(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210824359.5 (22)申请日 2022.07.14 (71)申请人 北京泰尔英福科技有限公司 地址 101399 北京市顺 义区中关村科技园 区顺义园机场东路8号 (72)发明人 李龙　刘东坡　杨树梅　张发振　 柳京晖　李慧玲　武莹　胡键伟　 马晨光　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 杨丹　郝博 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 基于工业互联网标识解析的可信服务定位 方法及系统 (57)摘要 本发明公开了一种基于工业互联网标识解 析的可信服务定位方法及系统， 其中该方法包 括： 客户端在收到服务访问请求时， 向顶级节点 发送获取二级节点服务的站点信息的请求； 顶级 节点将二级节 点服务站点信息发送至客户端； 客 户端使用根证书对二级节点服务的站点信息进 行可信验签， 向二级节点发送获取 企业节点服务 的站点信息的请求； 二级节点将企业节点服务的 站点信息发送至客户端； 客户端使用中间证书对 企业节点服务的站点信息进行可信验签， 向企业 节点发送 服务访问标识信息的请求； 企业节点解 析得到服务访问的工业互联网标识发送至客户 端； 客户端根据该标识访问服务。 本发明可以基 于工业互联网标识解析体系实现公钥基础设施， 保证可信的服 务访问。 权利要求书2页 说明书16页 附图11页 CN 115208580 A 2022.10.18 CN 115208580 A 1.一种基于工业互联网标识解析的可信服务定位方法， 其特征在于， 工业互联网标识 解析体系为包括至少三层节点的分布式架构， 三层节点包括顶级节点、 二级节点和企业节 点， 顶级节点预先配置了二级节点服务的站点信息， 二级节点预先配置了企业节点服务的 站点信息； 所述二级节点服务的站点信息使用预先配置的根证书签名， 所述根证书为客户 端根据预设信任仓库生成， 所述 企业节点服务的站 点信息使用根据所述根证书预先配置分 发的中间证书 进行可信签名； 所述基于 工业互联网标识解析的服 务定位方法包括： 客户端在接收到服务访问请求 时， 向顶级节点发送获取二级节点服务的站点信 息的请 求； 顶级节点根据获取二级节点服务的站点信 息的请求， 将二级节点服务的站点信 息发送 至客户端； 客户端使用所述根证书对二级节点服务的站点信 息进行可信验签处理， 向二级节点发 送获取企业节点 服务的站点信息的请求； 二级节点根据获取企业节点服务的站点信 息的请求， 将 企业节点服务的站点信 息发送 至客户端； 客户端使用所述中间证书对企业节点服务的站点信 息进行可信验签处理， 向企业节点 发送服务访问的标识信息的请求； 企业节点根据服务访 问的标识信息的请求， 解析得到服务访 问的工业互联网标识， 将 工业互联网标识发送至客户端； 所述工业互联网标识下包括多个数据值， 每一个数据值包 括数据值的索引， 数据类型及数据值对应的实际数据， 数据值包括用户身份标识 值， 用户身 份标识值包括用户公钥索引、 预设字符和工业互联网标识； 客户端根据所述工业互联网标识处 理所述服务访问请求。 2.如权利要求1所述的基于工业互联网标识解析的可信服务定位方法， 其特征在于， 所 述数据值还包括： 证书标识值； 证书的格式为JWT格式， 证书中的负载是一个JSON类型的数 据， 负载包 含证书的声明， 证书的声明元 素包括： 用户公钥、 主体、 签发人和签发人签名。 3.如权利要求1所述的基于工业互联网标识解析的可信服务定位方法， 其特征在于， 所 述数据值还包括： 标识签名标识 值， 签名密钥为标识用户的私钥； 所述基于工业互联网标识 解析的服 务定位方法还 包括按照如下 方法得到标识签名标识值的签名负载： 对每个索引的数据计算哈希值； 将多个索引与哈希值组合 为一个对象； 把多个索引的对象组成一个数据， 外层记录使用的哈希算法， 得到一个JSON格式的标 识签名标识值的签名负载。 4.如权利要求1所述的基于工业互联网标识解析的可信服务定位方法， 其特征在于， 所 述根证书 具有颁发其它证书的权限， 所述权限是一个数组， 包含多 条数据， 一条数据中的权 限包括四个级别： 所有权限、 派生前缀、 前缀下的标识和指定标识。 5.如权利要求1所述的基于工业互联网标识解析的可信服务定位方法， 其特征在于， 客 户端进行可信验签处理包括： 标识与标识值的哈希是否匹配； 是否在有效期限内； JWT签名 是否合法； 构建的证书链上的证书 是否合法， 是否在有效期内， JWT签名是否正确； 根证书标 识是否符合约定 。 6.如权利要求1所述的基于工业互联网标识解析的可信服务定位方法， 其特征在于， 所权　利　要　求　书 1/2 页 2 CN 115208580 A 2述根证书是自签名证书， 所述中间证书的签发人引用根证书的主体， 所述中间证书的签名 用根证书的用户公钥对应的私钥进行签名。 7.一种基于工业互联网标识解析的可信服务定位系统， 其特征在于， 工业互联网标识 解析体系为包括至少三层节点的分布式架构， 三层节点包括顶级节点、 二级节点和企业节 点， 顶级节点预先配置了二级节点服务的站点信息， 二级节点预先配置了企业节点服务的 站点信息； 所述二级节点服务的站点信息使用预先配置的根证书签名， 所述根证书为客户 端根据预设信任仓库生成， 所述 企业节点服务的站 点信息使用根据所述根证书预先配置分 发的中间证书 进行可信签名； 所述基于 工业互联网标识解析的服 务定位系统包括： 客户端， 用于在接收到服务访 问请求时， 向顶级节点发送获取二级节点服务的站点信 息的请求； 使用所述根证书对二级节点服务的站点信息进行可信验签处理， 向二级节点发 送获取企业节点服务的站点信息的请求； 使用所述中间证书对企业节点服务的站点信息进 行可信验签处理， 向企业节点发送服务访问的标识信息的请求； 根据所述工业互联网标识 处理所述服务访问请求； 顶级节点， 用于根据获取二级节点服务的站点信息的请求， 将二级节点服务的站点信 息发送至客户端； 二级节点， 用于根据获取企业节点服务的站点信息的请求， 将企业节点服务的站点信 息发送至客户端； 企业节点， 用于根据服务访 问的标识信息的请求， 解析得到服务访 问的工业互联网标 识， 将工业互联网标识发送至客户端； 所述工业互联网标识下包括多个数据值， 每一个数据 值包括数据值的索引， 数据类型及数据值对应的实际数据， 数据值包括用户身份标识值， 用 户身份标识值包括用户公钥索引、 预设字符和工业互联网标识。 8.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至6任一所述方 法。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处 理器执行时实现权利要求1至 6任一所述方法。 10.一种计算机程序产品， 其特征在于， 所述计算机程序产品包括计算机程序， 所述计 算机程序被处 理器执行时实现权利要求1至 6任一所述方法。权　利　要　求　书 2/2 页 3 CN 115208580 A 3