CN111932426B - 一种基于可信硬件的身份管理方法、装置及设备 - Google Patents

一种基于可信硬件的身份管理方法、装置及设备 Download PDF

Info

Publication number
CN111932426B
CN111932426B CN202010967516.9A CN202010967516A CN111932426B CN 111932426 B CN111932426 B CN 111932426B CN 202010967516 A CN202010967516 A CN 202010967516A CN 111932426 B CN111932426 B CN 111932426B
Authority
CN
China
Prior art keywords
user
digital identity
distributed digital
identity
distributed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010967516.9A
Other languages
English (en)
Other versions
CN111932426A (zh
Inventor
杨仁慧
李书博
陈远
杨文玉
刘勤
熊琴
张盛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202010967516.9A priority Critical patent/CN111932426B/zh
Priority to CN202110088826.8A priority patent/CN113012008B/zh
Publication of CN111932426A publication Critical patent/CN111932426A/zh
Application granted granted Critical
Publication of CN111932426B publication Critical patent/CN111932426B/zh
Priority to US17/359,487 priority patent/US11386191B2/en
Priority to EP21181969.3A priority patent/EP3968191B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2255Hash tables
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Abstract

本说明书实施例公开了一种基于可信硬件的身份管理方法、装置及设备。该方案可以包括:根据可信硬件的用户的个人身份信息及该可信硬件的硬件标识信息,生成分布式数字身份标识绑定请求;发送该分布式数字身份标识绑定请求至分布式身份服务器,以令该分布式身份服务器在区块链网络中建立并存储该用户的分布式数字身份标识与该可信硬件之间的对应关系,从而令用户可以通过该可信硬件进行个人身份及数据的管理。

Description

一种基于可信硬件的身份管理方法、装置及设备
技术领域
本申请涉及互联网技术领域,尤其涉及一种基于可信硬件的身份管理方法、装置及设备。
背景技术
在日常生活中,用户在办理各项业务时,通常需出示办理业务所需的各种数据,并证明其出示的数据的可信性,以便于业务提供方根据用户出示的数据,向用户提供相应的服务。目前,用户在获取办理业务所需的可信数据时,通常需要向权威机构手动出示其个人证件,以便于权威机构根据用户出示的证件对该用户进行身份验证。若验证通过,则可向该用户提供其所需的加盖该权威机构的公章的打印数据。
基于此,如何提供一种使用更加便捷的管理用户身份、数据的方法成为了一种亟需解决的问题。
发明内容
本说明书实施例提供一种基于可信硬件的身份管理方法、装置及设备,以提升用户管理个人身份、数据时的操作便捷性。
为解决上述技术问题,本说明书实施例是这样实现的:
本说明书实施例提供的一种基于可信硬件的身份管理方法,包括:
获取可信硬件的用户的个人身份信息;
获取所述可信硬件的硬件标识信息;
根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
发送所述分布式数字身份标识绑定请求至分布式身份服务器。
本说明书实施例提供的一种分布式数字身份标识管理方法,包括:
获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识;
若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
本说明书实施例提供的一种基于可信硬件的身份管理装置,包括:
第一获取模块,用于获取可信硬件的用户的个人身份信息;
第二获取模块,用于获取所述可信硬件的硬件标识信息;
请求生成模块,用于根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
第一发送模块,用于发送所述分布式数字身份标识绑定请求至分布式身份服务器。
本说明书实施例提供的一种分布式数字身份标识管理装置,包括:
获取模块,用于获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
查询模块,用于响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识;
第一建立模块,用于若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
本说明书实施例提供的一种基于可信硬件的身份管理设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取可信硬件的用户的个人身份信息;
获取所述可信硬件的硬件标识信息;
根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
发送所述分布式数字身份标识绑定请求至分布式身份服务器。
本说明书实施例提供的一种分布式数字身份标识管理设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识;
若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
本说明书中提供的至少一个实施例能够实现以下有益效果:
根据可信硬件的用户的个人身份信息及该可信硬件的硬件标识信息,生成分布式数字身份标识绑定请求;发送该分布式数字身份标识绑定请求至分布式身份服务器,以令该分布式身份服务器在区块链网络中建立并存储该用户的分布式数字身份标识与该可信硬件之间的对应关系,从而令该用户可以通过该可信硬件对个人身份及数据进行便捷地管理。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例提供的一种基于可信硬件的身份管理方法的流程示意图;
图2为本说明书实施例提供的一种分布式数字身份标识管理方法的流程示意图;
图3为本说明书实施例提供的对应于图1的一种基于可信硬件的身份管理装置的结构示意图;
图4为本说明书实施例提供的对应于图2的一种分布式数字身份标识管理装置的结构示意图;
图5为本说明书实施例提供的对应于图1的一种基于可信硬件的身份管理设备的结构示意图;
图6为本说明书实施例提供的对应于图2的一种分布式数字身份标识管理设备的结构示意图。
具体实施方式
为使本说明书一个或多个实施例的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书一个或多个实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书一个或多个实施例保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
现有技术中,当用户办理业务时通常需要向业务提供方提供办理业务所需的数据,并自证其出示的数据的可信性。因此,用户通常会向权威机构手动出示其个人证件,以便于权威机构在根据用户证件对该用户身份验证通过后,向该用户提供其所需的加盖该权威机构公章的打印数据。可见,这种需用户手动出示个人证件以获取可信数据的方法的使用便捷性较差。
为了解决现有技术中的缺陷,本方案给出了以下实施例:
图1为本说明书实施例提供的一种基于可信硬件的身份管理方法的流程示意图。从程序角度而言,该流程的执行主体可以为可信硬件,或者也可以为用于管理用户身份、数据的应用客户端,或者还可以为用于管理用户身份、数据的应用服务端。在实际应用中,该用于管理用户身份、数据的应用客户端既可以部署于可信硬件中,也可以部署于可信硬件外,对此不作具体限定。只需该用于管理用户身份、数据的应用客户端及应用服务端可以与可信硬件通信连接即可。如图1所示,该流程可以包括以下步骤:
步骤102:获取可信硬件的用户的个人身份信息。
在本说明书实施例中,用户若需要利用可信硬件对个人身份及可信数据进行管控,则需要建立该用户的身份信息与该可信硬件之间的对应关系。因此,可以先获取用户的个人身份信息及该可信硬件的硬件标识信息,以便于基于上述获取到的信息建立用户身份与可信硬件之间的对应关系。
其中,可信硬件是可信计算的重要基础之一,基于可信硬件可以在硬件设备上构建一个可信执行环境(Trusted Execution Environments),以保护可信硬件中的程序代码和数据免于被披露及被修改,进而可以保护可信硬件中的数据的隐私和安全。可信硬件的类型有多种,例如,英特尔的SGX、ARM TrustZone等可信芯片。在本说明书实施例中,对于可信硬件所采用的具体型号不作具体限定。该可信硬件还可以包括搭载有可信芯片的终端设备或服务器等。
其中,可信硬件的用户可以指具有对可信硬件的使用权限或者所有权的用户。用户的个人身份信息可以包含能够确定出该用户的身份的信息,例如,用户的身份证号信息、户口信息、联系方式信息等。
在实际应用中,步骤102的实现方式可以有多种,例如,用户可以在用于管理用户身份、数据的应用的应用界面中去输入个人身份信息;或者,用户可以使用图像采集设备去采集个人证件图像;或者,用户可以通过音频采集设备去采集包含个人身份信息的音频等,以令图1中方法的执行主体可以获取到该用户的个人身份信息,对此不作具体限定。
步骤104:获取所述可信硬件的硬件标识信息。
在本说明书实施例中,可信硬件的硬件标识信息可以指用于标识该可信硬件的信息,该可信硬件的硬件标识信息通常需保证与其他可信硬件相比唯一且不变。在实际应用中,该可信硬件的硬件标识信息既可以是可信硬件的提供商为该可信硬件生成的唯一标识信息,也可以是用于管理用户身份、数据的应用为该可信硬件生成的唯一标识信息,对此不作具体限定。
在本说明书实施例中,由于可信硬件中存储的信息不可篡改,从而可以保证该可信硬件中存储的数据的可信性。因此,可以将可信硬件的硬件标识信息存储于该可信硬件中。当用户需利用该可信硬件管理个人身份、数据时,图1中方法的执行主体可以自动请求获取该可信硬件中存储的硬件标识信息,方便快捷,且能够保证获取到的可信硬件的硬件标识信息的可信性。或者,用户也可以在用于管理用户身份及数据的应用的应用界面中去输入可信硬件的硬件标识信息,对此不作具体限定。
步骤106:根据所述个人身份信息及所述硬件标识信息生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
在本说明书实施例中,区块链(Block chain),可以理解为是多个区块顺序存储构成的数据链,每个区块的区块头都包含有本区块的时间戳、前一个区块信息的哈希值和本区块信息的哈希值,由此实现区块与区块之间的相互验证,构成不可篡改的区块链。每个区块都可以理解为是一个数据块(存储数据的单元)。区块链作为一种去中心化的数据库,是一串使用密码学方法相互关联产生的数据块,每一个数据块中包含了一次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块与区块首尾相连形成的链,即为区块链。若需要修改块内数据,则需要修改此区块之后所有区块的内容,并将区块链网络中所有节点备份的数据进行修改。因此,区块链具有难以篡改、删除的特点,在数据已保存至区块链后,其作为一种保持内容完整性的方法具有可靠性。
在本说明书实施例中,可以通过区块链平台提供分布式数字身份服务。具体的,用户可以通过用于管理用户的身份及数据的应用服务端去请求分布式身份服务器(Decentralized Identity Service,DIS)来创建个人的分布式数字身份标识(Decentralized Identitfiers,DID)以及分布式数字身份标识的文档(DecentralizedIdentitfiers Document,DID Doc),且用户的DID及DID Doc均可以存储在区块链平台中。
其中,DIS是一种基于区块链的身份管理方案,DIS服务器可以与区块链平台相连,并提供数字身份的创建、验证和管理等功能,从而实现规范化地管理和保护实体数据,同时保证信息流转的真实性和效率,并可以解决跨机构的身份认证和数据合作等难题。
步骤108:发送所述分布式数字身份标识绑定请求至分布式身份服务器。以便于分布式身份服务器建立用户的分布式数字身份标识与可信硬件之间的对应关系。
在本说明书实施例中,分布式身份服务器DIS可以响应于该分布式数字身份标识绑定请求,在用户的分布式数字身份标识的文档中存储所述用户的分布式数字身份标识与所述可信硬件的硬件标识信息之间的对应关系信息,从而实现对用户的分布式数字身份标识与可信硬件之间的对应关系的建立。
应当理解,本说明书一个或多个实施例所述的方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。
图1中的方法,通过根据可信硬件的用户的个人身份信息及该可信硬件的硬件标识信息,生成分布式数字身份标识绑定请求;发送该分布式数字身份标识绑定请求至分布式身份服务器,以令该分布式身份服务器在区块链网络中建立并存储该用户的分布式数字身份标识与该可信硬件之间的对应关系,从而令该用户可以通过该可信硬件对个人身份及数据进行便捷地管理。
基于图1的方法,本说明书实施例还提供了该方法的一些具体实施方案,下面进行说明。
在本说明书实施例中,步骤108:发送所述分布式数字身份标识绑定请求至分布式身份服务器之后,还可以包括:
接收所述分布式身份服务器反馈的私钥;所述私钥为所述分布式身份服务器针对所述对应关系生成的密钥对中的私钥;所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内。
存储所述私钥至所述可信硬件。
在本说明书实施例中,用户可以使用可信硬件中存储的私钥对需发送至其他用户的用户指令或用户数据进行数字签名。而其他用户则可以从区块链网络中获取该用户的公钥,以对获取到的数字签名后的用户指令或用户数据进行签名验证。若验证通过,则可以表示该数字签名后的用户指令为用户本人授权生成的指令,或者,可以表示该数字签名后的用户数据为用户认证的数据。从而用户无需再去手动出示个人身份信息,以证明个人身份,即可以令其他用户验证该用户发送的用户指令及用户数据的可信性。使得用户可以通过可信硬件去对个人身份及数据进行便捷地管理。
在实际应用中,一个用户DID可以与多个可信硬件建立对应关系,此时,只需令DIS服务器针对每个可信硬件生成不同的密钥对即可。从而令一个用户可以使用多个可信硬件对身份及数据进行管理,有利于提升用户体验。
在本说明书实施例中,不仅用户可以去DIS系统处注册个人DID,用于管理用户身份及数据的应用程序也可以去DIS服务器处注册该应用的DID。
因此,根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求之前,还可以包括:
获取目标应用在注册所述目标应用的分布式数字身份标识的过程中发送的应用识别信息。
在本说明书实施例中,该目标应用与用于管理用户身份及数据的应用程序可以为同一应用。该目标应用的应用识别信息可以指用于识别应用程序为该目标应用的信息,例如,目标应用的唯一标识信息、目标应用所属企业的企业唯一标识信息等,其中,目标应用所属企业的企业唯一标识信息可以为该企业的营业执照编号信息等,对此不作具体限定。可见,该目标应用的应用识别信息相当于用户的个人身份信息。
在本说明书实施例中,为便于用户使用目标应用对可信硬件进行管理,因此,根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求,具体可以包括:
所述目标应用根据所述个人身份信息、所述硬件标识信息及所述应用识别信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述用户的目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识。
在本说明书实施例中,当用户利用目标应用去建立个人DID时,创建的用户DID与该目标应用DID之间也具有对应关系。而在用户利用目标应用去绑定可信应用与用户DID的对应关系时,则需要采用与目标应用DID对应的用户DID去与可信硬件进行绑定,从而便于用户利用目标应用对个人身份和数据进行管控。在实际应用,用户还可以使用其他应用程序去创建个人DID,此时,创建的用户DID则与该其他应用程序对应。同理,用户使用其他应用程序绑定可信硬件与用户DID之间的对应关系时,则可以使用与该其他应用的DID对应的用户DID去与可信硬件进行绑定,对此不再赘述。
在本说明书实施例中,用户可能需要多次使用可信数据,从而使得用户需要多次去权威机构处请求获取加盖公章后的打印数据。这种对用户的可信数据进行使用、管控的方式操作较为繁琐,给用户带来了不便。
而本说明书实施例中,提供了多种利用可信硬件对用户的可信数据进行管理的实现方式。
方式一
用户可以利用可信硬件去请求安全应用程序生成目标数据,从而通过可信硬件对安全应用程序生成的目标数据进行使用及管控。
在本实现方式中,在分布式身份服务器DIS建立用户的DID与可信硬件之间的对应关系,并生成针对该对应关系的密钥对,将该秘钥对中的私钥存储至该可信硬件之后,还可以包括:
获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的目标数据;所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据。
响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,生成使用授权信息。
利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息。
发送所述数字签名后使用授权信息至所述安全应用程序。
该安全应用程序在利用从区块链网络中的该用户的DID Doc中获取的公钥对该数字签名后使用授权信息验证通过后,则可以运行该安全应用程序,去从可信机构处获取该用户的用户业务数据,并对该用户业务数据进行处理,以生成目标数据。
该安全应用程序还可以向该用户及数据使用方反馈表示已生成目标数据的处理结果,从而令该用户及数据使用方可以从该安全应用程序处取得其生成的目标数据。
其中,安全应用程序(Trusted Application,TAPP)可以指运行于可信执行环境(Trusted Execution Environment,TEE)中的应用程序,该安全应用程序运行时可以根据指定计算规则对从可信数据源处获取的数据进行处理以生成目标数据。由于该安全应用程序运行于可信执行环境内,从而使得该安全应用程序及该安全应用程序生成的目标数据具有不可篡改的特性,且由于该安全应用程序用于对从可信数据源处获取的数据进行处理,从而可以保证该安全应用程序生成的目标数据的可信性。且由于该安全应用程序生成的目标数据是对用户原始业务数据进行处理而得到的,通过令数据使用方仅能获取到该目标数据,而无法获取到生成该目标数据所涉及的用户原始数据,以提升用户原始业务数据的安全性及隐私性。
在实际应用中,安全应用程序既可以存储于可信硬件中,也可以存储于用于管理用户身份、数据的应用客户端或应用服务端,或者,还可以存储于与该应用客户端或应用服务端通信连接的可信服务器中,对此不作具体限定。
具体的,所述安全应用程序可以搭载于目标设备中的可信执行环境内,所述可信执行环境与所述目标设备的操作系统隔离。所述安全应用程序可以通过所述可信执行环境中的代码中预先定义的接口,从所述可信机构处获取所述用户的用户业务数据。
其中,可信执行环境(Trusted Execution Environment, TEE)可以是基于CPU硬件的安全扩展,且与外部完全隔离的可信执行环境。目前工业界十分关注TEE的方案,几乎所有主流的芯片和软件联盟都有自己的TEE解决方案,比如软件方面的TPM(TrustedPlatform Module,可信赖平台模块)以及硬件方面的Intel SGX(Software GuardExtensions, 软件保护扩展)、ARM Trustzone(信任区)和AMD PSP(Platform SecurityProcessor,平台安全处理器)等。TEE可以起到硬件黑箱作用,在TEE中执行的代码和数据即便是操作系统层都无法偷窥,只有通过代码中预先定义的接口才能对其进行操作。在效率方面,由于TEE的黑箱性质,在TEE中进行运算的是明文数据,而不是同态加密中复杂的密码学运算,计算过程效率几乎没有损失。因此,通过在TEE环境中部署的程序去从可信机构处获取用户的用户业务数据,并对获取到的用户业务数据件处理,可以在性能损失相对较小的前提下很大程度上满足数据隐私需求。且由于可信执行环境内的程序及数据具有不可篡改性,从而可以提升基于该TEE中部署的程序生成的目标数据的可信度。
其中,可信机构可以指能够提供具有高可信度的数据的机构,例如,可信机构可以包括银行、税务局、权威征信机构、商务平台等,其中,银行可以提供可信的工资流水数据,税务局可以提供可信的缴税记录,权威征信机构可以提供可信的信用报告,商务平台可以提供可信的商家的交易流水数据等。对此不作具体限定。
方式二
用户还可以将需要利用可信硬件进行管理的目标数据预先存储至可信硬件中。
在本实现方式中,在分布式身份服务器DIS建立用户的DID与可信硬件之间的对应关系,并生成针对该对应关系的密钥对,将该秘钥对中的私钥存储至该可信硬件之后,还可以包括:
获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述可信硬件中存储的所述用户的目标数据。可信硬件中存储的目标数据可以是从可信机构处获取的数据。
响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,利用所述私钥对所述目标数据进行数字签名,得到数字签名后目标数据。
发送所述数字签名后目标数据至所述数据使用方。
该数据使用方在利用从区块链网络中的该用户的DID Doc中获取的公钥,对该数字签名后目标数据验证通过后,则可以确定该目标数据确实为该用户认证后的数据。且由于可信硬件中存储的数据不可篡改,从而可以保证数据使用方获取到的数据的可信度。使得用户通过可信硬件对其目标数据的使用情况进行便捷地管控。
在本说明书实施例中,为避免其他用户盗用可信硬件,图1中的方法,还可以包括:
获取所述用户对于所述可信硬件的使用权限验证方式的设置操作。
