账户管理方法、账户管理设备和账户管理系统技术方案

本说明书实施例提供一种账户管理方法、账户管理设备和账户管理系统。该账户管理方法包括：服务端的服务组件从客户端的客户组件获取来自用户方的场景身份注册数据；服务组件根据场景身份注册数据，配置与用户方相关联的场景信息；以及服务组件在场景链上配置用户方的与场景相关联的场景身份。场景相关联的场景身份。场景相关联的场景身份。

【技术实现步骤摘要】
账户管理方法、账户管理设备和账户管理系统


[0001]本说明书实施例属于区块链
，尤其涉及一种账户管理方法、账户管理设备和账户管理系统。

技术介绍

[0002]随着数字化进程的不断发展，开发出了越来越多的业务场景来为用户方提供相应的服务。通常情况下，用户方需要在每种业务场景下建立其身份或账户，而业务场景的运营方可以采用中心化的方式来管理其所有用户的身份或账户。这将导致同一个用户方在多个业务场景下的多个身份或账户之间常常是彼此割裂的，难以有效整合。另外，由于一般是由运营方的上层应用来代理进行用户方的具体操作，因此也带来了一定的安全风险。因而，有必要改进在多个业务场景下管理用户的身份或账户的方式。

技术实现思路

[0003]本说明书一个或多个实施例的目的在于提供一种账户管理方法、账户管理设备和账户管理系统，以整合用户在不同的业务场景下的身份，并实现分布式的账户管理来保障账户安全性。
[0004]根据本说明书一个或多个实施例的第一方面，提供了一种账户管理方法，包括：服务端的服务组件从客户端的客户组件获取来自用户方的场景身份注册数据，其中，与用户方的去中心化身份关联的身份文档被存储在身份链上；服务组件根据场景身份注册数据，配置与用户方相关联的场景信息；以及服务组件在场景链上配置用户方的与场景相关联的场景身份。
[0005]根据本说明书一个或多个实施例的第二方面，提供了一种账户管理设备，包括通信模块和场景身份注册模块，通信模块被配置为从客户端的客户组件获取来自用户方的场景身份注册数据，其中，与用户方的去中心化身份关联的身份文档被存储在身份链上，场景身份注册模块被配置为根据场景身份注册数据，配置与用户方相关联的场景信息，和在场景链上配置用户方的与场景相关联的场景身份。
[0006]根据本说明书一个或多个实施例的第三方面，提供了一种账户管理系统，包括如上所述的账户管理设备、客户端以及存储有与用户方的去中心化身份关联的身份文档和场景身份的区块链。
附图说明
[0007]为了更清楚地说明本说明书实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0008]图1是本说明书一实施例的账户管理方法中在身份链上注册用户方的去中心化身
份的示意图；
[0009]图2是本说明书一实施例的账户管理方法中在服务组件处注册运营方的与场景相关联的场景链的流程示意图；
[0010]图3是本说明书一实施例中账户管理方法的流程示意图；
[0011]图4是本说明书一具体示例中账户管理方法的示意图；
[0012]图5是本说明书一实施例的账户管理方法中产生用户方的恢复公钥和恢复私钥的示意图；
[0013]图6是本说明书另一实施例的账户管理方法中产生用户方的恢复公钥和恢复私钥的示意图；
[0014]图7是本说明书一实施例的账户管理方法中利用用户方的恢复公钥和恢复私钥来更新用户方的控制公钥和控制私钥的示意图；
[0015]图8是本说明书另一实施例的账户管理方法中利用用户方的恢复公钥和恢复私钥来更新用户方的控制公钥和控制私钥的示意图；
[0016]图9是本说明书一实施例中账户管理设备的示意图；
[0017]图10是本说明书一实施例中账户管理系统的示意图。
具体实施方式
[0018]为了使本
的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。
[0019]区块链是一种利用加密算法和点对点传输技术构建的分布式网络数据存储技术，其具有去中心化、防篡改、可溯源等特点。在区块链中，数据可以不再存储于一个中心化的硬件或管理机构，而是由权利和义务对等的区块链节点来共同维护；数据可以被记录在区块链技术构建的系统的多个节点上，能够实现在任意时间查看任何节点保存在本地区块链中的数据；一旦数据经过验证并添加到区块链，就可以被永久地存储起来，利用共识算法和哈希链式数据存储技术能够实现数据的不可篡改，从而保证数据的安全性和真实性。
[0020]可信执行环境(Trusted Execution Environment,TEE)是指服务端或客户端中的安全可信区域(TrustZone)，以保证放入其中的代码和数据的安全性、机密性和完整性。可信执行环境提供了一种隔离的执行环境或者说独立运行的小型操作系统，该操作系统以系统调用(由TrustZone内核直接处理)的方式直接提供少数服务，其代码和数据可以在可信执行环境中运行，且在运行过程中可以保证不被常规操作系统干扰，从而保证代码和数据的机密性、完整性和安全性。
[0021]基于区块链技术的去中心化的身份服务(Decentralized Identifier Service,DIS)可以为用户提供不受单一的注册中心、身份服务商或认证中心限制的，由自己控制的去中心化身份(DID)。然而，当前的DIS系统主要为企业端(B端)的业务场景提供服务，在大部分业务场景中，采用密钥托管方式来帮助客户端(C端)或者用户方管理密钥。这样，在不同的业务场景之间，同一个用户方的多个密钥常常是彼此独立的，换句话说，同一个用户方
在不同的业务场景中的身份是彼此割裂的，难以被有效整合。此外，用户方的链上操作通常是由上层应用代理进行的，这样无法保证上层应用不模拟用户方的行为进行作恶，因此存在一定的安全合规风险。
[0022]为了解决上述问题，本说明书一个或多个实施例提出了一种直接为用户方提供账户管理服务的账户管理方法，该账户管理方法可以帮助用户方安全地管理密钥，可以结合DIS技术的托管模式来统一管理各个业务场景下的链上账户，使用户方的身份与业务场景解耦，并可以通过智能合约来协助用户方进行能够保证隐私安全的链上操作。
[0023]在本说明书一个或多个实施例的账户管理方法中，通常涉及客户端和服务端两者之间的信息交互。其中，客户端可以包括例如用户方的智能手机、平板电脑、智能电视等移动终端。客户端可以基于安卓操作系统、IOS操作系统或者其他的操作系统运行，在此不作限制。在客户端中可以设置第一可信执行环境用于安全存储和计算等，此外客户端中还可以包括设置在第一可信执行环境之外的客户组件，用于进行其他存储和计算。服务端中可以包括为用户方提供相应服务的服务组件，此外服务端中还可以包括用于记录用户方的身份信息的一条或多条区块链。另外，在一些实施例中，也可以在服务端中设置第二可信执行环境，并将例如区块链等存储在第二可信执行环境中，以保障数据的安全性。在一些实施例中，客户组件和服务组件可以是基于以区本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种账户管理方法，包括：服务端的服务组件从客户端的客户组件获取来自用户方的场景身份注册数据，其中，与所述用户方的去中心化身份关联的身份文档被存储在身份链上；所述服务组件根据所述场景身份注册数据，配置与所述用户方相关联的场景信息；以及所述服务组件在场景链上配置所述用户方的与场景相关联的场景身份。2.根据权利要求1所述的账户管理方法，其中，所述场景身份注册数据包括选定场景列表数据，所述选定场景列表数据被配置为指示所述用户方从候选场景列表数据中选定的一个或多个场景。3.根据权利要求2所述的账户管理方法，其中，所述候选场景列表数据是由所述服务组件传输给所述客户组件的。4.根据权利要求2所述的账户管理方法，其中，所述场景身份注册数据还包括第一签名数据，所述第一签名数据是利用所述用户方的控制私钥对所述选定场景列表数据进行签名来产生的。5.根据权利要求4所述的账户管理方法，其中，所述控制私钥被存储在所述客户端的第一可信执行环境中，且在所述第一可信执行环境中利用所述控制私钥对所述选定场景列表数据进行签名来产生所述第一签名数据。6.根据权利要求4所述的账户管理方法，其中，所述控制私钥被存储在不同于所述客户端和所述服务端的密钥托管端中。7.根据权利要求4所述的账户管理方法，其中，所述服务组件根据所述场景身份注册数据，配置与所述用户方相关联的场景信息包括：所述服务组件利用所述用户方的控制公钥对所述第一签名数据进行验签，其中，所述控制公钥与所述控制私钥相匹配，且所述控制公钥被包含在与所述用户方的去中心化身份关联的身份文档中；以及当验签通过时，所述服务组件根据所述选定场景列表数据来更新与所述用户方相关联的场景信息。8.根据权利要求7所述的账户管理方法，其中，与所述用户方相关联的场景信息被包含在与所述用户方的去中心化身份关联的身份文档中；当验签通过时，所述服务组件根据所述选定场景列表数据来更新与所述用户方相关联的场景信息包括：当验签通过时，所述服务组件从所述身份链获取与所述用户方的去中心化身份关联的身份文档；以及所述服务组件根据所述选定场景列表数据来更新所述身份文档中包含的场景信息，并将更新的身份文档传输给所述身份链以供所述身份链存储。9.根据权利要求7所述的账户管理方法，其中，与所述用户方相关联的场景信息被存储在独立于所述身份链和所述场景链设置的链下数据库中。10.根据权利要求1所述的账户管理方法，其中，所述服务组件在场景链上配置所述用户方的与场景相关联的场景身份包括：所述服务组件在所述场景链上建立所述用户方的场景账户作为所述场景身份。
11.根据权利要求1所述的账户管理方法，其中，所述服务组件在场景链上配置所述用户方的与场景相关联的场景身份包括：所述服务组件将所述用户方的身份信息作为所述场景身份绑定到所述场景链上的智能合约中。12.根据权利要求1所述的账户管理方法，其中，所述身份链和所述场景链为同一区块链。13.根据权利要求1所述的账户管理方法，其中，所述身份链和所述场景链为不同的区块链。14.根据权利要求1所述的账户管理方法，还包括：在所述服务组件处注册运营方的与场景相关联的场景链。15.根据权利要求14所述的账户管理方法，其中，在所述服务组件处注册运营方的与场景相关联的场景链包括：所述服务组件获取来自所述运营方的场景注册数据，其中，所述场景注册数据包括与场景相关联的场景链的场景链配置数据、智能合约配置数据和场景描述数据；所述服务组件根据所述场景链配置数据建立与所述场景链之间的连接；所述服务组件根据所述智能合约配置数据部署所述场景链的智能合约；以及所述服务组件记录包括所述场景描述数据的至少部分场景注册数据以建立场景。16.根据权利要求1所述的账户管理方法，还包括：在所述身份链上注册所述用户方的去中心化身份。17.根据权利要求16所述的账户管理方法，其中，在所述身份链上注册所述用户方的去中心化身份包括：所述服务组件从所述客户组件获取所述用户方的身份注册数据，其中，所述身份注册数据包括身份核验信息；所述服务组件对所述身份核验信息进行验证；当验证通过时，所述服务组件为所述用户方分配去中心化身份，并将所述去中心化身份传输到所述第一可信执行环境中；所述服务组件从所述第一可信执行环境中获取所述用户方的控制公钥；所述服务组件根据所述去中心化身份和所述控制公钥配置与所述用户方的去中心化身份关联的身份文档；以及所述服务组件基于所述身份文档在所述身份链上注册所述用户方的去中心化身份。18.根据权利要求17所述的账户管理方法，其中，所述身份核验信息包括二要素信息和生物核身信息。19.根据权利要求17所述的账户管理方法，其中，所述身份注册数据还包括用户名信息；当验证通过时，所述服务组件为所述用户方分配去中心化身份包括：所述服务组件为所述用户方建立与所述用户名信息相关联的去中心化身份。20.根据权利要求17所述的账户管理方法，其中，所述服务组件将所述去中心化身份传输到所述第一可信执行环境中包括：所述服务组件利用服务私钥对所述去中心化身份进行签名以产生第二签名数据，以及
所述服务组件将所述去中心化身份和所述第二签名数据传输到所述第一可信执行环境中。21.根据权利要求20所述的账户管理方法，其中，在所述身份链上注册所述用户方的去中心化身份还包括：在所述第一可信执行环境中，利用服务公钥对所述第二签名数据进行验签，其中，所述服务公钥与所述服务私钥相匹配；当验签通过时，在所述第一可信执行环境中产生所述用户方的控制公钥和控制私钥，其中，所述控制公钥与所述控制私钥相匹配；以及将所述去中心化身份和所述控制公钥从所述第一可信执行环境传输给所述服务组件，并将所述控制私钥存储在所述第一可信执行环境中。22.根据权利要求1所述的账户管理方法，还包括：产生所述用户方的恢复公钥和恢复私钥，其中，所述恢复公钥与所述恢复私钥相匹配。23.根据权利要求22所述的账户管理方法，其中，产生所述用户方的恢复公钥和恢复私钥包括：所述服务组件从所述客户组件获取所述用户方的恢复密钥数据；所述服务组件根据所述恢复密钥数据，产生所述用户方的恢复公钥和恢复私钥；以及所述服务组件将所述用户方的去中心化身份和所述恢复公钥关联地存储到所述身份链上。24.根据权利要求23所述的账户管理方法，其中，产生所述用户方的恢复公钥和恢复私钥还包括：所述客户组件获取来自所述用户方的恢复密钥数据，并将所述恢复密钥数据传输到所述第一可信执行环境中；在所述第一可信执行环境中，利用所述用户方的控制私钥对所述恢复密钥数据进行签名以产生第三签名数据，并将所述第三签名数据从所述第一可信执行环境传输到所述客户组件。25.根据权利要求24所述的账户管理方法，其中，所述服务组件根据所述恢复密钥数据，产生所述用户方的恢复公钥和恢复私钥包括：所述服务组件利用所述用户方的控制公钥对所述第三签名数据进行验签；以及当验签通过时，所述服务组件产生所述用户方的恢复公钥和恢复私钥。26.根据权利要求22所述的账户管理方法，其中，产生所述用户方的恢复公钥和恢复私钥包括：所述服务组件从所...

【专利技术属性】
技术研发人员：陈远，李书博，孙善禄，代平，
申请(专利权)人：蚂蚁区块链科技上海有限公司，
类型：发明
国别省市：