本申請?zhí)峁┝艘环N基于區(qū)塊鏈的跨域分布式身份認(rèn)證方法及系統(tǒng)，該方法中，由第一分布式身份客戶端生成與用戶在其所屬部門的原有身份認(rèn)證系統(tǒng)中的身份標(biāo)識具有差異的跨域分布式身份標(biāo)識符及跨域公私鑰對，然后由第一分布式公證人客戶端及第一公證人服務(wù)節(jié)點(diǎn)將跨域分布式身份標(biāo)識符和跨域公鑰寫入?yún)^(qū)塊鏈分布式跨域公證身份賬本上，實(shí)現(xiàn)用戶的跨域身份數(shù)據(jù)的共享；最后獲取跨域身份令牌和跨越身份憑證以便在第二公證人所在的業(yè)務(wù)部門進(jìn)行安全身份驗(yàn)證。并且，通過生成與原有身份認(rèn)證系統(tǒng)中的身份標(biāo)識具有差異的跨域分布式身份標(biāo)識符和跨域公私鑰，保證各交叉業(yè)務(wù)部門原有身份認(rèn)證系統(tǒng)的獨(dú)立性，保持各部門的原有數(shù)據(jù)身份相對其他業(yè)務(wù)部門的隱私性。

技術(shù)領(lǐng)域

本申請涉及身份認(rèn)證技術(shù)領(lǐng)域，特別涉及一種基于區(qū)塊鏈的跨域分布式身份認(rèn)證方法及系統(tǒng)。

背景技術(shù)

電力安全生產(chǎn)是一種多業(yè)務(wù)部門、多工區(qū)與多業(yè)務(wù)系統(tǒng)協(xié)同工作的復(fù)雜工程，涉及到電網(wǎng)各部門工作人員跨本業(yè)務(wù)部門、跨本工區(qū)協(xié)作完成對電力的安全生產(chǎn)，其中嚴(yán)格身份認(rèn)證機(jī)制是保證工作人員跨部門、跨工區(qū)安全生產(chǎn)的必需措施。

目前，各交叉業(yè)務(wù)部門根據(jù)自身業(yè)務(wù)需求獨(dú)立建設(shè)分布式身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)對本部門工區(qū)工作人員身份注冊和身份認(rèn)證，有效防止了無關(guān)人員進(jìn)入本工區(qū)和操作本部門的業(yè)務(wù)系統(tǒng)。

但是，各交叉業(yè)務(wù)部門身份認(rèn)證系統(tǒng)之間相互獨(dú)立，并且身份數(shù)據(jù)不能共享融合，難以滿足跨部門工區(qū)工作人員的跨域身份認(rèn)證要求。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本申請實(shí)施例提供一種基于區(qū)塊鏈的跨域分布式身份認(rèn)證方法及系統(tǒng)，以達(dá)到實(shí)現(xiàn)用戶跨部門的身份數(shù)據(jù)的共享，并保證用戶所屬部門的原有數(shù)據(jù)身份的隱私性的目的，技術(shù)方案如下：

一種基于區(qū)塊鏈的跨域分布式身份認(rèn)證方法，包括：

第一分布式身份客戶端在其所屬部門的用戶進(jìn)行跨域注冊時(shí)，生成所述用戶的跨域分布式身份標(biāo)識符和跨域公私鑰對，所述跨域分布式身份標(biāo)識符與所述用戶在其所屬部門的原有身份認(rèn)證系統(tǒng)中已注冊身份標(biāo)識符具有差異；

所述第一分布式身份客戶端利用所述跨域公私鑰對中的跨域私鑰對所述跨域分布式身份標(biāo)識符和時(shí)間戳進(jìn)行簽名，生成跨域分布式身份標(biāo)識符簽名，并將包含所述已注冊身份標(biāo)識符、所述跨域分布式身份標(biāo)識符、所述跨域分布式身份標(biāo)識符簽名和所述跨域公私鑰對中跨域公鑰的跨域注冊請求發(fā)送至第一分布式公證人客戶端；

所述第一分布式公證人客戶端將所述跨域分布式身份標(biāo)識符和所述跨域公鑰發(fā)送給其所屬部門的第一公證人服務(wù)節(jié)點(diǎn)；

所述第一公證人服務(wù)節(jié)點(diǎn)將所述跨域分布式身份標(biāo)識符和所述跨域公鑰注冊到區(qū)塊鏈分布式跨域公證身份賬本上；

所述第一分布式公證人客戶端生成身份令牌，并將所述身份令牌發(fā)送給所述第一分布式身份客戶端，所述身份令牌包含所述用戶所屬部門的信息、生成身份令牌的公證人標(biāo)識符、所述跨域分布式身份標(biāo)識符、有效期、各交叉業(yè)務(wù)部門的公證人簽名信息；

所述第一分布式身份客戶端保存所述身份令牌，并向第二分布式公證人客戶端出示所述身份令牌，所述第二分布式公證人客戶端與所述第一分布式公證人客戶端屬于不同部門；

所述第二分布式公證人客戶端根據(jù)公證人組運(yùn)行機(jī)制驗(yàn)證所述身份令牌，在驗(yàn)證通過后，根據(jù)跨域身份憑證頒發(fā)運(yùn)行機(jī)制生成跨域身份憑證，并將所述跨域身份憑證發(fā)送給所述第一分布式身份客戶端；

所述第一分布式身份客戶端保存所述跨域身份憑證，并在所述用戶需要操作被訪問設(shè)備時(shí)，向第三分布式公證人客戶端出示所述身份令牌和所述跨域身份憑證，所述第三分布式公證人客戶端為被訪問設(shè)備的分布式公證人客戶端；

所述第三分布式公證人客戶端按照身份認(rèn)證運(yùn)行機(jī)制驗(yàn)證所述身份令牌和所述跨域身份憑證，在驗(yàn)證通過后，給予所述用戶訪問所述被訪問設(shè)備的權(quán)限。