本發(fā)明涉及區(qū)塊鏈隱私保護(hù)領(lǐng)域，尤其涉及數(shù)字身份隱私保護(hù)，具體是一種基于去中心化標(biāo)識(shí)符的鏈上數(shù)字身份隱私保護(hù)方案。

背景技術(shù)：

1、為了解決傳統(tǒng)集中式身份驗(yàn)證系統(tǒng)通常基于可信任的第三方這種依賴(lài)關(guān)系使得其容易受到單一故障點(diǎn)的影響。去中心化身份基金會(huì)和萬(wàn)維網(wǎng)聯(lián)盟等制定的以區(qū)塊鏈為代表作為底層基礎(chǔ)的去中心化標(biāo)識(shí)符應(yīng)運(yùn)而生，又名did，這使得用戶(hù)能夠在不依賴(lài)任何中心化機(jī)構(gòu)的情況下，完全掌握和管理自己的網(wǎng)絡(luò)身份，但這會(huì)引發(fā)用戶(hù)數(shù)據(jù)相關(guān)的隱私問(wèn)題。首先，當(dāng)前基于類(lèi)似did結(jié)構(gòu)的研究在應(yīng)對(duì)單一場(chǎng)景時(shí)有良好的性能表現(xiàn)但缺乏靈活性設(shè)計(jì)應(yīng)對(duì)復(fù)雜分布式場(chǎng)景，存在有當(dāng)需要驗(yàn)證的身份信息大量增加時(shí)使得時(shí)間開(kāi)銷(xiāo)呈線(xiàn)性或指數(shù)型增長(zhǎng)的問(wèn)題。其次，部分基于did的方案具有良好的時(shí)間性能優(yōu)勢(shì)但并未考慮屬性隱藏來(lái)實(shí)現(xiàn)隱私保護(hù)，極少部分基于did方案考慮了隱私保護(hù)設(shè)計(jì)但存在有時(shí)間開(kāi)銷(xiāo)較大問(wèn)題。最后，對(duì)于基于did的方案而言，需要考慮到did通用解析器存在的隱私安全問(wèn)題。在工業(yè)互聯(lián)網(wǎng)的分布式場(chǎng)景下，如何能實(shí)現(xiàn)復(fù)雜的身份交互的同時(shí)保障不同群體或個(gè)體的身份數(shù)據(jù)隱私是當(dāng)前的挑戰(zhàn)之一。

2、當(dāng)前對(duì)于數(shù)字身份相關(guān)研究具有一定基礎(chǔ)。bai等人針對(duì)醫(yī)療服務(wù)提出了一種去中心化身份認(rèn)證系統(tǒng)health-zkldm，研究者通過(guò)使用zksnrak技術(shù)來(lái)產(chǎn)生并驗(yàn)證身份證明信息，使得系統(tǒng)具有較高吞吐量，執(zhí)行時(shí)間較低，但當(dāng)應(yīng)對(duì)大量屬性信息時(shí)，系統(tǒng)計(jì)算和存儲(chǔ)開(kāi)銷(xiāo)呈線(xiàn)性增長(zhǎng)。zheng等人提出了一種基于零知識(shí)證明、區(qū)塊鏈和智能合約的醫(yī)療保險(xiǎn)理賠方案，具有可接受的時(shí)間開(kāi)銷(xiāo)但隨著身份信息的增加，時(shí)間開(kāi)銷(xiāo)呈指數(shù)型增長(zhǎng)。上述工作的系統(tǒng)模型框架類(lèi)似于did架構(gòu)。基于did的方案有：fotiou等人為以信息為中心的網(wǎng)絡(luò)架構(gòu)提出了一種基于did的自我主權(quán)和去中心化的命名方案，使內(nèi)容項(xiàng)可以自我驗(yàn)證；li等人提出一種基于區(qū)塊鏈和did的智慧旅游身份認(rèn)證服務(wù)，具有較高的認(rèn)證效率但未對(duì)屬性隱私保護(hù)進(jìn)行考慮；xiong等人提出了一種基于did和區(qū)塊鏈的大規(guī)模物聯(lián)網(wǎng)去中心化身份管理方案，研究者主要關(guān)注于提高效率卻沒(méi)有涉及到隱私保護(hù)方面的考量；yin等人提出了一種基于did和區(qū)塊鏈的新型分布式身份，通過(guò)設(shè)計(jì)的憑證模型及創(chuàng)建的系統(tǒng)證明體系，實(shí)現(xiàn)建立提供隱私保護(hù)的自我主權(quán)身份。但由于其樹(shù)結(jié)構(gòu)的證明系統(tǒng)在驗(yàn)證憑證時(shí)需要對(duì)憑證權(quán)重進(jìn)行排序進(jìn)而增加了額外的時(shí)間開(kāi)銷(xiāo)。值得注意的是，這些基于did的方案未考慮到did通用解析器的隱私問(wèn)題。在did服務(wù)中，通用解析器的主要任務(wù)是接收did請(qǐng)求并從請(qǐng)求中指定的區(qū)塊鏈網(wǎng)絡(luò)返回did文檔。其作為服務(wù)的單一入口點(diǎn)，將不同的服務(wù)提供商和分布式賬本聯(lián)系在一起，即通用解析器可在did解析過(guò)程中將did請(qǐng)求與did文檔相關(guān)聯(lián)。敵手可通過(guò)通用解析器觀察did解析過(guò)程收集大量數(shù)據(jù)從而關(guān)聯(lián)did和did文檔，進(jìn)而推斷用戶(hù)的敏感數(shù)據(jù)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提出一種基于去中心化標(biāo)識(shí)符的鏈上數(shù)字身份隱私保護(hù)方案實(shí)現(xiàn)不同程度的隱私保護(hù)以滿(mǎn)足不同隱私程度要求場(chǎng)景的需求，在隱私保護(hù)效果與開(kāi)銷(xiāo)兩者間取得一定平衡。

2、本發(fā)明的目的是這樣達(dá)到的：

3、提出了一種靈活選擇性披露聲明的方法實(shí)現(xiàn)不同程度的隱私保護(hù)。對(duì)于隱私程度低的場(chǎng)景中透露部分聲明而言，基于bls簽名和merkle哈希樹(shù)進(jìn)行選擇性披露，實(shí)現(xiàn)未透露部分的弱隱私保護(hù)，其中通過(guò)聚合多方的簽名來(lái)實(shí)現(xiàn)鏈上的高效認(rèn)證。對(duì)于隱私程度高的場(chǎng)景中透露部分隱私聲明相等性而言，基于bbs+簽名實(shí)現(xiàn)零知識(shí)選擇性披露，通過(guò)構(gòu)造零知識(shí)證明實(shí)現(xiàn)強(qiáng)隱私保護(hù)。其中，不僅包括讓驗(yàn)證者驗(yàn)證選擇性披露的聲明，還包括讓發(fā)布者對(duì)要隱藏的聲明進(jìn)行盲簽名。通過(guò)基于現(xiàn)有的did通用解析器的解析機(jī)制提出了一種可配合通用解析器使用的擴(kuò)展層設(shè)計(jì)。該結(jié)構(gòu)設(shè)計(jì)基于英特爾的可信執(zhí)行環(huán)境和oram實(shí)現(xiàn)，增強(qiáng)了在解析did文檔時(shí)的隱私性，進(jìn)而增強(qiáng)用戶(hù)數(shù)字身份的隱私性。

4、具體方式如下：

5、一種基于去中心化標(biāo)識(shí)符的鏈上數(shù)字身份隱私保護(hù)方案，包括如下步驟：

6、步驟1、系統(tǒng)初始化完成各實(shí)體did注冊(cè)；

7、步驟2、根據(jù)場(chǎng)景需求，選擇不同的披露聲明方法；

8、步驟3、面向低隱私需求場(chǎng)景，選擇基于bls簽名和merkle哈希樹(shù)的選擇性披露聲明方法，其中包含三大步驟分別是發(fā)布vc、構(gòu)造vp及驗(yàn)證vp；

9、步驟4、面向高隱私需求場(chǎng)景，選擇基于bbs+簽名的零知識(shí)選擇性披露聲明方法，同樣分為三大步驟發(fā)布vc、構(gòu)造vp及驗(yàn)證vp；

10、步驟5、解析did文檔時(shí)通過(guò)設(shè)計(jì)的以通用解析器為基礎(chǔ)的擴(kuò)展層將原本通用解析器與去中心化賬本之間的直接交互轉(zhuǎn)變成為間接交互去處理did文檔數(shù)據(jù)流程。

11、進(jìn)一步地，所述步驟1中首先系統(tǒng)初始化用于生成簽名所需要的各種參數(shù)。各實(shí)體did注冊(cè)是每位參與者通過(guò)現(xiàn)有成熟框架技術(shù)將did和相應(yīng)的did文檔創(chuàng)建并提交到did注冊(cè)表。did文檔是與每個(gè)did相關(guān)聯(lián)的json文檔，包含了驗(yàn)證公鑰、服務(wù)端點(diǎn)等信息，這些信息安全地存儲(chǔ)在分布式賬本上。did文檔中包括但不限于公鑰、對(duì)于did的增刪改查采用現(xiàn)有成熟技術(shù)框架實(shí)現(xiàn)，其中did增：本方案將用戶(hù)區(qū)塊鏈地址作為did字符串，創(chuàng)建使用的公私鑰由用戶(hù)自我生成并管理。用戶(hù)提供公鑰和區(qū)塊鏈地址來(lái)創(chuàng)建did和did文檔；did刪和改：通過(guò)構(gòu)建撤銷(xiāo)交易和更新交易，一旦驗(yàn)證節(jié)點(diǎn)達(dá)成共識(shí)，撤銷(xiāo)交易會(huì)被記錄在鏈上并將did文檔的狀態(tài)標(biāo)記為撤銷(xiāo)，而更新交易的記錄則導(dǎo)致did文檔更新后的版本通過(guò)did查詢(xún)可被檢索；did查：通過(guò)did通用解析器，根據(jù)did查詢(xún)分布式賬本中的注冊(cè)表，找到對(duì)應(yīng)記錄并解析返回對(duì)應(yīng)的did文檔。

12、進(jìn)一步地，所述步驟3中發(fā)布vc時(shí)發(fā)布者構(gòu)造用戶(hù)的聲明集合或由用戶(hù)提供的聲明集合的merkle哈希樹(shù)并計(jì)算樹(shù)根哈希。每個(gè)聲明代表的屬性對(duì)應(yīng)于merkle哈希樹(shù)中的葉子節(jié)點(diǎn)，核心內(nèi)容如下：

13、leaves←sha256(json.parse(s))

14、tree＝new?merkletree(leaves)

15、vroot＝tree.getroot()

16、發(fā)布者使用bls簽名的私鑰對(duì)根哈希值進(jìn)行簽名，其核心內(nèi)容如下：

17、σ←bls.sin(ski,vroot)

18、其中，根哈希代表憑證指紋，允許對(duì)憑證中聲明進(jìn)行有效性檢查。

19、進(jìn)一步地，所述步驟3中構(gòu)造vp時(shí)用戶(hù)在收到發(fā)布者的vc后，可選擇性披露聲明，需將披露的聲明、計(jì)算根哈希的證明以及發(fā)布者簽名一起組合成vp發(fā)送給驗(yàn)證者。假設(shè)該merkle哈希樹(shù)就有兩個(gè)葉子節(jié)點(diǎn)，即屬性a和屬性n。此時(shí)用戶(hù)想要披露屬性a而隱藏屬性n，那么計(jì)算根哈希的路徑證明就應(yīng)該包括屬性a、計(jì)算使用的哈希函數(shù)hash()、以及屬性n對(duì)應(yīng)的哈希值hn。當(dāng)驗(yàn)證者收到后，通過(guò)該證明可以重構(gòu)merkle哈希樹(shù)并與用戶(hù)did文檔中對(duì)應(yīng)的根哈希vroot作比較，內(nèi)容如下：

20、

21、若相等則表示屬性對(duì)應(yīng)的聲明有效，即代表用戶(hù)實(shí)現(xiàn)了僅透露屬性a。

22、進(jìn)一步地，所述步驟3中驗(yàn)證vp時(shí)驗(yàn)證者收到用戶(hù)發(fā)送的vp后，通過(guò)did通用解析器獲取發(fā)布者的did文檔和用戶(hù)的did文檔，從中獲取發(fā)布者的公鑰組成公鑰列表以及相應(yīng)的根哈希列表。根據(jù)簽名列表newlistσ調(diào)整根哈希列表。驗(yàn)證主要分為兩部分：驗(yàn)證路徑證明和驗(yàn)證簽名，其中驗(yàn)證路徑證明即根據(jù)路徑計(jì)算用戶(hù)的merkle哈希樹(shù)是否符合發(fā)布者構(gòu)造的merkle哈希樹(shù)。

23、進(jìn)一步地，所述步驟4中發(fā)布vc時(shí)用戶(hù)盲化特定屬性信息如下：

24、blindm←hash(message)

25、隨后創(chuàng)建包含blindm的屬性集合c，接收發(fā)布者用于盲簽的隨機(jī)數(shù)signnonce，使用發(fā)布者公鑰創(chuàng)建盲簽名上下文，內(nèi)容如下：

26、(blindclaims,blindfactor)←newcontext(linksecret,pk,signnonce)

27、發(fā)送屬性集合c和盲簽名上下文blindclaims給發(fā)布者，發(fā)布者進(jìn)行盲簽，內(nèi)容如下：

28、vc←blindsign(c,blindclaims,sk,pk,signnonce)

29、隨后將vc發(fā)回給用戶(hù)，用戶(hù)解除盲化計(jì)算原始簽名驗(yàn)證，內(nèi)容如下：

30、sign←unblind(pk,vc,blindfactor)

31、verify(sign,pk)

32、隨后發(fā)布vc階段完成。

33、進(jìn)一步地，所述步驟4中構(gòu)造、驗(yàn)證vp時(shí)驗(yàn)證者是事先知道vc結(jié)構(gòu)，即驗(yàn)證者只知道該憑證的位置與聲明的對(duì)應(yīng)關(guān)系，但不知道具體的聲明對(duì)應(yīng)的屬性?xún)?nèi)容，其中，pr1表示用戶(hù)需要披露vc_a中的第一個(gè)聲明屬性，pr2表示用戶(hù)的vc_b來(lái)自發(fā)布者b，pr3表示用戶(hù)提供vc_a第二個(gè)聲明屬性與vc_b第三個(gè)聲明屬性相等的零知識(shí)證明，證明信息pm1、pm2包含了披露的聲明屬性信息和隱藏的聲明屬性信息，驗(yàn)證者先計(jì)算隨機(jī)數(shù)用于限制用戶(hù)偽造證明，內(nèi)容如下：

34、vernonce←random()

35、隨后將pr1、2、3發(fā)送給用戶(hù)，用戶(hù)構(gòu)造vp，用戶(hù)生成盲因子并使用屬性集合c和盲因子sameblind構(gòu)造證明信息pm1、pm2并構(gòu)造簽名承諾，內(nèi)容如下：

36、sameblind←random()

37、pok1←commitsign(pr1，pm1，σa)

38、pok2←commitsign(pr2，pm2，σb)

39、隨后生成挑戰(zhàn)并構(gòu)造證明，內(nèi)容如下：

40、challenge←createchallenge(pok1,pok2,vernonce)

41、proofi←generatesignpok(poki,challenge)i∈[1,2]

42、用戶(hù)將vp發(fā)送給驗(yàn)證者，驗(yàn)證者根據(jù)證明計(jì)算挑戰(zhàn)并驗(yàn)證，內(nèi)容如下：

43、verchallenge←createchallenge(pok1,pok2,vernonce)

44、resulti←verify(proofi,verchallenge)i∈[1,2]

45、由此，用戶(hù)便完成了一個(gè)簽名的知識(shí)證明和在發(fā)布vc階段創(chuàng)建出的承諾值相等證明。

46、進(jìn)一步地，所述步驟5中擴(kuò)展層設(shè)計(jì)總共包含4大功能模塊分別是連接模塊、緩存模塊、臨時(shí)did生成模塊以及文檔請(qǐng)求代理模塊。其中，連接模塊通過(guò)使用在enclave中的連接管理器代替原通用解析器的http服務(wù)器的客戶(hù)端會(huì)話(huà)處理。即，did請(qǐng)求者可直接與擴(kuò)展層部分建立安全會(huì)話(huà)。did請(qǐng)求通過(guò)該模塊直接傳遞到擴(kuò)展層內(nèi)部進(jìn)行后續(xù)處理，當(dāng)檢索到對(duì)應(yīng)的did文檔時(shí)返回給請(qǐng)求者；緩存模塊使用基于oram實(shí)現(xiàn)的did文檔緩存取代通用解析器的did緩存，以減輕sgx已有的內(nèi)存訪(fǎng)問(wèn)模式側(cè)通道攻擊。oram使得對(duì)特定did緩存索引的訪(fǎng)問(wèn)與對(duì)其他索引的訪(fǎng)問(wèn)沒(méi)有區(qū)別。觀察擴(kuò)展層執(zhí)行內(nèi)存訪(fǎng)問(wèn)模式的攻擊者無(wú)法在did請(qǐng)求和特定did文檔緩存條目之間建立鏈接。did文檔緩存駐留在enclave的epc特定頁(yè)面中，本質(zhì)為鍵值對(duì)的數(shù)據(jù)庫(kù)；臨時(shí)did生成模塊為每個(gè)did請(qǐng)求生成并維護(hù)一個(gè)臨時(shí)did列表，將臨時(shí)did提供給通用解析器中的解析器部分。生成隨機(jī)數(shù)使用sgx的sgx_read_rand()隨機(jī)數(shù)生成函數(shù)。該生成模塊還維護(hù)了一個(gè)與文檔請(qǐng)求代理模塊共享的臨時(shí)did到did的查找表。該生成模塊將did對(duì)排隊(duì)，用于did文檔提取。文檔請(qǐng)求代理模塊在提取did文檔完成后取消排隊(duì)；文檔請(qǐng)求代理模塊攔截驅(qū)動(dòng)程序發(fā)送給服務(wù)器的臨時(shí)did的文檔請(qǐng)求格式drf，即臨時(shí)did?drf。將其中的臨時(shí)did替換為真正的did。為了轉(zhuǎn)發(fā)使用并正確處理臨時(shí)diddrf，需對(duì)驅(qū)動(dòng)程序作出兩項(xiàng)基本調(diào)整：首先，drf需要明確攜帶請(qǐng)求中的did方法信息，這便于識(shí)別特定drf最初用于哪個(gè)區(qū)塊鏈網(wǎng)絡(luò)。其次，需要在驅(qū)動(dòng)程序中更改目標(biāo)地址，指向文檔請(qǐng)求代理。如此一來(lái)，該代理模塊就能截獲請(qǐng)求，將臨時(shí)did替換為真實(shí)的did，并檢索出did文檔。

47、進(jìn)一步地，所述步驟5中擴(kuò)展層處理數(shù)據(jù)流程可概述為第一步為在確立安全連接前，did查詢(xún)代理最初會(huì)在服務(wù)器的did解析器基礎(chǔ)架構(gòu)中校驗(yàn)擴(kuò)展層。通過(guò)調(diào)用特定的sgxapi函數(shù)，使用英特爾提供的遠(yuǎn)程身份證明機(jī)制驗(yàn)證一個(gè)enclave是否是真正的sgxenclave，并確認(rèn)它運(yùn)行的代碼和數(shù)據(jù)是否是安全和未被篡改的。隨后，查詢(xún)代理會(huì)通過(guò)安全通道發(fā)送did?url至擴(kuò)展層。第二步為緩存是否命中，若緩存命中，則將對(duì)應(yīng)did文檔返回給請(qǐng)求者。若緩存未命中，則通過(guò)臨時(shí)did生成模塊為給定的did生成臨時(shí)did。其中臨時(shí)did為根據(jù)真實(shí)did的特定長(zhǎng)度及格式隨機(jī)生成的僅格式相同的did。第三步為擴(kuò)展層將生成的臨時(shí)did發(fā)送至通用解析器中，通用解析器中的驅(qū)動(dòng)器使用臨時(shí)did生成對(duì)應(yīng)的臨時(shí)diddrf。第四步為將drf發(fā)送至擴(kuò)展層中的文檔請(qǐng)求代理模塊，通過(guò)文檔請(qǐng)求代理模塊將臨時(shí)did?drf替換成真正的drf，即可發(fā)送至區(qū)塊鏈查詢(xún)到對(duì)應(yīng)的did文檔。第五步為文檔請(qǐng)求代理將查詢(xún)到的did文檔保存至緩存中，隨后通過(guò)安全通道返回給請(qǐng)求者，流程步驟核心包括有如下內(nèi)容：

48、did,didmethod←parse(didurl)

49、tempdid←generate(didmethod)

50、tempdiddrf←diddriver.generate(tempdid)

51、diddrf←replace(did,tempdiddrf)

52、由此，擴(kuò)展層完成did文檔請(qǐng)求處理。

53、本發(fā)明的積極效果是：

54、本發(fā)明通過(guò)結(jié)合多種簽名技術(shù)提出了一種靈活選擇性披露聲明方法，從而實(shí)現(xiàn)不同程度的隱私保護(hù)以滿(mǎn)足不同隱私程度要求場(chǎng)景的需求。對(duì)于隱私程度要求低的較大流量環(huán)境下，通過(guò)聚合簽名減低通信存儲(chǔ)開(kāi)銷(xiāo)。對(duì)于隱私程度要求高的場(chǎng)景，平衡開(kāi)銷(xiāo)同時(shí)提供了隱私保護(hù)效果更強(qiáng)的零知識(shí)證明。本發(fā)明還提出了一種以通用解析器實(shí)現(xiàn)為基礎(chǔ)的擴(kuò)展層設(shè)計(jì)，增強(qiáng)了解析did文檔時(shí)的隱私性，緩解did解析過(guò)程中的關(guān)聯(lián)問(wèn)題。該方案取得了隱私性與時(shí)間開(kāi)銷(xiāo)的一定平衡。