CN114374700A - 基于主从多链的支持广域协同的可信身份管理方法 - Google Patents

Abstract

基于主从多链的支持广域协同的可信身份管理方法，通过权威认证机构检测身份信息的真实性，并将用户注册到身份管理链上生成用户唯一ID和电子身份凭证；验证用户电子身份凭证是否有效；针对链上用户电子身份凭证可能会过期或者有误，设计了撤销机制；引入链上认证管理员角色，通过认证管理员来管理不同域中同一网络实体；最后将用户认证过程以及时间戳记录在电子身份凭证中，用来进行审计和追踪。为零信任复杂环境提供更安全、高效、可持续验证的动态身份管理。通过设计统一、标准的身份标识，将各类多域多形态的身份管理系统进行统一管理，并且基于主从多链的模式，对传统基于单链的身份管理模型进行扩展，减轻了单链结构的存储压力。

Description

基于主从多链的支持广域协同的可信身份管理方法

技术领域

本发明涉及零信任网络领域和区块链技术领域，尤其涉及一种基于主从多链的支持广域协同的可信身份管理方法。

背景技术

数字化转型的时代浪潮推动着信息技术的快速演进，新兴IT技术为各行各业带来了新的生产力，但同时也给企业网络基础设施带来了极大的复杂性。网络基础设施日益复杂，安全边界逐渐模糊，传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。应对日益严峻的网络威胁形势，零信任网络安全架构正是在这种背景下应运而生，是安全思维和安全架构进化的必然。

零信任网络采用以数据为中心的安全方法，假设网络上始终存在危险。因此系统应该“永不信任，始终验证”。身份认证、关联和管理是零信任网络的基石，需要实现“全面身份化”。仅仅为人员和设备创建身份是远远不够的，需要对人、设备等参与网络交互的所有实体建立数字身份。事实上，在万物互联的时代，物已经成为了重要的参与实体，其基数已经远远超出了人。

随着互联网的出现和普及，传统的身份有了另外一种表现形式，即数字身份。身份标识管理系统是当前网络应用的一个核心模块，尽管已有大量身份标识管理研究，但是在零信任网络中，不同体系结构、不同应用领域的身份联盟协同并存，海量、异构、跨域、多态的网络身份标识管理安全挑战日益严峻，如何统一管理网络实体的多域多形态身份是一个挑战性问题。国内外大量身份标识管理基础设施在理念上以应用、信息系统为中心，其身份标识管理差别大、实现手段各异、结构松散，形成了一个个身份标识管理“孤岛”，为跨域身份共享、业务融合、系统集成带来了诸多不便。

目前的网络身份标识管理存在身份标识管理平台多样，不互通；多维度身份认证体验差，管理难；跨域身份标识管理的可信评估缺失；身份隐私信息易被滥用和误用；身份信息易被复制和伪造等问题。近年来，各种身份标识管理系统和认证协议漏洞造成的网络安全事件层出不穷。

发明内容

针对零信任网络中，不同体系结构、不同应用领域的身份联盟协同并存，海量、异构、跨域、多态的网络身份管理安全挑战日益严峻。如何基于区块链技术构建异构身份联盟链和统一的身份标识，将各类多域多形态的身份联盟系统进行统一管理，目前研究还未给出完善的解决方案，并且只通过一条链来实现所有域的身份管理是不现实的。本发明针对现有技术的不足，提出一种基于主从多链的支持广域协同的可信身份管理方法。

一种基于主从多链的支持广域协同的可信身份管理方法，包括如下步骤：

步骤1，为当前零信任网络中存在的身份管理系统提供统一的电子身份凭证，实现线下身份与链上身份的可信关联，并通过区块链保护用户的隐私性，生成BID和电子身份凭证后，用户选择性披露电子身份凭证属性，实现自主控制身份；通过验证从链中保存的用户电子身份凭证来确认该用户身份的真实性，完成身份认证；

步骤2，将不同域中同一网络实体通过电子身份凭证关联在一起；

步骤3，根据用户电子身份凭证中的操作行为记录，对用户的行为进行持续的评估，若评估结果证明用户存在持续高风险操作，则进行身份的撤销，同时电子身份凭证存在时间戳，若超过时间戳也撤销此身份凭证；

步骤4，两个不同域的系统A和B都加入身份管理链后，若在A系统中登录的某用户要跨域访问自己在B系统中的资源，即通过身份管理链的电子身份凭证和认证管理员实现跨域身份认证。

进一步地，步骤1中，区块链的主链调用权威认证机构接口，对身份管理系统中的用户身份真实性进行核验；若核验通过，根据轮询算法计算从链ID，将注册请求转发给相应从链，从链为该系统中的用户创建BID、电子身份凭证和公私钥对，将私钥返回给用户保存，并将BID和电子身份凭证两者进行关联。

进一步地，步骤1中，电子身份凭证通过身份注册实现，包括如下分步骤：

步骤1.1，身份管理系统申请加入身份管理链，将系统中用户注册到身份管理链中；

步骤1.2，根据轮询算法，将用户注册请求发送到指定从链中；

步骤1.3，从链收到请求后，首先调用权威认证机构接口，对用户身份进行核实；

步骤1.4，若步骤1-3中核验通过，则调用智能合约为该用户创建BID、公私钥、电子身份凭证，并将私钥通过可信通道发送给用户保存；

步骤1.5，从链中将电子身份凭证打包到区块进行共识；共识完成后，将用户BID、从链ID、区块哈希值发送到主链进行保存；

步骤1.6，主链保存完成，则表明该用户注册成功。

进一步地，步骤1.2中，轮询算法具体步骤为：

步骤1.2.1，定义Index为接收用户注册请求的从链ID，将Index初始化为1，表示初始时将用户注册请求发送到ID为1的从链中；

步骤1.2.2，待收到从链成功处理完注册请求的消息后，将Index+1与从链的总个数(N)取模得到新的Index，表示下一次接收用户注册请求的从链ID；

Index＝(Index+1)％N。

进一步地，步骤1.3中，核实实现过程为：

权威认证机构接口是由可信权威部门组成的，对用户真实身份信息提供核验功能；注册时用户需提交身份证号、真实姓名和手机号，从链通过调用该接口，首先核查身份证和姓名是不是同一个人，再通过短信验证的方式来核实是不是本人。

进一步地，步骤1中，身份认证由主链中选举出的代理节点认证管理员负责，包括以下步骤：

步骤1.7，提供商发起身份认证请求、携带用户的BID；

步骤1.8，主链中的认证管理员收到请求后，根据用户的BID，调用智能合约从主链上查找到相关从链信息；

步骤1.9，根据相关从链信息，读取从链中该用户的电子身份凭证信息，读取到后进入步骤1.11；

步骤1.10，如果未读取到该用户的电子身份凭证信息，则说明用户未注册过，认证失败；

步骤1.11，获取该从链公开的Number，用该用户电子身份凭证对应的质数去除公开的Number；

步骤1.12，如果能整除，则表明该电子身份凭证是有效的，认证成功；

步骤1.13，如果不能整除，则表明未发布过该电子身份凭证，认证失败。

进一步地，步骤2中，身份管理系统请求注册到身份管理链时，主链中的认证管理员先查询该系统中的用户是否已在其他域注册后生成过电子身份凭证；如果找到对应的电子身份凭证修改已存在电子身份凭证中的属性，新增(DB,PKB)，其中D表示用户所属域Domain，表明该用户在B域中也存在身份；实现身份管理系统和B域中同一用户的身份关联。

进一步地，步骤2中，身份关联包括以下步骤：

步骤2.1，身份管理系统A申请加入身份管理链；

步骤2.2，主链调用权威认证机构接口，对系统A中的用户身份真实性进行核验；

步骤2.3，核验通过后，计算分配的从链ID，将请求转发到从链A中；

步骤2.4，从链A为系统A中的用户创建BID、公私钥和电子身份凭证，将私钥返回给用户保存，电子身份凭证中存入(DA,PKA)属性，表明该用户在A域中存在身份；

步骤2.5，身份管理系统B申请加入身份管理链；

步骤2.6，主链调用权威认证机构接口，对系统B中的用户身份真实性进行核验；

步骤2.7，核验通过后，主链中的认证管理员会通过智能合约判断B系统中的用户是否在系统A加入时已经生成过电子身份凭证；

步骤2.8，如果找到对应的电子身份凭证，则为用户生成系统B的公私钥，将私钥返回给用户。并修改已存在电子身份凭证中的集合属性，新增(DB,PKB)，表明该用户在B域中也存在身份；实现身份管理系统A和系统B中同一用户的身份关联；

步骤2.9，如果没有找到对应的电子身份凭证，计算分配的从链ID，则将请求转发到从链B中；

步骤2.10，从链B为系统B中的用户创建BID、公私钥和电子身份凭证，将私钥返回给用户保存，电子身份凭证中存入(DB,PKB)属性，表明该用户在B域中存在身份。

进一步地，步骤3中，身份的撤销具体为，使用电子身份凭证中Index属性对应的质数去除从链中公开的Number，将结果更新为新的Number并进行广播，则表明该电子身份凭证已被撤销。

进一步地，步骤4中的跨域身份认证通过以下子步骤来实现：

步骤4.1，用户在身份管理系统A中向主链中的认证管理员发出访问身份管理系统B中资源的请求，请求中携带有该用户的BID，用户使用自己私钥SKA对请求信息进行签名；

步骤4.2，认证管理员收到请求后，根据用户的BID在主链上查询所属相关从链的信息；

步骤4.3，在从链A上查找用户的电子身份凭证信息，从电子身份凭证信息中获取该用户的公钥PKA，来对用户签名进行验证；

步骤4.4，若验证通过则向电子身份凭证中记当前录时间戳和操作行为条目，认证管理员从电子身份凭证中查询用户在身份管理系统B中的公钥PKB，使用PKB加密请求信息发送给身份管理系统B，并使用自己的私钥对请求信息进行签名；

步骤4.5，身份管理系统B收到加密请求后，使用自己的私钥解密信息，获取访问请求；并利用认证管理员公开的公钥来验证信息的完整性；若验证通过，则建立起身份管理系统A与身份管理系统B的安全连接，向身份管理系统B中的用户发送其请求的资源；

步骤4.6，通信完成后，身份管理系统B向认证管理员发送确认完成信息、当前时间戳以及用户的BID，并利用自己的私钥对信息进行签名；

步骤4.7，认证管理员收到信息后，根据用户的BID在链上查找用户的电子身份凭证信息，获取用户在B系统中的公钥PKB验证签名；若验证通过将确认完成信息以及时间戳记录在电子身份凭证信息中；完成此次跨域访问。

相比于现有技术，本发明具有如下有益效果：1、基于主从多链的可扩展模式，为异构身份管理系统设计链上唯一ID和电子身份凭证，将各类多域多形态的身份联盟系统进行链上统一管理。2、针对跨域场景的身份认证、引入认证管理员角色，可有效提升跨域认证的安全性和效率。

附图说明

图1为本发明实施例中所述的可信身份管理方法的原理示意框图。

图2为本发明实施例中所述的可信身份管理方法的模型示意图。

图3为本发明实施例中所述的电子身份凭证数据结构图。

图4为本发明实施例中所述的身份注册流程图。

图5为本发明实施例中所述的身份认证流程图。

图6为本发明实施例中所述的身份关联流程图。

图7为本发明实施例中所述的跨域身份认证流程图。

具体实施方式

下面结合说明书附图对本发明的技术方案做进一步的详细说明。

基于主从多链的支持广域协同的可信身份管理方法，其管理模型主要由异构身份管理系统、权威认证机构、身份管理链、认证管理员等构成。

权威认证机构：是由可信权威部门组成的，能对用户真实身份信息提供核验功能的数据库服务系统，外部系统可以通过调用权威认证机构的接口来对用户的真实身份信息进行核验。只有通过身份核验的用户才能为其分配BID。

身份管理链：身份管理链基于主从多链的模式实现，从链利用侧链技术对主链进行延伸，从链与主链之间通过基于哈希值的方式进行相互锚定。通过智能合约，为加入的用户创建BID和链上电子身份凭证，并对BID和电子身份凭证进行绑定，为海量、异构的身份管理系统创建统一的链上身份标识，实现线下身份与链上身份的可信关联。从链中的区块用于存放用户注册时生成的电子身份凭证信息，主链中的区块用于存放用户BID，从链ID，从链中数据的key值以及区块的哈希值。从链的功能是实现各身份管理系统中用户的注册、认证、撤销和跨域认证等，来减轻主链的存储压力。

异构身份管理系统：是指各个不同域、不同体系结构的身份管理联盟或身份管理域，在该模型中作为成员加入身份管理链，需通过权威认证机构对用户身份进行核验后，才能与身份管理链交互成功。

认证管理员：区块链上选举出来的可信的管理节点，用来对同用户在不同域中的身份进行关联，以及对不同用户的跨域通信进行可信认证。认证管理员通过使用自己的私钥对信息进行签名，公钥公开，用户使用公开的公钥对信息进行确认。

身份管理系统申请加入身份管理链时，会为该系统中的用户创建BID和电子身份凭证，身份管理链可以通过BID与电子身份凭证进行可信映射，并基于此实现异构身份联盟的其他功能。

电子身份凭证主要由两个部分组成：

(1)基础身份信息：

Index：每个从链会公开一个大质数的文件，每个质数对应一个index。从链发行一个电子身份凭证的时候，就随机从这个大质数文件中选择一个质数，这个质数的index会作为这个电子身份凭证的属性之一。并把以往所有发行的未撤销的电子身份凭证的质数相乘，得到一个大数，将这个大数公开供所有接入方查询。

BID：链上的唯一ID，代表每个电子身份凭证的唯一性。

UserInfo：代表用户身份相关信息，用户可以选择是否披露该属性，来保证用户身份的隐私性。

[(DA,PKA),(DB,PKB),......]：DA表示用户属于所属域，PKA代表用户的公钥。如果该用户在多个管理域中均存在身份，则会在该属性集合中添加。

(2)用户操作记录：

该部分用于记录用户在身份管理链中的操作行为，包括用户的加入、身份关联记录和跨域访问的记录等。通过用户操作记录，可以对用户的行为进行追踪和审计，以及用户信任度的评估。来持续、动态的对用户后续的每次访问操作进行认证。

下面结合附图，对本发明中的每个功能作更进一步的说明。

(1)功能一：身份认证与注册。身份注册的目的是，为当前存在的海量、跨域、多态的身份管理系统提供统一的电子身份凭证，实现线下身份与链上身份的可信关联，打破各种异构标识之间通信壁垒。并通过区块链保护了用户的隐私性，即用户的真实身份信息不会被第三方机构强制获取。生成BID和电子身份凭证后，用户可以选择性披露电子身份凭证属性，实现自主控制身份。身份注册包括以下步骤：

步骤一：身份管理系统申请加入身份管理链，将系统中用户注册到身份管理链中。

步骤二：根据轮询算法，将用户注册请求发送到指定从链中。

轮询算法具体步骤为：

步骤1.2.1，定义Index为接收用户注册请求的从链ID，将Index初始化为1，表示初始时将用户注册请求发送到ID为1的从链中。

步骤1.2.2，待收到从链成功处理完注册请求的消息后，将Index+1与从链的总个数(N)取模得到新的Index，表示下一次接收用户注册请求的从链ID；

Index＝(Index+1)％N。

步骤三：从链收到请求后，首先调用权威认证机构接口，对用户身份进行核实。

核实实现过程为：权威认证机构接口是由可信权威部门组成的，对用户真实身份信息提供核验功能；注册时用户需提交身份证号、真实姓名和手机号，从链通过调用该接口，首先核查身份证和姓名是不是同一个人，再通过短信验证的方式来核实是不是本人。

步骤四：若步骤三中核验通过，则调用智能合约为该用户创建BID、公私钥、电子身份凭证。并将私钥通过可信通道发送给用户保存。

步骤五：从链中将电子身份凭证打包到区块进行共识。共识完成后，将用户BID，从链ID，区块哈希值等信息发送到主链进行保存。

步骤六：主链保存完成，则表明该用户注册成功。

身份认证是指服务、资源提供商需要对用户的身份进行认证，即通过验证从链中保存的用户电子身份凭证，来确认该用户身份的真实性。身份认证由主链中选举出的代理节点认证管理员负责，包括以下步骤：

步骤一：提供商发起身份认证请求、携带用户的BID。

步骤二：主链中的认证管理员收到请求后，根据用户的BID，调用智能合约从主链上查找到相关从链信息。

步骤三：根据相关从链信息，读取从链中该用户的电子身份凭证信息，读取到后进入步骤五。

步骤四：如果未读取到该用户的电子身份凭证信息，则说明用户未注册过，认证失败。

步骤五：获取该从链公开的Number，用该用户电子身份凭证对应的质数去除公开的Number。

步骤六：如果能整除，则表明该电子身份凭证是有效的，认证成功。

步骤七：如果不能整除，则表明未发布过该电子身份凭证，认证失败。

(2)功能二：身份关联。身份关联目的是将不同域中同一网络实体通过电子身份凭证关联在一起，包括以下步骤：

步骤一：身份管理系统A申请加入身份管理链。

步骤二：主链调用权威认证机构接口，对系统A中的用户身份真实性进行核验。

步骤三：核验通过后，计算分配的从链ID，将请求转发到从链A中。

步骤四：从链A为系统A中的用户创建BID、公私钥和电子身份凭证，将私钥返回给用户保存，电子身份凭证中存入(DA,PKA)属性，表明该用户在A域中存在身份。

步骤五：身份管理系统B申请加入身份管理链。

步骤六：主链调用权威认证机构接口，对系统B中的用户身份真实性进行核验。

步骤七：核验通过后，主链中的认证管理员会通过智能合约判断B系统中的用户是否在A系统加入时已经生成过电子身份凭证。

步骤八：如果找到对应的电子身份凭证，则为用户生成B系统的公私钥，将私钥返回给用户。并修改已存在电子身份凭证中的集合属性，新增(DB,PKB)，表明该用户在B域中也存在身份。实现身份管理系统A和系统B中同一用户的身份关联。

步骤九：如果没有，计算分配的从链ID，则将请求转发到从链B中。

步骤十：从链B为系统B中的用户创建BID、公私钥和电子身份凭证，将私钥返回给用户保存，电子身份凭证中存入(DB,PKB)属性，表明该用户在B域中存在身份。

(3)功能三：身份撤销。根据用户电子身份凭证中的操作行为记录，会对用户的行为进行持续的评估，若评估结果证明用户存在持续高风险操作，则会进行身份的撤销。电子身份凭证存在时间戳，若超过时间戳也会撤销此身份凭证。

身份撤销机制利用了下面两点：

A.任何一个大于1的自然数N，如果N不为质数，都可以唯一分解成有限个质数的乘积

这里p₁＜p₂＜…＜p_n均为质数，其诸指数a_i是正整数。

B.目前没有一个有效的算法，可以对两个足够大的质数乘积得到的数进行整数分解。

根据上述两点，使用电子身份凭证中Index属性对应的质数去除从链中公开的Number，将结果更新为新的Number并进行广播，则表明该电子身份凭证已被撤销。

(4)功能四：跨域身份认证。两个不同域的系统A和B都加入身份管理链后，若在A系统中登录的某用户要跨域访问自己在B系统中的资源，即可通过身份管理链的电子身份凭证实现跨域身份认证，包括以下步骤：

步骤一：用户在身份管理系统A中向主链中的认证管理员发出访问身份管理系统B中资源的请求，请求中携带有该用户的BID，用户使用自己私钥SKA对请求信息进行签名。

步骤二：认证管理员收到请求后，根据用户的BID在主链上查询所属相关从链的信息。

步骤三：在从链A上查找用户的电子身份凭证信息，从电子身份凭证信息中可以获取该用户的公钥PKA，来对用户签名进行验证。

步骤四：若验证通过则向电子身份凭证中记当前录时间戳和操作行为条目，认证管理员从电子身份凭证中查询用户在身份管理系统B中的公钥PKB，使用PKB加密请求信息发送给身份管理系统B，并使用自己的私钥对请求信息进行签名。

步骤五：身份管理系统B收到加密请求后，使用自己的私钥解密信息，获取访问请求。并利用认证管理员公开的公钥来验证信息的完整性。若验证通过，则建立起身份管理系统A与身份管理系统B的安全连接，向身份管理系统B中的用户发送其请求的资源。

步骤六：通信完成后，身份管理系统B向认证管理员发送确认完成信息、当前时间戳以及用户的BID，并利用自己的私钥对信息进行签名。

步骤七：认证管理员收到信息后，根据用户的BID在链上查找用户的电子身份凭证信息，获取用户在B系统中的公钥PKB验证签名。若验证通过将确认完成信息以及时间戳记录在电子身份凭证信息中。完成此次跨域访问。

以上所述仅为本发明的较佳实施方式，本发明的保护范围并不以上述实施方式为限，但凡本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化，皆应纳入权利要求书中记载的保护范围内。

Claims (10)

1.基于主从多链的支持广域协同的可信身份管理方法，其特征在于：包括如下步骤：

步骤1，为当前零信任网络中存在的身份管理系统提供统一的电子身份凭证，实现线下身份与链上身份的可信关联，并通过区块链保护用户的隐私性，生成BID和电子身份凭证后，用户选择性披露电子身份凭证属性，实现自主控制身份；通过验证从链中保存的用户电子身份凭证来确认该用户身份的真实性，完成身份认证；

步骤2，将不同域中同一网络实体通过电子身份凭证关联在一起；

步骤3，根据用户电子身份凭证中的操作行为记录，对用户的行为进行持续的评估，若评估结果证明用户存在持续高风险操作，则进行身份的撤销，同时电子身份凭证存在时间戳，若超过时间戳也撤销此身份凭证；

步骤4，两个不同域的系统A和B都加入身份管理链后，若在A系统中登录的某用户要跨域访问自己在B系统中的资源，即通过身份管理链的电子身份凭证和认证管理员实现跨域身份认证。

2.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤1中，区块链的主链调用权威认证机构接口，对身份管理系统中的用户身份真实性进行核验；若核验通过，根据轮询算法计算从链ID，将注册请求转发给相应从链，从链为该系统中的用户创建BID、电子身份凭证和公私钥对，将私钥返回给用户保存，并将BID和电子身份凭证两者进行关联。

3.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤1中，电子身份凭证通过身份注册实现，包括如下分步骤：

步骤1.1，身份管理系统申请加入身份管理链，将系统中用户注册到身份管理链中；

步骤1.2，根据轮询算法，将用户注册请求发送到指定从链中；

步骤1.3，从链收到请求后，首先调用权威认证机构接口，对用户身份进行核实；

步骤1.4，若步骤1-3中核验通过，则调用智能合约为该用户创建BID、公私钥、电子身份凭证，并将私钥通过可信通道发送给用户保存；

步骤1.5，从链中将电子身份凭证打包到区块进行共识；共识完成后，将用户BID、从链ID、区块哈希值发送到主链进行保存；

步骤1.6，主链保存完成，则表明该用户注册成功。

4.根据权利要求3所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤1.2中，轮询算法具体步骤为：

步骤1.2.1，定义Index为接收用户注册请求的从链ID，将Index初始化为1，表示初始时将用户注册请求发送到ID为1的从链中；

步骤1.2.2，待收到从链成功处理完注册请求的消息后，将Index+1与从链的总个数(N)取模得到新的Index，表示下一次接收用户注册请求的从链ID；

Index＝(Index+1)％N。

5.根据权利要求3所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤1.3中，核实实现过程为：

权威认证机构接口是由可信权威部门组成的，对用户真实身份信息提供核验功能；注册时用户需提交身份证号、真实姓名和手机号，从链通过调用该接口，首先核查身份证和姓名是不是同一个人，再通过短信验证的方式来核实是不是本人。

6.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤1中，身份认证由主链中选举出的代理节点认证管理员负责，包括以下步骤：

步骤1.7，提供商发起身份认证请求、携带用户的BID；

步骤1.8，主链中的认证管理员收到请求后，根据用户的BID，调用智能合约从主链上查找到相关从链信息；

步骤1.9，根据相关从链信息，读取从链中该用户的电子身份凭证信息，读取到后进入步骤1.11；

步骤1.10，如果未读取到该用户的电子身份凭证信息，则说明用户未注册过，认证失败；

步骤1.11，获取该从链公开的Number，用该用户电子身份凭证对应的质数去除公开的Number；

步骤1.12，如果能整除，则表明该电子身份凭证是有效的，认证成功；

步骤1.13，如果不能整除，则表明未发布过该电子身份凭证，认证失败。

7.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤2中，身份管理系统请求注册到身份管理链时，主链中的认证管理员先查询该系统中的用户是否已在其他域注册后生成过电子身份凭证；如果找到对应的电子身份凭证修改已存在电子身份凭证中的属性，新增(DB,PKB)，其中D表示用户所属域Domain，表明该用户在B域中也存在身份；实现身份管理系统和B域中同一用户的身份关联。

8.根据权利要求7所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤2中，身份关联包括以下步骤：

步骤2.1，身份管理系统A申请加入身份管理链；

步骤2.2，主链调用权威认证机构接口，对系统A中的用户身份真实性进行核验；

步骤2.3，核验通过后，计算分配的从链ID，将请求转发到从链A中；

步骤2.4，从链A为系统A中的用户创建BID、公私钥和电子身份凭证，将私钥返回给用户保存，电子身份凭证中存入(DA,PKA)属性，表明该用户在A域中存在身份；

步骤2.5，身份管理系统B申请加入身份管理链；

步骤2.6，主链调用权威认证机构接口，对系统B中的用户身份真实性进行核验；

步骤2.7，核验通过后，主链中的认证管理员会通过智能合约判断B系统中的用户是否在系统A加入时已经生成过电子身份凭证；

步骤2.8，如果找到对应的电子身份凭证，则为用户生成系统B的公私钥，将私钥返回给用户。并修改已存在电子身份凭证中的集合属性，新增(DB,PKB)，表明该用户在B域中也存在身份；实现身份管理系统A和系统B中同一用户的身份关联；

步骤2.9，如果没有找到对应的电子身份凭证，计算分配的从链ID，则将请求转发到从链B中；

步骤2.10，从链B为系统B中的用户创建BID、公私钥和电子身份凭证，将私钥返回给用户保存，电子身份凭证中存入(DB,PKB)属性，表明该用户在B域中存在身份。

9.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤3中，身份的撤销具体为，使用电子身份凭证中Index属性对应的质数去除从链中公开的Number，将结果更新为新的Number并进行广播，则表明该电子身份凭证已被撤销。

10.根据权利要求1所述的基于主从多链的支持广域协同的可信身份管理方法，其特征在于：步骤4中的跨域身份认证通过以下子步骤来实现：

步骤4.1，用户在身份管理系统A中向主链中的认证管理员发出访问身份管理系统B中资源的请求，请求中携带有该用户的BID，用户使用自己私钥SKA对请求信息进行签名；

步骤4.2，认证管理员收到请求后，根据用户的BID在主链上查询所属相关从链的信息；

步骤4.3，在从链A上查找用户的电子身份凭证信息，从电子身份凭证信息中获取该用户的公钥PKA，来对用户签名进行验证；

步骤4.4，若验证通过则向电子身份凭证中记当前录时间戳和操作行为条目，认证管理员从电子身份凭证中查询用户在身份管理系统B中的公钥PKB，使用PKB加密请求信息发送给身份管理系统B，并使用自己的私钥对请求信息进行签名；

步骤4.5，身份管理系统B收到加密请求后，使用自己的私钥解密信息，获取访问请求；并利用认证管理员公开的公钥来验证信息的完整性；若验证通过，则建立起身份管理系统A与身份管理系统B的安全连接，向身份管理系统B中的用户发送其请求的资源；

步骤4.6，通信完成后，身份管理系统B向认证管理员发送确认完成信息、当前时间戳以及用户的BID，并利用自己的私钥对信息进行签名；

步骤4.7，认证管理员收到信息后，根据用户的BID在链上查找用户的电子身份凭证信息，获取用户在B系统中的公钥PKB验证签名；若验证通过将确认完成信息以及时间戳记录在电子身份凭证信息中；完成此次跨域访问。

Images