[发明专利]一种隐私保护的安全去中心化自我主权身份认证协议方法

说明书

本发明公开了一种隐私保护的安全去中心化自我主权身份认证协议方法，本发明基于自我主权的特性，使用W3C规划的分布式标识符作为统一标识符实现在分布式域和中心域身份平台互相通用，满足可移植性。利用支持策略隐藏的策略控制签名方案和可验证声明标准结合对用户身份信息进行断言，实现身份数据细粒度授权和隐私保护。将不暴露隐私的可验证声明存储在底层区块链作为信任背书，实现不对同身份域的数据访问，满足安全性和去中心化验证。本发明满足自我主权的概念并进行了实现，也丰富了自我主权身份认证方法的发展。

技术领域

本发明属于信息安全中身份管理技术领域，尤其涉及一种隐私保护的安全去中心化自我主权身份认证协议方法。

背景技术

安全的身份认证协议是网络空间安全稳定发展的一个必要前提。在如今大数据搜索、人脸识别、云计算和中心化认证等互联网环境下，庞大的数据和智能算法给社会带来便利的同时，也给用户的数字身份隐私泄露带来了巨大的隐患。

早期的身份信息管理从单点登录身份模型，发展到联合身份认证模型，再演变为以OpenID为主的以用户为中心认证模型。这些方案都摆脱不了认证过程造成的隐私泄露、缺少对自己身份的可控性和集中式的身份认证，导致身份数据始终不属于自己。于是近年来有人提出了自我主权(Self-Sovereign Identity，SSI)的概念，它能提供一种可移植、安全和可控的身份的方式，将数字身份由用户管理。Allen等最早提出SSI必须满足十个属性。但是这些属性太过抽象，不利于理解和开发，Andrew等又将SSI属性分为可控性、安全性、可移植性和可控性、可接受、零成本。这些分类虽然名称不同，但含义类似。为了避免分歧，Ferdous等对之前的分类进行了全面分析，把相似的属性提炼出来，创建了一个扩展的分类，分别为基础属性、安全性、可控性、灵活性和持久性。最终，可以从分析SSI的定义发展了解到属性的要求主要围绕三个方面：安全性、可控性和可移植性。

作为新一代的身份认证概念，很多企业都在尝试开发SSI身份系统。而大部分还在测试的SSI系统都是基于区块链的，区块链技术虽然可以提供各种技术优势，但是对于实现SSI的细粒度授权和隐私保护，仍然存在一些缺陷。联盟链结合了公共链和私有链，通过节点选举或投票来达成公式的一种半中心化区块链类型。相对于公共链开放所有节点拥有计票权力来说更为严格，加入联盟链的节点需经过审核，但对比私有链去中心化程度更高，预设的节点可以在区块链中进行交易。

目前的SSI身份认证协议不仅不支持身份信息授权的细粒度控制，而且没有考虑身份信息的隐私保护。而传统的策略控制签名可以实现细粒度共享，但公开的访问策略会在认证时受到不同程度的隐私泄露。

发明内容

为了解决上述问题，本发明提供了一种隐私保护的安全去中心化自我主权身份认证协议方法，本发明基于自我主权的特性，使用W3C规划的分布式标识符作为统一标识符实现在分布式域和中心域身份平台互相通用，满足可移植性。然后利用支持策略隐藏的策略控制签名方案和可验证声明标准结合对用户身份信息进行断言，实现身份数据细粒度授权和隐私保护。然后将不暴露隐私的可验证声明存储在底层联盟链作为信任背书，实现不对同身份域的数据访问，满足安全性和去中心化验证。

本发明所采用的技术方案是：一种隐私保护的安全去中心化自我主权身份认证协议方法，其特征在于：

基于联盟链的特征，发明了一种满足自我主权身份属性，用户拥有对身份数据控制唯一控制权的身份认证协议；本发明所设计协议的参与方包括用户终端、服务端、可信第三方、组织节点、区块链存储节点和个人存储，包含以下步骤：

步骤1：分布式域身份注册，参与方包括：用户终端、组织节点、区块链存储和世界状态；用户请求分布式标识符分布式域注册，组织节点收到请求生成分布式标识符和分布式标识符文档；组织节点处理数据后，区块链存储数据并使用世界状态来保存分布式标识符最新的状态，最后返回分布式标识符完成注册；