CN111832001A - 基于区块链的身份管理方法及身份管理系统 - Google Patents
基于区块链的身份管理方法及身份管理系统 Download PDFInfo
- Publication number
- CN111832001A CN111832001A CN202010696191.5A CN202010696191A CN111832001A CN 111832001 A CN111832001 A CN 111832001A CN 202010696191 A CN202010696191 A CN 202010696191A CN 111832001 A CN111832001 A CN 111832001A
- Authority
- CN
- China
- Prior art keywords
- information
- user
- identity
- authentication
- application terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 100
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000013475 authorization Methods 0.000 claims description 31
- 230000007246 mechanism Effects 0.000 claims description 27
- 238000012795 verification Methods 0.000 claims description 19
- 239000004744 fabric Substances 0.000 claims description 6
- 230000001131 transforming effect Effects 0.000 claims description 4
- 230000002194 synthesizing effect Effects 0.000 claims description 3
- 239000010410 layer Substances 0.000 description 26
- 230000008569 process Effects 0.000 description 13
- 238000004590 computer program Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000013461 design Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012163 sequencing technique Methods 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000013524 data verification Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004321 preservation Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 241000234435 Lilium Species 0.000 description 1
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 239000002346 layers by function Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开实施例提供一种基于区块链的身份管理方法及身份管理系统,属于互联网技术领域。其中方法包括:接收应用终端发送的登录请求;输出需要用户鉴权的提示信息;在接收到用户鉴权后授权应用终端登录,并向应用终端返回目标用户的身份信息。通过基于区块链的身份管理系统,用户拥有并可以完全管理自己的数据,区块链仅用于分布式存储许可和完整性校验。为实现政务人员、公众、组织、设备、应用的统一可信的身份标识,建立以用户为中心的网络身份管理新模式,为逐步实现政务外网网络身份信息的互联互通和互信互认,消除身份信息孤岛,为实现实名制和个人隐私保护提供标准规范。
Description
技术领域
本公开涉及互联网技术领域,尤其涉及一种基于区块链的身份管理方法及身份管理系统。
背景技术
随着上世纪80年代计算机的出现,和90年代的互联网革命,身份信息的数字化成为不可逆的趋势。一方面,随着身份信息的多样化,身份验证成为新的需求;另一方面,当前身份验证存在数据获取和管理的成本越来越高,对同一个个人可识别信息PII(PersonallyIdentifiable Information)重复验证,由于数据保护不足导致的身份信息泄漏和身份欺诈等问题。
而现有的传统身份认证系统和数字身份系统多存在操作繁琐、信息易泄露、容错性低等缺点。随着互联网正在进入21世纪的全新阶段,身份信息也成为用户最宝贵的新资产。然而身份信息在应用中却出现了问题。由于互联网特殊的工作环境,身份信息在实际使用过程中出现的问题,集中体现在两个方面:
第一,伪造身份信息泛滥。因为没有成熟的数据验证机制,导致身份信息的造假成本极低。在中国,有两项统计数据:
学历造假:在中国,伪造假文凭的行为“日益猖獗”。最近的一次全国人口普查发现,填写具有大专以上学历的人数比国家实际培养的人数多出60万人。
婚恋社交信息造假:婚恋网站等社交信息也极易造假。在中国,尽管世纪佳缘、百合网等婚恋网站均设置了实名注册门槛,但信息审核存在漏洞:假身份、假学历也能轻易获得网站认证。
第二,隐私保护不足。事实上,在很多情况下,身份信息数据是不为身份持有人所掌控的,而是在获取服务时被服务商留存,在使用服务时新产生的数据也被服务商占有。
大多数云服务不会在合同终止的时候立即删除客户的数据。这让个人隐私受到很大挑战:一方面,服务方存在非法贩卖数据的可能,这将直接侵害到用户隐私。另一方面,身份数据随意复制,让身份数据管理非常困难。几乎每天都会看到数据泄露、滥用,或客户数据被卖给别人的新闻。
如上所述,在身份信息应用已经比较成熟的国家,验证的主要作用是防止欺诈,而对于那些生活在新兴市场的人来说,身份认证和验证的必要性,则体现在让更多的人能够更加便捷的享受到合理的、个性化的服务。
互联网发展到今天,市场上也逐渐出现致力于身份信息使用和共享的解决方案。在比对这些解决方案之前,需要区分以下三种概念:
身份建立:身份建立是指身份提供方为个人、法人实体、资产创建身份系统的过程。身份提供方合法持有可信信息,如姓名,出生日期,国籍,国家身份证号码和地址等。他们的作用是识别对象,签发身份证件,维护和管理身份信息。在中国,全国统一的身份证件是居民身份证。在美国驾驶证、社会安全号和护照都可以用作身份证明的证件。
身份鉴权:身份鉴权是指通过一定的手段,确认当前声称为某种身份的用户的真实性。鉴权的过程可能包括验证身份证件这个环节,服务提供商(如电信运营商,银行等)通过与身份提供方合作完成验证,并为用户鉴权。
身份验证:身份验证是指确认某个用户提交的身份信息(属性)是属于该用户的。身份验证涉及到三方:用户、服务提供商以及验证方。身份认证的应用场景非常广泛,例如获得社会援助(如老年保障,失业保险等)时,个人需要证明其拥有获得援助的资格。
