本發(fā)明涉及信息安全領(lǐng)域。

背景技術(shù)：

目前，基于身份標(biāo)識(shí)的IBC(Identity-Based Cryptograph)密碼技術(shù)已得到廣泛應(yīng)用，該技術(shù)使用的是非對(duì)稱密碼體系，加密與解密使用兩套不同的密鑰，用戶的公鑰就是他的身份標(biāo)識(shí)ID，比如姓名、email地址、手機(jī)號(hào)等，因此具有密鑰管理簡單的優(yōu)點(diǎn)。

IBC密碼技術(shù)體系中，由于用戶的私鑰是由中心化部署的密鑰分發(fā)中心KDC(Key Distribution Center)生成并管理，因此KDC保存了用戶私鑰的備份，即IBC密鑰托管問題。該問題導(dǎo)致了IBC密碼技術(shù)無法滿足《電子簽名法》的要求，不能應(yīng)用于開放的網(wǎng)絡(luò)環(huán)境中。

該體系中，如果用戶密鑰需要更新，在KDC系統(tǒng)參數(shù)不變的情況下，用戶公鑰，如姓名、email等，則需額外添加或修改諸如日期等相關(guān)參數(shù)，以實(shí)現(xiàn)私鑰的更新。這將導(dǎo)致密鑰更新后用戶公鑰自證性降低的問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種數(shù)字身份標(biāo)識(shí)管理方法及系統(tǒng),目的在于解決KDC作為中心化的密鑰分發(fā)中心，如被攻擊將造成整個(gè)應(yīng)用體系安全性降低、IBC密碼技術(shù)體系的密鑰托管及密鑰更新后標(biāo)識(shí)自證性降低的問題。

本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下：一種數(shù)字身份標(biāo)識(shí)管理方法，它是由以下過程實(shí)現(xiàn)：

S1、建立區(qū)塊鏈應(yīng)用系統(tǒng)，部署多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)公開、共享的賬本，每個(gè)賬本中均記錄多個(gè)區(qū)塊；

S2、建立身份標(biāo)識(shí)管理模式，在每個(gè)賬本中同步記錄各用戶身份標(biāo)識(shí)ID的生成、注銷和更新操作。

進(jìn)一步，所述S1的具體實(shí)現(xiàn)過程包括：

S11、建立P2P網(wǎng)絡(luò)，部署多個(gè)節(jié)點(diǎn)；

S12、每個(gè)節(jié)點(diǎn)均維護(hù)一個(gè)公開、共享的賬本，賬本中記錄多個(gè)區(qū)塊，每個(gè)區(qū)塊記錄多條操作或交易數(shù)據(jù)；

S13、每個(gè)節(jié)點(diǎn)均由各用戶或第三方自主進(jìn)行維護(hù)。

進(jìn)一步，所述S2的具體實(shí)現(xiàn)過程包括：

S21、用戶生成的身份標(biāo)識(shí)ID及附加信息向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將新生成的用戶標(biāo)識(shí)ID及附加信息記錄在區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID生成操作結(jié)束；

S22、用戶身份標(biāo)識(shí)ID注銷請(qǐng)求向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將密鑰對(duì)注銷請(qǐng)求記錄在區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷操作結(jié)束；

S23、依次執(zhí)行用戶身份標(biāo)識(shí)ID注銷操作和用戶身份標(biāo)識(shí)ID生成操作實(shí)現(xiàn)用戶密鑰對(duì)的更新。

進(jìn)一步，所述S21的具體實(shí)現(xiàn)過程包括：

S211、用戶建立KDC系統(tǒng)，選擇身份標(biāo)識(shí)ID，并通過KDC生成與所述ID相對(duì)應(yīng)的私鑰s，即公私鑰對(duì)為(ID，s)，私鑰s由用戶秘密保存；

S212、通過私鑰s計(jì)算簽名Sign(ID，t，m，Hash(r))，

其中，

ID為身份標(biāo)識(shí)；

t為當(dāng)前操作時(shí)間；

m為特定信息，具體為隨機(jī)數(shù)或用戶自定義信息；

r為隨機(jī)數(shù)，秘密保存，用于用戶丟失私鑰后，證明自身身份的證據(jù)；

Hash(r)為標(biāo)準(zhǔn)Hash函數(shù)；

S213、將ID，t，m，Hash(r)，Sign(ID，t，m，Hash(r))及KDC公開參數(shù)params作為一筆操作記錄向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布；

S214、其他節(jié)點(diǎn)接收到操作記錄，使用發(fā)布者的公鑰ID及t、m、Hash(r)信息驗(yàn)證簽名Sign(ID，t，m，Hash(r))是否正確，同時(shí)驗(yàn)證t是否與當(dāng)前時(shí)間相一致；

S215、根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID生成成功。

進(jìn)一步，所述S22的具體實(shí)現(xiàn)過程包括：

S221、用戶采用私鑰s對(duì)該用戶ID、當(dāng)前操作時(shí)間t和注銷原因w進(jìn)行簽名Sign(ID，t，w)，并將ID，t，w及Sign(n，t，w)作為一條操作記錄向全部節(jié)點(diǎn)發(fā)布；

S222、如果用戶私鑰s丟失，則用戶將ID、秘密保存的隨機(jī)數(shù)r及注銷原因w作為一條記錄向全部節(jié)點(diǎn)發(fā)布；

S223、根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷成功。

本發(fā)明的有益效果是：本發(fā)明結(jié)合區(qū)塊鏈技術(shù)，實(shí)現(xiàn)去中心化KDC、分布式的密鑰分發(fā)系統(tǒng)，解決了如被攻擊將造成整個(gè)應(yīng)用體系安全性降低、IBC密碼技術(shù)體系的密鑰托管及密鑰更新后標(biāo)識(shí)自證性降低的問題。

本發(fā)明還提出一種數(shù)字身份標(biāo)識(shí)管理系統(tǒng)，該系統(tǒng)包括：

區(qū)塊鏈應(yīng)用系統(tǒng)建立模塊，用于部署多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)公開、共享的賬本，每個(gè)賬本中均記錄多個(gè)區(qū)塊；

用戶身份標(biāo)識(shí)管理模式建立模塊，用于在每個(gè)賬本中同步記錄各用戶身份標(biāo)識(shí)ID生成、注銷和更新操作。

進(jìn)一步，所述區(qū)塊鏈應(yīng)用系統(tǒng)建立模塊包括：

節(jié)點(diǎn)部署模塊，用于建立P2P網(wǎng)絡(luò)，部署多個(gè)節(jié)點(diǎn)；

數(shù)據(jù)記錄模塊，用于采用一對(duì)一的方式，令每個(gè)節(jié)點(diǎn)維護(hù)一個(gè)公開、共享的賬本，賬本中記錄多個(gè)區(qū)塊，每個(gè)區(qū)塊記錄多條操作或交易數(shù)據(jù)；

自主維護(hù)模塊，用于各用戶或第三方自主對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行維護(hù)。

進(jìn)一步，所述用戶身份標(biāo)識(shí)管理模式建立模塊包括：

用戶標(biāo)識(shí)ID生成模塊，用于用戶生成的身份標(biāo)識(shí)ID及附加信息向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將新生成的用戶標(biāo)識(shí)ID及附加信息記錄在區(qū)塊鏈中，用戶標(biāo)識(shí)ID生成操作結(jié)束；

用戶身份標(biāo)識(shí)ID注銷模塊，用于用戶身份標(biāo)識(shí)ID注銷請(qǐng)求向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將注銷請(qǐng)求記錄在區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷操作結(jié)束；

用戶身份標(biāo)識(shí)ID更新模塊，用于依次執(zhí)行用戶身份標(biāo)識(shí)ID注銷操作和用戶身份標(biāo)識(shí)ID生成操作實(shí)現(xiàn)用戶身份標(biāo)識(shí)ID的更新。

進(jìn)一步，所述用戶身份標(biāo)識(shí)ID生成模塊包括：

公私鑰對(duì)生成模塊，用于用戶建立KDC系統(tǒng)，選擇身份標(biāo)識(shí)ID，并通過KDC生成與所述ID相對(duì)應(yīng)的私鑰s，即公私鑰對(duì)為(ID，s)；

簽名計(jì)算模塊，用于通過私鑰s計(jì)算簽名Sign(ID，t，m，Hash(r))，

其中，

ID為身份標(biāo)識(shí)；

t為當(dāng)前操作時(shí)間；

m為特定信息，具體為隨機(jī)數(shù)或用戶自定義信息；

r為隨機(jī)數(shù)，秘密保存，用于用戶丟失私鑰后，證明自身身份的證據(jù)；

Hash(r)為標(biāo)準(zhǔn)Hash函數(shù)；

身份標(biāo)識(shí)ID生成操作記錄發(fā)布模塊，用于將ID，t，m，Hash(r)，Sign(ID，t，m，Hash(r))及KDC公開參數(shù)params作為一筆操作記錄向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布；

驗(yàn)證模塊，用于當(dāng)其他節(jié)點(diǎn)接收到操作記錄，使用發(fā)布者的公鑰ID及t、m、Hash(r)信息驗(yàn)證簽名Sign(ID，t，m，Hash(r))是否正確，同時(shí)驗(yàn)證t是否與當(dāng)前時(shí)間相一致；

用戶身份標(biāo)識(shí)ID生成處理模塊，用于根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID生成成功。

進(jìn)一步，所述用戶身份標(biāo)識(shí)ID注銷模塊包括：

用戶身份標(biāo)識(shí)ID注銷操作記錄發(fā)布模塊，用于用戶采用私鑰s對(duì)該用戶ID、當(dāng)前操作時(shí)間t和注銷原因w進(jìn)行簽名Sign(ID，t，w)，并將ID，t，w及Sign(n，t，w)作為一條操作記錄向全部節(jié)點(diǎn)發(fā)布；

私鑰丟失操作記錄發(fā)布模塊，用于當(dāng)用戶私鑰s丟失，則用戶將ID、秘密保存的隨機(jī)數(shù)r及注銷原因w作為一條記錄向全部節(jié)點(diǎn)發(fā)布；

用戶身份標(biāo)識(shí)ID注銷處理模塊，用于根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷成功。

本發(fā)明的有益效果是：本發(fā)明結(jié)合區(qū)塊鏈技術(shù)，實(shí)現(xiàn)去中心化KDC、分布式的密鑰分發(fā)系統(tǒng)，解決了如被攻擊將造成整個(gè)應(yīng)用體系安全性降低、IBC密碼技術(shù)體系的密鑰托管及密鑰更新后標(biāo)識(shí)自證性降低的問題。

附圖說明

圖1為本發(fā)明實(shí)施例所述的數(shù)字身份標(biāo)識(shí)管理方法的流程圖；

圖2為本發(fā)明實(shí)施例所述的建立區(qū)塊鏈應(yīng)用系統(tǒng)的流程圖；

圖3為本發(fā)明實(shí)施例所述的建立身份標(biāo)識(shí)管理模式的流程圖；

圖4為本發(fā)明實(shí)施例所述的用戶身份標(biāo)識(shí)ID生成的流程圖；

圖5為本發(fā)明實(shí)施例所述的用戶身份標(biāo)識(shí)ID注銷的流程圖；

圖6為本發(fā)明實(shí)施例所述的數(shù)字身份標(biāo)識(shí)管理系統(tǒng)的原理示意圖；

圖7為本發(fā)明實(shí)施例所述的區(qū)塊鏈應(yīng)用系統(tǒng)建立模塊1的原理示意圖；

圖8為本發(fā)明實(shí)施例所述的用戶身份標(biāo)識(shí)管理模式建立模塊2的原理示意圖；

圖9為本發(fā)明實(shí)施例所述的用戶身份標(biāo)識(shí)ID生成模塊6的原理示意圖；

圖10為本發(fā)明實(shí)施例所述的用戶身份標(biāo)識(shí)ID注銷模塊7的原理示意圖。

附圖中，各標(biāo)號(hào)所代表的部件列表如下：

1、區(qū)塊鏈應(yīng)用系統(tǒng)建立模塊，2、用戶身份標(biāo)識(shí)管理模式建立模塊，3、節(jié)點(diǎn)部署模塊，4、數(shù)據(jù)記錄模塊，5、自主維護(hù)模塊，6、用戶身份標(biāo)識(shí)ID生成模塊，7、用戶身份標(biāo)識(shí)ID注銷模塊，8、用戶身份標(biāo)識(shí)ID更新模塊，9、公私鑰對(duì)生成模塊，10、簽名計(jì)算模塊，11、用戶身份標(biāo)識(shí)ID生成操作記錄發(fā)布模塊，12、驗(yàn)證模塊，13、用戶身份標(biāo)識(shí)ID生成處理模塊，14、用戶身份標(biāo)識(shí)ID注銷操作記錄發(fā)布模塊，15、私鑰丟失操作記錄發(fā)布模塊，16、用戶身份標(biāo)識(shí)ID注銷處理模塊。

具體實(shí)施方式

以下結(jié)合附圖對(duì)本發(fā)明的原理和特征進(jìn)行描述，所舉實(shí)例只用于解釋本發(fā)明，并非用于限定本發(fā)明的范圍。

實(shí)施例1

如圖1所示，本實(shí)施例提出了一種數(shù)字身份標(biāo)識(shí)管理方法，它是由以下過程實(shí)現(xiàn)：

S1、建立區(qū)塊鏈應(yīng)用系統(tǒng)，部署多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)公開、共享的賬本，每個(gè)賬本中均記錄多個(gè)區(qū)塊；

S2、建立身份標(biāo)識(shí)管理模式，在每個(gè)賬本中同步記錄各用戶身份標(biāo)識(shí)ID的生成、注銷和用更新操作。

其中，如圖2所示，區(qū)塊鏈應(yīng)用系統(tǒng)建立的過程為：

S11、建立P2P網(wǎng)絡(luò)，部署多個(gè)節(jié)點(diǎn)；

S12、每個(gè)節(jié)點(diǎn)均維護(hù)一個(gè)公開、共享的賬本，賬本中記錄多個(gè)區(qū)塊，每個(gè)區(qū)塊記錄多條操作或交易數(shù)據(jù)；

S13、每個(gè)節(jié)點(diǎn)均由各用戶或第三方自主進(jìn)行維護(hù)。

如圖3所示，身份標(biāo)識(shí)管理模式建立的過程為；

S21、用戶生成的身份標(biāo)識(shí)ID及附加信息向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將新生成的用戶標(biāo)識(shí)ID及附加信息記錄在區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID生成操作結(jié)束；

S22、用戶的身份標(biāo)識(shí)ID注銷請(qǐng)求向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將注銷請(qǐng)求記錄在區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷操作結(jié)束；

S23、依次執(zhí)行用戶身份標(biāo)識(shí)ID注銷操作和用戶身份標(biāo)識(shí)ID生成操作實(shí)現(xiàn)用戶身份標(biāo)識(shí)ID的更新。

身份標(biāo)識(shí)管理模式的建立包括了身份標(biāo)識(shí)ID生成、注銷和更新的操作過程，以下分別對(duì)身份標(biāo)識(shí)ID生成和注銷操作過程進(jìn)行詳細(xì)說明：

如圖4所示，所述用戶身份標(biāo)識(shí)ID生成過程為：

S211、用戶建立KDC系統(tǒng)，并選擇身份標(biāo)識(shí)ID，通過KDC生成與所述ID相對(duì)應(yīng)的私鑰s，即公私鑰對(duì)為(ID，s)，私鑰s由用戶秘密保存；

S212、通過私鑰s計(jì)算簽名Sign(ID，t，m，Hash(r))，

其中，

ID為身份標(biāo)識(shí)；

t為當(dāng)前操作時(shí)間；

m為特定信息，具體為隨機(jī)數(shù)或用戶自定義信息；

r為隨機(jī)數(shù)，秘密保存，用于用戶丟失私鑰后，證明自身身份的證據(jù)；

Hash(r)為標(biāo)準(zhǔn)Hash函數(shù)；

S213、將ID，t，m，Hash(r)，Sign(ID，t，m，Hash(r))及KDC公開參數(shù)params作為一筆操作記錄向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布；

S214、其他節(jié)點(diǎn)接收到操作記錄，使用發(fā)布者的公鑰ID及t、m、Hash(r)信息驗(yàn)證簽名Sign(ID，t，m，Hash(r))是否正確，同時(shí)驗(yàn)證t是否與當(dāng)前時(shí)間相一致；

S215、根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID生成成功。

如圖5所示，用戶身份標(biāo)識(shí)ID注銷的過程為：

S221、用戶采用私鑰s對(duì)該用戶ID、當(dāng)前操作時(shí)間t和注銷原因w進(jìn)行簽名Sign(ID，t，w)，并將ID，t，w及Sign(n，t，w)作為一條操作記錄向全部節(jié)點(diǎn)發(fā)布；

S222、如果用戶私鑰s丟失，則用戶將ID、秘密保存的隨機(jī)數(shù)r及注銷原因w作為一條記錄向全部節(jié)點(diǎn)發(fā)布；

S223、根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷成功。

本實(shí)施例所述的數(shù)字身份標(biāo)識(shí)管理方法結(jié)合區(qū)塊鏈技術(shù)，實(shí)現(xiàn)去中心化KDC、分布式的密鑰分發(fā)系統(tǒng)，解決了如被攻擊將造成整個(gè)應(yīng)用體系安全性降低、IBC密碼技術(shù)體系的密鑰托管及密鑰更新后標(biāo)識(shí)自證性降低的問題。

沒有中心KDC，每個(gè)用戶獨(dú)立管理自己的私有KDC并生成密鑰對(duì)，保證了用戶密鑰對(duì)只有用戶自己擁有，滿足“電子簽名法”的要求，解決了IBC密碼技術(shù)體系存在的密鑰托管問題。

用戶私鑰需要更新時(shí)，在有中心化KDC的情況下，因?yàn)镵DC密鑰及參數(shù)一般不能更改，只能對(duì)用戶ID添加諸如日期等附件參數(shù)，實(shí)現(xiàn)用戶私鑰的更新，這樣勢(shì)必降低了用戶公鑰標(biāo)識(shí)ID的自證性。本發(fā)明由于KDC屬于用戶私有，用戶只需重新生成私有KDC并重新對(duì)用戶公鑰ID計(jì)算私鑰，由于私鑰更新后用戶ID依然不變，解決了密鑰更新后標(biāo)識(shí)自證性降低的問題。

用戶自己維護(hù)證書信任體系，即使半數(shù)以下用戶合謀攻擊，也無法攻擊成功。同時(shí)由于沒有中心化KDC系統(tǒng)，用戶也無需向KDC繳納任何費(fèi)用。

區(qū)塊鏈中所有操作記錄均不可更改或刪除，任何操作均可審計(jì)追溯，安全性、可靠性由全網(wǎng)節(jié)點(diǎn)共同維護(hù)。

實(shí)施例2

如圖6所示，本實(shí)施例提出了一種數(shù)字身份標(biāo)識(shí)管理系統(tǒng)，該系統(tǒng)包括：

區(qū)塊鏈應(yīng)用系統(tǒng)建立模塊1，用于部署多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)公開、共享的賬本，每個(gè)賬本中均記錄多個(gè)區(qū)塊；

用戶身份標(biāo)識(shí)管理模式建立模塊2，用于在每個(gè)賬本中同步記錄各用戶身份標(biāo)識(shí)ID生成、注銷和更新操作。

其中，如圖7所示，所述區(qū)塊鏈應(yīng)用系統(tǒng)建立模塊1包括：

節(jié)點(diǎn)部署模塊3，用于建立P2P網(wǎng)絡(luò)，部署多個(gè)節(jié)點(diǎn)；

數(shù)據(jù)記錄模塊4，用于采用一對(duì)一的方式，令每個(gè)節(jié)點(diǎn)維護(hù)一個(gè)公開、共享的賬本，賬本中記錄多個(gè)區(qū)塊，每個(gè)區(qū)塊記錄多條操作或交易數(shù)據(jù)；

自主維護(hù)模塊5，用于各用戶或第三方對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行維護(hù)。

如圖8所示，所述用戶身份標(biāo)識(shí)管理模式建立模塊2包括：

用戶身份標(biāo)識(shí)ID生成模塊6，用于用戶生成的身份標(biāo)識(shí)ID及附加信息向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將新生成的用戶標(biāo)識(shí)ID及附加信息記錄在區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID生成操作結(jié)束；

用戶身份標(biāo)識(shí)ID注銷模塊7，用于用戶身份標(biāo)識(shí)ID注銷請(qǐng)求向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布，經(jīng)過區(qū)塊鏈全部節(jié)點(diǎn)的共識(shí)處理，將注銷請(qǐng)求記錄在區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷操作結(jié)束；

用戶身份標(biāo)識(shí)ID更新模塊8，用于依次執(zhí)行用戶身份標(biāo)識(shí)ID注銷操作和用戶身份標(biāo)識(shí)ID生成操作實(shí)現(xiàn)用戶身份標(biāo)識(shí)ID的更新。

優(yōu)選的，如圖9所示，所述用戶身份標(biāo)識(shí)ID生成模塊6包括：

公私鑰對(duì)生成模塊9，用于用戶選擇身份標(biāo)識(shí)ID，并通過用戶KDC生成與所述ID相對(duì)應(yīng)的私鑰s，即公私鑰對(duì)為(ID，s)，私鑰s由用戶秘密保存；

簽名計(jì)算模塊10，用于通過私鑰s計(jì)算簽名Sign(ID，t，m，Hash(r))，

其中，

ID為身份標(biāo)識(shí)；

t為當(dāng)前操作時(shí)間；

m為特定信息，具體為隨機(jī)數(shù)或用戶自定義信息；

r為隨機(jī)數(shù)，秘密保存，用于用戶丟失私鑰后，證明自身身份的證據(jù)；

Hash(r)為標(biāo)準(zhǔn)Hash函數(shù)；

身份標(biāo)識(shí)ID生成操作記錄發(fā)布模塊11，用于將ID，t，m，Hash(r)，Sign(ID，t，m，Hash(r))及KDC公開參數(shù)params作為一筆操作記錄向區(qū)塊鏈全部節(jié)點(diǎn)發(fā)布；

驗(yàn)證模塊12，用于當(dāng)其他節(jié)點(diǎn)接收到操作記錄，使用發(fā)布者的公鑰ID及t、m、Hash(r)信息驗(yàn)證簽名Sign(ID，t，m，Hash(r))是否正確，同時(shí)驗(yàn)證t是否與當(dāng)前時(shí)間相一致；

用戶身份標(biāo)識(shí)ID生成處理模塊13，用于根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID生成成功。

優(yōu)選的，如圖10所示，所述用戶身份標(biāo)識(shí)ID注銷模塊7包括：

用戶身份標(biāo)識(shí)ID注銷操作記錄發(fā)布模塊14，用于用戶采用私鑰s對(duì)該用戶ID、當(dāng)前操作時(shí)間t和注銷原因w進(jìn)行簽名Sign(ID，t，w)，并將ID，t，w及Sign(n，t，w)作為一條操作記錄向全部節(jié)點(diǎn)發(fā)布；

私鑰丟失操作記錄發(fā)布模塊15，用于當(dāng)用戶私鑰s丟失，則用戶將ID、秘密保存的隨機(jī)數(shù)r及注銷原因w作為一條記錄向全部節(jié)點(diǎn)發(fā)布；

用戶身份標(biāo)識(shí)ID注銷處理模塊16，用于根據(jù)區(qū)塊鏈共識(shí)處理機(jī)制，當(dāng)半數(shù)以上節(jié)點(diǎn)驗(yàn)證通過，則將該操作記錄記錄到區(qū)塊鏈中，用戶身份標(biāo)識(shí)ID注銷成功。

本實(shí)施例所述的數(shù)字身份標(biāo)識(shí)管理系統(tǒng)結(jié)合區(qū)塊鏈技術(shù)，實(shí)現(xiàn)去中心化KDC、分布式的密鑰分發(fā)系統(tǒng)，解決了如被攻擊將造成整個(gè)應(yīng)用體系安全性降低、IBC密碼技術(shù)體系的密鑰托管及密鑰更新后標(biāo)識(shí)自證性降低的問題。

沒有中心KDC，每個(gè)用戶獨(dú)立管理自己的私有KDC并生成密鑰對(duì)，保證了用戶密鑰對(duì)只有用戶自己擁有，滿足“電子簽名法”的要求，解決了IBC密碼技術(shù)體系存在的密鑰托管問題。

用戶私鑰需要更新時(shí)，在有中心化KDC的情況下，因?yàn)镵DC密鑰及參數(shù)一般不能更改，只能對(duì)用戶ID添加日期等附件參數(shù)，實(shí)現(xiàn)用戶私鑰的更新，這樣勢(shì)必降低了用戶公鑰標(biāo)識(shí)ID的自證性。本發(fā)明由于KDC屬于用戶私有，用戶只需重新生成私有KDC并重新對(duì)用戶公鑰ID計(jì)算私鑰，由于私鑰更新后用戶ID依然不變，解決了密鑰更新后標(biāo)識(shí)自證性降低的問題。

用戶自己維護(hù)證書信任體系，即使半數(shù)以下用戶合謀攻擊，也無法攻擊成功。同時(shí)由于沒有中心化KDC系統(tǒng)，用戶也無需向KDC繳納任何費(fèi)用。

區(qū)塊鏈中所有操作記錄均不可更改或刪除，任何操作均可審計(jì)追溯，安全性、可靠性由全網(wǎng)節(jié)點(diǎn)共同維護(hù)。

以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。