▶ ヴィチェーン グローバル テクノロジー エス・アー エール・エルの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-11-22
(45)【発行日】2022-12-01
(54)【発明の名称】利用者識別認証データを管理する方法および装置
(51)【国際特許分類】
H04L 9/32 20060101AFI20221124BHJP
G09C 1/00 20060101ALI20221124BHJP
G06F 21/31 20130101ALI20221124BHJP
G06F 21/33 20130101ALI20221124BHJP
G06F 21/64 20130101ALI20221124BHJP
【FI】
H04L9/32 200B
G09C1/00 640E
G06F21/31
G06F21/33
G06F21/64
【請求項の数】
9
(21)【出願番号】P 2021512236
(86)(22)【出願日】2019-09-03
(65)【公表番号】
(43)【公表日】2021-12-27
(86)【国際出願番号】 IB2019057406
(87)【国際公開番号】W WO2020049452
(87)【国際公開日】2020-03-12
【審査請求日】2021-06-17
(31)【優先権主張番号】201811021607.2
(32)【優先日】2018-09-03
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】519195453
【氏名又は名称】ヴィチェーン グローバル テクノロジー エス・アー エール・エル
(74)【代理人】
【識別番号】100136319
【弁理士】
【氏名又は名称】北原 宏修
(74)【代理人】
【識別番号】100148275
【弁理士】
【氏名又は名称】山内 聡
(74)【代理人】
【識別番号】100142745
【弁理士】
【氏名又は名称】伊藤 世子
(74)【代理人】
【識別番号】100143498
【弁理士】
【氏名又は名称】中西 健
(72)【発明者】
【氏名】ヤン チャン
(72)【発明者】
【氏名】ジャンリャン グ
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2011-130420(JP,A)
【文献】特開2014-032517(JP,A)
【文献】米国特許出願公開第2016/0134617(US,A1)
【文献】米国特許第09882892(US,B1)
【文献】韓国公開特許第10-2005-0010589(KR,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G09C 1/00
G06F 21/31
G06F 21/33
G06F 21/64
(57)【特許請求の範囲】
【請求項1】
管理装置において、照会対象の利用者の原識別データに対する照会要求者からの照会要求を認証することと、前記照会要求が正常に認証されたことに応答して前記照会要求に対する許可情報を前記照会要求者に送信することと、
複数の認証装置のうちの1つ以上の認証装置によって保存される前記原識別データに関連するマッピング情報に基づいて、前記原識別データを照会する前記複数の認証装置のうちから少なくとも1つを決定することと、
前記照会対象の利用者からの前記照会要求に対応する署名情報を受信したことに応答して前記署名情報および鍵を前記少なくとも1つの認証装置に送信することと
を備え、
前記照会要求は、前記照会対象の原識別データを暗号化するための少なくとも1つの鍵を含み、
前記署名情報は、前記照会対象の利用者が前記要求を承認することを示し、前記許可情報に基づいて前記照会対象の利用者の端末装置によって生成されており、前記許可情報は、前記照会要求者から、前記照会対象の利用者の前記端末装置で受信され続けている、利用者識別認証データを管理する方法。
【請求項2】
前記許可情報を送信することは、前記照会要求者が正当であるかどうか、および、前記照会対象の原識別データを保存した少なくとも1つの認証装置が存在するかどうかの確認に基づいて、前記照会要求が正常に認証されたかどうかを判別することと、
前記照会要求が正常に認証されたと判断されたことに応答して前記照会要求者に前記許可情報を送信することと
を備え、
前記許可情報は、一時セッション・トークンを備える、請求項1に記載の方法。
【請求項3】
前記複数の認証装置から前記少なくとも1つの認証装置を決定するステップは、前記照会要求および前記マッピング情報に基づいて、前記照会対象の原識別データを記憶している少なくとも1つの認証装置を決定することを備え、
前記照会要求は、前記照会対象の利用者の関連アカウント識別子と、前記照会対象の原識別データを記憶している前記認証装置による前記原識別データの事前認証からの前記原識別データの認証結果のフラグと関連付けられている前記マッピング情報とをさらに備える、請求項1に記載の方法。
【請求項4】
前記照会対象の利用者からのフィードバックデータを取得することと、前記フィードバックデータが前記許可情報に一致することを確認したことに応答して前記照会対象の利用者に許可確認要求を送信することと
をさらに備え、
前記フィードバックデータは、前記照会要求者から受信される前記許可情報に基づいて、前記利用者によって生成され、
前記許可確認要求は、前記照会対象の利用者に、許可を確認する前記署名情報に応答することを要求するために利用される、請求項1に記載の方法。
【請求項5】
前記署名情報は、少なくとも前記照会要求者、前記照会対象の利用者、および前記照会対象の原識別データを示す、請求項1に記載の方法。
【請求項6】
前記照会対象の原識別データ、前記照会対象の原識別データ、および前記照会対象の原識別データのハッシュ値を保存する少なくとも1つの認証装置から、前記鍵によって暗号化された前記照会対象の原識別データおよび前記照会対象の原識別データのハッシュ値、ブロックチェーン・プラットフォームから取得されている前記照会対象の原識別データのハッシュ値を取得することと、前記暗号化された前記照会対象の原識別データ、および、前記暗号化された照会対象の原識別データのハッシュ値を、前記照会要求者に送信することと
をさらに備え、
前記鍵は、前記照会要求者の公開鍵であり、
前記照会対象の原識別データのハッシュ値は、前記照会対象の原識別データを認証するために利用される、請求項1に記載の方法。
【請求項7】
1つ以上のプログラムを保存するように構成されるメモリと、前記メモリに結合されると共に、「照会対象の利用者の原識別データに対する照会要求者からの照会要求を認証することと、前記照会要求が正常に認証されたことに応答して前記照会要求に対する許可情報を前記照会要求者に送信することと、前記原識別データに関連するマッピング情報に基づいて、前記原識別データを照会する複数の認証装置のうちから少なくとも1つを決定することと、前記照会対象の利用者からの前記照会要求に対応する署名情報を受信したことに応答して前記署名情報および鍵を前記少なくとも1つの認証装置に送信することとを備え、前記照会要求は、前記照会対象の原識別データを暗号化するための少なくとも1つの鍵を含み、前記署名情報は、前記照会対象の利用者が前記要求を承認することを示し、前記許可情報に基づいて生成されている、利用者識別認証データを管理する方法」を管理装置に実行させる前記1つ以上のプログラムを実行するように構成される処理ユニットと
を備える、利用者識別認証データの管理装置。
【請求項8】
機械実行可能命令が保存されており、前記機械実行可能命令が実行されると、請求項1から6のいずれか1項に記載の方法を機械に実行させる、非一時的なコンピュータ可読記憶媒体。
【請求項9】
非一時的なコンピュータ可読媒体上に有形に保存され、機械実行可能命令を備え、前記機械実行可能命令は、実行されると、請求項1から6のいずれか1項に記載の方法を機械に実行させる、コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は利用者識別認証データを管理する方法および装置に関するものであり、より具体的には、ブロックチェーン・プラットフォームを含むシステムで利用者識別認証データを管理する方法、照会を許可する方法、管理装置、認証装置、利用者端末装置、非一時的なコンピュータ可読記憶媒体およびコンピュータプログラム製品に関するものである。
【背景技術】
【0002】
個人または企業は、多くの場面で認証を受ける必要がある。従来の利用者識別データ認証および管理体系では、個人または企業は、原識別データ(個人のIDカードのスキャンコピー、企業のビジネス・ライセンスのスキャンコピーなど)を、異なる認証機関に提出して識別認証してもらう必要がある。例えば、企業がインターネット・プラットフォームAの販売者になることを申請する場合、指定されたKYC(Know Your Customer)認証機関は、その企業から提出された原身分証明書またはデータ(企業のビジネス・ライセンス、一次連絡先および受益所有者の身分証明書のスキャンコピー、口座開設ライセンスまたは公的な口座取引明細書等)について検証および認証を行う必要がある。そして、この検証および認証の期間は、数日以上であってよい。企業がインターネット・プラットフォームBの販売者になることを申請する場合またはその他の資格を申請する場合には、その企業によって提出された原識別データについて、他のKYC認証機関がその他の検証・認証を行うことも義務付けられている。
【0003】
従来の利用者識別データ認証および管理体系では、原識別認証データ、認証プロセス、および異なる認証機関の認証結果が比較的バラバラであり、効果的で、信頼性が高い許可データ相互作用解決策が存在しない。このため、異なる認証機関が同じ利用者の同じ原識別データを繰り返し検証および認証することになっており、大量の社会資源が浪費される結果となっている。これは、識別認証の効率性、および識別認証データの効率的な管理と信頼性を有する共有を向上させるためには役立たない。
【発明の概要】
【0004】
本開示は、利用者識別認証データを管理する方法および装置を提供する。これによって、認証機関によって認証された利用者識別認証データの信頼性を有する共有を効果的に実行することができる。
【0005】
本開示の第1の態様によれば、利用者識別認証データを管理する方法が提供される。本方法は、管理装置において、照会対象の利用者の原識別データに対する照会要求者からの照会要求を認証することと、前記照会要求が正常に認証されたことに応答して前記照会要求に対する許可情報を前記照会要求者に送信することと、複数の認証装置によって保存される前記原識別データに関連するマッピング情報に基づいて、前記照会対象の原識別データを保存する前記複数の認証装置のうちから少なくとも1つを決定することと、前記照会対象の利用者からの前記照会対象の原識別データについての署名情報を受信したことに応答して前記署名情報および鍵を前記少なくとも1つの認証装置に送信することを含み、前記照会要求は、前記照会対象の原識別データを暗号化するための少なくとも1つの鍵を含み、前記署名情報は、前記照会要求者から受信した前記許可情報に基づいて前記照会対象の利用者の端末装置によって生成されている。
【0006】
本開示の第2の態様によれば、利用者識別認証データを管理する方法が提供される。この方法は、認証装置において、利用者識別認証データ管理装置にマッピング情報を送信すること、照会対象の利用者の照会対象の原識別データの許可に関係する署名情報および鍵を前記管理装置から取得することと、前記署名情報が正常に認証されたことが確認されたことに応答して照会対象の原識別データおよび前記照会対象の原識別データのハッシュ値を鍵に基づいて暗号化することと、暗号化済みの前記照会対象の原識別データおよび暗号化済みの前記照会対象原識別データのハッシュ値を前記管理装置または照会要求者に送信することとを含み、前記マッピング情報は、前記認証装置によって保存される原識別データに関連付けられており、前記照会対象の原識別データのハッシュ値は、ブロックチェーン・プラットフォームから取得され、前記照会対象の原識別データのハッシュ値は、照会対象の原識別データを認証するために利用される。
【0007】
本開示の第3の態様によれば、利用者識別認証データの照会を許可するための方法が提供される。この方法は、照会対象の利用者の端末装置において、照会要求者から許可情報を取得することと、フィードバックデータを管理装置に送信することと、管理装置から許可確認要求を取得することと、許可確認要求の許可を確認することに応答して照会対象の原識別データに関する署名情報を管理装置に送信することとを含み、許可情報は、照会対象の原識別データに関連し、フィードバックデータは、許可情報に基づいて生成し、許可確認要求は、フィードバックデータが許可情報に一致することを確認したことに応答して管理装置によって生成される。
【0008】
本開示の第4の態様によれば、利用者識別認証データの管理装置が提供される。装置は、1つまたは複数のプログラムを保存するように構成されたメモリと、メモリに結合されると共に、本開示の第1の態様の方法を管理装置に実行させる前記1つまたは複数のプログラムを実行させるように構成された処理ユニットとを含む。
【0009】
本開示の第5の態様によれば、利用者識別認証データの認証装置が提供される。装置は、1つまたは複数のプログラムを保存するように構成されたメモリと、メモリに結合されると共に、本開示の第2の態様の方法を認証装置に実行させる前記1つまたは複数のプログラムを実行させるように構成された処理ユニットとを含む。
【0010】
本開示の第6の態様によれば、利用者端末装置が提供される。装置は、1つまたは複数のプログラムを保存するように構成されたメモリと、メモリに結合されると共に、本開示の第3の態様の方法を利用者端末デバイスに実行させる前記1つまたは複数のプログラムを実行させるように構成された処理ユニットとを含む。
【0011】
本開示の第7の態様によれば、機械実行可能命令が保存された非一時的なコンピュータ可読記憶媒体が提供され、機械実行可能命令は、実行されると、本開示の第1、第2、および第3の態様のいずれかの方法を機械に実行させる。
【0012】
本開示の第8の態様によれば、コンピュータプログラム製品が提供される。コンピュータプログラム製品は、非一時的なコンピュータ可読媒体上に有形に保存され、機械実行可能命令を備え、機械実行可能命令は、実行されると、本開示の第1、第2、および第3の態様のいずれかの方法を機械に実行させる。
【0013】
この概要は、以下の発明を実施するための形態でさらに説明される概念の選択を簡略化された形態で紹介される。この概要は、特許請求される主題の重要な特徴または本質的な特徴を識別することを意図するものではなく、特許請求される主題の範囲を限定するために使用されることを意図するものでもない。
【図面の簡単な説明】
【0014】
本開示の上記および他の目的、特徴および利点は、図面を参照して本開示の例示的実施形態をより詳細に説明することによってより明らかになる。図面において、同一の参照符号は、本開示の例示的実施形態における同一の部分を表す。
【0015】
【図1】本開示の実施形態による利用者識別認証データの管理システム100の設計図を示す。
【図2】本開示の実施形態による利用者識別認証データの管理方法200のフローチャートを示す。
【図3】本開示の実施形態による利用者識別認証データの管理方法300のフローチャートを示す。
【図4】本開示の実施形態による利用者識別認証データの照会を許可する方法400のフローチャートを示す。
【図5】本開示の実施形態による利用者識別認証データの管理方法500のデータフロー方向の図を示す。
【図6】本開示の実施形態を実行するように適合された電子デバイス600のブロック図を示す。
【0016】
図面全体を通して、同一または類似の符号は、同一または対応する要素を示すために使用されている。
【発明を実施するための形態】
【0017】
本開示の例示的な実施形態は、添付の図面を参照してより詳細に説明される。図面は本開示の例示的な実施形態を示しているが、本開示は様々な形態で実施することができ、本明細書で説明する実施形態によって限定されるべきではないことを理解されたい。むしろ、これらの実施形態は、本開示をより透明かつ完全にし、本開示の範囲を当業者に完全に伝えるために提供される。
【0018】
本明細書において、「備える」との用語およびその変形体は「備えるが、それに限定されない」を意味するオープンな用語として読解されるべきである。「基づく」との用語は「少なくとも部分的に基づく」と読解されるべきである。「一実施形態」および「実施形態」との用語は「少なくとも1つの実施形態」と読解されるべきである。「別の実施形態」との用語は「少なくとも1つの他の実施形態」と読解されるべきである。「第1の」、「第2の」等の用語は、異なるまたは同じ物体を参照している。他の定義は明示的および暗示的であって以下に含め得る。
【0019】
上述したように、従来の利用者識別認証およびデータ管理体系において、原識別認証データ、異なる認証機関の認証プロセスおよび認証結果は、例えば、データ相互作用のセキュリティ対策の欠如、および原識別データを照会するための利用者クレジット情報の欠如により、比較的バラバラである。信頼性の高いデータ相互作用は実現することができないため、同一利用者の同一の原識別データが、異なる認証機関によって繰り返し認証され、認証機関によって証明された信頼性の高い認証結果が有効に利用できず、それによって大量の社会資源の浪費が引き起こされている。これは識別認証の効率化、ならびに、識別認証データの効率的管理および信頼性の高い共有を達成するために役立たない。
【0020】
上記の問題のうちの1つまたは複数、ならびに、または代替として他の潜在的な問題に少なくとも部分的に対処するために、本開示の例示的な実施形態は、利用者識別認証データの管理体系を提案する。解決策では、管理装置は、照会対象の利用者の原識別データに対する照会要求者からの照会要求を認証し、照会要求には、照会対象の原識別データを暗号化するための鍵を少なくとも含む。照会要求が正常に認証されたことに応答して、管理装置は、照会要求者に対して、照会要求に対する許可情報を送信する。また、その際、管理装置は、照会対象の原識別データを保存する複数の認証装置から、複数の認証装置によって保存された原識別データに関連付けられたマッピング情報に基づいて少なくとも1つの認証装置を決定する。照会対象の利用者から照会対象の原識別データの署名情報を受信したことに応答して、管理装置は、署名情報および照会要求鍵を、少なくとも1つの認証装置に送信する。署名情報は、照会対象の利用者の端末装置において、照会要求者から受信される許可情報に基づいて、照会対象の利用者の端末装置によって生成される。
【0021】
上記の解決策では、照会要求が正常に認証されたことに応答して照会要求を認証すると共に、照会要求者に照会要求の許可情報を送信することによって、照会要求に含まれるデータ照会内容が管理装置によって確認または監督されることを効果的に確保でき、照会要求者と照会対象の利用者との許可情報についてのインターフェースもまた管理装置によって確認および監督される。複数の認証装置によって保存された原識別データに関連付けられたマッピング情報を用いて少なくとも1つの認証装置を決定すると共に、署名情報および鍵をこれに送信することによって、複数の認証装置によって保存される原識別データに対して効果的に照会を行うことができる。照会対象の利用者から原識別データについての署名情報を受信したことに応答して署名情報および鍵(例えば、照会要求者からの公開鍵)を少なくとも1つの認証装置に送信することによって、照会対象の利用者の許可を取得した場合に、認証情報を取得した特定の照会要求者に対してのみ、認証済みの原識別データを開くように、認証済みの原識別データを暗号化することを効果的に保証することができる。したがって、本開示の例示的な実施形態によって提案される利用者識別認証データの管理体系は、認証済みの利用者識別認証データの信頼性の高い共有を効果的に実施することができる。
【0022】
図1は、本開示の実施形態による利用者識別認証データの管理システム100の設計図を示す。図1に示すように、システム100は、管理装置110、ブロックチェーン・プラットフォーム112、複数の認証装置120,122、および複数の利用者端末(例えば、とりわけ、携帯電話130、コンピュータ132)を備える。管理装置110、ブロックチェーン・プラットフォーム112、認証装置120および122、ならびに利用者端末130および132は、ネットワーク140を介してデータ通信を行う。
【0023】
利用者は、利用者端末を介して、原識別データおよび認証要求を認証装置120および/または122に送ることができる。利用者が照会要求者である場合、利用者端末を用いて照会対象の利用者の原識別データに対する照会要求を管理装置110に送信してもよい。利用者が照会対象の利用者である場合、利用者端末を用いて照会対象の原識別データに対する署名情報を管理装置110に送信してもよい。図1に示すように、利用者134は、利用者端末130を介して、認証および保存のために、1つ以上の原識別データを提供することができる。例えば、利用者134は、第1の原識別データ160、および、識別データ認証および記憶に対する第1の認証要求を認証装置120に送信することができる。また、いくつかの例では、利用者134は、第2の原識別データ162、および、識別データ認証および記憶に対する第2の認証要求を認証装置122に送信することもできる。一例では、識別データ認証用の認証装置120は、例えば、銀行認証機関に属していてもよく、第1の原識別データ160は、例えば、会社業務ライセンススキャンの画像および/または文書であってよい。認証装置122は、認証装置120とは完全に別個の、無関係で、異なるタイプの権限を有していてもよい。例えば、識別データ認証用の認証装置122は、例えば、インターネット動作プラットフォームの認証機関であってもよく、第2の原識別データ162は、例えば、IDカード、外交ラインセス、会社のビジネス・ライセンスなどのスキャンコピーの画像および/または文書、であってよい。
【0024】
いくつかの実施形態では、財布アプリケーションが利用者端末130上で実行されてもよい。利用者134は財布アプリケーションを介して認証装置120および/または122に登録して、対応する認証装置において利用者を一意に識別することができる関連アカウント識別子を取得することができる。関連アカウント識別子は、例えば、利用者の識別(メールボックスまたは携帯電話番号など)と、コネクタによって接続された利用者の原識別データを保存する認証装置の関連アカウント識別(例えば、など)との組み合わせであってもよいが、これらに限定されない。例えば、利用者134が認証装置120に携帯電話番号18912345678で登録し、認証装置120の関連アカウント識別子がIDAであると仮定すると、財布アプリケーションを介して認証装置120上の利用者134によって取得される関連アカウント識別子は、「IDA.18912345678」として表し得る。利用者の関連アカウント識別子は、利用者識別子を示すだけでなく、利用者に関連する認証装置120の関連アカウント識別子、即ち、認証装置120の関連アカウント識別子も示していることがわかる。
【0025】
利用者136は、例えば、企業によって提供される利用者134にサービスを提供する前に、利用者134の身元を検証したい企業であってもよい。このように、一例では、利用者134が利用者136からサービスを要求してもよいが、利用者134は、第1の原識別データ160などの原識別データを利用者136に再提供する必要はない。代わりに、利用者136は、管理装置110に要求を送信して認証済みの原識別データを要求してもよい。例えば、利用者136からの照会要求は、利用者134の公開アドレスを含み、利用者134の原識別データを認証した可能性がある企業(認証装置120、122)を識別してもよい。管理装置110は、マッピング情報を使用して、特定の企業の認証装置が特定の利用者の任意の識別データを認証したか否かを判定することができる。
【0026】
以下にさらに説明するように、いくつかの実施形態では、管理装置110は、コンピュータ132を介して照会要求者によって提供された照会要求を取得した後に、照会要求者136からの照会要求を認証し、照会要求が正常に認証されたことを確認したことに応答して一時セッション・トークンを含む承認情報を、照会要求者に送信することができる。次いで、認証情報は、照会要求者136から利用者端末130に送られ、利用者端末は、例えば財布アプリケーションを介して許可情報を受け取ることができる。許可情報は、例えば、2次元コードフォーマットで構成されてもよい。2次元コードフォーマットは、許可情報に含まれる一時セッション・トークンを取得するために利用者端末130によってデコードされてもよい。
【0027】
いくつかの実施形態では、利用者端末130は、例えば、利用者134の鍵を利用し、鍵で許可情報に署名することによって署名情報を生成することもできる。次に、署名情報は、利用者134から管理装置110に転送され、認証装置120、122からの利用者の識別情報の照会要求者の受信を利用者が許可することを示す。署名情報は、財布アプリケーションを介した管理装置110からの許可確認要求(例えば、一時セッション・トークン、乱数の形態の許可コード)に対する署名許可とすることができる。そして、管理装置は、署名情報を認証装置120、122に送信し、利用者の認証済みの識別情報を照会要求者に対してリリースすることを許可することができる。
【0028】
いくつかの実施形態では、利用者136が照会要求者である場合、端末装置132において、認証装置120、122から送信された暗号化鍵(例えば、非対称暗号化用の公開鍵)によって暗号化された照会対象の原識別データ、および照会対象の原識別データのハッシュ値を取得し、復号鍵(例えば、非対称暗号化用の秘密鍵)を用いて取得された情報を復号し、復号済みの原識別データのハッシュを生成し、取得済みの照会対象の原識別データのハッシュ値に基づいて、取得済みの照会対象の原識別データの真正性を認証することができる。
【0029】
認証装置120、122は、利用者の1つ以上の原識別データ(例えば、第1の原識別データ160、第2の原識別データ162)の認証、保存、および管理に利用される。認証装置120または122は、例えば、1つまたは複数のKYC企業に属することができる。認証装置120,122は、利用者KYC情報の管理を実施するための初期化プロセスによって、管理装置110との接続を確立してもよい。例えば、認証装置120,122は、管理装置110にアクセスするための識別子(利用者名など)およびパスワード、ならびに管理装置110での識別データ管理用の関連アカウントを管理装置110に適用することができる。また、認証装置120,122は、マッピング情報、認証装置ドメイン名、および照会ルールの少なくとも1つを管理装置110に対して定期的に同期してもよい。ここで、マッピング情報は、利用者134から認証装置120、122の1つで事前に受信されて認証装置120,122によって保存された原識別データの認証結果の各フラグの意味を記述する256ビットデータ辞書ルールであってよい。例えば、あるビットは、性別(男性/女性)、物理アドレス、クレジット履歴等のような異なる識別データタイプに対応し得る。任意のビットに対するフラグの値、例えば、0または1は、特定の認証装置がその特定のKYCデータタイプに対する原識別データを有するか否かを示すことができる。照会ルールは、原識別データの照会可能な範囲、例えば、特定の認証装置による認証結果に利用されるデータの範囲またはサイズを示すために使用されてもよい。ドメイン名は、管理装置110における対応する認証装置を示すために使用されてもよい。また、認証装置120,122は、原識別データが正常に認証されたときに識別認証結果データを生成し、認証装置の秘密鍵を介して展開されたスマートコントラクトを通じて、識別認証結果データをブロックチェーン・プラットフォーム112に送信してよい。このように、原識別データの認証は一度だけ実行することができ、異なる認証機関が同一の利用者の同一の原識別データを繰り返し検証すると共に認証する必要がなく、それによって社会的資源を節約するように、さらに後述するように、認証結果が将来のアクセスのために保存される。
【0030】
認証装置120,122は、照会対象の利用者の秘密鍵によって署名された署名情報を取得した後、署名情報が正常に認証されたことを確認したことに応答して管理装置110を介して、照会要求者(例えば、利用者136)に、鍵(例えば、照会要求者の公開鍵)によって暗号化された照会対象の原識別データ(例えば、上述したような第1の原識別データ160または第2の原識別データ162、または第1の原識別データ160および第2の原識別データ162とは異なる第3の原識別データ)、およびブロックチェーン・プラットフォーム112によって保存された照会対象の原識別データのハッシュ値166を提供するようにさらに構成されてもよい。いくつかの実施形態では、認証装置120,122は、利用者関連アカウントの管理用モジュール、利用者が原識別データを暗号化するための暗号化モジュール、照会対象の原識別データを暗号化するための暗号化モジュール、および照会対象の原識別データのハッシュ値などをさらに含んでもよい。
