[发明专利]一种去中心化的跨信任域认证方法及系统

权利要求书

1.一种去中心化的跨信任域认证方法，包括如下步骤：

步骤S1，在联盟链的基础上构建区块链网络，将各个域的根CA设为区块链的验证节点，联盟链中存储着所有根CA共识的数字证书的哈希值；

步骤S2，所述区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书；

步骤S3，当用户进行跨域认证时，将区块链中存储的用户哈希值和认证时用户提供的证书哈希值相比较，如果两者相同说明该用户提供的证书合法，否则丢弃用户的跨域请求。

2.如权利要求1所述的一种去中心化的跨域认证方法，其特征在于：于步骤S1中，所述区块链网络中的每个区块包含区块头和区块体，所述区块头包括但不限于父区块哈希，时间戳，Merkle树根和其他信息，所述区块体存储的信息包括但不限于数字证书的证书哈希值、证书状态信息、证书所有者信息以及证书签名，所述证书所有者信息包括但不限于公钥信息、身份备注信息。

3.如权利要求1所述的一种去中心化的跨域认证方法，其特征在于，于步骤S2中，该区块链的证书申请步骤进一步包括：

步骤S200，用户在本地生成区块链证书，并向域内的根CA发送区块链证书申请消息，其中申请消息中包括但不限于消息类型，证书哈希，证书拥有者证明信息，证书拥有者对证书的私钥签名；

步骤S201，所述根CA于收到域内用户的区块链证书申请后，检测申请消息的真实性和完整性，于验证通过后对证书进行签发。

4.如权利要求3所述的一种去中心化的跨域认证方法，其特征在于：于步骤S201中，所述根CA首先判断该申请消息的类型，若该消息为证书申请，则根据申请消息中的证书哈希值在区块链网络中查询该证书是否被注册过，如果该哈希值已经在区块链中存在，则丢弃用户的请求；若该证书在区块链中不存在，则验证用户提交的证书身份信息的合法性，在根据证书中的公钥验证证书的签名信息，验证证书是否被篡改；于验证用户证书的真实性和完整性后，根CA将所有当前未纳入区块链中的合法证书的哈希值及状态信息，利用共识算法生成一个新的区块，并向区块链网络中发布该区块，由区块链网络中的其他节点验证该区块的正确性，如果正确，则记录到本地区块链记录中，否则将该区块丢弃。

5.如权利要求1所述的一种去中心化的跨域认证方法，其特征在于，于步骤S2中，所述区块链的证书更新步骤进一步包括：首先，用户在本地生成一个新的证书，新证书对应一对新的秘钥；然后用户向根CA提交证书更新请求，向根CA发送旧的证书哈希值、新的证书信息、旧的公钥对新的证书的签名和新的公钥对新证书的签名；根CA对证书更新请求验证检查无误后，将新的证书记录发布到区块链网络中。

6.如权利要求5所述的一种去中心化的跨域认证方法，其特征在于，所述证书更新步骤如下：

用户在本地生成新的证书；

用户向根CA发送更新证书记录请求；

根CA进行如下检查和验证：

a.根据消息中的证书哈希值在区块链中查找该证书是否存在记录；

b.验证证书的格式是否正确，验证用户的证明信息是否正确；

c.验证ver(pk_old,σ₁)是否为1，其中ver是验证函数，pk_old是旧公钥，σ₁是用旧私钥对新证书的签名；

d.验证ver(pk_new,σ₂)是否为1，其中ver是验证函数，pk_new是新公钥，σ₂是用新私钥对新证书的签名；

如果上述任何一项验证失败，则返回验证失败结果给用户，否则，根CA执行如下操作：

生成两条记录，其中一条记录中包含旧的证书哈希值θ_old和状态信息revocation，另一条记录包含新的证书哈希值θ_new和状态信息Issuance；

根CA将所有未处理的合法证书信息用共识算法生成一个区块，并发布到区块链网络中；

网络中的其他节点收到新的区块后对每条记录进行验证，如果每条记录都正确，则将其加入到本地的区块链中，否则丢弃该区块。