CN115834051A - 基于did凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质 - Google Patents
基于did凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115834051A CN115834051A CN202211471810.6A CN202211471810A CN115834051A CN 115834051 A CN115834051 A CN 115834051A CN 202211471810 A CN202211471810 A CN 202211471810A CN 115834051 A CN115834051 A CN 115834051A
- Authority
- CN
- China
- Prior art keywords
- credential
- user
- data
- key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请公开了一种基于DID凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质。该方法包括:接收针对目标用户的凭证数据的保存请求,其中,所述保存请求中包含有所述目标用户的目标用户信息以及凭证数据,其中所述目标用户是所述凭证数据的所有者;获取所述凭证数据的存储地址;根据所述凭证数据的凭证信息生成针对所述凭证数据的凭证密钥;使用所述凭证密钥对所述凭证数据执行第一加密处理,以生成加密凭证数据;使用所述目标用户的用户公钥对所述凭证密钥执行第二加密处理,以生成加密凭证密钥;将所述加密凭证数据存储在所述存储地址。本申请实施例确保了用户隐私数据的安全性。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种基于DID凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质。
背景技术
随着互联网技术的发展,人们已经可以越来越多地通过互联网来进行生活和工作,并且因此也出现了各种基于互联网而建设的网站以向用户提供各种各样的服务。由于互联网的身份隐匿性,使得网站往往无法知晓访问或登录到其网站的用户的真实身份,并且因此也无法对于用户使用服务进行相应的规范和管理。为此,现有技术中已经提出了用户需要在访问或登录的网站中预先登记其身份信息,以便于网站可以在用户请求使用网站的服务时可以基于用户提交的身份信息来为用户提供服务。在这一过程中,用户需要将自己的身份信息的原始数据提供给网站并进而保存在网站的服务器中,但是这样的身份信息通常都是用户的隐私数据,因此,用户在使用不同网站提供的服务的同时,也不得不将自己的隐私数据存储在各个网站上,这大大增加了用户隐私暴露的风险。对此,需要一种能够保证用户的隐私数据的安全性的方案。
发明内容
本申请实施例提供一种基于DID凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质,以解决现有技术中用户在使用互联网服务时隐私数据缺乏安全性的缺陷。
为达到上述目的,本申请实施例提供了一种基于DID凭证数据的安全保存方法,包括:
接收针对目标用户的凭证数据的保存请求,其中,所述保存请求中包含有所述目标用户的目标用户信息以及凭证数据,其中所述目标用户是所述凭证数据的所有者;
获取所述凭证数据的存储地址;
根据所述凭证数据的凭证信息生成针对所述凭证数据的凭证密钥;
使用所述凭证密钥对所述凭证数据执行第一加密处理,以生成加密凭证数据;
使用所述目标用户的用户公钥对所述凭证密钥执行第二加密处理,以生成加密凭证密钥;
将所述加密凭证数据存储在所述存储地址。
本申请实施例还提供了一种基于DID凭证数据的授权方法,其中,所述DID凭证数据是由服务节点使用根据本申请实施例所述的基于DID凭证数据的安全保存方法存储的,并且所述授权方法包括:
根据所述凭证数据的使用方的凭证数据访问请求,向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证数据的凭证信息和所述凭证数据的所有者的用户信息;
从所述服务节点接收所述服务节点根据所述凭证信息发送的所述凭证数据的所述加密凭证密钥;
使用所述所有者的用户私钥对所述加密凭证密钥进行解密,以获取凭证密钥;
使用所述使用方的使用方公钥对所述凭证密钥进行加密,以生成加密授权凭证密钥;
向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证信息、所述所有者的用户信息以及所述加密授权凭证密钥。
本申请实施例还提供了一种基于DID凭证数据的安全保存装置,包括:
接收模块,用于接收针对目标用户的凭证数据的保存请求,其中,所述保存请求中包含有所述目标用户的目标用户信息以及凭证数据,其中所述目标用户是所述凭证数据的所有者;
获取模块,用于获取所述凭证数据的存储地址;
生成模块,用于根据所述凭证数据的凭证信息生成针对所述凭证数据的凭证密钥;
加密模块,用于使用所述凭证密钥对所述凭证数据执行第一加密处理,以生成加密凭证数据;使用所述目标用户的用户公钥对所述凭证密钥执行第二加密处理,以生成加密凭证密钥;
存储模块,用于将所述加密凭证数据和所述加密凭证密钥与所述用户信息关联地存储在所述存储地址。
本申请实施例还提供了一种基于DID凭证数据的授权装置,其中,所述DID凭证数据是由服务节点使用根据本申请实施例所述的基于DID凭证数据的安全保存方法存储的,并且所述授权装置包括:
第一发送模块,用于根据所述凭证数据的使用方的凭证数据访问请求,向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证数据的凭证信息和所述凭证数据的所有者的用户信息;
接收模块,用于从所述服务节点接收所述服务节点根据所述凭证信息发送的所述凭证数据的所述加密凭证密钥;
解密模块,用于使用所述所有者的用户私钥对所述加密凭证密钥进行解密,以获取凭证密钥;
加密模块,用于使用所述使用方的使用方公钥对所述凭证密钥进行加密,以生成加密授权凭证密钥;
第二发送模块,用于向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证信息、所述所有者的用户信息以及所述加密授权凭证密钥。
本申请实施例还提供了一种电子设备,包括:
存储器,用于存储程序;
处理器,用于运行所述存储器中存储的所述程序,所述程序运行时执行本申请实施例提供的基于DID凭证数据的安全保存方法或者基于DID凭证数据的授权方法。
本申请实施例还提供了一种计算机可读存储介质,其上存储有可被处理器执行的计算机程序,其中,该程序被处理器执行时实现如本申请实施例提供的基于DID凭证数据的安全保存方法或者基于DID凭证数据的授权方法。
