基于分布式数字身份的金融账户治理系统及方法转让专利
申请号 : CN202210269267.5
文献号 : CN114679473B
文献日 : 2022-12-23
发明人 : 刘洪涛 , 陈健
申请人 : 青岛闪收付信息技术有限公司
摘要 :
本申请公开了一种基于分布式数字身份的金融账户治理系统及方法。包括分布式账本模块、身份代理模块以及数据中心模块:分布式账本模块用于对分布式存储内容的数据进行存储,并向用户提供智能合约接口,通过用户发送的数字身份信息请求,完成对用户数字身份信息的检索;身份代理模块,包括负责对外消息通信的代理组件和支持分布式密钥管理的钱包组件,代理组件负责调用本地身份钱包和数据容器;钱包组件为用于存储控制自我主权身份所需的数字容器;数据中心模块用于在用户设备和/或用户指定的云存储服务器上存储数据,可以看出本申请金融账户治理系统能够有效解决现有技术中存在的安全问题、隐私保护问题和不可移植问题。
权利要求 :
1.一种基于分布式数字身份的金融账户治理系统,其特征在于,所述系统包括分布式账本模块、身份代理模块以及数据中心模块:所述分布式账本模块,包括分布式数字身份标识符的注册表,用于对分布式存储内容的数据进行存储,并向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,通过用户发送的数字身份信息请求,完成对用户数字身份信息的检索;
所述身份代理模块,包括负责对外消息通信的代理组件和支持分布式密钥管理的钱包组件,所述代理组件是分布式数字身份的对外接口,负责调用本地身份钱包和数据容器;所述钱包组件为用于存储控制自我主权身份所需的数字容器;所述身份代理模块具体基于所述分布式账本模块检索的用户数字身份信息调用本地身份钱包和数据容器;
所述数据中心模块,用于在用户设备和/或用户指定的云存储服务器上存储数据;所述数据中心模块具体将所述身份代理模块调用的本地身份钱包和数据容器进行存储;
所述分布式账本模块向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,包括:将用户ID作为Key数据,将用户信息作为Value数据写入分布式账本模块中,完成对用户数字身份的注册、更新和失效操作;
用户通过分布式账本模块提供的Key查询,完成对指定数字身份信息的检索;
所述分布式账本模块还包括:
通过用户发送的数字身份信息更新请求,对该用户验证身份的有效性;
当该用户验证身份结果为有效时,完成对用户数字身份信息的更新。
2.根据权利要求1所述的系统,其特征在于,所述分布式账本模块还包括:用户通过智能合约接口定义自身的业务逻辑,并将其部署在相应的记账节点上,通过调用目标合约来完成目标业务记账逻辑。
3.根据权利要求1所述的系统,其特征在于,所述数据中心模块中云存储服务器的数据的加密由身份所有者本人的密钥加密。
4.根据权利要求1所述的系统,其特征在于,所述数据中心模块中云存储服务器支持多个数据组件保持数据同步以及基于用户控制权的数据序列化导出,从而可以使数据在不同的云存储服务器之间进行平滑迁移。
5.一种基于分布式数字身份的金融账户治理方法,其特征在于,所述方法包括:分布式账本模块通过用户发送的数字身份信息请求,完成对用户数字身份信息的检索,其中,所述分布式账本模块用于对分布式存储内容的数据进行存储,并向用户提供Key‑Value形式的具有数据存取能力的智能合约接口;
基于所述用户数字身份信息,通过身份代理模块调用本地身份钱包和数据容器;
将调用的本地身份钱包和数据容器通过数据中心模块进行存储;
所述向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,包括:将用户ID作为Key数据,将用户信息作为Value数据写入分布式账本模块中,完成对用户数字身份的注册、更新和失效操作;
用户通过分布式账本模块提供的Key查询,完成对指定数字身份信息的检索;
所述分布式账本模块还包括:
通过用户发送的数字身份信息更新请求,对该用户验证身份的有效性;
当该用户验证身份结果为有效时,完成对用户数字身份信息的更新。
6.根据权利要求5所述的方法,其特征在于,在分布式账本模块通过用户发送的数字身份信息请求之前,所述方法还包括:用户通过智能合约接口定义自身的业务逻辑,并将其部署在相应的记账节点上。
说明书 :
基于分布式数字身份的金融账户治理系统及方法
技术领域
[0001] 本发明涉及供应链金融领域,特别涉及一种基于分布式数字身份的金融账户治理系统及方法。
背景技术
[0002] 传统互联网中最常用身份认证方式是单一应用账户,该模式通常以用户名和密码的模式来创建,个人信息保存在各个应用或网站的数据库中,由应用提供商各自管理自己的用户信息。这个模式的主要优点是易于理解且易于使用,但是用户在这种模式下需要分别为每一个账户维护信息,同时各组织需要收集、存储和保护各自独立的个人数据,经济成本高。而且,由于各应用之间用户身份无法互通,同一实体的身份信息在不同应用系统中分别存储,无法综合利用,存在着重复认证、多地认证的问题,大量的用户名口令对使用者而言维护困难且安全度低。
[0003] 现有方法中基于中心化的用户账户管理方式,导致了数据集中和垄断化,增加了数据泄露的风险,安全性弊端明显。
发明内容
[0004] 基于此,本申请实施例提供了一种基于分布式数字身份的金融账户治理系统及方法,能够有效解决现有技术中存在的安全问题、隐私保护问题和不可移植问题。
[0005] 第一方面,提供了一种基于分布式数字身份的金融账户治理系统,该系统包括分布式账本模块、身份代理模块以及数据中心模块:
[0006] 所述分布式账本模块,包括分布式数字身份标识符的注册表,用于对分布式存储内容的数据进行存储,并向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,通过用户发送的数字身份信息请求,完成对用户数字身份信息的检索;
[0007] 所述身份代理模块,包括负责对外消息通信的代理组件和支持分布式密钥管理的钱包组件,所述代理组件是分布式数字身份的对外接口,负责调用本地身份钱包和数据容器;所述钱包组件为用于存储控制自我主权身份所需的数字容器;
[0008] 所述数据中心模块,用于在用户设备和/或用户指定的云存储服务器上存储数据。
[0009] 可选地,所述分布式账本模块还包括:
[0010] 用户通过智能合约接口定义自身的业务逻辑,并将其部署在相应的记账节点上,通过调用目标合约来完成目标业务记账逻辑。
[0011] 可选地,所述分布式账本模块向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,包括:
[0012] 将用户ID作为Key数据,将用户信息作为Value数据写入分布式账本模块中,完成对用户数字身份的注册、更新和失效操作;
[0013] 用户通过分布式账本模块提供的Key查询,完成对指定数字身份信息的检索。
[0014] 可选地,所述分布式账本模块还包括:
[0015] 通过用户发送的数字身份信息更新请求,对该用户验证身份的有效性;
[0016] 当该用户验证身份结果为有效时,完成对用户数字身份信息的更新。
[0017] 可选地,所述数据中心模块中云存储服务器的数据的加密由身份所有者本人的密钥加密。
[0018] 可选地,所述数据中心模块中云存储服务器支持多个数据组件保持数据同步以及基于用户控制权的数据序列化导出,从而可以使数据在不同的云存储服务器之间进行平滑迁移。
[0019] 第二方面,提供了一种基于分布式数字身份的金融账户治理方法,该方法包括:
[0020] 分布式账本模块通过用户发送的数字身份信息请求,完成对用户数字身份信息的检索,其中,所述分布式账本模块用于对分布式存储内容的数据进行存储,并向用户提供Key‑Value形式的具有数据存取能力的智能合约接口;
[0021] 基于所述用户数字身份信息,通过身份代理模块调用本地身份钱包和数据容器;
[0022] 将调用的本地身份钱包和数据容器通过数据中心模块进行存储。
[0023] 可选地,在分布式账本模块通过用户发送的数字身份信息请求之前,所述方法还包括:
[0024] 用户通过智能合约接口定义自身的业务逻辑,并将其部署在相应的记账节点上。
[0025] 可选地,所述向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,包括:
[0026] 将用户ID作为Key数据,将用户信息作为Value数据写入分布式账本模块中,完成对用户数字身份的注册、更新和失效操作;
[0027] 用户通过分布式账本模块提供的Key查询,完成对指定数字身份信息的检索。
[0028] 可选地,所述分布式账本模块还包括:
[0029] 通过用户发送的数字身份信息更新请求,对该用户验证身份的有效性;
[0030] 当该用户验证身份结果为有效时,完成对用户数字身份信息的更新。
[0031] 本申请实施例提供的技术方案带来的有益效果至少包括:
[0032] 基于区块链的分布式数字身份技术可以进行身份信息的交叉验证与查询。由各个贸金平台组建联盟链,联盟链中的每个节点(节点可以由单一平台、核心企业或机构组成,也可以由多家机构共同构建)本身都拥有各自的企业身份信息库,通过区块链连接各自身份数据源,从而构成一个分布式数字身份网络,并且各个节点为各自企业在联盟链开展业务生成一个链上唯一的身份标识符,并提供一套经联盟链认可的可验证凭证工具。
[0033] 当平台方根据业务需要,对某企业上述三个方面的信息进行核验时,其在本地核验能力不足的情况下,可使用分布式数字身份网络向其他节点上的企业身份信息库查询企业的相关信息,其他节点按照协议规范反馈各自的可验凭证,并向最终采纳凭证的提供方支付一笔费用。通过这种方式,节点之间可以在保护各自节点隐私的前提下,基于一定的共识算法和商业模式实现对企业身份的交叉验证,并在此基础上进一步实现企业黑名单的共享机制。此外,在分布式数字身份网络的基础上,逐步实现基于真实身份且达到一定认证等级的企业在联盟链上一次注册、多节点登录的功能,从而有效提供业务开展的便利性。
[0034] 用分布式数字身份改变了传统应用服务商控制用户账户的模式,将所有权归还用户,有助于从根本上解决用户数据安全和隐私问题,并有利于降低社会整体数据治理成本,提高数据治理质量。
附图说明
[0035] 为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
[0036] 图1为本申请实施例提供的一种基于分布式数字身份的金融账户治理系统框图;
[0037] 图2为本申请实施例提供的一种分布式账本模块示意图;
[0038] 图3为本申请实施例提供的一种钱包组件示意图。
具体实施方式
[0039] 以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0040] 目前,在贸易金融场景中,金融该机构面临的一个难题是如何有效识别贸易平台中供应链上下游企业的身份真实性问题,其真实性主要包括企业自身的真实性、用户的真实性、用户与企业隶属或委托关系的真实性。
[0041] 为了解决现有互联网中心化身份所存在的安全问题、隐私保护问题和不可移植问题,我们在供应链金融场景中建立了分布式数字身份认证系统与方法。所谓分布式数字身份,是通过数字化信息将用户可识别地刻画出来,可将其理解为浓缩成数字代码形式的实体身份信息,用于对用户行为产生的数字信息进行绑定、验证和查询,数据存储在个人设备或授权托管的云端。分布式数字身份是由身份所有者自主创建、维护和自由使用,用户对自己的身份信息和凭证拥有所有权,不依赖于任何特定公司或实体,通过授权他人共享数据,实现身份的可移植应用,具有安全和自主可控的特点。
[0042] 具体地,请参考图1,其示出了本申请实施例提供的一种基于分布式数字身份的金融账户治理系统100的框图,该系统包括分布式账本模块 101、身份代理模块102以及数据中心模块103:
[0043] 分布式账本模块101,包括分布式数字身份标识符的注册表,用于对分布式存储内容的数据进行存储,并向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,通过用户发送的数字身份信息请求,完成对用户数字身份信息的检索。
[0044] 在本申请实施例中,如图2,为了使身份多中心化,数字身份的基础实施需置于分布式信任的环境中,而不属于任何单一组织所控制的环境,分布式账本正式这样一种创新技术,其基于区块链技术,具备不可篡改、可追溯性、多中心化等特点,为数字身份系统提供了较好的分布式存储载体。开放的分布式账本对于分布式数字身份至关重要,因为它将提供开放的全球信任根,可以避免被特定的中心化服务所掌控。如图2显示了各个业务系统(业务系统中包括账本)相互关联的示意图。
[0045] 分布式账本是分布式数字身份标识符的注册表,提供对需要分布式存储内容的数据存储支撑,其核心是保护数字身份与公钥的对应关系不被篡改,用户即可凭借私钥确认对数字身份的控制权。
[0046] 分布式数字身份的对象持有者,通过分布式数字身份系统向分布式账本写入了对象的身份信息,并通过其分布式架构体系,将存储信息分布于各个账本节点上。此外,还可以根据使用的范围与业务需要,进行账本节点的扩容与部署地理的设计,最终用户可以通过自身的业务特点和所在位置,直接选取合适的账本节点,进行分布式数字身份信息的查询与更新。
[0047] 分布式账本系统向上对用户提供了Key‑Value形式的数据存取能力的智能合约接口。用户可通过合约接口定义自身的业务逻辑,并将其部署在相应的记账节点上,最终可通过调用此合约来完成具体的业务记账逻辑。在分布式数字身份系统中,分布式账本提供了基础的KV数据账本,以及简单的键值对写入和更新功能,数字身份系统将用户ID作为Key数据,将用户信息作为Value数据,写入分布式账本中,完成对数字身份的注册、更新和失效操作,并可通过分布式账本提供的 Key查询,完成对指定数字身份信息的检索。分布式数字身份的更新权限通常设定为所有者自身操作,相关交易请求需验证身份有效性后方可执行。
[0048] 分布式账本通过其链式哈希带来的不可篡改特性,可以很好地保护分布式数字身份数据,使其不被恶意修改。同时,分布式账本会完整地保留其更新历史,可以完整的回溯其更新变迁。
[0049] 身份代理模块102,包括负责对外消息通信的代理组件和支持分布式密钥管理的钱包组件,代理组件是分布式数字身份的对外接口,负责调用本地身份钱包和数据容器;钱包组件为用于存储控制自我主权身份所需的数字容器。
[0050] 在本申请实施例中,在数字环境中,任何组织无法直接产生和消费数字信息、存储和管理数据,执行自主权身份相关的数字权益需要由程序来实现,分布式数字身份系统中代表身份所有者的“数字代表”被称为身份代理(程序)。身份代理包括负责对外消息通信的代理组件和支持分布式密钥管理的钱包组件。代理组件是分布式数字身份的对外接口,负责调用本地身份钱包和数据容器。
[0051] 代理组件作为身份所有者在数字世界的“替身”,其核心功能是实现身份所有者与其他对象之间的点对点通信。在代理通信中,以通信协议替代API,协议是分布式和互操作性的,从而保证了安全、私有和互联互通。代理通过标准连接协议相互连接,可以发现彼此的端点和秘钥,是以一种标准方式发现彼此的功能并维护关系。
[0052] 钱包组件是一种数字容器,用于存储控制自我主权身份所需的数据。如图3,钱包组件最重要的作用是管理为数众多的关系,它不是可见的应用程序,而是由容器及其数据组成,通过基础钱包的接口提供给外部使用,从而保证了钱包的可移植性。钱包的主要作用是处理秘密信息,所以采取了加密安全策略,确保在安全的地方生成和使用这些秘密,而不会将其传递给不受信任的各方。钱包外部的世界通过钱包组件提供的公共接口与钱包交互,该接口提供了查询功能,并确保适当的加密和秘密处理。
[0053] 数据中心模块103,用于在用户设备和/或用户指定的云存储服务器上存储数据。
[0054] 在本申请实施例中,身份数据中心是连接在一起并链接到给定实体的链外加密数据存储。它可以用于直接在用户设备上或在用户指定的云存储服务上安全地存储身份数据,并在所有者授权时进行细粒度分享,其特点是安全和可移植。
[0055] 身份数据中心是面向数据管理的,它提供数据对象提交和状态读取服务,与传统云存储服务不同,身份数据中心的接口与供应商和平台无关,且云端数据的加密由身份所有者本人的密钥加密,即使发生数据泄露,也因使用两个人持有的密钥加密而无法被第三方识别和盗用。
[0056] 身份数据中心本身不持有所有者的密钥,也不能代表所有者采取任何行动,但是可以将消息中继到其它组件(如代理)进行处理。
[0057] 一个身份所有者可以使用多个身份数据空间,每个身份数据空间通过注册到特定的分布式数字身份提供的云存储服务寻址上。其对外提供的统一接口,支持多个数据组件保持数据有效同步和基于用户控制权的数据序列化导出,从而可以使数据在不同的云服务平台之间进行平滑迁移。
[0058] 本申请实施例还提供的一种基于分布式数字身份的金融账户治理方法,该方法包括:
[0059] 分布式账本模块通过用户发送的数字身份信息请求,完成对用户数字身份信息的检索,其中,分布式账本模块用于对分布式存储内容的数据进行存储,并向用户提供Key‑Value形式的具有数据存取能力的智能合约接口;
[0060] 基于用户数字身份信息,通过身份代理模块调用本地身份钱包和数据容器;
[0061] 将调用的本地身份钱包和数据容器通过数据中心模块进行存储。
[0062] 在本申请一个可选的实施例中,分布式账本模块通过用户发送的数字身份信息请求之前,方法还包括:
[0063] 用户通过智能合约接口定义自身的业务逻辑,并将其部署在相应的记账节点上。
[0064] 在本申请一个可选的实施例中,向用户提供Key‑Value形式的具有数据存取能力的智能合约接口,包括:
[0065] 将用户ID作为Key数据,将用户信息作为Value数据写入分布式账本模块中,完成对用户数字身份的注册、更新和失效操作;
[0066] 用户通过分布式账本模块提供的Key查询,完成对指定数字身份信息的检索。
[0067] 在本申请一个可选的实施例中,分布式账本模块还包括:
[0068] 通过用户发送的数字身份信息更新请求,对该用户验证身份的有效性;
[0069] 当该用户验证身份结果为有效时,完成对用户数字身份信息的更新。
[0070] 本申请实施例提供的基于分布式数字身份的金融账户治理方法用于实现上述基于分布式数字身份的金融账户治理系统,关于基于分布式数字身份的金融账户治理方法的具体限定可以参见上文中对于基于分布式数字身份的金融账户治理系统的限定,在此不再赘述。上述基于分布式数字身份的金融账户治理系统中的各个部分可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于设备中的处理器中,也可以以软件形式存储于设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
[0071] 以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0072] 以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。