CN113761497A

CN113761497A - 一种分布式电力交易可信身份管理方法、系统、计算机设备

Info

Publication number: CN113761497A
Application number: CN202110945522.9A
Authority: CN
Inventors: 杨冠群; 郑海杰; 王聪; 邢宏伟; 张建辉; 李恩堂; 薛念明; 徐崇豪; 张华栋; 田诚信; 徐康
Original assignee: State Grid Shandong Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd; Shandong Luruan Digital Technology Co Ltd
Current assignee: State Grid Shandong Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd; Shandong Luruan Digital Technology Co Ltd
Priority date: 2021-08-17
Filing date: 2021-08-17
Publication date: 2021-12-07

Abstract

本发明属于信息安全技术领域，公开了一种分布式电力交易可信身份管理方法、系统、计算机设备，分布式电力交易可信身份管理系统包括：身份注册模块、系统角色注册模块、凭证颁发模块、存证创建模块、存证验证模块、角色更新模块、凭证更新模块。本发明基于区块链、分布式身份标识、可验证声明、零知识证明等技术，实现了分布式场景下实体(人、机、物)身份的自主控制，实现了隐私保护状态下的身份安全认证、授权和数据交换，提供了一种全新、安全、高效的分布式认证系统。同时，该系统提供分布式异构实体的自主身份管理、敏捷接入、隐私认证等能力，且认证方式便捷、认证成本低廉。

Description

一种分布式电力交易可信身份管理方法、系统、计算机设备

技术领域

本发明属于信息安全技术领域，尤其涉及一种分布式电力交易可信身份管理方法、系统、计算机设备。

背景技术

目前：在传统电网和能源互联网的中心式身份管理系统中，用户身份信息泄露、盗用、滥用频发，对用户、社会都造成了非常大的影响。同时，随着智能电网、能源物联网、边缘计算等技术的快速发展，电网和能源互联网中充斥着大量分布式部署的机器与设备，传统电网和能源领域亟需面临转型。但是传统的能源多由各公司自主生产，极易形成数据孤岛，缺乏必要的分布式协同共享机制。此外，分布式能源交易面临着需求实时响应困难、实时结算困难等特点，且参与实体覆盖范围广、参与主体多，各参与者之间无法形成全局统一协调的协同的信任机制。区块链架构成为传统电网和能源互联网的最佳选择。基于区块链技术，连接电力交易的需求方、提供方和运营方，在无需第三方信任机构的情况下实现节点间的信任传递，实现基于智能合约驱动的分布式电力交易，传统的中心式的身份认证方式不再满足需求。

随着我国清洁能源的快速发展，在分布式电力交易系统中，众多的电力用户都希望把自己产生的绿色电力输送到电网上，这些海量异构设备的接入需求给分布式电网交易系统的用户身份管理带来了巨大的挑战。传统的中心式的身份认证方式无法适用于跨域、异构的实体之间互联互通；其次，分布式能源的交易模糊了输电和配电之间的界限，凸显了电力系统的复杂性和易变性，买卖双方的角色是动态变化的，传统的中心式身份管理和固定式的买卖双方的系统不再适用；另外，电网的隐私保护挑战异常突出，如何保护买卖双方个人信息的隐私性和交易信息的隐私及可追溯性，是亟待解决的问题。

通过上述分析，现有技术存在的问题及缺陷为：传统的身份认证管理方法无法适用于跨域、异构的实体之间互联互通，无法适用于分布式网络中，且安全性不高。

解决以上问题及缺陷的难度为：在分布式区块链网络中，实现身份的认证和管理，需要解决共识一致性、拜占庭故障、不可靠网络和成员协同困难等挑战。此外，身份认证需要安全机制的保障，在满足隐私和安全的基础上实现分布式身份认证系统。

解决以上问题及缺陷的意义为：在区块链网络上建立一套个人自主控制、可移植的分布式身份认证体系，可向交易平台，甚至是面向社会提供具有公共价值属性的身份认证平台，这样，不同的组织或个人能够通过可认证的身份实现点对点的数据及价值共享。

