公钥基础设施（Public Key Infrastructure,PKI）技术是网络空间中的一种通用部署,通过维护数字证书的方式来确定实体身份的惟一性、真实性和合法性。众所周知,传统PKI系统都会形成一个封闭的安全域,并且仅认可本域内签发的证书。但是,当用户需要跨域访问其他安全域的服务时,其身份通常无法被识别,或者需要认证系统进行极其复杂的操作才能验证跨域者的身份,这就是跨域身份认证难题。特别是在5G通信、金融、征信、物联网、医疗等行业场景下均存在对跨域的需求。由此可见,建设跨域身份认证信任服务体系,构建跨域身份认证信任服务平台迫在眉睫。目前,解决跨域认证的传统方式包括依赖可信第三方、桥接、交叉认证等,但上述方式由于过度中心化,都普遍存在单点失效的问题。区块链的分布式共识功能为解决该问题提供了一种技术途径。然而,目前基于区块链的跨域认证方案仍存在一些挑战性问题。一方面,由于区块链系统的吞吐量较低,当面对海量跨域身份认证请求时,系统的响应速度无法满足实际需求;另一方面,基于区块链的解决方案没有充分考虑数据层面和认证过程中的隐私泄露问题,采用直接记录身份和用户操作的方式,对跨域用户的身份隐私和行为隐私造成威胁。为解决传统体系下的跨域认证难题,本文提出了一种存储与控制分离的跨域身份认证架构,该架构基于星际文件系统和区块链技术构造了一个去中心化的跨域身份认证模型,并且同时兼容现有的PKI体系和证书透明度机制。针对基于区块链的方案中存在的挑战性问题,一方面本文提出了高效的跨域数据管理方案,通过多默克尔哈希树存储模式和轻量级正确性验证协议,实现了海量身份认证请求下的快速响应;另一方面,为了保护用户的隐私,本文提出了跨域匿名身份认证方案,设计了基于零知识证明和假名技术的跨域匿名身份认证协议,优化跨域认证流程,实现对跨域用户的隐私保护。最后,本文对跨域认证架构进行了安全性分析,并编码实现了原型系统。通过对系统的性能试验和对比分析表明,本文所提出的跨域身份认证架构响应速度更快,安全和隐私保护更强,实用性更高。