CN113641975A - 身份标识注册方法、身份标识验证方法、装置及系统 - Google Patents

Abstract

本发明提供了一种身份标识注册方法、身份标识验证方法、装置及系统，公民网络身份识别系统在接收到用户提交的开通网络服务访问权限请求的情况下，生成目标网络服务系统下用户的eID数字身份凭证，将用户的eID哈希值与eID数字身份凭证哈希值存储到区块链分布式身份认证系统。然后通过将区块链分布式身份认证系统发送的目标网络服务系统下用户DID与eID数字身份凭证进行拼接加密，生成分布式可信数字身份二维码，用户可凭该二维码使用对应的网络服务系统。在公民网络身份识别系统和区块链分布式身份认证系统双重信任背书下，网络服务系统在不需要存储用户身份信息的情况下实现身份标识实名认证，实现更加安全、便捷的数字身份验证。

Description

身份标识注册方法、身份标识验证方法、装置及系统

技术领域

本发明涉及计算机技术领域，更具体的，涉及一种身份标识注册方法、身份标识验证方法、装置及系统。

背景技术

目前，中心化身份管理模式与分布式身份管理模式是最主要的数字身份管理模式。

中心化身份管理模式其数字身份数据大多由单一的中心机构管理和控制，如各种网络服务账号等，中心化机构对身份数据具有使用权和解释权。但是，中心化身份管理导致用户各种各样的数字身份散落在互联网上，并且不受用户控制，导致个人隐私无法保障。

分布式身份标识符（英文全称：Decentralized Identity，英文简称：DID）是一种分布式身份管理模式，基于区块链多节点共识的特性生成分布式身份符，虽然能部分解决用户身份自主控制问题，但是用户采用完全匿名的方式注册DID，无法对其实现有效的监管。

因此，目前无论中心化身份管理模式还是分布式身份管理模式，都存在一定缺陷，无法实现安全、便捷的数字身份验证。

发明内容

有鉴于此，本发明提供了一种身份标识注册方法、身份标识验证方法、装置及系统，结合eID技术与区块链技术，实现更加安全、便捷的数字身份验证。

为了实现上述发明目的，本发明提供的具体技术方案如下：

一种身份标识注册方法，应用于公民网络身份识别系统，所述方法包括：

在接收到用户提交的网络电子身份标识eID注册请求的情况下，生成用户实名认证的eID；

在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证；

将用户的eID哈希值与所述目标网络服务系统下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证系统；

在接收到所述区块链分布式身份认证系统发送的所述目标网络服务系统下用户分布式身份标识符DID的情况下，将所述目标网络服务系统下的用户eID 数字身份凭证与用户DID进行拼接加密，生成分布式可信数字身份二维码；

将所述分布式可信数字身份二维码发送给用户。

一种身份标识验证方法，应用于公民网络身份识别系统，所述方法包括：

在接收到网络服务系统发送的身份标识验证请求的情况下，识别所述身份标识验证请求携带的分布式可信数字身份二维码，得到在所述网络服务系统下的用户eID 数字身份凭证与用户DID；

对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验；

在对在所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过的情况下，通过所述网络服务系统向用户发起零知识证明请求；

在通过所述网络服务系统接收到用户提交的零知识验证信息的情况下，对所述零知识验证信息进行验证；

向所述网络服务系统反馈对所述零知识验证信息的验证结果。

可选的，区块链分布式身份认证系统存储有所述网络服务系统下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。

可选的，对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验，包括：

利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在；

若不存在，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在，利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

若不存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过。

可选的，对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验，包括：

向所述区块链分布式身份认证系统发送携带有用户DID的数据查询请求；

根据接收到的所述区块链分布式身份认证系统反馈的用户DID对应的用户eID 数字身份凭证哈希值，确定所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

在所述网络服务系统下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下，确定对所述网络服务系统下的用户eID数字身份凭证与用户DID校验通过，反之则校验不通过。

