基于区块链网络的可信身份信息管理方法、装置和系统

本发明属于数据安全，更具体地，涉及一种基于区块链网络的可信身份信息管理方法、装置和系统。

背景技术：

1、供应链金融的业务场景构建信任基于对参与者身份的认证以及对该身份下历史交易数据的核验。随网络用户及网络服务商数量的增长，各中心化身份认证和管理系统的数量呈现明显的上升趋势，众多系统之间的用户数字身份无法流通使用，造成信息重复、用户难以管理及维护身份等问题，对供应链金融业务场景的数字身份认证和数据管理造成了一定的困难。

2、调研发现，现有研究基于区块链技术提出了一系列分布式身份认证方案，将身份信息记录在区块链中在很大程度上解决了数字身份无法流通、信息重复等问题，但区块链固有的透明度和缺乏隐私性使得对用户的数字身份隐私造成了极大的挑战，特别是在金融场景下，用户/企业的身份信息包含信用、收入水平、资产等敏感信息，不应该被公开存储在链上。除此之外，企业在申请借贷时向融资机构明文提供这些身份信息以供验证，融资机构持有企业的核心交易数据，一定程度上侵害了企业的数据隐私。因此，现存的分布式身份方案需要考虑隐私保护问题以适应更广泛的应用场景。

3、目前分布式身份方案在保护用户隐私的同时需要确保用户身份信息的可信度；用户身份信息可信需要从两个方面进行保证：(1)用户的身份可信；(2)用户凭证的发布者可信。确保用户的身份可信，能够防止用户通过创建多个身份实行的女巫攻击；确保凭证发布者可信，即凭证发布者不存在单点故障。根据调研，现存的分布式方案未能解决上述关于用户身份可信度的问题。

技术实现思路

1、针对现有技术的以上缺陷或改进需求，本发明提供了一种基于区块链网络的可信身份信息管理方法、装置和系统，其目的在于通过规定注册向社会身份基础设施获取身份属性，以及利用去中心化的可信身份发布者委员会对身份属性对应身份承诺进行核实进而生成身份证明，保证了身份证明的真实性和可信性，由此解决目前分布式身份方案用户身份可信度难以保证的技术问题。

2、为实现上述目的，按照本发明的一个方面，提供了一种基于区块链网络的可信身份信息管理方法，区块链网络的节点包括：社会身份基础设施、身份持有人、身份发布者委员会、身份验证者和区块链，所述可信身份信息管理方法包括：

3、s1：为所述身份持有人对应的各个注册用户生成身份唯一标识符；

4、s2：所述身份持有人利用所述身份唯一标识符向社会身份基础设施获取身份属性，再使用零知识证明的检查器对所述身份属性进行承诺得到身份承诺，并将所述身份承诺发给所述身份发布者委员会；

5、s3：所述身份发布者委员接收所述身份承诺并利用零知识证明进行核实，若通过核实则将所述身份承诺存储至所述区块链，并将存储路径反馈给所述身份持有人；所述身份持有人利用所述存储路径和所述身份承诺生成所述注册用户的身份证明；

6、s4：当所述注册用户进行身份认证时，通过所述身份持有人将所述注册用户的身份证明发送给身份验证者；所述身份验证者根据所述身份证明中的存储路径找到存储在所述区块链中的身份承诺，验证所述区块链中的身份承诺与所述身份证明中的身份承诺的一致性，以对所述身份持有人对应的注册用户进行身份认证。

7、在其中一个实施例中，所述s3包括：

8、s31：所述身份发布者委员会派选成员节点利用零知识证明对身份承诺进行核验，核验通过后所述成员节点在所述身份承诺上进行数字签名；

9、s32：所述身份发布者委员会将签名后的身份承诺保存在区块链中，并将存储路径返回给所述身份持有人；

10、s33：所述身份持有人利用所述存储路径和本地的所述身份承诺生成所述注册用户的身份证明。

11、在其中一个实施例中，所述s31包括：

12、身份发布者委员会c接收身份持有人hi发送的携带hi私钥ski签名的身份承诺(comattri)ski，派选其内部的成员节点cj利用身份持有者hi的公钥pki获得hi的身份承诺comattri，并利用零知识证明对身份承诺comattri进行核验；成员节点cj利用自己的私钥skcj为通过校验后的身份承诺comattri进行签名得到签名后的身份承诺(comattri)skcj。

13、在其中一个实施例中，所述s32包括：所述身份发布者委员会将签名后的身份承诺插入到一个身份承诺树中，然后将所述签名后的身份承诺树插入承诺森林，然后将所述承诺森林广播保存在区块链中，最后将存储路径返回给所述身份持有人。

14、在其中一个实施例中，所述s4包括：

15、当所述注册用户进行身份认证时，通过所述身份持有人将所述身份证明发送给所述身份验证者，所述身份验证者从所述身份证明获得存储路径和身份承诺；

16、所述身份验证者通过所述存储路径获得所述区块链中签名后的身份承诺，并对其中的签名进行验证获取所述区块链中身份承诺；再利用零知识证明验证所述区块链中的身份承诺与所述身份证明中的身份承诺的一致性；若一致则视为身份认证成功，反之则视为身份认证失败。

17、在其中一个实施例中，所述s1包括：所述注册用户通过所述身份持有者在本地生成公私钥对(ski，pki)，保存私钥ski并将公钥pki传入调用的智能合约中以使其根据所述公钥pki为所述注册用户生成所述身份唯一标识符，将所述身份唯一标识符存入所述区块链，并反馈给对应的所述身份持有者。

18、在其中一个实施例中，所述可信身份信息管理方法还包括：

19、s5：当所述注册用户进行身份注销时，通过所述身份持有人将其身份证明发送给所述身份发布者委员会；所述身份发布者委员会派选成员节点根据所述身份证明中的存储路径找到所述区块链中的身份承诺并删除，然后将删除结果及其所述成员节点的身份标识反馈给所述身份持有人。

20、按照本发明的另一方面，提供了一种基于区块链网络的可信身份信息管理装置，包括：

21、标识获取模块，用于为所述身份持有人对应的各个注册用户生成身份唯一标识符；

22、证明申请模块，用于控制所述身份持有人利用所述身份唯一标识符向社会身份基础设施获取身份属性，再使用零知识证明的检查器对所述身份属性进行承诺得到身份承诺，并所述身份承诺发给所述身份发布者委员会；

23、承诺核验模块，用于利用所述身份发布者委员接收所述身份承诺并利用零知识证明进行核实，若通过核实则将所述身份承诺存储至所述区块链，并将存储路径反馈给所述身份持有人；所述身份持有人利用所述存储路径和所述身份承诺生成所述注册用户的身份证明；

24、身份认证模块，用于当所述注册用户进行身份认证时，通过所述身份持有人将所述注册用户的身份证明发送给身份验证者；所述身份验证者根据所述身份证明中的存储路径找到存储在所述区块链中的身份承诺，验证所述区块链中的身份承诺与所述身份证明中的身份承诺的一致性，以对所述身份持有人对应的注册用户进行身份认证。

25、按照本发明的另一方面，提供了一种可信身份信息管理系统，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法的步骤。

26、按照本发明的另一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法的步骤。

27、总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

28、(1)本发明提供一种基于区块链网络的可信身份信息管理方法，首先基于区块链网络的分布式特性和公开透明性、以及零知识证明的隐私保护性，实现了一个隐私保护的可信自身份主权管理。其次，通过规定用户身份属性获取源头和利用去中心化的可信身份发布者委员会进行身份承诺核实，从根本上遏制了身份持有人在身份属性上造假的可能，保证了身份证明的真实性和可信性。进一步地，身份承诺由身份持有人在本地利用零知识证明算法对身份属性进行加密得到，身份承诺是“零知识”的，不包含任何身份持有人不愿泄露的隐私信息，可以提升身份承诺的私密性。最后，注册用户可以在任何需要身份认证的场合出示该身份证明，而非明文提供自己的身份信息，即可证明自己的身份，进而重新掌握身份主权。也即本技术提供的可信身份信息管理方法不仅实现了在任何需要身份认证的场合，注册用户可以在不泄露任何隐私信息的情况下证明自己的身份，而且实现了在身份证明的生成过程中的隐私保护。

29、(2)本方案中所述身份发布者委员会派选成员节点利用零知识证明对身份承诺进行核验，核验通过后所述成员节点在所述身份承诺上进行数字签名；不仅可以保证注册用户的所述身份承诺并非明文保存，利用成员节点进行前面便于过失追责，进而提高身份管理的安全性。

30、(3)本方案中身份持有人发送的携带hi私钥ski签名的身份承诺(comattri)ski，身份发布者委员会c的成员节点cj利用自己的私钥skcj为通过校验后的身份承诺comattri进行签名。首先可以实现身份管理过程中非明文进行节点间的信息传输，其次采用非对称加密方式加解密过程操作简单、计算复杂度低，可以提升算法的执行效率。

31、(4)本方案中将签名后的身份承诺插入到一个身份承诺树中，然后将所述签名后的身份承诺树插入承诺森林，然后将所述承诺森林广播保存在区块链中；其中，承诺森林可以是默克尔树t。采用身份承诺树进行区块链上的数据存储，可以简单高效的实现大规模数据存储下的数据更新。

32、(5)本方案中将所述身份验证者通过所述存储路径获得所述区块链中签名后的身份承诺，并获取成员节点的身份标识对其中的签名进行验证得到所述区块链中身份承诺；再利用零知识证明验证所述区块链中的身份承诺与所述身份证明中的身份承诺的一致性；若一致则视为身份认证成功，反之则视为身份认证失败。整个验证的过程保密性强且操作简单。

33、(6)本方案中以区块链网络作为基本的执行环境，引入智能合约为加入到网络中的注册用户生成一个分布式身份唯一标识符，该标识符用于唯一标识该节点，其利用区块链安全透明的环境。

34、(7)本方案中不仅仅在身份认证阶段实现了隐私保护，还在身份证明的生成、生成、验证、撤销的全过程实现了身份信息的隐私保护。