為允許使用者控制其數據,保護其隱私,配合開放式、非介入管控的網路框架,保障使用者資料主動權。由於傳統集中式身分管理模式,使用者將資料交給中樞管理者,管理者完全掌握了使用者的資料主權,因而帶來了資料歸屬、用戶身分等使用者關心的隱私議題;為解決集中式身分管理的隱私、資料權限等議題,W3C(全球資訊網協會)、微軟等組織機構,借鑑具備去中心化特質的區塊鏈,期望藉由導入不由任何人集中管控的DID身分管理機制,讓使用者獲得完整的資料主控權,並保障使用者的隱私權。

 

身分管理從中心化過渡到去中心化的四階段

由W3C組織的加密學專家Christopher Allen,歸納出如後四種使用者ID與管理者的互動模式,以鑑別使用者個資掌握的不同程度,和對管理者的依存度。使用者的身分管理機制,從原先的集中式管理,途經聯合式、用戶為中心的歷程,最終到去中心化管理模式,將資料主導權從單一中樞管理者,逐漸下放給個別使用者。以下說明四種使用者ID與管理者的互動模式:

  • 集中式身分管理(Centralized Identity):傳統集中式身分管理機制,由於使用者之資料主權操之在中樞管理者,故管理者會以至高無上的權限大開方便之門,介入調閱或更動使用者之敏感個資;因此隨著個資保護意識之高漲,集中式身分管理機制勢必面臨改變,減少對使用者的介入干擾。
  • 聯合式身分管理(Federated Identity):一種經由多方聯合管控使用者身分,及利用第三方管道的ID存取方式。例如將使用者帳號與Google、Facebook、Microsoft等第三方帳號綁定,雖然解決了一部分使用者個資管理過度集中的資安風險,但仍有被更大的第三方帳號管理者控制個資之隱憂。
  • 以用戶為中心之身分管理(User-centric Identity):一種由使用者自身對多個平臺,進行存取權管控的模式。例如OpenID,可提供使用者一對多的登入服務;但還有釣魚網站盜用OpenID與外部網站API銜接技術不成熟等隱憂。
  • 去中心化身分管理:最早稱為「自主管控式身分管理(Self-sovereign Identity)」,藉由強化資料主控權,來管理使用者身分權限,同時確保資料完整性。有鑑於前三種技術面臨的隱私權限管控和共享之風險,去中心化身分的概念就開始萌芽,期望藉由DID的去中心化、不可竄改、不可否認的驗證機制,同時兼顧DID使用者隱私和身分核對的真實性。

本研究接著探討「去中心化身分管理」之技術,除了讓使用者保有完整個資所有權以外,也能藉由區塊鏈的不可竄改性、不可否認性等特色,來保障使用者資料交換和驗證的完整性、真實性。

 

DID可驗證聲明之應用:以菸酒購買年齡認證為例,把關使用者身分並確保真實資料隱密性

DID除了將使用者個資予以去識別化、最小披露以外,有鑑於DID使用者年齡等敏感個資的保密性,還有「可驗證聲明(Verifiable Claim,VC)」之議題,例如應用在線上投票、開戶、考駕照、購買菸酒等必須滿足法定年齡之條件,VC機制除了可用間接表示(Yes or No)確認DID使用者是否滿足年齡條件,同時能保障DID使用者真實年齡的隱密性,不予透露給DID驗證機制,進而避免使用者個資遭非授權第三方之取用。

 

國際標準機構W3C於2019年12月發布了1.0正式版架構,對DID的資料格式、資料型態做出了標準規格。

  • DID使用者資訊:例如姓名、生日等,同時會分配到亂數生成的ID序號

資料來源:W3C

圖1 DID所提供的使用者資訊

  • DID驗證聲明:由於驗證聲明需串接使用者資訊,因此ID序號應與使用者資訊相同,且用來宣告使用者是否滿足資格(例:年齡限制)

資料來源:W3C

圖2 DID使用者的年齡驗證聲明

資料來源:W3C

圖3 VC驗證流程圖

依據附圖VC驗證流程圖,並以購買菸酒為例,DID使用者的VC驗證需通過三大關卡、八條流程,方能驗證DID使用者身分,是否符合購買酒類等管制性商品的資格。 

 

三大關卡:用來核對DID使用者資訊、判定DID使用者的資格

  • 關卡1:憑證容器(Credential Repository),例如數位身分證、自然人憑證,用來記載使用者身分
  • 關卡2:使用者代理(User Agent),相當於網站前端介面,為關卡1和關卡3的中介橋樑
  • 關卡3:憑證發行者(Credential Issuer),擔當驗證使用者憑證的角色,本範例以Credential Consumer表示,例如菸酒網站

 

八大流程:DID使用者跟憑證發行者之間,一系列的互動和驗證程序

  • 流程1:使用者造訪菸酒網站,提出購買需求
  • 流程2:菸酒網站告知使用者,需到達法定年齡才能購買
  • 流程3:菸酒網站前端要求使用者必須出示憑證容器以玆證明
  • 流程4:憑證容器顯示使用者是否已成年的「可驗證聲明」,例如駕照、護照等外部證件
  • 流程5:使用者選擇其中一個可供菸酒購買服務的憑證,例如駕照、護照等外部證件
  • 流程6:憑證容器將使用者選擇的憑證,例如駕照、護照等外部證件,傳送給菸酒網站
  • 流程7:菸酒網站對使用者的憑證容器進行驗證,以判定使用者是否滿足購買條件
  • 流程8:菸酒網站會重新導向到是否滿足購買條件的網頁,以告知使用者是否滿足條件

 

總結

藉由將身分管理從集中式演變為去中心化管理,使用者除了可以從中樞管理者收回資料主控權,並藉由去中心化獨立存放資料保障使用者隱私;另外藉由去中心化的「可驗證聲明」機制,除了以間接驗證的方式把關使用者資格,也為使用者隱私多加一層保障,並可兼顧使用者使用去中心化網路的便利性。 

參考來源:

  1. Allen, C. (2016, April 25). The Path to Self-Sovereign Identity. Retrieved February 11, 2020, from Life With Alacrity: http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html
  2. World Wide Web Consortium (W3C). (2017, May 1). Verifiable Claims Data Model and Representations 1.0. Retrieved February 11, 2020, from World Wide Web Consortium: https://www.w3.org/2017/05/vc-data-model/CGFR/2017-05-01/
  3. World Wide Web Consortium (W3C). (2019, September 24). Verifiable Credentials Use Cases. Retrieved February 11, 2020, from World Wide Web Consortium: https://www.w3.org/TR/vc-use-cases/
  4. World Wide Web Consortiun (W3C). (2019, December 9). Decentralized Identifiers (DIDs) v1.0 Core Data Model and Syntaxes. Retrieved February 6, 2020, from W3C Working Draft: https://www.w3.org/TR/did-core/ 
延伸閱讀