CN114930772A - 用于凭证验证的验证需求文件 - Google Patents
用于凭证验证的验证需求文件 Download PDFInfo
- Publication number
- CN114930772A CN114930772A CN202080072961.7A CN202080072961A CN114930772A CN 114930772 A CN114930772 A CN 114930772A CN 202080072961 A CN202080072961 A CN 202080072961A CN 114930772 A CN114930772 A CN 114930772A
- Authority
- CN
- China
- Prior art keywords
- vrd
- credential
- transaction
- distributed
- predicate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims description 67
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000010200 validation analysis Methods 0.000 claims abstract description 24
- 238000011084 recovery Methods 0.000 claims description 8
- 230000008901 benefit Effects 0.000 description 3
- LFQSCWFLJHTTHZ-UHFFFAOYSA-N Ethanol Chemical compound CCO LFQSCWFLJHTTHZ-UHFFFAOYSA-N 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开一种使用验证需求文件(VRD)来验证凭证的方法、相关的装置、及计算机可读取介质。VRD凭证验证生态系统可包含但不局限于VRD管理系统、第一凭证管理系统、第二凭证管理系统、VRD核发器、验证器、分布式VRD交易共识网络、及分布式凭证管理交易共识网络,而上述部件在必要时可相互连接。分布式VRD交易共识网络保有分布式VRD分类账以记录VRD。使用VRD的凭证验证主要由与验证者相关的第一凭证管理系统以及与凭证拥有者相关的第二凭证管理系统执行。第一凭证管理系统自分布式VRD交易共识网络找回VRD并发送VRD至第二凭证管理系统。第二凭证管理系统借由分布式凭证管理交易共识网络产生证明以确认VRD中界定的需求。
Description
背景技术
1.相关申请
本申请要求2019年10月18日提交的、名称为“验证要求文件设计文件”的62/923,471号临时申请的优先权,其全部内容通过引用结合在本申请中。
2.技术领域
本发明涉及凭证验证方法及系统,更明确而言,管理分布式验证需求文件(verification requirement document/VRD)交易共识网络的方法及使用储存于分布式VRD交易共识网络的VRD以要求验证凭证拥有者的凭证的系统及方法。
3.相关技术说明
由于区块链技术的普及,在所有具有凭证验证需求之处,数位凭证皆将成为取代传统凭证的趋势。对于数位凭证而言,传统区块链技术提供工具、程序馆(libraries)、以及可重复使用的配件来支援去中心化(decentralized)数位身份,以验证数位凭证;该数位身份是植入在区块链或其他分布式系统中。
排除验证数位凭证的传统凭证管理区块链的可用性因素,该区块链在回复多个客制化的验证者的验证需求的方面上不具备足够的弹性。从电信业者与其全球知名的电信服务的普及性角度而言,涉及电信业者层级的VRD凭证验证生态系统理想上可被选择来提供可信任的数位凭证的凭证验证服务。然而,用于数位凭证管理服务的传统区块链不具备该VRD凭证验证生态系统。
发明内容
本发明公开一种使用验证需求文件(VRD)来验证凭证的方法、相关的装置、及计算机可读取介质。VRD凭证验证生态系统可包含但不局限于VRD管理系统、第一凭证管理系统、第二凭证管理系统、VRD核发器、验证器、分布式VRD交易共识网络、及分布式凭证管理交易共识网络,而上述部件在必要时可相互连接。分布式VRD交易共识网络保有分布式VRD分类账以记录VRD。即将被发布至分布式VRD分类账的VRD交易包含VRD操作者注册交易、VRD操作者注销交易、VRD核发者注册交易、VRD核发者注销交易、VRD注册交易、VRD注销交易、及VRD找回交易。
使用VRD的凭证验证主要由与验证者相关的第一凭证管理系统以及与凭证拥有者相关的第二凭证管理系统执行。第一凭证管理系统自分布式VRD交易共识网络找回VRD并发送VRD至第二凭证管理系统。第二凭证管理系统借由分布式凭证管理交易共识网络产生证明以确认(verify)VRD中界定的需求。
本发明的目的在于产生与记录分布式VRD分类账中的VRD,使得验证者可选择已存在的VRD来验证凭证。为达到上述目的,第一凭证管理系统使用储存于分布式VRD交易共识网络的验证需求文件(VRD)以要求验证凭证拥有者的凭证。该方法包含:
当自验证器接收VRD的VRD ID及凭证拥有者识别符时,第一凭证管理系统发送VRDID至分布式VRD交易共识网络以获取VRD,并发送VRD及凭证拥有者识别符至第二凭证管理系统,其中,VRD包含至少一个属性、至少一个述词(predicate)、或至少一个属性与至少一个述词两者,其需求为定义至少一个种类的凭证用以验证在VRD中界定的每一个至少一个属性及每一个至少一个述词。
在一实施例中,该方法进一步包含:
第一凭证管理系统自第二凭证管理系统接收证明并确认证明是否满足与在VRD中界定的每一个至少一个属性及至少一个述词相关的需求;
当每一个需求已被满足时,第一凭证管理系统发送证明及在VRD中界定的至少一个属性与至少一个述词至分布式凭证管理交易共识网络以进行验证;及
当自分布式凭证管理交易共识网络接收验证回复时,第一凭证管理系统发送凭证验证结果至验证器。
本发明的其他目的,优势及具新颖性的技术特征在以下伴随图示作进一步地描述。
附图说明
图1为说明根据本发明的涉及VRD作业的系统架构的示意图;
图2为说明根据本发明的分布式VRD交易共识网络的各种不同VRD交易的表格;
图3为说明与VRD操作者注册交易相关的数据结构的表格;
图4为说明与VRD操作者注销交易相关的数据结构的表格;
图5为说明与VRD核发者注册交易相关的数据结构的表格;
图6为说明与VRD核发者注销交易相关的数据结构的表格;
图7为说明与VRD注册交易相关的数据结构的表格;
图8为说明图7中与在VRD注册交易中界定的每个属性及每个述词相关的数据结构的表格;
图9为说明与VRD注销交易相关的数据结构的表格;以及
图10为说明根据本发明的第一凭证管理系统使用储存于分布式VRD交易共识网络的VRD以要求验证凭证拥有者的凭证的方法的流程图。
具体实施方式
本文中所使用的词汇系用来描述本发明特定具体实施例中的细节,所有的词汇应以最大的范畴做合理解读。某些词汇将在以下特别强调;任何限制性用语将由具体实施例定义。
以下所述的实施例可由可编程电路程序或由软件及/或硬件配置,或整体由特殊功能电路,或上述的组合来实施。该特殊功能电路(如果本案有包含)可以以下形式实施,例如:一个或多个特殊应用集成电路(ASIC)、可编程逻辑装置(PLD)、场域可编程化逻辑门阵列(FPGA)…等。
在此描述的实施例是涉及使用验证需求文件(VRD)来验证凭证拥有者的凭证的方法、系统、装置、及储存有处理器可执行的流程步骤的计算机可读取介质、记录由VRD核发者核发的凭证的种类及需求的数据结构。该VRD储存于分布式VRD分类账中,该分布式VRD分类账由分布式VRD交易共识网络维护。分布式VRD分类账可记录一个或多个以下的交易:VRD操作者注册交易、VRD操作者注销交易、VRD核发者注册交易、VRD核发者注销交易、VRD注册交易、VRD注销交易、及VRD找回交易。此外,分布式凭证交易共识网络维护分布式凭证管理分类账以提供凭证要求的证明并验证证明。
上述的流程步骤由VRD凭证验证生态系统执行,该VRD凭证验证生态系统包含VRD管理者系统、第一凭证管理系统、第二凭证管理系统、验证器、及VRD核发器,其以可通信的方式相互连接并连接至分布式VRD交易共识网络及分布式凭证管理交易共识网络以形成凭证验证网络。
新增VRD操作者时,VRD管理者发布VRD操作者注册交易至分布式VRD分类账以在分布式VRD交易共识网络中注册该VRD操作者。VRD操作者可由VRD管理者注销,并由该VRD管理者发布VRD操作者注销交易至分布式VRD分类账以自该分布式VRD交易共识网络删除该VRD操作者。新增VRD核发者时,VRD操作者发布VRD核发者注册交易至分布式VRD分类账以在分布式VRD交易共识网络中注册该VRD核发者。VRD核发者可由VRD操作者注销,并由VRD操作者发布VRD核发者注销交易至分布式VRD分类账以自分布式VRD交易共识网络删除该VRD核发者。新增VRD时,VRD核发者发布VRD注册交易至分布式VRD分类账。每一个VRD包含VRD ID、至少一个属性、至少一个述词、或至少一个属性与至少一个述词两者。在VRD中界定的每一个至少一个属性或至少一个述词定义需求,该需求用来寻找验证所需的至少一个凭证。
验证的用意在于取得具有由验证器提供的VRD ID的VRD,将VRD与使用者识别符自第一凭证管理系统转送至第二凭证管理系统,找出满足每一个在VRD中界定的需求的凭证,发送手把(handle)至对应使用者识别符的钱包(wallet),发送在VRD中界定的至少一个属性与至少一个述词的清单至分布式凭证管理交易共识网络,自分布式凭证管理交易共识网络取得证明,发送该证明至第一凭证管理系统以与VRD比对;在确认之后,发送该证明及证明要求至分布式凭证管理交易共识网络以自分布式凭证管理交易共识网络取得验证回复,以及发送验证结果至验证器。
VRD被用来改善传统的凭证管理区块链不具有弹性的凭证验证服务。本发明通过植入于VRD凭证验证生态系统的VRD方案来解决不具有弹性的问题。为了防止被骇客攻击,VRD方案可使用分布式VRD交易共识网络,其专注于处理涉及VRD及所有与VRD作业相关的个体互动的交易的作业及数据结构。分布式VRD交易共识网络可融入已存在的分布式凭证管理交易共识网络中,如超级分类账印地区块链(Hype Ledger Indy Blockchain)。在一实施例中,分布式VRD交易共识网络可为由如
管理的区块链,于其中可追朔真值的根源以确保真实性。
为了支援在分布式VRD交易共识网络中执行VRD作业,VRD凭证验证生态系统包含VRD管理者系统、多个凭证管理系统、多个VRD核发器、以及多个验证器,其以可通信的方式相互连接。VRD管理者系统由VRD管理者提供,例如
每一个多个凭证管理系统由凭证管理者提供,其可为由VRD管理者注册的对应的VRD操作者,或者为电信业者、验证者及凭证拥有者。每一个多个VRD核发器由对应的VRD核发者提供。每一个多个验证器由与对应的凭证管理者相关的对应的验证者提供。上述所定义的合作链接(cooperative links)为在VRD中凭证验证生态系统中所有个体之间的关系的非限制性示例。
关于在VRD中凭证验证生态系统的所有个体的角色,VRD管理者具有注册及注销VRD操作者的权利,VRD操作者具有注册及注销与其相关的VRD核发者的权利,VRD核发者具有注册及注销VRD的权利,验证者具有要求凭证拥有者凭证验证的权利,该凭证验证借由与验证者相关的凭证管理者并使用VRD来达成,而与凭证拥有者相关的凭证管理者可作为证明者。如上述,VRD凭证验证生态系统中的VRD操作者基本上负责建立VRD核发者与VRD管理者之间的可信任链接,以作为验证者权力的来源。VRD核发者负责以需求配置属性/述词,该需求定义VRD中的与验证者匹配的属性/述词,使VRD便于在分布式VRD交易共识网络中注册。只有注册VRD的相同VRD核发者可以在分布式VRD交易共识网络注册更新VRD的版本。本发明被设计为让VRD核发者及验证者参与配置将被注册至分布式VRD交易共识网络的VRD的属性/述词及需求。
如图1所示,VRD凭证验证生态系统可包含但不局限于VRD管理系统10、第一凭证管理系统20、第二凭证管理系统30、VRD核发器40、验证器50、分布式VRD交易共识网络60、及分布式凭证管理交易共识网络70;以下将界定期之间的通信关系。VRD管理系统10由VRD管理者提供以管理分布式VRD交易共识网络作业。第一凭证管理系统20由与验证者相关的第一凭证管理者提供。第一凭证管理者可为电信业者、金融机构、政府机关…等。在本实施例中,第一凭证管理系统20包含第一VRD管理节点21、第一分布式凭证交易节点22、及第一区域凭证管理节点23,其皆可通信的相互连接。第一VRD管理节点21负责所有与分布式VRD交易共识网络60相关的作业。第一分布式凭证交易节点22负责与分布式凭证管理交易共识网络70相关的作业。第一区域凭证管理节点23负责第一凭证管理系统20区域的凭证管理并与第二凭证管理系统30相互通信。第二凭证管理系统30由与凭证拥有者(提供者)相关的第二凭证管理者提供。在另一个实施例中,第一凭证管理系统20包含一个或两个节点,其可执行第一VRD管理节点21、第一分布式凭证交易节点22、及第一区域凭证管理节点23的所有功能。
第二凭证管理系统30包含第二VRD管理节点31、第二分布式凭证交易节点32、及第二区域凭证管理节点33,其皆可通信的相互连接。第二VRD管理节点31负责所有与分布式VRD交易共识网络60相关的作业。第二分布式凭证交易节点32负责与分布式凭证管理交易共识网络70相关的作业。第二区域凭证管理节点33负责第二凭证管理系统30区域的凭证管理并与第一凭证管理系统20通信,例如,通过传输层安全性协定TLS(TLS/Transport LayerSecurity)链接。在另一实施例中,第二凭证管理系统30可包含一个或两个节点,其可执行第二VRD管理节点31、第二分布式凭证交易节点32、及第二区域凭证管理节点33的所有功能。
在一实施例中,第一VRD管理节点21及第二VRD管理节点31可为分布式VRD交易共识网络60的节点。在另一实施例中,第一凭证管理分布式共识交易节点22及第二凭证管理分布式共识交易节点32可为分布式凭证管理交易共识网络70的节点。验证器50由与第一凭证管理者相关的验证者提供。凭证拥有者装置由与第二凭证管理者相关的凭证拥有者提供。VRD核发器40由VRD核发者提供。
在一实施例中,第一VRD管理节点31可由与第一凭证管理者区别的第一VRD操作者提供。在此状况,第一区域凭证管理节点23可与分布式VRD交易共识网络通信以找回VRD。相同的,第二VRD管理节点31可由与第二凭证管理者区别的第二VRD操作者提供。在此状况,第二区域凭证管理节点33可与分布式VRD交易共识网络通信以找回VRD。其他VRD操作者可提供额外的VRD管理节点。由VRD管理者发布VRD操作者至分布式VRD分类账之后,VRD操作者可发布VRD核发者至分布式VRD分类账。接着,VRD核发者可发布VRD至分布式VRD分类账。
图1说明VRD凭证验证生态系统,其具有与使用VRD的分布式VRD交易共识网络及凭证验证的作业相关的交易及数据。符号a1、a2、b1、b2、c1、及c2个别表示注册及注销VRD操作者、VRD核发者、及VRD的操作。符号d1、d2、d3、e1、e2、e3、f1、f2、g1及g2个别表示使用VRD凭证验证时提供的各种不同数据/资讯。符号的意义将在以下说明:
a1:VRD操作者注册交易
a2:VRD操作者注销交易
b1:VRD核发者注册交易
b2:VRD核发者注销交易
c1:VRD注册交易
c2:VRD注销交易
d1:VRD识别符(ID)
d2:凭证拥有者识别符
d3:VRD
e1及e2:每一个至少一个所选的凭证的属性及述词列表凭证识别符
e3:钱包的手把(handle)
f1:证明
f2:失败的指示
g1:验证回复
g2:验证结果
请参阅图1及2,存有分布式VRD分类账的分布式验证需求文件交易共识网络包含由VRD管理者提供的VRD管理系统、第一VRD操作者提供的第一VRD管理节点、第二VRD操作者提供的第二VRD管理节点。VRD管理系统、第一VRD管理节点、及第二VRD管理皆以可通信的方式相互连接。VRD交易由分布式VRD交易共识网络的预定共识认可后,VRD交易被发布至分布式VRD分类账。在一实施例中,可包含七种的VRD交易,其分别为:VRD操作者注册交易、VRD操作者注销交易、VRD核发者注册交易、VRD核发者注销交易、VRD注册交易、VRD注销交易、及VRD找回交易。分布式VRD分类账记录多个VRD,其每一个包含VRD ID、VRD名称、以及至少一个的至少一个属性及至少一个述词。
分布式VRD交易共识网络以发布VRD管理者至网络的创始交易启动。VRD管理者的分布识别符(Decentralized ID/DID)为标示VRD管理者的全域独特识别符,VRD管理者可注册由VRD操作者DID标示的VRD操作者至分布式VRD交易共识网络。例如,VRD管理者的DID可为‘vrd-administer-01’。
如图2所示,第一种VRD交易为VRD操作者注册交易。请参阅图3,VRD操作者注册交易的数据结构包含具有值例如1的交易种类、将被注册的VRD操作者的公开秘钥与DID、以及VRD管理者的签名与DID的栏位。如图1中的‘a1’,由VRD管理者新增的VRD操作者注册交易自VRD管理系统提交至分布式VRD交易共识网络。VRD管理者的签名可由储存于分布式VRD交易共识网络的VRD管理者的公开秘钥进行验证。借由预定共识,VRD操作者注册交易被发布至分布式VRD分类账。藉此,VRD操作者可注册VRD核发者。除此之外,VRD操作者的公开秘钥储存于分布式VRD交易共识网络中,以验证VRD操作者的签名。VRD操作者的DID为“字串”数据且为全域独特识别符,其标示分布式VRD交易共识网络中的VRD操作者。例如,VRD核发者的DID可为“vrd-操作者-01”。VRD管理者的签名是借由以VRD管理者的私密秘钥加密散列(hashing)VRD操作者注册交易所有其他栏位的杂凑值来产生。
如图2所示,第二种的VRD交易为VRD操作者注销交易。请参照图4,VRD操作者注销交易的数据结构包含如值为2的交易种类、已注册的VRD操作者的DID、以及VRD管理者DID及签名的栏位。VRD管理者的签名是借由以VRD管理者的私密秘钥加密散列(hashing)VRD操作者注销交易所有其他栏位的杂凑值来产生。如图1中“a2”所示,VRD操作者注销交易由VRD管理者新增并自VRD管理系统提交至分布式VRD交易共识网络,VRD管理者签名可借由储存于分布式VRD交易共识网络中的VRD管理者的公开秘钥验证。基于预定共识,VRD操作者注销交易被发布至分布式VRD分类账。由VRD操作者的DID标示的先前已注册的VRD操作者由VRD管理者的DID标示的VRD管理者注销,该VRD管理者先前注册该VRD操作者。因此,VRD操作者将无法再注册VRD核发者。
如图2所示,第三种的VRD交易为VRD核发者注册交易。请参阅图5,VRD核发者注册交易的数据结构包含如值为3的交易种类、将被注册的VRD核发者的公开秘钥与DID、及注册VRD核发者的VRD操作者的签名与DID的栏位。如图1中的“b1”所示,VRD核发者注册交易由VRD操作者新增并提交至分布式VRD交易共识网络。在一实施例中,VRD操作者可为第一凭证管理者,其提供VRD管理节点21。VRD操作者的签名可由储存于分布式VRD交易共识网络的VRD操作者的公开秘钥验证。基于预定共识,VRD核发者注册交易被发布至分布式VRD分类账。藉此,VRD核发者将可注册VRD。除此之外,VRD核发者的公开秘钥储存于分布式VRD交易共识网络用以验证VRD核发者的签名。VRD核发者的DID为“字串”数据且为全域独特识别符,其标示VRD核发者。例如,VRD核发者的DID可为“vrd-核发者-01”。注册VRD核发者的VRD操作者的签名是借由以VRD操作者的私密秘钥加密散列(hashing)VRD核发者注册交易所有其他栏位的杂凑值来产生。在本实施例中,注册VRD核发者的VRD操作者为第一凭证管理者,其提供第一凭证管理系统20,如图1所示。容易受到VRD核发者真实性影响的个体可利用分布式VRD交易共识网络60查询VRD核发者的DID并确认VRD核发者事实上为由有效的VRD操作者注册的VRD核发者。
如图2所示,第四种的VRD交易为VRD核发者注销交易。请参阅图6,VRD核发者注销交易的数据结构包含如值为4的交易种类、已注册的VRD核发者的DID、以及注册VRD核发者的VRD操作者的DID与签名的栏位。注册VRD核发者的VRD操作者的签名是借由以VRD操作者的私密秘钥加密散列(hashing)VRD核发者注销交易所有其他栏位的杂凑值来产生,该VRD核发者由该VRD操作者注册。在本实施例中,注册VRD核发者的VRD操作者为第一凭证管理者。如图1中“b2”所示,VRD核发者注销交易由第一凭证管理系统新增与提交至分布式VRD交易共识网络。VRD操作者的签名可由储存于分布式VRD交易共识网络的第一凭证管理者的公开秘钥认可。基于预定共识,VRD核发者注销交易被发布至分布式VRD分类账。由VRD核发者的DID标示的先前已注册的VRD核发者由VRD操作者注销,该VRD操作者为先前注册该VRD核发者。藉此,VRD核发者将不具有注册VRD的权利。
第五种的VRD交易为VRD注册交易。请参照图7,每一个至少一个VRD注册交易的数据结构包含如值为5的交易种类、VRD ID、VRD名称、即将新增VRD的版本、至少一个的至少一个属性与至少一个述词、注册VRD核发者至分布式VRD交易共识网络的VRD操作者的ID、以及VRD核发者的DID与签名的栏位。VRD ID为“字串”数据且为全域独特识别符,例如,“vrd-sprint-0000001”。VRD名称被设定为对验证的目的而言有意义的“字串”数据,例如,“alcohol drinking age”。VRD的版本为“实数”数据并表示VRD的版本,例如1.0。VRD操作者的ID为“字串”数据。在一实施例中,例如,VRD操作者的ID可为“Sprint”,其为扮演VRD操作者角色的电信业者名称。在一实施例中,VRD操作者ID用以将要求链接至注册VRD核发者的特定VRD操作者。在此状况中,VRD核发者的钱包储存于VRD操作者的地点。因此,只有VRD操作者可存取VRD核发者的钱包秘钥以签署交易。
在VRD中注册交易的VRD核发者的签名是借由以VRD核发者的私密秘钥加密散列(hashing)VRD注册交易所有其他栏位的杂凑值来产生。如图1中的“c1”所示,VRD注册交易是由VRD核发者新增并自VRD核发器提交至分布式VRD交易共识网络。VRD核发者签名可由储存于分布式VRD交易共识网络的VRD核发者的公开秘钥验证。基于预定共识,VRD注册交易被发布至分布式VRD分类账。因此,VRD可由验证者找回。
为了支援身份自主权(self-sovereign identity),在一实施例中,VRD核发者的私密秘钥可被分成多个共享秘钥(share keys)。多个共享秘钥可被个别储存于VRD操作者提供的VRD作业装置(在本实施例中,由第一凭证管理者提供的第一凭证管理系统)及VRD核发者提供的VRD核发器。VRD核发者的私密秘钥可根据秘密共享方案,借由结合VRD核发者及第一凭证管理者拥有的共享秘钥来重新建构。在此状况中,VRD核发者的共享秘钥必须与VRD操作者的共享秘钥结合以在VRD核发交易产生前建构VRD核发者的私密秘钥。VRD核发者签名可在第一凭证管理者方,由重新建构的私密秘钥产生。在一实施例中,秘密共享方案为舍米尔(Shamir)的秘密共享方案。VRD注册交易提交至分布式VRD交易共识网络60后,VRD核发者的签名可分布式VRD交易共识网络60中的VRD核发者的公开秘钥验证。由VRD ID标示的已注册的VRD由VRD核发者发布至分布式VRD分类账。每个储存于分布式VRD交易共识网络60的VRD与其VRD注册交易之间的不同为VRD本身不具有VRD核发者的签名的栏位。
接下来的描述涉及属性、述词、及需求,并仅作为示例。每个VRD注册交易或每个VRD被配置为只具有至少一个属性、只具有至少一个述词、或同时具有至少一个属性与至少一个述词两者。请参阅图8,每一个至少一个属性界定凭证拥有者的至少一个被标示的凭证的一个属性,该属性包含需求、属性名称、及揭示选项的子栏位。
属性的需求描述至少一个搜寻条件以找出至少一个包含该属性的凭证。在一实施例中,属性的至少多个条件的状态可与至少一个布林操作者结合。需求中的每个搜寻条件是用来定义凭证的种类,其借由定义纲要ID(schema ID)的种类,例如{Schema_id=1}或界定凭证ID的种类,如{Credential_definition_id=7},或者由特定凭证核发者核发的凭证,例如{Issuer id=5}。当VRD具有一属性,例如‘名字’,并具有一搜寻条件,例如,{Schema id=1}界定一美国驾照(不考虑哪一州),VRD要求验证凭证拥有者驾照(具有特定纲要ID凭证)上的名字(属性)。当属性的该需求只具有一个搜寻条件,则不需要布林运算子。然而,当属性的需求,例如,‘出生日期’,具有多个搜寻条件,例如,{Credential_definition_id=1}、{Credential_definition_id=2}、及{Issuer_id=3},VRD要求验证满足三个搜寻条件的凭证的出生日期(属性)。根据验证所需,多个搜寻条件可与一个或多个布林运算子,如‘AND’及‘OR’结合。举例来说,与布林运算子结合的多个搜寻条件,{Credential_definition_id=1OR[Credential_definition_id=2AND Issuer_id=3]}可被解读为要求验证凭证上的出生日期,该凭证的Credential_definition_id等于1,其可为加州的驾照,或是Credential_definition_id等于2且Issuer_id等于3的凭证,其可为由纽约州监理所核发的纽约州驾照。也就是说,VRD要求自凭证拥有者的加州驾照或纽约州监理所核发的纽约州驾照验证其出生日期。在本例子中,两个凭证的任一满足两个布林运算子所结合的三个搜寻条件,且来自任一凭证的出生日期可被用来验证。
含有“字串”数据的属性名称界定特定的属性种类,例如名字、出生日期、社会安全码、护照号码、任职单位…等。与属性名称相关的揭示选项为布林值,TRUE或FALSE,其被配置来允许或拒绝即将公开的属性的值或内容。在一实施例中,揭示选项的预设值为FALSE。例如,如果属性名称为“出生日期”且揭示选项为TRUE,标示的凭证出生日期的内容将在证明中公开。
VRD的每个述词要求验证自标示的凭证的属性衍伸或与标示的凭证的属性相关的述词特征是否满足验证条件。验证条件为相对于一预定值的比较关系。例如,需要述词(年龄>=21)来验证驾照(标示的凭证)的自出生日期(述词属性)衍伸的年龄(述词特征)等于还是大于21(验证条件)。验证条件进一步包含比较关系的属性(述词种类),例如大于“>”、等于“=”、小于“<”、不小于“>=”、不大于“<=”、以及述词值,其为一预定数值。其他述词包含“年龄<65”,其中“<65”为验证条件、以及“教育程度>=3”,其中“>=3”为验证条件,其要求最低学位为验证标示为3的硕士学位。
再次参照图8,每一个至少一个述词包含需求的子栏位、述词名称、述词特征、述词值、以及述词种类。在一实施例中,每个述词进一步包含述词属性的子栏位,述词特征值是从该述词属性衍伸。述词中的需求与属性中的需求相似,在此将不再赘述。属性名称为“字串”数据且被新增以表达述词的涵义,例如,“年龄验证”。述词中的述词特征为“字串”数据并界定自需求标示的至少一个凭证的属性衍伸或与该属性相关的特征。例如,述词“年龄<65”中的述词特征“年龄”可由述词属性“出生日期”中导出。述词值为“整数”数据并界定与自属性述词衍伸的特征的值相比的值,例如上述述词中的65。述词种类为“字串”数据,其界定自标示的凭证属性导出的述词特征的值与述词值之间的比较关系,例如上述述词的小于“<”。
述词的需求与属性的功能大致相同。当述词的需求具有搜寻条件以找出至少一个凭证,该凭证包含用来导出述词特征值的属性。例如,述词的需求“年龄<65”具有一搜寻条件“Schema_id=1”,其为美国驾照(不考虑哪一州)。凭证拥有者的美国驾照上的出生日期被用来导出年龄的值,并将该值与65比较。这样的述词在VRD中要求验证自美国驾照中导出的凭证拥有者的年龄为小于65。当述词的需求具有多个搜寻条件,例如{Credential_definition_id=1OR[Credential_definition_id=2AND Issuer_id=3]},VRD要求验证自满足所有三个搜寻条件的凭证中出生日期(属性)导出的年龄(述词特征)。根据验证的需要,多个搜寻条件可与一个或多个布林运算子,例如‘AND’及‘OR’结合。作为与布林运算子结合的多个搜寻条件的示例,{Credential_definition_id=1OR[Credential_definition_id=2AND Issuer_id=3]}被解读为要求Credential_definition_id等于1(其为加州驾照),或者Credential_definition_id等于2且Issuer_id is等于3(其为纽约州监理所核发的纽约州驾照)的凭证上的出生日期进行年龄验证。换言之,VRD要求使用来自凭证拥有者的加州驾照或由纽约州监理所核发的纽约驾照的出生日期作为年龄述词的验证。
由于AND与OR布林运算子可用来与多个搜寻条件结合,本发明的其中一个优势为可提供更具有弹性与效率的设定与凭证验证所需的属性或述词相关的需求的方法。
第六种的VRD交易为VRD注销交易。请参照图9,每个VRD注销交易的数据结构包含交易种类值(例如6)、VRD核发者的DID与签名、以及即将注销的VRD的ID的栏位。在VRD注销交易中的VRD核发者的签名是借由以VRD核发者的私密秘钥加密散列(hashing)VRD注销交易所有其他栏位的杂凑值来产生。如图1中的“c2”所示,VRD注销交易由VRD核发者新增并自VRD核发者提交至分布式VRD交易共识网络60。VRD核发者的签名可由分布式VRD交易共识网络60中的VRD核发者的公开秘钥验证。基于预定共识,VRD注销交易被发布至分布式VRD分类账。即将被注销的VRD的ID标示的VRD由VRD核发者的DID标示的VRD核发者自分布式VRD交易共识网络60删除。藉此,注销的VRD将无法再被验证者使用。
第七种的VRD交易为VRD找回交易。每个VRD找回交易的数据结构包含如值为7的交易种类以及VRD ID的栏位。如图1中的“d1”所示,VRD找回交易是从第一凭证管理系统20提交至分布式VRD交易共识网络,该第一凭证管理系统20由与验证者相关的第一凭证管理者提供。因此,借由图1所示的“d2”,VRD自分布式VRD交易共识网络60回到第一凭证管理系统20。
分布式VRD交易共识网络形成且VRD被记录于其中之后,使用VRD以验证凭证的方法将于以下有进一步的说明。与验证者相关的第一凭证管理系统与第二凭证管理系统互动,该第二凭证管理系统与凭证拥有者(prover)相关,该第一凭证管理系统与第二凭证管理系统与分布式VRD交易共识网络及分布式凭证管理交易共识网络相互通信以验证凭证拥有者的凭证。请参照图1及10,使用储存于分布式VRD交易共识网络的VRD的第一凭证管理系统要求验证凭证拥有者的凭证的方法包含以下步骤。
步骤S310:当自验证器50接收VRD ID及凭证拥有者识别符时(其在图1中标示为d1与d2),第一凭证管理系统20传送包含在VRD找回交易中的VRD ID至分布式VRD交易共识网络60以获取图1中的d3标示的VRD,接着传送VRD与凭证拥有者识别符至第二凭证管理系统30。VRD包含至少一个属性、至少一个述词、或至少一个属性与至少一个述词两者。每个属性及述词具有自己的需求,该需求定义至少一个种类的凭证用以验证在VRD中界定的属性与述词。
尤其,当凭证拥有者以验证器50与验证者进行互动,验证器50自凭证拥有者接收凭证拥有者识别符并提供VRD ID及凭证拥有者识别符至第一凭证管理系统20。针对所有的凭证拥有者,每个验证器50可使用一专属的VRD ID,及/或针对不同的验证目的,为不同多个凭证拥有者群组个别使用多个VRD ID。在先前的情况中,验证器50皆传送相同的VRD ID。在后面的情况中,验证器50基于凭证拥有者群组及/或验证目的提供对应的VRD ID至第一凭证管理系统20。在一实施例中,验证器50进一步提供VRD的版本。如图1所示,第一凭证管理系统20接着传送VRD ID至分布式VRD交易共识网络60以借由VRD ID自分布式VRD交易共识网络60找回VRD(d3),并传送VRD(d3)与凭证拥有者识别符(d2)至第二凭证管理系统30。凭证拥有者识别符包含凭证拥有者ID及与凭证拥有者相关的第二凭证管理系统30的识别符。藉此,第一凭证管理系统20可基于凭证拥有者识别符找出第二凭证管理系统30并传送VRD与凭证拥有者识别符至第二凭证管理系统30。在一实施例中,基于在VRD中定义的属性与述词,第一凭证管理系统20进一步传送证明要求至第二凭证管理系统30。证明要求界定何种属性必须被包含在证明中以表示每个皆包含特定属性的凭证的存在。然而,证明要求不需要包含证明要求中可使用的凭证。
如先前所述,每个VRD可被配置为包含至少一个属性、至少一个述词、或至少一个属性与至少一个述词两者。每一个至少一个属性包含属性名称及标示至少一个凭证拥有者的凭证的需求,该凭证包含该属性。在VRD中的每一个至少一个述词包含述词属性(述词特征可自该属性导出)及标示至少一个凭证拥有者的凭证的需求,该凭证包含该述词属性以判别述词的验证条件是否满足。
步骤S320:第一凭证管理系统20自第二凭证管理系统30接收证明并确认证明是否满足与在VRD中界定的每一个至少一个属性及至少一个述词相关的需求。
尤其是,自第一凭证管理系统20接收VRD ID后,第二凭证管理系统30产生属性及述词列表,该述词列表包含在VRD中界定的每一个至少一个属性的属性名称与每一个至少一个述词的述词属性。第二凭证管理系统30从凭证拥有者识别符判别凭证拥有者,该凭证拥有者识别符包含凭证拥有者ID,接着搜寻凭证拥有者的钱包以找出满足对应每个属性及述词的需求的凭证。凭证拥有者的凭证被加密及储存于为“钱包”概念的区域数据库。在另一实施例中,凭证拥有者的钱包可由第三方或凭证拥有者管理。第二凭证拥有者管理系统借由存取区域数据库以搜寻凭证拥有者的钱包,以找出满足在VRD中界定的需求的至少一个凭证。
第二凭证管理系统30接着基于证明要求及选择的凭证经由分布式凭证管理交易共识网络70新增证明。如图1所示,第二凭证管理系统30发送证明要求、属性及述词列表(e1???)、每一个至少一个选择的凭证的凭证识别符(e2???)、以及凭证拥有者的钱包的手把(handle)至分布式凭证管理交易共识网络70。凭证拥有者的钱包的手把可用来存取凭证拥有者的凭证。凭证(与属性及值),包含“链接秘密”(link secret)、为凭证拥有者、核发者、以及纲要与凭证定义自储存于分布式凭证管理分类账的凭证拥有者与凭证核发者的公开秘钥导出的数学值。第二凭证管理系统30接着自分布式凭证管理交易共识网络70接收回证明(f1)。
在一实施例中,超级分类账印地软件开发套件(SDK)可用来建构证明,其使用储存于区域凭证的链接秘密以及分布式凭证管理分类账中找到的凭证拥有者与凭证核发者的公开秘钥以建构零知识(zero knowledge)证明。
在一实施例中,为在VRD中界定的每个要求的属性与述词新增零知识证明(ZKP)。可借由检查分布式凭证管理分类账中找到的凭证拥有者及凭证核发者公开秘钥来验证这些ZKP。每个ZKP证明凭证拥有者的凭证为有效且没有被注销。除此之外,对于零知识证明而言,证明包含每个属性的明文及/或值,其被要求由在VRD中的揭示选项公开。例如,如果“姓名”(属性)被要求公开,“John Doe”(属性的明文)将包含在证明之中。每个属性的明文及/或值可直接自凭证获取。
除了至少一个零知识证明,证明进一步包含每个所选的凭证的凭证识别符。当没有凭证拥有者的凭证可满足在VRD中界定的每一个至少一个属性与至少一个述词的需求时,第二凭证管理系统30将发送失败的指示(f2)至第一凭证管理系统20而不执行任何与证明相关的流程。不然,第二凭证管理系统30发送证明至第一凭证管理系统20。
第一凭证管理系统20自第二凭证管理系统30接收证明。证明包含至少一个凭证识别符以标示至少一个所选的凭证,该凭证包含在VRD中界定的属性或述词属性。第一凭证管理系统20检查以确认在证明中由至少一个凭证识别符标示的至少一个凭证是否满足每个在VRD中界定的至少一个属性与至少一个述词的需求。上述的检查仅在第一凭证管理系统20进行。然而,其无法确认凭证拥有者是否真的拥有至少一个所选的有效且没有被注销的凭证。
步骤S330:当每个需求已被满足,第一凭证管理系统20发送证明及在VRD中界定的至少一个的至少一个属性与至少一个述词至分布式凭证管理交易共识网络以进行验证。
尤其,当每个需求已被满足,第一凭证管理系统20发送证明(f1)与of在VRD中界定的每一个至少一个属性的属性名称与每一个至少一个述词的述词属性至分布式凭证管理交易共识网络70以进行验证,该属性与述词与第二凭证管理系统30中产生的属性与述词列表(e1)相同。
当接收失败的指示,第一凭证管理系统20发送验证失败的结果至验证器50表示凭证拥有者不具有满足在VRD中界定的至少一个属性与至少一个述词需求的凭证并结束剩下的方法的步骤。
步骤S340:在自分布式凭证管理交易共识网络接收验证回复时,第一凭证管理系统20发送凭证验证结果至验证器50。
尤其,自分布式凭证管理交易共识网络70接收验证回复(g1)时,第一凭证管理系统20发送验证结果(g2)至验证器50。证明中对应的属性名称或对应的述词属性的每一个至少一个零知识证明为一数学值;针对凭证拥有者、凭证核发者、及与证明中至少一个凭证相关的纲要与凭证定义,其可以与储存于分布式凭证管理交易共识网络70的凭证拥有者与凭证核发者的公开秘钥进行比对验证。每个零知识证明的验证都会产生一布林值,TRUE或FALSE,其表示包含对应属性的属性或对应述词的述词属性的至少一个凭证为有效且没有被注销。验证回复包含标示每个零知识证明验证结果的布林值。例如,如果VRD包含属性的属性名称,例如“姓名”,且由属性的需求标示的凭证,例如{Schema_id=1},为美国驾照,对应的零知识证明验证为TRUE值表示凭证拥有者拥有包含该姓名的有效且没有被注销的美国驾照凭证。进一步的,如果述词为‘年龄<65’且述词的需求标示的凭证,例如{Schema_id=1},为美国驾照,对应的零知识证明验证为FALSE值表示美国驾照凭证失效且被注销。基于验证回复,验证结果接着被发送至第一凭证管理系统20。验证结果可为布林值—TRUE,代表通过在VRD中界定的验证,或FALSE,代表未通过在VRD中界定的验证。在另一实施例中,验证结果可为具有根据验证者的要求而改变的验证回复的客制化报告。
以上虽然阐述了本发明诸多技术特征及优势,但其公开的功能及细部结构皆为示例性说明。在不背离本发明的精神下,本发明申请专利范围的权利范畴最大解读方式涵盖基于本说明书的教示而改变本发明形状、大小、及部件的配置方式所得的改良。
Claims (27)
1.一种第一凭证管理系统利用储存于分布式验证需求文件VRD交易共识网络上的VRD用以要求验证凭证拥有者的凭证的方法,该方法包含:
(a)当自一验证者接收该VRD的VRD识别ID及一凭证拥有者识别符时,该第一凭证管理系统发送该VRD ID至该分布式VRD交易共识网络以找回该VRD,并发送该VRD以及该凭证拥有者识别符至第二凭证管理系统,其中该VRD包含至少一个属性,至少一个述词,或至少一个属性及至少一个述词两者,其中必须界定至少一个种类的凭证用以验证在VRD中界定的每一个该至少一个属性及每一个该至少一个述词。
2.如权利要求1所述的方法,进一步包含:
(b)该第一凭证管理系统自该第二凭证管理系统接收一证明并确认该证明是否满足与在该VRD中界定的每一个该至少一个属性及每一个该至少一个述词相关的需求;
(c)当每一需求被满足时,该第一凭证管理系统发送该证明及在该VRD中界定的该至少一个属性及该至少一个述词其中之一至一分布式凭证管理交易共识网络用以作验证;
(d)自该分布式凭证管理交易共识网络接收一验证回复时,该第一凭证管理系统发送一凭证验证结果至该验证者。
3.如权利要求2所述的方法,进一步包含:该第二凭证管理系统选择凭证拥有者的至少一个凭证,其满足在该VRD中界定的每一个该至少一个属性及该至少一个述词的需求,发送在该VRD中界定的每一个该至少一个属性及该至少一个述词及每一个该至少一个所选的凭证的一凭证识别符至该分布式凭证管理交易共识网络,并发送自该分布式凭证管理交易共识网络接收的该证明至该第一凭证管理系统。
4.如权利要求1所述的方法,其中,该凭证拥有者识别符包含与该凭证拥有者相关的第二凭证管理系统的一凭证拥有者ID及一识别符。
5.如权利要求2所述的方法,其中该VRD具有VRD ID、VRD名称、至少一个该至少一个属性及该至少一个述词、以及该VRD的核发者分布识别符DID的栏位。
6.如权利要求5所述的方法,其中每一个该至少一个属性包含对应的需求、属性名称、以及揭示选项,且该对应的需求界定该凭证拥有者的该至少一个种类的凭证并包含至少一个搜寻条件。
7.如权利要求6所述的方法,其中该至少一个搜寻条件包含多个搜寻条件,该多个搜寻条件由或布林运算子中的“或”相互结合。
8.如权利要求2所述的方法,其中在VRD中界定的每一个该至少一个述词包含一对应的需求,一述词名称,一述词特征,一述词属性,一述词值,以及一述词种类,该对应的需求界定该凭证拥有者的该至少一个种类的凭证并包含至少一个搜寻条件。
9.如权利要求8所述的方法,其中该至少一个搜寻条件包含多个搜寻条件,该多个搜寻条件由或布林运算子中的“或”相互结合。
10.如权利要求2所述的方法,其中该证明包含一零知识证明,其对应在VRD中界定的每一个该至少一个属性及该至少一个述词,用以验证所选的为有效且非注销的。
11.如权利要求6所述的方法,其中当在VRD中界定的该至少一个属性的该揭示选项允许公开,该证明包含该至少一个属性的一值或内容。
12.如权利要求6所述的方法,其中当在VRD中界定的该至少一个属性的该揭示选项允许公开,该验证结果包含该至少一个属性的一值或内容。
13.如权利要求1所述的方法,其中该分布式VRD交易共识网络及该分布式凭证管理交易共识网络为区块链。
14.如权利要求1所述的方法,其中该分布式VRD交易共识网络及该分布式凭证管理交易共识网络为分开的网络。
15.如权利要求1所述的方法,其中该分布式VRD交易共识网络整合至该分布式凭证管理交易共识网络中。
16.一种分布式验证需求文件VRD交易共识网络,其存有一分布式VRD分类账,该网络包含:
VRD管理系统,由VRD管理者提供;
第一VRD管理节点,由第一VRD操作者提供;
第二VRD管理节点,由第二VRD操作者提供;
其中VRD管理系统、该第一VRD管理节点、及该第二VRD管理可相互通信的连接;
其中VRD交易由该分布式VRD交易共识网络的预定共识认可后,该VRD交易被发布至该分布式VRD分类账,而该VRD交易为VRD操作者注册交易、VRD操作者注销交易、VRD核发者注册交易、VRD核发者注销交易、VRD注册交易、VRD注销交易、及VRD找回交易其中之一;以及
其中该分布式VRD分类账记录多个VRD,且每一个VRD具有VRD ID、VRD名称、至少一个的至少一个属性及至少一个述词、及该VRD核发者的分布识别符的栏位。
17.如权利要求16所述的网络,其中该VRD操作者注册交易包含公开秘钥及VRD操作者的DID,及VRD管理者的DID与签名用以发布VRD操作者。
18.如权利要求16所述的网络,其中该VRD操作者注销交易注销该VRD操作者,该VRD操作者注销交易包含VRD操作者的DID,及VRD管理者的DID及签名,该VRD管理者注册该VRD操作者。
19.如权利要求16所述的网络,其中该VRD核发者注册交易发布该VRD核发者,该VRD核发者注册交易包含公开秘钥及一VRD核发者的DID,及一VRD操作者的DID与签名。
20.如权利要求16所述的网络,其中该VRD核发者注销交易注销该VRD核发者、该VRD核发者注销交易包含VRD核发者的DID、及VRD操作者的DID与签名,该VRD操作者注册该VRD核发者。
21.如权利要求16所述的网络,其中该VRD注册交易具有VRD ID、VRD名称、至少一个属性及至少一个述词的至少一个、及一VRD核发者的DID及签名的栏位。
22.如权利要求16所述的网络,其中该VRD注销交易具有注册一VRD的一VRD核发者的签名及DID、及已注册的VRD的ID的栏位。
23.如权利要求21所述的网络,其中在该VRD注册交易中界定的每一个该至少一个属性包含一对应的需求、一属性名称、及一揭示选项,而该对应的需求界定该凭证拥有者的该至少一个种类的凭证,并包含至少一个搜寻条件。
24.如权利要求23所述的网络,其中该至少一个搜寻条件包含多个搜寻条件,该多个搜寻条件由或布林运算子中的“或”相互结合。
25.如权利要求21所述的网络,其中在VRD注册交易中界定的每一个该至少一个述词包含对应的需求、述词名称、述词特征、述词属性、述词值、及述词种类,而该对应的需求界定该凭证拥有者的该至少一个种类的凭证并包含至少一个搜寻条件。
26.如权利要求25所述的网络,其中该至少一个搜寻条件包含多个搜寻条件,该多个搜寻条件由或布林运算子中的“或”相互结合。
27.如权利要求16所述的网络,其中该分布式VRD交易共识网络为一区块链。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962923471P | 2019-10-18 | 2019-10-18 | |
| US62/923,471 | 2019-10-18 | ||
| PCT/US2020/056388 WO2021077118A1 (en) | 2019-10-18 | 2020-10-19 | Verification requirement document for credential verification |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114930772A true CN114930772A (zh) | 2022-08-19 |
Family
ID=75537540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080072961.7A Pending CN114930772A (zh) | 2019-10-18 | 2020-10-19 | 用于凭证验证的验证需求文件 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20220294653A1 (zh) |
| EP (1) | EP4046360A4 (zh) |
| JP (1) | JP2022552419A (zh) |
| CN (1) | CN114930772A (zh) |
| TW (1) | TWI800769B (zh) |
| WO (1) | WO2021077118A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12010244B2 (en) * | 2020-11-09 | 2024-06-11 | International Business Machines Corporation | Blockchain based verifiability of user status |
| CA3148105A1 (en) * | 2021-02-09 | 2022-08-09 | Ash Bassili | Network platform for secure document sharing and verification |
| KR102470713B1 (ko) | 2021-04-29 | 2022-11-25 | (주)소프트제국 | 블록체인 did 기반 증명서 유통 서비스 제공 방법 및 장치 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050065975A1 (en) * | 2001-08-14 | 2005-03-24 | Mcdonald Nathan Joel | Document analysis system and method |
| US20140281525A1 (en) * | 2013-03-15 | 2014-09-18 | Microsoft Corporation | Minimal disclosure credential verification and revocation |
| US20180270065A1 (en) * | 2017-03-15 | 2018-09-20 | NuID, Inc. | Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication |
| CN109446842A (zh) * | 2018-10-31 | 2019-03-08 | 深圳电通信息技术有限公司 | 一种基于区块链和分布式账本的版权权益交易方法及装置 |
| US20190305949A1 (en) * | 2018-03-27 | 2019-10-03 | Workday, Inc. | System for credential storage and verification |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2527603B (en) * | 2014-06-27 | 2016-08-10 | Ibm | Backup and invalidation of authentication credentials |
| US9785764B2 (en) * | 2015-02-13 | 2017-10-10 | Yoti Ltd | Digital identity |
| US10142347B2 (en) * | 2016-02-10 | 2018-11-27 | Bank Of America Corporation | System for centralized control of secure access to process data network |
| EP3503595B1 (en) * | 2017-12-19 | 2020-11-11 | Nokia Technologies Oy | Provision of location-specific user information |
| EP3776421A4 (en) * | 2018-03-27 | 2021-12-08 | Workday, Inc. | SYSTEM FOR STORAGE AND VERIFICATION OF ACCESS DATA |
| SG11202010346TA (en) * | 2018-05-14 | 2020-11-27 | Nchain Holdings Ltd | Computer-implemented systems and methods for using a blockchain to perform an atomic swap |
| CN110032581A (zh) * | 2019-01-18 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种基于区块链的业务文件存储方法及装置 |
| CA3058499C (en) * | 2019-03-26 | 2021-10-26 | Alibaba Group Holding Limited | Program execution and data proof scheme using multiple key pair signatures |
-
2020
- 2020-10-19 WO PCT/US2020/056388 patent/WO2021077118A1/en unknown
- 2020-10-19 US US17/769,758 patent/US20220294653A1/en active Pending
- 2020-10-19 JP JP2022523228A patent/JP2022552419A/ja active Pending
- 2020-10-19 EP EP20876850.7A patent/EP4046360A4/en active Pending
- 2020-10-19 CN CN202080072961.7A patent/CN114930772A/zh active Pending
- 2020-11-26 TW TW109141616A patent/TWI800769B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050065975A1 (en) * | 2001-08-14 | 2005-03-24 | Mcdonald Nathan Joel | Document analysis system and method |
| US20140281525A1 (en) * | 2013-03-15 | 2014-09-18 | Microsoft Corporation | Minimal disclosure credential verification and revocation |
| CN105264819A (zh) * | 2013-03-15 | 2016-01-20 | 微软技术许可有限责任公司 | 最小披露凭证验证和撤销 |
| US20180270065A1 (en) * | 2017-03-15 | 2018-09-20 | NuID, Inc. | Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication |
| US20190305949A1 (en) * | 2018-03-27 | 2019-10-03 | Workday, Inc. | System for credential storage and verification |
| CN109446842A (zh) * | 2018-10-31 | 2019-03-08 | 深圳电通信息技术有限公司 | 一种基于区块链和分布式账本的版权权益交易方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| SCHANZENBACH ET AL: "ZKlaims: Privacy-preserving Attribute-based Credentials using Non-interactive Zero-knowledge Techniques", ARXIV, 22 July 2019 (2019-07-22), pages 1 - 8 * |
| SCHANZENBACH ET AL: "ZKlaims: Privacy-preserving Attribute-based Credentials using Non-interactive Zero-knowledge Techniques", ARXIV, pages 1 - 8 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4046360A4 (en) | 2023-11-01 |
| JP2022552419A (ja) | 2022-12-15 |
| EP4046360A1 (en) | 2022-08-24 |
| TW202217620A (zh) | 2022-05-01 |
| TWI800769B (zh) | 2023-05-01 |
| US20220294653A1 (en) | 2022-09-15 |
| WO2021077118A1 (en) | 2021-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10979418B2 (en) | Template-based distributed certificate issuance in a multi-tenant environment | |
| CN109377198B (zh) | 一种基于联盟链多方共识的签约系统 | |
| WO2021120253A1 (zh) | 链式结构数据存储、验证、实现方法、系统、装置及介质 | |
| JP7426031B2 (ja) | 鍵セキュリティ管理システムおよび方法、媒体、ならびにコンピュータプログラム | |
| CN113271211B (zh) | 一种数字身份验证系统、方法、电子设备及存储介质 | |
| Yang et al. | Multi-user private keyword search for cloud computing | |
| CN114930772A (zh) | 用于凭证验证的验证需求文件 | |
| AU2017225928A1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US20080209575A1 (en) | License Management in a Privacy Preserving Information Distribution System | |
| CN107332858B (zh) | 云数据存储方法 | |
| JP6688823B2 (ja) | 構造化集合に組織化された様々な識別情報ドメインからのデータを管理及び検査する方法 | |
| Camenisch et al. | Concepts and languages for privacy-preserving attribute-based authentication | |
| US20230083642A1 (en) | Methods and systems for managing user data privacy | |
| CN107465681A (zh) | 云计算大数据隐私保护方法 | |
| US20240187259A1 (en) | Method and apparatus for generating, providing and distributing a trusted electronic record or certificate based on an electronic document relating to a user | |
| Derler et al. | Rethinking privacy for extended sanitizable signatures and a black-box construction of strongly private schemes | |
| US20230138797A1 (en) | System for generating an authentication credential using non-fungible tokens | |
| US7958548B2 (en) | Method for provision of access | |
| CN113569298A (zh) | 一种基于区块链的身份生成方法及身份系统 | |
| CN114944937A (zh) | 分布式数字身份验证方法、系统、电子设备及存储介质 | |
| CN107395609B (zh) | 数据加密方法 | |
| US20240022433A1 (en) | Methods and systems for digital identification and certification | |
| Hölzl et al. | Real-world identification: towards a privacy-aware mobile eID for physical and offline verification | |
| CN107483200A (zh) | 云计算大数据隐私保护方法 | |
| Brunner et al. | SPROOF: A decentralized platform for attribute-based authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |