.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

SSI : Self-Sovereign Identity

  • 日本語訳
    • 自己証明型身分証明
    • 自己主権型アイデンティティ
  • 意味
    • 個人は管理主体が介在すること無く、
      自身のIdentity情報を所有・コントロールできるべき。
    • 現実世界と同じようにデジタル世界でも活動できる。

AS-IS

オンラインID(IdP)の問題

フェデレーション抜きで、xxxにログインみたいな。
最も基本的なオンラインID(IdP)の機能。

#問題説明
1距離距離が離れている場合、詐欺が入り込む余地が大きい。
2規模多大な費用がかかり、価値が高い特定用途でのみ適用される。
3柔軟性柔軟性に乏しく、図式や用途が決まっている。
4プライバシCookieポリシー。ハッキング
5同意名寄せ、追跡が可能なることがある

フェデレーションの問題

  • ただし、IdPの信頼性・可用性には問題がある。
    • プライバシに問題がある(マーケティングに利用される)。
    • その他、実装者なら分かる、これホントに大丈夫?的な色々。

TO-BE

KYC(Know Your Customer)の簡素化

  • 概要
    • 銀行に新規口座を開く際、銀行から要求される書類手続き等の総称
  • この要件を満たすため、銀行が苦労している
    • かつて銀行は顧客の身元確認については競争優位を確立していたが、
    • 昨今、金融庁対応が遅れると、数10億ドルの罰金が課せられる。
      マネーロンダリングなど犯罪行為に対する適切な防止策
      仮想通貨取引の口座開設にはKYCプロセスが設けられていることが多い。
  • 目的
    • 金銭的被害の低減
    • 犯罪利用の回避
    • 離脱リスクの回避
    • 顧客により良いサービスを提供する
  • 分野毎のユースケース
  • 金融機関
    • 融資の回収不能
    • マネーロンダリング・テロ資金供与
    • 非活発ユーザの離脱兆候発見
    • 他の金融商品の提案
  • キャリア
    • 契約後1か月間のタダでの利用
    • 端末代金の回収不能
    • 飛ばし携帯としての利用
    • 割引プランの提案
  • ECサイト
    • 代金未収/配達不能(配送 料・回収料)
    • 他人名義での商品の横取&転売
    • 商品のリコメンド

物理世界の財布モデルをデジタル世界に

財布モデル = 発行元と発行物を信頼するモデル。

  • 個人に紐付かないもの
    • 紙幣・貨幣
    • 持参人切符
  • 個人に紐付くモノ
    • 運転免許証
    • 健康保険証
    • パスポート
    • 記名式切符

ソリューション

非中央集権型アイデンティティ(DID : decentralized identity)を実現。

詳細

DID

概要

  • DID : decentralized identity(非中央集権型アイデンティティ)
  • 非一元的IDの探索を可能にし、一元的なディレクトリを不要にするシステム。
  • また、UserIssuerを特定するID値

特徴

#性質説明
1永続性永続的(作成した本人が所有し、削除したり複製できない)
2対等性CS型ではなくP2P(主権も責任もユーザ)
3プライバシ情報の共有方法は本人の管理下(名寄せ、追跡されると問題)
4可搬性証明書の可搬性、システム相互運用性

役割

User

  • OAuth2で言うResource Owner相当
  • User Agentのオーナー
  • (前述の定義で言うと、)
    自身のIdentity情報を所有・コントロールする個人

Issuer

  • Userに対する
    Identity情報を発行する第3者(機関)

要素

User Agent

従来通り、Userが所有するスマホやブラウザだが、

  • Identity Wallet(キーペアの生成・保持ソフト)の機能を持ち、
  • DID Documentを生成して、Distributed Ledgerに登録する。
  • これにより、DID Authにおける認証器の役割を果たすことが出来る。

と言う点が従来のUser Agentと異なる。

Distributed Ledger

  • 分散台帳
    • ブロックチェーン的なもの。
    • 必ずしもブロックチェーンである必要は無い。

Identity Hub

DIDに関連するIdentity情報(Verifiable Credentials)を保持。

Universal Resolver

  • 他の分散台帳にあるDID Documentを解決する。
  • ...

用語

DID Document

  • 識別子と公開鍵を含む。
  • 以下の2つのモノがある。
  • User Agentが生成したモノ
    User Agent(を所有するUser)
    からの要求であることを検証するのために使用される。

Verifiable Credentials

  • Issuerから提供された検証可能な
    DIDに関連付いたIdentity情報を表すデータと、データ構造の標準
  • DIDのIdentity情報はクレームのようなもので、
    検証可能クレームなどと呼ばれることもある。
  • Issuerにより発行される。
    • Issuerの秘密鍵で署名される。
    • Issuerの公開鍵を使用して検証が可能。

DID Auth

  • 非中央集権型アイデンティティによる認証
  • 以下のシーケンスで認証される。
  • チャンレジ&レスポンス
    • アプリケーションがチャンレジを送信する。
    • User Agentが秘密鍵を使用してレスポンス
    • アプリケーションが公開鍵を使用してレスポンスを検証する。

参考

OpenID Connect for Identity Assurance

CIO Magazine

(上)

(中)

(下)

naohiro.fujie

IdM実験室

slideshare

サービス的なもの

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-02-23 (日) 15:52:24 (331d)