CN114666168A - 去中心化身份凭证验证方法、装置,以及,电子设备 - Google Patents

去中心化身份凭证验证方法、装置,以及,电子设备 Download PDF

Info

Publication number
CN114666168A
CN114666168A CN202210561508.3A CN202210561508A CN114666168A CN 114666168 A CN114666168 A CN 114666168A CN 202210561508 A CN202210561508 A CN 202210561508A CN 114666168 A CN114666168 A CN 114666168A
Authority
CN
China
Prior art keywords
credential
target
certificate
originally
verifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210561508.3A
Other languages
English (en)
Other versions
CN114666168B (zh
Inventor
孔剑平
胡楠
王琪
李炳博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Weipian Technology Co ltd
Zhejiang Nanometer Technology Co ltd
Original Assignee
Zhejiang Weipian Technology Co ltd
Zhejiang Nanometer Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Weipian Technology Co ltd, Zhejiang Nanometer Technology Co ltd filed Critical Zhejiang Weipian Technology Co ltd
Priority to CN202210561508.3A priority Critical patent/CN114666168B/zh
Publication of CN114666168A publication Critical patent/CN114666168A/zh
Application granted granted Critical
Publication of CN114666168B publication Critical patent/CN114666168B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种去中心化身份凭证验证方法,属于计算机技术领域,有助于提升用户进行去中心化身份凭证验证的便利性。所述方法包括:在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定第一DID是否原始持有目标凭证;在第一DID原始持有目标凭证时,将第一DID原始持有的目标凭证发送至验证者,以进行验证;在第一DID未原始持有目标凭证时,获取由申请者的第二DID原始持有且授权给第一DID继承的目标凭证发送至验证者,以进行验证。本方法通过凭证继承,使得可以向验证者出示该用户授权给该DID使用的凭证,避免了用户针对每个DID分别申请各种可验证凭证的不便。

