WO2021109720A1

WO2021109720A1 - 一种基于区块链网络的节点认证方法及装置

Info

Publication number: WO2021109720A1
Application number: PCT/CN2020/121113
Authority: WO
Inventors: 廖飞强; 严强; 李昊轩; 李辉忠; 张开翔; 范瑞彬
Original assignee: 深圳前海微众银行股份有限公司
Priority date: 2019-12-03
Filing date: 2020-10-15
Publication date: 2021-06-10
Also published as: CN111131171A; CN111131171B

Abstract

一种基于区块链网络的节点认证方法及装置，用以降低节点证书的管理和认证的复杂性。其中方法包括：证书签发节点对跨链节点中的各个证书属性信息进行签名得到节点证书，且跨链节点根据第一区块链网络的认证属性信息和节点证书生成待认证数据，并将待认证数据发送给第一区块链网络中的认证节点，以使认证节点进行认证。通过签名待接入的至少两个区块链网络的认证属性信息得到跨链节点的节点证书，使得跨链节点仅使用一个节点证书就可以管理跨链节点接入多个区块链网络的认证过程，有助于降低节点证书管理和认证的复杂性。且，该方式在认证时还不会泄露其它区块链网络的认证属性信息，从而还有助于保证各区块链网络的认证属性信息的安全。

Description

一种基于区块链网络的节点认证方法及装置

相关申请的交叉引用

本申请要求在2019年12月03日提交中国专利局、申请号为201911218904.0、申请名称为“一种基于区块链网络的节点认证方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及金融科技(Fintech)技术领域，尤其涉及一种基于区块链网络的节点认证方法及装置。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技(Fintech)转变，区块链技术也不例外。然而，由于金融行业的安全性、实时性要求，金融科技也对区块链技术提出了更高的要求。

现阶段，一种常用的跨链节点认证策略为：跨链节点在加入多个区块链网络之前，分别从证书签发节点处获取跨链节点在每个区块链网络中的节点证书，在加入任一区块链网络时，跨链节点只需要向待加入的区块链网络发送跨链节点在该区块链网络中的节点证书，以使该区块链网络对节点证书进行认证，若认证通过，则区块链网络可以允许跨链节点加入该区块链网络，若认证不通过，则区块链网络不允许跨链节点加入该区块链网络。然而，该种实现方式中的跨链节点在不同区块链网络中的节点证书无法复用，若要加入多个区块链网络，则跨链节点需要分别拥有跨链节点在多个区块链网络中的节点证书，且需要分别使用每个区块链网络对应的节点证书进行节点认证。显然地，该方式会使跨链节点中节点证书的管理和认证较为复杂。

综上，目前亟需一种基于区块链网络的节点认证方法，用以解决现有技术中跨链节点分别维护跨链节点在各个区块链网络中的节点证书所导致的节点证书的管理和认证较为复杂的技术问题。

发明内容

本发明提供一种基于区块链网络的节点认证方法及装置，用以解决现有技术中跨链节点分别维护跨链节点在各个区块链网络中的节点证书所导致的节点证书的管理和认证较为复杂的技术问题。

第一方面，本发明提供一种基于区块链网络的节点认证方法，该方法适用于跨链节点，该方法包括：跨链节点先接收节点证书，再根据第一区块链网络的认证属性信息和节点证书生成待认证数据，最后将待认证数据发送给第一区块链网络中的认证节点，以使认证节点根据待认证数据中的节点证书对第一区块链网络的认证属性信息进行认证。其中，节点证书为证书签发节点对跨链节点中的各个证书属性信息进行签名得到的，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息，第一区块链网络为待接入的至少两个区块链网络中的一个。

在上述设计中，通过签名跨链节点待接入的至少两个区块链网络的认证属性信息得到跨链节点的节点证书，可以使用一个节点证书来管理跨链节点接入多个区块链网络的认证过程，而无需分别设置每个区块链网络对应的节点证书，从而可以降低节点证书管理和认证的复杂性。且，本方案中的节点证书是对多个区块链网络的认证属性信息进行签名得到的，而不是多个区块链网络的认证属性信息的明文形式，因此该种方式在认证任一区块链网络的认证属性信息时均不会泄露其它区块链网络的认证属性信息，从而这种方式还有助于保证各个区块链网络的认证属性信息的安全。

在一种可能的实现方式中，证书属性信息可以包括第一类型证书属性信息和第二类型证书属性信息，第一类型证书属性信息的优先级高于第二类型证书属性信息。在这种情况下，跨链节点接收节点证书之前，还可以接收证书签发节点发送的签名私钥对应的签名公钥，然后使用签名公钥对各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文，再将第一密文发送给证书签发节点，以使证书签发节点根据第一密文使用签名私钥对各个证书属性信息中的第二类型证书属性信息进行签名，得到节点证书。在上述实现方式中，通过跨链节点对重要程度较高的第一类型证书属性信息进行盲化，再通过证书签发节点进行签名，能够在证书签发节点成功对跨链节点签发证书的同时，保证第一类型证书属性信息的安全。

在一种可能的实现方式中，跨链节点根据第一区块链网络的认证属性信息和节点证书生成待认证数据之前，还可以对节点证书进行偏移。在上述实现方式中，通过先对节点证书进行偏移，再基于偏移后的节点证书生成待认证数据，可以避免证书签发节点根据签发过程追踪到跨链节点使用节点证书进行认证的情况发生，有助于保证跨链节点在一个安全的环境下使用节点证书，以提高认证的安全性。

第二方面，本发明提供一种基于区块链网络的节点认证方法，该方法适用于证书签发节点，该方法包括：证书签发节点先获取跨链节点中的各个证书属性信息，再对跨链节点中的各个证书属性信息进行签名得到跨链节点的节点证书，最后将节点证书发送给跨链节点，以使跨链节点根据节点证书使用第一区块链网络的认证属性信息生成待认证数据。其中，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息，第一区块链网络为待接入的至少两个区块链网络中的一个，待认证数据用于第一区块链网络中的认证节点对第一区块链网络的认证属性信息进行认证。

在一种可能的实现方式中，证书签发节点对跨链节点中的各个证书属性信息进行签名得到跨链节点的节点证书，包括：证书签发节点先根据签名私钥和各个证书属性信息，确定签名私钥对应的签名公钥，再将签名公钥发送给跨链节点，以使跨链节点根据签名公钥对各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文，如此，证书签发节点在接收跨链节点发送的第一密文后，可以使用第一密文和签名私钥对各个证书属性信息中的第二类型证书属性信息进行签名，得到节点证书。

第三方面，本发明提供一种基于区块链网络的节点认证装置，该装置包括：

收发模块，用于接收节点证书，该节点证书为证书签发节点对跨链节点中的各个证书属性信息进行签名得到的，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息；

生成模块，用于根据第一区块链网络的认证属性信息和节点证书生成待认证数据，其中，第一区块链网络可以为待接入的至少两个区块链网络中的一个；

收发模块，还用于将待认证数据发送给第一区块链网络中的认证节点，以使认证节点根据待认证数据中的节点证书对第一区块链网络的认证属性信息进行认证。

在一种可能的实现方式中，证书属性信息中可以包括第一类型证书属性信息和第二类型证书属性信息，第一类型证书属性信息的优先级高于第二类型证书属性信息。在这种情况下，节点认证装置还可以包括处理模块，在收发模块接收节点证书之前，收发模块还可以接收证书签发节点发送的签名私钥对应的签名公钥。对应的，处理模块可以使用签名公钥对各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文。进而，收发模块还可以将第一密文发送给证书签发节点，以使证书签发节点根据第一密文使用签名私钥对各个证书属性信息中的第二类型证书属性信息进行签名，得到节点证书。

在一种可能的实现方式中，在生成模块根据第一区块链网络的认证属性信息和节点证书生成待认证数据之前，生成模块还可以对节点证书进行偏移。

第四方面，本发明提供一种基于区块链网络的节点认证装置，该装置包括：

获取模块，用于获取跨链节点中的各个证书属性信息，各个证书属性信息中可以包括跨链节点待接入的至少两个区块链网络的认证属性信息；

处理模块，用于对跨链节点中的各个证书属性信息进行签名得到跨链节点的节点证书；

收发模块，用于将节点证书发送给跨链节点，以使跨链节点根据节点证书使用第一区块链网络的认证属性信息生成待认证数据；其中，第一区块链网络为待接入的至少两个区块链网络中的一个，待认证数据用于第一区块链网络中的认证节点对第一区块链网络的认证属性信息进行认证。

在一种可能的实现方式中，处理模块还可以根据签名私钥和各个证书属性信息，确定签名私钥对应的签名公钥。相应地，收发模块还可以将签名公钥发送给跨链节点，以使跨链节点根据签名公钥对各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文。收发模块还可以接收跨链节点发送的第一密文。进而，处理模块还可以使用第一密文和签名私钥对各个证书属性信息中的第二类型证书属性信息进行签名，得到节点证书。

第五方面，本发明提供一种计算设备，包括至少一个处理器以及至少一个存储器，其中，存储器可以存储有计算机程序，当该计算机程序被处理器执行时，处理器可以执行上述第一方面或第二方面任意所述的基于区块链网络的节点认证方法。

第六方面，本发明提供一种计算机可读存储介质，其存储有可由计算设备执行的计算机程序，当该计算机程序在计算设备上运行时，计算设备可以执行上述第一方面或第二方面任意所述的基于区块链网络的节点认证方法。

本发明的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种可能的系统架构示意图；

图2为本发明实施例提供的一种基于区块链网络的节点认证方法的流程示意图；

图3为本发明实施例提供的一种确定跨链节点的节点证书的流程示意图；

图4为本发明实施例提供的一种基于区块链网络的节点认证装置的结构示意图；

图5为本发明实施例提供的又一种基于区块链网络的节点认证装置的结构示意图；

图6为本发明实施例提供的一种计算设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种可能的系统架构示意图，如图1所示，该系统架构包括证书签发节点100、跨链节点110和至少两个区块链网络，比如区块链网络121和区块链网络122。其中，至少两个区块链网络是跨链节点110待加入的区块链网络，证书签发节点100与跨链节点110、跨链节点110与至少两个区块链网络中的每个区块链网络都可以通信连接，比如可以通过有线方式通信连接，或者可以通过无线方式通信连接，不作限定。

本发明实施例中，证书签发节点100可以是指较为权威的安全认证机构，例如中国金融认证中心(china financial certification authority，CFCA)。证书签发节点100能够根据跨链节点110的证书签发请求生成带有证书签发节点100签名的节点证书。

继续参照图1所示，每个区块链网络中可以设置有一个或多个区块链节点。一个或多个区块链节点中的任意两个区块链节点可以通信连接，以共同维护区块链网络。比如区块链网络121中设置有区块链节点1211、区块链节点1212、区块链节点1213与区块链节点1214，区块链节点1211～区块链节点1214中的任意两个区块链节点可以通信连接。区块链网络122中设置有区块链节点1221、区块链节点1222、区块链节点1223与区块链节点1224，区块链节点1221～区块链节点1224中的任意两个区块链节点可以通信连接。

本发明实施例中，区块链网络中的区块链节点可以具有多种功能，比如路由功能、交易功能、区块链功能和共识功能等。路由功能是指区块链节点可以将客户端传送过来的交易信息传送给区块链网络中的其它区块链节点，以实现各个区块链节点之间的通信。交易功能和共识功能是指区块链节点可以通过共识支持与用户的交易或与其它区块链节点的交易，还可以记录在该区块链节点(或区块链网络)中执行过的全部交易。区块链功能是指区块链节点可以基于交易的执行情况在区块链网络中生成新区块。其中，路由功能是区块链网络中的每个区块链节点必须具有的功能，而其它功能可由本领域技术人员根据实际需要进行设置。

需要说明的是，区块链网络中的一个区块链节点可以是指一台物理机(服务器)，也可以是指服务器中运行的一个进程或者一系列进程。比如，区块链节点1211可以是指服务器上运行的一个进程，或者也可以是指服务器，具体不作限定。

本发明实施例中，跨链节点110与每个区块链网络连接的方式可以有多种，例如跨链节点110可以仅与区块链网络中的一个区块链节点连接，以通过该区块链节点与该区块链网络中的其它区块链节点间接连接。或者，跨链节点110也可以与区块链网络中的全部区块链节点连接。或者，跨链节点110还可以与区块链网络中的部分区块链节点连接，以通过该部分区块链节点与该区块链网络中的其它区块链节点间接连接，具体不作限定。

基于图1所示意的系统架构，图2为本发明实施例提供的一种节点认证方法，该方法适用于证书签发节点、跨链节点和区块链节点，例如图1所示意的证书签发节点100、跨链节点110和区块链节点1211至区块链节点1214中的任一区块链节点、或区块链节点1221至区块链节点1224中的任一区块链节点。如图2所示，该方法包括：

步骤201，证书签发节点对跨链节点中的各个证书属性信息进行签名，得到跨链节点的节点证书。其中，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息。

本发明实施例中，各个证书属性信息中可以包括第一类型证书属性信息和第二类型证书属性信息。其中，第一类型证书属性信息为与跨链节点的隐私数据相关的证书属性信息，比如节点证书的颁发者、有效期、使用者、待加入的区块链网络的认证属性信息等，第二类型证书属性信息为与跨链节点的隐私数据无关的证书属性信息，比如版本号、序列号、节点证书的签名算法、消息摘要算法等。第一类型证书属性信息的优先级大于第二类型证书属性信息的优先级。

在一种可能的实现方式中，证书签发节点在确定跨链节点存在节点证书的签发需求后，可以将预设的节点证书模板发送给跨链节点，以使跨链节点按照预设的节点证书模板确定跨链节点对应的节点证书模板。其中，预设的节点证书模板用于标识设定的各个证书属性信息的部署形式。证书属性信息可以由本领域技术人员根据经验进行设置，也可以根据业务需求进行设置，比如可以包括证书属性名及对应的证书属性值，具体不作限定。

具体实施中，预设的节点证书模板可以由属性名模板和属性键值对模板构成，属性名模板为一个列表容器，存储有设定的各个证书属性名。属性名模板还可以支持增加新的证书属性名、删除已有的证书属性名、修改已有的证书属性名或查询已有的属性证书名等操作。相应地，属性键值对模板为一个键值对容器，用于存储各个证书属性名和对应的证书属性值。属性键值对模板还可以支持增加新的证书属性名和对应的证书属性值、删除已有的证书属性名和对应的证书属性值、修改已有的证书属性名和对应的证书属性值或查询已有的证书属性名和对应的证书属性值等操作。

本发明实施例中，设定的各个证书属性名中可以包括待加入的区块链网络的认证属性名，比如待加入的区块链网络的数字身份信息(即链身份信息(identity document，id))，还可以包括版本号、序列号和使用者中的一项或多项，不作限定。

相应地，跨链节点在获取预设的节点证书模板后，可以从属性名模板所存储的设定的各个证书属性名中选取各个证书属性名，组装得到跨链节点对应的属性名模板。相应地，跨链节点还可以根据各个证书属性名对应的证书属性值，组装得到跨链节点对应的属性键值对模板。

举例来说，如图1所示，假设跨链节点110待加入的区块链网络为区块链网络121和区块链网络122，当跨链节点110中的各个证书属性名还包括版本号和使用者时，跨链节点110对应的属性名模板可以为：

{版本号，使用者，链121的id，链122的id}

若版本号为1.0，链121的id为0x12ab，链122的id为0xbc68，则跨链节点110对应的属性键值对模板可以为：

{版本号＝1.0，使用者＝“跨链节点110”，链121的id＝“0x12ab”，链122的id＝“0xbc68”}

本发明实施例中，通过在各个证书属性信息中设置待加入的区块链网络的认证属性信息，并基于待加入的区块链网络的认证属性信息签名得到节点证书，使得节点证书中能够同时包含待加入的各个区块链网络的特征，因此，该节点证书能够在跨链节点加入待加入的区块链网络时进行认证，并能保证认证的准确性。

步骤202，证书签发节点将跨链节点的节点证书发送给跨链节点。

步骤203，跨链节点根据第一区块链网络的认证属性信息和节点证书生成待认证数据，其中，第一区块链网络为待接入的至少两个区块链网络中的一个。

在一个示例中，证书签发节点除了可以将跨链节点的节点证书发送给跨链节点，还可以同时将签名节点证书的过程中所使用的盲密钥发送给跨链节点。相应地，跨链节点在接收到节点证书和盲密钥后，还可以对盲密钥进行偏移，并根据偏移后的盲密钥、节点证书和第一区块链网络的认证属性信息生成待认证数据。其中，偏移的方式可以由本领域技术人员根据经验进行设置，比如可以为增大或减小某一数值、点乘或点除某一数值，等等，具体不作限定。在该示例中，通过对证书签发节点使用的盲密钥进行偏移，并基于偏移后的盲密钥和节点证书生成待认证数据，可以避免证书签发节点根据盲密钥追踪到跨链节点使用节点证书进行认证的情况发生，从而有助于保证跨链节点在一个安全的环境下使用节点证书，以提高认证的安全性。

继续参照图1所示，具体实施中，若第一区块链网络为区块链网络121，跨链节点110想要接入区块链网络121，则跨链节点110可以使用区块链网络121的认证属性信息“链121的id＝“0x12ab””和节点证书生成待认证数据。若第一区块链网络为区块链网络122，跨链节点110想要接入区块链网络122，则跨链节点110可以使用区块链网络122的认证属性信息“链122的id＝“0xbc68””和节点证书生成待认证数据。

步骤204，跨链节点将待认证数据发送给第一区块链网络中的认证节点。

步骤205，第一区块链网络中的认证节点根据待认证数据中的节点证书对第一区块链网络的认证属性信息进行认证，并根据认证结果确定跨链节点是否能接入第一区块链网络。

在一个示例中，第一区块链网络中的认证节点接收到跨链节点发送的待认证数据后，可以先解析待认证数据得到跨链节点的节点证书和第一区块链网络的认证属性信息，再基于跨链节点的节点证书和第一区块链网络的认证属性信息构造证明函数，并加载证明函数，若加载的结果为成功，则说明跨链节点认证通过，因此第一区块链网络可以允许跨链节点接入，若加载的结果为失败，则说明跨链节点认证不通过，因此第一区块链网络不允许跨链节点接入。其中，证明函数可以基于节点证书的签名过程进行设置，不作限定。

本发明实施例中，认证节点可以为第一区块链网络中的任一区块链节点，跨链节点可以仅与第一区块链网络中的一个区块链节点连接，也可以与第一区块链网络中的全部区块链节点连接，或者还可以与第一区块链网络中的部分区块链节点连接。具体实施中，若跨链节点仅与第一区块链网络中的一个区块链节点连接，则跨链节点可以将待认证数据发送给连接的区块链节点，以使连接的区块链节点将待认证数据同步给第一区块链网络中的其它区块链节点，且，第一区块链网络中的任一区块链节点接收到待认证数据后，可以对待认证数据进行验证，得到该区块链节点对跨链节点的认证结果。进一步地，第一区块链网络中的各个区块链节点还可以对各个区块链节点对跨链节点的认证结果进行共识，得到认证结果，并可以根据认证结果确定是否允许跨链节点接入第一区块链网络。

本发明实施例中，通过签名跨链节点待接入的至少两个区块链网络的认证属性信息得到跨链节点的节点证书，可以使用一个节点证书来管理跨链节点接入多个区块链网络的认证过程，而无需分别设置每个区块链网络对应的节点证书，从而有助于降低节点证书管理和认证的复杂性。且，本方案中的节点证书是对多个区块链网络的认证属性信息进行签名得到的，而不是多个区块链网络的认证属性信息的明文形式，因此该种方式在认证任一区块链网络的认证属性信息时均不会泄露其它区块链网络的认证属性信息，从而还有助于保证各个区块链网络的认证属性信息的安全。

在上述步骤201中，证书签发节点可以通过多种方式生成跨链节点的节点证书，下面具体描述一种可能的生成方式。

图3为本发明实施例提供的一种生成跨链节点的节点证书的流程示意图，该方法适用于证书签发节点和跨链节点，例如图1所示意出的证书签发节点100和跨链节点110。如图3所示，该方法包括：

步骤301，证书签发节点根据跨链节点中的各个证书属性信息，确定签名私钥对应的签名公钥。

具体实施中，跨链节点可以先根据各个证书属性信息生成证书签名请求，并将证书签名请求发送给证书签发节点，以使证书签发节点根据签名私钥和证书签名请求确定签名私钥对应的签名公钥。

在一个示例中，跨链节点可以先从各个证书属性信息中提取出第二类型证书属性信息，然后基于各个证书属性名和第二类型证书属性信息生成证书签名请求。举例来说，若跨链节点基于预设的节点证书模板生成了跨链节点对应的证书属性名模板和证书属性键值对模板，则跨链节点可以先从跨链节点对应的证书属性键值对模板中提取得到第二类型证书属性信息的键值对，然后根据第二类型证书属性信息的键值对和跨链节点对应的证书属性名模板生成证书签名请求。在上述示例中，各个证书属性信息中包括第一类型证书属性信息和第二类型证书属性信息，由于第一类型证书属性信息为与跨链节点的隐私数据相关的属性信息，因此跨链节点在组装得到跨链节点对应的证书属性名模板和证书属性键值对模板后，通过仅发送跨链节点对应的证书属性名模板和第二类型证书属性信息给证书签发节点，能够保护跨链节点的隐私数据的安全，尤其保证各个待接入区块链网络的认证属性信息的安全。

具体实施中，证书签名节点在获取证书签名请求后，可以解析证书签名请求得到各个证书属性名和第二类型证书属性信息，然后使用签名私钥和各个证书属性名计算得到第一信息和每个证书属性名对应的第二信息，并可以将第一信息和各个证书属性名对应的第二信息作为签名私钥对应的签名公钥。

在一种可能的实现方式中，证书签发节点可以采用如下步骤a～步骤d确定签名私钥和签名私钥对应的签名公钥：

步骤a，证书签名节点确定第一签名私钥和第二签名私钥。

具体实施中，证书签名节点可以随机地选取第一素数psafe和第二素数qsafe，并根据第一素数psafe和第二素数qsafe按照如下公式计算得到第一签名私钥p和第二签名私钥q：

p＝psafe/2

q＝qsafe/2

其中，第一素数和第二素数可以均为大素数(即阶大于2256的素数)，第一签名私钥p和第二签名私钥q的位数可以为1024位。

步骤b，证书签名节点根据第一签名私钥和第二签名私钥计算得到第一随机盲密钥。

具体实施中，证书签名节点100可以先根据第一素数psafe和第二素数qsafe，按照如下公式计算得到模n：

n＝psafe*qsafe

再从区间范围(0，n)内选取随机数x ₁，根据随机数x ₁和模n，按照如下公式计算得到第一随机盲密钥S ₁：

S ₁＝x ₁ ²modn

其中，modn为对模n取余。

步骤c，证书签名节点根据第一随机盲密钥、第一签名私钥、第二签名私钥和各个证书属性名计算得到第一信息和各个证书属性名对应的各个第二信息。

具体实施中，若存在L个证书属性信息，则证书签名节点可以先从区间范围[2，p*q-L]内选取随机数x _Z1，然后根据随机数x _Z1和第一随机盲密钥S ₁，按照如下公式计算得到第一信息Z ₁：

进一步地，证书签名节点可以再从区间范围[2，p*q-L]内选取出L个证书属性信息分别对应的随机数x _Z21、x _Z22、x _Z23、……、x _Z2L，并根据第一随机盲密钥S ₁和每个证书属性信息对应的随机数，按照如下公式计算得到每个证书属性信息对应的第二信息Z _2i：

其中，x _Z2i为第i个证书属性信息对应的随机数，0<i≤L。

步骤d，将第一签名私钥和第二签名私钥作为签名私钥，并将第一随机盲密钥、第一信息、各个证书属性信息对应的第二信息作为签名私钥对应的签名公钥。

本发明实施例中，证书签名节点可以直接将第一随机盲密钥S ₁、第一信息Z ₁和各个证书属性信息对应的第二信息作为签名私钥对应的签名公钥，或者也可以将模n、第一随机盲密钥S ₁、第一信息Z ₁和各个证书属性信息对应的第二信息作为签名私钥对应的签名公钥。以后者为例，签名私钥对应的签名公钥可以为基于模n、第一随机盲密钥S ₁、第一信息Z ₁和各个证书属性信息对应的第二信息构建的一行L+3列的向量(n,S ₁,Z ₁,Z ₂₁,Z ₂₂,……，Z _2L)，也可以为基于模n、第一随机盲密钥S ₁、第一信息Z ₁和各个证书属性信息对应的第二信息构建的L+3行一列的向量(n,S ₁,Z ₁,Z ₂₁,Z ₂₂,……，Z _2L) ^T，不作限定。

需要说明的是，上述内容仅是一种示例性的简单说明，其所列举的各个公式仅是为了便于说明方案，并不构成对方案的限定，在具体实施中，各个公式也可以由本领域技术人员根据经验进行设置，具体不作限定。

步骤302，证书签发节点将签名私钥对应的签名公钥发送给跨链节点。

步骤303，跨链节点使用签名公钥对各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文。

具体实施中，跨链节点接收到证书签发节点发送的签名公钥后，可以先从证书属性键值对模板中提取得到各个第一类型证书属性信息，然后设置第二随机盲密钥，使用签名公钥和第二随机盲密钥对各个第一类型证书属性信息进行盲化，得到第一密文。举例来说，若跨链节点对应的证书属性键值对模板为Cv＝{版本号＝1.0，使用者＝“跨链节点110”，链121的id＝“0x12ab”，链122的id＝“0xbc68”}，则“版本号＝1.0”属于第二类型证书属性信息，“使用者＝“跨链节点110””、“链121的id＝“0x12ab””和“链122的id＝“0xbc68””属于第一类型证书属性信息，跨链节点110可以盲化处理证书属性键值对模板为Cv中需要盲化的第一类型证书属性信息，即“使用者＝“跨链节点110””、“链121的id＝“0x12ab””和“链122的id＝“0xbc68””。

在一个示例中，第一密文可以基于如下公式计算得到：

U＝S ₁*S ₂*Z _m1 ^m1*Z _m2 ^m2*……*Z _mT ^mT

其中，U为第一密文，S ₂为第二随机盲密钥，m ₁、m ₂、……、m _T为T个第一类型证书属性信息，每个第一类型证书属性信息均包括证书属性名和证书属性值，Z _m1、Z _m2、……、Z _mT为T个第一类型证书属性信息对应的第二信息，0<T<＝L。

需要说明的是，上述内容仅是一种示例性的简单说明，其所列举的第一密文的生成方式仅是为了便于说明方案，并不构成对方案的限定，在具体实施中，第一密文也可以按照其它公式生成，比如U＝K+S ₁*S ₂*Z ₁ ^m1*Z ₂ ^m2*……*Z _L ^mT，或者U＝K*S ₁*S ₂*Z ₁ ^m1*Z ₂ ^m2*……*Z _L ^mT，K为随机数，具体不作限定。

步骤304，跨链节点将第一密文发送给证书签发节点。

步骤305，证书签发节点使用第一密文和签名私钥对各个证书属性信息中的第二类型证书属性信息进行签名，得到跨链节点的节点证书。

在一个示例中，证书签发节点在接收到第一密文后，可以先设置第三随机盲密钥，并根据第一信息、第一密文、第三随机盲密钥、第一随机密钥和各个第二类型证书属性信息，按照如下公式生成第二密文：

Q＝Z ₁/(U*S ₁S ₃*Z _r1 ^r1*Z _r2 ^r2*……*Z _rW ^rW)

其中，Q为第二密文，S ₃为第三随机盲密钥，r ₁、r ₂、……、r _W为W个第二类型证书属性信息，每个第二类型证书属性信息均包括证书属性名和证书属性值，Z _r1、Z _r2、……、Z _rW为W个第二类型证书属性信息对应的第二信息，0<W<＝L，且W+T＝L。

相应地，在生成第二密文后，证书签发节点可以随机生成素数e，并使用素数e、模n、签名私钥p和签名私钥q按照如下公式对第二密文进行签名，得到跨链节点的节点证书A：

A＝Q ^{(1/e)mod(p*q)}modn

在上述示例中，通过使用第二随机盲密钥对第一类型证书属性信息进行盲化，得到第一密文，再使用第三随机盲密钥对第一密文和第二类型证书属性信息进行盲化，得到第二密文，最后使用签名私钥对第二密文进行签名，能够在保证证书签发节点成功签名节点证书的同时，保护第一类型证书属性信息和第二类型证书属性信息的安全。

在一个示例中，证书签发节点可以同时将跨链节点的节点证书A以及在生成节点证书A的过程中使用的第三随机盲密钥S ₃和素数e发送给跨链节点；相应地，跨链节点接收到节点证书A、第三随机盲密钥S ₃和素数e后，可以先对第三随机盲密钥S ₃和/或素数e进行偏移，然后根据偏移后的信息生成待认证数据。其中，偏移的方式可以由本领域技术人员根据经验进行设置，比如可以使用第二随机盲密钥S ₂对第三随机盲密钥S ₃进行加和偏移(或作差偏移)，并根据节点证书A、偏移信息S ₃+S ₂(或S ₃-S ₂)和素数e生成待认证数据，或者可以使用第二随机盲密钥S ₂对第三随机盲密钥S ₃进行点乘偏移(或点除偏移)，并根据节点证书A、偏移信息S ₃*S ₂(或S ₃/S ₂)和素数e生成待认证数据，等等，具体不作限定。

在上述实现方式中，通过跨链节点对重要程度较高的第一类型证书属性信息进行盲化，再通过证书签发节点进行签名盲化，能够在证书签发节点成功对跨链节点签发证书的同时，保证第一类型证书属性信息的安全。

本发明的上述实施例中，证书签发节点对跨链节点中的各个证书属性信息进行签名得到节点证书，并将节点证书发送给跨链节点，以使跨链节点根据第一区块链网络的认证属性信息和节点证书生成待认证数据，并将待认证数据发送给第一区块链网络中的认证节点，由认证节点根据待认证数据中的节点证书对第一区块链网络的认证属性信息进行认证。其中，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息，第一区块链网络为待接入的至少两个区块链网络中的一个。本发明实施例中，通过签名跨链节点待接入的至少两个区块链网络的认证属性信息得到跨链节点的节点证书，可以使用一个节点证书来管理跨链节点接入多个区块链网络的认证过程，而无需分别设置每个区块链网络对应的节点证书，从而有助于降低节点证书管理和认证的复杂性。且，本方案中的节点证书是对多个区块链网络的认证属性信息进行签名得到的，而不是多个区块链网络的认证属性信息的明文形式，因此该种方式在认证任一区块链网络的认证属性信息时均不会泄露其它区块链网络的认证属性信息，从而还有助于保证各个区块链网络的认证属性信息的安全。

针对上述方法流程，本发明实施例还提供一种基于区块链网络的节点认证装置，该装置的具体内容可以参照上述方法实施。

图4为本发明实施例提供的一种基于区块链网络的节点认证装置的结构示意图，如图4所示，该装置包括：

收发模块401，用于接收节点证书，该节点证书为证书签发节点对跨链节点中的各个证书属性信息进行签名得到的，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息；

生成模块402，用于根据第一区块链网络的认证属性信息和节点证书生成待认证数据，其中，第一区块链网络为待接入的至少两个区块链网络中的一个；

所述收发模块401，还用于将待认证数据发送给第一区块链网络中的认证节点，以使认证节点根据待认证数据中的节点证书对第一区块链网络的认证属性信息进行认证。

可选地，证书属性信息中可以包括第一类型证书属性信息和第二类型证书属性信息，第一类型证书属性信息的优先级高于第二类型证书属性信息。在这种情况下，节点认证装置还可以包括处理模块403，在收发模块401接收节点证书之前，收发模块401还可以接收证书签发节点发送的签名私钥对应的签名公钥，处理模块403可以使用签名公钥对各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文，收发模块401还可以将第一密文发送给证书签发节点，以使证书签发节点根据第一密文使用签名私钥对各个证书属性信息中的第二类型证书属性信息进行签名，得到节点证书。

可选地，在生成模块402根据第一区块链网络的认证属性信息和节点证书生成待认证数据之前，生成模块402还可以对节点证书进行偏移。

图5为本发明实施例提供的又一种基于区块链网络的节点认证装置的结构示意图，如图5所示，节点认证装置包括：

获取模块501，用于获取跨链节点中的各个证书属性信息，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息；

处理模块502，用于对跨链节点中的各个证书属性信息进行签名得到跨链节点的节点证书；

收发模块503，用于将节点证书发送给跨链节点，以使跨链节点根据节点证书使用第一区块链网络的认证属性信息生成待认证数据，其中，第一区块链网络为待接入的至少两个区块链网络中的一个，待认证数据用于第一区块链网络中的认证节点对第一区块链网络的认证属性信息进行认证。

可选地，处理模块502还可以根据签名私钥和各个证书属性信息，确定签名私钥对应的签名公钥。收发模块503还可以将签名公钥发送给跨链节点，签名公钥用于跨链节点对各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文，并接收跨链节点发送的第一密文。处理模块502还可以使用第一密文和签名私钥对各个证书属性信息中的第二类型证书属性信息进行签名，得到节点证书。

从上述内容可以看出：本发明的上述实施例中，证书签发节点对跨链节点中的各个证书属性信息进行签名得到节点证书，并将节点证书发送给跨链节点，跨链节点接收节点证书后，可以根据第一区块链网络的认证属性信息和节点证书生成待认证数据，并将待认证数据发送给所述第一区块链网络中的认证节点，以使认证节点根据待认证数据中的节点证书对第一区块链网络的认证属性信息进行认证。其中，第一区块链网络为待接入的至少两个区块链网络中的一个，各个证书属性信息中包括跨链节点待接入的至少两个区块链网络的认证属性信息。本发明实施例中，通过签名跨链节点待接入的至少两个区块链网络的认证属性信息得到跨链节点的节点证书，可以使用一个节点证书来管理跨链节点接入多个区块链网络的认证过程，而无需分别设置每个区块链网络对应的节点证书，从而有助于降低节点证书管理和认证的复杂性。且，本方案中的节点证书是对多个区块链网络的认证属性信息进行签名得到的，而不是多个区块链网络的认证属性信息的明文形式，因此该种方式在认证任一区块链网络的认证属性信息时均不会泄露其它区块链网络的认证属性信息，从而还有助于保证各个区块链网络的认证属性信息的安全。

基于同一发明构思，本发明实施例还提供了一种计算设备，如图6所示，包括至少一个处理器601，以及与至少一个处理器连接的存储器602，本发明实施例中不限定处理器601与存储器602之间的具体连接介质，图6中处理器601和存储器602之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。

在本发明实施例中，存储器602存储有可被至少一个处理器601执行的指令，至少一个处理器601通过执行存储器602存储的指令，可以执行前述的基于区块链网络的节点认证方法中所包括的步骤。

其中，处理器601是计算设备的控制中心，可以利用各种接口和线路连接计算设备的各个部分，通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据，从而实现数据处理。可选的，处理器601可包括一个或多个处理单元，处理器601可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理运维人员下发的指令。可以理解的是，上述调制解调处理器也可以不集成到处理器601中。在一些实施例中，处理器601和存储器602可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器601可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合基于区块链网络的节点认证实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器602作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

基于同一发明构思，本发明实施例还提供了一种计算机可读存储介质，其存储有可由计算设备执行的计算机程序，当所述程序在所述计算设备上运行时，使得所述计算设备执行上述图2或图3任意所述的基于区块链网络的节点认证方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种基于区块链网络的节点认证方法，其特征在于，所述方法包括：

跨链节点接收节点证书；所述节点证书为证书签发节点对所述跨链节点中的各个证书属性信息进行签名得到的，所述各个证书属性信息中包括所述跨链节点待接入的至少两个区块链网络的认证属性信息；

所述跨链节点根据第一区块链网络的认证属性信息和所述节点证书生成待认证数据；所述第一区块链网络为所述待接入的至少两个区块链网络中的一个；

所述跨链节点将所述待认证数据发送给所述第一区块链网络中的认证节点；所述待认证数据用于所述认证节点根据所述待认证数据中的节点证书对所述第一区块链网络的认证属性信息进行认证。
根据权利要求1所述的方法，其特征在于，所述证书属性信息包括第一类型证书属性信息和第二类型证书属性信息；所述第一类型证书属性信息的优先级高于第二类型证书属性信息；

所述跨链节点接收节点证书之前，还包括：

所述跨链节点接收所述证书签发节点发送的签名私钥对应的签名公钥；

所述跨链节点使用所述签名公钥对所述各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文；

所述跨链节点将所述第一密文发送给所述证书签发节点，所述第一密文用于所述证书签发节点使用所述签名私钥对所述各个证书属性信息中的第二类型证书属性信息进行签名，得到所述节点证书。
根据权利要求1所述的方法，其特征在于，所述跨链节点根据第一区块链网络的认证属性信息和所述节点证书生成待认证数据之前，还包括：

所述跨链节点对所述节点证书进行偏移。
一种基于区块链网络的节点认证方法，其特征在于，所述方法包括：

证书签发节点获取跨链节点中的各个证书属性信息；所述各个证书属性信息中包括所述跨链节点待接入的至少两个区块链网络的认证属性信息；

所述证书签发节点对所述跨链节点中的各个证书属性信息进行签名得到所述跨链节点的节点证书；

所述证书签发节点将所述节点证书发送给所述跨链节点；所述节点证书用于所述跨链节点使用第一区块链网络的认证属性信息生成待认证数据，所述第一区块链网络为所述待接入的至少两个区块链网络中的一个，所述待认证数据用于所述第一区块链网络中的认证节点对所述第一区块链网络的认证属性信息进行认证。
根据权利要求4所述的方法，其特征在于，所述证书签发节点对所述跨链节点中的各个证书属性信息进行签名得到所述跨链节点的节点证书，包括：

所述证书签发节点根据签名私钥和所述各个证书属性信息，确定签名私钥对应的签名公钥；

所述证书签发节点将所述签名公钥发送给所述跨链节点，所述签名公钥用于所述跨链节点对所述各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文；

所述证书签发节点接收所述跨链节点发送的所述第一密文；

所述证书签发节点使用所述第一密文和所述签名私钥对所述各个证书属性信息中的第二类型证书属性信息进行签名，得到所述节点证书。
一种基于区块链网络的节点认证装置，其特征在于，所述装置包括：

收发模块，用于接收节点证书；所述节点证书为证书签发节点对跨链节点中的各个证书属性信息进行签名得到的，所述各个证书属性信息中包括所述跨链节点待接入的至少两个区块链网络的认证属性信息；

生成模块，用于根据第一区块链网络的认证属性信息和所述节点证书生成待认证数据；所述第一区块链网络为所述待接入的至少两个区块链网络中的一个；

所述收发模块，还用于将所述待认证数据发送给所述第一区块链网络中的认证节点；所述待认证数据用于所述认证节点根据所述待认证数据中的节点证书对所述第一区块链网络的认证属性信息进行认证。
根据权利要求6所述的装置，其特征在于，所述证书属性信息包括第一类型证书属性信息和第二类型证书属性信息；所述第一类型证书属性信息的优先级高于第二类型证书属性信息；

所述装置还包括处理模块；

所述收发模块接收节点证书之前，还用于：接收所述证书签发节点发送的签名私钥对应的签名公钥；

所述处理模块用于：使用所述签名公钥对所述各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文；

所述收发模块还用于：将所述第一密文发送给所述证书签发节点，所述第一密文用于所述证书签发节点使用所述签名私钥对所述各个证书属性信息中的第二类型证书属性信息进行签名，得到所述节点证书。
根据权利要求6所述的装置，其特征在于，所述生成模块根据第一区块链网络的认证属性信息和所述节点证书生成待认证数据之前，还用于：

对所述节点证书进行偏移。
一种基于区块链网络的节点认证装置，其特征在于，所述装置包括：

获取模块，用于获取跨链节点中的各个证书属性信息；所述各个证书属性信息中包括所述跨链节点待接入的至少两个区块链网络的认证属性信息；

处理模块，用于对所述跨链节点中的各个证书属性信息进行签名得到所述跨链节点的节点证书；

收发模块，用于将所述节点证书发送给所述跨链节点；所述节点证书用于所述跨链节点使用第一区块链网络的认证属性信息生成待认证数据，所述第一区块链网络为所述待接入的至少两个区块链网络中的一个，所述待认证数据用于所述第一区块链网络中的认证节点对所述第一区块链网络的认证属性信息进行认证。
根据权利要求9所述的装置，其特征在于，

所述处理模块还用于：根据签名私钥和所述各个证书属性信息，确定签名私钥对应的签名公钥；

所述收发模块还用于：将所述签名公钥发送给所述跨链节点，所述签名公钥用于所述跨链节点对所述各个证书属性信息中的第一类型证书属性信息进行盲化，得到第一密文；以及，接收所述跨链节点发送的所述第一密文；

所述处理模块还用于：使用所述第一密文和所述签名私钥对所述各个证书属性信息中的第二类型证书属性信息进行签名，得到所述节点证书。
一种计算设备，其特征在于，包括至少一个处理器以及至少一个存储器，其中，所述存储器存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行如权利要求1～3中任一项所述的方法、或执行如权利要求4～5中任一项所述的方法。
一种计算机可读存储介质，其特征在于，其存储有可由计算设备执行的计算机程序，当所述程序在所述计算设备上运行时，使得所述计算设备执行如权利要求1～3中任一项所述的方法、或执行如权利要求4～5中任一项所述的方法。