KR20210091677A - 디지털 신원 인증 방법, 장치, 기기 및 저장 매체 - Google Patents

디지털 신원 인증 방법, 장치, 기기 및 저장 매체 Download PDF

Info

Publication number
KR20210091677A
KR20210091677A KR1020210005587A KR20210005587A KR20210091677A KR 20210091677 A KR20210091677 A KR 20210091677A KR 1020210005587 A KR1020210005587 A KR 1020210005587A KR 20210005587 A KR20210005587 A KR 20210005587A KR 20210091677 A KR20210091677 A KR 20210091677A
Authority
KR
South Korea
Prior art keywords
target
user
party platform
target user
encryption
Prior art date
Application number
KR1020210005587A
Other languages
English (en)
Other versions
KR102509688B1 (ko
Inventor
홍빈 마오
시유안 판
준지에 유안
하오동 첸
후이 왕
Original Assignee
베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. filed Critical 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Publication of KR20210091677A publication Critical patent/KR20210091677A/ko
Application granted granted Critical
Publication of KR102509688B1 publication Critical patent/KR102509688B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • H04L2209/38

Abstract

본 출원의 실시예는 블록체인 기술 분야에 관한 것으로, 디지털 신원 인증 방법, 장치, 기기 및 저장 매체를 개시한다. 구체적인 실시예로, 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계; 대상 로그인 정보에 따라, 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송하여, 대상 제3자 플랫폼이 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 클레임을 획득하고 대상 사용자 DID 및 대상 클레임을 검증하도록 권한 부여하는 단계; 및 대상 사용자 DID 및 대상 클레임이 검증을 통과하면, 대상 사용자 DID를 사용하여 대상 제3자 플랫폼에 로그인하는 단계를 포함한다. W3C에 의해 제정된 DID 표준에 대해 아키텍처 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전반적인 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현한다.

Description

디지털 신원 인증 방법, 장치, 기기 및 저장 매체{METHOD AND APPARATUS FOR VERIFYING DIGITAL IDENTITY, DEVICE AND STORAGE MEDIUM}
본 출원의 실시예는 컴퓨터 기술 분야에 관한 것으로, 특히 블록체인 기술 분야에 관한 것이며, 구체적으로 디지털 신원 인증 방법, 장치, 기기 및 저장 매체에 관한 것이다.
인터넷 응용의 신속한 발전에 따라, 컴퓨터에 의한 자동 검증 및 애플리케이션 로그인을 비롯하여 오프라인 엔티티를 온라인 가상 신원에 연결시키는 편의성 및 그 중요성은 날로 부각되고 있다. 현재, 분산(또는 탈중심화: Decentralized) 기반의 디지털 신원 인증 기술은 아직 모색 및 시작 단계에 머물러 있는 상태로, 시스템 정의가 불완전하고, 사용자가 디지털 신원을 편리하게 사용 및 관리할 수 있는 클라이언트 장치가 없는 바, 사실 상 완전환 분산 신원 인증을 구현하는 디지털 신원 인증 시스템이 존재하지 않는다.
본 출원의 실시예는 완전한 디지털 신원 인증 시스템을 구현할 수 있는 디지털 신원 인증 방법, 장치, 기기 및 저장 매체를 제공한다.
제1 양태에 따르면, 본 출원의 실시예는,
대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계;
상기 대상 로그인 정보에 따라, 상기 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하고 상기 대상 사용자 DID 및 상기 대상 클레임을 검증하도록 권한 부여하는 단계; 및
상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자 DID를 사용하여 상기 대상 제3자 플랫폼에 로그인하는 단계를 포함하는, 분산 신원 인증(DID) 클라이언트에 의해 수행되는 디지털 신원 인증 방법을 제공한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 월드 와이드 웹 컨소시엄(W3C)에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
선택적으로, 상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계는,
상기 대상 제3자 플랫폼에 대한 상기 대상 사용자의 로그인 동작에 응답하여, 적어도 대상 제3자 플랫폼 DID를 포함하는 대상 로그인 정보를 획득하여, 상기 대상 제3자 플랫폼 DID에 따라, 블록체인 네트워크로부터 상기 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 블록체인 네트워크는 DID 및 이의 관련 정보를 저장하여 각 참여자에게 정보 서비스를 제공할 수 있다. 이에 대응하여, DID 클라이언트는 블록체인 네트워크를 통해 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득하여 데이터 암호화 및 공유하도록 할 수 있다.
선택적으로, 상기 대상 제3자 플랫폼이 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하도록 권한 부여하는 단계는,
상기 대상 제3자 플랫폼에 상기 개인 사용자 데이터 센터에서 대상 클레임이 저장된 대상 엔드포인트 주소를 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득하도록 권한 부여하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 대상 엔드포인트 주소는 대상 제3자 플랫폼이 개인 사용자 데이터 센터로부터 지정된 검증 가능한 클레임을 획득하도록 지시하여, 대상 엔드포인트 주소의 발송을 통해 대상 제3자 플랫폼을 권한 부여하는 목적을 달성하고, 검증 가능한 클레임의 공유를 구현한다.
선택적으로, 상기 대상 제3자 플랫폼에 상기 개인 사용자 데이터 센터에서 대상 클레임이 저장된 대상 엔드포인트 주소를 발송하는 단계 이전에,
프록시 재암호화 메커니즘에 기반하여 상기 대상 클레임을 암호화하는 단계를 더 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 프록시 재암호화 메커니즘을 사용하여 클레임의 공유를 구현함으로써, 클레임의 유출을 방지하고, 데이터의 안전성을 확보한다.
선택적으로, 상기 프록시 재암호화 메커니즘에 기반하여 상기 대상 클레임을 암호화하는 단계는,
고급 암호화 표준 (AES) 암호화 키를 사용하여 상기 대상 클레임을 암호화하여 대상 암호화 클레임을 획득하는 단계;
대상 사용자 공개 키를 사용하여 상기 AES 암호화 키를 암호화함으로써 대칭 암호화 키 암호문을 획득하는 단계;
대상 사용자 개인 키, 및 대상 제3자 플랫폼 DID와 관련된 DID 문서로부터 획득한 대상 제3자 플랫폼 공개 키에 따라, 재암호화 키를 산출하는 단계; 및
상기 개인 사용자 데이터 센터의 대상 엔드포인트 주소에 상기 대상 암호화 클레임, 상기 대칭 암호화 키 암호문 및 상기 재암호화 키를 저장하여, 상기 개인 사용자 데이터 센터가 상기 재암호화 키를 사용하여 상기 대칭 암호화 키 암호문을 재암호화함으로써 재암호화 암호문을 생성 및 저장하도록 제어하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 프록시 재암호화 메커니즘의 목적은, 대상 사용자 공개 키에 기반하여 데이터를 암호화하여, 공유자, 즉 대상 제3자 플랫폼에 의해 대상 제3자 플랫폼 개인 키를 이용한 복호화를 통해 데이터를 획득하도록 함으로써, 데이터의 안전 공유를 확보할 수 있다.
선택적으로, 상기 대상 엔드포인트 주소는, 상기 대상 제3자 플랫폼이 상기 대상 엔드포인트 주소에 따라 상기 대상 암호화 클레임 및 상기 재암호화 암호문을 획득하고, 대상 제3자 플랫폼 개인 키에 기반하여 상기 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하며, 상기 대칭 암호화 암호화 키에 기반하여 상기 대상 암호화 클레임을 복호화하여 상기 대상 클레임을 획득하는데 사용된다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 대상 엔드포인트 주소는 대상 제3자 플랫폼이 지정된 검증 가능한 클레임을 획득하도록 지시하기 위한 것이고, 이에 대응하여, 프록시 재암호화 메커니즘의 보호 하에, 대상 제3자가 획득한 검증 가능한 클레임을 복호화하여야 함으로써, 데이터의 안전 공유를 확보한다.
선택적으로, 상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계 이전에,
권위 기관 등록 센터의 권위 기관의 서비스 정보에 따라, 클레임을 발행하는 대상 권위 기관을 검색하는 단계;
상기 대상 권위 기관에 클레임 청구 요청을 발송하여, 상기 대상 권위 기관이 상기 대상 사용자의 대상 클레임을 생성하도록 제어하는 단계; 및
상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득하는 단계를 더 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 태스크 요구에 기반하여, 사용자는 DID 클라이언트를 통해 대응되는 권위 기관에 검증 가능한 클레임을 청구하여, 사용자가 검증 가능한 클레임을 통해 제3자 플랫폼의 로그인을 진행하도록 할 수 있다.
선택적으로, 상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득하는 단계는,
상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 피드백한 대상 엔드포인트 주소를 수신하는 단계 - 상기 대상 엔드포인트 주소는 상기 대상 사용자의 개인 사용자 데이터 센터에 위치하고, 상기 대상 권위 기관에 의해 프록시 재암호화된 대상 클레임이 저장되어 있음 - ;
상기 대상 엔드포인트 주소에 따라, 상기 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하여 프록시 재암호화된 대상 클레임을 획득하는 단계; 및
대상 사용자 개인 키를 사용하여 상기 프록시 재암호화된 대상 클레임을 복호화하여 상기 대상 클레임을 획득하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 검증 가능한 클레임의 발행도 데이터의 공유 과정이므로, 따라서 권위 기관이 발행 시, 마찬가지로 프록시 재암호화 기술을 사용하여 DID 클라이언트와 발행된 검증 가능한 클레임을 공유할 수 있다.
선택적으로, 상기 대상 엔드포인트 주소에 따라, 상기 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하는 단계 이전에,
상기 개인 사용자 데이터 센터에 상기 대상 사용자 DID를 발송하여, 상기 개인 사용자 데이터 센터가 블록체인 네트워크로부터 상기 대상 사용자 DID와 관련된 DID 문서를 획득하도록 하고, 상기 DID 문서 중의 대상 사용자 공개 키를 사용하여 상기 대상 사용자의 서명을 검증하여, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계를 더 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 그 어떤 참여자든지 인터랙션을 진행할 시 모두 블록체인 네트워크에 저장된 디지털 신원 및 관련 정보에 기반하여, 이미 알고 있는 상대방의 DID에 따라, 상대방에 대해 DID디지털 신원 인증을 진행하여, 상대방이 DID를 장악하고 있는 진실된 소유자임을 결정함으로써, 당사자가 디지털 신원을 도용 또는 위조하는 것을 방지하고, 인터랙션 안전성을 확보한다.
선택적으로, 상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득하는 단계 이후에,
상기 대상 클레임으로부터 취소 리스트 주소를 획득하는 단계;
상기 대상 클레임을 발행한 권위 기관의 개인 취소 서비스 엔드포인트로부터, 상기 취소 리스트 주소를 방문하여 취소 리스트를 획득하는 단계; 및
상기 취소 리스트에 따라 상기 대상 클레임의 취소 상태를 조회하는 단계를 더 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 권위 기관은 이미 발행된 검증 가능한 클레임을 취소할 수도 있으므로, 따라서, 다른 참여자는 검증 가능한 클레임에 기록된 취소 리스트 주소를 통해 검증 가능한 클레임의 취소 상태를 조회할 수 있음으로써, 무효의 검증 가능한 클레임을 사용하는 것을 방지한다.
선택적으로, 상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계 이전에,
대상 사용자의 DID 생성 요청에 응답하여, 상기 대상 사용자에 대해 대상 사용자 DID 및 적어도 한 쌍의 공개/개인 키 페어를 생성하는 단계를 더 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. DID 클라이언트는 사용자에게 DID 생성 서비스를 제공하여 사용자에게 전역 유일한 디지털 신원을 제공한다.
제2 양태에 따르면, 본 출원의 실시예는,
대상 분산 신원 인증(DID) 클라이언트로부터 발송된, 대상 사용자 DID를 포함하는 로그인 요청에 응답하여, 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하는 단계;
상기 대상 사용자 DID 및 상기 대상 클레임을 검증하는 단계; 및
상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자가 상기 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정하는 단계를 포함하는, 제3자 플랫폼에 의해 수행되는 디지털 신원 인증 방법을 제공한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하여, 제3자 플랫폼이 DID 및 검증 가능한 클레임에 대한 검증을 통해 사용자가 DID를 사용하여 로그인하도록 허용한다.
선택적으로, 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하는 단계는,
제3자 플랫폼에 대한 상기 대상 DID 클라이언트의 권한 부여 결과에 따라, 상기 대상 클레임이 저장된 대상 엔드포인트 주소를 획득하는 단계; 및
상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 대상 엔드포인트 주소는 대상 제3자 플랫폼이 지정된 검증 가능한 클레임을 획득하도록 지시하여, 제3자 플랫폼이 대상 엔드포인트 주소를 수신할 경우, DID 클라이언트의 권한 부여를 획득하고, 검증 가능한 클레임의 공유를 구현한다.
선택적으로, 상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득하는 단계는,
상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 대상 암호화 클레임 및 재암호화 암호문을 획득하는 단계 - 상기 대상 암호화 클레임 및 상기 재암호화 암호문은 프록시 재암호화 메커니즘을 기반으로 암호화하여 생성된 것임 -;
제3자 플랫폼 개인 키를 사용하여 상기 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하는 단계; 및
상기 대칭 암호화 암호화 키를 사용하여 상기 대상 암호화 클레임을 복호화하여 대상 클레임을 획득하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 프록시 재암호화 메커니즘을 사용하여 검증 가능한 클레임의 공유를 구현함으로써, 검증 가능한 클레임의 유출을 방지하고, 데이터의 안전성을 확보한다.
선택적으로, 상기 대상 사용자 DID 및 상기 대상 클레임을 검증하는 단계는,
상기 대상 사용자의 사용자 서명에 따라, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계; 및
검증을 통과하면, 상기 대상 클레임의 소속 발행 권위 기관, 클레임 타입, 유효 기간 및 취소 상태 중 적어도 하나에 따라, 상기 대상 클레임을 검증하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 임의의 참여자가 인터랙션을 진행할 시, 모두 이미 알고 있는 상대방의 DID에 따라, 상대방에 대해 DID디지털 신원 인증을 진행하여, 상대방이 DID를 장악하고 있는 진실된 소유자임을 결정함으로써, 인터랙션자가 디지털 신원을 도용 또는 위조하는 것을 방지하고, 인터랙션 안전성을 확보한다. 이로써, 제3자 플랫폼은 DID 검증을 통과한 전제 하에, 검증 가능한 클레임에 대한 검증을 통해 사용자가 로그인 권한을 가지는지 여부를 결정할 수 있다.
선택적으로, 상기 대상 사용자의 사용자 서명에 따라, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계는,
상기 대상 사용자 DID에 따라, 블록체인 네트워크로부터 상기 대상 사용자 DID와 관련된 DID 문서를 획득하는 단계; 및
상기 대상 사용자 DID와 관련된 DID 문서 중의 대상 사용자 공개 키에 따라, 상기 대상 사용자의 사용자 서명을 검증하여, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계를 포함한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 검증 가능한 클레임 검증이 필요한 제3자 로그인 플랫폼에 대해, 검증 가능한 클레임 검증을 통해 사용자가 로그인 권한을 가지는지 여부를 결정할 수 있음으로써, 사용자 로그인의 안전성, 및 제3자 플랫폼의 안전성을 확보한다.
제3 양태에 따르면, 본 출원의 실시예는,
대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 로그인 정보 획득 모듈;
상기 대상 로그인 정보에 따라, 상기 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하고 상기 대상 사용자 DID 및 상기 대상 클레임을 검증하도록 권한 부여하는 클레임 권한 부여 모듈; 및
상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자 DID를 사용하여 상기 대상 제3자 플랫폼에 로그인하는 플랫폼 로그인 모듈을 포함하는, 분산 신원 인증(DID) 클라이언트에 구현되는 디지털 신원 인증 장치를 제공한다.
제4 양태에 따르면, 본 출원의 실시예는,
대상 분산 신원 인증(DID) 클라이언트로부터 발송된, 대상 사용자 DID를 포함하는 로그인 요청에 응답하여, 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하는 클레임 획득 모듈;
상기 대상 사용자 DID 및 상기 대상 클레임을 검증하는 클레임 검증 모듈; 및
상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자가 상기 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정하는 사용자 로그인 모듈을 포함하는, 제3자 플랫폼에 구현되는 디지털 신원 인증 장치를 제공한다.
제5 양태에 따르면, 본 출원의 실시예는,
적어도 하나의 프로세서; 및
상기 적어도 하나의 프로세서와 통신 연결되는 메모리를 포함하고,
상기 메모리에 상기 적어도 하나의 프로세서에 의해 실행 가능한 명령어가 저장되며, 상기 명령어는 상기 적어도 하나의 프로세서에 의해 실행되어 상기 적어도 하나의 프로세서가 본 출원의 제1 양태의 임의의 실시예에 따른 디지털 신원 인증 방법, 또는 본 출원의 제2 양태의 임의의 실시예에 따른 디지털 신원 인증 방법을 수행할 수 있도록 하는, 전자 기기를 제공한다.
제6 양태에 따르면, 본 출원의 실시예는 컴퓨터 명령어가 저장된 비일시적 컴퓨터 판독 가능한 저장 매체를 더 제공하되, 상기 컴퓨터 명령어는 상기 컴퓨터가 본 출원의 제1 양태의 임의의 실시예에 따른 디지털 신원 인증 방법, 또는 본 출원의 제2 양태의 임의의 실시예에 따른 디지털 신원 인증 방법을 수행하도록 한다.
제7 양태에 따르면, 본 출원의 실시예는 컴퓨터 판독 가능한 저장 매체에 저장된 컴퓨터 프로그램을 더 제공하되, 상기 컴퓨터 프로그램은 프로세서에 의해 실행될 경우 본 출원의 제1 양태의 임의의 실시예에 따른 디지털 신원 인증 방법, 또는 본 출원의 제2 양태의 임의의 실시예에 따른 디지털 신원 인증 방법을 수행하도록 한다.
상기 발명의 일 실시예는 하기와 같은 장점 또는 유리한 효과를 구비한다. 사용자는 DID 클라이언트를 실행하여 대상 제3자 플랫폼의 대상 로그인 정보를 획득할 수 있음으로써, 사용자는 대상 사용자 DID 계정을 사용하여, DID 클라이언트를 통해 대상 제3자 플랫폼에 로그인 요청을 발송하여, 대상 제3자 플랫폼이 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 클레임을 획득하며, 대상 제3자 플랫폼에 기반하여 대상 사용자 DID 및 대상 클레임을 검증하도록 권한 부여를 함으로써, 대상 사용자 DID를 사용하여 대상 제3자 플랫폼에 로그인할 수 있다. 본 출원의 실시예는 W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
상기 선택 가능한 방식이 구비하는 다른 효과에 대해 아래에서 구체적인 실시예를 참조하여 더 설명하도록 한다.
도면은 본 해결수단을 더 잘 이해하도록 제공되는 것으로, 본 출원을 한정하지 않는다.
도 1은 본 출원의 실시예에서 제공하는 디지털 신원 인증 시스템의 아키텍처 개략도이다.
도 2는 본 출원의 제1 실시예에 따른 디지털 신원 인증 방법의 흐름도이다.
도 3은 본 출원의 제1 실시예에 따른 DID를 사용하여 제3자 플랫폼에 로그인하는 흐름도이다.
도 4는 본 출원의 제1 실시예에 따른 제3자 플랫폼이 claim을 획득하도록 권한 부여하는 예시도이다.
도 5는 본 출원의 제2 실시예에 따른 디지털 신원 인증 방법의 흐름도이다.
도 6은 본 출원의 제2 실시예에 따른 제3자 플랫폼이 claim을 획득하는 예시도이다.
도 7은 본 출원의 제2 실시예에 따른 DID 및 claim을 사용하여 제3자 플랫폼에 로그인하는 흐름도이다.
도 8은 본 출원의 제3 실시예에 따른 claim을 청구하는 흐름도이다.
도 9는 본 출원의 제3 실시예에 따른 claim을 청구하는 개략도이다.
도 10은 본 출원의 제3 실시예에 따른 claim을 발행하는 개략도이다.
도 11은 본 출원의 제3 실시예에 따른 claim을 취소하는 개략도이다.
도 12는 본 출원의 제4 실시예에 따른 디지털 신원 인증 방법의 흐름도이다.
도 13은 본 출원의 제5 실시예에 따른 디지털 신원 인증 방법의 흐름도이다.
도 14는 본 출원의 제5 실시예에 따른 claim을 검증하는 개략도이다.
도 15는 본 출원의 제6 실시예에 따른 디지털 신원 인증 장치의 구성 개략도이다.
도 16은 본 출원의 제7 실시예에 따른 디지털 신원 인증 장치의 구성 개략도이다.
도 17은 본 출원의 실시예에 따른 디지털 신원 인증 방법을 구현하기 위한 전자 기기의 블록도이다.
아래 도면과 결부시켜 본 출원의 예시적 실시예를 설명하되, 여기에 이해를 돕기 위한 본 출원의 실시예의 다양한 세부사항들이 포함되지만, 이들은 단지 예시적인 것으로 이해해야 한다. 따라서, 본 기술분야의 통상의 기술자는 본 출원의 범위 및 정신을 벗어나지 않는 전제 하에 여기서 설명된 실시예에 대해 다양한 변형 및 수정을 진행할 수 있음을 이해해야 한다. 마찬가지로, 명확 및 간략을 위해, 아래의 설명에서 공지 기능 및 구조에 대한 설명을 생략한다.
실시예의 기술적 해결수단을 명확하게 설명하기 위해, 우선 디지털 신원 인증 시스템 아키텍처도를 설명한다. 도 1은 본 출원의 실시예에서 제공하는 디지털 신원 인증 시스템의 아키텍처 개략도이고, 상기 시스템은 W3C(World Wide Web Consortium)에 의해 제정된 DID(Decentralized Identity, 분산 신원 인증) 표준을 기초로, DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처에 대해 추가 및 정의를 진행하고, 각 아키텍처 사이의 인터랙션 프로세스를 규범화하며, 분산화 디지털 신원 관리, 검증 및 사용 등을 구현한다. DID는 개체의 신원을 식별할 수 있을 뿐만 아니라, 조직의 신원을 식별할 수도 있으며, 심지어 물품의 신원을 식별할 수도 있다.
도 1을 참조하면, 상기 시스템은 권위 기관 등록 센터(Claim Issuer Registry)(110), 권위 기관(Issuer)(120), DID 소유자(Holder)130, 제3자 플랫폼(Verifier)(140) 및 DID 하위층 서브 시스템(DID Subsystem)(150) 등을 포함하고, 각각의 참여자는 모두 DID 계정을 구비하여 참여자 전역 유일한 디지털 신원으로 사용한다.
여기서, 권위 기관 등록 센터(110)는 공개, 공지된 권위 기관(120)의 서비스 정보를 통일로 외부에 발포하여 사용자가 검증 가능한 클레임(Verifiable Credential Claim: 본 출원에서 모두 "클레임" 또는 "claim"으로 약칭함) 등을 청구하도록 한다.
권위 기관(120)은 권위 기관 등록 센터(110)에 미리 등록하여 권위 기관 등록 센터(110)에 서비스 정보를 설정하여 발포하도록 한다. 서비스 정보는 서비스 엔드포인트 정보, 청구 가능한 claim 타입 및 청구자 필요 정보 등을 포함할 수 있다. 여기서, 권위 기관(120)은 구체적으로 claim 청구 서비스(Issuer Service)(121) 및 claim 취소 서비스(Claim Revocation Service)(122)를 포함할 수 있다. claim 청구 서비스(121)는 대외적으로 claim을 발행하기 위한 것으로, 예를 들어, 은행은 하나의 권위 기관으로서, 자신의 DID 계정을 사용하여 고객을 위해 하나의 자산 증명을 발행할 수 있다. claim 취소 서비스(122)는 본 권위 기관에 의해 발행된 claim을 취소한다. 권위 기관(120)은 claim 취소 리스트를 저장하기 위한 개인 취소 서비스 엔드포인트(Personal Revocation Service Endpoint)를 더 포함한다.
DID 소유자(130)는 클라이언트(DID Wallet)(131) 및 개인 사용자 데이터 센터(Identity Hub)(132)를 포함한다. DID 클라이언트(131)는 애플릿(applet) 등 임의의 형태의 응용 프로그램일 수 있다. 사용자는 DID 클라이언트(131)를 통해 DID를 생성하고, DID 문서(DID Document)를 업데이트하며, DID를 사용하여 권위 기관(120)에 claim을 청구하고, DID를 사용하여 제3자 플랫폼(140) 등에 로그인할 수 있다. DID를 키 도메인으로 하고 DID 문서를 값 도메인으로 하여 키 값 쌍의 형태로 블록체인 네트워크에 저장할 수 있다. DID 문서는 DID 계정을 연관시키는 암호화 키 정보 및 방문 엔드포인트와 같은 상세한 데이터를 저장한다. 개인 사용자 데이터 센터(132)는 사용자가 자율적으로 제어 가능한 사용자 데이터 웨어하우스를 가리키는 바, 사용자가 자율적으로 사용하도록 허용하며, 사용자 데이터를 관리(host)하고 방문에 대해 권한 부여하는 역할을 한다.
제3자 플랫폼(140)은 DID, 또는 DID 및 claim을 사용하여 로그인할 수 있는 제3자 애플리케이션, 웹사이트, 기관 또는 기기 등을 의미한다. 제3자 플랫폼(140)은 시도 응답 메커니즘(challenge-response mechanism)에 의해 DID 소유자(130)가 DID를 소유하는지 여부를 검증하고, DID 소유자(130)에 필요한 claim을 청구하며, 획득한 claim에 대해 디지털 신원 인증을 진행한다.
DID 서브시스템(150)은 DID 온 체인(on chain) 및 해석 서비스(DID Resolver)를 제공한다. 구체적으로, 사용자가 DID 클라이언트(131)를 사용하여 DID를 생성한 후, 사용자는 이때 하나의 오프라인 DID만 소유하고 있으므로, DID 문서로 DID와 관련된 정보를 온 체인하여야 만 해당 DID이 진정한 의미에서 효력을 발생할 수 있도록 한다. DID의 해석, 즉 DID 서브시스템(150)은 DID에 따라 DID 문서를 해석해 내는 기능을 제공한다. 사용자가 제3자 플랫폼(140)에 로그인할 경우, 제3자 플랫폼(140)은 시도 응답 메커니즘에 의해 사용자가 DID의 소유자인지 여부를 확인해야 하고, 시도 응답의 핵심은 제3자 플랫폼(140)이 DID 문서 중의 공개 키에 따라 시도를 개시하여 사용자가 응답하도록 하는 것이다. 따라서, 제3자 플랫폼(140)은 DID 해석을 통해 DID 문서를 획득할 수 있다.
이에 따라, 상기 시스템은 디지털 신원 및 이의 관련 정보를 저장하기 위한 블록체인 네트워크를 포함하고, 그중 블록체인 L2 계층 노드(DID Germ)는 DID 동작을 하나의 거래로 패키징하여 온 체인함으로써, 블록체인 L1의 TPS(Transactions Per Second, 시스템 처리량)를 향상시킨다. 이에 대응하여, 권위 기관(120), DID 소유자(130) 및 제3자 플랫폼(140)은 DID 서브시스템(150)을 통해 디지털 신원 등 관련 정보를 트랜잭션 데이터로 하여, 블록체인 네트워크에 온 체인하여 저장함으로써, 디지털 신원 등 관련 정보의 CRUD(create, read, update, delete)를 구현할 수 있다. 또한 DID 서브시스템(150)을 통해 블록체인 네트워크로부터 디지털 신원 등 관련 정보를 획득하여 디지털 신원 인증에 사용할 수 있다. 또는, 권위 기관(120), DID 소유자(130) 및 제3자 플랫폼(140)이 블록체인 노드 또는 경량 노드로서, 블록체인에 직접 요청을 발송하고, 블록체인 네트워크에 의해 피드백된 트랜잭션 데이터를 수신할 수도 있다. 이 밖에, 상기 시스템은 모든 DID를 해석하기 위한 DIF 범용 리졸버(DIF Universal Resolver)를 더 포함할 수 있다.
본 출원의 실시예에서, W3C에 의해 제정된 DID 표준에 따라 하기와 같이 DID 포맷을 정의한다.
did:ccp:<DID String>.
여기서, ccp는 본 실시예에서 제출한 DID 규범을 나타낸다. 본 실시예는 제출된 DID 규범에 대해 제한하지 않으며, 본 실시예가 디지털 신원 인증 시스템 프레임에 기반하여 제출한 임의의 DID 규범은 모두 본 실시예에 응용될 수 있다. DID String은 디지털 신원의 전역 유일한 식별자이다. 본 실시예에서 제출한 DID String의 연산 알고리즘, 즉 DID 문서를 입력으로 하여 하기와 같은 알고리즘을 사용하여 DID String을 생성한다.
<DID String> = base58(ripemd160(sha256(<Base DID Document>))). 여기서, base58(), ripemd160(), sha256()은 암호화 함수이다.
따라서, 필요에 따라 DID 문서에서 디지털 신원 관련 정보를 정의할 수 있다. 예를 들어, 공개 키 리스트 정보, 주된 공개 키 정보, 대비용 공개 키 정보, DID 검증에 사용되는 지정된 공개 키 정보, 복원된 공개 키 리스트, 해당 DID를 사용할 수 있는 엔드포인트 정보 등을 포함할 수 있다.
제1 실시예
도 2는 본 출원의 제1 실시예에 따른 디지털 신원 인증 방법의 흐름도이고, 본 실시예는, DID 클라이언트를 통해 제3자 플랫폼과 인터랙션하고, DID 및 claim에 대한 검증에 기반하여, 사용자가 DID를 사용하여 제3자 플랫폼에 로그인하도록 하는 경우에 적용될 수 있으며, 상기 방법은 DID 클라이언트에 의해 수행될 수 있고, 디지털 신원 인증 장치에 의해 수행될 수 있으며, 상기 장치는 소프트웨어 및/또는 하드웨어의 방식으로 구현되되, 바람직하게 전자 기기에 구현되는데, 예를 들어, DID 클라이언트를 소유한 DID 소유자의 단말 기기에 구현된다. 도 2에 도시된 바와 같이, 상기 방법은 구체적으로 하기와 같은 단계들을 포함한다.
단계 S210에서, 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 대상 제3자 플랫폼의 대상 로그인 정보를 획득한다.
본 출원의 구체적인 실시예에서, 대상 사용자는 DID 클라이언트를 사용하는 사용자를 의미하되, 개인 사용자 또는 기업 사용자 등일 수 있다. 대상 사용자가 DID 계정을 구비하면, 직접 DID 클라이언트를 사용하여 DID 및 이의 관련 정보를 관리 및 사용할 수 있고, DID 및 이의 관련 정보의 CRUD(create, read, update, delete)는 블록체인 네트워크에 동기화될 수도 있다. 대상 사용자가 현재 DID 계정을 구비하지 않을 경우, DID 클라이언트를 통해 자신의 DID 계정을 생성할 수 있다. 이에 대응하여, DID 클라이언트는 대상 사용자의 DID 생성 요청에 응답하여, 대상 사용자에 대해 대상 사용자 DID 및 적어도 한 쌍의 공개/개인 키 페어를 생성한다. 복수 쌍의 공개/개인 키 페어는 서로 마스터-백업 관계일 수 있고, 복수 쌍의 공개/개인 키의 구체적인 사용 방식은 생성된 DID 계정과 관련된 DID 문서에 기록될 수 있다.
본 실시예에서, 대상 제3자 플랫폼은 대상 사용자가 DID를 사용하여 로그인하고자 하는 플랫폼을 의미하며, 예를 들어, 제3자 애플리케이션, 웹사이트, 기관 또는 기기 등을 의미한다. DID 클라이언트는 계정 비밀번호 로그인 방식 또는 QR코드 스캔 방식 등 다양한 방식에 기반하여 대상 제3자 플랫폼에 로그인할 수 있다.
본 실시예에서, 대상 로그인 정보는 대상 제3자 플랫폼에 로그인하는데 필요한 정보를 의미하며, 대상 제3자 플랫폼의 로그인 주소(loginUrl), 대상 사용자 로그인 동작을 식별하기 위한 유일한 식별자(loginID), 대상 제3자 플랫폼 DID, 필요한 claim 타입 등 정보를 포함할 수 있다.
구체적으로, 대상 사용자는 대상 제3자 플랫폼의 로그인 방식에 따라, DID 클라이언트에서 로그인 동작을 수행할 수 있고, 따라서 대상 제3자 플랫폼의 대상 로그인 정보를 획득할 수 있다. 이로써, 대상 로그인 정보 중의 대상 제3자 플랫폼 DID에 따라, 블록체인 네트워크로부터 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득할 수도 있으며, DID 문서로부터 대상 제3자 플랫폼 공개 키를 획득함으로써, 데이터 공유 시 암호화에 사용될 수 있다.
예시적으로, 대상 사용자는 로컬 머신 페이지 또는 다른 기기의 페이지에서 조작할 수 있고, 로그인할 대상 제3자 플랫폼을 선택하여, DID 로그인/인증 방식을 선택하여, 페이지에서 로그인할 대상 제3자 플랫폼의 QR코드를 표시한다. 대상 사용자는 DID 클라이언트를 사용하여 QR코드를 스캔하고, DID 클라이언트에서 로그인을 확인한다. 따라서, DID 클라이언트는 QR코드의 스캔을 통해, QR코드에 포함된 대상 로그인 정보를 획득할 수 있다.
단계 S220에서, 대상 로그인 정보에 따라, 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송하여, 대상 제3자 플랫폼이 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 클레임을 획득하고 대상 사용자 DID 및 대상 클레임을 검증하도록 권한 부여한다.
본 출원의 구체적인 실시예에서, 로그인 요청은 대상 제3자 플랫폼이 로그인될 대상 사용자에 대해 디지털 신원 인증을 진행하도록 트리거하기 위한 것이다. 로그인 요청은 대상 사용자 DID, loginID, 사용자 서명 등 정보를 포함할 수 있다. 따라서, 대상 제3자 플랫폼은 liginID에 따라 대상 사용자의 일련의 로그인 동작을 연관시킬 수 있고, 또한 대상 사용자 DID에 따라 블록체인 네트워크로부터 대상 사용자 DID와 관련된 DID 문서를 획득하여, DID 문서로부터 대상 사용자 공개 키를 획득할 수 있으며, 대상 사용자 공개 키를 사용하여 사용자 서명을 검증하여, 대상 사용자가 대상 사용자 DID의 진실된 소유자인지 여부를 검증함으로써, 디지털 신원의 도용 또는 위조를 방지한다.
본 실시예에서, DID만 사용하여 제3자 플랫폼에 로그인하는 로그인 방식의 프로세스는 도 3에 도시된 바와 같다. DID 클라이언트는 대상 제3자 플랫폼의 QR코드를 스캔하여 로그인 정보를 획득하고 대상 제3자 플랫폼에 로그인 요청을 발송한다. 대상 제3자 플랫폼은 로그인 정보를 수신하여 DID를 검증한 후, 우선 랜덤으로 하나의 Nonce(Number Once: 넌스)를 생성하여 저장하고, 대상 사용자 공개 키를 사용하여 Nonce를 암호화하여 암호문(cipherText)을 획득하여 DID 클라이언트에 피드백한다. 이에 대응하여, DID 클라이언트는 대상 사용자 개인 키(PrivKey)를 사용하여 암호문을 복호화하여 평문(plaintext)을 획득하여 대상 제3자 플랫폼에 피드백한다. 이로써, 대상 제3자 플랫폼은 시도 결과 응답을 검증하고, loninID에 따라 Nonce 및 이와 관련된 평문을 결정하며, Nonce와 평문을 비교한다. 결과 비교가 일치한 것으로 검출되면, 대상 제3자 플랫폼은 폴링(polling)을 통해 도전 성공을 인지하고, 대상 사용자 로그인이 성공한 것으로 결정한다.
본 실시예에서, DID 및 claim을 사용하여 제3자 플랫폼에 로그인하는 로그인 방식에 있어서, 대상 사용자의 대상 claim은 모두 자신의 개인 사용자 데이터 센터에 저장되어 있으므로, DID 클라이언트는 대상 제3자 플랫폼에 로그인 요청을 발송한 후, 대상 제3자 플랫폼이 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 claim을 획득하여 대상 claim을 검증하도록 권한 부여를 해야 한다.
구체적으로, 도 4는 제3자 플랫폼이 claim을 획득하도록 권한 부여하는 예시도이다. 도 4에 도시된 바와 같이, 대상 제3자 플랫폼은 로그인 요청을 수신한 후, DID 클라이언트에 claim 획득 요청을 발송한다. 여기서, DID 클라이언트가 로컬에 claim을 저장한 경우, 직접 claim을 리턴할 수 있다. DID 클라이언트가 로컬에 claim을 저장하지 않았을 경우, DID 클라이언트는 개인 사용자 데이터 센터에서 대상 claim이 저장된 대상 엔드포인트 주소를 획득할 수 있고, 대상 제3자 플랫폼에 개인 사용자 데이터 센터에서 대상 claim이 저장된 대상 엔드포인트 주소를 발송하여, 대상 제3자 플랫폼이 지정된 대상 claim을 획득하도록 지시하므로, 다른 데이터 정보의 안전성을 침범하지 않게 된다. 따라서, 대상 제3자 플랫폼은 DID 클라이언트로부터 권한 승인을 받은 후, 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하고, 대상 엔드포인트로부터 대상 claim을 획득하여 대상 claim을 검증할 수 있다. 예를 들어, 대상 claim이 신뢰할 수 있는 권위 기관에 의해 발행된 것인지 여부를 검증하고, 대상 claim이 대상 제3자 플랫폼 로그인에 필요한 것인지 여부를 검증하며, 대상 claim의 취소 상태 등을 검증한다. 이의 구체적인 프로세스는 후술되는 실시예에서 설명하도록 한다.
여기서, 대상 claim의 안전한 공유를 구현하기 위해, DID 클라이언트는 대상 제3자 플랫폼에 개인 사용자 데이터 센터에서 대상 claim이 저장된 대상 엔드포인트 주소를 발송하기 전에, 프록시 재암호화 메커니즘에 기반하여 대상 claim을 검증할 수 있다. 구체적으로, DID 클라이언트는 AES(Advanced Encryption Standard, 고급 암호화 표준) 암호화 키를 사용하여 대상 claim을 암호화하여 대상 암호화 claim을 획득하고, 대상 사용자 공개 키를 사용하여 AES 암호화 키를 암호화함으로써 대칭 암호화 키 암호문을 획득하며, 대상 사용자 개인 키, 및 대상 제3자 플랫폼 DID와 관련된 DID 문서로부터 획득한 대상 제3자 플랫폼 공개 키에 따라, 재암호화 키를 산출한다. 대상 암호화 claim, 대칭 암호화 키 암호문 및 재암호화 키는 개인 사용자 데이터 센터의 대상 엔드포인트 주소에 저장된다. 이로써, 개인 사용자 데이터 센터는 재암호화 키를 사용하여 대칭 암호화 키 암호문을 재암호화하여 재암호화 암호문을 생성하여 저장한다. 이에 대응하여, 대상 제3자 플랫폼은 대상 엔드포인트 주소에 대한 권한을 승인받고, 대상 엔드포인트 주소에 따라 대상 암호화 claim 및 재암호화 암호문을 획득하고, 대상 제3자 플랫폼 개인 키에 기반하여 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하며, 대칭 암호화 암호화 키에 기반하여 대상 암호화 claim을 복호화하여 대상 claim을 획득한다.
본 실시예에서, claim이 없는 사용자는 권위 기관에 청구할 수 있다. 이에 대응하여, 권위 기관은 자신이 발행한 claim을 취소할 수도 있다. 구체적으로, DID 클라이언트는 권위 기관 등록 센터의 권위 기관의 서비스 정보에 따라, claim을 발행한 대상 권위 기관을 검색하고, 대상 권위 기관에 claim 청구 요청을 발송하여, 대상 권위 기관이 claim 청구 요청에 응답하여 발행한 대상 claim을 획득한다. 여기서, DID 클라이언트는 claim을 청구할 시, 대상 권위 기관에 주동적으로 개인 사용자 데이터 센터에서 대상 claim을 저장하기 위한 대상 엔드포인트 주소를 제공할 수 있거나, 대상 권위 기관에 의해 대상 엔드포인트 주소가 결정될 수도 있다. 이로써, 대상 권위 기관은 대상 claim을 생성한 후, 프록시 재암호화 메커니즘에 기반하여 대상 claim을 암호화하여 대상 엔드포인트 주소에 저장하고, 대상 엔드포인트 주소를 DID 클라이언트에 피드백한다. 따라서, DID 클라이언트는 대상 엔드포인트 주소에 따라, 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하여, 프록시 재암호화된 대상 claim을 획득하고; 대상 사용자 개인 키를 사용하여 프록시 재암호화된 대상 claim을 복호화하여 대상 claim을 획득한다.
여기서, 본 실시예의 디지털 신원 인증 시스템에서, 각 참여자들은 서로 인터랙션하기 전에 모두 상대방의 DID, 즉 디지털 신원을 검증해야 한다. 따라서, 대상 엔드포인트 주소에 따라, 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하기 전에, DID 클라이언트는 개인 사용자 데이터 센터에 대상 사용자 DID를 발송할 수 있다. 개인 사용자 데이터 센터는 블록체인 네트워크로부터 대상 사용자 DID와 관련된 DID 문서를 획득하고, DID 문서 내의 대상 사용자 공개 키를 사용하여 대상 사용자의 사용자 서명을 검증하여, 대상 사용자가 대상 사용자 DID의 소유자인지 여부를 검증한다.
단계 S230에서, 대상 사용자 DID 및 대상 클레임이 검증을 통과하면, 대상 사용자 DID를 사용하여 대상 제3자 플랫폼에 로그인한다.
본 출원의 구체적인 실시예에서, DID 클라이언트 또는 대상 제3자 플랫폼은 폴링하는 방식에 기반하여 대상 사용자 DID 및 대상 claim이 검증을 통과하는지 여부를 검출할 수 있다. DID 클라이언트가 대상 사용자 DID 및 대상 claim이 검증을 통과한 것을 검출하면, 대상 사용자 DID를 사용하여 대상 제3자 플랫폼에 로그인한다. 대상 제3자 플랫폼이 대상 사용자 DID 및 대상 claim이 검증을 통과한 것을 검출하면, 대상 사용자가 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정한다.
본 실시예의 기술적 해결수단에 있어서, 사용자는 DID 클라이언트를 실행하여 대상 제3자 플랫폼의 대상 로그인 정보를 획득할 수 있고, 또한 사용자는 대상 사용자 DID 계정을 사용하여, DID 클라이언트를 통해 대상 제3자 플랫폼에 로그인 요청을 발송하여, 대상 제3자 플랫폼이 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 claim을 획득하도록 권한 부여를 하여, 대상 제3자 플랫폼이 대상 사용자 DID 및 대상 claim에 대한 검증에 기반하여, 대상 사용자 DID를 사용하여 대상 제3자 플랫폼에 로그인할 수 있다. 본 출원의 실시예는 W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
제2 실시예
도 5는 본 출원의 제2 실시예에 따른 디지털 신원 인증 방법의 흐름도이고, 본 실시예는 상기 제1 실시예의 기초상에서, DID 클라이언트가 대상 제3자 플랫폼에 지정된 claim을 획득하도록 권한 부여하는 과정을 추가적으로 해석 및 설명하고, 블록체인 네트워크, 프록시 재암호화 기술 및 개인 사용자 센터의 보조 하에, 대상 제3자 플랫폼을 권한 부여하는 과정을 더 설명하고자 한다. 도 5에 도시된 바와 같이, 상기 방법은 구체적으로 하기와 같은 단계들을 포함한다.
단계 S510에서, 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 적어도 대상 제3자 플랫폼 DID를 포함하는 대상 로그인 정보를 획득한다.
단계 S520에서, 대상 로그인 정보에 따라, 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송한다.
단계 S530에서, 대상 제3자 플랫폼 DID에 따라, 블록체인 네트워크로부터 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득한다.
본 출원의 구체적인 실시예에서, DID 및 이와 연관된 DID 문서는 키 값 페어의 형태로 블록체인 네트워크에 저장된다. DID 클라이언트는 대상 로그인 정보를 획득한 후, 대상 제3자 플랫폼 DID에 따라, 블록체인 네트워크로부터 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득하여, DID 문서로부터 대상 제3자 플랫폼 공개 키를 획득함으로써, 데이터 공유 시 암호화에 사용될 수 있다.
단계 S540에서, 프록시 재암호화 메커니즘에 기반하여 대상 클레임을 암호화한다.
본 출원의 구체적인 실시예에서, 프록시 재암호화는 암호문 사이의 암호화 키 전환 메커니즘이고, 프록시 재암호화에서, 하나의 반신뢰성 대리인은 권한 부여자에 의해 생성된 전환 암호화 키를 대리하여, 권한 부여자의 공개 키를 사용하여 암호화한 암호문을 권한 부여자의 공개 키에 의해 암호화된 암호문으로 전환하여 데이터의 공유를 구현한다. 이러한 과정에서, 대리인은 데이터의 평문 정보를 획득할 수 없음으로써, 데이터 유출 위험을 감소시키고, 데이터 공유의 안전성을 향상시킨다.
본 실시예에서, DID 클라이언트는 프록시 재암호화 메커니즘에 기반하여, 대상 사용자 공개 키에 따라 대상 제3자 플랫폼 DID와 관련된 DID 문서로부터 대상 제3자 플랫폼 공개 키를 획득하여, 공유할 대상 claim을 우선 암호화한다.
선택적으로, AES 암호화 키를 사용하여 대상 claim을 암호화하여 대상 암호화 claim을 획득하고; 대상 사용자 공개 키를 사용하여 AES 암호화 키를 암호화함으로써 대칭 암호화 키 암호문을 획득하며; 대상 사용자 개인 키, 및 대상 제3자 플랫폼 DID와 관련된 DID 문서로부터 획득한 대상 제3자 플랫폼 공개 키에 따라, 재암호화 키를 산출하고; 개인 사용자 데이터 센터의 대상 엔드포인트 주소에 대상 암호화 claim, 대칭 암호화 키 암호문 및 재암호화 키를 저장하여, 개인 사용자 데이터 센터가 재암호화 키를 사용하여 대칭 암호화 키 암호문을 재암호함으로써 재암호화 암호문을 생성 및 저장하도록 제어한다.
본 실시예에서, DID 클라이언트는 암호화하여 생성된 대상 암호화 claim 및 재암호화 정보를 개인 사용자 데이터 센터에 발송하고, 개인 사용자 센터는 재암호화 정보에 따라 재암호화하며, 이러한 프록시 재암호화 정보를 대상 엔드포인트 주소에 저장하고, 대상 제3자 플랫폼이 개인 사용자 데이터 센터로부터 재암호화된 claim을 획득한 후, 복호화를 통해 대상 claim을 획득하도록 한다.
단계 S550에서, 대상 제3자 플랫폼에 개인 사용자 데이터 센터에서 대상 클레임이 저장된 대상 엔드포인트 주소를 발송하여, 대상 제3자 플랫폼이 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여, 대상 클레임을 획득하며, 대상 사용자 DID 및 대상 클레임을 검증하도록 권한 부여한다.
본 출원의 구체적인 실시예에서, 대상 엔드포인트 주소는 대상 제3자 플랫폼이 대상 claim을 획득하도록 권한 부여하기 위한 것이고, 대상 엔드포인트 주소의 발송은, 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 프록시 재암호화의 대상 claim을 획득하고, 대상 엔드포인트 주소에 따라 대상 암호화 claim 및 재암호화 암호문을 획득하며, 대상 제3자 플랫폼 개인 키에 기반하여 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하고, 대칭 암호화 암호화 키에 기반하여 대상 암호화 claim을 복호화하여 대상 claim을 획득하도록 트리커한다.
본 실시예에서, DID 클라이언트는 대상 로그인 정보를 획득한 후, 우선 대상 제3자 플랫폼 공개 키를 획득하여 대상 claim을 암호화하고, 나아가, 대상 제3자 플랫폼에 로그인 요청을 발송할 시, 대상 엔드포인트 주소를 대상 제3자 플랫폼에 동시에 발송하여 권한 부여한다. 대상 로그인 정보를 획득하여 대상 제3자 플랫폼에 로그인 요청을 발송한 후, 대상 제3자 플랫폼의 claim 획득 요청을 수신할 수도 있으며, 따라서 DID 클라이언트는 대상 제3자 플랫폼 공개 키를 다시 획득하여 대상 claim을 암호화하고, 대상 엔드포인트 주소를 대상 제3자 플랫폼에 리턴하여 권한 부여한다.
예시적으로, 도 6은 제3자 플랫폼이 claim을 획득하는 예시도이다. 도 6에 도시된 바와 같이, DID 클라이언트가 대상 제3자 플랫폼에 로그인 요청을 발송한 후, 대상 제3자 플랫폼은 DID 클라이언트에 claim 획득 요청을 발송한다. 이로써, DID 클라이언트는 블록체인 네트워크에 기반하여 대상 제3자 플랫폼의 DID 문서를 획득하고, 이로부터 대상 제3자 플랫폼 공개 키를 획득한다. 이로써, DID 클라이언트는 프록시 재암호화 메커니즘에 기반하여 대상 claim을 암호화하여 개인 사용자 데이터 센터의 대상 엔드포인트 주소에 저장한다. 대상 엔드포인트 주소를 대상 제3자 플랫폼에 리턴시켜, 대상 제3자 플랫폼이 개인 사용자 데이터 센터로부터 대상 claim을 복호화하여 획득하도록 지시한다.
단계 S560에서, 대상 사용자 DID 및 대상 클레임이 검증을 통과하면, 대상 사용자 DID를 사용하여 대상 제3자 플랫폼에 로그인한다.
예시적으로, 도 7은 DID 및 claim을 사용하여 제3자 플랫폼에 로그인하는 흐름도이다. 도 7에 도시된 바와 같이, DID 클라이언트는 대상 제3자 플랫폼의 QR코드를 스캔하여 로그인 정보를 획득하고 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송한다. 대상 제3자 플랫폼은 로그인 요청을 수신하여 대상 사용자 DID를 검증한 후, DID 클라이언트에 claim 획득 요청을 발송한다. 이로써, DID 클라이언트는 프록시 재암호화 메커니즘에 기반하여, 블록체인 네트워크로부터 획득한 대상 제3자 플랫폼 DID와 관련된 DID 문서(appDID 문서)를 통해, 대상 제3자 플랫폼 공개 키(appPubKey)를 획득하고; 대상 사용자 개인 키 및 대상 제3자 플랫폼 공개 키에 따라 재암호화 키 (K)를 산출하며; AES 암호화 키를 사용하여 claim을 암호화하여 대상 암호화 클레임(EncryptedClaim)을 획득하고; 대상 사용자 공개 키를 사용하여 AES 암호화 키를 암호화함으로써 대칭 암호화 키 암호문을 획득하며; 개인 사용자 데이터 센터에 발송하여, 개인 사용자 데이터 센터가 재암호화 키(K)를 사용하여 대칭 암호화 키 암호문을 암호화하여 재암호화 암호문(A)을 획득하도록 하고, 저장한 엔드포인트 주소(Endpoint)를 DID 클라이언트에 피드백한다. 아울러, 대상 제3자 플랫폼은 우선 랜덤으로 하나의 Nonce를 생성하여 저장할 수 있고, 대상 사용자 공개 키를 사용하여 Nonce를 암호화하여 암호문(cipherText)을 획득하여 DID 클라이언트에 피드백한다. 이에 대응하여, DID 클라이언트는 대상 사용자 개인 키(PrivKey)를 사용하여 암호문을 복호화하여 평문(plainText)을 획득한다. DID 클라이언트는 평문 및 엔드포인트 주소를 대상 제3자 플랫폼에 발송하여, 대상 제3자 플랫폼이 엔드포인트 주소에 따라 대상 암호화 클레임(EncryptedClaim) 및 재암호화 암호문(A)을 획득하도록 제어하고, 대상 제3자 플랫폼 개인 키(appPrivKey)에 기반하여 재암호화 암호문(A)를 복호화하여 대칭 암호화 암호화 키를 획득하며, 대칭 암호화 암호화 키에 기반하여 대상 암호화 클레임(EncryptedClaim)을 복호화하여 대상 claim을 획득한다. 이로써, 대상 제3자 플랫폼은 대상 사용자 DID, 대상 claim 및 평문(plaintext) 등 정보에 따라, 일련의 검증을 진행한다. 검증을 통과하면, 대상 제3자 플랫폼은 폴링을 통해 시도가 성공함을 인지하고, 대상 사용자 로그인 성공으로 결정한다.
본 실시예의 기술적 해결수단에서, 사용자는 DID 클라이언트를 실행하여 대상 제3자 플랫폼의 대상 로그인 정보를 획득하고, 대상 제3자 플랫폼에 로그인 요청을 발송하며, claim을 프록시 재암호화하고, 대상 제3자 플랫폼에 대상 엔드포인트 주소를 발송하여, 대상 제3자 플랫폼이 대상 사용자의 개인 사용자 데이터 센터로부터 프록시 재암호화된 claim을 획득함으로써, 대상 제3자 플랫폼에 기반하여 대상 사용자 DID 및 대상 claim을 검증하고, 대상 사용자 DID를 사용하여 대상 제3자 플랫폼에 로그인할 수 있다. 본 출원의 실시예는 W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
제3 실시예
도 8은 본 출원의 제3 실시예에 따른 claim을 청구하는 흐름도이고, 본 실시예는 상기 제1 실시예의 기초상에서, DID 클라이언트가 권위 기관에 claim을 청구하는 과정을 추가적으로 해석하고 설명하고, 권위 기관에 의한 발행을 통해 claim을 획득할 수 있다. 도 8에 도시된 바와 같이, 상기 방법은 구체적으로 하기와 같은 단계를 포함한다.
단계 S810에서, 권위 기관 등록 센터의 권위 기관의 서비스 정보에 따라, 클레임을 발행하는 대상 권위 기관을 검색한다.
본 출원의 구체적인 실시예에서, 권위 기관은 권위 기관 등록 센터에 미리 등록하여 서비스 정보를 권위 기관 등록 센터에 설정하여 발포하도록 한다. 서비스 정보는 서비스 엔드포인트 정보, 청구 가능한 claim 타입 및 청구자 필요 자료 등을 포함할 수 있다. 이에 대응하여, DID 클라이언트는 claim을 청구하기 전에, 권위 기관 등록 센터에서 필요한 claim을 발행할 수 있는 대상 권위 기관을 조회하여 획득할 수 있다.
단계 S820에서, 대상 권위 기관에 클레임 청구 요청을 발송하여, 대상 권위 기관이 대상 사용자의 대상 클레임을 생성하도록 제어한다.
본 출원의 구체적인 실시예에서, claim 청구 요청은 대상 사용자 서명 및 대상 사용자 DID를 포함할 수 있다. 대상 권위 기관은 DID 클라이언트로부터 발송된 claim 청구 요청을 수신한 후, 대상 사용자 DID에 따라 블록체인으로부터 대상 사용자 DID와 관련된 DID 문서를 획득할 수 있고, 이로부터 대상 사용자 공개 키를 획득하며, 대상 사용자 공개 키를 이용하여 대상 사용자 서명을 검증하여, 대상 사용자가 대상 사용자 DID의 소유자가 확실한지 여부를 검증한다. 이로써, 검증 후, 대상 사용자에 대해 대상 claim을 생성한다.
예시적으로, 도 9는 claim을 청구하는 개략도이다. 도 9에 도시된 바와 같이, 권위 기관은 권위 기관 등록 센터에 권위 기관 자체 및 하나의 관련된 서비스 엔드포인트를 등록하여, claim 청구자가 제공해야 하는 정보를 표명한다. DID 클라이언트는 권위 기관 등록 센터에서 claim을 제공할 수 있는 대상 권위 기관을 조회하고, 대상 권위 기관의 서비스 엔드포인트에 claim 청구 요청을 발송하여, 대상 사용자의 해당 청구 동작을 전역적으로 식별하기 위한 접수 ID를 획득한다.
단계 S830에서, 권위 기관이 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득한다.
본 출원의 구체적인 실시예에서, 도 10은 claim을 발행하는 개략도이다. 도 10에 도시된 바와 같이, 대상 권위 기관은 claim 청구를 접수한 후, 우선 claim 청구 요청 및 이에 포함된 정보를 검증한다. 구체적으로, 대상 권위 기관은 대상 사용자 서명을 검증할 수 있을 뿐만 아니라, 외부 플랫폼을 통해 청구에 포함된 정보를 검증할 수도 있으며, 정보가 본 권위 기관이 필요한 것인지 여부를 검증하고, 정보의 정확성을 검증한다. 여기서, 외부 플랫폼은 은행 또는 경찰청 등일 수 있다.
다음, 검증을 통과하면, 대상 권위 기관은 생성된 대상 claim을 대상 사용자의 개인 사용자 데이터 센터 내의 대상 엔드포인트 주소에 저장하고, 대상 엔드포인트 주소를 DID 클라이언트에 피드백하여, 대상 사용자가 방문하도록 권한 부여한다. 여기서, 대상 엔드포인트 주소는 대상 사용자 자신이 제공한 것일 수도 있고, 대상 사용자가 직접 대상 claim을 방문할 수 있도록, 권위 기관이 추후에 지정한 것일 수도 있다.
선택적으로, 권위 기관이 클레임 청구 요청에 응답하여 피드백한 대상 엔드포인트 주소를 수신하고; 여기서, 대상 엔드포인트 주소는 대상 사용자의 개인 사용자 데이터 센터에 위치하며, 대상 권위 기관에 의해 프록시 재암호화된 대상 클레임을 저장하기 위한 것이고; 대상 엔드포인트 주소에 따라, 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하여 프록시 재암호화된 대상 클레임을 획득하며; 대상 사용자 개인 키를 사용하여 프록시 재암호화된 대상 클레임을 복호화하여 대상 클레임을 획득한다. 예를 들어, DID 클라이언트는 접수 ID에 따라 대상 권위 기관에서 발행 결과를 조회하여 대상 엔드포인트 주소를 획득할 수 있다.
선택적으로, 대상 엔드포인트 주소에 따라, 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하기 전에, 개인 사용자 데이터 센터에 대상 사용자 DID를 발송하여, 개인 사용자 데이터 센터가 블록체인 네트워크로부터 대상 사용자 DID와 관련된 DID 문서를 획득하도록 하고, DID 문서 중의 대상 사용자 공개 키를 사용하여 대상 사용자의 서명을 검증하여, 대상 사용자가 대상 사용자 DID의 소유자인지 여부를 검증한다. 최종적으로, DID 클라이언트는 대상 사용자 DID를 개인 사용자 데이터 센터에 발송하여, 개인 사용자 데이터 센터가 대상 사용자 DID를 검증하도록 제공하고, 검증을 통과하면, DID 클라이언트는 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하여 대상 권위 기관에 의해 발행된 대상 claim을 획득한다.
여기서, 대상 권위 기관은 생성된 대상 cliam을 개인 사용자 데이터 센터에 저장하기 전에, 마찬가지로 프록시 재암호화 메커니즘에 기반하여 대상 cliam을 프록시 재암호화할 수 있다. 이에 대응하여, DID 클라이언트는 프록시 재암호화된 대상 claim을 획득한 후 복호화하여 대상 claim을 획득한다. 이로써, 데이터 공유의 안전성을 확보한다.
이 밖에, 권위 기관은 자신이 발행한 claim을 취소할 수 있고, claim 취소 정보를 모두가 방문할 수 있는 하나의 공공 주소와 같은 취소 리스트에 저장하며, 상기 취소 리스트는 권위 기관의 개인 취소 서비스 엔드포인트에 저장된다. 구체적으로, 도 11은 claim을 취소하는 개략도이다. 도 11에 도시된 바와 같이, 권위 기관은 취소 리스트 주소를 대응되는 claim에 기록할 수 있고, 이에 대응하여, DID 클라이언트는 대상 claim으로부터 취소 리스트 주소를 획득할 수 있으며; 대상 claim을 발행한 권위 기관의 개인 취소 서비스 엔드포인트로부터 취소 리스트 주소를 방문하여 취소 리스트를 획득하고; 취소 리스트에 따라 대상 claim의 취소 상태를 조회한다.
본 실시예의 기술적 해결수단에서, 태스크 요구에 기반하여, 사용자는 DID 클라이언트를 통해 대응되는 권위 기관에 claim의 획득을 청구할 수 있고, 권위 기관의 발행을 통해 claim을 획득하여, 사용자가 claim을 통해 제3자 플랫폼의 로그인을 진행하도록 한다.
제4 실시예
도 12는 본 출원의 제4 실시예에 따른 디지털 신원 인증 방법의 흐름도이고, 본 실시예는 분산 신원 인증(DID) 클라이언트를 통해 제3자 플랫폼과 인터랙션하고, DID 및 claim에 대한 검증에 기반하여, 사용자가 DID를 사용하여 제3자 플랫폼에 로그인하도록 하는 경우에 적용될 수 있으며, 상기 방법은 제3자 플랫폼에 의해 수행될 수 있고, 디지털 신원 인증 장치에 의해 수행될 수 있으며, 상기 장치는 소프트웨어 및/또는 하드웨어의 방식으로 구현되며, 바람직하게 전자 기기에 구현되는데, 예를 들어, 제3자 플랫폼의 백 엔드 서버에 구현된다. 도 12에 도시된 바와 같이, 상기 방법은 구체적으로 하기와 같은 단계들을 포함한다.
단계 S1210에서, 대상 분산 신원 인증(DID) 클라이언트로부터 발송된, 대상 사용자 DID를 포함하는 로그인 요청에 응답하여, 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 클레임을 획득한다.
본 출원의 구체적인 실시예에서, 로그인 요청은 제3자 플랫폼이 로그인하고자 하는 대상 사용자에 대해 디지털 신원 인증을 진행하도록 트리거하기 위한 것이다. 로그인 요청은 대상 사용자 DID, loginID, 사용자 서명 등 정보를 포함할 수 있다. 이에 대응하여, 대상 제3자 플랫폼은 liginID에 따라 대상 사용자의 일련의 로그인 동작을 연관시킬 수 있고, 또한 대상 사용자 DID에 따라 블록체인 네트워크로부터 대상 사용자 DID와 관련된 DID 문서를 획득하여, DID 문서로부터 대상 사용자 공개 키를 획득할 수 있으며, 대상 사용자 공개 키를 사용하여 사용자 서명을 검증하여, 대상 사용자가 대상 사용자 DID의 진실된 소유자인지 여부를 검증함으로써, 디지털 신원의 도용 또는 위조를 방지한다.
본 실시예에서, 대상 사용자의 대상 claim은 모두 자체의 개인 사용자 데이터 센터에 저장되므로, 제3자 플랫폼은 대상 분산 신원 인증(DID) 클라이언트(대상 DID 클라이언트)의 권한 승인을 받은 후, 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 claim을 획득할 수 있다.
구체적으로, 제3자 플랫폼에 대한 대상 DID 클라이언트의 권한 부여 결과에 따라, 대상 claim이 저장된 대상 엔드포인트 주소를 획득하고; 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 대상 claim을 획득한다. 여기서, 대상 암호화 claim 및 재암호화 암호문은 프록시 재암호화 메커니즘을 기반으로 암호화하여 생성된 것이다. 따라서, 제3자 플랫폼은 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 대상 암호화 claim 및 재암호화 암호문을 획득할 수 있고; 제3자 플랫폼 개인 키를 사용하여 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하며; 대칭 암호화 암호화 키를 사용하여 대상 암호화 claim을 복호화하여 대상 claim을 획득한다.
단계 S1220에서, 대상 사용자 DID 및 대상 클레임을 검증한다.
본 출원의 구체적인 실시예에서, 대상 사용자 DID에 대한 검증은 현재 사용자가 대상 사용자 DID의 진실된 소유자인지 여부를 검증하여 디지털 신원의 도용 또는 위조를 방지하기 위한 것이다. 대상 claim에 대한 검증은 현재 사용자가 권한이 있는지 여부, 또는 유효한 권위 기관에 의해 인증된 것인지 여부, 제3자 플랫폼에 로그인하는 권한이 있는지 여부를 검증하기 위한 것이다.
구체적으로, 대상 사용자의 사용자 서명에 따라, 대상 사용자가 대상 사용자 DID의 소유자인지 여부를 검증한다. 즉 대상 사용자 DID에 따라, 블록체인 네트워크로부터 대상 사용자 DID와 관련된 DID 문서를 획득하고; 대상 사용자 DID와 관련된 DID 문서 중의 대상 사용자 공개 키에 따라, 대상 사용자의 사용자 서명을 검증하여, 대상 사용자가 대상 사용자 DID의 소유자인지 여부를 검증한다. 대상 사용자 DID가 검증을 통과하면, 대상 claim의 소속 발행 권위 기관, claim 타입, 유효 기간 및 취소 상태 중 적어도 하나에 따라, 대상 claim을 검증한다.
단계 S1230에서, 대상 사용자 DID 및 대상 클레임이 검증을 통과하면, 대상 사용자가 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정한다.
본 실시예의 기술적 해결수단에서, 제3자 플랫폼은 대상 DID 클라이언트로부터 발송된 로그인 요청을 수신한 후, 대상 DID 클라이언트에 따라 권한 부여할 수 있고, 대상 사용자의 개인 사용자 데이터 센터로부터 대상 사용자의 대상 claim을 획득하며, 대상 사용자 DID 및 대상 claim을 검증하고, 검증 통과를 확인하면, 대상 사용자가 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정할 수 있다. 본 출원의 실시예는 W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
제5 실시예
도 13은 본 출원의 제5 실시예에 따른 디지털 신원 인증 방법의 흐름도이고, 본 실시예는 상기 제1 실시예의 기초상에서, claim을 획득하여 검증하는 과정을 추가적으로 해석하고 설명하고, 대상 DID 클라이언트에 의해 제공된 대상 엔드포인트 주소에 따라 대상 claim을 획득하여 검증하는 과정을 설명한다. 도 13에 도시된 바와 같이, 상기 방법은 구체적으로 하기와 같은 단계들을 포함한다.
단계 S1310에서, 대상 DID 클라이언트로부터 발송된 대상 사용자 DID를 포함하는 로그인 요청에 응답하여, 제3자 플랫폼에 대한 대상 DID 클라이언트의 권한 부여 결과에 따라, 대상 클레임이 저장된 대상 엔드포인트 주소를 획득한다.
본 출원의 구체적인 실시예에서, 제3자 플랫폼은 대상 DID 클라이언트로부터 발송된 로그인 요청을 수신한 후, 대상 DID 클라이언트에 claim 획득 요청을 발송하여, 대상 claim을 획득하도록 대상 DID 클라이언트에 권한 부여를 요청할 수 있다. 여기서, 대상 DID 클라이언트가 대상 엔드포인트 주소를 피드백하면, 대상 DID 클라이언트의 권한 부여를 획득한 것으로 간주할 수 있다. 대상 엔드포인트 주소는 개인 사용자 데이터 센터에 위치하고, 대상 사용자의 DID, claim 및 관련 정보를 저장하기 위한 것이다.
단계 S1320에서, 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 대상 클레임을 획득한다.
본 출원의 구체적인 실시예에서, 제3자 플랫폼은 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하고, 대상 엔드포인트로부터 지정된 대상 claim을 획득할 수 있다. 여기서, 데이터 공유의 안전성을 고려하여, 대상 엔드포인트 내의 대상 claim은 대상 DID 클라이언트가 재암호화 메커니즘을 기반으로 암호화하여 획득한 것일 수 있고, 제3자 플랫폼은 이를 획득한 후, 복호화를 통해 진정한 대상 claim을 획득할 수 있다.
선택적으로, 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 대상 암호화 claim 및 재암호화 암호문을 획득하고; 여기서, 대상 암호화 claim 및 재암호화 암호문은 프록시 재암호화 메커니즘을 기반으로 암호화하여 생성된 것이며; 제3자 플랫폼 개인 키를 사용하여 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하고; 대칭 암호화 암호화 키를 사용하여 대상 암호화 claim을 복호화하여 대상 claim을 획득한다.
단계 S1330에서, 대상 사용자의 사용자 서명에 따라, 대상 사용자가 대상 사용자 DID의 소유자인지 여부를 검증한다.
본 출원의 구체적인 실시예에서, 로그인 요청은 대상 사용자의 사용자 서명을 더 포함하여, 제3자 플랫폼이 대상 사용자 DID를 검증하도록 할 수 있다. 선택적으로, 대상 사용자 DID에 따라, 블록체인 네트워크로부터 대상 사용자 DID와 관련된 DID 문서를 획득하고; 대상 사용자 DID와 관련된 DID 문서 중의 대상 사용자 공개 키에 따라, 대상 사용자의 사용자 서명을 검증하여, 대상 사용자가 대상 사용자 DID의 소유자인지 여부를 검증한다.
단계 S1340에서, 대상 사용자 DID가 검증을 통과하면, 대상 클레임의 소속 발행 권위 기관, 클레임 타입, 유효 기간 및 취소 상태 중 적어도 하나에 따라, 대상 클레임을 검증한다.
본 출원의 구체적인 실시예에서, 대상 claim의 소속 발행 권위 기관의 관련 정보, claim 타입, 유효 기간 등 정보는 DID 문서에 저장될 수 있다. 이에 대응하여, 제3자 플랫폼은 대상 claim이 속한 발행 권위 기관을 획득하여, 신뢰할 수 있는 권위 기관인지 여부를 검증하고; claim 타입에 따라 대상 claim이 본 제3자 플랫폼 로그인에 필요한 claim인지 여부를 검증하며; 유효 기간에 따라 대상 claim이 현재 유한 사용기한 내에 속하는지 여부를 검증하고; 대상 claim으로부터 취소 리스트 주소를 획득할 수도 있으며, 소속 발행 권위 기관의 개인 취소 서비스 센터의 취소 리스트 주소를 방문하여 취소 리스트를 획득함으로써, 대상 claim의 취소 상태를 조회할 수 있다. Claim의 모든 관련 정보가 모두 검증을 통과한 후여야만 대상 claim이 검증을 통과한 것으로 결정할 수 있음을 이해할 수 있다.
예시적으로, 도 14는 claim을 검증하는 개략도이다. 도 14에 도시된 바와 같이, 권위 기관은 claim의 발행 및 취소를 제어하고, 취소 리스트 주소를 claim에 라이팅한다. DID 클라이언트는 claim을 청구하여 획득한 후, 제3자 플랫폼에 로그인할 것을 요청하는 과정에서, 제3자 플랫폼을 권한 부여하여, 제3자 플랫폼이 claim을 획득하도록 한다. 이로써, 제3자 플랫폼은 대상 사용자 DID에 따라 블록체인 네트워크로부터 대상 사용자 DID와 관련된 DID 문서를 획득하고, DID 문서 중의 정보에 기반하여 claim을 검증한다. 동시에 제3자 플랫폼은 권위 기관의 개인 취소 서비스 엔드포인트로부터 claim의 취소 상태를 조회할 수도 있다.
단계 S1350에서, 대상 사용자 DID 및 대상 클레임이 검증을 통과하면, 대상 사용자가 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정한다.
본 출원의 구체적인 실시예에서, 대상 사용자 DID의 진실성이 검증을 통과하고, 또한 대상 claim이 속한 발행 기관이 신뢰할 수 있는 기관이며, 대상 claim이 로그인에 필요한 claim 타입이고, 대상 claim이 유효 기간 내에 취소되지 않았을 경우, 대상 사용자 DID 및 대상 claim이 검증을 통과한 것으로 결정함으로써, 대상 사용자가 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정한다. 여기서, claim에 대한 검증은 상기 예시에 한정되지 않고, 임의의 검증 방식은 모두 본 실시예에 적용될 수 있다,
본 실시예의 기술적 해결수단에서, 제3자 플랫폼은 대상 DID 클라이언트로부터 발송된 로그인 요청을 수신한 후, 대상 DID 클라이언트의 권한 부여에 따라 대상 엔드포인트 주소를 획득할 수 있고, 대상 사용자의 개인 사용자 데이터 센터의 대상 엔드포인트로부터 대상 사용자의 대상 claim을 획득하며, 대상 사용자 DID를 검증하고, 대상 claim이 속한 발행 권위 기관, claim 타입, 유효 기간 및 취소 상태 중 적어도 하나에 따라 대상 claim을 검증하며, 검증을 통과한 것으로 결정하면, 대상 사용자가 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정할 수 있다. 본 출원의 실시예는 W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
제6 실시예
도 15는 본 출원의 제6 실시예에 따른 디지털 신원 인증 장치의 구성 개략도이고, 본 실시예는 분산 신원 인증(DID) 클라이언트를 통해 제3자 플랫폼과 인터랙션하고, DID 및 claim에 대한 검증에 기반하여, 사용자가 DID를 사용하여 제3자 플랫폼에 로그인하도록 하는 경우에 적용될 수 있으며, 상기 장치는 DID 클라이언트에 구현될 수 있고, 본 출원의 임의의 실시예에 따른 디지털 신원 인증 방법을 구현할 수 있다. 상기 장치(1500)는 구체적으로,
대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 로그인 정보 획득 모듈(1510);
상기 대상 로그인 정보에 따라, 상기 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하고 상기 대상 사용자 DID 및 상기 대상 클레임을 검증하도록 권한 부여하는 클레임 권한 부여 모듈(1520); 및
상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자 DID를 사용하여 상기 대상 제3자 플랫폼에 로그인하는 플랫폼 로그인 모듈(1530)을 포함한다.
선택적으로, 상기 로그인 정보 획득 모듈(1510)은 구체적으로,
상기 대상 제3자 플랫폼에 대한 상기 대상 사용자의 로그인 동작에 응답하여, 적어도 대상 제3자 플랫폼 DID를 포함하는 대상 로그인 정보를 획득하여, 상기 대상 제3자 플랫폼 DID에 따라, 블록체인 네트워크로부터 상기 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득한다.
선택적으로, 상기 클레임 권한 부여 모듈(1520)은 구체적으로,
상기 대상 제3자 플랫폼에 상기 개인 사용자 데이터 센터에서 대상 클레임이 저장된 대상 엔드포인트 주소를 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득하도록 권한 부여한다.
또한, 상기 장치(1500)는 암호화 모듈(1540)을 더 포함하고, 이는 구체적으로,
상기 대상 제3자 플랫폼에 상기 개인 사용자 데이터 센터에서 대상 클레임이 저장된 대상 엔드포인트 주소를 발송하기 전에, 프록시 재암호화 메커니즘에 기반하여 상기 대상 클레임을 암호화한다.
선택적으로, 상기 암호화 모듈(1540)은 구체적으로,
고급 암호화 표준 (AES) 암호화 키를 사용하여 상기 대상 클레임을 암호화하여 대상 암호화 클레임을 획득하고;
대상 사용자 공개 키를 사용하여 상기 AES 암호화 키를 암호화함으로써 대칭 암호화 키 암호문을 획득하며;
대상 사용자 개인 키, 및 대상 제3자 플랫폼 DID와 관련된 DID 문서로부터 획득한 대상 제3자 플랫폼 공개 키에 따라, 재암호화 키를 산출하고;
상기 개인 사용자 데이터 센터의 대상 엔드포인트 주소에 상기 대상 암호화 클레임, 상기 대칭 암호화 키 암호문 및 상기 재암호화 키를 저장하여, 상기 개인 사용자 데이터 센터가 상기 재암호화 키를 사용하여 상기 대칭 암호화 키 암호문을 재암호화함으로써 재암호화 암호문을 생성 및 저장하도록 제어한다.
선택적으로, 상기 대상 엔드포인트 주소는, 상기 대상 제3자 플랫폼이 상기 대상 엔드포인트 주소에 따라 상기 대상 암호화 클레임 및 상기 재암호화 암호문을 획득하고, 대상 제3자 플랫폼 개인 키에 기반하여 상기 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하며, 상기 대칭 암호화 암호화 키에 기반하여 상기 대상 암호화 클레임을 복호화하여 상기 대상 클레임을 획득하기 위한 것이다.
또한, 상기 장치(1500)는 클레임 청구 모듈(1550)을 더 포함하고, 이는 구체적으로,
상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하기 전에, 권위 기관 등록 센터의 권위 기관의 서비스 정보에 따라, 클레임을 발행하는 대상 권위 기관을 검색하고;
상기 대상 권위 기관에 클레임 청구 요청을 발송하여, 상기 권위 기관이 상기 대상 사용자의 대상 클레임을 생성하도록 제어하며;
상기 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득한다.
선택적으로, 상기 클레임 청구 모듈(1550)은 구체적으로,
상기 권위 기관이 상기 클레임 청구 요청에 응답하여 피드백한 대상 엔드포인트 주소를 수신하고; 여기서, 상기 대상 엔드포인트 주소는 상기 대상 사용자의 개인 사용자 데이터 센터에 위치하며, 상기 대상 권위 기관에 의해 프록시 재암호화된 대상 클레임을 저장하기 위한 것이고;
상기 대상 엔드포인트 주소에 따라, 상기 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하여 프록시 재암호화된 대상 클레임을 획득하며;
대상 사용자 개인 키를 사용하여 상기 프록시 재암호화된 대상 클레임을 복호화하여 상기 대상 클레임을 획득한다.
선택적으로, 상기 클레임 청구 모듈(1550)은 구체적으로,
상기 대상 엔드포인트 주소에 따라, 상기 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하기 전에, 상기 개인 사용자 데이터 센터에 상기 대상 사용자 DID를 발송하여, 상기 개인 사용자 데이터 센터가 블록체인 네트워크로부터 상기 대상 사용자 DID와 관련된 DID 문서를 획득하도록 하고, 상기 DID 문서 중의 대상 사용자 공개 키를 사용하여 상기 대상 사용자의 서명을 검증하여, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증한다.
또한, 상기 장치(1500)는 취소 조회 모듈(1560)을 더 포함하고, 이는 구체적으로,
상기 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득한 후에, 상기 대상 클레임으로부터 취소 리스트 주소를 획득하고;
상기 대상 클레임을 발행한 권위 기관의 개인 취소 서비스 엔드포인트로부터, 상기 취소 리스트 주소를 방문하여 취소 리스트를 획득하며;
상기 취소 리스트에 따라 상기 대상 클레임의 취소 상태를 조회한다.
또한, 상기 장치(1500)는 DID 생성 모듈(1570)을 더 포함하고, 이는 구체적으로,
상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하기 전에, 대상 사용자의 DID 생성 요청에 응답하여, 상기 대상 사용자에 대해 대상 사용자 DID 및 적어도 한 쌍의 공개/개인 키 페어를 생성한다.
본 실시예의 기술적 해결수단에서, 각 기능 모듈 사이의 상호 조합을 통해 DID의 생성, claim의 청구, 로그인 정보의 획득, claim의 암호화 및 복호화, 제3자 플랫폼의 권한 부여, 플랫폼의 로그인 및 취소 상태 조회 등 기능을 구현한다. 본 출원의 실시예는 W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
제7 실시예
도 16은 본 출원의 제7 실시예에 따른 디지털 신원 인증 장치의 구성 개략도이고, 본 실시예는 분산 신원 인증(DID) 클라이언트를 통해 제3자 플랫폼과 인터랙션하고, DID 및 claim에 대한 검증에 기반하여, 사용자가 DID를 사용하여 제3자 플랫폼에 로그인하도록 하는 경우에 적용될 수 있으며, 상기 장치는 제3자 플랫폼에 구성될 수 있고, 본 출원의 임의의 실시예에 따른 디지털 신원 인증 방법을 구현할 수 있다. 상기 장치(1600)는 구체적으로,
대상 분산 신원 인증(DID) 클라이언트로부터 발송된, 대상 사용자 DID를 포함하는 로그인 요청에 응답하여, 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하는 클레임 획득 모듈(1610);
상기 대상 사용자 DID 및 상기 대상 클레임을 검증하는 클레임 검증 모듈(1620); 및
상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자가 상기 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정하는 사용자 로그인 모듈(1630)을 포함한다.
선택적으로, 상기 클레임 획득 모듈(1610)은 구체적으로,
제3자 플랫폼에 대한 상기 대상 DID 클라이언트의 권한 부여 결과에 따라, 상기 대상 클레임이 저장된 대상 엔드포인트 주소를 획득하고;
상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득한다.
선택적으로, 상기 클레임 획득 모듈(1610)은 구체적으로,
상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 대상 암호화 클레임 및 재암호화 암호문을 획득하고; 여기서, 상기 대상 암호화 클레임 및 상기 재암호화 암호문은 프록시 재암호화 메커니즘을 기반으로 암호화하여 생성된 것이며;
제3자 플랫폼 개인 키를 사용하여 상기 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하고;
상기 대칭 암호화 암호화 키를 사용하여 상기 대상 암호화 클레임을 복호화하여 대상 클레임을 획득한다.
선택적으로, 상기 클레임 검증 모듈(1620)은 구체적으로,
상기 대상 사용자의 사용자 서명에 따라, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하고;
검증을 통과하면, 상기 대상 클레임의 소속 발행 권위 기관, 클레임 타입, 유효 기간 및 취소 상태 중 적어도 하나에 따라, 상기 대상 클레임을 검증한다.
선택적으로, 상기 클레임 검증 모듈(1620)은 구체적으로,
상기 대상 사용자 DID에 따라, 블록체인 네트워크로부터 상기 대상 사용자 DID와 관련된 DID 문서를 획득하고;
상기 대상 사용자 DID와 관련된 DID 문서 중의 대상 사용자 공개 키에 따라, 상기 대상 사용자의 사용자 서명을 검증하여, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증한다.
본 실시예의 기술적 해결수단에서, 각 기능 모듈 사이의 상호 조합을 통해 claim의 획득, claim의 복호화, DID의 검증, claim의 검증 및 사용자의 로그인 등 기능을 구현한다. 본 출원의 실시예는 W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
제8 실시예
본 출원의 실시예에 따르면, 본 출원은 전자 기기 및 판독 가능한 저장 매체를 더 제공한다.
도 17에 도시된 바와 같이, 본 출원의 실시예에 따른 디지털 신원 인증 방법의 전자 기기의 블록도이다. 전자 기기는 랩톱 컴퓨터, 데스크톱 컴퓨터, 운영 플랫폼, 개인 정보 단말기, 서버, 블레이드 서버, 대형 컴퓨터, 및 기타 적합한 컴퓨터와 같은 다양한 형태의 디지털 컴퓨터를 의미한다. 전자 기기는 개인 디지털 처리, 셀룰러폰, 스마트폰, 웨어러블 기기 및 다른 유사한 컴퓨팅 장치와 같은 다양한 형태의 이동 장치를 의미할 수도 있다. 본 명세서에서 나타낸 부재, 이들의 연결과 관계, 및 이들의 기능은 단지 예시적인 것으로, 본 명세서에서 설명 및/또는 요구된 본 출원의 구현을 한정하지 않는다.
도 17에 도시된 바와 같이, 상기 전자 기기는 하나 또는 다수의 프로세서(1701), 메모리(1702), 및 고속 인터페이스 및 저속 인터페이스를 포함하는 각 부재를 연결하기 위한 인터페이스를 포함한다. 각 부재는 상이한 버스를 이용하여 서로 연결되고, 공통 메인보드에 장착될 수 있거나 필요에 따라 다른 방식으로 장착될 수 있다. 프로세서는, 메모리에 저장되거나 메모리에서 외부 입력/출력 장치, 예를 들어, 인터페이스에 커플링된 표시 기기에 GUI의 그래픽 정보를 표시하는 명령을 포함하는 전자 기기 내에서 실행되는 명령을 처리할 수 있다. 다른 실시형태에서, 필요에 따라 다수의 프로세서 및/또는 다수의 버스를 다수의 메모리와 함께 사용할 수 있다. 마찬가지로, 다수의 전자 기기를 연결할 수 있고, 각 기기는 예를 들어 서버 어레이, 한 그룹의 블레이드 서버, 또는 다중프로세서 시스템으로서 일부 필요한 동작을 제공한다. 도 17에서 하나의 프로세서(1701)를 예로 든다.
메모리(1702)는 본 출원에 의해 제공되는 비일시적 컴퓨터 판독 가능한 저장 매체이다. 여기서, 상기 메모리에 적어도 하나의 프로세서에 의해 실행 가능한 명령어가 저장되어, 상기 적어도 하나의 프로세서가 본 출원에 의해 제공되는 디지털 신원 인증 방법을 수행하도록 한다. 본 출원의 비일시적 컴퓨터 판독 가능한 저장 매체에 컴퓨터 명령어가 저장되고, 상기 컴퓨터 명령어는 컴퓨터가 본 출원에 의해 제공되는 디지털 신원 인증 방법을 수행하도록 한다.
메모리(1702)는 비일시적 컴퓨터 판독 가능한 저장 매체로서, 비일시적 소프트웨어 프로그램, 비일시적 컴퓨터 실행 가능한 프로그램, 및 본 출원의 실시예의 디지털 신원 인증 방법에 대응되는 프로그램 명령/모듈, 예를 들어, 도 15에 도시된 로그인 정보 획득 모듈(1510), 클레임 권한 부여 모듈(1520), 플랫폼 로그인 모듈(1530), 암호화 모듈(1540), 클레임 청구 모듈(1550), 취소 조회 모듈(1560) 및 DID 생성 모듈(1570), 및 도 16에 도시된 클레임 획득 모듈(1610), 클레임 검증 모듈(1620) 및 사용자 로그인 모듈(1630)과 같은 모듈을 저장할 수 있다. 프로세서(1701)는 메모리(1702)에 저장된 비일시적 소프트웨어 프로그램, 명령 및 모듈을 실행함으로써, 서버의 다양한 기능 애플리케이션 및 데이터 처리를 수행하는데, 즉 상기 방법 실시예의 디지털 신원 인증 방법을 구현한다.
메모리(1702)는 프로그램 저장 영역 및 데이터 저장 영역을 포함할 수 있고, 여기서, 프로그램 저장 영역은 운영 체제, 적어도 하나의 기능에 필요한 응용 프로그램을 저장할 수 있으며; 데이터 저장 영역은 비디오 검색 전자 기기의 사용에 따라 생성된 데이터 등을 저장할 수 있다. 이 밖에, 메모리(1702)는 고속 랜덤 액세스 메모리를 포함할 수 있고, 적어도 하나의 자기 디스크 메모리, 플래시 메모리, 또는 다른 비일시적 고체 상태 메모리와 같은 비일시적 메모리를 더 포함할 수 있다. 일부 실시예에서, 메모리(1702)는 프로세서(1701)에 대해 원격으로 설치된 메모리를 선택적으로 포함할 수 있고, 이러한 원격 메모리는 네트워크를 통해 디지털 신원 인증 방법의 전자 기기에 연결될 수 있다. 상기 네트워크의 구현예로 인터넷, 인트라넷, 근거리 통신망, 이동 통신망 및 이들의 조합을 포함하지만 이에 한정되지 않는다.
디지털 신원 인증 방법의 전자 기기는 입력 장치(1703) 및 출력 장치(1704)를 더 포함할 수 있다. 프로세서(1701), 메모리(1702), 입력 장치(1703) 및 출력 장치(1704)는 버스 또는 다른 방식을 통해 연결될 수 있고, 도 17에서 버스를 통해 연결되는 것을 예로 든다.
입력 장치(1703)는 입력된 디지털 또는 문자 정보를 수신할 수 있고, 디지털 신원 인증 방법의 전자 기기의 사용자 설정 및 기능 제어와 관련된 키 신호 입력을 발생할 수 있으며, 상기 입력 장치는 예를 들어 터치스크린, 키패드, 마우스, 트랙 패널, 터치 패널, 지시 바, 하나 또는 다수의 마우스 버튼, 트랙 볼, 조이스틱 등 입력 장치이다. 출력 장치(1704)는 표시 기기, 보조 조명 장치 및 촉각 피드백 장치 등을 포함할 수 있고, 상기 보조 조명 장치는 예를 들어 발광 다이오드(Light Emitting Diode, LED)이며; 촉각 피드백 장치는 예를 들어 진동 모터 등이다. 상기 표시 기기는 액정 표시 장치(Liquid Crystal Display, LCD), LED 표시 장치 및 플라스마 표시 장치를 포함할 수 있지만 이들로 한정되지 않는다. 일부 실시형태에서, 표시 기기는 터치스크린일 수 있다.
여기서 설명된 시스템 및 기술의 다양한 실시형태는 디지털 전자 회로 시스템, 집적 회로 시스템, 전용 집적 회로(Application Specific Integrated Circuit, ASIC), 컴퓨터 하드웨어, 펌웨어, 소프트웨어, 및/또는 이들의 조합에서 구현될 수 있다. 이러한 다양한 실시형태는 하나 또는 다수의 컴퓨터 프로그램에서의 구현을 포함할 수 있고, 상기 하나 또는 다수의 컴퓨터 프로그램은 적어도 하나의 프로그램 가능 프로세서를 포함하는 프로그램 가능 시스템에서 실행 및/또는 해석될 수 있으며, 상기 프로그램 가능 프로세서는 전용 또는 범용 프로그램 가능 프로세서일 수 있고, 저장 시스템, 적어도 하나의 입력 장치, 및 적어도 하나의 출력 장치로부터 데이터 및 명령을 수신할 수 있으며, 데이터 및 명령을 상기 저장 시스템, 상기 적어도 하나의 입력 장치, 및 상기 적어도 하나의 출력 장치에 전송할 수 있다.
이러한 컴퓨팅 프로그램은 프로그램, 소프트웨어, 소프트웨어 애플리케이션, 또는 코드라고도 하는데, 프로그램 가능 프로세서의 기계 명령을 포함하고, 하이레벨 프로세스 및/또는 객체에 대한 프로그래밍 언어, 및/또는 어셈블리/기계 언어를 이용하여 이러한 컴퓨팅 프로그램을 실행할 수 있다. 본 명세서에서 사용된 바와 같이, 용어 "기계 판독 가능한 매체" 및 "컴퓨터 판독 가능한 매체"는 기계 명령 및/또는 데이터를 프로그램 가능 프로세서에 제공하기 위한 임의의 컴퓨터 프로그램 제품, 기기, 및/또는 장치, 예를 들어, 자기 디스크, 광 디스크, 메모리, 프로그램 가능 로직 장치(Programmable Logic Device, PLD)를 의미하고, 기계 판독 가능한 신호인 기계 명령을 수신하는 기계 판독 가능한 매체를 포함한다. 용어 "기계 판독 가능한 신호"는 기계 명령 및/또는 데이터를 프로그램 가능 프로세서에 제공하기 위한 임의의 신호를 의미한다.
사용자와의 인터랙션을 제공하기 위하여, 컴퓨터에서 여기서 설명된 시스템 및 기술을 실시할 수 있고, 상기 컴퓨터는 사용자에게 정보를 표시하기 위한 예를 들어 음극선관(Cathode Ray Tube, CRT) 또는 LCD 모니터와 같은 표시 장치; 및 키보드 및 예를 들어 마우스 또는 트랙 볼과 같은 지향 장치를 구비하며, 사용자는 상기 키보드 및 상기 지향 장치를 통해 컴퓨터에 입력을 제공한다. 다른 타입의 장치는 또한 사용자와의 인터랙션을 제공할 수 있는데, 예를 들어, 사용자에게 제공된 피드백은 예를 들어 시각 피드백, 청각 피드백, 또는 촉각 피드백과 같은 임의의 형태의 감지 피드백일 수 있고; 소리 입력, 음성 입력, 또는 촉각 입력을 포함한 임의의 형태로 사용자로부터의 입력을 수신할 수 있다.
여기서 설명된 시스템 및 기술을 백그라운드 부재를 포함하는 컴퓨팅 시스템, 예를 들어, 데이터 서버, 또는 미들웨어 부재를 포함하는 컴퓨팅 시스템, 예를 들어, 응용 서버, 또는 프론트 엔드 부재를 포함하는 컴퓨팅 시스템, 예를 들어, 그래픽 사용자 인터페이스 또는 웹 브라우저를 구비하는 사용자 컴퓨터에서 실시할 수 있고, 사용자는 상기 그래픽 사용자 인터페이스 또는 웹 브라우저를 통해 여기서 설명된 시스템 및 기술의 실시형태와 인터랙션할 수 있거나, 또는 이러한 백그라운드 부재, 미들웨어 부재, 또는 프론트 엔드 부재의 임의의 조합을 포함하는 컴퓨팅 시스템에서 실시할 수 있다. 임의의 형태 또는 매체의 디지털 데이터 통신, 예를 들어, 통신 네트워크를 통해 시스템의 부재를 서로 연결시킬 수 있다. 통신 네트워크의 예시로 근거리 통신망(Local Area Network: LAN), 광역 통신망(Wide Area Network: WAN), 인터넷, 블록체인 네트워크를 포함한다.
컴퓨터 시스템은 클라이언트 및 서버를 포함할 수 있다. 클라이언트 및 서버는 일반적으로 서로 멀리 떨어져 있고 일반적으로 통신 네트워크를 통해 서로 인터랙션한다. 대응되는 컴퓨터에서 실행되고 또한 서로 클라이언트-서버 관계를 가지는 컴퓨터 프로그램을 통해 클라이언트 및 서버의 관계를 생성한다.
본 출원의 실시예에 따른 기술적 해결수단은, W3C에 의해 제정된 DID 표준에 대해 DID 클라이언트 및 개인 사용자 데이터 센터 등 아키텍처의 추가 및 정의를 진행하고, DID 클라이언트, 개인 사용자 데이터 센터와 기타 기존 구성 사이의 인터랙션에 기반하여, 전체 디지털 신원 인증 시스템의 작업 프로세스 및 접속 방식을 명확하게 함으로써, 완전한 디지털 신원 인증 시스템을 구현하고, 사용자 또는 기업체에 DID 계정을 사용 및 관리하는 DID 클라이언트를 제공하며, 디지털 신원의 절대적 소유 및 절대적 제어 가능성을 확보한다.
이 밖에, 블록체인 네트워크는 DID 및 이의 관련 정보를 저장하여 각 참여자에게 정보 서비스를 제공할 수 있다. 이에 대응하여, DID 클라이언트는 블록체인 네트워크를 통해 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득하여 데이터 암호화 및 공유하도록 할 수 있다.
이 밖에, 대상 엔드포인트 주소는 대상 제3자 플랫폼이 개인 사용자 데이터 센터로부터 지정된 claim을 획득하도록 지시하여, 대상 엔드포인트 주소의 발송을 통해 대상 제3자 플랫폼을 권한 부여하는 목적을 달성하고, claim의 공유를 구현한다.
이 밖에, 프록시 재암호화 메커니즘을 사용하여 claim의 공유를 구현함으로써, claim의 유출을 방지하고, 데이터의 안전성을 확보한다.
이 밖에, 프록시 재암호화 메커니즘의 목적은, 대상 사용자 공개 키에 기반하여 데이터를 암호화하여, 공유자, 즉 대상 제3자 플랫폼에 의해 대상 제3자 플랫폼 개인 키 복호화를 적용하여 데이터를 획득할 수 있도록 함으로써, 데이터의 안전 공유를 확보하는 것이다.
이 밖에, 대상 엔드포인트 주소는 대상 제3자 플랫폼이 지정된 claim을 획득하도록 지시하기 위한 것이고, 이에 대응하여, 프록시 재암호화 메커니즘의 보호 하에, 대상 제3자가 획득한 claim을 복호화하도록 함으로써, 데이터의 안전 공유를 확보한다.
이 밖에, 태스크 요구에 기반하여, 사용자는 DID 클라이언트를 통해 대응되는 권위 기관에 claim의 획득을 청구하여, 사용자가 claim을 통해 제3자 플랫폼의 로그인을 진행하도록 할 수 있다.
이 밖에, claim의 발행을 고려하는 것도 데이터의 공유 과정이므로, 권위 기관이 발행할 시, 마찬가지로 프록시 재암호화 기술을 사용하여 DID 클라이언트와 발행된 claim을 공유할 수 있다.
이 밖에, 임의의 참여자가 인터랙션을 진행할 시, 모두 블록체인 네트워크에 저장된 디지털 신원 및 관련 정보에 기반하여, 이미 알고 있는 상대방의 DID에 따라, 상대방에 대해 DID디지털 신원 인증을 진행하여, 상대방이 DID를 장악하고 있는 진실된 소유자임을 결정함으로써, 인터랙션자가 디지털 신원을 도용 또는 위조하지 못하도록 방지하고, 인터랙션 안전성을 확보한다.
이 밖에, 권위 기관은 이미 발행된 claim을 취소할 수도 있고, 이에 대응하여, 다른 참여자는 claim에 기록된 취소 리스트 주소를 통해 claim의 취소 상태를 조회할 수 있음으로써, 무효의 claim을 사용하는 것을 방지한다.
이 밖에, DID 클라이언트는 사용자에 DID 생성 서비스를 제공하여 사용자에 전역 유일한 디지털 신원을 제공한다.
위에서 설명한 다양한 형태의 프로세스, 재배열, 추가 또는 삭제 단계를 사용할 수 있음을 이해해야 한다. 예를 들어, 본 출원에 기재된 각 단계는 동시에 수행될 수 있거나 순차적으로 수행될 수 있거나 상이한 순서로 수행될 수 있고, 본 출원에서 공개된 기술적 해결수단이 이루고자 하는 결과를 구현할 수만 있으면, 본 명세서은 여기서 한정하지 않는다.
상기 구체적인 실시형태는 본 출원의 보호 범위를 한정하지 않는다. 본 기술분야의 통상의 기술자는 설계 요구 및 다른 요소에 따라 다양한 수정, 조합, 서브 조합 및 대체를 진해할 수 있음을 이해해야 한다. 본 출원의 정신 및 원칙 내에서 진행한 임의의 수정, 등가적 대체 및 개선 등은 모두 본 출원의 보호 범위 내에 속해야 한다.

Claims (21)

  1. 분산 신원 인증(DID) 클라이언트에 의해 수행되는 디지털 신원 인증 방법으로서,
    대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계;
    상기 대상 로그인 정보에 따라, 상기 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하고 상기 대상 사용자 DID 및 상기 대상 클레임을 검증하도록 권한 부여하는 단계; 및
    상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자 DID를 사용하여 상기 대상 제3자 플랫폼에 로그인하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  2. 제1항에 있어서,
    상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계는,
    상기 대상 제3자 플랫폼에 대한 상기 대상 사용자의 로그인 동작에 응답하여, 적어도 대상 제3자 플랫폼 DID를 포함하는 대상 로그인 정보를 획득하여, 상기 대상 제3자 플랫폼 DID에 따라, 블록체인 네트워크로부터 상기 대상 제3자 플랫폼 DID와 관련된 DID 문서를 획득하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  3. 제1항에 있어서,
    상기 대상 제3자 플랫폼이 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하도록 권한 부여하는 단계는,
    상기 대상 제3자 플랫폼에 상기 개인 사용자 데이터 센터에서 대상 클레임이 저장된 대상 엔드포인트 주소를 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득하도록 권한 부여하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  4. 제3항에 있어서,
    상기 대상 제3자 플랫폼에 상기 개인 사용자 데이터 센터에서 대상 클레임이 저장된 대상 엔드포인트 주소를 발송하는 단계 이전에,
    프록시 재암호화 메커니즘에 기반하여 상기 대상 클레임을 암호화하는 단계를 더 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  5. 제4항에 있어서,
    상기 프록시 재암호화 메커니즘에 기반하여 상기 대상 클레임을 암호화하는 단계는,
    고급 암호화 표준 (AES) 암호화 키를 사용하여 상기 대상 클레임을 암호화하여 대상 암호화 클레임을 획득하는 단계;
    대상 사용자 공개 키를 사용하여 상기 AES 암호화 키를 암호화함으로써 대칭 암호화 키 암호문을 획득하는 단계;
    대상 사용자 개인 키, 및 대상 제3자 플랫폼 DID와 관련된 DID 문서로부터 획득한 대상 제3자 플랫폼 공개 키에 따라, 재암호화 키를 산출하는 단계; 및
    상기 개인 사용자 데이터 센터의 대상 엔드포인트 주소에 상기 대상 암호화 클레임, 상기 대칭 암호화 키 암호문 및 상기 재암호화 키를 저장하여, 상기 개인 사용자 데이터 센터가 상기 재암호화 키를 사용하여 상기 대칭 암호화 키 암호문을 재암호화함으로써 재암호화 암호문을 생성 및 저장하도록 제어하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  6. 제5항에 있어서,
    상기 대상 엔드포인트 주소는, 상기 대상 제3자 플랫폼이 상기 대상 엔드포인트 주소에 따라 상기 대상 암호화 클레임 및 상기 재암호화 암호문을 획득하고, 대상 제3자 플랫폼 개인 키에 기반하여 상기 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하며, 상기 대칭 암호화 암호화 키에 기반하여 상기 대상 암호화 클레임을 복호화하여 상기 대상 클레임을 획득하는데 사용되는 것을 특징으로 하는 디지털 신원 인증 방법.
  7. 제1항에 있어서,
    상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계 이전에,
    권위 기관 등록 센터의 권위 기관의 서비스 정보에 따라, 클레임을 발행하는 대상 권위 기관을 검색하는 단계;
    상기 대상 권위 기관에 클레임 청구 요청을 발송하여, 상기 대상 권위 기관이 상기 대상 사용자의 대상 클레임을 생성하도록 제어하는 단계; 및
    상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득하는 단계를 더 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  8. 제7항에 있어서,
    상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득하는 단계는,
    상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 피드백한 대상 엔드포인트 주소를 수신하는 단계로서, 상기 대상 엔드포인트 주소는 상기 대상 사용자의 개인 사용자 데이터 센터에 위치하고, 상기 대상 권위 기관에 의해 프록시 재암호화된 대상 클레임이 저장되어 있는 상기 대상 엔드포인트 주소를 수신하는 단계;
    상기 대상 엔드포인트 주소에 따라, 상기 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하여 프록시 재암호화된 대상 클레임을 획득하는 단계; 및
    대상 사용자 개인 키를 사용하여 상기 프록시 재암호화된 대상 클레임을 복호화하여 상기 대상 클레임을 획득하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  9. 제8항에 있어서,
    상기 대상 엔드포인트 주소에 따라, 상기 개인 사용자 데이터 센터 내의 대상 엔드포인트를 방문하는 단계 이전에,
    상기 개인 사용자 데이터 센터에 상기 대상 사용자 DID를 발송하여, 상기 개인 사용자 데이터 센터가 블록체인 네트워크로부터 상기 대상 사용자 DID와 관련된 DID 문서를 획득하도록 하고, 상기 DID 문서 중의 대상 사용자 공개 키를 사용하여 상기 대상 사용자의 사용자 서명을 검증하여, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계를 더 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  10. 제7항에 있어서,
    상기 대상 권위 기관이 상기 클레임 청구 요청에 응답하여 발행한 대상 클레임을 획득하는 단계 이후에,
    상기 대상 클레임으로부터 취소 리스트 주소를 획득하는 단계;
    상기 대상 클레임을 발행한 권위 기관의 개인 취소 서비스 엔드포인트로부터, 상기 취소 리스트 주소를 방문하여 취소 리스트를 획득하는 단계; 및
    상기 취소 리스트에 따라 상기 대상 클레임의 취소 상태를 조회하는 단계를 더 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  11. 제1항에 있어서,
    상기 대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 단계 이전에,
    대상 사용자의 DID 생성 요청에 응답하여, 상기 대상 사용자에 대해 대상 사용자 DID 및 적어도 한 쌍의 공개/개인 키 페어를 생성하는 단계를 더 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  12. 제3자 플랫폼에 의해 수행되는 디지털 신원 인증 방법으로서,
    대상 분산 신원 인증(DID) 클라이언트로부터 발송된, 대상 사용자 DID를 포함하는 로그인 요청에 응답하여, 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하는 단계;
    상기 대상 사용자 DID 및 상기 대상 클레임을 검증하는 단계; 및
    상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자가 상기 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  13. 제12항에 있어서,
    상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하는 단계는,
    제3자 플랫폼에 대한 상기 대상 DID 클라이언트의 권한 부여 결과에 따라, 상기 대상 클레임이 저장된 대상 엔드포인트 주소를 획득하는 단계; 및
    상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  14. 제13항에 있어서,
    상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 상기 대상 클레임을 획득하는 단계는,
    상기 대상 엔드포인트 주소에 따라 개인 사용자 데이터 센터의 대상 엔드포인트를 방문하여 대상 암호화 클레임 및 재암호화 암호문을 획득하는 단계로서, 상기 대상 암호화 클레임 및 상기 재암호화 암호문은 프록시 재암호화 메커니즘을 기반으로 암호화하여 생성된 것인, 상기 대상 암호화 클레임 및 재암호화 암호문을 획득하는 단계;
    제3자 플랫폼 개인 키를 사용하여 상기 재암호화 암호문을 복호화하여 대칭 암호화 암호화 키를 획득하는 단계; 및
    상기 대칭 암호화 암호화 키를 사용하여 상기 대상 암호화 클레임을 복호화하여 대상 클레임을 획득하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  15. 제12항에 있어서,
    상기 대상 사용자 DID 및 상기 대상 클레임을 검증하는 단계는,
    상기 대상 사용자의 사용자 서명에 따라, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계; 및
    검증을 통과하면, 상기 대상 클레임의 소속 발행 권위 기관, 클레임 타입, 유효 기간 및 취소 상태 중 적어도 하나에 따라, 상기 대상 클레임을 검증하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  16. 제15항에 있어서,
    상기 대상 사용자의 사용자 서명에 따라, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계는,
    상기 대상 사용자 DID에 따라, 블록체인 네트워크로부터 상기 대상 사용자 DID와 관련된 DID 문서를 획득하는 단계; 및
    상기 대상 사용자 DID와 관련된 DID 문서 중의 대상 사용자 공개 키에 따라, 상기 대상 사용자의 사용자 서명을 검증하여, 상기 대상 사용자가 상기 대상 사용자 DID의 소유자인지 여부를 검증하는 단계를 포함하는 것을 특징으로 하는 디지털 신원 인증 방법.
  17. 분산 신원 인증(DID) 클라이언트에 구현되는 디지털 신원 인증 장치로서,
    대상 제3자 플랫폼에 대한 대상 사용자의 로그인 동작에 응답하여, 상기 대상 제3자 플랫폼의 대상 로그인 정보를 획득하는 로그인 정보 획득 모듈;
    상기 대상 로그인 정보에 따라, 상기 대상 제3자 플랫폼에 대상 사용자 DID를 포함하는 로그인 요청을 발송하여, 상기 대상 제3자 플랫폼이 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하고 상기 대상 사용자 DID 및 상기 대상 클레임을 검증하도록 권한 부여하는 클레임 권한 부여 모듈; 및
    상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자 DID를 사용하여 상기 대상 제3자 플랫폼에 로그인하는 플랫폼 로그인 모듈을 포함하는 것을 특징으로 하는 디지털 신원 인증 장치.
  18. 제3자 플랫폼에 구현되는 디지털 신원 인증 장치로서,
    대상 분산 신원 인증(DID) 클라이언트로부터 발송된, 대상 사용자 DID를 포함하는 로그인 요청에 응답하여, 상기 대상 사용자의 개인 사용자 데이터 센터로부터 상기 대상 사용자의 대상 클레임을 획득하는 클레임 획득 모듈;
    상기 대상 사용자 DID 및 상기 대상 클레임을 검증하는 클레임 검증 모듈; 및
    상기 대상 사용자 DID 및 상기 대상 클레임이 검증을 통과하면, 상기 대상 사용자가 상기 대상 사용자 DID를 사용하여 로그인 성공한 것으로 결정하는 사용자 로그인 모듈을 포함하는 것을 특징으로 하는 디지털 신원 인증 장치.
  19. 전자 기기로서,
    적어도 하나의 프로세서; 및
    상기 적어도 하나의 프로세서와 통신 연결되는 메모리를 포함하고,
    상기 메모리에 상기 적어도 하나의 프로세서에 의해 실행 가능한 명령어가 저장되며, 상기 명령어는 상기 적어도 하나의 프로세서에 의해 실행되어 상기 적어도 하나의 프로세서가 제1항 내지 제11항 중 어느 한 항에 따른 디지털 신원 인증 방법, 또는 제12항 내지 제16항 중 어느 한 항에 따른 디지털 신원 인증 방법을 수행할 수 있도록 하는 것을 특징으로 하는 전자 기기.
  20. 컴퓨터 명령어가 저장된 비일시적 컴퓨터 판독 가능한 저장 매체로서,
    상기 컴퓨터 명령어는 상기 컴퓨터가 제1항 내지 제11항 중 어느 한 항에 따른 디지털 신원 인증 방법, 또는 제12항 내지 제16항 중 어느 한 항에 따른 디지털 신원 인증 방법을 수행하도록 하는 것을 특징으로 하는 비일시적 컴퓨터 판독 가능한 저장 매체.
  21. 컴퓨터 판독 가능한 저장 매체에 저장된 컴퓨터 프로그램으로서,
    상기 컴퓨터 프로그램은 프로세서에 의해 실행될 경우 제1항 내지 제11항 중 어느 한 항에 따른 디지털 신원 인증 방법, 또는 제12항 내지 제16항 중 어느 한 항에 따른 디지털 신원 인증 방법을 수행하는 것을 특징으로 하는 컴퓨터 프로그램.
KR1020210005587A 2020-01-14 2021-01-14 디지털 신원 인증 방법, 장치, 기기 및 저장 매체 KR102509688B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202010037958.3 2020-01-14
CN202010037958.3A CN111277577B (zh) 2020-01-14 2020-01-14 数字身份验证方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
KR20210091677A true KR20210091677A (ko) 2021-07-22
KR102509688B1 KR102509688B1 (ko) 2023-03-14

Family

ID=71001662

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210005587A KR102509688B1 (ko) 2020-01-14 2021-01-14 디지털 신원 인증 방법, 장치, 기기 및 저장 매체

Country Status (5)

Country Link
US (1) US20210218574A1 (ko)
EP (1) EP3852338B1 (ko)
JP (1) JP7119142B2 (ko)
KR (1) KR102509688B1 (ko)
CN (1) CN111277577B (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338795A (zh) * 2021-12-23 2022-04-12 杭州趣链科技有限公司 一种区块链客户端的数据通信方法及装置
KR20230046107A (ko) * 2021-09-29 2023-04-05 한국전자통신연구원 분산 아이디 기반 서비스에서의 위임 크리덴셜 발급 장치 및 방법
KR20230076419A (ko) * 2021-11-24 2023-05-31 (주)드림시큐리티 분산 id 기반 검증 크리덴셜 관리 및 디바이스 검증 방법 및 장치
WO2023095967A1 (ko) * 2021-11-29 2023-06-01 주식회사 블록체인기술연구소 블록체인 기반의 did 서비스, ipfs 기반의 데이터 공유 기술, 및 개인키 분산 저장 기술이 결합된 비대면 대용량 문서 접근 시스템
KR20230078212A (ko) * 2021-11-26 2023-06-02 주식회사 케이사인 Hd 기반의 컴퓨팅 장치 did 발급 방법
CN117527445A (zh) * 2024-01-02 2024-02-06 江苏荣泽信息科技股份有限公司 一种基于重加密及分布式数字身份的数据共享系统

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111832004A (zh) * 2020-06-30 2020-10-27 北京泰尔英福网络科技有限责任公司 可信声明系统中信任锚的管理方法及装置
CN111818491A (zh) * 2020-07-10 2020-10-23 成都淞幸科技有限责任公司 一种5g环境d2d场景下去中心化身份管理的方法
CN112927434B (zh) * 2021-01-06 2022-08-19 上海泰砥科技有限公司 区块链及did的共享充电方法及共享充电桩系统
CN112861157A (zh) * 2021-03-01 2021-05-28 北京欧凯联创网络科技有限公司 一种基于去中心化身份和代理重加密的数据共享方法
CN113343208A (zh) * 2021-05-20 2021-09-03 网易(杭州)网络有限公司 一种凭证授权方法、装置、终端及存储介质
CN113746916A (zh) * 2021-09-01 2021-12-03 北京泰尔英福网络科技有限责任公司 基于区块链的第三方服务提供方法、系统及相关节点
US20230142147A1 (en) * 2021-11-10 2023-05-11 Microsoft Technology Licensing, Llc Network communication using proof of presence
WO2023127977A1 (ko) * 2021-12-27 2023-07-06 (주)이스톰 블록체인 기반 인증 및 거래 시스템
US11922410B2 (en) * 2022-02-15 2024-03-05 Paypal, Inc. Online decentralized identity verification for a multi-sided network
CN115037534B (zh) * 2022-05-30 2023-04-14 深圳文储科技有限公司 一种基于did的设备数据管理方法及系统
CN115002130A (zh) * 2022-05-31 2022-09-02 赵瑞 基于区块链的个人数字孪生did构建应用方法
CN115065466B (zh) * 2022-06-23 2024-01-19 中国电信股份有限公司 密钥协商方法、装置、电子设备和计算机可读存储介质
CN114862388B (zh) * 2022-07-01 2022-11-29 浙江毫微米科技有限公司 基于数字钱包的身份管理方法、计算机设备和存储介质
CN115952527A (zh) * 2023-03-09 2023-04-11 北京百度网讯科技有限公司 数据授权、提取、验证方法及其装置、设备和介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019179534A2 (en) * 2019-07-02 2019-09-26 Alibaba Group Holding Limited System and method for creating decentralized identifiers
US20190303600A1 (en) * 2018-03-27 2019-10-03 Workday, Inc. Digital credentials for step-up authentication

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7028181B1 (en) * 2000-06-09 2006-04-11 Northrop Grumman Corporation System and method for efficient and secure revocation of a signature certificate in a public key infrastructure
US8788836B1 (en) * 2006-12-22 2014-07-22 Symantec Corporation Method and apparatus for providing identity claim validation
US8881253B2 (en) * 2007-03-28 2014-11-04 Symantec Corporation Method and apparatus for accepting a digital identity of a user based on transitive trust among parties
JP5454960B2 (ja) * 2011-11-09 2014-03-26 株式会社東芝 再暗号化システム、再暗号化装置及びプログラム
US10467468B2 (en) * 2015-03-09 2019-11-05 Michigan Health Information Network Shared Services System and method for identity proofing and knowledge based authentication
EP3234878A1 (en) * 2015-10-14 2017-10-25 Cambridge Blockchain, LLC Systems and methods for managing digital identities
US10079682B2 (en) * 2015-12-22 2018-09-18 Gemalto Sa Method for managing a trusted identity
JP6566454B2 (ja) * 2017-11-22 2019-08-28 シビラ株式会社 認証方法、認証装置、コンピュータプログラム及びシステムの製造方法
US20190333054A1 (en) * 2018-04-20 2019-10-31 Infonetworks Llc System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks
US20210065267A1 (en) * 2018-05-10 2021-03-04 Civic Technologies, Inc. Eligibility for access to restricted goods and services using zero-knowledge proofs
CN108769013A (zh) * 2018-05-29 2018-11-06 浪潮软件集团有限公司 一种基于以太坊的身份注册方法和装置
JP6592573B1 (ja) * 2018-09-10 2019-10-16 Line株式会社 情報処理方法、情報表示方法、プログラム、端末、サーバ
CN109583184B (zh) * 2018-10-09 2020-08-04 阿里巴巴集团控股有限公司 身份验证方法及装置和电子设备
US11366910B2 (en) * 2018-12-27 2022-06-21 Eli Talmor Method and system for secure applications using blockchain
US10425230B1 (en) * 2019-03-01 2019-09-24 Capital One Services, Llc Identity and electronic signature verification in blockchain
CN110049060A (zh) * 2019-04-28 2019-07-23 南京理工大学 基于区块链的分布式可信身份存证方法及系统
US11176282B2 (en) * 2019-06-18 2021-11-16 Microsoft Technology Licensing, Llc Encrypting data associated with decentralized identifier
EP3688930B1 (en) * 2019-07-02 2021-10-20 Advanced New Technologies Co., Ltd. System and method for issuing verifiable claims
US11146552B1 (en) * 2019-08-29 2021-10-12 American Express Travel Related Services Company, Inc. Decentralized application authentication

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190303600A1 (en) * 2018-03-27 2019-10-03 Workday, Inc. Digital credentials for step-up authentication
WO2019179534A2 (en) * 2019-07-02 2019-09-26 Alibaba Group Holding Limited System and method for creating decentralized identifiers

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230046107A (ko) * 2021-09-29 2023-04-05 한국전자통신연구원 분산 아이디 기반 서비스에서의 위임 크리덴셜 발급 장치 및 방법
KR20230076419A (ko) * 2021-11-24 2023-05-31 (주)드림시큐리티 분산 id 기반 검증 크리덴셜 관리 및 디바이스 검증 방법 및 장치
WO2023095953A1 (ko) * 2021-11-24 2023-06-01 주식회사 드림시큐리티 분산 id 기반 검증 크리덴셜 관리 및 디바이스 검증 방법 및 장치
KR20230078212A (ko) * 2021-11-26 2023-06-02 주식회사 케이사인 Hd 기반의 컴퓨팅 장치 did 발급 방법
WO2023095967A1 (ko) * 2021-11-29 2023-06-01 주식회사 블록체인기술연구소 블록체인 기반의 did 서비스, ipfs 기반의 데이터 공유 기술, 및 개인키 분산 저장 기술이 결합된 비대면 대용량 문서 접근 시스템
CN114338795A (zh) * 2021-12-23 2022-04-12 杭州趣链科技有限公司 一种区块链客户端的数据通信方法及装置
CN117527445A (zh) * 2024-01-02 2024-02-06 江苏荣泽信息科技股份有限公司 一种基于重加密及分布式数字身份的数据共享系统

Also Published As

Publication number Publication date
JP2021111412A (ja) 2021-08-02
US20210218574A1 (en) 2021-07-15
KR102509688B1 (ko) 2023-03-14
EP3852338B1 (en) 2023-09-06
JP7119142B2 (ja) 2022-08-16
CN111277577B (zh) 2022-06-07
EP3852338A1 (en) 2021-07-21
CN111277577A (zh) 2020-06-12

Similar Documents

Publication Publication Date Title
KR102509688B1 (ko) 디지털 신원 인증 방법, 장치, 기기 및 저장 매체
US11431501B2 (en) Coordinating access authorization across multiple systems at different mutual trust levels
CN107979590B (zh) 数据共享方法、客户端、服务器、计算设备及存储介质
US9871791B2 (en) Multi factor user authentication on multiple devices
KR102429633B1 (ko) 다수의 웹사이트들 간의 자동 로그인 방법 및 장치
US9094212B2 (en) Multi-server authentication token data exchange
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
KR102390108B1 (ko) 정보 처리 시스템 및 제어 방법
JP4746266B2 (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
EP2351316B1 (en) Method and system for token-based authentication
US20130185210A1 (en) Method and System for Making Digital Payments
CN110535807B (zh) 一种业务鉴权方法、装置和介质
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
US9893891B2 (en) Identity verification using key pairs
WO2022262322A1 (zh) 认证方法、装置、系统、电子设备及存储介质
JP7383796B2 (ja) 承諾アーキテクチャ用の認証アプリ
US20100146605A1 (en) Method and system for providing secure online authentication
KR20150116537A (ko) 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치
KR101708880B1 (ko) 통합 로그인 장치 및 통합 로그인 방법
JP2020053100A (ja) 情報処理システムと、その制御方法とプログラム
JP5860421B2 (ja) 復号方法、復号システム
KR20090106368A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant