去中心化身份认证方法、装置、设备及介质与流程

1.本公开涉及区块链技术领域，尤其涉及一种去中心化身份认证方法、去中心化身份认证装置、电子设备及计算机可读存储介质。


背景技术：

2.随着互联网的出现和普及，传统的身份存在另外一种表现形式，即数字身份。数字身份的演进经历了四个阶段，分别为：中心化身份、联盟身份、以用户为中心的身份以及自我主权身份。其中，去中心化身份是一种自我主权身份，其完全由所有者控制，不需要任何中心化的第三方参与，未经所有者的许可，其他人均无法获取上述身份信息。
3.在相关技术中，互联网的中心化身份，不仅种类繁多，尚未实现互认互通，且缺乏隐私与安全性，通过单一机构赋予，用户缺乏对身份的所有权，故身份认证成为互联网技术亟待解决的问题。
4.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

5.本公开提供一种去中心化身份认证方法、装置、设备及介质，至少在一定程度上克服现有的中心化身份未实现互认互通、缺乏隐私与安全性的问题。
6.本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
7.根据本公开的一个方面，提供一种去中心化身份认证方法，包括：采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明；根据所述账户信息证明，构建默克尔树，得到所述目标用户的默克尔树根，将所述默克尔树根存储至去中心化身份did文档中；根据所述did文档，生成did标识符，将所述did标识符写入所述did文档，得到所述目标用户的去中心化身份信息，以基于所述去中心化身份信息进行身份认证。
8.在本公开的一些实施例中，所述did文档包括did标识字段、默克尔树根字段和基础信息字段；其中，所述根据所述did文档，生成did标识符，包括：根据所述默克尔树根字段和所述基础信息字段的值，生成所述did标识符。
9.在本公开的一些实施例中，所述采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明，包括：采集所述目标用户的链下账户数据的用户名和密码；对所述用户名和所述密码进行哈希计算，得到所述链下账户数据对应的账户信息证明。
10.在本公开的一些实施例中，所述采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明，包括：采集所述目标用户的链上账户数据的地址、公钥和私钥；采用所述私钥加密预设文本，得到所
述链上账户数据对应的账户信息证明。
11.在本公开的一些实施例中，所述目标用户具有多个账户数据，一个所述账户数据对应一个所述账户信息证明；其中，所述根据所述账户信息证明，构建默克尔树，包括：将各个所述账户信息证明对应的哈希值，作为默克尔树的初级叶子节点；基于位置索引，将所述初级叶子节点对应的哈希值按照预设规则组合，得到一级字符串，将所述一级字符串对应的哈希值，作为默克尔树的中间叶子节点；若所述中间叶子节点的数量满足预设条件，则根据所述中间叶子节点，得到所述默克尔树根，根据所述初级叶子节点、所述中间叶子节点、以及所述默克尔树根，构建所述默克尔树。
12.在本公开的一些实施例中，所述方法还包括：若所述中间叶子节点的数量未满足预设条件，则基于所述位置索引，将所述中间叶子节点对应的哈希值按照所述预设规则组合，得到二级字符串；将所述二级字符串对应的哈希值，作为默克尔树的下一级中间叶子节点，直至所述中间叶子节点的数量满足所述预设条件。
13.在本公开的一些实施例中，所述预设规则包括组合顺序和组合数量；其中，所述中间叶子节点的数量满足预设条件，包括：若所述中间叶子节点的数量小于或等于所述组合数量，则判定所述中间叶子节点的数量满足所述预设条件。
14.在本公开的一些实施例中，所述去中心化身份信息以去中心化的形式进行保存。
15.在本公开的一些实施例中，所述方法还包括：获取所述目标用户的身份认证请求信息，其中，所述身份认证请求信息包括目标系统的账户信息证明、所述账户信息证明在所述默克尔树的位置索引、认证路径上各个节点的哈希值、以及第一默克尔树根；根据所述账户信息证明、所述账户信息证明在所述默克尔树的位置索引、认证路径上各个节点的哈希值，计算得到第二默克尔树根；若所述第一默克尔树根与所述第二默克尔树根一致，则判断所述第一默克尔树根与did文档中存储的默克尔树根是否一致，若一致，则认证通过，向所述目标用户提供登录所述目标系统的权限。
16.在本公开的一些实施例中，所述方法还包括：若所述第一默克尔树根与所述第二默克尔树根不一致；或者，若所述第一默克尔树根与所述第二默克尔树根一致，且所述第一默克尔树根与所述did文档中存储的默克尔树根不一致，则认证失败，返回认证失败信息。
17.根据本公开的另一个方面，还提供了一种去中心化身份认证装置，包括：账户数据采集模块，用于采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明；默克尔树构建模块，用于根据所述账户信息证明，构建默克尔树，得到所述目标用户的默克尔树根，将所述默克尔树根存储至去中心化身份did文档中；去中心化身份生成模块，用于根据所述did文档，生成did标识符，将所述did标识符写入所述did文档，得到所述目标用户的去中心化身份信息，以基于所述去中心化身份信息进行身份认证。
18.根据本公开的另一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的去中心化身份认证方法。
19.根据本公开的另一个方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的去中心化身份认证方法。
20.根据本公开的另一个方面，提供了一种计算机程序产品，包括可执行指令，该可执
行指令存储在计算机可读存储介质中，电子设备的处理器从计算机可读存储介质读取该可执行指令，处理器执行该可执行指令，使得该电子设备执行上述的去中心化身份认证方法。
21.本公开实施例所提供的一种去中心化身份认证方法、装置、设备及介质，采集目标用户的链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明；根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份did文档中；根据did文档，生成did标识符，将did标识符写入did文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证，通过整合用户链上、链下已有的账户数据，生成去中心化身份，使身份信息自主可控，去中心化身份信息中包含用户的身份信息和隐私数据，只有经过用户授权的情况下才能使用，并且选择性披露，从而提升安全性、可认证和互操作性，身份认证更高效。
22.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
23.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
24.图1示出本公开实施例中一种去中心化身份认证方法的示例性系统架构的示意图。
25.图2示出本公开实施例中一种去中心化身份认证方法流程图。
26.图3示出本公开实施例中又一种去中心化身份认证方法流程图。
27.图4示出本公开实施例中一种默克尔树构建方法流程图。
28.图5示出本公开实施例中一种默克尔树结构示意图。
29.图6示出本公开实施例中一种身份认证方法流程图。
30.图7示出本公开实施例中一种去中心化身份认证装置的结构示意图。
31.图8示出本公开实施例中一种电子设备的结构框图。
具体实施方式
32.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
33.此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
34.区块链技术是一种新型去中心化信息技术。存储于区块链中的数据或信息，具有“不可伪造”、“全程留痕”、“可以追溯”、“公开透明”、“集体维护”等特征。基于这些特征，区块链技术奠定了坚实的“信任”基础，创造了可靠的“合作”机制，具有广阔的运用前景。
35.智能合约是一种旨在以信息化方式传播、认证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转。智能合约的目的是提供优于传统合约的安全方法，并减少与合约相关的其他交易成本。而区块链智能合约，就是一段写在区块链上的代码，一旦某个事件触发合约中的条款，代码即自动执行。也就是说，满足条件就执行，不需要人为操控。
36.随着互联网的出现和普及，传统的身份有了另外一种表现形式，即数字身份。一般认为，数字身份的演进经历了四个阶段，分别是:中心化身份、联盟身份、以用户为中心的身份以及自我主权身份。去中心化身份是一种自我主权身份，它完全由所有者控制，不需要任何中心化的第三方参与，这意味着关于用户身份的任何信息都完全掌握在用户自己的手中，没有用户的许可，任何人都无法获取这些信息。
37.为了解决上述问题，本公开提出了一种去中心化身份的生成和认证方法，提供一种高效、安全的去中心化身份认证方法。
38.图1示出了可以应用于本公开实施例的去中心化身份认证方法或去中心化身份认证装置的示例性系统架构的示意图。
39.如图1所示，系统架构100可以包括终端设备110，网络120和服务器130。
40.网络120用以在终端设备110和服务器130之间提供通信链路的介质，可以是有线网络，也可以是无线网络。
41.用户可以使用终端设备110通过网络120与服务器130交互，以接收或发送消息。
42.终端设备110可以是具有显示屏且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、显示屏和台式电脑等。
43.终端设备110上可以安装的应用程序的客户端是相同的，或基于不同操作系统的同一类型应用程序的客户端。基于终端平台的不同，该应用程序的客户端的具体形态也可以不同，比如，该应用程序客户端可以是手机客户端、pc客户端等。
44.示例性的，终端设备110安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、聊天类应用等，用户通过通讯客户端应用可以在系统完成注册、根据账户数据登录至上述系统，从而开展相关操作，例如，用户在聊天类应用注册后，得到用户名及密码，通过登录聊天类应用，与其他用户进行交流。
45.服务器130可以是提供各种服务的服务器，例如对用户利用终端设备110所进行操作的装置提供支持的后台管理服务器。后台管理服务器可以对接收到的请求等数据（例如目标用户的链上账户数据和链下账户数据等）进行分析等处理，得到处理结果（例如生成默克尔树以及did文档，以生成去中心化身份信息）。
46.可选地，服务器130可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn（content delivery network，内容分发网络）、以及大数据和人工智能平台等基础云计算服务的云服务器。
47.本领域技术人员可以知晓，图1中的终端设备110、网络120和服务器130的数量仅仅是示意性的，根据实际需要，可以具有任意数目的终端设备、网络和服务器。本公开实施
例对此不作限定。
48.基于此，本公开实施例提供的方案，采集目标用户的链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明；根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份（decentralized identity，did）文档中；根据did文档，生成did标识符，将did标识符写入did文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证。具体通过如下实施例进行说明：首先，本公开实施例中提供了一种去中心化身份认证方法，该方法可以由任意具备计算处理能力的系统执行。该方法对应的流程可以由去中心化身份认证装置来执行。
49.图2示出本公开实施例中一种去中心化身份认证方法流程图，如图2所示，本公开实施例中提供的去中心化身份认证方法，包括如下步骤：s202、采集目标用户的链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明。
50.在一个实施例中，目标用户为任一具有链上账户数据和/或链下账户数据的用户，目标用户可以使用终端设备的应用程序完成注册。
51.上述s202中的链上账户数据可以包括链上地址、公钥和私钥等，用于目标用户在web3.0应用中从事进行社交、分布式金融、元宇宙、游戏等活动而分配给目标用户的链上地址、公钥和私钥等，目标用户可以拥有多个不同的链上地址，从而对应不同的应用，目标用户的链上账户数据可以被存储在不同的区块链中，目标用户在不同链上的身份账户信息可以不相同，也可以相同。
52.web3.0应用可以包括ethereum、polkadot、cosmos、bsc、binance、solana等中的至少一个应用。
53.对于链下账户可以为web2.0应用中，由大型机构扮演每个人的身份提供者而生成的账户，链下账户数据可以包括但不限于目标用户的用户名和密码等。目标用户在不同的应用系统也会有不同的账户信息。
54.web2.0应用可以包括即时沟通类应用、购物类应用等。
55.在一个实施例中，可以对可以链上账户数据进行处理，例如以私钥加密处理，得到对应的账户信息证明；也可以对链下账户数据进行哈希计算，得到对应的账户信息证明。需要说明的是，链上账户数据和链下账户数据经过处理之后得到的账户信息证明均是以字符串的形式表现的，从而统一账户信息证明的格式，提高去中心化身份认证过程的效率，避免过多公开隐私数据，增强安全性。
56.需要注意的是，本公开技术方案中对链上账户数据和链下账户数据的获取、存储、使用、处理等均符合国家法律法规的相关规定，本公开实施例中获取的个人、客户和人群等相关的个人账户数据、客户账户数据等多种类型的数据，均已获得授权。
57.s204、根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份did文档中。
58.在一个实施例中，目标用户可以具有多个账户数据，一个账户数据对应一个账户信息证明，即目标用户可以具有多个链上账户数据，也可以具有多个链下账户数据，还可以同时具有多个链上账户数据和多个链下账户数据，从而可以得到多个账户信息证明。
59.可以通过多种方式建立与各个账户信息证明对应的默克尔树，作为一种可能的实现方式，当采集到目标用户的多个链上账户数据和多个链下账户数据后，生成目标用户的多个账户信息证明，计算每个账户信息证明对应的哈希值，根据每个账户信息证明对应的哈希值构建默克尔树。
60.默克尔树根作为去中心化身份认证的最终判定依据。
61.s206、根据did文档，生成did标识符，将did标识符写入did文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证。
62.在一个实施例中，did文档包括但不限于did标识字段、默克尔树根字段和基础信息字段等。其中，did标识字段的值即为上述did标识符，did标识符用于区别不同的did文档，一个did标识符映射一个did文档，从而保证去中心化身份信息的唯一性。默克尔树根字段用于存储构建默克尔树时得到的默克尔树根，为目标用户的账户信息证明以默克尔树的形式保存而生成的默克尔树根，通过did文档中存储的默克尔树根作为去中心化身份认证的最终关卡。
63.基础信息字段可以包括公钥信息、密钥算法、账户状态、时间戳、id映射集合中的一项或多项。其中，公钥信息用于对发布至区块链的did文档进行加密处理；密钥算法用于指示根据公钥信息生成对应私钥的算法，通过私钥解密存储于区块链的did文档，例如，密钥算法可以包括secp256k1等。
64.账户状态用于表征目标用户的某一个账户的使用状态。示例性的，当目标用户在一段时间内持续使用该账户登录至系统时，账户状态为正常；当目标用户长时间未使用该账户登录至系统时，账户状态为停用。
65.id映射集合用于表征目标用户的账户信息与加密后的账户信息之间的映射关系，目标用户的账户信息可以包括系统或软件名称；当目标用户提交查验请求后，可以进行查询，解密id映射集合后使用。
66.在一个实施例中，did标识符可以通过以下方式生成：根据默克尔树根字段和基础信息字段的值，生成did标识符。
67.did标识符格式如下：did:《did-method》:《method-specific-id》，例如did:aaa:bbbbbb。
68.其中，《did-method》表示did使用的方案名称，在上述示例中使用aaa。
69.did标识符中的《method-specific-id》=base58(ripemd160(sha256(《base did document》)))，《base did document》为did文档中不包含did字段的文档对象，即文档中的默克尔树根字段和基本信息字段对应的值，使用双hash生成did标识符。
70.需要说明的是，上述生成标识符的方式仅是为说明本公开实施例而提供的示例，不应将其视为对本公开保护范围的限制。根据具体的实现在另一些实现方式中，did标识符也可以具有其他的方式，本公开不做具体限定。
71.在一个实施例中，去中心化身份信息以去中心化的形式进行保存，比如，通过智能合约保存在区块链中。
72.在本公开实施方式中，采集目标用户的链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明；根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份did文档中；根据did文
档，生成did标识符，将did标识符写入did文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证，通过整合用户链上、链下已有的账户数据，生成去中心化身份，使身份信息自主可控，去中心化身份信息中包含用户的身份信息和隐私数据，只有经过用户授权的情况下才能使用，并且选择性披露，从而提升安全性、可认证和互操作性，身份认证更高效。
73.图3示出本公开实施例中又一种去中心化身份认证方法流程图。在图2实施例的基础上，对s202进一步细化为s2022，以限定根据链下账户数据生成账户信息证明的步骤。如图3所示，本公开实施例提供的一种去中心化身份认证方法，包括s2022、s204~s206。该方法包括：s2022、采集目标用户的链下账户数据的用户名和密码；对用户名和密码进行哈希计算，得到链下账户数据对应的账户信息证明。
74.需要说明的是，本实施例的s204~s206的实现方式与前述实施例中s204~s206的实现方式相同，此处不再赘述。
75.对于web2.0应用，目标用户的账户信息至少包括用户名和密码，用户名可以采用不同形式，例如，用户名可以为目标用户自行设定的由字母、符号、数字等组成的字符串，也可以为目标用户的手机号、身份证号等，本公开不做具体限定。
76.目标用户的一个链下账户数据对应的账户信息证明可以通过对用户名和密码进行哈希计算得到，例如可以但不限于sha256算法。
77.accountproof=sha256(username + password)。
78.其中，accountproof为账户信用证明，其为长度固定的字符串，sha256（）为哈希函数，username为用户名，password为密码。
79.在本公开实施例中，通过对链下账户数据的用户名和密码进行哈希计算，得到对应的账户信息证明，从而将链下账户数据转换为长度固定的字符串，以统一数据格式，提升去中心化身份认证的效率，避免过多公开隐私数据，提升安全性。
80.继续参考图3，对s202进一步细化为s2024，以限定根据链上账户数据生成账户信息证明的步骤。在本实施例中，如图3所示，该方法包括：s2024、采集目标用户的链上账户数据的地址、公钥和私钥；采用私钥加密预设文本，得到链上账户数据对应的账户信息证明。
81.需要说明的是，预设文本可以预先配置于服务器中，预设文本的内容、长度等可以根据实际情况而定，例如，预设文本由字母、符号、数字等中的至少一种或多种的组合组成的18位的文本。
82.采用如下方式得到链上账户数据对应的账户信息证明：accountproof=encry(plaintext，private key)其中，accountproof为链上账户数据对应的账户信息证明，其为长度固定的字符串，encry（）为加密函数；plaintext为预设文本，private kye为私钥。
83.在本公开实施例中，利用链上账户数据的私钥对预设文本进行加密，得到链上账户数据对应的账户信息证明，从而将链上账户数据转换为长度固定的字符串，以统一数据格式，提升去中心化身份认证的效率，避免过多公开隐私数据，提升安全性。
84.需要说明的是，上述链上账户数据对应的账户信息证明和链下账户数据对应的账
户信息证明仅是为说明本公开实施例而提供的示例，不应将其视为对本公开保护范围的限制。根据具体的实现在另一些实现方式中，也可以为其他能够将预设文本或用户名等信息转化为字符串的方式，本公开不做具体限定。
85.图4示出本公开实施例中一种默克尔树构建方法流程图。如图4所示，在一个实施例中，目标用户具有多个账户数据，一个账户数据对应一个账户信息证明。
86.上述s204中的根据账户信息证明，构建默克尔树，包括：s402、将各个账户信息证明对应的哈希值，作为默克尔树的初级叶子节点；s404、基于位置索引，将初级叶子节点对应的哈希值按照预设规则组合，得到一级字符串，将一级字符串对应的哈希值，作为默克尔树的中间叶子节点；s406、判断中间叶子节点的数量是否满足预设条件，若满足，则执行s408；s408、根据中间叶子节点，得到默克尔树根，根据初级叶子节点、中间叶子节点、以及默克尔树根，构建默克尔树。
87.在一个实施例中，位置索引用于索引账户信息证明在默克尔树的位置，位置索引可以取0、1、2等正整数。
88.在一个实施例中，预设规则包括组合顺序和组合数量；组合数量用于确定生成下一级叶子节点所需的本级叶子节点的数量，组合数量为大于等于2的正整数，例如，组合数量为2表明需要2个本级叶子节点生成下一级叶子节点。组合顺序用于表征本级叶子节点组合时的顺序，例如，将位置索引为2和3的叶子节点对应的哈希值组合，组合顺序可以按照2、3的顺序组合，也可以按照3、2的顺序组合，两种组合方式得到的字符串对应的哈希值不同。
89.示例性的，中间叶子节点的数量满足预设条件，包括：若中间叶子节点的数量小于或等于组合数量，则判定中间叶子节点的数量满足预设条件。
90.在一些实施例中，预设条件也可以根据经验值预先配置，本公开不做具体限定。
91.继续参考图4，可选的，该方法还包括：s410、若中间叶子节点的数量未满足预设条件，则基于位置索引，将中间叶子节点对应的哈希值按照预设规则组合，得到二级字符串；将二级字符串对应的哈希值，作为默克尔树的下一级中间叶子节点，返回s406；直至中间叶子节点的数量满足预设条件。
92.在一个实施例中，当中间叶子节点的数量大于组合数量时，判定中间叶子节点的数量不满足预设条件，重新对中间叶子节点对应的哈希值按照预设规则组合，得到二级字符串，进而根据二级字符串对应的哈希值得到默克尔树的下一级中间叶子节点，直至得到默克尔树根。
93.需要说明的是，针对初级叶子节点对应的哈希值的预设规则组合与针对中间叶子节点对应的哈希值的预设规则组合，可以相同，也可以不同，当两者不同时，可以在初级叶子节点对应的哈希值的预设规则组合的基础上，调整组合数量，例如，初级叶子节点对应的哈希值的预设规则中的组合数量为3，中间叶子节点对应的哈希值的预设规则中的组合数量调整为2，既保证默克尔树的有效性，也可以降低计算强度。
94.图5示出本公开实施例中一种默克尔树结构示意图。如图5所示，预设规则中的组合数量设为2，组合顺序为基于位置索引的顺序组合，即基于位置索引的先后顺序，两两组合的预设规则。
95.采集目标用户的链上账户数据和链下账户数据，得到对应的账户信息证明分别为
accountproof1~ accountproof4，分别计算账户信息证明的哈希值，得到hash0~hash3，得到初级叶子节点；将hash0和hash1组合并进行哈希计算，以及将hash2和hash3组合并进行哈希计算，分别得到hash01和hash23，即为中间叶子节点，此时中间叶子节点的数量与组合数量相等，则将hash01和hash23组合并进行哈希计算，即可得到默克尔树根merkle root，至此，完成默克尔树构建，并将目标系统的账户信息证明、账户信息证明在默克尔树的位置索引、认证路径上各个节点的哈希值、以及默克尔树根等信息返回目标用户。
96.需要说明的是，对于账户信息证明大于四个的情形，可以依次按照预设规则进行组合，最终得到默克尔树根，即可完成默克尔树的构建，此处不再赘述。
97.在一个实施例中，当按照预设规则将中间叶子节点分组后，某一组中间叶子节点的数量小于组合数量，此时，可以该组中间叶子节点按照组合顺序组合，将改组中间叶子节点对应的哈希值作为下一级叶子节点。需要说明的是，当该组中间叶子节点仅包括一个中间叶子节点时，可以将该中间叶子节点作为下一级叶子节点，参与后续的哈希计算，直至得到默克尔树根。
98.图6示出本公开实施例中一种身份认证方法流程图。如图6所示，在一个实施例中，本公开实施例提供的去中心化身份认证方法还包括：s602、获取目标用户的身份认证请求信息，其中，身份认证请求信息包括目标系统的账户信息证明、账户信息证明在默克尔树的位置索引、认证路径上各个节点的哈希值、以及第一默克尔树根；s604、根据账户信息证明、账户信息证明在默克尔树的位置索引、认证路径上各个节点的哈希值，计算得到第二默克尔树根；s606、判断第一默克尔树根与第二默克尔树根是否一致，若一致，则执行s608；若不一致，则执行s612；s608、判断第一默克尔树根与did文档中存储的默克尔树根是否一致，若一致，则执行s610；若不一致，则执行s612；s610、认证通过，向目标用户提供登录目标系统的权限。
99.s612、认证失败，返回认证失败信息。
100.在一个实施例中，基于默克尔树，目标用户只需要提供相应账户信息证明，以及账户信息证明在默克尔树的位置索引、认证路径上各个节点的哈希值和第一默克尔树根，即可实现认证。
101.具体步骤如下：以图5中的包含4个账户信息证明组成的默克尔树为例，目标用户欲登录某系统时，目标用户发起身份认证请求信息，目标用户注册时的账户信息对应的账户信息证明为accountproof2，即认证目标用户提供的accountproof2是否正确提供。
102.目标用户发起的身份认证请求信息只需要包括：1. 待认证的账户信息证明：accountproof2；2. 待认证的账户信息证明所在默克尔树的位置索引：1，其中，位置索引以0开始，所以accountproof2的索引是1；3. 认证路径上各个节点的哈希值：[hash0，hash23]；4. 第一默克尔树根：merkleroot。
[0103]
通过上述4个参数，即可确认accountproof2是否被包含在此默克尔树中。
[0104]
根据身份认证请求信息中的账户信息证明、该账户信息证明在默克尔树中的位置索引、以及认证路径上各个节点的哈希值，计算第二默克尔树根。当目标用户提供的第一默克尔树根与计算得到的第二默克尔树根一致时，继续认证目标用户提供的第一默克尔树根与did文档中存储的默克尔树根的一致性。当第一默克尔树根、第二默克尔树根以及did文档中存储的默克尔树根均一致时，判定认证通过，才能授予目标用户登录该系统的权限。当第一默克尔树根、第二默克尔树根以及did文档中存储的默克尔树根中的任意两者均不一致时，判定认证失败，目标用户无法获得登录该系统的权限。
[0105]
即先计算accountproof2的哈希值，然后与认证路径上的哈希值：hash0，hash23分别两两组合，进行哈希计算，最后得到第二默克尔树根merkleroot，认证merkleroot与did文档中的默克尔树根merkleroot是否一致。
[0106]
在本公开实施方式中，通过账户信息证明构建默克尔树及其基于默克尔树和did文档的身份认证方法，实现了用户属性信息的可选择披露，保障了安全性和隐私性，同时提升身份认证效率。
[0107]
基于同一发明构思，本公开实施例中还提供了一种去中心化身份认证装置，如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似，因此该装置实施例的实施可以参见上述方法实施例的实施，重复之处不再赘述。
[0108]
图7示出本公开实施例中一种去中心化身份认证装置示意图，如图7所示，本公开实施例提供的去中心化身份认证装置包括：账户数据采集模块710、默克尔树构建模块720和去中心化身份生成模块730。
[0109]
其中，账户数据采集模块710，用于采集目标用户的链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明；默克尔树构建模块720，用于根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份did文档中；去中心化身份生成模块730，用于根据did文档，生成did标识符，将did标识符写入did文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证。
[0110]
在一个实施例中，did文档包括did标识字段、默克尔树根字段和基础信息字段；其中，去中心化身份生成模块730，用于根据默克尔树根字段和基础信息字段的值，生成did标识符。
[0111]
在一个实施例中，账户数据采集模块710包括未显示在附图中的第一数据采集模块，其中，第一数据采集模块用于采集目标用户的链下账户数据的用户名和密码；对用户名和密码进行哈希计算，得到链下账户数据对应的账户信息证明。
[0112]
在一个实施例中，账户数据采集模块710还包括未显示在附图中的第二数据采集模块，第二数据采集模块用于采集目标用户的链上账户数据的地址、公钥和私钥；采用私钥加密预设文本，得到链上账户数据对应的账户信息证明。
[0113]
需要说明的是，目标用户具有多个账户数据，一个账户数据对应一个账户信息证明；其中，默克尔树构建模块720，用于将各个账户信息证明对应的哈希值，作为默克尔树的初级叶子节点；基于位置索引，将初级叶子节点对应的哈希值按照预设规则组合，得到一级字符串，将一级字符串对应的哈希值，作为默克尔树的中间叶子节点；若中间叶子节点的数量满足预设条件，则根据中间叶子节点，得到默克尔树根，根据初级叶子节点、中间叶子节
点、以及默克尔树根，构建默克尔树。
[0114]
在一个实施例中，默克尔树构建模块720，用于若中间叶子节点的数量未满足预设条件，则基于位置索引，将中间叶子节点对应的哈希值按照预设规则组合，得到二级字符串；将二级字符串对应的哈希值，作为默克尔树的下一级中间叶子节点，直至中间叶子节点的数量满足预设条件。
[0115]
在一个实施例中，预设规则包括组合顺序和组合数量；默克尔树构建模块720，用于若中间叶子节点的数量小于或等于组合数量，则判定中间叶子节点的数量满足预设条件。
[0116]
需要说明的是，去中心化身份信息以去中心化的形式进行保存。
[0117]
在一个实施例中，该装置还包括为显示于附图中的身份认证模块，身份认证模块用于获取目标用户的身份认证请求信息，其中，身份认证请求信息包括目标系统的账户信息证明、账户信息证明在默克尔树的位置索引、认证路径上各个节点的哈希值、以及第一默克尔树根；根据账户信息证明、账户信息证明在默克尔树的位置索引、认证路径上各个节点的哈希值，计算得到第二默克尔树根；若第一默克尔树根与第二默克尔树根一致，则判断第一默克尔树根与did文档中存储的默克尔树根是否一致，若一致，则认证通过，向目标用户提供登录目标系统的权限。
[0118]
在一个实施例中，身份认证模块，还用于若第一默克尔树根与第二默克尔树根不一致，或者，若第一默克尔树根与第二默克尔树根一致，且第一默克尔树根与did文档中存储的默克尔树根不一致，则认证失败，返回认证失败信息。
[0119]
在本公开实施例中，通过采集目标用户的链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明；根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份did文档中；根据did文档，生成did标识符，将did标识符写入did文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证，通过整合用户链上、链下已有的账户数据，生成去中心化身份，使身份信息自主可控，去中心化身份信息中包含用户的身份信息和隐私数据，只有经过用户授权的情况下才能使用，并且选择性披露，从而提升安全性、可认证和互操作性，身份认证更高效。
[0120]
所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
[0121]
下面参照图8来描述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
[0122]
如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件（包括存储单元820和处理单元810）的总线830。
[0123]
其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元810执行，使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元810可以执行如图2中所示的采集目标用户的
链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明；根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份did文档中；根据did文档，生成did标识符，将did标识符写入did文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证。
[0124]
存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元（ram）8201和/或高速缓存存储单元8202，还可以进一步包括只读存储单元（rom）8203。
[0125]
存储单元820还可以包括具有一组（至少一个）程序模块8205的程序/实用工具8204，这样的程序模块8205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
[0126]
总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
[0127]
电子设备800也可以与一个或多个外部设备840（例如键盘、指向设备、蓝牙设备等）通信，还可与一个或者多个使得用户能与该系统交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备（例如路由器、调制解调器等等）通信。这种通信可以通过输入/输出（i/o）接口850进行。并且，系统还可以通过网络适配器860与一个或者多个网络（例如局域网（lan），广域网（wan）和/或公共网络，例如因特网）通信。如图8所示，网络适配器860通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
[0128]
通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是cd-rom，u盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、终端装置、或者网络设备等）执行根据本公开实施方式的方法。
[0129]
在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
[0130]
描述了根据本发明的实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0131]
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举
的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0132]
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0133]
可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
[0134]
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（lan）或广域网（wan），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。
[0135]
应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0136]
此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
[0137]
通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是cd-rom，u盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、移动终端、或者网络设备等）执行根据本公开实施方式的方法。
[0138]
本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。

技术特征：
1.一种去中心化身份认证方法，其特征在于，包括：采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明；根据所述账户信息证明，构建默克尔树，得到所述目标用户的默克尔树根，将所述默克尔树根存储至去中心化身份did文档中；根据所述did文档，生成did标识符，将所述did标识符写入所述did文档，得到所述目标用户的去中心化身份信息，以基于所述去中心化身份信息进行身份认证。2.根据权利要求1所述的去中心化身份认证方法，其特征在于，所述did文档包括did标识字段、默克尔树根字段和基础信息字段；其中，所述根据所述did文档，生成did标识符，包括：根据所述默克尔树根字段和所述基础信息字段的值，生成所述did标识符。3.根据权利要求1所述的去中心化身份认证方法，其特征在于，所述采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明，包括：采集所述目标用户的链下账户数据的用户名和密码；对所述用户名和所述密码进行哈希计算，得到所述链下账户数据对应的账户信息证明。4.根据权利要求1所述的去中心化身份认证方法，其特征在于，所述采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明，包括：采集所述目标用户的链上账户数据的地址、公钥和私钥；采用所述私钥加密预设文本，得到所述链上账户数据对应的账户信息证明。5.根据权利要求1所述的去中心化身份认证方法，其特征在于，所述目标用户具有多个账户数据，一个所述账户数据对应一个所述账户信息证明；其中，所述根据所述账户信息证明，构建默克尔树，包括：将各个所述账户信息证明对应的哈希值，作为默克尔树的初级叶子节点；基于位置索引，将所述初级叶子节点对应的哈希值按照预设规则组合，得到一级字符串，将所述一级字符串对应的哈希值，作为默克尔树的中间叶子节点；若所述中间叶子节点的数量满足预设条件，则根据所述中间叶子节点，得到所述默克尔树根，根据所述初级叶子节点、所述中间叶子节点、以及所述默克尔树根，构建所述默克尔树。6.根据权利要求5所述的去中心化身份认证方法，其特征在于，所述方法还包括：若所述中间叶子节点的数量未满足预设条件，则基于所述位置索引，将所述中间叶子节点对应的哈希值按照所述预设规则组合，得到二级字符串；将所述二级字符串对应的哈希值，作为默克尔树的下一级中间叶子节点，直至所述中间叶子节点的数量满足所述预设条件。7.根据权利要求5所述的去中心化身份认证方法，其特征在于，所述预设规则包括组合顺序和组合数量；其中，所述中间叶子节点的数量满足预设条件，包括：
若所述中间叶子节点的数量小于或等于所述组合数量，则判定所述中间叶子节点的数量满足所述预设条件。8.根据权利要求1所述的去中心化身份认证方法，其特征在于，所述去中心化身份信息以去中心化的形式进行保存。9.根据权利要求1-8任一项所述的去中心化身份认证方法，其特征在于，所述方法还包括：获取所述目标用户的身份认证请求信息，其中，所述身份认证请求信息包括目标系统的账户信息证明、所述账户信息证明在所述默克尔树的位置索引、认证路径上各个节点的哈希值、以及第一默克尔树根；根据所述账户信息证明、所述账户信息证明在所述默克尔树的位置索引、认证路径上各个节点的哈希值，计算得到第二默克尔树根；若所述第一默克尔树根与所述第二默克尔树根一致，则判断所述第一默克尔树根与did文档中存储的默克尔树根是否一致，若一致，则认证通过，向所述目标用户提供登录所述目标系统的权限。10.根据权利要求9所述的去中心化身份认证方法，其特征在于，所述方法还包括：若所述第一默克尔树根与所述第二默克尔树根不一致；或者，若所述第一默克尔树根与所述第二默克尔树根一致，且所述第一默克尔树根与所述did文档中存储的默克尔树根不一致，则认证失败，返回认证失败信息。11.一种去中心化身份认证装置，其特征在于，包括：账户数据采集模块，用于采集目标用户的链上账户数据和链下账户数据，根据所述链上账户数据和所述链下账户数据生成所述目标用户的账户信息证明；默克尔树构建模块，用于根据所述账户信息证明，构建默克尔树，得到所述目标用户的默克尔树根，将所述默克尔树根存储至去中心化身份did文档中；去中心化身份生成模块，用于根据所述did文档，生成did标识符，将所述did标识符写入所述did文档，得到所述目标用户的去中心化身份信息，以基于所述去中心化身份信息进行身份认证。12.一种电子设备，其特征在于，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行如权利要求1-10任一项所述的去中心化身份认证方法。13.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-10任一项所述的去中心化身份认证方法。

技术总结
本公开提供了一种去中心化身份认证方法、装置、设备及介质，涉及区块链技术领域。该方法包括：采集目标用户的链上账户数据和链下账户数据，根据链上账户数据和链下账户数据生成目标用户的账户信息证明；根据账户信息证明，构建默克尔树，得到目标用户的默克尔树根，将默克尔树根存储至去中心化身份DID文档中；根据DID文档，生成DID标识符，将DID标识符写入DID文档，得到目标用户的去中心化身份信息，以基于去中心化身份信息进行身份认证。本公开生成的身份信息自主可控，身份信息可以选择性披露，从而提升安全性、可认证和互操作性，身份认证更高效。证更高效。证更高效。


技术研发人员：卢毅 梁伟
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.06.27
技术公布日：2023/8/1