一种基于分布式数字身份的业务处理方法及相关装置与流程

1.本文件涉及区块链技术领域，尤其涉及一种基于分布式数字身份的业务处理方法及相关装置。


背景技术：

2.传统金融机构以中心化的方式，服务金融体系，起到信息撮合，信用担保，资源配置的作用。
3.但随着日益增加的交易对手方，日趋复杂的交易模式，以及更多元化的数据交换需求，传统金融机构中心化的运作模式受到挑战。尤其在信息处理层面，金融机构需投入巨大成本解决信息不对称的问题。众多金融机构提出数字化转型计划，但绝大多数仍是把线下业务搬到线上，治标不治本。
4.尤其是现有的涉及多点信息交互与验证的金融服务场景中，业务数据的安全性以及验证效率无法保证。


技术实现要素：

5.本说明书一个或多个实施例的目的是提供一种基于分布式数字身份的业务处理方法及相关装置，以提升凭证验证过程中的数据安全性以及业务处理效率。
6.为解决上述技术问题，本说明书一个或多个实施例是这样实现的：
7.第一方面，提出了一种基于分布式数字身份的业务处理方法，包括：
8.在用户方为目标用户创建分布式数字身份did之后，向业务方发送业务请求；
9.所述业务方返回验证需求，所述验证需求至少包括：执行本次业务需要验证的凭证类型；
10.所述用户方基于所述验证需求中凭证类型，向至少一个颁发方分别申请电子凭证；
11.所述至少一个颁发方分别为所述目标用户颁发与相应did关联的电子凭证，并在加密后发送给所述用户方；同时，将所述电子凭证签名后发送至区块链存证，其中，所述区块链上为每个电子凭证维护有表征该电子凭证有效性的状态信息；
12.所述用户方将加密后的电子凭证解密后，选择每个电子凭证的一项或多项凭证内容，并使用所述业务方的公钥加密后传输给所述业务方；
13.所述业务方使用自身私钥对接收到的凭证内容进行解密，并基于所述区块链上存证的电子凭证签名以及相应状态信息对解密后的凭证内容进行核验，核验通过后，执行本次业务。
14.第二方面，提出了一种基于分布式数字身份的业务处理系统，包括：用户方、业务方以及颁发方；其中，
15.在用户方为目标用户创建分布式数字身份did之后，向业务方发送业务请求；
16.所述业务方返回验证需求，所述验证需求至少包括：执行本次业务需要验证的凭
证类型；
17.所述用户方基于所述验证需求中凭证类型，向至少一个颁发方分别申请电子凭证；
18.所述至少一个颁发方分别为所述目标用户颁发与相应did关联的电子凭证，并在加密后发送给所述用户方；同时，将所述电子凭证签名后发送至区块链存证，其中，所述区块链上为每个电子凭证维护有表征该电子凭证有效性的状态信息；
19.所述用户方将加密后的电子凭证解密后，选择每个电子凭证的一项或多项凭证内容，并使用所述业务方的公钥加密后传输给所述业务方；
20.所述业务方使用自身私钥对接收到的凭证内容进行解密，并基于所述区块链上存证的电子凭证签名以及相应状态信息对解密后的凭证内容进行核验，核验通过后，执行本次业务。
21.第三方面，提出了一种电子设备，包括：
22.处理器；以及
23.被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行上述相应执行主体所执行方法。
24.第四方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行上述相应执行主体所执行方法。
25.由以上本说明书一个或多个实施例提供的技术方案可见，通过使用did技术，可以在实时触发的业务场景中，使用加密技术对用户方进行更高级别的隐私保护，而且，将验证操作所需凭证的内容选择权交由用户方来处理，避免在其它平台留存可能造成的数据泄露，尽可能保证用户数据安全；此外，在区块链上为存证的凭证维护状态信息，可保证用户核验的准确性。由此，从整体上提升凭证验证过程中的数据安全性以及业务处理效率。
附图说明
26.为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对一个或多个实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
27.图1是本说明书实施例所涉及的基于did实现业务处理方案的系统架构。
28.图2是本说明书实施例提供的一种基于分布式数字身份的业务处理方法的步骤示意图。
29.图3是本说明书实施例提供的购房商业贷款的业务流程图。
30.图4是本说明书实施例提供的一种基于分布式数字身份的业务处理系统结构示意图。
31.图5是本说明书的一个实施例提供的电子设备的结构示意图。
具体实施方式
32.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明
书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述，显然，所描述的一个或多个实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的一个或多个实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本文件的保护范围。
33.分布式身份标识(decentralized identifiers,did)是一种去中心化的可验证的数字标识符，具有分布式、自主可控、跨链复用等特点。用户实体(自然人或企业、机构等)可自主完成did的注册、解析、更新或者撤销操作。did是由字符串组成的标识符，用来代表一个数字身份，不需要中央注册机构就可以实现全球唯一性。通常，一个用户实体可以拥有多个身份，每个身份被分配唯一的did值，以及与之关联的非对称密钥。不同的身份之间没有关联信息，从而有效地避免了所有者身份信息的归集。
34.首先，介绍本说明书实施例所涉及的基于did实现业务处理方案的系统架构，参照图1所示，包括：用户方102，业务方104，颁发方106，以及代理方108。其中，用户方102对应平台服务对象，例如，操作本次凭证申请及验证业务的目标用户，该目标用户可以是自然人或是企业、机构等；业务方104用于为用户方102提供后端服务(具体可包括核验服务以及业务服务)，具体实现时，用户方102可以是手机等移动终端，业务方104可以是电脑等后台服务器。颁发方106可以是颁发可验证凭证vc的机构方(实际对应服务终端)，代理方108可以是权威机构，提供kyc服务，为实体创建did。应理解，在该系统架构中，颁发方106可以有多个，目标用户可以向不同的颁发方106申请电子凭证；颁发方106也可以是一个，该单个颁发方106综合多个凭证下发功能，即可以根据目标用户的不同申请下发多个不同的电子凭证。
35.该方案中，did技术实现了一套具备全局互认、可移植性、互操作性的身份标识与可信数据交换解决方案。通过为用户实体(企业、个人)创建did和颁发可验证凭证vc，实行分布式实体身份标识及管理、可信数据交换协议等一系列服务。为去中心化业务(尤其是金融服务)提供以用户为中心，隐私保护为基础，安全规范的数据交换范式。拓展业务机构生态圈获客能力，更大范围地开放业务能力。
36.实施例一
37.参照图2所示，为本说明书实施例提供的一种基于分布式数字身份的业务处理方法的步骤示意图，该方法可以包括以下步骤：
38.步骤202：在用户方为目标用户创建分布式数字身份did之后，向业务方发送业务请求。
39.可选地，所述用户方为目标用户创建分布式数字身份did时可具体包括：
40.通过代理方为所述目标用户创建did；其中，所述代理方仅允许用户方访问数据，或者，所述代理方允许用户方和业务方访问数据，或者，所述代理方开放自身访问权限。
41.其中，did可具体解析为did document，did document包括did的唯一标识码，公钥列表和公钥的详细信息(持有者、加密算法、密钥状态等)，以及did持有者的其他属性描述。用户方可通过代理方完成身份认证，创建生成一个或多个did，这些did之间并无关联，代表了在不同业务领域的不同身份信息。
42.用户方基于已创建的did向业务方发起业务请求，应理解，该业务请求中可以携带有目标用户的did相关信息，以便于业务方识别身份。
43.步骤204：所述业务方返回验证需求，所述验证需求至少包括：执行本次业务需要
验证的凭证类型。
44.在用户方发起业务申请后，并不会触发业务方直接进行业务操作。而是，业务方会向用户方返回后续对用户方进行身份以及业务权限核验的验证需求，该验证需求中至少包括执行本次业务需要验证的凭证类型。例如，所述凭证类型可以包括纳税证明、住房证明、学历证明等。
45.步骤206：所述用户方基于所述验证需求中凭证类型，向至少一个颁发方分别申请电子凭证。
46.用户方在获知业务方验证所需凭证类型后，可向对应这些凭证类型的颁发方分别申请电子凭证。其实，在验证需求中可以仅包含一个凭证类型，这样，用户方后续仅需要向该凭证类型对应的颁发方申请电子凭证；当然，验证需求中也可以包含多个凭证类型，用户方可以向这些凭证类型对应的颁发方分别申请不同的电子凭证。
47.步骤208：所述至少一个颁发方分别为所述目标用户颁发与相应did关联的电子凭证，并在加密后发送给所述用户方；同时，将所述电子凭证签名后发送至区块链存证，其中，所述区块链上为每个电子凭证维护有表征该电子凭证有效性的状态信息。
48.颁发方根据接收到的did完成数据的匹配，审核目标用户是否具备申领资质，如果具备则为该目标用户颁发电子凭证，否则不予颁发。可选地，在每个颁发方为颁发的电子凭证加密时，具体可以包括：从区块链上获取所述目标用户的公钥；使用本地对称密钥对该电子凭证原文进行加密得到加密电子凭证，并使用所述目标用户的公钥对所述对称密钥进行加密得到加密结果。之后，将加密后的电子凭证发送给用户方。与此同时，颁发方会使用本地私钥对电子凭证签名，然后发送至区块链进行存证，存证后，区块链上维护有每个电子凭证的状态信息，其中，这些状态信息用于表征电子凭证的有效性，例如，状态信息可以是时效标记，若超过时效就确定凭证无效。再如，状态信息可以是状态标记，若当前状态标记为无效则确定凭证无效。
49.步骤210：所述用户方将加密后的电子凭证解密后，选择每个电子凭证的一项或多项凭证内容，并使用所述业务方的公钥加密后传输给所述业务方。
50.可选地，在用户方为加密后的电子凭证解密时，具体包括：使用自身私钥对所述加密结果进行解密得到对称密钥；使用该对称密钥对加密电子凭证进行解密得到电子凭证原文。
51.一种可实现的方案，所述验证需求还包括：执行本次业务需要验证的电子凭证的内容属性；那么，所述用户方选择每个电子凭证的一项或多项凭证内容，并使用所述业务方的公钥加密后传输给所述业务方时，具体包括：基于所述验证需求中电子凭证的内容属性，选择每个电子凭证的一项或多项凭证内容，并使用所述业务方的公钥加密后传输给所述业务方。
52.其中，所述内容属性，可以是电子凭证的某一项内容，例如，以纳税证明这一电子凭证为例，内容属性可以包括：年纳税额，纳税年份，纳税总额等。
53.步骤212：所述业务方使用自身私钥对接收到的凭证内容进行解密，并基于所述区块链上存证的电子凭证签名以及相应状态信息对解密后的凭证内容进行核验，核验通过后，执行本次业务。
54.可选地，所述业务方使用自身私钥对接收到的凭证内容进行解密，并基于所述区
块链上存证的电子凭证签名以及相应状态信息对接收到的凭证内容进行核验时，具体包括：使用自身私钥对接收到的凭证内容进行解密，以及使用颁发方的公钥对相应电子凭证签名进行解签；基于解签后得到的电子凭证对解密后的凭证内容进行真实性核验，以及，基于每个电子凭证的状态信息对解密后的凭证内容进行有效性核验。
55.其实，在本说明书实施例中，在对电子凭证进行核验时，可以先对电子凭证的凭证内容进行真实性核验，即基于解签后得到的电子凭证，对接收到的凭证内容进行真实性与否的核验；然后，再基于电子凭证对应的链上状态信息对凭证内容的时效性进行核验。或者，先核验时效性再核验真实性。
56.通过使用did技术，可以在实时触发的业务场景中，使用加密技术对用户方进行更高级别的隐私保护，而且，将验证操作所需凭证的内容选择权交由用户方来处理，避免在其它平台留存可能造成的数据泄露，尽可能保证用户数据安全；此外，在区块链上为存证的凭证维护状态信息，可保证用户核验的准确性。由此，从整体上提升凭证验证过程中的数据安全性以及业务处理效率。
57.下面以金融业务为例对本说明书所涉及的方案进行详述。
58.参照图3所示，以金融业务为购房商业贷款为例的业务流程图。在该业务场景中，主要可以涉及购房用户端、放款银行端、监管端以及政府综合事务端(税务子端、房管子端、高校子端)。另外，还包括区块链。
59.购房用户端通过监管端进行身份认证，创建did。
60.购房用户端向放款银行端发送贷款请求。
61.放款银行端返回所需凭证类型以及内容属性。
62.购房用户端分别向税务子端、房管子端以及高校子端发起电子凭证申请。
63.颁发电子凭证并加密：首先，税务子端、房管子端以及高校子端分别颁发与did关联的电子证照(税务证明、住房证明、学历证明)；接下来，在链上获取购房用户的公钥；然后，使用本地对称密钥(k)对电子凭证原文(m)进行加密得到加密电子凭证(ek(m))；最后，使用购房用户的公钥pk对对称密钥(k)进行加密得到加密结果(epk(k))。
64.将加密后的电子凭证发送给购房用户端以及将电子凭证签名后发送至区块链存证。
65.购房用户端解密电子凭证：首先，使用本地私钥对(epk(k))解密，得到(k)；然后，使用对称密钥(k)对加密电子凭证(ek(m))进行解密，得到电子凭证原文(m)。
66.购房用户端选择性重新加密电子凭证并传输给放款银行端。
67.放款银行端解密电子凭证后从链上获取电子凭证签名并解签。
68.放款银行端核验电子凭证的真实性以及时效性。
69.验证通过后，放款银行端执行放款业务。
70.通过上述技术方案，金融机构在执行业务操作时可减少信息的归集，通过分布式的方式调取所需凭证即可，并通过区块链实现凭证核验与操作登记，支持监管与追溯。实体在业务开展过程中可尽可能的保护隐私，尤其在跨业态，多层级的业务模式中，可以实现身份与信息的快速对齐，而无需归集数据。
71.实施例二
72.参照图4所示，为本说明书实施例提供的基于分布式数字身份的业务处理系统，该
系统400可以包括：用户方402、业务方404以及颁发方406；其中，
73.在用户方402为目标用户创建分布式数字身份did之后，向业务方404发送业务请求；
74.所述业务方404返回验证需求，所述验证需求至少包括：执行本次业务需要验证的凭证类型；
75.所述用户方402基于所述验证需求中凭证类型，向至少一个颁发方406分别申请电子凭证；
76.所述至少一个颁发方406分别为所述目标用户颁发与相应did关联的电子凭证，并在加密后发送给所述用户方402；同时，将所述电子凭证签名后发送至区块链存证，其中，所述区块链上为每个电子凭证维护有表征该电子凭证有效性的状态信息；
77.所述用户方402将加密后的电子凭证解密后，选择每个电子凭证的一项或多项凭证内容，并使用所述业务方404的公钥加密后传输给所述业务方404；
78.所述业务方404使用自身私钥对接收到的凭证内容进行解密，并基于所述区块链上存证的电子凭证签名以及相应状态信息对解密后的凭证内容进行核验，核验通过后，执行本次业务。
79.可选地，作为一个实施例，所述系统还包括：代理方；
80.所述用户方为目标用户创建分布式数字身份did时，具体用于：通过代理方为所述目标用户创建did；
81.其中，所述代理方仅允许用户方访问数据，或者，所述代理方允许用户方和业务方访问数据，或者，所述代理方开放自身访问权限。
82.在本说明书实施例的一种具体实现方式中，在每个颁发方为颁发的电子凭证加密时，具体用于：
83.从区块链上获取所述目标用户的公钥；
84.使用本地对称密钥对该电子凭证原文进行加密得到加密电子凭证，并使用所述目标用户的公钥对所述对称密钥进行加密得到加密结果；
85.相应地，在用户方为加密后的电子凭证解密时，具体用于：
86.使用自身私钥对所述加密结果进行解密得到对称密钥；
87.使用该对称密钥对加密电子凭证进行解密得到电子凭证原文。
88.在本说明书实施例的再一种具体实现方式中，所述验证需求还包括：执行本次业务需要验证的电子凭证的内容属性；
89.所述用户方在选择每个电子凭证的一项或多项凭证内容，并使用所述业务方的公钥加密后传输给所述业务方时，具体用于：
90.基于所述验证需求中电子凭证的内容属性，选择每个电子凭证的一项或多项凭证内容，并使用所述业务方的公钥加密后传输给所述业务方。
91.在本说明书实施例的再一种具体实现方式中，所述业务方在使用自身私钥对接收到的凭证内容进行解密，并基于所述区块链上存证的电子凭证签名以及相应状态信息对解密后的凭证内容进行核验时，具体用于：
92.使用自身私钥对接收到的凭证内容进行解密，以及使用颁发方的公钥对相应电子凭证签名进行解签；
93.基于解签后得到的电子凭证对解密后的凭证内容进行真实性核验，以及，基于每个电子凭证的状态信息对解密后的凭证内容进行有效性核验。
94.通过使用did技术，可以在实时触发的业务场景中，使用加密技术对用户方进行更高级别的隐私保护，而且，将验证操作所需凭证的内容选择权交由用户方来处理，避免在其它平台留存可能造成的数据泄露，尽可能保证用户数据安全；此外，在区块链上为存证的凭证维护状态信息，可保证用户核验的准确性。由此，从整体上提升凭证验证过程中的数据安全性以及业务处理效率。
95.实施例三
96.图5是本说明书的一个实施例电子设备的结构示意图。请参考图5，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(random
‑
access memory，ram)，也可能还包括非易失性存储器(non
‑
volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。
97.处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是isa(industry standard architecture，工业标准体系结构)总线、pci(peripheral component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。
98.存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。
99.处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成相应执行主体装置。处理器，执行存储器所存放的程序，并具体用于执行相应执行主体执行的操作。
100.上述如本说明书图2或3所示实施例揭示的装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书一个或多个实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书一个或多个实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。
101.该电子设备还可执行图2或3的方法，并实现相应装置在图2和3所示实施例的功
能，本说明书实施例在此不再赘述。
102.当然，除了软件实现方式之外，本说明书实施例的电子设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。
103.通过使用did技术，可以在实时触发的业务场景中，使用加密技术对用户方进行更高级别的隐私保护，而且，将验证操作所需凭证的内容选择权交由用户方来处理，避免在其它平台留存可能造成的数据泄露，尽可能保证用户数据安全；此外，在区块链上为存证的凭证维护状态信息，可保证用户核验的准确性。由此，从整体上提升凭证验证过程中的数据安全性以及业务处理效率。
104.实施例四
105.本说明书实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图2和图3所示实施例的方法，并具体用于执行相应执行主体执行的操作。
106.通过使用did技术，可以在实时触发的业务场景中，使用加密技术对用户方进行更高级别的隐私保护，而且，将验证操作所需凭证的内容选择权交由用户方来处理，避免在其它平台留存可能造成的数据泄露，尽可能保证用户数据安全；此外，在区块链上为存证的凭证维护状态信息，可保证用户核验的准确性。由此，从整体上提升凭证验证过程中的数据安全性以及业务处理效率。
107.总之，以上所述仅为本说明书的较佳实施例而已，并非用于限定本说明书的保护范围。凡在本说明书的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本说明书的保护范围之内。
108.上述一个或多个实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
109.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
110.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要
素的过程、方法、商品或者设备中还存在另外的相同要素。
111.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
112.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。