根据所述设置操作,确定所述可信硬件的使用权限验证方式。
若识别出当前用户对所述可信硬件执行操作,则采用确定出的所述使用权限验证方式对所述当前用户进行身份验证。
若验证通过,则响应所述操作。而若验证未通过,则可以拒绝响应所述操作。从而避免其他用户盗用用户的可信硬件。
基于同样的思路,图2为本说明书实施例提供的一种分布式数字身份标识管理方法的流程示意图。从程序角度而言,流程的执行主体可以为分布式身份服务器。
如图2所示,该流程可以包括以下步骤:
步骤202:获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
步骤204:响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识。
步骤206:若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。并将所述用户的分布式数字身份标识与所述可信硬件的硬件标识信息的对应关系信息存储至该用户的分布式数字身份标识的文档中。
在实际应用中,若分布式身份服务器未查询到所述用户的分布式数字身份标识,则可以表示还未创建该用户的DID,从而可以先创建所述用户的分布式数字身份标识;再建立创建的所述用户的分布式数字身份标识与所述可信硬件的对应关系。
应当理解,本说明书一个或多个实施例所述的方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。
图2中的方法,分布式身份服务器可以根据可信硬件或者用于管理用户身份、数据的应用程序发送的分布式数字身份标识绑定请求,在区块链网络中建立并存储该用户的DID与该可信硬件之间的对应关系,从而令该用户可以通过该可信硬件对个人身份、数据进行便捷地管理。
基于图2的方法,本说明书实施例还提供了该方法的一些具体实施方案,下面进行说明。
在本说明书实施例中,所述获取分布式数字身份标识绑定请求,具体可以包括:
获取目标应用生成的分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识。
对应的,所述查询所述用户的分布式数字身份标识,具体可以包括:查询所述目标分布式数字身份标识。
若查询到所述用户的目标分布式数字身份标识,则建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系。从而令用户可以通过目标应用对可信硬件进行管控,进而基于该可信硬件对用户的身份及数据进行便捷地管理。
在本说明书实施例中,所述建立所述用户的分布式数字身份标识与所述可信硬件的对应关系之后,还可以包括:
生成针对所述可信硬件的密钥对。
存储所述密钥对中的公钥至所述用户的分布式数字身份标识的文档内;
发送该密钥对中的私钥至所述可信硬件。以便于可信硬件存储该私钥。
在本说明书实施例中,发送至可信硬件中的私钥可以对该用户的用户指令或用户数据进行数字签名,而该公钥则可以对利用私钥进行数字签名的用户指令或用户数据进行签名验证。对于该密钥对的具体使用方式,可以参考图1中方法的实施例中的内容,对此不作具体限定。
基于同样的思路,本说明书实施例还提供了上述方法对应的装置。图3为本说明书实施例提供的对应于图1的一种基于可信硬件的身份管理装置的结构示意图。如图3所示,该装置可以包括:
第一获取模块302,用于获取可信硬件的用户的个人身份信息。
第二获取模块304,用于获取所述可信硬件的硬件标识信息。
请求生成模块306,用于根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
第一发送模块308,用于发送所述分布式数字身份标识绑定请求至分布式身份服务器。
可选的,图3中的装置,还可以包括:
接收模块,用于接收所述分布式身份服务器反馈的私钥;所述私钥为所述分布式身份服务器针对所述对应关系生成的密钥对中的私钥;所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内。
存储模块,用于存储所述私钥至所述可信硬件。
可选的,图3中的装置,还可以包括:
第三获取模块,用于获取目标应用在注册所述目标应用的分布式数字身份标识的过程中发送的应用识别信息。
所述请求生成模块,具体可以用于:
所述目标应用根据所述个人身份信息、所述硬件标识信息及所述应用识别信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述用户的目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识。
可选的,图3中的装置,还可以包括:
第四获取模块,用于获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的目标数据;所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据。具体的,所述安全应用程序搭载于目标设备中的可信执行环境内,所述可信执行环境与所述目标设备的操作系统隔离。所述安全应用程序通过所述可信执行环境中的代码中预先定义的接口,从所述可信机构处获取所述用户的用户业务数据。
授权信息生成模块,用于响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,生成使用授权信息。
第一数字签名模块,用于利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息。
第二发送模块,用于发送所述数字签名后使用授权信息至所述安全应用程序。
可选的,图3中的装置,还可以包括:
第五获取模块,用于获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述可信硬件中存储的所述用户的目标数据。
第二数字签名模块,用于响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,利用所述私钥对所述目标数据进行数字签名,得到数字签名后目标数据。
第三发送模块,用于发送所述数字签名后目标数据至所述数据使用方。
可选的,图3中的装置,还可以包括:
第六获取模块,用于获取所述用户对于所述可信硬件的使用权限验证方式的设置操作。
确定模块,用于根据所述设置操作,确定所述可信硬件的使用权限验证方式。
身份验证模块,用于若识别出当前用户对所述可信硬件执行操作,则采用确定出的所述使用权限验证方式对所述当前用户进行身份验证。
响应模块,用于若验证通过,则响应所述操作。
基于同样的思路,本说明书实施例还提供了上述方法对应的装置。图4为本说明书实施例提供的对应于图2的一种分布式数字身份标识管理装置的结构示意图。如图4所示,该装置可以包括:
获取模块402,用于获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
查询模块404,用于响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识。
第一建立模块406,用于若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
可选的,图4中的装置,还可以包括:
第二建立模块,用于若未查询到所述用户的分布式数字身份标识,则创建所述用户的分布式数字身份标识。
第三建立模块,用于建立创建的所述用户的分布式数字身份标识与所述可信硬件的对应关系。
可选的,所述获取模块402,具体可以用于:
获取目标应用生成的分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识。
所述查询模块404,具体可以用于:查询所述目标分布式数字身份标识。
可选的,图4中的装置,还可以包括:
密钥对生成模块,用于生成针对所述可信硬件的密钥对。
存储模块,用于存储所述密钥对中的公钥至所述用户的分布式数字身份标识的文档内。
发送模块,用于发送所述密钥对中的私钥至所述可信硬件。
基于同样的思路,本说明书实施例还提供了上述方法对应的设备。
图5为本说明书实施例提供的对应于图1的一种基于可信硬件的身份管理设备的结构示意图。如图5所示,设备500可以包括:
至少一个处理器510;以及,
与所述至少一个处理器通信连接的存储器530;其中,
所述存储器530存储有可被所述至少一个处理器510执行的指令520,所述指令被所述至少一个处理器510执行,以使所述至少一个处理器510能够:
获取可信硬件的用户的个人身份信息。
获取所述可信硬件的硬件标识信息。
根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
发送所述分布式数字身份标识绑定请求至分布式身份服务器。
基于同样的思路,本说明书实施例还提供了上述方法对应的设备。
图6为本说明书实施例提供的对应于图2的一种分布式数字身份标识管理设备的结构示意图。如图6所示,设备600可以包括:
至少一个处理器610;以及,
与所述至少一个处理器通信连接的存储器630;其中,
所述存储器630存储有可被所述至少一个处理器610执行的指令620,所述指令被所述至少一个处理器610执行,以使所述至少一个处理器610能够:
获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识。
若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于图5及图6所示的设备而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device, PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字符系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字符助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字符多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (26)

1.一种基于可信硬件的身份管理方法,包括:
获取可信硬件的用户的个人身份信息;
获取所述可信硬件的硬件标识信息;
根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
发送所述分布式数字身份标识绑定请求至分布式身份服务器;
接收所述分布式身份服务器反馈的私钥;所述私钥为所述分布式身份服务器针对所述对应关系生成的密钥对中的私钥;所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内;
存储所述私钥至所述可信硬件;
获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的目标数据;所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据;
响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,生成使用授权信息;
利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息;
发送所述数字签名后使用授权信息至所述安全应用程序;以便于所述安全应用程序在利用从所述用户的分布式数字身份标识的文档内获取到的所述公钥,对所述数字签名后使用授权信息验证通过后,生成所述目标数据。
2.根据权利要求1所述的方法,所述发送所述分布式数字身份标识绑定请求至分布式身份服务器之后,还包括:
接收所述分布式身份服务器反馈的私钥;所述私钥为所述分布式身份服务器针对所述对应关系生成的密钥对中的私钥;所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内;
存储所述私钥至所述可信硬件。
3.根据权利要求2所述的方法,所述根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求之前,还包括:
获取目标应用在注册所述目标应用的分布式数字身份标识的过程中发送的应用识别信息;
所述根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求,具体包括:
所述目标应用根据所述个人身份信息、所述硬件标识信息及所述应用识别信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述用户的目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识。
4.根据权利要求2或3所述的方法,所述存储所述私钥至所述可信硬件之后,还包括:
获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的目标数据;所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据;
响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,生成使用授权信息;
利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息;
发送所述数字签名后使用授权信息至所述安全应用程序。
5.根据权利要求4所述的方法,所述安全应用程序搭载于目标设备中的可信执行环境内,所述可信执行环境与所述目标设备的操作系统隔离。
6.根据权利要求5所述的方法,所述安全应用程序通过所述可信执行环境中的代码中预先定义的接口,从所述可信机构处获取所述用户的用户业务数据。
7.根据权利要求2或3所述的方法,所述存储所述私钥至所述可信硬件之后,还包括:
获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述可信硬件中存储的所述用户的目标数据;
响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,利用所述私钥对所述目标数据进行数字签名,得到数字签名后目标数据;
发送所述数字签名后目标数据至所述数据使用方。
8.根据权利要求1所述的方法,还包括:
获取所述用户对于所述可信硬件的使用权限验证方式的设置操作;
根据所述设置操作,确定所述可信硬件的使用权限验证方式。
9.根据权利要求8所述的方法,所述确定所述可信硬件的使用权限验证方式之后,还包括:
若识别出当前用户对所述可信硬件执行操作,则采用确定出的所述使用权限验证方式对所述当前用户进行身份验证;
若验证通过,则响应所述操作。
10.一种分布式数字身份标识管理方法,包括:
获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识;
若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
生成针对所述可信硬件的密钥对;
存储所述密钥对中的公钥至所述用户的分布式数字身份标识的文档内;
发送所述密钥对中的私钥至所述可信硬件;以便于安全应用程序在利用从所述用户的分布式数字身份标识的文档内获取到的所述公钥,对数字签名后使用授权信息验证通过后,生成目标数据;所述数字签名后使用授权信息是利用所述可信硬件处存储的所述私钥,对针对数据使用请求的使用授权信息进行数字签名而得到的;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的所述目标数据。
11.根据权利要求10所述的方法,所述查询所述用户的分布式数字身份标识之后,还包括:
若未查询到所述用户的分布式数字身份标识,则创建所述用户的分布式数字身份标识;
建立创建的所述用户的分布式数字身份标识与所述可信硬件的对应关系。
12.根据权利要求10或11所述的方法,所述获取分布式数字身份标识绑定请求,具体包括:
获取目标应用生成的分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识;
所述查询所述用户的分布式数字身份标识,具体包括:
查询所述目标分布式数字身份标识。
13.根据权利要求12所述的方法,所述建立所述用户的分布式数字身份标识与所述可信硬件的对应关系之后,还包括:
生成针对所述可信硬件的密钥对;
存储所述密钥对中的公钥至所述用户的分布式数字身份标识的文档内;
发送所述密钥对中的私钥至所述可信硬件。
14.一种基于可信硬件的身份管理装置,包括:
第一获取模块,用于获取可信硬件的用户的个人身份信息;
第二获取模块,用于获取所述可信硬件的硬件标识信息;
请求生成模块,用于根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
第一发送模块,用于发送所述分布式数字身份标识绑定请求至分布式身份服务器;
接收模块,用于接收所述分布式身份服务器反馈的私钥;所述私钥为所述分布式身份服务器针对所述对应关系生成的密钥对中的私钥;所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内;
存储模块,用于存储所述私钥至所述可信硬件;
第四获取模块,用于获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的目标数据;所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据;
授权信息生成模块,用于响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,生成使用授权信息;
第一数字签名模块,用于利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息;
第二发送模块,用于发送所述数字签名后使用授权信息至所述安全应用程序;以便于所述安全应用程序在利用从所述用户的分布式数字身份标识的文档内获取到的所述公钥,对所述数字签名后使用授权信息验证通过后,生成所述目标数据。
15.根据权利要求14所述的装置,还包括:
接收模块,用于接收所述分布式身份服务器反馈的私钥;所述私钥为所述分布式身份服务器针对所述对应关系生成的密钥对中的私钥;所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内;
存储模块,用于存储所述私钥至所述可信硬件。
16.根据权利要求15所述的装置,还包括:
第三获取模块,用于获取目标应用在注册所述目标应用的分布式数字身份标识的过程中发送的应用识别信息;
所述请求生成模块,具体用于:
所述目标应用根据所述个人身份信息、所述硬件标识信息及所述应用识别信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述用户的目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识。
17.根据权利要求15或16所述的装置,还包括:
第四获取模块,用于获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的目标数据;所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据;
授权信息生成模块,用于响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,生成使用授权信息;
第一数字签名模块,用于利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息;
第二发送模块,用于发送所述数字签名后使用授权信息至所述安全应用程序。
18.根据权利要求17所述的装置,所述安全应用程序搭载于目标设备中的可信执行环境内,所述可信执行环境与所述目标设备的操作系统隔离。
19.根据权利要求18所述的装置,所述安全应用程序通过所述可信执行环境中的代码中预先定义的接口,从所述可信机构处获取所述用户的用户业务数据。
20.根据权利要求15或16所述的装置,还包括:
第五获取模块,用于获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述可信硬件中存储的所述用户的目标数据;
第二数字签名模块,用于响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,利用所述私钥对所述目标数据进行数字签名,得到数字签名后目标数据;
第三发送模块,用于发送所述数字签名后目标数据至所述数据使用方。
21.一种分布式数字身份标识管理装置,包括:
获取模块,用于获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
查询模块,用于响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识;
第一建立模块,用于若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
密钥对生成模块,用于生成针对所述可信硬件的密钥对;
存储模块,用于存储所述密钥对中的公钥至所述用户的分布式数字身份标识的文档内;
发送模块,用于发送所述密钥对中的私钥至所述可信硬件;以便于安全应用程序在利用从所述用户的分布式数字身份标识的文档内获取到的所述公钥,对数字签名后使用授权信息验证通过后,生成目标数据;所述数字签名后使用授权信息是利用所述可信硬件处存储的所述私钥,对针对数据使用请求的使用授权信息进行数字签名而得到的;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的所述目标数据。
22.根据权利要求21所述的装置,还包括:
第二建立模块,用于若未查询到所述用户的分布式数字身份标识,则创建所述用户的分布式数字身份标识;
第三建立模块,用于建立创建的所述用户的分布式数字身份标识与所述可信硬件的对应关系。
23.根据权利要求21或22所述的装置,所述获取模块,具体用于:
获取目标应用生成的分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系;所述目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识;
所述查询模块,具体用于:
查询所述目标分布式数字身份标识。
24.根据权利要求23所述的装置,还包括:
密钥对生成模块,用于生成针对所述可信硬件的密钥对;
存储模块,用于存储所述密钥对中的公钥至所述用户的分布式数字身份标识的文档内;
发送模块,用于发送所述密钥对中的私钥至所述可信硬件。
25.一种基于可信硬件的身份管理设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取可信硬件的用户的个人身份信息;
获取所述可信硬件的硬件标识信息;
根据所述个人身份信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
发送所述分布式数字身份标识绑定请求至分布式身份服务器;
接收所述分布式身份服务器反馈的私钥;所述私钥为所述分布式身份服务器针对所述对应关系生成的密钥对中的私钥;所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内;
存储所述私钥至所述可信硬件;
获取数据使用方发送的数据使用请求;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的目标数据;所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据;
响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令,生成使用授权信息;
利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息;
发送所述数字签名后使用授权信息至所述安全应用程序;以便于所述安全应用程序在利用从所述用户的分布式数字身份标识的文档内获取到的所述公钥,对所述数字签名后使用授权信息验证通过后,生成所述目标数据。
26.一种分布式数字身份标识管理设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求是根据可信硬件的用户的个人身份信息及所述可信硬件的硬件标识信息生成的;所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
响应于所述分布式数字身份标识绑定请求,查询所述用户的分布式数字身份标识;所述用户的分布式数字身份标识为分布式身份服务器创建的与所述用户的个人身份信息具有对应关系的分布式数字身份标识;
若查询到所述用户的分布式数字身份标识,则建立所述用户的分布式数字身份标识与所述可信硬件的对应关系;
生成针对所述可信硬件的密钥对;
存储所述密钥对中的公钥至所述用户的分布式数字身份标识的文档内;
发送所述密钥对中的私钥至所述可信硬件;以便于安全应用程序在利用从所述用户的分布式数字身份标识的文档内获取到的所述公钥,对数字签名后使用授权信息验证通过后,生成目标数据;所述数字签名后使用授权信息是利用所述可信硬件处存储的所述私钥,对针对数据使用请求的使用授权信息进行数字签名而得到的;所述数据使用请求用于请求使用所述用户利用所述可信硬件管理的所述目标数据。
CN202010967516.9A 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备 Active CN111932426B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202010967516.9A CN111932426B (zh) 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备
CN202110088826.8A CN113012008B (zh) 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备
US17/359,487 US11386191B2 (en) 2020-09-15 2021-06-25 Trusted hardware-based identity management methods, apparatuses, and devices
EP21181969.3A EP3968191B1 (en) 2020-09-15 2021-06-28 Trusted hardware-based identity management methods, apparatuses, and devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010967516.9A CN111932426B (zh) 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202110088826.8A Division CN113012008B (zh) 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备

Publications (2)

Publication Number Publication Date
CN111932426A CN111932426A (zh) 2020-11-13
CN111932426B true CN111932426B (zh) 2021-01-26

Family

ID=73333515

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202110088826.8A Active CN113012008B (zh) 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备
CN202010967516.9A Active CN111932426B (zh) 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202110088826.8A Active CN113012008B (zh) 2020-09-15 2020-09-15 一种基于可信硬件的身份管理方法、装置及设备

Country Status (3)

Country Link
US (1) US11386191B2 (zh)
EP (1) EP3968191B1 (zh)
CN (2) CN113012008B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210314293A1 (en) * 2020-04-02 2021-10-07 Hewlett Packard Enterprise Development Lp Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication
CN111737368B (zh) * 2020-07-24 2020-12-18 支付宝(杭州)信息技术有限公司 一种数据处理方法、装置、设备及介质
CN111930846B (zh) * 2020-09-15 2021-02-23 支付宝(杭州)信息技术有限公司 一种数据处理方法、装置及设备
CN113012008B (zh) 2020-09-15 2022-06-03 支付宝(杭州)信息技术有限公司 一种基于可信硬件的身份管理方法、装置及设备
CN112528343A (zh) * 2020-12-30 2021-03-19 楚天龙股份有限公司 应用于指纹卡的个人化数据检查的方法、装置及介质
CN112800436B (zh) * 2021-04-07 2021-06-29 支付宝(杭州)信息技术有限公司 数据授权方法、装置及电子设备
CN114124404B (zh) * 2021-11-12 2023-07-07 中国联合网络通信集团有限公司 一种数据处理方法、装置、服务器及存储介质
CN114844672B (zh) * 2022-03-22 2023-08-22 华为技术有限公司 一种应用可信身份的确认方法、管理单元及设备
CN115242850A (zh) * 2022-07-12 2022-10-25 深圳壹账通智能科技有限公司 设备控制方法、装置、计算机设备及存储介质
CN116011028B (zh) * 2022-12-21 2023-10-20 蚂蚁区块链科技(上海)有限公司 电子签名方法、电子签名设备和电子签名系统
CN116089921B (zh) * 2023-04-07 2023-06-27 北京微芯感知科技有限公司 一种分布式数字身份的可识别标识符生成方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109245893A (zh) * 2017-07-10 2019-01-18 浙江华信区块链科技服务有限公司 一种用于替代u盾的身份构建及签名方法
CN109993490A (zh) * 2017-12-29 2019-07-09 中思博安科技(北京)有限公司 一种报关系统和报关方法
CN110636062A (zh) * 2019-09-20 2019-12-31 百度在线网络技术(北京)有限公司 设备的安全交互控制方法、装置、电子设备及存储介质
CN111414599A (zh) * 2020-02-26 2020-07-14 北京奇艺世纪科技有限公司 身份验证方法、装置、终端、服务端以及可读存储介质

Family Cites Families (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050039016A1 (en) * 2003-08-12 2005-02-17 Selim Aissi Method for using trusted, hardware-based identity credentials in runtime package signature to secure mobile communications and high-value transaction execution
CN100542140C (zh) 2006-12-15 2009-09-16 华为技术有限公司 一种访问用户数据的方法及用户档案管理服务器
CN101901318B (zh) * 2010-07-23 2011-11-30 北京工业大学 一种可信硬件设备及其使用方法
US20140304836A1 (en) * 2012-04-27 2014-10-09 Intralinks, Inc. Digital rights management through virtual container partitioning
CN103677935A (zh) 2013-12-23 2014-03-26 北京奇虎科技有限公司 一种应用程序的安装控制方法、系统及装置
CN104010044B (zh) 2014-06-12 2018-02-23 北京握奇数据系统有限公司 基于可信执行环境技术的应用受限安装方法、管理器和终端
CN105631322A (zh) 2015-12-25 2016-06-01 北京奇虎科技有限公司 免root对通知栏进行管理的方法及装置
US9635000B1 (en) * 2016-05-25 2017-04-25 Sead Muftic Blockchain identity management system based on public identities ledger
CN110036613B (zh) * 2016-09-08 2022-06-10 金融与风险组织有限公司 提供用于去中心化应用的身份认证的系统和方法
US10505741B1 (en) 2016-09-29 2019-12-10 Amazon Technologies, Inc. Cryptographically provable data certification and provenance
CN106408486A (zh) 2016-09-30 2017-02-15 深圳市华傲数据技术有限公司 用于网格化管理的数据采集方法及系统
US11080380B2 (en) * 2016-11-08 2021-08-03 Aware, Inc. Decentralized biometric identity authentication
CN108076011A (zh) 2016-11-10 2018-05-25 中国移动通信有限公司研究院 一种可信执行环境数据迁移方法及装置
US10387383B2 (en) * 2017-02-15 2019-08-20 Google Llc Systems and methods for providing access to a data file stored at a data storage system
WO2018164955A1 (en) 2017-03-06 2018-09-13 Rivetz Corp. Device enrollment protocol
EP3596680A4 (en) * 2017-03-15 2020-12-30 Nuid, Inc. PROCEDURES AND SYSTEMS FOR UNIVERSAL STORAGE AND ACCESS TO USER-DEFINED ACCESS DATA FOR TRANSINSTITUTIONAL DIGITAL AUTHENTICATION
CN107622385A (zh) 2017-08-28 2018-01-23 南京邮电大学 一种基于区块链智能合约的数字作品发行方法
CN107579979A (zh) 2017-09-07 2018-01-12 成都理工大学 基于区块链技术的电子病历的共享查询方法
CN107507091A (zh) 2017-09-07 2017-12-22 复旦大学 基于区块链和智能合约的增强型数据权益保护方法
CN107729745A (zh) 2017-10-24 2018-02-23 珠海市魅族科技有限公司 数据处理方法、终端、计算机装置及计算机可读存储介质
CN107742189A (zh) 2017-11-13 2018-02-27 广东航程科技有限公司 一种简单为非特定b2b平台建立企业间合作关系的方法
CN107968709B (zh) 2017-11-15 2020-01-03 财付通支付科技有限公司 业务数据处理方法、身份管理方法及业务审计方法
US10833861B2 (en) * 2017-11-28 2020-11-10 International Business Machines Corporation Protection of confidentiality, privacy and ownership assurance in a blockchain based decentralized identity management system
CN109840436A (zh) 2017-11-29 2019-06-04 阿里巴巴集团控股有限公司 数据处理方法、可信用户界面资源数据的应用方法及装置
CN108111604B (zh) * 2017-12-21 2020-08-14 广州广电运通金融电子股份有限公司 区块链共识方法、装置和系统、标识信息处理方法和装置
US11288740B2 (en) * 2017-12-29 2022-03-29 Intel Corporation Securing distributed electronic wallet shares
US11159315B2 (en) * 2018-01-22 2021-10-26 Microsoft Technology Licensing, Llc Generating or managing linked decentralized identifiers
CN108471350A (zh) 2018-03-28 2018-08-31 电子科技大学成都研究院 基于区块链的可信数据计算方法
EP3782346A1 (en) * 2018-04-20 2021-02-24 InfoNetworks LLC System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks
CN108616539B (zh) 2018-05-03 2019-08-20 东莞市翔实信息科技有限公司 一种区块链交易记录访问的方法及系统
CN108881160A (zh) 2018-05-07 2018-11-23 北京信任度科技有限公司 基于区块链智能合约的医疗健康数据管理方法及系统
CN108632284B (zh) 2018-05-10 2021-02-23 网易(杭州)网络有限公司 基于区块链的用户数据授权方法、介质、装置和计算设备
CN110555292B (zh) 2018-05-31 2021-07-06 本无链科技(深圳)有限公司 一种防窃取与可信授权的版权作品发行方法及其系统
CN108932297B (zh) 2018-06-01 2022-03-22 创新先进技术有限公司 一种数据查询、数据共享的方法、装置及设备
CN109101822B (zh) * 2018-07-10 2021-01-29 西安交通大学 一种解决多方计算中数据隐私泄露问题的方法
US20200026834A1 (en) * 2018-07-23 2020-01-23 One Kosmos Inc. Blockchain identity safe and authentication system
CN108985089B (zh) 2018-08-01 2020-08-07 清华大学 互联网数据共享系统
US11057366B2 (en) * 2018-08-21 2021-07-06 HYPR Corp. Federated identity management with decentralized computing platforms
CN109150607A (zh) 2018-08-22 2019-01-04 中链科技有限公司 用于区块链网络的分级管控方法及装置
CN109376504B (zh) 2018-09-26 2022-04-12 福州大学 一种基于区块链技术的图片隐私保护方法
US11171783B2 (en) * 2018-09-28 2021-11-09 Infosys Limited System and method for decentralized identity management, authentication and authorization of applications
CN109522722A (zh) 2018-10-17 2019-03-26 联想(北京)有限公司 系统安全处理方法和装置
CN109525400A (zh) 2018-11-01 2019-03-26 联想(北京)有限公司 安全处理方法、系统和电子设备
CN110034924B (zh) 2018-12-12 2022-05-13 创新先进技术有限公司 一种数据处理方法和装置
CN109710270A (zh) 2018-12-29 2019-05-03 北京神州绿盟信息安全科技股份有限公司 一种安全应用交付方法、装置以及存储介质
CN109741039B (zh) 2019-01-07 2021-01-19 深圳市红砖坊技术有限公司 记账方法、矿池服务器、终端设备、挖矿节点及矿池
CN109660358B (zh) 2019-01-08 2022-04-08 余炀 一种基于区块链及安全执行环境的数据流通方法
CN109768865A (zh) 2019-01-18 2019-05-17 深圳市威赫科技有限公司 可信执行环境下的区块链上身份数字化实现方法及系统
CN109547500A (zh) 2019-01-21 2019-03-29 信雅达系统工程股份有限公司 一种保护用户数据所有权的数据共享方法及系统
US11412002B2 (en) * 2019-03-15 2022-08-09 Microsoft Technology Licensing, Llc Provision of policy compliant storage for DID data
CN110009232A (zh) 2019-04-04 2019-07-12 重庆龙易购电子商务有限公司 在线企业服务管理平台
CN110046165A (zh) 2019-04-17 2019-07-23 江苏全链通信息科技有限公司 分布式应用程序的发布方法、设备及计算机可读存储介质
CN110086804B (zh) * 2019-04-25 2021-08-31 广州大学 一种基于区块链及可信硬件的物联网数据隐私保护方法
CN110083610B (zh) 2019-04-29 2022-11-04 百度在线网络技术(北京)有限公司 数据处理方法、装置、系统、可信计算装置、设备和介质
US11222137B2 (en) * 2019-05-03 2022-01-11 Microsoft Technology Licensing, Llc Storing and executing an application in a user's personal storage with user granted permission
US11138341B2 (en) * 2019-05-28 2021-10-05 Microsoft Technology Licensing, Llc Quick actions for did attestation user interface elements
CN110224837B (zh) 2019-06-06 2021-11-19 西安纸贵互联网科技有限公司 基于分布式身份标识的零知识证明方法及终端
CN110222533B (zh) 2019-06-17 2021-08-13 英联(厦门)金融技术服务股份有限公司 分布式数据安全应用方法、系统及电子设备
US11251977B2 (en) * 2019-06-18 2022-02-15 Microsoft Technologly Licensing, LLC Validation data structure for decentralized identity claim
US11176282B2 (en) * 2019-06-18 2021-11-16 Microsoft Technology Licensing, Llc Encrypting data associated with decentralized identifier
US11245524B2 (en) * 2019-06-18 2022-02-08 Microsoft Technologly Licensing, LLC Binding of decentralized identifiers to verified claims
CN110335149B (zh) 2019-06-19 2021-08-20 华中科技大学 一种基于区块链的资产确权交易实现方法及系统
EP3688633A4 (en) 2019-07-02 2020-10-07 Alibaba Group Holding Limited SYSTEM AND PROCEDURE FOR VERIFICATION OF VERIFICABLE CLAIMS
CN110516178A (zh) 2019-07-23 2019-11-29 平安科技(深圳)有限公司 基于大数据的多级品目展示方法、服务器及存储介质
CN110457875B (zh) 2019-07-31 2021-04-27 创新先进技术有限公司 基于区块链的数据授权方法及装置
US11184334B2 (en) * 2019-09-05 2021-11-23 Microsoft Technology Licensing, Llc Control of the delegated use of DID-related data
CN113221169B (zh) 2019-10-30 2023-01-20 支付宝(杭州)信息技术有限公司 区块链隐私数据的查询方法及装置
CN110837658A (zh) 2019-11-18 2020-02-25 浙江蓝景科技有限公司 联单信息的处理方法及系统、电子设备、存储介质
CN110968743B (zh) 2019-12-13 2021-07-06 支付宝(杭州)信息技术有限公司 针对隐私数据的数据存储、数据读取方法及装置
CN111179067B (zh) 2019-12-31 2023-06-27 杭州趣链科技有限公司 一种基于区块链的银行间客户信息交换系统
CN111770063B (zh) * 2020-02-18 2022-09-16 支付宝(杭州)信息技术有限公司 数字身份信息的派生、验证方法、装置及设备
US11238170B2 (en) * 2020-02-27 2022-02-01 Microsoft Technology Licensing, Llc Delegation using pairwise decentralized identifier
US20210273931A1 (en) * 2020-02-27 2021-09-02 Microsoft Technology Licensing, Llc Decentralized authentication anchored by decentralized identifiers
US11550892B2 (en) * 2020-02-28 2023-01-10 Microsoft Technology Licensing, Llc Presentation of a verifiable credential having usage data
US11587084B2 (en) * 2020-02-28 2023-02-21 Microsoft Technology Licensing, Llc Decentralized identification anchored by decentralized identifiers
CN111680274B (zh) 2020-03-03 2022-11-22 支付宝(杭州)信息技术有限公司 资源访问方法、装置及设备
US11411736B2 (en) * 2020-03-03 2022-08-09 Microsoft Technology Licensing, Llc Automatic renewal of a verifiable claim
CN111340627A (zh) 2020-03-09 2020-06-26 广东珠影星光科技有限公司 基于区块链的影视资产版权交易系统
US20210288974A1 (en) * 2020-03-16 2021-09-16 Microsoft Technology Licensing, Llc. Access token for a verifiable claim
CN111049660B (zh) 2020-03-16 2020-06-09 杭州海康威视数字技术股份有限公司 证书分发方法、系统、装置及设备、存储介质
US11394542B2 (en) * 2020-03-27 2022-07-19 Microsoft Technology Licensing, Llc Deauthorization of private key of decentralized identity
CN111415157A (zh) 2020-03-28 2020-07-14 贵阳大数据交易所有限责任公司 一种基于区块链的数据资产安全流通方法
CN111191268B (zh) 2020-04-10 2020-08-07 支付宝(杭州)信息技术有限公司 一种可验证声明的存储方法、装置及设备
CN111506662A (zh) 2020-04-24 2020-08-07 江苏荣泽信息科技股份有限公司 一种基于区块链的企业固定资产整理用数据收集系统
CN111597565A (zh) 2020-05-12 2020-08-28 山大地纬软件股份有限公司 一种基于区块链的处方可信流转装置及方法
CN111741036B (zh) 2020-08-28 2020-12-18 支付宝(杭州)信息技术有限公司 一种可信数据传输方法、装置及设备
CN111814196B (zh) 2020-09-04 2021-01-05 支付宝(杭州)信息技术有限公司 一种数据处理方法、装置及设备
CN113012008B (zh) 2020-09-15 2022-06-03 支付宝(杭州)信息技术有限公司 一种基于可信硬件的身份管理方法、装置及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109245893A (zh) * 2017-07-10 2019-01-18 浙江华信区块链科技服务有限公司 一种用于替代u盾的身份构建及签名方法
CN109993490A (zh) * 2017-12-29 2019-07-09 中思博安科技(北京)有限公司 一种报关系统和报关方法
CN110636062A (zh) * 2019-09-20 2019-12-31 百度在线网络技术(北京)有限公司 设备的安全交互控制方法、装置、电子设备及存储介质
CN111414599A (zh) * 2020-02-26 2020-07-14 北京奇艺世纪科技有限公司 身份验证方法、装置、终端、服务端以及可读存储介质

Also Published As

Publication number Publication date
CN111932426A (zh) 2020-11-13
EP3968191A1 (en) 2022-03-16
US20210397688A1 (en) 2021-12-23
CN113012008B (zh) 2022-06-03
CN113012008A (zh) 2021-06-22
EP3968191B1 (en) 2023-10-18
US11386191B2 (en) 2022-07-12

Similar Documents

Publication Publication Date Title
CN111932426B (zh) 一种基于可信硬件的身份管理方法、装置及设备
CN111741036B (zh) 一种可信数据传输方法、装置及设备
CN111931238B (zh) 一种基于区块链的数据资产流转方法、装置及设备
CN111814195B (zh) 一种基于可信硬件的数据管理方法、装置及设备
CN111401902B (zh) 基于区块链的业务处理方法、业务处理方法、装置及设备
CN111814196B (zh) 一种数据处理方法、装置及设备
US11902601B2 (en) System and techniques for digital data lineage verification
CN111814156B (zh) 一种基于可信设备的数据获取方法、装置及设备
CN111191268A (zh) 一种可验证声明的存储方法、装置及设备
CN111770199B (zh) 一种信息共享方法、装置及设备
CN111193597B (zh) 一种可验证声明的传输方法、装置、设备及系统
CN114884674A (zh) 一种基于区块链的用户数据流转方法、装置及设备
CN112100689B (zh) 一种可信数据处理方法、装置及设备
CN111930846B (zh) 一种数据处理方法、装置及设备
CN112766755A (zh) 一种业务处理方法、装置、设备及介质
CN111818094B (zh) 一种身份注册方法、装置及设备
CN115758418A (zh) 一种基于区块链网络的数据管理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40041064

Country of ref document: HK