一种可监管的动态自我主权身份生成方法技术

本发明专利技术公开了一种可监管的动态自我主权身份生成方法。本发明专利技术包括信息采集验证机构、物理人、数字人、数字人生成机构、监管机构、身份信息区块链和数字人行为区块链。首先由信息采集验证机构、身份信息区块链、数字人生成机构和监管机构进行初始化，生成系统所需参数和各自所需的公私钥信息；然后物理人通过信息采集验证机构将自己的物理世界个人信息，接着数字人生成机构为物理人自动生成一段可执行代码，而这段代码即是唯一的数字人；最后，监管机构可以利用数字人行为区块链、身份信息区块链和数字人生成机构中记录的数据来监管恶意的用户。本发明专利技术通过生物特征来实现物理人对自己身份的完全控制以及数字人的唯一性。身份的完全控制以及数字人的唯一性。身份的完全控制以及数字人的唯一性。

【技术实现步骤摘要】
一种可监管的动态自我主权身份生成方法


[0001]本专利技术涉及自我主权身份领域，具体涉及一种可监管的动态自我主权身份生成方法。

技术介绍

[0002]在传统的身份管理方案中，用户的数字身份完全由服务提供商控制，这种做法存在着巨大的安全隐患，比如说身份信息泄露、身份冒用和身份欺诈等等。
[0003]针对这一现状，许多基于区块链的自我主权身份方案被提出，以期让用户来完全控制自己的数字身份。但是，这些方案存在着诸多问题，比方说，有些方案采用易被滥用的静态字符串作为数字身份；而有些方案则过分强调用户自我主权的重要性，为维持网络空间的有序带来挑战；还有一些方案为保护用户隐私，允许用户注册持有多个身份，为女巫攻击的实现提供了便利。因此，本章提出了可监管的动态自我主权身份生成方法SDSSIG(A supervisable dynamic self
‑
sovereign identity generation scheme)。

技术实现思路

[0004]本专利技术主要针对已存在的自我主权身份方案的不足，提供的一种可监管的动态自我主权身份生成方法。
[0005]本专利技术解决其技术问题所采用的技术方案如下：
[0006]本专利技术包括信息采集验证机构、物理人、数字人、数字人生成机构、监管机构、身份信息区块链和数字人行为区块链七个组件，各个组件交互步骤如下：
[0007]步骤1、系统初始化；对身份信息区块链、信息采集验证机构、数字人生成机构和监管机构分别初始化，生成系统所需参数；
[0008]步骤2、物理人通过信息采集验证机构将自己的个人信息数字化；物理人向信息采集验证机构证明自己身份的真实性，并在此过程后获得其身份相关信息的身份签名；信息采集验证机构由两类实体构成，分别是元数据验证方和生物特征采集方，负责采集并验证物理人的个人信息，如姓名、住址、生物特征等，并将相关个人信息进行hash处理，随后将hash结果、元数据验证方的身份标识和生物特征采集方的身份标识以交易的形式存储到身份信息区块链中；
[0009]步骤3、物理人向数字人生成机构申请数字人；数字人生成机构由两类实体组成，分别是数字人生成方和安全存储方，其中数字人生成方是一个高效运作的计算中心，负责所有的计算工作，而安全存储方则负责保密存储物理人身份信息和数字人信息；物理人向数字人生成机构提交信息采集验证机构为其签发的身份签名；数字人生成方在验证该身份签名无误后，为物理人生成一个独一无二的数字人，并将其进行hash处理，随后将该hash结果以及物理人身份信息进行加密和分片处理，向安全存储方发送分片后的数据；多个安全存储方以相同的索引值分别在本地存储一份分片结果，在确保数据被安全存储后，数字人生成方向物理人发送为其生成的数字人，随后将数字人hash结果、安全存储方记录的索引
值以及数字人生成方的身份标识以交易的形式存储到身份信息区块链中；
[0010]步骤4、恶意物理人监管；监管机构全天候实时监察数字人行为区块链上的数据，一旦某个监管机构发现某个数字人的行为有异常，立即向其他的监管机构发出监管请求，在一定时限内，当接受监管请求的监管机构达到指定阈值则开启对该数字人的监管流程；发起监管请求的监管机构通过身份信息区块链和数字人生成机构获取该数字人相对应加密后的物理人身份信息，随后将时间戳、数字人的hash结果以及发起监管请求的监管机构的身份标识，以交易的形式存储到身份信息区块链中；所有同意的监管机构联合参与还原被加密的物理人身份信息，并监管该恶意物理人。
[0011]进一步的，步骤1所述的系统初始化是身份信息区块链IIC初始化，为系统实体初始化提供参数；信息采集验证机构、数字人生成机构和监管机构初始化，为其内实体生成子密钥和公私钥对，具体实现如下：
[0012]1‑
1.身份信息区块链初始化：身份信息区块链IIC首先选定一个大素数p，一条椭圆曲线E
p
(a,b)和一个n阶有限域F
p
下的基点G，接着IIC在创世区块中发布公共参数P＝{p,E
p
(a,b),G,n}；之后，IIC随机选择一个128bit长的AES密钥作为主密钥MK；最后，IIC使用Shamir(t,n)门限秘密共享算法将MK分为两组子密钥，一组发送给安全存储方SS，另一组发送给监管机构RA，其中所采用的算法参数分别为(t1,n1)和(t2,n2)；
[0013]1‑
2.数字人生成机构DHGG中的安全存储方SS和监管机构RA初始化：SS和RA利用IIC发布的公共参数P生成各自的公私钥，SS的公私钥分别记作PK
SS
/SK
SS
；RA的公私钥分别记作PK
RA
/SK
RA
；随后，IIC使用PK
SS
和PK
RA
加密相应的子密钥并分别发送给n1个SS和n2个RA；通过SS和RA的私钥解密后，SS和RA获得自己的子密钥，分别记作SubK
SS
和SubK
RA
；
[0014]1‑
3.信息采集验证机构ICVG中的元数据验证方MV和生物特征采集方BC，数字人生成机构DHGG中的数字人生成方DHG各自生成其公私钥，分别记作PK
MV
/SK
MV
，PK
BC
/SK
BC
和PK
DHG
/SK
DHG
。
[0015]进一步的，步骤2所述具体实现如下：
[0016]物理人PH需先通过信息采集验证机构ICVG将其自身的身份信息数字化后方可进行下一步，其中PH还获得其身份相关信息的签名，具体实现如下：
[0017]2‑
1.PH通过面对面的方式向MV出示自己的合法证件，如身份证、驾照等，并提供身份信息元数据MD
PH
，包括姓名、身份证号、住址和性别；
[0018]2‑
2.MV通过比对合法证件来验证MD
PH
的真伪，若通过验证，MV计算元数据凭证H
M
＝H(MD
PH
)并将H
M
和MV自己的公钥PK
MV
以交易的形式存储到IIC上，该交易记作TM；H()表示哈希函数；
[0019]2‑
3.MV将TM的交易号TNum交给PH；
[0020]2‑
4.PH以面对面的方式向BC提交MD
PH
和TNum以进行身份验证；
[0021]2‑
5.BC计算H'
M
＝H(MD
PH
)，随后使用TNum在IIC中查找TM，找到后取出其记录的H
M
并与H'
M
进行比对，若二者比对不一致，BC则停止进行下一步；
[0022]2‑
6.BC采集PH的两种生本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可监管的动态自我主权身份生成方法，其特征在于包括信息采集验证机构、物理人、数字人、数字人生成机构、监管机构、身份信息区块链和数字人行为区块链七个组件，各个组件交互步骤如下：步骤1、系统初始化；对身份信息区块链、信息采集验证机构、数字人生成机构和监管机构分别初始化，生成系统所需参数；步骤2、物理人通过信息采集验证机构将自己的个人信息数字化；物理人向信息采集验证机构证明自己身份的真实性，并在此过程后获得其身份相关信息的身份签名；信息采集验证机构由两类实体构成，分别是元数据验证方和生物特征采集方，负责采集并验证物理人的个人信息，并将相关个人信息进行hash处理，随后将hash结果、元数据验证方的身份标识和生物特征采集方的身份标识以交易的形式存储到身份信息区块链中；步骤3、物理人向数字人生成机构申请数字人；数字人生成机构由两类实体组成，分别是数字人生成方和安全存储方，其中数字人生成方是一个高效运作的计算中心，负责所有的计算工作，而安全存储方则负责保密存储物理人身份信息和数字人信息；物理人向数字人生成机构提交信息采集验证机构为其签发的身份签名；数字人生成方在验证该身份签名无误后，为物理人生成一个独一无二的数字人，并将其进行hash处理，随后将该hash结果以及物理人身份信息进行加密和分片处理，向安全存储方发送分片后的数据；多个安全存储方以相同的索引值分别在本地存储一份分片结果，在确保数据被安全存储后，数字人生成方向物理人发送为其生成的数字人，随后将数字人hash结果、安全存储方记录的索引值以及数字人生成方的身份标识以交易的形式存储到身份信息区块链中；步骤4、恶意物理人监管；监管机构全天候实时监察数字人行为区块链上的数据，一旦某个监管机构发现某个数字人的行为有异常，立即向其他的监管机构发出监管请求，在一定时限内，当接受监管请求的监管机构达到指定阈值则开启对该数字人的监管流程；发起监管请求的监管机构通过身份信息区块链和数字人生成机构获取该数字人相对应加密后的物理人身份信息，随后将时间戳、数字人的hash结果以及发起监管请求的监管机构的身份标识，以交易的形式存储到身份信息区块链中；所有同意的监管机构联合参与还原被加密的物理人身份信息，并监管该恶意物理人。2.根据权利要求1所述的一种可监管的动态自我主权身份生成方法，其特征在于步骤1所述的系统初始化是身份信息区块链IIC初始化，为系统实体初始化提供参数；信息采集验证机构、数字人生成机构和监管机构初始化，为其内实体生成子密钥和公私钥对，具体实现如下：1
‑
1.身份信息区块链初始化：身份信息区块链IIC首先选定一个大素数p，一条椭圆曲线E
p
(a，b)和一个n阶有限域F
p
下的基点G，接着IIC在创世区块中发布公共参数P＝{p，E
p
(a，b)，G，n}；之后，IIC随机选择一个128bit长的AES密钥作为主密钥MK；最后，IIC使用Shamir(t，n)门限秘密共享算法将MK分为两组子密钥，一组发送给安全存储方SS，另一组发送给监管机构RA，其中所采用的算法参数分别为(t1，n1)和(t2，n2)；1
‑
2.数字人生成机构DHGG中的安全存储方SS和监管机构RA初始化：SS和RA利用IIC发布的公共参数P生成各自的公私钥，SS的公私钥分别记作PK
Ss
/SK
SS
；RA的公私钥分别记作PK
RA
/SK
RA
；随后，IIC使用PK
SS
和PK
RA
加密相应的子密钥并分别发送给n1个SS和n2个RA；通过SS和RA的私钥解密后，SS和RA获得自己的子密钥，分别记作SubK
SS
和SubK
RA
；
1
‑
3.信息采集验证机构ICVG中的元数据验证方MV和生物特征采集方BC，数字人生成机构DHGG中的数字人生成方DHG各自生成其公私钥，分别记作PK
MV
/SK
MV
，PK
BC
/SK
BC
和PK
DHa
/SK
DHa
。3.根据权利要求1所述的一种可监管的动态自我主权身份生成方法，其特征在于步骤2所述的物理人PH需先通过信息采集验证机构ICVG将其自身的身份信息数字化后方可进行下一步，其中PH还获得其身份相关信息的签名，具体实现如下：2
‑
1.PH通过面对面的方式向MV出示自己的合法证件，并提供身份信息元数据MD
pH
，包括姓名、身份证号、住址和性别；2
‑
2.MV通过比对合法证件来验证MD
PH
的真伪，若通过验证，MV计算元数据凭证H
M
＝H(MD
PH
)并将H
M
和MV自己的公钥PK
MV
以交易的形式存储到IIC上，该交易记作TM；H()表示哈希函数；2
‑
3.MV将TM的交易号TNum交给PH；2
‑
4.PH以面对面的方式向BC提交MD
PH
和TNum以进行身份验证；2
‑
5.BC计算H
′
M
＝H(MD
PH
)，随后使用TNum在IIC中查找TM，找到后取出其记录的H
M
并与H
′
M
进行比对，若二者比对不一致，BC则停止进行下一步；2
‑
6.BC采集PH的两种生物特征，其中一个作为PH在网络空间存在的永久性证明，而另一个用于之后启动数字人DH；由于永久性证明要求不可破坏且不被频繁采集，因此选择虹膜数据iris，而另一个在每次使用DH时都要进行采集，因此选用人脸数据face；在采集过后，BC计算生物特征凭证H
I

【专利技术属性】
技术研发人员：吕秋云，程绍鹏，魏澄莹，李昊，刘隽良，申延召，
申请(专利权)人：杭州电子科技大学，
类型：发明
国别省市：