本申请实施例提供的基于DID凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质,通过在接收到针对目标用户的凭证数据的保存请求后获取凭证数据的存储地址并根据接收到的凭证数据的凭证信息来生成对该凭证数据进行加密的凭证密钥,从而可以使用该凭证密钥对用户的凭证数据进行加密并且使用该凭证数据的所有者的用户公钥对该凭证密钥进行加密,并将该加密后的凭证数据存储在获取到的存储地址中,因此,在DID系统中实现了用户凭证数据的加密存储,并且对加密秘钥还额外使用了凭证数据的所有者的公钥来进行加密存储,使得只有该凭证数据的所有者才能够通过使用其私钥来知晓凭证数据的内容,存储节点在没有凭证数据的所有者的授权的情况下也无法从其存储的凭证数据来了解其内容,确保了用户隐私数据的安全性。此外,凭证数据的所有者还可以通过对于服务节点处存储的凭证数据的秘钥进行解密并使用使用方的公钥进行加密来实现对于服务节点中存储的凭证数据的授权,并且在此过程中也不涉及对于凭证数据的处理,从而在确保用户自身的隐私数据的安全性的前提下还实现了对于凭证数据的灵活访问。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是示出了根据本申请实施例的基于DID凭证数据的安全保存方案的应用场景示意图;
图2为本申请提供的安全保存方法的实施例的流程图;
图3为本申请提供的授权方法的实施例流程图;
图4为本申请提供的安全保存装置的结构示意图;
图5为本申请提供的授权装置的结构示意图;
图6为本申请提供的电子设备实施例的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
实施例一
本申请实施例提供的方案可应用于任何具有数据处理和加密解密能力的系统,例如包括有数据处理功能的芯片以及相关组件的服务器系统等等。
随着互联网技术的发展,人们已经可以越来越多地通过互联网来进行生活和工作,并且因此也出现了各种基于互联网而建设的网站以向用户提供各种各样的服务。由于互联网的身份隐匿性,使得网站往往无法知晓访问或登录到其网站的用户的真实身份,并且因此也无法对于用户使用服务进行相应的规范和管理。为此,现有技术中已经提出了用户需要在访问或登录的网站中预先登记其身份信息,以便于网站可以在用户请求使用网站的服务时可以基于用户提交的身份信息来为用户提供服务。在这一过程中,用户需要将自己的身份信息的原始数据提供给网站并进而保存在网站的服务器中,但是这样的身份信息通常都是用户的隐私数据,因此,用户在使用不同网站提供的服务的同时,也不得不将自己的隐私数据存储在各个网站上,这大大增加了用户隐私暴露的风险。
对此,在现有技术中已经提出了DID(去中心化身份标识)系统,该系统主要是针对上述现有的由各个网站管理用户的身份信息的中心化身份系统而提出的。由于大部分不同的网站或平台的身份注册模块并不互通,因此当前大部分不同运营方的网站或平台由于相互之间不具有访问或甚至管理对方网站的身份数据的权限,而无法对于使用对方网站发行的身份标识的用户的身份进行验证。
在DID系统中,用户可以向有能力对用户真实身份进行认证的发证方请求身份认证,并且发证方可以基于用户的认证请求来对用户所请求的身份信息进行核验并且在核验通过后可以向用户签发凭证数据,该凭证数据可以作为权威机构向用户签发的证明用户的特定身份信息的证明数据。例如,图1是示出了根据本申请实施例的DID凭证数据的应用场景的示意图。在图1中所示的场景中,用户可以在DID系统中通过使用用户节点来根据使用方的凭证获取请求或者根据自己的凭证需求来向发证方节点发送凭证签发请求,发证方节点可以是例如法律或公认可以对用户的一种或多种身份信息进行认证的部门或单位,并且因此发证方可以响应于接收到的用户通过用户节点发送过得认证请求,即请求签发认证凭证,来对用户的该请求中包含的指定的身份信息进行认证。例如,用户需要登录的网站需要了解用户的年龄,以确认用户的年龄是否达到了使用网站提供的服务的年龄值。因此,在DID系统中,用户的凭证数据就代理了传统上的用户的身份信息,并且因此也变为了用户的隐私数据。换言之,在DID系统中,用户可以使用用户在DID系统中注册的用户标识和凭证数据的组合就可以向使用方来提供自己的身份信息。
在传统的互联网系统中,用户需要通过先在网站的个人信息界面中登记自己的例如出生日期信息,并且网站为了确保用户登记的出生日期信息的准确性,往往还需要用户上传例如身份证件等具有法律效力的证件,以供网站核对,这样用户为了让该网站了解其年龄信息,就需要将自己的生日信息以及包含有生日信息的完整证件信息发送给网站。但是通常情况下,这样的具有法律效力证件信息通常会包含很多种类的身份信息,例如,用户的住址、照片等等,而用户将自己的这样完整的证件信息上传到网站却仅为了证明其年龄这一种身份信息。
对此,在DID系统中,用户可以请求对自己的年龄具有法定或公认的认证效力的发证方来签发关于其当前年龄的凭证数据,发证方可以在根据用户的认证请求中包含的用户标识来检索其数据库中存储的用户的身份信息或仅检索用户的出生日期信息,并结合收到用户请求的日期或用户在请求中指定的日期来确定用户在该日期的年龄,并由此可以向用户签发关于其在指定日期的年龄的凭证数据,而用户在收到该凭证数据后可以在访问作为该凭证数据的使用方的网站1时,将该凭证数据出示给网站1,从而网站1可以根据该凭证数据确认用户在当前日期的年龄,并当用户的该年龄符合使用相关服务的规定时,可以向用户提供服务。
因此,在DID系统中,用户在向使用方请求需要身份验证的各种服务时,虽然网站需要根据用户的身份信息是否符合规定来确定是否向用户提供服务,但是用户只需要针对所要访问的网站或者所要使用的网站服务要求的身份信息类型而请求将发证方签发相应的凭证数据,并将该凭证数据作为身份证明提供给对应的网站,网站就可以根据该凭证数据来确定是否可以向用户提供相应的服务。在该过程中,用户无需向网站提供任何具体的身份信息,而是替代地,提供网站所要求的关于身份的证明,即凭证数据,在该凭证数据中可以由发证方写入用户的相应的身份信息验证结果或者是根据用户的相应身份信息而计算或判断出的结论数据。例如在上述的网站需要验证用户的年龄的示例中,网站实际上并非是需要当前的年龄,而是需要确认访问网站的用户是否已经年满18岁。因此,在用户请求发证方签发的针对该网站的凭证数据中,发证方就无须在凭证数据中写入用户在指定日期的年龄,而是可以仅在凭证数据中写入用户在指定日期的年龄值以及该发证方的信息即可。
但是在现有的DID系统中,虽然用户在请求例如访问网站等需要基于用户的身份信息的服务时通过提供发证方提供的凭证数据来避免了现有技术中用户需要在各个网站都提供其原始身份信息导致隐私泄露的风险,但是发证方根据用户的请求签发的凭证数据是由发证方直接发送给用户并由此由用户保存在用户节点中或其终端中,而在使用方请求用户出示相关的凭证数据时,用户也是将在其处存储的凭证数据直接发送给使用方来查看。因此,在现有的DID系统中,作为用户隐私数据的凭证数据仍然存在泄露的安全风险,特别是不管在用户处还是在使用方处,都是直接存储凭证数据本身,因此如果用户在多个使用方处出示自己的凭证数据,那么其身份隐私泄露的风险就大大增加。
对此,如图1中所示,在根据本申请实施例的DID系统场景中,用户可以通过使用安装有根据本申请实施例的DID系统的客户端的终端来从用户节点登录到DID系统中,并且使用方和发证方也可以类似地通过这样的终端来从各自的节点登录到DID系统中。在该情况下,如果用户在访问使用方所运营的网站时需要浏览例如对用户的年龄或住址有特别要求的网页或请求相应的服务,使用方可以要求用户提供对于其身份信息进行认证的用户凭证,例如使用方可以要求用户提供其在访问使用方运营的网站的日期时年龄已经达到或超过18岁。因此,用户可以根据使用方的该要求,而向具有身份认证能力的认证方来请求其签发关于其在指定日期已经达到或超过18岁的凭证数据。
因此,认证方可以根据用户发送的该认证请求来在其数据库中查询用户的身份信息,尤其是其出生日期信息,并根据检索到的出生日期和用户在请求中指定的日期来确定是否能够为用户签发所请求的凭证数据。当确认可以签发该凭证数据时,由于凭证数据都需要存储在服务节点中,因此,认证方可以向DID系统中的服务节点来发送该凭证数据,例如可以将该凭证数据和该凭证数据的用户,即该凭证数据的所有者,的用户信息一起作为凭证数据存储请求来发送给服务节点,从而服务节点在接收到该存储请求时,可以根据该存储请求来对凭证数据进行存储处理。
具体地,服务节点可以首先根据凭证数据的凭证信息来生成用于对该凭证数据进行加密的凭证密钥,并且使用该凭证密钥来对接收到的该存储请求中的凭证数据进行加密,以生成加密凭证数据。这时服务节点中已经不存在明文的凭证数据,实现了凭证数据在服务节点中的加密存储。与对凭证数据的加密处理同时或在其之后,服务节点还可以根据存储请求中携带的该凭证数据的所有者的用户信息来查找与该用户信息对应的用户的用户公钥。
在本申请实施例中,该用户公钥可以是用户在DID系统中注册时预先生成并存储在服务节点中的,也可以是用户使用自己的终端登录到DID系统中将预先生成的用户公钥向DID系统中的各个节点广播而由此由服务节点接收到并存储的。或者,也可以由服务节点在接收到凭证数据的存储请求时,根据存储请求中包含的凭证数据的所有者的用户信息而向对应的用户额外请求发送对应的用户公钥,并且该用户可以响应于服务节点的该请求而将自己的用户公钥发送给服务节点。
因此,在服务节点根据凭证数据的所有者的用户信息获取到了对应的用户公钥之后,可以使用该用户公钥来对作为该加密凭证数据的安全性的保证的凭证密钥进行加密,以生成加密凭证密钥。因此,在服务节点中,既不存在明文的凭证数据,而且也不存在明文的凭证密钥。如果有第三方在未经用户许可的情况下从服务节点或其他地方获取到了该加密凭证数据,那么他会由于没有获取到凭证密钥而无法对该加密凭证数据进行解密,或者如果第三方在未经用户的许可的情况下获得了加密凭证数据和加密凭证密钥,那么其显然不可能获得该所有者的用户私钥,因此无法对加密凭证密钥进行解密。此外,由于其没有获得该凭证数据的所有者的许可,因此,自然也无法从用户处获得该凭证数据或凭证密钥,从而能够确保了用户自己所拥有的凭证数据在未得到用户自己的授权的情况下无法被其他人访问,确保了涉及用户隐私数据的这些凭证数据的安全性。
此外,在本申请实施例中,在发证方向服务节点发送凭证数据之前,用户也可以先向服务节点发送凭证数据存储授权请求,以通知服务节点为该凭证数据指定一个存储地址,并且还可以在该存储授权请求中包含用户已经知晓的发证方的发证方信息,例如发证方在DID系统中的发证方标识,从而服务节点可以根据该发证方标识来创建对于该存储地址的授权,即服务节点可以根据用户预先发送的存储授权请求而预先在其存储空间中为发证方指定一个存储地址并将该存储地址与该发证方的例如发证方标识的发证方信息关联以创建针对该发证方的存储授权。从而发证方可以根据服务节点或用户发送给其的该存储授权信息而在其发送给服务节点的凭证数据存储请求中包含其发证方信息和与其接收到的授权信息中的存储地址,从而服务节点可以根据接收到的发证方的该存储请求中的发证方信息,例如发证方标识来在服务节点中预先生成的授权信息当中查找对应的授权信息,即其中包含有该发证方标识的授权信息,并将找到的授权信息中与发证方标识对应的存储地址与发证方发送的存储请求中包含的存储地址比较,以确定是否一致,如果一致,则可以认为发证方发送的该存储请求对于该存储地址具有授权。如果不一致,则可以向发证方返回验证失败的响应信息,并且可以同时也向用户发送对于该发证方的存储请求的授权验证失败的通知信息。类似地,服务节点也可以根据接收到的发证方的该存储请求中针对凭证数据的存储地址来在服务节点中的授权信息当中查找对应的授权信息,即其中记录有该存储地址的授权信息,并且将该查找到的授权信息中与该存储地址对应的发证方信息与授权信息中记录的发证方信息是否一致,并且当一致时可以确认该发证方具有对于该存储地址的授权。此外,同样地,如果不一致则可以向发证方发送请求授权验证失败的相应信息,并且可以向用户发送验证失败的通知信息。
此外,用户也可以直接将其中存储的凭证数据发送给服务节点来进行保存,为此,用户可以直接向服务节点发送凭证数据存储请求,并且在该请求中可以包含有用户自己的用户信息以及要存储的凭证数据,而服务节点在接收到用户发送来的该存储请求时,可以根据该请求中包含的用户信息而确认该发送方为凭证数据的所有者,并且因此,服务节点可以为该用户发送的存储请求中包含的凭证数据创建一个存储地址。之后,与上述方式类似地,服务节点可以使用该凭证数据的凭证信息来生成对该凭证数据进行加密的凭证密钥,并使用该凭证密钥来对该凭证数据进行加密,以获得加密凭证数据,并将其存储在该存储地址中。与此同时或之前或之后,服务节点可以使用该用户预先已经发送给服务节点的用户公钥或者使用该用户在其发送的存储请求中包含的用户公钥来对该凭证密钥进行加密,并将其与凭证数据和用户信息关联地存储在服务节点中。
之后,服务节点还可以在存储完成之后向用户发送存储响应信息,在该存储响应信息中可以包含有该存储地址以及使用用户的公钥进行加密的加密凭证密钥。
在用户的凭证数据存储在服务节点上的情况下,用户可以根据使用方的凭证数据的访问请求,即要求使用凭证使用方所运营的网站的服务的用户提供相应的身份信息证明,来向服务节点发送凭证数据访问授权请求,以将使用方所要使用的身份信息对应的凭证数据的凭证信息以及用户自己的用户信息发送给服务节点。而服务节点在接收到用户发送的该授权请求时,可以首先从该授权请求中获取用户的用户信息,并根据该用户信息和凭证信息来验证用户是否为该凭证数据的所有者。在验证通过之后,服务节点可以将该服务器中存储的该凭证数据的加密凭证密钥作为授权响应信息发送给用户。用户在接收到该授权响应信息之后,可以使用其自己的用户私钥来对该加密凭证密钥进行解密,从而获得原始的凭证密钥,之后用户可以使用使用方预先发送的使用方公钥来对凭证密钥进行重新加密,以生成加密授权凭证密钥,并将该授权凭证密钥和凭证信息包含在凭证数据访问请求中发送给使用方。
此外,在本申请实施例中,服务节点也可以根据用户的授权请求,在服务节点处对于查找到的用户所请求授权的凭证数据的加密凭证密钥使用用户的用户公钥进行解密,并使用预先获取到的或者由使用方响应于服务节点的请求而发送给服务节点的使用方公钥来对解密后的凭证密钥进行再次加密,以生成加密授权凭证密钥,并将该加密授权凭证密钥和凭证信息,例如凭证数据的存储地址一起包含在授权响应信息中发送给使用方。
本申请实施例提供的基于DID凭证数据的安全保存方案和授权方案,通过在接收到针对目标用户的凭证数据的保存请求后获取凭证数据的存储地址并根据接收到的凭证数据的凭证信息来生成对该凭证数据进行加密的凭证密钥,从而可以使用该凭证密钥对用户的凭证数据进行加密并且使用该凭证数据的所有者的用户公钥对该凭证密钥进行加密,并将该加密后的凭证数据存储在获取到的存储地址中,因此,在DID系统中实现了用户凭证数据的加密存储,并且对加密秘钥还额外使用了凭证数据的所有者的公钥来进行加密存储,使得只有该凭证数据的所有者才能够通过使用其私钥来知晓凭证数据的内容,存储节点在没有凭证数据的所有者的授权的情况下也无法从其存储的凭证数据来了解其内容,确保了用户隐私数据的安全性。此外,凭证数据的所有者还可以通过对于服务节点处存储的凭证数据的秘钥进行解密并使用使用方的公钥进行加密来实现对于服务节点中存储的凭证数据的授权,并且在此过程中也不涉及对于凭证数据的处理,从而在确保用户自身的隐私数据的安全性的前提下还实现了对于凭证数据的灵活访问。
上述实施例是对本申请实施例的技术原理和示例性的应用框架的说明,下面通过多个实施例来进一步对本申请实施例具体技术方案进行详细描述。
实施例二
图2为本申请提供的基于DID凭证数据的安全保存方法的实施例的流程图,该方法的执行主体可以为具有数据加密和解密能力的各种终端或服务器设备,也可以为集成在这些设备上的装置或芯片。如图2所示,该安全保存方法包括如下步骤:
S201,接收针对目标用户的凭证数据的保存请求。
在步骤S201中,可以由例如DID系统中的服务节点来接收针对目标用户的凭证数据的保存请求。在本申请实施例中,目标用户可以是在DID系统中注册的需要向使用方提供其身份信息的证明的用户,并且凭证数据可以是由具有公认或法律上赋予的对用户的身份进行认证的机构签发的用户身份的证明凭证数据。
例如,在DID系统中,用户在向使用方请求需要身份验证的各种服务时,虽然网站需要根据用户的身份信息是否符合规定来确定是否向用户提供服务,但是用户只需要针对所要访问的网站或者所要使用的网站服务要求的身份信息类型而请求将发证方签发相应的凭证数据,并将该凭证数据作为身份证明提供给对应的网站,即使用方,使用方就可以根据该凭证数据来确定是否可以向用户提供相应的服务。在该过程中,用户无需向网站提供任何具体的身份信息,而是替代地,提供网站所要求的关于身份的证明,即在步骤S201中的保存请求所要保存的凭证数据,在该凭证数据中可以由发证方写入用户的相应的身份信息验证结果或者是根据用户的相应身份信息而计算或判断出的结论数据。例如在网站需要验证用户的年龄的示例中,网站实际上并非是需要当前的年龄,而是需要确认访问网站的用户是否已经年满18岁。因此,在用户请求发证方签发的针对该网站的凭证数据中,发证方就无须在凭证数据中写入用户在指定日期的年龄,而是可以仅在凭证数据中写入用户在指定日期的年龄值以及该发证方的信息即可。
因此,在步骤S201中,服务节点可以从例如用户或发证方来接收保存请求,并且在该保存请求中可以包含有作为要保存的凭证数据的所有者的目标用户的目标用户信息以及要保存的凭证数据,该凭证数据可以是由发证方根据用户的认证请求而签发的。
S202,获取凭证数据的存储地址。
在步骤S202中,可以由例如服务节点来对于在步骤S201中接收到的凭证数据来获取其在服务节点中的存储地址。例如,服务节点可以根据用户预先发送的存储授权请求而预先在其存储空间中为发证方指定一个存储地址并将该存储地址与该发证方的例如发证方标识的发证方信息关联以创建针对该发证方的存储授权,从而在步骤S202中,服务节点可以根据步骤S201中接收到的发证方发送的存储请求来获取该存储地址。例如,在步骤S201之前,用户可以先向服务节点发送凭证数据存储授权请求,以通知服务节点为该凭证数据指定一个存储地址,并且还可以在该存储授权请求中包含用户已经知晓的发证方的发证方信息,例如发证方在DID系统中的发证方标识,从而服务节点可以根据该发证方标识来创建对于该存储地址的授权,即服务节点可以根据用户预先发送的存储授权请求而预先在其存储空间中为发证方指定一个存储地址并将该存储地址与该发证方的例如发证方标识的发证方信息关联以创建针对该发证方的存储授权。
因此,发证方可以根据服务节点或用户发送给其的该存储授权信息而在其发送给服务节点的凭证数据存储请求中包含其发证方信息和与其接收到的授权信息中的存储地址,从而服务节点可以在步骤S202中根据在步骤S201中接收到的发证方的该存储请求中的发证方信息,例如发证方标识来在服务节点中预先生成的授权信息当中查找对应的授权信息,即其中包含有该发证方标识的授权信息,并将找到的授权信息中与发证方标识对应的存储地址与发证方发送的存储请求中包含的存储地址比较,以确定是否一致,如果一致,则可以认为发证方发送的该存储请求对于该存储地址具有授权。如果不一致,则可以向发证方返回验证失败的响应信息,并且可以同时也向用户发送对于该发证方的存储请求的授权验证失败的通知信息。类似地,服务节点也可以根据接收到的发证方的该存储请求中针对凭证数据的存储地址来在服务节点中的授权信息当中查找对应的授权信息,即其中记录有该存储地址的授权信息,并且将该查找到的授权信息中与该存储地址对应的发证方信息与授权信息中记录的发证方信息是否一致,并且当一致时可以确认该发证方具有对于该存储地址的授权。此外,同样地,如果不一致则可以向发证方发送请求授权验证失败的相应信息,并且可以向用户发送验证失败的通知信息。
此外,服务节点在步骤S201中接收到的存储请求也可以是来自于用户,即用户将其中存储的凭证数据发送给服务节点来进行保存,为此,在步骤S201中,服务节点接收到的该请求中可以包含有用户自己的用户信息以及要存储的凭证数据,而服务节点可以在步骤S202中根据该请求中包含的用户信息而确认该发送方为凭证数据的所有者,并且因此,服务节点可以在步骤S202中为该用户发送的存储请求中包含的凭证数据创建一个存储地址。
S203,根据凭证数据的凭证信息生成针对凭证数据的凭证密钥。
S204,使用凭证密钥对凭证数据执行第一加密处理,以生成加密凭证数据。
在步骤S203中,服务节点可以使用在步骤S201中接收到的存储请求中的凭证数据的凭证信息来生成对该凭证数据进行加密的凭证密钥,并在步骤S204中使用该凭证密钥来对该凭证数据进行加密,以获得加密凭证数据。
S205,使用目标用户的用户公钥对凭证密钥执行第二加密处理,以生成加密凭证密钥。
在步骤S205中,服务节点可以使用该用户预先已经发送给服务节点的用户公钥或者使用该用户在其发送的存储请求中包含的用户公钥来对步骤S203中生成的并在步骤S204中对凭证数据执行第一加密处理的凭证密钥进行加密,以获得加密凭证数据。
因此,在步骤S204和S205之后,在服务节点中,既不存在明文的凭证数据,而且也不存在明文的凭证密钥。如果有第三方在未经用户许可的情况下从服务节点或其他地方获取到了该加密凭证数据,那么他会由于没有获取到凭证密钥而无法对该加密凭证数据进行解密,或者如果第三方在未经用户的许可的情况下获得了加密凭证数据和加密凭证密钥,那么其显然不可能获得该所有者的用户私钥,因此无法对加密凭证密钥进行解密。此外,由于其没有获得该凭证数据的所有者的许可,因此,自然也无法从用户处获得该凭证数据或凭证密钥,从而能够确保了用户自己所拥有的凭证数据在未得到用户自己的授权的情况下无法被其他人访问,确保了涉及用户隐私数据的这些凭证数据的安全性。
S206,将加密凭证数据存储在存储地址。
在步骤S206中,服务节点可以将步骤S204中获得的加密凭证数据存储在步骤S202中获取到的存储地址,并且还可以将该存储地址与加密凭证数据和用户信息建立关联,并将该关联关系存储在服务节点中。
本申请实施例提供的基于DID凭证数据的安全保存方法,通过在接收到针对目标用户的凭证数据的保存请求后获取凭证数据的存储地址并根据接收到的凭证数据的凭证信息来生成对该凭证数据进行加密的凭证密钥,从而可以使用该凭证密钥对用户的凭证数据进行加密并且使用该凭证数据的所有者的用户公钥对该凭证密钥进行加密,并将该加密后的凭证数据存储在获取到的存储地址中,因此,在DID系统中实现了用户凭证数据的加密存储,并且对加密秘钥还额外使用了凭证数据的所有者的公钥来进行加密存储,使得只有该凭证数据的所有者才能够通过使用其私钥来知晓凭证数据的内容,存储节点在没有凭证数据的所有者的授权的情况下也无法从其存储的凭证数据来了解其内容,确保了用户隐私数据的安全性。
实施例三
图3为本申请提供的基于DID凭证数据的授权方法的实施例的流程图,该方法的执行主体可以为具有数据加密和解密能力的各种终端或服务器设备,也可以为集成在这些设备上的装置或芯片。如图3所示,该授权方法包括如下步骤:
S301,根据凭证数据的使用方的凭证数据访问请求,向服务节点发送凭证数据访问授权请求。
在步骤S301中,用户可以根据使用方的凭证数据的访问请求,即要求使用凭证使用方所运营的网站的服务的用户提供相应的身份信息证明,来向服务节点发送凭证数据访问授权请求,在该凭证数据访问授权请求中可以包括使用方所要使用的身份信息对应的凭证数据的凭证信息以及用户自己的用户信息。
S302,从服务节点接收服务节点根据凭证信息发送的凭证数据的加密凭证密钥。
在步骤S301用户将凭证数据访问授权请求发送给服务节点之后,服务节点可以从该授权请求中获取用户的用户信息,并根据该用户信息和凭证信息来验证用户是否为该凭证数据的所有者。在验证通过之后,服务节点可以将该服务器中存储的该凭证数据的加密凭证密钥作为授权响应信息发送给用户。
S303,使用所有者的用户私钥对加密凭证密钥进行解密,以获取凭证密钥。
S304,使用使用方的使用方公钥对凭证密钥进行加密,以生成加密授权凭证密钥。
在步骤S302中接收到服务节点发送的加密凭证密钥之后,用户可以在步骤S303中使用其自己的用户私钥来对该加密凭证密钥进行解密,从而获得原始的凭证密钥,并且在步骤S304中,用户可以使用使用方预先发送的使用方公钥来对凭证密钥进行重新加密,以生成加密授权凭证密钥。因此,在步骤S304之后,用户可以将使用方所请求的凭证数据的加密秘钥更改为由使用方才能够解密的加密秘钥。
S305,向服务节点发送凭证数据访问授权请求。
在步骤S305中,用户可以将该凭证数据的凭证信息、其自己的用户信息以及在步骤S304中生成的加密授权凭证密钥作为凭证数据访问授权请求而发送给服务节点,从而服务节点可以根据该授权请求而将其中的加密授权凭证密钥来替代原来使用用户自己的用户公钥加密的加密凭证密钥。
此外,在本申请实施例中,服务节点也可以根据用户的授权请求,在服务节点处对于查找到的用户所请求授权的凭证数据的加密凭证密钥使用用户的用户公钥进行解密,并使用预先获取到的或者由使用方响应于服务节点的请求而发送给服务节点的使用方公钥来对解密后的凭证密钥进行再次加密,以生成加密授权凭证密钥,并将该加密授权凭证密钥和凭证信息,例如凭证数据的存储地址一起包含在授权响应信息中发送给使用方。
本申请实施例提供的基于DID凭证数据的授权方法,用户作为凭证数据的所有者可以通过对于服务节点处存储的凭证数据的秘钥进行解密并使用使用方的公钥进行加密来实现对于服务节点中存储的凭证数据的授权,并且在此过程中也不涉及对于凭证数据的处理,从而在确保用户自身的隐私数据的安全性的前提下还实现了对于凭证数据的灵活访问。
实施例四
图4为本申请提供的基于DID凭证数据的安全保存装置的结构示意图,该安全保存装置可以用于实施例如参考图2描述的本申请实施例提供的安全保存方法。该安全保存装置可以包括:接收模块41、获取模块42、生成模块43、加密模块44和存储模块45。
接收模块41可以用于接收针对目标用户的凭证数据的保存请求。
接收模块41处于例如DID系统中的服务节点中,以接收针对目标用户的凭证数据的保存请求。在本申请实施例中,目标用户可以是在DID系统中注册的需要向使用方提供其身份信息的证明的用户,并且凭证数据可以是由具有公认或法律上赋予的对用户的身份进行认证的机构签发的用户身份的证明凭证数据。
例如,在DID系统中,用户在向使用方请求需要身份验证的各种服务时,虽然网站需要根据用户的身份信息是否符合规定来确定是否向用户提供服务,但是用户只需要针对所要访问的网站或者所要使用的网站服务要求的身份信息类型而请求将发证方签发相应的凭证数据,并将该凭证数据作为身份证明提供给对应的网站,即使用方,使用方就可以根据该凭证数据来确定是否可以向用户提供相应的服务。在该过程中,用户无需向网站提供任何具体的身份信息,而是替代地,提供网站所要求的关于身份的证明,作为凭证数据,在该凭证数据中可以由发证方写入用户的相应的身份信息验证结果或者是根据用户的相应身份信息而计算或判断出的结论数据。例如在网站需要验证用户的年龄的示例中,网站实际上并非是需要当前的年龄,而是需要确认访问网站的用户是否已经年满18岁。因此,在用户请求发证方签发的针对该网站的凭证数据中,发证方就无须在凭证数据中写入用户在指定日期的年龄,而是可以仅在凭证数据中写入用户在指定日期的年龄值以及该发证方的信息即可。
因此,接收模块41可以从例如用户或发证方来接收保存请求,并且在该保存请求中可以包含有作为要保存的凭证数据的所有者的目标用户的目标用户信息以及要保存的凭证数据,该凭证数据可以是由发证方根据用户的认证请求而签发的。
获取模块42可以用于获取凭证数据的存储地址。
获取模块42可以对于接收模块41接收到的凭证数据来获取其在服务节点中的存储地址。例如,获取模块42可以根据用户预先发送的存储授权请求而预先在其存储空间中为发证方指定一个存储地址并将该存储地址与该发证方的例如发证方标识的发证方信息关联以创建针对该发证方的存储授权,从而获取模块42可以根据接收模块41接收到的发证方发送的存储请求来获取该存储地址。例如,用户可以先向服务节点发送凭证数据存储授权请求,以通知服务节点为该凭证数据指定一个存储地址,并且还可以在该存储授权请求中包含用户已经知晓的发证方的发证方信息,例如发证方在DID系统中的发证方标识,从而获取模块42可以根据该发证方标识来创建对于该存储地址的授权,即获取模块42可以根据用户预先发送的存储授权请求而预先在其存储空间中为发证方指定一个存储地址并将该存储地址与该发证方的例如发证方标识的发证方信息关联以创建针对该发证方的存储授权。
因此,发证方可以根据服务节点或用户发送给其的该存储授权信息而在其发送给接收模块41的凭证数据存储请求中包含其发证方信息和与其接收到的授权信息中的存储地址,从而获取模块42可以根据接收模块41接收到的发证方的该存储请求中的发证方信息,例如发证方标识来在服务节点中预先生成的授权信息当中查找对应的授权信息,即其中包含有该发证方标识的授权信息,并将找到的授权信息中与发证方标识对应的存储地址与发证方发送的存储请求中包含的存储地址比较,以确定是否一致,如果一致,则可以认为发证方发送的该存储请求对于该存储地址具有授权。如果不一致,则可以向发证方返回验证失败的响应信息,并且可以同时也向用户发送对于该发证方的存储请求的授权验证失败的通知信息。类似地,获取模块42也可以根据接收模块41接收到的发证方的该存储请求中针对凭证数据的存储地址来在服务节点中的授权信息当中查找对应的授权信息,即其中记录有该存储地址的授权信息,并且将该查找到的授权信息中与该存储地址对应的发证方信息与授权信息中记录的发证方信息是否一致,并且当一致时可以确认该发证方具有对于该存储地址的授权。此外,同样地,如果不一致则服务节点可以向发证方发送请求授权验证失败的相应信息,并且可以向用户发送验证失败的通知信息。
此外,接收模块41接收到的存储请求也可以是来自于用户,即用户将其中存储的凭证数据发送给服务节点来进行保存,为此,接收模块41接收到的该请求中可以包含有用户自己的用户信息以及要存储的凭证数据,而获取模块42可以根据该请求中包含的用户信息而确认该发送方为凭证数据的所有者,并且因此,获取模块42可以为该用户发送的存储请求中包含的凭证数据创建一个存储地址。
生成模块43可以用于根据凭证数据的凭证信息生成针对凭证数据的凭证密钥,
加密模块44可以用于使用凭证密钥对凭证数据执行第一加密处理,以生成加密凭证数据,使用目标用户的用户公钥对凭证密钥执行第二加密处理,以生成加密凭证密钥。
生成模块43可以使用接收模块41接收到的存储请求中的凭证数据的凭证信息来生成对该凭证数据进行加密的凭证密钥,从而加密模块44可以使用该凭证密钥来对该凭证数据进行加密,以获得加密凭证数据。此外,加密模块44可以使用该用户预先已经发送给服务节点的用户公钥或者使用该用户在其发送的存储请求中包含的用户公钥来对其生成的并对凭证数据执行第一加密处理的凭证密钥进行加密,以获得加密凭证数据。
因此,通过加密模块44的处理,在服务节点中,既不存在明文的凭证数据,而且也不存在明文的凭证密钥。如果有第三方在未经用户许可的情况下从服务节点或其他地方获取到了该加密凭证数据,那么他会由于没有获取到凭证密钥而无法对该加密凭证数据进行解密,或者如果第三方在未经用户的许可的情况下获得了加密凭证数据和加密凭证密钥,那么其显然不可能获得该所有者的用户私钥,因此无法对加密凭证密钥进行解密。此外,由于其没有获得该凭证数据的所有者的许可,因此,自然也无法从用户处获得该凭证数据或凭证密钥,从而能够确保了用户自己所拥有的凭证数据在未得到用户自己的授权的情况下无法被其他人访问,确保了涉及用户隐私数据的这些凭证数据的安全性。
存储模块45可以用于将加密凭证数据存储在存储地址。
存储模块45可以将加密模块44获得的加密凭证数据存储在获取模块42获取到的存储地址,并且还可以将该存储地址与加密凭证数据和用户信息建立关联,并将该关联关系存储在服务节点中。
本申请实施例提供的基于DID凭证数据的安全保存装置,通过在接收到针对目标用户的凭证数据的保存请求后获取凭证数据的存储地址并根据接收到的凭证数据的凭证信息来生成对该凭证数据进行加密的凭证密钥,从而可以使用该凭证密钥对用户的凭证数据进行加密并且使用该凭证数据的所有者的用户公钥对该凭证密钥进行加密,并将该加密后的凭证数据存储在获取到的存储地址中,因此,在DID系统中实现了用户凭证数据的加密存储,并且对加密秘钥还额外使用了凭证数据的所有者的公钥来进行加密存储,使得只有该凭证数据的所有者才能够通过使用其私钥来知晓凭证数据的内容,存储节点在没有凭证数据的所有者的授权的情况下也无法从其存储的凭证数据来了解其内容,确保了用户隐私数据的安全性。
实施例五
图5为本申请提供的基于DID凭证数据的授权装置的流程示意图,该授权装置可以用于实施例如参考图3描述的本申请实施例提供的授权方法。该授权装置可以包括:第一发送模块51、接收模块52、解密模块53、加密模块54和第二发送模块55。
第一发送模块51可以用于根据凭证数据的使用方的凭证数据访问请求,向服务节点发送凭证数据访问授权请求。
用户可以根据使用方的凭证数据的访问请求,即要求使用凭证使用方所运营的网站的服务的用户提供相应的身份信息证明,使用第一发送模块51来向服务节点发送凭证数据访问授权请求,在该凭证数据访问授权请求中可以包括使用方所要使用的身份信息对应的凭证数据的凭证信息以及用户自己的用户信息。
接收模块52可以用于从服务节点接收服务节点根据凭证信息发送的凭证数据的加密凭证密钥。
在第一发送模块51将凭证数据访问授权请求发送给服务节点之后,服务节点可以从该授权请求中获取用户的用户信息,并根据该用户信息和凭证信息来验证用户是否为该凭证数据的所有者。在验证通过之后,服务节点可以将该服务器中存储的该凭证数据的加密凭证密钥作为授权响应信息发送给用户,从而接收模块52可以接收到加密凭证密钥。
解密模块53可以用于使用所有者的用户私钥对加密凭证密钥进行解密,以获取凭证密钥。加密模块54可以用于使用使用方的使用方公钥对凭证密钥进行加密,以生成加密授权凭证密钥。
接收模块52接收到服务节点发送的加密凭证密钥之后,解密模块53可以使用用户自己的用户私钥来对该加密凭证密钥进行解密,从而获得原始的凭证密钥,并且加密模块54可以使用使用方预先发送的使用方公钥来对凭证密钥进行重新加密,以生成加密授权凭证密钥。因此,用户可以将使用方所请求的凭证数据的加密秘钥更改为由使用方才能够解密的加密秘钥。
第二发送模块55可以用于向服务节点发送凭证数据访问授权请求。
第二发送模块55可以将该凭证数据的凭证信息、其自己的用户信息以及加密模块54生成的加密授权凭证密钥作为凭证数据访问授权请求而发送给服务节点,从而服务节点可以根据该授权请求而将其中的加密授权凭证密钥来替代原来使用用户自己的用户公钥加密的加密凭证密钥。
此外,在本申请实施例中,服务节点也可以根据用户的授权请求,在服务节点处对于查找到的用户所请求授权的凭证数据的加密凭证密钥使用用户的用户公钥进行解密,并使用预先获取到的或者由使用方响应于服务节点的请求而发送给服务节点的使用方公钥来对解密后的凭证密钥进行再次加密,以生成加密授权凭证密钥,并将该加密授权凭证密钥和凭证信息,例如凭证数据的存储地址一起包含在授权响应信息中发送给使用方。
本申请实施例提供的基于DID凭证数据的授权装置,用户作为凭证数据的所有者可以通过对于服务节点处存储的凭证数据的秘钥进行解密并使用使用方的公钥进行加密来实现对于服务节点中存储的凭证数据的授权,并且在此过程中也不涉及对于凭证数据的处理,从而在确保用户自身的隐私数据的安全性的前提下还实现了对于凭证数据的灵活访问。
实施例六
以上描述了基于DID凭证数据的安全保存方法以及基于DID凭证数据的授权方法的内部功能和结构,其可实现为一种电子设备。图6为本申请提供的电子设备实施例的结构示意图。如图6所示,该电子设备包括存储器61和处理器62。
存储器61,用于存储程序。除上述程序之外,存储器61还可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
存储器61可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器62,不仅仅局限于处理器(CPU),还可能为图形处理器(GPU)、现场可编辑门阵列(FPGA)、嵌入式神经网络处理器(NPU)或人工智能(AI)芯片等处理芯片。处理器62,与存储器61耦合,执行存储器61所存储的程序,以执行上述实施例二的安全保存方法或上述实施例三的授权方法。
进一步,如图6所示,电子设备还可以包括:通信组件63、电源组件64、音频组件65、显示器66等其它组件。图6中仅示意性给出部分组件,并不意味着电子设备只包括图6所示组件。
通信组件63被配置为便于电子设备和其他设备之间有线或无线方式的通信。电子设备可以接入基于通信标准的无线网络,如WiFi、3G、4G或5G,或它们的组合。在一个示例性实施例中,通信组件63经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件63还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
电源组件64,为电子设备的各种组件提供电力。电源组件64可以包括电源管理系统,一个或多个电源,及其他与为电子设备生成、管理和分配电力相关联的组件。
音频组件65被配置为输出和/或输入音频信号。例如,音频组件65包括一个麦克风(MIC),当电子设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器61或经由通信组件63发送。在一些实施例中,音频组件65还包括一个扬声器,用于输出音频信号。
显示器66包括屏幕,其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种基于DID凭证数据的安全保存方法,包括:
接收针对目标用户的凭证数据的保存请求,其中,所述保存请求中包含有所述目标用户的目标用户信息以及凭证数据,其中所述目标用户是所述凭证数据的所有者;
获取所述凭证数据的存储地址;
根据所述凭证数据的凭证信息生成针对所述凭证数据的凭证密钥;
使用所述凭证密钥对所述凭证数据执行第一加密处理,以生成加密凭证数据;
使用所述目标用户的用户公钥对所述凭证密钥执行第二加密处理,以生成加密凭证密钥;
将所述加密凭证数据存储在所述存储地址。
2.根据权利要求1所述的基于DID凭证数据的安全保存方法,其中,在所述接收针对目标用户的凭证数据的保存请求之前,所述方法进一步包括:
接收目标用户发送的凭证数据存储授权请求,其中,所述凭证数据存储授权请求中包含有用于签发所述凭证数据的发证方的发证方信息以及所述目标用户的用户信息;
根据所述凭证数据存储授权请求生成用于存储所述凭证数据的存储地址;
根据所述发证方信息生成所述发证方对于所述存储地址的授权信息,其中所述授权信息中包含有所述发证方标识以及授权类型;
将所述授权信息发送给所述发证方。
3.根据权利要求2所述的基于DID凭证数据的安全保存方法,其中,所述保存请求中进一步包括有发送所述保存请求的发送方的发送方信息以及所述存储地址,并且所述获取所述凭证数据的存储地址包括:
根据所述保存请求中的发送方信息或存储地址查找授权信息;
比较所述保存请求中的发送方信息和存储地址与查找到的授权信息中的发送方信息和存储地址是否一致;
当所述比较结果为一致时,将所述保存请求中的存储地址作为所述凭证数据的存储地址。
4.根据权利要求1所述的基于DID凭证数据的安全保存方法,其中,所述安全保存方法进一步包括:
向所述目标用户发送存储响应信息,其中,在所述存储响应信息中包含有所述存储地址和所述加密凭证密钥。
5.一种基于DID凭证数据的授权方法,其中,所述DID凭证数据是由服务节点使用根据权利要求1所述的基于DID凭证数据的安全保存方法存储的,并且所述授权方法包括:
根据所述凭证数据的使用方的凭证数据访问请求,向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证数据的凭证信息和所述凭证数据的所有者的用户信息;
从所述服务节点接收所述服务节点根据所述凭证信息发送的所述凭证数据的所述加密凭证密钥;
使用所述所有者的用户私钥对所述加密凭证密钥进行解密,以获取凭证密钥;
使用所述使用方的使用方公钥对所述凭证密钥进行加密,以生成加密授权凭证密钥;
向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证信息、所述所有者的用户信息以及所述加密授权凭证密钥。
6.根据权利要求5所述的基于DID凭证数据的授权方法,其中,所述授权方法进一步包括:
由所述服务节点根据所述用户信息和所述凭证信息查找所述凭证数据的加密凭证密钥,其中所述加密凭证密钥是使用所述所有者的用户公钥加密的;
由所述服务节点将所述加密授权凭证密钥替代所述加密凭证密钥与所述加密凭证数据关联地存储;
由所述服务节点向使用方发送授权通知,其中所述授权通知中包含有所述加密授权凭证密钥和所述凭证数据的存储地址。
7.一种基于DID凭证数据的安全保存装置,包括:
接收模块,用于接收针对目标用户的凭证数据的保存请求,其中,所述保存请求中包含有所述目标用户的目标用户信息以及凭证数据,其中所述目标用户是所述凭证数据的所有者;
获取模块,用于获取所述凭证数据的存储地址;
生成模块,用于根据所述凭证数据的凭证信息生成针对所述凭证数据的凭证密钥;
加密模块,用于使用所述凭证密钥对所述凭证数据执行第一加密处理,以生成加密凭证数据;使用所述目标用户的用户公钥对所述凭证密钥执行第二加密处理,以生成加密凭证密钥;
存储模块,用于将所述加密凭证数据存储在所述存储地址。
8.一种基于DID凭证数据的授权装置,其中,所述DID凭证数据是由服务节点使用根据权利要求1所述的基于DID凭证数据的安全保存方法存储的,并且所述授权装置包括:
第一发送模块,用于根据所述凭证数据的使用方的凭证数据访问请求,向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证数据的凭证信息和所述凭证数据的所有者的用户信息;
接收模块,用于从所述服务节点接收所述服务节点根据所述凭证信息发送的所述凭证数据的所述加密凭证密钥;
解密模块,用于使用所述所有者的用户私钥对所述加密凭证密钥进行解密,以获取凭证密钥;
加密模块,用于使用所述使用方的使用方公钥对所述凭证密钥进行加密,以生成加密授权凭证密钥;
第二发送模块,用于向所述服务节点发送凭证数据访问授权请求,其中,所述凭证数据访问授权请求包含有所述凭证信息、所述所有者的用户信息以及所述加密授权凭证密钥。
9.一种电子设备,包括:
存储器,用于存储程序;
处理器,用于运行所述存储器中存储的所述程序,以执行如权利要求1至4中任一所述的基于DID凭证数据的安全保存方法或者如权利要求5-6中任一项所述的基于DID凭证数据的授权方法。
10.一种计算机可读存储介质,其上存储有可被处理器执行的计算机程序,其中,所述程序被处理器执行时实现如权利要求1至4中任一所述的基于DID凭证数据的安全保存方法或者如权利要求5-6中任一项所述的基于DID凭证数据的授权方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211471810.6A CN115834051A (zh) | 2022-11-23 | 2022-11-23 | 基于did凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211471810.6A CN115834051A (zh) | 2022-11-23 | 2022-11-23 | 基于did凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115834051A true CN115834051A (zh) | 2023-03-21 |
Family
ID=85530486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211471810.6A Pending CN115834051A (zh) | 2022-11-23 | 2022-11-23 | 基于did凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115834051A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117040930A (zh) * | 2023-10-08 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 区块链网络的资源处理方法、装置、产品、设备和介质 |
-
2022
- 2022-11-23 CN CN202211471810.6A patent/CN115834051A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117040930A (zh) * | 2023-10-08 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 区块链网络的资源处理方法、装置、产品、设备和介质 |
CN117040930B (zh) * | 2023-10-08 | 2024-01-30 | 腾讯科技(深圳)有限公司 | 区块链网络的资源处理方法、装置、产品、设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11647023B2 (en) | Out-of-band authentication to access web-service with indication of physical access to client device | |
US11558381B2 (en) | Out-of-band authentication based on secure channel to trusted execution environment on client device | |
US11700117B2 (en) | System for credential storage and verification | |
US11770261B2 (en) | Digital credentials for user device authentication | |
US11627000B2 (en) | Digital credentials for employee badging | |
US9813247B2 (en) | Authenticator device facilitating file security | |
CN109325342B (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
US6880079B2 (en) | Methods and systems for secure transmission of information using a mobile device | |
US20230300119A1 (en) | Method, computer program product and apparatus for encrypting and decrypting data using multiple authority keys | |
JP6054457B2 (ja) | 制御された情報開示によるプライベート解析 | |
US11792180B2 (en) | Digital credentials for visitor network access | |
US11757877B1 (en) | Decentralized application authentication | |
CN112995144A (zh) | 文件处理方法、系统、可读存储介质及电子设备 | |
CN115834051A (zh) | 基于did凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质 | |
CN115865445A (zh) | 基于did凭证数据的安全流转方法、did凭证数据系统及存储介质 | |
US20240039707A1 (en) | Mobile authenticator for performing a role in user authentication | |
KR102171377B1 (ko) | 로그인 제어 방법 | |
US20230016488A1 (en) | Document signing system for mobile devices | |
CN113127818A (zh) | 一种基于区块链的数据授权方法、装置及可读存储介质 | |
US11275858B2 (en) | Document signing system for mobile devices | |
CN116305231A (zh) | 基于did凭证数据流转的授权管理方法和装置、电子设备及存储介质 | |
CN115883148A (zh) | 基于did凭证数据存储区的多元化注册方法和装置、电子设备及存储介质 | |
CN114564750A (zh) | 一种敏感数据访问管控方法及系统 | |
CN114238915A (zh) | 数字证书添加方法、装置、计算机设备和存储介质 | |
CN117131536A (zh) | 基于did的凭证数据隐私保护方法和装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |