一種賬戶(hù)密鑰設(shè)置方法、用戶(hù)設(shè)備和系統(tǒng)，所述方法由用戶(hù)設(shè)備執(zhí)行，所述用戶(hù)設(shè)備中包括可信執(zhí)行環(huán)境TEE，所述方法包括：從身份系統(tǒng)獲取與用戶(hù)對(duì)應(yīng)的賬戶(hù)，將所述賬戶(hù)提供給所述TEE，所述身份系統(tǒng)中存儲(chǔ)有所述用戶(hù)的身份信息，所述賬戶(hù)與所述身份信息相對(duì)應(yīng)；所述TEE生成與所述賬戶(hù)對(duì)應(yīng)的第一公鑰和第一私鑰，存儲(chǔ)所述第一私鑰，將所述第一公鑰提供到所述TEE外部；將所述第一公鑰的信息發(fā)送給所述身份系統(tǒng)，以用于由所述身份系統(tǒng)在存儲(chǔ)系統(tǒng)中關(guān)聯(lián)地存儲(chǔ)所述賬戶(hù)和所述第一公鑰的信息。

技術(shù)領(lǐng)域

本說(shuō)明書(shū)實(shí)施例屬于分布式數(shù)字身份技術(shù)領(lǐng)域，尤其涉及一種賬戶(hù)密鑰設(shè)置方法、用戶(hù)設(shè)備和系統(tǒng)。

背景技術(shù)

相較于傳統(tǒng)的數(shù)字身份而言，分布式數(shù)字身份可通過(guò)私鑰控制信息的隱私和安全性，不依賴(lài)于中心化的系統(tǒng)進(jìn)行驗(yàn)證，因此可實(shí)現(xiàn)“零信任”的互信和登錄驗(yàn)證，為整體網(wǎng)絡(luò)提升安全性的同時(shí)，方便服務(wù)提供方對(duì)用戶(hù)的認(rèn)證和用戶(hù)信息的獲取。

分布式數(shù)字身份例如包括分布式身份標(biāo)識(shí)((Dencentralized?ID，DID))和DID文檔。所述DID的DID文檔可存儲(chǔ)于區(qū)塊鏈中。DID文檔中例如包括：DID、DID的公鑰、可驗(yàn)證聲明(Verifiable?Credential，VC)的存儲(chǔ)地址等。用戶(hù)持有DID的私鑰，從而可通過(guò)該私鑰享有該DID、及該DID關(guān)聯(lián)的資源。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種賬戶(hù)密鑰設(shè)置方法，以提高賬戶(hù)密鑰管理的安全性。

本說(shuō)明書(shū)第一方面提供一種賬戶(hù)密鑰設(shè)置方法，由用戶(hù)設(shè)備執(zhí)行，所述用戶(hù)設(shè)備中包括可信執(zhí)行環(huán)境TEE，所述方法包括：

從身份系統(tǒng)獲取與用戶(hù)對(duì)應(yīng)的賬戶(hù)，將所述賬戶(hù)提供給所述TEE，所述身份系統(tǒng)中存儲(chǔ)有所述用戶(hù)的身份信息，所述賬戶(hù)與所述身份信息相對(duì)應(yīng)；

所述TEE生成與所述賬戶(hù)對(duì)應(yīng)的第一公鑰和第一私鑰，存儲(chǔ)所述第一私鑰，將所述第一公鑰提供到所述TEE外部；

將所述第一公鑰的信息發(fā)送給所述身份系統(tǒng)，以用于由所述身份系統(tǒng)在存儲(chǔ)系統(tǒng)中關(guān)聯(lián)地存儲(chǔ)所述賬戶(hù)和所述第一公鑰的信息。

在一種實(shí)施方式中，所述賬戶(hù)包括分布式數(shù)字身份DID，所述存儲(chǔ)系統(tǒng)包括區(qū)塊鏈系統(tǒng)。

在一種實(shí)施方式中，所述將所述第一公鑰的信息發(fā)送給所述身份系統(tǒng)包括：將所述第一公鑰的信息和所述用戶(hù)設(shè)備的設(shè)備信息發(fā)送給所述身份系統(tǒng)，以用于由所述身份系統(tǒng)存儲(chǔ)所述用戶(hù)設(shè)備與所述第一公鑰的信息的關(guān)聯(lián)關(guān)系。

在一種實(shí)施方式中，所述從身份系統(tǒng)獲取與用戶(hù)對(duì)應(yīng)的賬戶(hù)，包括：

向所述身份系統(tǒng)發(fā)送賬戶(hù)獲取請(qǐng)求；

響應(yīng)于所述身份系統(tǒng)的核身請(qǐng)求指示所述用戶(hù)進(jìn)行實(shí)名認(rèn)證，得到實(shí)名認(rèn)證信息；

通過(guò)所述身份系統(tǒng)將所述實(shí)名認(rèn)證信息發(fā)送給核身服務(wù)器，以由所述核身服務(wù)器對(duì)所述用戶(hù)進(jìn)行實(shí)名認(rèn)證；

在所述實(shí)名認(rèn)證通過(guò)的情況中，從所述身份系統(tǒng)接收與所述用戶(hù)對(duì)應(yīng)的所述賬戶(hù)。

在一種實(shí)施方式中，所述用戶(hù)設(shè)備中存儲(chǔ)有預(yù)先從認(rèn)證機(jī)構(gòu)CA接收的設(shè)備證書(shū)，所述TEE中存儲(chǔ)有設(shè)備私鑰，所述設(shè)備證書(shū)中包括與所述設(shè)備私鑰對(duì)應(yīng)的設(shè)備公鑰、以及所述CA對(duì)所述設(shè)備公鑰的簽名，所述將所述第一公鑰的信息發(fā)送給身份系統(tǒng)包括，將第一報(bào)文發(fā)送給所述身份系統(tǒng)，所述第一報(bào)文中包括所述第一公鑰，

所述方法還包括：

所述TEE使用所述設(shè)備私鑰對(duì)所述第一報(bào)文簽名，生成第一簽名，將所述第一簽名提供到所述TEE的外部；

將所述設(shè)備證書(shū)和所述第一簽名發(fā)送給所述身份系統(tǒng)。

在一種實(shí)施方式中，所述TEE中存儲(chǔ)有預(yù)先從所述CA獲取的第一對(duì)稱(chēng)密鑰，所述將所述第一公鑰的信息發(fā)送給身份系統(tǒng)，包括：