Description

去中心化身份凭证验证方法、装置,以及,电子设备
技术领域
本申请涉及计算机技术领域,特别是涉及去中心化身份凭证验证方法、装置,以及,电子设备及计算机可读存储介质。
背景技术
去中心化身份标识(即DID,Decentralized Identifiers)是基于分布式存储系统诞生的一种新类型的标识符,具有全局唯一性、高可用性、可解析性和加密可验证性。它独立于任何集中式注册表,身份提供者或证书颁发机构,通常使用分布式账本技术(例如区块链)来存储和验证两个或多个参与方之间的身份或交易,保证数据一旦被记录就不能被篡改,能够实现许多安全和隐私保护保证。去中心化身份标识可以用来标识人员、组织和事物等。例如,元宇宙中可以使用去中心化身份标识来标识数字化身;基于区块链的保险应用、银行应用中,也可以使用去中心化身份标识来标识现实世界中的某个用户。
现有技术中,现实世界中的某个物理实体(如人)在不同分布式系统中可能具有多个DID。以元宇宙为例,同一用户在不同的元宇宙中有不同的数字化身,在一个元宇宙的不同域中或组织中有不同的数字化身,对于用户而言,需要为每个数字化身申请身份凭证或进行验证,及其不方便。
可见,现有技术中的去中心化身份凭证验证方法还有待改进。
发明内容
本申请实施例提供一种去中心化身份凭证验证方法及装置,有助于提升用户进行数字身份凭证验证的便利性。
第一方面,本申请实施例提供了一种去中心化身份凭证验证方法,包括:
在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;
响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;
响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证。
第二方面,本申请实施例提供了一种去中心化身份凭证验证装置,包括:
目标凭证持有判断模块,用于在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;
第一目标凭证获取发送模块,用于响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;
第二目标凭证获取发送模块,用于响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证。
第三方面,本申请实施例还公开了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本申请实施例所述的去中心化身份凭证验证方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时本申请实施例公开的去中心化身份凭证验证方法的步骤。
本申请实施例公开的去中心化身份凭证验证方法,通过在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证,有助于提升用户进行去中心化身份凭证验证的便利性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请一个实施例中去中心化身份凭证验证方法流程示意图;
图2是本申请一个实施例中构建的DID父子关系示意图;
图3是本申请实施例中去中心化身份凭证验证方法另一流程示意图;
图4是本申请一个实施例中去中心化身份凭证验证装置结构示意图之一;
图5是本申请一个实施例中去中心化身份凭证验证装置结构示意图之二;
图6示意性地示出了用于执行根据本申请的方法的电子设备的框图;以及
图7示意性地示出了用于保持或者携带实现根据本申请的方法的程序代码的存储单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
本申请实施例公开的一种去中心化身份凭证验证方法,如图1所示,所述方法包括:步骤110至步骤130。
步骤110,在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证。
其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的。
本申请实施例中所述的去中心化身份凭证验证方法可以应用于现有技术中的去中心化身份标识系统中。本申请通过对现有技术中去中心化身份凭证验证流程进行改进,提升了用户身份凭证验证的便利性。
为了便于读者理解本申请实施例公开的去中心化身份凭证验证方法,下面对现有技术中去中心化身份标识(DID)系统的验证流程进行简要说明。
去中心化身份标识(Decentralized Identifier,DID)是一种新类型的标识符,具有全局唯一性、高可用性可解析性和加密可验证性。DID通常与加密材料(如公钥)和服务端点相关联,以建立安全的通信信道。
DID 分成两部分,一部分是基础层,另一部分是应用层。
在基础层中,主要提供 DID 的存储和不可以篡改的保证,为上层的应用层提供服务,包括:DID标识符和DID document;其中,DID标识符实际上会作为一个 key,对应的value 就是DID document,具体的信息会在 DID document 中。DID document 是一个标准的Json,其中会包括一些用户(即对应该DID)的公钥、所使用的 DID 协议以及 DID 的服务请求地址、时间戳、签名等信息。
在应用层中,用户并不是直接使用 DID来进行验证,而是会使用可验证声明(Verifiable Claims 或 Verifiable Credentials,本文接下来简称VC)。 VC 的产生、传输和验证都是在应用层进行的。
VC需要用一套系统来支持。在VC的这套系统中,有以下几种参与者:发行者(Issuer)、验证者(Inspector-Verifier,IV)、持有者(Holder)和标识符注册机构(Identifier Registry)。下面分别对各个参与者的功能进行简要说明。
标识符注册机构(Identifier Registry):维护DIDs标识符及密钥(DID文档)的数据库,如区块链、可信数据库、分布式账本等。
发行者(Issuer):能开具VC(能访问用户数据),如政府、银行、大学等机构和组织。
验证者(Inspector-Verifier,IV):接受VC并进行验证,由此可以提供给出示VC者某种类型的服务,如招聘公司。
持有者(Holder):如用户,能向Issuer请求&接收、持有VC的实体。开具的VC可以存放在如数字钱包里,方便以后再次证明时使用。持有者还能够向验证者IV出示VC。
现有技术中,上述各参与者在DID系统中基于不同功能模块实现交互。
例如,现有技术中DID系统在用户端设备上包括:用户代理单元、数据存储单元,以及,声明验证单元。
其中,用户代理单元是真实用户能够使用其去中心化身份标识的应用,用户可通过其生成DID,管理数据和许可,签发或者验证DID身份相关的声明。在某些实施例中,用户代理单元可以是数字钱包应用。
数据存储单元用于存储用户数据,例如,可以存储包括:身份数据、可验证声明数据(Verifiable Claim,简称Claim)、DID相关身份资产数据、DID相关身份等。其中,可验证声明是发行者使用自己的 DID 给用户的 DID 的某些属性做背书而签发的描述性声明,并附加自己的数字签名,可以认为是一种数字证书,也称作“凭证”。
声明验证单元可以实现对可验证声明的申请、签发、授予和验证。
在实际应用中,当用户(即前述持有者,在凭证申请阶段,可以称为“申请者”)需要向某个发行者申请可验证声明时,用户可以通过如数字钱包向发行者发送验证凭证请求,其中,所述验证凭证请求中携带用户与申请的可验证声明相关的信息(例如,当用户需要申请一个身份证明时,需要在验证凭证请求中携带照片、姓名、地址证明等信息)。发行者验证接收到的验证凭证请求中所带的信息(可以通过线上或线下验证),如果验证通过则会把针对该验证凭证请求签发的凭证存储到身份hub(即分布式个人信息、应用程序数据和消息存储中继节点)。之后,申请者通过该验证凭证请求的受理号查询凭证签发结果,如果通过则拿到一个访问身份hub的服务端点(endpoints)。申请者通过DID认证后,访问身份hub获得前述签发的凭证。
至此,申请者真正原始持有该凭证。
在用户执行需要身份凭证验证的操作时,例如,访问某个网站时,需要基于自身持有的某个DID向相应网站发起服务申请,该网站需要用户当前DID提供相关资质证明的凭证(credential)才可进行。
因为DID对应的DID文档里没有用户的真实信息,所以当用户进行某个操作时,网站需要用户出示证明。比如,要求用户证明“我XXX年龄已经大于18周岁”。此时,用户就需要Issuer(发行者)帮忙发出(并签名)一个可验证声明(即VC)给网站,网站作为验证者Inspector就可以进行验证。验证通过,用户就可以访问该网站了。
通常,用户可以预先向Issuer(发行者)申请可验证声明,即凭证,并保存起来(如存储在自己的数字钱包中),便于在需要的时候出示给验证者。
本申请的实施例中,将DID系统在用户端设备上运行的应用记为“第一应用”,即,第一应用中包括:用户代理单元、数据存储单元,以及,声明验证单元。将用户访问需要身份凭证验证的服务的应用记为“第二应用”。
现有技术中,当用户以第一DID的身份(如用户在第二应用中注册的DID)通过第二应用访问需要身份凭证验证的服务,如通过第二应用访问某个需要身份凭证验证的网站时,服务端作为验证者需要第二应用提供用户的身份验证证明(即身份凭证)。本申请的一些实施例中,所述验证者接收到的第二应用发送的,基于该用户(即申请者)的第一DID发起的服务申请之后,根据服务申请确定需要验证的身份证明,即目标凭证(如需要验证申请者是否已经满18周岁),之后,根据第一DID和确定的需要验证的身份证明,向第二应用发送目标凭证验证信息,以指示需要提供第一DID的目标凭证。
此时,第二应用可以通过调用第一应用的方式,获取第一应用中存储的该第一DID的身份验证证明,即本申请实施例中所述的目标凭证。
通常情况下,用户在访问某些服务之前,会预先从相应发行者(Issuer)处申请到相应的目标凭证,并存储在第一应用本地。例如,第一应用通过内置的声明验证单元向指定发行者(Issuer)申请可验证声明,之后,通过数据存储单元存储从相应发行者(Issuer)处申请可验证声明。
在声明验证单元向指定发行者(Issuer)申请可验证声明时,需要提供用户的DID信息,即发行者(Issuer)签发的可验证声明,是针对指定DID签发的,所述可验证声明中携带原始持有该可验证声明的DID。在需要获取某个DID的可验证声明时,第一应用可以基于DID查找数据存储单元中存储的可验证声明,以确定指定DID是否原始持有指定凭证。
步骤120,响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证。
现有技术中,当第一应用接收到验证者(如用户要访问的服务)发送的目标凭证验证信息之后,首先确定所述第一DID是否原始持有所述目标凭证,如果第一DID原始持有所述目标凭证(例如,所述第一DID预先从相应发行者(Issuer)处申请到该目标凭证,并存储在所述第一应用中),则第一应用直接将该目标凭证反馈给所述验证者。如果第一应用确定本地未存储所述目标凭证,即所述第一DID未原始持有所述目标凭证,则第一应用将向所述验证者反馈指示凭证读取失败的信息。
本申请的一些实施例中,所述第一应用可以通过第二应用将该目标凭证反馈给所述验证者。即第一应用将所述目标凭证反馈给第二应用,由第二应用转发给所述验证者。本申请的另一些实施例中,也可以在第二应用拉起第一应用时,建立第一应用和验证者之间的通信连接,之后,由所述第一应用通过建立的通信连接将所述目标凭证反馈至所述验证者。
当然,本领域技术人员还可以采用现有技术中的其他方案,将第一DID的反馈信息反馈给所述验证者,本申请实施例中不再一一例举。本申请对将第一DID的目标凭证反馈给验证者的具体实施方式不做限定。
步骤130,响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证。
现有技术中,当第一应用确定所述第一DID未原始持有所述目标凭证时,将向所述验证者反馈指示凭证读取失败的信息。
本申请的一些实施例中,当第一应用确定所述第一DID未原始持有所述目标凭证时,进一步判断该第一DID是否从该DID所属用户的其他DID处继承到该目标凭证,并在该第一DID从该DID所属用户的其他DID处继承到该目标凭证时,将继承到的目标凭证,反馈至所述验证者,用于由所述验证者基于第一DID从其他DID继承的目标凭证进行验证。
例如,用户A可以设置某个DID(如第二DID)原始持有的可验证声明继承给其他DID(如第一DID)使用。这样,在用户A的其中一个DID(即第一DID)需要向验证者提供某个可验证声明(即凭证)时,如果该DID(即第一DID)没有申请并获得该可验证声明,则可以将用户A的另一个DID(即第二DID)原始持有的可验证声明出示给所述验证者,以进行身份凭证验证。
具体举例而言,某个用户A遵循DID规范不同组织中具有不同的DID,用户A可以基于每个DID在相应的组织(即发行者(Issuer))中申请可验证声明,并将在不同组织中申请的可验证声明存储在自己的终端设备上安装的第一应用中。例如,用户A可以DID1的身份向具有公信力的身份管理组织申请姓名、性别、年龄的可验证声明(例如可以社会公民身份DID1向公安部门申请身份证明,记为“可验证声明1”);该用户A还可以向学历查询组织申请用于证明自身学历的可验证声明(例如,以学生身份DID2向学校申请“学历证明”,记为“可验证声明2”);再例如,该用户A还可以向工作单位申请用于证明自身就职请情况的工作情况证明(例如,以员工身份DID3向任职单位申请在职证明,记为“可验证声明3”)。
本申请的一些由上述可验证声明的申请和签发过程,可知上述“可验证声明1”、“可验证声明2”和“可验证声明3”都是用户A的可验证声明。因此,实施例中,用户A可以设置将自身的为某个DID签发的部分或全部可验证声明共享给用户A的其他DID使用。例如,用户A可以将DID1申请的“可验证声明1”共享给DID2和DID3使用。这样,在用户A的DID2需要向验证者提供“可验证声明1”时,则可以将用户A的DID1原始持有的“可验证声明1”出示给所述验证者,以进行身份凭证验证。
