CN116647371A - 一种基于区块链的身份授权方法及装置 - Google Patents

一种基于区块链的身份授权方法及装置 Download PDF

Info

Publication number
CN116647371A
CN116647371A CN202310491967.3A CN202310491967A CN116647371A CN 116647371 A CN116647371 A CN 116647371A CN 202310491967 A CN202310491967 A CN 202310491967A CN 116647371 A CN116647371 A CN 116647371A
Authority
CN
China
Prior art keywords
identity
authorization
blockchain
provider
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310491967.3A
Other languages
English (en)
Inventor
窦方钰
陈锣斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202310491967.3A priority Critical patent/CN116647371A/zh
Publication of CN116647371A publication Critical patent/CN116647371A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于区块链的身份授权方法,应用于去中心数字身份的区块链对应的服务端,所述区块链中的区块链成员包括身份证明提供方、身份证明使用方和身份证明验证方;所述方法包括:接收任一身份证明使用方发起的向身份证明验证方进行身份授权的授权请求;其中,所述授权请求包括与本地存储的可追溯的身份证明相关的授权信息,和提供所述可追溯的身份证明的身份证明提供方的去中心化数字身份;响应于所述授权请求,基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,并将所述授权记录存证到区块链中。

Description

一种基于区块链的身份授权方法及装置
技术领域
本发明涉及一种区块链技术,尤其涉及一种基于区块链的身份授权方法及装置。
背景技术
去中心化数字身份(Decentralized Identity,DID)是一种基于区块链技术实现的数字身份***,具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。
某个DID用户可以给另一个DID用户的某些身份信息做背书,并生成提供给另一个DID用户的身份证明。这个提供身份证明的DID用户可以称为身份证明提供方,而另一个DID用户可以称为身份证明使用方。
进一步的,身份证明使用方可以将身份证明授权给其他的DID用户,以身份证明提供方的背书来证明自身身份的真实性。被授权身份证明的其他DID用户可以称为身份证明验证方。
由于身份证明是以身份证明提供方的信用作为背书,因此为了避免身份证明被滥用,或者冒用他人的身份证明;需要提供可追溯的身份授权方案。
发明内容
本发明的目的之一在于提供一种基于区块链的身份授权方法,该方法可以实现去中心化数字身份中可追溯的身份授权。
基于根据上述发明目的,本发明提出了一种基于区块链的身份授权方法,应用于去中心数字身份的区块链对应的服务端,所述区块链中的区块链成员包括身份证明提供方、身份证明使用方和身份证明验证方;所述方法包括:
接收任一身份证明使用方发起的向身份证明验证方进行身份授权的授权请求;其中,所述授权请求包括与本地存储的可追溯的身份证明相关的授权信息,和提供所述可追溯的身份证明的身份证明提供方的去中心化数字身份;
响应于所述授权请求,基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,并将所述授权记录存证到区块链中。
在本发明中,通过将授权信息与身份证明提供方的去中心化数字身份绑定后生成的授权记录存证到区块链,使得身份证明使用方每次授权身份证明时都有迹可循,且授权记录无法被篡改。
进一步地,在一些实施例中,所述身份证明使用方本地还存储有所述身份证明提供方提供的不可追溯的身份证明;
所述可追溯的身份证明和不可追溯的身份证明具有相同的身份信息,并设置表示是否可追溯的追溯字段;
其中,所述可追溯的身份证明中的追溯字段的字段值为第一字段值,所述不可追溯的身份证明中的追溯字段的字段值为第二字段值;所述第一字段值表示可追溯,所述第二字段值表示不可追溯。
进一步地,在一些实施例中,所述授权信息包括所述身份证明使用方选择授权的所述可追溯的身份证明中的全部或部分的身份信息;其中,在所述身份证明使用方选择身份信息过程中,以可视化方式向所述身份证明使用方展示请求授权的身份证明为可追溯的身份证明。
进一步地,在一些实施例中,所述方法还包括:
接收任一身份证明提供方发起的追溯请求;其中,所述追溯请求包括所述身份证明提供方的去中心化数字身份;
响应于所述追溯请求,查询所述区块链中所有身份证明使用方存证的授权记录中、具有所述身份证明提供方的去中心化数字身份的目标授权记录;
将所述目标授权记录返回给所述身份证明提供方,以供所述身份证明提供方查看。
进一步地,在一些实施例中,所述区块链中存证有与所述身份证明提供方的去中心化数字身份对应的身份公钥;
所述基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,包括:
从区块链中查询与所述身份证明提供方的去中心化数字身份对应的身份公钥;
基于所述身份公钥对所述授权信息和进行加密;
基于所述加密的授权信息和所述身份证明提供方的去中心化数字身份生成授权记录。
进一步地,在一些实施例中,所述将所述目标授权记录返回给所述身份证明提供方,以供所述身份证明提供方查看,包括:
将所述目标授权记录返回给所述身份证明提供方,以使所述身份证明提供方基于本地存储的身份私钥解密所述目标授权记录中加密的授权信息。
进一步地,在一些实施例中,所述授权请求包括身份证明验证方的去中心化数字身份,所述区块链中存证有与所述身份证明验证方的去中心化数字身份对应的身份公钥;所述方法还包括:
响应于所述授权请求,从区块链中查询与所述身份证明验证方的去中心化数字身份对应的身份公钥;
基于所述身份公钥对所述授权信息和进行加密,并将加密后的授权信息发送给所述身份证明验证方;以使所述身份证明验证方基于本地存储的身份私钥解密所述加密后的授权信息,得到所述身份证明使用方授权的授权信息。
进一步地,在一些实施例中,所述服务端包括区块链即服务平台。
本发明的还提供一种基于区块链的身份授权装置,应用于去中心数字身份的区块链对应的服务端,所述区块链中的区块链成员包括身份证明提供方、身份证明使用方和身份证明验证方;所述装置包括:
接收模块,接收任一身份证明使用方发起的向身份证明验证方进行身份授权的授权请求;其中,所述授权请求包括与本地存储的可追溯的身份证明相关的授权信息,和提供所述可追溯的身份证明的身份证明提供方的去中心化数字身份;
响应模块,响应于所述授权请求,基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,并将所述授权记录存证到区块链中。
本发明的还提供一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的基于区块链的身份授权方法。
本发明的还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一所述的基于区块链的身份授权方法。
本发明所述的基于区块链的身份授权方法及装置具有以下有益效果:
本发明通过将授权信息与身份证明提供方的去中心化数字身份绑定;一方面将基于绑定的授权信息与身份证明提供方的去中心化数字身份生成的授权记录存证到区块链,使得身份证明使用方每次授权身份证明时都有迹可循,且授权记录无法被篡改。另一方面,身份证明提供方可以从区块链中查询到与自身去中心化数字身份绑定的所有授权记录,通过这些授权记录能够从中获知下发的每个身份证明的授权情况。如此,实现去中心化数字身份场景下可追溯的身份授权。
附图说明
图1示例性地示出了区块链下的身份授权***的示意图;
图2示例性地显示了本发明的基于区块链的身份授权方法的流程示意图;
图3示例性地显示了本发明改进后的区块链下的身份授权***的示意图;
图4示例性地显示了在图3基础上进行加解密的示意图;
图5示例性地显示了本发明所述的基于区块链的身份授权装置的模块示意图。
具体实施方式
下面将结合说明书附图和具体的实施例来对本发明所述的基于区块链的身份授权方法及装置、计算机可读存储介质、电子设备进行进一步地详细说明,但是该详细说明不构成对本发明的限制。
首先介绍本发明涉及到的一些技术概念。
去中心化数字身份(Decentralized Identity,DID)是一种基于区块链技术实现的数字身份***,具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。
在实现时,DID一般需要借助去中心化公钥基础设施(Decentralized Public KeyInfrastructure,DPKI)。基于DPKI的区块链可以提供基于密码学技术的安全服务的基础设施,具体通过生成与DID关联的身份公私钥对,并根据身份公私钥对需要传输的数据进行加密和解密,以确保传输的数据的真实性和可信性。
下面请参考图1示出的区块链下的身份授权***的示意图。
根据角色不同,可以将区块链中的区块链成员分为身份证明提供方、身份证明使用方和身份证明验证方。
首先,身份证明提供方、身份证明使用方和身份证明验证方都需要在区块链中注册自身的DID。
这里的注册可以是区块链成员将已有的DID存证在区块链,也可以是指新入网的区块链成员通过区块链进行DID注册,以得到该区块链生成的DID。
身份证明提供方可以给身份证明使用方的某些身份信息做背书,并生成提供给该身份证明使用方的身份证明。
进一步的,身份证明使用方可以将身份证明授权给身份证明验证方,以身份证明提供方的背书来证明自身身份的真实性。
由于身份证明是以身份证明提供方的信用作为背书,因此为了避免身份证明被滥用,或者冒用他人的身份证明;需要提供可追溯的身份授权方案。
在本发明的一个实施例中,提出了一种基于区块链的身份授权的方法,该方法可以实现可追溯的身份授权。
图2示例性地示出了本发明所述的基于区块链的身份授权方法在一种实施方式下的流程示意图,可以应用于去中心数字身份的区块链对应的服务端。
下面请结合图3示出的改进后的区块链下的身份授权***的示意图加以说明。
如图3所示,身份授权***可以包括用于实现去中心化数字身份的区块链(图3中示出的DID的区块链),所述区块链中存证有各自区块链成员上注册的去中心化数字身份;所述区块链成员可以包括身份证明提供方、身份证明使用方和身份证明验证方。
用于供身份证明提供方进行追溯的授权记录可以存证在授权记录的区块链。这个授权记录的区块链可以和DID区块链是同一个区块链,也可以是与DID区块链不同的区块链。
在属于同一个区块链时,生成的身份证明使用方授权的授权记录可以直接存证在DID区块链中。
在不属于同一个区块链时,则需要将生成的身份证明使用方授权的授权记录单独存证在另一个区块链(如图3中的授权记录的区块链)中;并且,上述服务端需要同时与DID区块链和授权记录的区块链连接。
在一些实施例中,所述服务端(图中未示出)可以位于所述身份证明提供方、身份证明使用方和身份证明验证方之间,由于身份证明提供方、身份证明使用方和身份证明验证方可以通过服务端与区块链进行数据交互。
在一些实施例中,服务端可以包括区块链即服务(BaaS,Blockchain as aService)平台。所述BaaS平台可以称之为BaaS云,BaaS平台可以通过为区块链上发生的活动(诸如订阅和通知、用户验证、数据库管理和远程更新),提供预先编写的软件的方式,面向与BaaS平台连接的身份证明提供方、身份证明使用方和身份证明验证方,提供简单易用,一键部署,快速验证,灵活可定制的区块链服务,例如查询服务、验证服务、注册服务、存证服务等等。
回到图2,上述基于区块链的身份授权方法可以包括如下步骤:
210:接收任一身份证明使用方发起的向身份证明验证方进行身份授权的授权请求;其中,所述授权请求包括与本地存储的可追溯的身份证明相关的授权信息,和提供所述可追溯的身份证明的身份证明提供方的去中心化数字身份。
本发明中,身份证明提供方可以为身份证明使用方生成身份证明,并将生成的身份证明发送给所述身份证明使用方,并在所述身份证明使用方的本地存储。
所述身份证明可以表示为身份证明提供方对身份证明使用方的某些身份信息的背书。所述身份证明例如可以包括可验证凭证(Verifiable Claims或VerifiableCredentials,VC)。在可验证凭证中除了背书的身份信息,还可以附加身份证明提供方的数字签名。
在一些实施例中,所述身份证明使用方本地还存储有所述身份证明提供方提供的不可追溯的身份证明;
所述可追溯的身份证明和不可追溯的身份证明具有相同的身份信息,并设置表示是否可追溯的追溯字段;
其中,所述可追溯的身份证明中的追溯字段的字段值为第一字段值,所述不可追溯的身份证明中的追溯字段的字段值为第二字段值;所述第一字段值表示可追溯,所述第二字段值表示不可追溯。
下面以表1所示的VC示例加以说明:
表1
DID为issuer0001的身份证明提供方生成并发送给DID为user0001的身份证明使用方两个VC。这两个VC中增加了用于追溯的追溯字段trace,该追溯字段trace用于定义当前VC是否可以追溯。
当字段值为第一字段值(如表1中为1时),表示VC可以追溯;而当字段值为第二字段值(如表1中为0时),表示VC不可追溯。一般的,默认情况下VC可以是不可追溯的。
在一些实施例中,所述授权信息包括所述身份证明使用方选择授权的所述可追溯的身份证明中的全部或部分的身份信息;其中,在所述身份证明使用方选择身份信息过程中,以可视化方式向所述身份证明使用方展示请求授权的身份证明为可追溯的身份证明。
本发明中,由于身份证明中可以包括若干不同的身份信息(如姓名、证件号、出身日期等),在实际应用时可能不需要将全部身份信息都授权;因此,在身份证明使用方的客户端界面中,可以显示供用户选择授权哪些身份信息的交互选项。这样授权请求中携带的授权信息就可以是用户选择授权的身份信息。
另外,如上所示身份证明使用方本地可以存储有两个VC,因此在客户端界面中还可以显示供用户选择授权哪个身份证明的交互选项。
如果用户选择了不可追溯的身份证明,那么后续流程将按照前述图1中示出的流程进行,这种方式下身份证明提供方将无法追溯到本次授权。
如果用户选择了可追溯的身份证明,那么后续流程将按照图2示出的流程进行,即执行后续步骤220,这种方式下身份证明提供方可以追溯到本次授权
需要说明的是,在用户选择可追溯的身份证明时,可以以可视化方式向身份证明使用方提示请求授权的身份证明为可追溯的身份证明。例如,在身份证明使用方的客户端界面中展示提示信息“本次授权过程将会被记录,可被追溯”。
220:响应于所述授权请求,基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,并将所述授权记录存证到区块链中。
本发明中,通过将授权信息与身份证明提供方的去中心化数字身份绑定;一方面将基于绑定的授权信息与身份证明提供方的去中心化数字身份生成的授权记录存证到区块链,使得身份证明使用方每次授权身份证明时都有迹可循,且授权记录无法被篡改。
下面请结合表2所示的授权信息:
表2
本发明中,授权信息除了身份证明使用方选择授权的所述可追溯的身份证明中的身份信息(表2中“姓名、证件号、出生日期”)之外,还可以包括身份证明使用方的去中心化数字身份(表2中“User0001”)、身份证明的标识(表2中“Vc001”)、身份证明验证方的去中心化数字身份(表2中“Sp001”)和授权时间(表2中“2022-12-04 18:00:00”)。
进一步的,将上述表2中的授权信息与身份证明提供方的去中心化数字身份一起作为授权记录,存证到区块链中。
在一些实施例中,所述方法还包括:
接收任一身份证明提供方发起的追溯请求;其中,所述追溯请求包括所述身份证明提供方的去中心化数字身份;
响应于所述追溯请求,查询所述区块链中所有身份证明使用方存证的授权记录中、具有所述身份证明提供方的去中心化数字身份的目标授权记录;
将所述目标授权记录返回给所述身份证明提供方,以供所述身份证明提供方查看。
本发明中,身份证明提供方可以向服务器发起追溯请求,从而查询区块链中存证的所有包含自身的去中心化数字身份的目标授权记录;进而获取到每个目标授权记录中的授权信息。
对于由同一身份证明提供方下发身份证明的不同身份证明使用方来说,由于每次针对可追溯的身份证明授权产生的授权记录都包含同一身份证明提供方DID;
因此该身份证明提供方可以同时获取到这些不同的身份证明使用方各自存证的授权记录。
通过上述实施例,身份证明提供方可以从区块链中查询到与自身去中心化数字身份绑定的所有授权记录,通过这些授权记录能够从中获知下发的每个身份证明的授权情况。如此,实现去中心化数字身份场景下可追溯的身份授权。
在一些实施例中,所述区块链中存证有与所述身份证明提供方的去中心化数字身份对应的身份公钥;
所述基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,包括:
从区块链中查询与所述身份证明提供方的去中心化数字身份对应的身份公钥;
基于所述身份公钥对所述授权信息和进行加密;
基于所述加密的授权信息和所述身份证明提供方的去中心化数字身份生成授权记录。
在实际应用中,由于所有人都可以访问区块链上存证的数据包括上述授权记录,而授权信息涉及用户的隐私;在目前大家对自己的隐私数据越来越关注的情况下,本发明在将涉及授权信息的授权记录上链存证前,可以对所述授权信息进行加密处理。具体的加密处理过程可以如下所示:
本发明中,身份证明提供方、身份证明使用方和身份证明验证方都可以在区块链中存证自身DID关联的身份公钥,而与身份公钥对应的身份私钥则由区块链成员本地存储。
下面结合图4所示在图3基础上增加加解密的示意图。如图4中身份证明提供方的身份公钥pubkey1、身份证明使用方的身份公钥pubkey2、身份证明验方的身份公钥pubkey3都可以存证到区块链,而身份证明提供方的身份私钥prikey1、身份证明使用方的身份私钥prikey2、身份证明验证方的身份私钥prikey3则由各自存储在本地。
服务端或身份证明使用方可以从区块链中查询身份证明提供方DID对应的身份公钥pubkey1;并基于身份公钥pubkey1对授权信息进行加密,然后基于加密的授权信息和身份证明提供方DID生成授权记录并上链存证。
通过上述实施例,由于对区块链上存证的授权信息进行了加密,因此其它第三方只能知道有用户(即身份证明使用方)进行了身份证明的授权,但是并不知道具体是哪个用户、也不知道授权给谁、更不知道授权了什么内容。所以可以很好的保护用户的隐私。
进一步地,在一些实施例中,所述将所述目标授权记录返回给所述身份证明提供方,以供所述身份证明提供方查看,包括:
将所述目标授权记录返回给所述身份证明提供方,以使所述身份证明提供方基于本地存储的身份私钥解密所述目标授权记录中加密的授权信息。
如前所述的,由于上链存证的授权信息是加密的,因此身份证明提供方需要对查询到的目标授权记录中的授权信息进行解密。具体的,由于目标授权记录中的授权信息都是使用该身份证明提供方的身份公钥加密的,因而也只有持有与该身份公钥对应的身份私钥的该身份证明提供方能够解密,得到所有解密的授权信息。
继续结合图4,身份证明提供方在查询到与自身DID关联的目标授权记录之后,可以使用本地存储的身份私钥prikey1对每个目标授权记录中加密的授权信息进行解密。
假设解密得到的授权信息如上述表2所示,那么身份证明提供方通过上述实施例可以追溯到下发给DID为“User0001”用户的身份证明“Vc001”,在“2022-12-04 18:00:00”被授权给DID为“Sp001”的用户,以及授权内容为“姓名、证件号、出生日期”。
通过上述实施例,可以确保只有提供该授权的身份证明的身份证明提供方可以解密加密的授权信息。解密之后可以得到详细的授权信息,这些详细的授权信息可以供身份证明提供方进行分析,进而识别是否存在身份证明滥用、冒用等风险行为。
在一些实施例中,所述授权请求包括身份证明验证方的去中心化数字身份,所述区块链中存证有与所述身份证明验证方的去中心化数字身份对应的身份公钥;所述方法还包括:
响应于所述授权请求,从区块链中查询与所述身份证明验证方的去中心化数字身份对应的身份公钥;
基于所述身份公钥对所述授权信息和进行加密,并将加密后的授权信息发送给所述身份证明验证方;以使所述身份证明验证方基于本地存储的身份私钥解密所述加密后的授权信息,得到所述身份证明使用方授权的授权信息。
本发明中,既然是向身份证明验证方进行身份授权,那么将需要将授权的授权信息发送给身份证明验证方。
与前述授权记录上链存证类似,同样需要对涉及隐私数据的授权信息进行加密;区别在于,这里是使用身份证明验证方的身份公钥进行加密的;相应的,身份证明验证方在接收到授权信息之后,也需要使用本地存储的身份私钥进行解密,以得到详细的授权信息。
继续参考图4的示例,服务端或身份证明使用方可以从区块链中查询身份证明验证方DID对应的身份公钥pubkey3;并基于身份公钥pubkey3对授权信息进行加密,然后将加密的授权信息发送给身份证明验证方。进一步的,身份证明验证方使用本地存储的身份私钥prikey3对加密的授权信息进行解密。
通过上述实施例,通过对授权信息进行加密,可以很好的保护身份证明使用方的隐私,并且确保能够被身份证明验证方解密获得详细的授权信息;从而实现身份授权流程。
需要说明的是,上述图4示例中身份证明使用方的身份公钥和身份私钥并未使用,这是因为作为身份证明使用方时不会用到。实际上,身份证明提供方、身份证明使用方和身份证明验证方之间的角色可以变化,当图4中的身份私钥prikey2对应的区块链成员作为身份证明提供方或身份证明验证方时,就会使用到身份私钥prikey2和身份公钥pubkey2。
与前述基于区块链的身份授权方法实施例相对应,本发明还提供了基于区块链的身份授权装置的实施例。
请参见图5,为本发明示出的基于区块链的身份授权装置的模块图,所述装置对应了图2所示实施例,所述装置可以应用于去中心数字身份的区块链对应的服务端,所述区块链中的区块链成员包括身份证明提供方、身份证明使用方和身份证明验证方;所述装置包括:
接收模块410,用于接收任一身份证明使用方发起的向身份证明验证方进行身份授权的授权请求;其中,所述授权请求包括与本地存储的可追溯的身份证明相关的授权信息,和提供所述可追溯的身份证明的身份证明提供方的去中心化数字身份;
响应模块420,用于响应于所述授权请求,基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,并将所述授权记录存证到区块链中。
进一步地,在一些实施例中,所述身份证明使用方本地还存储有所述身份证明提供方提供的不可追溯的身份证明;
所述可追溯的身份证明和不可追溯的身份证明具有相同的身份信息,并设置表示是否可追溯的追溯字段;
其中,所述可追溯的身份证明中的追溯字段的字段值为第一字段值,所述不可追溯的身份证明中的追溯字段的字段值为第二字段值;所述第一字段值表示可追溯,所述第二字段值表示不可追溯。
进一步地,在一些实施例中,所述授权信息包括所述身份证明使用方选择授权的所述可追溯的身份证明中的全部或部分的身份信息;其中,在所述身份证明使用方选择身份信息过程中,以可视化方式向所述身份证明使用方展示请求授权的身份证明为可追溯的身份证明。
进一步地,在一些实施例中,所述装置还包括:
请求追溯模块,用于接收任一身份证明提供方发起的追溯请求;其中,所述追溯请求包括所述身份证明提供方的去中心化数字身份;
追溯响应模块,用于响应于所述追溯请求,查询所述区块链中所有身份证明使用方存证的授权记录中、具有所述身份证明提供方的去中心化数字身份的目标授权记录;并将所述目标授权记录返回给所述身份证明提供方,以供所述身份证明提供方查看。
进一步地,在一些实施例中,所述区块链中存证有与所述身份证明提供方的去中心化数字身份对应的身份公钥;
所述响应模块420,进一步用于从区块链中查询与所述身份证明提供方的去中心化数字身份对应的身份公钥;基于所述身份公钥对所述授权信息和进行加密;基于所述加密的授权信息和所述身份证明提供方的去中心化数字身份生成授权记录。
进一步地,在一些实施例中,所述追溯响应模块,进一步用于将所述目标授权记录返回给所述身份证明提供方,以使所述身份证明提供方基于本地存储的身份私钥解密所述目标授权记录中加密的授权信息。
进一步地,在一些实施例中,所述授权请求包括身份证明验证方的去中心化数字身份,所述区块链中存证有与所述身份证明验证方的去中心化数字身份对应的身份公钥;
所述响应模块420,进一步还用于响应于所述授权请求,从区块链中查询与所述身份证明验证方的去中心化数字身份对应的身份公钥;基于所述身份公钥对所述授权信息和进行加密,并将加密后的授权信息发送给所述身份证明验证方;以使所述身份证明验证方基于本地存储的身份私钥解密所述加密后的授权信息,得到所述身份证明使用方授权的授权信息。
进一步地,在一些实施例中,所述服务端包括区块链即服务平台。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以描述的基于区块链的身份授权装置的内部功能模块和结构示意,其实质上的执行主体可以为一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述任一基于区块链的身份授权方法的实施例。
在上述电子设备的实施例中,应理解,该处理器可以是处理单元(英文:CentralProcessing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:DigitalSignal Processor,简称:DSP)、专用集成电路(英文:Application Specific IntegratedCircuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,而前述的存储器可以是只读存储器(英文:read-only memory,缩写:ROM)、随机存取存储器(英文:random access memory,简称:RAM)、快闪存储器、硬盘或者固态硬盘。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
另外,本发明还提供有一种计算机可读存储介质,所述计算机可读存储介质中的指令由电子设备的处理器执行时,可以使得所述电子设备能够执行上述任一基于区块链的身份授权方法的实施例。
需要注意的是,以上列举的仅为本发明的具体实施例,显然本发明不限于以上实施例,随之有着许多的类似变化。本领域的技术人员如果从本发明公开的内容直接导出或联想到的所有变形,均应属于本发明的保护范围。

Claims (11)

1.一种基于区块链的身份授权方法,应用于去中心数字身份的区块链对应的服务端,所述区块链中的区块链成员包括身份证明提供方、身份证明使用方和身份证明验证方;所述方法包括:
接收任一身份证明使用方发起的向身份证明验证方进行身份授权的授权请求;其中,所述授权请求包括与本地存储的可追溯的身份证明相关的授权信息,和提供所述可追溯的身份证明的身份证明提供方的去中心化数字身份;
响应于所述授权请求,基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,并将所述授权记录存证到区块链中。
2.如权利要求1所述的基于区块链的身份授权方法,所述身份证明使用方本地还存储有所述身份证明提供方提供的不可追溯的身份证明;
所述可追溯的身份证明和不可追溯的身份证明具有相同的身份信息,并设置表示是否可追溯的追溯字段;
其中,所述可追溯的身份证明中的追溯字段的字段值为第一字段值,所述不可追溯的身份证明中的追溯字段的字段值为第二字段值;所述第一字段值表示可追溯,所述第二字段值表示不可追溯。
3.如权利要求2所述的基于区块链的身份授权方法,所述授权信息包括所述身份证明使用方选择授权的所述可追溯的身份证明中的全部或部分的身份信息;其中,在所述身份证明使用方选择身份信息过程中,以可视化方式向所述身份证明使用方展示请求授权的身份证明为可追溯的身份证明。
4.如权利要求1所述的基于区块链的身份授权方法,所述方法还包括:
接收任一身份证明提供方发起的追溯请求;其中,所述追溯请求包括所述身份证明提供方的去中心化数字身份;
响应于所述追溯请求,查询所述区块链中所有身份证明使用方存证
的授权记录中、具有所述身份证明提供方的去中心化数字身份的目标授权记录;
将所述目标授权记录返回给所述身份证明提供方,以供所述身份证明提供方查看。
5.如权利要求4所述的基于区块链的身份授权方法,所述区块链中存证有与所述身份证明提供方的去中心化数字身份对应的身份公钥;
所述基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,包括:
从区块链中查询与所述身份证明提供方的去中心化数字身份对应的身份公钥;
基于所述身份公钥对所述授权信息和进行加密;
基于所述加密的授权信息和所述身份证明提供方的去中心化数字身份生成授权记录。
6.如权利要求5所述的基于区块链的身份授权方法,所述将所述目标授权记录返回给所述身份证明提供方,以供所述身份证明提供方查看,包括:
将所述目标授权记录返回给所述身份证明提供方,以使所述身份证明提供方基于本地存储的身份私钥解密所述目标授权记录中加密的授权信息。
7.如权利要求1所述的基于区块链的身份授权方法,所述授权请求包括身份证明验证方的去中心化数字身份,所述区块链中存证有与所述身份证明验证方的去中心化数字身份对应的身份公钥;所述方法还包括:
响应于所述授权请求,从区块链中查询与所述身份证明验证方的去中心化数字身份对应的身份公钥;
基于所述身份公钥对所述授权信息和进行加密,并将加密后的授权信息发送给所述身份证明验证方;以使所述身份证明验证方基于本地存储的身份私钥解密所述加密后的授权信息,得到所述身份证明使用方授权的授权信息。
8.如权利要求1所述的基于区块链的身份授权方法,所述服务端包括区块链即服务平台。
9.一种基于区块链的身份授权装置,应用于去中心数字身份的区块链对应的服务端,所述区块链中的区块链成员包括身份证明提供方、身份证明使用方和身份证明验证方;所述装置包括:
接收模块,接收任一身份证明使用方发起的向身份证明验证方进行身份授权的授权请求;其中,所述授权请求包括与本地存储的可追溯的身份证明相关的授权信息,和提供所述可追溯的身份证明的身份证明提供方的去中心化数字身份;
响应模块,响应于所述授权请求,基于所述授权信息和所述身份证明提供方的去中心化数字身份生成授权记录,并将所述授权记录存证到区块链中。
10.一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1-8任一所述的方法。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述权利要求1-8任一所述的方法。
CN202310491967.3A 2023-05-04 2023-05-04 一种基于区块链的身份授权方法及装置 Pending CN116647371A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310491967.3A CN116647371A (zh) 2023-05-04 2023-05-04 一种基于区块链的身份授权方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310491967.3A CN116647371A (zh) 2023-05-04 2023-05-04 一种基于区块链的身份授权方法及装置

Publications (1)

Publication Number Publication Date
CN116647371A true CN116647371A (zh) 2023-08-25

Family

ID=87642601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310491967.3A Pending CN116647371A (zh) 2023-05-04 2023-05-04 一种基于区块链的身份授权方法及装置

Country Status (1)

Country Link
CN (1) CN116647371A (zh)

Similar Documents

Publication Publication Date Title
CN110086608B (zh) 用户认证方法、装置、计算机设备及计算机可读存储介质
US8078879B2 (en) Data certification method and apparatus
KR101985179B1 (ko) 블록체인 기반의 ID as a Service
CN113114451B (zh) 基于同态加密的企业云erp***数据统计分析方法和***
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及***
CN112187798B (zh) 一种应用于云边数据共享的双向访问控制方法及***
CN110189184B (zh) 一种电子***存储方法和装置
CN111030814A (zh) 秘钥协商方法及装置
CN110597836B (zh) 基于区块链网络的信息查询请求响应方法及装置
CN110020869B (zh) 用于生成区块链授权信息的方法、装置及***
US20220014354A1 (en) Systems, methods and devices for provision of a secret
CN112905979B (zh) 电子签名授权方法以及装置、存储介质、电子装置
WO2020042508A1 (zh) 一种基于区块链的理赔事件的处理方法、***及电子设备
CN112765626A (zh) 基于托管密钥授权签名方法、装置、***及存储介质
CN113868684A (zh) 一种签名方法、装置、服务端、介质以及签名***
JPH11298470A (ja) 鍵の配布方法およびシステム
CN114553441A (zh) 一种电子合同签署方法及***
CN111770081B (zh) 基于角色认证的大数据机密文件访问方法
CN111245594B (zh) 一种基于同态运算的协同签名方法及***
JP7209518B2 (ja) 通信装置、通信方法、および通信プログラム
KR101449806B1 (ko) 디지털 정보 상속 방법
KR101933090B1 (ko) 전자 서명 제공 방법 및 그 서버
CN116647371A (zh) 一种基于区块链的身份授权方法及装置
US20220271948A1 (en) Owner identity confirmation system, certificate authority server and owner identity confirmation method
CN116611098B (zh) 文件加密移动存储方法、***及存储介质、电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination