一种基于区块链的职工数字身份管理系统及方法与流程

1.本发明属于信息管理技术领域，具体涉及一种基于区块链的职工数字身份管理系统及方法。


背景技术：

2.职工的个人档案在不同时期由不同的企业机构负责记录、管理、评价、审查等，纸质版材料在不同企业机构之间记录和流转的效率低下。随着时间流逝，很多老旧信息将面临找不到，或者不全面的问题，如果部分信息缺失，员工个人很难再补办或者证明。并且不同企业机构之间的信息透明度不足，对员工个人表现的评价过程缺少可量化标准和可信任环境，甚至存在员工信息被恶意篡改和隐私泄露的风险，这些问题都一定程度上限制了人力资源管理工作的展开。如何为职工信息的流转共享创建一个高效、安全、可信任的环境，是当下亟待解决的问题。
3.为了解决上述问题，本发明将区块链与传统企业机构人力资源管理工作相融合。区块链作为新一代信息技术，具有公开透明，防篡改，可溯源等特点，近年来逐渐发展成为一种很有前景的数据安全共享解决方案。以超级账本 hyperledger fabric为代表的联盟链平台进行区块链网络的搭建，可用以解决多个弱信任组织机构之间的信任问题，以降低不同企业机构间复杂繁琐业务流程带来的信任成本，实现在可控主体范围内共享职工敏感数据，从而有效提升不同企业机构主体之间大规模协作的效率。区块链通过分布式存储来记录和更新职工数据，使用密码学算法来保证数据传输和访问的安全，创新了企业职工管理工作新模式。


技术实现要素：

4.本发明提供了一种基于区块链的职工数字身份管理系统及方法，以用于解决传统企业人力资源管理工作中职工个人评价标准缺失，职工档案信息流转过程复杂，缺乏可信任环境，数据易被篡改和泄露等现象。通过区块链技术不可篡改，可溯源，低成本搭建分布式可信任环境等优势，来保障职工信息在记录和流转过程中的安全可信。
5.本发明是通过如下技术方案来实现的：
6.一种基于区块链的职工数字身份管理系统，包括：普通员工个人终端、上级组织管理终端、后台云服务器、区块链上智能合约与区块链下分布式数据库；
7.个人终端属于移动端应用，可以安装在诸如智能手机、平板电脑、笔记本电脑上，又可以细分为普通员工个人终端与上级组织管理终端；普通员工个人终端包括：职工数字身份注册模块、个人密钥颁发模块、数字身份登录模块、数字身份信息权限设置模块、后台云服务器交互接口；所述上级组织管理终端包括上述普通员工个人终端的所有功能模块、数字身份信息验证模块与后台云服务器交互接口；普通员工个人终端拥有个人数字身份注册、职工相关信息录入与查询、信息授权与加密等功能。上级组织管理终端除拥有和普通员工个人终端一样的功能外，还可以对其提供的身份与信息进行验证，通过后台云服务器交
互接口反馈给后台云服务器；
8.所述后台云服务器包括：区块链上智能合约交互接口、区块链下分布式数据库交互接口；后台云服务器是配置在远程云端服务器上的服务器系统，在员工终端、区块链上智能合约以及区块链下分布式数据库之间起到桥梁作用，使得整个系统协同工作；
9.所述区块链上智能合约包括：职工数字身份管理合约、数字信息存储合约；区块链上智能合约通过发送合约交易信息到fabric区块链上，即可部署生成合约，区块链上智能合约包括：职工数字身份管理合约、数字信息存储合约；
10.所述普通员工个人终端或上级组织管理终端的职工数字身份注册模块通过所述密钥颁发模块生成普通员工个人或者上级组织管理员数字身份所对应的公开密钥与私有密钥，并通过所述区块链上智能合约交互接口将公钥发送至所述职工数字身份管理合约，并同于后续数字身份验证模块对其校验。
11.使用上述基于区块链的职工数字身份管理系统的方法，具体步骤如下：
12.步骤1：构建由多个企业机构共同参与管理的区块链网络系统，每个企业机构作为区块链网络中的一个节点，多条区块链共同组成一个联盟链；用户进入系统之前，需要通过所述普通员工个人终端进行注册和登陆，终端通过调用职工身份注册模块，用户注册信息将发送至后台云服务器，服务器通过智能合约交互接口调用区块链网络中的职工数字身份管理合约，对成员身份进行验证，为其在区块链网络中注册组织身份，个人密钥颁发模块将为其返回一个登陆密钥，只有符合条件并通过授权的用户才能加入网络中，已经注册身份的用户后续直接通过数字身份登录模块即可快速登陆系统；
13.步骤2：职工用户参加集体学习与团建组织活动，工作日志信息将通过员工个人或上级组织管理终端被如实记录在区块链上，并且不可篡改；职工用户在上传之前可以通过个人终端调用数字身份信息权限设置模块为自己的信息设置公开或私有权限，私有数据将被用户通过公钥加密后上传到服务器，再由服务器通过智能合约交互接口上传至区块链网络中，交由区块链上的数字信息存储合约进行管理，区块链只存储数据键值对的哈希值，当用户需要查询验证时再由自己的私钥进行解密，元数据则通过区块链下分布式数据库交互接口存放至相应数据库中；
14.步骤3：机构节点通过所述上级组织管理终端在区块链网络中发布任务，单点发起，链上广播，多方参与，共同记录；职工用户在个人终端上可以查阅任务，智能合约会为按要求完成任务或者参加活动的职工用户颁发一定的信誉积分奖励，通过积分建立职工个人信用体系，区块链上智能合约会将积分转化为量化考核分数，作为员工个人表现的评价标准，并随其他信息一同上链存储；
15.本发明使用信用值来奖励积极参与企业工作的职工，这样他们就可以在以后使用这些信用值来获得自己的工作信用评价。职工用户可以通过2种方式获得信用值奖励，当职工用户在规定的时限内完成学习或工作任务，即可获得一笔基本奖励。当任务比要求的更早完成时，将获得一笔额外的奖励。奖励值r 的计算公式如下：
16.r＝rb re17.其中rb表示基本奖励，re表示额外奖励，基本奖励由任务发布节点在发布任务时候来公布；额外奖励的计算公式如下：
[0018][0019]
其中，δm表示规定的完成时间，δe表示实际完成的时间，λ为基准额外奖励；当超时完成任务时，将得不到任何的额外奖励。通过上述方式，职工用户最终的奖励值r越高，便说明其在企业工作方面表现更好；
[0020]
步骤4：当职工个人的工作关系发生变动时，员工个人终端或上级组织管理终端将发起变更请求，收到变更请求后会触发区块链网络中的职工数字身份管理合约，在当前机构节点中更改职工个人的组织归属状态，并在新加入的机构节点中添加新的归属状态，以完成工作关系的转移。
[0021]
本发明中采用ecc椭圆曲线加密算法(elliptic curve cryptography)，该算法是基于椭圆曲线数学理论实现的一种非对称加密算法。它的定义如下：
[0022]
在有限域fp中定义一个椭圆曲线：
[0023]
y2＝x3 ax b
[0024]
a b≡c(mod p)，a
×
b≡c(mod p)，a/b≡c(mod p)
[0025]
4a3 27b2≠0(mod p)
[0026]
a、b是小于p的非负整数，x、y属于(0，p-1)间的整数，曲线标记为ep (a，b)。
[0027]
较佳地，所述步骤1中区块链网络采用基于hyperledger fabric的联盟链架构，通过其分布式数据存储系统，每名职工、每个机构特别是流动职工、流动机构的信息都可以通过所述终端设备录入至区块链中，确保数据真实防篡改。
[0028]
较佳地，职工通过个人终端进行注册的过程中，需要进行实名认证并将认证信息上链，通过hyperledger fabric中的msp和ca服务为用户颁发授权证书，通过pki体系实现安全认证环境；认证上链后，每位职工用户将通过个人密钥颁发模块得到一个私钥账户，作为该职工在平台进行任何操作的唯一凭证，该账户无法获得非授权范围内的操作权限，用户必须使用密钥进行登录，未在区块链网络中注册的身份将不会被认可。
[0029]
较佳地，通过搭建自主可控区块链，使用区块链技术，将职工个人信息、工作信息以及参加团建活动信息上链，永久保存，形成不可篡改的职工数字身份和工作记录，打通各环节信息壁垒，实现职工的信息从过去到未来都可以被完整记录，避免丢失，保证真实。
[0030]
较佳地，步骤3中，在区块链网络中发布任务后，与之相关的所有资料通过后台服务器上传至联盟链，资料将保存在分布式的服务器内，任务将以哈希的形式存在区块链上，其中每个任务将对应唯一的哈希值，哈希值中所包含的时间戳可作为任务上传、完成的依据，根据上传任务、完成任务的时间先后来进行任务完成的时间确定；在任务的生命周期中，每当上传工作报告、提交任务时，会触发区块链网络智能合约，按照既定的评分规则、任务评价信息对员工进行信用评分，这些规则一经发布后不可随意更改；它的核心优势是员工在活动中的每一个信息，在网络里多个节点甚至每个节点都保存一遍，任何节点自行修改数据将不被认可，最终形成以“区块链信用账本”为核心的数字资产价值网络，多方参与，共同记录，有效追溯职工的企业工作记录，形成牢靠的信用画像，为职工的个人评测考核提
供重要参考。
[0031]
较佳地，步骤4中，职工个人的工作关系发生变动时候，不再通过邮寄纸质材料进行组织关系转接，直接通过区块链进行链上转接，流程简单高效，材料完整且不会丢失；利用区块链的ecc非对称加密技术最大限度地保证职工个人档案信息在组织关系转接过程中的隐私安全；只有通过档案所有人的授权，其他人或企业机构才能看到所有人的档案信息。
[0032]
本发明将区块链与传统企业人力资源管理工作相融合，建立职工信用管理系统，通过信用积分对职工的个人行为表现进行量化。通过分布式存储来保证职工信息多方认证，共同记录，不可篡改，使用ecc非对称加密算法来保证职工个人档案数据跨组织机构传输和访问过程中的隐私安全。
[0033]
本发明解决了传统企业职工管理工作中员工个人评价标准量化不足，职工档案信息流转过程复杂，缺乏可信任环境，数据易被篡改和泄露等问题，通过区块链技术不可篡改，可溯源，低成本搭建分布式可信任环境等优势，来保障职工信息在记录和流转过程中的安全可信。
附图说明
[0034]
图1为本发明系统结构示意图；
[0035]
图2是本发明总体架构图；
[0036]
图3是本发明信息交互详细流程图；
[0037]
图4是职工个人信用管理系统模块图；
[0038]
图5是职工个人数字身份上链登记图。
具体实施方式
[0039]
现在参考附图描述本发明的实施例。本领域技术人员将会理解，下列实施例仅用于说明本发明，而不应视为限定本发明的范围。
[0040]
如图1所示，一种基于区块链的职工数字身份管理系统，包括：普通员工个人终端、上级组织管理终端、后台云服务器、区块链上智能合约与区块链下分布式数据库；
[0041]
个人终端属于移动端应用，可以安装在诸如智能手机、平板电脑、笔记本电脑上，又可以细分为普通员工个人终端与上级组织管理终端；普通员工个人终端包括：职工数字身份注册模块、个人密钥颁发模块、数字身份登录模块、数字身份信息权限设置模块、后台云服务器交互接口；所述上级组织管理终端包括上述普通员工个人终端的所有功能模块、数字身份信息验证模块与后台云服务器交互接口；普通员工个人终端拥有个人数字身份注册、职工相关信息录入与查询、信息授权与加密等功能。上级组织管理终端除拥有和普通员工个人终端一样的功能外，还可以对其提供的身份与信息进行验证，通过后台云服务器交互接口反馈给后台云服务器；
[0042]
所述后台云服务器包括：区块链上智能合约交互接口、区块链下分布式数据库交互接口；后台服务器是配置在远程云端服务器上的服务器系统，在职工终端、区块链上智能合约以及区块链下分布式数据库之间起到桥梁作用，使得整个系统协同工作；
[0043]
所述区块链上智能合约包括：职工数字身份管理合约、数字信息存储合约；区块链上智能合约通过发送合约交易信息到fabric区块链上，即可部署生成合约，区块链上智能
合约包括：职工数字身份管理合约、数字信息存储合约；
[0044]
所述普通员工个人终端或上级组织管理终端的职工数字身份注册模块通过所述密钥颁发模块生成普通员工个人或者上级组织管理员数字身份所对应的公开密钥与私有密钥，并通过所述区块链上智能合约交互接口将公钥发送至所述职工数字身份管理合约，并同于后续数字身份验证模块对其校验。
[0045]
下面结合附图和具体实施方式，对本发明的方法作进一步说明：
[0046]
步骤1：构建由多个企业机构共同参与管理的区块链网络系统，每个企业机构作为区块链网络中的一个节点，多条区块链共同组成一个联盟链；用户进入系统之前，需要通过所述普通员工个人终端进行注册和登陆，终端通过调用职工身份注册模块，用户注册信息将发送至后台云服务器，服务器通过智能合约交互接口调用区块链网络中的职工数字身份管理合约，对成员身份进行验证，为其在区块链网络中注册组织身份，个人密钥颁发模块将为其返回一个登陆密钥，只有符合条件并通过授权的用户才能加入网络中，已经注册身份的用户后续直接通过数字身份登录模块即可快速登陆系统；
[0047]
步骤2：职工用户参加集体学习与企业活动等工作记录信息将被职工个人或上级组织管理终端如实记录在区块链上，经过哈希值运算后结果不可篡改；用户通过权限设置模块可以为自己的信息设置公开或私有权限，私有数据将被用户通过公钥加密后上传到云服务器，再由服务器上传至区块链网络中，区块链只存储数据键值对的哈希值，当用户需要查询验证时再由自己的私钥进行解密；
[0048]
步骤3：机构节点可以在区块链网络中发布任务，单点发起，链上广播，多方参与，共同记录；按要求完成任务或者活动的职工按照既定规则可获得一定的信誉积分奖励，建立职工个人信用管理系统，积分将转化为量化考核分数作为职工个人表现的评价标准，并随其他信息一同上链存储；当其工作关系产生变动时，便于其他企业机构跟踪追溯职工的工作等情况，对其之前的表现进行量化评价；
[0049]
步骤4：当职工个人的工作关系发生变动时，会触发区块链网络中的智能合约，由区块链上数字身份管理合约在当前机构节点中更改职工个人的组织归属状态，并在新加入的机构节点中添加新的归属状态，以完成工作关系的转移；此过程中采用ecc非对称加密算法来保证职工个人档案信息在组织关系转接过程中的隐私安全；只有通过档案所有人的授权，其他人或企业机构才能看到所有人的档案信息。
[0050]
示例如下：
[0051]
职工b转接进入a企业，企业a最终获得了职工b的个人档案信息，其过程如下：
[0052]
企业用户a选定一条椭圆曲线ep(a,b)，并取椭圆上一点，作为基点g。
[0053]
企业用户a选择一个私钥k，并生成公钥k＝kg。
[0054]
企业用户a将ep(a,b)和点k，g传给职工用户b请求查看档案的权限。
[0055]
职工用户b接到请求信息后，将待传输的个人隐私档案明文编码到ep(a,b) 上一点m，并产生一个随机整数r。
[0056]
职工用户b计算点c1＝m rk和c2＝rg。
[0057]
职工用户b将c1、c2传给企业用户a。
[0058]
企业用户a接到信息后，计算c1
–
kc2，结果就是点m。再用企业a的私钥对m进行解码就可以得到职工b档案的明文，关系转接结束：
[0059]
c1
–
kc2＝m rk-k(rg)＝m rkg-krg＝m
[0060]
图2是系统总体架构图，共包含了3部分结构，分别是用户端，后台服务器端和区块链端，职工用户通过区块链网络的授权后方可加入系统，各个企业机构、二级分部等作为节点加入区块链网络；所有基于职工个人账户所产生的行为数据都将被存证上链，永久保存，不可篡改，形成独一无二的职工数字身份。
[0061]
图3是系统中各方信息交互的流程示意图，职工用户在系统中可完成注册、登录、上传和查询等基本功能。注册过程中，职工用户将向后台服务器注册，以申请组织机构管理员的身份；用户首先向后台服务器提交申请信息，包括用户id、注册请求和身份信息；一旦接收到请求，服务器就调用fabric-ca接口进入fabric区块链网络，获取用户的组织管理员身份，并在网络中注册用户并返回登录密钥；注册后，职工用户通过发送自己的身份id、密钥和登录请求到后台服务器，以启动登录和身份验证请求，当服务器收到时，会调用fabric-ca接口进行身份和密钥验证，验证成功后，用户可以在区块链网上传或下载相关企业机构数据；当职工上传数据时，先向后台服务器发送请求数据，并自主选择是否对数据设定公开或私有权限，服务器随后进行处理，然后判断用户设置的权限是否为私有。如果是私有，系统获取有权查看数据的组织名称，写入区块链配置文件，然后调用智能合约的进行权限设置；之后，它将确定fabric网络中的其他peer节点是否具有访问权限；如果有，则发送数据到区块链的节点，区块链只存储数据键值对的哈希值；数据上传后，职工用户会收到一个成功的suc 响应。对于数据查询，职工用户向服务器发送包括身份id和查询请求，其中包括用户所需查询的信息；然后调用智能合约在区块链中来查询请求的数据。如果发现，则返回获得的数据，否则反馈失败。
[0062]
图4是职工个人信用管理系统模块图，它用以展示职工信用体系的设计思路，通过个人终端将职工个人信息、学习信息、以及参加企业工作的信息上传系统，并按照转化规则将文字信息量化为信用积分，再对个人情况进行统计，便于不同的企业机构之间对职工个人进行标准的评测考核。
[0063]
图5是职工个人数字身份上链登记图，将职工的相关信息上传至区块链端，形成每个职工独一无二的区块链数字身份。
[0064]
上面结合附图对本发明的具体实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。