(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111571166.5 (22)申请日 2021.12.21 (71)申请人 西安交通大 学 地址 710049 陕西省西安市咸宁西路28号 (72)发明人 王晨旭　程加成　桑新欣　黄鸿斐　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 代理人 安彦彦 (51)Int.Cl. H04L 67/1042(2022.01) H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于联盟链的去中心化可信身份认证方法 (57)摘要 本发明公开了一种基于联盟链的去中心化 可信身份认证方法， 对等主节 点之间不存在证书 颁发关系， 而是共同维护一个组空间， 组空间中 的分布式证书列表作为企业联盟之间的信任依 据； 节点之间通信时需利用分布式证书列表验证 彼此身份的有效性和真实性； 形成组空间的命令 集会被记录在区块链中， 当有新的节 点加入或节 点掉线重连时， 只需同步区块链中的区块并执行 区块中的指令集即可恢复至最新的组空间状态。 本发明中对等主节点的地位及功能完全相同， 有 效避免了中心化身份认证 体系的弊端。 权利要求书3页 说明书6页 附图1页 CN 114285861 A 2022.04.05 CN 114285861 A 1.基于联盟链的去中心化可信身份认证方法， 其特 征在于， 包括以下步骤： 步骤1： 初始化组 空间及区块链网络； 步骤2： 组空间中有若干对等主节点， 若干对等主节点中两个对等主节点之间进行身份 认证， 具体流 程如下： 1)请求建立 通信的第一对等主节点PNx生成一串随机验证码RSx； 2)第一对等主节点PNx用自身私钥skx对该随机验证码RSx加密， 得到加密后的ERSx； 3)第一对等主节点PNx将ERSx与证书cr tx组合后形成令牌Tx； 4)第一对等主节点PNx用自身私钥skx对令牌Tx进行签名， 得到签名Sigx， 将签名Sigx和 令牌Tx一起发送至第二对等主节点PNy； 5)第二对等主节点PNy接收到签名Sigx和令牌Tx后， 先对签名Sigx和令牌Tx做验签操作， 若验签成功， 则跳转至步骤6)， 否则身份认证失败， 结束； 6)第二对等主节点PNy从令牌Tx中解析出ERSx与证书crtx， 用第一对等主节点PNx的公钥 pkx解密ERSx后， 得到随机验证码DRSx； 7)第二对等主节点P Ny对证书crtx做验签操作， 若验签 成功， 则跳转至步骤8)， 否则身份 认证失败， 结束； 8)第二对等主节点PNy从证书crtx中解析公钥pkx， 并在DCL中查询公钥pkx对应的证书 DCLcrtx， 若DCL中存在证书DCLcrtx， 表明第一对等主节点PNx在组空间 中， 则跳转至步骤9)， 否则PNx不在组空间中， 身份认证失败， 结束； 9)第二对等主节点PNy将随机验证码DRSx发送给第一对等主节点PNx； 10)第一对等主节点PNx验证随机验证码DRSx与自身刚发出的验证码RSx是否一致， 若一 致则身份认证成功， 否则身份认证失败， 结束； 重复步骤1) ‑步骤10)至所有节点与其 他节点之间完成认证。 2.根据权利要求1所述的基于联盟链的去中心化可信身份认证方法， 其特征在于， 步骤 1具体包括以下步骤： 1)各联盟企业的对等主节点PNi生成各自的公私钥对(pki,ski)及根证书crti， i指代某 个对等主节点的编号， 若 有n个对等主节点， 则i分别取i ＝1,i＝2,…， i＝n； 2)各联盟企业以面对面的方式将根证书cr ti汇集在一 起， 构成一个 证书集合文件cr ts； 3)各联盟企业用私钥ski依次对证书 集合文件crts签名， 防止证书 集合文件crts被第三 方篡改； 4)各联盟企业在各自的对等主节点PNi环境中依次用签名时私钥ski的对应公钥pki对 签名后的证书集合文件crts验签， 验证证书集合文件crts是否被篡改， 若没有被篡改则跳 转到步骤5)， 否则， 初始化失败， 跳转至步骤1)； 5)各联盟企业在各自的对等主节点PNi生成向DCL加入各根证书crti的命令集， 然后打 包成交易后发送至企业联盟共同维护的区块链网络 。 3.根据权利要求2所述的基于联盟链的去中心化可信身份认证方法， 其特征在于， 步骤 1还包括以下步骤： 进行步骤5)后进行以下步骤： 6)交易经 过区块链网络中各节点背 书后被打包成为区块链网络中的区块； 7)各联盟企业的对等主节点PNi执行向DCL加入根证书cr ti的命令集。权　利　要　求　书 1/3 页 2 CN 114285861 A 24.根据权利要求2所述的基于联盟链的去中心化可信身份认证方法， 其特征在于， 若某 对等主节点宕机一段时间， 则开机后拉取区块链网络中的区块交易信息， 执行交易中的命 令集。 5.根据权利要求1所述的基于联盟链的去中心化可信身份认证方法， 其特征在于， 若有 新的证书颁发节点加入组空间， 则由引入节点发起将新的证书颁发节点加入组空间的请 求， 并发送至组空间中其他所有对等主节点， 其他所有对等主节点对将新的证书颁发节点 加入组空间的请求进行验证， 如果认可新的证书颁发节点具备加入资格， 则对将新的证书 颁发节点加入组空间的请求进 行背书， 引入节点得到半数以上对等主节点的背书后 将半数 以上对等主节点的背 书收集到一 起， 得到背 书集合； 否则不进行操作； 然后， 引入节点生成将新的证书颁发节点的公钥及证书加入DCL操作的命令集， 并将命 令集与背书集合打包成交易， 上传至区块链后引入节点再执行此命令集， 随后执行查询D CL 操作， 若发现新的证书颁发节点的公钥及证书后， 引入节点将资源及文件发送给新的证书 颁发节点， 新的证书颁发节点利用接 收到的相关资源及文件连接进组空间， 成为对等主节 点。 6.根据权利要求5所述的基于联盟链的去中心化可信身份认证方法， 其特征在于， 若有 新的证书颁发节点加入组 空间， 具体进行如下步骤： 1)新的证书颁发节点 填写自身 身份信息， 生成X5 09标准格式的证书请求文件csr； 2)新的证书颁发节点向组 空间中的引入节点发送自身的证书请求文件csr； 3)引入节点发起将新的证书颁发节点加入组空间的请求， 请求中包含新的证书颁发节 点的证书请求文件csr； 4)将请求发送至组空间中其他所有对等主节点后， 其他所有对等主节点对该请求进行 验证， 如果认可新的证书颁发节点具 备加入资格， 则对该请求进行背 书， 否则不进行操作； 5)得到半数以上对等主节点的背书后， 引入节点生成将新的证书颁发节点的公钥及证 书加入DCL操作的命令集； 6)将命令集与背 书集合打包成交易后上传至区块链； 7)执行命令集后， 引入节点查询DCL中对新证书颁发节点的添加是否成功， 若添加成 功， 则转步骤8)， 否则， 重新进行步骤1)； 8)引入节点将资源及文件发送给新的证书颁发节点， 新的证书颁发节点利用资源及文 件连接进组 空间， 同步至最 新的组空间状态， 成为对等主节点。 7.根据权利要求1所述的基于联盟链的去中心化可信身份认证方法， 其特征在于， 若有 对等主节 点离开组空间时， 发起将对等主节 点自身信息从D CL中删除的请求， 并将请求 发送 至组空间中其他所有对等主节点， 其他所有对等主节点对请求进行验证， 如果同意该节点 离开， 则对该请求进行背 书， 否则不进行操作； 得到半数以上对等主节点的背书后， 引入节点生成将自身公钥及证书从DCL删除操作 的命令集， 将命令集及背书集合打包成交易上传至区块链后再执行命令集， 随后删除自身 相关资源及文件。 8.根据权利要求7所述的基于联盟链的去中心化可信身份认证方法， 其特征在于， 若某 对等主节点发生永久性故障， 则其他对等主节点发现后， 发起将永久性故障的节点证书从 DCL中删除的请求， 发送至组空间中其他所有对等主节 点， 其他所有对等主节 点对请求进 行权　利　要　求　书 2/3 页 3 CN 114285861 A 3