CN111277577A - 数字身份验证方法、装置、设备和存储介质 - Google Patents

数字身份验证方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN111277577A
CN111277577A CN202010037958.3A CN202010037958A CN111277577A CN 111277577 A CN111277577 A CN 111277577A CN 202010037958 A CN202010037958 A CN 202010037958A CN 111277577 A CN111277577 A CN 111277577A
Authority
CN
China
Prior art keywords
target
user
party platform
target user
statement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010037958.3A
Other languages
English (en)
Other versions
CN111277577B (zh
Inventor
毛宏斌
潘思远
袁骏杰
陈浩栋
王辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202010037958.3A priority Critical patent/CN111277577B/zh
Publication of CN111277577A publication Critical patent/CN111277577A/zh
Priority to JP2021003235A priority patent/JP7119142B2/ja
Priority to KR1020210005587A priority patent/KR102509688B1/ko
Priority to US17/148,992 priority patent/US20210218574A1/en
Priority to EP21151551.5A priority patent/EP3852338B1/en
Application granted granted Critical
Publication of CN111277577B publication Critical patent/CN111277577B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请实施例公开一种数字身份验证方法、装置、设备和存储介质,涉及区块链技术领域。具体实现方案为:响应于目标用户对于目标第三方平台的登入操作,得到目标第三方平台的目标登入信息;根据目标登入信息,向目标第三方平台发送包括目标用户DID的登入请求,以授权目标第三方平台从目标用户的个人用户数据中心得到目标用户的目标声明,并对目标用户DID和目标声明进行验证;若目标用户DID和目标声明验证通过,则采用目标用户DID登入目标第三方平台。通过对W3C制定的DID标准进行架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确整个数字身份验证系统的工作流程和接入方式,实现完整的数字身份验证系统。

