CESA-2021-3-031《工业区块链 身份识别技术要求》团体标准（征求意见稿）

ICS35.040

CCSL81

团体标准

T/CESAXXXXX—XXXX

工业区块链身份识别技术要求

Industryblockchain-Technicalrequirementofidentification

征求意见稿

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

已授权的专利证明材料为专利证书复印件或扉页，已公开但尚未授权的专利申请

证明材料为专利公开通知书复印件或扉页，未公开的专利申请的证明材料为专利申请

号和申请日期。

XXXX-XX-XX发布XXXX-XX-XX实施

中国电子工业标准化技术协会发布

Q/GDWXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

本文件由东北大学提出。

本文件由中国电子技术标准化研究院、中国电子工业标准化技术协会归口。

本文件起草单位：。

本文件主要起草人：。

2

T/CESAXXXX—202X

工业区块链身份识别技术要求

1范围

本文件规定了用于面向工业领域的区块链身份识别的技术要求，描述了身份识别的业务流程和功能

要求。

本文件适用于指导工业领域基于区块链的分布式认证系统的设计、生产、集成与应用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T15843.2信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制

GB/T15843.3信息技术安全技术实体鉴别第3部分：用非对称签名技术的机制

3术语和定义

下列术语和定义适用于本文件。

3.1用户实体userentity

网络身份识别的获取者或/和使用者。

注：用户包括工业领域中的工业系统或设备、工业领域业务或监管部门、安全管理人员、工业系统上下游单位、

外部第三方（如银行金融机构）等，基于分布式数字身份获取相关信息，或进行相关操作。

3.2分布式数字身份distributeddigitalidentity

为网络用户实体分配对应数字身份的过程，简称数字身份分配服务。该数字身份主要由分布式数字

身份标识符和数字身份凭证组成。

注：每个数字身份被分配唯一的身份ID，适用于不同的应用场景，同时在不同场景下拥有与身份标识符一一对应

的数字身份凭证。

3.3分布式数字身份标识符distributeddigitalidentityidentifier

分布式数字身份标识符用于唯一标识工业领域中内的某一用户实体，各用户实体可自主完成身份ID

的注册、解析、更新或者撤销操作，简称分布式数字身份标识符的管理服务。该数字身份标识符（简称

身份ID）是由字符串组成的标识符以及与之关联的公私钥对，具有内全局公开唯一、分布式、自主可控

和跨链复用等特点。

注：工业领域中的每一个用户实体可同时拥有多个数字身份，同时不同的身份ID之间没有关联信息，能够有效避

免用户实体身份信息的归集。

3.4数字身份凭证digitalidentitycertificate

3

Q/GDWXXXXX—XXXX

数字身份凭证是与工业领域用户实体相关联的身份属性声明集合，并且附上颁发者的签名信息及凭

证的元数据，其中数字身份凭证元数据包括凭证名称、凭证颁发者、颁发日期等，数字身份凭证颁发

者签名信息包括颁发者所使用的签名算法、凭证创建时间、创建者、数字签名信息等。该身份凭证涉

及到数字身份凭证颁发者、数字身份凭证持有者和数字身份凭证验证者三类角色，可实现对凭证的颁发、

验证、更新与撤销操作，简称数字身份凭证的管理服务。

注：身份凭证用于描述工业领域中某些实体所具有的某些身份属性。

3.5数字身份凭证申请者digitalidentitycertificateapplicant

请求获得数字身份凭证的身份ID的责任主体。

注：数字身份凭证在进行数字身份凭证的申请、颁发业务交互之前，首先需根据相应需求注册相应的身份ID并将

其上链存储；其次并与业务交互方完成对双向身份ID的解析和验证，建立起可信连接；最后在此可信连接的

基础上进行基于分布式身份凭证颁发业务。

3.6数字身份凭证颁发者digitalidentitycertificateissuer

提供身份ID持有者获得数字身份凭证的责任主体。

注：数字身份凭证颁发者在进行数字身份凭证的颁发业务交互之前，首先需根据相应需求注册相应的身份ID并将

其上链存储；其次并与业务交互方完成对双向身份ID的解析和验证，建立起可信连接；最后在此可信连接

的基础上进行基于分布式身份凭证颁发业务。

3.7数字身份凭证持有者digitalidentitycertificateholder

持有数字身份凭证的责任主体。

3.8数字身份凭证验证者digitalidentitycertificateverifier

提供验证数字身份凭证的身份ID持有者的责任主体。

注：数字身份凭证验证者在进行数字身份凭证的验证业务交互之前，首先需根据相应需求注册相应的身份ID并将

其上链存储；其次并与业务交互方完成对双向身份ID的解析和验证，建立起可信连接；最后在此可信连接的

基础上进行基于分布式身份凭证验证业务。

3.9身份钱包identitywallet

提供存储用户实体在各个应用场景下的身份ID和身份凭证服务的责任主体。

3.10分布式身份账本distributedidentityledger

提供用户实体的分布式数字身份标识符及其公钥信息、数字身份凭证定义等分布式身份账本存储服

务的责任主体。

注：分布式身份协议节点通过共识机制共同维护一份相同的分布式身份账本。

3.11分布式身份协议节点distributedidentityprotocolnode

提供分布式数字身份标识符的管理服务协议支持身份ID全周期管理（注册、验证、更新、撤销），

数字身份凭证的管理服务服务协议支持分布式数字凭证的全周期管理（颁发、验证、更新、撤销），此

外，提供数据的可靠存储方案的责任主体。

3.12分布式客户端distributedclient

4

T/CESAXXXX—202X

提供用户实体分布式数字身份标识符的管理服务接口，以及数字身份凭证的管理服务接口的责任主

体。

4缩略语

下列缩略语适用于本文件。

HTTP超文本传输协议（HyperTextTransferProtocol）

HTTPS超文本传输安全协议（HyperTextTransferProtocolSecure）

JSONJavaScript对象符号（JavaScriptObjectNotation）

TCP传输控制协议（TransmissionControlProtocol）

5系统架构

图1给出了身份识别的区块链应用系统整体架构，主要由分布式数字身份账本、分布式身份协议节

点、分布式身份客户端组成。分布式数字身份账本用于存储针对用户实体身份识别相关的身份ID和数字

身份凭证定义；分布式身份协议节点是连接分布式数字身份账本和分布式身份客户端的桥梁，用于接收

用户实体分布式身份客户端的身份认证请求，通过分布式数字身份标识符的管理服务协议和数字身份凭

证的管理服务服务协议共同管理数字身份，并提供基于隐私保护策略的身份数据存储方案；分布式身份

客户端针对用户实体，提供身份识别相关的数字身份凭证管理、身份ID管理及消息通知等服务。

联盟分布式身联盟分布式身

份客户端份客户端

个人用户物联网设备

联盟身份ID/联盟身份ID/联盟身份ID/联盟身份凭证

联盟身份凭证联盟身份凭证

联盟分布式身份联盟分布式身份

协议节点A协议节点B

区块链联盟身份ID/联盟身份ID/联盟身份ID/

联盟身份凭证联盟身份凭证联盟身份凭证

联盟分布式身份账本

联盟分布式身份联盟分布式身份

协议节点C协议节点D

企业

联盟身份ID/联盟身份ID/

联盟身份凭证联盟身份凭证组织机构

联盟分布式身联盟分布式身

份客户端份客户端

图1用于身份识别的区块链应用系统架构

6业务流程

5

Q/GDWXXXXX—XXXX

6.1数字身份标识符管理服务

6.1.1服务描述

分布式数字身份标识符的管理服务是指对分布式数字身份标识符进行全生命周期管理，主要包括分

布式数字身份标识符的注册流程、验证流程、更新流程、撤销流程。

6.1.2标识符注册

分布式数字身份标识符的注册流程应包括以下步骤：

a)用户实体通过分布式身份客户端生成各自的分布式身份标识符，同时生成该标识符对应的公私

钥对，该标识符具有全局唯一性；

b)用户实体通过分布式身份客户端利用自己私钥对生成的分布式身份标识符和时间戳进行数字

签名生成签名信息，再将包含该签名信息、分布式身份标识符和标识符对应公钥的注册请求发

送给分布式身份协议节点；

c)分布式身份协议节点对收到该注册请求进行解析，得到注册请求中的签名信息、分布式身份标

识符及公钥；然后利用解析得到的公钥对解析到的签名信息进行验签，如果验签通过，则生成

包含分布式身份标识符和公钥信息的区块；如果验签不通过，则注册过程失败；

d)分布式身份协议节点将生成的区块通过共识机制存储在分布式身份账本中，并给待注册用户实

体的分布式身份客户端发送注册成功通知；

e)待注册用户实体的分布式身份客户端接收到注册成功通知后，将分布式身份标识符及公私钥存

储在分布式身份客户端内置的身份钱包中。

6.1.3标识符验证

分布式数字身份标识符的验证流程应包括以下步骤：

a)发送方（用户实体）通过分布式身份客户端利用身份钱包中存储的私钥对其分布式身份标识符

和时间戳进行数字签名，生成签名信息；

b)发送方向接收方（用户实体）发送包含分布式身份标识符和签名信息的验证请求；

c)接收方对接收到的验证请求进行解析，得到发送方分布式身份标识符和签名信息；

d)接收方依据获得的分布式身份标识符查询分布式身份账本上所存储的该分布式身份标识符对

应的公钥；

e)接收方利用查询到的公钥对签名信息进行验签，若验证通过，则证明发送者合法；否则，证明

发送者不合法。

6.1.4标识符更新

分布式数字身份标识符的更新流程应包括以下步骤：

a）用户实体通过分布式身份客户端生成待更新的分布式身份标识符及对应的公私钥对；

b）用户实体通过分布式身份客户端利用新生成的私钥对待更新的分布式身份标识符和时间戳进行

数字签名生成签名信息S1，再利用身份钱包中原有的私钥对签名信息S1、原有的分布式身份标识

符和时间戳进行签名生成签名信息S2，接着将包含签名信息S1、S2、新生成的公钥、原有的分布

式身份标识符和待更新的分布式身份标识符的更新请求发送给分布式身份协议节点；

c）待更新用户实体的分布式身份客户端接收到更新成功通知后，将同步更新在分布式身份客户端

身份钱包中的分布式身份标识符和公私钥对。

6.1.5标识符撤销

6

T/CESAXXXX—202X

分布式数字身份标识符的撤销流程应包括以下步骤（但不限于）：

a)用户实体通过分布式身份客户端利用身份钱包中原有的私钥对待撤销分布式身份标识符和时

间戳进行签名生成签名信息，再将包含该签名信息和待撤销分布式身份标识符的撤销请求发

送给分布式身份协议节点；

b)分布式身份协议节点对收到该撤销请求进行解析，得到撤销请求中的签名信息和分布式身份标

识符；再依据解析到分布式身份标识符查询分布式身份账本上所存储的该标识符对应的公钥，

利用该公钥对签名信息进行验签，如果验签通过，标识待撤销分布式身份标识符为已撤销,同

时给待更新用户实体的分布式身份客户端发送撤销成功通知；如果验签不通过，则撤销过程失

败；

c)待撤销用户实体的分布式身份客户端接收到撤销成功通知后，将内置身份钱包中待撤销的分布

式身份标识符置标记为已撤销、不可用。

6.2数字身份凭证管理服务

6.2.1服务描述

数字身份凭证的管理服务是指对数字身份凭证进行全生命周期管理，主要包括分布式数字身份标识

符的颁发流程、验证流程、更新流程、撤销流程。

6.2.2凭证颁发

数字身份凭证颁发者向合法用户颁发数字身份凭证，该数字身份凭证意味着将用户与数字身份凭证

绑定，用户拥有了数字身份凭证，从而能够在整个系统中取得分布式信任。

数字身份凭证的颁发流程应包括以下步骤：

a)数字身份凭证申请者（用户实体）与数字身份凭证颁发者（用户实体）双方进行彼此分布

式数字身份标识符的验证；

b)如果验证通过，则数字身份凭证申请者依据凭证颁发者的分布式数字身份标识符向分布式

身份账本请求获得数字身份凭证的定义；若验证不通过，则颁发过程失败；

c)数字身份凭证申请者向数字身份凭证颁发者发送颁发凭证的请求；

d)数字身份凭证颁发者接收到颁发凭证的请求，利用已存储在分布式身份账本上且以保存在

本地的数字身份凭证的定义创建数字身份凭证,并颁发给数字身份凭证申请者；

e)数字身份凭证申请者接收数字身份凭证，利用2）步骤已获取的数字身份凭证的定义并对

该接收到的凭证的有效性进行验证，如果验证通过，将该接收到的凭证存储在本地身份钱

包中，成为数字身份凭证持有者；否则，凭证颁发失败。

6.2.3凭证验证

数字身份凭证的验证流程应包括以下步骤：

a)数字身份凭证持有者（用户实体）与数字身份凭证验证者（用户实体）双方进行彼此分布

式数字身份标识符的验证；

b)若验证通过，数字身份凭证持有者从身份钱包中取出相应的凭证，并向分布式身份账本请

求得到数字身份凭证的定义，利用已得到的数字身份凭证的定义对已取出凭证的有效性进

行验证，并将凭证证明消息发送给凭证验证者；若验证不通过，则数字身份凭证持有者向

数字身份凭证颁发者重新申请凭证；

c)数字身份凭证验证者接收到凭证证明消息，向分布式身份账本请求得到数字身份凭证的定

义，对收到的凭证证明消息进行验证；

d)若验证通过，则数字身份凭证验证者为数字身份凭证拥有者提供后续某些类型的服务；若

7

Q/GDWXXXXX—XXXX

验证失败，则拒绝提供服务。

6.2.4凭证更新

数字身份凭证的更新流程应包括以下步骤：

a)数字身份凭证颁发者（用户实体）更新分布式身份账本上的数字身份凭证定义，将向数字身份

凭证持有者发送更新通知；

b)数字身份凭证持有者接收到凭证更新通知后，与数字身份凭证颁发者（用户实体）双方进行彼

此分布式数字身份标识符的验证；

c)若验证通过，数字身份凭证持有者依据凭证颁发者的分布式数字身份标识符向分布式身份账本

请求获得数字身份凭证的定义，同时数字身份凭证持有者向数字身份凭证颁发者发送更新凭证

的请求；若验证不通过，则更新过程失败；

d)数字身份凭证颁发者接收到更新凭证的请求，利用已存储在分布式身份账本上且以保存在本地

的新数字身份凭证的定义创建数字身份凭证,并颁发给数字身份凭证持有者；

e)数字身份凭证持有者接收到更新数字身份凭证，利用3）步骤已获取的数字身份凭证的定义并

对该接收到凭证的有效性进行验证，如果验证通过，将该接收到的凭证存储在本地身份钱包中；

否则，凭证更新失败。

6.2.5凭证撤销

数字身份凭证的撤销操作中，由于数字身份定义中含有数字身份凭证有效期的属性，当用户实体的

数字身份凭证到达有效期即视为数字身份凭证撤销。

6.3数据维护

分布式数字身份数据维护应满足如下要求：

a)维护分布式数字身份标识符分配及使用；

b)维护数字身份凭证分配及使用；

c)维护分布式数字身份标识符注册信息、标识符验证信息、标识符更新信息、标识符撤销信息等

数据；

d)维护数字身份凭证颁发信息、验证信息、更新信息及撤销信息等数据；

e)维护用户实体的原始身份信息。

7功能要求

7.1分布式数字身份标识符管理服务功能要求

分布式数字身份标识符管理服务应具有以下功能：

a)支持用户实体分布式数字身份标识符申请，可对申请资料的有效性进行验证；

b)支持用户实体分布式数字身份标识符分配，根据编码规则为申请分布式数字身份标识符注册的

用户实体分配唯一编码；

c)支持分布式数字身份标识符注册、验证、更新及撤销服务；

7.2数字身份凭证管理服务功能要求

数字身份凭证管理服务应具有以下功能：

a)支持用户实体数字身份凭证申请，可对申请资料的有效性进行验证；

8

T/CESAXXXX—202X

b)支持数字身份凭证颁发、验证、更新及撤销服务；

c)具备检测已颁发数字身份凭证重复颁发的能力；

7.3其他要求

分布式数字身份管理还应满足如下要求：

a)支持对用户实体基于分布式数字身份标识符的双向认证；

b)支持分布式数字身份标识符以及数字身份凭证管理过程中数据传输的机密性和完整性保护；

c)支持分布式数字身份标识符以及数字身份凭证的访问权限控制能力；

d)具备流量重定向等拒绝服务攻击防护能力；

e)具备处理并发数据请求的能力；

8接入规范

8.1接入要求

用于身份识别的区块链系统介入应具有以下功能：

a)具备身份ID管理服务接口和向网络用户进行身份ID注册、验证、更新、撤销等功能。

b)具备向网络用户进行身份凭证颁发、验证、更新、撤销等功能。

c)提供内部接口，接入上层应用系统和底层基于区块链的分布式身份账本管理系统。

d)允许工业领域中的工业系统或设备、工业领域业务或监管部门、安全管理人员、工业系统上下

游单位、外部第三方（如银行金融机构）等用户接入。用户接入用于身份识别的区块链应用系

统时，可通过数字身份认证及访问控制措施满足可信接入要求。

8.2接入方式

用于身份识别的区块链应用系统提供Web方式和接口方式两种方式与外部接入。

a)以Web方式接入应通过登录于身份识别的区块链应用各级系统提供的管理平台，通过平台Web

页面功能实现接入。

b)以接口方式接入应通过用于身份识别的区块链应用系统采用HTTP或HTTPS协议接口方式实现

接入。

8.3接口协议

8.3.1上层服务接口

用于身份识别的区块链应用系统应为用户提供分布式数字身份的管理服务，如身份ID的注册、解析、

验证、更新及撤销等接口，以及数字身份凭证颁发、验证、更新及撤销等接口以及消息通知，并且提供

底层分布式身份账本和网络用户之间进行交互和信息交换的媒介。

用于身份识别的区块链应用系统接口应使用HTTPS或HTTP协议（基于TCP/IP），使用POST和GET方式

提交数据。接口定义宜遵循RFC1945（HTTP1.0）、RFC2616（HTTP1.1）。此外，接口也可使用DNS协议，

接口定义遵循RFC1034（ConceptsandFacilities）、RFC1035（Implementationand

Specification）。

8.3.2系统内部接口

9

Q/GDWXXXXX—XXXX

用于身份识别的区块链应用系统之间的通信流程应经过系统内部接口。通过系统内部接口，实现底

层分布式身份账本向上层应用系统同步标识注册、信息更新和删除，以及上层应用系统向底层分布式身

份账本进行分布式数字身份标识符以及数字身份凭证查询和搜索。

系统内部接口使用HTTPS或HTTP协议（基于TCP/IP），使用POST和GET方式提交数据。接口定义遵循

RFC1945（HTTP1.0）、RFC2616（HTTP1.1）。此外，接口也可使用DNS协议，接口定义遵循RFC1034（Concepts

andFacilities）、RFC1035（ImplementationandSpecification）。

10

T/CESAXXXX—202X

参考文献

[1]GB/T15843.2信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制

[2]GB/T15843.3信息技术安全技术实体鉴别第3部分：用非对称签名技术的机制

[3]T/CESA1049-2018区块链隐私保护规范

11

T/CESAXXXX—202X

目次

前言...................................................................................1

1范围................................................................................2

2规范性引用文件......................................................................2

3术语和定义..........................................................................2

4缩略语..............................................................................4

5系统架构............................................................................4

6业务流程............................................................................5

7功能要求...........................................................................10

8接入规范...........................................................................11

1

T/CESAXXXX—202X

工业区块链身份识别技术要求

1范围

本文件规定了用于面向工业领域的区块链身份识别的技术要求，描述了身份识别的业务流程和功能

要求。

本文件适用于指导工业领域基于区块链的分布式认证系统的设计、生产、集成与应用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T15843.2信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制

GB/T15843.3信息技术安全技术实体鉴别第3部分：用非对称签名技术的机制

3术语和定义

下列术语和定义适用于本文件。

3.1用户实体userentity

网络身份识别的获取者或/和使用者。

注：用户包括工业领域中的工业系统或设备、工业领域业务或监管部门、安全管理人员、工业系统上下游单位、

外部第三方（如银行金融机构）等，基于分布式数字身份获取相关信息，或进行相关操作。

3.2分布式数字身份distributeddigitalidentity

为网络用户实体分配对应数字身份的过程，简称数字身份分配服务。该数字身份主要由分布式数字

身份标识符和数字身份凭证组成。

注：每个数字身份被分配唯一的身份ID，适用于不同的应用场景，同时在不同场景下拥有与身份标识符一一对应

的数字身份凭证。

3.3分布式数字身份标识符distributeddigitalidentityidentifier

分布式数字身份标识符用于唯一标识工业领域中内的某一用户实体，各用户实体可自主完成身份ID

的注册、解析、更新或者撤销操作，简称分布式数字身份标识符的管理服务。该数字身份标识符（简称

身份ID）是由字符串组成的标识符以及与之关联的公私钥对，具有内全局公开唯一、分布式、自主可控

和跨链复用等特点。

注：工业领域中的每一个用户实体可同时拥有多个数字身份，同时不同的身份ID之间没有关联信息，能够有效避

免用户实体身份信息的归集。

3.4数字身份凭证digitalidentitycertificate

3

Q/GDWXXXXX—XXXX

数字身份凭证是与工业领域用户实体相关联的身份属性声明集合，并且附上颁发者的签名信息及凭

证的元数据，其中数字身份凭证元数据包括凭证名称、凭证颁发者、颁发日期等，数字身份凭证颁发

者签名信息包括颁发者所使用的签名算法、凭证创建时间、创建者、数字签名信息等。该身份凭证涉

及到数字身份凭证颁发者、数字身份凭证持有者和数字身份凭证验证者三类角色，可实现对凭证的颁发、

验证、更新与撤销操作，简称数字身份凭证的管理服务。

注：身份凭证用于描述工业领域中某些实体所具有的某些身份属性。

3.5数字身份凭证申请者digitalidentitycertificateapplicant

请求获得数字身份凭证的身份ID的责任主体。

注：数字身份凭证在进行数字身份凭证的申请、颁发业务交互之前，首先需根据相应需求注册相应的身份ID并将

其上链存储；其次并与业务交互方完成对双向身份ID的解析和验证，建立起可信连接；最后在此可信连接的

基础上进行基于分布式身份凭证颁发业务。

3.6数字身份凭证颁发者digitalidentitycertificateissuer

提供身份ID持有者获得数字身份凭证的责任主体。

注：数字身份凭证颁发者在进行数字身份凭证的颁发业务交互之前，首先需根据相应需求注册相应的身份ID并将

其上链存储；其次并与业务交互方完成对双向身份ID的解析和验证，建立起可信连接；最后在此可信连接

的基础上进行基于分布式身份凭证颁发业务。

3.7数字身份凭证持有者digitalidentitycertificateholder

持有数字身份凭证的责任主体。

3.8数字身份凭证验证者digitalidentitycertificateverifier

提供验证数字身份凭证的身份ID持有者的责任主体。

注：数字身份凭证验证者在进行数字身份凭证的验证业务交互之前，首先需根据相应需求注册相应的身份ID并将

其上链存储；其次并与业务交互方完成对双向身份ID的解析和验证，建立起可信连接；最后在此可信连接的

基础上进行基于分布式身份凭证验证业务。

3.9身份钱包identitywallet

提供存储用户实体在各个应用场景下的身份ID和身份凭证服务的责任主体。

3.10分布式身份账本distributedidentityledger

提供用户实体的分布式数字身份标识符及其公钥信息、数字身份凭证定义等分布式身份账本存储服

务的责任主体。

注：分布式身份协议节点通过共识机制共同维护一份相同的分布式身份账本。

3.11分布式身份协议节点distributedidentityprotocolnode

提供分布式数字身份标识符的管理服务协议支持身份ID全周期管理（注册、验证、更新、撤销），

数字身份凭证的管理服务服务协议支持分布式数字凭证的全周期管理（颁发、验证、更新、撤销），此

外，提供数据的可靠存储方案的责任主体。

3.12分布式客户端distributedclient

4

T/CESAXXXX—202X

提供用户实体分布式数字身份标识符的管理服务接口，以及数字身份凭证的管理服务接口的责任主

体。

4缩略语

下列缩略语适用于本文件。

HTTP超文本传输协议（HyperTextTransferProtocol）

HTTPS超文本传输安全协议（HyperTextTransferProtocolSecure）

JSONJavaScript对象符号（JavaScriptObjectNotation）

TCP传输控制协议（TransmissionControlProtocol）

5系统架构

图1给出了身份识别的区块链应用系统整体架构，主要由分布式数字身份账本、分布式身份协议节

点、分布式身份客户端组成。分布式数字身份账本用于存储针对用户实体身份识别相关的身份ID和数字

身份凭证定义；分布式身份协议节点是连接分布式数字身份账本和分布式身份客户端的桥梁，用于接收

用户实体分布式身份客户端的身份认证请求，通过分布式数字身份标识符的管理服务协议和数字身份凭

证的管理服务服务协议共同管理数字身份，并提供基于隐私保护策略的身份数据存储方案；分布式身份

客户端针对用户实体，提供身份识别相关的数字身份凭证管理、身份ID管理及消息通知等服务。

联盟分布式身联盟分布式身

份客户端份客户端

个人用户物联网设备

联盟身份ID/联盟身份ID/联盟身份ID/联盟身份凭证

联盟身份凭证联盟身份凭证

联盟分布式身份联盟分布式身份

协议节点A协议节点B

区块链联盟身份ID/联盟身份ID/联盟身份ID/

联盟身份凭证联盟身份凭证联盟身份凭证

联盟分布式身份账本

联盟分布式身份联盟分布式身份

协议节点C协议节点D

企业

联盟身份ID/联盟身份ID/

联盟身份凭证联盟身份凭证组织机构

联盟分布式身联盟分布式身

份客户端份客户端

图1用于身份识别的区块链应用系统架构

6业务流程

5

Q/GDWXXXXX—XXXX

6.1数字身份标识符管理服务

6.1.1服务描述

分布式数字身份标识符的管理服务是指对分布式数字身份标识符进行全生命周期管理，主要包括分

布式数字身份标识符的注册流程、验证流程、更新流程、撤销流程。

6.1.2标识符注册

分布式数字身份标识符的注册流程应包括以下步骤：

a)用户实体通过分布式身份客户端生成各自的分布式身份标识符，同时生成该标识符对应的公私

钥对，该标识符具有全局唯一性；

b)用户实体通过分布式身份客户端利用自己私钥对生成的分布式身份标识符和时间戳进行数字

签名生成签名信息，再将包含该签名信息、分布式身份标识符和标识符对应公钥的注册请求发

送给分布式身份协议节点；

c)分布式身份协议节点对收到该注册请求进行解析，得到注册请求中的签名信息、分布式身份标

识符及公钥；然后利用解析得到的公钥对解析到的签名信息进行验签，如果验签通过，则生成

包含分布式身份标识符和公钥信息的区块；如果验签不通过，则注册过程失败；

d)分布式身份协议节点将生成的区块通过共识机制存储在分布式身份账本中，并给待注册用户实

体的分布式身份客户端发送注册成功通知；

e)待注册用户实体的分布式身份客户端接收到注册成功通知后，将分布式身份标识符及公私钥存

储在分布式身份客户端内置的身份钱包中。

6.1.3标识符验证

分布式数字身份标识符的验证流程应包括以下步骤：

a)发送方（用户实体）通过分布式身份客户端利用身份钱包中存储的私钥对其分布式身份标识符

和时间戳进行数字签名，生成签名信息；

b)发送方向接收方（用户实体）发送包含分布式身份标识符和签名信息的验证请求；

c)接收方对接收到的验证请求进行解析，得到发送方分布式身份标识符和签名信息；

d)接收方依据获得的分布式身份标识符查询分布式身份账本上所存储的该分布式身份标识符对

应的公钥；

e)接收方利用查询到的公钥对签名信息进行验签，若验证通过，则证明发送者合法；否则，证明

发送者不合法。

6.1.4