[发明专利]一种可信分布式身份认证方法、系统、存储介质及应用

说明书

本发明属于信息安全认证技术领域，公开了一种可信分布式身份认证方法、系统、存储介质及应用，调用数字身份申请模块在区块链上创建自己的数字身份；调用请求身份凭证模块向凭证颁发方请求凭证；凭证颁发方调用凭证颁发模块为用户颁发身份凭证；用户调用隐私保护模块选择应用方需要验证的属性，根据自己属性不同的隐私需求，使用不同密码学技术对身份凭证中属性进行加密或构造属性证明，并将处理后的凭证放在区块链上；应用方从区块链上获取用户处理后的凭证，调用验证模块，对用户凭证中属性或属性证明进行验证，验证用户是否属性是否满足条件。在保护用户身份隐私的同时，提高了数字身份认证的实用性，扩大了数字身份认证的使用范围。

技术领域

本发明属于信息安全认证技术领域，尤其涉及一种可信分布式身份认证方法、系统、存储介质及应用。

背景技术

目前：随着互联网的出现和普及，传统的身份有了另外一种表现形式，即基于密码算法生成的数字身份。数字身份的演进经历了三个阶段，分别是:中心化身份、联盟身份、分布式去中心化身份。传统的基于PKI(公钥基础设施)的身份体系，用户身份数据被单一的中心化权威机构所控制，存在身份信息泄露、数据权属界定不清、数据主体失去控制等问题。同时，一方面因为用户数据场景化、碎片化，造成数据源是多而零散的。用户数据类型复杂、标准不一，数据交换缺乏信任源、安全难保障等诸多原因造成数据交换难、共享难。另一方面，个人作为数据主体的角色缺失，用户授权机制不完善，隐私保护的法律法规、事后追责机制等相关体系仍需不断发展完善，这些原因都造成了数据滥用问题的普遍存在。为了满足使用者对安全与隐私、数字身份关联和数字身份统一整合的需求，提出了DID(Decentralized ID，分布式身份系统)。分布式身份系统是基于区块链的去中心化可信存储特征，避免了身份数据被单一的中心化权威机构所控制。用户身份相关数据锚定在区块链上，认证的过程不需要依赖于提供身份的应用方，实现用户对自己身份的控制和管理。但区块链上数据公开，用户上链的身份信息隐私得不到有效的保护。在DID应用中，用户身份认证时只支持捆绑认证，需要对用户所有数据明文进行验证，不能支持用户任意属性集合子集的披露，也不支持对用户属性范围的验证。

通过上述分析，现有技术存在的问题及缺陷为：现有的分布式身份系统存在无法很好保护用户信息隐私、不能实现多条件认证、验证时不支持属性选择性披露。

解决以上问题及缺陷的难度为：基于区块链的分布式数字身份，它将数据所有权归还用户从根本上解决去中心化问题。它通过定义身份层协议提供跨应用的互操作性，促进应用间的互联互通，创造了一种扁平化、弹性化的数字身份模式。但同时，因为链上数据使所有节点都公开可见，链上用户信息隐私成为了新的问题，这也限制分布式身份的进一步发展。目前我国的分布式数字身份才刚刚起步，很多研究和应用都还在分布式身份认证的初期。普通加密等密码学技术并不能解决用户隐私问题，寻找新的密码学技术，建立可信的分布式身份认证，在保护用户信息的前提下实现认证是新的挑战。

解决以上问题及缺陷的意义为：互联网时代的数据安全问题其实非常突出。相比传统数字身份系统，分布式数字身份具有隐私保护、可控安全、持久可用等特点，基于属性的授权访问方式能够更好的支持开放环境下灵活的访问策略。在可信分布式身份认证中，采用基于承诺、哈希、零知识证明、范围证明等密码学技术，可以有效解决隐私保护问题，实现凭证属性的最小披露和基于逻辑范式的结果证明。在未来，随着越来越多的应用可方便、安全的切换到可信分布式数字身份基础设施上来，会形成安全可靠互联互通的互联网身份网络。

发明内容

针对现有技术存在的问题，本发明提供了一种可信分布式身份认证方法、系统、存储介质及应用。

本发明是这样实现的，一种可信分布式身份认证方法，所述可信分布式身份认证方法包括：

用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份；

用户根据应用方的验证需求，调用请求身份凭证模块向凭证颁发方请求凭证；