CN113271311B - 一种跨链网络中的数字身份管理方法及系统 - Google Patents
一种跨链网络中的数字身份管理方法及系统 Download PDFInfo
- Publication number
- CN113271311B CN113271311B CN202110595324.4A CN202110595324A CN113271311B CN 113271311 B CN113271311 B CN 113271311B CN 202110595324 A CN202110595324 A CN 202110595324A CN 113271311 B CN113271311 B CN 113271311B
- Authority
- CN
- China
- Prior art keywords
- identity
- chain
- contract
- distributed digital
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title abstract description 109
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000012795 verification Methods 0.000 claims description 112
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010200 validation analysis Methods 0.000 claims description 4
- 239000000126 substance Substances 0.000 claims description 3
- 230000006870 function Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Finance (AREA)
- Computer Hardware Design (AREA)
- Strategic Management (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开一种跨链网络中的数字身份管理方法及系统,涉及区块链技术领域。该方法的一具体实施方式包括:通过区块链客户端向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应;通过所述身份服务节点根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上进行注册;当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。该实施方式提高了身份数据的安全性。
Description
技术领域
本发明涉及区块链技术领域,尤其涉及一种跨链网络中的数字身份管理方法及系统。
背景技术
在跨链网络的交易场景下,需要确认交易双方的属性是否真实,例如:真实的实体身份和来自哪一条区块链等。
目前许多服务商倾向于通过联盟身份的方式获取用户信息,即通过不同服务所信任的凭证登录这些服务。这种方式可能导致用户的身份数据被所信任的服务商滥用,降低用户数据的安全性;同时也会损害跨链网络和区块链系统的去中心化。
发明内容
有鉴于此,本发明实施例提供一种跨链网络中的数字身份管理方法及系统,通过跨链技术将区块链实体的身份信息注册到跨链网络中同样以区块链为基础架构的身份链中,使得区块链实体对应的分布式数字身份不可篡改且全局共享,这一方面提高了身份数据的安全性,另一方面也使得不同的区块链间的区块链实体可以就共享身份数据的内容和状态达成共识,形成分布式信任,从而也解决了跨链网络中因底层和算法的不一致导致跨链网络中不同区块链的实体间无法确认对方身份的问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种跨链网络中的数字身份管理方法。
本发明实施例的一种跨链网络中的数字身份管理方法包括:通过区块链客户端向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应;
通过所述身份服务节点根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上进行注册;
当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。
可选地,通过所述区块链客户端接收身份生成请求,所述身份生成请求指示了与所述分布式数字身份对应的原链标识;
根据所述原链标识调用原链上的身份生成合约,以根据所述身份生成合约生成所述分布式数字身份以及所述分布式数字身份对应的身份标识;
根据所述分布式数字身份以及所述身份标识,生成并发送所述注册请求。
可选地,还包括:
根据所述身份生成合约生成所述分布式数字身份对应的SPV证明;
根据所述分布式数字身份、所述身份标识以及所述SPV证明,生成并发送所述注册请求;
通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约对所述SPV证明进行验证;
当验证通过时,根据所述分布式身份管理合约保存所述分布式数字身份和所述身份标识,以在所述身份链上进行注册。
可选地,当原链上不存在与所述区块链实体对应的分布式数字身份时,根据所述身份生成合约生成所述分布式数字身份,所述分布式数字身份指示了所述原链标识、所述分布式数字身份对应的身份链、所述区块链实体的类型以及所述区块链实体在所述原链上的地址信息。
可选地,还包括:
通过所述区块链客户端接收身份更新请求,所述身份更新请求指示了待更新的分布式数字身份;
根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的更新接口;
根据所述身份注册合约发更新接口更新所述分布式数字身份以及所述分布式数字身份对应的身份标识。
可选地,所述调用所述分布式身份管理合约对所述分布式数字身份进行管理,包括:
通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述区块链实体是否在所述原链上存在;
当验证通过时,调用所述分布式身份管理合约中的更新函数,以通过所述更新函数保存更新后的分布式数字身份和更新后的身份标识。
可选地,还包括:
通过所述区块链客户端接收身份注销请求,所述身份注销请求指示了待注销的分布式数字身份;
根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的注销接口;
根据所述身份注册合约的注销接口,将原链上的分布式数字身份的状态更改为失效状态。
