CN108140152A - 计算机实现的追踪机制及数据管理 - Google Patents
计算机实现的追踪机制及数据管理 Download PDFInfo
- Publication number
- CN108140152A CN108140152A CN201680043467.1A CN201680043467A CN108140152A CN 108140152 A CN108140152 A CN 108140152A CN 201680043467 A CN201680043467 A CN 201680043467A CN 108140152 A CN108140152 A CN 108140152A
- Authority
- CN
- China
- Prior art keywords
- ticket
- archives
- entity
- assets
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/02—Reservations, e.g. for tickets, services or events
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/08—Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
Abstract
一种用于追踪资产的计算机系统包括资产追踪系统、数字身份系统和计算机接口。资产追踪系统包括电子存储和档案管理器。资产追踪系统的电子存储将资产的初始档案与所述资产的资产标识符相关联地保存。数字身份系统包括档案管理器和电子存储,所述电子存储被配置为保存实体的档案。计算机接口被配置为接收资产转移通知。每个资产转移通知识别资产和参与所述资产的转移的相应实体。资产追踪系统的档案管理器被配置为,每次接收资产转移通知时,在电子存储中创建资产的新档案,其包括相应的参与实体的标识符。所述资产的新档案与资产标识符相关联地存储。
Description
技术领域
本发明涉及计算机实现的追踪机制和计算机实现的数据管理。
本发明的一些方面涉及资产追踪。
背景技术
现有的资产追踪技术倾向基于库存控制软件,由此特定于例如特定建筑物的库存控制数据库被配置为追踪那里的库存水平。资产可以在其生命周期期间在例如这样的建筑物之间转移多次,使得在最好的情况下,资产的移动记录在多个、不同的和独立管理的数据库中。这样的数据库甚至可能不提供用于区分相同类型的各个资产的机制。此外,它们不适合于处理资产的所有权的变化,或更一般地处理不同实体之间的资产转移。较为复杂的资产追踪软件是可用的,但其仍然着重于管理一个实体的资产,并且同样不适合于追踪资产转移,尤其是可随时间发生的多重资产转移。
发明内容
本发明的第一方面涉及一种用于追踪资产的计算机系统,其包括资产追踪系统、数字身份系统和计算机接口。资产追踪系统包括电子存储和档案管理器。资产追踪系统的电子存储将资产的初始档案与所述资产的资产标识符相关联地保存。数字身份系统包括档案管理器和电子存储,所述电子存储被配置为保存实体的档案。计算机接口被配置为接收资产转移通知。每个资产转移通知识别资产和参与所述资产的转移的相应实体。资产追踪系统的档案管理器被配置为,每次接收资产转移通知时,在电子存储中创建资产的新档案,其包括相应的参与实体的标识符。所述资产的新档案与资产标识符相关联地存储。
实体所有的资产在数字身份系统内被追踪,同时可在资产追踪系统中获得资产转移的完整历史。实体所有的资产可以例如是他们所有的资产,或是他们以其他方法保存,对其有一些责任或有关系的资产。因此,提供了两个对于资产的角度:资产转移不仅改变了数字身份系统中的参与者的身份,还改变了资产追踪系统中的资产的身份。这两个系统是连接的,因为它们响应于相同的资产转移。以这种方式连接它们确保了它们提供的两个角度是一致的。资产转移中的参与者可以例如是资产的新所有者(更一般地是对资产转移新负责,与资产新关联等的实体),或资产的卖方,或资产的锁售或其他转移的代理。
在优选实施例中,资产追踪系统还包括关联模块,其被配置为,每次创建资产的新档案时,将新档案与资产的下一个最近的档案相关联,从而创建档案的时间序列,其表示资产的转移链(例如资产的所有权链)。所述时间序列与资产标识符相关联地存储。
现有方法在不同情境下都不适合于可靠地追踪各个资产。例如,适合于处理资产位置的系统可能被较差地配备来管理多个所有权变化或其他多个转移。相比之下,本发明针对资产本身的时间序列提供了资产的转移链的准确记录,并构成特定于有关资产的微数据库。可以为系统追踪的每个个别资产保持单独的这种类型的微数据库。
现有追踪方法也缺乏对意外或恶意记录变更的稳健性。在本发明的优选实施例中,基于密码散列(cryptographic hashing)向时间序列的相应档案分配一个或多个标签,以提供对个别档案和/或整个序列结构的稳健的完整性保护。除此之外,标签提供了一种机制,通过该机制可检测到档案或序列的任何变更。
系统可包括标签生成模块,所述标签生成模块被配置为为所述序列中的每个新档案生成标签,然后通过将散列函数应用于输入数据来将所述标签与该新档案相关联,所述输入数据包括:
(i)该新档案的数据,和/或
(ii)所述序列中另一档案的数据(例如较早的档案,例如下一个最近的档案)。
(i)提供了对该新档案的内容的完整性保护,而(ii)提供了对整个序列的完整性保护。即,当从(i)生成标签时,档案的内容已被变更(例如被篡改或意外损坏)将是显而易见的,因为它将不再与其自己的标签相匹配;当从(ii)生成时,序列的结构已被变更将是显而易见的,因为至少一个标签将不再与经修改的序列的结构相匹配:例如,考虑档案的序列(p0,p1,...,p(n),...)。如果通过对下一个最近的档案p(n-1)的数据进行散列来生成较晚的档案p(n)的标签L(n),如果所述序列被篡改以移除或移动较早的档案p(n-1),最终处于经修改的序列的位置n-1的档案将不再与较晚的档案p(n)的标签L(n)相匹配。更一般地(尽管这是较不优选的),这可以通过对数据p(n±m)进行散列以生成L(n)来实现。如果序列中的每个链路都被覆盖(这可以通过将m设置为许多适当值之一),那么序列的整个结构将被保护。
优选地,通过对p(n)的数据和p(n±m)(优选地n±m=n-1)的数据进行散列来生成标签L(n),因为在这种情况下,标签L(n)同时提供两种类型的完整性保护。在所述实施例中,p(n±m)被散列的数据是其自己的标签L(n±m)。
例如,可以通过以相同方式进行再散列(rehashing)并检查结果是否与原先的标签相匹配,从而检测任何标签相关的数据是否已被变更。
优选地,每个标签也是基于秘密密钥而生成的。例如,所述密钥可以被包括在被散列以生成该标签的输入数据中。这有助于防止标签伪造。作为示例,标签可以是HMAC。
另选地或附加地,较早的档案的数据可被用作散列函数的种子输入,并且该新档案的数据被用作输入到散列函数的内容。例如,标签生成模块可被配置为通过将散列函数至少应用于初始档案的数据来生成初始档案的标签。
在这方面,本发明的第二方面涉及用于追踪资产的计算机系统,其包括:电子存储,其将资产的初始档案与所述资产的资产标识符相关联地保存;计算机接口,其被配置为接收资产转移通知,每个资产转移通知识别资产和所述资产的转移的相应参与者;档案管理器,其被配置为,每次接收到资产转移通知时,在电子存储中创建资产的新档案,所述新档案包括相应参与者的标识符;关联模块,其被配置为,每次创建资产的新档案时,将新档案与资产的下一个最近的档案相关联,从而创建档案的时间序列,其表示资产的转移链;以及标签生成模块,其被配置为,通过对输入数据进行散列来生成所述序列中的至少一个档案的标签,并将所述标签与所述至少一个档案相关联地存储,所述输入数据包括所述至少一个档案的数据和所述序列中已知位置(例如n-1,其中n表示所述至少一个档案的位置,或更一般地±m)的至少一个其他档案的数据。
在第一或第二方面的实施例中,数字身份系统的档案管理器可被配置为,当它在数字身份系统中创建关联时,将资产标识符与数字身份系统中先前的参与实体的档案解除关联。
计算机系统可被配置为存储资产标识符与第一代理资产标识符之间的关联;以及可以通过将所述代理资产标识符与相应的参与实体的档案相关联地存储在数字身份系统的电子存储中,从而创建资产标识符与相应的参与实体的档案之间的关联。
另选地或附加地,计算机系统可被配置为存储资产标识符与第二代理资产标识符之间的关联,每个资产转移通知包括所述第二代理标识符并由此识别资产。
资产追踪系统可包括访问模块,所述访问模块被配置为响应于接收到识别资产的资产所有者身份请求来:基于所述序列中最近的档案和/或基于数字身份系统中当前所有者的档案,生成识别资产的当前所有者的电子响应消息,并将所述响应消息发送给所述请求的发起者。
例如,所述响应消息可以向发起者提供当前所有者的视觉图像。
初始档案可包括资产的初始所有者的标识符。
资产的档案中至少一个(例如,一些或全部)可包括参与实体的标识符,所述标识符包括:
参与实体的视觉图像,和/或
所存储的参与实体的身份数据的链接,和/或
发出给参与实体的付款帐户号码的至少一部分的散列。
例如,资产的至少一个档案中的链接可以是数字身份系统中的参与实体的档案的版本的链接。例如,数字身份系统可包括发布模块,所述发布模块被配置为通过将参与实体的档案的副本存储到可寻址存储位置来发布参与实体的档案,资产的至少一个档案中的链接是所述可寻址存储位置的链接。
档案的多个时间序列可被存储在电子存储中,每个表示不同资产的转移链(例如所有权)。
计算机系统可包括分析器,所述分析器被配置为执行对所述多个序列的分析例如,资产可以是一个或多个活动的票证,并且可以执行所述分析以检测在至少一些所分析序列中出现的所有者的至少一个标识符是否满足兜售条件。
本发明的第三方面涉及一种追踪资产的计算机实现方法,包括:
在资产追踪系统的电子存储中创建资产的初始档案,所述初始档案与所述资产的资产标识符相关联;以及
接收资产转移通知,每个资产转移通知识别资产和参与所述资产的转移的相应实体,其中,每次接收到资产转移通知时,所述方法包括:
在数字身份系统:在数字身份系统的电子存储中创建资产标识符与相应的参与实体的档案之间的关联,
在资产追踪系统:在资产追踪系统的电子存储中创建资产的新档案,其包括相应的新所有者的标识符,所述资产的新档案与资产标识符相关联地存储。
本发明的第四方面涉及一种追踪资产的计算机实现方法,包括:
将资产的初始档案与所述资产的资产标识符相关联地存储在电子存储中;以及
接收资产转移通知,每个资产转移通知识别资产和参与所述资产的转移的相应参与者,其中,每次接收到资产转移通知时,所述方法包括:
在电子存储中创建资产的新档案,所述新档案包括相应参与者的标识符,以及
将新档案与资产的下一个最近的档案相关联,从而创建档案的时间序列,其表示资产的转移链;
其中,所述方法还包括:
通过对输入数据进行散列来生成所述序列中的至少一个档案的标签,所述输入数据包括所述至少一个档案的数据和所述序列中已知位置的至少一个其他档案的数据;以及
并将所述标签与所述至少一个档案相关联地存储,
方法可包括实现本文所述的任何系统特征的步骤。
本发明的另一方面涉及一种用于资产追踪系统和数字身份系统的桥系统,所述桥系统包括:输入,所述输入被配置为接收资产转移通知;第一输出,所述第一输出被配置为连接到数字身份系统;第二输出,所述第二输出被配置为连接到资产追踪系统;以及电子存储,所述电子存储被配置为存储资产标识符和相关的代理标识符之间的关联;其中,桥系统被配置为,响应于资产转移通知,将资产标识符提供给资产追踪系统,并将相关的代理标识符提供给数字身份系统。
在实施例中,资产追踪系统可包括资产标识符生成器,所述资产标识符生成器被配置为响应于资产标识符请求而生成资产标识符。
本发明的其他方面涉及自动售票。
在历史上,活动的票证会由人亲自发出,例如在活动之前或在活动本身的时间″在门上″(on the door)在活动的场所发出。然而,如今,票证管理越趋移至数字领域,由此通过互联网请求和发出。就便利性而言,这对用户是有利的,但是它仍然具有其自身一系列的问题。
在可自由地获得票证而没有管制的情况下,兜售很快就随之而来。票证兜售(又称为″炒卖″)是实体(兜售者)获取潜在地大量的票证的行为,例如是他们无意亲自使用的活动票证,即在他们不打算亲自参加活动,特别是为了以更高的价格出售票证的目的。特别是受欢迎、过份订购的活动总是在某种程度上无法杜绝兜售,历史上票证购买的人际性质(inter-personal nature)在一定程度上约束了兜售。
然而,随着票证管理越趋移至基于互联网的系统,兜售的问题正在恶化。这不仅移除了获取票证的人际方面,随着票证管理走向数字化而出现的特定问题是越来越多″机器人程序″(bot)。机器人程序是部署在诸如互联网的计算机网络上软件实现的人工智能,在此情况下作为兜售者,即被编程为具有可在互联网上获得票证,便大量地获取潜在地大数量的票证的功能,通常在非常短的时间内获取,以剥夺合法(即,非兜售)的用户。
还存在关于票证分配和识别的问题。有时票证卖方或代理将要求票证购买者必须亲自出现在场地,以某种形式的识别(例如付款卡)证明出现的人就是票证原本的购买者,或通过代理自己的系统再购买票证的合法再购买者。然而,在实践中这涉及的时间和精力,以及它所导致的延迟意味着这在实践中是不被实施的。换句话说,将身份连接至票证的现有机制在实践中是不可行的。特别是,尽管这不仅对物理票证来说是真实的。
本发明解决的一个问题是构造自动售票系统的问题,系统抵抗兜售,但不会对合法(即,非兜售)的用户进行过度的管制,并需要最小的人工监督。
本发明的第五方面涉及自动售票计算机系统,其实现稳建的、自动的反兜售机制。机制基于历史票证使用,检测实体(例如人类或可能的人工智能实体)在系统中的兜售行为,并可以在必要时自动禁止检测到的兜售实体将来获取票证,而不需要人工干预来实现。禁止机制以检测到的兜售者为目标,从而不会不必要地管制系统内票证的合法移动。通过将数字身份连接到票证,使得系统内每个票证都具有清楚地分配的所有者,从而使兜售检测变得可行。
根据本发明的第五方面,一种计算机系统包括:
数据存储,所述数据存储保存:多个档案,每个都是相应实体的档案,并与过去票证使用数据相关联地存储,所述过去票证使用数据基于过去票证使用的历史来指示所述相应实体将亲自使用发出给他们的票证的概率;
计算机接口,所述计算机接口被配置为通过计算机网络从请求装置接收票证请求,所述票证请求识别请求实体的档案;
一个或多个处理器,所述处理器被配置为执行用于管理票证的代码,所述代码被配置为在执行时实现:
票证控制器,所述票证控制器被配置为:响应于票证请求,基于与请求实体的档案相关联的过去票证使用数据来确定是否应该向请求实体发出票证,并且如果确定向请求实体发出票证,则通过所述网络以电子形式向请求实体发出票证,
接收模块,所述接收模块被配置为通过所述网络从校验装置接收票证使用通知,所述票证使用通知指示:请求实体的身份数据以及向校验装置呈现所发出的票证的呈现实体的身份数据,以及
档案管理器,所述档案管理器被配置为:基于票证使用通知来更新与请求实体的档案相关联的过去票证使用数据,由此,已更新的过去票证使用数据传达请求实体是否亲自呈现票证。
票证的发出和使用都绑定到请求实体的档案。请求实体可以例如是票证的购买者,透过网络(例如互联网)购买它。在这情况下,″票证使用″意味着将票证呈现给校验装置,例如是提供给活动组织者,以获得进入有售票的活动的许可。
通过以这种方式将票证的发出和使用绑定到请求实体的档案,可以在请求实体获取活动票证时进行检测,但不使用任何这些票证本身。这是对兜售行为的指示,并且如果档案被用于购买许多活动的票证,但从不(或几乎没有)用于获得进入这些活动的许可,可以以高水平的统计确定性来总结该档案是兜售实体的档案。相反,可以检测相同的实体获取票证(或一组多张票),还使用该票证(或该组票证中的一个)来获得进入该活动的许可。这是对合法(即,非兜售)行为的指示,并且如果档案被用于购买多个活动的票证和获得进入多个活动的许可,可以总结该档案是合法实体(即,非兜售)的档案。
将票证绑定到档案还使机器人程序从一开始更难以获得票证,特别是如果档案被绑定到诸如护照的官方身份文件。
在某些实施例中,可以向合法实体的票证的数量完全没有设置限制,(在一些情况下)合法实体之间的票证转移也没有限置任何限制,使得只有已识别的兜售实体的活动受到限制。在其他实施例中,仍然可以向合法用户设置一些管制,例如合法用户可购买的票证数量,以确保所有合法用户间票证的公平分布,尽管这些管制比设置在已识别的兜售实体的较不严格。
实体的档案中的过去票证使用数据的形式可以例如是值对(Nu,Na)或比率Nu/Na或NA和Nu的度量函数m(Na,Nu)。在此,Na表示该档案被用于获取票证的次数(例如,通过从票证发出器直接获取它们,或例如通过转售从另一实体间接获取它们),并且Nu表示该档案被用于获取票证并获得进入相应活动的许可的次数,即实体实际上出现在他们购买了票证的活动上的次数。对于合法用户,Nu将等于或接近Na,即接近1的比率;对于兜售实体,例如人类兜售者或兜售机器人程序,Nu将等于或接近零,即接近0的比率。在一些情况下,比率可以在最初被偏置以给予实体疑点利益,例如,Na和Nu可被初始化为例如Na=Nu=50,以减轻实体第一行动对比率的影响。另选地,Na可表示实施购买了票证但没有出现的次数,因此对于合法用户,Nu等于或接近零,并且对于兜售者,Nu等于或接近Na。另选地,过去票证使用数据可以例如间接地传达概率,例如,它可以对于该档案用于购买票证的每个活动,包括相应的标志,其指示该档案是否还用于获得进入该活动的许可。
当档案管理器检测到呈现实体的身份数据确实与请求实体的身份数据相匹配时(指示呈现实体和请求实体是同一人,即请求实体是出现在活动上的人),可更新过去票证使用数据,使得所指示的概率上升。相反,在档案管理器检测到呈现实体的身份数据与请求实体的身份数据不匹配(指示请求实体没有出现在活动上)的情况下,可更新过去票证使用数据,使得所指示的概率下降。
关键方面是以非侵入性和可行的方式在校验票证同时校验身份。呈现票证的人的身份由系统校验,并校验票证本身,并相对于原来的票证购买者的身份对呈现票证的人的身份进行检查。这与例如扫描传统电子或纸张票证上的条码相反,因为这仅校验票证本身,而不是呈现它的人。
注意,在实体获取单个活动的一组多张票的情况下,实体会亲自使用向他们发出的票证的概率意味着用户使用所述组中的票证之一的概率(将剩余的给予例如朋友或家人)。
在实施例中,已更新的过去票证使用数据可指示请求实体和呈现实体的身份数据,并且处理器可被配置为使用已更新的过去票证使用数据来比较呈现实体的身份数据与请求实体的身份数据以检测它们是否匹配。票证控制器可被配置为基于所述比较来确定是否拒绝来自所述请求实体的未来票证请求。例如,可以响应于接收到未来票证请求来执行所述比较。
请求实体的身份数据和呈现实体的身份数据可被存储在计算机系统中,并且与票证的票证标识符相关联,并且,票证使用通知可包括票证标识符,从而指示请求实体的身份数据和呈现实体的身份数据。
例如,请求实体的身份数据可形成请求实体的档案的一部分。例如,票证请求可包括绑定到请求实体的档案的证书,并且处理器可被配置为实现用于校验证书的校验服务,并且仅在证书有效时才可发出票证。
请求实体的身份数据和呈现实体的身份数据可分别包括发出给请求实体的付款帐户号码的至少一部分散列和发出给呈现实体的付款帐户号码的至少一部分散列。
另选地或附加地,请求实体的身份数据和呈现实体的身份数据可各自包括对该实体唯一的字符串。例如,呈现实体的唯一字符串可以是在票证使用通知中从校验装置接收的,已由呈现实体用票证呈现给校验装置。
计算机系统可被配置为将识别票证的真实所有者的档案与票证标识符相关联。可响应于票证被呈现给校验装置,将所述真实所有者的标识符发送到校验装置,并且由校验装置输出,并且过去票证使用数据的更新可以以校验装置的用户通过校验装置指示呈现实体是真实所有者为条件。例如,可响应于接收到识别票证和真实所有者的所有权变化通知,将真实所有者的档案与票证标识符相关联。另选地,真实所有者的档案可以是请求实体的档案。
计算机系统可包括资产追踪系统,并且至少一个实体的身份数据可形成资产追踪系统中的票证的档案的一部分,票证使用通知识别票证的档案。
计算机系统可包括资产追踪系统,并且资产追踪系统中的票证的档案可包括至少一个实体的身份数据的链接,票证使用通知识别所述票证的档案以及用于检索所述至少一个实体的身份数据的链接。
处理器可被配置为实现关联模块,所述关联模块被配置为响应于票证请求,在数据存储中创建请求实体的档案与所发出的票证的票证标识符之间的关联。票证使用通知可包括票证标识符,从而指示请求实体的身份数据。档案管理器可被配置为使用在票证使用通知中接收的票证标识符来基于关联模块所创建的关联来检索请求实体的身份数据以用于所述比较。
票证使用通知可通过识别呈现实体的档案来指示呈现实体的身份数据,所述档案包括该身份数据。
另选地或附加地,票证使用通知可包括呈现实体的身份数据,并由此指示它。
票证使用通知可包括请求实体的身份数据,并由此指示它。
本发明的第六方面涉及一种由计算机系统实现的方法,所述计算机系统包括数据存储,所述数据存储保存多个档案,每个都是相应实体的档案,并与过去票证使用数据相关联地存储,所述过去票证使用数据基于过去票证使用的历史来指示所述相应实体将亲自使用发出给他们的票证的概率,所述方法包括:
通过计算机网络从请求装置接收票证请求,所述票证请求识别请求实体的档案;
响应于票证请求,基于与请求实体的档案相关联的过去票证使用数据来确定是否应该向请求实体发出票证,并且如果确定向请求实体发出票证,则通过所述网络以电子形式向请求实体发出票证;
通过所述网络从校验装置接收票证使用通知,所述票证使用通知指示:请求实体的身份数据以及向校验装置呈现所发出的票证的呈现实体的身份数据;以及
基于票证使用通知来更新与请求实体的档案相关联的过去票证使用数据,由此,已更新的过去票证使用数据传达请求实体是否亲自呈现票证。
本发明的第七方面涉及一种用于检测票证兜售的计算机系统,包括:
票证发出器,所述票证发出器被配置为选择性地向票证请求实体发出票证;
电子存储,所述电子存储为多个所发出的票证中的每一个将该票证的初始档案与该票证的票证标识符相关联地保存;
计算机接口,所述计算机接口被配置为接收票证转移通知,每个票证转移通知识别所发出的票证中的相应一个和参与相应票证的转移的相应实体;
档案管理器,所述档案管理器被配置为,每次接收到票证转移通知时,在电子存储中创建相应票证的新票证档案,所述新票证档案包括相应的参与实体的标识符;
关联模块,所述关联模块被配置为,每次创建新票证档案时,将新票证档案与相同票证的下一个最近的档案相关联,从而在电子存储中创建多个时间序列,每个表示其中一个票证的转移链;以及
分析器,所述分析器被配置为分析时间序列以检测在至少一些时间序列中识别的实体何时满足兜售条件,其中,票证发出器被配置为基于所述检测来确定是否拒绝从该实体接收到的票证请求。
本发明的第八方面涉及一种检测票证兜售的方法,包括:
在电子存储中为多个所发出的票证中的每一个创建该票证的初始档案,所述初始档案与该票证的票证标识符相关联;
接收票证转移通知,每个票证转移通知识别所发出的票证中的相应一个和参与相应票证的转移的相应实体;
每次接收到票证转移通知时,在电子存储中创建相应票证的新票证档案,所述新票证档案包括相应的参与实体的标识符;
每次创建新票证档案时,将新票证档案与相同票证的下一个最近的档案相关联,从而在电子存储中创建多个时间序列,每个表示其中一个票证的转移链;以及
分析时间序列以检测在至少一些时间序列中识别的实体何时满足兜售条件,并基于所述检测来确定是否拒绝从该实体接收到的票证请求。
在本发明的第九方面中,计算机系统包括:
数据存储,所述数据存储保存多个档案,每个都是相应实体的档案,并包括过去票证使用数据,所述过去票证使用数据基于过去票证使用的历史来指示所述相应实体将亲自使用发出给他们的票证的概率;
计算机接口,所述计算机接口被配置为通过计算机网络从请求装置接收票证请求,所述票证请求识别请求实体的档案;
一个或多个处理器,所述处理器被配置为执行用于管理票证的代码,所述代码被配置为在执行时实现:
票证控制器,所述票证控制器被配置为:响应于票证请求,基于请求实体的档案的过去票证使用数据来确定是否应该向请求实体发出票证,并且如果确定向请求实体发出票证,则通过所述网络以电子形式向请求实体发出票证,
接收模块,所述接收模块被配置为通过所述网络从校验装置接收票证使用通知,所述票证使用通知指示:请求实体的身份数据以及向校验装置呈现所发出的票证的呈现实体的身份数据,以及
档案管理器,所述档案管理器被配置为:比较呈现实体的身份数据与请求实体的身份数据以检测它们是否匹配,并且基于所述检测更诀请求实体的档案中的过去票证使用数据。
本发明的第十方面涉及一种计算机程序产品,其包括存储在计算机可读存储介质上并被配置为在执行时实现本文公开的任何方法或系统功能的代码。
附图说明
为了更好地理解本发明,并显示如何将其实现,仅以示例的方式参考以下附图,其中:
图1示出了用于追踪资产的计算机系统的框图;
图2示出了资产追踪系统的功能模块交互以创建资产的初始档案组;
图3示出了资产追踪系统的功能模块交互以响应于所有权的变化来创建资产的新档案;
图4示出了票证的档案的时间序列的用例;
图4A示出了资产追踪系统和数字身份系统响应于相同的资产转移;
图4B示出了资产的档案和数字身份系统中的档案之间的关系;
图5A示出了票证购买事务;
图5B示出了票证由原先购买它的人所使用;
图5C示出了票证被转移给另一用户;
图5D示出了票证由不是原先购买它的人所使用;
图6示出了另选和优选的机制,合法的票证所有者可以通过所述机制使用他们的票证。
其余附图稍后在″uPass系统″的标题下描述。
具体实施方式
现在将以示例的方式描述优选实施例。
图1示出了用于追踪资产的计算机系统1。在以下示例中,资产是票证。在传统的资产追踪系统中,票证通常不被当作资产处理。至今,它们尚未被视为要追踪的资产。本发明的一个重要益处是提供对多种类型的实体通用的系统,所述实体可随时间改变其状态。
计算机系统1包括至少一个执行资产追踪代码4的处理器2、可访问电子存储6的处理器2,以及至少一个网络接口8,所述处理器2通过所述网络接口8连接到网络10,例如互联网。例如,计算机系统1可以由一个或多个互连的服务器装置的组所形成,其各自被配置为运行代码4的至少一个相应部分。
还示出连接到网络10的是第一用户12i的第一用户装置14i和第二用户12ii的第二用户装置14ii,即分别可由第一用户12i和第二用户12ii访问,以及分别由第一用户12i和第二用户12ii操作,所述第一用户12i和第二用户12ii分别称为鲍勃12i和艾丽斯12ii。用户装置14i和14ii是计算机装置,例如智能装置(例如智能电话、平板电脑等)、膝上型计算机或台式计算机、可穿载式计算机等。用户装置14i和14ii各自可以通过网络10与计算机系统1通信。
图2、3和4在它们之间示出以下功能模块,每个表示通过执行处理器2上的资产追踪代码4的相应部分而实现的功能:档案管理器22、关联模块23、标签生成模块(标签器)24、票证生成模块28,以及分析器29。如下文进一步详细说明,档案管理器22、关联模块23和标签器24相互交互以创建和管理电子存储6中的资产的档案组P。所述组P的档案是相同资产的所有档案,并表示资产在其生命周期的各个阶段的所有权。功能模块22至26和档案组P构成由计算机系统1实现的资产追踪系统20。
作为示例,在下文考虑活动(例如音乐会、演奏会、音乐节或其他节日)票证形式的资产。
图2示出了初始资产购买事务的步骤,其中票证最初由第一用户12i从票证的卖方(例如活动组织者)购买。所述事务由代理操作的代理计算机系统19控制。卖方可以例如是公司或个人;代理也是一样。
第一用户12i具有由银行或其他卡发出者发给他们的付款卡号,有时称为付款帐户号码(PAN)。第一用户的付款卡号表示为PANi。付款卡号PANi是唯一的,并且可以由用户用来实现将资金转移到付款卡所针对而发出的货币帐户,例如借记账户或信用帐户,或从所述帐户转走资金。
第一用户的卡号PANi与其面部一起形成系统内第一用户12i的身份的基础。如下所述,可以通过用摄像机等捕获的图像来合并用户的面部。
例如,申请人共同待审的美国专利申请14/622527、14/622709、14/622549、14/622737、14/622740以参考方式并入本文,其描述了一种数字身份系统,其中用户可以例如基于诸如护照的身份文件和其面部的自我捕获图像(″自拍照″)来创建其数字身份的档案(在此称为″uPass″)。在下文中将描述各种用户档案,其在实施例中可以是uPass档案。14/622527、14/622709、14/622549、14/622737、14/622740的uPass系统在下文在″uPass系统″的标题下描述。
在步骤S2,第一用户12i使用其装置14i通过网络10向代理系统19发起电子票证请求消息。所述请求30向代理系统19指示以下内容:他们试图获得至少一个票证的活动的活动标识符eID、第一用户12i的认证码ACi,以及第一用户的面部的视觉图像Si(″自拍照″),例如用他们的装置14i的摄像机所捕获的。例如,请求30可包括这些元素中的一个或多个,和/或它可以包括这些元素中的一个或多个的链接,即识别保存这些元素中的一个或多个并且可由代理系统19从中检索它们的存储位置的数据。例如,链接可以是URI。
作为特定示例,请求30可包括第一用户12i的档案的链接(例如uPass档案的已发布版本的链接),所述档案构成第一用户12i的数字身份,并且该档案可包括先前由第一用户12i捕获(例如他们创建或更新档案时)的自拍照Si。例如,档案可以是谷歌(Google)、脸书(Facebook)或其他这样的档案。这为第一用户12i消除了发送票证请求时需要捕获自拍照的不便。在一些情况下,请求30可包括绑定到档案的证书,例如一次性密码本(one-timepad),并且仅当证书有效时,才可从档案检索相关信息。
第一用户12i的认证码ACi是密钥散列消息认证码(HMAC)。HMAC是基于密码散列函数和密码密钥来计算的,并且当正确地应用时,可用于完整性保护数据,即允许检查数据是否被变更,并且认证数据,例如证明数据的始发者是否他、她或它所自称的身份,所述始发者在本例中是第一用户12i。HMAC在RFC 2140″HMAC:用于消息认证的密钥散列″被定义为:
HMAC(K,d)=H([K XOR opad]||H([K XOR ipad]||d)) (1)
其中K是密码密钥;d是应用HMAC的数据;H是密码散列函数;XOR表示逐位互斥或(exclusive-OR)的逻辑运算;并且S1||S2表示字符串S1和S2的串接。在方程(1)中,opad和ipad分别是外填充位和内填充位,在RFC 2014中分别被定义为字节0x5c和0x36的B次重复,其中H被配置为在长度B字节的数据块上操作,例如B=64(尽管一般地可使用其他更多填充位的零的组)。
第一用户12i的认证码ACi被生成为ACi=HMAC(K1,PANi),即以密钥K1将HMAC函数应用于用户的银行号PANi(或至少到由其导出的值)。此操作是不可逆的,因为实际上不可能仅从认证码确定用户的卡号PANi。密钥K1可以由用户12i提供,或者由系统代表他们生成并提供给他们。无论哪种方式,它是在用户12i和资产追踪系统20之间共享的密钥。可以在每次需要时唯一地生成不同的密钥K1。
为了提供额外的安全性,可以添加种子,例如使得ACi=HMAC(K1,PANi||seed)。
第一用户12i的认证码ACi构成第一用户的标识符,他们在自拍照Si中捕获的面部图像数据也是一样。
第一用户12i的认证码ACi被用于系统内以识别第一用户12i。虽然认证码ACi是从第一用户的银行号PANi所导出的,但是后者不能从前者导出,所以这不具有任何安全风险。此外,由于每个付款卡号都是唯一的,所以为其他用户以相同方式生为认证码时,也保证了它们都是唯一的。
值得注意的是,在此程度上,第一用户的卡号PANi不用于访问其所针对而发出的货币帐户,而是在此程度上,它的唯一性仅被用于生成绑定到第一用户12i的唯一标识符。即使第一用户12i试图获取的票证是免费的,也可以用这种方式使用卡号PANi。
相反,认证码ACi不可用于访问卡号PANi所针对而发出的第一用户的货币帐户。因此,在票证需要付款的情况下,请求30中也必须包括付款卡细节30b,其形式适合于任何正被使用于以常规方式将适当的资金转移给代理的购买机制。
认证码ACi不一定要在第一用户装置12i生成,但从安全观点来看,这是优选的。
在步骤S4,响应于请求30,代理系统19向资产追踪系统20发起票证查询,以查询是否可以容纳第一用户的请求30。例如,在第一用户12i请求多个票证(一个或多个)的情况下,代理系统19可查询可获得的票证的数量。步骤S4可能以代理系统19所评估的一个或多个准则为条件;例如,如果请求超过最大批准数量的票证,代理系统19可以拒绝请求。响应于查询,资产追踪系统20向票证生成模块28发起票证标识符(ID)请求(S6)。所述票证ID请求识别活动,例如通过包括活动标识符eID来识别,并且适当地请求一个或多个活动票证。
假如可以容纳请求,例如活动尚未达到容量上限时便可以是该情况,票证生成模块以每个所请求的票的唯一票证标识符tID响应来自资产追踪系统20的票证ID请求(S8)。为每个票证标识符在追踪系统20中创建相应的档案序列。在下面的例子中,假设只请求一个票证;在请求多个票证的情况下,为每个所请求的票证执行相关的步骤是显而易见的。
票证ID可以例如生成为销售商标识符和随机序列的组合(例如串接或卷积),例如固定域中的随机数。票证号是唯一的,并且可能很大,例如它可以是GUID、CSPRNG等。它可以是素数(或者随机序列可以是素数)。另选地,它可以是完全随机化的。
注意,在票证标识符用作装置ID(见下文)的情况下,单独使用随机部分,而非销售商ID部分。
票证标识符被提供给档案管理器22,并响应于档案管理器22在电子存储中发起档案组P的创建。
当首次创建时,所述组P由资产的三个初始档案组成:初始销售档案p(0,0)、初始代理档案p(1,0)、初始购买档案p(2,0)。每个初始档案都在存储6中与票证标识符tID相关联。
初始销售档案p(0,0)记录卖方的资产的初始销售。它包括卖方(例如活动组织者)的标识符和元数据,例如卖方的位置、转移的时间,由卖方使用来进行销售的装置的装置元数据(例如装置ID)。例如,档案p(0,0)可包括卖方自身的档案的链接,所述档案包括卖方的细节,例如公司细节或个人卖方的细节,视乎何者适用。
代理档案p(1,0)记录初始销售由第三方(代理)代理的事实。它包括代理的标识符和元数据,例如代理的位置、转移的时间、代理销售的代理系统19的装置的装置元数据(例如装置ID)。例如,档案p(1,0)可包括代理的档案的链接,类似于卖方的档案的链接。
初始购买档案p(2,0)包括第一用户12i的标识符IDi,从而将第一用户12i识别为票证的第一购买者。档案p(2,0)还包括元数据,例如购买者的位置、转移的时间、购买者的装置14i的元数据(例如装置ID)。
第一用户12i的标识符IDi包括以下各项中的至少一项:
●第一用户12i的认证码ACi;
●第一用户的自拍照Si,或自拍照Si的链接;
●存储在别处的第一用户12i的身份数据的链接,例如第一用户12i的档案的链接(例如第一用户12i的uPass的档案的已发布版本的链接,其作为购买票证的uPass事务的一部分发布)。
优选地,它包括第一用户12i的认证码ACi,以及自拍照Si或自拍照Si的链接。
标签器24还为档案p(0,0)、p(1,0)、p(2,0)中的每一个生成相应的标签L(0,0)、L(1,0)、L(2,0)。标签L(0,0)、L(1,0)、L(2,0)也是HMAC,并且可以例如通过将方程(1)的HMAC函数分别应用于档案p(0,0)、p(1,0)和p(2,0)的数据来生成。一旦生成,每个标签L(0,0)、L(1,0)、L(2,0)被连接到(即,在存储6中相关联)相应的档案p(0,0)、p(1,0)、p(2,0)。
在步骤S11,将应答消息32从资产追踪系统20送回代理系统19。应答消息32包括票证标识符tID和第一用户12i的认证码ACi,从而指示票证标识符tID所识别的票证已发出给该用户。
在步骤S12,将票证31以电子形式通过网络10发送到他们的装置14i。票证31可包括票证标识符tID。另选地,第一用户可不被授予对票证标识符tID的直接访问,在这种情况下,单独的标识符可用作票证标识符tID的代理,而不是代理ID。例如,第一用户的认证码ACi可用作票证标识符的代理。
在使用代理ID的情况下,将代理ID(例如ACi)和票证标识符tID之间的映射(mapping)19a存储在代理系统19。在这种情况下,对售票系统20的所有访问都可以由代理控制。
图3示出了记录将票证从第一用户12i转移到第二用户12ii的步骤。
在步骤S22,票证转移通知34由档案管理器22接收。票证转移通知34包括或指示:票证标识符tID,以及第二用户12ii的标识符的IDii。
第二用户的标识符IDii包括以下各项的至少一项:
●第二用户12ii的认证码ACii,其以与第一用户12i的认证码Aci相同的方式从第二用户12ii的卡号PANii生成,但使用其自身的密钥K1′;
●第二用户12ii的自拍照Sii,或自拍照Sii的链接;
●身份数据的链接,例如第二用户12ii的档案。
优选地,它包括认证码ACii和自拍照Sii或自拍照Sii的链接。
票证转移通知34还包括卖方(在此情况下是鲍勃12i)的标识符,以及销售的代理(其可以是相同的代理或不同的代理,例如鲍勃自己,或甚至是艾丽斯)。
票证转移通知34可以例如由第一用户12i从其装置14i发起,或由第二用户12ii在第一用户12i的批准下从其装置14ii发起,例如作为uPass事务的一部分发起。在任一种情况下,转移可以由代理系统19控制,如图3所示。当使用时,存储在代理系统19的映射19a可被更新以改变代理ID,例如改变为第二用户12ii的认证码ACii。另选地,如图3所示,映射19a可以不被更新,并且第一认证码ACi可继续用作代理ID。这提供了将票证的初始购买从原始卖方链接回到第一用户12i的附加方法。
响应于通知34,档案管理器22创建票证的三个新档案p(0,1)、p(1,1)、p(2,1)。档案p(0,1)是新卖方档案,并包括卖方IDi(在此例中为鲍勃)的标识符。档案p(1,1)是新代理档案,并包括代理的标识符。新档案p(2,1)是新卖方档案,并包括第二用户12ii的标识符IDii,从而将第二用户12ii识别为票证的新所有者。
关联模块23将票证的新档案p(t,1)(t=0,1,2,代表三个类型的档案)中的每一个与相应的票证的初始购买档案p(1,0)相关联,使得档案(p(t,0)、p(t,1))的三个(在数学意义上)有序的序列被创建,以p(t,1)为此刻在相关序列中最近的购买者档案。
每个档案p(t,1)包括与相应的初始档案p(t,0)相同类型的元数据,例如它涉及的转移的位置/时间、在转移中使用的装置的装置元数据等。
为此,关联模块23在存储6中生成关联数据。例如,可以将档案p(t,1)的标签L(t,1)或其他标识符映射到档案p(t,0)的标签L(t,0)或其他标识符,即在存储6中将其相关联。应当理解,这仅仅是示例,可使用任何合适的数据结构来关联档案p(t,1)、p(t,0),使得它们构成有序的序列。
标签器为每个新档案p(t,1)生成标签L(t,1),其连接到该新档案p(t,1)。
更一般地,每次这样的票证转移通知,识别票证和其新所有者,创建三个新档案p(t,n)。将新档案p(t,n)与相同类型的下一个最近的档案p(t,n-1)相关联,即将新卖方(t=2)档案与下一个最近的卖方档案相关联等。
为新档案p(t,n)创建标签L(t,n)。优选地,标签L(t,n)是新档案p(t,n)和与其相关联的档案p(t,n-1)两者的数据的HMAC。例如:
L(t,n):=HMAC(K2,p(t,n)||L(t,n-1)) (2)
由此档案p(t,n-1)的标签L(t,n-1)用于在散列之前对档案p(t,n)的内容进行种子(seed)。方程适用于所有n≥1。一旦生成,则将标签L(t,n)连接到档案p(t,n)。
标签L(t,0)是L(t,0):=HMAC(K2,p(t,0))。
为了提供额外的安全性,可以为每个新档案p(1,n)使用不同的密钥K2(1,n)。
序列S构成特定于一个特定票证的微数据库。以这种方式为每个所发出的票证(以及更一般地,每个由系统20追踪的资产)保持单独的微数据库。
由代码4实现的访问模块(未示出)提供对序列S的访问。至少在使用代理ID的情况下,所述访问由代理系统19控制。
特别地,访问模块可以按请求向要求该信息的实体识别票证的当前所有者。当前所有者是在序列S中的最近档案中所识别的那一个。
在用户装置上执行的软件可以被配置为在装置的显示器上将票证标识符(或代理标识符)呈现为条形码,例如矩阵条形码,例如QR码。用户装置的用户可以于活动本身呈现条形码以获得进入活动的许可,例如向门口员工的成员呈现。票证标识符从由门口员工操作的装置发送到访问模块。访问模块将当前所有者的标识符(优选地是来自序列S中最近档案的自拍照)送回该装置,从而门口员工能够检查呈现票证的用户是否确实是票证当前的合法所有者。所有者确实出现的事实可被记录在序列的最近档案的出席数据中,从而之后序列中最后的档案不仅识别票证最后的所有者,还记录了他们亲自出现在活动上的事实。例如,这可响应于活动所有者将电子消息从其装置发送到系统20(例如通过代理系统19)以指示出现的人确实与被送回的自拍照相匹配,并因此已经获准进入。
每个序列中最后的档案在下面和图4中表示为p(t,N),最终序列为(p(t,0),...,p(t,N))。
如所指示的,在一些实施例中,每个序列中的至少一些档案p(t,n)可包括转移时间,指示资产作为档案元数据(见上文)的一部分转移的时间。例如,创建档案p(t,n)或之前/之后的档案p(t,n-1)/p(t,n+1)的时间,或从相关转移通知34提取的转移时间。
图4示出了资产追踪系统20的分析器29如何基于票证档案P的一个或多个时间序列执行分析。为了分析的目的,分析器29具有对票证31的档案的至少一个时间序列的访问,尽管优选地它具有对不同票证的多个时间档案序列的访问,并且最优选地它具有对多个票证全部三个档案序列(卖方、代理、购买者)的访问。分析器29被配置为分析它能够访问的序列。
上述各种散列机制为每个所有权链提供了完整性保护水平,为其提供高水平的置信度,从而显著地加强它们形成基础的任何分析。
以这种方式在每个票证整个生命周期中追踪其完整的所有权历史还允许在系统内检测不期望的活动。例如,检测票证兜售。票证兜售是获取潜在大量的票证,而兜售者无意亲自使用票证的行为,但通常以更高的价格出售。越来越多地,兜售者可以根本不是用户,而可以是″机器人程序″。机器人程序是部署在诸如互联网的计算机网络上的软件实现的人工智能,在此情况下作为兜售者,即被编程为具有可在互联网上获得票证时,便大量地获取潜在地大数量的票证的功能,通常在非常短的时间内获取,以剥夺合法(即,非兜售)的用户。
为此,可以由分析器29执行对多个档案链的分析,以检测出现在多个所分析的链而满足兜售条件的所有者的标识符,指示所识别的所有者可能是兜售者。
在这方面,发明人已经进行了以下的观察:
1.兜售者顶多使用少量他们所购买的票证,并且更有可能转移它们;
2.兜售者很少亲自使用票证
3.合法(非兜售)用户也可转移票证,例如送给朋友或卖给朋友,但他们通常只会对与他们密切相关的一小群人这样做,而兜售者通常会卖给与他们没有个人联系的大得多的一群人;
4.兜售者可偏好使用匿名代理
5.平均而言,兜售者比合法用户购买更大数量的票证
兜售检测算法可被配置为考虑以下的一个或多个。例如:
1.可以通过寻找在多个卖方/购买者序列中出现但经常转移票证的实体来考虑
2.可以通过查看实际出席数据(见下文)来考虑
3.可以通过包括网络分析来考虑,即基于其票证散布的用户网络的大小来识别兜售者
4.可以通过查看代理链来考虑
5.可以通过计数同一实体在不同档案序列上出现多少次来考虑
保持三个完整档案链(卖方、代理、购买者)的特定优点是它提供充分深入的信息来让适合地配置的兜售分析算法可靠地识别兜售行为,例如它指示谁正在向谁销售,以及以什么方式销售(后者由代理链指示)。
图4还示出了数字身份系统40。示出了数字身份系统40中的第一用户12i和第二用户12ii的档案42i、42ii,每个档案42i、42ii包括该用户的相应自拍照Si、Sii,或该用户的自拍照Si、Sii的链接。如所示的,票证的个别档案可通过数字身份系统40中的相关档案42i、42ii的链接来识别票证的所有者。档案42i、42ii可以特定于活动(或活动组,例如相关活动),使得每个活动(或活动组)每个用户有一个档案;根据多个活动,这些活动的档案可被组在一起成为活动档案组。另选地,用户可具有票证购买档案42i、42ii,其用于购买和记录其所有票证的所有权。另选地,用户甚至可以每个票证具有一个档案42i、42ii,尽管这是较不优选的。另选地,尽管这也是较不优选的,用户可以具有一个不特定于活动或票证的通用档案42i、42ii。
档案42i、42ii可以是uPass匿名档案,即,它们包含的用户身份数据只有自拍照Si、Sii(没有名字、地址、出生日期等)。
数字身份系统包括其自己的档案管理器43,用于管理用户档案42i、42ii。
当票证标识符首次生成时:
●在数字身份系统40内,档案管理器43将它与初始处理器的档案42i相关联;
●在资产追踪系统内,创建三个初始档案p(0,0)、p(0,1)、p(0,2)。
当票证的转移发生时:
●在数字身份系统内,档案管理器43通过将票证标识符与当前所有者的档案42i解除关联,并将它与新所有者档案42ii相关联,从而将票证标识符从当前所有者的档案42i″移动″至新所有者42ii。
●在资产追踪系统20内,三个新档案p(0,n+1)、p(1,n+1)和p(2,n+1)被生成并分别与p(0,n)、p(1,n)和p(2,n)相关联,以分别创建卖方、代理和购买者链。
如图4B所示,资产档案p(0,n)、p(1,n)、p(2,n)中的每一个都涉及相同的资产转移,并可包括在数字身份系统40中的卖方档案、代理档案和购买者档案的已发布版本41v、44v、42v的链接,见图4B。这些已发布版本可以是不可更改的,从而在资产转移发生时提供卖方、代理和购买者在数字身份系统40内所表达的身份的快照。
因此,随着多个资产转移发生,资产追踪系统内转移链变得更长,而资产在数字身份系统内的档案之间移动。
资产追踪系统20和数字身份系统40之间的交互是通过桥系统75的,其未在图4示出,但在图4A示出。图4A示出了图4的一些交互的另选视图。桥系统75可以是活动系统,由活动组织者或多个活动组织者操作,或代表活动组织者或多个活动组织者操作,其包括票证生成器19。资产追踪系统20可访问的电子存储表示为6a,而数字身份系统可访问的电子存储标记为6b。
注意:在数字身份系统40内,可以不直接使用票证标识符tID,而是使用代理ID(类似于用户12i、12ii所使用的代理ID,见上文)。在这种情况下,桥系统75在桥系统75的电子存储中存储数字身份系统40中使用的代理ID和资产追踪系统20中使用的票证标识符tID之间的关联″tID<->代理ID″。例如,这在票证标识符不是全局唯一时可能是特别合适的,因为可以将其映射到数字身份系统40中使用的全局唯一代理ID。这在代理ID被当作数字身份系统40中的装置标识符的情况下是特别合适的(见下文)。例如,桥系统75可以包括至少一个执行桥接代码的处理器以实现该功能。
应当理解,在数字身份系统40的环境下关于票证标识符tID的所有描述材料在使用代理标识符时同样应用于代理标识符。
另选地,相同的票证标识符tID可用于系统20、40中。
数字身份系统40中的用户档案42i、42ii可以基于由分析器29执行的分析来修改。例如,数字身份系统40中的档案可与本文称为反兜售度量的东西相关联,指示用户是兜售者的概率,其可基于分析器29的兜售检测分析的结果而被更新。
例如,可以在上述步骤S4和/或步骤S6使用该反兜售度量,并且相关方法步骤可以结果为条件。
例如,当第一用户12i在步骤S2请求票证时,代理系统19可具有由用户在请求30内提供的第一用户的档案42i的链接。代理系统19可通过API请求与用户的档案度量相关联的反兜售度量(图5A至5D中的″ATM″),响应于此,数字身份系统的度量生成器76基于过去票证使用数据″UD″(例如从资产追踪系统20中的档案序列P访问)来生成它。如果反兜售度量指示第一用户12i是兜售者的高概率,例如其高于阈值,代理系统19可拒绝所述请求。代理可以随他们(或票证卖方)选择自由地设定阈值。例如,代理可以决定为受欢迎的活动施加严格条件(即,低概率阈值),即使请求来自兜售者的概率低,也拒绝请求。对于不受欢迎的活动,代理可以对兜售更宽松或完全容忍兜售,这完全是他们的选择;本机制允许他们进行有根据的选择。
另选地,或附加地,票证生成器28可对第一用户的反兜售度量进行等效检查,所述反兜售度量与他们链接的档案42i相关联。在这种情况下,票证标识符的发出在由票证生成器28设置的等效准则上。票证生成器28可以由卖方而不是代理操作,使得卖方独立于代理自由地设置其自己的反兜售准则。
反兜售度量可以例如包括用户总共购买的票证数量Na(由相关序列的初始购买档案p(2,0)所指示)与实际上出现在活动的数量Nu(由相关序列的最终档案p(2,N)的出席数据所指示)的比率Nu/Na,或者更一般地包括适合的函数。另选地或附加地,如果实际出度率不太重要,所述度量可包括识别用户的初始购买档案p(2,0)的数量与在多个序列识别用户的最终档案p(2,N)的数量的比率。函数的比率开始时可以偏置为有利于用户,使得他们不会立刻被标签为兜售者。作为简单的示例,Nu和Na最初可以具有非零值,例如,它们可以被设置为50,使得随着时间,所述比率变为51/51(出现)或50/51(没有出现)等。更一般地,系统被配置为学习系统,其开始时假定实体不是兜售者,并随着时间从他们呈现的兜售行为学习。
另选地或附加地,所述度量可基于例如用户保留票证的时间的平均量或其他指示量,其基于所分析的序列的档案中的资产转移次数。
注意:在这情况下,用户12i的行动可以由机器人程序同样地执行,并且系统甚至可在受控的程度上批准这点。分析器29可被配置为检测是否这种情况,即,资产请求实体是人还是机器人程序。机器人程序还可在数字身份系统40内具有身份,例如档案。分析器可将信息插入到该档案中,所述信息将档案标志为实体是机器人程序,而不是人。
诸如第一用户12i、12ii等实体对资产追踪系统20的使用可以设立数字身份系统40的实体为条件。即,如果使用资产追踪系统20来记录转移,则必须使用数字身份系统40,使得数字身份系统40中档案的链接也需要这样做。
在资产追踪系统20内,票证31具有身份,因为它具有自己的档案。在一种意义上,资产追踪系统20可被认为是单独的数字身份系统,但用于资产。
在数字身份系统40中,票证可相反地被当作虚拟装置,而票证标识符tID或票证31的另一票证标识符在数字身份系统40内被当作装置标识符。
例如,数字身份系统40可以被实现为uPass系统(见共同待审申请,上文)。实际上,在一些情况下,资产追踪系统20和数字身份系统40可以被实现为分开和在大程度上独立的uPass系统或身份空间。在这种情况下,在资产追踪身份空间20内,uPass″实体″是资产。在uPass身份空间40内,uPass实体是人,例如用户12i、12ii、机器人程序等,而资产至少在一些程度上被当作装置。
对于uPass系统,档案的链接的形式为档案的已发布版本的链接。术语″档案的链接″包括uPass档案的已发布版本的链接,并且不必是其从中发布的基础主档案的直接链接。
有利的是,uPass系统40的结构能够容易地适用于提供稳健的反兜售机制,其需要很少或不需要人工观察,并且不会不必要地对非兜售用户的合法活动进行限制。
这与现有的反兜售方法不同,现在的反兜售方法在某程度上粗略,并往往对大部分人认为合理的合法用户的行动进行限制,例如代表真实的朋友和家人购买,以及将一定数量转售给真实的朋友和家人。此外,现有方法倾向涉及显著水平的人工观察。
例如,一个现有的方法涉及限制任何给定的信用卡或借记卡能够购买的票证数量和/或能够分派到任何给定地址(例如电邮或邮寄)的票证数量。这倾向由票证提供者执行,在发出票证后,如果后来发现发出这些票证违反了这些限制,则取消票证。这通常需要至少一定程度的人工观察以最终决定是否取消已发出的票证。此外,它可以不适当地限制:例如,有时用户可能有意为希望参加活动的一大群真实朋友购买票证,而在一些情况下活动所有者可能希望批准。另外,对于较不受欢迎的活动,这样的限制可能是不希望的:例如,活动可能被兜售者过度瞄准,即由兜售者购买实际上需求有限的票证,所以他们实际上不能卖出它们。这不仅可导致活动售罄,剥夺了真正想参加活动(但也(合理地)不愿意从兜售者购买票证)的人参加的机会,而且由于实质上浪费了兜售者未售出的票证,所以出席情况较差。从兜售者的角度看,这在他们较广泛的活动的情况下是可接受的损失,而对于活动组织者,该效果在短期对活动本身和在长期对他们的信誉都是有害的。
如果比预期少数量的出席者出现,还出现问题:由出席、停车、背景幕、食物、饮料、商品等产生的大量收益。此外,票证增长不会到达所有者或场地。
现有方法的另一例子是通过限制或甚至禁止实体之间转移已发出票证来阻止兜售。例如,这通过请求票证持有者呈现他们用于购买其票证的卡以获得进入售票活动的许可来实施。总之,这至少强制票证或一组票证的购买者亲自参加活动。然而,这再次依靠管理活动的人进行人工观察,并且在繁忙的活动中,这样的检查通常会被忽略。因此,警告需要购买的卡来允许进入实际上可等同于空同无效的威胁。此外,实体可以有合理的原因,偶尔希望转移他们购买的票证,例如他们带着出席的意图购买它,但因意料不到的情况而未能出席,或者,他们代表真实朋友购买它,而该位朋友因某种原因不能亲自购买它。因此,这些的兜售遏制不但无效,还对合法用户带来不必要的负担。此外,即使是ID是必须的情况下,也如所讨论的,在实践中很少执行。主要活动(例如世界杯)指他们要求带同照片ID、护照等到场地,但现实中,由于对处理速度的影响,它们都不被检查。相反,本发明的数字档案提供了更加可行的身份检查机制。
实施例提供了解决兜售检测问题的方案,其中通过在多个活动中在uPass系统40中将票证购买和票证使用绑定到实体的数字身份。在这样做时,可以追踪系统内实体的票证相关活动,特别是检测系统内频繁地购买票证但从不或很少亲自出现在活动上的那些实体。
uPass系统40的动作可被uPass事务实现,其中校验服务14b校验适当的uPass证书。
在一些实施例中,第一用户12i(下文称为″鲍勃″)购买票证31所通过的机制是uPass事务。现在将参考图5A描述这点。
图5A示出了鲍勃通过代理系统19从卖方购买票证。为此,鲍勃向代理系统19呈现(S3a)证书52i,所述证书绑定到他的uPass档案42i。例如,证书52i可以是票证请求30的一部分。
代理系统19接收证书52i。此时,代理不知道它是否愿意将票证卖给鲍勃,因为它没有看过鲍勃的档案。因此,代理系统19将鲍勃的证书52i连同其自己的证书54发送(S3b)到校验服务14b。代理的证书还可绑定到uPass系统40中代理44的uPass档案。假设证书52i、54是有效的,校验服务14b使第一单据64被发送到代理系统19(S3c)。第一单据64包含鲍勃的档案的已发布版本42i.vi的链接。在这种情况下,仅当uPass证书有效时才发出票证。
鲍勃的档案34B与过去票证使用数据UD相关联,指示他过去使用(而不是例如卖出)的程度。该过去票证使用数据来自资产追踪系统20中的票证档案序列,所述序列进而链接到他用于他参与过的事务的档案42i的已发布版本。
示出了度量生成器76的形式的比较模块(功能模块),其基于过去使用数据UD来生成反兜售度量ATM。这是代理系统19通过系统40的API请求时生成的,并且所请求的反兜售度量ATM通过API被提供给代理系统19。
度量生成器76可以在系统20、40中的任一个中实现,并且可以例如表示图4的分析器29的功能的一部分。
反兜售度量ATM的细节将在下文中描述。简单来说,在该示例中,反兜售度量UD指示了鲍勃不是兜售者的概率,即如果代理向鲍勃发出票证,鲍勃确实会亲自使用这些票证中的一个而不是出售它们的概率。在该示例中,鲍勃不是兜售者的概率为80%,这对于代理来说很高,足以接收鲍勃的请求,并向他发出所请求的票证。每个票证包括上述类型的票证标识符或代理标识符,在各个附图中标记为tID。
在以下示例中,直接向鲍勃发出票证标识符tID。显然,当使用代理标识符时,相同的步骤也适用,并且在这种情况下,所有资产追踪系统的交互都经由代理系统19,其将代理标识符转换为资产追踪系统20中所使用的票证标识符tID。
较不优选的另选方案是鲍勃的档案42i包含反兜售度量UD。
在uPass系统40中,然后以稍后将描述的方式将票证标识符与鲍勃的档案42i相关联(登记)。一旦创建了该关联,鲍勃(或更准确地,鲍勃的档案42i)有效地在uPass系统40内注册为票证的所有者。注意,这与用于记录资产追踪系统20内的所有权变化的机制是分开的机制。
