工业互联网异构标识解析体系互信互认方法及系统与流程

1.本发明涉及标识解析体系兼容技术领域，特别是涉及一种工业互联网异构标识解析体系互信互认方法及系统。


背景技术：

2.目前，工业互联网应用场景复杂，被标识对象形式多样、数量庞大，多套标识编码体系共存，存在不同标识编码体系相互竞争、标识编码结构混乱、标识编码规则不统一、标识寻址冲突等问题，造成工业行业“信息孤岛”问题严重，影响供应链、产业链上的数据交换和信息共享。仅依靠某一种标识编码系统取代现有多种标识编码系统并存的现状，代价大且技术上难以实现，故工业互联网多种异构标识解析体系互信互认是现有工业互联网异构标识解析体系兼容的主要研究方向。
3.当前针对工业互联网异构标识解析体系的兼容性研究主要集中在编码层面，实现异构标识解析体系的互联互通和互查询，但未考虑异构标识解析体系互联互通过程中节点和用户身份认证的问题，容易被第三方利用方案漏洞发起标识解析节点伪造、用户身份伪造、标识对象数据伪造等攻击，进而造成标识解析结果被泄露、被篡改、被伪造的问题，影响工业互联网标识解析系统的安全运行。
4.基于此，亟需一种工业互联网异构标识解析体系互信互认方法及系统。


技术实现要素：

5.本发明的目的是提供一种工业互联网异构标识解析体系互信互认方法及系统，能够在实现采用不同编码结构的标识解析体系互联互通的基础上，完成异构标识解析体系的互信互认和安全互查询。
6.为实现上述目的，本发明提供了如下方案：
7.一种工业互联网异构标识解析体系互信互认方法，应用于多种标识解析系统与异构标识解析体系互信互认系统的交互过程中，所述异构标识解析体系互信互认方法包括：
8.第一类标识解析系统中的任一第一类标识解析节点响应用户提交的第二类标识的查询请求，向所述异构标识解析体系互信互认系统发起通信请求，同时进行所述第一类标识解析节点和所述异构标识解析体系互信互认系统之间的双向身份认证，并在认证通过后，建立第一加密信道；所述查询请求中包括所述用户的身份证书；
9.所述第一类标识解析节点通过所述第一加密信道将所述查询请求转发至所述异构标识解析体系互信互认系统；
10.所述异构标识解析体系互信互认系统对所述用户的身份证书进行认证，并在认证通过后，在第二类标识解析系统中代为查询，得到存储有所述第二类标识的数据查询结果的目标标识解析节点的地址，并将所述地址返回给所述第一类标识解析节点，将所述查询请求转发至所述目标标识解析节点；所述目标标识解析节点为第二类标识解析节点；
11.所述第一类标识解析节点根据所述地址向所述目标标识解析节点发起通信请求，
同时进行所述第一类标识解析节点和所述目标标识解析节点之间的双向身份认证，并在认证通过后，建立第二加密信道；
12.所述目标标识解析节点对所述用户的访问权限进行验证，并在验证通过后，将对所述第二类标识进行解析所得到的数据查询结果通过所述第二加密信道传输至所述第一类标识解析节点；
13.所述第一类标识解析节点将所述数据查询结果返回给所述用户。
14.一种工业互联网异构标识解析体系互信互认系统，所述异构标识解析体系互信互认系统包括多个分布式部署的互信互认系统代理组件；
15.所述异构标识解析体系互信互认系统与多种标识解析系统交互连接；每一种所述标识解析系统包括若干个标识解析节点；所述互信互认系统代理组件与所述标识解析节点一一对应，部署于所述标识解析节点的后端；所述标识解析节点通过所述互信互认系统代理组件与所述异构标识解析体系互信互认系统交互连接；
16.所述异构标识解析体系互信互认系统和多种所述标识解析系统按照上述的异构标识解析体系互信互认方法进行交互。
17.根据本发明提供的具体实施例，本发明公开了以下技术效果：
