[发明专利]将分散式标识符与一个或多个设备相关联

说明书

为相关的设备的组生成和关联分散式标识符(DID)。首先，通过基于种子和组中的设备中的至少一个设备的第一硬件标识符生成设备组DID的私钥，来生成设备组DID。设备组DID与相关的设备的组相关联。对于相关的设备的组中的每个设备，通过基于种子、对应设备的第二硬件标识符和设备组DID生成设备DID的私钥来得出设备DID。然后设备DID与对应设备相关联。进一步地，向设备组DID授予许可范围，并且组中的每个设备DID被授予许可范围的子集。

背景技术

目前使用的大多数证明身份的文档或记录是由诸如政府、学校、雇主或其他服务中心或监管组织之类的中央组织发布的。这些组织常常在集中式身份管理系统中维护每个成员的身份。集中式身份管理系统是被组织用来管理已发布的身份、身份认证、授权、角色和权限的集中式信息系统。集中式身份管理系统被认为是安全的，因为它们常常使用专业维护的硬件和软件。通常，身份发布组织设置针对在组织中注册人员的条款和要求。最后，当一方需要验证另一方的身份时，验证方常常需要通过集中式身份管理系统来获得验证和/或认证对方身份的信息。

分散式标识符(DID)是一种新型的标识符，它独立于任何集中式注册表、身份提供方或证书颁发机构。分布式分类账技术(诸如区块链)为使用完全分散式标识符提供了机会。分布式分类账技术使用全球分布式分类账来以可验证的方式记录两方或更多方之间的事务。一旦事务被记录，分类账的某部分中的数据就不能在不更改分类账的所有后续部分的情况下追溯性更改，这提供了一个相当安全的平台。在这样分散式环境中，每个DID的所有者通常都可以使用他/她的DID来控制他/她自己的数据。DID所有者经由DID管理模块访问被存储在与DID相关联的个人存储中的数据，该DID管理模块是移动应用、个人计算机、浏览器等。

本文要求保护的主题不限于解决任何缺点或仅在诸如上述环境之类的各环境中操作的实施例。相反，提供该技术背景仅是为了说明一个实践本文描述的一些实施例的示例性技术领域。

发明内容

本发明内容被提供来以简化的形式介绍一系列概念，这将在下面的详细描述中进一步描述。本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在被用作帮助以确定所要求保护的主题的范围。

现有技术常常将分散式标识符与用户或个人可标识信息相关联。例如，DID常常与用户的驾照相关联。用户可以使用DID(当DID与他或她的驾照相关联时)来证明他/她被授权驾驶。人们希望保持人们的DID的公钥安全和私密。因此，此类DID的公钥一般不会被传播到公共区块链上，并且此类DID的潜在使用范围受到很大限制。

在本文描述的各种示例中，存在用于将DID与设备和/或设备的组相关联，而不是个人可标识信息的技术，使得DID(即，设备组DID和设备DID)本身不被视为包含任何个人可标识信息，并且设备组DID或设备DID的公钥也不被视为个人可标识信息。如此，设备组DID和设备DID的公钥可以被使用在许多服务中，并被传播到可公开访问的分类账上。将DID与设备和/或设备的组相关联并不直接简单，本文描述了实现这一点的技术示例。

特别地，本文描述的原理不仅允许用户使用可公开访问的分类账来将多个设备作为组来进行管理，而且还允许用户使用这些可公开访问的分类账来经由组内的一个设备来管理另一设备而无需公开暴露用户的个人可标识信息。允许用户使用公开可用的分类账以分散式方式管理设备是有利的，因为用户将不依赖于特定的集中式服务来对设备的组或特定设备执行各种管理功能。用户的个人可标识信息不仅受到保护以防公众，而且受到保护以防中心化服务提供方。

此外，当公钥被视为个人可标识信息(PII)时，公开可用的分类账的使用受到很大限制，因为可以使用包含PII的公钥经由分散式系统提供的许多服务必须经由私有实体可用和维护的私有分类账来实现。本文描述的原则从公钥中移除个人可标识信息，从而扩展了可公开访问的分类账可以实现的服务类型，同时仍保护用户的隐私。