CN116707822A - 一种用户身份识别设备、分布式用户身份识别系统及方法 - Google Patents

Abstract

本发明涉及网络通信技术领域，公开了一种用户身份识别设备、分布式用户身份识别系统及方法。第一用户身份识别设备包括第一边缘服务器；第一边缘服务器，包括：第一智能合约生成单元，用于为对应区域内已通过KYC的各第一注册用户生成对应的智能合约，智能合约中存储有第一注册用户的域名及VC；第一数据存储单元，用于存储各第一注册用户的智能合约对应数据；第一认证响应单元，用于在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的VP后回传至第二边缘服务器。本发明解决了传统方案所存在的数据易被盗用、重复开销大的问题。

Description

一种用户身份识别设备、分布式用户身份识别系统及方法

技术领域

本发明涉及网络通信技术领域，尤其涉及一种用户身份识别设备、分布式用户身份识别系统及方法。

背景技术

用户身份识别可以理解为一种实名认证机制，在金融行业用户身份识别的服务通常也被称为KYC(Know Your Custome)，KYC需要获得用户的一些身份信息，现有的流程是每注册一个金融网站就需要认证一次身份信息，过程十分繁复。以某互联网金融APP为例，如果一个新用户想在上面做投资，那么需要提供手机验证码、身份证照片验证、人脸识别验证、录制视频等手续。而如果该用户又去另一个互联网金融的APP里面，又得再次进行相关的验证，非常的麻烦。其根本原因就是传统金融服务是以中心化服务为特征，因此每个服务机构都需要自己保留一套数据，难以共享，进一步的也容易出现数据盗用问题。此外，由于中心化服务器的存在，用户必须通过中心服务器来进行业务，也会增加同一个手续在不同机构中重复进行的开销。

发明内容

本发明的目的在于提供一种用户身份识别设备、分布式用户身份识别系统及方法，以解决传统的以中心化服务为特征的用户身份识别方案所存在的数据易被盗用、重复开销大的问题。

为达此目的，本发明采用以下技术方案：

一种第一用户身份识别设备，包括第一边缘服务器；

所述第一边缘服务器，包括：

第一智能合约生成单元，用于为第一边缘服务器对应区域内已通过用户身份认证KYC的各第一注册用户分别生成对应的智能合约，所述智能合约中存储有第一注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；各所述第一注册用户中包括第一待认证用户；

第一数据存储单元，用于存储第一边缘服务器对应区域内各第一注册用户启动所述智能合约时所需要的数据及所述智能合约执行指令时所生成的数据；

第一认证响应单元，用于在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向所述第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第二边缘服务器。

可选的，所述第一边缘服务器还包括：

第一认证请求单元，用于在接收对应区域内商家用户发送的认证请求消息时，根据所述认证请求消息确定需要进行KYC的第二待认证用户，查询第二待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将凭证私钥解锁请求发送至第二待认证用户的域名所对应的第二边缘服务器；还用于接收第二边缘服务器返回的由第二待认证用户针对凭证私钥解锁请求作出的VP。

可选的，所述第一智能合约生成单元，还用于向所述智能合约的扩展区域内写入第一注册用户的DID/DDND、商号、数据资产寻址信息和/或个人钱包的交易或活动数据；

所述第一认证请求单元，还用于在收到第二待认证用户的VP后，将对应智能合约的扩展区域内的至少一项存储信息作为数字签名信息，对第二待认证用户的VP进行验证，验证通过后保存所述VP并将其与所述第二待认证用户相关联。

可选的，所述第一边缘服务器还包括至少一个虚拟机，所述虚拟机关联于其对应的目标服务器，所述目标服务器至少包括第一边缘服务器；

所述虚拟机，用于将其目标服务器上的智能合约上传至区块链网络。

可选的，所述第一数据存储单元，还用于存储第一边缘服务器对应区域内各第一注册用户上载的用于进行KYC的e-KYC数据。

可选的，所述第一认证响应单元，还用于在接收到第二边缘服务器的认证数据查询请求时，从所述第一数据存储单元获取相应注册用户的e-KYC数据并发送给第二边缘服务器。

一种分布式用户身份识别方法，应用于如上所述的第一用户身份识别设备，所述用户身份识别方法包括：

为第一边缘服务器对应区域内已通过KYC的各第一注册用户分别生成对应的智能合约，将启动所述智能合约时所需要的数据及所述智能合约执行指令时所生成的数据存储至本地，以及将所述智能合约上传至区块链网络，所述智能合约中存储有第一注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；

在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第二边缘服务器。

可选的，所述分布式用户身份识别方法还包括：

在接收到第一边缘服务器对应区域内商家用户发送的认证请求消息时，根据所述认证请求消息确定需要进行KYC的第二待认证用户，查询第二待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将所述凭证私钥解锁请求发送至第二待认证用户的域名所对应的第二边缘服务器；

接收第二边缘服务器返回的由第二待认证用户根据凭证私钥解锁请求作出的VP。

可选的，所述分布式用户身份识别方法还包括：

向第一边缘服务器对应区域内各第一注册用户的智能合约的扩展区域内写入用户DID/DDND、商号、数据资产寻址信息和/或个人钱包的交易或活动数据；

在接收到第二边缘服务器返回的由第二待认证用户根据凭证私钥解锁请求作出的VP后，将对应所述智能合约的扩展区域内的至少一项存储信息作为数字签名信息，对第二待认证用户的VP进行验证，验证通过后保存所述VP并将其与所述第二待认证用户相关联。

可选的，所述用户身份识别方法还包括：

在本地的第一数据存储单元，存储第一边缘服务器对应区域内各第一注册用户上载的用于进行KYC的e-KYC数据；

在接收到第二边缘服务器的认证数据查询请求时，从所述第一数据存储单元获取相应第一注册用户的e-KYC数据并发送给第二边缘服务器。

可选的，商家用户发送认证请求消息的方法包括：

在接收到第二待认证用户的认证请求时，商家用户生成所述认证请求消息并将其发送至第一边缘服务器；

或者，在根据业务需求确定第二待认证用户后，商家用户生成所述认证请求消息并将其发送至第一边缘服务器；

或者，商家用户在系统内发送加密的广播信息以发起认证，包括第二认证用户在内的各授权用户分别利用解密密钥对广播信息进行正确解密；在接收到第二待认证用户的认证请求时，商家用户生成所述认证请求消息并将其发送至第一边缘服务器。

一种第二用户身份识别设备，与如上所述的第一用户身份识别设备通信连接，包括第二边缘服务器；

所述第二边缘服务器，包括：

第二认证请求单元，用于确定需要进行KYC的第一待认证用户，查询第一待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将所述凭证私钥解锁请求发送至第一待认证用户的域名所对应的第一边缘服务器；还用于接收第一边缘服务器返回的由第一待认证用户根据凭证私钥解锁请求作出的VP。

可选的，所述第二边缘服务器，还包括：

第二智能合约生成单元，用于为第二边缘服务器对应区域内已通过用户身份认证KYC的各第二注册用户分别生成对应的智能合约，所述智能合约中存储有第二注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；各所述第二注册用户中包括第二待认证用户；

第二数据存储单元，用于存储第二边缘服务器对应区域内各第二注册用户启动所述智能合约时所需要的数据及所述智能合约执行指令时所生成的数据；

第二认证响应单元，用于在接收到第一边缘服务器针对第二待认证用户发送的凭证私钥解锁请求时，向第二待认证用户发送凭证私钥解锁请求，并在接收到第二待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第一边缘服务器。

一种分布式用户身份识别系统，包括：多个以上任一项所述的第一用户身份识别设备，以及多个以上任一项所述的第二用户身份识别设备；

第一用户身份识别设备与第二用户身份识别设备之间通信连接。

一种分布式用户身份识别方法，应用于以上所述的分布式用户身份识别系统，所述分布式用户身份识别方法包括：

所述第一边缘服务器对应区域内的各第一注册用户，在完成通过KYC后，分别生成对应的智能合约，并将所述智能合约上传至区块链网络，所述智能合约中存储有第一注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；各所述第一注册用户中包括第一待认证用户；

所述第二边缘服务器确定需要进行KYC的第一待认证用户，查询第一待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将所述凭证私钥解锁请求发送至第一待认证用户的域名所对应的第一边缘服务器；

所述第一边缘服务器在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向所述第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第二边缘服务器。

可选的，所述方法还包括：

所述第一边缘服务器向所述智能合约的扩展区域内写入第一注册用户的DID/DDND、商号、数据资产寻址信息和/或个人钱包的交易或活动数据；

所述第二边缘服务器在接收到第一待认证用户的VP后，将对应智能合约的扩展区域内的至少一项存储信息作为数字签名信息，对第一待认证用户的VP进行验证，验证通过后保存所述VP并将其与所述第一待认证用户相关联。

一种第一用户身份识别设备，包括处理器、存储器和通信接口，所述存储器用于存储计算机执行指令，所述第一用户身份识别设备在运行时，所述处理器运行所述存储器中的计算机执行指令以执行如以上任一项中所述的分布式用户身份识别方法。

一种计算机可读存储介质，包括计算机程序，当该计算机程序在计算机上运行时，使得该计算机执行以上任一项所述的分布式用户身份识别方法。

与现有技术相比，本发明的有益效果为：

本发明实施例利用多个边缘服务器来形成去中心化的分布式用户身份识别系统，边缘服务器用于进行KYC相关的数据存储和数据处理，从而实现了分布式的用户身份识别功能。

一方面，由于边缘服务器的分布式特性，各个边缘服务器只负责处理各自对应区域内注册用户的KYC相关的智能合约的创建以及凭证私钥解锁请求的响应。因此，与传统的中心化服务器实现KYC服务的方式相比较，本发明实施例中，用户只需要在银行等认证机构完成首次KYC时，办理手机验证、身份证照片验证、人脸识别验证、录制视频等手续，并将通过首次KYC后获得的VC、公钥和时间戳等相关信息存储至智能合约并上链，在后续其他机构需要再次认证的时候，只需要对应用户解锁私钥并签名其他商家即可获得VC，无需用户再重复办理相关手续，也即用户在不同机构中只需要办理一次认证手续。

因此，本发明实施例的分布式用户身份识别系统不仅能够提供更快的性能、更低的延迟和更短的加载时间，从而给用户带来更优的使用体验，而且有效提高了可靠性，这是由于边缘服务器的分布式特性，在使用边缘服务器时，操作风险也会分布在不同网络区域中，这意味着即使部分边缘服务器发生故障或者受到攻击，其他边缘服务器仍然能够正常完成KYC功能。

又一方面，本实施例中各个边缘服务器之间两两连接，形成一个点与点连接的网络结构，这种网络结构使得分布式用户身份识别系统能够更加灵活地适应用户的需求，也更加容易扩展。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的分布式用户身份识别系统架构图。

图2为本发明实施例提供的从一个边缘服务器角度看的分布式用户身份识别系统架构图。

图3为本发明实施例提供的分布式用户身份识别方法流程图。

图4为本发明实施例提供的由用户发起的认证方法流程图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

KYC是指对客户的身份进行认证，在较多领域被广泛应用，尤其在属于强监管行业的金融业，KYC认证逐渐成为金融业务中必不可少的一个环节。

为了解决传统金融等行业内KYC服务所采用的中心架构存在的各种问题，本发明基于MaaS(Mesh as a service以自组织网络为服务)和MinD(Mesh insiDe)协议提供了一种分布式的用户身份识别方案，这种解决方案利用智能合约来存储KYC信息，并利用web3地址查询到对应智能合约，商家可通过边缘服务器来实现各个注册用户的身份识别，既能够实现数据共享，降低数据盗用的风险，又能够减少同一手续在不同机构中重复进行的开销。

MaaS(Mesh as a Service)：是指将网络中的点与点之间连接，形成一个网格形式的网络，充当一个服务。这种网络结构使得系统能够更加灵活地适应用户的需求，也更加容易扩展。

MinD(Mesh insiDe)：是一种允许不同网络之间相互通信的协议。它使用边缘服务器来存储和传输数据，并在网络之间寻址，以确保数据传输的连续性。

请参阅图1，本发明实施例提供了一种分布式用户身份识别系统，该分布式用户身份识别系统包括第一用户身份识别设备和第二用户身份识别设备，第一用户身份识别设备和第二用户身份识别设备之间通信连接。

其中，第一用户身份识别设备，包括第一边缘服务器；该第一边缘服务器，至少包括：

第一智能合约生成单元，用于为第一边缘服务器对应区域内已通过用户身份认证KYC的各第一注册用户分别生成对应的智能合约，智能合约中存储有第一注册用户的域名以及通过KYC后获得的VC(Verifiable Certificate，可验证凭证，是机构发给用户的身份凭证)、公钥和时间戳；各第一注册用户中包括第一待认证用户；

第一数据存储单元，用于存储第一边缘服务器对应区域内各第一注册用户启动智能合约时所需要的数据及所述智能合约执行指令时所生成的数据；

第一认证响应单元，用于在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的VP(Verifiable presentation,可验证表达，是VC持有者向验证者表名自己身份的数据)后回传至第二边缘服务器。

第二用户身份识别设备，包括第二边缘服务器；该第二边缘服务器，至少包括：第二认证请求单元，用于确定需要进行KYC的第一待认证用户，查询第一待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将凭证私钥解锁请求发送至第一待认证用户的域名所对应的第一边缘服务器；还用于接收第一边缘服务器返回的由第一待认证用户根据凭证私钥解锁请求作出的VP。

边缘服务器是在网络末端或边缘执行数据计算的硬件，可以提供计算、网络和存储功能，具有分布式特性。基于此，本发明实施例利用多个边缘服务器来形成去中心化的分布式用户身份识别系统，边缘服务器用于进行KYC相关的数据存储和数据处理，从而实现了分布式的用户身份识别功能。

由于边缘服务器的分布式特性，各个边缘服务器只负责处理各自对应区域内注册用户的KYC相关的智能合约的创建以及凭证私钥解锁请求的响应。因此，与传统的中心化服务器实现KYC服务的方式相比较，本发明实施例中，用户只需要在银行等认证机构完成首次KYC时，办理手机验证、身份证照片验证、人脸识别验证、录制视频等手续，并将通过首次KYC后获得的VC、公钥和时间戳等相关信息存储至智能合约并上链，在后续其他机构需要再次认证的时候，只需要对应用户解锁私钥并签名其他商家即可获得VC，无需用户再重复办理相关手续，也即用户在不同机构中只需要办理一次认证手续。因此，本发明实施例的分布式用户身份识别系统不仅能够提供更快的性能、更低的延迟和更短的加载时间，从而给用户带来更优的使用体验，而且有效提高了可靠性，这是由于边缘服务器的分布式特性，在使用边缘服务器时，操作风险也会分布在不同网络区域中，这意味着即使部分边缘服务器发生故障或者受到攻击，其他边缘服务器仍然能够正常完成KYC功能。

另外，本实施例中各个边缘服务器之间两两连接，形成一个点与点连接的网络结构，这种网络结构使得分布式用户身份识别系统能够更加灵活地适应用户的需求，也更加容易扩展。

需要说明的是，本实施例中，第一边缘服务器中的“第一”和第二边缘服务器中的“第二”，只用于区分在边缘服务器网络中单个KYC认证过程中的客户端所对应的边缘服务器和商家端所对应的边缘服务器，实际上该客户端和商家端可以属于同一区域，即对应同一边缘服务器，也可以属于不同区域，即对应不同边缘服务器，本发明对此不作具体限定。

另外，第一用户身份识别设备和第二用户身份识别设备之间，可以完全对等：也即两个设备均可以向对端发起凭证私钥解锁请求，也可以向对端发送来的凭证私钥解锁请求进行响应；也可以不完全对等：如其中一个设备只能向对端发起凭证私钥解锁请求，不能向对端发送来的凭证私钥解锁请求进行响应。本发明实施例对此不作具体限定。

在一种可选的实施方式中，第一边缘服务器还包括第一认证请求单元，用于在接收对应区域内商家用户发送的认证请求消息时，根据认证请求消息确定需要进行KYC的第二待认证用户，查询第二待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将凭证私钥解锁请求发送至第二待认证用户的域名所对应的第二边缘服务器；还用于接收第二边缘服务器返回的由第二待认证用户针对凭证私钥解锁请求作出的VP。

基于此，第一用户身份识别设备，既能够对第二用户身份识别设备针对本设备对应区域内注册用户(此时该注册用户为已通过KYC的客户，如个人)发起的凭证私钥解锁请求进行响应，又能够根据本设备对应区域内注册用户(此时该注册用户为需对其客户进行身份识别的商家，如银行)的需求向第二用户身份识别设备发起凭证私钥解锁请求。

同时，第一智能合约生成单元，还用于向智能合约的扩展区域内写入第一注册用户的DID/DDND、商号、数据资产寻址信息和/或个人钱包的交易或活动数据(如进出小区、手机app点击等数据)，周期性地将该信息写入智能合约的扩展区域便于验证用户(避免冒充用户或盗用身份)；第一认证请求单元，还用于在收到第二待认证用户的VP后，将对应智能合约的扩展区域内的至少一项存储信息作为数字签名信息，对第二待认证用户的VP进行验证，验证通过后保存VP并将其与第二待认证用户相关联。这样，第一边缘服务器在收到第二待认证用户的VP后可以进一步进行验证，以保障业务的安全性。

分布式用户身份识别系统还包括至少一个虚拟机，虚拟机关联于其对应的目标服务器，目标服务器至少包括第一边缘服务器；该虚拟机，用于将其目标服务器上的智能合约上传至区块链网络。

本实施例将由多个边缘服务器形成的MESH网络，与由虚拟机形成的区块链网络相结合，实现用户身份识别功能。基于区块链网络的去中心化、不可篡改性、共识信任机制、开放性、跨平台等特点，分布式用户身份识别系统可以实现更为高效、可靠、稳定的用户身份识别服务。

实际应用中，第一边缘服务器与虚拟机的逻辑对应关系可以灵活配置。图2所示为从一个第一边缘服务器角度看的分布式用户身份识别系统架构，在该架构下，一个边缘服务器同时对应于三个虚拟机，也即三个虚拟机同时为同一边缘服务器提供数据计算、数据传输和数据存储等服务。在另一实施方式中，一个虚拟机同时对应于三个边缘服务器，也即该虚拟机同时为三个用户身份识别设备提供数据计算、数据传输和数据存储等服务。需要指出的是，图2中eKYC前端指的是第一边缘服务器的前端，并非第一注册用户进行首次KYC的组织。

需要注意的是，图2只用于描述边缘服务器与虚拟机之间的逻辑关系。根据虚拟机的物理位置，虚拟机与其对应的边缘服务器具有多种部署方式：

第一种，边缘服务器位于其所属的用户身份识别设备里，与该边缘服务器对应的虚拟机独立存在于系统中的其他服务器里，不在对应的用户身份识别设备里。此时，多个用户身份识别设备构成了MESH网络，多个虚拟机所在的其他服务器构成了区块链网络。这种方案的好处是MESH网络和区块链网络相互独立，隔离度大，各个模块出了问题可以独立维修。

第二种，一个边缘服务器和一个虚拟机同时位于所对应的用户身份识别设备里(例如在边缘服务器中安装一个虚拟机)。此时，多个用户身份识别设备同时构成了MESH网络和区块链网络。这种方案的好处是可以充分利用边缘服务器的算力，节约成本。

第二种，一个边缘服务器和至少两个虚拟机同时位于所对应的用户身份识别设备里(例如在边缘服务器中安装至少两个虚拟机)。此时，多个用户身份识别设备同时构成了MESH网络和区块链网络。这种方案的好处是可以充分利用边缘服务器的算力，进一步保证了区块链系统的安全性。

继续参阅图2，在传统方案中，智能合约中涉及的企业和个人e-KYC的数据存储放在云端，然而目前企业/个人的e-KYC数据量通常为20-100M，随着数据增大，中心化存储成本和privacy隐患日益增大。因此，本发明实施例中将数据存储放在边缘服务器，尤其是个人e-KYC数据，可以写入小区的边缘服务器(示例性的，计划每个市民5G的存储空间)，这样可以有效降低存储成本，同时降低privacy隐患。

第一用户身份识别设备中，第一数据存储单元，还用于存储第一边缘服务器对应区域内各第一注册用户上载的用于进行KYC的e-KYC数据(如手机号码、身份证照片、人脸识别信息、录制视频等)。第一认证响应单元，还用于在接收到第二边缘服务器的认证数据查询请求时，从第一数据存储单元获取相应注册用户的e-KYC数据并发送给第二边缘服务器。本发明实施例中，由于对KYC服务相关的e-KYC数据采用了分布式存储方式，与传统的集中存储方式相比，并非所有数据都在商家手里，而是分散在各个用户身份识别设备端，各个用户身份识别设备的拥有者可以利用其存储的数据和服务进行各种应用以产生收益，还可以进一步将其收益至少部分返还给用户或合作商户，以提供激励，从而为用户身份识别设备的拥有者、用户或合作商户等创造价值。

可以理解的是，为了实现准确寻址，第一边缘服务器还包括第一域名注册单元，用于接收第一边缘服务器对应区域内各第一注册用户发起的域名注册请求，根据域名注册请求进行域名注册操作；其中，第一注册用户可以为个人、组织或政府机构等各种实体。第一数据存储单元，还用于存储域名与IP地址的映射关系信息，以及第一边缘服务器对应区域内各用户的用户相关数据，用户相关数据包括域名注册信息。

基于此，第一认证请求单元，在确定需要进行KYC的第二待认证用户时，根据域名与IP地址的映射关系信息对第二待认证用户对应智能合约中的域名进行解析，并根据解析结果向域名对应的第二边缘服务器发送相应的凭证私钥解锁请求。

进一步的，为便于快速寻址，上述的第一域名注册单元，还用于定义域名格式协议，在域名格式协议下注册的域名可以包括：索引号、用户名、国家或区域、城市和/或居住小区。对于该形式的域名，可以从后向前进行解析，快速准确的定位到对应的边缘服务器。

示例性的，MaaS域名格式类似于mass://mind33762/peter/HKUST/NT/HK这样的形式(可以是“/”类似于文件系统的directory，也可以是“."类似于URL的地址格式，不对具体实施做限制，重点是可以通过解析得到后续信息)，其中的HK表示国家、NT表示地区、HKUST表示居住小区、peter表示用户名、mind33762表示索引号，该域名形式类似于邮编，可以标识出国家、城市、地区等信息。

域名格式中，索引号对应用户名的一个去中心化身份标识DID，域名和对应IP地址可以按照DDNS来管理。基于位置的DID/DDNS：DID，即Decentralized Identifier，是一种分布式身份识别协议，主要用于Web3环境中的去中心化身份识别。DDNS，即Dynamic DomainName System，是一种动态管理域名系统协议，用于管理动态IP地址和对应的域名。去中心化身份标识由个人发行、持有和控制。以太坊账户就是去中心化身份标识的一个示例。你可以根据需要创建任意数量的账户，无需任何人的许可，也无需将它们存储在一个中心注册系统中。去中心化身份标识存储在分布式账本(区块链)或对等网络上。这使得去中心化身份标识DID具有全局唯一性、可解析性、高可用性，并可加密验证。去中心化身份标识可与不同的实体相关联，包括个人、组织或政府机构。前面mind33762对应的就是一个DID(或者说一个以太坊账户)。

基于同样的发明构思，请参阅图3，本发明实施例还提供了一种适用于上述分布式用户身份识别系统的分布式用户身份识别方法，包括步骤：

S101、第一边缘服务器对应区域内的各第一注册用户，在完成通过KYC后，分别生成对应的智能合约，并将智能合约的对应数据(包括启动智能合约所需要的数据以及执行该智能合约时所生成的数据)存储至本地的第一数据存储单元以及上传至区块链网络，智能合约中存储有第一注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；各第一注册用户中包括第一待认证用户。

本步骤中，第一注册用户完成首次KYC的过程具体可包括：

第一注册用户在系统中通过前端找到任意一个可以进行KYC的组织，例如网上银行；

第一注册用户在该组织的KYC模块中点击认证按钮，加密KYC所需的个人资料并上载；

该组织下载解密的文件进行尽职调查，如果文件被拒绝，第一注册用户需要重新启动KYC流程，如果文件被批准，相关文件的Hash值和VC被发给第一注册用户。

智能合约在区块链上的地址对应web3.0的地址。这个地址前缀可以是固定的，例如对于Peter和Alice,相关KYC的智能合约对应的地址可以分别是mass://mind12345/peter/HKUST/NT/HK、mass://mind12345/alice/HKU/HI/HK。前缀mind12345中的mind12代表KYC的智能合约，345代表KYC智能合约编号。这个规定只是一个例子，具体部署不受这个限制。例如，也可以是用mind 123代表KYC的智能合约，45是智能合约编号。

S102、如图4所示，第二边缘服务器确定需要进行KYC的第一待认证用户，查询第一待认证用户的智能合约中是否有满足要求的VC(如，是否有对应的字段等)，若有则显示认证的内容，生成相应的凭证私钥解锁请求，并将凭证私钥解锁请求发送至第一待认证用户的域名所对应的第一边缘服务器。

通常，第二边缘服务器会在接收到对应区域内商家用户发送的针对第一待认证用户的认证请求消息时，根据该认证请求消息得以确定需要进行KYC的第一待认证用户。

而商家用户发送认证请求消息的方法有三种：

第一种，如图4所示，由第一待认证用户主动发起认证：商家在接收到第一待认证用户的认证请求时，商家用户生成认证请求消息并将其发送至第二边缘服务器；

第二种，由商家主动一对一发起认证：在根据业务需求确定第一待认证用户后，商家用户生成认证请求消息并将其发送至第二边缘服务器。

第三种，由商家主动一对多发起认证：商家用户在系统内发送加密的广播信息以发起认证，包括第一认证用户在内的各授权用户分别利用解密密钥对广播信息进行正确解密；在接收到第一待认证用户的认证请求时，商家用户生成认证请求消息并将其发送至第二边缘服务器。

需要说明的是，广播加密指广播中心对发送的广播信息进行加密，使得授权用户能够获得解密密钥对广播信息进行正确解密，而非授权用户无法获取解密密钥，即使截获广播信息也无法获得正确信息。

S103、第一边缘服务器在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向第一待认证用户发送凭证私钥解锁请求，第一待认证用户在确认信息无误后解锁私钥并使用私钥签名生成VP，然将VP发送给第一边缘服务器，第一边缘服务器收到VP后回传至第二边缘服务器。

其中，VP可以二维码或者直接回传第二边缘服务器的形式，发送到第二边缘服务器。VP中可以包含VC中部分或全部信息。

S104、第二边缘服务器收到VP后，验证VP签名是否无误，若满足验证的要求，则显示验证通过，将VP保存并关联用户。

基于相同构思，本发明实施例提供了一种计算机可读存储介质，存储介质中存储有至少一条指令，指令由处理器加载并执行以实现本发明实施例提供的去中心化的域名解析方法。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (18)

1.一种第一用户身份识别设备，其特征在于，包括第一边缘服务器；

所述第一边缘服务器，包括：

第一智能合约生成单元，用于为第一边缘服务器对应区域内已通过用户身份认证KYC的各第一注册用户分别生成对应的智能合约，所述智能合约中存储有第一注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；各所述第一注册用户中包括第一待认证用户；

第一数据存储单元，用于存储第一边缘服务器对应区域内各第一注册用户启动所述智能合约时所需要的数据及所述智能合约执行指令时所生成的数据；

第一认证响应单元，用于在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向所述第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第二边缘服务器。

2.根据权利要求1所述的第一用户身份识别设备，其特征在于，所述第一边缘服务器还包括：

第一认证请求单元，用于在接收对应区域内商家用户发送的认证请求消息时，根据所述认证请求消息确定需要进行KYC的第二待认证用户，查询第二待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将凭证私钥解锁请求发送至第二待认证用户的域名所对应的第二边缘服务器；还用于接收第二边缘服务器返回的由第二待认证用户针对凭证私钥解锁请求作出的VP。

3.根据权利要求2所述的第一用户身份识别设备，其特征在于，

所述第一智能合约生成单元，还用于向所述智能合约的扩展区域内写入第一注册用户的DID/DDND、商号、数据资产寻址信息和/或个人钱包的交易或活动数据；

所述第一认证请求单元，还用于在收到第二待认证用户的VP后，将对应智能合约的扩展区域内的至少一项存储信息作为数字签名信息，对第二待认证用户的VP进行验证，验证通过后保存所述VP并将其与所述第二待认证用户相关联。

4.根据权利要求1所述的第一用户身份识别设备，其特征在于，所述第一边缘服务器还包括至少一个虚拟机，所述虚拟机关联于其对应的目标服务器，所述目标服务器至少包括第一边缘服务器；

所述虚拟机，用于将其目标服务器上的智能合约上传至区块链网络。

5.根据权利要求1所述的第一用户身份识别设备，其特征在于，所述第一数据存储单元，还用于存储第一边缘服务器对应区域内各第一注册用户上载的用于进行KYC的e-KYC数据。

6.根据权利要求5所述的第一用户身份识别设备，其特征在于，所述第一认证响应单元，还用于在接收到第二边缘服务器的认证数据查询请求时，从所述第一数据存储单元获取相应注册用户的e-KYC数据并发送给第二边缘服务器。

7.一种分布式用户身份识别方法，应用于权利要求1所述的第一用户身份识别设备，其特征在于，所述用户身份识别方法包括：

为第一边缘服务器对应区域内已通过KYC的各第一注册用户分别生成对应的智能合约，将启动所述智能合约时所需要的数据及所述智能合约执行指令时所生成的数据存储至本地，以及将所述智能合约上传至区块链网络，所述智能合约中存储有第一注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；

在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第二边缘服务器。

8.根据权利要求7所述的分布式用户身份识别方法，其特征在于，所述分布式用户身份识别方法还包括：

在接收到第一边缘服务器对应区域内商家用户发送的认证请求消息时，根据所述认证请求消息确定需要进行KYC的第二待认证用户，查询第二待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将所述凭证私钥解锁请求发送至第二待认证用户的域名所对应的第二边缘服务器；

接收第二边缘服务器返回的由第二待认证用户根据凭证私钥解锁请求作出的VP。

9.根据权利要求8所述的分布式用户身份识别方法，其特征在于，所述分布式用户身份识别方法还包括：

向第一边缘服务器对应区域内各第一注册用户的智能合约的扩展区域内写入用户DID/DDND、商号、数据资产寻址信息和/或个人钱包的交易或活动数据；

在接收到第二边缘服务器返回的由第二待认证用户根据凭证私钥解锁请求作出的VP后，将对应所述智能合约的扩展区域内的至少一项存储信息作为数字签名信息，对第二待认证用户的VP进行验证，验证通过后保存所述VP并将其与所述第二待认证用户相关联。

10.根据权利要求7所述的分布式用户身份识别方法，其特征在于，所述用户身份识别方法还包括：

在本地的第一数据存储单元，存储第一边缘服务器对应区域内各第一注册用户上载的用于进行KYC的e-KYC数据；

在接收到第二边缘服务器的认证数据查询请求时，从所述第一数据存储单元获取相应第一注册用户的e-KYC数据并发送给第二边缘服务器。

11.根据权利要求8所述的分布式用户身份识别方法，其特征在于，商家用户发送认证请求消息的方法包括：

在接收到第二待认证用户的认证请求时，商家用户生成所述认证请求消息并将其发送至第一边缘服务器；

或者，在根据业务需求确定第二待认证用户后，商家用户生成所述认证请求消息并将其发送至第一边缘服务器；

或者，商家用户在系统内发送加密的广播信息以发起认证，包括第二认证用户在内的各授权用户分别利用解密密钥对广播信息进行正确解密；在接收到第二待认证用户的认证请求时，商家用户生成所述认证请求消息并将其发送至第一边缘服务器。

12.一种第二用户身份识别设备，与权利要求1所述的第一用户身份识别设备通信连接，其特征在于，包括第二边缘服务器；

所述第二边缘服务器，包括：

第二认证请求单元，用于确定需要进行KYC的第一待认证用户，查询第一待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将所述凭证私钥解锁请求发送至第一待认证用户的域名所对应的第一边缘服务器；还用于接收第一边缘服务器返回的由第一待认证用户根据凭证私钥解锁请求作出的VP。

13.根据权利要求12所述的第二用户身份识别设备，其特征在于，所述第二边缘服务器，还包括：

第二智能合约生成单元，用于为第二边缘服务器对应区域内已通过用户身份认证KYC的各第二注册用户分别生成对应的智能合约，所述智能合约中存储有第二注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；各所述第二注册用户中包括第二待认证用户；

第二数据存储单元，用于存储第二边缘服务器对应区域内各第二注册用户启动所述智能合约时所需要的数据及所述智能合约执行指令时所生成的数据；

第二认证响应单元，用于在接收到第一边缘服务器针对第二待认证用户发送的凭证私钥解锁请求时，向第二待认证用户发送凭证私钥解锁请求，并在接收到第二待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第一边缘服务器。

14.一种分布式用户身份识别系统，其特征在于，包括：多个如权利要求1至6任一项所述的第一用户身份识别设备，以及多个权利要求12或13所述的第二用户身份识别设备；

第一用户身份识别设备与第二用户身份识别设备之间通信连接。

15.一种分布式用户身份识别方法，应用于权利要求14所述的分布式用户身份识别系统，其特征在于，所述分布式用户身份识别方法包括：

所述第一边缘服务器对应区域内的各第一注册用户，在完成通过KYC后，分别生成对应的智能合约，并将所述智能合约上传至区块链网络，所述智能合约中存储有第一注册用户的域名以及通过KYC后获得的可验证凭证VC、公钥和时间戳；各所述第一注册用户中包括第一待认证用户；

所述第二边缘服务器确定需要进行KYC的第一待认证用户，查询第一待认证用户的智能合约中是否有满足要求的VC，若有则生成相应的凭证私钥解锁请求，并将所述凭证私钥解锁请求发送至第一待认证用户的域名所对应的第一边缘服务器；

所述第一边缘服务器在接收到第二边缘服务器针对第一待认证用户发送的凭证私钥解锁请求时，向所述第一待认证用户发送凭证私钥解锁请求，并在接收到第一待认证用户根据凭证私钥解锁请求作出的可验证表达VP后回传至第二边缘服务器。

16.根据权利要求15所述的分布式用户身份识别方法，其特征在于，所述方法还包括：

所述第一边缘服务器向所述智能合约的扩展区域内写入第一注册用户的DID/DDND、商号、数据资产寻址信息和/或个人钱包的交易或活动数据；

所述第二边缘服务器在接收到第一待认证用户的VP后，将对应智能合约的扩展区域内的至少一项存储信息作为数字签名信息，对第一待认证用户的VP进行验证，验证通过后保存所述VP并将其与所述第一待认证用户相关联。

17.一种用户身份识别设备，其特征在于，包括处理器、存储器和通信接口，所述存储器用于存储计算机执行指令，所述用户身份识别设备在运行时，所述处理器运行所述存储器中的计算机执行指令以执行如权利要求7至10中任一项中所述的分布式用户身份识别方法。

18.一种计算机可读存储介质，其特征在于，包括计算机程序，当该计算机程序在计算机上运行时，使得该计算机执行如权利要求7至11、15-16中任一项所述的分布式用户身份识别方法。