[发明专利]基于区块链的多维度数字身份鉴别系统

权利要求书

1.一种基于区块链的多维度数字身份鉴别系统，其特征在于包括：

区块链层：用于对 DID 文档以及其它需要分布式存储内容的数据存储锚定；

去中心化身份解析适配服务层：用于对区块链层提供统一的DID文档解析服务，此服务可以同时对接他应用链的接入，进行跨链应用；该层节点会把上层的DID相关的操作打包，创建一个链上交易，并在交易中嵌入该操作批次的哈希，并用于隔离上层业务对底层区块链存储的差异性，对业务层和存储层进行解耦；

可信交换层：用于通过用户代理注册链上身份获得DID文档，并依托DID 文档向发证方申请各类可验证凭证，最终向验证方提供DID和可验证凭证完成验证流程；

应用层：用于构建web、移动客户端的应用提供给终端用户使用。

2.如权利要求1所述的基于区块链的多维度数字身份鉴别系统，其特征在于：所述区块链层包括智能合约单元以及区块链基础协议层，所述智能合约单元包括去中心化身份合约模块、身份授权合约模块以及权限管理合约模块；所述区块链基础协议层包括共识管理模块、节点组网管理模块、网络通信模块、分布式数据存储模块以及加解密模块。

3.如权利要求1所述的基于区块链的多维度数字身份鉴别系统，其特征在于：所述去中心化身份解析适配服务层包括本地存储模块、DID解析器、打包模块、上链模块、读取模块以及合并模块。

4.如权利要求1所述的基于区块链的多维度数字身份鉴别系统，其特征在于：所述可信交换层包括用户、发证方和验证方。

5.如权利要求1所述的基于区块链的多维度数字身份鉴别系统，其特征在于：所述应用层包括注册认证模块、凭证查询模块、秘钥管理模块、凭证验证模块、凭证申请模块、凭证发行模块、凭证出示模块、属性模板创建模块、凭证冻结模块、验证属性类别模块、凭证撤销模块以及属性授权模块。

6.如权利要求5所述的基于区块链的多维度数字身份鉴别系统，其特征在于，数字身份ID生成和注册的方法如下：

用户首先接入法定数字身份签发系统，进行KYC认证，认证用户的法定数字身份；

用户生成分布式数字身份标识符，填充DID Document，与法定数字身份映射绑定；

将DID信息存储到区块链上，隐私信息不上链，以hash形式存储在链上，私钥信息加密保存在用户的设备或者托管到云端设备上。

7.如权利要求5所述的基于区块链的多维度数字身份鉴别系统，其特征在于数字身份管理包括数字凭证的申请、颁发、出示和验证，用户向发证方请求、接收凭证，向验证方出示凭证；凭证的发行者拥有用户的数据并能开具凭证的实体；凭证的使用者接受凭证并进行验证；维护DIDS的数据库和服务，此处指的是使用的区块链和数据库，用户在维护DIDS的数据库生成DID。

8.如权利要求5所述的基于区块链的多维度数字身份鉴别系统，其特征在于：数字身份属性授权用于实现用户身份自主控制，即用户通过授权查看数字身份的某个或多个属性给他人，获取或者识别用户的相关身份信息需要在该用户同意的情况下才能通过；系统中的其他用户或者服务商请求验证属性，可以请求获取某个属性类别中属性的内容或者某个属性是否满足某个条件，需要被验证的用户进行授权，授权通过则返回相关结果。

9.如权利要求5所述的基于区块链的多维度数字身份鉴别系统，其特征在于属性选择授权及验证的方法如下：

发证方选择要冻结或者撤销之前发行的证书；

构造冻结或者撤销的信息所需的数据结构；

调用冻结或者撤销证书的接口，将冻结或撤销的操作提交到区块链上；

提供相应的查询接口，可以查看数字证书的状态；

对于冻结的数字证书，可以进行解冻，但是被撤销的数字证书不可再恢复。

10.如权利要求5所述的基于区块链的多维度数字身份鉴别系统，其特征在于密钥生成的方法如下：

用SM2生成一个公私钥对，再对公钥进行base58编码，得到账户地址；

在传输或转移对称密码时，用公钥进行加密，再用私钥进行解密得到对称密码；

在往区块链上发送一笔交易，用户得用自己的私钥进行签名，同时带上自己的公钥信息，网络上的其它节点在验证这笔交易的有效性的时候，用公钥进行签名验证，确认是这个帐户发送的交易；

在生成一个区块的时候，一个节点的本地会设置多个自己信任的帐户，配置这些帐户的公钥，这样在收到其它节点发来的区块数据时，只有能通过签名认证的，才认为区块有效。