用于验证可验证声明的系统和方法与流程
本申请总体上涉及基于区块链技术管理去中心化标识和可验证声明的方法和设备。
背景技术:
传统的身份管理系统基于中心化机构,例如公司目录服务、认证机构或域名注册机构。每个中心化机构都可以作为信任的根源(rootoftrust),为其背书的身份提供可信度。对于这样的系统,与身份相关联的数据通常存储在中心化的数据库中,如果不是存储在传统的信息存储介质中。每个人或实体的身份维护都在中心化机构的控制下。鉴于其性质,传统的身份管理系统会承担每个中心化机构遭受的安全风险,并且提供低效的机制来收集由不同中心化机构提供的身份或凭证。在这样的系统中,个人实体或身份所有者通常既不能自由选择信任的根源,也不能控制他们自己的身份或凭证。对他们身份的认证和验证被证明通常是低效的。
区块链技术提供了建立值得信任的去中心化系统的机会,该系统不需要信任系统的每个成员。区块链通过将数据保存在相互之间具有优先关系的一系列数据区块中,以去中心化方式提供数据存储。区块的链由区块链节点的网络维护和更新,区块链节点也负责基于共识方案验证数据。存储的数据可以包括许多数据类型,例如各方之间的金融交易、历史访问信息等。
许多区块链(例如,以太坊区块链)已经能够实现通过区块链交易执行的区块链合约(也称为智能合约)。区块链交易为签名的消息,其由外部拥有的账户(例如区块链账户)发起,由区块链网络传输并记录在区块链中。可以编写区块链合约以实现各种功能,例如将数据添加到区块链账户、更改区块链中的数据等。因此,可以通过执行区块链交易来维护和更新区块链。
区块链技术提供了无需中心化机构即可管理信任的根源的方法。基于区块链构建的身份管理系统通常通过要求区块链账本的存储、创建和执行区块链交易和合约的能力或区块链共识方案中的参与,而给普通用户带来实质性技术障碍。身份持有人可能被要求保存例如加密密钥的重要身份凭证,当这些身份凭证遭到破坏时,可能会使身份持有人遭受身份丢失的风险。此外,对于需要管理大量用户身份的商业实体,这种身份管理系统被证明通常是低效且用户不友好的。由这样的身份管理系统管理的身份与由商业实体保存的账户或服务id之间的映射通常很难维护。最后,这样的身份管理系统通常需要频繁访问区块链网络和与区块链网络交互,这可能是昂贵的并且消耗资源。
技术实现要素:
本文的各种实施例包括但不限于用于验证声明的系统、方法和非暂时性计算机可读介质。
根据一些实施例,一种计算机实现的用于验证声明的方法包括:从第一实体接收用于验证包括数字签名的可验证声明(vc)的请求;基于所述vc获得与第二实体相关联的公钥;所述数字签名是基于与所述公钥相关联的私钥确定创建的;基于所述确定验证所述vc。
在一些实施例中,获得与第二实体相关联的公钥包括:基于所述vc中的标识识别所述第二实体。
在一些实施例中,所述标识是去中心化标识(did)并且所述获得与第二实体相关联的公钥包括:向区块链的区块链节点发送包括与所述did相关联的信息的区块链交易,其中,所述区块链交易用于检索与所述did相对应的did文档;从所述区块链获得所述did文档;以及从所述did文档中检索公钥。在一些实施例中,所述区块链交易调用用于管理did和did文档之间的关系的区块链合约。
在一些实施例中,所述方法还包括获得所述vc的状态;以及确定所述vc的所述状态有效。在一些实施例中,获得所述vc的状态包括:从存储与多个vc相关联的信息的区块链获得所述状态。
在一些实施例中,确定所述vc的所述状态有效包括:获得与所述vc相关联的第一哈希值以及所述vc的所述状态;通过将哈希函数应用于所述vc来确定第二哈希值;以及通过比较所述第一哈希值与所述第二哈希值,认证所述vc的所述状态。
在一些实施例中,获得与所述vc相关联的第一哈希值以及所述vc的所述状态包括:向所述区块链的区块链节点发送用于检索所述第一哈希值和所述状态的区块链交易,所述区块链交易包括与所述vc的主体相关联的did。
在一些实施例中,所述方法还包括:从所述第一实体检索与所述vc的主体相关联的账户标识;基于预存储的所述账户标识与所述did之间的映射关系,获得与所述vc的所述主体相关联的did获得与所述did相关联的did文档;从所述did文档中获得与用于管理vc的服务端点相关联的信息;以及从所述服务端点获得所述vc。
在一些实施例中,所述方法还包括:向所述第一实体发送确认所述vc被验证的消息。
在一些实施例中,验证所述vc包括:从所述vc获得所述vc的发布日期;以及基于所述获得的发布日期与当前日期之间的比较来验证所述获得的发布日期。
在一些实施例中,验证所述vc包括:从所述vc中获得所述vc的到期日期;以及基于所述到期日期和当前日期来验证所述vc尚未到期。
根据其他实施例,一种用于验证声明的系统包括一个或多个处理器;以及耦接到所述一个或多个处理器并且其上存储有指令的一个或多个计算机可读存储器,所述指令可由所述一个或多个处理器执行以执行前述实施例中任一个的方法。
根据其他实施例,一种非暂时性计算机可读存储介质,配置有可由一个或多个处理器执行的指令,以促使一个或多个处理器执行前述实施例中任一个的方法。
根据其他实施例,一种用于验证声明的装置包括用于执行前述实施例中的任一个的方法的多个模块。
根据其他一些实施例,一种用于验证声明的系统包括一个或多个处理器以及耦接到所述一个或多个处理器并且其上存储有指令的一个或多个计算机可读存储器,所述指令可由所述一个或多个处理器执行以执行包括以下的操作:从第一实体接收用于验证包括数字签名的可验证声明(vc)的请求;基于所述vc获得与第二实体相关联的公钥;确定所述数字签名的基于与所述公钥相关联的私钥创建的;基于所述确定验证所述vc。
根据其他实施例,一种非暂时性计算机可读存储介质,配置有可由一个或多个处理器执行的指令,以促使一个或多个处理器执行包括以下的操作:从第一实体接收用于验证包括数字签名的可验证声明(vc)的请求;基于所述vc获得与第二实体相关联的公钥;确定所述数字签名是基于与所述公钥相关联的私钥创建的;基于所述确定验证所述vc。
根据其他实施例,一种用于验证声明的装置包括:接收模块,用于从第一实体接收用于验证包括数字签名的可验证声明(vc)的请求;获得模块,用于基于所述vc获得与第二实体相关联的公钥;确定模块,用于确定所述数字签名是基于与所述公钥相关联的私钥创建的;以及验证模块,用于基于所述确定验证所述vc。
本文公开的实施例具有一个或多个技术效果。在一些实施例中,在线平台提供用于基于区块链的去中心化身份管理的在线服务,例如代理服务和解析器服务,并使用户可以通过api接口访问这种在线服务。这允许使用除区块链所要求的语言或协议之外的编程语言或协议来控制与去中心化身份管理有关的操作(例如,去中心化标识的创建和认证、可验证声明的发布和验证)。根据一些实施例,在线平台提供了用于在安全环境中创建和安全保存用户的加密密钥的密钥管理系统。这减少了围绕用户独立创建和存储重要身份凭证的安全风险。在其他实施例中,在线平台为实体提供代表多个其他实体管理身份的接口和自动化软件解决方案。在线平台还包括存储去中心化身份与企业账户或服务id之间的映射信息。这有助于使用简化的控制操作来创建大量去中心化标识或可验证声明以及单个人或实体对不同身份的有效交叉引用。在其他实施例中,在线平台聚集并执行某些交易,否则交易将由区块链系统执行以用于去中心化身份管理。这减少了执行交易的成本和资源消耗。
参考附图考虑以下描述和所附权利要求,本文公开的系统、方法和非暂时性计算机可读介质的这些和其他特征,以及操作方法和相关结构元件的功能以及部件的组合和制造经济性将变得更加明显,上述都形成本说明书的一部分,其中在各个附图中相同的附图标记表示对应的部分。然而,应该清楚地理解,附图仅用于说明和描述的目的,而不是限制性的。
附图说明
图1示出了根据一些实施例的与区块链相关联的网络环境。
图2示出了根据一些实施例的用于实现区块链交易的框架。
图3示出了根据一些实施例的与用于管理去中心化标识和可验证声明的系统相关联的网络环境。
图4示出了根据一些实施例的与基于区块链的系统相关联的架构,该系统用于管理去中心化标识和可验证声明。
图5示出了根据一些实施例的与用于实现与去中心化标识和可验证声明相关联的各种功能的示例的系统相关联的网络环境。
图6示出了根据一些实施例的用于创建去中心化标识的方法。
图7示出了根据一些实施例的用于使用did认证服务来认证去中心化标识的方法。
图8示出了根据一些实施例的使用身份管理应用来认证去中心化标识的方法。
图9示出了根据一些实施例的用于发布可验证声明的方法。
图10示出了根据一些实施例的用于验证可验证声明的方法。
图11示出了根据一些实施例的用于使用代理服务创建去中心化标识的方法。
图12示出了根据一些实施例的用于使用代理服务认证去中心化标识的方法。
图13示出了根据一些实施例的用于使用代理服务发布可验证声明的方法。
图14示出了根据一些实施例的用于使用代理服务验证可验证声明的方法。
图15示出了根据一些实施例的用于创建去中心化标识的方法的流程图。
图16示出了根据一些实施例的用于发布可验证声明的方法的流程图。
图17示出了根据一些实施例的用于验证可验证声明的方法的流程图。
图18示出了根据一些实施例的用于创建去中心化标识的计算机系统的框图。
图19示出了根据一些实施例的用于发布可验证声明的计算机系统的框图。
图20示出了根据一些实施例的用于验证可验证声明的计算机系统的框图。
图21示出了计算机系统的框图,其中可以实现本文描述的任何实施例。
具体实施方式
本文描述的实施例提供了与用于可以为实体提供唯一且可验证的身份的去中心化身份管理的生态系统相关联的方法、系统和装置。实体的去中心化标识(did)可允许该实体获得对其身份以及与身份相关联的信息的完全控制。可验证声明(vc)可允许不同实体之间进行授权、背书和确认。在商业环境中,服务或产品提供商可以使用其客户的did和vc来识别并认证客户,并相应地提供服务或产品。
在一些实施例中,did可以是指示真实实体和在线实体之间的映射关系的唯一标识。did可以包括url方案标识、用于did方法的标识以及did方法专用标识。每个did可以指向对应的did文档。did文档可以包括关于did和did的所有者的预设格式(例如,json-ld)的描述性文本。did可以用作用于定位did文档的统一资源标识(uri)。did文档可以包括各种属性,例如上下文、did主题、公钥、认证、授权和委托、服务端点、创建、更新、证明、可扩展性、其他合适的属性或其任意组合。did文档可以定义或指向定义多个操作的资源,所述操作可以相对于did执行。
在一些实施例中,vc可以提供关于实体的质量、特征、关系和其他相关信息的可验证在线信息。vc可以包含预设格式(例如json-ld)的描述性文本,该文本描述有关did的一个或多个声明(例如,did所有者的年龄、did所有者的教育背景)以及实体对声明的背书。vc可以包括各种属性,例如上下文、标识、类型、凭证主题、发布者、发布日期、证明、到期日、状态、表示、其他合适的属性或其任意组合。vc可以指定其声明(claim)的类型,该类型可以指示该声明的结构。这可以促使vc发布者和vc验证者自动进行处理。
did的所有者可以以不同的角色参与身份管理系统。例如,个人可能期望使用由商业实体提供的服务,该服务需要证明该个人已超过18岁。该个人可以是did的所有者,并且可以请求由提供公民年龄验证的政府机构发布的vc。商业实体可以验证vc,以确保该个人符合年龄要求。在这种情况下,个人可以是did所有者和vc持有者;政府机构可以是vc发布者,而商业实体可以是vc验证者。作为另一示例,用户可以向第一企业发布vc,以允许第一企业使用由第二企业存储的用户数据。在这种情况下,用户可以充当vc发布者;第一企业可以充当did所有者和vc持有者;第二企业可以充当vc验证者。
一些实施例集成了各种组件,例如区块链网络、云应用、代理服务、解析器服务、用户应用、应用编程接口(api)服务、密钥管理系统(kms)和其他合适的组件,以实现诸如创建和认证did以及发布和验证vc的功能。在一些实施例中,集成这些组件中的一个或多个的在线平台可以促进商业实体顺利地为其用户创建did和发布vc。商户可以通过一个或多个api接口与在线平台进行交互,并将多个加密密钥信托给在线平台。在线平台可以提供代表商业实体和/或其用户来执行与did和vc有关的各种操作的代理服务。可选地,在线平台可以提供可以集成到商业实体的应用中的sdk,以直接执行与did和vc有关的操作。
图1示出了根据一些实施例的与区块链相关联的网络环境。如图所示,在环境100中,客户端111可以耦接到服务器端118,并且服务器端118和节点b可以通过各种通信网络耦接到区块链系统112。类似地,服务器端118可以可选地耦接到更多类似于区块链系统112的区块链系统,例如区块链系统113、区块链系统114等。每个区块链系统可以维护一个或多个区块链。
在一些实施例中,客户端111可以包括一个或多个服务器(例如,节点c)以及一个或多个其他计算设备(例如,节点a1、节点a2、节点a3)。节点a1、节点a2和节点a3可以耦接到节点c。在一些实施例中,节点c可以由具有各种本地账户(从节点a1、节点a2、节点a3评估的本地账户)的实体(例如,网站、移动电话应用、组织、公司、企业)来实现。例如,移动电话应用可能具有数百万个从相应的用户账户访问应用的服务器的端用户(end-user)。应用的服务器可以相应地存储数百万个用户账户。客户端111的组件及其布置可以具有许多其他配置。
在一些实施例中,节点b可以包括轻节点。轻节点可能无法下载完整的区块链,而是可以只下载区块头以验证区块链交易的真实性。轻节点可以由全节点(例如,区块链系统112中的区块链节点)服务并且有效地依赖于全节点来访问区块链的更多功能。通过安装适当的软件,可以在诸如膝上型电脑、移动电话等的电子设备中实现轻节点。
在一些实施例中,可以有更多类似于客户端111的客户端耦接到服务器端118。服务器端118可以提供区块链即服务(baas),并且被称为baas云。在一个实施例中,baas是一种云服务模型,其中客户端或开发人员将web或移动应用的幕后方面外包。baas可以为区块链上发生的例如用户验证、数据库管理和远程更新的活动提供预先编写的软件。baas云可以在服务器、服务器集群或其他设备中实现。在一个实施例中,baas云提供基于区块链技术的企业级平台服务。该服务可以帮助客户端构建安全稳定的区块链环境,并轻松管理区块链的部署、操作、维护和开发。基于云的丰富的安全策略和多租户隔离,baas云可以使用芯片加密技术来提供高级的安全保护。基于高可靠性的数据存储,这项服务可以提供端到端的高可用性服务,所述服务能够快速扩展而不会中断。baas云可以为标准区块链应用和数据提供本地支持。
在一些实施例中,区块链系统112可包括维护一个或多个区块链(例如,公有区块链、私有区块链、联盟区块链)的多个区块链节点(例如,区块链节点1、区块链节点2、区块链节点3、区块链节点4、区块链节点i等)。其他区块链系统(例如,区块链系统113、区块链系统114)可以包括维护其他区块链的区块链节点的类似布置。每个区块链节点都可以在一个或多个区块链系统中找到。每个区块链系统的区块链节点可以维护一个或多个区块链。区块链节点可以包括全节点。全节点可以下载每个区块和区块链交易,并对照区块链的共识规则对它们进行检查。区块链节点可以形成网络(例如,点对点网络),其中一个区块链节点与另一区块链节点通信。所示的区块链节点的次序和数量仅仅是为了说明的示例。区块链节点可以在服务器、计算机等中实现。例如,每个区块链节点可以在服务器或服务器集群中实现。服务器集群可以采用负载平衡。每个区块链节点可以对应于经由诸如tcp/ip的各种类型的通信方法耦接在一起的一个或多个物理硬件设备或者虚拟设备。根据分类,区块链节点还可以被称为全节点、geth节点、共识节点等。
在环境100中,每个节点和设备可以安装有适当的软件(例如,应用编程接口)和/或硬件(例如,有线、无线连接)以访问环境100的其他设备。通常,节点和设备可以能够通过一个或多个有线或无线网络(例如,互联网)彼此通信,通过所述网络可以对数据进行通信。节点和设备中的每一个可以包括一个或多个处理器以及耦接到一个或多个处理器的一个或多个存储器。存储器可以是非暂时性的且计算机可读的,并且配置有可由一个或多个处理器执行以促使所述一个或多个处理器执行本文描述的操作的指令。所述指令可以存储在存储器中或通过通信网络下载而不必存储在存储器中。尽管在该图中节点和设备被示为单独的组件,但是应当理解,这些节点和设备可以实现为单个设备或耦接在一起的多个设备。例如,节点b可以可选地集成到区块链节点2中。
诸如节点a1、节点a2、节点a3、节点b和节点c之类的设备可以安装有适当的区块链软件以创建区块链账户并发起、转发或访问区块链交易。术语“区块链交易”可以指在区块链系统中执行并记录在区块链中的任务单元。例如,节点a1可以通过与节点c、服务器端118和区块链节点1通信来访问区块链,并且节点b可以通过与区块链节点2通信来访问区块链。在一些实施例中,节点a1可以向节点c提交区块链账户创建请求。节点c可以将请求和其他类似请求转发给服务器端118。服务器端118可以相应地创建区块链账户。
在一些实施例中,在接收到未确认的区块链交易的区块链交易请求后,接收方区块链节点可以对区块链交易执行一些初步验证。例如,区块链节点1可以在从节点c接收到区块链交易之后执行初步验证。一旦被验证,区块链交易可以被存储在接收方区块链节点(例如,区块链节点1)的池数据库中,该节点也可以将该区块链交易转发到一个或多个其他区块链节点(例如,区块链节点3、区块链节点4)。由于每个区块链节点可以包括存储器或耦接到存储器,所以池数据库可以分别存储在区块链节点的存储器中。池数据库可存储由一个或多个客户端设备提交的多个区块链交易。在接收到区块链交易之后,一个或多个其他区块链节点可以重复由接收方区块链节点进行的处理。
每个区块链节点可以根据其偏好从池中选择一些区块链交易,并将其形成为向区块链提出的新区块。区块链节点可以通过投入算力来解决复杂的数学问题,从而对提出的新区块进行“挖矿”。如果区块链交易涉及区块链合约,则区块链节点可以在对应的虚拟机(vm)中本地执行区块链合约。为了处理区块链合约,区块链网络的每个区块链节点可以运行一个对应的虚拟机,并执行区块链合约中相同的指令。虚拟机是基于计算机架构并提供物理计算机的功能的计算机系统的软件仿真。区块链环境中的虚拟机可以被理解为被设计用作区块链合约的运行环境的系统。
根据共识规则成功挖出所提出的区块链交易的新区块的特定区块链节点可以将新区块打包至其区块链的本地副本中,并将结果多播到其他区块链节点。特定区块链节点可以是首先成功完成验证、已获得验证特权、或者已经基于另一共识规则被选择等的区块链节点。然后,其他区块链节点可以遵循与特定区块链节点执行的执行顺序相同的执行顺序在本地执行新区块中的区块链交易,彼此验证执行结果(例如,通过执行哈希计算),并将它们的区块链的本地副本与特定区块链节点的副本同步。通过更新区块链的本地副本,其他区块链节点可以类似地将区块链交易中这样的信息写入对应的本地存储器。因此,区块链合约可以部署在区块链上。如果在某一时刻验证失败,则拒绝区块链交易。
部署的区块链合约可以具有地址,根据该地址可以访问部署的合约。区块链节点可以通过向区块链合约输入某些参数来调用已部署的区块链合约。在一个实施例中,节点c或节点b可以请求调用部署的区块链合约以执行各种操作。例如,可以检索存储在部署的区块链合约中的数据。对于另一示例,可以将数据添加到部署的区块链合约中。对于又一示例,可以执行在部署的区块链合约中指定的金融交易。尽管如此,其他类型的区块链系统和相关的共识规则可以应用于所公开的区块链系统。
图2示出了根据一些实施例的用于实现区块链交易的框架。在一些实施例中,客户端111可以向服务器端118发送信息(例如,具有用于创建区块链账户的相关信息的请求),以供服务器端118创建区块链账户。为此,服务器端118可以生成加密密钥,将该请求与其他账户创建请求一起编译,和/或执行其他操作。然后,服务器端118可以将包括编译的账户创建请求的区块链交易(例如,区块链交易a)发送到区块链节点中的一个或多个以供执行。
在一些实施例中,节点b可以构建签名的区块链交易并将其发送到一个或多个区块链节点以供执行。在一个实施例中,节点b可以构建区块链交易b。区块链交易b可以包括用于部署或调用已部署的区块链合约的区块链合约b。例如,区块链交易b可以包括创建区块链账户或调用已部署的区块链合约a的区块链合约。可以在用户端应用221处以源代码对区块链合约b进行编程。例如,用户或机器可以对区块链合约b进行编程。节点b可以使用相应的编译器来编译源代码,该编译器将源代码转换为字节码。区块链交易b可以包括诸如随机数(例如,交易序列号)、从(例如,节点b的区块链地址或另一区块链地址)、至(例如,在部署区块链合约的情况下为空)、交易费、价值(例如,交易金额)、签名(例如,节点b的签名)、数据(例如,至合约账户的消息)等的信息。节点b可通过远程过程调用(rpc)接口223将区块链交易b发送到一个或多个区块链节点以供执行。rpc是第一程序(例如,用户端应用)可以用来从位于网络上的另一计算机(例如,区块链节点)中的第二程序请求服务而无需理解网络细节的协议。当第一程序促使进程在不同地址空间中执行时,则其好像正常(本地)进程调用一样,而无需程序员明确地编码远程交互的细节。
在一些实施例中,在接收到区块链交易(例如,区块链交易a或b)时,接收方区块链可以验证区块链交易是否有效。例如,可以验证签名和其他格式。如果验证成功,接收方区块链节点可以将接收到的区块链交易(例如,区块链交易a或b)广播到区块链网络,该区块链网络包括各种其他区块链节点。一些区块链节点可以参与区块链交易的挖矿过程。区块链交易可以由特定节点挑选以进行共识验证,从而打包到新区块中。如果区块链交易涉及区块链合约,特定节点可以创建区块链合约的与合约账户地址相关联的合约账户。如果区块链交易涉及调用部署的区块链合约,则特定节点可以触发其本地虚拟机执行接收到的区块链交易,因此从其区块链的本地副本调用部署的区块链合约并更新区块链中的账户状态。如果特定节点成功挖出新区块,则特定节点可以将新区块广播到其他区块链节点。其他区块链节点可以验证该新区块为由该特定区块链节点挖出的。如果达成共识,则将区块链交易b分别打包到由区块链节点维护的区块链的本地副本中。区块链节点可以类似地触发其本地虚拟机以执行区块链交易b,从而调用部署在区块链的本地副本上的区块链合约a并进行相应的更新。
在接收到新区块时,其他区块链节点可以执行验证。如果对新区块有效达成了共识,则将新区块分别打包到由区块链节点维护的区块链的本地副本中。区块链节点可以类似地触发它们的本地虚拟机(例如,本地虚拟机1、本地虚拟机i、本地虚拟机2)以执行新区块中的区块链交易,从而调用区块链的本地副本(例如,本地区块链副本1、本地区块链副本i、本地区块链副本2)并进行相应的更新。每个区块链节点的硬件机器可以访问一个或多个虚拟机,所述虚拟机可以是相应的区块链节点的一部分或耦接到相应的区块链节点。每次都可以触发相应的本地虚拟机来执行区块链交易。同样,将执行新区块中的所有其他区块链交易。轻节点也可以与更新的区块链同步。
图3示出了根据一些实施例的与用于管理去中心化标识和可验证声明的系统相关联的网络环境。在一些实施例中,用户端系统310可以对应于实体。该实体可以是向多个用户提供一个或多个产品或服务的商业实体。该实体还可以是单个用户、用户组、组织、其他合适的实体或其任意组合。用户端系统310可以包括多个计算机系统、数据存储、云服务、移动应用、其他合适的组件或其任意组合。用户端系统310可以包括服务器311和数据库313。数据库313可以存储与实体的用户的多个用户账户相关联的数据。与用户端系统310对应的实体可能期望为其自身以及其用户创建和管理did和vc。它可以包括用于管理did的创建和认证或者vc的发布和验证的一个或多个软件开发工具包(sdk)312。
在一些实施例中,为了实现与did和vc相关联的功能,用户端系统310可以与服务端系统320对接。在一些实施例中,如图3所示的服务端系统320可以等同于如图1和图2所示的服务器端118的一个或多个组件、成为其一部分、或将其包括在内。服务端系统320可以包括一个或多个代理321、一个或多个解析器322、一个或多个密钥管理系统323、一个或多个云324、其他合适的组件或其任意组合。代理321可以提供与did或vc有关的各种服务或应用,并维护数据库,该数据库将来自用户端系统310的账户信息或其他商业数据映射到存储在一个或多个区块链上的did、vc或者其他信息或数据。代理321可以提供一个或多个应用编程接口(api),用户端系统310可以使用该api来直接提交与did或vc有关的请求。代理321可以管理用户端系统310与解析器322和云324之间的通信。
在一些实施例中,代理321可以耦接到密钥管理系统(kms)323。kms323可以生成、分发和管理用于设备和应用的加密密钥。它们可能涵盖从密钥的安全生成到密钥的安全交换,再到安全的密钥处理和存储的安全性方面。kms323的功能可以包括密钥生成、分发和替换以及密钥注入、存储和管理。kms323可以包括或耦接到可信执行环境(tee)。tee可以是设备的主处理器上与主操作系统分离的隔离区域。tee可以提供隔离执行环境,该隔离执行环境提供例如隔离执行、使用tee执行的应用的完整性以及其资产的机密性的安全性特征。它可以保证内部加载的代码和数据在机密性和完整性方面得到保护。在一些实施例中,kms323可以在tee中生成一个或多个加密密钥对。在输出加密密钥对之前,tee可以对私钥进行加密。可以基于例如数据加密标准(des)、tripledes、rsa、高级加密标准(aes)、twofish等的各种方法或标准对私钥进行加密。kms323可以存储与公钥相关联的加密私钥。为了使用私钥,kms323可以将加密私钥馈送到tee以进行解密和处理。
在一些实施例中,代理321可以耦接到解析器322,解析器322可以包括软件应用以管理与did或vc有关的交易中代理与区块链330之间的交互(例如,did与did文档之间的对应关系)。解析器322可以是一个或多个基于云的服务的一部分,或者与一个或多个基于云的服务耦接。一个或多个基于云的服务可以与区块链即服务(baas)云324或其他合适的云服务相关联。baas云324可以构建为一个或多个区块链330提供各种接口的平台。它可以接收来自外部应用的输入并基于输入促进操作的创建和执行,例如区块链交易部署、区块链合约创建和执行、区块链账户创建。baas云324还可以从一个或多个区块链330获得信息和数据,并使用baas云324将信息和数据馈送到一个或多个其他系统。在一些实施例中,代理321可以直接耦接到云324以使用其服务。在一些实施例中,代理321、解析器322和kms323中的一个或多个可以集成为baas云324的一部分或另一合适的在线平台的一部分。
在一些实施例中,解析器322和云324可以耦接到区块链330。区块链330可以包括一个或多个区块链合约331。一个或多个区块链合约331可以被配置为由与区块链330相关联的虚拟机执行,以执行与did和vc相关联的一个或多个操作。所述操作可以包括创建新的did、存储did文档、更新did文档、基于did识别did文档、存储与vc相关联的信息、检索与vc相关联的信息、其他合适的操作或其任意组合。解析器322和云324可以被配置为在区块链330上部署调用一个或多个区块链合约331的一个或多个交易。所述交易可以触发与did和vc有关的一个或多个操作。
图4示出了根据一些实施例的与基于区块链的系统相关联的架构,该系统用于管理去中心化标识和可验证声明。在一些实施例中,该系统可以包括三种主要组件:一个或多个代理服务321、一个或多个解析器服务322以及一个或多个区块链合约331。一个或多个代理服务321可以被配置为处理从用户接收的与did和vc有关的请求。一个或多个代理服务321可以管理用户端系统310上的账户信息与账户所有者的did之间的映射关系。代理服务321可以包括用于从用户端系统310接收与did相关的请求的did代理服务api410。取决于请求的性质,可以将其馈送到用于执行诸如创建和认证did的操作的用户代理411,或者用于执行诸如发布vc的操作的发布代理412。来自期望验证vc的一方的请求可以被馈送到验证者代理413。一个或多个代理服务321还可提供用于存储一个或多个vc的可验证声明存储库414。代理服务321也可以使用一个或多个存储器415以及一个或多个数据库416。代理服务321可以耦接到kms323和baas云324。代理服务321可以耦接到解析器服务322。
在一些实施例中,代理服务321的一个或多个代理可以向与解析器服务322相关联的did解析器api420发送一个或多个请求。解析器服务322可以被配置为处理代理服务321与区块链330之间的交互。解析器服务322可以执行诸如从区块链330获得数据、向区块链330添加数据、创建区块链合约331、将交易部署至区块链330以调用区块链合约331、其他合适的操作或其任意组合的操作。解析器服务322可以包括did解析器421和vc解析器422,所述did解析器421被配置为管理存储在区块链330上的did和did文档,所述vc解析器422被配置为管理基于区块链330创建的did的vc。解析器服务322还可包括用于从区块链331获得数据的监听器424。监听器424可以将获得的数据存储到数据库423。该数据可以由did解析器421和vc解析器422使用。did解析器421、vc解析器422和监听器424可以耦接到baas云324,用于与区块链330交互。
在一些实施例中,区块链330可以包括用于管理did和did文档的一个或多个区块链合约(331a、331b、331c),并且包括用于管理vc的一个或多个合约(331d、331e、331f)。合约可以由与区块链330相关联的一个或多个虚拟机执行,以执行诸如创建did、存储did文档、更新did文档、存储与vc相关联的信息、其他合适的操作或其任意组合的操作。
图5示出了根据一些实施例的与用于实现与去中心化标识和可验证声明相关联的各种功能的示例的系统相关联的网络环境。网络环境的组件可以分类为三层510、520和530。在一些实施例中,底层或核心层510可以包括一个或多个区块链330,区块链330可以包括可以被执行以进行与did和vc有关的操作的一个或多个区块链合约(331g、331h、331i)。区块链330可以存储多个did和与所述多个did相对应的多个did文档。区块链合约(331g、331h、331i)可以被配置为管理did和did文档之间的映射关系以及did文档的创建和更改。区块链330可以对于一个或多个解析器(322a、322b)为可访问的,以进行与did和vc有关的操作。解析器(322a、322b)可以被配置为基于输入的did向外部系统提供例如搜索did文档或did文档中包含的数据的服务。一个或多个方法库511也可以对于外部系统为可采用的,以与区块链330交互。
在一些实施例中,中间层或增强层520可以包括一个或多个用户代理411、一个或多个发布者代理412或一个或多个验证者代理413。在一些实施例中,区块链330可以包括联盟区块链,该联盟区块链对于不是联盟区块链的共识节点的用户可以直接访问或不可以直接访问。用户代理411可以为普通用户提供与区块链进行交互的接口。在一些实施例中,用户代理411可以被配置为创建一个或多个did、认证一个或多个did、与一个或多个可验证数据注册表521或者一个或多个did中心(didhub)522交互、向did的所有者发送通知、执行其他合适的功能或其任意组合。这里,did中心522可以包括did所有者在其中存储did所有者的敏感数据的系统。所有者可以准许某些其他实体(例如,发布可验证声明的机构)访问存储在did中心522中的数据。可验证数据注册表521可以包括用于存储和管理发布给did所有者的vc的vc存储库。发布者代理412可以包括一个或多个api(例如,restapi)或sdk。发布者代理412可以被配置为发布一个或多个可验证声明、撤回一个或多个可验证声明、检查和检验现有的可验证声明、发布可验证声明的模板、维护可验证声明的模板、执行其他合适的操作或它们的任意组合。验证者代理413可以包括一个或多个api(例如,restapi)或sdk,并且被配置为验证可验证声明或执行一个或多个其他合适的操作。在一些实施例中,层520还可包括一个或多个代码库(例如,did解析库523、did认证库524),所述代码库可被采用并可被用于与did解析器322交互或直接与区块链330交互。代码库可被打包到一个或多个sdk中并可被用于执行例如did认证、与区块链300的交互或与区块链合约331的对接的功能。发布者代理412和验证者代理413可以由网络环境中与did和vc相关联的关键参与者(例如,能够执行了解您的客户(kyc)认证或为用户背书的实体、或者发布或验证可验证声明的实体(例如,政府机构、银行、金融服务提供商))使用。关键参与者可以提供第三方服务,该第三方服务可以通过与发布者代理412、可验证代理413或网络环境的其他合适组件的连接来集成。
在一些实施例中,上层或扩展层530可以包括与did和vc有关的一个或多个外部服务或应用。服务或应用可以包括一个或多个发布者应用531、一个或多个验证者应用532、身份管理应用533、服务应用534、一个或多个其他合适的服务或应用或者其任意组合。发布者应用531可以与为用户发布由实体签名或背书的可验证声明的实体(例如,政府机构、银行、信贷机构)相对应。发布者应用531可以在用户端系统310上操作。发布者应用531可以包括发布者可验证声明管理器服务,该服务可以允许发布者管理发布的vc、维护其状态(例如,有效性)或执行其他合适的操作。发布者应用531可以通过与发布者代理412或者一个或多个代码库523和524连接或对接来与层510和520交互。验证者应用532可以与需要验证可验证声明以确定用户的信息(例如,身份、年龄、信用评分)的实体(例如,服务提供商、信用发布者)相对应。验证者应用532可以在用户端系统310上操作。验证者应用532可以通过与验证者代理413或者一个或多个代码库523和524连接或对接来与层510和520交互。身份管理应用533可以安装在与用户相关联的客户端设备或终端上。用户可以是did所有者,did所有者可以是个人、企业、组织、应用或任何其他合适的实体。身份管理应用533可以允许用户管理与did、原始数据或vc相关联的加密密钥对,以从用户代理411接收通知、认证did、授予对数据的访问权、使用vc、执行其他合适的操作或其任意组合。身份管理应用533可以通过与用户代理411连接或对接来与层510和520交互。服务应用534也可以耦接到用户代理411,并且被配置为管理与一个或多个用户或账户的did或vc有关的功能。
图6至图10示出了由一个或多个用户端系统310、一个或多个解析器322、一个或多个云324或者一个或多个区块链系统330执行的与did或vc相关联的示例性操作。在一些实施例中,用户端系统310可以通过与did解析器322以及存储did和did文档的区块链330对接来管理一个或多个did或者一个或多个vc。用户端系统310可以使用一个或多个sdk312来管理与和did相关联的方法可兼容的did。sdk312可以与用户端系统310使用的一个或多个应用集成。用户端系统310还可以与用于存储可验证声明的一个或多个服务端点、用于存储可验证声明的状态信息的一个或多个服务端点、用于认证did的一个或多个服务端点、其他合适的系统或其任意组合进行对接。
图6示出了根据一些实施例的用于创建去中心化标识的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。所述方法可以从步骤602开始,其中,用户端系统310的服务器311可以获得将获得did的用户的身份认证。用户端系统310还可以生成或检索包括用于创建did的公钥和私钥的加密密钥对。在步骤604,服务器可以调用sdk312的功能以创建新的did。在此,至少加密密钥对中的公钥可以被输入,或者以其他方式使其可用于sdk312。在步骤606,用户端系统310可以使用sdk312向解析器322发送用于创建新的did的请求。在步骤608,解析器322可以向区块链系统330发送创建新的区块链账户的请求。在此,该请求可以以一个或多个区块链交易的形式被直接发送到区块链330的一个或多个区块链节点,或者被发送到baas云324或与区块链330相关联的其他合适的接口系统。响应于来自解析器322的请求,在步骤610,解析器322可以从云324获得已经创建了新的区块链账户的指示。区块链账户可以与区块链330上的地址相关联。解析器322获得的信息可以包括与新创建的区块链地址相关联的信息。它可以包括新创建的did或至少足以构成did的信息。在步骤612,解析器322可以将消息发送回与用户端系统310相关联的sdk312。该消息可以包括与新创建的did相关联的信息。
在一些实施例中,可以创建did文档并将其存储在区块链330上。在步骤614,用户端系统可以使用sdk312来生成did文档,并将与新创建的did相关联的公钥和认证信息添加到did文档。在步骤616,用户端系统310可以使用sdk312来将与一个或多个服务端点相关联的信息(例如,与认证服务端点相关联的信息、与可验证声明存储库相关联的信息)添加到did文档。认证服务端点和可验证声明存储库可以作为包括解析器322的系统的一部分来提供,或者可以由第三方系统来提供。然后,在步骤618,用户端系统可以使用sdk312来生成用于将did文档存储到区块链330的一个或多个区块链交易。用户端系统310还可以使用sdk312来生成区块链交易的哈希值,并使用与did相关联的私钥生成交易的数字签名。在步骤620,sdk312可以将did文档以及区块链交易发送到did解析器322,用以发送到区块链系统。在步骤622,did解析器可以将一个或多个交易发送到区块链系统(例如,一个或多个区块链节点、baas云324)。一个或多个交易可以调用用于管理区块链330上的did和did文档的区块链合约331。在步骤624,解析器322可以从区块链330获得指示did文档已经被成功存储的信息。在步骤626,解析器322可以将确认转发至skd312。在步骤628,sdk312可以将与创建的did和did文档相关联的信息发送到用户端系统310的服务器311,然后在步骤630服务器311可以向用户发送确认成功创建did的通知。
图7示出了根据一些实施例的用于使用did认证服务来认证去中心化标识的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,拥有did的用户可以使用由商业实体提供的did认证服务来实现对其did所有权的认证。所有者可以将与did对应的公钥-私钥对信托给商业实体以进行存储。所有者可以提供did认证服务的网络位置(例如,由url标识)作为did认证的服务端点。did认证服务的位置标识可以被包括在与did相关联的did文档的“服务”字段中。
在一些实施例中,验证者532(例如,需要验证客户信息的服务提供商)可以使用sdk312来发起did认证处理。在步骤702,验证者532可以获得由声明的所有者提供的did。在步骤704,验证者532可以调用sdk312以创建did认证质询。验证者532可以将待认证的did和要向其发送对质询的响应的网络地址(例如,url)输入到sdk312。在步骤706,sdk312可以将对与待认证的did相关联的did文档的查询发送到解析器322。在步骤708,解析器322可以制定调用用于管理did的区块链合约331的区块链交易,并将该区块链交易发送到与区块链330相关联的一个或多个区块链节点以供执行。结果,解析器322可在步骤710获得与did相对应的did文档,并在步骤712将其转发至sdk312。在步骤714,验证者532可以使用sdk312基于获得的did文档来创建did认证质询。在一些实施例中,did认证质询可以包括通过使用与记录在did文档中的与did相关联的公钥对原始文本进行加密而创建的密文。质询还可以包括要向其发送响应的网络地址。在步骤716,验证者532可以从did文档获得与did的认证服务端点相关联的信息。在步骤718,验证者532可以使用sdk312将质询发送到与did相关联的did认证服务。
在一些实施例中,在从验证者532获得did认证质询之后,在步骤720,did认证服务可以从所有者获得对于这种认证请求的同意。如果所有者提供了对于身份认证的同意或许可,则在步骤722,did认证服务可以调用它的sdk312版本以创建对did认证质询的响应。在一些实施例中,对did认证质询的响应可以包括明文,该明文是使用与did相关联的私钥对质询中的密文进行解密的结果。在步骤724,sdk312可以将响应返回至did认证服务,然后在步骤726,did认证服务可以将响应发送到由验证者432提供的网络地址。在接收到对did认证质询的响应之后,在步骤728,验证者532可以调用它的sdk312以检查响应。在步骤730,sdk312可以确定响应是否证明提供did的用户是该did的所有者。在一些实施例中,sdk312可以通过将响应中的解密文本与用于创建did认证质询的原始文本进行比较来检查响应。如果确定响应正确,则在步骤732,sdk312可以向验证者532返回指示did是用户身份的有效证明的消息。在步骤734,验证者532可以将did的有效性通知给用户。
图8示出了根据一些实施例的使用身份管理应用来认证去中心化标识的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,用户可以使用终端来管理did,该终端可以包括身份管理应用或另一合适的应用。该应用可以包括sdk312的版本。在此示例中,用户可能需要来自服务提供商(即验证者)的服务,该服务提供商需要验证用户拥有特定的did以便提供其服务。用户可以向验证者发送服务请求。服务请求可以是http请求的形式。
在步骤802,用户可以调用身份管理应用以提供用于服务请求的认证信息。用户可以将原始服务请求作为输入提供给包括在身份管理应用中的sdk312。在步骤804,sdk312可以使用与did相关联的加密密钥对中的私钥对原始服务请求的内容进行签名。sdk312可用于将原始服务请求的did和数字签名添加到原始服务请求,以创建签名的服务请求。在原始服务请求是http请求的情况下,sdk312可以将did和数字签名添加到http请求的报头。在步骤806,sdk312可以将签名的服务请求发送到验证者532。
在一些实施例中,在步骤808,验证者532可以调用它的sdk312版本以认证包括在签名的服务请求中的did。在步骤810,sdk312可以获得包括在签名的服务请求中的did和数字签名。在签名的服务请求是http请求的情况下,可以从http请求的报头获得did和数字签名。在步骤812,sdk312可以将对与待认证的did相关联的did文档的查询发送到解析器322。在步骤814,解析器322可以制定调用用于管理did的区块链合约331的交易,并将该交易发送到与区块链330相关联的一个或多个区块链节点以供执行。结果,解析器322可在步骤816获得与did相对应的did文档,并在步骤818将其转发至sdk312。在步骤820,与验证者532相关联的sdk312可以基于获得的did文档检查签名的服务请求,以确定它是否来自did的所有者。在一些实施例中,sdk312可以使用从did文档获得的公钥来对服务请求的内容进行签名,并对照包括在签名的服务请求中的数字签名来检查所得到的签名,以确定公钥是否与用于创建签名的服务请求中的数字签名的密钥相关联。如果是,则sdk312可以确定来自用户的服务请求是有效的。然后,在步骤822,sdk312可以将服务请求发送到验证者532以供处理。在步骤824,验证者532可以处理服务请求并向用户提供适当的服务。然后,在步骤826,验证者532可以向用户发送响应以确认所请求的服务的完成。
图9示出了根据一些实施例的用于发布可验证声明的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,发布者531可以向用户发布vc。vc可以用作对发布者531背书的用户的某些事实或特征的证明。
在步骤902,发布者531可以获得与用户相关联的did以及要包括在vc中的事实的证明。这里,要包括在vc中的事实的证明可以基于用户向发布者531提交的材料、发布者531从第三方系统获得的信息或数据、事实的本人验证、其他合适的证明来源或其任意组合。在获得did和证明之后,在步骤904,发布者531可以调用与vc的创建相关联的sdk312以发起用于创建vc的处理。来自发布者531的消息可以包括关于用户的被证明的事实的陈述或声明。sdk312可以使用与发布者531相关联的加密密钥对来创建包括声明的vc文档。在一些实施例中,vc可以包括基于与发布者531相关联的私钥创建的数字签名。在步骤908,sdk312可以更新vc的本地存储状态。
在步骤910,sdk312可以将对与被发布了vc的did相关联的did文档的查询发送到解析器322。在步骤912,解析器322可以制定调用用于管理did的区块链合约331的交易,并将该交易发送到与区块链330相关联的一个或多个区块链节点以供执行。结果,解析器322可在步骤914获得与did相对应的did文档,并在步骤916将其转发至sdk312。在步骤918,sdk312可以识别与用户的did相关联的用于存储vc的vc服务端点。vc服务端点可以与did的用户或所有者使用的vc存储库414相对应。然后,在步骤920,发布者可以使用sdk312将vc发送到vc存储库414以进行存储。vc还可以包括与vc状态服务端点相关联的信息,该vc状态服务端点可以存储并提供vc的状态信息。在一些实施例中,该信息可以包括由发布者531用来保存vc的状态的发布代理服务的网络地址(例如,url)。vc状态服务端点可以或可以不与vc存储库414相关联。sdk312可以将新生成的vc的当前状态提供给vc状态服务端点以进行存储。vc的状态可以存储在区块链上。
图10示出了根据一些实施例的用于验证可验证声明的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,用户可以向另一方(例如,验证者532)提供vc以证明vc中陈述的事实。可以在验证者532已经验证用户是与vc相关联的did的所有者之后提供vc。
在步骤1002,验证者532可以调用包括与vc验证相关联的代码库的sdk312以验证vc。sdk312可以从vc(例如,在“凭证状态”字段中)识别与用于vc的vc状态服务端点相关联的信息。vc状态服务端点可以与发布者531相关联。在步骤1004,sdk312可以向发布者531发送对vc的状态的查询。作为响应,在步骤1006,发布者531可以调用sdk312以获得vc的状态。sdk531可以获得vc的状态。作为示例,在步骤1008,sdk312可以确定vc具有有效状态并且可以将信息返回给发布者531。然后,在步骤1010,发布者可以将有效状态信息返回给与验证者532相关联的sdk312。
验证者532可以获得与vc的发布者531相关联的标识。例如,标识可以是发布者531的did。在步骤1012,sdk312可以将对与vc的发布者531的did相关联的公钥的查询发送到解析器322。在步骤1014,解析器322可以制定调用用于管理did的区块链合约331的交易,并将该交易发送到与区块链330相关联的一个或多个区块链节点以供执行。结果,解析器322可以在步骤1016获得与did相对应的公钥,并且在步骤1018将其转发到与验证者532相关联的sdk312。在步骤1020,与验证者532相关联的sdk312可以基于其中包括的数字签名以及与vc的发布者531相关联的公钥来验证vc。在步骤1022,如果vc被验证,sdk312可以将确认发送至验证者532。
图11至图14示出了与由一个或多个用户端系统310、一个或多个代理321、一个或多个解析器322、一个或多个云324、一个或多个区块链系统330、一个或多个kms或其他合适的系统、应用、服务执行的与did或vc相关联的示例性操作。在一些实施例中,用户端系统310可以通过经由一个或多个api接口(例如,restapi)与集成了一个或多个上述组件的在线平台进行交互来管理一个或多个did或vc。用户端系统310可以将诸如加密密钥对的机密信息信托给在线平台以进行安全保存。
图11示出了根据一些实施例的用于使用代理服务创建去中心化标识的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,与实体相关联的用户端系统310可以使用一个或多个代理服务321来为该实体的一个或多个用户创建一个或多个did,并将该did与由实体维护的内部账户或标识(例如,服务id)相关联。为了为其用户创建did,该实体可能已被在线平台认证为可信实体,并且可能已承诺提供真实信息。在一些实施例中,该实体可能已经由引导程序(bootstrap)发布者did发布了vc,以证明该实体已由权威实体认证。实体可能需要认证其用户的身份。用户端系统310可以使用一个或多个kms323和它们提供的安全环境(例如,tee)来管理与所创建的did相关联的加密密钥并将加密密钥映射到实体所维护的内部账户或标识。借助于代理服务321,用户端系统310可以使用与did相关联的服务,而无需保留did的记录。取而代之的,它可以简单地经由与代理服务321相关联的一个或多个接口来提供其用于识别did的内部账户信息或标识信息。
在一些实施例中,用于管理did的在线平台可以接收用于创建did的请求。该请求可以来自代表第二实体的第一实体,用于为第二实体创建did。在图11所示的示例中,实体(例如,第一实体)可以为用户(例如,第二实体)创建did,该用户可以具有商业实体的账户。在一些实施例中,实体可以在为用户创建did之前认证用户的身份。例如,在图11的步骤1102,与实体相关联的用户端系统310的服务器311可以执行身份认证或以其他方式获得用户的身份认证信息。该实体可能先前验证了用户的身份,并且可以在数据库中维护这样的信息。在步骤1102,服务器311可以检索这样的信息。然后,在步骤1104,服务器311可以将用于创建did的请求发送到与用户代理411相关联的代理服务api410,用户代理411与在线平台相关联。该请求可以包括与用户相对应的账户标识。该请求可以采取api消息的形式。在步骤1106,代理服务api410可以将请求发送到用户代理411以创建did。
在步骤1108,用户代理411可以检查对于所需信息的请求。在一些实施例中,为了创建用户的did,可以要求实体具有其自身的现有did。用户代理411可以检查该请求以确定该请求的发送者具有现有did并且确定与该发送者相关联的did。在一些实施例中,可能需要实体为用户提供身份认证的证明。身份认证的证明可以包括真人认证的证明、实名认证的证明、其他合适的认证证明或其任意组合。例如,实名认证的证明可以基于用户的官方标识(例如,政府颁发的id)。示例性证明可以例如是通过将哈希函数(例如sha-256)应用于id类型、id号和用户编号的组合而创建的数字。这样的证明可以在维护用户保密的敏感信息的同时确保与特定用户的唯一对应。用户代理411可以确定该请求是否包括身份认证的证明,并且如果是,则接受该请求。如果该请求不包括身份认证的证明,则用户代理411可以拒绝该请求,或者可以向实体发送对身份认证的证明的请求。用户代理411可以基于接收到的请求来获得身份认证的证明,该请求可以直接包括证明或与用于获得证明的方法相关联的信息。如果请求包括所需信息,则在步骤1110,用户代理411可以为用户创建与用户的身份认证的证明相对应的密钥别名(keyalias)。
在一些实施例中,用户代理411可响应于接收到请求而获得加密密钥对的公钥。公钥以后可以用作创建did的基础。在一些实施例中,用户代理411可以从kms323获得公钥。在步骤1112,用户代理411可以向kms323发送用于生成和存储加密密钥对的请求。kms323可以生成加密密钥对。在一些实施例中,kms323可促使在与kms323相关联的tee中生成加密密钥对。在密钥对生成之后,kms323可以从tee获得公钥和加密的私钥。在步骤1114,kms323可以向用户代理411发送公钥。
在一些实施例中,在线平台可以基于公钥获得did。在步骤1116,用户代理411可以将用于创建新的did的请求发送至解析器322。该请求可以包括公钥。作为响应,解析器322可以基于公钥生成用于创建did并将与该did相关联的did文档添加到区块链的一个或多个区块链交易。可选地,did解析器可以将请求发送到baas云324以生成这种交易。例如,在步骤1118,解析器322可以向区块链系统330发送创建新的区块链账户的请求。在此,该请求可以以一个或多个区块链交易的形式被直接发送到区块链330的一个或多个区块链节点,或者被发送到baas云324或与区块链330相关联的其他合适的接口系统。区块链交易可以调用被配置用于管理did的一个或多个区块链合约。响应于来自解析器322的请求,在步骤1120,did解析器可以从区块链330或云324获得成功创建新的区块链账户的指示。区块链账户可以与区块链330上的地址相关联。由解析器322获得的信息可以包括与新创建的区块链地址相关联的信息。它可以直接包括新创建的did或至少足以构成did的信息。在步骤1122,解析器322可以将消息发送回用户代理411。该消息可以包括与新创建的did相关联的信息。
在一些实施例中,可以创建did文档并将其存储在区块链330中。在步骤1124,用户代理411可以生成did文档,并将与新创建的did相关联的公钥以及认证信息添加到did文档。在步骤1126,用户代理411可以将与一个或多个服务端点相关联的信息(例如,与认证服务端点相关联的信息、与可验证声明存储库相关联的信息)添加到did文档。认证服务端点和可验证声明存储库414可以被提供为在线平台的一部分。did文档可以包括:与所获得的did相关联的一个或多个公钥、与所获得的did相关联的认证信息、与所获得的did相关联的授权信息、与所获得的did相关联的委托信息、与所获得的did相关联的一个或多个服务、与所获得的did相关联的一个或多个服务端点、所获得的did的创建者的did、其他合适的信息或其任意组合。在一些实施例中,did文档可以包括“创建者”字段,该“创建者”字段包含代表用户发送了用于创建did的请求的实体的标识信息(例如,did)。“创建者”字段可以用作对did的所有者的身份进行认证或对did的所有者背书的实体的记录。然后,在步骤1128,用户代理411可以生成用于将did文档存储到区块链330的一个或多个区块链交易。用户代理411还可以生成区块链交易的一个或多个哈希值。
在一些实施例中,对于将要由区块链330的一个或多个节点执行的一个或多个区块链交易,需要使用与did相关联的私钥对它们进行签名。用户代理411可以从kms323获得这样的数字签名。在步骤1130,用户代理411可以向kms323发送请求,以使用与did相关联的加密密钥对中的私钥对区块链交易进行签名。该请求可以包括交易的哈希值和与did相关联的公钥。kms323可以创建交易的数字签名。在一些实施例中,可以在与kms323关联的tee中生成数字签名。kms323可以识别与公钥相关联的加密的私钥,并将该加密的私钥馈送到tee。加密的私钥可以在tee中被解密,并用于生成交易的数字签名。然后可以将数字签名馈送回kms323。在步骤1132,用户代理411可以从kms接收签名版本的区块链交易。
在步骤1134,用户代理411可以将did文档以及签名的区块链交易发送到解析器322,用于发送到区块链系统。在步骤1136,解析器322可以将一个或多个交易发送到区块链系统(例如,一个或多个区块链节点、baas云324)。交易可以调用用于管理区块链330上的did和did文档的区块链合约331。在步骤1138,解析器322可以从区块链330获得指示did文档已经被成功存储的信息。在步骤1140,解析器322可以将确认转发至用户代理411。
在步骤1142,在已经创建了did及其对应的did文档之后,用户代理411可以更新数据库416以存储以下之间的映射关系:did、用户的账户标识、用户的身份认证的证明、用户的服务id、与did相关联的公钥、与用户或身份认证的证明相关联的密钥别名、其他合适的信息或其任意组合。在一些实施例中,映射关系可以以加密形式存储。为了存储映射关系,用户代理411可以为did和其他标识信息中的一项或多项的组合计算哈希值。在一些实施例中,这样的哈希值可以被存储为did文档的一部分。所存储的映射关系可以允许用户代理441基于从用户端系统310接收到的信息来识别did。在一些实施例中,用户代理411可以接收与所获得的did相关联的请求,其中该请求包括账户标识,然后基于账户标识与所获得的did之间的映射关系来识别所获得的did。在其他实施例中,用户代理441可以接收对身份认证的证明的请求,其中该请求包括did,然后基于身份认证的证明和did之间的映射关系来定位身份认证的证明。在一些实施例中,用户代理411可以存储用于恢复与和用户的标识信息相关联的did对应的私钥的恢复密钥。以这种方式,用户代理411可以允许用户使用恢复密钥来控制did。然后,在步骤1144,用户代理411可以将与did相关联的信息发送到服务器311,在步骤1146,服务器311可以向用户发送通知,以通知用户did的成功创建。
图12示出了根据一些实施例的用于使用代理服务认证去中心化标识的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,一方(例如,验证者)可能期望认证另一方(例如,声称的did的所有者)是did的真实所有者。认证处理可通过双方都可用的代理服务321来促进。
在一些实施例中,在步骤1202,验证者532可以获得由声称的所有者提供的did。在步骤1204,验证者532可以将请求发送到代理服务api410以创建did认证质询。该请求可以包括待认证的did和对质询的响应要被发送到的网络地址(例如,url)。该网络地址可以为验证者532可访问的。在步骤1206,可以将请求从代理服务api410转发到被配置为执行与did的认证有关的操作的验证者代理413。在步骤1208,验证者代理413可以将对与待认证的did相关联的did文档的查询发送到解析器322。在步骤1210,解析器322可以制定调用用于管理did的区块链合约331的交易,并将该交易发送到与区块链330相关联的一个或多个区块链节点以供执行。结果,在步骤1212,解析器322可获得与did相对应的did文档,并在步骤1214将其转发至验证者代理413。在步骤1216,验证者代理413可以基于获得的did文档来创建did认证质询。在一些实施例中,did认证质询可以包括通过使用与记录在did文档中的与did相关联的公钥对原始文本进行加密而创建的密文。质询还可以包括与验证者关联的网络地址,响应将被发送到该网络地址。在步骤1218,验证者代理413可以从did文档获得与did的认证服务端点相关联的信息。在步骤1220,验证者代理413可以使用键值结构(key-valuestructure)将质询的标识存储在存储器中,该质询的标识与和质询相关联的信息相关。例如,验证者代理413可以存储与和待认证的did相关联的质询关联的质询id、用于创建密文的明文以及用于发送对质询的响应的网络地址。在步骤1222,验证者代理413可以基于来自did文档的信息将质询发送至与did相关联的did认证服务。
在一些实施例中,在从验证者代理413获得did认证质询之后,在步骤1224,did认证服务可以从did的所有者获得对于这种质询的响应的同意。在步骤1226,如果所有者提供对于身份认证的同意或许可,则did认证服务可以向与用户代理411相关联的代理服务api410发送对did认证质询的响应的请求。在步骤1228,代理服务api410可以调用用户代理411的相应功能以创建对质询的响应。对质询的响应可能要求使用与待认证的did相关联的私钥恢复用于创建质询中包含的密文的明文。在步骤1230,用户代理411可以将来自质询的密文和由kms323识别的与id相关联的标识信息一起发送到kms323以用于解密。kms323可以存储多个公钥-私钥对,所述多个公钥-私钥对与账户的标识信息或与该密钥对对应的did相关联。基于从用户代理411接收到的标识信息,kms323可以识别与did相关联的公钥-私钥对。在一些实施例中,kms323可以存储公钥和加密版本的私钥。它可以将加密的私钥发送到与kms323关联的tee以进行解密。然后,可以使用私钥对tee中的密文进行解密。在步骤1232,用户代理411可以从kms323获得解密出的明文。
在步骤1234,用户代理411可以使用明文生成对质询的响应,并将该响应发送回did认证服务。该响应可以包括原始质询中包含的质询标识。在步骤1236,did认证服务可以将响应发送到验证者532提供的网络地址。然后,在步骤1238,验证者532可以将响应转发至验证者代理413以进行检查。在步骤1240,验证者代理413可首先将响应中的质询标识与存储在存储器415中的一个或多个质询标识进行比较,以识别与对应于响应的质询关联的信息。然后在步骤1242,验证者代理413可以确定did的声称所有者是否是实际所有者。在一些实施例中,验证者代理可以确定响应中包含的明文是否与用于创建质询中的密文的明文相同。如果是,则验证者代理413可以确定认证成功。在步骤1244,验证者代理413可以将确认消息发送给验证者,在步骤1246,验证者可以将确认消息转发给did的所有者。
图13示出了根据一些实施例的用于使用代理服务发布可验证声明的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,第一实体(例如,发布者)可能期望为第二实体(例如,用户)发布vc以证明与第二实体有关的事实。通过实体可用的代理服务321可以促进发布vc的处理。
在一些实施例中,在步骤1302,代理服务api410可以从发布者531接收用于为与用户相关联的did创建未签名的vc的请求。在步骤1304,代理服务api410可以调用发布者代理412以执行生成新的vc的操作。在步骤1306,发布者代理412可以基于从发布者531接收到的请求来创建vc。vc可以包括请求中包含的消息。在一些实施例中,出于机密性原因,vc可以包括加密版本的消息。该消息可以包括关于用户的声明或陈述,或者可被传输至具有对vc的访问权的一方的其他合适的信息或数据。在一些实施例中,vc可以包括与用户的身份认证(例如,实名认证、真人认证)相对应的声明。该请求可以包括用户的did。发布者代理412可以基于did直接创建vc。可选地,该请求可以包括与用户(例如,具有发布vc的实体的用户账户)相关联的账户标识。在这种情况下,发布者代理412可以从请求中获得与用户相关联的账户标识,并且基于预存储的账户标识和did之间的映射关系来识别did。发布者代理412然后可以基于识别的did创建未签名的vc。发布者代理412还可以计算未签名的vc的内容的哈希值。
在一些实施例中,发布者代理412可以响应于接收到请求而获得与发布者相关联的数字签名。在一些实施例中,可以从kms323获得数字签名。在步骤1308,发布者代理412可以确定与发布者531相关联的密钥别名。在步骤1310,发布者代理412可以将针对与发布者531相关联的对vc的数字签名的请求发送到kms323。该请求可以包括密钥别名,该密钥别名可以用于识别与发布者531相关联的加密密钥。该请求还可以包括由发布者代理412创建的未签名的vc的哈希值。kms323可以存储与实体或用户的密钥别名相关联的多个公钥-私钥对。基于从发布者代理412接收到的密钥别名,kms323可以识别与发布者531相关联的公钥-私钥对。在一些实施例中,kms323可以存储公钥和加密版本的私钥。它可以将加密的私钥发送到与kms323关联的tee以进行解密。然后可以使用私钥创建发布者对vc的数字签名。可以通过使用私钥对未签名的vc的哈希值进行加密来创建数字签名。在步骤1312,可以将数字签名发送回发布者代理412。然后,在步骤1314,发布者代理412可以将未签名的vc与数字签名结合以组成签名的vc。以这种方式,基于从发布者531接收到的请求和数字签名来生成签名的vc。
在一些实施例中,发布者代理412可以将vc上传到与用户或vc的持有者的did相关联的服务端点。发布者代理412可以基于与did相关联的did文档来识别服务端点。在步骤1316,发布者代理412可以向解析器322发送对与被发布了vc的did相关联的did文档的查询。在步骤1318,解析器322可以制定调用用于管理did的区块链合约331的交易,并将该交易发送到与区块链330相关联的一个或多个区块链节点以供执行。该交易可以包括与did相关联的信息,并且可以用于检索与该did相对应的did文档。结果,在步骤1320,解析器322可获得与did相对应的did文档,并在步骤1322将其转发至sdk312。基于did文档,发布者代理412可以从did文档获得与did的服务端点(例如,vc存储库414)相关联的信息(例如,网络地址)。在步骤1324,发布者代理412可以将vc上传到服务端点。
在一些实施例中,发布者代理412可以存储vc的状态。vc的状态可以被存储在区块链330中。在一些实施例中,与vc的发布者531相关联的服务端点可以使用区块链330。在步骤1326,发布者代理412可以将vc的状态(例如,有效、无效)和vc的哈希值发送到解析器322以存储在区块链330中。在步骤1328,解析器322可以生成用于将与vc相关联的信息添加至区块链的区块链交易并将其发送至与服务端点相关联的区块链330的区块链节点。该信息可以包括vc的状态和哈希值。在一些实施例中,区块链交易可以调用用于管理vc的区块链合约331。在将交易发送到区块链节点之后,解析器322可以在步骤1330确定已经成功存储了vc的哈希值和状态,并且在步骤1332可以将确认发送至发布者代理412。在一些实施例中,vc的状态也可以被本地存储。在步骤1334,发布者代理412可以将vc及其状态存储在数据库416中。发布者代理412可以在步骤1336接收成功存储的确认,在步骤1338将确认发送至代理服务api410,然后在步骤1340,代理服务api410可以向发布者531发送指示vc已经成功创建的确认。发送至发布者的确认可以包括已经创建的vc。
在一些实施例中,可以将vc提供给用户或vc的持有者。在步骤1342,发布者代理412可以将vc和/或vc的状态发送至与vc的持有者的用户代理411相关联的代理服务api410。在步骤1344,代理服务api410可以调用用户代理411以上传vc。这里,用户代理411可以用作vc持有者的did的服务端点。用户代理411可以在与发布者代理412相同的物理系统上实现。在步骤1346,用户代理411可以将vc保存到数据库416。在成功保存vc之后,在步骤1348,数据库416可以将成功确认返回给用户代理411。在步骤1350,用户代理411可以将确认发送至代理服务api410,在步骤1352,代理服务api410可以将确认转发给发布者代理412。
图14示出了根据一些实施例的用于使用代理服务验证可验证声明的方法。以下呈现的方法的操作旨在是说明性的。取决于实施方式,所述方法可以包括以各种次序或并行执行的附加的、更少的或可选的步骤。在一些实施例中,vc的持有者(或vc的主体)可以向第一实体(例如,验证者)展示由第二实体(例如,vc的发布者)发布的vc。验证者可以借助于代理服务321来验证vc。
在一些实施例中,在步骤1402,代理服务api410可以从验证者532接收验证vc的请求。vc可以包括与vc的发布者相关联的数字签名。在步骤1404,代理服务api410可以调用验证者代理413的函数以验证vc。在一些实施例中,验证者532可以已经从vc的持有者直接获得了vc。可选地,验证者532可能仅接收到与vc的主体相关联的账户标识。验证者532可以通过以下获得vc:基于预存储的账户标识和did之间的映射关系来获得与vc的主体相关联的did、获得与did相关联的did文档、从did文档获得与用于管理vc的服务端点相关联的信息以及从服务端点获得vc。
在一些实施例中,验证者代理413可以验证vc的状态。验证者代理413可以使用步骤1406a、1408a、1410a和1412a或者步骤1406b、1408b、1410b和1412b获得并验证状态。在一些实施例中,验证者代理413可以从存储与多个vc相关联的信息的区块链获得vc的状态。在步骤1406a,验证者代理413可以向解析器322发送对vc的状态的查询。该查询可以包括vc的标识。在步骤1408a,解析器322可以创建用于检索哈希值和vc的状态的区块链交易,并将其发送到与区块链300相关联的一个或多个区块链节点。区块链交易可以包括vc的主体的did,并且可以调用用于管理vc的区块链合约331。在步骤1410a,解析器322可以从区块链330获得vc的状态以及与vc相关联的哈希值。然后在步骤1412a,解析器322可以将哈希值和状态发送给验证者代理413以进行验证。验证者代理413可以通过对由持有者提供的vc应用哈希函数来计算哈希值。验证者代理413可以通过将从区块链330接收的哈希值与计算出的哈希值进行比较来认证接收到的vc的状态。如果它们相同,则验证者代理413可以确定接收到的状态确实对应于vc。如果状态指示vc有效,则验证者代理413可以完成该验证步骤。
在一些实施例中,验证者代理413可以从与vc相关联的服务端点获得vc的状态。在一些实施例中,服务端点可以对应于与发布者相关联的发布者代理412。在步骤1406b,验证者代理413可以向发布者代理412发送对vc的状态的查询。发布者代理412可以在步骤1408b向数据库416查询vc的状态,并且在步骤1410b获得vc的状态和对应的哈希值。在步骤1412b,发布者代理412可以将哈希值和状态发送给验证者代理413。验证者代理413可以以上述方式认证该状态并验证vc有效。
在一些实施例中,验证者代理413可以确定vc是由对vc标识的发布者发布的。验证者代理413可以基于vc获得与发布者相关联的公钥。验证者代理413可以基于vc中的标识来识别发布者。在一些实施例中,标识可以包括发布者的did。可以基于发布者的did从区块链330获得公钥。在步骤1414,验证者代理413可以向解析器322发送对与发布者相关联的公钥的请求。该请求可以包括发布者的did。在步骤1416,解析器322可以创建调用用于基于did检索公钥或did文档的区块链合约331的区块链交易,并将区块链交易发送到区块链330的区块链节点。解析器322可以在步骤1418获得公钥(例如,通过从did文档中检索),并且在步骤1420将公钥转发给验证者代理413。然后,在步骤1422,验证者代理413可以通过确定数字签名是基于与公钥相关联的私钥创建的来使用公钥验证vc。在一些实施例中,验证者代理413可以验证关于vc的一个或多个其他事实。例如,验证者代理413可以从vc获得vc的发布日期,并且基于所获得的发布日期和当前日期之间的比较来验证所获得的发布日期。作为另一示例,验证者代理413可以从vc获得vc的到期日期,并且基于到期日期和当前日期来验证vc尚未到期。如果vc的验证成功,则在步骤1424验证者代理可以将确认发送到代理服务api410。在步骤1426,代理服务api410可以向验证者532发送确认验证了vc的消息。
图15示出了根据一些实施例的用于创建去中心化标识的方法的流程图。方法1500可以由用于did创建的设备、装置或系统执行。方法1500可以由图1至图5所示的环境或系统的例如以下的一个或多个组件执行:代理服务321的一个或多个组件、解析器服务322的一个或多个组件或者baas云324的一个或多个组件。取决于实施方式,方法1500可以包括以各种次序或并行执行的附加的、更少的或替代步骤。
框1510包括接收用于获得去中心化标识(did)的请求,其中,该请求包括账户标识。在一些实施例中,接收用于获得did的请求包括从代表第二实体的第一实体接收该请求,以为第二实体创建did,其中,账户标识对应于第二实体。在一些实施例中,该方法还包括基于该请求来确定与该第一实体相关联的现有did。在一些实施例中,该方法还包括确定该请求包括第二实体的实名认证的证明。在一些实施例中,该请求包括应用编程接口(api)消息。
框1520包括响应于接收到请求而获得加密密钥对中的公钥。在一些实施例中,获得加密密钥对中的公钥包括:向密钥管理系统(kms)发送请求,以生成和存储加密密钥对,并从kms接收加密密钥对中的公钥。
框1530包括基于公钥获得did。在一些实施例中,获得did包括生成用于创建区块链账户的区块链交易,其中,获得的did包括与区块链账户相关联的区块链地址。在一些实施例中,获得did包括基于公钥生成用于创建did并将与该did相关联的did文档添加到区块链的一个或多个区块链交易。在一些实施例中,一个或多个区块链交易调用与该区块链相关联的一个或多个区块链合约。在一些实施例中,获得did包括向kms发送请求以使用加密密钥对中的私钥来对区块链交易进行签名,以及从kms接收区块链交易的签名版本,其中,区块链交易的签名版本是在可信执行环境(tee)中生成的。
在一些实施例中,did文档包括:与获得的did相关联的一个或多个公钥、与获得的did相关联的认证信息、与获得的did相关联的授权信息、与获得的did相关联的委托信息、与获得的did相关联的一个或多个服务、与获得的did相关联的一个或多个服务端点、获得的did的创建者的did。在一些实施例中,did文档包括账户标识和获得的did之间的映射关系。在一些实施例中,did文档中的映射关系被加密。
框1540包括存储账户标识和获得的did之间的映射关系。在一些实施例中,方法还包括:接收与获得的did相关联的请求,其中,该请求包括账户标识;以及基于账户标识与获得的did之间的映射关系来识别获得的did。在一些实施例中,方法还包括存储与获得的did相关联的恢复密钥。
图16示出了根据一些实施例的用于发布可验证声明的方法的流程图。方法1600可以由用于vc发布的设备、装置或系统执行。方法1600可以由图1至图5所示的环境或系统的例如以下的一个或多个组件执行:代理服务321的一个或多个组件、解析器服务322的一个或多个组件或者baas云324的一个或多个组件。取决于实施方式,方法1600可以包括以各种次序或并行执行的附加的、更少的或替代步骤。
框1610包括从第一实体接收用于创建针对与第二实体相关联的去中心化标识(did)的可验证声明(vc)的请求。在一些实施例中,接收用于创建针对与第二实体相关联的didvc的请求包括:从该请求中获得与第二实体相关联的账户标识,并基于预存储的该账户标识与did之间的映射关系来识别该did。
框1620包括响应于接收到请求而获得与第一实体相关联的数字签名。在一些实施例中,获得与第一实体相关联的数字签名包括:基于接收到的请求,确定与第一实体相关联的密钥别名,向密钥管理系统(kms)发送对与该第一实体相关联的数字签名的请求,该请求包括密钥别名,以及从kms接收数字签名。在一些实施例中,获得与第一实体相关联的数字签名包括:从接收到的请求中获得消息;至少部分地基于消息来创建未签名的vc;确定未签名的vc的哈希值;向密钥管理系统(kms)发送对数字签名的请求,该请求包括哈希值,以及从kms接收数字签名。
框1630包括基于接收到的请求和获得的数字签名来生成vc。在一些实施例中,生成vc包括基于包括在接收到的请求中的加密消息来生成vc。在一些实施例中,生成的vc包括与第二实体的实名认证相对应的声明。
在一些实施例中,方法还包括将vc上传到与did相关联的服务端点。在一些实施例中,将vc上传到与did相关联的服务端点包括:将区块链交易发送到区块链节点以添加到区块链,其中,区块链交易包括与did相关联的信息,并且用于检索与did相对应的did文档;从区块链获得did文档;并基于该did文档确定与该did关联的服务端点。在一些实施例中,服务端点与区块链相关联。在一些实施例中,将vc上传到服务端点包括向与服务端点关联的区块链的区块链节点发送用于将与vc关联的信息添加到与服务端点关联的区块链的区块链交易。在一些实施例中,区块链交易调用用于管理vc的区块链合约。
在一些实施例中,方法还包括存储生成的vc和与生成的vc相关联的状态。在一些实施例中,方法还包括经由应用编程接口(api)将生成的vc和与生成的vc相关联的状态发送给第二实体可访问的在线代理以进行存储。在一些实施例中,方法还包括向第一实体发送成功消息,该成功消息包括生成的vc。
图17示出了根据一些实施例的用于验证可验证声明的方法的流程图。方法1700可以由用于vc验证的设备、装置或系统执行。方法1700可以由图1至图5所示的环境或系统的例如以下的一个或多个组件执行:代理服务321的一个或多个组件、解析器服务322的一个或多个组件或者baas云324的一个或多个组件。取决于实施方式,方法1700可以包括以各种次序或并行执行的附加的、更少的或替代步骤。
框1710包括从第一实体接收用于验证包括数字签名的可验证声明(vc)的请求。框1720包括基于vc获得与第二实体相关联的公钥。在一些实施例中,获得与第二实体相关联的公钥包括基于vc中的标识来识别第二实体。在一些实施例中,vc中的标识是去中心化标识(did);获得与第二实体相关联的公钥包括:向区块链的区块链节点发送包括与did相关联的信息的区块链交易,其中,区块链交易用于检索与did对应的did文档;从区块链获得did文档以及从did文档中检索公钥。在一些实施例中,区块链交易调用用于管理did和did文档之间的关系的区块链合约。
框1730包括确定数字签名是基于与公钥相关联的私钥创建的。框1740包括基于该确定来验证vc。在一些实施例中,验证vc包括:从vc获得vc的发布日期,并且基于获得的发布日期和当前日期之间的比较来验证获得的发布日期。在一些实施例中,验证vc包括:从vc获得vc的到期日期,并且基于到期日期和当前日期来验证vc尚未到期。
在一些实施例中,方法还包括获得vc的状态并确定vc的状态有效。在一些实施例中,获得vc的状态包括从存储与多个vc相关联的信息的区块链获得状态。在一些实施例中,确定vc的状态有效包括:获得与vc相关联的第一哈希值以及vc的状态;通过对vc应用哈希函数来确定第二哈希值;以及通过将第一哈希值和第二哈希值进行比较来认证vc的状态。在一些实施例中,获得与vc相关联的第一哈希值以及vc的状态包括:向区块链的区块链节点发送用于检索第一哈希值和状态的区块链交易,该区块链交易包括:与vc的主体相关联的did。
在一些实施例中,方法还包括:从第一实体接收与该vc的主体相关联的账户标识;基于预存储的账户标识和did之间的映射关系,获得与did相关联的did文档;从did文档获得与用于管理vc的服务端点相关的信息;以及从服务端点获得vc。在一些实施例中,方法还包括向第一实体发送确认vc被验证的消息。
图18示出了根据一些实施例的用于创建去中心化标识的计算机系统的框图。系统1800可以是图3中的服务侧系统320的一个或多个组件或图1至图5中示出的一个或多个其他组件的实现的示例。方法1500可以由计算机系统1800实现。计算机系统1800可以包括一个或多个处理器以及一个或多个非暂时性计算机可读存储介质(例如,一个或多个存储器),所述非暂时性计算机可读存储介质耦合到一个或多个处理器并配置有可由一个或多个处理器执行以促使系统或设备(例如,处理器)执行上述方法,例如方法1500的指令。计算机系统1800可以包括与指令(例如,软件指令)相对应的各种单元/模块。在一些实施例中,计算机系统1800可以指用于创建did的装置。该装置可以包括:接收模块1810,用于接收用于获得去中心化标识(did)的请求,其中,该请求包括账户标识;以及第一获得模块1820,用于响应于接收到请求,获得加密密钥对中的公钥;第二获得模块1830,用于基于公钥获得did;以及存储模块1840,用于存储账户标识与获得的did之间的映射关系。
图19示出了根据一些实施例的用于发布可验证声明的计算机系统的框图。系统1900可以是图3中的服务侧系统320的一个或多个组件或者图1至图5中示出的一个或多个其他组件的实现的示例。方法1600可以由计算机系统1900实现。计算机系统1900可以包括一个或多个处理器以及一个或多个非暂时性计算机可读存储介质(例如,一个或多个存储器),所述非暂时性计算机可读存储介质耦合到一个或多个处理器并配置有可由一个或多个处理器执行以促使系统或设备(例如,处理器)执行上述方法,例如方法1600的指令。计算机系统1900可以包括与指令(例如,软件指令)相对应的各种单元/模块。在一些实施例中,计算机系统1900可以指用于发布vc的装置。该装置可以包括:接收模块1910,用于从第一实体接收用于创建针对与第二实体相关联的去中心化标识(did)的可验证声明(vc)的请求;获得模块1920,用于响应于接收到所述请求,获得与第一实体关联的数字签名;以及生成模块1930,用于基于接收到的请求和获得的数字签名生成vc。
图20示出了根据一些实施例的用于验证可验证声明的计算机系统的框图。系统2000可以是图3中的服务侧系统320的一个或多个组件或者图1至图5中示出的一个或多个其他组件的实现的示例。方法1700可以由计算机系统2000实现。计算机系统2000可以包括一个或多个处理器以及一个或多个非暂时性计算机可读存储介质(例如,一个或多个存储器),所述非暂时性计算机可读存储介质耦合到一个或多个处理器并配置有可由一个或多个处理器执行以促使系统或设备(例如,处理器)执行上述方法,例如方法1700的指令。计算机系统2000可以包括与指令(例如,软件指令)相对应的各种单元/模块。在一些实施例中,计算机系统2000可以指用于验证vc的装置。该装置可以包括:接收模块2010,用于从第一实体接收用于验证包括数字签名的可验证声明(vc)的请求;获得模块2020,用于基于vc来获得与第二实体相关联的公钥;确定模块2030,用于确定数字签名是基于与公钥相关联的私钥创建的;以及验证模块2040,用于基于该确定来验证vc。
这里描述的技术由一个或多个专用计算设备实现。专用计算设备可以是台式计算机系统、服务器计算机系统、便携式计算机系统、手持设备、网络设备或包含硬连线和/或程序逻辑以实现这些技术的任何其他设备或设备的组合。专用计算设备可以被实现为个人计算机、膝上型计算机、蜂窝电话、照相电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板电脑、可穿戴设备或其组合。计算设备通常由操作系统软件控制和协调。传统的操作系统控制和调度用于执行的计算机进程,执行存储器管理,提供文件系统、网络、i/o服务,以及提供用户接口功能,例如图形用户界面(“gui”)等。这里描述的各种系统、装置、存储介质、模块和单元可以在专用计算设备或者一个或多个专用计算设备的一个或多个计算芯片中实现。在一些实施例中,这里描述的指令可以在专用计算设备上的虚拟机中实现。当被执行时,指令可以促使专用计算设备执行本文描述的各种方法。虚拟机可以包括软件、硬件或其组合。
图21示出了可以实现本文描述的任何实施例的计算机系统的框图。系统2100可以在图1-5所示的环境或系统的任何组件中实现。可以在系统2100上实现和操作图1-5中所示的软件应用或服务。图6至图17所示的一个或多个示例性方法可以由计算机系统2100的一个或多个实施方式执行。
计算机系统2100可以包括用于通信信息的总线2102或其他通信机制、与总线2102耦合以处理信息的一个或多个硬件处理器2104。硬件处理器2104可以是例如一个或多个通用微处理器。
计算机系统2100还可以包括耦合到总线2102、用于存储可由处理器2104执行的信息和指令的主存储器2106,例如随机存取存储器(ram)、高速缓存和/或其他动态存储设备。主存储器2106还可以用于在执行可由处理器2104执行的指令期间存储临时变量或其他中间信息。当这些指令存储在处理器2104可访问的存储介质中时,这些指令将计算机系统2100呈现为被定制以执行指令中指定的操作的专用机器。计算机系统2100还可以包括耦合到总线2102、用于存储处理器2104的静态信息和指令的只读存储器(rom)2108或其他静态存储设备。诸如磁盘、光盘或usb拇指驱动器(闪存驱动器)等的存储设备2110可以被提供并被耦合到总线2102以存储信息和指令。
计算机系统2100可以使用与计算机系统相结合使得计算机系统2100成为专用机器或将计算机系统700编程为专用机器的定制硬连线逻辑、一个或多个asic或fpga、固件和/或程序逻辑实现本文所述的技术。根据一个实施例,这里描述的操作、方法和处理由计算机系统2100响应于处理器2104执行主存储器2106中包含的一个或多个指令的一个或多个序列而执行。这些指令可以从例如存储设备2110的另一存储介质读入主存储器2106。主存储器2106中包含的指令序列的执行可以促使处理器2104执行这里描述的处理步骤。在替代实施例中,可以使用硬连线电路代替软件指令或与软件指令组合。
主存储器2106、rom2108和/或存储设备2110可以包括非暂时性存储介质。这里使用的术语“非暂时性介质”和类似术语是指存储促使机器以特定方式操作的数据和/或指令的介质,所述介质不包括暂时性信号。这种非暂时性介质可以包括非易失性介质和/或易失性介质。非易失性介质包括例如光盘或磁盘,例如存储设备2110。易失性介质包括动态存储器,例如主存储器2106。常规形式的非暂时性介质包括,例如,软磁盘、软盘、硬盘、固态驱动器、磁带或任何其他磁数据存储介质、cd-rom、任何其他光学数据存储介质、具有孔图案的任何物理介质、ram、prom和eprom、flash-eprom、nvram、任何其他存储器芯片或盒式磁带以及它们的网络版本。
计算机系统2100还可以包括耦合到总线2102的网络接口2118。网络接口2118可以提供耦合到一个或多个网络链路的双向数据通信,所述一个或多个网络链路连接到一个或多个本地网络。例如,网络接口2118可以是综合业务数字网(isdn)卡、电缆调制解调器、卫星调制解调器或调制解调器,以提供与相应类型的电话线的数据通信连接。作为另一示例,网络接口2118可以是局域网(lan)卡,以提供与兼容lan(或wan组件以与wan通信)的数据通信连接。还可以实现无线链路。在任何这样的实施方式中,网络接口2118可以发送和接收携带表示各种类型的信息的数字数据流的电信号、电磁信号或光信号。
计算机系统2100可以通过网络、网络链路和网络接口2118发送消息和接收数据,包括程序代码。在因特网示例中,服务器可以通过因特网、isp、本地网络和网络接口2118发送用于应用程序的请求代码。
所接收的代码当被接收时可以由处理器2104执行,和/或存储在存储设备2110或其他非易失性存储器中以用于稍后执行。
前面部分中描述的每个处理、方法和算法可以体现在由包括计算机硬件的一个或多个计算机系统或者计算机处理器执行的代码模块中并且被其完全或部分自动化地实现。处理和算法可以部分或全部地在专用电路中实现。
上述各种特征和处理可以彼此独立地使用,或者可以以各种方式组合。所有可能的组合和子组合都旨在落入本文的范围内。另外,在一些实施方式中可以省略某些方法或处理框。本文描述的方法和处理也不限于任何特定顺序,与其相关的框或状态可以以适当的其他顺序执行。例如,所描述的框或状态可以以不同于具体公开的顺序执行,或者多个框或状态可以在单个框或状态中组合。框或状态的示例可以串行、并行或以某种其他方式执行。可以将框或状态添加到所公开的实施例中或从所公开的实施例中移除。这里描述的系统和组件的示例可以与所描述的不同地被配置。例如,与所公开的实施例相比,可以添加、移除或重新布置元件。
本文描述的方法的各种操作可以至少部分地由被临时配置(例如,通过软件)或被永久配置为执行相关操作的一个或多个处理器执行。无论是临时配置还是永久配置,这样的处理器可以构成处理器实现的引擎,所述处理器实现的引擎用于执行本文描述的一个或多个操作或功能。
类似地,这里描述的方法可以至少部分地由处理器实现,其中特定处理器是硬件的示例。例如,所述方法的至少一些操作可以由一个或多个处理器或处理器实现的引擎执行。此外,一个或多个处理器还可操作以支持“云计算”环境中的相关操作的性能,或作为“软件即服务”(saas)操作。例如,至少一些操作可以由一组计算机(作为包括处理器的机器的示例)执行,这些操作可以经由网络(例如,因特网)经由一个或多个适当的接口(例如,应用编程接口(api))被访问。
某些操作的性能可以在处理器之间分配,不仅驻留在单个机器中,而且跨多个机器被部署。在一些实施例中,处理器或处理器实现的引擎可以位于单个地理位置(例如,在家庭环境、办公室环境或服务器群内)。在其他实施例中,处理器或处理器实现的引擎可以分布在多个地理位置。
在本文中,多个实例可以实现作为单个实例所描述的组件、操作或结构。尽管一个或多个方法的各个操作被示出并描述为独立的操作,但是可以同时执行一个或多个独立的操作,并且不需要以所示的顺序执行所述操作。在配置中作为独立组件呈现的结构和功能可以实现为组合结构或组件。类似地,作为单个组件呈现的结构和功能可以实现为独立的组件。这些和其他变化、修改、添加和改进都落入本文中的主题的范围内。
尽管已经参考具体实施例描述了主题的概述,但是在不脱离本文的实施例的较宽范围的情况下,可以对这些实施例进行各种修改和改变。具体实施方式不应被视为具有限制意义,并且各种实施例的范围仅由所附权利要求以及这些权利要求所赋予的等同物的全部范围限定。此外,这里使用的相关术语(诸如“第一”、“第二”、“第三”等)不表示任何顺序、高度或重要性,而是用于将一个元件与另一元件区分开。此外,术语“一”、“一个”和“多个”在本文中并不表示对数量的限制,而是表示存在至少一个所述的物品。
- 还没有人留言评论。精彩留言会获得点赞!