WO2022016842A1

WO2022016842A1 - 去中心化身份系统中隐藏用户信息的方法和计算机可读介质

Info

Publication number: WO2022016842A1
Application number: PCT/CN2021/073096
Authority: WO
Inventors: 杜晓楠
Original assignee: 杜晓楠
Priority date: 2020-07-21
Filing date: 2021-01-21
Publication date: 2022-01-27

Abstract

本发明涉及一种去中心化身份系统中隐藏用户信息的方法。可验证证书颁发机构基于自身密钥向身份注册机构进行注册。身份持有者基于自身密钥和注册信息向所述可验证证书颁发机构进行注册。所述身份持有者基于所述验证证书机构的要求从所述可验证证书颁发机构获取可验证证书。所述身份持有者采用所述持有者私钥对所述可验证证书进行签名并提交到所述验证证书机构。所述验证证书机构对所述可验证证书进行验证。所述用户信息包括用户真实公钥、用户具体年龄和/或用户资产额度。所述可验证证书中包含使用多个身份持有者的持有者公钥生成的环签名、年龄范围和/或被加密过的资产额度。在验证过程中隐藏用户信息能提高交易的安全性，保障系统的安全性。

Description

去中心化身份系统中隐藏用户信息的方法和计算机可读介质

技术领域

本发明涉及区块链领域，更具体地说，涉及一种去中心化身份系统中隐藏用户信息的方法和计算机可读介质。

背景技术

传统的数字认证是中心化的，比如互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers，ICANN)管理的域名与IP地址分配，以及公钥基础设施(Public Key Infrastructure，PKI)系统中的证书授权(Certificate Authority，CA)机构管理的数字证书。中心化身份系统的本质就是，中央集权化的权威机构掌握着身份数据，因为围绕数据进行的认证、授权等也都由中心化的机构来决定。身份不是由用户自己控制的。

为了解决这个问题，许多网站自己联合起来推出了联盟身份(这个概念是首先由微软在1999年提出的)。在联盟身份体系下，用户的在线身份有了一定的可移植性。如今的不少网站注册都可以支持第三方登录，比如微信、QQ、新浪微博等。

身份系统的去中心化依然成为一个大趋势，著名的国际组织w3c和dif也都推出了其去中心化身份系统标准。在去中心化系统中，用户信息，例如资产额度、具体年龄甚至真实公钥，将被大量使用，因此容易被黑客盗取，从而导致系统的安全性问题。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种去中心化身份系统中隐藏用户信息的方法和计算机可读介质，其能够在验证过程中，隐藏用户信息，从而提高交易的安全性，进而保障系统的安全性。

本发明解决其技术问题采用的技术方案是，构造一种去中心化身份系统中隐藏用户信息的方法，包括：

S1、可验证证书颁发机构基于自身密钥向身份注册机构进行注册；

S2、身份持有者基于自身密钥和注册信息向所述可验证证书颁发机构进行注册；

S3、所述身份持有者基于所述验证证书机构的要求从所述可验证证书颁发机构获取可验证证书；

S4、所述身份持有者采用所述持有者私钥对所述可验证证书进行签名并提交到所述验证证书机构；

S5、所述验证证书机构对所述可验证证书进行验证。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述步骤S1进一步包括：

S11、所述可验证证书颁发机构生成机构私钥并基于所述机构私钥生成机构公钥；

S12、所述可验证证书颁发机构生成注册请求，并采用所述机构私钥签名所述注册请求，并将签名注册请求发送到所述身份注册机构；

S13、所述身份注册机构验证所述签名注册请求，并在验证通过后生成所述可验证证书颁发机构的去中心化身份标识符和去中心化身份标识符文档。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述步骤S2进一步包括：

S21、所述身份持有者生成持有者私钥并基于所述持有者私钥生成持有者公钥；

S22、所述身份持有者向所述可验证证书颁发机构提交注册请求，并采用所述持有者私钥签名所述注册请求，并将签名注册请求发送到所述可验证证书颁发机构；

S23、所述可验证证书颁发机构验签所述签名注册请求，并在验签通过后验证所述身份持有者的注册信息，并在验证通过之后继续向所述身份注册机构发送验证请求，所述验证请求中包含所述持有者公钥；

S24、所述身份注册机构根据所述持有者公钥生成所述身份持有者的去中心化身份标识符和去中心化身份标识符文档，并将其返回给所述可验证证书颁发机构；

S25、所述可验证证书颁发机构将所述身份持有者的去中心化身份标识符和去中心化身份标识符文档返回给所述身份持有者。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，在所述步骤S21中，所述身份持有者选取椭圆曲线上面的一个随机标量作为持有者密钥，并将所述持有者密钥与椭圆曲线上的基点做椭圆曲线乘法得到所述持有者公钥。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述用户信息包括用户真实公钥，所述可验证证书中包含使用多个身份持有者的持有者公钥生成的环签名。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述步骤S3进一步包括：

S31、所述身份持有者从所述验证证书机构获得可验证证书信息，并基于所述可验证证书信息从所述可验证证书颁发机构获取多个其他身份持有者的去中心化身份标识符和持有者公钥；

S32、所述身份持有者使用多个其他身份持有者的持有者公钥生成环签名，并从所述可验证证书颁发机构获取所述可验证证书。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述步骤S31进一步包括：

S311、所述身份持有者向所述验证证书机构发送业务开始请求，所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名；

S312、所述验证证书机构基于所述请求返回可验证证书信息；

S313、所述身份持有者根据所述可验证证书信息向所述可验证证书颁发机构发送信息返回请求，并使用所述持有者私钥对所述信息返回请求加签，所述信息返回请求包括请求所述可验证证书颁发机构返回多个其他身份持有者的去中心化身份标识符和持有者公钥；

S34、所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并采用所述持有者公钥对所述信息返回请求进行验签，如果验签通过执行步骤S35，否则拒绝所述信息返回请求；

S35、所述可验证证书颁发机构返回多个其他身份持有者的去中心化身份标识符和持有者公钥给所述身份持有者。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述步骤S32进一步包括：

S321、所述身份持有者使用多个其他身份持有者的持有者公钥生成环签名，并向所述可验证证书颁发机构发送证书颁发请求，所述证书颁发请求包括所述环签名、多个其他身份持有者的持有者公钥、多个其他身份持有者的去中心化身份标识符，以及所述身份持有者对证书颁发请求的签名；

S322、所述可验证证书颁发机构分别校验所述身份持有者对证书颁发请求的签名和所述环签名，如果校验通过则向所述身份持有者颁发所述可验证证书，否则拒绝颁发所述可验证证书。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述可验证证书包括：多个身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、多个身份持有者的公钥、所述环签名、所述可验证证书颁发机构对所述可验证证书的签名。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述多个身份持有者的去中心化身份标识符和多个身份持有者的公钥的排序是独立且非一一对应的。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述步骤S5进一步包括：

S51、所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名以获得第一验证结果；

S52、所述验证证书机构根据所述多个身份持有者的公钥验证所述环签名以获得第二验证结果；

S53、基于所述第一验证结果、所述第二验证结果以及需验证的内容的验证结果，判定验证是否通过。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述用户信息包括用户具体年龄，所述可验证证书中包含所述可验证证书颁发机构提供的年龄范围。

S3A、所述身份持有者向所述验证证书机构发送业务开始请求，所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名；

S3B、所述验证证书机构基于所述请求返回可验证证书信息，所述可验证证书信息包括需要证明的年龄范围；

S3C、所述身份持有者向所述可验证证书颁发机构发送证书颁发请求，所述证书颁发请求包括所述身份持有者的所述去中心化身份标识符、需要认证的内容包括年龄，需要证明的年龄范围、以及所述身份持有者对证书颁发请求的签名；

S3D、所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验证，如果验证通过则执行步骤S3E，否则拒绝颁发证书；

S3E、判断所述身份持有者在所述可验证证书颁发机构注册的年龄是否位于所述需要证明的年龄范围内，如果是则颁发所述可验证证书给所述身份持有者，否则拒绝颁发证书。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述可验证证书包括：所述身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、所述身份持有者对所述可验证证书的签名、所述可验证证书颁发机构对所述可验证证书的签名，所述可验证证书颁发机构提供的年龄范围。

S5A、所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名以获得第一验证结果；

S5B、所述验证证书机构根据所述身份持有者的去中心化身份标识符向所述身份注册机构请求所述持有者公钥，并使用所述持有者公钥验证所述身份持有者对所述可验证证书的签名以获得第二验证结果；

S5C、基于所述第一验证结果、所述第二验证结果以及需验证的内容的验证结果，判定验证是否通过。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，所述用户信息包括用户资产额度，所述可验证证书中包含被加密过的资产额度。

S3b、所述验证证书机构基于所述请求返回可验证证书信息，所述可验证证书信息包括提供资产额度的要求；

S3c、所述身份持有者向所述可验证证书颁发机构发送财产查询请求，所述财产查询请求包括所述身份持有者的所述去中心化身份标识符、资产额度查询、以及所述身份持有者对证书颁发请求的签名；

S3d、所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验证，并基于验证结果向所述身份持有者返回资产额度；

S3e、所述身份持有者使用所述持有者私钥对所述资产额度进行加密，并将加密后的资产额度提交到所述可验证证书颁发机构并要求所述可验证证书颁发机构针对所述加密后的资产额度颁发可验证证书；

S3f、所述可验证证书颁发机构将所述加密后的资产额度与所述身份持有者的资产额度进行比较，并基于比较结果颁发所述可验证证书给所述身份持有者。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，在所述步骤S3e中，所述身份持有者使用所述持有者私钥对所述资产额度生成佩德森承诺，并将所述佩德森承诺提交到所述可验证证书颁发机构并要求所述可验证证书颁发机构针对所述佩德森承诺颁发可验证证书。

在本发明所述的去中心化身份系统中隐藏用户信息的方法中，在所述步骤S3中，所述可验证证书包括：所述身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、所述身份持有者对所述可验证证书的签名、所述可验证证书颁发机构对所述可验证证书的签名，被加密的资产额度，被加密的资产额度的范围证明。

本发明解决其技术问题采用的另一技术方案是，构造一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的去中心化身份系统中隐藏用户信息的方法。

实施本发明的去中心化身份系统中隐藏用户信息的方法和计算机可读存储介质，能够在验证过程中，隐藏用户信息，从而提高交易的安全性，进而保障系统的安全性。进一步地，不需要透露用户的真实公钥就可以验证用户的真实公钥，能够在验证过程中，隐藏用户真实公钥，从而提高交易的安全性，进而保障系统的安全性。不需要透露用户的具体年龄即可以筛选出年龄满足某个条件的身份持有者(即用户)，因此在用户具体年龄验证过程中，隐藏用户具体年龄，从而保证用户隐私，提高交易的安全性。不需要透露用户的具体资产金额即可以筛选出资产额度满足某个条件的身份持有者(即用户)，因此在用户的资产额度验证过程中，隐藏用户的资产额度，从而保证用户隐私，提高交易的安全性。进一步的可以录入用户的虹膜或者指纹来生成作为随机种子来生成身份持有者私钥，从而可以使得身份持有者在使用身份信息的时候可以无接触地使用身份信息和使用区块链上的资产。进一步地，本发明还明确定义了身份持有者、可验证证书颁发机构的注册过程和验证过程，从而提供了安全有效的构建去中心化区块链身份的方法。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第一优选实施例的流程图；

图2是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第二优选实施例的可验证证书颁发机构的注册流程示意图；

图3是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第二优选实施例的身份持有者的注册流程示意图；

图4是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第二优选实施例的可验证证书的验证流程示意图；

图5是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第一优选实施例的流程图；

图6是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第二优选实施例的可验证证书颁发机构的注册流程示意图；

图7是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第二优选实施例的身份持有者的注册流程示意图；

图8是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第二优选实施例的可验证证书的验证流程示意图；

图9是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第一优选实施例的流程图；

图10是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第二优选实施例的可验证证书颁发机构的注册流程示意图；

图11是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第二优选实施例的身份持有者的注册流程示意图；

图12是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第二优选实施例的可验证证书的验证流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明涉及一种去中心化身份系统中隐藏用户信息的方法。可验证证书颁发机构基于自身密钥向身份注册机构进行注册。身份持有者基于自身密钥和注册信息向所述可验证证书颁发机构进行注册。所述身份持有者基于所述验证证书机构的要求从所述可验证证书颁发机构获取可验证证书。所述身份持有者采用所述持有者私钥对所述可验证证书进行签名并提交到所述验证证书机构。所述验证证书机构对所述可验证证书进行验证。所述用户信息包括用户真实公钥、用户具体年龄和/或用户资产额度。所述可验证证书中包含使用多个身份持有者的持有者公钥生成的环签名、所述可验证证书颁发机构提供的年龄范围和/或被加密过的资产额度。实施本发明的去中心化身份系统中隐藏用户信息的方法，能够在验证过程中，隐藏用户信息，从而提高交易的安全性，进而保障系统的安全性。进一步地，不需要透露用户的真实公钥就可以验证用户的真实公钥，能够在验证过程中，隐藏用户真实公钥，不需要透露用户的具体年龄即可以筛选出年龄满足某个条件的身份持有者(即用户)，因此在用户具体年龄验证过程中，隐藏用户具体年龄，不需要透露用户的具体资产金额即可以筛选出资产额度满足某个条件的身份持有者(即用户)，因此在用户的资产额度验证过程中，隐藏用户的资产额度，从而保证用户隐私，提高交易的安全性。

图1是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第一优选实施例的流程图。如图1所示，在步骤S1中，可验证证书颁发机构基于自身密钥向身份注册机构进行注册，从而使得其可以获得颁发可验证证书的资格。例如，所述可验证证书颁发机构生成机构私钥并基于所述机构私钥生成机构公钥。例如可以采用椭圆曲线密钥体系获得机构私钥和机构公钥。当然，也可以采用本领域中已知的任何密钥生成算法。述可验证证书颁发机构生成注册请求，并采用所述机构私钥签名所述注册请求，并将签名注册请求发送到所述身份注册机构。所述身份注册机构验证所述签名注册请求，并在验证通过后生成所述可验证证书颁发机构的去中心化身份标识符和去中心化身份标识符文档。

在步骤S2中，身份持有者基于自身密钥和注册信息向所述可验证证书颁发机构进行注册。在本发明的一个优选实施例中，所述身份持有者生成持有者私钥并基于所述持有者私钥生成持有者公钥。例如，扫描所述身份持有者的虹膜以生成虹膜码；对所述虹膜码做哈希，使用获得的哈希值作为随机种子生成所述持有者私钥；然后基于所述持有者私钥生成所述持有者公钥。本领域技术人员知悉，虹膜码可以采用本领域中任何的虹膜采集器生成。针对获得的虹膜码，可以采用哈希函数，将其进行计算，从而获得具有唯一固定长度的字符串，并将其作为随机种子生成所述持有者私钥。在此，可以采用任何已知方法生成持有者私钥。可以采用任何已知的方法生成所述持有者公钥。在本发明的优选实施例中，所述身份持有者选取椭圆曲线上面的一个随机标量作为持有者密钥，并将所述持有者密钥与椭圆曲线上的基点做椭圆曲线乘法得到所述持有者公钥。例如可以采用椭圆曲线密钥体系获取所述持有者公钥，例如R＝r*G。其中，G表示椭圆曲线算法中的私钥公钥换算因子。因此可以从持有者私钥r推导出持有者公钥R，但是无法从持有者公钥R推导出持有者私钥r，因此是不可逆的。又例如，可以扫描所述身份持有者的至少一个指纹以生成指纹码；对所述指纹码做哈希，使用获得的哈希值作为随机种子生成所述持有者私钥；然后基于所述持有者私钥生成所述持有者公钥。又例如，可以扫描所述身份持有者的多个指纹以生成多个指纹码；对每个指纹码做哈希，使用获得的每个哈希值分部作为随机种子生成多个所述持有者私钥；然后基于各个所述持有者私钥生成多个所述持有者公钥。

随后，所述身份持有者向所述可验证证书颁发机构提交注册请求，并采用所述持有者私钥签名所述注册请求，并将签名注册请求发送到所述可验证证书颁发机构。所述可验证证书颁发机构验签所述签名注册请求，并在验签通过后验证所述身份持有者的注册信息，并在验证通过之后继续向所述身份注册机构发送验证请求，所述验证请求中包含所述持有者公钥。该注册信息可以是所述身份持有者的某个属性，例如：年龄，资产金额，身体健康状况等。

所述身份注册机构针对所述可验证证书颁发机构的请求，根据所述持有者公钥生成所述身份持有者的去中心化身份标识符和去中心化身份标识符文档，并将其返回给所述可验证证书颁发机构。随后，所述可验证证书颁发机构将所述身份持有者的去中心化身份标识符和去中心化身份标识符文档返回给所述身份持有者。

在所述步骤S3中，所述身份持有者基于所述验证证书机构的要求从所述可验证证书颁发机构获取可验证证书，所述可验证证书中包含使用多个身份持有者的持有者公钥生成的环签名。在本发明的优选实施例中，所述身份持有者从所述验证证书机构获得可验证证书信息，并基于所述可验证证书信息从所述可验证证书颁发机构获取多个其他身份持有者的去中心化身份标识符和持有者公钥。随后，所述身份持有者使用多个其他身份持有者的持有者公钥生成环签名，并从所述可验证证书颁发机构获取所述可验证证书。

在本发明的进一步的优选实施例中，所述身份持有者向所述验证证书机构发送业务开始请求。所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名。所述验证证书机构基于所述请求返回可验证证书信息。所述可验证证书信息包括要求所述身份持有者提交可验证证书的内容，即提交的可验证证书中需要包括多个身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、多个身份持有者的公钥、所述环签名、所述可验证证书颁发机构对所述可验证证书的签名。所述身份持有者根据所述可验证证书信息向所述可验证证书颁发机构发送信息返回请求，并使用所述持有者私钥对所述信息返回请求加签。所述信息返回请求包括请求所述可验证证书颁发机构返回多个其他身份持有者的去中心化身份标识符和持有者公钥。所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验签，如果验证不通过则拒绝所述信息返回请求。如果验证通过，所述可验证证书颁发机构返回多个其他身份持有者的去中心化身份标识符和持有者公钥给所述身份持有者。

所述身份持有者使用多个其他身份持有者的持有者公钥生成环签名，并向所述可验证证书颁发机构发送证书颁发请求。所述证书颁发请求包括所述环签名、多个其他身份持有者的持有者公钥、多个其他身份持有者的去中心化身份标识符，以及所述身份持有者对证书颁发请求的签名。所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验签，如果验证不通过则拒绝颁发证书。如果验证通过，则采用多个其他身份持有者的持有者公钥对所述环签名进行验签，如果验签通过则向所述身份持有者颁发所述可验证证书，否则拒绝颁发所述可验证证书。在本实施例中，获得的所述可验证证书包括：多个身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、多个身份持有者的公钥、所述环签名、所述可验证证书颁发机构对所述可验证证书的签名。优选的，所述多个身份持有者的去中心化身份标识符和多个身份持有者的公钥的排序是独立且非一一对应的，这样可以进一步保证本发明的方法的匿名性。

在步骤S4中，所述身份持有者采用所述持有者私钥对所述可验证证书进行签名并提交到所述验证证书机构。

在步骤S5中，所述验证证书机构对所述可验证证书进行验证。优选的，所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名，如果验证通过则进行下一步验证。所述验证证书机构根据所述身份持有者的去中心化身份标识符向所述身份注册机构请求所述多个身份持有者的公钥，并使用所述多个身份持有者的公钥验证所述环签名，如果验证通过，则进行内容验证。该内容验证所述可验证证书中的条件的验证(即例如年龄范围认证)，如符合要求则验证通过，否则验证不通过。

实施本发明的去中心化身份系统中隐藏用户真实公钥的方法，不需要透露用户的真实公钥就可以验证用户的真实公钥，能够在验证过程中，隐藏用户真实公钥，从而提高交易的安全性，进而保障系统的安全性。进一步的可以录入用户的虹膜或者指纹来生成作为随机种子来生成身份持有者私钥，从而可以使得身份持有者在使用身份信息的时候可以无接触地使用身份信息和使用区块链上的资产。进一步地，本发明还明确定义了身份持有者、可验证证书颁发机构的注册过程和验证过程，从而提供了安全有效的构建去中心化区块链身份的方法。

图2是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第二优选实施例的可验证证书颁发机构的注册流程示意图。图3是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第二优选实施例的身份持有者的注册流程示意图。图4是本发明的去中心化身份系统中隐藏用户真实公钥的方法的第二优选实施例的可验证证书的验证流程示意图。

下面结合图2-4对本发明的第二优选实施例说明如下。首先对本发明中使用到的进行术语解释如下：

去中心化身份标识符(Decentralized Identifier，简称DID)

一串作用类似于URL的字符串，其标准可以遵循w3c或者dif等标准组织制定的标准，也可以遵循多个联盟机构制定的标准。DID记录了在多个联盟机构内唯一的身份标识符，以及查找DID所需要的协议。多个联盟机构可以根据DID定位到存储了DID详细信息的实体，并向该实体请求DID的详细信息，包括公钥等。

去中心化身份标志符文档(Decentralized Identifier Document,简称DID文档)

DID文档保存了DID的详细信息，包括：DID的公钥，DID签名类型，DID认证类型，DID支持的服务类型以及支持DID服务的URL等。

私钥(Secret Key，简称SK)

用于发送消息前，加签本发明各个实体之间交互的消息的密钥，证明实体身份的真实性，该密钥隐私不可见

公钥(Public Key，简称PK)

用于验证各个实体之间交互的消息的密钥，该密钥公开

椭圆曲线(Elliptic Curve)

基于离散对数难题的非对称加密算法，满足乘法交换律，乘法结合律，加法交换律，加法结合律。选取椭圆曲线上的通用基点(base point)G，选取椭圆曲线上一个随机的标量(scalar)作为加密的私钥，通过与基点G做椭圆曲线乘法可以生成对应的公钥

哈希函数

哈希函数用于对椭圆曲线上的标量或者基点做不可逆哈希

环签名(Ring Signature)

环签名的优点是可以不经过其他用户允许，就可以使用其他用户的公钥，用其他多个用户的公钥和自己的公钥生成签名，需要验证环签名的一方需要使用多个用户的公钥来验证环签名，但是却无法知道具体签名的用户的公钥是哪个

身份持有者(Identifier Holder，简称IH)

持有唯一身份的人，身份持有者需要通过录入虹膜或者指纹来生成自己的SK和PK，例如RSA或者椭圆曲线

可验证证书(Verifiable Credentials,简称VC)

可以验证的证书，证书中包含颁发证书的机构，以及需要验证的信息，以及颁发机构对该证书的签名等信息

可验证证书发行机构(ISSUER,简称IS)

被信任的有资格颁发VC证书的机构，可以是学校，银行，律师事务所，公立医院，连锁酒店，连锁旅馆等

验证证书机构(Inspector Verifier,简称IV)

需要对IH进行身份验证的机构，例如：用人单位，信贷机构等。IV不仅可以对IH的身份进行验证，并且可以对IH的某个属性进行验证，例如：年龄，资产数，身体健康状况等；在本发明当中，IV只能根据IS的DID获取IS的公钥，无法通过IH的DID获取IH的公钥

身份注册机构(Identifier Registry,简称IR)

用于注册身份的机构，维护本发明当中所有实体的DID的数据库，如某条区块链、分布式账本。

在图2所示实施例中，首先IS向IR注册，以获取得到颁发VC的资格，其具体注册步骤如下：

①IS首先生成一个SK，然后通过SK再生成PK

②IS通过SK加签注册请求，并将注册请求提交到IR

③IR对IS的注册请求进行验证，验证通过之后生成IS的DID，以及DID文档。

在图3所示实施例中，IH向IS注册，其具体注册步骤如下：

①IH选取椭圆曲线上面的一个随机标量做为SK，然后与椭圆曲线上的基点做椭圆曲线乘法得到PK；

②IH提交注册请求到IS，IS对IH请求进行验签，并对IH的注册信息进行验证，验证包括IH的身份证号码，年龄，性别等；

③如果验证通过，则继续向IR提交验证请求，验证请求当中包含IH的公钥；

④IR根据IS的请求，针对IH的公钥生成DID和DID文档，返回给IS；

⑤IS将DID和DID文档返回给IH。

在图4所示实施例中IH使用VC向IV进行认证。IH需要进行某项业务，但是IH不想透露自己的身份，但是IV却想知道IH的DID是在IS那里注册过的，因此其具体步骤如下

①IH向IV发送业务开始请求，该业务开始请求包括:IH的DID、DID文档，以及IH对业务请求的签名；而IV返回可验证证书信息，该可验证证书信息即为需要IH提交VC的信息，VC的内容包括：多个IH的DID、颁发VC的IS的DID、使用多个IH的公钥生成的环签名以及IS对VC的签名。当然VC还可以包括其他需要的资料。

②IH携带自身DID向IS发送信息返回请求，要求IS返回多个其他IH的DID和公钥，并采用自身私钥对该信息返回请求进行加签。

③IS使用DID向IR查询，获取IH的公钥，然后使用公钥对IH的请求进行验签，如果验签通过，则返回多个IH的公钥和DID给IH，如果验签不过，则拒绝本次请求。IS返回的DID和公钥不是一一对应的，DID的排序和公钥的排序是独立的，目的是为了防止DID和公钥对应，从而进一步提高本发明的匿名性。

④IH使用其他多个IH的公钥生成环签名，然后发送VC颁发请求给IS，要求IS颁发VC，该VC颁发请求包括：环签名、其他多个IH的DID、其他多个IH的公钥、对本次请求的签名。

⑤IS收到要求VC颁发请求后，IS根据IH的DID向IR请求IH的公钥，并对IH的请求签名进行验签，并使用其他多个IH的公钥对环签名进行校验。

⑥如果IS对VC颁发请求验证不过，则拒绝颁发VC。如果验证通过，则颁发VC，颁发VC的内容包括：多个IH的DID(包括要求颁发VC的IH)、多个IH的公钥(包括要求颁发VC的IH)、IS的DID、使用多个IH的公钥生成的环签名、IS对VC的签名。其中VC的DID和公钥不是一一对应的，DID的排序和公钥的排序是独立的，目的是为了防止DID和公钥对应，从而进一步提高本发明的匿名性。

⑦IH收到VC后对VC进行签名，并将VC和签名提交到IV。

⑧IV对VC进行认证，具体过程如下：

根据VC当中IS的DID向IR请求IS的公钥，使用IS的公钥验证VC当中IS的签名；

根据VC当中的多个IH的公钥验证环签名，如果IS和环签名都验证通过，则判断VC当中的要求的其他条件是否符合要求，如符合要求则验证通过，否则验证不通过。

如果IS签名和环签名都验证通过，则判断验证通过。当然在所述VC中包含其他验证内容是，需要对其他验证内容进行验证(例如资产，身份等等)，如果验证通过，则判断验证通过。

本发明解决其技术问题采用的另一技术方案是，构造一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现所述的去中心化身份系统中隐藏用户真实公钥的方法。

图5是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第一优选实施例的流程图。如图5所示，在步骤S1中，可验证证书颁发机构基于自身密钥向身份注册机构进行注册，从而使得其可以获得颁发可验证证书的资格。例如，所述可验证证书颁发机构生成机构私钥并基于所述机构私钥生成机构公钥。例如可以采用椭圆曲线密钥体系获得机构私钥和机构公钥。当然，也可以采用本领域中已知的任何密钥生成算法。述可验证证书颁发机构生成注册请求，并采用所述机构私钥签名所述注册请求，并将签名注册请求发送到所述身份注册机构。所述身份注册机构验证所述签名注册请求，并在验证通过后生成所述可验证证书颁发机构的去中心化身份标识符和去中心化身份标识符文档。

在所述步骤S3中，所述身份持有者基于所述验证证书机构的要求从所述可验证证书颁发机构获取可验证证书，所述可验证证书中包含被加密过的资产额度。在本发明的优选实施例中，所述身份持有者向所述验证证书机构发送业务开始请求，所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名。所述验证证书机构基于所述请求返回可验证证书信息，所述可验证证书信息包括提供资产额度的要求。然后所述身份持有者向所述可验证证书颁发机构发送财产查询请求，所述财产查询请求包括所述身份持有者的所述去中心化身份标识符、资产额度查询、以及所述身份持有者对证书颁发请求的签名。所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验证，并基于验证结果向所述身份持有者返回资产额度。所述身份持有者使用所述持有者私钥对所述资产额度进行加密，并将加密后的资产额度提交到所述可验证证书颁发机构并要求所述可验证证书颁发机构针对所述加密后的资产额度颁发可验证证书。所述可验证证书颁发机构将所述加密后的资产额度与所述身份持有者的资产额度进行比较，如果结果相等，则颁发所述可验证证书给所述身份持有者。如果不相等，则不颁发所述可验证证书给所述身份持有者。优选的，所述可验证证书包括：所述身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、所述身份持有者对所述可验证证书的签名、所述可验证证书颁发机构对所述可验证证书的签名，被加密的资产额度，被加密的资产额度的范围证明。在本发明的优选实施例中，所述身份持有者使用所述持有者私钥对所述资产额度生成佩德森承诺，并将所述佩德森承诺提交到所述可验证证书颁发机构并要求所述可验证证书颁发机构针对所述佩德森承诺颁发可验证证书。

在步骤S5中，所述验证证书机构对所述可验证证书进行验证。优选的，所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名，如果验证通过则进行下一步验证。所述验证证书机构根据所述身份持有者的去中心化身份标识符向所述身份注册机构请求所述持有者公钥，并使用所述持有者公钥验证所述身份持有者对所述可验证证书的签名，如果验证通过，则说明验证完全通过。当然，在本发明的进一步的实施例中，还可以对VC中包含的其他内容进一步进行内容验证，该内容验证可以是例如年龄、性别等相关信息的验证，如符合要求则验证通过，否则验证不通过。

实施本发明的去中心化身份系统中隐藏用户的资产额度的方法，不需要透露用户的具体资产金额即可以筛选出资产额度满足某个条件的身份持有者(即用户)，因此在用户的资产额度验证过程中，隐藏用户的资产额度，从而保证用户隐私，提高交易的安全性。进一步的可以录入用户的虹膜或者指纹来生成作为随机种子来生成身份持有者私钥，从而可以使得身份持有者在使用身份信息的时候可以无接触地使用身份信息和使用区块链上的资产。进一步地，本发明还明确定义了身份持有者、可验证证书颁发机构的注册过程和验证过程，从而提供了安全有效的构建去中心化区块链身份的方法。再进一步地本发明还可以用于比较多个用户的资产额度，进行资产排名相关的业务。

图6是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第二优选实施例的可验证证书颁发机构的注册流程示意图。图3是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第二优选实施例的身份持有者的注册流程示意图。图8是本发明的去中心化身份系统中隐藏用户的资产额度的方法的第二优选实施例的可验证证书的验证流程示意图。

下面结合图6-4对本发明的第二优选实施例说明如下。首先对本发明中使用到的进行术语解释如下：

去中心化身份标识符(Decentralized Identifier，简称DID)

私钥(Secret Key，简称SK)

公钥(Public Key，简称PK)

用于验证各个实体之间交互的消息的密钥，该密钥公开

椭圆曲线(Elliptic Curve)

哈希函数

哈希函数用于对椭圆曲线上的标量或者基点做不可逆哈希

佩德森承诺(Pederson Commit)

佩德森承诺是一种对数字进行同态加密的算法，其被加密过后的数字可以保留数字原来的特性，比如说，被加密后的两个数字依旧可以进行大小比较，也可以跟未被加密的数字进行大小比较

范围证明(Range Proof)

证明被加密过后的资产金额在某个范围内，例如：高于5w元。常用的范围证明算法有Borromean Signature和BulletProofs。

身份持有者(Identifier Holder，简称IH)

持有唯一身份的人，身份持有者需要通过录入虹膜或者指纹来生成自己的SK和PK

可验证证书(Verifiable Credentials,简称VC)

可验证证书发行机构(ISSUER,简称IS)

被信任的有资格颁发VC的机构，该机构有权利查询用户的资产额度

验证证书机构(Inspector Verifier,简称IV)

需要对IH进行身份验证的机构，例如：用人单位，信贷机构等。IV不仅可以对IH的身份进行验证，并且可以对IH的某个属性进行验证，例如：年龄，资产数，身体健康状况等

身份注册机构(Identifier Registry,简称IR)

在图6所示实施例中，首先IS向IR注册，以获取得到颁发VC的资格，其具体注册步骤如下：

①IS首先生成一个SK，然后通过SK再生成PK

②IS通过SK加签注册请求，并将注册请求提交到IR

在图3所示实施例中，IH向IS注册，其具体注册步骤如下：

⑤IS将DID和DID文档返回给IH。

在图8所示实施例中IH使用VC向IV进行认证。IH需要进行某项业务，而进行业务的前提条件是IV需要确认IH具有进行该业务的资格，在本实施例中，为资产金额，也可以包括其他注册信息(例如年龄或者其他)。其具体步骤如下

①IH向IV发送业务开始请求，该业务开始请求包括:IH的DID、DID文档，以及IH对业务请求的签名；而IV返回可验证证书信息，该可验证证书信息即为需要IH提交VC的信息，VC的内容包括：IH的DID，颁发VC的IS的DID，IH对VC的签名，IS对VC的签名，被加密过的资产额度以及被加密过的资产额度的范围证明。

②IH向IS查询自己资产的额度，并将查询资产额度的请求提交到IS。

③对于IH要求查询资产额度的请求，IS根据IH的DID向IR请求IH的公钥，并对IH的请求签名进行验证。并对IH的请求签名进行验证。如果验证不通过则拒绝返回资产额度给IH，如果通过则返回资产额度给IH。

④IH使用私钥对自己的资产额度生成Pederson Commit，提交到IS，并要求IS针对该Pederson Commit颁发证书。

⑤IS对IH的Pederson Commit与IH的实际资产额度做比较，如果两者相等则颁发VC给IH，否则将不颁发VC。

⑥IH提交VC到IV，IV对VC进行认证，具体认证过程如下：

根据VC当中IS的DID向IR请求IS的公钥；使用IS的公钥验证VC当中IS的签名；根据VC当中IH的DID向IR请求IH的公钥；使用IH的公钥验证VC当中IH的签名；如果IS和IH的签名都验证通过，则判断验证通过，否则，判断验证不通过。

进一步的，还可以进一步验证VC当中的其他信息(如果包含的话，例如年龄，性别等等)，如果IS和IH的签名都验证通过，且其他信息验证也通过，则判断验证通过，否则，判断验证不通过。

本发明解决其技术问题采用的另一技术方案是，构造一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现所述的去中心化身份系统中隐藏用户的资产额度的方法。

图9是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第一优选实施例的流程图。如图9所示，在步骤S1中，可验证证书颁发机构基于自身密钥向身份注册机构进行注册，从而使得其可以获得颁发可验证证书的资格。例如，所述可验证证书颁发机构生成机构私钥并基于所述机构私钥生成机构公钥。例如可以采用椭圆曲线密钥体系获得机构私钥和机构公钥。当然，也可以采用本领域中已知的任何密钥生成算法。述可验证证书颁发机构生成注册请求，并采用所述机构私钥签名所述注册请求，并将签名注册请求发送到所述身份注册机构。所述身份注册机构验证所述签名注册请求，并在验证通过后生成所述可验证证书颁发机构的去中心化身份标识符和去中心化身份标识符文档。

在所述步骤S3中，所述身份持有者基于所述验证证书机构的要求从所述可验证证书颁发机构获取可验证证书，所述可验证证书中包含所述可验证证书颁发机构提供的年龄范围。在本发明的优选实施例中，所述身份持有者向所述验证证书机构发送业务开始请求，所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名。所述验证证书机构基于所述请求返回可验证证书信息，所述可验证证书信息包括需要证明的年龄范围。所述身份持有者向所述可验证证书颁发机构发送证书颁发请求，所述证书颁发请求包括所述身份持有者的所述去中心化身份标识符、需要认证的内容包括年龄，需要证明的年龄范围、以及所述身份持有者对证书颁发请求的签名。所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验证，如果验证不通过则拒绝颁发证书。如果验证通过，则判断所述身份持有者在所述可验证证书颁发机构注册的年龄是否位于所述需要证明的年龄范围内，如果是则颁发所述可验证证书给所述身份持有者，否则拒绝颁发证书。优选的，所述可验证证书包括：所述身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、所述身份持有者对所述可验证证书的签名、所述可验证证书颁发机构对所述可验证证书的签名，所述可验证证书颁发机构提供的年龄范围。

在步骤S5中，所述验证证书机构对所述可验证证书进行验证。优选的，所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名，如果验证通过则进行下一步验证。所述验证证书机构根据所述身份持有者的去中心化身份标识符向所述身份注册机构请求所述持有者公钥，并使用所述持有者公钥验证所述身份持有者对所述可验证证书的签名，如果验证通过，则进行内容验证。该内容验证所述可验证证书中的条件的验证(即例如年龄范围认证)，如符合要求则验证通过，否则验证不通过。

实施本发明的去中心化身份系统中隐藏用户具体年龄的方法，不需要透露用户的具体年龄即可以筛选出年龄满足某个条件的身份持有者(即用户)，因此在用户具体年龄验证过程中，隐藏用户具体年龄，从而保证用户隐私，提高交易的安全性。进一步的可以录入用户的虹膜或者指纹来生成作为随机种子来生成身份持有者私钥，从而可以使得身份持有者在使用身份信息的时候可以无接触地使用身份信息和使用区块链上的资产。进一步地，本发明还明确定义了身份持有者、可验证证书颁发机构的注册过程和验证过程，从而提供了安全有效的构建去中心化区块链身份的方法。

图10是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第二优选实施例的可验证证书颁发机构的注册流程示意图。图11是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第二优选实施例的身份持有者的注册流程示意图。图12是本发明的去中心化身份系统中隐藏用户具体年龄的方法的第二优选实施例的可验证证书的验证流程示意图。

下面结合图10-4对本发明的第二优选实施例说明如下。首先对本发明中使用到的进行术语解释如下：

去中心化身份标识符(Decentralized Identifier，简称DID)

私钥(Secret Key，简称SK)

公钥(Public Key，简称PK)

用于验证各个实体之间交互的消息的密钥，该密钥公开

椭圆曲线(Elliptic Curve)

哈希函数

哈希函数用于对椭圆曲线上的标量或者基点做不可逆哈希

身份持有者(Identifier Holder，简称IH)

可验证证书(Verifiable Credentials,简称VC)

可验证证书发行机构(ISSUER,简称IS)

验证证书机构(Inspector Verifier,简称IV)

身份注册机构(Identifier Registry,简称IR)

在图10所示实施例中，首先IS向IR注册，以获取得到颁发VC的资格，其具体注册步骤如下：

①IS首先生成一个SK，然后通过SK再生成PK

②IS通过SK加签注册请求，并将注册请求提交到IR

在图11所示实施例中，IH向IS注册，其具体注册步骤如下：

⑤IS将DID和DID文档返回给IH。

在图12所示实施例中IH使用VC向IV进行认证。IH需要进行某项业务，而进行业务的前提条件是IV需要确认IH具有进行该业务的资格，在本实施例中，为年龄，也可以包括其他注册信息(例如年龄或者其他)。其具体步骤如下

①IH向IV发送业务开始请求，该业务开始请求包括:IH的DID、DID文档，以及IH对业务请求的签名；而IV返回可验证证书信息，该可验证证书信息即为需要IH提交VC的信息，VC的内容包括：IH的DID，颁发VC的IS的DID，IH对VC的签名，IS对VC的签名，IS提供的年龄范围。当然VC还可以包括其他需要的资料。

②IH向IS发送VC颁发请求，该VC颁发请求包括：IH的DID，需要认证的内容包括年龄，需要证明年龄的范围，如：18-64，以及IH对本次请求的签名。

③对于IH要求颁发VC的请求，IS根据IH的DID向IR请求IH的公钥，并对IH的请求签名进行验证。并对IH的请求签名进行验证。如果验证不通过则拒绝颁发VC给IH。

④如果验签通过进行年龄的验证，具体如下。

对于IH要求颁发VC的请求，如果IH在IS注册的年龄在IH要求证明的范围内，则IS颁发的VC当中会包含IH要求证明的年龄范围，如果IH在IS注册的年龄不在IH要求证明的范围内，则IS拒绝颁发VC。

⑤IH提交VC到IV，IV对VC进行认证：

根据VC当中IS的DID向IR请求IS的公钥；使用IS的公钥验证VC当中IS的签名；

根据VC当中IH的DID向IR请求IH的公钥，使用IH的公钥验证VC当中IH的签名；

如果IS和IH的签名都验证通过，则判断验证通过。当然在所述VC中包含其他验证内容是，需要对其他验证内容进行验证(例如资产，身份等等)，如果验证通过，则判断验证通过。

本发明解决其技术问题采用的另一技术方案是，构造一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现所述的去中心化身份系统中隐藏用户具体年龄的方法。

因此，本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现，或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统，通过安装和执行程序控制计算机系统，使其按本发明方法运行。

本发明还可以通过计算机程序产品进行实施，程序包含能够实现本发明方法的全部特征，当其安装到计算机系统中时，可以实现本发明的方法。本文件中的计算机程序所指的是：可以采用任何程序语言、代码或符号编写的一组指令的任何表达式，该指令组使系统具有信息处理能力，以直接实现特定功能，或在进行下述一个或两个步骤之后实现特定功能：a)转换成其它语言、编码或符号；b)以不同的格式再现。

虽然本发明是通过具体实施例进行说明的，本领域技术人员应当明白，在不脱离本发明范围的情况下，还可以对本发明进行各种变换及等同替代。另外，针对特定情形或材料，可以对本发明做各种修改，而不脱离本发明的范围。因此，本发明不局限于所公开的具体实施例，而应当包括落入本发明权利要求范围内的全部实施方式。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

一种去中心化身份系统中隐藏用户信息的方法，其特征在于，包括：

S1、可验证证书颁发机构基于自身密钥向身份注册机构进行注册；

S2、身份持有者基于自身密钥和注册信息向所述可验证证书颁发机构进行注册；

S3、所述身份持有者基于所述验证证书机构的要求从所述可验证证书颁发机构获取可验证证书；

S4、所述身份持有者采用所述持有者私钥对所述可验证证书进行签名并提交到所述验证证书机构；

S5、所述验证证书机构对所述可验证证书进行验证。
根据权利要求1所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S1进一步包括：

S11、所述可验证证书颁发机构生成机构私钥并基于所述机构私钥生成机构公钥；

S12、所述可验证证书颁发机构生成注册请求，并采用所述机构私钥签名所述注册请求，并将签名注册请求发送到所述身份注册机构；

S13、所述身份注册机构验证所述签名注册请求，并在验证通过后生成所述可验证证书颁发机构的去中心化身份标识符和去中心化身份标识符文档。
根据权利要求1所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S2进一步包括：

S21、所述身份持有者生成持有者私钥并基于所述持有者私钥生成持有者公钥；

S22、所述身份持有者向所述可验证证书颁发机构提交注册请求，并采用所述持有者私钥签名所述注册请求，并将签名注册请求发送到所述可验证证书颁发机构；

S23、所述可验证证书颁发机构验签所述签名注册请求，并在验签通过后验证所述身份持有者的注册信息，并在验证通过之后继续向所述身份注册机构发送验证请求，所述验证请求中包含所述持有者公钥；

S24、所述身份注册机构根据所述持有者公钥生成所述身份持有者的去中心化身份标识符和去中心化身份标识符文档，并将其返回给所述可验证证书颁发机构；

S25、所述可验证证书颁发机构将所述身份持有者的去中心化身份标识符和去中心化身份标识符文档返回给所述身份持有者。
根据权利要求3所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，在所述步骤S21中，所述身份持有者选取椭圆曲线上面的一个随机标量作为持有者密钥，并将所述持有者密钥与椭圆曲线上的基点做椭圆曲线乘法得到所述持有者公钥。
根据权利要求1-4中任意一项所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述用户信息包括用户真实公钥，所述可验证证书中包含使用多个身份持有者的持有者公钥生成的环签名。
根据权利要求5所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S3进一步包括：

S31、所述身份持有者从所述验证证书机构获得可验证证书信息，并基于所述可验证证书信息从所述可验证证书颁发机构获取多个其他身份持有者的去中心化身份标识符和持有者公钥；

S32、所述身份持有者使用多个其他身份持有者的持有者公钥生成环签名，并从所述可验证证书颁发机构获取所述可验证证书。
根据权利要求6所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S31进一步包括：

S311、所述身份持有者向所述验证证书机构发送业务开始请求，所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名；

S312、所述验证证书机构基于所述请求返回可验证证书信息；

S313、所述身份持有者根据所述可验证证书信息向所述可验证证书颁发机构发送信息返回请求，并使用所述持有者私钥对所述信息返回请求加签，所述信息返回请求包括请求所述可验证证书颁发机构返回多个其他身份持有者的去中心化身份标识符和持有者公钥；

S34、所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并采用所述持有者公钥对所述信息返回请求进行验签，如果验签通过执行步骤S35，否则拒绝所述信息返回请求；

S35、所述可验证证书颁发机构返回多个其他身份持有者的去中心化身份标识符和持有者公钥给所述身份持有者。
根据权利要求7所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S32进一步包括：

S321、所述身份持有者使用多个其他身份持有者的持有者公钥生成环签名，并向所述可验证证书颁发机构发送证书颁发请求，所述证书颁发请求包括所述环签名、多个其他身份持有者的持有者公钥、多个其他身份持有者的去中心化身份标识符，以及所述身份持有者对证书颁发请求的签名；

S322、所述可验证证书颁发机构分别校验所述身份持有者对证书颁发请求的签名和所述环签名，如果校验通过则向所述身份持有者颁发所述可验证证书，否则拒绝颁发所述可验证证书。
根据权利要求8所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述可验证证书包括：多个身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、多个身份持有者的公钥、所述环签名、所述可验证证书颁发机构对所述可验证证书的签名。
根据权利要求9所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述多个身份持有者的去中心化身份标识符和多个身份持有者的公钥的排序是独立且非一一对应的。
根据权利要求8所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S5进一步包括：

S51、所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名以获得第一验证结果；

S52、所述验证证书机构根据所述多个身份持有者的公钥验证所述环签名以获得第二验证结果；

S53、基于所述第一验证结果、所述第二验证结果以及需验证的内容的验证结果，判定验证是否通过。
根据权利要求1-4中任意一项所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述用户信息包括用户具体年龄，所述可验证证书中包含所述可验证证书颁发机构提供的年龄范围。
根据权利要求12所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S3进一步包括：

S3A、所述身份持有者向所述验证证书机构发送业务开始请求，所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名；

S3B、所述验证证书机构基于所述请求返回可验证证书信息，所述可验证证书信息包括需要证明的年龄范围；

S3C、所述身份持有者向所述可验证证书颁发机构发送证书颁发请求，所述证书颁发请求包括所述身份持有者的所述去中心化身份标识符、需要认证的内容包括年龄，需要证明的年龄范围、以及所述身份持有者对证书颁发请求的签名；

S3D、所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验证，如果验证通过则执行步骤S3E，否则拒绝颁发证书；

S3E、判断所述身份持有者在所述可验证证书颁发机构注册的年龄是否位于所述需要证明的年龄范围内，如果是则颁发所述可验证证书给所述身份持有者，否则拒绝颁发证书。
根据权利要求13所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述可验证证书包括：所述身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、所述身份持有者对所述可验证证书的签名、所述可验证证书颁发机构对所述可验证证书的签名，所述可验证证书颁发机构提供的年龄范围。
根据权利要求13所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S5进一步包括：

S5A、所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名以获得第一验证结果；

S5B、所述验证证书机构根据所述身份持有者的去中心化身份标识符向所述身份注册机构请求所述持有者公钥，并使用所述持有者公钥验证所述身份持有者对所述可验证证书的签名以获得第二验证结果；

S5C、基于所述第一验证结果、所述第二验证结果以及需验证的内容的验证结果，判定验证是否通过。
根据权利要求1-4中任意一项所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述用户信息包括用户资产额度，所述可验证证书中包含被加密过的资产额度。
根据权利要求16所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S3进一步包括：

S3a、所述身份持有者向所述验证证书机构发送业务开始请求，所述业务开始请求包括所述去中心化身份标识符、所述去中心化身份标识符文档、以及所述身份持有者对业务开始请求的签名；

S3b、所述验证证书机构基于所述请求返回可验证证书信息，所述可验证证书信息包括提供资产额度的要求；

S3c、所述身份持有者向所述可验证证书颁发机构发送财产查询请求，所述财产查询请求包括所述身份持有者的所述去中心化身份标识符、资产额度查询、以及所述身份持有者对证书颁发请求的签名；

S3d、所述可验证证书颁发机构基于所述去中心化身份标识符请求所述持有者公钥，并对所述身份持有者对证书颁发请求的签名进行验证，并基于验证结果向所述身份持有者返回资产额度；

S3e、所述身份持有者使用所述持有者私钥对所述资产额度进行加密，并将加密后的资产额度提交到所述可验证证书颁发机构并要求所述可验证证书颁发机构针对所述加密后的资产额度颁发可验证证书；

S3f、所述可验证证书颁发机构将所述加密后的资产额度与所述身份持有者的资产额度进行比较，并基于比较结果颁发所述可验证证书给所述身份持有者。
根据权利要求17所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，在所述步骤S3e中，所述身份持有者使用所述持有者私钥对所述资产额度生成佩德森承诺，并将所述佩德森承诺提交到所述可验证证书颁发机构并要求所述可验证证书颁发机构针对所述佩德森承诺颁发可验证证书。
根据权利要求17所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，在所述步骤S3中，所述可验证证书包括：所述身份持有者的去中心化身份标识符、颁发所述可验证证书的所述可验证证书颁发机构的去中心化身份标识符、所述身份持有者对所述可验证证书的签名、所述可验证证书颁发机构对所述可验证证书的签名，被加密的资产额度，被加密的资产额度的范围证明。
根据权利要求17所述的去中心化身份系统中隐藏用户信息的方法，其特征在于，所述步骤S5进一步包括：

S5a、所述验证证书机构根据所述可验证证书颁发机构的去中心化身份标识符向所述身份注册机构请求所述机构公钥，并使用所述机构公钥验证所述可验证证书颁发机构对所述可验证证书的签名以获得第一验证结果；

S5b、所述验证证书机构根据所述身份持有者的去中心化身份标识符向所述身份注册机构请求所述持有者公钥，并使用所述持有者公钥验证所述身份持有者对所述可验证证书的签名以获得第二验证结果；

S5c、基于所述第一验证结果、所述第二验证结果以及需验证的内容的验证结果，判定验证是否通过。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现根据权利要求1-20中任意一项权利要求所述的去中心化身份系统中隐藏用户信息的方法。