(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210424241.3 (22)申请日 2022.04.22 (65)同一申请的已公布的文献号 申请公布号 CN 114553440 A (43)申请公布日 2022.05.27 (73)专利权人 山东省计算中心 （国家超 级计算 济南中心） 地址 250014 山东省济南市历下区科院路 19号 (72)发明人 徐淑奖　张朝阳　王连海　王英龙　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 专利代理师 王雪 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/40(2022.01) (56)对比文件 US 2019222424 A1,2019.07.18 CN 111626737 A,2020.09.04 CN 112637278 A,2021.04.09 CN 106713279 A,2017.0 5.24 审查员 李姮 (54)发明名称 基于区块链和属性签名的跨数据中心身份 认证方法及系统 (57)摘要 本发明属于数字信息传输技术领域， 提供了 一种基于区块链和属性签名的跨数据中心身份 认证方法及系统。 该方法应用于第一数据中心内 的第一终端， 包括： 向第二数据中心的第二终端 发送认证请求， 接收第二终端产生的第一随机 数； 使用自己的属性私钥根据签名策略对第一随 机数进行签名； 向第二终端发送所述签名， 接收 第一数据中心的第一认证服务器发送的与认证 请求对应的跨域认证证书； 其中， 所述跨域认证 证书是由第二数据中心的第二认证服务器根据 第二终端发送的第一终端身份认证判定结果产 生的， 所述第一终端身份认证判定结果是由第二 终端根据签名有效发送的第一终端身份验证请 求得到的。 本发 明实现了用户身份隐私保护和监 管。 权利要求书2页 说明书9页 附图2页 CN 114553440 B 2022.10.04 CN 114553440 B 1.基于区块链和属性签名的跨数据中心身份认证方法， 其特征在于， 由各个数据中心 的认证节点组建区块链系统， 形成数据中心联盟； 在区块链上建立由各数据中心协商一致、 共同维护的全局 属性集； 应用于第一数据中心内的第一终端， 包括： 向第二数据中心的第二终端发送 认证请求， 接收第二终端产生的第一随机数； 使用自己的属性私钥根据签名策略对第一随机数进行签名； 向第二终端发送所述签名， 接收第 一数据中心的第 一认证服务器发送的与认证请求对 应的跨数据中心身份认证 证书； 以使第二终端根据该随机数、 签名策略、 签名、 公共参数和属性私钥基， 对所述签名进 行验证， 验证签名是否有效， 若是， 则向第二认证服务器发送第一终端的身份验证请求， 申 请第一终端的跨数据中心身份认证 证书， 否则认证结束； 所述申请第一终端的跨数据中心身份认证 证书的过程包括： 第二认证服务器调用智能合约 根据属性凭证查询第 一终端的注册信 息， 判断是否为联 盟的注册用户， 若是， 对第一终端的身份进行认证判定， 若认证通过， 则生成认证请求对应 的跨数据中心身份认证 证书； 其中， 属性凭证为第一终端的属性凭证， 由第一终端发送给第二终端。 2.根据权利要求1所述的基于区块链和属性签名的跨数据中心身份认证方法， 其特征 在于， 所述智能合约根据区块链上的全局 属性集对第一终端的身份认证进行判定 。 3.基于区块链和属性签名的跨数据中心身份认证系统， 其特征在于， 由各个数据中心 的认证节点组建区块链系统， 形成数据中心联盟； 在区块链上建立由各数据中心协商一致、 共同维护的全局 属性集； 应用于第一数据中心内的第一终端， 包括： 请求模块， 其被配置为： 向第 二数据中心的第 二终端发送认证请求， 接收第 二终端产生 的第一随机数； 签名模块， 其被 配置为： 使用自己的属性私钥根据签名策略对第一随机数进行签名； 认证模块， 其被配置为： 向第 二终端发送所述签名， 接收第 一数据中心的第 一认证服务 器发送的与认证请求对应的跨数据中心身份认证 证书； 以使第二终端根据该随机数、 签名策略、 签名、 公共参数和属性私钥基， 对所述签名进 行验证， 验证签名是否有效， 若是， 则向第二认证服务器发送第一终端的身份验证请求， 申 请第一终端的跨数据中心身份认证 证书， 否则认证结束； 所述申请第一终端的跨数据中心身份认证 证书的过程包括： 第二认证服务器调用智能合约 根据属性凭证查询第 一终端的注册信 息， 判断是否为联 盟的注册用户， 若是， 对第一终端的身份进行认证判定， 若认证通过， 则生成认证请求对应 的跨数据中心身份认证 证书； 其中， 属性凭证为第一终端的属性凭证， 由第一终端发送给第二终端。 4.基于区块链和属性签名的跨数据中心身份认证方法， 其特征在于， 由各个数据中心 的认证节点组建区块链系统， 形成数据中心联盟； 在区块链上建立由各数据中心协商一致、 共同维护的全局 属性集； 应用于第二数据中心内的第二终端， 包括： 接收第一数据中心内的第一终端发送的认证请求， 产生第一随机数发送至第一终端； 接收第一终端发送的签名， 判定签名有效性， 若有效， 向第 二数据中心的第 二认证服务 器发送的第一终端身份验证请求， 以使第二认证服务器调用智能合约对第一 终端身份验证权　利　要　求　书 1/2 页 2 CN 114553440 B 2请求进行第一终端身份认证判定， 得到跨数据中心身份认证证书， 并将跨数据中心身份认 证证书发送至第一数据中心的第一认证服 务器； 其中， 所述签名是由第 一终端使用自己的属性私钥根据签名策略对第 一随机数进行签 名得到； 所述接收第 一终端发送的签名， 判断签名有效性， 若有效， 向第二数据中心的第 二认证 服务器发送的第一终端 身份验证请求具体包括： 第二终端根据第一随机数、 签名策略、 签名、 公共参数和属性私钥基， 对所述签名进行 验证， 验证签名是否有效， 若是， 则向第二认证服务器发送第一终端的身份验证请求， 申请 第一终端的跨数据中心身份认证 证书， 否则认证结束； 所述进行第一终端 身份认证判定具体包括： 第二认证服务器调用智能合约 根据属性凭证查询第 一终端的注册信 息， 判断是否为联 盟的注册用户， 若是， 对第一终端的身份进行认证判定， 若是认证通过， 则生成认证请求对 应的跨数据中心身份认证 证书； 其中， 属性凭证为第一终端的属性凭证， 由第一终端发送给第二终端。 5.根据权利要求4所述的基于区块链和属性签名的跨数据中心身份认证方法， 其特征 在于， 所述智能合约根据区块链上的全局 属性集对第一终端的身份认证进行判定 。 6.基于区块链和属性签名的跨数据中心身份认证方法系统， 其特征在于， 由各个数据 中心的认证节点组建区块链系统， 形成数据中心联盟； 在区块链上建立由各数据中心协商 一致、 共同维护的全局 属性集； 应用于第二数据中心内的第二终端， 包括： 接收模块， 其被配置为： 接收第 一数据中心内的第 一终端发送的认证请求， 产生第一随 机数发送至第一终端； 判定模块， 其被配置为： 接收第一终端发送的签名， 判定签名有效性， 若有效， 向第二数 据中心的第二认证服务器发送的第一 终端身份验证请求， 以使第二认证服务器调用智能合 约对第一终端身份验证请求进行第一终端身份认证判定， 得到跨数据中心身份认证证书， 并将跨数据中心身份认证 证书发送至第一数据中心的第一认证服 务器； 其中， 所述签名是由第 一终端使用自己的属性私钥根据签名策略对第 一随机数进行签 名得到； 所述接收第 一终端发送的签名， 判断签名有效性， 若有效， 向第二数据中心的第 二认证 服务器发送的第一终端 身份验证请求具体包括： 第二终端根据第一随机数、 签名策略、 签名、 公共参数和属性私钥基， 对所述签名进行 验证， 验证签名是否有效， 若是， 则向第二认证服务器发送第一终端的身份验证请求， 申请 第一终端的跨数据中心身份认证 证书， 否则认证结束； 所述进行第一终端 身份认证判定具体包括： 第二认证服务器调用智能合约 根据属性凭证查询第 一终端的注册信 息， 判断是否为联 盟的注册用户， 若是， 对第一终端的身份进行认证判定， 若是认证通过， 则生成认证请求对 应的跨数据中心身份认证 证书； 其中， 属性凭证为第一终端的属性凭证， 由第一终端发送给第二终端。权　利　要　求　书 2/2 页 3 CN 114553440 B 3