身份建立一般由国家权威机构构建和管理。身份鉴权和身份验证的区别在于,身份验证的范围更广泛。一般情况,人们只需要拥有某唯一身份就能通过身份鉴权,获取基础服务。而随着服务类型的多样化、深入化,更多的服务需要丰富的身份信息,不是仅凭唯一身份就可以获得,这属于身份验证的范畴。
尽管在身份验证领域,已经出现一些政府或商业解决方案,但这些方案的不足也是显而易见的。比如:
a.聚焦于身份鉴权
不论是中国的eID,印度的Aadhaar项目,或爱沙尼亚的电子公民e-Residency系统,还是统一登录服务都旨在解决身份鉴权的问题。然而如今人们在互联网世界产生了大量、丰富的个人信息。地理位置、浏览偏好、交易记录、健康信息这些数据的整合和共享,能创造更大价值。显然身份验证比身份鉴权更困难,更有价值。
b.中心化系统的安全问题
第一,服务商采用中心化方式存储和管理个人身份信息,安全漏洞和单点故障不可避免。黑客攻破政府网络的事不在少数,客户银行卡/信用卡数据泄漏的事件,也多次见诸报端。
第二,服务商非法变卖个人身份信息。
c.拥有数据的人不能得到收益
身份数据掌握在诸如银行、运营商、电商平台等服务商手里,而这些服务商的主营业务并不是基于身份数据信息的,这种模式造成了拥有海量的身份数据并不带来价值的尴尬。
d.数据割裂
身份信息被分割掌握在不同商业主体手中,导致信息不能整合,不能发挥网络效用。比如,如果阿里和腾讯的数据能够整合,可以为很多无法享受银行服务的人提高征信分数。
可见,现有的数字身份系统多存在操作繁琐、信息易泄露、容错性低等缺点。
发明内容
有鉴于此,本公开实施例提供一种基于区块链的身份管理方法及身份管理系统,至少部分解决现有技术中存在的问题。
第一方面,本公开实施例提供了一种基于区块链的身份管理方法,应用于身份管理系统,所述身份管理系统基于区块链实现分布式存储和完整性校验用户的身份信息,所述身份管理系统与应用终端均连接;所述方法包括:
接收应用终端发送的登录请求,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
输出需要用户鉴权的提示信息;
在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
根据本公开实施例的一种具体实现方式,所述输出需要用户鉴权的提示信息的步骤,包括:
查询所述目标用户的身份信息和所述应用终端的标识信息是否在预设的单点登录授权列表内;
若所述目标用户的身份信息和所述应用终端的标识信息在预设的单点登录授权列表内,则直接授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息;
若所述目标用户的身份信息和所述应用终端的标识信息不在预设的单点登录授权列表内,则输出需要用户鉴权的提示信息。
根据本公开实施例的一种具体实现方式,所述身份管理系统还连接有用户终端;所述接收应用终端发送的登录请求的步骤之前,所述方法还包括:
接收用户终端发送的注册请求,其中,所述注册请求包括请求注册的目标用户的身份信息;
根据所述目标用户的身份信息,查询所述目标用户是否为已注册用户;
若所述目标用户不是已注册用户,将所述目标用户的身份信息发送至认证机构进行信息认证;
在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链。
根据本公开实施例的一种具体实现方式,所述将所述目标用户的身份信息发送至认证机构进行信息认证的步骤,包括:
确定待认证的所述身份信息对应的目标类型;
查找所述目标类型对应的目标认证机构;
将所述目标用户的身份信息发送至所述目标认证机构进行认证;
所述在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链的步骤,包括:
接收所述目标认证机构在认证所述身份信息通过后返回的认证信息;
将所述目标用户的所述身份信息和所述认证信息通过所述用户公钥加密整合后存储至所述区块链。
根据本公开实施例的一种具体实现方式,所述将所述目标用户的所述身份信息和所述认证信息通过所述用户公钥加密整合后存储至所述区块链的步骤,包括:
将所述身份信息和所述认证信息合成螺旋化链条信息;
所述区块链上的各分布式节点均复制所述螺旋化链条信息并存储。
第二方面,本公开实施例提供了一种身份管理系统,基于区块链实现分布式存储和完整性校验用户的身份信息,所述身份管理系统与应用终端均连接;所述身份管理系统包括:
接收模块,用于接收应用终端发送的登录请求,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
输出模块,用于输出需要用户鉴权的提示信息;
授权模块,用于在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
根据本公开实施例的一种具体实现方式,所述输出模块用于:
查询所述目标用户的身份信息和所述应用终端的标识信息是否在预设的单点登录授权列表内;
若所述目标用户的身份信息和所述应用终端的标识信息在预设的单点登录授权列表内,则直接授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息;
若所述目标用户的身份信息和所述应用终端的标识信息不在预设的单点登录授权列表内,则输出需要用户鉴权的提示信息。
根据本公开实施例的一种具体实现方式,所述身份管理系统还连接有用户终端;所述系统还包括注册模块,用于:
接收用户终端发送的注册请求,其中,所述注册请求包括请求注册的目标用户的身份信息;
根据所述目标用户的身份信息,查询所述目标用户是否为已注册用户;
若所述目标用户不是已注册用户,将所述目标用户的身份信息发送至认证机构进行信息认证;
在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链。
根据本公开实施例的一种具体实现方式,所述系统至少包括以下任一:
符合RFC1510/6595/7642规范的OpenID单点登陆系统
兼容RFC2617/7617/7235的HTTP认证框架
包含适配国密SM2离线SDK和在线接口的CPK-KMS调用
改造升级HyperLedger Fabric 2.1的联盟区块链架构。
第三方面,本公开实施例还提供了一种基于区块链的身份管理方法,所述方法包括:
应用终端根据目标用户的输入,生成登录请求,并将所述登录请求发送至身份管理系统,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
所述身份管理系统接收所述应用终端发送的登录请求,输出需要用户鉴权的提示信息;
所述身份管理系统在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
第四方面,本公开实施例还提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令用于使该计算机执行前述第一方面或第一方面的任一实现方式中的身份管理方法。
第五方面,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序,该计算机程序包括程序指令,当该程序指令被计算机执行时,使该计算机执行前述第一方面或第一方面的任一实现方式中的身份管理方法。
