【技术实现步骤摘要】
一种基于衍生可验证声明的身份核验方法及设备
[0001]本申请涉及身份核验
,尤其涉及一种基于衍生可验证声明的身份核验方法及设备。
技术介绍
[0002]可验证声明(Verifiable Claim,简称Claim)可以是声明颁发机构给用户的某些属性做背书而签发的描述性声明,并附加自己的数字签名,可以认为是一种数字证书,使得用户可以利用可验证声明向其他实体(个人、组织、具体事物等)证明自己的某些属性是可信的。目前,用户可以从声明颁发机构处获取个人的用于身份核验的可验证声明,并在个人设备中存储该可验证声明,从而使得后续用户可以无需与声明颁发机构进行交互,而能够直接利用个人的可验证声明在身份核验机构处进行身份核验。这种身份核验方案,不仅需要用户将个人的可验证声明中的全部数据披露给身份核验机构,并且声明颁发机构也无法感知用户对于其颁发的可验证声明的具体使用情况。
[0003]基于此,如何令声明颁发机构可以感知用户对其颁发的可验证声明的使用情况,并令用户可以按需披露可验证声明中的数据给身份核验机构以进行身份核验,成为了...
【技术保护点】
【技术特征摘要】
1.一种基于衍生可验证声明的身份核验方法,包括:用户设备获取身份核验机构的第一设备发送的身份核验请求;所述身份核验请求用于请求利用用户的目标可验证声明中携带的目标数据对所述用户进行身份核验;响应于所述身份核验请求,利用所述用户设备处的第一私钥针对包含所述目标数据在内的衍生可验证声明数据进行签名处理,得到第一数字签名;发送针对所述目标可验证声明的衍生请求至所述目标可验证声明的声明颁发机构的第二设备;所述衍生请求中携带有所述衍生可验证声明数据;接收所述第二设备利用所述声明颁发机构处的第二私钥针对所述衍生可验证声明数据生成的第二数字签名;根据所述衍生可验证声明数据、所述第一数字签名以及所述第二数字签名,生成所述目标可验证声明对应的衍生可验证声明;发送所述衍生可验证声明至所述身份核验机构的第一设备。2.如权利要求1所述的方法,所述用户设备获取身份核验机构的第一设备发送的身份核验请求之前,还包括:利用安全多方计算方式,在所述用户设备处的可信执行环境中生成所述用户的目标秘钥的第一私钥分片以及与所述第一私钥分片对应的第一公钥分片;其中,所述第一私钥分片为所述用户设备处的第一私钥;发送携带有所述第一公钥分片的秘钥分片请求至所述声明颁发机构的第二设备;所述第二设备用于利用所述安全多方计算方式,在所述第二设备处的可信执行环境中生成所述目标秘钥的第二私钥分片以及与所述第二私钥分片对应的第二公钥分片,并根据所述第二公钥分片以及所述第一公钥分片生成聚合公钥;其中,所述第二私钥分片为所述声明颁发机构处的第二私钥;所述根据所述衍生可验证声明数据、所述第一数字签名以及所述第二数字签名,生成所述目标可验证声明对应的衍生可验证声明,具体包括:根据所述第一数字签名以及所述第二数字签名生成聚合数字签名;生成携带有所述聚合数字签名、所述聚合公钥以及所述衍生可验证声明数据的所述衍生可验证声明;其中,所述聚合公钥用于验证所述聚合数字签名。3.如权利要求2所述的方法,所述获取身份核验机构的第一设备发送的身份核验请求之前,还包括:获取所述用户针对所述目标可验证声明的第一申请操作;响应于所述第一申请操作,发送针对所述目标可验证声明的第一申请请求至所述声明颁发机构的第二设备;接收所述声明颁发机构的第二设备反馈的用于身份验证的目标通信地址;发送所述用户的身份凭证信息至所述目标通信地址;接收所述声明颁发机构的第二设备反馈的所述目标可验证声明;所述目标可验证声明是所述声明颁发机构在确定针对所述身份凭证信息验证通过后而生成的所述用户的可验证声明。4.如权利要求3所述的方法,所述获取所述用户针对所述目标可验证声明的第一申请操作,具体包括:
获取所述用户针对所述声明颁发机构预先发布的目标可验证声明模板的选中操作;所述目标可验证声明模板用于生成目标类型的可验证声明;所述响应于所述第一申请操作,发送针对所述目标可验证声明的第一申请请求至所述声明颁发机构的第二设备,具体包括:响应于所述选中操作,发送携带有所述目标可验证声明模板的模板唯一标识的第一申请请求至所述声明颁发机构的第二设备;所述接收所述声明颁发机构的第二设备反馈的用于身份验证的目标通信地址,具体包括:接收所述声明颁发机构的第二设备反馈的用于执行身份验证任务的目标通信地址;所述身份验证任务为用于按照所述目标可验证声明模板对应的预设身份验证方式对所述用户进行身份验证的任务。5.如权利要求4所述的方法,所述获取所述用户针对所述声明颁发机构预先发布的目标可验证声明模板的选中操作之前,还包括:获取所述用户针对所述目标可验证声明的第二申请操作;所述第二申请操作用于选择所需生成的所述目标可验证声明所属的所述目标类型以及用于颁发所述目标可验证声明的所述声明颁发机构;响应于所述第二申请操作,发送针对所述目标可验证声明的第二申请请求至所述声明颁发机构的第二设备;所述第二申请请求中携带有所述目标类型的类型唯一标识以及所述声明颁发机构的机构唯一标识;接收所述声明颁发机构的第二设备反馈的预设可验证声明模板的模板描述信息;所述获取所述用户针对所述声明颁发机构预先发布的目标可验证声明模板的选中操作,具体包括:获取所述用户基于所述目标可验证声明模板的所述模板描述信息而执行的针对所述目标可验证声明模板的选中操作。6.如权利要求5所述的方法,所述接收所述声明颁发机构的第二设备反馈的所述目标可验证声明之前,还包括:发送携带有所述身份验证任务的任务唯一标识的可验证声明颁发请求至所述声明颁发机构的第二设备;所述第二设备用于在根据区块链网络处存储的与所述任务唯一标识对应的身份验证任务执行结果而确定针对所述用户身份验证通过后,利用所述目标可验证声明模板生成所述目标可验证声明;所述接收所述声明颁发机构的第二设备反馈的所述目标可验证声明之后,还包括:存储所述目标可验证声明至所述用户设备处的可信执行环境中。7.如权利要求2所述的方法,所述用户设备获取身份核验机构的第一设备发送的身份核验请求之前,还包括:所述用户设备获取所述用户针对所述目标可验证声明的使用操作;所述使用操作用于指示允许所述身份核验机构在身份核验过程中使用的所述目标可验证声明中的指定字段;响应于所述使用操作,发送针对所述目标可验证声明的使用请求至所述身份核验机构的第一设备;所述使用请求中携带有所述目标可验证声明的声明唯一标识、所述指定字段的字段标识以及所述声明颁发机构的机构唯一标识;
所述用户设备获取身份核验机构的第一设备发送的身份核验请求,具体包括:所述用户设备获取所述第一设备响应于所述使用请求而反馈的身份核验请求;所述身份核验请求用于请求利用所述指定字段中的目标字段对应的所述目标数据对所述用户进行身份核验。8.如权利要7所述的方法,所述目标可验证声明是所述声明颁发机构利用所述用户预先选中的目标可验证声明模板生成的,所述目标可验证声明模板配置有声明核验应用程序;所述根据所述衍生可验证声明数据、所述第一数字签名以及所述第二数字签名,生成所述目标可验证声明对应的衍生可验证声明,具体包括:根据所述衍生可验证声明数据、所述第一数字签名以及所述第二数字签名,生成用于按照目标核验规则进行核验的衍生可验证声明;所述身份核验机构的第一设备用于利用所述声明核验应用程序按照所述目标核验规则对所述衍生可验证声明进行核验;所述发送所述衍生可验证声明至所述身份核验机构的第一设备之后,还包括:接收所述第一设备通过对所述衍生可验证声明进行核验而得到的针对所述用户的身份核验结果。9.如权利要求8所述的方法,所述身份核验请求中携带有所述身份核验机构的机构唯一标识以及所述目标字段的字段标识;所述衍生可验证声明数据包括:所述身份核验机构的机构唯一标识、所述目标字段对应的所述目标数据以及所述目标可验证声明的声明唯一标识;所述目标可验证声明中携带有:所述目标可验证声明的声明唯一标识、所述目标可验证声明模板的模板唯一标识、所述声明颁发机构的机构唯一标识、所述聚合公钥以及所述用户的身份信息。10.如权利要求1
‑
9中任意一项所述的方法,所述用户设备处部署有用于管理可验证声明的软件开发工具包;所述用户设备用于利用所述软件开发工具包与所述第二设备处的第二去中心化应用进行通信,以获取所述目标可验证声明及所述衍生可验证声明;所述用户设备还用于利用所述软件开发工具包与所述第一设备处的第一去中心化应用进行通信,以基于所述衍生可验证声明进行身份核验。11.一种基于衍生可验证声明的身份核验方法,包括:目标可验证声明的声明颁发机构的第二设备获取用户设备发送的针对所述目标可验证声明的衍生请求;所述衍生请求中携带有包含目标数据在内的衍生可验证声明数据,所述目标数据为身份核验机构对用户进行身份核验所需使用的所述目标可验证声明中携带的数据;利用所述声明颁发机构处的第二私钥针对所述衍生可验证声明数据进行签名处理,得到第二数字签名;发送所述第二数字签名至所述用户设备;所述用户设备用于利用基于所述衍生可验证声明数据、所述第二数字签名以及第一数字签名生成的衍生可验证声明,在所述身份核验机构的第一设备处进行身份核验;其中,所述第一数字签名是利用所述用户设备处的第一私钥针对所述衍生可验证声明数据生成的数字签名。12.如权利要求11所述的方法,所述第一私钥是在所述用户设备处的可信执行环境中,
利用安全多方计算方式针对所述用户的目标秘钥生成的第一私钥分片;所述目标可验证声明的声明颁发机构的第二设备获取用户设备发送的针对所述目标可验证声明的衍生请求之前,还包括:所述声明颁发机构的第二设备获取所述用户设备发送的秘钥分片请求;所述秘钥分片请求中携带有所述第一私钥分片对应的第一公钥分片;响应于所述秘钥分片请求,利用所述安全多方计算方式,在所述第二设备处的可信执行环境中生成所述目标秘钥的第二私钥分片以及与所述第二私钥分片对应的第二公钥分片;其中,所述第二私钥分片为所述声明颁发机构处的所述第二私钥;根据所述第二公钥分片以及所述第一公钥分片生成聚合公钥;所述聚合公钥用于验证所述衍生可验证声明中携带的基于所述第二数字签名以及所述第一数字签名生成的聚合数字签名。13.如权利要求12所述的方法,所述目标可验证声明的声明颁发机构的第二设备获取用户设备发送的针对所述目标可验证声明的衍生请求之前,还包括:获取所述用户设备发送的针对所述目标可验证声明的第一申请请求;所述第一申请请求用于请求利用所述声明颁发机构预先发布的目标可验证声明模板生成所述目标可验证声明;其中,所述目标可验证声明模板用于生成目标类型的可验证声明;响应于所述第一申请请求,发送用于执行身份验证任务的目标通信地址至所述用户设备;所述身份验证任务为用于按照所述目标可验证声明模板对应的预设身份验证方式对所述用户进行身份验证的任务;若确定针对所述用户在执行所述身份验证任务过程中提交的身份凭证信息验证通过,则利用所述目标可验证声明模板生成所述用户的所述目标可验证声明;发送所述目标可验证声明至所述用户设备。14.如权利要求13所述的方法,所述获取所述用户设备发送的针对所述目标可验证声明的第一申请请求之前,还包括:获取所述用户设备发送的针对所述目标可验证声明的第二申请请求;所述第二申请请求中携带有所述用户所需生成的所述目标可验证声明所属的所述目标类型的类型唯一标识以及用于颁发所述目标可验证声明的所述声明颁发机构的机构唯一标识;响应于所述第...
【专利技术属性】
技术研发人员:魏亚文,庞洋,黄浩鹏,陈宇航,
申请(专利权)人:蚂蚁区块链科技上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。