[发明专利]一种基于区块链的跨域分布式身份认证方法及系统

权利要求书

1.一种基于区块链的跨域分布式身份认证方法，其特征在于，包括：

第一分布式身份客户端在其所属部门的用户进行跨域注册时，生成所述用户的跨域分布式身份标识符和跨域公私钥对，所述跨域分布式身份标识符与所述用户在其所属部门的原有身份认证系统中已注册身份标识符具有差异；

所述第一分布式身份客户端利用所述跨域公私钥对中的跨域私钥对所述跨域分布式身份标识符和时间戳进行签名，生成跨域分布式身份标识符签名，并将包含所述已注册身份标识符、所述跨域分布式身份标识符、所述跨域分布式身份标识符签名和所述跨域公私钥对中跨域公钥的跨域注册请求发送至第一分布式公证人客户端；

所述第一分布式公证人客户端将所述跨域分布式身份标识符和所述跨域公钥发送给其所属部门的第一公证人服务节点；

所述第一公证人服务节点将所述跨域分布式身份标识符和所述跨域公钥注册到区块链分布式跨域公证身份账本上；

所述第一分布式公证人客户端生成身份令牌，并将所述身份令牌发送给所述第一分布式身份客户端，所述身份令牌包含所述用户所属部门的信息、生成身份令牌的公证人标识符、所述跨域分布式身份标识符、有效期、各交叉业务部门的公证人签名信息；

所述第一分布式身份客户端保存所述身份令牌，并向第二分布式公证人客户端出示所述身份令牌，所述第二分布式公证人客户端与所述第一分布式公证人客户端属于不同部门；

所述第二分布式公证人客户端根据公证人组运行机制验证所述身份令牌，在验证通过后，根据跨域身份凭证颁发运行机制生成跨域身份凭证，并将所述跨域身份凭证发送给所述第一分布式身份客户端；

所述第一分布式身份客户端保存所述跨域身份凭证，并在所述用户需要操作被访问设备时，向第三分布式公证人客户端出示所述身份令牌和所述跨域身份凭证，所述第三分布式公证人客户端为被访问设备的分布式公证人客户端；

所述第三分布式公证人客户端按照身份认证运行机制验证所述身份令牌和所述跨域身份凭证，在验证通过后，给予所述用户访问所述被访问设备的权限。

2.根据权利要求1所述的方法，其特征在于，所述第一分布式公证人客户端将所述跨域分布式身份标识符和所述跨域公钥发送给其所属部门的第一公证人服务节点，包括：

所述第一分布式公证人客户端解析所述跨域注册请求，获得所述已注册身份标识符、所述跨域分布式身份标识符、所述跨域分布式身份标识符签名和所述跨域公钥；

所述第一分布式公证人客户端在所述第一分布式公证人客户端所属部门的原有身份认证系统中查询所述已注册身份标识符，若查询到，则确认所述用户的身份合法；

所述第一分布式公证人客户端利用所述跨域公钥对所述跨域分布式身份标识符签名进行验签，若验签通过，则向所述第一分布式公证人客户端所属公证人组中其它分布式公证人客户端广播所述跨域注册请求；

所述第一分布式公证人客户端所属公证人组中其它各个分布式公证人客户端分别获得所述跨域公钥、所述跨域分布式身份标识符及所述跨域分布式身份标识符签名，并利用所述跨域公钥对所述跨域分布式身份标识符签名进行验签，若验签通过，则利用其私钥对所述跨域注册请求进行签名，生成跨域注册请求签名，并将所述跨域注册请求签名发送给所述第一分布式公证人客户端；

所述第一分布式公证人客户端在接收到所述跨域注册请求签名时，通过所述第一公证人服务节点在所述区块链分布式跨域公证身份账本上查询其接收到的跨域注册请求签名所属分布式公证人客户端的公钥，并利用查询到的公钥对所述跨域注册请求签名进行验签，若验签通过，则将所述跨域注册请求签名标记为有效；

所述第一分布式公证人客户端在标记为有效的跨域注册请求签名的个数达到第一设定个数时，将所述跨域分布式身份标识符和所述跨域公钥发送给其所属部门的第一公证人服务节点。