W3C中国

W3C 候选推荐标准:可验证凭证数据完整性1.0、EdDSA 和 ECDSA 加密套件v1.0、JSON 模式规范

2023年11月21日,W3C 可验证凭证工作组发布以下四份候选推荐标准,并征集参考实现:

可验证凭证数据完整性1.0Verifiable Credential Data Integrity 1.0)描述了使用加密技术(特别是通过使用数字签名和相关数学证明)确保可验证凭证和类似类型的受约束数字文档的真实性和完整性的机制。

数据完整性 EdDSA 加密套件Data Integrity EdDSA Cryptosuites v1.0)描述了一个数据完整性加密套件,用于使用扭曲爱德华兹曲线数字签名算法(EdDSA)和 Curve25519 (ed25519)创建或验证数字签名。

数据完整性 ECDSA 加密套件Data Integrity ECDSA Cryptosuites v1.0)描述了一个数据完整性加密套件,用于在使用椭圆曲线数字签名算法(ECDSA)生成数字签名时使用。

可验证凭证 JSON 模式规范Verifiable Credentials JSON Schema Specification):可验证凭证数据模型v2.0指定了用于可验证凭证和可验证表示的模型,并解释了凭证签发者、持有者以及验证者三者之间的关系。可验证性、可扩展性和语义互操作性是贯穿可验证凭证数据模型v2.0的关键功能。该规范则提供了一种利用现有数据模式概念在可验证凭证中使用凭证模式的机制。

欢迎于2024年1月24日前通过上述文档各自的 GitHub 页面反馈对相关规范的意见与建议。

[注] W3C 候选推荐标准Candidate Recommendation 简称 CR)意味着对规范的技术设计基本完成,现开始进行广泛审阅并征集实现和测试(Call for Implementation)。

更多内容,参见消息原文

安全支付确认(SPC)成为 W3C 候选推荐标准

Screenshot of SPC transaction dialog in Chrome2023年6月15日,W3C Web 支付工作组发布安全支付确认(Secure Payment Confirmation)候选推荐标准,这是 Web 支付标准化的一项里程碑式进展,这项新的浏览器功能在简化用户身份验证流程的同时进一步提升 Web 支付的安全性。

安全支付确认(Secure Payment Confirmation 简称 SPC)使得商户、银行、支付服务提供商、卡片网络和其他机构能够减少客户身份强认证(SCA)的摩擦,并生成用户授权的加密证据,二者均是监管要求的重要方面,例如欧洲的支付服务指令(Payment Services Directive 简称 PSD2)。

W3C、FIDO 联盟和 EMVCo 合作开发可互操作的技术规范以提升线上支付安全性。安全支付确认(SPC)正是这项合作的成果:它建立在 Web 身份验证规范之上,并得到 EMV® 3-D Secure(2.3版)和 EMV® Secure Remote Commerce(1.3版)的支持。参阅 Web 支付安全兴趣组发布的文档《EMVCo、FIDO 联盟、W3C 相关技术的联系与作用》了解更多细节。

安全支付确认(SPC)成为 W3C 候选推荐标准意味着该特性已经稳定,并得到了广泛审查。在推进 SPC 成为正式推荐标准之前,W3C 将征集更多围绕该规范的实现。欢迎2023年8月1日前通过 GitHub 反馈对该规范文档的意见与建议。

更多内容,参见消息原文,以及 W3C 官方新闻稿(中文英文)。

首个公开工作草案:可验证凭证状态列表2021、使用 JWT 保护可验证凭证

2023年4月27日,W3C 可验证凭证工作组发布以下两份规范的首个公开工作草案:

可验证凭证状态列表2021Verifiable Credentials Status List v2021)描述了一种用于发布状态信息(如可验证凭证的中止或撤销)的保护隐私、节省空间且高性能的机制。

使用 JWT 保护可验证凭证Securing Verifiable Credentials using JSON Web Tokens)定义了如何将可验证凭证表示为 JSON Web Tokens(JWT)并使用 JSON Web Signatures(JWS)进行保护。

[注] 首个公开工作草案First Public Working Draft)为一份技术文档首个公开发布的版本,在此阶段需依据《W3C 专利政策》进行相关专利披露。

更多内容,参见消息原文

首个公开工作草案:EdDSA Cryptosuite v2022、ECDSA Cryptosuite v2019

2023年4月18日,W3C 可验证凭证工作组发布以下两份规范的首个公开工作草案:

* EdDSA Cryptosuite v2022 描述了一个数据完整性加密套件,用于使用扭曲爱德华兹曲线数字签名算法(EdDSA)和 Curve25519 (ed25519)创建或验证数字签名。

* ECDSA Cryptosuite v2019: 描述了一个数据完整性加密套件,用于在使用椭圆曲线数字签名算法(ECDSA)生成数字签名时使用,该算法基于使用可验证的随机椭圆曲线(secpr1)在素域上的高效密码学标准。

[注] 首个公开工作草案First Public Working Draft)为一份技术文档首个公开发布的版本,在此阶段需依据《W3C 专利政策》进行相关专利披露。

更多内容,参见消息原文

延期举办:W3C 将召开 Web 安全技术研讨会

padlocks attached to a fence, picture by Parsoa Khorsand

2023年5月4日消息:基于对已有材料的评估,项目委员会决定将研讨会暂时延期,目前正在重新评估会议时间及形式。

W3C 将于2023年6月7日-8日在英国伦敦召开 Web 安全技术研讨会。感谢 Microsoft Reactor 承办本次会议。

本次研讨会将汇集保护 Web 应用安全相关的标准与最佳实践方面的专家、开源领域安全供应链从业者、专注于安全的倡导者,以及具备采用和部署 Web 安全标准和实践经验的开发人员、设计人员和技术人员。研讨会的目标是形成一个全面的路线图,以解决 Web 开发人员在确保其应用程序安全方面所面临的挑战。研讨会议题涵盖:

* 如何将 “保护软件供应链安全” 引入 Web 开发社区?

* 如何为在不同堆栈层级工作的各类 Web 开发人员提供指导?

* 如何让新兴的 Web 应用安全标准和技术更容易为 Web 开发者所用?

* 以开源安全为重点的工作如何更好地支持 Web 开发者社区?

* 开源安全审查过程如何对 Web 规范的审阅给予启发?

研讨会免费面向公众开放,会议语言为英文。研讨会的项目委员会正在探讨如何提供远程参会支持,相关细节敬请关注会议页面。

若有意参加本次研讨会或希望在会上就某一主题发表演讲,请参阅参会申请及演讲提交说明。欢迎于4月24日前提交演讲陈述。

更多内容,参见消息原文

首个公开工作草案:JSON Web Signature 2020

2022年12月8日,W3C 可验证凭证工作组发布 JSON Web Signature 2020 规范的首个公开工作草案。该规范描述了2020年为可验证凭证数据完整性证明规范创建的 JSON Web 签名套件。签名套件利用分离的 JWS 签名为通过 IANA 注册的数字签名算法子集提供支持。

[注]首个公开工作草案First Public Working Draft)为一份技术文档首个公开发布的版本,在此阶段需依据《W3C 专利政策》进行相关专利披露。

更多内容,参见消息原文

首个公开工作草案:A Well-Known URL for Changing Passwords

2022年9月27日,W3C Web 应用安全工作组发布 A Well-Known URL for Changing Passwords 规范的首个公开工作草案。该规范定义了一个 well-known URL,站点可以用来让更改密码表单被工具所发现。这个简单的启示为软件提供了一种方法来帮助用户找到修改密码的方式。

[注] 首个公开工作草案First Public Working Draft)为一份技术文档首个公开发布的版本,在此阶段需依据《W3C 专利政策》进行相关专利披露。

更多内容 ,参见消息原文

首个公开工作草案:可信类型(Trusted Types)

2022年9月27日,W3C Web 应用安全工作组发布可信类型(Trusted Types)规范的首个公开工作草案。该规范定义了可信类型,允许应用程序锁定功能强大的 API,只接受不可欺骗的类型值代替字符串,以防止由于使用带有攻击者控制的输入的 API 而导致的漏洞。

[注] 首个公开工作草案First Public Working Draft)为一份技术文档首个公开发布的版本,在此阶段需依据《W3C 专利政策》进行相关专利披露。

更多内容,参见消息原文

W3C 提议修订可验证凭证数据模型推荐标准

2021年11月9日,W3C 可验证凭证工作组提议修订可验证凭证数据模型(Verifiable Credentials Data Model v1.1)推荐标准。凭证(credentials)是我们日常生活的重要部分:驾照用于证明我们能够驾驶机动车辆;学位证书表明我们的受教育程度;政府签发的护照则用于证明持有者的身份。这份规范提供了一种机制,以加密安全、尊重隐私和机器可验证的方式在 Web 上表现此类凭证。

欢迎公众于2022年1月18日前,通过 GitHub 反馈对本次修订的意见与建议。更多内容,参见消息原文

[注] 推荐标准(W3C Recommendation)是由 W3C 发布的正式规范,其建立在广泛共识的基础上并得到 W3C 及其会员的认可。W3C 推荐将此类规范作为 Web 标准而进行广泛部署。推荐标准遵循《W3C 免版税专利政策》免费开放给所有人使用。

[注] 可验证凭证工作组(Verifiable Credentials Working Group)旨在开发维护可验证凭证数据模型规范以及相关工作备忘。

 

W3C 发布安全支付确认(SPC)规范的首个公开工作草案

2021年8月31日,W3C Web 支付工作组发布安全支付确认(Secure Payment Confirmation,简称 SPC)规范的首个公开工作草案(First Public Working Draft)。SPC 有助于在支付过程中优化身份验证流程。利用 Web 身份验证规范,SPC 旨在扩展跨商家身份验证,在广泛的身份验证协议中使用,并生成用户已确认交易细节的加密证据。

更多内容,参见消息原文

W3C 发布分散式标识符(DIDs)1.0版提案推荐标准

2021年8月3日,W3C 分散式标识符工作组(Decentralized Identifier Working Group)发布分散式标识符:核心架构、数据模型和表示(Decentralized Identifiers (DIDs) v1.0)提案推荐标准(Proposed Recommendation)并征集会员及公众审阅意见(Call for Review)。

文档定义了分散式标识符(DIDs),一种用于可验证的去中心化数字身份的新型标识符。DID 标识的对象(例如:人、组织、事物、数据模型、抽象实体等)由 DID 控制者决定。与典型的联合标识符不同,DID 设计使其能够与集中式注册表、身份提供者和证书颁发机构分离开来。 DID 是将 DID 对象与 DID 文档关联起来的 URI,允许与该对象相关的可信任交互。 每个 DID 文档都可以表示加密材料、验证方法或服务端点,这些信息提供了一组机制,使 DID 控制者能够证明对 DID 的控制。

欢迎于2021年8月31日前反馈对文档的审阅意见与建议。更多内容,参见消息原文

W3C 发布 Web 身份验证 API 第二版规范的候选推荐标准

WebAuthn Logo2020年12月22日,W3C Web 身份验证工作组(Web Authentication Working Group)发布 Web 身份验证 API 第二版(Web Authentication: An API for accessing Public Key Credentials Level 2)规范的候选推荐标准(Candidate Recommendation)。该规范定义了一个 API,允许通过 Web 应用创建并使用强大的、经过认证的、作用域内的、基于公钥的凭证,从而对用户进行强身份认证。从概念上讲,每个作用于给定 WebAuthn 依赖方的一个或多个公钥凭证,由 Web 应用程序请求创建并绑定到身份验证器(authenticator)。用户代理(如浏览器等)调节对身份验证器及其公钥凭证的访问,以保护用户隐私。验证器有责任确保在未经用户许可的情况下不进行任何操作。验证器可以通过认证证书(attestation)向信任(依赖)方提供其属性的加密证明。该规范还描述了 WebAuthn 符合验证器的功能模型,包括其签名和认证证书功能。

欢迎公众于2021年1月19日前反馈对文档的意见与建议。更多内容,请参阅消息原文

站内搜索

万维网联盟(World Wide Web Consortium, W3C)是Web领域的国际标准化组织,致力开发开放Web标准确保Web的长期发展,实现“尽展Web无限潜能”的使命。

更多内容>>

近期活动

更多内容>>

W3Cx 开放课程

W3C技术标准

查看Web技术标准
- 所有标准
■ Web与产业融合 ■
- 汽车 | 数字出版 | Web与电信
- 娱乐与广播电视 | Web支付 | Web数据
- 物联万维网(WoT) | Web安全
■ Web For All ■
- Web无障碍 | 国际化 | 索引(A to Z)
■ 社区组与商务组 ■
- 所有社区组 | 新建社区组
■ 标准工作组 ■
- 所有标准小组 | 参与指南

更多内容>>

W3C标准翻译

欢迎您加入W3C翻译计划,了解W3C标准和文档翻译情况,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,惠及全球技术社区。

更多内容>>

贡献榜

我们通过贡献榜,感谢您积极参与W3C的标准制定及审阅工作、提供标准及技术文章的中文翻译、参与各类技术研讨会。

更多内容>>

W3C 中文开发者社区

W3C中国目前正在不断加大全球W3C工作的参与力度,并推动了一系列以了解中国行业需求、引导标准制定为主要目的的工作组(WG)、兴趣组(IG)和社区组(CG)。
Web中文兴趣组 | MiniApps工作组 | MiniApps生态社区组 | 弹幕特别任务组 | 中国信息无障碍社区组 | 中文数字出版社区组 | 数据可视化社区组 | 中文文字布局需求特别任务组

更多内容>>

会员链接

相关资源需要使用 W3C账号登录后使用

首页 | 加入工作组 | 申请W3C账号 | 最新会员消息

开发者资源

合作伙伴

  • 北京航空航天大学
  • 北航计算机学院
  • w3ctech