本公开实施例中的身份管理方案,主要包括:接收应用终端发送的登录请求,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;输出需要用户鉴权的提示信息;在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。通过基于区块链的身份管理系统,立足于电子政务外网的现状和现实需求,提升政务服务业务应用身份管理效率,为政府信息惠民及治理能力现代化目标提供有力支撑。用户拥有并可以完全管理自己的数据,区块链仅用于分布式存储许可和完整性校验。具体通过联盟链各个认证节点存储用户认证后的数据,来完成匿名私有数据的验证和共识,从而实现并完成身份认证授权认证,并供第三方审阅和政府监管。为实现政务人员、公众、组织、设备、应用的统一可信的身份标识,建立以用户为中心的网络身份管理新模式。为逐步实现政务外网网络身份信息的互联互通和互信互认,消除身份信息孤岛。为实现实名制和个人隐私保护提供标准规范。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本公开实施例提供的一种基于区块链的身份管理方法的流程示意图;
图2至图10为本公开实施例提供的基于区块链的身份管理方法的各具体实施方式的过程示意图;
图11为本公开实施例提供的一种身份管理系统的结构示意图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
本公开实施例提供一种基于区块链的身份管理方法。本实施例提供的身份管理方法可以由一计算装置来执行,该计算装置可以实现为软件,或者实现为软件和硬件的组合,该计算装置可以集成设置在服务器、终端设备等中。
参见图1,为本公开实施例提供的一种基于区块链的身份管理方法的流程示意图,所提供的身份管理方法应用于如图2所示的身份管理系统,所述身份管理系统基于区块链实现分布式存储和完整性校验用户的身份信息,所述身份管理系统与应用终端均连接。如图1所示,所述方法主要包括以下步骤:
S101,接收应用终端发送的登录请求,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
如图2和图3所示,为所应用的身份管理系统的整体架构示意图。其中,如图2所示,身份管理系统逻辑上分为前后端(对内、对外)两层,分别隶属于三大子模块,即区块链子模块(如图2中的右上区域)、管理子模块(如图2中的左侧区域)和转发子模块(如图2中的右下区域)。具体的,如图3所示,身份管理系统的前端分为用户层和展现层;中间由接口层衔接;接口层分为外部接口和内部接口,是与平台上前后端各个角色对接的中介;后端为服务层和数据层。
升级HyperLedger Fabric 2.1联盟区块链,使用经典IDV(IdentityVerification)User-Pass身份认证管理和传统OAuth2.0单点登录WebAPI的技术架构,采用微服务的构架对现有各系统模块进行拆分和重新组合,提高系统的访问速度、横向扩展能力和容错能力。如图3所示,主要包括以下功能层:
1用户层(前端)
可信身份认证平台面向普通用户、政务人员及管理人员、第三方应用机构提供管理及认证服务,同时面向管理人员提供分级授权的服务。不同身份角色的用户均可以通过互联网、移动互联网的http/https协议,在PC端或移动设备端,统一通过访问平台对外暴露的Web网站得到服务。
2展现层(前端)
展示层主要包括统一认证门户、后台管理系统和区块链浏览器,统一认证门户为用户登录认证的统一入口,支持账户传统用户名/口令登录,和PKI认证登录。
同时,第三方应用机构可以通过后台配置自己的应用,明确(声明)所需获得哪些用户数据。例如:某第三方应用(区块链浏览器),需要用户私钥,才能更改用户的登录状态。
3接口层
接口层分为外部接口和内部接口。是与平台上前后端各个角色对接的中介。
接口层通过封装一些标准接口,如认证服务、用户管理、第三方应用授权、单点登录、证书服务等接口,供应用或用户调用,实现统一认证、统一用户管理、统一组织机构管理等。
内部接口层主要包括:
a)WEB接口:提供HTTP或HTTPS协议的对外接口;
b)移动端接口:提供针对移动端优化的对外接口;
c)政务身份验证接口:提供给政务身份认证的签注接口;
d)应用提供商接口:提供给可以授权第三方单点登录的服务提供商的认证接口;
4服务层(后端)
根据高内聚和低耦合的设计方针,我们对各类应用和底层系统功能,均抽象出了微服务进行统一管理。微服务的各模块间相互独立,每个模块只完成产品需求子功能,并且与其他模块的联系最少且接口简单。
微服务架构也是去中心化管理的核心利器。它将复杂的匿名区块链应用服务,严格的实名认证和鉴权服务,灵活弹性且多样的第三方应用服务等,这些若干单一应用程序划分成一组小的服务,服务之间相互协调、互相配合,为用户提供最终价值。
每个服务运行在其独立的进程中,服务和服务之间采用轻量级的通信机制相互沟通。
5数据层(后端)
根据中国信息通信研究院、中国通信标准化协会的《区块链安全白皮书2018》,从技术架构设计的角度看,区块链技术典型应用架构呈四层的层次化划分,自下而上依次包含存储层、协议层、扩展层和应用层。
本实施例提供的身份管理方法,主要用于实现用户通过应用终端登录身份管理系统,实现身份信息的管理。具体的,如图4所示,为用户通过应用终端在身份管理系统请求登录的示意图。用户通过应用终端请求登录身份管理系统,应用终端根据用户输入,向身份管理系统发送登录请求,所发送的登录请求包括所请求登录的目标用户的身份信息和所述应用终端的标识信息。
S102,输出需要用户鉴权的提示信息;
为保证用户身份信息的安全性,用户在应用终端申请登录身份管理系统时,需要进行身份鉴权。身份管理系统则输出需要用户鉴权的提示信息,以提示应用终端的用户进行身份鉴权。
S103,在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
身份管理系统在接收到用户鉴权之后,即可授权该应用终端登录,提供给应用终端该目标用户的身份信息,此处的身份信息可以包括但不限于之前所接收的身份信息,具体可以包括:系统记录访问、授权、登录、登录状态等日志存证等。
进一步的,根据本公开实施例的一种具体实现方式,所述输出需要用户鉴权的提示信息的步骤,主要包括:
查询所述目标用户的身份信息和所述应用终端的标识信息是否在预设的单点登录授权列表内;
若所述目标用户的身份信息和所述应用终端的标识信息在预设的单点登录授权列表内,则直接授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息;
若所述目标用户的身份信息和所述应用终端的标识信息不在预设的单点登录授权列表内,则输出需要用户鉴权的提示信息。
如图4、图5和表1所示,本实施方式增设了针对应用终端在先登录状态选择授权方案的步骤。具体的,身份管理系统预先设有单点登录授权列表,将在先登录过得应用终端及对应用户存储在单点登录授权列表内。
表1
在接收到应用终端的登录请求时,先查询该目标用户的身份信息和应用终端的标识信息是否在预设的单点登录授权列表内,若在授权列表内的话就无需用户鉴权可直接授权登录,若不在授权列表内的话,则需要用户鉴权之后才能进行授权登录,提高了用户在应用终端管理身份信息的安全性。
此外,在上述实施例的基础上,根据本公开实施例的一种具体实现方式,所述身份管理系统还连接有用户终端;所述接收应用终端发送的登录请求的步骤之前,所述方法还可以包括:
接收用户终端发送的注册请求,其中,所述注册请求包括请求注册的目标用户的身份信息;
根据所述目标用户的身份信息,查询所述目标用户是否为已注册用户;
若所述目标用户不是已注册用户,将所述目标用户的身份信息发送至认证机构进行信息认证;
在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链。
如图6、图7和表2、表3所示,本实施方式中对身份管理系统在进行
表2
表3
用户身份管理之前的用户注册过程作了进一步限定。具体的,用户通过其用户终端发送注册请求到身份管理系统,身份管理系统先查询该目标用户是不是已注册用户,若不是已注册用户,则为该目标用户建立新用户账户,并将该身份信息发送至各认证机构进行认证,最后将所接收的身份信息通过用户公钥加密整合后存储至区块链。
进一步的,所述将所述目标用户的身份信息发送至认证机构进行信息认证的步骤,包括:
确定待认证的所述身份信息对应的目标类型;
查找所述目标类型对应的目标认证机构;
将所述目标用户的身份信息发送至所述目标认证机构进行认证;
所述在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链的步骤,包括:
接收所述目标认证机构在认证所述身份信息通过后返回的认证信息;
将所述目标用户的所述身份信息和所述认证信息通过所述用户公钥加密整合后存储至所述区块链。
具体的,所述将所述目标用户的所述身份信息和所述认证信息通过所述用户公钥加密整合后存储至所述区块链的步骤,包括:
将所述身份信息和所述认证信息合成螺旋化链条信息;
所述区块链上的各分布式节点均复制所述螺旋化链条信息并存储。
具体实施时,如图8和图9所示,私有数据和其签名配对的螺旋化链条,采用双螺旋结构认证。
例如,某用户存储的信息及其认证机构,认证结果如下:
手机号;“+86 13900012345”
经过通信供应商的验证,加上了“中国移动,全球通,北京”的签名;
身份证号:“110101200001010001X”
经过公安局的验证,加上了“中国公民”的签名;
社会保险号:“19293949N”
经过国家税务局的全球税务信息自动交换CRS的验证,加上了“美国公民”的签名;
血型:“RH+AB”
经过医疗卫生(病例)系统的验证,加上了“TRUE”的签名;
毕业学校:“日本早稻田大学”
经过日本教育部的验证,加上了“2017,医学博士,成绩优良”的签名;
邮箱账号:someone@qq.com
经过腾讯公司的验证,加上了“QQ邮箱,认证用户”的签名。
如图9所示,形成双链的同时,Fabric联盟链各个node peer节点将会对数据进行多重复制。这一过程好比数据备份,用于确保数据的保全,防止单点故障。多点冗余副本,系统分布式存储数据及其签名。
此外,在硬件支持上,所述身份管理系统包括以下部分:
符合RFC1510/6595/7642规范的OpenID单点登陆系统;
兼容RFC2617/7617/7235的HTTP认证框架;
包含适配国密SM2离线SDK和在线接口的CPK-KMS调用;
改造升级HyperLedger Fabric 2.1的联盟区块链架构;
融合并管理上述4功能的后台微服务、内部接口及后台。
其中最后的第五部分「管理系统」为连接上述四部分,并使之协同运转的本发明的关键。
本发明硬件系统服务端、应用端均采用标准x86-64通用服务器架构,可以方便部署在任意主流PC服务器或各类EC云端。采用开源软件架构,大大简化了客户端电脑载荷,减轻了系统维护与升级的成本和工作量,降低了用户的总体成本(TCO)。
除区块链集群外,其余管理系统和API设计采用B/S结构,通过互联网的http/https服务,使管理者、验证方、用户在任何地方通过一台可以连接至互联网的设备上的浏览器进行操作,而不用安装任何专门的软件。
综上所述,本系统的数据存储层服务单独抽象出区块链的存储层,并使其和其它分布式存储协同。加上管理系统子模块主要使用文件系统和KV数据库。同时采用传统文件系统构建二级缓存,缓存尚未共识存储入块数据,而只是在检索时使用“Key+Value”的键值数据库检索区块数据。
分布式存储节点和区块链对分散的数据存储节点进行统一管理,保证存储数据的一致性和完整性。同时也通过上层应用接口提供对外统一的数据验证、查询、获取服务,使本系统具有安全、可靠、高效、高容错等特点。
依托非对称加密机制提供安全属性保障。在区块链中,数据的加密解密、签名验签、认证校验等均以非对称加密机制实现,为数据的机密性、完整性、不可伪造性和隐私的保护提供不同程度的安全保障。
与上面的方法实施例相对应,参见图10,本公开实施例还提供了一种基于区块链的身份管理方法,所述方法包括:
S1001,应用终端根据目标用户的输入,生成登录请求,并将所述登录请求发送至身份管理系统,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
S1002,所述身份管理系统接收所述应用终端发送的登录请求,输出需要用户鉴权的提示信息;
S1003,所述身份管理系统在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
图10所示方法可以对应的执行上述方法实施例中的内容,本实施例未详细描述的部分,参照上述方法实施例中记载的内容,在此不再赘述。
参见图11,为本公开实施例提供的一种身份管理系统的模块框图,基于区块链实现分布式存储和完整性校验用户的身份信息,所述身份管理系统与应用终端均连接。所提供的身份管理系统同上述实施例中图和图3所提供的身份管理系统。具体的,如图11所示,所述身份管理系统110主要包括:
接收模块1101,用于接收应用终端发送的登录请求,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
输出模块1102,用于输出需要用户鉴权的提示信息;
授权模块1103,用于在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
根据本公开实施例的一种具体实现方式,所述输出模块1102用于:
查询所述目标用户的身份信息和所述应用终端的标识信息是否在预设的单点登录授权列表内;
若所述目标用户的身份信息和所述应用终端的标识信息在预设的单点登录授权列表内,则直接授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息;
若所述目标用户的身份信息和所述应用终端的标识信息不在预设的单点登录授权列表内,则输出需要用户鉴权的提示信息。
根据本公开实施例的一种具体实现方式,所述身份管理系统还连接有用户终端;所述系统还包括注册模块,用于:
接收用户终端发送的注册请求,其中,所述注册请求包括请求注册的目标用户的身份信息;
根据所述目标用户的身份信息,查询所述目标用户是否为已注册用户;
若所述目标用户不是已注册用户,将所述目标用户的身份信息发送至认证机构进行信息认证;
在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链。
根据本公开实施例的一种具体实现方式,所述系统至少包括以下任一:
符合RFC1510/6595/7642规范的OpenID单点登陆系统
兼容RFC2617/7617/7235的HTTP认证框架
包含适配国密SM2离线SDK和在线接口的CPK-KMS调用
改造升级HyperLedger Fabric 2.1的联盟区块链架构。
本实施例提供的身份管理系统主要涉及以下技术:
1、用户私有数据的定义和认证过程的DNA双螺旋结构。
构建以用户为中心的,私有数据公开匿名存储的,理想的身份验证体系。它应该是一个生态系统,包容尽量多的身份认证数据,但任何一家机构和数据提供方都不起主导作用。把每个用户认证后真实的私有数据,通过用户公钥加密整合后存入区块链。但同时可以满足让信息的所有权和使用权放在用户自己手中。
单链数据(信息)经过认证方认证并确定真实后形成的用户、认证方双向(信息-签名)对儿相连,使用链码API读写私有数据,实现联盟链上数据的增删改查和索引。
2、双螺旋结构不断复制,分布式存储过程至账本区块。
多点冗余的数据副本,调用系统底层分布式存储服务,将数据分布式存储于账本结构的区块中。这一过程好比数据备份,用于确保数据的保全,防止单点故障。
3、使用联盟链共识机制,对用户授权的私有数据进行上述过程的验证
Raft是一种基于etcd中Raft协议实现的崩溃容错(Crash Fault Tolerant,CFT)排序服务。Raft遵循“领导者跟随者”模型,这个模型中,在每个通道上选举领导者节点,其决策被跟随者复制。Raft排序服务会比基于Kafka的排序服务更容易设置和管理,它的设计允许不同的组织为分布式排序服务贡献节点。
在验证每个分布式节点同步区块数据的可用的排序服务时,可以在排序服务节点之间就严格的交易排序达成算法上共识。
4、加入缓存机制提高区块链世界状态的过程应用
系统的数据存储层服务单独抽象出区块链的存储层,并使其和其它分布式存储协同。加上管理系统子模块主要使用文件系统和KV数据库。同时采用传统文件系统构建二级缓存,缓存尚未共识存储入块数据,而只是在检索时使用“Key+Value”的键值数据库检索区块数据。
用快速的本地缓存读取取代区块链各Peer节点中那些耗费资源的查找操作。这种只读操作可以让用户在请求实时数据的时候优化性能,节省等待时间;同时又保证了数据不可篡改的真实性。
读取和解析操作只会在缓存中追加数据,不会修改。所以在校验通道里可以进行多线程的无锁操作。
根据目前负载评估,区块生成时间设定为5秒(更短则共识和同步太频繁,加之网络内耗,严重影响性能、效率、可用性、易用性),不能满足查询登录状态超时的需要。
所以发明设计并实现了区块链数据缓冲区(缓存池),用来缓存用户当前的登录状态,以满足跨域和SSO单点登录时的需要。终写入区块(永久不可篡改)的数据,不包括用户临时的(当前)状态。而能反应这些状态变化的过程数据,最终只作为log日志存证留在区块上,以满足监管和日后查询的需要,并不实际动态参与到应用中。
本公开实施例还提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令用于使该计算机执行前述方法实施例中的身份管理方法。
本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序,该计算机程序包括程序指令,当该程序指令被计算机执行时,使该计算机执行前述方法实施例中的身份管理方法。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备能够实现上述方法实施例提供的方案。
或者,上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备能够实现上述方法实施例提供的方案。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
应当理解,本公开的各部分可以用硬件、软件、固件或它们的组合来实现。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于区块链的身份管理方法,其特征在于,应用于身份管理系统,所述身份管理系统基于区块链实现分布式存储和完整性校验用户的身份信息,所述身份管理系统与应用终端均连接;所述方法包括:
接收应用终端发送的登录请求,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
输出需要用户鉴权的提示信息;
在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
2.根据权利要求1所述的方法,其特征在于,所述输出需要用户鉴权的提示信息的步骤,包括:
查询所述目标用户的身份信息和所述应用终端的标识信息是否在预设的单点登录授权列表内;
若所述目标用户的身份信息和所述应用终端的标识信息在预设的单点登录授权列表内,则直接授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息;
若所述目标用户的身份信息和所述应用终端的标识信息不在预设的单点登录授权列表内,则输出需要用户鉴权的提示信息。
3.根据权利要求2所述的方法,其特征在于,所述身份管理系统还连接有用户终端;所述接收应用终端发送的登录请求的步骤之前,所述方法还包括:
接收用户终端发送的注册请求,其中,所述注册请求包括请求注册的目标用户的身份信息;
根据所述目标用户的身份信息,查询所述目标用户是否为已注册用户;
若所述目标用户不是已注册用户,将所述目标用户的身份信息发送至认证机构进行信息认证;
在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链。
4.根据权利要求3所述的方法,其特征在于,所述将所述目标用户的身份信息发送至认证机构进行信息认证的步骤,包括:
确定待认证的所述身份信息对应的目标类型;
查找所述目标类型对应的目标认证机构;
将所述目标用户的身份信息发送至所述目标认证机构进行认证;
所述在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链的步骤,包括:
接收所述目标认证机构在认证所述身份信息通过后返回的认证信息;
将所述目标用户的所述身份信息和所述认证信息通过所述用户公钥加密整合后存储至所述区块链。
5.根据权利要求4所述的方法,其特征在于,所述将所述目标用户的所述身份信息和所述认证信息通过所述用户公钥加密整合后存储至所述区块链的步骤,包括:
将所述身份信息和所述认证信息合成螺旋化链条信息;
所述区块链上的各分布式节点均复制所述螺旋化链条信息并存储。
6.一种身份管理系统,其特征在于,基于区块链实现分布式存储和完整性校验用户的身份信息,所述身份管理系统与应用终端均连接;所述身份管理系统包括:
接收模块,用于接收应用终端发送的登录请求,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
输出模块,用于输出需要用户鉴权的提示信息;
授权模块,用于在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
7.根据权利要求6所述的系统,其特征在于,所述输出模块用于:
查询所述目标用户的身份信息和所述应用终端的标识信息是否在预设的单点登录授权列表内;
若所述目标用户的身份信息和所述应用终端的标识信息在预设的单点登录授权列表内,则直接授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息;
若所述目标用户的身份信息和所述应用终端的标识信息不在预设的单点登录授权列表内,则输出需要用户鉴权的提示信息。
8.根据权利要求7所述的系统,其特征在于,所述身份管理系统还连接有用户终端;所述系统还包括注册模块,用于:
接收用户终端发送的注册请求,其中,所述注册请求包括请求注册的目标用户的身份信息;
根据所述目标用户的身份信息,查询所述目标用户是否为已注册用户;
若所述目标用户不是已注册用户,将所述目标用户的身份信息发送至认证机构进行信息认证;
在接收到所述认证机构返回的信息认证通过的指示信息后,将所述目标用户的身份信息通过用户公钥加密整合后存储至区块链。
9.根据权利要求6至8中任一项所述的系统,其特征在于,所述系统至少包括以下任一:
符合RFC1510/6595/7642规范的OpenID单点登陆系统;
兼容RFC2617/7617/7235的HTTP认证框架;
包含适配国密SM2离线SDK和在线接口的CPK-KMS调用端口;
改造升级HyperLedger Fabric 2.1的联盟区块链架构。
10.一种基于区块链的身份管理方法,其特征在于,所述方法包括:
应用终端根据目标用户的输入,生成登录请求,并将所述登录请求发送至身份管理系统,其中,所述登录请求包括请求登录的目标用户的身份信息和所述应用终端的标识信息;
所述身份管理系统接收所述应用终端发送的登录请求,输出需要用户鉴权的提示信息;
所述身份管理系统在接收到用户鉴权后授权所述应用终端登录,并向所述应用终端返回所述目标用户的身份信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010696191.5A CN111832001B (zh) | 2020-07-20 | 2020-07-20 | 基于区块链的身份管理方法及身份管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010696191.5A CN111832001B (zh) | 2020-07-20 | 2020-07-20 | 基于区块链的身份管理方法及身份管理系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111832001A true CN111832001A (zh) | 2020-10-27 |
CN111832001B CN111832001B (zh) | 2024-05-24 |
Family
ID=72923678
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010696191.5A Active CN111832001B (zh) | 2020-07-20 | 2020-07-20 | 基于区块链的身份管理方法及身份管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111832001B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112104665A (zh) * | 2020-11-02 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 基于区块链的身份验证方法、装置、计算机以及存储介质 |
CN115022017A (zh) * | 2022-05-31 | 2022-09-06 | 中国银行股份有限公司 | 基于区块链的手机银行登录验证方法及装置 |
CN115550414A (zh) * | 2022-09-15 | 2022-12-30 | 中国平安人寿保险股份有限公司 | 跨域的会话数据处理方法和装置、设备、介质 |
CN116776389A (zh) * | 2023-08-15 | 2023-09-19 | 中电科大数据研究院有限公司 | 一种基于区块链的医疗行业数据安全监管系统 |
Citations (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050120214A1 (en) * | 2003-12-02 | 2005-06-02 | Microsoft Corporation | Systems and methods for enhancing security of communication over a public network |
US20060005234A1 (en) * | 2004-06-30 | 2006-01-05 | International Business Machines Corporation | Method and apparatus for handling custom token propagation without Java serialization |
US20070005964A1 (en) * | 2005-06-30 | 2007-01-04 | Grosse Eric H | Methods and apparatus for authenticating a remote service to another service on behalf of a user |
WO2008073606A2 (en) * | 2006-11-02 | 2008-06-19 | Legitimi Limited | Access control system based on a hardware and software signature of a requesting device |
US20130091534A1 (en) * | 2005-01-26 | 2013-04-11 | Lockdown Networks, Inc. | Network appliance for customizable quarantining of a node on a network |
US20130298197A1 (en) * | 2012-05-03 | 2013-11-07 | At&T Intellectual Property I, L.P. | Device-based authentication for secure online access |
US20160284009A1 (en) * | 2015-03-25 | 2016-09-29 | Ebay Inc. | Listing services within a networked environment |
WO2017036003A1 (zh) * | 2015-09-01 | 2017-03-09 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
CN106534102A (zh) * | 2016-10-31 | 2017-03-22 | 北京小米移动软件有限公司 | 设备访问的方法及装置、电子设备 |
CN108234515A (zh) * | 2018-01-25 | 2018-06-29 | 中国科学院合肥物质科学研究院 | 一种基于智能合约的自认证数字身份管理系统及其方法 |
CN109005186A (zh) * | 2018-08-20 | 2018-12-14 | 杭州复杂美科技有限公司 | 一种隔离用户身份信息的方法、系统、设备和存储介质 |
CN109584071A (zh) * | 2018-11-28 | 2019-04-05 | 青岛逸海蓝图信息科技有限公司 | 区块链处理方法和电子设备 |
CN109756469A (zh) * | 2017-11-08 | 2019-05-14 | 深圳竹云科技有限公司 | 一种公用账号管理方法、装置及计算机可读存储介质 |
CN109936569A (zh) * | 2019-02-21 | 2019-06-25 | 领信智链(北京)科技有限公司 | 一种基于以太坊区块链的去中心化数字身份登录管理系统 |
WO2019191369A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating access to publish or post utilizing frictionless two-factor authentication |
CN110505201A (zh) * | 2019-07-10 | 2019-11-26 | 平安科技(深圳)有限公司 | 会议信息处理方法、装置、计算机设备和存储介质 |
CN110555029A (zh) * | 2019-09-06 | 2019-12-10 | 腾讯科技(深圳)有限公司 | 基于区块链的票务管理方法、装置及存储介质 |
CN111046352A (zh) * | 2019-12-13 | 2020-04-21 | 浙江师范大学 | 一种基于区块链的身份信息安全授权系统与方法 |
CN111247521A (zh) * | 2017-10-31 | 2020-06-05 | 微软技术许可有限责任公司 | 将多用户设备远程锁定为用户集合 |
CN111259368A (zh) * | 2019-11-07 | 2020-06-09 | 深圳市远行科技股份有限公司 | 一种登录系统的方法及设备 |
CN111353175A (zh) * | 2020-05-22 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、设备、区块链系统及存储介质 |
-
2020
- 2020-07-20 CN CN202010696191.5A patent/CN111832001B/zh active Active
Patent Citations (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050120214A1 (en) * | 2003-12-02 | 2005-06-02 | Microsoft Corporation | Systems and methods for enhancing security of communication over a public network |
US20060005234A1 (en) * | 2004-06-30 | 2006-01-05 | International Business Machines Corporation | Method and apparatus for handling custom token propagation without Java serialization |
US20130091534A1 (en) * | 2005-01-26 | 2013-04-11 | Lockdown Networks, Inc. | Network appliance for customizable quarantining of a node on a network |
US20070005964A1 (en) * | 2005-06-30 | 2007-01-04 | Grosse Eric H | Methods and apparatus for authenticating a remote service to another service on behalf of a user |
WO2008073606A2 (en) * | 2006-11-02 | 2008-06-19 | Legitimi Limited | Access control system based on a hardware and software signature of a requesting device |
US20130298197A1 (en) * | 2012-05-03 | 2013-11-07 | At&T Intellectual Property I, L.P. | Device-based authentication for secure online access |
US20160284009A1 (en) * | 2015-03-25 | 2016-09-29 | Ebay Inc. | Listing services within a networked environment |
WO2017036003A1 (zh) * | 2015-09-01 | 2017-03-09 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
CN106534102A (zh) * | 2016-10-31 | 2017-03-22 | 北京小米移动软件有限公司 | 设备访问的方法及装置、电子设备 |
CN111247521A (zh) * | 2017-10-31 | 2020-06-05 | 微软技术许可有限责任公司 | 将多用户设备远程锁定为用户集合 |
CN109756469A (zh) * | 2017-11-08 | 2019-05-14 | 深圳竹云科技有限公司 | 一种公用账号管理方法、装置及计算机可读存储介质 |
CN108234515A (zh) * | 2018-01-25 | 2018-06-29 | 中国科学院合肥物质科学研究院 | 一种基于智能合约的自认证数字身份管理系统及其方法 |
WO2019191369A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating access to publish or post utilizing frictionless two-factor authentication |
CN109005186A (zh) * | 2018-08-20 | 2018-12-14 | 杭州复杂美科技有限公司 | 一种隔离用户身份信息的方法、系统、设备和存储介质 |
CN109584071A (zh) * | 2018-11-28 | 2019-04-05 | 青岛逸海蓝图信息科技有限公司 | 区块链处理方法和电子设备 |
CN109936569A (zh) * | 2019-02-21 | 2019-06-25 | 领信智链(北京)科技有限公司 | 一种基于以太坊区块链的去中心化数字身份登录管理系统 |
CN110505201A (zh) * | 2019-07-10 | 2019-11-26 | 平安科技(深圳)有限公司 | 会议信息处理方法、装置、计算机设备和存储介质 |
CN110555029A (zh) * | 2019-09-06 | 2019-12-10 | 腾讯科技(深圳)有限公司 | 基于区块链的票务管理方法、装置及存储介质 |
CN111259368A (zh) * | 2019-11-07 | 2020-06-09 | 深圳市远行科技股份有限公司 | 一种登录系统的方法及设备 |
CN111046352A (zh) * | 2019-12-13 | 2020-04-21 | 浙江师范大学 | 一种基于区块链的身份信息安全授权系统与方法 |
CN111353175A (zh) * | 2020-05-22 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、设备、区块链系统及存储介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112104665A (zh) * | 2020-11-02 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 基于区块链的身份验证方法、装置、计算机以及存储介质 |
CN115022017A (zh) * | 2022-05-31 | 2022-09-06 | 中国银行股份有限公司 | 基于区块链的手机银行登录验证方法及装置 |
CN115550414A (zh) * | 2022-09-15 | 2022-12-30 | 中国平安人寿保险股份有限公司 | 跨域的会话数据处理方法和装置、设备、介质 |
CN115550414B (zh) * | 2022-09-15 | 2024-05-14 | 中国平安人寿保险股份有限公司 | 跨域的会话数据处理方法和装置、设备、介质 |
CN116776389A (zh) * | 2023-08-15 | 2023-09-19 | 中电科大数据研究院有限公司 | 一种基于区块链的医疗行业数据安全监管系统 |
CN116776389B (zh) * | 2023-08-15 | 2023-11-24 | 中电科大数据研究院有限公司 | 一种基于区块链的医疗行业数据安全监管系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111832001B (zh) | 2024-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Elisa et al. | A framework of blockchain-based secure and privacy-preserving E-government system | |
CN110557975B (zh) | 用于多租户身份云服务的租户数据比较 | |
EP3777077B1 (en) | Local write for a multi-tenant identity cloud service | |
Lim et al. | Blockchain technology the identity management and authentication service disruptor: a survey | |
CN108701182B (zh) | 多租户身份云服务的数据管理 | |
CN112088373B (zh) | 用于多租户身份云服务的声明性第三方身份提供者集成 | |
KR102041941B1 (ko) | 멀티-테넌트 아이덴티티 및 데이터 보안 관리 클라우드 서비스 | |
CN112154639B (zh) | 在没有用户足迹的情况下的多因素认证 | |
CN112913208B (zh) | 具有内部部署的认证集成和桥接器高可用性的多租户身份云服务 | |
CN111832001B (zh) | 基于区块链的身份管理方法及身份管理系统 | |
US7926089B2 (en) | Router for managing trust relationships | |
EP3566419A1 (en) | Cross-region trust for a multi-tenant identity cloud service | |
WO2021050169A1 (en) | Multi-tenant identity cloud service with on-premise authentication integration | |
Laborde et al. | A user-centric identity management framework based on the W3C verifiable credentials and the FIDO universal authentication framework | |
Alonso et al. | An identity framework for providing access to FIWARE OAuth 2.0-based services according to the eIDAS European regulation | |
Ates et al. | An identity-centric internet: identity in the cloud, identity as a service and other delights | |
CN112053274A (zh) | 政务区块链网络的构建向导方法及装置 | |
Zhang et al. | FutureText: A blockchain-based contract signing prototype with security and convenience | |
Thomas et al. | An attribute assurance framework to define and match trust in identity attributes | |
US11563585B1 (en) | Systems and methods for smart contracts including arbitration attributes | |
Duan et al. | IDentiaTM-an identity bridge integrating openID and SAML for enhanced identity trust and user access control | |
KR20200082186A (ko) | 법률 문서 자동 작성 방법 및 시스템 | |
US20230403279A1 (en) | Internet protocol (ip) whitelisting for signed uniform resource locators (urls) | |
CN114793237A (zh) | 基于区块链技术的智慧城市数据共享方法、设备及介质 | |
NATH PANDEY | Secure IDMS for Cloud Computing Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |