数据传输方法和装置与流程

本发明涉及数字身份，尤其涉及一种数据传输方法和装置。

背景技术：

1、decentralized identity是一种去中心化的数字身份，简称为did，相对于传统的身份体系，did数字身份系统具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。在目前的did系统中，每一实体具有用于执行身份认证的did标识，但是长期使用同一did标识会造成用户行为和标识符的绑定，通过某个固定did标识进行对应行为的收集会导致个人隐私的泄露。例如，网络攻击者可能会从通信数据中破解其中的did标识，由于较长时期内同一用户的多次网络请求都与该did标识相关，因此将该did标识与多次网络请求的url(uniform resource locator，统一资源定位符)、ip地址等关联，就能够确定用户行为特征，从而导致用户隐私泄露。

2、为了解决以上问题，可以在每次身份验证之前生成新的did标识，并由可信签发者根据新的did标识签发凭证，通过这种方式来阻止将did标识与用户行为绑定的攻击，但是这种方式会极大增加签发者的负担。

技术实现思路

1、有鉴于此，本发明实施例提供一种数据传输方法和装置，能够在不增加签发者负担的前提下解决现有技术中将固定did标识与用户行为绑定导致的隐私泄露问题。

2、为实现上述目的，根据本发明的一个方面，提供了一种数据传输方法。

3、本发明实施例的数据传输方法由可验证凭证vc的持有者的终端执行，所述持有者具有长期did标识；所述方法包括：在向所述vc的验证者的终端提供待验证数据之前，生成所述持有者的临时did标识；所述临时did标识不同于所述长期did标识；建立所述长期did标识和所述临时did标识之间的绑定关系；生成包括所述待验证数据的可验证表达vp向所述验证者的终端发送；所述vp中进一步包括：表征所述绑定关系的数据和所述持有者基于所述临时did标识的签名数据。

4、可选地，所述生成所述持有者的临时did标识，包括：随机生成不同于所述长期did标识对应的长期私钥的临时私钥；将所述临时私钥输入预设的单向函数，得到临时公钥；根据所述临时公钥的哈希值确定特殊标识符；使用所述特殊标识符和预先确定的did方法形成所述临时did标识。

5、可选地，所述建立所述长期did标识和所述临时did标识之间的绑定关系，包括：创建由所述长期did标识签发的绑定关系vc来表征所述绑定关系；其中，所述绑定关系vc中包括：内容为：将所述长期did标识与所述临时did标识进行绑定的声明、以及所述长期did标识对所述绑定关系vc的签名数据；以及，所述表征所述绑定关系的数据为所述绑定关系vc。

6、可选地，所述持有者基于所述临时did标识的签名数据处于所述vp的证明部分；所述持有者基于所述临时did标识的签名数据包括：所述临时did标识，所述临时did标识对所述vp的数字签名内容，以及用于执行验证的、所述临时did标识对应的公钥标识。

7、可选地，所述生成包括所述待验证数据的可验证表达vp向所述验证者的终端发送，包括：生成所述vp之后，使用预先确定的会话密钥加密所述vp，并将加密后的vp向所述验证者的终端发送；其中，所述会话密钥是所述持有者基于所述临时did标识对应的临时公钥和临时私钥与所述验证者通过密钥协商确定的。

8、可选地，所述方法进一步包括：在所述生成所述持有者的临时did标识之后，生成所述临时did标识对应的did文档；所述did文档中包含所述临时公钥；在所述验证者对所述持有者的验证结束之后，将所述临时did标识以及所述临时did标识对应的临时公钥和临时私钥删除或销毁。

9、为实现上述目的，根据本发明的另一方面，提供了一种数据传输装置。

10、本发明实施例的数据传输装置设置在可验证凭证vc的持有者的终端，所述持有者具有长期did标识；所述装置可以包括：临时标识生成单元，用于：在向所述vc的验证者的终端提供待验证数据之前，生成所述持有者的临时did标识；所述临时did标识不同于所述长期did标识；绑定单元，用于建立所述长期did标识和所述临时did标识之间的绑定关系；传输单元，用于：生成包括所述待验证数据的可验证表达vp向所述验证者的终端发送；所述vp中进一步包括：表征所述绑定关系的数据和所述持有者基于所述临时did标识的签名数据。

