CN114930770A - 基于分布式分类账的凭证鉴别方法及*** - Google Patents
基于分布式分类账的凭证鉴别方法及*** Download PDFInfo
- Publication number
- CN114930770A CN114930770A CN202080072879.4A CN202080072879A CN114930770A CN 114930770 A CN114930770 A CN 114930770A CN 202080072879 A CN202080072879 A CN 202080072879A CN 114930770 A CN114930770 A CN 114930770A
- Authority
- CN
- China
- Prior art keywords
- credential
- certificate
- issuer
- server
- transaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000012797 qualification Methods 0.000 claims description 42
- 238000004891 communication Methods 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims 2
- 230000008901 benefit Effects 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010200 validation analysis Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 229920000638 styrene acrylonitrile Polymers 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开自分布式分类账用以发布新增及删除角色及凭证的交易的方法与***,该方法与***凭证鉴别两个相互连接的服务器。该角色界定哪个服务器针对那种角色及凭证发布何种交易。当角色被请求时,新增角色及核发者凭证的两个交易被发布至分布式分类账。当具有任何角色的服务器的凭证被请求时,仅仅发布新增凭证至分布式分类账的交易。所有的交易皆经由凭证请求服务器、凭证核发服务器、以及维护分布式分类账的分布式分类账网络的执行而发布。两个相互连接的服务器可借由自分布式分类账找回凭证的方式相互确认对方身份的真实性,其具有分布式分类账技术的凭证不可变性以及可用性等优势。
Description
交叉引用
本申请要求2019年10月18日提交的、名称为“基于区块链的相互认证连接管理”的62/923,472号临时申请的优先权,其全部内容通过引用包含在本申请中。
技术领域
本发明涉及建立凭证鉴别的通信连接的方法及***,尤其关于利用分布式分类账技术来建立凭证鉴别的通信连接的方法及***。
背景技术
为了确保网络连接的安全性,相互鉴别(mutual authentication)为各个实体在通信前相互认证的安全流程。在网络环境中,客户端及服务器两者必须提供凭证以证明身份。相互鉴别流程中,客户端及服务器必须先交换、确认、并信任对方的凭证后才能建立连接。而业界已发展出传送层保全(Transport Layer Security/TLS)协定以及先前的安全套接层(Secure Socket Layer/SSL)协定凭证交换及身份确认的方案。SSL/TLS协定采用广泛使用的X.509凭证,其为由X.509标准定义的公开秘钥凭证。TX.509凭证与密码秘钥对相关联,并具有网页、个体、或组织的身份。
然而,在凭证不可变性(immutability)、凭证可用性(availability)、以及凭证历史上,X.509凭证并非完善。骇客可攻击窜改X.509凭证。一旦根凭证或任何凭证权限(CA)遭受到破坏,***安全也将遭受破坏。X.509凭证可用性的缺点在于服务器必须具有自己的凭证数据库,这将造成不同凭证数据库之间数据不一致的状况发生。关于凭证历史方面,X.509的缺点在于X.509凭证的数据库不包含所有新增及作废凭证的记录。
发明内容
本发明的目的在于提供发布核发者资格及核发者凭证的方法及***,用以发布服务器凭证至分布式分类账以执行凭证鉴别。当确认分布式分类账中的凭证时,在分布式分类账中新增及删除服务器凭证,该自分布式分类账由分布式分类账网络维护以改善凭证不可变性及凭证可用性。
为了达到上述目的,本发明公开一种经由凭证核发节点(CI)及凭证请求服务器(CR)发布核发者资格以及核发者凭证至由包含于该CI的分布式分类账网络所维护的分布式分帐的方法,该CI及该CR可相互通信,该方法包括:
(a)该CI自该CR接收资格相关数据;
(b)该CI签署并提交核发者资格交易至该分布式分类账;
(c)当该核发者凭证的签署者并非该CR时,该CR及该CI其中之一产生并签署一核发者凭证给该CR并寄送该核发者凭证至该CR;以及
(d)该核发者资格交易在该分布式分类账中产生后,该CR及该CI的其中之一签署该核发者凭证的核发者凭证交易并提交该核发者凭证交易至该分布式分类账。
为了达到上述目的,本发明公开一种借由一凭证核发服务器(CI)及凭证请求服务器(CR)发布服务器凭证的方法,该CI及该CR可相互通信且可与包含该CI的分布式分类账网络维护的分布式分类账相互通信,该方法包括:
(a)CI自CR接收凭证相关数据;
(b)该CI针对该CR产生并签署一服务器凭证并寄送该服务器凭证至该CR;以及
(c)该CI签署并提交一服务器凭证交易至该分布式分类账。
为了达到上述目的,本发明公开一种用于一连接服务器(connecting server/CS)及一接收服务器(receiving server/RS)的凭证鉴别方法,该CS及该RS可相互通信的地相互连接且可相互通信的地连接至分布式分类账网络,该分布式分类账网络维护一分布式分类账,该方法包括:
(a)该RS与该CS交换一身份识别;
(b)该RS根据CS身份识别自该分布式分类账找回CS的凭证及CS凭证核发者的公开秘钥;
(c)该RS以该CS凭证核发者的公开秘钥确认该CS的凭证是否真实;
(d)CS的凭证确认为真实后,该RS判定该CS已被认证,并自该RS接收秘密数据。
为了达到上述目的,用于发布核发者资格及核发者凭证的分布式分类账***包含凭证请求服务器(CR)及一分布式分类账网络。
分布式分类账网络维护分布式分类账,其可相互通信的地连接至CR,并包含凭证核发节点(CI)。该CI自该CR接收资格相关数据,签署并提交核发者资格交易至该分布式分类账。当该核发者凭证的一签署者并非该CR时,该CR及该CI其中之一产生并签署一核发者凭证给该CR并寄送该核发者凭证至该CR。该核发者资格交易在该分布式分类账中产生后,该CR及该CI的其中之一签署该核发者凭证的一核发者凭证交易并提交该核发者凭证交易至该分布式分类账。
为了达到上述目的,用于发布服务器凭证至分布式分类账的分布式分类账***包含凭证请求服务器(CR)及一分布式分类账网络。
该分布式分类账网络包有分布式分类账,且该分布式分类账网络可相互通信的地连接至CR,并包含一凭证核发服务器(CI)。该CI自该CR接收凭证相关数据,产生并签署该CR的服务器凭证,发送该服务器凭证至该CR,并签署及提交服务器凭证交易至该分布式分类账。
为了达到上述目的,本发明公开了一种分布式分类账的凭证鉴别***,包括一分布式分类账网络,连接服务器(CS)及接收服务器(RS)。
该分布式分类账网络维护分布式分类账。
该CS可相互通信的地连接至该分布式分类账网络。
该RS可相互通信的地连接至该分布式分类账网络,与该CS交换一身份识别,基于一CS身份识别自该分布式分类账找回一CS的凭证及一CS凭证核发者的公开秘钥以确认该CS的凭证是否真实,当CS的凭证确认为真实后,该RS判定该CS已被认证,并自该RS接收秘密数据。
根据以上的描述,所有具有角色或不具有角色的服务器皆具有个别的凭证,该凭证由授权的服务器自分布式分类账新增或删除。分布式分类账中的角色定义何种角色的服务器具有新增或删除何种角色及凭证的权力,藉此以防止未被授权的个体破坏分布式分类账中的凭证及角色。而分布式分类账具有分布的(decentralized)本质。由于不具有集中的个体(centralized entity)可成为恶意行为攻击的目标,因此本发明更富有安全性。另外,由于分布式分类账可以复制的模式全域地展开,以避免产生单点故障。因此,发布至分布式分类账的角色及凭证可受益于分布的分类账的不可变性。根据共识机制(consensusmechanism),分布式分类账中的凭证及角色可随时快速更新,分布式分类账中凭证及角色的不一致性将不再发生。因此,以本发明的方法及***新增凭证至分布式分类账使得服务器必须以凭证鉴别的手法相互辨识身份,其对提升服务器通信的安全性极为重要。再者,分布式分类账的透明性也被视为一项优势。分布式分类账可使得所有储存的数据容易被存取,使得服务器通信时提升相互凭证鉴别的透明度。
本发明的其他目的,优势及具新颖性的技术特征在以下做进一步地描述。
附图说明
图1为说明根据本发明的由服务器产生的服务器角色及凭证之间的关系的方块图;
图2为说明根据本发明的发布核发者资格及核发者凭证至分布式分类账的方法流程图;
图3为说明图2中CR请求成为受托人角色以及CI为受托人群体角色的方法流程图;
图4为说明图2中CR请求成为操作者角色以及CI为受托人角色的方法的一实施例的流程图;
图5为说明图2中CR请求成为操作者角色以及CI为受托人角色的方法的另一实施例的流程图;
图6为说明图2中产生核发者凭证方法的步骤流程图;
图7为说明根据本发明的发布服务器凭证至分布式分类账的方法流程图;
图8为说明根据本发明的连接服务器及一接收服务器的凭证鉴别方法的一实施例的流程图;
图9为说明图8中方法的另一实施例流程图;
图10为根据本发明的发布核发者资格及核发者凭证的分布式分类账***一实施例的网络结构图;
图11为说明图9中的分布式分类账***及一发布服务器凭证的分布式分类账***的另一实施例的网络结构图;以及
图12为说明凭证鉴别的分布式分类账网络的网络结构图。
具体实施方式
本文中所使用的词汇是用来描述本发明特定具体实施例中的细节,所有的词汇应以最大的范畴做合理解读。某些词汇将在以下特别强调;任何限制性用语将由具体实施例定义。
以下所述的实施例可由可程序电路程序或由软件及/或硬件配置,或整体由特殊功能电路,或上述的组合来实施。该特殊功能电路(如果本案有包含)可以以下形式实施,例如:一个或多个特殊应用集成电路(ASIC)、可程序逻辑装置(PLD)、场域可程序化逻辑门阵列(FPGA)…等。
本发明中的每个服务器具有其身份的凭证,该凭证是储存于分布式分类账网络维护的分布式分类账中。第一服务器的凭证是提交至与该第一服务器连接的第二服务器,以确认该凭证的真实性。凭证确认后,该第二服务器信赖该第一服务器并发送秘密数据至该第一服务器。同样的,第二服务器亦可提供其凭证至该第一服务器作确认。仅具有核发者资格的服务器可自分布式分类账新增或删除凭证。因此,核发者资格应自分布式分类账新增或删除以监测哪一个服务器可新增或删除何种核发者资格以及凭证。分布式分类账规则负责订定服务器核发者资格的种类,新增及删除对应的交易,或废止其他服务器核发者资格及凭证。
简单来说,在此所描述的实施例涉及一种或多种发布分布式分类账中的核发者资格及凭证用以作为凭证鉴别的方法及***。为了达成任何两个服务器连接的凭证鉴别,自分布式分类账找回的凭证可根据服务器的身份识别及服务器交换的凭证而被确认是否存在或找回的凭证是否与交换的凭证相匹配,其可作为在服务器之间传输的启动鉴别的数据的基础。在此采用分布式分类账是因为其凭证信任以及不变性的优势;且,其技术核心在于分布式分类账中储存多个核发者资格及凭证的凭证储存区。正如其名称所示,具核发权限的服务器拥有核发者资格,该服务器可在分布式分类账新增或删除核发者资格及其他服务器凭证。分布式分类账中也具有核发者资格或核发者角色的服务器的凭证,而不具有核发者资格的服务器仅仅可以在分布式分类账维护其凭证。新增具有核发者角色的服务器时,新增服务器凭证的交易以及新增服务器核发者角色的交易借由分布式分类账,及凭证请求服务器(CR)及凭证核发节点(CI)之间的互动来发布,其为分布式分类账网络中的多个服务器其中的两个。新增不具有核发者角色的服务器时,新增服务器凭证的交易是发布至分布式分类账。除了发布交易,在此的执行也涉及以分类账秘钥对(key pair)签署及交易的确认,及以凭证秘钥对签署及确认凭证。当核发者角色或凭证自分布式分类账删除或作废,删除核发者角色或废止凭证的交易被发布至分布式分类账。本发明中方法及***将会在以下有进一步说明。
本发明的目的在于强调仅有核发者可签署或发布凭证。为了达到此目的,本发明包含两种核发者角色,其为受托人(Trustee)及操作者(operator);以及三种凭证,分别为根(root)凭证,管理者凭证,以及服务器凭证。虽然所有凭证必须发布至分布式分类账;在允许的分布式分类账网络中,只有具有核发者角色的服务器可为其他服务器发布凭证及发布核发者角色。受托人及操作者的核发者角色代表其受到信任,而每一个位置控制服务器执行的管理者被授权可发布凭证及核发者角色。为了简化,在此“角色”一词将取代“核发者角色”。具有受托人角色、操作者角色、以及不具角色的服务器具有个别具有根凭证(rootcertificate)、管理者凭证、及服务器凭证。尽管名称不同,以共同数据栏位的角度而言,上述三种凭证基本上皆相同,除了他们使用公开秘钥进行确认的方法不同以外。根凭证以及管理者凭证属于核发者凭证,其公开秘钥可被用来确认核发者凭证的核发者所签署的凭证,而服务器凭证中的公开秘钥不可被用来确认其他凭证,这是因为具有服务器凭证的服务器没有核发任何凭证的权利且没有任何具有服务器凭证的服务器签署的凭证。
每个凭证及签署者凭证之间的签署关系为核发者凭证签署及确认核发者所签署的凭证。任何确认的凭证,核发者凭证签署该凭证可安全的找出自分布式分类账以确认凭证,且该确认流程可被追朔至最初的凭证,也就是根凭证。请参照图1,其描述凭证种类以及具有核发者角色的实体的示例,左方的方块为分布式分类账网络中具有核发者角色的服务器,右方的方块表示三种由授权的服务器发布至分布式分类账的凭证。如图1所示,具有操作者角色的服务器负责发布新增其管理者凭证以及其他服务器的服务器凭证的交易,而不担任分布式分类账的核发者角色,具备受托人角色的服务器具有发布新增其根凭证至分布式分类账的交易的权利。在图1的右侧显示分布式分类账中三种不同的凭证。每个管理者凭证可用于确认由管理者凭证所签署的服务器凭证,且根凭证可用于确认由发布该根凭证服务器签署的管理者凭证。凭证的确认流程可在任何服务器凭证或管理者凭证所在的位置开始,并在根凭证结束;介于服务器凭证或管理者凭证与根凭证之间的其他中间管理者凭证(如果存在的话)则依序确认。同时,确认流程不需要执行到根凭证,只要符合条件,或是不符合条件,即可终止。该条件包含(但不受限于)正在进行确认的凭证是否在预先核可的清单中或确认的开始与结束皆在同一个凭证。无论如何,具有受托人及操作者角色的服务器的数量,根凭证、管理者凭证、及服务器凭证的数量,凭证阶级结构都不受限于图1。
以下的表格说明分布式分类账中何种角色可发布何种交易至分布式分类账的规则,其更详细说明角色及凭证之间的关系。
分布式分类账规则表格
交易种类\角色 | 受托人 | 操作者 | 信任群体 |
新增/删除受托人 | 否 | 否 | 是 |
新增/删除操作者 | 是 | 是 | 否 |
新增/作废根凭证 | 是 | 否 | 否 |
新增/作废管理者凭证 | 是 | 是 | 否 |
新增/作废服务器凭证 | 否 | 是 | 否 |
根据上述表格,具有受托人角色的服务器有权利发布新增及删除操作者角色、根凭证、以及分布式分类账相关的服务器的管理者凭证的交易。值得注意的是具有受托人角色的服务器没有权利新增或作废其他服务器的服务器凭证。具有受托人角色的服务器没有权利单独发布新增及删除其他服务器的受托人角色的交易,除非该服务器是分布式分类账唯一具有受托人角色的服务器。而具有受托人群体(Trustee Quorum)的角色(其被定义为分布式分类账中至少一服务器的绝对多数的集合(congregate)角色,该至少一服务器具有受托人的角色)的服务器,有权发布新增及删除具有受托人角色的服务器的交。相反于受托人角色,具有操作者角色的服务器有权利发布新增及删除或废止操作者角色、管理者凭证及一分布式分类账其他服务器的服务器凭证的交易。值得注意的是具有受托人角色服务器以及具有操作者角色的服务器两者皆可发布新增、删除及废止服务器操作者角色及管理者凭证的交易。不具有角色服务器则无权发布任何交易。
具有核发者角色及凭证的分布式分类账中的凭证储存区对于两个相连接的服务器的凭证鉴别而言还尚未成熟前,如何发布新增及删除角色及凭证的交易为优先。当凭证储存区刚开始建立时,发布创始交易(genesis transaction)至该凭证储存区以产生第一个具有受托人角色的服务器。创始交易包含受托人的分布识别符(decentralizedidentifier/DID)、用以确认由受托人发布的任何交易的分布式分类账签名的公开秘钥、以及受托人角色。
请参照图2,其提供根据本发明的发布核发者资格以及核发者凭证至分布式分类账的方法的实施例。在此实施例中的该方法涉及凭证请求服务器(CR)及一凭证核发节点(CI),其两者皆为分布式分类账网络的一部分。CI可包含一个或多个服务器。当CI为分布式分类账中具有受托人角色群体或受托人角色的一节点,且CR请求由CI将其以受托人角色或操作者被新增至分布式分类账时,采用该方法。在该方法中,暂不讨论不具有任何角色的服务器及服务器凭证。发布至该分布式分类账的交易可意图新增或删除角色及凭证,该方法包含以下步骤S210至S240:
步骤S200:CI确定将发布的交易的种类。交易的种类包含新增角色及凭证、删除角色、以及作废凭证。
步骤S210:当确定新增角色及凭证的交易的种类时,CI自CR接收资格相关的数据。在新增CR的核发者资格或角色的交易中,资格相关数据为必要的,资格相关数据是被新增至分布式分类账并包含DID、分类账公开秘钥、及CR的角色。基本上,凭证储存区中的每一个具有角色的服务器具有分类账秘钥对及凭证秘钥对,两者皆属于非对称秘钥对。分类账对具有分类账公开秘钥及分类账私密秘钥,而凭证对具有凭证公开秘钥及凭证私密秘钥。与服务器相关的分类账私密秘钥储存于服务器,且服务器利用该分类账私密秘钥签署将发布至凭证储存区的交易。与服务器相关的分类账公开秘钥被传送至新增服务器至分布式分类账的交易,该交易可为新增CR的当前步骤。因此,分布式分类账可确认任何之后由服务器通过服务器的分类账公开秘钥签署的交易。在另一方面,服务器借由服务器的凭证私密秘钥签署其他服务器的凭证,该凭证可为管理者凭证及服务器凭证其中之一。服务器的凭证公开秘钥是包含于服务器的凭证中,用以确认由服务器签署的其他服务器的凭证。
步骤S220:CI签署及提交核发者资格交易至分布式分类账。核发者资格交易使CR登录在分布式分类账上,核发者资格交易包含DID及CR的分类账公开秘钥、CI的DID、以及将被新增至分布式分类账的CR的角色,该核发者资格交易由CI的分类账私密秘钥签署。根据上述的分布式分类账规则表格,CR可提出请求以成为受托人角色或操作者,而CI可提出请求以成为受托人角色群体或受托人。当CR请求成为受托人角色时,CI应成为受托人角色群体并包含至少一个服务器。当CR请求成为操作者角色,CI可成为受托人角色或操作者并为单独的服务器。
步骤S230:当核发者凭证的签署者并非CR时,CR及CI其中之一产生并签署CR的核发者凭证并发送该核发者凭证至CR。当CR请求成为受托人角色时,CR产生并签署核发者凭证,且该核发者凭证为根凭证。当CR请求成为操作者角色时,CI产生并签署该核发者凭证,且核发者凭证为管理者凭证。取决于CR的角色请求,核发者凭证由CR及CI其中之一的凭证私密秘钥签署,而该CR及CI产生核发者凭证。当核发者凭证的产生者为CI时,CI必须发送核发者凭证至CR以便储存以及之后的确认。
步骤S240:分布式分类账中产生核发者资格交易后,具有核发者凭证的CR及CI任何其中之一签署核发者凭证交易并提交核发者凭证交易至分布式分类账。仅有在核发者资格交易在分布式分类账中产生后,核发者资格交易应被签署并提交至分布式分类账。当CR请求成为受托人角色时,CR产生自己的根凭证,且仅有该CR拥有根凭证;从而如图3所示,CR签署并提交核发者凭证交易至分布式分类账。当CR请求成为操作者角色时,CI为CR产生及签署管理者凭证并进一步发送管理者凭证至CR,CI及CR两者具有管理者凭证,因此CI或CR可签署及提交核发者凭证交易至分布式分类账,如图4-5所示。核发者凭证交易包含提交者的DID、凭证识别、核发者凭证、及提交者签名。提交者可为CR或CI两者之一,并具有核发者凭证。凭证识别为核发者凭证的哈希值(hash value)。核发者凭证包含CR的身份识别及凭证公开秘钥、CR的可选的角色、以及由核发者凭证的凭证签署者的凭证私密秘钥签署的签名。CR的身份识别为一主题备用名称(Subject Alternative Name/SAN),其可为一网址,例如:www.tbcasoft.com。CR的角色为可选的,其为确认及使用与拥有核发者凭证的服务器相关的核发者凭证角色所必须的。发布核发者凭证交易之前,核发者凭证交易提交者以其分类账私密秘钥签署核发者凭证交易。
取决于凭证请求服务器的角色,步骤S230可包含不同的步骤。当CR的角色为受托人时,图3说明CR请求成为受托人角色的流程图,图4及5说明CR请求成为操作者角色的流程图。请参阅图6,为实施CR请求的角色,步骤S230包含以下步骤:
步骤S231:当CR请求的角色为受托人时,CR产生根凭证。CR产生根凭证。本发明中,分布式分类账规则规定仅有具有受托人角色的服务器可新增根凭证。
当CR的角色为操作者时,步骤S230包含以下步骤:
步骤S232:当CR请求的角色为操作者时,CR发送管理者凭证签署请求(CSR)至CI。管理者CSR包含操作者数据以及CR的凭证公开秘钥。操作者数据包含CR的SAN、公司名称、部门名称、城市、州或省、国家、及连络电子邮件信箱。
步骤S233:CI以管理者CSR产生管理者凭证并以CI的凭证公开秘钥签署管理者凭证,产生管理者凭证,以及发送管理者凭证至CR。CI产生管理者凭证。本发明中,分布式分类账规则规定具有受托人角色或为操作者的服务器可新增管理者凭证。
图4及5不同处在于发布核发者凭证交易的服务器。只要服务器具有发布核发者凭证交易的角色,CR或CI发布核发者凭证交易皆可。当即将发布的角色为操作者时,图4中具有受托人角色的CI或图5中具有操作者角色的CR可发布核发者凭证交易。
当想要在凭证储存区中删除服务器或作废任何凭证时,删除服务器或废止凭证的交易可发布至分布式分类账。因此,上述方法更包含下列步骤以自分布式分类账中删除具有角色的服务器及废止凭证。请参阅图2,上述方法更包含以下步骤以删除及废止角色与凭证。
步骤S250:当确定删除角色的种类以及删除具有受托人角色的服务器时,具有受托人角色的至少一个服务器的绝对多数产生受托人删除交易以删除服务器,签署受托人删除交易,并提交受托人删除交易至分布式分类账。本步骤涉及删除具有受托人角色的服务器。受托人删除交易包含服务器的DID以及至少一个对应至少一个服务器的绝对多数的DID,且受托人删除交易由至少一个服务器的绝对多数的至少一个分类账私密秘钥签署;
步骤S260:当确定删除角色的种类以及删除具有操作者角色的第一服务器时,第二服务器产生操作者删除交易以自分布式分类账删除第一服务器,签署操作者删除交易并提交操作者删除交易至分布式分类账,该第二服务器原先具有受托人角色或为操作者并新增第一服务器至分布式分类账。当前步骤涉及删除具有操作者角色的服务器。操作者删除交易包含第二服务器的DID及一第一服务器的DID,且该操作者删除交易由第二服务器的分类账私密秘钥签署。
步骤S270:当确定废止凭证的种类以及废止在分布式分类账中具有受托人角色或为操作者的第一服务器的核发者凭证时,具有受托人角色或操作者并新增核发者凭证的第二服务器产生凭证废止交易以自分布式分类账作中废核发者凭证,签署凭证废止交易,并提交凭证废止交易至分布式分类账。当第一服务器具有受托人角色时,第二服务器应亦具有受托人角色,且当第一服务器具有操作者角色时,第二服务器可具有受托人角色或为操作者。当前步骤涉及删除核发者凭证,核发者凭证可能为根凭证或管理者凭证,当第一服务器具有受托人角色而第二服务器具有受托人角色时为根凭证;当第一服务器具有操作者角色而第二角色为受托人或操作者时为管理者凭证。凭证废止交易包含核发者凭证及第二服务器的DID的凭证识别,该凭证废止交易由第二服务器的分类账私密秘钥签署。
由于只有一个新增服务器凭证至分布式分类账的交易,发布服务器凭证至分布式分类账的方法与上述发布核发者资格凭证的方法的不同之处在于核发者资格交易的省略。图7为一流程图,其说明根据本发明的发布服务器凭证至分布式分类账的方法,其包含下列步骤。分布式分类账网络维护一分布式分类账。分布式分类账网络包含多个服务器,其中两者为凭证核发节点(CI)及凭证请求服务器(CR)。
步骤S610:CI自CR接收凭证相关数据。在此仅需要产生服务器凭证,而CI仅需要自CR取得凭证相关数据。凭证相关数据包含服务器数据及鉴别公开秘钥。服务器数据包含网际网络协定(IP)地址及CR主机名称。
步骤S620:CI为CR产生并签署服务器凭证且发送服务器凭证至CR。服务器凭证包含CR的SAN以及鉴别公开秘钥,服务器凭证由CI的凭证私密秘钥签署。
步骤S630:CI签署并提交服务器凭证交易至分布式分类账。服务器凭证交易包含服务器凭证、服务器凭证、以及CI的DID的凭证识别,服务器凭证交易由CI的分类账私密秘钥署。凭证IS为服务器凭证的哈希值。
作废新增至分布式分类账的服务器凭证,发布服务器凭证至分布式分类账的方法进一步包含以下步骤:
具有操作者角色并新增服务器凭证的服务器产生凭证废止交易以自分布式分类账中作废服务器凭证、签署凭证废止交易、并提交凭证废止交易至分布式分类账。凭证废止交易包含服务器凭证及新增服务器凭证的服务器的DID的凭证识别,凭证废止交易由新增核发者凭证的服务器的分类账私密秘钥签署。
讨论如何自分布式分类账新增及删除角色与凭证后,接下来将讨论如何使用彼此连接的服务器的凭证以确认服务器凭证的真实性,以达成数据交换彼此鉴别。请参照图8,分布式分类账网络中连接服务器(CS)及接收服务器(RS)的凭证鉴别方法,该分布式分类账网络维护根据本发明的分布式分类账,该方法包含以下RS端的步骤:
步骤S710:RS及CS交换其身份识别。RS的身份识别为RS的SAN而CS的身份识别为CS的SAN。RS及CS彼此交换其SAN。除了身份识别外,在某些实施例中,RS及CS可进一步交换其凭证,如图9所示。
步骤S720:RS根据CS身份识别自该分布式分类账找回CS的凭证及CS凭证核发者的公开秘钥。CS身份识别可被运用来自分布式分类账找回CS的凭证及CS凭证核发者的凭证,该凭证具有CS凭证核发者的公开秘钥。CS凭证核发者的公开秘钥用以确认CS的凭证,该凭证由具有CS凭证核发者的凭证的CS凭证核发者签署。如果以RS的身份识别无法自分布式分类账找回凭证,这表示RS的凭证非为真实。
步骤S730:RS以CS凭证核发者的公开秘钥确认CS的凭证是否真实。当CS的凭证及CS凭证核发者的公开秘钥可被RS存取,CS的凭证及CS凭证核发者的公开秘钥可直接被运用来确认CS的凭证是否真实。本发明中包含有其他确认方法。其中一个确认方法为利用交换的凭证,RS进一步确认交换的CS的凭证与找回的CS的凭证两者与CS凭证核发者的公开秘钥是否相匹配。在另一个确认方法中,RS初始化CS的凭证作为目前凭证,并以回圈的方式找回下一个凭证,该下个凭证以该下个凭证的凭证核发者的私密秘钥签署该目前凭证,利用该下个凭证中的该公开秘钥确认该目前凭证,当目前凭证已被确认,或者一确认条件已被满足时,以判定该CS的凭证被确认为真实,否则的话,更新该当前凭证至该下个凭证。举例而言,确认条件可为即将被确认的凭证是否在于事先核准的清单之中。
CS的凭证确认为真实后,这表示RS边的单边凭证鉴别以成功确认CS为一可信任的交换数据的服务器,而RS愿意自CS发送与接收秘密数据。
该方法更包含以下类似RS的凭证鉴别的步骤。
步骤S740:CS根据RS身份识别自分布式分类账找回RS的凭证及RS凭证核发者的公开秘钥。
步骤S750:CS以RS凭证核发者的公开秘钥确认RS的凭证是否真实。
同样的,RS的凭证确认为真实后,这表示CS边的单边凭证鉴别以成功确认RS为一可信任的交换数据的服务器,而CS愿意自RS发送与接收秘密数据。
由于RS及CS的凭证鉴别类似,步骤S740及S750的细节将不在此赘述。
说明上述方法后,将进一步说明执行上述方法的***。如同本发明公开三种发布核发者资格及核发者凭证至分布式分类账、发布服务器凭证至分布式分类账、以及分布式分类账网络中两服务器的凭证鉴别的方法,本发明公开三种对应个别方法的***;即,发布核发者资格及核发者凭证至分布式分类账的分布式分类账***、发布服务器凭证至分布式分类账的分布式分类账***、以及凭证鉴别的分布式分类账***。
发布核发者资格及核发者凭证的分布式分类账***涉及CR、CI、及分布式分类账网络。CR及CI各别为服务器及节点。当CI具有受托人角色群体时,其包含至少一服务器;而当CI具有受托人角色或为操作者时,可为单一服务器。取决于CR及CI是否需要发布交易至分布式分类账,CR及CI可为分布式分类账网络的一部分或非为一部分。当CR10请求成为受托人角色而CI20成为受托人角色群体时,CR10及CI20都必须留在分布式分类账网络30中,如图10所示,这是由于CR10及CI20两者皆为新增根凭证及CR10具备受托人角色而发布交易至分布式分类账。由于核发者凭证交易可由CR10或CI20,当CR10请求成为操作者角色而CI20具有受托人角色时,CI20必须留在分布式分类账网络30中,而CR10非一定需要留在分布式分类账网络30。当核发者凭证交易由CR10发布时,CR10必须留在分布式分类账网络30中,如图10所示。当核发者凭证交易由CI发布时,CR不需要留在分布式分类账网络30中,如图11所示,但必须与分布式分类账网络30连接。用于发布服务器凭证的分布式分类账***也包含CR10及CI20,其皆为服务器。CI20是唯一具有发布服务器凭证至分布式分类账权利的角色,因此CI20必须留在分布式分类账网络30。不像CI20,CR10不具有发布交易的角色,因此不具有留在分布式分类账网络30的必要性。尽管如此,CR10仍需要连接至分布式分类账网络。如图12所示,用于凭证鉴别的分布式分类账***中,连接服务器(CS)40及接收服务器(RS)50必须连接至分布式分类账网络30。凭证鉴别于发布交易非有直接关联性,连接服务器(CS)40及接收服务器(RS)两者在确认流程中必须读取分布式分类账。此外,连接服务器(CS)40及接收服务器(RS)两者需彼此连接。
由于分布式分类账具不可变性且不被单一集中的管理者控制,本发明中的方法及***可提供凭证也具有不可变性,这使得分布式分类账有利于运用在凭证鉴别。再者,凭证核发及注销历史也被记录在分布式分类账中。凭证可得性(availability)而言,由于分布式分类账由共通机构共同维护,分布式分类账网络中的服务器不需要管理分布式分类账,也确保了分布式分类账的一致性。
以上虽然阐述了本发明诸多技术特征及优势,但其公开的功能及细部结构皆为示例性说明。在不背离本发明的精神下,本发明申请专利范围的权利范畴最大解读方式涵盖基于本说明书的教示而改变本发明形状、大小、及部件的配置方式所得的改良。
Claims (32)
1.一种用于鉴别连接服务器CS及接收服务器RS的凭证方法,该CS、该RS可相互通信的地相互连接且可相互通信的地连接至分布式分类账网络,该分布式分类账网络保存分布式分类账,该方法包括:
(a)该RS与该CS交换身份识别;
(b)该RS根据CS身份识别自该分布式分类账找回CS的凭证及CS凭证核发者的公开秘钥;
(c)该RS以该CS凭证核发者的公开秘钥确认该CS的凭证是否真实;以及
(d)在该CS的凭证确认为真实后,该RS判定该CS已被认证,并自该RS接收秘密数据。
2.如权利要求1所述的方法,其中:
(1)根据RS身份识别,该CS自该分布式分类账找回RS的凭证及RS凭证核发者的公开秘钥;
(2)该CS以该RS凭证核发者的公开秘钥确认该RS的凭证是否为真实;以及
(3)在该RS的凭证被确认后,该CS判定该RS已被认证,并自该CS接收秘密数据。
3.如权利要求2所述的方法,其中在该步骤(a),该RS进一步与该CS交换一凭证。
4.如权利要求3所述的方法,其中在该步骤(c)及(2),该RS进一步以该CS凭证核发者的公开秘钥确认该交换的CS的凭证及找回的该CS的凭证是否匹配,且该CS进一步以该RS凭证核发者的公开秘钥确认该交换的RS的凭证及找回的该RS的凭证是否匹配。
5.如权利要求1所述的方法,其中该CS身份识别为该CS之一主题备用名称,而该RS身份识别为该RS的主题备用名称。
6.如权利要求1所述的方法,其中,在该步骤(c),该RS初始化该CS的凭证作为一目前凭证,并循环找回一下个凭证,其中该下个凭证以该下个凭证的一凭证核发者的一私密秘钥签署该目前凭证,利用该下个凭证中的该公开秘钥确认该目前凭证,以及当目前凭证已被确认,或者一确认条件已被满足时,判定该CS的凭证被确认为真实,否则的话,更新该当前凭证为该下个凭证;以及
在该步骤(2),该CS初始化该RS的凭证作为目前凭证,并循环找回下个凭证,该下个凭证以该下个凭证的凭证核发者的私密秘钥签署该目前凭证,利用该下个凭证中的该公开秘钥确认该目前凭证,以及当目前凭证已被确认,或者确认条件已被满足时,判定该RS的凭证被确认为真实,否则的话,更新该当前凭证至该下个凭证。
7.一种经由凭证核发节点CI及凭证请求服务器CR发布核发者资格以及核发者凭证至分布式帐本的方法,该CI及该CR可相互通信,该分布式帐本为一分布式帐本网络所维持,且该分布式帐本网络包含该CI,该方法包括:
(a)该CI自该CR接收资格相关数据;
(b)该CI签署并提交一核发者资格交易至该分布式帐本;
(c)当该核发者凭证的一签署者并非该CR时,该CR及该CI其中之一产生并签署用于该CR的一核发者凭证并传送该核发者凭证至该CR;以及
(d)在该核发者资格交易在该分布式帐本中产生后,具有该核发者凭证的该CR及该CI的其中之一签署核发者凭证交易并提交该核发者凭证交易至该分布式帐本。
8.如权利要求7所述的方法,其中与资格相关的数据包含一分布标识DID、一帐本公开秘钥及该CR的角色。
9.如权利要求7所述的方法,其中,该核发者资格交易包含新增至该分布式分类账的DID及该CR之一分类账公开秘钥,CI的DID,以及CR的角色。
10.如权利要求7所述的方法,其中,该CI以CI的分类账私密秘钥签署该核发者资格交易。
11.如权利要求9所述的方法,其中该核发者凭证交易包含提交者的DID,凭证识别,该核发者凭证,以及该提交者之一签名,其中该凭证识别为该核发者凭证之一哈希值,该核发者凭证包含身份识别及该CR的凭证公开秘钥,该CR的可选的角色,以及由该核发者凭证的该凭证签署者的凭证私密秘钥所签署的签名。
12.如权利要求11所述的方法,其中该CR的身份识别为主题备用名称。
13.如权利要求7所述的方法,其中核发者凭证交易提交者以其帐本私密秘钥签署该核发者凭证交易,当该核发者凭证交易由该CR提交时,该分布式帐本网络包含该CR,而当该核发者凭证交易由该CI提交时,该分布式帐本网络不包含该CR。
14.如权利要求9所述的方法,其中欲新增至该分布式帐本的该CR的角色为受托人,而分布式帐本中该CI的角色为受托人群体,该受托人群体被定义为该分布式帐本中具有该受托人角色的至少一个服务器的绝对多数的核发角色,且该CI包含该至少一个服务器的该绝对多数。
15.如权利要求14所述的方法,其中欲新增至该分布式帐本的该CR的角色为操作者,且该分布式帐本中该CI的角色为受托人或操作者。
16.如权利要求14所述的方法,其中在该步骤(c),该CR产生该核发者凭证并以该CR的一凭证私密秘钥签署该核发者凭证,该CR的该凭证私密秘钥可与该CR的该凭证公开秘钥配对。
17.如权利要求15所述的方法,其中在该步骤(c),该CI自该CR接收一核发者凭证签署请求CSR,并以该核发者CSR产生该核发者凭证,并以该CI的凭证私密秘钥签署该核发者凭证,该CI的该凭证私密秘钥可与该CI的该凭证公开秘钥配对,其中该核发者CSR包含操作者数据以及该CR的凭证公开秘钥。
18.如权利要求17所述的方法,其中该操作者数据包含该CR的主题备用名称、公司名称、部门名称、城市、州或省、国家以及连络电子邮件信箱。
19.一种借由凭证核发服务器CI及凭证请求服务器CR发布服务器凭证至分布式帐本的方法,该CI及该CR可相互通信,该分布式帐本为一分布式帐本网络所维持,该分布式帐本网络包含该CI,该方法包括:
(a)该CI自该CR接收凭证相关数据;
(b)该CI针对该CR产生并签署一服务器凭证并传送该服务器凭证至该CR;以及
(c)该CI签署并提交一服务器凭证交易至该分布式帐本。
20.如权利要求19所述的方法,其中该凭证相关数据包含服务器数据及鉴别公开秘钥,其中该服务器数据包含网际网络协定(IP)地址及该CR的一主机名称。
21.如权利要求20所述的方法,其中该服务器凭证交易包含该服务器凭证的凭证识别、该服务器凭证以及该CI的DID,且该服务器凭证交易由该CI的帐本私密秘钥签署,其中
该服务器凭证包含该CR的主题备用名称以及该鉴别公开秘钥,该服务器凭证由该CI的凭证私密秘钥签署;以及
该凭证识别为该服务器凭证的哈希值。
22.如权利要求19所述的方法,其中,
当废止该分布式帐本中的服务器凭证,具有操作者角色以及新增该服务器凭证的服务器产生凭证废止交易以废止该分布式帐本中的该服务器凭证,签署该凭证废止交易,并提交该凭证废止交易至该分布式帐本,其中该凭证废止交易包含该服务器凭证的该凭证识别及新增该服务器凭证的该服务器的DID,并且由新增该核发者凭证的该服务器的帐本私密秘钥签署。
23.一种分布式帐本的凭证鉴别***,包括:
分布式帐本网络,其维持一分布式帐本;
连接服务器CS,其以可通信方式连接至该分布式帐本网络;以及
接收服务器RS,其以可通信方式连接至该分布式帐本网络,与该CS交换一身份识别,基于CS身份识别自该分布式帐本找回CS的凭证及CS凭证核发者的公开秘钥以确认该CS的凭证是否真实,当该CS的凭证确认为真实后,判定该CS已被认证,并自该RS接收秘密数据。
24.如权利要求23所述的***,其中该CS基于RS身份识别自该分布式帐本找回RS的凭证以及RS凭证核发者的公开秘钥以确认该RS的凭证是否为真实,当该RS的凭证确认为真实后,并判定该RS已被认证以自该CS接收秘密数据。
25.如权利要求24所述的***,其中该RS进一步与该CS交换一凭证。
26.如权利要求25所述的***,其中该RS以该CS凭证核发者的公开秘钥确认交换的CS的凭证及找回的CS的凭证两者是否匹配,且该CS以该RS凭证核发者的公开秘钥确认交换的RS的凭证及找回的RS的凭证两者是否匹配。
27.一种用于发布一核发者资格及一核发者凭证的分布式帐本***,包括:
凭证请求服务器CR;以及
分布式帐本网络,其维持一分布式帐本,以可通信方式连接至该CR,并包含一凭证核发节点CI;
其中,
该CI自该CR接收资格相关数据,签署并提交一核发者资格交易至该分布式帐本;
当该核发者凭证的一签署者并非该CR时,该CR及该CI其中之一产生并签署用于该CR的一核发者凭证给并传送该核发者凭证至该CR;
在该核发者资格交易在该分布式帐本中产生后,具有该核发者凭证的该CR及该CI的其中之一签署一核发者凭证交易并提交该核发者凭证交易至该分布式分类账。
28.如权利要求27所述的***,其中该资格相关数据包含该CR的分布标识DID、帐本公开秘钥及角色。
29.如权利要求27所述的***,其中该核发者资格交易包含新增至该分布式分类账的该CR的DID及该一帐本公开秘钥、该CI的DID以及该CR的角色。
30.如权利要求第27项所述的***,其中该CI以CI的帐本私密秘钥签署该核发者资格交易。
31.如权利要求30所述的***,其中该核发者凭证交易包含提交者的DID、一凭证识别、该核发者凭证以及该提交者的签名,其中该凭证识别为该核发者凭证之一哈希值,该核发者凭证包含该CR的身份识别及凭证公开秘钥、该CR的可选的角色以及由该核发者凭证的该凭证签署者的凭证私密秘钥所签署的一签名。
32.如权利要求27所述的***,其中核发者凭证交易提交者以其帐本私密秘钥签署该核发者凭证交易,当该CR提交该核发者凭证交易时,该分布式分类账网络包含该CR,且当该CI提交该核发者凭证交易时,该分布式分类账网络不包含该CR。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201962923472P | 2019-10-18 | 2019-10-18 | |
US62/923,472 | 2019-10-18 | ||
PCT/US2020/056393 WO2021077120A1 (en) | 2019-10-18 | 2020-10-19 | Distributed ledger-based methods and systems for certificate authentication |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114930770A true CN114930770A (zh) | 2022-08-19 |
Family
ID=75538778
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080072879.4A Pending CN114930770A (zh) | 2019-10-18 | 2020-10-19 | 基于分布式分类账的凭证鉴别方法及*** |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220294647A1 (zh) |
EP (1) | EP4046330A4 (zh) |
JP (1) | JP2022552420A (zh) |
CN (1) | CN114930770A (zh) |
TW (1) | TWI818209B (zh) |
WO (1) | WO2021077120A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210314293A1 (en) * | 2020-04-02 | 2021-10-07 | Hewlett Packard Enterprise Development Lp | Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication |
US20220393883A1 (en) * | 2021-06-03 | 2022-12-08 | Unisys Corporation | Machine-to machine authentication through trusted chain of ownership |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150244690A1 (en) * | 2012-11-09 | 2015-08-27 | Ent Technologies, Inc. | Generalized entity network translation (gent) |
US20190096021A1 (en) * | 2017-09-22 | 2019-03-28 | Sensormatic Electronics, LLC | Methods and Apparatus for Implementing Identity and Asset Sharing Management |
US20190104102A1 (en) * | 2017-10-04 | 2019-04-04 | The Dun & Bradstreet Corporation | System and method for identity resolution across disparate distributed immutable ledger networks |
US10284379B1 (en) * | 2016-05-24 | 2019-05-07 | Sead Muftic | Public key infrastructure based on the public certificates ledger |
US20190305952A1 (en) * | 2018-03-27 | 2019-10-03 | Workday, Inc. | Digital credential authentication |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10333705B2 (en) * | 2016-04-30 | 2019-06-25 | Civic Technologies, Inc. | Methods and apparatus for providing attestation of information using a centralized or distributed ledger |
US10419218B2 (en) * | 2016-09-20 | 2019-09-17 | United States Postal Service | Methods and systems for a digital trust architecture |
GB201815396D0 (en) * | 2018-09-21 | 2018-11-07 | Nchain Holdings Ltd | Computer implemented system and method |
-
2020
- 2020-10-19 CN CN202080072879.4A patent/CN114930770A/zh active Pending
- 2020-10-19 JP JP2022523229A patent/JP2022552420A/ja active Pending
- 2020-10-19 US US17/769,759 patent/US20220294647A1/en active Pending
- 2020-10-19 EP EP20877681.5A patent/EP4046330A4/en active Pending
- 2020-10-19 WO PCT/US2020/056393 patent/WO2021077120A1/en unknown
- 2020-11-26 TW TW109141617A patent/TWI818209B/zh active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150244690A1 (en) * | 2012-11-09 | 2015-08-27 | Ent Technologies, Inc. | Generalized entity network translation (gent) |
US10284379B1 (en) * | 2016-05-24 | 2019-05-07 | Sead Muftic | Public key infrastructure based on the public certificates ledger |
US20190096021A1 (en) * | 2017-09-22 | 2019-03-28 | Sensormatic Electronics, LLC | Methods and Apparatus for Implementing Identity and Asset Sharing Management |
US20190104102A1 (en) * | 2017-10-04 | 2019-04-04 | The Dun & Bradstreet Corporation | System and method for identity resolution across disparate distributed immutable ledger networks |
US20190305952A1 (en) * | 2018-03-27 | 2019-10-03 | Workday, Inc. | Digital credential authentication |
Also Published As
Publication number | Publication date |
---|---|
EP4046330A4 (en) | 2024-02-14 |
WO2021077120A1 (en) | 2021-04-22 |
TW202217701A (zh) | 2022-05-01 |
JP2022552420A (ja) | 2022-12-15 |
US20220294647A1 (en) | 2022-09-15 |
TWI818209B (zh) | 2023-10-11 |
EP4046330A1 (en) | 2022-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10284379B1 (en) | Public key infrastructure based on the public certificates ledger | |
US11651109B2 (en) | Permission management method, permission verification method, and related apparatus | |
CN112311530B (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
AU2017335659B2 (en) | Methods and apparatus for providing blockchain participant identity binding | |
CN109829326B (zh) | 基于区块链的跨域认证与公平审计去重云存储*** | |
WO2021120253A1 (zh) | 链式结构数据存储、验证、实现方法、***、装置及介质 | |
CN109327481B (zh) | 一种基于区块链的全网统一在线认证方法及*** | |
JP2022504420A (ja) | デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム | |
CN108696358B (zh) | 数字证书的管理方法、装置、可读存储介质及服务终端 | |
JP5215289B2 (ja) | 分散式の委任および検証のための方法、装置、およびシステム | |
CN113824563B (zh) | 一种基于区块链证书的跨域身份认证方法 | |
CN109146479B (zh) | 基于区块链的数据加密方法 | |
KR102118962B1 (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
JP2007110377A (ja) | ネットワークシステム | |
KR102118935B1 (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
CN114930770A (zh) | 基于分布式分类账的凭证鉴别方法及*** | |
CN112132581B (zh) | 基于iota的pki身份认证***及方法 | |
KR102479985B1 (ko) | 블록체인을 활용한 인증서 검증 방법 및 이를 위한 시스템 | |
KR102479986B1 (ko) | 블록체인 네트워크로부터 복수 개의 상위 인증기관 인증서들을 획득한 환경에서의 인증서 검증 방법 및 이를 위한 시스템 | |
KR102479987B1 (ko) | 검증요청자 단말기로부터 복수 개의 상위 인증기관 인증서들을 획득한 환경에서의 인증서 검증 방법 및 이를 위한 시스템 | |
Yan et al. | Storage optimization for certificates in blockchain based PKI system | |
CN115664683A (zh) | 一种基于区块链智能合约的跨域方法 | |
KR102559571B1 (ko) | 분산 id를 활용한 소유권 증명 및 이전 내역 증명 방법 | |
CN109146684B (zh) | 去中心化交易验证方法 | |
KR20200130191A (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |