(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210641208.6 (22)申请日 2022.06.08 (71)申请人 西安工业大 学 地址 710032 陕西省西安市金花北路4 号 (72)发明人 容晓峰　田晨光　折宇超　曹子建　 蒋文隆　刁振军　周行行　 (74)专利代理 机构 西安嘉思特知识产权代理事 务所(普通 合伙) 6123 0 专利代理师 万艳艳 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/10(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于区块链的身份认证方法 (57)摘要 本发明提供了一种基于区块链的身份认证 方 法 ， 在区 块 链 技 术 框 架之中 创建 基 于 Hyperledger  Fabric模型的身份认证方法。 将身 份认证技术中所包含的传统密码学理论融入到 该模型中， 采用框架中组织与通道隔离的概念， 对云环境下的组织结构进行抽象， 形成包含云服 务提供商组织和云数据中心组织的网络拓扑； 利 用密码理论， 将JSON  Web Token作为用户唯一的 身份凭证， 设计生成用户身份接入申请和验证用 户身份接入申请协议； 本发明在保证用户身份信 息安全的基础上， 可 以实现分布式、 透明性和可 监管性的认证过程。 权利要求书3页 说明书12页 附图5页 CN 115051848 A 2022.09.13 CN 115051848 A 1.一种基于区块链的身份认证方法， 应用于云环境下基于身份认证的网络拓扑中， 其 特征在于， 所述网络拓扑位于区块链中， 所述网络拓扑包括已经授权的云用户端、 云服务提 供商CSP以及云数据中心CDC， 所述身份认证方法包括： 云用户端， 用于在注 册过程中根据用户操作产生注 册请求发送至 CSP； CSP， 用于在自身账本 中查找所述云用户端是否存在， 如果不存在则将所述注册请 发送 至CDC； CDC， 用于响应所述注册请求， 生成用户的唯一身份凭证； 将所述唯一身份凭证经过秘 密密钥加密后， 连同秘密密钥作为区块链信息一并进行存储， 并将加密过的唯一身份凭证 再进行Base64编码后通过CS P返回至云用户端； 所述云用户端， 用于将接收的响应信 息， 通过用户私钥对其秘密密钥解密， 再通过解编 码以及秘密密钥解密文后， 得到唯一身份凭证； 并在验证过程中将所述唯一身份凭证通过 秘密密钥加密以及编码， 并根据编 码的唯一身份凭证以及用户身份信息生成登录请求发送 至CSP； 所述CSP， 用于判断登录请求中的用户身份信息是否在自身存储， 如果存在， 则将所述 登录请求发送至所述CDC； CDC， 用于在自身查询用户身份信息， 确定用户的区块链信息； 将区块链信息中的唯一 身份凭证通过秘密密钥解密， 得到明文唯一身份凭证； 将登录请求中编码的唯一身份凭证 与明文唯一身份凭证进行比对确定是否相同， 如果相同则向云用户端发送响应信息并更新 用户访问区块链信息的时间。 2.根据权利要求1所述的基于区块链的身份认证方法， 其特征在于， 所述注册请求中包 括： 用户在区块链中的账户ID、 用户基础信息以及避免重放攻击的时间戳； 所述自身 账本中 存储有账号ID、 用户基础信息以及账号ID对应的第一区块链信息， 该第一区块链信息包括： 用户经过Base64编码的公钥， 用户注册时间的时间， 用户登录时间以及登录成功与否的记 录。 3.根据权利要求2所述的基于区块链的身份认证方法， 其特征在于， 所述CSP， 用于在自 身账本中查找所述云用户端是否存在， 如果 不存在则将所述注 册请发送至 CDC包括： CSP， 用于自身账本中查找发送注册请求的账号ID是否存在， 如果存在， 则向云用户端 告知； 如果不存在， 则调用cdc相关接口将用户在区块链中的账号ID以及用户基础信息作为 接口参数传入至 CDC中。 4.根据权利要求3所述的基于区块链的身份认证方法， 其特征在于， 所述CDC， 用于响应 所述注册请求， 生成用户的唯一身份凭证； 将所述唯一身份凭证经过秘密密钥加密后， 连同 秘密密钥作为区块链信息一并进 行存储， 并将加密过的唯一身份凭证再进 行Base64编码后 通过CSP返回至云用户端包括： 所述CDC， 用于响应于所述注 册请求， 生成用户的唯一身份凭证JWT； 截取所述唯一身份凭证中的Payl oad作为该用户的认证凭证JWT_P； 对所述认证凭证JWT_P使用秘密 密钥Kcdc进行加密， 得到结果C1； 使用Base64对加密结果C1编码得到结果C2； 使用公钥PKuser对秘密 密钥Kcdc加密得到结果K`； 将秘密密钥Kcdc以及结果K`作为第二区块链信息进行存 储；权　利　要　求　书 1/3 页 2 CN 115051848 A 2将加密结果K`以及结果C2通过CS P反馈至云用户端。 5.根据权利要求4所述的基于区块链 的身份认证方法， 其特征在于， 在通过CSP返回至 云用户端之前， 所述身份认证方法还 包括： CSP， 用于将加密结果K`、 结果C2以及避免重放攻击的时间戳反馈至云用户端， 并将用 户在区块链中的账户ID、 用户基础信息以及其 他注册信息进行存 储。 6.根据权利要求4所述的基于区块链的身份认证方法， 其特征在于， 所述用于将接收的 响应信息， 通过用户私钥对其秘密密钥解密， 再通过解编 码以及秘密密钥解密 文后， 得到唯 一身份凭证； 并在验证过程中将所述唯一身份凭证通过秘密密钥加密以及编码， 并根据编 码的唯一身份凭证以及用户身份信息生成登录请求发送至 CSP包括： 云用户端， 用于私钥Kpku对加密结果K`解密， 得到 秘密密钥Kcdc； 对编码结果C2进行Base64 解码， 得到结果C1； 使用秘密 密钥(Kcdc)对结果C1解密， 得到认证凭证JWT_P； 将秘密密钥Kcdc以及认证凭证JWT_P进行本地存 储； 在验证过程中， 使用CDC的公钥对存储在本地的唯一身份凭证进行加密， 得到结果C1； 使用Base64对得到的结果C1编码， 得到认证凭证JWT`； 将用户在区块链中的账户ID、 用户基础信息以及认证凭证JWT`作为请求参数， 生成登 录请求； 将登录请求发送至 CSP。 7.根据权利要求6所述的基于区块链的身份认证方法， 其特征在于， 所述CSP， 用于判断 登录请求中的用户身份信息是否在自身存储， 如果存在， 则将所述登录请求 发送至所述CD C 包括： CSP， 用于在接收登录请求后， 在账本中查找用户在区块链的账号ID， 如果查找到则将 用户在区块链中的账户ID以及认证凭证JWT`作为调用参数， 调用响应接口传送至CD C； 如果 没有查找到， 则向云用户端 告知。 8.根据权利要求7所述的基于区块链的身份认证方法， 其特征在于， 所述CDC， 用于在自 身查询用户身份信息， 确定用户的区块链信息； 将区块链信息中的唯一身份凭证通过秘密 密钥解密， 得到明文唯一身份凭证； 将登录请求中编码的唯一身份凭证与明文 唯一身份凭 证进行比对确定是否相同， 如果相同则向云用户端发送响应信息并更新用户访问区块链信 息的时间包括： 所述CDC， 用于在自身查找接收到的账号ID， 得到该账号ID对应的第二区块链信息； 对 第二区块链信息中的结果C1解密得到明文JWT_P； 将认证凭证JWT`于明文JWT_P进行比对确 认是否相同； 如果相同， 则向CSP响应云用户端认证正确， 并添加用户认证时间至区块链信 息中以更新区块链信息 。 9.根据权利要求8所述的基于区块链的身份认证方法， 其特征在于， 在验证过程结束之 后， 所述身份认证方法包括： 所述云用户端， 用于向CS P发送查询请求； 其中， 所述查询请求包括用户在区块链中的账号ID、 用户基础信息以及避免重放攻击 的时间戳； 所述CSP， 用于接收到查询请求后， 查询账号ID是否在自身账本中， 如果不存在则告知权　利　要　求　书 2/3 页 3 CN 115051848 A 3