오늘날의 우리의 디지털 및 물리적 생활은 우리가 사용하는 앱, 서비스 및 장치와 점점 더 얽혀지고 있습니다. 이 디지털 혁명은 가능성의 세계를 열어, 우리가 한 번 상상할 수없는 방법으로 수많은 회사 및 개인과 연결할 수 있도록.
이렇게 증가된 연결성으로 ID 도용 및 데이터 침해의 위험이 더 커지게 됩니다. 이러한 위반은 우리의 개인적, 직업적 삶에 파괴적일 수 있습니다. Microsoft는 다양한 조직 및 표준 기관과 적극적으로 협력하여 개인이 자신의 디지털 ID를 제어하도록 하는 탈중앙화 ID 솔루션을 만듭니다. 탈중앙화 ID 기술은 중앙 집중식 기관 또는 중개자를 사용하지 않고도 ID 데이터를 관리하는 안전하고 사적인 방법을 제공합니다.
탈중앙화 ID가 필요한 이유
현재 디지털 ID는 직장과 집은 물론 우리가 사용하는 모든 앱, 서비스, 디바이스에 사용됩니다. 이 ID는 이벤트 티켓 구매, 호텔 체크인 또는 점심 주문 등 우리가 말하는, 하고, 경험하는 모든 것으로 구성됩니다. 현재, 우리의 ID와 모든 디지털 상호 작용은 제 3 자에 따라 달라 집니다., 경우에 따라, 심지어 우리의 지식 없이.
사용자는 매일 앱 및 디바이스에 데이터에 대한 액세스 권한을 부여합니다. 특정 정보에 액세스할 수 있는 사람을 추적하려면 많은 노력이 필요합니다. 기업 측에서는, 소비자 및 파트너와의 협업을 위해 관련된 모든 사람의 개인 정보 및 보안을 유지하는 방식으로 데이터를 안전하게 교환하기 위한 하이 터치 오케스트레이션이 필요합니다.
표준 기반의 탈중앙화 ID 시스템을 통해 사용자와 조직이 자체 데이터를 더 잘 통제하고 앱, 디바이스 및 서비스 공급자를 위해 더 높은 수준의 보안과 신뢰를 제공할 수 있는 새로운 환경을 제공할 수 있습니다.
개방형 표준 주도
Microsoft는 DIF(Decentralized Identity Foundation), W3C Credentials Community Group 및 보다 광범위한 ID 커뮤니티의 멤버와 활발하게 협력하고 있습니다. 다음 표준은 서비스에서 구현됩니다.
DID란?
DID를 이해하려면 먼저 현재 ID 시스템과 비교하는 것이 좋습니다. 전자 메일 주소와 소셜 네트워크 ID는 협업용으로 사용자에게 친숙한 별칭이지만, 협업을 능가하는 많은 시나리오에서 데이터 액세스를 위한 제어 지점 역할을 하기에는 이제 지나치게 부담스럽습니다. 이러한 ID에 대한 액세스는 언제든지 제거될 수 있으므로 이 경우 잠재적인 문제가 발생합니다. DID(탈중앙화 ID)는 다릅니다. DID는 탈중앙화 트러스트 시스템에 뿌리를 둔 사용자 생성 자체 소유의 전역 고유 식별자입니다. 여기에는 불변성 보장 강화, 검열 저항, 변조 어려움과 같은 독특한 특징이 있습니다. 이러한 특성은 자체 소유권 및 사용자 제어를 제공하려는 ID 시스템에 매우 중요합니다.
Microsoft의 검증 가능한 자격 증명 솔루션은 DID(탈중앙화 자격 증명)를 사용하여 신뢰 당사자(검증자)가 검증 가능한 자격 증명의 소유권을 증명하는 정보를 증명하고 있다는 증거로 암호화적으로 서명합니다. Microsoft 제품을 기반으로 확인 가능한 자격 증명 솔루션을 만드는 사용자는 기본적으로 DID를 이해해야 합니다.
확인 가능한 자격 증명이란?
ID는 매일 실생활에 사용됩니다. 운전 면허증은 자동차 운전 능력의 증거로 사용됩니다. 대학이 발급한 졸업장은 특정 수준의 교육에 도달했음을 증명합니다. 우리는 여권을 사용하여 외국 목적지에 도착했을 때 당국에 누구인지 증명합니다. 데이터 모델에서는 인터넷을 통해 작업할 때 이러한 유형의 시나리오를 처리하는(단, 사용자의 개인 정보를 존중하는 안전한 방식으로) 방법을 설명합니다. 자세한 내용은 확인 가능한 자격 증명 데이터 모델 1.0을 참조하세요.
간단히 말해, 확인 가능한 자격 증명은 주체에 대한 정보를 입증하는 발급자가 만든 클레임으로 구성된 데이터 개체입니다. 스키마는 이러한 클레임을 식별합니다. 클레임에는 발급자의 DID 및 주체가 포함됩니다. 발급자의 DID는 이 정보에 대한 증명의 증거로 디지털 서명을 생성합니다.
탈중앙화 ID 작동 원리
새로운 형태의 ID가 필요합니다. 자체 소유권 및 검열 저항과 같은 주요 ID 특성을 제공하려면 기술과 표준을 결합하는 ID가 필요합니다. 이러한 기능은 기존 시스템을 사용하여 구현하기 어렵습니다.
이러한 약속을 이행하기 위해 7가지 주요 혁신으로 구성된 기술 기반이 필요합니다. 한 가지 주요 혁신은 사용자 소유 식별자, 이러한 식별자와 연결된 키를 관리하는 사용자 에이전트 및 암호화된 사용자 제어 데이터 저장소입니다.
1. W3C DID(탈중앙화 식별자). ID 사용자는 조직이나 정부와 독립적으로 생성, 소유 및 제어합니다. DID는 공개 키 자료, 인증 설명자, 서비스 엔드포인트를 포함하는 JSON 문서로 구성된 DPKI(Decentralized Public Key Infrastructure) 메타데이터에 연결된 전역적으로 고유한 식별자입니다.
2. 신뢰 시스템. DID 문서를 확인할 수 있도록 DID는 일반적으로 신뢰 시스템을 나타내는 일종의 기본 네트워크에 기록됩니다. Microsoft는 현재 di:web trust 시스템을 지원합니다. did:web trust 시스템은 웹 도메인의 기존 평판을 사용하여 트러스트를 허용하는 권한 기반 모델입니다. did:web이 지원 상태인 일반 사용 가능 상태입니다.
3. DID 사용자 에이전트/전자지갑: Microsoft Authenticator 앱. 실제 사람들이 탈중앙화 ID 및 확인 가능한 자격 증명을 사용할 수 있도록 합니다. Microsoft Authenticator 는 DID를 만들고, 확인 가능한 자격 증명에 대한 발급 및 프레젠테이션 요청을 용이하게 하며, 암호화된 지갑 파일을 통해 DID 시드의 백업을 관리합니다.
4. Microsoft Resolver.
did:web메서드를 사용하여 DID를 조회하고 확인하고 DDO(DID 문서 개체)를 반환하는 API입니다. DDO에는 DID와 연결된 DPKI 메타데이터(예: 공개 키 및 서비스 엔드포인트)가 포함됩니다.
5. Microsoft Entra Verified ID 서비스
Azure에 포함된 발급 및 확인 서비스와 메서드로 서명된 did:web을 위한 REST API입니다. 이를 통해 ID 소유자는 클레임을 생성, 제시 및 확인할 수 있습니다. 이 서비스는 시스템 사용자 간의 신뢰 기반을 형성합니다.
샘플 시나리오
확인 가능한 자격 증명의 작동 방식을 설명하는 데 사용하는 시나리오는 다음과 같습니다.
- Woodgrove Inc.라는 회사
- Woodgrove 직원 할인을 제공하는 Proseware라는 회사
- Proseware에서 할인을 받으려는 Woodgrove, Inc.의 직원인 Alice
오늘 Alice는 Woodgrove의 네트워크 환경에 로그인하기 위한 사용자 이름과 암호를 제공합니다. Woodgrove는 Alice가 Woodgrove에서 자신의 고용 상태를 증명할 수 있는 보다 관리하기 쉬운 방법을 제공하기 위해 검증 가능한 자격 증명 솔루션을 배포하고 있습니다. Proseware는 기업 할인 프로그램의 일부로 기업 할인을 제공할 수 있도록 WoodGrove에서 발급한 확인 가능한 자격 증명을 고용 증빙으로 받아들입니다.
Alice는 Woodgrove Inc에 고용 확인 가능한 자격 증명을 요청합니다. Woodgrove Inc는 Alice의 신원을 증명하고 Alice가 수락하고 그녀의 디지털 지갑 애플리케이션에 저장할 수 있는 서명된 확인 가능한 자격 증명을 발급합니다. Alice는 이제 Proseware 사이트에서 이 확인 가능한 자격 증명을 고용 증명으로 제시할 수 있습니다. 성공적인 자격 증명 프레젠테이션 후에 Alice는 Proseware 할인을 받을 자격이 있습니다. 트랜잭션은 Alice의 지갑 애플리케이션에 기록됩니다. 로그 항목은 Alice가 고용 확인 가능한 자격 증명을 제시한 위치와 대상을 추적하는 데 도움이 되는 것입니다.
확인 가능한 자격 증명 솔루션의 역할
확인 가능한 자격 증명 솔루션에는 세 가지 주요 행위자가 있습니다. 다음 다이어그램에서:
- 1단계에서 사용자는 발급자에게 확인 가능한 자격 증명을 요청합니다.
- 2단계에서 자격 증명 발급자는 사용자가 제공한 증거가 정확함을 입증하고 사용자의 DID가 주체인 DID로 서명된 확인 가능한 자격 증명을 만듭니다.
- 3단계에서 사용자는 DID로 VP(확인 가능한 프레젠테이션)에 서명하고 검증 도구에 보냅니다. 그런 다음, 검증 도구는 DPKI에 배치된 공개 키와 비교하여 자격 증명의 유효성을 검사합니다.
이 시나리오의 역할은 다음과 같습니다.
발행자
발급자는 사용자에게 정보를 요청하는 발급 솔루션을 만드는 조직입니다. 이 정보는 사용자의 ID를 확인하는 데 사용됩니다. 예를 들어 Woodgrove, Inc.에는 VC(확인 가능한 자격 증명)를 만들고 모든 직원에게 배포할 수 있는 발급 솔루션이 있습니다. 직원은 Authenticator 앱을 사용하여 사용자 이름과 암호로 로그인하며, ID 토큰이 발급 서비스에 전달됩니다. Woodgrove, Inc.에서 제출된 ID 토큰의 유효성이 검사된 후, 발급 솔루션은 직원에 대한 클레임이 포함되고 Woodgrove, Inc. DID로 서명된 VC를 만듭니다. 이제 직원은 직원의 DID를 대상 DID로 포함하고 있는, 고용주가 서명한 검증 가능한 자격 증명을 가지고 있습니다.
사용자
사용자는 VC를 요청하는 개인 또는 엔터티입니다. 예를 들어, Alice는 Woodgrove의 신입 직원이고, 이전에 검증 가능한 고용 증명 자격증을 발급받았습니다. Alice가 Proseware에서 할인을 받기 위해 고용 증명을 제공해야 하는 경우 Alice가 DID의 소유자임을 증명하는 확인 가능한 프레젠테이션에 서명하여 Authenticator 앱의 자격 증명에 대한 액세스 권한을 부여할 수 있습니다. Proseware는 Woodgrove에서 발급한 자격 증명 및 Alice의 확인 가능한 자격 증명 소유권의 유효성을 검사할 수 있습니다.
검증자
검증자는 신뢰할 수 있는 발급자 하나 이상의 클레임을 검증해야 하는 회사 또는 엔터티입니다. 예를 들어 Proseware는 Woodgrove, Inc.가 직원의 ID를 확인하며 확실하고 유효한 VC를 발급하는 합당한 작업을 수행한다고 신뢰합니다. Alice가 작업에 필요한 장비를 주문하려고 할 때 Proseware는 Self-Issued OPENID 공급자(SIOP) 및 프레젠테이션 교환과 같은 개방형 표준을 사용하여 사용자가 Woodgrove, Inc.의 직원임을 증명하는 자격 증명을 요청합니다. 예를 들어 Proseware는 Alice에게 휴대폰 카메라로 스캔하는 QR 코드가 포함된 웹 사이트에 대한 링크를 제공할 수 있습니다. 이를 통해 특정 VC에 대한 요청이 시작되며, Authenticator는 분석 후 Alice에게 Proseware에 고용된 것을 증명하는 요청을 승인할 수 있는 권한을 부여합니다. Proseware는 확인 가능한 자격 증명 서비스 API 또는 SDK를 사용하여 확인 가능한 프레젠테이션의 신뢰성을 확인할 수 있습니다. Alice가 제공한 정보를 기반으로 Alice에게 할인을 제공합니다. Woodgrove, Inc.가 자사 직원에게 VC를 발급한다는 사실을 다른 회사와 조직이 아는 경우에는 그들도 검증자 솔루션을 만들고 Woodgrove, Inc. 확인 가능한 자격 증명을 사용하여 Woodgrove, Inc. 직원을 위한 특별 제안을 제공할 수 있습니다.
참고
검증 도구는 개방형 표준을 사용하여 프레젠테이션과 검증을 수행하거나 자체 Microsoft Entra 테넌트를 설정하여 Microsoft Entra 확인된 ID 서비스가 대부분의 작업을 수행할 수 있도록 할 수 있습니다.
다음 단계
DID 및 확인 가능한 자격 증명에 대해 알아보았으면, 시작 문서 또는 확인 가능한 자격 증명 개념에 대한 자세한 내용을 제공하는 문서 중 하나를 참고하여 직접 시도해보십시오.