基于链上Hash状态管理的证照区块链化系统

技术领域

基于链上Hash状态管理的证照区块链化系统，具体为区块链技术领域。

背景技术

现有电子证照区块链化方案的主要流程，颁证方在中心化平台填入证照名称、编号、所有人、有效期等等证照票面信息后，通过链上交易将证照信息,加密上传到证照链上，其中证照链、证照名称和编号组成检索信息上传到另外的检索链或链下数据库，且数据库保存一份所属人和检索信息的数据便于检索持有人所有证照。

持证方需通过平台的数据库才可查询自己的所需证照的检索信息，检索信息包含链上区块及交易的索引，方可获取到自己的证照数据,即所有证照数据加密上链。

第三方验证时，需扫描经过持证方加密的数据或二维码，经持证方请允许后方可验证。

区块链证照的第二种方式即可验证凭证方式，仅将数据身份验证上链，证照发行方通过线下将数据加密并签名，验证方式有两种，取决于用证方是否可直接取得凭证，若用证方可直接获取到可验证凭证，则用证方验证发证方及持证方身份后，可直接对线下凭证验证发行方签名，若用证方没有直接获取到可验证凭证，则用证方可向用户数据托管平台发起请求，取得用户授权后，查看并验证凭证信息。

首先，当前证照多数方案中均需将证照全量数据加密上链，则此必然要求在证照发行持证方将证照数据进行加密，即将持证方的作为证照的发行及管理的必要环节，这与部分证照发行的目的和流程不符，一般意义上的证照，是由权威机构向特定主体发放的证明文件，其发放与注销主要由权威机构按证照发行与管理原则进行控制，持证方的参与在不同证照中其充分性和必要性不同，因此，持证方的解密与授权应仅与持政方隐私性保护相关，与证照的发行与注销等无关，即隐私保护和证照发行可以独立为两个不同的子系统。如果在证照发行环节中引入持证方身份签名，则在加大了验证和证照管理、重新发行及变更的难度，当有证照信息变更，发行方或持证方身份密钥变更的情况下，所有证照需重新做一次发行。当前我国的CA证书发行办法，CA证书定期过期并更换，除此之外基于安全的密钥管理体系或办法，发证方或者持证方的管理密钥也会有定期更换的情况，如果此时对所有证照重新做一次发行，时间成本及经济成本均十分具大

二是在大部分情况下，用证方验证时均需获得持证方授权方可进行验证，这种方法更适用于需要通过用户数据托管平台获取证照凭证的方式，在此种方式下，用户无需提交证照凭证，仅需授权用证方可向数据托管平台获取相应证照数据即可，此时用户授权本质上解决的是数据获取问题。但对于无需能过第三方用户自己提交凭证的方式，当持证方将凭证本身提交给用证方时，此时已经获取到了凭证信息，接下来只需验证发行方与持证方身份即可，而这也是我们日常生活中证照的使用方式，即当获取到持证方提交的证照时，只需验证证照信息是否真实及是否与持证方身份一致即可，无需在已获取到凭证验证凭证的过程中再次向用户申请授权。

发明内容

本发明的目的在于提供基于链上Hash状态管理的证照区块链化系统及方法。

为实现上述目的，本发明提供如下技术方案：基于链上Hash状态管理的证照区块链化系统划分为区块链层、接入层、平台层、平台交互层和应用层，区块链层、接入层、平台层、平台交互层和应用层依次连接。

优选的，所述的区块链层是整个证照Hash数据的共识层也是存储层，其中区块链层能实现Hash单元管理，成员管理，管理单元权限管理,Hash权限管理,Hash状态管理等功能。

优选的，接入层抽象了链上数字Hash的基础管理操作,是连接互联网应用和链上服务的中间层，其并提供了如文件Hash计算常用工具模块，以开源的多语言SDK工具包形式对外提供,因此第三方使用此SDK可以独立的与链上服务进行交互，如独立完成对证照Hash进行计算、证照核验及发行方身份核验,是证照完成跨主体验证的重要组成部分,接入层含有以下功能模块:

2-1.链上管理单元管理,创建,身份认证,成员管理,增加，删除；

2-2.链上权限管理,管理单元权限及Hash权限管理；

2-3.文件Hash计算,按证照Hash规范计算文件Hash；

2-4.文本Hash计算,按证照文本Hash方式计算文本Hash；

2-5.Hash状态管理,Hash状态的增加、注销等。

优选的，所述的平台层主要实现了证件的发行及验证,承载了证照文件处理、票面信息处理、二维码生成、证照样式配置、证照Hash生成、证照核验、身份管理等等链接下数据处理及管理的功能逻辑。

优选的，所述的平台交互层主要是平台层对外提供的服务接口,将平台层的服务以标准化、多形式、多渠道的方式提供给应用层或第三方使用者。

优选的，所述的应用层是具体的业务逻辑层，即证照发行机构等原有业务系统，应用层系统通过开放Api与平台层进行交互，实现业务流程中相关证件的验证，及业务结论成果性文件(如证件)的发行。

与现有技术相比，本发明的有益效果是：1、最小化信息上链，仅将证照Hash上链，因此一无需对链上数据进行解密，二使用证方获取证照数据的过程与证照发行及核验过程相独立开来；

2、将证照数据托管与证照发行解耦，用户可自行选用数据托管机构或服务，或不使用托管由自己保存相关证照；

3、发行者的身份通过证照管理单元的CA证书确定，即链上可确定发行者身份；

4、Hash的状态管理(如新增、注销等)在链上进行，即链上将Hash状态置为注销态，即证照状态可实时在链上进行验证，无需链下中心化服务参与；

5、证照的核验除文件核验外，增加了票面信息核验，在无原始证照仅有证照相关信息情况下，同样可对证照进行核验；

6、将原始证照票面信息以二维码形式放置到区块链证照，持证方可进行扫码核验；

7、持证方在无需依赖特定第三方的情况下，通过自行计算Hash及验证链上管理单元CA证书，可完成证照的独立链上验证；

8、仅将证照的结果上链，即最终的证照的区块链化仅需证照发行机构授权即可，用户申请及证照审批过程等属于证照发行机构原有证照发行规则范畴。

附图说明

图1为本发明的连接结构示意图；

图2为本发明的原理结构示意图。

具体实施方式

下面将结合发明实施例中的附图，对发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是发明一部分实施例，而不是全部的实施例。基于发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于发明保护的范围。

本实施例提供一种技术方案：参照图1-2所示，基于链上Hash状态管理的证照区块链化系统划分为区块链层、接入层、平台层、平台交互层和应用层，区块链层、接入层、平台层、平台交互层和应用层依次连接。

其中，所述的区块链层是整个证照Hash数据的共识层也是存储层，其中区块链层能实现Hash单元管理，成员管理，管理单元权限管理,Hash权限管理,Hash状态管理等功能。

其中，接入层抽象了链上数字Hash的基础管理操作,是连接互联网应用和链上服务的中间层，其并提供了如文件Hash计算常用工具模块，以开源的多语言SDK工具包形式对外提供,因此第三方使用此SDK可以独立的与链上服务进行交互，如独立完成对证照Hash进行计算、证照核验及发行方身份核验,是证照完成跨主体验证的重要组成部分,接入层含有以下功能模块:

2-1.链上管理单元管理,创建,身份认证,成员管理,增加，删除；

2-2.链上权限管理,管理单元权限及Hash权限管理；

2-3.文件Hash计算,按证照Hash规范计算文件Hash；

2-4.文本Hash计算,按证照文本Hash方式计算文本Hash；

2-5.Hash状态管理,Hash状态的增加、注销等。

其中，所述的平台层主要实现了证件的发行及验证,承载了证照文件处理、票面信息处理、二维码生成、证照样式配置、证照Hash生成、证照核验、身份管理等等链接下数据处理及管理的功能逻辑，主要分为四个功能模块：

3-1.平台方管理，其使用方主要为平台方，主要功能为组织账号的创建与认证服务；

3-2.组织与证照发行服务,主要的使用方为某个具体的组织，其包含了某个组织的成员管理、权限管理及证照流程的管理；

3-3.证照发行服务，负责证照具体的录入与签署上链，主要的使用方为组织的普通成员；

3-4.数字身份的管理，包括身份管理、CA证书本地密钥管理、加解密等模块及操作。

其中，所述的平台交互层主要是平台层对外提供的服务接口,将平台层的服务以标准化、多形式、多渠道的方式提供给应用层或第三方使用者。

其中，所述的应用层是具体的业务逻辑层，即证照发行机构等原有业务系统，应用层系统通过开放Api与平台层进行交互，实现业务流程中相关证件的验证，及业务结论成果性文件(如证件)的发行。

其中发行与验证逻辑包含以下几个方面：

4、发行处理逻辑:

4-1、证照发行机构通过原有线下系统(或结合平台层提供的功能),按证照发行办法审核相关材料后，形成证照票面信息；

4-2、将证照票面信息按发行部门规范生成电子版证照文件，并将证照信息以二维码形式加入证照文件中；

4-3、将证照票面信息进行计算哈希生成HashA,对证照文件计算哈希生成HashB；

4-4、使用证照发行机构的相关管理密钥，将HashA与HashB提交到链上相应由发行机构CA证书密钥创建的管理单元；

4-5、结束。

5、证照变更或注销逻辑:

5-1、将旧有证照票面信息进行计算哈希生成HashA,对证照文件计算哈希生成HashB；

5-2、使用证照发行机构的相关管理密钥，将链上相应由发行机构CA证书密钥创建的管理单元中的HashA和HashB置为注销态；

5-3、对变更信息后的新证照，参照发行处理逻辑进行处理，并提交到指定管理单元；

5-4、结束。

6、证照信息核验逻辑:

6-1、用证方通过用户提交或扫描证照文件方式，获取到票面信息；

6-2、将票面信息按指定规范编码并计算哈希生成HashA；

6-3、用证方到链上指定管理单元验证HashA的状态是否正确，若正确，则继续步骤6-4，若错误，则证照为假，跳转到步骤6-5；

6-4、用证方验证管理单元CA证书身份是否为证照发行机构身份；

6-5、结束。

7、文件核验逻辑:

7-1、用证方将证照凭证计算哈希生成HashB；

7-2、用证方到链上指定管理单元验证HashB的状态是否正确，若正确，则继续步骤7-3，若错误，则证照为假，跳转到步骤7-4；

7-3、用证方验证管理单元CA证书身份是否为证照发行机构身份；

7-4、结束。

尽管已经示出和描述了发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，发明的范围由所附权利要求及其等同物限定。