CN108684041B

CN108684041B - 登录认证的系统和方法

Info

Publication number: CN108684041B
Application number: CN201810550972.6A
Authority: CN
Inventors: 曹正纲
Original assignee: Shanghai Yiyou Network Technology Co ltd
Current assignee: Shanghai Yiyou Network Technology Co ltd
Priority date: 2018-05-31
Filing date: 2018-05-31
Publication date: 2021-06-11
Anticipated expiration: 2038-05-31
Also published as: CN108684041A

Abstract

本发明提供了一种登录认证的系统和方法，登录端发出登录请求信息，登录请求信息包括用户名；认证端接收登录请求信息，确认登录端是区块链用户后，对登录端发起区块链身份认证；认证端在区块链身份认证通过后，对登录端进行二次认证；认证端获取登录端的用户身份信息，从区块链获取用户身份证明、认证机构公钥；认证端使用用户身份证明、认证机构公钥来校验用户身份信息。由于保存在区块链中的身份证明不可篡改，提高安全性，且降低企业IT维护成本，身份信息校验通过后再做二次认证，大大提高企业级Wi‑Fi安全性。本发明基于用户身份信息的校验，不需要用户输入Wi‑Fi登录密钥，有效阻止Wi‑Fi万能钥匙app盗取行为。

Description

登录认证的系统和方法

技术领域

本发明涉及互联网技术领域，具体地，涉及一种登录认证的系统和方法，尤其是涉及一种基于区块链身份认证的Wi-Fi登录认证方法。

背景技术

随着互联网技术和企业信息化技术的发展，Wi-Fi广泛应用于不同场景下的终端接入，但是由于Wi-Fi安全性能不高，易被安装在终端设备上的Wi-Fi万能钥匙app 窃取密码并向所有人共享密码，一旦Wi-Fi密码被窃取，企业网络将门户大开，黑客可以轻松侵入。

目前企业采用高安全防护的企业网，Wi-Fi安全都采用802.1x+RADIUS认证，每个用户分配唯一的用户名和密码，而且该用户名和密码被本地密保严格保护，Wi-Fi 万能钥匙难以窃取，但是Wi-Fi AP和RADIUS server需要复杂配置，专人维护，运营成本高，中小企业难以负担，Wi-Fi安全也不可能交给第三方维护，否则企业员工信息会被泄露。

如何解决Wi-Fi访问安全性和降低运维成本，一直困扰着中小企业，网络设备制造商和网络服务提供商没有有效办法解决这个难题。

专利文献CN107257340A公开了一种认证方法、基于区块链的认证数据处理方法及设备。在接收用户发送的认证请求后，从区块链网络中获取与身份标识相关联的认证数据，并根据认证数据，对用户的身份进行认证。基于区块链网络的去中心化、不可篡改等特点，预先将不同用户的身份标识与认证数据之间的映射关系存储在区块链网络中的区块链节点中，互联网服务平台在向用户提供业务服务时，可基于区块链网络中存储的认证数据对用户的身份进行认证，提升了身份认证的处理效率；借助区块链网络，能够实现认证数据在不同互联网服务平台之间共享，无需用户每次在新服务平台注册或者登录时提交身份信息，同时能够有效防止身份信息泄漏造成的冒名认证，有效提升身份认证的准确性。

但是，专利文献CN107257340A中所描述的存储在区块链网络中与用户身份表示相关联的认证数据中包括第三方认证机构的认证结果，一般存在多个第三方，比如民政局、公安局、学校、公司等等，第三方认证机构的认证结果为正常或异常，认证通过或者认证不通过，这种认证方式的不足之处在于以下两点：1、用户隐私信息容易被泄露，第三方认证机构将认证的结果直接写到区块链上，存储在公有云中，信息保密性差；2、提供的可验证的身份信息非常有限，简单的身份标识不能满足身份认证需求，例如，有些服务需要验证用户手机号，或者需要验证用户公司名称，所述认证方式无法解决。并且，上述专利文献没有提到二次认证，很容易存在欺骗现象，例如，用其他用户信息做身份认证，但是不能确定认证请求是本人。

专利文献CN106357640A公开了一种基于区块链网络的身份认证方法、系统、服务器及终端设备，用于对区块链网络中的节点进行身份认证。其中方法包括：接收节点发送的携带有用户名的登录请求：根据预先存储的用户名与第一区块链账户地址之间的对应关系，获取与用户名关联的第一区块链账户地址：判断区块链中是否存在从第一区块链账户地址向预设的第二区块链账户地址付款的第一交易；若是，则确认用户身份认证成功，由于保存在区块链中的交易信息是无法被篡改的并且可回溯查询，因此，提高了认证的安全性和认证过程的信用度，登录是无需用户输入密码，也就无需用户记忆密码，提高了便利性，防止了其他言恶意人员利用所盗取的用户名和密码登录其他网站而造成的撞库攻击。

但是，专利文献CN106357640A中的用户身份认证是基于判断区块链中是否存在从第一区块链账户地址向预设的第二区块链账户地址付款的第一交易，然而存在交易记录并不能证明用户就是合法用户，通过交易记录做身份认证，原理上不可行，不能作为合法用户的证明要素。并且，通过交易记录对用户做身份认证，只能验证该用户交易过，而不能验证用户的其他信息，也不能作为用户登录服务器的凭证。并且，上述专利文献也没有提到二次认证，很容易存在欺骗现象，例如，用其他用户信息做身份认证，但是不能确定认证请求是本人。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种登录认证的系统和方法。

根据本发明的一个方面，提供的一种登录认证的系统，包括登录端、认证端；

登录端发出登录请求信息，其中，所述登录请求信息包括用户名；

认证端接收所述登录请求信息，当根据用户名确认登录端是区块链用户后，对登录端发起区块链身份认证；

认证端在区块链身份认证通过后，对登录端进行二次认证；

其中，在所述区块链身份认证中：

认证端获取登录端的用户身份信息，根据所述用户身份信息从区块链获取用户身份证明、认证机构公钥；

认证端使用所述用户身份证明、认证机构公钥来校验所述用户身份信息。

根据本发明的另一个方面，提供一种登录系统，包括登录端；

登录端向认证端发送登录请求信息，其中，所述登录请求信息包括用户名；

登录端收到认证端发起的区块链身份认证后，向认证端发送用户身份信息；

登录端收到认证端发起的二次认证后，向认证端发送用于二次认证的数据。

根据本发明的另一个方面，提供一种认证系统，包括认证端；

认证端接收来自登录端的登录请求信息，其中，所述登录请求信息包括用户名；

认证端根据用户名确认登录端是区块链用户后，对登录端发起区块链身份认证；

认证端在区块链身份认证通过后，对登录端进行二次认证；

其中，在所述区块链身份认证中：

根据本发明的另一个方面，提供一种登录认证的方法，包括如下步骤：

认证端在区块链身份认证通过后，对登录端进行二次认证；

其中，在所述区块链身份认证中：

根据本发明的另一个方面，提供一种登录端中的登录方法，包括如下步骤：

向认证端发送登录请求信息，其中，所述登录请求信息包括用户名；

收到认证端发起的区块链身份认证后，向认证端发送用户身份信息；

收到认证端发起的二次认证，向认证端发送用于二次认证的数据。

根据本发明的另一个方面，提供一种认证端中的认证方法，其特征在于，包括如下步骤：

接收来自登录端的登录请求信息，其中，所述登录请求信息包括用户名；

根据用户名确认登录端是区块链用户后，对登录端发起区块链身份认证；

在区块链身份认证通过后，对登录端进行二次认证；

其中，在所述区块链身份认证中：

获取登录端的用户身份信息，根据所述用户身份信息从区块链获取用户身份证明、认证机构公钥；

使用所述用户身份证明、认证机构公钥来校验所述用户身份信息。

优选地，所述用户名为统一的名称。

优选地，所述用户身份信息包括一个或多个认证机构认可的身份。

优选地，所述用户身份信息包括：

--能够转换为区块链上的地址的ID；

--用户的认证机构的ID；

--用户的公钥。

优选地，所述登录请求信息为Wi-Fi登录请求信息。

与现有技术相比，本发明具有如下的有益效果：

1、提供企业级Wi-Fi登录安全，用户用自己的身份信息登录Wi-Fi，经过身份信息校验和二次认证，足够安全。

2、区块链是去中心化的记账本，身份证明的写入和读取是通过区块链智能合约实现的，完全自动执行，不可篡改，区块链运行在公有云，中小企业和加盟商家不要IT维护，能极大降低成本。

3、每个用户用自己的身份信息登录Wi-Fi，而且确保本地有自己的私钥，这些都被严格保护，Wi-Fi万能钥匙app无法盗取。即使某个用户身份信息和私钥同时被盗，也只是影响一个用户，安全损失很小。

4、对于联盟Wi-Fi有特别好处，只要认证服务器RADIUS Server接受个人身份信息是合法的，用户不需要密码，就能登录联盟Wi-Fi，例如麦当劳用户可以不需要密码，直接登录星巴克Wi-Fi。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1示出根据本发明的登录认证的系统和方法的通信交互结构示意图。

图2示出区块链802.1x认证的通信交互结构示意图。

图3示出将用户身份证明写入区块链的通信交互结构示意图。图3中的用户身份证明计算方法为，用户身份证明＝Encrypt(Hash(用户身份信息)，认证机构私钥)，其中Encrypt为加密函数。

图4示出原始802.1x认证的通信交互结构示意图。

图1中的hash1是指取用户身份信息的哈希值，计算方法为hash1＝Hash(用户身份信息)

图1中的hash2是指将用户身份证明用认证机构公钥解密，计算方法为 hash2＝Decrypt(用户身份证明,认证机构公钥)，其中Decrypt为解密函数。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

本发明的登录认证的系统和方法采用区块链身份认证与Wi-Fi登录相结合的技术方案，跟以往的PKI身份认证或者SSO身份认证不同，区块链身份认证将用户身份信息与身份证明分离，区块链上只保存用户身份证明，例如签名，不会泄露用户身份信息。区块链身份认证将身份信息与身份证明分离，身份信息存储在本地，身份证明写在区块链上，每个用户的身份信息都有唯一对应的身份证明，而且不可篡改。应用区块链身份认证到Wi-Fi访问，是在Wi-Fi客户端，用个人的身份信息请求Wi-Fi访问，Wi-Fi认证服务器，是RADIUS Server从区块链读取个人身份证明，并用读到的身份证明校验个人身份信息。如果校验通过，说明Wi-Fi客户端提供的个人身份信息是正确的。为了防止个人身份信息被盗用，还需要进一步确认Wi-Fi客户端就是用户本人，需要做二次认证，例如：挑战Wi-Fi客户端是否有个人私钥，或者向用户发送短消息，或者向用户发送邮件。

图1示出根据本发明的登录认证的系统和方法的通信交互结构示意图，根据本发明提供的一种登录认证的系统，包括登录端、认证端；登录端发出登录请求信息，其中，所述登录请求信息包括用户名,用户名作为验证用户登录请求信息的个人身份信息，所述用户名是认证端与登录端双方约定为用于识别区块链认证方式的字符串常量值，所述字符串常量值可以是统一的名称，或者符合选择条件的名称，例如，只要包含 “blockchain”，都认为是区块链认证方式；认证端接收所述登录请求信息，当根据用户名确认登录端是区块链用户后，对登录端发起区块链身份认证，区块链上存储有对应用户的身份证明，每个用户的身份信息都有唯一对应的身份证明，而且不可篡改，认证服务器从区块链读取个人身份证明，并用读到的身份证明校验个人身份信息；认证端在区块链身份认证通过后，对登录端进行二次认证，认证端可用任意字符串作为认证数据，例如：采用当前时间，要求登录端用用户私钥加密并提交给认证端，认证端拿到返回加密数据，使用用户公钥解密，如果解密结果是原始字符串，说明用户私钥正确，登录端拥有用户私钥，二次认证通过，如果解密结果不是原始字符串，则拒绝登录；优选地，二次认证的流程采用另一种方式，例如，认证端使用用户公钥加密某串字符串，要求登录端使用用户私钥解密并提交给认证端，如果解密数据与原始数据相同，说明登录端拥有用户私钥，二次认证通过。优选地，二次认证的方式还可进一步的采用手机短信认证，或者邮件认证的方式。优选地，如果用户身份信息里面有手机号，也可以采用手机短信认证，认证服务器RADIUS Server向用户手机发送PIN码，要求用户在规定时间内输入接收到的PIN码，确认认证请求是用户本人。

在所述区块链身份认证中：认证端获取登录端的用户身份信息，根据所述用户身份信息从区块链获取用户身份证明、认证机构公钥；认证端使用所述用户身份证明、公钥来校验所述用户身份信息。例如，登录端提供用户身份信息ID和认证机构ID，认证端通过用户身份信息ID从区块链中获取用户身份信息证明，通过认证机构ID从区块链中获取认证机构公钥，通过区块链中获取的用户身份信息证明用认证机构公钥加密或者解密处理后，与登录端提供的用户身份信息进行校验，校验通过则说明区块链身份认证通过，进行二次认证。

根据本发明提供的一种登录系统，包括登录端；登录端向认证端发送登录请求信息，其中，所述登录请求信息包括用户名；登录端收到认证端发起的区块链身份认证后，向认证端发送用户身份信息；登录端收到认证端发起的二次认证，向认证端发送用于二次认证的数据，优选地，所述认证数据包括用户公钥。

根据本发明提供的一种认证系统，包括认证端；认证端接收来自登录端的登录请求信息，其中，所述登录请求信息包括用户名；认证端根据用户名确认登录端是区块链用户后，对登录端发起区块链身份认证；认证端在区块链身份认证通过后，对登录端进行二次认证；其中，在所述区块链身份认证中：认证端获取登录端的用户身份信息，根据所述用户身份信息从区块链获取用户身份证明、认证机构公钥；认证端使用所述用户身份证明、认证机构公钥来校验所述用户身份信息。

根据本发明提供的一种登录认证的方法，包括如下步骤：登录端发出登录请求信息，其中，所述登录请求信息包括用户名；认证端接收所述登录请求信息，当根据用户名确认登录端是区块链用户后，对登录端发起区块链身份认证；认证端在区块链身份认证通过后，对登录端进行二次认证；其中，在所述区块链身份认证中：认证端获取登录端的用户身份信息，根据所述用户身份信息从区块链获取用户身份证明、公钥；认证端使用所述用户身份证明、认证机构公钥来校验所述用户身份信息。

根据本发明提供的一种登录端中的登录方法，包括如下步骤：向认证端发送登录请求信息，其中，所述登录请求信息包括用户名；收到认证端发起的区块链身份认证后，向认证端发送用户身份信息；收到认证端发起的二次认证后，向认证端发送用于二次认证的数据。

根据本发明提供的一种认证端中的认证方法，包括如下步骤：接收来自登录端的登录请求信息，其中，所述登录请求信息包括用户名；根据用户名确认登录端是区块链用户后，对登录端发起区块链身份认证；在区块链身份认证通过后，对登录端进行二次认证；其中，在所述区块链身份认证中：获取登录端的用户身份信息，根据所述用户身份信息从区块链获取用户身份证明、认证机构公钥；使用所述用户身份证明、公钥来校验所述用户身份信息。

优选地，用户名为统一的名称，例如一串固定的字符串。

优选地，所述用户身份信息包括一个或多个认证机构认可的身份，例如WIFI联盟中的各个成员作为认证机构，例如麦当劳，星巴克。

优选地，所述用户身份信息包括：能够转换为区块链上的地址的ID、用户的关联主体的认证机构ID、用户的公钥。能够转换为区块链上的地址的ID即为用户ID，认证服务器通过用户ID在区块链上读用户身份证明，获得用户身份证明之后，使用用户的关联主体的认证机构ID，即用户所属主体的ID，认证服务器通过所属主体的ID在区块链上读取公钥，用户的公钥用于认证服务器做二次认证，将加密解密字符串的结果进行比对，判定登录端是用户本人。

优选地，所述登录请求信息为Wi-Fi登录请求信息。

本发明用于Wi-Fi登录时的使用包括如下步骤：步骤S1：Wi-Fi客户端用个人身份信息发起Wi-Fi登录请求，并提供个人身份信息；步骤S2：Wi-Fi认证服务器从区块链读取个人身份证明和认证机构公钥，用读到的个人身份证明和认证机构公钥校验个人身份信息；步骤S3：如果个人身份证明与个人身份信息校验通过，Wi-Fi认证服务器启动二次认证，例如，用任意字符串发送给Wi-Fi客户端，Wi-Fi客户端将字符串用私钥加密后返回给Wi-Fi认证服务器，Wi-Fi认证服务器解密后进行校验，校验成功后通过 Wi-Fi登录请求。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以，本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件，而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构；也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims

1.一种登录认证的系统，其特征在于，包括登录端、认证端；

认证端在区块链身份认证通过后，对登录端进行二次认证；

其中，在所述区块链身份认证中：

认证端使用所述用户身份证明、认证机构公钥来校验所述用户身份信息；

所述用户名为认证端与登录端双方约定为用于识别区块链认证方式的字符串常量值；

所述用户身份信息包括一个或多个认证机构认可的身份；

所述用户身份信息包括：

--能够转换为区块链上的地址的ID；

--用户的认证机构的ID；

--用户的公钥；

所述登录请求信息为Wi-Fi登录请求信息。

2.一种登录认证的方法，其特征在于，包括如下步骤：

认证端在区块链身份认证通过后，对登录端进行二次认证；

其中，在所述区块链身份认证中：

所述用户身份信息包括一个或多个认证机构认可的身份；

所述用户身份信息包括：

--能够转换为区块链上的地址的ID；

--用户的认证机构的ID；

--用户的公钥；

所述登录请求信息为Wi-Fi登录请求信息。