可选地,所述调用所述分布式身份管理合约对所述分布式数字身份进行管理,包括:
通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述分布式数字身份在所述原链上的状态是否已变更;
如果是,调用所述分布式身份管理合约中的注销函数,以通过所述注销函数保存所述分布式数字身份的失效状态。
可选地,所述管理请求为所述跨链网络中的跨链服务节点发送的身份验证请求;所述调用所述分布式身份管理合约对所述分布式数字身份进行管理,包括:
调用所述分布式身份管理合约的验证接口对所述身份验证请求所指示的分布式数字身份进行验证,当验证通过时,向发送所述身份验证请求的目标链返回与所述分布式数字身份对应的SPV证明和所述分布式数字身份对应的身份信息,以使所述目标链在验证所述SPV证明后,根据所述身份信息中包括的公钥信息,验证与所述分布式数字身份对应的区块链实体的签名。
可选地,当所述目标链验证所述区块链实体的签名通过时,还包括:
响应所述区块链实体发起的跨链交易。
可选地,通过所述跨链服务节点接收所述目标链发送的身份验证请求,所述身份验证请求指示了待验证的分布式数字身份;
根据所述分布式数字身份所指示的身份链,将所述身份验证请求转发给所述身份链,以使所述身份链上的身份服务节点调用所述身份管理合约。
可选地,还包括:
通过所述区块链客户端接收凭证生成请求,所述凭证生成请求指示了与待生成凭证对应的分布式数字身份、凭证生成合约的合约地址;
根据所述分布式数字身份对应的原链以及所述合约地址,调用相应的凭证生成合约;
根据所述凭证生成合约生成身份凭证。
可选地,所述根据所述凭证生成合约生成身份凭证,包括:
通过所述凭证生成合约调用所述原链上的身份注册合约,以对所述分布式数字身份进行验证;
当验证通过时,根据所述凭证生成请求所指示的凭证名称,生成所述身份凭证,并将所述身份凭证返回给所述区块链客户端。
可选地,当所述跨链网络中的凭证验证合约接收到凭证验证请求时,还包括:
获取所述凭证验证请求所对应的分布式数字身份的身份信息;
根据所述身份信息包括的公钥信息,验证所述凭证验证请求的签名;
当验证通过时,调用所述跨链网络中的SPV验证合约,对所述凭证验证请求所指示的身份凭证的真实性进行验证。
为实现上述目的,根据本发明实施例的又一方面,提供了一种跨链网络中的数字身份管理系统。
本发明实施例的一种跨链网络中的数字身份管理系统包括:区块链客户端、身份服务节点、身份链和管理模块;其中,
所述区块链客户端,用于向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应;
所述身份服务节点,用于根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上进行注册;
所述管理模块,用于当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。
为实现上述目的,根据本发明实施例的又一方面,提供了一种跨链网络中的数字身份管理装置。
本发明实施例的一种跨链网络中的数字身份管理装置包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例的一种跨链网络中的数字身份管理方法。
为实现上述目的,根据本发明实施例的再一方面,提供了一种计算机可读存储介质。
本发明实施例的一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例的一种跨链网络中的数字身份管理方法。
上述发明中的一个实施例具有如下优点或有益效果:通过跨链技术将区块链实体的身份信息注册到跨链网络中同样以区块链为基础架构的身份链中,使得区块链实体对应的分布式数字身份不可篡改且全局共享,这一方面提高了身份数据的安全性,另一方面也使得不同的区块链间的区块链实体可以就共享身份数据的内容和状态达成共识,形成分布式信任,从而也解决了跨链网络中因底层和算法的不一致导致跨链网络中不同区块链的实体间无法确认对方身份的问题。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的一种跨链网络中的数字身份管理方法的主要步骤的示意图;
图2是根据本发明实施例的一种跨链网络中的数字身份管理系统的架构示意图;
图3是根据本发明实施例的一种生成分布式数字身份主要步骤的示意图;
图4是根据本发明实施例的一种注册分布式数字身份主要步骤的示意图;
图5是根据本发明实施例的一种更新分布式数字身份主要步骤的示意图;
图6是根据本发明实施例的一种注销分布式数字身份主要步骤的示意图;
图7是根据本发明实施例的一种验证分布式数字身份主要步骤的示意图;
图8是根据本发明实施例的一种生成和验证身份凭证的主要步骤的示意图;
图9是根据本发明实施例的一种跨链网络中的数字身份管理系统的主要模块的示意图;
图10是本发明实施例可以应用于其中的示例性系统架构图;
图11是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要指出的是,在不冲突的情况下,本发明的实施例以及实施例中的技术特征可以相互结合。
图1是根据本发明实施例的一种跨链网络中的数字身份管理方法的主要步骤的示意图。
如图1所示,本发明实施例的一种跨链网络中的数字身份管理方法主要包括以下步骤:
步骤S101:通过区块链客户端向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应。
步骤S102:通过所述身份服务节点根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上进行注册。
步骤S103:当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。
其中,跨链网络是由任意的区块链系统组成的网络,网络中的节点为某一条区块链,各个区块链之间可以通过跨链通信技术进行信息的交互。区块链实体可以为跨链网络中的交易实体,如用户、企业和组织架构等。
本发明实施例提供的跨链网络中的数字身份管理方法可以基于跨链网络中的数字身份管理系统实现,该系统的架构示意图可如图2所示。参考图2,该数字身份管理系统可以分为四层,分别是基础存储层、合约层、中间件层、客户端层。基础存储层负责分布式数字身份的身份标识以及与该身份标识对应的身份信息所属身份文档的存储,合约层负责系统中分布式数字身份的全生命周期的管理,中间件层负责接收客户端的请求,客户端层为整个跨链网络提供本地的分布式身份管理。
其中,基础存储层主要分为两个模块,身份链和区块链跨链网路,身份链是由区块链技术实现的分布式账本,该账本作为跨链网络中的一部分,存储跨链网络中实体的分布式数字身份的身份标识以及分布式数字身份的身份信息,实现数字身份的安全存储和安全共享,为上层的合约层提供数字身份信息存贮和查询支撑。
合约层主要包含四个主要的智能合约,分布式数字身份生成合约(以下简称身份生成合约)、凭证生成合约、分布式身份管理合约、凭证验证合约和SPV验证合约。身份生成合约实现了分布式数字身份的和SPV证明的生成,SPV证明是分布式数字身份对应的实体确实存在于某一条链上的声明。凭证生成合约用于生成实体在链上属性的声明,分布式身份管理合约包含分布式数字身份的注册、验证、更新和删除等相关的业务逻辑,是合约层的核心合约。凭证验证合约和SPV验证合约分别负责验证身份凭证和SPV证明。特别的,凭证生成合约和凭证验证合约一一对应,分别部署在原链和目标链上。数字身份生成合约和分布式身份管理合约分别部署在跨链网络节点和身份链上。合约层通过智能合约技术实现了身份生成和认证、以及凭证生成和验证相关业务逻辑的强制执行,借助基础存储层对跨链网络中的数字身份实现了写入、查询、更新和撤销操作。
中间层作为客户端和合约层之间的桥梁,不作业务逻辑判断,只进行身份管理和认证请求的转发。中间件层包括身份服务节点、凭证服务节点、跨链服务节点。身份服务节点收集身份管理合约的调用请求并调用身份管理合约的相应接口。同时,身份服务节点也是身份链的网关,只会对合规的请求进行应答。跨链服务节点对跨链网络中的信息进行寻址和转发。凭证服务节点对接外部可信的第三方凭证颁发机构,生成无法由合约层生成的凭证。目标链在验证该凭证时,通过身份链查询相应第三方机构的凭证信息。
客户端层为整个跨链网络提供本地的分布式身份管理,并通过客户端主要包括区块链客户端,身份钱包和凭证钱包等。
该数字身份管理系统通过分布式数字身份及其标识对整个跨链网络中的实体进行身份的标记。利用跨链和智能合约技术,对分布式身份标识以及分布式身份信息对应的文档进行生成、注册、更新、注销的全生命周期管理,同时支持异构链之间身份的跨链验证。
在本发明一个实施例中,在跨链网络中的区块链实体通过区块链客户端向身份服务节点发送身份注册请求之前,在其对应的原链上先生成分布式数字身份。具体地,可以通过所述区块链客户端接收身份生成请求,所述身份生成请求指示了与所述分布式数字身份对应的原链标识;根据所述原链标识调用原链上的身份生成合约,以根据所述身份生成合约生成所述分布式数字身份以及所述分布式数字身份对应的身份标识;根据所述分布式数字身份以及所述身份标识,生成并发送所述注册请求。
另外,在本发明一个实施例中,在生成身份标识时,还可以根据所述身份生成合约生成所述分布式数字身份对应的SPV证明;然后根据所述分布式数字身份、所述身份标识以及所述SPV证明,生成并发送所述注册请求;通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约对所述SPV证明进行验证;当验证通过时,根据所述分布式身份管理合约保存所述分布式数字身份和所述身份标识,以在所述身份链上进行注册。
上述实施例的过程可如图3和图4所示。在发送身份注册请求之前,跨链网络中的区块链实体通过如图3所示的方式,在原链上生成分布式数字身份。具体地,区块链实体通过区块链客户端发送指令给原链上的身份生成合约,身份生成合约查询该区块链实体在链上是否存在部署有分布式数字身份。可以理解的是,分布式数字身份及其对应的身份标识一般是一起生成的,也就是说,在生成分布式数字身份时,即对应生成该分布式数字身份的身份标识,因此,身份生成合约可以通过查询该区块链上是否部署有该区块链实体对应的身份标识(DCID)的方式,来确定区块链上是否部署有分布式数字身份(DcidDoc);如果不存在,根据所述身份生成合约生成所述分布式数字身份,所述分布式数字身份指示了所述原链标识、所述分布式数字身份对应的身份链、所述区块链实体的类型以及所述区块链实体在所述原链上的地址信息。
例如,按照跨链网络中生成DCID的结构生成分布式数字身份及其身份标识,其中,DCID的结构可以由下列字段组成:<chainID:example:type:address>,chainID为生成分布式数字身份的区块链(原链)在跨链网络中的唯一编号,example是跨链网络中关于身份链的描述,跨链网络中存在多条身份链,type为区块链实体类型,address为区块链实体在该区块链(原链)上的地址信息。当然,若身份生成合约查询到该区块链实体在链上已部署有分布式数字身份,则直接结束,而无需重复为同一区块链实体生成分布式数字身份。
在原链上生成分布式数字身份之后,跨链网络中的区块链实体需要将该分布式数字身份在跨链网络中进行注册,以将区块链实体的身份信息注册到跨链网络中同样以区块链为基础架构的身份链中,使得区块链实体对应的分布式数字身份不可篡改且全局共享,该过程可如图4所示。首先,区块链实体通过跨链客户端,提交身份生成请求,跨链请求格式如下:<chainID:example:type:sign:register>;跨链客户端解析请求,根据跨链请求中的chainID字段,调用相应区块链系统中身份注册合约的注册接口(register接口)。然后,身份注册合约根据DCID的生成算法生成分布式数字身份,并返回SPV证明和生成的DCID。接着,跨链客户端可以向身份服务节点提交身份注册请求:<DCID:DcidDoc:SPV:sign>,身份服务节点在接收到身份注册请求后,可以调用身份链的SPV验证合约,验证实体确实在原链上存在。验证通过后,调用身份链上的分布式身份管理合约的注册函数,使得身份管理合约保存DCID和DcidDoc,从而完成分布式数字身份在跨链网络中的注册。
在本发明一个实施例中,对分布式数字身份的管理请求可以是对其的更新请求。当对分布式数字身份进行更新时,通过所述区块链客户端接收身份更新请求,所述身份更新请求指示了待更新的分布式数字身份;根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的更新接口;根据所述身份注册合约发更新接口更新所述分布式数字身份以及所述分布式数字身份对应的身份标识。
进一步地,通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述区块链实体是否在所述原链上存在;当验证通过时,调用所述分布式身份管理合约中的更新函数,以通过所述更新函数保存更新后的分布式数字身份和更新后的身份标识。
上述对分布式数字身份的更新过程可如图5所示。首先,跨链网络中的区块链实体通过跨链客户端提交身份更新请求,请求格式可由如下字段组成:<chainID:example:type:sign:update>,然后,跨链客户端解析该身份更新请求,并根据身份更新请求中的chainID字段,调用相应原链上身份注册合约的更新接口(update接口)。身份注册合约判断区块链实体是否存在DCID,如果存在更新DCID,生成新的DCID_new。接着,跨链客户端向身份服务节点提交身份更新请求:<DCID_new:DcidDoc_new:SPV:sign:update>,身份服务节点调用身份链的SPV验证合约,验证区块链实体确实在原链上存在,验证通过后,调用身份链上的分布式身份管理合约更新函数,通过身份管理合约保存DCID_new和DcidDoc_new,完成更新后的分布式数字身份在跨链网络中的注册。
在本发明一个实施例中,对分布式数字身份的管理请求可以是对其的注销请求。当对分布式数字身份进行注销时,通过所述区块链客户端接收身份注销请求,所述身份注销请求指示了待注销的分布式数字身份;根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的注销接口;根据所述身份注册合约的注销接口,将原链上的分布式数字身份的状态更改为失效状态。
进一步地,通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述分布式数字身份在所述原链上的状态是否已变更;如果是,调用所述分布式身份管理合约中的注销函数,以通过所述注销函数保存所述分布式数字身份的失效状态。
上述对分布式数字身份的注销过程可如图6所示。首先,跨链网络中的区块链实体通过跨链客户端,提交身份注销请求,跨链请求格式可以如下:<chainID:example:type:sign:delete>。跨链客户端解析该身份注销请求,并根据DCID中的chainID字段,调用相应原链中身份注册合约的注销接口(delete接口)。身份注册合约判断实体是否存在注销请求对应的分布式数字身份,若存在,则变更该分布式数字身份的状态为失效状态。接着,跨链客户端向身份服务节点提交身份注销请求:<DCID:SPV:sign:delete>,身份服务节点调用身份链的SPV验证合约,验证该DCID对应的分布式数字身份状态是否已变更(由正常状态变更为失效状态)。验证通过后,调用身份链上的分布式身份管理合约注销函数。注销函数变更保存在身份链上的DCID和DCID所对应DcidDoc的状态,状态变更为失效状态的分布式数字身份及其对应的文档无法通过合约接口访问到。
另外,在本发明一个实施例中,对分布式数字身份的管理还可以是对相应身份的验证,在此情况下,所述管理请求为所述跨链网络中的跨链服务节点发送的身份验证请求;对分布式数字身份进行管理时,可以先通过跨链服务节点接收所述目标链发送的身份验证请求,所述身份验证请求指示了待验证的分布式数字身份;根据所述分布式数字身份所指示的身份链,将所述身份验证请求转发给所述身份链,以使所述身份链上的身份服务节点调用所述身份管理合约。
然后,调用所述分布式身份管理合约的验证接口对所述身份验证请求所指示的分布式数字身份进行验证,当验证通过时,向发送所述身份验证请求的目标链返回与所述分布式数字身份对应的SPV证明和所述分布式数字身份对应的身份信息,以使所述目标链在验证所述SPV证明后,根据所述身份信息中包括的公钥信息,验证与所述分布式数字身份对应的区块链实体的签名。
上述对分布式数字身份的验证过程可以如图7所示。当跨链网络中的任一区块链需要对某个区块链实体对应的分布式数字身份进行验证时,其可作为目标链根据跨链交易的业务合约发送关于DCID的身份验证请求。在接收到身份验证请求后,跨链服务节点解析DCID,根据example字段将请求转发到对应身份链的身份服务节点。然后,身份服务节点触发身份链上的身份管理合约的验证接口,以验证DCID是否存在。验证通过后,向目标链返回DCID对应的SPV证明和DcidDoc。目标链则可在验证SPV证明后,根据DcidDoc中的公钥信息验证跨链交易请求的签名,该跨链交易请求的签名即为分布式数字身份对应的区块链实体的签名。
可以理解的是,当验证签名通过后,目标链可确定相应的跨链交易请求确实由相应的区块链实体发起,且该区块链实体的身份信息真实可信,则目标链可以响应区块链实体发起的跨链交易,从而保证交易安全性。
在本发明一个实施例中,数字身份管理系统还可实现身份凭证的生成、验证和流转。在生成身份凭证时,可以通过所述区块链客户端接收凭证生成请求,所述凭证生成请求指示了与待生成凭证对应的分布式数字身份、凭证生成合约的合约地址;根据所述分布式数字身份对应的原链以及所述合约地址,调用相应的凭证生成合约;根据所述凭证生成合约生成身份凭证。
具体地,在本发明一个实施方式中,可以通过如下方式生成身份凭证:通过所述凭证生成合约调用所述原链上的身份注册合约,以对所述分布式数字身份进行验证;当验证通过时,根据所述凭证生成请求所指示的凭证名称,生成所述身份凭证,并将所述身份凭证返回给所述区块链客户端。
参考图8,区块链实体通过区块链客户端发送凭证生成请求:<DCID:contractAddress:[certificate_name]>,其中contractAddress是凭证生成合约的合约地址,certificate_name是凭证的名称。区块链客户端根据凭证生成请求中的contractAddress和DCID中的chainID字段调用对应的凭证生成合约。凭证生成合通过合约调用的机制,调用所原链的身份注册合约,验证请求中的DCID字段是否由该区块链实体的地址生成。验证通过后,根据请求中的certificate_names字段调用凭证生成合约的对应接口,生成身份凭证cer:<certificate:DCID:hash>,并将生成的身份凭证和生成身份凭证的SPV证明返回给区块链客户端进行身份凭证的流转。
在身份凭证的流转过程中,就会涉及身份凭证的验证:当所述跨链网络中的凭证验证合约接收到凭证验证请求时,获取所述凭证验证请求所对应的分布式数字身份的身份信息;根据所述身份信息包括的公钥信息,验证所述凭证验证请求的签名;当验证通过时,调用所述跨链网络中的SPV验证合约,对所述凭证验证请求所指示的身份凭证的真实性进行验证。
继续参考图8,凭证验证合约收到凭证验证请求:<cer:sign>,其中,sign是区块链实体对凭证信息的签名,凭证验证合约根据cer中的DCID字段获取分布式数字身份的身份信息(DcidDoc)、以及sign的公钥信息。然后,凭证验证合约验证sign,验证通过后调用跨链网络中的SPV合约,来验证身份凭证的真实性,由此实现了身份凭证的验证。
根据本发明实施例的一种跨链网络中的数字身份管理方法可以看出,通过跨链技术将区块链实体的身份信息注册到跨链网络中同样以区块链为基础架构的身份链中,使得区块链实体对应的分布式数字身份不可篡改且全局共享,这一方面提高了身份数据的安全性,另一方面也使得不同的区块链间的区块链实体可以就共享身份数据的内容和状态达成共识,形成分布式信任,从而也解决了跨链网络中因底层和算法的不一致导致跨链网络中不同区块链的实体间无法确认对方身份的问题。
另外,跨链网络中的分布式数字身份以键值对的形式存储在区块链上,其中分布式数字身份标识是区块链实体的在跨链网络中的唯一标识,由区块链ID、分布式数字身份文档存储位置、身份的属性和实体在区块链中的地址组成。分布式数字身份文档为标识所对应的值,是分布式数字身份的描述,包括加密信息,例如公钥、所使用的签名协议、时间戳以及签名等,其中签名用来证明分布式数字身份文档的合法性。根据分布式数字身份文档,可以验证凭证以及身份的正确性。
在实现本发明任一实施例提供的跨链网络中的数字身份管理方法的系统中,分布式数字身份和身份凭证的生成、注册、更新注销等业务逻辑以智能合约的形式部署在不同区块链中。区块链实体通过智能合约提供的调用接口,对分布式数字身份和身份凭证进行全生命周期的管理。同时,智能合约的自动执行和强制性,确保任何单一的第三方都不可能危及系统的完整性和安全性。
进一步地,实体生成的分布式数字身份和身份凭证通过跨链服务节点在各区块链之间传递。跨链服务节点具有区块链路由功能,维护网络中各区块链的路由信息,当收到跨链消息时,查找本地的区块链路由表并根据消息中的合约地址调用合约完成分布式数字身份和身份凭证的流转。跨链服务节点在流传过程中不会对身份和凭证进行逻辑处理,仅进行消息的转发。这样的设计保证了跨链服务节点是否安全不会影响认证环节的正确性和安全性。
使用区块链系统自身所实现的SPV证明协议完成身份和凭证的验证。身份和凭证通过智能合约生成并以日志或者交易的形式被区块链系统所记录。区块链系统将所有的日志生成MPT树或merkle树,并将根节点存入区块链头部。SP证明则是某一日志到根节点的的路径。通过SPV证明,区块链系统间可以确定身份和凭证是否正确生成。
身份服务节点是访问身份链的唯一接口,和跨链服务节点一样,身份服务节点接收请求,根据请求触发身份管理合约对应方法。其和跨链服务节点的主要区别在于,身份服务节点具有访问控制功能,身份服务节点将仅开放对身份管理合约公共接口的访问,从而保护链上身份信息的安全和隐私。
图9是根据本发明实施例的一种跨链网络中的数字身份管理系统的主要模块的示意图。
如图9所示,本发明实施例的一种跨链网络中的数字身份管理系统900包括:区块链客户端901、身份服务节点902、身份链903和管理模块904;其中,
所述区块链客户端901,用于向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应;
所述身份服务节点902,用于根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上903进行注册;
所述管理模块904,用于当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。
在本发明一个实施例中,所述区块链客户端901,用于接收身份生成请求,所述身份生成请求指示了与所述分布式数字身份对应的原链标识;根据所述原链标识调用原链上的身份生成合约,以根据所述身份生成合约生成所述分布式数字身份以及所述分布式数字身份对应的身份标识;根据所述分布式数字身份以及所述身份标识,生成并发送所述注册请求。
在本发明一个实施例中,根据所述身份生成合约生成所述分布式数字身份对应的SPV证明;根据所述分布式数字身份、所述身份标识以及所述SPV证明,生成并发送所述注册请求;所述身份服务节点902,用于调用所述身份链上的SPV验证合约,以根据所述SPV验证合约对所述SPV证明进行验证;当验证通过时,根据所述分布式身份管理合约保存所述分布式数字身份和所述身份标识,以在所述身份链上进行注册。
在本发明一个实施例中,当原链上不存在与所述区块链实体对应的分布式数字身份时,根据所述身份生成合约生成所述分布式数字身份,所述分布式数字身份指示了所述原链标识、所述分布式数字身份对应的身份链、所述区块链实体的类型以及所述区块链实体在所述原链上的地址信息。
在本发明一个实施例中,所述区块链客户端901,用于接收身份更新请求,所述身份更新请求指示了待更新的分布式数字身份;根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的更新接口;根据所述身份注册合约发更新接口更新所述分布式数字身份以及所述分布式数字身份对应的身份标识。
在本发明一个实施例中,所述管理模块902,用于通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述区块链实体是否在所述原链上存在;当验证通过时,调用所述分布式身份管理合约中的更新函数,以通过所述更新函数保存更新后的分布式数字身份和更新后的身份标识。
在本发明一个实施例中,所述区块链客户端901,用于接收身份注销请求,所述身份注销请求指示了待注销的分布式数字身份;根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的注销接口;根据所述身份注册合约的注销接口,将原链上的分布式数字身份的状态更改为失效状态。
在本发明一个实施例中,所述管理模块904,用于通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述分布式数字身份在所述原链上的状态是否已变更;如果是,调用所述分布式身份管理合约中的注销函数,以通过所述注销函数保存所述分布式数字身份的失效状态。
在本发明一个实施例中,所述管理请求为所述跨链网络中的跨链服务节点发送的身份验证请求;所述管理模块904,用于调用所述分布式身份管理合约的验证接口对所述身份验证请求所指示的分布式数字身份进行验证,当验证通过时,向发送所述身份验证请求的目标链返回与所述分布式数字身份对应的SPV证明和所述分布式数字身份对应的身份信息,以使所述目标链在验证所述SPV证明后,根据所述身份信息中包括的公钥信息,验证与所述分布式数字身份对应的区块链实体的签名。
在本发明一个实施例中,所述管理模块904,还用于当所述目标链验证所述区块链实体的签名通过时,响应所述区块链实体发起的跨链交易。
在本发明一个实施例中,所述管理模块904,用于通过所述跨链服务节点接收所述目标链发送的身份验证请求,所述身份验证请求指示了待验证的分布式数字身份;根据所述分布式数字身份所指示的身份链,将所述身份验证请求转发给所述身份链,以使所述身份链上的身份服务节点调用所述身份管理合约。
在本发明一个实施例中,所述区块链客户端901,还用于接收凭证生成请求,所述凭证生成请求指示了与待生成凭证对应的分布式数字身份、凭证生成合约的合约地址;
所述管理模块904,还用于根据所述分布式数字身份对应的原链以及所述合约地址,调用相应的凭证生成合约;根据所述凭证生成合约生成身份凭证。
在本发明一个实施例中,所述管理模块904,用于通过所述凭证生成合约调用所述原链上的身份注册合约,以对所述分布式数字身份进行验证;当验证通过时,根据所述凭证生成请求所指示的凭证名称,生成所述身份凭证,并将所述身份凭证返回给所述区块链客户端。
