身份管理系统

1.本发明涉及信息安全技术领域，尤其涉及一种身份管理系统。


背景技术：

2.在传统的身份信息管理场景中，用户的身份信息通常是以中心化形式存储于第三方可信数据中心中，通过第三方可信数据中心对身份信息进行管理，例如对身份信息进行更改处理或者删除处理等。其中，身份信息是人的基本社会属性，大部分社会业务的办理都需要身份信息授权来确认业务的有效性和合法性，例如银行业务、社保业务、城市服务业务等。
3.然而，当第三方可信数据中心遭到单点攻击时，存储在第三方可信数据中心中的身份信息会遭到泄露，不利于对身份信息的管理。因此，如何在保证身份信息安全的前提下，实现对身份信息进行有效管理，是本领域技术人员亟待解决的问题。


技术实现要素：

4.本发明提供一种身份管理系统，在保证身份信息安全的前提下，实现了对身份信息的有效管理。
5.本发明提供一种身份管理系统，所述身份管理系统包括为用户提供服务的服务提供者、为预设对象提供身份认证的身份发行机构、为所述预设对象提供网络服务的网络运营商，所述服务提供者、所述身份发行机构以及所述网络运营商均维护有存储预设对象的身份信息对应的交易账本的可编辑区块链，所述预设对象包括所述用户和所述服务提供者。
6.其中，所述网络运营商，用于接收交易处理指令，所述交易处理指令包括待处理的目标对象的身份标识和交易处理类型；并根据所述目标对象的身份标识和所述交易处理类型，对所述网络运营商维护的所述可编辑区块链中所述目标对象的身份交易数据进行相应的处理；并将所述交易处理指令发送至所述身份发行机构和所述服务提供者；所述目标对象属于所述预设对象。
7.所述身份发行机构，用于根据所述目标对象的身份标识和所述交易处理类型，对所述身份发行机构维护的所述可编辑区块链中所述目标对象的身份交易数据进行相应的处理。
8.所述服务提供者，用于根据所述目标对象的身份标识和所述交易处理类型，对所述服务提供者维护的所述可编辑区块链中所述目标对象的身份交易数据进行相应的处理。
9.根据本发明提供的一种身份管理系统，所述身份发行机构、所述服务提供者以及所述网络运营商均维护有所述预设对象的身份标识对应的哈希值与所述可编辑区块链中存储所述预设对象的身份交易数据的区块对应的哈希值之间的哈希值索引表。
10.其中，所述网络运营商，还用于根据所述目标对象的身份标识对应的哈希值和所述网络运营商维护的哈希值索引表，从所述可编辑区块链中确定所述目标区块，并对所述
目标区块中所述目标对象的身份交易数据进行相应的处理。
11.所述身份发行机构，还用于根据所述目标对象的身份标识对应的哈希值和所述身份发行机构维护的哈希值索引表，从所述可编辑区块链中确定所述目标区块，并对所述目标区块中所述目标对象的身份交易数据进行相应的处理。
12.所述服务提供者，还用于根据所述目标对象的身份标识对应的哈希值和所述网络运营商维护的哈希值索引表，从所述可编辑区块链中确定所述目标区块，并对所述目标区块中所述目标对象的身份交易数据进行相应的处理。
13.根据本发明提供的一种身份管理系统，所述网络运营商，还用于基于所述目标对象的身份信息和所述身份信息的接收时间，生成存储所述身份信息对应的身份交易数据的所述目标区块，并触发所述身份发行机构和所述服务提供者对所述目标区块进行共识和上链；且基于所述目标对象的身份标识对应的哈希值与所述目标区块对应的哈希值，更新所述网络运营商维护的哈希值索引表。
14.所述身份发行机构，用于对所述目标区块进行共识和上链，且基于所述目标对象的身份标识对应的哈希值与所述目标区块对应的哈希值，更新所述身份发行机构维护的哈希值索引表。
15.所述服务提供者，用于对所述目标区块进行共识和上链，且基于所述目标对象的身份标识对应的哈希值与所述目标区块对应的哈希值，更新所述服务提供者维护的哈希值索引表。
16.根据本发明提供的一种身份管理系统，所述网络运营商基于第一哈希算法确定所述目标对象的身份标识对应的哈希值与所述目标区块对应的哈希值。
17.所述身份发行机构基于第二哈希算法确定所述目标对象的身份标识对应的哈希值与所述目标区块对应的哈希值。
18.所述服务提供者基于第三哈希算法确定所述目标对象的身份标识对应的哈希值与所述目标区块对应的哈希值。
19.其中，所述第一哈希算法、所述第二哈希算法以及所述第三哈希算法不同。示例地，当服务提供者内部有多个共识单元时，每个共识单元采用的哈希算法尽量不相同。
20.根据本发明提供的一种身份管理系统，所述网络运营商对应的多个具有信任关系的实体作为节点，构成所述网络运营商的共识单元；所述身份发行机构对应的多个具有信任关系的实体作为节点，构成所述身份发行机构的共识单元；所述服务提供者对应的多个具有信任关系的实体作为节点，构成所述服务提供者的共识单元。
21.其中，所述共识单元中的每个节点存储所述可编辑区块链中的若干不同区块，且所述共识单元中的所有节点所存储的区块的并集为所述可编辑区块链。
22.根据本发明提供的一种身份管理系统，所述身份发行机构，还用于监测所述预设对象的行为数据，并在基于所述行为数据确定所述预设对象中第一对象存在恶意行为的情况下，向所述网络运营商发送身份撤销请求，所述身份撤销请求中包括所述第一对象的身份标识。
23.所述网络运营商，还用于根据所述身份标识，停止为所述第一对象提供网络服务。
24.根据本发明提供的一种身份管理系统，所述网络运营商，还用于对所述网络运行商维护的所述可编辑区块链中所述第一对象的身份交易数据进行删除，并向所述身份发行
机构和所述服务提供者发送交易删除指令，其中，交易删除指令中包括所述第一对象的身份标识。
25.所述身份发行机构，用于根据所述第一对象的身份标识，对所述身份发行机构维护的所述可编辑区块链中所述第一对象的身份交易数据进行删除。
26.所述服务提供者，用于根据所述第一对象的身份标识，对所述服务提供者维护的所述可编辑区块链中所述第一对象的身份交易数据进行删除。
27.根据本发明提供的一种身份管理系统，所述服务提供者，还用于接收所述用户发送的服务请求，所述服务请求中包括所述用户的身份标识和请求的服务内容；并根据所述用户的身份标识，从所述服务提供者维护的所述可编辑区块链中查找所述用户的身份交易数据，并根据所述用户的身份交易数据对所述用户的身份进行验证。
28.所述服务提供者，还用于在所述用户的身份验证通过的情况下，根据所述请求的服务内容为所述用户提供相应的服务。
29.根据本发明提供的一种身份管理系统，所述网络运营商，还用于接收所述用户发送的查询请求，所述查询请求中包括所述服务提供者的身份标识；并根据所述服务提供者的身份标识，从所述网络运营商维护的所述可编辑区块链中查找所述服务提供者的身份交易数据，并向所述用户反馈查询响应。
30.其中，所述查询响应包括所述服务提供者的身份交易数据，所述查询响应用于所述用户在根据所述服务提供者的身份交易数据确定所述服务提供者的身份验证通过的情况下，向所述服务提供者发送所述服务请求。
31.根据本发明提供的一种身份管理系统，所述身份发行机构，还用于接收所述预设对象发送的入网请求，所述入网请求中包括所述预设对象的身份标识和公钥，并根据所述预设对象的身份标识，在确定所述预设对象的信誉程度大于预设阈值的情况下，对所述预设对象发送的入网请求进行背书，并将背书后的入网请求发送给所述预设对象。
32.所述网络运营商，还用于接收所述预设对象发送的背书后的入网请求，所述背书后的入网请求中包括所述预设对象的身份标识和所述公钥，并根据所述背书后的入网请求执行所述预设对象的入网操作，以为所述预设对象提供网络服务。
33.本发明提供的身份管理系统，该系统包括服务提供者、身份发行机构及网络运营商，均维护有存储预设对象的身份信息的可编辑区块链；网络运营商根据交易处理指令中包括的目标对象的身份标识和交易处理类型，对其维护的可编辑区块链中目标对象的交易数据进行相应的处理；并将交易处理指令发送至身份发行机构和服务提供者；身份发行机构和服务提供者根据交易处理指令对其各自维护的可编辑区块链中目标对象的交易数据进行相应的处理，使得各自维护的可编辑区块链中处理后的交易数据保持一致，在保证身份信息安全的前提下，实现了对身份信息的有效管理。
附图说明
34.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1为本发明实施例提供的身份管理系统的架构示意图；
36.图2为本发明实施例提供的一种网络运营商维护哈希索引表的示意图；
37.图3为本发明实施例提供的一种身份发行机构维护哈希索引表的示意图；
38.图4为本发明实施例提供的一种服务提供者维护哈希索引表的示意图；
39.图5为发明实施例提供的一种身份管理系统的示意图。
具体实施方式
40.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
41.在本发明的实施例中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况，其中a，b可以是单数或者复数。在本发明的文字描述中，字符“/”一般表示前后关联对象是一种“或”的关系。
42.本发明实施例提供的技术方案可以应用于身份信息管理场景中。在传统的身份信息管理场景中，用户的身份信息通常是以中心化形式存储于第三方可信数据中心中，通过第三方可信数据中心对身份信息进行管理。然而，当第三方可信数据中心遭到单点攻击时，存储在第三方可信数据中心中的身份信息会遭到泄露，不利于对身份信息的管理。因此，如何在保证身份信息安全的前提下，实现对身份信息进行管理，是本领域技术人员亟待解决的问题。
43.为了提高身份信息的安全性，通常采用区块链作为身份信息的存储媒介，区块链中的节点可以自行维护完整的身份信息，并随时查阅以满足用户访问网络服务的需要，从而形成的新型身份管理系统。虽然通过区块链技术可以有效地保证身份信息的安全性，但是，鉴于区块链本身不可篡改、全程留痕等特性，使得区块链不能对区块中的身份信息进行更改处理或者删除处理，当用户或服务提供者存在恶意行为或需要退出网络时，难以将其身份信息从现存区块链中进行更改或删除，因此，在保证身份信息安全的前提下，如何对身份信息进行有效地管理，例如更改处理或者删除处理，是本领域技术人员亟待解决的问题。
44.为了在保证身份信息安全的前提下，实现了对身份信息的有效管理，本发明实施例提供了一种身份管理系统，下面，将通过具体的实施例对本发明提供的身份管理系统进行详细地说明。可以理解的是，下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
45.图1为本发明实施例提供的身份管理系统的架构示意图，示例的，请参见图1所示，该身份管理系统可以包括为用户提供服务的服务提供者、为预设对象提供身份认证的身份发行机构、为预设对象提供网络服务的网络运营商，服务提供者、身份发行机构以及网络运营商均维护有存储预设对象的身份信息对应的交易账本的可编辑区块链，预设对象包括用户和服务提供者。
46.其中，网络运营商，用于接收交易处理指令，交易处理指令包括待处理的目标对象的身份标识和交易处理类型；并根据目标对象的身份标识和交易处理类型，对网络运营商
维护的可编辑区块链中目标对象的身份交易数据进行相应的处理；并将交易处理指令发送至身份发行机构和服务提供者，目标对象属于预设对象。
47.身份发行机构，用于根据目标对象的身份标识和交易处理类型，对身份发行机构维护的可编辑区块链中目标对象的身份交易数据进行相应的处理。
48.服务提供者，用于根据目标对象的身份标识和交易处理类型，对服务提供者维护的可编辑区块链中目标对象的身份交易数据进行相应的处理。
49.示例地，交易处理指令可以为更改操作指令，也可以为删除操作指令，具体可以根据实际需要进行设置。
50.可以理解的是，通常情况下，可编辑区块链中存储的身份交易数据包括用户的身份交易数据和服务提供者的身份交易数据。示例地，用户的身份交易数据通常包括用户的身份标识和对应的公钥，服务提供者的身份交易数据通常包括服务提供者的身份标识和对应的公钥。这样将用户和服务提供者的身份信息以身份交易数据的形式存储在可编辑区块链中，不仅可以保证用户和服务提供者的身份信息的安全性，也可以有效地满足对身份信息执行的更改操作和删除操作。其中，服务提供者、身份发行机构以及网络运营商各自维护的可编辑区块链中的身份交易数据是相同的。
51.服务提供者、身份发行机构以及网络运营商均维护的可编辑区块链，存储用户的身份交易数据和服务提供者的身份交易数据之前，身份发行机构通常需要对用户和服务提供者发送的入网请求进行背书，并向用户和服务提供者反馈背书后的入网请求；对应的，用户和服务提供者将背书后的入网请求发送给网络运营商，网络运营商将背书后的入网请求组合成身份交易数据的形式，等待打包以生成区块，并将生成的区块发送给服务提供者和身份发行机构进行共识和上链，服务提供者和身份发行机构共识和上链后，服务提供者、身份发行机构以及网络运营商均会维护存储有用户的身份交易数据和服务提供者的身份交易数据的可编辑区块链，具体过程可参见下述：
52.示例地，用户和服务提供者，可以各自生成各自的身份标识和对应的公钥-私钥对，并将各自的身份标识和对应的公钥携带在各自的入网请求中，发送给身份发行机构，并等待身份发行机构发送的入网请求反馈。
53.示例地，用户可以包括身份管理模块、区块链轻节点模块以及服务请求模块。其中，身份管理模块，主要用于生成用户的身份标识和对应的公钥-私钥对，并将其身份标识和对应的公钥携带在入网请求中，发送给身份发行机构。
54.示例地，用户发送的入网请求的格式可以为示例地，用户发送的入网请求的格式可以为其中，表示第i个用户发送的入网请求，ui表示第i个用户，表示第i个用户的身份标识，表示第i个用户的公钥。
55.区块链轻节点模块，主要用于在获得合法入网许可后，在向服务提供者获取服务内容前，向且仅向网络运营商发起服务提供者的身份查询请求，并接收相应的查询结果，以对服务提供者的身份进行验证，这部分内容将在后续进行描述。可以理解的是，在用户侧部署的区块链轻节点模块，其特点是每个单独的轻节点不需要存储全部的交易账本，而只需要存储区块头信息即可，区块链轻节点模块不参与区块的共识与上链，只需要具备相应的查询功能以及验证功能即可。
56.服务请求模块，主要用于在用户获得合法入网许可后，向服务提供者请求相关服务内容，并接收服务提供者提供的服务，这部分内容将在后续进行描述。
57.示例地，服务提供者可以包括身份管理模块、服务提供者区块链共识单元节点模块、以及服务模块。其中，身份管理模块，主要用于生成服务提供者的身份标识和对应的公钥-私钥对，并将其身份标识和对应的公钥携带在入网请求中，发送给身份发行机构，并等待身份发行机构发送的入网请求反馈。
58.示例地，身份发行机构发送的入网请求的格式可以为其中，表示第i个身份发行机构发送的入网请求，表示第i个身份发行机构的身份标识，表示第i个身份发行机构的公钥。
59.服务提供者区块链共识单元节点模块，主要用于接收网络运营商发送的交易处理指令，并根据交易处理指令中包括的目标对象的身份标识和交易处理类型，对份发行机构维护的可编辑区块链中所述目标对象的身份交易数据进行相应的处理；以及在获得合法入网许可后，在向用户提供服务内容之前，通过可编辑区块链中的身份交易数据对用户身份进行查询，并输出查询结果，以根据查询结果对用户身份进行验证；此外，服务提供者区块链共识单元节点模块也用于参与新区块的共识和上链，这部分内容将在后续进行描述。可以理解的是，在服务提供者侧部署的区块链共识单元节点模块，其特点是服务提供者之间若干具有相互信任度的实体机构，例如隶属于同一管理机构的子公司、商业金融服务机构、多媒体联盟等能够进行商业合作的机构，能够共同组成一个共识单元，共同维护至少一份交易账本。其中，每个单独的节点仅需要维护交易账本的一部分。服务提供者节点需要具备参与区块共识、执行区块及交易数据查询的功能。
60.服务模块，主要用于在用户身份验证通过后，向用户提供相关服务内容，这部分内容将在后续进行描述。
61.对应的，身份发行机构接收到用户和服务提供者发送的入网请求后，在入网请求为用户发送的入网请求的情况下，可以根据入网请求中包括的用户的身份标识，查询该用户的信誉程度，并在确定用户的信誉程度大于预设阈值的情况下，对用户发送的入网请求进行背书，并将背书后的入网请求反馈给用户。在入网请求为服务提供者发送的入网请求的情况下，可以根据入网请求中包括的服务提供者的身份标识，查询该服务提供者的信誉程度，并在确定服务提供者的信誉程度大于预设阈值的情况下，对服务提供者发送的入网请求进行背书，并将背书后的入网请求反馈给服务提供者。其中，预设阈值的取值可以根据实际需要进行设置，在此，对于预设阈值的具体取值，本发明实施例不做具体限制。
62.示例地，身份发行机构可以包括入网请求接收模块、身份信誉管理模块、身份发行模块、反馈模块、以及身份发行机构区块链共识单元节点。
63.其中，入网请求接收模块，主要用于接收用户和服务提供者发送的入网请求。
64.身份信誉管理模块，主要用于记录并监管所有个人用户或服务提供者在现实世界中的信誉程度，信誉程度决定了身份发行机构是否能够为用户或服务提供者发行身份。
65.身份发行模块，主要用于入网请求接收模块在接收到入网请求后，在入网请求为用户发送的入网请求的情况下，根据入网请求中包括的用户的身份标识，调取身份信誉管理模块中该用户的相关记录，并根据相关记录，确定该用户的信誉程度，并在确定用户的信
誉程度大于预设阈值的情况下，对用户发送的入网请求进行背书，并附加身份发行机构的私钥签名。在入网请求为服务提供者发送的入网请求的情况下，根据入网请求中包括的服务提供者的身份标识，调取身份信誉管理模块中该服务提供者的相关记录，并根据相关记录，确定该服务提供者的信誉程度，并在确定服务提供者的信誉程度大于预设阈值的情况下，对服务提供者发送的入网请求进行背书。
66.反馈模块，主要用于在入网请求为用户发送的入网请求的情况下，将经过背书后的入网请求发送给用户，以及在入网请求为服务提供者发送的入网请求的情况下，将经过背书后的入网请求发送给服务提供者。
67.示例地，在入网请求为用户发送的入网请求的情况下，身份发行机构反馈的经过背书后的入网请求的格式可以为：
[0068][0069]
其中，表示身份发行机构为第i个用户反馈的经过背书后的入网请求，reply_message表示身份发行机构向第i个用户反馈的具体信息，sk
ii
为身份发行机构ii的私钥签名。
[0070]
示例地，在入网请求为服务提供者发送的入网请求的情况下，身份发行机构反馈的经过背书后的入网请求的格式可以为：
[0071][0072]
其中，表示身份发行机构为第i个服务提供者反馈的经过背书后的入网请求，reply_message表示身份发行机构向第i个服务提供者反馈的具体信息，sk
ii
为身份发行机构ii的私钥签名。
[0073]
身份发行机构区块链共识单元节点模块，主要用于接收网络运营商发送的交易处理指令，并根据交易处理指令中包括的目标对象的身份标识和交易处理类型，对份发行机构维护的可编辑区块链中所述目标对象的身份交易数据进行相应的处理；以及，在某个用户或者服务提供者在现实世界中发生恶意行为时，向网络运营商发起身份撤销请求；此外，身份发行机构区块链共识单元节点模块也用于参与新区块的共识和上链，这部分内容将在后续进行描述。可以理解的是，在身份发行机构部署的区块链共识单元节点模块，其特点是身份发行机构之间若干具有相互信任度的实体机构，例如高校联盟、社会保障机构、国家金融机构等具有一定权威的官方机构，能够共同组成一个共识单元，共同维护至少一份交易账本，其中，每个单独的节点仅需要维护交易账本的一部分。身份发行机构节点需要具有参与区块共识、执行区块及交易数据查询、发起交易更改请求的功能。
[0074]
对应的，用户在接收到身份发行机构反馈的背书后的入网请求后，将背书后的入网请求发送给网络运营商，背书后的入网请求中包括用户的身份标识和公钥。
[0075]
对应的，网络运营商接收用户和服务提供者各自发送的背书后的入网请求，并根据背书后的入网请求执行用户和服务提供者的入网操作，以为用户和服务提供者提供网络服务；对应的，服务提供者可以开始正常为用户提供相应的服务；并将用户和服务提供者发送的背书后的入网请求组合成交易形式，等待打包以生成区块；再将生成的区块发送给服务提供者和身份发行机构进行共识和上链，服务提供者和身份发行机构共识和上链后，服
务提供者、身份发行机构以及网络运营商均会维护存储有用户的身份信息和服务提供者的身份信息的可编辑区块链。
[0076]
示例地，网络运营商可以包括交易生成模块、网络运营商区块链共识单元节点模块以及网络运营模块。其中，交易生成模块，主要用于接收经过身份发行机构背书后的入网请求，并将入网请求组合为交易形式，等待打包以生成区块。
[0077]
网络运营商区块链共识单元节点模块，主要用于对接收到的入网请求进行打包，生成新区块，并将生成的区块发送给服务提供者和身份发行机构进行共识和上链；网络运营商区块链共识单元节点模块也用于接收交易处理指令，并根据交易处理指令中的包括的待处理的目标对象的身份标识和交易处理类型，对网络运营商维护的可编辑区块链中目标对象的身份交易数据进行相应的处理；此外，网络运营商区块链共识单元节点模块也用于在某个用户或者服务提供者在现实世界中发生恶意行为时，向服务提供者和身份发行机构发送身份撤销指令，这部分内容将在后续进行描述。可以理解的是，在网络运营商部署的区块链共识单元节点模块，其特点是网络运营商内部若干具有相互信任度的实体机构，例如分属不同网络运营商的数据中心，能够共同组成一个共识单元，共同维护至少一份交易账本，其中，每个单独的节点仅需要维护交易账本的一部分。网络运营商节点需要具有打包交易并生成区块、参与区块共识、执行区块及交易数据查询、发起交易更改请求、执行交易更改的功能。
[0078]
示例地，在入网请求为用户发送的入网请求的情况下，将入网请求中的用户的身份标识、公钥及收到入网请求时的时间戳组合成交易形式，并暂存在本地数据库，其交易可以为其中，txui表示第i个用户的入网请求组合后的交易数据，timestamp表示时间戳。
[0079]
示例地，在入网请求为服务提供者发送的入网请求的情况下，将入网请求中的服务提供者的身份标识、公钥及收到入网请求时的时间戳组合成交易形式，并暂存在本地数据库，其交易可以为其中，txspi表示第i个服务提供者的入网请求组合后的交易数据。
[0080]
示例地，当组合后的交易数据达到预设条件，例如交易数据的数量大于数量阈值，或者，时间间隔大于时间阈值，则将当前已组合的交易数据打包并生成新区块，新区块的具体为
[0081]
其中，block表示打包生成的新区块，blockhash表示当前区块的哈希值，previoushash表示前一区块的哈希值，{txs}表示组合后的交易数据，sk
no
为网络运营商的私钥。
[0082]
在打包并生成新区块后，就可以进行新区块的共识。在对新区块进行共识时，考虑到共识单元节点的通信环境移动特性较低，因此，可以采用拜占庭共识算法(practical byzantine fault tolerance，pbft)共识机制完成新区块的共识。
[0083]
网络运营模块，主要用于为用户、身份发行机构以及服务提供者提供相关的移动网络。
[0084]
通过上述操作，服务提供者、身份发行机构以及网络运营商均会维护存储有用户
的身份交易数据和服务提供者的身份交易数据的可编辑区块链，这样通过将用户的身份交易数据和服务提供者的身份交易数据存储在可编辑区块链中，使得后续对用户的身份信息，和/或，服务提供者的身份信息进行更改处理或者删除处理时，网络运营商中的网络运营商区块链共识单元节点模块，可以接收交易处理指令，并根据交易处理指令中包括的待处理的目标对象的身份标识和交易处理类型，对网络运营商维护的可编辑区块链中目标对象的身份交易数据进行相应的处理；并将交易处理指令发送至身份发行机构和服务提供者，以使身份发行机构和服务提供者根据该交易处理指令对其各自维护的可编辑区块链中目标对象的身份交易数据进行相应的处理。
[0085]
对应的，身份发行机构接收到网络运营商发送的交易处理指令后，身份发行机构中的身份发行机构区块链共识单元节点模块，根据目标对象的身份标识和交易处理类型，对身份发行机构维护的可编辑区块链中所述目标对象的身份交易数据进行相应的处理于根据目标对象的身份标识和交易处理类型，对身份发行机构维护的可编辑区块链中目标对象的身份交易数据进行相应的处理。
[0086]
对应的，服务提供者，接收到网络运营商发送的交易处理指令后服务提供者中的服务提供者区块链共识单元节点模块，根据目标对象的身份标识和交易处理类型，对服务提供者维护的可编辑区块链中目标对象的身份交易数据进行相应的处理。这样将身份交易数据存储在可编辑区块链中，可以有效地保证身份信息的安全性；并在接收到交易处理指令时，服务提供者、身份发行机构以及网络运营商均会根据交易处理指令，对各自维护的可编辑区块链中目标对象的身份交易数据进行相应的处理，使得各自维护的可编辑区块链中处理后的身份交易数据保持一致，在保证身份信息安全的前提下，实现了对身份信息的有效管理。
[0087]
可以看出，本发明实施例提供的身份管理系统，包括服务提供者、为身份发行机构以及网络运营商，服务提供者、身份发行机构以及网络运营商均维护有存储预设对象的身份信息对应的交易账本的可编辑区块链，预设对象包括用户和服务提供者；网络运营商接收交易处理指令，并根据交易处理指令中包括的目标对象的身份标识和交易处理类型，对网络运营商维护的可编辑区块链中目标对象的身份交易数据进行相应的处理；并将交易处理指令发送至身份发行机构和服务提供者；身份发行机构根据目标对象的身份标识和交易处理类型，对身份发行机构维护的可编辑区块链中目标对象的身份交易数据进行相应的处理；服务提供者根据目标对象的身份标识和交易处理类型，对服务提供者维护的可编辑区块链中目标对象的身份交易数据进行相应的处理，使得各自维护的可编辑区块链中处理后的身份交易数据保持一致，在保证身份信息安全的前提下，实现了对身份信息的有效管理。
[0088]
示例地，考虑到传统区块链本身的特性，存储全体用户和服务提供者身份数据的完整账本需要存储在每一个区块链节点上，这样会导致单个节点的存储压力较大，因此，在本发明实施例中，网络运营商对应的多个具有信任关系的实体作为节点，构成网络运营商的共识单元；身份发行机构对应的多个具有信任关系的实体作为节点，构成身份发行机构的共识单元；服务提供者对应的多个具有信任关系的实体作为节点，构成服务提供者的共识单元。
[0089]
其中，共识单元中的每个节点存储可编辑区块链中的若干不同区块，且共识单元中的所有节点所存储的区块的并集为可编辑区块链，这样可以有效地降低单个节点的存储
压力。
[0090]
基于上述图1所示的实施例，针对网络运营商、身份发行机构以及服务提供者而言，在根据目标对象的身份标识和交易处理类型，对其各自维护的可编辑区块链中目标对象的身份交易数据进行相应的处理时，均需要先目标对象的身份标识从各自维护的可编辑区块链中，查找确认用于存储目标对象的身份交易数据的区块。示例地，在本发明实施例中，用于存储目标对象的身份交易数据的区块可记为目标区块，并在确定出目标区块后，根据交易处理类型，对目标区块中目标对象的身份交易数据进行相应的处理。
[0091]
示例地，网络运营商、身份发行机构以及服务提供者而言，根据目标对象的身份标识从各自维护的可编辑区块链中，查找用于存储目标对象的身份交易数据的区块时，考虑到可编辑区块中的身份交易数据本身需要面临大量的重复查询操作，若直接基于身份交易数据执行查询操作，则会带来巨大的计算开销，因此，为了降低因查询操作带来的计算开销，在本发明实施例中，通过设置哈希值索引表，哈希值索引表为用于描述预设对象的身份标识对应的哈希值与可编辑区块链中存储预设对象的身份交易数据的区块对应的哈希值之间的映射关系的索引表，使得在执行查询操作时，可以通过目标对象的身份标识对应的哈希值和各自维护的哈希值索引表，查找用于存储目标对象的身份交易数据的目标区块，从而有效地降低了因查询操作带来的计算开销。
[0092]
示例地，网络运营商，还用于根据目标对象的身份标识对应的哈希值和网络运营商维护的哈希值索引表，从可编辑区块链中确定目标区块，该目标区块即为存储目标对象的身份交易数据的区块；并对目标区块中目标对象的身份交易数据进行相应的处理。
[0093]
身份发行机构，还用于根据目标对象的身份标识对应的哈希值和身份发行机构维护的哈希值索引表，从可编辑区块链中确定目标区块，该目标区块即为存储目标对象的身份交易数据的区块；并对目标区块中目标对象的身份交易数据进行相应的处理。
[0094]
服务提供者，还用于根据目标对象的身份标识对应的哈希值和网络运营商维护的哈希值索引表，从可编辑区块链中确定目标区块，该目标区块即为存储目标对象的身份交易数据的区块；并对目标区块中目标对象的身份交易数据进行相应的处理。
[0095]
示例地，为了进一步保证身份信息的安全性，网络运营商、身份发行机构以及服务提供者各自维护的哈希值索引表不同。
[0096]
可以看出，在本发明实施例中，通过设置哈希值索引表，使得在接收到交易处理指令时，网络运营商、身份发行机构以及服务提供者可以根据交易处理指令中包括的目标对象的身份标识对应的哈希值和各自维护的哈希值索引表，从可编辑区块链中确定用于存储目标对象的身份交易数据的目标区块，并对目标区块中目标对象的身份交易数据进行相应的处理，不仅可以准确地查找到目标区块，而且可以有效地降低了因查询操作带来的计算开销。
[0097]
针对网络运营商、身份发行机构以及服务提供者而言，需要先生成存储目标对象的身份交易数据的目标区块，并基于目标对象的身份标识对应的哈希值与目标区块对应的哈希值，更新其各自维护的哈希值索引表，以使其各自维护的哈希值索引表中包括目标对象的身份标识对应的哈希值与目标区块对应的哈希值之间的映射关系，这样在后续查询操作中，才能根据目标对象的身份标识对应的哈希值和各自维护的哈希值索引表，从可编辑区块链中确定用于存储目标对象的身份交易数据的目标区块。
[0098]
示例地，网络运营商，还用于基于目标对象的身份信息和身份信息的接收时间，生成存储身份信息对应的身份交易数据的目标区块，并触发身份发行机构和服务提供者对目标区块进行共识和上链；且基于目标对象的身份标识对应的哈希值与目标区块对应的哈希值，更新网络运营商维护的哈希值索引表。
[0099]
身份发行机构，用于对目标区块进行共识和上链，且基于目标对象的身份标识对应的哈希值与目标区块对应的哈希值，更新身份发行机构维护的哈希值索引表。
[0100]
服务提供者，用于对目标区块进行共识和上链，且基于目标对象的身份标识对应的哈希值与目标区块对应的哈希值，更新服务提供者维护的哈希值索引表。
[0101]
可以理解的是，针对网络运营商、身份发行机构以及服务提供者而言，虽然其各自维护的可编辑区块链相同，但为了进一步提高身份信息的安全性，示例地，在本发明实施例中，网络运营商、身份发行机构以及服务提供者各自维护的哈希值索引表不同。网络运营商基于第一哈希算法确定目标对象的身份标识对应的哈希值与目标区块对应的哈希值，从而基于计算得到的目标对象的身份标识对应的哈希值与目标区块对应的哈希值，构建网络运营商维护的哈希值索引表；身份发行机构基于第二哈希算法确定目标对象的身份标识对应的哈希值与目标区块对应的哈希值，从而基于计算得到的目标对象的身份标识对应的哈希值与目标区块对应的哈希值，构建身份发行机构维护的哈希值索引表；服务提供者基于第三哈希算法确定目标对象的身份标识对应的哈希值与目标区块对应的哈希值，从而基于计算得到的目标对象的身份标识对应的哈希值与目标区块对应的哈希值，构建服务提供者维护的哈希值索引表；其中，第一哈希算法、第二哈希算法以及第三哈希算法不同。示例地，当服务提供者内部有多个共识单元时，每个共识单元采用的哈希算法尽量不相同。
[0102]
示例地，可参见图2所示，图2为本发明实施例提供的一种网络运营商维护哈希索引表的示意图，网络运营商基于对象的身份信息和身份信息的接收时间，生成存储身份交易数据的区块，并触发身份发行机构和服务提供者对目标区块进行共识和上链，在每一个新区块共识和上链完成后，其区块链共识单元节点模块中的共识单元节点会从从新区块中的交易数据中解码出所包含的用户或服务提供者的身份标识，并基于第一哈希算法计算身份标识对应的哈希值与该新区块对应的哈希值，并基于计算得到的目标对象的身份标识对应的哈希值与目标区块对应的哈希值，构建哈希值索引表，并维护该哈希值索引表。可以理解的是，在基于第一哈希算法计算身份标识对应的哈希值与该新区块对应的哈希值时，同一个共识单元内，采用的哈希运算相同。
[0103]
示例地，可参见图3所示，图3为本发明实施例提供的一种身份发行机构维护哈希索引表的示意图，身份发行机构在收到网络运营商发来的新区块后，参与新区块的共识以及上链，并每一个新区块共识和上链完成后，其区块链共识单元节点模块中的共识单元节点会从从新区块中的交易数据中解码出所包含的用户或服务提供者的身份标识，并基于第二哈希算法计算身份标识对应的哈希值与该新区块对应的哈希值，并基于计算得到的目标对象的身份标识对应的哈希值与目标区块对应的哈希值，构建哈希值索引表，并维护该哈希值索引表。可以理解的是，在基于第二哈希算法计算身份标识对应的哈希值与该新区块对应的哈希值时，同一个共识单元内，采用的哈希运算相同。
[0104]
示例地，可参见图4所示，图4为本发明实施例提供的一种服务提供者维护哈希索引表的示意图，服务提供者在收到网络运营商发来的新区块后，参与新区块的共识以及上
链，并每一个新区块共识和上链完成后，其区块链共识单元节点模块中的共识单元节点会从从新区块中的交易数据中解码出所包含的用户或服务提供者的身份标识，并基于第三哈希算法计算身份标识对应的哈希值与该新区块对应的哈希值，并基于计算得到的目标对象的身份标识对应的哈希值与目标区块对应的哈希值，构建哈希值索引表，并维护该哈希值索引表。可以理解的是，在基于第三哈希算法计算身份标识对应的哈希值与该新区块对应的哈希值时，同一个共识单元内，采用的哈希运算相同。
[0105]
基于上述图1所示的实施例，身份发行机构还可以监测预设对象的行为数据，并根据监测到的行为数据判断预设对象是否存在恶意行为，示例地，假设在基于行为数据确定预设对象中第一对象存在恶意行为的情况下，向网络运营商发送身份撤销请求，该身份撤销请求中可以包括第一对象的身份标识。对应的，网络运营商，还用于根据身份标识，停止为第一对象提供网络服务，这样可以避免为存在恶意行为的对象提供网络服务，从而有效地节省了网络服务资源。
[0106]
示例地，存在恶意行为的第一对象可以为用户，也可以为服务提供者，具体可以根据实际需要进行设置，在此，本发明实施例不做具体限制。
[0107]
示例地，网络运营商根据身份标识，停止为第一对象提供网络服务后，还可以根据该第一对象的身份标识，对其维护的可编辑区块链中第一对象的身份交易数据进行删除，并向身份发行机构和服务提供者发送交易删除指令，其中，交易删除指令中包括第一对象的身份标识。
[0108]
对应的，身份发行机构，用于根据第一对象的身份标识，对身份发行机构维护的可编辑区块链中第一对象的身份交易数据进行删除。
[0109]
对应的，服务提供者，用于根据第一对象的身份标识，对服务提供者维护的可编辑区块链中第一对象的身份交易数据进行删除，这样可以释放第一对象的身份交易数据占用的存储资源，从而提高了存储资源的利用率。
[0110]
基于上述图1所示的实施例，网络运营商接收用户和服务提供者发送的背书后的入网请求后，会为用户和服务提供者提供相应的移动网络，使得用户可以通过网络运营商为其提供的移动网络向服务提供者请求服务内容；对应的，服务提供者，也可以通过网络运营商为其提供的移动网络向用户提供相应的服务，其过程可以包括：
[0111]
示例地，用户在向服务提供者请求服务内容之前，通常需要先对服务提供者的身份进行验证。在对服务提供者的身份进行验证时，可以向网络运营商发送查询请求，该查询请求中包括服务提供者的身份标识；对应的，网络运营商接收用户发送的查询请求，并根据服务提供者的身份标识，从网络运营商维护的可编辑区块链中查找服务提供者的身份交易数据，并向用户反馈查询响应。其中，查询响应包括服务提供者的身份交易数据；用户获取到服务提供者的身份交易数据后，根据身份交易数据对服务提供者的身份进行验证，并在身份验证通过的情况下，向服务提供者发送服务请求；其中，服务请求中包括用户的身份标识和请求的服务内容。
[0112]
对应的，服务提供者接收用户发送的服务请求，并在向用户提供相应的服务内容之前，通常需要对用户的身份进行验证。在对用户的身份进行验证时，可以根据用户的身份标识，从服务提供者维护的可编辑区块链中查找用户的身份交易数据，并根据用户的身份交易数据对用户的身份进行验证，并在身份验证通过的情况下，根据请求的服务内容为用
户提供相应的服务。
[0113]
可以看出，用户在向服务提供者请求服务内容时，先通过网络运营商请求服务提供者的身份交易数据，并基于服务提供者的身份交易数据确定服务提供者身份验证通过的情况下，向服务提供者发送服务请求；对应的，服务提供者根据用户的身份标识，从服务提供者维护的可编辑区块链中查找用户的身份交易数据，并基于用户的身份交易数据确定用户身份验证通过的情况下，根据请求的服务内容为用户提供相应的服务，这样通过双向验证，可以有效地避免用户向不合法的服务提供者请求服务，以及有效地避免服务提供者向不合法的用户提供服务内容，从而提高了服务内容的可靠性。
[0114]
为了便于理解本发明实施例提供的身份管理系统，示例地，可参见图5所示，图5为发明实施例提供的一种身份管理系统的示意图，图5中包括了可编辑区块链中新区块的生成和共识，区块中的身份交易数据被整合为哈希索引表，哈希索引表的查询以及交易更改的相关处理。其中，新区块的生成和共识，区块中的身份交易数据被整合为哈希索引表，哈希索引表的查询以及交易更改的相关处理可参见上述相关描述，此处不再进行赘述，通过可编辑区块链中存储身份交易数据，可以使得服务提供者、身份发行机构及网络运营商各自维护的可编辑区块链中处理后的交易数据保持一致，在保证身份信息安全的前提下，实现了对身份信息的有效管理；此外，通过设置哈希值索引表，哈希值索引表为用于描述预设对象的身份标识对应的哈希值与可编辑区块链中存储预设对象的身份交易数据的区块对应的哈希值之间的映射关系的索引表，使得在执行查询操作时，可以通过目标对象的身份标识对应的哈希值和各自维护的哈希值索引表，查找用于存储目标对象的身份交易数据的目标区块，从而有效地降低了因查询操作带来的计算开销。
[0115]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0116]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。