(三)BSN个人隐私保护登录服务
1. 产品说明
在互联网中心化的单方系统架构下,个人用户使用任何网站、APP、小程序或者软件,都必须提供自己的隐私数据,否则这些互联网应用便无法提供服务,这是全世界互联网行业的一个难题。利用BSN实名DID服务,很多业务方可以向个人用户提供“个人隐私保护登录服务”。
个人用户使用BSN实名DID服务的官方小程序或APP,经过CTID平台对个人用户的身份证、姓名、人脸等身份信息进行验证后,可以自行生成BSN官方实名DID,并将自己的公钥写入BSN官方实名DID文档。提供“个人隐私保护登录服务”的业务方,可以在注册界面让用户提供BSN官方实名DID标识或与之关联的BSN全网分布式域名,并使用个人私钥签名(扫码或弹出微信小程序)来验证BSN官方实名DID的归属,完成注册流程。之后用户即可使用私钥签名登录业务方系统,而业务方系统的数据库内都以BSN官方实名DID作为用户标识,并以此为基础来处理所有业务。
这样的设计实现了个人数据在业务侧完全匿名,同时满足了实名管理要求。业务方完全无法掌握个人用户信息,即使发生数据泄露,也只是业务数据。这些业务数据因为没有关联到具体的个人隐私数据,对侵入方来说也完全不具有任何意义;同时,这样的机制也能防止业务方利用销售个人数据非法牟利。
2. 场景案例
场景一
某短视频APP,在遵守了中国互联网实名制要求的前提下,在业务上对个人信息没有任何依赖,因此可以选择为用户提供基于BSN实名DID服务的隐私保护注册和登录服务。当用户注册时选择隐私授权注册,通过BSN实名DID服务,利用官方小程序或APP存储的BSN官方实名DID标识(或与之关联的BSN全网分布式域名)与私钥,调用BSN实名DID服务验证用户私钥签名,验签后平台完成用户实名注册,并存储BSN官方实名DID信息和公钥信息,之后用户只需在本地验证私钥签名即可完成登录。这一服务可供隐私保护意识较强的用户自主选择。BSN实名DID服务作为个人隐私数据的防火墙,实现了“前台匿名、后台实名”,在业务侧完全匿名,同时满足实名管理要求。
场景二
对于某些基于区块链技术的服务,在用户通过平台或者APP界面生成链账户或钱包时,可以通过BSN实名DID服务小程序直接使用已经关联BSN官方实名DID的公私钥对,并在验证私钥签名后,将BSN官方实名DID标识和相应公钥存入业务系统,完成链账户注册,用户不需要提供任何隐私信息。用户使用链账户或钱包进行链上业务处理时,一般情况下均需使用私钥签名,区块链服务平台使用保存的公钥进行验签即可。这一隐私保护逻辑可以应用在任何需要链账户或钱包地址触发的区块链场景中,包括数字藏品、数字资产交易等。
场景三
对于深度涉及个人隐私的体检机构,应提供匿名体检服务。个人用户在体检机构的网站或APP内申请注册时,使用BSN官方实名DID进行隐私保护注册;在体检现场,通过电脑或手机端扫描二维码,使用私钥签名验证身份,并由体检机构系统保存对应公钥,在匿名情况下完成体检;出具体检报告后,系统自动使用用户的公钥进行加密,通过网站、邮件或者其他方式发送给用户,用户使用自己的私钥解密并查看具体报告,实现了体检报告的加密传递。整个流程从最大程度上保护了用户的健康隐私。
3. 技术流程
- 个人用户登录BSN实名DID服务的官方小程序或APP,经过CTID平台对个人用户的身份证、姓名、人脸等身份信息进行验证后,生成个人BSN官方实名DID(小程序费用规则),个人的公私钥对会加密存储在官方小程序或APP中,并提供导出或恢复功能;
- 业务平台方访问BSN-DDC官方门户网站https://ddc.bsnbase.com,注册成为业务平台方,并购买能量值套餐,根据《BSN实名DID服务技术接口文档》(接口文档)在系统后台服务集成BSN实名DID服务SDK;
- 个人用户在业务平台注册登录时,业务平台调用并跳转到BSN实名DID服务的官方APP或者小程序(或者二维码扫码方式),用户在跳转的官方APP或者小程序内对业务平台进行访问授权,业务平台从官方APP或者小程序获取用户的BSN实名DID标识、公钥索引、签名值和用户私钥签名数据,平台方调用接口文档“7.2.2 查询下载DID文档”方法(需要消耗能量值)查询该用户的BSN官方实名DID文档,使用公钥索引检索公钥信息调用接口文档“7.4.5 验签”方法对用户的签名授权数据进行验签;
- 平台方将用户的BSN官方实名DID标识、公钥(或关联的BSN全网分布式域名)与业务内部账户绑定,在后续登录时,用户可使用BSN官方实名DID标识(或关联的BSN全网分布式域名)和私钥签名登录,平台方只需本地验签用户的签名数据即可。
4. 所需套餐
- 小程序费用规则:包含DID、一组公私钥对、一个bsn.did的二级域名一次性收费2元人民币,绑定自定义全网域名和datahub的费用推出后另行提供;
- 业务平台方需要购买BSN-DDC网络能量值套餐(每次下载DID文档需要花费0.04元人民币),套餐详细内容请点击查看。
5. 与BSN全网分布式域名关联
BSN实名DID服务可以关联BSN全网分布式域名服务。每个购买了BSN实名DID服务套餐的业务平台方,都会获赠一个自有品牌的“.did”一级域名(例如bsn.did),业务平台方可以将每个个人用户的实名DID与该一级域名下的二级域名或三级域名直接关联,以方便后续的业务处理,例如查询、公钥获取等。
业务平台方也可以为个人用户注册“.com”“.web3”或“.bsn”的一级域名,并关联到对应的实名DID标识上,以便于个人用户可以随时在其他业务APP或网站内,自行输入域名并关联到自己的实名DID文档。具体详情请访问BSN全网分布式域名官网。
6. 数据安全说明
- 所有终端用户的个人敏感信息均由业务方进行加密后,才通过BSN实名DID服务API接口发送到CTID数字身份链平台,并最终在延安链上生成BSN官方实名DID。在整个过程中,BSN各方无法接触、收集或存储任何个人信息;
- 延安链由国家信息中心、中国移动集团设计院、CTID数字身份链平台运营方、信通院云大所和红枣科技通过各自建立验证节点来进行共治共管,以确保没有任何单独一方可以对链环境进行重构或者修改;
- BSN实名DID服务相应的智能合约由CTID数字身份链平台部署并管理,任何其他公司和人员都无法对该合约进行干扰和修改,以确保合约本身的安全性和权威性;
- BSN官方实名DID由权威的CTID数字身份链平台生成,其签发私钥对应的公钥是公开的,任何人都可以通过公钥来验证BSN官方实名DID的生成方为合法并具有公信力的机构。