知財求人 - 知財ポータルサイト「IP Force」
特表2022-544411分散型アイデンティティプラットフォームのための統合認証システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-10-18
(54)【発明の名称】分散型アイデンティティプラットフォームのための統合認証システム
(51)【国際特許分類】
H04L 9/32 20060101AFI20221011BHJP
G06F 21/33 20130101ALI20221011BHJP
G06F 21/32 20130101ALI20221011BHJP
【FI】
H04L9/32 200D
H04L9/32 200F
H04L9/32 100A
G06F21/33 350
G06F21/32
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022509035
(86)(22)【出願日】2020-08-11
(85)【翻訳文提出日】2022-04-06
(86)【国際出願番号】 US2020045735
(87)【国際公開番号】W WO2021030329
(87)【国際公開日】2021-02-18
(31)【優先権主張番号】62/886,247
(32)【優先日】2019-08-13
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】522055278
【氏名又は名称】エーディーアイ・アソシエーション
【氏名又は名称原語表記】ADI ASSOCIATION
(74)【代理人】
【識別番号】110000028
【氏名又は名称】弁理士法人明成国際特許事務所
(72)【発明者】
【氏名】ケサヌパリ・ラメシュ
(72)【発明者】
【氏名】リー・スーンヒョン
(72)【発明者】
【氏名】キム・チャンスー
(72)【発明者】
【氏名】チェン・マーク
(72)【発明者】
【氏名】バーネット・ジェイソン・エス.
(72)【発明者】
【氏名】ウマップ・アヴィンサー
(57)【要約】
【解決手段】分散型アイデンティティプラットフォームのための統合認証システムが開示されている。様々な実施形態において、1または複数のアイデンティティクレームとデジタルアドレスとを含む要求が受信される。デジタルアドレスは、デジタルアドレスプロバイダに関連付けられた検証ノードによって、1または複数のアイデンティティクレームを検証するために用いられる。1または複数のアイデンティティクレームが証明されたことを示す検証ノードからの応答に少なくとも部分的に基づいて、要求に応じて、サービスへのアクセスが提供される。検証ノードは、1または複数のアイデンティティクレームが証明されたことを示す応答を提供する前に、デジタルアドレスが関連付けられているユーザからリアルタイムで同意を得るよう構成されている。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
システムであって、通信インターフェースと、
前記通信インターフェースに接続されたプロセッサであって、
前記通信インターフェースを介して、1または複数のアイデンティティクレームとデジタルアドレスとを含む要求を受信し、
前記デジタルアドレスを用いて、デジタルアドレスプロバイダに関連付けられた検証ノードによって、前記1または複数のアイデンティティクレームを検証し、
前記1または複数のアイデンティティクレームが証明されたことを示す前記検証ノードからの応答に少なくとも部分的に基づいて、前記要求に応じて、サービスへのアクセスを提供するよう構成されている、プロセッサと、
を備え、
前記検証ノードは、前記1または複数のアイデンティティクレームが証明されたことを示す前記応答を提供する前に、前記デジタルアドレスが関連付けられているユーザからリアルタイムで同意を得るよう構成されている、システム。
【請求項2】
請求項1に記載のシステムであって、デジタルアドレスプロバイダは、前記デジタルアドレスの発行者を含む、システム。
【請求項3】
請求項1に記載のシステムであって、前記デジタルアドレスは、前記デジタルアドレスプロバイダ以外のエンティティによって発行される、システム。
【請求項4】
請求項1に記載のシステムであって、前記検証ノードは、前記1または複数のアイデンティティクレームに対応するデータの検証済み記録原本を格納している、システム。
【請求項5】
請求項4に記載のシステムであって、前記検証ノードは、前記デジタルアドレスの発行に関連して、前記1または複数のアイデンティティクレームに対応するデータの前記検証済み記録原本を格納している、システム。
【請求項6】
請求項5に記載のシステムであって、前記検証ノードは、前記1または複数のアイデンティティクレームに対応する前記格納されたデータを検証するために、前記デジタルアドレスの発行に関連して、検証済みクレデンシャル発行者と通信する、システム。
【請求項7】
請求項4に記載のシステムであって、前記検証済み記録原本は、検証可能クレデンシャルリポジトリ内に格納され、または、前記検証可能クレデンシャルリポジトリにとってアクセス可能になっており、前記プロセッサは、前記デジタルアドレスを用いて、前記検証可能クレデンシャルリポジトリから、前記サービスへのアクセスに関連する検証可能クレデンシャルを取得するよう構成されている、システム。
【請求項8】
請求項1に記載のシステムであって、前記デジタルアドレスは、前記1または複数のアイデンティティクレームが関連する一人の人物に一意的に関連付けられる、システム。
【請求項9】
システムであって、通信インターフェースと、
前記通信インターフェースに接続されたプロセッサであって、
前記通信インターフェースを介して、アイデンティティ曖昧さ回避データを受信し、
分散型アイデンティティ曖昧さ回避リポジトリを用いて、前記アイデンティティ曖昧さ回避データがデジタルアイデンティティを確立するために以前に用いられたか否かを判定し、
前記アイデンティティ曖昧さ回避データがデジタルアイデンティティを確立するために以前に用いられていないとの判定が前記分散型アイデンティティ曖昧さ回避リポジトリを用いてなされたことに応答して、前記アイデンティティ曖昧さ回避データに少なくとも部分的に基づいて、グローバルに一意的なデジタルアイデンティティを発行するよう構成されている、プロセッサと、
を備え、
前記アイデンティティ曖昧さ回避データは、一人の人間ユーザに一意的なデータを含む、システム。
【請求項10】
請求項7に記載のシステムであって、前記プロセッサは、さらに、前記人間ユーザに関連する1または複数のアイデンティティクレームの検証済み記録原本をメモリまたはその他のデータストレージデバイスに格納するよう構成されている、システム。
【請求項11】
請求項7に記載のシステムであって、前記プロセッサは、前記人間ユーザに関連するデバイス上で動作するアプリから前記アイデンティティ曖昧さ回避データを受信する、システム。
【請求項12】
請求項9に記載のシステムであって、前記アプリは、身分証明書からアイデンティティ情報を抽出し、前記抽出したアイデンティティ情報を、バイオメトリックセンサによって生成された対応するデータと比較し、前記抽出したアイデンティティ情報が前記バイオメトリックセンサによって生成された前記対応するデータと一致するとの判定に少なくとも部分的に基づいて、前記デジタルアイデンティティを確立するためのトランザクションが進行することを可能にするよう構成されている、システム。
【請求項13】
請求項7に記載のシステムであって、前記プロセッサは、検証エンティティから前記アイデンティティ曖昧さ回避データを受信し、前記検証エンティティの物理的場所に、前記人間ユーザが前記デジタルアイデンティティを確立するために訪れている、システム。
【請求項14】
請求項7に記載のシステムであって、前記デジタルアイデンティティは、デジタルアドレスを含む、システム。
【請求項15】
請求項12に記載のシステムであって、前記デジタルアドレスは、前記人間ユーザに関連するアイデンティティクレームを検証するために利用可能である、システム。
【請求項16】
請求項7に記載のシステムであって、前記アイデンティティ曖昧さ回避データは、前記人間ユーザのバイオメトリックデータに少なくとも部分的に基づく、システム。
【請求項17】
請求項14に記載のシステムであって、前記バイオメトリックデータは、前記デジタルアイデンティティの発行者によって信頼されているバイオメトリックセンサによって生成される、システム。
【請求項18】
請求項7に記載のシステムであって、前記分散型アイデンティティ曖昧さ回避リポジトリは、分散型台帳を含む、システム。
【請求項19】
方法であって、1または複数のアイデンティティクレームとデジタルアドレスとを含む要求を受信する工程と、
前記デジタルアドレスを用いて、デジタルアドレスプロバイダに関連付けられた検証ノードによって、前記1または複数のアイデンティティクレームを検証する工程と、
前記1または複数のアイデンティティクレームが証明されたことを示す前記検証ノードからの応答に少なくとも部分的に基づいて、前記要求に応じて、サービスへのアクセスを提供する工程と、
を備え、
前記検証ノードは、前記1または複数のアイデンティティクレームが証明されたことを示す前記応答を提供する前に、前記デジタルアドレスが関連付けられているユーザからリアルタイムで同意を得るよう構成されている、方法。
【請求項20】
持続性のコンピュータ読み取り可能な媒体内に具現化されたコンピュータプログラム製品であって、1または複数のアイデンティティクレームとデジタルアドレスとを含む要求を受信するためのコンピュータ命令と、
前記デジタルアドレスを用いて、デジタルアドレスプロバイダに関連付けられた検証ノードによって、前記1または複数のアイデンティティクレームを検証するためのコンピュータ命令と、
前記1または複数のアイデンティティクレームが証明されたことを示す前記検証ノードからの応答に少なくとも部分的に基づいて、前記要求に応じて、サービスへのアクセスを提供するためのコンピュータ命令と、
を備え、
前記検証ノードは、前記1または複数のアイデンティティクレームが証明されたことを示す前記応答を提供する前に、前記デジタルアドレスが関連付けられているユーザからリアルタイムで同意を得るよう構成されている、コンピュータプログラム製品。
【発明の詳細な説明】
【背景技術】
【0001】
他の出願の相互参照
本願は、2019年8月13日出願の米国仮特許出願第62/886,247号「UNIFIED AUTHENTICATION SYSTEM FOR DECENTRALIZED IDENTITY PLATFORMS」に基づく優先権を主張し、その出願は、すべての目的のために参照によって本明細書に組み込まれる。
本願は、2019年8月13日出願の米国仮特許出願第62/886,247号「UNIFIED AUTHENTICATION SYSTEM FOR DECENTRALIZED IDENTITY PLATFORMS」に基づく優先権を主張し、その出願は、すべての目的のために参照によって本明細書に組み込まれる。
【0002】
物質世界と、(インターネットおよびその他のクラウドに接続されている技術を介した)オンラインまたは「サイバー」世界とが収斂するにつれて、信頼でき、説明可能で、かつ、安全なオンライン用の人間サイバーアイデンティティを可能にするためのインフラおよびシステムを提供することが、かつてないほどに重要になっている。
【0003】
このタイプのシステムを提供する多くの試みが提案されてきたが、各試みは、より根本的な問題であるもの、つまり、サイバーアイデンティティの現在形が、クローン可能であり、アイデンティティ盗難にさらされており、そのために本質的に信用できないこと、を対症療法的に解決するようとするものである。
【0004】
これに応じて、政府の規制および企業のポリシーの反動が、プライバシーおよびアイデンティティデータ管理に対してより多くの要件を設けることにより、アイデンティティ盗難の症状を解決しようとしてきたが、根本的な問題は解決していない。これらの要件またはポリシーに対応しようとする試みは、或る欠陥システムを同じ欠陥システムの新しいバージョンに取り換えるという結果になっていた。これらの試みは、より良い技術を適用する断片的で多角的な視点の技術志向のアプローチ、組織、および、ワーキンググループをもたらしてきたが、最終的に根本的な問題を解決しない同じ哲学を持っている。
【0005】
プライバシーおよびアイデンティティデータセキュリティの両方を保証しつつも、オフラインアイデンティティが信頼可能かつ説明可能でありうるようにサイバーアイデンティティがオンラインで信頼可能かつ説明可能でありうることも保証することが、適切かつ必要である。
【図面の簡単な説明】
【0006】
以下の詳細な説明と添付の図面において、本発明の様々な実施形態を開示する。
【0007】
【図1】分散型アイデンティティプラットフォームのための統合認証システムの一実施形態を示すブロック図。
【0008】
【図2】デジタルクレデンシャルを発行するための処理の一実施形態を示すフローチャート。
【0009】
【図3】デジタルアドレスを取得するための処理の一実施形態を示す機能フローブロック図。
【0010】
【図4】デジタルアドレスを発行するための処理の一実施形態を示す機能フローブロック図。
【0011】
【図5】デジタルアドレスを発行するための処理の一実施形態を示す機能フローブロック図。
【0012】
【図6A】デジタルクレデンシャルを用いてクレームを検証するための処理の一実施形態を示す機能フローブロック図。
【0013】
【図6B】デジタルクレデンシャルを用いてクレームを検証するための処理の一実施形態を示す機能フローブロック図。
【0014】
【図7】デジタルクレデンシャルを用いてクレームを検証するための処理の一実施形態を示すフローチャート。
【発明を実施するための形態】
【0015】
本発明は、処理、装置、システム、物質の組成、コンピュータ読み取り可能な記憶媒体上に具現化されたコンピュータプログラム製品、および/または、プロセッサ(プロセッサに接続されたメモリに格納されおよび/またはそのメモリによって提供される命令を実行するよう構成されたプロセッサなど)を含め、様々な形態で実施されうる。本明細書では、これらの実施例または本発明が取りうる任意の他の形態が、技術と呼ばれうる。一般に、開示されている処理の工程の順序は、本発明の範囲内で変更されてもよい。特に言及しない限り、タスクを実行するよう構成されるものとして記載されたプロセッサまたはメモリなどの構成要素は、或る時間にタスクを実行するよう一時的に構成された一般的な構成要素として、または、タスクを実行するよう製造された特定の構成要素として実装されてよい。本明細書では、「プロセッサ」という用語は、1または複数のデバイス、回路、および/または、コンピュータプログラム命令などのデータを処理するよう構成された処理コアを指すものとする。
【0016】
以下では、本発明の原理を示す図面を参照しつつ、本発明の1または複数の実施形態の詳細な説明を行う。本発明は、かかる実施形態に関連して説明されているが、どの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定されるものであり、本発明は、多くの代替物、変形物、および、等価物を含む。以下の説明では、本発明の完全な理解を提供するために、多くの具体的な詳細事項が記載されている。これらの詳細事項は、例示を目的としたものであり、本発明は、これらの具体的な詳細事項の一部または全てがなくとも特許請求の範囲に従って実施可能である。簡単のために、本発明に関連する技術分野で周知の技術事項については、本発明が必要以上にわかりにくくならないように、詳細には説明していない。
【0017】
統合分散型識別認証システムが開示されている。様々な実施形態において、本明細書に開示されているシステムは、一意的な人間のアイデンティティに結び付けられたデジタルクレデンシャルの安全な登録、発行、格納、および、検証を実行するデバイスおよびプロトコルを備える。人間のアイデンティティへのデジタルクレデンシャルの一意的な結び付けは、それらの発行者が、本明細書に開示されているアイデンティティ曖昧さ回避情報のリポジトリに協力している限りは、相互に独立したクレデンシャル発行者にわたって登録時に実施可能である。様々な実施形態において、あらゆる(任意の)クレデンシャル発行者に登録しようとする以前に登録済みの人間ユーザは、すでに発行されたクレデンシャルの所有者であることが、発行者によって知られ、または、発見される。様々な実施形態において、システムは、単一のユーザへの複数のクレデンシャルの発行を防ぐ。
【0018】
図1は、分散型アイデンティティプラットフォームのための統合認証システムの一実施形態を示すブロック図である。図の例において、システム100は、デバイス104(携帯デバイス、ラップトップコンピュータ、デスクトップコンピュータ、または、ユーザ102によって信頼されているその他のデバイスなど)のユーザ102が、サービスプロバイダ(サービスプロバイダ106、108など)からのサービスにアクセスするために用いられるデジタルアドレスもしくはその他のデジタルアイデンティティおよび/またはクレデンシャルを取得することを可能にする。図の例において、ユーザ102は、本明細書に開示されているように、デバイス104上で選択されたデジタルアイデンティティアプリ110、112を用いて、デジタルアドレスもしくはその他のデジタルアイデンティティまたはクレデンシャルを取得する。デジタルアイデンティティアプリ110、112は、デジタルアドレスプロバイダ層118を含む関連デジタルアドレスプロバイダ(またはその他のデジタルアイデンティティプロバイダ)114、116と相互作用する。デジタルアドレスプロバイダ114、116の例は、CIVIC、SOVRIN、EVERNYM、または、その他のプロバイダなどの分散型クレデンシャルプロバイダを含むが、それらに限定されない。
【0019】
図の例において、デジタルアドレスプロバイダ114、116は、例えば、(例えば、後に記載するように)デジタルアドレス自己登録に関連して証明書から抽出されまたはデバイス104を介して入力された情報を検証するため、および/または、以前に発行されたデジタルアドレスが発行されたユーザにサービスへの安全なアクセスを提供するなど、発行者120、122によって提供された検証可能クレデンシャルへのアクセスを容易にするために、検証済みクレデンシャル発行者120、122と相互作用してよい。様々な実施形態において、検証済みクレデンシャル発行者120、122は、より保証されたデジタルアイデンティティクレデンシャルの作成を容易にする。検証済みクレデンシャル発行者120、122の例は、銀行またはその他の金融機関;陸運局、国務省、国土安全保障省、国税庁、および、その他の機関;医療提供者および医療保険業者;信用調査事務所;ならびに、アイデンティティ情報を検証するために、情報、人事、プロセス、および、専門知識へ、一意的、特別、および/または、特権的なアクセス権を有する任意のエンティティ、を含むが、それらに限定されない。
【0020】
様々な実施形態において、デジタルアドレスを登録するために、デジタルアドレスプロバイダ(デジタルアドレスプロバイダ114、116など)が、関連するデジタルアイデンティティアプリ110、112から、アイデンティティ曖昧さ回避データ(本明細書では、「アイデンティティ曖昧さ回避子」とも呼ぶこともある)を受信する。様々な実施形態において、アイデンティティ曖昧さ回避子は、単一の人間ユーザに一意的に関連付けられている値を含む。他の人間ユーザが、アイデンティティ曖昧さ回避子について同じ値を有することも生成することもなく、各人間は、その人間に一意的な1つのアイデンティティ曖昧さ回避子のみを生成することができる。
【0021】
様々な実施形態において、デジタルアドレスプロバイダ114、116は、アイデンティティ曖昧さ回避子がデジタルアドレスを発行するために以前に用いられていないことを確認するために、分散型アイデンティティ曖昧さ回避リポジトリ124をチェックする。分散型アイデンティティ曖昧さ回避リポジトリ124は、任意のアクセス可能な記憶媒体(パブリックブロックチェーンまたはローカルデータベースなど)を備えてよい。
【0022】
様々な実施形態において、分散型アイデンティティ曖昧さ回避リポジトリ124は、従来の典型的な分散型アイデンティティエフォート層よりも1層だけ上にある。いくつかの実施形態において、分散型アイデンティティ曖昧さ回避リポジトリ124は、ウェブサイトアドレスに対してICANN/DNSが機能するように、分散型アイデンティティに対して機能する。分散型アイデンティティ曖昧さ回避リポジトリ124は、人物が2以上のアイデンティティ曖昧さ回避子を登録するのを防ぎ、バイオメトリック情報などユーザの個人情報の開示を全く必要とせずに、様々なデジタルアドレスプロバイダ114、116の間での相互運用性およびクリアリングを可能にする。
【0023】
様々な実施形態において、分散型アイデンティティ曖昧さ回避リポジトリ124は、ブロックチェーンもしくはその他の分散型台帳および/または分散型データベース技術を用いて実装されてよいデータベースを備える。様々な実施形態において、実装技術に関わらず、分散型アイデンティティ曖昧さ回避リポジトリ124のデータベースは、様々な参加組織によって操作される複数のノードを有する。
【0024】
様々な実施形態において、分散型アイデンティティ曖昧さ回避リポジトリ124は、各人間ユーザが、1つのデジタルアドレスしか持たないことを保証するために、本明細書に開示するように動作する。いくつかの実施形態において、それは、自身の一意的にフォーマットされたDID様ロケータ(例えば、本明細書で開示されている「アイデンティティ曖昧さ回避子」)を用いることによってこれを実行する。いくつかの実施形態において、識別に利用されてよく、アイデンティティ曖昧さ回避子が一意的に関連付けられている1人の人間ユーザと一意的に関連付けられたデジタルアドレスを生成および提供するために、アイデンティティ曖昧さ回避子は、アドレス指定情報と組み合わせられる。
【0025】
様々な実施形態において、本明細書で開示されているアイデンティティ曖昧さ回避子は、1人の人間ユーザに一意的であると見なされている一群のデータまたはその他の属性から導出される。様々な実施形態におけるアイデンティティ曖昧さ回避子は、所与の人間ユーザに対して同じアイデンティティ曖昧さ回避子を生成して他のアイデンティティ曖昧さ回避子を生成しないように、任意の回数複製されることが可能であり、その結果、人間ユーザは、1つのアイデンティティ曖昧さ回避子のみを生成することができ、他の人間ユーザは、同じアイデンティティ曖昧さ回避子を生成できないので、各人間ユーザは、登録を通して1つのデジタルアドレスのみを取得することができ、その人間ユーザのみがそのデジタルアドレスを取得できる。
【0026】
様々な実施形態において、本明細書で開示されているアイデンティティ曖昧さ回避子は、ユーザの量子化バイオメトリックデータおよび(いくつかの実施形態において)アイデンティティ登録ソルトから決定論的に導出されるが、バイオメトリックデータに関する情報を漏らすことはない。いくつかの実施形態において、アイデンティティ登録ソルトは、デジタルアドレスプロバイダ114、116、118、および、分散型アイデンティティ曖昧さ回避リポジトリ124の間で共有される単一のグローバル値を含む。いくつかの実施形態において、アイデンティティ登録ソルトは、アイデンティティ曖昧さ回避子を生成するために、一方向性関数を通して、量子化バイオメトリックデータと暗号論的に組み合わせられる。いくつかの実施形態において、アイデンティティ登録ソルトの値は、秘密ではない。
【0027】
様々な実施形態において、図1のエンティティの間の相互作用を示す矢印は、共通API(標準ベースのAPIなど)を用いて送信される通信を表す。いくつかの実施形態において、共通APIは、異なるの既存のクレデンシャル発行者および関連のエンティティによって用いられる既存の専有APIの代わりをする。いくつかの他の実施形態では、専有APIが利用され続ける。例えば、専有APIは、デジタルアイデンティティアプリ110、112と、デジタルアドレスプロバイダ114、116との一部によって利用されてよい。かかる専有APIは、例えば、システム100に参加しているエンティティに対して、公開されてよく、または、他の方法で利用可能にされてよい。
【0028】
図2は、デジタルクレデンシャルを発行するための処理の一実施形態を示すフローチャートである。様々な実施形態において、図2の処理200は、デジタルアドレスプロバイダ(図1のデジタルアドレスプロバイダ114、116など)によって実行される。図の例では、工程202において、身分証明書が受信され検証される。様々な実施形態において、ユーザ(図1のユーザ102など)が、ユーザデバイス(例えば、104)上で動作するデジタルアプリ(例えば、110、112)を用いて、身分証明書の写真またはその他の画像(例えば、PDF)を撮る。アプリは、証明書からアイデンティティ情報を抽出してデジタルアドレスプロバイダにその情報を提供するために、光学式文字認識(OCR)またはその他の処理を実行してよい。いくつかの実施形態において、アプリは、1または複数の証明書全体の画像またはその他の表現をデジタルアドレスプロバイダへ送信してよい。
【0029】
工程204において、アイデンティティ曖昧さ回避データを生成するための情報が取得される。いくつかの実施形態において、アプリおよびユーザデバイスが、顔認識、指紋、または、音声(例えば、話された定型的なフレーズ)のデータなど、バイオメトリック情報を取得するために用いられてよい。いくつかの実施形態において、例えば、ユーザのユーザデバイスにプラグインまたは他の方法で接続されているスキャナなど、デジタルアイデンティティプロバイダによって提供および/または他の方法で信頼されているバイオメトリックスキャナが用いられてよい。いくつかの実施形態において、バイオメトリックデータは、デジタルアドレスを登録するために、要求、取得、または、利用されない。その代わり、バイオメトリックデータではないが或る人物に固有の(十分にその可能性が高い)その他の情報(1または複数の経歴(誕生日、生まれた都市)、政府またはその他の機関によって発行された数字または英数字の識別子(例えば、社会保障番号)、および/または、その他の日付、の内の1または複数を含む値の配列、など)が、本明細書に開示されているアイデンティティ曖昧さ回避データを生成するために用いられてよい。
【0030】
工程206において、工程204で受信されたデータは、本明細書で開示されているアイデンティティ曖昧さ回避データ(すなわち、アイデンティティ曖昧さ回避子)を生成するために用いられる。様々な実施形態において、アイデンティティ曖昧さ回避子は、ユーザのデバイス上で動作するデジタルアイデンティティアプリによって生成され、これにより、アイデンティティ曖昧さ回避子の生成に用いられるデータがデジタルアドレスプロバイダに送信されることが回避される。ユーザのバイオメトリック情報および/またはその他の情報は、アイデンティティ曖昧さ回避子からは識別できないので、このアプローチは、よりプライベートおよび/または安全であると考えられうる。
【0031】
工程208において、デジタルアドレスプロバイダは、そのアイデンティティ曖昧さ回避子が以前に登録されていないことを確認する。例えば、デジタルアドレスプロバイダは、アイデンティティ曖昧さ回避子がデジタルアドレスを取得するために以前に用いられたか否かを判定するために、分散型アイデンティティ曖昧さ回避リポジトリ(図1の分散型アイデンティティ曖昧さ回避リポジトリ124など)にアクセスしてよい。アイデンティティ曖昧さ回避子がデジタルアドレスを取得するために以前に用いられていないと、工程210で判定された場合、工程212において、デジタルアドレスプロバイダは、対応する記録を分散型アイデンティティ曖昧さ回避リポジトリに格納することによって、アイデンティティ曖昧さ回避子を登録し、ユーザのためのデジタルアドレスを生成し、(例えば、デジタルアイデンティティアプリまたはその他のユーザインターフェースを介して)ユーザへ返す。
【0032】
アイデンティティ曖昧さ回避子がデジタルアドレスを取得するために以前に用いられていたと、工程210で判定された場合、工程214において、既存のアドレス/アイデンティティ除外操作処理がトリガされる。例えば、デジタルアドレスプロバイダは、ユーザがすでにデジタルアドレスを取得しているので、処理が失敗したことを示す応答を返してよい。応答は、ユーザが、デジタルアドレス、ならびに/もしくは、デジタルアドレスを参照またはその他の方法で利用するのに必要な情報を失った場合に、デジタルアドレスを「回復」させるための命令を含んでよい。以前に登録されたアイデンティティに基づくおよび/または関連付けられたクレデンシャル、アドレス、または、その他の情報が、生成および/または提供されてよい。
【0033】
様々な実施形態において、様々な技術および処理が、デジタルアドレスのために提供され、および/または、デジタルアドレスを取得するために利用されてよく:例えば、ユーザの信頼するデバイス上で動作するデジタルアイデンティティアプリを用いた、自己登録;例えば、検証済みクレデンシャル発行者の事務所など物理的な場所で自分自身および身分証明書を提示することによる、対面登録;および、例えば、登録に用いられるユーザデバイスのUSBに差し込むかまたはその他の方法でユーザデバイスに接続するデバイスなど、デジタルアドレスプロバイダの信頼するバイオメトリックスキャンデバイスを用いた、拡張自己登録を含むが、それらに限定されない。
【0034】
図3は、デジタルアドレスを取得するための処理の一実施形態を示す機能フローブロック図である。図3に示す例において、処理300は、ユーザ102が、安全なユーザデバイス(例えば、プライベートPKIキーを格納できるデバイス)上で実行するデジタルアイデンティティアプリ110を介して自己登録処理によってデジタルアドレスを取得することを可能にする。
【0035】
ユーザは、例えば、デジタルアドレスプロバイダ114から、デジタルアイデンティティアプリ110をダウンロードし、アプリを起動し、処理を開始する。アプリは、図3の矢印「1」で示すように、いくつかの実施形態ではユーザの写真を含む、身分証明書(例えば、運転免許証、パスポート、その他の身分証明書、など)の画像を撮影するかおよび/または他の方法でアップロードするよう、ユーザにプロンプトする。アプリ110は、証明書および/または写真から個人データを抽出する。アプリ110は、ユーザのバイオメトリックスキャンを実行してよい。いくつかの実施形態において、バイオメトリックスキャン情報は、身分証明書に照らしてユーザを検証するため、例えば、実際の顔をID写真の顔と比較する、実際のバイオメトリックを身分証明書または別のデータ源に埋め込まれた同じバイオメトリックの機械読み取り可能な表現と比較する、などのために用いられる。比較に失敗すると、トランザクションは終了される。比較にパスすると、アプリは、アイデンティティ曖昧さ回避子を生成するために、疑似乱数一方向変換(暗号学的ハッシュ関数など)によって、上述したアイデンティティリポジトリソルトと任意選択的に組み合わせて反復可能な関数(ファジー抽出器など)を用いて、バイオメトリック情報の全部または一部を決定論的に量子化する。
【0036】
図の例において、アプリ110は、1または複数の検証済みクレデンシャル発行者との通信(矢印「2」)を介して、証明書および/または写真から抽出された個人データの全部または一部を検証する。いくつかの別の実施形態では、デジタルアドレスプロバイダ114が、このチェックを実行する。例えば、陸運局は、提出された運転免許証が有効であり、アプリ110(またはデジタルアドレスプロバイダ114)によって運転免許証から抽出された氏名、住所、誕生日、写真、および、その他の情報が、検証済みクレデンシャル発行者の記録内の情報と一致することを確認するようクエリされうる。
【0037】
図3をさらに参照すると、図の例において、アプリ110は、ユーザによって提供された証明書および/または写真から抽出されたデータ(ならびに/もしくは、証明書および/または写真自体)と、例えばユーザ102からアプリ110によって取得されたバイオメトリック情報またはその他の情報に基づいて、アプリ110によって算出されたアイデンティティ曖昧さ回避子とを、デジタルアドレスプロバイダ114に提供する(矢印「3」)。
【0038】
デジタルアドレスプロバイダ114は、アイデンティティ曖昧さ回避子が以前に登録されていないことを確認するために、分散型アイデンティティ曖昧さ回避リポジトリ124をチェックする(矢印「4」)。登録されていなかった場合、デジタルアドレスプロバイダ114は、そのアイデンティティ曖昧さ回避子を用いて、ユーザのためのデジタルアドレスを生成し、そのデジタルアドレスは、デジタルアイデンティティアプリ110を介してユーザに返される(矢印「5」)。デジタルアドレスプロバイダ114が分散型アイデンティティ曖昧さ回避リポジトリ124を用いて、アイデンティティ曖昧さ回避子が以前に登録されていたと判定した場合、応答(矢印「5」)は、登録処理が失敗したことを示し、いくつかの実施形態においては、ユーザによって以前に登録されたデジタルアドレスを回復するための命令を提供する。
【0039】
図4は、デジタルアドレスを発行するための処理の一実施形態を示す機能フローブロック図である。様々な実施形態において、図4の処理400は、例えば、検証済みクレデンシャル発行者120に関連する物理的な場所(銀行、運輸局、または、その他の場所、など)にユーザ102が行く(矢印「1」)ことによって、対面で登録する(すなわち、デジタルアドレスを取得する)ために用いられてよい。物理的な場所で、職員、キオスク端末などが、ユーザ102から身分証明書およびバイオメトリック情報を取得し、抽出した情報を、例えば、暗号化通信および/またはチャネルを介して、デジタルアドレスプロバイダ114へ提供する(矢印「2」)。
【0040】
いくつかの実施形態において、検証済みクレデンシャル発行者120は、アイデンティティ曖昧さ回避子を生成し、生成したアイデンティティ曖昧さ回避子をデジタルアドレスプロバイダ114へ提供する(矢印「2」)。いくつかの別の実施形態において、検証済みクレデンシャル発行者120は、デジタルアドレスプロバイダ114へバイオメトリック情報および/またはその他の情報を送信し(矢印「2」)、デジタルアドレスプロバイダ114は、アイデンティティ曖昧さ回避子を生成する。
【0041】
デジタルアドレスプロバイダ114は、アイデンティティ曖昧さ回避子が以前に登録されていないことを確認するために、分散型アイデンティティ曖昧さ回避リポジトリ124をチェックする(矢印「3」)。登録されていなかった場合、デジタルアドレスプロバイダ114は、そのアイデンティティ曖昧さ回避子を用いて、ユーザのためのデジタルアドレスを生成し、そのデジタルアドレスは、検証済みクレデンシャル発行者120を介してユーザに返される(矢印「4」)。デジタルアドレスプロバイダ114が分散型アイデンティティ曖昧さ回避リポジトリ124を用いて、アイデンティティ曖昧さ回避子が以前に登録されていたと判定した場合、応答(矢印「4」)は、登録処理が失敗したことを示し、いくつかの実施形態においては、ユーザによって以前に登録されたデジタルアドレスを回復するための命令を提供する。
【0042】
図5は、デジタルアドレスを発行するための処理の一実施形態を示す機能フローブロック図である。様々な実施形態において、図5の処理500は、アイデンティティ曖昧さ回避子を生成すると同時に、アイデンティティ曖昧さ回避子が正しいことをデジタルアドレスプロバイダが知るのを可能にし、バイオメトリックデータが誰にも漏れていないことをユーザが知るのを可能にする。図の例において、ユーザ102は、デジタルアドレスプロバイダの信頼するバイオメトリックスキャナデバイス502(例えば、USBインターフェースを備えたカメラ)をユーザの信頼するアプリ/デバイス110(例えば、必要なプロトコルをスキャナ502で実行できるアプリを実行するスマートフォン)に接続する(矢印「1」)。スキャナ502が接続されたことおよび/または何らかの他のプロンプトに応答して、ユーザの信頼するアプリ110は、「登録開始」メッセージをデジタルアドレスプロバイダ114へ送信する(矢印「2」)。デジタルアドレスプロバイダ114は、ランダムに生成したノンスをユーザの信頼するアプリ/デバイス110へ返し(矢印「3」)、ユーザの信頼するアプリ/デバイス110は、ノンスをスキャナデバイス502へ渡す(矢印「4」)。スキャナデバイス502は、ユーザのバイオメトリックスキャンを実行し(矢印「5」)、上述のように、スキャンで得られたデータを個人のその他の属性と共に用いて、アイデンティティ曖昧さ回避子を生成する。スキャナデバイス502は、さらに、ユーザの身分証明書のスキャンに用いられ、証明書から抽出されたデータをスキャンで得られたデータと比較する。いずれかの比較が失敗した場合、トランザクションは停止する。
【0043】
スキャナデバイス502は、(上述したように、矢印「3」および「4」に沿って受信した)ノンス、(前の工程でスキャンした)身分証明書、および、アイデンティティ曖昧さ回避子の連結にデジタル署名し、それを生バイオメトリックスキャンデータと共にユーザの信頼するアプリ/デバイス110へ返す(矢印「6」)。ユーザの信頼するアプリ/デバイス110は、生バイオメトリックデータからアイデンティティ曖昧さ回避子を再計算し、結果として得られたアイデンティティ曖昧さ回避子がスキャナデバイス502によって署名されたものと一致することを確認する(したがって、アイデンティティ曖昧さ回避子が正しいことと、バイオメトリック情報が漏れていないことを保証する)。ユーザの信頼するアプリ/デバイス110は、例えば、スキャナデバイス502から受信した対応する生データと比較される、独自のバージョンのバイオメトリックデータを生成するために、ユーザと相互作用してよい(矢印「7」)。
【0044】
ユーザの信頼するアプリ/デバイス110は、スキャナデバイス502から受信した(矢印「6」)ノンス、身分証明書、および、アイデンティティ曖昧さ回避子のデジタル署名された連結を、デジタルアドレスプロバイダ114へ送信する(矢印「8」)。デジタルアドレスプロバイダ114は、ノンス、身分証明書、および、アイデンティティ曖昧さ回避子の連結上のスキャナデバイス502の署名を検証する。検証が失敗した場合、トランザクションは停止する。検証をパスした場合、デジタルアドレスプロバイダ114は、身分証明書から情報を抽出し、それを検証済みクレデンシャル発行者120と共に検証し(矢印「9」)、アイデンティティ曖昧さ回避子が以前に登録されていないことを確認するために分散型アイデンティティ曖昧さ回避リポジトリ124をチェックする(矢印「10」)。登録されていなかった場合、デジタルアドレスプロバイダ114は、そのアイデンティティ曖昧さ回避子を用いて、ユーザのためのデジタルアドレスを生成し、そのデジタルアドレスは、ユーザの信頼するアプリ/デバイス110を介してユーザに返される(矢印「11」)。デジタルアドレスプロバイダ114が分散型アイデンティティ曖昧さ回避リポジトリ124を用いて、アイデンティティ曖昧さ回避子が以前に登録されていたと判定した場合、応答(矢印「11」)は、登録処理が失敗したことを示し、いくつかの実施形態においては、ユーザによって以前に登録されたデジタルアドレスを回復するための命令を提供する。
【0045】
図6Aは、デジタルクレデンシャルを用いてクレームを検証するための処理の一実施形態を示す機能フローブロック図である。様々な実施形態において、図6Aの処理600は、サービスプロバイダ(図の例におけるサービスプロバイダ106など)が、ユーザ(ユーザ102など)によって以前に登録されたデジタルアドレスを用いて、例えば、ユーザによって提供されたデジタルアドレスを用いてリアルタイムでユーザのアイデンティティクレームを検証することにより、ユーザによって提示されたアイデンティティクレームに基づいてサービスへのアクセスを提供することを可能にするために実施されてよい。
【0046】
図の例において、ユーザ102は、サービスプロバイダ(サービスプロバイダ106など)によって提供されるサービスにアクセスするために、アプリ110を起動する(矢印「1」)。アプリ110は、サービスプロバイダ106によって提供され、および/または、他の方法でサービスプロバイダ106と関連付けられ、および/または、サービスプロバイダ106のサービスにアクセスするよう構成されたアプリであってよい。アプリ106は、ユーザ102の1または複数のアイデンティティクレーム(例えば、氏名、住所、社会保障番号またはその他の識別番号の下4桁、など)と、例えば、図2~図5に示した処理の内の1または複数を用いて、ユーザ102によって以前に取得されたデジタルアドレスとを含むデータを、サービスプロバイダ106へ送信する(矢印「2」)。
【0047】
サービスプロバイダは、デジタルアドレスを用いて、関連付けられているデジタルアドレスプロバイダ(例えば、この例におけるデジタルアドレスプロバイダ114)と共にアイデンティティクレームを検証する(矢印「3」)。例えば、デジタルアドレスは、デジタルアドレスプロバイダ114と関連付けられていてよく、例えば、デジタルアドレスプロバイダ114にリゾルブするアドレスおよび/またはルーティング情報を含んでよい。あるいは、いくつかの実施形態において、デジタルアドレスが、デジタルアドレスプロバイダ層またはネットワーク(図1のデジタルアドレスプロバイダ層118など)に参加する任意のデジタルアドレスプロバイダなど、本明細書で開示されているシステムに参加する任意のデジタルアドレスプロバイダに提示され、受信側のデジタルアドレスプロバイダは、そのアドレスを用いて、検証のためにユーザのデータを見つける。
【0048】
図の例において、デジタルアドレスプロバイダ114は、自身のアイデンティティクレームがデジタルアドレスプロバイダ114を介してサービスプロバイダ106によって検証されることにユーザが同意するか否かを確認するために、帯域外通信を介してユーザ102と相互作用する(矢印「4」)。ユーザ102が同意した場合(矢印「4」)、デジタルアドレスプロバイダ114は、サービスプロバイダ106から受信した(矢印「3」)アイデンティティクレームを、対応する以前に格納され以前に検証されたユーザ102のアイデンティティ情報(例えば、ユーザ102のデジタルアドレスに関連付けられている以前に格納されたアイデンティティクレームデータ)に照らしてチェックする。データが一致した場合、デジタルアドレスプロバイダ114は、アイデンティティクレームが証明されたことを示す応答を返す(矢印「6」)。データが一致しなかった場合、または、ユーザ102が同意を拒否した場合、応答(矢印「5」)は、検証が失敗したことを示す。いくつかの別の実施形態において、サービスプロバイダ106から受信したアイデンティティクレームを、対応する以前に格納され検証されたユーザ102の情報に照らしてチェックする代わりに、デジタルアドレスプロバイダ114は、ユーザ102のアイデンティティデータから導出されたクレデンシャル(通常は、クレデンシャル発行者からのクレデンシャル)へのアクセスを提供する。これらのクレデンシャルは、データ自体の署名付き証明を提供することによって、または、サービスプロバイダ106がアイデンティティデータ自体との比較を実際に必要とすることなしに信頼できるゼロ知識法(「証明可能な」イエスまたはノー)で、アイデンティティクレームが本物であることをサービスプロバイダに対して証明できる。
【0049】
図6Aをさらに参照すると、サービスプロバイダは、検証をパスした場合には、要求されたサービスを提供し、または、検証が失敗した場合には、サービスを提供できないことを示すように、ユーザに応答する(矢印「6」)。
【0050】
いくつかの実施形態において、図6Aの処理600は、アプリ110を介してユーザ102にサービスを提供するために、デジタルアドレスプロバイダ114を介して、例えばサービスプロバイダ106へ、サービスプロバイダ114によって要求された「ゼロ知識」証明を提供するために用いられてよい。ユーザ102は、サービスプロバイダ106へ明示的および/または具体的なアイデンティティクレームを提供しなくてよく、その代わり、ゼロ知識検証を実行するようサービスプロバイダ106に要求して暗示的にプロンプトするサービスを要求してよい。例えば、21歳以上の個人のみに利用可能なサービスにアクセスするために、サービスプロバイダ106は、ユーザ102が年齢条件を満たすことを確認することを求められうる。ユーザ102に年齢を述べるよう求める(矢印「2」)のではなく、サービスプロバイダ106は、単に、ユーザのデジタルアドレスを提供するようユーザ102に要求してよく、次いで、サービスプロバイダ106は、デジタルアドレスを用いて、ユーザ102が21歳以上であることを確認するようデジタルアドレスプロバイダ114(矢印「3」)に要求する。デジタルアドレスプロバイダ114は、サービスプロバイダ106によって要求された検証可能なクレデンシャルを提供する(矢印「5」)(すなわち、ユーザ102が21歳以上であることを確認する)ために、ユーザ102からの許可を要求し(矢印「4」)、次いで、サービスプロバイダ106は、そのクレデンシャルに基づいて、サービスへのアクセスを提供する(矢印「6」)。上記の例において、ユーザ102は、ユーザの年齢を提供することも、提供するよう求められることもなく、サービスプロバイダ106は、ユーザ102の正確な年齢または生年月日にアクセスすることがないことに注意されたい。
【0051】
図1および図6Aに示すように、デジタルアドレスプロバイダ114は、デジタルアドレスプロバイダ116およびその他のデジタルアドレスプロバイダも含む複数のデジタルアドレスプロバイダの内の1つである。様々な実施形態において、本明細書で開示されているデジタルアドレスは、サービスプロバイダ(図6Aに示した例におけるサービスプロバイダ106など)によるアイデンティティ検証要求を、本明細書で開示されているデジタルアドレスエコシステムに参加する任意のデジタルアドレスプロバイダへルーティングするために用いられる。図6Aに示した例において、ユーザ102によって提示されユーザ102に関連付けられているデジタルアドレスは、サービスプロバイダ106による検証要求を、デジタルアドレスプロバイダ114へルーティングするために用いられる。他の例において、サービスプロバイダ106による検証要求は、デジタルアドレスプロバイダ116へルーティングされてもよく、デジタルアドレスプロバイダ116は、様々な実施形態において、本明細書で開示されているように、同様に要求に対応できる。
【0052】
図6Bは、デジタルクレデンシャルを用いてクレームを検証するための処理の一実施形態を示す機能フローブロック図である。様々な実施形態において、図6Bの処理620は、サービスプロバイダ(図の例におけるサービスプロバイダ106など)が、ユーザ(ユーザ102など)によって以前に登録されたデジタルアドレスを用いて、例えば、ユーザによって提供されまたはその他の方法で関連付けられたデジタルアドレスを用いてリアルタイムでユーザのアイデンティティクレームを検証することにより、ユーザによって提示されたアイデンティティクレームに基づいてサービスへのアクセスを提供することを可能にするために実施されてよい。
【0053】
図6Bに示す例において、処理620は、ユーザのアイデンティティクレームが検証される際に対照させるデータが検証可能クレデンシャルレポジトリ622に格納されていることを除いて、図6Aの処理と同様である。サービスプロバイダ106からクレームを検証する要求を受信し(矢印「3」)、検証を行うためにユーザ102の許可を取得すると(矢印「4」)、デジタルアドレスプロバイダ114は、要求/アイデンティティクレームに対応する検証可能クレデンシャルを要求して(矢印「5」)、取得し(矢印「6」)、クレデンシャルの検証可能な提示をサービスプロバイダ106に返す(矢印「7」)。様々な実施形態において、サービスプロバイダ106は、クレデンシャル自体を受信せず、アイデンティティクレームの必要な証明を提供するクレデンシャルの提示のみを受信する。いくつかの実施形態において、デジタルアドレスプロバイダ114は、検証可能クレデンシャルリポジトリ622から受信/取得した(矢印「5」および「6」)検証可能クレデンシャルの(継続的な)妥当性を検証するさらなるステップを、例えば、検証可能クレデンシャルの発行者にクエリすることによって、実行してよい。
【0054】
いくつかの実施形態において、検証可能クレデンシャルリポジトリ622から取得された検証可能クレデンシャルは、例えば、検証可能クレデンシャル(矢印「6」)および検証可能クレデンシャルリポジトリ622の一方または両方に関連付けられたクレデンシャル発行者および/またはその他のエンティティによって、事前に検証されてよい。いくつかの実施形態において、検証可能クレデンシャル(矢印「6」)は、例えば、検証可能クレデンシャルの要求(矢印「5」)に応答して、リアルタイムで生成されてもよい。例えば、検証可能クレデンシャルは、検証可能クレデンシャルリポジトリ622によって格納されおよび/または要求時に取得されたその他のデータに基づいて生成されてよい。いくつかの実施形態において、検証可能クレデンシャルリポジトリ622は、検証済みクレデンシャル発行者(図1の検証済みクレデンシャル発行者120、122など)と同じであってよく、それによって維持されてよく、および/または、その他の方法で関連付けられていてよく、いくつかのかかる実施形態において、検証可能クレデンシャルリポジトリ622から取得される(矢印「5」および「6」)検証可能クレデンシャルは、例えば、検証可能クレデンシャルをサービスプロバイダ106に送信する(矢印「6」)前に、暗示的にまたは他の方法で、検証済みクレデンシャル発行者120、122によって生成および検証されてよい。
【0055】
図7は、デジタルクレデンシャルを用いてクレームを検証するための処理の一実施形態を示すフローチャートである。様々な実施形態において、図7の処理700は、サービスプロバイダ(図6に示した例におけるサービスプロバイダ106など)によって実行される。
【0056】
図の例において、工程702で、1または複数のアイデンティティクレームと、デジタルアドレスとが受信される。工程704で、デジタルアドレスは、例えば、図6に関連して上述したように、アイデンティティクレームを検証するために用いられる。アイデンティティクレームが証明された場合(工程706)、アイデンティティクレームは、要求されたサービスを提供するために工程708で用いられる。例えば、アイデンティティクレームデータは、サービスを実行するために用いられてよく、もしくは、サービスへのアクセスが、アイデンティティクレームを用いて決定および検証されたユーザのアイデンティティに基づいて、および/または、ユーザのアイデンティティによって少なくとも部分的に決定される方法で、提供されてよい。アイデンティティクレームが証明されなかった場合(工程706)、工程710で、アイデンティティ検証の失敗および/または除外処理が実行される。例えば、ユーザは、アイデンティティ検証の失敗によりサービスが提供不可能であることを通知されうる。
【0057】
様々な実施形態において、本明細書で開示されている技術は、ユーザのバイオメトリックデータおよびその他のデータを漏洩のリスクから保護し、ユーザデータ、クレデンシャル、および/または、アイデンティティ情報がコピーされまたはその他の方法で盗まれるリスクを最小化し、各人間ユーザが1つのみのデジタルアドレスおよび/またはその他のデジタルアイデンティティを有し、取得できることを保証して、各人間ユーザがユーザの一意的なデジタルアドレスおよび/またはその他のデジタルアイデンティティを取得できる唯一のユーザであることを保証するシステムを介して、サービスへの安全なアクセスを提供するために利用されてよい。
【0058】
上述の実施形態は、理解しやすいようにいくぶん詳しく説明されているが、本発明は、提供された詳細事項に限定されるものではない。本発明を実施する多くの代替方法が存在する。開示されている実施形態は、例示であり、限定を意図するものではない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【手続補正書】
【提出日】2022-04-19
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】0046
【補正方法】変更
【補正の内容】
【0046】
図の例において、ユーザ102は、サービスプロバイダ(サービスプロバイダ106など)によって提供されるサービスにアクセスするために、アプリ110を起動する(矢印「1」)。アプリ110は、サービスプロバイダ106によって提供され、および/または、他の方法でサービスプロバイダ106と関連付けられ、および/または、サービスプロバイダ106のサービスにアクセスするよう構成されたアプリであってよい。アプリ110は、ユーザ102の1または複数のアイデンティティクレーム(例えば、氏名、住所、社会保障番号またはその他の識別番号の下4桁、など)と、例えば、図2~図5に示した処理の内の1または複数を用いて、ユーザ102によって以前に取得されたデジタルアドレスとを含むデータを、サービスプロバイダ106へ送信する(矢印「2」)。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0050
【補正方法】変更
【補正の内容】
【0050】
いくつかの実施形態において、図6Aの処理600は、アプリ110を介してユーザ102にサービスを提供するために、デジタルアドレスプロバイダ114を介して、例えばサービスプロバイダ106へ、デジタルアドレスプロバイダ114によって要求された「ゼロ知識」証明を提供するために用いられてよい。ユーザ102は、サービスプロバイダ106へ明示的および/または具体的なアイデンティティクレームを提供しなくてよく、その代わり、ゼロ知識検証を実行するようサービスプロバイダ106に要求して暗示的にプロンプトするサービスを要求してよい。例えば、21歳以上の個人のみに利用可能なサービスにアクセスするために、サービスプロバイダ106は、ユーザ102が年齢条件を満たすことを確認することを求められうる。ユーザ102に年齢を述べるよう求める(矢印「2」)のではなく、サービスプロバイダ106は、単に、ユーザのデジタルアドレスを提供するようユーザ102に要求してよく、次いで、サービスプロバイダ106は、デジタルアドレスを用いて、ユーザ102が21歳以上であることを確認するようデジタルアドレスプロバイダ114(矢印「3」)に要求する。デジタルアドレスプロバイダ114は、サービスプロバイダ106によって要求された検証可能なクレデンシャルを提供する(矢印「5」)(すなわち、ユーザ102が21歳以上であることを確認する)ために、ユーザ102からの許可を要求し(矢印「4」)、次いで、サービスプロバイダ106は、そのクレデンシャルに基づいて、サービスへのアクセスを提供する(矢印「6」)。上記の例において、ユーザ102は、ユーザの年齢を提供することも、提供するよう求められることもなく、サービスプロバイダ106は、ユーザ102の正確な年齢または生年月日にアクセスすることがないことに注意されたい。
【国際調査報告】