在本发明一个实施例中,当所述跨链网络中的凭证验证合约接收到凭证验证请求时,所述管理模块904,用于获取所述凭证验证请求所对应的分布式数字身份的身份信息;根据所述身份信息包括的公钥信息,验证所述凭证验证请求的签名;当验证通过时,调用所述跨链网络中的SPV验证合约,对所述凭证验证请求所指示的身份凭证的真实性进行验证。
根据本发明实施例的一种跨链网络中的数字身份管理系统可以看出,通过跨链技术将区块链实体的身份信息注册到跨链网络中同样以区块链为基础架构的身份链中,使得区块链实体对应的分布式数字身份不可篡改且全局共享,这一方面提高了身份数据的安全性,另一方面也使得不同的区块链间的区块链实体可以就共享身份数据的内容和状态达成共识,形成分布式信任,从而也解决了跨链网络中因底层和算法的不一致导致跨链网络中不同区块链的实体间无法确认对方身份的问题。
图10示出了可以应用本发明实施例的一种跨链网络中的数字身份管理方法或一种跨链网络中的数字身份管理系统的示例性系统架构1000。
如图10所示,系统架构1000可以包括终端设备1001、1002、1003,网络1004和服务器1005。网络1004用以在终端设备1001、1002、1003和服务器1005之间提供通信链路的介质。网络1004可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备1001、1002、1003通过网络1004与服务器1005交互,以接收或发送消息等。终端设备1001、1002、1003上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备1001、1002、1003可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器1005可以是提供各种服务的服务器,例如对用户利用终端设备1001、1002、1003所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本发明实施例所提供的一种跨链网络中的数字身份管理方法一般由服务器1005执行,相应地,一种跨链网络中的数字身份管理系统一般设置于服务器1005中。
应该理解,图10中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图11,其示出了适于用来实现本发明实施例的终端设备的计算机系统1100的结构示意图。图11示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图11所示,计算机系统1100包括中央处理单元(CPU)1101,其可以根据存储在只读存储器(ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(RAM)1103中的程序而执行各种适当的动作和处理。在RAM 1103中,还存储有系统1100操作所需的各种程序和数据。CPU 1101、ROM 1102以及RAM 1103通过总线1104彼此相连。输入/输出(I/O)接口1105也连接至总线1104。
以下部件连接至I/O接口1105:包括键盘、鼠标等的输入部分1106;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1107;包括硬盘等的存储部分1108;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1110上,以便于从其上读出的计算机程序根据需要被安装入存储部分1108。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1109从网络上被下载和安装,和/或从可拆卸介质1111被安装。在该计算机程序被中央处理单元(CPU)1101执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:通过区块链客户端向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应;通过所述身份服务节点根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上进行注册;当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。
根据本发明实施例的技术方案,通过跨链技术将区块链实体的身份信息注册到跨链网络中同样以区块链为基础架构的身份链中,使得区块链实体对应的分布式数字身份不可篡改且全局共享,这一方面提高了身份数据的安全性,另一方面也使得不同的区块链间的区块链实体可以就共享身份数据的内容和状态达成共识,形成分布式信任,从而也解决了跨链网络中因底层和算法的不一致导致跨链网络中不同区块链的实体间无法确认对方身份的问题。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (16)
1.一种跨链网络中的数字身份管理方法,其特征在于,包括:
通过区块链客户端接收身份生成请求,所述身份生成请求指示了与分布式数字身份对应的原链标识;
根据所述原链标识调用原链上的身份生成合约,以根据所述身份生成合约生成所述分布式数字身份以及所述分布式数字身份对应的身份标识;所述分布式数字身份指示了所述原链标识、所述分布式数字身份对应的身份链、区块链实体的类型以及所述区块链实体在所述原链上的地址信息;
根据所述分布式数字身份以及所述身份标识,通过所述区块链客户端向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应;
通过所述身份服务节点根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上进行注册;
当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。
2.根据权利要求1所述的方法,其特征在于,还包括:
根据所述身份生成合约生成所述分布式数字身份对应的SPV证明;
根据所述分布式数字身份、所述身份标识以及所述SPV证明,生成并发送所述注册请求;
通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约对所述SPV证明进行验证;
当验证通过时,根据所述分布式身份管理合约保存所述分布式数字身份和所述身份标识,以在所述身份链上进行注册。
3.根据权利要求1所述的方法,其特征在于,
当原链上不存在与所述区块链实体对应的分布式数字身份时,根据所述身份生成合约生成所述分布式数字身份。
4.根据权利要求1所述的方法,其特征在于,还包括:
通过所述区块链客户端接收身份更新请求,所述身份更新请求指示了待更新的分布式数字身份;
