CN112989381B - 一种基于区块链防关联的统一异构身份标识方法 - Google Patents

Abstract

本发明提供一种基于区块链防关联的统一异构身份标识方法，包括：基于区块链实现的异构身份联盟链存储预先达成共识的异构身份标识管理策略；当异构身份管理系统接入异构身份联盟链时，将触发相应智能合约根据预设的异构身份标识管理策略为该异构身份管理系统所辖用户提供统一身份标识服务，使同一实体用户在不同异构身份管理系统中的虚拟身份标识关联起来，从而使得权威/监管机构能够利用统一身份标识服务对某虚拟身份标识的实体用户进行追踪溯源。本发明能够促进统一信任服务、保护用户标识隐私、提高网络空间异构身份安全。

Description

一种基于区块链防关联的统一异构身份标识方法

技术领域

本发明涉及网络环境监管技术领域，具体而言，涉及一种基于区块链防关联的统一异构身份标识方法。

背景技术

现有异构身份管理系统存在的问题：

(1)统一信任服务推进缓慢。实际网络环境中同一实体用户在不同身份管理域中具有不同的身份信息结构和标识，权威/监管机构难以对多样的网络身份进行统一管理；用户在使用不同应用时则需要重复注册、使用多种网络身份标识，造成不便。

(2)网络身份监管评估困难。网络空间异构身份管理系统林立，用户随意注册虚拟网络身份，监管机构难以对同一实体用户的不同虚拟网络身份标识间关联分析和溯源，无法杜绝网络身份欺诈行为，为网络监管带来困难。

(3)缺乏网络身份隐私保护机制。一些非权威第三方服务提供方采用单点登录等技术，对用户身份简单强制关联，能够非法对同一实体用户的不同网络标识下的行为进行分析，泄露了用户隐私。

由此可见，合理的异构身份标识方法有助于统一信任服务的推进、提供用户便捷的认证、隐私保护服务和网络环境监管治理。

发明内容

本发明旨在提供一种基于区块链防关联的统一异构身份标识方法，以解决上述现有异构身份管理系统存在的问题。

本发明提供的一种基于区块链防关联的统一异构身份标识方法包括：基于区块链实现的异构身份联盟链存储预先达成共识的异构身份标识管理策略；当异构身份管理系统接入异构身份联盟链时，将触发相应智能合约根据预设的异构身份标识管理策略为该异构身份管理系统所辖用户提供统一身份标识服务，使同一实体用户在不同异构身份管理系统中的虚拟身份标识关联起来，从而使得权威/监管机构能够利用统一身份标识服务对某虚拟身份标识的实体用户进行追踪溯源。

进一步的，所述为该异构身份管理系统所辖用户提供统一身份标识服务的方法为：基于隐身地址技术为各异构身份管理系统所辖用户派生链上虚拟标识，并将虚拟标识以权威/监管机构背书的形式记链。

进一步的，所述为该异构身份管理系统所辖用户提供统一身份标识服务的方法包括如下步骤：

(1)电信身份管理系统加入异构身份联盟链；

(2)对于电信身份管理系统所辖用户A申请接入异构身份联盟链的其他异构身份管理系统服务，在通过实体身份核验后，权威/监管机构根据预设的异构身份标识管理策略为其生成联盟身份标识UID和派生基础公私钥对(PK0，SK0)，连同用户A在原身份管理系统中对应的标识AID和公私钥对(PKA，SKA)，将UID、AID、PK0、PKA提取出来，和该用户A的操作记录一起写入权威/监管机构维护的异构身份联盟链统一身份标识信息库中，并在电信身份管理系统保存UID、SKA和AID；

(3)提取公钥对(PK0，PKA)做进一步计算：生成随机私钥r，计算R＝rG，使用公钥对(PK0，PKA)计算P＝H_s(rPK0)G+PKA，其中G为阶为n的基点；将(P，R)发送给权威/监管机构，由于权威/监管机构在实体身份核验时具有(PK0，SK0)和用户A原身份管理系统内公钥PKA，权威/监管机构计算P′＝H_s(SK0R)+PKA，然后判定P′＝P是否成立，如成立，则将该认证时刻的虚拟标识(P,R,time)签名背书后记入异构身份联盟链；

(4)eID身份管理系统加入异构身份联盟链；

(5)对于eID身份管理系统所辖用户B，首先检查异构身份联盟链统一身份标识信息库中是否已有用户B的UID，若已有用户B的UID，则关联该UID用户对应的身份管理系统标识BID和公私钥对(PKB，SKB)，并将BID和PKB添加到该UID对应的身份信息表中，原有eID身份管理系统保存UID、SKB和BID，完成电信身份管理系统和eID身份管理系统用户在链上匿名标识方面对同一实体用户的身份关联和管理；同时客户端基于(PK0，PKB)派生链上匿名标识，发送权威/监管机构验证，权威/监管机构为该实体用户在异构身份联盟链上新匿名身份标识(P‘,R′,time′)签名背书后记入异构身份联盟链，同理异构身份联盟链上的其他身份管理系统在面对该虚拟标识(P‘,R′,time′)用户时，无法关联分析该实体用户的其他链上虚拟标识。

进一步的，步骤(3)中判定P′＝P是否成立的依据为：如果P′＝P成立，则有rPK0＝SK0R成立，即rSK0G＝SK0rG＝SK0R成立。

进一步的，步骤(1)和(4)中电信身份管理系统和eID身份管理系统加入异构身份联盟链的方法为：

(1)电信身份管理系统或eID身份管理系统的管理员填写审核资料，然后将审核资料传送给异构身份联盟系统，向异构身份联盟系统申请加入异构身份联盟链；

(2)异构身份联盟链管理员调用基础身份信息库中的开放接口，对来自电信身份管理系统或eID身份管理系统的审核资料的真实性进行核验，核验通过后则电信身份管理系统或eID身份管理系统加入异构身份联盟链。

进一步的，所述权威/监管机构能够利用统一身份标识服务对某虚拟身份标识的实体用户进行追踪溯源的方法为：

(1)查询自己数据库中在time时间段认证的联盟用户，并提取该时段所有监管密钥，假设有n对监管密钥：(PK0_i，PKA_i，SK0_i)，i＝1…n；

(2)对每对监管密钥，计算P′_i＝H_s(SK0_iR)+PKA_i，验证P′_i＝P是否成立；

(3)如步骤(2)中P′_i＝P成立，则提取相应的监管密钥(PK0_i，PKA_i，SK0_i)，在异构身份联盟链统一身份标识信息库中匹配相应的UID和AID，并提取该UID下其他公钥标识如(XID,PKX)；

(4)对UID下其他公钥标识进一步提取监管密钥如(PK0，PKX，SK0)，计算相应链上地址P_X＝H_s(SK0R)+PKX，查找所有该实体用户的UID下所有链上虚拟标识，并调取这些虚拟标识在统一信任服务联盟的行为记录，完成后续分析。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

(1)促进统一信任服务。各机构的异构身份管理系统能够自主选择接入异构身份联盟链，异构身份联盟链兼容所有既有异构身份标识，并基于区块链共识、联盟权威(可以有多个不同权威)背书方式实现信任传递。用户免于重复注册使用多个账户，促进了网络空间信任服务的统一，为异构身份标识的统一管理提供了便利。

(2)保护用户标识隐私。用户通过不同身份管理域注册在异构身份联盟链的身份标识(P,R)与原有的域内身份标识(比如AID)以及联盟身份标识(UID)无关联，联盟服务提供方仅能验证信任锚(P,R)是否经过联盟权威和原有管理域认证，无法关联该实体用户使用的其他标识信息。

(3)提高网络空间异构身份安全。经过背书发布到异构身份联盟链的虚拟标识，具有多备份、防篡改、可溯源、可验证、可监管特点。同时各机构身份管理系统能够自主选择接入区块链，无需降低原系统身份管理方式安全性。权威/监管机构可追溯链上匿名标识，提高了网络空间异构标识的可用性和管理安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例统一身份标识管理、汇聚与支撑结构示意图。

图2为本发明实施例统一身份标识关联与监管模型示意图。

图3为本发明实施例同一实体用户通过不同应用进入联盟的标识派生逻辑示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

本实施例提出一种基于区块链防关联的统一异构身份标识方法，所述统一异构身份标识方法包括：基于区块链实现的异构身份联盟链存储预先达成共识的异构身份标识管理策略；当异构身份管理系统接入异构身份联盟链时，将触发相应智能合约根据预设的异构身份标识管理策略为该异构身份管理系统所辖用户提供统一身份标识服务，使同一实体用户在不同异构身份管理系统中的虚拟身份标识关联起来，从而使得权威/监管机构能够利用统一身份标识服务对某虚拟身份标识的实体用户进行追踪溯源。

本发明主要是要实现统一异构身份标识，以提高网络环境信任服务的安全性和便利性，异构身份标识管理、汇聚、支撑结构如图1所示。统一异构身份标识的派生、关联是实现其它功能的前提，目的是将同一实体用户在不同身份管理系统中的虚拟标识关联起来。所述为该异构身份管理系统所辖用户提供统一身份标识服务的方法为：基于隐身地址技术为各异构身份管理系统所辖用户派生链上虚拟标识，并将虚拟标识以权威/监管机构背书的形式记链。如图2所示，异构身份联盟链中接入了若干身份管理系统，包括电信身份管理系统、eID身份管理系统以及其他身份管理系统等；具体地，所述为该异构身份管理系统所辖用户提供统一身份标识服务的方法包括如下步骤：

(1)电信身份管理系统加入异构身份联盟链；具体的：

电信身份管理系统管理员填写审核资料，然后将审核资料传送给异构身份联盟系统，向异构身份联盟系统申请加入异构身份联盟链；

异构身份联盟链管理员调用基础身份信息库中的开放接口，对来自电信身份管理系统的审核资料的真实性进行核验，核验通过后则电信身份管理系统加入异构身份联盟链；

(2)对于电信身份管理系统所辖用户A申请接入异构身份联盟链的其他异构身份管理系统服务，在通过实体身份核验后，权威/监管机构根据预设的异构身份标识管理策略为其生成联盟身份标识UID和派生基础公私钥对(PK0，SK0)，连同用户A在原身份管理系统中对应的标识AID和公私钥对(PKA，SKA)，将UID、AID、PK0、PKA提取出来，和该用户A的操作记录一起写入权威/监管机构维护的异构身份联盟链统一身份标识信息库中，并在电信身份管理系统保存UID、SKA和AID；

(3)提取公钥对(PK0，PKA)做进一步计算：生成随机私钥r，计算R＝rG，使用公钥对(PK0，PKA)计算P＝H_s(rPK0)G+PKA，其中G为阶为n的基点；将(P，R)发送给权威/监管机构，由于权威/监管机构在实体身份核验时具有(PK0，SK0)和用户A原身份管理系统内公钥PKA，权威/监管机构计算P′＝H_s(SK0R)+PKA，然后判定P′＝P是否成立，如成立，则将该认证时刻的虚拟标识(P,R,time)签名背书后记入异构身份联盟链；其中，判定P′＝P是否成立的依据为：如果P′＝P成立，则有rPK0＝SK0R成立，即rSK0G＝SK0rG＝SK0R成立；

(4)eID身份管理系统加入异构身份联盟链；与电信身份管理系统一样，具体的：

eID身份管理系统的管理员填写审核资料，然后将审核资料传送给异构身份联盟系统，向异构身份联盟系统申请加入异构身份联盟链；

异构身份联盟链管理员调用基础身份信息库中的开放接口，对来自eID身份管理系统的审核资料的真实性进行核验，核验通过后则eID身份管理系统加入异构身份联盟链；

(5)对于eID身份管理系统所辖用户B，首先检查异构身份联盟链统一身份标识信息库中是否已有用户B的UID，若已有用户B的UID，则关联该UID用户对应的身份管理系统标识BID和公私钥对(PKB，SKB)，并将BID和PKB添加到该UID对应的身份信息表中，原有eID身份管理系统保存UID、SKB和BID，完成电信身份管理系统和eID身份管理系统用户在链上匿名标识方面对同一实体用户的身份关联和管理；同时客户端基于(PK0，PKB)派生链上匿名标识，发送权威/监管机构验证，权威/监管机构为该实体用户在异构身份联盟链上新匿名身份标识(P‘，R′，time′)签名背书后记入异构身份联盟链，同理异构身份联盟链上的其他身份管理系统在面对该虚拟标识(P‘,R′,time′)用户时，无法关联分析该实体用户的其他链上虚拟标识，比如(P，R，time)，如图3所示。

通过前述将同一实体用户在不同异构身份管理系统中的虚拟身份标识关联起来后，权威/监管机构能够利用统一身份标识服务对某虚拟身份标识的实体用户进行追踪溯源，具体如下：

(1)查询自己数据库中在time时间段认证的联盟用户，并提取该时段所有监管密钥，假设有n对监管密钥：(PK0_i，PKA_i，SK0_i)，i＝1…n；

(2)对每对监管密钥，计算P′_i＝H_s(SK0_iR)+PKA_i，验证P′_i＝P是否成立；

(3)如步骤(2)中P′_i＝P成立，则提取相应的监管密钥(PK0_i，PKA_i，SK0_i)，在异构身份联盟链统一身份标识信息库中匹配相应的UID和AID，并提取该UID下其他公钥标识如(XID,PKX)等；

(4)对UID下其他公钥标识进一步提取监管密钥如(PK0，PKX，SK0)，计算相应链上地址P_X＝H_s(SK0R)+PKX，查找所有该实体用户的UID下所有链上虚拟标识，并调取这些虚拟标识在统一信任服务联盟的行为记录，完成后续分析。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于区块链防关联的统一异构身份标识方法，其特征在于，所述统一异构身份标识方法包括：基于区块链实现的异构身份联盟链存储预先达成共识的异构身份标识管理策略；当异构身份管理系统接入异构身份联盟链时，将触发相应智能合约根据预设的异构身份标识管理策略为该异构身份管理系统所辖用户提供统一身份标识服务，使同一实体用户在不同异构身份管理系统中的虚拟身份标识关联起来，从而使得权威/监管机构能够利用统一身份标识服务对某虚拟身份标识的实体用户进行追踪溯源；

