CN113515756A - 基于区块链的高可信数字身份管理方法及系统 - Google Patents
基于区块链的高可信数字身份管理方法及系统 Download PDFInfo
- Publication number
- CN113515756A CN113515756A CN202110331774.2A CN202110331774A CN113515756A CN 113515756 A CN113515756 A CN 113515756A CN 202110331774 A CN202110331774 A CN 202110331774A CN 113515756 A CN113515756 A CN 113515756A
- Authority
- CN
- China
- Prior art keywords
- digital identity
- digital
- key
- user
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于区块链的高可信数字身份管理方法及系统,所述方法包括以下步骤:由数字身份公共服务平台接收应用平台的用户数字身份上链信息获取请求;基于应用平台的请求,将数字身份进行哈希运算得到数字摘要;利用非对称密钥中的私钥对数字摘要进行加密,获得数字签名;利用对称密钥对用户数字身份、数字签名及非对称密钥中的公钥进行加密,得到加密信息;利用非对称密钥的私钥对对称密钥进行加密;将加密信息存入中心数据库;在对用户数字身份进行上链时,利用非对称密钥中的公钥取出对称密钥,用对称密钥还原出数字身份、数字签名及公钥;利用公钥解密数字摘要,进行原文哈希运算得数字摘要,验证无误后上链到应用平台指定的区块链网络。
Description
技术领域
本发明属于信息技术领域,尤其涉及一种基于区块链的高可信数字身份管理方法及系统。
背景技术
数字身份是实体社会中的自然人身份在数字空间的映射。对于数字身份的概念,普遍认为数字身份主要用于在提供数字服务时识别用户身份。数字身份也是能代表主体身份属性特征集合的标记。数字身份在一定范围内用于唯一标记主体,并将之与其他主体区分。
目前数字身份信息已全面融入国民经济和社会发展各领域,深刻改变着经济社会的发展动力和发展方式。然而身份数字化转型过程中存在个人数据安全性低、数字身份基础设施尚不完善、数字身份社会治理面临挑战等诸多问题需要解决,如隐私容易泄露、各实体之间确权流程复杂等问题。
互联网飞速发展,人们在互联网上的活动越来越多,使用互联网服务的前提条件就是解决身份问题。目前,各大平台都需要用户进行相应的身份认证,然而这些认证手段相对比较简单,用户的体验虽然尚算良好,但是这背后造成了大量个人隐私信息的泄露,让不良利益集团有机可乘,利用大数据分析,精准追踪某一个用户,从而对其进行相应的诈骗,从而导致用户财产及相关的利益损失,使得用户的安全性得不到保障。
目前有一种进行数字身份安全管理的方式是基于区块链技术,即采用区块链网络。区块链技术的核心价值在于实现了不可篡改、安全可靠的分布式记账系统。基于密码学分布式共识协议、点对点网络通信和智能合约等技术保障,使用区块链账本系统的多个参与者,无需额外的第三方担保机构,即可构成多方交易的信任基础。但是,由于区块链网络中个每一节点都参与了账本管理,这就使得采用区块链技术进行数字身份管理时速度非常慢,效率非常低下。
在数字化交易量越来越大的情况下,如何在保证数据安全性的同时提高数据身份生成和管理的效率,是一个亟待解决的问题。
发明内容
鉴于现有技术中存在的问题,本发明提供了一种基于区块链的高可信数字身份生成方法、管理方法及装置,以在保证数据安全性的同时提高数据身份生成和管理的效率。
本发明的一个方面,提供了一种基于区块链的高可信数字身份管理方法,该方法包括以下步骤:
由数字身份公共服务平台接收应用平台的用户数字身份上链信息获取请求;
基于应用平台的请求,将数字身份进行哈希运算得到数字摘要;
利用基于非对称加密算法得到的非对称密钥中的私钥对数字摘要进行加密,获得数字签名;
利用对称密钥对用户数字身份、所述数字签名及所述非对称密钥中的公钥进行加密,得到加密信息;
利用所述非对称密钥中的私钥对对称密钥进行加密;
将所述加密信息存入中心数据库;
在对用户数字身份进行上链时,由应用平台利用非对称密钥中的公钥取出对称密钥,用所述对称密钥还原出数字身份、数字签名及公钥;
利用所述公钥解密的数字摘要,进行原文哈希运算得数字摘要,进行验证无误后上链到所述应用平台指定的区块链网络。
在本发明一些实施例中,所述方法还包括:所述数字身份公共服务平台接收返回的区块链网络信息。
在本发明一些实施例中,在接收所述用户数字身份上链信息获取请求之前,所述方法还包括,用户数字身份签发步骤,该步骤包括:由数字身份注册登记机构基于用户的数字身份签发请求,向所述数字身份公共服务平台发起用户数字身份签发申请;所述数字身份公共服务平台在认证数字身份后向数字身份认证中心请求数字身份,以由数字身份认证中心将数字身份签发给数字身份注册登记机构,并将签发的数字身份根返回到数字身份公共服务平台,以由数字身份公共服务平台发送给用户。
