CN117978404A - 一种可信数字身份签发和分布式认证的方法 - Google Patents
一种可信数字身份签发和分布式认证的方法 Download PDFInfo
- Publication number
- CN117978404A CN117978404A CN202410132964.5A CN202410132964A CN117978404A CN 117978404 A CN117978404 A CN 117978404A CN 202410132964 A CN202410132964 A CN 202410132964A CN 117978404 A CN117978404 A CN 117978404A
- Authority
- CN
- China
- Prior art keywords
- digital identity
- identity
- basic
- user
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012795 verification Methods 0.000 claims abstract description 40
- 230000008569 process Effects 0.000 claims description 20
- 238000013475 authorization Methods 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 3
- 230000008014 freezing Effects 0.000 claims description 3
- 238000007710 freezing Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000010276 construction Methods 0.000 abstract description 4
- 239000000463 material Substances 0.000 description 5
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- YSCNMFDFYJUPEF-OWOJBTEDSA-N 4,4'-diisothiocyano-trans-stilbene-2,2'-disulfonic acid Chemical compound OS(=O)(=O)C1=CC(N=C=S)=CC=C1\C=C\C1=CC=C(N=C=S)C=C1S(O)(=O)=O YSCNMFDFYJUPEF-OWOJBTEDSA-N 0.000 description 1
- 101001121408 Homo sapiens L-amino-acid oxidase Proteins 0.000 description 1
- 101000827703 Homo sapiens Polyphosphoinositide phosphatase Proteins 0.000 description 1
- 102100026388 L-amino-acid oxidase Human genes 0.000 description 1
- 102100023591 Polyphosphoinositide phosphatase Human genes 0.000 description 1
- 101100012902 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) FIG2 gene Proteins 0.000 description 1
- 101100233916 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) KAR5 gene Proteins 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 235000020798 vitamin C status Nutrition 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种可信数字身份签发和分布式认证的方法,包括可信数字身份签发、业务凭证签发、联合身份声明创建和验证三个阶段。本发明方法以权威网络可信身份为信任根,再签发基础级数字身份标识、基础级数字身份凭证和业务凭证,在保留了区块链和分布式数字身份技术的诸多优势的同时,支持通过可信数字身份最终追溯到用户真实身份,符合网络可信身份管理服务体系建设要求,支持分布式应用生态,是对身份管理和服务体系的补充和拓展,市场潜力巨大。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种可信数字身份签发和分布式认证的方法。
背景技术
数字身份是构建数字经济时代信任体系的关键要素之一,也是互联网可控可管和安全可信的关键。
分布式数字身份通过区块链技术实现,由身份所有者即用户来自主控制和管理自己的数字身份,将数据所有权归还给用户来解决隐私和安全问题,并通过制定标准协议来提供跨应用的互操作性。区块链的难于篡改、存证溯源等特性可进一步保证数据的真实有效。流通的数字身份属性信息在确认或验证时,又可以充分发挥区块链技术的去中心化特点。分布式数字身份为数字身份提供了新的技术发展方向,备受政府和产业界的关注。
现有技术方案一般遵循国际标准组织W3C联盟和DIF(去中心化身份组织)的分布式数字身份DID相关标准,W3C主要集中在DID规范方面,DIF则致力于提高DID的互操作性,用户可去中心化方式地、自主匿名地创建、更新、删除DID并通过智能合约注册到区块链上,不要求用户在注册前完成真实身份认证。
现有方案的工作流程为:(1)用户即凭证持有方和凭证签发方都将自主创建的分布式数字身份DID标识通过智能合约注册到区块链上,并将包含公钥的DID文档存储到区块链上;(2)用户向凭证签发方申领可验证凭证VC后存储到终端安全区域,凭证签发方将可验证凭证VC状态(是否被撤销)存储到区块链上;(3)用户根据验证方业务需求,基于可验证凭证VC创建可验证表达VP,自主出示给验证方进行验证;(4)凭证验证方检索区块链上的DID文档和VC状态,验证可验证表达VP中所包含的可验证凭证VC的数字签名及有效性(未被撤销等)。
我国网络可信身份建设需要满足前端匿名、后台实名、隐私安全、跨域信任、经济易用等需求。一方面,网络可信身份应支持“前端匿名使用”。自然人可借助网络可信身份认证服务完成网络应用的身份认证、用户鉴权,网络应用可对账户系统进行“可控匿名化”改造,以减少个人身份明文数据的使用、留存,切实保护公民信息和个人隐私。另一方面,网络可信身份应支持“后台实名管理”,可通过国家权威机构追溯到个人真实身份。虽然W3C提出的分布式数字身份技术具有自主性、隐匿性等技术特点,在保护用户个人隐私方面做了大量精心的设计,但并不符合网络实名制管理要求。
发明内容
针对现有技术的不足,本发明旨在提供一种可信数字身份签发和分布式认证的方法。
为了实现上述目的,本发明采用如下技术方案:
一种可信数字身份签发和分布式认证的方法,包括可信数字身份签发、业务凭证签发、联合身份声明创建和验证三个阶段;
一、可信数字身份签发的具体流程如下:
A1、用户通过数字身份应用终端申领可信数字身份,可信数字身份包括基础级数字身份标识和基础级数字身份凭证;数字身份应用终端在终端本地创建公私钥对,加密存储在终端本地;
A2、数字身份应用终端要求用户进行真实身份核验,录入身份信息和采集人脸;
A3、数字身份应用终端将用户提交的身份信息和通过活体检测的人脸图片以及创建的用户公钥提交给数字身份分布式应用平台,数字身份分布式应用平台将用户的身份信息和人脸图片转发至权威身份认证平台完成用户的真实身份核验;
A4、如果用户的真实身份核验成功,权威身份认证平台向数字身份分布式应用平台返回该用户的网络可信身份,并转入步骤A5;如果用户的真实身份信息核验失败,则数字身份分布式应用平台通过数字身份应用终端通知用户申领失败;
A5、数字身份分布式应用平台为用户创建基础级数字身份标识即基础DID和包含用户公钥的基础级数字身份标识文档即基础DID文档,并将用户的网络可信身份和基础DID的映射关系存储到数据库中,同时依据基础级数字身份凭证模板规定的数据格式创建基础级数字身份凭证,并进行签名;
A6、数字身份分布式应用平台调用数字身份链智能合约,将用户的基础DID文档和基础级数字身份凭证的哈希和状态存储到数字身份链上;
A7、数字身份分布式应用平台将用户的基础DID、基础DID文档和基础级数字身份凭证的签名值返回给数字身份应用终端;
A8、数字身份应用终端将用户提交的身份信息和数字身份分布式应用平台返回的基础级数字身份凭证的签名值进行组装,生成终端本地的基础级数字身份凭证,和数字身份分布式应用平台返回的基础DID一起加密存储在终端本地的安全区域;
二、业务凭证签发的具体流程为:
B1、用户需要向某个业务系统申领业务凭证时,使用数字身份应用终端将终端本地的基础级数字身份凭证用用户的私钥签名后提交至该业务系统;
B2、该业务系统访问数字身份链,验证用户提交的基础级数字身份凭证的用户签名以及数字身份分布式应用平台的签名,并验证用户提交的基础级数字身份凭证的状态,确认该基础级数字身份凭证的状态为有效;
B3、验证通过后,业务系统基于用户的基础DID为用户签发业务凭证;
B4、业务系统将步骤B3签发的业务凭证的哈希和状态存储到对应的业务链上;
B5、数字身份应用终端接收业务系统签发的业务凭证,加密存储在终端本地的安全区域;
三、联合身份声明创建和验证的具体流程为:
C1、在某一个业务场景中,验证方需要验证相关业务系统的业务凭证时,验证方系统先要求用户使用数字身份应用终端按业务场景指定的联合身份声明模板出示联合身份声明,数字身份应用终端经用户授权后,按联合身份声明模板指定的格式要求将相关业务系统所签发的业务凭证与终端本地的基础级数字身份凭证进行组合,使用用户的私钥签名后,创建联合身份声明,并将联合身份声明用验证方的公钥加密后传输给验证方系统,验证方系统使用验证方的私钥进行解密后,获取到联合身份声明;
C2、数字身份应用终端将向验证方系统授权联合身份声明的日志记录在数字身份链上存证;
C3、验证方系统通过数字身份链上的任意节点查询数字身份分布式应用平台、相关业务系统以及用户的基础DID文档;从数字身份分布式应用平台和用户的基础DID文档获取数字身份分布式应用平台和用户的公钥信息,验证联合身份声明的用户签名和联合身份声明中的基础级数字身份凭证的数字身份分布式应用平台的签名,并确认基础级数字身份凭证状态为有效,且用户同意授权;
C4、验证方系统读取各个相关业务系统的基础DID文档中的公钥,对各个业务凭证携带的对应业务系统的签名进行验证,并访问各个相关业务系统的业务链,查询获取各个业务凭证的哈希和状态,确认各个业务凭证是有效的;
C5、验证方系统完成对联合身份声明的验证后,继续进行后续业务流程。
进一步地,在上述方法中,数字身份分布式应用平台可撤销已签发的基础级数字身份凭证,如果撤销基础级数字身份凭证,该基础级数字身份凭证的撤销状态也将存储到数字身份链上;用户可向数字身份分布式应用平台申请冻结或解冻申领到的基础级数字身份凭证,该基础级数字身份凭证的冻结和解冻状态也将存储到数字身份链上。
本发明的有益效果在于:本发明提出了一种支持前台匿名使用、后台实名管理的可信数字身份签发和分布式认证的方法,符合网络实名制管理要求,以权威网络可信身份为信任根,再签发基础级数字身份标识、基础级数字身份凭证和业务凭证,在保留了区块链和分布式数字身份技术的多方共识共建生态、链上数据难于篡改可信流转、用户自主授权、个人数据资产确权、隐私保护以及分布式认证的可靠性高、消除单点故障、验证方不依赖签发方来完成身份认证等诸多优势的同时,支持通过可信数字身份最终追溯到用户真实身份,符合网络可信身份管理服务体系建设要求,支持分布式应用生态,是对身份管理和服务体系的补充和拓展,市场潜力巨大。
附图说明
图1为本发明实施例1中可信数字身份签发的流程图;
图2为本发明实施例1中业务凭证签发的流程图;
图3为本发明实施例1中联合身份声明创建和验证的流程图;
图4为本发明实施例2中业务凭证签发的流程图;
图5为本发明实施例2中联合身份声明创建和验证的流程图。
具体实施方式
以下将结合附图对本发明作进一步的描述,需要说明的是,本实施例以本技术方案为前提,给出了详细的实施方式和具体的操作过程,但本发明的保护范围并不限于本实施例。
实施例1
本实施例提供了一种可信数字身份签发和分布式认证的方法,包括可信数字身份签发、业务凭证签发、联合身份声明创建和验证三个阶段;
一、如图1所示,可信数字身份签发的具体流程如下:
A1、用户通过数字身份应用终端申领可信数字身份,可信数字身份包括基础级数字身份标识和基础级数字身份凭证;数字身份应用终端在终端本地创建公私钥对,加密存储在终端本地;
A2、数字身份应用终端要求用户进行真实身份核验,录入身份信息和采集人脸;
A3、数字身份应用终端将用户提交的身份信息和通过活体检测的人脸图片以及创建的用户公钥提交给数字身份分布式应用平台,数字身份分布式应用平台将用户的身份信息和人脸图片转发至权威身份认证平台完成用户的真实身份核验;
A4、如果用户的真实身份核验成功,权威身份认证平台向数字身份分布式应用平台返回该用户的网络可信身份,并转入步骤A5;如果用户的真实身份信息核验失败,则数字身份分布式应用平台通过数字身份应用终端通知用户申领失败;
A5、数字身份分布式应用平台为用户创建基础级数字身份标识即基础DID和包含用户公钥的基础级数字身份标识文档即基础DID文档,并将用户的网络可信身份和基础DID的映射关系存储到数据库中,同时依据基础级数字身份凭证模板规定的数据格式创建基础级数字身份凭证,并进行签名;
A6、数字身份分布式应用平台调用数字身份链智能合约,将用户的基础DID文档和基础级数字身份凭证的哈希和状态存储到数字身份链上;数字身份分布式应用平台可撤销已签发的基础级数字身份凭证,如果撤销基础级数字身份凭证,该基础级数字身份凭证的撤销状态也将存储到数字身份链上;用户也可向数字身份分布式应用平台申请冻结或解冻申领到的基础级数字身份凭证,该基础级数字身份凭证的冻结和解冻状态也将存储到数字身份链上;
A7、数字身份分布式应用平台将用户的基础DID、基础DID文档和基础级数字身份凭证的签名值返回给数字身份应用终端;
A8、数字身份应用终端将用户提交的身份信息和数字身份分布式应用平台返回的基础级数字身份凭证的签名值进行组装,生成终端本地的基础级数字身份凭证,和数字身份分布式应用平台返回的基础DID一起加密存储在终端本地的安全区域。
二、如图2所示,业务凭证签发的具体流程为:
B1、用户需要向某个业务系统申领业务凭证时,使用数字身份应用终端将终端本地的基础级数字身份凭证用用户的私钥签名后提交至该业务系统;
B2、该业务系统访问数字身份链,验证用户提交的基础级数字身份凭证的用户签名以及数字身份分布式应用平台的签名,并验证用户提交的基础级数字身份凭证的状态,确认该基础级数字身份凭证的状态为有效(未被撤销或冻结);
B3、验证通过后,业务系统基于用户的基础DID为用户签发业务凭证;
B4、业务系统将步骤B3签发的业务凭证的哈希和状态存储到对应的业务链上;
B5、数字身份应用终端接收业务系统签发的业务凭证,加密存储在终端本地的安全区域。
三、如图3所示,联合身份声明创建和验证的具体流程为:
C1、在某一个业务场景中,验证方需要验证相关业务系统的业务凭证时,验证方系统先要求用户使用数字身份应用终端按业务场景指定的联合身份声明模板出示联合身份声明,数字身份应用终端经用户授权后,按联合身份声明模板指定的格式要求将相关业务系统所签发的业务凭证(如业务系统A签发的业务凭证VC-A和业务系统B签发的业务凭证VC-B)与终端本地的基础级数字身份凭证进行组合,使用用户的私钥签名后,创建联合身份声明,并将联合身份声明用验证方的公钥加密后传输给验证方系统,验证方系统使用验证方的私钥进行解密后,获取到联合身份声明;
C2、数字身份应用终端将向验证方系统授权联合身份声明的日志记录在数字身份链上存证;
C3、验证方系统通过数字身份链上的任意节点查询数字身份分布式应用平台、相关业务系统以及用户的基础DID文档;从数字身份分布式应用平台和用户的基础DID文档获取数字身份分布式应用平台和用户的公钥信息,验证联合身份声明的用户签名和联合身份声明中的基础级数字身份凭证的数字身份分布式应用平台的签名,并确认基础级数字身份凭证状态为有效(未被撤销或冻结),且用户同意授权;
C4、验证方系统读取各个相关业务系统的基础DID文档中的公钥,对各个业务凭证携带的对应业务系统的签名进行验证,并访问各个相关业务系统的业务链,查询获取各个业务凭证的哈希和状态,确认各个业务凭证是有效的(未被撤销或冻结);
C5、验证方系统完成对联合身份声明的验证后,继续进行后续业务流程。
在上述方法中,用户可通过数字身份应用终端申领可信数字身份,数字身份分布式应用平台通过权威身份认证平台核验用户真实身份后,为用户“中心化签发”基础级数字身份标识和基础级数字身份凭证,将包含用户公钥的DID文档和基础级数字身份凭证状态存储到多方参与共识、数据难于篡改的数字身份链上。基础DID由权威的网络可信身份、机构信息和时间戳加密变换后生成,数字身份分布式应用平台将网络可信身份和基础DID映射关系存储到数据库中,以支持从匿名的基础DID追溯到网络可信身份,再从网络可信身份再追溯到用户真实身份,实现前台匿名使用、后台实名管理。
授权接入数字身份链的业务系统,可基于可信数字身份凭证和业务链为用户再签发业务凭证。用户持有的基础级数字身份凭证和业务凭证在数字身份应用终端中汇聚。当用户在业务办理时,可使用数字身份应用终端,依据业务场景要求,灵活组合基础级数字身份凭证和多个业务凭证的数据,经用户签名后生成联合身份声明,实现同一自然人的身份属性与业务属性的聚合,自主授权向验证方出示。验证方分别访问数字身份链任一节点“分布式认证”数字签名及基础级数字身份凭证的有效性,访问业务链任一节点“分布式认证”验证业务凭证的有效性,验证通过后进行后续业务流程办理。
实施例2
本实施例提供一种实施例1所述方法的应用实例。
本实施例具体是某用户入职某企业的场景。该用户入职该企业时,需要向该企业信息化系统提交过去一年的薪酬流水、学历证书和个人身份信息,经审核符合企业相关要求后,方可办理入职流程。
一、该用户按实施例1方法的流程申领可信数字身份。
二、该用户薪酬流水凭证和学历证书凭证申领流程如图4所示:
(1)用户打开数字身份应用终端APP,提交带用户个人私钥签名的基础级数字身份凭证,向某大学A申领学历证书凭证;
(2)该大学A访问数字身份链,验证用户提交的基础级数字身份凭证的用户签名以及数字身份分布式应用平台的签名,并确认基础级数字身份凭证状态为有效,未被撤销或冻结;
(3)该大学A验证通过后,基于用户基础DID,为用户签发学历证书凭证;
(4)该大学A将学历证书凭证的哈希和状态(有效)存储到教育行业链上;
(5)用户继续使用数字身份应用终端APP,提交带个人私钥签名的基础级数字身份凭证,向某银行A申领薪酬流水凭证;
(6)该银行A访问数字身份链,验证基础级数字身份凭证中的用户签名和数字身份分布式应用平台的签名,并且确认基础级数字身份凭证状态为有效,未被撤销或冻结;
(7)该银行A验证通过后,基于用户基础DID,为用户签发薪酬流水凭证;
(8)该银行A将薪酬流水凭证的哈希和状态(有效)存储到金融行业链上;
(9)数字身份应用终端APP获取到学历证书凭证和薪酬流水凭证,存储在终端本地的安全区域。
三、该用户入职材料的提交和核验流程如图5所示:
(1)该用户按某企业流程要求提交相关入职材料,使用数字身份应用终端APP,经该用户授权后,按该企业预先设定的联合身份声明模板即所需要的入职材料,将用户申领到的基础级数字身份凭证、学历证书凭证和薪酬流水凭证进行组合,创建由用户私钥签名的联合身份声明,使用该企业的公钥加密后,提交至该企业的信息化系统。该企业的信息化系统接收到用户提交的联合身份证明加密数据后,使用其私钥进行解密,获取到用户提交的联合身份声明。
(2)数字身份应用终端APP将联合身份声明授权给某企业信息化系统的日志记录上数字身份链存证;
(3)该企业的信息化系统访问数字身份链,查询数字身份分布式应用平台的基础DID文档、用户的基础DID文档、大学A的基础DID文档和银行A的基础DID文档,验证联合身份声明的用户签名、基础级数字身份凭证的数字身份分布式应用平台的签名,并确认基础级数字身份凭证状态有效(未被撤销或冻结)。
(4)该企业的信息化系统验证学历证书凭证的大学A的签名,并访问教育行业链,获取该学历证书的凭证状态,确认学历证书凭证有效(未被撤销或冻结)。
(5)该企业的信息化系统验证薪酬流水的银行A的签名,并访问金融行业链,获取该薪酬流水凭证状态,确认薪酬流水凭证有效(未被撤销或冻结)。
(6)该企业完成对全部入职材料(包括学历证书凭证、薪酬流水凭证与基础级数字身份凭证)的核验,且全部入职材料的获取经过用户同意授权,如验证通过且该用户符合该企业入职资格要求,该企业可为该用户办理后续的入职流程。
对于本领域的技术人员来说,可以根据以上的技术方案和构思,给出各种相应的改变和变形,而所有的这些改变和变形,都应该包括在本发明权利要求的保护范围之内。
Claims (2)
1.一种可信数字身份签发和分布式认证的方法,其特征在于,包括可信数字身份签发、业务凭证签发、联合身份声明创建和验证三个阶段;
一、可信数字身份签发的具体流程如下:
A1、用户通过数字身份应用终端申领可信数字身份,可信数字身份包括基础级数字身份标识和基础级数字身份凭证;数字身份应用终端在终端本地创建公私钥对,加密存储在终端本地;
A2、数字身份应用终端要求用户进行真实身份核验,录入身份信息和采集人脸;
A3、数字身份应用终端将用户提交的身份信息和通过活体检测的人脸图片以及创建的用户公钥提交给数字身份分布式应用平台,数字身份分布式应用平台将用户的身份信息和人脸图片转发至权威身份认证平台完成用户的真实身份核验;
A4、如果用户的真实身份核验成功,权威身份认证平台向数字身份分布式应用平台返回该用户的网络可信身份,并转入步骤A5;如果用户的真实身份信息核验失败,则数字身份分布式应用平台通过数字身份应用终端通知用户申领失败;
A5、数字身份分布式应用平台为用户创建基础级数字身份标识即基础DID和包含用户公钥的基础级数字身份标识文档即基础DID文档,并将用户的网络可信身份和基础DID的映射关系存储到数据库中,同时依据基础级数字身份凭证模板规定的数据格式创建基础级数字身份凭证,并进行签名;
A6、数字身份分布式应用平台调用数字身份链智能合约,将用户的基础DID文档和基础级数字身份凭证的哈希和状态存储到数字身份链上;
A7、数字身份分布式应用平台将用户的基础DID、基础DID文档和基础级数字身份凭证的签名值返回给数字身份应用终端;
A8、数字身份应用终端将用户提交的身份信息和数字身份分布式应用平台返回的基础级数字身份凭证的签名值进行组装,生成终端本地的基础级数字身份凭证,和数字身份分布式应用平台返回的基础DID一起加密存储在终端本地的安全区域;
二、业务凭证签发的具体流程为:
B1、用户需要向某个业务系统申领业务凭证时,使用数字身份应用终端将终端本地的基础级数字身份凭证用用户的私钥签名后提交至该业务系统;
B2、该业务系统访问数字身份链,验证用户提交的基础级数字身份凭证的用户签名以及数字身份分布式应用平台的签名,并验证用户提交的基础级数字身份凭证的状态,确认该基础级数字身份凭证的状态为有效;
B3、验证通过后,业务系统基于用户的基础DID为用户签发业务凭证;
B4、业务系统将步骤B3签发的业务凭证的哈希和状态存储到对应的业务链上;
B5、数字身份应用终端接收业务系统签发的业务凭证,加密存储在终端本地的安全区域;
三、联合身份声明创建和验证的具体流程为:
C1、在某一个业务场景中,验证方需要验证相关业务系统的业务凭证时,验证方系统先要求用户使用数字身份应用终端按业务场景指定的联合身份声明模板出示联合身份声明,数字身份应用终端经用户授权后,按联合身份声明模板指定的格式要求将相关业务系统所签发的业务凭证与终端本地的基础级数字身份凭证进行组合,使用用户的私钥签名后,创建联合身份声明,并将联合身份声明用验证方的公钥加密后传输给验证方系统,验证方系统使用验证方的私钥进行解密后,获取到联合身份声明;
C2、数字身份应用终端将向验证方系统授权联合身份声明的日志记录在数字身份链上存证;
C3、验证方系统通过数字身份链上的任意节点查询数字身份分布式应用平台、相关业务系统以及用户的基础DID文档;从数字身份分布式应用平台和用户的基础DID文档获取数字身份分布式应用平台和用户的公钥信息,验证联合身份声明的用户签名和联合身份声明中的基础级数字身份凭证的数字身份分布式应用平台的签名,并确认基础级数字身份凭证状态为有效,且用户同意授权;
C4、验证方系统读取各个相关业务系统的基础DID文档中的公钥,对各个业务凭证携带的对应业务系统的签名进行验证,并访问各个相关业务系统的业务链,查询获取各个业务凭证的哈希和状态,确认各个业务凭证是有效的;
C5、验证方系统完成对联合身份声明的验证后,继续进行后续业务流程。
2.根据权利要求1所述的方法,其特征在于,数字身份分布式应用平台可撤销已签发的基础级数字身份凭证,如果撤销基础级数字身份凭证,该基础级数字身份凭证的撤销状态也将存储到数字身份链上;用户可向数字身份分布式应用平台申请冻结或解冻申领到的基础级数字身份凭证,该基础级数字身份凭证的冻结和解冻状态也将存储到数字身份链上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410132964.5A CN117978404A (zh) | 2024-01-31 | 2024-01-31 | 一种可信数字身份签发和分布式认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410132964.5A CN117978404A (zh) | 2024-01-31 | 2024-01-31 | 一种可信数字身份签发和分布式认证的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117978404A true CN117978404A (zh) | 2024-05-03 |
Family
ID=90855053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410132964.5A Pending CN117978404A (zh) | 2024-01-31 | 2024-01-31 | 一种可信数字身份签发和分布式认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117978404A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118748590A (zh) * | 2024-06-14 | 2024-10-08 | 国家信息中心 | 具有实名认证的自定义属性的分布式数字身份实现方法和系统及存储介质 |
| CN118869213A (zh) * | 2024-05-15 | 2024-10-29 | 南京邮电大学 | 基于ssi体系的统一身份认证和监管溯源方法及系统 |
| CN119167347A (zh) * | 2024-10-09 | 2024-12-20 | 重庆邮电大学 | 一种面向w3c的隐私保护认证方法 |
| CN119299105A (zh) * | 2024-10-11 | 2025-01-10 | 北京航空航天大学 | 一种面向分布式数字身份的可验证凭证生成方法及系统 |
| CN119402263A (zh) * | 2024-10-31 | 2025-02-07 | 北京浪潮云计算有限公司 | 一种基于数字身份的可信数据流通实现方法及系统 |
| CN120811758A (zh) * | 2025-09-03 | 2025-10-17 | 国泰海通证券股份有限公司 | 基于分布式数字身份实现金融智能体可信认证的系统 |
-
2024
- 2024-01-31 CN CN202410132964.5A patent/CN117978404A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118869213A (zh) * | 2024-05-15 | 2024-10-29 | 南京邮电大学 | 基于ssi体系的统一身份认证和监管溯源方法及系统 |
| CN118748590A (zh) * | 2024-06-14 | 2024-10-08 | 国家信息中心 | 具有实名认证的自定义属性的分布式数字身份实现方法和系统及存储介质 |
| CN119167347A (zh) * | 2024-10-09 | 2024-12-20 | 重庆邮电大学 | 一种面向w3c的隐私保护认证方法 |
| CN119167347B (zh) * | 2024-10-09 | 2025-10-24 | 重庆邮电大学 | 一种面向w3c的隐私保护认证方法 |
| CN119299105A (zh) * | 2024-10-11 | 2025-01-10 | 北京航空航天大学 | 一种面向分布式数字身份的可验证凭证生成方法及系统 |
| CN119402263A (zh) * | 2024-10-31 | 2025-02-07 | 北京浪潮云计算有限公司 | 一种基于数字身份的可信数据流通实现方法及系统 |
| CN120811758A (zh) * | 2025-09-03 | 2025-10-17 | 国泰海通证券股份有限公司 | 基于分布式数字身份实现金融智能体可信认证的系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637278B (zh) | 基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质 | |
| CN111046352B (zh) | 一种基于区块链的身份信息安全授权系统与方法 | |
| CN117978404A (zh) | 一种可信数字身份签发和分布式认证的方法 | |
| CN109377198B (zh) | 一种基于联盟链多方共识的签约系统 | |
| CN1838163B (zh) | 一种基于pki的通用电子印章系统实现方法 | |
| US6324645B1 (en) | Risk management for public key management infrastructure using digital certificates | |
| RU2448365C2 (ru) | Устройство и способ защищенной передачи данных | |
| CN109962890B (zh) | 一种区块链的认证服务装置及节点准入、用户认证方法 | |
| CN102769623B (zh) | 基于数字证书和生物识别信息进行双重认证的方法 | |
| CN111506590A (zh) | 一种数字作品版权确权与交易可信记录管理方法 | |
| CN114266069B (zh) | 一种基于区块链技术的房屋交易电子数据共享系统及方法 | |
| CN115688191A (zh) | 一种基于区块链的电子签章系统及方法 | |
| CN109064113A (zh) | 一种基于区块链的电子合同管理方法及系统 | |
| Gulati et al. | Self-sovereign dynamic digital identities based on blockchain technology | |
| CN115225346B (zh) | 一种面向征信大数据领域的数据存证系统 | |
| Hatefi et al. | A conditional privacy-preserving fair electronic payment scheme based on blockchain without trusted third party | |
| CN111523892A (zh) | 一种区块链的跨链交易方法及装置 | |
| CN116975810A (zh) | 身份验证方法、装置、电子设备及计算机可读存储介质 | |
| CN118473631A (zh) | 一种基于区块链的身份认证快速共识方法和系统 | |
| CN115396096A (zh) | 基于国密算法的秘密文件的加、解密方法及保护系统 | |
| CN114168996A (zh) | 一种基于零知识证明的联盟链订单隐私数据验证方法 | |
| CN118333577A (zh) | 电子印章制作方法以及电子印章制作系统 | |
| CN109600338B (zh) | 一种可信身份管理服务方法及系统 | |
| CN117544314A (zh) | 基于区块链的分布式数字身份生命周期管理系统及方法 | |
| CN111866009B (zh) | 一种车辆信息更新方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |