KR20220002874A - 자격증명 서비스 제공자를 통한 자격증명 검증 및 발행 - Google Patents
자격증명 서비스 제공자를 통한 자격증명 검증 및 발행 Download PDFInfo
- Publication number
- KR20220002874A KR20220002874A KR1020217030693A KR20217030693A KR20220002874A KR 20220002874 A KR20220002874 A KR 20220002874A KR 1020217030693 A KR1020217030693 A KR 1020217030693A KR 20217030693 A KR20217030693 A KR 20217030693A KR 20220002874 A KR20220002874 A KR 20220002874A
- Authority
- KR
- South Korea
- Prior art keywords
- credential
- management system
- service provider
- verification
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2220/00—Business processing using cryptography
-
- H04L2209/38—
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Entrepreneurship & Innovation (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Finance (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
자격증명 소유자의 요청된 자격증명을 확인하고/하거나 하나 이상의 자격증명 서비스 제공자를 통해 새로운 자격증명을 발행하기 위한 프로세서 실행 가능 프로세스 단계를 저장하는 방법, 시스템, 장치 및 컴퓨터 판독 가능 매체가 제공된다. 자격증명을 검증 및 발행하는 방법은 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템에 의해 요청 시 자격증명 소유자의 요청 디바이스에 공유 자격증명 토큰 및 서비스 엔드포인트를 제공하는 단계와, 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템에 의해 요청 디바이스를 통해 검증자의 검증 디바이스로부터 공유 자격증명 토큰 및 서비스 엔드포인트를 수신하는 단계와, 제2 자격증명 관리 시스템에 의해, 서비스 엔드포인트에 기초하여 제1 자격증명 관리 시스템에 증명 요청을 송신하는 단계와, 제1 자격증명 관리 시스템에 의해 증명 요청에 기초하여 증명을 생성하는 단계와, 제2 자격증명 관리 시스템에 의해 분산 원장에서 검색된 자격증명 암호화 정보에 기초하여 증명을 검증하는 단계를 포함한다.
Description
본 발명은 자격증명 검증 및/또는 발행에 관한 것으로, 보다 상세하게는 하나 이상의 자격증명 서비스 제공자를 통한 자격증명 검증 및/또는 발행에 관한 것이다.
자격증명 검증 또는 발행 시에, 자격증명 소유자는 예를 들면, 종이, 플라스틱 카드, 마그네틱 스트라이프 카드, 칩 카드 등과 같은 형식 중 하나를 취하는 적어도 하나의 통상적인 자격증명을 사람(검증자/발행자) 또는 그의 장치/메커니즘에 제시하여 자격증명이 진정한 것인지 및 검증 또는 발행에 필요한 정보를 포함하는지를 검증해야 한다. 자격증명 소유자의 관점에서 볼 때, 불만족스러운 이식성(portability)을 초래하며 분실 및 도난되기 쉬운 물리적 형식 외에도 또한, 통상적인 자격증명에는 아래의 예에서 알 수 있는 다음과 같은 단점이 있다.
먼저, 주민등록증을 예로 들면, 통상적으로 종이/플라스틱 신분증 또는 보다 발전된 경우에 스마트 신분증(칩 카드 또는 IC 카드)을 사용하여 주민등록을 검증하는 구현을 할 수 있다. 어느 경우든 기술적 한계는 기본적으로, 국가의 시민 정보를 저장하고 보통 오래된 데이터베이스 기술로 수십 년에 걸쳐 구축되는 중앙 집중식 국가 ID 데이터베이스를 필요로 한는 것이다. 따라서 검증을 위해 경찰관과 같은 검증자가 시민의 신원의 검증을 요청하는 경우, 주민등록증을 소지한 시민이 경찰관에게 신분증을 제시할 수 있다. 신분증을 수령하면 경찰관은 신분증에 있는 사진을 확인한 후 경찰서에 전화를 걸어 경찰서에서 접근할 수 있는 중앙 집중식 데이터베이스로 신분증 번호, 이름, 주소 등을 검증할 수 있다. 보다 발전된 시나리오에서, 경찰관은 시간을 절약하기 위해 이동 중에 (스마트 카드 상황에서는 카드 인증 후) 데이터베이스에 직접 질의할 수 있는 모바일 디바이스를 가질 수 있다. 이러한 접근 방식에서는, 이러한 검증 인프라의 구축/유지 비용이 매우 비싸고, 개인 정보 보호 문제로 인해 데이터베이스를 일반적으로 일반 대중이 사용할 수 없으며, 검증자가 ID를 확인하기 위해 중앙 서버에 접속해야 하고, 중앙 집중식 사이트가 다운되는 경우에는 검증이 중단된다는 단점이 있다.
둘째, 회사/건물 접근 뱃지를 다른 예로 들자면, 통상적으로 사전에 QR코드를 발행하고 나중에 접수처에서 등록하는 방식으로 검증이 구현될 수 있다. 이 경우 방문자가 회사를 방문하기 전에 회사 직원이 방문자에게 초청링크를 보내 방문자가 회사 시스템에 초청장을 등록하고, 링크에서 QR 코드를 인쇄한 후 그가 초대된 건물을 방문하도록 한다. 도착하면 접수원이 QR코드를 스캔하여 회사 등록 데이터베이스를 확인한다. QR 코드가 유효하면 방문자는 건물에 접근이 허용된다. 이러한 접근 방식은 링크 이메일이 도용될 수 있고, QR 코드가 건물에 접근하도록 승인되지 않은 사람에 의해 인쇄될 수 있으며, 또한 인쇄된 QR 코드가 도용되거나 누군가가 QR 코드를 찍어 빌딩에 접근할 수 있다는 단점이 있어, 이러한 접근 방식을 불안정하게 하고 중간자 공격(man-in-the-middle attack)으로 쉽게 손상되게 한다. 대안으로, 사전 등록 없이 방문객이 직접 접수처에 가서 자신의 신분증을 제시하면 된다. 방문자 또는 접수원이 콘솔에서 ID 정보를 입력할 수 있다. 그러면 접수원이 방문자의 ID와 정보를 검증하고 배지를 준다. 이러한 접근 방식은 비효율적이며 방문자가 도착 시 접수 데스크에서 등록해야 하는 단점이 있다. 또한, 검증 프로세스에 사용된 ID는 위조될 수 있어 ID의 진위 여부를 확인하기 어렵다.
검증 및 발행에 사용되는 기존의 자격증명에서 발생하는 전술한 단점을 해결하기 위해서는, 디지털 자격증명이 솔루션 중 하나이자 미래 추세로 보인다. 본 개시내용은 더 신뢰할 수 있고 안전한 방식으로 디지털 자격증명에 대한 자격증명 서비스를 제공하는 방법을 설명한다. 결과적으로, 본 개시내용은 자격증명 관리 서비스가 중앙 집중식 자격증명 서비스 제공자에만 의존하지 않도록 보장하는 다양한 자격증명 서비스 제공자(예를 들어, 전 세계의 다양한 통신 사업자) 전반에 걸친 분산 시스템 인프라 및 자격증명 서비스를 설명한다.
본 개시내용은 자격증명 소유자의 요청된 자격증명을 검증하고/하거나 하나 이상의 자격 서비스 제공자를 통해 새로운 자격을 발행하기 위한 프로세서 실행 가능 프로세스 단계를 저장하는 하나 이상의 방법, 시스템, 장치, 및 컴퓨터 판독 가능 매체에 관한 것이다. 방법은 (a) 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템에 의해, 요청 시 자격증명 소유자의 요청 디바이스에 공유 자격증명 토큰 및 서비스 엔드포인트를 제공하는 단계와, (b) 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템에 의해 요청 디바이스를 통해 검증자의 검증 디바이스로부터 공유 자격증명 토큰 및 서비스 엔드포인트를 수신하는 단계와, (c) 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템에 의해, 서비스 엔드포인트에 기초하여 제1 자격증명 관리 시스템에 증명 요청을 송신하는 단계와, (d) 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템에 의해, 증명 요청에 기초하여 증명을 생성하는 단계와, (e) 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템에 의해, 분산 원장에서 검색된 자격증명 암호화 정보에 기초하여 증명을 검증하는 단계를 포함한다. 일 실시에에서, 자격증명 소유자는 제1 자격증명 서비스 제공자로부터의 제1 자격증명 관리 시스템의 서비스에 가입하고, 검증자는 제2 자격증명 서비스 제공자로부터의 제2 자격증명 관리 시스템의 서비스에 가입한다. 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템은 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템과 동일하거나 다를 수 있다.
기존의 자격증명 서비스와 비교하여, 본 개시내용의 한 가지 이점은 분산 원장을 통해 실시간 검증을 제공한다는 것이다. 일반적으로 검증자는 자격증명 발행자에게 연락하여 해당 자격증명이 진정한 것인지 확인해야 하고, 이는 완료하는 데 오랜 시간이 걸릴 수 있다. 또한 검증자는 자격증명의 유형에 따라 다양한 서로 다른 자격증명 발행자와 연락해야 한다. 각 자격증명 발행자마다 검증을 얻기 위해 준수해야 하는 절차나 요건이 매우 다를 수 있다.
자격증명이 자격증명 소유자의 모바일 디바이스에 저장되는 다른 디지털 자격증명 서비스와 비교하여, 본 개시내용의 한 가지 이점은 자격증명 소유자가 모바일 디바이스를 분실하더라도 그의 자격증명을 분실하지 않을 것이라는 점이다.
본 개시내용의 추가 특징 및 이점은 다음의 설명에서 설명될 것이고, 부분적으로는 설명으로부터 명백해질 것이며, 또는 본 개시내용의 실행에 의해 학습될 수 있다. 본 개시내용의 목적 및 기타 이점은 첨부된 도면뿐만 아니라 쓰여진 설명 및 그 청구범위에서 구체적으로 지적된 구조 및 방법에 의해 실현되고 달성될 것이다.
전술한 일반적인 설명 및 다음의 상세한 설명은 모두 예시적이고 설명적이며 청구된 본 발명의 추가 설명을 제공하도록 의도된 것으로 이해되어야 한다.
도 1은 자격증명 소유자의 요청 디바이스, 검증자의 검증 디바이스, 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템, 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템, 및 분산 신원 블록체인의 제1 노드와 제2 노드 사이의 관계를 나타내는 개략도이다.
도 2는 자격증명 소유자의 요청된 자격증명을 검증하기 위한 단계의 실시예를 나타내는 프로세스 흐름도이다.
도 3은 검증 요구사항 문서의 실시예를 나타내는 개략도이다.
도 4는 자격증명 소유자의 요청 디바이스, 발행자의 발행 장치, 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템, 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템, 분산 ID 블록체인의 제1 노드와 제2 노드 사이의 관계를 나타내는 개략도이다.
도 5는 새로운 증명서를 발행하는 단계의 실시예를 나타내는 프로세스 흐름도이다.
도 2는 자격증명 소유자의 요청된 자격증명을 검증하기 위한 단계의 실시예를 나타내는 프로세스 흐름도이다.
도 3은 검증 요구사항 문서의 실시예를 나타내는 개략도이다.
도 4는 자격증명 소유자의 요청 디바이스, 발행자의 발행 장치, 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템, 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템, 분산 ID 블록체인의 제1 노드와 제2 노드 사이의 관계를 나타내는 개략도이다.
도 5는 새로운 증명서를 발행하는 단계의 실시예를 나타내는 프로세스 흐름도이다.
이하 제시된 설명에서 사용되는 용어가 본 기술의 특정 실시예의 상세한 설명과 함께 사용되고 있지만, 이는 가장 광범위하고 합리적인 방식으로 해석되어야 한다. 이하에서 특정한 용어가 강조될 수는 있지만, 한정 방식으로 해석되도록 의도된 용어는 어느 것이나, 본 상세한 설명 단락에서 그와 같이 구체적으로 정의될 것이다.
이하 설명되는 실시예는, 소프트웨어 및/또는 펌웨어에 의해 프로그래밍되거나 구성되는 프로그램 가능 회로에 의해, 또는 오직 특수 목적 회로에 의해, 또는 이러한 형태의 조합으로 구현될 수 있다. 이러한 특수 목적 회로(존재하는 경우)는 예를 들어, 하나 이상의 ASIC(application-specific integrated circuits), PLD(programmable logic devices), FPGA(field-programmable gate arrays) 등의 형식일 수 있다.
설명된 실시예는 자격증명 소유자의 요청된 자격증명을 검증하고/하거나 하나 이상의 자격증명 서비스 제공자를 통해 새 자격증명을 발행하기 위한 프로세서 실행 가능 프로세스를 저장하는 하나 이상의 방법, 시스템, 장치 및 컴퓨터 판독 가능 매체에 관한 것이다.
각 개인은 다양한 상황에서 자격증명을 제시해야 한다. 예를 들어, 개인은 은행 계좌를 개설하기 위해 자신의 운전 면허증 및/또는 기타 신분증을 제시해야 한다. 개인은 사무실 건물에 접근하기 위해 자신의 운전 면허증 및/또는 고용 문서(employment document)를 제시해야 한다. 개인은 술집에서 술을 구입하려면 자신의 운전 면허증이나 생년월일이 기재된 기타 서류를 제시해야 한다. 진보된 블록체인 기술을 통해, 디지털 자격증명은 기존의 인쇄된 자격증명을 대체할 수 있다. 본 상세한 설명은 자격증명 서비스 제공자를 통한 디지털 자격증명의 검증 및 발행에 대해 설명한다.
도 1은 검증자(예를 들어, IBM 사무 관리)가, 검증자와 자격증명 소유자 사이에서 직접적으로가 아니라, 이들의 해당 자격증명 서비스 제공자(예, IBM의 통신 사업자)와 방문자를 통해, 자격증명 소유자(예를 들어, 방문자인 존 스미스)의 요청된 자격증명의 증명을 수행한다. 검증자인 IBM 사무 관리는 자격증명 소유자인 존 스미스에게 그의 자격증명(여기서는 운전 면허증과 고용 배지에 대한 정보 모두)을 제시하도록 요청한다. 자격증명 소유자인 존 스미스(John Smith)는 요청 디바이스(110)(예를 들어, 제1 자격증명 서비스 제공자(예, 존이 가입한 소프트뱅크(SoftBank Corp., 일본 통신 사업자))의 제1 자격증명 관리 시스템(120)에 요청을 보내기 위해 그의 휴대폰 또는 다른 인터넷 디바이스)를 사용한다. 다른 실시예에서, 자격증명 소유자 및 검증자는 동일한 자격증명 서비스 제공자로부터의 자격증명 관리 서비스에 가입한다. 이러한 경우에, 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템은 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템과 동일할 수 있다.
제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템(120)은 QR 코드를 생성하고 이를 다시 요청 디바이스(110)에 제출한다. QR 코드는 공유 자격증명 토큰 및 제1 자격증명 관리 시스템의 서비스 엔드포인트의 정보를 포함한다. 이러한 정보는 다른 형식과 포맷으로 표현되고 전송될 수 있다. 그런 다음 자격증명 소유자 존은 요청 디바이스(110)의 QR 코드를 검증 디바이스(140)(예, 휴대폰 또는 인터넷 디바이스)를 사용하는 검증자인 IBM 사무 관리에 제공하여 QR 코드를 스캔하도록 한다. 검증 디바이스(140)는 QR 코드를 제2 자격증명 서비스 제공자(예, IBM이 가입한 미국 통신 사업자인 ATT)에게 전송한다. 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템(150)은 QR 코드를 수신한다. 제2 자격증명 관리 시스템(150)은 QR 코드의 정보로부터 자격증명의 증명(proof)을 위해 연락할 제1 자격증명 관리 시스템(120)을 식별한다. 그러면 ATT의 제2 자격증명 관리 시스템(150)은 소프트뱅크의 제1 자격증명 관리 시스템(120)과 직접 통신하여 자격증명의 증명을 획득한다.
검증을 수행하기 위해, 제2 자격증명 관리 시스템(150)은 또한 블록체인(170)의 제2 노드(160)를 통해 분산 식별 블록체인(170)에 저장된 분산 원장으로부터 자격증명 검증 정보를 검색할 필요가 있다. 일 실시예에서, 블록체인(170)의 제1 노드(130)는 제1 자격증명 서비스 제공자(예를 들어, 소프트뱅크)에 의해 운영되고, 블록체인(170)의 제2 노드(160)는 제2 자격증명 서비스 제공자(예, ATT)에 의해 운영된다. 검증자인 IBM 사무 관리가 요청된 자격증명을 성공적으로 확인하면, 자격증명 소유자(예, 존 스미스)에게 사무실 접근 권한(새 자격증명)을 발행할 것이다. 사무실 접근 권한은 별도의 QR 코드 또는 다른 형식/포맷으로도 표현될 수 있다.
제1 자격증명 관리 시스템 및 제2 자격증명 관리 시스템 각각은 보안 데이터베이스, 프로세서, 메모리, 입출력 인터페이스, 무선 및 통신 구성요소 등을 갖춘 서버일 수 있다. 통신 사업자에 추가하여, 제1 자격증명 서비스 제공자 및 제2 자격증명 서비스 제공자 각각은 다른 유형의 회사, 조직 및 기관일 수 있다.
자격증명 소유자는 개인, 법인, 또는 조직(예, 회사, 파트너십 및 정부)이 될 수 있다. 개인은 운전 면허증, 여권, 졸업 증명서, 고용 기록 등과 같은 다양한 자격증명을 소유할 수 있다. 법인도 법인 증명서, 특허 증명서 등과 같은 다양한 자격증명을 소유할 수 있다. 각 자격증명 소유자는 DID(decentralized identifier)(예를 들면, did.sovrin.V4SDRN84Z56d7YV7PBUe6f)를 가진다. 지갑 주소와 유사하게, DID는 이들의 소유자 또는 자격증명 서비스 제공자에 의해 생성되는 글로벌 고유 식별자(globally unique identifier)이다. DID는 연관된 공개 키와 통신 엔드포인트(해당 ID에 대해 메시지를 전달할 수 있는 주소)를 갖는다. DID의 자격증명 소유자는 이들의 자격증명 서비스 제공자가 관리할 수 있는 대응하는 개인 키를 자신의 지갑에 보관한다. 각 지갑 주소가 가상 지갑으로 해석되는 것과 유사하게, 각 DID는 DID를 설명하고 DID의 소유권 및 제어를 증명하고 또한 암호화 키와 리소스 포인터(엔드포인트)를 공유하는 데이터 세트를 포함하는 DID 문서로 해석된다.
각 자격증명에는 여러 속성이 있다. 예를 들어, 운전 면허 자격증명에는 운전 면허 번호, 성, 이름, 생년월일, 키, 체중, 성별, 사진, 서명, 만료 날짜 및 발행 상태의 속성이 있을 수 있다. 자격증명 스키마는 자격증명에 대한 클레임에 사용할 수 있는 일련의 속성 데이터 유형 및 포맷에 대한 기계 판독 가능 정의이다. 각 자격증명에는 이의 스키마가 있다. 예를 들어, 운전 면허 자격증명을 생성하기 위한 스키마에는 위에서 설명한 속성의 정의가 포함될 것이다. 발행자는 스키마를 사용하여 발행자의 개인 서명 키와 쌍을 이루는 속성별 공개 검증 키 및 스키마를 포함하는 자체 자격증명 정의를 생성할 수 있다. 예를 들어, 캘리포니아 DMV에는 분산 식별 블록체인에 저장된 자체 운전 면허 자격증명이 있다. 따라서 검증자 또는 그 자격증명 서비스 제공자는 CA 운전 면허 자격증명 정의를 검색하여 자격증명 소유자 또는 그 자격증명 서비스 제공자가 제공한 데이터의 출처와 무결성을 확인할 수 있다.
발행자는 일반적으로 정부 기관, 교육 기관 및 기업이다. 예를 들어, CA DMV는 CA 운전 면허증을 발행할 수 있고, 국무부는 미국 시민에게 여권을 발행할 수 있으며, 스탠포드 대학은 그 졸업생에게 졸업장/증명서를 발행할 수 있고, IBM은 직원에게 고용 배지를 발행할 수 있다. 일부 필수 자격증명을 확인한 후 발행자( 예, CA DMV)는 개인(예, 존 스미스)에 대한 자격증명(예, CA 운전 면허증)을 발행할 수 있다. 발행자 또는 그 자격증명 서비스 제공자는 개인 또는 그의 자격증명 서비스 제공자에게 자격증명 제안(credential offer)을 보낸다. 이러한 자격증명 제안은 자격증명 소유자의 개인 키로 서명되어 발행자에게 다시 전송되는 자격증명 요청을 생성한다. 그런 다음 자격증명 요청은 발행자의 개인 키로 서명되어 자격증명 소유자에게 전송되는 자격증명(예, 운전 면허증)을 생성하고, 자격증명 소유자는 자격증명을 그의 모바일 디바이스의 지갑 또는 그의 자격증명 서비스 제공자의 자격증명 관리 시스템에 보관한다.
분산 신원 블록체인(170)은 복수의 노드를 포함한다. 일 실시예에서, 제1 노드(130)는 제1 자격증명 서비스 제공자에 의해 운영되고 제2 노드(160)는 제2 자격증명 서비스 제공자에 의해 운영된다. 일 실시예에서, TBCASOFT Inc.("TBCA")는 분산 신원 블록체인(170)의 관리자일 수 있다. TBCA는 자격증명 서비스 제공자가 블록체인(170)의 노드를 운영하도록 허용하고 노드 중 일부를 선택하여 합의 메커니즘에 대한 유효성 검증자(validator) 역할을 할 수 있다. 그의 자격증명 서비스 제공자를 통해 발행자 및 자격증명 소유자는 자신의 DID를 생성하고, 분산 원장의 블록에 관련 정보를 기록함으로써 블록체인(170)에 DID, 연관 공개 키, 자격증명 스키마, 자격증명 정의 및 폐기 누적기(revocation accumulator)를 게시할 수 있다. 개인 정보 보호를 위해, 자격증명, 생체 인식(예, 사진 및 지문), DID와 연관된 개인 키, 검증 로그, 해지 테일 파일은 블록체인(170)에 기록되지 않는다. 일 실시예에서, 이들 중 일부 또는 전부는 자격증명 서비스 제공자가 운영하는 자격증명 관리 시스템에 저장될 수 있다. 생체 데이터의 크기로 인해, 이들 데이터는 계약자가 운영하는 데이터베이스에 별도로 저장될 수 있다.
자격증명은 자격증명 소유자의 모바일 디바이스가 아니라 자격증명 서비스 제공자가 운영하는 자격증명 관리 시스템에 저장되어, 증명(proof) 생성 및 검증 모두가 자격증명 서비스 제공자에 의해 수행되고 증명이 자격증명 서비스 제공자 간에 직접 전송되도록 하는 것이 유리하다. 이러한 구성은, 자격증명 소유자와 검증자 간의 상호 작용이 단순화될 수 있기 때문에 자격증명 확인 프로세스를 용이하게 하고 사용자 경험을 개선할 수 있다. 예를 들어, 양방향 통신 대신, 자격증명 소유자는 공유 자격증명 토큰의 정보와 서비스 엔드포인트를 포함하는 QR 코드를 검증자에게 간단히 제공할 수 있으며 다른 모든 프로세스는 자격증명 서비스 제공자에 의해 처리된다. 또한, 전술한 바와 같이, 일 실시예에서, 제1 자격증명 서비스 제공자와 제2 자격증명 서비스 제공자가 통신 사업자인 것이 유리하다. 통신 사업자(telco)가 신뢰 앵커 역할을 하는 것이 유리한데, 이는 통신 사업자가 자격증명 소유자에게 더 나은 개인 정보 보안 및 보호를 제공할 수 있는 고도로 규제되는 산업이기 때문이다. 또한, 자격증명 소유자의 모바일 디바이스에 자격증명을 저장하는 것과 비교하여, 이러한 구성에서 자격증명 소유자는 그의 모바일 디바이스를 분실하는 경우에도 그의 자격증명을 잃지 않을 것이다.
도 2는 요청된 자격증명을 검증하는 프로세스 흐름의 실시예를 도시한다. 단계 210에서, 요청 디바이스(110)는 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템(120)에 요청을 송신한다. 일 실시예에서, 요청은 각각의 속성이 선택될 수 있는 필수 속성의 리스트 및 하나 이상의 허용 가능한 자격증명을 포함하는 검증 요건 문서(verification requirement document, "VRD")를 포함할 수 있다. VRD는 원래 검증 목적에 따라 검증자에 의해 생성된다. 그러나 적절한 증명을 생성하기 위해, 제1 자격증명 관리 시스템은 몇 가지 다른 채널에서 VRD를 수신할 수 있다. 제1 채널은 VRD를 포함하는데, 이는 자격증명 소유자가 발행자로부터 이전에 이를 수신하거나, 발행자의 VRD를 유지 관리하는 데이터베이스 또는 조회 테이블에서 VRD를 획득하기 때문이다. 다른 실시예에서, 모든 발행자의 VRD는 데이터베이스에 저장될 수 있고 각각의 VRD에는 ID가 할당된다. 그 결과, 요청은 자격증명 확인 식별(credential verification identification)을 포함할 수 있으며, 이는 데이터베이스로부터 전체 VRD를 검색할 수 있는 제1 자격증명 관리 시스템에 제공된 VRD ID를 더 포함할 수 있다. 대안으로, 검증자의 VRD 또는 그의 VRD ID는 단계 230에서 전송된 증명 요청과 관련하여 제2 자격증명 관리 시스템에 의해 제1 자격증명 관리 시스템에 제공될 수 있다.
요청 디바이스는 제1 자격증명 관리 시스템 및 검증 디바이스와 통신할 수 있는 이동 전화 또는 임의의 다른 휴대용 전자 디바이스일 수 있다. 공유 자격증명 토큰 및 서비스 엔드포인트를 제공하기 전에, 제1 자격증명 관리 시스템은 요청 디바이스의 ID에 기초하여 자격증명 소유자의 요청 디바이스를 인증할 수 있다. 일 실시예에서, 요청 디바이스의 ID는 국제 모바일 장비 아이덴티티(International Mobile Equipment Identity)이다.
도 3은 검증 요건 문서의 실시예를 도시한다. 도 3에 도시된 검증 요건 문서에는 이름, 생년월일, 사회 보장 번호 및 고용주의 네 가지 속성이 필요하다. 이러한 각 속성은 미리 결정된 허용 가능한 자격증명 중 하나에서 선택되어야 한다. 예를 들어, "이름" 속성의 내용은 운전 면허 자격증명 또는 여권 자격증명에서 선택되어야 하고, "생년월일" 속성의 내용은 운전 면허 자격증명 또는 여권 자격증명 중에서 선택되어야 하며, "사회 보장 번호" 속성의 내용은 사회 보장 카드 자격증명에서 선택되어야 하고, "고용주" 속성의 내용은 자격증명 서비스 제공자가 검증한 모든 발행자 중에서 선택되어야 한다. 각 자격증명은 v1 및 v2와 같은 자격증명 버전의 버전과 연관된다. 일부 속성의 사실 데이터는 검증자에게 공개되어야 한다. 다른 속성의 경우 이러한 속성의 서술로 충분한다(제로 지식 증명(zero knowledge proof)).
도 2에 도시된 단계 220에서, 제1 자격증명 관리 시스템(120)은 공유 자격증명 토큰 및 서비스 엔드포인트를 생성한다. 공유 자격증명 토큰은 타임스탬프에 기초하여 생성된 글로벌 고유 ID를 포함한다. 서비스 엔드포인트는 제2 자격증명 관리 시스템(150)이 증명 요청을 송신하기 위해 제1 자격증명 관리 시스템(120)과 연결할 수 있는 포트이다. 일 실시예에서, 서비스 엔드포인트는 8.8.9.9:9090인 것으로 보인다. 일 실시예에서, 공유 자격증명 토큰 및 서비스 엔드포인트 모두의 정보가 QR 코드로 변환된다. 일 실시예에서, 공유 자격증명 토큰 및 서비스 엔드포인트를 포함하는 QR 코드는 나중에 검증될 자격증명에 대한 자격증명 소유자의 사전 승인으로서 미리 생성될 수 있다. 단계 222에서, 공유 자격증명 토큰 및 서비스 엔드포인트(또는 그러한 정보를 포함하는 QR 코드) 모두가 자격증명 소유자의 요청 디바이스(110)로 다시 송신된다. 단계 224에서, 공유 자격증명 토큰 및 서비스 엔드포인트 모두는 자격증명 소유자의 요청 디바이스(110)에 의해 근거리 통신, 블루투스, WiFi 또는 다른 수단을 통해 검증자의 검증 디바이스(140)에 제공될 수 있다. 대안으로, 자격증명 소유자는 요청 디바이스(130)의 공유 자격증명 토큰 및 서비스 엔드포인트의 정보를 포함하는 QR 코드를 검증자에게 제시하여 검증 디바이스(140)가 QR 코드를 스캔하도록 할 수 있다. 단계 226에서, 공유 자격증명 토큰과 서비스 엔드포인트(또는 그러한 정보를 포함하는 QR 코드) 모두가 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템(150)에 제공된다.
제2 자격증명 관리 시스템(150)은 서비스 엔드포인트에 기초하여 제1 자격증명 관리 시스템(120)과 연결할 포트를 식별한다. 단계 230에서, 제2 자격증명 관리 시스템(150)은 증명 요청을 제1 자격증명 관리 시스템(120)에 송신한다. 증명 요청은 공유 자격증명 토큰을 포함할 수 있다. 일 실시예에서, 제2 자격증명 관리 시스템(150)은 또한 검증자의 VRD 또는 VRD ID를 제1 자격증명 관리 시스템(120)에 송신한다.
단계 240에서, 제1 자격증명 관리 시스템(120)은 공유 자격증명 토큰이 유효한지 여부를 결정한다. 일 실시예에서, 시간 경과가 미리 결정된 기간을 초과하는 경우, 공유 자격증명 토큰은 유효하지 않다. 공유 자격증명 토큰이 유효하면, 단계 242에서, 제1 자격증명 관리 시스템(120)은 VRD에 기초하여 하나 이상의 자격증명으로부터 각각 하나 이상의 속성을 선택한다. 공유 자격증명 토큰이 유효하지 않으면 검증에 실패한다. 단계 244에서, 제1 자격증명 관리 시스템(120)은 각각의 선택된 속성에 대한 제로 지식 증명 알고리즘을 갖는 공개 속성 및/또는 서술 속성을 생성한 다음, 각각의 선택된 속성을 포함하는 증명을 생성한다.
단계 246에서, 제1 자격증명 관리 시스템(120)은 증명을 제2 자격증명 관리 시스템(150)에 전송한다. 단계 250에서, 제2 자격증명 관리 시스템(150)은 분산 신원 블록체인(170)의 제2 노드(160)에게 분산 신원 블록체인(170)에 저장된 분산 원장에서 스키마, 스키마 정의, 발행자의 공개 키, 자격증명 소유자의 공개 키를 포함하는 자격증명 암호화 정보를 검색하도록 요청한다.
단계 255에서, 제2 노드(160)는 전술한 자격증명 암호화 정보를 제2 자격증명 관리 시스템(150)으로 다시 제공한다. 단계 260에서, 제2 자격증명 관리 시스템(150)은 분산 원장으로부터 검색된 전술한 자격증명 암호화 정보에 기초하여 증명을 검증한다. 증명 검증을 위해 제로 지식 증명 알고리즘이 사용될 수 있다.
도 1과 유사하게, 도 4는 발행자(예를 들어, IBM 사무 관리)가 자격증명 소유자(예, 방문자인 존 스미스)에게, 발행자와 자격증명 소유자 간에 직접하는 것이 아닌, 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템(120) 및 제2 자격증명 서비스 제공자(예, IBM의 통신 사업자인 ATT 및 방문자를 위한 통신 사업자인 소프트뱅크)의 제2 자격증명 관리 시스템(150)을 통해 새로운 자격증명, 일일 사무실 접근 권한을 발행한다. 다른 실시예에서, 자격증명 소유자 및 발행자는 동일한 자격증명 서비스 제공자로부터의 자격증명 관리 서비스에 가입할 수 있다. 이러한 경우, 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템은 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템과 동일할 수 있다.
도 5는 새로운 자격증명을 발행하는 프로세스 흐름의 일 실시예를 도시한다. 이 실시예는 제2 서비스 제공자의 제2 자격증명 관리 시스템(150)이 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템(120)의 서비스 엔드포인트를 갖는다고 가정한다. 한 가지 가능성은 제2 자격증명 관리 시스템(150)이 이전에 검증자 역할을 했던 발행자에 대한 자격증명 검증을 수행할 때 서비스 엔드포인트를 수신했다는 것이다. 다른 실시예에서, 자격증명 소유자의 요청 디바이스(110)는 이러한 서비스 엔드포인트를 검증자를 통해 제2 자격증명 관리 시스템에 제공할 수 있다. 처음에, 자격증명 소유자가 새로운 자격증명을 요청한다. 발행자는 새로운 자격증명 요청을 승인할지를 제2 자격증명 관리 시스템에 알린다. 단계 510에서, 제2 자격증명 관리 시스템은 발행자에 대한 자격증명 제안을 생성하고, 이는 새로운 자격증명(예, 사무실 액세스 권한을 위한 방문자의 이름과 날짜)에 필요한 속성의 데이터를 포함한다. 단계 520에서, 제2 자격증명 관리 시스템(150)은 자격증명 제안을 제1 자격증명 관리 시스템(120)으로 보낸다. 단계 530에서, 제1 자격증명 관리 시스템(120)은 자격증명 소유자의 개인 키로 자격증명 제안에 서명하여 자격증명 요청을 생성한다. 단계 540에서, 제1 자격증명 관리 시스템(120)은 자격증명 요청을 제2 자격증명 관리 시스템(150)으로 다시 송신한다. 단계 550에서, 제2 자격증명 관리 시스템(150)은 새로운 발행자의 개인 키로 자격증명 요청에 서명하여 자격증명을 생성한다. 단계 560에서, 제2 자격증명 관리 시스템(150)은 새로운 자격증명을 제1 자격증명 관리 시스템(120)으로 송신한다. 단계 570에서, 제1 자격증명 관리 시스템(120)은 자격증명 소유자에 대한 새로운 자격증명을 저장하고 자격증명 소유자에게 통지한다. 이하는 검증이 성공하면 검증자가 제1 단계에서 발행자가 되는 다음 프로세스 단계를 수행하는 의사 코드의 실시예이다.
1. 자격증명 소유자의 요청 디바이스가 공유 자격증명 토큰 및 서비스 엔드포인트의 정보가 포함된 QR 코드를 요청한다.
2. 제1 자격증명 관리 시스템은 공유 자격증명 토큰 및 서비스 엔드포인트 의 정보를 포함하는 QR 코드를 생성한다.
3. 검증자의 검증 디바이스가 요청 디바이스의 QR 코드를 스캔하고, 검증 디바이스는 자격증명을 검증하기 위해 제2 자격증명 관리 시스템을 호출한다.
4. 제2 자격증명 관리 시스템은 확인해야 하는 자격증명 소유자의 허용 가능한 자격증명의 속성을 나열하는 VRD에 기초하여 증명 요청을 생성하고, 제1 자격증명 관리 시스템은 검증 디바이스에 의해 제공되는 서비스 엔드포인트에 기초하여 식별된다.
5. 제1 자격증명 관리 시스템은 증명 요청에 기초하여 증명을 생성하고, 증명은 제2 자격증명 관리 시스템으로 송신된다.
6. 제2 자격증명 관리 시스템이 증명을 검증한다.
7. 검증에 성공하면 발행자(이전 검증자)의 발행 디바이스(예, 이전 검증 디바이스)가 양식을 작성하고 이를 "발행" API를 호출하여 제2 자격증명 관리 시스템으로 송신한다.
8. 제2 자격증명 관리 시스템은 자격증명 제안을 생성한 다음 이를 제1 자격증명 관리 시스템으로 송신한다.
9. 제1 자격증명 관리 시스템은 자격증명 요청을 생성하고 이를 제2 자격증명 관리 시스템에 반환한다.
10. 제2 자격증명 관리 시스템은 새로운 자격증명을 생성하고 이를 제1 자격증명 관리 시스템으로 송신한다.
11. 제1 자격증명 관리 시스템은 자격증명 소유자의 지갑에 새로운 자격증명을 저장한다.
본 발명의 사상 또는 범주를 벗어나지 않는 범위에서 본 발명의 증명서 검증 및 발행 방법 및 관련 장치에 다양한 수정 및 변형이 이루어질 수 있음은 당업자에게 명백할 것이다. 따라서, 본 발명은 첨부된 청구범위 및 그 균등물의 범위 내에 있는 수정 및 변형을 포함하는 것으로 의도된다.
Claims (21)
- 자격증명 소유자의 요청된 자격증명을 검증하는 방법으로서,
(a) 요청 시, 제1 자격증명 서비스 제공자의 제1 자격증명 관리 시스템에 의해 상기 자격증명 소유자의 요청 디바이스에 공유 자격증명 토큰(sharing credential token) 및 서비스 엔드포인트를 제공하는 단계와,
(b) 제2 자격증명 서비스 제공자의 제2 자격증명 관리 시스템에 의해, 상기 자격증명 소유자의 요청 디바이스를 통해 검증자의 검증 디바이스로부터 상기 공유 자격증명 토큰 및 상기 서비스 엔드포인트를 수신하는 단계와,
(c) 상기 제2 자격증명 서비스 제공자의 상기 제2 자격증명 관리 시스템에 의해, 상기 서비스 엔드포인트에 기초하여 상기 제1 자격증명 서비스 제공자의 상기 제1 자격증명 관리 시스템에 증명 요청(proof request)을 송신하는 단계와,
(d) 상기 제1 자격증명 서비스 제공자의 상기 제1 자격증명 관리 시스템에 의해, 상기 증명 요청에 기초하여 증명을 생성하는 단계와,
(e) 상기 제2 자격증명 서비스 제공자의 상기 제2 자격증명 관리 시스템에 의해, 분산 원장에서 검색된 자격증명 암호화 정보에 기초하여 상기 증명을 검증하는 단계를 포함하는
자격증명 검증 방법. - 제1항에 있어서,
상기 (a) 단계는 상기 제1 자격증명 서비스 제공자에 의해 상기 요청 디바이스의 ID에 기초하여 상기 자격증명 소유자의 상기 요청 디바이스를 인증하는 단계를 더 포함하는
자격증명 검증 방법. - 제2항에 있어서,
상기 요청 디바이스는 이동 전화이고, 상기 ID는 국제 모바일 장비 아이덴티티(International Mobile Equipment Identity)인
자격증명 검증 방법. - 제1항에 있어서,
상기 요청은 상기 검증자로부터 기원한 검증 요건 문서(verification requirement document)를 포함하는
자격증명 검증 방법. - 제4항에 있어서,
상기 검증 요건 문서는 하나 이상의 속성 및 각각의 상기 속성이 선택될 수 있는 하나 이상의 자격증명을 포함하는
자격증명 검증 방법. - 제1항에 있어서,
상기 요청은 자격증명 요청 식별(credential request identification)을 포함하고, 상기 제1 자격증명 관리 시스템은 데이터베이스 또는 분산 원장으로부터, 상기 자격증명 요청 식별에 기초하여 각각의 속성이 선택될 수 있는 대응하는 하나 이상의 속성 및 하나 이상의 자격증명을 획득하는
자격증명 검증 방법. - 제6항에 있어서,
상기 자격증명 요청 식별은 검증 요건 문서 ID를 포함하는
자격증명 검증 방법. - 제1항에 있어서,
단계 (c)는 상기 제2 자격증명 서비스 제공자의 상기 제2 자격증명 관리 시스템에 의해, 증명 요청 및 검증 요건 문서 ID를 상기 서비스 엔드포인트에 기초하여 상기 제1 자격증명 서비스 제공자의 상기 제1 자격증명 관리 시스템으로 전송하는 단계를 포함하는
자격증명 검증 방법. - 제1항에 있어서,
상기 증명 요청은 공유 자격증명 토큰을 포함하는
자격증명 검증 방법. - 제9항에 있어서,
상기 공유 자격증명 토큰은 타임스탬프에 기초하여 생성된 글로벌 고유 ID(globally unique identifier)를 포함하는
자격증명 검증 방법. - 제1항에 있어서,
상기 제1 자격증명 관리 시스템은 QR 코드 포맷으로 상기 공유 자격증명 토큰 및 상기 서비스 엔드포인트를 제공하는
자격증명 검증 방법. - 제1항에 있어서,
상기 단계 (d)는,
(d1) 상기 공유 자격증명 토큰을 인증하는 단계와,
(d1) 검증 요건 문서에 기초하여 하나 이상의 자격증명에서 각각 하나 이상의 속성을 선택하는 단계와,
(d2) 제로 지식 증명 알고리즘(zero knowledge proof algorithm)으로 각각의 선택된 속성에 대해 공개(revealed) 또는 서술(predicate) 속성을 생성하여 상기 자격증명 서비스 제공자의 상기 제1 자격증명 관리 시스템에 의해 증명을 생성하는 단계를 포함하는
자격증명 검증 방법. - 제1항에 있어서,
상기 증명은 검증 요건 문서에 기초하여 속성의 사실 데이터 또는 상기 속성의 술어를 포함하는
자격증명 검증 방법. - 제1항에 있어서,
상기 자격증명 암호화 정보는 자격증명 스키마, 자격증명 정의, 자격증명 소유자의 공개 키 및 발행자의 공개 키를 포함하는
자격증명 검증 방법. - 제1항에 있어서,
상기 제1 자격증명 서비스 제공자 및 상기 제2 자격증명 서비스 제공자는 통신 사업자인
자격증명 검증 방법. - 제1항에 있어서,
상기 제1 자격증명 서비스 제공자는 상기 제2 자격증명 서비스 제공자와 동일한
자격증명 검증 방법. - 제16항에 있어서,
상기 제1 자격증명 관리 시스템은 상기 제2 자격증명 관리 시스템과 동일한
자격증명 검증 방법. - 제1항에 있어서,
(f) 상기 제1 자격증명 관리 시스템에 의해, 상기 제2 자격증명 관리 시스템으로부터 자격증명 제안(credential offer)을 수신하는 단계와,
(g) 상기 제1 자격증명 관리 시스템에 의해, 상기 자격증명 제안에 기초하여 자격증명 요청을 생성하는 단계와,
(h) 상기 제2 자격증명 관리 시스템에 의해, 상기 제1 자격증명 관리 시스템으로부터 수신된 자격증명 요청에 기초하여 새로운 자격증명을 생성하는 단계를 더 포함하는
자격증명 검증 방법. - 제18항에 있어서,
(i) 상기 제1 자격증명 관리 시스템 또는 상기 요청 디바이스가 상기 새로운 자격증명을 수신하고 저장하는 단계를 더 포함하는
자격증명 검증 방법. - 제18항에 있어서,
단계 (g)에서, 상기 자격증명 요청은 자격증명 소유자의 개인 키로 상기 자격증명 제안에 서명함으로써 생성되는
자격증명 검증 방법. - 제18항에 있어서,
단계 (h)에서, 상기 새로운 자격증명은 발행자의 개인 키로 상기 자격증명 요청에 서명함으로써 생성되는
자격증명 검증 방법.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962809750P | 2019-02-25 | 2019-02-25 | |
| PCT/US2020/020001 WO2020176691A1 (en) | 2019-02-25 | 2020-02-26 | Credential verification and issuance through credential service providers |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20220002874A true KR20220002874A (ko) | 2022-01-07 |
Family
ID=72143090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020217030693A Pending KR20220002874A (ko) | 2019-02-25 | 2020-02-26 | 자격증명 서비스 제공자를 통한 자격증명 검증 및 발행 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11997205B2 (ko) |
| EP (1) | EP3932002A4 (ko) |
| JP (1) | JP7462910B2 (ko) |
| KR (1) | KR20220002874A (ko) |
| CN (1) | CN113853775B (ko) |
| SG (1) | SG11202109105WA (ko) |
| WO (1) | WO2020176691A1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024117620A1 (ko) * | 2022-11-30 | 2024-06-06 | (주)소프트제국 | 블록체인 did 기반 오픈배지 제공 시스템 및 방법 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11604868B2 (en) * | 2019-03-21 | 2023-03-14 | BadgeCert Inc. | Systems and methods for leveraging internet identity for digital credentialing |
| US11102009B2 (en) * | 2019-08-01 | 2021-08-24 | EMC IP Holding Company LLC | Method and system transacting data using verifiable claims |
| US10977055B2 (en) | 2019-08-01 | 2021-04-13 | EMC IP Holding Company LLC | Method and system creating and using sub-data confidence fabrics |
| US11294734B2 (en) | 2019-08-01 | 2022-04-05 | EMC IP Holding Company LLC | Method and system optimizing the use of sub-data confidence fabrics |
| US11310272B2 (en) | 2019-08-01 | 2022-04-19 | EMC IP Holding Company LLC | Method and system creating and using data confidence fabric processing paths |
| US11475073B2 (en) | 2019-08-02 | 2022-10-18 | EMC IP Holding Company LLC | System and method for management of data from deployments |
| US12244727B2 (en) * | 2019-08-20 | 2025-03-04 | Nippon Telegraph And Telephone Corporation | User credential control system and user credential control method |
| US11360703B2 (en) | 2019-10-22 | 2022-06-14 | EMC IP Holding Company LLC | Method and system for a trusted actuation via data fabric metadata |
| US11388147B2 (en) | 2020-01-31 | 2022-07-12 | EMC IP Holding Company LLC | System and method for redirecting data access to local trust managers via an indirection logic service |
| US11587084B2 (en) * | 2020-02-28 | 2023-02-21 | Microsoft Technology Licensing, Llc | Decentralized identification anchored by decentralized identifiers |
| US20210314293A1 (en) * | 2020-04-02 | 2021-10-07 | Hewlett Packard Enterprise Development Lp | Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication |
| US11405216B2 (en) * | 2020-05-07 | 2022-08-02 | Adp, Inc. | System for authenticating verified personal credentials |
| US20220123950A1 (en) * | 2020-10-15 | 2022-04-21 | Cisco Technology, Inc. | Multi-party cloud authenticator |
| US12081979B2 (en) * | 2020-11-05 | 2024-09-03 | Visa International Service Association | One-time wireless authentication of an Internet-of-Things device |
| US11962842B1 (en) | 2020-12-30 | 2024-04-16 | CSC Holdings, LLC | Formulation and display of wireless connection credentials |
| WO2022160039A1 (en) * | 2021-01-26 | 2022-08-04 | Affinitiquest.Io | System and method for distributed management of consumer data |
| WO2023127977A1 (ko) | 2021-12-27 | 2023-07-06 | (주)이스톰 | 블록체인 기반 인증 및 거래 시스템 |
| WO2023133521A1 (en) * | 2022-01-07 | 2023-07-13 | GCOM Software LLC | Method and system for digital identity and transaction verification |
| US20230259918A1 (en) * | 2022-02-15 | 2023-08-17 | Paypal, Inc. | Decentralized Identity on Blockchain for a Multi-sided Network |
| WO2023183778A1 (en) * | 2022-03-21 | 2023-09-28 | Ankr Pbc | Systems and methods for verification of protected private information |
| DE102022107718A1 (de) * | 2022-03-31 | 2023-10-05 | Bundesdruckerei Gmbh | Ausstellen eines digitalen Credentials für eine Entität |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9955332B2 (en) * | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US8949609B2 (en) | 2009-07-13 | 2015-02-03 | Nec Corporation | Anonymous authentication signature system, user device, verification device, signature method, verification method, and program therefor |
| US20120233334A1 (en) * | 2011-03-07 | 2012-09-13 | Avaya Inc. | Shared media access for real time first and third party control |
| US20140245412A1 (en) * | 2011-05-16 | 2014-08-28 | Nokia Solutions And Networks Oy | Linking credentials in a trust mechanism |
| EP2792104B1 (en) * | 2011-12-21 | 2021-06-30 | SSH Communications Security Oyj | Automated access, key, certificate, and credential management |
| US8935777B2 (en) * | 2012-02-17 | 2015-01-13 | Ebay Inc. | Login using QR code |
| US9053304B2 (en) * | 2012-07-13 | 2015-06-09 | Securekey Technologies Inc. | Methods and systems for using derived credentials to authenticate a device across multiple platforms |
| US9232400B2 (en) | 2012-11-13 | 2016-01-05 | Alcatel Lucent | Restricted certificate enrollment for unknown devices in hotspot networks |
| US9397980B1 (en) * | 2013-03-15 | 2016-07-19 | Microstrategy Incorporated | Credential management |
| US9516018B1 (en) * | 2013-03-15 | 2016-12-06 | Microstrategy Incorporated | Credential technology |
| US11310056B2 (en) * | 2013-12-09 | 2022-04-19 | Sureclinical Inc. | System and method for high trust cloud digital signing and workflow automation in health sciences |
| US10929843B2 (en) * | 2014-05-06 | 2021-02-23 | Apple Inc. | Storage of credential service provider data in a security domain of a secure element |
| US9906512B2 (en) * | 2015-07-28 | 2018-02-27 | International Business Machines Corporation | Flexible revocation of credentials |
| US9668136B2 (en) * | 2015-09-25 | 2017-05-30 | Citrix Systems, Inc. | Using derived credentials for enrollment with enterprise mobile device management services |
| EP3234878A1 (en) * | 2015-10-14 | 2017-10-25 | Cambridge Blockchain, LLC | Systems and methods for managing digital identities |
| KR101637854B1 (ko) * | 2015-10-16 | 2016-07-08 | 주식회사 코인플러그 | 블록체인을 기반으로 하는 공인인증서 발급시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 발급방법 및 블록체인을 기반으로 하는 공인인증서 인증시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 인증방법 |
| US11386424B2 (en) * | 2016-01-25 | 2022-07-12 | Apple Inc. | Conducting transactions using electronic devices with non-native credentials |
| US10574692B2 (en) | 2016-05-30 | 2020-02-25 | Christopher Nathan Tyrwhitt Drake | Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements |
| US10560274B2 (en) * | 2016-06-09 | 2020-02-11 | International Business Machines Corporation | Credential-based authorization |
| GB201611948D0 (en) | 2016-07-08 | 2016-08-24 | Kalypton Int Ltd | Distributed transcation processing and authentication system |
| JP7112690B2 (ja) * | 2016-07-25 | 2022-08-04 | ティービーシーエーソフト,インコーポレイテッド | 分散トランザクションコンセンサスネットワークのデジタル財管理 |
| US10356087B1 (en) * | 2016-08-26 | 2019-07-16 | Intelligent Waves Llc | System, method and computer program product for credential provisioning in a mobile device platform |
| KR102305943B1 (ko) * | 2016-09-23 | 2021-09-27 | 애플 인크. | 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 |
| CN110945549A (zh) | 2017-03-15 | 2020-03-31 | 努Id公司 | 用于对用于跨机构数字认证的用户拥有的凭证的通用存储和访问的方法和系统 |
| US10645557B2 (en) * | 2017-04-04 | 2020-05-05 | Dell Products L.P. | Transferable ownership tokens for discrete, identifiable devices |
| CN110494878A (zh) * | 2017-04-05 | 2019-11-22 | 电信区块链联盟软件公司 | 通过电信运营商经由电话号码的数字财产汇款 |
| SG11201909404TA (en) * | 2017-04-18 | 2019-11-28 | Tbcasoft Inc | Anonymity and traceability of digital property transactions on a distributed transaction consensus network |
| US20180322489A1 (en) * | 2017-05-03 | 2018-11-08 | Meredith Altenhofen | System and method for restricted transaction processing |
| US11775950B2 (en) * | 2017-07-13 | 2023-10-03 | Softbank Corp. | Cross network authentication method and system |
| US20200294046A1 (en) * | 2017-09-10 | 2020-09-17 | Tbcasoft, Inc. | Selection of digital properties for transactions |
| US10862883B1 (en) * | 2017-10-09 | 2020-12-08 | Amazon Technologies, Inc. | Custom authorization of network connected devices using signed credentials |
| US10574460B2 (en) * | 2017-12-13 | 2020-02-25 | Google Llc | Mechanism for achieving mutual identity verification via one-way application-device channels |
| US20190188698A1 (en) * | 2017-12-19 | 2019-06-20 | Tbcasoft, Inc. | Computer apparatus for cross-ledger transfers between distributed ledgers |
| US10929842B1 (en) * | 2018-03-05 | 2021-02-23 | Winklevoss Ip, Llc | System, method and program product for depositing and withdrawing stable value digital assets in exchange for fiat |
| CA3092945A1 (en) * | 2018-03-08 | 2019-09-12 | Visa International Service Association | Method for providing data security using one-way token |
| US11044091B1 (en) * | 2018-03-15 | 2021-06-22 | Secure Channels Inc. | System and method for securely transmitting non-pki encrypted messages |
| US11863663B2 (en) * | 2018-03-20 | 2024-01-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Initial network authorization for a communications device |
| US11550299B2 (en) * | 2020-02-03 | 2023-01-10 | Strong Force TX Portfolio 2018, LLC | Automated robotic process selection and configuration |
| US11212102B2 (en) | 2018-07-03 | 2021-12-28 | Royal Bank Of Canada | System and method for an electronic identity brokerage |
| US11303627B2 (en) * | 2018-05-31 | 2022-04-12 | Oracle International Corporation | Single Sign-On enabled OAuth token |
| WO2020013738A1 (en) * | 2018-07-09 | 2020-01-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for managing cloud services using smart contracts and blockchains in a federation of cloud providers |
| IL261679A (en) * | 2018-09-06 | 2018-10-31 | Acuant Inc | System and method for management of digital id |
| US10945131B2 (en) * | 2018-12-11 | 2021-03-09 | Charter Communications Operating, Llc | Methods and apparatus for securely storing, using and/or updating credentials using a network device at a customer premises |
| US11263621B2 (en) * | 2018-12-27 | 2022-03-01 | Paypal, Inc. | Parent level token issuance for asynchronous data processing based on device trust levels |
| US11652632B2 (en) * | 2020-05-07 | 2023-05-16 | Vmware, Inc. | Contextual automated device onboarding |
-
2020
- 2020-02-25 US US16/801,114 patent/US11997205B2/en active Active
- 2020-02-26 KR KR1020217030693A patent/KR20220002874A/ko active Pending
- 2020-02-26 CN CN202080016658.5A patent/CN113853775B/zh active Active
- 2020-02-26 EP EP20762690.4A patent/EP3932002A4/en active Pending
- 2020-02-26 SG SG11202109105WA patent/SG11202109105WA/en unknown
- 2020-02-26 JP JP2021549340A patent/JP7462910B2/ja active Active
- 2020-02-26 WO PCT/US2020/020001 patent/WO2020176691A1/en unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024117620A1 (ko) * | 2022-11-30 | 2024-06-06 | (주)소프트제국 | 블록체인 did 기반 오픈배지 제공 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3932002A1 (en) | 2022-01-05 |
| US11997205B2 (en) | 2024-05-28 |
| CN113853775A (zh) | 2021-12-28 |
| JP7462910B2 (ja) | 2024-04-08 |
| EP3932002A4 (en) | 2022-10-05 |
| WO2020176691A1 (en) | 2020-09-03 |
| CN113853775B (zh) | 2023-09-19 |
| JP2022531754A (ja) | 2022-07-11 |
| US20200274713A1 (en) | 2020-08-27 |
| SG11202109105WA (en) | 2021-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11997205B2 (en) | Credential verification and issuance through credential service providers | |
| US12015716B2 (en) | System and method for securely processing an electronic identity | |
| US10887098B2 (en) | System for digital identity authentication and methods of use | |
| US20240313971A1 (en) | Privacy-preserving identity attribute verification using policy tokens | |
| US11445364B2 (en) | Secure data communication | |
| US11646891B2 (en) | Compact recordation protocol | |
| EP3460692A1 (en) | Identity management for implementing vehicle access and operation management | |
| US9397838B1 (en) | Credential management | |
| WO2019099486A1 (en) | System for digital identity authentication and methods of use | |
| US20050114666A1 (en) | Blocked tree authorization and status systems | |
| US20030070101A1 (en) | Method and apparatus for protecting personal information and for verifying identities | |
| US12093403B2 (en) | Systems and methods of access validation using distributed ledger identity management | |
| US20240187259A1 (en) | Method and apparatus for generating, providing and distributing a trusted electronic record or certificate based on an electronic document relating to a user | |
| KR102131206B1 (ko) | 법인 관련 서비스 제공 방법, 이를 지원하는 방법, 이를 수행하는 서비스 서버 및 인증 서버 | |
| US20230179402A1 (en) | Device asserted verifiable credential | |
| KR20220048997A (ko) | 분산된 아이덴티티 플랫폼들을 위한 통합 인증 시스템 | |
| Shehu et al. | On the interoperability of european national identity cards | |
| US20240370577A1 (en) | Systems and methods of access validation using distributed ledger identity management | |
| US20220393882A1 (en) | Secured private credential certificate | |
| KR102829377B1 (ko) | VP(Verifiable Credential)에 포함되는 제3자 의견정보의 강제 태깅 방법 | |
| EP4050923A1 (en) | Systems and methods of access validation using distributed ledger identity management | |
| Rajput et al. | Analysis of newer Aadhaar privacy models | |
| US20250240174A1 (en) | Method and system for managing user data | |
| Sasso et al. | A proposal for a unified identity card for use in an academic federation environment | |
| Vakalis | Use of ePassport for Identity Management in Network-Based Citizen-Life Processes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0105 | International application |
Patent event date: 20210924 Patent event code: PA01051R01D Comment text: International Patent Application |
|
| PG1501 | Laying open of application |