CN112950220A - 一种基于区块链的企业数字身份管理系统及方法 - Google Patents

Abstract

本申请公开了一种基于区块链的企业数字身份管理系统及方法，所述企业数字身份管理系统包括动态数字身份生命周期管理子系统、数字身份授权管理子系统、身份数据存储子系统、可验证凭证管理子系统，所述企数字身份管理方法包括步骤：分布式数字身份标识符初始化阶段、企业登记注册数字身份阶段、企业开展贸易活动阶段、企业开展贸易金融业务阶段、企业登记变更或注销阶段。本发明利用了区块链技术、自我主权身份技术、零知识证明技术、非对称加密等技术，将数字身份管理与企业级业务操作相结合，简化企业在注册、交易、变更、注销阶段的信息登记与管理过程，为企业提供自主可控的信息管理与数据共享方案，实现隐私数据保护与身份可信证明。

Description

一种基于区块链的企业数字身份管理系统及方法

技术领域

本申请涉及区块链技术领域，特别地，涉及一种基于区块链的企业数字身份管理系统及方法。

背景技术

在传统的企业身份管理中，存在如下不足：1、需由企业相关人员至各个政府部门进行线下流程操作，并使用纸质文件提供证明，该环节由于各部门的分散需消耗较长时间；2、纸质文件易丢失、损坏，并且原件数量有限，在使用过程中易受到限制；3、数据造假事件更易发生，仅依靠纸质文档签名盖章的保护效力较弱；4、企业所有者需对企业身份相关文件进行妥善管理，在发生企业信息变更时需再次经各政府部门进行数据更新，效率与便捷性均受较大影响；5、在进一步企业生产经营过程中会产生大量业务数据，监管部门以及合作伙伴对该信息的获取与监管难度较大，信息流通不畅，产生数据孤岛。

发明内容

本申请实施例一方面提供了一种基于区块链的企业数字身份管理系统，以解决现有企业身份管理过程中成本高、效率低、保护效力较弱、信息流通不畅、风险大的技术问题。

本申请实施例采用的技术方案如下：

一种基于区块链的企业数字身份管理系统，包括：

动态数字身份生命周期管理子系统，用于身份的注册、数据更新、数据查询以及身份注销环节，分布式账本保存身份信息修改历史，并将身份更新为最近一次修改状态，提供了身份记录的可追溯性；

数字身份授权管理子系统，用于当第三方请求访问该企业数字身份时对第三方访问范围及时间进行授权；以及，因此需由该企业内成员管理组织数字身份，即将该企业的个人数字身份与组织数字身份间形成关联管理，由组织数字身份授权个人对其进行不同权限范围下的管理；供使用者查询数字身份已授权范围，使用户了解该身份在不同应用场景下的使用情况；

身份数据存储子系统，用于用户钱包存储、明文分布式账本存储、密文分布式账本存储，其中数字身份信息存储于用户钱包，并可由用户自行选择是否将数据上链存储，用户钱包数据本地存储，从而防止数据由第三方获取并进一步共享；

可验证凭证管理子系统，用于可验证凭证的颁发、存储与使用，其中规定基于零知识证明的可验证凭证颁发与验证流程，从而实现提供隐私保护功能的身份证明。

进一步地，所述可验证凭证为数字身份提供数据来源与数据内容均可查证的身份验证方案，所述可验证凭证根据应用场景生成，其内容包含凭证元数据、声明数据集、证明信息；所述凭证元数据包括凭证的发布者、发布时间、凭证类型；所述声明数据集即在特定场景下所涉及的用户数字身份信息；所述证明信息为所述凭证元数据与声明数据集进行背书签名，包含签名类型、签名值、创建时间与创建者信息。

进一步地，所述可验证凭证的颁发过程包括步骤：

颁发者生成用户声明字段，将各个字段进行哈希；

哈希后的数据通过默克尔树形式形成claim_Hash，并与凭证ID及其他凭证元数据一起再次进行哈希，形成Credentials_Hash；

接着经凭证颁发者私钥签名得到签名值，并将该签名值附加至可验证凭证中，形成完整可验证凭证的颁发过程。

进一步地，当验证场景所需数据跨多个可验证凭证内容时，持有者通过可验证凭证生成可验证陈述，进一步提供包含多个凭证内容的身份证明，所述可验证陈述内容包含陈述元数据如凭证类型，id及使用条款；可验证凭证数据包括凭证id，声明数据集；证明信息为所述陈述元数据与可验证凭证数据进行签名背书，包括签名类型、签名值、创建时间与创建者信息。

进一步地，所述可验证凭证与可验证陈述的验证过程均借助零知识证明，在未获取声明数据明文的情况下达到验证凭证与声明真实性的目的，包括步骤：

持有者提供可验证凭证/陈述，其中允许验证方查看的声明以明文方式展现，其余声明以哈希形式出现；

验证方依据凭证生成过程将明文数据再次哈希，将得到的全部凭证内哈希值以默克尔树形式形成claim_Hash，并与凭证ID及其他凭证元数据一起再次进行哈希，形成第一哈希值Credentials_Hash；

与此同时，验证者提取可验证凭证签名值，并通过凭证颁发者的分布式数字身份标识符从分布式账本获取颁发者公钥，利用该公钥解密签名值，得到该可验证凭证的第二哈希值Credentials_Hash；

若第一哈希值Credentials_Hash和第二哈希值Credentials_Hash一致，则可认为可验证凭证/陈述持有者所提供凭证/陈述及其所包含声明值真实可信。

本申请另一方面提供了一种基于区块链的企数字身份管理方法，包括步骤：

分布式数字身份标识符初始化阶段：各机构节点在企业数字身份管理系统中进行注册，得到各机构的公开分布式数字身份标识符，所述各机构节点包括工商局节点、会计师事务所节点、技术监管局节点、税务局节点、银行节点、第三方征信机构节点、企业节点；

企业登记注册数字身份阶段：企业节点根据相关规定向工商局节点、会计师事务所节点、技术监督局节点、税务局节点、银行节点、第三方征信机构节点发出注册登记请求，所述工商局节点、会计师事务所节点、技术监督局节点、税务局节点、银行节点、第三方征信机构节点审查后向企业节点颁发相应的可验证凭证，同时将相应的可验证凭证的哈希值存储于分布式账本；

企业开展贸易活动阶段：具有合作意向的双方企业节点相互发送第三方征信机构节点开具的征信报告凭证，接着在达成贸易共识并签订贸易合同后，双方企业节点将贸易合同以可验证凭证形式签名背书后颁发给对方企业节点；双方企业节点贸易过程中双方企业节点均以可验证凭证形式向对方企业节点颁发相应证明，同时将相应证明的哈希值存储于分布式账本；

企业开展贸易金融业务阶段：供应链中的核心企业将贷款请求所需的材料以可验证凭证或可验证陈述形式发送至银行节点，所述银行节点审核后执行拨款操作，向供应链中的可流动资金不足以支付货款的企业拨付款项，同时将拨付款项详细以可验证凭证形式颁发给企业B节点，且将该可验证凭证的哈希值存储于分布式账本；

企业登记变更或注销阶段：企业节点将变更或注销所需材料以可验证凭证或可验证陈述形式发送至工商局节点进行审核，所述工商局节点审核后将变更后的企业营业执照以可验证凭证形式发送至企业节点，同时将该可验证凭证的哈希值存储于分布式账本。

进一步地，所述企业登记注册数字身份阶段具体包括步骤：

企业节点向工商局节点发出注册请求，并提交相关申请表；

工商局节点审核申请，通过后以可验证凭证形式为企业节点颁发相关凭证，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点向会计师事务所节点提出注册请求；

会计师事务所节点查询企业资金情况，并以可验证凭证形式颁发银行询证函，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点获取工商局节点凭证模板，包括登记申请表、股东或发起人名单、懂事经理监理情况、法人代表登记表、指定代表或委托代理人登记表，填写后与公司章程、验资报告文件一同提交至工商局节点；

工商局节点审核数据并以可验证凭证形式为企业节点颁发营业执照，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点凭营业执照向技术监督局节点提出组织机构代码证申请；

技术监督局节点以可验证凭证形式向企业节点颁发组织机构代码证，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点凭营业执照向税务局节点提出税务登记证申请；

税务局节点以可验证凭证形式向企业节点颁发税务登记证，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点凭营业执照、组织机构代码证、税务证明向银行节点提出开户申请；

银行节点为企业节点办理开户登记并以可验证凭证形式将开户信息颁发给企业，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点在第三方征信机构节点处登记，提交其营业执照凭证、组织机构代码证凭证、税务证明凭证、银行开户凭证、法人信息；

第三方征信机构节点根据以上凭证为企业节点初步生成征信报告凭证，同时将征信报告凭证的哈希值存储于分布式账本。

进一步地，所述企业开展贸易活动阶段具体包括步骤：

若企业A节点与企业B节点具有合作意向，企业A节点向企业B节点发送第三方征信机构开具的征信报告凭证；

企业B节点向企业A节点发送第三方征信机构节点开具的征信报告凭证；

达成贸易合作共识的企业A节点与企业B节点签订贸易合同，该贸易合同以可验证凭证形式形成针对贸易合作相关事项的证明，企业A节点生成凭证并进行签名背书后颁发给企业B节点，同时将该可验证凭证的哈希值存储于分布式账本；

企业B节点同样生成针对该贸易合同的凭证并进行签名背书后颁发给企业A节点，同时将该可验证凭证的哈希值存储于分布式账本；

假设企业A节点向企业B节点发货，企业B节点在收到货物后，依据货物型号及数量以可验证凭证形式向企业A节点颁发货物运输证明，同时该货物运输证明的哈希值存储于分布式账本；

假设企业B节点向企业A节点支付货款，企业A节点在收到货款后，依据货款金额及货物运输证明以可验证凭证形式向企业B节点颁发资金支付证明，同时将该资金支付证明的哈希值存储于分布式账本；

若贸易活动中产生交易变更情况，则由企业节点以可验证凭证形式对交易变更条款进行记录，对该可验证凭证签名背书并存储于分布式账本。

进一步地，所述企业开展贸易金融业务阶段具体包括步骤：

假设企业A节点为供应链中的核心企业，企业B节点可流动资金不足以支付货款，则可开展供应链金融业务，企业B节点向企业A节点提出贷款请求；

企业A节点向银行节点提出贷款请求；

银行节点收到贷款请求后要求企业A节点出示相关证明信息，包括营业执照、资产情况、企业B节点相关生产经营记录、征信报告；

企业A节点将上述相关证明信息以可验证凭证或可验证陈述形式发送至银行节点；

银行节点审核所述可验证凭证或可验证陈述；

审核通过后银行节点执行拨款操作，向企业B节点拨付款项；

银行节点以可验证凭证形式生成该笔款项的详细描述信息，该可验证凭证颁发给企业B节点，并将该可验证凭证的哈希值存储于分布式账本。

进一步地，所述企业登记变更或注销阶段具体包括步骤：

企业节点向工商局节点提交企业营业执照变更申请；

工商局节点请求企业节点提供现有身份证明材料；

企业节点将所需材料，包括营业执照、组织机构代码证、税务证明、银行开户证明可验证凭证、征信报告以凭证本身或进一步生成的可验证陈述形式发送至工商局节点；

工商局节点审核以上凭证或陈述，审核通过则按企业营业执照变更请求为其进行登记；

工商局节点将变更后的企业营业执照以可验证凭证形式发送至企业节点，同时该可验证凭证的哈希值存储于分布式账本；

企业节点注销过程在进行国家规定相关注销手续后由企业节点声明停用企业节点的分布式数字身份标识符；

为该企业节点签发可验证凭证的相关机构节点为该企业节点发布的凭证签发凭证无效证明。

本申请实施例另一方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的基于区块链的企数字身份管理方法。

本申请实施例另一方面提供了一种存储介质，所述存储介质包括存储的程序，在所述程序运行时控制所述存储介质所在的设备执行所述的基于区块链的企数字身份管理方法。

本申请具有以下有益效果：

本申请实施例的基于区块链的企业数字身份管理系统及方法利用了区块链技术、自我主权身份技术、零知识证明技术、非对称加密等技术，将数字身份管理与企业级业务操作相结合，简化了企业在注册、交易、变更、注销阶段的信息登记与管理过程，为企业提供自主可控的信息管理与数据共享方案，实现隐私数据保护与身份可信证明。本申请基于分布式账本技术设计企业数字身份管理系统，将传统中心化管理或联合管理的数字身份转变为自我主权身份，使身份主体真正掌握数字身份的管理权。由于数字身份由身份主体控制，其相关身份数据也由身份主体进行保存，当第三方请求主体提供身份时可通过零知识证明方式保护身份主体数据隐私。相比传统数字身份管理侧重于对个人身份的管理，本申请的企业等组织同样拥有其数字身份，但该身份依托于组织内个体进行操作，使用数字身份可为企业注册、交易、贷款、注销等流程提供便利的操作管理。传统线下业务操作受时间、空间限制，且纸质凭证易伪造，不便于保存管理，原件数量有限，使用数字身份管理相关身份数据，且通过密码学技术保证数据安全与隐私，降低身份管理成本，同时缓解数据孤岛问题。本申请将所有参与节点的信息都上链，使各方机构处理过程透明化。本申请通过区块链和智能合约技术的结合，简化了数据的传送、审核过程，节省了大量人力、物力以及时间成本，减少了大量的中间环节，使得业务过程更安全、可靠、便捷。

除了上面所描述的目的、特征和优点之外，本申请还有其它的目的、特征和优点。下面将参照附图，对本申请作进一步详细的说明。

附图说明

构成本申请实施例的一部分的附图用来提供对本申请的进一步理解，本申请实施例的示意性实施例及其说明用于解释本申请，并不构成对本申请实施例的不当限定。在附图中：

图1是现有企业身份管理业务流程示意图。

图2是本申请优选实施例的基于区块链的企业数字身份管理系统示意图。

图3是本申请优选实施例的可验证凭证结构示意图。

图4是本申请优选实施例的颁发可验证凭证流程示意图。

图5是本申请优选实施例的可验证陈述结构示意图。

图6是本申请验证可验证凭证/陈述的流程示意图。

图7是本申请优选实施例的网络部署示意图。

图8是本申请优选实施例的企业数字身份管理方法流程示意图。

图9是本申请另一优选实施例的企业数字身份管理方法业务时序图。

图10是本发明优选实施例的电子设备组成示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

为了便于理解，先对基于区块链的保险理赔方法中的区块链网络涉及到的技术术语和多方节点进行解释说明。

本申请实施例采用的技术方案在业务侧涉及到企业组织、工商局、会计师事务所、技术监管局、税务局、银行、第三方征信机构七个角色，对应在区块链网络中，包括企业节点、工商局节点、会计师事务所节点、技术监管局节点、税务局节点、银行节点、第三方征信节点、Oracle(预言机)和共识节点，其中：

Oracle(预言机)：一个提供外部信息的平台，能够允许区块链连接到任何现有的API，能够导入、存储、导出区块链上有关网络节点的信息，实现信息的动态获取；

企业节点：进行商务贸易并对组织数字身份管理具有需求的组织；

工商局节点：审核并为企业颁发经营许可的政府部门；

会计师事务所节点：签发“银行询证函”，进行相关会计核算与监督业务；

技术监管局节点：为企业颁发组织机构代码证；

税务局节点：颁发相关税务凭证，进行税务核算与监督；

银行节点：进行资金拨付与监管；

第三方征信节点：为企业提供征信服务，生成企业征信报告；

共识节点：由负责共识算法的机构组成，维护数字身份网络，包括交易的打包、提交、读取。

区块链技术：其本质上是一个共享数据库，按时间顺序将数据区块依序相连而形成，为数据溯源提供了可靠途径，以去中心化或多中心化方式集体维护，从而实现防篡改、防伪造需求，并借助密码学技术加密上链数据，实现隐私可控的数据公开透明，因此区块链技术是数学、密码学、互联网和计算机编程等多学科的融合发展。

数字身份：是在互联网普及后产生的，将现实世界身份映射到网络世界，用于给用户提供网络世界业务操作的身份标识。可通过传统账户/密码、生物特征实现身份认证，也可进一步使用去中心化数字身份实现用户对数字身份的自主可控。

企业数字身份：针对于企业、社区、政府等组织，用于提供该组织相关属性信息的数字身份，应用于商业贸易、公共管理等场景，为组织提供网络世界的身份证明，并且该身份由已授权的相关个人进行操作管理。

零知识证明：也称作最小泄露证明系统，指证明者无需向验证者提供具体信息的情况下使验证者相信某论断为真的一种密码学方法，证明者与验证者两方或多方共同遵守信息交互协议，以交互式或非交互式形式完成信息的发送与验证，进而达到最小化信息泄露的隐私保护目的。

去中心化密钥管理DKMS：是自我主权身份系统的组件之一，提供去中心化的分布式私钥生成、签名、托管与恢复的解决方案，从而提升数字资产的安全性与隐私性。

隐私数据集：为保障特定数据集仅可被特定成员查阅，而其他成员需具备该数据真实性可验证的需求，私有数据集以原始数据与数据hash值(通过随机盐防止推测数据内容)形式构成以满足上述需求，被授权访问的节点可存储私有数据集中原始数据于其私有数据库中，而非授权节点如排序节点、背书节点无法查看原始数据，在数据hash值被背书、排序后写入公共账本，以备后续验证使用。

Hash算法：它能将任意长度的二进制明文串映射为较短的固定长度的二进制串(Hash值)，不同的明文映射为相同Hash值的概率极小。一个优秀的Hash算法能实现如下功能：正向快速、逆向困难、输入敏感、冲突避免，因此，Hash算法也被称为指纹(fingerprint)或摘要(digest)。

如图1所示，在传统的企业身份管理中，主要流程包括步骤：

X1.领取工商局“企业(字号)名称预先核准申请表”，填写并由工商局审核，待工商局发放“企业(字号)名称预先核准通知书”；

X2.在会计师事务所领取“银行询证函”并由事务所盖章；

X3.到工商局领取设立登记申请表、股东(发起人)名单、懂事经理监理情况、法人代表登记表、指定代表或委托代理人登记表，填写后与核名通知、公司章程、验资报告等文件交于工商局待其审核并颁发营业执照；

X4.凭营业执照到技术监督局办理组织机构代码证；

X5.凭营业执照到税务局办理税务登记证；

X6.凭营业执照、组织机构代码证、税务证明到银行进行开户；

如图2所示，本申请的优选实施例提供了一种基于区块链的企业数字身份管理系统，包括：

动态数字身份生命周期管理子系统，用于身份的注册、数据更新、数据查询以及身份注销环节，分布式账本保存身份信息修改历史，并将身份更新为最近一次修改状态，提供了身份记录的可追溯性；

数字身份授权管理子系统，用于当第三方请求访问该企业数字身份时对第三方访问范围及时间进行授权；由于企业作为该组织数字身份的主体，并不具备个体作为主体的自主控制能力，因此需由该企业内成员管理组织数字身份，即将该企业的个人数字身份与组织数字身份间形成关联管理，由组织数字身份授权个人对其进行不同权限范围下的管理；供使用者查询数字身份已授权范围，使用户了解该身份在不同应用场景下的使用情况；

身份数据存储子系统，用于用户钱包存储、明文分布式账本存储、密文分布式账本存储，其中数字身份信息存储于用户钱包，并可由用户自行选择是否将数据上链存储，用户钱包数据本地存储，从而防止数据由第三方获取并进一步共享；

可验证凭证管理子系统，用于可验证凭证的颁发、存储与使用，其中规定基于零知识证明的可验证凭证颁发与验证流程，从而实现提供隐私保护功能的身份证明。

本实施例的基于区块链的企业数字身份管理系统利用了区块链技术、自我主权身份技术、零知识证明技术、非对称加密等技术，将数字身份管理与企业级业务操作相结合，简化了企业在注册、交易、变更、注销阶段的信息登记与管理过程，为企业提供自主可控的信息管理与数据共享方案，实现隐私数据保护与身份可信证明。本实施例基于分布式账本技术设计企业数字身份管理系统，将传统中心化管理或联合管理的数字身份转变为自我主权身份，使身份主体真正掌握数字身份的管理权。由于数字身份由身份主体控制，其相关身份数据也由身份主体进行保存，当第三方请求主体提供身份时可通过零知识证明方式保护身份主体数据隐私。相比传统数字身份管理侧重于对个人身份的管理，本实施例的企业等组织同样拥有其数字身份，但该身份依托于组织内个体进行操作，使用数字身份可为企业注册、交易、贷款、注销等流程提供便利的操作管理。传统线下业务操作受时间、空间限制，且纸质凭证易伪造，不便于保存管理，原件数量有限，使用数字身份管理相关身份数据，且通过密码学技术保证数据安全与隐私，降低身份管理成本，同时缓解数据孤岛问题。本实施例将所有参与节点的信息都上链，使各方机构处理过程透明化，便于监管。通过区块链和智能合约技术的结合，简化了数据的传送、审核过程，节省了大量人力、物力以及时间成本，减少了大量的中间环节，使得业务过程更安全、可靠、便捷。

具体地，可验证凭证(VC)是分布式数字身份管理中的重要内容，因此，所述可验证凭证为数字身份提供数据来源与数据内容均可查证的身份验证方案，所述可验证凭证根据应用场景生成，如图3所示，其内容包含凭证元数据、声明数据集、证明信息；所述凭证元数据包括凭证的发布者、发布时间、凭证类型；所述声明数据集即在特定场景下所涉及的用户数字身份信息；所述证明信息为所述凭证元数据与声明数据集进行背书签名，包含签名类型、签名值、创建时间与创建者等信息。

具体地，可验证凭证管理过程涉及四个主要参与主体，包括颁发者、持有者、验证者与分布式账本，颁发者可为机构组织与个人，但由于不同颁发者所具备的可信程度不同，在验证凭证时验证者选择相信已被验证方认可的颁发者所颁发的可验证凭证，同时为实现可验证凭证声明数据的零知识证明，如图4所示，所述可验证凭证的颁发过程包括步骤：

颁发者生成用户声明字段，将各个字段进行哈希(为保证数据内容被推测，可添加随机盐进行混淆)；

哈希后的数据通过默克尔树形式形成claim_Hash，并与凭证ID及其他凭证元数据一起再次进行哈希，形成Credentials_Hash；

接着经凭证颁发者私钥签名得到签名值，并将该签名值附加至可验证凭证中，形成完整可验证凭证的颁发过程。

具体地，用户在获得可验证凭证后便可用于向验证方证明自身相关身份信息，由于可验证凭证签名过程是对该凭证内所包含全部声明数据进行的，无法仅对其中某一条声明进行签名验证，因此在出示证明时需提供完整凭证，同时，一份可验证凭证包含身份主体在某一特定领域内的数字身份，当验证场景所需数据跨多个可验证凭证内容时，持有者通过可验证凭证生成可验证陈述(VP)，进一步提供包含多个凭证内容的身份证明，如图5所示，所述可验证陈述内容包含陈述元数据如凭证类型，id及使用条款；可验证凭证数据包括凭证id，声明数据集；证明信息为所述陈述元数据与可验证凭证数据进行签名背书，包括签名类型、签名值、创建时间与创建者等信息。

具体地，如图6所示，所述可验证凭证与可验证陈述的验证过程均借助零知识证明，在未获取声明数据明文的情况下达到验证凭证与声明真实性的目的，包括步骤：

持有者提供可验证凭证/陈述，其中允许验证方查看的声明以明文方式展现，其余声明以哈希形式出现；

验证方依据凭证生成过程将明文数据再次哈希，将得到的全部凭证内哈希值以默克尔树形式形成claim_Hash，并与凭证ID及其他凭证元数据一起再次进行哈希，形成第一哈希值Credentials_Hash；

与此同时，验证者提取可验证凭证签名值，并通过凭证颁发者的分布式数字身份标识符DID从分布式账本获取颁发者公钥，利用该公钥解密签名值，得到该可验证凭证的第二哈希值Credentials_Hash；

若第一哈希值Credentials_Hash和第二哈希值Credentials_Hash一致，则可认为可验证凭证/陈述持有者所提供凭证/陈述及其所包含声明值真实可信。

本实施例的验证过程具有如下优势：

本实施例在验证过程中，仅产生证明提供方与证明验证方之间的交互，无需验证方为验证凭证/陈述的真实性与颁发者进行交互，从而减轻凭证颁发者负担，仅需完成凭证的发布而无需在验证方每一次的验证中向验证方提供证明。其次，该方式保证了凭证内非验证所需信息的隐私性，将其中部分声明进行哈希处理，进而生成可验证陈述，由于哈希函数计算速度快、防碰撞与单向性特点保障使用哈希函数进行验证的方式真实可信。

图7为上述实施例的网络部署示意图。

如图8所示，本申请另一方面提供了一种基于区块链的企业数字身份管理方法，基于上述实施例的企业数字身份管理和图7所示的网络部署，包括步骤：

S1、分布式数字身份标识符初始化阶段：各机构节点在企业数字身份管理系统中进行注册，得到各机构的公开分布式数字身份标识符(DID)，所述各机构节点包括工商局节点、会计师事务所节点、技术监管局节点、税务局节点、银行节点、第三方征信机构节点、企业节点；

S2、企业登记注册数字身份阶段：企业节点根据相关规定向工商局节点、会计师事务所节点、技术监督局节点、税务局节点、银行节点、第三方征信机构节点发出注册登记请求，所述工商局节点、会计师事务所节点、技术监督局节点、税务局节点、银行节点、第三方征信机构节点审查后向企业节点颁发相应的可验证凭证，同时将相应的可验证凭证的哈希值存储于分布式账本；

S3、企业开展贸易活动阶段：具有合作意向的双方企业节点相互发送第三方征信机构节点开具的征信报告凭证，接着在达成贸易共识并签订贸易合同后，双方企业节点将贸易合同以可验证凭证形式签名背书后颁发给对方企业节点；双方企业节点贸易过程中双方企业节点均以可验证凭证形式向对方企业节点颁发相应证明，同时将相应证明的哈希值存储于分布式账本；

S4、企业开展贸易金融业务阶段：供应链中的核心企业将贷款请求所需的材料以可验证凭证或可验证陈述形式发送至银行节点，所述银行节点审核后执行拨款操作，向供应链中的可流动资金不足以支付货款的企业拨付款项，同时将拨付款项详细以可验证凭证形式颁发给企业B节点，且将该可验证凭证的哈希值存储于分布式账本；

S5、企业登记变更或注销阶段：企业节点将变更或注销所需材料以可验证凭证或可验证陈述形式发送至工商局节点进行审核，所述工商局节点审核后将变更后的企业营业执照以可验证凭证形式发送至企业节点，同时将该可验证凭证的哈希值存储于分布式账本。

本实施例利用了区块链技术、自我主权身份技术、零知识证明技术、非对称加密等技术，将数字身份管理与企业级业务操作相结合，简化企业在注册、交易、变更、注销阶段的信息登记与管理过程，为企业提供自主可控的信息管理与数据共享方案，实现隐私数据保护与身份可信证明。

具体地，如图9所示，在本发明的优选实施例中，由于政府部门是为用户颁发证明的基本组织，首先应在数字身份网络中注册政府部门机构，因此，分布式数字身份标识符初始化阶段具体包括步骤：

S1.a:工商局、会计师事务所、技术监管局、税务局、银行、第三方征信机构在数字身份网络中进行注册，得到各机构的公开的分布式数字身份标识符(DID)；

S1.b:企业在数字身份网络中进行注册，生成分布式数字身份标识符(DID)，用于后续政府部门向其颁发凭证。

具体地，所述企业登记注册数字身份阶段具体包括步骤：

S2.a:企业节点向工商局节点发出注册请求，并提交相关申请表；

S2.b:工商局节点审核申请，通过后以可验证凭证形式为企业节点颁发相关凭证，同时将该可验证凭证的哈希值存储于分布式账本；

S2.c:企业节点向会计师事务所节点提出注册请求；

S2.d:会计师事务所节点查询企业资金情况，并以可验证凭证形式颁发银行询证函，同时将该可验证凭证的哈希值存储于分布式账本；

S2.e:企业节点获取工商局节点凭证模板，包括登记申请表、股东或发起人名单、懂事经理监理情况、法人代表登记表、指定代表或委托代理人登记表，填写后与公司章程、验资报告文件一同提交至工商局节点；

S2.f:工商局节点审核数据并以可验证凭证形式为企业节点颁发营业执照，同时将该可验证凭证的哈希值存储于分布式账本；

S2.g:企业节点凭营业执照向技术监督局节点提出组织机构代码证申请；

S2.h:技术监督局节点以可验证凭证形式向企业节点颁发组织机构代码证，同时将该可验证凭证的哈希值存储于分布式账本；

S2.i:企业节点凭营业执照向税务局节点提出税务登记证申请；

S2.j:税务局节点以可验证凭证形式向企业节点颁发税务登记证，同时将该可验证凭证的哈希值存储于分布式账本；

S2.k:企业节点凭营业执照、组织机构代码证、税务证明向银行节点提出开户申请；

S2.l:银行节点为企业节点办理开户登记并以可验证凭证形式将开户信息颁发给企业，同时将该可验证凭证的哈希值存储于分布式账本；

S2.m:企业节点在第三方征信机构节点处登记，提交其营业执照凭证、组织机构代码证凭证、税务证明凭证、银行开户凭证、法人信息；

S2.n:第三方征信机构节点根据以上凭证为企业节点初步生成征信报告凭证，同时将征信报告凭证的哈希值存储于分布式账本。

具体地，所述企业开展贸易活动阶段具体包括步骤：

S3.a:若企业A节点与企业B节点具有合作意向，企业A节点向企业B节点发送第三方征信机构开具的征信报告凭证；

S3.b:企业B节点向企业A节点发送第三方征信机构节点开具的征信报告凭证；

S3.c:达成贸易合作共识的企业A节点与企业B节点签订贸易合同，该贸易合同以可验证凭证形式形成针对贸易合作相关事项的证明，企业A节点生成凭证并进行签名背书后颁发给企业B节点，同时将该可验证凭证的哈希值存储于分布式账本；

S3.d:企业B节点同样生成针对该贸易合同的凭证并进行签名背书后颁发给企业A节点，同时将该可验证凭证的哈希值存储于分布式账本；

S3.e:假设企业A节点向企业B节点发货，企业B节点在收到货物后，依据货物型号及数量以可验证凭证形式向企业A节点颁发货物运输证明，同时该货物运输证明的哈希值存储于分布式账本；

S3.f：假设企业B节点向企业A节点支付货款，企业A节点在收到货款后，依据货款金额及货物运输证明以可验证凭证形式向企业B节点颁发资金支付证明，同时将该资金支付证明的哈希值存储于分布式账本；

S3.g:若贸易活动中产生交易变更情况，则由企业节点以可验证凭证形式对交易变更条款进行记录，对该可验证凭证签名背书并存储于分布式账本。

具体地，所述企业开展贸易金融业务阶段具体包括步骤：

S4.a:假设企业A节点为供应链中的核心企业，企业B节点可流动资金不足以支付货款，则可开展供应链金融业务，企业B节点向企业A节点提出贷款请求；

S4.b:企业A节点向银行节点提出贷款请求；

S4.c:银行节点收到贷款请求后要求企业A节点出示相关证明信息，包括营业执照、资产情况、企业B节点相关生产经营记录、征信报告；

S4.d:企业A节点将上述相关证明信息以可验证凭证或可验证陈述形式发送至银行节点；

S4.e:银行节点审核所述可验证凭证或可验证陈述；

S4.f:审核通过后银行节点执行拨款操作，向企业B节点拨付款项；

S4.g.银行节点以可验证凭证形式生成该笔款项的详细描述信息，该可验证凭证颁发给企业B节点，并将该可验证凭证的哈希值存储于分布式账本。

具体地，所述企业登记变更或注销阶段具体包括步骤：

S5.a:企业节点向工商局节点提交企业营业执照变更申请；

S5.b:工商局节点请求企业节点提供现有身份证明材料；

S5.c:企业节点将所需材料，包括营业执照、组织机构代码证、税务证明、银行开户证明可验证凭证、征信报告以凭证本身或进一步生成的可验证陈述形式发送至工商局节点；

S5.d:工商局节点审核以上凭证或陈述，审核通过则按企业营业执照变更请求为其进行登记；

S5.e:工商局节点将变更后的企业营业执照以可验证凭证形式发送至企业节点，同时该可验证凭证的哈希值存储于分布式账本；

S5.f:企业节点注销过程在进行国家规定相关注销手续后由企业节点声明停用企业节点的分布式数字身份标识符；

S5.g:为该企业节点签发可验证凭证的相关机构节点为该企业节点发布的凭证签发凭证无效证明。

上述实施例的基于区块链的企业数字身份管理方法，通过将传统中心化管理或联合管理的数字身份转变为自我主权身份，使身份主体真正掌握数字身份的管理权。由于数字身份由身份主体控制，其相关身份数据也由身份主体进行保存，当第三方请求主体提供身份时可通过零知识证明方式保护身份主体数据隐私。传统数字身份管理侧重于对个人身份的管理，本实施例的企业等组织同样拥有其数字身份，但该身份依托于组织内个体进行操作，使用数字身份可为企业注册、交易、贷款、注销等流程提供便利的操作管理。本实施例使用数字身份管理相关身份数据，且通过密码学技术保证数据安全与隐私，降低身份管理成本，同时缓解数据孤岛问题，确保业务操作不受时间、空间限制，不易伪造、方便保存管理。

如图10所示，本申请另一优选实施例提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的基于区块链的企业数字身份管理方法。

本申请另一优选实施例提供了一种存储介质，所述存储介质包括存储的程序，在所述程序运行时控制所述存储介质所在的设备执行所述的基于区块链的企业数字身份管理方法。

可见，相比现有技术，本申请具有如下优势：

1、针对企业级数字身份管理场景，提供便捷的数字化管理方案，实现企业注册、生产经营、信息变更、企业注销等环节的高效数据管理。

2、利用密码学技术，对企业贸易信息进行加密处理，并借助可验证凭证向相关方出示企业身份证明，在隐私保护的同时达到验证数据真实性的效果。

3、利用区块链分布式账本技术，使用分布式数字身份打破信息孤岛，实现数据共享。

4、为企业等组织身份管理提供自主可控方案，减少纸质证明的使用，减少线下在各部门办理业务的时间成本。

5、对政府监管部门提供便利的监管途径。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例方法所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个或者多个计算设备可读取存储介质中。基于这样的理解，本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台计算设备(可以是个人计算机，服务器，移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)，磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (10)

1.一种基于区块链的企业数字身份管理系统，其特征在于，包括：

动态数字身份生命周期管理子系统，用于身份的注册、数据更新、数据查询以及身份注销环节，分布式账本保存身份信息修改历史，并将身份更新为最近一次修改状态，提供了身份记录的可追溯性；

数字身份授权管理子系统，用于当第三方请求访问该企业数字身份时对第三方访问范围及时间进行授权；以及，因此需由该企业内成员管理组织数字身份，即将该企业的个人数字身份与组织数字身份间形成关联管理，由组织数字身份授权个人对其进行不同权限范围下的管理；供使用者查询数字身份已授权范围，使用户了解该身份在不同应用场景下的使用情况；

身份数据存储子系统，用于用户钱包存储、明文分布式账本存储、密文分布式账本存储，其中数字身份信息存储于用户钱包，并可由用户自行选择是否将数据上链存储，用户钱包数据本地存储，从而防止数据由第三方获取并进一步共享；

可验证凭证管理子系统，用于可验证凭证的颁发、存储与使用，其中规定基于零知识证明的可验证凭证颁发与验证流程，从而实现提供隐私保护功能的身份证明。

2.根据权利要求1所述的基于区块链的企业数字身份管理系统，其特征在于，

所述可验证凭证为数字身份提供数据来源与数据内容均可查证的身份验证方案，所述可验证凭证根据应用场景生成，其内容包含凭证元数据、声明数据集、证明信息；所述凭证元数据包括凭证的发布者、发布时间、凭证类型；所述声明数据集即在特定场景下所涉及的用户数字身份信息；所述证明信息为所述凭证元数据与声明数据集进行背书签名，包含签名类型、签名值、创建时间与创建者信息。

3.根据权利要求1所述的基于区块链的企业数字身份管理系统，其特征在于，所述可验证凭证的颁发过程包括步骤：

颁发者生成用户声明字段，将各个字段进行哈希；

哈希后的数据通过默克尔树形式形成claim_Hash，并与凭证ID及其他凭证元数据一起再次进行哈希，形成Credentials_Hash；

接着经凭证颁发者私钥签名得到签名值，并将该签名值附加至可验证凭证中，形成完整可验证凭证的颁发过程。

4.根据权利要求1所述的基于区块链的企业数字身份管理系统，其特征在于，

当验证场景所需数据跨多个可验证凭证内容时，持有者通过可验证凭证生成可验证陈述，进一步提供包含多个凭证内容的身份证明，所述可验证陈述内容包含陈述元数据如凭证类型，id及使用条款；可验证凭证数据包括凭证id，声明数据集；证明信息为所述陈述元数据与可验证凭证数据进行签名背书，包括签名类型、签名值、创建时间与创建者信息。

5.根据权利要求1所述的基于区块链的企业数字身份管理系统，其特征在于，所述可验证凭证与可验证陈述的验证过程均借助零知识证明，在未获取声明数据明文的情况下达到验证凭证与声明真实性的目的，包括步骤：

持有者提供可验证凭证/陈述，其中允许验证方查看的声明以明文方式展现，其余声明以哈希形式出现；

验证方依据凭证生成过程将明文数据再次哈希，将得到的全部凭证内哈希值以默克尔树形式形成claim_Hash，并与凭证ID及其他凭证元数据一起再次进行哈希，形成第一哈希值Credentials_Hash；

与此同时，验证者提取可验证凭证签名值，并通过凭证颁发者的分布式数字身份标识符从分布式账本获取颁发者公钥，利用该公钥解密签名值，得到该可验证凭证的第二哈希值Credentials_Hash；

若第一哈希值Credentials_Hash和第二哈希值Credentials_Hash一致，则可认为可验证凭证/陈述持有者所提供凭证/陈述及其所包含声明值真实可信。

6.一种基于区块链的企业数字身份管理方法，其特征在于，包括步骤：

分布式数字身份标识符初始化阶段：各机构节点在企业数字身份管理系统中进行注册，得到各机构的公开分布式数字身份标识符，所述各机构节点包括工商局节点、会计师事务所节点、技术监管局节点、税务局节点、银行节点、第三方征信机构节点、企业节点；

企业登记注册数字身份阶段：企业节点根据相关规定向工商局节点、会计师事务所节点、技术监督局节点、税务局节点、银行节点、第三方征信机构节点发出注册登记请求，所述工商局节点、会计师事务所节点、技术监督局节点、税务局节点、银行节点、第三方征信机构节点审查后向企业节点颁发相应的可验证凭证，同时将相应的可验证凭证的哈希值存储于分布式账本；

企业开展贸易活动阶段：具有合作意向的双方企业节点相互发送第三方征信机构节点开具的征信报告凭证，接着在达成贸易共识并签订贸易合同后，双方企业节点将贸易合同以可验证凭证形式签名背书后颁发给对方企业节点；双方企业节点贸易过程中双方企业节点均以可验证凭证形式向对方企业节点颁发相应证明，同时将相应证明的哈希值存储于分布式账本；

企业开展贸易金融业务阶段：供应链中的核心企业将贷款请求所需的材料以可验证凭证或可验证陈述形式发送至银行节点，所述银行节点审核后执行拨款操作，向供应链中的可流动资金不足以支付货款的企业拨付款项，同时将拨付款项详细以可验证凭证形式颁发给企业B节点，且将该可验证凭证的哈希值存储于分布式账本；

企业登记变更或注销阶段：企业节点将变更或注销所需材料以可验证凭证或可验证陈述形式发送至工商局节点进行审核，所述工商局节点审核后将变更后的企业营业执照以可验证凭证形式发送至企业节点，同时将该可验证凭证的哈希值存储于分布式账本。

7.根据权利要求6所述的基于区块链的企业数字身份管理方法，其特征在于，所述企业登记注册数字身份阶段具体包括步骤：

企业节点向工商局节点发出注册请求，并提交相关申请表；

工商局节点审核申请，通过后以可验证凭证形式为企业节点颁发相关凭证，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点向会计师事务所节点提出注册请求；

会计师事务所节点查询企业资金情况，并以可验证凭证形式颁发银行询证函，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点获取工商局节点凭证模板，包括登记申请表、股东或发起人名单、懂事经理监理情况、法人代表登记表、指定代表或委托代理人登记表，填写后与公司章程、验资报告文件一同提交至工商局节点；

工商局节点审核数据并以可验证凭证形式为企业节点颁发营业执照，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点凭营业执照向技术监督局节点提出组织机构代码证申请；

技术监督局节点以可验证凭证形式向企业节点颁发组织机构代码证，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点凭营业执照向税务局节点提出税务登记证申请；

税务局节点以可验证凭证形式向企业节点颁发税务登记证，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点凭营业执照、组织机构代码证、税务证明向银行节点提出开户申请；

银行节点为企业节点办理开户登记并以可验证凭证形式将开户信息颁发给企业，同时将该可验证凭证的哈希值存储于分布式账本；

企业节点在第三方征信机构节点处登记，提交其营业执照凭证、组织机构代码证凭证、税务证明凭证、银行开户凭证、法人信息；

第三方征信机构节点根据以上凭证为企业节点初步生成征信报告凭证，同时将征信报告凭证的哈希值存储于分布式账本。

8.根据权利要求6所述的基于区块链的企业数字身份管理方法，其特征在于，所述企业开展贸易活动阶段具体包括步骤：

若企业A节点与企业B节点具有合作意向，企业A节点向企业B节点发送第三方征信机构开具的征信报告凭证；

企业B节点向企业A节点发送第三方征信机构节点开具的征信报告凭证；

达成贸易合作共识的企业A节点与企业B节点签订贸易合同，该贸易合同以可验证凭证形式形成针对贸易合作相关事项的证明，企业A节点生成凭证并进行签名背书后颁发给企业B节点，同时将该可验证凭证的哈希值存储于分布式账本；

企业B节点同样生成针对该贸易合同的凭证并进行签名背书后颁发给企业A节点，同时将该可验证凭证的哈希值存储于分布式账本；

假设企业A节点向企业B节点发货，企业B节点在收到货物后，依据货物型号及数量以可验证凭证形式向企业A节点颁发货物运输证明，同时该货物运输证明的哈希值存储于分布式账本；

假设企业B节点向企业A节点支付货款，企业A节点在收到货款后，依据货款金额及货物运输证明以可验证凭证形式向企业B节点颁发资金支付证明，同时将该资金支付证明的哈希值存储于分布式账本；

若贸易活动中产生交易变更情况，则由企业节点以可验证凭证形式对交易变更条款进行记录，对该可验证凭证签名背书并存储于分布式账本。

9.根据权利要求6所述的基于区块链的企业数字身份管理方法，其特征在于，所述企业开展贸易金融业务阶段具体包括步骤：

假设企业A节点为供应链中的核心企业，企业B节点可流动资金不足以支付货款，则可开展供应链金融业务，企业B节点向企业A节点提出贷款请求；

企业A节点向银行节点提出贷款请求；

银行节点收到贷款请求后要求企业A节点出示相关证明信息，包括营业执照、资产情况、企业B节点相关生产经营记录、征信报告；

企业A节点将上述相关证明信息以可验证凭证或可验证陈述形式发送至银行节点；

银行节点审核所述可验证凭证或可验证陈述；

审核通过后银行节点执行拨款操作，向企业B节点拨付款项；

银行节点以可验证凭证形式生成该笔款项的详细描述信息，该可验证凭证颁发给企业B节点，并将该可验证凭证的哈希值存储于分布式账本。

10.根据权利要求6所述的基于区块链的企业数字身份管理方法，其特征在于，所述企业登记变更或注销阶段具体包括步骤：

企业节点向工商局节点提交企业营业执照变更申请；

工商局节点请求企业节点提供现有身份证明材料；

企业节点将所需材料，包括营业执照、组织机构代码证、税务证明、银行开户证明可验证凭证、征信报告以凭证本身或进一步生成的可验证陈述形式发送至工商局节点；

工商局节点审核以上凭证或陈述，审核通过则按企业营业执照变更请求为其进行登记；

工商局节点将变更后的企业营业执照以可验证凭证形式发送至企业节点，同时该可验证凭证的哈希值存储于分布式账本；

企业节点注销过程在进行国家规定相关注销手续后由企业节点声明停用企业节点的分布式数字身份标识符；

为该企业节点签发可验证凭证的相关机构节点为该企业节点发布的凭证签发凭证无效证明。

Images