发明内容

针对现有技术存在的问题，本发明提供了一种分布式电力交易可信身份管理方法。

本发明是这样实现的，一种分布式电力交易可信身份管理方法，所述分布式电力交易可信身份管理方法包括以下步骤：

步骤一，身份使用方生成全局唯一的身份标识符及设置其身份属性参数，并通过身份注册合约将相应信息记录于链上，并记录块高。以此确认身份的唯一性；

步骤二，身份使用方通过系统角色控制合约申请成为身份颁发方，将身份颁发方的机构名称添加至颁发方列表，并添加其机构具体信息；

步骤三，身份验证方通过系统角色控制合约申请注册成为身份验证方，将身份验证方的名称添加至验证方列表，并添加验证方的具体信息；

步骤四，进行普通凭证以及隐私凭证的创建和颁发；凭证颁发者为所颁发的凭证生成Hash值并添加签名，进行存证创建并存至区块链上。生成可信的凭证，是分布式身份认证关键的一步；

步骤五，身份验证方基于身份使用方提供的凭证进行身份验证；如果验证通过，则通过验证的用户获得应用系统的访问权限，否则拒绝访问。

进一步，步骤三中，所述进行普通凭证以及隐私凭证的创建和颁发包括：

普通凭证颁发：身份使用方根据需求发出普通凭证申请请求，并提供其身份标识符和所需的自身属性声明的签名，身份颁发方核对身份使用方身份标识符的合法性、链上身份属性信息的真实性、个人声明信息及其签名的真实有效性；选取系统合适的凭证模板，将身份使用方的个人声明信息填充至凭证模板，并添加创建时间、有效期时间以及颁发方的签名信息，生成凭证并返回，进行普通凭证的创建和颁发；所述凭证由元数据、属性声明和签名证明三个部分组成；所述元数据包括：创建时间、有效期时间、签发机构名称、签发机构身份标识符；

隐私凭证颁发：身份使用方发出隐私凭证的申请请求，将其自身的属性转换成离散模型值，生成密码承诺声明，并将其身份标识符和密码承诺的签名发送给身份颁发方；身份颁发方基于零知识证明的技术验证承诺的真实性，并颁发对应的密码凭证。

进一步，步骤四中，所述进行存证创建包括：

身份颁发方核对身份使用方身份标识符的合法性、链上身份属性信息的真实性；身份颁发者将所颁发的凭证生成Hash值；身份颁发者基于Hash值生成签名值；调用存证智能合约，将所创建的存证上传至区块链上。

进一步，步骤五中，所述身份验证方基于身份使用方提供的凭证进行身份验证包括：

身份使用方申请接入验证方系统，并提供自身的身份标识符和认证所需的相应凭证、集，身份验证方收到凭证、集后，先验证凭证相关信息，然后将凭证反向构造存证，向区块链查询和比较存证来证明所持凭证的真实有效性；

具体包括以下步骤：

身份使用方申请接入身份验证方系统，并提供自身的身份标识符，身份验证方验证身份标识符的合法性；根据不同的安全需求，针对电网中的交易双方用户，身份验证方进一步验证系统所需的展示凭证、集，身份验证方在链上广播所需的凭证展示策略；根据身份验证方所需的凭证策略，身份使用方提供和展示凭证、集；验证者检查凭证有效期、验证身份颁发方签名及其他信息；验证者反向构建存证，并调用存证相关合约，通过链上比较来验证存证的真实有效性。

进一步，所述分布式电力交易可信身份管理方法还包括：

进行角色更新以及凭证更新：

(1)角色更新：申请者发起角色更新请求；系统检验该申请者所提功的身份标识符的合法性和存证性；系统在区块链上查询申请者的身份属性；系统加载角色控制智能合约，通过属性更改方法更改角色相应的属性，将身份验证方的身份文档，并以事件的方式记录上链，记录新块高；

(2)凭证更新：身份使用方向身份颁发方发起凭证更新请求；系统检验该申请者所提功的身份标识符的合法性和存证性及其身份属性；身份颁发方验证所提供的凭证有效期、撤销属性、检验签名是否合法有效；身份使用方提供更新的公开属性声明或属性承诺声明，发送给身份颁发方；身份颁发方修改凭证相应的属性如更新时间、使用方属性声明并重新签名；身份颁发方调用存证智能合约，更新存证的Hash值、更新时间及其他属性，并重新签名，以事件更新的方式记录上链，记录新块高。

本发明的另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

步骤一，身份使用方生成全局唯一的身份标识符及设置其身份属性参数，并通过身份注册合约将相应信息记录于链上，并记录块高；

步骤四，进行普通凭证以及隐私凭证的创建和颁发；凭证颁发者为所颁发的凭证生成Hash值并添加签名，进行存证创建并存至区块链上；

本发明的另一目的在于提供一种电网和能源互联网的中心式身份管理系统，所述电网和能源互联网的中心式身份管理系统运行所述的分布式电力交易可信身份管理方法。

本发明的另一目的在于提供一种实施所述分布式电力交易可信身份管理方法的分布式电力交易可信身份管理系统，所述分布式电力交易可信身份管理系统包括：

身份注册模块、系统角色注册模块、凭证颁发模块、存证创建模块、存证验证模块、角色更新模块、凭证更新模块；

身份注册模块，包括身份标识符创建单元、身份属性设置单元；用于为身份使用方生成全局唯一的身份标识符及设置其身份属性参数，并通过身份注册合约将相应信息记录于链上，并记录块高；

系统角色注册模块，包括身份颁发方注册单元和身份验证方注册单元；用于确定生态角色，并执行相应处理；

凭证颁发模块，包括普通凭证颁发单元和隐私凭证颁发单元；用于进行普通凭证颁和隐私凭证的颁发；

存证创建模块，用于凭证颁发者为所颁发的凭证生成Hash值并添加签名，进行存证创建并存至区块链上；

存证验证模块，用于身份验证方基于身份使用方提供的凭证进行身份验证；

角色更新模块，用于进行角色注销、各角色调用角色控制智能合约；同时用于通过属性更改方法更改角色相应的属性，更新身份使用者的身份文档并以事件的方式记录上链，记录新块高；

凭证更新模块，用于撤销凭证；同时用于更改凭证Hash值、签名值及更新时间及其他属性，对应的存证并以事件的方式记录上链，记录新块高。

进一步，所述系统角色注册模块包括：

身份颁发方注册单元，用于身份使用方通过系统角色控制合约申请成为身份颁发方，将身份颁发方的机构名称添加至颁发方列表，并添加其机构具体信息；

身份验证方注册单元，用于身份验证方通过系统角色控制合约申请注册成为身份验证方，将身份验证方的名称添加至验证方列表，并添加验证方的具体信息；

所述凭证颁发模包括：

普通凭证颁发单元，用于进行普通凭证的创建和颁发；

隐私凭证颁发单元，用于进行密码凭证的创建和颁发。

进一步，所述分布式电力交易可信身份管理系统还包括：

身份颁发方、身份使用方和身份验证方三种生态角色；

所述身份颁发方为具有一定公信力的、并且有相对频繁签发凭证需求的实体，由电网公司或其他权威机构承担；所述身份颁发方的生命周期管理包括身份注册、身份颁发方注册、颁发方信息上链、更新、查询和注销；

所述身份使用方，为所有接入电网区块链并拥有相应身份标识符的身份验证方，即电力交易的买卖方用户；所述身份使用方的管理周期包括身份验证方身份注册、身份信息上链、更新、查询和删除；

所述身份验证方即分布式电力交易平台或买卖双方；企业级身份验证方生命周期包括身份注册、身份验证方注册、上链、更新、查询和删除。

结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明提供了一种低廉、安全、广泛适用、身份自主管理、高度隐私保护的基于区块链的分布式身份管理系统，为电力分布式交易的健康发展提供助力。

本发明多中心化或去中心化的身份管理系统，完美解决了传统中心式身份管理系统存在安全瓶颈的问题；本发明人、机、物可以完全拥有、控制和管理自己的身份；本发明具备严格的隐私保护，无法通过数字身份标识符推测出身份使用方的真实身份信息，而且身份使用方身份在交互过程中都是以凭证形式出现，有效保护了使用方的身份隐私；本发明具有很强的可移植性和广泛适用性，不依赖于特定的机构或企业；本发明具有可撤销能力，对于作废或过期身份凭证可实现链上撤销和查询；本发明具备分布式认证能力，不依赖于单一企业的认证，通过分布式的用户社会关系获得全面的身份认证。

流程层面：本发明极大降低了实体身份管理的成本，无需记忆各种应用的账户名和密码，只需向其出示可信身份凭证即可；本发明极大提高了身份验证的便捷度，无需任何专有设备，随时随地可对身份使用方身份凭证进行验证；三是极大简化了身份凭证的申请流程，可根据实体需要随时随地申请各种身份属性的身份凭证。

效果层面：对于身份拥有实体来说，可拥有完全自主、便捷的数字身份，使用方便、无需特殊终端还款，身份凭证可在线申请和在线使用；对于身份认证方来说，有效降低了数字身份管理的基础设施成本，拓宽了数字身份使用范围，加强了数字身份的法律效力，使所发行之凭证不可伪造；对于身份身份验证方来讲，接入验证数字身份的基础设施成本低，数字身份身份验证方便，可验证数字身份凭证权威性强，身份使用方身份及其行为不可抵赖。

针对智能电网和能源互联网的去中心化、泛在互联等需求，本发明基于区块链、分布式身份标识、可验证声明、零知识证明等技术，实现了分布式场景下实体(人、机、物)身份的自主控制，实现了隐私保护状态下的身份安全认证、授权和数据交换，提供了一种全新、安全、高效的分布式认证系统。同时，该系统提供分布式异构实体的自主身份管理、敏捷接入、隐私认证等能力，且认证方式便捷、认证成本低廉。

附图说明

图1是本发明实施例提供的分布式电力交易可信身份管理系统结构示意图；

图中：1、身份注册模块；2、系统角色注册模块；3、凭证颁发模块；4、存证创建模块；5、存证验证模块；6、角色更新模块；7、凭证更新模块。

图2是本发明实施例提供的分布式电力交易可信身份管理方法原理图。

图3是本发明实施例提供的分布式电力交易可信身份管理方法流程图。

图4是本发明实施例提供的身份注册流程图。

图5是本发明实施例提供的发证机构注册流程图。

图6是本发明实施例提供的凭证生成流程图。

图7是本发明实施例提供的凭证存证创建流程图。

图8是本发明实施例提供的凭证存证在链上的可信认证流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对现有技术存在的问题，本发明提供了一种分布式电力交易可信身份管理方法，下面结合附图对本发明作详细的描述。

如图1所示，本发明实施例提供的分布式电力交易可信身份管理系统包括：

身份注册模块1，包括身份标识符创建单元、身份属性设置单元；用于为身份使用方生成全局唯一的身份标识符及设置其身份属性参数，并通过身份注册合约将相应信息记录于链上，并记录块高；

系统角色注册模块2，包括身份颁发方注册单元和身份验证方注册单元；用于确定生态角色，并执行相应处理；

凭证颁发模块3，包括普通凭证颁发单元和隐私凭证颁发单元；用于进行普通凭证颁和隐私凭证的颁发；

存证创建模块4，用于凭证颁发者为所颁发的凭证生成Hash值并添加签名，进行存证创建并存至区块链上；

存证验证模块5，用于身份验证方基于身份使用方提供的凭证进行身份验证；

角色更新模块6，用于进行角色注销、各角色调用角色控制智能合约；同时用于通过属性更改方法更改角色相应的属性，更新身份使用者的身份文档并以事件的方式记录上链，记录新块高；

凭证更新模块7，用于撤销凭证；同时用于更改凭证Hash值、签名值及更新时间及其他属性，对应的存证并以事件的方式记录上链，记录新块高。

本发明实施例提供的系统角色注册模块包括：

身份验证方注册单元，用于身份验证方通过系统角色控制合约申请注册成为身份验证方，将身份验证方的名称添加至验证方列表，并添加验证方的具体信息。

本发明实施例提供的凭证颁发模包括：

普通凭证颁发单元，用于进行普通凭证的创建和颁发；

隐私凭证颁发单元，用于进行密码凭证的创建和颁发。

本发明实施例提供的分布式电力交易可信身份管理系统还包括：

身份颁发方、身份使用方和身份验证方三种生态角色；

如图2所示，本发明实施例提供的分布式电力交易可信身份管理方法包括：

身份使用方根据验证需求实时向身份颁发方进行身份凭证申请，身份验证方对所提交的身份凭证进行链上查验，确定凭证额有效性和完整性。

如图3所示，本发明实施例提供的分布式电力交易可信身份管理方法包括以下步骤：

S101，身份使用方生成全局唯一的身份标识符及设置其身份属性参数，并通过身份注册合约将相应信息记录于链上，并记录块高；

S102，身份使用方通过系统角色控制合约申请成为身份颁发方，将身份颁发方的机构名称添加至颁发方列表，并添加其机构具体信息；

S103，身份验证方通过系统角色控制合约申请注册成为身份验证方，将身份验证方的名称添加至验证方列表，并添加验证方的具体信息；

S104，进行普通凭证以及隐私凭证的创建和颁发；凭证颁发者为所颁发的凭证生成Hash值并添加签名，进行存证创建并存至区块链上；

S105，身份验证方基于身份使用方提供的凭证进行身份验证；如果验证通过，则通过验证的用户获得应用系统的访问权限，否则拒绝访问。

本发明实施例提供的进行普通凭证以及隐私凭证的创建和颁发包括：

本发明实施例提供的进行存证创建包括：

本发明实施例提供的身份验证方基于身份使用方提供的凭证进行身份验证包括：

具体包括以下步骤：

本发明实施例提供的分布式电力交易可信身份管理方法还包括：

进行角色更新以及凭证更新：

下面结合具体实施例对本发明的技术方案作进一步说明。

实施例1：

本发明提供了一种基于区块链的分布式电力交易可信认证系统，系统的生态角色包含身份颁发方、身份使用方和身份验证方。

其中身份颁发方指那些广为人知的、具有一定公信力的、并且有相对频繁签发凭证需求的实体，由电网公司等权威机构承担。身份颁发的生命周期管理包括身份注册、身份颁发方注册、颁发方信息上链、更新、查询和注销等。

身份使用方泛指所有接入电网区块链并拥有相应身份标识符的身份验证方，一般指的是电力交易的买卖方用户。身份使用方的管理周期包括身份验证方身份注册、身份信息上链、更新、查询和删除。

身份验证方由分布式电力交易平台承担，同时，买卖双方也可互为身份验证方。一般来说，所有身份使用方都具有凭证验证的权限，即均可成为身份验证方。对于企业级的身份验证方，其生命周期包括身份注册、身份验证方注册、上链、更新、查询和删除。

系统的具体模块包括身份注册模块、系统角色注册模块、凭证颁发模块、存证创建模块、存证验证模块，其中凭证颁发模块又分为普通凭证颁发模块和隐私凭证颁发模块。

其中身份注册模块又包括身份标识符创建、身份属性设置两个部分。主要功能是为身份使用方生成全局唯一的身份标识符及设置其身份属性参数，并通过身份注册合约将相应信息记录于链上，并记录块高。

系统角色注册模块又分为身份颁发方注册模块和身份验证方注册模块：

身份颁发方注册模块中，身份使用方可以通过系统角色控制合约申请成为身份颁发方，将身份颁发方的机构名称添加至颁发方列表，并添加其机构具体信息。

同理，身份验证方注册模块中，身份验证方可以通过系统角色控制合约申请注册成为身份验证方，将身份验证方的名称添加至验证方列表，并添加验证方的具体信息。

凭证颁发模块又分为普通凭证颁发模块和隐私凭证颁发模块：

普通凭证颁发模块中，首先由身份使用方根据需求发出普通凭证申请请求，并提供其身份标识符和所需的自身属性声明的签名，身份颁发方核验后，根据系统的凭证模板，添加凭证创建时间、使用方自身属性和颁发方的签名信息，完成普通凭证的创建和颁发。

隐私凭证颁发模块中，身份使用方对自身信息具有隐私需求，发出隐私凭证的申请请求，将其自身的属性转换成离散模型值，生成密码承诺声明，并将其身份标识符和密码承诺的签名发送给身份颁发方。身份颁发方基于零知识证明的技术验证承诺的真实性，并颁发对应的密码凭证。该过程中，身份使用方将自身属性转换为密码承诺以实现属性隐藏，使用方可以向验证方证明并使其相信自己知道或拥有某一消息而无需揭露该消息。

存证创建模块中，凭证颁发者为所颁发的凭证生成Hash值并添加签名，以完成存证创建并存至区块链上。

存证验证模块中，身份使用方申请接入验证方系统，并提供自身的身份标识符和认证所需的相应凭证(集)，身份验证方收到凭证(集)后，先验证凭证相关信息，然后将凭证反向构造存证，向区块链查询和比较存证来证明所持凭证的真实有效性。

角色更新模块中，还包含了角色注销操作。各角色调用角色控制智能合约，通过属性更改方法更改角色相应的属性，更新身份使用者的身份文档并以事件的方式记录上链，记录新块高。

凭证更新模块还包括凭证撤销操作。身份颁发方调用凭证控制智能合约，通过属性更改方法更改凭证相应的属性，然后身份颁发方调用存证智能合约，更新凭证的Hash值、签名值及更新时间等属性，对应的存证并以事件的方式记录上链，记录新块高。

(2)系统角色注册模块又分为身份颁发方注册模块和身份验证方注册模块。身份颁发方注册模块中，身份使用方可以通过系统角色控制合约申请成为身份颁发方，将身份颁发方的机构名称添加至颁发方列表，并添加其机构具体信息。同理，身份验证方注册模块中，身份验证方可以通过系统角色控制合约申请注册成为身份验证方，将身份验证方的名称添加至验证方列表，并添加验证方的具体信息。具体为：

1)身份颁发方注册

①身份使用方发起注册发证机构请求；

②系统检验身份使用方所提功的身份标识符的合法性和存证性

③系统链上查询身份标识符所对应的身份属性；

④系统加载系统角色控制合约智能合约，添加发证权限，将身份颁发方的机构名称添加至链上颁发方列表，并添加其具体的机构公开信息至区块链上。

2)身份验证方注册

①身份使用方发起身份验证方注册请求；

②系统检验该申请者所提功的身份标识符的合法性和存证性；

③系统在区块链上查询申请者的身份属性；

④系统加载系统角色控制合约智能合约，添加发证权限，将身份验证方的机构名称添加至颁验证列表，并添加验证机构公开信息。

值得注意的是，身份使用方也具有一般的身份验证权限。

(3)凭证颁发模块又分为普通凭证颁发模块和隐私凭证颁发模块。普通凭证颁发模块中，首先由身份使用方根据需求发出普通凭证申请请求，并提供其身份标识符和所需的自身属性声明的签名，身份颁发方核验后，根据系统的凭证模板，添加凭证创建时间、使用方自身属性和颁发方的签名信息，完成普通凭证的创建和颁发。隐私凭证颁发模块中，身份使用方发出隐私凭证的申请请求，将其自身的属性转换成密码承诺声明，并将其身份标识符和密码承诺的签名发送给身份颁发方。身份颁发方基于零知识证明的技术验证承诺的真实性，并颁发对应的密码凭证。具体为：

1)普通凭证颁发

①身份使用方根据需求发出普通凭证申请请求，提供个人的身份标识符和所需的自身属性声明的签名；

②身份颁发核对身份使用方身份标识符的合法性、链上身份属性信息的真实性、个人声明信息及其签名的真实有效性；

③选取系统合适的凭证模板，将身份使用方的个人声明信息填充至凭证模板，并添加创建时间、有效期时间以及颁发方的签名信息，生成凭证并返回，其中凭证由元数据(如创建时间、有效期时间、签发机构名称、签发机构身份标识符等)、属性声明和签名证明三个部分组成。

2)隐私凭证颁发

①身份使用方根据需求发出隐私凭证申请请求，提供个人的身份标识符和所需的自身属性的密码承诺的签名；

②身份颁发方核对身份使用方身份标识符的合法性、链上身份属性信息的真实性；

③身份颁发方通过零知识证明验证身份使用方属性承诺信息的真实性及其签名的有效性；

④选取系统合适的凭证模板，将身份使用方的属性承诺信息填充至凭证模板，并添加创建时间、有效期时间以及颁发方的签名信息，生成隐私凭证并返回。

具体地，本发明基于密码承诺机制和零知识证明技术提供了以下类型的隐私凭证：

①属性隐藏。证明人证明自己持有某个属性(数值)的因数而不披露该因数；

②范围证明。即证明自己知道能使a≤x≤b的x值，而不披露x，如用户证明自己的年龄大于18岁；

③证明x值非零。证明某个x值非零而并不披露(而且不使用上面的范围证明)；

④集合的包含证明。即给定一个集合S，证明自己知道集合中的一个元素而不披露该元素；

⑤类似的，集合的不包含证明，且不披露非成员元素的值。

(4)存证创建

存证创建模块中，凭证颁发者为所颁发的凭证生成Hash值并添加签名，以完成存证创建并存至区块链上。具体为：

①身份颁发方核对身份使用方身份标识符的合法性、链上身份属性信息的真实性；

②身份颁发者将所颁发的凭证生成Hash值；

③身份颁发者基于Hash值生成签名值；

④调用存证智能合约，将所创建的存证上传至区块链上。

(5)存证验证

存证验证模块中，身份使用方申请接入验证方系统，并提供自身的身份标识符和认证所需的相应凭证(集)，身份验证方收到凭证(集)后，先验证凭证相关信息，然后将凭证反向构造存证，向区块链查询和比较存证来证明所持凭证的真实有效性。具体为：

①身份使用方申请接入身份验证方系统，并提供自身的身份标识符，身份验证方验证身份标识符的合法性；对于一般的电网设备身份使用者而言，只需通过身份标识符验证即可获得应用系统的接入权限；

②根据不同的安全需求，针对电网中的交易双方用户，身份验证方需要进一步验证系统所需的展示凭证(集)，身份验证方在链上广播所需的凭证展示策略，其中展示凭证(集)由元数据、凭证和签名证明三个部分组成，凭证部分可能包含一个或多个凭证；

③根据身份验证方所需的凭证策略，身份使用方提供和展示凭证(集合)；

④验证者检查凭证有效期、验证身份颁发方签名等信息；

⑤验证者反向构建存证，并调用存证相关合约，通过链上比较来验证存证的真实有效性。如果验证通过，则该用户获得应用系统的访问权限，否则拒绝访问。

(6)角色更新模块

角色更新模块中，还包含了角色注销操作。各角色调用角色控制智能合约，通过属性更改方法更改角色相应的属性，更新身份使用者的身份文档并以事件的方式记录上链，记录新块高。具体为：

①申请者发起角色更新请求；

③系统在区块链上查询申请者的身份属性；

④系统加载角色控制智能合约，通过属性更改方法更改角色相应的属性，将身份验证方的身份文档，并以事件的方式记录上链，记录新块高。

⑤值得注意的是，申请者可以通过设置注销属性对某个角色进行注销，并返回更新结果。

(7)凭证更新模块

凭证更新包括凭证撤销操作。身份颁发方调用凭证控制智能合约，通过属性更改方法更改凭证相应的属性，然后身份颁发方调用存证智能合约，更新凭证的Hash值、签名值及更新时间等属性，对应的存证并以事件的方式记录上链，记录新块高。具体为：

①身份使用方向身份颁发方发起凭证更新请求；

②系统检验该申请者所提功的身份标识符的合法性和存证性及其身份属性；

③身份颁发方验证所提供的凭证有效期、撤销属性、检验签名是否合法有效；

④身份使用方提供更新的公开属性声明或属性承诺声明，发送给身份颁发方；

⑤身份颁发方修改凭证相应的属性如更新时间、使用方属性声明并重新签名；

⑥身份颁发方调用存证智能合约，更新存证的Hash值、更新时间等属性，并重新签名，以事件更新的方式记录上链，记录新块高。

⑦值得注意的是，可以通过设置撤销属性对某个角色进行注销，并返回更新结果。

应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。

Claims

1.一种分布式电力交易可信身份管理方法，其特征在于，所述分布式电力交易可信身份管理方法包括以下步骤：

2.如权利要求1所述的分布式电力交易可信身份管理方法，其特征在于，步骤三中，所述进行普通凭证以及隐私凭证的创建和颁发包括：

3.如权利要求1所述的分布式电力交易可信身份管理方法，其特征在于，步骤四中，所述进行存证创建包括：

4.如权利要求1所述的分布式电力交易可信身份管理方法，其特征在于，步骤五中，所述身份验证方基于身份使用方提供的凭证进行身份验证包括：

具体包括以下步骤：

5.如权利要求1所述的分布式电力交易可信身份管理方法，其特征在于，所述分布式电力交易可信身份管理方法还包括：

进行角色更新以及凭证更新：

6.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

7.一种电网和能源互联网的中心式身份管理系统，其特征在于，所述电网和能源互联网的中心式身份管理系统运行权利要求1～5任意一项所述的分布式电力交易可信身份管理方法。

8.一种实施权利要求1～5任意一项所述分布式电力交易可信身份管理方法的分布式电力交易可信身份管理系统，其特征在于，所述分布式电力交易可信身份管理系统包括：

9.如权利要求8所述的分布式电力交易可信身份管理系统，其特征在于，所述系统角色注册模块包括：

所述凭证颁发模包括：

普通凭证颁发单元，用于进行普通凭证的创建和颁发；

隐私凭证颁发单元，用于进行密码凭证的创建和颁发。

10.如权利要求8所述分布式电力交易可信身份管理系统，其特征在于，所述分布式电力交易可信身份管理系统还包括：

身份颁发方、身份使用方和身份验证方三种生态角色；