CN115842649A - 一种跨地域跨系统的身份认证的方法 - Google Patents
一种跨地域跨系统的身份认证的方法 Download PDFInfo
- Publication number
- CN115842649A CN115842649A CN202211206920.XA CN202211206920A CN115842649A CN 115842649 A CN115842649 A CN 115842649A CN 202211206920 A CN202211206920 A CN 202211206920A CN 115842649 A CN115842649 A CN 115842649A
- Authority
- CN
- China
- Prior art keywords
- identity
- cross
- account
- information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种跨地域跨系统的身份认证的方法,步骤1、基于DID和VC,搭建跨地域跨系统的身份链体系,得到底层区块链网络,区块链底层平台对底层区块链网络进行管理;步骤2、数字身份管理平台基于数字身份应用模块为各地域各系统提供数字身份及员工服务的管理,其中,数字身份应用模块用于基于底层区块链网络为员工提供数字身份账户的注册、激活和使用服务。从DID协议出发,结合区块链技术,综合考虑安全和身份认证效率的主要因素,实现软件系统中跨地域跨系统的统一身份认证。
Description
技术领域
本发明属于跨区域跨系统身份认证技术领域,具体涉及一种跨地域跨系统的身份认证的方法。
背景技术
随着信息技术的不断发展,跨系统的身份认证需求越来越多。目前,针对跨区域跨系统的主要认证方式验证成本较高、验证环境较复杂。身份标识技术DID中,虽然区块链不是必选项,但区块链技术能够助理与DID技术的实施,同时能够以更低成本维护数据的可信性,主要体现在以下几个方面:
1、降低验证成本
DID技术提倡的是将关键信息存储在用户端,但如何保证这些信息不会在用户端被篡改?如果不使用区块链,则需要DID证书签发者同步维护这些证书,增加了维护成本。当使用DID时,需要进行一致性验证,增加了验证成本。但使用区块链技术则能降低签发方这部分成本,只要写入持有人的信息将被记录在链上,无法做出修改,保证了信息的真实性和安全性;签发人无需增加数据库存储及维护成本,而合作人也无需增加成本进行一致性检验。
2、基于DID的信任体系的搭建
当前围绕区块链的方案大多没有实现生态闭环,假如有人在区块链生态中出现违约,仍需回归到中心化模式下寻找法律解决方法,并没有减轻政府治理压力。未来是否会通过构建基于DID的信用记录系统,来补齐这块生态闭环构建的短板,该问题值得观察。另外随着数据的增加违约的成本也将增加,例如无法从银行获取贷款、无法找到工作、无法找到合作伙伴,因此,这种信任体系将会对生态治理起到非常积极影响。而这一切的基础是可信数据,区块链不能缺席。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足,提供一种跨地域跨系统的身份认证的方法,从DID协议出发,结合区块链技术,综合考虑安全和身份认证效率的主要因素,实现软件系统中跨地域跨系统的统一身份认证。
为实现上述技术目的,本发明采取的技术方案为:
一种跨地域跨系统的身份认证的方法,具体流程包括:
步骤1、基于DID和VC,搭建跨地域跨系统的身份链体系,得到底层区块链网络,区块链底层平台对底层区块链网络进行管理;
步骤2、数字身份管理平台基于数字身份应用模块为各地域各系统提供数字身份及员工服务的管理,其中,数字身份应用模块用于基于底层区块链网络为员工提供数字身份账户的注册、激活和使用服务。
为优化上述技术方案,采取的具体措施还包括:
上述的步骤1搭建基于SSI模型的身份链体系;
所述SSI模型由用户、发证方、验证者三类角色组成,包含分散标识符DID和可验证凭证VC两个基本组件;
其中,DID由用户自己创建,用于身份验证、用户之间交换信息;
VC是包含用户身份属性以及发证信息的声明文件,在进行身份验证时由用户提供给验证者;
所述用户拥有自身数据,存储和管理个人信息;
所述发证方核验用户数据真实性,提供真实性背书;
所述验证者获取用户数据,并验证数据真实性;
所述DID的生成规则为:
使用固定前缀did:user_did:+身份证号码+日期Hash值。
上述的区块链底层平台,对员工身份信息分级存储,隐私信息授权访问,对总部设立总部数据集群,对二三级单位也设立数据集群。
上述的步骤3所述数字身份管理平台中各地域各系统部署方式为:
总部构建DID标准件,DID标准件工程体系包括五种形态:1)各类模式-数据级,2)APP模式软件-服务级,3)相互调用-SDK接口级,4)被连接-设备级,5)插拔式-插口级;DID标准件理论体系包括:身份定义、存储机制、出示机制、验证机制、签发机制、销毁机制、接口扩展机制;
总部同二三级单位相连接,对接技术和协调的问题;
基于DID构建业务服务,包含服务设置、服务器界面定制、数据开放策略,借助大数据存储区,进而实现实名制Web服务,由汇集式存储模式转化为分布式分级/分类存储/跨级互动的存储模式,采用DID的业务服务快速生成方法,支撑与身份相关的海量业务服务。
上述的步骤3所述数字身份管理平台基于数字身份应用模块为各地域各系统提供数字身份及员工服务的管理,包括:
1.批量建证;由总部收录员工人员信息,包括手机号、姓名、证件类型、证件号码;
2.总部发放批量下发账户:总部下发二级单位账户,二级单位下发所管辖机构账户;
3.地方及企事业单位分发:机构账户根据所辖员工信息批量下发账户;
通过建立总部账户角色以及账户角色权限分配,满足新增二级单位、内部管理需求;
通过建立二级单位账户角色以及账户角色权限分配,满足新增机构、罢免机构身份、内部管理需求;
通过建立机构账户、会员账户、个人账户以及账户角色权限分配,满足发证、激活账户、销证、会员管理业务场景。
4.机构整体激活:已签约并下发账户的机构,通过手机短信、邮箱邮件附带Web、H5页面提交并验证个人信息,实现激活账户;
个人激活账户:访问特定连接或则APP,注册、提交、验证个人信息,实现激活账户;
5.数字身份账户的开放给第3方:封装API,提供统一身份校验,完成身份验证服务。
上述的数字身份应用模块中的数字身份账户,显示员工证封面,查看时需输入密码,打开证件显示如下信息:
(1)员工照片、由DID生成的编号;
(2)姓名、身份证号、职位、职级、政治面貌、出生年月、入职时间、单位、发证单位;
(3)员工变化信息。
上述的步骤3进行员工数字身份账户注册的流程为:
用户在数字身份应用模块拍摄身份证,由第三方进行身份识别,之后身份证信息存储本地,调用活体检测同时进行人脸识别,提取身份信息,提取的信息自动生成个人公私钥并添加助记词,进而生成DID文档,同时相关信息将发送至总部,身份信息公钥加密后发送至总部存储;DID文档生成后由用户进一步补充具体信息,接着由第三方智慧数据库完成实名信息的验证,最终生成数字身份账户。
上述的步骤3进行员工数字身份账户激活逻辑为:
用户只要在任何一个与身份链相连接的数字身份应用模块中成功进行身份验证激活后,则将该用户信息进行上链操作,此后用户可在任何一个与身份链相连接的数字身份应用模块中进行身份互信,实现数字身份全国跨省验证。
上述的步骤3基于数字身份全国使用服务逻辑实现员工数字身份账户使用,数字身份全国使用服务逻辑为:服务商即验证者提供现有的协议同时总部身份链-对接系统,进而形成服务策略,接着进行电子员工卡DID-Card凭证的验证,同时发放服务凭证,用户勾选零知识证明,进行验证,最后即可使用。
上述的步骤3所述数字身份应用模块设置于员工数字身份移动端应用,为员工提供数字身份账户的注册、激活和使用服务。
本发明具有以下有益效果:
1、可实现组织和员工实名数据信息的实时更新,增加数据可信度,提高数据质量,降本增效;
2、可实现各地域各组织间实名制信息互通共享,降低跨地跨单位协作的成本;
3、进一步开发数据资源,实现了系统数据深度利用,并衍生出多种应用场景;
4、可实现网络“无信息差障碍、无地域限制”地进入员工世界,更好服务企业;
5、避免了“中心化身份”带来的“风险大、互动差”的问题,更好保护个人信息安全。
附图说明
图1为本发明方法流程图;
图2为身份链体系逻辑图;
图3为区块链底层平台原理图;
图4为员工数字身份账户注册流程;
图5为员工数字身份账户激活逻辑;
图6为基于数字身份全国使用服务逻辑;
图7为数字身份管理平台中各地域各系统部署方式;
图8为会员数字账户注册流程;
图9为身份验证流程;
图10为身份验证原理;
图11为身份验证时平台逻辑;
图12为员工数字身份账户;
图13为真正意义上的员工“时光机”;
图14为构建基于智能合约技术的“数字包公”;
图15为赋能场景:科学、智能、无争议的先进形象“功劳簿”;
图16为游客注册流程;
图17为注册用户入会流程;
图18为用户登录流程;
图19为注册用户登录流程;
图20为会员登陆流程;
图21为数字身份账户创建流程;
图22为数字身份账号激活流程;
图23为会员身份核验流程;
图24为修改密码流程;
图25为员工数字身份移动端应用界面。
具体实施方式
以下结合附图对本发明的实施例作进一步详细描述。
本发明从DID协议出发,结合区块链技术,综合考虑安全和身份认证效率的主要因素,从而提出一种跨地域跨系统的身份认证的方法,可实现对各类应用的实名制管理支撑,基于员工身份链的统一提供服务,形成用户精准画像,进一步提升支撑分析研判与决策的科学性,逐步形成覆盖全国员工的统一身份链和基于身份链的实时数据服务。具体的,针对各地域各系统构建员工数字身份管理平台,包括数字身份管理平台、区块链底层平台,其中,数字身份管理平台包括数字身份应用模块,基于所述员工数字身份管理平台进行跨地域跨系统的身份认证,最终实现员工身份互通的目标,同时衍生出智能公约、员工评价模型等功能,具体流程包括:
步骤1、基于DID和VC,搭建跨地域跨系统的身份链体系,得到底层区块链网络,区块链底层平台对底层区块链网络进行管理;
身份链体系:
SSI模型由用户、发证方、验证者三类角色组成,包含分散标识符(DID)和可验证凭证(VC)两个基本组件。DID由用户自己创建,用于身份验证、用户之间交换信息。VC是包含用户身份属性以及发证信息的声明文件,在进行身份验证时由用户提供给验证者。用户拥有自身数据,存储和管理个人信息。发证方核验用户数据真实性,提供真实性背书。验证者获取用户数据,并验证数据真实性。具体逻辑如图2所示。
所述区块链底层平台,对员工身份信息分级存储,隐私信息授权访问。总部设立总部数据集群,二三级单位也设立数据集群,共同形成总部身份链平台(区块链存储)。信息进行加处理,获取权限后才能够查看。具体逻辑如图3所示。
DID生成规则为:
DID生成规则使用固定前缀(did:user_did:)+身份证号码+日期Hash值,Hash算法可以是MD5、sha512、国密SM3算法等等。如表1所示。
采用“身份证号码+日期”的方式防止“撞库”破解,日期采用注册时的日期,明文信息身份证号码和日期只存储在数据库中不上链。
例如采用sha512:
did:user_did:01e2ba7e3cc24d6f1ab5659ecda46e4510d9bed0083601719e864dabb645e3a34dc1a1354ca37ccd47e292c139a70871c140900722c2495173b7ea7cfdf815ab
表1
前缀 | Hash值对象 | 说明 |
did:user_did: | 身份证号码+日期 | 个人身份证号 |
did:user_name: | 姓名+日期 | 个人命名 |
did:user_phone: | 手机号+日期 | 个人手机号 |
步骤2、数字身份管理平台基于数字身份应用模块为各地域各系统提供数字身份及员工服务的管理,其中,数字身份应用模块用于基于底层区块链网络为员工提供数字身份账户的注册、激活和使用服务。
一、首先介绍数字身份应用模块:
1、数字身份应用模块中的数字身份账户,首先显示员工证封面(模糊处理+logo),点击查看时需输入密码,打开证件显示3部分信息:
(1)员工照片(APP采集(身份证照片)-活体检测)、编号(由DID生成);
(2)姓名、身份证号、职位、职级、政治面貌、出生年月、入职时间、单位、发证单位等;
(3)员工变化信息(对接变化系统);
2、员工数字身份账户注册流程
用户进行数字身份账户的注册,首先用户拍摄身份证,由第三方进行身份识别,之后身份证信息存储本地,调用活体检测同时进行人脸识别,然后提取身份信息,提取的信息将自动生成个人公私钥并添加助记词,进而生成DID文档,同时该信息将发送至总部,身份信息公钥加密后总部存储一份。DID文档生成后由用户进一步补充信息(包括所在具体单位、入职时间等),接着由第三方智慧数据库完成实名信息的验证,最终生成数字身份账户和数字钱包账户。具体逻辑如图4所示。
2、员工数字身份账户激活逻辑,即身份链验证逻辑:
用户只要在任何一个与身份链相连接的应用系统中成功进行身份验证后,则将该用户信息进行上链操作,此后用户可在任何令一个与身份链相连接的应用系统中进行身份互信。数字身份全国跨省验证逻辑为:用户下载安装身份链APP,进而形成doc定义的DID-1、DID-2…DID-N,完成个人实名认证后由路由器机制模块传送至身份链,最终返还实名认证结果,获得VC-0#,最终生成DID-Card(具象化的电子员工卡)。具体逻辑如图5所示。
3、基于数字身份全国使用服务逻辑实现员工数字身份账户使用,即身份链使用:
数字身份全国使用服务逻辑为:服务商即验证者提供现有的协议同时总部身份链-对接系统,进而形成服务策略,接着进行DID-Card凭证的验证,同时发放服务凭证,用户勾选零知识证明(隐私证明),进行验证(可能存在人工核对照片),最后即可使用。具体逻辑如图6所示。
4、移动应用
数字身份应用模块设置于员工数字身份移动端应用,员工数字身份移动端应用能够为员工提供个人数字身份的注册、激活、出示和管理服务。员工数字身份移动端应用界面如图25所示。
二、介绍数字身份管理平台
1、数字身份管理平台中各地域各系统部署方式为:
总部构建DID标准件。DID标准件工程体系包括五种形态:1)各类模式-数据级,2)APP模式软件-服务级,3)相互调用-SDK接口级,4)被连接-设备级,5)插拔式-插口级。DID标准件理论体系包括:身份定义、存储机制、出示机制、验证机制、签发机制、销毁机制、接口扩展机制。同二三级单位相连接,对接技术和协调的问题,基本上采用了“共建共享”的思路,难度降低1个数量级,可操作性比较强。
基于DID的业务服务构建方式,包含服务设置、服务器界面定制、数据开放策略,借助大数据存储区,进而实现实名制Web服务,由汇集式存储模式转化为分布式分级/分类存储/跨级互动的存储模式,采用DID的业务服务快速生成方法,支撑与身份相关的海量业务服务。部署逻辑如图7所示。
2、基于数字身份应用模块为各地域各系统提供数字身份及员工服务的管理,其中,数字身份应用模块用于基于底层区块链网络为员工提供数字身份账户的注册、激活和使用服务。
关键操作如下:
1.建证
批量建证;由总部收录员工人员信息,包括手机号、姓名、证件类型、证件号码。
2.发证(总部发放)
批量下发账户:总部下发二级单位账户,二级单位下发所管辖机构账户。
3.分发(地方及企事业单位)
批量下发账户:机构账户根据所辖员工信息,下发
管理(总部管理方式、地方及企事业单位管理方式)
通过建立总部账户角色以及账户角色权限分配,满足新增二级单位、内部管理等需求。
通过建立二级单位账户角色以及账户角色权限分配,满足新增机构、罢免机构身份、内部管理等需求。
通过建立机构账户、会员账户、个人账户以及账户角色权限分配,满足发证、激活账户、销证、等会员管理等业务场景。
4.激活
激活账户:
a、机构整体激活:已签约并下发账户的机构,通过手机短信、邮箱邮件附带Web、H5页面提交并验证个人信息,实现激活账户。
b、个人激活账户:访问特定连接或则APP,注册、提交、验证个人信息,实现激活账户。
5.数字身份账户的开放(给第3方)
封装API,提供统一身份校验,完成身份验证服务。
综上所述,会员数字账户注册流程如图8所示,身份验证的具体过程和步骤如图9-10和图25所示,整个平台逻辑如图11所示。其中,身份验证时,如图9所示,用户下载安装身份链app后,进行实名认证,认证通过后生成电子会员卡,用户使用时出示app中的二维码,如图25所示,服务端扫描二维码后读取用户信息。SSI模型由用户、发证方、验证者三类角色组成,包含分散标识符(DID)和可验证凭证(VC)两个基本组件。DID由用户自己创建,用于身份验证、用户之间交换信息。VC是包含用户身份属性以及发证信息的声明文件,在进行身份验证时由用户提供给验证者。用户拥有自身数据,存储和管理个人信息。发证方核验用户数据真实性,提供真实性背书。验证者获取用户数据,并验证数据真实性。如图10所示。
具体应用场景实施例。
1.以会员为中心,基于密码学技术和区块链的去中心化数字身份,真正做到了会员身份信息掌握在会员自己手里,避免了身份数据被单—的中心控制,有效解决互联网巨头的“大数据杀熟、密码被拖库”等问题。
2.身份自主可控,基于DPKI(分布式公钥基础设施),每个会员的身份不是由第三方控制,而是由总部签发个人自主管理;这使得会员可以在“全国范围”内进行多样化的“便捷的安全消费”将极大提升工会影响力、增强会员归属感。
3.组织体系全覆盖。覆盖全国会员、组织、服务提供商三方的“数字身份“体系,打造“体系内”网上服务生态。
4。可扩展。可扩展至现有的“公安部身份证体系、公安elD体系、微信APP身份体系、银行卡身份体系”,将可满足职工“衣、食、住、行、安”等方方面面
5.开放性。向全国“各级组织”,以及“优惠活动服务厂商、互联网运营商、金融服务商”等,均可按需、可控开放,过程管理细致、安全、可靠。
场景一。中国电信集团有限公司(简称“中国电信”)是国有特大型通信骨干企业,连续多年位列《财富》杂志全球500强。中国电信集团有限公司旗下拥有四家上市公司,分别是中国电信股份有限公司、中国通信服务股份有限公司、新国脉数字文化股份有限公司、北京辰安科技股份有限公司。其中中国电信股份有限公司又下设有31个各省、直辖市、自治区的电信分公司,以及电信数智科技、电信研究院等多个子公司。组织结构庞大,单位数目众多,目前的管理机制下各省、市、自治区的员工身份信息并不完全互通,员工无法方便快捷的跨组织进行工作交流等,员工跨省出差工作等仍需要采用线下开具证明等方式进行办理,增加了员工跨组织跨地域工作的难度,容易造成个人信息的泄露,同时不利于企业对员工形成动态的管理和全面的了解,影响了广大员工身份的感知和体验。
场景二。工会体系内,通过建立员工数字身份管理平台,实现员工跨省跨组织工作交流,同时注重个人隐私保护,实现数据信息实时更新,信息互通互享和数据深度利用。员工身份平台主要包括:数字身份应用(主要为员工提供数字身份的注册、激活、使用等服务);数字身份管理平台(主要为全总、省总提供数字身份及员工服务的管理);区块链底层平台(主要对底层区块链网络进行管理;区块链网络(搭建全国的身份链网络,实现员工身份的互通)。建立全国统一的员工数字身份认证和管理平台,实现各省各组织员工身份的互通互认,解决跨省跨组织工作不便性。同时还可以开发其他应用场景,更好的服务于员工。
具体的应用场景如图12-15所示:
1.员工数字身份账户
将员工身份信息上链统一管理,建立员工数字身份账户,实行实名制,对员工信息进行动态管理的同时保障员工信息安全。通过总部和二级单位的网络节点构建集团可信身份链网络,员工注册后填写全面的个人身份信息,然后进行上链管理,形成员工的数字身份账户。员工身份信息上链后实行加密流转和维护管理,且身份信息变更和维护行为全程记录,实现实名制信息的安全管控和全程可追溯。这样不仅能够使员工信息清晰明了,而且更能够增强企业的动态管理能力
2.员工时光机
构建信息共识可靠的员工评价体系,形成完整的个人履历和准确的个人画面。首先在员工数字身份账户(身份链)的基础上,通过记录员工在生产、生活中的闪光点和特殊事件(事件链),同时建立员工先进性评价模型(指数链),将员工个人职业生涯浓缩到由区块链构成的“时光机”中,为后期的各类评选等提供了可信的数据基础。此举能够获取相对全面的员工画像数据,有利于为员工提供核心的维权和评优服务。
3.构建基于智能合约技术的“数字包公”
基于区块链的智能合约技术,将维权规则、流程、机制等写入合约,利用智能合约的代码及规则特性,为员工构建依法维权的数字化通道,解决依法维权的“推动力”问题,进而增强员工维权服务能力。针对企业的调休不合、补贴不正常发放、工伤未按规定赔付及其他各类维权事件,通过提前预制在区块链智能合约中的维权法规、流程等内容,推动企业积极、公正的处理员工维权事件,为员工提供多类型、跨地域、全天候的维权服务。
4.数字“功劳簿”
基于身份链、事件链、指数链构建职工公平、公正、公开的先进评选通道,将员工优秀事迹、获得荣誉记录到“功劳簿”中,为优秀员工的评选提供参考依据,并更号的弘扬劳动精神。
通过构建员工区块链的身份链、事件链和指数链,将员工个人行为与身份链进行关联,同时借助指数链的先进性指数模型对员工进行全方位评估打分,建立公开透明的会员先进评选通道。比如员工李四身份信息上链,生成数字身份证,2012年1月19日在山区邮路的积雪厚度达20-45厘米的情况下克服困难,将生活物资送抵称多县,保障春节供应,该行为作为优秀事件记录上链,通过先进性模型的评估,为该会员先进性指数增加5分,辅助评优工作。
主要业务实施流程说明如下:
主要业务流程以全国工会服务平台场景为例,具体如下:
一、用户类型及注册登录业务
用户在全国工会服务平台中分为三种类型(状态):游客、注册用户(未认证会员)、会员用户(认证会员)。
1.游客
未在全国工会服务平台中登录,只能在系统中浏览。
2.注册用户(未认证会员)
游客在全国工会服务平台进行注册,填写手机号和登录密码,验证短信成功后通过注册,在全国工会服务平台中创建该用户。
注册用户信息保存在全国工会服务平台中,当注册用户开通会员用户状态置为“会员”(即此用户以成为会员用户,全国工会服务平台在用户登录流程中根据此状态判断从哪里验证,见登录流程。另,此状态等同于注册用户账号“不可用”)。
会员用户
由于目前全总还没有会员入户审核的业务承接部门,所以全国工会服务平台的注册用户只能跳转到各省入会渠道中进行会员认证,由各省现有会员入会审核业务完成认证,如果入会认证成功,则各省将该会员信息入库本级会员实名制数据库,再由全国会员实名制数据汇聚工程将新增会员信息同步至全国实名制数据库,再由全总侧的将该会员信息上链(身份链)。
全国工会服务平台中的注册用户只有在成功“激活”数字身份账户后,才可由注册用户变为会员用户。全国工会服务平台将此用户的“注册用户”账号状态新增“注册过程状态”。
1.1游客注册流程如图16所示
流程说明:
1.用户提交电话号码和密码。
2.短信核验手机号,通过则创建注册用户。
1.2注册用户入会流程如图17所示
流程说明:
1.注册用户登录全国工会服务平台。
2.注册用户点击某省入会渠道链接,在此省入会渠道完成会员入会流程。
1.3用户登录流程如图18所示
流程说明:
1.用户填写手机号或身份证号,连同密码一起提交。
2.验证用户使用身份证还是手机号登录。
如果用户使用身份证号登录,则进入会员登录流程。
如果用户使用手机号登录,则进入第3步。
验证此用户是否为注册用户。
如果用户为非注册用户则返回第1步。
如果用户为注册用户,则验证用户是否为会员用户,进入第4步。
(其中验证由身份链来实现,验证过程调用身份链的核验接口来实现)。
4.验证用户是否为会员用户。
如果用户为会员用户,则进入会员登录流程。
如果用户为注册用户,则进入注册用户登录流程。
1.4注册用户登录流程如图19所示
流程说明:
1.用户提交电话号码和密码或短信验证。
2.web端具备扫码登录,扫码请求过后,后台接受手机确认并进行登录。
1)工会自身APP扫WEB端二维码方式,则完全由工会身份链的核验模块来实现后台逻辑;
2)第3方APP来扫WEB端二维码,则通过OAUTH、SSO等协议对接来支持3方账号扫码登录。
验证用户设备是否常用设备或环境。App端验证移动设备ID,网页和H5页面验证IP地址归属地。
如果是常用设备,则进行密码验证进入第4步。
如果不是常用设备,则视登录情况进行二次验证,如短信验证则进入第3步,或者预设问题回答、人像等。
4.短信验证。短信验证时需要用户输入注册手机后4位后方可发送验证短信,如果不通过则需继续验证,每个验证码3分钟内有效,3分钟内用户输错超过3次产生新的验证码,每个用户每天允许产生的短信验证码不超过10条。
5.密码验证。验证不通过返回第1步。验证通过则完成登录并更新用户常用设备信息。
1.5会员登陆流程如图20所示
流程说明:
1.会员填写手机号或者身份证号,连同密码一起提交身份链;
2.身份链将验证结果反馈给全国工会服务平台,验证通过则全国工会服务平台完成用户登录操作。验证不通过则需要返回第一步用户重新提交信息,并设置当前用户验证失败几次后,几小时内不能再发起验证。
二、数字身份账户业务
2.1数字身份账户创建流程(新增会员信息上链)如图21所示
流程说明:
1.身份链系统每日发起上次更新后新增、变化数据查询请求;
2.智慧数据库返回上次请求后指定检索范围/新增/变更会员信息;
身份链生成“DID、Hash(姓名)、Hash(手机号)、会籍状态、职业类型、所属工会组织ID”等信息;
会籍状态更新:包括:会籍变化类型、会籍变化原因、会籍变化时间、会籍变化前所在单位、会籍变化后所在单位等信息;
职业类型:
{
当前职业状态信息
}
4.身份链系统写入身份;
5.身份链系统为新增会员创建数字身份账户后结束。
2.2数字身份账号激活流程如图22所示
可用于将“全总/省总/市总/企业工会服务平台”作为全总云脑对外输出的一项服务,计划为每一个来申请会员身份账号的服务平台分配一个ID,类似于AppID由云脑维护,用于记录该会员是在什么时间、什么平台进行了会员身份账号激活,实现对该会员进行一个享受网上工会服务的行为画像。
形成以下功能:
所有用户的管控
所有用户的激活记录
数字身份账户流程。
流程说明:
1.将会员填写的姓名、身份证号码、手机号码信息分别做Hash(预先约定算法)处理并提交至身份链系统;
2.身份链系统判断请求信息是否完全匹配
如果至少有一个不匹配则返回第1步。
如果完成匹配则先判断此会员账号是否已激活,进入第3步。
身份链判断此会员账号是否已激活
如果已激活,则由身份链将结果反馈给全国工会服务平台,进入第5步展示会员信息。
如果还未激活,则由身份链将结果反馈给全国工会服务平台,用户在全国工会服务平台填写新密码并提交到身份链,进入第4步。
4.身份链判断用户提交的新密码是否合规
如果新密码不合规则,则返回第3步。
如果新密码合规则,则进入第5步展示会员信息。
5.全国工会服务平台为用户展示会员信息,展示的会员信息需做脱敏处理。
三、基于身份链的统一核验业务
1会员身份核验流程(仅适用于全总服务平台)如图23所示
流程说明:
1.将会员填写的姓名、身份证号码、手机号码信息做Hash处理并提交至身份链系统;
2.身份链验证信息是否完全匹配;
如果至少有一个信息不匹配,则返回第1步
如果信息完全匹配,则认证成功,进入第3步。
会员身份认证成功。
2修改密码流程(仅适用于全总服务平台)如图24所示
基于区块链的密码修改业务,其本质是采用密码叠加来实现,即使得用户过往忘记的密码(或者弱口令、不安全口令、已泄露口令等场景)可以被锁定,并生成新密码的过程。
流程说明:
1.将会员填写的姓名、身份证号码、手机号码信息做Hash处理并提交至身份链系统;
2.身份链系统判断提交的信息是否匹配;
如果至少有一个信息不匹配,则返回第1步
如果信息完全匹配,则认证成功,进入第3步。
用户在全国工会服务平台填写新密码并提交到身份链。
4.身份链判断用户提交的新密码是否合规
如果新密码不合规则,则返回第3步。
如果新密码合规则,则修改账号密码,进入第5步。
5.身份链修改账号密码。
6.全国工会服务平台,提示用户密码修成。
以上仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,应视为本发明的保护范围。
Claims (10)
1.一种跨地域跨系统的身份认证的方法,其特征在于,具体流程包括:
步骤1、基于DID和VC,搭建跨地域跨系统的身份链体系,得到底层区块链网络,区块链底层平台对底层区块链网络进行管理;
步骤2、数字身份管理平台基于数字身份应用模块为各地域各系统提供数字身份及员工服务的管理,其中,数字身份应用模块用于基于底层区块链网络为员工提供数字身份账户的注册、激活和使用服务。
2.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,所述步骤1搭建基于SSI模型的身份链体系;
所述SSI模型由用户、发证方、验证者三类角色组成,包含分散标识符DID和可验证凭证VC两个基本组件;
其中,DID由用户自己创建,用于身份验证、用户之间交换信息;
VC是包含用户身份属性以及发证信息的声明文件,在进行身份验证时由用户提供给验证者;
所述用户拥有自身数据,存储和管理个人信息;
所述发证方核验用户数据真实性,提供真实性背书;
所述验证者获取用户数据,并验证数据真实性;
所述DID的生成规则为:
使用固定前缀did:user_did:+身份证号码+日期Hash值。
3.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,所述区块链底层平台,对员工身份信息分级存储,隐私信息授权访问,对总部设立总部数据集群,对二三级单位也设立数据集群。
4.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,步骤3所述数字身份管理平台中各地域各系统部署方式为:
总部构建DID标准件,DID标准件工程体系包括五种形态:1)各类模式-数据级,2)APP模式软件-服务级,3)相互调用-SDK接口级,4)被连接-设备级,5)插拔式-插口级;DID标准件理论体系包括:身份定义、存储机制、出示机制、验证机制、签发机制、销毁机制、接口扩展机制;
总部同二三级单位相连接,对接技术和协调的问题;
基于DID构建业务服务,包含服务设置、服务器界面定制、数据开放策略,借助大数据存储区,进而实现实名制Web服务,由汇集式存储模式转化为分布式分级/分类存储/跨级互动的存储模式,采用DID的业务服务快速生成方法,支撑与身份相关的海量业务服务。
5.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,步骤3所述数字身份管理平台基于数字身份应用模块为各地域各系统提供数字身份及员工服务的管理,包括:
1.批量建证;由总部收录员工人员信息,包括手机号、姓名、证件类型、证件号码;
2.总部发放批量下发账户:总部下发二级单位账户,二级单位下发所管辖机构账户;
3.地方及企事业单位分发:机构账户根据所辖员工信息批量下发账户;
通过建立总部账户角色以及账户角色权限分配,满足新增二级单位、内部管理需求;
通过建立二级单位账户角色以及账户角色权限分配,满足新增机构、罢免机构身份、内部管理需求;
通过建立机构账户、会员账户、个人账户以及账户角色权限分配,满足发证、激活账户、销证、会员管理业务场景。
4.机构整体激活:已签约并下发账户的机构,通过手机短信、邮箱邮件附带Web、H5页面提交并验证个人信息,实现激活账户;
个人激活账户:访问特定连接或则APP,注册、提交、验证个人信息,实现激活账户;
5.数字身份账户的开放给第3方:封装API,提供统一身份校验,完成身份验证服务。
6.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,数字身份应用模块中的数字身份账户,显示员工证封面,查看时需输入密码,打开证件显示如下信息:
(1)员工照片、由DID生成的编号;
(2)姓名、身份证号、职位、职级、政治面貌、出生年月、入职时间、单位、发证单位;
(3)员工变化信息。
7.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,所述步骤3进行员工数字身份账户注册的流程为:
用户在数字身份应用模块拍摄身份证,由第三方进行身份识别,之后身份证信息存储本地,调用活体检测同时进行人脸识别,提取身份信息,提取的信息自动生成个人公私钥并添加助记词,进而生成DID文档,同时相关信息将发送至总部,身份信息公钥加密后发送至总部存储;DID文档生成后由用户进一步补充具体信息,接着由第三方智慧数据库完成实名信息的验证,最终生成数字身份账户。
8.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,所述步骤3进行员工数字身份账户激活逻辑为:
用户只要在任何一个与身份链相连接的数字身份应用模块中成功进行身份验证激活后,则将该用户信息进行上链操作,此后用户可在任何一个与身份链相连接的数字身份应用模块中进行身份互信,实现数字身份全国跨省验证。
9.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,所述步骤3基于数字身份全国使用服务逻辑实现员工数字身份账户使用,数字身份全国使用服务逻辑为:服务商即验证者提供现有的协议同时总部身份链-对接系统,进而形成服务策略,接着进行电子员工卡DID-Card凭证的验证,同时发放服务凭证,用户勾选零知识证明,进行验证,最后即可使用。
10.根据权利要求1所述的一种跨地域跨系统的身份认证的方法,其特征在于,步骤3所述数字身份应用模块设置于员工数字身份移动端应用,为员工提供数字身份账户的注册、激活和使用服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211206920.XA CN115842649A (zh) | 2022-09-30 | 2022-09-30 | 一种跨地域跨系统的身份认证的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211206920.XA CN115842649A (zh) | 2022-09-30 | 2022-09-30 | 一种跨地域跨系统的身份认证的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115842649A true CN115842649A (zh) | 2023-03-24 |
Family
ID=85575500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211206920.XA Pending CN115842649A (zh) | 2022-09-30 | 2022-09-30 | 一种跨地域跨系统的身份认证的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115842649A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776305A (zh) * | 2023-06-15 | 2023-09-19 | 南京理工大学 | 一种面向工业场景的区块链智能合约架构及其运行方法 |
-
2022
- 2022-09-30 CN CN202211206920.XA patent/CN115842649A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776305A (zh) * | 2023-06-15 | 2023-09-19 | 南京理工大学 | 一种面向工业场景的区块链智能合约架构及其运行方法 |
CN116776305B (zh) * | 2023-06-15 | 2023-12-15 | 南京理工大学 | 一种面向工业场景的区块链智能合约系统的运行方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10664576B2 (en) | Identity assurance method | |
CN110334489A (zh) | 一种统一身份认证系统和方法 | |
CN114186248B (zh) | 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法 | |
CN112580102A (zh) | 基于区块链的多维度数字身份鉴别系统 | |
CN110060037B (zh) | 一种基于区块链的分布式数字身份系统 | |
CN110516474A (zh) | 区块链网络中的用户信息处理方法、装置、电子设备及存储介质 | |
CN106992988A (zh) | 一种跨域匿名资源共享平台及其实现方法 | |
CN110278462A (zh) | 一种基于区块链的流动放映授权管理方法 | |
CN102088351A (zh) | 授权管理系统及其实现方法 | |
CN109743321B (zh) | 区块链、应用程序、应用程序的用户认证方法及系统 | |
CN109409893A (zh) | 一种信任系统及其构建方法、设备及存储介质 | |
CN108462696B (zh) | 一种去中心化的区块链智能身份认证系统 | |
WO2023082690A1 (zh) | 一种基于矩阵联盟链的可隐藏实名的资助方法 | |
Cano et al. | Distributed framework for electronic democracy in smart cities | |
CN110263573A (zh) | 基于区块链个人身份的表示方法 | |
Bai et al. | Decentralized and self-sovereign identity in the era of blockchain: a survey | |
CN115688191A (zh) | 一种基于区块链的电子签章系统及方法 | |
CN114168915A (zh) | 一种区块链数字身份的生成及验证方法 | |
CN112199448A (zh) | 基于区块链的工商注册登记方法及系统 | |
CN112749417A (zh) | 基于区块链的电子学位证照数据保护及共享系统 | |
CN115842649A (zh) | 一种跨地域跨系统的身份认证的方法 | |
US20070118877A1 (en) | Method and system for secured online collaboration | |
CN116305185A (zh) | 数据处理方法、系统及计算机可读存储介质 | |
Chen-Wilson et al. | Towards a framework of a secure e-Qualification certificate system | |
CN109600338B (zh) | 一种可信身份管理服务方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |