CN110866069B - 基于区块链的身份管理元数据处理方法和系统 - Google Patents
基于区块链的身份管理元数据处理方法和系统 Download PDFInfo
- Publication number
- CN110866069B CN110866069B CN201911106750.6A CN201911106750A CN110866069B CN 110866069 B CN110866069 B CN 110866069B CN 201911106750 A CN201911106750 A CN 201911106750A CN 110866069 B CN110866069 B CN 110866069B
- Authority
- CN
- China
- Prior art keywords
- identity
- authentication
- information
- user
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开公开了一种基于区块链的身份管理元数据处理方法和系统,涉及身份管理领域。其中的方法包括:向身份验证方发送服务访问请求;接收身份验证方返回的身份验证提示,身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名;根据验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息;基于身份验证方身份验证签名,验证身份验证方的身份;身份验证方的身份验证成功后,向身份验证方发送携带用户身份证明的身份验证请求,以便身份验证方在验证用户身份后,为用户提供服务。本公开能够解决身份信息使用的不正当性问题,避免身份信息的不正当使用。
Description
技术领域
本公开涉及身份管理领域,尤其涉及一种基于区块链的身份管理元数据处理方法、系统和身份所有方。
背景技术
身份管理的本质是让正确的主体在恰当的时间以正当理由访问合适的资源的安全体系。我们日常中的居民身份证、机动车驾驶证、护照等都是传统的身份管理方式。但传统身份管理方式不能互联、成本高、携带麻烦、处理耗时、容易伪造。正因这些不足之处,当前传统的身份管理方式也逐渐在向电子化演变,如电子营业证照、内置芯片的居民身份证等,但是仅靠传统身份管理方式的电子化并不能根本上解决问题。
在线身份管理,虽然历经多年发展,仍面临“在互联网上,没有人知道你是一条狗”的问题。此外,在线身份管理当前普遍采用的中心化模式,面临越来越严峻的因数据泄漏带来的身份欺诈、名誉损害,以及更为严重的隐私泄漏问题。
区块链技术因可确保共识、透明和交易的一致性。在身份管理系统中,使用区块链技术具有去中心化、防篡改、广泛包容、节约成本和用户自控制的优势。正是由于这些技术优势,身份管理是区块链技术发展比较早的应用领域,并且当前已有很多基于区块链的身份管理解决方案。
基于区块链的身份管理方案,虽然增强了用户身份的自主可控性和隐私性,但是难以处理因信息不对称导致的身份验证方滥用身份验证引起的身份信息不正当使用问题,而融合越来越多身份信息的基于区块链的身份管理方案下这种问题更为严重,如何有效解决身份验证的正当性,也是基于区块链的身份管理方案中需要解决的问题。
发明内容
本公开要解决的一个技术问题是,提供一种基于区块链的身份管理元数据处理方法、系统和身份所有方,能够解决身份信息使用的不正当性问题。
根据本公开一方面,提出一种基于区块链的身份管理元数据处理方法,包括:向身份验证方发送服务访问请求;接收身份验证方返回的身份验证提示,身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名;根据验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息;基于身份验证方身份验证签名,验证身份验证方的身份;身份验证方的身份验证成功后,向身份验证方发送携带用户身份证明的身份验证请求,以便身份验证方在验证用户身份后,为用户提供服务。
在一些实施例中,判断是否能够根据身份验证服务元信息,获取用户身份证明;若根据身份验证服务元信息,不能获取用户身份证明,则向身份颁发方发送身份颁发请求;接收身份颁发方返回的用户身份证明,其中,身份颁发方根据身份颁发服务元信息,验证通过用户身份颁发资格后,向用户返回用户身份证明。
在一些实施例中,身份验证服务元信息由身份验证方构建后,登记到元数据管理区块链中,其中,身份验证服务元信息包括第一定义信息、验证方签名和验证授权,其中,第一定义信息包括标识、验证方、接入方式、验证表达式和描述。
在一些实施例中,基于身份验证方身份验证签名,验证身份验证方的身份包括:根据身份验证服务元信息中的验证表达式,提取用户身份类别;基于身份验证方身份验证签名,从元数据管理区块链中获取对应的身份类别定义元信息;判断用户身份类别是否满足身份类别定义元信息中的授权方式;若用户身份类别满足授权方式,则身份验证方的身份验证成功。
在一些实施例中,身份类别定义元信息由身份验证方作为身份类别制定方构建后,登记到元数据管理区块链中,其中,身份类别定义元信息包括第二定义信息和制定方签名,定义信息中包括标识、制定方、描述和授权方式。
在一些实施例中,判断是否能够根据身份验证服务元信息,获取用户身份证明包括:根据身份验证服务元信息中的验证表达式,计算是否存在满足验证表达式的用户身份证明;若存在满足验证表达式的用户身份证明,则确定能够获取用户身份证明,否则,确定不能够获取用户身份证明。
在一些实施例中,根据身份验证服务元信息中的验证表达式,从元数据管理区块链中获取所需身份证明的身份颁发服务元信息;根据身份颁发服务元信息,调用身份颁发方,并向身份颁发方发送身份颁发请求。
在一些实施例中,身份颁发服务元信息包括第三定义信息、颁发方签名、验证授权和颁发授权,第三定义信息包括标识、颁发方、身份类别、接入方式、验证表达式和描述;其中,身份颁发方根据验证表达式和颁发授权,提取用户身份类别,基于身份验证方身份验证签名,从元数据管理区块链中获取对应的身份类别定义元信息,判断用户身份类别是否满足身份类别定义元信息中的授权方式,若用户身份类别满足授权方式,则验证通过用户身份颁发资格。
在一些实施例中,身份颁发服务元信息由身份颁发方构建后,登记到元数据管理区块链中,其中,身份颁发方由身份类别制定方授权。
根据本公开的另一方面,还提出一种身份所有方,包括:服务访问请求发送单元,被配置为向身份验证方发送服务访问请求;身份验证提示接收单元,被配置为接收身份验证方返回的身份验证提示,身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名;身份验证服务元信息获取单元,被配置为根据验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息;身份验证方验证单元,被配置为基于身份验证方身份验证签名,验证身份验证方的身份;身份验证请求发送单元,被配置为身份验证方的身份验证成功后,向身份验证方发送携带用户身份证明的身份验证请求,以便身份验证方在验证用户身份后,为用户提供服务。
在一些实施例中,身份证明判断单元,被配置为判断是否能够根据身份验证服务元信息,获取用户身份证明;身份颁发请求发送单元,被配置为若根据身份验证服务元信息,不能获取用户身份证明,则向身份颁发方发送身份颁发请求;身份证明接收单元,被配置为接收身份颁发方返回的用户身份证明,其中,身份颁发方根据身份颁发服务元信息,验证通过用户身份颁发资格后,向用户返回用户身份证明。
根据本公开的另一方面,还提出一种身份所有方,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行如上述的身份管理元数据处理方法。
根据本公开的另一方面,还提出一种基于区块链的身份管理元数据处理系统,包括:上述的身份所有方;以及身份验证方,被配置为将身份验证服务元信息登记到元数据管理区块链中,接收身份所有方发送的服务访问请求,向身份所有方返回身份验证提示;以及接收到身份所有方发送的身份验证请求,在验证用户身份后,为身份所有方提供服务。
根据本公开的另一方面,还提出身份颁发方,被配置为将身份颁发服务元信息登记到元数据管理区块链中,接收身份所有方发送的身份颁发请求,以及根据身份颁发服务元信息,验证所身份所有方身份颁发资格后,向身份所有方返回用户身份证明。
根据本公开的另一方面,还提出身份类别制定方,被配置为将身份类别定义元信息登记到元数据管理区块链中。
根据本公开的另一方面,还提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述的身份管理元数据处理方法。
与相关技术相比,本公开实施例基于区块链的身份验证元信息和身份验证授权,能够解决身份信息使用的不正当性问题,避免身份信息的不正当使用。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开的基于区块链的身份管理元数据处理方法的一些实施例的流程示意图。
图2为本公开的基于区块链的身份管理元数据处理方法的另一些实施例的流程示意图。
图3为本公开的身份所有方的一些实施例的结构示意图。
图4为本公开的身份所有方的另一些实施例的结构示意图。
图5为本公开的身份所有方的另一些实施例的结构示意图。
图6为本公开的身份所有方的另一些实施例的结构示意图。
图7为本公开的基于区块链的身份管理元数据处理系统的一些实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
基于区块链的身份管理中,通常将参与主体按照角色划分为身份颁发方、身份所有方、身份类别制定方和身份验证方。在基于区块链的身份管理中通常都体现为拥有非对称签名和验签密钥对的参与主体。身份证书是身份所有者拥有的可验证某类身份的电子证书或其他形式的可证明拥有者身份的电子数据。
图1为本公开的基于区块链的身份管理元数据处理方法的一些实施例的流程示意图。
在步骤110,向身份验证方发送服务访问请求。例如,身份所有方向身份验证方发起对特定服务的访问请求。
在步骤120,接收身份验证方返回的身份验证提示,身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名。
在步骤130,根据验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息。
在一些实施例中,身份验证服务元信息包括第一定义信息、验证方签名和验证授权,其中,第一定义信息包括标识、验证方、接入方式、验证表达式和描述。该身份验证服务元信息由身份验证方构建后,登记到元数据管理区块链中。
身份验证服务元信息是应用服务访问时需要提供的身份验证内容的刻画信息,主要为了方便身份所有方获取和验证服务身份验证内容,支持自动收集身份证明满足服务身份验证。
身份验证服务元信息中的验证表达式,是获取该身份验证服务需要提供的身份验证内容的表达,该表达式刻画了验证该类身份证明需要满足的身份验证。在一些实施例中,验证表达式是由身份类别和基础操作符构成的身份验证函数,基础操作符主要包含基础的逻辑运算、比较运算等。验证表达式用于表达复合身份验证,很多服务的身份验证通常涉及一个或多个身份类别。验证授权是验证身份表达式中各个需要授权的身份类别的使用授权。
在步骤140,基于身份验证方身份验证签名,验证该身份验证方的身份。
在一些实施例中,根据身份验证服务元信息中的验证表达式,提取用户身份类别;基于身份验证方身份验证签名,从元数据管理区块链中获取对应的身份类别定义元信息;判断用户身份类别是否满足身份类别定义元信息中的授权方式;若用户身份类别满足授权方式,则身份验证方的身份验证成功。
身份类别定义元信息由身份验证方作为身份类别制定方构建后,登记到元数据管理区块链中,其中,身份类别定义元信息包括第二定义信息和制定方签名,定义信息中包括标识、制定方、描述和授权方式。授权方式指定身份验证服务中使用该身份类别作为验证内容需要做何种授权,是为避免该身份类别被滥用由身份类别制定方设置的验证使用授权规则。
身份类别定义元信息是某类身份证明或身份属性的刻画信息,身份类别是身份管理的基础,在基于区块链的去中心化身份管理中,任何参与方都可以作为身份类别制定方发布身份类别信息。
在步骤150,身份验证方的身份验证成功后,向身份验证方发送携带用户身份证明的身份验证请求,以便身份验证方在验证用户身份后,为用户提供服务。
在上述实施例中,基于区块链的身份验证元信息和身份验证授权,能够解决身份信息使用的不正当性问题,避免身份信息的不正当使用。
图2为本公开的基于区块链的身份管理元数据处理方法的另一些实施例的流程示意图。
在步骤210,身份所有方向身份验证方发送服务访问请求。身份验证方向用户提供特定服务。
在步骤220,身份验证方向身份所有方返回身份验证提示,身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名。
在步骤230,身份服务方根据验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息。由于身份验证服务元信息的定义信息中包括标识信息,因此,身份服务方可以根据接收到的验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息。
在步骤240,身份服务方检查身份验证服务元信息和身份验证方的身份。
检查身份验证服务元信息,主要是验证所需的验证是否经过授权。身份验证服务元信息中包含验证表达式和验证授权,其中,验证表达式是各个身份类别上的验证单元组合,验证授权是获得的各个身份类别的验证授权。检查验证是否经过授权,主要是避免身份验证方进行不必要或限制的身份验证。
在一些实施例中,身份类别定义元信息中包含身份类别定义方指定的授权方式,授权方式例如包含授权约束度,如不必授权、建议授权、强制授权,以及授权方等信息。
在解析身份验证服务元信息的验证表达式,提取其中依赖的身份类别。从元数据管理区块链上获取身份类别定义元信息后,检查授权方式中是否包含身份类别所需的授权,若检查通过,则说明身份验证方的身份验证成功,若检查未通过,则说明服务使用了未授权的检查,存在隐私和安全隐患,此时可以提示用户。
在步骤250,判断是否能够根据身份验证服务元信息,获取用户身份证明,若是,则执行步骤290,否则,执行步骤260。
根据身份验证服务元信息中的验证表达式,计算是否存在满足验证表达式的用户身份证明;若存在满足验证表达式的用户身份证明,则确定能够获取用户身份证明,否则,确定不能够获取用户身份证明。
在步骤260,身份所有方向身份颁发方发送身份颁发请求。
例如,身份所有方根据身份验证服务元信息中的验证表达式,从元数据管理区块链中获取所需身份证明的身份颁发服务元信息;根据身份颁发服务元信息,调用身份颁发方,并向身份颁发方发送身份颁发请求。
身份颁发服务元信息由身份颁发方构建后,登记到元数据管理区块链中。身份颁发服务元信息包括第三定义信息、颁发方签名、验证授权和颁发授权,第三定义信息包括标识、颁发方、身份类别、接入方式、验证表达式和描述。
身份颁发服务元信息是某身份类别的身份证书或其他形式的证明的颁发服务的刻画信息,主要方便身份所有方发现、识别、验证和使用身份颁发服务获取身份证明。身份颁发服务是由身份类别制定方授权的身份颁发方提供的身份颁发服务。身份类别制定方通常是身份颁发方,但是也有很多情况下身份制定方会授权其他参与方提供身份颁发服务。
身份验证表达式是获取该身份颁发服务需要提供的身份验证内容的表达,身份颁发通常依赖其他前置身份,该表达式刻画了颁发该类身份证明需要满足的身份验证。颁发方签字是该身份颁发服务提供方的身份验证签名,验证授权是身份验证表达式中各个需要授权的身份类别的使用授权,颁发授权是由服务对应的身份类别制定方对该服务的身份颁发授权。
身份类别制定方主要用来定义基础的身份类别,对该类别身份证明颁发和验证进行授权,在验证过程中的作用主要体现为基于链上的元数据信息通过密码学技术检查相关颁发和验证方是否有所需的授权。
在步骤270,身份颁发方根据身份颁发服务元信息,验证身份所有方身份颁发资格。身份颁发方根据验证表达式和颁发授权,验证用户身份颁发资格。
在一些实施例中,身份颁发方根据验证表达式和颁发授权,提取用户身份类别,基于身份验证方身份验证签名,从元数据管理区块链中获取对应的身份类别定义元信息,判断用户身份类别是否满足身份类别定义元信息中的授权方式,若用户身份类别满足授权方式,则验证通过用户身份颁发资格。
在步骤280,身份颁发方验证通过用户身份颁发资格后,向身份所有方返回用户身份证明。
在步骤290,身份所有方收集所需的身份证明,向身份验证方发送携带用户身份证明的身份验证请求。
身份所有方自动收集所需身份证明是一个迭代过程,在获取某一类身份证明时,根据情况可能需要先获取其他依赖的身份证明。通过基于区块链的具备复合身份验证的表达能力的服务身份验证表达式,支持在基于区块链的身份管理方案中众多身份中自动收集满足验证需求的身份证明。
在步骤2100,身份验证方在验证用户身份后,为身份所有方提供服务。例如,将身份所有方引导到正常的服务入口提供服务。
在上述实施例中,获取身份验证内容,检测身份验证的正当性,并自动收集所需身份证明完成身份验证,能够解决因信息不对称导致身份验证方滥用身份验证导致的身份信息不正当使用问题。
另外,该实施例中通过去中心化共识管理的身份元数据信息,为提高基于区块链的身份管理的便捷性和正当性提供基础支撑。
在一些实施例中,身份验证方将身份验证服务元信息登记在元数据管理区块链中,身份颁发方将身份颁发服务元信息登记到元数据管理区块链中,身份类别制定方将身份类别定义元信息登记到元数据管理区块链中,能够为基于元数据管理区块链的身份管理提供身份类别目录,为去中心化自主身份管理提供身份信任原点。
图3为本公开的身份所有方的一些实施例的结构示意图。该身份所有方包括服务访问请求发送单元310、身份验证提示接收单元320、身份验证服务元信息获取单元330、身份验证方验证单元340和身份验证请求发送单元350。
服务访问请求发送单元310被配置为向身份验证方发送服务访问请求。
身份验证提示接收单元320被配置为接收身份验证方返回的身份验证提示,身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名。
身份验证服务元信息获取单元330被配置为根据验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息。
在一些实施例中,身份验证服务元信息包括第一定义信息、验证方签名和验证授权,其中,第一定义信息包括标识、验证方、接入方式、验证表达式和描述。该身份验证服务元信息由身份验证方构建后,登记到元数据管理区块链中。
身份验证服务元信息中的验证表达式,是获取该身份验证服务需要提供的身份验证内容的表达,该表达式刻画了验证该类身份证明需要满足的身份验证。在一些实施例中,验证表达式是由身份类别和基础操作符构成的身份验证函数,基础操作符主要包含基础的逻辑运算、比较运算等。验证表达式用于表达复合身份验证,很多服务的身份验证通常涉及一个或多个身份类别。验证授权是验证身份表达式中各个需要授权的身份类别的使用授权。
身份验证方验证单元340被配置为基于身份验证方身份验证签名,验证身份验证方的身份。
在一些实施例中,根据身份验证服务元信息中的验证表达式,提取用户身份类别;基于身份验证方身份验证签名,从元数据管理区块链中获取对应的身份类别定义元信息;判断用户身份类别是否满足身份类别定义元信息中的授权方式;若用户身份类别满足授权方式,则身份验证方的身份验证成功。
身份类别定义元信息由身份验证方作为身份类别制定方构建后,登记到元数据管理区块链中,其中,身份类别定义元信息包括第二定义信息和制定方签名,定义信息中包括标识、制定方、描述和授权方式。授权方式指定身份验证服务中使用该身份类别作为验证内容需要做何种授权,是为避免该身份类别被滥用由身份类别制定方设置的验证使用授权规则。
身份验证请求发送单元350被配置为身份验证方的身份验证成功后,向身份验证方发送携带用户身份证明的身份验证请求,以便身份验证方在验证用户身份后,为用户提供服务。
在上述实施例中,基于区块链的身份验证元信息和身份验证授权,能够解决身份信息使用的正当性问题,避免身份信息的不正当使用。
图4为本公开的身份所有方的另一些实施例的结构示意图。该身份所有方除包括图3中的各单元外,还包括身份证明判断单元410、身份颁发请求发送单元420、身份证明接收单元430。
身份证明判断单元410被配置为判断是否能够根据身份验证服务元信息,获取用户身份证明。
例如,根据身份验证服务元信息中的验证表达式,计算是否存在满足验证表达式的用户身份证明;若存在满足验证表达式的用户身份证明,则确定能够获取用户身份证明,否则,确定不能够获取用户身份证明。
身份颁发请求发送单元420被配置为若根据身份验证服务元信息,不能获取用户身份证明,则向身份颁发方发送身份颁发请求。
身份所有方根据身份验证服务元信息中的验证表达式,从元数据管理区块链中获取所需身份证明的身份颁发服务元信息;根据身份颁发服务元信息,调用身份颁发方,并向身份颁发方发送身份颁发请求。
身份颁发服务元信息由身份颁发方构建后,登记到元数据管理区块链中。身份颁发服务元信息包括第三定义信息、颁发方签名、验证授权和颁发授权,第三定义信息包括标识、颁发方、身份类别、接入方式、验证表达式和描述。
身份证明接收单元430被配置为接收身份颁发方返回的用户身份证明,其中,身份颁发方根据身份颁发服务元信息,验证通过用户身份颁发资格后,向用户返回用户身份证明。
在一些实施例中,身份颁发方根据验证表达式和颁发授权,提取用户身份类别,基于身份验证方身份验证签名,从元数据管理区块链中获取对应的身份类别定义元信息,判断用户身份类别是否满足身份类别定义元信息中的授权方式,若用户身份类别满足授权方式,则验证通过用户身份颁发资格。
在上述实施例中,通过基于区块链的身份类别定义元信息和身份颁发服务元信息支持在基于区块链的身份管理方中便捷的发现、识别和验证身份颁发服务获取身份证明。
图5为本公开的身份所有方的另一些实施例的结构示意图。该身份所有方包括存储器510和处理器520,其中:存储器510可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1-2所对应实施例中的指令。处理器520耦接至存储器510,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器520用于执行存储器中存储的指令。
在一些实施例中,还可以如图6所示,该身份所有方600包括存储器610和处理器620。处理器620通过BUS总线630耦合至存储器610。该身份所有方600还可以通过存储接口640连接至外部存储装置650以便调用外部数据,还可以通过网络接口660连接至网络或者另外一台计算机系统(未标出),此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够解决身份信息使用的正当性问题,避免身份信息的不正当使用。
图7为本公开的基于区块链的身份管理元数据处理系统的一些实施例的结构示意图。该系统包括身份所有方710和身份验证方720,身份所有方710已在上述实施例中进行详细介绍,此处不再进一步阐述。
身份验证方720被配置为将身份验证服务元信息登记到元数据管理区块链730中,接收身份所有方发送的服务访问请求,向身份所有方返回身份验证提示;以及接收到身份所有方发送的身份验证请求,在验证用户身份后,为身份所有方提供服务。
身份验证服务元信息包括第一定义信息、验证方签名和验证授权,其中,第一定义信息包括标识、验证方、接入方式、验证表达式和描述。
在本公开的另一些实施例中,该系统还包括身份颁发方740,被配置为将身份颁发服务元信息登记到元数据管理区块链中,接收身份所有方发送的身份颁发请求,以及根据身份颁发服务元信息,验证所身份所有方身份颁发资格后,向身份所有方返回用户身份证明。
身份颁发服务元信息包括第三定义信息、颁发方签名、验证授权和颁发授权,第三定义信息包括标识、颁发方、身份类别、接入方式、验证表达式和描述;
其中,身份颁发方740根据验证表达式和颁发授权,提取用户身份类别,基于身份验证方身份验证签名,从元数据管理区块链中获取对应的身份类别定义元信息,判断用户身份类别是否满足身份类别定义元信息中的授权方式,若用户身份类别满足授权方式,则验证通过用户身份颁发资格。
在本公开的另一些实施例中,该系统还包括身份类别制定方750,被配置为将身份类别定义元信息登记到元数据管理区块链中。在基于区块链的去中心化身份管理中任何参与方都可以作为身份类别制定方发布身份类别信息。身份类别定义元信息包括第二定义信息和制定方签名,定义信息中包括标识、制定方、描述和授权方式。
身份类别制定方750主要用来定义基础的身份类别,对该类别身份证明颁发和验证进行授权,在验证过程中的作用主要体现为基于链上的元数据信息通过密码学技术检查相关颁发和验证方是否有所需的授权。
在上述实施例中,通过基于区块链的具备复合身份验证的表达能力的服务身份验证表达式支持在基于区块链的身份管理方案中众多身份中自动收集满足验证需求的身份证明。通过定义身份类别定义元信息、身份颁发服务元信息和身份验证服务元信息,通过这些去中心化共识管理的身份元信息,为提高基于区块链的身份管理的便捷性和正当性提供基础支撑。
在另一些实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1-2所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (16)
1.一种基于区块链的身份管理元数据处理方法,包括:
向身份验证方发送服务访问请求;
接收所述身份验证方返回的身份验证提示,所述身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名;
根据所述验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息;
基于身份验证方身份验证签名,验证所述身份验证方的身份;
所述身份验证方的身份验证成功后,向所述身份验证方发送携带用户身份证明的身份验证请求,以便所述身份验证方在验证用户身份后,为用户提供服务。
2.根据权利要求1所述的身份管理元数据处理方法,还包括:
判断是否能够根据所述身份验证服务元信息,获取用户身份证明;
若根据所述身份验证服务元信息,不能获取用户身份证明,则向身份颁发方发送身份颁发请求;
接收所述身份颁发方返回的用户身份证明,其中,所述身份颁发方根据身份颁发服务元信息,验证通过用户身份颁发资格后,向用户返回用户身份证明。
3.根据权利要求2所述的身份管理元数据处理方法,其中,
所述身份验证服务元信息由所述身份验证方构建后,登记到所述元数据管理区块链中,其中,所述身份验证服务元信息包括第一定义信息、验证方签名和验证授权,其中,所述第一定义信息包括标识、验证方、接入方式、验证表达式和描述。
4.根据权利要求3所述的身份管理元数据处理方法,其中,基于身份验证方身份验证签名,验证所述身份验证方的身份包括:
根据所述身份验证服务元信息中的验证表达式,提取用户身份类别;
基于身份验证方身份验证签名,从所述元数据管理区块链中获取对应的身份类别定义元信息;
判断所述用户身份类别是否满足所述身份类别定义元信息中的授权方式;
若所述用户身份类别满足所述授权方式,则所述身份验证方的身份验证成功。
5.根据权利要求4所述的身份管理元数据处理方法,其中,
所述身份类别定义元信息由所述身份验证方作为身份类别制定方构建后,登记到所述元数据管理区块链中,其中,所述身份类别定义元信息包括第二定义信息和制定方签名,所述定义信息中包括标识、制定方、描述和授权方式。
6.根据权利要求3所述的身份管理元数据处理方法,其中,判断是否能够根据所述身份验证服务元信息,获取用户身份证明包括:
根据所述身份验证服务元信息中的验证表达式,计算是否存在满足所述验证表达式的用户身份证明;
若存在满足所述验证表达式的用户身份证明,则确定能够获取所述用户身份证明,否则,确定不能够获取所述用户身份证明。
7.根据权利要求3至6任一所述的身份管理元数据处理方法,其中,
根据所述身份验证服务元信息中的验证表达式,从所述元数据管理区块链中获取所需身份证明的身份颁发服务元信息;
根据所述身份颁发服务元信息,调用所述身份颁发方,并向身份颁发方发送身份颁发请求。
8.根据权利要求7所述的身份管理元数据处理方法,其中,所述身份颁发服务元信息包括第三定义信息、颁发方签名、验证授权和颁发授权,所述第三定义信息包括标识、颁发方、身份类别、接入方式、验证表达式和描述;
其中,所述身份颁发方根据所述验证表达式和所述颁发授权,提取用户身份类别,基于身份验证方身份验证签名,从所述元数据管理区块链中获取对应的身份类别定义元信息,判断所述用户身份类别是否满足所述身份类别定义元信息中的授权方式,若所述用户身份类别满足所述授权方式,则验证通过用户身份颁发资格。
9.根据权利要求8所述的身份管理元数据处理方法,其中,
所述身份颁发服务元信息由所述身份颁发方构建后,登记到所述元数据管理区块链中,其中,所述身份颁发方由身份类别制定方授权。
10.一种身份所有方设备,包括:
服务访问请求发送单元,被配置为向身份验证方发送服务访问请求;
身份验证提示接收单元,被配置为接收所述身份验证方返回的身份验证提示,所述身份验证提示中包括验证服务元信息标识和身份验证方身份验证签名;
身份验证服务元信息获取单元,被配置为根据所述验证服务元信息标识,从元数据管理区块链中获取对应的身份验证服务元信息;
身份验证方验证单元,被配置为基于身份验证方身份验证签名,验证所述身份验证方的身份;
身份验证请求发送单元,被配置为所述身份验证方的身份验证成功后,向所述身份验证方发送携带用户身份证明的身份验证请求,以便所述身份验证方在验证用户身份后,为用户提供服务。
11.根据权利要求10所述的身份所有方设备,还包括:
身份证明判断单元,被配置为判断是否能够根据所述身份验证服务元信息,获取用户身份证明;
身份颁发请求发送单元,被配置为若根据所述身份验证服务元信息,不能获取用户身份证明,则向身份颁发方发送身份颁发请求;
身份证明接收单元,被配置为接收所述身份颁发方返回的用户身份证明,其中,所述身份颁发方根据身份颁发服务元信息,验证通过用户身份颁发资格后,向用户返回用户身份证明。
12.一种身份所有方设备,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至9任一项所述的身份管理元数据处理方法。
13.一种基于区块链的身份管理元数据处理系统,包括:
权利要求10至12任一所述的身份所有方设备;以及
身份验证方,被配置为将身份验证服务元信息登记到元数据管理区块链中,接收所述身份所有方设备发送的服务访问请求,向所述身份所有方设备返回身份验证提示;以及接收到所述身份所有方设备发送的身份验证请求,在验证用户身份后,为所述身份所有方设备提供服务。
14.根据权利要求13所述的身份管理元数据处理系统,还包括:
身份颁发方,被配置为将身份颁发服务元信息登记到所述元数据管理区块链中,接收所述身份所有方设备发送的身份颁发请求,以及根据身份颁发服务元信息,验证所身份所有方设备身份颁发资格后,向所述身份所有方设备返回用户身份证明。
15.根据权利要求14所述的身份管理元数据处理系统,还包括:
身份类别制定方,被配置为将身份类别定义元信息登记到所述元数据管理区块链中。
16.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至9任一项所述的身份管理元数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911106750.6A CN110866069B (zh) | 2019-11-13 | 2019-11-13 | 基于区块链的身份管理元数据处理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911106750.6A CN110866069B (zh) | 2019-11-13 | 2019-11-13 | 基于区块链的身份管理元数据处理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110866069A CN110866069A (zh) | 2020-03-06 |
| CN110866069B true CN110866069B (zh) | 2020-12-22 |
Family
ID=69654353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911106750.6A Active CN110866069B (zh) | 2019-11-13 | 2019-11-13 | 基于区块链的身份管理元数据处理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110866069B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112016119B (zh) * | 2020-08-10 | 2022-02-15 | 四川九洲电器集团有限责任公司 | 一种基于区块链的自主身份管理方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180260888A1 (en) * | 2017-03-08 | 2018-09-13 | Factom | Validating Mortgage Documents |
| CN108768657A (zh) * | 2018-04-17 | 2018-11-06 | 深圳技术大学(筹) | 一种基于区块链平台的数字证书颁发系统及方法 |
| CN109347799B (zh) * | 2018-09-13 | 2019-10-15 | 深圳市图灵奇点智能科技有限公司 | 一种基于区块链技术的身份信息管理方法及系统 |
| CN109462836B (zh) * | 2018-11-09 | 2019-12-06 | 长安大学 | 融合区块链共识机制的车联网恶意节点检测系统及方法 |
| CN109784864A (zh) * | 2019-01-23 | 2019-05-21 | 山西创时代企业孵化器有限公司 | 一种基于区块链和多租户技术的区域政务协同办公系统 |
-
2019
- 2019-11-13 CN CN201911106750.6A patent/CN110866069B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110866069A (zh) | 2020-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110473105B (zh) | 一种区块链交易结算方法、系统及相关设备 | |
| US9235695B2 (en) | Alias-based social media identity verification | |
| US20130246281A1 (en) | Service providing system and unit device | |
| CN109274652B (zh) | 身份信息验证系统、方法及装置及计算机存储介质 | |
| JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
| CN105991287B (zh) | 一种签名数据的生成及指纹认证请求方法及装置 | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| JP2018501567A (ja) | 装置検証方法及び機器 | |
| CN111327564B (zh) | 一种联盟链的准入方法及装置 | |
| CN111538784A (zh) | 一种基于区块链的数字资产交易方法、装置及存储介质 | |
| CN110674531B (zh) | 基于区块链的居住信息管理方法、装置、服务器及介质 | |
| KR20210058608A (ko) | 블록체인을 이용하여 위변조를 방지하는 이력관리 방법, 장치 및 프로그램 | |
| WO2018140832A1 (en) | Managing distributed content using layered permissions | |
| JP2007280393A (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| CN112862589A (zh) | 金融场景下的身份验证方法、装置和系统 | |
| US10867326B2 (en) | Reputation system and method | |
| CN110866069B (zh) | 基于区块链的身份管理元数据处理方法和系统 | |
| CN112354190B (zh) | 游戏登录方法、装置和电子设备 | |
| CN106209751B (zh) | 基于操作系统授权证书的面向服务的接口认证方法 | |
| CN111970117B (zh) | 证书下载方法、装置及设备 | |
| CN112948866A (zh) | 一种数据处理方法、装置、设备及可读存储介质 | |
| CN111552747A (zh) | 物品信息处理方法、装置、设备及计算机可读存储介质 | |
| CN111931230A (zh) | 数据授权方法和装置、存储介质和电子装置 | |
| KR101360843B1 (ko) | 차세대 금융 거래 시스템 | |
| CN113723953B (zh) | 数字资产的交易方法、装置、系统和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 601, 6 / F, building 2, No. 18, Kechuang 11th Street, Daxing District, Beijing, 100176 Patentee after: Jingdong Technology Information Technology Co.,Ltd. Address before: 601, 6 / F, building 2, No. 18, Kechuang 11th Street, Daxing District, Beijing, 100176 Patentee before: Jingdong Shuke Haiyi Information Technology Co.,Ltd. Address after: 601, 6 / F, building 2, No. 18, Kechuang 11th Street, Daxing District, Beijing, 100176 Patentee after: Jingdong Shuke Haiyi Information Technology Co.,Ltd. Address before: 601, 6 / F, building 2, No. 18, Kechuang 11th Street, Daxing District, Beijing, 100176 Patentee before: BEIJING HAIYI TONGZHAN INFORMATION TECHNOLOGY Co.,Ltd. |