知財求人 - 知財ポータルサイト「IP Force」
▶ ケイフォーセキュリティ カンパニー リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024102796
(43)【公開日】2024-07-31
(54)【発明の名称】分散型識別子に基づく委任システム及び方法
(51)【国際特許分類】
G06F 21/41 20130101AFI20240724BHJP
G06F 21/62 20130101ALI20240724BHJP
H04L 9/32 20060101ALI20240724BHJP
【FI】
G06F21/41
G06F21/62 345
H04L9/32 200Z
【審査請求】有
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2023144579
(22)【出願日】2023-09-06
(31)【優先権主張番号】10-2023-0008074
(32)【優先日】2023-01-19
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2023-0064968
(32)【優先日】2023-05-19
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】523133797
【氏名又は名称】ケイフォーセキュリティ カンパニー リミテッド
(74)【代理人】
【識別番号】100130111
【弁理士】
【氏名又は名称】新保 斉
(72)【発明者】
【氏名】パク、ギョン チョル
(57)【要約】
【課題】自己主権型アイデンティティを保証するブロックチェーンに基づく分散型識別子技術を適用して法的なオブジェクトの行為を行うための委任が行える分散型識別子に基づく委任システム及び方法を提供すること。
【解決手段】代行者及び委任者の身元情報を確認し、委任についての委任型の検証可能クレデンシャルを発給する発給部と、分散型識別子のメタデータを照会して検証する行う検証部と、前記分散型識別子のメタデータを保存する保存部と、を備える分散型識別子に基づく委任システム。本発明の一実施形態によれば、法的なオブジェクトの特定の行為を分散型識別子に基づいて代行者に特定の期間の間に委任することができる。
【選択図】図3
【解決手段】代行者及び委任者の身元情報を確認し、委任についての委任型の検証可能クレデンシャルを発給する発給部と、分散型識別子のメタデータを照会して検証する行う検証部と、前記分散型識別子のメタデータを保存する保存部と、を備える分散型識別子に基づく委任システム。本発明の一実施形態によれば、法的なオブジェクトの特定の行為を分散型識別子に基づいて代行者に特定の期間の間に委任することができる。
【選択図】図3
【特許請求の範囲】
【請求項1】
分散型識別子に基づく委任システムであって、
代行者及び委任者の身元情報を確認し、委任についての委任型の検証可能クレデンシャルを発給する発給部と、
分散型識別子のメタデータを照会して検証する行う検証部と、
前記分散型識別子のメタデータを保存する保存部と、を備える
ことを特徴とする分散型識別子に基づく委任システム。
代行者及び委任者の身元情報を確認し、委任についての委任型の検証可能クレデンシャルを発給する発給部と、
分散型識別子のメタデータを照会して検証する行う検証部と、
前記分散型識別子のメタデータを保存する保存部と、を備える
ことを特徴とする分散型識別子に基づく委任システム。
【請求項2】
前記発給部は、
法的なオブジェクトの委任型の検証可能クレデンシャルを発給する
請求項1に記載の分散型識別子に基づく委任システム。
法的なオブジェクトの委任型の検証可能クレデンシャルを発給する
請求項1に記載の分散型識別子に基づく委任システム。
【請求項3】
前記検証部は、
委任行為を行うために代行者が提出する委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP)を検証する
請求項1に記載の分散型識別子に基づく委任システム。
委任行為を行うために代行者が提出する委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP)を検証する
請求項1に記載の分散型識別子に基づく委任システム。
【請求項4】
前記委任型の検証可能クレデンシャルは、
発給期間、満了期間、代行者と委任者の分散型識別子、委任期間の開始と終了を示す時間情報、委任分野及び委任行為のうちのいずれか1つ以上を含む
請求項1に記載の分散型識別子に基づく委任システム。
発給期間、満了期間、代行者と委任者の分散型識別子、委任期間の開始と終了を示す時間情報、委任分野及び委任行為のうちのいずれか1つ以上を含む
請求項1に記載の分散型識別子に基づく委任システム。
【請求項5】
前記委任型の検証可能クレデンシャルは、
前記委任者が共同名義である場合に1つ以上の代行者情報を含む
請求項1に記載の分散型識別子に基づく委任システム。
前記委任者が共同名義である場合に1つ以上の代行者情報を含む
請求項1に記載の分散型識別子に基づく委任システム。
【請求項6】
分散型識別子に基づく委任システムが行う委任方法において、
代行者から委任の申請を受けるステップと、
委任型の検証可能クレデンシャルを発給するステップと、
委任行為を行うための検証のリクエストを受けるステップと、
前記委任行為が許可されたものであることを検証するステップと、
代行者に委任行為を行わせるステップと、を含む
ことを特徴とする分散型識別子に基づく委任方法。
代行者から委任の申請を受けるステップと、
委任型の検証可能クレデンシャルを発給するステップと、
委任行為を行うための検証のリクエストを受けるステップと、
前記委任行為が許可されたものであることを検証するステップと、
代行者に委任行為を行わせるステップと、を含む
ことを特徴とする分散型識別子に基づく委任方法。
【請求項7】
前記代行者から委任の申請を受けるステップにおいては、
代行者の検証可能プレゼンテーションと委任者の分散型識別子を用いる
請求項6に記載の分散型識別子に基づく委任方法。
代行者の検証可能プレゼンテーションと委任者の分散型識別子を用いる
請求項6に記載の分散型識別子に基づく委任方法。
【請求項8】
前記代行者から委任の申請を受けるステップにおいては、
法的なオブジェクトに対する委任を申請する
請求項6に記載の分散型識別子に基づく委任方法。
法的なオブジェクトに対する委任を申請する
請求項6に記載の分散型識別子に基づく委任方法。
【請求項9】
前記委任型の検証可能クレデンシャルは、
前記委任者が共同名義である場合に1つ以上の代行者情報を含む
請求項6に記載の分散型識別子に基づく委任方法。
前記委任者が共同名義である場合に1つ以上の代行者情報を含む
請求項6に記載の分散型識別子に基づく委任方法。
【請求項10】
前記委任型の検証可能クレデンシャルは、
発給期間、満了期間、代行者と委任者の分散型識別子、委任期間の開始と終了を示す時間情報、委任分野及び委任行為のうちのいずれか1つ以上を含む
請求項6に記載の分散型識別子に基づく委任方法。
発給期間、満了期間、代行者と委任者の分散型識別子、委任期間の開始と終了を示す時間情報、委任分野及び委任行為のうちのいずれか1つ以上を含む
請求項6に記載の分散型識別子に基づく委任方法。
【請求項11】
請求項6に記載の分散型識別子に基づく委任方法を実行するコンピューターにて読み取り可能な記録媒体に記録された
ことを特徴とするコンピュータープログラム。
ことを特徴とするコンピュータープログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ブロックチェーンに基づく委任システムに関し、より詳細には、自己主権型アイデンティティを保証するブロックチェーンに基づく分散型識別子技術を適用して法的なオブジェクトの行為を行うための委任が行える分散型識別子に基づく委任システム及び方法に関する。
【背景技術】
【0002】
インターネット上において本人を証明可能な手段として、識別子(ID)、韓国の住民登録番号(日本のマイナンバーに相当)、電子メール、住所や居所、共同認証書などのデジタル識別子(Digital Identifier、デジタルIDとも呼ばれる。)が活用されている。しかしながら、これらは、インターネット技術の向上に伴い、一連の利便性、効率性の増大とともに、安全性のための保管及び管理技術の重要性もまた日を重ねるにつれて益々取り上げられており、したがって、デジタルIDの管理に関する技術もまた進化及び変化が進んでいる。初期に数多くのサイトが生じることにつれて、サイトごとにユーザーの登録手続きを要求するという点で繰り返し登録しなければならないという不便さとともに、複数のサイトのアカウント情報を管理するという側面からみて利便性についての問題が導き出された。これを解決するために、複数のサイトにおいて1度のユーザー認証(ログイン)で複数のサイトにログインして利用可能になる仕組みであるシングルサインオン(SSO:Single Sign-On)のための中央集権型(Centralized)モデルが提案されている。また、中央集権型モデルは、すべてのユーザー情報が中央集中的に管理されるという点でIDの活用などに対する拡張性が足りないという欠点があるため、これを補うための統合(Federated)モデルに発展したりもした。しかし、両モデルの場合、両方ともユーザーの観点からみて、簡便な登録手続きと認証手続きを行うことができるものの、個人情報の観点からのセキュリティ及び統制権は保証されないというはっきりとした限界が存在する。すなわち、デジタルIDに対する安全性の限界を抱えているのである。このような限界によって、ユーザーは、サービスとは無関係な個人情報まで提供しなければならず、これは直ちに数多くの個人情報の流出を招いてしまう。2016年に当該問題点の改善のために個人情報の主体であるユーザーに自ら制御権限を持たせる自己主権型アイデンティティ(SSI:Self-Sovereign Identity)モデルがアレン・クリストファーによって最初に提案された。これに基づいて、現在には、ブロックチェーン(Blockchain)などのような分散型台帳技術(DLT:Distributed Ledger Technology)を活用した分散型識別子(DID:Decentralized Identity)に関する研究が盛んに行われている。中でも、ブロックチェーンに基づく分散型識別子(DID:Decentralized Identifier)技術は、分散型アイデンティティファウンデーション(DIF:Decentralized Identity Foundation)の主導下で設計及び研究されており、当該技術は、最近、2022年7月10日にワールドワイドウェブコンソーシアム(W3C:World Wide Web Consortium)によってウェブ標準として承認されるに至った。
【0003】
一方、デジタル認証技術のうち、代表的に用いられていた公認認証書は、2020年12月に電子署名法の改正によって関連義務事項が削除され、これにより、現在には、「共同認証書」という名称に変更されて用いられている。しかしながら、このような義務事項の廃止とは異なり、これまでは現実的に一部のサービスにおいてこれに強力に取って代わるような方法がないため、共同認証書に基づいて、国税庁の税金照会、インターネット銀行業務など数多くの分野において依然として活用されている。共同認証書は、公開鍵基盤(PKI:Public Key Infrastructure、公開鍵インフラストラクチャーとも呼ばれる。)を有し、検証に求められる公開鍵に所有者の情報を追加して作成した一種のデジタル身分証に相当する。
【0004】
しかしながら、共同認証書システムは、構造的な側面からみて、鍵を安全に配布してくれる役割を果たす信頼できる第三者機関(TTP:Trust-Third Party)を前提とする中央集中型のモデルであるため、これに関する効率性及びセキュリティ性に対するはっきりとした限界点が存在する。また、実際の環境下で頻繁に用いられるデジタルアイデンティティに基づく委任を行うとき、もし、法人認証書の代理を受ける法人の代表者が特定の行為を行使するときに代表者に対する認証を実際に行わないという点とともに、認証書内に代行者である代表者の情報が存在しないため、代行者に対する正確な確認が不可能である。これは、実際に法人認証書を提出する提出者が本物の代行者であることを確認することができないという点で虚点を示す。すなわち、悪意的な第三者が社会工学などの攻撃を行うことで共同認証書ファイルと有効な暗号を知り得ることになって使用しても、本物の代行者であるかを確認する方法がないということを示す。この点で、代行者に対する正確な確認を行うことが不可能であるという非常に大きな問題が存在する。したがって、根本的な中央集中型モデル及び実際の共同認証書の活用における問題を補うためには、自己主権型アイデンティティが実現可能なブロックチェーンに基づく分散型識別子(DID)技術が必須であり、以上において述べた共同認証書の問題を解決できる相互間の明確な検証を行うことが可能な分散型識別子(DID)に基づく新たな委任モデルの設計が必要である。
【0005】
また、現在のところ、分散型識別子(DID)の標準モデルであるW3C DID Core v1.0仕様によれば、分散型識別子(DID:Decentralized Identifier)の発給対象に対する制約が存在しない。しかしながら、分散型識別子を所有している所有者(Holder)が検証可能プレゼンテーション(VP:Verifiable Presentation)を提出するとき、所有者に関する署名行為が求められ、これは、自動アルゴリズムを通じた署名行為ではなければ、分散型識別子の発給対象(所有オブジェクト)は必ず人間ではなければならない。このような制約環境下では、法人のように人間ではないオブジェクトに対して現在の分散型識別子(DID)モデルを適用することには多少なりとも向いておらず、これは、法人、財団などのような一連のオブジェクトに対する分散型識別子(DID)に基づく委任技術が必ず必要である。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、法人、財団、学校、韓国の部処庁(日本の省庁に相当)のような法的なオブジェクトの行為が必要であるとき、特定の期間の間に特定の行為に対する権限を委任して、委任を受けた代行者が法的なオブジェクトを代わりに行えるようにする分散型識別子に基づく委任システム及び方法を提供する。
【0007】
本発明が解決しようとする技術的課題は、上述した技術的課題に何ら制限されるものではなく、言及されていない他の技術的課題は、下記の記載から本発明が属する技術分野における通常の知識を有する者にとって明らかに理解できる。
【課題を解決するための手段】
【0008】
本発明の一側面によれば、分散型識別子に基づく委任システムを提供する。
【0009】
本発明の一実施形態に係る分散型識別子に基づく委任システムは、代行者及び委任者の身元情報を確認し、委任についての委任型の検証可能クレデンシャルを発給する発給部と、分散型識別子のメタデータを照会して検証する行う検証部と、前記分散型識別子のメタデータを保存する保存部と、を備えていてもよい。
【0010】
本発明の他の側面によれば、分散型識別子に基づく委任方法及びこれを実行するコンピュータープログラムを提供する。
【0011】
本発明の一実施形態に係る分散型識別子に基づく委任方法は、代行者から委任の申請を受けるステップと、委任型の検証可能クレデンシャルを発給するステップと、委任行為を行うための検証のリクエストを受けるステップと、前記委任行為が許可されたものであることを検証するステップと、代行者に委任行為を行わせるステップと、を含んでいてもよい。
【発明の効果】
【0012】
本発明の一実施形態によれば、法的なオブジェクトの特定の行為を分散型識別子に基づいて代行者に特定の期間の間に委任することができる。
【0013】
本発明の一実施形態によれば、自己主権型アイデンティティを保証するブロックチェーンに基づく分散型識別子技術を適用して、委任を受けた代行者に対する細部的な検証を行うことができる。
【0014】
また、本発明の一実施形態によれば、多重署名に対するバッチ検証を適用して、法的なオブジェクトの委任のように複数の参与者が存在する場合に対する署名の検証を既存のモデルに比べて効率よく行うことができる。
【0015】
本発明の一実施形態によれば、署名時点及び署名検証時点が異なる多数の参与者の署名を1つの署名として安全に暗号化して多数の参与者の署名が含まれている法的なオブジェクトの署名の検証をリアルタイムにて行うことが可能である。
【0016】
本発明の効果は、上記の効果に何ら限定されるものではなく、本発明の詳細な説明の欄または特許請求の範囲に記載の発明の構成から推論可能なあらゆる効果を含む。
【図面の簡単な説明】
【0017】
【図1】W3C DID v1.0標準モデルを説明するための図である。
【図2】本発明の一実施形態に係る分散型識別子に基づく委任システムを説明するための図である。
【図3】本発明の一実施形態に係る分散型識別子に基づく委任システムを説明するための図である。
【図4】本発明の一実施形態に係る分散型識別子に基づく委任方法を図式化した図である。
【図5】本発明の一実施形態に係る分散型識別子に基づく委任方法の例示図である。
【図6】本発明の一実施形態に係る分散型識別子に基づく委任方法の例示図である。
【図7】本発明の一実施形態に係る分散型識別子に基づく委任方法の例示図である。
【図8】本発明の一実施形態に係る分散型識別子に基づく委任システムのシナリオの例示である。
【図9】本発明の一実施形態に係る分散型識別子に基づく委任システムのシナリオの例示である。
【図10】本発明の一実施形態に係る分散型識別子に基づく委任システムのシナリオの例示である。
【発明を実施するための形態】
【0018】
本発明は、様々な変更を加えることができ、種々の実施形態を有することができるので、特定の実施形態を図面に例示し、発明の詳細な説明の欄において詳しく説明する。しかし、これは、本発明を特定の実施形態に対して限定しようとするものではなく、本発明の思想及び技術範囲に含まれるあらゆる変更、均等物ないし代替物を含む。本発明について説明するに当たって、本発明と関わる公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると認められる場合にはその詳細な説明を省略する。なお、この明細書及び特許請求の範囲において用いられる単数の表現は、文脈からみて明らかに他の意味を有さない限り、一般的に「1つ以上」を意味する。
【0019】
以下、添付図面に基づいて、本発明の好適な実施形態について詳しく説明する。添付図面に基づいて説明するに当たって、同一のまたは対応する構成要素には、同一の図面符号を付し、これについての重複する説明は省略する。
【0020】
図1は、W3C DID v1.0標準モデルを説明するための図である。
【0021】
図1を参照すると、W3C DID v1.0において定義した分散型識別子(DID)標準モデルは、分散型識別子(DID)と検証可能クレデンシャル(VC:Verifiable Credential、検証可能資格情報とも呼ばれる。)を発給する発給者(Issuer)と、本人の身元を保証可能な発給者から分散型識別子(DID)と検証可能クレデンシャル(VC)の発給を受ける対象者であるとともに、所有する対象である所有者(Holder)と、提出した検証可能クレデンシャル(VC)を検証してサービスの提供有無を判断する検証者(Verifier)と、から構成される。このとき、発給された分散型識別子に関するメタデータ(Metadata)は、検証可能データレジストリ(Verifiable Data Registry)に保存され、検証のために照会される。
【0022】
現在のところ、W3C DID core v1.0仕様によれば、分散型識別子(DID)の発給対象に対しては制限がない。しかし、所有者がクレデンシャルを選択して検証可能プレゼンテーション(VP:Verifiable Presentation)を提出するとき、自分のプレゼンテーションであることを証明するために署名行為が求められる。自動アルゴリズムを用いた署名行為ではなければ、必ず分散型識別子(DID)の発給対象は人間ではなければならない。このような制約環境下で、法律によって権利能力が認められる団体を意味する法人のように人格を与えたオブジェクトに対しては署名行為のように特定の行為を代わりに行う代行者が必要である。
【0023】
【0024】
図2を参照すると、分散型識別子に基づく委任システム10は、法的なオブジェクトによる行為が必要であるとき、特定の行為を委任を受けた代行者(Deputy)が行うことができる。
【0025】
分散型識別子に基づく委任システム10は、特定の期間の間に法的なオブジェクトの一部の行為に対する権限を委任して、代行者(Deputy)が法的なオブジェクトの代わりに行為を行うことができるようにする。このとき、法的なオブジェクトは、法人、財団、学校、韓国の部処庁(日本の省庁に相当)、団体などを含み得る。
【0026】
代行者(Deputy)は、委任を受ける対象であって、委任者に許可された委任行為を行うためには委任の証明が必要である。
【0027】
委任者(Delegator)は、委任をする対象であって、代行者(Deputy)に委任者の分散型識別子のような委任情報を予め共有する。
【0028】
委任者(Delegator)は、委任型の検証可能クレデンシャル(Delegated VC)に基づく法人識別子(以下、法人IDと称する。)の発給を受ける法的なオブジェクトを代表する。委任者(Delegator)は、法的なオブジェクトの性格に応じて、1名以上であってもよい。
【0029】
代行者(Deputy)は、法人IDの生成のための委任型の検証可能クレデンシャル(Delegated VC)の発給を受けて委任の証明に利用し、委任行為を行うために委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)に対する検証をリクエストする。
【0030】
分散型識別子に基づく委任システム10は、代行者に委任の証明のための法人ID生成用の委任型の検証可能クレデンシャル(Delegated VC)を発給し、委任行為が生じたときに代行者が提出した委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証してサービスの提供有無を判断する。
【0031】
分散型識別子に基づく委任システム10は、代行者の検証可能プレゼンテーション(VP)を検証し、委任者の分散型識別子(DID)を確認した後、委任型の検証可能クレデンシャル(Delegated VC)を発給する。
【0032】
代行者(Deputy)は、委任行為を行うためには発給を受けた委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を生成して委任に対する証明の検証を受けなければならない。
【0033】
分散型識別子に基づく委任システム10は、分散型識別子リゾルバー(DID Resolver)を用いて、検証可能データレジストリ(Verifiable Data Registry)に保存された分散型識別子情報を照会して検証する。
【0034】
図3を参照すると、分散型識別子に基づく委任システム10は、委任者20、代行者30、発給部100、検証部200、分散型識別子リゾルバー300及び保存部400を備えていてもよい。
【0035】
発給部100は、既存の分散型識別子標準モデルにおける発給者(Issuer)の役割を含み、代行者と委任者の情報を検証し、委任についての委任型の検証可能クレデンシャル(Delegated VC)を発給する。
【0036】
発給部100は、委任の対象から除外されることができ、委任型の検証可能クレデンシャル(Delegated VC)の発給前の前提条件は、委任者20と代行者30は両方とも鍵対(鍵ペア)、分散型識別子及び分散型識別子ドキュメント(DID Document)が発給された状態ではなければならない。また、法人は、法人IDを生成するために内部委員会などを通して予め代行者を指定した状態ではなければならない。このような前提条件を満たすという仮定下で、分散型識別子に基づく委任システム10においては、委任型の検証可能クレデンシャル(Delegated VC)の発給、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の発給及び検証が行われる。
【0037】
発給部100は、委任型の検証可能クレデンシャル(Delegated VC)の発給のリクエストを受けると、代行者30に検証可能プレゼンテーション(VP)の提出をリクエストし、提出が完了すれば、検証部200に検証をリクエストする。代行者30の検証可能プレゼンテーション(VP)は、委任者20との法的関係に関する事項が含まれている検証可能クレデンシャル(VC)を含んでいる。
【0038】
また、発給部100は、委任者20の確認のために委任者分散型識別子(DID)の有効性の検証を検証部200にリクエストする。
【0039】
発給部100は、すべての検証が完了すれば、委任型の検証可能クレデンシャル(Delegated VC)を発給することができる。
【0040】
発給部100は、発給日付、満了日付、代行者と委任者の分散型識別子、委任に関する細部情報(分野、許可された委任行為など)を含む委任型の検証可能クレデンシャル(Delegated VC)を発給する。発給部100は、発給者、委任者及び代行者の署名値を委任型の検証可能クレデンシャル(Delegated VC)に含めて委任者と代行者の同意下で発給されたということを証明することができる。共同名義または多数の代行者が存在する場合、発給部100は、すべての参与者の署名値を委任型の検証可能クレデンシャル(Delegated VC)に含めて発給することができる。
【0041】
発給部100は、委任を受ける代行者30の委任の証明のために委任型の検証可能クレデンシャル(Delegated VC)を発給しかつ管理することができる。このとき、発給部100は、委任型の検証可能クレデンシャル(Delegated VC)の内部に含まれるべき代行者30の情報に関して暗号学的に匿名性を保証できるように隠匿したままで生成する。例えば、発給部100は、委任型の検証可能クレデンシャル(Delegated VC)に対する有効期間を設定して、特定の期間の間にのみ使用できるように委任の開始と終了に対する委任期限を明示することができる。また、発給部100は、委任型の検証可能クレデンシャル(Delegated VC)に対する証明を行うことで、証明値に対する有効性、全体の委任参与者に対する認証、否認の防止、データ改ざんが確認可能な委任型の検証可能クレデンシャル(Delegated VC)を発給する。
【0042】
代行者30は、委任行為を行うために委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を提出するとき、委任型の検証可能クレデンシャル(Delegated VC)の情報を選択することができる。また、代行者30は、委任型の検証可能クレデンシャル(Delegated VC)の証明を行うことで、証明値に対する有効性、代行者に対する認証、否認の防止、データ改ざんが確認可能なように委任型の検証可能クレデンシャル(Delegated VC)付きの検証可能プレゼンテーション(VP)を生成する。
【0043】
代行者30は、委任型の検証可能クレデンシャル(Delegated VC)の発給のために代行者の検証可能プレゼンテーション(VP)を提出し、委任行為のためのサービスの利用のためには委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証部200に提出しなければならない。
【0044】
検証部200は、代行者の検証可能プレゼンテーション(VP)に基づいて、委任者20と代行者30の法的関係を確認する。検証部200は、検証が完了すれば、発給部100に結果を通報する。発給部100は、委任者20と代行者30の法的関係の証憑が行われれば、委任型の検証可能クレデンシャル(Delegated VC)を発給することができる。
【0045】
また、検証部200は、委任者20との法的関係に関する事項が含まれている委任型の検証可能クレデンシャル(Delegated VC)を用いて、委任者20と代行者30の委任期間、許可された委任行為などを確認しかつ証憑する。検証部200は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)内に委任者20と法的関係に関する事項が含まれている委任型の検証可能クレデンシャル(Delegated VC)を用いて、委任者20と代行者30の委任に関わる法的関係を確認しかつ証憑する。
【0046】
検証部200は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の規格または形式を確認して委任型の検証可能クレデンシャル(Delegated VC)を含んでいるか否かを判断する。
【0047】
検証部200は、代行者30と委任者20に対する分散型識別子(DID)を検証する。検証部200は、委任者20及び代行者30の分散型識別子(DID)の有効性を確認する。検証部200は、分散型識別子リゾルバー300を通じて、1つ以上のブロックチェーンが紐付けられた保存部400に保存された分散型識別子ドキュメント(DID Document)を照会しかつ検証する。
【0048】
検証部200は、検証可能プレゼンテーション(VP)の証明(Proof)の有効性を確認する。詳しく説明すると、検証部200は、当該検証可能プレゼンテーションの検証のために、分散型識別子リゾルバー300を通じて保存部400に保存された提出者(代行者)の分散型識別子ドキュメント(DID Document)を照会する。検証部200は、照会された分散型識別子ドキュメント(DID Document)内に含まれている公開鍵を用いて当該検証可能プレゼンテーション(VP)の検証を行い、有効性を判断する。
【0049】
検証可能プレゼンテーション(VP)が有効である場合、検証部200は、検証可能プレゼンテーション(VP)に含まれている検証可能クレデンシャル(VC)を検証する。検証部200は、検証可能プレゼンテーション(VP)に含まれている検証可能クレデンシャル(VC)の満了有無を確認する。例えば、検証部200は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)に含まれている委任型の検証可能クレデンシャル(Delegated VC)を検証し、満了有無を確認することができる。
【0050】
検証部200は、全体の委任参与者(委任者及び代行者)に対する署名値の有効性を確認する。このとき、検証部200は、同一のメッセージに対する多重署名値を効率よく検証するバッチ検証を適用することができる。詳しく説明すると、検証部200は、バッチ検証を行うことで、全体の委任参与者のN名に対して行われなければならないN回の署名値の検証をたった一回の検証を行うことで効率よく行うことができる。
【0051】
検証部200は、委任についての証明を行うために委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を転送されて、分散型識別子リゾルバー300を通じて保存部400から当該分散型識別子(DID)のメタデータを照会して検証を行うことができる。これにより、分散型識別子に基づく委任システム10は、サービスの提供有無を判断することができる。
【0052】
分散型識別子リゾルバー300は、1つ以上の分散型識別子リゾルバー(DID Resolver)を多階層に管理してブロックチェーンへのアクセス情報を管理することができる。分散型識別子リゾルバー300は、1つ以上のブロックチェーンまたは異種ブロックチェーンにアクセスすることができる。
【0053】
保存部400は、分散型識別子(DID)に関するメタデータを保存する検証可能データレジストリ(Verifiable Data Registry)である。例えば、保存部4300は、自己主権型アイデンティティが証明可能な分散型識別子の環境のために分散台帳を保存するブロックチェーンを利用することができる。保存部400は、分散型識別子リゾルバー300を用いて、1つ以上または異種のブロックチェーンの環境をサポートする。
【0054】
図4は、本発明の一実施形態に係る分散型識別子に基づく委任方法を図式化した図である。以下において説明する各過程は、分散型識別子に基づく委任システムを構成する各機能部が行う過程であるが、本発明の簡潔かつ明確な説明のために各ステップの主体を分散型識別子に基づく委任システムと通称する。
【0055】
図4を参照すると、分散型識別子に基づく委任システム10は、ステップS410において、代行者30と委任者20の情報を含めて委任の申請のリクエストを受ける。例えば、分散型識別子に基づく委任システム10は、代行者の検証可能プレゼンテーション(Deputy’s VP)と委任者の分散型識別子(Delegator’s DID)を一緒に提出することができる。
【0056】
ステップS420において、分散型識別子に基づく委任システム10は、委任型の検証可能クレデンシャル(Delegated VC)を発給する。例えば、分散型識別子に基づく委任システム10は、代行者の検証可能プレゼンテーション(Deputy’s VP)と委任者の分散型識別子(Delegator’s DID)の有効性を検証した後、委任型の検証可能クレデンシャル(Delegated VC)を発給する。分散型識別子に基づく委任システム10は、分散型識別子リゾルバー300を通じて保存部400に保存された代行者または委任者の分散型識別子ドキュメント(DIDDOCU)を照会し、かつ有効性の検証に利用する。
【0057】
ステップS430において、分散型識別子に基づく委任システム10は、代行者30の委任行為を行うための検証のリクエストを受ける。
【0058】
ステップS440において、分散型識別子に基づく委任システム10は、代行者の署名値にて検証可能な委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を生成する。例えば、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)は、委任者20と代行者30の法的関係に関する事項が含まれている委任型の検証可能クレデンシャル(Delegated VC)を用いて、委任者20と代行者30の委任期間、許可された委任行為などを含んでいる。
【0059】
ステップS450において、分散型識別子に基づく委任システム10は、リクエストを受けた委任行為が許可されたものであることを検証する。例えば、分散型識別子に基づく委任システム10は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)内に委任者20と法的関係に関する事項が含まれている委任型の検証可能クレデンシャル(Delegated VC)を用いて委任者20と代行者30の委任に関わる法的関係を確認しかつ証憑する。分散型識別子に基づく委任システム10は、代行者、委任者及び発給者(Issuer)の分散型識別子ドキュメント(DIDDOCU)を用いてすべての委任参与者の有効性を検証することができる。
【0060】
ステップS460において、分散型識別子に基づく委任システム10は、すべての検証が完了すれば、代行者30に委任行為に行わせる。
【0061】
【0062】
図5の例示は、分散型識別子に基づく委任システム10が委任型の検証可能クレデンシャル(Delegated VC)を発給するプロセスの詳細である。
【0063】
図5を参照すると、分散型識別子に基づく委任システム10は、委任型の検証可能クレデンシャル(Delegated VC)を発給することができる。詳しく説明すると、発給部200は、代行者30のリクエストに応じて、委任型の検証可能クレデンシャル(Delegated VC)の発給を受けることができる。
【0064】
ステップS4200において、代行者30は、発給部100に委任型の検証可能クレデンシャルの発給をリクエストする。このとき、代行者30は、委任をした委任者及び委任を受けた代行者を確認可能な情報を提出しなければならない。例えば、代行者の本人の確認のための代行者の検証可能プレゼンテーション(Deputy’s VP)と委任者の分散型識別子(Delegator’s DID)を提出しなければならない。このとき、提出した代行者の検証可能プレゼンテーション(Deputy’s VP)は、法的要件に相当する個人情報と委任者との法的関係を証明可能な個人情報を含む。
【0065】
ステップS4210において、発給部100は、転送された代行者の検証可能プレゼンテーション(Deputy’s VP)に対して検証部200の検証をリクエストして代行者30を確認する。
【0066】
詳しく説明すると、ステップS4211において、検証部200は、代行者の検証可能プレゼンテーション(Deputy’s VP)の検証のために、分散型識別子リゾルバー300を通じて代行者の分散型識別子(Deputy’s DID)を解析する。
【0067】
ステップS4212からステップS4214において、検証部200は、保存部400に保存された提出者(代行者)の分散型識別子ドキュメント(Deputy’s DIDDOCU)を照会する。
【0068】
ステップS4216において、検証部200は、照会された代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)内に含まれている公開鍵を用いて代行者の検証可能プレゼンテーション(Deputy’s VP)の検証を行って有効性を判断する。
【0069】
ステップS4217において、検証部200は、検証結果を発給者100に転送する。
【0070】
ステップS4220において、発給部100は、委任者の分散型識別子(Delegator’s DID)を用いて有効性の検証を行う。
【0071】
ステップS4221において、発給部100は、委任者の分散型識別子(Delegator’s DID)を分散型識別子リゾルバー300を通じて解析する。
【0072】
ステップS4222からステップS4224において、検証部200は、保存部400に保存された委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)を照会する。
【0073】
ステップS4226において、検証部200は、委任者の分散型識別子(Delegator’s DID)を用いて有効性を判断する。
【0074】
検証結果が有効であれば、ステップS4230において、発給部100は、プレゼンテーションの内部情報と委任情報に基づいて、委任型の検証可能クレデンシャル(Delegated VC)を発給することができる。例えば、委任型の検証可能クレデンシャル(Delegated VC)は、発給期間、満了期間のみならず、代行者と委任者の分散型識別子、委任期間の開始と終了を示す時間情報、委任に関する細部情報(分野、委任行為など)を含んでいてもよい。委任に関する細部情報は、通常の委任状の法的要件に合う情報から構成される。そして、既存の分散型識別子モデルと同様に、検証可能クレデンシャル(VC)の発給権限は発給者にあり、委任型の検証可能クレデンシャル(Delegated VC)には、その発給を、委任をした委任者と委任を受けた代行者が一緒に行ったということが重要な証明要素としていずれも含まれている。したがって、分散型識別子に基づく委任システム10は、委任型の検証可能クレデンシャル(Delegated VC)の証明のために発給者、委任者、代行者の署名値を含んでいてもよい。さらに、分散型識別子に基づく委任システム10は、共同名義または多数の委任者が存在する場合のために、委任に関与した全体の参与者の数とそれに相当する署名値から構成することができる。
【0075】
分散型識別子に基づく委任システム10における委任型の検証可能クレデンシャルの発給の場合、発給者は、検証可能クレデンシャルの内部に含まれるべき代行者の情報に関して暗号学的に匿名性を保証できるように隠匿したままで生成することができる。そして、分散型識別子に基づく委任システム10は、検証可能クレデンシャル(VC)に対する有効期間を設定して、特定の期間の間にのみ使用できるように委任の開始と終了に対する委任期限を明示することができる。のみならず、分散型識別子に基づく委任システム10は、委任型の検証可能クレデンシャル(Delegated VC)に対する証明を行うことで、証明値に対する有効性、全体の委任参与者に対する認証、否認の防止、データ改ざんを確認することができる。
【0076】
ステップS4240において、発給部100は、発給した委任型の検証可能クレデンシャル(Delegated VC)を代行者30に転送する。
【0077】
図6の例示は、分散型識別子に基づく委任システム10が委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を発給するプロセスの詳細である。
【0078】
図6を参照すると、ステップS4400において、代行者30は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の発給を受ける。
【0079】
詳しく説明すると、ステップS4410において、代行者30は、発給を受けた委任型の検証可能クレデンシャル(Delegated VC)を含めて1つ以上の委任型の検証可能クレデンシャル(Delegated VC)を選択する。
【0080】
ステップS4420において、代行者30は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の証明(proof)に代行者30の署名を使用する。プレゼンテーションの発給権限は、提出者(代行者)にあるため、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の証明は代行者30の署名値から構成される。
【0081】
分散型識別子に基づく委任システム10において委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を発給する場合、代行者30は、選択的に情報を隠すことができる。分散型識別子に基づく委任システム10は、委任型の検証可能クレデンシャル(Delegated VC)に対する証明と同様に、当該委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の証明を行うことで、証明値に対する有効性、代行者30に対する認証、否認の防止、データ改ざんを確認することができる。
【0082】
分散型識別子に基づく委任システム10において委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証する場合、検証部200は、代行者の情報に対していかなる個人情報も取得しないままで、有効性の検証を行うことができる。
【0083】
図7の例示は、分散型識別子に基づく委任システム10が委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証するプロセスの詳細である。
【0084】
検証部200は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の規格を確認して、委任型の検証可能クレデンシャル(Delegated VC)を含んでいるか否かを判断する。
【0085】
そして、検証部200は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証するために、分散型識別子リゾルバー300を通じて提出者(代行者)の分散型識別子ドキュメント(Deputy’s DIDDOCU)を照会する。
【0086】
分散型識別子に基づく委任システム10は、照会された代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)内に含まれている公開鍵を用いて、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)検証を行い、有効性を判断することができる。
【0087】
図7を参照すると、分散型識別子に基づく委任システム10は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証することができる。
【0088】
ステップS4510において、代行者30は、委任の証明のために委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証部200に提出する。
【0089】
検証部200は、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)に対してきめ細かい検証を行う。詳しく説明すると、検証部200は、代行者、委任者及び発給者(Issuer)の分散型識別子(DID)を確認し、分散型識別子ドキュメント(DIDDOCU)を用いてすべての委任参与者の有効性及び委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の有効性を検証する。
【0090】
まず、ステップS4511において、検証部200は、代行者の分散型識別子(Deputy’s DID)を分散型識別子リゾルバー300を通じて解析する。
【0091】
ステップS4512において、分散型識別子リゾルバー300は、保存部400に保存された提出者(代行者)の分散型識別子ドキュメント(Deputy’s DIDDOCU)をリクエストする。
【0092】
ステップS4513において、保存部400は、提出者(代行者)の分散型識別子ドキュメント(Deputy’s DIDDOCU)を検索して照会する。
【0093】
ステップS4514及びステップS4515において、検証部200は、分散型識別子リゾルバー300を通じて代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)を照会する。
【0094】
ステップS4516において、検証部200は、代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)の公開鍵を用いて、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証する。
【0095】
有効ではない場合、代行者30の委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)ではないか、あるいは、改ざんが行われていることを意味する。
【0096】
ステップS4521において、検証部200は、委任者の分散型識別子(Delegator’s DID)を分散型識別子リゾルバー300を通じて解析する。
【0097】
ステップS4522において、分散型識別子リゾルバー300は、保存部400に保存された委任者の分散型識別子(Delegator’s DID)をリクエストする。
【0098】
ステップS4523において、保存部400は、委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)を検索して照会する。
【0099】
ステップS4524及びステップS4525において、検証部200は、分散型識別子リゾルバー300を通じて委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)を照会する。
【0100】
ステップS4526において、検証部200は、委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)の公開鍵を用いて、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の有効性を検査する。
【0101】
ステップS4531において、検証部200は、発給者の分散型識別子(Issuer’s DID)を分散型識別子リゾルバー300を通じて解析する。
【0102】
ステップS4532において、分散型識別子リゾルバー300は、保存部400に保存された発給者の分散型識別子(Issuer’s DID)をリクエストする。
【0103】
ステップS4533において、保存部400は、発給者の分散型識別子ドキュメント(Issuer’s DIDDOCU)を検索して照会する。
【0104】
ステップS4534及びステップS4525において、検証部200は、分散型識別子リゾルバー300を通じて発給者の分散型識別子ドキュメント(Issuer’s DIDDOCU)を照会する。
【0105】
ステップS4536において、検証部200は、発給者(Issuer)の分散型識別子ドキュメント(Issuer’s DIDDOCU)の公開鍵を用いて、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の有効性を検査する。
【0106】
上述したステップのすべての有効性の検査を通過すれば、ステップS4537において、検証部200は、委任型の検証可能クレデンシャル(Delegated VC)を検証する。委任型の検証可能クレデンシャル(Delegated VC)の場合、分散型識別子に基づく委任システム10は、全体の参与者に対する署名値の有効性を確認しなければならない。同一のメッセージに対する多重署名値を効率よく検証するバッチ検証を適用する。分散型識別子に基づく委任システム10は、バッチ検証を行うことで、全体の参与者のN名に対して行われなければならないN回の署名値の検証をたった一回の検証を行うことで効率よく行うことができる。
【0107】
ステップS4540において、検証部200は、代行者30に委任型の検証可能クレデンシャル(Delegated VC)の検証結果を伝送する。
【0108】
図8は、本発明の一実施形態に係る分散型識別子に基づく委任システムの法人IDの生成のための委任型の検証可能クレデンシャルの発給シナリオの例示である。
【0109】
図8を参照すると、分散型識別子に基づく委任システム10は、1.委任型の検証可能クレデンシャル(Delegated VC)の発給リクエストを受け、2.代行者の検証可能プレゼンテーション(Deputy’s VP)を検証し、3.委任者の分散型識別子(Delegator’s DID)の有効性を確認した後、4.委任型の検証可能クレデンシャル(Delegated VC)を発給する。
【0110】
1.委任型の検証可能クレデンシャル(Delegated VC)の発給リクエストシナリオ
【0111】
1-1.代行者30は、法人IDの生成のために発給部100に委任型の検証可能クレデンシャル(Delegated VC)の発給をリクエストする。
【0112】
1-2.発給部100は、委任者の確認のために、委任者の分散型識別子(Delegator’s DID)を提出することを代行者30にリクエストする。
【0113】
1-3.代行者30は、委任者の分散型識別子(Delegator’s DID)を発給部100に提出する。
【0114】
1-4.代行者30に法人IDを生成するための委任型の検証可能クレデンシャル(Delegated VC)を発給するためには、代行者30の身元が必ず検証されなければならないため、発給部100は、代行者30に検証可能プレゼンテーション(Deputy’s VP)の提出をリクエストする。
【0115】
1-5.代行者30は、自分の検証可能プレゼンテーション(Deputy’s VP)を検証部200に提出する。このとき、検証部200は、代行者の検証可能プレゼンテーション(Deputy’s VP)内に委任者(法人)との法的関係に関する事項が含まれている検証可能クレデンシャル(VC)を用いて発給者(Issuer)と代行者の身元を確認する。
【0116】
2.代行者の検証可能プレゼンテーション(Deputy’s VP)の検証シナリオ
【0117】
2-1.発給部100は、代行者の検証可能プレゼンテーション(Deputy’s VP)の検証を検証部200にリクエストする。
【0118】
2-2.検証部200は、分散型識別子リゾルバー300を用いて、代行者の分散型識別子(Deputy’s DID)を確認する。
【0119】
2-3.分散型識別子リゾルバー300は、代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)を保存部400にリクエストする。
【0120】
2-4.保存部400は、代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)を検索する。
【0121】
2-5.保存部400は、検索された代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)を分散型識別子リゾルバー300に返還する。
【0122】
2-6.分散型識別子リゾルバー300は、代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)を検証部200に返還する。
【0123】
2-7.検証部200は、代行者の分散型識別子ドキュメント(Deputy’s DIDDOCU)を用いて、代行者の検証可能プレゼンテーション(Deputy’s VP)を検証する。これにより、代行者30の身元を確認する。例えば、検証可能プレゼンテーション(VP)内には一連の社員番号または在職証明などといったように、法人との法的関係に関する情報を含む検証可能クレデンシャル(VC)があり、検証部200は、この検証可能クレデンシャル(VC)を用いて、委任者(法人)と代行者30の法的関係を証憑する。
【0124】
2-8.検証部200は、代行者の検証可能プレゼンテーション(Deputy’s VP)の検証結果を発給部100に伝送する。
【0125】
3.委任者の分散型識別子(Delegator’s DID)の有効性確認シナリオ
【0126】
3-1.発給部100は、委任者の分散型識別子(Delegator’s DID)に対する検証を検証部200にリクエストする。
【0127】
3-2.検証部200は、分散型識別子リゾルバー300を通じて、委任者の分散型識別子(Delegator’s DID)を確認する。
【0128】
3-3.分散型識別子リゾルバー300は、委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)を保存部400にリクエストする。
【0129】
3-4.保存部400は、委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)を検索する。
【0130】
3-5.保存部400は、検索された委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)を分散型識別子リゾルバー300に返還する。
【0131】
3-6.分散型識別子リゾルバー300は、委任者の分散型識別子ドキュメント(Delegator’s DIDDOCU)を検証部200に返還する。
【0132】
3-7.検証部200は、委任者の分散型識別子(Delegator’s DID)の検証結果を発給部100に伝送する。
【0133】
4.委任型の検証可能クレデンシャル(Delegated VC)の発給シナリオ
【0134】
4-1.上述した1、2、3の検証手続きに基づいて、発給部100は、法人ID用の委任型の検証可能クレデンシャル(Delegated VC)を発給する。
【0135】
4-2.発給部100は、発給した法人ID用の委任型の検証可能クレデンシャル(Delegated VC)を代行者30に伝送する。
【0136】
発給された委任型の検証可能クレデンシャル(Delegated VC)内には委任情報に関する内容が詳しく定義されている。例えば、“CredentialSubject”の“Type”は“CorporateCredential”と定義することができ、“CredentialSubject”内に委任者20及び代行者30の情報、委任期間、当該検証可能クレデンシャル(VC)の有効期間などを定義することができる。関連属性をすべて定義した後に署名を行い、署名値は、“proof”属性に定義される。委任型の検証可能クレデンシャル(Delegated VC)は、委任者(法人)20と代行者30とから構成された委任に基づく方式のものであるため、委任者(法人)20が代行者30と一緒に委任を行ったということを記録することが重要な要素の1つである。したがって、委任型の検証可能クレデンシャル(Delegated VC)の署名値は、{sig1:“発給者の署名”,sig2:“委任者の署名”,sig3:“代行者の署名”}のように構成されることが可能である。このとき、代行者は、1名以上であってもよく、署名値にはすべての代行者の署名が含まれなければならない。
【0137】
図9は、本発明の一実施形態に係る分散型識別子に基づく委任システムの共同名義ベースの法人IDの生成のための委任型の検証可能クレデンシャルの発給シナリオの例示である。
【0138】
法人が単独名義である場合、単一の代行者30が委任権限を所有することができるが、共同名義に基づく法人の場合、代行者30が1名以上であってもよい。代行者30がN名である場合、N名の代行者のうち、代表代行者を設定し、当該代表代行者が共同名義法人IDを生成するためのIDの発給を受けた状態であることを想定する。
【0139】
図9を参照すると、分散型識別子に基づく委任システム10は、1.共同名義の委任型の検証可能クレデンシャルの発給のリクエストを受け、2.すべての代行者の検証可能プレゼンテーション(Deputy’s VP)を検証し、3.委任者の分散型識別子(Delegator’s DID)の有効性を確認した後、4.共同名義の委任型の検証可能クレデンシャル(Delegated VC)を発給する。
【0140】
共同名義の委任型の検証可能クレデンシャルを発給する場合、代行者が1名以上であるため、検証部200は、N名のすべての代行者の検証可能プレゼンテーション(Deputy’s VP)を検証しなければならない。検証部200は、すべての代行者の身元を検証する
【0141】
また、代行者がN名である場合、分散型識別子に基づく委任システム10は、共同名義の委任型の検証可能クレデンシャル(Delegated VC)の“CredentialSubject”の“Type”を“JointTenancyCorporateVerifiable Credential”と明記することができる。のみならず、共同名義の委任型の検証可能クレデンシャル(Delegated VC)の署名値を{sig1:“発給者の署名”,sig2:“委任者の署名”,sig3:“代行者1の署名”,・・・,sig(N+2):“代行者Nの署名”}のように構成することができる。共同名義の委任型の検証可能クレデンシャル(Delegated VC)の署名値にはすべての代行者の署名が含まれなければならない。このとき、N名の代行者集団は、代表代行者の主導下で他の代行者の署名を受けた後、Proof属性に明記して最終的な共同名義の委任型の検証可能クレデンシャル(Delegated VC)を生成する。
【0142】
図10は、本発明の一実施形態に係る分散型識別子に基づく委任システムの委任型の検証可能クレデンシャル付きの検証可能プレゼンテーションの発給及び検証シナリオの例示である。
【0143】
図10を参照すると、分散型識別子に基づく委任システム10は、1.委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の発給、2.委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の検証、3.委任型の検証可能クレデンシャル(Delegated VC)の検証のステップを含む。
【0144】
1.委任型の検証可能クレデンシャル付きの検証可能プレゼンテーションの発給シナリオ
【0145】
1-1.委任型の検証可能クレデンシャル(Delegated VC)の規格を確認する。
【0146】
1-2.委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション内の“VerifiableCredential”属性に当該委任型の検証可能クレデンシャルを追加する。
【0147】
1-3.委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション内の“Proof”属性に代行者の署名値を書き込む。
【0148】
2.委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の検証シナリオ
【0149】
2-1.委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)を検証部200に提出する。
【0150】
2-2.検証部200は、当該委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)についての規格を確認する。
【0151】
2-3.検証部200は、代行者30の分散型識別子(DID)に対して分散型識別子ドキュメント(DIDDOCU)を照会して有効性を確認し、委任型の検証可能クレデンシャル付きの検証可能プレゼンテーション(VP included Delegated VC)の代行者の署名を検証する。
【0152】
3.委任型の検証可能クレデンシャル(Delegated VC)の検証シナリオ
【0153】
3-1.検証部200は、委任型の検証可能クレデンシャル内に明記された発給部100の分散型識別子(DID)に対して分散型識別子ドキュメント(DIDDOCU)を照会して有効性確認し、発給者の公開鍵を抽出する。
【0154】
3-2.検証部200は、委任型の検証可能クレデンシャル内に明記された委任者20の分散型識別子(DID)に対して分散型識別子ドキュメント(DIDDOCU)を照会して有効性を確認し、委任者の公開鍵を抽出する。
【0155】
3-3.検証部200は、委任型の検証可能クレデンシャル内に明記された1名以上のすべての代行者30の分散型識別子(DID)に対して分散型識別子ドキュメント(DIDDOCU)を照会して有効性を確認し、代行者の公開鍵を抽出する。
【0156】
3-4.検証部200は、抽出した公開鍵を用いて、バッチ検証(1回)を行う。細部的には、委任型の検証可能クレデンシャル(Delegated VC)の規格、発給及び満了期間、委任期間に対する有効性などを確認する。
【0157】
上述した分散型識別子に基づく委任方法は、コンピューターにて読み取り可能な媒体の上にコンピューターにて読み取り可能なコードにより実現され得る。上記のコンピューターにて読み取り可能な記録媒体は、例えば、移動型記録媒体(コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、ブルーレイディスク、ユニバーサルシリアルバス(USB)記憶装置、移動式ハードディスク)であり得、固定式記録媒体(リードオンリーメモリ(ROM:read-only memory)、ランダムアクセスメモリ(RAM:random access memory)、パソコン内蔵型ハードディスク)であり得る。前記コンピューターにて読み取り可能な記録媒体に記録された前記コンピュータープログラムは、インターネットなどのネットワークを介して他のコンピューティング装置に伝送されて前記他のコンピューティング装置にインストールされてもよく、これにより、前記他のコンピューティング装置において使用可能になる。
【0158】
以上において、本発明の実施形態を構成するすべての構成要素が1つに結合されたり、結合されて動作したりすると説明されたとして、本発明が必ずしもこのような実施形態に限定されるとは限らない。すなわち、本発明の目的範囲内であれば、そのすべての構成要素が1つ以上に選択的に結合して動作することもできる。
【0159】
図中、動作が特定の順序に従って示されているが、必ず動作が図示の特定の順序に従って、または順次的な順序に従って実行されなければならないものと、あるいは、すべての図示の動作が実行されてはじめて所望の結果が得られるものと理解されない。特定の状況においては、マルチタスキング及び並列処理が有利になることもある。さらに、上述した実施形態において様々な構成の分離は、そのような分離が必ず必要であると理解されてはならず、説明されたプログラムコンポネント及びシステムは、一般に、単一のソフトウェア製品として一緒に統合されるということや、多数のソフトウェア製品としてパッケージできる。
【0160】
以上、本発明についてその実施形態を中心として述べたきた。本発明が属する技術分野において通常の知識を有する者であれば、本発明が、本発明の本質的な特性を逸脱しない範囲内において変形された形態として実現され得るということが理解できる。よって、開示された実施形態は、限定的な視点ではなく、説明的な視点において考慮されなければならない。本発明の範囲は、前述した説明ではなく、特許請求の範囲に開示されており、それと同等の範囲内にあるあらゆる相違点は本発明に含まれている。
【符号の説明】
【0161】
10:分散型識別子に基づく委任システム
20:委任者
30:代行者
100:発給部
200:検証部
300:分散型識別子リゾルバー
400:保存部
20:委任者
30:代行者
100:発給部
200:検証部
300:分散型識別子リゾルバー
400:保存部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】