本申请的一些实施例中,所述获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,包括:遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID;获取所述第二DID原始持有的所述目标凭证。其中,所述凭证继承关系中记载了该申请者(如用户A)的各个DID原始持有的可验证声明,以及,各DID可以从哪个DID继承哪个或哪些可验证声明。
本申请的一些实施例中,用户A的凭证继承关系可以通过树状结构或者表状结构进行存储,所述当需要查找某个DID从其他DID继承的可验证声明(即凭证)时,可以通过遍历用于存储所述凭证继承关系的树状结构或表状结构,查询所述某个DID是否可以从其他DID继承指定可验证声明,以及,确定该可验证声明的原始持有DID。
本申请的一些实施例中,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID之前,还包括:根据申请者的配置操作,建立所述申请者的多个DID的父子关系;基于所述父子关系生成所述申请者的DID之间的凭证继承关系;其中,凭证包括:所述目标凭证,所述凭证继承关系用于指示:各自DID有权限继承其父DID原始持有的凭证以及继承的凭证,以及,指示各DID原始持有的凭证、各DID的直接继承来源DID。例如,第一应用默认父DID持有的全部凭证可以由其自DID继承,这样,用户可以根据其所期望的凭证继承关系,设置各个DID的父子关系。例如,将原始持有基础身份的凭证(即可验证声明)的DID作为父DID,而将其他DID作为子DID,构建父子关系,那么,构建的父子关系自然体现了各个DID的凭证继承关系。
本申请的一些实施例中,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID之前,还包括:根据申请者的配置操作,建立所述申请者的多个DID的父子关系;响应于所述申请者基于所述父子关系授权指定父DID的子DID继承所述指定父DID原始持有的凭证,生成所述申请者的DID之间的凭证继承关系;其中,凭证包括:所述目标凭证,所述凭证继承关系用于指示:各DID原始持有的凭证和各DID的凭证继承权限,以及,各DID的直接继承来源DID。
在父DID的凭证可以配置为由子DID继承的应用场景下,用户可以通过第一应用设置自身拥有的各DID的父子关系。本申请的一些实施例中,用户可以根据DID的签发机关、组织等级别设置用户自身的各个DID的父子关系。本申请的另一些实施例中,用户还可以按照其他逻辑设置其自身各个DID的父子关系,本申请对此不做限定。
例如,用户A可以将通过身份签发机关、有公信力第三方组织线下签发或验证的DID作为父DID,将用户A在应用(如元宇宙)、组织结构(如公司部门)生成的DID作为子DID,基于此,生成用户A的DID父子关系。之后,用户可以进一步通过第一应用,基于建立的DID父子关系设置各个DID原始持有的可验证声明(即凭证)的继承关系。
本申请实施例中,根据用户设置,子DID可以继承其父DID原始持有的可验证声明,或者,从其父DID处继承其父DID继承的可验证声明,但是,父DID不能从子DID处继承可验证声明。用户可以通过重新配置DID父子关系,来调整可验证声明的继承关系。
本申请的一些实施例中,所述响应于所述申请者基于所述父子关系授权指定父DID的子DID继承所述指定父DID原始持有的凭证,生成所述申请者的DID之间的凭证继承关系,包括:响应于所述申请者基于所述父子关系授权指定父DID的子DID继承所述指定父DID原始持有的全部凭证或者部分凭证,生成所述申请者的DID之间的凭证继承关系。例如,用户可以通过第一应用配置某个父DID原始持有的可验证声明中的一个或者多个或者全部,授权给其全部子DID 继承。
本申请的一些实施中,可以通过树状结构存储所述凭证继承关系。以用户A有四个DID,分别记为DID1、DID2、DID3以及DID4为例,如果用户配置DID1作为其他所有DID的父DID,配置DID2作为DID1的子DID,配置DID3和DID4作为DID2的子DID,如图2所示,则可以根据DID1构建树状结构的根节点210,根据DID2构建树状结构中跟节点210的子节点220,根据DID3和DID4分别构建子节点220的子节点230和240。根据上述树状结构DID父子关系构建方法可以得出,每个节点对应一个DID,子节点220即时根节点210的子节点,同时也是子节点230和240的父节点。
本申请的实施例中,在得到上述DID父子关系之后,可以在每个节点中存储相应DID的相关信息,例如包括:DID原始持有的可验证声明、用户授权从父DID继承可验证声明的权限,以及,用户授权给子DID继承可验证声明的权限。这样,构建的DID父子关系也可以用于描述每个DID原始持有的可验证声明,以及,可验证声明的继承关系(即凭证继承关系)。
进一步的,基于子DID可以继承父DID的可验证声明的基本原则,用户可以通过第一应用配置各DID之间的可验证声明继承关系,即设置某一父DID原始持有的某个或某些可验证声明可以授权给该父DID的某个或某些子DID继承。本申请的一些实施例中,上述树状结构中,某个子节点对应的子DID的直接继承来源DID是该子节点的父节点对应的DID,即某个子DID的直接继承来源DID为用户配置的,该子DID 的父DID;而该子DID的间接继承来源DID包括该子DID的父DID的父DID。以图2所示的树状结构对应的DID父子关系为例,DID3和DID4的直接继承来源DID为DID2,间接继承来源DID为DID1。
本申请的一些实施例中,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID,包括:遍历所述凭证继承关系,获取所述第一DID对所述目标凭证的凭证继承权限;响应于所述凭证继承权限指示所述第一DID对所述目标凭证具有继承权限,确定所述第一DID的所述直接继承来源DID是否原始持有所述目标凭证;响应于所述直接继承来源DID未原始持有所述目标凭证,逐代追溯所述第一DID的间接继承来源DID,直至检索到原始持有所述目标凭证的间接继承来源DID,之后,将检索到的所述间接继承来源DID,作为所述第二DID;响应于所述直接继承来源DID原始持有所述目标凭证,将所述直接继承来源DID,作为所述第二DID。
在所述凭证继承关系通过树状结构存储,树状结构的每个节点对应一个DID的情况下,可以首先遍历树状结构的DID父子关系,找到当前DID(如第一DID)对应的树状结构的节点,作为当前节点,并根据该当前节点存储的数据判断当前DID是否可以从其父DID继承目标凭证(即指定可验证声明),如果可以,则进一步查询该当前节点的父节点存储的数据,判断当前节点的父节点对应的DID(即当前DID的父DID)是否原始持有该目标凭证。
在其父DID未原始持有该目标凭证的情况下,继续向树状结构的根节点遍历,逐层遍历,直至遍历到一个节点对应的DID原始持有该目标凭证,或者遍历至根节点,结束本次遍历。在遍历到的任意一个父DID原始持有该目标凭证的情况下,可以将遍历到的原始持有该目标凭证的父DID,作为第二DID。
本申请的一些实施例中,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID之前,还包括:响应于申请者将第三DID原始持有的指定凭证授权给至少一个第四DID继承,建立所述申请者的所述第三DID和至少一个所述第四DID之间对应所述指定凭证的凭证继承关系,其中,所述凭证继承关系用于指示:所述指定凭证、所述指定凭证的原始持有DID,以及,所述指定凭证的继承DID三者之间的匹配关系。
例如,所述凭证继承关系用于指示:所述指定凭证的原始持有者为第三DID,所述至少一个第四DID有权限继承所述第三DID原始持有的所述指定凭证。
本申请的一些实施例中,申请者可以针对每个凭证单独设置凭证继承关系,指定相应凭证的原始持有DID和所述指定凭证的继承DID。
本申请的一些实施例中,可以在用户代理单元中设置身份管理器,通过身份管理器对用户(如前述申请者)的各个DID,以及,各个DID之间的父子关系、凭证继承关系进行管理。但该用户代理单元需要获取申请者某一DID 的目标凭证时,如果确定该DID未原始持有该目标DID(即未基于该DID申请过目标凭证),则进一步通过身份管理器获取指定DID继承的所述目标凭证。
本申请的一些实施例中,可以以每个凭证作为索引键,存储针对每个凭证单独设置的凭证继承关系的索引表。当需要获取第一DID是否从其他DID继承目标凭证时,可以首先以目标凭证为索引键,检索所述索引表,检索出该目标凭证的所有凭证继承关系;接下来,在检索到所有凭证继承关系中,进一步检索继承DID包括第一DID的凭证继承关系,直至检索到继承DID包括第一DID的凭证继承关系,将进一步检索出的凭证继承关系中原始持有DID,作为第二DID,用于进行身份凭证验证。
在采用上述方法获取到第一DID继承自第二DID(即第一DID的一个父DID)的目标凭证之后,第一应用中的用户代理单元将获取到的目标凭证发送到所述验证者。
相应的,所述验证者在接收到所述目标凭证之后,基于所述目标凭证对所述申请者进行身份凭证验证。
本申请实施例公开的去中心化身份凭证验证方法,通过在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证,有助于提升用户进行去中心化身份凭证验证的便利性。
本申请实施例公开的去中心化身份凭证验证方法,通过层次化管理用户的去中心化身份标识,在用户的各去中心化身份标志之间进行凭证(即可验证声明)共享,这样,在用户基于某个DID进行去中心化身份凭证验证的过程中,不仅能够向验证者出示其该DID原始持有(即基于该DID申请的)的可验证声明,还可以向验证者出示该用户的其他DID授权给该DID使用的可验证声明,避免了用户针对每个DID分别申请各种可验证凭证带来的不便。采用本申请实施例公开的去中心化身份凭证验证方法,打通了去中心化系统中不同数字身份域或服务之间同一现实世界用户的数字身份信息的共享,给用户的身份凭证验证过程提供了极大便利。
不同发行者向用户A签发的可验证声明中携带有用于申请该可验证声明的DID信息。例如,“可验证声明1”除了有发行者的签名之外,还有DID1,以表明该可验证声明是签发给DID1的信息,同样,“可验证声明2”除了有发行者的签名之外,还有DID2的信息,以表明该可验证声明是签发给DID2的,而“可验证声明3”中则有DID3的信息。
本申请的一些实施例中,当验证者接收到可验证声明(即目标凭证)之后,发现可验证声明(即目标凭证)上的持有者并非当前进行身份凭证验证的申请者时,需要进一步验证该可验证声明的发送方是否为当前验证的申请者,以及,验证当前申请者是否有权限使用该目标凭证。
本申请的一些实施例中,验证者在接收到所述第二DID原始持有的所述目标凭证之后,首先判断凭证有效性,在确定凭证有效之后,验证者基于挑战-应答机制,验证该可验证声明的发送方是否为当前验证的申请者,以及,验证当前申请者是否有权限使用该目标凭证。例如,验证者根据当前申请者的DID(如第一DID)生成第一挑战,并采用当前申请者的DID的公钥对所述第一挑战加密,之后将加密后的第一挑战发送给当前申请者。同时,验证者根据接收到的所述目标凭证上的DID(如第二DID)生成第二挑战,并采用所述目标凭证上的DID的公钥对所述第二挑战加密,之后将加密后的第二挑战发送给当前申请者。
相应的,第一应用在向验证者反馈目标凭证之后,进一步响应验证者发起的挑战,并进行应答。
即本申请的一些实施例中,如图3所示,所述将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证的步骤之后,还包括:步骤140和步骤150。
步骤140,响应于接收到所述验证者发送的采用所述第一DID的公钥加密的第一挑战,通过所述第一DID的第一私钥对所述第一挑战解密,生成第一应答,之后,采用所述第一私钥对所述第一应答加密,并向所述验证者反馈采用所述第一私钥加密的所述第一应答。
其中,所述第一应答用于指示所述第一DID具有所述目标凭证的使用权限。
如前所述,验证者在接收到当前申请者基于第一DID反馈的目标凭证之后,根据第一DID生成第一挑战,并采用第一DID的公钥对所述第一挑战加密,之后将加密后的第一挑战发送给当前申请者。第一应用在接收到所述验证者发送的第一挑战之后,采用所述第一DID的第一私钥对所述第一挑战解密,得到挑战问题,生成第一应答,之后,采用所述第一私钥对生成的第一应答加密,并向所述验证者反馈采用所述第一私钥加密的第一应答。
步骤150,响应于接收到所述验证者发送的采用所述第二DID的公钥加密的第二挑战,通过所述第二DID的第二私钥对所述第二挑战解密,生成第二应答,之后,采用所述第二私钥对所述第二应答加密,并向所述验证者反馈采用所述第二私钥加密的所述第二应答。
其中,所述第二挑战是所述验证者根据接收到的所述目标凭证上的DID生成的,所述第二应答用于指示所述第二DID原始持有所述目标凭证。
如前所述,验证者在接收到当前申请者基于第一DID反馈的目标凭证之后,根据所述目标凭证上显示的第二DID生成第二挑战,并采用第二DID的公钥对所述第二挑战加密,之后将加密后的第二挑战发送给当前申请者。第一应用在接收到所述验证者发送的第二挑战之后,采用所述第二DID的第二私钥对所述第二挑战解密,得到挑战问题,生成第二应答,之后,采用所述第二私钥对生成的第二应答加密,并向所述验证者反馈采用所述第二私钥加密的第二应答。
验证者在接收到第一应答和第二应答之后,在判断第一应答与第一挑战匹配,并且,第二应答与第二挑战匹配之后,确定所述申请者身份凭证验证成功。
在验证者确定对申请者身份凭证验证成功之后,在验证者和申请者之间建立会话,申请者获得会话令牌(token)。后续申请者可以通过第一DID访问服务时,请求中携带该令牌表示访问已被授权。
本申请的一些实施例中,上述应答可以通过第一应用执行。
本申请实施例公开的去中心化身份凭证验证方法,通过对申请者进行双重挑战,即确认目标凭证的反馈来源,又确认目标凭证的使用权限,有助于提升去中心化身份凭证验证的可靠性。
实施例二
本申请实施例公开的一种去中心化身份凭证验证装置,如图4所示,所述装置包括:
目标凭证持有判断模块410,用于在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;
第一目标凭证获取发送模块420,用于响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;
第二目标凭证获取发送模块430,用于响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证。
本申请的一些实施例中,所述第二目标凭证获取发送模块430,进一步用于:
遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID;以及,
获取所述第二DID原始持有的所述目标凭证。
本申请的一些实施例中,在遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID之前,如图5所示,所述装置还包括:
凭证继承关系生成模块400,用于根据申请者的配置操作,建立所述申请者的多个DID的父子关系;
所述凭证继承关系生成模块400,还用于响应于所述申请者基于所述父子关系授权指定父DID的子DID继承所述指定父DID原始持有的凭证,生成所述申请者的DID之间的凭证继承关系;其中,凭证包括:所述目标凭证,所述凭证继承关系用于指示:各DID原始持有的凭证和各DID的凭证继承权限,以及,各DID的直接继承来源DID。
本申请的一些实施例中,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID,包括:
遍历所述凭证继承关系,获取所述第一DID对所述目标凭证的凭证继承权限;
响应于所述凭证继承权限指示所述第一DID对所述目标凭证具有继承权限,确定所述第一DID的所述直接继承来源DID是否原始持有所述目标凭证;
响应于所述直接继承来源DID未原始持有所述目标凭证,逐代追溯所述第一DID的间接继承来源DID,直至检索到原始持有所述目标凭证的间接继承来源DID,之后,将检索到的所述间接继承来源DID,作为所述第二DID;
响应于所述直接继承来源DID原始持有所述目标凭证,将所述直接继承来源DID,作为所述第二DID。
本申请的一些实施例中,在所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID之前,如图5所示,所述装置还包括:
凭证继承关系生成模块400,用于响应于申请者将第三DID原始持有的指定凭证授权给至少一个第四DID继承,建立所述申请者的所述第三DID和至少一个所述第四DID之间对应所述指定凭证的凭证继承关系,其中,所述凭证继承关系用于指示:所述指定凭证、所述指定凭证的原始持有DID,以及,所述指定凭证的继承DID三者之间的匹配关系。
本申请的一些实施例中,在将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证之后,如图5所示,所述装置还包括,
挑战应答模块440,用于响应于接收到所述验证者发送的采用所述第一DID的公钥加密的第一挑战,通过所述第一DID的第一私钥对所述第一挑战解密,生成第一应答,之后,采用所述第一私钥对所述第一应答加密,并向所述验证者反馈采用所述第一私钥加密的所述第一应答;其中,所述第一应答用于指示所述第一DID具有所述目标凭证的使用权限;
所述挑战应答模块440,还用于响应于接收到所述验证者发送的采用所述第二DID的公钥加密的第二挑战,通过所述第二DID的第二私钥对所述第二挑战解密,生成第二应答,之后,采用所述第二私钥对所述第二应答加密,并向所述验证者反馈采用所述第二私钥加密的所述第二应答;其中,所述第二挑战是所述验证者根据接收到的所述目标凭证上的DID生成的,所述第二应答用于指示所述第二DID原始持有所述目标凭证。
本申请实施例公开的去中心化身份凭证验证装置,通过在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证,有助于提升用户进行去中心化身份凭证验证的便利性。
本申请实施例公开的去中心化身份凭证验证装置,通过层次化管理用户的去中心化身份标识,在用户的各去中心化身份标志之间进行凭证(即可验证声明)共享,这样,在用户基于某个DID进行去中心化身份凭证验证的过程中,不仅能够向验证者出示其该DID原始持有(即基于该DID申请的)的可验证声明,还可以向验证者出示该用户的其他DID授权给该DID使用的可验证声明,避免了用户针对每个DID分别申请各种可验证凭证带来的不便。采用本申请实施例公开的去中心化身份凭证验证装置,打通了去中心化系统中不同数字身份域或服务之间同一现实世界用户的数字身份信息的共享,给用户的身份凭证验证过程提供了极大便利。
进一步的,本申请实施例公开的去中心化身份凭证验证装置,通过对申请者进行双重挑战,即确认目标凭证的反馈来源,又确认目标凭证的使用权限,有助于提升去中心化身份凭证验证的可靠性。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言,各模块或子模块的具体实施方式与方法中相应步骤的实施方式基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上对本申请提供的一种去中心化身份凭证验证方法及装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其一种核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的电子设备中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
例如,图6示出了可以实现根据本申请的方法的电子设备。所述电子设备可以为PC机、移动终端、个人数字助理、平板电脑等。该电子设备传统上包括处理器610和存储器620及存储在所述存储器620上并可在处理器610上运行的程序代码630,所述处理器610执行所述程序代码630时实现上述实施例中所述的方法。所述存储器620可以为计算机程序产品或者计算机可读介质。存储器620可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器620具有用于执行上述方法中的任何方法步骤的计算机程序的程序代码630的存储空间6201。例如,用于程序代码630的存储空间6201可以包括分别用于实现上面的方法中的各种步骤的各个计算机程序。所述程序代码630为计算机可读代码。这些计算机程序可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘,紧致盘(CD)、存储卡或者软盘之类的程序代码载体。所述计算机程序包括计算机可读代码,当所述计算机可读代码在电子设备上运行时,导致所述电子设备执行根据上述实施例的方法。
本申请实施例还公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例一所述的去中心化身份凭证验证方法的步骤。
这样的计算机程序产品可以为计算机可读存储介质,该计算机可读存储介质可以具有与图6所示的电子设备中的存储器620类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩存储在所述计算机可读存储介质中。所述计算机可读存储介质通常为如参考图7所述的便携式或者固定存储单元。通常,存储单元包括计算机可读代码630’,所述计算机可读代码630’为由处理器读取的代码,这些代码被处理器执行时,实现上面所描述的方法中的各个步骤。
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本申请的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干系统的单元权利要求中,这些系统中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种去中心化身份凭证验证方法,其特征在于,包括:
在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;
响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;
响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证。
2.根据权利要求1所述的方法,其特征在于,所述获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,包括:
遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID;
获取所述第二DID原始持有的所述目标凭证。
3.根据权利要求2所述的方法,其特征在于,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID之前,还包括:
根据申请者的配置操作,建立所述申请者的多个DID的父子关系;
响应于所述申请者基于所述父子关系授权指定父DID的子DID继承所述指定父DID原始持有的凭证,生成所述申请者的DID之间的凭证继承关系;其中,凭证包括:所述目标凭证,所述凭证继承关系用于指示:各DID原始持有的凭证和各DID的凭证继承权限,以及,各DID的直接继承来源DID。
4.根据权利要求3所述的方法,其特征在于,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID,包括:
遍历所述凭证继承关系,获取所述第一DID对所述目标凭证的凭证继承权限;
响应于所述凭证继承权限指示所述第一DID对所述目标凭证具有继承权限,确定所述第一DID的所述直接继承来源DID是否原始持有所述目标凭证;
响应于所述直接继承来源DID未原始持有所述目标凭证,逐代追溯所述第一DID的间接继承来源DID,直至检索到原始持有所述目标凭证的间接继承来源DID,之后,将检索到的所述间接继承来源DID,作为所述第二DID;
响应于所述直接继承来源DID原始持有所述目标凭证,将所述直接继承来源DID,作为所述第二DID。
5.根据权利要求2所述的方法,其特征在于,所述遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID之前,还包括:
响应于申请者将第三DID原始持有的指定凭证授权给至少一个第四DID继承,建立所述申请者的所述第三DID和至少一个所述第四DID之间对应所述指定凭证的凭证继承关系,其中,所述凭证继承关系用于指示:所述指定凭证、所述指定凭证的原始持有DID,以及,所述指定凭证的继承DID三者之间的匹配关系。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证的步骤之后,还包括:
响应于接收到所述验证者发送的采用所述第一DID的公钥加密的第一挑战,通过所述第一DID的第一私钥对所述第一挑战解密,生成第一应答,之后,采用所述第一私钥对所述第一应答加密,并向所述验证者反馈采用所述第一私钥加密的所述第一应答;
响应于接收到所述验证者发送的采用所述第二DID的公钥加密的第二挑战,通过所述第二DID的第二私钥对所述第二挑战解密,生成第二应答,之后,采用所述第二私钥对所述第二应答加密,并向所述验证者反馈采用所述第二私钥加密的所述第二应答;其中,所述第二挑战是所述验证者根据接收到的所述目标凭证上的DID生成的。
7.一种去中心化身份凭证验证装置,其特征在于,包括:
目标凭证持有判断模块,用于在申请者基于第一DID触发服务申请的过程中,响应于接收到验证者发送的目标凭证验证信息,确定所述第一DID是否原始持有所述目标凭证,其中,所述目标凭证验证信息是所述验证者响应所述服务申请发送的;
第一目标凭证获取发送模块,用于响应于所述第一DID原始持有所述目标凭证,将所述第一DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证;
第二目标凭证获取发送模块,用于响应于所述第一DID未原始持有所述目标凭证,获取由所述申请者的第二DID原始持有且授权给所述第一DID继承的所述目标凭证,之后,将所述第二DID原始持有的所述目标凭证发送至所述验证者,以进行数字身份凭证验证。
8.根据权利要求7所述的装置,其特征在于,所述第二目标凭证获取发送模块,进一步用于:
遍历预先配置的所述申请者的各DID之间的凭证继承关系,确定所述第一DID的直接或间接继承来源DID中原始持有所述目标凭证的一个DID,作为所述第二DID;以及,
获取所述第二DID原始持有的所述目标凭证。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的程序代码,其特征在于,所述处理器执行所述程序代码时实现权利要求1至6任一项所述的去中心化身份凭证验证方法。
10.一种计算机可读存储介质,其上存储有程序代码,其特征在于,该程序代码被处理器执行时实现权利要求1至6任一项所述的去中心化身份凭证验证方法的步骤。
CN202210561508.3A 2022-05-23 2022-05-23 去中心化身份凭证验证方法、装置,以及,电子设备 Active CN114666168B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210561508.3A CN114666168B (zh) 2022-05-23 2022-05-23 去中心化身份凭证验证方法、装置,以及,电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210561508.3A CN114666168B (zh) 2022-05-23 2022-05-23 去中心化身份凭证验证方法、装置,以及,电子设备

Publications (2)

Publication Number Publication Date
CN114666168A true CN114666168A (zh) 2022-06-24
CN114666168B CN114666168B (zh) 2022-11-01

Family

ID=82038084

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210561508.3A Active CN114666168B (zh) 2022-05-23 2022-05-23 去中心化身份凭证验证方法、装置,以及,电子设备

Country Status (1)

Country Link
CN (1) CN114666168B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114862388A (zh) * 2022-07-01 2022-08-05 浙江毫微米科技有限公司 基于数字钱包的身份管理方法、计算机设备和存储介质
CN115694842A (zh) * 2022-11-09 2023-02-03 中煤科工集团信息技术有限公司 工业互联网设备互信及数据交换方法、装置及存储介质
CN116232763A (zh) * 2023-05-05 2023-06-06 敏于行(北京)科技有限公司 选择性披露的动态组合可验证凭证生成方法及系统

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200403805A1 (en) * 2019-06-18 2020-12-24 Transmute Industries, Inc. Systems and Methods for a Decentralized Data Authentication Platform
CN112307455A (zh) * 2020-12-28 2021-02-02 支付宝(杭州)信息技术有限公司 基于区块链的身份认证方法及装置、电子设备
CN112330374A (zh) * 2020-12-01 2021-02-05 首旅如家(广州)区块链科技有限公司 基于分布式身份标识的区块链积分营销方法和系统
CN112580102A (zh) * 2020-12-29 2021-03-30 郑州大学 基于区块链的多维度数字身份鉴别系统
CN113343208A (zh) * 2021-05-20 2021-09-03 网易(杭州)网络有限公司 一种凭证授权方法、装置、终端及存储介质
CN113704775A (zh) * 2021-07-14 2021-11-26 杭州溪塔科技有限公司 一种基于分布式数字身份的业务处理方法及相关装置
CN113704734A (zh) * 2021-07-14 2021-11-26 杭州溪塔科技有限公司 基于分布式数字身份实现凭证验证的方法及相关装置
CN113918899A (zh) * 2021-08-31 2022-01-11 中国人民银行数字货币研究所 一种身份认证方法以及凭证持有系统和验证系统
US20220122170A1 (en) * 2020-07-21 2022-04-21 Xiaonan Du User credit scoring method in decentralized identity system and computer readable storage medium
CN114444134A (zh) * 2022-01-27 2022-05-06 支付宝(杭州)信息技术有限公司 一种数据使用授权方法、系统及装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200403805A1 (en) * 2019-06-18 2020-12-24 Transmute Industries, Inc. Systems and Methods for a Decentralized Data Authentication Platform
US20220122170A1 (en) * 2020-07-21 2022-04-21 Xiaonan Du User credit scoring method in decentralized identity system and computer readable storage medium
CN112330374A (zh) * 2020-12-01 2021-02-05 首旅如家(广州)区块链科技有限公司 基于分布式身份标识的区块链积分营销方法和系统
CN112307455A (zh) * 2020-12-28 2021-02-02 支付宝(杭州)信息技术有限公司 基于区块链的身份认证方法及装置、电子设备
CN112580102A (zh) * 2020-12-29 2021-03-30 郑州大学 基于区块链的多维度数字身份鉴别系统
CN113343208A (zh) * 2021-05-20 2021-09-03 网易(杭州)网络有限公司 一种凭证授权方法、装置、终端及存储介质
CN113704775A (zh) * 2021-07-14 2021-11-26 杭州溪塔科技有限公司 一种基于分布式数字身份的业务处理方法及相关装置
CN113704734A (zh) * 2021-07-14 2021-11-26 杭州溪塔科技有限公司 基于分布式数字身份实现凭证验证的方法及相关装置
CN113918899A (zh) * 2021-08-31 2022-01-11 中国人民银行数字货币研究所 一种身份认证方法以及凭证持有系统和验证系统
CN114444134A (zh) * 2022-01-27 2022-05-06 支付宝(杭州)信息技术有限公司 一种数据使用授权方法、系统及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
XIAOYI WANG;WEIWEI QIU;LEI ZENG;HONGKAI WANG;YIYANG YAO;DON: "A credible transfer method of cross-chain assets based on DID and VC", 《 2021 IEEE 4TH INTERNATIONAL CONFERENCE ON INFORMATION SYSTEMS AND COMPUTER AIDED EDUCATION (ICISCAE)》 *
杨冠群;刘荫;徐浩;邢宏伟;张建辉;李恩堂: "基于区块链的电网可信分布式身份认证系统", 《网络与信息安全学报》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114862388A (zh) * 2022-07-01 2022-08-05 浙江毫微米科技有限公司 基于数字钱包的身份管理方法、计算机设备和存储介质
CN114862388B (zh) * 2022-07-01 2022-11-29 浙江毫微米科技有限公司 基于数字钱包的身份管理方法、计算机设备和存储介质
CN115694842A (zh) * 2022-11-09 2023-02-03 中煤科工集团信息技术有限公司 工业互联网设备互信及数据交换方法、装置及存储介质
CN115694842B (zh) * 2022-11-09 2024-02-20 中煤科工集团信息技术有限公司 工业互联网设备互信及数据交换方法、装置及存储介质
CN116232763A (zh) * 2023-05-05 2023-06-06 敏于行(北京)科技有限公司 选择性披露的动态组合可验证凭证生成方法及系统

Also Published As

Publication number Publication date
CN114666168B (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
US11533164B2 (en) System and method for blockchain-based cross-entity authentication
US11025435B2 (en) System and method for blockchain-based cross-entity authentication
US12093419B2 (en) Methods and devices for managing user identity authentication data
WO2021000420A1 (en) System and method for blockchain-based cross-entity authentication
US10382427B2 (en) Single sign on with multiple authentication factors
WO2020062668A1 (zh) 一种身份认证方法、身份认证装置及计算机可读介质
US6892300B2 (en) Secure communication system and method of operation for conducting electronic commerce using remote vault agents interacting with a vault controller
EP3788523A1 (en) System and method for blockchain-based cross-entity authentication
US11757640B2 (en) Non-fungible token authentication
CN114666168B (zh) 去中心化身份凭证验证方法、装置,以及,电子设备
US20160127355A1 (en) Embedded extrinsic source for digital certificate validation
AU2017225928A1 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US11128604B2 (en) Anonymous communication system and method for subscribing to said communication system
US20010020228A1 (en) Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources
US8700909B2 (en) Revocation of a biometric reference template
KR102131206B1 (ko) 법인 관련 서비스 제공 방법, 이를 지원하는 방법, 이를 수행하는 서비스 서버 및 인증 서버
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
CN113271207A (zh) 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质
US6795920B1 (en) Vault controller secure depositor for managing secure communication
CN105743883B (zh) 一种网络应用的身份属性获取方法及装置
JP7222436B2 (ja) 保証制御方法、情報処理装置および保証制御プログラム
KR20040101616A (ko) 무선 인터넷상에서의 사용자 컨텐츠 접근권한 관리시스템및 그 방법과, 사용자 컨텐츠 접근권한 관리 소프트웨어를기록한 컴퓨터가 읽을 수 있는 기록매체
CN115150831A (zh) 入网请求的处理方法、装置、服务器及介质
KR20240092449A (ko) VP(Verifiable Credential)에 포함되는 제3자 의견정보의 강제 태깅 방법
CN116781366A (zh) 数据传输方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant