一种基础身份与业务身份融合的分布式数字身份应用方法与流程

本发明涉及数字化，具体涉及一种基础身份与业务身份融合的分布式数字身份应用方法。

背景技术：

1、分布式数字身份是跨领域数字化应用的基石，作为数字化经济发展的必备基础条件，是当前互联网持续发展和数字经济产业的重要基础设施。

2、目前的技术虽然提供了一个基于用户主权、隐私和互操作性原则构建去中心化的社交网络和个人数据管理系统，但仍存在以下的不足：

3、1.从社会治理方面看，不满足国家监管需求，并不符合我国国情。现有的技术方案中用户虽可匿名自创建数字身份标识，但这不符合实名制要求，无法实行有效监管。

4、2.从商业模式看，与现有行业模式存在天然对抗性。现有的技术方案追求数据与应用分离的系统架构，但各业务领域已发展多年，在不“推倒”各机构已有模式的前提下，商业化场景目前来看还非常有限。

5、中国专利申请cn117278242a公开了一种基于合约的跨联盟链的分布式身份聚合认证方法，根据merkle算法将用户在各业务方的数据聚合到链上合约，保证身份聚合分享的安全性和有效性。但该申请是链上合约通过merkle算法将用户身份聚合，但身份数据聚合的维度有限，不能有效、快速的与业务方集成应用，也不能保证聚合后的用户身份数据的隐私性，且不涉及真实身份溯源与融合身份在跨业务领域的灵活应用。

6、中国专利申请cn114978668a公开了一种跨链数据实体身份管理和认证方法，相关参与方系统在跨链身份管理系统中注册后，通过区块链网络进行公钥认证与权限鉴权后为用户提供业务服务。该方案侧重于区块链之间跨链交互，虽然目前处于有效状态，但其跨链协议中对用户跨链互认的真实性没有说明且未涉及身份凭证在跨业务领域的融合身份应用等相关内容，行业应用覆盖面较小。

技术实现思路

1、针对现有技术的不足，本发明旨在提供一种基础身份与业务身份融合的分布式数字身份应用方法。

2、为了实现上述目的，本发明采用如下技术方案：

3、一种基础身份与业务身份融合的分布式数字身份应用方法，具体包括如下步骤：

4、一、基础级数字身份与业务级数字身份申领：

5、a、用户通过数字身份应用终端申领基础级数字身份：

6、a1、数字身份应用终端在终端本地创建基础数字身份公私钥对，并引导用户录入真实身份信息，以实人核验方式申领基础级数字身份，基础级数字身份包含基础级数字身份标识与基础级数字身份凭证；

7、基础级数字身份标识包括基础级数字身份标识符即基础did与基础级数字身份标识符文档即基础did文档；

8、a2、基础级数字身份分布式应用平台向权威身份认证平台进行实人核验，核验通过后，权威身份认证平台生成用户在数字身份领域的网络可信身份pid并传递给基础级数字身份分布式应用平台；网络可信身份pid是由权威身份认证平台生成的与自然人的法定身份证件关联对应的权威网络身份应用标识，用于标记个人用户的身份标识；

9、a3、基础级数字身份分布式应用平台为用户签发基础级数字身份标识与基础级数字身份凭证，并存储用户的网络可信身份pid与基础did的映射关系；

10、a4、基础级数字身份分布式应用平台通过数字身份链上的数字身份合约，对用户的基础did与基础did文档进行上链存储，并对用户的基础级数字身份凭证的哈希进行存证上链，同时也对基础级数字身份凭证的状态进行链上发布，提供基于数字身份链的基础级数字身份凭证的生命周期管理与主动监管提供支持；

11、a5、数字身份应用终端安全存储用户基础级数字身份私钥与申领到的基础级数字身份数据；

12、b、用户通过数字身份应用终端申领业务级数字身份：

13、b1、数字身份应用终端在终端本地创建业务数字身份公私钥对，并引导用户根据作为业务签发方的业务机构的需求，向业务签发方对应的业务级数字身份应用平台申领业务级数字身份，业务级数字身份包含业务级数字身份标识与业务级数字身份凭证；业务级数字身份标识包含业务级数字身份标识符即业务did与业务级数字身份标识符文档即业务did文档；

14、b2、业务签发方对应的业务级数字身份应用平台根据自身业务逻辑签发用户的业务级数字身份标识与业务级数字身份凭证，并使用在数字身份链登记的业务签发方的数字身份私钥对用户申领的业务did文档与业务级数字身份凭证创建业务机构签名；

15、b3、业务级数字身份应用平台调用业务链上的智能合约，将用户的业务级数字身份标识、业务级数字身份凭证的哈希与状态发布到业务链中；

16、b4、数字身份应用终端安全存储用户的业务级数字身份私钥与申领到的业务级数字身份数据；

17、二、基础级数字身份did与业务级数字身份did的绑定：

18、c、获取用户的业务级数字身份的业务did文档：

19、c1、用户通过数字身份应用终端向业务级数字身份应用平台获取用户的业务did文档；

20、c2、业务级数字身份应用平台核验业务级数字身份与用户的关系后，向业务链获取用户申领业务级数字身份时签发出的业务did文档；

21、c3、数字身份应用终端向基础级数字身份分布式应用平台通过业务签发方的业务机构did到数字身份链获取业务签发方的业务机构did文档，通过业务签发方的公钥验证业务机构签名来核验用户的业务did文档的真实性；

22、d、数字身份应用终端生成用户的业务级数字身份签名：

23、用户通过数字身份应用终端使用用户的业务级数字身份私钥对用户的业务did文档生成业务级数字身份签名，用于证明用户为该业务级数字身份的拥有者；

24、e、数字身份应用终端生成用户基础级数字身份签名：

25、用户通过数字身份应用终端使用用户的基础级数字身份私钥对用户的业务did文档生成基础级数字身份签名，用于证明用户为该基础级数字身份的拥有者；

26、f、基础级数字身份分布式应用平台核验真实性，绑定基础级数字身份与业务级数字身份：

27、f1、基础级数字身份分布式应用平台通过业务签发方的业务机构did到数字身份链获取对应的业务机构did文档，通过业务签发方的公钥验证业务机构签名来核验用户的业务did文档的真实性；

28、f2、基础级数字身份分布式应用通过已核验的用户的业务did文档，利用用户的业务身份公钥验证业务级数字身份签名来核验用户业务级数字身份的真实性；

29、f3、基础级数字身份分布式应用平台通过用户的基础did到数字身份链获取用户的基础did文档，利用用户的基础身份公钥验证基础级数字身份签名来核验用户基础级数字身份的真实性；

30、f4、基础级数字身份分布式应用平台完成业务did文档、业务级数字身份和基础级数字身份的真实性验证后，创建并存储基础did与业务did的映射绑定关系，并生成身份绑定存证记录发布到数字身份链上，完成用户基础级数字身份与业务级数字身份的绑定；

31、三、融合身份声明的创建、提交及核验：

32、g、用户通过数字身份应用终端创建并提交融合身份声明：

33、g1、用户在数字身份应用终端上根据业务场景创建融合身份声明，并使用用户基础级数字身份私钥对融合身份声明创建用户签名；

34、g2、用户在数字身份应用终端向业务验证方提交创建的融合身份声明进行业务办理；

35、h、业务验证方核验融合身份声明，完成用户业务办理：

36、h1、业务验证方通过融合身份声明的创建者向数字身份链的数字身份合约获取相应的基础did文档，使用其公钥验证融合身份声明的签名，核验融合身份声明的真实性，并核验融合身份声明的有效性；

37、h2、业务验证方通过融合身份声明包含的基础级数字身份凭证，向数字身份链的数字身份合约获取基础级数字身份凭证签发机构的数字身份did文档，使用其公钥验证基础级数字身份凭证的签名，核验基础级数字身份凭证的真实性，并检查凭证签发方的签发权限、基础级数字身份凭证的哈希和状态，来核验基础级数字身份凭证的有效性；

38、h3、业务验证方通过融合身份声明包含的业务级数字身份凭证向数字身份链的数字身份合约获取业务签发方的业务机构did文档，使用其公钥验证业务级数字身份凭证的签名，核验业务级数字身份凭证的真实性，并检查业务签发方的签发权限，在通过数字身份链的跨链管理合约向跨链网关获取目标业务链上业务级数字身份凭证的哈希和状态，来核验业务级数字身份凭证的有效性；

39、h4、业务验证方通过融合身份声明包含的用户的基础did与业务did，向基础级数字身份分布式应用平台核验数字身份的溯源关系；

40、h5、基础级数字身份分布式应用平台通过查询基础did与业务did是否溯源到同一网络可信身份pid来判断是否属于同一自然人；

41、h6、业务验证方完成融合身份声明的全部核验后，继续后续业务流程。

42、进一步地，基础级数字身份凭证是一组代表自然人基础身份属性声明的集合，包括凭证元数据、声明信息和证明，其中凭证元数据包含凭证id、签发时间、有效时间；声明信息包含自然人姓名、公民身份号码；证明包含基础级数字身份凭证签发机构的数字身份标识符与对凭证元数据和声明信息的数字签名。

43、进一步地，业务级数字身份凭证为一组代表自然人所具备的业务属性声明的集合，包括凭证元数据、声明信息和证明；其中凭证元数据包含凭证id、签发时间、有效时间；声明信息包含与自然人的业务did和相关的业务属性数据；证明包含业务级数字身份凭证签发机构的数字身份标识符与对凭证元数据和声明信息的数字签名。

44、进一步地，由用户通过数字身份应用终端，依据业务场景需求，抽取用户数字身份应用终端所持有的基础级数字身份凭证或业务级数字身份凭证，并以一种可验证、保持隐私和安全的方式展示自己的身份凭证或凭证属性声明信息的数字方式，即为融合身份声明，用户会对融合身份声明进行数字签名，以证明是用户本人自主授权。

45、本发明的有益效果在于：

46、1、本发明方法使用数字身份、区块链、跨链和密码学等创新型技术,使用可信数字身份作为用户数字身份信任“根”，构建一个跨业务领域的满足数字身份真实可溯源、多层级数字身份互信互认、多元身份(凭证)融合的可信数字身份分布式应用体系，在符合国家对数字身份监管要求下，以w3c dids规范构建用户链上唯一数字身份标识，以互联互通的方式聚合各业务领域的用户数据，将成为数字时代下数字身份分布式应用的重要基础设施。

47、2、在国家监管层面，本发明为各业务领域数字身份提供一个满足国家监管需求的分布式数字身份基础设施，把各领域的业务级数字身份统一映射到基础级数字身份，由基础级数字身份关联到网络可信身份pid的信任“根”，建立起由业务级数字身份到基础级数字身份到根身份到真实身份的四级身份模型，实现有根可寻、安全可控的数字身份基础设施。

48、3、在跨业务领域应用层面，本发明通过建立起“1条身份链+n条业务链”的分布式数字身份基础服务来打破用户“信息孤岛”的现状，实现用户数字身份凭证可以在不同业务机构下互信与互操作性，提供支持用户根据实际业务场景自由组合基础级数字身份与业务级数字身份的分布式融合身份解决方案，为跨业务领域的分布式数字身份生态发展提供指导方向。