本發明公開了一種基于區塊鏈技術的身份信息管理方法及系統，該方法包括：通過區塊鏈網絡標識用戶身份以保護個人隱私信息；通過區塊鏈網絡及用戶模塊依據所標識的用戶身份對用戶進行身份驗證。實施本發明的有益效果：基于區塊鏈網絡構建強隱私保護、強安全防護、強審計問責的統一身份管理基礎設施，提供身份標識、身份驗證、授權和審計問責等服務。

技術領域

本發明涉及訪問控制技術領域和區塊鏈技術領域，尤其涉及一種基于區塊鏈技術的身份信息管理方法及系統。

背景技術

訪問控制的主要作用是控制用戶和系統如何與其他系統和資源進行通信和交互。訪問控制是信息安全管理的第一道防線，是其他安全機制的基礎。訪問控制的核心是身份管理。參考“AAA”設計要求(Authentication、Authorization、Accounting)，身份管理主要涉及4個關鍵步驟：身份標識、身份驗證、授權和審計問責。其中，主要的身份標識技術有：靜態密碼認證、令牌認證(U盾、短信驗證碼等)、Challenge/Respond認證、生物特征認證(指紋、虹膜等)等。主要的身份驗證和授權技術有：Kerberos、SESAME、單點登錄(SSO，SingleSign-On)等。

Kerberos是一種常用的身份驗證和授權技術，Kerberos主要解決在分布網絡環境中用戶訪問網絡資源時的安全問題。Kerberos工作在Client/Server模式下，以可信賴的第三方KDC(密鑰分配中心)實現用戶身份認證。Kerberos基于對稱加密實現認證，會對每一個用戶分配一個密鑰對，如果網絡中存在N個用戶，則Kerberos系統會保存和維護N個密鑰對。但是，Kerberos存在如下風險：(1)個人信息安全性。個人身份標識信息存儲在KDC數據庫端，存在個人信息泄露風險。(2)密鑰安全風險。用戶及資源服務器的秘密密鑰存儲在KDC數據庫端，存在泄露風險。(3)單點脆弱性。KDC的安全性成為單點要害，如果KDC發生故障，則Kerberos無法正常運轉。(4)暴力攻擊風險。如果密鑰過短，容易遭受暴力破解攻擊，且KDC并不知道是否存在暴力破解攻擊。

PKI(Public Key Infrastructure)是一種使用公鑰密碼學和X.509標準的ISO身份驗證框架。PKI通過使用可信任第三方頒發公鑰證書的形式來綁定公鑰和身份信息，開展身份認證，從而保證信息傳遞的安全、真實、完整和不可抵賴。但是，PKI存在如下風險：(1)單點脆弱性。CA的安全性成為單點要害。(2)個人信息安全性。個人密碼、身份等信息存在RA數據庫端，存在個人信息泄露風險。(3)證書安全性。證書仿冒、惡意添加假證書。(4)CRL管理難。CRL更新頻度、證書撤銷到CRL發布之間的時延、CRL的存儲及管理。

零知識證明(Zero-Knowledge Proofs，ZKP)是一種信息保護機制，主要解決的問題是：在保護秘密信息安全的條件下，證明者和驗證者開展證明和驗證活動，其中，證明者向驗證者出示證據，但不需要告訴驗證者具體的執行內容(秘密信息)；驗證者能夠直接驗證計算的正確性，而不必執行計算過程，甚至不用知道證明者到底執行了什么(秘密信息)。簡單講，就是要達到“既不告訴你，又要讓你相信”的效果。

發明內容

本發明的目的在于提供一種基于區塊鏈技術的身份信息管理方法及系統。，解決現有技術中身份驗證和授權技術所存在隱私保護若、安全性低、缺少審計問責機制等問題。

本發明的技術方案實現如下：

一方面，本發明提供一種基于區塊鏈技術的身份信息管理方法，包括：

通過區塊鏈網絡標識用戶身份以保護個人隱私信息；

通過區塊鏈網絡及用戶模塊依據所標識的用戶身份對用戶進行身份驗證。

在本發明所述的身份信息管理方法中，所述通過區塊鏈網絡標識用戶身份以保護個人隱私信息，包括：