(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210022217.7 (22)申请日 2022.01.10 (71)申请人 之江实验室 地址 310023 浙江省杭州市文一西路1818 号 申请人 南京邮电大 学 (72)发明人 季一木　陈飞　吴飞　万志国　 宋一波　肖小英　胥熙　王木森　 (74)专利代理 机构 南京正联知识产权代理有限 公司 32243 代理人 张玉红 (51)Int.Cl. H04L 67/1042(2022.01) H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于主从多链的支持广域协同的可信身份 管理方法 (57)摘要 基于主从多链的支持广域协同的可信身份 管理方法， 通过权威认证机构检测身份信息的真 实性， 并将用户注册到身份管 理链上生成用户唯 一ID和电子身份凭证； 验证用户电子身份凭证是 否有效； 针对链上用户电子身份凭证可能会 过期 或者有误， 设计了撤销机制； 引入链上认证管理 员角色， 通过认 证管理员来管 理不同域中同一网 络实体； 最后将用户认证过程以及时间戳记录在 电子身份凭证中， 用来进行审计和追踪。 为零信 任复杂环境提供更安全、 高效、 可持续验证的动 态身份管理。 通过设计统一、 标准的身份标识， 将 各类多域多形态的身份管理系统进行统一管理， 并且基于主从多链的模式， 对传统基于单链的身 份管理模型进行扩展， 减 轻了单链结构的存储压 力。 权利要求书3页 说明书7页 附图6页 CN 114374700 A 2022.04.19 CN 114374700 A 1.基于主从多链的支持广域协同的可信身份管理方法， 其特 征在于： 包括如下步骤： 步骤1， 为当前零信任网络中存在的身份管理系统提供统一的电子身份凭证， 实现线下 身份与链上身份的可信关联， 并通过区块链保护用户的隐私性， 生成BID和电子身份凭证 后， 用户选择性披露电子身份凭证属性， 实现自主控制身份； 通过验证从链中保存的用户电 子身份凭证来确认该用户身份的真实性， 完成身份认证； 步骤2， 将不同域中同一网络实体通过电子身份凭证关联在一 起； 步骤3， 根据用户电子身份凭证中的操作行为记录， 对用户的行为进行持续的评估， 若 评估结果证明用户存在持续高风险操作， 则进行身份的撤销， 同时电子身份凭证存在时间 戳， 若超过时间戳 也撤销此身份凭证； 步骤4， 两个不同域的系统A和B都加入身份管理链后， 若在A系 统中登录的某用户要跨 域访问自己在B系统中的资源， 即通过身份管理链的电子身份凭证和认证管理员实现跨域 身份认证。 2.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤1中， 区块链的主链调用权威认证机构接口， 对身份管理系统中的用户身份真实 性进行核验； 若核验通过， 根据轮询算法计算从链ID， 将注册请求转发给相应从链， 从链为 该系统中的用户创建BID、 电子身份凭证和公私钥对， 将私钥返回给用户保存， 并将BID和电 子身份凭证两者进行关联。 3.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤1中， 电子身份凭证通过身份注 册实现， 包括如下分步骤： 步骤1.1， 身份管理系统申请加入身份管理链， 将系统中用户注 册到身份管理链中； 步骤1.2， 根据轮询算法， 将用户注 册请求发送到指定从链中； 步骤1.3， 从链收到请求后， 首 先调用权威认证机构接口， 对用户身份进行核实； 步骤1.4， 若步骤1 ‑3中核验通过， 则调用智能合约为该用户创建BID、 公私钥、 电子身份 凭证， 并将私钥通过 可信通道发送给用户保存； 步骤1.5， 从链中将电子身份凭证打包到区块进行共识； 共识完成后， 将用户BID、 从链 ID、 区块哈希值发送到主链进行保存； 步骤1.6， 主链保存完成， 则表明该用户注 册成功。 4.根据权利要求3所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤1.2中， 轮询算法具体步骤为： 步骤1.2.1， 定义Index为接收用户注册请求的从链ID， 将Index初始化为1， 表示初始时 将用户注 册请求发送到ID为1的从链中； 步骤1.2.2， 待收到从链 成功处理完注册请求的消息后， 将Index+1与从链的总个数(N) 取模得到新的I ndex， 表示下一次接收用户注 册请求的从链ID； Index＝(I ndex+1)％N。 5.根据权利要求3所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤1.3中， 核实 实现过程 为： 权威认证机构接口是由可信权威部门组成的， 对用户真实身份信息提供核验功能； 注 册时用户需提交身份证号、 真实姓名和手机号， 从链通过调用该接口， 首先核查身份证和姓 名是不是同一个人， 再通过短信验证的方式来核实是不是本人。权　利　要　求　书 1/3 页 2 CN 114374700 A 26.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤1中， 身份认证由主链中选举出的代理节点认证管理员负责， 包括以下步骤： 步骤1.7， 提供商发起身份认证请求、 携带用户的BID； 步骤1.8， 主链中的认证管理员收到请求后， 根据用户的BID， 调用智能合约从主链上查 找到相关从链信息； 步骤1.9， 根据相关从链信息， 读取从链中该用户的电子身份凭证信息， 读取到后进入 步骤1.11； 步骤1.10， 如果未读取到该用户的电子身份凭证信息， 则说明用户未注册过， 认证失 败； 步骤1.11， 获取该从链公开的Number， 用该用户电子身份凭证对应的质数去除公开的 Number； 步骤1.12， 如果能整除， 则表明该电子身份凭证是有效的， 认证成功； 步骤1.13， 如果 不能整除， 则表明未发布过 该电子身份凭证， 认证失败。 7.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤2中， 身份管理系统请求注册到身份管理链 时， 主链中的认证管理员先查询该系 统中的用户是否已在其他域注册后生成过电子身份凭证； 如果找到对应的电子身份凭证修 改已存在电子身份凭证中的属性， 新增(DB,PKB)， 其中D表示用户所属域Domain， 表明该用 户在B域中也存在身份； 实现身份管理系统和B域中同一用户的身份关联。 8.根据权利要求7所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤2中， 身份关联包括以下步骤： 步骤2.1， 身份管理系统A申请加入身份管理链； 步骤2.2， 主链调用权威认证机构接口， 对系统A中的用户身份真实性进行核验； 步骤2.3， 核验通过后， 计算分配的从链ID， 将 请求转发到从链 A中； 步骤2.4， 从链A为系统A中的用户创建BID、 公私钥和电子身份凭证， 将私钥返回给用户 保存， 电子身份凭证中存 入(DA,PKA)属性， 表明该用户在A域中存在身份； 步骤2.5， 身份管理系统B申请加入身份管理链； 步骤2.6， 主链调用权威认证机构接口， 对系统B中的用户身份真实性进行核验； 步骤2.7， 核验通过后， 主链中的认证管理员会通过智能合约判断B系 统中的用户是否 在系统A加入时已经生成过电子身份凭证； 步骤2.8， 如果找到对应的电子身份凭证， 则为用户生成系统B的公私钥， 将私钥返回给 用户。 并修改已存在电子身份凭证中的集合属性， 新增(DB,PKB)， 表明该用户在B域中也存 在身份； 实现身份管理系统A和系统B中同一用户的身份关联； 步骤2.9， 如果没有找到对应的电子身份凭证， 计算分配的从链ID， 则将请求转发到从 链B中； 步骤2.10， 从链B为系统B中的用户创建BID、 公私钥和电子身份凭证， 将私钥返回给用 户保存， 电子身份凭证中存 入(DB,PKB)属性， 表明该用户在 B域中存在身份。 9.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法， 其特征 在于： 步骤3中， 身份的撤销具体为， 使用电子身份凭证中Index属性对应的质数去除从链中 公开的Number， 将结果更新 为新的Number并进行广播， 则表明该电子身份凭证已被撤销。权　利　要　求　书 2/3 页 3 CN 114374700 A 3