[发明专利]一种基于区块链技术的身份信息管理方法及系统

说明书

本发明公开了一种基于区块链技术的身份信息管理方法及系统，该方法包括：通过区块链网络标识用户身份以保护个人隐私信息；通过区块链网络及用户模块依据所标识的用户身份对用户进行身份验证。实施本发明的有益效果：基于区块链网络构建强隐私保护、强安全防护、强审计问责的统一身份管理基础设施，提供身份标识、身份验证、授权和审计问责等服务。

技术领域

本发明涉及访问控制技术领域和区块链技术领域，尤其涉及一种基于区块链技术的身份信息管理方法及系统。

背景技术

访问控制的主要作用是控制用户和系统如何与其他系统和资源进行通信和交互。访问控制是信息安全管理的第一道防线，是其他安全机制的基础。访问控制的核心是身份管理。参考“AAA”设计要求(Authentication、Authorization、Accounting)，身份管理主要涉及4个关键步骤：身份标识、身份验证、授权和审计问责。其中，主要的身份标识技术有：静态密码认证、令牌认证(U盾、短信验证码等)、Challenge/Respond认证、生物特征认证(指纹、虹膜等)等。主要的身份验证和授权技术有：Kerberos、SESAME、单点登录(SSO，SingleSign-On)等。

Kerberos是一种常用的身份验证和授权技术，Kerberos主要解决在分布网络环境中用户访问网络资源时的安全问题。Kerberos工作在Client/Server模式下，以可信赖的第三方KDC(密钥分配中心)实现用户身份认证。Kerberos基于对称加密实现认证，会对每一个用户分配一个密钥对，如果网络中存在N个用户，则Kerberos系统会保存和维护N个密钥对。但是，Kerberos存在如下风险：(1)个人信息安全性。个人身份标识信息存储在KDC数据库端，存在个人信息泄露风险。(2)密钥安全风险。用户及资源服务器的秘密密钥存储在KDC数据库端，存在泄露风险。(3)单点脆弱性。KDC的安全性成为单点要害，如果KDC发生故障，则Kerberos无法正常运转。(4)暴力攻击风险。如果密钥过短，容易遭受暴力破解攻击，且KDC并不知道是否存在暴力破解攻击。

PKI(Public Key Infrastructure)是一种使用公钥密码学和X.509标准的ISO身份验证框架。PKI通过使用可信任第三方颁发公钥证书的形式来绑定公钥和身份信息，开展身份认证，从而保证信息传递的安全、真实、完整和不可抵赖。但是，PKI存在如下风险：(1)单点脆弱性。CA的安全性成为单点要害。(2)个人信息安全性。个人密码、身份等信息存在RA数据库端，存在个人信息泄露风险。(3)证书安全性。证书仿冒、恶意添加假证书。(4)CRL管理难。CRL更新频度、证书撤销到CRL发布之间的时延、CRL的存储及管理。

零知识证明(Zero-Knowledge Proofs，ZKP)是一种信息保护机制，主要解决的问题是：在保护秘密信息安全的条件下，证明者和验证者开展证明和验证活动，其中，证明者向验证者出示证据，但不需要告诉验证者具体的执行内容(秘密信息)；验证者能够直接验证计算的正确性，而不必执行计算过程，甚至不用知道证明者到底执行了什么(秘密信息)。简单讲，就是要达到“既不告诉你，又要让你相信”的效果。

发明内容

本发明的目的在于提供一种基于区块链技术的身份信息管理方法及系统。，解决现有技术中身份验证和授权技术所存在隐私保护若、安全性低、缺少审计问责机制等问题。

本发明的技术方案实现如下：

一方面，本发明提供一种基于区块链技术的身份信息管理方法，包括：

通过区块链网络标识用户身份以保护个人隐私信息；

通过区块链网络及用户模块依据所标识的用户身份对用户进行身份验证。

在本发明所述的身份信息管理方法中，所述通过区块链网络标识用户身份以保护个人隐私信息，包括：