根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的更新接口;
根据所述身份注册合约发更新接口更新所述分布式数字身份以及所述分布式数字身份对应的身份标识。
5.根据权利要求4所述的方法,其特征在于,所述调用所述分布式身份管理合约对所述分布式数字身份进行管理,包括:
通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述区块链实体是否在所述原链上存在;
当验证通过时,调用所述分布式身份管理合约中的更新函数,以通过所述更新函数保存更新后的分布式数字身份和更新后的身份标识。
6.根据权利要求1所述的方法,其特征在于,还包括:
通过所述区块链客户端接收身份注销请求,所述身份注销请求指示了待注销的分布式数字身份;
根据所述分布式数字身份中包括的原链标识,调用原链上的身份注册合约的注销接口;
根据所述身份注册合约的注销接口,将原链上的分布式数字身份的状态更改为失效状态。
7.根据权利要求6所述的方法,其特征在于,所述调用所述分布式身份管理合约对所述分布式数字身份进行管理,包括:
通过所述身份服务节点调用所述身份链上的SPV验证合约,以根据所述SPV验证合约确定所述分布式数字身份在所述原链上的状态是否已变更;
如果是,调用所述分布式身份管理合约中的注销函数,以通过所述注销函数保存所述分布式数字身份的失效状态。
8.根据权利要求1所述的方法,其特征在于,所述管理请求为所述跨链网络中的跨链服务节点发送的身份验证请求;所述调用所述分布式身份管理合约对所述分布式数字身份进行管理,包括:
调用所述分布式身份管理合约的验证接口对所述身份验证请求所指示的分布式数字身份进行验证,当验证通过时,向发送所述身份验证请求的目标链返回与所述分布式数字身份对应的SPV证明和所述分布式数字身份对应的身份信息,以使所述目标链在验证所述SPV证明后,根据所述身份信息中包括的公钥信息,验证与所述分布式数字身份对应的区块链实体的签名。
9.根据权利要求8所述的方法,其特征在于,当所述目标链验证所述区块链实体的签名通过时,还包括:
响应所述区块链实体发起的跨链交易。
10.根据权利要求8所述的方法,其特征在于,
通过所述跨链服务节点接收所述目标链发送的身份验证请求,所述身份验证请求指示了待验证的分布式数字身份;
根据所述分布式数字身份所指示的身份链,将所述身份验证请求转发给所述身份链,以使所述身份链上的身份服务节点调用所述身份管理合约。
11.根据权利要求1所述的方法,其特征在于,还包括:
通过所述区块链客户端接收凭证生成请求,所述凭证生成请求指示了与待生成凭证对应的分布式数字身份、凭证生成合约的合约地址;
根据所述分布式数字身份对应的原链以及所述合约地址,调用相应的凭证生成合约;
根据所述凭证生成合约生成身份凭证。
12.根据权利要求11所述的方法,其特征在于,所述根据所述凭证生成合约生成身份凭证,包括:
通过所述凭证生成合约调用所述原链上的身份注册合约,以对所述分布式数字身份进行验证;
当验证通过时,根据所述凭证生成请求所指示的凭证名称,生成所述身份凭证,并将所述身份凭证返回给所述区块链客户端。
13.根据权利要求12所述的方法,其特征在于,当所述跨链网络中的凭证验证合约接收到凭证验证请求时,还包括:
获取所述凭证验证请求所对应的分布式数字身份的身份信息;
根据所述身份信息包括的公钥信息,验证所述凭证验证请求的签名;
当验证通过时,调用所述跨链网络中的SPV验证合约,对所述凭证验证请求所指示的身份凭证的真实性进行验证。
14.一种跨链网络中的数字身份管理系统,其特征在于,包括:区块链客户端、身份服务节点、身份链和管理模块;其中,
所述区块链客户端,用于接收身份生成请求,所述身份生成请求指示了与分布式数字身份对应的原链标识;根据所述原链标识调用原链上的身份生成合约,以根据所述身份生成合约生成所述分布式数字身份以及所述分布式数字身份对应的身份标识;根据所述分布式数字身份以及所述身份标识,向所述跨链网络中的身份服务节点发送身份注册请求,所述身份注册请求指示了待注册的分布式数字身份,所述分布式数字身份与区块链实体相对应;所述分布式数字身份指示了所述原链标识、所述分布式数字身份对应的身份链、区块链实体的类型以及所述区块链实体在所述原链上的地址信息;
所述身份服务节点,用于根据所述身份注册请求,调用所述跨链网络中的身份链上的分布式身份管理合约,以根据所述分布式身份管理合约将所述分布式数字身份在所述身份链上进行注册;
所述管理模块,用于当接收到针对所述分布式数字身份的管理请求时,调用所述分布式身份管理合约对所述分布式数字身份进行管理。
15.一种跨链网络中的数字身份管理装置,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-13中任一所述的方法。
16.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-13中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110595324.4A CN113271311B (zh) | 2021-05-28 | 2021-05-28 | 一种跨链网络中的数字身份管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110595324.4A CN113271311B (zh) | 2021-05-28 | 2021-05-28 | 一种跨链网络中的数字身份管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113271311A CN113271311A (zh) | 2021-08-17 |
CN113271311B true CN113271311B (zh) | 2022-11-15 |
Family
ID=77233516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110595324.4A Active CN113271311B (zh) | 2021-05-28 | 2021-05-28 | 一种跨链网络中的数字身份管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113271311B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113806699B (zh) * | 2021-09-30 | 2023-12-01 | 中国人民解放军国防科技大学 | 一种云际计算环境中跨区块链身份验证方法及系统 |
CN114338081B (zh) * | 2021-11-29 | 2024-01-23 | 上海浦东发展银行股份有限公司 | 多区块链统一身份认证方法、装置、计算机设备 |
CN114499877B (zh) * | 2022-01-13 | 2023-10-03 | 熵链科技(福建)有限公司 | 区块链BaaS中组织对多条链的统一管理接口的方法 |
CN114615095B (zh) * | 2022-05-12 | 2022-09-09 | 北京邮电大学 | 区块链跨链数据处理方法、中继链、应用链及跨链网络 |
CN114978668B (zh) * | 2022-05-19 | 2023-05-02 | 中国人民大学 | 一种跨链数据实体身份管理和认证方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112508560A (zh) * | 2020-12-01 | 2021-03-16 | 浙商银行股份有限公司 | 区块链跨链身份认证和权限管控方法、装置及计算机设备 |
CN112712372A (zh) * | 2020-12-30 | 2021-04-27 | 东软集团股份有限公司 | 联盟链跨链系统和信息调用方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10701054B2 (en) * | 2018-01-31 | 2020-06-30 | Salesforce.Com, Inc. | Systems, methods, and apparatuses for implementing super community and community sidechains with consent management for distributed ledger technologies in a cloud based computing environment |
JP7317137B2 (ja) * | 2019-03-28 | 2023-07-28 | エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー | 空港内における旅行者の本人確認管理をサポートするための方法及び分散型台帳システム |
-
2021
- 2021-05-28 CN CN202110595324.4A patent/CN113271311B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112508560A (zh) * | 2020-12-01 | 2021-03-16 | 浙商银行股份有限公司 | 区块链跨链身份认证和权限管控方法、装置及计算机设备 |
CN112712372A (zh) * | 2020-12-30 | 2021-04-27 | 东软集团股份有限公司 | 联盟链跨链系统和信息调用方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113271311A (zh) | 2021-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113271311B (zh) | 一种跨链网络中的数字身份管理方法及系统 | |
CN108665372B (zh) | 基于区块链的信息处理、查询、储存方法和装置 | |
CN108810006B (zh) | 资源访问方法、装置、设备及存储介质 | |
TWI700603B (zh) | 數位證書使用的實現方法和用於執行上述方法的電腦設備及電腦可讀儲存媒體 | |
CN109241181A (zh) | 数据库操作方法和装置 | |
KR101130405B1 (ko) | 아이덴티티 인식 방법 및 시스템 | |
CN113271211A (zh) | 一种数字身份验证系统、方法、电子设备及存储介质 | |
US11496302B2 (en) | Securely processing secret values in application configurations | |
WO2022193984A1 (zh) | 跨链进行数据传输的方法、装置、计算机设备、存储介质和计算机程序产品 | |
CN112712372B (zh) | 联盟链跨链系统和信息调用方法 | |
US10387498B2 (en) | Polymorphic configuration management for shared authorization or authentication protocols | |
EP4350556A1 (en) | Information verification method and apparatus | |
CN112311779B (zh) | 应用于区块链系统的数据访问控制方法及装置 | |
CN113422733A (zh) | 区块链的业务处理方法、装置、计算机设备及存储介质 | |
CN113129008B (zh) | 数据处理方法、装置、计算机可读介质及电子设备 | |
WO2023221719A1 (zh) | 一种数据处理方法、装置、计算机设备以及可读存储介质 | |
US20100030805A1 (en) | Propagating information from a trust chain processing | |
US10033535B2 (en) | Multifaceted assertion directory system | |
CN114331441A (zh) | 一种基于网络信任的数据追溯流通方法及系统 | |
CN116055051A (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
KR101317403B1 (ko) | 신뢰도 기반 개인정보 관리 시스템 및 그 방법 | |
Xie et al. | CR‐BA: Public Key Infrastructure Certificate Revocation Scheme Based on Blockchain and Accumulator | |
CN110611656B (zh) | 一种基于主身份多重映射的身份管理方法、装置及系统 | |
US11775664B2 (en) | Blockchain managed access system | |
US20230376628A1 (en) | Privacy Manager for Connected TV and Over-the-Top Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |