一种区块链跨域身份管理及控制系统和方法技术方案

本申请公开一种区块链跨域身份管理及控制系统和方法，涉及区块链技术领域，包括内域证书颁发节点、跨域节点、外域证书颁发节点；外域证书颁发节点，用于接收外域终端发送的终端认证请求，并向跨域节点发送跨域请求；跨域节点，用于根据外域证书颁发节点的证书哈希值列表对外域证书颁发节点进行身份认证；若身份认证通过，向内域证书颁发节点转发跨域请求；内域证书颁发节点，用于根据外域证书颁发节点的证书哈希值列表对外域证书颁发节点进行身份认证，并通过跨域节点向外域证书颁发节点返回跨域认证结果。本申请在外域终端需要接入区块链内域时能够对外域终端以及外域证书颁发节点的身份进行逐层验证，提高了区块链中身份认证的安全性和有效性。证的安全性和有效性。证的安全性和有效性。

【技术实现步骤摘要】
一种区块链跨域身份管理及控制系统和方法


[0001]本申请涉及区块链
，更具体地说，涉及一种区块链跨域身份管理及控制系统和方法。

技术介绍

[0002]现如今，区块链作为新基建以及双碳战略实施的重要支撑技术之一，在推动电网转型发展过程中，有利于促进电网生产管理和运营方式向智能化、网络化方向转型，对于电网产业结构调整具有积极的作用。区块链系统中的身份管理技术是区块链系统整体安全和应用推广的关键要素，也是当前的研究热点。然而，区块链系统中节点身份管理及控制中仍存在身份隐私易泄露、节点权限管控能力不足等基础性问题和挑战。

技术实现思路

[0003]本申请实施例提供了一种区块链跨域身份管理及控制系统和方法，能够提高区块链中身份认证的安全性和有效性。
[0004]有鉴于此，本申请实施例提供了一种区块链跨域身份管理及控制系统，所述区块链跨域身份管理及控制系统包括内域证书颁发节点、跨域节点、外域证书颁发节点；其中，所述内域证书颁发节点与所述外域证书颁发节点通过所述跨域节点进行通信；所述外域证书颁发节点，用于接收外域终端发送的终端认证请求，并向所述跨域节点发送跨域请求；所述终端认证请求包括所述外域终端的身份信息，所述跨域请求包括所述外域证书颁发节点的证书哈希值列表；所述跨域节点，用于接收所述外域证书颁发节点发送的跨域请求，并根据所述外域证书颁发节点的证书哈希值列表对所述外域证书颁发节点进行身份认证；若所述外域证书颁发节点的身份认证通过，向所述内域证书颁发节点转发所述跨域请求；所述内域证书颁发节点，用于接收所述跨域节点转发的所述跨域请求，根据所述外域证书颁发节点的证书哈希值列表对所述外域证书颁发节点进行身份认证，并向所述跨域节点返回跨域认证结果；所述跨域节点，还用于接收所述内域证书颁发节点返回的所述跨域认证结果，并将所述跨域认证结果转发给所述外域证书颁发节点；所述外域证书颁发节点，还用于接收所述跨域节点转发的所述跨域认证结果；若所述跨域认证结果为认证通过，根据所述外域终端的身份信息向所述外域终端颁发跨域终端接入证书。
[0005]可选的，所述内域证书颁发节点具体用于：获取所述跨域节点中存储的与所述外域证书颁发节点对应的目标证书哈希值列表；判断所述外域证书颁发节点的证书哈希值列表与所述目标证书哈希值列表是否相同；
若所述外域证书颁发节点的证书哈希值列表与所述目标证书哈希值列表相同，则向所述跨域节点返回认证通过的跨域认证结果；若所述外域证书颁发节点的证书哈希值列表与所述目标证书哈希值列表不同，则向所述跨域节点返回认证失败的跨域认证结果。
[0006]可选的，所述系统还包括交易证书颁发节点和共识节点；其中，所述外域终端分别与所述交易证书颁发节点和所述共识节点连接；所述交易证书颁发节点，用于接收所述外域终端发送的第一交易证书请求，所述交易证书请求包括所述跨域终端接入证书；并根据所述跨域终端接入证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，根据所述交易证书颁发节点的私钥和所述跨域终端接入证书生成交易证书，并将所述交易证书返回给所述外域终端；所述共识节点，还用于接收所述外域终端发送的交易请求，所述交易请求包括所述跨域终端接入证书和所述交易证书；并根据所述跨域终端接入证书和所述交易证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，向所述外域终端返回交易结果。
[0007]可选的，所述交易证书颁发节点，具体用于接收所述外域终端发送的匿名交易证书请求，所述匿名交易证书请求包括所述跨域终端接入证书；并根据所述跨域终端接入证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，根据所述跨域终端接入证书生成匿名交易证书，并将所述匿名交易证书返回给所述外域终端；所述共识节点，具体用于接收所述外域终端发送的交易请求，所述交易请求包括所述跨域终端接入证书和所述匿名交易证书；并根据所述跨域终端接入证书和所述匿名交易证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，向所述外域终端返回交易结果。
[0008]可选地，所述跨域终端接入证书包括：所述跨域终端接入证书的编号、所述跨域终端接入证书的密文和所述跨域终端接入证书的公钥；所述交易证书颁发节点，具体用于：根据所述交易证书颁发节点的私钥和所述跨域终端接入证书的编号得到所述交易证书的扩展密钥，具体为：ExpansionKey= AcertPrivateKey+AcertID；其中，ExpansionKey为所述交易证书的扩展密钥，AcertPrivateKey为所述交易证书颁发节点的私钥，AcertID为所述跨域终端接入证书的编号；根据所述交易证书的扩展密钥和所述跨域终端接入证书的密文得到所述交易证书的密钥扩展值，具体为：ExpansionValue=HMAC
‑
MD5(ExpansionKey+ AcertIndex)；其中，ExpansionValue为所述交易证书的密钥扩展值，HMAC为哈希运算消息认证码；MD5为信息摘要算法；AcertIndex为所述跨域终端接入证书的密文；根据所述交易证书的密钥扩展值生成所述交易证书的派生私钥，具体为：TcertPrivateKey=(AcertPrivateKey+ExpansionValue)mod n；其中，所述TcertPrivateKey为所述交易证书的派生私钥，AcertPrivateKey 为所述交易证书颁发节点的私钥，ExpansionValue 为所述交易证书的密钥扩展值，(AcertPrivateKey+ExpansionValue)mod n 表示(AcertPrivateKey+ExpansionValue)除
以n后的余数，所述n为正整数；根据所述跨域终端接入证书的公钥和所述交易证书的密钥扩展值生成所述交易证书的公钥，具体为：TcertPubKey=AcertPubKey+ExpansionValue
·
G；其中，所述TcertPubKey为所述交易证书的公钥，AcertPubKey为所述跨域终端接入证书的公钥，ExpansionValue为所述交易证书的密钥扩展值，G为椭圆线基点。
[0009]可选的，所述交易证书颁发节点，具体用于：计算所述跨域终端接入证书的哈希值；从所述跨域节点中获取目标证书哈希值列表；判断所述跨域终端接入证书的哈希值是否存储于所述目标证书哈希值列表；若所述跨域终端接入证书的哈希值存储于所述目标证书哈希值列表，则确定所述外域终端的身份认证通过。
[0010]可选的，所述系统还包括记账节点、共识证书颁发节点、第一共识节点和第二共识节点，其中，所述记账节点与所述第一共识节点连接；所述记账节点，用于从所述共识证书颁发节点获取共识证书；所述记账节点，用于向所述第一共识节点发送地址获取请求，所述地址获取请求包括所述记账节点的接入证书和共识证书；所述第一共识节点，用于接收所述地址获取请求，并根据所述记账节点的接入证书和共识证书对所述记账节点进行身份认证；若所述记账节点的身份认证通过，向所述记账节点返回节本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种区块链跨域身份管理及控制系统，其特征在于，所述区块链跨域身份管理及控制系统包括内域证书颁发节点、跨域节点、外域证书颁发节点；其中，所述内域证书颁发节点与所述外域证书颁发节点通过所述跨域节点进行通信；所述外域证书颁发节点，用于接收外域终端发送的终端认证请求，并向所述跨域节点发送跨域请求；所述终端认证请求包括所述外域终端的身份信息，所述跨域请求包括所述外域证书颁发节点的证书哈希值列表；所述跨域节点，用于接收所述外域证书颁发节点发送的跨域请求，并根据所述外域证书颁发节点的证书哈希值列表对所述外域证书颁发节点进行身份认证；若所述外域证书颁发节点的身份认证通过，向所述内域证书颁发节点转发所述跨域请求；所述内域证书颁发节点，用于接收所述跨域节点转发的所述跨域请求，根据所述外域证书颁发节点的证书哈希值列表对所述外域证书颁发节点进行身份认证，并向所述跨域节点返回跨域认证结果；所述跨域节点，还用于接收所述内域证书颁发节点返回的所述跨域认证结果，并将所述跨域认证结果转发给所述外域证书颁发节点；所述外域证书颁发节点，还用于接收所述跨域节点转发的所述跨域认证结果；若所述跨域认证结果为认证通过，根据所述外域终端的身份信息向所述外域终端颁发跨域终端接入证书。2.根据权利要求1所述的系统，其特征在于，所述内域证书颁发节点具体用于：获取所述跨域节点中存储的与所述外域证书颁发节点对应的目标证书哈希值列表；判断所述外域证书颁发节点的证书哈希值列表与所述目标证书哈希值列表是否相同；若所述外域证书颁发节点的证书哈希值列表与所述目标证书哈希值列表相同，则向所述跨域节点返回认证通过的跨域认证结果；若所述外域证书颁发节点的证书哈希值列表与所述目标证书哈希值列表不同，则向所述跨域节点返回认证失败的跨域认证结果。3.根据权利要求1所述的系统，其特征在于，所述系统还包括交易证书颁发节点和共识节点；其中，所述外域终端分别与所述交易证书颁发节点和所述共识节点连接；所述交易证书颁发节点，用于接收所述外域终端发送的交易证书请求，所述交易证书请求包括所述跨域终端接入证书；并根据所述跨域终端接入证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，根据所述交易证书颁发节点的私钥和所述跨域终端接入证书生成交易证书，并将所述交易证书返回给所述外域终端；所述共识节点，还用于接收所述外域终端发送的交易请求，所述交易请求包括所述跨域终端接入证书和所述交易证书；并根据所述跨域终端接入证书和所述交易证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，向所述外域终端返回交易结果。4.根据权利要求3所述的系统，其特征在于，所述交易证书颁发节点，具体用于接收所述外域终端发送的匿名交易证书请求，所述匿名交易证书请求包括所述跨域终端接入证书；并根据所述跨域终端接入证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，根据所述跨域终端接入证书生成匿名交易证书，并将所述匿名交易证书返回给所述外域终端；所述共识节点，具体用于接收所述外域终端发送的交易请求，所述交易请求包括所述
跨域终端接入证书和所述匿名交易证书；并根据所述跨域终端接入证书和所述匿名交易证书对所述外域终端进行身份认证；若所述外域终端的身份认证通过，向所述外域终端返回交易结果。5.根据权利要求3所述的系统，其特征在于，所述跨域终端接入证书包括：所述跨域终端接入证书的编号、所述跨域终端接入证书的密文和所述跨域终端接入证书的公钥；所述交易证书颁发节点，具体用于：根据所述交易证书颁发节点的私钥和所述跨域终端接入证书的编号得到所述交易证书的扩展密钥，具体为：；其中，为所述交易证书的扩展密钥，为所述交易证书颁发节点的私钥，为所述跨域终端接入证书的编号；根据所述交易证书的扩展密钥和所述跨域终端接入证书的密文得到所述交易证书的密钥扩展值，具体为：；其中，为所述交易证书的密钥扩展值，HMAC为哈希运算消息认证码；MD5为信息摘要算法；为所述跨域终端接入证书的密文；根据所述交易证书的密钥扩展值生成所述交易证书的派生私钥，具体为：；其中，所述为所述交易证书的派生私钥，为所述交易证书颁发节点的私钥，为所述交易证书的密钥扩展值，表示除以n后的余数，所述n为正整数；根据所述跨域终端接入证书的公钥和所述交易证书的密钥扩展值生成所述交易证书的公钥，具体为：；其中，所述为所述交易证书的公钥，为所述跨域终端接入证书的公钥，为所述交易证书的密钥扩展值，G为椭圆线基点。6.根据权...

【专利技术属性】
技术研发人员：杨珂，李达，赵丽花，李国民，安毅，马军伟，薛泓林，张建亮，
申请(专利权)人：国网区块链科技北京有限公司国网山西省电力公司信息通信分公司国家电网有限公司，
类型：发明
国别省市：