一种分布式身份数据统一管理平台

摘要

本发明涉及数据管理技术领域，具体涉及一种分布式身份数据统一管理平台，包括DID引擎、管理模块组、交互模块组和web端；在DID引擎的基础上，管理模块组允许DID所有者和平台管理员对其身份和数据进行管理、平台管理员对平台进行管理以及凭证权威发行者对其发行的凭证进行管理；交互模块组在DID引擎和管理模块组的基础上，用于实现DID链上注册、数据共享、与区块链的应用或服务以及非区块链的应用或服务之间的信息交互。本发明提供的管理平台可以与多种DID基础设施以及DID解决方案配合使用，在将身份主权回归到用户的基础上，让用户的身份、凭证数据及其它相关数据获得安全、便捷、统一的管理，让DID释放最大的价值。

说明书

技术领域

本发明涉及数据管理技术领域，具体涉及一种分布式身份数据统一管理平台。

背景技术

在传统互联网时代，设备、终端、软件、服务、应用等实体都需要唯一的数字身份，才能实现实体标识和相互识别。数字身份是指将真实身份信息浓缩为数字代码，可通过网络、相关设备等进行查询、识别和验证的公共密钥。传统数字身份基于公众所熟知的“账号/密码”模型，在传统互联网模型中，协议底层只有IP地址，没有账户模型和身份模型，所以账户和身份完全依托于互联网的应用层。而这种设计会带来诸多问题，如重复认证问题、身份数据隐私与安全问题以及中心化认证效率低和容错性问题。

随着民众对于网络数据安全的重视以及隐私意识的加强，万维网联盟(W3C)提出了基于区块链技术的分布式数字身份(DID)，分布式数字身份让身份与数据的主权回归到个人身上，个人通过掌管其公/私钥来保障自己对于身份、数据和凭证等多项要素的权益。相对于传统数字身份，分布式数字身份具备更加安全高效、自主可控、可移植的特点，从而可以有效避免身份信息出现大规模泄露，解决传统CA认证过程耗费时间较长的问题，使得用户可以自主管理身份，以及能够在任何需要的地方使用其数据。区块链技术为数字身份提供的唯一数字身份标识、多重身份凭证、安全身份授权服务等将为所有分布式应用提供可信的身份认证、灵活数字签署、合规数据存证能力，同时能够打通现有不同身份之间的孤岛，实现真正的身份互通。

在理想状态下，各个区块链之间应该可以轻易的跨链。但是目前跨链基础设施尚未完善，不少区块链网络对于跨链支持不佳，使得市面上的DID项目虽然可以让用户获得分布式身份与数据，却很难在各个平台间对自己的身份与数据进行自由的迁移。另外，当前行业内对于分布式数字身份的研究主要集中在区块链上，而关于用户如何在线下对自己的身份、凭证数据以及其它数据进行管理，如何与DID基础设施以及DID解决方案配合使用，目前还缺少相关的工具以及统一的规范，导致用户无法统一、自主、安全、快捷地管理自己的数字身份及相关数据。

发明内容

针对现有技术中存在的不足，本发明提供一种分布式身份数据统一管理平台，可以与市面上多种DID基础设施以及DID解决方案配合使用，在将身份主权回归到用户的基础上，让用户的身份、凭证数据及其它相关数据获得安全、便捷、统一的管理，让DID释放最大的价值。

一种分布式身份数据统一管理平台，包括DID引擎、管理模块组、交互模块组和web端；所述DID引擎用于进行DID标识识别、DID本地生成、DID Document解析、DID数据解析、DID数据规则制定和生成选择性披露文档Presentation；在所述DID引擎的基础上，所述管理模块组允许DID所有者和平台管理员通过web端对其身份和数据进行管理、平台管理员通过web端对平台进行管理以及凭证权威发行者通过web端对其发行的凭证进行管理；所述交互模块组在所述DID引擎和所述管理模块组的基础上，用于实现DID链上注册、数据共享、与区块链的应用或服务以及非区块链的应用或服务之间的信息交互。

所述DID标识识别用于识别多类DID标识，支持WeIdentity标识规则和使用者自定义规则；

所述DID本地生成是指在本地按照内置的规则生成DID，所述内置规则有两种，一种是WeIdentity DID规则(随机DID规则)，一种是基于身份证号的生成规则(固定DID规则)；所述DID本地生成的方法包括一种是直接调用WeIdentity-Restful-Service相应的接口生成，一种是先离线生成再通过区块链模块进行链上注册；

所述DID Document解析是指根据W3C规则对Context(DID信息)、ID(DID标识符)、Authentication(认证信息，包括相关的公私钥)和Service(相关服务接口)等DIDDocument信息进行解析；

所述DID数据解析的类型为固定的JSON类型，用于对凭证数据与其他DID相关数据进行解析；

所述DID数据规则制定可以保证DID引擎的可扩展性；

所述生成选择性披露文档Presentation指基于单个或多个凭证生成选择性披露文档，以保证在最小披露的原则下提供需要证明的信息。

进一步地，所述管理模块组包括身份管理模块、数据管理模块、平台管理模块和凭证权威发行者管理模块；

通过所述身份管理模块，DID所有者和平台管理员通过DID数据的导入和导出，以及生成身份树实现对身份的查看和管理；

通过所述数据管理模块，DID所有者和平台管理员通过从本地或链上导入和导出数据，对数据进行增删改查、验签和分析，实现对数据的管理；

通过所述平台管理模块，平台管理员通过注册、登录、设置权限以及增删和查看用户实现对平台的管理；

通过所述凭证权威发行者管理模块，用户通过注册成为权威凭证发行者，发行并管理自己的凭证。

进一步地，所述交互模块组包括数据共享模块、区块链模块和接口中心，所述数据共享模块用于数据共享以及数据跨链，所述区块链模块用于DID链上注册、DID相关信息的数据绑定以及进行数据凭证摘要存证。

进一步地，所述数据共享的类型包括DID信息和凭证数据，所述数据共享的方法包括链上摘要共享、数据组合披露和结合隐私保护的数据共享。

进一步地，所述结合隐私保护的数据共享采用的相互结合使用的算法包括同态加密算法、群签名、环签名和零知识证明协议。

进一步地，通过所述区块链模块进行DID链上注册的流程包括：

S101：判断注册人信息是否已在管理平台内；

S102：如果注册人信息已在管理平台内则调用注册人信息；如果注册人信息不在管理平台内，则录入注册人信息；

S103：填写要注册的区块链的基本信息，所述基本信息包括节点地址；

S104：选择网络采用的区款链框架；

S105：上传相应的证书，包括节点证书和SDK证书；

S106：判断DID规范是否已在管理平台内；

S107：如果DID规范已在管理平台内，则调用已有的规范；如果DID规范不在管理平台内，则新建DID规范；

S108：补充DID规范中所需要的其他信息；

S109：区块链模块将DID注册上链；

S110：返回信息给用户。

进一步地，所述区款链框架可选择FISCO BCOS或Fabric；

进一步地，所述接口中心能够连接Weldentity Restful Service通讯接口、外部应用通讯接口和区块链开发工具箱通讯接口中的任意一种通讯接口。

通过管理平台，可将用户信息通过通讯接口或者web端注册在基于不同的区块链框架和不同的DID规范的区块链网络上，使DID链上注册更方便、快捷，且无需重复录入信息。

与现有技术相比，本发明具有以下优点：

(1)本发明提供的分布式数字身份数据统一管理平台，利用网页统一管理多种规则的DID，实现多级权限的用户管理，用户可手动的让自己的数据在各个平台之间流通，便携的管理自己的身份数据，掌握自身数据的主动权，同时满足公司内部或者多个公司的权限管理要求，而无需被动的等待跨链基础设施的建设。

(2)本发明提供的分布式数字身份数据统一管理平台将线上和线下分离，将链上数据放到线下进行管理，可以在不具备跨链能力的网络中让用户方便的迁移自己的身份数据。

(3)利用web端可视化界面实现证书生成以及证书管理，更加方便用户管理和使用数据化的电子证书。

(4)本平台所有功能接口化，使得其他开发者可以快速进行二次开发以及基于本管理平台搭建更丰富功能的工具。

附图说明

附图用来提供对本发明的进一步理解，并且构成本说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为分布式身份数据统一管理平台的功能示意图；

图2为通过区块链模块进行DID链上注册的流程示意图；

图3为用户分布式数字身份数据的结构示意图；

图4为数据共享方法示意图。

具体实施方式

下面结合本发明的具体实施例及相应的附图，对本发明的技术方案作进一步地详细描述。应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

由图1可知，分布式身份数据统一管理平台主要由DID引擎、管理模块组、交互模块组和web端这三部分组成。

DID引擎具有DID标识识别、DID本地生成、DID Document解析、DID数据解析、DID数据规则制定和生成选择性披露文档Presentation等功能。其中，DID标识识别是指识别多类DID标识，支持WeIdentity标识规则和使用者自定义规则。DID本地生成是指在本地按照内置的规则生成DID，内置规则有两种，一种是WeIdentityDID规则，一种是基于身份证号的生成规则，DID生成可直接调用WeIdentity-Restful-Service相应的接口生成，也可以先离线生成，之后再通过区块链模块进行链上注册。DID Document解析是指根据W3C规则对Context(DID信息)、ID(DID标识符)、Authentication(认证信息，包括相关的公私钥)和Service(相关服务接口)等DID Document信息进行解析；DID数据解析指解析JSON数据，包括凭证数据和其他DID相关数据；通过制定DID数据规则可以保证DID引擎的可扩展性；生成选择性披露文档Presentation指基于单个或多个凭证生成选择性披露文档，以保证在最小披露的原则下提供需要证明的信息。

管理模块组包括身份管理模块、数据管理模块、平台管理模块和凭证权威发行者管理模块，在DID引擎的基础上，通过web端可视化界面，管理模块组允许DID所有者和平台管理员对其身份和数据进行管理、平台管理员对平台进行管理以及凭证权威发行者对其发行的凭证进行管理。具体来说，DID所有者和平台管理员可以通过身份管理模块实现DID数据的导入和导出，以及生成身份树从而对身份进行查看和管理；DID所有者和平台管理员可以通过数据管理模块从本地或链上导入或导出数据，对数据进行增删改查、验签和分析，实现对数据的管理；平台管理员可以通过平台管理模块，注册、登录、设置权限以及增删和查看用户实现对平台的管理；用户通过注册成为权威凭证发行者，通过凭证权威发行者管理模块，可以发行并管理自己的凭证。如图3所示，用户通过管理平台可以将多个区块链网络中的DID身份数据汇聚，对数据进行统一管理。

由图2可知，管理平台通过区块链模块进行DID链上注册的具体流程为：

步骤S101：首先判断注册人信息是否已在管理平台内；

步骤S102：如果注册人信息已在管理平台内则调用注册人信息，如果注册人信息不在管理平台内则录入注册人信息；

步骤S103：填写要注册的区块链的基本信息，如节点地址等；

步骤S104：选择采用的区款链框架，如FISCO BCOS或Fabric；

步骤S105：上传相应的证书，如节点证书、SDK证书等；

步骤S106：判断DID规范是否已在管理平台内；

步骤S107：如果DID规范已在管理平台内则调用已有的规范，如果DID规范不在管理平台内则新建DID规范；

步骤S108：补充DID规范中所需要的剩余信息；

步骤S109：区块链模块将DID注册上链；

步骤S110：返回信息给用户。

通过管理平台的区块链模块，可将用户信息通过通讯接口或者web端可视化方式注册在基于不同的区块链框架和不同的DID规范的区块链网络上，使DID链上注册更方便、快捷，且无需重复录入信息。

交互模块组包括数据共享模块、区块链模块和接口中心，在DID引擎和管理模块组的基础上，用于实现DID链上注册、数据共享以及与区块链以及非区块链的应用和服务之间的信息交互。如图1和图4可知，数据共享模块用于数据共享以及数据跨链，数据共享的类型包括DID信息和凭证数据，数据共享的方法包括链上摘要共享、数据组合披露和结合隐私保护，数据共享采用的相互结合使用的隐私保护算法包括选择性披露Presentation、同态加密算法、群签名、环签名和零知识证明协议等。通过管理平台提供的多种信息共享方式，用户可以将信息安全可信地共享给数据需求方。区块链模块用于DID链上注册、DID相关信息的数据绑定以及进行数据凭证摘要存证。接口中心能够连接Weldentity Restful Service通讯接口、外部应用通讯接口或区块链开发工具箱通讯接口。

结合图1～图4，用户使用本分布式身份数据统一管理平台的一般流程如下：

(1)通过注册成为自己身份的管理员，也可以添加管理自己的用户；

(2)通过数据管理模块经web端可以从本地或链上进行数据导入、导出，对自己数据的增删改查、验签以及分析；

(3)通过身份管理系统经web端可以进行DID数据的导入或导出，一键生成自己的身份树进行查看；

(4)通过凭证权威发行者管理模块经web端可以进行注册成为权威凭证发行者，发行并管理自己已发行的凭证；

(5)通过平台管理模块经web端登录、注册成为管理员，进行权限设置以及增删和查看用户实现对平台的管理；

(6)通过数据共享模块功能选择自己要共享的数据类型，同时还支持各种隐私保护下的数据共享，例如：选择性披露presentation、基于同态加密算法的数据共享等；

(7)通过区块链模块进行DID链上注册，DID相关信息的数据绑定，进行数据凭证摘要存证；

(8)通过DID引擎，可以对DID标识进行识别，DID本地生成，指定DID生成的规则，DID数据解析，DID Documents解析，生成选择性披露文件presentation doc文件等。

以上所述仅为本发明的优选实施例，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。