[发明专利]一种个人数字身份管理系统与方法

权利要求书

1.一种个人数字身份管理系统，其特征在于，包括客户端与服务端；

客户端能够独立运作，包括一个随机数发生器、信息存储装置、数字身份生成器、数字签名生成与验证装置、网络通信装置、哈希计算器、盐生成器以及显示装置；

客户端使用用户指定的关键字对密钥进行分级管理；一级密钥由随机数发生器生成；包括二级密钥在内的次级密钥由上级密钥与盐经哈希函数生成；对于二级密钥，其密钥生成过程中使用的盐包括随机数、关键字与序列化时间；客户端使用用户指定的关键字来对密钥进行标记与分级；使用序列化时间使得密钥随时间更新；更次级密钥生成过程中所使用的盐中关键字包括上级密钥的所有关键字及本次用户指定的新关键字；即更次级密钥生成过程中所使用的盐由随机数、上级密钥的所有关键字、本次用户指定的新关键字与序列化时间构成；

数字身份包括一个派生出此数字身份的主密钥以及附加信息；数字身份由数字身份生成器生成并储存在信息存储装置中；

数字身份的附加信息包括名称、公钥、附加签名、编号以及用户自定义的信息，所述的自定义信息包括地址、各网络平台的名称与对应的账户及密码和数字货币的私钥与收款地址；附加信息中的公钥由主密钥作为私钥计算得到；主密钥能够用来作为私钥；附加信息由数字身份生成装置生成；

所述的随机数发生器用于生成具有随机数；

所述的信息存储装置，储存所有的密钥、盐、数字身份与数字身份生成规则并记录储存时间；

所述的哈希计算器，根据上一级密钥与盐生成新的下一级密钥；

所述的数字签名生成与验证装置，使用所对应的数字身份所对应的私钥，给出信息的数字签名并使用公钥对签名进行验证；

所述的网络通信装置，内置服务端所使用的证书，用于与服务端建立可信的通信通道；用户能够通过网络通信装置将数字身份发送给服务端；

所述的数字身份生成器，用于生成数字身份、数字身份生成规则以及用户所需的账户信息；

所述的盐生成器，用于生成次级密钥所需的盐；

所述的显示装置，用于展示各级密钥与密钥对应的数字身份，供用户进行选择；

服务端接受客户端所传来的数字身份信息，进行数字签名，并将信息公开展示；包括通信模块、展示模块和签名管理模块；所述的通信模块用于与客户端建立安全的信道，并与客户端通信；所述的签名管理模块包含成对的公钥与私钥，对服务端运营者所选的数字身份进行认证并给出可验证的数字签名；展示模块对客户端传输的数字身份进行编号并公开展示。

2.根据权利要求1所述的一种个人数字身份管理系统，其特征在于，所述的数字身份生成器，用于生成数字身份以及用户所需的账户信息；

首先，用户设置数字身份生成规则；所述的数字身份生成规则为附加信息关键字与附加信息关键字所对应的可编程脚本的集合，脚本接收附加信息关键字与数字身份主密钥，并返回与关键字对应的附加信息；数字身份附加信息中的公钥、名称、附加签名与编号不由数字身份生成规则生成；数字身份附加信息中的公钥由主密钥作为私钥经公钥加密算法计算得到；数字身份附加信息中的名称由用户指定，缺省值为生成主密钥时所用盐中的关键字；数字身份附加信息中的附加签名为用户指定，缺省值为空；编号由服务端提供，缺省值为空；所述的数字身份生成规则中附加信息关键字与附加信息关键字所对应的可编程脚本根据用户需要进行预先设定；

最后，将数字身份主密钥、公钥、名称、附加签名、编号与该数字身份所用的数字身份生成规则存储在信息存储装置中。

3.根据权利要求2所述的一种个人数字身份管理系统，其特征在于，所述的盐生成器，接受用户指定的上级密钥与关键字，使用随机数发生器产生的随机数，上级密钥使用的盐中的关键字、用户指定的关键字与格式化时间拼接成字符串，作为盐返回，并将盐存储在信息存储装置中。

4.根据权利要求3所述的一种个人数字身份管理系统，其特征在于，一种个人数字身份管理方法，步骤如下：

步骤1、初始化-创建密钥；

1.首先需要获取一级密钥；所诉的一级密钥由客户端使用随机数发生器生成或者用户直接指定，将生成的密钥储存在信息存储装置中；

2.客户端生成次级密钥；用户指定上级密钥与关键字，使用盐生成装置生成盐；使用上一级密钥与盐共同通过哈希计算器进行哈希生成次级密钥，并将次级密钥储存在信息存储装置中；

步骤2、生成数字身份；

1.客户端从信息存储装置中获取一级密钥或者次级密钥，作为该数字身份的主密钥；

2.通过客户端的数字身份生成器生成数字身份；

3.客户端将生成的信息储存在信息存储装置中；

步骤3、使用数字身份；

1.生成账户与密码；

(1).首先用户通过客户端的显示装置选择所要使用的数字身份，同时确定该数字身份生成时所用的数字身份生成规则；

(2).用户输入账户所关联的平台信息；

(3).客户端识别输入信息，并查询数字身份附加信息生成规则中的关键字；当检索到对应平台关键词时，采用对应脚本生成账户信息，当未检索到对应平台关键词时，用户定义新的数字身份附加信息生成规则或选择已有关键字与数字身份附加信息生成规则，再使用对应脚本生成所需的账户信息；

2.对消息进行签名；

用户输入消息后，通过客户端的显示装置选择所要使用的数字身份，使用用户所选择的数字身份主密钥作为私钥，通过数字签名生成与验证装置对消息进行签名操作，最后给出对应的数字签名；生成的数字签名能够作为其他数字身份的附加信息；

3.向服务端传输数字身份信息；

客户端请求服务端接收数字身份信息，在服务端同意后，客户端通过网络通信装置向服务端传输数字身份相关信息，服务端接收数字身份信息后通过展示模块审查对应的数字身份编号并将用户提供的数字身份信息与数字身份编号进行公开展示，同时服务端将通过通信模块将生成的数字身份编号返回给客户端；

4.对消息进行验证；

(1).用户在得到其他用户给出的数字签名与数字身份编号后，通过客户端的网络通信装置向服务端发送数字身份编号，请求对方包括公钥在内的数字身份信息；

(2).服务端通过通信模块根据接收到的数字身份编号返回相应的数字身份信息；

(3).客户端根据服务端返回数字身份中的公钥，对消息进行验证；

5.服务端提供对数字身份的签名；

(1).用户通过客户端的网络通信装置向服务端发送数字身份信息，并向服务端提出请求，要求服务端维护者对用户真实身份进行验证；

(2).服务端维护者对用户真实身份进行验证后，使用服务端的签名管理模块对用户发送的数字身份进行签名，给出对应用户数字身份的数字签名，并将用户发送的数字身份信息、签名管理模块给出的数字签名与数字身份编号返回用户客户端；

6.对数字身份进行验证；

(1).在需要身份验证与访问控制的场景，客户端用户向访问控制方提供所需的数字签名与签名发行者数字身份编号；

(2).访问控制方对服务端请求上述签名发行者数字身份编号对应的数字身份，并使用服务端返回的公钥对签名进行验证；通过对签名内容与真伪性的确认，对是否允许访问进行判断。