在本发明一些实施例中,在所述数字身份公共服务平台从数字身份注册登记机构获得用户数字身份之前,所述方法还包括:所述数字身份公共服务平台与数字身份注册登记机构建立通信连接,将证书认证机构颁发的证书发送给所述数字身份注册登记机构,以由所述数字身份注册登记机构基于接收到的证书向所述证书认证机构请求验证;所述数字身份公共服务平台接收所述数字身份注册登记机构发送的、在通过验证后利用基于非对称密钥算法生成的非对称密钥中的公钥,自身基于非对称密钥算法生成的非对称密钥,并将生成的非对称密钥中的公钥发送给所述数字身份注册登记机构,以使得所述数字身份公共服务平台和数字身份注册登记机构基于彼此生成的公钥各自随机生成对称加密密钥,并基于生成的对称加密密钥进行数据通信。
在本发明一些实施例中,所述方法还包括:用户数字身份签发与凭证认证步骤;所述用户数字身份签发与凭证认证步骤包括:接收应用平台向数字身份公共服务平台转发的数字身份和凭证;所述数字身份公共服务平台请求数字身份认证中心通过区块链网络或数字身份管理中验证用户数字身份的合法性;在验证用户数字身份合法后,将所述凭证转发至数字身份凭证提供机构进行验证,并在验证成功后向所述应用平台返回认证结果。
在本发明一些实施例中,所述方法还包括,应用平台接入步骤,该应用平台接入步骤包括:应用平台在数字身份公共服务平台做应用登记、获得机构码;应用平台生成并保存自身的公私钥对,向数字身份公共服务平台登记自身公钥,用于后续的加密通信。
在本发明一些实施例中,所述数字身份包括A段和B段,A段包括网证和安全保障字段,B段包括版本号、机构代码、应用代码、区域级数字身份、安全保障字段中的部分或全部字段。
在本发明一些实施例中,所述区块链网络自带去分布式身份标识DID。
本发明的另一方面,还提供一种基于区块链的高可信数字身份管理系统,该系统包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时该系统实现如前所述方法的步骤。
本发明的另一方面,还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前所述方法的步骤。
本发明的基于区块链的高可信数字身份管理方法和系统,能够在保证数据处理速度的情况下,保证用户身份数据的安全性。
本发明的附加优点、目的,以及特征将在下面的描述中将部分地加以阐述,且将对于本领域普通技术人员在研究下文后部分地变得明显,或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在书面说明及其权利要求书以及附图中具体指出的结构实现到并获得。
本领域技术人员将会理解的是,能够用本发明实现的目的和优点不限于以上具体所述,并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。
图1为本发明一实施例中数字身份管理平台的系统架构示意图。
图2为本发明一实施例中数字身份签发与凭证提供流程示意图。
图3为本发明一实施例中基于区块链的高可信数字身份管理方法的流程示意图。
图4为本发明一实施例中数字身份凭证认证流程示意图。
图5为本发明一实施例中电子政务应用场景—用户利用数字身份办理房产证的流程示意程。
图6为本发明一实施例中数字身份结构示意图示意程。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
应该强调,术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在,但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
为了解决现有技术中的问题,本发明实施例中,提供了一种新型的基于区块链的高可信数字身份管理方法,该方法将中心化网络和区块链网络有效结合,并通过专门设计的数字身份加密流程,能够充分保障用户数字身份的安全性,并提高了数据处理速度。
本发明实施例中,当使用中心化网络时,数字身份的签发、流转、验证、注销以及数据的存储都可通过代理在数字身份管理中心进行操作,确保数字身份管理中心的权威性和操作的高效性。
当使用区块链网络时,系统服务部署到区块链节点上,数字身份的签发、流转、验证、注销等操作可通过调用智能合约录入区块链来确保整个数字身份凭证流程的数据防伪造、使用痕迹可追溯、操作易监管,使得数字身份的签发、流转、验证、注销过程不可篡改,具有高可信性和高安全性。
图1为本发明一实施例中某一行政区域(如XX行政区域)的数字身份管理平台(或称管理系统,或数字身份平台)的架构示意图。如图1所示,该数字身份管理平台系统架构主要包括“两大体系”和四层结构。“两大体系”分别为安全保障体系和运维管理体系。四层结构自下到上分别为数据存储层、数据处理层、身份服务层和应用层。
在应用层,数字身份管理平台中的用户可以通过三种方式来获取数字身份服务,分别为:数字身份客户端、数字身份门户网站和数字身份应用终端。例如,通过数字身份客户端可进行数字身份二维码认证、数字身份凭证管理、数字身份申领、数字身份凭证申请和人脸/活体识别等;通过数字身份门户网站可获取数字身份资讯、进行数字身份申领和人脸/活体识别等;通过数字身份应用终端可以进行人脸数据同步、二维码扫描、人脸/活体识别、数据上报和认证服务调用等。
在身份服务层,主要包含五个部分:凭证提供系统、数字身份注册登记系统、数字身份应用系统、公共服务中心和数字身份统一认证中心。其中,凭证提供系统用于数字身份凭证签发、凭证生命周期管理、凭证核验等,凭证提供系统对应的机构主体为数字身份凭证提供机构;数字身份注册登记系统用于注册登记和数字身份载体绑定,数字身份注册登记系统对应的机构主体为数字身份注册登记机构,也即,数字身份注册登记机构是对的当前区域数字身份申请人进行身份证实,为其注册登记数字身份,提供数字身份凭证并绑定数身份载体的机构;数字身份应用系统用于用户的应用申请、凭证管理、凭证申请、秘钥管理等,数字身份应用系统对应的机构主体为各个功能的应用机构;公共服务中心(或称数字身份公共服务平台)用于凭证提供机构管理、注册登记机构管理、应用机构管理、数字身份签发、数字身份认证,生命周期维护、数字身份标识管理等;数字身份统一认证中心用于统一认证管理和签发认证等级管理。
数据处理层依赖于块数据平台,既可以采取中心化代理的方式,也可以选择区块链网络的方式,不但可以让身份服务层更高效地调用数据,而且使分析结果可视化地展示出来,从而对平台运行和维护策略的优化起到促进作用。
数据存储层主要依托当前区域云平台和块数据平台,对平台的访问记录、操作日志和个人及企业的数字身份数据进行安全高效地存储。
从数字身份管理平台的技术架构层面,其包括应用层、接口层、服务层、数据层、网络层和资源层。其中,应用层根据用户使用的设备分为软件和硬件两大类,软件载体例如主要是官方APP,硬件载体例如包括智能IC卡,SIM卡和智能穿戴设备等。接口层支持多种数据格式与传输方式,采用TLS/SSL、HTTPS等通信技术,保证数据传输的安全性。服务层以服务的形式提供业务逻辑的封装实现。数据层为服务层提供数据分析,数据存储、缓存、协调等具体服务。网络层兼容中心化网络与区块链网络两种方式。资源层是数字身份系统的最后一层,负责对数字身份相关的颁发、验证、操作、流转等信息资源进行安全存储,并提供上层可以调用的接口,以便各授权机构组织或授权用户对数据的访问。同时也负责负载均衡及容错管理。
本发明实施例的数字身份管理平台技术架构中最重要的部分为中心化网络中的数字身份公共服务平台和数字身份区块链网络,通过中心化网络中的数字身份公共服务平台与区块链的结合,使得数字身份具备了不可篡改、防伪和可溯源等特性。
“两大体系”中安全保障体系主要负责对数字身份平台中的网络和主机活动进行实时监控,使管理员有效地监视、控制和评估网络或主机系统;运维管理体系主要负责建立数字身份平台运行和维护的模式,避免各种故障的发生,优化和改进传统的运维模式,保证平台全天候地正常运行。
图2为本发明一实施例中数字身份签发与凭证提供流程示意图。如图2所示,数字身份的签发可以分为线上和线下两种签发方式,申请人可以选择官方APP或机构柜台面签,向数字身份注册登记机构发出数字身份签发请求(登记注册请求)。数字身份注册登记机构可首先通过身份证、人脸等多种方式核验用户身份,确保申请人与数字身份主体为同一人,然后,数字身份注册登记机构向数字身份公共服务平台发起数字身份签发申请。数字身份公共服务平台在核验用户身份后,将签发申请上交给数字身份认证中心,数字身份认证中心负责签发用户数字身份,并将签发的数字身份结果录入数字身份管理中心或数字身份区块链。之后,数字身份管理中心或数字身份区块链将该数字身份同步到一个或多个数字身份凭证提供机构中,同步信息后,数字身份认证中心把签发的身份根返回给数字身份公共服务平台,接着数字身份公共服务平台将数字身份签发给数字身份注册登记机构,最后,数字身份注册登记机构将数字身份颁发给申请人,申请人将数字身份绑定到载体(可以是软件载体或硬件载体,如芯片)中,同时,数字身份注册登记机构也会将返回的注册信息录入到数字身份区块链或数字身份管理中心中,以供在申请人申请凭证时进行身份核验。
在本发明实施例中,数字身份可由A、B两段构成。其中,A段数据可以由网证和一些安全保障字段构成,如图6所示。B段数据可以由版本号、机构代码、应用代码、区域级数字身份、安全保障字段中的部分或全部字段,此外还可以包括BID(例如是由XX行政区域数字身份公共服务平台,基于PID(国家级个人身份标识)为XX行政区域管辖范围内每个自然人签发的区域级数字身份)和/或保留字段等。
数字身份签发后,可以进一步进行数字凭证提供步骤。此步骤中,申请人可向数字身份注册登记机构(可以和数字身份凭证提供机构为同一机构)发起凭证申请,身份注册登记机构通过数字身份区块链或数字身份管理中心核实用户身份后,根据核验结果向数字身份公共服务平台发起申请,数字身份公共服务平台继续向数字身份凭证机构发起凭证提供申请,由相应的数字身份凭证提供机构为申请人创建数字凭证,最后再逐层返回到数字身份注册登记机构中,数字身份注册登记机构将数字凭证颁发给申请人,申请人将数字凭证绑定到载体中,用户绑定的载体可分为两种,当载体为APP时,系统将自动绑定,当载体为硬件时,将通过可信认证设备写入载体。带凭证的数字身份在形式上就是一串经过加密的字符串。其表达式本质上是对统一数字身份主要构成要素及多套数字身份凭证的标识与加密处理,是数字身份体系安全运转的基础。数字身份可以整合标识,整合现有标识人的所有手段,包含整合护照、身份证、军人证等证照标识。用户的数字身份和凭证生成后,可以基于数字身份和凭证为用户生成二维码,通过出示包含本人数字身份和凭证的数字身份二维码,可以在所有场景应用中实现用户的身份认证。由于数字身份的具体内容和形式不是本专利关注的重点,因此在此不再赘述。理想的数字身份应具备以下特性:根源法定性、可标识性、互认性、匿名性、不可伪造性、系统无关性、安全性、可追踪性、可编程性。数字身份具备可靠性、安全性,对自然人的身份信息在隐私保护方面有很好的技术优势,可弥补实体身份证的信息泄露的不足,避免个人信息留存在业务方。
数字身份签发并颁发了凭证后,用户通过客户端便可以向各应用平台申请应用。于是触发数字身份签发与凭证认证流程。更具体地,如图4所示,用户授权数字身份应用机构的应用平台获取数字身份与凭证,数字身份应用平台将数字身份和凭证转发至数字身份公共服务平台,数字身份公共服务平台首先请求数字身份认证中心,通过数字身份区块链或数字身份管理中心验证用户数字身份的合法性,在验证用户数字身份合法后,将凭证转发至数字身份凭证提供机构来核验凭证,在验证成功后向所述应用平台返回认证结果。
签发了数字身份并认证了凭证之后,在应用平台基于数字身份执行具体应用流程之前,先需要将用户的数字身份上链到各应用平台指定的区块链网络。为了克服区块链处理数据缓慢和问题,本发明实施例在先利用中心化网络通过专门设计的数字身份加密流程对数字身份验证并加密后存入一个数据库(如中心数据库)。在网络性能良好足以支持快速上链时再将数字身份上传至应用平台指定的与具体应用相关的区块链网络。由此实现基于区块链的高可信数字身份管理。图3为本发明实施例中基于中心化网络和区块链的结合实现的高可信数字身份管理方法的流程示意图。如图3所示,该数字身份管理方法板块以下步骤:
步骤S110,数字身份公共服务平台接收来自应用平台的用户数字身份上链信息获取请求。
在本发明实施例中,应用平台可以是提供特定行业服务应用的服务应用平台,如房产管理局平台、工地人力系统,或其他的电子政务系统等等,本发明并不限于此,还可以是其他类型的服务应用平台。
用户获得数字身份和凭证后,可利用数字身份和凭证向特定应用平台申请服务,并向应用平台提供数字身份和凭证。用户可以通过线下或线上方式向应用平台申请服务。在采用线上方式的情况下,该数字身份和凭证可以携带在用户的服务请求中,也可以单独发送。在线下方式的情况下,可通过二维码等方式向应用平台提供数字身份和凭证。
应用平台基于用户的服务请求可向数字身份公共服务平台发送验证请求来申请验证用户数字身份。该验证请求中可携带用户数字身份信息和凭证。
基于应用平台的请求,数字身份公共服务平台验证用户数字身份的合法性,并向应用平台返回验证结果。更具体地,数字身份公共服务平台可基于应用平台的请求,首先请求数字身份认证中心,通过数字身份区块链或数字身份管理中心验证用户数字身份的合法性,在验证用户数字身份合法后,将凭证转发至数字身份凭证提供机构来核验凭证,在验证成功后向应用平台返回认证结果。
在用户数字身份验证成功的情况下,应用平台为用户提供相应服务。进一步地,应用平台可确定用户数字身份和凭证是否已经上传至应用平台对应的区块链网络,如果没有上传至区块链网络,则应用平台便向数字身份公共服务平台发送用户数字身份上链信息获取请求。该数字身份上链信息获取请求中可以携带也可以不携带用户的数字身份和凭证信息。
在本发明另选实施方式中,应用平台也可以在接收到用户的应用请求后,先不验证用户数字身份而直接基于用户的数字身份确定该数字身份是否已经上链,在未上链的情况下直接向数字身份公共服务平台发送数字身份上链信息获取请求。在请求中携带用户的数字身份和凭证信息的情况下,数字身份公共服务平台可数字身份返回验证结果并在验证数字身份合法的情况下返回经加密的数字身份上链相关信息。在请求中不携带用户的数字身份和凭证信息的情况下,数字身份公共服务平台可直接返回经加密的数字身份上链相关信息,以由应用平台基于经加密的数字身份上链相关信息核对用户提供的数字身份和凭证信息,以在确认无误后上传至区块链网络。
步骤S120,数字身份公共服务平台基于应用平台的请求,将用户的数字身份进行哈希运算得到数字摘要。
也即,数字身份公共服务平台基于应用平台的请求,将验证合法的数字身份进行哈希运算得到数字摘要。
步骤S130,数字身份公共服务平台利用基于非对称加密算法得到的非对称密钥中的私钥对数字摘要进行加密,获得数字签名。
本步骤中,非对称加密算法可以是现有的非对称加密算法。非对称加密算法得到的非对称密钥包括公钥和私钥。公钥可以发送给应用平台。
步骤S140,数字身份公共服务平台利用对称密钥对用户数字身份、数字签名及所述非对称密钥中的公钥进行加密,得到加密信息。
步骤S150,数字身份公共服务平台利用所述非对称密钥中的私钥对对称密钥进行加密发送给应用平台。
该对对称秘钥加密的步骤进一步保证了被加密数据的安全性,能够有效防止被篡改。
步骤S160,由应用平台将所述加密信息存入中心数据库。
在加密信息被存入中心数据库之后,便可以在网络性能较好足以支持数据快速上链的情况下进行数字身份的上链操作,来将数字身份上传至区块链网络。
步骤S170,在对用户数字身份进行上链时,由应用平台利用从数字身份公共服务平台获得的公钥对加密的对称秘钥进行解密,得到对称密钥,然后用解密得到的对称密钥还原出数字身份、数字签名及公钥。
由于加密信息利用对称秘钥进行了加密,并且对称秘钥也被加密,因此应用平台可利用数字身份公共服务平台发来的非对称密钥中的公钥对加密的对称秘钥解密,得到对称秘钥,然后用对称密钥还原出数字身份、数字签名及公钥。
步骤S180,利用所述公钥解密的数字摘要,进行原文哈希运算得数字摘要,进行验证无误后上链到所述应用平台指定的区块链网络。
还原出数字身份、数字签名及公钥之后,可以利用还原出的公钥对解密对称秘钥所采用的公钥进行对比来验证公钥,并且进行原文哈希运算得数字摘要,基于数字摘要对用户请求中携带的数字身份验证无误后将数字身份上链到所述应用平台指定的区块链网络。
基于图3所示的方法,能够在保证数据处理速度的情况下,保证用户身份数据的安全性,有效防止篡改。并且,通过将中心网络与区块链网络向结合,大大提高了数字身份的管理效率。
在本发明一些实施例中,前述基于区块链的高可信数字身份管理方法还可包括:所述数字身份公共服务平台接收返回的区块链网络信息。
在本发明一些实施例中,在数字身份公共服务平台从数字身份注册登记机构获得用户数字身份之前,所述方法还包括在数字身份公共服务平台和数字身份注册登记机构之间建立安全通信,具体包括:
数字身份公共服务平台与数字身份注册登记机构建立通信连接,将证书认证机构颁发的证书发送给数字身份注册登记机构,以由数字身份注册登记机构基于接收到的证书向证书认证机构请求验证;
数字身份公共服务平台接收所述数字身份注册登记机构发送的、在通过验证后利用基于非对称密钥算法生成的非对称密钥中的公钥,自身基于非对称密钥算法生成的非对称密钥,并将生成的非对称密钥中的公钥发送给数字身份注册登记机构,以使得数字身份公共服务平台和数字身份注册登记机构基于彼此生成的公钥各自随机生成对称加密密钥,并基于生成的对称加密密钥进行数据通信。
在本发明一些实施例中,数字身份应用平台接入数字身份公共服务平台时应遵循以下应用平台接入步骤,该应用平台接入步骤包括:应用平台在数字身份公共服务平台做应用登记,获得机构码;应用平台调用数字身份服务提供的SDK,生成并保存自身的公私钥对,向数字身份公共服务平台登记自身公钥,用于后续的加密通信。此后,数字身份应用平台便可开始调用数字身份服务。通过这样的流程,保证了数字身份应用接入的标准化和规范化,避免了非法应用接入对平台系统的破坏。
在本发明一些实施例中,数字身份区块链自带去分布式身份标识(DID)服务。DID标识是一种分布式的标识模式,记录在分布式账本中,具有去中心化的特性,并且十分适合多中心参与的应用场景。通过DID标识和数字身份、数字身份凭证的配合使用,形成对各种数据主体的有效统一标识,便于体系数据的采集、归集和处理。
下面通过以具体示例来说明本发明的数字身份管理。政府部门之间涉及个人的用户数据,以XX行政区域数字身份为索引,在政府部门间互查个人用户数据时,通过用户授权许可机制实现数据的互查互通。电子政务应用场景—用户办理房产证的流程如图5所示。
如图5所示,用户办理房产证业务一共包括十个流程:
(1)用户在房管局窗口出示数字身份二维码,房管局窗口工作人员使用机具读取二维码,获得用户的数字身份和凭证。获得用户的数字身份和凭证后,便开始办理业务。
(2)房管局系统向当前行政区域的数字身份公共服务平台发送用户数字身份验证请求,请求验证用户的身份信息。该请求中可携带用户的数字身份信息和凭证。
(3)数字身份公共服务平台基于房管局的请求,对用户的数字身份进行验证,并在完成验证后,向房管局系统返回核验结果。
在返回核验结果后,在房管局系统确认用户数字身份尚未被上传至区块链网络的情况下,房管局系统作为应用平台还可以通过前述步骤S110向公共服务平台请求数字身份上链信息,数字身份公共服务平台可基于前述步骤S120-S150向房管局提供利用对称秘钥加密的加密信息(包含用户数字身份、数字签名和数字身份公共服务平台公钥)和加密的对称秘钥。应用平台将加密信息存入中心数据库并选择合适的时机进行上链。
(4)在核验结果显示数字身份合法的情况下,房管局系统向公共服务平台(数据账户综合管理组件)申请授权查看用户婚姻状况。
(5)数字身份公共服务平台向个人数据账户服务平台申请查看用户婚姻状况。
(6)个人数据账户服务平台通过终端(个人APP)获得授权。
(7)个人数据账户服务平台向民政局系统申请查看用户婚姻状况。
(8)民政局系统向个人数据账户服务平台返回用户的结婚证件数据,含:已婚、结婚时间、配偶姓名等数据。
(9)个人数据账户服务平台根据预设的“细粒度数据查询规范”,向房产局管理系统只返回“已婚”字段。
(10)房管局系统拿到用户身份证号和用户婚姻状况“已婚”,开始在自己的系统内给用户办理房产证。
如上的处理流程不仅提高了数字身份相关应用的业务处理效率,还充分保证了数字身份的安全性。
本发明的基于区块链的高可信数字身份体系能够行政区域内的个人数据账户提供唯一索引,解决物理空间身份的便捷性、隐私性以及数字空间由于数据虚拟性、易逝性等特性带来的主体识别、数据确权、行为抗抵赖等难题。
本发明并不限于某一具体的行政区域,还可以适用于在其他相同行政区划等级的区域、更大区域或更小区域的数字身份管理。
与上述方法相应地,还提供了一种基于区块链的高可信数字身份管理系统,该系统包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时该系统实现如前所述方法的步骤。
本发明还一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前所述方法的步骤。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
本领域普通技术人员应该可以明白,结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法,能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
本发明中,针对一个实施方式描述和/或例示的特征,可以在一个或更多个其它实施方式中以相同方式或以类似方式使用,和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于区块链的高可信数字身份管理方法,其特征在于,该方法包括以下步骤:
由数字身份公共服务平台接收应用平台的用户数字身份上链信息获取请求;
基于应用平台的请求,将数字身份进行哈希运算得到数字摘要;
利用基于非对称加密算法得到的非对称密钥中的私钥对数字摘要进行加密,获得数字签名;
利用对称密钥对用户数字身份、所述数字签名及所述非对称密钥中的公钥进行加密,得到加密信息;
利用所述非对称密钥中的私钥对对称密钥进行加密;
将所述加密信息存入中心数据库;
在对用户数字身份进行上链时,由应用平台利用非对称密钥中的私钥取出对称密钥,用所述对称密钥还原出数字身份、数字签名及公钥;
由应用平台利用所述公钥解密的数字摘要,进行原文哈希运算得数字摘要,进行验证无误后上链到所述应用平台指定的区块链网络。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述数字身份公共服务平台接收返回的区块链网络信息。
3.根据权利要求1所述的方法,其特征在于,在接收所述用户数字身份上链信息获取请求之前,所述方法还包括,用户数字身份签发步骤,该步骤包括:
由数字身份注册登记机构基于用户的数字身份签发请求,向所述数字身份公共服务平台发起用户数字身份签发申请;
所述数字身份公共服务平台在认证数字身份后向数字身份认证中心请求数字身份,以由数字身份认证中心将数字身份签发给数字身份注册登记机构,并将签发的数字身份根返回到数字身份公共服务平台,以由数字身份公共服务平台发送给用户。
4.根据权利要求3所述的方法,其特征在于,在所述数字身份公共服务平台从数字身份注册登记机构获得用户数字身份之前,所述方法还包括:
所述数字身份公共服务平台与数字身份注册登记机构建立通信连接,将证书认证机构颁发的证书发送给所述数字身份注册登记机构,以由所述数字身份注册登记机构基于接收到的证书向所述证书认证机构请求验证;
所述数字身份公共服务平台接收所述数字身份注册登记机构发送的、在通过验证后利用基于非对称密钥算法生成的非对称密钥中的公钥,自身基于非对称密钥算法生成的非对称密钥,并将生成的非对称密钥中的公钥发送给所述数字身份注册登记机构,以使得所述数字身份公共服务平台和数字身份注册登记机构基于彼此生成的公钥各自随机生成对称加密密钥,并基于生成的对称加密密钥进行数据通信。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:用户数字身份签发与凭证认证步骤,该步骤包括:
接收应用平台向数字身份公共服务平台转发的数字身份和凭证;
所述数字身份公共服务平台请求数字身份认证中心通过区块链网络或数字身份管理中验证用户数字身份的合法性;
在验证用户数字身份合法后,将所述凭证转发至数字身份凭证提供机构进行验证,并在验证成功后向所述应用平台返回认证结果。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括,应用平台接入步骤,该应用平台接入步骤包括:
应用平台在数字身份公共服务平台做应用登记、获得机构码;
应用平台生成并保存自身的公私钥对,向数字身份公共服务平台登记自身公钥,用于后续的加密通信。
7.根据权利要求1所述的方法,其特征在于,所述数字身份包括A段和B段,A段包括网证和安全保障字段,B段包括版本号、机构代码、应用代码、区域级数字身份、安全保障字段中的部分或全部字段。
8.根据权利要求1所述的方法,其特征在于,所述区块链网络自带去分布式身份标识DID。
9.一种基于区块链的高可信数字身份管理系统,该系统包括处理器和存储器,其特征在于,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时该系统实现如权利要求1-8中任意一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-8中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110331774.2A CN113515756B (zh) | 2021-03-29 | 2021-03-29 | 基于区块链的高可信数字身份管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110331774.2A CN113515756B (zh) | 2021-03-29 | 2021-03-29 | 基于区块链的高可信数字身份管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113515756A true CN113515756A (zh) | 2021-10-19 |
| CN113515756B CN113515756B (zh) | 2023-05-09 |
Family
ID=78062141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110331774.2A Active CN113515756B (zh) | 2021-03-29 | 2021-03-29 | 基于区块链的高可信数字身份管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113515756B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296912A (zh) * | 2022-08-06 | 2022-11-04 | 福建中锐网络股份有限公司 | 一种基于区块链的物联网平台及设备的可信认证方法 |
| CN115567324A (zh) * | 2022-11-24 | 2023-01-03 | 湖南天河国云科技有限公司 | 数据加密传输方法、系统、计算机设备和存储介质 |
| CN116545696A (zh) * | 2023-05-09 | 2023-08-04 | 北京航空航天大学 | 一种基于去中心化数字身份的链下服务可信化方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018049656A1 (zh) * | 2016-09-18 | 2018-03-22 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的身份认证方法、装置、节点及系统 |
| CN108234515A (zh) * | 2018-01-25 | 2018-06-29 | 中国科学院合肥物质科学研究院 | 一种基于智能合约的自认证数字身份管理系统及其方法 |
| CN111131164A (zh) * | 2019-11-27 | 2020-05-08 | 山东爱城市网信息技术有限公司 | 一种基于区块链的数字身份实现方法、设备及介质 |
| CN111683090A (zh) * | 2020-06-08 | 2020-09-18 | 盛唐威讯数媒科技(北京)有限公司 | 一种基于分布式存储的区块链数字签名方法及装置 |
| CN111770063A (zh) * | 2020-02-18 | 2020-10-13 | 支付宝(杭州)信息技术有限公司 | 数字身份信息的派生、验证方法、装置及设备 |
| CN111935075A (zh) * | 2020-06-23 | 2020-11-13 | 浪潮云信息技术股份公司 | 一种基于区块链的数字身份签发方法、设备及介质 |
| CN112217807A (zh) * | 2020-09-25 | 2021-01-12 | 山西特信环宇信息技术有限公司 | 一种锥体区块链密钥生成方法、认证方法及系统 |
| US20210081551A1 (en) * | 2018-10-31 | 2021-03-18 | Advanced New Technologies Co., Ltd. | Method, apparatus, and electronic device for blockchain-based recordkeeping |
| CN112561526A (zh) * | 2020-12-16 | 2021-03-26 | 深圳市大中华区块链科技有限公司 | 一种基于区块链的产后服务系统及方法 |
-
2021
- 2021-03-29 CN CN202110331774.2A patent/CN113515756B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018049656A1 (zh) * | 2016-09-18 | 2018-03-22 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的身份认证方法、装置、节点及系统 |
| CN108234515A (zh) * | 2018-01-25 | 2018-06-29 | 中国科学院合肥物质科学研究院 | 一种基于智能合约的自认证数字身份管理系统及其方法 |
| US20210081551A1 (en) * | 2018-10-31 | 2021-03-18 | Advanced New Technologies Co., Ltd. | Method, apparatus, and electronic device for blockchain-based recordkeeping |
| CN111131164A (zh) * | 2019-11-27 | 2020-05-08 | 山东爱城市网信息技术有限公司 | 一种基于区块链的数字身份实现方法、设备及介质 |
| CN111770063A (zh) * | 2020-02-18 | 2020-10-13 | 支付宝(杭州)信息技术有限公司 | 数字身份信息的派生、验证方法、装置及设备 |
| CN111683090A (zh) * | 2020-06-08 | 2020-09-18 | 盛唐威讯数媒科技(北京)有限公司 | 一种基于分布式存储的区块链数字签名方法及装置 |
| CN111935075A (zh) * | 2020-06-23 | 2020-11-13 | 浪潮云信息技术股份公司 | 一种基于区块链的数字身份签发方法、设备及介质 |
| CN112217807A (zh) * | 2020-09-25 | 2021-01-12 | 山西特信环宇信息技术有限公司 | 一种锥体区块链密钥生成方法、认证方法及系统 |
| CN112561526A (zh) * | 2020-12-16 | 2021-03-26 | 深圳市大中华区块链科技有限公司 | 一种基于区块链的产后服务系统及方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296912A (zh) * | 2022-08-06 | 2022-11-04 | 福建中锐网络股份有限公司 | 一种基于区块链的物联网平台及设备的可信认证方法 |
| CN115296912B (zh) * | 2022-08-06 | 2024-03-12 | 福建中锐网络股份有限公司 | 一种基于区块链的物联网平台及设备的可信认证方法 |
| CN115567324A (zh) * | 2022-11-24 | 2023-01-03 | 湖南天河国云科技有限公司 | 数据加密传输方法、系统、计算机设备和存储介质 |
| CN115567324B (zh) * | 2022-11-24 | 2023-09-15 | 湖南天河国云科技有限公司 | 数据加密传输方法、系统、计算机设备和存储介质 |
| CN116545696A (zh) * | 2023-05-09 | 2023-08-04 | 北京航空航天大学 | 一种基于去中心化数字身份的链下服务可信化方法 |
| CN116545696B (zh) * | 2023-05-09 | 2023-10-20 | 北京航空航天大学 | 一种基于去中心化数字身份的链下服务可信化方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113515756B (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10127378B2 (en) | Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals | |
| US11799668B2 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
| US11777726B2 (en) | Methods and systems for recovering data using dynamic passwords | |
| US9900309B2 (en) | Methods for using digital seals for non-repudiation of attestations | |
| US10558974B2 (en) | Methods and systems of providing verification of information using a centralized or distributed ledger | |
| CN110417750B (zh) | 基于区块链技术的文件读取和存储的方法、终端设备和存储介质 | |
| US8122255B2 (en) | Methods and systems for digital authentication using digitally signed images | |
| US11095646B2 (en) | Method and system for data security within independent computer systems and digital networks | |
| CN113515756B (zh) | 基于区块链的高可信数字身份管理方法及系统 | |
| US20230034169A1 (en) | Non-fungible token authentication | |
| KR20180080183A (ko) | 생체인식 프로토콜 표준을 위한 시스템 및 방법 | |
| JP2006221566A (ja) | ネットワークを利用した介護サービス支援システム | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| CN110995661A (zh) | 一种网证平台 | |
| CN105429986B (zh) | 一种网络实名验证和隐私保护的系统 | |
| Milovanovic et al. | Choosing authentication techniques in e-procurement system in Serbia | |
| Agbede | Strong Electronic Identification: Survey & Scenario Planning | |
| TWI790985B (zh) | 基於區塊鏈及零知識證明機制的資料取用權限控管系統、以及相關的資料服務系統 | |
| USRE49968E1 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
| Agwanyanjaba | Enhanced Mobile Banking Security: Implementing Transaction Authorization Mechanism Via USSD Push. | |
| CN115632795A (zh) | 一种基于区块链的自主身份管理方法 | |
| CN115720137A (zh) | 一种信息管理的系统、方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |