CN117280346A - 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置 - Google Patents

用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置 Download PDF

Info

Publication number
CN117280346A
CN117280346A CN202280031405.4A CN202280031405A CN117280346A CN 117280346 A CN117280346 A CN 117280346A CN 202280031405 A CN202280031405 A CN 202280031405A CN 117280346 A CN117280346 A CN 117280346A
Authority
CN
China
Prior art keywords
user
smart contract
certificate
blockchain
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280031405.4A
Other languages
English (en)
Inventor
M·贝格曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mb Automation Co ltd
Original Assignee
Mb Automation Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mb Automation Co ltd filed Critical Mb Automation Co ltd
Publication of CN117280346A publication Critical patent/CN117280346A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

在此所提出的解决方案涉及一种生成、提供和交换基于与用户相关的电子文件的可信电子数据集或证书的方法,包括以下步骤:提供文件,所述文件包括电子格式的与用户相关的信息;通过用户联系留存在网络中的区块链,其中所述区块链包含智能合约,所述智能合约被设定和编程成(i)检验所述文件是否证明用户符合限制;(ii)借助智能合约检验符合/不符合所述限制;(iii)借助智能合约计算证明并且借助智能合约使用加密函数生成所述证明的证书;以及(iv)通过智能合约向用户发送所述证书和所述证明。

Description

用于生成、提供和转发基于与用户相关的电子文件的可信电 子数据集或证书的方法和装置
主题
在此揭示基于与用户相关的电子文件的可信电子数据集或证书的生成、提供和转发。这会作为一种装置和一种方法来实现。所述装置和所述方法的特征和特性在权利要求书中定义;但说明书和图式也揭示了所述装置和所述方法的特征以及其不同方面和相互关系。
背景和现有技术
常规的官方签发的证件(护照、身份证、驾驶执照、出生证明、结婚证、中学毕业证书、大学学位证书等)包含一系列预定义的认证数据集(姓名、地址、出生日期、血型、疫苗接种情况、婚姻状况、指纹、虹膜图像等)。由持有人向第三方(行政机关、商业伙伴等)出示这种证件以例如证明年龄或国籍是常见的并且符合其目的。然而,通过出示整个证件,持有人通常会向第三方泄露更多关于其本人的信息(次级信息),而这些信息在当前情况下并不是必需的。
例如,如果买方方面在购买有年龄限制的商品(如奢侈品)时使用这种证件来证明其已达到法定年龄,那么卖方就可以获得比具体证明(买方已达法定年龄)所需更多的关于买方的信息(姓名、出生年月日、住址、国籍等)。信用证明(例如买方用于签订购房合同的信用证明)或租户用于签订租房合同的收入证明目前需要银行或用人单位出具的函件。除了当前所要求的信用范围外,还可以从这种函件中获得其他各种信息。
移动ID解决方案,例如MB TECURE ID(https://www.muehlbauer.de/solutions/id-card-solution),会对官方签发和认证的证件的数字表示(如身份证明文件、驾驶执照等)进行处理。这些证件通常包括持有人的照片、姓名、地址、民族、性别、出生日期、驾驶执照类别、签发日期和有效期等。根据各个证件中的信息来生成移动ID,将这个移动ID存储并留存在旅客的移动设备上。这个移动ID代替了多个不统一的旅行证件;其能够以方便、非接触式且符合数据保护规定的方式对旅客进行安全的身份识别。
为了对个人进行身份验证以及/或者对个人进行授权,对以下步骤进行区分:在认证过程中,用户出示其待由系统进行验证的身份证明。认证是对用户所宣称的身份的实际检验。此认证由可信实体来执行。可信实体根据证明中所包含的特征对用户身份进行证实或证伪。认证成功(证实)后,会在进行授权时授予用户所要求的权限。旅客可以在火车站用护照和车票主动进行认证。通过火车站/列车工作人员结合旅客所出示的证件对旅客进行被动认证。这样一来,旅客便可以通过其车票得到授权以出行。
在已知的电子解决方案中,对于这类场景而言,可以与签发证件的行政机关/用人单位联系并要求针对此证件签发具有专用签名的专用证书。这需要中央基础设施并且不利于保护数据,因为连接数据(元数据)会泄露在具体情况下不需要的信息(例如地理位置、日期和时间、证书类型)。自签名证书是另一方案。然而,这些证书仅提供较低的安全性,因为证书内容的真实性无法证明。
公钥基础设施PKI指的是能够生成、分发和检验数字证书的系统。这些证书用作个人的数字身份。非对称密码系统可以对待以电子的方式发送的消息进行签名和加密。在此形式下,签名消息实际上来自指定的发送者。为了对这一点进行验证,需要发送者的例如可以通过电子邮件发送的公开密钥(公钥)。为了确保这个公开密钥实际上是发送者的密钥,待发送的密钥自身又可以借助可信密钥来签名。因此,必须构造由可信机构构成的层次结构,其中这个层次结构的最高机构的密钥的真实性必须得到认可。数字证书是用于证明对象的真实性的经数字签名的电子数据。证书颁发机构(Certificate Authority,CA)是提供证书以及对证书申请进行签名的实体。PKI提供分级的有效性模型。如果一个证书颁发机构受到信任,则其所签署的所有证书也都会受到信任。CA可能具有从属CA,因此,所有从属CA也都会受到信任。
所基于的问题
个人数据应能在保持或仅略微削弱数据的完整性和正确性(完好无损)、所涉及的个人或者IT组件或应用的真实性、防止数据未经授权的泄露以及/或者发布者的匿名性的情况下被输出给第三方。在此情况下,还应避免向第三方发布与数据输出相关的元数据。
解决方案
作为解决方案的一个表现形式,提出一种方法,所述方法至少部分作为(硬件和/或软件中的)逻辑在用户的便携式设备中实现。在便携式设备中实现的逻辑部分适于通过网络/数据链路与远程便携式设备或固定设备/在云计算中实现的逻辑部分进行通信。
在一种变体方案中,所述便携式设备为移动设备(智能手机),其适于运行所谓的应用程序,即具有为此而设计的移动操作系统的便携式设备的应用软件。在这个应用程序中,由用户触发/执行的程序部分用于以用户友好、保护隐私、可信且适合具体情况的方式对用户及其数据或部分数据进行认证、验证并将其出示给第三方。分散地实施为此所需的方法步骤。在一种变体方案中,针对分散实施通过网络进行的云计算能视需要随时随地简单且快速地访问可以所需方式配置的计算机资源(网络、服务器、存储系统、应用程序和服务)的共享池。
代替便携式设备,也可以为用户设置固定的计算机资源,其为用户提供所述解决方案所需的功能。
以下资源可用于在便携式设备的应用程序内部和/或外部执行的逻辑步骤。
在所谓的分布式账本(类似于会计日记账的分布式数字账簿)中,将数据集分布在对等网络(P2P网络)中。在此情况下,网络节点通过协议(共识)共同决定数据的更新。这些数据例如可以是加密货币的账户余额、货物原产地证明、上述官方签发的文件的内容,或者更抽象地说,可以是所谓的智能合约的合约状态。
在在此所提出的解决方案中,将计算规则作为程序或脚本(见下文)存储在分布式账本中。在一种变体方案中,这个程序或脚本用于认证和/或验证输入值。分布式账本不包含静态值或日期。确切而言,在智能合约中(见下文)存储例如如何基于官方认证的用户出生日期在随后不会泄露用户自身的出生日期的情况下回答关于用户达到法定年龄的询问(“是”或“否”)。
通过智能合约中的由网络中的矿工进行检查(见下文)的计算规则确定针对可能较为复杂的问题的明确定义的二进制答案。将这个答案作为认证/加密消息进行传输,其包括与文件和/或身份提示(姓名)相关的答案(已达法定年龄、持有B类驾照等)。这个答案用于出具给第三方并且在数字通信中实现简单且可靠的操作。
在分布式账本中不存在中央通信控制器和中央数据集存储器。网络节点分别管理完整数据库的一个本地副本并且可以自行添加新的数据集。适用的共识机制确保所有节点中的分布式数据集都是最新的并且是一致的,以便将分布式账本作为分布式数据结构始终保持在一致的状态。智能合约作为通过矿工进行检验的程序/脚本分布式地存储在分布式账本中,这些程序/脚本无法再更改并且保持一致。
为了确保对网络、数据结构、数据集的访问安全以及建立共识,针对所需的安全性(特别是完整性和真实性)使用加密过程。确认、存储和使用数据的规则以各种形式编码在数据集自身中并且在处理过程中由网络来自动执行和实施。
在所谓的区块链技术中,将数据集作为区块链网络中的所谓的事务进行确认并将其合并成区块。通过加密链以防篡改的方式将新的数据块(事务)与链中的前一数据块链接。此链还确定了事务的时间顺序。因此,作为分布式账本的一个特例,产生越来越长的数据块链,即所谓的区块链。区块链的每个区块通常均包含链中的前一区块的一个加密哈希值、一个时间戳以及一个或多个数据集。为了用作分布式账本,在区块链网络中对区块链进行管理,在这个区块链网络中,所有节点共同遵循用于确认新区块的协议。区块链本质上对数据集的更改具有耐抗性,因为这些数据集在记录至区块链中后就无法在不改变所有后续区块的情况下进行追溯性更改。此举需要网络中大多数节点达成共识。
在此情况下,事务也指在分布式账本/区块链中进行管理或待在其中进行处理的信息。术语钱包一方面指针对用户的访问数据和秘密的(例如移动设备中的)数字钱包,另一方面指针对区块链网络的一般用户界面,用户可以通过这个用户界面管理访问数据和秘密并参与系统。允许向区块链添加新区块的网络节点或网络中的行动者也被称为矿工。
在分布式账本中可以存储一个或多个智能合约。智能合约并非指法律意义上的合约,而是指计算机辅助的可执行语句。也就是说,智能合约包含一个或多个可执行程序。智能合约应以防篡改的方式实现未知或不信任的人员之间的操作或交易。这种智能合约会获得固有的地址以与智能合约进行交互。
智能合约的程序代码在事务中被发送至区块链并且由网络节点在确认的框架下来执行。通过事务来调用智能合约。数据集也通过事务输入智能合约中。在智能合约的在此所提出的变体方案中,可以对这个智能合约的调用进行登记和监测。但也可以完全匿名地调用智能合约,以便避免数据泄露。此外,还可以实现用于显示智能合约的信誉的调用计数器。因为区块链不可改变,所以无法对程序代码进行后续更改。
独立实体、证件(身份证、护照)的签发机关、用户或进行检验的第三方可以创建智能合约,由矿工网络对其进行检验和认证并随后使用这个智能合约。
智能合约可以作为脚本借助例如基于堆栈的脚本语言进行编程,或者作为语句序列借助可编译的编程语言(如Solidity、Go、Java、Node.js或类似语言)进行编程。编译器生成字节码。将这个字节码或脚本作为独立的事务发送至网络,而无需指定接收者地址。矿工将新生成的地址分配给智能合约并在区块链中发布程序代码。在将事务纳入区块中时,由矿工来执行向智能合约的地址进行的事务,随后在对这个事务进行验证时,由任何其他节点来执行。
作为替代方案,智能合约的任务委托方仅委托一些网络节点/矿工来执行智能合约。这些网络节点首先在本地彼此独立地模拟智能合约的执行并将结果报告给任务委托方,而不会将其锚定在区块链中。在存在足够数量的一致反馈的情况下建立一个事务并将其发送至另一组网络节点。这组节点决定将所输入的事务记录至区块链中的顺序,而不对进行任何确认或内容评估。最终,在所有网络节点更新其区块链的本地副本时,通过所有网络节点进行确认。
也可以在区块链外部在API(application programming interface应用程序编程接口,即用于对应用程序进行编程的接口,其由软件系统提供给其他程序以与系统连接)上执行智能合约中所包含的规定;仅将与特定区块链操作(如价值转移)有关的指令作为事务转发至区块链并在该处输入。因此,程序代码可以随后进行更改,因为程序代码自身并不在区块链上。在此情况下,为了可能的错误校正,放弃不变性原则。
更详细地说,基于上述基础设施产生各个功能的以下协作:
单个区块链至少具有两个区块。每个区块均包含前一区块的哈希值。这样就建立链依赖性,其保护区块中的事务以免遭受非法更改,具体方式在于,其要求对区块更改后生成的每个区块进行重新计算。将在网络节点之间进行交换的事务存储在区块链的区块中。在此情况下,每个事务都可以包含用户数据和数字签名,例如用户数据的加密哈希值。事务可被定义为Msg=D+h(D),其中Msg表示消息,D指的是事务中所包含的数据集,h()表示哈希函数。
通过网络节点之间的共识程序生成新区块,一旦这些新区块生成,便将其添加至区块链中。典型的共识程序是所谓的工作证明(proof-of-work)程序,其相当于寻找具有特定要求的哈希值,即寻找在将哈希函数应用于区块的整体内容后产生的特定哈希值。计算哈希值的难度取决于哈希值开头必须存在的零位的数目。零位的数目也被称为难易程度。通过增加/减少哈希值开头的零位数目,可以增加/减少计算工作量。为了计算哈希值,可以使用所谓的“nonce(随机数)”,即作为区块的一部分的随机值。在工作证明程序中,这个随机数会被随机更改,以便找到针对整个区块的期望哈希值。也就是说,可以通过更改随机数以及/或者添加新的事务来实现不同的哈希值。在工作证明程序中寻找解决方案通常伴随着较大的计算工作量。这个工作证明程序并不是唯一使用的共识程序;确切而言,还使用其他程序,如权益证明、容量证明、燃烧证明和活动证明。
在区块链网络中,矿工是计算区块的节点,即也参与执行工作证明。为了计算新的区块,矿工可以收集尚未包含在区块链内的所有当前事务并将从这些事务中获得的哈希值与前一区块的哈希值、时间戳和随机数组合。随后将哈希函数应用于这些组合的数据集,这个哈希函数产生新区块的哈希值。矿工会反复进行此计算(具体方式在于,其更改随机数以及/或者添加新的事务),直至找到针对工作证明的解决方案。第一个找到解决方案的矿工将计算出的区块发送至网络中的其他节点。如果其他节点确认了区块,则将这个事务添加到区块链中。
为了将新事务添加到区块链中,通常会在区块链网络中执行以下步骤:(1)这个新事务从原始节点被发送至网络中并且被所有节点接收。(2)由所有节点对这个事务进行确认,并且每个节点发送确认结果,即每个节点注明这个事务是否被视为有效/已确认。(3)如果这个事务被接受,即大多数节点确定这个事务有效/已确认,矿工则开始计算区块,例如,(4)第一个找到(例如针对工作证明)解决方案的矿工将计算出的区块发送至网络中。(5)其他节点确认此解决方案并将确认结果发送至网络中,即这些节点注明此解决方案是否被接受或被拒绝。(6)如果此解决方案被接受,即大多数节点接受此解决方案,则将这区块添加到区块链中,并且这些节点相应地更新其分布式账本。上文在步骤(2)中进行的事务确认可以使用已知的数字签名来进行。每个事务例如都可以由事务的原始节点来进行数字签名,具体方式在于,将哈希函数应用于这个事务的数据集并且借助原始节点的私钥对所获得的哈希值进行加密。然后,接收节点可以对这个事务进行确认,具体方式在于,这些接收节点借助原始节点的公钥对数字签名进行解密,计算数据集的哈希值并将所接收的哈希值与计算出的哈希值进行比较。
从技术角度来看,就在此所提出的解决方案而言,将证书存储器与分布式账本、特别是区块链相结合。在这个分布式账本/区块链中存储有至少一个智能合约。借助智能合约中所包含的程序、脚本或语句序列来签发具有分布式信任的证书。这个智能合约特别是轨道如何以及在何种条件下计算待签发证书中的数据集。
在此所提出的解决方案涉及一种生成、提供和交换基于与用户相关的电子文件的可信电子数据集或证书的方法,包括以下步骤:
提供文件,所述文件包括电子格式的与用户相关的信息;
通过用户联系留存在网络中的区块链,其中所述区块链包含智能合约,所述智能合约被设定和编程成:(i)验证所述文件是否证明用户符合限制;(ii)借助智能合约验证符合/不符合限制;(iii)借助智能合约计算证明并且借助智能合约使用加密函数生成这个证明的证书;以及(iv)通过智能合约向用户发送这个证明的证书。
在此所提出的解决方案包括:留存在网络/计算机和/或网络资源中的区块链是分布式账本的一部分。
此外,在在此所提出的解决方案的一种变体方案中,将通过智能合约计算的哈希值存储在另一区块链中,以便以独立于加密生成的证明的方式生成另一真实性特征。
在此所提出的解决方案使用区块链中的智能合约来计算证书。
在在此所提出的解决方案的一种变体方案中,代替通过智能合约向用户发送证明证书,将哈希值用作证明:(i)借助智能合约进行的证明计算已完成,以及(ii)未发生任何更改。
在一种变体方案中,在此所提出的解决方案包括:在联系留存在网络中的区块链之前,由用户发起与他人的交互;以及/或者由他人告知用户交互的限制,其中可由用户结合文件来证明符合/不符合限制。
在另一变体方案中,在此所提出的解决方案包括:在通过智能合约向用户发送证明的哈希值后,(i)由用户将所获得的证明哈希值发送给他人;(ii)由他人来检验这个证明的哈希值;以及/或者(iii)根据检验结果,通过他人来执行或拒绝由用户发起的交互。
在另一变体方案中,在此所提出的解决方案包括:所述智能合约被设定和编程以便针对计算出的证明和所生成的证明哈希值创建派生的可信证书。
就智能合约而言,分布式账本对每一方来说都是透明的并且能够对其自身和计算语句进行确认。在此情况下,在访问用户的文件时,在用户所要求或所定义的范围内维护数据的安全性和隐私性,而不会披露基础文件或其中所包含的数据元素。因此,例如在进行年龄查询(用户年龄大于x周岁)时,不会披露整个出生日期(日/月/年)。确切而言,借助在此所提出的解决方案,根据用户经认证的出生日期生成安全的“是/否”声明。类似地,在为购房而进行信用查询时,银行会提供一份确认/否认具体查询值(用户的信贷价值大于15万欧元)的声明,而不是银行对账单。在使用区块链功能的情况下,可以将智能合约扩展至用户的其他特性(有社保、是XX国公民、有YY类驾驶执照、在ZZ日期在XX国有居留许可等)。
可信程度(level of assurance保证等级)根据分布式计算或矿工网络提供的信任而得出。智能合约的哈希以及这个智能合约在分布式账本中的存储确保保证等级,其根据矿工相对于网络中所有节点的份额而得出。这样就确保计算出的值完全属于智能合约的计算语句并且确保智能合约和计算结果的确认是可靠的。
提供新的凭证作为计算结构,这个凭证具有来自区块链网络的认证。可以将这个证书存储在用户的钱包中并随后在需要这种认证时进行使用。一次生成的证书今后可以多次显示。这个证书自身也可以配设有时间戳,使得第三方可以相应地对这个证书进行评估。可以将智能合约的调用次数存储在区块链中,这个调用次数可以用于记录信誉。这个证书始终包含智能合约的地址以供验证者日后进行验证。
在在此所提出的解决方案的一种变体方案中,提供文件包括某种文件,其中,至少与用户相关的信息以电子格式经认证、签名和/或验证。
在在此所提出的解决方案的一种变体方案中,联系区块链包括由用户借助电子数据通信(i)针对用户识别;(ii)针对文件;(iii)针对待用于检验限制的智能合约;以及/或者(iv)针对这个限制;将信息通过网络传输至区块链。
在在此所提出的解决方案的一种变体方案中,为了借助智能合约验证符合限制,用户将文件至少部分地发送给(i)智能合约;以及/或者将针对文件的至少一部分的访问数据发送给智能合约;通过网络将其发送至区块链。
为了验证符合智能合约的限制,在此所提出的解决方案的一种变体方案包括程序代码或脚本,其具有针对以下的语句:(i)至少一个证书、签名的验证和/或文件的认证;(ii)基于至少一个证书、签名的验证结果和/或文件的至少一个认证来计算证明;以及/或者(iii)借助优选分布式的加密函数通过生成证明的签名来对这个证明进行签名。签名的优点在于,其可以用于证明谁计算了哈希值。智能合约SC存储在区块链BC中。在此情况下,可以集中或分布式地生成这个签名,两种方式均可。
在在此所提出的解决方案的一种变体方案中,通过区块链向用户发送证明的证书包括借助电子数据通信通过网络传输所述证明的证书,以便(i)将所述证明的证书存储在用户的移动设备或固定计算机资源中持有的钱包中,使得用户可以访问所述证明的证书以进行进一步处理;以及/或者(ii)在无需用户操作的情况下,通过网络将预先或未预先存储在用户的移动设备或固定计算机资源的钱包中的证明证书发送给他人。
在在此所提出的解决方案的一种变体方案中,提供文件包括某种文件,其中,(i)至少与用户相关的信息在使用官方机构或可信伙伴的优选生物识别身份证件的情况下以电子格式经认证、签名和/或验证;以及/或者(ii)至少与用户相关的信息存储在电子身份证明文件和/或具有针对外部访问的功能性电子身份证接口的电子身份证服务器中。
在在此所提出的解决方案的一种变体方案中,(i)区块链中的智能合约被编程和设定成访问电子身份证明文件和/或电子身份证服务器中与用户相关的信息,用以验证所述限制,以及/或者(ii)由用户将与用户相关的信息作为其钱包中的移动ID而备好,以通过网络发送至区块链中的智能合约。
在在此所提出的解决方案的一种变体方案中,作为智能合约,采用通过网络节点中的矿工而确认的智能合约,其被编程和设定成将文件中与用户相关的信息与传输至智能合约的限制针对这个限制的符合进行比较。在此情况下,这个智能合约可被编程和设定成在通过智能合约计算证明以及通过这个智能合约借助加密函数生成证明证书后,向用户发送存在/不存在符合限制。作为补充或替代方案,这个智能合约可被编程和设定成借助发送至智能合约的信息就范围而言传输文件中的其他可确定的信息。
在在此提出的解决方案的一种变体方案中,智能合约被编程和设定成(i)针对与用户相关的信息,并且在确定的范围内,对文件中的其他信息进行认证、签名和/或验证,以及/或者生成新的经认证、签名和/或验证的数据元素,这些数据元素可由第三方通过独立访问区块链中的智能合约完整地进行验证并且可以在这些数据元素的真实性方面进行验证。
在在此所提出的解决方案的一种变体方案中,所述智能合约被编程和设定成将存在/不存在用户符合/不符合限制以与用于借助智能合约验证这个限制的文件具有相同可信程度(level of assurance保证等级)的形式发送给用户;以及/或者,其中所述智能合约被编程和设定成用户(i)启动通过智能合约对证明进行的计算,(ii)通过智能合约借助优选分布式的加密函数生成证明的证书,以及/或者(iii)通过智能合约向用户本人发送证明的证书。
在在此所提出的解决方案的一种变体方案中,将公钥加密系统/数字签名和/或加密哈希函数用作加密函数。在一种变体方案中,在公钥加密系统中生成通过计算规则在数学上彼此关联的密钥对,这个密钥对具有一个私钥和一个公钥。在一种变体方案中,通过智能合约借助这个密钥对来生成证明的哈希值。在一种变体方案中,将这个密钥对用于创建数字签名,具体方式在于,用户用仅其具有的私钥对事务进行签名并将由此产生的签名消息发送至智能合约。在另一变体方案中,智能合约被设定和编程成由这个事务生成一个哈希值,然后用私钥对这个哈希值进行加密。随后,第三方可以用公钥对这个哈希值进行解密并检验其是否与事务匹配。在另一变体方案中,这个智能合约被设定和编程成在发送证明的哈希值之前用数字签名对其进行签名。在一种变体方案中,这个智能合约被设定和编程成借助用户的公钥对事务进行检验并验证这个事务的真实性,如果两个密钥对应的话。在一种变体方案中,在通过智能合约对事务进行签名后,由用户和/或第三人来检查这个事务的内容完整性。
在一种变体方案中,这个智能合约被设定和编程成借助加密哈希函数来生成证明的哈希值和/或证书,其中根据这个证明(其为任意长度的字符串)生成哈希函数的计算规则,即具有固定长度(=哈希值)的字符串。在此情况下,这个哈希函数是确定性的。基于所生成的哈希值,无法、特别是无法以合理的耗费确定原始证明。无法、特别是无法以合理的耗费找到第二个不同的证明,其产生相同的证明哈希值。无法、特别是无法以合理的耗费找到两个不同的证明,其产生相同的证明哈希值。在一种变体方案中,哈希函数实现了例如基于SHA-2或SHA-3的算法。
在一种变体方案中,包含智能合约的在分布式账本中实现的区块链实现为基于许可的公共区块链、基于许可的私有区块链或无许可的公共区块链。
在此还揭示一种便携式设备,所述便携式设备适于执行硬件和/或软件中的逻辑,其中,实施根据前述变体方案中的任一变体方案所述的方法。这个逻辑适于借助便携式设备的资源执行根据前述变体方案中的任一变体方案所述的方法步骤中的一个或多个或者通过网络与用于执行这些方法步骤中的一个或多个的远程资源进行通信。在这个便携式设备中,由用户触发或执行的逻辑方法步骤特别是可以用于对用户、其数据或这些数据的部分进行认证、验证并向第三方出示,此逻辑的其他方法步骤可以分散地作为云计算和/或在网络节点(特别是在用作矿工的节点)中实施。
在此还揭示一种在便携式设备中作为数据库而实现的钱包,所述便携式设备适于执行硬件和/或软件中的逻辑,其中,所述方法以根据前述变体方案中的任一变体方案所述的方式实施,且其中所述逻辑适于借助便携式设备的资源执行根据前述变体方案中的任一变体方案所述的方法步骤中的一个或多个或者通过网络与用于执行这些方法步骤中的一个或多个的远程资源进行通信。特别是可以在便携式设备中设置用于存储证明的数字证书的存储器,这个证明由区块链借助电子数据通信通过网络传输至用户的钱包。
这个便携式设备可被编程和设定成借助待通过用户界面输入的指令在钱包中存储和/或转发证明的数字证书以及/或者通过网络将预先存储在钱包中的证明的数字证书从用户的便携式设备发送给他人,而无需用户来操作。可以将与用户相关的信息作为移动ID备在用户的钱包中以供用户通过网络发送至区块链中的智能合约。
图式简要说明
所述装置和所述方法的其他特征、特性、优点和适用性可以参见以下结合附图所作的说明。本领域技术人员也可以结合以下参照附图所作的说明弄清楚可行的变型。在此情况下,这些图式阐明在此所讨论的解决方案的实施方式。在此,图1示出在此所揭示方法的一种变体方案的步骤流程。
变体方案的详细说明
在此所提出的解决方案用于生成、提供和转发基于与用户N相关的电子文件D的可信电子数据集或证书。为此,在图1中将各个实体及其相互之间的交互作为单独的步骤进行说明。
存储在分布式n账本中的经确认的智能合约用于在不泄露任何次级信息的情况下,以便于数据保护的方式推导出授权持有人/用户的属性。经确认的智能合约验证文件D的数据元素/信息INFO的官方签名并计算和生成新的认证数据元素(超过/未达到年龄限制、民族、国籍……),可由第三方通过在分布式账本中发起电子请求来对这些数据元素进行验证。智能合约及其计算结果受到强大的加密技术的保护。因此,对于派生数据而言,可以达到与源数据相同的安全级别。每个获准访问分布式账本的第三方都可以验证这些凭证的真实性。
因此,用户N可以基于官方认证的凭证生成凭证。在此情况下,用户N的隐私会尽可能得到保护。就在此所提出的解决方案而言,派生凭证与用于生成的源凭证具有相同或相似的保证等级(loa),尽管这些派生凭证并不是由行政机关或类似机构生成的。确切而言,用户N自身通过智能合约生成派生凭据。
本解决方案可使用户N能够出具自签名证书,这个证书保持原始数据的安全程度或者与此相比不会明显削弱这个安全程度。在此情况下,避免元数据的生成和累积。这样也就无法追踪谁在何时请求了哪些数据等。
在此所提出的具有官方签名证书的数字钱包也用于此目的。此解决方案计算并导出签名证书作为智能合约的计算结果,这些证书存储在分布式账本中并且也可以(公开)获取。在在此所提出的变体方案中,分布式账本是基于许可的公共区块链。其他变体方案为基于许可的私有区块链或无许可的公共区块链,在此所提出的解决方案也可以通过这些变体方案来实现。
分布式账本使得智能合约SC对于每个信任方而言都是透明的并且允许对智能合约SC及其所包含的计算指令自身进行确认。可以借助确认方案来证明基础证书的来源。借此在不披露例如用户N的电子护照中的基础数据元素的情况下保持loa。为了答复所提出的询问(例如:用户是否达到法定年龄?“达到法定年龄()”),借助智能合约SC计算经认证的数据元素,在此示例中使用用户N的出生日期。图1阐明了这个流程。可以由信任方使用区块链功能将智能合约SC扩展为其他特性,如“已婚()”、“24周岁以上()”、“是欧洲人()”、“有医疗保险()”等。
由分布式计算(以及(强)加密)提供的信任产生loa。只要一半以上的矿工是独立的,对智能合约进行哈希并将其存储在分布式n账本中就能确保loa。智能合约确保计算出的值完全属于智能合约的计算语句,并且确保智能合约和证明的确认是可靠的。
计算结果成为具有来自区块链网络的认证的新证明。用户N可以将证书存储在钱包中并且随后视需要进行使用。一次生成的证明可以多次显示。这个证明自身包含配设有时间戳的认证。因此,被出示证明的实体可以相应地对凭证进行评估。
起点是由享有信任的实体证书颁发机构(例如官方机构(政府))借助(i)身份证明文件、(ii)证件/证明(护照、身份证)或(iii)生物识别数据对用户N进行辨识。作为替代或补充方案,用户N在电子身份证件或授权数据库中具有实体证书颁发机构的数字签名证书。作为替代或补充方案,用户N在数字钱包中具有经数字签名的证书作为其智能手机中的移动ID或电脑中的软件钱包。经数字签名的证书可供用户进行进一步处理。
举例而言,假设用户N想要租用对象Obj。为此,用户N以电子的方式(例如借助智能手机)或者以无线或有线的方式向对象Obj的所有者提出请求。(图1,步骤1)
作为答复,用户N以电子的方式得知其为了租用对象Obj必须证明自己符合达到24周岁或以上的限制RE。(图1,步骤2)
为了提供这个证明,用户N以电子的方式与区块链BC连接并向区块链BC提供其出生日期和通行身份证包括官方签名。(图1,步骤3)
区块链BC包括智能合约SC。智能合约SC检查签名并计算证明。这个证明由区块链BC借助分布式加密函数来签署。(图1,步骤4-8)
将这个经签名的证明发回给用户N。用户N将这个证明放在其钱包中以进一步使用。这个钱包可以以某种方式配置,从而自动将这个证明转发给请求证明的实体,在此为对象Obj。(图1,步骤9)
由用户N自动或手动地将这个证明转发给请求证明的实体。这个实体可以检查此证明的签名并决定是否访问。(图1,步骤10-16)
具体流程如下:
在步骤1中,用户N以电子的方式访问受限制RE保护的对象Obj。对象Obj可以是住房租赁合同。限制RE在于承租人必须年满24周岁或以上。
在步骤2中,对象Obj以电子的方式告知用户N,其必须提供承租人必须年满24周岁或以上的证明。
在步骤3中,用户N与分布式账本DL联系。分布式账本DL包含区块链BC。区块链BC包含智能合约“年满23周岁的证明”。因此,用户N可以为此生成一个证明(使用户为此生成一个证明),证明其符合年满24周岁或以上的限制RE,而无需向出租人披露其出生日期(年、月、日)。
在步骤4中,智能合约SC请求文件D的签名者(证书颁发机构CA)的公钥publickey,以便检验真实性。智能合约SC通常从证书颁发机构CA的交换平台PKD(public keydirectory公钥目录)中获取公钥public key,参与者将其公钥public key存储在该处,以便可以借助这些公钥public key对发给他们的消息进行加密。只有接收者才能用其私钥private key进行解密。借助这个机制也可以生成所谓的数字签名,其中借助接受者的私钥private key生成签名并借助相关的公钥进行验证。
这些签名证明消息是否来自指定的发送者或者是否被未经授权人员更改过:例如,数据是否由相应行政机关写入至电子护照上或者是否被篡改。
数字签名以非对称加密为基础,其中,发送者借助其私钥针对数字消息计算出一个值,这个值被称为数字签名。借助这个值和公钥,第三方可以检验消息的不可否认著作权和完整性。为了能够将借助签名密钥创建的签名分配给个人,公钥必须毫无疑问地分配给这个人。根据待签名的数字消息和私钥通过明确的计算规则计算出签名。在此情况下,不同的数字消息必须以几可肯定的概率产生不同的签名,并且此签名针对每个密钥必须产生不同的值。就数字签名而言,通常不会将私钥直接应用于消息,而是应用于借助哈希函数(如SHA-2、SHA-3或类似函数)根据这个消息计算出的哈希值。如果借助数字证书将公钥分配个人,则可以通过认证服务供应商的公共目录来确定和检验签名创建者的身份,因为仅有一个与公钥对应的私钥。用于生成和公开提供证书及其有效性信息的技术基础设施整体上被称为PKI(Public Key Infrastructure公钥基础设施)。
在此情况下,发送者的真实性至关重要,即证明公钥发行者确实为其所声称的那个人。公钥基础设施PKI能够确保公钥的可信度,具体方式在于从可信的密钥目录中这个获取公钥。在交换平台公钥目录中,文件的签发人可以公布其公钥,这些公钥对于验证而言是必需的。在此情况下,智能合约SC可以从平台获取公钥public key。
在步骤5中,将公钥public key传输至智能合约SC。
在步骤6中,智能合约SC检查文件D下证书颁发机构CA的签名。如果签名有效,则执行下一步骤。如果无效,则在此停止执行。
在步骤7中,基于智能合约SC中的计算规则和文件D中的出生日期说明进行年龄验证,此文件的正确性和可信度由证书颁发机构CA通过借助公钥public key进行的加密以及这个文件的真实性来证明。由证书颁发机构CA以下文所示的方式将信息INFO从文件D传输至智能合约SC。在此情况下,将所需的数据直接提供给智能合约SC。相关公钥目录PKD已预先输入智能合约SC中。在另一变体方案中,文件D已具有必要的证书。这样就无需其他服务。在智能合约SC上游可以设有字典功能,其告知用户哪个智能合约SC最适用于其请求。
用于生成新证书的伪码
/>
/>
用于确认证书的伪码
借此,智能合约SC基于证书颁发机构CA所提供的文件D(例如电子护照文件),确切而言,基于文件D中以电子格式提供的与用户N相关的信息INFO,计算用户N是否符合限制RE。计算结果为真/假说明。在本示例中,从当前日期(年-月-日)中减去用户N的出生日期(年-月-日)(例如可从其电子护照文件D中获取)并且将结果与23周岁进行比较。如果结果大于23,则智能合约SC将输出“真”;如果结果小于23,则智能合约SC将输出“假”。作为此示例的替代方案,也可以借助任一其他功能/审核能力来实施智能合约SC。
在步骤8中,对结果进行签名。此项举措的信任基础是分布式账本DL。每个参与者都可以查看和确认智能合约SC。用于识别篡改的专用分布式哈希值会保护每个智能合约SC。将计算结果与用户ID绑定。由此将用户N的ID和证明proof与智能合约SC的ID(确切而言,与智能合约SC的地址)关联,以便记录计算结果的来源。在此情况下,就三元组<ID、SC-result、SC-hash>而言,分布式账本DL会测定一个哈希值,以便记录这个三元组的真实性。在不破坏分布式账本DL的哈希值的情况下,无法更改这个三元组。分布式账本DL共识在一种变体方案中是“工作证明”,在另一变体方案中是权益证明。
在步骤9中,将三元组<ID、SC-result、SC-hash>作为通过智能合约SC进行计算的结果,以电子的方式发回至用户N。用户N可以将结果存储在其钱包中。
在步骤10中,由用户N将计算结构以电子的方式发送给对象Obj。此举可以由用户手动触发,或者可以自动触发,具体方式在于,一旦计算结果以电子的方式到达用户N并存储在其钱包中,就基于所存储的优选设定进行转发。
在步骤11中,在验证请求中检验对象Obj的证明的有效性。作为替代方案,可以将对象Obj的证明转发给专用验证实体VI以进行验证。
在步骤12中,专用验证实体VI通过向分布式账本DL发出请求来检验哈希值和签名的有效性。
在步骤13中,通过检验三元组<ID、SC-result、SC-hash>和三重签名的真实性来进行验证。为此,分布式账本DL将所传输的三元组及其哈希值与最初通过智能合约SC生成的三元组以及随后通过分布式账本DL生成的值进行比较。
在步骤14中,验证结果来自分布式账本DL。分布式账本DL设计为提供结果的独立实体。分布式账本DL的特性在于,其可以在线或离线使用,因为分布式账本分布在网络中的不同节点上。因此,可以借助分布式账本DL的本地安全认证副本进行在线或离线验证。然而,分布式账本DL必须不时地在线,以便更新至分布式账本DL的最新变化。在在此所使用的变体方案中,分布式账本DL优选是基于许可的。
在步骤15中,验证实体VI基于验证结果作出决定。为此,验证实体VI针对最初请求的询问作出决定。在本示例中,验证实体VI确认或不确认询问:用户是否“年龄超过23周岁”?
在步骤16中,根据步骤15中的决定,步骤1中的访问请求可以被准许或不被准许。在下一次以相同请求访问资源时,可以执行自步骤9起的步骤。前提条件是用户N的ID不变。
各个步骤也以Java程序符号描述如下:
1.Zugriff.Objekt(访问.受限.对象)(ID、ObjID)
2.ObjID.nachweis(ObjID.证明)(年龄>23)
3.BerechneAltersnachweisAlter(计算年龄证明年龄)>23(ID、签名文件)
4.HolePublicKey(获取公钥)()
5.SendePublicKey(发送公钥)()
6.BeweiseSignatur(证明签名)(公钥)
7.BerechneAltersnachweis(计算年龄证明)(限值=23、出生日期)
8.ErzeugeCryptoSigniertenProof(生成经加密签名的证明)(区块链网络)
9.SendeSigniertenAgeproof(发送经签名的年龄证明)(签名的(真/假))
10.Weiterleiten(转发)(ID、CryptoSignedProof23)
11.NachfrageVerifizierung(询问验证)(ID2、CryptoSignedProof23)
12.Verifizierung(验证)(CryptoSignedProof23):真/假
13.BelegeGültigkeit(证明有效性)():真/假
14.VerifizierungsErgebnis(验证结果)():真/假
15.Entscheidung(决定)(ID2、ObjID):真/假
16.Zugang(访问准许)(ID2、ObjID):真/假
另一应用实例为普通高等院校入学资格证明,其中,用户可以在不披露考试详情(如日期、地点、分数或高中毕业证书的其他内容)的情况下证明高中毕业证书的持有者的资格。仅证明用户具有普通高等院校入学资格,对此,用户从智能合约SC获得有效证书。
另一应用实例是参与社会援助计划。用户N申请一项国家福利金并证明其有资格享受该项福利金。为此,用户N将其家庭住址与身份证上的住址进行核验作为真/假声明。
另一应用实例是机动车登记,其中,用户N想要登记一辆汽车。为此,用户必须向机动车登记处提供其通信地址和纳税信息。将通信地址完整地提供给机动车登记处。由机动车登记处要求提供用户N的欠税证明。用户N给出其纳税识别号。用户N自行以电子的方式联系相应编程的智能合约SC。智能合约SC参照用户N的纳税识别号与税务机关链接并收到用户N无未缴税款的声明。随后,智能合约SC为用户N无欠税的结果出具证明。用户N在机动车登记过程中使用此证明,而不会泄露其纳税识别号。
另一应用实例是存款证明,其中,用户N在准备交易(租房/买房、买车等)时被要求证明具有特定数额的资金可用。用户N使用相应编程的智能合约SC以及其银行账户的详细信息(账户详细信息、转账账户的信贷额度、银行存款)来证明所需金额可用,而无需披露账户号码、金融机构和其他详细信息。
另一应用实例是驾驶执照证明,对此,用户N必须证明其有资格驾驶且至少年满24周岁。在此所提出的处理方式会在不透露用户N的驾驶执照的其他详细信息的情况下提供证明。类似地,驾照类别(B、B17、B96、B196、BE、A1、A2、A、AM、C1、C1E、C、CE、D1、D1E、D、DE、L、T)或其组别中确定的某些车辆的驾驶资格也可以在不披露用户N的驾驶执照的其他详细信息的情况下进行证明。
所述装置、其结构和操作方面的上述变体方案以及所述方法的变体方案仅用于更好地理解结构、工作方式和特性;其并不会将本公开案例如局限于若干实施例。这个图式中部分为示意图。其中部分显著放大地示出基本特性和效果,以便阐明功能、工作原理、技术设计方案和特征。
在此情况下,图式中或文本中揭示的任何工作方式、原理、技术设计方案和特征都可以与所有权利要求、文本中和其他图式中的任何特征、本公开案中所包含的或由本公开案而得出的其他工作方式、原理、技术设计方案和特征自由且任意地组合,以便可以将所有可行的组合分配给所描述的方法。在此情况下,文本中(即说明书的每个段落中、权利要求书中)的所有单个实施方案之间的组合以及文本中、权利要求书中和附图中的不同变体方案之间的组合也包括在内。权利要求书也不会限制本公开案,故而也不会限制所有所示特征之间的组合方案。所有揭示特征在此也单独地或以与其他所有特征组合的方式明确揭示。

Claims (20)

1.一种生成、提供和交换基于与用户(N)相关的电子文件(D)的可信电子数据集或证书的方法,包括以下步骤:
●通过所述用户(N)以电子的方式联系留存在网络(NW)中的区块链(BC),其中所述区块链(BC)包含智能合约(SC),所述智能合约被设定和编程成检验证书颁发机构(CA)所提供的文件(D)是否证明所述用户(N)符合限制(RE),所述文件包括与所述用户(N)相关的电子格式的信息(INFO);
●借助所述智能合约(SC)检验符合所述限制(RE);
●根据符合所述限制(RE)的检验结果,借助所述智能合约(SC)计算证明(P),并且借助所述智能合约(SC)使用加密函数生成所述证明(P)的证书;以及
●通过所述智能合约(SC)向用户(N)发送所述证明(P)的证书和所述证明(P)。
2.根据权利要求1所述的方法,其进一步包括:在联系留存在所述网络(NW)中的区块链(BC)之前,
●由所述用户(N)发起与对象(Obj)的交互;以及/或者
●由所述对象(Obj)来告知用户(N)所述交互的限制(RE),其中可由所述用户(N)结合所述文件(D)来证明符合/不符合所述限制(RE)。
3.根据权利要求1或2所述的方法,其进一步包括:在通过所述智能合约(SC)向用户(N)发送所述证明(P)的证书和/或所述证明(P)之后,
●通过待由用户(N)发起的操作将所获得的所述证明(P)的证书和/或所述证明(P)发送给他人(3P);
●由所述对象(Obj)来检验所述证明(P)的哈希值;以及
●根据所述检验结果,通过所述对象(Obj)来执行或拒绝由所述用户(N)发起的交互。
4.根据权利要求1、2或3所述的方法,其中提供所述文件包括某种文件(D),其中,至少与所述用户(N)相关的信息(INFO)以电子格式经认证、签名和/或验证。
5.根据权利要求1至4中任一项所述的方法,其中联系所述区块链(BC)包括由所述用户借助电子数据通信
●针对所述用户(N)的识别;
●针对所述文件(D);
●针对所述待用于检验限制的智能合约(SC);以及/或者
●针对所述限制;
将信息通过网络(NW)传输至所述区块链(BC)。
6.根据权利要求1至5中任一项所述的方法,其中为了借助所述智能合约(SC)检验符合所述限制(RE),所述用户(N)
●将所述文件(D)至少部分地发送至所述智能合约(SC);以及/或者
●将针对所述文件(D)的至少一部分的访问数据发送至所述智能合约(SC);
通过所述网络(NW)将其发送至所述区块链(BC)。
7.根据权利要求1至6中任一项所述的方法,其中为了检验符合/不符合所述限制(RE),所述智能合约(SC)被编程和设定成执行程序代码或脚本,其具有
●用于检验至少一个证书、签名和/或验证所述文件(D)的语句;
●用于基于所述至少一个证书、所述至少一个签名和/或所述文件(D)的至少一个验证的检验结果来计算所述证明(P)的语句;以及/或者
●用于借助加密函数通过生成所述证明(P)的数字证书来对所述证明(P)进行签名的语句。
8.根据权利要求1至7中任一项所述的方法,其中通过所述区块链(BC)向所述用户(N)发送所述证明(P)的证书包括借助电子数据通信通过所述网络(NW)传输所述证明(P)的证书,以便
●将所述证明(P)的证书存储在所述用户(N)的便携式设备(PG)或固定计算机资源中持有的钱包(W)中,使得所述用户(N)可以访问所述证明的证书以进行进一步处理;以及/或者
●在无需用户(N)操作的情况下,通过所述网络(NW)将预先或未预先存储在所述用户(N)的便携式设备(PG)或固定计算机资源的钱包(W)中的所述证明(P)的证书发送给他人(3P)。
9.根据权利要求1至8中任一项所述的方法,其中提供所述文件包括某种文件(D),其中,
●至少与所述用户(N)相关的信息(INFO)在使用官方机构或可信伙伴(TP)的优选生物识别身份证件的情况下以电子格式经认证、签名和/或验证;以及/或者
●至少与所述用户(N)相关的信息(INFO)存储在电子身份证明文件和/或具有针对外部访问的功能性电子身份证接口的电子身份证服务器中。
10.根据权利要求1至9中任一项所述的方法,其中
●所述区块链(BC)中的智能合约(SC)被编程和设定成访问所述电子身份证明文件和/或所述电子身份证服务器中与所述用户(N)相关的信息(INFO),用以检验所述限制,以及/或者
●由所述用户(N)将与所述用户(N)相关的信息(INFO)作为其钱包(W)中的移动ID而备好,以通过所述网络(NW)发送至所述区块链(BC)中的智能合约(SC)。
11.根据权利要求1至10中任一项所述的方法,其中
●作为智能合约(SC),采用通过所述网络(NW)的节点中的矿工(M)而确认的智能合约(SC),其被编程和设定成将所述文件中与所述用户(N)相关的信息(INFO)与传输至所述智能合约(SC)的限制(RE)针对符合/不符合所述限制进行比较;以及/或者,其中
●所述智能合约(SC)被编程和设定成在通过所述智能合约(SC)计算所述证明(P)以及通过所述智能合约(SC)借助加密函数生成所述证明(P)的证书后,向所述用户(N)发送存在/不存在符合/不符合所述限制(RE);以及/或者,其中
●所述智能合约(SC)被编程和设定成借助发送至所述智能合约(SC)的信息就范围而言传输所述文件中的其他可确定的信息。
12.根据权利要求1至11中任一项所述的方法,其中所述智能合约(SC)被编程和设定成
●针对与用户相关的信息(INFO),并且在确定的范围内,对所述文件中的其他信息进行认证、签名和/或验证,以及/或者
●生成新的经认证、签名和/或验证的数据元素,所述数据元素可由第三方通过独立访问所述区块链(BC)中的智能合约(SC)完整地进行校验并且可以在所述数据元素的真实性方面进行检验。
13.根据权利要求1至12中任一项所述的方法,其中所述智能合约被编程和设定成
●将存在/不存在用户(N)符合/不符合所述限制(RE)以与用于借助所述智能合约(SC)检验所述限制(RE)的文件具有相同的可信程度——保证等级(loa)——的形式发送给用户(N);以及/或者
●用户(N)启动通过所述智能合约(SC)对所述证明(P)进行的计算,通过所述智能合约(SC)借助加密函数生成所述证明(P)的证书,以及/或者,通过所述智能合约(SC)向用户(N)本人发送所述证明(P)的证书。
14.根据权利要求1至13中任一项所述的方法,其中
●将公钥加密系统/数字签名和/或加密哈希函数用作加密函数;以及/或者,其中
●针对公钥加密系统,生成通过计算规则在数学上彼此关联的密钥对,所述密钥对具有一个私钥和一个公钥;以及/或者,其中
●通过所述智能合约(SC)计算证明(P),并且通过所述智能合约(SC)借助所述密钥对来生成所述证明(P)的证书;以及/或者,其中
●将所述密钥对用于创建数字签名,具体方式在于,用户(N)为事务配设其私钥并将由此产生的签名消息发送所述至智能合约(SC);以及/或者,其中
●所述智能合约(SC)被设定和编程成在发送所述证明(P)的证书之前用所述数字签名对其进行签名;
●所述智能合约(SC)被设定和编程成借助用户(N)的公钥对所述事务进行检验,
进而校验所述事务的真实性,如果所述两个密钥对应的话;以及/或者,其中
●在通过所述智能合约(SC)对所述事务进行签名后,由用户(N)和/或第三人来检查所述事务的内容完整性。
15.根据权利要求1至14中任一项所述的方法,其中所述智能合约(SC)被设定和编程成借助加密签名函数来生成所述证明(P)的证书,其中根据所述证明(P)生成固定长度的字符串,所述证明为任意长度的字符串,其中所述签名或哈希函数是确定性的,基于所生成的签名或哈希值,无法、特别是无法以合理的耗费确定原始证明,并且无法、特别是无法以合理的耗费找到第二个不同的证明,其产生所述证明的相同哈希值,并且无法、特别是无法以合理的耗费找到两个不同的证明,其产生所述证明的相同哈希值。
16.根据权利要求1至15中任一项所述的方法,其中包含所述智能合约(SC)的区块链(BC)在分布式账本(DI)中实现为基于许可的公共区块链、基于许可的私有区块链或无许可的公共区块链。
17.一种便携式设备,所述便携式设备适于执行硬件和/或软件中的逻辑,其中,实施根据上述权利要求1-16中的任一项所述的方法,且其中所述逻辑适于借助所述便携式设备的资源执行根据上述权利要求1-16中的任一项所述的方法步骤中的一个或多个,或者通过网络与用于执行所述方法步骤中的一个或多个的远程资源进行通信,其中特别是在所述便携式设备中,所述逻辑的由用户触发或执行的方法步骤用于对用户、其数据或所述数据的部分进行验证、校验并向第三方出示,所述逻辑的其他方法步骤分散地作为云计算和/或在所述网络的节点中、特别是在用作矿工的节点中实施。
18.一种在便携式设备中作为数据库而实现的钱包,所述便携式设备适于执行硬件和/或软件中的逻辑,其中,实施根据上述权利要求1-17中的任一项所述的方法,且其中所述逻辑适于借助所述便携式设备的资源执行根据上述权利要求1-17中的任一项所述的方法步骤中的一个或多个,或者通过网络与用于执行所述方法步骤中的一个或多个的远程资源进行通信,其中特别是在所述便携式设备中设置用于存储所述证明(P)的证书的存储器,所述证明由所述区块链(BC)借助电子数据通信通过所述网络(NW)传输给用户(N),其中所述便携式设备被编程和设定成借助待通过用户界面输入的指令在所述钱包中存储和/或转发所述证明(P)的证书以及/或者通过所述网络(NW)将预先存储在所述钱包(W)中的所述证明(P)的证书从用户(N)的便携式设备(PG)发送给他人(3P),而无需用户(N)来操作;以及/或者将与用户(N)相关的信息(INFO)作为移动ID备在用户的钱包(W)中以供用户(N)通过所述网络(NW)发送至所述区块链(BC)中的智能合约(SC)。
19.一种用于生成、提供和交换基于与用户(N)相关的电子文件(D)的可信电子数据集或证书的区块链(BC),所述区块链留存在网络(NW)中并且包含智能合约(SC),所述智能合约被设定和编程成检验证书颁发机构(CA)所提供的文件(D)是否证明所述用户(N)符合限制(RE),所述文件包括与所述用户(N)相关的电子格式的信息(INFO),其中所述智能合约(SC)被设定和编程成,(i)执行符合所述限制(RE)的检验,(ii)根据符合所述限制(RE)的检验结果计算证明(P),(iii)使用加密函数生成所述证明(P)的证书;以及(iv)向用户(N)发送所述证明(P)的证书和所述证明(P)。
20.一种实现为区块链(BC)的存储在网络(NW)中的一个或多个计算机资源上的计算机可读存储介质中的计算机程序或脚本,其由至少一个矿工来检验,并且所述计算机程序或脚本被设定和编程成生成、提供和交换基于与用户(N)相关的电子文件(D)的可信电子数据集或证书,并且包含智能合约(SC),所述智能合约被设定和编程成检验证书颁发机构(CA)所提供的文件(D)是否证明所述用户(N)符合限制(RE),所述文件包括与所述用户(N)相关的电子格式的信息(INFO),其中所述智能合约(SC)被设定和编程成,(i)执行符合所述限制(RE)的检验,(ii)根据符合所述限制(RE)的检验结果计算证明(P),(iii)使用加密函数生成所述证明(P)的证书;以及(iv)向用户(N)发送所述证明(P)的证书和所述证明(P)。
CN202280031405.4A 2021-03-25 2022-03-08 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置 Pending CN117280346A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102021107512.2A DE102021107512A1 (de) 2021-03-25 2021-03-25 Verfahren und Vorrichtung zum Erzeugen, Bereitstellen und Weitergeben eines vertrauenswürdigen elektronischen Datensatzes oder Zertifikates basierend auf einem einen Nutzer betreffenden elektronischen Dokument
DE102021107512.2 2021-03-25
PCT/EP2022/055884 WO2022200035A1 (de) 2021-03-25 2022-03-08 Verfahren und vorrichtung zum erzeugen, bereitstellen und weitergeben eines vertrauenswürdigen elektronischen datensatzes oder zertifikates basierend auf einem einen nutzer betreffenden elektronischen dokument

Publications (1)

Publication Number Publication Date
CN117280346A true CN117280346A (zh) 2023-12-22

Family

ID=80999433

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280031405.4A Pending CN117280346A (zh) 2021-03-25 2022-03-08 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置

Country Status (4)

Country Link
EP (1) EP4315117A1 (zh)
CN (1) CN117280346A (zh)
DE (1) DE102021107512A1 (zh)
WO (1) WO2022200035A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117408846B (zh) * 2023-12-14 2024-03-01 陕西华海信息技术有限公司 一种基于云计算的学校教务数据处理系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3023325A1 (en) 2017-11-07 2019-05-07 Adepto Enterprises Inc System and method for dynamic financial management
KR20210040078A (ko) * 2018-07-23 2021-04-12 캠브리지 블록체인 인코포레이티드 안전한 보관 서비스를 위한 시스템 및 방법
US11080240B2 (en) 2019-09-12 2021-08-03 Vijay Madisetti Method and system for real-time collaboration and annotation-based action creation and management

Also Published As

Publication number Publication date
EP4315117A1 (de) 2024-02-07
WO2022200035A1 (de) 2022-09-29
DE102021107512A1 (de) 2022-09-29

Similar Documents

Publication Publication Date Title
CN111213147B (zh) 用于基于区块链的交叉实体认证的系统和方法
CN111316303B (zh) 用于基于区块链的交叉实体认证的系统和方法
US20210351931A1 (en) System and method for securely processing an electronic identity
CN111213350B (zh) 用于创建去中心化标识的系统和方法
EP3460693B1 (en) Methods and apparatus for implementing identity and asset sharing management
US10673632B2 (en) Method for managing a trusted identity
US10829088B2 (en) Identity management for implementing vehicle access and operation management
WO2021000419A1 (en) System and method for blockchain-based cross-entity authentication
US11151260B2 (en) Providing and checking the validity of a virtual document
CN115699000A (zh) 通过计算机网络进行安全的多边数据交换的方法、装置和计算机可读介质
CN108476139B (zh) 匿名通信系统及用于向该通信系统加入的方法
US11356262B2 (en) System and method for anonymous location verification
CN114008971A (zh) 将分散标识符绑定到已验证声明
JPH10504150A (ja) 商用暗号システムにおけるディジタル署名を安全に使用するための方法
CN113204783A (zh) 一种隐私保护的安全去中心化自我主权身份认证协议方法
CN111444492A (zh) 一种基于医疗区块链的数字身份验证的方法
Das et al. A secure blockchain-enabled vehicle identity management framework for intelligent transportation systems
US20210035249A1 (en) Systems/protocol for creating an interconnected web of strong identities
CN117280346A (zh) 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置
US20230188353A1 (en) Multi-issuer anonymous credentials for permissioned blockchains
EP3883204B1 (en) System and method for secure generation, exchange and management of a user identity data using a blockchain
Brunner et al. SPROOF: A decentralized platform for attribute-based authentication
Belsky et al. Personal data exchange protocol: X
Banaeian Far et al. A generic framework for blockchain-assisted on-chain auditing for off-chain storage
RUSSO ANONYMITY, PRIVACY, AND ACCOUNTABILITY: CHALLENGES AND NEW SOLUTIONS IN VARIOUS APPLICATION CONTEXTS

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination