具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

分布式账本(Distributed Ledger DLT)是一种在网络成员之间共享、复制和同步的技术和协议。从实质上说就是一个可以在多个站点、不同地理位置或者多个机构组成的网络里进行分享的资产数据库。在一个网络里的参与者可以获得一个唯一、真实账本的副本。

非对称加密算法：需要两个密钥，公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，这种算法叫作非对称加密算法。

基于此，申请人认为，可以将分布式账本技术和非对称加密算法应用到数字身份的管理过程中，从而解决目前数字身份存在的安全性较低的问题。因此，本申请提供一种数字身份管理方法、平台、装置、电子设备和计算机存储介质，用以解决目前数字身份存在的安全性较低的问题。

请参阅图1，图1为本申请实施例提供的一种数字身份管理系统的结构示意图，该数字身份管理系统100包括：数字身份管理平台101和至少一个数字身份拥有者的客户端102，一个数字身份拥有者对应一个客户端，数字身份管理平台101与数字身份拥有者的客户端102连接。

为了方便方案的理解，以下对数字身份管理平台101和数字身份拥有者的客户端102在数字身份管理系统100中的工作过程进行介绍。

请参阅图2，图2为本申请实施例提供的一种数字身份管理方法的流程图，该数字身份管理方法应用于数字身份拥有者的客户端102，该方法可以包括如下步骤：

步骤101：获取用户输入的用于创建数字身份的身份信息；

步骤102：根据非对称加密算法确定用于对身份信息进行加密的公私钥对；

步骤103：根据公私钥对中的公钥对身份信息进行加密，生成身份标识信息；

步骤104：将身份标识信息保存于分布式账本系统中。

下面将结合示例对上述流程进行详细说明。

步骤101：获取用户输入的用于创建数字身份的身份信息；

本申请实施例中，数字身份拥有者的客户端102由用户持有，该数字身份拥有者的客户端102可以为一个智能终端，该智能终端可以为电脑、智能手机等。用户在数字身份拥有者的客户端102上输入用于创建数字身份的身份信息，输入方式可以为采用键盘或是通过相机拍摄相关内容等，本申请对此不做限定。此外，数字身份拥有者的客户端102还可以为安装在智能终端上的软件应用。

数字身份拥有者的客户端102可以提供身份信息模板，身份信息模板可以包括：姓名、年龄、性别、身份证号、民族、学历信息等身份信息。该身份信息模板可以根据实际需求灵活调整。例如，增加邮箱、婚姻状况、家庭住址等。用户可以根据自身的实际需求，选择填写身份信息模板中的全部或部分内容。

需要说明的是，为了防止用户身份信息的泄露，在用户输入身份信息时，数字身份拥有者的客户端102可以不连接互联网，即用户输入的身份信息保存在数字身份拥有者的客户端102本地的存储器中，从而避免他人通过互联网在用户输入身份信息时盗取用户的身份信息。

步骤102：根据非对称加密算法确定用于对身份信息进行加密的公私钥对；

本申请实施例中，数字身份拥有者的客户端102获取到用户输入的用于创建数字身份的身份信息后，根据非对称加密算法确定用于对身份信息进行加密的公私钥对。

可选的，非对称加密算法可以为RSA加密算法、RAE2加密算法等，本申请对此不做限定。

需要说明的是，同样，为了防止用户身份信息的泄露，确定公私钥对的过程中，数字身份拥有者的客户端102可以不连接互联网。

步骤103：根据公私钥对中的公钥对身份信息进行加密，生成身份标识信息；

本申请实施例中，数字身份拥有者的客户端102接收到用户输入的身份信息并确定公私钥对后，根据公私钥对中的公钥对身份信息进行加密，生成身份标识信息。公私钥对中的私钥由用户自行保存。

需要说明的是，身份标识信息为一段不具有实际意义的字符串，只有通过公私钥中的私钥，才可以将身份标识信息解密还原成用户输入的用户信息。

此外，为了防止用户身份信息的泄露，数字身份拥有者的客户端在执行步骤103时，也可以不连接互联网。

步骤104：将身份标识信息保存于分布式账本系统中。

为了避免将用户的身份信息以中心化的方式保存在某个数字身份服务提供上的服务器中，本申请实施例将身份标识信息保存于分布式账本系统中。由于分布式账本是一个去中心化的账本，且具有无法篡改的特性。因此，将身份标识信息保存在分布式账本系统中，可以使身份标识信息不会被黑客或其他人篡改。此外，由于保存在分布式账本中的内容是经过非对称加密算法加密后的身份标识信息，该身份标识信息为一段不具有实际意义的字符串，任何人在没有对应的私钥的情况下，仅获得该身份标识信息无法得到用户的实际身份信息，从而保证了用户的身份信息的安全。

身份标识信息保存在分布式账本系统中后，如果要从分布式账本系统中获取用户的身份信息，需要向用户请求对应的私钥，然后根据该私钥对保存在分布式账本系统中的身份标识信息进行解密，才能得到用户的实际身份信息。

作为一种可选的实施方式，数字身份拥有者的客户端102将身份标识信息发送给数字身份管理平台101，由数字身份管理平台101将身份标识信息保存到分布式账本系统中。

通过非对称算法对用户的身份信息进行加密，生成身份标识信息，进而将身份标识信息保存在分布式账本系统中，非对称加密算法的特性和分布式账本系统的去中心化特性和无法篡改的特征，大大提高了用户数字身份的安全性。

可以理解，上述步骤101-104为数字身份的创建及保存过程。数字身份在创建并保存后，为了使数字身份中的用户信息具有较高的可信度，可以要求第三方认证机构对数字身份中的身份信息进行认证。以下对数字身份的认证过程进行介绍。

作为一种可选的实施方式，本申请实施例提供的数字身份管理方法还可以包括如下步骤：

第一步，根据非对称加密算法确定第一子公私钥对；

第二步，根据第一子公私钥对中的第一子公钥对待认证身份信息加密，生成待认证身份标识信息并将所述待认证身份标识信息保存在分布式账本系统中；

第三步，向认证机构发送第一分布式账本ID和第一子公私钥对中的第一子私钥，以供所述认证机构根据所述第一分布式账本ID从分布式账本系统中获取所述待认证身份标识信息，并根据所述第一子私钥对所述待认证身份标识信息进行解密，得到所述待认证身份信息。

本申请实施例中，在要求第三方认证机构对数字身份中的身份信息进行认证时，不同的认证机构所要认证的身份信息不同。举例来说，A认证机构可以根据用户的姓名、身份证号以及学历信息，对用户学历信息的真实性进行认证。用户在创建数字身份信息时，除了输入姓名、身份证号、学历信息外，可能还输入了其他信息，例如：家庭住址、婚姻状况、家庭成员信息等。若将私钥直接发送给第三认证机构，第三方认证机构可以根据该私钥对用户保存在分布式账本系统中的身份标识信息进行解密，进而获取用户所有的身份信息，使得用户的身份信息由泄密的风险。

为了解决上述问题，数字身份拥有者的客户端102首先根据非对称加密算法确定第一子公私钥对。该第一子公私钥对与前述实施方式中的公私钥对不同，因此，利用第一子公私钥对中的私钥无法对身份标识信息进行解密。

在确定第一子公私钥对后，数字身份拥有者的客户端102根据第一子公私钥对中的第一子公钥对待认证身份信息加密，生成待认证身份标识信息并将所述待认证身份标识信息保存在分布式账本系统中。其中，待认证身份信息为用于创建数字身份的身份信息中认证机构在进行认证时需要的身份信息及需要被认证的身份信息。例如，在进行学历认证时，待认证身份信息可以为用户的姓名、身份证号和学历信息。其中，姓名和身份证号为认证机构在进行认证时需要的身份信息，学历信息为需要被认证的身份信息。

生成待认证身份标识信息并将所述待认证身份标识信息保存在分布式账本系统中后，数字身份拥有者的客户端102向认证机构发送第一分布式账本ID和第一子公私钥对中的第一子私钥。

认证机构根据第一分布式账本ID从分布式账本系统中获取待认证身份标识信息(经过第一子公钥加密后的待认证身份信息)，然后根据第一子私钥对待认证身份标识信息进行解密，得到待认证身份信息。

认证机构对待认证身份信息进行认证，在认证通过后，可以向数字身份拥有者的客户端102发送认证凭证。然后数字身份拥有者的客户端102将该认证凭证保存到分布式账本系统中，与之前上传的待认证身份信息绑定。

作为另一种可选的实施方式，认证机构对待认证身份信息进行认证，在认证通过后，可以向数字身份管理平台101发送认证凭证。然后数字身份管理平台101将该认证凭证保存到分布式账本系统中，与之前上传的待认证身份信息绑定。

通过根据第一子公钥对待认证身份信息进行加密生成待认证身份标识信息并保存在分布式账本系统中，将第一子私钥发送给认证机构，以供认证机构根据第一子私钥对待认证身份标识信息进行解密，使得认证机构只能获得待认证身份信息，而无法获得所有的身份信息，从而降低了用户的身份信息泄密的风险。

作为一种可选的实施方式，第一子私钥存在使用次数限制或存在使用时间限制。考虑到认证机构往往只需要利用第一子私钥对待认证身份标识信息继续一次解密，即可获得待认证身份信息。为了防止第一子私钥泄露到导致用户的身份信息泄露，对第一子私钥的使用次数或使用时间进行限制。例如，设定第一子私钥只能使用三次，三次后第一子私钥便会自行销毁或是设定第一子私钥的有效使用时间为24小时，24小时后，第一子私钥便会失效。

通过对第一子私钥的使用次数或使用时间进行限制，即使第一子私钥泄露，其他人或机构也无法再使用第一子私钥对待认证身份标识信息进行解密，从而提高了待认证身份信息的安全性。

可以理解，上述步骤101-104为数字身份的创建及保存过程。数字身份在创建并保存后，为了使数字身份中的用户信息具有较高的可信度，可以要求第三方认证机构对数字身份中的身份信息进行认证。以下对数字身份的认证过程进行介绍。

除了对数字身份进行认证外，为了使数字身份可以在其他应用中使用，本申请实施例提供的数字身份管理方法还可以包括如下步骤：

第一步，获取数字身份使用方发出的授权申请；

第二步，根据非对称加密算法确定第二子公私钥对；

第三步，根据第二子公私钥对中的第二子公钥对待授权身份信息加密，生成待授权身份标识信息并将待授权身份标识信息保存在分布式账本系统中；

第四步，向数字身份使用方发送第二分布式账本ID和第二子公私钥对中的第二子私钥。

本申请实施例中，若其他数字身份使用方需要获取用户数字身份中的某些身份信息，需要先向该数字身份拥有者发起授权申请。

需要说明的是，授权申请包括数字身份使用方的待授权身份信息对应的标识。待授权身份信息为用于创建数字身份的身份信息中数字身份使用方需要使用的用户的身份信息。

授权申请可以直接发送给数字身份拥有者的客户端102，也可以先发送给数字身份管理平台101，再由数字身份管理平台101发送给数字身份拥有者的客户端102。

若数字身份拥有者同意上述授权申请，则数字身份拥有者的客户端102会根据非对称加密算法确定第二子公私钥对，根据第二子公私钥对中的第二子公钥对待授权身份信息加密，生成待授权身份标识信息并将待授权身份标识信息保存在分布式账本系统中。可以理解，上述过程与前述对数字身份的认证过程中的第一步和第二步对应，相同或相似部分可互相参照，在此不再赘述。

将待授权身份标识信息保存在分布式账本系统中后，数字身份拥有者的客户端102向数字身份使用方发送第二分布式账本ID和第二子公私钥对中的第二子私钥。

数字身份使用方根据第二分布式账本ID从分布式账本系统中获取待授权身份标识信息，并根据第二子私钥对待授权身份标识信息进行解密，得到待授权的身份信息，从而完成数字身份的授权使用。

本申请实施例通过根据第二子公钥对待认证身份信息进行加密生成待授权身份标识信息并保存在分布式账本系统中，将第二子私钥发送给数字身份使用方，以供数字身份使用方根据第二子私钥对待认证身份标识信息进行解密，使得数字身份使用方只能获得待授权身份信息，而无法获得所有的身份信息，从而降低了用户的身份信息泄密的风险。

作为一种可选的实施方式，第二子私钥存在使用次数限制或存在使用时间限制。可以理解，第二子私钥与第一子私钥的作用相同，为使说明书简洁，相同或相似部分可互相参照，在此不再赘述。

通过对第二子私钥的使用次数或使用时间进行限制，即使第二子私钥泄露，其他人或机构也无法再使用第二子私钥对待授权身份标识信息进行解密，从而提高了待授权身份信息的安全性。

作为一种可选的实施方式，本申请实施例提供的数字身份管理方法还可以包括如下步骤：

第一步，根据分布式账本系统的网络性能、存储容量和节点数量确定身份标识信息的副本数量；

第二步，将与副本数量对应的身份标识信息保存在分布式账本系统的多个节点中。

本申请实施例中，为了保证身份标识信息保存在分布式账本系统后，不会保存的节点出现问题而导致数据不可用或丢失，根据分布式账本系统的网络性能、存储容量和节点数量确定身份标识信息的副本数量，将与副本数量对应的身份标识信息保存在分布式账本系统的多个节点中，从而使得分布式账本系统中的多个节点中都保存有身份标识信息。

举例来说，副本数量为5，将身份标识信息复制五份，分别存在分布式账本系统的五个节点中。通过上述方式，即使分布式账本系统中某一个节点出现问题，也可以从其他节点处获取身份标识信息，提高了身份标识信息的安全性。

以下给出一种确定副本数量的方式。

出于对分布式账本系统的网络性能的考虑，副本数量占分布式账本系统总节点的十分之一。出于对分布式账本系统的存储容量考虑，副本数量占分布式账本系统总节点五分之一。出于对保存节点数量过少的考虑，在根据分布式账本系统的网络性能和存储容量确定出的副本数量的基础上，再增加三个存储节点。

根据以上规则确定处副本数量计算公式为(计算结果向下取整)：

副本数量＝(节点总数*10％*20％)+3。

通过确定副本数量，进而将与副本数量对应的身份标识信息保存在分布式账本系统的多个节点中，即使分布式账本系统中某一个节点出现问题，也可以从其他节点处获取身份标识信息，提高了身份标识信息的安全性。

基于同一发明构思，本申请实施例中还提供一种数字身份管理装置。请参阅图3，图3为本申请实施例提供的一种数字身份管理装置的结构框图，该数字身份管理装置300包括：

获取模块301，用于获取用户输入的用于创建数字身份的身份信息；

密钥确定模块302，用于根据非对称加密算法确定用于对所述身份信息进行加密的公私钥对；

生成模块303，根据所述公私钥对中的公钥对所述身份信息进行加密，生成身份标识信息；

保存模块304，将所述身份标识信息保存于分布式账本系统中。

在可选的实施方式中，所述密钥确定模块302还用于根据非对称加密算法确定第一子公私钥对；所述生成模块303还用于根据第一子公私钥对中的第一子公钥对待认证身份信息加密，生成待认证身份标识信息；其中，所述待认证身份信息为所述身份信息中认证机构在进行认证时需要的信息及需要被认证的信息；所述保存模块304还用于将所述待认证身份标识信息保存在分布式账本系统中；所述装置还包括：发送模块305，用于向所述认证机构发送第一分布式账本ID和第一子公私钥对中的第一子私钥，以供所述认证机构根据所述第一分布式账本ID从分布式账本系统中获取所述待认证身份标识信息，并根据所述第一子私钥对所述待认证身份标识信息进行解密，得到所述待认证身份信息。

在可选的实施方式中，所述第一子私钥存在使用次数限制或存在使用时间限制。

在可选的实施方式中，所述获取模块301还用于获取数字身份使用方发出的授权申请，所述授权申请包括所述数字身份使用方的待授权身份信息对应的标识；其中，所述待授权身份信息为所述身份信息中所述数字身份使用方需要使用的信息；所述密钥确定模块302还用于根据非对称加密算法确定第二子公私钥对；所述生成模块303还用于根据第二子公私钥对中的第二子公钥对所述待授权身份信息加密，生成待授权身份标识信息；所述保存模块304还用于将所述待授权身份标识信息保存在分布式账本系统中；所述发送模块305还用于向所述数字身份使用方发送第二分布式账本ID和第二子公私钥对中的第二子私钥，以供所述数字身份使用方根据所述第二分布式账本ID从分布式账本系统中获取所述待授权身份标识信息，并根据所述第二子私钥对所述待授权身份标识信息进行解密，得到所述待授权的身份信息。

在可选的实施方式中，所述第二子私钥存在使用次数限制或存在使用时间限制。

在可选的实施方式中，所述装置还包括：副本数量确定模块306，用于根据分布式账本系统的网络性能、存储容量和节点数量确定所述身份标识信息的副本数量；所述保存模块还用于将与所述副本数量对应的所述身份标识信息保存在分布式账本系统的多个节点中。

请参阅图4，图4为本申请实施例的电子设备400的结构示意图，该电子设备400包括：至少一个处理器401，至少一个通信接口402，至少一个存储器403和至少一个总线404。其中，总线404用于实现这些组件直接的连接通信，通信接口402用于与其他节点设备进行信令或数据的通信，存储器403存储有处理器401可执行的机器可读指令。当电子设备400运行时，处理器401与存储器403之间通过总线404通信，机器可读指令被处理器401调用时执行如上述实施例中数字身份管理方法的步骤。

处理器401可以是一种集成电路芯片，具有信号处理能力。上述处理器401可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(NetworkProcessor，NP)等；还可以是数字信号处理器(Digital Signal Processing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器403可以包括但不限于随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。

可以理解，图4所示的结构仅为示意，电子设备400还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中，电子设备400可以是，但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备，还可以是虚拟机等虚拟设备。另外，电子设备400也不一定是单台设备，还可以是多台设备的组合，例如服务器集群，等等。

此外，本申请实施例还提供一种计算机存储介质，该计算机存储介质上存储有计算机程序，该计算机程序被计算机运行时，执行如上述实施例中数字身份管理方法的步骤。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。