多方安全计算的身份认证系统、方法、计算机设备

本发明涉及信息安全技术领域，特别是涉及一种多方安全计算的身份认证系统、方法、计算机设备、存储介质和计算机程序产品。

由于门户平台和多方安全计算节点实际功能不同、部署方式不同、从物理上存在割裂的关系，所以现有的技术方案一般是将门户平台与多方安全计算节点的身份认证体系割裂。在门户平台进行机构身份的管理，包括注册、登录等。与默认在各机构分布式部署的多方安全计算节点以该机构身份进行计算任务。

然而，现有的技术方案由于参与分布式多方安全数据协同计算的机构的身份认证与权限管理体系只在门户平台，而在多方安全计算节点是没有身份认证与权限管理体系的，因此在用户安全方面存在漏洞的问题，且数据协同计算的整体身份认证过程在门户平台与多方安全计算节点之间割裂。

基于此，有必要针对现有的技术方案存在的安全性问题，提供一种多方安全计算的身份认证系统、方法、计算机设备、存储介质和计算机程序产品。

一种多方安全计算的身份认证系统，包括门户平台、审核节点和多个机构节点，所述门户平台、审核节点和多个机构节点构成联盟链，所述联盟链上存储有所述门户平台的第一分布式数字身份信息、所述审核节点的第二分布式数字身份信息和审核节点信息、所述机构节点的第三分布式数字身份信息；所述机构节点用于在所述门户平台注册平台用户身份，还用于从所述联盟链获取所述第一分布式数字身份信息，根据所述第一分布式数字身份信息加密节点绑定申请并发送至所述门户平台；所述节点绑定申请包括所述平台用户身份和所述第三分布式数字身份信息；所述门户平台用于接收加密后的所述节点绑定申请，还用于根据所述第一分布式数字身份信息对加密后的所述节点绑定申请进行解密，还用于发送所述审核节点信息至所述机构节点；所述机构节点还用于接收所述门户平台发送的所述审核节点信息，并根据所述审核节点信息从所述联盟链上获取所述第二分布式数字身份信息，还用于根据所述第二分布式数字身份信息加密审核材料并发送至所述审核节点进行资质审核；所述审核节点用于接收加密后的所述审核材料，并根据所述第二分布式数字身份信息对加密后的所述审核材料进行解密，对所述审核材料进行资质审核，还用于当所述审核材料通过资质审核时，根据所述第二分布式数字身份信息加密身份审核通过声明并进行上链存证；所述门户平台还用于从联盟链中获取所述第二分布式数字身份信息和加密后的所述身份审核通过声明，根据所述第二分布式数字身份信息对所述加密后的所述身份审核通过声明进行解密，还用于将所述平台用户身份与所述第三分布式数字身份信息进行绑定。

一种多方安全计算的身份认证方法，应用于门户平台、审核节点与多个机构节点构成的联盟链中的任意一个机构节点，所述方法包括所述联盟链上存储有所述门户平台的第一分布式数字身份信息和所述审核节点的第二分布式数字身份信息和审核节点信息；在所述门户平台注册平台用户身份；生成第三分布式数字身份信息，并将所述第三分布式数字身份信息进行上链存证；从所述联盟链获取所述第一分布式数字身份信息；根据所述第一分布式数字身份信息加密节点绑定申请并发送至所述门户平台；所述节点绑定申请包括所述平台用户身份和所述第三分布式数字身份信息；接收所述门户平台发送的所述审核节点信息，并根据所述审核节点信息从所述联盟链上获取所述第二分布式数字身份信息；根据所述第二分布式数字身份信息加密审核材料并发送至所述审核节点进行资质审核；当所述审核材料通过资质审核时，完成分布式数字身份认证。

在其中一个实施例中，在完成分布式数字身份认证后，所述方法还包括根据所述第一分布式数字身份信息加密节点注销申请并发送至所述门户平台；所述节点注销申请包括所述平台用户身份和所述第三分布式数字身份信息。

在其中一个实施例中，所述生成第三分布式数字身份信息包括通过所述联盟链生成机构节点的非对称公私钥对；根据所述非对称公私钥对生成所述第三分布式数字身份信息，所述第三分布式数字身份信息包括机构节点的标识符、统一资源定位符和公钥信息。

一种多方安全计算的身份认证方法，应用于门户平台、审核节点与多个机构节点构成的联盟链中的审核节点，所述方法包括所述联盟链上存储有所述门户平台的第一分布式数字身份信息；生成第二分布式数字身份信息，并将所述第二分布式数字身份信息和审核节点信息进行上链存证；接收所述机构节点根据所述第二分布式数字身份信息加密发送的审核材料；根据所述第二分布式数字身份信息对加密后的所述审核材料进行解密；对所述机构节点的审核材料进行资质审核；当所述审核材料通过资质审核时，根据所述第二分布式数字身份信息加密身份审核通过声明并进行上链存证。

一种多方安全计算的身份认证方法，应用于门户平台、审核节点与多个机构节点构成的联盟链中的门户平台，所述方法包括所述联盟链上存储有所述审核节点的第二分布式数字身份信息和审核节点信息；生成第一分布式数字身份信息，并将所述第一分布式数字身份信息进行上链存证；接收所述机构节点根据所述第一分布式数字身份信息加密发送的节点绑定申请；所述节点绑定申请包括所述平台用户身份和所述第三分布式数字身份信息；根据所述第一分布式数字身份信息对加密后的所述节点绑定申请进行解密；发送所述审核节点信息至所述机构节点；从所述联盟链获取所述第二分布式数字身份信息和根据所述第二分布式数字身份信息加密的身份审核通过声明；根据所述第二分布式数字身份信息对加密后的所述身份审核通过声明进行解密；将所述平台用户身份与所述第三分布式数字身份信息进行绑定。

在其中一个实施例中，在将所述平台用户身份与所述第三分布式数字身份信息进行绑定后，所述方法还包括接收所述机构节点根据所述第一分布式数字身份信息加密发送至的节点注销申请；所述节点注销申请包括所述平台用户身份和所述第三分布式数字身份信息；判断与所述机构节点相关的数据协作任务是否已经结束；当与所述机构节点相关的数据协作任务结束时，将所述机构节点的状态为更新已注销。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任意一项实施例所述的多方安全计算的身份认证方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一项实施例所述的多方安全计算的身份认证方法的步骤。

一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述任意一项实施例所述的多方安全计算的身份认证方法的步骤。

上述多方安全计算的身份认证系统、方法、计算机设备、存储介质和计算机程序产品，引入了分布式数字身份，利用联盟链存储门户平台、审核节点与多个机构节点的分布式数字身份信息。机构节点向门户平台发出节点绑定申请后，门户平台将发送审核节点信息，令机构节点将审核材料发送至审核节点进行资质审核。在当审核材料通过资质审核后，门户平台将机构节点的分布式数字身份信息与机构节点的平台用户身份进行绑定，完成分布式数字身份认证。上述多方安全计算的身份认证方法可以对分布式多方安全数据协同计算网络的身份管理、认证流程、系统进行优化，在保持分布式系统松耦合特性的同时，实现跨一个门户平台与多个分布式节点之间全流程身份认证、管理体系，增加了通信安全、降低了隐私泄露风险，还可以实现灵活动态新增、注销参与节点。

为了更清楚地说明本说明书实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开其中一个实施例的身份认证系统的结构框图；

图2为本公开其中另一个实施例的身份认证系统的结构框图；

图3为本公开其中一个实施例的多方安全计算的身份认证方法的方法流程示意图；

图4为本公开其中一个实施例的生成第三分布式数字身份信息的方法流程示意图；

图5为本公开其中一个实施例的审核节点对应的多方安全计算的身份认证方法的方法流程示意图；

图6为本公开其中一个实施例的门户平台对应的多方安全计算的身份认证方法的方法流程示意图；

图7为本公开其中一个实施例的注销身份认证的方法流程示意图；

图8为本公开其中一实施例的身份认证装置或系统的框图。

为了便于理解本发明，下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的优选实施方式。但是，本发明可以以许多不同的形式来实现，并不限于本文所描述的实施方式。相反的，提供这些实施方式的目的是为了对本发明的公开内容理解得更加透彻全面。

需要说明的是，当元件被称为“固定于”另一个元件，它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件，它可以是直接连接到另一个元件或者可能同时存在居中元件。本文所使用的术语“垂直的”、“水平的”、“左”、“右”、“上”、“下”、“前”、“后”、“周向”以及类似的表述是基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。

在典型的分布式多方安全数据协同计算中，一般由门户平台承担发布可计算数据、发起计算任务、调度计算过程、查看计算状态等指令。由各机构分别分布式部署各自的多方安全计算节点，进行明文数据存储、实际多方数据协同计算、明文数据结果查看等操作。然而，在这样的部署架构下会存在门户平台用户身份与多方安全计算节点身份认证割裂等问题。

由于门户平台和多方安全计算节点实际功能不同、部署方式不同、从物理上存在割裂的关系，因此现有的技术方案一般是将门户平台与多方安全计算节点的身份认证体系割裂开来的。即机构用户在门户平台进行用户身份注册、登录、并以此身份在门户平台发起计算任务。门户平台通过维护机构身份与多方安全计算节点地址映射关系调度分布式多方安全数据协同计算任务的进行，使得结果方可以从自己的多方安全计算节点获得按照授权内容获得计算结果。

然而，参与分布式多方安全数据协同计算的机构的身份认证与权限管理体系只在门户平台，而在多方安全计算节点是没有身份认证与权限管理体系的。因此，在用户信息的安全保障方面有漏洞。同时，数据协同计算的整体身份认证过程在门户平台与多方安全计算节点之间割裂，无法进行覆盖数据协同计算全流程中对机构身份的安全认证和权限审核。为了保护多方数据协同计算的身份安全，机构用户在门户平台进行身份注册时，通常需要上传企业营业执照的照片，但是这个信息被保留在平台上，存在机构隐私数据泄露的风险。

另外，现有的技术方案无法动态地调整多方数据协同计算网络的组成状态。由于现在多方安全计算节点是没有身份体系的，如果有新的机构加入，即需要部署一个新的多方安全计算节点。无法通过数字化、自动化的方法在将该机构配置信息与认证关系在平台上同步，导致了用户认证割裂、无法动态维护新机构身份的问题。在身份认证过程在门户平台与多方安全计算节点之前通信的过程中，以明文的方式进行传输且缺少了机构身份认证信息过程，导致分布式相互通信的环节中存在安全漏洞。

为了解决上述问题，本公开提供了一种多方安全计算的身份认证系统，所述系统可以包括使用了本说明书实施例所述方法的系统(包括分布式系统)、软件(应用)、模块、组件、服务器、客户端等并结合必要的实施硬件的装置。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图1为本公开其中一个实施例的身份认证系统的结构框图，在其中一个实施例中，身份认证装置可以为终端，也可以为服务器，或者集成于所述终端的模块、组件、器件、单元等。身份认证装置可以包括门户平台10、审核节点20和多个机构节点30。其中，门户平台10、审核节点20和多个机构节点30均可以为终端，或者为服务器，或者为集成于所述终端的模块、组件、器件、单元等。

门户平台10、审核节点20和多个机构节点30构成联盟链，联盟链上存储有门户平台10的第一分布式数字身份信息、审核节点20的第二分布式数字身份信息和审核节点信息、机构节点30的第三分布式数字身份信息。门户平台10、审核节点20和多个机构节点30本地均部署了多方安全计算节点。其中，多方安全计算节点主要包括分布式数字身份模块。

分布式数字身份模块可以用于向门户平台10、审核节点20和多个机构节点30本地的多方安全计算节点颁布分布式数字身份。分布式数字身份模块可以包括联盟链节点和身份密钥模块。身份密钥模块主要用于生成和使用该机构的公私密钥对。联盟链节点主要用于对各机构的公钥进行上链存储以及链上调用。

图2为本公开其中另一个实施例的身份认证系统的结构框图，在其中一个实施例中，多个机构节点30还可以包括多方安全计算模块和多方安全计算节点。多方安全计算模块可以用于对每一个机构节点的原始数据进行密态处理，并按照多方安全计算的具体实现执行分布式多方数据协同安全计算。

多方安全计算节点分布式部署于每一机构内。每一个参与数据协同计算的机构节点均部署一个多方安全计算节点，每一个分布式数字身份对应一个多方安全计算节点。由于机构节点30是数据协同计算的参与方，因此部署有多方安全计算模块和多方安全计算节点，不参与数据协同计算的审核机构可以不部署多方安全计算模块和多方安全计算节点。

门户平台10还可以包括用户管理模块，利用用户管理模块串联平台用户体系与分布式数字身份体系，对平台用户身份与分布式数字身份的绑定与注销进行管理。

门户平台10生成门户平台10对应的第一分布式数字身份信息并上链存证。审核机构20在部署多方安全计算节点后，生成审核机构20对应的第二分布式数字身份信息并上链存证，将审核节点信息和第二分布式数字身份信息通过联盟链同步于门户平台10与其他机构节点30。

机构节点30在门户平台10进行用户身份注册、登录，门户平台10上注册的平台用户身份为传统集中式、使用密码登录的用户身份。机构节点30在注册平台身份后，可以在门户平台10上进行可行任务浏览。当机构节点30需要进行数据协同计算时，门户平台10将会提示机构节点30在机构本地部署多方安全计算节点并绑定分布式数字身份。机构节点30部署多方安全计算节点后，生成机构节点的第三分布式数字身份信息并进行上链存证。在完成身份认证后机构节点30即可在门户平台10发起多方安全计算任务。

为了保证分布式相互通信的环节的安全性，在门户平台与机构多方安全计算节点或与其他机构多方安全计算节点之间的通信过程中，采用指定机构的分布式数字身份进行信息加密，以密文的形式进行传输。机构节点30从联盟链中获取门户平台10对应的第一分布式数字身份信息，并根据第一分布式数字身份信息加密节点绑定申请，将加密后的节点绑定申请发送至门户平台10。节点绑定申请可以包括平台用户身份和第三分布式数字身份信息。

考虑到机构节点30若在门户平台10进行身份注册时上传企业营业执照的照片进行身份验证，机构节点30的企业信息被保留在平台上将存在机构隐私数据泄露的风险。因此，在本实施例中，为了保护多方数据协同计算的身份安全，由第三方的审核机构来完成对节点30的身份验证环节。门户平台10收到机构节点30发送的加密的节点绑定申请后，根据第一分布式数字身份信息对其进行解密，可以获得解密后的节点绑定申请。门户平台10获取节点绑定申请后，将向机构节点30回复审核节点20的审核节点信息，以提醒机构节点30发送审核材料至审核节点20进行资质审核。

机构节点30根据审核节点信息可以从联盟链上获取第二分布式数字身份信息。根据第二分布式数字身份信息加密审核材料并发送至审核节点20进行资质审核，当审核材料通过资质审核时，完成分布式数字身份认证；

审核节点20可以用于接收机构节点30根据第二分布式数字身份信息加密发送的审核材料，根据第二分布式数字身份信息解密以获取机构节点30的审核材料。审核节点20对机构节点30的审核材料进行资质审核，判断机构节点30是否能加入分布式多方安全数据协同计算网络。当机构节点30的审核材料通过资质审核时，审核节点20可以发布身份审核通过声明，根据第二分布式数字身份信息对身份审核通过声明进行加密并上链存证。

门户平台10可以从联盟链上获取审核节点20第二分布式数字身份信息以及审核节点20发布的加密后的身份审核通过声明。门户平台10可以根据第二分布式数字身份信息解密以获取身份审核通过声明。门户平台10根据身份审核通过声明确定机构节点30完成了参与机构分布式数字身份认证后，门户平台10可以将机构节点30的平台用户身份与机构节点30的第三分布式数字身份信息进行绑定。机构节点30通过申请审核并成功加入网络后，可以发起分布式数据协同计算请求。

上述多方安全计算的身份认证系统在多参与机构、审核机构共同构建分布式多方安全数据协同计算时，提供了一种全流程高效、安全、隐私保护的分布式网络多方安全计算的身份认证系统。所有参与分布式多方安全数据协同计算的机构均对应有一个分布式数字身份，用于实现特殊的身份认证、身份管理、安全保护等，为后续的分布式多方数据协同实际计算提供身份安全基础。

上述多方安全计算的身份认证系统结合了联盟链和分布式密钥体系，组成了一个去中心化、自主掌控、可移植性的数字身份体系。每一个参与分布式多方安全数据协同计算的机构都有对应有一个唯一的分布式数字身份，所有用户的分布式数字身份都公开存储于联盟链节点上。任意一个机构都可以通过联盟链验证其他机构的身份。利用联盟链的特性可以实现任何一个节点都无法修改任何一个分布式数字身份信息，可以在避免信息归集的同时串联门户平台和多方安全计算节点的身份体系。通过分布式数字身份的数字凭证，可以进行隐私保护的、最小化的申请信息传播与认证，增强数据安全。

同时，在门户平台与机构多方安全计算节点或与其他机构多方安全计算节点之间的通信过程中，采用指定机构的分布式数字身份对应的公钥进行信息加密，除指定接收方外其他方无法获取明文信息，从而提升了分布式系统的通信安全。以密文的形式实现信息交互，可以在保持灵活性的同时增加通信安全。借助分布式数字身份松耦合的特点，可以动态地添加或删减任意机构节点的身份认证，而不影响原有系统的正常运行。

基于上述所述的多方安全计算的身份认证系统实施例的描述，本公开还提供了一种多方安全计算的身份认证方法，基于同一创新构思，本公开实施例提供的一个或多个实施例中的方法如下面的实施例所述。由于方法解决问题的实现方案与装置相似，因此本说明书实施例具体的方法的实施可以参见前述装置的实施，重复之处不再赘述。

一种多方安全计算的身份认证方法应用于门户平台10、审核节点20与多个机构节点30构成的联盟链中的任意一个机构节点30。联盟链上存储有门户平台10的第一分布式数字身份信息、审核节点20的第二分布式数字身份信息和审核节点信息。每一个参与分布式多方安全数据协同计算的机构都有一个分布式数字身份，分布式数字身份将用户的公开身份存储于联盟链节点上，不需要中央注册机构，就可以实现唯一性，并且其中任意一个机构都可以验证其他机构的身份。

图3为本公开其中一个实施例的多方安全计算的身份认证方法的方法流程示意图。上述多方安全计算的身份认证方法可以包括如下步骤S110至步骤S170。

步骤S110：在门户平台注册平台用户身份。

机构节点30在门户平台10上注册平台用户身份。平台用户身份为传统集中式、使用密码登录的用户身份。机构节点30在注册完平台身份后，可以在门户平台10上进行可行任务浏览。当机构节点30想要发起数据协同计算时，门户平台10将会提示机构节点30在机构本地部署多方安全计算节点。在机构节点30绑定其平台身份与分布式数字身份后，机构节点30可以与其他机构进行分布式多方安全数据协同计算。

步骤S120：生成第三分布式数字身份信息，并将第三分布式数字身份信息进行上链存证。

机构节点30在本地部署多方安全计算节点后，可以利用多方安全计算节点生成机构节点30对应的第三分布式数字身份信息。机构节点30中的联盟链节点对第三分布式数字身份信息进行存证，并在各个联盟链节点之间共识同步，以实现将第三分布式数字身份信息上链存证。其他机构都可以从本地的联盟链节点中获取最新的机构节点30对应的第三分布式数字身份信息，以此同时保持机构节点30对应的第三分布式数字身份信息的唯一性。

步骤S130：从联盟链获取第一分布式数字身份信息。

门户平台10预先利用多方安全计算节点生成门户平台10对应的第一分布式数字身份信息，并将第一分布式数字身份信息进行上链存证。机构节点30可以通过本地的联盟链节点从联盟链获取第一分布式数字身份信息。

步骤S140：根据第一分布式数字身份信息加密节点绑定申请并发送至门户平台，节点绑定申请包括平台用户身份和第三分布式数字身份信息。

机构节点30利用步骤S130中获取的门户平台10对应的第一分布式数字身份信息对节点绑定申请进行加密，将加密后的节点绑定申请发送至门户平台10。在其中一个实施例中，第一分布式数字身份信息中可以包括门户平台10的分布式数字身份文件记录标识符、url(Uniform Resource Locator，统一资源定位器)、公钥等关键信息。机构节点30利用门户平台10的公钥对节点绑定申请进行加密，并向门户平台10发送。节点绑定申请中可以包括机构节点30对应的平台用户身份和第三分布式数字身份信息等等。

步骤S150：接收门户平台发送的审核节点信息，并根据审核节点信息从联盟链上获取第二分布式数字身份信息。

考虑到机构用户若在门户平台进行身份注册时上传企业营业执照的照片进行身份验证，机构用户的企业信息被保留在平台上将存在机构隐私数据泄露的风险。因此，在本实施例中，为了保护多方数据协同计算的身份安全，由第三方的审核机构20来完成对机构用户的身份验证环节。

门户平台10收到机构节点30发送的加密的节点绑定申请后，使用门户平台10的私钥进行解密，可以获得解密后的节点绑定申请。门户平台10获取节点绑定申请后，向机构节点30回复审核节点20的审核节点信息。在本公开的一些实施例中，审核节点信息可以为审核节点20对应的分布式数字身份标识符。机构节点30收到审核节点信息后，可以根据审核节点信息从联盟链节点中获取审核节点20的第二分布式数字身份信息。

步骤S160：根据第二分布式数字身份信息加密审核材料并发送至审核节点进行资质审核。

为了保证分布式相互通信的环节的安全性，机构节点30在将审核材料发送至审核节点之前，可以利用审核节点20的第二分布式数字身份信息对审核材料进行加密，以密文的方式进行传输。在本公开的一些实施例中，第二分布式数字身份信息可以包含审核节点20的公钥和url。机构节点30利用审核节点20的公钥加密审核材料，并将加密后的审核材料发送至审核节点。在本公开的一些实施例中，机构节点30的审核材料主要为机构节点30的企业营业执照等关键材料。

步骤S170：当审核材料通过资质审核时，完成分布式数字身份认证。

当机构节点30的审核材料通过资质审核时，即机构节点30完成了参与机构分布式数字身份认证。门户平台10将机构节点30的平台用户身份与机构节点30的第三分布式数字身份信息进行绑定。机构节点30通过申请审核并成功加入网络后，可以发起分布式数据协同计算请求。

上述多方安全计算的身份认证方法在多参与机构、审核机构共同构建分布式多方安全数据协同计算时，提供了一种全流程高效、安全、隐私保护的分布式网络多方安全计算的身份认证方法。所有参与分布式多方安全数据协同计算的机构均对应有一个分布式数字身份，用于实现特殊的身份认证、身份管理、安全保护等，为后续的分布式多方数据协同实际计算提供身份安全基础。

在其中一个实施例中，在完成分布式数字身份认证后，所述方法还可以包括根据第一分布式数字身份信息加密节点注销申请并发送至门户平台。上述多方安全计算的身份认证方法既可以对机构节点30的身份进行绑定，又可以对机构节点30的身份进行注销，灵活地实现动态新增、注销参与节点，而不影响原有系统的正常运行。

当分布式数据协同计算网络中任意一个机构节点30想要退出该网络时，该机构节点30从本地的多方安全计算节点提出针对该机构节点30的节点注销申请。在本公开的一些实施例中，节点注销申请可以包括该机构节点对应的平台用户身份和第三分布式数字身份信息。

在本申请中为了更好地说明退出分布式数据协同计算网络的试验步骤，以机构A为例来进行说明，但并不能因此而理解为对发明专利范围的限制。机构A从联盟链上获取门户平台10对应的第一分布式数字身份信息。第一分布式数字身份信息中可以包括门户平台10的公钥和url。机构A用该公钥加密节点注销申请，并将加密后的节点注销申请发送至门户平台10。节点注销申请中可以包括机构A多方安全计算节点的访问url、机构A的机构信息等。门户平台10接收到机构A发送的节点注销申请后，用门户平台10的私钥进行解密，即可获得解密后的节点注销申请，进而完成对机构A的身份注销。

图4为本公开其中一个实施例的生成第三分布式数字身份信息的方法流程示意图，在其中一个实施例中，生成第三分布式数字身份信息可以包括如下步骤S121至步骤S123。

步骤S121：通过联盟链生成机构节点的非对称公私钥对。

步骤S123：根据非对称公私钥对生成第三分布式数字身份信息，第三分布式数字身份信息包括机构节点的标识符、统一资源定位符和公钥信息。

机构节点30在本地部署多方安全计算节点，并通过联盟链节点生成机构节点30对应的非对称公私钥对。根据机构节点30对应的非对称公私钥对，生成第三分布式数字身份信息。在本公开的一些实施例中，第三分布式数字身份信息可以包括由字符串组成的唯一标识符和分布式数字身份文件。一个标识符代表一个数字身份。第三分布式数字身份信息记录了机构节点30对应的标识符、url、公钥等关键信息。机构节点30可以将第三分布式数字身份信息发送于联盟链节点。联盟链节点对机构节点30对应的第三分布式数字身份信息进行存证，并在各联盟链节点之间进行共识同步。其他机构可以从本地的联盟链节点中获取机构节点30对应的最新的分布式数字身份信息。

本公开还提供了另一种多方安全计算的身份认证方法，应用于门户平台10、审核节点20与多个机构节点30构成的联盟链中的审核节点。图5为本公开其中一个实施例的审核节点对应的多方安全计算的身份认证方法的方法流程示意图，在其中一个实施例中，多方安全计算的身份认证方法可以包括如下步骤S210至步骤S250。

步骤S210：生成第二分布式数字身份信息，并将第二分布式数字身份信息和审核节点信息进行上链存证。

审核节点20在本地部署多方安全计算节点后，可以利用多方安全计算节点生成审核节点20对应的第二分布式数字身份信息。审核节点20中的联盟链节点将第二分布式数字身份信息存证，并在各个联盟链节点之间共识同步，以实现将第二分布式数字身份信息上链存证。其他机构都可以从本地的联盟链节点中获取最新的审核节点对应的第二分布式数字身份信息，以此同时保持审核节点对应的第二分布式数字身份信息的唯一性。

在其中一个实施例中，审核节点20生成第二分布式数字身份信息的方法与机构节点30生成第三分布式数字身份信息的方法相同。审核节点20在本地部署多方安全计算节点，并通过联盟链节点生成审核节点对应的非对称公私钥对。根据审核节点20对应的非对称公私钥对，生成第二分布式数字身份信息。在本公开的一些实施例中，第二分布式数字身份信息可以包括由字符串组成的唯一标识符和分布式数字身份文件。第二分布式数字身份信息记录了审核节点20对应的标识符、url、公钥等关键信息。

步骤S220：接收机构节点根据第二分布式数字身份信息加密发送的审核材料。

机构节点30收到门户平台10发送的审核节点信息后，可以根据审核节点信息从联盟链节点获取审核节点20的第二分布式数字身份信息。为了保证分布式相互通信的环节的安全性，机构节点30在将审核材料发送至审核节点之前，可以利用审核节点20的第二分布式数字身份信息对审核材料进行加密，以密文的方式进行传输。在本公开的一些实施例中，第二分布式数字身份信息可以包含审核节点的公钥和url。机构节点30利用审核节点20的公钥加密审核材料，并将加密后的审核材料发送至审核节点20。

步骤S230：根据第二分布式数字身份信息对加密后的审核材料进行解密。

步骤S240：对机构节点的审核材料进行资质审核。

步骤S250：当审核材料通过资质审核时，根据第二分布式数字身份信息加密身份审核通过声明并进行上链存证。

审核节点20接收到加密过的审核材料后，可以用第二分布式数字身份信息对应的私钥进行解密，以获得机构节点30发送的审核材料。审核材料中主要包括了机构节点30的营业证照照片等关键材料。审核节点20可以通过验证机构节点30的营业证照片等关键材料，来实现对机构节点30的资质审核。

当机构节点30的审核材料通过资质审核时，审核节点20可以对机构节点30的审核材料信息及参与资质进行认可。审核节点20使用自身的私钥签发针对机构节点30的身份审核通过声明。身份审核通过声明是一种分布式数字身份体系内的认证凭证。在其中一个实施例中，身份审核通过声明可以包括针对机构节点30的认证信息内容、认证对象、签发时间、有效期及签发机构私钥等认证信息。审核节点20可以将针对机构节点30的身份审核通过声明上传联盟链节点进行上链存证，从而分布式多方安全数据协同计算网络中的其他参与方都可以从联盟链上获取该声明。

在其中一个实施例中，当机构节点30的审核材料没有通过资质审核时，机构节点30的审核材料认证失败，则审核节点20将审核材料退回机构节点30，机构节点30的申请加入失败。

上述多方安全计算的身份认证方法在针对机构的身份审核过程中，借由分布式数字身份的声明功能，通过指定的审核方查看关键审核材料，如机构营业执照等关键信息，而其他相关方只需验证审核方的签名来认证声明真实性即可，无法直接地获取机构关键信息。这样既可以实现对机构身份的审核，又可以减少机构关键敏感数据的传播范围、降低隐私泄露风险。

本公开还提供了另一种多方安全计算的身份认证方法，应用于门户平台10、审核节点20与多个机构节点30构成的联盟链中的门户平台。图6为本公开其中一个实施例的门户平台对应的多方安全计算的身份认证方法的方法流程示意图，在其中一个实施例中，多方安全计算的身份认证方法可以包括如下步骤S310至步骤S370。

步骤S310：生成第一分布式数字身份信息，并将第一分布式数字身份信息进行上链存证。

门户平台10在本地部署多方安全计算节点后，可以利用多方安全计算节点生成门户平台10对应的第一分布式数字身份信息。门户平台10中的联盟链节点将第一分布式数字身份信息存证，并在各个联盟链节点之间共识同步，以实现将第一分布式数字身份信息上链存证。其他机构都可以从本地的联盟链节点中获取最新的门户平台10对应的第一分布式数字身份信息，以此同时保持门户平台10对应的第一分布式数字身份信息的唯一性。

在其中一个实施例中，同样地，门户平台10生成第一分布式数字身份信息的方法也与机构节点30生成第三分布式数字身份信息的方法相同。门户平台10通过联盟链节点生成非对称公私钥对，并根据生成的非对称公私钥对，生成第一分布式数字身份信息。在本公开的一些实施例中，第一分布式数字身份信息也可以包括由字符串组成的唯一标识符和分布式数字身份文件。第一分布式数字身份信息记录了审核节点对应的标识符、url、公钥等关键信息。

步骤S320：接收机构节点根据第一分布式数字身份信息加密发送的节点绑定申请；节点绑定申请包括平台用户身份和第三分布式数字身份信息。

机构节点30利用从联盟链中获取的门户平台10对应的第一分布式数字身份信息对节点绑定申请进行加密，将加密后的节点绑定申请发送至门户平台10。在其中一个实施例中，第一分布式数字身份信息中可以包括门户平台10的分布式数字身份文件记录标识符、url(Uniform Resource Locator，统一资源定位器)、公钥等关键信息。机构节点30利用门户平台10的公钥对节点绑定申请进行加密，并向门户平台10发送。节点绑定申请中可以包括机构节点30对应的平台用户身份和第三分布式数字身份信息等等。

步骤S330：根据第一分布式数字身份信息对加密后的节点绑定申请进行解密。

门户平台10收到机构节点30发送的加密的节点绑定申请后，可以使用门户平台10的私钥进行解密，以获得机构节点30发起的节点绑定申请。

步骤S340：发送审核节点信息至机构节点。

考虑到机构用户若在门户平台10进行身份注册时，上传企业营业执照的照片进行身份验证，机构用户的企业信息被保留在平台上将存在机构隐私数据泄露的风险。因此，在本实施例中，为了保护多方数据协同计算的身份安全，由第三方的审核机构来完成对机构用户的身份验证环节。

门户平台在获取节点绑定申请后，向机构节点30回复审核节点的审核节点信息。在本公开的一些实施例中，审核节点信息可以为机构节点30对应的分布式数字身份标识符。

步骤S350：从联盟链获取第二分布式数字身份信息和根据第二分布式数字身份信息加密的身份审核通过声明。

步骤S360：根据第二分布式数字身份信息对加密后的身份审核通过声明进行解密。

步骤S370：将平台用户身份与第三分布式数字身份信息进行绑定。

机构节点30收到门户平台10发送的审核节点信息后，可以根据审核节点信息从联盟链节点获取审核节点20的第二分布式数字身份信息。机构节点30利用审核节点20的第二分布式数字身份信息对审核材料进行加密，以密文的方式传输至审核节点20。审核节点20接收到加密过的审核材料后，可以审核节点用私钥进行解密，以获得机构节点30发送的审核材料。审核材料中主要包括了机构节点30的营业证照照片等关键材料。审核节点20可以通过验证机构节点30的营业证照片等关键材料来实现对机构节点30的资质审核。

当机构节点30的审核材料通过资质审核时，审核节点20可以对机构节点30的审核材料信息及参与资质进行认可。审核节点20使用自身的私钥签发针对机构节点30的身份审核通过声明。身份审核通过声明是一种分布式数字身份体系内的认证凭证。审核节点20还可以将针对机构节点30的身份审核通过声明上传联盟链节点进行上链存证，从而分布式多方安全数据协同计算网络中的其他参与方都可以从联盟链上获取该声明。

门户平台10可以获取审核节点20的第二分布式数字身份信息，还可以从联盟链节点获取审核节点20签发的身份审核通过声明。门户平台10采用审核节点的公钥验证该身份审核通过声明中的签发机构的签名为审核节点后，即可认定审核节点20对机构节点30的申请审核结果为申请成功。门户平台10将绑定机构节点30的平台用户身份与机构节点30的第三分布式数字身份信息，以关联机构节点30的节点信息。此时机构节点30加入网络成功，之后机构节点30可以发起分布式数据协同计算请求。

本公开提供的多方安全计算的身份认证方法为多机构参与的分布式数据协同计算提供了一种具有松耦合、强认证、隐私保护、可信高效、可动态调整等优点的多方安全计算的身份认证方法。各参与机构均部署多方安全计算节点，即该分布式多方安全数据协同计算网络将由一个门户平台和多个多方安全计算节点组成。利用分布式数字身份串接机构内的多方安全计算节点和门户平台的机构身份认证，保证身份的一致性与可信性。门户平台采用传统集中式身份模式，而分布式终端与门户平台之间采用分布式数字身份技术进行身份统一化认证。分布式终端与门户平台、分布式终端与其他分布式终端之间通信都可以用分布式数字身份文件、声明进行一致性身份认证管理。

本公开提供的多方安全计算的身份认证方法引入了分布式数字身份，借助分布式数字身份解决分布式多方安全数据协同计算系统中的身份割裂问题；还对分布式多方安全数据协同计算网络的身份管理、认证流程等流程进行了优化，可以在保持分布式系统松耦合特性的同时，实现跨一个门户平台与多个分布式节点之间全流程身份认证管理的体系。

在机构分布式部署的多方安全计算节点之间、节点与平台之间的通信中，使用指定接收方的公钥加密，则除指定接收方外，其他方无法获取明文信息，有效提升了分布式系统的通信安全性。全流程均以密文形式进行通信，增加了通信安全、降低了隐私泄露风险。利用分布式数字身份自主掌控、灵活管理、可移植性的技术特点，增加了分布式多方安全数据协同计算网络的灵活性，可以灵活动态新增、注销参与节点，而不影响原有系统的正常运行。

图7为本公开其中一个实施例的注销身份认证的方法流程示意图，在其中一个实施例中，在将平台用户身份与第三分布式数字身份信息进行绑定后，所述方法还可以包括如下步骤S371至步骤S375。

步骤S371：接收机构节点根据第一分布式数字身份信息加密发送至的节点注销申请；节点注销申请包括平台用户身份和第三分布式数字身份信息。

当分布式数据协同计算网络中任意一个机构节点30想要退出该网络时，该机构节点从本地的多方安全计算节点提出针对该机构节点30对应的第三分布式数字身份信息的节点注销申请。在本公开的一些实施例中，节点注销申请可以包括该机构节点30对应的平台用户身份和第三分布式数字身份信息。

步骤S373：判断与机构节点相关的数据协作任务是否已经结束。

门户平台10收到机构节点30发送的加密过的节点注销申请后，可以使用门户平台10的私钥进行解密，以获得解密后的节点注销申请。门户平台10检查与机构节点30相关的数据协作任务，判断是否存在未完成的与机构节点30相关的数据协作任务。

步骤S375：当与机构节点相关的数据协作任务结束时，将机构节点的状态为更新已注销。

当与机构节点30相关的数据协作任务均已结束时，则判断机构节点30满足注销条件。门户平台10对机构节点30的状态进行更新，将机构节点30的状态更新为已注销。机构节点30在门户平台10中对应的平台用户身份无需删除，机构节点30仍然可以通过门户平台10中的账户查看原有的任务结果，但注销后的机构节点30将无法发起或者接受信息数据协同计算任务请求。

在其中一个实施例中，当存在正在进行中的与机构节点30相关的数据协作任务，或者存在正在进行中的由机构节点30发起的数据协作任务时，判定机构节点30不满足注销条件，此次注销申请失败。门户平台10可以将注销申请的失败结果返回给机构节点30。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其他的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

可以理解的是，本说明书中上述方法、装置等的各个实施例均采用递进的方式描述，各个实施例之间相同/相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。相关之处参见其他方法实施例的描述说明即可。

图8为本公开其中一实施例的身份认证装置或系统的框图。参照图8，身份认证装置或系统S00可以包括处理组件S20，其进一步包括一个或多个处理器，以及由存储器S22所代表的存储器资源，用于存储可由处理组件S20的执行的指令，例如应用程序。存储器S22中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件S20被配置为执行指令，以执行上述方法。

身份认证装置或系统S00还可以包括：电源组件S24被配置为执行身份认证装置或系统S00的电源管理，有线或无线网络接口S26被配置为将身份认证装置或系统S00连接到网络，和输入输出(I/O)接口S28。身份认证装置或系统S00可以操作基于存储在存储器S22的操作系统，例如Windows Server，Mac OS X，Unix，Linux，FreeBSD或类似。

在示例性实施例中，还提供了一种包括指令的计算机可读存储介质，例如包括指令的存储器S22，上述指令可由身份认证装置或系统S00的处理器执行以完成上述方法。存储介质可以是计算机可读存储介质，例如，所述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

在示例性实施例中，还提供一种计算机程序产品，所述计算机程序产品中包括指令，上述指令可由身份认证装置或系统S00的处理器执行以完成上述方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于硬件+程序类实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的，上述所述的装置、电子设备、服务器等根据方法实施例的描述还可以包括其他的实施方式，具体的实现方式可以参照相关方法实施例的描述。同时各个方法以及装置、设备、服务器实施例之间特征的相互组合组成的新的实施例仍然属于本公开所涵盖的实施范围之内，在此不作一一赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其他介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

在本说明书的描述中，参考术语“有些实施例”、“其他实施例”、“理想实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特征包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性描述不一定指的是相同的实施例或示例。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以作出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。