所述为该异构身份管理系统所辖用户提供统一身份标识服务的方法为：基于隐身地址技术为各异构身份管理系统所辖用户派生链上虚拟标识，并将虚拟标识以权威/监管机构背书的形式记链；所述为该异构身份管理系统所辖用户提供统一身份标识服务的方法包括如下步骤：

(1)电信身份管理系统加入异构身份联盟链；

(2)对于电信身份管理系统所辖用户A申请接入异构身份联盟链的其他异构身份管理系统服务，在通过实体身份核验后，权威/监管机构根据预设的异构身份标识管理策略为其生成联盟身份标识UID和派生基础公私钥对(PK0，SK0)，连同用户A在原身份管理系统中对应的标识AID和公私钥对(PKA，SKA)，将UID、AID、PK0、PKA提取出来，和该用户A的操作记录一起写入权威/监管机构维护的异构身份联盟链统一身份标识信息库中，并在电信身份管理系统保存UID、SKA和AID；

(3)提取公钥对(PK0，PKA)做进一步计算：生成随机私钥r，计算R＝rG，使用公钥对(PK0，PKA)计算P＝H_s(rPK0)G+PKA，其中G为阶为n的基点；将(P，R)发送给权威/监管机构，由于权威/监管机构在实体身份核验时具有(PK0，SK0)和用户A原身份管理系统内公钥PKA，权威/监管机构计算P′＝H_S(SK0R)+PKA，然后判定P′＝P是否成立，如成立，则将认证时刻的虚拟标识(P,R,time)签名背书后记入异构身份联盟链；

(4)eID身份管理系统加入异构身份联盟链；

(5)对于eID身份管理系统所辖用户B，首先检查异构身份联盟链统一身份标识信息库中是否已有用户B的UID，若已有用户B的UID，则关联该UID用户对应的身份管理系统标识BID和公私钥对(PKB，SKB)，并将BID和PKB添加到该UID对应的身份信息表中，原有eID身份管理系统保存UID、SKB和BID，完成电信身份管理系统和eID身份管理系统用户在链上匿名标识方面对同一实体用户的身份关联和管理；同时客户端基于(PK0，PKB)派生链上匿名标识，发送权威/监管机构验证，权威/监管机构为该实体用户在异构身份联盟链上新匿名身份标识(P′,R′,time′)签名背书后记入异构身份联盟链，同理异构身份联盟链上的其他身份管理系统在面对该虚拟标识(P′,R′,time′)用户时，无法关联分析该实体用户的其他链上虚拟标识。

2.根据权利要求1所述的基于区块链防关联的统一异构身份标识方法，其特征在于，步骤(3)中判定P′＝P是否成立的依据为：如果P′＝P成立，则有rPK0＝SK0R成立，即rSK0G＝SK0rG＝SK0R成立。

3.根据权利要求1所述的基于区块链防关联的统一异构身份标识方法，其特征在于，步骤(1)和(4)中电信身份管理系统和eID身份管理系统加入异构身份联盟链的方法为：

(1)电信身份管理系统或eID身份管理系统的管理员填写审核资料，然后将审核资料传送给异构身份联盟系统，向异构身份联盟系统申请加入异构身份联盟链；

(2)异构身份联盟链管理员调用基础身份信息库中的开放接口，对来自电信身份管理系统或eID身份管理系统的审核资料的真实性进行核验，核验通过后则电信身份管理系统或eID身份管理系统加入异构身份联盟链。

4.根据权利要求1所述的基于区块链防关联的统一异构身份标识方法，其特征在于，所述权威/监管机构能够利用统一身份标识服务对某虚拟身份标识的实体用户进行追踪溯源的方法为：

(1)查询自己数据库中在time时间段认证的联盟用户，并提取该时间段所有监管密钥，假设有n对监管密钥：(PK0_i，PKA_i，SK0_i)，i＝1…n；

(2)对每对监管密钥，计算P′_i＝H_S(SK0_iR)+PKA_i，验证P′_i＝P是否成立；

(3)如步骤(2)中P′_i＝P成立，则提取相应的监管密钥(PK0_i，PKA_i，SK0_i)，在异构身份联盟链统一身份标识信息库中匹配相应的UID和AID，并提取该UID下其他公钥标识如(XID,PKX)；

(4)对UID下其他公钥标识进一步提取监管密钥如(PK0，PKX，SK0)，计算相应链上地址P_X＝H_S(SK0R)+PKX，查找所有该实体用户的UID下所有链上虚拟标识，并调取这些虚拟标识在统一信任服务联盟的行为记录，完成后续分析。

Images