JP7462910B2 - クレデンシャル・サービス・プロバイダを通じたクレデンシャルの検証及び発行 - Google Patents

クレデンシャル・サービス・プロバイダを通じたクレデンシャルの検証及び発行 Download PDF

Info

Publication number
JP7462910B2
JP7462910B2 JP2021549340A JP2021549340A JP7462910B2 JP 7462910 B2 JP7462910 B2 JP 7462910B2 JP 2021549340 A JP2021549340 A JP 2021549340A JP 2021549340 A JP2021549340 A JP 2021549340A JP 7462910 B2 JP7462910 B2 JP 7462910B2
Authority
JP
Japan
Prior art keywords
credential
management system
service provider
request
owner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021549340A
Other languages
English (en)
Other versions
JP2022531754A (ja
Inventor
リ、チャーシン
ウー、リン
Original Assignee
ティービーシーエーソフト,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ティービーシーエーソフト,インコーポレイテッド filed Critical ティービーシーエーソフト,インコーポレイテッド
Publication of JP2022531754A publication Critical patent/JP2022531754A/ja
Application granted granted Critical
Publication of JP7462910B2 publication Critical patent/JP7462910B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

本発明は、クレデンシャル(credential)の検証及び/又は発行に関し、より詳細には、1つ又は複数のクレデンシャル・サービス・プロバイダを通じたクレデンシャルの検証及び/又は発行に関する。
クレデンシャルを検証又は発行する際、クレデンシャル所有者は、クレデンシャルが本物で、検証又は発行に必要な情報を含むかどうかを検証するため、例えば、紙、プラスチック・カード、磁気ストライプ・カード、チップ・カード等の形態の1つを取る少なくとも1つの従来のクレデンシャルを当該所有者のための人(検証者/発行者)又は検証者/発行者のデバイス/機構に提示しなければならない。クレデンシャル所有者の観点からすると、従来のクレデンシャルは、こうした物理的形式の物を携行するのが不満であったり、紛失又は盗難されやすいことに加えて、次の例から明らかな以下の欠点も有する。
まず、国民IDカードを一例とすると、従来の紙/プラスチックIDカード、又はより高度な状況ではスマートIDカード(チップ・カード若しくはICカード)が国民IDの検証の実施に採用されることがある。いずれかの状況において、技術的な出発点は、本質的に、集中国民IDデータベースを必要とし、この集中国民IDデータベースは、国の民間人の情報を保存し、通常、より古いデータベース技術と共に数十年にわたって構築される。したがって、検証のため、警察官等の検証者が、民間人の身元の検証を求める際、国民IDカードを所有する民間人は、IDカードを警察官に提示することができる。警察官は、IDカードを受け取った後、カード上の写真を確認し、警察署を呼び出し、警察署からアクセス可能な集中データベースでID番号、氏名、住所等を検証することができる。より高度なシナリオでは、警察官は、(スマート・カードの状況ではカードの認証後)路上でデータベースに直接照会することができる携帯デバイスを有し、時間を節約することができる。このような手法は、そのような検証基盤を構築/維持するのにかなり費用がかかること、プライバシー・データ保護に関する問題のために、通常、データベースが一般大衆には利用不可能であること、IDを検証するには検証者が集中サーバに交信しなければならないこと、及び集中サーバが機能停止していると、検証が停止することといった欠点を有する。
第2に、会社/建物へのアクセス・バッジを別の例として取ると、従来、検証は、QRコード(登録商標)を事前発行し、後に受付で登録することによって実施することができる。このような場合、訪問者が会社を訪問する前に、会社の従業員は、訪問者の招待を会社のシステム内に登録するため、招待リンクを訪問者に送信し、訪問者は、リンクからQRコードを印刷し、次に、訪問者が招待された建物を訪問する。到着時、受付係はQRコードをスキャンし、会社の登録データベースで確認する。QRコードが有効である場合、訪問者は建物へのアクセスを許可される。このような手法は、リンクの電子メールが盗難される可能性があること、QRコードが建物にアクセスする権限のない者によって印刷される可能性があること、印刷したQRコードも盗難される可能性があること、又は何者かがQRコードの写真を撮影し、建物にアクセスする可能性があることといった欠点を有するため、この手法の安全性を低下させ、中間者攻撃によって容易に損なわれることになる。
代替的に、あらゆる事前登録がない場合、訪問者は、受付に直接行き、訪問者のIDを提示する。訪問者又は受付係は、IDの情報をコンソールで入力するかもしれない。次に、受付係は、訪問者のID及び情報を検証し、訪問者にバッジを渡す。このような手法は、より非効率であり、訪問者が到着時に受付で登録する必要があるという欠点を有する。更に、検証工程で使用されるIDは、偽造されることがあり、IDの真正性を確認することは困難である。
検証及び発行で使用される従来のクレデンシャルに起因する上記の欠点を処理するため、デジタル・クレデンシャルは、解決策の1つであり、将来の傾向であると思われる。本開示は、より信頼でき、安全な様態のデジタル・クレデンシャルのためのクレデンシャル・サービス配信方法を記載する。したがって、本開示は、様々なクレデンシャル・サービス・プロバイダ、例えば、世界中の様々な通信事業者にわたる分散システム基盤及びクレデンシャル・サービスを記載し、これにより、クレデンシャル管理サービスが集中クレデンシャル・サービス・プロバイダのみに依存しないことを保証する。
本開示は、1つ又は複数のクレデンシャル・サービス・プロバイダを通じて、クレデンシャル所有者がリクエストしたクレデンシャルを検証する及び/又は新たなクレデンシャルを発行する、1つ又は複数の方法、システム、装置、及びプロセッサ実行可能プロセス・ステップを保存するコンピュータ可読媒体を対象とする。方法は、(a)リクエストに応じて、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムによって、クレデンシャル所有者のリクエスト・デバイスに共有クレデンシャル・トークン及びサービス・エンドポイントを提供することと、(b)第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムによって、検証者の検証デバイスから、リクエスト・デバイスを通じて、共有クレデンシャル・トークン及びサービス・エンドポイントを受信することと、(c)サービス・エンドポイントに基づき、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムによって、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムに証明リクエストを送信することと、(d)第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムによって、証明リクエストに基づく証明を生成することと、(e)前記第2のクレデンシャル・サービス・プロバイダの前記第2のクレデンシャル管理システムによって、分散台帳から抽出したクレデンシャル暗号情報に基づき、証明を検証することとを含む。一実施形態では、クレデンシャル所有者は、第1のクレデンシャル・サービス・プロバイダからの第1のクレデンシャル管理システムのサービスに加入する一方で、検証者は、第2のクレデンシャル・サービス・プロバイダからの第2のクレデンシャル管理システムのサービスに加入する。第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムは、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムと同じでも、異なっていてもよい。
従来のクレデンシャル・サービスと比較した、本開示の1つの利点は、分散台帳を介したリアルタイムの検証をもたらすことである。従来、検証者は、クレデンシャル発行者に連絡し、そのようなクレデンシャルが本物であるかどうかを検証する必要があり、達成に長時間かかることがある。更に、検証者は、クレデンシャルの種類に応じて、様々な異なるクレデンシャル発行者に連絡する必要がある。各クレデンシャル発行者は、検証を得るために順守すべきかなり異なる手順又は要件を有することがある。
クレデンシャルがクレデンシャル所有者の携帯デバイスに保存される他のデジタル・クレデンシャル・サービスと比較すると、本開示の1つの利点は、クレデンシャル所有者が携帯デバイスを紛失した場合、このクレデンシャル所有者のクレデンシャルが紛失しないことである。
本開示の更なる特徴及び利点は、以下の説明で示され、部分的に説明から明らかになるか、又は本開示の実行によって学習することができる。本開示の目的及び他の利点は、明細書及び特許請求の範囲、並びに添付の図面で具体的に指摘される構成及び方法によって実現、達成される。
上記の一般的な説明及び以下の詳細な説明は、例示的、説明的なものであり、請求する発明に対する更なる説明をもたらすことを意図すると理解されたい。
クレデンシャル所有者のリクエスト・デバイスと、検証者の検証デバイスと、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムと、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムと、分散アイデンティティ・ブロックチェーンの第1のノードと、第2のノードとの間の関係を示す概略図である。 クレデンシャル保有者がリクエストしたクレデンシャルを検証するステップの一実施形態を示すプロセス・フロー図である。 検証要件ドキュメントの一実施形態を示す概略図である。 クレデンシャル所有者のリクエスト・デバイスと、発行者の発行デバイスと、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムと、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムと、分散アイデンティティ・ブロックチェーンの第1のノードと、第2のノードとの間の関係を示す概略図である。 新たなクレデンシャルを発行するステップの一実施形態を示すプロセス・フロー図である。
以下で提示する説明で使用する用語は、本技術のある特定の実施形態に対する詳細な説明と共に用語を使用するが、最も広範囲に妥当な様式で解釈することを意図する。特定の用語は、以下で強調することさえあるが、制限的に解釈されることが意図されるあらゆる用語は、本項「発明を実施するための形態」でそのようなものとして具体的に定義される。
以下で紹介する実施形態は、プログラム可能回路によって実施することができ、このプログラム可能回路は、ソフトウェア及び/若しくはファームウェアによって、又は全体的に専用回路によって、又はこのような形態の組合せにおいてプログラム又は構成される。このような専用回路(ある場合)は、例えば、1つ又は複数の特定用途向け集積回路(ASIC)、プログラマブル論理デバイス(PLD)、フィールド・プログラマブル・ゲート・アレイ(FPGA)等の形態とすることができる。
説明する実施形態は、1つ又は複数のクレデンシャル・サービス・プロバイダを通じて、クレデンシャル所有者がリクエストしたクレデンシャルを検証する及び/又は新たなクレデンシャルを発行する、1つ又は複数の方法、システム、装置、及びプロセッサ実行可能プロセス・ステップを保存するコンピュータ可読媒体に関係する。
各個人は、クレデンシャルの証明を様々な状況で提示する必要がある。例えば、個人は、銀行口座を開設するには、運転免許証及び/又は他の身分証明書を提示する必要がある。個人は、事務所の建物にアクセスするには、運転免許証及び/又は在職証明書を提示する必要がある。個人は、バーでアルコールを購入するには、運転免許証及び/又は誕生日が記載された他の文書を提示する必要がある。高度なブロックチェーン技術の場合、デジタル・クレデンシャルは、従来の印刷されたクレデンシャルに取って代わることができる。この詳細な説明では、クレデンシャル・サービス・プロバイダを通じたデジタル・クレデンシャルの検証及び発行を説明する。
図1は、検証者、例えばIBM(登録商標)事務所管理者が、クレデンシャル所有者、例えば訪問者John Smithがリクエストしたクレデンシャルの証明を、直接的に検証者とクレデンシャル所有者との間を通じてではなく、対応するクレデンシャル・サービス・プロバイダ、例えばIBM及び訪問者の通信事業者を通じて達成する一実施形態を示す。
検証者であるIBM事務所管理者は、クレデンシャル所有者であるJohn Smithに、彼のクレデンシャル、ここでは、運転免許証及び社員バッジに関する情報の両方の提示を求める。クレデンシャル所有者であるJohn Smithは、リクエスト・デバイス110、例えば携帯電話又は他のインターネット・デバイスを使用し、第1のクレデンシャル・サービス・プロバイダ、例えば、Johnが加入する日本の通信事業者であるソフトバンク(登録商標)社の第1のクレデンシャル管理システム120にリクエストを送信する。別の実施形態では、クレデンシャル所有者及び検証者は、同じクレデンシャル・サービス・プロバイダからのクレデンシャル管理サービスに加入する。この状況では、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムは、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムと同じとすることができる。
第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システム120は、QRコードを生成し、QRコードをリクエスト・デバイス110に返送する。QRコードは、第1のクレデンシャル管理システムの共有クレデンシャル・トークン及びサービス・エンドポイントに関する情報を含む。このような情報は、他の形態及び形式で表され、送信することができる。次に、クレデンシャル所有者であるJohnは、リクエスト・デバイス110上のQRコードを検証者であるIBM事務所管理者に提示し、検証者は、検証デバイス140、例えば携帯電話又はインターネット・デバイスを使用してQRコードをスキャンする。検証デバイス140は、第2のクレデンシャル・サービス・プロバイダ、例えば、IBMが加入する米国の通信事業者ATTにQRコードを送信する。第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システム150は、QRコードを受信する。第2のクレデンシャル管理システム150は、QRコード内の情報から、クレデンシャルの証明のために交信される第1のクレデンシャル管理システム120を識別する。次に、ATTの第2のクレデンシャル管理システム150は、ソフトバンクの第1のクレデンシャル管理システム120と直接通信し、クレデンシャルの証明を得る。
検証を実施するため、第2のクレデンシャル管理システム150は、分散アイデンティティ・ブロックチェーン170内に保存した分散台帳からブロックチェーン170の第2のノード160を介してクレデンシャル検証情報を抽出することも必要とする。一実施形態では、ブロックチェーン170の第1のノード130は、第1のクレデンシャル・サービス・プロバイダ、例えばソフトバンクによって稼働され、ブロックチェーン170の第2のノード160は、第2のクレデンシャル・サービス・プロバイダ、例えばATTによって稼働される。検証者であるIBM事務所管理者が、リクエストされたクレデンシャルの検証に成功すると、検証者は、事務所へのアクセス許可(新たなクレデンシャル)をクレデンシャル所有者、例えばJohn Smithに発行する。事務所へのアクセス許可は、個別のQRコードによって表すか、又は更には他の形態/形式で表すことができる。
第1のクレデンシャル管理システム及び第2のクレデンシャル管理システムのそれぞれは、安全なデータベース、プロセッサ、メモリ、入出力インターフェース、ワイヤレス通信構成要素等を有するサーバとすることができる。通信事業者の他に、第1のクレデンシャル・サービス・プロバイダ及び第2のクレデンシャル・サービス・プロバイダのそれぞれは、あらゆる他の種類の会社、組織及び協会とすることができる。
クレデンシャル所有者は、個人、法人、又は会社、組合及び政府等の組織とすることができる。個人は、運転免許証、パスポート、卒業証明書、雇用記録等、広範囲の様々なクレデンシャルを所有することができる。法人も、会社設立認可証、特許証等、様々なクレデンシャルを所有することができる。
各クレデンシャル所有者は、did.sovrin.V4SDRN84Z56d7YV7PBUe6f等のDID(分散識別子、decentralized identifier)を有する。DIDは、ウォレット・アドレスと同様に、所有者又は所有者のクレデンシャル・サービス・プロバイダによって生成されるグローバル固有識別子である。DIDは、関連する公開鍵及び通信エンドポイントを有する。通信エンドポイントとは、DID識別のため、メッセージを配信することができるアドレスがある場所である。DIDのクレデンシャル所有者は、ウォレット内に対応する秘密鍵を保持し、秘密鍵は、クレデンシャル・サービス・プロバイダによって管理することができる。各ウォレット・アドレスが仮想ウォレットに変化するのと同様に、各DIDは、DIDを記述するデータ・セットを含むDIDドキュメントに変化し、DIDの所有権及び管理を証明し、暗号鍵及びリソース・ポインタ(エンドポイント)を共有する。
各クレデンシャルは、いくつかの属性を有する。例えば、運転免許クレデンシャルは、運転免許番号、姓、名、誕生日、身長、体重、性別、写真、署名、有効期限及び発行日といった属性を有することができる。クレデンシャル・スキーマは、属性データ種及び形式のセットの機械可読定義であり、クレデンシャルに関する請求に使用することができる。各クレデンシャルは、クレデンシャル・スキーマを有する。例えば、運転免許証クレデンシャルを生成するスキーマは、上記した属性の定義を含む。発行者は、スキーマを使用し、スキーマ及び属性に固有の公開検証鍵を含む独自のクレデンシャル定義を生成することができ、この公開検証鍵は、発行者の秘密署名鍵と対になっている。例えば、カリフォルニア州DMV(車両管理局)は、分散アイデンティティ・ブロックチェーン内に保存した独自の運転免許証クレデンシャル定義を有する。したがって、検証者又はクレデンシャル・サービス・プロバイダは、カリフォルニア州運転免許証クレデンシャル定義を抽出し、クレデンシャル所有者又はクレデンシャル・サービス・プロバイダが提供したデータの出所及び完全性を検証することができる。
発行者は、通常、政府機関、教育機関及び会社である。例えば、カリフォルニア州DMVは、カリフォルニア州運転免許証を発行することができる。国務省は、パスポートを米国民に発行することができる。スタンフォード大学は、卒業生に卒業証書/証明書を発行することができる。IBMは、社員バッジを従業員に発行することができる。
いくつかの必要とされるクレデンシャルを検証した後、発行者、例えばカリフォルニア州DMVは、クレデンシャル、例えば、カリフォルニア州運転免許証を個人、例えばJohn Smithに発行することができる。発行者又は発行者のクレデンシャル・サービス・プロバイダは、個人又は個人のクレデンシャル・サービス・プロバイダにクレデンシャル・オファーを送信する。このようなクレデンシャル・オファーは、クレデンシャル所有者の秘密鍵で署名され、クレデンシャル・リクエストを生成し、クレデンシャル・リクエストを発行者に返送する。次に、クレデンシャル・リクエストは、発行者の秘密鍵で署名され、クレデンシャル、例えば運転免許証を生成し、クレデンシャルは、携帯デバイスのウォレット内にクレデンシャルを保存するクレデンシャル所有者、又はクレデンシャル所有者のクレデンシャル・サービス・プロバイダのクレデンシャル管理システムに送信される。
分散アイデンティティ・ブロックチェーン170は、複数のノードを含む。一実施形態では、第1のノード130は、第1のクレデンシャル・サービス・プロバイダによって稼働され、第2のノード160は、第2のクレデンシャル・サービス・プロバイダによって稼働される。一実施形態では、TBCASOFT社(「TBCA」)は、分散アイデンティティ・ブロックチェーン170の管理者とすることができる。TBCAは、クレデンシャル・サービス・プロバイダが、ブロックチェーン170のノードを稼働し、ノードの一部を選択し、合意機構のための検証者として働かせるのを許可することができる。
発行者及びクレデンシャル所有者は、クレデンシャル・サービス・プロバイダを通じて、分散台帳のブロック内の関連情報を記録することによって、DIDを生成し、DID、関連する公開鍵、クレデンシャル・スキーマ、クレデンシャル定義、及びリボケーション・アキュミュレータをブロックチェーン170内で発行する。プライバシ保護のため、クレデンシャル、生体情報(写真及び指紋等)、DIDに関連する秘密鍵、検証ログ、リボケーション・テイル・ファイルは、ブロックチェーン170内に記録されない。一実施形態では、これらの一部又は全部を、クレデンシャル・サービス・プロバイダが稼働するクレデンシャル管理システム内に保存することができる。生体情報データのサイズのため、生体情報は、契約業者が稼働するデータベース内に個別に保存することができる。
クレデンシャルは、クレデンシャル所有者の携帯デバイスではなく、クレデンシャル・サービス・プロバイダが稼働するクレデンシャル管理システム内に保存することが有益である。これにより、証明の生成及び検証の両方がクレデンシャル・サービス・プロバイダによって実施され、証明がクレデンシャル・サービス・プロバイダの間で直接転送されるようにする。このような構成は、クレデンシャル所有者と検証者との間の連携を簡略化し得るため、クレデンシャル検証工程を促進し、ユーザ・エクスペリエンスを改善することができる。例えば、双方向通信ではなく、クレデンシャル所有者は、共有クレデンシャル・トークン及びサービス・エンドポイントに関する情報を含むQRコードを検証者に提示するだけでよく、全ての他の工程は、クレデンシャル・サービス・プロバイダによって賄われる。更に、上記のように、一実施形態では、第1のクレデンシャル・サービス・プロバイダ及び第2のクレデンシャル・サービス・プロバイダが、通信事業者(telco)であることが有益である。通信事業者は、トラスト・アンカーとして機能することが有益である。というのは、通信事業者は、高度に規制された産業であり、より良好なプライバシ安全性及び保護をクレデンシャル保有者に提供することができるためである。更に、クレデンシャル所有者の携帯デバイスにクレデンシャルを保存することと比較して、このような構成では、クレデンシャル所有者は、携帯デバイスを紛失してもクレデンシャルを紛失することがない。
図2は、リクエストされたクレデンシャルを検証するプロセス・フローの一実施形態を示す。ステップ210において、リクエスト・デバイス110は、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システム120にリクエストを送信する。一実施形態では、リクエストは、検証要件ドキュメント(verification requirement document、「VRD」)を含むことができ、検証要件ドキュメントには、必要とされる属性のリスト、及び1つ又は複数の許容可能なクレデンシャルを含み、各属性は、1つ又は複数の許容可能なクレデンシャルから選択することができる。
VRDは、検証の目的に基づき、検証者によって最初に生成される。しかし、適切な証明を生成するため、第1のクレデンシャル管理システムは、VRDをいくつかの異なる経路から受信することができる。第1の経路において、リクエストは、VRDを含む。というのは、クレデンシャル所有者は、検証者からVRDを事前に受信しているか、又は発行者のVRDを維持するデータベース若しくはルックアップ・テーブルからVRDを得ているためである。別の実施形態では、全ての発行者のVRDは、データベース内に保存することができ、各VRDにIDが割り当てられる。したがって、リクエストは、クレデンシャル検証識別情報を含むことができ、クレデンシャル検証識別情報は、VRD IDを更に含むことができる。VRD IDは、第1のクレデンシャル管理システムに提供され、次に、第1のクレデンシャル管理システムは、全VRDをデータベースから抽出することができる。代替的に、検証者のVRD又はVRD IDは、ステップ230で送信される証明リクエストに関連して、第2のクレデンシャル管理システムによって第1のクレデンシャル管理システムに提供することができる。
リクエスト・デバイスは、第1のクレデンシャル管理システム及び検証デバイスと通信し得る携帯電話又はあらゆる他の可搬電子デバイスとすることができる。共有クレデンシャル・トークン及びサービス・エンドポイントを提供する前に、第1のクレデンシャル管理システムは、リクエスト・デバイスのIDに基づき、クレデンシャル所有者のリクエスト・デバイスを認証することができる。一実施形態では、リクエスト・デバイスのIDは、国際移動体装置識別番号である。
図3は、検証要件ドキュメントの一実施形態を示す。図3に示す検証要件ドキュメントは、4つの属性、即ち、名前、誕生日、社会保障番号及び雇用主を必要とする。これらの属性のそれぞれは、所定の許容可能なクレデンシャルの1つから選択する必要がある。例えば、「名前」属性の内容は、運転免許証クレデンシャル又はパスポート・クレデンシャルのいずれかから選択する必要がある。「誕生日」属性の内容は、運転免許証クレデンシャル又はパスポート・クレデンシャルのいずれかから選択する必要がある。「社会保障番号」属性の内容は、社会保障カード・クレデンシャルから選択する必要がある。「雇用主」属性の内容は、クレデンシャル・サービス・プロバイダによって検証された任意の発行者から選択する必要がある。各クレデンシャルは、v1及びv2等、クレデンシャル・バージョンのバージョンで関連付けられる。いくつかの属性の事実データは、検証者に明らかにする必要がある。その他の属性に関しては、属性の述語で十分である(ゼロ知識証明)。
図2に示すステップ220において、第1のクレデンシャル管理システム120は、共有クレデンシャル・トークン及びサービス・エンドポイントを生成する。共有クレデンシャル・トークンは、タイムスタンプに基づき生成されるグローバル固有IDを含む。サービス・エンドポイントは、ポートであり、このポート上で、第2のクレデンシャル管理システム150は、第1のクレデンシャル管理システム120と接続し、証明リクエストを送信することができる。一実施形態では、サービス・エンドポイントは、8.8.9.9:9090のように見える。一実施形態では、共有クレデンシャル・トークン及びサービス・エンドポイントの両方の情報は、QRコードに変換される。一実施形態では、共有クレデンシャル・トークン及びサービス・エンドポイントを含むQRコードは、クレデンシャル所有者の事前承認として事前に生成することができ、このクレデンシャルは、後に検証される。
ステップ222において、共有クレデンシャル・トークン及びサービス・エンドポイントの両方(又はそのような情報を含むQRコード)は、クレデンシャル所有者のリクエスト・デバイス110に返送される。ステップ224において、共有クレデンシャル・トークン及びサービス・エンドポイントの両方は、クレデンシャル所有者のリクエスト・デバイス110によって、短距離通信、Bluetooth(登録商標)、WiFi(登録商標)又は他の手段を介して検証者の検証デバイス140に提供することができる。代替的に、クレデンシャル所有者は、リクエスト・デバイス130内の共有クレデンシャル・トークン及びサービス・エンドポイントの情報を含むQRコードを検証者に提示することができ、検証者は、検証デバイス140でQRコードをスキャンする。ステップ226において、共有クレデンシャル・トークン及びサービス・エンドポイントの両方(又はそのような情報を含むQRコード)は、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システム150に提供される。
第2のクレデンシャル管理システム150は、ポートを識別し、サービス・エンドポイントに基づき、第1のクレデンシャル管理システム120に接続する。ステップ230において、第2のクレデンシャル管理システム150は、証明リクエストを第1のクレデンシャル管理システム120に送信する。証明リクエストは、共有クレデンシャル・トークンを含むことができる。一実施形態では、第2のクレデンシャル管理システム150は、検証者のVRD又はVRD IDも第1のクレデンシャル管理システム120に送信する。
ステップ240において、第1のクレデンシャル管理システム120は、共有クレデンシャル・トークンが有効であるかどうかを決定する。一実施形態では、共有クレデンシャル・トークンは、経過時間が所定の期間を超えた場合、無効である。次に、共有クレデンシャル・トークンが有効である場合、ステップ242において、第1のクレデンシャル管理システム120は、VRDに基づき、1つ又は複数のクレデンシャルから1つ又は複数の属性をそれぞれ選択する。共有クレデンシャル・トークンが無効である場合、検証は失敗する。ステップ244において、第1のクレデンシャル管理システム120は、各選択属性に対し、明らかにされる属性及び/又はゼロ知識証明アルゴリズムによる述語属性を生成し、次に、各選択属性を含む証明を生成する。
ステップ246において、第1のクレデンシャル管理システム120は、証明を第2のクレデンシャル管理システム150に送信する。ステップ250において、第2のクレデンシャル管理システム150は、分散アイデンティティ・ブロックチェーン170の第2のノード160に、分散アイデンティティ・ブロックチェーン170内に保存した分散台帳からクレデンシャル暗号情報を抽出することをリクエストする。クレデンシャル暗号情報には、スキーマ、スキーマ定義、発行者の公開鍵、クレデンシャル所有者の公開鍵を含む。
ステップ255において、第2のノード160は、上記クレデンシャル暗号情報を第2のクレデンシャル管理システム150に戻す。ステップ260において、第2のクレデンシャル管理システム150は、分散台帳から抽出した上記クレデンシャル暗号情報に基づき、証明を検証する。ゼロ知識証明アルゴリズムは、証明を検証するために使用することができる。
図4は、図1と同様の一実施形態を示し、発行者、例えばIBM事務所管理者は、新たなクレデンシャル、即ち、事務所への1日アクセス許可を、クレデンシャル所有者、例えば訪問者であるJohn Smithに、発行者とクレデンシャル所有者との間で直接発行するのではなく、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システム120、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システム150、例えばIBMの通信事業者であるATT、及び訪問者の通信事業者であるソフトバンクを通じて発行する。
別の実施形態では、クレデンシャル所有者及び発行者は、同じクレデンシャル・サービス・プロバイダからのクレデンシャル管理サービスに加入することができる。この状況では、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムは、第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムと同じとすることができる。
図5は、新たなクレデンシャルを発行するプロセス・フローの一実施形態を示す。本実施形態は、第2のサービス・プロバイダの第2のクレデンシャル管理システム150が、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システム120のサービス・エンドポイントを有すると仮定する。1つの可能性として、第2のクレデンシャル管理システム150が、クレデンシャル検証を実施した際に、以前は検証者としての役割を果たした発行者のためにサービス・エンドポイントを受信したということがある。別の実施形態では、クレデンシャル所有者のリクエスト・デバイス110は、このようなサービス・エンドポイントを、検証者を介して第2のクレデンシャル管理システムに提供することができる。始めに、クレデンシャル所有者は、新たなクレデンシャルをリクエストする。発行者は、発行者が新たなクレデンシャル・リクエストを承認した場合、第2のクレデンシャル管理システムに通知する。
ステップ510において、第2のクレデンシャル管理システムは、発行者のためにクレデンシャル・オファーを生成し、このクレデンシャルには、新たなクレデンシャルに対して必要とされる属性のデータ、例えば、訪問者の名前及び事務所への1日アクセス許可日を含む。ステップ520において、第2のクレデンシャル管理システム150は、クレデンシャル・オファーを第1のクレデンシャル管理システム120に送信する。ステップ530において、第1のクレデンシャル管理システム120は、クレデンシャル所有者の秘密鍵でクレデンシャル・オファーに署名し、クレデンシャル・リクエストを生成する。ステップ540において、第1のクレデンシャル管理システム120は、クレデンシャル・リクエストを第2のクレデンシャル管理システム150に返送する。ステップ550において、第2のクレデンシャル管理システム150は、発行者の秘密鍵でクレデンシャル・リクエストに署名し、新たなクレデンシャルを生成する。ステップ560において、第2のクレデンシャル管理システム150は、新たなクレデンシャルを第1のクレデンシャル管理システム120に送信する。ステップ570において、第1のクレデンシャル管理システム120は、クレデンシャル所有者のための新たなクレデンシャルを保存し、クレデンシャル所有者に通知する。
以下は、以下のプロセス・ステップを実施する擬似コードの一実施形態であり、検証者は、検証に成功した場合、第2の段階で発行者になる。
1.クレデンシャル所有者のリクエスト・デバイスは、共有クレデンシャル・トークン及びサービス・エンドポイントの情報を含むQRコードをリクエストする。
2.第1のクレデンシャル管理システムは、共有クレデンシャル・トークン及びサービス・エンドポイントの情報を含むQRコードを生成する。
3.検証者の検証デバイスは、リクエスト・デバイスからのQRコードをスキャンする。検証デバイスは、第2のクレデンシャル管理システムを呼び出し、クレデンシャルを検証する。
4.第2のクレデンシャル管理システムは、検証を必要とするクレデンシャル所有者の許容可能クレデンシャルの属性を載せたVRDに基づき、証明リクエストを生成する。第1のクレデンシャル管理システムは、検証デバイスが提供したサービス・エンドポイントに基づき識別される。
5.第1のクレデンシャル管理システムは、証明リクエストに基づき証明を生成する。証明は、第2のクレデンシャル管理システムに送信される。
6.第2のクレデンシャル管理システムは、証明を検証する。
7.検証に成功した場合、発行者(以前の検証者)の発行デバイス(例えば以前の検証デバイス)は、「発行」APIを呼び出すことによってフォームに書き込み、このフォームを第2のクレデンシャル管理システムに送信する。
8.第2のクレデンシャル管理システムは、クレデンシャル・オファーを生成し、次に、クレデンシャル・オファーを第1のクレデンシャル管理システムに送信する。
9.第1のクレデンシャル管理システムは、クレデンシャル・リクエストを生成し、次に、クレデンシャル・リクエストを第2のクレデンシャル管理システムに返送する。
10.第2のクレデンシャル管理システムは、新たなクレデンシャルを生成し、次に、新たなクレデンシャルを第1のクレデンシャル管理システムに送信する。
11.第1のクレデンシャル管理システムは、新たなクレデンシャルをクレデンシャル所有者のウォレット内に保存する。
Figure 0007462910000001

Figure 0007462910000002
本発明のクレデンシャルの検証及び発行方法、並びに関連する装置において、本発明の趣旨又は範囲から逸脱することなく様々な修正形態及び変形形態を行い得ることは当業者に明らかであろう。したがって、本発明は、添付の特許請求の範囲及びこれらの等価物の範囲内にある修正形態及び変形形態を含むことが意図される。

Claims (21)

  1. クレデンシャル所有者がリクエストしたクレデンシャルを検証する方法であって、
    (a)リクエストに応じて、第1のクレデンシャル・サービス・プロバイダの第1のクレデンシャル管理システムによって、前記クレデンシャル所有者のリクエスト・デバイスに共有クレデンシャル・トークン及びサービス・エンドポイントを提供することと、
    (b)第2のクレデンシャル・サービス・プロバイダの第2のクレデンシャル管理システムによって、検証者の検証デバイスから、前記クレデンシャル所有者の前記リクエスト・デバイスを通じて、前記共有クレデンシャル・トークン及び前記サービス・エンドポイントを受信することと、
    (c)前記サービス・エンドポイントに基づき、前記第2のクレデンシャル・サービス・プロバイダの前記第2のクレデンシャル管理システムによって、前記第1のクレデンシャル・サービス・プロバイダの前記第1のクレデンシャル管理システムに証明リクエストを送信することと、
    (d)前記第1のクレデンシャル・サービス・プロバイダの前記第1のクレデンシャル管理システムによって、前記証明リクエストに基づく証明を生成することと、
    (e)前記第2のクレデンシャル・サービス・プロバイダの前記第2のクレデンシャル管理システムによって、分散台帳から抽出したクレデンシャル暗号情報に基づき、前記証明を検証することと、を含む、
    方法。
  2. 前記ステップ(a)は、前記第1のクレデンシャル・サービス・プロバイダによって、前記リクエスト・デバイスのIDに基づき、前記クレデンシャル所有者の前記リクエスト・デバイスを認証することを更に含むことを特徴とする、請求項1に記載の方法。
  3. 前記リクエスト・デバイスは、携帯電話であり、前記IDは、国際移動体装置識別番号であることを特徴とする、請求項2に記載の方法。
  4. 前記リクエストは、検証要件ドキュメントを含み、前記検証要件ドキュメントは、元来、前記検証者からのものであることを特徴とする、請求項1に記載の方法。
  5. 前記検証要件ドキュメントは、1つ又は複数の属性、及び前記属性のそれぞれを選択し得る1つ又は複数のクレデンシャルを含むことを特徴とする、請求項4に記載の方法。
  6. 前記リクエストは、クレデンシャル・リクエスト識別情報を含み、前記第1のクレデンシャル管理システムは、前記クレデンシャル・リクエスト識別情報に基づき、データベース又は分散台帳から、対応する1つ又は複数の属性、及び前記属性のそれぞれを選択し得る1つ又は複数のクレデンシャルを得ることを特徴とする、請求項1に記載の方法。
  7. 前記クレデンシャル・リクエスト識別情報は、検証要件ドキュメントIDを含むことを特徴とする、請求項6に記載の方法。
  8. 前記ステップ(c)は、前記サービス・エンドポイントに基づき、前記第2のクレデンシャル・サービス・プロバイダの前記第2のクレデンシャル管理システムによって、前記第1のクレデンシャル・サービス・プロバイダの前記第1のクレデンシャル管理システムに証明リクエスト及び検証要件ドキュメントIDを送信することを含むことを特徴とする、請求項1に記載の方法。
  9. 前記証明リクエストは、共有クレデンシャル・トークンを含むことを特徴とする、請求項1に記載の方法。
  10. 前記共有クレデンシャル・トークンは、タイムスタンプに基づき生成されるグローバル固有IDを含むことを特徴とする、請求項9に記載の方法。
  11. 前記第1のクレデンシャル管理システムは、前記共有クレデンシャル・トークン及び前記サービス・エンドポイントをQRコード(登録商標)形式で提供することを特徴とする、請求項1に記載の方法。
  12. 前記ステップ(d)は、(d1)前記共有クレデンシャル・トークンを認証することと、(d1)検証要件ドキュメントに基づき、1つ又は複数のクレデンシャルから1つ又は複数の属性をそれぞれ選択することと、(d2)前記第1のクレデンシャル・サービス・プロバイダの前記第1のクレデンシャル管理システムによって証明を生成するため、各選択属性に対し、明らかにされる属性、又はゼロ知識証明アルゴリズムによる述語属性を生成することと、を含むことを特徴とする、請求項1に記載の方法。
  13. 前記証明は、検証要件ドキュメントに基づく属性の事実データ、又は前記属性の述語のいずれかを含むことを特徴とする、請求項1に記載の方法。
  14. 前記クレデンシャル暗号情報は、クレデンシャル・スキーマ、クレデンシャル定義、クレデンシャル所有者の公開鍵、及び発行者の公開鍵を含むことを特徴とする、請求項1に記載の方法。
  15. 前記第1のクレデンシャル・サービス・プロバイダ及び前記第2のクレデンシャル・サービス・プロバイダは、通信事業者であることを特徴とする、請求項1に記載の方法。
  16. 前記第1のクレデンシャル・サービス・プロバイダは、前記第2のクレデンシャル・サービス・プロバイダと同じであることを特徴とする、請求項1に記載の方法。
  17. 前記第1のクレデンシャル管理システムは、前記第2のクレデンシャル管理システムと同じであることを特徴とする、請求項16に記載の方法。
  18. (f)前記第1のクレデンシャル管理システムによって、前記第2のクレデンシャル管理システムからクレデンシャル・オファーを受信することと、(g)前記第1のクレデンシャル管理システムによって、前記クレデンシャル・オファーに基づき、クレデンシャル・リクエストを生成することと、(h)前記第2のクレデンシャル管理システムによって、前記第1のクレデンシャル管理システムから受信した前記クレデンシャル・リクエストに基づき、新たなクレデンシャルを生成することと、を更に含む、請求項1に記載の方法。
  19. (i)前記第1のクレデンシャル管理システム又は前記リクエスト・デバイスによって、前記新たなクレデンシャルを受信し、保存すること、を更に含む、請求項18に記載の方法。
  20. 前記ステップ(g)において、前記クレデンシャル・リクエストは、クレデンシャル所有者の秘密鍵で前記クレデンシャル・オファーに署名することによって生成されることを特徴とする、請求項18に記載の方法。
  21. 前記ステップ(h)において、前記新たなクレデンシャルは、発行者の秘密鍵で前記クレデンシャル・リクエストに署名することによって生成されることを特徴とする、請求項18に記載の方法。
JP2021549340A 2019-02-25 2020-02-26 クレデンシャル・サービス・プロバイダを通じたクレデンシャルの検証及び発行 Active JP7462910B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201962809750P 2019-02-25 2019-02-25
PCT/US2020/020001 WO2020176691A1 (en) 2019-02-25 2020-02-26 Credential verification and issuance through credential service providers

Publications (2)

Publication Number Publication Date
JP2022531754A JP2022531754A (ja) 2022-07-11
JP7462910B2 true JP7462910B2 (ja) 2024-04-08

Family

ID=72143090

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021549340A Active JP7462910B2 (ja) 2019-02-25 2020-02-26 クレデンシャル・サービス・プロバイダを通じたクレデンシャルの検証及び発行

Country Status (7)

Country Link
US (1) US11997205B2 (ja)
EP (1) EP3932002A4 (ja)
JP (1) JP7462910B2 (ja)
KR (1) KR20220002874A (ja)
CN (1) CN113853775B (ja)
SG (1) SG11202109105WA (ja)
WO (1) WO2020176691A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11604868B2 (en) * 2019-03-21 2023-03-14 BadgeCert Inc. Systems and methods for leveraging internet identity for digital credentialing
US10977055B2 (en) 2019-08-01 2021-04-13 EMC IP Holding Company LLC Method and system creating and using sub-data confidence fabrics
US11310272B2 (en) 2019-08-01 2022-04-19 EMC IP Holding Company LLC Method and system creating and using data confidence fabric processing paths
US11294734B2 (en) 2019-08-01 2022-04-05 EMC IP Holding Company LLC Method and system optimizing the use of sub-data confidence fabrics
US11102009B2 (en) * 2019-08-01 2021-08-24 EMC IP Holding Company LLC Method and system transacting data using verifiable claims
US11475073B2 (en) 2019-08-02 2022-10-18 EMC IP Holding Company LLC System and method for management of data from deployments
JP7259971B2 (ja) * 2019-08-20 2023-04-18 日本電信電話株式会社 ユーザクレデンシャル制御システムおよびユーザクレデンシャル制御方法
US11360703B2 (en) 2019-10-22 2022-06-14 EMC IP Holding Company LLC Method and system for a trusted actuation via data fabric metadata
US11388147B2 (en) 2020-01-31 2022-07-12 EMC IP Holding Company LLC System and method for redirecting data access to local trust managers via an indirection logic service
US11587084B2 (en) * 2020-02-28 2023-02-21 Microsoft Technology Licensing, Llc Decentralized identification anchored by decentralized identifiers
US20210314293A1 (en) * 2020-04-02 2021-10-07 Hewlett Packard Enterprise Development Lp Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication
US20220123950A1 (en) * 2020-10-15 2022-04-21 Cisco Technology, Inc. Multi-party cloud authenticator
US11962842B1 (en) * 2020-12-30 2024-04-16 CSC Holdings, LLC Formulation and display of wireless connection credentials
WO2023133521A1 (en) * 2022-01-07 2023-07-13 GCOM Software LLC Method and system for digital identity and transaction verification
WO2023183778A1 (en) * 2022-03-21 2023-09-28 Ankr Pbc Systems and methods for verification of protected private information
DE102022107718A1 (de) * 2022-03-31 2023-10-05 Bundesdruckerei Gmbh Ausstellen eines digitalen Credentials für eine Entität
KR20240081697A (ko) * 2022-11-30 2024-06-10 (주)소프트제국 블록체인 did 기반 오픈배지 제공 시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011007697A1 (ja) 2009-07-13 2011-01-20 日本電気株式会社 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム
JP2015537471A (ja) 2012-11-13 2015-12-24 アルカテル−ルーセント ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
US20170346851A1 (en) 2016-05-30 2017-11-30 Christopher Nathan Tyrwhitt Drake Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements.
US20200014537A1 (en) 2018-07-03 2020-01-09 Royal Bank Of Canada System and method for an electronic identity brokerage

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9955332B2 (en) * 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US20120233334A1 (en) * 2011-03-07 2012-09-13 Avaya Inc. Shared media access for real time first and third party control
EP2710762A1 (en) * 2011-05-16 2014-03-26 Nokia Solutions and Networks Oy Linking credentials in a trust mechanism
US9515999B2 (en) * 2011-12-21 2016-12-06 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
US8935777B2 (en) * 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US9053304B2 (en) * 2012-07-13 2015-06-09 Securekey Technologies Inc. Methods and systems for using derived credentials to authenticate a device across multiple platforms
US9397980B1 (en) * 2013-03-15 2016-07-19 Microstrategy Incorporated Credential management
US9516018B1 (en) * 2013-03-15 2016-12-06 Microstrategy Incorporated Credential technology
US11310056B2 (en) * 2013-12-09 2022-04-19 Sureclinical Inc. System and method for high trust cloud digital signing and workflow automation in health sciences
US10929843B2 (en) * 2014-05-06 2021-02-23 Apple Inc. Storage of credential service provider data in a security domain of a secure element
US9906512B2 (en) * 2015-07-28 2018-02-27 International Business Machines Corporation Flexible revocation of credentials
US9668136B2 (en) * 2015-09-25 2017-05-30 Citrix Systems, Inc. Using derived credentials for enrollment with enterprise mobile device management services
SG11201803010UA (en) * 2015-10-14 2018-05-30 Cambridge Blockchain Llc Systems and methods for managing digital identities
KR101637854B1 (ko) * 2015-10-16 2016-07-08 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 발급시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 발급방법 및 블록체인을 기반으로 하는 공인인증서 인증시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 인증방법
EP3408810B1 (en) * 2016-01-25 2024-04-03 Apple Inc. Conducting transactions using electronic devices with non-native credentials
US10560274B2 (en) * 2016-06-09 2020-02-11 International Business Machines Corporation Credential-based authorization
GB201611948D0 (en) 2016-07-08 2016-08-24 Kalypton Int Ltd Distributed transcation processing and authentication system
EP3488405A4 (en) * 2016-07-25 2020-01-22 Tbcasoft, Inc. MANAGING DIGITAL PROPERTIES ON A DISTRIBUTED TRANSACTION CONSENSUS NETWORK
US10356087B1 (en) * 2016-08-26 2019-07-16 Intelligent Waves Llc System, method and computer program product for credential provisioning in a mobile device platform
AU2017332645B2 (en) * 2016-09-23 2019-12-19 Apple Inc. Managing credentials of multiple users on an electronic device
WO2018170341A1 (en) 2017-03-15 2018-09-20 NuID, Inc. Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
US10645557B2 (en) * 2017-04-04 2020-05-05 Dell Products L.P. Transferable ownership tokens for discrete, identifiable devices
WO2018187634A1 (en) * 2017-04-05 2018-10-11 Tbcasoft, Inc. Digital property remittance via telephone numbers through telecom carriers
KR102665645B1 (ko) * 2017-04-18 2024-05-13 티비씨에이소프트, 인코포레이티드 분산 트랜잭션 컨센서스 네트워크에서의 디지털 자산 트랜잭션의 익명성 및 추적성 향상 기법
US20180322489A1 (en) * 2017-05-03 2018-11-08 Meredith Altenhofen System and method for restricted transaction processing
WO2019014399A1 (en) * 2017-07-13 2019-01-17 Softbank Corp. METHOD AND SYSTEM FOR INTER-NETWORK AUTHENTICATION
WO2019050553A2 (en) * 2017-09-10 2019-03-14 Tbcasoft, Inc. SELECTION OF DIGITAL PROPERTIES FOR TRANSACTIONS
US10862883B1 (en) * 2017-10-09 2020-12-08 Amazon Technologies, Inc. Custom authorization of network connected devices using signed credentials
US10574460B2 (en) * 2017-12-13 2020-02-25 Google Llc Mechanism for achieving mutual identity verification via one-way application-device channels
US20190188698A1 (en) * 2017-12-19 2019-06-20 Tbcasoft, Inc. Computer apparatus for cross-ledger transfers between distributed ledgers
US10929842B1 (en) * 2018-03-05 2021-02-23 Winklevoss Ip, Llc System, method and program product for depositing and withdrawing stable value digital assets in exchange for fiat
US20210049560A1 (en) * 2018-03-08 2021-02-18 Visa International Service Association Method for providing data security using one-way token
US11044091B1 (en) * 2018-03-15 2021-06-22 Secure Channels Inc. System and method for securely transmitting non-pki encrypted messages
WO2019179608A1 (en) * 2018-03-20 2019-09-26 Telefonaktiebolaget Lm Ericsson (Publ) Initial network authorization for a communications device
US11550299B2 (en) * 2020-02-03 2023-01-10 Strong Force TX Portfolio 2018, LLC Automated robotic process selection and configuration
US11303627B2 (en) * 2018-05-31 2022-04-12 Oracle International Corporation Single Sign-On enabled OAuth token
WO2020013738A1 (en) * 2018-07-09 2020-01-16 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for managing cloud services using smart contracts and blockchains in a federation of cloud providers
IL261679A (en) * 2018-09-06 2018-10-31 Acuant Inc System and method for management of digital id
US10945131B2 (en) * 2018-12-11 2021-03-09 Charter Communications Operating, Llc Methods and apparatus for securely storing, using and/or updating credentials using a network device at a customer premises
US11263621B2 (en) * 2018-12-27 2022-03-01 Paypal, Inc. Parent level token issuance for asynchronous data processing based on device trust levels
US11652632B2 (en) * 2020-05-07 2023-05-16 Vmware, Inc. Contextual automated device onboarding

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011007697A1 (ja) 2009-07-13 2011-01-20 日本電気株式会社 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム
JP2015537471A (ja) 2012-11-13 2015-12-24 アルカテル−ルーセント ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
US20170346851A1 (en) 2016-05-30 2017-11-30 Christopher Nathan Tyrwhitt Drake Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements.
US20200014537A1 (en) 2018-07-03 2020-01-09 Royal Bank Of Canada System and method for an electronic identity brokerage

Also Published As

Publication number Publication date
CN113853775A (zh) 2021-12-28
JP2022531754A (ja) 2022-07-11
CN113853775B (zh) 2023-09-19
US20200274713A1 (en) 2020-08-27
EP3932002A1 (en) 2022-01-05
US11997205B2 (en) 2024-05-28
WO2020176691A1 (en) 2020-09-03
EP3932002A4 (en) 2022-10-05
SG11202109105WA (en) 2021-09-29
KR20220002874A (ko) 2022-01-07

Similar Documents

Publication Publication Date Title
JP7462910B2 (ja) クレデンシャル・サービス・プロバイダを通じたクレデンシャルの検証及び発行
US10896586B2 (en) Methods and apparatus for management of intrusion detection systems using verified identity
US10829088B2 (en) Identity management for implementing vehicle access and operation management
US11055802B2 (en) Methods and apparatus for implementing identity and asset sharing management
CN108701276B (zh) 用于管理数字身份的系统和方法
US11445364B2 (en) Secure data communication
US20160380774A1 (en) Virtual credentials and licenses
US20180197263A1 (en) Virtual credentials and licenses
US20030070101A1 (en) Method and apparatus for protecting personal information and for verifying identities
US11343074B2 (en) Block-chain based identity system
US20200160329A1 (en) Systems and methods using a primary account number to represent identity attributes
JP2022544411A (ja) 分散型アイデンティティプラットフォームのための統合認証システム
Shehu et al. On the interoperability of european national identity cards
CN109685664A (zh) 一种基于资产托管系统关联的数字资产实名登记系统
US20230179402A1 (en) Device asserted verifiable credential
US8804158B2 (en) Token generation from a printer
CN109658104A (zh) 一种链上资产一致性确认的系统和方法
Thorve et al. Decentralized identity management using blockchain
US12028455B2 (en) Privacy-preserving identity attribute verification using policy tokens
Sasso et al. A proposal for a unified identity card for use in an academic federation environment
Sorge The German electronic identity card: Lessons learned
WO2022015663A1 (en) Privacy-preserving identity attribute verification using policy tokens
WO2023027756A1 (en) Secure ledger registration
KR101171003B1 (ko) 금융 거래 시스템
FR2945650A1 (fr) Procede de securisation de documents par application d'un numero d'identification propre et appareil pour l'authentification dudit numero.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240318

R150 Certificate of patent or registration of utility model

Ref document number: 7462910

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150