知財求人 - 知財ポータルサイト「IP Force」
▶ ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッドの特許一覧
特許7119142デジタルID検証方法及び装置、電子機器、非一時的コンピュータ可読記憶媒体並びにプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-08-05
(45)【発行日】2022-08-16
(54)【発明の名称】デジタルID検証方法及び装置、電子機器、非一時的コンピュータ可読記憶媒体並びにプログラム
(51)【国際特許分類】
G06F 21/41 20130101AFI20220808BHJP
G06F 21/60 20130101ALI20220808BHJP
G06F 21/64 20130101ALI20220808BHJP
【FI】
G06F21/41
G06F21/60 320
G06F21/64
【請求項の数】
20
【外国語出願】
(21)【出願番号】P 2021003235
(22)【出願日】2021-01-13
(65)【公開番号】P2021111412
(43)【公開日】2021-08-02
【審査請求日】2021-01-13
(31)【優先権主張番号】202010037958.3
(32)【優先日】2020-01-14
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】514322098
【氏名又は名称】ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド
【氏名又は名称原語表記】Beijing Baidu Netcom Science Technology Co., Ltd.
【住所又は居所原語表記】2/F Baidu Campus, No.10, Shangdi 10th Street, Haidian District, Beijing 100085, China
(74)【代理人】
【識別番号】110000729
【氏名又は名称】特許業務法人 ユニアス国際特許事務所
(72)【発明者】
【氏名】マオ、ホンピン
(72)【発明者】
【氏名】パン、スーユアン
(72)【発明者】
【氏名】ユアン、チュンチエ
(72)【発明者】
【氏名】チェン、ハオトン
(72)【発明者】
【氏名】ワン、ホイ
【審査官】岸野 徹
(56)【参考文献】
【文献】特表2018-537022(JP,A)
【文献】国際公開第2019/179534(WO,A2)
【文献】特表2019-506103(JP,A)
【文献】米国特許第10425230(US,B1)
【文献】特許第6592573(JP,B1)
【文献】米国特許出願公開第2019/0333054(US,A1)
【文献】特開2008-287701(JP,A)
【文献】米国特許出願公開第2017/0286768(US,A1)
【文献】特開2019-097148(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/41
G06F 21/60
G06F 21/64
(57)【特許請求の範囲】
【請求項1】
分散型アイデンティティ(DID)クライアントによって実行されるデジタルID検証方法であって、対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るステップと、前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットクレームを検証するステップと、前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするステップと、を含むことを特徴とするデジタルID検証方法。
【請求項2】
前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るステップは、前記対象ユーザの前記ターゲット第三者プラットフォームへのログイン操作に応答して、ターゲット第三者プラットフォームDIDを少なくとも含むターゲットログイン情報を得、前記ターゲット第三者プラットフォームDIDに基づいて、ブロックチェーンネットワークから前記ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得ることを含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記の前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るように前記ターゲット第三者プラットフォームを許可するステップは、前記個人ユーザーデータハブにおけるターゲットクレームの記憶されたターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信して、前記ターゲットエンドポイントアドレスに従って個人ユーザーデータハブのターゲットエンドポイントにアクセスするように前記ターゲット第三者プラットフォームを許可するとともに、前記ターゲットクレームを得ることを含むことを特徴とする請求項1に記載の方法。
【請求項4】
前記の前記個人ユーザーデータハブにおけるターゲットクレームの記憶されたターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信する前に、プロキシ再暗号化メカニズムに基づいて前記ターゲットクレームを暗号化するステップをさらに含むことを特徴とする請求項3に記載の方法。
【請求項5】
前記プロキシ再暗号化メカニズムに基づいて前記ターゲットクレームを暗号化するステップは、高度暗号化標準AES鍵を用いて前記ターゲットクレームを暗号化して、ターゲット暗号化クレームを得ることと、対象ユーザの公開鍵を用いて前記AES鍵を暗号化して、対称鍵暗号文を得ることと、対象ユーザの秘密鍵と、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得されたターゲット第三者プラットフォームの公開鍵とに基づいて、再暗号化鍵を計算して得ることと、前記ターゲット暗号化クレーム、前記対称鍵暗号文及び前記再暗号化鍵を前記個人ユーザーデータハブのターゲットエンドポイントアドレスに記憶して、前記対称鍵暗号文を前記再暗号化鍵を用いて再暗号化するように前記個人ユーザーデータハブを制御し、再暗号文を生成して記憶することと、を含むことを特徴とする請求項4に記載の方法。
【請求項6】
前記ターゲットエンドポイントアドレスは、前記ターゲット第三者プラットフォームが前記ターゲットエンドポイントアドレスに基づいて前記ターゲット暗号化クレーム及び前記再暗号文を取得するとともに、ターゲット第三者プラットフォームの秘密鍵に基づいて前記再暗号文を復号して対称暗号鍵を得、前記対称暗号鍵に基づいて前記ターゲット暗号化クレームを復号して前記ターゲットクレームを得るために用いられることを特徴とする請求項5に記載の方法。
【請求項7】
前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、発行機関レジストリにおける発行機関のサービス情報に基づいて、クレームを発行する対象発行機関を検索するステップと、クレーム申請要求を前記対象発行機関に送信して、前記対象ユーザのターゲットクレームを生成するように前記対象発行機関を制御するステップと、前記対象発行機関が前記クレーム申請要求に応答して出したターゲットクレームを得るステップと、をさらに含むことを特徴とする請求項1に記載の方法。
【請求項8】
前記の前記対象発行機関が前記クレーム申請要求に応答して出したターゲットクレームを得るステップは、前記対象発行機関が前記クレーム申請要求に応答してフィードバックしたターゲットエンドポイントアドレスを受信することであって、前記ターゲットエンドポイントアドレスが前記対象ユーザの個人ユーザーデータハブに位置し、前記対象発行機関がプロキシ再暗号化したターゲットクレームを記憶することと、前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスし、プロキシ再暗号化したターゲットクレームを得ることと、前記プロキシ再暗号化したターゲットクレームを対象ユーザ秘密鍵を用いて復号して、前記ターゲットクレームを得ることと、を含むことを特徴とする請求項7に記載の方法。
【請求項9】
前記の前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスする前に、前記対象ユーザDIDを前記個人ユーザーデータハブに送信し、前記個人ユーザーデータハブが、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得するとともに、前記DIDドキュメントにおける対象ユーザの公開鍵を用いて前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することをさらに含むことを特徴とする請求項8に記載の方法。
【請求項10】
前記の前記対象発行機関が前記クレーム申請要求に応答して出したターゲットクレームを得た後に、前記ターゲットクレームから失効リストアドレスを取得するステップと、前記ターゲットクレームを出した発行機関の個人失効サービスエンドポイントから、前記失効リストアドレスにアクセスして失効リストを得るステップと、前記失効リストに基づいて前記ターゲットクレームの失効状態を照会するステップと、をさらに含むことを特徴とする請求項7に記載の方法。
【請求項11】
前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、対象ユーザのDID作成要求に応答して、前記対象ユーザのために対象ユーザDID及び少なくとも1つの公開鍵・秘密鍵ペアを作成するステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項12】
第三者プラットフォームによって実行されるデジタルID検証方法であって、対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るステップと、前記対象ユーザDID及び前記ターゲットクレームを検証するステップと、前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するステップと、を含み、前記の前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るステップは、
前記ターゲットクレームを記憶するターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、プロキシ再暗号化メカニズムに基づいて暗号化して生成された、ターゲット暗号化クレーム及び再暗号文を得ることと、
第三者プラットフォーム秘密鍵を用いて前記再暗号文を復号して、対称暗号鍵を得ることと、
前記対称暗号鍵を用いて前記ターゲット暗号化クレームを復号して、ターゲットクレームを得ることとを含むことを特徴とするデジタルID検証方法。
【請求項13】
前記の前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るステップは、前記対象DIDクライアントの第三者プラットフォームへの許可結果に基づいて、前記ターゲットクレームを記憶するターゲットエンドポイントアドレスを得ること、をさらに含むことを特徴とする請求項12に記載の方法。
【請求項14】
前記の前記対象ユーザDID及び前記ターゲットクレームを検証するステップは、前記対象ユーザのユーザ署名に基づいて、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することと、検証に合格した場合に、前記ターゲットクレームが属する発行機関、クレームタイプ、有効期限及び失効状態の少なくとも1つに基づいて、前記ターゲットクレームを検証することと、を含むことを特徴とする請求項12に記載の方法。
【請求項15】
前記の前記対象ユーザのユーザ署名に基づいて、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することは、前記対象ユーザDIDに基づいて、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから得ることと、前記対象ユーザDIDに関連付けられるDIDドキュメントにおける対象ユーザの公開鍵に基づいて、前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することと、を含むことを特徴とする請求項14に記載の方法。
【請求項16】
分散型アイデンティティ(DID)クライアントに配置されるデジタルID検証装置であって、対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るためのログイン情報取得モジュールと、前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットクレームを検証するためのクレーム許可モジュールと、前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするためのプラットフォームログインモジュールと、を含むことを特徴とするデジタルID検証装置。
【請求項17】
第三者プラットフォームに配置されるデジタルID検証装置であって、対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るためのクレーム取得モジュールと、前記対象ユーザDID及び前記ターゲットクレームを検証するためのクレーム検証モジュールと、前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するためのユーザログインモジュールと、を含み、
前記クレーム取得モジュールは、前記ターゲットクレームを記憶するターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、プロキシ再暗号化メカニズムに基づいて暗号化して生成された、ターゲット暗号化クレーム及び再暗号文を得て、第三者プラットフォーム秘密鍵を用いて前記再暗号文を復号して、対称暗号鍵を得て、前記対称暗号鍵を用いて前記ターゲット暗号化クレームを復号して、ターゲットクレームを得ることを特徴とするデジタルID検証装置。
【請求項18】
少なくとも1つのプロセッサと、前記少なくとも1つのプロセッサと通信可能に接続されるメモリと、を含む電子機器であって、前記メモリは、前記少なくとも1つのプロセッサによって実行可能な命令を記憶しており、前記命令が前記少なくとも1つのプロセッサによって実行されることで、前記少なくとも1つのプロセッサが請求項1~11のいずれか一項に記載のデジタルID検証方法を実行するか、又は請求項12~15のいずれか一項に記載のデジタルID検証方法を実行することを特徴とする電子機器。
【請求項19】
コンピュータ命令が記憶されている非一時的コンピュータ可読記憶媒体であって、前記コンピュータ命令がコンピュータに請求項1~11のいずれか一項に記載のデジタルID検証方法を実行させるか、又は請求項12~15のいずれか一項に記載のデジタルID検証方法を実行させることを特徴とする非一時的コンピュータ可読記憶媒体。
【請求項20】
コンピュータプログラムであって、前記コンピュータプログラムがプロセッサにより実行されると、請求項1~11又は請求項12~15のいずれか一項に記載のデジタルID検証方法を実現する、コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本出願の実施例はコンピュータの技術分野に関し、特にブロックチェーンの技術分野に関し、具体的にデジタルID検証方法及び装置、電子機器、非一時的コンピュータ可読記憶媒体並びにプログラムに関する。
【背景技術】
【0002】
インターネットアプリケーションの急速な発展に伴い、コンピュータにより自動検証しアプリケーションにログインすることで、オフラインエンティティをオンラインの仮想IDに接続することは、その利便性及び重要性がますます顕在化になっている。現在、分散型に基づくデジタルID検証技術は、探求や開始段階にあり、システム定義が完備しておらず、ユーザがデジタルIDを使用し管理するのに便利なクライアントが存在しないため、分散型を実現する完備したデジタルID検証システムは実際に存在しない。
【発明の概要】
【0003】
本出願の実施例は、完備したデジタルID検証システムを実現可能にするデジタルID検証方法、デジタルID検証装置、電子機器、非一時的コンピュータ可読記憶媒体及びコンピュータプログラムを提供する。
【0004】
第1の態様によれば、本出願の実施例は、分散型アイデンティティ(DID)クライアントによって実行されるデジタルID検証方法を提供し、前記方法は、
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るステップと、
前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレーム(target claim)を得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットクレームを検証するステップと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするステップと、を含む。
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るステップと、
前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレーム(target claim)を得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットクレームを検証するステップと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするステップと、を含む。
【0005】
上記の出願の一実施例は、ワールド・ワイド・ウェブ・コンソーシアム(W3C)が策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証したという利点や有益な効果を有する。
【0006】
選択可能に、前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るステップは、
前記対象ユーザの前記ターゲット第三者プラットフォームへのログイン操作に応答して、ターゲット第三者プラットフォームDIDを少なくとも含むターゲットログイン情報を得、前記ターゲット第三者プラットフォームDIDに基づいて、ブロックチェーンネットワークから前記ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得ることを含む。
前記対象ユーザの前記ターゲット第三者プラットフォームへのログイン操作に応答して、ターゲット第三者プラットフォームDIDを少なくとも含むターゲットログイン情報を得、前記ターゲット第三者プラットフォームDIDに基づいて、ブロックチェーンネットワークから前記ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得ることを含む。
【0007】
上記の出願の一実施例は、ブロックチェーンネットワークがDID及びその関連情報を記憶することができ、各参加者のために情報サービスを提供するという利点又は有益な効果を有する。したがって、DIDクライアントは、データの暗号化や共有のために、ブロックチェーンネットワークを介してターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得ることができる。
【0008】
選択可能に、前記の前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るように前記ターゲット第三者プラットフォームを許可するステップは、
前記個人ユーザーデータハブにおけるターゲットクレームの記憶されたターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信して、前記ターゲットエンドポイントアドレスに従って個人ユーザーデータハブのターゲットエンドポイントにアクセスするように前記ターゲット第三者プラットフォームを許可するとともに、前記ターゲットクレームを得ることを含む。
前記個人ユーザーデータハブにおけるターゲットクレームの記憶されたターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信して、前記ターゲットエンドポイントアドレスに従って個人ユーザーデータハブのターゲットエンドポイントにアクセスするように前記ターゲット第三者プラットフォームを許可するとともに、前記ターゲットクレームを得ることを含む。
【0009】
上記の出願の一実施例は、ターゲットエンドポイントアドレスが、個人ユーザーデータハブから指定された検証可能なクレームを取得するようにターゲット第三者プラットフォームに指示するために用いられ、さらにターゲットエンドポイントアドレスの送信によってターゲット第三者プラットフォームを許可する目的が達成され、検証可能なクレームの共有を可能にするという利点又は有益な効果を有する。
【0010】
選択可能に、前記の前記個人ユーザーデータハブにおけるターゲットクレームの記憶されたターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信する前に、
プロキシ再暗号化メカニズムに基づいて前記ターゲットクレームを暗号化するステップをさらに含む。
プロキシ再暗号化メカニズムに基づいて前記ターゲットクレームを暗号化するステップをさらに含む。
【0011】
上記の出願の一実施例は、プロキシ再暗号化メカニズムを用いてクレームの共有を可能にし、クレームの漏洩を防止し、データのセキュリティが確保されるという利点又は有益な効果を有する。
【0012】
選択可能に、前記プロキシ再暗号化メカニズムに基づいて前記ターゲットクレームを暗号化するステップは、
高度暗号化標準AES鍵を用いて前記ターゲットクレームを暗号化して、ターゲット暗号化クレームを得ることと、
対象ユーザの公開鍵を用いて前記AES鍵を暗号化して、対称鍵暗号文を得ることと、
対象ユーザの秘密鍵と、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得されたターゲット第三者プラットフォームの公開鍵とに基づいて、再暗号化鍵を計算して得ることと、
前記ターゲット暗号化クレーム、前記対称鍵暗号文及び前記再暗号化鍵を前記個人ユーザーデータハブのターゲットエンドポイントアドレスに記憶して、前記対称鍵暗号文を前記再暗号化鍵を用いて再暗号化するように前記個人ユーザーデータハブを制御し、再暗号文を生成して記憶することと、を含む。
高度暗号化標準AES鍵を用いて前記ターゲットクレームを暗号化して、ターゲット暗号化クレームを得ることと、
対象ユーザの公開鍵を用いて前記AES鍵を暗号化して、対称鍵暗号文を得ることと、
対象ユーザの秘密鍵と、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得されたターゲット第三者プラットフォームの公開鍵とに基づいて、再暗号化鍵を計算して得ることと、
前記ターゲット暗号化クレーム、前記対称鍵暗号文及び前記再暗号化鍵を前記個人ユーザーデータハブのターゲットエンドポイントアドレスに記憶して、前記対称鍵暗号文を前記再暗号化鍵を用いて再暗号化するように前記個人ユーザーデータハブを制御し、再暗号文を生成して記憶することと、を含む。
【0013】
上記の出願の一実施例は、プロキシ再暗号化メカニズムの目的が、対象ユーザの公開鍵で暗号化されたデータは、共有者であるターゲット第三者プラットフォームによってターゲット第三者プラットフォームの秘密鍵で復号して取得されることができ、データ共有の安全性が確保されることができることにあるという利点又は有益な効果を有する。
【0014】
選択可能に、前記ターゲットエンドポイントアドレスは、前記ターゲット第三者プラットフォームが前記ターゲットエンドポイントアドレスに基づいて前記ターゲット暗号化クレーム及び前記再暗号文を取得するとともに、ターゲット第三者プラットフォームの秘密鍵に基づいて前記再暗号文を復号して対称暗号鍵を得、前記対称暗号鍵に基づいて前記ターゲット暗号化クレームを復号して前記ターゲットクレームを得るために用いられる。
【0015】
上記の出願の一実施例は、ターゲットエンドポイントアドレスが、指定された検証可能なクレームを取得するようにターゲット第三者プラットフォームに指示するために用いられ、したがって、プロキシ再暗号化メカニズムの保護下で、ターゲット第三者プラットフォームによって取得された検証可能なクレームを復号することを必要とし、データ共有の安全性が確保されるという利点又は有益な効果を有する。
【0016】
選択可能に、前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、
発行機関レジストリにおける発行機関のサービス情報に基づいて、クレームを発行する対象発行機関を検索するステップと、
クレーム申請要求を前記対象発行機関に送信して、前記対象ユーザのターゲットクレームを生成するように前記対象発行機関を制御するステップと、
前記対象発行機関が前記クレーム申請要求に応答して出したターゲットクレームを得るステップと、をさらに含む。
発行機関レジストリにおける発行機関のサービス情報に基づいて、クレームを発行する対象発行機関を検索するステップと、
クレーム申請要求を前記対象発行機関に送信して、前記対象ユーザのターゲットクレームを生成するように前記対象発行機関を制御するステップと、
前記対象発行機関が前記クレーム申請要求に応答して出したターゲットクレームを得るステップと、をさらに含む。
【0017】
上記の出願の一実施例は、サービスニーズに応じて、DIDクライアントを介してユーザが対応する発行機関に検証可能なクレームを申請して取得することができ、ユーザが検証可能なクレームを介して第三者プラットフォームへのログインを容易にするという利点又は有益な効果を有する。
【0018】
選択可能に、前記の前記対象発行機関が前記クレーム申請要求に応答して出したターゲットクレームを得るステップは、
前記対象発行機関が前記クレーム申請要求に応答してフィードバックしたターゲットエンドポイントアドレスを受信することであって、前記ターゲットエンドポイントアドレスが前記対象ユーザの個人ユーザーデータハブに位置し、前記対象発行機関がプロキシ再暗号化したターゲットクレームを記憶することと、
前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスし、プロキシ再暗号化したターゲットクレームを得ることと、
前記プロキシ再暗号化したターゲットクレームを対象ユーザ秘密鍵を用いて復号して、前記ターゲットクレームを得ることと、を含む。
前記対象発行機関が前記クレーム申請要求に応答してフィードバックしたターゲットエンドポイントアドレスを受信することであって、前記ターゲットエンドポイントアドレスが前記対象ユーザの個人ユーザーデータハブに位置し、前記対象発行機関がプロキシ再暗号化したターゲットクレームを記憶することと、
前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスし、プロキシ再暗号化したターゲットクレームを得ることと、
前記プロキシ再暗号化したターゲットクレームを対象ユーザ秘密鍵を用いて復号して、前記ターゲットクレームを得ることと、を含む。
【0019】
上記の出願の一実施例は、検証可能なクレームの発行がデータの共有プロセスでもあることを考慮するため、発行機関はクレームを発行する時に、発出した検証可能なクレームをDIDクライアントに共有するために、同様にプロキシ再暗号化技術を用いることができるという利点又は有益な効果を有する。
【0020】
選択可能に、前記の前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスする前に、
前記対象ユーザDIDを前記個人ユーザーデータハブに送信し、前記個人ユーザーデータハブが、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得するとともに、前記DIDドキュメントにおける対象ユーザの公開鍵を用いて前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することをさらに含む。
前記対象ユーザDIDを前記個人ユーザーデータハブに送信し、前記個人ユーザーデータハブが、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得するとともに、前記DIDドキュメントにおける対象ユーザの公開鍵を用いて前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することをさらに含む。
【0021】
上記の出願の一実施例は、参加者のいずれかがインタラクションを行うときに、ブロックチェーンネットワークに記憶されたデジタルID及び関連情報に基づいて、既知の相手のDIDに基づいて相手のDIDデジタルIDを検証することで、相手が既知のDIDの真の所有者であることを確定し、インタラクションの相手によるデジタルIDの盗用や偽造が防止され、インタラクションの安全性が確保されることができるという利点又は有益な効果を有する。
【0022】
選択可能に、前記の前記対象発行機関が前記クレーム申請要求に応答して発行されたターゲットクレームを得た後に、
前記ターゲットクレームから失効リストアドレスを取得するステップと、
前記ターゲットクレームを発行した発行機関の個人失効サービスエンドポイントから、前記失効リストアドレスにアクセスして失効リストを得るステップと、
前記失効リストに基づいて前記ターゲットクレームの失効状態を照会するステップと、をさらに含む。
前記ターゲットクレームから失効リストアドレスを取得するステップと、
前記ターゲットクレームを発行した発行機関の個人失効サービスエンドポイントから、前記失効リストアドレスにアクセスして失効リストを得るステップと、
前記失効リストに基づいて前記ターゲットクレームの失効状態を照会するステップと、をさらに含む。
【0023】
上記の出願の一実施例は、発行機関が発行された検証可能なクレームを失効させることもでき、したがって、他の参加者が、検証可能なクレームに記録される失効リストアドレスに基づいて、検証可能なクレームの失効状態を照会し、無効な検証可能なクレームの使用を防止することができるという利点又は有益な効果を有する。
【0024】
選択可能に、前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、
対象ユーザのDID作成要求に応答して、前記対象ユーザのために対象ユーザDID及び少なくとも1つの公開鍵・秘密鍵ペアを作成するステップをさらに含む。
対象ユーザのDID作成要求に応答して、前記対象ユーザのために対象ユーザDID及び少なくとも1つの公開鍵・秘密鍵ペアを作成するステップをさらに含む。
【0025】
上記の出願の一実施例は、DIDクライアントがDID作成サービスをユーザに提供することで、ユーザのためにユニバーサルユニークなデジタルIDを提供するという利点又は有益な効果を有する。
【0026】
第2の態様によれば、本出願の実施例は、第三者プラットフォームによって実行されるデジタルID検証方法を提供し、前記方法は、
対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るステップと、
前記対象ユーザDID及び前記ターゲットクレームを検証するステップと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するステップと、を含む。
対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るステップと、
前記対象ユーザDID及び前記ターゲットクレームを検証するステップと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するステップと、を含む。
【0027】
上記の出願の一実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にすることで、第三者プラットフォームがDID及び検証可能なクレームを検証することで、ユーザのDIDによるログインを容易に許容するという利点や有益な効果を有する。
【0028】
選択可能に、前記の前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るステップは、
前記対象DIDクライアントの第三者プラットフォームへの許可結果に基づいて、前記ターゲットクレームを記憶するターゲットエンドポイントアドレスを得ることと、
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、前記ターゲットクレームを得ることと、を含む。
前記対象DIDクライアントの第三者プラットフォームへの許可結果に基づいて、前記ターゲットクレームを記憶するターゲットエンドポイントアドレスを得ることと、
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、前記ターゲットクレームを得ることと、を含む。
【0029】
上記の出願の一実施例は、ターゲットエンドポイントアドレスが、指定された検証可能なクレームを取得するようにターゲット第三者プラットフォームに指示するために用いられ、さらに第三者プラットフォームがターゲットエンドポイントアドレスを受信すると、DIDクライアントの許可が得られ、検証可能なクレームの共有が実現されるという利点又は有益な効果を有する。
【0030】
選択可能に、前記の前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、前記ターゲットクレームを得ることは、
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、プロキシ再暗号化メカニズムに基づいて暗号化して生成されたターゲット暗号化クレーム及び再暗号文を得ることと、
第三者プラットフォームの秘密鍵を用いて前記再暗号文を復号して、対称暗号鍵を得ることと、
前記対称暗号鍵を用いて前記ターゲット暗号化クレームを復号して、ターゲットクレームを得ることと、を含む。
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、プロキシ再暗号化メカニズムに基づいて暗号化して生成されたターゲット暗号化クレーム及び再暗号文を得ることと、
第三者プラットフォームの秘密鍵を用いて前記再暗号文を復号して、対称暗号鍵を得ることと、
前記対称暗号鍵を用いて前記ターゲット暗号化クレームを復号して、ターゲットクレームを得ることと、を含む。
【0031】
上記の出願の一実施例は、プロキシ再暗号化メカニズムを用いて検証可能なクレームの共有を可能にし、検証可能なクレームの漏洩を防止し、データの安全性が確保されるという利点又は有益な効果を有する。
【0032】
選択可能に、前記の前記対象ユーザDID及び前記ターゲットクレームを検証するステップは、
前記対象ユーザのユーザ署名に基づいて、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することと、
検証に合格した場合に、前記ターゲットクレームが属する発行発行機関、クレームタイプ、有効期限及び失効状態の少なくとも1つに基づいて、前記ターゲットクレームを検証することと、を含む。
前記対象ユーザのユーザ署名に基づいて、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することと、
検証に合格した場合に、前記ターゲットクレームが属する発行発行機関、クレームタイプ、有効期限及び失効状態の少なくとも1つに基づいて、前記ターゲットクレームを検証することと、を含む。
【0033】
上記の出願の一実施例は、参加者のいずれかがインタラクションを行うときに、既知の相手のDIDから、相手に対してDIDデジタルIDを検証することで、相手が既知のDIDの真の所有者であるかを判定でき、インタラクション相手によるデジタルIDの盗用や偽造を防止し、インタラクションの安全性が確保されるという利点又は有益な効果を有する。したがって、第三者プラットフォームは、DIDの検証に合格したことを前提として、検証可能なクレームを検証することで、ユーザがログイン許可を有するか否かを判定することができる。
【0034】
選択可能に、前記の前記対象ユーザのユーザ署名に基づいて、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することは、
前記対象ユーザDIDに基づいて、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから得ることと、
前記対象ユーザDIDに関連付けられるDIDドキュメントにおける対象ユーザ公開鍵に基づいて、前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することと、を含む。
前記対象ユーザDIDに基づいて、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから得ることと、
前記対象ユーザDIDに関連付けられるDIDドキュメントにおける対象ユーザ公開鍵に基づいて、前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証することと、を含む。
【0035】
上記の出願の一実施例は、検証可能なクレームを検証する必要がある第三者プラットフォームに対して、検証可能なクレームによってユーザがログイン許可を有するか否かを検証することができ、ユーザログインの安全性、及び第三者プラットフォームの安全性を確保できるという利点又は有益な効果を有する。
【0036】
第3の態様によれば、本出願の実施例は、分散型アイデンティティ(DID)クライアントに配置されるデジタルID検証装置を提供し、前記装置は、
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るためのログイン情報取得モジュールと、
前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットクレームを検証するためのクレーム許可モジュールと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするためのプラットフォームログインモジュールと、を含む。
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るためのログイン情報取得モジュールと、
前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットクレームを検証するためのクレーム許可モジュールと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするためのプラットフォームログインモジュールと、を含む。
【0037】
第4の態様によれば、本出願の実施例は、第三者プラットフォームに配置されるデジタルID検証装置を提供し、前記装置は、
対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るためのクレーム取得モジュールと、
前記対象ユーザDID及び前記ターゲットクレームを検証するためのクレーム検証モジュールと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するためのユーザログインモジュールと、を含む。
対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットクレームを得るためのクレーム取得モジュールと、
前記対象ユーザDID及び前記ターゲットクレームを検証するためのクレーム検証モジュールと、
前記対象ユーザDID及び前記ターゲットクレームが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するためのユーザログインモジュールと、を含む。
【0038】
第5の態様によれば、本出願の実施例は電子機器を提供し、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサと通信可能に接続されるメモリと、を含む電子機器であって、
前記メモリは、前記少なくとも1つのプロセッサによって実行可能な命令を記憶しており、前記命令が前記少なくとも1つのプロセッサによって実行されることで、前記少なくとも1つのプロセッサが本出願の第1の態様のいずれかの実施例に記載のデジタルID検証方法を実行するか、又は本出願の第2の態様のいずれかの実施例に記載のデジタルID検証方法を実行する。
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサと通信可能に接続されるメモリと、を含む電子機器であって、
前記メモリは、前記少なくとも1つのプロセッサによって実行可能な命令を記憶しており、前記命令が前記少なくとも1つのプロセッサによって実行されることで、前記少なくとも1つのプロセッサが本出願の第1の態様のいずれかの実施例に記載のデジタルID検証方法を実行するか、又は本出願の第2の態様のいずれかの実施例に記載のデジタルID検証方法を実行する。
【0039】
第6の態様によれば、本出願の実施例は、コンピュータに本出願の第1の態様のいずれかの実施例に記載のデジタルID検証方法を実行させるか、又は本出願の第2の態様のいずれかの実施例に記載のデジタルID検証方法を実行させるためのコンピュータ命令が記憶されている非一時的コンピュータ可読記憶媒体を提供している。
【0040】
第7の態様によれば、本出願の実施例は、コンピュータプログラムであって、前記コンピュータプログラムがプロセッサにより実行されると、本出願の第1の態様又は第2の態様のいずれかの実施例に記載のデジタルID検証方法を実現する、コンピュータプログラムを提供している。
【0041】
上記の出願の一実施例は、ユーザは、DIDクライアントを操作して、ターゲット第三者プラットフォームのターゲットログイン情報を取得し、さらにユーザが対象ユーザDIDアカウントを用いて、DIDクライアントを介してターゲット第三者プラットフォームにログイン要求を送信して、対象ユーザの個人ユーザーデータハブから対象ユーザのターゲットクレームを取得するようにターゲット第三者プラットフォームを許可することによって、ターゲット第三者プラットフォームの対象ユーザDID及びターゲットクレームへの検証に基づいて、対象ユーザDIDを用いてターゲット第三者プラットフォームにログインするという利点又は有益な効果を有する。本出願の実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【0042】
以下、上記の選択可能な実施態様に係る他の効果について、具体的な実施例を参照しながら説明する。
【図面の簡単な説明】
【0043】
図面は、本出願の技術的手段をより良く理解するために用いられ、本出願を限定するものではない。
【0044】
【図1】本出願の実施例に係るデジタルID検証システムのアーキテクチャを示す概略図である。
【図2】本出願の第1実施例に係るデジタルID検証方法のフローチャートである。
【図3】本出願の第1実施例に係るDIDを用いて第三者プラットフォームにログインするフローチャートである。
【図4】本出願の第1実施例に係るclaimを取得するように第三者プラットフォームを許可する例を示す図である。
【図5】本出願の第2実施例に係るデジタルID検証方法のフローチャートである。
【図6】本出願の第2実施例に係る第三者プラットフォームがclaimを取得する例を示す図である。
【図7】本出願の第2実施例に係るDID及びclaimを用いて第三者プラットフォームにログインするフローチャートである。
【図8】本出願の第3実施例に係るclaimを申請するフローチャートである。
【図9】本出願の第3実施例に係るclaimを申請する概略図である。
【図10】本出願の第3実施例に係るclaimを発行する概略図である。
【図11】本出願の第3実施例に係るclaimを失効させる概略図である。
【図12】本出願の第4実施例に係るデジタルID検証方法のフローチャートである。
【図13】本出願の第5実施例に係るデジタルID検証方法のフローチャートである。
【図14】本出願の第5実施例に係るclaimを検証する概略図である。
【図15】本出願の第6実施例に係るデジタルID検証装置の構造概略図である。
【図16】本出願の第7実施例に係るデジタルID検証装置の構造概略図である。
【図17】本出願の実施例のデジタルID検証方法を実現するための電子機器のブロック図である。
【発明を実施するための形態】
【0045】
以下は、理解を容易にするために本出願の実施例の様々な詳細を含む添付図面を参照して、本出願の例示的な実施例を説明し、それらは単なる例示として見なされるべきである。したがって、当業者は、本出願の範囲及び精神から逸脱することなく、本明細書に記載された実施例に対して様々な変更及び修正を行うことができることを認識するであろう。同様に、以下の説明では、明確かつ簡潔にするために、周知の機能及び構造についての記述を省略する。
【0046】
実施例の技術的手段を明確に説明するために、まず、デジタルID検証システムのアーキテクチャを示す図を説明する。図1は、本出願の実施例に係るデジタルID検証システムのアーキテクチャを模式的に示す図であり、該システムは、W3C(World Wide Web Consortium,ワールド・ワイド・ウェブ・コンソーシアム)が策定するDID(Decentralized Identity,分散型アイデンティティ)規格に踏まえて、DIDクライアント及び個人ユーザーデータハブ等のアーキテクチャを追加及び定義するとともに、各アーキテクチャ間のインタラクションフローを標準化して、分散型のデジタルID管理、検証及び使用などを可能にする。DIDは、個人のIDを識別するだけでなく、組織のIDを識別することもでき、ひいては物品のIDを識別することもできる。
【0047】
図1を参照すると、該システムは、発行機関レジストリ(Claim Issuer Registry)110、発行機関(Issuer)120、DID所有者(Holder)130、第三者プラットフォーム(Verifier)140、及びDID下位サブシステム(DID Subsystem)150などを含み、参加者それぞれはDIDアカウントを参加者のユニバーサルユニークなデジタルIDとして有する。
【0048】
発行機関レジストリ110は、公開された、既知の発行機関120のサービス情報を一括して外部に配信し、ユーザが検証可能なクレーム(Verifiable Credential Claim,本出願ではクレーム又はclaimと略称)等を申請するのに便利である。
【0049】
発行機関120は予め発行機関レジストリ110に登録して、サービス情報を発行するために発行機関レジストリ110に配置することができる。サービス情報には、サービスエンドポイント情報、申請可能なClaimタイプ及び申請者に必要な情報等が含まれてもよい。発行機関120は具体的にclaim申請サービス(Issuer Service)121とclaim失効サービス(Claim Revocation Service)122を含むことができる。claim申請サービス121は外部にclaimを発行し、例えば、銀行が発行機関として、銀行自体のDIDアカウントを用いてその顧客に資産証明書を発行することができる。claim失効サービス122は、当該発行機関が発行したclaimを失効させる。発行機関は、claim失効リストを記憶するための個人失効サービスエンドポイント(Personal Revocation Service Endpoint)をさらに含む。
【0050】
DID所有者130は、DIDクライアント(DID Wallet)131と、個人ユーザーデータハブ(Identity Hub)132とを含む。DIDクライアント131は、ウィジェット等の任意のアプリケーションであってもよい。ユーザは、DIDクライアント131を介してDIDを作成し、DIDドキュメント(DID Document)を更新し、DIDを用いて発行機関120にclaimを申請し、DIDを用いて第三者プラットフォーム140などにログインすることができる。DIDを鍵フィールドとし、DIDドキュメントを値フィールドとして、鍵値ペアとしてブロックチェーンネットワークに保存することができる。DIDドキュメントは、DIDアカウントに関連付けられる、鍵情報やアクセスエンドポイント情報等の詳細データを記憶するためのものである。個人ユーザーデータハブ132は、ユーザが自律的に制御可能なユーザデータストアを指し、ユーザが自律的にデプロイして使用可能であり、ユーザデータ及びアクセス許可機能を管理するために用いられる。
【0051】
第三者プラットフォーム140は、DID、又はDID及びclaimを用いてログインすることができる第三者アプリケーション、ウェブサイト、組織又はデバイス等を指す。チャレンジレスポンスメカニズムを通じてDID所有者130がDIDを有するか否かを検証し、所望のclaimをDID所有者130に要求するとともに、得られたclaimのデジタルIDを検証することを担当する。
【0052】
DID下位サブシステム150は、DIDブロックチェーン取り組み及び解決サービス(DID Resolver)を提供する。具体的に、ユーザは、DIDクライアント131を用いてDIDを作成した後に、その時にただ一つのオフラインのDIDを有しているだけであり、さらにDIDに関連付けられる情報をDIDドキュメントとしてブロックチェーンに取り組んだ後、そのDIDを真の意味で有効にすることができる。DIDの解決は、即ちDID下位サブシステム150が、DIDに基づいてDIDドキュメントを解決する機能を提供する。ユーザが第三者プラットフォーム140にログインすると、第三者プラットフォーム140は、チャレンジレスポンスメカニズムを通じてユーザがDIDの所有者であるか否かを確認する必要があり、チャレンジレスポンスのコアは、第三者プラットフォーム140がDIDドキュメントにおける公開鍵構成チャレンジに応じてユーザに応答させることである。したがって、第三者プラットフォーム140はDID解決によりDIDドキュメントを得ることができる。
【0053】
したがって、該システムは、デジタルID及びその関連情報を記憶するためのブロックチェーンネットワークと、DID操作を1つの取引にパッケージ化してブロックチェーンに取り組むことで、ブロックチェーンL1のTPS(Transactions Per Second,システムスループット)を向上させるためのブロックチェーンL2レイヤーノード(DID Germ)とを含む。したがって、発行機関120、DID所有者130及び第三者プラットフォーム140は、DID下位サブシステム150を介して、デジタルIDなどの関連情報をトランザクションデータとして、ブロックチェーンネットワークに取り組み、記憶することができ、デジタルIDなどの関連情報へのクラッドを可能にする。さらにDID下位サブシステム150を通じてブロックチェーンネットワークからデジタルIDなどの関連情報を取得することができ、デジタルIDの検証に用いられる。又は、発行機関120、DID所有者130及び第三者プラットフォーム140はさらにブロックチェーンノード若しくは軽量ノードとして、ブロックチェーンに要求を直接送信するとともに、ブロックチェーンネットワークからフィードバックされたトランザクションデータを受信することができる。また、当該システムはさらに、すべてのDIDを解決するためのDIFユニバーサルリゾルバ(DIF Universal Resolver)を含むことができる。
【0054】
本出願の実施例では、DIDフォーマットは、W3Cが策定するDID規格に準拠し、以下のように定義され、
did:ccp:<DID String>。
ここで、ccpは本実施例に係るDID仕様を表す。本実施例は、係るDID仕様を限定するものではなく、デジタルID検証システムフレームワークに基づいて提案したDID仕様であれば、本実施例に適用可能である。DID Stringは、デジタルIDのユニバーサルユニークな識別子である。本実施例では、DID Stringの計算アルゴリズムを提案し、即ちDIDドキュメントを入力として、以下のアルゴリズムを用いてDID Stringを生成する。
did:ccp:<DID String>。
ここで、ccpは本実施例に係るDID仕様を表す。本実施例は、係るDID仕様を限定するものではなく、デジタルID検証システムフレームワークに基づいて提案したDID仕様であれば、本実施例に適用可能である。DID Stringは、デジタルIDのユニバーサルユニークな識別子である。本実施例では、DID Stringの計算アルゴリズムを提案し、即ちDIDドキュメントを入力として、以下のアルゴリズムを用いてDID Stringを生成する。
【0055】
<DID String> = base58(ripemd160(sha256(<Base DID Document>)))。式中、base58()、ripemd160()、sha256()は暗号化関数である。
【0056】
したがって、必要に応じてDIDドキュメントにデジタルID関連情報を定義することができる。例えば、公開鍵リスト情報、マスター公開鍵情報、スレーブ公開鍵情報、DIDの検証に用いられる指定公開鍵情報、復元された公開鍵リスト、このDIDを利用可能なエンドポイント情報等を含むことができる。
【第1実施例】
【0057】
図2は本出願の第1実施例に係るデジタルID検証方法のフローチャートであり、本実施例は、DIDクライアントと第三者プラットフォームとのインタラクションにより、DID及びclaimへの検証に基づいて、ユーザにDIDを用いて第三者プラットフォームにログインさせることに適用可能であり、該方法は、DIDクライアントによって実行されてもよいし、ソフトウェア及び/又はハードウェアの形態で実装されたデジタルID検証装置によって実行されてもよく、好ましくは、DIDクライアントが属するDID所有者の端末装置などの電子機器に配置されている。図2に示すように、該方法は具体的にS210、S220及びS230を含む。
【0058】
S210:対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、ターゲット第三者プラットフォームのターゲットログイン情報を得る。
【0059】
本出願の具体的な実施例において、対象ユーザは、DIDクライアントを用いるユーザであり、個人ユーザや企業ユーザなどであってもよい。対象ユーザがDIDアカウントを有する場合には、DIDクライアントを使用してDID及びその関連情報を直接管理して使用することができ、DID及びその関連情報のクラッドもブロックチェーンネットワークに同期化することもできる。対象ユーザが現在DIDアカウントを有していない場合には、DIDクライアントを介して自分のためにDIDアカウントを作成することができる。したがって、DIDクライアントが対象ユーザのDID作成要求に応答して、対象ユーザのために対象ユーザDID及び少なくとも1つの公開鍵・秘密鍵ペアを作成する。複数の公開鍵・秘密鍵ペアは、互いにマスタースレーブ関係であってもよく、複数の公開鍵・秘密鍵ペアの具体的な使用方式が、作成されたDIDアカウントに関連付けられるDIDドキュメントに記録されてもよい。
【0060】
本実施例において、ターゲット第三者プラットフォームは、例えば、第三者アプリケーション、ウェブサイト、組織又はデバイス等の、対象ユーザがDIDを用いてログインするプラットフォームを指す。DIDクライアントは、アカウントパスワードによるログイン方式又は2次元コード走査などの様々な方式により、ターゲット第三者プラットフォームにログインすることができる。
【0061】
本実施例において、ターゲットログイン情報は、ターゲット第三者プラットフォームにログインするための必要な情報を指し、ターゲット第三者プラットフォームのログインアドレスloginUrl、対象ユーザのログイン挙動を識別するための一意な識別子loginID、ターゲット第三者プラットフォームDID、必要なclaimタイプなどの情報を含んでもよい。
【0062】
具体的には、対象ユーザは、ターゲット第三者プラットフォームのログイン方式に基づいて、DIDクライアントでログイン操作を実行することで、ターゲット第三者プラットフォームのターゲットログイン情報を取得することができる。さらに、ターゲットログイン情報におけるターゲット第三者プラットフォームDIDに基づいて、ブロックチェーンネットワークからターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得ることができ、DIDドキュメントからターゲット第三者プラットフォームの公開鍵を取得して、データの共有時の暗号化に用いられる。
【0063】
例示的に、対象ユーザは、自機画面又は他のデバイスの画面上で操作し、ログインしようとするターゲット第三者プラットフォームを選択するとともに、DIDログイン/検証方式を選択して、画面上にターゲット第三者プラットフォームにログインするための2次元コードを表示することができる。対象ユーザは、DIDクライアントを用いて2次元コードを走査するとともに、DIDクライアントでログインを確認する。したがって、DIDクライアントは、2次元コードを走査することにより、2次元コードに載せられたターゲットログイン情報を得ることができる。
【0064】
S220:ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求をターゲット第三者プラットフォームに送信して、対象ユーザの個人ユーザーデータハブから対象ユーザのターゲットクレームを得るようにターゲット第三者プラットフォームを許可するとともに、対象ユーザDID及びターゲットクレームを検証する。
【0065】
本出願の具体的な実施例において、ログイン要求は、ログインしようとする対象ユーザに対してデジタルIDを検証するようにターゲット第三者プラットフォームをトリガーするために用いられる。ログイン要求には、対象ユーザDID、loginID、ユーザ署名などの情報が含まれてもよい。したがって、ターゲット第三者プラットフォームは、loginIDに基づいて対象ユーザの一連のログイン挙動を関連付けることができ、さらに対象ユーザDIDに基づいて、対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得して、DIDドキュメントから対象ユーザの公開鍵を取得し、対象ユーザの公開鍵を用いてユーザ署名を検証し、対象ユーザが対象ユーザDIDの真の所有者であるかを検証し、デジタルIDの盗用又は偽造を防止することができる。
【0066】
本実施例では、DIDのみを用いて第三者プラットフォームにログインするログイン方式について、そのフローが図3に示されている。DIDクライアントは、ターゲット第三者プラットフォームの2次元コードを走査することにより、ログイン情報を得るとともに、ログイン要求をターゲット第三者プラットフォームに送信する。ターゲット第三者プラットフォームは、ログイン要求を受信してDIDを検証した後に、1つのNonce(Number Once,ランダム値)をランダムに生成して保存し、対象ユーザの公開鍵を用いてNonceを暗号化して、暗号文cipherTextを得てDIDクライアントにフィードバックすることができる。したがって、DIDクライアントは、対象ユーザの秘密鍵PrivKeyを用いて暗号文を復号し、平文plainTextを得てターゲット第三者プラットフォームにフィードバックする。これによってターゲット第三者プラットフォームは、チャレンジ結果応答を検証し、loginIDに基づいてNonce及びその関連する平文を確定し、Nonceを平文と比較する。比較結果が合致すると検出された場合に、ターゲット第三者プラットフォームはポーリングしてチャレンジに成功したことを知り、対象ユーザがログインに成功したと判定する。
【0067】
本実施例では、DID及びclaimを用いて第三者プラットフォームにログインするログイン方式について、対象ユーザのターゲットclaimがすべて自己の個人ユーザーデータハブに保存されるので、DIDクライアントは、ターゲットclaimを検証するために、ターゲット第三者プラットフォームにログイン要求を送信した後に、対象ユーザの個人ユーザーデータハブから対象ユーザのターゲットclaimを取得するようにターゲット第三者プラットフォームを許可する必要がある。
【0068】
具体的に、図4はclaimを取得するように第三者プラットフォームを許可する例を示す図である。図4に示すように、ターゲット第三者プラットフォームは、ログイン要求を受信すると、claim取得要求をDIDクライアントに送信する。ただし、DIDクライアントがclaimをローカルに保存した場合には、そのままclaimを返すことができる。DIDクライアントがローカルにclaimを保存していない場合には、DIDクライアントは、他のデータ情報のセキュリティを侵害することなく、指定されたターゲットclaimを取得するようにターゲット第三者プラットフォームに指示するために、個人ユーザーデータハブにおけるターゲットclaimを記憶したターゲットエンドポイントアドレスを取得するとともに、個人ユーザーデータハブにおけるターゲットclaimを記憶したターゲットエンドポイントアドレスをターゲット第三者プラットフォームに送信することができる。したがって、ターゲット第三者プラットフォームは、DIDクライアントの許可を得た後に、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスし、ターゲットエンドポイントからターゲットclaimを得てターゲットclaimを検証することができる。例えば、ターゲットclaimが信頼できる発行機関から発行されたものであるか否か、ターゲットclaimがターゲット第三者プラットフォームのログインに必要なものであるか否か、ターゲットclaimの失効状態等を検証する。その具体的なフローは、後の実施例で説明する。
【0069】
ターゲットclaimの安全な共有を達成するために、DIDクライアントは、個人ユーザーデータハブにおけるターゲットclaimを記憶したターゲットエンドポイントアドレスをターゲット第三者プラットフォームに送信する前に、プロキシ再暗号化メカニズムに基づいてターゲットclaimを暗号化することができる。具体的には、DIDクライアントは、ターゲットclaimをAES(Advanced Encryption Standard,高度暗号化標準)鍵を用いて暗号化してターゲット暗号化claimを得、対象ユーザ公開鍵を用いてAES鍵を暗号化して対称鍵暗号文を得、対象ユーザの秘密鍵と、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得されたターゲット第三者プラットフォーム公開鍵とに基づいて、再暗号化鍵を計算して得る。ターゲット暗号化claim、対称鍵暗号文及び再暗号化鍵を個人ユーザーデータハブのターゲットエンドポイントアドレスに記憶する。さらに個人ユーザーデータハブが再暗号化鍵を用いて対称鍵暗号文を再暗号化して、再暗号文を生成して記憶する。したがって、ターゲット第三者プラットフォームは、ターゲットエンドポイントアドレスの許可下で、ターゲットエンドポイントアドレスに基づいてターゲット暗号化claim及び再暗号文を取得するとともに、ターゲット第三者プラットフォームの秘密鍵に基づいて再暗号文を復号して対称暗号鍵を得、対称暗号鍵に基づいてターゲット暗号化claimを復号してターゲットclaimを得る。
【0070】
本実施例では、claimのないユーザに対しては、発行機関に申請することができる。したがって、発行機関は、自身が発行したclaimを失効させることもできる。具体的には、DIDクライアントは、発行機関レジストリの発行機関のサービス情報に基づいて、claimを発行した対象発行機関を検索し、対象発行機関にclaimの申請要求を送信し、対象発行機関によりclaimの申請要求に応答して発行されたターゲットclaimを得る。ここで、DIDクライアントは、claimを申請する際に、個人ユーザーデータハブにおけるターゲットclaimを記憶するためのターゲットエンドポイントアドレスを対象発行機関に積極的に提供するか、又は対象発行機関によってターゲットエンドポイントアドレスを確定することができる。さらに、対象発行機関は、ターゲットclaimを生成した後に、プロキシ再暗号化メカニズムに基づいてターゲットclaimを暗号化して、ターゲットエンドポイントアドレスに記憶するとともに、ターゲットエンドポイントアドレスをDIDクライアントにフィードバックする。したがって、DIDクライアントは、ターゲットエンドポイントアドレスに基づいて、個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスして、プロキシ再暗号化されたターゲットclaimを得、プロキシ再暗号化されたターゲットclaimを対象ユーザの秘密鍵を用いて復号し、ターゲットclaimを得る。
【0071】
本実施例のデジタルID検証システムでは、各参加者間でインタラクションを行う前に相手のDIDであるデジタルIDを検証する必要がある。したがって、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスする前に、DIDクライアントが対象ユーザDIDを個人ユーザーデータハブに送信することができる。個人ユーザーデータハブが、対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得するとともに、DIDドキュメントにおける対象ユーザの公開鍵を用いて対象ユーザのユーザ署名を検証することで、対象ユーザが対象ユーザDIDの所有者であるか否かを検証する。
【0072】
S230:対象ユーザDID及びターゲットclaimが検証に合格した場合に、対象ユーザDIDを用いてターゲット第三者プラットフォームにログインする。
【0073】
本出願の具体的な実施例では、DIDクライアント又はターゲット第三者プラットフォームは、ポーリングすることにより対象ユーザDID及びターゲットclaimが検証に合格したか否かを検出することができる。DIDクライアントは、対象ユーザDID及びターゲットclaimが検証に合格したことを検出すると、対象ユーザDIDを用いてターゲット第三者プラットフォームにログインする。ターゲット第三者プラットフォームは、対象ユーザDID及びターゲットclaimが検証に合格したことを検出すると、対象ユーザが対象ユーザDIDを用いてログインすることに成功したことを確認する。
【0074】
本実施例の技術的手段によれば、ユーザは、DIDクライアントを操作して、ターゲット第三者プラットフォームのターゲットログイン情報を取得し、さらに対象ユーザDIDアカウントを用いて、DIDクライアントを介してターゲット第三者プラットフォームにログイン要求を送信して、対象ユーザの個人ユーザーデータハブから対象ユーザのターゲットclaimを取得するようにターゲット第三者プラットフォームを許可することによって、ターゲット第三者プラットフォームの対象ユーザDID及びターゲットclaimへの検証に基づいて、対象ユーザDIDを用いてターゲット第三者プラットフォームにログインすることができる。本出願の実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【第2実施例】
【0075】
図5は本出願の第2実施例に係るデジタルID検証方法のフローチャートであり、本実施例は、上記第1実施例に踏まえて、DIDクライアントが、指定claimを取得するようにターゲット第三者プラットフォームを許可する過程をさらに説明し、ブロックチェーンネットワーク、プロキシ再暗号化技術及び個人ユーザデータハブの支援下でターゲット第三者プラットフォームを許可することができる。図5に示すように、該方法は具体的にS510~S560を含む。
【0076】
S510:対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、少なくともターゲット第三者プラットフォームDIDを含むターゲットログイン情報を得る。
【0077】
S520:ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求をターゲット第三者プラットフォームに送信する。
【0078】
S530:ターゲット第三者プラットフォームDIDに基づいて、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから得る。
【0079】
本出願の具体的な実施例では、DIDとDIDに関連付けられるDIDドキュメントとがキー値ペアの形式でブロックチェーンネットワークに記憶される。DIDクライアントは、ターゲットログイン情報を取得した後に、ターゲット第三者プラットフォームDIDに基づいて、ブロックチェーンネットワークからターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得ることができ、DIDドキュメントからターゲット第三者プラットフォームの公開鍵を取得して、データの共有時の暗号化に用いられる。
【0080】
S540:プロキシ再暗号化メカニズムに基づいてターゲットクレームを暗号化する。
【0081】
本出願の具体的な実施例において、プロキシ再暗号化は暗号文間の鍵変換メカニズムであり、プロキシ再暗号化では、セミトラステッドエージェントが、承認者を代理することによって生成された変換鍵により、承認者の公開鍵で暗号化された暗号文を、被承認者の公開鍵で暗号化された暗号文に変換し、データの共有を実現する。この過程で、エージェントはデータの平文情報を入手できないので、データ漏洩のリスクが低減され、データ共有のセキュリティを向上させる。
【0082】
本実施例では、DIDクライアントはプロキシ再暗号化メカニズムに基づいて、対象ユーザの公開鍵がターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得したターゲット第三者プラットフォームの公開鍵に基づいて、共有すべきターゲットclaimを暗号化する。
【0083】
選択可能に、AES鍵を用いてターゲットclaimを暗号化して、ターゲット暗号化claimを得、対象ユーザの公開鍵を用いてAES鍵を暗号化して、対称鍵暗号文を得、対象ユーザの秘密鍵と、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得されたターゲット第三者プラットフォームの公開鍵とに基づいて、再暗号化鍵を計算して得、個人ユーザーデータハブのターゲットエンドポイントアドレスにターゲット暗号化claim、対称鍵暗号文及び再暗号化鍵を記憶して、再暗号化鍵を用いて対称鍵暗号文を再暗号化するように個人ユーザーデータハブを制御して、再暗号文を生成して記憶する。
【0084】
本実施例では、DIDクライアントは、暗号化して生成されたターゲット暗号化claim及び再暗号化情報を個人ユーザーデータハブに送信し、個人ユーザーデータハブが再暗号化情報に基づいて再暗号化するとともに、これらのプロキシ再暗号化情報をターゲットエンドポイントアドレスに保存し、それによってターゲット第三者プラットフォームは再暗号化claimを個人ユーザーデータハブから抽出するとともに、復号によってターゲットclaimを得る。
【0085】
S550:個人ユーザーデータハブにおけるターゲットクレームを記憶したターゲットエンドポイントアドレスをターゲット第三者プラットフォームに送信して、ターゲット第三者プラットフォームがターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスすることを許可し、ターゲットクレームを得るとともに、対象ユーザDID及びターゲットクレームを検証する。
【0086】
本出願の具体的な実施例において、ターゲットエンドポイントアドレスは、ターゲット第三者プラットフォームがターゲットclaimを取得することを許可するために用いられ、ターゲットエンドポイントアドレスの送信は、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスすることをトリガーし、プロキシ再暗号化されたターゲットclaimを得、ターゲットエンドポイントアドレスに基づいてターゲット暗号化claim及び再暗号文を取得し、ターゲット第三者プラットフォーム秘密鍵に基づいて再暗号文を復号して対称暗号鍵を得、対称暗号鍵に基づいてターゲット暗号化claimを復号してターゲットclaimを得る。
【0087】
本実施例では、DIDクライアントは、ターゲットログイン情報を取得した後に、ターゲット第三者プラットフォームの公開鍵を取得してターゲットclaimを暗号化し、さらにターゲット第三者プラットフォームにログイン要求を送信するときに、ターゲットエンドポイントアドレスをターゲット第三者プラットフォームに同期して送信して許可することができる。ターゲットログイン情報を取得してログイン要求をターゲット第三者プラットフォームに送信した後に、ターゲット第三者プラットフォームのclaim取得要求を受信し、DIDクライアントは、ターゲット第三者プラットフォームの公開鍵をさらに取得して、ターゲットclaimを暗号化し、ターゲットエンドポイントアドレスをターゲット第三者プラットフォームに返して許可することもできる。
【0088】
例示的に、図6は第三者プラットフォームがclaimを取得する例を示す図である。図6に示すように、DIDクライアントがログイン要求をターゲット第三者プラットフォームに送信した後に、ターゲット第三者プラットフォームは、claim取得要求をDIDクライアントに送信する。さらにDIDクライアントは、ブロックチェーンネットワークに基づいてターゲット第三者プラットフォームのDIDドキュメントを抽出して、DIDドキュメントからターゲット第三者プラットフォームの公開鍵を取得する。これにより、DIDクライアントは、プロキシ再暗号化メカニズムに基づいてターゲットclaimを暗号化して、個人ユーザーデータハブのターゲットエンドポイントアドレスに記憶する。ターゲットエンドポイントアドレスをターゲット第三者プラットフォームに返して、個人ユーザーデータハブからターゲットclaimを復号により取得するようにターゲット第三者プラットフォームに指示する。
【0089】
S560:対象ユーザDID及びターゲットクレームが検証に合格した場合に、対象ユーザDIDを用いてターゲット第三者プラットフォームにログインする。
【0090】
例示的に、図7はDID及びclaimを用いて第三者プラットフォームにログインするフローチャートである。図7に示すように、DIDクライアントは、ターゲット第三者プラットフォームの2次元コードを走査することにより、ログイン情報を得るとともに、対象ユーザDIDを含むログイン要求をターゲット第三者プラットフォームに送信する。ターゲット第三者プラットフォームは、ログイン要求を受信して対象ユーザDIDを検証した後に、claim取得要求をDIDクライアントに送信する。さらにDIDクライアントは、プロキシ再暗号化メカニズムに基づいて、ブロックチェーンネットワークから抽出されたターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメント(appDIDドキュメント)を介してターゲット第三者プラットフォームの公開鍵appPubKeyを取得し、対象ユーザの秘密鍵及びターゲット第三者プラットフォームの公開鍵に基づいて再暗号化鍵Kを計算して得、AES鍵を用いてclaimを暗号化してターゲット暗号化クレームEncryptedClaimを取得し、対象ユーザ公開鍵を用いてAES鍵を暗号化して、対称鍵暗号文を得るとともに、個人ユーザーデータハブに送信することで、個人ユーザーデータハブに再暗号化鍵Kを用いて対称鍵暗号文を暗号化させて再暗号文Aを得、記憶したエンドポイントアドレスEndpointをDIDクライアントにフィードバックする。同時にターゲット第三者プラットフォームは、ランダムにNonceを生成して保存し、対象ユーザ公開鍵を用いてNonceを暗号化して暗号文cipherTextを得てDIDクライアントにフィードバックすることができる。したがって、DIDクライアントは、対象ユーザの秘密鍵PrivKeyを用いて暗号文を復号して、平文plainTextを得る。DIDクライアントは、平文及びエンドポイントアドレスをターゲット第三者プラットフォームに送信して、エンドポイントアドレスに基づいてターゲット暗号化クレームEncryptedClaim及び再暗号文Aを取得するようにターゲット第三者プラットフォームを制御するとともに、ターゲット第三者プラットフォームの秘密鍵appPrivKeyに基づいて再暗号文Aを復号して対称暗号鍵を得、対称暗号鍵に基づいてターゲット暗号化クレームEncryptedClaimを復号してターゲットclaimを得る。さらに、ターゲット第三者プラットフォームは、対象ユーザDID、ターゲットclaim及び平文plainText等の情報に基づいて、一連の検証を行う。検証に合格した場合に、ターゲット第三者プラットフォームは、ポーリングしてチャレンジに成功したことを知り、対象ユーザがログインに成功したと判定する。
【0091】
本実施例の技術的手段によれば、ユーザはDIDクライアントを操作して、ターゲット第三者プラットフォームのターゲットログイン情報を取得するとともに、ターゲット第三者プラットフォームにログイン要求を送信し、claimをプロキシ再暗号化し、ターゲット第三者プラットフォームにターゲットエンドポイントアドレスを送信して、ターゲット第三者プラットフォームが対象ユーザの個人ユーザーデータハブからプロキシ再暗号化されたclaimを取得することを許可することによって、ターゲット第三者プラットフォームの対象ユーザDID及びターゲットclaimへの検証に基づいて、対象ユーザDIDを用いてターゲット第三者プラットフォームにログインすることができる。本出願の実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【第3実施例】
【0092】
図8は、本出願の第3実施例に係るclaimを申請するフローチャートであり、本実施例は、上記第1実施例に踏まえて、DIDクライアントが発行機関にclaimを申請する過程をさらに説明し、発行機関の発行によりclaimを得ることができる。図8に示すように、該方法は具体的にS810~S830を含む。
【0093】
S810:発行機関レジストリにおける発行機関のサービス情報に基づいて、クレームを発行する対象発行機関を検索する。
【0094】
本出願の具体的な実施例において、発行機関は予め発行機関レジストリに登録して、サービス情報を発行機関レジストリに配置して発行することができる。サービス情報には、サービスエンドポイント情報、申請可能なClaimタイプ及び申請者に必要な書類等が含まれてもよい。したがって、DIDクライアントは、claimを申請する前に、所望のclaimを発行することができる対象発行機関を検索により取得するように、発行機関レジストリで検索することができる。
【0095】
S820:対象発行機関にclaim申請要求を送信して、対象ユーザのターゲットclaimを生成するように対象発行機関を制御する。
【0096】
本出願の具体的な実施例において、claim申請要求には対象ユーザ署名及び対象ユーザDIDが含まれてもよい。対象発行機関は、DIDクライアントから送信されたclaim申請要求を受信した後に、対象ユーザDIDに基づいて対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンから取得することができ、DIDドキュメントから対象ユーザ公開鍵を得るとともに、対象ユーザ公開鍵を用いて対象ユーザ署名を検証して、対象ユーザが確かに対象ユーザDIDの所有者であることを検証する。さらに検証に合格した後に、対象ユーザのためにターゲットclaimを生成する。
【0097】
例示的に、図9はclaimを申請する概略図である。図9に示すように、発行機関は、自身と対応付けられたサービスエンドポイントとを発行機関レジストリに登録し、claim申請者が提供すべき情報を説明する。DIDクライアントは、発行機関レジストリを介してclaimを提供することができる対象発行機関を検索するとともに、対象発行機関のサービスエンドポイントにclaim申請要求を送信し、対象ユーザの今回の申請行為をグローバル識別するための受付IDを得る。
【0098】
S830:対象発行機関がclaim申請要求に応答して発行されたターゲットclaimを得る。
【0099】
本出願の具体的な実施例において、図10はclaimを発行する概略図である。図10に示すように、対象発行機関は、claim申請を受け付けた後に、claim申請要求とclaim申請要求に含まれる情報とを検証する。具体的には、対象発行機関が対象ユーザ署名を検証することに加えて、外部プラットフォームを介して要求に含まれる情報を検証することで、情報が当該発行機関にとって必要な情報であるか否かを検証し、及び情報の正確性を検証することができる。ここで、外部プラットフォームは銀行や警察署などであってもよい。
【0100】
そして、検証に合格した場合に、対象発行機関が生成されたターゲットclaimを、対象ユーザの個人ユーザデータにおけるターゲットエンドポイントアドレスに記憶するとともに、ターゲットエンドポイントアドレスをDIDクライアントにフィードバックして、対象ユーザのアクセスを許可する。なお、ターゲットエンドポイントアドレスは、対象ユーザが自ら提供するものであってもよいし、発行機関が後期で指定するものであってもよい。それによって、対象ユーザがターゲットclaimに直接アクセスすることができる。
【0101】
選択可能に、対象発行機関がclaim申請要求に応答してフィードバックされたターゲットエンドポイントアドレスを受信し、ここで、ターゲットエンドポイントアドレスが対象ユーザの個人ユーザーデータハブに位置し、対象発行機関がプロキシ再暗号化したターゲットclaimを記憶するためのものであり、ターゲットエンドポイントアドレスに基づいて、個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスして、プロキシ再暗号化されたターゲットclaimを得、プロキシ再暗号化されたターゲットclaimを対象ユーザ秘密鍵を用いて復号し、ターゲットclaimを得る。例えば、DIDクライアントは、受付IDに基づいて発行結果を対象発行機関に照会して、ターゲットエンドポイントアドレスを得ることができる。
【0102】
選択可能に、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスする前に、対象ユーザDIDを個人ユーザーデータハブに送信し、個人ユーザーデータハブは、対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得するとともに、DIDドキュメントにおける対象ユーザ公開鍵を用いて対象ユーザのユーザ署名を検証することで、対象ユーザが対象ユーザDIDの所有者であるか否かを検証する。最終的にDIDクライアントは、対象ユーザDIDを個人ユーザーデータハブに送信して、個人ユーザーデータハブが対象ユーザDIDを検証し、検証に合格した場合に、DIDクライアントは、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスして、対象発行機関によって発行されたターゲットclaimを取得する。
【0103】
ここで、対象発行機関は、生成された対象claimを個人ユーザーデータハブに記憶する前に、同様にプロキシ再暗号化メカニズムに基づいて、対象claimをプロキシ再暗号化することができる。したがって、DIDクライアントは、プロキシ再暗号化されたターゲットclaimを取得した後に復号して、ターゲットclaimを得る。データ共有のセキュリティが確保される。
【0104】
また、発行機関は、自らが発行したclaimを失効させることができ、発行機関の個人失効サービスエンドポイントに保存される失効リストである、だれでもアクセス可能なパブリックアドレスにclaim失効情報を記憶することができる。具体的には、図11は、claimを失効させる概略図である。図11に示すように、発行機関は、失効リストアドレスを対応するclaimに書き込むことができ、したがって、DIDクライアントは、失効リストアドレスをターゲットclaimから取得することができ、ターゲットclaimを発行した発行機関の個人失効サービスエンドポイントから、失効リストアドレスにアクセスして失効リストを得、ターゲットclaimの失効状態を失効リストに基づいて照会する。
【0105】
本実施例の技術的手段によれば、サービスニーズに基づいて、ユーザがDIDクライアントを介して対応する発行機関にclaimの取得を申請し、発行機関の発行によりclaimを取得することができ、それによってユーザがclaimを介して第三者プラットフォームへログインできる。
【第4実施例】
【0106】
図12は本出願の第4実施例に係るデジタルID検証方法のフローチャートであり、本実施例は、分散型アイデンティティ(DID)クライアントと第三者プラットフォームとのインタラクションにより、DID及びclaimへの検証に基づいて、ユーザにDIDを用いて第三者プラットフォームにログインさせることに適用することができ、該方法は、第三者プラットフォームによって実行されてもよいし、ソフトウェア及び/又はハードウェアの形態で実装されたデジタルID検証装置によって実行されてもよく、好ましくは、第三者プラットフォームのバックエンドサーバなどの電子機器に配置されている。図12に示すように、該方法は具体的にS1210~S1230を含む。
【0107】
S1210:対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、対象ユーザの個人ユーザーデータハブから対象ユーザのターゲットclaimを得る。
【0108】
本出願の具体的な実施例において、ログイン要求は、ログインしようとする対象ユーザに対してデジタルIDの検証を行うように第三者プラットフォームをトリガーするために用いられる。ログイン要求には、対象ユーザDID、loginID、ユーザ署名などの情報が含まれてもよい。第三者プラットフォームは、loginIDに基づいて対象ユーザの一連のログイン挙動を関連付けることができ、さらに対象ユーザDIDに基づいて、対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得して、DIDドキュメントから対象ユーザ公開鍵を取得し、対象ユーザ公開鍵を用いてユーザ署名を検証し、対象ユーザが対象ユーザDIDの真の所有者であることを検証し、デジタルIDの盗用又は偽造を防止することができる。
【0109】
本実施例では、対象ユーザのターゲットclaimは、全て自分の個人ユーザーデータハブに保存されるので、第三者プラットフォームが対象分散型アイデンティティ(DID)クライアント(対象DIDクライアント)の許可を得た後に、対象ユーザの個人ユーザーデータハブから対象ユーザのターゲットclaimを取得することができる。
【0110】
具体的には、対象DIDクライアントの第三者プラットフォームへの許可結果に基づいて、ターゲットclaimを記憶するターゲットエンドポイントアドレスを得、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、ターゲットclaimを得る。ここで、ターゲット暗号化claim及び再暗号文がプロキシ再暗号化メカニズムに基づいて暗号化して生成される。したがって、第三者プラットフォームは、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、ターゲット暗号化claim及び再暗号文を得ることができ、第三者プラットフォーム秘密鍵を用いて再暗号文を復号して対称暗号鍵を得、対称暗号鍵を用いてターゲット暗号化claimを復号して、ターゲットclaimを得る。
【0111】
S1220:対象ユーザDID及びターゲットclaimを検証する。
【0112】
本出願の具体的な実施例では、対象ユーザDIDへの検証は、現在のユーザが対象ユーザDIDの真の所有者であるか否かを検証するために用いられ、デジタルIDの盗用又は偽造が防止される。ターゲットclaimの検証については、現在のユーザが権限を有するか否かを検証するか、又は有効な発行機関の検証に基づいて第三者プラットフォームにログインする権限があるか否かを検証するために用いられる。
【0113】
具体的に、対象ユーザのユーザ署名に基づいて、対象ユーザが対象ユーザDIDの所有者であるか否かを検証する。即ち対象ユーザDIDに基づいて、対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得し、対象ユーザDIDに関連付けられるDIDドキュメントにおける対象ユーザ公開鍵に基づいて対象ユーザのユーザ署名を検証することで、対象ユーザが対象ユーザDIDの所有者であるか否かを検証する。対象ユーザDIDが検証に合格した場合に、ターゲットclaimが属する発行機関、claimタイプ、有効期限及び失効状態の少なくとも1つに基づいて、ターゲットclaimを検証する。
【0114】
S1230:対象ユーザDID及びターゲットclaimが検証に合格した場合に、対象ユーザが対象ユーザDIDを用いてログインすることに成功したと判定する。
【0115】
本実施例の技術的手段によれば、第三者プラットフォームは、対象DIDクライアントから送信されたログイン要求を受信した後に、対象DIDクライアントの許可に基づいて、対象ユーザの個人ユーザーデータハブから対象ユーザのターゲットclaimを取得して、対象ユーザDID及びターゲットclaimを検証することができ、検証に合格したと確認されると、対象ユーザが対象ユーザDIDを用いてログインすることに成功したと判定することができる。本出願の実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【第5実施例】
【0116】
図13は本出願の第5実施例に係るデジタルID検証方法のフローチャートであり、本実施例は、上記第1実施例に踏まえて、claimを取得及び検証する過程をさらに説明し、対象DIDクライアントにより提供されるターゲットエンドポイントアドレスに基づいてターゲットclaimを取得して検証することができる。図13に示すように、該方法は具体的にS1310~S1350を含む。
【0117】
S1310:対象DIDクライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、対象DIDクライアントの第三者プラットフォームへの許可結果に基づいて、ターゲットclaimを記憶するターゲットエンドポイントアドレスを得る。
【0118】
本出願の具体的な実施例では、第三者プラットフォームは、対象DIDクライアントから送信されたログイン要求を受信した後に、対象DIDクライアントにclaim取得要求を送信して、ターゲットclaimの取得を許可するように対象DIDクライアントを要求することができる。なお、対象DIDクライアントがターゲットエンドポイントアドレスをフィードバックした場合に、対象DIDクライアントの許可が得られるものとみなすことができる。ターゲットエンドポイントアドレスは、個人ユーザーデータハブに位置して、対象ユーザのDID、claim及び関連情報を記憶する。
【0119】
S1320:ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、ターゲットclaimを得る。
【0120】
本出願の具体的な実施例において、第三者プラットフォームはターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、ターゲットエンドポイントから指定されたターゲットclaimを取得することができる。ここで、データ共有のセキュリティを考慮して、ターゲットエンドポイントにおけるターゲットclaimは、対象DIDクライアントが再暗号化メカニズムに基づいて暗号化されたものであってもよく、したがって、第三者プラットフォームは取得した後に、復号によって真のターゲットclaimを取得することができる。
【0121】
選択可能に、ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、プロキシ再暗号化メカニズムに基づいて暗号化して生成されたターゲット暗号化claim及び再暗号文を得、第三者プラットフォーム秘密鍵を用いて再暗号文を復号して対称暗号鍵を得、対称暗号鍵を用いてターゲット暗号化claimを復号して、ターゲットclaimを得る。
【0122】
S1330:対象ユーザのユーザ署名に基づいて、対象ユーザが対象ユーザDIDの所有者であるか否かを検証する。
【0123】
本出願の具体的な実施例では、第三者プラットフォームが対象ユーザDIDを検証するために、ログイン要求には対象ユーザのユーザ署名がさらに含まれてもよい。選択可能に、対象ユーザDIDに基づいて、対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得し、対象ユーザDIDに関連付けられるDIDドキュメントにおける対象ユーザ公開鍵に基づいて対象ユーザのユーザ署名を検証することで、対象ユーザが対象ユーザDIDの所有者であるか否かを検証する。
【0124】
S1340:対象ユーザDIDが検証に合格した場合に、ターゲットclaimが属する発行機関、claimタイプ、有効期限及び失効状態の少なくとも1つに基づいて、ターゲットclaimを検証する。
【0125】
本出願の具体的な実施例において、ターゲットclaimが属する発行機関の関連情報、claimタイプ、有効期限等の情報をDIDドキュメントに記憶することができる。したがって、第三者はターゲットclaimが属する発行機関を取得して、信頼される発行機関であるか否かを検証することができ、claimタイプに基づいてターゲットclaimが当該第三者プラットフォームのログインに必要なclaimであるか否かを検証し、有効期限に基づいてターゲットclaimが現在限られる使用期限内にあるか否かを検証し、さらにターゲットclaimから失効リストアドレスを取得するとともに、属する発行機関の個人失効サービスセンタの失効リストアドレスにアクセスし、失効リストを取得して、ターゲットclaimの失効状態を照会することもできる。claimの全ての関連情報が検証に合格しただけで、ターゲットclaimが検証に合格したと判定できることが理解される。
【0126】
例示的に、図14はclaimを検証する概略図である。図14に示すように、発行機関はclaimの発行及び失効を制御するとともに、失効リストアドレスをclaimに書き込む。DIDクライアントはclaimを申請して得られた後に、第三者プラットフォームへのログインを要求している間に、第三者プラットフォームがclaimを得るように、第三者プラットフォームを許可する。さらに第三者プラットフォームは、対象ユーザDIDに基づいて、対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから得、DIDドキュメントの情報に基づいてclaimを検証する。同時に第三者プラットフォームはさらに、発行機関の個人失効サービスエンドポイントからclaimの失効状態を照会することができる。
【0127】
S1350:対象ユーザDID及びターゲットclaimが検証に合格した場合に、対象ユーザが対象ユーザDIDを用いてログインすることに成功したと判定する。
【0128】
本出願の具体的な実施例では、対象ユーザDIDの真正性の検証に合格して、ターゲットclaimが属する発行機関が信頼できる機関であり、ターゲットclaimがログインに必要なclaimタイプであり、ターゲットclaimが有効期限内であって、失効されていない場合に、対象ユーザDID及びターゲットclaimが検証に合格したと判定し、さらに対象ユーザが対象ユーザDIDを用いてログインすることに成功したと判定する。なお、claimの検証については、上記の例に限定されるものではなく、いかなる検証方式も本実施例に適用可能である。
【0129】
本実施例の技術的手段によれば、第三者プラットフォームは、対象DIDクライアントから送信されたログイン要求を受信した後に、対象DIDクライアントの許可に基づいてターゲットエンドポイントアドレスを得、対象ユーザの個人ユーザーデータハブのターゲットエンドポイントから対象ユーザのターゲットclaimを取得して、対象ユーザDIDを検証するとともに、ターゲットclaimが属する発行機関、claimタイプ、有効期限及び失効状態の少なくとも1つに基づいてターゲットclaimを検証し、検証に合格したことが確認されると、対象ユーザが対象ユーザDIDを用いてログインすることに成功したと判定することができる。本出願の実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【第6実施例】
【0130】
図15は本出願の第6実施例に係るデジタルID検証装置の構造概略図であり、本実施例は、分散型アイデンティティ(DID)クライアントと第三者プラットフォームとのインタラクションにより、DID及びclaimへの検証に基づいて、ユーザにDIDを用いて第三者プラットフォームにログインさせることに適用可能であり、該装置は、DIDクライアントに配置されてもよく、本出願のいずれかの実施例に記載のデジタルID検証方法を実現可能である。該装置1500は具体的に、
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るためのログイン情報取得モジュール1510と、
前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットclaimを得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットclaimを検証するためのclaim許可モジュール1520と、
前記対象ユーザDID及び前記ターゲットclaimが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするためのプラットフォームログインモジュール1530と、を含む。
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得るためのログイン情報取得モジュール1510と、
前記ターゲットログイン情報に基づいて、対象ユーザDIDを含むログイン要求を前記ターゲット第三者プラットフォームに送信して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットclaimを得るように前記ターゲット第三者プラットフォームを許可するとともに、前記対象ユーザDID及び前記ターゲットclaimを検証するためのclaim許可モジュール1520と、
前記対象ユーザDID及び前記ターゲットclaimが検証に合格した場合に、前記対象ユーザDIDを用いて前記ターゲット第三者プラットフォームにログインするためのプラットフォームログインモジュール1530と、を含む。
【0131】
選択可能に、前記ログイン情報取得モジュール1510は、具体的には、
前記対象ユーザの前記ターゲット第三者プラットフォームへのログイン操作に応答して、少なくともターゲット第三者プラットフォームDIDを含むターゲットログイン情報を得、前記ターゲット第三者プラットフォームDIDに基づいて、ブロックチェーンネットワークから前記ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得るように構成される。
前記対象ユーザの前記ターゲット第三者プラットフォームへのログイン操作に応答して、少なくともターゲット第三者プラットフォームDIDを含むターゲットログイン情報を得、前記ターゲット第三者プラットフォームDIDに基づいて、ブロックチェーンネットワークから前記ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得るように構成される。
【0132】
選択可能に、前記claim許可モジュール1520は、具体的には、
前記個人ユーザーデータハブでターゲットclaimを記憶したターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信して、前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスするように前記ターゲット第三者プラットフォームを許可するとともに、前記ターゲットclaimを得るように構成される。
前記個人ユーザーデータハブでターゲットclaimを記憶したターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信して、前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスするように前記ターゲット第三者プラットフォームを許可するとともに、前記ターゲットclaimを得るように構成される。
【0133】
さらに、前記装置1500は、暗号化モジュール1540をさらに含み、具体的には、
前記の前記個人ユーザーデータハブでターゲットclaimを記憶したターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信する前に、プロキシ再暗号化メカニズムに基づいて前記ターゲットclaimを暗号化するように構成される。
前記の前記個人ユーザーデータハブでターゲットclaimを記憶したターゲットエンドポイントアドレスを前記ターゲット第三者プラットフォームに送信する前に、プロキシ再暗号化メカニズムに基づいて前記ターゲットclaimを暗号化するように構成される。
【0134】
選択可能に、前記暗号化モジュール1540は、具体的には、
高度暗号化標準AES鍵を用いて前記ターゲットclaimを暗号化して、ターゲット暗号化claimを得、
対象ユーザ公開鍵を用いて前記AES鍵を暗号化して、対称鍵暗号文を得、
対象ユーザ秘密鍵と、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得されたターゲット第三者プラットフォーム公開鍵とに基づいて、再暗号化鍵を計算して得られ、
前記ターゲット暗号化claim、前記対称鍵暗号文及び前記再暗号化鍵を前記個人ユーザーデータハブのターゲットエンドポイントアドレスに記憶して、前記再暗号化鍵を用いて前記対称鍵暗号文を再暗号化するように前記個人ユーザーデータハブを制御し、再暗号文を生成して記憶するように構成される。
高度暗号化標準AES鍵を用いて前記ターゲットclaimを暗号化して、ターゲット暗号化claimを得、
対象ユーザ公開鍵を用いて前記AES鍵を暗号化して、対称鍵暗号文を得、
対象ユーザ秘密鍵と、ターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントから取得されたターゲット第三者プラットフォーム公開鍵とに基づいて、再暗号化鍵を計算して得られ、
前記ターゲット暗号化claim、前記対称鍵暗号文及び前記再暗号化鍵を前記個人ユーザーデータハブのターゲットエンドポイントアドレスに記憶して、前記再暗号化鍵を用いて前記対称鍵暗号文を再暗号化するように前記個人ユーザーデータハブを制御し、再暗号文を生成して記憶するように構成される。
【0135】
選択可能に、前記ターゲットエンドポイントアドレスは、前記ターゲット第三者プラットフォームが前記ターゲットエンドポイントアドレスに基づいて前記ターゲット暗号化claim及び前記再暗号文を取得するとともに、ターゲット第三者プラットフォーム秘密鍵に基づいて前記再暗号文を復号して対称暗号鍵を得、前記対称暗号鍵に基づいて前記ターゲット暗号化claimを復号して前記ターゲットclaimを得るように構成される。
【0136】
さらに、前記装置1500は、claim申請モジュール1550をさらに含み、具体的には、
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、発行機関レジストリにおける発行機関のサービス情報に基づいて、claimを発行した対象発行機関を検索し、
claim申請要求を前記対象発行機関に送信して、前記対象ユーザのターゲットclaimを生成するように前記対象発行機関を制御し、
前記対象発行機関が前記claim申請要求に応答して発行したターゲットclaimを得るように構成される。
対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、発行機関レジストリにおける発行機関のサービス情報に基づいて、claimを発行した対象発行機関を検索し、
claim申請要求を前記対象発行機関に送信して、前記対象ユーザのターゲットclaimを生成するように前記対象発行機関を制御し、
前記対象発行機関が前記claim申請要求に応答して発行したターゲットclaimを得るように構成される。
【0137】
選択可能に、前記claim申請モジュール1550は、具体的には、
前記対象発行機関が前記claim申請要求に応答してフィードバックしたターゲットエンドポイントアドレスを受信することであって、前記ターゲットエンドポイントアドレスが前記対象ユーザの個人ユーザーデータハブに位置し、前記対象発行機関がプロキシ再暗号化したターゲットclaimを記憶する、ことと、
前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスし、プロキシ再暗号化したターゲットclaimを得ることと、
前記プロキシ再暗号化したターゲットclaimを対象ユーザ秘密鍵を用いて復号して、前記ターゲットclaimを得ることとを実行するように構成される。
前記対象発行機関が前記claim申請要求に応答してフィードバックしたターゲットエンドポイントアドレスを受信することであって、前記ターゲットエンドポイントアドレスが前記対象ユーザの個人ユーザーデータハブに位置し、前記対象発行機関がプロキシ再暗号化したターゲットclaimを記憶する、ことと、
前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスし、プロキシ再暗号化したターゲットclaimを得ることと、
前記プロキシ再暗号化したターゲットclaimを対象ユーザ秘密鍵を用いて復号して、前記ターゲットclaimを得ることとを実行するように構成される。
【0138】
選択可能に、前記claim申請モジュール1550は、具体的には、
前記の前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスする前に、前記対象ユーザDIDを前記個人ユーザーデータハブに送信し、前記個人ユーザーデータハブは、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得するとともに、前記DIDドキュメントにおける対象ユーザ公開鍵を用いて前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証するように構成される。
前記の前記ターゲットエンドポイントアドレスに基づいて、前記個人ユーザーデータハブにおけるターゲットエンドポイントにアクセスする前に、前記対象ユーザDIDを前記個人ユーザーデータハブに送信し、前記個人ユーザーデータハブは、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから取得するとともに、前記DIDドキュメントにおける対象ユーザ公開鍵を用いて前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証するように構成される。
【0139】
さらに、前記装置1500は、具体的には、
前記の前記対象発行機関が前記claim申請要求に応答して発行されたターゲットclaimを得た後に、前記ターゲットclaimから失効リストアドレスを取得し、
前記ターゲットclaimを発行した発行機関の個人失効サービスエンドポイントから、前記失効リストアドレスにアクセスして失効リストを得、
前記失効リストに基づいて前記ターゲットclaimの失効状態を照会するように構成される失効照会モジュール1560をさらに含む。
前記の前記対象発行機関が前記claim申請要求に応答して発行されたターゲットclaimを得た後に、前記ターゲットclaimから失効リストアドレスを取得し、
前記ターゲットclaimを発行した発行機関の個人失効サービスエンドポイントから、前記失効リストアドレスにアクセスして失効リストを得、
前記失効リストに基づいて前記ターゲットclaimの失効状態を照会するように構成される失効照会モジュール1560をさらに含む。
【0140】
さらに、前記装置1500は、具体的には、
前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、対象ユーザのDID作成要求に応答して、前記対象ユーザに対象ユーザDID及び少なくとも1つの公開鍵・秘密鍵ペアを作成するように構成されるDID作成モジュール1570をさらに含む。
前記対象ユーザのターゲット第三者プラットフォームへのログイン操作に応答して、前記ターゲット第三者プラットフォームのターゲットログイン情報を得る前に、対象ユーザのDID作成要求に応答して、前記対象ユーザに対象ユーザDID及び少なくとも1つの公開鍵・秘密鍵ペアを作成するように構成されるDID作成モジュール1570をさらに含む。
【0141】
本実施例の技術的手段によれば、各機能モジュール間の相互協働により、DIDの作成、claimの申請、ログイン情報の取得、claimの暗号化及び復号、第三者プラットフォームの許可、プラットフォームのログイン、及び失効状態照会などの機能を実現する。本出願の実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【第7実施例】
【0142】
図16は本出願の第7実施例に係るデジタルID検証装置の構造概略図であり、本実施例は、分散型アイデンティティ(DID)クライアントと第三者プラットフォームとのインタラクションにより、DID及びclaimへの検証に基づいて、ユーザにDIDを用いて第三者プラットフォームにログインさせることに適用可能であり、該装置は、第三者プラットフォームに配置されてもよく、本出願のいずれかの実施例に記載のデジタルID検証方法を実現可能である。該装置1600は、具体的に、
対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットclaimを得るためのclaim取得モジュール1610と、
前記対象ユーザDID及び前記ターゲットclaimを検証するためのclaim検証モジュール1620と、
前記対象ユーザDID及び前記ターゲットclaimが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するためのユーザログインモジュール1630と、を含む。
対象分散型アイデンティティ(DID)クライアントから送信された、対象ユーザDIDを含むログイン要求に応答して、前記対象ユーザの個人ユーザーデータハブから前記対象ユーザのターゲットclaimを得るためのclaim取得モジュール1610と、
前記対象ユーザDID及び前記ターゲットclaimを検証するためのclaim検証モジュール1620と、
前記対象ユーザDID及び前記ターゲットclaimが検証に合格した場合に、前記対象ユーザが前記対象ユーザDIDを用いてログインすることに成功したと判定するためのユーザログインモジュール1630と、を含む。
【0143】
選択可能に、前記claim取得モジュール1610は、具体的には、
前記対象DIDクライアントの第三者プラットフォームへの許可結果に基づいて、前記ターゲットclaimを記憶するターゲットエンドポイントアドレスを得、
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、前記ターゲットclaimを得るように構成される。
前記対象DIDクライアントの第三者プラットフォームへの許可結果に基づいて、前記ターゲットclaimを記憶するターゲットエンドポイントアドレスを得、
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、前記ターゲットclaimを得るように構成される。
【0144】
選択可能に、前記claim取得モジュール1610は、具体的には、
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、プロキシ再暗号化メカニズムに基づいて暗号化して生成されたターゲット暗号化claim及び再暗号文を得、
第三者プラットフォーム秘密鍵を用いて前記再暗号文を復号して、対称暗号鍵を得、
前記対称暗号鍵を用いて前記ターゲット暗号化claimを復号して、ターゲットclaimを得るように構成される。
前記ターゲットエンドポイントアドレスに基づいて個人ユーザーデータハブのターゲットエンドポイントにアクセスして、プロキシ再暗号化メカニズムに基づいて暗号化して生成されたターゲット暗号化claim及び再暗号文を得、
第三者プラットフォーム秘密鍵を用いて前記再暗号文を復号して、対称暗号鍵を得、
前記対称暗号鍵を用いて前記ターゲット暗号化claimを復号して、ターゲットclaimを得るように構成される。
【0145】
選択可能に、前記claim検証モジュール1620は、具体的には、
前記対象ユーザのユーザ署名に基づいて、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証し、
検証に合格した場合に、前記ターゲットclaimが属する発行機関、claimタイプ、有効期限及び失効状態の少なくとも1つに基づいて、前記ターゲットclaimを検証するように構成される。
前記対象ユーザのユーザ署名に基づいて、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証し、
検証に合格した場合に、前記ターゲットclaimが属する発行機関、claimタイプ、有効期限及び失効状態の少なくとも1つに基づいて、前記ターゲットclaimを検証するように構成される。
【0146】
選択可能に、前記claim検証モジュール1620は、具体的には、
前記対象ユーザDIDに基づいて、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから得、
前記対象ユーザDIDに関連付けられるDIDドキュメントにおける対象ユーザ公開鍵に基づいて、前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証するように構成される。
前記対象ユーザDIDに基づいて、前記対象ユーザDIDに関連付けられるDIDドキュメントをブロックチェーンネットワークから得、
前記対象ユーザDIDに関連付けられるDIDドキュメントにおける対象ユーザ公開鍵に基づいて、前記対象ユーザのユーザ署名を検証することで、前記対象ユーザが前記対象ユーザDIDの所有者であるか否かを検証するように構成される。
【0147】
本実施例の技術的手段によれば、各機能モジュール間の相互協働により、claimの取得、claimの復号、DIDの検証、claimの検証及びユーザのログインなどの機能を実現する。本出願の実施例は、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【第8実施例】
【0148】
本出願の実施例によれば、本出願は電子機器及び可読記憶媒体をさらに提供する。
【0149】
図17に示すように、本出願の実施例に係るデジタルID検証方法の電子機器のブロック図である。電子機器は、ラップトップコンピュータ、デスクトップコンピュータ、ワークステーション、携帯情報端末、サーバ、ブレードサーバ、メインフレームコンピュータ、及び他の適切なコンピュータなどの様々な形態のデジタルコンピュータを表すことが意図される。電子機器はさらに、パーソナルデジタルアシススタント、セルラ電話、スマートフォン、ウェアラブルデバイス、及び他の同様のコンピューティングデバイスなどの様々な形態のモバイルデバイスを表すことができる。本明細書に示される構成要素、それらの接続及び関係、並びにそれらの機能は、単に例示的なものに過ぎず、本明細書に記載され、及び/又は特許請求される本出願の実施を限定することを意図するものではない。
【0150】
図17に示すように、該電子機器は、1つ又は複数のプロセッサ1701と、メモリ1702と、各コンポーネント接続されるための、高速インタフェース及び低速インタフェースを含むインタフェースとを含む。各コンポーネントは、異なるバスにより相互に接続されており、共通のマザーボード上に実装されてもよいし、又は必要に応じて他の形態で実装されてもよい。プロセッサは、電子機器内で実行する命令を処理することができ、その命令には、インタフェースに結合される表示装置などの外部入出力装置上にグラフィカルユーザインタフェース(Graphical User Interface,GUI)のグラフィック情報を表示するための命令、又はメモリに記憶された命令が含まれる。他の実施形態では、必要に応じて、複数のプロセッサ及び/又は複数のバスを複数のメモリとともに使用することができる。同様に、複数の電子機器を接続することができ、各機器は、例えば、サーバアレイ、ブレードサーバのグループ、又はマルチプロセッサシステムとして必要な動作の一部を提供する。図17において、プロセッサ1701を例としている。
【0151】
メモリ1702は、本出願に係る非一時的コンピュータ可読記憶媒体である。前記メモリは、本出願に係るデジタルID検証方法を前記少なくとも1つのプロセッサによって実行させるために、少なくとも1つのプロセッサによって実行可能な命令を記憶している。本出願の非一時的コンピュータ可読記憶媒体は、コンピュータに本出願に係るデジタルID検証方法を実行させるためのコンピュータ命令を記憶する。
【0152】
メモリ1702は、非一時的コンピュータ可読記憶媒体として、非一時的なソフトウェアプログラム、非一時的なコンピュータ実行可能なプログラム、及び本出願の実施例におけるデジタルID検証方法に対応するプログラム命令/モジュール、図15に示すようなログイン情報取得モジュール1510、claim許可モジュール1520、プラットフォームログインモジュール1530、暗号化モジュール1540、claim申請モジュール1550、失効照会モジュール1560及びDID作成モジュール1570、並びに、図16に示すようなclaim取得モジュール1610、claim検証モジュール1620及びユーザログインモジュール1630などのようなモジュールを記憶するように構成されてもよい。プロセッサ1701は、メモリ1702に記憶された非一時的なソフトウェアプログラム、命令及びモジュールを実行することにより、サーバの様々な機能アプリケーション及びデータ処理を実行し、即ち上記の方法の実施例におけるデジタルID検証方法を実現する。
【0153】
メモリ1702は、オペレーティングシステム、少なくとも1つの機能に必要なアプリケーションを記憶することができるプログラム記憶領域と、デジタルID検証方法を実現する電子機器の使用によって作成されるデータなどを記憶することができるデータ記憶領域とを含むことができる。なお、メモリ1702は、高速ランダムアクセスメモリを含んでもよく、さらに、少なくとも1つの磁気ディスクメモリデバイス、フラッシュメモリデバイス、又は他の非一時的なソリッドステートメモリデバイスなどの、非一時的メモリを含んでもよい。いくつかの実施例では、メモリ1702は、選択可能に、プロセッサ1701に対して遠隔に設けれるメモリを含んでもよく、これらのリモートメモリは、デジタルID検証方法を実行する電子機器にネットワークを介して接続されてもよい。上記ネットワークの例としては、インターネット、企業イントラネット、ローカルエリアネットワーク、移動体通信ネットワーク及びこれらの組み合わせを含むことができるが、これらに限定されない。
【0154】
デジタルID検証方法を実行する電子機器はさらに、入力装置1703及び出力装置1704を含むことができる。プロセッサ1701、メモリ1702、入力装置1703及び出力装置1704はバスで接続されていてもよいし、他の方式で接続されていてもよいが、図17ではバスで接続されている例を示している。
【0155】
入力装置1703は、入力された数字又は文字情報を受信し、タッチスクリーン、キーパッド、マウス、トラックパッド、タッチパッド、ポインティングスティック、1つ又は複数のマウスボタン、トラックボール、ジョイスティックなどの入力装置からの、デジタルID検証方法を実行する電子機器のユーザ設定及び機能制御に関するキー信号入力を生成することができる。出力装置1704は、表示装置、発光ダイオード(Light Emitting Diode,LED)のような補助照明装置及び振動モータのような触覚フィードバック装置などを含むことができる。該表示装置は、液晶ディスプレイ(Liquid Crystal Display,LCD)、LEDディスプレイ及びプラズマディスプレイを含むことができるが、これらに限定されない。いくつかの実施形態では、表示装置はタッチスクリーンであってもよい。
【0156】
本明細書で説明されるシステム及び技術の様々な実施形態は、デジタル電子回路システム、集積回路システム、特定用途向け集積回路(Application Specific Integrated Circuit,ASIC)、コンピュータハードウェア、ファームウェア、ソフトウェア、及び/又はそれらの組み合わせにおいて実装することができる。これらの様々な実施形態は、記憶システム、少なくとも1つの入力装置、及び少なくとも1つの出力装置からデータ及び命令を受信し、該記憶システム、該少なくとも1つの入力装置、及び該少なくとも1つの出力装置にデータ及び命令を送信することができる、専用又は汎用のプログラマブルプロセッサであり得る少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上で実行及び/又は解釈可能な1つ以上のコンピュータプログラムで実装することを含むことができる。
【0157】
これらの計算プログラムは、プログラム、ソフトウェア、ソフトウェアアプリケーション、又はコードとも呼ばれ、プログラマブルプロセッサの機械命令を含み、高レベルプロセス及び/又はオブジェクト指向プログラミング言語、及び/又はアセンブリ言語/機械語で実装されてもよい。本明細書で使用されるように、用語「機械可読媒体」及び「コンピュータ可読媒体」とは、機械可読信号として機械命令を受信する機械可読媒体を含む、プログラマブルプロセッサに機械命令及び/又はデータを提供するための任意のコンピュータプログラム製品、デバイス、及び/又は装置(例えば、磁気ディスク、光ディスク、メモリ、プログラマブルロジックデバイス(Programmable Logic Device,PLD))を指す。「機械可読信号」という用語は、機械命令及び/又はデータをプログラマブルプロセッサに提供するために使用される任意の信号を指す。
【0158】
ユーザとのインタラクションを提供するために、本明細書に記載されたシステム及び技術は、ユーザに情報を表示するための表示装置(例えば、陰極線管(Cathode Ray Tube,CRT)又はLCDモニタ)と、ユーザがコンピュータに入力を提供することができるキーボード及びポインティングデバイス(例えば、マウス又はトラックボール)とを有するコンピュータ上で実装されてもよい。他の種類の装置はさらに、ユーザとのインタラクションを提供するために用いられてもよく、例えば、ユーザに提供されるフィードバックは、任意の形態の視覚フィードバック、聴覚フィードバック、又は触覚フィードバックなどの感覚フィードバックであってもよく、ユーザからの入力は、音響入力、音声入力又は触覚入力を含む任意の形態で受信されてもよい。
【0159】
バックグラウンドコンポーネントを含むコンピューティングシステム(例えば、データサーバ)、又はミドルウェアコンポーネントを含むコンピューティングシステム(例えば、アプリケーションサーバ)、又はフロントエンドコンポーネントを含むコンピューティングシステム(例えば、グラフィカルユーザインタフェース又はウェブブラウザを有するユーザコンピュータであって、ユーザは、該グラフィカルユーザインタフェース又は該ウェブブラウザを介して、本明細書で説明するシステム及び技術の実施形態と対話することができる)、又はそのようなバックグラウンドコンポーネント、ミドルウェアコンポーネント、又はフロントエンドコンポーネントの任意の組み合わせを含むコンピューティングシステムに、本明細書で説明するシステム及び技術を実装することができる。システムの構成要素を、任意の形式又は媒体のデジタルデータ通信(例えば、通信ネットワーク)を介して相互接続することができる。通信ネットワークの例としては、ローカルエリアネットワーク(Local Area Network,LAN)、ワイドエリアネットワーク(Wide Area Network,WAN)、インターネット及びブロックチェーンネットワークを含む。
【0160】
コンピュータシステムは、クライアント及びサーバを含むことができる。クライアント及びサーバは、一般的に互いに離れており、通常、通信ネットワークを介して対話する。クライアントとサーバとの関係は、対応するコンピュータ上で動作され、互いにクライアント-サーバ関係を有するコンピュータプログラムによって生成される。
【0161】
本出願の実施例の技術的手段によれば、W3Cが策定するDID規格に対してDIDクライアント及び個人ユーザーデータハブ等のアーキテクチャの追加及び定義を行うことにより、DIDクライアント、個人ユーザーデータハブと他の既存構造との間のインタラクションに基づいて、デジタルID検証システム全体のワークフロー及びアクセス方式を明確にし、完備したデジタルID検証システムを実現可能にするとともに、DIDアカウントを使用し管理するDIDクライアントをユーザや企業に提供し、デジタルIDの絶対的な保有性及び制御可能性を保証した。
【0162】
また、ブロックチェーンネットワークがDID及びその関連情報を記憶することができ、各参加者のために情報サービスを提供する。したがって、DIDクライアントは、データを暗号化し共有して使用するために、ブロックチェーンネットワークを介してターゲット第三者プラットフォームDIDに関連付けられるDIDドキュメントを得ることができる。
【0163】
また、ターゲットエンドポイントアドレスが、個人ユーザーデータハブから指定されたclaimを取得するようにターゲット第三者プラットフォームに指示するために用いられ、さらにターゲットエンドポイントアドレスの送信によってターゲット第三者プラットフォームを許可する目的が達成され、claimの共有を実現可能にする。
【0164】
また、プロキシ再暗号化メカニズムを用いてclaimの共有を可能にし、claimの漏洩を防止し、データのセキュリティを確保できる。
【0165】
また、プロキシ再暗号化メカニズムの目的が、対象ユーザ公開鍵が暗号化されたデータに基づいて、ターゲット第三者プラットフォームである共有者によってターゲット第三者プラットフォーム秘密鍵を用いて取得されたデータを復号し、データ共有のセキュリティを確保することができることにある。
【0166】
また、ターゲットエンドポイントアドレスが、指定されたclaimを取得するようにターゲット第三者プラットフォームに指示するために用いられ、したがって、プロキシ再暗号化メカニズムの保護下で、ターゲット第三者プラットフォームが、取得されたclaimを復号する必要があり、データ共有のセキュリティを確保する。
【0167】
また、サービスニーズに基づいて、ユーザがDIDクライアントを介して対応する発行機関にclaimの取得を申請し、ユーザによるclaimを介した第三者プラットフォームへのログインが便利になる。
【0168】
また、claimの発行がデータの共有プロセスでもあることを考慮するため、発行機関は発行時に、発行されたclaimをDIDクライアントに共有するために、プロキシ再暗号化技術を同様に用いることができる。
【0169】
また、参加者のいずれかがインタラクションを行うときに、ブロックチェーンネットワークで記憶したデジタルID及び関連情報に基づいて、既知の相手のDIDに基づいて、相手のDIDデジタルIDを検証することで、相手が既知のDIDの真の所有者であることを確定し、インタラクション相手によるデジタルIDの盗用や偽造を防止し、インタラクションの安全性を確保することができる。
【0170】
また、発行機関が発行されたclaimを失効させることもでき、したがって、他の参加者が、claimに記録された失効リストアドレスを介してclaimの失効状態を照会し、無効なclaimの使用を防止することができる。
【0171】
また、DIDクライアントがDID作成サービスをユーザに提供することで、ユーザのためにユニバーサルユニークなデジタルIDを提供する。
【0172】
なお、上記に示された様々な形態のフローが、ステップの順序変更、追加又は削除により使用されてもよい。例えば、本出願に記載された各ステップは、並列に実行されても、順次的に実行されても、異なる順序で実行されてもよく、本明細書に開示された技術的解決手段の所望の結果を実現できるものであれば、本明細書に限定しない。
【0173】
上記の具体的な実施形態は、本出願の保護範囲を制限するものではない。当業者には明らかなように、設計要求及び他の要素に応じて、様々な変更、組み合わせ、再組合及び置換を行うことができる。本出願の精神及び原則の範囲内で行われたいかなる変更、均等置換及び改良などは、いずれも本出願の保護範囲内に含まれるべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】