11、可选地，所述绑定单元可进一步用于：创建由所述长期did标识签发的绑定关系vc来表征所述绑定关系；其中，所述绑定关系vc中包括：内容为：将所述长期did标识与所述临时did标识进行绑定的声明、以及所述长期did标识对所述绑定关系vc的签名数据；以及，所述表征所述绑定关系的数据为所述绑定关系vc；所述持有者基于所述临时did标识的签名数据处于所述vp的证明部分；所述持有者基于所述临时did标识的签名数据包括：所述临时did标识，所述临时did标识对所述vp的数字签名内容，以及用于执行验证的、所述临时did标识对应的公钥标识。

12、为实现上述目的，根据本发明的又一方面，提供了一种电子设备。

13、本发明的一种电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明所提供的数据传输方法。

14、为实现上述目的，根据本发明的再一方面，提供了一种计算机可读存储介质。

15、本发明的一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明所提供的数据传输方法。

16、根据本发明的技术方案，上述发明中的实施例具有如下优点或有益效果：

17、在vc(verifiable credential，可验证凭证)持有者向验证者发送vp(verifiablepresentation，可验证表达)之前，持有者终端生成临时did标识。该临时did标识不同于长期did标识：长期did标识可以在较长时期内用于持有者的身份认证，可以与可信签发者签发的各vc关联；临时did标识可以只用于当前业务的临时性身份证明，并且不需要签发者签发相关vc。此后，持有者终端建立长期did标识和临时did标识之间的绑定关系，并生成包含表征以上绑定关系的数据和持有者基于临时did标识的签名数据的vp向验证者终端发送。通过以上方式，达到了不同业务可以对应不同临时did标识的效果，从而避免网络攻击者将固定did标识与用户行为关联引起的用户隐私泄露，同时以上临时did标识不需要可信签发者签发相应vc，因此不会增加签发者负担。

18、上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

技术特征：

1.一种数据传输方法，其特征在于，由可验证凭证vc的持有者的终端执行，所述持有者具有长期did标识；所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述生成所述持有者的临时did标识，包括：

3.根据权利要求1所述的方法，其特征在于，所述建立所述长期did标识和所述临时did标识之间的绑定关系，包括：

4.根据权利要求1所述的方法，其特征在于，所述持有者基于所述临时did标识的签名数据处于所述vp的证明部分；

5.根据权利要求2所述的方法，其特征在于，所述生成包括所述待验证数据的可验证表达vp向所述验证者的终端发送，包括：

6.根据权利要求2所述的方法，其特征在于，所述方法进一步包括：

7.一种数据传输装置，其特征在于，设置在可验证凭证vc的持有者的终端，所述持有者具有长期did标识；所述装置包括：

8.根据权利要求7所述的装置，其特征在于，所述绑定单元进一步用于：创建由所述长期did标识签发的绑定关系vc来表征所述绑定关系；其中，所述绑定关系vc中包括：内容为：将所述长期did标识与所述临时did标识进行绑定的声明、以及所述长期did标识对所述绑定关系vc的签名数据；

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-6中任一所述的方法。

技术总结
本发明公开了一种数据传输方法和装置，涉及数字身份技术领域。该方法的一具体实施方式包括：在向VC的验证者的终端提供待验证数据之前，生成VC持有者的临时DID标识；所述临时DID标识不同于VC持有者的长期DID标识；建立所述长期DID标识和所述临时DID标识之间的绑定关系；生成包括所述待验证数据的可验证表达VP向所述验证者的终端发送；所述VP中进一步包括：表征所述绑定关系的数据和所述持有者基于所述临时DID标识的签名数据。该实施方式能够在不增加签发者负担的前提下解决现有技术中将固定DID标识与用户行为绑定导致的隐私泄露问题。

技术研发人员：穆长春,狄刚,张鹏程,赵新宇,张志勇,张红波
受保护的技术使用者：中国人民银行数字货币研究所
技术研发日：
技术公布日：2024/1/15