CN108234515B - 一种基于智能合约的自认证数字身份管理系统及其方法 - Google Patents

Abstract

本发明公开了一种基于智能合约的自认证数字身份管理系统及其方法，身份终端通过互联网把其公开密钥和所关联的数字信息发送至云端服务器，依托区块链上的智能合约和区块链下的分布式数据库，完成数字身份的注册和登录以及数字信息的授权、操作和验证等功能。本发明能提供全网唯一的身份标识，通过扫描二维码真正意义上地实现无密码登录，打破传统用户名‑密码的登录模式，并且用户实体能够安全有效地管理数字身份及其所关联的数字信息，实现信息地按需授权、操作和验证，从而真正实现一个去中心化的、自认证的数字身份管理系统。

Description

一种基于智能合约的自认证数字身份管理系统及其方法

技术领域

本发明涉及信息安全领域，具体涉及一种基于智能合约的自认证数字身份管理系统及其方法。

背景技术

区块链作为全球分布式数据库系统，具有不可伪造篡改、全网共享数据等特性，正由于这些良好的特性，区块链技术在身份验证和管理中的应用得到学术界和产业界的一致关注。然而在传统的互联网身份体系中大多采用的都是中心化的技术方案，即使是在目前采用去中心化技术方案的身份体系中，也存在如下缺陷：

1、数字身份及其相关数据采用单一中心化机制存储，不仅增加了数据的维护成本，同时还增加了数据泄露和被盗取的风险。攻击者只要攻击中心化的服务器就可以窃取全部的用户信息数据，并且还可以利用这些信息进行欺诈或者销售进而牟取利益。而存储这些信息的中心机化机构可在用户不知情或未经允许的情况下，使用其信息数据进行商业牟利，并且能够删除和篡改用户的数据，从而导致用户信息数据被随意盗用。

2、目前大多系统采用传统用户名-密码登录方式，由于不同系统之间的独立性和对密码不同的要求，造成用户需要记忆大量不同的密码，给用户登录系统造成极大的不便。

3、用户无法拥有其自身信息数据的控制权，不能随意修改和删除保存在不同系统中的信息数据，并且需要按照不同系统的格式要求上传对应格式的数据，从而导致不易和其他机构分享数据，不利于实现数据共享和统一管理。

4、存储在大多数的系统中的数字信息得不到安全有效地验证，导致第三方系统无法确定用户上传信息的合法性和准确性。若验证的话，流程繁琐且易于被篡改攻击。

发明内容

本发明是为了解决上述现有技术存在的不足之处，提供一种基于智能合约的自认证数字身份管理系统及其方法，以期利用区块链技术特点，能够真正意义上地实现用户控制和管理自主身份及其相关的信息数据，从而能极地方便用户登录，并且安全地保护个人的隐私，防止个人数据被篡改，提高自身身份和数据的价值。

本发明为解决技术问题采用如下技术方案：

本发明一种基于智能合约的自认证数字身份管理系统的特点包括：普通身份终端、权威身份终端、身份云服务器、区块链上智能合约和区块链下分布式数据库；

所述普通身份终端包括：密钥生成模块、二维码模块、数字身份注册模块、数字身份登录模块、数字信息加密与授权模块、身份云服务器交互接口；

所述权威身份终端包括：所述普通身份终端的所有功能模块、身份云服务器交互接口以及数字信息验证模块；

所述身份云服务器包括：区块链上智能合约交互接口、区块链下分布式数据库交互接口；

所述区块链上智能合约包括：数字身份管理合约、数字信息存储合约、操作日志合约接口；

所述普通身份终端或权威身份终端的数字身份注册模块通过所述密钥生成模块生成数字身份的主公开密钥和主私有密钥，并通过所述区块链上智能合约交互接口将所述主公开密钥发送给所述数字身份管理合约，使得所述数字身份管理合约能根据所述主公开密钥生成数字身份代理合约和数字身份控制合约；所述数字身份控制合约包含：身份验证合约、权限验证合约；

所述数字身份管理合约将所述数字身份代理合约的地址返回给所述普通身份终端或权威身份终端作为其身份标识；

所述数字身份注册模块获取所述普通身份终端或权威身份终端的数字信息；

所述普通身份终端或权威身份终端根据所述主公开密钥和主私有密钥，利用分层确定性种子产生和传播协议产生公私密钥树序列，并利用所述公私密钥树序列中的私钥对所述数字信息进行加密，得到数字加密信息后发送给所述区块链下分布式数据库用于存储；

所述普通身份终端或权威身份终端通过所述区块链下分布式数据库交互接口获取所述区块链下分布式数据库在存储所述数字加密信息后的过程中产生的数字指纹；

所述普通身份终端或权威身份终端将所述数字指纹、所述数字指纹对应的数字信息的名称和自身身份标识存储在所述数字信息存储合约中；

以所述普通身份终端或权威身份终端作为登录方，以另一个普通身份终端或权威身份终端作为服务方，所述服务方的数字身份登录模块利用自身的二维码模块生成二维码，所述二维码包含随机数和服务方的主公开密钥；所述登录方的数字身份登录模块利用自身的二维码模块识别所述服务方的主公开密钥和所述随机数获得识别结果，并利用自身的主私有密钥对所述识别结果进行加密，得到密文并与所述登录方的身份标识一起通过所述身份云服务器交互接口发送给所述服务方；所述服务方的数字身份登录模块将所述密文、随机数、登录方的身份标识一起发送给所述身份验证合约进行验证，若验证成功，则表示所述登录方的身份已确认，否则表示所述登录方的身份无法确认，从而完成登录方在服务方的无密登录过程；

所述服务方的数字信息加密与授权模块产生用户属性需求列表，并通过所述身份云服务器交互接口发送给身份已确认的登录方，所述身份已确认的登录方的数字信息加密与授权模块根据所述用户属性需求列表选择相应的数字信息，并利用登录方的主私有密钥和服务方的主公开密钥对所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥进行双重加密，得到加密结果，并对所选择的数字信息赋予相应的操作权限后通过所述区块链上智能合约交互接口将相应的操作权限存储在所述权限验证合约中，同时将加密结果通过所述身份云服务器交互接口反馈给所述服务方；

所述服务方的数字信息加密与授权模块利用自身的主私有密钥和登录方的主公开密钥对所述加密结果进行解密，得到所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥；

所述权限验证合约利用所述服务方的身份标识对所述服务方的操作权限进行验证，当验证成功时，所述服务方的数字信息加密与授权模块根据所选择的数字信息的名称通过所述区块链上智能合约交互接口在所述数字信息存储合约上查询数字指纹，并根据查询到的数字指纹通过所述区块链下分布式数据库交互接口在所述区块链下分布式数据库中查询与所述数字指纹对应的数字加密信息；所述服务方的数字信息加密与授权模块利用与所选择的数字信息相对应的公钥对查询得到的数字加密信息进行解密，得到相应的数字信息，从而完成登录方对所述服务方数字信息的授权过程；

所述登录方将所述服务方在所述用户属性需求列表中所需要验证的数字信息通过所述身份云服务器交互接口提交至所述权威身份终端；

所述权威身份终端对所提交的数字信息进行验证，若验证成功，则生成一个随机数作为验证凭证，再将所述验证凭证和所提交的数字信息进行哈希运算，得到验证结果；所述权威身份终端利用自身主私有密钥对所述验证结果进行加密，得到加密后的验证结果并通过所述身份云服务器交互接口发送给所述身份云服务器，同时，将所述验证凭证通过所述身份云服务器交互接口发送给所述登录方；若验证失败，则反馈验证失败结果给所述登录方；

所述登录方将所述验证凭证和所述权威身份终端的身份标识提供给所述服务方；

所述服务方根据所述权威身份终端的身份标识从所述数字身份管理合约上获取所述权威身份终端的主公开密钥，并通过所述身份云服务器交互接口从所述身份云服务器上获取所述加密后的验证结果，从而利用所述主公开密钥解密所述加密后的验证结果，得到验证结果；

所述服务方对所述验证凭证和登录方选择的数字信息进行哈希运算，得到哈希结果，并与所述验证结果进行比较，若两者一致，则表示所述服务方授权的数字信息为认证信息；否则表示所述服务方授权的数字信息为未认证信息，从而完成登录方选择的数字信息的验证过程。

本发明所述的基于智能合约的自认证数字身份管理系统的特点也在于，所述身份验证合约是按如下过程验证登录方的身份：

步骤1、所述身份验证合约根据所述密文和随机数利用非对称加密算法获取所述密文所对应的公钥；

步骤2、所述身份验证合约根据登录方的身份标识从所述数字身份管理合约中获取登录方的主公开密钥；

步骤3、所述身份验证合约比较所述密文所对应的公钥和登录方的主公开密钥是否一致，若一致，则表示登录方的身份已确认，否则表示所述登录方的身份无法确认。

本发明一种基于智能合约的自认证数字身份管理方法的特点是应用于由普通身份终端、权威身份终端、身份云服务器、数字身份管理合约、数字信息存储合约和区块链下分布式数据库所构成的系统环境中，并按如下步骤进行：

步骤1、所述普通身份终端或权威身份终端生成数字身份的主公开密钥和主私有密钥，并将所述主公开密钥发送给所述数字身份管理合约；

步骤2、所述数字身份管理合约根据所述主公开密钥生成数字身份代理合约和数字身份控制合约；所述数字身份控制合约包含：身份验证合约、权限验证合约；

步骤3、所述数字身份管理合约将所述数字身份代理合约的地址返回给所述普通身份终端或权威身份终端作为其身份标识；

步骤4、所述普通身份终端或权威身份终端根据所述主公开密钥和主私有密钥，利用分层确定性种子产生和传播协议产生公私密钥树序列，再根据所采集的用户数字信息，利用所述公私密钥树序列中的私钥对所述用户数字信息进行加密，从而得到数字加密信息后发送给所述区块链下分布式数据库用于存储；

步骤5、所述普通身份终端或权威身份终端获取所述区块链下分布式数据库在存储所述数字加密信息后的过程中产生的数字指纹，并将所述数字指纹、所述数字指纹对应的数字信息的名称和自身身份标识存储在所述数字信息存储合约中；

步骤6、以所述普通身份终端或权威身份终端的数字身份登录模块作为登录方，以另一个普通身份终端或权威身份终端的数字身份登录模块作为服务方，所述服务方生成包含随机数和自身主公开密钥的二维码，所述登录方识别所述服务方的主公开密钥，并利用自身的主私有密钥对所述随机数和服务方的主公开秘钥进行加密，得到密文并与所述登录方的身份标识一起发送给所述服务方；

步骤7、所述服务方将所述密文、随机数、登录方的身份标识一起发送给所述身份验证合约进行验证，若验证成功，则表示所述登录方的身份已确认，否则表示所述登录方的身份无法确认，从而完成登录方在服务方的无密登录过程；

步骤8、所述服务方将用户属性需求列表发送给身份已确认的登录方，所述身份已确认的登录方根据所述用户属性需求列表选择相应的数字信息，并利用登录方的主私有密钥和服务方的主公开密钥对所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥进行双重加密，得到加密结果后反馈给所述服务方；同时，所述登录方对所选择的数字信息赋予相应的操作权限后，将相应的操作权限存储在所述权限验证合约中；

步骤9、所述服务方利用自身的主私有密钥和登录方的主公开密钥对所述加密结果进行解密，得到所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥；

步骤10、所述权限验证合约利用所述服务方的身份标识对所述服务方的操作权限进行验证，当验证成功时，所述服务方根据所选择的数字信息的名称在所述数字信息存储合约上查询数字指纹，并根据查询到的数字指纹在所述区块链下分布式数据库中查询与所述数字指纹对应的数字加密信息；

步骤11、所述服务方利用与所选择的数字信息相对应的公钥对查询得到的数字加密信息进行解密，得到相应的数字信息，从而完成登录方对所述服务方数字信息的授权过程；

步骤12、所述登录方将所述服务方在所述用户属性需求列表中所需要验证的数字信息提交至所述权威身份终端；

步骤13、所述权威身份终端对所提交的数字信息进行验证，当验证成功时，生成一个随机数作为验证凭证，再将所述验证凭证和所提交的数字信息进行哈希运算，得到验证结果；

步骤14、所述权威身份终端利用自身主私有密钥对所述验证结果进行加密，得到加密后的验证结果并发送给所述身份云服务器，同时，将所述验证凭证发送给所述登录方；

步骤15、所述登录方将所述验证凭证和所述权威身份终端的身份标识提供给所述服务方；

步骤16、所述服务方根据所述权威身份终端的身份标识从所述数字身份管理合约上获取所述权威身份终端的主公开密钥，从所述身份云服务器上获取所述加密后的验证结果，从而利用所述主公开密钥解密所述加密后的验证结果，得到验证结果；

步骤17、所述服务方对所述验证凭证和登录方选择的数字信息进行哈希运算，得到哈希结果，并与所述验证结果进行比较，若两者一致，则表示所述服务方授权的数字信息为认证信息；否则表示所述服务方授权的数字信息为未认证信息，从而完成登录方选择的数字信息的验证过程。

本发明所述的基于智能合约的自认证数字身份管理方法的特点也在于，所述步骤7是按如下过程进行：

步骤1、所述身份验证合约根据所述密文和随机数利用非对称加密算法获取所述密文所对应的公钥；

步骤2、所述身份验证合约根据登录方的身份标识从所述数字身份管理合约中获取登录方的主公开密钥；

步骤3、所述身份验证合约比较所述密文所对应的公钥和登录方的主公开密钥是否一致，若一致，则表示登录方的身份已确认，否则表示所述登录方的身份无法确认。

与现有技术相比，本发明的有益效果体现在于：

1、本发明建立的自认证数字身份管理系统，数字身份登录模块配合区块链上的身份验证合约，在用户无需输入用户名和密码的情况下，通过扫描服务方的二维码就可以完成系统登入，打破传统用户名-密码的登录模式，实现真正意义上的无密码登录。

2、本发明建立的自认证数字身份管理系统，数字信息加密与授权模块配合区块链上的权限验证合约利用分层确定性密钥生成和传播协议(Hierarchical DeterministicProtocol,HD Protocol)，采用强化和正常相混合的密钥衍生方式产生的公私密钥序列加密数字信息，并给数字信息赋予不同操作权限，通过分配不同的公开密钥实现数字信息的按需操作和授权，并且随着信息类别和数量的增加，依然能够利用密钥序列分层确定性的特点，进行有效地授权、管理和备份，从而使用户坚实地掌握自身身份和数据的自主管理权。

3、本发明建立的自认证数字身份管理系统，数字信息验证模块通过有效地数字信息验证机制，使身份终端能够安全有效地验证别的身份终端提供的数字信息，从而提高了数字信息的实用性和利用价值。

4、本发明建立的自认证数字身份管理方法，通过安全的数字身份验证机制，灵活的数字信息授权机制，有效的数字信息验证机制，使用户能够安全有效地自主管理数字身份及其所关联的数字信息，实现了信息地按需授权、操作和验证，从而能极大地保护用户的隐私和提高数据的利用价值。

附图说明

图1为本发明系统结构示意图；

图2为本发明无密登录时序图；

图3为本发明加密数字信息的示意图；

图4为本发明数字信息授权时序图；

图5为本发明数字信息验证时序图。

具体实施方式

本实施例中，一种基于智能合约的自认证数字身份管理系统，如图1所示，包括：普通身份终端、权威身份终端、身份云服务器、区块链上智能合约和区块链下分布式数据库；

身份终端是安装在设备终端如：智能手机、平板电脑、台式计算机和笔记本上的终端应用，又分为普通身份终端和权威身份终端。普通身份终端主要录入用户的数字信息，通过身份云服务器交互接口完成数字身份的注册和数字信息地加密及上传，并通过身份云服务器交互接口将数字信息授权给其他身份终端使用。普通身份终端包括：密钥生成模块、二维码模块、数字身份注册模块、数字身份登录模块、数字信息加密与授权模块、身份云服务器交互接口；权威终端除拥有和普通终端一样的功能外，还可以验证普通终端提供的数字信息，通过身份云服务器交互接口反馈给身份云服务器，其他普通终端通过身份云服务器交互接口从身份云服务器上获取已验证过的数字信息。权威身份终端包括：普通身份终端的所有功能模块、身份云服务器交互接口以及数字信息验证模块；

身份云服务器是配置在云端服务器上的服务器系统，主要起到桥梁作用连接身份终端、区块链上智能合约以及区块链下分布式数据库。身份云服务器包括：区块链上智能合约交互接口、区块链下分布式数据库交互接口；

区块链上智能合约通过发送合约交易到区块链上部署生成合约，区块链上智能合约包括：数字身份管理合约、数字信息存储合约、操作日志合约接口；

普通身份终端或权威身份终端的数字身份注册模块通过密钥生成模块生成数字身份的主公开密钥和主私有密钥(PK₁\SK₁)，并通过区块链上智能合约交互接口将主公开密钥(PK₁)发送给数字身份管理合约，使得数字身份管理合约能根据主公开密钥(PK₁)生成数字身份代理合约和数字身份控制合约；数字身份控制合约包含：身份验证合约、权限验证合约；

数字身份管理合约将数字身份代理合约的地址返回给普通身份终端或权威身份终端作为其身份标识；

数字身份注册模块获取普通身份终端或权威身份终端的数字信息；

其中数字信息包含：身份信息、个人信息、数字资产等信息；

身份信息主要包括用户主私有密钥、主公开密钥；

基本信息主要包括用户的姓名、性别、年龄、性别、电话、邮箱等个人信息；

数字资产，除了包括数字货币外，还广义地包括信誉信息、健康数据、数字档案、数字文件、通讯录等其他数字资产；

普通身份终端或权威身份终端根据主公开密钥和主私有密钥(PK₁\SK₁)，利用分层确定性种子产生和传播协议产生公私密钥树序列，并利用公私密钥树序列中的私钥对数字信息进行加密，得到数字加密信息后发送给区块链下分布式数据库用于存储；

其中采用分层确定性种子产生和传播协议(HDProtocol)产生的密钥树序列来加密数字信息，如图2所示，具体方法如下：

采用强化衍生方式产生公私密钥序列来加密从根结点到类别信息的序列，强化衍生方式产生密钥如式(1)和式(2)所示。其中H_{hash_output_righthand}是通过计算父链码、父私有密钥以及索引号的HMAC-SHA512哈希值并取其哈希值的低256比特所得。采用正常衍生方式产生公私密钥序列来加密具体的数字信息，和不同版本的数字信息，其中正常衍生方式同式(1)和式(2)所示，不同的是，其中H_{hash_output_righthand}是通过计算父链码、父公开密钥以及索引号的HMAC-SHA512哈希值并取其哈希值的低256比特所得；

K_{pub_key_children} ^-1＝(K_{pub_key_parent} ^-1+H_{hash_output_righ thand})％G (1)

K_{pub_key_children}＝Sign_ECDSA((K_{pub_key_parent} ^-1+H_{hash_output_righthand})％G) (2)

采用强化和正常相混合的衍生方式产生密钥序列树来加密数字信息，既解决正常衍生方式的缺陷，即攻击者获得一个子孙私有密钥，就可推断出由该私有密钥衍生出的所有子孙密钥序列。更糟糕的是，攻击者可能通过式(1)(2)反推算出其父私有密钥，也就获得了由该私有密钥衍生出来的整棵密钥树。一旦父私有密钥泄露，身份终端所有的数字信息也将泄露。而从根种子到信息类别采用强化衍生方式产生密钥加密，如同“防火墙”一样，将泄露控制在类别内，并且还可以保存正常衍生方式的优点，如果授权父公开密钥，其子公开密钥加密的数字信息也一同授权，提高了授权的效率和灵活性；

普通身份终端或权威身份终端通过区块链下分布式数据库交互接口获取所述区块链下分布式数据库在存储所述数字加密信息后的过程中产生的数字指纹；

普通身份终端或权威身份终端将数字指纹、数字指纹对应的数字信息的名称和自身身份标识存储在数字信息存储合约中；

无密登录流程如图3所示，以普通身份终端或权威身份终端作为登录方，以另一个普通身份终端或权威身份终端作为服务方，其通过密钥生成模块生成服务方的主公私密钥为(PK₂\SK₂)，服务方的数字身份登录模块利用自身的二维码模块生成二维码QR_authority，二维码包含随机数和服务方的主公开密钥PK₂；登录方的数字身份登录模块利用自身的二维码模块识别服务方的主公开密钥和随机数获得识别结果，并利用自身的主私有密钥SK₂对识别结果进行加密，得到密文P_E，如式5所示，并与登录方的身份标识一起通过身份云服务器交互接口发送给服务方；服务方的数字身份登录模块将密文P_E、随机数、登录方的身份标识一起发送给身份验证合约进行验证，若验证成功，则表示登录方的身份已确认，否则表示登录方的身份无法确认，从而完成登录方在服务方的无密登录过程；

P_E＝E_ASY(SK₂||QR_authority) (5)

其中，身份验证合约是按如下过程验证登录方的身份：

步骤1、身份验证合约根据密文P_E和随机数利用非对称加密算法获取加密该密文的私钥对应的公钥PK₁'；

步骤2、身份验证合约根据登录方的身份标识从数字身份管理合约中获取登录方的主公开密钥PK₁；

步骤3、身份验证合约比较密文P_E的公钥PK₁'和登录方的主公开密钥PK₁是否一致，若一致，则表示登录方的身份已确认，否则表示登录方的身份无法确认。

登录方对服务方数字信息的授权过程，如图4所示。服务方的数字信息加密与授权模块产生用户属性需求列表，并通过身份云服务器交互接口发送给身份已确认的登录方，身份已确认的登录方的数字信息加密与授权模块根据用户属性需求列表选择相应的数字信息，并利用登录方的主私有密钥SK₁和服务方的主公开密钥PK₂对所选择的数字信息的名称、公私密钥树序列中与所选择的数字信息相对应的公钥进行双重加密，得到加密结果，并对所选择的数字信息赋予相应的操作权限后通过区块链上智能合约交互接口将相应的操作权限存储在所述权限验证合约中，同时将加密结果通过身份云服务器交互接口反馈给服务方；

其中，数字信息的操作权限分为读权限、写权限、删除权限，定义Authority＝{R,W,D}(R为读、W为写、D为删除)。信息拥有者默认全权限，而对其他终端默认只有读权限。假设有三个身份终端A,B,C，其身份标识分别对应Ever-Id_a，Ever-Id_b，Ever-Id_c，身份终端A的年龄信息可以设置不同的操作权限如式(6)所示，表示身份终端B拥有身份终端A年龄信息的读权限，身份终端C拥有其读写权限；

Policy_age＝({Ever-Id_b,Authority_(a,b)＝{R}},{Ever-Id_c,Authority_(a,c)＝{R,W}},.....) (6)

服务方的数字信息加密与授权模块利用自身的主私有密钥SK₂和登录方的主公开密钥PK₁对加密结果进行解密，得到所选择的数字信息的名称、公私密钥树序列中与所选择的数字信息相对应的公钥；

权限验证合约利用服务方的身份标识对服务方的操作权限进行验证，当验证成功时，服务方的数字信息加密与授权模块根据所选择的数字信息的名称N_{attr_name}通过区块链上智能合约交互接口在数字信息存储合约上查询数字指纹，并根据查询到的数字指纹通过区块链下分布式数据库交互接口在区块链下分布式数据库中查询与数字指纹对应的数字加密信息；服务方的数字信息加密与授权模块利用与所选择的数字信息相对应的公钥对查询得到的数字加密信息进行解密，得到相应的数字信息，从而完成登录方对服务方数字信息的授权过程；

其中，权限验证合约根据所选择的数字信息的名称N_{attr_name}和登录方的身份标识查找对应的操作权限列表，判断当前操作X_p是否属于权限列表Authority中所赋予的权限，若属于，返回验证成功，若不属于，返回验证失败，则拒绝当前操作；

服务方验证登录方选择的数字信息的过程，如图5所示。登录方将服务方在用户属性需求列表中所需要验证的数字信息通过身份云服务器交互接口提交至权威身份终端；

权威身份终端对所提交的数字信息进行验证，若验证成功，则生成一个随机数作为验证凭证Celt，再将验证凭证Celt和所提交的数字信息进行哈希运算，得到验证结果；权威身份终端利用自身主私有密钥对验证结果进行加密，得到加密后的验证结果并通过身份云服务器交互接口发送给身份云服务器，同时，将验证凭证Celt通过身份云服务器交互接口发送给登录方；若验证失败，则反馈验证失败结果给登录方；

登录方将验证凭证Celt和权威身份终端的身份标识提供给服务方；

服务方根据权威身份终端的身份标识从数字身份管理合约上获取权威身份终端的主公开密钥，并通过身份云服务器交互接口从身份云服务器上获取所述加密后的验证结果，从而利用主公开密钥解密加密后的验证结果，得到验证结果；

服务方对验证凭证Celt和登录方选择的数字信息进行哈希运算，得到哈希结果，并与所述验证结果进行比较，若两者一致，则表示服务方授权的数字信息为认证信息；否则表示服务方授权的数字信息为未认证信息，从而完成登录方选择的数字信息的验证过程。

本实施例中，一种基于智能合约的自认证数字身份管理方法，是应用于由多个普通身份终端和权威身份终端、身份云服务器、数字身份管理合约、数字信息存储合约和区块链下分布式数据库所构成的系统环境中，并按如下步骤进行：

步骤1、普通身份终端或权威身份终端生成数字身份的主公开密钥和主私有密钥(PK₁\SK₁)，并将主公开密钥(PK₁)发送给数字身份管理合约；

步骤2、数字身份管理合约根据公开密钥(PK₁)生成数字身份代理合约和数字身份控制合约；数字身份控制合约包含：身份验证合约、权限验证合约；

步骤3、数字身份管理合约将数字身份代理合约的地址返回给普通身份终端或权威身份终端作为其身份标识；

步骤4、普通身份终端或权威身份终端根据主公开密钥和主私有密钥(PK₁\SK₁)，利用分层确定性种子产生和传播协议产生公私密钥树序列，再根据所采集的用户数字信息，利用公私密钥树序列中的私钥对用户数字信息进行加密，从而得到数字加密信息后发送给所述区块链下分布式数据库用于存储；

步骤5、普通身份终端或权威身份终端获取区块链下分布式数据库在存储数字加密信息后的过程中产生的数字指纹，并将数字指纹、数字指纹对应的数字信息的名称和自身身份标识存储在数字信息存储合约中；

步骤6、以普通身份终端或权威身份终端的数字身份登录模块作为登录方，以另一个普通身份终端或权威身份终端的数字身份登录模块作为服务方，服务方生成包含随机数和自身主公开密钥的二维码，登录方识别服务方的主公开密钥和随机数得到识别结果，并利用自身的主私有密钥对识别结果进行加密，得到密文并与登录方的身份标识一起发送给服务方；

步骤7、服务方将密文、随机数、登录方的身份标识一起发送给身份验证合约进行验证，若验证成功，则表示登录方的身份已确认，否则表示登录方的身份无法确认，从而完成登录方在服务方的无密登录过程；

其中，身份验证合约的验证过程如下：

步骤7.1、身份验证合约根据密文和随机数利用非对称加密算法获取密文所对应的公钥；

步骤7.2、身份验证合约根据登录方的身份标识从数字身份管理合约中获取登录方的主公开密钥；

步骤7.3、身份验证合约比较密文所对应的公钥和登录方的主公开密钥是否一致，若一致，则表示登录方的身份已确认，否则表示登录方的身份无法确认。

步骤8、服务方将用户属性需求列表发送给身份已确认的登录方，身份已确认的登录方根据用户属性需求列表选择相应的数字信息，并利用登录方的主私有密钥和服务方的主公开密钥对所选择的数字信息的名称、公私密钥树序列中与所选择的数字信息相对应的公钥进行双重加密，得到加密结果后反馈给服务方；同时，登录方对所选择的数字信息赋予相应的操作权限后，将相应的操作权限存储在权限验证合约中；

步骤9、服务方利用自身的主私有密钥和登录方的主公开密钥对加密结果进行解密，得到所选择的数字信息的名称、公私密钥树序列中与所选择的数字信息相对应的公钥；

步骤10、权限验证合约利用服务方的身份标识对服务方的操作权限进行验证，当验证成功时，服务方根据所选择的数字信息的名称在数字信息存储合约上查询数字指纹，并根据查询到的数字指纹在区块链下分布式数据库中查询与数字指纹对应的数字加密信息；

步骤11、服务方利用与所选择的数字信息相对应的公钥对查询得到的数字加密信息进行解密，得到相应的数字信息，从而完成登录方对服务方数字信息的授权过程；

步骤12、登录方将服务方在用户属性需求列表中所需要验证的数字信息提交至权威身份终端；

步骤13、权威身份终端对所提交的数字信息进行验证，当验证成功时，生成一个随机数作为验证凭证，再将验证凭证和所提交的数字信息进行哈希运算，得到验证结果；

步骤14、权威身份终端利用自身主私有密钥对验证结果进行加密，得到加密后的验证结果并发送给身份云服务器，同时，将验证凭证发送给登录方；

步骤15、登录方将验证凭证和权威身份终端的身份标识提供给服务方；

步骤16、服务方根据权威身份终端的身份标识从数字身份管理合约上获取权威身份终端的主公开密钥，从身份云服务器上获取加密后的验证结果，从而利用主公开密钥解密加密后的验证结果，得到验证结果；

步骤17、服务方对验证凭证和登录方选择的数字信息进行哈希运算，得到哈希结果，并与验证结果进行比较，若两者一致，则表示服务方授权的数字信息为认证信息；否则表示服务方授权的数字信息为未认证信息，从而完成登录方选择的数字信息的验证过程。

Claims (4)

1.一种基于智能合约的自认证数字身份管理系统，其特征包括：普通身份终端、权威身份终端、身份云服务器、区块链上智能合约和区块链下分布式数据库；

所述普通身份终端包括：密钥生成模块、二维码模块、数字身份注册模块、数字身份登录模块、数字信息加密与授权模块、身份云服务器交互接口；

所述权威身份终端包括：所述普通身份终端的所有功能模块、身份云服务器交互接口以及数字信息验证模块；

所述身份云服务器包括：区块链上智能合约交互接口、区块链下分布式数据库交互接口；

所述区块链上智能合约包括：数字身份管理合约、数字信息存储合约、操作日志合约接口；

所述普通身份终端或权威身份终端的数字身份注册模块通过所述密钥生成模块生成数字身份的主公开密钥和主私有密钥，并通过所述区块链上智能合约交互接口将所述主公开密钥发送给所述数字身份管理合约，使得所述数字身份管理合约能根据所述主公开密钥生成数字身份代理合约和数字身份控制合约；所述数字身份控制合约包含：身份验证合约、权限验证合约；

所述数字身份管理合约将所述数字身份代理合约的地址返回给所述普通身份终端或权威身份终端作为其身份标识；

所述数字身份注册模块获取所述普通身份终端或权威身份终端的数字信息；

所述普通身份终端或权威身份终端根据所述主公开密钥和主私有密钥，利用分层确定性种子产生和传播协议产生公私密钥树序列，并利用所述公私密钥树序列中的私钥对所述数字信息进行加密，得到数字加密信息后发送给所述区块链下分布式数据库用于存储；

所述普通身份终端或权威身份终端通过所述区块链下分布式数据库交互接口获取所述区块链下分布式数据库在存储所述数字加密信息后的过程中产生的数字指纹；

所述普通身份终端或权威身份终端将所述数字指纹、所述数字指纹对应的数字信息的名称和自身身份标识存储在所述数字信息存储合约中；

以所述普通身份终端或权威身份终端作为登录方，以另一个普通身份终端或权威身份终端作为服务方，所述服务方的数字身份登录模块利用自身的二维码模块生成二维码，所述二维码包含随机数和服务方的主公开密钥；所述登录方的数字身份登录模块利用自身的二维码模块识别所述服务方的主公开密钥和所述随机数获得识别结果，并利用自身的主私有密钥对所述识别结果进行加密，得到密文并与所述登录方的身份标识一起通过所述身份云服务器交互接口发送给所述服务方；所述服务方的数字身份登录模块将所述密文、随机数、登录方的身份标识一起发送给所述身份验证合约进行验证，若验证成功，则表示所述登录方的身份已确认，否则表示所述登录方的身份无法确认，从而完成登录方在服务方的无密登录过程；

所述服务方的数字信息加密与授权模块产生用户属性需求列表，并通过所述身份云服务器交互接口发送给身份已确认的登录方，所述身份已确认的登录方的数字信息加密与授权模块根据所述用户属性需求列表选择相应的数字信息，并利用登录方的主私有密钥和服务方的主公开密钥对所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥进行双重加密，得到加密结果，并对所选择的数字信息赋予相应的操作权限后通过所述区块链上智能合约交互接口将相应的操作权限存储在所述权限验证合约中，同时将加密结果通过所述身份云服务器交互接口反馈给所述服务方；

所述服务方的数字信息加密与授权模块利用自身的主私有密钥和登录方的主公开密钥对所述加密结果进行解密，得到所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥；

所述权限验证合约利用所述服务方的身份标识对所述服务方的操作权限进行验证，当验证成功时，所述服务方的数字信息加密与授权模块根据所选择的数字信息的名称通过所述区块链上智能合约交互接口在所述数字信息存储合约上查询数字指纹，并根据查询到的数字指纹通过所述区块链下分布式数据库交互接口在所述区块链下分布式数据库中查询与所述数字指纹对应的数字加密信息；所述服务方的数字信息加密与授权模块利用与所选择的数字信息相对应的公钥对查询得到的数字加密信息进行解密，得到相应的数字信息，从而完成登录方对所述服务方数字信息的授权过程；

所述登录方将所述服务方在所述用户属性需求列表中所需要验证的数字信息通过所述身份云服务器交互接口提交至所述权威身份终端；

所述权威身份终端对所提交的数字信息进行验证，若验证成功，则生成一个随机数作为验证凭证，再将所述验证凭证和所提交的数字信息进行哈希运算，得到验证结果；所述权威身份终端利用自身主私有密钥对所述验证结果进行加密，得到加密后的验证结果并通过所述身份云服务器交互接口发送给所述身份云服务器，同时，将所述验证凭证通过所述身份云服务器交互接口发送给所述登录方；若验证失败，则反馈验证失败结果给所述登录方；

所述登录方将所述验证凭证和所述权威身份终端的身份标识提供给所述服务方；

所述服务方根据所述权威身份终端的身份标识从所述数字身份管理合约上获取所述权威身份终端的主公开密钥，并通过所述身份云服务器交互接口从所述身份云服务器上获取所述加密后的验证结果，从而利用所述主公开密钥解密所述加密后的验证结果，得到验证结果；

所述服务方对所述验证凭证和登录方选择的数字信息进行哈希运算，得到哈希结果，并与所述验证结果进行比较，若两者一致，则表示所述服务方授权的数字信息为认证信息；否则表示所述服务方授权的数字信息为未认证信息，从而完成登录方选择的数字信息的验证过程。

2.根据权利要求1所述的基于智能合约的自认证数字身份管理系统，其特征是，所述身份验证合约是按如下过程验证登录方的身份：

步骤1、所述身份验证合约根据所述密文和随机数利用非对称加密算法获取所述密文所对应的公钥；

步骤2、所述身份验证合约根据登录方的身份标识从所述数字身份管理合约中获取登录方的主公开密钥；

步骤3、所述身份验证合约比较所述密文所对应的公钥和登录方的主公开密钥是否一致，若一致，则表示登录方的身份已确认，否则表示所述登录方的身份无法确认。

3.一种基于智能合约的自认证数字身份管理方法，其特征是应用于由普通身份终端、权威身份终端、身份云服务器、数字身份管理合约、数字信息存储合约和区块链下分布式数据库所构成的系统环境中，并按如下步骤进行：

步骤1、所述普通身份终端或权威身份终端生成数字身份的主公开密钥和主私有密钥，并将所述主公开密钥发送给所述数字身份管理合约；

步骤2、所述数字身份管理合约根据所述主公开密钥生成数字身份代理合约和数字身份控制合约；所述数字身份控制合约包含：身份验证合约、权限验证合约；

步骤3、所述数字身份管理合约将所述数字身份代理合约的地址返回给所述普通身份终端或权威身份终端作为其身份标识；

步骤4、所述普通身份终端或权威身份终端根据所述主公开密钥和主私有密钥，利用分层确定性种子产生和传播协议产生公私密钥树序列，再根据所采集的用户数字信息，利用所述公私密钥树序列中的私钥对所述用户数字信息进行加密，从而得到数字加密信息后发送给所述区块链下分布式数据库用于存储；

步骤5、所述普通身份终端或权威身份终端获取所述区块链下分布式数据库在存储所述数字加密信息后的过程中产生的数字指纹，并将所述数字指纹、所述数字指纹对应的数字信息的名称和自身身份标识存储在所述数字信息存储合约中；

步骤6、以所述普通身份终端或权威身份终端的数字身份登录模块作为登录方，以另一个普通身份终端或权威身份终端的数字身份登录模块作为服务方，所述服务方生成包含随机数和自身主公开密钥的二维码，所述登录方识别所述服务方的主公开密钥，并利用自身的主私有密钥对所述随机数和服务方的主公开秘钥进行加密，得到密文并与所述登录方的身份标识一起发送给所述服务方；

步骤7、所述服务方将所述密文、随机数、登录方的身份标识一起发送给所述身份验证合约进行验证，若验证成功，则表示所述登录方的身份已确认，否则表示所述登录方的身份无法确认，从而完成登录方在服务方的无密登录过程；

步骤8、所述服务方将用户属性需求列表发送给身份已确认的登录方，所述身份已确认的登录方根据所述用户属性需求列表选择相应的数字信息，并利用登录方的主私有密钥和服务方的主公开密钥对所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥进行双重加密，得到加密结果后反馈给所述服务方；同时，所述登录方对所选择的数字信息赋予相应的操作权限后，将相应的操作权限存储在所述权限验证合约中；

步骤9、所述服务方利用自身的主私有密钥和登录方的主公开密钥对所述加密结果进行解密，得到所选择的数字信息的名称、所述公私密钥树序列中与所选择的数字信息相对应的公钥；

步骤10、所述权限验证合约利用所述服务方的身份标识对所述服务方的操作权限进行验证，当验证成功时，所述服务方根据所选择的数字信息的名称在所述数字信息存储合约上查询数字指纹，并根据查询到的数字指纹在所述区块链下分布式数据库中查询与所述数字指纹对应的数字加密信息；

步骤11、所述服务方利用与所选择的数字信息相对应的公钥对查询得到的数字加密信息进行解密，得到相应的数字信息，从而完成登录方对所述服务方数字信息的授权过程；

步骤12、所述登录方将所述服务方在所述用户属性需求列表中所需要验证的数字信息提交至所述权威身份终端；

步骤13、所述权威身份终端对所提交的数字信息进行验证，当验证成功时，生成一个随机数作为验证凭证，再将所述验证凭证和所提交的数字信息进行哈希运算，得到验证结果；

步骤14、所述权威身份终端利用自身主私有密钥对所述验证结果进行加密，得到加密后的验证结果并发送给所述身份云服务器，同时，将所述验证凭证发送给所述登录方；

步骤15、所述登录方将所述验证凭证和所述权威身份终端的身份标识提供给所述服务方；

步骤16、所述服务方根据所述权威身份终端的身份标识从所述数字身份管理合约上获取所述权威身份终端的主公开密钥，从所述身份云服务器上获取所述加密后的验证结果，从而利用所述主公开密钥解密所述加密后的验证结果，得到验证结果；

步骤17、所述服务方对所述验证凭证和登录方选择的数字信息进行哈希运算，得到哈希结果，并与所述验证结果进行比较，若两者一致，则表示所述服务方授权的数字信息为认证信息；否则表示所述服务方授权的数字信息为未认证信息，从而完成登录方选择的数字信息的验证过程。

4.根据权利要求3所述的基于智能合约的自认证数字身份管理方法，其特征是，所述步骤7是按如下过程进行：

步骤1、所述身份验证合约根据所述密文和随机数利用非对称加密算法获取所述密文所对应的公钥；

步骤2、所述身份验证合约根据登录方的身份标识从所述数字身份管理合约中获取登录方的主公开密钥；

步骤3、所述身份验证合约比较所述密文所对应的公钥和登录方的主公开密钥是否一致，若一致，则表示登录方的身份已确认，否则表示所述登录方的身份无法确认。

Images