基于区块链的分布式身份认证方法及系统

本发明涉及区块链技术领域，具体地，涉及一种基于区块链的分布式身份认证方法及系统。

社会救助旨在为陷入生存困境的对象提供资金或资源扶持，以保障其最低生活所需。然而，许多情况下，符合资格的救助对象在申请救助资金时，需要提交详细的身份信息并存储在中心化的数据库上，一旦数据库损坏或被攻击，救助对象的身份数据则面临巨大风险，如隐私泄露、身份顶替等。

专利文献CN111444492A公开了一种基于医疗区块链的数字身份验证的方法，其特征在于，包括以下步骤，应用服务器根据提交的对患者的身份验证请求，构建患者身份信息标识区块链；应用服务器根据身份标识区块链进行患者身份认证。但该方法并不能有效地保护身份信息的隐私安全性。

针对现有技术中的缺陷，本发明的目的是提供一种基于区块链的分布式身份认证方法及系统。

根据本发明提供的一种基于区块链的分布式身份认证方法，包括：

步骤1：监管机构对身份信息登记单位和救助资金发放单位进行授信，并将授信结果发放到区块链网络系统上；

步骤2：在区块链网络系统上生成身份信息登记单位的第一公私钥对，和生成申请用户的去中心化身份与第二公私钥对，以及，将去中心化身份与第二公私钥对相关联，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档；

步骤3：根据申请用户的申请，将申请用户的第一申请信息发送到身份信息登记单位进行验证，以得到第二申请信息和使用第一公私钥对中的第一私钥签名的可验证声明，第一申请信息包括：去中心化身份、第一签名信息，申请用户的身份信息和第一身份信息摘要，第二申请信息包括：去中心化身份、第一签名信息和第一身份信息摘要；

步骤4：根据可验证声明和第二申请信息，通过救助资金发放单位对身份信息登记单位和申请用户进行验证，完成救助资金发放。

优选地，步骤2，包括：

步骤201：在区块链网络系统上生成身份信息登记单位的第一公私钥对，将第一公私钥对中的第一公钥存储在区块链网络系统上，将第一私钥分配至身份信息登记单位；

步骤202：通过区块链网络系统为申请用户生成去中心化身份与第二公私钥对，将去中心化身份与第二公私钥对相关联，以及，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档，将第二公私钥对中的第二私钥分配至对应申请用户，并将去中心化身份和去中心化身份文档存储至区块链网络系统上。

优选地，步骤3，包括：

步骤301：获取申请用户的申请，将第一申请信息发送至身份信息登记单位；

步骤302：根据去中心化身份和去中心化身份文档，获取第二公钥；

步骤303：通过第二公钥验证申请用户的第一签名信息，验证成功过后，则执行步骤304，验证失败后，则将失败结果返还至申请后用，并驳回申请；

步骤304：对身份信息进行确认，确认通过，则得到第二申请信息和使用第一私钥签名的可验证声明，确认不通过，则驳回申请用户的申请。

优选地，第一身份摘要信息为对身份信息进行哈希运算得到哈希值。

优选地，步骤4，包括：

步骤401：根据身份信息登记单位的第一公钥，使救助资金发放单位对身份信息登记单位的第二签名信息进行验证；

步骤402：验证成功后，则执行步骤403，验证失败，则弃用第二申请信息，不做处理；

步骤403：根据第二申请信息中的去中心化身份，获取关联的去中心化身份文档和第二公钥，对申请用户的第一签名信息进行验证；

步骤404：验证通过，则执行步骤405，验证失败后，则弃用第二申请信息，不做处理；

步骤405：通过第一签名信息，获取第二身份信息摘要；

步骤406：将第一身份信息摘要与第二身份信息摘要进行比对，比对一致后，则完成救助资金发放，比对不一致，则将失败结果返还给身份信息登记单位。

根据本发明提供的一种基于区块链的分布式身份认证系统，包括：

模块M1：监管机构对身份信息登记单位和救助资金发放单位进行授信，并将授信结果发放到区块链网络系统上；

模块M2：在区块链网络系统上生成身份信息登记单位的第一公私钥对，和生成申请用户的去中心化身份与第二公私钥对，以及，将去中心化身份与第二公私钥对相关联，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档；

模块M3：根据申请用户的申请，将申请用户的第一申请信息发送到身份信息登记单位进行验证，以得到第二申请信息和使用第一公私钥对中的第一私钥签名的可验证声明，第一申请信息包括：去中心化身份、第一签名信息，申请用户的身份信息和第一身份信息摘要，第二申请信息包括：去中心化身份、第一签名信息和第一身份信息摘要；

模块M4：根据可验证声明和第二申请信息，通过救助资金发放单位对身份信息登记单位和申请用户进行验证，完成救助资金发放。

优选地，模块M2，包括：

子模块M201：在区块链网络系统上生成身份信息登记单位的第一公私钥对，将第一公私钥对中的第一公钥存储在区块链网络系统上，将第一私钥分配至身份信息登记单位；

子模块M202：通过区块链网络系统为申请用户生成去中心化身份与第二公私钥对，将去中心化身份与第二公私钥对相关联，以及，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档，将第二公私钥对中的第二私钥分配至对应申请用户，并将去中心化身份和去中心化身份文档存储至区块链网络系统上。

优选地，模块M3，包括：

子模块M301：获取申请用户的申请，将第一申请信息发送至身份信息登记单位；

子模块M302：根据去中心化身份和去中心化身份文档，获取第二公钥；

子模块M303：通过第二公钥验证申请用户的第一签名信息，验证成功过后，则执行子模块M304，验证失败后，则将失败结果返还至申请后用，并驳回申请；

子模块M304：对身份信息进行确认，确认通过，则得到第二申请信息和使用第一私钥签名的可验证声明，确认不通过，则将失败结果返还至申请用户。

优选地，第一身份摘要信息为对身份信息进行哈希运算得到哈希值。

优选地，模块M4，包括：

子模块M401：根据身份信息登记单位的第一公钥，使救助资金发放单位对身份信息登记单位的第二签名信息进行验证；

子模块M402：验证成功后，则执行子模块M403，验证失败，则弃用第二申请信息，不做处理；

子模块M403：根据第二申请信息中的去中心化身份，获取关联的去中心化身份文档和第二公钥，对申请用户的第一签名信息进行验证；

子模块M404：验证通过，则执行子模块M405，验证失败后，则弃用第二申请信息，不做处理；

子模块M405：通过第一签名信息，获取第二身份信息摘要；

子模块M406：将第一身份信息摘要与第二身份信息摘要进行比对，比对一致后，则完成救助资金发放，比对不一致，则将失败结果返还给身份信息登记单位。

与现有技术相比，本发明具有如下的有益效果：

1、本发明利用区块链分布式身份认证方法帮助申请用户在只提供所需身份信息最小化的情况下完成身份认证。

2、本发明的认证过程中申请用户拥有对个人身份信息的控制权，只需提供符合认证需求的最小化身份信息即可进行验证，做到最大程度保护隐私安全。

3、本发明中身份认证在区块链网络系统中进行，保证认证流程及其产生的数据信息可追溯不可篡改，实现救助资金确认发放给申请用户，减少被冒领的风险。

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明的流程示意图；

图2为本发明的结构示意图。

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

图1为本发明的流程示意图，如图1所示，本发明提供了一种基于区块链的分布式身份认证方法，包括：

步骤1：监管机构对身份信息登记单位和救助资金发放单位进行授信，并将授信结果发放到区块链网络系统上。

图2为本发明的结构示意图，如图2所示，包括：监管机构、身份信息登记单位、救助资金发放单位、申请用户和区块链网络系统，其中，区块链网络系统主要用于生成去中心化身份(Decentralized Identity，DID)、公私钥生成和数据存证。

具体地，监管机构负责分别对身份信息登记单位和救助资金发放单位进行授信，申请用户向身份信息登记单位提交申请，身份信息登记单位根据申请用户的申请向救助资金发放单位出示可验证声明。其中，申请用户通过区块链网络系统注册生成DID和公私钥对，身份信息登记单位和救助资金发放单位通过区块链网络系统进行数据调用和存证。

在一种可选的实施方式中，首先，构建基于区块链的区块链网络系统环境，然后，监管机构对身份信息登记单位和救助资金发放单位进行授信，证明身份信息登记单位具备身份登记的合法性和证明救助资金发放单位具备资金发放的合法性，并将授信结果公布到区块链网络系统上。

步骤2：在区块链网络系统上生成身份信息登记单位的第一公私钥对，和生成申请用户的去中心化身份与第二公私钥对，以及，将去中心化身份与第二公私钥对相关联，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档。

优选地，步骤201：在区块链网络系统上生成身份信息登记单位的第一公私钥对，将第一公私钥对中的第一公钥存储在区块链网络系统上，将第一私钥分配至身份信息登记单位；步骤202：通过区块链网络系统为申请用户生成去中心化身份与第二公私钥对，将去中心化身份与第二公私钥对相关联，以及，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档，将第二公私钥对中的第二私钥分配至对应申请用户，并将去中心化身份和去中心化身份文档存储至区块链网络系统上。

具体地，区块链网络系统为身份信息登记单位生成第一公私钥对，将第一公私钥对中的第一公钥存储在区块链网络系统上，第一公私钥对中的第一私钥分配至身份信息登记单位。

进一步地，申请用户通过区块链网络系统注册生成DID与第二公私钥对，区块链网络系统将申请用户的DID与第二公私钥相关联，将第二公私钥对中的第二公钥写入申请用户的DID文档，私钥分配至对应申请用户，并将申请用户的DID、所关联的DID文档存储至区块链网络系统上。

其中，公私钥对是指非对称公私钥对，包括公钥和私钥。

步骤3：根据申请用户的申请，将申请用户的第一申请信息发送到身份信息登记单位进行验证，以得到第二申请信息和使用第一公私钥对中的第一私钥签名的可验证声明，第一申请信息包括：去中心化身份、第一签名信息，申请用户的身份信息和第一身份信息摘要，第二申请信息包括：去中心化身份、第一签名信息和第一身份信息摘要。

优选地，步骤3，包括：步骤301：获取申请用户的申请，将第一申请信息发送至身份信息登记单位；步骤302：根据去中心化身份和去中心化身份文档，获取第二公钥；步骤303：通过第二公钥验证申请用户的第一签名信息，验证成功过后，则执行步骤304，验证失败后，则将失败结果返还至申请后用，并驳回申请；步骤304：对身份信息进行确认，确认通过，则得到第二申请信息和使用第一私钥签名的可验证声明，确认不通过，则驳回申请用户的申请。

优选地，第一身份摘要信息为对身份信息进行哈希运算得到哈希值。

在本发明中只需要少量的身份信息，即可完成身份验证，同时，不会将申请人的身份信息进行多次传送，只传送哈希值，即第一身份摘要，保证了身份信息的隐私安全性。

具体地，申请用户提起申请，将第一申请信息发送至身份信息登记单位。然后，身份信息登记单位验证申请用户的身份并出具可验证声明。

其中，第一申请信息包括申请用户的DID、申请用户的签名信息、符合资金发放认证需求的身份信息和第一身份信息摘要。

本发明中对于符合资金发放认证需求的身份信息不做限制，可以根据具体地情况进行限制，示例性的，可以包括：姓名、身份证号和学校名称等。

具体地，身份信息登记单位接收到第一申请信息后，用申请用户的DID查询到关联DID文档并获取申请用户的第二公钥，验证申请用户的第一签名信息，签名验证成功，则进一步确认申请用户提交的身份信息是否符合资金发放要求；签名验证失败，则将失败结果返还至申请用户，并驳回申请。

进一步地，签名验证成功后，则确认申请用户提交的身份信息是否符合资金发放要求，若符合资金发放要求，则身份登记单位出具可验证声明并用第一私钥签名，将可验证声明与第二申请信息发送至救助资金发放单位，等待验证。

本发明中对于资金发放要求的设置不做限制，示例性的，可以设置为申请用户的家庭收入小于一定的数额等。

本发明中使用的身份信息为最小化身份信息，如救助资金发放单位需要申请用户满足的资金发放要求为“年收入在xxx元以下”条件，一般的中心化申请流程中需要申请人提供身份证，包括：姓名、性别、生日、住址和身份证号码以及银行流水等一系列详细信息。而在本发明中，申请用户的身份证明由DID和签名信息完成，此外只需提供收入证明即可。其中的“收入证明”即为最小化身份信息。

具体地，身份登记单位在接收到申请用户发送的第一申请信息后，先进行步骤302和步骤303，验证申请用户的身份，再进行步骤304，审核申请用户的身份信息，确认申请用户提交的最小化身份信息无误，示例性的，满足申请用户的年收入在xxx元以下，出具的可验证声明即代表申请用户提交的最小化身份信息符合“年收入在xxx元以下”的资金发放要求。若最小化身份信息不足以证明“年收入在xxx元以下”，身份信息登记单位将直接驳回申请用户的申请。

可知的是，相当于身份信息登记单位在确认最小化身份信息准确无误的情况下，为申请用户做背书，而救助资金发放单位只需验证身份信息登记单位和申请用户的身份即可。

具体地，身份信息登记单位发给的救助资金发放单位的第二申请信息中不包含身份信息，即最小化信息，目的在于尽量减少申请用户的未加密身份信息的传输频次。

步骤4：根据可验证声明和第二申请信息，通过救助资金发放单位对身份信息登记单位和申请用户进行验证，完成救助资金发放。

优选地，步骤4，包括：步骤401：根据身份信息登记单位的第一公钥，使救助资金发放单位对身份信息登记单位的第二签名信息进行验证；步骤402：验证成功后，则执行步骤403，验证失败，则弃用第二申请信息，不做处理；步骤403：根据第二申请信息中的去中心化身份，获取关联的去中心化身份文档和第二公钥，对申请用户的第一签名信息进行验证；步骤404：验证通过，则执行步骤405，验证失败后，则弃用第二申请信息，不做处理；步骤405：通过第一签名信息，获取第二身份信息摘要；步骤406：将第一身份信息摘要与第二身份信息摘要进行比对，比对一致后，则完成救助资金发放，比对不一致，则将失败结果返还给身份信息登记单位。

具体地，救助资金发放单位接收到可验证声明和第二申请信息之后，验证身份信息登记单位和申请用户的身份。

示例性的，救助资金发放单位根据存储在区块链网络系统上的身份信息登记单位的第一公钥验证身份信息登记单位的第二签名信息；验证成功，则继续验证申请用户；验证失败则弃用第二申请信息，不做处理。

进一步地，救助资金发放单位根据接收到的第二申请信息中的申请用户的DID查询到关联的DID文档并获取申请用户的第二公钥，验证申请用户的第一签名信息；将解密第一签名信息后获取的第二身份信息摘要，与接收到的第二申请信息中的第一身份信息摘要进行比对，确认一致，即进行救助资金发放，不一致，则将失败结果返还给身份信息登记单位。

根据本发明提供的一种基于区块链的分布式身份认证系统，包括：

模块M1：监管机构对身份信息登记单位和救助资金发放单位进行授信，并将授信结果发放到区块链网络系统上。

模块M2：在区块链网络系统上生成身份信息登记单位的第一公私钥对，和生成申请用户的去中心化身份与第二公私钥对，以及，将去中心化身份与第二公私钥对相关联，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档。

优选地，模块M2，包括：

子模块M201：在区块链网络系统上生成身份信息登记单位的第一公私钥对，将第一公私钥对中的第一公钥存储在区块链网络系统上，将第一私钥分配至身份信息登记单位；

子模块M202：通过区块链网络系统为申请用户生成去中心化身份与第二公私钥对，将去中心化身份与第二公私钥对相关联，以及，将第二公私钥对中的第二公钥写入申请用户的去中心化身份文档，将第二公私钥对中的第二私钥分配至对应申请用户，并将去中心化身份和去中心化身份文档存储至区块链网络系统上。

模块M3：根据申请用户的申请，将申请用户的第一申请信息发送到身份信息登记单位进行验证，以得到第二申请信息和使用第一公私钥对中的第一私钥签名的可验证声明，第一申请信息包括：去中心化身份、第一签名信息，申请用户的身份信息和第一身份信息摘要，第二申请信息包括：去中心化身份、第一签名信息和第一身份信息摘要。

优选地，模块M3，包括：

子模块M301：获取申请用户的申请，将第一申请信息发送至身份信息登记单位；

子模块M302：根据去中心化身份和去中心化身份文档，获取第二公钥；

子模块M303：通过第二公钥验证申请用户的第一签名信息，验证成功过后，则执行子模块M304，验证失败后，则将失败结果返还至申请后用，并驳回申请；

子模块M304：对身份信息进行确认，确认通过，则得到第二申请信息和使用第一私钥签名的可验证声明，确认不通过，则将失败结果返还至申请用户。

优选地，第一身份摘要信息为对身份信息进行哈希运算得到哈希值。

模块M4：根据可验证声明和第二申请信息，通过救助资金发放单位对身份信息登记单位和申请用户进行验证，完成救助资金发放。

优选地，模块M4，包括：

子模块M401：根据身份信息登记单位的第一公钥，使救助资金发放单位对身份信息登记单位的第二签名信息进行验证；

子模块M402：验证成功后，则执行子模块M403，验证失败，则弃用第二申请信息，不做处理；

子模块M403：根据第二申请信息中的去中心化身份，获取关联的去中心化身份文档和第二公钥，对申请用户的第一签名信息进行验证；

子模块M404：验证通过，则执行子模块M405，验证失败后，则弃用第二申请信息，不做处理；

子模块M405：通过第一签名信息，获取第二身份信息摘要；

子模块M406：将第一身份信息摘要与第二身份信息摘要进行比对，比对一致后，则完成救助资金发放，比对不一致，则将失败结果返还给身份信息登记单位。

与现有技术相比，本发明的有益效果如下：

1、本发明利用区块链分布式身份认证方法帮助申请用户在只提供所需身份信息最小化的情况下完成身份认证。

2、本发明的认证过程中申请用户拥有对个人身份信息的控制权，只需提供符合认证需求的最小化身份信息即可进行验证，做到最大程度保护隐私安全。

3、本发明中身份认证在区块链网络系统中进行，保证认证流程及其产生的数据信息可追溯不可篡改，实现救助资金确认发放给申请用户，减少被冒领的风险。

4、本发明通过采用代理重加密合约，保证了隐私数据在共享过程中点对点的传输，只有获得数据拥有者许可的节点才能解开密文获取信息，从而解决了隐私数据的所有权问题，让用户个人真正拥有数据隐私使用权。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以，本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件，而对其内包括的实现各种程序的模块也可以视为硬件部件内的结构；也可以将实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。