可选的，通过所述网络服务系统向用户发起零知识证明请求，包括：

确定随机种子；

通过所述网络服务系统向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。

可选的，对所述零知识验证信息进行验证，包括：

根据所述随机数生成器与所述随机种子，生成多个不大于用户eID长度值的正整数；

分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符；

根据生成的各个正整数的顺序，对提取到的每个所述正整数对应的字符进行拼接，得到拼接字符串；

计算所述拼接字符串的哈希值；

根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。

一种身份标识注册装置，应用于公民网络身份识别系统，所述装置包括：

eID注册单元，用于在接收到用户提交的网络电子身份标识eID注册请求的情况下，生成用户实名认证的eID；

eID凭证生成单元，用于在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证；

哈希值存储单元，用于将用户的eID哈希值与所述目标网络服务系统下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证系统；

二维码生成单元，用于在接收到所述区块链分布式身份认证系统发送的所述目标网络服务系统下用户分布式身份标识符DID的情况下，将所述目标网络服务系统下的用户eID 数字身份凭证与用户DID进行拼接加密，生成分布式可信数字身份二维码；

二维码发送单元，用于将所述分布式可信数字身份二维码发送给用户。

一种身份标识验证装置，应用于公民网络身份识别系统，所述装置包括：

二维码识别单元，用于在接收到网络服务系统发送的身份标识验证请求的情况下，识别所述身份标识验证请求携带的分布式可信数字身份二维码，得到在所述网络服务系统下的用户eID 数字身份凭证与用户DID；

标识校验单元，用于对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验；

零知识证明发起单元，用于在对在所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过的情况下，通过所述网络服务系统向用户发起零知识证明请求；

零知识信息验证单元，用于在通过所述网络服务系统接收到用户提交的零知识验证信息的情况下，对所述零知识验证信息进行验证；

验证结果反馈单元，用于向所述网络服务系统反馈对所述零知识验证信息的验证结果。

可选的，区块链分布式身份认证系统存储有所述网络服务系统下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。

可选的，所述标识校验单元，具体用于：

利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在；

若不存在，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在，利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

若不存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过。

可选的，所述标识校验单元，具体用于：

向所述区块链分布式身份认证系统发送携带有用户DID的数据查询请求；

根据接收到的所述区块链分布式身份认证系统反馈的用户DID对应的用户eID 数字身份凭证哈希值，确定所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

在所述网络服务系统下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下，确定对所述网络服务系统下的用户eID数字身份凭证与用户DID校验通过，反之则校验不通过。

可选的，所述零知识证明发起单元，具体用于：

确定随机种子；

通过所述网络服务系统向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。

可选的，所述零知识信息验证单元，具体用于：

根据所述随机数生成器与所述随机种子，生成多个不大于用户eID长度值的正整数；

分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符；

根据生成的各个正整数的顺序，对提取到的每个所述正整数对应的字符进行拼接，得到拼接字符串；

计算所述拼接字符串的哈希值；

根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。

一种身份标识验证系统，包括：公民网络身份识别系统、区块链分布式身份认证系统和至少一个网络服务系统；

所述公民网络身份识别系统，用于执行上述实施例公开的一种身份标识注册方法以及一种身份标识验证方法；

所述区块链分布式身份认证系统，用于在接收到用户提交的目标网络服务系统下的DID注册请求的情况下，生成所述目标网络服务系统下的用户DID，并将所述目标网络服务系统下的用户DID与用户eID数字身份凭证哈希值进行绑定；

所述网络服务系统，用户在接收到用户提交的携带有分布式可信数字身份二维码的网络服务请求的情况下，向所述公民网络身份识别系统发送携带有所述可信数字身份二维码的身份标识验证请求，并根据所述公民网络身份识别系统反馈的验证结果确定是否允许用户使用网络服务。

相对于现有技术，本发明的有益效果如下：

本发明公开的一种身份标识注册方法以及身份标识验证方法，应用于公民网络身份识别系统，在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证，并将用户的eID的哈希值与目标网络服务系统下的用户eID数字身份凭证的哈希值存储到区块链分布式身份认证系统。然后通过将区块链分布式身份认证系统发送的目标网络服务系统下用户DID与eID数字身份凭证进行拼接加密，生成分布式可信数字身份二维码，用户的分布式可信数字身份二维码经过验证后可使用对应的网络服务系统。本发明中用户的身份信息由用户自身控制，在公民网络身份识别系统和区块链分布式身份认证系统双重信任背书下，网络服务系统在不需要存储用户身份信息的情况下实现身份标识实名认证，通过将eID数字身份凭证与DID进行绑定，解决了DID滥用无法监管的问题，提高了用户身份标识的安全性，实现更加安全、便捷的数字身份验证。

此外，由于不同网络服务系统下用户的eID数字身份凭证以及DID各不相同，用户在不同网络服务系统的行为数据无法被汇集和分析，从而降低了用户隐私信息被挖掘的风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种身份标识注册方法的流程示意图；

图2为本发明实施例公开的一种身份标识验证方法的流程示意图；

图3为本发明实施例公开的一种身份标识注册装置的结构示意图；

图4为本发明实施例公开的一种身份标识验证装置的结构示意图；

图5为本发明实施例公开的一种身份标识验证系统示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，本实施例公开了一种身份标识注册方法，具体包括以下步骤：

S101：在接收到用户提交的网络电子身份标识eID注册请求的情况下，生成用户实名认证的eID；

eID是以国产自主密码技术为基础、以智能安全芯片为载体，采用空中开通或临柜面审的方式，依据对法定身份证件核验的结果，由公民网络身份识别系统签发给公民的网络电子身份标识，不仅能够在不泄露身份信息的前提下在线识别自然人主体，还能用于线下身份证明。

在本实施例中用户可以通过网络用户客户端向公民网络身份识别系统提交eID注册请求。

S102：在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证；

用户的eID是唯一的，但是用户在不同网络服务系统下的eID数字身份凭证是不同的。

公民网络身份识别系统解析用户提交的开通网络服务访问权限请求，得到目标网络服务系统的标识，然后基于目标网络服务系统的信息与用户信息生成目标网络服务系统下用户实名认证的eID数字身份凭证。

如果网络服务系统为网站，生成eID数字身份凭证所需信息可以包括网址、用户名、关联手机号或邮箱等；如果网络服务系统为是APP，生成eID数字身份凭证所需信息可以包括APP名称、其唯一标识符ID(Android系统是ApplicationId，iOS系统是App IDs、用户名、关联手机号或邮箱等。

S103：将用户的eID哈希值与目标网络服务系统下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证系统；

由于区块链分布式身份认证系统上的数据是公开的，所有节点都可以看到，为了保护用户的eID数字身份凭证，需要将仅eID数字身份凭证哈希值存储到区块链分布式身份认证系统。

S104：在接收到区块链分布式身份认证系统发送的目标网络服务系统下用户分布式身份标识符DID的情况下，将目标网络服务系统下的用户eID 数字身份凭证与用户DID进行拼接加密，生成分布式可信数字身份二维码；

区块链分布式身份认证系统也会存储有目标网络服务系统下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。

其中，目标网络服务系统下的用户eID 数字身份凭证与用户DID的拼接方式可以预先设定，对数据进行加密生成二维码为现有技术，在此不再赘述。

S105：将分布式可信数字身份二维码发送给用户。

也就是说，只有用户与公民网络身份识别系统知道用户eID以及目标网络服务系统下用户eID数字身份凭证，网络服务系统不可知。

基于上述实施例公开的一种身份标识注册方法，本实施例对应公开了一种身份标识验证方法，应用于公民网络身份识别系统，请参阅图2，该方法包括以下步骤：

S201：在接收到网络服务系统发送的身份标识验证请求的情况下，识别身份标识验证请求携带的分布式可信数字身份二维码，得到在网络服务系统下的用户eID 数字身份凭证与用户DID；

用户在需要使用网络服务系统的服务之前，需要通过网络服务系统的身份认证，具体的，用户可以通过网络用户客户端向网络服务系统提供该网络服务系统下的分布式可信数字身份二维码，网络服务系统无法获知分布式可信数字身份二维码中的eID数字身份凭证。

公民网络身份识别系统识别身份标识验证请求携带的分布式可信数字身份二维码，得到在网络服务系统下的用户eID 数字身份凭证与用户DID。

S202：对在网络服务系统下的用户eID 数字身份凭证与用户DID进行校验；

为了实现公民网络身份识别系统和区块链分布式身份认证系统双重信任背书，对在网络服务系统下的用户eID 数字身份凭证与用户DID进行校验，具体包括：

利用区块链分布式身份认证系统验证网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在；

若不存在，则确定对网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在，利用区块链分布式身份认证系统验证网络服务系统下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

若不存在绑定关系，则确定对网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在绑定关系，则确定对网络服务系统下的用户eID 数字身份凭证与用户DID校验通过。

具体的，利用区块链分布式身份认证系统验证网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在以及利用区块链分布式身份认证系统验证网络服务系统下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系，具体为：

向区块链分布式身份认证系统发送携带有用户DID的数据查询请求；

计算识别分布式可信数字身份二维码得到的eID数字身份凭证的哈希值，根据接收到的区块链分布式身份认证系统反馈的用户DID对应的用户eID 数字身份凭证哈希值，对比计算得到的eID数字身份凭证的哈希值与请求区块链分布式身份认证系统得到的eID数字身份凭证的哈希值是否一致，从而确定网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系。

在网络服务系统下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下，确定对网络服务系统下的用户eID 数字身份凭证与用户DID校验通过，反之则校验不通过。

S203：在对在网络服务系统下的用户eID 数字身份凭证与用户DID校验通过的情况下，通过网络服务系统向用户发起零知识证明请求；

首先确定随机种子，然后通过网络服务系统向用户发起携带有随机数生成器与随机种子的零知识证明请求。

S204：在通过网络服务系统接收到用户提交的零知识验证信息的情况下，对零知识验证信息进行验证；

公民网络身份识别系统在通过网络服务系统向用户发起零知识证明请求之后，公民网络身份识别系统与网络用户客户端分别执行以下操作：

根据随机数生成器与随机种子，生成多个不大于用户eID长度值的正整数；

分别从用户eID中每个正整数对应位置处提取每个正整数对应的字符，如正整数为2则从用户eID中第2个字符处提取字符；

根据生成的各个正整数的顺序，对提取到的每个正整数对应的字符进行拼接，得到拼接字符串；

计算拼接字符串的哈希值。

若用户为真实用户，则该用户有正确的用户eID，由于随机数生成器本质是一个算法，在用户与公民网络身份识别系统利用相同的随机数生成器、随机种子（即初始值）以及用户eID的情况下，双方执行该随机数生成器算法，产生的随机数序列是相同的，最后得到的拼接字符串的哈希值也是相同的。

根据零知识验证信息与零知识证明算法验证用户是否知道拼接字符串的哈希值，即可验证对用户进行实名认证。零知识证明指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向验证者泄漏任何关于被证明消息的信息。

本实施例中根据零知识验证信息与零知识证明算法验证用户是否知道拼接字符串的哈希值，包括：

网络用户选择一个大素数p及其原根g，即p和g均为正整数，互质，d满足g^d ≡1(mod p)，当d=δ(p,g)= φ（p）成立时，称g为p的原根，其中δ(p,g) 表示使该式成立的最小的正整数d，φ（p）是小于或者等于p的正整数中与p互质的数的个数。计算q=g^H(mod p)。用户将p、g发送给公民网络身份识别系统。

网络用户随机生成一个正整数r，从算法安全性方面考虑，r越大安全性越高，一般要求r大于5，计算（r×s）≡H(mod p-1)，得到s，如果s大于5，则满足条件，否则重新选择随机数并计算s。计算q1=g^r(mod p)，并将q1发送给公民网络身份识别系统。

公民网络身份识别系统生成一个随机数m，计算q2=g^m(mod p)，将q2发送给用户。

用户计算q3=(q2)^r(mod p)，将q3发送给公民网络身份识别系统。

公民网络身份识别系统计算q4=(q1)^m(mod p)，如果q3=q4，则证明用户发送的q1为g^r(mod p)。

公民网络身份识别系统生成另一个随机数n，计算q5=(q1)ⁿ(mod p)，将q5发送给用户。

用户计算q6=(q5)^s(mod p)，将q6发送给公民网络身份识别系统。

公民网络身份识别系统首先基于自身存储的该用户的eID，以双方约定的方式得到拼接字符串S，并计算其哈希值H，计算q=g^H(mod p)，进而计算q7=qⁿ(mod p)，如果q7=q6，则证明用户确实知道哈希值H，即证明了该用户拥有该网络电子身份标识eID。

由于用户通过零知识证明实现用户的实名身份认证，不需要用户提供指纹、人脸等隐私信息，避免了用户在身份认证时可能导致的隐私信息泄露问题。

S205：向网络服务系统反馈对零知识验证信息的验证结果。

网络服务系统根据公民网络身份识别系统反馈的零知识验证信息的验证结果确定是否向用户提供网络服务。

本实施例公开的一种身份标识验证方法，将网络电子身份标识（eID）和区块链技术相结合构建分布式可信数字身份管理和认证体系，以eID数字身份为基础，借助区块链不可篡改、可追溯的特性，实现用户数字身份自主可控及可信身份认证。

同时以用户eID为根，为每一项网络服务生成全网唯一的基于eID的分布式可信数字身份二维码，切断同一用户不同网络服务之间的关联关系，从而阻止在未经用户授权情况下用户不同维度的行为数据被汇集和分析。

同时将区块链技术引入eID数字身份体系，提升了该体系对数字身份的不可篡改、可追溯管理能力

同时通过零知识证明算法替换现有技术中通过人脸、指纹识别等方式实现身份验证，提升了身份认证过程的隐私保护能力。

基于上述实施例公开的一种身份标识注册方法，本实施例对应公开了一种身份标识注册装置，应用于公民网络身份识别系统，请参阅图3，所述装置包括：

eID注册单元301，用于在接收到用户提交的网络电子身份标识eID注册请求的情况下，生成用户实名认证的eID；

eID凭证生成单元302，用于在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证；

哈希值存储单元303，用于将用户的eID哈希值与所述目标网络服务系统下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证系统；

二维码生成单元304，用于在接收到所述区块链分布式身份认证系统发送的所述目标网络服务系统下用户分布式身份标识符DID的情况下，将所述目标网络服务系统下的用户eID 数字身份凭证与用户DID进行拼接加密，生成分布式可信数字身份二维码；

二维码发送单元305，用于将所述分布式可信数字身份二维码发送给用户。

基于上述实施例公开的一种身份标识验证方法，本实施例对应公开了一种身份标识验证装置，应用于公民网络身份识别系统，请参阅图4，所述装置包括：

二维码识别单元401，用于在接收到网络服务系统发送的身份标识验证请求的情况下，识别所述身份标识验证请求携带的分布式可信数字身份二维码，得到在所述网络服务系统下的用户eID 数字身份凭证与用户DID；

标识校验单元402，用于对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验；

零知识证明发起单元403，用于在对在所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过的情况下，通过所述网络服务系统向用户发起零知识证明请求；

零知识信息验证单元404，用于在通过所述网络服务系统接收到用户提交的零知识验证信息的情况下，对所述零知识验证信息进行验证；

验证结果反馈单元405，用于向所述网络服务系统反馈对所述零知识验证信息的验证结果。

可选的，区块链分布式身份认证系统存储有所述网络服务系统下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。

可选的，所述标识校验单元402，具体用于：

利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在；

若不存在，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在，利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

若不存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过。

可选的，所述标识校验单元402，具体用于：

向所述区块链分布式身份认证系统发送携带有用户DID的数据查询请求；

根据接收到的所述区块链分布式身份认证系统反馈的用户DID对应的用户eID 数字身份凭证哈希值，确定所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

在所述网络服务系统下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下，确定对所述网络服务系统下的用户eID数字身份凭证与用户DID校验通过，反之则校验不通过。

可选的，所述零知识证明发起单元403，具体用于：

确定随机种子；

通过所述网络服务系统向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。

可选的，所述零知识信息验证单元404，具体用于：

根据所述随机数生成器与所述随机种子，生成多个不大于用户eID长度值的正整数；

分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符；

根据生成的各个正整数的顺序，对提取到的每个所述正整数对应的字符进行拼接，得到拼接字符串；

计算所述拼接字符串的哈希值；

根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。

本实施例还公开了一种身份标识验证系统，请参阅图5，身份标识验证系统包括：公民网络身份识别系统、区块链分布式身份认证系统和至少一个网络服务系统，网络用户通过网络用户客户端分别与公民网络身份识别系统、区块链分布式身份认证系统和至少一个网络服务系统进行信息交互。

所述公民网络身份识别系统包括eID数字身份签发模块和eID数字身份凭证认证模块，分别用于执行上述实施例公开的一种身份标识注册方法以及一种身份标识验证方法；

所述区块链分布式身份认证系统，用于在接收到用户提交的目标网络服务系统下的DID注册请求的情况下，生成所述目标网络服务系统下的用户DID，并将所述目标网络服务系统下的用户DID与用户eID数字身份凭证哈希值进行绑定；

所述网络服务系统，用户在接收到用户提交的携带有分布式可信数字身份二维码的网络服务请求的情况下，向所述公民网络身份识别系统发送携带有所述可信数字身份二维码的身份标识验证请求，并根据所述公民网络身份识别系统反馈的验证结果确定是否允许用户使用网络服务。

本实施例公开的一种身份标识验证系统，应用于公民网络身份识别系统，在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证，并将用户的eID的哈希值与目标网络服务系统下的用户eID数字身份凭证的哈希值存储到区块链分布式身份认证系统。然后通过将区块链分布式身份认证系统发送的目标网络服务系统下用户DID与eID数字身份凭证进行拼接加密，生成分布式可信数字身份二维码，用户的分布式可信数字身份二维码经过验证后可使用对应的网络服务系统。本发明中用户的身份信息由用户自身控制，在公民网络身份识别系统和区块链分布式身份认证系统双重信任背书下，网络服务系统在不需要存储用户身份信息的情况下实现身份标识实名认证，提高了用户身份标识的安全性，实现更加安全、便捷的数字身份验证。

此外，由于不同网络服务系统下用户的eID数字身份凭证以及DID各不相同，用户在不同网络服务系统的行为数据无法被汇集和分析，从而降低了用户隐私信息被挖掘的风险。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器（RAM）、内存、只读存储器（ROM）、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

上述各个实施例之间可任意组合，对所公开的实施例的上述说明，本说明书中各实施例中记载的特征可以相互替换或者组合，使本领域专业技术人员能够实现或使用本申请。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种身份标识注册方法，其特征在于，应用于公民网络身份识别系统，所述方法包括：

在接收到用户提交的网络电子身份标识eID注册请求的情况下，生成用户实名认证的eID；

在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证；

将用户的eID哈希值与所述目标网络服务系统下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证系统；

在接收到所述区块链分布式身份认证系统发送的所述目标网络服务系统下用户分布式身份标识符DID的情况下，将所述目标网络服务系统下的用户eID 数字身份凭证与用户DID进行拼接加密，生成分布式可信数字身份二维码；

将所述分布式可信数字身份二维码发送给用户。

2.一种身份标识验证方法，其特征在于，应用于公民网络身份识别系统，所述方法包括：

在接收到网络服务系统发送的身份标识验证请求的情况下，识别所述身份标识验证请求携带的分布式可信数字身份二维码，得到在所述网络服务系统下的用户eID 数字身份凭证与用户DID；

对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验；

在对在所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过的情况下，通过所述网络服务系统向用户发起零知识证明请求；

在通过所述网络服务系统接收到用户提交的零知识验证信息的情况下，对所述零知识验证信息进行验证；

向所述网络服务系统反馈对所述零知识验证信息的验证结果。

3.根据权利要求2所述的方法，其特征在于，区块链分布式身份认证系统存储有所述网络服务系统下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。

4.根据权利要求3所述的方法，其特征在于，对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验，包括：

利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在；

若不存在，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在，利用所述区块链分布式身份认证系统验证所述网络服务系统下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

若不存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验不通过；

若存在绑定关系，则确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过。

5.根据权利要求4所述的方法，其特征在于，对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验，包括：

向所述区块链分布式身份认证系统发送携带有用户DID的数据查询请求；

根据接收到的所述区块链分布式身份认证系统反馈的用户DID对应的用户eID 数字身份凭证哈希值，确定所述网络服务系统下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系；

在所述网络服务系统下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下，确定对所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过，反之则校验不通过。

6.根据权利要求2所述的方法，其特征在于，通过所述网络服务系统向用户发起零知识证明请求，包括：

确定随机种子；

通过所述网络服务系统向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。

7.根据权利要求6所述的方法，其特征在于，对所述零知识验证信息进行验证，包括：

根据所述随机数生成器与所述随机种子，生成多个不大于用户eID长度值的正整数；

分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符；

根据生成的各个正整数的顺序，对提取到的每个所述正整数对应的字符进行拼接，得到拼接字符串；

计算所述拼接字符串的哈希值；

根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。

8.一种身份标识注册装置，其特征在于，应用于公民网络身份识别系统，所述装置包括：

eID注册单元，用于在接收到用户提交的网络电子身份标识eID注册请求的情况下，生成用户实名认证的eID；

eID凭证生成单元，用于在接收到用户提交的开通网络服务访问权限请求的情况下，生成用户本次需要开通访问权限的目标网络服务系统下用户实名认证的eID数字身份凭证；

哈希值存储单元，用于将用户的eID哈希值与所述目标网络服务系统下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证系统；

二维码生成单元，用于在接收到所述区块链分布式身份认证系统发送的所述目标网络服务系统下用户分布式身份标识符DID的情况下，将所述目标网络服务系统下的用户eID数字身份凭证与用户DID进行拼接加密，生成分布式可信数字身份二维码；

二维码发送单元，用于将所述分布式可信数字身份二维码发送给用户。

9.一种身份标识验证装置，其特征在于，应用于公民网络身份识别系统，所述装置包括：

二维码识别单元，用于在接收到网络服务系统发送的身份标识验证请求的情况下，识别所述身份标识验证请求携带的分布式可信数字身份二维码，得到在所述网络服务系统下的用户eID 数字身份凭证与用户DID；

标识校验单元，用于对在所述网络服务系统下的用户eID 数字身份凭证与用户DID进行校验；

零知识证明发起单元，用于在对在所述网络服务系统下的用户eID 数字身份凭证与用户DID校验通过的情况下，通过所述网络服务系统向用户发起零知识证明请求；

零知识信息验证单元，用于在通过所述网络服务系统接收到用户提交的零知识验证信息的情况下，对所述零知识验证信息进行验证；

验证结果反馈单元，用于向所述网络服务系统反馈对所述零知识验证信息的验证结果。

10.一种身份标识验证系统，其特征在于，包括：公民网络身份识别系统、区块链分布式身份认证系统和至少一个网络服务系统；

所述公民网络身份识别系统，用于执行如权利要求1所述的一种身份标识注册方法以及权利要求2~7中任意一项所述的一种身份标识验证方法；

所述区块链分布式身份认证系统，用于在接收到用户提交的目标网络服务系统下的DID注册请求的情况下，生成所述目标网络服务系统下的用户DID，并将所述目标网络服务系统下的用户DID与用户eID数字身份凭证哈希值进行绑定；

所述网络服务系统，用户在接收到用户提交的携带有分布式可信数字身份二维码的网络服务请求的情况下，向所述公民网络身份识别系统发送携带有所述可信数字身份二维码的身份标识验证请求，并根据所述公民网络身份识别系统反馈的验证结果确定是否允许用户使用网络服务。

Images