为相关的设备的组生成和关联分散式标识符(DID)。首先,通过基于种子和组中的设备中的至少一个设备的第一硬件标识符生成设备组DID的私钥,来生成设备组DID。设备组DID与相关的设备的组相关联。对于相关的设备的组中的每个设备,通过基于种子、对应设备的第二硬件标识符和设备组DID生成设备DID的私钥来得出设备DID。然后设备DID与对应设备相关联。进一步地,向设备组DID授予许可范围,并且组中的每个设备DID被授予许可范围的子集。备DID被授予许可范围的子集。备DID被授予许可范围的子集。
【技术实现步骤摘要】
【国外来华专利技术】将分散式标识符与一个或多个设备相关联
技术介绍
[0001]目前使用的大多数证明身份的文档或记录是由诸如政府、学校、雇主或其他服务中心或监管组织之类的中央组织发布的。这些组织常常在集中式身份管理系统中维护每个成员的身份。集中式身份管理系统是被组织用来管理已发布的身份、身份认证、授权、角色和权限的集中式信息系统。集中式身份管理系统被认为是安全的,因为它们常常使用专业维护的硬件和软件。通常,身份发布组织设置针对在组织中注册人员的条款和要求。最后,当一方需要验证另一方的身份时,验证方常常需要通过集中式身份管理系统来获得验证和/或认证对方身份的信息。
[0002]分散式标识符(DID)是一种新型的标识符,它独立于任何集中式注册表、身份提供方或证书颁发机构。分布式分类账技术(诸如区块链)为使用完全分散式标识符提供了机会。分布式分类账技术使用全球分布式分类账来以可验证的方式记录两方或更多方之间的事务。一旦事务被记录,分类账的某部分中的数据就不能在不更改分类账的所有后续部分的情况下追溯性更改,这提供了一个相当安全的平台。在这样分散式环境中,每个DID的所有者通常都可以使用他/她的DID来控制他/她自己的数据。DID所有者经由DID管理模块访问被存储在与DID相关联的个人存储中的数据,该DID管理模块是移动应用、个人计算机、浏览器等。
[0003]本文要求保护的主题不限于解决任何缺点或仅在诸如上述环境之类的各环境中操作的实施例。相反,提供该技术背景仅是为了说明一个实践本文描述的一些实施例的示例性
技术实现思路
[0004]本
技术实现思路
被提供来以简化的形式介绍一系列概念,这将在下面的详细描述中进一步描述。本
技术实现思路
并不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在被用作帮助以确定所要求保护的主题的范围。
[0005]现有技术常常将分散式标识符与用户或个人可标识信息相关联。例如,DID常常与用户的驾照相关联。用户可以使用DID(当DID与他或她的驾照相关联时)来证明他/她被授权驾驶。人们希望保持人们的DID的公钥安全和私密。因此,此类DID的公钥一般不会被传播到公共区块链上,并且此类DID的潜在使用范围受到很大限制。
[0006]在本文描述的各种示例中,存在用于将DID与设备和/或设备的组相关联,而不是个人可标识信息的技术,使得DID(即,设备组DID和设备DID)本身不被视为包含任何个人可标识信息,并且设备组DID或设备DID的公钥也不被视为个人可标识信息。如此,设备组DID和设备DID的公钥可以被使用在许多服务中,并被传播到可公开访问的分类账上。将DID与设备和/或设备的组相关联并不直接简单,本文描述了实现这一点的技术示例。
[0007]特别地,本文描述的原理不仅允许用户使用可公开访问的分类账来将多个设备作为组来进行管理,而且还允许用户使用这些可公开访问的分类账来经由组内的一个设备来管理另一设备而无需公开暴露用户的个人可标识信息。允许用户使用公开可用的分类账以
分散式方式管理设备是有利的,因为用户将不依赖于特定的集中式服务来对设备的组或特定设备执行各种管理功能。用户的个人可标识信息不仅受到保护以防公众,而且受到保护以防中心化服务提供方。
[0008]此外,当公钥被视为个人可标识信息(PII)时,公开可用的分类账的使用受到很大限制,因为可以使用包含PII的公钥经由分散式系统提供的许多服务必须经由私有实体可用和维护的私有分类账来实现。本文描述的原则从公钥中移除个人可标识信息,从而扩展了可公开访问的分类账可以实现的服务类型,同时仍保护用户的隐私。
[0009]本文公开的实施例涉及为一个或多个相关的设备的组生成和关联分散式标识符(DID)。首先,生成设备组DID。设备组DID与一个或多个相关的设备的组相关联。此后,对于一个或多个相关的设备的组中的每一个,生成设备DID,并与对应设备相关联。将许可范围授予设备组DID。响应于将许可范围授予设备组DID,许可范围的子集被授予组内的每个设备DID。以这种方式,给出了一种用于生成DID并将其与一个或多个相关的设备的组相关联的有效过程。即使涉及设备的组,也会以增强安全性和隐私的方式仔细控制许可范围。
[0010]在一些实施例中,将新设备添加到组或从组中移除现有设备的许可是向设备组DID授予的许可范围的子集。设备DID中的至少一个被授予将新设备添加到设备组或从设备组中移除现有设备的许可。
[0011]在一些实施例中,将新设备添加到一个或多个设备的现有组。当接收到将新设备添加到一个或多个设备的组的指示时,利用一个或多个设备的组中的至少一个被许可的现有设备来验证新设备。响应于利用至少一个被许可的现有设备的验证,新设备被添加到一个或多个设备的组中。将新设备添加到一个或多个设备的组中的动作包括得出新设备DID,以及将新设备DID与新设备相关联。
[0012]在一些实施例中,一个或多个设备的现有组中的设备被移除。当指示移除设备的组中的特定设备时,利用不是设备的组中的该特定设备的至少一个被许可的现有设备来验证该特定设备的移除。响应于利用至少一个被许可的现有设备的验证,从设备的组中移除该特定设备。从设备的组中移除该特定设备的动作包括撤销已被授予设备DID的所有许可范围,以及停用与该特定设备相关联的设备DID。
[0013]在一些实施例中,添加或移除特定设备的动作被记录在分布式分类账中。
[0014]在一些实施例中,许可范围包括对访问身份中心(hub)处的存储装置的许可。身份中心是在DID持有方控制下的包括密钥和元数据在内的属性存储装置。许可包括执行以下至少一项的许可:(1)读取被存储在存储装置处的数据集,(2)将数据集写入到存储装置中,(3)复制被存储在存储装置处的数据集,以及(4)删除被存储在存储装置处的数据集。
[0015]在一些实施例中,当设备的组中的特定设备请求访问被存储在ID中心处的数据集时,对应于特定设备的设备DID和对应于设备的组的设备组DID二者都被验证。
[0016]附加的特征和优点将在随后的描述中阐述,并且部分地将从描述中显而易见,或者通过本文教导的实践而获知。本专利技术的特征和优点通过所附权利要求中特别指出的工具和组合来实现和获得。本专利技术的特征将通过以下描述和所附权利要求而变得更加明显,或者通过下文阐述的本专利技术的实践而获知。
附图说明
[0017]为了描述能够获得上述和其他优点和特征的方式,将参考附图中图示的具体实施例来对上文简要描述的主题进行更具体的描述。应当理解,这些附图仅描绘了典型实施例并且因此不应被视为限制范围,将通过使用附图以附加的具体性和细节来描述和解释实施例,其中:
[0018]图1图示了在其中采用了本文描述的原理的示例计算系统;
[0019]图2图示了用于创建分散式标识或标识符(DID)的示例环境;
[0020]图3图示了在其中DID与设备或设备的组相关联的示例环境;
[0021]图4图示了在其中执行各种DID管理操作和服务的示例环境;
...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算系统,包括:一个或多个处理器;以及一个或多个计算机可读介质,在其上具有计算机可执行指令,所述计算机可执行指令被构造成使得当所述计算机可执行指令由所述一个或多个处理器执行时,使所述计算系统执行一种用于为一个或多个相关的设备的组生成和关联分散式标识符(DID)的方法,所述方法包括:通过基于种子和所述组中的所述设备中的至少一个设备的第一硬件标识符生成设备组DID的私钥,来生成所述设备组DID;将所述设备组DID与一个或多个相关的设备的所述组相关联;对于所述一个或多个相关的设备中的每个设备,通过基于种子和所述对应设备的第二硬件标识符以及所述设备组DID生成设备DID的私钥,来得出所述设备DID;以及将所述设备DID与所述对应设备相关联;向所述设备组DID授予许可范围;以及响应于向所述设备组DID授予所述许可范围,向每个设备DID授予所述许可范围的子集,由此所述设备组DID和设备DID中的每一个仅被链接到所述设备组或对应设备,并且没有个人可标识信息直接与所述设备组DID或每个设备DID相关联。2.根据权利要求1所述的计算系统,其中被授予所述设备组DID的所述许可范围包括:将新设备添加到所述设备组中和从所述设备组移除现有设备的许可,并且所述一个或多个设备DID中的至少一个设备DID被授予将新设备添加到所述设备组中或从所述设备组移除现有设备的许可。3.根据权利要求2所述的计算系统,所述方法还包括:接收用于将新设备添加到一个或多个设备的所述组的请求;利用设备的所述组内的至少一个被许可的现有设备来验证所述新设备;响应于利用所述至少一个被许可的现有设备的所述验证,将所述新设备添加到一个或多个设备的所述组中,将所述新设备添加到一个或多个设备的所述组中包括:得出新设备DID;将所述新设备DID与所述新设备相关联;以及向所述新设备DID授予所述许可范围的子集。4.根据权利要求3所述的计算系统,利用一个或多个设备的所述组内的至少一个被许可的现有设备验证所述新设备包括:使所述请求被发送到一个或多个设备的所述组内的至少一个设备;以及从所述至少一个设备接收指示所述请求被批准的通知。5.根据权利要求3或权利要求4所述的计算系统,所述方法还包括:在分布式分类账中记录与向所述新设备DID授予所述许可范围子集相关联的事务。6.根据权利要求2至5中的任一项所述的计算系统,所述方法还包括:接收从一个或多个设备的所述组中移除特定设备的指示;利用不是设备的所述组内的所述特定设备的至少一个被许可的现有设备来验证所述
特定设备的所述移除;响应于利用所述至少一个被许可的现有设备的所述验证,从一个或多个设备的所述组移除所述特定设备,移除所述特定设备包括:撤销已被授予所述设备DID的所述许可范围;以及停用与所述特定设备相关联的所述设备...
【专利技术属性】
技术研发人员:K,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。