(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210841795.3 (22)申请日 2022.07.18 (71)申请人 西交利物 浦大学 地址 215123 江苏省苏州市工业园区独墅 湖高等教育区仁爱 路111号 (72)发明人 张杰　董彧佶　卫子龙　 (74)专利代理 机构 苏州谨和知识产权代理事务 所(特殊普通 合伙) 32295 专利代理师 叶栋 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 跨域密钥管理系统、 跨域密钥建立方法、 设 备及存储介质 (57)摘要 本发明涉及通信技术领域， 尤其涉及一种跨 域密钥管理系统、 跨域密钥建立方法、 设备及存 储介质， 包括： 区块链网络子系统和至少两个目 标域子系统； 云服务器用于初始化云服务器的公 钥、 云服务器的私钥和系统参数， 以及生成所属 目标域子系统中的至少一个节点的私钥和至少 一个节点的公钥信息， 并将云服务器和至少一个 节点的注册交易数据发送至区块链网络子系统； 区块链网络子系统， 用于在接收到注册交易数据 后， 验证注册交易数据， 并在验证通过的情况下 保存注册交易数据。 可以解决两个来自不同领域 的设备间的认证与密钥建立的速度较慢的问题。 可以提高跨 域密钥的建立速度。 权利要求书3页 说明书10页 附图3页 CN 115134163 A 2022.09.30 CN 115134163 A 1.一种跨域密钥管理系统， 其特征在于， 所述系统包括： 区块链网络子系统和至少两个 目标域子系统； 所述区块链网络子系统包括至少一个区块链节点， 所述至少一个区块链节点以分布式 网络连接方式构成所述区块链网络 子系统； 每个目标域子系统包括云服务器和至少一个节点， 所述至少一个节点包括边缘节点和 终端节点； 所述云服务器， 用于初始化所述云服务器的公钥、 所述云服务器的私钥和系统参数， 并 将包含有 所述云服务器的公钥、 所述云服务器的身份信息的第一注册交易数据发送至所述 区块链网络 子系统； 所述区块链网络子系统， 用于在接收到所述第一注册交易数据后， 验证所述第一注册 交易数据， 并在验证通过的情况 下保存所述第一注 册交易数据； 所述云服务器， 还用于生成所属目标域子系统中的所述至少一个节点的私钥和所述至 少一个节点的公钥信息， 并将包含有所述至少一个节点的公钥信息、 所述至少一个节点的 身份信息的第二注 册交易数据发送至所述区块链网络 子系统； 所述区块链网络子系统， 还用于在接收到所述第二注册交易数据后， 验证所述第二注 册交易数据， 并在验证通过的情况 下保存所述第二注 册交易数据。 2.根据权利要求1所述的系统， 其特征在于， 所述系统参数包括{Fp， E， G， q， P， H1， H2， k}， 其中， Fp为素数阶有限域， 素数p为所述Fp的阶， E为定义在所述Fp上的椭圆 曲线， G为由所述E 上的点和一个无穷远 点构成的椭圆曲线群， q为素数， P为 所述G的一个生成元， H1： {0， 1}*×G ×G→Zq和H2： {0， 1}*×{0， 1}*×G×G×G×G→{0， 1}k为两个独立的哈希函数， k 为正整数。 3.根据权利要求2所述的系统， 其特征在于， 所述初始化所述云服务器的公钥、 所述云 服务器的私钥和系统参数， 包括： 初始化所述系统参数{Fp， E， G， q， P， H1， H2， k}； 在所述Zq中确定第一随机元 素作为所述云服 务器的私钥； 基于所述Zq和所述生成元P， 生成所述云服 务器的公钥。 4.根据权利要求2所述的系统， 其特征在于， 所述生成所属目标域子系统中的所述至少 一个节点的私钥和所述至少一个节点的公钥 信息， 包括： 所述云服 务器在所述Zq中确定第二随机元 素； 基于所述第二随机 元素、 所述生成元P、 所述至少一个节点的身份信息、 所述哈希函数H1 和所述云服 务的私钥， 生成至少一个节点的私钥； 基于所述至少一个节点的私钥、 所述第二随机元素和所述生成元P， 生成所述至少一个 节点的公钥 信息。 5.根据权利要求1所述的系统， 其特征在于， 所述云服务器， 还用于修改所述云服务的 公钥和所述云服务的私钥， 并将包含所述云服务器的身份信息和修改后的所述云服务器的 公钥的第三注 册交易数据发送至所述区块链网络 子系统； 所述区块链网络子系统， 还用于在接收到所述第三注册交易数据后， 验证所述第三注 册交易数据， 并在验证通过的情况 下保存所述第三注 册交易数据； 所述云服务器， 还用于修改所属目标域子系统中的所述至少一个节点的公钥信 息和所 述至少一个节点的私钥， 并将包含所述至少一个节点的身份信息、 修改后的所述至少一个权　利　要　求　书 1/3 页 2 CN 115134163 A 2节点的公钥 信息的第四注 册交易数据发送至所述区块链网络 子系统； 所述区块链网络子系统， 还用于在接收到所述第 四注册交易数据后， 验证所述第 四注 册交易数据， 并在验证通过的情况 下保存所述第四注 册交易数据。 6.根据权利要求1所述的方法， 其特征在于， 所述云服务器， 还用于所述在至少一个节 点离开所述所属目标域子系统的情况下， 将所述至少一个节点对应的注销交易数据发送至 所述区块链网络子系统， 以使所述区块链网络子系统在收到所述注销交易数据后， 验证所 述注销交易数据， 并在所述注销交易数据验证通过 的情况下， 注销所述至少一个节点的公 钥信息。 7.根据权利要求1所述的系统， 其特征在于， 所述第一注册交易数据包括第一交易标 识、 所述云服务器的身份信息， 所述云服务器的公钥和所述 公钥有效期； 所述第二注册交易 数据包括第二交易标识、 所述至少一个节点的身份信息， 所述至少一个节点的公钥信息和 所述至少一个节点的公钥 信息的有效期。 8.一种跨 域密钥建立方法， 其特 征在于， 用于第一终端， 所述方法包括： 向区域链网路子系统发送第 二终端的公钥查询指令， 以使所述 区域链网路子系统在接 收到所述第二终端的公钥查询指令后， 在所述第二终端的公钥信息未过期的情况下， 返回 第二终端的公钥信息， 所述第二终端的公钥信息包括所述第二终端的公钥； 所述第二终端 是指与所述第一终端建立 跨域密钥的终端； 生成所述第一终端的临时私钥； 基于所述第一终端的临时私钥生成所述第一终端的临时公钥； 将所述第一终端的临时公钥发送至所述第 二终端， 以使所述第 二终端在接收到所述第 一终端的临 时公钥后， 基于所述第一 终端的临 时公钥、 所述第一 终端的公钥、 所述第二 终端 的私钥和所述第二终端的临时私钥， 生成所述 跨域密钥； 接收所述第二终端的临时公钥； 基于所述第 一终端的私钥、 所述第 一终端的临时私钥、 所述第一终端的身份信 息、 所述 第二终端的公钥、 所述第二终端的临时公钥和所述第二终端的身份信息， 生成所述跨域密 钥。 9.一种跨 域密钥建立方法， 其特 征在于， 用于第二终端， 所述方法包括： 向区域链网路子系统发送第 一终端的公钥查询指令， 以使所述 区域链网路子系统在接 收到所述第一终端的公钥查询指令后， 在所述第一终端的公钥信息未过期的情况下， 返回 第一终端的公钥信息， 所述第一终端的公钥信息包括所述第一终端的公钥； 所述第一终端 是指与所述第二终端建立 跨域密钥的终端； 生成所述第二终端的临时私钥； 基于所述第二终端的临时私钥生成所述第二终端的临时公钥； 将所述第二终端的临时公钥发送至所述第 一终端， 以使所述第 一终端在接收到所述第 二终端的临 时公钥后， 基于所述第二 终端的临 时公钥、 所述第二 终端的公钥、 所述第一 终端 的私钥和所述第一终端的临时私钥， 生成所述 跨域密钥； 接收所述第一终端的临时公钥； 基于所述第 二终端的私钥、 所述第 二终端的临时私钥、 所述第二终端的身份信 息、 所述 第一终端的公钥、 所述第一终端的临时公钥和所述第一终端的身份信息， 生成所述跨域密权　利　要　求　书 2/3 页 3 CN 115134163 A 3