標準與互通性
為什麼標準很重要
Section titled “為什麼標準很重要”可驗證憑證只有在跨系統通用時才有意義。透過一個平台發行的員工憑證,應能被任何合規的驗證方驗證,不受廠商限制。開放標準使這成為可能。
TCS 實作了完整的開放標準技術棧 — OID4VCI 測試軌道已通過合規測試,OID4VP 測試軌道正在合規測試處理中。這不是意圖宣告,而是基於合規測試狀態的陳述。
TCS 實作的標準
Section titled “TCS 實作的標準”OID4VCI v1 — 從發行方取得憑證
Section titled “OID4VCI v1 — 從發行方取得憑證”OpenID for Verifiable Credential Issuance 定義了錢包如何向發行方請求並接收憑證的協定。它涵蓋完整交換流程:探索發行方提供的憑證、完成身份驗證,以及接收已簽名的憑證。
TCS 支援兩種發行流程:
- 預授權碼流程 — 發行方建立 offer,持有者兌換。無需互動式登入。
- 授權碼流程 — 持有者在接收憑證前進行互動式身份驗證。
OID4VP v1 — 向驗證方展示憑證
Section titled “OID4VP v1 — 向驗證方展示憑證”OpenID for Verifiable Presentations 定義驗證方如何向持有者請求憑證,以及持有者如何回應。驗證方使用 DCQL(Digital Credentials Query Language)精確指定所需的憑證類型和聲明,持有者僅展示被請求的部分。
HAIP v1 — 互通性規範
Section titled “HAIP v1 — 互通性規範”High Assurance Interoperability Profile 是 OID4VCI 和 OID4VP 的受限規範,專為高安全性使用場景設計。它要求特定選擇:
- 搭配 X.509 憑證的 ES256 簽名
- 每個請求強制使用 DPoP nonce
dc+sd-jwt憑證格式
HAIP 確保獨立建置的系統能夠互通,無需協商配置。若兩個系統都通過 HAIP 合規測試,它們就能直接協作。
SD-JWT VC — 內建隱私保護的憑證格式
Section titled “SD-JWT VC — 內建隱私保護的憑證格式”IETF SD-JWT-based Verifiable Credentials 是 TCS 使用的憑證格式。它使用 dc+sd-jwt 格式識別符,並透過 _sd 機制提供選擇性揭露 — 持有者在每次展示時選擇要揭露哪些聲明。
這是 IETF 標準,有別於 W3C Verifiable Credentials Data Model 2.0。兩個規範服務於不同的生態系統,且相互排斥。
DPoP — 防範 token 竊取
Section titled “DPoP — 防範 token 竊取”Demonstrating Proof-of-Possession(RFC 9449)將 access token 綁定至請求的客戶端。即使 token 被竊取,竊取者也無法使用,因為他們不持有對應的私鑰。TCS 對憑證請求強制執行 DPoP。
TCS 目前的 OID4VCI 測試軌道已通過,OID4VP 測試軌道進行中:
| 規範 | 結果 |
|---|---|
| OID4VCI Credential Issuer | 通過 |
| OID4VP Verifier | 處理中 |
| HAIP + OID4VCI Issuer | 通過 |
| HAIP + OID4VP Verifier | 處理中 |
合規測試套件模擬錢包客戶端,驗證 TCS 端點對所有必要的協定互動(包括錯誤情況)是否產生符合規範的回應。
對企業的意義
Section titled “對企業的意義”- 廠商獨立性 — 透過 TCS 發行的憑證可被任何符合標準的系統驗證,而不僅限於 TCS。
- 面向未來 — 標準透過開放治理流程演進,而非廠商路線圖。
- 法規對齊 — 開放標準在數位身份的法規框架中日益被要求採用。
- 預設互通性 — 合規系統之間無需自定義整合。