Description

数字身份验证方法、装置、设备和存储介质
技术领域
本申请实施例涉及计算机技术领域,尤其涉及区块链技术领域,具体涉及一种数字身份验证方法、装置、设备和存储介质。
背景技术
随着互联网应用的快速发展,由计算机自动验证和应用登入,以将线下实体到线上虚拟身份连接起来,其便捷和重要性日益凸显。目前,基于去中心化的数字身份验证技术都处于摸索和起步阶段,系统定义不完善,没有方便用户使用和管理数字身份的客户端,因此实际上并不存在一套完整的实现去中心化身的数字身份验证系统。
发明内容
本申请实施例提供了一种数字身份验证方法、装置、设备和存储介质,能够实现完整的数字身份验证系统。
第一方面,本申请实施例提供了一种数字身份验证方法,由去中心化身份DID客户端执行,所述方法包括:
响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息;
根据所述目标登入信息,向所述目标第三方平台发送包括目标用户DID的登入请求,以授权所述目标第三方平台从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,并对所述目标用户DID和所述目标声明进行验证;
若所述目标用户DID和所述目标声明验证通过,则采用所述目标用户DID登入所述目标第三方平台。
上述申请中的一个实施例具有如下优点或有益效果:通过对网际网路联盟W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
可选的,所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息,包括:
响应于所述目标用户对于所述目标第三方平台的登入操作,得到至少包括目标第三方平台DID的目标登入信息,用于根据所述目标第三方平台DID,从区块链网络中得到所述目标第三方平台DID关联的DID文档。
上述申请中的一个实施例具有如下优点或有益效果:区块链网络可以存储DID及其相关信息,为各个参与方提供信息服务。相应的,DID客户端通过区块链网络可以得到目标第三方平台DID关联的DID文档,供数据加密和共享使用。
可选的,所述授权所述目标第三方平台从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,包括:
向所述目标第三方平台发送所述个人用户数据中心中存储目标声明的目标站点地址,以授权所述目标第三方平台根据所述目标站点地址访问个人用户数据中心的目标站点,并得到所述目标声明。
上述申请中的一个实施例具有如下优点或有益效果:目标站点地址用于指示目标第三方平台从个人用户数据中心获取指定的可验证声明,进而通过目标站点地址的发送来实现授权目标第三方平台的目的,实现了可验证声明的共享。
可选的,在所述向所述目标第三方平台发送所述个人用户数据心中存储目标声明的目标站点地址之前,还包括:
基于代理重加密机制对所述目标声明进行加密。
上述申请中的一个实施例具有如下优点或有益效果:采用代理重加密机制实现声明的共享,避免声明的泄露,保障数据的安全性。
可选的,所述基于代理重加密机制对所述目标声明进行加密,包括:
采用高级加密标准AES密钥对所述目标声明进行加密,得到目标加密声明;
采用目标用户公钥对所述AES密钥进行加密,得到对称密钥密文;
根据目标用户私钥,以及从目标第三方平台DID关联的DID文档中获取的目标第三方平台公钥,计算得到重加密密钥;
向所述个人用户数据中心的目标站点地址存储所述目标加密声明、所述对称密钥密文和所述重加密密钥,以控制所述个人用户数据中心采用所述重加密密钥对所述对称密钥密文进行重加密,生成重加密密文并存储。
上述申请中的一个实施例具有如下优点或有益效果:代理重加密机制目的在于,基于目标用户公钥加密的数据,可以被共享方即目标第三方平台,采用目标第三方平台私钥解密获取数据,保障数据的安全共享。
可选的,所述目标站点地址,用于所述目标第三方平台根据所述目标站点地址获取所述目标加密声明和所述重加密密文,并基于目标第三方平台私钥对所述重加密密文解密得到对称加密密钥,基于所述对称加密密钥对所述目标加密声明解密得到所述目标声明。
上述申请中的一个实施例具有如下优点或有益效果:目标站点地址用于指示目标第三方平台获取指定的可验证声明,相应的,在代理重加密机制的保护下,需要目标第三方对获取的可验证声明进行解密,保障数据的安全共享。
可选的,在所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息之前,还包括:
根据权威机构注册中心中权威机构的服务信息,查找签发声明的目标权威机构;
向所述目标权威机构发送声明申请请求,以控制所述目标权威机构生成所述目标用户的目标声明;
得到所述目标权威机构响应于所述声明申请请求所签发的目标声明。
上述申请中的一个实施例具有如下优点或有益效果:基于业务需求,用户可以通过DID客户端向对应的权威机构来申请获得可验证声明,以便于用户通过可验证声明进行第三方平台的登入。
可选的,所述得到所述目标权威机构响应于所述声明申请请求所签发的目标声明,包括:
接收所述目标权威机构响应于所述声明申请请求反馈的目标站点地址;其中,所述目标站点地址位于所述目标用户的个人用户数据中心中,用于存储所述目标权威机构代理重加密后的目标声明;
根据所述目标站点地址,访问所述个人用户数据中心中的目标站点,得到代理重加密后的目标声明;
采用目标用户私钥对所述代理重加密后的目标声明进行解密,得到所述目标声明。
上述申请中的一个实施例具有如下优点或有益效果:鉴于可验证声明的签发也是数据的共享过程,因此权威机构在签发时,可以同样采用代理重加密技术,以向DID客户端共享所签发的可验证声明。
可选的,在所述根据所述目标站点地址,访问所述个人用户数据中心中的目标站点之前,还包括:
向所述个人用户数据中心发送所述目标用户DID,用于所述个人用户数据中心从区块链网络中获取所述目标用户DID关联的DID文档,并采用所述DID文档中的目标用户公钥对所述目标用户的用户签名进行验证,以验证所述目标用户是否为所述目标用户DID的持有者。
上述申请中的一个实施例具有如下优点或有益效果:任何参与方在进行交互时,都可以基于区块链网络中存储的数字身份及相关信息,根据已知对方的DID,来对对方进行DID数字身份验证,以确定对方为所掌握DID的真实拥有者,避免交互方对于数字身份的盗用或伪造,保障交互安全性。
可选的,在所述得到所述目标权威机构响应于所述声明申请请求所签发的目标声明之后,还包括:
从所述目标声明中获取吊销列表地址;
从签发所述目标声明的权威机构的个人吊销服务站点中,访问所述吊销列表地址并得到吊销列表;
根据所述吊销列表查询所述目标声明的吊销状态。
上述申请中的一个实施例具有如下优点或有益效果:权威机构对于已签发的可验证声明也可以吊销,相应的,其他参与方可以通过可验证声明中记录的吊销列表地址,查询可验证声明的吊销状态,避免使用无效的可验证声明。
可选的,在所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息之前,还包括:
响应于目标用户的DID创建请求,为所述目标用户创建目标用户DID以及至少一对公私钥对。
上述申请中的一个实施例具有如下优点或有益效果:DID客户端为用户提供了DID创建服务,以为用户提供全局唯一的数字身份。
第二方面,本申请实施例提供了一种数字身份验证方法,由第三方平台执行,所述方法包括:
响应于目标去中心化身份DID客户端发送的包括目标用户DID的登入请求,从所述目标用户的个人用户数据中心得到所述目标用户的目标声明;
对所述目标用户DID和所述目标声明进行验证;
若所述目标用户DID和所述目标声明验证通过,则确定所述目标用户采用所述目标用户DID登入成功。
上述申请中的一个实施例具有如下优点或有益效果:通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,以便第三方平台通过对DID和可验证声明的验证,允许用户采用DID登入。
可选的,所述从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,包括:
根据所述目标DID客户端对于第三方平台的授权结果,得到存储所述目标声明的目标站点地址;
根据所述目标站点地址访问个人用户数据中心的目标站点,得到所述目标声明。
上述申请中的一个实施例具有如下优点或有益效果:目标站点地址用于指示目标第三方平台获取指定的可验证声明,进而在第三方平台接收到目标站点地址时,即得到了DID客户端的授权,实现了可验证声明的共享。
可选的,所述根据所述目标站点地址访问个人用户数据中心的目标站点,得到所述目标声明,包括:
根据所述目标站点地址访问个人用户数据中心的目标站点,得到目标加密声明和重加密密文;其中,所述目标加密声明和所述重加密密文是基于代理重加密机制加密生成;
采用第三方平台私钥对所述重加密密文进行解密,得到对称加密密钥;
采用所述对称加密密钥对所述目标加密声明进行解密,得到目标声明。
上述申请中的一个实施例具有如下优点或有益效果:采用代理重加密机制实现可验证声明的共享,避免可验证声明的泄露,保障数据的安全性。
可选的,所述对所述目标用户DID和所述目标声明进行验证,包括:
根据所述目标用户的用户签名,验证所述目标用户是否为所述目标用户DID的持有者;
若验证通过,则根据所述目标声明所属签发权威机构、声明类型、有效期以及吊销状态中的至少一项,对所述目标声明进行验证。
上述申请中的一个实施例具有如下优点或有益效果:任何参与方在进行交互时,都可以根据已知对方的DID,来对对方进行DID数字身份验证,以确定对方为所掌握DID的真实拥有者,避免交互方对于数字身份的盗用或伪造,保障交互安全性。从而第三方平台可以在DID验证通过的前提下,通过对可验证声明的验证来确定用户是否具有登入权限。
可选的,所述根据所述目标用户的用户签名,验证所述目标用户是否为所述目标用户DID的持有者,包括:
根据所述目标用户DID,从区块链网络中得到所述目标用户DID关联的DID文档;
根据所述目标用户DID关联的DID文档中的目标用户公钥,对所述目标用户的用户签名进行验证,以验证所述目标用户是否为所述目标用户DID的持有者。
上述申请中的一个实施例具有如下优点或有益效果:对于需要可验证声明验证的第三方登入平台,可以通过可验证声明验证来用户是否具有登入权限,保障用户登入的安全性,以及第三方平台的安全性。
第三方面,本申请实施例提供了一种数字身份验证装置,配置于去中心化身份DID客户端,所述装置包括:
登入信息获取模块,用于响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息;
声明授权模块,用于根据所述目标登入信息,向所述目标第三方平台发送包括目标用户DID的登入请求,以授权所述目标第三方平台从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,并对所述目标用户DID和所述目标声明进行验证;
平台登入模块,用于若所述目标用户DID和所述目标声明验证通过,则采用所述目标用户DID登入所述目标第三方平台。
第四方面,本申请实施例提供了一种数字身份验证装置,配置于第三方平台,所述装置包括:
声明获取模块,用于响应于目标去中心化身份DID客户端发送的包括目标用户DID的登入请求,从所述目标用户的个人用户数据中心得到所述目标用户的目标声明;
声明验证模块,用于对所述目标用户DID和所述目标声明进行验证;
用户登入模块,用于若所述目标用户DID和所述目标声明验证通过,则确定所述目标用户采用所述目标用户DID登入成功。
第五方面,本申请实施例提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请第一方面任意实施例所述的数字身份验证方法,或者执行本申请第二方面任意实施例所述的数字身份验证方法。
第六方面,本申请实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行本申请第一方面任意实施例所述的数字身份验证方法,或者执行本申请第二方面任意实施例所述的数字身份验证方法。
上述申请中的一个实施例具有如下优点或有益效果:用户可以操作DID客户端,获取目标第三方平台的目标登入信息,进而用户可以使用目标用户DID账户,通过DID客户端向目标第三方平台发送登入请求,以授权目标第三方平台从目标用户的个人用户数据中心获取目标用户的目标声明,从而基于目标第三方平台对于目标用户DID和目标声明的验证,使用目标用户DID登入目标第三方平台。本申请实施例通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请实施例提供的数字身份验证系统的架构示意图;
图2是根据本申请第一实施例的一种数字身份验证方法的流程图;
图3是根据本申请第一实施例的采用DID登入第三方平台的流程图;
图4是根据本申请第一实施例的授权第三方平台获取claim的示例图;
图5是根据本申请第二实施例的一种数字身份验证方法的流程图;
图6是根据本申请第二实施例的第三方平台获取claim的示例图;
图7是根据本申请第二实施例的采用DID和claim登入第三方平台的流程图;
图8是根据本申请第三实施例的申请claim的流程图;
图9是根据本申请第三实施例的申请claim的示意图;
图10是根据本申请第三实施例的签发claim的示意图;
图11是根据本申请第三实施例的吊销claim的示意图;
图12是根据本申请第四实施例的一种数字身份验证方法的流程图;
图13是根据本申请第五实施例的一种数字身份验证方法的流程图;
图14是根据本申请第五实施例的验证claim的示意图;
图15是根据本申请第六实施例的一种数字身份验证装置的结构示意图;
图16是根据本申请第七实施例的一种数字身份验证装置的结构示意图;
图17是用来实现本申请实施例的数字身份验证方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
为清楚介绍实施例的技术方案,首先介绍数字身份验证系统架构图。图1为本申请实施例提供的数字身份验证系统的架构示意图,该系统在W3C(World Wide WebConsortium,网际网路联盟)制定的DID(Decentralized Identity,去中心化身份)标准的基础上,对DID客户端和个人用户数据中心等架构进行添加和定义,并规范各架构之间的交互流程,实现去中心化的数字身份管理、验证和使用等。DID既可以用来标识个体的身份,也可以用来标识组织的身份,甚至用来标识物品的身份。
参见图1,该系统包括权威机构注册中心(Claim Issuer Registry)110、权威机构(Issuer)120、DID持有者(Holder)130、第三方平台(Verifier)140和DID底层子系统(DIDSubsystem)150等,每一个参与方都具有DID账户,作为参与方全局唯一的数字身份。
其中,权威机构注册中心110用于把公开、已知的权威机构120的服务信息统一对外发布,方便用户申请可验证声明(Verifiable Credential Claim,本申请均简称为声明或claim)等。
权威机构120可以预先向权威机构注册中心110进行注册,以将服务信息配置于权威机构注册中心110中供发布。服务信息可以包括服务站点信息、可申请claim类型以及申请方所需信息等。其中,权威机构120具体可以包括claim申请服务(Issuer Service)121和claim吊销服务(Claim Revocation Service)122。claim申请服务121用于对外签发claim,例如,银行作为一个权威机构,它可以使用自己的DID账户为其客户签发一个资产证明。claim吊销服务122用于把本权威机构所签发的claim吊销。权威机构还包括个人吊销服务站点(Personal Revocation Service Endpoint),用于存储claim吊销列表。
DID持有者130包括DID客户端(DID Wallet)131和个人用户数据中心(IdentityHub)132。其中,DID客户端131可以为任何形式的应用程序,例如小程序等。用户通过DID客户端131可以创建DID、更新DID文档(DID Document)、使用DID向权威机构120申请claim以及使用DID登入第三方平台140等。可以以DID为键域,以DID文档为值域,作为键值对保存在区块链网络中。DID文档用于存储关联DID账户的详情数据,例如密钥信息和访问站点信息等。个人用户数据中心132是指用户自主可控的用户数据仓库,允许用户自主部署使用,用于托管用户数据与授权访问的功能。
第三方平台140是指能够使用DID,或者DID和claim登入的第三方应用、网站、机构或设备等。负责通过挑战响应机制验证DID持有者130是否拥有DID,向DID持有者130请求所需的claim,并对得到的claim进行数字身份验证。
DID底层子系统150提供DID上链和解析服务(DID Resolver)。具体的,当用户使用DID客户端131创建好DID后,用户此时只是拥有了一个离线的DID,还需要把DID相关的信息作为DID文档上链后,才能使此DID真正意义上生效。DID的解析,即DID底层子系统150提供根据DID解析出DID文档的功能。当用户在第三方平台140上登入时,第三方平台140需要通过挑战响应机制来确认用户是否为DID的拥有者,而挑战响应的核心,就是第三方平台140根据DID文档中的公钥构造挑战来让用户响应。所以第三方平台140可以通过DID解析来获得DID文档。
相应的,该系统包括用于存储数字身份及其相关信息的区块链网络,区块链L2层节点(DID Germ),用于把DID操作打包成一个交易上链,从而提高区块链L1的TPS(Transactions Per Second,系统吞吐量)。相应的,权威机构120、DID持有者130和第三方平台140可以通过DID底层子系统150将数字身份等相关信息作为事务数据,上链至区块链网络中进行存储,实现对数字身份等相关信息的增删改查。还可以通过DID底层子系统150从区块链网络中获取数字身份等相关信息,供数字身份验证使用。或者,权威机构120、DID持有者130和第三方平台140还可以作为区块链节点或轻量级节点,直接向区块链发送请求,并接收区块链网络反馈的事务数据。此外,该系统还可以包括DIF通用解析器(DIFUniversal Resolver),用于解析所有的DID。
本申请实施例中,遵循W3C制定的DID标准,定义DID格式如下:
did:ccp:<DID String>。
其中,ccp表示本实施例所提出的DID规范。本实施例不对所提出的DID规范进行限制,本实施例基于数字身份验证系统框架所提出的任何DID规范都可以应用于本实施例中。DID String是数字身份的全局唯一标识。本实施例提出了DID String的计算算法,即以DID文档为输入,采用如下算法生成DID String:
<DID String>=base58(ripemd160(sha256(<Base DID Document>)))。其中,base58()、ripemd160()、sha256()为加密函数。
相应的,可以根据需求DID文档中定义数字身份相关信息。例如,可以包括公钥列表信息、主用公钥信息、备用公钥信息、验证DID使用的指定公钥信息、恢复的公钥列表、能够使用此DID的站点信息等。
第一实施例
图2是根据本申请第一实施例的一种数字身份验证方法的流程图,本实施例可适用于通过DID客户端与第三方平台的交互,基于对DID和claim的验证,以使用户使用DID登入第三方平台的情况,该方法可由DID客户端执行,可由一种数字身份验证装置来执行,该装置采用软件和/或硬件的方式实现,优选是配置于电子设备中,例如DID客户端所属DID持有者的终端设备。如图2所示,该方法具体包括如下:
S210、响应于目标用户对于目标第三方平台的登入操作,得到目标第三方平台的目标登入信息。
在本申请具体实施例中,目标用户是指使用DID客户端的用户,可以是个人用户或企业用户等。若目标用户具有DID账户,则可以直接使用DID客户端管理和使用DID及其相关信息,DID及其相关信息的增删改查也可以同步到区块链网络中。若目标用户当前不具有DID账户,则可以通过DID客户端为自己创建DID账户。相应的,DID客户端响应于目标用户的DID创建请求,为目标用户创建目标用户DID以及至少一对公私钥对。多对公私钥对可以互为主备关系,多对公私钥的具体使用方式可以记录在所创建DID账户关联的DID文档中。
本实施例中,目标第三方平台是指目标用户使用DID所要登入的平台,例如第三方应用、网站、机构或设备等。DID客户端可以基于多种方式登入目标第三方平台,例如账号密码登入方式或扫描二维码等。
本实施例中,目标登入信息是指登入目标第三方平台所需要的信息,可以包括目标第三方平台的登入地址loginUrl、用于标识目标用户登入行为的唯一标识loginID、目标第三方平台DID、所需claim类型等信息。
具体的,目标用户可以根据目标第三方平台的登入方式,在DID客户端上执行登入操作,相应的获得目标第三方平台的目标登入信息。进而还能够根据目标登入信息中的目标第三方平台DID,从区块链网络中得到目标第三方平台DID关联的DID文档,以从DID文档中获取目标第三方平台公钥,供数据共享时加密使用。
示例性的,目标用户可以在本机页面或其他设备的页面上进行操作,选择所要登入的目标第三方平台,并选择使用DID登入/认证方式,以在页面上显示登入目标第三方平台的二维码。目标用户使用DID客户端扫描二维码,并在DID客户端上确认登入。相应的,DID客户端通过二维码的扫描,可以得到二维码上承载的目标登入信息。
S220、根据目标登入信息,向目标第三方平台发送包括目标用户DID的登入请求,以授权目标第三方平台从目标用户的个人用户数据中心得到目标用户的目标声明,并对目标用户DID和目标声明进行验证。
在本申请具体实施例中,登入请求用于触发目标第三方平台对要登入进来的目标用户进行数字身份验证。登入请求中可以包括目标用户DID、loginID、用户签名等信息。相应的,目标第三方平台可以根据liginID将目标用户的一系列登入行为联系起来,还可以根据目标用户DID从区块链网络中获取目标用户DID关联的DID文档,以从DID文档中获取目标用户公钥,采用目标用户公钥对用户签名进行验证,验证目标用户是目标用户DID的真实拥有者,防止数字身份的盗用或伪造。
本实施例中,对于仅采用DID登入第三方平台的登入方式,其流程如图3所示。DID客户端通过扫描目标第三方平台的二维码,得到登入信息并向目标第三方平台发送登入请求。目标第三方平台在接收到登入请求并验证DID之后,可以首先随机生成一个Nonce(Number Once,随机数值)并保存,采用目标用户公钥对Nonce进行加密,得到密文cipherText并反馈给DID客户端。相应的,DID客户端采用目标用户私钥PrivKey对密文进行解密,得到明文plainText并反馈给目标第三方平台。从而目标第三方平台验证挑战结果响应,根据loninID确定Nonce及其关联的明文,将Nonce与明文进行比对。若检测到结果比对一致,则目标第三方平台轮询得知挑战成功,确定目标用户登入成功。
本实施例中,对于采用DID和claim登入第三方平台的登入方式,由于目标用户的目标claim都保存在自己的个人用户数据中心中,因此DID客户端需要在向目标第三方平台发送登入请求之后,授权目标第三方平台从目标用户的个人用户数据中心中得到目标用户的目标claim,以对目标claim进行验证。
具体的,图4为授权第三方平台获取claim的示例图。如图4所示,目标第三方平台在接收到登入请求之后,向DID客户端发送claim获取请求。其中,若DID客户端本地保存了claim,则可以直接将claim返回。若DID客户端本地没有保存claim,则DID客户端可以获取个人用户数据中心中存储目标claim的目标站点地址,并向目标第三方平台发送个人用户数据中心中存储目标claim的目标站点地址,以指示目标第三方平台获取指定的目标claim,而不会侵犯其他数据信息的安全性。相应的,目标第三方平台在得到DID客户端的授权之后,可以根据目标站点地址访问个人用户数据中心的目标站点,从目标站点中得到目标claim并对目标claim进行验证。例如,验证目标claim是否为受信任权威机构所签发,验证目标claim是否为目标第三方平台登入所需,验证目标claim的吊销状态等。其具体流程将在后续实施例中进行解释说明。
其中,为了实现目标claim的安全共享,DID客户端可以在向目标第三方平台发送个人用户数据心中存储目标claim的目标站点地址之前,基于代理重加密机制对目标claim进行加密。具体的,DID客户端采用AES(Advanced Encryption Standard,高级加密标准)密钥对目标claim加密得到目标加密claim,采用目标用户公钥对AES密钥加密得到对称密钥密文,根据目标用户私钥以及从目标第三方平台DID关联的DID文档中获取的目标第三方平台公钥,计算得到重加密密钥。将目标加密claim、对称密钥密文和重加密密钥存储在个人用户数据中心的目标站点地址。进而个人用户数据中心采用重加密密钥对对称密钥密文进行重加密,生成重加密密文并存储。相应的,目标第三方平台在目标站点地址的授权下,根据目标站点地址获取目标加密claim和重加密密文,并基于目标第三方平台私钥对重加密密文解密得到对称加密密钥,基于对称加密密钥对目标加密claim解密得到目标claim。
本实施例其中,对于没有claim的用户,可以向权威机构进行申请。相应的,权威机构也可以对自身所签发的claim进行吊销。具体的,DID客户端根据权威机构注册中心中权威机构的服务信息,查找签发claim的目标权威机构,向目标权威机构发送claim申请请求,得到目标权威机构响应于claim申请请求所签发的目标claim。其中,DID客户端在申请claim时,可以主动向目标权威机构提供个人用户数据中心中用于存储目标claim的目标站点地址,或者由目标权威机构来确定目标站点地址。进而目标权威机构在生成目标claim之后,基于代理重加密机制对目标claim进行加密,存储在目标站点地址中,并将目标站点地址反馈给DID客户端。相应的,DID客户端根据目标站点地址,访问个人用户数据中心中的目标站点,得到代理重加密后的目标claim;采用目标用户私钥对代理重加密后的目标claim进行解密,得到目标claim。
其中,本实施例的数字身份验证系统中,各参与方之间在交互之前均需要对对方的DID即数字身份进行验证。因此在根据目标站点地址,访问个人用户数据中心中的目标站点之前,DID客户端可以向个人用户数据中心发送目标用户DID。个人用户数据中心从区块链网络中获取目标用户DID关联的DID文档,并采用DID文档中的目标用户公钥对目标用户的用户签名进行验证,以验证目标用户是否为目标用户DID的持有者。
S230、若目标用户DID和目标声明验证通过,则采用目标用户DID登入目标第三方平台。
在本申请具体实施例中,DID客户端或目标第三方平台,可以基于轮询的方式检测目标用户DID和目标claim是否验证通过。若DID客户端检测到目标用户DID和目标claim验证通过,则采用目标用户DID登入目标第三方平台。若目标第三方平台检测到目标用户DID和目标claim验证通过,则确认目标用户采用目标用户DID登入成功。
本实施例的技术方案,用户可以操作DID客户端,获取目标第三方平台的目标登入信息,进而用户可以使用目标用户DID账户,通过DID客户端向目标第三方平台发送登入请求,以授权目标第三方平台从目标用户的个人用户数据中心获取目标用户的目标claim,从而基于目标第三方平台对于目标用户DID和目标claim的验证,使用目标用户DID登入目标第三方平台。本申请实施例通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
第二实施例
图5是根据本申请第二实施例的一种数字身份验证方法的流程图,本实施例在上述第一实施例的基础上,进一步对DID客户端授权目标第三方平台获取指定claim的过程进行解释说明,能够区块链网络、代理重加密技术和个人用户中心的辅助下,对于目标第三方平台进行授权。如图5所示,该方法具体包括如下:
S510、响应于目标用户对于目标第三方平台的登入操作,得到至少包括目标第三方平台DID的目标登入信息。
S520、根据目标登入信息,向目标第三方平台发送包括目标用户DID的登入请求。
S530、根据目标第三方平台DID,从区块链网络中得到目标第三方平台DID关联的DID文档。
在本申请具体实施例中,DID与其关联的DID文档以键值对的形式存储在区块链网络中。DID客户端在获取到目标登入信息之后,可以根据目标第三方平台DID,从区块链网络中得到目标第三方平台DID关联的DID文档,以从DID文档中获取目标第三方平台公钥,供数据共享时加密使用。
S540、基于代理重加密机制对目标声明进行加密。
在本申请具体实施例中,代理重加密是密文间的一种密钥转换机制,在代理重加密中,一个半可信代理人通过代理授权人产生的转换密钥,把用授权人的公钥加密的密文转化为用被授权人的公钥加密的密文,实现数据的共享。在这个过程中,代理人得不到数据的明文信息,从而降低了数据泄露风险,提高数据共享的安全性。
本实施例中,DID客户端基于代理重加密机制,根据目标用户公钥从目标第三方平台DID关联的DID文档中获取的目标第三方平台公钥,首先对要共享的目标claim进行加密。
可选的,采用AES密钥对目标claim进行加密,得到目标加密claim;采用目标用户公钥对AES密钥进行加密,得到对称密钥密文;根据目标用户私钥,以及从目标第三方平台DID关联的DID文档中获取的目标第三方平台公钥,计算得到重加密密钥;向个人用户数据中心的目标站点地址存储目标加密claim、对称密钥密文和重加密密钥,以控制个人用户数据中心采用重加密密钥对对称密钥密文进行重加密,生成重加密密文并存储。
本实施例中,DID客户端将加密生成的目标加密claim和重加密信息发送给个人用户数据中心中,个人用户中心根据重加密信息进行重加密,并将这些代理重加密信息保存在目标站点地址中,供目标第三方平台从个人用户数据中心中拉取重加密的claim,并通过解密来得到目标claim。
S550、向目标第三方平台发送个人用户数据中心中存储目标声明的目标站点地址,以授权目标第三方平台根据目标站点地址访问个人用户数据中心的目标站点,得到目标声明,并对目标用户DID和目标声明进行验证。
在本申请具体实施例中,目标站点地址用于授权目标第三方平台获取目标claim,目标站点地址的发送触发了根据目标站点地址访问个人用户数据中心的目标站点,得到代理重加密的目标claim,根据目标站点地址获取目标加密claim和重加密密文,并基于目标第三方平台私钥对重加密密文解密得到对称加密密钥,基于对称加密密钥对目标加密claim解密得到目标claim。
本实施例中,DID客户端可以在获取到目标登入信息之后,首先获取目标第三方平台公钥并对目标claim进行加密,进而在向目标第三方平台发送登入请求时,将目标站点地址同步发送给目标第三方平台进行授权。也可以在获取到目标登入信息并向目标第三方平台发送登入请求之后,接收目标第三方平台的获取claim请求,进而DID客户端再获取目标第三方平台公钥并对目标claim进行加密,并将目标站点地址返回给目标第三方平台进行授权。
示例性的,图6为第三方平台获取claim的示例图。如图6所示,在DID客户端向目标第三方平台发送登入请求之后,目标第三方平台向DID客户端发送获取claim请求。进而DID客户端基于区块链网络拉取目标第三方平台的DID文档,并从中获得目标第三方平台公钥。从而DID客户端基于代理重加密机制对目标claim进行加密,并存储在个人用户数据中心的目标站点地址中。将目标站点地址返回给目标第三方平台,以指示目标第三方平台从个人用户数据中心中获取并解密得到目标claim。
S560、若目标用户DID和目标声明验证通过,则采用目标用户DID登入目标第三方平台。
示例性的,图7为采用DID和claim登入第三方平台的流程图。如图7所示,DID客户端通过扫描目标第三方平台的二维码,得到登入信息并向目标第三方平台发送包括目标用户DID的登入请求。目标第三方平台在接收到登入请求并验证目标用户DID之后,向DID客户端发送获取claim请求。进而DID客户端基于代理重加密机制,通过从区块链网络拉取的目标第三方平台DID关联的DID文档(appDID文档),获取目标第三方平台公钥appPubKey;根据目标用户私钥和目标第三方平台公钥计算得到重加密密钥K;采用AES密钥对claim加密得到目标加密声明EncryptedClaim;采用目标用户公钥对AES密钥进行加密,得到对称密钥密文;并发送给个人用户数据中心,以使个人用户数据中心采用重加密密钥K对对称密钥密文加密得到重加密密文A,将存储的站点地址Endpoint反馈给DID客户端。同时目标第三方平台可以首先随机生成一个Nonce并保存,采用目标用户公钥对Nonce进行加密,得到密文cipherText并反馈给DID客户端。相应的,DID客户端采用目标用户私钥PrivKey对密文进行解密,得到明文plainText。DID客户端将明文和站点地址发送给目标第三方平台,以控制目标第三方平台根据站点地址获取目标加密声明EncryptedClaim和重加密密文A,并基于目标第三方平台私钥appPrivKey对重加密密文A解密得到对称加密密钥,基于对称加密密钥对目标加密声明EncryptedClaim解密得到目标claim。进而目标第三方平台根据目标用户DID、目标claim以及明文plainText等信息,进行一系列验证。若验证通过,则目标第三方平台轮询得知挑战成功,确定目标用户登入成功。
本实施例的技术方案,用户可以操作DID客户端,获取目标第三方平台的目标登入信息,并向目标第三方平台发送登入请求,对claim进行代理重加密,向目标第三方平台发送目标站点地址,以授权目标第三方平台从目标用户的个人用户数据中心获取代理重加密后的claim,从而基于目标第三方平台对于目标用户DID和目标claim的验证,使用目标用户DID登入目标第三方平台。本申请实施例通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
第三实施例
图8是根据本申请第三实施例的申请claim的流程图,本实施例在上述第一实施例的基础上,进一步对DID客户端向权威机构申请claim的过程进行解释说明,能够通过权威机构的签发来得到claim。如图8所示,该方法具体包括如下:
S810、根据权威机构注册中心中权威机构的服务信息,查找签发声明的目标权威机构。
在本申请具体实施例中,权威机构可以预先向权威机构注册中心进行注册,以将服务信息配置与权威机构注册中心中供发布。服务信息可以包括服务站点信息、可申请claim类型以及申请方所需资料等。相应的,DID客户端在申请claim之前,可以在权威机构注册中心中进行查询,以查询得到能够签发所需claim的目标权威机构。
S820、向目标权威机构发送声明申请请求,以控制目标权威机构生成目标用户的目标声明。
在本申请具体实施例中,claim申请请求中可以包括目标用户签名以及目标用户DID。目标权威机构在接收到DID客户端发送的claim申请请求之后,可以根据目标用户DID从区块链中获取目标用户DID关联的DID文档,从中得到目标用户公钥,并利用目标用户公钥对目标用户签名进行验证,以验证目标用户确实为目标用户DID的拥有者。进而在验证用过后,为目标用户生成目标claim。
示例性的,图9为申请claim的示意图。如图9所示,权威机构向权威机构注册中心注册自身与一个关联的服务站点,申明claim申请方所需要提供的信息。DID客户端通过权威机构注册中心中查找能够提供claim的目标权威机构,并向目标权威机构的服务站点发送claim申请请求,得到受理ID,用于全局标识目标用户的本次申请行为。
S830、得到目标权威机构响应于声明申请请求所签发的目标声明。
在本申请具体实施例中,图10为签发claim的示意图。如图10所示,目标权威机构在受理claim申请之后,首先对claim申请请求及其包含的信息进行验证。具体的,目标权威机构除了可以对目标用户签名进行验证之外,还可以借助外界平台对请求中包含的信息进行验证,以验证信息是否为本权威机构所需的,以及验证信息的正确性。其中,外界平台可以是银行或公安局等。
其次若验证通过,则目标权威机构将生成的目标claim存储到目标用户的个人用户数据中的目标站点地址中,并将目标站点地址反馈给DID客户端,以授权目标用户访问。其中,目标站点地址可以是目标用户自己提供的,也可以是权威机构后期指定的,以便目标用户可以直接访问到目标claim。
可选的,接收目标权威机构响应于声明申请请求反馈的目标站点地址;其中,目标站点地址位于目标用户的个人用户数据中心中,用于存储目标权威机构代理重加密后的目标声明;根据目标站点地址,访问个人用户数据中心中的目标站点,得到代理重加密后的目标声明;采用目标用户私钥对代理重加密后的目标声明进行解密,得到目标声明。例如,DID客户端可以根据受理ID向目标权威机构查询签发结果,得到目标站点地址。
可选的,在根据目标站点地址,访问个人用户数据中心中的目标站点之前,向个人用户数据中心发送目标用户DID,用于个人用户数据中心从区块链网络中获取目标用户DID关联的DID文档,并采用DID文档中的目标用户公钥对目标用户的用户签名进行验证,以验证目标用户是否为目标用户DID的持有者。最终DID客户端将目标用户DID发送给个人用户数据中心,以供个人用户数据中心对目标用户DID进行验证,若验证通过,则DID客户端根据目标站点地址访问个人用户数据中心中的目标站点,以获得目标权威机构所签发的目标claim。
其中,目标权威机构在将生成的目标cliam存储在个人用户数据中心之前,可以同样基于代理重加密机制,对目标cliam进行代理重加密。相应的,DID客户端在得到代理重加密后目标claim之后进行解密,得到目标claim。保障了数据共享的安全性。
此外,权威机构可以对自身签发的claim进行吊销,将claim吊销信息存储在吊销列表中,一个大家都可以访问的公共地址,该吊销列表保存在权威机构的个人吊销服务站点中。具体的,图11为吊销claim的示意图。如图11所示,权威机构可以将吊销列表地址写到对应的claim中,相应的,DID客户端可以从目标claim中获取吊销列表地址;从签发目标claim的权威机构的个人吊销服务站点中,访问吊销列表地址并得到吊销列表;根据吊销列表查询目标claim的吊销状态。
本实施例的技术方案,基于业务需求,用户可以通过DID客户端向对应的权威机构来申请获得claim,经过权威机构的签发来获得claim,以便用户通过claim进行第三方平台的登入。
第四实施例
图12是根据本申请第四实施例的一种数字身份验证方法的流程图,本实施例可适用于通过去中心化身份DID客户端与第三方平台的交互,基于对DID和claim的验证,以使用户使用DID登入第三方平台的情况,该方法可由第三方平台执行,可由一种数字身份验证装置来执行,该装置采用软件和/或硬件的方式实现,优选是配置于电子设备中,例如第三方平台的后端服务器。如图12所示,该方法具体包括如下:
S1210、响应于目标去中心化身份DID客户端发送的包括目标用户DID的登入请求,从目标用户的个人用户数据中心得到目标用户的目标声明。
在本申请具体实施例中,登入请求用于触发第三方平台对要登入进来的目标用户进行数字身份验证。登入请求中可以包括目标用户DID、loginID、用户签名等信息。第三方平台可以根据liginID将目标用户的一系列登入行为联系起来,还可以根据目标用户DID从区块链网络中获取目标用户DID关联的DID文档,以从DID文档中获取目标用户公钥,采用目标用户公钥对用户签名进行验证,验证目标用户是目标用户DID的真实拥有者,防止数字身份的盗用或伪造。
本实施例中,由于目标用户的目标claim都保存在自己的个人用户数据中心中,因此第三方平台在得到目标去中心化身份DID客户端(目标DID客户端)的授权后,可以从目标用户的个人用户数据中心得到目标用户的目标claim。
具体的,根据目标DID客户端对于第三方平台的授权结果,得到存储目标claim的目标站点地址;根据目标站点地址访问个人用户数据中心的目标站点,得到目标claim。其中,目标加密claim和重加密密文是基于代理重加密机制加密生成。因此第三方平台可以根据目标站点地址访问个人用户数据中心的目标站点,得到目标加密claim和重加密密文;采用第三方平台私钥对重加密密文进行解密,得到对称加密密钥;采用对称加密密钥对目标加密claim进行解密,得到目标claim。
S1220、对目标用户DID和目标声明进行验证。
在本申请具体实施例中,对于目标用户DID的验证,用于验证当前用户是否为目标用户DID的真实拥有者,避免数字身份的盗用或伪造。对于目标claim的验证,用于验证当前用户是否有权限,或者是否基于有效的权威机构认证,有权登入第三方平台。
具体的,根据目标用户的用户签名,验证目标用户是否为目标用户DID的持有者。即根据目标用户DID,从区块链网络中得到目标用户DID关联的DID文档;根据目标用户DID关联的DID文档中的目标用户公钥,对目标用户的用户签名进行验证,以验证目标用户是否为目标用户DID的持有者。若目标用户DID验证通过,则根据目标claim所属签发权威机构、claim类型、有效期以及吊销状态中的至少一项,对目标claim进行验证。
S1230、若目标用户DID和目标声明验证通过,则确定目标用户采用目标用户DID登入成功。
本实施例的技术方案,第三方平台在接收到目标DID客户端发送的登入请求之后,可以根据目标DID客户端的授权,从目标用户的个人用户数据中心获取目标用户的目标claim,并对目标用户DID和目标claim进行验证,在确认验证通过时,即可确定目标用户采用目标用户DID登入成功。本申请实施例通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
第五实施例
图13是根据本申请第五实施例的一种数字身份验证方法的流程图,本实施例在上述第一实施例的基础上,进一步对获取及验证claim的过程进行解释说明,能够根据目标DID客户端提供的目标站点地址获取目标claim并验证。如图13所示,该方法具体包括如下:
S1310、响应于目标DID客户端发送的包括目标用户DID的登入请求,根据目标DID客户端对于第三方平台的授权结果,得到存储目标声明的目标站点地址。
在本申请具体实施例中,第三方平台可以在接收到目标DID客户端发送的登入请求之后,向目标DID客户端发送获取claim请求,以请求目标DID客户端授权获取目标claim。其中,若目标DID客户端反馈目标站点地址,即可视为得到目标DID客户端授权。目标站点地址位于个人用户数据中心中,用于存储目标用户的DID、claim及相关信息。
S1320、根据目标站点地址访问个人用户数据中心的目标站点,得到目标声明。
在本申请具体实施例中,第三方平台可以根据目标站点地址访问个人用户数据中心的目标站点,从目标站点中获取指定的目标claim。其中,鉴于数据共享的安全性,目标站点中的目标claim可以是目标DID客户端基于重加密机制加密得到的,相应的,第三方平台在获取后,需要通过解密才能够得到真正的目标claim。
可选的,根据目标站点地址访问个人用户数据中心的目标站点,得到目标加密claim和重加密密文;其中,目标加密claim和重加密密文是基于代理重加密机制加密生成;采用第三方平台私钥对重加密密文进行解密,得到对称加密密钥;采用对称加密密钥对目标加密claim进行解密,得到目标claim。
S1330、根据目标用户的用户签名,验证目标用户是否为目标用户DID的持有者。
在本申请具体实施例中,登入请求中还可以包括目标用户的用户签名,以便第三方平台对目标用户DID进行验证。可选的,根据目标用户DID,从区块链网络中得到目标用户DID关联的DID文档;根据目标用户DID关联的DID文档中的目标用户公钥,对目标用户的用户签名进行验证,以验证目标用户是否为目标用户DID的持有者。
S1340、若目标用户DID验证通过,则根据目标声明所属签发权威机构、声明类型、有效期以及吊销状态中的至少一项,对目标声明进行验证。
在本申请具体实施例中,目标claim所属签发权威机构的相关信息、claim类型、有效期等信息可以存储在DID文档中。相应的,第三方可以获取目标claim的所属签发权威机构,以验证是否为受信任的权威机构;根据claim类型验证目标claim是否为本第三方平台登入所需的claim;根据有效期来验证目标claim当前是否处于有限使用期限之内;还可以从目标claim获取吊销列表地址,并访问所属签发权威机构的个人吊销服务中心的吊销列表地址,获得吊销列表,以查询目标claim的吊销状态。可以理解的是,只有在claim的全部相关信息都验证通过后,才能够确定目标claim验证通过。
示例性的,图14为验证claim的示意图。如图14所示,权威机构控制claim的签发和吊销,并将吊销列表地址写入claim中。DID客户端在申请得到claim之后,在请求登入第三方平台的过程中,对第三方平台进行授权,以使第三方平台得到claim。进而第三方平台根据目标用户DID从区块链网络中得到目标用户DID关联的DID文档,基于DID文档中的信息对claim进行验证。同时第三方平台还可以从权威机构的个人吊销服务站点中查询claim的吊销状态。
S1350、若目标用户DID和目标声明验证通过,则确定目标用户采用目标用户DID登入成功。
在本申请具体实施例中,若目标用户DID的真实性验证通过,且目标claim所属签发机构是受信任机构,目标claim是登入所需的claim类型,目标claim在有效期内且未被吊销,则确定目标用户DID和目标claim验证通过,进而确定目标用户采用目标用户DID登入成功。其中,对于claim的验证不局限于上述示例,任何验证方式都可以应用于本实施例中。
本实施例的技术方案,第三方平台在接收到目标DID客户端发送的登入请求之后,可以根据目标DID客户端的授权得到目标站点地址,从目标用户的个人用户数据中心的目标站点获取目标用户的目标claim,对目标用户DID进行验证,并根据目标claim所属签发权威机构、claim类型、有效期以及吊销状态中的至少一项对目标claim进行验证,在确认验证通过时,即可确定目标用户采用目标用户DID登入成功。本申请实施例通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
第六实施例
图15是根据本申请第六实施例的一种数字身份验证装置的结构示意图,本实施例可适用于通过去中心化身份DID客户端与第三方平台的交互,基于对DID和claim的验证,以使用户使用DID登入第三方平台的情况,该装置可配置于DID客户端中,可实现本申请任意实施例所述的数字身份验证方法。该装置1500具体包括如下:
登入信息获取模块1510,用于响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息;
声明授权模块1520,用于根据所述目标登入信息,向所述目标第三方平台发送包括目标用户DID的登入请求,以授权所述目标第三方平台从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,并对所述目标用户DID和所述目标声明进行验证;
平台登入模块1530,用于若所述目标用户DID和所述目标声明验证通过,则采用所述目标用户DID登入所述目标第三方平台。
可选的,所述登入信息获取模块1510具体用于:
响应于所述目标用户对于所述目标第三方平台的登入操作,得到至少包括目标第三方平台DID的目标登入信息,用于根据所述目标第三方平台DID,从区块链网络中得到所述目标第三方平台DID关联的DID文档。
可选的,所述声明授权模块1520具体用于:
向所述目标第三方平台发送所述个人用户数据中心中存储目标声明的目标站点地址,以授权所述目标第三方平台根据所述目标站点地址访问个人用户数据中心的目标站点,并得到所述目标声明。
进一步的,所述装置1500还包括加密模块1540,具体用于:
在所述向所述目标第三方平台发送所述个人用户数据心中存储目标声明的目标站点地址之前,基于代理重加密机制对所述目标声明进行加密。
可选的,所述加密模块1540具体用于:
采用高级加密标准AES密钥对所述目标声明进行加密,得到目标加密声明;
采用目标用户公钥对所述AES密钥进行加密,得到对称密钥密文;
根据目标用户私钥,以及从目标第三方平台DID关联的DID文档中获取的目标第三方平台公钥,计算得到重加密密钥;
向所述个人用户数据中心的目标站点地址存储所述目标加密声明、所述对称密钥密文和所述重加密密钥,以控制所述个人用户数据中心采用所述重加密密钥对所述对称密钥密文进行重加密,生成重加密密文并存储。
可选的,所述目标站点地址,用于所述目标第三方平台根据所述目标站点地址获取所述目标加密声明和所述重加密密文,并基于目标第三方平台私钥对所述重加密密文解密得到对称加密密钥,基于所述对称加密密钥对所述目标加密声明解密得到所述目标声明。
进一步的,所述装置1500还包括声明申请模块1550,具体用于:
在所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息之前,根据权威机构注册中心中权威机构的服务信息,查找签发声明的目标权威机构;
向所述目标权威机构发送声明申请请求,以控制所述目标权威机构生成所述目标用户的目标声明;
得到所述目标权威机构响应于所述声明申请请求所签发的目标声明。
可选的,所述声明申请模块1550具体用于:
接收所述目标权威机构响应于所述声明申请请求反馈的目标站点地址;其中,所述目标站点地址位于所述目标用户的个人用户数据中心中,用于存储所述目标权威机构代理重加密后的目标声明;
根据所述目标站点地址,访问所述个人用户数据中心中的目标站点,得到代理重加密后的目标声明;
采用目标用户私钥对所述代理重加密后的目标声明进行解密,得到所述目标声明。
可选的,所述声明申请模块1550具体用于:
在所述根据所述目标站点地址,访问所述个人用户数据中心中的目标站点之前,向所述个人用户数据中心发送所述目标用户DID,用于所述个人用户数据中心从区块链网络中获取所述目标用户DID关联的DID文档,并采用所述DID文档中的目标用户公钥对所述目标用户的用户签名进行验证,以验证所述目标用户是否为所述目标用户DID的持有者。
进一步的,所述装置1500还包括吊销查询模块1560,具体用于:
在所述得到所述目标权威机构响应于所述声明申请请求所签发的目标声明之后,从所述目标声明中获取吊销列表地址;
从签发所述目标声明的权威机构的个人吊销服务站点中,访问所述吊销列表地址并得到吊销列表;
根据所述吊销列表查询所述目标声明的吊销状态。
进一步的,所述装置1500还包括DID创建模块1570,具体用于:
在所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息之前,响应于目标用户的DID创建请求,为所述目标用户创建目标用户DID以及至少一对公私钥对。
本实施例的技术方案,通过各个功能模块之间的相互配合,实现了DID的创建、claim的申请、登入信息的获取、claim的加密及解密、第三方平台的授权、平台的登入以及吊销状态查询等功能。本申请实施例通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
第七实施例
图16是根据本申请第七实施例的一种数字身份验证装置的结构示意图,本实施例可适用于通过去中心化身份DID客户端与第三方平台的交互,基于对DID和claim的验证,以使用户使用DID登入第三方平台的情况,该装置可配置于第三方平台中,可实现本申请任意实施例所述的数字身份验证方法。该装置1600具体包括如下:
声明获取模块1610,用于响应于目标去中心化身份DID客户端发送的包括目标用户DID的登入请求,从所述目标用户的个人用户数据中心得到所述目标用户的目标声明;
声明验证模块1620,用于对所述目标用户DID和所述目标声明进行验证;
用户登入模块1630,用于若所述目标用户DID和所述目标声明验证通过,则确定所述目标用户采用所述目标用户DID登入成功。
可选的,所述声明获取模块1610具体用于:
根据所述目标DID客户端对于第三方平台的授权结果,得到存储所述目标声明的目标站点地址;
根据所述目标站点地址访问个人用户数据中心的目标站点,得到所述目标声明。
可选的,所述声明获取模块1610具体用于:
根据所述目标站点地址访问个人用户数据中心的目标站点,得到目标加密声明和重加密密文;其中,所述目标加密声明和所述重加密密文是基于代理重加密机制加密生成;
采用第三方平台私钥对所述重加密密文进行解密,得到对称加密密钥;
采用所述对称加密密钥对所述目标加密声明进行解密,得到目标声明。
可选的,所述声明验证模块1620具体用于:
根据所述目标用户的用户签名,验证所述目标用户是否为所述目标用户DID的持有者;
若验证通过,则根据所述目标声明所属签发权威机构、声明类型、有效期以及吊销状态中的至少一项,对所述目标声明进行验证。
可选的,所述声明验证模块1620具体用于:
根据所述目标用户DID,从区块链网络中得到所述目标用户DID关联的DID文档;
根据所述目标用户DID关联的DID文档中的目标用户公钥,对所述目标用户的用户签名进行验证,以验证所述目标用户是否为所述目标用户DID的持有者。
本实施例的技术方案,通过各个功能模块之间的相互配合,实现了claim的获取、claim的解密、DID的验证、claim的验证以及用户的登入等功能。本申请实施例通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
第八实施例
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图17所示,是根据本申请实施例的数字身份验证方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图17所示,该电子设备包括:一个或多个处理器1701、存储器1702,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置,诸如,耦合至接口的显示设备,其上显示图形用户界面(Graphical User Interface,GUI)的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作,例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统。图17中以一个处理器1701为例。
存储器1702即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的数字身份验证方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的数字身份验证方法。
存储器1702作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的数字身份验证方法对应的程序指令/模块,例如,附图15所示的登入信息获取模块1510、声明授权模块1520、平台登入模块1530、加密模块1540、声明申请模块1550、吊销查询模块1560和DID创建模块1570,以及附图16所示的声明获取模块1610、声明验证模块1620和用户登入模块1630。处理器1701通过运行存储在存储器1702中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的数字身份验证方法。
存储器1702可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据数字身份验证方法的电子设备的使用所创建的数据等。此外,存储器1702可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器1702可选包括相对于处理器1701远程设置的存储器,这些远程存储器可以通过网络连接至数字身份验证方法的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
数字身份验证方法的电子设备还可以包括:输入装置1703和输出装置1704。处理器1701、存储器1702、输入装置1703和输出装置1704可以通过总线或者其他方式连接,图17中以通过总线连接为例。
输入装置1703可接收输入的数字或字符信息,以及产生与数字身份验证方法的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置1704可以包括显示设备、辅助照明装置和触觉反馈装置等,其中,辅助照明装置例如发光二极管(LightEmitting Diode,LED);触觉反馈装置例如,振动电机等。该显示设备可以包括但不限于,液晶显示器(Liquid Crystal Display,LCD)、LED显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用集成电路(Application Specific Integrated Circuit,ASIC)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序,也称作程序、软件、软件应用、或者代码,包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置,例如,磁盘、光盘、存储器、可编程逻辑装置(Programmable Logic Device,PLD),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置,例如,阴极射线管(Cathode Ray Tube,CRT)或者LCD监视器;以及键盘和指向装置,例如,鼠标或者轨迹球,用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈,例如,视觉反馈、听觉反馈、或者触觉反馈;并且可以用任何形式,包括声输入、语音输入或者、触觉输入,来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统,例如,数据服务器,或者实施在包括中间件部件的计算系统,例如,应用服务器、或者实施在包括前端部件的计算系统,例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互,或者实施在包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信,例如,通信网络,来将系统的部件相互连接。通信网络的示例包括:局域网(Local Area Network,LAN)、广域网(Wide Area Network,WAN)、互联网和区块链网络。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案,通过对W3C制定的DID标准进行DID客户端和个人用户数据中心等架构的添加和定义,基于DID客户端、个人用户数据中心与其他现有结构之间的交互,明确了整个数字身份验证系统的工作流程和接入方式,实现了完整的数字身份验证系统,并为用户或企业提供了使用和管理DID账户的DID客户端,保证了数字身份的绝对拥有和绝对可控。
另外,区块链网络可以存储DID及其相关信息,为各个参与方提供信息服务。相应的,DID客户端通过区块链网络可以得到目标第三方平台DID关联的DID文档,供数据加密和共享使用。
另外,目标站点地址用于指示目标第三方平台从个人用户数据中心获取指定的claim,进而通过目标站点地址的发送来实现授权目标第三方平台的目的,实现了claim的共享。
另外,采用代理重加密机制实现claim的共享,避免claim的泄露,保障数据的安全性。
另外,代理重加密机制目的在于,基于目标用户公钥加密的数据,可以被共享方即目标第三方平台,采用目标第三方平台私钥解密获取数据,保障数据的安全共享。
另外,目标站点地址用于指示目标第三方平台获取指定的claim,相应的,在代理重加密机制的保护下,需要目标第三方对获取的claim进行解密,保障数据的安全共享。
另外,基于业务需求,用户可以通过DID客户端向对应的权威机构来申请获得claim,以便于用户通过claim进行第三方平台的登入。
另外,鉴于claim的签发也是数据的共享过程,因此权威机构在签发时,可以同样采用代理重加密技术,以向DID客户端共享所签发的claim。
另外,任何参与方在进行交互时,都可以基于区块链网络中存储的数字身份及相关信息,根据已知对方的DID,来对对方进行DID数字身份验证,以确定对方为所掌握DID的真实拥有者,避免交互方对于数字身份的盗用或伪造,保障交互安全性。
另外,权威机构对于已签发的claim也可以吊销,相应的,其他参与方可以通过claim中记录的吊销列表地址,查询claim的吊销状态,避免使用无效的claim。
另外,DID客户端为用户提供了DID创建服务,以为用户提供全局唯一的数字身份。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (20)

1.一种数字身份验证方法,其特征在于,由去中心化身份DID客户端执行,所述方法包括:
响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息;
根据所述目标登入信息,向所述目标第三方平台发送包括目标用户DID的登入请求,以授权所述目标第三方平台从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,并对所述目标用户DID和所述目标声明进行验证;
若所述目标用户DID和所述目标声明验证通过,则采用所述目标用户DID登入所述目标第三方平台。
2.根据权利要求1所述的方法,其特征在于,所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息,包括:
响应于所述目标用户对于所述目标第三方平台的登入操作,得到至少包括目标第三方平台DID的目标登入信息,用于根据所述目标第三方平台DID,从区块链网络中得到所述目标第三方平台DID关联的DID文档。
3.根据权利要求1所述的方法,其特征在于,所述授权所述目标第三方平台从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,包括:
向所述目标第三方平台发送所述个人用户数据中心中存储目标声明的目标站点地址,以授权所述目标第三方平台根据所述目标站点地址访问个人用户数据中心的目标站点,并得到所述目标声明。
4.根据权利要求3所述的方法,其特征在于,在所述向所述目标第三方平台发送所述个人用户数据心中存储目标声明的目标站点地址之前,还包括:
基于代理重加密机制对所述目标声明进行加密。
5.根据权利要求4所述的方法,其特征在于,所述基于代理重加密机制对所述目标声明进行加密,包括:
采用高级加密标准AES密钥对所述目标声明进行加密,得到目标加密声明;
采用目标用户公钥对所述AES密钥进行加密,得到对称密钥密文;
根据目标用户私钥,以及从目标第三方平台DID关联的DID文档中获取的目标第三方平台公钥,计算得到重加密密钥;
向所述个人用户数据中心的目标站点地址存储所述目标加密声明、所述对称密钥密文和所述重加密密钥,以控制所述个人用户数据中心采用所述重加密密钥对所述对称密钥密文进行重加密,生成重加密密文并存储。
6.根据权利要求5所述的方法,其特征在于,所述目标站点地址,用于所述目标第三方平台根据所述目标站点地址获取所述目标加密声明和所述重加密密文,并基于目标第三方平台私钥对所述重加密密文解密得到对称加密密钥,基于所述对称加密密钥对所述目标加密声明解密得到所述目标声明。
7.根据权利要求1所述的方法,其特征在于,在所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息之前,还包括:
根据权威机构注册中心中权威机构的服务信息,查找签发声明的目标权威机构;
向所述目标权威机构发送声明申请请求,以控制所述目标权威机构生成所述目标用户的目标声明;
得到所述目标权威机构响应于所述声明申请请求所签发的目标声明。
8.根据权利要求7所述的方法,其特征在于,所述得到所述目标权威机构响应于所述声明申请请求所签发的目标声明,包括:
接收所述目标权威机构响应于所述声明申请请求反馈的目标站点地址;其中,所述目标站点地址位于所述目标用户的个人用户数据中心中,用于存储所述目标权威机构代理重加密后的目标声明;
根据所述目标站点地址,访问所述个人用户数据中心中的目标站点,得到代理重加密后的目标声明;
采用目标用户私钥对所述代理重加密后的目标声明进行解密,得到所述目标声明。
9.根据权利要求8所述的方法,其特征在于,在所述根据所述目标站点地址,访问所述个人用户数据中心中的目标站点之前,还包括:
向所述个人用户数据中心发送所述目标用户DID,用于所述个人用户数据中心从区块链网络中获取所述目标用户DID关联的DID文档,并采用所述DID文档中的目标用户公钥对所述目标用户的用户签名进行验证,以验证所述目标用户是否为所述目标用户DID的持有者。
10.根据权利要求7所述的方法,其特征在于,在所述得到所述目标权威机构响应于所述声明申请请求所签发的目标声明之后,还包括:
从所述目标声明中获取吊销列表地址;
从签发所述目标声明的权威机构的个人吊销服务站点中,访问所述吊销列表地址并得到吊销列表;
根据所述吊销列表查询所述目标声明的吊销状态。
11.根据权利要求1所述的方法,其特征在于,在所述响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息之前,还包括:
响应于目标用户的DID创建请求,为所述目标用户创建目标用户DID以及至少一对公私钥对。
12.一种数字身份验证方法,其特征在于,由第三方平台执行,所述方法包括:
响应于目标去中心化身份DID客户端发送的包括目标用户DID的登入请求,从所述目标用户的个人用户数据中心得到所述目标用户的目标声明;
对所述目标用户DID和所述目标声明进行验证;
若所述目标用户DID和所述目标声明验证通过,则确定所述目标用户采用所述目标用户DID登入成功。
13.根据权利要求12所述的方法,其特征在于,所述从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,包括:
根据所述目标DID客户端对于第三方平台的授权结果,得到存储所述目标声明的目标站点地址;
根据所述目标站点地址访问个人用户数据中心的目标站点,得到所述目标声明。
14.根据权利要求13所述的方法,其特征在于,所述根据所述目标站点地址访问个人用户数据中心的目标站点,得到所述目标声明,包括:
根据所述目标站点地址访问个人用户数据中心的目标站点,得到目标加密声明和重加密密文;其中,所述目标加密声明和所述重加密密文是基于代理重加密机制加密生成;
采用第三方平台私钥对所述重加密密文进行解密,得到对称加密密钥;
采用所述对称加密密钥对所述目标加密声明进行解密,得到目标声明。
15.根据权利要求12所述的方法,其特征在于,所述对所述目标用户DID和所述目标声明进行验证,包括:
根据所述目标用户的用户签名,验证所述目标用户是否为所述目标用户DID的持有者;
若验证通过,则根据所述目标声明所属签发权威机构、声明类型、有效期以及吊销状态中的至少一项,对所述目标声明进行验证。
16.根据权利要求15所述的方法,其特征在于,所述根据所述目标用户的用户签名,验证所述目标用户是否为所述目标用户DID的持有者,包括:
根据所述目标用户DID,从区块链网络中得到所述目标用户DID关联的DID文档;
根据所述目标用户DID关联的DID文档中的目标用户公钥,对所述目标用户的用户签名进行验证,以验证所述目标用户是否为所述目标用户DID的持有者。
17.一种数字身份验证装置,其特征在于,配置于去中心化身份DID客户端,所述装置包括:
登入信息获取模块,用于响应于目标用户对于目标第三方平台的登入操作,得到所述目标第三方平台的目标登入信息;
声明授权模块,用于根据所述目标登入信息,向所述目标第三方平台发送包括目标用户DID的登入请求,以授权所述目标第三方平台从所述目标用户的个人用户数据中心得到所述目标用户的目标声明,并对所述目标用户DID和所述目标声明进行验证;
平台登入模块,用于若所述目标用户DID和所述目标声明验证通过,则采用所述目标用户DID登入所述目标第三方平台。
18.一种数字身份验证装置,其特征在于,配置于第三方平台,所述装置包括:
声明获取模块,用于响应于目标去中心化身份DID客户端发送的包括目标用户DID的登入请求,从所述目标用户的个人用户数据中心得到所述目标用户的目标声明;
声明验证模块,用于对所述目标用户DID和所述目标声明进行验证;
用户登入模块,用于若所述目标用户DID和所述目标声明验证通过,则确定所述目标用户采用所述目标用户DID登入成功。
19.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-11中任一项所述的数字身份验证方法,或者执行权利要求12-16中任一项所述的数字身份验证方法。
20.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-11中任一项所述的数字身份验证方法,或者执行权利要求12-16中任一项所述的数字身份验证方法。
CN202010037958.3A 2020-01-14 2020-01-14 数字身份验证方法、装置、设备和存储介质 Active CN111277577B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202010037958.3A CN111277577B (zh) 2020-01-14 2020-01-14 数字身份验证方法、装置、设备和存储介质
JP2021003235A JP7119142B2 (ja) 2020-01-14 2021-01-13 デジタルid検証方法及び装置、電子機器、非一時的コンピュータ可読記憶媒体並びにプログラム
KR1020210005587A KR102509688B1 (ko) 2020-01-14 2021-01-14 디지털 신원 인증 방법, 장치, 기기 및 저장 매체
US17/148,992 US20210218574A1 (en) 2020-01-14 2021-01-14 Method and apparatus for verifying digital identity, device and storage medium
EP21151551.5A EP3852338B1 (en) 2020-01-14 2021-01-14 Method and apparatus for verifying digital identity, device and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010037958.3A CN111277577B (zh) 2020-01-14 2020-01-14 数字身份验证方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN111277577A true CN111277577A (zh) 2020-06-12
CN111277577B CN111277577B (zh) 2022-06-07

Family

ID=71001662

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010037958.3A Active CN111277577B (zh) 2020-01-14 2020-01-14 数字身份验证方法、装置、设备和存储介质

Country Status (5)

Country Link
US (1) US20210218574A1 (zh)
EP (1) EP3852338B1 (zh)
JP (1) JP7119142B2 (zh)
KR (1) KR102509688B1 (zh)
CN (1) CN111277577B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111818491A (zh) * 2020-07-10 2020-10-23 成都淞幸科技有限责任公司 一种5g环境d2d场景下去中心化身份管理的方法
CN111832004A (zh) * 2020-06-30 2020-10-27 北京泰尔英福网络科技有限责任公司 可信声明系统中信任锚的管理方法及装置
CN112861157A (zh) * 2021-03-01 2021-05-28 北京欧凯联创网络科技有限公司 一种基于去中心化身份和代理重加密的数据共享方法
CN112927434A (zh) * 2021-01-06 2021-06-08 上海泰砥科技有限公司 区块链及did的共享充电方法及共享充电桩系统
CN113343208A (zh) * 2021-05-20 2021-09-03 网易(杭州)网络有限公司 一种凭证授权方法、装置、终端及存储介质
CN113746916A (zh) * 2021-09-01 2021-12-03 北京泰尔英福网络科技有限责任公司 基于区块链的第三方服务提供方法、系统及相关节点
US11972002B2 (en) 2021-09-17 2024-04-30 Hon Hai Precision Industry Co., Ltd. Method of logging in to operating system, electronic device and readable storage medium

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102569132B1 (ko) * 2021-09-29 2023-08-24 한국전자통신연구원 분산 아이디 기반 서비스에서의 위임 크리덴셜 발급 장치 및 방법
US20230142147A1 (en) * 2021-11-10 2023-05-11 Microsoft Technology Licensing, Llc Network communication using proof of presence
KR102612463B1 (ko) * 2021-11-24 2023-12-11 (주)드림시큐리티 분산 id 기반 검증 크리덴셜 관리 및 디바이스 검증 방법 및 장치
KR102564633B1 (ko) * 2021-11-26 2023-08-11 주식회사 케이사인 Hd 기반의 컴퓨팅 장치 did 발급 방법
WO2023095967A1 (ko) * 2021-11-29 2023-06-01 주식회사 블록체인기술연구소 블록체인 기반의 did 서비스, ipfs 기반의 데이터 공유 기술, 및 개인키 분산 저장 기술이 결합된 비대면 대용량 문서 접근 시스템
CN114338795A (zh) * 2021-12-23 2022-04-12 杭州趣链科技有限公司 一种区块链客户端的数据通信方法及装置
US20240046265A1 (en) * 2021-12-27 2024-02-08 Estorm Co., Ltd. Blockchain based authentication and transaction system
US11922410B2 (en) 2022-02-15 2024-03-05 Paypal, Inc. Online decentralized identity verification for a multi-sided network
CN115037534B (zh) * 2022-05-30 2023-04-14 深圳文储科技有限公司 一种基于did的设备数据管理方法及系统
CN115002130A (zh) * 2022-05-31 2022-09-02 赵瑞 基于区块链的个人数字孪生did构建应用方法
CN115065466B (zh) * 2022-06-23 2024-01-19 中国电信股份有限公司 密钥协商方法、装置、电子设备和计算机可读存储介质
CN114862388B (zh) * 2022-07-01 2022-11-29 浙江毫微米科技有限公司 基于数字钱包的身份管理方法、计算机设备和存储介质
CN115952527A (zh) * 2023-03-09 2023-04-11 北京百度网讯科技有限公司 数据授权、提取、验证方法及其装置、设备和介质
CN117527445B (zh) * 2024-01-02 2024-03-12 江苏荣泽信息科技股份有限公司 一种基于重加密及分布式数字身份的数据共享系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1162783A2 (en) * 2000-06-09 2001-12-12 TRW Inc. System and method for efficient and secure revocation of a signature certificate in a public key infrastructure
US8788836B1 (en) * 2006-12-22 2014-07-22 Symantec Corporation Method and apparatus for providing identity claim validation
CN108769013A (zh) * 2018-05-29 2018-11-06 浪潮软件集团有限公司 一种基于以太坊的身份注册方法和装置
CN109583184A (zh) * 2018-10-09 2019-04-05 阿里巴巴集团控股有限公司 身份验证方法及装置和电子设备
CN110049060A (zh) * 2019-04-28 2019-07-23 南京理工大学 基于区块链的分布式可信身份存证方法及系统
WO2019179534A2 (en) * 2019-07-02 2019-09-26 Alibaba Group Holding Limited System and method for creating decentralized identifiers
US20190303600A1 (en) * 2018-03-27 2019-10-03 Workday, Inc. Digital credentials for step-up authentication

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8881253B2 (en) * 2007-03-28 2014-11-04 Symantec Corporation Method and apparatus for accepting a digital identity of a user based on transitive trust among parties
JP5454960B2 (ja) * 2011-11-09 2014-03-26 株式会社東芝 再暗号化システム、再暗号化装置及びプログラム
US10467468B2 (en) * 2015-03-09 2019-11-05 Michigan Health Information Network Shared Services System and method for identity proofing and knowledge based authentication
CA3002034A1 (en) * 2015-10-14 2017-04-20 Cambridge Blockchain, LLC Systems and methods for managing digital identities
US10079682B2 (en) * 2015-12-22 2018-09-18 Gemalto Sa Method for managing a trusted identity
JP6566454B2 (ja) * 2017-11-22 2019-08-28 シビラ株式会社 認証方法、認証装置、コンピュータプログラム及びシステムの製造方法
US20190333054A1 (en) * 2018-04-20 2019-10-31 Infonetworks Llc System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks
US11989762B2 (en) * 2018-05-10 2024-05-21 Civic Technologies, Inc. Eligibility for access to restricted goods and services using zero-knowledge proofs
JP6592573B1 (ja) * 2018-09-10 2019-10-16 Line株式会社 情報処理方法、情報表示方法、プログラム、端末、サーバ
US11366910B2 (en) * 2018-12-27 2022-06-21 Eli Talmor Method and system for secure applications using blockchain
US10425230B1 (en) * 2019-03-01 2019-09-24 Capital One Services, Llc Identity and electronic signature verification in blockchain
US11176282B2 (en) * 2019-06-18 2021-11-16 Microsoft Technology Licensing, Llc Encrypting data associated with decentralized identifier
SG11202003757TA (en) * 2019-07-02 2020-05-28 Advanced New Technologies Co Ltd System and method for issuing verifiable claims
US11146552B1 (en) * 2019-08-29 2021-10-12 American Express Travel Related Services Company, Inc. Decentralized application authentication

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1162783A2 (en) * 2000-06-09 2001-12-12 TRW Inc. System and method for efficient and secure revocation of a signature certificate in a public key infrastructure
US8788836B1 (en) * 2006-12-22 2014-07-22 Symantec Corporation Method and apparatus for providing identity claim validation
US20190303600A1 (en) * 2018-03-27 2019-10-03 Workday, Inc. Digital credentials for step-up authentication
CN108769013A (zh) * 2018-05-29 2018-11-06 浪潮软件集团有限公司 一种基于以太坊的身份注册方法和装置
CN109583184A (zh) * 2018-10-09 2019-04-05 阿里巴巴集团控股有限公司 身份验证方法及装置和电子设备
CN110049060A (zh) * 2019-04-28 2019-07-23 南京理工大学 基于区块链的分布式可信身份存证方法及系统
WO2019179534A2 (en) * 2019-07-02 2019-09-26 Alibaba Group Holding Limited System and method for creating decentralized identifiers

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ABBIE BARBIR AETNA: "Revised draft text for Recommendation ITU-T X.1252:Baseline identity management terms and definitions;TD1978", 《ITU-T DRAFT STUDY PERIOD 2017-2020 SG17-TD1978》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111832004A (zh) * 2020-06-30 2020-10-27 北京泰尔英福网络科技有限责任公司 可信声明系统中信任锚的管理方法及装置
CN111832004B (zh) * 2020-06-30 2024-05-17 北京泰尔英福科技有限公司 可信声明系统中信任锚的管理方法及装置
CN111818491A (zh) * 2020-07-10 2020-10-23 成都淞幸科技有限责任公司 一种5g环境d2d场景下去中心化身份管理的方法
CN112927434A (zh) * 2021-01-06 2021-06-08 上海泰砥科技有限公司 区块链及did的共享充电方法及共享充电桩系统
CN112861157A (zh) * 2021-03-01 2021-05-28 北京欧凯联创网络科技有限公司 一种基于去中心化身份和代理重加密的数据共享方法
CN113343208A (zh) * 2021-05-20 2021-09-03 网易(杭州)网络有限公司 一种凭证授权方法、装置、终端及存储介质
CN113746916A (zh) * 2021-09-01 2021-12-03 北京泰尔英福网络科技有限责任公司 基于区块链的第三方服务提供方法、系统及相关节点
US11972002B2 (en) 2021-09-17 2024-04-30 Hon Hai Precision Industry Co., Ltd. Method of logging in to operating system, electronic device and readable storage medium

Also Published As

Publication number Publication date
CN111277577B (zh) 2022-06-07
EP3852338B1 (en) 2023-09-06
US20210218574A1 (en) 2021-07-15
EP3852338A1 (en) 2021-07-21
JP2021111412A (ja) 2021-08-02
KR102509688B1 (ko) 2023-03-14
JP7119142B2 (ja) 2022-08-16
KR20210091677A (ko) 2021-07-22

Similar Documents

Publication Publication Date Title
CN111277577B (zh) 数字身份验证方法、装置、设备和存储介质
US9871791B2 (en) Multi factor user authentication on multiple devices
Neuman et al. Kerberos: An authentication service for computer networks
US9094212B2 (en) Multi-server authentication token data exchange
US9330245B2 (en) Cloud-based data backup and sync with secure local storage of access keys
CN102404314B (zh) 远程资源单点登录
CN111737366B (zh) 区块链的隐私数据处理方法、装置、设备以及存储介质
EP2251810B1 (en) Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method
US9749130B2 (en) Distributing keys for decrypting client data
US10645077B2 (en) System and method for securing offline usage of a certificate by OTP system
WO2019226115A1 (en) Method and apparatus for user authentication
GB2554082B (en) User sign-in and authentication without passwords
US20160013942A1 (en) Identity Verification Using Key Pairs
KR20220038109A (ko) 동의 아키텍처용 인증자 앱
US10873572B1 (en) Transferring a single sign-on session between a browser and a client application
CN113904830B (zh) 一种spa认证的方法、装置、电子设备和可读存储介质
KR101708880B1 (ko) 통합 로그인 장치 및 통합 로그인 방법
CN113987561A (zh) 一种基于可信执行环境的隐私数据分级方法、系统及终端
Dhal et al. Cryptanalysis and improvement of a cloud based login and authentication protocol
CN115189975B (zh) 登录方法、装置、电子设备和存储介质
Corella et al. Strong and convenient multi-factor authentication on mobile devices
US20220417020A1 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
CN113918984A (zh) 基于区块链的应用访问方法及系统、存储介质、电子设备
CN115150831A (zh) 入网请求的处理方法、装置、服务器及介质
JP5860421B2 (ja) 復号方法、復号システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant