[发明专利]一种基于可信硬件的身份管理方法、装置及设备

权利要求书

1.一种基于可信硬件的数据管理方法，包括：

获取数据使用方发送的数据使用请求；所述数据使用请求用于请求使用用户利用可信硬件管理的可信的目标数据；

利用所述可信硬件中的私钥对所述目标数据进行数字签名，得到数字签名后目标数据；所述私钥为分布式身份服务器针对所述可信硬件生成的密钥对中的私钥；所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内；所述文档内的所述公钥可被数字签名验证方访问，以用于验证利用所述私钥数字签名后得到的数据；

发送所述数字签名后目标数据至所述数据使用方。

2.根据权利要求1所述的方法，所述获取数据使用方发送的数据使用请求之前，还包括：

获取用户的个人身份信息；

获取可信硬件的硬件标识信息；

根据所述个人身份信息及所述硬件标识信息，生成分布式数字身份标识绑定请求；所述分布式数字身份标识绑定请求用于请求建立所述用户的分布式数字身份标识与所述可信硬件的对应关系；

发送所述分布式数字身份标识绑定请求至分布式身份服务器。

3.根据权利要求2所述的方法，所述发送所述分布式数字身份标识绑定请求至分布式身份服务器之后，还包括：

接收所述分布式身份服务器反馈的私钥；所述私钥为所述分布式身份服务器根据所述对应关系而针对所述可信硬件生成的密钥对中的私钥；所述密钥对中的公钥存储于所述用户的分布式数字身份标识的文档内；

存储所述私钥至所述可信硬件。

4.根据权利要求2所述的方法，所述根据所述个人身份信息及所述硬件标识信息，生成分布式数字身份标识绑定请求之前，还包括：

获取目标应用在注册所述目标应用的分布式数字身份标识的过程中发送的应用识别信息；

所述根据所述个人身份信息及所述硬件标识信息，生成分布式数字身份标识绑定请求，具体包括：

所述目标应用根据所述个人身份信息、所述硬件标识信息及所述应用识别信息，生成分布式数字身份标识绑定请求；所述分布式数字身份标识绑定请求用于请求建立所述用户的目标分布式数字身份标识与所述可信硬件的对应关系；所述用户的目标分布式数字身份标识为所述用户利用所述目标应用注册的分布式数字身份标识。

5.根据权利要求1所述的方法，所述目标数据为所述可信硬件中存储的预先从可信机构处获取的数据；

所述利用所述可信硬件中的私钥对所述目标数据进行数字签名之前，还包括：

从所述可信机构处获取所述目标数据；

存储所述目标数据至所述可信硬件。

6.根据权利要求1所述的方法，所述目标数据为利用安全应用程序对可信机构处的所述用户的用户业务数据进行处理而得到的数据；

所述利用所述可信硬件中的私钥对所述目标数据进行数字签名之前，还包括：

响应于所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令，生成使用授权信息；

利用所述可信硬件中的私钥对所述使用授权信息进行数字签名，得到数字签名后使用授权信息；

发送所述数字签名后使用授权信息至所述安全应用程序；

接收所述安全应用程序反馈的所述目标数据。

7.根据权利要求6所述的方法，所述安全应用程序搭载于目标设备中的可信执行环境内，所述可信执行环境与所述目标设备的操作系统隔离。

8.根据权利要求7所述的方法，所述安全应用程序通过所述可信执行环境中的代码中预先定义的接口，从所述可信机构处获取所述用户的用户业务数据。

9.根据权利要求1所述的方法，所述发送所述数字签名后目标数据至所述数据使用方之前，还包括：

获取所述目标数据的使用授权审批方针对所述数据使用请求的使用授权指令。