在该示例中,代理系统19在步骤S4向资产追踪系统20的票证查询的发起以鲍勃的反兜售度量ATM为条件,所述ATM由代理系统19确定达到代理所设定的反兜售准则。
鲍勃还得到单据62i,并且鲍勃和卖方各自得到新的证书。
注意:图5A的结果也可以通过代理系统19向鲍勃呈现其证书54(例如,作为鲍勃使用其装置14i所扫描的QR码)以及鲍勃的装置向校验服务14b发送两个证书52i、54来实现。
图5b示出了鲍勃实际上亲自出现在售票活动上的情况。为了获得进入活动的许可,鲍勃将票证标识符tID呈现给由例如活动人员的成员(例如门口主管)操作的校验装置46(S26)。校验服务又将票证使用通知72发送到资产追踪系统20。所述通知72包括票证标识符tID。作为响应,门口主管被授予对资产追踪空间20中票证的档案P的序列中最近的档案(在该示例中为原始购买者档案p(2,0))的访问,并可以看到当前票证所有者是谁。在该示例中,当前票证所有者确实是鲍勃,所以门口主管应当允许他进入活动。
更新最近的档案p(2,0)中的出席数据AD,以指示档案p(2,0)识别的票证所有者已经参加了活动。在一些情况下,这可以门口主管从其装置46通知资产追踪系统20票证的真实当前所有者确实出现(S30)为条件。例如,自动反馈机制可在他们的装置46上向他们呈现简单的″是/否″可选选项,使得在提供反馈时所涉及的工作量是最小的。
将出席数据添加到档案p(2,N)的另选方案是向序列添加终止P(t,N+1)档案形式的出席数据,其被添加到t=0,1,2链中的每一个以指示票证已被使用。这些档案P(t,N+1)可将票证转移回原始所有者(即活动组织者)。两种类型的出席数据都是过去票证使用数据的示例。
uPass系统40的度量生成器76检测票证最初发给的原始票证购买者与所发出票证的呈现者是否相同的人,即向活动管理者(例如在活动会场的″在门上″的志愿者或活动人员的成员)呈现票证以试图获得进入其涉及的活动的许可的人类实体。呈现者和买方可以是同一人,或者,呈现者可以与票证合法地转移到的人是不同的人。
度量生成器76使用资产追踪系统20中的票证的档案P的序列来比较原始票证购买者12i(即Bob)与票证呈现者的相应身份数据(即实际上出现在售票活动的人,其可以是或不是鲍勃)。所述身份数据可以例如包括向相关实体发出的卡号或卡号的一部分的HMAC。例如,度量生成器76可检测由序列P中票证的档案p(2,0)指示的初始购买者的身份数据是否匹配由序列P的档案中的出席数据AD指示的实际上出现于活动的用户的相应身份数据。注意″相应的″指相同类型的身份数据组,即比较类似的。
另选地或附加地,身份数据可包括由鲍勃提供或分配给鲍勃唯一的字符串(例如数字串、字母数字字符串、位串等),其构成共享的秘密。所述唯一的字符串可无线地与校验服务76通信,例如通过NFC链接或作为所显示的条形(例如QR)码,并被从校验装置发送到系统20并存储,以便在需要时可被度量生成器76访问。
资产追踪空间中的票证的档案p可以指示实体的身份数据,因为它包括该身份数据,或因为它包括该实体的uPass档案的链接,其中(例如)可从所述uPass档案检索该身份数据。
在图5B的示例中,响应于鲍勃亲自出现,更新存储在资产追踪系统20中的票证相关的票证档案中的过去票证使用数据,此后,度量生成器生成对鲍勃更有利的度量ATM。
相反,图5C示出了示例性情况,其中鲍勃将他的票证销售或转移给第二用户12ii(下文中称为″艾丽斯″)。这也可以通过uPass事务来实现。
鲍勃向艾丽斯的装置14ii呈现证书52i′(S21),并且艾丽斯将鲍勃的证书52i′与她自己的证书52iia和票证标识符tID一同发送到uPass系统40。另选地,所述信令流可以是反转的,即艾丽斯向鲍勃的装置14i呈现她的证书52iia,鲍勃的装置14i将它与鲍勃的证书和票证标识符tID发送到uPass系统40。在uPass系统40内,票证标识符tID变得与艾丽斯的档案42ii登记以响应。这完全是合法的,系统允许票证的转移,而艾丽斯现在在uPass系统40内被记录为票证的合法所有者。艾丽斯和鲍勃各自获得链接到另一方的档案的单据和新的证书。
同样,这与资产追踪系统20的所有权追踪机制分开。
为了实现资产追踪系统20内的追踪,资产转移通知34从艾丽斯发送到鲍勃的装置(可能通过代理系统19)到资产追踪系统20,其中,新的档案p(2,1)添加到以所述方式将艾丽斯识别为新所有者的票证的档案p的序列中。
图5D示出了艾丽斯使用她现时合法拥有的票证来获得进入活动的许可。从艾丽斯和门口主管的角度看,过程通过艾丽斯将票证标识符呈现给门口管理员的装置52M(S28),以与图5B完全相同的方式进行。基于p(2,1)向门口主管识别艾丽斯。在最近的档案p(2,1)中包括出席数据以指示p(2,1)所识别的所有者(在这情况下为艾丽斯)实际上参加了活动。p(2,1)中的出席数据与鲍勃的档案42i相关联,因为相同档案序列中的p(2,0)(并因此与相同票证标识符相关联)链接到鲍勃的档案42i的已发布版本。
在此情况下,此后,这导致度量生成器76检测″幕后情况″:出现在活动的人(艾丽斯)不是购买票证的实体。因此,在将来,它将生成对鲍勃较不利的度量ATM,其以他更可能是兜售者为基础,因为他已将他的票证转移给艾丽斯,而艾丽斯已使用了票证。
每次发生这种情况时,相应地更新用于生成鲍勃的反兜售度量ATM的过去票证使用数据UD。如果鲍勃频繁地购买票证但从不使用它们,他的反兜售度量UD可能变得不利到某个地步,使卖方可能选择将来不卖给他,或者可能对他可以买到的票证进行管制。同样,这也是他们的选择,但是数字身份系统提供了手段,他们能通过该手段进行有根据的选择。
因此,过去票证使用数据UD基于过去票证使用的历史来指示买方将亲自使用发出给他们的票证的概率。
度量ATM可包括例如买方购买活动票证的次数与买方实际上出现于任何这种活动的次数的比率,作为示例在图中示为百分比。这仅仅是一个示例,而过去票证使用数据可以采取多种不同的形式,例如这些数值的其他函数。
通过将uPass档案42i、42ii的版本存储到可寻址存储位置来发布它。档案该版本的链接识别该位置。
代理的单据64包括买方(即鲍勃)的档案的已发布版本的链接。进而,鲍勃的档案的已发布版本包括反兜售度量UD的当前版本,代理系统19可以通过所述链接访问所述反兜售度量UD的当前版本。然后,代理系统19可以基于度量UD(例如基于阈值)来决定是否向买方发出票证。这可以是完全自动的。
例如,当买方是兜售者的概率(由度量UD所指示)低于阈值时,票证请求可由代理系统19批准,而如果该概率高于阈值时,则可以拒绝所述请求。另选地,在概率高于阈值且多个票证被请求的情况下,票证发出器可能仅批准比所请求发出的票证数量较少的票证数量(例如仅一个票证)。
可以与活动的组织者协商代理系统19的行为,所述组织者在该情况下是票证卖方。在根据任何与卖方的协商的情况下,代理可以自由地按他们认为适合的对其系统19进行编程。例如,他们可以自由地设定和更改阈值,或者改变概率高于或低于阈值时控制器如何响应。这向活动组织者提供了自由度,以例如为受欢迎的活动实现严格的反兜售准则(低阈值和/或严格地拒绝向任何识别为兜售者的实体售票),但为不受欢迎的活动实现较不严格的反兜售准则,或者甚至没有反兜售准则。
如果票证请求被批准,代理系统19以电子形式向买方装置14i发出票证(或被批准的多个票证),例如通过互联网发出。票证包括票证标识符(在附图中标记为tID)。
票证标识符又与uPass系统40中买方的uPass档案42i相关联。这可以使用用于在uPass系统40内登记新装置的相同登记机制来实现。买方的装置14i向uPass系统的帐户服务45提交票证标识符,以相同方式,它会基于买方12i当前装置12B的现有登记,提交其希望登记的新装置的装置标识符。帐户服务45由uPass档案管理器43实现,尽管这未明确示出。在uPass系统40内,票证被实现为托管在买方的装置14i上的虚拟装置,而票证标识符构成票证虚拟装置的装置标识符。在成功注册的情况下,证书被发出给票证虚拟装置,并发送到托管票证虚拟装置的买方的(物理)装置14i。在数字身份系统内,该证书以所讨论的方式绑定到买方的档案42i和票证虚拟装置,并且因此该登记过程用于将买方的档案42i与票证标识符相关联。这类似于在服务器上创建虚拟装置(见上文)。在使用代理标识符的情况下,它可以代替票证标识符登记。
当票证所有权变化登生时,通过将票证标识符与先前所有者档案42i解除关联,并且将它重新登记为绑定到新购买者的档案42ii的装置,从而将该变化记录在uPass系统40中(与资产追踪系统20分开)。以此方式,将新所有者作为票证现在的真实所有者记录在uPass系统40中。
以此方式将票证标识符登记为虚拟装置时,与本文中″装置标识符″相关的所有描述材料同样适用于票证标识符。例如,当证书绑定到档案和票证标识符(即在数字身份系统中与其相关联),并且该证书呈现在uPass事务中,仅在证书有效和与匹配的票证标识符一起呈现时(正如绑定到具有物理装置标识符的物理装置的证书的情况一样)才可批准完成该事务。
在该情况下,帐户服务49构成用于将票证标识符与uPass档案相关联的关联模块。
票证标识符可以例如在数字身份系统的数据库中与托管票证虚拟装置的买方的物理装置14i的网络地址相关联。与资产追踪系统20分开的uPass系统40可记录票证虚拟装置转移到不同的物理装置,其中通过将在数据库中与它相关联的网络地址改变,例如改变为票证从鲍勃转移给艾丽斯时艾丽斯的装置12ii的网络地址。
绑定到买方的档案和票证标识符的证书也可在数字身份系统的数据库中与票证标识符和买方的档案相关联,例如通过将证书或优选地用于生成该证书的成分与这两个元素相关联地存储在数据库中。
买方的单据62i包括代理的档案44的已发布版本的链接,使得买方也可验证代理是合法的。例如,代理的档案44可包括票证卖方和/或代理的标识符(例如标识、商标等),并被分配高的置信度,指示在数字身份系统内卖方是他们自称的身份的置信度很高。在一些情况下,一旦用户有机会检查卖方的档案并基于其上决定他们是否确定希望继续进行,才可进行票证的最终购买。
一旦发出了票证,买方至少在一些程度上自由地将它传递给其他注册到数字身份系统的实体,例如作为礼物或转售。可在此放置一些管制,例如管制转售价格,尽管这实际上不是必要的,反而,本反兜售机制的焦点不在于防止已发出票证的移动,而是随时间监控该移动,并基于该监控作出关于在未来应否向买方发出另一票证的未来决定。通过更新买方的档案42i中的反兜售度量来记录该监控。
当从买方到不同的实体的合法票证转移发生时,所述转移在uPass系统40中由uPass事务记录下来,这在该情况下导致票证标识符与新实体的档案相关联。例如,票证标识符可以被重新登记为虚拟装置,这次作为使用相同登记机制的不同实体的装置。
图6示出了优选机制,票证所有者12(例如艾丽斯或鲍勃)通过所述机制使用合法地属于他们的票证。在图6中,票证所有者的身份从uPass系统40传达到校验装置46,而不是资产追踪系统20。用户将票证标识符tID连同其uPass证书从其装置14发送到校验装置46。校验装置进而在票证通知72中发送票证标识符tID、用户的证书52和其自己的证书,所述通知在本例中被发送到uPass系统40。校验服务14b校验证书52、54,并且当它们都是有效的,而且用户的证书52绑定到与票证标识符tID所登记的相同的档案42时,使得用户的档案的版本42v2被发布。单据被发送到校验装置46,所述单据包括所述版本42v2的链接,使得门口主管可以看见票证所有者的身份数据(例如自拍照),并将它与站在其前方的人12进行比较。另一方面,如果用户的证书56被绑定到与票证标识符所登记的uPass档案不匹配的uPass档案(意味着用户不是真正票证所有者),系统40则可以检测用户正在尝试非法地使用票证。此外,如果门所有者要通过其装置46向系统40指示站在其前方的人12与系统40提供的真实所有者的自拍照不匹配,他们可通过其装置通知系统40非法的票证使用正被尝试。在任何一种情况下,系统40可被配置成使得票证不会因为非法尝试使用而过期。
uPass系统40通过桥系统75与资产追踪系统20通信,以将出席数据添加到资产追踪系统20中的记录。
资产追踪系统还在票证的档案p(2,N)中将用户12记录为票证的真实所有者。该档案还链接回到uPass系统40,因为它包括用户的档案的较早发布版本42v1的链接,其在将票证转移给用户12的uPass事务中发布。
为了提供额外的稳健性,可以使用uPass档案和资产追踪系统20中的票证档案来验证票证所有者的身份,或者资产档案可以用作回退(fall back)。
当前,不同活动的票证倾向于使用不同定制的、不可互操作的票证管理机制以不接合和完全不同的方式来管理,使得难以在这些不同的系统上检测兜售行为。
相反,在本发明的实施例中,很多活动的票证管理可使用共同的uPass系统40和/或共同的资产追踪系统20来实现。以这种方式统一化票证管理提供了票证使用数据的中央源,从而确保可容易地能够获得更宽的数据基,其可用于检测兜售。
在一些实施例中,uPass系统40中的买方的uPass档案42i的身份数据使用票证使用通知中接收的票证标识符定位在系统中,因为该标识符先前已被该档案42i通过在买方购买它时将票证标识符登记为买方的虚拟装置来关联。
如果所比较的身份数据组确实匹配,即如果确定呈现者和原始买方是同一人,买方的反兜售度量ATM则变化以反映这点,在此示例中通过增加百分比来反映(因为这构成多一个买方出现的活动)。这增加了买方将来能够在数字身份系统内购买活动票证的机会。
相反,如果所比较的身份数据组不匹配,即如果确定呈现者不同于购买者,在一些情况下(尽管不是所有),反兜售度量ATM则变化以反映这点,在此示例中通过减小百分比来反映。度量ATM可以不改变的情形是购买者购买了同一活动的两个或多个票证,为他或她保留了一个,并合法地将另一个送给或卖给朋友,如先前所述。优选地,提供了一种用于区分兜售者和合法所有者的机制,使得那些(例如)卖给真实朋友的人不被标签为兜售者。该机制可以由分析器29提供,并且基于网络分析,特别是基于先前所述票证散布的实体网络的大小。
对于uPass实现,为了确定代表他人购买多个票证的实体是兜售者还是合法购买者,可使用描述购买实体和那些其他实体之间的连系的社交图谱(″置信网″,见下文),以确定那些其他实体是否购买实体社交意义上的朋友。
在一些实施例中,兜售行为还可以检测到那些可能直接地从代理19获得票证的人,而不是间接地从其他实体获得,例如通过记录在档案P的序列中的礼物或转售。
这允许对连系到兜售者的实体的检测,例如兜售者购买6个票证(如果起初被批准这样做)并将这些票证中的5个与″朋友″相关联,但这些朋友当中没有人参加活动。相反,兜售者或″朋友″总是通过转售网站,或通过真实世界(例如酒吧或外面活动)交接来将票证销售/转移给爱好者(fan)。在一些情况下,系统还可以那些从已证实的兜售者购买的人为目标,并使其将来更难获得票证,从而进一步阻碍兜售行为。
如果唯一的个人尽管不是原先购买票证的人,但看起来表现出很低的使用/临时″所有权″行为,一些活动所有者将想要禁止这样的非爱好者(爱好者通常在获得票证,甚至没有购买票证的情况下前往活动)。即,系统可对那些实际上出现在活动上的人有利,而不论他们如何获得票证,并且惩罚那些实际上不出现在活动上的人。
uPass系统40中买方的uPass档案42i的已发布版本中的反兜售度量UD可以不被修改,在一些情况下,仅对基础主档案34B进行修改,这当然可以影响该uPass档案42ii未来的发布。
上面所述和在图中所示的所有各种功能模块被实现为在处理器2上执的代码4。
数字身份系统40的uPass实现仅仅是一个例子。在其他实施例中,数字身份可以例如被实现为单个登录系统。作为示例,数字身份系统40可以是谷歌+(Google+)。其他可使用的适合的基于档案的数字身份系统技术的示例包括:Jumio;CallSign;MiiCard;VerifyMe;Facebanx;Identity.com;ThisIsMe和RealMe.在这方面,该领域中的产品包括IDScan、Paycasso TrustID、Au10tix、IDology和IDChecker
注意,票证仅仅是可以使用本发明的系统20追踪的资产的一个示例,与票证相关的所有公开内容更普遍地应用于任何其他类型的资产。资产的示例包括:
●医院病床,其可从(例如)病床至病床、房间至房间、医院至医院等追踪;
●计算机、复印机或其他设备,从办公室至办公室、建筑物至建筑物、楼层至楼层、人至人、公司至公司等追踪。
●病人记录。例如,可以为诊断师、病人、出席的医生等保持分开的档案链,例如以识别出识别状况的实体、具有所述状况的实体,以及治疗所述状况的实体。在这种情况下,资产转移是负责的实体之间的病人转移;
●共享,例如共享证书;
●合同;
●RF(射频)或其他电子标签,例如NFC(近场通信)标签,其中标识符被嵌入在所述标签中并可通过RF访问。例如,可以固定到电话、平板、钥匙或其他物体上的标签。这可以例如是″失物招领″标签,其中找到具有标签的丢失物品的人可以扫描标签,使得资产追踪系统得知。另选地,非电子的失物招领的标签可以包括编码标识符的QR码。
注意:在上文中,多个散列函数被应用于诸如H(S1||S2)的位串的串接S1||S2。更一般地,散列函数可应用于字符串的任何适合的函数f(S1,S2),其保持对每个字符串唯一的足够信息,例如H(f(S1,S2))。
在下文中,″初始档案″可以是链中至少一个新档案随后关联的任何档案,并且一般地不限于例如链中第一个档案或首个所有者(尽管两者也不被排除)。
A)uPass系统:
uPass系统的概述:
根据第一方面,用于创建计算机存储的数字身份的数字身份系统包括:被配置为发送和接收电子消息的网络接口;持久电子存储;档案管理模块,其被配置为从实体接收包括数据项的电子消息,从所述电子消息提取所述数据项,以及将所述数据项存储在所述持久电子存储中的数字档案中;证书创建模块,其被配置为生成用于档案的证书,并将所述证书关联到所述数字档案;发布模块,其被配置为通过将所述档案的版本存储到可寻址存储位置来发布档案;以及单据生成模块,其被配置为自动生成两个非匹配单据,每个单据包括事务标识符,所述单据的第一个包括识别档案发布到的存储位置的链接,所述单据的第二个包括所述证书,其中所述第一单据存储在所述数字身份系统中,而所述第二单据被发送到与该实体相关联的地址。还提供了相应的方法。
本发明的档案创建机制提供用于所述数字身份系统进行的内部审计的单据,以及用户稍后使用的证书。
一旦创建了,档案可被实体用于向另一实体(校验方)断言其身份,代替真实世界的身份文件。另一实体能够访问已发布档案以从数据项或该档案中的其他数据项来确定该实体的相关细节。
优选地,呈现实体向所述数字身份系统呈现证书使得已发布档案对呈现实体可用(在实施例中,这事实上可触发发布)。因而,实体可以向呈现实体提供其证书以向所述呈现实体断言其在档案中所体现的身份。即,所述数字证书可以用作真实世界身份文件的替代物。
所述数据项可以例如是实体的视觉图像。对于人类实体,这可以是他们从来自诸如护照或驾驶执照的真实世界识别文件的识别照片捕获,或已知与其匹配的面部照片。这可以使用摄像机来捕获和/或如果该文件中嵌入了合适的电子芯片则可以使用无线技术(NFC、蓝芽等)来捕获。另一实体可通过视觉上比较用户的真实面部和已发布档案中的面部来验证该用户符合他们所称的身份。还可从身份文件接收其他数据项,例如用户的名字、出生日期、国籍等,并将其存储在档案中。可以为用户创建多个档案,其可以是唯一的,但是共享一些数据项。例如,基本档案可具有仅一个数据项(例如照片),而额外档案可具有所述照片加上不同程度的额外用户数据(名字,名字和出生日期,名字和出生日期和国籍等)。
通过发布档案的版本而不是容许对档案的直接访问,保留了该档案的安全性,因为基础档案本身不会在数字身份系统外可见。
可在每次涉及该档案的事务发生时生成单据。所述单据提供审计跟踪,由此可以在所述系统中看见实体的历史活动。例如,所述单据可用于隔离人类实体(用户)的历史性欺诈活动。其中数据项是用户的面部的视觉图像,这使得能够简单地将所述活动连接回到实际的人类。优选地,在每次事务重新发布档案以提供在该时间的档案的″快照″,其不受未来的修改所影响。这确保了准确的审计跟踪,从而能够准确地隔离任何先前时间点的活动。
优选地,在例如校验方向所述数字身份系统呈现证书时发布档案,使得该档案仅在校验方呈现该证书时变得可被校验方访问。
为了审计的目的,在实施例中可在所述数字身份系统的主单据本中生成和存储包括每个单据的数据的主单据。即,第一单据和主单据可分别地存储在所述数字身份系统。所述主单据可仅包括所述第一单据的一部分,例如链接,但不包括证书。
然而,在某些实施例中,其可包括证书的散列(例如HMAC)。即,通过对证书应用密码散列(例如HMAC)函数而生成的值。所述散列函数是不可逆的,因为不可能从证书的散列中恢复证书本身。然而,如果用户稍后使原始证书变得对系统可用,则可从可用的证书重新计算散列,并且所得到的值可用于定位所述主单据。这可以允许例如对单据进行合法截取而不包括其安全性。
可以利用事务标识符来加密所述主单据至少一部分(至少链接)和/或档案的已发布版本,在这情况下所述主单据不包括所述事务标识符。即,所述事务标识符可用作密码密钥以对所述链接和/或所述已发布档案本身进行加密。这意味着,所述已发布档案仅可以由包括所述事务标识符的单据的保存者来访问,并且不能仅用所述主单据来访问。
优选地,所述证书是随机化的仅一次性使用的证书,其只能用来实现一次事务,此后就变得无效。这将证书特定地连接到档案的创建。每当实体随后访问和/或修改档案,和或创建新档案时,将需要类似的一次性使用证书,使得每个证书被连接到一个特定的事务。
优选地,将对发布电子消息的计算机装置可用的元数据包括在该消息中。所述元数据可以是所述装置本身的元数据,例如诸如序列号或装置MAC地址的装置标识符(ID),或者它可以是相关的元数据,例如(地理)位置(例如GPS)数据,其识别所述装置在发送消息时的(地理)位置。所述元数据还可被用于生成证书,例如作为所述元数据的散列或随机序列(种子)。这可导致证书具有大的位尺寸(bit size),因此将用于创建证书的″成分″存储在所述数字身份系统而非证书本身导致显著的存储节省。然后可以按需要和在需要时创建证书的副本,例如以确定向所述系统呈现的证书是否匹配原始的证书(仅在这情况下授予对已发布档案的访问)。种子和元数据可被散列随机数目的次数,于是被存储的成分也包括这个随机数。
其中所述元数据包括档案的装置ID,仅当证书与匹配的装置ID一起呈现时才会授予。因此,为了增加的安全性,证书的使用限于该装置(如果用户希望使用多个装置以断言其身份,他们可为每个装置请求分别的证书,每个证书被绑定到档案)。
档案还可被分配有置信度,所述置信度是所述系统对于实体确实具有他们断言的身份而具有的置信度的指示符。所述置信度优选地与已发布档案一起变得可用,例如其可以包含在档案中和与档案本身一起发布到相同的存储位置。因此,校验方不仅被告知实体是谁或他们符合自称的身份,还被告知所述数字身份系统在这情况下有多信任。所述置信度可以是诸如0和1(或0%和100%)之间的容易解释的度量,0(%)表示完全的不确定性和100(%)表示完全的确定性,尽管后者在实践中是不太可能的。所述置信度可随时间改变。例如,随着用户每次上传更多数据项时,例如他们面部的照片(″自拍照″),其在一些实施例中每次可被要求以登录数字身份系统,并被存储在所述数字身份系统,这可对置信度施加正向影响,导致其(至少在没有其他影响的情况下)上升,前题是照片确实匹配(而匹配可疑的照片可具有相反的效果)。类似地,当实体完成额外事务时,这可施加类似正面的影响。相反,如果数字档案中的数据项是从例如真实世界的身份文件所捕获,当文档老化时,这可对置信度施加负面影响,导致其(至少在没有其他影响的情况下)下降。可以聚集许多这样的影响,从而置信度反映总体置信度。
对于捕获相关数据,第二方面提供注册数字身份的方法,其包括:在计算机装置捕获与实体相关联的数据项;创建包括所述数据项的电子消息;向注册服务发送所述电子消息;从所述注册服务接收单据;从所述单据提取证书以使所述证书可用于访问所述数据项以认证所述实体;以及将所述单据存储在本地单据本中所述计算机装置可访问的位置。
在从身份文件捕获相关数据的情况下,第三方面提供通过执行用户装置(例如诸如智能电话或平板电脑的智能装置)的处理器上的数字身份软件来实现的方法以:使用用户装置的摄像机捕获所述装置的用户的面部图像;从真实世界身份文件捕获(例如驾驶执照或护照)数据,所述数据包括识别照片,其中所述数据被所述摄像机捕获,从电子发送器嵌入锚文件中,或两者的组合;将所述用户的图像和所捕获的数据发送到数字身份系统;以及从所述数字身份系统接收用于用户的证书,其中向所述数字身份系统呈现所述证书使得所捕获的数据的至少一部分对呈现实体可用。
所捕获的数据还包括文件的属性,例如足够的数据以能够以合理的确定性确定文件的类型(例如驾驶执照、护照等)并且可能能够确定文件看起来是否真实。
在系统方面,第四方面提供由所述数字身份系统实现的计算机实现的方法,所述方法包括:从用户装置接收电子消息中的:所述用户装置的用户的面部图像,其在所述用户装置已被捕获;以及已从真实世界身份文件捕获和包括识别照片的数据;将在所述数字身份系统捕获的数据的至少一部分存储在持久电子存储中;使用面部验证算法比较所述面部图像和识别照片;仅当所述面部图像与识别照片匹配时,生成用户的证书和将所述证书发送给所述用户,其中向所述数字身份系统呈现所述证书使得所存储的数据的至少一部分对呈现实体可用。
以这种方式使用面部验证确保用户在所述系统中仅可将他们自己的身份文件用作数字身份的基础。将其面部的图像和/或从所述身份文件捕获的照片呈现给呈现实体,其特别适用于一人类在真实世界中向另一人类识别自己的情况。
其中还接收到文件的属性,仅当属性与一些预定标准匹配时,才发生证书的生成和发送。例如,对于护照,所述属性可以是从机器可读区(MRZ)捕获的字符,并且条件可以是它们具有有效的格式。
根据uPass系统的各方面,替代地使用数字档案来断言身份。档案可以例如由从诸如护照或驾驶执照的真实世界身份文件捕获的数据所创建,其优选地包括来自该文件的识别照片。一旦创建,实体可使用该档案以向另一实体(校验方)断言其身份。
在另一方面中,通过校验装置认证承载方的数字证书的方法包括:由所述校验装置捕获所述承载方证书;向校验服务发送所述承载方证书和绑定到所述校验装置的所述校验方证书;在所述校验服务中,校验所述承载方证书和校验证书,并且如果所述校验方证书是有效的,则使用所述承载方证书来访问数字档案的数据项和创建用于发送到所述校验装置的电子消息,所述电子消息指示所述数据项和包括由所述校验服务生成的新校验方证书;发布新承载方证书和创建电子消息以将所述新承载方证书发送到与承载方相关的地址。
优选地,所述方法的步骤还包括使用所述校验方证书以访问与所述校验装置相关联的数字档案的数据项,并创建用于发送到所述承载方的电子消息,所述电子消息指示用于承载方所验证的数据项。以这种方式,单一事务提供双向认证,不仅校验方能够使用来自承载方的档案的数据项来认证承载方,而且承载方也能够同样地校验校验方。因此,单个事务告许实体双方他们应否相信另一方是谁或他们所断言自己的身份。这源于校验方将他们自己的证书和承载方的证书一起呈现的新组合,并且每个实体都取回另一实体相应的数据项。通过带外信号将与校验方相关的数据项发送给承载方,例如发送给具有与所述数字身份系统中承载方证书相关联的地址的装置。
另一方面,提供对保存在数字身份系统的持久电子存储中数字档案的访问的方法包括:从请求实体接受识别目标实体的电子请求消息;响应于该请求而发布:(i)所述目标实体的数字档案,其通过将该档案的版本存储在可寻址存储位置中来发布,以及(ii)所述请求实体的数字档案,其通过将该档案的版本存储另一可寻址存储位置来发布;生成两个非匹配单据,每个包括事务标识符,所述单据的第一个包括识别所述目标实体的档案发布至的存储位置的链接,所述单据的第二个包括识别所述请求实体的档案发布至的另一存储位置的链接;将所述第一单据发送到与所述请求实体相关联的地址;以及将所述第二单据发送到与所述目标实体相关联的地址。
每个实体可以在单一事务中基于相关已发布档案来校验另一实体。
通过发布档案的版本而不是容许对档案的直接访问,保留了该档案的安全性,因为基础档案本身不会在数字身份系统外可见。
可将识别可寻址存储位置的链接如统一资源标识符(URI)发送到呈现装置。
可以从随机序列生成所述链接和/或基于随机序列选择所述可寻址存储位置。链接的随机生成/存储地址的选择确保了所述存储地址/链接空间的有效使用。
所述数据项可以例如是实体的视觉图像。对于人类实体,这可以是他们从来自诸如护照或驾驶执照的真实世界识别文件的识别照片捕获,或已知与其匹配的面部照片。这可以使用摄像机来捕获和/或如果该文件中嵌入了合适的电子芯片则可以使用无线技术(NFC、蓝芽等)来捕获。另一实体可通过视觉上比较用户的真实面部和已发布档案中的面部来验证该用户符合他们所称的身份。还可从身份文件接收其他数据项,例如用户的名字、出生日期、国籍等,并将其存储在档案中。可以为用户创建多个档案,其可以是唯一的,但是共享一些数据项。例如,基本档案可具有仅一个数据项(例如照片),而额外档案可具有所述照片加上不同程度的额外用户数据(名字,名字和出生日期,名字和出生日期和国籍等)。
优选地,将对发布电子消息的计算机装置可用的元数据包括在该消息中。所述元数据可以是所述装置本身的元数据,例如诸如序列号或装置MAC地址的装置标识符(ID),或者它可以是相关的元数据,例如(地理)位置(例如GPS)数据,其识别所述装置在发送消息时的(地理)位置。所述元数据还可被用于生成证书,例如作为所述元数据的散列或随机序列(种子)。这可导致证书具有大的位尺寸(bit size),因此将用于创建证书的″成分″存储在所述数字身份系统而非证书本身导致显著的存储节省。然后可以按需要和在需要时创建证书的副本,例如以确定向所述系统呈现的证书是否匹配原始的证书(仅在这情况下授予对已发布档案的访问)。种子和元数据可被散列随机数目的次数,于是被存储的成分也包括这个随机数。
其中所述元数据包括档案的装置ID,仅当证书与匹配的装置ID一起呈现时才会授予。因此,为了增加的安全性,证书的使用限于该装置(如果用户希望使用多个装置以断言其身份,他们可为每个装置请求分别的证书,每个证书被绑定到档案)。
可在每次涉及该档案的事务发生时生成单据。所述单据提供审计跟踪,由此可以在所述系统中看见实体的历史活动。例如,所述单据可用于隔离人类实体(用户)的历史性欺诈活动。其中数据项是用户的面部的视觉图像,这使得能够简单地将所述活动连接回到实际的人类。优选地,在每次事务重新发布档案以提供在该时间的档案的″快照″,其不受未来的修改所影响。这确保了准确的审计跟踪,从而能够准确地隔离任何先前时间点的活动。
优选地,在例如校验方向所述数字身份系统呈现证书时发布档案,使得该档案仅在校验方呈现该证书时变得可被校验方访问。
为了审计的目的,在实施例中可在所述数字身份系统的主单据本中生成和存储包括每个单据的数据的主单据。即,第一单据和主单据可分别地存储在所述数字身份系统。所述主单据可仅包括所述第一单据的一部分,例如链接和事务标识符,但不包括证书。
优选地,每个证书是随机化的仅一次性使用的证书,其只能用来实现一次事务,此后就变得无效。这将证书特定地连接到档案的创建。每当实体随后访问和/或修改档案,和或创建新档案时,将需要类似的一次性使用证书,使得每个证书被连接到一个特定的事务。
档案还可被分配有置信度,所述置信度是所述系统对于实体确实具有他们断言的身份而具有的置信度的指示符。所述置信度优选地与已发布档案一起变得可用,例如其可以包含在档案中和与档案本身一起发布到相同的存储位置。因此,校验方不仅被告知实体是谁或他们符合自称的身份,还被告知所述数字身份系统在这情况下有多信任。所述置信度可以是诸如0和1(或0%和100%)之间的容易解释的度量,0(%)表示完全的不确定性和100(%)表示完全的确定性,尽管后者在实践中是不太可能的。所述置信度可随时间改变。例如,随着用户每次上传更多数据项时,例如他们面部的照片(″自拍照″),其在一些实施例中每次可被要求以登录数字身份系统,并被存储在所述数字身份系统,这可对置信度施加正向影响,导致其(至少在没有其他影响的情况下)上升,前题是照片确实匹配(而匹配可疑的照片可具有相反的效果)。类似地,当实体完成额外事务时,这可施加类似正面的影响。相反,如果数字档案中的数据项是从例如真实世界的身份文件所捕获,当文档老化时,这可对置信度施加负面影响,导致其(至少在没有其他影响的情况下)下降。可以聚集许多这样的影响,从而置信度反映总体置信度。
在另一方面,数字身份系统包括:登记模块,其被配置为从登记装置接收数据项,并在持久电子存储中创建包括所述数据项的数字档案;证书创建模块,其被配置为从随机序列生成证书,将所述证书与数据库中的所述数字档案相关联,以及向所述登记装置发送所述证书;发布模块,其被置为响应于稍后将所述证书呈现给所述数字身份系统,以通过将所述数字档案的版本存储在呈现所述证书的装置可访问的存储位置来发布所述数字档案。
实体(其可以是登记装置的用户或登记装置本身)可提供其证书给呈现实体(例如呈现装置或其用户)以作为断言其在档案中所实现的身份的方式。即,所述数字证书和档案可以用作真实世界身份文件的替化物。
通过发布档案的版本而不是容许对档案的直接访问,保留了该档案的安全性,因为基础档案本身不会在数字身份系统外可见。
可将识别可寻址存储位置的链接如统一资源标识符(URI)发送到呈现装置。
从随机序列生成所述链接和/或基于随机序列选择所述可寻址存储位置。链接的随机生成/存储地址的选择确保了所述存储地址/链接空间的有效使用。
所述数据项可以例如是实体的视觉图像。对于人类实体,这可以是他们从来自诸如护照或驾驶执照的真实世界识别文件的识别照片捕获,或已知与其匹配的面部照片。这可以使用摄像机来捕获和/或如果该文件中嵌入了合适的电子芯片则可以使用无线技术(NFC、蓝芽等)来捕获。另一实体可通过视觉上比较用户的真实面部和已发布档案中的面部来验证该用户符合他们所称的身份。还可从身份文件接收其他数据项,例如用户的名字、出生日期、国籍等,并将其存储在档案中。可以为用户创建多个档案,其可以是唯一的,但是共享一些数据项。例如,基本档案可具有仅一个数据项(例如照片),而额外档案可具有所述照片加上不同程度的额外用户数据(名字,名字和出生日期,名字和出生日期和国籍等)。
优选地,将对发布电子消息的计算机装置可用的元数据包括在该消息中。所述元数据可以是所述装置本身的元数据,例如诸如序列号或装置MAC地址的装置标识符(ID),或者它可以是相关的元数据,例如(地理)位置(例如GPS)数据,其识别所述装置在发送消息时的(地理)位置。所述元数据还可被用于生成证书,例如作为所述元数据的散列或随机序列(种子)。这可导致证书具有大的位尺寸(bit size),因此将用于创建证书的″成分″存储在所述数字身份系统而非证书本身导致显著的存储节省。然后可以按需要和在需要时创建证书的副本,例如以确定向所述系统呈现的证书是否匹配原始的证书(仅在这情况下授予对已发布档案的访问)。种子和元数据可被散列随机数目的次数,于是被存储的成分也包括这个随机数。
其中所述元数据包括档案的装置ID,仅当证书与匹配的装置ID一起呈现时才会授予。因此,为了增加的安全性,证书的使用限于该装置(如果用户希望使用多个装置以断言其身份,他们可为每个装置请求分别的证书,每个证书被绑定到档案)。
可在每次涉及该档案的事务发生时生成单据。所述单据提供审计跟踪,由此可以在所述系统中看见实体的历史活动。例如,所述单据可用于隔离人类实体(用户)的历史性欺诈活动。其中数据项是用户的面部的视觉图像,这使得能够简单地将所述活动连接回到实际的人类。优选地,在每次事务重新发布档案以提供在该时间的档案的″快照″,其不受未来的修改所影响。这确保了准确的审计跟踪,从而能够准确地隔离任何先前时间点的活动。
优选地,在例如校验方向所述数字身份系统呈现证书时发布档案,使得该档案仅在校验方呈现该证书时变得可被校验方访问。
为了审计的目的,在实施例中可在所述数字身份系统的主单据本中生成和存储包括每个单据的数据的主单据。即,第一单据和主单据可分别地存储在所述数字身份系统。所述主单据可仅包括所述第一单据的一部分,例如链接和事务标识符,但不包括证书。
优选地,所述证书是随机化的仅一次性使用的证书,其只能用来实现一次事务,此后就变得无效。这将证书特定地连接到档案的创建。每当实体随后访问和/或修改档案,和或创建新档案时,将需要类似的一次性使用证书,使得每个证书被连接到一个特定的事务。
在另一方面,提供对数字档案的访问的方法包括接收与在持久电子存储中的数字档案相关联的仅一次性使用的证书。校验所述证书,并且仅当所述证书有效时,通过将所述档案的版本存储在可寻址存储位置来将所述档案发布到所述存储位置,从而使所述证书无效;为所述数字档案生成新的仅一次性使用的证书;使所述新证书与所述数字档案相关联;以及将所述新证书发送到与实体相关联的地址,从而所述实体可在之后使用所述新证书一次以使所述档案被重新发布到不同的可寻址存储位置。
根据这另一方面,每次呈现当前证书时,发布档案的新版本,并创建新证书。
档案还可被分配有置信度,所述置信度是所述系统对于实体确实具有他们断言的身份而具有的置信度的指示符。所述置信度优选地与已发布档案一起变得可用,例如其可以包含在档案中和与档案本身一起发布到相同的存储位置。因此,校验方不仅被告知实体是谁或他们符合自称的身份,还被告知所述数字身份系统在这情况下有多信任。所述置信度可以是诸如0和1(或0%和100%)之间的容易解释的度量,0(%)表示完全的不确定性和100(%)表示完全的确定性,尽管后者在实践中是不太可能的。所述置信度可随时间改变。例如,随着用户每次上传更多数据项时,例如他们面部的照片(″自拍照″),其在一些实施例中每次可被要求以登录数字身份系统,并被存储在所述数字身份系统,这可对置信度施加正向影响,导致其(至少在没有其他影响的情况下)上升,前题是照片确实匹配(而匹配可疑的照片可具有相反的效果)。类似地,当实体完成额外事务时,这可施加类似正面的影响。相反,如果数字档案中的数据项是从例如真实世界的身份文件所捕获,当文档老化时,这可对置信度施加负面影响,导致其(至少在没有其他影响的情况下)下降。可以聚集许多这样的影响,从而置信度反映总体置信度。
根据uPass系统的各方面,替代地使用数字档案来断言身份。档案可以例如由从诸如护照或驾驶执照的真实世界身份文件捕获的数据所创建,其优选地包括来自该文件的识别照片。一旦创建,实体可使用该档案以向呈现实体(校验方)断言其身份。实体可将证书提供给所述呈现实体,所述呈现实体将其呈现给数字身份计算机系统。不仅所述档案变得对校验方可用,而且随之呈现与所述档案相关联的置信度。
根据另一方面,计算机系统包括:电子存储;被配置为接收电子消息的网络接口;以及被配置为执行身份管理码的处理器,其操作以:
从所述网络接口接收电子消息,所述消息包括至少一个要包括在实体的数字档案的数据项,所述数据项与所述实体相关,并唯一地识别所述实体;
从所述电子消息提取所述数据项;
使用所述电子存储中的所述数据项来创建数字档案,其中所述档案包括所述数据项;
向所述档案分配置信度,其中基于至少一个所述电子消息的源和所述数据项的类型来分配置信度;以及
创建证书,并将其发送给实体,其中向所述计算机系统呈现所述证书使所述数字档案的版本和所述置信度对呈现实体来说是可用的。
所述置信度是所述系统对于诸如人类或装置的实体确实具有他们断言的身份而具有的置信度的指示符。因此,校验方不仅被告知实体是谁或他们符合自称的身份,还被告知所述数字身份系统在这情况下有多信任。所述置信度可以是诸如0和1(或0%和100%)之间的容易解释的度量,0(%)表示完全的不确定性和100(%)表示完全的确定性,尽管后者在实践中是不太可能的。
数据项可以是实体的视觉图像,所述实体可以是用户。例如,消息中可包括两个该用户的视觉图像:第一是从真实世界身份文件捕获的识别照片;第二是该用户用摄像机所拍下的其面部的照片(″自拍照″)。面部识别可用于确定所述两个数据项有多紧密地匹配,以及基于反映这点的比较而分配的置信度。呈现实体因此被告知该用户的面部与其用于创建档案的任何形式的身份文件匹配的程度。
所述置信度可随时间改变。例如,随着用户每次上传更多数据项时,例如自拍照,其在一些实施例中每次可被要求以登录数字身份系统,并被存储在所述数字身份系统,这可对置信度施加正向影响,导致其(至少在没有其他影响的情况下)上升,前题是照片确实匹配(而匹配可疑的照片可具有相反的效果)。类似地,当实体完成额外事务时,这可施加类似正面的影响。相反,如果数字档案中的数据项是从例如真实世界的身份文件所捕获,当文档老化时,这可对置信度施加负面影响,导致其(至少在没有其他影响的情况下)下降。可以聚集许多这样的影响,从而置信度反映总体置信度。
提供了相应的方法,其是计算机实现的。还提供了计算机程序产品,其包括存储在计算机可读存储介质上并被配置为实现所述本文公开的任何方法或系统的代码。
可发布档案的版本以使其变得可用。通过发布档案的版本而不是容许对档案的直接访问,保留了该档案的安全性,因为基础档案本身不会在数字身份系统外可见。
可将识别可寻址存储位置的链接如统一资源标识符(URI)发送到呈现装置。
从随机序列生成所述链接和/或基于随机序列选择所述可寻址存储位置。链接的随机生成/存储地址的选择确保了所述存储地址/链接空间的有效使用。
所述数据项可以例如是实体的视觉图像。对于人类实体,这可以是他们从来自诸如护照或驾驶执照的真实世界识别文件的识别照片捕获,或已知与其匹配的面部照片。这可以使用摄像机来捕获和/或如果该文件中嵌入了合适的电子芯片则可以使用无线技术(NFC、蓝芽等)来捕获。另一实体可通过视觉上比较用户的真实面部和已发布档案中的面部来验证该用户符合他们所称的身份。还可从身份文件接收其他数据项,例如用户的名字、出生日期、国籍等,并将其存储在档案中。可以为用户创建多个档案,其可以是唯一的,但是共享一些数据项。例如,基本档案可具有仅一个数据项(例如照片),而额外档案可具有所述照片加上不同程度的额外用户数据(名字,名字和出生日期,名字和出生日期和国籍等)。
优选地,将对发布电子消息的计算机装置可用的元数据包括在该消息中。所述元数据可以是所述装置本身的元数据,例如诸如序列号或装置MAC地址的装置标识符(ID),或者它可以是相关的元数据,例如(地理)位置(例如GPS)数据,其识别所述装置在发送消息时的(地理)位置。所述元数据还可被用于生成证书,例如作为所述元数据的散列或随机序列(种子)。这可导致证书具有大的位尺寸(bit size),因此将用于创建证书的″成分″存储在所述数字身份系统而非证书本身导致显著的存储节省。然后可以按需要和在需要时创建证书的副本,例如以确定向所述系统呈现的证书是否匹配原始的证书(仅在这情况下授予对已发布档案的访问)。种子和元数据可被散列随机数目的次数,于是被存储的成分也包括这个随机数。
其中所述元数据包括档案的装置ID,仅当证书与匹配的装置ID一起呈现时才会授予。因此,为了增加的安全性,证书的使用限于该装置(如果用户希望使用多个装置以断言其身份,他们可为每个装置请求分别的证书,每个证书被绑定到档案)。
可在每次涉及该档案的事务发生时生成单据。所述单据提供审计跟踪,由此可以在所述系统中看见实体的历史活动。例如,所述单据可用于隔离人类实体(用户)的历史性欺诈活动。其中数据项是用户的面部的视觉图像,这使得能够简单地将所述活动连接回到实际的人类。优选地,在每次事务重新发布档案以提供在该时间的档案的″快照″,其不受未来的修改所影响。这确保了准确的审计跟踪,从而能够准确地隔离任何先前时间点的活动。
优选地,在例如校验方向所述数字身份系统呈现证书时发布档案,使得该档案仅在校验方呈现该证书时变得可被校验方访问。
为了审计的目的,在实施例中可在所述数字身份系统的主单据本中生成和存储包括每个单据的数据的主单据。即,第一单据和主单据可分别地存储在所述数字身份系统。所述主单据可仅包括所述第一单据的一部分,例如链接和事务标识符,但不包括证书。
优选地,所述证书是随机化的仅一次性使用的证书,其只能用来实现一次事务,此后就变得无效。这将证书特定地连接到档案的创建。每当实体随后访问和/或修改档案,和或创建新档案时,将需要类似的一次性使用证书,使得每个证书被连接到一个特定的事务。
还提供了计算机程序产品,其包括存储在计算机可读存储介质上并被配置为实现所述本文公开的任何方法或系统的代码。
为了更好地理解uPass系统,并且说明如何实施所述uPass系统,现在将参考附图作为示例,其中:
图A1是数字身份系统的核心组件的示意图;图A1a是数字身份系统的主要组件的示意性框图;
图A2是数字身份系统的功能组件的扩展示意图;
图A3a是存储为数字身份系统一部分的数据项的示意性框图。
图A3b是数字身份系统的数据库结构的框图。
图A3c显示了数字身份系统的主单据本;
图A4a是说明在数字身份系统中创建证书的示意流程图;
图A4b是显示在智能电话和注册服务中,在数字身份系统里创建证书的流程的流程图;
图A5说明了标准化护照信息;
图A6是显示认证过程的示意流程图;
图A6a是认证过程的流程图;
图A6b显示了认证过程中生成单据的细节;
图A6c显示了在认证过程中生成主单据的细节;
图A6d示意性地说明了由于其内容而导致的各种单据与主单据之间的某些关系;
图A7是显示网络服务的认证过程的示意流程图;
图A8a(流程图)和A8b(信号图)描述了注册在数字身份系统中的人员希望具有第三方分配给他们的档案的情况;
图A9a(流程图)和A9b(信号图)显示了未注册数字身份系统的人员希望具有第三方分配给他们的档案的情况;
图A10显示了用户装置的框图;
图A11A例示了如何可创建数字身份;
图A11B至A11H例示了数字档案的用例。
uPass系统的描述
下面的描述公开了一种称为uPass系统的身份注册和认证系统。
作为基本前提,所述uPass系统的用户能够上传和注册其身份文件的副本,他们并转而接收到锚定数字ID,所述锚定数字ID可用于向第三方验证他们的身份,而不需要呈现这些身份文件。在进行此时,他们还能够指定将变得可用的个人信息的性质和数量。
用于要注册或验证身份时的用例被假定为与移动装置的使用有强烈关联,例如智能电话和平板电脑,尽管uPass系统不限于这些装置。此外,通过非限制性的例子,描述了建基于身份文件的注册,所述身份文件被设计为以OCR友好的文本或NFC兼容的嵌入式芯片电子地扫描。从下文中显而易见的是,可以利用任何种类的与身份有关的数据项,并以任何合适方式将其输入到系统中。
图A1a是数字身份系统的主要部件的示意性框图。
中央服务(uPass)A14安全地存储证书和管理校验。所述中央服务可以任何合适的方式实现,并且需要至少一个执行身份管理码的处理器A114,和提供安全存储的电子存储部件。在分布式微处理网络中可以有多个处理器,或者在单个或多个服务器中有中央处理单元。所述电子存储部件可以采取任何形式,且可以是本地或远程存储器。显然,所述电子存储提供了安全存储和随机存取可写存储35。
提供了在移动装置A12上托管的第一移动应用A22。所述第一移动应用用于从身份文件扫描数据项并将其发送到所述中央服务A14。
还提供了由移动装置A12执行的第二移动应用A50,所述第二移动应用用于请求对所述存储服务A14的证书的校验。应当理解的是,不是所有移动装置都必须具有应用A22和A50两者。例如,有些移动装置可被配备仅以扫描数据项,并将其发送到所述中央服务A14,而其他装置可仅能够执行证书的校验。然而,大多与uPass用户相关联的移动装置很可能都上传有该两种应用。可从uPass服务器下载所述移动应用(应用程序)。
提供了用于所述系统的部件之间的通信的安全架构。这确保隐私得以维护,尤其是考虑到与uPass用户相关联的移动装置A12和所述中央服务A14之间的通信时。
提供了用于评估置信度的置信框架69,所述置信度可放置于在所述中央服务A14注册的身份档案中。提供了自动化机制A67,其用于通过提供的证书(例如QR码)及时进行用户间的信任仲裁。现在将在下文更详细地描述所述系统的每个部件。
图A1以高度示意的形式示出身份系统的基本组件。有两个基本工作流,一个涉及用户身份文件的注册,另一个涉及身份的验证(认证)。
通过移动装置A12(例如通过NFC)读取电子护照A10或其他身份文件(例如驾驶执照),并通过互联网以安全的方式将注册数据传递给所述uPass服务14,如后面所述。所述uPass服务将数据的注册存储在一个或多个档案中,所述档案形成数字身份A28的部分。
可用于存储的移动装置中有三个组件;SD卡A12a或类似的可移除存储;SIM卡A12b,以及在一些装置中的内部安全存储空间A12c。这种存储组件可用于存储证书30(例如QR码),所述证书30通过所述uPass系统从数字档案生成,并被发回到所述移动装置A12。
所述uPass服务A14由计算机系统提供,所述系统具有用于注册和验证的单独端点(14a、14b)。以这个方式划分工作流,保证了注册端点中的故障不一定损害验证端点,反之亦然。端点可以是物理上分离的计算机,其可经由网络,或在相同物理位置上的虚拟地分离的域通信。
图A10示出了用户装置A12(例如诸如智能电话或平板电脑的智能装置)的框图。所述用户装置包括处理器A1104,其执行例如应用或“应用程序”(uPass应用程序/验证应用)形式的数字身份软件A1006,并连接到摄像机A1108、无线(例如NFC、蓝牙)接口A1010和用于向所述装置A12的用户输出视觉信息的显示器A1002。
受限制活动的资格
照片ID最普遍的用途之一,是确认人们达到他们希望进行的特定活动之最低法定年龄,例如进入夜总会或购买酒精。所述uPass系统特别适合于这样的目的,其在智能电话或平板电脑上执行的客户验证应用A50(见图A1a)可以被调整以回答基础疑问″这人年纪是否够大″,并以提供照片确认呈现证书的人事实上就是这些证书所属于的人。在下面的描述中,焦点是在照片的精度上。
后面会讨论一些用例。一个用例就是选择通过uPass提供无票进场的音乐节。在这种情况下,出席者(承载方)在其移动装置上提供其证书(从注册过程接收到的证书A30),而场地经营者(校验方)以所述uPass服务A14的验证端点检查之,以确认可准许进场。
所述证书可以多种方式呈现:通过NFC传送的二进制blob(二进制大对像);用于扫描的条码;电邮地址;或者,某种形式的QR码。
uPass连接
另一感兴趣的用例是通过可缺乏uPass应用的本地装置向远程系统的认证登录,只要有uPass装置(例如移动装置12),便不需要记住用户名称或密码。在这种情况下,与uPass相关联的校验装置扫描在从所述远程系统发送至本地装置的登录表格上显示的QR码,并将其用以建立用户系统。这技术可用来确定uPass装置的所有者获准登录,还可以允许该所有者确信其从所述远程系统接收的任何内容都是来自有效源的。
图A2是uPass系统的架构作为功能块的示意性框图,示出了所述系统中的工作流。
注册者A20使用其智能电话或平板电脑A12上的应用程序A22来捕获来自其护照A10的细节(例如通过NFC和/或摄像机),并将其与用相同装置捕获的自己的照片18(″自拍照″)结合,以产生电子注册消息A23。这被安全地分派到所述uPass系统14的注册端点A14a,其执行必要的处理(面部识别/OCR)以提取相关数据和为该注册者创建帐户,如后面所述。一旦成功完成,将确认消息连同认证令牌(证书)一起发回到其装置,所述认证令牌创建新的″已发布″uPass身份档案的链接。
临时信任
所述uPass系统的特点在于,将照片提供为与所述证书相关联的″已发布″档案的一部分。然而,当uPass证书出现在验证过程中时,照片的显示仅确认注册用户所称的身份与当初注册uPass的人匹配,而非注册身份本身就是该注册者身份的有效和可信记录。
为了解决这点,uPass系统的实施例引入临时信任的概念,由此用户身份档案具有相关联的档案置信度″CV1″n为2,3,4,其基于与其相关联的身份文件的质量和源,以及其历来的使用。这在实践中的进行方式是允许多个身份数据源,并对每个分配信任水平。然后,可以在法律要求处使响应合乎资格。
为了解释临时信任,在下文中,假定所述要获取的身份文件是电子护照,其具有NFC交互、OCR-质量扫描或两者的选择。在实践中,数字身份基于诸如姓名、年龄、国籍和照片的基本信息数据项,以最小化兼容性问题。
基于注册数据进入所述系统的方式,临时信任的层级识别五个自然的置信度水平:
●向确认其与呈现方相同的已信任代理亲自呈现;
●具有额外安全防护的已信任移动应用;
●已信任网站;
●通过已注册邮递提交;
●没有注册文件
第一种情况设下临时信任的最高置信水平。可以通过对所涉及的风险的统计分析来确定所分配的精确值,但是作为经验法则不可高于95%(不应将任何数据当作不容置疑)。所述精确数可以根据所关心的已信任代理而变化。
以这种方法进行手动验证导致uPass可变得值得信任。因此,″信任度″仅仅是基于初始注册的固定值,但可作为命题的组根据多个锚文件各自的注册过程而变化。
可以应用额外的检查以改进uPass的评级(置信度),例如:
●现有uPass用户的支持;
●NFC数据在已信任环境中读取;
●向已信任代理呈现文件的随机请求;
●通过视频呼叫随机直接联系以确认uPass注册者仍然具有注册文件
面部验证的置信度随时间而变化。当用户登记的时候,他们以其面部和护照登记。在这一刻,他们说自己是谁可存在很低的置信度(尽管这视乎任何他们提供的锚文件)。此后,每次面部登录都会捕获图像数据。每次捕获到另一张自拍照时,将其添加到图像数据库中。这些自拍照被组合成单一的面部识别记录。这里的关键在于,它们随着时间在各种不同的照明条件下捕获(因为它们在电话或其他智能装置上捕获)--结合在一起时会提供更准确的结果。在实施例中,当前的面部记录(其可由多张最近期的自拍照组成,例如诸如5张的小数目)具有在登记时捕获的原始护照照片。注意可提取图像数据而非完整的面部图像数据,例如局部二值模式(LBP)或面部模板。
在登记时使用诸如护照的已信任锚文件的情况下,置信度相当高,但仍能以这种方式随时间增长。
由于诸如点对点验证等其他因素,整个系统的置信度也随时间增长。本系统的重要特征在于以下信任锚:
a)电话;
b)自拍照;
d)点对点校验。
给定的置信度表示为固定点变量,向其分配例如0和1(0%和100%)之间的(变量)值。
用户档案和隐私
注册者正在提供个人识别数据项,以允许uPass证书在以后的日期断言他们的身份。这识别数据本来就是机密的,而所述uPass系统提供手段,通过所述手段,可以用uPass用户按正在使用它的情况下认为是合适的隐私水平来处理它。为了促成这一点,单个的uPass(数字身份)具有多个与其相关联的档案。
现在将参考图A3a来解释″uPass″或即为用户创建并可被验证的数字身份的性质。图A3a以图示出构成用于人员A20的uPass的部件。这些部件存储在所述uPass系统中的合适种类的电子存储中。例如,每个用户A20可与数据库或附接到唯一标识符A26的数据库的部分相关联,所述唯一标识符A26识别该人员的uPass的部件。例如,所述电子存储可以采用图A2中附图标记A24表示的安全存储的形式。因此,每个人员A20与唯一标识符A26相关联,其与所述用户A20的uPass的所有部件相关联。所述数字身份包括数字档案A28a、A28b、A28c、A28d的组。每个档案包括一个或多个键值对(key value pair),其中所述键识别存储在所述档案中的数据项的性质,而所述值识别所述数据项本身。例如,所述键可以是″照片″,而所述值是该用户的照片。事实上,所述值可以是地址,其中照片存储为uPass单独的部件(见A18,A18′)。虽然示意性地示为个别块,但是档案可以由键/值对和置信度的键接列表构成,其中每项指向其祖先(ancestor)。每次″发布″档案时(稍后描述),创建了所述列表的新″头″(head),结合所述档案的使用而产生的修改。
uPass的另一部件是一个或多个锚文件,所述锚文件已被用作为所述档案提供数据项。锚文件的例子是护照A10。可存储多个不同的锚文件。
如上所述,注册成功时,将确认消息A25从注册服务分派到包括证书的智能电话的应用程序上。每次将数据项添加到档案时,或使用uPass档案时,为该档案创建新证书,并将其发送给所述档案的所有者。这些证书与用于所述人员A20的uPass中的标识符A26相关联地存储,并被绑定到档案。新证书是由″发布″档案引起的一种修改......由于所述证书用于对所述档案进行″解锁″,它们被示为键A30。在实践中,每个证书都是键入到数据库的唯一随机数字符串,稍后参考图A3b描述。
如A12和A12a所示,每个用户A20与一个或多个智能装置相关联(例如智能电话或平板电脑)。关于这些装置的元数据存储为所述用户的uPass的部分。每次使用uPass进行事务时,发布单据对。这将在后面更详细地描述,但简单来说,单据的审计跟踪作为用户的uPass的部分存储在本地单据本A31e中。这些单据通过附图标记A32e以图示出。每个已登记装置A12a、A12b在该装置上或该装置可访问的远程服务器上具有其自己的本地单据本。
全局主单据本A32(图A3C)保存有主单据A31,其以如下所述的方式与(个别)单据A32e相关。本文将向为承载方或校验方的实体发布的个别单据分别标记为A32v和A32e。
作为稍后将描述的认证过程的一部分,当将有效的证书呈现给所述uPass系统A14时,会根据所呈现的证书的性质来发布档案。这些已发布档案以附图标记A34示出,并以图示出为具有键孔(keyhole),所述键孔表示对应于证书的键能够被用来解锁这些档案以进行发布。通过使档案在存储器A35(例如高速缓存)中的可寻址存储位置中变得可访问来发布档案,所述存储器A35具有绑定到所述证书的地址。
生成的证书可存储在所述uPass系统中,如果其是完全随机的,则是合适的。比较所存储的证书与所呈现的证书,只有在所存储的证书和所呈现的证书完全匹配的情况下,所述证书绑定到的档案才会解锁。然而,当使用某些″成分″(例如随机序列、随机数和装置元数据,如装置标识符)生成所述证书时,由于这些成分通常比证书本身具有更低的位尺寸(bit-size),所以存储这些成分通常会更加有效。所述成分可用于生成所述证书的副本以用于所述比较。例如,可以通过散列随机种子和装置元数据(例如是装置标记或包括装置标识符)生成所述证书随机数的次数--所述uPass系统可以存储所述元数据、种子和随机数以在稍后创建另一副本。
在注册的时候,创建三(或四)个默认档案:
●匿名档案A28a,其断言身份的唯一性并呈现用于视觉检查的照片;
●照片ID档案A28b,其还呈现所述注册文件上所列的名称;
●主要档案A28c,其向所述照片ID添加出生日期;
●(和可选的第四个)国籍档案A28d,其向所述照片ID添加国籍
可以为用户创建额外的档案,其允许他们具有添加的额外个人信息,或者以不同的方式呈现他们的个人信息。任何其他用户可以因为有效的uPass事务而将把这些档案附加到他们上。档案请求应用用于允许uPass用户获得另一用户来代表他们发布档案。无人能够代表自己创建档案。注意在这方面,uPass系统包括控制器A116,其作为第三方基于锚文件发布uPass。
当新的个人信息被输入到档案中而没有注册文件的支持时,该档案会被给予最低水平的临时信任。例如,第三方可以是为雇员将数据项输入到档案请求应用中的雇主。基于雇主提供的信息为雇员创建证书,所述证书被绑定到所述档案,并被提供给所述雇员。为了改善所述临时信任的水平,所述系统允许uPass用户具有由其他uPass用户校验的档案,创建可被检查的置信网。这在uPass所有者每次在校验过程中使用其证书时都会发生。每个档案的置信网都是社交图谱,其中每个节点表示置信锚。这些会在后面讨论。放置在文件中的临时信任水平将是所述档案接收的校验的数量和质量的函数。
参考图8a和8b以描述一情况,其中人员希望具有由第三方分配给他们的档案。在给出的特定例子中,所述人员是新雇员,而所述第三方是其雇主。所述新雇员希望具有由雇主分配给他的档案。然而,有许多其他人员可希望具有由第三方分配的档案的情况。在图8a和8b的情况中,假定新雇员NE和雇主E都已经在uPass系统中注册,并具有活动的证书。在步骤SA80中,所述新雇员向雇主提供其证书A30NE。在图A8b中,将新雇员的装置标记为A12NE,而雇主的装置标记为A12E。在步骤S82中,所述雇主将新雇员的证书A30NE和其自己的证书A30E发送到所述uPass注册服务A14。此外,所述雇主在该消息中发送他已经为所述新雇员创建的档案。所述uPass服务检查所述新雇员和雇主的证书是有效的,而如果有效,则基于所述雇主提供的信息来创建所述新雇员的档案,并找到该档案的新证书A30″NE。然后,该新证书被发送(步骤S84)到新雇员的装置。所述uPass服务A14还将替换证书A30″E发送到所述雇主的装置,因为雇主在试图为所述新雇员分配档案时已经使用了其一次性有效的证书。
然后将所述档案存储在所述uPass系统中(步骤SA88)。应理解虽然顺序示出步骤SA84、SA86和SA88,但可以任意顺序或并行执行。
图9a和9b示出了新雇员未有注册到所述uPass系统的情况。在这种情况下,所述新雇员在步骤SA90中向雇主提出″现实世界″的请求″我可不可以有uPass?″这可以亲身、通过电邮或短信、或以任何方式完成。所述雇主向所述uPass注册服务A14提交文件,该文件将用于为新雇员锚定档案。此外,所述雇员发送其证书A30E。在这种情况下,可能需要确定连接到该证书的授权,并需要确认雇主具有允许他为第三方创建uPass的证书。注意这在授权中是更高一级水平,并将档案分配给已经具有uPass的人。档案的分配并不意味着所述uPass本身任何特定的有效性。然而,uPass的创建确实意味着一定的有效性,尽管附接到uPass的置信水平当然可以视乎发布锚(在此情况下为所述雇主)而变化。在步骤SA92中,所述雇主将文件和其证书提交给所述uPass注册服务A14。所述uPass服务为所述新雇员创建uPass档案,将所述文件用作发布文件并具有与所述发布锚相关联的置信水平。将证书绑定到每个与这uPass相关联的档案,并将与匿名档案相关联的证书发送给所述新雇员,如步骤SA96所示。如果所述新雇员的装置没有被登记并且不为uPass所知,会进行一些适当的配置以向所述新雇员的装置提供证书A30″。在步骤SA98中,向雇主发布替换证书。
图A2示出了帐户服务A29,其提供管理uPass的手段,包括装置的登记和用户授权档案的规格。
授权档案
如前面所概述的,uPass档案可以由个人数据和可以一起用作一致性身份的照片组成。将每个uPass证书锚定到档案,而uPass用户可以具有多于一个在任何时间活动的证书。然而,在任何给定的装置上,只有一个证书可在任何特定时间是活动的。
每个可用于uPass帐户的档案都必须是由第三方文件发布机构向它分配的,其中所述uPass系统控制器本身是一示例。创建uPass帐户时,其具有至少三个由所述uPass系统向它分配的档案。
1.匿名档案A28a,其可用于断言身份但不显示信息;
2.主要(年龄检查)档案A28b,其显示uPass用户的出生日期;
3.姓名档案A28c,其显示uPass用户在其注册文件上呈现的姓名。
每当证书被发送到装置时,它们总是被绑定到图A3b的数据库中的特定档案,除非所述uPass用户指定,否则所述匿名档案是用于交互的默认档案。
为了改变档案证书,所述uPass用户必须对uPass登记服务进行对其当前证书的增强认证,以获得其帐户当前可用的档案的列表。这不需要针对档案的每个变化来完成,因为信息可在uPass应用中被本地高速缓存,使得当新档案被附接到uPass帐户或旧帐户被移除时,仅需要再生成所述列表。
一旦档案列表可用,则可使用具有现有证书的标准认证来进行这些档案之间的改变,所述现有证书由被绑定至所期望的档案的新证书替代。
档案的所有变化导致所述uPass系统的安全记录。
档案结构
如图A3a所示,档案由键值对的组组成。任一种都可以被视为任意二进制字段。一组可以是一个或多个键值对。
可识别的匿名
以匿名档案A28a为基部在其上面构建所有其他档案,所述匿名档案A28a确认其承载方是uPass用户,并提供当前照片作为其数据项。所述档案被发布到第三方时,会允许所述第三方通过视觉检查确认所述uPass的承载方确实是它对其有效的人。档案在稍后描述的校验步骤中发布。
查询匿名证书以确定身份的想法可能看起来奇怪,然而,在uPass系统的实施例中,所述系统以单据伴随着所述断言,所述单据允许校验方间接地和匿名地参照刚被校验的uPass。
已分配档案
uPass的力量在于,其所有者能够在不同情况下呈现他们身份或权利之不同方面。为了避免滥用,可以施加几个限制:
1.用于任何uPass帐户的档案只可由第三方创建,注意所述uPass控制器A116在这方面是第三方;
2.当正在创建档案时,必须是为了特定的uPass帐户而创建档案;
3.将已分配档案绑定到创建者帐户中的特定档案中(这样,创建者档案成为置信锚A110);
4.并由所述创建者分配特征标签;
5.一旦创建了档案,则不能编辑档案;
6.然而,它可以被其创建者删除或替换;
7.而当使用档案时,总会向校验方宣告所述档案的创建者;
8.从而允许所述信任链回到uPass系统中以被查询。
所述特征标签可用于区分档案。例如,每个标签都可调用在所述移动装置上显示的视觉指示符。
档案和隐私
一旦档案已经被分配给uPass帐户,该uPass帐户的所有者必须积极地选择在校验中使用所述档案以令其对另一用户可用。即是说,从该档案创建的证书必须产生该档案的链接,其会被发送给校验方。用户可以具有多于一个档案,因此具有多于一个证书,其存储在相同或不同装置,即每人每个装置只有一个证书。[在多于一个档案的情况下,用户可以通过所述特征标签的视觉指示符来区分它们。]
档案的创建者可明确地要求在执行校验时使用该档案,在该情况下,如果使用任何其他档案,所述校验则会失败。这确保只要已分配档案存在,uPass用户仅可以用该档案校验其身份,而任何其他档案的使用将被拒绝。这在后面结合uPass连接进行描述。
第三方不能枚举所有与uPass帐户相关联的档案。
档案存储
档案信息存在于两个地点。在安全键-值高速缓存A35中发布档案数据的当前状态时,将基础数据版本化并保留在安全存储A24中。这是所述uPass系统重要的基础安全前提-第三方不被给予任何对所述安全存储A24本身的访问信息。
档案发布
每当证书被绑定到包含在所述安全存储A24中的档案时,(在存储器A35中的位置)发布所述档案。已发布档案具有某些特性:
●过期时间(和/或发布时间戳);
●照片或照片的链接;
●已加密档案内容(键/值对等);
●随机对称密钥;
●解析所述已加密档案内容的URI;
●解析所述档案的创建者的URI;
每次发布发生时,所述档案内容被不同的随机生成的对称密钥A60加密,然后存储在存储器A35中可通过已生成的URI A62访问的位置。
安全证明(Vouchsafing)
每个uPass帐户能够将档案附接到其他uPass帐户,允许人们以绰号和其他社交信息来注释彼此,并保证该信息的可靠性。因此,每个uPass本身是具有低置信度可靠性的文件发布机构。
uPass用户将档案附接到另一uPass用户时,相对于他们自己的uPass帐户的现有档案(置信锚A110)锚定所述附件。
除了将档案附接到uPass帐户之外,在档案创建者或档案接收者的请求下,uPass用户可以担保附接到另一帐户的档案之真实性。随着愿意担保已分配档案的uPass用户数量增加,可放置在该档案所包含的信息中的置信度也会增加。
文件发布机构
安全证明提供了一手段,可以通过该手段用档案来注释uPass帐户,然而,这些潜在地是低质量闲话源,而非锚定身份声明。经授权的文件发布机构是被锚定到现实世界文件的高质量身份信息的获认受源。
一旦uPass用户成为文件发布机构,他们获许从uPass用户请求信息,并在比标准安全证明机制提供的置信度水平更高的置信度水平,使用该信息来注释uPass帐户。
生命周期
uPass证书由护照10锚定,所述护照过期时,可以导致它们过期。这要求在uPass用户的新护照一发布时建议他们更新其注册文件,以确保服务的连续性。
当所述已登记护照期限届满时,可提供8周的通知期以允许可变的周转时间。
针对其他身份文件实现支持时,情况将变得更加复杂。每个文件将有助于uPass的临时信任,而这是在某一水平之上,所述uPass将维持活动,根据迫近的和实际的文件过期向用户作出定期警告。
使用
使用uPass的初始情形围绕着面对面的遇见,其中使用护照或等效的文件来支持身份。
每当uPass承载方希望认证其身份时,他们必须呈现由所述uPass系统提供的唯一随机标识符所生成的证书(例如QR码)。这证书的接收者是uPass的校验方,其每次校验从承载方接收到的信息时向uPass校验服务认证自己。校验之后,所述校验方决定如何继续。
删除
uPass用户可能希望删除特定的档案或其整个uPass身份,而这由登记服务支持。这涉及删除所有个人数据和装置标识符以及所有已发布密钥的过期。
可能有在指定时间段内维持与uPass身份相关联的审计元数据的法律要求,因此删除可能涉及延迟部件。
中止
uPass用户看到误用时可以告发违规的用户,调查该事项期间将对该帐户施行中止。uPass系统可提供7至14日的uPass中止。被中止时,uPass必须发回被中止的uPass身份。
没有经审计的干预和对可执行中止原因的调查的话,不能发生中止。用于此的机制和过程在本文的范围之外,但应当清楚地成比例和设计为将恶意中止最小化或防止恶意中止。
撤消
有严重误用的怀疑时,可撤消uPass。撤消与删除类似,但可能需要记录关于该用户的额外信息,以防止他们在特定时间内重新加入uPass。
过期
uPass用户可能在某些不频繁的时间段(由过期时间68管理)被要求创建新的uPass。
如果uPass用户所有锚定身份文件过期,这必定自动触发对发布新uPass的请求。
多重uPass
用户可在给定时间内具有多于一个uPass帐户,然而,在uPass内实现多个档案必定减少这发生的程度。例如,希望以其婚前姓和婚后姓使用uPass的已婚女人可以用单一uPass上的多个档案做到,而不需要多重uPass。
装置登记
每个帐户可在任何给定时间具有与其相关联的一个或多个装置A12a、A12b。为了将新装置登记在uPass帐户中,必须在该装置和已为uPass用户的帐户登记的装置之间执行经审计的校验事务。
1.拍自拍照;
2.所述两个装置之间的证书交换(这意味着在一个装置上的校验应用程序A52扫描另一装置提供的证书A30,反之亦然);
3.新装置上线时,服务器询问所述证书是否有效;
4.如果所述证书有效,则所述新装置已登记。
装置再登记
如果uPass帐户具有至少一个其他与有效证书相关联的装置,则依照以上概述的装置登记过程再登记。
uPass帐户恢复
如果uPass用户仍然拥有已登记的装置,则与以证书被无效的装置再登记的相同方式来执行帐户恢复。否则,所述uPass用户可使用任何与帐户相关联的注册文件来再注册。
装置撤消
uPass用户可取消当前任何对其帐户登记的装置之授权。这将使他们当前拥有的与被撤消装置相关联的任何证书无效。
装置撤消不一定导致uPass中止。
两因素注册
如前所述,每个数字身份具有从注册过程中的身份文件得到的数据项。从注册文件获取数据项时,可能会假定发送NFC(近场通信)和OCR(光学字符读取器)-质量数据足以确认护照数据是有效的,然而,通过相同装置获取两个信息源不会确认数据在发送之前没有经过篡改。为此,可使用第二发送向量,其优选地涉及已信任代理和/或数据获取装置,以及某形式的可被审计的标准化注册者签名。
在注册过程的一个实施例中,注册者提供其照片,该相片以用于捕获注册数据的相同装置拍摄,被加上时间戳,并以元数据标记,所述元数据包括装置类型、操作系统、地理定位和网络地址。对于使用该装置捕获的注册数据的每一项,将捕获相同的元数据。
该照片和相关联的元数据提供审计跟踪,其可被用于帮助识别欺诈性注册。在提交时,某百分比的注册会被手动检查,以确保照片和注册身份文件的照片组件(例如护照照片)之间的视觉匹配。
优选地,面部验证服务A40在所有情况下比较这些照片,如对于照片描述相同的人有低的置信度水平,该相片将被标记以作视觉检查。除了单一的静态照片之外,从简要视频片段获取的帧(frame)可用于捕获活跃的感觉。在一些实施例中,由于发现使用多个帧不会提供面部验证软件的准确性,所以仅获取单一的帧。
由装置摄像机捕获的数据在uPass服务器到达注册服务A14a时,会受到OCR处理A42,以从身份文件提取数据项。
基于未加密数据生成数字签名。每个所捕获的数据项由加密块A44加密。所述数字签名用于在提交给注册服务前注释每个单独的已加密数据项。通过注册服务和已检查的数字签名对这些已加密数据项进行解密,保证整个注册提交的完整性。
在一个实施例中,为了进一步增强完整性,将不同的注册数据项发送到单独的端点,其被注册应用A22识别,并以单独的对称密钥加密。与所有系统发布的对称密钥一样,这些是一次性密码本密钥,其仅可使用一次,因此已知是唯一的。
为了实现所述两因素认证系统,注册者需要具有互联网访问的智能电话A12,其能够在HTTPS上通信,并包括合理质量(如5MP)的摄像机。NFC能力是有用的可选额外物。
注册过程
所述注册过程的描述将基于使用本机应用的诸如智能电话或平板电脑的移动装置A12,并以图4a和4b作为参考。所述应用将获取必要的照片、NFC和元数据,以便打包并提交给所述注册服务。
所述注册的工作流包括以下步骤:
S1/S2.注册者A20通过激活所述智能电话12上的图标启动注册事务,所述注册事务创建(SA2)包含至少256位的随机对称密钥k1的电子消息R1,所述电子消息将通过HTTPS发送到所述uPass注册服务14a。优选的对称算法是在GCM模式下操作的AES-256。
S3/SS4所述注册服务14a发送用所述注册者的密钥加密的响应R2:
1.三个独特的256位对称密钥k2,k3,k4;
2.三个不同的轮计数。
轮计数是正整数,其告诉客户迭代地执行以感兴趣数据值为种子的函数的次数。在这种情况下,我们使用所述轮计数来指定在生成SHA-2散列值时执行的迭代次数,其是对彩虹表攻击的防御。
所述响应R2被打包在标有仅HTTP和HSTS标记的cookie中;
S5.所述注册者使用其装置A12捕获注册请求的数据项:
1.装置执行可选的NFC芯片读取;
2.摄像机捕获:
1.扫描身份文件;
2.注册者的照片(自拍照)。
S6.记录包括时间戳,IP地址和地理定位的元数据;
S7.然后将其附加到每个要与所述项目计数一起提交的数据项;
使用HMAC为所述注册请求生成数字签名DS。
S8.用所述对称密钥k2,k3,k4之一对每个数据项进行加密,以创建相应的BLOB;
将所述不同的签名附加到每个已加密的项目;
所述注册者同意uPass的服务条款和条件;
每个已加密的项目被分派到单独的网络端点EP1,EP2,EP3。
S9.BLOB(注册项目)被收集在所述注册服务14a中;
检查每个数据项的地理编码和IP地址;
如果所有检查通过,则处理所述注册数据(参见图A5的数字护照格式):
1.护照扫描通过OCR服务来提取MRZ,照片和签名;
2.NFC数据提供DG1,DG5和DG7(MRZ,照片,签名);
3.提取的照片通过所述面部识别服务A40与所述注册者的自拍照进行比较。
S10.如果一切都匹配,那么可以使用以下方式创建uPass帐户:
1.匿名档案A28a;
2.照片ID档案A28b;
3.主要(年龄指示)档案A28c;
4.国籍档案(图形元素**)。
在某些情况下,仅有所述匿名档案A28a可能就足够了
S11.uPass证书会被提供给所述匿名档案(所述默认档案)的所述注册者应用。证书是仅对一次使用有效的随机数字序列,例如可以体现为QR码16。
所述注册服务14a由安全存储中的内存中的缓存24支持,其包含用于事务的与当前活动注册相关的数据元的工作组,包括:
1.用于每个活动客户注册的IP地址
1.装置ID;
2.对称密钥;
3.注册数据[k1]:
a.注册对称密钥[k2,k3,k4]
b.收到的已加密注册数据项;
c.已解密的数据项。
4.帐户创建消息;
5.帐户证书
为了增强安全性,可能需要实施数据是瞬态的,并且不能被存储到磁盘。
每个服务提供的密钥由所述安全存储A24生成,确保所有发布所有密钥是唯一的。伪造注册事务是不可能的,因为密钥是由所述注册服务器随机生成的并且不能被预测,因此无法使用一个事务中的密钥来猜测另一个事务中使用的密钥。唯一性的保证确保尝试重新使用先前的一组密钥将触发安全事件。
一旦已经接收和解密了用于注册的所有预期的数据项,则所述已解密护照扫描会被发送到OCR服务A42,并且返回的数据会被用作帐户创建消息的基础。这是针对任何接收到的NFC数据进行检查,以确认两个数据源呈现相同的身份,并且如果是这种情况则将所述嵌入的照片与面部识别服务A40中的注册者的确认照片进行比较,以确保视觉相似。
在这个阶段可以手动检查某百分比的传入注册,以确保所述OCR和面部识别过程正常工作,尽管这不是必须的。
如果所述注册数据通过这些测试,则所述帐户创建消息会被传递到确认其唯一性的所述安全存储A24。创建用于包含身份声明的帐户的数据存储,每个都锚定到其源文件,以及为此帐户创建三个或四个初始档案A28a,A28b,A28c,A28d。或者,身份声明可以被附加到源文件的数字签名
然后使用默认(匿名)档案为所述注册者装置生成适当的证书A30。所述证书存储在注册者的装置上,并被允许访问所述档案。所述安全存储A24现在包含可以使用该证书访问的档案记录。
在成功注册所述装置元数据后,例如使用已记录的装置类型和操作系统的组合以提供从所述用户的档案页面下载适当的uPass应用程序的链接。
为满足商家寻求用户验证的一些用例,所述商家本身必须已注册。
所述商家注册过程与所述标准用户注册过程相类似,但使用不同的主要文件。
对于英国的管辖范围,商家可能包括以下任何一种:
●已注册公司实体;
●个体经营者;
●合作伙伴;
●已注册慈善机构;
●俱乐部;
●社团。
作为商家的注册者是组织,而不是个人,并需要区分谁拥有所述uPass(所述商家)和谁被提名为管理员(一个或多个人)。
图A11a中显示了例示的所述注册过程图示。
置信锚
所述uPass系统的一个重要方面是uPass持有者之间的自我验证性质。也就是说,uPass持有者可以断言彼此身份的置信度。每个uPass可以充当其他uPass用户的个人档案的置信锚A110。
任何在内部添加到档案中的数据项都获得临时信任,这是由其他的uPass用户建立的校验数量和质量的函数。
一旦进入到档案中,这些数据项也可以在其他档案中使用,但是它们在其他档案中使用时,与这些档案相关联的所述临时信任将变成所述档案中最不可信任的数据项。这样一来,源注册文件所代表的所述临时信任总是会退化,只能由其他具有高水平临时信任的档案的uPass用户以统计上显着数量的校验来抵消。
第三方的档案
注册文件提供了可以以高水平置信度断言身份的手段。但是,在一些用例中,个人需要提供的身份不是来自于这些源,而是来自于他们在特定组织中的职业或成员资格。
为了允许这点,uPass可以具有由第三方分配给它的档案,而且这些档案的临时信任是由所述编写方强制的。与已分配档案相关联的数据项都不会被添加到可用于创建附加档案或修改现有档案的数据项组中,并且所述已分配档案只能由所述编写方修改。要分配档案,第三方必须是具有有效证书的uPass用户。他呈现此证书,并提供它是有效的,接收表单来输入关于新的uPass档案的数据。这是以前注册的,并且生成并发回证书。这可以传递给新档案的所有者。
已分配档案将继续存在,直到所述编写方取消它,或者直到它通过预先分配的过期期限。
社交图谱隐私
所述uPass系统包含一些可以有效确定个人在职业、朋友、官方文件、事务性关系和位置的社交图谱。对于这些图谱的完全访问对于所述uPass系统是私有的。
一个主要的例外是在uPass用户根据已分配档案执行校验时。在这种情况下,细节会被提供给所述档案的编写方,作为所述事务方的额外保障。
所述uPass系统的一个应用是在uPass系统的两个用户之间代理信任度,一个是寻求自己身份断言的个人,另一个则有兴趣使用该断言来校验一些服务或交互的资格。这可以看作是包含双方身份认证的单一事务。
该信任度事务需要两个单独的应用模式,一个在用户的移动装置上用于断言其身份(应用程序A50),另一个在商家的装置(应用程序A52)上用于验证断言,然后确定所述用户是否被授权进行特定动作。
要进行身份断言,便需要以视觉形式例如QR码或条码,或以作为与NFC或类似技术一起使用的可发送二进制Blob的形式来呈现装置上的证书A30。所述uPass认证应用程序向应用程序A52中的uPass读取器A54呈现适当的证书A30,然后将其分派给所述授权服务14b进行认证。如果此认证操作成功,所述uPass读取器应用程序A52则将接收对一个或多个uPass档案的访问,然后所述用户可以基于他现在可查看的档案中的数据项,例如照片,来确认他的身份。
当生成新证书时,它会被绑定到与所述uPass用户相关联的个人档案(参见图A3b中的数据库)。当使用所述证书时,该档案中的信息随后可用于信任度事务中的校验方。
为了增加安全性,所述档案不包含与所述uPass用户的链接。这种预防措施确保获得对特定档案的访问不会提供可访问所有与所述uPass用户相关联的档案的手法。只有与所使用的证书相关联的档案中的信息,以及其在已校验的uPass上以一系列已分配档案的形式发布的任何信息,才会暴露给另一方。
作为附加的保护措施,已发布证书可被绑定到所述装置的网络地址64,因此如果所述装置更改网络地址,所述证书也将被无效。
所述断言方的数字身份标识符A26在任何情况下都不会暴露。这对系统的完整性至关重要,即使是对非正式用例。同样地,除了与代理信任度所必需之外,没有所述断言方的个人信息会被披露。
证书创建过程的总结
该过程在注册新档案时由处理器A114(或通过任何合适的计算机机制)执行的所述身份管理码执行,并且在每种情况下使用所述档案。
1.在新装置注册时,确定所述装置的装置识别码;
2.计算该装置识别码的SHA-2HMAC;
3.安全地存储该装置识别码;
4.为每个所生成的证书:
1.创建随机盐值(最好长度至少为8个字节)
2.将其与所述存储的装置识别码组合,以创建唯一的证书号码;
3.以所存储的证书号码作为种子值迭代地执行SHA-2散列;
4.在指定的范围内随机选择迭代次数;
5.所产生的令牌是传递给所述装置的证书。
5.创建键入所生成的证书30的数据库条目,其包含(参见图A3b);
1.特定于该证书的随机参考密钥A60;
2.能够提供所述证书所绑定的档案的URI A62;
3.所述证书有效的装置的网络地址A64;
4.指向生成该证书的uPass用户的链接A66;
5.所述证书的过期时间A68;
6.与所述证书生命周期相关的其他元数据A70
证书是″单次使用″和″受限制的″。每个所生成的证书都是特定于所述装置和所述uPass档案。
单次使用证书
所述uPass系统的一个功能是允许用户呈现智能电话/平板电脑等来校验他们的身份。一种可能性是将其装置识别码用作装置上的证书。然而,这具有一旦分配了它就不容易被更改的缺点,并且还具有显示关于攻击者可以使用所述设备的信息的缺点。改进的替代方案是使用例如SHA-2的散列算法来迭代地使用基于序列号生成的密钥。这涉及到为所述序列号创建散列,然后创建以这个值为起始点的加盐散列。
只有初始散列值的HMAC会被存储,其使得不必知道其精确的装置识别码,就能够要描述的装置的身份,从而防止具有对所述安全存储A24的物理访问的任何人反转该过程以确定所述装置识别码,并恶意地使用这些信息。
要从装置捕获证书,uPass应用可以通过扫描所生成的包含证书的QR码,或通过诸如NFC,iBureau,条码等其他手段来接收证书。
受限制的证书
每个生成的证书都是特定于装置和uPass档案的。这样可防止在装置之间传输证书,并意味着任何给定装置只能一次显示一个档案。
通过创建随机盐值并将其与所述装置识别码组合来生成证书。然后将结果用作迭代生成的SHA-2散列值的初始种子值,其迭代的轮次数是随机确定的。
事务单据
每当校验事务发生时,生成两个单据A32e,一个被发送到校验方(即商家-校验方)和一个被发送到被校验方(即uPass用户-承载方)。单据包含四个信息:
1.与所用的特定证书相关联的随机参考密钥A60;
2.另一方呈现的证书所连接到的档案URI A62;
3.接收者当前分配给另一方的所有档案的列表的URI。
4.时间戳
所述随机参考密钥A60作为事务标识符,其与特定单据对相关,并从而与特定证书对相关。
生成单据时,以对称密钥将相关档案加密,并发布到在随机生成的URI的已发布档案存储A35。因此,两个为事务生成的单据都使用所述对称密钥来加密与其相关联的档案。
这些事务单据为应用提供与uPass交互的基础,这将在下面对uPass档案的讨论中进行说明。
每个装置包含单据本A300(图A1a),其保存来自先前事务的任意数量的单据。用户希望证明事务已经发生时,他们可呈现作为QR码等的单据,其仅包含用于所用证书的所述随机参考密钥A60。然后,这可以由商家或其他具有其自己的单据本的uPass用户进行协调。
在主单据本A31中保持所述单据的副本在线,所述主单据本A31包含至今所有已生成的单据。
认证
客户端装置必须被预先注册并认证自己,以对给定的档案执行uPass校验。
标准客户认证
每个已注册装置针对其被注册到的每个uPass用户包含单个一次性证书。提交所述证书会执行隐式认证,如果所述证书未知、过期或被无效,则认为其失败。还有在单据上使有效证书无效(作为随机化的额外安全检查)以为了安全目的而强制认证失败的小概率。
增强认证在标准认证交互失败时,或者在该用例需要时进行。
增强客户认证
有些事务需要比范数更高的置信度水平。对于这些,捕获全面部照片,并使用面部识别来识别潜在地可疑的事务。由于面部识别不是100%准确的,如果证书有效,则不能防止基于失败面部识别的标准认证,但防止了对增强认证的请求。
所述增强客户认证模式还用于保护管理操作和允许uPass用户在认证失败后再认证。
所述增强客户认证捕获装置用户的照片,该照片与该装置所注册到的uPass用户的面部识别数据库进行比较,如果识别失败,则触发并记录安全事件。
证书生命周期
证书具有生命周期,其涉及:将其绑定到uPass档案的其创建;其对特定装置的分布;以及其撤消或过期。仅在校验服务中管理所述生命周期。
创建证书时,将其记录在安全存储中,并用以下元数据A70将其标记,以用作管理其生命周期的一部分:
uPass档案,其中所述证书对该uPass档案有效
●请求所述证书的时间
●发布所述证书的时间
●在发布时请求装置的地理和网络位置;
●过期时间(如有);
●用于导致发布所述证书的校验的装置细节;
●所述证书是否已经被撤消。
随后接收到所述证书时,可以检查所有这种标记数据,以确认所述证书是否被正确使用。然后,使用所述记录在所述安全存储的别处创建审计和安全动作记录,并且然后使其无效。
可在任何时间撤消证书。发生撤消时,将证书的记录在所述安全存储中标记为被撤消,但不在该时间处理该记录。这允许uPass系统监控被撤消的证书的使用,并使用所得到的元数据来帮助欺诈分析和预防。
一旦撤消证书或使其无效,不能将其恢复为有效。
已过期和被撒消的证书的垃圾收集可通过两种方式之一发生:
●为所述证书发生校验查询时;
●通过背景垃圾收集任务,其收集已过期的证书。
处理被无效的证书
证书已过期或被撤消时,其使用(即有人尝试重用被无效的证书作有效使用)可指示其被绑定到的装置已被偷或被损害。这代表了严重的欺诈风险。
在这些情况下,我们不能向该装置发布新证书,直到已确认其仍然由uPass用户拥有,所述被无效的证书最初为了所述uPass用户而创建。
为了确认这一点,我们将该装置视为首次注册的新装置,关于登记的部分覆盖了一用例。
校验方认证
uPass校验方装置与标准uPass装置以一样原理构建。为执行校验,所述校验方装置必须呈现用于与其相关联的uPass装置的有效证书。这确保了只有uPass系统的用户才能对uPass信任网络进行查询。
将所述校验方证书作为请求的一部分发送。
承载方认证:断言身份
可以通过将认证限制于单个授权查询而不是进行中的事务性关系,将uPass用于创建身份系统的简单证明。此外,可以通过允许商家将档案分配给具有适当的过期日期的uPass用户,建立基于诸如客人列表或数字节日通行证的活动售票的更复杂的用例。
图A6示出只限承载方的认证过程。
只限承载方的认证发生时,uPass读取器A54将顾客A20提供的证书A30在消息A100中发送到授权服务14b。然后,该用户的证书在被标记为已使用之前被检查有效性,响应A122与档案的链接一同被发回到所述uPass读取器,所述档案保存照片以允许商家进行身份的视觉确认。
图A6以图示出完整情形的校验,其中在装置上的所述证书A30被一系列的发布锚A107和置信锚A110支持,所述发布锚A107指示注册文件A10的质量,所述置信锚A110指示该档案由其他uPass用户担保的程度。
由于证书A30是单次使用和潜在地受限制的,所以提供时可能将不再有效。在这情况时,新证书A30″可被所述服务14b自动生成,并被推送(A104)到承载方的装置和从那里到校验方,或者可要求uPass用户再登记该装置。
所述承载方认证过程如下。
1.uPass读取器A54请求证书以进行认证;
2.(如uPass用户具有多个档案,则是可选的)uPass用户选择要被校验的档案(注意校验将导致新证书被绑定到所述档案和其uPass装置);
3.uPass用户向uPass读取器呈现证书:
4.证书被绑定到uPass档案。
5.所述证书被分派到所述授权服务14b;
6.如果证书已经过期,则所述授权服务:
1.在uPass用户已经呈现有效身份的情况下:
1.向所述uPass用户的已注册装置分派新证书A104;
2.向所述uPass读取器发送再试消息。
2.否则:
1.向所述uPass读取器发送授权失败消息。
7.如果该证书有效:
1.使所述uPass用户的证书无效;
2.向uPass读取器发送消息A122,其包括具有照片的档案(或照片本身)的链接
8.在所有其他情况下,所述授权服务发送授权失败消息。
9.生成新证书并将其分别发送到每个uPass装置A12。
必须重复这整个过程以执行额外的授权,每次针对特定档案来认证所述uPass用户的证书,并导致证书发布的级联(cascade)。
图A6a示出了校验过程,其中校验承载方的证书和校验方的证书,并其中发布单据。这是以上参考图A6描述的承载方认证过程的更完整的描述。所述uPass装置的用户选择档案。所述承载方的uPass装置A12将绑定到该档案的证书A30b发送给uPass校验方A52,例如作为QR码。所述uPass校验方读取所述QR码,选择要使用的档案,并将所述承载方证书A30b和其自己的证书A30v提供给uPass校验服务。所述uPass校验确认所述证书A30v是有效的,并且如果是的,则继续处理所述证书A30b。如果所述证书A30b是有效的,它将被绑定到所述证书A30b的档案的链接发回(图A6中的消息A112)到所述校验方A52。它还向所述承载方装置A12发布新承载方证书A30b″和向所述校验方A52发布新校验方证书A30v″。每个新证书与单据一起被发回,所述单据为校验方表示为A32v,为承载方表示为A32b。在每种情况下所述新证书的生成与非匹配(个别)单据对的发布相关联。在每对中,一个单据被发送给承载方并包括校验方的新发布的已发布档案的链接和新承载方证书以供承载方以后使用,而该对的另一单据被发回到校验方并包括承载方的新发布档案的链接和新校验方证书。因此,在图A6a的实施例中,为校验方的新证书的创建而发布单据对,并为承载方的新证书发布单据对。所述两个单据A32b,A32v包括匹配的事务标识符,所述事务标识符识别它们被创建的事务,并将它们捆绑在一起。对应的主单据A32包括相同的事务标识符(其将它链接到相应的单据对)和链接两者而不是证书。
所述单据A32v可包括在相关档案中承载方的照片的链接。
在事务之间的任何时间,用户可以选择获取用于不同档案的证书。然而,他们在其装置上只能为给定的uPass用户具有一个证书。
图6b和6c示出了所述单据A32b,A32v的额外细节,所述单据在图A6a的校验事务中生成。每个所述单据A32b,A32v包括相同的事务标识符A60,其是用于该事务的对称加密密钥。所述承载方单据A32b包括在校验事务发布的校验方档案的版本的链接A62v,以及承载方刚呈现的与档案相关联的置信度A65v(即校验方的单据A32v中的链接A63b所指向的)。类似地,所述校验方单据A32v包括承载方的档案的已发布版本的链接A62b,以及校验方刚呈现的与档案相关联的置信度A65b(即承载方单据32b中的链接A63v所指向的)。每个承载方和校验方单据A32b,A32v还包括所有当前被分配到承载方和校验方另一方的档案的列表各自的链接A63b,A63v。
如上所述,除了承载方和校验方单据A32b(即C′B),A32v(即C′V)之外,为了事务生成主单据A32,其细节在图A6c中示出。所述主单据A32包括新承载方证书的散列A300b(例如HMAC),即H(C′B),以及新校验方证书的散列A300v,即H(C′V),其中H表示密码散列函数(例如HMAC),其被应用在该证书,从而生成该证书的散列。即,所述主单据A32包括在校验事务结束时发布的新证书A30b″,A30v″两者的散列。所述证书A30b″,A30v″不可单独由所述散列A300b,A300v获得。然而,分别向承载方和校验方发布的所述证书A30b″,A30v″即使已经使用过或过期,还可在以后用于对所述主单据A32进行定位。换句话说,所述散列A300b,A300v分别是所述主单据A32的第一和第二索引,其在(仅在)所述证书A30b″或A30v″之一在uPass系统变得可用时,可用于将它在主单据本A31中定位。通过对可用证书进行散列以生成搜索索引来定位主单据,所述搜索索引将与所述主单据A32的对应索引相匹配。可以以允许搜索这些索引的任何合适的方法来实现所述主单据本A31,例如作为分布式数据存储。
所述主单据A32还包括已发布档案的链接A62b,A62v两者、其相关联的置信度A65b,A65v和档案列表的链接A63b,A63v两者-全部都以事务标识符A60进行加密。可替换地或另外,所述链接指向的档案的已发布版本可以所述事务标识符进行加密。在实施例中,所述事务标识符A60不包括在所述主单据A32中,也不存储在uPass系统中。因此,在这样的实施例中,所述主单据A32的内容只能由所述单据A32b,A32v任一的持有者访问。
所述主单据A32还可以包括与两个先前分别用于承载方和校验方的主单据的至少一部分相匹配--在图A6d中分别为A32′和A32″。这数据是现时使用的承载方证书的散列302b的形式,即H(CB),以及现时使用的校验方证书的散列A302v的形式,即H(CV)。现时使用的承载方证书A30b的散列A302b与在事务中生成的较早主单据A32′的对应索引相匹配,其中第一次发布所述承载方证书A30b(第一较早主单据),而现时使用的校验方证书A30v的散列A302v与在事务中生成的主单据A32″的对应索引相匹配,其中第一次发布所述校验方证书A30v(第二较早主单据)。这些索引是公开的,因为它们没有用所述事务标识符60进行加密。因此可以分别使用承载方和校验方证书的散列A302b(即H(CB))和A302v(即H(CV))来定位这两个较早主单据A32′,A32″。由于较早主单据A32′,A32″以与主单据A32相同的方式生成,第一较早主单据A32′的公开索引之一将与来自当前主单据A32的H(CB)相匹配,该索引在较早事务中已经生成,其中CB被发布给在当前事务是承载方的实体(但在该较早事务中可以是承载方或校验方);同样,第二较早主单据A32″的公开索引之一将与来自当前主单据A32的H(CV)相匹配,该索引在较早事务中已经生成,其中CV被发布给在当前事务是校验方的实体(但在该较早事务中可以是承载方或校验方);进而,所述较早主单据A32′,A32″的那些索引以与当前主单据A32相同的方式涉及较早事务中发布给所述实体的单据(其其他索引也是一样)。
这两个额外的散列A302b,A302v也可用所述事务标识符A60进行加密。这允许那些较早主单据A32′,A32″仅在事务密钥A60从承载方或校验方单据A30b,A30v变得可用时,从当前主单据A32定位在主单据本31中。此外,所述较早主单据A32′A32″的每一个的内容,和/或其链接的已发布档案,以其自己相应的事务标识符进行加密,即其被创建的较早事务的相应事务标识符(与当前事务标识符A60不同),并且因此仅可以较早事务中创建的承载方或校验方单据访问。
所述主单据A32还包括第一或第二数字签名A304b,A304c,其分别由所述较早主单据A32′,A32″的至少一部分和/或其散列生成。优选地,从所述主单据的所有数据包括其公开索引来生成签名和/或散列。即为SIG(A32′)和SIG(A32″)。可以使用只有uPass系统知道的私人密钥来生成签名,并可使用对应的公开密钥以验证该签名来验证该单据是否真确。签名A304b,A304v也用事务标识符A60加密。
承载方和校验方单据A30b,A30v以密钥A306b,A306c加密,所述密钥306b,306c早前分别通过承载方和校验方与uPass系统注册。(如果用户想的话,可以使用该服务来存放公开或对称密钥,然后系统可使用它来安全地与其通信)。这意味着只有承载方和校验方可以分别访问其内容。
还可以在以不同手段生成的主单据中具有多个签名,并可以通过在主单据中包括额外证书和签名以允许主单据被分成多于两个单据。
增强校验
有些事务需要比范数更高的置信度水平。为此,可以采用增强校验过程。
1.承载方将带外面部图像连同其当前证书和该自拍照的拍摄时间发送到uPass服务器。
2.承载方向校验方发送其证书和承载方的面部图像。
3.校验方添加其证书到消息中,并将其发送给uPass服务器。
uPass服务器校验所述消息,并将从承载方发送到校验方的图像数据与在承载方和uPass服务器之间的带外通信中发送的图像数据进行比较。如果自拍照在执行校验时未到达,uPass服务器可将已发送给校验方的图像数据和承载方在其面部图像数据库中的先前条目进行比较。
从承载方发送到校验方的图像数据可以是来自面部图像的LBP提取物。
注意这里的自拍照是由承载方使用例如其移动装置上的摄像机捕获的面部图像。
相互认证点对点信任
uPass系统一个有用特征在于其建立两方之间相互信任的能力,允许比由承载方认证模式所允许的更宽的交互范围。在这情况下,每一方向另一方呈现证书以供授权服务进行认证,并建立进行中的事务。
事务性模型的优点在于事务不能重叠,因此,任何装置在同一时间仅能参与单个事务。如果装置尝试开始新事务,则可自动终止先前的事务。
相互认证发生时,每一方从另一方捕获证书,并将其分派到授权服务以进行认证。如果两组证书都认证,则建立事务,并向每一方发布唯一的对称密钥,其用于加密所述证书与服务器进行中的通信。这些密钥是有时间限制的(例如,大约5分钟的限制),并且如果所述事务正在进行中,所述密钥将在过期时被替代。
事务可在不确定的时间段内保持活动,但是要做到的话,双方必须在其密钥过期时向认证服务发送保活消息。如果任一方未能提供保活消息,事务会被终止。
作为附加的安全措施,每个事务可被绑定到用于发起它的特定装置,并被绑定到每一方的特定档案。
一旦发起事务,任一方可以为了所述事务的持续时间而针对另一方的活动档案来测试授权命题。
匿名认证
uPass系统将认证绑定到特定档案(A28a...A28d),但允许uPass用户通过其档案选择来控制向其他uPass用户揭示多少信息。因此,在不将任何个人细节揭示给彼此的情况下,两个uPass用户为了给定的目的代理信任仅以确认他们的物理外观是可行的。为了促成这一点,每个uPass用户具有相关联的匿名档案A28a。
档案化身(avatar)
证书的第二种可能性是使用特定的化身(图像、影片片段或音频文件),其由所述uPass系统发布,并具有嵌入在数据中的证书。具有公司标识的档案化身可用于嵌入证书。然后,可将化身图像提交给网站或经由NFC提供给移动装置,并且接收者将其认证到uPass系统上,并收回可用于确认用户身份的源数据。
所述化身作为证书的容器,所述证书除了需要嵌入和提取之外,还与任何其他uPass证书以相同的方式来处理。
每个化身都被绑定到uPass档案。在一些情况下,每个档案所允许的化身数量可能会有限制,这有待确定。
基于网络的认证
在上面的描述中,假设了使用专有应用由移动装置存储和读取uPass证书。另一个需要处理的用例是在桌面浏览器内运行传统网络应用的用例。
这在本文中称为uPass连接,并且在图A7中示出。
uPass连接
uPass连接提供了协议(protocol),由此希望登录到该系统的网络系统的用户可以在诸如电话或平板电脑的已信任装置上使用其uPass证书来登录。一个用例是用于网站和应用的,然而,uPass连接应当可与任何能够向uPass用户呈现唯一令牌的客户/服务器系统一起使用。
在这种情况下,执行两个信任查询:
●uPass用户A20正在寻求确认系统(网络服务器A80)的身份,其中他们正在向该系统提供证书;
●所述系统(网络服务器A80)正在寻求确认所述uPass用户20的身份。
由于正被用于登录到系统的本地装置A173(例如电脑)需要获取uPass装置A73和远程系统A80之间所介导的信任,所以这事务实际上涉及三个行动者。
装置登记
uPass连接代理服务器A80和客户端装置A12之间的信任。所述客户端装置12已为预期用户A20登记,并具有绑定到档案的证书A30。然而,服务器要与uPass系统交互,便需要登记为装置。这过程将服务器操作者的uPass档案A28绑定(图A3b的数据库中)到证书A30以允许交互。
一旦登记了,所述服务能够创建虚拟装置,所述虚拟装置然后可用于管理由服务器的预期用户发起的登录和注册。
虚拟装置
uPass校验事务需要每一个uPass证书唯一地绑定到档案和已登记装置两者。每当网络系统通过经由客户端应用向访问的uPass用户呈现登录或注册表格A177来建立会话,它需要向uPass系统唯一地识别该会话。这引入了对瞬时虚拟装置的需要。瞬时虚拟装置作为会话建立过程的一部分而创建,由步骤71″我想使用URI″触发。该装置使用标准uPass校验来登记,并被分配唯一的装置标识符。该装置标识符对于提供uPass连接会话的uPass用户需要是唯一的。不同uPass用户之间可重用相同的装置标识符。
一旦已经登记了所述虚拟装置,则向其发布证书A30,所述证书A30在网页中被发送(步骤A72),并成了QR码A179的基础。其将在所述虚拟装置登记之后发布的更新的网页A177中显示。在智能电话A12上的本身的应用程序可以扫描该QR码,并将其发送到uPass校验服务器A14。
信任的倒置
在前述部分中描述的标准uPass校验情况中,校验方要求希望参与他们的客户(承载方)提供uPass证书,所述uPass证书接着可对于uPass校验服务器被检查。由于不保证客户端应用将在能够从寻求使用网络服务的uPass用户请求证书的装置上运行,因此所述uPass连接不采用这种方法。
为避免这点,uPass校验方通过客户端应用以视觉形式(诸如QR码A179)呈现证书,而寻求访问的uPass用户A20将其扫描(步骤A73)到他们自己的uPass已登记装置A12中。作为QR码的替代方案,扫描可以通过NFC、蓝牙、Wi-Fi、音频或任何其他数据发送机制完成。这种灵活性允许uPass连接支持嵌入物联网的用例。
在步骤A74中,对URI验证服务执行检查以检查该URI的FQDN已被注册(步骤A75),向智能电话发回确认(步骤A76)。可以进行增强安全性的最佳额外步骤,其中在步骤A77中,装置A12将接收地址与所获取的令牌和其旧令牌一起发送。该接收地址用于打开反向信道,步骤A716。所述远程服务确认对智能电话A12的有效性,步骤A716。
这情况可以两种方式之一进行。在最普通的情况下,uPass承载方A20使用其移动装置A12以获得通过浏览器会话对网站的访问,所述浏览器会话在桌上型或膝上型装置A173上运行,所述装置A173扫描在客户端应用中显示的QR码。
然而,存在第二种可能性,其中uPass用户希望从托管其uPass证书的装置上的浏览器或应用连结到网站。在此情况下,QR码将从浏览器应用被传送到uPass应用,然后由此被发送到校验服务。
一旦获得,该证书(其被指示客户端应用尝试连结的系统的URI注释)被传递(步骤A77)给uPass校验服务,然后所述uPass校验服务通过查找图A3b中的数据库的证书来确定URI是否有效和已知。为了同时校验装置20的用户,在步骤A77中将其证书添加到消息中。假设证书被校验,将单据发送到URI服务器A80(步骤A78),其基于该单据呈现的已校验身份来确定什么操作(步骤A710)。还将单据发送到具有托管URI的服务器的细节的装置A12(步骤A79)以向用户A20显示(步骤A712)。
需要特定档案
支持uPass连接的服务器可能希望只接收到其已分配的档案。这可以反映在由其虚拟装置使用的证书中。
注册完成
uPass用户希望注册支持uPass连接的服务时,他们具有执行uPass校验的选项。这向服务器提供了其当前档案(提供用于注册表格的细节信息)和允许档案对于其uPass帐户发布的链接。
商业情况:在线年龄验证
uPass连接解决的关键问题之一,是某些基于网络的行业对限制访问其服务以响应最小年龄法规的需要。这适用于在在线赌博、色情、视频和通用零售领域中营运的站点。
站点营运者可要求uPass年龄检查档案来确定访问者访问其内容的法律合格性并且基于此采取适当的动作。执行该校验还会创建审计跟踪,使得站点所有者随后可以证明其符合法律。
商业情况:虚拟cookies
站点使用uPass连接以控制对其内容的访问时,其获得了能力以注释具有在后续访问可查询的站点特定档案的用户的uPass帐户。这些可用于存储任意信息,因此与基于浏览器的cookies具有类似的角色,只是没有将它们存储在用户的系统的不便。
商业情况:受限制站点成员
许多网站在其内容周围实施付费墙,并维持专有成员列表以控制在其中的访问,这必然也需要档案系统来允许用户定制化。有了uPass连接,可以通过标准uPass机制来管理成员访问和档案两者。
商业情况:使人尴尬的服务
可有正被访问的服务的性质是这样的情况,其中uPass用户因为个人尴尬的颇合理的原因而不希望将其照片与服务共享。
参考图A2,安全存储A24是安全的、维护隐私的数据存储,其包含用户证书和相关的元数据。系统设计的一目的是,uPass操作者应当对与任何给定的uPass用户相关联的个人信息仅有最小的访问。
如果该数据存储受到损害,潜在地所有用户的身份也受到损害。因此,所述安全存储放置在与外面世界隔离的单独的内部网段上,其具有多个硬件安全层以确保这点。在uPass服务和存储之间的数据链接被保护在协议水平上,以进一步降低内部威胁的风险。
●在数据存储A24内包含(见图3a/3b):
●每个个体的注册身份文件A10;
●其经授权移动装置A12a,A12b的细节;
●当前已发布的证书A30;
●所有先前发布和现时无效的证书A30′;
●身份声明和其置信锚A110;
●身份档案A28a...2b。
该内容以加密形式存储。
已加密数据库还需要搜索设施,这在一个实施例中通过存储每个可索引数据项的特征密码散列来实现。这些具有不可逆的优点,使得在安全存储被损害的情况下,使用它们作为恢复源数据的手段是不可行的,同时,具有非常低的碰撞概率使得它们成为良好的索引键。
每当接收到用于身份断言的传入请求时,uPass系统首先检查以查看该装置是否被授权以进行该请求。如果是,则将为双方生成单据,所述单据通过使用所提供的公开密钥被存储在主单据本中。
面部识别数据库
对于每个用户,单独的面部识别数据库对于该用户的照片保持受训练。
离线使用
上述的标准uPass机制是基于uPass承载方和uPass校验方两者的网络访问的可用性来预测的。
证书
uPass证书是一次性使用的,并且需要uPass校验服务的校验。因此,证书不能可靠地用于离线使用。
单据
单据是静态发布的标识符,其总是正确地解析为发布档案文件和已使用的证书。
可以根据事务单据的本地部署的高速缓存来建模许多离线用例。事务单据的本地数据库实际上是离线身份高速缓存,其具有由每个单据的照片支持的视觉用户校验。
单据中的事务标识符将永不改变,因此这可以被呈现为打印的QR码、在NFC标签中的条码或二进制blob。
uPass校验方有责任确保在其访问窗口过期前成功获得相关的档案数据,并且确保对事件中收费项进行了适当的考虑。
基于单据的使用可以后来通过线上机制协调,以提供具体的审计跟踪。
电子钱包
uPass的另一可能应用是数字钱包,其允许一笔金钱与特定装置相关联,并用于购买商品或服务。这实质上是添加事务性交换的资格用例的扩展,要求向卖主确认已经成功随着双方之间的实际转账进行了付款。
置信度--担保
可以以增加分配给目标实体的档案的置信度的特定意图来执行事务,其中担保实体为目标实体提供担保。所述担保实体从所述目标实体收集证书,并将其与他们自己的证书在电子担保消息中呈现给uPass系统。所述担保实体的证书被绑定到所述担保实体的档案,所述档案被分配有相对较高的置信度(相对于所述目标被绑定到其证书的档案)。基于该较高置信度,该事务导致目标实体的档案的置信度上升。作为事务,这使用了担保和目标实体的一次性使用的证书,相应地发布绑定到相应档案的新证书。
目标实体的档案稍后通过呈现目标的新证书而可用于校验方时,uPass系统除了揭示所述相关档案的(现在较高)置信度,还将所述担保实体向校验方识别为高置信度的源。例如,校验方可以是公司,担保实体可以是该公司的熟识客户,而目标实体是该公司的新客户。所述档案可以是为所述该公司的利益而专门创建的档案,从而目标档案的初始低置信度指示所述目标是未知客户的事实。
用例--图11B至H
在图11B至H的每个用例中,校验方从承载方捕获证书。在一些情况下,用户是承载方,而校验方是装置,在其他情况下则相反。有时两者都是人类。每个用例都是基于uPass事务的,其中校验方捕获承载方证书A30,并将其与他/她/它自己的证书呈现给uPass系统。两种证书都是一次性使用的,并且分别被绑定到承载方和校验方档案,其可以是专门为所述类型的事务而创建的档案。如果两种证书都是有效的,则发布一版本的校验方(分别地承载方)档案,并在发送给承载方(分别地校验方)的单据中提供所述已发布版本的链接。这使用了证书,因此在校验方和承载方的单据中还分别发布了新的校验方和承载方证书。
用户A20可通过在显示器上示出作为QR码的有效证书A30来向事件所有者(图A11b)验证其身份,所述证书A30被绑定到例如是事件特定的档案。在这种情况下,用户是承载方。事件档案的创建可以以用户已经支付适当入场费或一些其他预定的入场准则为条件。校验方(事件所有者)捕获证书并将其呈现给uPass系统。所述系统发布相关的档案,使得其可由校验方访问。所述档案可以简单地是用户A20面部的照片。校验方可以将所述照片与用户进行比较,从而验证该用户A20确实具有用于该事件的档案(因为他们与照片相匹配)并让他们进入事件。
由单独装置A1102上的网页(图A11c)输出的证书可被移动装置A12捕获,可用于同时向所述装置A12的用户A20验证网页和向网页验证该用户。在这种情况下,用户是校验方,而网络服务器是承载方。用户希望登录到单独装置上,以及使用其移动装置A12从单独装置捕获网站的证书A30。即,在移动装置A12通过单独装置A1102从网络服务器接收证书。用户将其自己的证书和所捕获的证书呈现给uPass系统。如果两者都是有效的,所述uPass系统则向网络服务器验证该用户(通过发布用户的相关档案至所述网络服务器可访问的位置,并发送具有该位置的链接的单据),并向该用户验证所述网络服务器(通过发布网络服务器的相关档案至所述用户装置A12可访问的位置,并发送具有该位置的链接的单据)。网站可以相应地准许用户访问,而用户可以在知道网站是真实的情况下安全地继续。网络服务器和用户现在都已经为其各自的档案使用了其一次性证书,因此新证书会与单据一起发布。图A12d示出了类似情况,其中直接在移动装置A12上访问网站。这里,证书A30(图A12d未示出)通过互联网或其他网络从网络服务器直接到移动装置A12。基础机制也是相同的。
图A11e示出了用户如何利用他们的移动装置A12从在网络服务器上托管的网站实现购买,所述网络服务器呈现在单独装置上。在捕获网站的证书后,需要用户通过输入PIN或扫描其指纹来提供额外的验证,例如在uPass应用程序向uPass系统呈现所捕获的证书和用户自己的证书以提供额外安全性之前。由于该网站对uPass系统具有置信度,其根据向其发布的单据允许事务继续。图A11f示出了等效情况,其中直接向移动装置A12提供网站,而没有额外的安全层。在图11e和11f中,关键方面在于同时地向用户验证网络服务器(因此用户知道他们能安全地从网站购买商品或服务),以及向网络服务器验证用户(因此网站知道售卖给用户是安全的)。显然,等效的用例是现实世界的用例,其中网络服务器用于替代操作单独装置A1102的人类销售商。图11g(单独装置)和11f(相同装置A12)示出用户如何使用其uPass来捐献给慈善机构。基础原理和所述购买的情况相同,只是在此用户获得的奖励是无形的。
事务--示例
被绑定到档案的证书可在uPass事务中使用一次,以执下以下各项中的一者:
1.简单地公布该档案以使其对于校验方是可访问的;
2.修改该档案,例如通过向其添加数据项;
3.创建新档案;
证书所绑定到的档案也在2和3中发布,因为那是uPass事务的固有部分。在2和3中,请求实体可以是例如雇主,而目标实体可以是雇员(见上),或请求实体可以是uPass系统本身的一部分,例如校验服务14b或uPass控制器A116,作为例外,uPass系统的所述部分可以不具有档案或其自己的证书(尽管不排除它们)。因此,在这种情况下,只可公布一个档案(目标的,被发送到uPass系统的部分),且只可生成一个新证书(用于和被发送给目标)。
如图A12所示,可以在三个实体(例如承载方A20、校验方A52,以及校验服务(认证器)14b)之间进行uPass事务。在图A12中,F表示要执行的函数。这可以是个简单的校验。它还可以是由公开API表示的安全存储A24专用的操作。A表示用于F的认证包装(authentication wrapper)。承载方A20(例如顾客)将其证书Cc发送到第一电子消息中的校验方A52(例如商家)。校验方使用要执行的函数F的指示符将其自己的证书Cm与承载方证书Cc发送到第二电子消息(″CmF(Cc)″)中的认证器14b。认证器将Cmf(Cc)和认证包装A的指示符以及其自己的证书发送到安全存储A24。生成了四个单据R1,R2,R3,R4({Ri})的组。用于事务的主单据被存储在主单据本A31中,并且承载方/校验方单据A32v/A32b(R2/R3)被发布到承载方和校验方A20,A52。R1被发布到认证器A14b,而R4被记录在安全访问记录A1202中。所有的单据R1,R2,R3,R4和主单据共享将它们全部链接在一起的事务标识符。
图A13示出了类似的情况,然而在这种情况下,顾客直接与认证器A14b通信,并接收单据R2,R3两者。
可选的生物特征:
在其他实施例中,可使用另一种类型的生物特征数据(除了自拍照之外,或在自拍照外加上),例如指纹图像或从其导出的生物特征模板(例如LBP)。为了有效,需要指纹的高分辨率图像。在装置的摄像机不配备提供具有必要分辨率的图像的情况下,可以使用超分辨率成像,从而使用已知超高分辨率技术来捕获和组合指纹的多个图像,以生成复合指纹图像,所述复合指纹图像具有比任何个别图像更高的图像分辨率。尽管可以由uPass系统实现,优选地在用户装置生成所述复合图像。相应地,上面任何关于自拍照的描述同样适用于指纹图像数据(或其他生物特征数据)。
在登记中的活跃度检测
在一些实施例中,在捕获护照图像的登记过程中,该相同的图像(或多个图像)可用于活跃度检测。即,在接收到身份文件的图像时,uPass系统可以处理它以同时验证所述文件是真实的和拿着它的手是真实的人手(例如基于纹理分析)。即,可基于相同图像来执行文件认证和活跃度检测。文件的真实性和拿着它的手的活跃度可以是将文件锚定在系统内的先决条件。
术语表
本发明的各方面及其实施例
下面对uPass系统的特征进行了阐述。
一方面涉及将由内容源提供的内容认证到本地装置以显示内容的方法,所述方法包括:在所述内容源和所述本地装置执行的浏览器之间建立通信会话;从所述内容源向所述浏览器发送校验页,所述校验页面包括内容认证令牌,所述内容认证令牌是与所述内容源绑定的随机生成的仅一次性使用的证书;通过验证应用从所述浏览器捕获所述内容认证令牌;将所述认证令牌发送至校验服务,所述校验服务确认所述令牌是否被绑定至有效的内容源;并且如果所述令牌被绑定到有效的内容源上,则使所述内容在所述本地装置上显示。
在实施例中,使得内容被显示可包括将内容源单据从所述校验服务发送到移动装置,其包含或指示有关于所述有效内容源的数据项。所述内容源单据可包括识别存储位置的链接,可从所述存储位置访问所述数据项,从而指示所述数据项。所述数据项可被由所述证书识别的内容源的数字档案所访问。可通过将所述档案的版本存储于可寻址存储位置来发布所述档案,并且将识别所述可寻址存储位置的链接包含在所述内容源单据中,从而指示所述数据项。
所述验证应用可在移动装置上执行,所述移动装置通过以下之一来捕获所述校验页上显示的所述内容认证令牌:数字图像捕获;扫描,近场通信和蓝牙。
所述内容认证令牌可由所述本地装置的本地浏览器所接收,并被传送至在所述本地装置上执行的所述验证应用。
使得所述内容被显示可包括向所述本地装置发送单据,其指示与所述有效内容源相关联的数据项。
所述令牌可识别所述内容源的地址,方法可包括将所述地址发送到地址验证服务以确认所述地址是有效地址。
所述数据项可以在所述移动装置上显示。
所述数据项可以是托管所述内容的服务器的细节。所述数据项可包括托管所述内容的虚拟装置和/或物理装置的细节,所述虚拟装置在所述物理装置上运行。
所述方法的步骤可包括从所述移动装置将装置认证令牌随着所述内容认证令牌发送到所述验证服务,其是被绑定到所述移动装置的随机生成的仅一次性使用的证书。
所述校验服务可使用所述装置认证令牌来使用所述证书来访问数字身份档案。所述校验服务可生成装置识别单据,所述装置识别单据包括或指示从所述数字身份档案访问的数据项,并将所述单据发送至所述内容源。所述内容源可基于所述装置识别单据中的所述数据项来确定是否发布内容。所述方法可包括在所述装置识别单据中发送新的装置认证令牌。
所述方法可包括向所述内容源发送新的内容认证令牌。
所述装置识别单据和所述内容源单据可共享相同的事务标识符。
所述方法的步骤可包括从所述本地装置将装置认证令牌随着所述内容认证令牌发送到所述验证服务,其是被绑定到所述本地装置的随机生成的仅一次性使用的证书。
所述内容源包括服务器,并且所述令牌可被绑定至所述服务器。所述内容源可包括服务器,并且所述内容认证令牌可被绑定至瞬时虚拟装置,其在由所述本地装置启动的会话建立过程中由所述服务器所创建。
置信度可与所述数据项相关联并与所述数据项一起显示。
另一方面涉及计算机系统,其包括:
被配置为实现校验服务的数字身份系统;
本地装置,其包括网络接口和被配置为执行浏览器的处理器,其操作以:
通过所述网络接口建立内容源和所述浏览器之间的通信会话,以及
从所述内容源接收校验页,所述校验页包括内容认证令牌,其是被绑定到所述内容源的随机生成的仅一次性使用的证书。
其中,验证应用从所述浏览器捕获所述内容认证令牌,并将所述认证令牌发送到校验服务,所述校验服务可确认所述令牌是否被绑定到有效的内容源;以及
其中,如果所述令牌被绑定到有效的内容源上,所述校验服务会使所述内容在所述本地装置上显示。
在实施例中,所述验证应用可在本地计算机装置上执行。所述计算机系统可包括移动装置,所述移动装置包括处理器和网络接口,其中,所述验证应用在所述移动装置的处理器上执行。
另一方面涉及用于创建计算机存储的数字身份的数字身份系统,其包括:
被配置为发送和接收电子消息的网络接口;
持久电子存储;
档案管理模块,其被配置为从实体接收包括数据项的电子消息,从所述电子消息提取所述数据项,以及将所述数据项存储在所述持久电子存储中的数字档案中;
证书创建模块,其被配置为生成用于档案的证书,并将所述证书关联到所述数字档案;
单据生成模块,其被配置为自动生成两个非匹配单据,每个单据包括事务标识符,所述单据的第一个包括识别档案发布到的存储位置的链接,所述单据的第二个包括所述证书,其中所述第一单据存储在所述数字身份系统中,而所述第二单据被发送到与该实体相关联的地址;以及
发布模块,其被配置为通过将所述档案的版本存储到可寻址存储位置来发布档案;
在实施例中,还可在所述数字身份系统的主单据本中生成和存储包括每个单据的数据的主单据,从而将所述第一和主单据都存储在所述数字身份系统中。所述主单据可仅包括所述第一单据的部分。所述主单据可包括所述链接而不包括所述证书。例如,所述主单据可包括所述链接和事务标识符,但不包括所述证书。或者,可用所述事务标识符加密在所述主单据中每个单据的数据,其中所述主单据不包括所述事务标识符。
所述证书可以是随机化的仅一次性使用的证书。
可创建多个与实体相关联的数字档案,每个档案与对该档案是唯一的证书相关联,其中可通过向对应的可寻址存储位置为每个数字档案分配唯一数据项组来发布每个数字档案。
所述数据项可在所述唯一组之间分享。例如,一组可以仅由所述数据项组成,并且所剩余的组可各自包括所述数据项和至少一个额外数据项。
所述数据项可以是实体的视觉图像。
可以在电子消息中接收多个数据项并将其存储在所述档案中。
从与实体相关联的计算机装置获得的元数据可与所述数据项一起接收,并被存储在所述数字身份系统。可以使用所述元数据来生成所述证书。例如,可以用所述元数据和随机盐的散列来生成所述证书。所述随机盐可以与所述元数据相关联地存储,从而可以从所存储的随机盐和所存储的元数据生成所述证书的副本。可以通过散列装置元数据和随机盐来生成所述证书随机数的次数,其中所述随机数可与所述随机盐和元数据相关联地存储。所述元数据可包括计算机装置的标识符(装置标识符)。
所述证书可通过在数据库中创建条目来与数字档案相关联,所述条目包括数字档案或指示符,所述指示符使得所述数字档案能够定位在持久电子存储中,其中发布模块可被配置为将所述证书用作对于所述数据库中的条目的密钥,以访问所述档案以供发布。
可以响应于所述呈现给数字身份系统的证书而发布所述档案。所述证书由所述实体之外的校验实体呈现,所述证书已被所述实体提供给所述校验实体。
所述证书可以是仅一次性使用的,所述证书创建模块可被配置为生成新证书以响应于将证书呈现给所述数字身份系统,从而档案的另一版本通过所述发布模块被发布到不同的可寻址存储位置以响应于将新证书呈现给所述数字身份系统。
装置标识符可与所述数据项一起接收并被存储在所述数字身份系统中,其中所述档案的发布可以以与所述证书一起呈现的匹配装置标识符为条件。
可以从随机生成的序列生成所述链接和/或可以基于随机生成的序列选择存储位置。
所述链接可以是统一资源标识符(URI)。
所述数字身份系统可包括置信度管理模块,其被配置为基于所述电子消息的源和所述数据项的类型的至少一个来向档案分配置信度。所述置信度可与所述档案一起公布,从而所述置信度和所述档案对请求实体可用。
所述置信度可随时间基于时钟信号(clock signal)而改变。
另一方面涉及用于创建计算机存储的数字身份的计算机实现的方法,其包括:
从实体接收包括数据项的电子消息;
从所述电子消息提取所述数据项;
将所述数据项存储在所述持久电子存储的数字档案中;
生成用于所述档案的证书和将所述证书关联到所述数字档案;
自动生成两个非匹配单据,每个单据包括事务标识符,所述单据的第一个包括识别档案发布到的存储位置的链接,所述单据的第二个包括所述证书;
将所述第一单据存储在所述数字身份系统;以及
将所述第二单据发送到与实体相关联的地址;以及
通过将所述档案的版本存储到可寻址存储位置来发布档案。
另一方面涉及注册数字身份的方法,其包括:
在计算机装置捕获与实体相关联的数据项;
创建包括所述数据项的电子消息;
向注册服务发送所述电子消息;
从所述注册服务接收单据;
从所述单据提取证书以使所述证书可用于访问所述数据项以认证所述实体;以及
将所述单据存储在本地单据本中所述计算机装置可访问的位置。
在实施例中,所述数据项可以从身份文件以识别数据的形式被捕获。
所述数据项可以以照片形式被所述计算机装置的摄像机捕获。
所述第一数据项可被下列之一捕获:扫描,近场访问;以及蓝牙。
所述本地单据本可被保存在所述装置可访问的服务器。
另一方面涉及通过在用户装置的处理器上执行数字身份软件来实现的方法以:
使用用户装置的摄像机捕获所述装置的用户的面部图像;
从真实世界身份文件捕获数据,所述数据包括识别照片,其中所述数据被所述摄像机捕获,从电子发送器嵌入锚文件中,或两者的组合;
将所述用户的图像和所捕获的数据发送到数字身份系统;以及
从所述数字身份系统接收用于用户的证书,其中向所述数字身份系统呈现所述证书使得所捕获的数据的至少一部分对呈现实体可用。
在实施例中,所捕获的数据还可包括文件的属性。
所述身份文件可以是护照或驾驶执照。
所述用户装置可以是诸如智能电话或平板电脑的智能装置。
另一方面涉及用户装置,其包括:
摄像机;
被配置为执行数字身份软件的处理器,其操作以:
使用所述用户装置的摄像机捕获所述装置的用户的面部图像;
从真实世界身份文件捕获数据,所述数据包括识别照片,其中所述数据被所述摄像机捕获,从电子发送器嵌入锚文件中,或两者的组合;
将所述用户的图像和所捕获的数据发送到数字身份系统;以及
从所述数字身份系统接收用于用户的证书,其中向所述数字身份系统呈现所述证书使得所捕获的数据的至少一部分对呈现实体可用。
另一方面涉及由数字身份系统实现的计算机实现的方法,所述方法包括:
从用户装置接收电子消息中的:所述用户装置的用户的面部图像,其在所述用户装置已被捕获;以及已从真实世界身份文件捕获和包括识别照片的数据;
将在所述数字身份系统捕获的数据的至少一部分存储在持久电子存储中;
使用面部验证算法比较所述面部图像和身份照片;以及
仅当所述面部图像与识别照片匹配时,生成用户的证书和将所述证书发送给所述用户,其中向所述数字身份系统呈现所述证书使得所存储的数据的至少一部分对呈现实体可用。
在实施例中,可在所述消息中接收文件的属性,并且仅当所述属性满足预定标准时,可生成和发送所述证书。所述照片和/或图像可以对所述呈现实体可用。
另一方面涉及数字身份系统,其包括:
被配置为发送和接收电子消息的网络接口;
被配置为执行操作的处理器,其包括:
从用户装置接收电子消息中的:所述用户装置的用户的面部图像,其在所述用户装置已被捕获;以及已从真实世界身份文件捕获和包括识别照片的数据;
将在所述数字身份系统捕获的数据的至少一部分存储在持久电子存储中;
使用面部验证算法比较所述面部图像和识别照片;
仅当所述面部图像与识别照片匹配时,生成用户的证书;以及
将所述证书发送给所述用户,其中向所述数字身份系统呈现所述证书使得所存储的数据的至少一部分对呈现实体可用。
另一方面涉及通过校验方装置认证承载方的数字证书的方法,所述方法包括:
由所述校验方装置捕获所述承载方证书;
向校验服务发送所述承载方证书和绑定到所述校验装置的所述校验方证书;
在所述校验服务中,校验所述承载方证书和校验证书,并且如果所述校验方证书是有效的,则使用所述承载方证书来访问数字档案的数据项和创建用于发送到所述校验装置的电子消息,所述电子消息指示所述数据项和包括由所述校验服务生成的新校验方证书;
发布新承载方证书和创建电子消息以将所述新承载方证书发送到与承载方相关的地址。
在实施例中,所述方法的步骤可包括使用所述校验方证书以访问与所述校验装置相关联的数字档案的数据项,并创建用于发送到所述承载方的电子消息,所述电子消息指示用于所述承载方验证的数据项。
所述电子消息可通过提供数字档案的版本的链接来指示所述数据项,所述数字档案被保存在所述链接中所识别的可寻址存储位置。
所述指示用于所述承载方验证的数据项的电子消息可通过提供数字档案的版本的链接来指示数据项,所述数字档案在所述链接所识别的可寻址存储位置与所述校验方相关联。
所述数据项可分别包括所述承载方或校验方的视觉图像。
可生成新承载方证书以用于发送到所述承载方,其包括在具有事务标识符的单据中。所述校验服务可生成主单据,其中所述主单据可被存储在主单据本中。所述校验服务可生成主单据本,所述主单据本与用于向所述承载方发送而生成的单据具有相同的事务标识符,其中所述主单据可存储在主单据本中。或者,可用所述事务标识符加密所述主单据的一部分,在该情况下所述事务标识符不包括在所述主单据中。
新校验方证书可包括在具有所述相同事务标识符的非匹配单据中。
与所述承载方相关联的地址可包括所述承载方先前注册的装置的地址,并与所述承载方证书相关联地存储。
生成新证书的步骤可包括使用随机生成的序列来生成被绑定到所述数字档案的新证书。
所述证书可以是仅一次性使用的。
另一方面涉及提供对保存在数字身份系统的持久电子存储中数字档案的访问的方法,所述方法包括:
从请求实体接受识别目标实体的电子请求消息;
响应于该请求而发布:(i)所述目标实体的数字档案,其通过将该档案的版本存储在可寻址存储位置中来发布,以及(ii)所述请求实体的数字档案,其通过将该档案的版本存储另一可寻址存储位置来发布;
生成两个非匹配单据,每个包括事务标识符,所述单据的第一个包括识别所述目标实体的档案发布至的存储位置的链接,所述单据的第二个包括识别所述请求实体的档案发布至的另一存储位置的链接;
将所述第一单据发送到与所述请求实体相关联的地址;以及
将所述第二单据发送到与所述目标实体相关联的地址。
在实施例中,目标证书可与所述目标实体在所述数字身份系统的数据库中的档案相关联,并且请求者证书可与所述请求实体在所述数字身份系统的数据库中的档案相关联,而发布步骤可以以在所述电子请求消息中接收到的匹配目标和请求者证书为条件。
所述证书可以是仅一次性使用的,并且所述方法可包括生成新目标和新请求者证书,并将它们分别关联到所述目标实体和请求实体在所述数据库中的档案,其中分别在第二和第一单据包括所述新目标和请求者证书。
所述方法可包括将主单据存储在数字身份系统,所述主单据包括该两种单据的数据并被存储在主单据本中。
所述主单据可包括该两种链接,但可以不包括所述新证书。可用所述事务标识符加密在所述主单据中该两种单据的数据(例如所述链接),在该情况下所述事务标识符不包括在所述主单据中。
所述主单据可包括该两种链接和所述事务标识符,但可以不包括所述新证书。
所述目标实体可以是承载方,而所述请求实体可以是有效性,所述承载方的档案为预先存在的数字档案,其在所述持久电子存储被访问以响应所述请求。
所述目标实体可以是注册者,而所述请求实体可以是所述数字身份系统的登记模块,其已在所述持久电子存储中创建了所述数字档案。
可将相应的置信度分配给每个与该档案一起公布并且可经由所述相应链接访问的档案。
另一方面涉及计算机系统,其包括被配置为发送和接收电子消息的网络接口,以及处理器,所述处理器被配置为实现以上任一权利要求所述的方法。
另一方面涉及数字身份系统,其包括:
被配置为发送和接收电子消息的网络接口;
持久电子存储,其保存目标实体的数字档案和所述请求实体的数字档案;
发布模块,其被配置为从所述请求实体接收识别所述目标实体的电子请求消息,并响应于所述请求而发布:(i)所述目标实体的数字档案,其通过将该档案的版本存储在可寻址存储位置中来发布,以及(ii)所述请求实体的数字档案,其通过将该档案的版本存储另一可寻址存储位置来发布;
单据生成模块,其被配置为生成两个非匹配单据,每个包括事务标识符,所述单据的第一个包括识别所述目标实体的档案发布至的存储位置的链接,所述单据的第二个包括识别所述请求实体的档案发布至的另一存储位置的链接,其中所述第一单据被发送到与所述请求实体相关联的地址,以及所述第二单据被发送到与所述目标实体相关联的地址。
另一方面涉及数字身份系统,其包括:
登记模块,其被配置为从登记装置接收数据项,并在持久电子存储中创建包括所述数据项的数字档案;
证书创建模块,其被配置为从随机序列生成证书,将所述证书与数据库中的所述数字档案相关联,以及向所述登记装置发送所述证书;
发布模块,其被置为响应于稍后将所述证书呈现给所述数字身份系统,以通过将所述数字档案的版本存储在呈现所述证书的装置可访问的存储位置来发布所述数字档案。
在实施例中,所述登记模块可被配置为还接收所述登记装置的元数据,其与所述档案相关联地存储在所述数据库中。
可以从随机序列和元数据生成所述证书,并且所述证书可以通过将所述随机序列和元数据与所述档案相关联地存储在所述数据库中来与所述档案相关联,并且其中所述系统可包括校验模块,其被配置为从所述存储在所述数据库中的序列和元数据生成所述证书的副本,并且所述档案的发布可以以所呈现的与副本匹配的证书为条件。
所述元数据可包括登记装置的标识符,并且所述档案的发布可以以与所述证书一起呈现的匹配装置标识符为条件,从而所述证书的使用限制于所述登记装置。
可通过将所述证书的副本与档案相关联地存储在所述数据库中来将所述证书关联到所述档案,其中所述系统可包括校验模块,所述校验模块被配置为通过将所呈现的证书与所述副本进行比较来校验所呈现的证书,并且所述档案的发布可以以所呈现的证书有效为条件。
可将识别所述可寻址存储位置的链接发送到所述呈现装置。
所述链接可从随机序列生成。所述可寻址存储位置可基于随机序列来选择。
另一方面涉及权利要求1的数字身份系统,其中所述持久电子存储还保存与另一数字档案,所述数字档案与另一证书相关联,并包括已经从所述呈现装置接收到的数据项,其中两种证书都由所述呈现装置呈现,并且作为响应,另一档案被发布到不同的所述登记装置可访问的存储位置。
在实施例中,所述数字身份系统可包括单据生成模块,其被配置为生成两个非匹配单据,所述单据的第一个被发送到所述呈现装置,并包括识别该档案发布至的存储位置的链接,所述单据的第二个被发送到所述登记装置,并包括识别另一档案发布至的另一存储位置的链接。
所述数字身份系统相应可包括置信度分配模块,其被配置为基于下列至少一项来向所述档案分配置信度:所接收的数据项的类型和所述数据项的源。
另一方面涉及在数字身份系统实现的方法,其包括:
从登记装置接收数据项;
在持久电子存储中创建包括所述数据项的数字档案;
从随机序列生成证书;
将所述证书关联到数据库中的所述数字档案;
将所述证书发送到所述登记装置,其中稍后向所述数字身份系统呈现所述证书导致所述数字档案的发布,其中通过将所述数字档案的版本存储呈现所述证书的装置可访问的存储位置来发布所述数字档案。
另一方面涉及提供对数字档案的访问的方法,其包括:
接收与在持久电子存储中的数字档案相关联的仅一次性使用的证书。
校验所述证书,并且仅当所述证书有效时,通过将所述档案的版本存储在可寻址存储位置来将所述档案发布到所述存储位置,从而使所述证书无效;
为所述数字档案生成新的仅一次性使用的证书;
所述新证书与所述数字档案相关联;以及
将所述新证书发送到与实体相关联的地址,从而所述实体可在之后使用该新证书一次以使所述档案被重新发布到不同的可寻址存储位置。
另一方面涉及计算机系统,其包括网络接口和被配置为实现所述方法的处理器。
另一方面涉及计算机系统,其包括:
电子存储;
被配置为接收电子消息的网络接口;
被配置为执行身份管理码的处理器,其操作以:
所述网络接口接收电子消息,所述消息包括至少一个要包括在实体的数字档案的数据项,所述数据项与所述实体相关,并唯一地识别所述实体;
所述电子消息提取所述数据项;
用所述电子存储中的所述数据项来创建数字档案,其中所述档案包括所述数据项;
所述档案分配置信度,其中基于至少一个所述电子消息的源和所述数据项的类型来分配置信度;以及
创建证书,并将其发送给实体,其中向所述计算机系统呈现所述证书使所述数字档案的版本和所述置信度对呈现实体来说是可用的。
在实施例中,所述电子可保存有多个与所述实体相关的数字档案,每个数字档案包括用于该数字档案的唯一数据项组。至少一些所述数据项可在所述唯一组之间分享。
在实施例中,所述电子存储可保存有与所述数字档案相关联的锚文件,其中可在电子消息中接收锚文件和从所述锚文件提取所述数据项。
可基于所述锚文件的类型和/或年龄来分配所述置信度。
可基于所述锚文件的源来分配所述置信度。
可通过将档案的版本存储到可寻址存储位置,并向所述呈现实体发送识别所述存储位置的链接,使所述档案的版本变得可用。
所述处理器可被配置为在每次将数据项存储在数字档案中时创建和发送证书,其中向所述计算机系统呈现每个证书可导致其相应的版本被存储到不同的可寻址存储位置,从而可发布所述档案的多个版本。
可基于随机序列来选择所述存储位置。所述链接可从随机序列生成。
所述链接可以是统一资源标识符。
所述数据项之一可以是实体的视觉图像。
所述实体可以是人,并且所述视觉图像可以是该人的面部图像。
所述电子存储可包括装置元数据存储部分,其保存有与已用于向所述网络接口发送电子消息的计算机装置相关联的元数据。
所述电子存储可以为多个实体中每一个保存一个或多个数字档案。
所述数字档案可包括多个从所述实体接收到的数据项。
身份管理码可用于分配与电子消息源相关联的置信度,使得当所述电子消息源对所述计算机系统是未知的时候,置信度是低的。
所述电子消息的源对所述计算机系统是已知的时候,所述身份管理码可用于分配适合于所述电子消息源的状态的置信度。
所述电子消息源是文件发布机构时,所述被分配的置信度可以是高的。
所述身份管理码可用于分配置信度,使得多个所述具有保存在电子存储中的数字档案的实体之一是所述电子消息源时,使用与该实体相关联的临时信任度来计算所述置信度。
所述临时信任度可以取决在一个或多个认证过程中的多个实体对所述数字档案的使用。
所述身份管理码可用于在接收到进一步的数据项时更新所述数字档案,并且其中所述档案被更新时,所述被分配的置信度会被改变。
所述处理器可被置配为基于时钟信号随时间而改变所述被分配的置信度。
可响应于接收到该实体额外视觉图像而提升所述置信度。
随后登录到系统时,可能需要实体呈现新数据项,并且所述置信度可基于新数据项而改变。
所述新数据项可以是该实体的视觉图像。
所述身份管理码可用于从第三方接收数据项以向该实体分配档案,并且其中所分配的置信度可取决于所述第三方的状态。
可从该实体接收所述电子消息。
可从与该实体不同的另一实体接收所述电子消息。
所述数据项可以是在所述消息中接收到的两个数据项之一,其中第一个是已被摄像机捕获的该实体的图像,第二个是已从现实世界身份文件捕获的识别照片,并且可通过比较所述两个数据项来分配所述置信度,并且所述置信度可反映它们匹配的程度,可使用面部验证算法来比较所述两个数据项。
另一方面涉及用于管理数字档案的计算机实现的方法,其包括:
接收电子消息,其包括至少一个要包括在实体的数字档案的数据项,所述与实体相关联的数据项唯一地识别该实体;
从所述电子消息提取所述数据项;
使用电子存储中的所述数据项创建数字档案,其中所述档案包括所述数据项;
向所述档案分配置信度,其中基于所述电子消息源和所述数据项的类型的至少一个来分配所述置信度;以及
创建证书,并将其发送给所述实体,其中向所述计算机系统呈现所述证书使所述数字档案的版本和所述置信度对呈现实体来说是可用的。
uPass系统的另一方面涉及包括数据存储的数字身份系统,所述数据存储具有至少一个存储位置,实体的身份数据保存在所述存储位置;被配置为接收电子消息的计算机接口,所述电子消息识别实体的身份数据在所述数据存储中的存储位置,其中所述消息包括该实体的仅一次性使用的证书;以及被配置为校验所述证书的计算机系统,并且如果所述证书是有效的,则从所述已识别的存储位置检索实体的身份数据,向所述实体发布新的仅一次性使用的证书,以及通过将所述已检索身份数据的版本存储到可寻址存储位置来发布所述已检索身份数据;其中所述计算机系统被配置为在主单据存储中生成主单据,其中所述主单据包括所述可寻址存储位置的链接和包括所述新证书的散列的索引。
在实施例中,所述主单据还可以包括在所述电子消息中接收的所述证书的散列。
所述计算机系统可以被配置为向另一实体提供,响应于接收到所述实体对所述另一第二实体的访问许可,单据包括所述链接的副本从而所述另一实体可访问所述实体的已发布身份数据。
所述单据可以包括事务标识符,其中用所述事务标识符对所述主单据中的链接和/或在所述可寻址存储位置的已发布身份数据进行加密。
所述计算机系统可被配置为仅当接收到所述与访问许可相关联的另一实体的仅一次性使用的证书时,向所述另一实体提供所述单据,其中在该情况下所述计算机系统向所述另一实体发布新的仅一次性使用的证书,其中所述主单据包括另一索引,所述索引包括所述被发布给所述另一方的新证书的散列。
所述计算机系统可被配置为向所述实体提供另一包括相同事务标识符的单据。
所述访问许可可以由包括所述实体的证书的电子消息来表示。
可以从所述实体接收包括该实体的证书的电子消息。
可以从所述另一实体接收包括该实体的证书的电子消息。
响应于在稍后时间通过所述计算机接口在电子搜索请求消息中接收所述证书的副本,所述计算机系统可被配置为生成搜索索引,所述索引包括在所述搜索请求消息中接收的证书的散列,使用所述搜索索引来在主单据本中定位主单据。
所述计算机系统可被配置为生成搜索索引,所述索引包括在所述电子消息中接收的证书的散列,使用所述搜索索引在所述主单据存储中定位具有与所述搜索索引匹配的索引的较早主单据,并从所述较早主单据的至少一部分生成散列和/或数字签名,其中所述主单据还包括所述较早主单据的至少一部分的散列。
所述散列和/或数字签名可以从基本上所有所述较早主单据包括其索引来生成。
所述另一实体可以保存有对称或私人密钥,并且所述计算机系统可被配置为使用所述私人密钥或相应在所述数字身份系统可用的公开密钥的版本来加密所述其他单据。
所述实体可以持有对称或私人密钥,并且所述计算机系统可被配置为使用所述私人密钥或相应在所述数字身份系统可用的公开密钥的版本来加密所述其他单据。
在所述主单据中的证书的散列可以用所述事务标识符来加密。
可以在包括所述实体的证书的电子消息后由通过所述计算机接口接收到的后续电子消息来表示访问许可。
所述电子消息可以是从所述实体接收到的共享令牌请求,其中所述计算机系统被配置为如果证书是有效的,则向该实体发布绑定到已识别存储位置中的身份数据的共享令牌以作响应,其中另一电子消息可从另一实体接收到,并包括所述共享令牌。
另一方面涉及包括实现上述系统、装置、应用或其他功能的任何一个的方法。
另一方面涉及计算机程序产品,其包括存储在计算机可读存储介质上并被配置为实现所述本文公开的任何方法、系统或装置功能的代码。
虽然参考特定实施例描述了上述内容,但是这些是示例性的,而其他变型对于本领域技术人员来说是显而易见的。所述范围不受所述实施例的限制,而仅由以下权利要求限定。
Claims (47)
1.一种追踪资产的计算机系统,包括:
资产追踪系统,包括:档案管理器和电子存储,所述电子存储将资产的初始档案与所述资产的资产标识符相关联地保存;
数字身份系统,包括:档案管理器和电子存储,所述电子存储被配置为保存实体的档案;
计算机接口,其被配置为接收资产转移通知,每个资产转移通知识别资产和参与所述资产的转移的相应实体;
其中,数字身份系统的档案管理器被配置为,每次接收资产转移通知时,在数字身份系统的电子存储中创建资产标识符与相应的参与实体的档案之间的关联;
其中,资产追踪系统的档案管理器被配置为,每次接收资产转移通知时,在资产追踪系统的电子存储中创建资产的新档案,其包括相应的参与实体的标识符,所述资产的新档案与资产标识符相关联地存储。
2.根据权利要求1所述的计算机系统,包括关联模块,所述关联模块被配置为,每次创建资产的新档案时,将资产的新档案与资产的下一个最近的档案相关联,从而创建档案的时间序列,其表示资产的转移链。
3.根据权利要求2所述的计算机系统,包括标签生成模块,所述标签生成模块被配置为:通过将散列函数应用于输入数据来为所述序列中的每个新档案生成标签,所述输入数据包括该新档案的数据和/或所述序列中另一档案的数据,其中该标签与该新档案相关联。
4.根据权利要求3所述的计算机系统,其中,所述另一档案是所述序列中较早的档案。
5.根据权利要求4所述的计算机系统,其中,所述较早的档案是所述序列中的下一个最近的档案。
6.根据权利要求3所述的计算机系统,其中,每个新档案的标签也是基于秘密密钥生成的。
7.根据权利要求6所述的计算机系统,其中,秘密密钥也被包括在应用了散列函数以生成标签的输入数据中。
8.根据权利要求3所述的计算机系统,其中,所述较早的档案的数据被用作散列函数的种子输入,并且该新档案的数据被用作输入到散列函数的内容。
9.根据权利要求3所述的计算机系统,其中,标签生成模块被配置为通过将散列函数至少应用于初始档案的数据来生成初始档案的标签。
10.根据权利要求1所述的计算机系统,其中,数字身份系统的档案管理器被配置为,当它在数字身份系统中创建关联时,将资产标识符与数字身份系统中先前的参与实体的档案解除关联。
11.根据权利要求1所述的计算机系统,被配置为存储资产标识符与第一代理资产标识符之间的关联;以及
其中,通过将所述代理资产标识符与相应的参与实体的档案相关联地存储在数字身份系统的电子存储中,创建资产标识符与相应的参与实体的档案之间的关联。
12.根据权利要求1所述的计算机系统,被配置为存储资产标识符与第二代理资产标识符之间的关联,每个资产转移通知包括所述第二代理资产标识符并由此识别资产。
13.根据权利要求1所述的计算机系统,包括访问模块,所述访问模块被配置为响应于接收到识别资产的资产所有者身份请求来:基于所述序列中最近的档案和/或基于数字身份系统中当前所有者的档案,生成识别资产的当前所有者的电子响应消息,并将所述响应消息发送给所述请求的发起者。
14.根据权利要求13所述的计算机系统,其中,所述响应消息向发起者提供当前所有者的视觉图像。
15.根据权利要求1所述的计算机系统,其中初始档案包括资产的初始所有者的标识符。
16.根据权利要求1所述的计算机系统,其中,资产的档案中至少一个包括参与实体的标识符,所述标识符包括:
参与实体的视觉图像,和/或
所存储的参与实体的身份数据的链接,和/或
发出给参与实体的付款帐户号码的至少一部分的散列。
17.根据权利要求16所述的计算机系统,其中,资产的至少一个档案中的链接是数字身份系统中的参与实体的档案的版本的链接。
18.根据权利要求17所述的计算机系统,其中数字身份系统包括发布模块,所述发布模块被配置为通过将参与实体的档案的副本存储到可寻址存储位置来发布参与实体的档案,资产的至少一个档案中的链接是所述可寻址存储位置的链接。
19.根据权利要求1所述的计算机系统,其中档案的多个时间序列被存储在电子存储中,每个表示不同资产的转移链。
20.根据权利要求19所述的计算机系统,包括分析器,所述分析器被配置为执行对所述多个序列的分析;
其中,资产是一个或多个活动的票证,并且执行所述分析以检测在至少一些所分析序列中出现的实体的至少一个标识符是否满足兜售条件。
21.一种追踪资产的计算机实现方法,包括:
在资产追踪系统的电子存储中创建资产的初始档案,所述初始档案与所述资产的资产标识符相关联;以及
接收资产转移通知,每个资产转移通知识别资产和参与所述资产的转移的相应实体,其中,每次接收到资产转移通知时,所述方法包括:
在数字身份系统:在数字身份系统的电子存储中创建资产标识符与相应的参与实体的档案之间的关联,
在资产追踪系统:在资产追踪系统的电子存储中创建资产的新档案,其包括相应的参与实体的标识符,所述资产的新档案与资产标识符相关联地存储。
22.一种追踪资产的计算机系统,包括:
电子存储,其将资产的初始档案与所述资产的资产标识符相关联地保存;
计算机接口,其被配置为接收资产转移通知,每个资产转移通知识别资产和所述资产的转移的相应参与者;
档案管理器,其被配置为,每次接收到资产转移通知时,在电子存储中创建资产的新档案,所述新档案包括相应参与者的标识符;
关联模块,其被配置为,每次创建资产的新档案时,将新档案与资产的下一个最近的档案相关联,从而创建档案的时间序列,其表示资产的转移链;以及
标签生成模块,其被配置为,通过对输入数据进行散列来生成所述序列中的至少一个档案的标签,并将所述标签与所述至少一个档案相关联地存储,所述输入数据包括所述至少一个档案的数据和所述序列中已知位置的至少一个其他档案的数据。
23.一种追踪资产的计算机实现方法,包括:
将资产的初始档案与所述资产的资产标识符相关联地存储在电子存储中;以及
接收资产转移通知,每个资产转移通知识别资产和参与所述资产的转移的相应参与者,其中,每次接收到资产转移通知时,所述方法包括:
在电子存储中创建资产的新档案,所述新档案包括相应参与者的标识符,以及
将新档案与资产的下一个最近的档案相关联,从而创建档案的时间序列,其表示资产的转移链;
其中,所述方法还包括:
通过对输入数据进行散列来生成所述序列中的至少一个档案的标签,所述输入数据包括所述至少一个档案的数据和所述序列中已知位置的至少一个其他档案的数据;以及
并将所述标签与所述至少一个档案相关联地存储。
24.一种用于资产追踪系统和数字身份系统的桥系统,所述桥系统包括:
输入,所述输入被配置为接收资产转移通知;
第一输出,所述第一输出被配置为连接到数字身份系统;
第二输出,所述第二输出被配置为连接到资产追踪系统;以及
电子存储,所述电子存储被配置为存储资产标识符和相关的代理标识符之间的关联;
其中,桥系统被配置为,响应于资产转移通知,将资产标识符提供给资产追踪系统,并将相关的代理标识符提供给数字身份系统。
25.根据权利要求24所述的桥系统,包括资产标识符生成器,所述资产标识符生成器被配置为响应于资产标识符请求而生成资产标识符。
26.一种计算机系统,包括:
数据存储,所述数据存储保存:多个档案,每个都是相应实体的档案,并与过去票证使用数据相关联地存储,所述过去票证使用数据基于过去票证使用的历史来指示所述相应实体将亲自使用发出给他们的票证的概率;
计算机接口,所述计算机接口被配置为通过计算机网络从请求装置接收票证请求,所述票证请求识别请求实体的档案;
一个或多个处理器,所述处理器被配置为执行用于管理票证的代码,所述代码被配置为在执行时实现:
票证控制器,所述票证控制器被配置为:响应于票证请求,基于与请求实体的档案相关联的过去票证使用数据来确定是否应该向请求实体发出票证,并且如果确定向请求实体发出票证,则通过所述网络以电子形式向请求实体发出票证,
接收模块,所述接收模块被配置为通过所述网络从校验装置接收票证使用通知,所述票证使用通知指示:请求实体的身份数据以及向校验装置呈现所发出的票证的呈现实体的身份数据,以及
档案管理器,所述档案管理器被配置为:基于票证使用通知来更新与请求实体的档案相关联的过去票证使用数据,由此,已更新的过去票证使用数据传达请求实体是否亲自呈现票证。
27.根据权利要求26所述的计算机系统,其中,已更新的过去票证使用数据指示请求实体和呈现实体的身份数据,并且处理器被配置为使用已更新的过去票证使用数据来比较呈现实体的身份数据与请求实体的身份数据以检测它们是否匹配,其中,票证控制器被配置为基于所述比较来确定是否拒绝来自所述请求实体的未来票证请求。
28.根据权利要求26所述的计算机系统,其中,请求实体的身份数据和呈现实体的身份数据被存储在计算机系统中,并且与票证的票证标识符相关联;以及
其中,票证使用通知包括票证标识符,从而指示请求实体的身份数据和呈现实体的身份数据。
29.根据权利要求38的计算机系统,其中,请求实体的身份数据形成请求实体的档案的一部分。
30.根据权利要求39所述的计算机系统,其中,票证请求包括绑定到请求实体的档案的证书,并且处理器被配置为实现用于校验证书的校验服务,其中,仅在证书有效时才发出票证。
31.根据权利要求26所述的计算机系统,其中,请求实体的身份数据和呈现实体的身份数据分别包括发出给请求实体的付款帐户号码的至少一部分散列和发出给呈现实体的付款帐户号码的至少一部分散列。
32.根据权利要求26所述的计算机系统,其中,请求实体的身份数据和呈现实体的身份数据各自包括对该实体唯一的字符串。
33.根据权利要求32所述的计算机系统,其中,呈现实体的唯一字符串是在票证使用通知中从校验装置接收的,已由呈现实体用票证呈现给校验装置。
34.根据权利要求26所述的计算机系统,被配置为将识别票证的真实所有者的档案与票证标识符相关联,其中,响应于票证被呈现给校验装置,所述真实所有者的标识符被发送到校验装置,并且由校验装置输出,并且过去票证使用数据的更新以校验装置的用户通过校验装置指示呈现实体是真实所有者为条件。
35.根据权利要求34所述的计算机系统,其中,响应于接收到识别票证和真实所有者的所有权变化通知,真实所有者的档案与票证标识符相关联。
36.根据权利要求34的计算机系统,其中,真实所有者的档案是请求实体的档案。
37.根据权利要求26所述的计算机系统,其中,计算机系统包括资产追踪系统,并且至少一个实体的身份数据形成资产追踪系统中的票证的档案的一部分,票证使用通知识别票证的档案。
38.根据权利要求26所述的计算机系统,其中,计算机系统包括资产追踪系统,其中资产追踪系统中的票证的档案包括至少一个实体的身份数据的链接,票证使用通知识别所述票证的档案以及用于检索所述至少一个实体的身份数据的链接。
39.根据权利要求26所述的计算机系统,其中,处理器被配置为实现关联模块,所述关联模块被配置为响应于票证请求,在数据存储中创建请求实体的档案与所发出的票证的票证标识符之间的关联,并且其中票证使用通知包括票证标识符,从而指示请求实体的身份数据;以及
其中,档案管理器被配置为使用在票证使用通知中接收的票证标识符来基于关联模块所创建的关联来检索请求实体的身份数据以用于所述比较。
40.根据权利要求27所述的计算机系统,其中,所述比较是响应于接收到未来票证请求而执行的。
41.根据权利要求26所述的计算机系统,其中,票证使用通知通过识别呈现实体的档案来指示呈现实体的身份数据,所述档案包括该身份数据。
42.根据权利要求26所述的计算机系统,其中,票证使用通知包括呈现实体的身份数据,并由此指示它。
43.根据权利要求26所述的计算机系统,其中,票证使用通知包括请求实体的身份数据,并由此指示它。
44.一种由计算机系统实现的方法,所述计算机系统包括数据存储,所述数据存储保存多个档案,每个都是相应实体的档案,并与过去票证使用数据相关联地存储,所述过去票证使用数据基于过去票证使用的历史来指示所述相应实体将亲自使用发出给他们的票证的概率,所述方法包括:
通过计算机网络从请求装置接收票证请求,所述票证请求识别请求实体的档案;
响应于票证请求,基于与请求实体的档案相关联的过去票证使用数据来确定是否应该向请求实体发出票证,并且如果确定向请求实体发出票证,则通过所述网络以电子形式向请求实体发出票证;
通过所述网络从校验装置接收票证使用通知,所述票证使用通知指示:
请求实体的身份数据以及向校验装置呈现所发出的票证的呈现实体的身份数据;以及
基于票证使用通知来更新与请求实体的档案相关联的过去票证使用数据,由此,已更新的过去票证使用数据传达请求实体是否亲自呈现票证。
45.一种用于检测票证兜售的计算机系统,包括:
票证发出器,所述票证发出器被配置为选择性地向票证请求实体发出票证;
电子存储,所述电子存储为多个所发出的票证中的每一个将该票证的初始档案与该票证的票证标识符相关联地保存;
计算机接口,所述计算机接口被配置为接收票证转移通知,每个票证转移通知识别所发出的票证中的相应一个和参与相应票证的转移的相应实体;
档案管理器,所述档案管理器被配置为,每次接收到票证转移通知时,在电子存储中创建相应票证的新票证档案,所述新票证档案包括相应的参与实体的标识符;
关联模块,所述关联模块被配置为,每次创建新票证档案时,将新票证档案与相同票证的下一个最近的档案相关联,从而在电子存储中创建多个时间序列,每个表示其中一个票证的转移链;以及
分析器,所述分析器被配置为分析时间序列以检测在至少一些时间序列中识别的实体何时满足兜售条件,其中,票证发出器被配置为基于所述检测来确定是否拒绝从该实体接收到的票证请求。
46.一种检测票证兜售的方法,包括:
在电子存储中为多个所发出的票证中的每一个创建该票证的初始档案,所述初始档案与该票证的票证标识符相关联;
接收票证转移通知,每个票证转移通知识别所发出的票证中的相应一个和参与相应票证的转移的相应实体;
每次接收到票证转移通知时,在电子存储中创建相应票证的新票证档案,所述新票证档案包括相应的参与实体的标识符;
每次创建新票证档案时,将新票证档案与相同票证的下一个最近的档案相关联,从而在电子存储中创建多个时间序列,每个表示其中一个票证的转移链;以及
分析时间序列以检测在至少一些时间序列中识别的实体何时满足兜售条件,并基于所述检测来确定是否拒绝从该实体接收到的票证请求。
47.一种计算机程序产品,其包括存储在计算机可读存储介质上并被配置为在执行时实现任何前述权利要求所述方法或系统功能的代码。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/726,333 | 2015-05-29 | ||
US14/726,315 | 2015-05-29 | ||
US14/726,315 US9519796B1 (en) | 2015-05-29 | 2015-05-29 | Systems and methods for electronic ticket management |
US14/726,333 US20160350861A1 (en) | 2015-05-29 | 2015-05-29 | Electronic systems and methods for asset tracking |
PCT/EP2016/062034 WO2016193156A1 (en) | 2015-05-29 | 2016-05-27 | Computer-implemented tracking mechanism and data management |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108140152A true CN108140152A (zh) | 2018-06-08 |
Family
ID=56087265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680043467.1A Pending CN108140152A (zh) | 2015-05-29 | 2016-05-27 | 计算机实现的追踪机制及数据管理 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3295388A1 (zh) |
CN (1) | CN108140152A (zh) |
WO (1) | WO2016193156A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109444219A (zh) * | 2018-12-25 | 2019-03-08 | 北京食安链科技有限公司 | 一种肉类食品营养品质快速检测探针及其检测方法 |
CN109600418A (zh) * | 2018-11-05 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 跟踪应用访问的方法、装置、设备及系统 |
CN110889133A (zh) * | 2019-11-07 | 2020-03-17 | 中国科学院信息工程研究所 | 一种基于身份行为混淆的抗网络追踪隐私保护方法及系统 |
CN111177743A (zh) * | 2019-12-06 | 2020-05-19 | 西安交通大学 | 一种面向信用大数据的风险控制方法及其系统 |
CN112529392A (zh) * | 2020-12-04 | 2021-03-19 | 国网山东省电力公司昌乐县供电公司 | 一种输配电系统中关键电力数据分析展示系统、方法及输配电监控服务器 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IT201700034573A1 (it) * | 2017-03-29 | 2018-09-29 | Aliaslab S P A | Metodo di identificazione remota per la firma di un documento elettronico |
WO2018232443A1 (en) * | 2017-06-23 | 2018-12-27 | Australian Postal Corporation | METHOD AND SYSTEM FOR IDENTITY CONFIRMATION |
US11669839B2 (en) * | 2017-07-05 | 2023-06-06 | Accenture Global Solutions Limited | System and method for processing a digital transaction |
EP3442249B1 (de) * | 2017-08-07 | 2019-05-22 | Skidata Ag | Verfahren zur vermeidung des missbrauchs von in mobilen elektronischen geräten mittels einer wallet-anwendung verwaltbaren elektronischen zugangsberechtigungen, welche an die mobilen elektronischen geräte von einem server mittels jeweils eines links zum herunterladen der zugangsberechtigung übermittelt werden |
WO2019048574A1 (en) | 2017-09-07 | 2019-03-14 | Yoti Holding Limited | DIGITAL IDENTITY SYSTEM |
TWI775040B (zh) * | 2020-01-22 | 2022-08-21 | 遊戲橘子數位科技股份有限公司 | 虛擬購物系統及其方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060229973A1 (en) * | 2005-04-12 | 2006-10-12 | Sternberg Michael I | Transaction structures, systems, and methods for issuing a debt instrument backed by a market value of an asset |
US20070067175A1 (en) * | 2005-09-09 | 2007-03-22 | Fulgham Mark T | Systems and methods for the provision of data processing services to multiple entities |
GB2461963A (en) * | 2008-05-19 | 2010-01-27 | Eventual Ltd | Access control system and method |
CN102129721A (zh) * | 2010-01-13 | 2011-07-20 | 威海世通网络技术有限公司 | 一种票证管理方法及装置 |
US20120331004A1 (en) * | 2010-03-19 | 2012-12-27 | Fujitsu Limited | Asset managing apparatus and asset managing method |
US20130238372A1 (en) * | 2012-03-12 | 2013-09-12 | Brown Paper Tickets Llc | Transferring mobile tickets to others |
US20150003280A1 (en) * | 2013-06-26 | 2015-01-01 | Cygnus Broadband, Inc. | Reporting congestion in access networks to the core network |
CN104268758A (zh) * | 2014-09-15 | 2015-01-07 | 周刚 | 一种基于发票和第三方电子商务平台的商品防伪系统 |
-
2016
- 2016-05-27 EP EP16725846.6A patent/EP3295388A1/en not_active Ceased
- 2016-05-27 CN CN201680043467.1A patent/CN108140152A/zh active Pending
- 2016-05-27 WO PCT/EP2016/062034 patent/WO2016193156A1/en active Application Filing
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060229973A1 (en) * | 2005-04-12 | 2006-10-12 | Sternberg Michael I | Transaction structures, systems, and methods for issuing a debt instrument backed by a market value of an asset |
US20070067175A1 (en) * | 2005-09-09 | 2007-03-22 | Fulgham Mark T | Systems and methods for the provision of data processing services to multiple entities |
GB2461963A (en) * | 2008-05-19 | 2010-01-27 | Eventual Ltd | Access control system and method |
CN102129721A (zh) * | 2010-01-13 | 2011-07-20 | 威海世通网络技术有限公司 | 一种票证管理方法及装置 |
US20120331004A1 (en) * | 2010-03-19 | 2012-12-27 | Fujitsu Limited | Asset managing apparatus and asset managing method |
US20130238372A1 (en) * | 2012-03-12 | 2013-09-12 | Brown Paper Tickets Llc | Transferring mobile tickets to others |
US20150003280A1 (en) * | 2013-06-26 | 2015-01-01 | Cygnus Broadband, Inc. | Reporting congestion in access networks to the core network |
CN104268758A (zh) * | 2014-09-15 | 2015-01-07 | 周刚 | 一种基于发票和第三方电子商务平台的商品防伪系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109600418A (zh) * | 2018-11-05 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 跟踪应用访问的方法、装置、设备及系统 |
CN109600418B (zh) * | 2018-11-05 | 2021-04-20 | 创新先进技术有限公司 | 跟踪应用访问的方法、装置、设备及系统 |
CN109444219A (zh) * | 2018-12-25 | 2019-03-08 | 北京食安链科技有限公司 | 一种肉类食品营养品质快速检测探针及其检测方法 |
CN110889133A (zh) * | 2019-11-07 | 2020-03-17 | 中国科学院信息工程研究所 | 一种基于身份行为混淆的抗网络追踪隐私保护方法及系统 |
CN110889133B (zh) * | 2019-11-07 | 2022-03-15 | 中国科学院信息工程研究所 | 一种基于身份行为混淆的抗网络追踪隐私保护方法及系统 |
CN111177743A (zh) * | 2019-12-06 | 2020-05-19 | 西安交通大学 | 一种面向信用大数据的风险控制方法及其系统 |
CN111177743B (zh) * | 2019-12-06 | 2022-02-22 | 西安交通大学 | 一种面向信用大数据的风险控制方法及其系统 |
CN112529392A (zh) * | 2020-12-04 | 2021-03-19 | 国网山东省电力公司昌乐县供电公司 | 一种输配电系统中关键电力数据分析展示系统、方法及输配电监控服务器 |
Also Published As
Publication number | Publication date |
---|---|
WO2016193156A1 (en) | 2016-12-08 |
EP3295388A1 (en) | 2018-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11727226B2 (en) | Digital identity system | |
EP3579524B1 (en) | Digital identity system | |
US10210321B2 (en) | Digital identity | |
US10325090B2 (en) | Digital identity system | |
US10878429B2 (en) | Systems and methods for using codes and images within a blockchain | |
US10594484B2 (en) | Digital identity system | |
US10484178B2 (en) | Systems and methods for providing a universal decentralized solution for verification of users with cross-verification features | |
US9648496B2 (en) | Authentication of web content | |
CN108140152A (zh) | 计算机实现的追踪机制及数据管理 | |
US20160239658A1 (en) | Digital identity | |
US20160241531A1 (en) | Confidence values | |
WO2019092046A1 (en) | Secure electronic payment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180608 |