账户密钥设置方法、用户设备和系统与流程

本说明书实施例属于分布式数字身份，尤其涉及一种账户密钥设置方法、用户设备和系统。

背景技术：

1、相较于传统的数字身份而言，分布式数字身份可通过私钥控制信息的隐私和安全性，不依赖于中心化的系统进行验证，因此可实现“零信任”的互信和登录验证，为整体网络提升安全性的同时，方便服务提供方对用户的认证和用户信息的获取。

2、分布式数字身份例如包括分布式身份标识((dencentralized id，did))和did文档。所述did的did文档可存储于区块链中。did文档中例如包括：did、did的公钥、可验证声明(verifiable credential，vc)的存储地址等。用户持有did的私钥，从而可通过该私钥享有该did、及该did关联的资源。

技术实现思路

1、本发明的目的在于提供一种账户密钥设置方法，以提高账户密钥管理的安全性。

2、本说明书第一方面提供一种账户密钥设置方法，由用户设备执行，所述用户设备中包括可信执行环境tee，所述方法包括：

3、从身份系统获取与用户对应的账户，将所述账户提供给所述tee，所述身份系统中存储有所述用户的身份信息，所述账户与所述身份信息相对应；

4、所述tee生成与所述账户对应的第一公钥和第一私钥，存储所述第一私钥，将所述第一公钥提供到所述tee外部；

5、将所述第一公钥的信息发送给所述身份系统，以用于由所述身份系统在存储系统中关联地存储所述账户和所述第一公钥的信息。

6、在一种实施方式中，所述账户包括分布式数字身份did，所述存储系统包括区块链系统。

7、在一种实施方式中，所述将所述第一公钥的信息发送给所述身份系统包括：将所述第一公钥的信息和所述用户设备的设备信息发送给所述身份系统，以用于由所述身份系统存储所述用户设备与所述第一公钥的信息的关联关系。

8、在一种实施方式中，所述从身份系统获取与用户对应的账户，包括：

9、向所述身份系统发送账户获取请求；

10、响应于所述身份系统的核身请求指示所述用户进行实名认证，得到实名认证信息；

11、通过所述身份系统将所述实名认证信息发送给核身服务器，以由所述核身服务器对所述用户进行实名认证；

12、在所述实名认证通过的情况中，从所述身份系统接收与所述用户对应的所述账户。

13、在一种实施方式中，所述用户设备中存储有预先从认证机构ca接收的设备证书，所述tee中存储有设备私钥，所述设备证书中包括与所述设备私钥对应的设备公钥、以及所述ca对所述设备公钥的签名，所述将所述第一公钥的信息发送给身份系统包括，将第一报文发送给所述身份系统，所述第一报文中包括所述第一公钥，

14、所述方法还包括：

15、所述tee使用所述设备私钥对所述第一报文签名，生成第一签名，将所述第一签名提供到所述tee的外部；

16、将所述设备证书和所述第一签名发送给所述身份系统。

17、在一种实施方式中，所述tee中存储有预先从所述ca获取的第一对称密钥，所述将所述第一公钥的信息发送给身份系统，包括：

18、所述tee基于所述第一对称密钥对所述第一报文加密，得到第一密文报文，将所述第一密文报文和所述第一对称密钥的密钥标识提供到tee外部以发送给所述dis。

19、在一种实施方式中，所述tee基于所述第一对称密钥对所述第一报文加密包括：

20、所述tee生成第二对称密钥，使用所述第二对称密钥对所述第一报文加密，得到所述第一密文报文，使用所述第一对称密钥对所述第二对称密钥加密，得到密文密钥；

21、将所述第一密文报文和所述第一对称密钥的密钥标识提供到tee外部，包括：将所述第一密文报文、所述密文密钥和所述第一对称密钥的密钥标识提供到tee外部。

22、在一种实施方式中，所述方法还包括：

23、从所述身份系统接收第二报文，所述第二报文用于指示所述身份系统接收到所述第一报文，将所述第二报文提供给所述tee；

24、所述tee根据所述第二报文将所述账户的状态设置为激活状态，生成第三报文，所述第三报文用于指示所述did已激活，将所述第三报文提供到所述tee外部；

25、将所述第三报文发送给所述身份系统，以触发所述身份系统将所述第一公钥的信息与所述账户关联地存储到区块链。

26、在一种实施方式中，所述方法还包括：

27、将生成的交易发送给所述tee，所述交易的发送账户为所述did；

28、所述tee使用所述第一私钥对所述交易签名，并将对所述交易的签名提供到所述tee的外部；

29、将所述交易及其签名发送到区块链中。

30、本说明书第二方面提供一种账户密钥设置系统，包括第一用户设备和身份系统，所述第一用户设备中包括tee，

31、所述身份系统用于将用户的账户发送给所述第一用户设备，所述身份系统中关联地存储有所述账户和所述用户的身份信息；

32、所述第一用户设备用于：将所述账户提供给所述tee；在所述tee中生成与所述账户对应的第一公钥和第一私钥，存储所述第一私钥，将所述第一公钥提供到所述tee外部；将所述第一公钥的信息发送给所述身份系统；

33、所述身份系统还用于将所述账户和所述第一公钥的信息关联地存储到存储系统中。

34、在一种实施方式中，所述存储系统包括区块链，

35、所述身份系统还用于从所述用户的第二用户设备接收对第一接口的调用；指示所述第二用户设备进行对所述用户的实名认证；在所述实名认证通过的情况下，获取所述用户的所述账户；在所述区块链中记录信息以用于指示所述第一用户设备对应的所述第一公钥的信息被禁用。

36、在一种实施方式中，所述区块链中还存储有所述账户的第二公钥的信息，所述第二公钥由所述身份系统生成，所述身份系统中还存储有与所述第二公钥对应的第二私钥，

37、在区块链中记录信息以用于指示所述第一用户设备对应的所述第一公钥的信息被禁用，包括：

38、所述身份系统用于生成交易和对所述交易的签名，所述交易的发送账户为所述账户，且所述交易中包括用于指示所述第一用户设备对应的所述第一公钥的信息被禁用的信息，所述签名通过使用所述第二私钥生成；将所述交易及其签名发送到区块链中，以将所述用于指示所述第一用户设备对应的所述第一公钥的信息被禁用的信息存储到区块链中。

39、在一种实施方式中，所述对第一接口的调用中包括所述第一用户设备的标识，所述所述身份系统还用于根据所述第一用户设备的标识确定将被禁用的所述第一公钥的信息。

40、本说明书第三方面提供一种用户设备，所述用户设备中包括可信执行环境tee，所述用户设备包括：

41、获取单元，用于从身份系统获取与用户对应的账户，将所述账户提供给所述tee，所述身份系统中存储有所述用户的身份信息，所述账户与所述身份信息相对应；

42、生成单元，用于在所述tee中生成与所述账户对应的第一公钥和第一私钥，存储所述第一私钥，将所述第一公钥提供到所述tee外部；

43、发送单元，用于将所述第一公钥的信息发送给所述身份系统，以用于由所述身份系统在存储系统中关联地存储所述账户和所述第一公钥的信息。

44、本说明书第四方面提供一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行第一方面所述的方法。

45、本说明书第五方面提供一种用户设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现第一方面所述的方法。

46、在本说明书实施例提供的方案中，基于用户设备的tee和分布式数字身份系统进行密钥管理，由tee生成用户账户的公私钥对，并在tee内保存私钥，从而保证私钥的安全性，避免了第三方使用私钥、或者私钥丢失的情况。同时，通过dis保证用户设备在使用私钥时，是用户本人在进行操作，从而保证了用户账户的安全性。