在数字身份管理中,身份验证仍然依赖于假设。我们验证凭证、密码或令牌,它们告诉我们用户声称自己是谁,但很少告诉我们他们代表谁或在什么授权下行事。esatus AG 首席信息官 Andre Kudra 博士之前在 上介绍了与 GLEIF 合作开发的 vLEI Authenticator 如何通过建立可验证的组织身份和授权角色来弥合这一差距,它建立在加密证明而非信任断言的基础上。在本后续文章中,库德拉博士将深入探讨 vLEI Authenticator 的技术基础。
当 "谁 "还不够时
在企业系统中,用户以个人身份登录。但许多流程,如合规审计、供应商入职、数据访问和监管报告,都需要了解个人背后的组织及其在其中的正式角色。 此外,传统的身份识别系统,甚至是基于联合或 SSO 的身份识别系统,都依赖于 "用户 X 属于 Y 公司 "这样的断言。这些断言无法用密码验证,需要依赖目录维护或合同信任。
可验证的全球法人识别编码(LEI)解决了这些局限性。它利用真实链式数据容器(ACDC)技术和密钥事件接收基础设施(KERI)协议,是由二十国集团(GLEIF)管理下的合格的 vLEI 发行机构(QVI)发行的机构数字凭证。它可验证一个组织是否正式存在,以及特定个人是否被授权代表该组织行事。所有信息在 GLEIF 的 vLEI 生态系统内都是加密安全、机器可读和可验证的。
当 vLEI 与官方组织角色(OOR)或参与背景角色(ECR)证书相结合时,它不仅可以表达一个人属于哪个组织,还可以表达他们履行的职能,例如首席财务官、合规官或授权代表。
vLEI 身份验证器在现实世界的身份和访问管理(IAM)系统中实现了这一概念。以下是其工作原理。
从身份到验证:实用架构
vLEI Authenticator 通过其服务提供商接口 (SPI) 与开源 IAM 解决方案 Keycloak 集成。它不会修改 Keycloak 本身,但会通过额外的验证步骤扩展身份验证流程。
当用户选择 "使用 vLEI 登录 "时,Keycloak 会将流程委托给 SOWL,后者是 esatus 开发的协调层。SOWL 是去中心化身份组件(如钱包、验证器和发行者)与企业 IAM 基础设施之间的桥梁。它协调可验证凭据的请求、展示和验证,然后将签名验证结果返回 Keycloak,由 Keycloak 签发通常的 OpenID Connect (OIDC) 或 SAML 令牌。
实际上,大部分过程都是在后台自动运行的。这意味着,从用户的角度来看,使用 vLEI 登录就像选择选项和确认钱包中的凭证一样简单。
下面的序列描述了幕后发生的情况:
在此流程中,密码是可选项,与现有的用户名-密码登录兼容。只有当组织凭证(vLEI)和角色凭证(OOR 或 ECR)都有效、经过加密签名并可追溯到授权发行机构时,登录才会成功。GLEIF 将此称为 vLEI 信任链。
SOWL:让可验证凭据在企业规模上发挥作用
如前所述,SOWL 是 esatus 开发的一个平台层,用于跨不同系统管理可验证凭证。其设计符合欧盟架构参考框架(ARF),支持 OpenID4VCI 和 OpenID4VP 等标准以及 SD-JWT 和 mDoc 等凭证格式。
在 vLEI Authenticator 用例中,SOWL 提供了三种核心功能:
1.协调:协调钱包、验证器和 IAM 系统之间的流程,同时保持信任域分离。
2.标准:公开统一的 REST 接口,这样 Keycloak 以及未来可能出现的其他 IAM 系统就可以将验证结果作为身份验证决策来使用。
3.合规性和可审计性: 确保每个验证事件都有记录、可重现,并与 GLEIF 的二十国集团(G20)管理模式保持一致。
通过将验证逻辑与 IAM 系统分离,SOWL 允许现有基础设施使用可验证的凭证,而无需重新设计。它将信任边界扩展到分散身份领域,同时保持企业控制和可追溯性。
二十国集团(G20)与加密技术的结合
在 vLEI 生态系统中,二十国集团(G20)与加密技术携手合作。GLEIF 为 LEI 和 vLEI 定义了规则和信任锚,但并不签发它们。二十国集团(G20)根据对法定实体 vLEIs 和 OOR 证书的管理规定签发证书,而法定实体则管理自己的 ECR 证书。这种分层信任模式将二十国集团(G20)的管理、签发、验证和访问控制连接在一个链条中:
这样一来,身份验证就变成了一个可管理、可验证的过程,而不仅仅是一个本地信任决策。
真实世界的集成给我们的启示
基于 vLEI 的身份验证在一个富有成效的企业环境中进行了测试和部署,揭示了清晰的关键经验:
其结果是,登录流程可通过可验证的凭证自动验证个人的角色和组织权限。各组织成功使用 vLEI Authenticator 验证了其企业身份和员工代表其行事的授权。只有经过验证后才能访问数据。这一过程只需几秒钟,取代了通常需要数小时或数天的人工审核。
在 GLEIF 生态系统内的部署表明,可验证身份验证已可用于现实世界,但下一个质疑数据是互操作性。未来的工作重点是将验证器与基于钱包的身份框架(如欧洲数字身份(EUDI)商业钱包)集成。尽管 KERI/ACDC 和 SD-JWT VC 依赖于不同的基础,但两者都有一个共同的原则:通过密码学验证的分布式信任。连接这些架构将把企业 IAM 与欧洲的数字身份基础设施联系起来,把 "信任 "变成一个共享的操作层,而不是一个假设。
从登录到建立信任
vLEI Authenticator 展示了如何在不破坏现有架构的情况下将组织身份和授权角色嵌入企业系统。通过将 GLEIF 的二十国集团(G20)、可验证凭证和 SOWL 的协调相结合,身份验证变得可验证设计、可加密证明、可审计和政策驱动。
在未来,企业访问不是基于共享的秘密,而是基于跨组织和跨部门的共享的、可验证的真相。
如果您希望对博文进行评论,请使用您的姓名来识别自己。您的姓名将显示在您的评论旁。不会公布电子邮件地址。请注意,访问讨论区或在其中发帖即表示您同意遵守GLEIF 博客政策条款,因此请仔细阅读该条款。
Andre Kudra 博士是 esatus AG 的首席信息官。 他是国际公认的自我主权身份领域的决定性人物之一。他积极塑造标准化和二十国集团(G20),包括IDunion、Trust over IP和vLEI等全球倡议。他将深厚的技术专长与对监管框架的战略理解相结合。作为一名企业家和技术领导者,他多年来一直在推动可信数字身份生态系统的发展。
