CN114003959A - 去中心化身份信息处理方法、装置和系统 - Google Patents
去中心化身份信息处理方法、装置和系统 Download PDFInfo
- Publication number
- CN114003959A CN114003959A CN202111305258.9A CN202111305258A CN114003959A CN 114003959 A CN114003959 A CN 114003959A CN 202111305258 A CN202111305258 A CN 202111305258A CN 114003959 A CN114003959 A CN 114003959A
- Authority
- CN
- China
- Prior art keywords
- user
- document
- information
- node
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Abstract
本申请提供了一种去中心化身份信息处理方法、装置和系统,其中,在应用平台需要获得用户在目标业务中的身份信息时,应用平台向用户的用户节点发送用户标识请求;获得用户节点返回的用户的去中心化身份DID标识;如查询到用户的DID标识属于区块链系统中该目标业务下合法的DID标识,通过区块链系统向用户节点发送DID文档使用请求;获得用户节点返回的DID文档;在确认DID文档中的信息合格后,确认目标业务的用户身份验证合格。本申请的方案可以降低用户需要维护和管理的用户信息的复杂度,也降低了不同金融相关业务应用之间业务协作的复杂度。
Description
技术领域
本申请涉及信息技术领域,更具体的说是涉及一种去中心化身份信息处理方法、装置和系统。
背景技术
金融等各类业务越来越频繁的渗透到用户的生活。为了实现金融交易或者其他业务交易行为,用户需要开设并维护金融机构的账户等金融相关的用户信息。
一般情况下,一个用户可能会涉及到多个金融机构的金融行为,在该种情况下,用户就需要在多个金融机构分别开设和管理金融相关的用户信息,使得用户的复杂度开设金融相关用户账户等用户信息的复杂度较高。而且,由于不同金融机构的用户信息均不相同,使得金融机构的业务应用获得用户的用户信息的复杂度较高。
发明内容
有鉴于此,本申请提供了一种去中心化身份信息处理方法、装置和系统,以降低用户需要维护和管理的用户信息的复杂度,也降低了不同金融相关业务应用之间业务协作的复杂度。
为实现上述目的,本申请提供如下技术方案:
一方面,本申请提供了一种去中心化身份信息处理方法,应用于应用平台,包括:
在应用平台需要获得用户在目标业务中的身份信息时,向所述用户的用户节点发送用户标识请求,所述用户标识请求用于请求所述用户在目标业务中的用户标识;
获得所述用户节点返回的所述用户的去中心化身份DID标识;
如查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,通过所述区块链系统向所述用户节点发送DID文档使用请求,其中,所述目标业务下合法的DID标识为针对所述目标业务创建的且经过认证机构认证合法的DID标识,所述DID文档使用请求用于请求所述用户的 DID标识对应的DID文档;
获得用户节点返回的所述DID文档,所述DID文档为所述用户节点在确认所述用户授权所述应用平台使用所述DID文档后,基于所述用户的DID标识从所述区块链系统或者分布式存储系统获得的;
在确认所述DID文档中的信息合格后,确认所述目标业务的用户身份验证合格。
在一种可能的实现方式中,在确认所述DID文档中的信息合格之后,还包括:
获得所述DID文档中的用户公钥;
基于所述用户公钥,校验所述用户节点是否为持有所述用户公钥对应的用户私钥的真实节点;
如所述用户节点为持有所述真实节点,执行所述目标业务对应的业务交易。
在又一种可能的实现方式中,所述基于所述用户公钥,校验所述用户节点是否为持有所述用户公钥对应的用户私钥的真实节点,包括:
生成一随机信息;
利用所述用户公钥对所述随机信息加密,得到加密信息;
将所述加密信息发送给所述用户节点;
获得所述用户节点返回的信息解密结果,所述信息解密结果为所述用户节点利用所述用户的用户私钥对所述加密信息进行解密得到的结果;
如所述信息解密结果与所述随机信息一致,则确定所述用户节点为持有所述用户公钥对应的用户私钥的真实节点。
在又一种可能的实现方式中,所述查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,包括:
查询到所述用户的DID标识属于所述区块链系统中所述目标业务的存储空间内存储的合法DID标识,其中,区块链系统中不同类型业务对应不同的存储空间。
在又一种可能的实现方式中,所述DID文档至少包括:对所述DID文档进行认证的目标认证机构的信息以及所述DID文档的用户签名;
所述确认所述DID文档中的信息合格,包括:
如所述目标认证机构为所述目标业务关联的合法认证机构,且所述用户签名为有效签名,确认所述DID文档中的信息合格。
又一方面,本申请还提供了一种去中心化身份信息处理方法,包括:
在应用平台需要获得用户在目标业务中的身份信息时,向所述用户的用户节点发送用户标识请求,所述用户标识请求用于请求所述用户在目标业务中的用户标识;
所述用户节点获得存储的所述用户的去中心化身份DID标识,将所述用户的DID标识发送给所述应用平台;
如所述应用平台查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,向所述区块链系统发送所述用户的DID文档使用请求,其中,所述目标业务下合法的DID标识为针对所述目标业务创建的且经过认证机构认证合法的DID标识,所述DID文档使用请求用于请求所述用户的DID标识对应的DID文档;
所述区块链系统将所述用户的DID文档使用请求发送给所述用户节点;
所述用户节点基于所述用户的DID标识,从所述区块链系统或者分布式系统中获取所述用户的DID标识对应的DID文档,其中,所述DID文档为在所述用户的DID标识被认证机构认证并存储到区块链系统的情况下,与所述 DID标识关联存储到所述区块链系统或者分布式系统中的;
所述用户节点将所述DID文档发送给所述应用平台;
所述应用平台在确认所述DID文档中的信息合格后,确认所述目标业务的用户身份验证合格。
在一种可能的实现方式中,在所述向所述用户的用户节点发送用户标识请求之前,还包括:
所述用户节点获得用户针对目标业务构建的DID标识和所述用户的DID 标识对应的DID文档;
所述用户节点向所述区块链系统发送DID创建申请,所述DID创建申请携带有所述用户的DID标识和DID文档,且所述DID创建申请用于请求创建所述用户在目标业务下的DID信息;
在所述区块链系统确认所述目标业务对应的存储空间中不存在与所述用户的DID标识重复的DID标识,且对所述DID文档校验合格,在所述目标业务的存储空间存储所述用户的DID标识,将所述DID文档与所述用户的DID 标识关联存储到所述区块链系统中目标业务的存储空间内或者分布式系统中;
