一种可信身份管理服务方法及系统与流程
本发明涉及电子认证技术领域,尤其涉及一种可信身份管理服务方法及系统。
背景技术:
现有的身份服务体系,常见方案是业务提供商自建身份管理系统或业务提供商采用第三方身份服务提供商身份服务。
业务提供商自建身份服务管理系统一般采用用户名密码作为身份认证的手段,为了保障用户账户的安全,目前存在采用动态令牌、短信验证码、数字证书、生物识别技术等双重身份验证模式提高验证的安全性,通过关系型数据库存储用户账户信息。但是,用户信息的完整性、真实性的验证手段和方式普遍缺乏。在业务管理部门需要实名制验证信息的合规要求下,普遍采用用户身份证件牌照,ocr扫描等方式存储用户隐私信息,个别服务提供商要求用户提供手持证件照片、视频方式,增加用户信息的真实性。无技术验证手段的用户信息不能证明用户的真实性,而该类隐私信息的存储和传输,带来重大的隐私泄露风险,拖库等安全事件频发,对用户隐私保护的影响较大,且用户隐私数据集中存储,数据安全风险高。另外,不同业务提供商分散建设身份服务体系,需要对用户可信身份信息重复建设和第三方验证,效率低,体验差。
第三方身份服务平台由互联网业务运营商提供,例如支付宝、微信等账户,以及公安部eid身份服务。但是,目前第三方身份服务平台仅提供适用于个别业务场景的服务,一般仅用作登录和用户导流使用,提供的用户信息的场景适应性和用户信息的内容缺少适用性,且普遍缺少或无法验证管理部门要求的用户实名信息以及业务开展的账户信息。另外,用户隐私数据集中存储,数据安全风险高。
技术实现要素:
本发明针对现有技术中存在的问题,提供了一种可信身份管理服务方法及系统,能够提高可信身份管理的效率,保障可信身份信息的存储、传输安全。
本发明就上述技术问题而提出的技术方案如下:
本发明提供一种可信身份管理服务方法,包括:
用户、业务提供商、权威机构及其代理进行身份认证;
所述业务提供商或所述权威机构及其代理对用户的可信身份信息进行认证,并将可信身份信息认证交易计入身份服务链总账系统;
所述业务提供商在向所述用户提供业务时,通过所述身份服务链总账系统中的所述可信身份信息认证交易,对用户提交的可信身份信息进行验证。
进一步地,所述用户、业务提供商、权威机构及其代理进行身份认证,具体包括:
所述权威机构及其代理向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和矿工权益证明标识;
所述用户向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认;
所述业务提供商向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认。
进一步地,所述业务提供商或所述权威机构及其代理对用户的可信身份信息进行认证,具体包括:
所述用户向所述业务提供商或所述权威机构及其代理提交可信身份信息认证交易请求;
所述业务提供商或所述权威机构及其代理在认证用户身份后,接收用户提交的所述可信身份信息认证交易请求;
所述业务提供商或所述权威机构及其代理对所述可信身份信息附属数字签名,完成对所述可信身份信息的认证。
进一步地,所述将可信身份信息认证交易计入身份服务链总账系统,具体包括:
由参与记账的矿工通过区块链散列算法并以工作量证明和权益证明结合的方式,计算符合所述身份服务链总账系统要求的散列值,并使最先计算正确的矿工获得到记账权;
根据所述用户的身份服务链交易钱包地址,获得所述身份服务链总账系统中用户的个人交易区块链;
将所述可信身份信息认证交易计入所述用户的个人交易区块链中。
进一步地,所述业务提供商在向所述用户提供业务时,通过所述身份服务链总账系统中的所述可信身份信息认证交易,对用户提交的可信身份信息进行验证,具体包括:
所述用户在使用所述业务提供商所提供的业务时,根据与所述业务提供商身份服务的约定提交所述可信身份信息;
所述业务提供商在向所述用户提供业务时,根据所述用户的个人交易区块链中的可信身份信息认证交易,对所述用户的可信身份信息进行验证,并根据与所述用户的约定保留所述用户相关的可信身份信息,将所述业务的相关交易计入所述用户的个人交易区块链中。
相应地,本发明还提供一种可信身份管理服务系统,包括:
身份认证模块,用于用户、业务提供商、权威机构及其代理进行身份认证;
身份信息认证模块,用于所述业务提供商或所述权威机构及其代理对用户的可信身份信息进行认证,并将可信身份信息认证交易计入身份服务链总账系统;以及,
身份信息验证模块,用于所述业务提供商在向所述用户提供业务时,通过所述身份服务链总账系统中的所述可信身份信息认证交易,对用户提交的可信身份信息进行验证。
进一步地,所述身份认证模块具体包括:
第一认证单元,用于所述权威机构及其代理向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和矿工权益证明标识;
第二认证单元,用于所述用户向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认;以及,
第三认证单元,用于所述业务提供商向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认。
进一步地,所述身份信息认证模块具体包括:
交易请求单元,用于所述用户向所述业务提供商或所述权威机构及其代理提交可信身份信息认证交易请求;
请求接收单元,用于所述业务提供商或所述权威机构及其代理在认证用户身份后,接收用户提交的所述可信身份信息认证交易请求;以及,
数字签名单元,用于所述业务提供商或所述权威机构及其代理对所述可信身份信息附属数字签名,完成对所述可信身份信息的认证。
进一步地,所述身份信息认证模块具体包括:
计算单元,用于由参与记账的矿工通过区块链散列算法并以工作量证明和权益证明结合的方式,计算符合所述身份服务链总账系统要求的散列值,并使最先计算正确的矿工获得到记账权;
区块链获取单元,用于根据所述用户的身份服务链交易钱包地址,获得所述身份服务链总账系统中用户的个人交易区块链;以及,
交易计入单元,用于将所述可信身份信息认证交易计入所述用户的个人交易区块链中。
进一步地,所述身份信息验证模块具体包括:
提交单元,用于所述用户在使用所述业务提供商所提供的业务时,根据与所述业务提供商身份服务的约定提交所述可信身份信息;以及,
验证单元,用于所述业务提供商在向所述用户提供业务时,根据所述用户的个人交易区块链中的可信身份信息认证交易,对所述用户的可信身份信息进行验证,并根据与所述用户的约定保留所述用户相关的可信身份信息,将所述业务的相关交易计入所述用户的个人交易区块链中。
本发明实施例提供的技术方案带来的有益效果是:
对可信身份管理服务的参与主体分别进行身份认证,通过认证后的业务提供商和权威机构及其代理对用户提交的可信身份信息进行认证,并将可信身份信息以交易方式,即可信身份信息认证交易存入身份服务链总账系统,以供业务提供商在向用户提供业务时直接通过身份服务链总账系统中的可信身份信息认证交易对用户的可信身份信息进行验证,降低可信身份服务校验的公众成本,提高可信身份服务校验的效率,保障可信身份信息的存储、传输安全,既符合业务主管部门实名制、审计、取证的合规性管理要求,又符合安全主管部门对用户隐私信息保护的需求,为用户和业务提供商提供自主、可控、安全、高效的可信身份管理服务。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的可信身份管理服务方法的一种流程示意图;
图2是本发明实施例提供的可信身份管理服务系统的一种结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例提供了一种可信身份管理服务方法,参见图1,该方法包括:
s1、用户、业务提供商、权威机构及其代理进行身份认证;
s2、所述业务提供商或所述权威机构及其代理对用户的可信身份信息进行认证,并将可信身份信息认证交易计入身份服务链总账系统;
s3、所述业务提供商在向所述用户提供业务时,通过所述身份服务链总账系统中的所述可信身份信息认证交易,对用户提交的可信身份信息进行验证。
需要说明的是,身份服务链作为基于公钥技术的身份认证与区块链技术结合的身份服务交易总账承载主体,可以通过比特币等区块链的侧链或私有链运营。区块链技术是在比特币基础上抽象的去中心化交易总账系统,核心技术是公钥的多重签名机制,具备了去中心化的交易认证功能,区块链总账记账方包括但不限于各参与主体。
进一步地,所述用户、业务提供商、权威机构及其代理进行身份认证,具体包括:
所述权威机构及其代理向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和矿工权益证明标识;
所述用户向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认;
所述业务提供商向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认。
需要说明的是,基于公钥的电子认证服务是目前依托《电子签名法》的《电子认证服务管理办法》落实的ca机构采用的电子认证服务技术和管理体系,具备对机构、人员、设备、应用等实体的可信身份认证功能。身份服务链交易钱包地址用于身份服务链实体标识。本实施例通过公钥的电子认证服务机构为交易主体签发的数字证书保障交易各方的身份认证,补充区块链技术匿名身份技术的实体身份认证。其中,交易主体包括用户、业务提供商、权威机构及其代理(例如公安部、银行、大学等)。
进一步地,所述业务提供商或所述权威机构及其代理对用户的可信身份信息进行认证,具体包括:
所述用户向所述业务提供商或所述权威机构及其代理提交可信身份信息认证交易请求;
所述业务提供商或所述权威机构及其代理在认证用户身份后,接收用户提交的所述可信身份信息认证交易请求;
所述业务提供商或所述权威机构及其代理对所述可信身份信息附属数字签名,完成对所述可信身份信息的认证。
需要说明的是,用户的可信身份信息或数据由经过认证的业务提供商或所述权威机构及其代理提供的数字签名来确认信息的真实性与有效性。业务提供商或所述权威机构及其代理通过对用户提交的可信身份信息进行时间戳数字签名,实现对用户可信身份信息的验证和背书确认。
进一步地,所述将可信身份信息认证交易计入身份服务链总账系统,具体包括:
由参与记账的矿工通过区块链散列算法并以工作量证明和权益证明结合的方式,计算符合所述身份服务链总账系统要求的散列值,并使最先计算正确的矿工获得到记账权;
根据所述用户的身份服务链交易钱包地址,获得所述身份服务链总账系统中用户的个人交易区块链;
将所述可信身份信息认证交易计入所述用户的个人交易区块链中。
需要说明的是,业务提供商或所述权威机构及其代理对用户的可信身份信息进行认证后,将用户的可信身份信息以交易方式,即可信身份信息认证交易计入身份服务链总账系统中用户的个人交易区块链中。对于用户的附加可信身份信息,即身份属性,同样也通过业务提供商或所述权威机构及其代理认证后,以交易方式计入身份服务链总账系统中用户的个人交易区块链中,以备查询。身份服务链记账实体(矿工)通过权益证明或工作量证明,获得交易记账权。
进一步地,所述业务提供商在向所述用户提供业务时,通过所述身份服务链总账系统中的所述可信身份信息认证交易,对用户提交的可信身份信息进行验证,具体包括:
所述用户在使用所述业务提供商所提供的业务时,根据与所述业务提供商身份服务的约定提交所述可信身份信息;
所述业务提供商在向所述用户提供业务时,根据所述用户的个人交易区块链中的可信身份信息认证交易,对所述用户的可信身份信息进行验证,并根据与所述用户的约定保留所述用户相关的可信身份信息,将所述业务的相关交易计入所述用户的个人交易区块链中。
需要说明的是,用户拥有身份服务链离线或在线钱包,钱包包括身份服务链交易钱包地址,个人身份数字证书私钥,个人可信身份信息,以及个人交易区块链。用户在使用业务提供商所提供的业务时,业务提供商通过身份服务链查询用户可信身份信息的真伪,用户可信身份信息的申请、发布、认证、登记和记录均以交易方式计入身份服务链总账系统,以通过区块链方式实现分布式记账和存储,作为后续审计和审查使用。
以区块链技术实现以用户为中心的去中心化身份服务,使用户可信身份信息仅加密存储在用户离线和在线钱包,避免业务提供商存储与用户业务无关的敏感信息,例如身份证照片、手持身份证照片和视频等隐私信息,用户可以自由选择身份信息的登记和提供。
本发明实施例结合了基于公钥的电子认证服务的合法性与权威性以及区块链技术的去中心化的身份服务,可以降低可信身份服务校验的公众成本,提高可信身份服务校验的效率,保障可信身份信息的存储、传输安全,既符合业务主管部门实名制、审计、取证的合规性管理要求,又符合安全主管部门对用户隐私信息保护的需求,为用户和业务提供商提供自主、可控、安全、高效的可信身份管理服务。
相应地,本发明实施例提供了一种可信身份管理服务系统,能够实现上述可信身份管理服务方法的所有流程,参见图2,该系统包括:
身份认证模块1,用于用户、业务提供商、权威机构及其代理进行身份认证;
身份信息认证模块2,用于所述业务提供商或所述权威机构及其代理对用户的可信身份信息进行认证3,并将可信身份信息认证交易计入身份服务链总账系统;以及,
身份信息验证模块4,用于所述业务提供商在向所述用户提供业务时,通过所述身份服务链总账系统中的所述可信身份信息认证交易,对用户提交的可信身份信息进行验证。
进一步地,所述身份认证模块具体包括:
第一认证单元,用于所述权威机构及其代理向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和矿工权益证明标识;
第二认证单元,用于所述用户向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认;以及,
第三认证单元,用于所述业务提供商向电子认证服务机构申请数字证书以进行身份认证,获得身份服务链交易钱包地址和身份信息交易确认。
进一步地,所述身份信息认证模块具体包括:
交易请求单元,用于所述用户向所述业务提供商或所述权威机构及其代理提交可信身份信息认证交易请求;
请求接收单元,用于所述业务提供商或所述权威机构及其代理在认证用户身份后,接收用户提交的所述可信身份信息认证交易请求;以及,
数字签名单元,用于所述业务提供商或所述权威机构及其代理对所述可信身份信息附属数字签名,完成对所述可信身份信息的认证。
进一步地,所述身份信息认证模块具体包括:
计算单元,用于由参与记账的矿工通过区块链散列算法并以工作量证明和权益证明结合的方式,计算符合所述身份服务链总账系统要求的散列值,并使最先计算正确的矿工获得到记账权;
区块链获取单元,用于根据所述用户的身份服务链交易钱包地址,获得所述身份服务链总账系统中用户的个人交易区块链;以及,
交易计入单元,用于将所述可信身份信息认证交易计入所述用户的个人交易区块链中。
进一步地,所述身份信息验证模块具体包括:
提交单元,用于所述用户在使用所述业务提供商所提供的业务时,根据与所述业务提供商身份服务的约定提交所述可信身份信息;以及,
验证单元,用于所述业务提供商在向所述用户提供业务时,根据所述用户的个人交易区块链中的可信身份信息认证交易,对所述用户的可信身份信息进行验证,并根据与所述用户的约定保留所述用户相关的可信身份信息,将所述业务的相关交易计入所述用户的个人交易区块链中。
本发明实施例结合了基于公钥的电子认证服务的合法性与权威性以及区块链技术的去中心化的身份服务,可以降低可信身份服务校验的公众成本,提高可信身份服务校验的效率,保障可信身份信息的存储、传输安全,既符合业务主管部门实名制、审计、取证的合规性管理要求,又符合安全主管部门对用户隐私信息保护的需求,为用户和业务提供商提供自主、可控、安全、高效的可信身份管理服务。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!