[发明专利]一种基于区块链的跨域身份认证方法

权利要求书

1.一种基于区块链的跨域身份认证方法，其特征在于，该方法通过主副双层区块链架构实现，所述主副双层区块链架构包括：主层区块链、副层区块链、各应用域的域内CA节点、AS主层区块链接入节点，该方法具体包括如下步骤：

步骤S1：首先各应用域根据自身的业务需求分别构建基于联盟链或公链的副层区块链，各副层区块链的本地AS主层区块链接入节点在授权认证后接入主层区块链中；

步骤S2：主副双层区块链构建完成后，各应用域通过域间权限协商方法构建各应用域间的角色权限映射表，各应用域可通过角色权限映射表验证跨域访问操作的合法性；

步骤S3：用户在执行跨域请求前需要通过域内身份验证方法创建自身全网唯一身份标识信息；

步骤S4：用户在获取自身全网唯一身份标识信息后通过跨域身份登录方法，首先向所在应用域的域内CA节点获取跨域身份访问凭证，获取跨域身份访问凭证后将该跨域身份访问凭证、跨域访问操作信息发送到授权域，授权域验证跨域身份访问凭证、跨域访问操作信息的有效性、合法性，验证通过后执行跨域请求并将结果返回给用户；

其中，所述步骤S4中跨域身份登录方法具体包括：

步骤S41：域内用户向域内CA节点提交跨域访问请求，请求中包含跨域访问域标识号、用户身份凭证编号、有效时间、用户标识号、签名，等待域内CA节点的跨域访问授权；

步骤S42：域内CA节点在收到跨域访问请求后，验证签名有效性，验证通过后生成跨域身份访问凭证，并通过本域私钥对跨域身份访问凭证进行签名，将跨域身份访问凭证、跨域身份访问凭证的签名广播到所在应用域的副层区块链中进行同步与验证，验证通过后颁发跨域身份访问凭证，并将跨域身份访问凭证的凭证摘要通过所在副层区块链的AS主层区块链接入节点在主层区块链中同步；

步骤S43：用户对跨域访问操作信息进行签名，并向授权域提交跨域身份访问凭证、请求对应的跨域访问操作信息、跨域访问操作信息的签名，等待授权域认证与响应；

步骤S44：授权域通过主层区块链中的凭证摘要验证跨域身份访问凭证的完整性，并根据暴露的凭证属性验证跨域身份访问凭证的合法性，验证通过后执行请求操作并将操作结果返回给用户。

2.根据权利要求1所述的基于区块链的跨域身份认证方法，其特征在于，所述步骤S2中域间权限协商方法具体包括：

步骤S21：各应用域的域内CA节点生成所在应用域的角色表、权限表、角色权限映射表并本地存储；

步骤S22：请求授权访问的应用域发送授权请求，授权请求时提交本域角色、域信息并等待授权域的授权响应，当响应返回时，请求授权访问的应用域将授权结果通过所在副层区块链的AS主层区块链接入节点广播到主层区块链当中进行同步。

3.根据权利要求2所述的基于区块链的跨域身份认证方法，其特征在于，所述步骤S3中域内身份验证方法具体包括：

步骤S31：域内CA节点存储用户信息与实施身份认证，域内用户通过向CA服务器发送自己身份验证信息等待域内CA节点实施身份认证；

步骤S32：域内CA节点验证用户的域内身份验证请求，验证通过后域内CA节点生成用户注册信息和签名，并发送到所在副层区块链，触发副层区块链的智能合约对签名进行合法性验证，并将验证结果发送到所在副层区块链的AS主层区块链接入节点；

步骤S33：若验证通过，则用户所在副层区块链的AS主层区块链接入节点使用当前域的私钥对用户注册信息和用户公钥签名后发送到主层区块链，触发主层区块链智能合约对用户身份信息合法性以及域身份信息进行审核；

步骤S34：若审核通过，则在主层区块链创建用户身份凭证，并由用户所在副层区块链的AS主层区块链接入节点返回用户身份凭证编号给用户。

4.根据权利要求3所述的基于区块链的跨域身份认证方法，其特征在于，所述跨域身份访问凭证的撤销和验证具体包括：

域内CA节点在本地维护一个初始为1的数与不重复质数表格，在跨域身份访问凭证颁发时随机从不重复质数表格中选取一质数作为该跨域身份访问凭证绑定的质数，并将该选取的质数从所述不重复质数表格中移除，将该选取的质数与本地维护的数相乘并将相乘得到的数通过所在副层区块链的AS主层区块链接入节点广播到主层区块链中存储；

域内CA节点在对跨域身份访问凭证撤销时，只需将主层区块链上存储的数除以该跨域身份访问凭证绑定的质数，得到计算结果，并更新本地数据与主层区块链上的数据，其中，本地数据直接通过计算结果更新，主层区块链上的数据通过本域AS主层区块链接入节点向主层区块链广播更新，该跨域身份访问凭证绑定的质数可以放回所述不重复质数表格也可以不放回；

授权域在验证跨域身份访问凭证有效性时，只需要判定主层区块链上请求域绑定的数能否与该跨域身份访问凭证绑定的质数整除，若能则说明该跨域身份访问凭证未被撤销，反之则已被撤销。