【0031】
管理装置110は、利用者識別認証データの管理に利用されてもよい。管理装置110は、ネットワーク140を介して、複数の分散認証装置120,122と相互接続され、複数の分散認証装置120,122のそれぞれに対するマッピング情報、ドメイン名、および照会ルールを保存することができる。いくつかの実施形態では、管理装置110は、コンピュータ132を介して、照会要求者(例えば、利用者136)によって提供された照会要求を取得した後に照会要求を認証し、照会要求が正常に認証されたことを確認したことに応答して一時セッション・トークンを含む許可情報を、照会要求者に送信することができる。上記のように、照会要求者は、次いで、許可情報を照会対象の利用者134に送信することができ、照会対象の利用者は許可情報に署名することによって要求を許可することができ、それによって署名情報を生成し、署名情報を管理装置llOに送信することができる。照会対象の利用者134から原識別データについての署名情報を受信したことに応答して署名情報および鍵(例えば、照会要求者の公開鍵)を、照会対象の原識別データを保存する決定済みの少なくとも1つの認証装置120および/または122に送信し、それにより、ブロックチェーン・プラットフォーム112によって保存される照会対象の原識別データおよび照会対象の原識別データのハッシュ値166を取得し、照会要求者136に転送する。いくつかの実施形態では、ブロックチェーン・プラットフォーム112によって保存される照会対象の利用者原データおよび照会対象の原識別データのハッシュ値166が、認証装置120,122から照会要求者に直接送信されてもよい。いくつかの実施形態では、管理装置110は、ブロックチェーン・プラットフォーム112および認証装置120,122から独立した、集中型サーバなどの専用処理装置である。いくつかの実施形態では、管理装置110は、利用者識別認証のためにブロックチェーン・プラットフォーム112または認証装置120または122に統合されてもよい。
【0032】
ブロックチェーン・プラットフォーム112は、識別認証結果データを預けるために利用されてもよい。構造的には、ブロックチェーン・プラットフォーム112は、例えば、基本サービス層、スマートコントラクト層、およびブロックチェーン最下層(図示せず)を備える。ブロックチェーン・プラットフォーム112は、例えば、ネットワーク140およびアプリケーションインターフェース(図示せず)を介して、管理装置110および認証装置120,122とのデータ相互作用を実行する。いくつかの実施形態では、ブロックチェーン・プラットフォーム112は、秘密チェーン、公開チェーン、または連合チェーンに基づくことができる。いくつかの実施形態では、ブロックチェーン・プラットフォーム112は、USB鍵などのハードウェアの形態の秘密鍵署名装置(図示せず)と相互接続される。認証装置120,122は、スマートコントラクトに対応する秘密鍵を用いて、(原識別データが利用者134によって最初に受信され、正常に認証されたときに)秘密鍵署名装置によって、識別認証結果データに署名してもよい。次いで、秘密鍵署名は、ブロックチェーン・プラットフォーム112によって認証され、認証が成功すると、認証結果データがブロックチェーン・プラットフォーム112上に保存される。上記の解決策において、ブロックチェーン・プラットフォーム112上のデータの書き込みおよび変更は、秘密鍵署名装置の秘密鍵によって署名されるため、保存済みの利用者識別認証結果データが安全であって耐タンパ性があることをさらに保証することができる。
【0033】
図2は、本開示の実施形態による利用者識別認証データの管理方法200のフロー図を示す。図2では、各種動作は、例えば、図1に示した管理装置110のプロセッサによって実行される。方法200は、また、図示されていない追加の動作を含み得、および/または図示された動作を省略することができる。本開示の範囲は、この点で限定されない。
【0034】
ブロック202では、管理装置において、照会対象の利用者の原識別データに対する照会要求者からの照会要求が、例えば、照会要求者が正当であるかどうか、および少なくとも1つの認証装置120または122のうちの1つが照会対象の原識別データを含むかどうかを確認することによって認証される。照会要求には、照会対象の原識別データを暗号化するための照会要求者鍵を少なくとも1つ含めることができる。例えば、照会要求者(例えば、利用者136)は、照会要求を管理装置110に送信する。その照会要求は、例えば、照会対象の利用者(例えば、利用者134)の照会対象の原識別データ(例えば、IDカードのスキャンコピー、学業資格スキャン)の照会を示す。いくつかの実施形態では、照会要求は、さらに、照会要求者、照会対象の利用者、および照会対象の原データを示す。このとき、照会要求は、照会要求者がどの利用者の原識別データを照会要求するかを示す。いくつかの実施形態では、照会要求は、照会対象の原データを特定することなく、照会要求者および照会対象の利用者を示すことができる。この場合、照会要求は、照会要求者が照会対象の利用者の全ての照会可能な原識別データを照会するように要求することを示す。いくつかの実施形態では、上述の照会要求者暗号化鍵は、例えば、対称暗号化の秘密鍵または非対称暗号化の公開鍵である。原識別データは、例えば、画像データおよびテキストデータの少なくとも1つを備える。
【0035】
ブロック204では、照会要求が正常に認証されると、照会要求に対する許可情報が照会要求者に送信される。いくつかの実施形態では、許可情報を送信することは、照会要求者が正当であるかどうか、および少なくとも1つの認証装置120または122のうちの1つが、照会対象の原識別データを含むかどうかを確認することに基づいて、照会要求が正常に認証されたかどうかを決定することと、照会要求が正常に認証された場合に照会要求者に許可情報を送信することとを備える。許可情報は、一時セッション・トークンを備える。いくつかの実施形態では、照会要求者が正当であるかどうかを確認することは、例えば、照会要求者と照会対象の利用者が管理装置110に登録されているかどうかを確認することと、照会対象の原識別データの識別が所定のセットに属するかどうかを確認することとを備える。所定のセットは、例えば、認証装置120,122の照会ルールに基づいて事前に定義されたセットであり、原識別データのどれが照会に利用可能であるかを示すために利用される。前述の解決策では、照会要求を認証して、照会要求が正常に認証された場合に照会要求の許可情報を照会要求者に送信することによって、照会要求に含まれるデータ照会内容が管理装置または権限を介して確認または監視されることを効果的に保証することができる。
【0036】
ブロック206では、複数の認証装置のうちの1つによって保存される原識別データに関連するマッピング情報に基づいて、照会対象の原識別データを保存した複数の認証装置から少なくとも1つの認証装置が決定される。いくつかの実施形態では、少なくとも1つの認証装置を決定することは、照会要求およびマッピング情報に基づいて、照会対象の原識別データを保存する少なくとも1つの認証装置を決定することを備える。照会要求は、照会対象の利用者134の関連アカウント識別子を備える。マッピング情報は、対応する認証装置によって保存された原識別データの認証結果のフラグに関連付けられる。
【0037】
上述のように、いくつかの実施形態では、利用者134の関連アカウント識別子は、利用者識別と、利用者に関連付けられた認証装置の関連アカウント識別子との組合せを備える。例えば、利用者の関連アカウント識別子(すなわち、関連アカウントID)は、「利用者識別」、および、コネクタ(例えば、等)によって接続された利用者の原識別データを保存する認証装置の関連アカウント識別子を備える。このため、照会要求における照会対象の利用者の関連アカウント識別子に基づいて、照会対象の利用者の原識別データを保存する認証装置の関連アカウント識別子を取得することができ、関連アカウント識別子と認証装置のマッピング情報に基づいて、照会対象の原識別データを保存する特定の認証装置をさらに決定することができる。いくつかの実施形態では、さらに、利用者の関連アカウント内の「利用者識別」に基づいて、複数の認証装置内の同一の利用者によって登録された関連アカウントを結合することができる。上記の手段を採用することによって、照会要求が、複数の分散・無関係の認証機関に保存された照会対象の複数の原識別データに関連していても、管理装置は、対応する認証装置または認証機関を効果的に決定することができる。
【0038】
ブロック208では、照会対象の利用者から照会対象の原識別データについての署名情報を受信することに応答して署名情報と鍵が、少なくとも1つの認証装置に送信される。署名情報は、照会要求者から受信した許可情報に基づいて照会対象の利用者の端末装置によって生成される。いくつかの実施形態では、署名情報は、少なくとも照会要求者、照会対象の利用者、および照会対象の原識別データを示す。例えば、管理装置110では、署名情報(例えば、利用者の秘密鍵によって署名された一時セッション・トークン、例えば、利用者のデジタルウォレットから署名された一時セッション・トークン、または乱数の形式による許可コード)を受信すると、照会対象の利用者の秘密鍵によって署名されると共に、照会対象の利用者によって返される(例えば、利用者端末130を介して利用者134によって返される)照会対象の利用者の署名を含む。署名情報および要求者の鍵を、照会対象の原識別データを保存している決定済みの少なくとも1つの認証装置120,122に送信することができる。これにより、少なくとも1つの認証装置120,122は、照会要求者に対して照会対象の原識別データをオープンにする。
【0039】
いくつかの実施形態では、管理装置は、管理装置、照会要求者、および照会対象の利用者との間の通信チャネルが安全であるかを検証するように構成される。照会対象の利用者は、管理装置と通信する特定の照会要求者を許可し、照会対象の利用者は、利用者識別データを受信することを許可される。例えば、いくつかの実施形態では、本方法200は、さらに、照会要求者に許可情報を送信した後、照会対象の利用者からフィードバックデータを取得することと、フィードバックデータが許可情報と一致することが確認された場合に許可確認要求を照会対象の利用者に送信することとを備える。フィードバックデータは、照会要求者から照会対象の利用者によって受信された許可情報に基づいて照会対象の利用者によって生成される。許可確認要求は、照会対象の利用者に対して許可を確認するための署名情報を利用することを要求するために利用される。
【0040】
例えば、いくつかの実施形態では、照会要求者は、管理装置110から取得した許可情報に含まれる一時セッション・トークンをウェブアドレスにパッケージし、それを2次元コードとして表示する。次に、照会要求者は、照会対象の利用者に2次元コードを送信する。照会対象の利用者は、2次元コードの形式の許可情報に基づいて、その中の一時セッション・トークンを取得し、その後、一時セッション・トークンを管理装置110に返す。管理装置110は、フィードバックデータに含まれる一時セッション・トークンが、管理装置から照会要求者に送信された許可情報に含まれる一時セッション・トークンと一致するか認証し、一時セッション・トークンが一致することを確認したことに応答して、管理装置110は、照会対象の利用者に対して許可確認要求を送信する。
許可確認要求は、少なくとも、照会対象の原識別データ、および、照会対象の原識別データを保存する認証装置120および/または122を示す。その結果、照会対象の利用者は、署名情報を管理装置110に提供することによって、照会対象の原識別データに署名クレジットを提供することに同意するかどうかを確認することができる。いくつかの実施形態では、照会対象の利用者に、例えば、照会要求者の情報(どの企業が照会を希望するか)、および、要求された識別情報(どの原識別データがどのKYC企業に保存されているか)を表示することができる。上記の解決策では、照会対象の利用者によって受信されたフィードバックデータに含まれる一時セッション・トークンが、照会要求者に送信された許可情報に含まれる一時セッション・トークンと一致するかどうかを認証することによって、および、一時セッション・トークンの一致に応答して照会対象の利用者に、署名情報を利用させて許可を確認できるようにすることによって、照会要求者から照会対象の利用者に送信される許可情報と、管理装置から照会要求者に送信される許可情報とが、改ざんされることなく、確実に一致するようにすることが可能になる。
許可確認要求は、少なくとも、照会対象の原識別データ、および、照会対象の原識別データを保存する認証装置120および/または122を示す。その結果、照会対象の利用者は、署名情報を管理装置110に提供することによって、照会対象の原識別データに署名クレジットを提供することに同意するかどうかを確認することができる。いくつかの実施形態では、照会対象の利用者に、例えば、照会要求者の情報(どの企業が照会を希望するか)、および、要求された識別情報(どの原識別データがどのKYC企業に保存されているか)を表示することができる。上記の解決策では、照会対象の利用者によって受信されたフィードバックデータに含まれる一時セッション・トークンが、照会要求者に送信された許可情報に含まれる一時セッション・トークンと一致するかどうかを認証することによって、および、一時セッション・トークンの一致に応答して照会対象の利用者に、署名情報を利用させて許可を確認できるようにすることによって、照会要求者から照会対象の利用者に送信される許可情報と、管理装置から照会要求者に送信される許可情報とが、改ざんされることなく、確実に一致するようにすることが可能になる。
【0041】
いくつかの実施形態では、方法200は、さらに、照会対象の利用者から署名情報を受信した後、照会対象の原識別データを保存する少なくとも1つの認証装置から、照会対象の原識別データ、照会対象の原識別データのハッシュ値、および認証装置120が利用者の原識別データを認証したときからの認証結果を取得することと、暗号化済みの照会対象の原識別データ、および、暗号化済みの照会対象の原識別データのハッシュ値、および、認証結果を照会要求者へ送信することとを備える。照会対象の原識別データ、照会対象の原識別データのハッシュ値、および認証結果は、照会要求者の鍵によって暗号化される。照会対象の原識別データのハッシュ値は、ブロックチェーン・プラットフォーム112から取得される。ここで、照会対象の原識別データのハッシュ値は、照会対象の原識別データのハッシュ値を認証するために照会要求者によって利用され得る。上記の解決策では、ブロックチェーン・プラットフォームから取得される照会対象の原識別データのハッシュ値を照会要求者に送信することによって、照会要求者は、取得済みの照会対象の原識別データのハッシュ値に基づき、取得済みの照会対象の原識別データの信頼性を認証することができるようにする。
【0042】
図3は、本開示の実施形態による利用者識別認証データの管理方法300のフロー図を示す。図3において、種々の動作は、例えば、図1に示される認証装置120,122のプロセッサによって実行される。方法300は、また、図示されていない追加の動作を含むことができ、および/または図示された動作を省略することができる。本開示の範囲は、この点で限定されない。
【0043】
ブロック302では、認証装置は、利用者識別認証データ用の管理装置にマッピング情報を送信する。マッピング情報は、認証装置によって保存される原識別データに関連付けられる。いくつかの実施形態では、認証装置は、照会対象の原識別データを保存する少なくとも1つの認証装置であり、照会要求者の照会要求およびマッピング情報に基づいて管理装置によって決定される。照会要求は、照会対象の利用者の関連アカウント識別子を備える。マッピング情報は、対応する認証装置によって保存される原識別データの認証結果のフラグに関連付けられる。
【0044】
いくつかの実施形態では、初期化の間、認証装置120は、関連アカウント用の管理装置に適用され、認証装置の秘密鍵を利用して、スマートコントラクトを展開して識別認証結果データをブロックチェーン・プラットフォーム112に送信し、マッピング情報、ドメイン名、および照会ルールを管理装置110に同期する。ドメイン名は、認証装置120の関連アカウント識別子に関連付けられる。いくつかの実施形態では、認証装置120は、認証装置の識別子(利用者名など)およびパスワード用の管理装置110に適用され、管理装置110で利用者識別認証データ管理のために関連アカウント(VeChain Verified ID(VeVID)など)を取得してもよい。上述のドメイン名は、管理装置110における認証装置120を示すために利用され、認証装置120によって適用される関連アカウントに関連付けられる。このように、ドメイン名は、認証装置の関連アカウントドメイン名とも称される。
【0045】
いくつかの実施形態では、認証装置120が利用者の原識別データを認証する場合、認証装置120は、利用者の原識別データが正常に認証されたことを確認したことに応答して、識別認証結果データを生成する。識別認証結果データは、利用者の関連アカウント識別子、認証結果、および原識別データのハッシュ値のうちの少なくとも1つを備える。利用者の関連アカウント識別子は、対応する認証装置120に関連付けられる。認証装置120は、秘密鍵を介して展開されたスマートコントラクトに基づいて識別認証結果データをブロックチェーン・プラットフォームに送信する。
【0046】
いくつかの実施形態では、認証結果は、以下のうちの少なくとも1つを含む。利用者の関連アカウント識別子、利用者に関連する関連利用者の関連アカウント識別子、利用者の関連アカウントの状況、および利用者の識別タイプ、個人、組織、装置、およびスマートコントラクトのうちの少なくとも1つから成るグループから選択される識別タイプ。上記の解決策では、利用者識別タイプの解析に基づいて適切な認証ポリシーが選択される場合がある。例えば、利用者が個人であることを識別タイプが示す場合、認証ポリシーは、識別文書および学位証明書のような材料の認証を備えることができる。利用者が組織であることを識別タイプが示す場合、認証ポリシーは、法定代理人、ビジネス・ライセンス、および他の材料の証明を備えることができる。
【0047】
いくつかの実施形態では、認証結果は、複数のフラグ、例えば、二進数字を有するフラグを備え、複数のフラグの各フラグは、特定のデータタイプに対応する。このように、フラグを利用して、複数の項目を備える原識別データの対応する項目が正常に認証されたかどうかを判断することができる。例えば、複数のフラグのうちの特定のフラグが「1」である場合、それは原識別データ内の対応する項目が正常に認証されたことを示し、それが「0」である場合、それは原識別データ内の対応する項目が正常に認証されなかったか、または受信されなかったことを示す。上記の解決策では、認証結果の複数のバイナリ・デジタル・フラグの構文解析に基づいて、複数のフラグに関連付けられた利用者の原識別データの認証プロファイルを迅速に学習することができる。このフラグに基づく照会により、原識別データ対応項目が同一の特性を有する複数の利用者の情報を効率的に取得することができる。
【0048】
いくつかの実施形態では、原識別データのハッシュ値は、認証が成功したことを示すフラグに対応する原識別データ内の項目をハッシュすることによって生成される。
【0049】
ブロック304では、管理装置から、照会対象の利用者の照会対象の原識別データの許可に関連する署名情報および鍵が取得される。いくつかの実施形態では、認証装置120は、利用者識別データ用の管理装置から、照会対象の利用者の秘密鍵によって署名された署名情報および公開鍵を取得する。公開鍵は、認証装置によって利用されて、照会対象の原識別データを暗号化する。いくつかの実施形態では、鍵は、例えば、照会要求者から送られる照会要求に含まれる。次に、鍵は、認証装置によって利用されて、照会対象の原識別データを暗号化することができる。このため、照会要求者のみが要求情報を復号化してアクセスすることができる。暗号化鍵は、例えば、対称暗号化の場合は秘密鍵であり、非対称暗号化の場合は公開鍵である。
【0050】
ブロック306では、署名情報が正常に認証されたことが確認された場合、照会対象の原識別データ、および、照会対象の原識別データのハッシュ値が、照会要求者の鍵で暗号化される。ここで、照会対象の原識別データのハッシュ値が、ブロックチェーン・プラットフォームから取得される。いくつかの実施形態では、署名情報が正常に認証されたことを確認することは、利用者識別認証データ管理用のアプリケーション内の関連アドレスによって示された秘密鍵で照会要求が署名されているかどうかを確認することを備える。いくつかの実施形態では、署名情報が正常に認証されないことを確認することに応答して照会対象の原識別データに関するエラー情報が送信される。いくつかの実施形態では、認証装置120は、署名情報に基づいて、照会対象の原識別データ、および、照会対象の原識別データのハッシュ値を取得する。ここで、署名情報は、少なくとも、照会要求者、照会対象の利用者、および照会対象の原識別データを示す。照会対象の原識別データは認証装置120に保存され、照会対象の原識別データのハッシュ値はブロックチェーン・プラットフォーム112に保存される。例えば、認証装置120は、照会対象の利用者の関連アカウント識別子、および、照会対象の原データに対応する認証結果フラグに基づいて、照会済みのローカルに保存された原識別データ、および、ブロックチェーン・プラットフォーム112に保存された照会済みの原識別データのハッシュ値を、取得する。
【0051】
ブロック308では、暗号化済みの照会対象の原識別データおよび照会対象の原識別データのハッシュ値は、管理装置または照会要求者に送信される。ここで、照会対象の原識別データのハッシュ値は、照会対象の原識別データ認証するために利用される。いくつかの実施形態では、ブロックチェーン・プラットフォーム112から取得される照会対象の原識別データのハッシュ値は、照会要求者によって利用されて、照会要求者によって取得される原識別データの真正性を検証することができる。
【0052】
図4は、本開示の実施形態による利用者識別認証データの照会を許可するための方法400のフロー図を示す。
【0053】
図4において、各種動作は、例えば、図1に示した利用者端末装置130のプロセッサによって実行される。方法400は、また、図示されていない追加の動作を含むことができ、および/または図示された動作を省略することができる。本開示の範囲は、この点で限定されない。
【0054】
ブロック402では、照会対象の利用者の端末装置は、照会対象の原識別データに対して照会要求者から許可情報を得る。
【0055】
ブロック404では、フィードバックデータが管理装置に送信される。フィードバックデータは、許可情報に基づいて生成される。
【0056】
ブロック406では、許可確認要求が管理装置から受信される。許可確認要求は、フィードバックデータが許可情報と一致することを確認したことに応答して管理装置によって生成される。いくつかの実施形態では、許可確認要求が少なくとも照会要求者、照会対象の原識別データ、および照会対象の原識別データを保存する認証装置を示す。いくつかの実施形態では、フィードバックデータが許可情報と一致することを確認することは、許可情報およびフィードバックデータの両方が、管理装置から照会要求者に送信される一時セッション・トークンを備えることを確認することを備える。
【0057】
ブロック408では、許可確認要求を許可することを確認したことに応答して照会対象の原識別データに関する署名情報が管理装置に送信される。いくつかの実施形態では、署名情報は、例えば、鍵を介して署名された一時セッション・トークンまたは乱数を含む。乱数は、管理装置110からのものである。
【0058】
図5は、本開示のいくつかの実施形態による利用者識別認証データの管理方法500の相互作用説明図を示す。図5において、種々の動作は、例えば、照会要求者端末装置502、管理装置504、照会対象の利用者の端末装置506、認証装置508、およびブロックチェーン・プラットフォーム510によって実施される。いくつかの実施形態では、方法500は、認証装置の初期化、利用者識別データの認証および識別認証結果データの保存、照会要求者の初期化、利用者の原識別データの照会などを含む。方法500は、図示されていない追加の動作をさらに含むことができ、および/または図示された動作を省略することができる。本開示の範囲は、この点で限定されないことを理解されたい。
【0059】
以下の例は、認証装置を初期化する種々の動作を示すために用いられる。
【0060】
520において、認証装置508は、認証装置508の識別子(例えば、利用者名)およびパスワード用の管理装置504に適用され、管理装置504で利用者識別認証データ管理用の関連アカウントを取得する。いくつかの実施形態では、関連アカウントは、例えば、認証装置508が属するKYC企業の管理装置504の固有の識別子(例えば、VeVID)として識別される。522において、利用者識別認証用のスマートコントラクトが、認証装置508の秘密鍵を利用することによって、ブロックチェーン・プラットフォーム510に展開される。524において、関連アカウントドメイン名、マッピング情報、および照会ルールは管理装置504に同期される。ここで、マッピング情報は、認証装置によって生成された認証結果の各フラグの意味を示すために利用される。照会ルールは、原識別データの照会可能な範囲を示す。関連アカウントドメイン名は、管理装置504における認証装置508を示すために利用され、認証装置508によって適用される関連アカウントに関連付けられる。いくつかの実施形態では、マッピング情報は、例えば、256ビットのデータ辞書ルールである。関連アカウントドメイン名は、例えば、KYC企業のVeVIDドメイン名である。いくつかの実施形態では、管理装置504の関連アカウントドメイン名、マッピング情報、および照会ルールは、認証装置508によって適用される識別子(利用者名)に基づいて照会することができる。上記手段により、利用者KYC情報を保存する各認証装置は、初期化によって管理装置とのコンタクトを確立することができる。各認証装置は、利用者KYC情報をブロックチェーン・プラットフォーム上にアップロードするスマートコントラクトを展開する。
【0061】
以下の例は、利用者識別データを認証すると共に、識別認証結果データを保存する動作を示すために利用される。
【0062】
利用者端末装置、例えば、照会対象の利用者の端末装置506において、526で、利用者の原識別データおよび認証要求は、1つ以上の認証装置508に送られる。いくつかの実施形態では、利用者は、認証装置508、または認証装置508が他の方法で所属するKYC企業に対して、利用者の原識別データおよび認証要求を提供することもできる。
【0063】
認証装置508において、原識別データは、528において認証される。530では、原識別データが正常に認証された場合、利用者の識別認証結果データが生成されて保存される。いくつかの実施形態では、識別認証結果データは、少なくとも利用者の関連アカウント、認証結果、例えば、複数のフラグ(例えば、256ビット)を有する認証結果、および原識別データのハッシュ値を備える。いくつかの実施形態では、利用者の関連アカウントは、認証装置508の関連アカウントに関連付けられる。原識別データのハッシュ値は、成功した認証結果を示すフラグに対応する原識別データ項目をハッシュすることによって生成される。いくつかの実施形態では、認証装置508は、利用者の原識別データを保存する。532では、認証結果データは、展開されたスマートコントラクトに基づいて、ブロックチェーン・プラットフォーム510にアップロードされる。上記手段により、各認証装置は、利用者のKYC情報を認証して保存し、生成された利用者関連アカウント、認証結果、および原識別データのハッシュ値をブロックチェーン・プラットフォームにアップロードして、共有済みの原識別データの認証性を確認することができる。
【0064】
以下の例は、照会要求者を初期化する動作を示すために利用される。
【0065】
534において、照会要求者の端末装置502は、照会要求者の識別子(利用者名など)およびパスワードについて管理装置504に適用される。さらに、照会要求者の端末装置502は、識別認証データ管理用の関連アカウントについて管理装置504にも適用することができる。以上の手段を採用することにより、照会要求者は、初期化により管理装置とのコンタクトを確立する。
【0066】
以下の例は、利用者の原識別データを照会する動作を示すために利用される。
【0067】
536では、照会要求者端末装置502は、管理装置504に照会要求を送信する。照会要求は、照会要求者、照会対象の利用者、および照会対象の原識別データのうちの1つ以上の指示を含むことができる。いくつかの実施形態では、照会要求は、さらに、照会結果を暗号化する暗号化鍵、例えば、照会要求者に情報を送信する前の要求情報を暗号化する認証装置508によって利用することができる鍵(例えば、対称暗号化の場合は秘密鍵であり、非対称暗号化の場合は公開鍵である)を示す。
【0068】
管理装置504では、照会要求者が正当であるかどうか、および、管理装置が照会済みの原識別データを保存している少なくとも1つの認証装置と通信しているかどうかが538で認証される。yesの場合、照会要求は正常に認証される。いくつかの実施形態では、認証は、照会要求者の識別子(利用者名)に基づいて照会要求者が正当であるかどうかを確認することと、照会対象の利用者の関連アカウントおよびマッピング情報に従って、照会済みの原識別データを保存した少なくとも1つの認証装置が存在するかどうかを確認することとを備える。いくつかの実施形態では、認証は、さらに、認証装置の照会ルールに従って、照会対象のデータが照会可能な範囲に属するかどうかを確認することを備える。540では、照会要求が正常に認証された場合、一時セッション・トークンが管理装置によって生成される。542では、一時セッション・トークンが照会要求者の端末装置502に送られる。544では、照会要求およびマッピング情報に基づいて、照会対象の利用者の原識別データを保存する少なくとも1つの認証装置508が決定される。いくつかの実施形態では、管理装置504が、照会対象の利用者の原識別データを保存する複数の認証装置508を決定すると、複数の一時セッション・トークンが照会要求者の端末装置502に送信される。例えば、各一時セッション・トークンは、対応する認証装置に向けられた照会サービス情報に対応する。
【0069】
照会要求者の端末装置502で一時セッション・トークンを取得した後、546では、一時セッション・トークンを含む許可情報が、照会要求者の端末装置502から照会対象の利用者の端末装置506に送信される。いくつかの実施形態では、一時セッション・トークンは、ウェブアドレスにパッケージ化され、2次元コードとして提示される。
【0070】
照会対象の利用者の端末装置506では、548において、許可情報に基づいて一時セッション・トークンが取得される。いくつかの実施形態では、照会対象の利用者が財布アプリケーションを利用して、二次元コードの許可情報をスキャンし、一時セッション・トークンを取得する。550では、取得した一時セッション・トークンを含むフィードバックデータが管理装置504に送信される。
【0071】
管理装置504では、552において、一時セッション・トークンが認証される。
いくつかの実施形態では、552における認証は、照会対象の利用者の端末装置506からのフィードバックデータに含まれる一時セッション・トークンが、542で前もって管理装置から照会要求者の端末装置502に送信された許可情報に含まれる一時セッション・トークンと一致するかどうかを認証することを備える。554では、一時セッション・トークンが正常に認証されたことを確認したことに応答して一時セッション・トークンに対応する許可確認要求が、照会対象の利用者の端末装置506に送信される。許可確認要求は、照会要求者、照会対象の原識別データ、および対応する認証装置のうちの1つ以上を示す。例えば、一時セッション・トークンに対応する照会サービス情報は、照会対象の利用者に表示される。つまり、どの照会要求者が、どの認証装置上の関連アカウントの原識別データのどの項目を照会したいかを表示する。
いくつかの実施形態では、552における認証は、照会対象の利用者の端末装置506からのフィードバックデータに含まれる一時セッション・トークンが、542で前もって管理装置から照会要求者の端末装置502に送信された許可情報に含まれる一時セッション・トークンと一致するかどうかを認証することを備える。554では、一時セッション・トークンが正常に認証されたことを確認したことに応答して一時セッション・トークンに対応する許可確認要求が、照会対象の利用者の端末装置506に送信される。許可確認要求は、照会要求者、照会対象の原識別データ、および対応する認証装置のうちの1つ以上を示す。例えば、一時セッション・トークンに対応する照会サービス情報は、照会対象の利用者に表示される。つまり、どの照会要求者が、どの認証装置上の関連アカウントの原識別データのどの項目を照会したいかを表示する。
【0072】
照会対象の利用者の端末装置506において、556では、許可確認要求を許可するかどうかが確認される。558では、許可確認要求に対する許可を確認したことに応答して秘密鍵署名に基づく署名情報が生成される。いくつかの実施形態では、照会対象の利用者の関連アカウントによって結合された財布を利用し、秘密鍵を利用することによって許可確認要求に署名して、署名ハッシュ値を生成する、すなわち、署名情報を生成することができる。560では、署名情報が管理装置に送信される。
【0073】
また、562において、管理装置504は、署名情報を取得した後、照会対象の利用者から署名情報を受信したことに応答して、照会対象の原識別データを保存している少なくとも1つの確認済みの認証装置508に対して署名情報を送信する。いくつかの実施形態では、少なくとも1つの確認済みの認証装置508に対して署名情報を送信することに加えて、照会結果を暗号化する公開鍵も同様に送信される。
【0074】
認証装置508は、認証装置508が署名情報及び公開鍵を取得した後、564において、署名情報の認証に成功したか否かを確認する。いくつかの実施形態では、要求された原データに関連するアカウントに対応するアドレスで秘密鍵により照会要求が署名されているかどうかを確認することによって、署名情報が正常に認証されたかどうかを確認することができる。一態様では、564において署名情報が正常に認証されたことを確認したことに応答して、566においてローカルに保存された照会対象の原データ、および、ブロックチェーン・プラットフォーム510によって保存された原識別データのハッシュ値が、鍵(例えば、取得された公開鍵)に基づいて暗号化される。一方、564で署名情報が正常に認証されなかったことを確認したことに応答して568でエラーコードが生成される。570において、(a)鍵(例えば、取得された公開鍵)を用いて暗号化された照会対象の原識別データおよび照会対象の原識別データのハッシュ値、または、(b)エラーコードが管理装置504に送信される。いくつかの実施形態では、認証装置508は、マッピング情報および署名情報に示された照会対象の利用者の関連アカウント識別子に基づいて、照会対象の原識別データ、および、照会対象の原識別データのハッシュ値を取得する。
【0075】
572では、管理装置504は、鍵(例えば、公開鍵)またはエラーコードによって暗号化された照会対象の原識別データ、および、照会対象の原識別データのハッシュ値を、照会要求者の端末装置502に転送する。
【0076】
照会要求者端末装置502は、574において鍵(例えば公開鍵)によって暗号化された照会対象の原識別データ、および、照会対象の原識別データのハッシュ値を取得した後、復号化用の鍵を用いて、照会対象の原識別データ、および、照会対象の原識別データのハッシュ値を取得する。576では、取得済みの照会対象の原識別データのハッシュ値に基づいて、取得済みの照会対象の原識別データの真正性が認証される。いくつかの実施形態では、取得済みの原識別データのハッシュ値が、ブロックチェーン・プラットフォーム510上の関連アカウントによって保存される受信済みの原識別データのハッシュ値と一致するかどうかを比較することに基づいて、取得済みの照会対象の原識別の真正性が認証される。
【0077】
上述の方法500を採用することにより、照会対象の原識別データおよび/または識別認証結果データの一致および非改ざんを効果的に保証することができ、照会対象の利用者の許可を得る場合に、認証済みの原識別データを暗号化することを効果的に保証することができ、署名情報および鍵を得る特定の照会要求者にのみ、認証済みの原識別データを開示することができ、それによって認証済みの利用者識別認証データの信頼性の高い共有を効果的に可能とする。
【0078】
図6は、本明細書で説明される主題の実行を実行するように適合された電子デバイス600のブロック図を示す。デバイス600は、図1および図5に示される利用者識別認証データ管理システム100の1つまたは複数のホスト(例えば、図1に示される管理装置110、認証装置120および122、図5に示される管理装置504および認証装置508)を実装するために利用され得る。図6に示されるように、デバイス600は、読取り専用メモリ(ROM)602に保存されたコンピュータプログラム命令、または記憶ユニット608からランダムアクセスメモリ(RAM)603にロードされたコンピュータプログラム命令に従って、様々な動作および処理を実行することができる中央処理ユニット(CPU)601を備える。また、RAM603には、デバイス600の動作に応じて各種のプログラムやデータが記憶される。CPU601、ROM602およびRAM603は、バス604を介して互いに接続されている。また、バス604には、入出力(I/O)インターフェース605も接続されている。
【0079】
デバイス600の以下の構成要素は、I/Oインターフェース605に接続されている。キーボード、マウス等を含む入力ユニット606;各種ディスプレイ、ラウドスピーカー等を含む出力ユニット607;ディスク、光ディスク等の記憶ユニット608;ネットワークカード、モデム、無線通信トランシーバ等の通信ユニット609。通信ユニット609は、インターネットおよび/または様々な電気通信ネットワークのようなコンピュータネットワークを介して、デバイス600が他のデバイスと情報/データを交換することを可能にする。
【0080】
処理ユニット601は、上述の様々な方法および処理を実行し、例えば、方法200,300,400および500を実行する。いくつかの実施形態では、例えば、方法200,300,400および500は、コンピュータソフトウェアプログラムとして実装されてもよい。コンピュータソフトウェアプログラムは、機械可読媒体、例えば、記憶ユニット608に記憶される。いくつかの実施形態では、コンピュータプログラムの一部または全部が、ROM602および/または通信ユニット609を介して、デバイス600にロードおよび/またはインストールされてもよい。コンピュータプログラムがRAM603にロードされてCPU601によって実行されると、上述の方法200,300,400および500の1つ以上の動作が実行されてもよい。あるいは、他の実施形態では、CPU601は、方法200,300,400および500の1つまたは複数のアクションを実行するために、任意の他の適切な方法で(例えば、ファームウェアによって)構成され得る。
【0081】
本開示は、方法、デバイス、システム、および/またはコンピュータプログラム製品であってもよい。コンピュータプログラム製品は、プロセッサに本開示の態様を実行させるためのコンピュータ可読プログラム命令を有するコンピュータ可読記憶媒体(または媒体)を含んでもよい。
【0082】
コンピュータ可読記憶媒体は、命令実行デバイスによって用いられる命令を保持し記憶することができる有形のデバイスであってもよい。コンピュータ可読記憶媒体は、例えば、電子記憶デバイス、磁気記憶デバイス、光記憶デバイス、電磁記憶デバイス、半導体記憶デバイス、または前述の任意の適切な組合せとすることができるが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例のより網羅的でないリストは、次のものを備える。ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、消去可能プログラマブル読出し専用メモリ(EPROMまたはフラッシュメモリ)、スタティックランダムアクセスメモリ(SRAM)、ポータブルコンパクトディスク読出し専用メモリ(CD-ROM)、ディジタル汎用ディスク(DVD)、メモリスティック、フロッピーディスク、パンチカード、または、命令が記録されている溝における上昇構造のような機械的符号化装置、および前述の任意の適切な組み合わせ。本明細書で用いられるコンピュータ可読記憶媒体は、電波または他の自由に伝播する電磁波、導波管または他の伝送媒体(例えば、光ファイバケーブルを通過する光パルス)を通って伝播する電磁波、またはワイヤを通って伝送される電気信号など、それ自体が一時的な信号であると解釈されるべきではない。
【0083】
本明細書に記載されるコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれの演算/処理装置に、またはネットワーク、例えば、インターネット、ローカルエリアネットワーク、ワイドエリアネットワークおよび/または無線ネットワークを介して外部コンピュータまたは外部記憶装置にダウンロードすることができる。ネットワークは、銅線伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータ、および/またはエッジサーバを備えることができる。各演算/処理装置内のネットワークアダプタカードまたはネットワークインタフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、それぞれの演算/処理装置内のコンピュータ可読記憶媒体に記憶するためにコンピュータ可読プログラム命令を転送する。
【0084】
本開示の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、またはソースコードもしくはオブジェクトコードのいずれかであり、Smalltalk、C++のようなオブジェクト指向プログラミング言語、または「C」プログラミング言語もしくは類似のプログラミング言語のような従来の手続型プログラミング言語を含む、1つ以上のプログラミング言語の任意の組み合わせで記述される。コンピュータ可読プログラム命令は、全体的には利用者のコンピュータ上で、部分的には利用者のコンピュータ上で、スタンドアロンのソフトウェアパッケージとして、部分的には利用者のコンピュータ上で、部分的にはリモートのコンピュータ上で、または全体的にはリモートのコンピュータまたはサーバ上で実行することができる。後者の場面では、リモートコンピュータがローカルエリアネットワーク(LAN)または広域ネットワーク(WAN)を含む任意のタイプのネットワークを介して利用者のコンピュータに接続されてもよく、または(例えば、インターネットサービスプロバイダを利用してインターネットを介して)外部コンピュータに接続されてもよい。いくつかの実施形態では、例えば、プログラマブル論理回路、フィールドプログラマブルゲートアレイ(FPGA)、またはプログラマブル論理アレイ(PLA)を含む電子回路は、本開示の態様を実行するために、電子回路をパーソナル化するためのコンピュータ可読プログラム命令の状態情報を利用することによって、コンピュータ可読プログラム命令を実行することができる。
【0085】
本開示の態様は、本開示の実施形態による方法、装置(システム)、およびコンピュータプログラム製品のフローチャート図および/またはブロック図を参照して本明細書で説明される。フローチャート図および/またはブロック図の各ブロック、ならびにフローチャート図および/またはブロック図のブロックの組合せは、コンピュータ可読プログラム命令によって実行され得ることを理解されたい。
【0086】
これらのコンピュータ可読プログラム命令は、汎用コンピュータ、専用コンピュータ、または他のプログラマブルデータ処理装置のプロセッサに提供されて、コンピュータまたは他のプログラマブルデータ処理装置のプロセッサを介して実行される命令が、フローチャート図および/またはブロック図の1つまたは複数のブロックで特定された機能/動作を実施するための手段を作成するように、機械を生成することができる。また、これらのコンピュータ可読プログラム命令は、コンピュータ、プログラマブルデータ処理装置、および/または他のデバイスが特定の方法で機能するように指示することができるコンピュータ可読記憶媒体に格納されてもよい。その結果、その中に格納された命令を有するコンピュータ可読記憶媒体は、フローチャートおよび/またはブロック図の1つまたは複数のブロックで特定された機能/動作の態様を実行する命令を含む製造品を備える。
【0087】
また、コンピュータ可読プログラム命令は、コンピュータ、他のプログラマブルデータ処理装置、または他のデバイス上にロードされて、コンピュータ、他のプログラマブル装置、または他のデバイス上で実行される命令が、フローチャートおよび/またはブロック図の1つまたは複数のブロックで特定される機能/動作を実行するように、一連の動作ステップをコンピュータ、他のプログラマブル装置、または他のデバイス上で実行させて、コンピュータ実行プロセスを生成することができる。
【0088】
図中のフローチャートおよびブロック図は、本開示の様々な実施形態によるシステム、方法、およびコンピュータプログラム製品の可能な実装の構成、機能、および動作を示す。この点に関して、フローチャートまたはブロック図の各ブロックは、特定の論理機能を実装するための1つまたは複数の実行可能命令を備える、モジュール、セグメント、または命令の一部を表すことができる。また、いくつかの代替実装では、ブロックに記載されている機能は、図に記載されている順序から外れる可能性があることに留意されたい。例えば、連続して示される2つのブロックは、実際には実質的に同時に実行されてもよく、または、ブロックは、含まれる機能に応じて、ときには逆の順序で実行されてもよい。また、ブロック図および/またはフローチャート図の各ブロック、ならびにブロック図および/またはフローチャート図のブロックの組合せは、特定の機能または動作を実行する専用ハードウェアベースのシステム、または専用ハードウェアとコンピュータ命令との組合せによって実行できることに留意されたい。
【0089】
本開示の様々な実施形態の描写は、例示の目的で提示されてきたが、網羅的であることも、開示された実施形態に限定されることも意図されていない。記載された実施形態の範囲および精神から逸脱することなく、多くの修正および変形が当業者には明らかであろう。本明細書で用いられる用語は、実施形態の原理、市場で見出される技術に対する実際の適用または技術的改善を最もよく説明するために、または本明細書で開示される実施形態を当業者が理解することを可能にするために選択されている。
【0090】
記載されている事項は、本開示の好ましい実施形態に過ぎず、本開示を限定することを意図していない。当業者は、本開示が様々な修正および変形を有し得ることを理解する。本開示の精神および原理内の任意の修正、同等の置換および改善は、すべて本開示の保護範囲内にある。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】