一种基于区块链和DID的高校联盟用户身份管理方法

本发明属于区块链应用，尤其涉及一种基于区块链和did的高校联盟用户身份管理方法。

背景技术：

1、随着互联网和数字化技术的发展，身份认证技术的作用变得更加重要，可以保护个人和组织的数据安全和隐私；同时，资源互通和信息互认是数字化时代发展的重要趋势，可以促进各行业之间的协同发展和合作。在高校场景下，身份认证和资源互通更为重要，可以保护学生和教师的个人信息和隐私，促进高校之间的协同发展和资源共享。因此，推动高校身份认证和资源互通具有重要的现实价值和战略价值。

2、目前普及的中心化身份认证体系存在一些不足，用户对认证机构或服务提供方的依赖性很高，这意味着用户无法掌控自己的身份信息，无法自主选择认证机构或服务提供方；中心化架构依赖于单一的认证服务器或第三方服务提供方，因此一旦出现单点故障，整个系统都将受到影响；个人在不同的系统建立重复但又不完全相同的身份数据，形成了个人数据的孤岛；同时机构存在对数据不透明使用的问题。一种可行的方法是引入区块链和去中心化的身份管理方法，实现高校场景中的身份认证和信息互通。该方法可以解决中心化身份认证的机构依赖性和数据孤岛问题，高校可以实现跨机构身份管理和数据互通，提高资源服务的复杂性和机构互通的需求，但该方法存在用户隐私信息泄露的风险，即恶意攻击者通过联盟链上的公开信息对用户进行画像，侵犯用户的隐私。可以通过使用派生did的方法保护用户的隐私信息，但现有技术中缺乏相应的解决方案。

技术实现思路

1、为解决上述技术问题，本发明提供了一种基于区块链和did的高校联盟用户身份管理方法，该方法可以有效的对基于联盟链建立的高校联盟提供全局身份管理，并基于可验证证书实现身份认证、细粒度的服务授权，为高校联盟中的用户提供隐私保护、用户自我主权和用户友好的去中心化身份管理方案。

2、为实现上述目的，本发明采用的技术方案如下：

3、步骤1、系统初始化：多所高校建立包括高校身份的联盟链，初始化高校did服务管理员联盟链上did身份；高校did服务管理员定义可验证证书定义文件列表，将可验证证书定义文件列表存储在联盟链上；服务提供方生成用户可下载的属性需求列表；

4、步骤2、用户身份初始化：用户生成主did，将身份验证信息和主did提交给用户所在高校的高校did服务管理员；高校did服务管理员审核用户身份，将主did存储在联盟链上，使主did生效；

5、步骤3、服务所需属性需求列表及可验证证书定义文件查询：用户需要使用服务提供方的服务时，下载服务提供方公开的属性需求列表，用户依据所述属性需求列表中属性的类型在联盟链上高校的可验证证书定义文件列表中筛选具有属性需求列表部分或全部属性的所有可验证证书定义文件；

6、步骤4、可验证证书申请和颁发：用户生成派生did，将其提交给任意高校did服务管理员，所述任意高校did服务管理员验证签名后将用户的派生did存储在联盟链上；用户将该派生did和身份验证信息发送给所述可验证证书定义文件所属高校的高校did服务管理员；所述可验证证书定义文件所属高校的高校did服务管理员对用户的身份验证通过后，向用户提交的派生did颁发可验证证书，计算并更新存储在联盟链上的可验证证书累加器的散列值；

7、步骤5、证明文件生成和服务获取：用户将可验证证书处理为可验证证书声明，将所述可验证证书声明组成证明文件，并发送给服务提供方；服务提供方验证证明文件属性是否满足条件，通过联盟链上可验证证书累加器的散列值验证每个可验证证书声明的有效性，通过联盟链上公钥信息验证每个可验证证书声明对应的高校did服务管理员的私钥签名和派生did的私钥签名的正确性，均验证通过则提供服务；

8、步骤6、可验证证书撤销：可验证证书需要被撤销时，颁发所述可验证证书的高校did服务管理员通过修改可验证证书累加器并更新联盟链上可验证证书累加器的散列值来撤销可验证证书。

9、本发明的有益效果在于：

10、所述方法可以有效的对基于联盟链建立的高校联盟提供全局身份管理，为联盟链上的不同用户提供隐私保护的身份使用方法，防止通过联盟链上数据对用户进行身份画像；同时使用统一格式的可验证证书实现了不同高校之间的相互认证，并通过选择性披露实现了最小范围的隐私信息使用。

技术特征：

1.一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述方法包括如下步骤：

2.根据权利要求1所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述步骤1包括：

3.根据权利要求1所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述步骤2包括：

4.根据权利要求1所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述步骤3包括：

5.根据权利要求1所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述步骤4包括：

6.根据权利要求1所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述步骤5包括：

7.根据权利要求2所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述可验证证书累加器工作的具体步骤为：

8.根据权利要求5所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述可验证证书生成的具体步骤为：

9.根据权利要求6所述的一种基于区块链和did的高校联盟用户身份管理方法，其特征在于，所述证明文件形成的具体步骤为：

技术总结本发明公开了一种基于区块链和DID的高校联盟用户身份管理方法，属于区块链应用技术领域。所述方法包括，多所高校组成身份联盟链，用于维护所有用户的DID身份；高校通过向用户颁发可验证证书的方式证明用户拥有某些属性；用户需要使用某些服务提供方的服务时，通过多个可验证证书组合的方式证明拥有相应的属性；其中，用户在申请不同可验证证书时使用不同的派生DID。所述方法可以有效的对基于联盟链建立的高校联盟提供全局身份管理，并基于可验证证书实现身份认证、细粒度的服务授权。技术研发人员：王峰,张烨,艾明瑞,罗昕怡,薛开平受保护的技术使用者：中国科学技术大学技术研发日：技术公布日：2024/7/25