[发明专利]基于区块链和属性签名的跨数据中心身份认证方法及系统

权利要求书

1.基于区块链和属性签名的跨数据中心身份认证方法，其特征在于，由各个数据中心的认证节点组建区块链系统，形成数据中心联盟；在区块链上建立由各数据中心协商一致、共同维护的全局属性集；应用于第一数据中心内的第一终端，包括：

向第二数据中心的第二终端发送认证请求，接收第二终端产生的第一随机数；

使用自己的属性私钥根据签名策略对第一随机数进行签名；

向第二终端发送所述签名，接收第一数据中心的第一认证服务器发送的与认证请求对应的跨数据中心身份认证证书；

以使第二终端根据该随机数、签名策略、签名、公共参数和属性私钥基，对所述签名进行验证，验证签名是否有效，若是，则向第二认证服务器发送第一终端的身份验证请求，申请第一终端的跨数据中心身份认证证书，否则认证结束；

所述申请第一终端的跨数据中心身份认证证书的过程包括：

第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息，判断是否为联盟的注册用户，若是，对第一终端的身份进行认证判定，若认证通过，则生成认证请求对应的跨数据中心身份认证证书；

其中，属性凭证为第一终端的属性凭证，由第一终端发送给第二终端。

2.根据权利要求1所述的基于区块链和属性签名的跨数据中心身份认证方法，其特征在于，所述智能合约根据区块链上的全局属性集对第一终端的身份认证进行判定。

3.基于区块链和属性签名的跨数据中心身份认证系统，其特征在于，由各个数据中心的认证节点组建区块链系统，形成数据中心联盟；在区块链上建立由各数据中心协商一致、共同维护的全局属性集；应用于第一数据中心内的第一终端，包括：

请求模块，其被配置为：向第二数据中心的第二终端发送认证请求，接收第二终端产生的第一随机数；

签名模块，其被配置为：使用自己的属性私钥根据签名策略对第一随机数进行签名；

认证模块，其被配置为：向第二终端发送所述签名，接收第一数据中心的第一认证服务器发送的与认证请求对应的跨数据中心身份认证证书；

以使第二终端根据该随机数、签名策略、签名、公共参数和属性私钥基，对所述签名进行验证，验证签名是否有效，若是，则向第二认证服务器发送第一终端的身份验证请求，申请第一终端的跨数据中心身份认证证书，否则认证结束；

所述申请第一终端的跨数据中心身份认证证书的过程包括：

第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息，判断是否为联盟的注册用户，若是，对第一终端的身份进行认证判定，若认证通过，则生成认证请求对应的跨数据中心身份认证证书；

其中，属性凭证为第一终端的属性凭证，由第一终端发送给第二终端。

4.基于区块链和属性签名的跨数据中心身份认证方法，其特征在于，由各个数据中心的认证节点组建区块链系统，形成数据中心联盟；在区块链上建立由各数据中心协商一致、共同维护的全局属性集；应用于第二数据中心内的第二终端，包括：

接收第一数据中心内的第一终端发送的认证请求，产生第一随机数发送至第一终端；

接收第一终端发送的签名，判定签名有效性，若有效，向第二数据中心的第二认证服务器发送的第一终端身份验证请求，以使第二认证服务器调用智能合约对第一终端身份验证请求进行第一终端身份认证判定，得到跨数据中心身份认证证书，并将跨数据中心身份认证证书发送至第一数据中心的第一认证服务器；

其中，所述签名是由第一终端使用自己的属性私钥根据签名策略对第一随机数进行签名得到；

所述接收第一终端发送的签名，判断签名有效性，若有效，向第二数据中心的第二认证服务器发送的第一终端身份验证请求具体包括：

第二终端根据第一随机数、签名策略、签名、公共参数和属性私钥基，对所述签名进行验证，验证签名是否有效，若是，则向第二认证服务器发送第一终端的身份验证请求，申请第一终端的跨数据中心身份认证证书，否则认证结束；

所述进行第一终端身份认证判定具体包括：

第二认证服务器调用智能合约根据属性凭证查询第一终端的注册信息，判断是否为联盟的注册用户，若是，对第一终端的身份进行认证判定，若是认证通过，则生成认证请求对应的跨数据中心身份认证证书；

其中，属性凭证为第一终端的属性凭证，由第一终端发送给第二终端。