[发明专利]一种基于区块链的跨域分布式身份认证方法及系统

说明书

本申请提供了一种基于区块链的跨域分布式身份认证方法及系统，该方法中，由第一分布式身份客户端生成与用户在其所属部门的原有身份认证系统中的身份标识具有差异的跨域分布式身份标识符及跨域公私钥对，然后由第一分布式公证人客户端及第一公证人服务节点将跨域分布式身份标识符和跨域公钥写入区块链分布式跨域公证身份账本上，实现用户的跨域身份数据的共享；最后获取跨域身份令牌和跨越身份凭证以便在第二公证人所在的业务部门进行安全身份验证。并且，通过生成与原有身份认证系统中的身份标识具有差异的跨域分布式身份标识符和跨域公私钥，保证各交叉业务部门原有身份认证系统的独立性，保持各部门的原有数据身份相对其他业务部门的隐私性。

技术领域

本申请涉及身份认证技术领域，特别涉及一种基于区块链的跨域分布式身份认证方法及系统。

背景技术

电力安全生产是一种多业务部门、多工区与多业务系统协同工作的复杂工程，涉及到电网各部门工作人员跨本业务部门、跨本工区协作完成对电力的安全生产，其中严格身份认证机制是保证工作人员跨部门、跨工区安全生产的必需措施。

目前，各交叉业务部门根据自身业务需求独立建设分布式身份认证系统，实现对本部门工区工作人员身份注册和身份认证，有效防止了无关人员进入本工区和操作本部门的业务系统。

但是，各交叉业务部门身份认证系统之间相互独立，并且身份数据不能共享融合，难以满足跨部门工区工作人员的跨域身份认证要求。

发明内容

为解决上述技术问题，本申请实施例提供一种基于区块链的跨域分布式身份认证方法及系统，以达到实现用户跨部门的身份数据的共享，并保证用户所属部门的原有数据身份的隐私性的目的，技术方案如下：

一种基于区块链的跨域分布式身份认证方法，包括：

第一分布式身份客户端在其所属部门的用户进行跨域注册时，生成所述用户的跨域分布式身份标识符和跨域公私钥对，所述跨域分布式身份标识符与所述用户在其所属部门的原有身份认证系统中已注册身份标识符具有差异；

所述第一分布式身份客户端利用所述跨域公私钥对中的跨域私钥对所述跨域分布式身份标识符和时间戳进行签名，生成跨域分布式身份标识符签名，并将包含所述已注册身份标识符、所述跨域分布式身份标识符、所述跨域分布式身份标识符签名和所述跨域公私钥对中跨域公钥的跨域注册请求发送至第一分布式公证人客户端；

所述第一分布式公证人客户端将所述跨域分布式身份标识符和所述跨域公钥发送给其所属部门的第一公证人服务节点；

所述第一公证人服务节点将所述跨域分布式身份标识符和所述跨域公钥注册到区块链分布式跨域公证身份账本上；

所述第一分布式公证人客户端生成身份令牌，并将所述身份令牌发送给所述第一分布式身份客户端，所述身份令牌包含所述用户所属部门的信息、生成身份令牌的公证人标识符、所述跨域分布式身份标识符、有效期、各交叉业务部门的公证人签名信息；

所述第一分布式身份客户端保存所述身份令牌，并向第二分布式公证人客户端出示所述身份令牌，所述第二分布式公证人客户端与所述第一分布式公证人客户端属于不同部门；

所述第二分布式公证人客户端根据公证人组运行机制验证所述身份令牌，在验证通过后，根据跨域身份凭证颁发运行机制生成跨域身份凭证，并将所述跨域身份凭证发送给所述第一分布式身份客户端；

所述第一分布式身份客户端保存所述跨域身份凭证，并在所述用户需要操作被访问设备时，向第三分布式公证人客户端出示所述身份令牌和所述跨域身份凭证，所述第三分布式公证人客户端为被访问设备的分布式公证人客户端；

所述第三分布式公证人客户端按照身份认证运行机制验证所述身份令牌和所述跨域身份凭证，在验证通过后，给予所述用户访问所述被访问设备的权限。