CN107636662A - 网络内容认证 - Google Patents

Abstract

一种将由内容源提供的内容认证到本地装置以显示内容的方法，所述方法包括：在所述内容源和所述本地装置执行的浏览器之间建立通信会话；从所述内容源向所述浏览器发送校验页，所述校验页包括内容认证令牌，所述内容认证令牌是与所述内容源绑定的随机生成的仅一次性使用的证书；通过验证应用从所述浏览器捕获所述内容认证令牌；将所述认证令牌发送至校验服务，所述校验服务确认所述令牌是否被绑定至有效的内容源；并且如果所述令牌被绑定到有效的内容源上，则使所述内容在所述本地装置上显示。

Description

网络内容认证

背景技术

现在有许多情况下，网络系统的用户希望登录到该系统。目前，为了成功登录系统，通常需要密码和/或独特的生物特征标识符来确保登录网络系统的用户有权访问这些系统。

相反地，越来越普遍的是，呈现给用户的网页内容可能不是来自于有效源。例如，网页可以由想要窃取诸如信用卡细节等的细节来源所创建。因此，当访问网络系统时，需要校验两种情况其中的一种或两种。

第一种是用户需要确认系统的身份，以确保他们从有效源获取内容；第二种是系统需要确认用户的身份，并且确认他们有权访问该资源。

发明内容

根据本发明的一个方面，提供了将由内容源提供的内容认证到本地装置以显示内容的方法，所述方法包括：在所述内容源和所述本地装置执行的浏览器之间建立通信会话；从所述内容源向所述浏览器发送校验页，所述校验页包括内容认证令牌，所述内容认证令牌是与所述内容源绑定的随机生成的仅一次性使用的证书；通过验证应用从所述浏览器捕获所述内容认证令牌；将所述认证令牌发送至校验服务，所述校验服务确认所述令牌是否被绑定至有效的内容源；并且如果所述令牌被绑定到有效的内容源上，则使所述内容在所述本地装置上显示。

本发明利用其核心证书，所述证书为随机生成，仅一次性使用，并绑定至特定的档案。所述内容认证令牌以优选实施例中稍后加以详细讨论的方法被绑定至所述内容源。所述内容源可以是服务器，也可以是所述服务器创建的用于在所述本地装置和所述内容源之间建立特定会话的瞬时虚拟装置。

如下文中更加详细的描述，在本发明的一个具体实施例中，所述证书是从登记实体(在这种情况下为内容源)相关联的数据项形成的数字档案中随机生成的。使用这样的证书允许用户确定该会话建立中的所述内容源是有效的。

此外，所述方法允许移动装置与所述本地装置结合使用。在这种情况下，所述移动装置可以从所述本地装置捕获所述内容认证令牌(例如，通过扫描等)，并将其传送给校验服务。所述校验服务可以使用与有效内容源相关的数据项将内容源单据发送至所述移动装置，以由所述移动装置或所述移动装置的用户进行验证。例如，可以向所述移动装置的用户显示托管内容中URI(统一资源标识符)的所述服务器的细节。如果用户接收到这些信息，他就可以继续使用在所述本地装置上向他显示的内容。

所述方法还允许将装置认证令牌从所述移动装置本身被发送至所述校验服务。所述校验服务使用所述装置认证令牌来使用所述证书来访问数字身份档案(例如，用户和/或移动装置的)，并且可以向包括该数据项的所述内容源发送装置识别单据。这允许所述内容源基于他们在所述单据收到的所述数据项来确定他们是否想向所述移动装置的用户发布内容。

或者，所述验证应用可以在所述本地装置本身上运行，并且所述内容认证令牌可以从所述本地装置进行发送。可以类似地使用等效装置认证令牌，但是其被绑定至所述本地装置而不是所述移动装置。

因此，通过使用相同的机制(在下文中简称为uPass)，上述识别的本领域中存在问题的两个信任查询可以在本发明的优选实施例中同时解决。

在实施例中，使得内容被显示可包括将内容源单据从所述校验服务发送到移动装置，其包含或指示有关于所述有效内容源的数据项。所述内容源单据可包括识别存储位置的链接，可从所述存储位置访问所述数据项，从而指示所述数据项。所述数据项可被由所述证书识别的内容源的数字档案所访问。可通过将所述档案的版本存储于可寻址存储位置来发布所述档案，并且将识别所述可寻址存储位置的链接包含在所述内容源单据中，从而指示所述数据项。

所述验证应用可在移动装置上执行，所述移动装置通过以下之一来捕获所述校验页上显示的所述内容认证令牌：数字图像捕获；扫描，近场通信和蓝牙。

所述内容认证令牌可由所述本地装置的本地浏览器所接收，并被传送至在所述本地装置上执行的所述验证应用。

使得所述内容被显示可包括向所述本地装置发送单据，其指示与所述有效内容源相关联的数据项。

所述令牌可识别所述内容源的地址，并且所述方法可包括将地址发送到地址验证服务以确认所述地址是有效地址。

所述数据项可以在所述移动装置上显示。所述数据项可以是托管所述内容的服务器的细节。所述数据项可包括托管所述内容的虚拟装置和/或物理装置的细节，所述虚拟装置在所述物理装置上运行。

所述方法可包括以下步骤，从所述移动装置(如果是验证应用正在运行的地方)或从所述本地装置(如果是验证应用正在运行的地方)将装置认证令牌随着内容认证令牌发送到验证服务，所述装置认证令牌是被绑定到所述移动装置或本地装置(即应用正在运行的那个装置)的随机生成的仅一次性使用的证书。

所述校验服务可使用所述装置认证令牌来使用所述证书来访问数字身份档案。

所述校验服务可生成装置识别单据，所述装置识别单据包括或指示从所述数字身份档案访问的数据项，并将所述单据发送至所述内容源。所述内容源可基于所述装置识别单据中的所述数据项来确定是否发布内容。

所述方法可包括在所述装置识别单据中发送新的装置认证令牌至应用正在运行的那个装置和其绑定的那个装置。所述方法可包括在所述装置识别单据中发送用于所述内容认证令牌的新证书，以用于其后续使用。

所述方法可包括向所述内容源发送新的内容认证令牌。所述方法可包括在所述内容源单据中发送用于所述内容认证令牌的新证书，以供所述装置后续使用此数字身份档案。

所述装置识别单据和所述内容源单据可共享相同的事务标识符。

所述方法可包括以下步骤，从所述本地装置将装置认证令牌随着所述内容认证令牌发送到验证服务，其是被绑定到所述本地装置的随机生成的仅一次性使用的证书。

所述内容源可包括服务器，并且所述令牌被绑定至所述服务器。所述内容源可包括服务器，并且所述内容认证令牌可被绑定至瞬时虚拟装置，其在由所述本地装置启动的会话建立过程中由所述服务器所创建。

置信度可与所述数据项相关联并与所述数据项一起显示。

根据第二方面，系统包括所述本地装置、被配置为实现所述校验服务的数字身份系统，以及(在适用的情况下)所述移动装置，每一个都被配置为实现所述方法的相关步骤。

根据第三方面，计算机程序产品包括存储在计算机可读存储介质上并被配置为实现所述方法的代码。

附图说明

为了更好地理解本发明，并且说明如何实施本发明，现在将参考附图作为示例，其中：

图1是数字身份系统的核心元件的示意图；

图1a是数字身份系统的主要部件的示意性框图；

图2是数字身份系统的功能部件的扩展示意图；

图3a是存储为数字身份系统一部分的数据项的示意性框图。

图3b是数字身份系统的数据库结构的框图。

图3c显示了数字身份系统的主单据本；

图4a是说明在数字身份系统中创建证书的示意流程图；

图4b是显示在智能电话和注册服务中，在数字身份系统里创建证书的流程的流程图；

图5说明了标准化护照信息；

图6是显示认证过程的示意流程图；

图6a是认证过程的流程图；

图6b显示了认证过程中生成单据的细节；

图6c显示了在认证过程中生成主单据的细节；

图6d示意性地说明了由于其内容而导致的各种单据与主单据之间的某些关系；

图7是显示网络服务的认证过程的示意流程图；

图7a是用于网络服务的替代方案；

图8a(流程图)和8b(信号图)描述了注册在数字身份系统中的人员希望具有第三方分配给他们的档案的情况；

图9a(流程图)和9b(信号图)显示了未注册数字身份系统的人员希望具有第三方分配给他们的档案的情况；

图10显示了用户装置的框图；

图11a例示了如何可创建数字身份；

图11b至11h例示了数字档案的用例。

具体优选实施方式

下面的描述公开了一种称为uPass系统的身份注册和认证系统。

作为基本前提，所述uPass系统的用户能够上传和注册其身份文件的副本，他们并转而接收到锚定数字ID，所述锚定数字ID可用于向第三方验证他们的身份，而不需要呈现这些身份文件。在进行此时，他们还能够指定将变得可用的个人信息的性质和数量。

用于要注册或验证身份时的用例被假定为与移动装置的使用有强烈关联，例如智能电话和平板电脑，尽管本发明不限于这些装置。此外，通过非限制性的例子，描述了建基于身份文件的注册，所述身份文件被设计为以OCR友好的文本或NFC兼容的嵌入式晶片电子地扫描。从下文中显而易见的是，可以利用任何种类的与身份有关的数据项，并以任何合适方式将其输入到系统中。

图1a是数字身份系统的主要部件的示意性框图。

中央服务(uPass)14安全地存储证书和管理校验。所述中央服务可以任何合适的方式实现，并且需要至少一个执行身份管理码的处理器114，和提供安全存储的电子存储部件。在分布式微处理网络中可以有多个处理器，或者在单个或多个服务器中有中央处理单元。所述电子存储部件可以采取任何形式，且可以是本地或远程存储器。显然，所述电子存储提供了安全存储和随机存取可写存储35。

提供了在移动装置12上托管的第一移动应用22。所述第一移动应用用于从身份文件扫描数据项并将其发送到所述中央服务14。

还提供了由移动装置12执行的第二移动应用50，所述第二移动应用用于请求对所述存储服务14的证书的校验。应当理解的是，不是所有移动装置都必须具有应用22和50两者。例如，有些移动装置可被配备仅以扫描数据项，并将其发送到所述中央服务14，而其他装置可仅能够执行证书的校验。然而，大多与uPass用户相关联的移动装置很可能都上传有该两种应用。可从uPass服务器下载所述移动应用(应用程序)。

提供了用于所述系统的部件之间的通信的安全架构。这确保隐私得以维护，尤其是考虑到与uPass用户相关联的移动装置12和所述中央服务14之间的通信时。

提供了用于评估置信度的置信框架69，所述置信度可放置于在所述中央服务14注册的身份档案中。提供了自动化机制67，其用于通过提供的证书(例如QR码)及时进行用户间的信任仲裁。现在将在下文更详细地描述所述系统的每个部件。

图1以高度示意的形式示出身份系统的基本元件。有两个基本工作流，一个涉及用户身份文件的注册，另一个涉及身份的验证(认证)。

通过移动装置12(例如通过NFC)读取电子护照10或其他身份文件(例如驾驶执照)，并通过互联网以安全的方式将注册数据传递给所述uPass服务14，如后面所述。所述uPass服务将数据的注册存储在一个或多个档案中，所述档案形成数字身份28的部分。

可用于存储的移动装置中有三个元件；SD卡12a或类似的可移除存储；SIM卡12b，以及在一些装置中的内部安全存储空间12c。这种存储元件可用于存储证书30(例如QR码)，所述证书30通过所述uPass系统从数字档案生成，并被发回到所述移动装置12。

所述uPass服务14由计算机系统提供，所述系统具有用于注册和验证的单独端点(14a，14b)。以这个方式划分工作流，保证了注册端点中的故障不一定损害验证端点，反之亦然。端点可以是物理上分离的计算机，其可经由网络，或在相同物理位置上的虚拟地分离的域通信。

图10示出了用户装置12(例如诸如智能电话或平板电脑的智能装置)的框图。所述用户装置包括处理器1004，其执行例如应用或″应用程序″(uPass应用程序/验证应用)形式的数字身份软件1006，并连接到摄像机1008、无线(例如NFC、蓝牙)接口1010和用于向所述装置12的用户输出视觉信息的显示器1002。

受限制活动的资格

照片ID最普遍的用途之一，是确认人们达到他们希望进行的特定活动之最低法定年龄，例如进入夜总会或购买酒精。所述uPass系统特别适合于这样的目的，其在智能电话或平板电脑上执行的客户验证应用50(见图1a)可以被调整以回答基础疑问“这人年纪是否够大”，并以提供照片确认呈现证书的人事实上就是这些证书所属于的人。在下面的描述中，焦点是在照片的精度上。

后面会讨论一些用例。一个用例就是选择通过uPass提供无票进场的音乐节。在这种情况下，出席者(承载方)在其移动装置上提供其证书(从注册过程接收到的证书30)，而场地经营者(校验方)以所述uPass服务14的验证端点检查之，以确认可准许进场。

所述证书可以多种方式呈现：通过NFC传送的二进制blob(二进制大对象)；用于扫描的条码；电邮地址；或者，某种形式的QR码。

uPass连接

另一感兴趣的用例是通过可缺乏uPass应用的本地装置向远程系统的认证登录，只要有uPass装置(例如移动装置12)，便不需要记住用户名称或密码。在这种情况下，与uPass相关联的校验装置扫描在从所述远程系统发送至本地装置的登录表格上显示的QR码，并将其用以建立用户系统。这技术可用来确定uPass装置的所有者获准登录，还可以允许该所有者确信其从所述远程系统接收的任何内容都是来自有效源的。

图2是uPass系统的架构作为功能块的示意性框图，示出了所述系统中的工作流。

注册者20使用其智能电话或平板电脑12上的应用程序22来捕获来自其护照10的细节(例如通过NFC和/或摄像机)，并将其与用相同装置捕获的自己的照片18(“自拍照”)结合，以产生电子注册消息23。这被安全地分派到所述uPass系统14的注册端点14a，其执行必要的处理(面部识别/OCR)以提取相关数据和为该注册者创建帐户，如后面所述。一旦成功完成，将确认消息连同认证令牌(证书)一起发回到其装置，所述认证令牌创建新的“已发布”uPass身份档案的链接。

临时信任

所述uPass系统的特点在于，将照片提供为与所述证书相关联的“已发布”档案的一部分。然而，当uPass证书出现在验证过程中时，照片的显示仅确认注册用户所称的身份与当初注册uPass的人匹配，而非注册身份本身就是该注册者身份的有效和可信记录。

为了解决这点，本发明的实施例引入临时信任的概念，由此用户身份档案具有相关联的档案置信度“CV1”n为2，3，4，其基于与其相关联的身份文件的质量和源，以及其历来的使用。这在实践中的进行方式是允许多个身份数据源，并对每个分配信任水平。然后，可以在法律要求处使响应合乎资格。

为了解释临时信任，在下文中，假定所述要获取的身份文件是电子护照，其具有NFC交互、OCR-质量扫描或两者的选择。在实践中，数字身份基于诸如姓名、年龄、国籍和照片的基本信息数据项，以最小化兼容性问题。

基于注册数据进入所述系统的方式，临时信任的层级识别五个自然的置信度水平：

●向确认其与呈现方相同的已信任代理亲自呈现；

●具有额外安全防护的已信任移动应用；

●已信任网站；

●通过已注册邮递提交；

●没有注册文件

第一种情况设下临时信任的最高置信水平。可以通过对所涉及的风险的统计分析来确定所分配的精确值，但是作为经验法则不可高于95％(不应将任何数据当作不容置疑)。所述精确数可以根据所关心的已信任代理而变化。

以这种方法进行手动验证导致uPass可变得值得信任。因此，“信任度”仅仅是基于初始注册的固定值，但可作为命题的组根据多个锚文件各自的注册过程而变化。

可以应用额外的检查以改进uPass的评级(置信度)，例如：

●现有uPass用户的支持；

●NFC数据在已信任环境中读取；

●向已信任代理呈现文件的随机请求；

●通过视频呼叫随机直接联系以确认uPass注册者仍然具有注册文件

面部验证的置信度随时间而变化。当用户登记的时候，他们以其面部和护照登记。在这一刻，他们说自己是谁可存在很低的置信度(尽管这视乎任何他们提供的锚文件)。此后，每次面部登录都会捕获图像数据。每次捕获到另一张自拍照时，将其添加到图像数据库中。这些自拍照被组合成单一的面部识别记录。这里的关键在于，它们随着时间在各种不同的照明条件下捕获(因为它们在电话或其他智能装置上捕获)-结合在一起时会提供更准确的结果。在实施例中，当前的面部记录(其可由多张最近期的自拍照组成，例如诸如5张的小数目)具有在登记时捕获的原始护照照片。注意可提取图像数据而非完整的面部图像数据，例如局部二进制模式(LBP)或面部模板。在一个实施例中，所述原始护照照片仅用于通过确认相关联的初始自拍照是良好的匹配以发送所述过程。之后可不再使用所述护照照片。

在登记时使用诸如护照的已信任锚文件的情况下，置信度相当高，但仍能以这种方式随时间增长。

由于诸如点对点验证等其他因素，整个系统的置信度也随时间增长。本系统的重要特征在于以下信任锚：

a)电话；

b)自拍照；

d)点对点校验。

给定的置信度表示为固定点变量，向其分配例如0和1(0％和100％)之间的(变量)值。

用户档案和隐私

注册者正在提供个人识别数据项，以允许uPass证书在以后的日期断言他们的身份。这识别数据本来就是机密的，而所述uPass系统提供手段，通过所述手段，可以用uPass用户按正在使用它的情况下认为是合适的隐私水平来处理它。为了促成这一点，单个的uPass(数字身份)具有多个与其相关联的档案。

现在将参考图3a来解释″uPass″或即为用户创建并可被验证的数字身份的性质。图3a以图示出构成用于人员20的uPass的部件。这些部件存储在所述uPass系统中的合适种类的电子存储中。例如，每个用户20可与数据库或附接到唯一标识符26的数据库的部分相关联，所述唯一标识符26识别该人员的uPass的部件。例如，所述电子存储可以采用图2中附图标记24表示的安全存储的形式。因此，每个人员20与唯一标识符26相关联，其与所述用户20的uPass的所有部件相关联。所述数字身份包括数字档案28a、28b、28c、28d的组。每个档案包括一个或多个键值对(key value pair)，其中所述键识别存储在所述档案中的数据项的性质，而所述值识别所述数据项本身。例如，所述键可以是″照片″，而所述值是该用户的照片。事实上，所述值可以是地址，其中照片存储为uPass单独的部件(见18，18’)。虽然示意性地示为个别块，但是档案可以由键/值对和置信度的键接列表构成，其中每项指向其祖先(ancestor)。每次″发布″档案时(稍后描述)，创建了所述列表的新″头″(head)，结合所述档案的使用而产生的修改。

uPass的另一部件是一个或多个锚文件，所述锚文件已被用作为所述档案提供数据项。锚文件的例子是护照10。可存储多个不同的锚文件。

如上所述，注册成功时，将确认消息25从注册服务分派到包括证书的智能电话的应用程序上。每次将数据项添加到档案时，或使用uPass档案时，为该档案创建新证书，并将其发送给所述档案的所有者。这些证书与用于所述人员20的uPass中的标识符26相关联地存储，并被绑定到档案。新证书是由″发布″档案引起的一种修改……由于所述证书用于对所述档案进行″解锁″，它们被示为键30。在实践中，每个证书都是键入到数据库的唯一随机数字串，稍后参考图3b描述。

如12和12a所示，每个用户20与一个或多个智能装置相关联(例如智能电话或平板电脑)。关于这些装置的元数据存储为所述用户的uPass的部分。每次使用uPass进行事务时，发布单据对。这将在后面更详细地描述，但简单来说，单据的审计跟踪作为用户的uPass的部分存储在本地单据本31e中。这些单据通过附图标记32e以图示出。每个已登记装置12a、12b在该装置上或该装置可访问的远程服务器上具有其自己的本地单据本。

全局主单据本32(图3c)保存有主单据31，其以如下所述的方式与(个别)单据32e相关。本文将向为承载方或校验方的实体发布的个别单据分别标记为32v和32e。

作为稍后将描述的认证过程的一部分，当将有效的证书呈现给所述uPass系统14时，会根据所呈现的证书的性质来发布档案。这些已发布档案以附图标记34示出，并以图示出为具有键孔(keyhole)，所述键孔表示对应于证书的键能够被用来解锁这些档案以进行发布。通过使档案在存储器35(例如高速缓存)中的可寻址存储位置中变得可访问来发布档案，所述存储器35具有绑定到所述证书的地址。

生成的证书可存储在所述uPass系统中，如果其是完全随机的，则是合适的。比较所存储的证书与所呈现的证书，只有在所存储的证书和所呈现的证书完全匹配的情况下，所述证书绑定到的档案才会解锁。然而，当使用某些″成分″(例如随机序列、随机数和装置元数据，如装置标识符)生成所述证书时，由于这些成分通常比证书本身具有更低的位尺寸(bit-size)，所以存储这些成分通常会更加有效。所述成分可用于生成所述证书的副本以用于所述比较。例如，可以通过散列随机种子和装置元数据(例如是装置标记或包括装置标识符)生成所述证书随机数的次数-所述uPass系统可以存储所述元数据、种子和随机数以在稍后创建另一副本。

●在注册的时候，创建三(或四)个默认档案：

●匿名档案28a，其断言身份的唯一性并呈现用于视觉检查的照片；

●照片ID档案28b，其还呈现所述注册文件上所列的名称；

●主要档案28c，其向所述照片ID添加出生日期；

●(和可选的第四个)国籍档案28d，其向所述照片ID添加国籍

可以为用户创建额外的档案，其允许他们具有添加的额外个人信息，或者以不同的方式呈现他们的个人信息。任何其他用户可以因为有效的uPass事务而将把这些档案附加到他们上。档案请求应用用于允许uPass用户获得另一用户来代表他们发布档案。无人能够代表自己创建档案。注意在这方面，uPass系统包括控制器116，其作为第三方基于锚文件发布uPass。

当新的个人信息被输入到档案中而没有注册文件的支持时，该档案会被给予最低水平的临时信任。例如，第三方可以是为雇员将数据项输入到档案请求应用中的雇主。基于雇主提供的信息为雇员创建证书，所述证书被绑定到所述档案，并被提供给所述雇员。为了改善所述临时信任的水平，所述系统允许uPass用户具有由其他uPass用户校验的档案，创建可被检查的置信网。这在uPass所有者每次在校验过程中使用其证书时都会发生。每个档案的置信网都是社交图谱，其中每个节点表示置信锚。这些会在后面讨论。放置在文件中的临时信任水平将是所述档案接收的校验的数量和质量的函数。

参考图8a和8b以描述一情况，其中人员希望具有由第三方分配给他们的档案。在给出的特定例子中，所述人员是新雇员，而所述第三方是其雇主。所述新雇员希望具有由雇主分配给他的档案。然而，有许多其他人员可希望具有由第三方分配的档案的情况。在图8a和8b的情况中，假定新雇员NE和雇主E都已经在uPass系统中注册，并具有活动的证书。在步骤S80中，所述新雇员向雇主提供其证书30NE。在图8b中，将新雇员的装置标记为12NE，而雇主的装置标记为12E。在步骤S82中，所述雇主将新雇员的证书30NE和其自己的证书30E发送到所述uPass注册服务14。此外，所述雇主在该消息中发送他已经为所述新雇员创建的档案。所述uPass服务检查所述新雇员和雇主的证书是有效的，而如果有效，则基于所述雇主提供的信息来创建所述新雇员的档案，并找到该档案的新证书30”NE。然后，该新证书被发送(步骤S84)到新雇员的装置。所述uPass服务14还将替换证书30”E发送到所述雇主的装置，因为雇主在试图为所述新雇员分配档案时已经使用了其一次性有效的证书。

然后将所述档案存储在所述uPass系统中(步骤S88)。应理解虽然顺序示出步骤S84、S86和S88，但可以任意顺序或并行执行。

图9a和9b示出了新雇员未有注册到所述uPass系统的情况。在这种情况下，所述新雇员在步骤S90中向雇主提出“真实世界”的请求“我可不可以有uPass？”这可以亲身、通过电邮或短信、或以任何方式完成。所述雇主向所述uPass注册服务14提交文件，该文件将用于为新雇员锚定档案。此外，所述雇员发送其证书30E。在这种情况下，可能需要确定连接到该证书的授权，并需要确认雇主具有允许他为第三方创建uPass的证书。注意这在授权中是更高一级水平，并将档案分配给已经具有uPass的人。档案的分配并不意味着所述uPass本身任何特定的有效性。然而，uPass的创建确实意味着一定的有效性，尽管附接到uPass的置信水平当然可以视乎发布锚(在此情况下为所述雇主)而变化。在步骤S92中，所述雇主将文件和其证书提交给所述uPass注册服务14。所述uPass服务为所述新雇员创建uPass档案，将所述文件用作发布文件并具有与所述发布锚相关联的置信水平。将证书绑定到每个与这uPass相关联的档案，并将与匿名档案相关联的证书发送给所述新雇员，如步骤S96所示。如果所述新雇员的装置没有被登记并且不为uPass所知，会进行一些适当的配置以向所述新雇员的装置提供证书30″。在步骤S98中，向雇主发布替换证书。

图2示出了帐户服务29，其提供管理uPass的手段，包括装置的登记和用户授权档案的规格。

授权档案

如前面所概述的，uPass档案可以由个人数据和可以一起用作一致性身份的照片组成。将每个uPass证书锚定到档案，而uPass用户可以具有多于一个在任何时间活动的证书。然而，在任何给定的装置上，只有一个证书可在任何特定时间是活动的。

每个可用于uPass帐户的档案都必须是由第三方文件发布机构向它分配的，其中所述uPass系统控制器本身是一示例。创建uPass帐户时，其具有至少三个由所述uPass系统向它分配的档案。

1.匿名档案28a，其可用于断言身份但不显示信息。

2.主要(年龄检查)档案28b，其显示uPass用户的出生日期；

3.姓名档案28c，其显示uPass用户在其注册文件上呈现的姓名。

每当证书被发送到装置时，它们总是被绑定到图3b的数据库中的特定档案，除非所述uPass用户指定，否则所述匿名档案是用于交互的默认档案。

为了改变档案证书，所述uPass用户必须对uPass登记服务进行对其当前证书的增强认证，以获得其帐户当前可用的档案的列表。这不需要针对档案的每个变化来完成，因为信息可在uPass应用中被本地高速缓存，使得当新档案被附接到uPass帐户或旧帐户被移除时，仅需要再生成所述列表。

一旦档案列表可用，则可使用具有现有证书的标准认证来进行这些档案之间的改变，所述现有证书由被绑定至所期望的档案的新证书替代。

档案的所有变化导致所述uPass系统的安全记录。

档案结构

如图3a所示，档案由键值对的组组成。任一种都可以被视为任意二进制字段。一组可以是一个或多个键值对。

可识别的匿名

以匿名档案28a为基部在其上面构建所有其他档案，所述匿名档案28a确认其承载方是uPass用户，并提供当前照片作为其数据项。所述档案被发布到第三方时，会允许所述第三方通过视觉检查确认所述uPass的承载方确实是它对其有效的人。档案在稍后描述的校验步骤中发布。

查询匿名证书以确定身份的想法可能看起来奇怪，然而，在本发明的实施例中，所述uPass系统以单据伴随着所述断言，所述单据允许校验方间接地和匿名地参照刚被校验的uPass。

已分配档案

uPass的力量在于，其所有者能够在不同情况下呈现他们身份或权利之不同方面。为了避免滥用，可以施加几个限制：

1.用于任何uPass帐户的档案只可由第三方创建，注意所述uPass控制器116在这方面是第三方；

2.当正在创建档案时，必须是为了特定的uPass帐户而创建档案；

3.将已分配档案绑定到创建者帐户中的特定档案中(这样，创建者档案成为置信锚110)；

4.并由所述创建者分配特征标签；

5.一旦创建了档案，则不能编辑档案；

6.然而，它可以被其创建者删除或替换；

7.而当使用档案时，总会向校验方宣告所述档案的创建者；

8.从而允许所述信任链回到uPass系统中以被查询。

所述特征标签可用于区分档案。例如，每个标签都可调用在所述移动装置上显示的视觉指示符。

档案和隐私

一旦档案已经被分配给uPass帐户，该uPass帐户的所有者必须积极地选择在校验中使用所述档案以令其对另一用户可用。即是说，从该档案创建的证书必须产生该档案的链接，其会被发送给校验方。用户可以具有多于一个档案，因此具有多于一个证书，其存储在相同或不同装置，即每人每个装置只有一个证书。[在多于一个档案的情况下，用户可以通过所述特征标签的视觉指示符来区分它们。]

档案的创建者可明确地要求在执行校验时使用该档案，在该情况下，如果使用任何其他档案，所述校验则会失败。这确保只要已分配档案存在，uPass用户仅可以用该档案校验其身份，而任何其他档案的使用将被拒绝。这在后面结合uPass连接进行描述。

第三方不能枚举所有与uPass帐户相关联的档案。

档案存储

档案信息存在于两个地点。在安全键-值高速缓存35中发布档案数据的当前状态时，将基础数据版本化并保留在安全存储24中。这是所述uPass系统重要的基础安全前提-第三方不被给予任何对所述安全存储24本身的访问信息。

档案发布

每当证书被绑定到包含在所述安全存储24中的档案时，(在存储器35中的位置)发布所述档案。已发布档案具有某些特性：

●过期时间(和/或发布时间戳)；

●照片或照片的链接；

●已加密档案内容(键/值对等)；

●随机对称密钥；

●解析所述已加密档案内容的URI；

●解析所述档案的创建者的URI；

每次发布发生时，所述档案内容被不同的随机生成的对称密钥60加密，然后存储在存储器35中可通过已生成的URI 62访问的位置。

安全证明(Vouchsafing)

每个uPass帐户能够将档案附接到其他uPass帐户，允许人们以绰号和其他社交信息来注释彼此，并保证该信息的可靠性。因此，每个uPass本身是具有低置信度可靠性的文件发布机构。

uPass用户将档案附接到另一uPass用户时，相对于他们自己的uPass帐户的现有档案(置信锚110)锚定所述附件。

除了将档案附接到uPass帐户之外，在档案创建者或档案接收者的请求下，uPass用户可以担保附接到另一帐户的档案之真实性。随着愿意担保已分配档案的uPass用户数量增加，可放置在该档案所包含的信息中的置信度也会增加。

文件发布机构

安全证明提供了一手段，可以通过该手段用档案来注释uPass帐户，然而，这些潜在地是低质量闲话源，而非锚定身份声明。经授权的文件发布机构是被锚定到现实世界文件的高质量身份信息的获认受源。

一旦uPass用户成为文件发布机构，他们获许从uPass用户请求信息，并在比标准安全证明机制提供的置信度水平更高的置信度水平，使用该信息来注释uPass帐户。

生命周期

uPass证书由护照10锚定，所述护照过期时，可以导致它们过期。这要求在uPass用户的新护照一发布时建议他们更新其注册文件，以确保服务的连续性。

当所述已登记护照期限届满时，可提供八周的通知期以允许可变的周转时间。

针对其他身份文件实现支持时，情况将变得更加复杂。每个文件将有助于uPass的临时信任，而这是在某一水平之上，所述uPass将维持活动，根据迫近的和实际的文件过期向用户作出定期警告。

使用

使用uPass的初始情形围绕着面对面的遇见，其中使用护照或等效的文件来支持身份。

每当uPass承载方希望认证其身份时，他们必须呈现由所述uPass系统提供的唯一随机标识符所生成的证书(例如QR码)。这证书的接收者是uPass的校验方，其每次校验从承载方接收到的信息时向uPass校验服务认证自己。校验之后，所述校验方决定如何继续。

删除

uPass用户可能希望删除特定的档案或其整个uPass身份，而这由登记服务支持。这涉及删除所有个人数据和装置标识符以及所有已发布密钥的过期。

可能有在指定时间段内维持与uPass身份相关联的审计元数据的法律要求，因此删除可能涉及延迟部件。

中止

uPass用户看到误用时可以告发违规的用户，调查该事项期间将对该帐户施行中止。uPass系统可提供7至14日的uPass中止。被中止时，uPass必须发回被中止的uPass身份。

没有经审计的干预和对可执行中止原因的调查的话，不能发生中止。用于此的机制和过程在本文的范围之外，但应当清楚地成比例和设计为将恶意中止最小化或防止恶意中止。

撤消

有严重误用的怀疑时，可撤消uPass。撤消与删除类似，但可能需要记录关于该用户的额外信息，以防止他们在特定时间内重新加入uPass。

过期

uPass用户可能在某些不频繁的时间段(由过期时间68管理)被要求创建新的uPass。

如果uPass用户所有锚定身份文件过期，这必定自动触发对发布新uPass的请求。

多重uPass

用户可在给定时间内具有多于一个uPass帐户，然而，在uPass内实现多个档案必定减少这发生的程度。例如，希望以其婚前姓和婚后姓使用uPass的已婚女人可以用单一uPass上的多个档案做到，而不需要多重uPass。

装置登记

每个帐户可在任何给定时间具有与其相关联的一个或多个装置12a、12b。为了将新装置登记在uPass帐户中，必须在该装置和已为uPass用户的帐户登记的装置之间执行经审计的校验事务。

1.拍自拍照；

2.所述两个装置之间的证书交换(这意味着在一个装置上的校验应用程序52扫描另一装置提供的证书30，反之亦然)；

3.新装置上线时，服务器询问所述证书是否有效；

4.如果所述证书有效，则所述新装置已登记。

装置再登记

如果uPass帐户具有至少一个其他与有效证书相关联的装置，则依照以上概述的装置登记过程再登记。

uPass帐户恢复

如果uPass用户仍然拥有已登记的装置，则与以证书被无效的装置再登记的相同方式来执行帐户恢复。否则，所述uPass用户可使用任何与帐户相关联的注册文件来再注册。

装置撤消

uPass用户可取消当前任何对其帐户登记的装置之授权。这将使他们当前拥有的与被撤消装置相关联的任何证书无效。

装置撤消不一定导致uPass中止。

两因素注册

如前所述，每个数字身份具有从注册过程中的身份文件得到的数据项。从注册文件获取数据项时，可能会假定发送NFC(近场通信)和OCR(光学字符读取器)-质量数据足以确认护照数据是有效的，然而，通过相同装置获取两个信息源不会确认数据在发送之前没有经过篡改。为此，可使用第二发送向量，其优选地涉及已信任代理和/或数据获取装置，以及某形式的可被审计的标准化注册者签名。

在注册过程的一个实施例中，注册者提供其照片，该相片以用于捕获注册数据的相同装置拍摄，被加上时间戳，并以元数据标记，所述元数据包括装置类型、操作系统、地理定位和网络地址。对于使用该装置捕获的注册数据的每一项，将捕获相同的元数据。

该照片和相关联的元数据提供审计跟踪，其可被用于帮助识别欺诈性注册。在提交时，某百分比的注册会被手动检查，以确保照片和注册身份文件的照片元件(例如护照照片)之间的视觉匹配。

优选地，面部验证服务40在所有情况下比较这些照片，如对于照片描述相同的人有低的置信度水平，该相片将被标记以作视觉检查。除了单一的静态照片之外，从简要视频片段获取的帧(frame)可用于捕获活跃的感觉。在一些实施例中，由于发现使用多个帧不会提供面部验证软件的准确性，所以仅获取单一的帧。

由装置摄像机捕获的数据在uPass服务器到达注册服务14a时，会受到OCR处理42，以从身份文件提取数据项。

基于未加密数据生成数字签名。每个所捕获的数据项由加密块44加密。所述数字签名用于在提交给注册服务前注释每个单独的已加密数据项。通过注册服务和已检查的数字签名对这些已加密数据项进行解密，保证整个注册提交的完整性。

在一个实施例中，为了进一步增强完整性，将不同的注册数据项发送到单独的端点，其被注册应用22识别，并以单独的对称密钥加密。与所有系统发布的对称密钥一样，这些是一次性锁-键，其仅可使用一次，因此已知是唯一的。

为了实现所述两因素认证系统，注册者需要具有互联网访问的智能电话12，其能够在HTTPS上通信，并包括合理质量(如5MP)的摄像机。NFC能力是有用的可选额外物。

注册过程

所述注册过程的描述将基于使用本机应用的诸如智能电话或平板电脑的移动装置12，并以图4a和4b作为参考。所述应用将获取必要的照片、NFC和元数据，以便打包并提交给所述注册服务。

所述注册的工作流包括以下步骤：

S1/S2.注册者20通过激活所述智能电话12上的图标启动注册事务，所述注册事务创建(S2)包含至少256位的随机对称密钥k1的电子消息R1，所述电子消息将通过HTTPS发送到所述uPass注册服务14a。优选的对称算法是在GCM模式下操作的AES-256。

S3/S4所述注册服务14a发送用所述注册者的密钥加密的响应R2：

1.三个独特的256位对称密钥k2，k3，k4；

2.三个不同的轮计数。

轮计数是正整数，其告诉客户迭代地执行以感兴趣数据值为种子的函数的次数。在这种情况下，我们使用所述轮计数来指定在生成SHA-2散列值时执行的迭代次数，其是对彩虹表攻击的防御。

所述响应R2被打包在标有仅HTTP和HSTS标记的cookie中；

S5.所述注册者使用其装置12捕获注册请求的数据项：

1.装置执行可选的NFC晶片读取；

2.摄像机捕获：

1.扫描身份文件；

2.注册者的照片(自拍照)。

S6.记录包括时间戳，IP地址和地理定位的元数据；

S7.然后将其附加到每个要与所述项目计数一起提交的数据项；

使用HMAC为所述注册请求生成数字签名DS。

S8.用所述对称密钥k2，k3，k4之一对每个数据项进行加密，以创建相应的BLOB；

将所述不同的签名附加到每个已加密的项目；

所述注册者同意uPass的服务条款和条件；

每个已加密的项目被分派到单独的网络端点EP1，EP2，EP3。

S9.BLOB被收集在所述注册服务14a中；

检查每个数据项的地理编码和IP地址；

如果所有检查通过，则处理所述注册数据(参见图5的数字护照格式)：

1.护照扫描通过OCR服务来提取MRZ，照片和签名；

2.NFC数据提供DG1，DG5和DG7(MRZ，照片，签名)；

3.提取的照片通过所述面部识别服务40与所述注册者的自拍照进行比较。

S10.如果一切都匹配，那么可以使用以下方式创建uPass帐户：

1.匿名档案28a；

2.照片ID档案28b；

3.主要(年龄指示)档案28c；

4.国籍档案(图形元素**)。

在某些情况下，仅有所述匿名档案28a可能就足够了。

S11.uPass证书会被提供给所述匿名档案(所述默认档案)的所述注册者应用。证书是仅对一次使用有效的随机数字序列，例如可以体现为QR码16。

所述注册服务14a由安全存储中的内存中的缓存24支持，其包含用于事务的与当前活动注册相关的数据元的工作组，包括：

1.用于每个活动客户注册的IP地址

1.装置ID；

2.对称密钥；

3.注册数据[k1]：

a.注册对称密钥[k2，k3，k4]

b.收到的已加密注册数据项；

c.已解密的数据项。

4.帐户创建消息；

5.帐户证书

为了增强安全性，可能需要实施数据是瞬态的，并且不能被存储到磁盘。

每个服务提供的密钥由所述安全存储24生成，确保所有发布所有密钥是唯一的。伪造注册事务是不可能的，因为密钥是由所述注册服务器随机生成的并且不能被预测，因此无法使用一个事务中的密钥来猜测另一个事务中使用的密钥。唯一性的保证确保尝试重新使用先前的一组密钥将触发安全事件。

一旦已经接收和解密了用于注册的所有预期的数据项，则所述已解密护照扫描会被发送到OCR服务42，并且返回的数据会被用作帐户创建消息的基础。这是针对任何接收到的NFC数据进行检查，以确认两个数据源呈现相同的身份，并且如果是这种情况则将所述嵌入的照片与面部识别服务40中的注册者的确认照片进行比较，以确保视觉相似。

在这个阶段可以手动检查某百分比的传入注册，以确保所述OCR和面部识别过程正常工作，尽管这不是必须的。

如果所述注册数据通过这些测试，则所述帐户创建消息会被传递到确认其唯一性的所述安全存储24。创建用于包含身份声明的帐户的数据存储，每个都锚定到其源文件，以及为此帐户创建三个或四个初始档案28a，28b，28c，28d。或者，身份声明可以被附加到源文件的数字签名

然后使用默认(匿名)档案为所述注册者装置生成适当的证书30。所述证书存储在注册者的装置上，并被允许访问所述档案。所述安全存储24现在包含可以使用该证书访问的档案记录。

在成功注册所述装置元数据后，例如使用已记录的装置类型和操作系统的组合以提供从所述用户的档案页面下载适当的uPass应用的链接。

为满足商家寻求用户验证的一些用例，所述商家本身必须已注册。

所述商家注册过程与所述标准用户注册过程相类似，但使用不同的主要文件。

对于英国的管辖范围，商家可能包括以下任何一种：

●已注册公司实体；

●个体经营者；

●合作伙伴；

●已注册慈善机构；

●俱乐部；

●社团。

作为商家的注册者是组织，而不是个人，并需要区分谁拥有所述uPass(所述商家)和谁被提名为管理员(一个或多个人)。

图11a中显示了例示的所述注册过程图示。

置信锚

所述uPass系统的一个重要方面是uPass持有者之间的自我验证性质。也就是说，uPass持有者可以断言彼此身份的置信度。每个uPass可以充当其他uPass用户的个人档案的置信锚110。

任何在内部添加到档案中的数据项都获得临时信任，这是由其他的uPass用户建立的校验数量和质量的函数。

一旦进入到档案中，这些数据项也可以在其他档案中使用，但是它们在其他档案中使用时，与这些档案相关联的所述临时信任将变成所述档案中最不可信任的数据项。这样一来，源注册文件所代表的所述临时信任总是会退化，只能由其他具有高水平临时信任的档案的uPass用户以统计上显著数量的校验来抵消。

第三方的档案

注册文件提供了可以以高水平置信度断言身份的手段。但是，在一些用例中，个人需要提供的身份不是来自于这些源，而是来自于他们在特定组织中的职业或成员资格。

为了允许这点，uPass可以具有由第三方分配给它的档案，而且这些档案的临时信任是由所述编写方强制的。与已分配档案相关联的数据项都不会被添加到可用于创建附加档案或修改现有档案的数据项组中，并且所述已分配档案只能由所述编写方修改。要分配档案，第三方必须是具有有效证书的uPass用户。他呈现此证书，并提供它是有效的，接收表单来输入关于新的uPass档案的数据。这是以前注册的，并且生成并发回证书。这可以传递给新档案的所有者。

已分配档案将继续存在，直到所述编写方取消它，或者直到它通过预先分配的过期期限。

社交图谱隐私

所述uPass系统包含一些可以有效确定个人在职业、朋友、官方文件、事务性关系和位置的社交图谱。对于这些图谱的完全访问对于所述uPass系统是私有的。

一个主要的例外是在uPass用户根据已分配档案执行校验时。在这种情况下，细节会被提供给所述档案的编写方，作为所述事务方的额外保障。

所述uPass系统的一个应用是在uPass系统的两个用户之间代理信任，一个是寻求自己身份断言的个人，另一个则有兴趣使用该断言来校验一些服务或交互的资格。这可以看作是包含双方身份认证的单一事务。

该信任事务需要两个单独的应用模式，一个在用户的移动装置上用于断言其身份(应用程序50)，另一个在商家的装置(应用程序52)上用于验证断言，然后确定所述用户是否被授权进行特定动作。

要进行身份断言，便需要以视觉形式例如QR码或条码，或以作为与NFC或类似技术一起使用的可发送二进制Blob的形式来呈现装置上的证书30。所述uPass认证应用程序向应用程序52中的uPass读取器54呈现适当的证书30，然后将其分派给所述授权服务14b进行认证。如果此认证操作成功，所述uPass读取器应用程序52则将接收对一个或多个uPass档案的访问，然后所述用户可以基于他现在可查看的档案中的数据项，例如照片，来确认他的身份。

当生成新证书时，它会被绑定到与所述uPass用户相关联的个人档案(参见图3b中的数据库)。当使用所述证书时，该档案中的信息随后可用于信任事务中的校验方。

为了增加安全性，所述档案不包含与所述uPass用户的链接。这种预防措施确保获得对特定档案的访问不会提供可访问所有与所述uPass用户相关联的档案的手法。只有与所使用的证书相关联的档案中的信息，以及其在已校验的uPass上以一系列已分配档案的形式发布的任何信息，才会暴露给另一方。

作为附加的保护措施，已发布证书可被绑定到所述装置的网络地址64，因此如果所述装置更改网络地址，所述证书也将被无效。

所述断言方的数字身份标识符26在任何情况下都不会暴露。这对系统的完整性至关重要，即使是对非正式用例。同样地，除了与代理信任所必需之外，没有所述断言方的个人信息会被披露。

证书创建过程的总结

该过程在注册新档案时由处理器114(或通过任何合适的计算机机制)执行的所述身份管理码执行，并且在每种情况下使用所述档案。

1.在新装置注册时，确定所述装置的装置识别码；

2.计算该装置识别码的SHA-2HMAC；

3.安全地存储该装置识别码；

4.为每个所生成的证书：

1.创建随机盐值(最好长度至少为8个字节)

2.将其与所述存储的装置识别码组合，以创建唯一的证书号码；

3.以所存储的证书号码作为种子值迭代地执行SHA-2散列；

4.在指定的范围内随机选择迭代次数；

5.所产生的令牌是传递给所述装置的证书。

5.创建键入所生成的证书30的数据库条目，其包含(参见图3b)；

1.特定于该证书的随机参考密钥60；

2.能够提供所述证书所绑定的档案的URI 62；

3.所述证书有效的装置的网络地址64；

4.指向生成该证书的uPass用户的链接66；

5.所述证书的过期时间68；

6.与所述证书生命周期相关的其他元数据70

证书是“单次使用”和“受限制的”。每个所生成的证书都是特定于所述装置和所述uPass档案。

单次使用证书

所述uPass系统的一个功能是允许用户呈现智能电话/平板电脑等来校验他们的身份。一种可能性是将其装置识别码用作装置上的证书。然而，这具有一旦分配了它就不容易被更改的缺点，并且还具有显示关于攻击者可以使用所述设备的信息的缺点。改进的替代方案是使用例如SHA-2的散列算法来迭代地使用基于序列号生成的密钥。这涉及到为所述序列号创建散列，然后创建以这个值为起始点的加盐散列。

只有初始散列值的HMAC会被存储，其使得不必知道其精确的装置识别码，就能够要描述的装置的身份，从而防止具有对所述安全存储24的物理访问的任何人反转该过程以确定所述装置识别码，并恶意地使用这些信息。

要从装置捕获证书，uPass应用可以通过扫描所生成的包含证书的QR码，或通过诸如NFC，iBureau，条码等其他手段来接收证书。

受限制的证书

每个生成的证书都是特定于装置和uPass档案的。这样可防止在装置之间传输证书，并意味着任何给定装置只能一次显示一个档案。

通过创建随机盐值并将其与所述装置识别码组合来生成证书。然后将结果用作迭代生成的SHA-2散列值的初始种子值，其迭代的轮次数是随机确定的。

事务单据

每当校验事务发生时，生成两个单据32e，一个被发送到校验方(即商家-校验方)和一个被发送到被校验方(即uPass用户-承载方)。单据包含四个信息：

1.与所用的特定证书相关联的随机参考密钥60；

2.另一方呈现的证书所连接到的档案URI 62；

3.接收者当前分配给另一方的所有档案的列表的URI。

4.时间戳

所述随机参考密钥60作为事务标识符，其与特定单据对相关，并从而与特定证书对相关。

生成单据时，以对称密钥将相关档案加密，并发布到在随机生成的URI的已发布档案存储35。因此，两个为事务生成的单据都使用所述对称密钥来加密与其相关联的档案。

这些事务单据为应用提供与uPass交互的基础，这将在下面对uPass档案的讨论中进行说明。

每个装置包含单据本300(图1a)，其保存来自先前事务的任意数量的单据。用户希望证明事务已经发生时，他们可呈现作为QR码等的单据，其仅包含用于所用证书的所述随机参考密钥60。然后，这可以由商家或其他具有其自己的单据本的uPass用户进行协调。

在主单据本31中保持所述单据的副本在线，所述主单据本31包含至今所有已生成的单据。

认证

客户端装置必须被预先注册并认证自己，以对给定的档案执行uPass校验。

标准客户认证

每个已注册装置针对其被注册到的每个uPass用户包含单个一次性证书。提交所述证书会执行隐式认证，如果所述证书未知、过期或被无效，则认为其失败。还有在单据上使有效证书无效(作为随机化的额外安全检查)以为了安全目的而强制认证失败的小概率。

增强认证在标准认证交互失败时，或者在该用例需要时进行。

增强客户认证

有些事务需要比范数更高的置信度水平。对于这些，捕获全面部照片，并使用面部识别来识别潜在地可疑的事务。由于面部识别不是100％准确的，如果证书有效，则不能防止基于失败面部识别的标准认证，但防止了对增强认证的请求。

所述增强客户认证模式还用于保护管理操作和允许uPass用户在认证失败后再认证。

所述增强客户认证捕获装置用户的照片，该照片与该装置所注册到的uPass用户的面部识别数据库进行比较，如果识别失败，则触发并记录安全事件。

证书生命周期

证书具有生命周期，其涉及：将其绑定到uPass档案的其创建；其对特定装置的分布；以及其撤消或过期。仅在校验服务中管理所述生命周期。

创建证书时，将其记录在安全存储中，并用以下元数据70将其标记，以用作管理其生命周期的一部分：

●uPass档案，其中所述证书对该uPass档案有效

●请求所述证书的时间

●发布所述证书的时间

●在发布时请求装置的地理和网络位置；

●过期时间(如有)；

●用于导致发布所述证书的校验的装置细节；

●所述证书是否已经被撤消。

随后接收到所述证书时，可以检查所有这种标记数据，以确认所述证书是否被正确使用。然后，使用所述记录在所述安全存储的别处创建审计和安全动作记录，并且然后使其无效。

可在任何时间撤消证书。发生撤消时，将证书的记录在所述安全存储中标记为被撤消，但不在该时间处理该记录。这允许uPass系统监控被撤消的证书的使用，并使用所得到的元数据来帮助欺诈分析和预防。

一旦撤消证书或使其无效，不能将其恢复为有效。

已过期和被撒消的证书的垃圾收集可通过两种方式之一发生：

●为所述证书发生校验查询时；

●通过背景垃圾收集任务，其收集已过期的证书。

处理被无效的证书

证书已过期或被撤消时，其使用(即有人尝试重用被无效的证书作有效使用)可指示其被绑定到的装置已被偷或被损害。这代表了严重的欺诈风险。

在这些情况下，我们不能向该装置发布新证书，直到已确认其仍然由uPass用户拥有，所述被无效的证书最初为了所述uPass用户而创建。

为了确认这一点，我们将该装置视为首次注册的新装置，关于登记的部分覆盖了一用例。

校验方认证

uPass校验方装置与标准uPass装置以一样原理构建。为执行校验，所述校验方装置必须呈现用于与其相关联的uPass装置的有效证书。这确保了只有uPass系统的用户才能对uPass信任网络进行查询。

将所述校验方证书作为请求的一部分发送。

承载方认证：断言身份

可以通过将认证限制于单个授权查询而不是进行中的事务性关系，将uPass用于创建身份系统的简单证明。此外，可以通过允许商家将档案分配给具有适当的过期日期的uPass用户，建立基于诸如客人列表或数字节日通行证的活动售票的更复杂的用例。

图6示出只限承载方的认证过程。

只限承载方的认证发生时，uPass读取器54将顾客20提供的证书30在消息100中发送到授权服务14b。然后，该用户的证书在被标记为已使用之前被检查有效性，响应122与档案的链接一同被发回到所述uPass读取器，所述档案保存照片以允许商家进行身份的视觉确认。

图6以图示出完整情形的校验，其中在装置上的所述证书30被一系列的发布锚107和置信锚110支持，所述发布锚107指示注册文件10的质量，所述置信锚110指示该档案由其他uPass用户担保的程度。

由于证书30是单次使用和潜在地受限制的，所以提供时可能将不再有效。在这情况时，新证书30”可被所述服务14b自动生成，并被推送(104)到承载方的装置和从那里到校验方，或者可要求uPass用户再登记该装置。

所述承载方认证过程如下。

1.uPass读取器54请求证书以进行认证；

2.(如uPass用户具有多个档案，则是可选的)uPass用户选择要被校验的档案(注意校验将导致新证书被绑定到所述档案和其uPass装置)；

3.uPass用户向uPass读取器呈现证书：

4.证书被绑定到uPass档案。

5.所述证书被分派到所述授权服务14b；

6.如果证书已经过期，则所述授权服务：

1.在uPass用户已经呈现有效身份的情况下：

1.向所述uPass用户的已注册装置分派新证书104；

2.向所述uPass读取器发送再试消息。

2.否则：

1.向所述uPass读取器发送授权失败消息。

7.如果该证书有效：

1.使所述uPass用户的证书无效；

2.向uPass读取器发送消息122，其包括具有照片的档案(或照片本身)的链接

8.在所有其他情况下，所述授权服务发送授权失败消息。

9.生成新证书并将其分别发送到每个uPass装置12。

必须重覆这整个过程以执行额外的授权，每次针对特定档案来认证所述uPass用户的证书，并导致证书发布的级联(cascade)。

图6a示出了校验过程，其中校验承载方的证书和校验方的证书，并其中发布单据。这是以上参考图6描述的承载方认证过程的更完整的描述。所述uPass装置的用户选择档案。所述承载方的uPass装置12将证书30b发送给uPass校验方52，例如作为QR码。所述uPass校验方读取所述QR码，选择要使用的档案，并将所述承载方证书30b和其自己的证书30v提供给uPass校验服务。所述uPass校验确认所述证书30v是有效的，并且如果是的，则继续处理所述证书30b。如果所述证书30b是有效的，它将被绑定到所述证书30b的档案的链接发回(图6中的消息122)到所述校验方52。它还向所述承载方装置12发布新承载方证书30b”和向所述校验方52发布新校验方证书30v”。每个新证书与单据一起被发回，所述单据为校验方表示为32v，为承载方表示为32b。在每种情况下所述新证书的生成与非匹配(个别)单据对的发布相关联。在每对中，一个单据被发送给承载方并包括校验方的新发布的已发布档案的链接和新承载方证书以供承载方以后使用，而该对的另一单据被发回到校验方并包括承载方的新发布档案的链接和新校验方证书。因此，在图6a的实施例中，为校验方的新证书的创建而发布单据对，并为承载方的新证书发布单据对。所述两个单据32b，32v包括匹配的事务标识符，所述事务标识符识别它们被创建的事务，并将它们捆绑在一起。对应的主单据32包括相同的事务标识符(其将它链接到相应的单据对)和链接两者而不是证书。

所述单据32v可包括在相关档案中承载方的照片的链接。

在事务之间的任何时间，用户可以选择获取用于不同档案的证书。然而，他们在其装置上只能为给定的uPass用户具有一个证书。

图6b和6c示出了所述单据32b，32v的额外细节，所述单据在图6a的校验事务中生成。每个所述单据32b，32v包括相同的事务标识符60，其是用于该事务的对称加密密钥。所述承载方单据32b包括在校验事务发布的校验方档案的版本的链接62v，以及承载方刚呈现的与档案相关联的置信度65v(即校验方的单据32v中的链接63b所指向的)。类似地，所述校验方单据32v包括承载方的档案的已发布版本的链接62b，以及校验方刚呈现的与档案相关联的置信度65b(即承载方单据32b中的链接63v所指向的)。每个承载方和校验方单据32b，32v还包括所有当前被分配到承载方和校验方另一方的档案的列表各自的链接63b，63v。

如上所述，除了承载方和校验方单据32b(即C’_B)，32v(即C’_V)之外，为了事务生成主单据32，其细节在图6c中示出。所述主单据32包括新承载方证书的散列300b(例如HMAC)，即H(C’_B)，以及新校验方证书的散列300_V，即H(C’_V)，其中H表示密码散列函数(例如HMAC)，其被应用在该证书，从而生成该证书的散列。即，所述主单据32包括在校验事务结束时发布的新证书30b”，30v”两者的散列。所述证书30b”，30v”不可单独由所述散列300b，300v获得。然而，分别向承载方和校验方发布的所述证书30b”，30v”即使已经使用过或过期，还可在以后用于对所述主单据32进行定位。换句话说，所述散列300b，300v分别是所述主单据32的第一和第二索引，其在(仅在)所述证书30b”或30v”之一在uPass系统变得可用时，可用于将它在主单据本31中定位。通过对可用证书进行散列以生成搜索索引来定位主单据，所述搜索索引将与所述主单据32的对应索引相匹配。可以以允许搜索这些索引的任何合适的方法来实现所述主单据本31，例如作为分布式数据存储。

所述主单据32还包括已发布档案的链接62b，62v两者，其相关联的置信度65b，65v和档案列表的链接63b，63v两者-全部都以事务标识符60进行加密。可替换地或另外，所述链接指向的档案的已发布版本可以所述事务标识符进行加密。在实施例中，所述事务标识符60不包括在所述主单据32中，也不存储在uPass系统中。因此，在這樣的實施例中，所述主单据32的内容只能由所述单据32b，32v任一的持有者訪問。

所述主单据32还可以包括与两个先前分别用于承载方和校验方的主单据的至少一部分相匹配-在图6d中分别为32’和32”。这数据是现时使用的承载方证书的散列302b的形式，即H(C_B)，以及现时使用的校验方证书的散列302v的形式，即H(C_V)。现时使用的承载方证书30b的散列302b与在事务中生成的较早主单据32’的对应索引相匹配，其中第一次发布所述承载方证书30b(第一较早主单据)，而现时使用的校验方证书30v的散列302v与在事务中生成的主单据32”的对应索引相匹配，其中第一次发布所述校验方证书30v(第二较早主单据)。这些索引是公开的，因为它们没有用所述事务标识符60进行加密。因此可以分别使用承载方和校验方证书的散列302b(即H(C_B))和302v(即H(C_V))来定位这两个较早主单据32’，32”。由于较早主单据32’，32”以与主单据32相同的方式生成，第一较早主单据32’的公开索引之一将与来自当前主单据32的H(C_B)相匹配，该索引在较早事务中已经生成，其中C_B被发布给在当前事务是承载方的实体(但在该较早事务中可以是承载方或校验方)；同样，第二较早主单据32”的公开索引之一将与来自当前主单据32的H(C_V)相匹配，该索引在较早事务中已经生成，其中C_V被发布给在当前事务是校验方的实体(但在该较早事务中可以是承载方或校验方)；进而，所述较早主单据32’，32”的那些索引以与当前主单据32相同的方式涉及较早事务中发布给所述实体的单据(其其他索引也是一样)

这两个额外的散列302b，302v也可用所述事务标识符60进行加密。这允许那些较早主单据32’，32”仅在事务密钥60从承载方或校验方单据30b，30v变得可用时，从当前主单据32定位在主单据本31中。此外，所述较早主单据32’32”的每一个的内容，和/或其链接的已发布档案，以其自己相应的事务标识符进行加密，即其被创建的较早事务的相应事务标识符(与当前事务标识符60不同)，并且因此仅可以较早事务中创建的承载方或校验方单据访问。

所述主单据32还包括第一或第二数字签名304b，304c，其分别由所述较早主单据32’，32”的至少一部分和/或其散列生成。优选地，从所述主单据的所有数据包括其公开索引来生成签名和/或散列。即为SIG(32’)和SIG(32”)。可以使用只有uPass系统知道的私人密钥来生成签名，并可使用对应的公开密钥以验证该签名来验证该单据是否真确。签名304b，304v也用事务标识符60加密。

承载方和校验方单据30b，30v以密钥306b，306c加密，所述密钥306b，306c早前分别通过承载方和校验方与uPass系统注册。(如果用户想的话，可以使用该服务来存放公开或对称密钥，然后系统可使用它来安全地与其通信)。这意味着只有承载方和校验方可以分别访问其内容。

还可以在以不同手段生成的主单据中具有多个签名，并可以通过在主单据中包括额外证书和签名以允许主单据被分成多于两个单据。

增强校验

有些事务需要比范数更高的置信度水平。为此，可以采用增强校验过程。

1.承载方将带外面部图像连同其当前证书和该自拍照的拍摄时间发送到uPass服务器。

2.承载方向校验方发送其证书和承载方的面部图像。

3.校验方添加其证书到消息中，并将其发送给uPass服务器。

uPass服务器校验S所述消息，并将从承载方发送到校验方的图像数据与在承载方和uPass服务器之间的带外通信中发送的图像数据进行比较。如果自拍照在执行校验时未到达，uPass服务器可将已发送给校验方的图像数据和承载方在其面部图像数据库中的先前条目进行比较。

从承载方发送到校验方的图像数据可以是来自面部图像的LBP提取物或原始图像数据的HMAC。

注意这里的自拍照是由承载方使用例如其移动装置上的摄像机捕获的面部图像。

相互认证点对点信任

uPass系统一个有用特征在于其建立两方之间相互信任的能力，允许比由承载方认证模式所允许的更宽的交互范围。在这情况下，每一方向另一方呈现证书以供授权服务进行认证，并建立进行中的事务。

事务性模型的优点在于事务不能重叠，因此，任何装置在同一时间仅能参与单个事务。如果装置尝试开始新事务，则可自动终止先前的事务。

相互认证发生时，每一方从另一方捕获证书，并将其分派到授权服务以进行认证。如果两组证书都认证，则建立事务，并向每一方发布唯一的对称密钥，其用于加密所述证书与服务器进行中的通信。这些密钥是有时间限制的(例如，大约5分钟的限制)，并且如果所述事务正在进行中，所述密钥将在过期时被替代。

事务可在不确定的时间段内保持活动，但是要做到的话，双方必须在其密钥过期时向认证服务发送保活消息。如果任一方未能提供保活消息，事务会被终止。

作为附加的安全措施，每个事务可被绑定到用于发起它的特定装置，并被绑定到每一方的特定档案。

一旦发起事务，任一方可以为了所述事务的持续时间而针对另一方的活动档案来测试授权命题。

匿名认证

uPass系统将认证绑定到特定档案(28a...28d)，但允许uPass用户通过其档案选择来控制向其他uPass用户揭示多少信息。因此，在不将任何个人细节揭示给彼此的情况下，两个uPass用户为了给定的目的代理信任仅以确认他们的物理外观是可行的。为了促成这一点，每个uPass用户具有相关联的匿名档案28a。

档案化身(avatar)

证书的第二种可能性是使用特定的化身(图像、影片片段或音频文件)，其由所述uPass系统发布，并具有嵌入在数据中的证书。具有公司标识的档案化身可用于嵌入证书。然后，可将化身图像提交给网站或经由NFC提供给移动装置，并且接收者将其认证到uPass系统上，并收回可用于确认用户身份的源数据。

所述化身作为证书的容器，所述证书除了需要嵌入和提取之外，还与任何其他uPass证书以相同的方式来处理。

每个化身都被绑定到uPass档案。在一些情况下，每个档案所允许的化身数量可能会有限制，这有待确定。

基于网络的认证

在上面的描述中，假设了使用专有应用由移动装置存储和读取uPass证书。另一个需要处理的用例是在桌面浏览器内运行传统网络应用的用例。

这在本文中称为uPass连接，并且在图7中示出。

uPass连接

uPass连接提供了协议(protocol)，由此希望登录到该系统的网络系统的用户可以在诸如电话或平板电脑的已信任装置上使用其uPass证书来登录。一个用例是用于网站和应用的，然而，uPass连接应当可与任何能够向uPass用户呈现唯一令牌的客户/服务器系统一起使用。

在这种情况下，执行两个信任查询：

●uPass用户20正在寻求确认系统(网络服务器80)的身份，其中他们正在向该系统提供证书；

●所述系统(网络服务器80)正在寻求确认所述uPass用户20的身份。

由于正被用于登录到系统的本地装置173(例如电脑)需要获取uPass装置73和远程系统80之间所介导的信任，所以这事务实际上涉及三个行动者。

装置登记

uPass连接代理服务器80和客户端装置12之间的信任。所述客户端装置12已为预期用户20登记，并具有绑定到档案的证书30。然而，服务器要与uPass系统交互，便需要登记为装置。这过程将服务器操作者的uPass档案28绑定(图3b的数据库中)到证书30以允许交互。

一旦登记了，所述服务能够创建虚拟装置，所述虚拟装置然后可用于管理由服务器的预期用户发起的登录和注册。

虚拟装置

uPass校验事务需要每一个uPass证书唯一地绑定到档案和已登记装置两者。每当网络系统通过经由客户端应用向访问的uPass用户呈现登录或注册表格177来建立会话，它需要向uPass系统唯一地识别该会话。这可以通过建立瞬时虚拟装置来实现。瞬时虚拟装置作为会话建立过程的一部分而创建，由步骤71″我想使用URI″触发。该装置使用标准uPass校验来登记，并被分配唯一的装置标识符。该装置标识符对于提供uPass连接会话的uPass用户需要是唯一的。不同uPass用户之间可重用相同的装置标识符。

一旦已经登记了所述虚拟装置，则向其发布证书30，所述证书30在网页中被发送(步骤72)，并成了QR码179的基础。其将在所述虚拟装置登记之后发布的更新的网页177中显示。在智能电话12上的本身的应用程序可以扫描该QR码，并将其发送到uPass校验服务器14。

可以使用的额外功能在本文中被称为″记住我″功能。用户(包括网络服务)各自与唯一的、随机化的码(例如唯一数字或其他字符串)相关联，其可通过对它们进行散列来从用户档案生成出来，例如从档案的属性生成出来。每当用户与上述网络服务交互时，数字身份系统组合其唯一码以生成复合码，其被提供给所述用户的至少一个，并且优选地提供给该两个用户。因此，承载方和校验方各自独立地接收复合码。所述复合码分别通过组合其个别码而生成。不能仅从所述复合码恢复所述生成复合码的码。所述复合码对该对用户来说是唯一的。所述个别码是静态的，将其组合的机制也是静态的。因此，每当这两个用户在未来彼此交互时，每个会接收到相同的复合码，从而知道他正在与和之前相同的用户交互，而不需要用户获得对对方个别码的访问。

信任的倒置

在前述部分中描述的标准uPass校验情况中，校验方要求希望参与他们的客户(承载方)提供uPass证书，所述uPass证书接着可对于uPass校验服务器被检查。由于不保证客户端应用将在能够从寻求使用网络服务的uPass用户请求证书的装置上运行，因此所述uPass连接不采用这种方法。

为避免这点，uPass校验方通过客户端应用以视觉形式(诸如QR码179)呈现证书，而寻求访问的uPass用户20将其扫描(步骤73)到他们自己的uPass已登记装置12中。作为QR码的替代方案，扫描可以通过NFC、蓝牙、Wi-Fi、音频或任何其他数据发送机制完成。这种灵活性允许uPass连接支持嵌入物联网的用例。

在步骤74中，对URI验证服务执行检查以检查该URI的FQDN已被注册(步骤75)，向智能电话发回确认(步骤76)。所述URI验证服务可以可选地是从uPass校验服务完全划分的后援系统。为了额外的安全性，可通过FQDN和端口地址来索引客户可访问服务。可由远程网络服务、FQDN和端口地址使用的每个活证书(live credential)的HMAC来索引uPass私人服务。可以进行增强安全性的最佳额外步骤，其中在步骤77中，装置12将接收地址与所获取的令牌和其旧令牌一起发送。该接收地址由远程装置80用来打开反向通道，步骤716。所述远程服务确认对智能电话12的有效性，步骤716。这在本文中称为网络连接plus。可选协议允许uPass校验服务创建共享代理，在客户端可能不是直接可寻址的情况下(例如移动网络)，双方可连接到所述共享代理。

这情况可以两种方式之一进行。在最普通的情况下，uPass承载方20使用其移动装置12以获得通过浏览器会话对网站的访问，所述浏览器会话在桌上型或膝上型装置173上运行，所述装置173扫描在客户端应用中显示的QR码。

然而，存在第二种可能性，其中uPass用户希望从托管其uPass证书的装置上的浏览器或应用连结到网站。在此情况下，QR码将从浏览器应用被传送到uPass应用，然后由此被发送到校验服务。

一旦获得，该证书(其被指示客户端应用尝试连结的系统的URI注释)被传递(步骤77)给uPass校验服务，然后所述uPass校验服务通过查找图3b中的数据库的证书来确定URI是否有效和已知。为了同时校验装置20的用户，在步骤77中将其证书添加到消息中。假设证书被校验，将单据发送到URI服务器80(步骤78)，其基于该单据呈现的已校验身份来确定什麽操作(步骤710)。还将单据发送到具有托管URI的服务器的细节的装置12(步骤79)以向用户20显示(步骤712)。

在图7a中，包围两个电话的虚线表示单个包含两个单独的软件部件的物理装置，所述软件部件用于网络连接机制的两个单独阶段。这允许单个装置包含连接到远程服务的定制客户端应用，以及单独的uPass校验服务器。

这两个软件片段形成单个逻辑部件，但是他们的单独部件可以仅仅是物理装置(膝上型、桌上型、服务器)以及软件实体的组合，其由通过密码手段保护的网络链接来连结。

在这种情况下，从远程网络服务接收的证书将被直接从接收应用传送到注册以处理特定URI方案(例如uPass：//xxxxxxx)的uPass校验软件，对特定MIM类型(例如x-八位组/uPass)作出响应，或使用连接到第二软件应用(例如微软COM或OLE)的装置专用手段。

流程在以下的方面与图7中的流程不同。首先，代替显示更新的网页177的计算机装置173，该装置是具有uPass功能的智能电话12。这导航到网络服务器80提供的网站，其以“年龄检查”网页177作出响应，向智能电话12呈现所述网站。注意在此阶段，证书不被嵌入来自网络服务器的网页中。取而代之的是，所述具有uPass功能的智能电话12通过访问所述uPass服务器来运行uPass应用程序，并接收证书(如前面所述)。在显示器上呈现证书179。然后，所述智能电话12分派消息以校验网站的URI(通过以DNS服务器检查有效性)，并且还将从所述网络服务器接收到的uPass证书179与所述智能电话12生成的证书一起发送(即被绑定到与该智能电话相关联的档案)。uPass校验服务器将这些记录为事件，并执行校验检查。假定它们获得通过，则在网络服务器实现uPass登录，并将用户请求的更新的网页发回到智能电话。

相同的机制可与网络连接plus一起使用，因为其建立在标准网络连接上。

与网络连接plus结合时，反向通道可以直接连接到客户端应用。后者允许将分析和防欺骗机制的组由远程网络服务操作者包含在应用中，以及相对于客户端应用正在接收的馈送和从远程网络服务正在发送到安全通道的消息两者运行。

这可以用于减轻中间人攻击(Man-in-the-Middle attack)，或允许内容和控制消息被干净地划分，从而在被监控的监管下，例如限制访问不适当内容的的家长控制，维护主要(内容)连接，或者在单独的密码控制下将消息区分为两个单向流。

需要特定档案

支持uPass连接的服务器可能希望只接收到其已分配的档案。这可以反映在由其虚拟装置使用的证书中。

注册完成

uPass用户希望注册支持uPass连接的服务时，他们具有执行uPass校验的选项。这向服务器提供了其当前档案(提供用于注册表格的细节信息)和允许档案对于其uPass帐户发布的链接。

商业情况：在线年龄验证

uPass连接解决的关键问题之一，是某些基于网络的行业对限制访问其服务以响应最小年龄法规的需要。这适用于在在线赌博、色情、视频和通用零售领域中营运的站点。

站点营运者可要求uPass年龄检查档案来确定访问者访问其内容的法律合格性并且基于此采取适当的动作。执行该校验还会创建审计跟踪，使得站点所有者随后可以证明其符合法律。

商业情况：虚拟cookies

站点使用uPass连接以控制对其内容的访问时，其获得了能力以注释具有在后续访问可查询的站点特定档案的用户的uPass帐户。这些可用于存储任意信息，因此与基于浏览器的cookies具有类似的角色，只是没有将它们存储在用户的系统的不便。

商业情况：受限制站点成员

许多网站在其内容周围实施付费墙，并维持专有成员列表以控制在其中的访问，这必然也需要档案系统来允许用户定制化。有了uPass连接，可以通过标准uPass机制来管理成员访问和档案两者。

商业情况：使人尴尬的服务

可有正被访问的服务的性质是这样的情况，其中uPass用户因为个人尴尬的颇合理的原因而不希望将其照片与服务共享。

参考图2，安全存储24是安全的、维护隐私的数据存储，其包含用户证书和相关的元数据。系统设计的一目的是，uPass操作者应当对与任何给定的uPass用户相关联的个人信息仅有最小的访问。

如果该数据存储受到损害，潜在地所有用户的身份也受到损害。因此，所述安全存储放置在与外面世界隔离的单独的内部网段上，其具有多个硬件安全层以确保这点。在uPass服务和存储之间的数据链接被保护在协议水平上，以进一步降低内部威胁的风险。

在数据存储24内包含(见图3a/3b)：

●每个个体的注册身份文件10；

●其经授权移动装置12a，12b的细节；

●当前已发布的证书30；

●所有先前发布和现时无效的证书30’；

●身份声明和其置信锚110；

●身份档案28a...28d。

该内容以加密形式存储。

已加密数据库还需要搜索设施，这在一个实施例中通过存储每个可索引数据项的特征密码散列来实现。这些具有不可逆的优点，使得在安全存储被损害的情况下，使用它们作为恢复源数据的手段是不可行的，同时，具有非常低的碰撞概率使得它们成为良好的索引键。

每当接收到用于身份断言的传入请求时，uPass系统首先检查以查看该装置是否被授权以进行该请求。如果是，则将为双方生成单据，所述单据通过使用所提供的公开密钥被存储在主单据本中。

面部识别数据库

对于每个用户，单独的面部识别数据库对于该用户的照片保持受训练。

离线使用

上述的标准uPass机制是基于uPass承载方和uPass校验方两者的网络访问的可用性来预测的。

证书

uPass证书是一次性使用的，并且需要uPass校验服务的校验。因此，证书不能可靠地用于离线使用。

单据

单据是静态发布的标识符，其总是正确地解析为发布档案文件和已使用的证书。

可以根据事务单据的本地部署的高速缓存来建模许多离线用例。事务单据的本地数据库实际上是离线身份高速缓存，其具有由每个单据的照片支持的视觉用户校验。

单据中的事务标识符将永不改变，因此这可以被呈现为打印的QR码、在NFC标签中的条码或二进制blob。

uPass校验方有责任确保在其访问窗口过期前成功获得相关的档案数据，并且确保对事件中收费项进行了适当的考虑。

基于单据的使用可以后来通过线上机制协调，以提供具体的审计跟踪。

电子钱包

uPass的另一可能应用是数字钱包，其允许一笔金钱与特定装置相关联，并用于购买商品或服务。这实质上是添加事务性交换的资格用例的扩展，要求向卖主确认已经成功随着双方之间的实际转账进行了支付。

置信度-担保

可以以增加分配给目标实体的档案的置信度的特定意图来执行事务，其中担保实体为目标实体提供担保。所述担保实体从所述目标实体收集证书，并将其与他们自己的证书在电子担保消息中呈现给uPass系统。所述担保实体的证书被绑定到所述担保实体的档案，所述档案被分配有相对较高的置信度(相对于所述目标被绑定到其证书的档案)。基于该较高置信度，该事务导致目标实体的档案的置信度上升。作为事务，这使用了担保和目标实体的一次性使用的证书，相应地发布绑定到相应档案的新证书。

目标实体的档案稍后通过呈现目标的新证书而可用于校验方时，uPass系统除了揭示所述相关档案的(现在较高)置信度，还将所述担保实体向校验方识别为高置信度的源。例如，校验方可以是公司，担保实体可以是该公司的熟识客户，而目标实体是该公司的新客户。所述档案可以是为所述该公司的利益而专门创建的档案，从而目标档案的初始低置信度指示所述目标是未知客户的事实。

用例-图11b至h

在图11b至h的每个用例中，校验方从承载方捕获证书。在一些情况下，用户是承载方，而校验方是装置，在其他情况下则相反。有时两者都是人类。每个用例都是基于uPass事务的，其中校验方捕获承载方证书30，并将其与他/她/它自己的证书呈现给uPass系统。两种证书都是一次性使用的，并且分别被绑定到承载方和校验方档案，其可以是专门为所述类型的事务而创建的档案。如果两种证书都是有效的，则发布一版本的校验方(分别地，承载方)档案，并在发送给承载方(分别地，校验方)的单据中提供所述已发布版本的链接。这使用了证书，因此在校验方和承载方的单据中还分别发布了新的校验方和承载方证书。

用户20可通过在显示器上示出作为QR码的有效证书30来向事件所有者(图11b)验证其身份，所述证书30被绑定到例如是事件特定的档案。在这种情况下，用户是承载方。事件档案的创建可以以用户已经支付适当入场费或一些其他预定的入场准则为条件。校验方(事件所有者)捕获证书并将其呈现给uPass系统。所述系统发布相关的档案，使得其可由校验方访问。所述档案可以简单地是用户20面部的照片。校验方可以将所述照片与用户进行比较，从而验证该用户20确实具有用于该事件的档案(因为他们与照片相匹配)并让他们进入事件。

由单独装置1102上的网页(图11c)输出的证书可被移动装置12捕获，可用于同时向所述装置12的用户20验证网页和向网页验证该用户。在这种情况下，用户是校验方，而网络服务器是承载方。用户希望登录到单独装置上，以及使用其移动装置12从单独装置捕获网站的证书30。即，在移动装置12通过单独装置1102从网络服务器接收证书。用户将其自己的证书和所捕获的证书呈现给uPass系统。如果两者都是有效的，所述uPass系统则向网络服务器验证该用户(通过发布用户的相关档案至所述网络服务器可访问的位置，并发送具有该位置的链接的单据)，并向该用户验证所述网络服务器(通过发布网络服务器的相关档案至所述用户装置12可访问的位置，并发送具有该位置的链接的单据)。网站可以相应地准许用户访问，而用户可以在知道网站是真实的情况下安全地继续。网络服务器和用户现在都已经为其各自的档案使用了其一次性证书，因此新证书会与单据一起发布。图12d示出了类似情况，其中直接在移动装置12上访问网站。这里，证书30(图12d未示出)通过互联网或其他网络从网络服务器直接到移动装置12。基础机制也是相同的。

图11e示出了用户如何利用他们的移动装置12从在网络服务器上托管的网站实现购买，所述网络服务器呈现在单独装置上。在捕获网站的证书后，需要用户通过输入PIN或扫描其指纹来提供额外的验证，例如在uPass应用程序向uPass系统呈现所捕获的证书和用户自己的证书以提供额外安全性之前。由于该网站对uPass系统具有置信度，其根据向其发布的单据允许事务继续。图11f示出了等效情况，其中直接向移动装置12提供网站，而没有额外的安全层。在图11e和11f中，关键方面在于同时地向用户验证网络服务器(因此用户知道他们能安全地从网站购买商品或服务)，以及向网络服务器验证用户(因此网站知道售卖给用户是安全的)。显然，等效的用例是现实世界的用例，其中网络服务器用于替代操作单独装置1102的人类销售商。图11g(单独装置)和11f(相同装置12)示出用户如何使用其uPass来捐献给慈善机构。基础原理和所述购买的情况相同，只是在此用户获得的奖励是无形的。

事务-示例

被绑定到档案的证书可在uPass事务中使用一次，以执下以下各项中的一者：

1.简单地公布该档案以使其对于校验方是可访问的；

2.修改该档案，例如通过向其添加数据项；

3.创建新档案；

证书所绑定到的档案也在2和3中发布，因为那是uPass事务的固有部分。在2和3中，请求实体可以是例如雇主，而目标实体可以是雇员(见上)，或请求实体可以是uPass系统本身的一部分，例如校验服务14b或uPass控制器116，作为例外，uPass系统的所述部分可以不具有档案或其自己的证书(尽管不排除它们)。因此，在这种情况下，只可公布一个档案(目标的，被发送到uPass系统的部分)，且只可生成一个新证书(用于和被发送给目标)。

如图12所示，可以在三个实体(例如承载方20、校验方52，以及校验服务(认证器)14b)之间进行uPass事务。在图12中，F表示要执行的函数。这可以是个简单的校验。它还可以是由公开API表示的安全存储24专用的操作。A表示用于F的认证包装(authenticationwrapper)。承载方20(例如顾客)将其证书Cc发送到第一电子消息中的校验方52(例如商家)。校验方使用要执行的函数F的指示符将其自己的证书Cm与承载方证书Cc发送到第二电子消息(″CmF(Cc)″)中的认证器14b。认证器将Cmf(Cc)和认证包装A的指示符以及其自己的证书发送到安全存储24。生成了四个单据R1，R2，R3，R4({Ri})的组。用于事务的主单据被存储在主单据本31中，并且承载方/校验方单据32v/32b(R2/R3)被发布到承载方和校验方20，52。R1被发布到认证器14b，而R4被记录在安全访问记录1202中。所有的单据R1，R2，R3，R4和主单据共享将它们全部链接在一起的事务标识符。

图13示出了类似的情况，然而在这种情况下，顾客直接与认证器14b通信，并接收单据R2，R3两者。

可选的生物特征：

在其他实施例中，可使用另一种类型的生物特征数据(除了自拍照之外，或在自拍照外加上)，例如指纹图像或从其导出的生物特征模板(例如LBP)。为了有效，需要指纹的高分辨率图像。在装置的摄像机不配备提供具有必要分辨率的图像的情况下，可以使用超分辨率成像，从而使用已知超高分辨率技术来捕获和组合指纹的多个图像，以生成复合指纹图像，所述复合指纹图像具有比任何个别图像更高的图像分辨率。尽管可以由uPass系统实现，优选地在用户装置生成所述复合图像。相应地，上面任何关于自拍照的描述同样适用于指纹图像数据(或其他生物特征数据)。

在登记中的活跃度检测

在一些实施例中，在捕获护照图像的登记过程中，该相同的图像(或多个图像)可用于活跃度检测。即，在接收到身份文件的图像时，uPass系统可以处理它以同时验证所述文件是真实的和拿着它的手是真实的人手(例如基于纹理分析)。即，可基于相同图像来执行文件认证和活跃度检测。文件的真实性和拿着它的手的活跃度可以是将文件锚定在系统内的先决条件。

术语表

本发明的各方面及其实施例

下面对本发明的各个方面及其实施例进行了阐述。

一方面涉及将由内容源提供的内容认证到本地装置以显示内容的方法，所述方法包括：在所述内容源和所述本地装置执行的浏览器之间建立通信会话；从所述内容源向所述浏览器发送校验页，所述校验页面包括内容认证令牌，所述内容认证令牌是与所述内容源绑定的随机生成的仅一次性使用的证书；通过验证应用从所述浏览器捕获所述内容认证令牌；将所述认证令牌发送至校验服务，所述校验服务确认所述令牌是否被绑定至有效的内容源；并且如果所述令牌被绑定到有效的内容源上，则使所述内容在所述本地装置上显示。

在实施例中，使得内容被显示可包括将内容源单据从所述校验服务发送到移动装置，其包含或指示有关于所述有效内容源的数据项。所述内容源单据可包括识别存储位置的链接，可从所述存储位置访问所述数据项，从而指示所述数据项。所述数据项可被由所述证书识别的内容源的数字档案所访问。可通过将所述档案的版本存储于可寻址存储位置来发布所述档案，并且将识别所述可寻址存储位置的链接包含在所述内容源单据中，从而指示所述数据项。

所述验证应用可在移动装置上执行，所述移动装置通过以下之一来捕获所述校验页上显示的所述内容认证令牌：数字图像捕获；扫描，近场通信和蓝牙。

所述内容认证令牌可由所述本地装置的本地浏览器所接收，并被传送至在所述本地装置上执行的所述验证应用。

使得所述内容被显示可包括向所述本地装置发送单据，其指示与所述有效内容源相关联的数据项。

所述令牌可识别所述内容源的地址，方法可包括将所述地址发送到地址验证服务以确认所述地址是有效地址。

所述数据项可以在所述移动装置上显示。

所述数据项可以是托管所述内容的服务器的细节。所述数据项可包括托管所述内容的虚拟装置和/或物理装置的细节，所述虚拟装置在所述物理装置上运行。

所述方法的步骤可包括从所述移动装置将装置认证令牌随着所述内容认证令牌发送到所述验证服务，其是被绑定到所述移动装置的随机生成的仅一次性使用的证书。

所述校验服务可使用所述装置认证令牌来使用所述证书来访问数字身份档案。所述校验服务可生成装置识别单据，所述装置识别单据包括或指示从所述数字身份档案访问的数据项，并将所述单据发送至所述内容源。所述内容源可基于所述装置识别单据中的所述数据项来确定是否发布内容。所述方法可包括在所述装置识别单据中发送新的装置认证令牌。

所述方法可包括向所述内容源发送新的内容认证令牌。

所述装置识别单据和所述内容源单据可共享相同的事务标识符。

所述方法的步骤可包括从所述本地装置将装置认证令牌随着所述内容认证令牌发送到所述验证服务，其是被绑定到所述本地装置的随机生成的仅一次性使用的证书。

所述内容源包括服务器，并且所述令牌可被绑定至所述服务器。所述内容源可包括服务器，并且所述内容认证令牌可被绑定至瞬时虚拟装置，其在由所述本地装置启动的会话建立过程中由所述服务器所创建。

置信度可与所述数据项相关联并与所述数据项一起显示。

另一方面涉及计算机系统，其包括：

被配置为实现校验服务的数字身份系统；

本地装置，其包括网络接口和被配置为执行浏览器的处理器，其操作以：

通过所述网络接口建立内容源和所述浏览器之间的通信会话，以及

从所述内容源接收校验页，所述校验页包括内容认证令牌，其是被绑定到所述内容源的随机生成的仅一次性使用的证书。

其中，验证应用从所述浏览器捕获所述内容认证令牌，并将所述认证令牌发送到校验服务，所述校验服务可确认所述令牌是否被绑定到有效的内容源；以及

其中，如果所述令牌被绑定到有效的内容源上，所述校验服务会使所述内容在所述本地装置上显示。

在实施例中，所述验证应用可在本地计算机装置上执行。所述计算机系统可包括移动装置，所述移动装置包括处理器和网络接口，其中，所述验证应用在所述移动装置的处理器上执行。

另一方面涉及用于创建计算机存储的数字身份的数字身份系统，其包括：

被配置为发送和接收电子消息的网络接口；

持久电子存储；

档案管理模块，其被配置为从实体接收包括数据项的电子消息，从所述电子消息提取所述数据项，以及将所述数据项存储在所述持久电子存储中的数字档案中；

证书创建模块，其被配置为生成用于档案的证书，并将所述证书关联到所述数字档案；

单据生成模块，其被配置为自动生成两个非匹配单据，每个单据包括事务标识符，所述单据的第一个包括识别档案发布到的存储位置的链接，所述单据的第二个包括所述证书，其中所述第一单据存储在所述数字身份系统中，而所述第二单据被发送到与该实体相关联的地址；以及

发布模块，其被配置为通过将所述档案的版本存储到可寻址存储位置来发布档案；

在实施例中，还可在所述数字身份系统的主单据本中生成和存储包括每个单据的数据的主单据，从而将所述第一和主单据都存储在所述数字身份系统中。所述主单据可仅包括所述第一单据的部分。例如，所述主单据可包括所述链接和事务标识符，但不包括所述证书。

所述证书可以是随机化的仅一次性使用的证书。

可创建多个与实体相关联的数字档案，每个档案与对该档案是唯一的证书相关联，其中可通过向对应的可寻址存储位置为每个数字档案分配唯一数据项组来发布每个数字档案。

所述数据项可在所述唯一组之间分享。例如，一组可以仅由所述数据项组成，并且所剩余的组可各自包括所述数据项和至少一个额外数据项。

所述数据项可以是实体的视觉图像。

可以在电子消息中接收多个数据项并将其存储在所述档案中。

从与实体相关联的计算机装置获得的元数据可与所述数据项一起接收，并被存储在所述数字身份系统。可以使用所述元数据来生成所述证书。例如，可以用所述元数据和随机盐的散列来生成所述证书。所述随机盐可以与所述元数据相关联地存储，从而可以从所存储的随机盐和所存储的元数据生成所述证书的副本。可以通过散列装置元数据和随机盐来生成所述证书随机数的次数，其中所述随机数可与所述随机盐和元数据相关联地存储。所述元数据可包括计算机装置的标识符(装置标识符)。

所述证书可通过在数据库中创建条目来与数字档案相关联，所述条目包括数字档案或指示符，所述指示符使得所述数字档案能够定位在持久电子存储中，其中发布模块可被配置为将所述证书用作对于所述数据库中的条目的密钥，以访问所述档案以供发布。

可以响应于所述呈现给数字身份系统的证书而发布所述档案。所述证书由所述实体之外的校验实体呈现，所述证书已被所述实体提供给所述校验实体。

所述证书可以是仅一次性使用的，所述证书创建模块可被配置为生成新证书以响应于将证书呈现给所述数字身份系统，从而档案的另一版本通过所述发布模块被发布到不同的可寻址存储位置以响应于将新证书呈现给所述数字身份系统。

装置标识符可与所述数据项一起接收并被存储在所述数字身份系统中，其中所述档案的发布可以以与所述证书一起呈现的匹配装置标识符为条件。

可以从随机生成的序列生成所述链接和/或可以基于随机生成的序列选择存储位置。

所述链接可以是统一资源标识符(URI)。

所述数字身份系统可包括置信度管理模块，其被配置为基于所述电子消息的源和所述数据项的类型的至少一个来向档案分配置信度。所述置信度可与所述档案一起公布，从而所述置信度和所述档案对请求实体可用。

所述置信度可随时间基于时钟信号(clock signal)而改变。

另一方面涉及用于创建计算机存储的数字身份的计算机实现的方法，其包括：

从实体接收包括数据项的电子消息；

从所述电子消息提取所述数据项；

将所述数据项存储在所述持久电子存储的数字档案中；

生成用于所述档案的证书和将所述证书关联到所述数字档案；

自动生成两个非匹配单据，每个单据包括事务标识符，所述单据的第一个包括识别档案发布到的存储位置的链接，所述单据的第二个包括所述证书；

将所述第一单据存储在所述数字身份系统；以及

将所述第二单据发送到与实体相关联的地址；以及

通过将所述档案的版本存储到可寻址存储位置来发布档案。

另一方面涉及注册数字身份的方法，其包括：

在计算机装置捕获与实体相关联的数据项；

创建包括所述数据项的电子消息；

向注册服务发送所述电子消息；

从所述注册服务接收单据；

从所述单据提取证书以使所述证书可用于访问所述数据项以认证所述实体；以及

将所述单据存储在本地单据本中所述计算机装置可访问的位置。

在实施例中，所述数据项可以从身份文件以识别数据的形式被捕获。

所述数据项可以以照片形式被所述计算机装置的摄像机捕获。

所述第一数据项可被下列之一捕获：扫描，近场访问；以及蓝牙。

所述本地单据本可被保存在所述装置可访问的服务器。

另一方面涉及通过在用户装置的处理器上执行数字身份软件来实现的方法以：

使用用户装置的摄像机捕获所述装置的用户的面部图像；

从真实世界身份文件捕获数据，所述数据包括识别照片，其中所述数据被所述摄像机捕获，从电子发送器嵌入锚文件中，或两者的组合；

将所述用户的图像和所捕获的数据发送到数字身份系统；以及

从所述数字身份系统接收用于用户的证书，其中向所述数字身份系统呈现所述证书使得所捕获的数据的至少一部分对呈现实体可用。

在实施例中，所捕获的数据还可包括文件的属性。

所述身份文件可以是护照或驾驶执照。

所述用户装置可以是诸如智能电话或平板电脑的智能装置。

另一方面涉及用户装置，其包括：

摄像机；

被配置为执行数字身份软件的处理器，其操作以：

使用所述用户装置的摄像机捕获所述装置的用户的面部图像；

从真实世界身份文件捕获数据，所述数据包括识别照片，其中所述数据被所述摄像机捕获，从电子发送器嵌入锚文件中，或两者的组合；

将所述用户的图像和所捕获的数据发送到数字身份系统；以及从所述数字身份系统接收用于用户的证书，其中向所述数字身份系统呈现所述证书使得所捕获的数据的至少一部分对呈现实体可用。

另一方面涉及由数字身份系统实现的计算机实现的方法，所述方法包括：

从用户装置接收电子消息中的：所述用户装置的用户的面部图像，其在所述用户装置已被捕获；以及已从现实世界身份文件捕获和包括识别照片的数据；

将在所述数字身份系统捕获的数据的至少一部分存储在持久电子存储中；

使用面部验证算法比较所述面部图像和身份照片；以及

仅当所述面部图像与识别照片匹配时，生成用户的证书和将所述证书发送给所述用户，其中向所述数字身份系统呈现所述证书使得所存储的数据的至少一部分对呈现实体可用。

在实施例中，可在所述消息中接收文件的属性，并且仅当所述属性满足预定标准时，可生成和发送所述证书。所述照片和/或图像可以对所述呈现实体可用。

另一方面涉及数字身份系统，其包括：

被配置为发送和接收电子消息的网络接口；

被配置为执行操作的处理器，其包括

从用户装置接收电子消息中的：所述用户装置的用户的面部图像，其在所述用户装置已被捕获；以及已从现实世界身份文件捕获和包括识别照片的数据；

将在所述数字身份系统捕获的数据的至少一部分存储在持久电子存储中；

使用面部验证算法比较所述面部图像和身份照片；

仅当所述面部图像与识别照片匹配时，生成用户的证书；以及

将所述证书发送给所述用户，其中向所述数字身份系统呈现所述证书使得所存储的数据的至少一部分对呈现实体可用。

另一方面涉及通过校验方装置认证承载方的数字证书的方法，所述方法包括：

由所述校验方装置捕获所述承载方证书；

向校验服务发送所述承载方证书和绑定到所述校验装置的所述校验方证书；

在所述校验服务中，校验所述承载方证书和校验方证书，并且如果所述校验方证书是有效的，则使用所述承载方证书来访问数字档案的数据项和创建用于发送到所述校验装置的电子消息，所述电子消息指示所述数据项和包括由所述校验服务生成的新校验方证书；

发布新承载方证书和创建电子消息以将所述新承载方证书发送到与所述承载方相关的地址。

在实施例中，所述方法的步骤可包括使用所述校验方证书以访问与所述校验装置相关联的数字档案的数据项，并创建用于发送到所述承载方的电子消息，所述电子消息指示用于所述承载方验证的数据项。

所述电子消息可通过提供数字档案的版本的链接来指示所述数据项，所述数字档案被保存在所述链接中所识别的可寻址存储位置。

所述指示用于所述承载方验证的数据项的电子消息可通过提供数字档案的版本的链接来指示数据项，所述数字档案在所述链接所识别的可寻址存储位置与所述校验方相关联。

所述数据项可分别包括所述承载方或校验方的视觉图像。

可生成新的承载方证书以用于发送到所述承载方，其包括在具有事务标识符的单据中。所述校验服务可生成主单据本，所述主单据本与用于向所述承载方发送而生成的单据具有相同的事务标识符，其中所述主单据可存储在主单据本中。

新校验方证书可包括在具有所述相同事务标识符的非匹配单据中。

与所述承载方相关联的地址可包括所述承载方先前注册的装置的地址，并与所述承载方证书相关联地存储。

生成新证书的步骤可包括使用随机生成的序列来生成被绑定到所述数字档案的新证书。

所述证书可以是仅一次性使用的。

另一方面涉及提供对保存在数字身份系统的持久电子存储中数字档案的访问的方法，所述方法包括：

从请求实体接受识别目标实体的电子请求消息；

响应于该请求而发布：(i)所述目标实体的数字档案，其通过将该档案的版本存储在可寻址存储位置中来发布，以及(ii)所述请求实体的数字档案，其通过将该档案的版本存储另一可寻址存储位置来发布；

生成两个非匹配单据，每个包括事务标识符，所述单据的第一个包括识别所述目标实体的档案发布至的存储位置的链接，所述单据的第二个包括识别所述请求实体的档案发布至的另一存储位置的链接；

将所述第一单据发送到与所述请求实体相关联的地址；以及

将所述第二单据发送到与所述目标实体相关联的地址。

在实施例中，目标证书可与所述目标实体在所述数字身份系统的数据库中的档案相关联，并且请求者证书可与所述请求实体在所述数字身份系统的数据库中的档案相关联，而发布步骤可以以在所述电子请求消息中接收到的匹配目标和请求者证书为条件。

所述证书可以是仅一次性使用的，并且所述方法可包括生成新目标和新请求者证书，并将它们分别关联到所述目标实体和请求实体在所述数据库中的档案，其中分别在第二和第一单据包括所述新目标和请求者证书。

所述方法可包括将主单据存储在数字身份系统，所述主单据包括该两种单据的数据并被存储在主单据本中。

所述主单据可包括该两种链接和所述事务标识符，但可以不包括所述新证书。

所述目标实体可以是承载方，而所述请求实体可以是有效性，所述承载方的档案为预先存在的数字档案，其在所述持久电子存储被访问以响应所述请求。

所述目标实体可以是注册者，而所述请求实体可以是所述数字身份系统的登记模块，其已在所述持久电子存储中创建了所述数字档案。

可将相应的置信度分配给每个与该档案一起公布并且可经由所述相应链接访问的档案。

另一方面涉及计算机系统，其包括被配置为发送和接收电子消息的网络接口，以及处理器，所述处理器被配置为实现以上任一权利要求所述的方法。

另一方面涉及数字身份系统，其包括：

被配置为发送和接收电子消息的网络接口；

持久电子存储，其保存目标实体的数字档案和所述请求实体的数字档案；

发布模块，其被配置为从所述请求实体接收识别所述目标实体的电子请求消息，并响应于所述请求而发布：(i)所述目标实体的数字档案，其通过将该档案的版本存储在可寻址存储位置中来发布，以及(ii)所述请求实体的数字档案，其通过将该档案的版本存储另一可寻址存储位置来发布；

单据生成模块，其被配置为生成两个非匹配单据，每个包括事务标识符，所述单据的第一个包括识别所述目标实体的档案发布至的存储位置的链接，所述单据的第二个包括识别所述请求实体的档案发布至的另一存储位置的链接，其中所述第一单据被发送到与所述请求实体相关联的地址，以及所述第二单据被发送到与所述目标实体相关联的地址。

另一方面涉及数字身份系统，其包括：

登记模块，其被配置为从登记装置接收数据项，并在持久电子存储中创建包括所述数据项的数字档案；

证书创建模块，其被配置为从随机序列生成证书，将所述证书与数据库中的所述数字档案相关联，以及向所述登记装置发送所述证书；

发布模块，其被配置为响应于稍后将所述证书呈现给所述数字身份系统，通过将所述数字档案的版本存储在呈现所述证书的装置可访问的存储位置来发布所述数字档案。

在实施例中，所述登记模块可被配置为还接收所述登记装置的元数据，其与所述档案相关联地存储在所述数据库中。

可以从随机序列和元数据生成所述证书，并且所述证书可以通过将所述随机序列和元数据与所述档案相关联地存储在所述数据库中来与所述档案相关联，并且其中所述系统可包括校验模块，其被配置为从所述存储在所述数据库中的序列和元数据生成所述证书的副本，并且所述档案的发布可以以所呈现的与副本匹配的证书为条件。

所述元数据可包括登记装置的标识符，并且所述档案的发布可以以与所述证书一起呈现的匹配装置标识符为条件，从而所述证书的使用限制于所述登记装置。

可通过将所述证书的副本与档案相关联地存储在所述数据库中来将所述证书关联到所述档案，其中所述系统可包括校验模块，所述校验模块被配置为通过将所呈现的证书与所述副本进行比较来校验所呈现的证书，并且所述档案的发布可以以所呈现的证书有效为条件。

可将识别所述可寻址存储位置的链接发送到所述呈现装置。

所述链接可从随机序列生成。所述可寻址存储位置可基于随机序列来选择。

另一方面涉及权利要求1的数字身份系统，其中所述持久电子存储还保存与另一数字档案，所述数字档案与另一证书相关联，并包括已经从所述呈现装置接收到的数据项，其中两种证书都由所述呈现装置呈现，并且作为响应，另一档案被发布到不同的所述登记装置可访问的存储位置。

在实施例中，所述数字身份系统可包括单据生成模块，其被配置为生成两个非匹配单据，所述单据的第一个被发送到所述呈现装置，并包括识别该档案发布至的存储位置的链接，所述单据的第二个被发送到所述登记装置，并包括识别另一档案发布至的另一存储位置的链接。

所述数字身份系统相应可包括置信度分配模块，其被配置为基于下列至少一项来向所述档案分配置信度：所接收的数据项的类型和所述数据项的源。

另一方面涉及在数字身份系统实现的方法，其包括：

从登记装置接收数据项；

在持久电子存储中创建包括所述数据项的数字档案；

从随机序列生成证书；

将所述证书关联到数据库中的所述数字档案；

将所述证书发送到所述登记装置，其中稍后向所述数字身份系统呈现所述证书导致所述数字档案的发布，其中通过将所述数字档案的版本存储呈现所述证书的装置可访问的存储位置来发布所述数字档案。

另一方面涉及提供对数字档案的访问的方法，其包括：

接收与在持久电子存储中的数字档案相关联的仅一次性使用的证书。

校验所述证书，并且仅当所述证书有效时，通过将所述档案的版本存储在可寻址存储位置来将所述档案发布到所述存储位置，从而使所述证书无效；

为所述数字档案生成新的仅一次性使用的证书；

使所述新证书与所述数字档案相关联；以及

将所述新证书发送到与实体相关联的地址，从而所述实体可在之后使用该新证书一次以使所述档案被重新发布到不同的可寻址存储位置。

另一方面涉及计算机系统，其包括网络接口和被配置为实现所述方法的处理器。

另一方面涉及计算机系统，其包括：

电子存储；

被配置为接收电子消息的网络接口；

被配置为执行身份管理码的处理器，其操作以：

从所述网络接口接收电子消息，所述消息包括至少一个要包括在实体的数字档案的数据项，所述数据项与所述实体相关，并唯一地识别所述实体；

从所述电子消息提取所述数据项；

使用所述电子存储中的所述数据项来创建数字档案，其中所述档案包括所述数据项；

向所述档案分配置信度，其中基于至少一个所述电子消息的源和所述数据项的类型来分配置信度；以及

创建证书，并将其发送给所述实体，其中向所述计算机系统呈现所述证书使所述数字档案的版本和所述置信度对呈现实体来说是可用的。

在实施例中，所述电子可保存有多个与所述实体相关的数字档案，每个数字档案包括用于该数字档案的唯一数据项组。至少一些所述数据项可在所述唯一组之间分享。

在实施例中，所述电子存储可保存有与所述数字档案相关联的锚文件，其中可在电子消息中接收锚文件和从所述锚文件提取所述数据项。

可基于所述锚文件的类型和/或年龄来分配所述置信度。

可基于所述锚文件的源来分配所述置信度。

可通过将档案的版本存储到可寻址存储位置，并向所述呈现实体发送识别所述存储位置的链接，使所述档案的版本变得可用。

所述处理器可被配置为在每次将数据项存储在数字档案中时创建和发送证书，其中向所述计算机系统呈现每个证书可导致其相应的版本被存储到不同的可寻址存储位置，从而可发布所述档案的多个版本。

可基于随机序列来选择所述存储位置。所述链接可从随机序列生成。

所述链接可以是统一资源标识符。

所述数据项之一可以是实体的视觉图像。

所述实体可以是人，并且所述视觉图像可以是该人的面部图像。

所述电子存储可包括装置元数据存储部分，其保存有与已用于向所述网络接口发送电子消息的计算机装置相关联的元数据。

所述电子存储可以为多个实体中每一个保存一个或多个数字档案。

所述数字档案可包括多个从所述实体接收到的数据项。

身份管理码可用于分配与电子消息源相关联的置信度，使得当所述电子消息源对所述计算机系统是未知的时候，置信度是低的。

所述电子消息的源对所述计算机系统是已知的时候，所述身份管理码可用于分配适合于所述电子消息源的状态的置信度。

所述电子消息源是文件发布机构时，所述被分配的置信度可以是高的。

所述身份管理码可用于分配置信度，使得多个所述具有保存在电子存储中的数字档案的实体之一是所述电子消息源时，使用与该实体相关联的临时信任度来计算所述置信度。

所述临时信任度可以取决在一个或多个认证过程中的多个实体对所述数字档案的使用。

所述身份管理码可用于在接收到进一步的数据项时更新所述数字档案，并且其中所述档案被更新时，所述被分配的置信度会被改变。

所述处理器可被置配为基于时钟信号随时间而改变所述被分配的置信度。

可响应于接收到该实体额外视觉图像而提升所述置信度。

随后登录到系统时，可能需要实体呈现新数据项，并且所述置信度可基于新数据项而改变。

所述新数据项可以是该实体的视觉图像。

所述身份管理码可用于从第三方接收数据项以向该实体分配档案，并且其中所分配的置信度可取决于所述第三方的状态。

可从该实体接收所述电子消息。

可从与该实体不同的另一实体接收所述电子消息。

所述数据项可以是在所述消息中接收到的两个数据项之一，其中第一个是已被摄像机捕获的该实体的图像，第二个是已从现实世界身份文件捕获的识别照片，并且可通过比较所述两个数据项来分配所述置信度，并且所述置信度可反映它们匹配的程度，可使用面部验证算法来比较所述两个数据项。

另一方面涉及用于管理数字档案的计算机实现的方法，其包括：

接收电子消息，其包括至少一个要包括在实体的数字档案的数据项，所述与实体相关联的数据项唯一地识别该实体；

从所述电子消息提取所述数据项；

使用电子存储中的所述数据项创建数字档案，其中所述档案包括所述数据项；

向所述档案分配置信度，其中基于所述电子消息源和所述数据项的类型的至少一个来分配所述置信度；以及

创建证书，并将其发送给所述实体，其中向所述计算机系统呈现所述证书使所述数字档案的版本和所述置信度对呈现实体来说是可用的。

本发明的另一方面涉及包括数据存储的数字身份系统，所述数据存储具有至少一个存储位置，实体的身份数据保存在所述存储位置；被配置为接收电子消息的计算机接口，所述电子消息识别实体的身份数据在所述数据存储中的存储位置，其中所述消息包括该实体的仅一次性使用的证书；以及被配置为校验所述证书的计算机系统，并且如果所述证书是有效的，则从所述已识别的存储位置检索实体的身份数据，向所述实体发布新的仅一次性使用的证书，以及通过将所述已检索身份数据的版本存储到可寻址存储位置来发布所述已检索身份数据；其中所述计算机系统被配置為在主单据存储中生成主单据，其中所述主单据包括所述可寻址存储位置的链接和包括所述新证书的散列的索引。

在实施例中，所述主单据还可以包括在所述电子消息中接收的所述证书的散列。

所述计算机系统可以被配置为向另一实体提供，响应于接收到所述实体对所述另一第二实体的访问许可，单据包括所述链接的副本从而所述另一实体可访问所述实体的已发布身份数据。

所述单据可以包括事务标识符，其中用所述事务标识符对所述主单据中的链接和/或在所述可寻址存储位置的已发布身份数据进行加密。

所述计算机系统可被配置为仅当接收到所述与访问许可相关联的另一实体的仅一次性使用的证书时，向所述另一实体提供所述单据，其中在该情况下所述计算机系统向所述另一实体发布新的仅一次性使用的证书，其中所述主单据包括另一索引，所述索引包括所述被发布给所述另一方的新证书的散列。

所述计算机系统可被配置为向所述实体提供另一包括相同事务标识符的单据。

所述访问许可可以由包括所述实体的证书的电子消息来表示。

可以从所述实体接收包括该实体的证书的电子消息。

可以从所述另一实体接收包括该实体的证书的电子消息。

响应于在稍后时间通过所述计算机接口在电子搜索请求消息中接收所述证书的副本，所述计算机系统可被配置为生成搜索索引，所述索引包括在所述搜索请求消息中接收的证书的散列，使用所述搜索索引来在主单据本中定位主单据。

所述计算机系统可被配置为生成搜索索引，所述索引包括在所述电子消息中接收的证书的散列，使用所述搜索索引在所述主单据存储中定位具有与所述搜索索引匹配的索引的较早主单据，并从所述较早主单据的至少一部分生成散列和/或数字签名，其中所述主单据还包括所述较早主单据的至少一部分的散列。

所述散列和/或数字签名可以从基本上所有所述较早主单据包括其索引来生成。

所述另一实体可以保存有对称或私人密钥，并且所述计算机系统可被配置为使用所述私人密钥或相应在所述数字身份系统可用的公开密钥的版本来加密所述其他单据。

所述实体可以持有对称或私人密钥，并且所述计算机系统可被配置为使用所述私人密钥或相应在所述数字身份系统可用的公开密钥的版本来加密所述其他单据。

在所述主单据中的证书的散列可以用所述事务标识符来加密。

另一方面涉及包括实现上述系统、装置、应用或其他功能的任何一个的方法。

另一方面涉及计算机程序产品，其包括存储在计算机可读存储介质上并被配置为实现所述本文公开的任何方法、系统或装置功能的代码。

在实施例中，上述系统和方法可以用于以下任何一种。注意本文有时将所述″uPass系统″称为″YOTI系统″。在本公开中可互换使用术语″uPass″和″YOTI/Yoti″。

uPass连接

uPass连接机制可用于以下目的：

●在线验证身份(ID)

●在线验证年龄

●KYC(认识你的顾客)机制

●非网络钓鱼，即作为反网络钓鱼机制

●多因素认证

●Bot预防

●预防多重帐户(即由同一实体打开)

●实现“一用户一票”投票机制，例如用于：

○参赛

○投票(Voting)

○调查(Polling)

○游说(Lobbying)

○请愿(Petitions)

●匿名但经验证的登录

●创建档案黑名单，例如以提供反兜售

●无用户名+密码的认证

●表格的填写/注册

●限制对内容的访问：

○位置

○年龄

○国籍

○姓名

○出生日期

○地址

○其他“档案”细节

●通过互联网发送用户的身份

以下是uPass系统附加的、有用的配置和/或用途：

F2F(朋友至朋友/点对点)

可把uPass系统配置在F2F的情况中。例如，其可配置为用于提供下述的机制：

●通过QR码/NFC进入建筑物

●通过证明档案+许可进入场地。可提供的档案细节包括：

○公司

○年龄

○国籍

○姓名

○出生日期

○地址

○你有没有正确的门票

○你有没有正确的安全许可(security clearance)

○其他档案细节

●针对访问控制/销售点的证明年龄，例如在：

○夜总会

○赌场

○酒吧

●在位置签到，例如在以下的情况中：

○点名，例如学校

○访客簿

○课程

○健康和安全

○旅馆/BnB旅馆

○健身房

●记录工作时数

●旅馆用例-通过连接预订，将通行证分配至装置，免去入住手续+钥匙卡

●向另一人证明ID，例如在以下情况：

○分类广告

○约会

○出租车

○合租公寓

○合租汽车

●企业向个人证明ID-例如：

○用于家庭访问：

○用于向雇主展示

○用于展示适合的资历

●个人向企业证明ID，例如：

○典当商

○汽车出租

○高价值的购买

○有年龄限制的商品

○收取货品

○运输

●送货上门，例如以提供：

○收到货品的证明

○对个人授权以代表你取货

●F2F和在线KYC，例如在以下情况中：

○房地产/租赁代理

○创建银行帐户

○保险

○房贷

○Peer2Peer(点对点)贷款

●雇员向企业证明ID，例如证明：

○工作权，包括：

■签证

■资历

■国籍等

○商业应用的用户访问

○建筑物的访问

○证书，例如：

■健康和安全课程

■叉车司机

■急救

■儿童保护

■CRB

■执业许可证

○保险，例如：

■损害赔偿保险

■责任保险

由第三方发布的Yoti

可有用地发布Yoti的第三方的例子为：

●父母

●企业

●慈善机构，例如：

○灾害救济-慈善机构可发布临时身份，直至国家的基础设施已得到改进

○使用Yoti以分配唯一标识符，例如对身份分配QR码或NFC晶片。Yoti能够离线工作

资产标签

●将身份分配给物件

●数字水印

○将身份分配給数字内容

○将身份分配给门票

●标签宠物

●将身份分配给

○证书

○文件

IoT(物联网)

●基于Yoti身份，将许可分配给IoT连接的装置

●允许装置与个人通信

MOOC

●在线测试，例如

○用于验证身份的随机面部检查

○对受验者的身份进行验证

○分配资历

全局地址簿

●向他人共享用户的联系信息，该信息在该用户更新时更新

●能够限制对你的联系信息的访问

●共享名片

限制在线内容

●在内容前面的付费墙

●微支付

●订阅服务

微捐赠

用于医疗病人给出和接收反馈的信息发送系统

忠诚方案管理

●向忠诚方案注册

●成员资格、忠诚水平、点数分配的证明

俱乐部管理

●向俱乐部/社团注册

●成员资格的证明、订阅支付的证明、成员级别的证明

●成员通信

●订阅和其他与俱乐部有关的项目的支付

数字签名

●签署电子格式的合同(如DocuSign)

●对在Yoti上创建和托管的协议确认协议

代管契约(Escrow)服务

●域名转移

●其他电子项目的转移

●物理商品的转移(例如城市交流(City exchanges))

发票

●发布发票的服务。对一些收费Yoti个人用户/较小服务提供者(清洁女工、电工、水管工)来说，这会是有用的产品。

●可以通过使用Yoti连接和验证ID以中断保险减轻虚假保险的情况；由于经验证的身份而导致较低的风险，这反而产生较低的费用。

AML(反洗钱)

●证书管理应用程序-跨装置

●私人信息发送系统-像Wickr一样但有经保证的身份

●使用Yoti加密电子邮件，例如以提供：

○使用用于许可的Yoti身份的数字签名和加密

数字库

●连结至身份的个人库，例如用于：

○文件

○资历

○数字内容

○医疗记录

○遗嘱

○共享证书

●密码密钥存储-允许Yoti将密钥存储到别处的未加密安全文件

售票

●验证身份

●预防Bot

●预防多重帐户

●管制门票的购买

●黑名单

●兜售档案

●将身份分配给门票

●门票的购买(通过电子钱包)

●受控制的门票转售

●活动进场管制

●抽签

●向活动提供门票转售的利润份额

电子钱包

●在身份系统之上建立电子钱包

●社会储蓄

●零用钱/小童电子钱包

●P2P发薪日贷款

●慈善捐赠

●将档案和非接触支付联系起来

●加密货币(Cryptocurrencies)

●将身份和加密货币捆绑在一起

●安全分类帐(Secure Ledger)，例如用于管理：

○加密货币-除去分布式分类帐的需要

●微捐赠

●转移资金

领域

设想以下领域内的以下用途：

自由工作者

●验证先前的工作，例如使身份和先前的设计相关联

●评论

●预防多重帐户

●支付(通过电子钱包)

●验证资历

共享经济(Sharing Economy)

○B2B(企业至企业)

■验证用户

■验证共享货物的所有权

■注册/登录

■支付(通过电子钱包)

○B2C(企业至顾客)

■允许用户通过互联网向彼此发送身份

■允许用户亲自显示身份

分类广告

○B2B

■验证用户

■验证共享货物的所有权

■注册/登录

○B2C

■允许用户通过互联网向彼此发送身份

■允许用户亲自显示身份

■支付(通过电子钱包)

线上约会

○B2B

■验证用户

■预防Bot

■预防多重帐户

■注册/登录

○B2C

■允许用户通过互联网向彼此发送身份

■允许用户亲自显示身份

■临时性聊天

在线游戏

●AML

●KYC

●预防Bot

●预防多重帐户

●安全登录

●支付(通过电子钱包)

DRM内容管理

●将身份分配给数字内容

●允许数字商品通过Yoti转售

有年龄限制的内容

●匿名的年龄验证

●安全登录

●防止共享登录细节

●有年龄限制的聊天室

●儿童游戏

售票/活动/会议

●验证身份

●预防Bot

●预防多重帐户

●管制门票的购买

●黑名单

●兜售档案

●将身份分配给门票

●门票的购买(通过电子钱包)

●受控制的门票转售

●活动进场管制

●抽签

第三领域

●灾害救济-慈善机构可发布临时身份，直至国家的基础设施已得到改进

●使用Yoti以分配唯一标识符，例如对身份分配QR码或NFC晶片。

MOOC/培训

●验证候选者的身份

●分配资历

●检查应试者的身份

●在线考试时进行面部匹配

●安全登录

检查网站

●预防Bot

●预防重复帐户

●预防虚假评论

●安全登录

●验证企业

公共卫生

●验证雇员

●验证访客

●I病人健康记录的存储

●资产管理

●建筑物的进入

●医生病人的信息发送

●病人反馈

●在线预约预订

送递服务

●验证收取包裹者的身份

●向朋友/家人给出许可以代表你收取包裹

●签收包裹-送递单据

●验证雇员

●资产管理，例如：

○雇员签名离开中小型货车/汽车招聘

●验证候选者的身份，例如：

○资历

○签证

○国籍

●与HR(人力资源部)共享身份

●共享联系细节

零售

●基于档案项目的折扣

●忠诚方案

●成员资格的证明

●年龄证明

●比赛

●购物者的数据捕获

●EPOS

●建筑物的访问

●在线零售登录

●在线零售注册

●支付(通过电子钱包)

公司档案

●在家庭访问中向顾客的商业身份证明

●对顾客的资历证明

●收到访问证明

●完成工作的证明

住宅

●KYC

●居住权的证明

●共享联系

财政服务

●KYC

●AML

●安全在线登录

●我们通过使用Yoti连接和验证ID以中断保险，可以减轻虚假保险的情况，由于经验证的身份导致较低的风险，所以产生较低的费用。

●建筑物的访问

大学

●建筑物的访问

●安全在线登录

●工作提交的单据

●验证学生身份

●验证签证

●支付(通过电子钱包)

●图书馆书籍租借

●俱乐部/社团成员资格

●酒吧中的年龄验证

●用于演讲/研讨会的点名

旅行

●存储门票

●用于折扣的年龄证明

公共领域

●投票(voting)和调查(polling)-在线和离线

资产管理。

uPass连接

uPass连接机制可用于以下目的：

●在线验证身份(ID)

●在线验证年龄

●KYC(认识你的顾客)机制

●非网络钓鱼，即作为防网络钓鱼机制

●多因素认证

●Bot预防

●预防多重帐户(即由同一实体打开)

●实现“一用户一票”投票机制，例如用于：

○参赛

○投票(Voting)

○调查(Polling)

○游说(Lobbying)

○请愿(Petitions)

●匿名但经验证的登录

●创建档案黑名单，例如以提供反兜售

●无用户名+密码的认证

●表格的填写/注册

●通过互联网发送用户的身份

●限制对内容的访问：

○位置

○年龄

○国籍

○姓名

○出生日期

○地址

○其他″档案″细节

●通过所表达的兴趣或属性，通过使用户和可能期望的内容相关联，使付费墙能够更有效地运作

●订阅服务

用于特定用户访问的流内容，例如用户″A″是BBC许可证支付者，其能够访问来自法国或任何其他国家的其已支付的内容。在不使用地理定位作为过滤器的情况下，网飞(Netflix)和其他公司正处理棘手的移动用户访问权。

F2F(朋友至朋友/点对点)

可把uPass系统配置在F2F的情况中。这可以通过QR码/NFC扫描在面对面中工作，并且还可以通过信息发送平台传送链接来远程地工作。

例如，其可配置为用于提供下述的机制：

●通过QR码/NFC进入建筑物

●通过证明档案+许可进入场地。可提供的档案细节包括：

○公司

○年龄

○国籍

○姓名

○出生日期

○地址

○你有没有正确的门票

○你有没有正确的安全许可(security clearance)

○其他档案细节

●针对访问控制/销售点的证明年龄，例如在：

○夜总会

○赌场

○酒吧

●通过使用Yoti电子钱包，在支付货品费用同时证明身份的方面，例如是超过18岁

●在一位置签到，例如在以下的情况中：

○点名，例如学校

○访客簿

○课程

○健康和安全

○旅馆/BnB旅馆

○健身房

○医院/医生手术

○办公室

○购物商场

○机场

●记录工作时数

●旅馆用例-通过连接预订，将通行证分配至装置，免去入住手续+钥匙卡

●向另一人证明ID，例如在以下情况：

○分类广告

○约会

○出租车

○合租公寓

○合租汽车

●企业向个人证明ID-例如：

○用于家庭访问：

○用于向雇主展示

○用于展示适合的资历

●个人向企业证明ID，例如：

○典当商

○汽车出租

○高价值的购买

○有年龄限制的商品

○收取货品

○运输

在购买酒精、香烟或任何有年龄限制的产品时，证明你在购买那刻超过了所需年龄。不但购买者可以方便地购买他们所需的商品，而且销售商也将收到不可更改的单据，证明已检查过年龄和谁进行了该购买。

●送货上门，例如以提供：

○收到货品的证明

○对个人授权以代表你取货

○通过连接对存储单元的安全访问

●F2F和在线KYC，例如在以下情况中：

○房地产/租赁代理

○创建银行帐户

○保险

○房贷

○Peer2Peer(点对点)贷款

●雇员向企业证明ID，例如证明：

○工作权，包括：

■签证

■资历

■国籍等

○商业应用的用户访问

○建筑物的访问

○证书，例如：

■健康和安全课程

■叉车司机

■急救

■儿童保护

■CRB/DBS

■执业许可证

■保险，例如：

●损害赔偿保险

●责任保险

由第三方发布的Yoti

可有用地发布Yoti的第三方的例子为：

●父母

●企业

●慈善机构，例如：

○灾害救济-慈善机构可发布临时身份，直至国家的基础设施已得到改进

○使用Yoti以分配唯一标识符，例如对身份分配QR码或NFC晶片。Yoti能够离线工作

●Yoti端口允许商家/销售商/企业等建立Yoti公司档案。从那里，他们可以分配属性和员工，顾客等，其将授予他们权限或认证。这可能在煤气抄表员(gas man)和季度通行证(season pass)中出现。

全局地址簿

●Yoti将不仅允许属性的档案与多人共享，而且也可以随你心意撤消档案。

●这样，用户最终将不需要保留他们自己的联系目录，而全局地址簿将与动态最新属性和用户间许可的连结点一起存在。

●向他人共享用户的联系信息，该信息在该用户更新时更新

●能够限制对你的联系信息的访问

●共享名片

VRM(销售商关系管理)

Yoti是一种能够实现Doc Searls和其他人的愿景的技术。实质上，通过已认证的、安全的和已信任身份和数字库(见下)，可以：

●公共发布关于自己的数据，其表示想要购买某物的愿望，你为了购买它愿意支付什麽，以及你愿意在其之下进行交易的一些条款。

●然后销售商便能够出价以响应这些条款。

需要制定协议，其定义广播、使用和响应这些条款的方式。

需要建立论坛，其中可以查找和响应机会。

需要开发传递上述需要的应用。

数字库

●使用已信任身份作为机制以访问和控制个人数据的存储的应用。

●可以安全保存和加密属性的应用。

●连结至身份的个人库，例如用于：

○文件

○资历

○数字内容

○医疗记录

○遗嘱

○共享证书

●密码密钥存储-允许将密钥存储到别处的未加密安全文件

有年龄限制的内容及产品

●匿名的年龄验证

●安全登录

●防止共享登录细节

●有年龄限制的聊天室

●儿童游戏

应用

资产追踪

通过标签到物理物品或通过虚拟装置和节点，我们可以将身份关联到资产。

●帮助将身份和政策关联到资产的应用。

●以其身份和政策控制资产记录的应用。

●将身份分配给物件

●将有用的Yoti属性分配给RFID标签、QR码和其他唯一标识符，其在被使用时给出有用数据。例如，可以扫描带有具有个人属性的RFID标签的丢失的钱包，并且传送数据，寻得者可以联系和归还物品。

●数字水印

○将身份分配給数字内容

○将身份分配给门票

●标签宠物

●将身份分配给

○证书

○文件

○共享证书

IoT(物联网)

●基于Yoti身份，将许可分配给IoT连接的装置

●允许装置与个人通信

●通过电子钱包对系统支付(例如访问自动车辆)

●向装置提供安全层。任何IOT装置可以确保获授权的用户可以访问和控制它。通过Yoti向装置和用户提供身份，而这样的许可可以是可控制的。

●提供如上功能的应用

微捐赠

●通过满足规定的应用提供支付，并且交易费用是微不足道的，因此也是合算的。

用于医疗病人和员工给出和接收反馈的信息发送系统

●匿名或直接地交流经验

●建立用于持续改进的结果和学习数据库

忠诚方案管理

●向忠诚方案注册

●成员资格、忠诚水平、点数分配的证明

俱乐部管理

●向俱乐部/社团注册

●年龄证明

●成员资格的证明、订阅支付的证明、成员级别的证明

●成员通信

●订阅和其他与俱乐部有关的项目的支付

数字签名

●签署电子格式的合同(如DocuSign)

●对在Yoti上创建和托管的协议确认协议

代管契约(Escrow)服务

●域名转移

●其他电子项目的转移

●物理商品的转移(例如城市交流(City exchanges))

发票

●发布发票的服务。对一些收费Yoti个人用户/较小服务提供者(清洁女工、电工、水管工)来说，这会是有用的产品。

AML(反洗钱)

●将身份关联到财务交易。

●将身份关联到区块链

●提供不可更改的、可审查的收条给在传统(1850-2010)银行平台以外进行的交易，即通过短信、电邮、移动支付应用等的交易。

●证书管理应用程序-跨装置

●私人信息发送系统-像Wickr一样但有经保证的身份

●使用Yoti加密电子邮件，例如以提供：

○使用用于许可的Yoti身份的数字签名和加密

售票及反兜售

●验证身份

●预防Bot

●预防多重帐户

●管制门票的购买、抽签、年龄限制、只限支持者等

●黑名单

●VIP名单，选择成员的推广

●兜售者档案，监察兜售行为和限制日后访问

●将身份分配给门票

●门票的购买(通过电子钱包)

●受控制的门票转售

●活动进场管制

●抽签

●向活动提供门票转售的利润份额

●通过区块链送递门票

●你的面就是你的票-不需要纸张门票或QR码

●提供如上功能的应用

电子钱包

●在身份系统之上建立电子钱包

●社会储蓄

●零用钱/小童电子钱包，采用简单机制来添加资金的家长控制和监督。

●P2P发薪日贷款

●慈善捐赠

●将档案和非接触支付联系起来

●加密货币(Cryptocurrencies)

●将身份和加密货币捆绑在一起

●安全分类帐(Secure Ledger)，例如用于管理：

○加密货币-除去分布式分类帐的需要

●微捐赠

●转移资金

将身份细节连同支付转移，例如将年龄、性别连同支付转移至销售商

出租应用

概述

为租客、房东和租赁代理提供数字和精简化的可选方案，用于检查身份、工作、住所和信用历史，以确保遵守所有当前的法律。

认识你的顾客-校验租客身份，确认全名、国籍、出生日期、当前地址(三年记录)、银行帐户校验。包括检查租用权(EEA护照或身份证、显示无限居留许可的永久居留卡或旅游文件、内政部移民身份文件、作为英国居民的登记或入籍证明。

信用检查-包括信用检查可接受性得分、在六年内的信用记录搜索、郡法庭判决(CCJ)和破产检查、个人志愿性协定和/或债务管理计划资料、债务、违约、欠租和收回管有检查。

雇用验证-雇用证明(至少两年)、公司名字、联系细节、开始日期、年薪(包括加班和奖金)、试用期。商业户口(如果是自雇)。

先前的雇用细节、公司名字、联系细节、开始日期、年薪(包括加班和奖金)。

先前的房东-来自当前的房东或租赁代理的参考-你在过去三年中居住过的任何地方的代理/房东名字和联系细节，以及地址和日期

租赁保证人-用于首次租房的学生或年轻人，或你不能证明你能够支付租金。保证人将需签署文件以同意若你不付房租的话支付房租。保证人通常需要是英国居民并拥有物业

网站页面和要求

网站URL

Yoti登录

租客

●全名

●国籍*

●出生日期

●当前地址

*若不是英国，EEC+瑞士

英国签证(居留许可证等)

晶片

安全特征(没有晶片的情况)

信用检查(多至六年记录)

●信用评分

●租客的负担能力

●连结的地址

●CCJ

●选民名册

●无债付能力

用户需同意进行信用报告

当前雇主：

●公司名字：

●公司地址：

●联系：名字姓氏

●电邮地址：(x2)

●电话号码：

●雇员开始日期：日(可选择的)月和年(必须)

●雇员结束日期：日(可选择的)月和年(必须)

●职位名称：

●年薪：

●试用期(勾选格)：

先前的雇主(如果当前工作少于两年)

●公司名字：

●公司地址：

●联系：名字姓氏

●电邮地址：(x2)

●电话号码：

●雇员开始日期：日(可选择的)月和年(必须)

●雇员结束日期：日(可选择的)月和年(必须)

●年薪：

雇主参考

接收具有链接的电子邮件

●登录-用户名字及密码(得到Yoti，利用Yoti登入)

●确认租客细节：

○雇员开始日期：日(可选择的)月和年(必须)

○雇员结束日期日(可选择的)月和年(必须)

○职位名称：

○年薪：

勾选格子以确认-通过完成这参考，你同意你获授权以提供该信息。提供欺骗性的参考是一种罪行。这参考将是我们对上述名字的人的申请之评估的一部分。根据1998数据保护法案，如有请求，可能提供你的参考的复本给上述名字的人和/或我们代表行事之客户。我声明按我所知所信，上述陈述是真实和完整的，并且没有隐瞒、抑制或省略重要事实。

先前的房东/代理参考(过去三年)

●房东/代理名字：

●联系人：名字姓氏

●电邮地址：

●电话号码：

●先前地址：

●开始租用日期：日(可选择的)月和年(必须)

●结束租用日期：日(可选择的)月和年(必须)

●评语：

○欠帐

○损坏

○其他事项

保证人

●全名

●国籍(必须要是英国居民)

●出生日期

●当前地址

●雇员名字：

●公司地址：

●联系：名字姓氏

●电邮地址：(x2)

●电话号码：

●雇员开始日期：日(可选择的)月和年(必须)

●雇员结束日期：日(可选择的)月和年(必须)

●职位名称：

●年薪

如果申请人租客选择在当前雇主少于三个月的时间，网站应请求该租客完成保证人细节部分。然后，应为了保证人而不是申请人租客而取得信用报告等。若月薪太低或取得坏的信用等级/标准，也需要保证人(租赁代理应有能够选择他们对此的阈值自动化系统，并提早要求保证人以减少来回。

需要保证人时，我们可以提供保证协议书作为套装的一部分。当前，这由租赁代理而不是租客参考公司完成。

接待应用

Yoti接待(Yoti Reception)是什麽？

Yoti接待是对纸质装订的访客簿的数字可选方案。它比非数字方案更具适应性，允许办公室建筑物在他们有访客时通知建筑物内的人，同时通过数字ID来提高安全性。

Yoti接待尝试解决什麽问题？

Yoti接待是多个问题的解决方案，其细节如下：

目前通常如何处理这些问题？

当前大多数建筑物采取的解决方案是要求访客将他们的姓名和细节写在接待处的纸质装订记录书中。

为何Yoti接待是一项改进？

●它会通知恰当的人有访客在等候他们，减少访客在建筑物门厅无人陪伴的时间。

●它可以数字格式记录细节，其在公司层面和建筑物层面是容易访问和可追溯的。

●它将与Yoti的ID功能集合-让建筑物和公司不用挂虑进入他们建筑物的人，其1)不能谎报他们的身份，和2)可通过记录他们真实身份追究责任。

对于访客呈现ID是有没有任何要求，如果没有，为何没有？

没有，这是因为该服务主要是精简化的解决方案，提高访客的体验，而不是增强安全。要求访客呈现ID增加了事务中的摩擦。建筑物将来可以停用电邮签到

夜总会应用

身份系统，其用于在法律上需要检查人的现实身份/年龄的行业的地方。

人们习惯在进入供应酒精的场所前呈现身份，意味着不论我们提供此产品与否，他们也将会预期在这里使用他们的Yoti。这文件为了这领域提出了通用策略。

Yoti是能够在线和离线使用的身份系统。

1.1我们解决的问题

免税和退税

通过技术简化难以理解和运作耗时的国际退税方案。另外，申请人和税务当局有很多错误，改正的成本昂贵。在电话上Yoti身份的结合，连同签证的属性，允许外国人合符资格在国家内进行免税购物，并使用电子钱包进行这些支付的交易，我们的应用将：

用于个人

●识别个人

●从护照分类他们的国籍

●从签证将他们分类为类别1、2或3

●向他们呈现和解释他们可以从中得益的益处和他们能在当中获得该益处的商店。

●使他们为了HMRC(税务海关总署)确定折扣的条款及细则，并接受商店希望在这过程中收取的费用。

●为了完整的支付，包括VAT(商品及服务税)，从Yoti钱包或另选方案进行支付。

●将购买到的物品添加到已购买的合格物品的篮子中，并在海关成功确认时显示可能的折扣值。

用于HMRC边界职员或获授权的MiPass职员

●识别站在他们面前的人

●记录他们离开欧盟的日期(机票/登机证等)

●提供所申报的所有物品的清单，因此职员可选择来检查/验证。

●证明该出口是正确的

用于商家

●Yoti检查个人是他们所自称的人，并确认他们符合方案的资格。

●强制接受方案，储存行政费用，并签署双方的协议。

●从Yoti钱包或另选方案取出支付以用于包括VAT的总值。

●商家仪表板应显示所有在海关处等候确认的和那些已经被批准的合格物品的总购买，以及将偿还至个人的MiWallet户口的退款。

用于旅游团领队

连结所有与他们团队相关的人，追踪他们在每间商店的购买，从而可能从中得取佣金。

领域

MOOC/培训

●在线测试，例如

○用于验证身份的随机面部检查

○对受验者的身份进行验证

○检查考试官的身份

○分配资历

○安全登录

○提供如上功能的应用

自由工作者

●验证先前的工作，例如使身份和先前的设计相关联

●评论

●预防多重帐户

●支付(通过电子钱包)

●验证资历

●在去到现场之前制定双方之间的合同。例如，水管工可指明￡x的上门收费和时间和材料作为他们的条款，而购买者将在水管工出发工作前接受这些条款。同样地，购买者将预期将进行有质量的工作，并将签署确认该工作已经在适合的标准下进行。因此，不协调减少，双方愉快。

●提供这功能的应用。

共享经济(Sharing Economy)

●B2B(企业至企业)

●验证用户

●若发生罪恶的或不幸的事，以不可更改的的记录确证身份

●验证共享货物的所有权

●注册/登录

●支付(通过电子钱包)

●B2C(企业至顾客)

○允许用户通过互联网向彼此发送身份

○允许用户亲自显示身份

分类广告

●验证用户

●验证货物的所有权

●注册/登录

●允许用户通过互联网向彼此发送身份

●允许用户亲自显示身份

●支付(通过电子钱包)

●通过认识你与谁进行交易，改进安全

●通过认识你与谁进行交易，减少诈骗。

●可以信任的评价

●提供如上功能的应用

线上约会

●验证用户

●预防Bot

●预防多重帐户

●注册/登录

●允许用户在见面前通过互联网向彼此发送身份。增加信任，减少欺骗

●允许用户亲自显示身份

●提供身份交换的不可更改的记录。

●临时性聊天

例如

个人可以使用经验证的资料在网站上注册自己。这防止用户创建完全虚假的档案，创建多个档案或虚报细节如年龄。

在进行约会之前，两人将可通过短讯/电邮或其他聊天功能使用链接向对方传送他们的身份，从而他们都知道他们将遇见谁。然后，当他们亲身见面的时候，他们能够使用向他们提供见面的时间戳单据的系统进行另一个互动，从而如果有什麽事发生，双方能够准确确定他们何时与何人见面。

在线游戏

●AML

●KYC

●预防Bot

●消除操纵游戏的机器人和作弊的人类玩家

●预防多重帐户

●安全登录

●支付(通过电子钱包)

DRM内容管理

●将身份分配给数字内容

●允许数字商品通过Yoti转售

售票/活动/会议

●验证身份

●预防Bot

●预防多重帐户

●管制门票的购买

●黑名单

●兜售档案

●将身份分配给门票

●门票的购买(通过电子钱包)

●受控制的门票转售

●活动进场管制

●抽签

第三领域

●灾害救济-慈善机构可发布临时身份，直至国家的基础设施已得到改进

●使用Yoti以分配唯一标识符，例如对身份分配QR码或NFC晶片。

检查网站

●预防Bot

●预防重复帐户

●预防虚假评论

●安全登录

●验证企业

公共卫生

●验证雇员

●验证访客

●I病人健康记录的存储

●资产管理

●建筑物的进入

●医生病人的信息发送

●病人反馈

●在线预约预订

●用于医疗专业人员记录的床边安全访问

●医疗记录的病人访问

●在线预订预约的病人访问

送递服务

●验证收取包裹者的身份

●向朋友/家人给出许可以代表你收取包裹

●签收包裹-送递单据

●验证雇员

●资产管理，例如：

○雇员签名离开中小型货车/汽车

保险

使用Yoti连接和面对面作为机制来中断保险以：

●更快速地验证ID，减少准确确定潜在人物为其自称为的人所需的时间。

●快速地验证身份至非常高的水平，便可更佳地判断风险，而且费用会定在更理想的水平。

●可以减少保险欺诈。

●可以开发快速使个人和政策一致的应用。

●可以开发允许寻求保险者向提供者暴露其档案的应用。

●证书的发布可以在Yoti系统中存储为可共享的属性。

招聘

●验证候选者的身份，例如：

○资历

○签证-检查他们的工作权

○国籍

●与HR(人力资源部)共享身份

●共享联系细节

可亲自共享细节-通过面对面检查，或可以遥远地共享它们-通过公司特定网页，包括通过电邮或通过网站整合与申请人通信的QR码。

零售

●基于档案项目的折扣

●忠诚方案

●成员资格的证明

●年龄的证明

●比赛

●购物者的数据捕获

●EPOS

●建筑物的访问

●在线零售登录

●在线零售注册

●支付(通过电子钱包)

公司档案

●在家庭访问中向顾客的商业身份证明

●对顾客的资历证明

●收到访问证明

●完成工作的证明

例如，英国天然气公司可能希望向他们其中一名雇员发布证书/档案，雇员可以向房主将其出示。房主将看到天然气公司发布和因而认证的天然气工作人员的照片。双方将收到该交换的单据。天然气公司可检视雇员的行动记录和GPS位置。

住宅

●居住权的证明

●共享联系

●房东投放时间向潜在租客展示房子之前，先对其进行负担得起的KYC和信用检查。

●租客广播档案，其解释他们的预算多少，以及他们需要什麽才会接受出价。

财政服务

●KYC

●快速注册

●AML

●安全在线登录

●我们通过使用Yoti连接和验证ID以中断保险，可以减轻虚假保险的情况，由于经验证的身份导致较低的风险，所以产生较低的费用。

●使用Yoti扫描信封或内部文件上的唯一QR码，以(生物特征地)确认预定接收者收到。

●建筑物的访问

●激活卡、远程授权/验证卡。其中卡上印有编码，我们可以请用户扫描该编码以证实使用它的是他们(例如，银行在你出国时会冻结你的卡，并会请你回电给他们以防止诈骗)。通过收到卡的时候扫描编码，你便可以激活它。

●ATM提款，在未来这可以将人识别出来而不需要现金卡。

●在一个交易中，引导顾客和将他们的生物特征连结至银行应用。

●一旦验证Yoti用户收到卡，我们可以在其Yoti属性安全组中对这用户记录唯一的卡属性。在请求时，用户可以确认他们不仅是在交易中预期的用户，而且他们拥有所述唯一的卡属性。这可替代卡认证过程，例如3D安全(3DSecure)、通过Visa验证、以及任何使其他给发卡者相信卡是由获授权的人使用的方案。典型的用例是在使用信用卡进行商品或服务的购买时，并被要求进行额外认证时。

用于金融机构的Yoti的概述：

大学

●建筑物的访问

●安全在线登录

●工作提交的单据

●验证学生身份

●验证签证

●支付(通过电子钱包)

●图书馆书籍租借

●俱乐部/社团成员资格

●酒吧中的年龄验证

●用于演讲/研讨会的点名

●数字地存储大学证书资历

●学生折扣及优惠

●申请学生贷款

航空公司

●通过Yoti电子钱包购买机票，同时地将所有ID细节附接到票上

●在购买机票和将这机票附接到Yoti时证实身份

●将登机证连接到身份

●将登机证存储在Yoti中

●在机场同时证实身份和购买证明

●与航空公司、机场和边境机关工作以加快乘客安全地通过高级别安全区

●提供如上功能的应用

旅行

●存储门票

●用于折扣的年龄证明

公共领域

●投票(voting)和调查(polling)-在线和离线

●资产管理

●创建不可更改的的公共记录，其保存身份，即土地注册处(land registry)等。

成人

成人领域的规管不足，因此低于所需年龄的人们在获得对非受限互联网的访问时，往往很容易访问到成人内容。政府声明他们将促成改变，但是除了督促IPS(互联网服务供应商)封锁不用取得信用卡细节或ID文件作为年龄证明的供应商，便没有其他工具做到。Yoti将使用户能够匿名地证明他们超过所需年龄，不用给出姓名、出生日期、地址或其他属性。通过使用Yoti API，成人网站可简单地从Yoti得到对于问题的响应，例如：″这人是否超过18岁″？Yoti校验服务将回答″是″和给他们匿名单据，以证明他们已达到所需的政府标准。

详细说明最后的表1和2中列出了额外的用例。

虽然上文已经根据具体实施例进行描述，但这些不是详尽无遗的。所述范围不受所述实施例的限制，而仅由以下权利要求限定。

Claims (29)

1.一种将由内容源提供的内容认证到本地装置以显示内容的方法，所述方法包括：

在所述内容源和所述本地装置执行的浏览器之间建立通信会话；

从所述内容源向所述浏览器发送校验页，所述校验页包括内容认证令牌，所述内容认证令牌是与所述内容源绑定的随机生成的仅一次性使用的证书；

通过验证应用从所述浏览器捕获所述内容认证令牌；

将所述认证令牌发送至校验服务，所述校验服务确认所述令牌是否被绑定至有效的内容源；以及

如果所述令牌被绑定到有效的内容源上，则使所述内容在所述本地装置上显示。

2.权利要求1所述的方法，其中使得内容被显示包括将内容源单据从所述校验服务发送到移动装置，其包含或指示有关于所述有效内容源的数据项。

3.权利要求2所述的方法，其中所述内容源单据包括识别存储位置的链接，可从所述存储位置访问所述数据项，从而指示所述数据项。

4.权利要求2所述的方法，其中所述数据项被由所述证书识别的内容源的数字档案所访问。

5.权利要求4所述的方法，其中通过将所述档案的版本存储于可寻址存储位置来发布所述档案，并且将识别所述可寻址存储位置的链接包含在所述内容源单据中，从而指示所述数据项。

6.权利要求1所述的方法，其中所述验证应用在移动装置上执行，所述移动装置通过以下之一来捕获所述校验页上显示的所述内容认证令牌：数字图像捕获；扫描，近场通信和蓝牙。

7.权利要求1所述的方法，其中所述内容认证令牌由所述本地装置的本地浏览器所接收，并被传送至在所述本地装置上执行的所述验证应用。

8.权利要求5所述的方法，其中使得所述内容被显示包括向所述本地装置发送单据，其指示与所述有效内容源相关联的数据项。

9.权利要求1所述的方法，其中所述令牌识别所述内容源的地址，所述方法包括将地址发送到地址验证服务以确认所述地址是有效地址。

10.根据权利要求2所述的方法，其中所述数据项在所述移动装置上显示。

11.根据权利要求10所述的方法，其中所述数据项是托管所述内容的服务器的细节。

12.根据权利要求10所述的方法，其中所述数据项包括托管所述内容的虚拟装置和/或物理装置的细节，所述虚拟装置在所述物理装置上运行。

13.根据权利要求2所述的方法，包括以下步骤，从所述移动装置将装置认证令牌随着所述内容认证令牌发送到所述校验服务，所述装置认证令牌是被绑定到所述移动装置的随机生成的仅一次性使用的证书。

14.根据权利要求13所述的方法，其中所述校验服务使用所述装置认证令牌来使用所述证书来访问数字身份档案。

15.根据权利要求14所述的方法，其中所述校验服务生成装置识别单据，所述装置识别单据包括或指示从所述数字身份档案访问的数据项，并将所述单据发送至所述内容源。

16.根据权利要求15所述的方法，其中所述内容源基于所述装置识别单据中的所述数据项来确定是否发布内容。

17.根据权利要求15所述的方法，包括在所述装置识别单据中发送新的装置认证令牌。

18.根据权利要求1所述的方法，包括向所述内容源发送新的内容认证令牌。

19.根据权利要求2和15所述的方法，其中所述装置识别单据和所述内容源单据共享共同的事务标识符。

20.根据权利要求1所述的方法，包括以下步骤，从所述本地装置将装置认证令牌随着所述内容认证令牌发送到所述验证服务，其是被绑定到所述本地装置的随机生成的仅一次性使用的证书。

21.根据权利要求1所述的方法，其中所述内容源包括服务器，并且所述令牌被绑定至所述服务器。

22.根据权利要求1所述的方法，其中所述内容源包括服务器，并且所述内容认证令牌被绑定至瞬时虚拟装置，其在由所述本地装置启动的会话建立过程中由所述服务器所创建。

23.根据权利要求10所述的方法，其中置信度与所述数据项相关联，并且与所述数据项一起显示。

24.根据权利要求13所述的方法，其中所述移动装置向所述校验服务发送接收地址，并且所述校验服务将所述接收地址发送至所述内容源，以用于以所述移动装置建立反向通道。

25.根据权利要求13所述的方法，其中所述校验服务在所述内容源与所述本地装置之间创建共享代理。

26.计算机程序产品，其包括存储在计算机可读存储介质上并被配置为实现任何前述权利要求方法的代码。

27.计算机系统，其包括：

被配置为实现校验服务的数字身份系统；

本地装置，其包括网络接口和被配置为执行浏览器的处理器，其操作以：

通过所述网络接口建立内容源和所述浏览器之间的通信会话，以及

从所述内容源接收校验页，所述校验页包括内容认证令牌，其是被绑定到所述内容源的随机生成的仅一次性使用的证书。

其中，验证应用从所述浏览器捕获所述内容认证令牌，并将所述认证令牌发送到校验服务，所述校验服务可确认所述令牌是否被绑定到有效的内容源；以及

其中，如果所述令牌被绑定到有效的内容源上，所述校验服务会使所述内容在所述本地装置上显示。

28.根据权利要求26所述的计算机系统，其中验证应用在本地计算机装置上执行。

29.根据权利要求26的计算机系统，其包括移动装置，所述移动装置包括处理器和网络接口，其中验证应用在所述移动装置的处理器上执行。