18.本发明用于提供一种工业互联网异构标识解析体系互信互认方法及系统，应用于多种标识解析系统与异构标识解析体系互信互认系统的交互过程中，第一类标识解析节点响应用户提交的第二类标识的查询请求，向异构标识解析体系互信互认系统发起通信请求，进行双向身份认证，并在认证通过后，建立第一加密信道，通过第一加密信道将查询请求转发至异构标识解析体系互信互认系统。异构标识解析体系互信互认系统对用户的身份证书进行认证，并在认证通过后，在第二类标识解析系统中代为查询，得到目标标识解析节点的地址，将该地址返回给第一类标识解析节点，并将查询请求转发至目标标识解析节点。第一类标识解析节点根据地址向目标标识解析节点发起通信请求，进行双向身份认证，并在认证通过后，建立第二加密信道，目标标识解析节点对用户的访问权限进行验证，并在验证通过后，将对第二类标识进行解析所得到的数据查询结果通过第二加密信道传输至第一类标识解析节点，第一类标识解析节点将数据查询结果返回给用户，从而能在跨异构标识解析体系查询标识对象数据时对涉及的节点及用户进行身份认证，防止查询过程中可能出现的节点伪造、标识对象数据伪造等攻击，解决标识解析结果被泄露、被伪造、被篡改的问题。
附图说明
19.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1为本发明实施例1所提供的异构标识解析体系互信互认方法的方法框图；
21.图2为本发明实施例1所提供的异构标识解析体系互信互认方法的流程图；
22.图3为本发明实施例2所提供的异构标识解析体系互信互认系统的系统架构图；
23.图4为本发明实施例2所提供的异构标识解析体系所涉及的各类标识解析节点及
用户的示意图。
具体实施方式
24.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.本发明的目的是提供一种工业互联网异构标识解析体系互信互认方法及系统，在实现采用不同编码结构的标识解析体系如handle、oid、ecode、gs1及各类企业私有标识等互联互通的基础上，完成异构标识解析体系的互信互认和安全互查询。
26.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
27.实施例1：
28.工业互联网标识编码技术对物理实体或虚拟资源赋予唯一标识，人类和机器可对标识进行识读，并将其解析为信息。工业互联网标识将人、机、物等资源联通起来，通过联网对象(实体对象或虚拟对象)之间的协作交互，实现工业全要素、全产业链、全价值链的互联互通，有效提高工业生产效率。
29.工业互联网标识包括两种主流的编码方案，一种是层级式的结构化标识编码方案，这种标识编码方案有利于实现标识编码的分级查询和管理；另一种是扁平化的随机数形式的标识编码方案，这种标识编码方案具有去中心化特性，在网络攻击和防御方面具有良好的表现。目前应用的工业互联网标识解析系统主要包括handle、oid、ecode及各类企业私有标识等。handle系统是一套由国际dona基金会组织运行和管理的全球分布式管理系统，handle标识是由前缀和后缀组成的全球唯一两段式id，前缀是全球唯一的标识符，后缀由用户自定义，handle系统采用分级解析模式，全球handle注册机构提供前缀查询，本地handle服务提供后缀查询。oid是由iso/iec、itu共同提出的标识机制，用于对任何类型的对象、概念或事物进行全球统一命名，采用分层、树状编码结构，每个层级的长度没有限制，层数也没有限制，工业互联网领域的oid标识注册机构节点值为1.2.156.3001，下一级节点编码由所属企业指定，具体编码由应用企业制定，由长度不定的字符串组成。ecode是由中国物品编码中心制定的一种标识体系，规定了适用于物联网各种对象、可实现一物一码的编码规则，由三大体系构成，包括编码体系、载体体系和数据交换体系，可以对物品供应链全生命周期的各类数据信息进行标识，通过统一的ecode标识编码，企业之间可以有效地进行供应链信息共享和交换，实现高效率、低成本的物流仓储管理和产品追溯。gs1系统以全球贸易项目代码gtin为基础，根据应用对象的不同，与应用标识符组合形成不同编码，存储于特定的标识载体中，gs1系统为在全球范围内标识货物、服务、资产和位置提供了准确的编码，这些编码能以条码符号来表示，以便进行商务流程所需的电子识读。
30.目前，实现工业互联网标识解析系统的互联互通所用的方法包括：(1)提出一种工业互联网标识解析系统的多体系异构标识兼容方法，该方法包括：获取标识信息，并确定标识信息的标识编码结构；根据标识编码结构进行初步识别，以得到标识信息的第一识别结果；根据第一识别结果选取与第一识别结果对应的标识解析体系，并获取标识解析体系对
应的编码树状图，其中，标识解析体系下具有唯一的编码树状图；根据编码树状图对标识信息进行分段识别，若识别正确，得到第二识别结果；将标识信息转发至与第二识别结果对应的解析系统进行解析，以输出标识信息的解析结果。上述方法采用分布式架构，能在实现对等解析、保证一定安全性的情况下提供高效的解析服务。(2)提出一种物联网异构标识解析方法，该方法为物联网异构标识的解析协议提供了专门的描述机制，不仅可以形成异构标识对应的异构标识编码规则，还可以相应形成对应的异构标识解析协议规则，并将上述规则与对应的物联网异构标识进行注册绑定。通过与物联网异构标识对应的标准识别码的物联网解析查询能够获得绑定的异构标识编码规则和异构标识解析协议规则，进而能够将物联网异构标识转换成为含有编码规则及解析协议规则的物联网统一兼容标识，进而通过解读其中的规则信息，采用对应的解析协议向对应的解析服务器发起正确的物联网标识解析查询。上述方法能够实现对于各种基于不同编码规则以及不同解析协议的物联网异构标识解析通用查询。
31.但上述两种方法针对工业互联网、物联网异构标识解析体系进行兼容性研究时，主要集中在编码层面，基本思路是提出一种新的标识编码规则或选择一种已有的标识编码规则作为统一标识编码规则，通过编码转换机制将异构标识编码转换为统一标识编码，通过分段式解析机制解读标识信息，进而采用对应标识解析协议实现标识查询，输出标识信息的解析结果，虽然可以在一定程度上解决工业互联网跨异构标识解析体系查询标识对象数据的问题，但未考虑异构标识解析体系互联互通和查询过程中节点身份认证、用户身份认证的问题，易被第三方利用方案漏洞发起标识节点伪造攻击、用户身份伪造攻击、标识对象数据伪造攻击等，造成标识解析结果被泄露、被伪造、被篡改的问题，影响工业互联网标识解析系统安全运行。
32.针对上述问题，本实施例用于提供一种工业互联网异构标识解析体系互信互认方法，应用于多种标识解析系统与异构标识解析体系互信互认系统的交互过程中，能对异构标识解析体系通信过程中涉及的节点和用户进行身份认证和权限验证，如图1所示，所述异构标识解析体系互信互认方法包括：
33.s1：第一类标识解析系统中的任一第一类标识解析节点响应用户提交的第二类标识的查询请求，向所述异构标识解析体系互信互认系统发起通信请求，同时进行所述第一类标识解析节点和所述异构标识解析体系互信互认系统之间的双向身份认证，并在认证通过后，建立第一加密信道；所述查询请求中包括所述用户的身份证书；
34.本实施例的标识解析系统包括handle、oid、ecode及各类企业私有标识等，第一类标识解析系统和第二类标识解析系统为不同的标识解析系统，每一种标识解析系统均包括若干个标识解析节点，每一标识解析节点都可以支持完成对该类标识解析系统对应的标识进行解析的功能，即每一个第一类标识解析节点可以与其它第一类标识解析节点相互配合，共同完成对第一类标识的解析，获取第一类标识的数据查询结果的功能。
35.在s1之前，本实施例的异构标识解析体系互信互认方法还包括：第一类标识解析节点、第二类标识解析节点和用户向异构标识解析体系互信互认系统提交注册信息，得到身份证书，用户在异构标识解析体系互信互认系统进行注册时，异构标识解析体系互信互认系统根据用户提交的注册信息生成身份证书，并将身份证书分发给用户，用户需要提交的注册信息一般为身份信息，该身份信息支持自定义，一般包含但不限于用户名称、手机号
和所在单位等信息。即异构标识解析体系各个标识解析节点和用户可以在异构标识解析体系互信互认系统提交注册信息，获得身份证书，以利用获得的身份证书完成交互过程中的认证过程。
36.具体的，s1中，用户在工业互联网第一类标识解析系统上提交第二类标识的查询请求，查询请求中包含用户的身份证书，则第一类标识解析系统的任一第一类标识解析节点可以响应此查询请求。或者，用户可直接在第一类标识解析系统所包含的任一个第一类标识解析节点处提交第二类标识的查询请求，接收到查询请求的第一类标识解析节点响应此查询请求。
37.第一类标识解析节点响应用户提交的查询请求后，向异构标识解析体系互信互认系统发起通信请求，进行双向身份认证，认证通过后，建立第一加密信道，通过第一加密信道转发用户的查询请求到异构标识解析体系互信互认系统；认证不通过时，第一类标识解析节点和异构标识解析体系互信互认系统都将收到认证失败的告警信息，终止连接。
38.其中，进行第一类标识解析节点和异构标识解析体系互信互认系统之间的双向身份认证，并在认证通过后，建立第一加密信道可以包括：第一类标识解析节点从异构标识解析体系互信互认系统中下载异构标识解析体系互信互认系统的身份证书，对异构标识解析体系互信互认系统的身份证书进行认证，并在认证通过后将自身的身份证书上传到异构标识解析体系互信互认系统；异构标识解析体系互信互认系统对第一类标识解析节点的身份证书进行认证，认证证书的真实性和有效性，认证通过后，建立第一加密信道。
39.s2：所述第一类标识解析节点通过所述第一加密信道将所述查询请求转发至所述异构标识解析体系互信互认系统；
40.s3：所述异构标识解析体系互信互认系统对所述用户的身份证书进行认证，并在认证通过后，在第二类标识解析系统中代为查询，得到存储有所述第二类标识的数据查询结果的目标标识解析节点的地址，并将所述地址返回给所述第一类标识解析节点，将所述查询请求转发至所述目标标识解析节点；所述目标标识解析节点为第二类标识解析节点；
41.具体的，异构标识解析体系互信互认系统对用户的身份证书进行认证，认证证书的真实性和有效性，认证通过后，在第二类标识解析系统中代为查询，得到目标标识解析节点的地址，将地址返回给第一类标识解析节点，并将查询请求转发至目标标识解析节点；认证不通过时，异构标识解析体系互信互认系统向第一类标识解析节点返回用户身份验证失败的告警信息，并终止连接。
42.更为具体的，异构标识解析体系互信互认系统在第二类标识解析系统中代为查询的过程用到了递归解析节点或根节点，如果第二类标识解析系统中有递归解析节点，则优先返回递归解析节点的地址；如果无递归解析节点，则优先返回根节点地址。递归解析节点(或根节点)提供标识解析查询的入口，用户通过向递归解析节点(或根节点)提交标识查询请求进行解析，如果递归解析节点(或根节点)已有标识信息缓存，则直接返回标识解析信息，如果没有缓存信息，则需要依次到根节点(由根节点作为查询入口时，以顶级、二级、企业的顺序查询)、顶级节点、二级节点、企业节点请求存储标识对象数据，再返回给用户。
43.异构标识解析体系互信互认系统在第二类标识解析系统中代为查询，得到存储相应标识对象数据的目标标识解析节点的地址的过程如下：异构标识解析体系互信互认系统的查询组件向第二类标识解析系统的递归解析节点(当第二类标识解析系统不存在递归解
析节点时，就向第二类标识解析系统的根节点)提交第二类标识查询请求，递归解析节点(或者根节点)根据第二类标识寻址到第二类标识解析系统中存储相应标识对象数据的目标标识解析节点地址，将该地址返回给异构标识解析体系互信互认系统的查询组件。本实施例所述的标识对象数据即指标识的数据查询结果。
44.用户在申请查询标识对象数据时，通过在异构标识解析体系互信互认系统进行身份认证，能保证用户身份的真实性，实现标识对象数据查询的不可抵赖性。
45.s4：所述第一类标识解析节点根据所述地址向所述目标标识解析节点发起通信请求，同时进行所述第一类标识解析节点和所述目标标识解析节点之间的双向身份认证，并在认证通过后，建立第二加密信道；
46.具体的，第一类标识解析节点向目标标识解析节点发起通信请求，进行双向身份认证，认证通过后，建立第二加密信道；认证不通过时，第一类标识解析节点、目标标识解析节点及异构标识解析体系互信互认系统都将收到认证失败的告警信息，终止连接。
47.其中，双向身份认证的方式为：第一类标识解析节点对目标标识解析节点的身份证书进行认证，目标标识解析节点对第一类标识解析节点的身份证书进行认证，两次认证都通过之后，建立第二加密信道，进行第一类标识解析节点和目标标识解析节点之间的通信。
48.不同类型标识解析节点在通信时，通过双向身份认证，建立加密传输信道，能保证网络传输数据的机密性、完整性和可用性，实现节点间数据的安全传输。
49.s5：所述目标标识解析节点对所述用户的访问权限进行验证，并在验证通过后，将对所述第二类标识进行解析所得到的数据查询结果通过所述第二加密信道传输至所述第一类标识解析节点；
50.针对用户提交的第二类标识的查询请求，目标标识解析节点对用户是否具备查询第二类标识对象数据内容的访问权限进行验证，验证通过后，通过第二加密信道返回第二类标识的数据查询结果给第一类标识解析节点，并向异构标识解析体系互信互认系统返回第二类标识查询成功的通知信息，终止连接；验证不通过时，第一类标识解析节点及异构标识解析体系互信互认系统都将收到权限验证失败的告警信息，终止连接。
51.具体的，查询请求首先被转发到第二类标识解析系统中的递归解析节点或根节点，然后寻址到存储标识对象数据的目标标识解析节点，目标标识解析节点才能对用户访问权限进行验证，并在验证通过后，给出数据查询结果，返回给第一类标识解析节点。
52.通过在标识解析节点进行标识对象数据访问权限验证，能保证只有具备合法权限的用户能访问标识对象数据，实现标识对象数据的细粒度访问控制。
53.s6：所述第一类标识解析节点将所述数据查询结果返回给所述用户。
54.本实施例所提出的一种工业互联网异构标识解析体系互信互认方法，能在跨异构标识解析体系查询标识对象数据时对涉及的节点及用户进行身份认证，防止查询过程中可能出现的节点伪造、标识对象数据伪造等攻击，解决标识解析结果被泄露、被伪造、被篡改的问题。
55.作为一种可选的实施方式，在进行身份认证时，所用的认证方法可以为国际通用密码算法或国产商用密码算法，其中，国际通用密码算法包括rsa、aes、3des、sha-256等，国产商用密码算法包括sm2、sm3、sm4、sm9、zuc等。
56.需要说明的是，如果用户在工业互联网第一类标识解析系统上提交第一类标识的查询请求，则第一类标识解析系统将按照原有标识解析路径和规则解析标识结果，并返回给用户，并不需要经过后续与异构标识解析体系互信互认系统的交互过程。
57.具体的，异构标识解析体系互信互认系统可以包括多个互信互认系统代理组件，且互信互认系统代理组件部署在异构标识解析体系不同标识解析节点的后端，与标识解析节点建立一一对应的绑定关系，协助实现节点互信互认和异构标识互查询功能。基于此，本实施例提出一种工业互联网异构标识解析体系互信互认方法，涉及一种异构标识解析体系互信互认系统及部署在异构标识解析节点的互信互认系统代理组件，能对异构标识解析体系通信过程中涉及的节点和用户进行身份认证和权限验证，如图2所示，异构标识解析体系互信互认方法可以进一步包括：
58.(1)工业互联网异构标识解析体系的各类标识解析节点和用户在异构标识解析体系互信互认系统提交注册信息，获得身份证书。
59.(2)将互信互认系统代理组件部署在不同标识解析节点的后端，与标识解析节点及相应标识解析系统建立一一对应的绑定关系，协助实现节点互信互认和异构标识互查询功能。
60.(3)用户a在工业互联网第一类标识解析系统提交第二类标识c的查询请求，查询请求中包含用户a的身份证书。具体的，第一类标识解析系统可以包含多个第一类标识解析节点，可以在任何一个部署有互信互认系统代理组件的第一类标识解析节点处提交第二类标识c的查询请求。
61.(4)第一类标识解析节点b响应用户a的查询请求后，第一类标识解析节点b的互信互认系统代理组件向异构标识解析体系互信互认系统发起通信请求，同时进行第一类标识解析节点b和异构标识解析体系互信互认系统间的双向身份认证。
62.第一类标识解析节点b的互信互认系统代理组件与异构标识解析体系互信互认系统的双向身份认证过程如下：第一类标识解析节点b的互信互认系统代理组件从系统端下载异构标识解析体系互信互认系统的身份证书进行认证，认证通过后将第一类标识解析节点b的身份证书上传到系统端进行验证，等双方验证通过后，开始建立安全通信通道以进行数据传输。
63.(5)认证通过时，第一类标识解析节点b与异构标识解析体系互信互认系统之间建立加密信道，通过该加密信道转发用户a的第二类标识c的查询请求到异构标识解析体系互信互认系统；认证不通过时，向第一类标识解析节点b的互信互认系统代理组件和异构标识解析体系互信互认系统返回认证失败的告警信息，终止连接。
64.(6)异构标识解析体系互信互认系统接收到用户a的第二类标识c的查询请求后，对用户a进行身份认证。
65.(7)认证通过时，异构标识解析体系互信互认系统在第二类标识解析系统中代为查询到存储第二类标识c的数据查询结果的目标标识解析节点d的地址，将该地址返回给第一类标识解析节点b，并向目标标识解析节点d转发用户a的第二类标识c的查询请求；认证不通过时，异构标识解析体系互信互认系统向第一类标识解析节点b返回用户a身份验证失败的告警信息，并终止连接。目标标识解析节点d为一个第二类标识解析节点。
66.(8)第一类标识解析节点b的互信互认系统代理组件向目标标识解析节点d发起通
信请求，目标标识解析节点d和第一类标识解析节点b的互信互认系统代理组件进行双向身份认证。
67.(9)认证通过时，目标标识解析节点d和第一类标识解析节点b之间建立加密信道；认证不通过时，向目标标识解析节点d和第一类标识解析节点b的互信互认系统代理组件及异构标识解析体系互信互认系统返回认证失败的告警信息，终止连接。
68.(10)针对第二类标识c的查询请求，目标标识解析节点d对用户a是否具备查询第二类标识c数据内容的访问权限进行验证。
69.(11)验证通过后，目标标识解析节点d返回第二类标识c的数据查询结果给第一类标识解析节点b，并向异构标识解析体系互信互认系统返回第二类标识c查询成功的通知信息，终止连接；验证不通过时，向第一类标识解析节点b的互信互认系统代理组件及异构标识解析体系互信互认系统返回权限验证失败的告警信息，终止连接。
70.(12)第一类标识解析节点b将第二类标识c的查询结果返回给用户a。
71.(13)终止连接。
72.实施例2：
73.本实施例用于提供一种工业互联网异构标识解析体系互信互认系统，如图3所示，所述异构标识解析体系互信互认系统包括多个互信互认系统代理组件。
74.异构标识解析体系互信互认系统与多种标识解析系统交互连接，每一种标识解析系统包括若干个标识解析节点，互信互认系统代理组件与标识解析节点一一对应，部署于标识解析节点的后端，标识解析节点的类型包括但不限于handle、oid、ecode、gs1及其它各种私有标识解析节点等，标识解析节点通过互信互认系统代理组件与异构标识解析体系互信互认系统交互连接。互信互认系统代理组件与标识解析节点具有一对一的绑定关系，负责协助所在标识解析节点的标识解析系统与异构标识解析体系互信互认系统各组件通信，完成标识解析系统的互联互通、互信互认和互查询功能。
75.异构标识解析体系互信互认系统和多种标识解析系统按照实施例1所述的异构标识解析体系互信互认方法进行交互。
76.本实施例的异构标识解析体系互信互认系统除包括部署在异构工业互联网标识解析体系中各标识解析节点的后端处的互信互认系统代理组件外，还包括证书管理组件、证书认证组件和标识查询组件，证书管理组件、证书认证组件和标识查询组件均部署在系统侧。
77.证书管理组件负责向异构工业互联网标识解析体系中各标识解析节点及用户提供证书注册、证书发放、证书存储、证书更新、证书销毁等管理功能。具体的，证书管理组件包括证书注册模块、证书发放模块、证书存储模块、证书更新模块和证书销毁模块。
78.证书注册模块用于在各标识解析节点或用户向异构标识解析体系互信互认系统提交注册信息时，对标识解析节点或用户提交的注册信息进行审核，并在审核通过后，通知证书发放模块。其中，标识解析节点需要提交的注册信息支持系统自定义，一般包括但不限于节点名称、节点类型、节点所在地理位置、节点运营机构名称、节点上线时间和节点访问地址等信息，节点类型包括国际根节点、国家顶级节点、递归解析节点、二级节点或企业节点，且标识解析节点提交的注册信息需要给出节点运营机构出具的节点信息真实性和正确性承诺函，带节点运营机构的公章和法人签字。用户需要提交的注册信息支持系统自定义，
一般包括但不限于用户名称、手机号、所在单位和角色信息等，角色包括节点运营者、节点数据维护者、标识查询者、系统运营者或其它按需新增的角色，且用户提交的注册信息需要用户给出信息真实性和正确性承诺函，带用户签字。证书注册模块对用户或标识解析节点所提交的注册信息的完整性、正确性、真实性等进行审核，其中，标识解析节点所提交的注册信息的正确性和真实性可以向标识解析节点注册机构调取信息进行确认。
79.证书发放模块用于在审核通过后，根据标识解析节点或用户的注册信息制作身份证书，并将身份证书发放给标识解析节点或者用户。其中，身份证书包括但不限于以下信息：证书的版本信息；证书的序列号，每个证书均有且只有一个证书序列号；证书用的签名算法；异构标识解析体系互信互认系统的名称，命名规则通常采用x.500格式；证书的有效期，通常采用utc时间格式标示证书有效期；证书所有人名称，命名规则通常采用x.500格式；证书所有人的公开密钥；异构标识解析体系互信互认系统对证书的签名。
80.证书存储模块用于对证书发放模块制作的身份证书进行安全存储。
81.当标识解析节点或用户的注册信息发生变更时，需要向异构标识解析体系互信互认系统提交注册信息变更申请。证书更新模块用于在标识解析节点或用户的注册信息发生变更时，更新标识解析节点或者用户的身份证书。
82.证书销毁模块用于在标识解析节点或用户退出异构标识解析体系互信互认系统时，销毁标识解析节点或用户的身份证书，使身份证书失效。
83.本实施例的证书认证组件用于在接收到来自各标识解析节点的互信互认系统代理组件发送的证书认证请求时，对标识解析节点的身份证书的有效性进行认证，并返回证书认证结果给相应的互信互认系统代理组件。该功能可以应用于第一类标识解析节点和异构标识解析体系互信互认系统的双向身份认证过程中。证书认证组件还可对用户的身份证书的有效性进行认证。
84.标识查询组件用于在查询请求来源节点和来源用户的身份证书的有效性认证通过后，将查询请求转发到目标标识解析系统。即标识查询组件负责接收来自第一类标识解析节点的互信互认系统代理组件提交的用户对第二类标识的查询请求，并在对第一类标识解析节点和用户的身份证书的有效性认证通过后，代为在第二类标识解析系统中查询到存储相应标识对象数据的目标标识解析节点的地址，将该地址返回给第一类标识解析节点，并将该查询请求转发到目标标识解析节点。
85.如图4所示，本实施例所指的异构标识解析体系中，涉及的系统包括多种异构标识解析系统和异构标识解析体系互信互认系统，异构标识解析体系互信互认系统为不同架构的标识解析系统提供服务，标识解析系统包括但不限于handle、oid、ecode、gs1、其它私有标识系统等，如果还有其它结构的标识解析系统，只要接入到本异构标识解析体系互信互认系统中，也是适用的。
86.本实施例所指的异构标识解析体系中，涉及的节点包括不同类型标识解析系统中不同层级的标识解析节点，第一类标识解析节点和第二类标识解析节点分别代表两种属于不同标识解析体系的标识解析节点。涉及的用户包括系统运营者、节点运营者、节点数据所有者和标识查询者等。各类标识解析节点在异构标识解析体系互信互认系统中进行节点身份注册，获得节点身份证书；系统运营者、节点运营者、节点数据所有者和标识查询者在异构标识解析体系互信互认系统中进行用户身份注册，获得用户身份证书。
87.本实施例的用户包括系统运营者、节点运营者、节点数据所有者和标识查询者。系统运营者负责异构标识解析体系互信互认系统的运行、管理和维护；节点运营者负责标识解析节点的运行、管理和维护；节点数据所有者负责标识解析节点上标识对象数据的生成、存储、更新、共享和访问权限控制，通过在标识解析节点上设置可访问标识对象数据的用户范围，实现对用户查询标识对象数据的权限控制，实施例1所指的目标标识解析节点对用户是否具备查询第二类标识对象数据内容的访问权限进行验证即指判断用户是否属于节点数据所有者为该目标标识解析节点所设置的用户范围内，节点数据所有者在维护标识对象数据时，通过在节点上设置可访问标识对象数据的用户范围，能对标识对象数据访问权限进行控制，达到标识对象数据按权限访问，避免泄露敏感标识信息；标识查询者是异构标识解析体系互信互认系统的主要使用者，用于在第一类标识解析节点上提交第二类标识的查询请求，并期望返回正确的第二类标识的数据查询结果。
88.异构标识解析体系互信互认系统及部署在各标识解析节点的互信互认系统代理组件负责实现异构标识解析体系互信互认系统与标识解析节点之间、各标识解析节点之间通信时的双向身份认证，以保障通信双方的真实性；异构标识解析体系互信互认系统负责实现用户身份认证，以保障请求查询标识的用户身份的真实性；各类标识解析节点负责验证用户对标识对象数据的访问控制权限，以保障只有具备合法权限的用户能访问标识对象数据。其中，异构标识解析体系互信互认系统及互信互认系统代理组件在各标识解析节点及用户通信过程中，提供的认证功能既支持rsa、aes、3des、sha-256等国际通用密码算法，也支持sm2、sm3、sm4、sm9、zuc等国产商用密码算法。
89.本实施例所提出的一种工业互联网异构标识解析体系互信互认系统，为异构标识解析体系中各类标识解析节点和用户提供证书申请、证书分发和证书认证服务，异构标识解析体系中各类标识解析节点和用户接入异构标识解析体系互信互认系统后，能够在不转换异构标识编码、不改变异构标识解析体系原有标识解析流程的前提下，透明的实现异构标识解析体系互联互通、标识查询过程中的互认互信，有效提升了异构标识解析体系兼容时安全认证能力。
90.基于本实施例的异构标识解析体系互信互认系统和实施例1所述的异构标识解析体系互信互认方法，在此给出工业互联网标识异构标识解析体系互信互认方法的一个示例。
91.(1)用户a在企业标识解析系统提交一个handle标识符c的查询请求，请求中包含用户a的身份证书。
92.(2)企业私有节点b响应用户a的查询请求后，企业私有节点b的互信互认系统代理组件向异构标识解析体系互信互认系统发起通信请求，进行企业私有节点b和异构标识解析体系互信互认系统间的双向身份认证。
93.(3)认证通过时，企业私有节点b与异构标识解析体系互信互认系统建立加密信道，转发用户a的handle标识符c的查询请求到异构标识解析体系互信互认系统；认证不通过时，向企业私有节点b的互信互认系统代理组件和异构标识解析体系互信互认系统返回认证失败的告警信息，终止连接。
94.(4)异构标识解析体系互信互认系统对用户a进行身份认证。
95.(5)认证通过时，异构标识解析体系互信互认系统在handle标识解析体系中代为
查询，一般为通过handle递归解析节点、handle根节点、handle顶级节点、handle二级节点逐级查询的方式，确定存储有handle标识符c数据的handle企业节点d的地址，向企业私有节点b转发handle企业节点d的地址，并向handle企业节点d转发用户a的handle标识符c的查询请求；认证不通过时，异构标识解析体系互信互认系统向企业私有节点b返回用户a身份验证失败的告警信息，并终止连接。
96.(6)企业私有节点b的互信互认系统代理组件向handle企业节点d发起通信请求，企业私有节点b和handle企业节点d的互信互认系统代理组件进行双向身份认证。
97.(7)认证通过时，handle企业节点d和企业私有节点b建立加密信道；认证不通过时，向handle企业节点d和企业私有节点b的互信互认系统代理组件及异构标识解析体系互信互认系统返回认证失败的告警信息，终止连接。
98.(8)针对handle标识符c的查询请求，handle企业节点d对用户a是否具备查询handle标识符c数据内容的访问权限进行验证。
99.(9)验证通过后，handle企业节点d返回handle标识符c的数据查询结果给企业私有节点b，并向异构标识解析体系互信互认系统返回handle标识符c查询成功的通知信息；验证不通过时，向企业私有节点b的互信互认系统代理组件及异构标识解析体系互信互认系统返回权限验证失败的告警信息。
100.(10)企业私有节点b将handle标识符c的数据查询结果返回给用户a。
101.(11)终止连接。
102.本实施例的异构标识解析体系互信互认系统能在企业侧仅建设某类型标识解析体系中标识解析节点的情况下，通过将企业侧节点接入到该异构标识解析体系互信互认系统，就能实现企业侧节点与其它工业互联网异构标识解析节点的安全互联互通，支持用户在任何类型的标识解析节点处提交本类型或其它架构标识解析节点的标识查询请求，实现查询过程中对节点、用户的身份认证和标识对象数据的细粒度访问控制，实现跨异构标识解析体系标识的安全查询。
103.本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。