CN116438531A - 利用基于浏览器的安全pin认证的did***及其控制方法 - Google Patents
利用基于浏览器的安全pin认证的did***及其控制方法 Download PDFInfo
- Publication number
- CN116438531A CN116438531A CN202180075918.0A CN202180075918A CN116438531A CN 116438531 A CN116438531 A CN 116438531A CN 202180075918 A CN202180075918 A CN 202180075918A CN 116438531 A CN116438531 A CN 116438531A
- Authority
- CN
- China
- Prior art keywords
- browser
- authentication
- terminal
- credentials
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明涉及一种利用基于浏览器的安全PIN认证的DID***及其控制方法。根据本发明,即使不安装或利用单独的程序或应用来验证用户的身份,也可以在浏览器上执行DID身份验证,从而能够解决程序或应用之间的兼容性问题。并且,根据本发明,即使在利用未存储有凭证的浏览器的过程中,也可以通过云服务器容易地获取凭证,从而能够简化身份验证的步骤。并且,根据本发明,可以提供一种如下的新的控制方法:在利用未存储有凭证的浏览器的过程中存在身份验证请求的情况下,使用存储有凭证的浏览器来执行身份验证,或者从存储有凭证的浏览器中调用凭证来执行身份验证,从而即使没有额外的云服务器也能够执行身份验证。
Description
技术领域
本发明涉及一种利用基于浏览器的安全个人身份识别码(PIN:Personalidentification number)认证的分布式标识符(DID:Decentralized IDentifiers)***及其控制方法,更具体地讲,涉及一种能够利用从服务器接收的凭证(credential)在浏览器上执行验证的DID***及其控制方法。
背景技术
随着互联网服务的发展,大部分人通过互联网利用政府机关、教育机关、医疗机关、通信公司、金融公司、旅客公司、资产管理、信用信息、门户网站、社交网络服务(SNS:Social Network Service)、游戏、购物、售票、快递、电子投票等众多的在线服务。
因此,想要利用这种服务的用户需要通过输入包括自身的实名等的个人信息来加入会员,或者通过输入特定账号和密码来认证已加入的用户。但是,由于在多个网站反复进行这种认证步骤相当繁琐,因此,最近称为简单认证的能够更容易地帮助登录而在互联网上容易地进行金融交易的方法正在发展。
以往,通过中央化的ID(Identify)体系来执行用户认证,代表性地,设置公认的认证证书及用于利用其的Active X程序,或者通过执行认证的单独的应用(App:Application)来设置,并通过这种程序或应用来执行认证。
然而,在中央化的身份验证***的情况下,存在个人信息泄露及滥用的问题。
并且,在使用所述程序或应用来执行用户的身份验证的情况下,存在需要安装单独的程序的麻烦,并且存在与现有应用或程序的兼容性问题,因此存在用户的身份验证不能顺利进行的问题。
发明内容
技术问题
本发明所要解决的技术问题在于提供一种能够基于浏览器对用户进行身份验证的DID***及其控制方法。
本发明所要解决的另一技术问题在于提供一种即使在不同的浏览器之间也能够对于用户执行身份验证的DID***及其控制方法。
本发明所要解决的又一技术问题在于提供一种能够利用云服务器以最优化的方法管理用于用户的身份验证的凭证的DID***及其控制方法。
本发明所要解决的技术问题并不局限于以上提及的技术问题,本领域技术人员可以通过下文的记载而明确理解未提及的其他技术问题。
技术方案
用于解决上述技术问题的根据本发明的DID***的特征在于,包括:服务器,发行能够实现对分布式标识符(DID)的验证的凭证(Credentials);以及终端,从所述服务器接收所述凭证,并向请求针对所述分布式标识符的验证的验证装置传送所述凭证,其中,所述终端执行如下操作:在安装于所述终端的浏览器的本地存储器中存储从所述服务器发行的凭证,在提供特定服务的过程中由所述验证装置请求身份验证的情况下,运行所述浏览器,并执行浏览器PIN认证以访问存储于运行中的所述浏览器的本地存储器中的所述凭证,在所述浏览器PIN认证成功的情况下,将所述凭证传送到所述验证装置,从所述验证装置接收由所述验证装置请求的用途信息,并请求所述服务器发行对应于所述用途信息的凭证,从所述服务器以包括所述终端的分布式标识符的方式接收对应于所述用途信息的凭证,并将对应于所述用途信息的凭证传送到所述验证装置以执行针对所述终端的身份及用途信息的验证,在基于区块链的预先设定的存储库中注册所述分布式标识符,并根据所述凭证的删除请求而删除存储于所述浏览器的本地存储器的所述凭证,其中,所述服务器根据来自所述验证装置的身份验证请求而提取在所述存储库中注册的所述分布式标识符。
此时,特征在于,运行中的所述浏览器是在本地存储器存储有凭证的浏览器或者将对应于从所述验证装置要求的用途信息的凭证存储于本地存储器的浏览器。
并且,特征在于,所述服务器执行如下操作:当由所述终端请求针对注册于所述存储库的分布式标识符的凭证时,生成包括所述分布式标识符的凭证,并向所述终端传送包括所述分布式标识符的凭证。
并且,特征在于,所述终端对从所述服务器接收的凭证进行加密并存储于所述浏览器的本地存储器。
并且,特征在于,所述服务器以反映利用所述分布式标识符的用途的方式发行凭证,并将其传送到所述终端,所述验证装置利用从所述终端接收的凭证来验证是否符合所述用途。
并且,根据本发明的包括服务器及终端的DID***的控制方法的特征在于,包括如下步骤:由所述服务器发行能够实现对分布式标识符的验证的凭证;以及由所述终端从所述服务器接收所述凭证,并向请求针对所述分布式标识符的验证的验证装置传送所述凭证,其中,所述终端执行如下操作:在安装于所述终端的浏览器的本地存储器中存储由所述服务器发行的凭证,在提供特定服务的过程中从所述验证装置请求身份验证的情况下,运行所述浏览器,并执行浏览器PIN认证以访问存储于运行中的所述浏览器的本地存储器中的所述凭证,在所述浏览器PIN认证成功的情况下,将所述凭证传送到所述验证装置,从所述验证装置接收由所述验证装置请求的用途信息,并请求所述服务器发行对应于所述用途信息的凭证,从所述服务器以包括所述终端的分布式标识符的方式接收对应于所述用途信息的凭证,并将对应于所述用途信息的凭证传送到所述验证装置以执行针对所述终端的身份及用途信息的验证,在基于区块链的预先设定的存储库中注册所述分布式标识符,并根据所述凭证的删除请求而删除存储于所述浏览器的本地存储器的所述凭证,其中,所述服务器根据来自所述验证装置的身份验证请求而提取在所述存储库中注册的所述分布式标识符。
本发明的其他具体事项包括于详细的说明及附图中。
有益效果
本发明即使不安装或利用单独的程序或应用来验证用户的身份,也可以在浏览器上执行DID身份验证,从而能够解决程序或应用之间的兼容性问题。
并且,在本发明中,即使在利用未存储有凭证的浏览器的过程中,也可以通过云服务器容易地获取凭证,从而能够简化身份验证的步骤。
并且,在本发明中,可以提供一种如下的新的控制方法:在利用未存储有凭证的浏览器的过程中存在身份验证请求的情况下,使用存储有凭证的浏览器来执行身份验证,或者从存储有凭证的浏览器中调用凭证来执行身份验证,从而即使没有额外的云服务器也能够执行身份验证。
本发明的效果并不局限于以上提及的效果,本领域技术人员可以通过下文的记载而明确理解未提及的其他效果。
附图说明
图1是用于说明本发明的分布式标识符(DID:Decentralized IDentifiers)***的概念图。
图2是用于说明根据本发明的一实施例的DID***的控制方法的概念图。
图3、图4及图5是用于说明在本发明的DID***中对基于DID的用户身份进行注册、认证及删除的方法的概念图。
图6是用于说明根据本发明的另一实施例的DID***的控制方法的概念图。
图7、图8及图9是用于说明基于在浏览器的本地存储器中是否存储有凭证(credential)的多样的实施例的流程图。
图10是用于说明根据本发明的一实施例的DID***的操作的概念图。
图11及图12是用于说明包括在本发明的DID***中的服务器及终端的概念图。
具体实施方式
参照与附图一起详细后述的实施例,则可以明确本发明的优点和特征以及达成这些的方法。但是,本发明可以实现为彼此不同的多样的形态,并不限于以下公开的实施例,提供本实施例仅使本发明的公开完整并用于向本发明所属技术领域中的普通技术人员完整地告知本发明的范围,本发明仅由权利要求的范围所定义。
本说明书中使用的术语是用于说明实施例的术语而并不是限制本发明的术语。在本说明书中,除非在语句中特别提到,单数型也包括复数型。说明书中使用的“包括(comprises)”和/或“包含(comprising)”不排除除了所提及的构成要素之外的一个以上的其他构成要素的存在或添加。在整个说明书中,相同的附图标记指代相同的构成要素,“和/或”包括所提及的构成要素中的每一个和一个以上的持有组合。虽然“第一”、“第二”等用于叙述多种构成要素,但这些构成要素显然不受限于这些术语。这些术语仅用于将一个构成要素与另一构成要素进行区分。因此,以下提及的第一构成要素在本发明的技术思想内,显然也可以是第二构成要素。
除非有其他定义,否则本说明书中所使用的持有术语(包括技术及科学术语)可使用为本发明所属技术领域的普通技术人员能够共同理解的含义。并且,一般所使用的词典中定义的术语不能被理想地或过度地解释,除非有特别明确地定义。
以下,参照附图对本发明的实施例进行详细说明。
图1是用于说明本发明的分布式标识符(DID:Decentralized IDentifiers)***的概念图。
根据本发明的一实施例的DID(Decentralized IDentifiers)可以表示分布式标识符。
本说明书中说明的分布式标识符是指利用分布式分类账技术或除此之外的其他分布式网络技术注册到分布式存储库中,从而不需要诸如中央集中化的(centralized)服务器之类的注册机关的全局唯一标识符。
身份是在某个域(domain)中区分一个实体的多个属性的集合,标识符(id:identifier)是指利用唯一地表示该身份的一系列数字、文字或符号等构成的标识。
在现有的中央化的身份管理***中,服务提供机关在中央管理用户的数字身份。发行用户ID和用于验证其的凭证(credentials,例如,密码),保存并管理用户名、地址等用户信息。
在该***中,用户身份被委托给中央机关进行管理,用户难以控制由中央机关管理的自身的身份、个人数据和相关属性信息。
相反,在本发明的DID***中,用户个人可以使用诸如区块链之类的分布式网络技术来管理自身的身份信息。这种***称为分布式身份管理***,其使用的标识符称为分布式标识符(DID:Decentralized IDentifiers)。
根据本发明的一实施例的DID***可以包括执行发行方(issuer)作用的服务器100、执行持有者(holder)作用的终端200、执行验证方(verifier)作用的验证装置300以及可验证的分布式数据存储库400。
所述服务器100可以发行能够实现对分布式标识符(DID)的验证的凭证(Credentials)。
即,服务器100作为发行方,可以发行能够实现对特定用户(即,身份持有者)的验证的凭证。
在此,凭证是指作为身份或资格的证据而提出的数据集合。
例如,凭证可以包括用于证明是标识符的持有者的密码、能够证明持有私钥的公钥、由能够证明公钥与持有者之间的连接的可信任的第三方发行的公钥认证书、第三方认证机关的信息等。
本说明书中说明的终端200可以包括移动终端、手机、智能电话(smart phone)、笔记本计算机(laptop computer)、数字广播用终端、个人数字助理(PDA:personal digitalassistants)、便携式多媒体播放器(PMP:portable multimedia player)、导航仪、平板PC(slate PC)、平板PC(tablet PC)、超极本(ultrabook)、可穿戴装置(wearable device,例如,手表型终端(smart watch)、眼镜型终端(smart glass)、头戴式显示器(HMD:headmounted display))等。
然而,本领域技术人员将容易地理解,除了仅可应用于移动终端的情况之外,根据本说明书中记载的实施例的终端200可以应用于诸如数字TV、台式计算机、数字标牌等的固定终端。
终端200可以从所述服务器100接收凭证,并向请求针对分布式标识符的验证的验证装置300传送(或发行)所述凭证(或作为凭证信息的集合的演示(presentation))。
即,终端200作为持有者,经过预定的步骤从能够保证自身的身份的发行方(服务器100)接收与DID结合的凭证,必要时向验证方(验证装置300)提供并利用服务等。
验证装置300作为验证者,在需要身份验证的情况下,可以向持有者(终端200)请求凭证并对其进行验证。
存储库400主要使用分布式分类账(例如,区块链)作为存储DID的机制,但也可以使用其他类型的分布式存储库。
对于区块链而言,是通常公知的构成,因此在本说明书中省略具体说明。
DID是针对特定实体的标识符,针对其实体的说明由DID文档(DOD:DID Document)表现。DID文档包括与身份主体相关联的信息和用于验证该信息的方法(例如,DID的公钥集合、认证协议集合、能够与相应个体进行通信或交互的服务端点(endpoint)的集合等)。
作为一示例,在本说明书中,DID文档可以与分布式标识符或凭证相关联地一起被收发。
另外,根据本发明的DID***可以注册并验证分布式标识符的用途信息。
例如,终端200及服务器100以反映利用分布式标识符的用途的方式发行及接收凭证,验证装置300可以利用所述凭证来验证是否符合所述用途。
以下,参照附图更具体地说明这种DID***的具体控制方法。
图2是用于说明根据本发明的一实施例的DID***的控制方法的概念图。
首先,在本发明中,执行如下步骤:服务器100发行能够实现针对分布式标识符的验证的凭证(S210)。
服务器100可以根据从终端200接收凭证发行请求来发行凭证。
此时,服务器100能够以包括终端200的分布式标识符(DID)的方式发行凭证。
所述分布式标识符(DID)可以在终端200向服务器100传送凭证发行请求时一同传送,如果是终端200将所述分布式标识符(DID)已注册在存储库400(例如,区块链)的状态,服务器100也可以响应于所述请求从存储库400提取(获取)所述分布式标识符。
作为一示例,终端200可以生成分布式标识符,并将所述分布式标识符注册在基于区块链的存储库。
当从终端100请求针对注册在所述存储库400的分布式标识符的凭证时,服务器100可以生成包括所述分布式标识符的凭证,并向终端200传送包括所述分布式标识符的凭证。
此后,在本发明中,执行如下步骤:终端200从服务器100接收凭证并向请求针对分布式标识符的验证的验证装置300传送凭证(S220)。
在此,请求针对所述分布式标识符的验证可以意指请求针对终端(或利用终端的用户)的身份验证。
并且,执行针对所述分布式标识符的验证包括执行针对终端200或终端用户的身份验证的含义,并可以表示向验证装置300传送凭证。
终端200可以在使用任一服务的过程中或者为了使用任一服务而从提供服务的验证装置300接收身份验证的请求。在此情况下,终端200可以向服务器100请求凭证,并向验证装置300传送所接收的凭证来执行身份验证。
更具体地讲,终端200可以从验证装置300接收验证装置300所请求的用途信息,并向服务器100请求发行对应于(符合)所述用途信息的凭证。
此后,服务器100可以以包括所述终端200的分布式标识符(DID)(或以分布式标识符(DID)的名称)的方式发行对应于所述用途信息的凭证,并将其传送到所述终端200。
所述终端200可以向验证装置300传送所述凭证以执行针对所述终端的身份和用途信息的验证。
此时,本发明的终端200可以包括至少一个浏览器。在此,浏览器是指将互联网上的网页信息显示在画面上的软件,并且可以基本上安装在终端200中。
作为一示例,所述浏览器可以包括IE(Internet Explorer)、Chrome、Safari、Microsoft Edge等多种浏览器。
在各浏览器中存在本地存储器。所述本地存储器是指存储在使用各浏览器时生成的数据的空间。
浏览器的本地存储器可以分配有终端200的存储器的一部分。
在本发明中,执行如下步骤:终端200将从服务器100发行的凭证存储在包括在终端200中的浏览器的本地存储器(S230)。
终端200可以接收由服务器100发行的凭证,并将所接收的凭证存储在浏览器的本地存储器中。
此时,终端200可以通过一种浏览器向服务器100请求凭证,若从服务器100接收凭证,则可以在请求凭证的所述一种浏览器的本地存储器中存储所述凭证。
此时,终端200可以对从服务器100接收的凭证进行加密。即,终端200可以对从服务器100接收的凭证进行加密并存储到所述浏览器的本地存储器。
另外,为了在浏览器的本地存储器中存储能够实现针对分布式标识符的验证的凭证,本发明的DID***可以强化安全性。
为此,本发明的DID***的终端200可以为了访问凭证而通过所述浏览器执行浏览器个人识别码(PIN:Personal Identification Number)认证。
终端200可以形成为根据浏览器PIN认证的成功来访问存储于浏览器的本地存储器的凭证。
在通过浏览器PIN认证访问存储于浏览器的本地存储器的经加密的凭证的情况下,终端200可以对所述经加密的凭证进行解密,并向验证装置300传送经解密的凭证。
终端200可以在使用任一服务的过程中从验证装置300接收身份验证的请求。在此,所述任一服务可以包括能够通过终端200接收的所有种类的服务,并且可以包括互联网、游戏、购物、支付、特定网页的访问、内容下载中的至少一个。
并且,可以通过浏览器、程序或应用来执行所述服务。
作为一示例,所述验证装置300可以是与提供所述任一服务的公司相关的服务器或服务提供装置。
终端200可以在使用任一服务的过程中根据从验证装置300请求身份验证来运行浏览器。
在此,所述运行的浏览器可以是将凭证存储在本地存储器中的浏览器或者将与验证装置所请求的用途信息对应的凭证存储在本地存储器中的浏览器。
终端200可以以访问存储在所述浏览器的本地存储器中的凭证的方式执行浏览器PIN认证。
此后,终端200根据所述PIN认证成功将所述凭证传送到请求身份验证的验证装置300,由此可以执行身份验证。
如上所述,当从验证装置300接收到使用分布式标识符的用途信息时,终端200可以向服务器100传送使用所述分布式标识符的用途信息。
服务器100可以向终端200发行能够执行针对所述用途信息的验证的凭证(即,对应于(或符合)用途信息的凭证或反映用途信息的凭证)。
显然,所述凭证可以包括分布式标识符。
终端200可以向验证装置300传送所接收的凭证以执行针对分布式标识符及用途信息的验证。
如此,本发明通过将凭证存储在作为终端的基本软件的浏览器的本地存储中,而不是通过单独的应用或程序执行身份验证,使得在任何情况下都可以对兼容性较高的浏览器进行身份验证,从而能够显著提高身份验证的便捷性及快速性。
图3、图4及图5是用于说明在本发明的DID***中对基于DID的用户身份进行注册、认证及删除的方法的概念图。
图3是用于说明基于DID的用户身份注册过程的概念图。
首先,终端200可以基于用户的请求而接收DID注册请求。
作为一示例,所述DID注册请求可以表示将从服务器接收的凭证存储(注册)于浏览器的本地存储器的请求。
为了在浏览器的本地存储器中存储(注册)能够实现对分布式标识符的验证的凭证,终端200可以注册PIN码。
为了注册PIN码,终端200可以执行用户认证。
在完成PIN码注册的情况下,终端200可以将从服务器100接收的凭证存储于浏览器的本地存储器及云服务器500中的至少一个。
所述注册的PIN码用于为了访问存储在浏览器的本地存储器中的凭证而执行的浏览器PIN认证,所述注册的PIN码可以被加密并注册(存储)在浏览器。
此时,终端200可以对凭证进行加密并存储(注册)于浏览器的本地存储器。
并且,终端200可以将分布式标识符及凭证中的至少一个注册于区块链(存储库)400或存储于云服务器500。
此时,向所述存储库400或云服务器500传送的分布式标识符及凭证中的至少一个可以被加密。
图4是用于说明基于DID的用户身份认证步骤的概念图。
参照图4,终端200可以在使用任一服务的过程中从验证装置300接收DID验证请求(即,针对身份验证的请求)。
在此情况下,为了访问存储于浏览器的本地存储器的凭证,终端200可以执行浏览器PIN认证。
根据浏览器PIN认证的成功,终端200可以访问浏览器本地存储器,并可以向请求身份验证的验证装置300传送凭证(DID验证请求)。
此后,验证装置300可以利用从终端200接收的凭证执行针对存储于基于区块链的存储库400的分布式标识符的验证。
图5是用于说明基于DID的用户身份删除步骤的概念图。
如图4所示,终端200在访问存储于浏览器的本地存储器的凭证(用户身份)之后,终端200可以根据用户的凭证删除请求删除存储于所述浏览器的本地存储器的凭证。
并且,在所述凭证存储于云服务器的情况下,终端200可以向所述云服务器请求针对所述凭证的删除。
另外,本发明可以提供在存在多个浏览器的情况下能够执行最优化的DID验证的DID***及其控制方法。
以下,参照附图更详细地说明利用多个浏览器执行针对分布式标识符的验证的方法。
图6是用于说明根据本发明的另一实施例的DID***的控制方法的概念图。
首先,如图2所示,在本发明中,执行如下步骤:服务器100发行能够实现对分布式标识符DID的验证的凭证(S610),终端200从服务器接收凭证,并向请求针对分布式标识符的验证的验证装置300传送凭证(S620)。
此时,终端200可以配备有多个浏览器。
在本发明中,执行如下步骤:终端200在所述多个浏览器中的第一浏览器的本地存储器存储凭证(S630)。
此后,在本发明中,执行如下步骤:通过第一浏览器向云服务器500上传凭证以使终端200在与所述第一浏览器不同的第二浏览器中利用所述凭证来执行身份验证(S640)。
终端200在配备有(设置有)多个浏览器的状态下,若从服务器100接收能够实现对分布式标识符的验证的凭证,则可以存储于多个浏览器中的第一浏览器的本地存储器。
所述第一浏览器可以是多个浏览器中的任意一个浏览器、设定为默认浏览器的浏览器或向服务器请求凭证的浏览器中的至少一个。
在本发明中,执行如下步骤:根据在利用第二浏览器的过程中请求身份验证,通过第二浏览器从云服务器500接收凭证(S650)。
终端200可以在通过第二浏览器(而不是存储有凭证的第一浏览器)利用任一服务的过程中从提供服务的验证装置300接收身份验证请求。
在此情况下,在本发明中,可以将存储在第一浏览器的本地存储器中的凭证传送(注册)到云服务器500以使终端200可以通过第二浏览器进行身份验证。
此后,终端200可以从云服务器500下载(接收)凭证,并将下载的凭证存储于第二浏览器的本地存储器(S660)。
此后,终端200可以利用存储在第二浏览器的本地存储器中的凭证来执行所述请求的身份验证(S670)。即,终端200可以为了访问存储在第二浏览器的本地存储器中的凭证而对第二浏览器执行PIN认证,并将存储在第二浏览器的本地存储器中的凭证传送到请求身份验证的验证装置300。
终端200可以在向云服务器500传送凭证的过程、在第一浏览器的本地存储器注册(存储)凭证的过程、在第二浏览器的本地存储器注册(存储)凭证的过程中对凭证进行加密。
即,终端200可以对存储于第一浏览器的本地存储器中的凭证进行加密并传送到云服务器500。
并且,为了第一浏览器及第二浏览器的PIN认证,终端200可以经过本人认证来注册PIN码,与此相关的内容可以与图3中说明的内容相同/相似地类推适用。
为了执行身份验证,终端200可以对存储在存储器中的经加密的凭证进行解密。
即,终端200可以对通过第二浏览器从云服务器500接收的经加密的凭证进行解密并执行身份验证(即,将经解密的凭证传送到请求身份验证的验证装置300),在身份验证完成后,可以对所述凭证进行加密并存储(注册)在第二浏览器的本地存储器中。
另外,终端200可以处于从服务器100接收的凭证仅存储于多个浏览器中的第一浏览器的本地存储器的状态。此时,当在利用与第一浏览器不同的第二浏览器的过程中请求身份验证时,终端200可以运行第一浏览器以利用存储在第一浏览器的本地存储器中的凭证来执行身份验证。
此后,终端200可以利用存储在第一浏览器的本地存储器中的凭证来执行身份验证。即,终端200可以运行第一浏览器,执行第一浏览器的安全PIN认证来访问存储在第一浏览器的本地存储器中的凭证,并将存储在第一浏览器的本地存储器中的凭证传送到验证装置来执行身份验证。
此后,当身份验证完成后,终端200可以停止第一浏览器,并返回第二浏览器。
即,在通过第一浏览器执行身份验证期间,所述第二浏览器可以在终端200的后台运行。此后,当通过第一浏览器完成身份验证时,终端200可以停止运行第一浏览器,并在前台运行在后台运行中的第二浏览器。
另外,本发明的DID***也可以不经过云服务器500而直接将存储于第一浏览器的本地存储器的凭证复制(或移动)到第二浏览器的本地存储器。
在此情况下,终端200在未运行第一浏览器而仅运行第二浏览器的状态下,复制存储于第一浏览器的本地存储器的凭证而存储于第二浏览器的本地存储器,并可以通过第二浏览器的安全PIN认证访问存储于所述第二浏览器的本地存储器中的凭证来执行身份验证。
另外,在本发明中,可能存在用户丢失终端200,或具有多个终端的情况,在此情况下,本发明的DID***还可以包括与所述终端200不同的新终端。
所述新终端可以包括第一浏览器和第二浏览器中的至少一个。
所述新终端可以将上传的凭证下载至云服务器500,以通过第一浏览器和第二浏览器中的至少一个进行身份验证。
此后,新终端可以对从云服务器500接收的经加密的凭证进行解密,并将该凭证传送到请求身份验证的验证装置300。
图7、图8及图9是用于说明基于在浏览器的本地存储器中是否存储有凭证的多样的实施例的流程图。
参照图7,在本发明中,终端200可以判断浏览器的本地存储器中是否存储有凭证(S710)。这里的浏览器可以是在接收到身份验证请求时正在使用的浏览器。
此后,在浏览器的本地存储器中不存在凭证的情况下,终端200可以在浏览器的本地存储器注册凭证(S720)。注册凭证的过程可以相同/相似地类推并应用图3中说明的内容。
另外,在浏览器的本地存储器中存在凭证的情况下,终端200可以通过浏览器安全PIN认证来访问凭证(S730),并且可以利用凭证来执行身份验证(S740)。
另外,参照图8,在本发明中,为了在云服务器500注册凭证,终端200执行本人认证(810),注册浏览器PIN认证(PIN码)(S820),并可以对凭证进行加密并存储于浏览器的本地存储器(S830)。
此后,终端200在询问是否存储于云服务器500之后,对凭证进行加密并存储在要存储的云端(S840),并可以在云服务器500完成凭证注册(S850)。
此后,参照图9,在本发明中,终端200判断浏览器的本地存储器中是否存储有凭证(S710),在未存储有凭证的情况下,可以从云服务器500接收凭证(S920)。
此后,终端200可以在浏览器的本地存储器注册(存储)从云服务器500接收的凭证(S922)。
此后,为了执行身份验证,终端200可以通过浏览器安全PIN认证来访问凭证(S730),并可以利用凭证来执行身份验证(S740)。
图10是用于说明根据本发明的一实施例的DID***的操作的概念图。
参照图10,在包括于本发明的DID***中的终端200可以安装有用于提供DID浏览器认证服务的浏览器认证服务程序及浏览器存储程序。
所述浏览器认证服务程序是提供并控制用于在浏览器上执行身份验证的整个过程的程序,作为一示例,可以执行显示DID认证书(凭证)目录、管理用于访问浏览器的本地存储器的PIN码等。
并且,所述浏览器存储库程序可以执行控制存储于浏览器的本地存储器的凭证的功能。
并且,在本发明的DID***中,可以安装有用于提供DID云服务的所述DID云服务程序,作为一示例,可以安装于云服务器或终端。
所述DID云服务程序可以执行在终端200和云服务器500之间收发数据(例如,凭证)的管理员的作用。
云服务器500可以存储有凭证及分布式标识符(或DID文档)等。
图11及图12是用于说明包括在本发明的DID***中的服务器及终端的概念图。
图11是示意性地示出根据一实施例的服务器100的内部构成的框图,图12是示意性地示出根据一实施例的终端200的内部构成的框图。
图11及图12中仅示出了说明本发明的一实施例所需的构成,但还可以包括显示装置等多样的构成。并且,对于本发明所属技术领域的普通技术人员来说显而易见的是,即使在图11和图12的说明中省略,也可以进一步包括执行图1至图10中说明的方法所需的构成。
参照图11,根据一实施例的服务器100可以包括处理器130、存储器140及通信部150。执行简单认证的服务器100的操作可以通过处理器130执行存储在存储器140中的程序来执行。
通信部150可以执行终端200与另一服务器或另一外部装置之间的无线或有线通信。例如,通信部150可以通过SSL方式与终端200执行加密通信,并且可以传递公钥和经加密的数据。
参照图12,根据一实施例的终端200可以包括处理器230、存储器240、通信部250及输入部260。执行简单认证的终端200的操作可以通过处理器230运行存储于存储器240的程序来执行。
另外,上述的服务器100和终端200可以包括一个以上的处理器130、230和/或一个以上的存储器140、240。并且,存储器140、240可以包括易失性和/或非易失性存储器。一个以上的存储器140、240可以存储有当由一个以上的处理器130、230执行时使一个以上的处理器130、230执行运算的指令。在本发明中,程序或指令作为存储于存储器140、240的软件,可以包括用于控制服务器100的资源的操作***、应用和/或向应用提供多种功能以使应用能够利用装置的资源的中间件等。
一个以上的处理器130、230可以通过驱动软件(例如,程序、命令)来控制连接到处理器130、230的服务器100和终端200的至少一个构成要素。并且,处理器130、230可以执行与本公开相关的多样的运算,处理、数据生成、加工等操作。并且,处理器130、230可以从存储器140、240加载数据等或将数据等存储在存储器140、240中。
在一实施例中,可以省略服务器100和终端200的构成要素中的至少一个,或者可以添加其他构成要素。并且,附加地(additionally)或可选地(alternatively),一部分构成要素可以集成而实现,或者可以由单个或多个个体实现。
上述的通信部150、250可以根据增强移动宽带(eMBB:enhanced MobileBroadband)、超可靠低延迟通信(URLLC:Ultra Reliable Low-Latency Communications)、大规模机器类通信(MMTC:Massive Machine Type Communications)、长期演进(LTE:long-term evolution)、高级LTE(LTE-A:LTE Advance)、通用移动通信***(UMTS:UniversalMobile Telecommunications System)、全球移动通信***(GSM:Global System forMobile communications)、码分多址(CDMA:code division multiple access)、宽带码分多址(WCDMA:wideband CDMA)、无线宽带(WiBro:Wireless Broadband)、WiFi(wirelessfidelity)、蓝牙(Bluetooth)、近场通信(NFC:near field communication)、全球定位***(GPS:Global Positioning System)或全球导航卫星***(GNSS:global navigationsatellite system)等方式来执行无线通信。
上述的输入部260可以包括键盘、鼠标、触摸板、相机模块等将用户的简单认证信息(PIN码)输入到终端2000的手段。
本发明即使不安装或利用单独的程序或应用来验证用户的身份,也可以在浏览器上执行DID身份验证,从而能够解决程序或应用之间的兼容性问题。
并且,在本发明中,即使在利用未存储有凭证的浏览器的过程中,也可以通过云服务器容易地获取凭证,从而能够简化身份验证的步骤。
并且,在本发明中,可以提供一种如下的新的控制方法:在利用未存储有凭证的浏览器的过程中存在身份验证请求的情况下,使用存储有凭证的浏览器来执行身份验证,或者从存储有凭证的浏览器中调用凭证来执行身份验证,从而即使没有额外的云服务器也能够执行身份验证。
以上说明的根据本发明的一实施例的方法可以为了与作为硬件的服务器结合并执行而由程序(或应用)实现并存储在介质中。
与本发明的实施例相关地说明的方法或者算法的步骤可以直接利用硬件来实现,或者借由通过硬件执行的软件模块来实现,或者借由这些的结合来实现。软件模块可以驻留在RAM(Random Access Memory)、ROM(Read Only Memory)、可擦除可编程只读存储器(EPROM:Erasable Programmable ROM)、电可擦除可编程只读存储器(EEPROM:Electrically Erasable Programmable ROM)、闪存(Flash Memory)、硬盘、可拆卸盘、CD-ROM或者本发明所属技术领域中公知的任意形态的计算机可读记录介质中。
以上参照附图说明了本发明的实施例,但本领域技术人员可以理解的是,可以在不改变本发明的技术思想或者必要特征的情况下以其他具体形态实施。因此,以上记载的实施例应当理解为在所有方面均为示例性的,而不是局限性的。
Claims (10)
1.一种利用基于浏览器的安全PIN认证的DID***,其特征在于,包括:
服务器,发行能够实现对分布式标识符的验证的凭证;以及
终端,从所述服务器接收所述凭证,并向请求针对所述分布式标识符的验证的验证装置传送所述凭证,
其中,所述终端执行如下操作:
在安装于所述终端的浏览器的本地存储器中存储由所述服务器发行的凭证,
在提供特定服务的过程中从所述验证装置请求身份验证的情况下,运行所述浏览器,并执行浏览器PIN认证以访问存储于运行中的所述浏览器的本地存储器中的所述凭证,
在所述浏览器PIN认证成功的情况下,将所述凭证传送到所述验证装置,从所述验证装置接收由所述验证装置请求的用途信息,并请求所述服务器发行对应于所述用途信息的凭证,从所述服务器以包括所述终端的分布式标识符的方式接收对应于所述用途信息的凭证,并将对应于所述用途信息的凭证传送到所述验证装置以执行针对所述终端的身份及用途信息的验证,在基于区块链的预先设定的存储库中注册所述分布式标识符,并根据所述凭证的删除请求而删除存储于所述浏览器的本地存储器的所述凭证,
其中,所述服务器根据来自所述验证装置的身份验证请求而提取在所述存储库中注册的所述分布式标识符。
2.根据权利要求1所述的利用基于浏览器的安全PIN认证的DID***,其特征在于,
运行中的所述浏览器是在本地存储器存储有凭证的浏览器或者将对应于从所述验证装置要求的用途信息的凭证存储于本地存储器的浏览器。
3.根据权利要求1所述的利用基于浏览器的安全PIN认证的DID***,其特征在于,
所述服务器执行如下操作:
当由所述终端请求针对注册于所述存储库的分布式标识符的凭证时,生成包括所述分布式标识符的凭证,并向所述终端传送包括所述分布式标识符的凭证。
4.根据权利要求1所述的利用基于浏览器的安全PIN认证的DID***,其特征在于,
所述终端对从所述服务器接收的凭证进行加密并存储于所述浏览器的本地存储器。
5.根据权利要求1所述的利用基于浏览器的安全PIN认证的DID***,其特征在于,
所述服务器以反映利用所述分布式标识符的用途的方式发行凭证,并将其传送到所述终端,
所述验证装置利用从所述终端接收的凭证来验证是否符合所述用途。
6.一种利用基于浏览器的安全PIN认证的DID***的控制方法,所述控制方法是包括服务器及终端的DID***的控制方法,所述控制方法包括如下步骤:
由所述服务器发行能够实现对分布式标识符的验证的凭证;以及
由所述终端从所述服务器接收所述凭证,并向请求针对所述分布式标识符的验证的验证装置传送所述凭证,
其中,所述终端执行如下操作:
在安装于所述终端的浏览器的本地存储器中存储由所述服务器发行的凭证,
在提供特定服务的过程中从所述验证装置请求身份验证的情况下,运行所述浏览器,并执行浏览器PIN认证以访问存储于运行中的所述浏览器的本地存储器中的所述凭证,
在所述浏览器PIN认证成功的情况下,将所述凭证传送到所述验证装置,从所述验证装置接收由所述验证装置请求的用途信息,并请求所述服务器发行对应于所述用途信息的凭证,从所述服务器以包括所述终端的分布式标识符的方式接收对应于所述用途信息的凭证,并将对应于所述用途信息的凭证传送到所述验证装置以执行针对所述终端的身份及用途信息的验证,在基于区块链的预先设定的存储库中注册所述分布式标识符,并根据所述凭证的删除请求而删除存储于所述浏览器的本地存储器的所述凭证,
其中,所述服务器根据来自所述验证装置的身份验证请求而提取在所述存储库中注册的所述分布式标识符。
7.根据权利要求6所述的利用基于浏览器的安全PIN认证的DID***的控制方法,其特征在于,
运行中的所述浏览器是在本地存储器存储有凭证的浏览器或者将对应于从所述验证装置要求的用途信息的凭证存储于本地存储器的浏览器。
8.根据权利要求6所述的利用基于浏览器的安全PIN认证的DID***的控制方法,其特征在于,
所述服务器执行如下操作:
当由所述终端请求针对注册于所述存储库的分布式标识符的凭证时,生成包括所述分布式标识符的凭证,并向所述终端传送包括所述分布式标识符的凭证。
9.根据权利要求6所述的利用基于浏览器的安全PIN认证的DID***的控制方法,其特征在于,
所述终端对从所述服务器接收的凭证进行加密并存储于所述浏览器的本地存储器。
10.根据权利要求6所述的利用基于浏览器的安全PIN认证的DID***的控制方法,其特征在于,
所述服务器以反映利用所述分布式标识符的用途的方式发行凭证,并将其传送到所述终端,
所述验证装置利用从所述终端接收的凭证来验证是否符合所述用途。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200148988A KR102248237B1 (ko) | 2020-11-10 | 2020-11-10 | 브라우저 기반 보안pin인증을 이용한 did 시스템 및 그것의 제어방법 |
| KR10-2020-0148988 | 2020-11-10 | ||
| PCT/KR2021/012039 WO2022102930A1 (ko) | 2020-11-10 | 2021-09-06 | 브라우저 기반 보안 pin 인증을 이용한 did 시스템 및 그것의 제어방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116438531A true CN116438531A (zh) | 2023-07-14 |
Family
ID=75913732
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180075918.0A Pending CN116438531A (zh) | 2020-11-10 | 2021-09-06 | 利用基于浏览器的安全pin认证的did***及其控制方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230275762A1 (zh) |
| KR (2) | KR102248237B1 (zh) |
| CN (1) | CN116438531A (zh) |
| WO (1) | WO2022102930A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102248237B1 (ko) * | 2020-11-10 | 2021-05-04 | (주)소프트제국 | 브라우저 기반 보안pin인증을 이용한 did 시스템 및 그것의 제어방법 |
| KR102372281B1 (ko) * | 2021-05-25 | 2022-03-11 | 주식회사 온다 | 숙박업소 통합 관리 서비스 제공 방법 및 장치 |
| KR102337675B1 (ko) * | 2021-05-27 | 2021-12-09 | 주식회사 아이콘루프 | 수취인을 확인할 수 있는 암호화폐 송금 시스템 및 방법 |
| KR102532564B1 (ko) | 2021-05-27 | 2023-05-17 | (주)드림시큐리티 | 탈중앙화된 신분증을 이용한 사용자 등록 및 검증 방법 및 장치 |
| KR102499695B1 (ko) * | 2021-07-06 | 2023-02-14 | 계명대학교 산학협력단 | 블록 체인을 사용한 did 시스템 및 인증 방법 |
| KR102612463B1 (ko) * | 2021-11-24 | 2023-12-11 | (주)드림시큐리티 | 분산 id 기반 검증 크리덴셜 관리 및 디바이스 검증 방법 및 장치 |
| WO2023095967A1 (ko) * | 2021-11-29 | 2023-06-01 | 주식회사 블록체인기술연구소 | 블록체인 기반의 did 서비스, ipfs 기반의 데이터 공유 기술, 및 개인키 분산 저장 기술이 결합된 비대면 대용량 문서 접근 시스템 |
| KR102517902B1 (ko) * | 2021-11-30 | 2023-04-05 | (주)가민정보시스템 | 서클 체인과 연동되는 인증 정보 관리 시스템 및 방법 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8756665B2 (en) * | 2011-07-08 | 2014-06-17 | International Business Machines Corporation | Authenticating a rich client from within an existing browser session |
| KR101666374B1 (ko) | 2015-02-13 | 2016-10-14 | 크루셜텍 (주) | 사용자 인증서 발급과 사용자 인증을 위한 방법, 장치 및 컴퓨터 프로그램 |
| US9992187B2 (en) * | 2015-12-21 | 2018-06-05 | Cisco Technology, Inc. | Single sign-on authentication via browser for client application |
| US10903996B2 (en) * | 2018-01-22 | 2021-01-26 | Microsoft Technology Licensing, Llc | Persona selection using trust scoring |
| KR102101726B1 (ko) * | 2019-10-11 | 2020-05-29 | (주)소프트제국 | 블록체인 기반의 브라우저의 웹스토리지를 이용한 간편인증 방법 및 시스템 |
| KR102139645B1 (ko) * | 2020-04-13 | 2020-07-30 | 주식회사 한국정보보호경영연구소 | 블록체인 기반의 신원증명 시스템 및 그 구동방법 |
| KR102248237B1 (ko) * | 2020-11-10 | 2021-05-04 | (주)소프트제국 | 브라우저 기반 보안pin인증을 이용한 did 시스템 및 그것의 제어방법 |
-
2020
- 2020-11-10 KR KR1020200148988A patent/KR102248237B1/ko active IP Right Grant
-
2021
- 2021-04-28 KR KR1020210055144A patent/KR102323522B1/ko active IP Right Grant
- 2021-09-06 WO PCT/KR2021/012039 patent/WO2022102930A1/ko active Application Filing
- 2021-09-06 CN CN202180075918.0A patent/CN116438531A/zh active Pending
-
2023
- 2023-05-09 US US18/314,319 patent/US20230275762A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR102323522B1 (ko) | 2021-11-09 |
| US20230275762A1 (en) | 2023-08-31 |
| KR102248237B1 (ko) | 2021-05-04 |
| WO2022102930A1 (ko) | 2022-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11665006B2 (en) | User authentication with self-signed certificate and identity verification | |
| CN116438531A (zh) | 利用基于浏览器的安全pin认证的did***及其控制方法 | |
| US9730065B1 (en) | Credential management | |
| US11405207B2 (en) | Dynamic implementation and management of hash-based consent and permissioning protocols | |
| KR102248249B1 (ko) | 복수의 브라우저를 이용한 did 시스템 및 그것의 제어방법 | |
| US11595384B2 (en) | Digital identity network interface system | |
| EP3535724A1 (en) | Verifying an association between a communication device and a user | |
| US20230379160A1 (en) | Non-fungible token authentication | |
| CN109150547B (zh) | 一种基于区块链的数字资产实名登记的***和方法 | |
| KR101210260B1 (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
| EP2768178A1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| KR20080077786A (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| US11275858B2 (en) | Document signing system for mobile devices | |
| US20230155843A1 (en) | Method and device for providing blockchain did-based certificate distribution service | |
| US11461451B2 (en) | Document signing system for mobile devices | |
| KR102498688B1 (ko) | 인증 서비스 제공 방법 및 시스템 | |
| KR20240061725A (ko) | 만 14세 미만 자녀의 명부 정보와 만 14세 미만 자녀별로 할당된 선불 카드 정보 사이의 매핑 정보를 이용하는 만 14세 미만 자녀의 금융 활동을 관리하기 위한 탈중앙화 신원증명 시스템 및 이를 위한 동작 방법 | |
| KR20240075374A (ko) | 사용자 단말을 이용한 인증 기반 금융거래서비스 제공 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |