CN111865993B

CN111865993B - 身份认证管理方法、分布式系统及可读存储介质

Info

Publication number: CN111865993B
Application number: CN202010720449.0A
Authority: CN
Inventors: 陈世武; 王炜; 江军
Original assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Current assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Priority date: 2020-07-23
Filing date: 2020-07-23
Publication date: 2022-04-01
Anticipated expiration: 2040-07-23
Also published as: CN111865993A

Abstract

本申请提供一种身份认证管理方法、分布式系统及可读存储介质，涉及计算机身份认证技术领域。方法包括：代理节点根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，第一验证请求及第二验证请求均包括待接入节点的身份证书明文、物理属性信息、第一身份标识；多个验证节点分别对第二验证请求中的身份证书明文、物理属性信息、第一身份标识进行认证，得到第一认证结果；代理节点根据多个验证节点发送的第一认证结果，得到表征是否准许待接入节点加入联盟链的第二认证结果。在本方案中，通过对待接入节点的多方面信息进行认证，有利于避免因认证信息单一而出现安全隐患，有利于提高对待接入节点进行认证的可靠性。

Description

身份认证管理方法、分布式系统及可读存储介质

技术领域

本发明涉及计算机身份认证技术领域，具体而言，涉及一种身份认证管理方法、分布式系统及可读存储介质。

背景技术

身份认证是在计算机及计算机网络系统中确认操作者身份的过程。在计算机网络世界中，作为保证网络安全操作和防护网络资产安全的第一道关口，身份认证具有重要作用。身份认证往往和对资源的访问控制密切相关，有效的接入身份认证方法能防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，并保护系统网络中授权访问者的合法利益。当前，随着区块链技术发展，区块链系统已经在各行各业中得到了广泛应用。在对联盟链的网络节点进行身份认证时，目前的联盟链通常基于传统的CA(Certificate Authority，认证授权机构)证书和数字签名，网络节点的身份认证过程过于依赖于第三方机构，从而存在因认证方式单一而导致的安全隐患。

发明内容

本申请提供一种身份认证管理方法、分布式系统及可读存储介质，能够改善因认证方式单一而导致的安全隐患。

为了实现上述目的，本申请实施例所提供的技术方案如下所示：

第一方面，本申请实施例提供一种身份认证管理方法，应用于分布式系统，所述分布式系统包括代理节点、验证节点，所述方法包括：

所述代理节点根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息、第一身份标识；

所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息、所述第一身份标识进行认证，得到第一认证结果；

所述代理节点根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果。

在上述的实施方式中，通过代理节点将待接入节点的验证请求发送至多个验证节点，由多个验证节点对待接入节点、待接入节点所属单位的多方面信息进行认证，无需依赖CA证书也可以实现对待接入节点的接入认证。另外，通过多方面信息的认证，有利于避免因认证信息单一而出现安全隐患，有利于提高对待接入节点进行认证的可靠性。

结合第一方面，在一些可选的实施方式中，所述分布式系统还包括属于联盟链管理机构且与单位对应的管理节点，在向多个验证节点发送第二验证请求之前，所述方法还包括：

所述管理节点根据参与联盟链的单位的描述信息，生成与每个单位对应的第一命名空间标识符，并将所述第一命名空间标识符存储于所述联盟链；

所述管理节点获取所述待接入节点的物理属性信息，及所述待接入节点所属单位的描述信息；

所述管理节点根据所述物理属性信息及所述所属单位的描述信息，生成所述待接入节点的第一身份标识，并将所述第一身份标识存储于所述联盟链；

所述管理节点在从所述代理节点接收到所述待接入节点的身份证书获取请求，且在确定所述待接入节点所属单位完成对所述待接入节点的身份验证后，根据所述待接入节点的节点身份证书信息，生成所述待接入节点的身份证书明文，以使参与联盟链的单位对所述身份证书明文签名，得到所述待接入节点的身份证书密文，所述身份证书明文包括所述待接入节点的所述第一身份标识、公钥信息、业务授权信息、证书明文生成时的时间戳。

在上述的实施方式中，通过待接入节点的所属单位对待接入节点进行相关信息的录入，以及身份验证，有利于后续在待接入节点接入联盟链时对待接入节点的身份认证提供保障，避免未被所述单位录入信息的节点接入联盟链。

结合第一方面，在一些可选的实施方式中，所述管理节点根据所述物理属性信息及所述所属单位的描述信息，生成所述待接入节点的第一身份标识，包括：

根据所述物理属性信息、所述所属单位的描述信息及当前时间戳，通过哈希算法生成所述待接入节点的第一身份标识。

在上述的实施方式中，通过结合时间戳，有利于提高所生成的身份标识的唯一性，降低所生成的身份标识存在相同的概率。

结合第一方面，在一些可选的实施方式中，所述方法还包括：

当所述待接入节点的所述物理属性信息发生变更时，所述管理节点根据所述待接入节点变更后的物理属性信息，及所述待接入节点所属单位的描述信息，生成所述待接入节点的新第一身份标识、新身份证书明文、新身份证书密文；

将所述新第一身份标识、所述新身份证书密文录入所述联盟链。

在上述的实施方式中，当待接入节点的物理属性信息发生变更后，需要对待接入节点的身份标识、新身份证书明文、身份证书密文进行更新，以避免变更信息后的待接入节点无法被认证通过。

结合第一方面，在一些可选的实施方式中，所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息、所述第一身份标识进行认证，得到第一认证结果，包括：

针对所述多个验证节点中的每个验证节点，所述验证节点将所述物理属性信息及所述第一身份标识发送至联盟链管理机构中相应的管理节点，以使所述管理节点查找是否存在与所述物理属性信息对应的第二身份标识，以及与所述第一身份标识对应的参考身份证书；

当存在所述第二身份标识及所述参考身份证书时，所述验证节点判断所述第一身份标识与所述第二身份标识是否相同，以及判断所述参考身份证书与所述待接入节点的身份证书明文是否相同；

当所述第一身份标识与所述第二身份标识相同，且所述参考身份证书与所述待接入节点的身份证书明文相同时，得到表征认证通过的第一认证结果。

在上述的实施方式中，通过多个验证节点对待接入节点的身份进行认证，有利于提高认证的有效性及安全性。

结合第一方面，在一些可选的实施方式中，所述代理节点根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果，包括：

当表征验证通过的第一认证结果的数量大于或等于预设阈值时，所述代理节点得到表征准许所述待接入节点加入所述联盟链的第二认证结果；

当表征验证通过的第一认证结果的数量小于所述预设阈值时，所述代理节点得到表征拒绝所述待接入节点加入所述联盟链的第二认证结果。

在上述的实施方式中，各验证节点对待接入节点认证通过的数量可以反映待接入节点身份的有效性，通过认证的数量越多，表示待接入节点的身份越安全有效，因此，当表征验证通过的第一认证结果的数量大于或等于预设阈值时，便可以准许待接入节点加入联盟链。

当所述第二认证结果表征准许所述待接入节点加入所述联盟链时，所述代理节点将所述待接入节点加入所述联盟链；

所述代理节点通过联盟链共识机制将所述待接入节点加入所述联盟链的信息录入所述联盟链。

在上述的实施方式中，当对待接入节点的认证通过时，便可以将待接入节点加入联盟链，以提高加入联盟链的节点的安全性。

第二方面，本申请实施例还提供一种身份认证管理方法，应用于分布式系统中的代理节点，所述分布式系统还包括验证节点，所述方法包括：

根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息、第一身份标识，以使所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息、所述第一身份标识进行认证，得到第一认证结果；

根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果。

第三方面，本申请实施例还提供一种身份认证管理装置，应用于分布式系统中的代理节点，所述分布式系统还包括验证节点，所述装置包括：

发送单元，用于根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息、第一身份标识，以使所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息、所述第一身份标识进行认证，得到第一认证结果；

结果认证单元，用于根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果。

第四方面，本申请实施例还提供一种分布式系统，所述分布式系统包括代理节点、验证节点，其中：

所述代理节点，用于根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息、第一身份标识；

所述多个验证节点，用于分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息、所述第一身份标识进行认证，得到第一认证结果；

所述代理节点，还用于根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果。

第五方面，本申请实施例还提供一种计算机可读存储介质，所述可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述的身份认证管理方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的分布式系统与待接入节点的连接示意图。

图2为本申请实施例提供的联盟链网络的拓扑示意图。

图3为本申请实施例提供的身份认证管理方法的流程示意图之一。

图4为本申请实施例提供的身份认证管理方法的流程示意图之二。

图5为本申请实施例提供的身份认证装置的功能框图。

图标：10-分布式系统；20-代理节点；30-待接入节点；300-身份认证管理装置；310-发送单元；320-结果认证单元。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。需要说明的是，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

下面结合附图，对本申请实施例作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

第一实施例

请参照图1，本申请实施例提供一种分布式系统10，可以包括代理节点20、多个验证节点，可以用于执行或实现下述的身份认证管理方法中的各步骤。其中，代理节点20可以与多个验证节点建立通信连接，以通过网络进行数据交互。代理节点20还可以通过网络与待接入节点30建立通信连接，以进行数据交互。

代理节点20与验证节点可理解为分布式系统10中相应的服务器。代理节点20可以对待接入节点30的相应请求进行转发。分布式系统10中的验证节点的数量可以根据实际情况进行设置。例如，分布式系统10可以包括如图1所示的验证节点1、验证节点2、…、验证节点n，其中，n为大于或等于2的整数，可以根据实际情况进行设置。其中，验证节点可以对待接入节点30的身份进行认证。

在本实施例中，代理节点20可以用于根据待接入节点30发起的第一验证请求，向多个验证节点发送第二验证请求，第一验证请求及第二验证请求均包括待接入节点30的身份证书明文、物理属性信息、第一身份标识；多个验证节点可以用于分别对第二验证请求中的身份证书明文、物理属性信息、第一身份标识进行认证，得到第一认证结果；代理节点20还可以用于根据多个验证节点发送的第一认证结果，得到表征是否准许待接入节点30加入联盟链的第二认证结果。

请参照图2，分布式系统10还可以包括其他网络节点。例如，分布式系统10还可以包括参与联盟链的单位中的管理节点。各单位的管理节点形成的架构可以称为联盟链管理机构。加入联盟链的所有网络节点形成的网络可以称为联盟链网络。联盟管理机构所包括的管理节点的数量可以根据实际情况进行设置。例如，联盟管理机构可以包括图2所示的参与单位1的管理节点、参与单位2的管理节点、…、参与单位N的管理节点，N为大于2的整数，可以根据实际情况进行设置。

可理解地，参与联盟链的单位可以为公司、协会等组织。一个单位对应一个公司或一个协会或一个机构。加入联盟链的节点即为单位中的一个或多个网络节点。每个单位中可加入联盟链的网络节点的数量可以根据实际情况进行设置，可以为一个或多个。一个联盟链中通常包括多个单位的网络节点。一个网络节点可以理解为单位的终端设备、服务器等设备。当多个单位之间需要相互协作时，可以通过加入联盟链的方式，进行协作。其中，加入联盟链的各个网络节点为经过认证的可信任的节点。

待接入节点30通常为需要加入联盟链的网络节点。待接入节点30所属单位为参与联盟链的单位之一。

请参照图3，本申请实施例提供一种身份认证管理方法，可以应用于上述的分布式系统10中，由分布式系统10中的各节点相互配合，以实现方法中的各步骤。方法可以包括步骤S110至步骤S150，如下：

步骤S110，待接入节点向代理节点发送第一验证请求；

步骤S120，代理节点根据第一验证请求，向多个验证节点发送第二验证请求；

步骤S130，多个验证节点根据接收到的第二验证请求，分别对第二验证请求中携带的待接入节点的身份证书明文、物理属性信息、第一身份标识进行认证，得到第一认证结果；

步骤S140，多个验证节点将各自得到的第一认证结果发送至代理节点；

步骤S150，代理节点根据多个验证节点发送的第一认证结果进行分析处理，得到表征是否准许待接入节点加入联盟链的第二认证结果。

在本实施例中，通过代理节点将待接入节点的验证请求发送至多个验证节点，由多个验证节点对待接入节点、待接入节点所属单位的多方面信息进行认证，无需依赖CA证书也可以实现对待接入节点的接入认证。另外，通过多方面信息的认证，有利于避免因认证信息单一而出现安全隐患，有利于提高对待接入节点进行认证的可靠性。

下面将对图3中所示方法的各步骤进行详细阐述，如下：

在步骤S110中，当待接入节点需要加入联盟链时，待接入节点可以向代理节点发送验证请求，该验证请求即为第一验证请求。然后由代理节点根据第一验证请求，向多个验证节点发送第二验证请求。其中，用于接收第二验证请求的多个验证节点可以为分布式系统中所有验证节点中的部分验证节点，或者为分布式系统中的所有验证节点。

代理节点可以根据实际情况，从分布式系统的所有验证节点中，选择多个验证节点作为目标验证节点。目标验证节点即为需要接收第二验证请求的验证节点。例如，代理节点可以根据负载均衡策略，从所有验证节点中，选择指定数量的当前负荷最小的验证节点作为目标验证节点。指定数量小于验证节点的总数，可以根据实际情况进行设置。

例如，验证节点总数为10个，指定数量可以为5个。代理节点可以从10个验证节点中，选择当前负荷最小的5个验证节点作为目标验证节点。此时，代理节点便将第二验证请求发送至所选择的5个目标验证节点。

第一验证请求及第二验证请求通常均包括待接入节点的身份证书明文、物理属性信息、第一身份标识等信息。代理节点可以对接收的第一验证请求进行分析处理，若代理节点接收的第一验证请求中缺少待接入节点的身份证书明文、物理属性信息、第一身份标识中的任一种信息，代理节点可以向待接入节点发送表征请求不合格或拒绝该待接入节点加入联盟链的提示信息。该提示信息还可以包括指示待接入设备需要申请身份证书明文、物理属性信息、第一身份标识等信息的信息。即，若代理节点接收的第一验证请求中缺少待接入节点的身份证书明文、物理属性信息、第一身份标识中的任一种信息，此时，需要代理节点向所属单位的管理节点申请待接入节点所缺少的身份证书明文、物理属性信息、第一身份标识等信息。

在步骤S120中，收到第二验证请求的验证节点即为目标验证节点。每个目标验证节点在接收到第二验证请求后，便可以执行步骤S130，以对第二验证请求进行认证。

在步骤S130中，每个目标验证节点可以对第二验证请求中携带的待接入节点身份证书明文、物理属性信息、第一身份标识等信息进行认证，从而得到第一认证结果。第一认证结果可以为表示认证通过的结果，或表示认证未通过的结果。即，每个目标验证节点均可以得到第一认证结果。不同的目标验证节点得到的第一认证结果可以相同或不同。其中，待接入节点在进行认证前，通常需要将物理属性信息/物理文件与待接入节点的身份证书明文、第一身份标识进行关联，并将该关联关系存储于待接入节点所述单位的管理节点中。

可理解地，物理属性信息可以为物理文件，物理文件中可以包括但不限于待接入节点的设备名称、设备型号、节点在所属单位内的编号、设备配置、设备用途等属性信息。物理文件可以为预设格式的文件。预设格式可以根据实际情况进行选择，例如，可以为TXT格式、JSON格式。

目标验证节点对身份证书明文、物理属性信息、第一身份标识进行认证的方式可以为：

目标验证节点将待接入节点的物理属性信息发送至所属单位的管理节点，由该管理节点根据物理属性信息，查找是否存在与该物理属性信息对应的身份证书明文，以及与该物理属性信息对应的第一身份标识。若存在与该物理属性信息对应的身份证书明文(该身份证书明文可以称为参照身份证书明文)，以及与该物理属性信息对应的身份标识(该身份标识可以称为参照身份标识或第二身份标识)，则将与参照身份证书明文，以及参照身份标识发送至目标验证节点。目标验证节点将第二验证请求中的身份证书明文与参照身份证书明文进行比对，以及将第二验证请求中的第一身份标识与参照身份标识进行比对。

若第二验证请求中的身份证书明文与参照身份证书明文相同，且第二验证请求中的第一身份标识与参照身份标识相同，该目标验证节点确定对该待接入节点的认证通过，得到表征认证通过的第一认证结果。若第二验证请求中的身份证书明文与参照身份证书明文不相同，或者第二验证请求中的第一身份标识与参照身份标识不相同，该目标验证节点确定对该待接入节点的认证未通过，得到表征认证未通过的第一认证结果。

可理解地，在对身份证书明文、物理属性信息、第一身份标识进行认证时，可以先由与所属单位对应的验证节点将物理属性信息发送至待接入节点所属单位的管理节点，由该管理节点根据物理属性信息对第一身份标识、身份证书明文进行认证，以确定身份证书与待接入设备是否关联。然后，再由目标验证节点中的其他验证节点，分别将物理属性信息发送至能够验证第一身份标识、身份证书明文有效性的管理节点，并由这类管理节点对第一身份标识、身份证书明文进行认证。

在步骤S140中，代理节点可以接收各个目标验证节点发送的第一认证结果，然后执行步骤S150。

在步骤S150中，代理节点可以对各个目标验证节点发送的第一认证结果进行分类统计，得到表征认证通过的第一认证结果的数量。各目标验证节点对待接入节点认证通过的数量可以反映待接入节点身份的有效性，通过认证的数量越多，表示待接入节点的身份越安全有效。

作为一种可选的实施方式，步骤S150可以包括：

预设阈值可以根据实际情况进行设置，例如，预设阈值可以为目标验证节点总数的一半。若表征验证通过的第一认证结果的数量大于或等于预设阈值，则表示该待接入节点为安全有效的节点，不属于假冒的节点，可以准许接入联盟链中。

在步骤S110之前，方法还可以包括对待接入节点的相关信息进行生成与录入的步骤。例如，在步骤S110之前，方法还可以包括：

所述管理节点在从所述代理节点接收到所述待接入节点的身份证书获取请求，且在确定所述待接入节点所属单位完成对所述待接入节点的身份认证后，根据所述待接入节点的节点身份证书信息，生成所述待接入节点的身份证书明文，以使参与联盟链的单位对所述身份证书明文签名，得到所述待接入节点的身份证书密文，所述身份证书明文包括所述待接入节点的所述第一身份标识、公钥信息、业务授权信息、证书明文生成时的时间戳。

在本实施例中，待接入节点通常为参与联盟链的单位中的节点。该待接入节点可以存储记录其所属单位的命名空间标识符。该命名空间标识符即为第一命名空间标识符。单位的管理节点可以根据该单位的描述信息，生成与每个单位对应的第一命名空间标识符。单位的描述信息包括但不限于单位名称、单位编号、单位的业务范围等，可以根据实际情况进行设置。

可理解地，管理节点可以根据单位的各类描述信息，通过Hash(哈希)算法，计算得到命名空间标识符，该命名空间标识符也可以称为通用唯一标识符(Universally UniqueIdentifier，UUID)。该Hash算法可以为MD5(Message Digest Algorithm 5，消息摘要算法第五版)算法。为了提高命名空间标识的唯一性，可以在描述信息中加入当前的时间戳，然后再通过Hash算法，计算得到命名空间标识符。

作为一种可选的实施方式，管理节点在为待接入节点生成第一身份标识时，还可以结合当前的时间戳，生成得到待接入节点的第一身份标识，以提高所得到的身份标识的唯一性。例如，所述管理节点根据所述物理属性信息及所述所属单位的描述信息，生成所述待接入节点的第一身份标识，包括：根据所述物理属性信息、所述所属单位的描述信息及当前时间戳，通过哈希算法生成所述待接入节点的第一身份标识。

在本实施例中，管理节点生成待接入节点的第一身份标识的方式与管理节点生成单位的命名空间标识符的方式相类似，这里不再赘述。

作为一种可选的实施方式，方法还可以包括：

在本实施例中，第一认证结果为目标验证节点对待接入节点的身份证书明文、物理属性信息、第一身份标识进行认证得到的认证结果。第二认证结果为代理节点根据各个目标验证节点返回的第一认证结果，统计得到的表征是否准许待接入节点加入联盟链的认证结果。联盟链共识机制为本领域技术人员所熟知。通过联盟链共识机制将待接入节点加入联盟链的信息录入联盟链后，联盟链中的其他节点便均可以知晓该待接入节点已经接入到联盟链中，即，该待接入节点为可被信任的安全节点。

当待接入节点加入联盟链时，通过联盟链共识机制将所述待接入节点加入所述联盟链的信息录入所述联盟链，以便于联盟链中的其他节点可以知晓该节点加入了该联盟链中。在待接入节点加入联盟链后可以称为入盟节点，代理节点可以基于该入盟节点的业务范围，分配与业务对应的权限。当该入盟节点需要参与联盟链中其他节点的业务时，代理节点可以根据该权限判断是否准许该入盟节点参与其他节点的业务。若该入盟节点的权限大于或等于预参与的业务的权限，代理节点便准许该业务节点参与其他节点的业务。

作为一种可选的实施方式，方法还可以包括：

可理解地，当待接入节点的所述物理属性信息发生变更时，例如，物理属性信息中表示待接入节点的业务范围发生变化，此时，便需要管理节点基于待接入节点变更后的物理属性信息，生成待接入节点的新第一身份标识、新身份证书明文、新身份证书密文等。其中，生成新第一身份标识、新身份证书明文、新身份证书密文的方式与上述生成第一身份标识、身份证书明文、身份证书密文的方式相类似，这里不再赘述。

通过在联盟链中录入待接入节点的新第一身份标识、新身份证书密文，有利于联盟链对变更物理属性信息的待接入节点进行身份识别，以避免因物理属性信息变更后无法对待接入节点的身份进行认证而影响业务的进行。

下面将举例阐述身份认证管理方法的实现过程，如下：

在分布式系统进行初始化时，初始化过程包括参与联盟链的各单位的命名空间标识符的生成、管理节点唯一标识符(或身份标识)的生成，以及管理节点唯一身份证书的生成。

单位的身份标识与节点的唯一标识符可以采用UUID，目的是让联盟链中的所有节点、单位都能有唯一的识别信息。UUID可以由一组32位的16进制数字构成，其结构形如“xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”。UUID具有如下特点：由设备(如管理节点)通过相应的算法(如Hash算法)生成；非人工指定，非人工识别；具有匿名性，不能直接从一个UUID知道哪个对象和它关联。在本实施例中，唯一标识符基于UUID版本3，即基于名称的UUID，其中的Hash算法可以是MD5算法。

生成命名空间标识符的过程包括：联盟链中包括属于多个组织或机构的网络节点，为便于标识各网络节点的归属关系，需首先确定网络节点所属单位的唯一标识符。本实施例中，将网络节点所属单位的名称及该机构的描述信息定义为该机构的“命名空间(Namespace)”。网络节点所属单位的唯一标识通过网络节点所属命名空间的唯一标识符来表达。命名空间具有全局统一的预设格式规范(比如为JSON格式)，第i个命名空间(单位)的UUID通过UUID_i＝MD5(Namespace_i||Timestamp)得到，其中Timestamp为生成该命名空间UUID的时间(时间戳)。命名空间标识符由联盟链管理机构生成，生成的命名空间的UUID存储在联盟链上。联盟链管理机构可由联盟链各参与单位的管理节点联合组成，如图2所示。

生成网络节点(比如，待接入节点)的身份标识的过程包括：属于某一单位(命名空间)的网络节点，其物理文件(Name)中包含该网络节点的设备型号、该设备在所属单位中的编号、设备配置、设备用途等物理属性信息，具有全局统一的预设格式规范(比如JSON格式)。比如，对于命名空间i中的某一网络节点j，该身份标识(唯一标识符)为UUID_ij＝MD5(Namespace_i||Name_j||Timestamp)，i、j为大于0的整数，表示编号。可理解地，通过“Namespace+Name+Timestamp”能唯一确定该Hash串，加入时间戳Timestamp是为了进一步降低发生Hash碰撞的可能性，提高生成的身份标识的唯一性。在得到网络节点的身份标识后，可以通过联盟链共识机制存储在联盟链上。

为了表明网络节点的UUID与其它对象(比如公钥信息、业务授权信息等)的关联性，可以通过一份网络节点的属性描述文件。该文件可用JSON格式记录，称为“身份证书明文”，经联盟链管理机构中各参与单位进行联合数字签名后，形成“身份证书密文”，可作为网络节点的唯一身份证书(数字身份)，证书内容包含但不限于如下内容：

“nodeID”：表示该网络节点的唯一标识符；

“publicKey”：表示该网络节点用于数字签名、信息加密等操作所需的公钥信息；

“authenInfo”：表示该网络节点进行各种业务操作所需的授权信息；

“createdDate”：表示该网络节点的唯一身份证书的创建日期(时间戳)；

“updatedDate”：表示该网络节点的唯一身份证书的更新日期(时间戳)。

生成网络节点的唯一身份证书的过程可以包括如下步骤：

第一步，网络节点通过加密信道向代理节点发送包含该网络节点的设备型号、该设备在所属单位内部的编号、设备配置、设备用途等信息的物理文件，发起创建唯一身份证书的请求；

第二步，代理节点将该物理文件连接到联盟链管理机构中能够验证其身份的参与单位，例如将物理文件发送至网络节点所属单位的管理节点；

第三步，所属单位的管理节点检查该网络节点的物理文件。当验证该网络节点对应的物理文件符合要求后(该验证过程为本领域技术人员所熟知，这里不再赘述)，由联盟链管理机构的管理节点为该网络节点生成一份唯一的“身份证书明文”，并经联盟链管理机构各参与单位联合签名后生成“身份证书密文”；

第四步，所属单位的管理节点将该网络节点的唯一身份证书(明文和密文)和所属单位的UUID发送给代理节点；

第五步，代理节点将网络节点的唯一身份证书明文和所属单位的UUID转发给该网络节点，网络节点将唯一身份证书明文和其所属命名空间的UUID分别保密存储；

第六步，代理节点向参与共识的联盟链网络节点广播该网络节点的唯一身份证书密文，通过共识机制将该网络节点的唯一身份证书密文存储到联盟链上。

如果该网络节点的所属关系和/或其它属性信息等物理属性信息发生变更，需要重新生成一份唯一身份证书，并通过共识机制将这一身份证书变更过程记录到联盟链上，以便于再次进行接入身份认证。

网络节点身份关联的认证过程中涉及待接入节点、验证节点，验证节点包括身份标识验证模块，以及身份证书验证模块，用于对网络节点与身份证书是否关联进行认证。网络节点的物理身份(物理属性信息)与数字身份(身份标识、身份证书)相互关联的过程如下：

第一步，待接入节点通过加密信道将其所属命名空间的UUID(待接入节点自身的身份标识)、物理文件，及其唯一身份证书明文发送给验证节点，请求身份验证。

第二步，验证节点可以将该网络节点的物理文件及其所属命名空间的UUID发送给身份标识验证模块，身份标识验证模块向联盟链管理机构中能证明该节点身份的参与单位的管理节点发起查询。

第三步，联盟链管理机构中能证明该网络节点身份的参与单位的管理节点根据收到的物理文件验证该网络节点的身份是否合法，并查询是否存在与该物理文件对应的命名空间的UUID，或者基于该物理文件生成对应的命名空间的UUID。然后，判断与该物理文件对应的命名空间的UUID与验证节点收到的UUID是否一致，若该网络节点的身份合法且其所属命名空间的UUID一致，则返回该网络节点身份标识通过验证的消息，并返回该网络节点的UUID；否则，返回认证失败的信息。

第四步，验证节点收到该网络节点的UUID后，首先比对该UUID与待接入节点提供的身份证书明文中的UUID是否一致，如果一致，验证节点向身份证书验证模块发起证书查询；如果不一致，返回未通过验证的消息。

第五步，身份证书验证模块根据收到的UUID，通过身份验证智能合约向联盟链查询与之对应的身份证书，若查询到，则将解密后的身份证书返回给验证节点；若未查询到，则返回证书不存在的消息，此时表明待接入节点提供的身份证书是伪造的。

第六步，验证节点收到身份证书验证模块返回的身份证书明文后，与待接入节点发送的身份证书进行比对，若两份身份证书完全一致，则返回身份关联成功的消息；否则，则表明网络节点发送的身份证书经过伪造，返回未通过验证的消息。

通过以上步骤可实现网络节点的唯一身份证书和该网络节点自身的关联绑定：若待接入节点通过了验证节点的验证，则证明该网络节点与该网络节点的身份证书是相互关联的。

在本实施例中，分布式接入身份认证的认证过程除了包括上述的关联认证后，还可以包括如下步骤：

第一步，待接入网络节点通过加密信道向某个代理节点发起身份认证请求，认证请求信息中包含该网络节点所属命名空间的UUID，该网络节点的物理文件(其中包含该网络节点的设备型号、该设备在机构内部的编号、设备配置、设备用途等信息)，以及该网络节点的唯一身份证书明文。

第二步，代理节点接收到该网络节点的认证请求后，向多个验证节点发起分布式接入身份认证。

第三步，如前述的关联认证过程，分布式的验证节点根据收到的待接入网络节点所属命名空间的UUID、该网络节点的物理文件和唯一身份证书明文，按照上述“物理身份与数字身份相互关联”的过程，并结合业务逻辑(比如，待接入网络节点的用途是否符合区块链系统的业务逻辑)和平台环境(比如，此时联盟链平台的资源占用情况)对该网络节点进行身份认证。如果某个验证节点判定应拒绝该网络节点接入，则向代理节点返回“拒绝接入”的认证结果。否则，向代理节点返回“通过验证”的认证结果。

第四步，代理节点收集分布式验证节点返回的身份认证结果，并根据预先设置的预设阈值对该网络节点是否通过身份认证进行最终判定。例如，表示认证通过的认证结果的数量大于或等于预设阈值，则表示对待接入节点的身份认证通过。

第五步，若代理节点确定待接入网络节点通过身份认证，代理节点可以广播这一认证结果，并通过联盟链共识机制将该网络节点加入联盟链的信息记入联盟链；若未通过认证，代理节点可以不采取任何操作。

第六步，该网络节点加入联盟链的信息被成功记录后，代理节点向待接入网络节点下发权限票据，待接入网络节点可以使用该权限票据参与在权限票据的权限范围内的联盟链业务。

通过上述步骤，便可以无需第三方认证授权机构参与，也可以实现对待接入网络节点进行分布式接入身份认证。基于上述设计，通过联盟链中的多个身份验证节点进行网络节点的分布式身份认证，降低了现有联盟链中身份认证过程对可信第三方机构的依赖，降低了联盟链的带宽压力，避免了业务数据因附着身份认证数据而使体积增大，并避免了多种认证方式共存所造成的用户身份管理不便的问题。采用多种认证要素进行交叉验证，有效增强了联盟链接入身份认证的安全性和有效性，降低了恶意节点非法接入和用户身份被恶意冒用的风险。另外，可以使用时间戳，允许对网络节点唯一身份证书进行更新。此外，用户可以在联盟链上进行可监管、可验证的加密信息传输。

第二实施例

请参照图4，本申请实施例还提供另一种身份认证管理方法，可以应用于分布式系统中的代理节点，由代理节点执行或实现方法中的各步骤，方法可以包括：

步骤S210，根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息、第一身份标识，以使所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息、所述第一身份标识进行认证，得到第一认证结果；

步骤S220，根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果。

可理解地，该身份认证方法还可以包括第一实施例中代理节点所执行的各步骤。第二实施例中身份认证管理方法的各步骤可以参照第一实施中对代理节点所执行的各步骤的描述，这里不再赘述。

请参照图5，本申请实施例还提供一种身份认证管理装置300，可以应用于上述的代理节点中。身份认证管理装置300包括至少一个可以软件或固件(Firmware)的形式存储于存储模块中或固化在网络节点操作系统(Operating System，OS)中的软件功能模块。处理模块用于执行存储模块中存储的可执行模块，例如身份认证管理装置300所包括的软件功能模块及计算机程序等。

身份认证管理装置300可以包括发送单元310及结果认证单元320。

发送单元310，用于根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息、第一身份标识，以使所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息、所述第一身份标识进行认证，得到第一认证结果。

结果认证单元320，用于根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果。

可选地，结果认证单元320，可以用于当表征验证通过的第一认证结果的数量大于或等于预设阈值时，得到表征准许所述待接入节点加入所述联盟链的第二认证结果；当表征验证通过的第一认证结果的数量小于所述预设阈值时，得到表征拒绝所述待接入节点加入所述联盟链的第二认证结果。

可选地，身份认证管理装置300还可以包括节点加入单元及信息录入单元。节点加入单元用于当所述第二认证结果表征准许所述待接入节点加入所述联盟链时，将所述待接入节点加入所述联盟链；信息录入单元用于通过联盟链共识机制将所述待接入节点加入所述联盟链的信息录入所述联盟链。

需要说明的是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的分布式系统、身份认证管理装置300的具体工作过程，可以参考前述方法中的各步骤对应过程，在此不再过多赘述。

在本实施例中，网络节点(可以是联盟链中的任一节点，比如，验证节点、代理节点等)可以包括处理模块、通信模块、存储模块以及身份认证管理装置300，处理模块、通信模块、存储模块以及身份认证管理装置300各个元件之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

处理模块可以是一种集成电路芯片，具有信号的处理能力。上述处理模块可以是通用处理器。例如，该处理器可以是中央处理器(Central Processing Unit，CPU)、图形处理器(Graphics Processing Unit，GPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processing，DSP)、专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。

存储模块可以是，但不限于，随机存取存储器，只读存储器，可编程只读存储器，可擦除可编程只读存储器，电可擦除可编程只读存储器等。在本实施例中，存储模块可以用于存储节点自身的物理属性信息、身份证书明文等。当然，存储模块还可以用于存储程序，处理模块在接收到执行指令后，执行该程序。

通信模块用于通过网络建立当前网络节点与联盟链中的其他节点的通信连接，并通过网络收发数据。

本申请实施例还提供一种计算机可读存储介质。可读存储介质中存储有计算机程序，当计算机程序在计算机上运行时，使得计算机执行如上述实施例中所述的身份认证管理方法。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现，基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施场景所述的方法。

综上所述，本申请提供一种身份认证管理方法、分布式系统及可读存储介质。方法包括：代理节点根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，第一验证请求及第二验证请求均包括待接入节点的身份证书明文、物理属性信息、第一身份标识；多个验证节点分别对第二验证请求中的身份证书明文、物理属性信息、第一身份标识进行认证，得到第一认证结果；代理节点根据多个验证节点发送的第一认证结果，得到表征是否准许待接入节点加入联盟链的第二认证结果。在本方案中，通过代理节点将待接入节点的验证请求发送至多个验证节点，由多个验证节点对待接入节点、待接入节点所属单位的多方面信息进行认证，无需依赖CA证书也可以实现对待接入节点的接入认证。另外，通过多方面信息的认证，有利于避免因认证信息单一而出现安全隐患，有利于提高对待接入节点进行认证的可靠性。

在本申请所提供的实施例中，应该理解到，所揭露的装置、系统和方法，也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

1.一种身份认证管理方法，其特征在于，应用于分布式系统，所述分布式系统包括代理节点、验证节点及属于联盟链管理机构且与单位对应的管理节点，所述方法包括：

所述管理节点获取待接入节点的物理属性信息，及所述待接入节点所属单位的描述信息；

所述管理节点在从所述代理节点接收到所述待接入节点的身份证书获取请求，且在确定所述待接入节点所属单位完成对所述待接入节点的身份验证后，根据所述待接入节点的节点身份证书信息，生成所述待接入节点的身份证书明文，以使参与联盟链的单位对所述身份证书明文签名，得到所述待接入节点的身份证书密文，所述身份证书明文包括所述待接入节点的所述第一身份标识、公钥信息、业务授权信息和身份证书明文生成时的时间戳；

所述代理节点根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息和第一身份标识；

所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息和所述第一身份标识进行认证，得到第一认证结果；

所述代理节点根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果；

其中，所述多个验证节点分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息和所述第一身份标识进行认证，得到第一认证结果，包括：

2.根据权利要求1所述的方法，其特征在于，所述管理节点根据所述物理属性信息及所述所属单位的描述信息，生成所述待接入节点的第一身份标识，包括：

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

4.根据权利要求1所述的方法，其特征在于，所述代理节点根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果，包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.一种分布式系统，其特征在于，所述分布式系统包括代理节点、验证节点及属于联盟链管理机构且与单位对应的管理节点，其中：

所述管理节点用于根据参与联盟链的单位的描述信息，生成与每个单位对应的第一命名空间标识符，并将所述第一命名空间标识符存储于所述联盟链；

所述管理节点还用于获取待接入节点的物理属性信息，及所述待接入节点所属单位的描述信息；

所述管理节点还用于根据所述物理属性信息及所述所属单位的描述信息，生成所述待接入节点的第一身份标识，并将所述第一身份标识存储于所述联盟链；

所述管理节点还用于在从所述代理节点接收到所述待接入节点的身份证书获取请求，且在确定所述待接入节点所属单位完成对所述待接入节点的身份验证后，根据所述待接入节点的节点身份证书信息，生成所述待接入节点的身份证书明文，以使参与联盟链的单位对所述身份证书明文签名，得到所述待接入节点的身份证书密文，所述身份证书明文包括所述待接入节点的所述第一身份标识、公钥信息、业务授权信息和身份证书明文生成时的时间戳；

所述代理节点，用于根据待接入节点发起的第一验证请求，向多个验证节点发送第二验证请求，所述第一验证请求及所述第二验证请求均包括所述待接入节点的身份证书明文、物理属性信息和第一身份标识；

所述多个验证节点，用于分别对所述第二验证请求中的所述身份证书明文、所述物理属性信息和所述第一身份标识进行认证，得到第一认证结果；

所述代理节点，还用于根据所述多个验证节点发送的所述第一认证结果，得到表征是否准许所述待接入节点加入联盟链的第二认证结果；

其中，针对所述多个验证节点中的每个验证节点，所述验证节点用于将所述物理属性信息及所述第一身份标识发送至联盟链管理机构中相应的管理节点，以使所述管理节点查找是否存在与所述物理属性信息对应的第二身份标识，以及与所述第一身份标识对应的参考身份证书；

当存在所述第二身份标识及所述参考身份证书时，所述验证节点用于判断所述第一身份标识与所述第二身份标识是否相同，以及判断所述参考身份证书与所述待接入节点的身份证书明文是否相同；当所述第一身份标识与所述第二身份标识相同，且所述参考身份证书与所述待接入节点的身份证书明文相同时，得到表征认证通过的第一认证结果。

7.一种计算机可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1-5中任意一项所述的方法。