CN116055068A - 一种基于did与中继链的多链统一身份管理方法 - Google Patents
一种基于did与中继链的多链统一身份管理方法 Download PDFInfo
- Publication number
- CN116055068A CN116055068A CN202310342177.9A CN202310342177A CN116055068A CN 116055068 A CN116055068 A CN 116055068A CN 202310342177 A CN202310342177 A CN 202310342177A CN 116055068 A CN116055068 A CN 116055068A
- Authority
- CN
- China
- Prior art keywords
- chain
- identity
- user
- alliance
- relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于DID与中继链的多链统一身份管理方法,多条联盟链CA组成中继链,用于维护多链系统中用户的全局身份;用户向所述中继链输入用户注册信息,在所述中继链上生成用户全局DID身份;联盟链CA获取中继链中的用户全局DID身份,并为所述用户颁发联盟链身份与用户全局DID身份绑定关系的身份绑定证明;然后联盟链CA再为用户颁发联盟链身份与链上数据绑定关系的链上数据证明;所述用户根据所述用户全局DID身份、身份绑定证明以及链上数据证明,向其他联盟链CA申请跨链访问权限。该方法可以有效的对面向联盟链的多链系统提供用户统一身份,为联盟链用户跨链访问操作提供跨链访问授权与权限认证机制。
Description
技术领域
本发明涉及区块链应用技术领域,尤其涉及一种基于DID与中继链的多链统一身份管理方法。
背景技术
近年来,随着区块链技术的快速发展,在实际生活中不同的区块链网络越来越多,区块链上的数据与资产也越来越多,在实际场景中不同区块链中的数据流通是必要的,解决区块链之间的数据流通与资产转移的问题具有重大意义。而跨链数据访问技术正是一个能打破区块链系统中的数据孤岛,实现多区块链之间交互的有效手段,但是跨链数据访问技术更多针对的是目前存在的公有链。具体地讲,联盟链在金融、供应链、政务管理等领域中均能发挥其特有的作用,而区块链作为承载数据、资产的基础设施,其面临的挑战也会更加严峻,针对联盟链中的各类安全问题,构建一个对各联盟链的监管体制是联盟链健康发展的关键,与公有链相似,联盟链之间也存在数据流转、资产转移等需求。然而联盟链作为一类许可链,一般希望数据仅在联盟间共享,对外需要设置严格的访问控制;而若将所有业务合在一起,不再具有业务之间的数据隔离能力。
因此,在实际应用场景中存在多条联盟链,然而一对一的跨链访问在链数量较多的情况下非常繁琐,利用以链治链的思想,使用中继链来实现多链之间的数据传输与身份认证是一种更合理的方法,可行的办法是基于DID(Decentralized Identifier,去中心化身份体系)在中继链上搭建一套多链系统统一身份管理体系,为联盟链跨链访问提供统一的身份认证系统,但现有技术中缺乏相应的解决方案。
发明内容
本发明的目的是提供一种基于DID与中继链的多链统一身份管理方法,该方法可以有效的对面向联盟链的多链系统提供用户统一身份,为联盟链用户跨链访问操作提供跨链访问授权与权限认证机制,避免用户借用身份,伪装资产证明,保障了基本的跨链数据访问安全,同时保证了用户身份的自主可控,避免用户隐私泄露。
本发明的目的是通过以下技术方案实现的:
一种基于DID与中继链的多链统一身份管理方法,所述方法包括:
步骤1、多条联盟链证书授权CA组成中继链,用于维护多链系统中用户的全局身份;其中,各联盟链CA在所述中继链中注册自己的去中心化身份体系DID身份,作为全局可信身份;
步骤2、用户向所述中继链输入用户注册信息,在所述中继链上生成用户全局DID身份;
步骤3、用户所在的联盟链CA获取中继链中的用户全局DID身份,并为所述用户颁发联盟链账户地址与用户全局DID身份绑定关系的身份绑定证明;
步骤4、然后联盟链CA再为用户颁发联盟链账户地址与链上数据绑定关系的链上数据证明;
步骤5、所述用户根据所述用户全局DID身份、身份绑定证明以及链上数据证明,向其他联盟链CA申请跨链访问权限。
由上述本发明提供的技术方案可以看出,所述方法可以有效的对面向联盟链的多链系统提供用户统一身份,为联盟链用户跨链访问操作提供跨链访问授权与权限认证机制,避免用户借用身份,伪装资产证明,保障了基本的跨链数据访问安全,同时保证了用户身份的自主可控,避免用户隐私泄露。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的基于DID与中继链的多链统一身份管理方法流程示意图。
图2为本发明实施例所述多条联盟链CA组成中继链的架构图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,这并不构成对本发明的限制。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
如图1所示为本发明实施例提供的基于DID与中继链的多链统一身份管理方法流程示意图,所述方法包括:
步骤1、多条联盟链CA(Certificate Authority,证书授权)组成中继链,用于维护多链系统中用户的全局身份;
具体实现中,如图2所示为本发明实施例所述多条联盟链CA组成中继链的架构图,各联盟链CA在中继链中注册自己的去中心化身份体系DID身份,作为全局可信身份。DID是一种用户自主可控的身份管理系统,允许个人管理自己的身份,用户从多个发行方接收凭证并将它们存储在数字钱包中,用户将这些凭证提交给相关发行机构,然后由发行机构通过不存储用户数据的基于去中心化数据库验证其身份。
其中,中继链的节点间互信建立在联盟链CA之间的信任,因此在创世区块中需要包含组成中继链的联盟链CA的DID身份,作为验证可验证凭据的基础数据,同时需要提前定义。
步骤2、用户向所述中继链输入用户注册信息,在所述中继链上生成用户全局DID身份;
其中,用户注册信息包括唯一标识,例如身份证号、学号等。
步骤3、用户所在的联盟链CA获取中继链中的用户全局DID身份,并为所述用户颁发联盟链账户地址与用户全局DID身份绑定关系的身份绑定证明;
在该步骤中,联盟链CA使用签名私钥为所述用户全局DID身份与联盟链账户地址的绑定关系生成可验证的身份绑定证明,具体实现方法如下:
用户首先在联盟链CA中注册联盟链身份,生成联盟链账户地址,用户使用联盟链CA颁发的密钥签署可验证声明,并将可验证声明发送给联盟链CA;其中包含联盟链账户地址与用户全局DID身份的绑定关系;
所述联盟链CA收到可验证声明,利用用户公钥验证签名后,为该可验证声明生成可验证的身份绑定证明,并签名为。
步骤4、然后联盟链CA再为用户颁发联盟链账户地址与链上数据绑定关系的链上数据证明;
所述步骤4的过程具体为:
联盟链CA验证所述用户在联盟链中的数据信息,并使用联盟链CA签名私钥为用户联盟链数据与联盟链账户地址的绑定关系生成可验证的链上数据证明。
具体实现中,链上数据认证的实现方法包含两类:一类是由联盟链CA验证链上数据并签发相应可验证凭证,也就是步骤4中所述;
另一类是基于Relay的链上数据验证方法,此方法需要在中继链中维护各联盟链的区块头信息,相应的,可验证的链上数据证明中的签名则替换为区块头与相应数据的merkle证明proof。
其中,身份绑定证明和链上数据证明中VC的含义为可验证凭证(Verifiable Credential)。
步骤5、所述用户根据所述用户全局DID身份、身份绑定证明以及链上数据证明,向其他联盟链CA申请跨链访问权限。
在该步骤中,所述用户首先向所述中继链广播所述链上数据证明、身份绑定证明和目标联盟链身份注册请求;
在目标联盟链CA接受到身份注册请求以及链上数据证明、身份绑定证明后,在所述中继链上验证链上数据证明和身份绑定证明;
若验证通过,则为所述用户的联盟链账户地址以及对应公钥颁发证书,并使用联盟链CA签名私钥为用户全局DID身份与目标联盟链账户地址的绑定关系签发可验证凭证。
具体实现中,所述目标联盟链CA在所述中继链上验证链上数据证明和身份绑定证明的过程具体为:
所述目标联盟链CA根据所述身份绑定证明中的用户全局DID身份以及签发方DID,验证签发方全局身份是否为所述中继链中的联盟链CA;
再通过签发方DID获取对应的联盟链CA公钥,以此验证身份绑定证明,验证通过后即成功验证用户全局DID身份和用户联盟链账户地址的绑定关系;
最后验证用户联盟链账户地址与链上数据的绑定关系,用验证过的联盟链CA的公钥验证数据的链上数据证明。
另外,如果是基于Relay的链上数据验证方法,则用验证过的联盟链CA的公钥确定数据来自哪个联盟链,获取中继链上维护的相应联盟链的区块头信息,用链上数据证明中的merkle证明结合区块头信息验证数据的真实性。
值得注意的是,本发明实施例中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
综上所述,本发明实施例所提供的方法具有如下优点:
1)通过可验证凭证VC实现链上DID身份与联盟链账户地址绑定,从而实现全局DID身份;
2)利用中继链实现联盟链的链上数据证明,结合DID全局身份,实现链上数据与用户DID身份的绑定关系;
3)借助面向联盟区块链的基于DID与中继链的统一身份管理系统,用户通过全局DID身份与链上数据证明,可以便捷申请联盟链跨链访问权限。
另外,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。本文背景技术部分公开的信息仅仅旨在加深对本发明的总体背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
Claims (5)
1.一种基于DID与中继链的多链统一身份管理方法,其特征在于,所述方法包括:
步骤1、多条联盟链证书授权CA组成中继链,用于维护多链系统中用户的全局身份;其中,各联盟链CA在所述中继链中注册自己的去中心化身份体系DID身份,作为全局可信身份;
步骤2、用户向所述中继链输入用户注册信息,在所述中继链上生成用户全局DID身份;
步骤3、用户所在的联盟链CA获取中继链中的用户全局DID身份,并为所述用户颁发联盟链账户地址与用户全局DID身份绑定关系的身份绑定证明;
步骤4、然后联盟链CA再为用户颁发联盟链账户地址与链上数据绑定关系的链上数据证明;
步骤5、所述用户根据所述用户全局DID身份、身份绑定证明以及链上数据证明,向其他联盟链CA申请跨链访问权限。
2.根据权利要求1所述基于DID与中继链的多链统一身份管理方法,其特征在于,所述步骤3的过程具体为:
联盟链CA使用签名私钥为所述用户全局DID身份与联盟链账户地址的绑定关系生成可验证的身份绑定证明,具体实现方法如下:
用户首先在联盟链CA中注册联盟链身份,生成联盟链账户地址,用户使用联盟链CA颁发的密钥签署可验证声明,并将可验证声明发送给联盟链CA;其中包含联盟链账户地址与用户全局DID身份的绑定关系;
所述联盟链CA收到可验证声明,利用用户公钥验证签名后,为该可验证声明生成可验证的身份绑定证明,并签名为。
3.根据权利要求1所述基于DID与中继链的多链统一身份管理方法,其特征在于,所述步骤4的过程具体为:
联盟链CA验证所述用户在联盟链中的数据信息,并使用联盟链CA签名私钥为用户联盟链数据与联盟链账户地址的绑定关系生成可验证的链上数据证明。
4.根据权利要求1所述基于DID与中继链的多链统一身份管理方法,其特征在于,所述步骤5的过程具体为:
所述用户首先向所述中继链广播所述链上数据证明、身份绑定证明和目标联盟链身份注册请求;
在目标联盟链CA接受到身份注册请求以及链上数据证明、身份绑定证明后,在所述中继链上验证链上数据证明和身份绑定证明;
若验证通过,则为所述用户的联盟链账户地址以及对应公钥颁发证书,并使用联盟链CA签名私钥为用户全局DID身份与目标联盟链账户地址的绑定关系签发可验证凭证。
5.根据权利要求4所述基于DID与中继链的多链统一身份管理方法,其特征在于,所述目标联盟链CA在所述中继链上验证链上数据证明和身份绑定证明的过程具体为:
所述目标联盟链CA根据所述身份绑定证明中的用户全局DID身份以及签发方DID,验证签发方全局身份是否为所述中继链中的联盟链CA;
再通过签发方DID获取对应的联盟链CA公钥,以此验证身份绑定证明,验证通过后即成功验证用户全局DID身份和用户联盟链账户地址的绑定关系;
最后验证用户联盟链账户地址与链上数据的绑定关系,用验证过的联盟链CA的公钥验证数据的链上数据证明。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310342177.9A CN116055068B (zh) | 2023-04-03 | 2023-04-03 | 一种基于did与中继链的多链统一身份管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310342177.9A CN116055068B (zh) | 2023-04-03 | 2023-04-03 | 一种基于did与中继链的多链统一身份管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116055068A true CN116055068A (zh) | 2023-05-02 |
| CN116055068B CN116055068B (zh) | 2023-07-14 |
Family
ID=86133576
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310342177.9A Active CN116055068B (zh) | 2023-04-03 | 2023-04-03 | 一种基于did与中继链的多链统一身份管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055068B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116866009A (zh) * | 2023-06-15 | 2023-10-10 | 蚂蚁区块链科技(上海)有限公司 | 基于认证网络的跨链身份验证方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108880794A (zh) * | 2018-06-15 | 2018-11-23 | 浙江华信区块链科技服务有限公司 | 跨链用户身份及其数字资产管理系统 |
| CN112435024A (zh) * | 2020-11-17 | 2021-03-02 | 浙江大学 | 基于群签名和ca多方认证的联盟链跨链隐私保护方法 |
| CN112839056A (zh) * | 2021-02-08 | 2021-05-25 | 杭州趣链科技有限公司 | 跨链交互身份管理方法、系统、设备及存储介质 |
| CN114615095A (zh) * | 2022-05-12 | 2022-06-10 | 北京邮电大学 | 区块链跨链数据处理方法、中继链、应用链及跨链网络 |
| US20220263671A1 (en) * | 2020-05-22 | 2022-08-18 | Tencent Technology (Shenzhen) Company Limited | Data processing method, apparatus, and device, blockchain system, and computer-readable storage medium |
-
2023
- 2023-04-03 CN CN202310342177.9A patent/CN116055068B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108880794A (zh) * | 2018-06-15 | 2018-11-23 | 浙江华信区块链科技服务有限公司 | 跨链用户身份及其数字资产管理系统 |
| US20220263671A1 (en) * | 2020-05-22 | 2022-08-18 | Tencent Technology (Shenzhen) Company Limited | Data processing method, apparatus, and device, blockchain system, and computer-readable storage medium |
| CN112435024A (zh) * | 2020-11-17 | 2021-03-02 | 浙江大学 | 基于群签名和ca多方认证的联盟链跨链隐私保护方法 |
| CN112839056A (zh) * | 2021-02-08 | 2021-05-25 | 杭州趣链科技有限公司 | 跨链交互身份管理方法、系统、设备及存储介质 |
| CN114615095A (zh) * | 2022-05-12 | 2022-06-10 | 北京邮电大学 | 区块链跨链数据处理方法、中继链、应用链及跨链网络 |
Non-Patent Citations (2)
| Title |
|---|
| SIHAN LIU,ET AL.: "Research on cross-chain method based on distributed Digital Identity", ACM ICBCT’22, MARCH 25–27, 2022, SHANGHAI, CHINA * |
| 王姝爽等: "区块链跨链安全接入与身份认证方案研究与实现", 《技术研究》, no. 6, pages 2 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116866009A (zh) * | 2023-06-15 | 2023-10-10 | 蚂蚁区块链科技(上海)有限公司 | 基于认证网络的跨链身份验证方法及装置 |
| CN116866009B (zh) * | 2023-06-15 | 2024-03-26 | 蚂蚁区块链科技(上海)有限公司 | 基于认证网络的跨链身份验证方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116055068B (zh) | 2023-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110288480B (zh) | 一种区块链的私密交易方法及装置 | |
| Bagga et al. | Blockchain-based batch authentication protocol for Internet of Vehicles | |
| KR102009160B1 (ko) | 블록체인 기반 정보 트러스트 엔진 시스템 | |
| CN106789090A (zh) | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 | |
| CN109962890B (zh) | 一种区块链的认证服务装置及节点准入、用户认证方法 | |
| CN111324881B (zh) | 一种融合Kerberos认证服务器与区块链的数据安全分享系统及方法 | |
| CN113239382A (zh) | 一种基于区块链智能合约的可信身份模型 | |
| US8319606B2 (en) | Universal validation module for access control systems | |
| CN107438002A (zh) | 基于区块链的系统以及系统中的电子设备和方法 | |
| WO2019184155A1 (zh) | 区块链节点权限控制方法、区块链系统及存储介质 | |
| CN116055068B (zh) | 一种基于did与中继链的多链统一身份管理方法 | |
| US9769164B2 (en) | Universal validation module for access control systems | |
| Hatefi et al. | A conditional privacy-preserving fair electronic payment scheme based on blockchain without trusted third party | |
| Wang et al. | A privacy-preserving vehicular data sharing framework atop multi-sharding blockchain | |
| Li et al. | Aggregated zero-knowledge proof and blockchain-empowered authentication for autonomous truck platooning | |
| KR20190010195A (ko) | 비중앙집중형 자동차 보안 신뢰 네트워크 장치 및 방법 | |
| Javed et al. | Secure message handling in vehicular energy networks using blockchain and artificially intelligent IPFS | |
| Subramani et al. | Blockchain-based physically secure and privacy-aware anonymous authentication scheme for fog-based vanets | |
| CN117280346A (zh) | 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置 | |
| Feng et al. | Blockchain enabled zero trust based authentication scheme for railway communication networks | |
| Chen et al. | IOV Privacy Protection System Based on Double‐Layered Chains | |
| CN112583598A (zh) | 一种复杂物联网联盟链系统通信机制 | |
| Xie et al. | Cross-chain-based decentralized identity for mortgage loans | |
| CN105812223A (zh) | 校园智能卡信息处理方法 | |
| CN115378681A (zh) | 一种基于区块链的跨域身份认证方法及系统和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |