CN113641975A - 身份标识注册方法、身份标识验证方法、装置及*** - Google Patents

身份标识注册方法、身份标识验证方法、装置及*** Download PDF

Info

Publication number
CN113641975A
CN113641975A CN202111207037.8A CN202111207037A CN113641975A CN 113641975 A CN113641975 A CN 113641975A CN 202111207037 A CN202111207037 A CN 202111207037A CN 113641975 A CN113641975 A CN 113641975A
Authority
CN
China
Prior art keywords
user
network service
eid
identity
service system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111207037.8A
Other languages
English (en)
Inventor
杨珂
李达
王合健
陈帅
韩少勤
赵丽花
苏展
薛文昊
柏德胜
贾帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guowang Xiongan Finance Technology Group Co ltd
State Grid Blockchain Technology Beijing Co ltd
State Grid E Commerce Co Ltd
Original Assignee
Guowang Xiongan Finance Technology Group Co ltd
State Grid Blockchain Technology Beijing Co ltd
State Grid E Commerce Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guowang Xiongan Finance Technology Group Co ltd, State Grid Blockchain Technology Beijing Co ltd, State Grid E Commerce Co Ltd filed Critical Guowang Xiongan Finance Technology Group Co ltd
Priority to CN202111207037.8A priority Critical patent/CN113641975A/zh
Publication of CN113641975A publication Critical patent/CN113641975A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • G06K17/0022Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device
    • G06K17/0025Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device the arrangement consisting of a wireless interrogation device in combination with a device for optically marking the record carrier

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种身份标识注册方法、身份标识验证方法、装置及***,公民网络身份识别***在接收到用户提交的开通网络服务访问权限请求的情况下,生成目标网络服务***下用户的eID数字身份凭证,将用户的eID哈希值与eID数字身份凭证哈希值存储到区块链分布式身份认证***。然后通过将区块链分布式身份认证***发送的目标网络服务***下用户DID与eID数字身份凭证进行拼接加密,生成分布式可信数字身份二维码,用户可凭该二维码使用对应的网络服务***。在公民网络身份识别***和区块链分布式身份认证***双重信任背书下,网络服务***在不需要存储用户身份信息的情况下实现身份标识实名认证,实现更加安全、便捷的数字身份验证。

Description

身份标识注册方法、身份标识验证方法、装置及***
技术领域
本发明涉及计算机技术领域,更具体的,涉及一种身份标识注册方法、身份标识验证方法、装置及***。
背景技术
目前,中心化身份管理模式与分布式身份管理模式是最主要的数字身份管理模式。
中心化身份管理模式其数字身份数据大多由单一的中心机构管理和控制,如各种网络服务账号等,中心化机构对身份数据具有使用权和解释权。但是,中心化身份管理导致用户各种各样的数字身份散落在互联网上,并且不受用户控制,导致个人隐私无法保障。
分布式身份标识符(英文全称:Decentralized Identity,英文简称:DID)是一种分布式身份管理模式,基于区块链多节点共识的特性生成分布式身份符,虽然能部分解决用户身份自主控制问题,但是用户采用完全匿名的方式注册DID,无法对其实现有效的监管。
因此,目前无论中心化身份管理模式还是分布式身份管理模式,都存在一定缺陷,无法实现安全、便捷的数字身份验证。
发明内容
有鉴于此,本发明提供了一种身份标识注册方法、身份标识验证方法、装置及***,结合eID技术与区块链技术,实现更加安全、便捷的数字身份验证。
为了实现上述发明目的,本发明提供的具体技术方案如下:
一种身份标识注册方法,应用于公民网络身份识别***,所述方法包括:
在接收到用户提交的网络电子身份标识eID注册请求的情况下,生成用户实名认证的eID;
在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证;
将用户的eID哈希值与所述目标网络服务***下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证***;
在接收到所述区块链分布式身份认证***发送的所述目标网络服务***下用户分布式身份标识符DID的情况下,将所述目标网络服务***下的用户eID 数字身份凭证与用户DID进行拼接加密,生成分布式可信数字身份二维码;
将所述分布式可信数字身份二维码发送给用户。
一种身份标识验证方法,应用于公民网络身份识别***,所述方法包括:
在接收到网络服务***发送的身份标识验证请求的情况下,识别所述身份标识验证请求携带的分布式可信数字身份二维码,得到在所述网络服务***下的用户eID 数字身份凭证与用户DID;
对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验;
在对在所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过的情况下,通过所述网络服务***向用户发起零知识证明请求;
在通过所述网络服务***接收到用户提交的零知识验证信息的情况下,对所述零知识验证信息进行验证;
向所述网络服务***反馈对所述零知识验证信息的验证结果。
可选的,区块链分布式身份认证***存储有所述网络服务***下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。
可选的,对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验,包括:
利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在;
若不存在,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在,利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
若不存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过。
可选的,对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验,包括:
向所述区块链分布式身份认证***发送携带有用户DID的数据查询请求;
根据接收到的所述区块链分布式身份认证***反馈的用户DID对应的用户eID 数字身份凭证哈希值,确定所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
在所述网络服务***下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下,确定对所述网络服务***下的用户eID数字身份凭证与用户DID校验通过,反之则校验不通过。
可选的,通过所述网络服务***向用户发起零知识证明请求,包括:
确定随机种子;
通过所述网络服务***向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。
可选的,对所述零知识验证信息进行验证,包括:
根据所述随机数生成器与所述随机种子,生成多个不大于用户eID长度值的正整数;
分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符;
根据生成的各个正整数的顺序,对提取到的每个所述正整数对应的字符进行拼接,得到拼接字符串;
计算所述拼接字符串的哈希值;
根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。
一种身份标识注册装置,应用于公民网络身份识别***,所述装置包括:
eID注册单元,用于在接收到用户提交的网络电子身份标识eID注册请求的情况下,生成用户实名认证的eID;
eID凭证生成单元,用于在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证;
哈希值存储单元,用于将用户的eID哈希值与所述目标网络服务***下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证***;
二维码生成单元,用于在接收到所述区块链分布式身份认证***发送的所述目标网络服务***下用户分布式身份标识符DID的情况下,将所述目标网络服务***下的用户eID 数字身份凭证与用户DID进行拼接加密,生成分布式可信数字身份二维码;
二维码发送单元,用于将所述分布式可信数字身份二维码发送给用户。
一种身份标识验证装置,应用于公民网络身份识别***,所述装置包括:
二维码识别单元,用于在接收到网络服务***发送的身份标识验证请求的情况下,识别所述身份标识验证请求携带的分布式可信数字身份二维码,得到在所述网络服务***下的用户eID 数字身份凭证与用户DID;
标识校验单元,用于对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验;
零知识证明发起单元,用于在对在所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过的情况下,通过所述网络服务***向用户发起零知识证明请求;
零知识信息验证单元,用于在通过所述网络服务***接收到用户提交的零知识验证信息的情况下,对所述零知识验证信息进行验证;
验证结果反馈单元,用于向所述网络服务***反馈对所述零知识验证信息的验证结果。
可选的,区块链分布式身份认证***存储有所述网络服务***下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。
可选的,所述标识校验单元,具体用于:
利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在;
若不存在,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在,利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
若不存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过。
可选的,所述标识校验单元,具体用于:
向所述区块链分布式身份认证***发送携带有用户DID的数据查询请求;
根据接收到的所述区块链分布式身份认证***反馈的用户DID对应的用户eID 数字身份凭证哈希值,确定所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
在所述网络服务***下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下,确定对所述网络服务***下的用户eID数字身份凭证与用户DID校验通过,反之则校验不通过。
可选的,所述零知识证明发起单元,具体用于:
确定随机种子;
通过所述网络服务***向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。
可选的,所述零知识信息验证单元,具体用于:
根据所述随机数生成器与所述随机种子,生成多个不大于用户eID长度值的正整数;
分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符;
根据生成的各个正整数的顺序,对提取到的每个所述正整数对应的字符进行拼接,得到拼接字符串;
计算所述拼接字符串的哈希值;
根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。
一种身份标识验证***,包括:公民网络身份识别***、区块链分布式身份认证***和至少一个网络服务***;
所述公民网络身份识别***,用于执行上述实施例公开的一种身份标识注册方法以及一种身份标识验证方法;
所述区块链分布式身份认证***,用于在接收到用户提交的目标网络服务***下的DID注册请求的情况下,生成所述目标网络服务***下的用户DID,并将所述目标网络服务***下的用户DID与用户eID数字身份凭证哈希值进行绑定;
所述网络服务***,用户在接收到用户提交的携带有分布式可信数字身份二维码的网络服务请求的情况下,向所述公民网络身份识别***发送携带有所述可信数字身份二维码的身份标识验证请求,并根据所述公民网络身份识别***反馈的验证结果确定是否允许用户使用网络服务。
相对于现有技术,本发明的有益效果如下:
本发明公开的一种身份标识注册方法以及身份标识验证方法,应用于公民网络身份识别***,在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证,并将用户的eID的哈希值与目标网络服务***下的用户eID数字身份凭证的哈希值存储到区块链分布式身份认证***。然后通过将区块链分布式身份认证***发送的目标网络服务***下用户DID与eID数字身份凭证进行拼接加密,生成分布式可信数字身份二维码,用户的分布式可信数字身份二维码经过验证后可使用对应的网络服务***。本发明中用户的身份信息由用户自身控制,在公民网络身份识别***和区块链分布式身份认证***双重信任背书下,网络服务***在不需要存储用户身份信息的情况下实现身份标识实名认证,通过将eID数字身份凭证与DID进行绑定,解决了DID滥用无法监管的问题,提高了用户身份标识的安全性,实现更加安全、便捷的数字身份验证。
此外,由于不同网络服务***下用户的eID数字身份凭证以及DID各不相同,用户在不同网络服务***的行为数据无法被汇集和分析,从而降低了用户隐私信息被挖掘的风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种身份标识注册方法的流程示意图;
图2为本发明实施例公开的一种身份标识验证方法的流程示意图;
图3为本发明实施例公开的一种身份标识注册装置的结构示意图;
图4为本发明实施例公开的一种身份标识验证装置的结构示意图;
图5为本发明实施例公开的一种身份标识验证***示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本实施例公开了一种身份标识注册方法,具体包括以下步骤:
S101:在接收到用户提交的网络电子身份标识eID注册请求的情况下,生成用户实名认证的eID;
eID是以国产自主密码技术为基础、以智能安全芯片为载体,采用空中开通或临柜面审的方式,依据对法定身份证件核验的结果,由公民网络身份识别***签发给公民的网络电子身份标识,不仅能够在***露身份信息的前提下在线识别自然人主体,还能用于线下身份证明。
在本实施例中用户可以通过网络用户客户端向公民网络身份识别***提交eID注册请求。
S102:在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证;
用户的eID是唯一的,但是用户在不同网络服务***下的eID数字身份凭证是不同的。
公民网络身份识别***解析用户提交的开通网络服务访问权限请求,得到目标网络服务***的标识,然后基于目标网络服务***的信息与用户信息生成目标网络服务***下用户实名认证的eID数字身份凭证。
如果网络服务***为网站,生成eID数字身份凭证所需信息可以包括网址、用户名、关联手机号或邮箱等;如果网络服务***为是APP,生成eID数字身份凭证所需信息可以包括APP名称、其唯一标识符ID(Android***是ApplicationId,iOS***是App IDs、用户名、关联手机号或邮箱等。
S103:将用户的eID哈希值与目标网络服务***下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证***;
由于区块链分布式身份认证***上的数据是公开的,所有节点都可以看到,为了保护用户的eID数字身份凭证,需要将仅eID数字身份凭证哈希值存储到区块链分布式身份认证***。
S104:在接收到区块链分布式身份认证***发送的目标网络服务***下用户分布式身份标识符DID的情况下,将目标网络服务***下的用户eID 数字身份凭证与用户DID进行拼接加密,生成分布式可信数字身份二维码;
区块链分布式身份认证***也会存储有目标网络服务***下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。
其中,目标网络服务***下的用户eID 数字身份凭证与用户DID的拼接方式可以预先设定,对数据进行加密生成二维码为现有技术,在此不再赘述。
S105:将分布式可信数字身份二维码发送给用户。
也就是说,只有用户与公民网络身份识别***知道用户eID以及目标网络服务***下用户eID数字身份凭证,网络服务***不可知。
基于上述实施例公开的一种身份标识注册方法,本实施例对应公开了一种身份标识验证方法,应用于公民网络身份识别***,请参阅图2,该方法包括以下步骤:
S201:在接收到网络服务***发送的身份标识验证请求的情况下,识别身份标识验证请求携带的分布式可信数字身份二维码,得到在网络服务***下的用户eID 数字身份凭证与用户DID;
用户在需要使用网络服务***的服务之前,需要通过网络服务***的身份认证,具体的,用户可以通过网络用户客户端向网络服务***提供该网络服务***下的分布式可信数字身份二维码,网络服务***无法获知分布式可信数字身份二维码中的eID数字身份凭证。
公民网络身份识别***识别身份标识验证请求携带的分布式可信数字身份二维码,得到在网络服务***下的用户eID 数字身份凭证与用户DID。
S202:对在网络服务***下的用户eID 数字身份凭证与用户DID进行校验;
为了实现公民网络身份识别***和区块链分布式身份认证***双重信任背书,对在网络服务***下的用户eID 数字身份凭证与用户DID进行校验,具体包括:
利用区块链分布式身份认证***验证网络服务***下的用户eID 数字身份凭证与用户DID 是否存在;
若不存在,则确定对网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在,利用区块链分布式身份认证***验证网络服务***下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
若不存在绑定关系,则确定对网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在绑定关系,则确定对网络服务***下的用户eID 数字身份凭证与用户DID校验通过。
具体的,利用区块链分布式身份认证***验证网络服务***下的用户eID 数字身份凭证与用户DID 是否存在以及利用区块链分布式身份认证***验证网络服务***下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系,具体为:
向区块链分布式身份认证***发送携带有用户DID的数据查询请求;
计算识别分布式可信数字身份二维码得到的eID数字身份凭证的哈希值,根据接收到的区块链分布式身份认证***反馈的用户DID对应的用户eID 数字身份凭证哈希值,对比计算得到的eID数字身份凭证的哈希值与请求区块链分布式身份认证***得到的eID数字身份凭证的哈希值是否一致,从而确定网络服务***下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系。
在网络服务***下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下,确定对网络服务***下的用户eID 数字身份凭证与用户DID校验通过,反之则校验不通过。
S203:在对在网络服务***下的用户eID 数字身份凭证与用户DID校验通过的情况下,通过网络服务***向用户发起零知识证明请求;
首先确定随机种子,然后通过网络服务***向用户发起携带有随机数生成器与随机种子的零知识证明请求。
S204:在通过网络服务***接收到用户提交的零知识验证信息的情况下,对零知识验证信息进行验证;
公民网络身份识别***在通过网络服务***向用户发起零知识证明请求之后,公民网络身份识别***与网络用户客户端分别执行以下操作:
根据随机数生成器与随机种子,生成多个不大于用户eID长度值的正整数;
分别从用户eID中每个正整数对应位置处提取每个正整数对应的字符,如正整数为2则从用户eID中第2个字符处提取字符;
根据生成的各个正整数的顺序,对提取到的每个正整数对应的字符进行拼接,得到拼接字符串;
计算拼接字符串的哈希值。
若用户为真实用户,则该用户有正确的用户eID,由于随机数生成器本质是一个算法,在用户与公民网络身份识别***利用相同的随机数生成器、随机种子(即初始值)以及用户eID的情况下,双方执行该随机数生成器算法,产生的随机数序列是相同的,最后得到的拼接字符串的哈希值也是相同的。
根据零知识验证信息与零知识证明算法验证用户是否知道拼接字符串的哈希值,即可验证对用户进行实名认证。零知识证明指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。
本实施例中根据零知识验证信息与零知识证明算法验证用户是否知道拼接字符串的哈希值,包括:
网络用户选择一个大素数p及其原根g,即p和g均为正整数,互质,d满足gd ≡1(mod p),当d=δ(p,g)= φ(p)成立时,称g为p的原根,其中δ(p,g) 表示使该式成立的最小的正整数d,φ(p)是小于或者等于p的正整数中与p互质的数的个数。计算q=gH(mod p)。用户将p、g发送给公民网络身份识别***。
网络用户随机生成一个正整数r,从算法安全性方面考虑,r越大安全性越高,一般要求r大于5,计算(r×s)≡H(mod p-1),得到s,如果s大于5,则满足条件,否则重新选择随机数并计算s。计算q1=gr(mod p),并将q1发送给公民网络身份识别***。
公民网络身份识别***生成一个随机数m,计算q2=gm(mod p),将q2发送给用户。
用户计算q3=(q2)r(mod p),将q3发送给公民网络身份识别***。
公民网络身份识别***计算q4=(q1)m(mod p),如果q3=q4,则证明用户发送的q1为gr(mod p)。
公民网络身份识别***生成另一个随机数n,计算q5=(q1)n(mod p),将q5发送给用户。
用户计算q6=(q5)s(mod p),将q6发送给公民网络身份识别***。
公民网络身份识别***首先基于自身存储的该用户的eID,以双方约定的方式得到拼接字符串S,并计算其哈希值H,计算q=gH(mod p),进而计算q7=qn(mod p),如果q7=q6,则证明用户确实知道哈希值H,即证明了该用户拥有该网络电子身份标识eID。
由于用户通过零知识证明实现用户的实名身份认证,不需要用户提供指纹、人脸等隐私信息,避免了用户在身份认证时可能导致的隐私信息泄露问题。
S205:向网络服务***反馈对零知识验证信息的验证结果。
网络服务***根据公民网络身份识别***反馈的零知识验证信息的验证结果确定是否向用户提供网络服务。
本实施例公开的一种身份标识验证方法,将网络电子身份标识(eID)和区块链技术相结合构建分布式可信数字身份管理和认证体系,以eID数字身份为基础,借助区块链不可篡改、可追溯的特性,实现用户数字身份自主可控及可信身份认证。
同时以用户eID为根,为每一项网络服务生成全网唯一的基于eID的分布式可信数字身份二维码,切断同一用户不同网络服务之间的关联关系,从而阻止在未经用户授权情况下用户不同维度的行为数据被汇集和分析。
同时将区块链技术引入eID数字身份体系,提升了该体系对数字身份的不可篡改、可追溯管理能力
同时通过零知识证明算法替换现有技术中通过人脸、指纹识别等方式实现身份验证,提升了身份认证过程的隐私保护能力。
基于上述实施例公开的一种身份标识注册方法,本实施例对应公开了一种身份标识注册装置,应用于公民网络身份识别***,请参阅图3,所述装置包括:
eID注册单元301,用于在接收到用户提交的网络电子身份标识eID注册请求的情况下,生成用户实名认证的eID;
eID凭证生成单元302,用于在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证;
哈希值存储单元303,用于将用户的eID哈希值与所述目标网络服务***下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证***;
二维码生成单元304,用于在接收到所述区块链分布式身份认证***发送的所述目标网络服务***下用户分布式身份标识符DID的情况下,将所述目标网络服务***下的用户eID 数字身份凭证与用户DID进行拼接加密,生成分布式可信数字身份二维码;
二维码发送单元305,用于将所述分布式可信数字身份二维码发送给用户。
基于上述实施例公开的一种身份标识验证方法,本实施例对应公开了一种身份标识验证装置,应用于公民网络身份识别***,请参阅图4,所述装置包括:
二维码识别单元401,用于在接收到网络服务***发送的身份标识验证请求的情况下,识别所述身份标识验证请求携带的分布式可信数字身份二维码,得到在所述网络服务***下的用户eID 数字身份凭证与用户DID;
标识校验单元402,用于对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验;
零知识证明发起单元403,用于在对在所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过的情况下,通过所述网络服务***向用户发起零知识证明请求;
零知识信息验证单元404,用于在通过所述网络服务***接收到用户提交的零知识验证信息的情况下,对所述零知识验证信息进行验证;
验证结果反馈单元405,用于向所述网络服务***反馈对所述零知识验证信息的验证结果。
可选的,区块链分布式身份认证***存储有所述网络服务***下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。
可选的,所述标识校验单元402,具体用于:
利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在;
若不存在,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在,利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
若不存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过。
可选的,所述标识校验单元402,具体用于:
向所述区块链分布式身份认证***发送携带有用户DID的数据查询请求;
根据接收到的所述区块链分布式身份认证***反馈的用户DID对应的用户eID 数字身份凭证哈希值,确定所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
在所述网络服务***下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下,确定对所述网络服务***下的用户eID数字身份凭证与用户DID校验通过,反之则校验不通过。
可选的,所述零知识证明发起单元403,具体用于:
确定随机种子;
通过所述网络服务***向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。
可选的,所述零知识信息验证单元404,具体用于:
根据所述随机数生成器与所述随机种子,生成多个不大于用户eID长度值的正整数;
分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符;
根据生成的各个正整数的顺序,对提取到的每个所述正整数对应的字符进行拼接,得到拼接字符串;
计算所述拼接字符串的哈希值;
根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。
本实施例还公开了一种身份标识验证***,请参阅图5,身份标识验证***包括:公民网络身份识别***、区块链分布式身份认证***和至少一个网络服务***,网络用户通过网络用户客户端分别与公民网络身份识别***、区块链分布式身份认证***和至少一个网络服务***进行信息交互。
所述公民网络身份识别***包括eID数字身份签发模块和eID数字身份凭证认证模块,分别用于执行上述实施例公开的一种身份标识注册方法以及一种身份标识验证方法;
所述区块链分布式身份认证***,用于在接收到用户提交的目标网络服务***下的DID注册请求的情况下,生成所述目标网络服务***下的用户DID,并将所述目标网络服务***下的用户DID与用户eID数字身份凭证哈希值进行绑定;
所述网络服务***,用户在接收到用户提交的携带有分布式可信数字身份二维码的网络服务请求的情况下,向所述公民网络身份识别***发送携带有所述可信数字身份二维码的身份标识验证请求,并根据所述公民网络身份识别***反馈的验证结果确定是否允许用户使用网络服务。
本实施例公开的一种身份标识验证***,应用于公民网络身份识别***,在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证,并将用户的eID的哈希值与目标网络服务***下的用户eID数字身份凭证的哈希值存储到区块链分布式身份认证***。然后通过将区块链分布式身份认证***发送的目标网络服务***下用户DID与eID数字身份凭证进行拼接加密,生成分布式可信数字身份二维码,用户的分布式可信数字身份二维码经过验证后可使用对应的网络服务***。本发明中用户的身份信息由用户自身控制,在公民网络身份识别***和区块链分布式身份认证***双重信任背书下,网络服务***在不需要存储用户身份信息的情况下实现身份标识实名认证,提高了用户身份标识的安全性,实现更加安全、便捷的数字身份验证。
此外,由于不同网络服务***下用户的eID数字身份凭证以及DID各不相同,用户在不同网络服务***的行为数据无法被汇集和分析,从而降低了用户隐私信息被挖掘的风险。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
上述各个实施例之间可任意组合,对所公开的实施例的上述说明,本说明书中各实施例中记载的特征可以相互替换或者组合,使本领域专业技术人员能够实现或使用本申请。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种身份标识注册方法,其特征在于,应用于公民网络身份识别***,所述方法包括:
在接收到用户提交的网络电子身份标识eID注册请求的情况下,生成用户实名认证的eID;
在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证;
将用户的eID哈希值与所述目标网络服务***下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证***;
在接收到所述区块链分布式身份认证***发送的所述目标网络服务***下用户分布式身份标识符DID的情况下,将所述目标网络服务***下的用户eID 数字身份凭证与用户DID进行拼接加密,生成分布式可信数字身份二维码;
将所述分布式可信数字身份二维码发送给用户。
2.一种身份标识验证方法,其特征在于,应用于公民网络身份识别***,所述方法包括:
在接收到网络服务***发送的身份标识验证请求的情况下,识别所述身份标识验证请求携带的分布式可信数字身份二维码,得到在所述网络服务***下的用户eID 数字身份凭证与用户DID;
对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验;
在对在所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过的情况下,通过所述网络服务***向用户发起零知识证明请求;
在通过所述网络服务***接收到用户提交的零知识验证信息的情况下,对所述零知识验证信息进行验证;
向所述网络服务***反馈对所述零知识验证信息的验证结果。
3.根据权利要求2所述的方法,其特征在于,区块链分布式身份认证***存储有所述网络服务***下的用户DID、用户eID数字身份凭证哈希值以及用户DID与用户eID数字身份凭证哈希值之间的绑定关系。
4.根据权利要求3所述的方法,其特征在于,对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验,包括:
利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在;
若不存在,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在,利用所述区块链分布式身份认证***验证所述网络服务***下的用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
若不存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验不通过;
若存在绑定关系,则确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过。
5.根据权利要求4所述的方法,其特征在于,对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验,包括:
向所述区块链分布式身份认证***发送携带有用户DID的数据查询请求;
根据接收到的所述区块链分布式身份认证***反馈的用户DID对应的用户eID 数字身份凭证哈希值,确定所述网络服务***下的用户eID 数字身份凭证与用户DID 是否存在以及用户eID 数字身份凭证与用户DID之间是否存在绑定关系;
在所述网络服务***下的用户eID 数字身份凭证与用户DID存在且用户eID 数字身份凭证与用户DID之间存在绑定关系的情况下,确定对所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过,反之则校验不通过。
6.根据权利要求2所述的方法,其特征在于,通过所述网络服务***向用户发起零知识证明请求,包括:
确定随机种子;
通过所述网络服务***向用户发起携带有随机数生成器与所述随机种子的零知识证明请求。
7.根据权利要求6所述的方法,其特征在于,对所述零知识验证信息进行验证,包括:
根据所述随机数生成器与所述随机种子,生成多个不大于用户eID长度值的正整数;
分别从用户eID中每个所述正整数对应位置处提取每个所述正整数对应的字符;
根据生成的各个正整数的顺序,对提取到的每个所述正整数对应的字符进行拼接,得到拼接字符串;
计算所述拼接字符串的哈希值;
根据所述零知识验证信息与零知识证明算法验证用户是否知道所述拼接字符串的哈希值。
8.一种身份标识注册装置,其特征在于,应用于公民网络身份识别***,所述装置包括:
eID注册单元,用于在接收到用户提交的网络电子身份标识eID注册请求的情况下,生成用户实名认证的eID;
eID凭证生成单元,用于在接收到用户提交的开通网络服务访问权限请求的情况下,生成用户本次需要开通访问权限的目标网络服务***下用户实名认证的eID数字身份凭证;
哈希值存储单元,用于将用户的eID哈希值与所述目标网络服务***下用户的eID数字身份凭证哈希值存储到区块链分布式身份认证***;
二维码生成单元,用于在接收到所述区块链分布式身份认证***发送的所述目标网络服务***下用户分布式身份标识符DID的情况下,将所述目标网络服务***下的用户eID数字身份凭证与用户DID进行拼接加密,生成分布式可信数字身份二维码;
二维码发送单元,用于将所述分布式可信数字身份二维码发送给用户。
9.一种身份标识验证装置,其特征在于,应用于公民网络身份识别***,所述装置包括:
二维码识别单元,用于在接收到网络服务***发送的身份标识验证请求的情况下,识别所述身份标识验证请求携带的分布式可信数字身份二维码,得到在所述网络服务***下的用户eID 数字身份凭证与用户DID;
标识校验单元,用于对在所述网络服务***下的用户eID 数字身份凭证与用户DID进行校验;
零知识证明发起单元,用于在对在所述网络服务***下的用户eID 数字身份凭证与用户DID校验通过的情况下,通过所述网络服务***向用户发起零知识证明请求;
零知识信息验证单元,用于在通过所述网络服务***接收到用户提交的零知识验证信息的情况下,对所述零知识验证信息进行验证;
验证结果反馈单元,用于向所述网络服务***反馈对所述零知识验证信息的验证结果。
10.一种身份标识验证***,其特征在于,包括:公民网络身份识别***、区块链分布式身份认证***和至少一个网络服务***;
所述公民网络身份识别***,用于执行如权利要求1所述的一种身份标识注册方法以及权利要求2~7中任意一项所述的一种身份标识验证方法;
所述区块链分布式身份认证***,用于在接收到用户提交的目标网络服务***下的DID注册请求的情况下,生成所述目标网络服务***下的用户DID,并将所述目标网络服务***下的用户DID与用户eID数字身份凭证哈希值进行绑定;
所述网络服务***,用户在接收到用户提交的携带有分布式可信数字身份二维码的网络服务请求的情况下,向所述公民网络身份识别***发送携带有所述可信数字身份二维码的身份标识验证请求,并根据所述公民网络身份识别***反馈的验证结果确定是否允许用户使用网络服务。
CN202111207037.8A 2021-10-18 2021-10-18 身份标识注册方法、身份标识验证方法、装置及*** Pending CN113641975A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111207037.8A CN113641975A (zh) 2021-10-18 2021-10-18 身份标识注册方法、身份标识验证方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111207037.8A CN113641975A (zh) 2021-10-18 2021-10-18 身份标识注册方法、身份标识验证方法、装置及***

Publications (1)

Publication Number Publication Date
CN113641975A true CN113641975A (zh) 2021-11-12

Family

ID=78427317

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111207037.8A Pending CN113641975A (zh) 2021-10-18 2021-10-18 身份标识注册方法、身份标识验证方法、装置及***

Country Status (1)

Country Link
CN (1) CN113641975A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913772A (zh) * 2022-12-20 2023-04-04 四川启睿克科技有限公司 一种基于零信任的智慧家庭设备安全防护***及方法
CN116089921A (zh) * 2023-04-07 2023-05-09 北京微芯感知科技有限公司 一种分布式数字身份的可识别标识符生成方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180048461A1 (en) * 2016-08-10 2018-02-15 Peer Ledger Inc. Apparatus, system, and methods for a blockchain identity translator
CN112311530A (zh) * 2020-10-29 2021-02-02 中国科学院信息工程研究所 一种基于区块链的联盟信任分布式身份凭证管理认证方法
CN112580102A (zh) * 2020-12-29 2021-03-30 郑州大学 基于区块链的多维度数字身份鉴别***
CN113037493A (zh) * 2021-02-27 2021-06-25 上海泰砥科技有限公司 基于did身份的区块链零知识证明匿名凭证验证方法及***
CN113139204A (zh) * 2021-01-27 2021-07-20 东南数字经济发展研究院 一种利用零知识证明和洗牌算法的医疗数据隐私保护方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180048461A1 (en) * 2016-08-10 2018-02-15 Peer Ledger Inc. Apparatus, system, and methods for a blockchain identity translator
CN112311530A (zh) * 2020-10-29 2021-02-02 中国科学院信息工程研究所 一种基于区块链的联盟信任分布式身份凭证管理认证方法
CN112580102A (zh) * 2020-12-29 2021-03-30 郑州大学 基于区块链的多维度数字身份鉴别***
CN113139204A (zh) * 2021-01-27 2021-07-20 东南数字经济发展研究院 一种利用零知识证明和洗牌算法的医疗数据隐私保护方法
CN113037493A (zh) * 2021-02-27 2021-06-25 上海泰砥科技有限公司 基于did身份的区块链零知识证明匿名凭证验证方法及***

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913772A (zh) * 2022-12-20 2023-04-04 四川启睿克科技有限公司 一种基于零信任的智慧家庭设备安全防护***及方法
CN115913772B (zh) * 2022-12-20 2024-06-04 四川启睿克科技有限公司 一种基于零信任的智慧家庭设备安全防护***及方法
CN116089921A (zh) * 2023-04-07 2023-05-09 北京微芯感知科技有限公司 一种分布式数字身份的可识别标识符生成方法

Similar Documents

Publication Publication Date Title
US11842317B2 (en) Blockchain-based authentication and authorization
Bera et al. Designing blockchain-based access control protocol in IoT-enabled smart-grid system
CN107196966B (zh) 基于区块链的多方信任的身份认证方法和***
EP1701283B1 (en) Method and System for Asymmetric Key Security
US9531540B2 (en) Secure token-based signature schemes using look-up tables
US10846372B1 (en) Systems and methods for trustless proof of possession and transmission of secured data
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及***
CN113301022B (zh) 基于区块链和雾计算的物联网设备身份安全认证方法
CN113162768A (zh) 一种基于区块链的智能物联网设备认证方法及***
KR20060133403A (ko) Ocsp응답자의 세션 개인키의 노출에 대한 검출 시스템및 그 검출 방법
CA2795745A1 (en) Cryptographic document processing in a network
WO2019110399A1 (en) Two-party signature device and method
Subha et al. Efficient privacy preserving integrity checking model for cloud data storage security
CN113641975A (zh) 身份标识注册方法、身份标识验证方法、装置及***
Vangala et al. Provably secure signature‐based anonymous user authentication protocol in an Internet of Things‐enabled intelligent precision agricultural environment
CN109302286B (zh) 一种Fido设备密钥索引的生成方法
CN113849797A (zh) 数据安全漏洞的修复方法、装置、设备及存储介质
CN115883102B (zh) 基于身份可信度的跨域身份认证方法、***及电子设备
CN111245611A (zh) 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及***
CN113766452B (zh) 一种v2x通信***、通信密钥分发方法与隐式认证方法
CN110572257B (zh) 基于身份的数据来源鉴别方法和***
Jesudoss et al. Enhanced certificate-based authentication for distributed environment
Chaudhari et al. Towards lightweight provable data possession for cloud storage using indistinguishability obfuscation
Arun Kumar et al. Noble authentication protocol with privacy preservation policy for public auditing on shared data
Tripti et al. Secure data sharing using Merkle hash digest based blockchain identity management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211112

RJ01 Rejection of invention patent application after publication