供应链企业金融数字身份管理方法及系统、设备、介质

技术领域

本发明涉及数字身份管理技术领域，特别地，涉及一种供应链企业金融数字身份管理方法及系统、设备、计算机可读取的存储介质。

背景技术

企业数字身份是针对于企业、社区、政府等组织，用于提供该组织相关属性信息的数字身份，应用于商业贸易、公共管理等场景，为组织提供网络世界的身份证明，并且该身份由已授权的相关个人进行操作管理。如图1所示，现有的企业数字身份管理方式的主要流程为：X1、供应商、核心企业、销售商、第三方物流企业通过注册登记流程，经主管机关(如工商局、税务局、会计师事务所、银行等)核准登记，获得法人资格；X2、各个企业以自主研发或外包的形式设计并开发企业管理系统；X3、该企业管理系统可作为其主体——该企业的数字身份，对外展示其业务概况，并提供数字化服务；X4、用户通过该系统了解企业，并在系统内注册得到用户数字身份；X5、用户使用该数字身份获取企业数字化服务。

现有的企业数字身份管理方式存在以下问题：1、企业尚无专用于身份管理的统一数字身份，因此也无专人进行管理；2、企业为用户颁发专用于该企业系统的数字身份，需承担对用户数字身份的管理工作，增加了企业的管理负担；3、在企业向他人出示证明时，尚无可包含企业多角度、多信息来源的一种便捷方案，仍需企业在多个信息来源处进行签字盖章，时间成本较高；4、若企业对身份验证的过程管控较松，易造成用户身份盗用问题，进而造成双方损失；5、从用户角度，在不同企业系统中均需要注册，造成用户需要管理众多账号，身份过于分散；6、用户为获取服务需提供一些身份数据，其中敏感数据关系到用户隐私安全，而用户无法了解企业如何处理、使用其自身数据。

因此，现有的企业数字身份管理方式无法实现身份主体自主可控、不便于实现统一数字身份管理，而且存在隐私泄露风险。

发明内容

本发明提供了一种供应链企业金融数字身份管理方法及系统、设备、计算机可读取的存储介质，以解决现有的企业数字身份管理方式存在的无法实现身份主体自主可控、存在隐私泄露风险的技术问题。

根据本发明的一个方面，提供一种供应链企业金融数字身份管理方法，包括以下步骤：

步骤S1：供应链中的各方节点在分布式账本中注册数字身份并创建各自的凭证模板后上链存储；

步骤S2：供应链中的各方节点之间进行贸易活动时，一方节点基于另一方节点的请求为其颁发对应的凭证；

步骤S3：销售商节点向银行节点提交贷款请求，核心企业节点基于银行节点的要求提供可验证陈述，经银行节点验证通过后为销售商节点颁发贷款凭证。

进一步地，还包括以下步骤：

步骤S4：颁发凭证的节点对其所颁发的凭证进行撤销，将撤销凭证的状态更新为已撤销状态并上链存储。

进一步地，所述步骤S2具体包括以下内容：

供应商节点与核心企业节点进行交易，核心企业节点根据供应商节点的请求为其颁发交易凭证；

销售商节点与核心企业进行交易，核心企业节点根据销售商节点的请求为其颁发交易凭证；

核心企业节点通过第三方物流节点向销售商节点运输货物，第三方物流节点根据核心企业节点的请求为其颁发运输凭证；

第三方征信节点根据核心企业节点的请求为其颁发征信报告凭证。

进一步地，所述步骤S3包括以下内容：

步骤S31：销售商节点向银行节点提交贷款请求；

步骤S32：银行节点请求核心企业节点提供证明信息以完成贷款审核；

步骤S33：核心企业节点生成可验证陈述并发送给银行节点；

步骤S34：银行节点对可验证陈述进行验证，验证通过后银行节点同意向销售商节点提供贷款，并为其颁发贷款凭证。

进一步地，所述可验证陈述包括核心企业节点的征信报告凭证和运输凭证。

进一步地，在所述步骤S1之前还包括以下步骤：

政府机关节点和银行节点在分布式账本中注册身份发布者角色成为身份发布节点，并生成其身份标识DID和公私钥，身份发布节点定义凭证模板后将其发布至分布式账本中。

进一步地，所述步骤S1包括以下内容：

供应链中的各方节点的身份管理人员在分布式账本中进行注册，生成个人身份标识DID和公私钥，注册成功的身份管理人员为各自节点在分布式账本中进行注册，生成企业组织身份标识DID和公私钥，各方节点从分布式账本中检索凭证模板，参考凭证模板向身份发布节点请求凭证，身份发布节点向各方节点颁发可验证凭证对，第一个凭证包含企业所请求身份属性信息，第二个凭证是第一个凭证的非撤销状态证明，并将第一个凭证的哈希值与第二个凭证发布于分布式账本中，各方节点将获得的凭证对存储于本地钱包。

另外，本发明还提供一种供应链企业金融数字身份管理系统，包括

注册模块，用于供供应链中的各方节点在分布式账本中注册数字身份并创建各自的凭证模板后上链存储；

凭证颁发模块，用于在供应链中的各方节点之间进行贸易活动时，一方节点基于另一方节点的请求为其颁发对应的凭证；

验证模块，用于对可验证陈述进行验证。

另外，本发明还提供一种设备，包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器通过调用所述存储器中存储的所述计算机程序，用于执行如上所述的方法的步骤。

另外，本发明还提供一种计算机可读取的存储介质，用于存储进行供应链企业金融数字身份管理的计算机程序，该计算机程序在计算机上运行时执行如上所述的方法的步骤。

本发明具有以下效果：

本发明的供应链企业金融数字身份管理方法，基于分布式账本技术设计企业数字身份管理系统，将传统中心化管理或联合管理的数字身份转变为身份主体自主可控的数字身份，企业等组织的数字身份依托于组织内个体进行操作，使用数字身份可为企业注册、交易、贷款、注销等流程提供便利的操作管理。而且，传统线下业务操作受时间、空间限制，且纸质凭证易伪造，不便于保存管理，原件数量有限，使用数字身份管理相关身份数据，且通过密码学技术保证数据安全与隐私，降低身份管理成本，同时缓解数据孤岛问题。

另外，本发明的供应链企业金融数字身份管理系统、设备、计算机可读取的存储介质同样具有上述优点。

除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照图，对本发明作进一步详细的说明。

附图说明

构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是现有的企业数字身份管理方式的业务模式示意图。

图2是本发明优选实施例的供应链企业金融数字身份管理方法的流程示意图。

图3是图2中的步骤S3的子流程示意图。

图4是本发明优选实施例的供应链企业金融数字身份管理方法的另一实施方式的流程示意图。

图5是本发明另一实施例的供应链企业金融数字身份管理系统的模块结构示意图。

具体实施方式

以下结合附图对本发明的实施例进行详细说明，但是本发明可以由下述所限定和覆盖的多种不同方式实施。

如图2所示，本发明的优选实施例提供一种供应链企业金融数字身份管理方法，包括以下步骤：

步骤S1：供应链中的各方节点在分布式账本中注册数字身份并创建各自的凭证模板后上链存储；

步骤S2：供应链中的各方节点之间进行贸易活动时，一方节点基于另一方节点的请求为其颁发对应的凭证；

步骤S3：销售商节点向银行节点提交贷款请求，核心企业节点基于银行节点的要求提供可验证陈述，经银行节点验证通过后为销售商节点颁发贷款凭证。

可以理解，本实施例的供应链企业金融数字身份管理方法，基于分布式账本技术设计企业数字身份管理系统，将传统中心化管理或联合管理的数字身份转变为身份主体自主可控的数字身份，企业等组织的数字身份依托于组织内个体进行操作，使用数字身份可为企业注册、交易、贷款、注销等流程提供便利的操作管理。而且，传统线下业务操作受时间、空间限制，且纸质凭证易伪造，不便于保存管理，原件数量有限，使用数字身份管理相关身份数据，且通过密码学技术保证数据安全与隐私，降低身份管理成本，同时缓解数据孤岛问题。

可以理解，在所述步骤S1之前还包括以下步骤：

政府机关节点和银行节点在分布式账本中注册身份发布者角色成为身份发布节点，并生成其身份标识DID和公私钥，身份发布节点定义凭证模板后将其发布至分布式账本中。

其中，身份发布节点将公钥存储在分布式账本中，以便于其它节点进行验证。

可以理解，所述步骤S1具体包括以下内容：

供应链中的各方节点的身份管理人员在分布式账本中进行注册，生成个人身份标识DID和公私钥，注册成功的身份管理人员为各自节点在分布式账本中进行注册，生成企业组织身份标识DID和公私钥，各方节点从分布式账本中检索凭证模板，参考凭证模板向身份发布节点请求凭证，身份发布节点向各方节点颁发可验证凭证对，第一个凭证包含企业所请求的身份属性信息，第二个凭证是第一个凭证的非撤销状态证明，并将第一个凭证的哈希值与第二个凭证发布于分布式账本中，各方节点将获得的凭证对存储于本地钱包。其中，第一个凭证即为各方节点的凭证模板。

可以理解，供应链中各个企业创建凭证模板需基于身份发布节点定义的凭证模板进行申请审批，并且身份发布节点颁发的可验证凭证对有其私钥进行签名背书，提高了各个企业颁发的凭证的可信度和真实性。并且，注册成功的管理人员和企业都有各自的公私钥，可以对其身份信息进行加密处理，为身份隐私提供了保障。

可以理解，所述步骤S2具体包括以下内容：

供应商节点与核心企业节点进行交易，核心企业节点根据供应商节点的请求为其颁发交易凭证；

销售商节点与核心企业进行交易，核心企业节点根据销售商节点的请求为其颁发交易凭证；

核心企业节点通过第三方物流节点向销售商节点运输货物，第三方物流节点根据核心企业节点的请求为其颁发运输凭证；

第三方征信节点根据核心企业节点的请求为其颁发征信报告凭证。

可以理解，如图3所示，所述步骤S3包括以下内容：

步骤S31：销售商节点向银行节点提交贷款请求；

步骤S32：银行节点请求核心企业节点提供证明信息以完成贷款审核；

步骤S33：核心企业节点生成可验证陈述并发送给银行节点；

步骤S34：银行节点对可验证陈述进行验证，验证通过后银行节点同意向销售商节点提供贷款，并为其颁发贷款凭证。

其中，所述可验证陈述包括核心企业节点的征信报告凭证和运输凭证。银行节点在收到核心企业节点提供的可验证陈述后，在链上对核心企业节点的征信报告凭证和运输凭证进行对比验证，同时对征信报告凭证和运输凭证各自对应的非撤销状态证明进行确认，确认征信报告凭证和运输凭证处于有效状态。

可以理解，如图4所示，所述供应链企业金融数字身份管理方法还包括以下步骤：

步骤S4：颁发凭证的节点对其所颁发的凭证进行撤销，将撤销凭证的状态更新为已撤销状态并上链存储。

凭证颁发节点因某些原因可以对其颁发的凭证进行撤销，例如核心企业节点由于供应商节点提供的产品存在质量问题，可以撤销其向供应商节点颁发的交易凭证。当然，由于区块链中已上链信息是不可抹去的，因此，在凭证撤销过程中只更新凭证状态，将其变为已撤销状态，而不是删除凭证。

另外，本发明还提出企业金融数字身份管理的相关定义，包含身份管理相关概念及函数的定义，并依据身份管理流程进行数学描述，将企业注册、交易、贷款、注销等活动以数学形式进行规范化表达，为企业数字身份管理与使用提供自主可控的管理方案。

其中，概念定义包括：

实体：在数字身份管理中，实体是数字身份的主体，即数字身份所描述的对象，实体可以为个人、组织或物理资产，使用符号E表示实体集合，e为E中一具体实体，即e∈E。

身份域：身份域是数字身份存在和运作的环境，在身份域中，代表某一实体数字身份的标识符是唯一的，使用符号D(domain)表示身份域的集合，d为D中某一具体身份域，即d∈D。在本专利场景下，身份域可包括企业注册登记场景如面向工商局的管辖范围，企业生产经营场景如面向核心企业，企业贷款场景如面向银行等多个数字身份存在和运作的环境。

属性：实体的数字身份由众多实体属性组成，属性可测量，用来描述实体的特征，数字身份中的属性为一对键值对，即属性-属性值对，以A

标识符：标识符是一个属性，能够唯一标识实体的属性称为实体的标识符，在身份域中可能有多个属性能唯一标识域中实体，但随着实体数量的增加，有些属性可能不再能够唯一标识实体，为避免不必要的复杂性，在身份域中选取一个能够唯一标识实体的属性作为数字身份的标识符，以ID表示。

数字身份：实体在所有身份域中身份属性的集合称作实体的数字身份，以DI(Digital Identity)表示。

可验证凭证：可验证凭证可看做实体在某一领域身份属性的集合，用以表示该实体在一特定场景下用以证明其身份的属性集，包含了该身份域内实体的标识符及其他相关属性，以VC表示可验证凭证(Verifiable Credentials)，供应链金融场景下所涉及可验证凭证如营业执照凭证、征信报告凭证、贸易合同凭证、贷款凭证、收付款凭证等。

声明：在可验证凭证中，描述实体特征的属性称为声明，声明以C(Claim)表示。

可验证陈述：实体向验证方提供身份证明时，出于身份信息隐私保护以及所验证信息来自多身份证书等原因，实体可将VC进行部分属性值隐藏以及多VC整合，仅提供满足身份验证需求的最少身份属性信息量，从而形成可验证陈述，以VP(VerifiablePresentations)表示。

证书发布者、持有者、验证者：证书发布者可以为个体或组织，能够发布关于实体身份的可验证凭证，接受发布者所发布证书的实体为证书的持有者，持有者为获取服务资源，所提交的身份证明信息由验证者进行验证，因此在身份管理模型中，一个实体可以在不同场景扮演发布者、持有者与验证者角色，分别以I、H、V符号表示发布者(Issuer)、持有者(Holder)与验证者(Verifier)，如政府为供应商颁发凭证，供应商将此凭证向银行出示待银行验证，此过程中政府为Issuer，供应商为Holder，银行为Verifier。

密钥对：密钥用于在信息传输中进行数据加密与数字签名，从而起到保护数据隐私以及确认发送者身份的作用，非对称加密技术中，以公私钥对的关联关系实现数据加解密，公钥以PK表示，私钥以SK表示。

分布式账本：分布式账本无中心化管理者，使用账本的参与方共同遵守运行规则，共同维护一致的账本交易记录，表示为L(Ledger)。

函数定义：

register(e)→(DID

该函数用于注册数字身份，函数输入e代表实体，即数字身份的主体，函数输出该身份主体的相关信息，DID

create(DID，A)→credential

该函数用于创建凭证模板，函数输入DID代表该模板的创建者，A代表该模板内所包含的属性集合，函数输出credential

credential

该函数用于生成凭证请求，函数输入DID表示该请求的发起者，credential

IssueVC(DID

该函数用于颁发凭证，函数输入DID

proof

该函数用于生成证明请求，当证书持有者与第三方进行交互时，第三方可向持有者请求出示持有者身份证明，此时第三方称为验证者Verifier，函数输入DID为验证者身份标识符，用于表明该请求由谁发出，A为验证方所请求持有者出示的身份属性集合，SK

proof(DID，proof

该函数用于生成可验证陈述VP，函数输入DID为证书持有者的身份标识符，由该持有者将所需VC进行处理后得到VP，proof

verify

该函数用于验证可验证陈述VP，函数输入VP为待验证的陈述，PKH为持有者公钥，用于验证该VP的真实性，PK

verify

该函数用于验证凭证状态state，函数输入state

revoke(VC，state

该函数用于撤销凭证，函数输入VC为将被执行撤销操作的凭证，state

另外，如图5所示，本发明还提供一种供应链企业金融数字身份管理系统，包括

注册模块，用于供供应链中的各方节点在分布式账本中注册数字身份并创建各自的凭证模板后上链存储；

凭证颁发模块，用于在供应链中的各方节点之间进行贸易活动时，一方节点基于另一方节点的请求为其颁发对应的凭证；

验证模块，用于对可验证陈述进行验证。

可以理解，所述注册模块还用于供政府机关节点和银行节点在分布式账本中注册身份发布者角色成为身份发布节点，并生成其身份标识DID和公私钥，并在身份发布节点定义凭证模板后将其发布至分布式账本中。

另外，所述供应链企业金融数字身份管理系统还包括

撤销模块，用于供颁发凭证的节点对其所颁发的凭证进行撤销，并将撤销凭证的状态更新为已撤销状态并上链存储。

可以理解，本实施例的系统中各个模块的工作过程与上述方法实施例中的各个步骤相对应，故在此不再赘述。

可以理解，本实施例的供应链企业金融数字身份管理系统，基于分布式账本技术设计企业数字身份管理系统，将传统中心化管理或联合管理的数字身份转变为身份主体自主可控的数字身份，企业等组织的数字身份依托于组织内个体进行操作，使用数字身份可为企业注册、交易、贷款、注销等流程提供便利的操作管理。而且，传统线下业务操作受时间、空间限制，且纸质凭证易伪造，不便于保存管理，原件数量有限，使用数字身份管理相关身份数据，且通过密码学技术保证数据安全与隐私，降低身份管理成本，同时缓解数据孤岛问题。

另外，本发明还提供一种设备，包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器通过调用所述存储器中存储的所述计算机程序，用于执行如上所述的方法的步骤。

另外，本发明还提供一种计算机可读取的存储介质，用于存储进行供应链企业金融数字身份管理的计算机程序，该计算机程序在计算机上运行时执行如上所述的方法的步骤。

一般计算机可读取介质的形式包括：软盘(floppy disk)、可挠性盘片(flexibledisk)、硬盘、磁带、任何其与的磁性介质、CD-ROM、任何其余的光学介质、打孔卡片(punchcards)、纸带(paper tape)、任何其余的带有洞的图案的物理介质、随机存取存储器(RAM)、可编程只读存储器(PROM)、可抹除可编程只读存储器(EPROM)、快闪可抹除可编程只读存储器(FLASH-EPROM)、其余任何存储器芯片或卡匣、或任何其余可让计算机读取的介质。指令可进一步被一传输介质所传送或接收。传输介质这一术语可包含任何有形或无形的介质，其可用来存储、编码或承载用来给机器执行的指令，并且包含数字或模拟通信信号或其与促进上述指令的通信的无形介质。传输介质包含同轴电缆、铜线以及光纤，其包含了用来传输一计算机数据信号的总线的导线。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。