在用户节点确认区块链系统已完成所述用户的DID标识和DID文档的存储,所述用户节点向所述目标业务关联的至少一个认证机构的机构节点发送认证请求,所述认证请求用于请求认证机构对所述用户对应的所述DID文档进行认证审核;
在所述认证机构的机构节点对所述DID文档认证通过后,向所述区块链系统中存储所述用户的DID标识对应的认证合法标记。
又一方面,本申请还提供了一种去中心化身份信息处理装置,应用于应用平台,包括:
标识请求单元,用于在应用平台需要获得用户在目标业务中的身份信息时,向所述用户的用户节点发送用户标识请求,所述用户标识请求用于请求所述用户在目标业务中的用户标识;
标识获得单元,用于获得所述用户节点返回的所述用户的去中心化身份 DID标识;
文档请求单元,用于如查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,通过所述区块链系统向所述用户节点发送DID文档使用请求,其中,所述目标业务下合法的DID标识为经过认证机构认证合法的DID标识,所述DID文档使用请求用于请求所述用户的DID标识对应的DID文档;
文档获得单元,用于获得用户节点返回的所述DID文档,所述DID文档为所述用户节点在确认所述用户授权所述应用平台使用所述DID文档后,基于所述用户的DID标识从所述区块链系统或者分布式存储系统获得的;
身份验证确认单元,用于在确认所述DID文档中的信息合格后,确认所述目标业务的用户身份验证合格。
在一种可能的实现方式中,所述装置还包括:
公钥获得单元,用于在身份验证确认单元确认所述DID文档中的信息合格之后,如确认所述DID文档中的信息合格,获得所述DID文档中的用户公钥;
用户校验单元,用于基于所述用户公钥,校验所述用户节点是否为持有所述用户公钥对应的用户私钥的真实节点;
业务执行单元,用于如所述用户节点为所述真实节点,执行所述目标业务对应的业务交易。
在又一种可能的实现方式中,所述用户校验单元,包括:
随机生成单元,用于生成一随机信息;
随机加密单元,用于利用所述用户公钥对所述随机信息加密,得到加密信息;
加密信息发送单元,用于将所述加密信息发送给所述用户节点;
解密结果获得单元,用于获得所述用户节点返回的信息解密结果,所述信息解密结果为所述用户节点利用所述用户的用户私钥对所述加密信息进行解密得到的结果;
用户确认单元,用于如所述信息解密结果与所述随机信息一致,则确定所述用户节点为持有所述用户公钥对应的用户私钥的真实节点。
经由上述的技术方案可知,本申请中,用户针对同一种业务可以仅创建一个去中心化身份DID标识和DID文档并存储到区块链系统中,而不是针对不同应用平台分别创建不同的用户信息,降低了开设用户信息的复杂度。
在此基础上,如果应用平台需要获得用户在某种业务下的身份信息,应用平台只需要向用户节点请求该用户针对该业务的DID标识;在确认该DID 标识属于区块链存储的该业务下合法的DID,应用平台可以直接向用户节点请求该DID标识对应的DID文档,并基于该DID文档进行该中业务相关的身份验证。由于本申请结合区块链来对用户的DID标识进行存储和验证,提高了用户信息的安全性和可靠性,且无需应用平台管理和维护用户的身份信息,便可以直接基于区块链系统和用户节点获得相应业务所需的用户的DID标识和DID文档,降低了应用平台之间业务协作以及身份验证的复杂度。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本申请提供的去中心化身份信息处理方法所适用的一种场景的组成架构示意图;
图2示出了本申请提供的去中心化身份信息处理方法中DID信息创建与认证的一种流程交互示意图;
图3示出了本申请提供的DID文档认证的一种流程交互示意图;
图4示出了本申请提供的去中心化身份信息处理方法的一种流程示意图;
图5示出了本申请提供的去中心化身份信息处理方法的一种流程交互示意图;
图6示出了本申请提供的去中心化身份信息处理装置的一种组成结构示意图。
具体实施方式
本申请的方案为基于区块链技术实现用户去中心化身份(Decentralizedidentity,DID)信息的创建与维护,以使得用户基于该区块链系统执行一次某个业务下DID相关信息的创建与存储后,便可以供不同应用调用并使用,既降低用户开设与管理金融相关用户信息的复杂度,也实现了不同应用之间业务的协同性,使得不同应用基于区块链获得同一业务下不同用户的用户信息,降低了应用获得某种类型业务下用户信息的复杂度。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,其示出了本申请提供的用户信息处理方法所适用的一种场景的组成架构示意图。
由图1可知,该场景包括:区块链系统101,用户的用户节点102、认证机构的机构节点103以及至少一个应用对应的应用平台104。
其中,区块链系统101可以由多个区块链节点1011构成。
用户节点可以为手机、个人计算机等电子设备。其中,用户可以通过用户节点访问区块链系统,向区块链系统申请用户信息的存储与认证等。
认证机构可以为基于区块链对区块链中待存储的用户信息进行认证的机构。认证结构可以为具备权限的行政机关或者部门等,具体不加限制。具备权限的机关或者部门可以在通过区块链关联的维护者同意后,成为区块链关联的认证机构。
应用平台104可以运行有应用,应用平台的应用可以向区块链请求其业务处理过程中所需的用户信息。
作为一种可选方式,该场景还可以包括分布式存储系统105,分布式存储系统可以包括多个存储服务器1051,分布式存储系统105可以存储该分布式存储系统可以辅助区块链存储部分用户信息。
在本申请中,区块链系统可以创建不同种业务对应的存储空间,相应的,一个业务的存储空间仅存储属于该种业务下的各用户的用户信息的集合。
在本申请实施例中,区块链系统的每个业务的存储空间都有空间维护者。如,在自治情况下,该空间维护者可以是该业务的存储空间中存储的用户信息对应的用户。空间维护者还可以是通过投票机制从该存储空间存储的用户信息对应的多个用户选举出的部分用户。当然,存储空间的空间维护者还可以是指定的用户、机构或者组织等,对此不加限制。
在区块链系统中会存储各空间维护者的公钥信息。
其中,某个业务的存储空间存储的用户信息所对应任意一个用户而言,如果用户不属于空间维护者,那么该用户可以作为该存储空间的信息参与者。
如果某个机构希望成为区块链系统中某个业务对应的存储空间的认证机构,则该机构在通过区块链系统中该存储空间对应的至少设定数量个空间维护者的认可之后,区块链系统会记录该机构为业务(或者说,该业务的存储空间)关联的认证机构。
在一种可能的情况中,机构可以通过机构节点向区块链系统提交认证机构申请。该认证机构申请可以包括机构的基础信息,如机构名称、机构法人等等信息。该认证机构申请用于申请成为业务关联的认证机构,如认证机构申请指示有业务的标识。
在此基础上,业务的存储空间对应的空间维护者可以通过区块链账号登录区块链系统,在空间维护者通过区块链系统获得该认证机构申请后,可以对该机构进行审核。如,审核机构是否为合法机构或者属于适合作为认证机构的机构等,对此不加限制。
如空间维护者同意该机构为该业务对应的信息存储空间的认证机构,则该空间维护者可以通过区块链系统提交针对该机构提出的申请的签名。
相应的,区块链系统检测到针对该认证机构的签名数量到达设定数量,则可以在区块链系统中标记该机构为该业务的存储空间关联的认证机构。
在又一种可能的情况中,机构也可以直接向区块链系统中该业务的存储空间的空间维护者发送认证机构申请。如空间维护者同意该机构为该业务的存储空间的认证机构,则该空间维护者可以通过向区块链系统提交针对该机构提出的申请的签名,其具体过程与上面一种情况类似。相应的,区块链系统在确认针对该机构的签名数量达到设定数量,则确认该机构为该业务的存储空间的认证机构。其中,该设定数量可以根据需要设定,在此不再赘述。
其中,认证机构可以向区块链系统存储一些允许公开的信息。如,公开认证机构对用户信息进行认证所涉及到的一些机构公开信息,该机构公开信息可以包括:该认证机构支持的加密算法,认证机构的公钥,该认证机构可认证的用户信息的类别以及向该认证机构申请认证所需提交的认证资料。当然,该机构公开信息还可以包括认证频率以及单个周期可接受的最大认证数量等等信息,对此不加限制。
在本申请中,认证机构还可以接受认证机构关联的业务的存储空间对应空间维护者以及空间参与者的监督。如空间维护者发现该认证机构存在恶意认证等不合规行为,空间维护者可以通过其用户节点并利用其区块链账号登录区块链系统,通过区块链发送取消该认证机构的认证资格的指示。
当然,作为认证机构的机构也可以向区块链发送认证机构退出申请,则区块链响应该认证机构退出申请取消该机构作为认证机构的资格,并删除该区块链中记录的该机构为认证机构的信息。
基于以上内容,为了便于理解,先对本申请中创建以及认证目标业务下用户的DID标识和DID文档的过程进行介绍。
如图2所示,其示出了本申请中创建以及认证目标业务下用户的DID标识和DID文档的一种流程交互示意图,本实施例的方法可以包括:
S201,用户节点获得用户针对目标业务构建的DID标识和用户的DID标识对应的DID文档。
其中,目标业务为用户选择的一种类型的业务,为了便于区分,将该业务称为目标业务。在本申请中以针对目标业务创建DID相关信息以及应用调用与使用该目标业务下用户的DID相关信息为例说明。
可以理解的是,在用户节点启动,可以指定所需加入的业务作为该目标业务。
其中,该DID标识可以遵循DID标准或者规范,对此不加限制。
在一种可能的情况中,该DID标识可以由DID前缀、DID空间、ID标识符三部分组成,由冒号隔开,每个部分都由大小写字母或者数字构成。如, DID标识的形式可以为:did:{did-namespace}:{did-identifier},其中, did-namespace为DID空间,did-identifier为DID标示符,did-identifier由两部分组成,用户ID或者节点ID以及产生的标志符,能够用以快速定位存储。
其中,该DID文档(DID Document)为用户在目标业务内DID的详细描述信息。
该DID文档中至少包括用户的公钥信息和该DID文档的完整性证明。其中,用户的公钥信息包括:认证使用的密钥,还可以包括校验中的密钥等等。其中,该完整性证明用于验证DID文档是否完整,如,该完整性证明可以包括DID文档的哈希值,还可以包括用户签名等。
该DID文档中还可以包括:用户的DID标识的版本情况、创建时间、更新时间、生效时间、有效截止时间、恢复DID标识使用的密钥以及认证所需提供的材料等等描述信息中的一种或者多种,对此不加限制。
可以理解的是,用户可以针对不同种业务向区块链申请构建相应的用户信息,本实施例仅仅针对用户构建目标业务下的DID标识和DID文档,对于任意一种业务下的DID标识和DID文档的构建与认证等过程均相似,不再赘述。
S202,用户节点向区块链系统发送DID创建申请。
其中,该DID创建申请携带有用户的DID标识和DID文档,且DID创建申请用于请求创建用户在目标业务下的DID信息。
S203,在区块链系统确认目标业务对应的存储空间中不存在与用户的 DID标识重复的DID标识,且对DID文档校验合格,在目标业务的存储空间存储用户的DID标识,将DID文档与用户的DID标识关联存储到区块链系统中目标业务的存储空间内或者分布式系统中。
可以理解的是,为了保证目标业务下每个DID标识能够唯一标识一个用户,区块链系统在获得DID创建申请后,会先检测该目标业务的存储空间中是否已存在与该用户的DID标识重复的DID标识。如果不存在重复的DID标识,则可以对用户创建的DID文档进行校验。如果区块链系统中目标业务的存储空间已存储与该用户的DID标识相同的DID标识,则区块链系统会指示用户节点该用户的DID标识不可用,以便该用户节点提示用户重新生成DID标识及DID文档。
在一种可选方式中,针对用户标识,区块链系统还可以检测用户的DID 标识的长度是否符合设定长度要求,还可以检测用户的DID标识的格式是否符合格式要求等。相应的,在DID标识符合几项要求的情况下,则可以确定 DID标识合格,进而可以对用户的DID文档进行校验。
其中,对用户的DID文档的校验可以按照设定的校验规则进行校验,对此不加限制。
如,在一种可能的情况中,对用户的DID文档进行校验可以包括以下一种或者多种:
基于DID文档中的完整性信息检测DID文档的信息是否完整,例如,检测DID文档中的哈希值是否与DID文档的具体内容匹配;
检测DID文档中的密钥以及用户签名是否真实。
当然,对于DID文档的信息校验还可以包括对DID文档中其他内容项的校验,如,检测DID文档中的代理人信息以及生效时间等信息是否完整且正确等,具体可以根据实际需要设定的校验规则来进行校验,对此不再赘述。
可以理解的是,如果区块链系统检测到该用户的DID标识与已存储的 DID标识重复,和/或,该用户的DID文档存在校验错误,则区块链系统可以向用户的用户节点发送DID创建失败指示。该DID创建失败指示可以指示 DID创建失败的具体原因,例如,提示DID标识重复等;或者是,提示DID 文档存在校验错误,当然,还可以提示出具体哪些信息项存在问题等等。
其中,区块链系统可以基于共识机制对用户的DID标识和DID文档进行检测或者校验。
可以理解的是,在区块链系统确认用户的DID标识不重复且DID文档校验通过后,区块链系统可以存储用户的DID标识和DID文档。
其中,用户的DID文档可以存储到区块链系统中该目标业务的存储空间。
而用户的DID文档可以有两种可能,在一种可能的情况下,如果不存在分布式系统,而且区块链系统中存储空间充足的情况下,可以将该用户的DID 文档与该用户的DID标识关联存储到该目标业务的存储空间。
在又一种可能的情况下,为了减少区块链系统中存储的数据量,或者是对于访问权限不限制的情况下,本申请区块链系统还可以将DID文档与用户的DID标识关联存储到分布式系统中。在该种情况下,区块链系统可以在目标业务的存储空间中仅存储用户的DID标识以及该DID文档对应的哈希值。
其中,用户的DID文档的访问权限和保存策略可以由用户通过用户节点设定并通知给区块链系统。
S204,在用户节点确认区块链系统已完成用户的DID标识和DID文档的存储,向目标业务关联的至少一个认证机构的机构节点发送认证请求。
可以理解的是,用户节点获得存储成功指示后,则说明该用户的DID标识和DID文档创建成功。用户节点可以通过定时查询等方式,从区块链系统查询是否已完成DID标识与DID文档的存储。如区块链系统已完成DID标识与DID文档的存储,则说明用户的DID标识和DID文档创建成功。
可以理解的是,在区块链系统中创建了用户的DID标识和DID文档之后,此时仅仅是完成了DID相关信息的创建与存储。但是,在金融交易场景中,只有认证机构对用户的DID相关信息进行认证之后,相关业务的应用才可以使用该用户在目标业务下的DID标识与DID文档。基于此,本申请还需要对用户的DID标识和DID文档进行认证。
由前面介绍可知,每种业务的存储空间均会关联有至少一个认证机构,基于此,用户节点向可以相应的认证结构发起认证请求。
其中,该认证请求用于请求认证机构对用户对应的DID文档进行认证审核。如,认证请求可以携带有用户的DID标识,以使得认证机构可以确定待审核的DID文档。又如,认证请求还可以携带有DID标识和DID文档,以使得认证机构可以直接获得DID标识和待审核的DID文档。
S205,在认证机构的机构节点对DID文档认证通过后,向区块链系统中存储用户的DID标识对应的认证合法标记。
其中,认证机构的机构节点在获得认证请求后,可以对用户的DID文档进行审核。
其中,该DID文档可以是认证请求中携带的;也可以是由认证机构根据 DID标签从区块链系统或者分布式系统中查询到的。
其中,对DID文档的审核的形式可以由认证机构决定,可以通过线上直接审核,也可以通过线下认证审核,审核信息包括并不限于DID文档中版本号、代理有效性、签名、DID文档是否完成等。
在认证机构对DID文档认证通过后,可以向区块链系统中添加该DID标识对应的认证合法标记,该认证合法标记表征认证机构对该用户的DID标签对应的DID文档认证通过。
可以理解的是,认证机构在对DID文档进行认证通过后,还可以向区块链系统中添加该认证机构的签名信息,以将认证机构的签名信息与该DID标签关联存储。
可以理解的是,在实际应用中,用户节点还可以发起认证请求,还可以向认证机构提供认证机构认证所需的其他认证资料,以便认证机构进行审核,具体可以根据需要设定。
为了便于理解,认证机构对DID文档认证的过程,下面结合一种可能的实现方式为例对认证机构对DID认证的过程进行说明。
如图3,其示出了本申请中方案中DID文档认证的一种流程交互示意图,本实施例的方法可以包括:
S301,用户节点查询区块链系统中该目标业务对应的存储空间关联的至少一个认证机构以及该至少一个认证机构的公钥。
S302,针对每个认证机构,用户节点确定该认证机构对DID文档认证所需的认证资料,计算认证资料的哈希值,利用该认证机构的公钥对该认证资料加密,将加密后的认证资料存储到分布式系统。
其中,认证资料所包含的信息可以根据需要预先约定。
在本申请中,由于涉及到对DID文档的认证,该认证资料中至少可以包括用户的DID标识和DID文档。
当然,该认证资料中还可以携带该认证机构认证所需的其他信息,对此不加限制。
S303,用户节点向区块链系统发送认证请求。
其中,该认证请求可以指示有待认证的该认证资料的信息。如,可以携带有认证资料的哈希值、认证机构的标识(如认证机构的DID标识)以及认证资料的访问方式等信息。
S304,认证机构的机构节点通过区块链系统获得该认证请求,基于认证请求获得用户节点提交的加密后的认证资料。
如,认证机构定时查询区块链系统,如果查询到区块链系统中存在需要该认证机构处理的认证请求,可以从区块链系统获得该认证请求。
其中,由于认证请求中可以指示有待认证的认证资料的信息,从分布式系统获得加密后的认证资料。例如,基于认证请求中认证资料的访问方式从分布式系统获得认证资料。
S305,认证机构的机构节点利用该认证机构的私钥对加密后的认证资料进行解密,对解密出的认证资料进行完整性校验,并对DID文档进行审核。
如,对认证资料的完整性校验可以基于认证请求中认证资料的哈希值对认证资料进行完整性校验。
其中,对DID文档的校验可以预先设定,如,对DID文档的校验可以包括:审核DID文档的版本号,签名信息等是否有效。
其中,认证机构可以通过机构节点按照设定规则进行验证,也可以是线下通过认证机构的用户来对DID文档进行人工审核等,并将审核结果输入到认证机构的机构节点,对此不加限制。
S306,在认证机构的机构节点确认该认证资料的完整性校验合格且对该 DID文档审核通过之后,向区块链系统上传该用户的DID标识对应的认证通过结果和该认证机构的签名信息。
当然,如果认证机构检测到认证资料的完整性校验不合格和/或DID文档审核不通过,可以向区块链系统上传审核不通过的信息,以使得区块链系统将DID标识对应的认证结果记录为审核不通过。
另外,如果认证机构确认需要用户补充信息,则可以通过区块链系统通知用户节点补充相应的信息,用户可以在补充相应信息后,通过区块链系统重新发起认证请求。
S307,区块链系统将该认证通过结果和认证机构的签名信息与该用户的 DID标签关联存储到目标业务的存储空间中。
可以理解的是,图3仅仅是认证机构对DID文档进行认证的一种可能实现方式为例进行说明,对于通过其他方式对DID相关信息进行认证也同样适用于本实施例。
可以理解的是,在用户的DID相关信息创建并被认证机构认证后,不同金融场景下具备权限的任意应用而言,如果需要该用户在该目标业务下的用户身份信息,均可以通过区块链系统中最终获取用户的DID标识和DID文档。
下面从一个应用的应用平台侧对本申请的去中心化身份信息处理方法进行介绍。
如图4所示,其示出了本申请一种去中心化身份信息处理方法,该方法应用于应用平台,本实施例的方法包括:
S401,在应用平台需要获得用户在目标业务中的身份信息时,向用户的用户节点发送用户标识请求。
其中,应用平台可以为任意提供金融业务服务的应用对应的服务平台。该应用平台可以为单个服务器,或者多个服务器构成的集群或者分布式系统,还可以为云平台等等,对此不加限制。
其中,用户标识请求用于请求用户在目标业务中的用户标识。
S402,获得用户节点返回的用户的去中心化身份DID标识。
可以理解的是,在用户节点侧可以存储该用户的DID标识,在此基础上。用户节点响应该用户标识请求,可以获得存储的该用户的DID标识,并将该用户的DID标识发送给该应用平台。
S403,如查询到用户的DID标识属于区块链系统存储的目标业务下合法的DID标识,通过区块链系统向用户节点发送DID文档使用请求。
其中,目标业务下合法的DID标识为针对目标业务创建的且经过认证机构认证合法的DID标识。
如,应用平台可以查询区块链系统中该DID标识是否关联有认证机构的认证通过结果,如果存在认证机构的认证通过结果,则说明该DID标识属于该用户在该目标业务下合法的DID标识。
当然,应用平台还可以进一步验证该DID标识关联的认证机构的签名信息是否属于该目标业务下关联的认证机构等,如果认证机构也是目标业务关联的认证机构,则可以确认该DID标识为合法的DID标识。
可以理解的是,在区块链系统为每种业务分配一存储空间的情况下,区块链系统中不同类型业务对应不同的存储空间。在该种情况下,可以查询该用户的DID标识是否属于该区块链系统中该目标业务的存储空间下存储的合法DID标识,具体过程与上面过程相似,不再赘述。
相应的,如果查询到用户的DID标识属于区块链系统中该目标业务的存储空间内存储的合法DID标识,则确定DID标识为目标业务合法的DID标识。
其中,该DID文档使用请求用于请求用户的DID标识对应的DID文档。
如,机构节点可以向区块链系统发送目的地址指向该目标节点的DID文档使用请求,或者是向区块链系统发送携带有DID标识的DID文档使用请求。相应的,区块链系统可以确定需要将该DID文档使用请求发送给该用户节点。
S404,获得用户节点返回的DID文档。
其中,该DID文档为用户节点在确认用户授权应用平台使用DID文档后,基于用户的DID标识从区块链系统或者分布式存储系统获得的。
如,可以由用户节点检测该应用平台是否属于用户授权使用该DID文档的应用对应的应用平台。还可以是,由区块链系统审核该应用平台是否属于获得使用授权的应用平台,在此基础上,只有应用平台是具有使用DID文档的应用平台,区块链系统才会将DID文档使用请求转发给用户节点,因此,用户节点获得该DID使用请求后便可以确认该应用平台具备DID文档使用权限。
可以理解的是,用户节点在获得DID文档使用请求后,基于用户的DID 标识,从该区块链系统或者分布式系统中获取该用户的DID标识对应的DID 文档。由前面所述可知,该DID文档为在用户的DID标识被认证机构认证并存储到区块链系统的情况下,与DID标识关联存储到区块链系统或者分布式系统中的。
S405,在确认DID文档中的信息合格后,确认目标业务的用户身份验证合格。
其中,应用平台对DID文档的信息检测的内容同样可以根据需要设定,对此不加限制。
如,在一种可能的实现方式中,用户的DID文档至少包括:对DID文档进行认证的目标认证机构的信息以及该DID文档的用户签名。其中,为了便于区分,将对该用户的DID文档进行认证的认证机构称为目标认证机构。
相应的,如果目标认证机构为该目标业务关联的合法认证机构,且该用户签名为有效签名,则可以确认DID文档中的信息合格。
当然,此处仅仅是以一种情况为例说明,对于其他审核DID文档的具体审核方式不加限制。
在确认DID文档的信息验证合格后,应用平台便可以将该DID文档作为该用户在该目标业务下的用户信息,从而执行该目标业务相关的处理。
由于用户针对目标业务创建了DID标签和DID文档之后,任何涉及到该目标业务的应用均可以通过区块链系统以及该用户的用户节点进行交互来获得用户在该目标业务下的DID标签和DID文档,从而无需用户针对每个金融应用分别去申请和创建相应的用户信息。
而且,应用平台也无需单独维护用户的用户信息。
由以上内容可知,在本申请中,用户针对同一种业务可以仅创建一个去中心化身份DID标识和DID文档并存储到区块链系统中,而不是针对不同应用平台分别创建不同的用户信息,降低了开设用户信息的复杂度。
在此基础上,如果应用平台需要获得用户在某种业务下的身份信息,应用平台只需要向用户节点请求该用户针对该业务的DID标识;在确认该DID 标识属于区块链存储的该业务下合法的DID,应用平台可以直接向用户节点请求该DID标识对应的DID文档,并基于该DID文档进行该中业务相关的身份验证。由于本申请结合区块链来对用户的DID标识进行存储和验证,提高了用户信息的安全性和可靠性,且无需应用平台管理和维护用户的身份信息,便可以直接基于区块链系统和用户节点获得相应业务所需的用户的DID标识和DID文档,降低了应用平台之间业务协作以及身份验证的复杂度。
可以理解的是,在应用平台获得用户节点返回的DID文档之后,除了对 DID文档进行验证之外,还可以验证该用户节点是否属于为拥有该DID标识或者说DID文档的用户对应的用户节点。
在此基础上,如果确认该DID文档中的信息合格,还可以获得该DID文档中的用户公钥。然后,可以应用平台可以基于该用户公钥,校验该用户节点是否为持有该用户公钥对应的用户私钥的真实节点。相应的,如果该用户节点为持有该用户私钥的真实节点,执行该目标业务对应的业务交易。
其中,基于DID文档中的用户公钥,校验该用户节点是否为持有该用户公钥对应的用户私钥的真实节点的具体方式可以有多种可能。为了便于理解,下面结合一种可能情况对本申请的方案进行介绍。
如图5所示,其示出了本申请实施例提供的去中心化身份信息处理方法的一种流程交互示意图,本实施例的方法可以包括:
S501,在应用平台需要获得用户在目标业务中的身份信息时,应用平台向用户的用户节点发送用户标识请求。
其中,用户标识请求用于请求用户在目标业务中的用户标识。
S502,用户节点获得存储的用户的去中心化身份DID标识,将用户的DID 标识发送给应用平台。
S503,如应用平台用户的DID标识属于区块链系统中该目标业务的存储空间内存储的合法DID标识,向区块链系统发送用户的DID文档使用请求。
其中,目标业务下合法的DID标识为针对目标业务创建的且经过认证机构认证合法的DID标识。
该DID文档使用请求用于请求用户的DID标识对应的DID文档;
S504,区块链系统将用户的DID文档使用请求发送给用户节点。
S505,用户节点基于用户的DID标识,从区块链系统或者分布式系统中获取用户的DID标识对应的DID文档。
其中,DID文档为在用户的DID标识被认证机构认证并存储到区块链系统的情况下,与DID标识关联存储到区块链系统或者分布式系统中的。
如,DID文档使用请求中可以指示有用户的DID标识,相应的,区块链系统可以将该DID文档使用请求转发给该DID标识对应的用户节点。而该用户节点可以依据DID标识,从获取相应的DID文档。
S506,用户节点将DID文档发送给应用平台。
以上步骤S501到S506可以参见前面实施例的相关介绍,在此不再赘述。
S507,应用平台在确认DID文档中的信息合格后,获得该DID文档中的用户公钥。
由前面DID的创建以及认证过程可知,该DID文档中可以包括用户的用户公钥,因此,应用平台可以从DID文档中获取出该用户的用户公钥。
S508,应用平台生成一随机信息。
其中,随机信息可以为应用平台随机生成的随机数或者随机生成的字符串等等,对此不加限制。
S509,应用平台利用该用户公钥对随机信息加密,得到加密信息。
S510,应用平台将该加密信息发送给用户节点。
可以理解的是,用户节点获得该加密信息后,可以利用存储的用户私钥对该加密信息进行解密,并将解密得到的解密结果返回给应用平台。
S511,应用平台获得该用户节点返回的信息解密结果。
其中,信息解密结果为该用户节点利用该用户的用户私钥对该加密信息进行解密得到的结果。
S512,如应用平台确认该信息解密结果与该随机信息一致,则确定该用户节点为持有该用户公钥对应的用户私钥的真实节点。
可以理解的是,应用平台将随机信息加密,并将加密得到的加密信息发送给用户节点之后,如果用户节点能够利用其存储的用户私钥对该加密信息解密,且解密结果为该应用平台生成的随机信息,则说明用户节点能够正确解密,则该用户节点为该DID标识对应的真实用户节点。
S513,如该用户节点为用户的真实节点,执行该目标业务对应的业务交易。
可以理解的是,在本申请以上实施例中,用户创建了DID标识和DID文档之后,可能会存在更新DID标识和/或DID文档的情况。在该种情况下,用户可以通过用户节点发起对DID信息的更新,其过程与用户申请创建DID文档的过程相似。
需要注意的是,DID信息更新后,DID文档中的版本号需要比原版本号更大,否则更新会失败。
另外,新版本的DID文档处于未认证状态,如需要认证,需要重新发起认证交易。相应的,更新DID文档之后的认证过程也与前面相似,在此不再赘述。
在实际应用中,如果用户持有的DID文档对应的私有密钥丢失,那么用户就暂时失去了DID的控制权,在本申请中可以通过如下三种情况对DID信息进行更新,以使得用户可以重新配置私有密钥:
(1)、DID文档中可以预先设置recovery字段,根据预先设置的备用密钥发起更新交易,以修改原有效密钥。
(2)、DID文档中预先设置了DID代理,由代理DID发起DID更新交易,同时废弃原有效密钥。
(3)、结合线上区块链信誉体系,由高信誉/权威DID账户背书,发起 DID信息更新交易。
在本申请还可以根据需要删除DID标识及相应的DID文档。如可以通过如下两种可能情况来实现:
在一种可能情况中,用户/代理DID通过其节点主动发起废弃操作,经过区块链系统共识后,可以废弃相应的DID信息。
在又一种可能的情况中,若区块链系统发现用户有恶意行为,区块链系统可以自动废弃该用户对应的DID标签以及文档等相关信息。
当然,在DID废弃后,无法再支持新的使用,为保证历史已发生的DID 使用情况,该DID历史信息不进行删除,但仍可以被查询。
在本申请中,为了提高用户的参与度,还设立了设立激励策略,以激励用户能够积极在链上参与DID处理相关流程,对于不同的参与者激励方式可以如下:
对于用户:区块链上记录的DID行为构成了每个用户的DID画像,用户的DID被使用的记录越多,其画像越完整。在此定义用户DID的信誉分,信誉分和用户的DID情况有关,用户的DID使用记录、接入记录越多,其信誉分越高,用户DID受到的认证越多,其DID的可信程度越高,越能够被机构和应用认可。因此,用户能够积极地进行DID认证、主动将应用接入流程链上化。
对于认证机构:对于对用户DID的认证行为,发送给认证机构一定的信用奖励。
对于应用平台:应用平台在审核DID信息,或者应用平台在使用DID信息的过程中,如果发现DID信息的作恶行为,例如DID信息多次验证不通过、业务上的恶意行为,则上传相关作恶信息至区块链网络上,真实的恶意记录举报将获得一定的区块链信用奖励。
进一步的,为发现隐藏的作恶行为和系统风险,维护分布式身份系统稳定,建立监督机制。其中,监督者不仅仅是空间维护者,也DID信息处理过程中的各个参与者,如用户节点、认证机构以及应用平台。
具体监督可以包括如下几种:
1)、空间维护者对认证机构的认证行为进行监督
2)、空间维护者对DID使用者(包括用户和应用)进行监督,发现和防止DID身份的盗用、滥用行为
3)、用户和应用互相监督,将发现的滥用、盗用行为及时上报
4)、区块链系统记录用户的访问记录,对用户的访问记录进行审计,预先设置一系列风控策略,例如突然大幅度增加的访问请求、权限校验错误频繁等情况予以拒绝,并上报进行干预。
5)、区块链系统记录的历史访问记录和DID使用记录,定期进行审计。
对于发现的作恶行为,空间维护者进行共识决断,若确认是作恶行为,则对相关DID进行封禁、限制等操作,扣除或清零相关DID的信誉分,并将处理结果上链,由于底层是区块链,一旦上链后,记录无法更改和消除,这将大大震慑作恶用户和行为。上述的激励策略也是强有效的监督机制的一部分。
可以理解的是,在本申请中DID负责一个用户的有效身份的验证,而可验证声明是DID的证明,是相关机构提供的有效性权威证明。在现实场景中,例如具备权限的身份认证机构的身份证明,学校提供的学历证明,社保局提供的社保信息等。
DID的可验证声明的申请可以通过线上或者线下流程进行,审核通过后会生成可验证声明给到用户的用户节点,用户节点可以将其存储DID空间里。需要注意的是,DID空间同时需要支持外部用户的访问权限控制的能力。
可验证声明的使用如下,以用户借款为例:
用户在借款前已完成身份、学历、工资、银行卡号等相关认证;
用户向贷款机构发起贷款请求,请求中携带用户的DID信息;
贷款机构对用户的DID信息进行认证,认证通过后告知用户需要准备的认证信息;
用户收到认证信息后,授权DID空间开放对贷款机构的读权限,并告知应用访问方式;
贷款机构访问DID空间获取并校验用户的身份、学历、工资等声明数据;
校验通过后,贷款机构给用户发放贷款。
对应本申请的一种去中心化身份信息处理方法,本申请还提供了一种去中心化身份信息处理装置。
如图6所示,其示出了本申请一种去中心化身份信息处理装置的一种组成结构示意图,本实施例的装置应用于应用平台,包括:
标识请求单元601,用于在应用平台需要获得用户在目标业务中的身份信息时,向所述用户的用户节点发送用户标识请求,所述用户标识请求用于请求所述用户在目标业务中的用户标识;
标识获得单元602,用于获得所述用户节点返回的所述用户的去中心化身份DID标识;
文档请求单元603,用于如查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,通过所述区块链系统向所述用户节点发送DID文档使用请求,其中,所述目标业务下合法的DID标识为经过认证机构认证合法的DID标识,所述DID文档使用请求用于请求所述用户的 DID标识对应的DID文档;
文档获得单元604,用于获得用户节点返回的所述DID文档,所述DID 文档为所述用户节点在确认所述用户授权所述应用平台使用所述DID文档后,基于所述用户的DID标识从所述区块链系统或者分布式存储系统获得的;
身份验证确认单元605,用于在确认所述DID文档中的信息合格后,确认所述目标业务的用户身份验证合格。
在一种可能的情况中,该装置还包括:
公钥获得单元,用于在身份验证确认单元确认所述DID文档中的信息合格之后,获得所述DID文档中的用户公钥;
用户校验单元,用于基于所述用户公钥,校验所述用户节点是否为持有所述用户公钥对应的用户私钥的真实节点;
业务执行单元,用于如所述用户节点为持有所述真实节点,执行所述目标业务对应的业务交易。
在一种可能的实现方式中,该用户校验单元,包括:
随机生成单元,用于生成一随机信息;
随机加密单元,用于利用所述用户公钥对所述随机信息加密,得到加密信息;
加密信息发送单元,用于将所述加密信息发送给所述用户节点;
解密结果获得单元,用于获得所述用户节点返回的信息解密结果,所述信息解密结果为所述用户节点利用所述用户的用户私钥对所述加密信息进行解密得到的结果;
用户确认单元,用于如所述信息解密结果与所述随机信息一致,则确定所述用户节点为持有所述用户公钥对应的用户私钥的真实节点。
在一种可能的实现方式中,文档请求单元603具体为,用于如查询到所述用户的DID标识属于所述区块链系统中所述目标业务的存储空间内存储的合法DID标识,通过所述区块链系统向所述用户节点发送DID文档使用请求,其中,区块链系统中不同类型业务对应不同的存储空间。
对于装置实施例而言,由于其基本相应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,在没有超过本申请的精神和范围内,可以通过其他的方式实现。当前的实施例只是一种示范性的例子,不应该作为限制,所给出的具体内容不应该限制本申请的目的。例如,所述单元或子单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或多个子单元结合一起。另外,多个单元可以或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,所描述系统和方法以及不同实施例的示意图,在不超出本申请的范围内,可以与其它系统,模块,技术或方法结合或集成。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种去中心化身份信息处理方法,其特征在于,应用于应用平台,包括:
在应用平台需要获得用户在目标业务中的身份信息时,向所述用户的用户节点发送用户标识请求,所述用户标识请求用于请求所述用户在目标业务中的用户标识;
获得所述用户节点返回的所述用户的去中心化身份DID标识;
如查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,通过所述区块链系统向所述用户节点发送DID文档使用请求,其中,所述目标业务下合法的DID标识为针对所述目标业务创建的且经过认证机构认证合法的DID标识,所述DID文档使用请求用于请求所述用户的DID标识对应的DID文档;
获得用户节点返回的所述DID文档,所述DID文档为所述用户节点在确认所述用户授权所述应用平台使用所述DID文档后,基于所述用户的DID标识从所述区块链系统或者分布式存储系统获得的;
在确认所述DID文档中的信息合格后,确认所述目标业务的用户身份验证合格。
2.根据权利要求1所述的方法,其特征在于,在确认所述DID文档中的信息合格之后,还包括:
获得所述DID文档中的用户公钥;
基于所述用户公钥,校验所述用户节点是否为持有所述用户公钥对应的用户私钥的真实节点;
如所述用户节点为持有所述真实节点,执行所述目标业务对应的业务交易。
3.根据权利要求2所述的方法,其特征在于,所述基于所述用户公钥,校验所述用户节点是否为持有所述用户公钥对应的用户私钥的真实节点,包括:
生成一随机信息;
利用所述用户公钥对所述随机信息加密,得到加密信息;
将所述加密信息发送给所述用户节点;
获得所述用户节点返回的信息解密结果,所述信息解密结果为所述用户节点利用所述用户的用户私钥对所述加密信息进行解密得到的结果;
如所述信息解密结果与所述随机信息一致,则确定所述用户节点为持有所述用户公钥对应的用户私钥的真实节点。
4.根据权利要求1所述的方法,其特征在于,所述查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,包括:
查询到所述用户的DID标识属于所述区块链系统中所述目标业务的存储空间内存储的合法DID标识,其中,区块链系统中不同类型业务对应不同的存储空间。
5.根据权利要求1所述的方法,其特征在于,所述DID文档至少包括:对所述DID文档进行认证的目标认证机构的信息以及所述DID文档的用户签名;
所述确认所述DID文档中的信息合格,包括:
如所述目标认证机构为所述目标业务关联的合法认证机构,且所述用户签名为有效签名,确认所述DID文档中的信息合格。
6.一种去中心化身份信息处理方法,其特征在于,包括:
在应用平台需要获得用户在目标业务中的身份信息时,向所述用户的用户节点发送用户标识请求,所述用户标识请求用于请求所述用户在目标业务中的用户标识;
所述用户节点获得存储的所述用户的去中心化身份DID标识,将所述用户的DID标识发送给所述应用平台;
如所述应用平台查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,向所述区块链系统发送所述用户的DID文档使用请求,其中,所述目标业务下合法的DID标识为针对所述目标业务创建的且经过认证机构认证合法的DID标识,所述DID文档使用请求用于请求所述用户的DID标识对应的DID文档;
所述区块链系统将所述用户的DID文档使用请求发送给所述用户节点;
所述用户节点基于所述用户的DID标识,从所述区块链系统或者分布式系统中获取所述用户的DID标识对应的DID文档,其中,所述DID文档为在所述用户的DID标识被认证机构认证并存储到区块链系统的情况下,与所述DID标识关联存储到所述区块链系统或者分布式系统中的;
所述用户节点将所述DID文档发送给所述应用平台;
所述应用平台在确认所述DID文档中的信息合格后,确认所述目标业务的用户身份验证合格。
7.根据权利要求5所述的方法,其特征在于,在所述向所述用户的用户节点发送用户标识请求之前,还包括:
所述用户节点获得用户针对目标业务构建的DID标识和所述用户的DID标识对应的DID文档;
所述用户节点向所述区块链系统发送DID创建申请,所述DID创建申请携带有所述用户的DID标识和DID文档,且所述DID创建申请用于请求创建所述用户在目标业务下的DID信息;
在所述区块链系统确认所述目标业务对应的存储空间中不存在与所述用户的DID标识重复的DID标识,且对所述DID文档校验合格,在所述目标业务的存储空间存储所述用户的DID标识,将所述DID文档与所述用户的DID标识关联存储到所述区块链系统中目标业务的存储空间内或者分布式系统中;
在用户节点确认区块链系统已完成所述用户的DID标识和DID文档的存储,所述用户节点向所述目标业务关联的至少一个认证机构的机构节点发送认证请求,所述认证请求用于请求认证机构对所述用户对应的所述DID文档进行认证审核;
在所述认证机构的机构节点对所述DID文档认证通过后,向所述区块链系统中存储所述用户的DID标识对应的认证合法标记。
8.一种去中心化身份信息处理装置,其特征在于,应用于应用平台,包括:
标识请求单元,用于在应用平台需要获得用户在目标业务中的身份信息时,向所述用户的用户节点发送用户标识请求,所述用户标识请求用于请求所述用户在目标业务中的用户标识;
标识获得单元,用于获得所述用户节点返回的所述用户的去中心化身份DID标识;
文档请求单元,用于如查询到所述用户的DID标识属于区块链系统存储的所述目标业务下合法的DID标识,通过所述区块链系统向所述用户节点发送DID文档使用请求,其中,所述目标业务下合法的DID标识为经过认证机构认证合法的DID标识,所述DID文档使用请求用于请求所述用户的DID标识对应的DID文档;
文档获得单元,用于获得用户节点返回的所述DID文档,所述DID文档为所述用户节点在确认所述用户授权所述应用平台使用所述DID文档后,基于所述用户的DID标识从所述区块链系统或者分布式存储系统获得的;
身份验证确认单元,用于在确认所述DID文档中的信息合格后,确认所述目标业务的用户身份验证合格。
9.根据权利要求8所述的装置,其特征在于,还包括:
公钥获得单元,用于在身份验证确认单元确认所述DID文档中的信息合格之后,如确认所述DID文档中的信息合格,获得所述DID文档中的用户公钥;
用户校验单元,用于基于所述用户公钥,校验所述用户节点是否为持有所述用户公钥对应的用户私钥的真实节点;
业务执行单元,用于如所述用户节点为所述真实节点,执行所述目标业务对应的业务交易。
10.根据权利要求9所述的装置,其特征在于,所述用户校验单元,包括:
随机生成单元,用于生成一随机信息;
随机加密单元,用于利用所述用户公钥对所述随机信息加密,得到加密信息;
加密信息发送单元,用于将所述加密信息发送给所述用户节点;
解密结果获得单元,用于获得所述用户节点返回的信息解密结果,所述信息解密结果为所述用户节点利用所述用户的用户私钥对所述加密信息进行解密得到的结果;
用户确认单元,用于如所述信息解密结果与所述随机信息一致,则确定所述用户节点为持有所述用户公钥对应的用户私钥的真实节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111305258.9A CN114003959A (zh) | 2021-11-05 | 2021-11-05 | 去中心化身份信息处理方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111305258.9A CN114003959A (zh) | 2021-11-05 | 2021-11-05 | 去中心化身份信息处理方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114003959A true CN114003959A (zh) | 2022-02-01 |
Family
ID=79928065
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111305258.9A Pending CN114003959A (zh) | 2021-11-05 | 2021-11-05 | 去中心化身份信息处理方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114003959A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116089921A (zh) * | 2023-04-07 | 2023-05-09 | 北京微芯感知科技有限公司 | 一种分布式数字身份的可识别标识符生成方法 |
-
2021
- 2021-11-05 CN CN202111305258.9A patent/CN114003959A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116089921A (zh) * | 2023-04-07 | 2023-05-09 | 北京微芯感知科技有限公司 | 一种分布式数字身份的可识别标识符生成方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11777726B2 (en) | Methods and systems for recovering data using dynamic passwords | |
| US11025435B2 (en) | System and method for blockchain-based cross-entity authentication | |
| US11038670B2 (en) | System and method for blockchain-based cross-entity authentication | |
| US11082221B2 (en) | Methods and systems for creating and recovering accounts using dynamic passwords | |
| US20220277307A1 (en) | Systems and methods for personal identification and verification | |
| US11244316B2 (en) | Biometric token for blockchain | |
| US11139984B2 (en) | Information processing system, devices and methods | |
| CN111552955A (zh) | 一种基于区块链和ipfs的个人身份认证方法及装置 | |
| CN111327564B (zh) | 一种联盟链的准入方法及装置 | |
| US8631486B1 (en) | Adaptive identity classification | |
| US11876915B2 (en) | Method, apparatus, and computer-readable medium for authentication and authorization of networked data transactions | |
| US20230006840A1 (en) | Methods and devices for automated digital certificate verification | |
| CN112905979B (zh) | 电子签名授权方法以及装置、存储介质、电子装置 | |
| CN111355591A (zh) | 一种基于实名认证技术的区块链账号安全的管理方法 | |
| JPWO2018088475A1 (ja) | 電子認証方法及びプログラム | |
| US11823194B2 (en) | Decentralized biometric authentication platform | |
| US20210037009A1 (en) | Biometric data sub-sampling during decentralized biometric authentication | |
| US20200412541A1 (en) | Authentication ledger interactions for decentralized biometric authentication | |
| CN114003959A (zh) | 去中心化身份信息处理方法、装置和系统 | |
| JP6967211B1 (ja) | 違法な取引を防止しつつ匿名ユーザの参加も許容する暗号資産の取引のための完全分散型ブロックチェーンシステム及びコンピュータープログラム | |
| Sneha et al. | Blockchain identity management | |
| US20230222509A1 (en) | Method, terminal, and coin register for transmitting electronic coin data sets | |
| US20230267426A1 (en) | Payment system, coin register, participant unit, transaction register, monitoring register and method for payment with electronic coin data sets | |
| CN117396866A (zh) | 授权交易托管服务 | |
| CN115880088A (zh) | 账务处理方法、接入服务器、节点服务器及账务处理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |