CN117176686A - 基于区块链和企业跨域数据汇聚的工业互联网标识方法 - Google Patents

Abstract

本发明公开了一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，如图1所示，方法包括以下步骤：步骤1：标识符前缀和后缀生成；步骤2：企业信誉度评估；步骤3：企业代表节点投票选举；步骤4：企业匿名身份认证；步骤5：密钥协商；步骤6：完整标识映射数据汇聚和解析。本发明基于区块链，并且结合企业代表节点投票算法和IBS的身份认证机制，使得工业互联网标识解析体系中在减轻二级节点负载的情况下实现了完整标识映射数据的跨域汇聚。

Description

基于区块链和企业跨域数据汇聚的工业互联网标识方法

技术领域

本发明涉及一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，属于工业互联网、区块链技术、身份认证领域。

背景技术

随着工业互联网的发展，传统工业正在面临转型升级的挑战。跨域的身份认证是共享数据的安全条件，成为企业实现标识数据共享和追溯的关键技术。因此通过区块链、身份认证技术增强标识数据共享和访问的安全性、可靠性和满足复杂的工业互联网商品标识生产流程具有重要的意义。

随着工业互联网的发展，工业生产场景变得越来越复杂，商品的标识往往需要几个企业共同合作，单一企业不具备商品所有的生产数据，现有标识解析技术无法做到标识拥有者获取其它企业的生产信息，进而导致由单一企业录入的标识映射数据不够完整，申请解析用户无法获得全量标识映射数据。而跨域通信技术可以较好解决分属不同行业域企业生产数据资源汇聚的问题，然而这带来了一个新的问题，企业身份认证过程中所使用到的加密/签名算法会为二级节点带来庞大的证书管理、数据加密/解密以及签名/验签开销，这会更容易出现二级节点负载过重以及单点失效等问题。

发明内容

为了解决现有技术中存在的问题与不足，本发明一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，该方法在工业互联网标识解析体系中通过投票选举出的企业代表节点在行业域内和行业域间进行通信访问标识数据减轻了企业二级节点的负载，同时确保信息汇聚时企业身份信息的真实性；之后设计企业跨行业域通信流程，使用无配对的基于身份签名技术使得企业可以通过向代表节点进行身份认证的形式实现标识映射数据跨域传输时身份的真实性；最后通过ECDHE技术实现通信双方的会话密钥协商，防止信息在不安全信道传输过程中信息泄露，实现标识解析技术在企业身份确定的情况下完成完整标识映射数据汇聚。

为实现上述目的，本发明的技术方案如下：一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，包括如下步骤：

步骤1：标识符前缀和后缀生成，具体如下，将标识符采用两段式编码结构，分为标识符前缀和标识符后缀，前缀和后缀之间用符号“/”隔开，标识符前缀为标识生成的企业在该标识解析体系中的身份ID，该ID在体系中具有唯一性。标识符后缀由标识符生成企业定义，该字段代表企业所生产商品的信息。

步骤2：企业信誉度评估。首先基于企业节点对系统生态的算力投资、活跃度贡献以及对域间区块链的维护管理对企业信誉度进行评估。其次根据从二级节点中获得的数据构建行业域中节点的信誉度评估方法，定义信誉值Rup＝Rup_accumulate+Rup_current。之后二级节点设置该行业域总体初始信誉值并且根据行业域内所有企业提供算力的总和计算每个企业i的初始信誉值/>最后构建了信誉值的奖惩机制：奖励条件、惩罚条件和约束条件。

步骤3：企业代表节点投票选举。首先二级节点根据信誉评估方法对每个加入行业域的企业节点进行信誉度评估。当行业域建立初期、代表节点主动推出或满足约束方法中的条件时，域内重新发起代表节点的投票选举。其次二级节点从域内所有普通节点中筛选出符合候选节点的列表，并从这个列表中根据信誉度优先级和投票算法选举出代表节点。最后可以根据代表节点的兴趣、资金、以及失信行为进行主动和被动撤销，并决定是否扣除相应的信誉值。

步骤4：企业匿名身份认证。首先，由KGC、由行业域内投票选举出的代表节点作为代理服务器以及区块链组成工业互联网标识解析体系跨域认证网络。其次为实现二级节点的认证和管理分配唯一的明文身份标识符，同时企业生成匿名身份应用于企业间的身份认证实现企业的身份隐私保护。最后基于IBS实现属于同一个行业域内的企业之间的跨域通信认证和不同行业域之间的企业进行跨域通信认证。

步骤5：会话密钥协商。首先由于企业A为申请验证方，因此协商双方使用企业A所属行业域X的椭圆曲线l_X:y²＝x³+a_Xx+b_X上的点P_X构建会话密钥φ。首先企业A在向企业B发送身份认证信息时，生成随机数k_A∈Z_p,计算会话密钥公钥PK_A＝k_A·P_X，之后将公钥信息放入认证信息Token_A中的附加消息Text字段中。当企业B接受到认证信息后首先对Token_A信息中的签名进行验证，身份验证无误后获取企业A的会话公钥PK_A，同时根据区块链获得企业A所属行业域X的公开参数Params_X,生成随机数k_B∈Z_p，计算会话密钥公钥PK_B＝k_B·P_X并将其附加在响应信息Token_B中，其中Token_B中不包含其匿名身份，只需生成随机数并使用自身明文身份私钥对其进行签名。企业A接收到Token_B信息后首先对签名进行验证，验证通过后获取企业B的会话公钥PK_B。双方完成密钥交换，最终双方生成只有通信双方知道的会话密钥φ＝H₃(k_A·PK_B)＝H₃(k_B·PK_A)＝H₃(k_Ak_BP_X)用于对后续通信的加密。

步骤6：完整标识映射数据汇聚和解析，当标识拥有者获得标识符的完整标识映射数据后，将其录入标识符中，并为商品生成标识符后缀生成完整标识符。当解析用户获得商品后，根据商品标识符发起解析申请获取商品的完整标识映射数据。

相对于现有技术，本发明的优点如下：

1)本发明建立了企业信誉度方法，以及企业信誉度的奖惩机制，并且根据此方法设计代表节点的投票选举算法，将这些节点部署为代理服务器分担二级节点的计算和存储开销，缓解了二级节点过度中心化和单点负载过重的问题。

2)本发明使用无配对的IBS技术结合Fabric实现了分属不同行业域的企业间的跨域身份认证，实现二级节点在不需要储存和管理复杂的公钥证书的情况下，安全高效的完成企业的跨域身份认证。

3)最后将ECDHE密钥协商技术嵌入到身份认证中，实现在无需增加通信轮次的情况下两企业安全协商出后续通信的会话密钥，保证了后续通信的安全性。

4)本发明提出的方法能够在工业互联网标识解析系统中高效的完成分属不同行业域的企业之间的跨身份认证，进而保证完整标识映射数据在身份确定情况下的汇聚。

附图说明

图1为本发明实施例的工业互联网标识解析系统中的域间网络结构。

图2为本发明实施例的行业域中企业信誉评估方法图。

图3为本发明实施例的行业域内选举出代表节点的投票过程。

图4为本发明实施例的基身份认证图。

图5为本发明实施例的企业节点间认证方式。

图6为本发明实施例的企业节点跨行业域认证流程。

图7为本发明实施例的企业节点跨域数据汇聚前的会话密钥协商流程。

具体实施方式

为了加深对本发明的认识和理解，下面结合具体实施例，进一步阐明本发明。

实施例1：一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，该方法第一步，标识符前缀和后缀生成，第二步，参见图1、图2，提出域间网络结构和企业信誉度评估模型；第三步，参见图3，二级节点对加入行业域的企业节点进行信誉度评估并且投票选举代表节点流程；第四步，参见图4、图5和图6，行业域X企业A申请访问行业域Y企业B时，行业内的二级节点对其进行身份验证并分发私钥，行业代表节点部署为代理服务器负责域内信息更新并存储到区块链上，同时返回给企业A一个签名，企业A用签名及身份认证信息向企业B发送访问申请；第五步，参见图7，企业A与企业B的会话密钥协商，企业A生成会话密钥公钥并将公钥放入到放入认证信息Token_A中的附加消息Text字段中通过安全通道发送企业B，身份验证无误后获得A的会话公钥，同时计算自己的会话密钥公钥并将其附加在Token_B通过安全通道发送A，A验证无误后获取B的会话密钥公钥，方完成密钥交换；第六步，完整标识映射数据汇聚和解析。详细实施步骤如下：

步骤1：标识符前缀和后缀生成，具体如下，将标识符采用两段式编码结构，分为标识符前缀和标识符后缀，前缀和后缀之间用符号“/”隔开，标识符前缀为标识生成的企业在该标识解析体系中的身份ID，该ID在体系中具有唯一性。标识符后缀由标识符生成企业定义，该字段代表企业所生产商品的信息。

步骤2：企业信誉度评估，具体如下，基于企业节点对系统生态的算力投资、活跃度贡献以及对域间区块链的维护管理对企业信誉度进行评估，分为以下子步骤：

子步骤2-1：建立包括普通节点、候选者节点、监督节点和代表节点的企业信誉度评估方法，定义信誉值为：

Rup＝Rup_accumulate+Rup_current (1)

根据行业域内所有企业提供算力的总和计算每个企业i的初始信誉值：

子步骤2-2：设置奖励条件，为了激励行业域内企业积极参与代表节点选举和监督工作，分别设置活跃度奖励和监督奖励/>，代表节点的企业i若能诚实的完成工作，其信誉值如公式3、4所示：

设置每个举报成功的监督节点的信誉值如公式5、6所示：

若当代表节点i出现失信行为而监督节点并未及时发现或选择与代表节点合谋以获得利益，每个举报成功的普通节点的信誉值如公式7、8所示：

子步骤2-3：设置惩罚条件，对代表节点和监督节点的失信行为进行约束，根据惩罚方法对其进行信誉度和抵押物的扣除：

对代表节点和监督节点可能共谋的行为通过不仅扣除代表节点全部信誉值和抵押物同时扣除当前n个监督节点累计信誉值的一半来惩罚，如公式10所示：

子步骤2-4：设置约束条件，设置三种约束方法条件，当触发其中任意一个，需要重新进行域内投票，选举出新的代表节点：

如公式11所示，当代表节点i的信誉值小于所有x个监督节点的平均信誉值时：

如公式12所示当监督节点j和代表节点i的平均信誉值小于其它y个普通节点m的平均信誉值时：

以及当通过代表节点代理验证身份所产生标识符数量等于代表节点抵押标识符的数量时。

步骤3：企业代表节点投票选举，具体如下，根据信誉评估，二级节点对每个加入行业域的企业节点进行信誉度评估。当行业域建立初期、代表节点主动推出或满足约束方法中的条件时，域内重新发起代表节点的投票选举工作，分为以下子步骤：

子步骤3-1：建立筛选RepresentativeCandidates列表：二级节点从域内所有普通节点中筛选出符合要求的候选者节点列表RepresentativeCandidates。列表RepresentativeCandidates中最少应包含4个候选者节点，否则会出现选举完成后，竞选失败的监督节点为重新进行选举恶意向二级节点举报。

子步骤3-2：从RepresentativeCandidates列表选举代表节点i，根据二级节点评估各候选者节点的信誉度进行优先级排序决定竞选的先后顺序，由其它候选者节点进行投票，则最终投票结果：

当出现被选举者投票结果大于0时，投票结束，该被选举者成功当选代表节点。

子步骤3-3：代表节点撤销：当代表节点算力不足够，网络不稳定、节点运营者不再有兴趣等，可以主动提出申请进行撤销，不扣除信誉值。其次当出现失信行为时，被举报撤销扣除信誉值。

步骤4：企业匿名身份验证，该步骤主要包括企业生产节点和密钥生成中心(KeyGeneration Center，KGC)两个角色，其实施可以分为以下子步骤：

子步骤4-1：企业身份管理：在标识解析系统中，二级节点会为每个新加入系统的企业节点分配一串独能代表自己身份的标识符用于只用于二级节点的认证和管理。企业匿名身份由企业根据二级节点分配的标识符以及时间戳由企业自身生成，应用于企业间的认证，同时时间戳的长度由自身决定，与明文身份的时间戳相比较短。

子步骤4-2：无配对基于身份的签名流程：在后续企业间身份认证过程中，企业间通过使用无配对基于身份签名完成身份的认证，其中，无配对的基于身份签名具体包含三个流程，分别是：定义行业域内参数、企业私钥生成、签名流程、验签流程，具体步骤如下：

定义行业域参数：密钥生成中心利用椭圆曲线l:y²＝x³+ax+b选取椭圆曲线上的点P生成用于签发密钥的主密钥对为(MPK,MSK),其中MPK＝sP，MSK＝s,定义三个安全哈希映射函数：H₁:{0,1}^*→Z_p、H₂:{0,1}^*→Z_p和H₃:G→{0,1}^*，其中H₃用于协商会话密钥。行业域内所有公共参数被定义为：Params＝{a,b,l,F_p,G,P,MPK,H₁,H₂,H₃}。

企业私钥生成的输入参数为行业域主私钥s，公共参数Params，以及标识符前缀即企业在行业域内的唯一身份ID(AID)，输出企业的私钥pk(apk)＝(h₁,c)，其中r为[1,p-1]之间任意选取的随机数，R＝rP，h₁＝H₁(MPK,ID,R)，c＝r-sh₁(mod p)。

签名流程通过输入企业私钥pk(apk)，行业域的公共参数Params，需要签名消息m计算获得企业对消息m的签名signatureA＝(h₁,W,d)，其中w为属于[1,p-1]之间的随机整数，W＝wP，h₂＝H₂(MPK,ID,m,W,h₁)，d＝w-ch₂(mod p)。

验签流程通过输入行业域的公共参数Params，企业身份ID(AID)，被签名的消息m′和消息签名signature′，通过验证获得输出“invalidate”或“invalidate”。首先检查signature′中的h′₁和d′是否属于区间[1,p-1]，若不属于直接输出“invalidate”以及signature′中的W′是否在椭圆曲线y²＝x³+ax+b上，若不存在则直接输出“invalidate”，之后计算参数h′₂和h₃并判断若相等则输出结果“validate”，若不相等则输出结果“invalidate”，其中h′₂＝H₂(MPK,ID,m′,W′,h′₁)，h₃＝H₁(MPK,ID,Q+V)，

子步骤4-3：基于无配对身份签名的跨行业域认证机制：每个企业可以根据自身的标识符作为自身公钥，无需由KGC生成和分发，在整个认证机制中，行业域内的二级节点充当KGC负责对申请跨域访问的企业A进行身份认证及匿名身份私钥分发，投票选举出的代表节点充当AS代理服务器负责域内信息的更新存储上链及对验证消息进行签名返回A，A也可自己生成签名生成Token_A发送B企业，B将收到的申请信息Token′_A发送给自己所属行业域Y的代表节点申请验证该消息决定是否进行通信。企业间使用匿名单边认证，首先需要企业生成随机数N和自己的标识符ID进行串联并使用自身匿名身份签名发送给二级节点，二级节点验证通过后为其匿名身份生成私钥iapk返回给企业节点。之后企业节点在域内通过单边认证的方式进行身份验证。首先当A公司想要与B公司进行通信时，身份认证由申请认证企业A发起由验证企业B进行认证。申请信息的格式如公式14所示：

Token_A＝H(K_A||ID_A)||T||Text||signature_A(H(K_A||ID_A)||T||Text) (14)

之后进行跨域身份认证，当企业A需要访问不在同一行业域的企业B，需要借助两个域内的二级节点(KGC)和代表节点(AS)共同完成认证过程。首先行业域内完成系统初始化获得公共参数Params，通过企业私钥生成获得企业私钥，企业A利用私钥签名流程对消息m使用基于身份的签名。二级企业节点(KGC)对签名使用签名验证流程利用企业A公钥进行验证，验证无误后为其生成跨域访问的匿名身份私钥apk_A，并将匿名身份及签名信息发送至代表节点(AS)，AS负责更新和存储信息至区块链，A使用匿名身份签名私钥apk_A对验证消息m＝H(K_A||ID_A)||T||Text进行签名生成或委托代表节点AS进行签名生成Token_A发送至企业B，企业B将收到的申请信息Token′_A发送给自己所属行业域Y的代表节点申请验证该消息，代表节点通过调用区块链查询到行业域X的最新信息并对Token′_A＝AID′_A||T||Text||signature′_A(H(K_A||ID_A)||T||Text)使用验签流程进行身份和签名的验证，并将身份验证结果“validate”或“invalidate”发送给企业B。企业B根据验证结果决定是否与企业A建立联系。

步骤5：会话密钥协商，该步骤主要是为保证双方后续进行安全通信，具体实施如下：

由于企业A为申请验证方，因此协商双方使用企业A所属行业域X的椭圆曲线l_X:y²＝x³+a_Xx+b_X上的点P_X构建会话密钥φ。首先企业A在向企业B发送身份认证信息时，生成随机数k_A∈Z_p,计算会话密钥公钥PK_A＝k_A·P_X，之后将公钥信息放入认证信息Token_A中的附加消息Text字段中。当企业B接受到认证信息后首先对Token_A信息中的签名进行验证，身份验证无误后获取企业A的会话公钥PK_A，同时根据区块链获得企业A所属行业域X的公开参数Params_X,生成随机数k_B∈Z_p，计算会话密钥公钥PK_B＝k_B·P_X并将其附加在响应信息Token_B中，其中Token_B中不包含其匿名身份，只需生成随机数并使用自身明文身份私钥对其进行签名。企业A接收到Token_B信息后首先对签名进行验证，验证通过后获取企业B的会话公钥PK_B。双方完成密钥交换，最终双方生成只有通信双方知道的会话密钥φ＝H₃(k_A·PK_B)＝H₃(k_B·PK_A)＝H₃(k_Ak_BP_X)用于对后续通信的加密。当企业B收到企业A的申请信息后，通过步骤4对其身份验证无误后，根据Token_A中的随机数进行会话密钥协商生成φ，之后使用φ对生产数据进行加密并发送给企业A，企业A收到消息后使用协商好的会话密钥φ解密，解密完成后将该生产信息汇聚到表示映射数据中，完整标识映射数据汇聚完成。

步骤6，完整标识映射数据汇聚和解析，当标识拥有者获得标识符的完整标识映射数据后，将其录入标识符中，并为商品生成标识符后缀生成完整标识符。当解析用户获得商品后，根据商品标识符发起解析申请获取商品的完整标识映射数据。

基于相同的发明构思，本发明所述的一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，包括标识符前缀和后缀生成；企业信誉度评估；企业代表节点投票选举；企业匿名身份验证；密钥协商；完整标识映射数据汇聚和解析。该流程被应用至工业互联网标识解析体系时实现上述一种基于区块链和企业跨域数据汇聚的工业互联网标识方法。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应理解实施例仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本申请权利要求所限定的范围。

Claims (7)

1.一种基于区块链和企业跨域数据汇聚的工业互联网标识方法，其特征在于，所述方法包括以下步骤：

步骤1：标识符前缀和后缀生成；

步骤2：企业信誉度评估；

步骤3：企业代表节点投票选举；

步骤4：企业匿名身份验证；

步骤5：密钥协商；

步骤6：完整标识映射数据汇聚和解析。

2.根据权利要求1所述的基于区块链和企业跨域数据汇聚的工业互联网标识方法，其特征在于，步骤1：标识符前缀和后缀生成，具体如下，将标识符采用两段式编码结构，分为标识符前缀和标识符后缀，前缀和后缀之间用符号“/”隔开，标识符前缀为标识生成的企业在该标识解析体系中的身份ID，该ID在体系中具有唯一性。标识符后缀由标识符生成企业定义，该字段代表企业所生产商品的信息。

3.根据权利要求1所述的基于区块链和企业跨域数据汇聚的工业互联网标识方法，其特征在于，步骤2：企业信誉度评估，具体如下，基于企业节点对系统生态的算力投资、活跃度贡献以及对域间区块链的维护管理对企业信誉度进行评估，分为以下子步骤：

子步骤2-1：建立包括普通节点、候选者节点、监督节点和代表节点的企业信誉度评估方法，定义信誉值为：

Rup＝Rup_accumulate+Rup_current (1)

根据行业域内所有企业提供算力的总和计算每个企业i的初始信誉值：

子步骤2-2：设置奖励条件，为了激励行业域内企业积极参与代表节点选举和监督工作，分别设置活跃度奖励和监督奖励/>代表节点的企业i若能诚实的完成工作，其信誉值如公式3、4所示：

设置每个举报成功的监督节点的信誉值如公式5、6所示：

若当代表节点i出现失信行为而监督节点并未及时发现或选择与代表节点合谋以获得利益，每个举报成功的普通节点的信誉值如公式7、8所示：

子步骤2-3：设置惩罚条件，对代表节点和监督节点的失信行为进行约束，根据惩罚方法对其进行信誉度和抵押物的扣除：

对代表节点和监督节点可能共谋的行为通过不仅扣除代表节点全部信誉值和抵押物同时扣除当前个监督节点累计信誉值的一半来惩罚，如公式10所示：

子步骤2-4：设置约束条件，设置三种约束方法条件，当触发其中任意一个，需要重新进行域内投票，选举出新的代表节点：

如公式11所示，当代表节点i的信誉值小于所有个监督节点的平均信誉值时：

如公式12所示当监督节点和代表节点i的平均信誉值小于其它/>个普通节点/>的平均信誉值时：

以及当通过代表节点代理验证身份所产生标识符数量等于代表节点抵押标识符的数量时。

4.根据权利要求1所述的基于区块链和企业跨域数据汇聚的工业互联网标识方法，其特征在于，步骤3：企业代表节点投票选举，具体如下，根据信誉评估，二级节点对每个加入行业域的企业节点进行信誉度评估。当行业域建立初期、代表节点主动推出或满足约束方法中的条件时，域内重新发起代表节点的投票选举工作，分为以下子步骤：

子步骤3-1：建立筛选RepresentativeCandidates列表：二级节点从域内所有普通节点中筛选出符合要求的候选者节点列表RepresentativeCandidates。列表RepresentativeCandidates中最少应包含4个候选者节点，否则会出现选举完成后，竞选失败的监督节点为重新进行选举恶意向二级节点举报。

子步骤3-2：从RepresentativeCandidates列表选举代表节点i，根据二级节点评估各候选者节点的信誉度进行优先级排序决定竞选的先后顺序，由其它候选者节点进行投票，则最终投票结果：

当出现被选举者投票结果大于0时，投票结束，该被选举者成功当选代表节点。

子步骤3-3：代表节点撤销：当代表节点算力不足够，网络不稳定、节点运营者不再有兴趣等，可以主动提出申请进行撤销，不扣除信誉值。其次当出现失信行为时，被举报撤销扣除信誉值。

5.根据权利要求1所述的基于区块链和企业跨域数据汇聚的工业互联网标识方法，其特征在于，步骤4：企业匿名身份验证，该步骤主要包括企业生产节点和密钥生成中心(KeyGeneration Center，KGC)两个角色，其实施可以分为以下子步骤：

子步骤4-1：企业身份管理：在标识解析系统中，二级节点会为每个新加入系统的企业节点分配一串独能代表自己身份的标识符用于只用于二级节点的认证和管理。企业匿名身份由企业根据二级节点分配的标识符以及时间戳由企业自身生成，应用于企业间的认证，同时时间戳的长度由自身决定，与明文身份的时间戳相比较短。

子步骤4-2：无配对基于身份的签名流程：在后续企业间身份认证过程中，企业间通过使用无配对基于身份签名完成身份的认证，其中，无配对的基于身份签名具体包含三个流程，分别是：定义行业域内参数、企业私钥生成、签名流程、验签流程，具体步骤如下：

定义行业域参数：密钥生成中心利用椭圆曲线l：y²＝x³+ax+b选取椭圆曲线上的点P生成用于签发密钥的主密钥对为(MPK，MSK)，其中MPK＝sP，MSK＝s，定义三个安全哈希映射函数：H₁：{0，1}^*→Z_p、H₂：{0，1}^*→Z_p和H₃：G→{0，1}^*，其中H₃用于协商会话密钥。行业域内所有公共参数被定义为：Params＝{a，b，l，F_p，G，P，MPK，H₁，H₂，H₃}。

企业私钥生成的输入参数为行业域主私钥s，公共参数Params，以及标识符前缀即企业在行业域内的唯一身份ID(AID)，输出企业的私钥pk(apk)＝(h₁，c)，其中r为[1，p-1]之间任意选取的随机数，R＝rP，h₁＝H₁(MPK，ID，R)，c＝r-sh₁(mod p)，

签名流程通过输入企业私钥pk(apk)，行业域的公共参数Params，需要签名消息m计算获得企业对消息m的签名signature＝(h₁，W，d)，其中w为属于[1，p-1]之间的随机整数，W＝wP，h₂＝H₂(MPK，ID，m，W，h₁)，d＝w-ch₂(mod p)。

验签流程通过输入行业域的公共参数Params，企业身份ID(AID)，被签名的消息m′和消息签名signature′，通过验证获得输出“validate”或“invalidate”。首先检查signature′中的h′₁和d′是否属于区间[1，p-1]，若不属于直接输出“invalidate”以及signature′中的W′是否在椭圆曲线y²＝x³+ax+b上，若不存在则直接输出“invalidate”，之后计算参数h′₂和h₃并判断若相等则输出结果“validate”，若不相等则输出结果“invalidate”，其中h′₂＝H₂(MPK，ID，m′，W′，h′₁)，h₃＝H₁(MPK，ID，Q+V)，/>V＝h′₁MPK，

子步骤4-3：基于无配对身份签名的跨行业域认证机制：每个企业可以根据自身的标识符作为自身公钥，无需由KGC生成和分发，在整个认证机制中，行业域内的二级节点充当KGC负责对申请跨域访问的企业A进行身份认证及匿名身份私钥分发，投票选举出的代表节点充当AS代理服务器负责域内信息的更新存储上链及对验证消息进行签名返回A，A也可自己生成签名生成Token_A发送B企业，B将收到的申请信息Token′_A发送给自己所属行业域Y的代表节点申请验证该消息决定是否进行通信。企业间使用匿名单边认证，首先需要企业生成随机数N和自己的标识符ID进行串联并使用自身匿名身份签名发送给二级节点，二级节点验证通过后为其匿名身份生成私钥apk返回给企业节点。之后企业节点在域内通过单边认证的方式进行身份验证。首先当A公司想要与B公司进行通信时，身份认证由申请认证企业A发起由验证企业B进行认证。申请信息的格式如公式14所示：

Token_A＝H(K_A||ID_A)||T||Text||signature_A(H(K_A||ID_A)||T||Text) (14)

之后进行跨域身份认证，当企业A需要访问不在同一行业域的企业B，需要借助两个域内的二级节点(KGC)和代表节点(AS)共同完成认证过程。首先行业域内完成系统初始化获得公共参数Params，通过企业私钥生成获得企业私钥，企业A利用私钥签名流程对消息m使用基于身份的签名。二级企业节点(KGC)对签名使用签名验证流程利用企业A公钥进行验证，验证无误后为其生成跨域访问的匿名身份私钥apk_A，并将匿名身份及签名信息发送至代表节点(AS)，AS负责更新和存储信息至区块链，A使用匿名身份签名私钥apk_A对验证消息m＝H(K_A||ID_A)||T||Text进行签名生成或委托代表节点AS进行签名生成Token_A发送至企业B，企业B将收到的申请信息Token′_A发送给自己所属行业域Y的代表节点申请验证该消息，代表节点通过调用区块链查询到行业域X的最新信息并对Token′_A＝AID′_A||T||Text||signature′_A(H(K_A||ID_A)||T||Text)使用验签流程进行身份和签名的验证，并将身份验证结果“validate”或“invalidate”发送给企业B。企业B根据验证结果决定是否与企业A建立联系。

6.根据权利要求1所述的基于区块链和企业跨域数据汇聚的工业互联网标识方法，其特征在于，步骤5，会话密钥协商，该步骤主要是为保证双方后续进行安全通信，具体实施如下：

由于企业A为申请验证方，因此协商双方使用企业A所属行业域X的椭圆曲线l_X：y²＝x³+a_xx+b_X上的点P_X构建会话密钥φ。首先企业A在向企业B发送身份认证信息时，生成随机数k_A∈Z_p，计算会话密钥公钥PK_A＝k_A·P_X，之后将公钥信息放入认证信息Token_A中的附加消息Text字段中。当企业B接受到认证信息后首先对Token_A信息中的签名进行验证，身份验证无误后获取企业A的会话公钥PK_A，同时根据区块链获得企业A所属行业域X的公开参数Params_x，生成随机数k_B∈Z_p，计算会话密钥公钥PK_B＝k_B·P_X并将其附加在响应信息Token_B中，其中Token_B中不包含其匿名身份，只需生成随机数并使用自身明文身份私钥对其进行签名。企业A接收到Token_B信息后首先对签名进行验证，验证通过后获取企业B的会话公钥PK_B。双方完成密钥交换，最终双方生成只有通信双方知道的会话密钥φ＝H₃(k_A·PK_B)＝H₃(k_B·PK_A)＝H₃(k_Ak_BP_X)用于对后续通信的加密。当企业B收到企业A的申请信息后，通过步骤4对其身份验证无误后，根据Token_A中的随机数进行会话密钥协商生成φ，之后使用φ对生产数据进行加密并发送给企业A，企业A收到消息后使用协商好的会话密钥φ解密，解密完成后将该生产信息汇聚到表示映射数据中，完整标识映射数据汇聚完成。

7.根据权利要求1所述的基于区块链和企业跨域数据汇聚的工业互联网标识方法，其特征在于，步骤6，完整标识映射数据汇聚和解析，当标识拥有者获得标识符的完整标识映射数据后，将其录入标识符中，并为商品生成标识符后缀生成完整标识符。当解析用户获得商品后，根据商品标识符发起解析申请获取商品的完整标识映射数据。