[发明专利]一种数字身份标识管理方法及系统

说明书

技术领域

本发明涉及信息安全领域。

背景技术

目前，基于身份标识的IBC(Identity-Based Cryptograph)密码技术已得到广泛应用，该技术使用的是非对称密码体系，加密与解密使用两套不同的密钥，用户的公钥就是他的身份标识ID，比如姓名、email地址、手机号等，因此具有密钥管理简单的优点。

IBC密码技术体系中，由于用户的私钥是由中心化部署的密钥分发中心KDC(Key Distribution Center)生成并管理，因此KDC保存了用户私钥的备份，即IBC密钥托管问题。该问题导致了IBC密码技术无法满足《电子签名法》的要求，不能应用于开放的网络环境中。

该体系中，如果用户密钥需要更新，在KDC系统参数不变的情况下，用户公钥，如姓名、email等，则需额外添加或修改诸如日期等相关参数，以实现私钥的更新。这将导致密钥更新后用户公钥自证性降低的问题。

发明内容

本发明提供一种数字身份标识管理方法及系统,目的在于解决KDC作为中心化的密钥分发中心，如被攻击将造成整个应用体系安全性降低、IBC密码技术体系的密钥托管及密钥更新后标识自证性降低的问题。

本发明解决上述技术问题的技术方案如下：一种数字身份标识管理方法，它是由以下过程实现：

S1、建立区块链应用系统，部署多个节点，每个节点对应一个公开、共享的账本，每个账本中均记录多个区块；

S2、建立身份标识管理模式，在每个账本中同步记录各用户身份标识ID的生成、注销和更新操作。

进一步，所述S1的具体实现过程包括：

S11、建立P2P网络，部署多个节点；

S12、每个节点均维护一个公开、共享的账本，账本中记录多个区块，每个区块记录多条操作或交易数据；

S13、每个节点均由各用户或第三方自主进行维护。

进一步，所述S2的具体实现过程包括：

S21、用户生成的身份标识ID及附加信息向区块链全部节点发布，经过区块链全部节点的共识处理，将新生成的用户标识ID及附加信息记录在区块链中，用户身份标识ID生成操作结束；

S22、用户身份标识ID注销请求向区块链全部节点发布，经过区块链全部节点的共识处理，将密钥对注销请求记录在区块链中，用户身份标识ID注销操作结束；

S23、依次执行用户身份标识ID注销操作和用户身份标识ID生成操作实现用户密钥对的更新。

进一步，所述S21的具体实现过程包括：

S211、用户建立KDC系统，选择身份标识ID，并通过KDC生成与所述ID相对应的私钥s，即公私钥对为(ID，s)，私钥s由用户秘密保存；

S212、通过私钥s计算签名Sign(ID，t，m，Hash(r))，

其中，

ID为身份标识；

t为当前操作时间；

m为特定信息，具体为随机数或用户自定义信息；

r为随机数，秘密保存，用于用户丢失私钥后，证明自身身份的证据；

Hash(r)为标准Hash函数；

S213、将ID，t，m，Hash(r)，Sign(ID，t，m，Hash(r))及KDC公开参数params作为一笔操作记录向区块链全部节点发布；

S214、其他节点接收到操作记录，使用发布者的公钥ID及t、m、Hash(r)信息验证签名Sign(ID，t，m，Hash(r))是否正确，同时验证t是否与当前时间相一致；

S215、根据区块链共识处理机制，当半数以上节点验证通过，则将该操作记录记录到区块链中，用户身份标识ID生成成功。

进一步，所述S22的具体实现过程包括：

S221、用户采用私钥s对该用户ID、当前操作时间t和注销原因w进行签名Sign(ID，t，w)，并将ID，t，w及Sign(n，t，w)作为一条操作记录向全部节点发布；

S222、如果用户私钥s丢失，则用户将ID、秘密保存的随机数r及注销原因w作为一条记录向全部节点发布；

S223、根据区块链共识处理机制，当半数以上节点验证通过，则将该操作记录记录到区块链中，用户身份标识ID注销成功。

本发明的有益效果是：本发明结合区块链技术，实现去中心化KDC、分布式的密钥分发系统，解决了如被攻击将造成整个应用体系安全性降低、IBC密码技术体系的密钥托管及密钥更新后标识自证性降低的问题。

本发明还提出一种数字身份标识管理系统，该系统包括：