(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210121174.8 (22)申请日 2022.02.09 (71)申请人 浪潮云信息技 术股份公司 地址 250100 山东省济南市高新区浪潮路 1036号浪潮科技园S01号楼 (72)发明人 宋明明　王伟兵　魏金雷　杨海勇　 张岚　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 专利代理师 潘悦梅 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) G06F 21/64(2013.01) (54)发明名称 基于区块链和SM9 算法的跨组织身份认证方 法及系统 (57)摘要 本发明公开了基于区块链和SM9算法的跨组 织身份认证方法及系统， 属于数字签名技术领 域， 要解决的技术问题为如何实现企业密钥中心 之间互认对方KGC签发的用户。 每个企业组织通 过KGC生成主密钥对， 所述主密钥对为用于签名 和验签的签名主密钥对， 包括主公钥和主私钥； 每个企业组织将其主私钥私有保存， 将其主公钥 上传并注册至联盟链， 向联盟链中其它企业组织 公开其主公钥； 每个企业组织接收到联盟链中其 它企业组织的用户发送的签名消息后， 对于被所 述企业组织信任的其它企业组织， 从联盟链中获 取所述其它企业组织的主公钥， 并对接收 的签名 消息进行验签 。 权利要求书2页 说明书7页 附图2页 CN 114499883 A 2022.05.13 CN 114499883 A 1.基于区块链和SM9算法的跨组织身份认证方法， 其特 征在于包括如下步骤： 每个企业组织通过KGC生成主密钥对， 所述主密钥对为用于签名和验签的签名主密钥 对， 包括主公钥和主私钥； 每个企业组织将其主私钥私有保存， 将其主公钥上传并注册至联盟链， 向联盟链中其 它企业组织公开 其主公钥； 每个企业组织接收到联盟链中其它企业组织的用户发送的签名消息后， 对于被所述企 业组织信任的其它企业组织， 从联盟链中获取所述其它企业组织的主公钥， 并对接 收的签 名消息进行验签。 2.根据权利要求1所述的基于区块链和SM9算法的跨组织身份认证方法， 其特征在于每 个企业组织将其主公钥上传 并注册至联盟链后， 建立一个信任清单， 通过所述信任清单记 录联盟链中所述企业组织信任的其 他企业组织的主公钥； 每个企业组织接收到联盟链中其它企业组织用户发送的签名消息后， 如果所述其它企 业组织位于信任清单中， 从信任清单中获取所述其它企业组织的主公钥， 并对接 收的签名 消息进行验签。 3.根据权利要求1或2所述的基于区块链和SM9算法的跨组织身份认证方法， 其特征在 于基于主私钥和用户身份标识、 通过KGC生成用户私钥， 通过所述用户私钥对待签名的消息 进行数字签名的， 得到签名消息 。 4.根据权利要求3所述的基于区块链和SM9算法的跨组织身份认证方法， 其特征在于其 它企业组织的用户发送向企业组织发送签名消息的同时， 还发送有所述 企业组织对应的主 公钥、 所述用户对应的用户标识、 以及所述签名消息对应的待签名消息； 所述企业组织以所述主公钥、 用户标识、 待签名消息以及签名消息作为输入， 从联盟链 中获取所述其它企业组织的主公钥， 并对接收的签名消息进行验签， 以验证用户身份。 5.基于区块链和SM9算法的跨组织身份认证系统， 其特征在于用于通过如权利要求1 ‑4 任一项所述的基于区块链和SM9算法的跨组织身份认证方法对跨组织的用户身份进行认 证， 所述系统包括： 联盟链， 所述联盟链中包括多个企业组织， 每个企业组织均通过其数字身份注册至区 块链组成联盟链； 主密钥生成模块， 每个企业组织通过所述主密钥管理模块基于KGC生成主密钥 对， 所述 主密钥对为用于签名和验签的签名主密钥对， 包括主公钥和主私钥； 主密钥管理模块， 每个企业组织通过所述主密钥管理模块私有其主私钥， 并通过所述 主密钥管理模块将其主公钥上传并注册至联盟链， 向联盟链中其它企业组织公开其主公 钥； 签名模块， 作为签名方的企业组织的用户通过所述签名模块对待签名消息进行数字签 名得到签名消息， 并将签名消息发送至联盟链中其它企业组织； 验签模块， 作为验签方的企业组织接收到签名消息后， 通过所述验签模块判断作为签 名方的企业组织是否被信任， 如果是， 从联盟链中获取所述作为签名方的企业组织对应的 主公钥， 并对接收的签名消息进行验签。 6.根据权利要求5基于区块链和SM9算法的跨组织身份认证系统， 其特 征在于还 包括： 信任清单构建模块， 每个企业组织通过所述信任清单构建模块建立一个信任清单， 通权　利　要　求　书 1/2 页 2 CN 114499883 A 2过所述信任清单记录联盟链中所述企业组织信任的其 他企业组织的主公钥； 作为验签方的企业组织通过所述验签模块读取其信任清单， 并验证作为签名方的企业 组织是否被信任， 如果作为签名方的企业组织位于信任清单中， 从信任清单中获取作为签 名方的企业组织对应的主公钥， 并通过 所述验签模块对接收的签名消息进行验签。 7.根据权利要求5或6所述的基于区块链和SM9算法的跨组织身份认证系统， 其特征在 于所述签名模块用于基于主私钥和用户身份标识、 通过KGC生 成用户私钥， 通过所述用户私 钥对待签名的消息进行 数字签名的， 得到签名消息 。 8.根据权利要求7所述的基于区块链和SM9算法的跨组织身份认证系统， 其特征在于通 过签名模块发送签名 消息的同时， 还发送有作为验签方的企业组织对应的主公钥、 用户对 应的用户标识、 以及签名消息对应的待签名消息； 所述验签模块用于以主公钥、 用户标识、 待签名消息以及签名消息作为输入， 从联盟链 中获取作为签名方的企业组织对应的主公钥， 并对接 收的签名 消息进行验签， 以验证用户 身份。权　利　要　求　书 2/2 页 3 CN 114499883 A 3