CN112613889B - 一种企业did身份体系的隐私保护方法及系统 - Google Patents

Abstract

本发明提供了一种企业DID身份体系的隐私保护方法及系统，包括：步骤M1：企业通过提供企业真实身份信息材料向审核机构申请企业DID及企业账户密钥；步骤M2：审核机构审核企业真实身份信息授予企业DID及企业账户密钥，并将企业真实身份与DID的对应关系数据沉淀在审核机构内部；步骤M3：审核机构通过审核后，向服务系统发送指令，服务系统基于企业数字身份建立DID对应的DIDDoc，并将DIDDoc存储在区块链上；步骤M4：根据业务需求创建DID的多种类型密钥，并在DIDDoc中记录当前DID的多种类型密钥；步骤M5：企业向查询方提供自身DID信息，基于DIDDoc中记录多种类型密钥授权查询方在审核机构处查询DID和企业真实身份的映射关系。

Description

一种企业DID身份体系的隐私保护方法及系统

技术领域

本发明涉及区块链技术领域，具体地，涉及一种企业DID身份体系的隐私保护方法及系统，更为具体地，涉及一种企业DID身份体系的隐私保护机制。

背景技术

在传统企业应用中，如企业融资、供应链管理等，往往需要对业务涉及的相关企业进行身份或者信息的认证与授权。通常采用的方式是引入第三方可信机构或者担保来保证企业信息的可信性，但类似的系统存在着1)系统存在单点风险；2)审核的过程冗长，影响企业效率；3)企业身份信息的自主权不可控。

具体来说，由于引入第三方机构，整体业务流程将依赖于第三方，而第三方的业务流程往往不会公开透明，因此，会给企业的业务带来效率和安全性的风险。同时，在某些业务场景中存在企业的敏感信息被第三方获取，导致隐私泄露的风险。

专利文献CN106529979A(申请号：201611103663.1)公开了一种企业身份认证方法，包括：获取电商平台发送的企业认证请求；根据待认证企业信息，确定出与企业用户对应的电子税局系统；生成税局账号信息输入接口；通过税局账号信息输入接口，获取企业用户输入的待校验税局账号信息；利用电子税局系统对待校验税局账号信息进行校验，若校验成功，则获取由用户身份鉴权模块发送的授权码；根据授权码，生成相应的数据调用请求；利用数据调用请求，从电子税局系统中调取与企业用户对应的真实企业信息；利用真实企业信息，对待认证企业信息进行认证，得到相应的认证结果。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种企业DID身份体系的隐私保护方法及系统。

根据本发明提供的一种企业DID身份体系的隐私保护方法，包括：

步骤M1：企业通过提供企业真实身份信息材料向审核机构申请企业DID及企业账户密钥；

步骤M2：审核机构审核企业真实身份信息授予企业DID及企业账户密钥，并将企业真实身份与DID的对应关系数据沉淀在审核机构内部；

步骤M3：审核机构通过审核后，向服务系统发送指令，服务系统基于企业数字身份建立DID对应的DID Doc，并将DID Doc存储在区块链上；

步骤M4：根据业务需求创建DID的多种类型密钥，并在DID Doc中记录当前DID的多种类型密钥；

步骤M5：企业向查询方提供自身DID信息，基于DID Doc中记录多种类型密钥授权查询方在审核机构处查询DID和企业真实身份的映射关系。

优选地，所述步骤M3中DID Doc包括当用户持有企业账户密钥时，实现根据需求修改DID Doc。

优选地，所述步骤M3中多种类型密钥包括加解密密钥、更改密钥和注销密钥。

优选地，所述步骤M4包括：

步骤M4.1：查询方发送DID查询请求给审核机构，请求主体信息；

步骤M4.2：审核机构通过审核后，将所需查询DID所对应的企业主体信息发送给查询方。

优选地，还包括：将持有企业DID验证密钥请求信息发送给服务系统，服务系统接收到验证密钥请求后，通过验证密钥查验请求方的请求权限，权限检查通过后，服务系统返回企业DID，通过企业DID查询企业真实身份。

优选地，还包括将持有企业DID修改密钥请求信息发送给服务系统，服务系统接收到修改密钥请求后，验证企业账户密钥，权限检查通过后，服务系统返回修改结果。

根据本发明提供的一种企业DID身份体系的隐私保护系统，包括：

模块M1：企业通过提供企业真实身份信息材料向审核机构申请企业DID及企业账户密钥；

模块M2：审核机构审核企业真实身份信息授予企业DID及企业账户密钥，并将企业真实身份与DID的对应关系数据沉淀在审核机构内部；

模块M3：审核机构通过审核后，向服务系统发送指令，服务系统基于企业数字身份建立DID对应的DID Doc，并将DID Doc存储在区块链上；

模块M4：根据业务需求创建DID的多种类型密钥，并在DID Doc中记录当前DID的多种类型密钥；

模块M5：企业向查询方提供自身DID信息，基于DID Doc中记录多种类型密钥授权查询方在审核机构处查询DID和企业真实身份的映射关系。

优选地，所述模块M3中DID Doc包括当用户持有企业账户密钥时，实现根据需求修改DID Doc；

所述模块M3中多种类型密钥包括加解密密钥、更改密钥和注销密钥。

优选地，所述模块M4包括：

模块M4.1：查询方发送DID查询请求给审核机构，请求主体信息；

模块M4.2：审核机构通过审核后，将所需查询DID所对应的企业主体信息发送给查询方。

优选地，还包括：将持有企业DID验证密钥请求信息发送给服务系统，服务系统接收到验证密钥请求后，通过验证密钥查验请求方的请求权限，权限检查通过后，服务系统返回企业DID，通过企业DID查询企业真实身份；

还包括将持有企业DID修改密钥请求信息发送给服务系统，服务系统接收到修改密钥请求后，验证企业账户密钥，权限检查通过后，服务系统返回修改结果。

与现有技术相比，本发明具有如下的有益效果：

1、本发明适用于需要企业提供可信身份信息的场景中，例如企业融资、供应链管理等；企业用户首先需要提交身份信息，在通过审核机构审核后，接入服务系统，生成对应的DID和DID描述文件。DID以及DID描述文件将永久记录在区块链账本中，保证公开可验证和不可篡改；

2、本发明通过DID描述文件，业务系统可以连接到该企业不同的业务/服务地址，相关业务方也可以通过DID索引和数字签名，验证签名是否由该DID持有者签发。同时，企业授权的用户可以在审核机构获取企业主体和DID的绑定关系，从而获取企业DID的实体信息。企业可以通过向链上合约发布交易，更新DID描述文件，动态地维护相关信息；

3、本发明通过DID管理模块，企业用户可以便捷地管理DID信息。DID持有方拥有DID的管理权限，可以通过可视化界面，向链上合约发布交易，更新或者查询自己的DID描述信息；

4、本发明通过DID查询模块，相关业务方根据企业DID，快速地获取企业的DID信息和注册公钥，从而验证企业提供签名的合法性或者根据链上描述文件的地址，获取相关的服务；

5、本发明通过审核模块，企业可以通过提交自己的企业信息，接入和获取DID服务，生成DID和描述文件。同时，可以授权是否允许其他查询企业链下实体信息。企业也可以作为查询方，根据业务需要，获取DID和企业实体信息的绑定关系。

在不泄漏企业隐私的前提下，实现身份信息的公开可验证、不可篡改性，从而简化业务流程，提高生产效率。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为企业DID身份体系的隐私保护方法流程图；

图2为企业DID身份体系的隐私保护系统示意图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

实施例1

这是一个分布式企业数字身份体系系统，它帮助企业将链下真实身份信息和链上数字身份安全可验证地关联起来，并自主控制数字身份和该身份相关数据。本发明将DID技术应用在企业身份场景，实现企业身份数据的自我控制。企业身份的真实性依托于链下的审核机构审核。企业可以向查询方提供自身DID信息，并授权查询方在审核机构处查询链上DID身份和链下真实身份的映射关系。

本发明难点包括：1)企业DID的生成与管理2)企业DID与企业链下实体身份的绑定，同时映射关系对其他参与方不可见3)传统企业业务流程能够通过以上模块接入企业DID系统，在不泄漏企业隐私的前提下，实现身份信息的公开可验证、不可篡改性，从而简化业务流程，提高生产效率。

根据本发明提供的一种企业DID身份体系的隐私保护方法，如图1所示，包括：

步骤M1：企业通过提供企业真实身份信息材料向审核机构申请企业DID及企业账户密钥；

步骤M2：审核机构审核企业真实身份信息授予企业DID及企业账户密钥，并将企业真实身份与DID的对应关系数据沉淀在审核机构内部；

步骤M3：审核机构通过审核后，向服务系统发送指令，服务系统基于企业数字身份建立DID对应的DID Doc，并将DID Doc存储在区块链上；

步骤M4：根据业务需求创建DID的多种类型密钥，并在DID Doc中记录当前DID的多种类型密钥，每个DID doc里根据不同的使用目的有不同的密钥；

步骤M5：企业向查询方提供自身DID信息，基于DID Doc中记录多种类型密钥授权查询方在审核机构处查询DID和企业真实身份的映射关系。

具体地，所述步骤M3中DID Doc包括当用户持有企业账户密钥时，实现根据需求修改DID Doc，企业可以根据自己的需要，在DID Doc中填写身份的相关数据。

具体地，所述步骤M3中多种类型密钥包括加解密密钥、更改密钥和注销密钥。为保护企业用户隐私，服务系统中无企业真实身份与DID账户的关系对应数据。

具体地，所述步骤M4包括：

步骤M4.1：查询方发送DID查询请求给审核机构，请求主体信息；

步骤M4.2：审核机构通过审核后，将所需查询DID所对应的企业主体信息发送给查询方。

具体地，还包括：将持有企业DID验证密钥请求信息发送给服务系统，服务系统接收到验证密钥请求后，通过验证密钥查验请求方的请求权限，权限检查通过后，服务系统返回企业DID，通过企业DID查询企业真实身份。

具体地，还包括将持有企业DID修改密钥请求信息发送给服务系统，服务系统接收到修改密钥请求后，验证企业账户密钥，权限检查通过后，服务系统返回修改结果。

根据本发明提供的一种企业DID身份体系的隐私保护系统，如图2所示，包括：

模块M1：企业通过提供企业真实身份信息材料向审核机构申请企业DID及企业账户密钥；

模块M2：审核机构审核企业真实身份信息授予企业DID及企业账户密钥，并将企业真实身份与DID的对应关系数据沉淀在审核机构内部；

模块M3：审核机构通过审核后，向服务系统发送指令，服务系统基于企业数字身份建立DID对应的DID Doc，并将DID Doc存储在区块链上；

模块M4：根据业务需求创建DID的多种类型密钥，并在DID Doc中记录当前DID的多种类型密钥，每个DID doc里根据不同的使用目的有不同的密钥；

模块M5：企业向查询方提供自身DID信息，基于DID Doc中记录多种类型密钥授权查询方在审核机构处查询DID和企业真实身份的映射关系。

具体地，所述模块M3中DID Doc包括当用户持有企业账户密钥时，实现根据需求修改DID Doc，企业可以根据自己的需要，在DID Doc中填写身份的相关数据。

具体地，所述模块M3中多种类型密钥包括加解密密钥、更改密钥和注销密钥。为保护企业用户隐私，服务系统中无企业真实身份与DID账户的关系对应数据。

具体地，所述模块M4包括：

模块M4.1：查询方发送DID查询请求给审核机构，请求主体信息；

模块M4.2：审核机构通过审核后，将所需查询DID所对应的企业主体信息发送给查询方。

具体地，还包括：将持有企业DID验证密钥请求信息发送给服务系统，服务系统接收到验证密钥请求后，通过验证密钥查验请求方的请求权限，权限检查通过后，服务系统返回企业DID，通过企业DID查询企业真实身份。

具体地，还包括将持有企业DID修改密钥请求信息发送给服务系统，服务系统接收到修改密钥请求后，验证企业账户密钥，权限检查通过后，服务系统返回修改结果。

实施例2

实施例2是实施例1的变化例

此处列举一个应用场景，是区块链供应链金融中信用穿透场景。

区块链供应链金融的商业核心是将下游某家大型核心企业的信用，通过信用穿透的方式，层层传递给上游供应商企业，以降低上游供应商的融资成本，缩短账期，盘活流动资产，提高效率。

在信用穿透的过程中，假设核心企业A将本企业的X份额数字信用通过区块链流转给其一级供应商B，B再将其拆分流转给二级供应商C和D。A与C，A与D都没有直接的供应关系，有时候在现实的商业场景中，B也不希望A知道二级供应商C与D的详细信息。这时候，二级供应商C与D获得了核心企业A的信用额度，它们需要的只是验证这些信用额度是否为A真实所发放的，而不需知道A企业到底是哪家企业。则本方案便可以派上用场，即在核心企业A发行的数字信用中绑定A的企业DID，这样，无论经过多少层的信用流转，最终持有A发行的数字信用的持有方，如需验证这些数字信用是否为A所发，只需通过本方案中的服务系统，便可在不知道A企业为哪家企业的前提下，得到其想要的验证结果。这样既保护了A企业的隐私，同时也满足了验证方的需求。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以，本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件，而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构；也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims (4)

1.一种企业DID身份体系的隐私保护方法，其特征在于，包括：

步骤M1：企业通过提供企业真实身份信息材料向审核机构申请企业DID及企业账户密钥；

步骤M2：审核机构审核企业真实身份信息授予企业DID及企业账户密钥，并将企业真实身份与DID的对应关系数据沉淀在审核机构内部；

步骤M3：审核机构通过审核后，向服务系统发送指令，服务系统基于企业数字身份建立DID对应的DID Doc，并将DID Doc存储在区块链上；

步骤M4：根据业务需求创建DID的多种类型密钥，并在DID Doc中记录当前DID的多种类型密钥；

步骤M5：企业向查询方提供自身DID信息，基于DID Doc中记录多种类型密钥授权查询方在审核机构处查询DID和企业真实身份的映射关系；

所述步骤M3中DID Doc包括当用户持有企业账户密钥时，实现根据需求修改DID Doc；

所述步骤M3中多种类型密钥包括加解密密钥、更改密钥和注销密钥；

将持有企业DID验证密钥请求信息发送给服务系统，服务系统接收到验证密钥请求后，通过验证密钥查验请求方的请求权限，权限检查通过后，服务系统返回企业DID，通过企业DID查询企业真实身份；

将持有企业DID修改密钥请求信息发送给服务系统，服务系统接收到修改密钥请求后，验证企业账户密钥，权限检查通过后，服务系统返回修改结果。

2.根据权利要求1所述的企业DID身份体系的隐私保护方法，其特征在于，所述步骤M4包括：

步骤M4.1：查询方发送DID查询请求给审核机构，请求主体信息；

步骤M4.2：审核机构通过审核后，将所需查询DID所对应的企业主体信息发送给查询方。

3.一种企业DID身份体系的隐私保护系统，其特征在于，包括：

模块M1：企业通过提供企业真实身份信息材料向审核机构申请企业DID及企业账户密钥；

模块M2：审核机构审核企业真实身份信息授予企业DID及企业账户密钥，并将企业真实身份与DID的对应关系数据沉淀在审核机构内部；

模块M3：审核机构通过审核后，向服务系统发送指令，服务系统基于企业数字身份建立DID对应的DID Doc，并将DID Doc存储在区块链上；

模块M4：根据业务需求创建DID的多种类型密钥，并在DID Doc中记录当前DID的多种类型密钥；

模块M5：企业向查询方提供自身DID信息，基于DID Doc中记录多种类型密钥授权查询方在审核机构处查询DID和企业真实身份的映射关系；

所述模块M3中DID Doc包括当用户持有企业账户密钥时，实现根据需求修改DID Doc；

所述模块M3中多种类型密钥包括加解密密钥、更改密钥和注销密钥；

将持有企业DID验证密钥请求信息发送给服务系统，服务系统接收到验证密钥请求后，通过验证密钥查验请求方的请求权限，权限检查通过后，服务系统返回企业DID，通过企业DID查询企业真实身份；

将持有企业DID修改密钥请求信息发送给服务系统，服务系统接收到修改密钥请求后，验证企业账户密钥，权限检查通过后，服务系统返回修改结果。

4.根据权利要求3所述的企业DID身份体系的隐私保护系统，其特征在于，所述模块M4包括：

模块M4.1：查询方发送DID查询请求给审核机构，请求主体信息；

模块M4.2：审核机构通过审核后，将所需查询DID所对应的企业主体信息发送给查询方。

Images