CN109660346B - 信息托管方法、装置、设备及计算机存储介质 - Google Patents
信息托管方法、装置、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN109660346B CN109660346B CN201910046659.3A CN201910046659A CN109660346B CN 109660346 B CN109660346 B CN 109660346B CN 201910046659 A CN201910046659 A CN 201910046659A CN 109660346 B CN109660346 B CN 109660346B
- Authority
- CN
- China
- Prior art keywords
- information
- authorization
- node
- user
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种信息托管方法、装置、设备及计算机存储介质。其中,应用于信息托管系统的身份认证节点的信息托管方法包括:获取用户认证信息,并根据用户认证信息进行授权认证;如果用户认证信息通过授权认证,生成授权凭证和授权标识;对授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将授权凭证上传至分布式账本;其中,签名后的授权标识用于供用户节点生成操作请求信息,操作请求信息用于发送给信息托管节点,授权凭证用于供所述信息托管节点利用操作请求信息中的授权标识验证授权认证结果。根据本发明实施例,能够降低用户失去身份认证节点发送的授权标识时失去秘密信息的风险。
Description
技术领域
本发明属于互联网技术领域,尤其涉及一种信息托管方法、装置、设备及计算机存储介质。
背景技术
生活中,用户都会拥有大量的秘密信息,为了长期有效地保存这些秘密信息,一般会将这些秘密信息托管到线上托管服务平台。
当用户利用现有的线上托管服务平台进行秘密信息的上传或下载时,现有的线上托管服务平台对用户身份的验证一般通过自身的中心化账户体系的权限验证实现,若用户一旦忘记验证信息,就会失去对现有的线上托管服务平台上已经托管的秘密信息的管理权限,严重的会导致用户永久失去这些已经托管的秘密信息,给用户带来巨大的损失。
为了提高线上托管服务平台的信息安全,现有技术还公开了基于区块链技术的信息托管方法。在此方法中,用户可以在终端将私钥通过钱包密码再加密为文本的方法将私钥保存在终端中。但是,当用户需要利用私钥进行秘密信息的上传或下载时,需要再用钱包密码解密文本后才能获取私钥。一旦钱包密码丢失,终端内保存的私钥就会全部丢失,依然会导致用户失去对线上托管服务平台上已经托管的秘密信息的管理权限。
发明内容
本发明实施例提供一种信息托管方法、装置、设备及计算机存储介质,能够利用与信息托管节点分离的身份认证节点基于区块链技术对用户节点的用户身份进行授权认证,以降低用户失去身份认证节点发送的授权标识时失去秘密信息的风险。
一方面,本发明实施例提供一种信息托管方法,应用于信息托管系统的身份认证节点,所述方法包括:
获取用户认证信息,并根据所述用户认证信息进行授权认证;
如果所述用户认证信息通过授权认证,生成授权凭证和授权标识;
对所述授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将所述授权凭证上传至分布式账本;其中,所述签名后的授权标识用于供所述用户节点生成操作请求信息,所述操作请求信息用于发送给信息托管节点,所述授权凭证用于供所述信息托管节点利用所述操作请求信息中的授权标识验证授权认证结果。
另一方面,本发明实施例提供了一种信息托管方法,应用于信息托管系统的信息托管节点,所述方法包括:
获取用户节点发送的操作请求信息;
根据所述操作请求信息中的授权标识在分布式账本中查询所述授权标识对应的身份认证节点的公钥;
利用所述身份认证节点的公钥对所述授权标识进行验签;
根据通过验签后的所述授权标识在所述分布式账本中查询对应的授权凭证;
若所述授权凭证中的授权认证结果为通过授权认证,执行所述操作请求信息所请求的操作。
又一方面,本发明实施例提供了一种信息托管装置,应用于信息托管系统的身份认证节点,所述装置包括:
认证信息获取单元,其配置为获取用户认证信息,并根据所述用户认证信息进行授权认证;
授权认证单元,其配置为如果所述用户认证信息通过授权认证,生成授权凭证和授权标识;
授权信息发送单元,其配置为对所述授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将所述授权凭证上传至分布式账本;其中,所述签名后的授权标识用于供所述用户节点生成操作请求信息,所述操作请求信息用于发送给信息托管节点,所述授权凭证用于供所述信息托管节点利用所述操作请求信息中的授权标识验证授权认证结果。
再一方面,本发明实施例提供了一种信息托管装置,应用于信息托管系统的信息托管节点,所述装置包括:
请求信息获取单元,其配置为获取用户节点发送的操作请求信息;
信息查询单元,其配置为根据所述操作请求信息中的授权标识在分布式账本中查询所述授权标识对应的身份认证节点的公钥,以及根据通过验签后的所述授权标识在所述分布式账本中查询对应的授权凭证;
信息处理单元,其配置为利用所述身份认证节点的公钥对所述授权标识进行验签;
操作执行单元,其配置为若所述授权凭证中的授权认证结果为通过授权认证,执行所述操作请求信息所请求的操作。
再一方面,本发明实施例提供了一种信息托管设备,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如上所述的信息托管方法。
再一方面,本发明实施例提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如上所述的信息托管方法。
本发明实施例的信息托管方法、装置、设备及计算机存储介质,能够通过身份认证节点对用户节点发送的用户认证信息进行授权认证,如果用户认证信息通过授权认证,身份认证节点便将生成的授权凭证上传至分布式账本、将生成的签名后的授权标识发送至用户节点,使用户节点能够利用签名后的授权标识生成操作请求信息,并将操作请求信息发送给信息托管节点,信息托管节点能够利用操作请求信息中的授权标识查询授权凭证,从而根据授权凭证中的授权认证结果完成对用户节点的用户身份的验证,以便信息托管节点能够执行用户节点发送的操作请求信息所请求的操作,即使在用户失去身份认证节点发送的授权标识时,也能够通过身份认证节点帮助其找回信息托管节点中存储的秘密信息,从而降低用户失去秘密信息的风险。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的信息托管方法的流程示意图;
图2是图1中步骤S110的一个示例的流程示意图;
图3是本发明一个实施例提供的授权凭证的结构示意图;
图4是本发明另一个实施例提供的信息托管方法的流程示意图;
图5是图4中步骤S240的一个示例的流程示意图;
图6是图4中步骤S240的另一个示例的流程示意图;
图7是本发明一个实施例的用户在信息托管节点存储秘密信息的方法的流程示意图;
图8是本发明另一个实施例的用户在信息托管节点存储秘密信息的方法的流程示意图;
图9是本发明一个实施例的用户从信息托管节点读取秘密信息的方法的流程示意图;
图10是本发明另一个实施例的用户从信息托管节点读取秘密信息的方法的流程示意图;
图11是本发明一个实施例提供的信息托管装置的结构示意图;
图12是本发明另一个实施例提供的信息托管装置的结构示意图;
图13是本发明实施例提供的信息托管设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了解决现有技术问题,本发明实施例提供了一种信息托管方法、装置、设备及计算机存储介质。下面首先对本发明实施例所提供的信息托管方法进行介绍。
图1示出了本发明一个实施例提供的信息托管方法的流程示意图。如图1所示,该信息托管方法,应用于信息托管系统的身份认证节点,方法包括:
S110、获取用户认证信息,并根据用户认证信息进行授权认证;
S120、如果用户认证信息通过授权认证,生成授权凭证和授权标识;
S130、对授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将授权凭证上传至分布式账本;其中,签名后的授权标识用于供用户节点生成操作请求信息,操作请求信息用于发送给信息托管节点,授权凭证用于供信息托管节点利用操作请求信息中的授权标识验证授权认证结果。
本发明实施例的信息托管方法,能够通过身份认证节点对用户节点发送的用户认证信息进行授权认证,如果用户认证信息通过授权认证,身份认证节点便将生成的授权凭证上传至分布式账本、将生成的签名后的授权标识发送至用户节点,使用户节点能够利用签名后的授权标识生成操作请求信息,并将操作请求信息发送给信息托管节点,信息托管节点能够利用操作请求信息中的授权标识查询授权凭证,从而根据授权凭证中的授权认证结果完成对用户节点的用户身份的验证,以便信息托管节点能够执行用户节点发送的操作请求信息所请求的操作,即使在用户失去身份认证节点发送的授权标识时,也能够通过身份认证节点帮助其找回信息托管节点中存储的秘密信息,从而降低用户失去秘密信息的风险。
在本发明实施例中,身份认证节点可以为身份认证机构的认证设备,审认证机构可以为公安机关、公证机关或被相关部门授权具有身份认证资格的机构。当身份认证节点首次加入信息托管系统中时,需要将身份认证节点的公钥上传至分布式账本,以便后续用户节点和信息托管节点获取。
在本发明实施例中,用户认证信息至少包括用户姓名、用户身份标识以及生物识别信息。其中,用户认证信息用于身份认证节点对应的身份认证机构核实用户的真实身份。具体地,生物识别信息可以包括如人脸、指纹等,生物识别信息以及身份证号均为用户的个人社会唯一信息。
在本发明实施例中,用户节点可以为用户所持的设备,具体可以为移动终端、笔记本电脑、平板电脑等电子设备上的应用程序。该应用程序可以根据用户操作,向信息托管节点发送建立新用户、找回已有账户、存储秘密信息、读取秘密信息等请求。信息托管节点可以为秘密信息托管服务商的托管平台,用于根据用户请求在对应的账户存储秘密信息或者根据用户请求向用户发送从对应的账户读取的秘密信息。
在本发明实施例中,无论是用户想通过用户节点在信息托管节点建立新账户,还是在用户节点丢失了已有的账户的授权标识时想通过用户节点找回信息托管节点的已有账户,在步骤S110之前,还包括:通过用户节点生成公私钥对,并将公私钥对中的公钥上传至分布式账本,以便后续身份认证节点获取。
图2示出了图1中步骤S110的一个示例的流程示意图。如图2所示,在本发明实施例的步骤S110中,获取用户认证信息,并根据用户认证信息进行授权认证的具体方法可以包括:
S111、获取用户节点发送的利用身份认证节点的公钥加密并利用用户节点的私钥进行数字签名的用户认证信息;
S112、获取用户节点的公钥,利用用户节点的公钥进行验签并利用身份认证节点的私钥解密以获得用户认证信息;
S113、根据用户认证信息对用户节点的用户身份进行核对,并基于核对结果进行授权认证。
在本发明实施例中,授权标识可以包括用于在分布式账本上查询授权凭证所需的凭证标识,以便信息托管节点能够利用授权标识在分布式账本上查询到对应的授权凭证,从而根据该授权凭证确定用户节点是否已通过身份验证。
图3示出了本发明一个实施例提供的授权凭证的结构示意图。如图3所示,每个授权凭证中分别包含验证记录,验证记录包括认证方标识(例如,可以为身份认证节点对应的身份认证机构的认证方标识)、认证时间、认证用途以及授权认证结果。
其中,认证方标识用于确定身份认证节点的具体身份,防止认证时间相同时,错误地获取授权凭证。认证用途可以包括建立新账户或找回已有账户。由于在本发明实施例中,只有通过授权认证才会生成授权凭证,因此,授权认证结果可以为通过授权认证,即用户节点通过身份验证。
在本发明实施例中,身份认证节点将授权凭证上传至分布式账本,可以方便信息托管节点进行对用户节点进行身份验证。
在本发明实施例中,多次授权凭证可以按照认证时间先后顺序单向链状连接存户,保证验证时用到的授权凭证可以追溯到之前认证时用的授权凭证。
在本发明实施例的步骤S130中,对授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将授权凭证上传至分布式账本。
之后,用户节点能够利用签名后的授权标识生成操作请求信息,并将操作请求信息发送给信息托管节点,信息托管节点能够对操作请求信息中的授权标识进行验签,利用通过验签后的授权标识在分布式账本中查询对应的授权凭证,并根据授权凭证中的授权认证结果确定用户节点通过身份验证,从而完成对用户节点的身份验证,以便信息托管节点能够执行用户节点发送的操作请求信息所请求的操作。
图4示出了本发明另一个实施例提供的信息托管方法的流程示意图。如图4所示,该信息托管方法,应用于信息托管系统的信息托管节点,方法包括:
S210、获取用户节点发送的操作请求信息;
S220、根据操作请求信息中的授权标识在分布式账本中查询授权标识对应的身份认证节点的公钥;
S230、利用身份认证节点的公钥对授权标识进行验签;
S240、根据通过验签后的授权标识在分布式账本中查询对应的授权凭证;
S250、若授权凭证中的授权认证结果为通过授权认证,执行操作请求信息所请求的操作。
本发明实施例的信息托管方法,能够在获取用户节点发送的操作请求信息后,对操作请求信息中的授权标识进行验签,利用通过验签后的授权标识在分布式账本中查询对应的授权凭证,并根据授权凭证中的授权认证结果确定用户节点通过身份验证,从而完成对用户节点的身份验证,以便信息托管节点能够执行用户节点发送的操作请求信息所请求的操作,即使在用户失去身份认证节点发送的授权标识时,也能够通过身份认证节点帮助其找回信息托管节点中存储的秘密信息,从而降低用户失去秘密信息的风险。
图5示出了图4中步骤S240的一个示例的流程示意图。如图5所示,当操作请求信息所请求的操作包括存储秘密信息,待存储的秘密信息为利用用户节点的私钥加密后的信息时,其中,步骤S240、执行操作请求信息所请求的操作包括:
S310、生成待存储的秘密信息对应的标识码;
S320、将待存储的秘密信息与对应的标识码持久化存储至数据库,并向用户节点返回标识码,该标识码用于从信息托管节点读取该秘密信息。
图6示出了图4中步骤S240的另一个示例的流程示意图。如图6所示,当操作请求信息所请求的操作包括读取秘密信息时,步骤S240、执行操作请求信息所请求的操作包括:
S410、获取操作请求信息中与待读取的秘密信息对应的标识码;
S420、根据标识码在数据库中查找待读取的秘密信息,并将待读取的秘密信息发送至用户节点。
在本发明实施例的步骤S420中,信息托管节点可以获取用户节点的公钥,将待读取的秘密信息解密后发送至用户节点;信息托管节点也可以直接将加密后的待读取的秘密信息发送至用户节点。
下面将详细描述本发明实施例的信息托管系统的具体工作流程。
本发明实施例的信息托管系统包括至少一个用户节点、至少一个身份认证节点和至少一个信息托管节点,其中,用户节点和身份认证节点可以向分布式账本上传信息和从分布式账本获取信息,信息托管节点仅能从分布式账本获取信息。
具体地,用户节点用于接收用户的操作指令,根据用户的操作指令触发身份认证机构进行用户节点的身份验证以及向信息托管节点发送操作请求信息。身份认证节点用于利用用户节点发送的用户认证信息对用户节点进行身份验证。信息托管节点用于确定身份认证节点对用户节点的授权认证结果,并且执行用户节点发送的操作请求信息所请求的操作。
在本发明实施例中,用户通过用户节点向信息托管节点存储秘密信息具有两种情况:
第一种情况
用户通过用户节点在信息托管节点建立新账户并且在信息托管节点的该新账户下存储秘密信息。
图7示出了本发明一个实施例的用户在信息托管节点存储秘密信息的方法的流程示意图。
如图7所示,在第一种情况下,用户在信息托管节点存储秘密信息的方法具体包括如下步骤:
S501、用户节点生成用户节点的公私钥对,并向分布式账本上传用户节点的公钥;
S502、身份认证节点向分布式账本上传身份认证节点的公钥;
S503、用户节点从分布式账本获取身份认证节点的公钥;
S504、用户节点向身份认证节点发送利用身份认证节点的公钥加密的用户认证信息及利用用户节点的私钥进行数字签名;
S505、身份认证节点从分布式账本获取用户节点的公钥;
S506、身份认证节点利用用户节点的公钥对数字签名进行验签,并且利用身份认证节点的私钥解密已加密的用户认证信息,然后根据用户认证信息对用户节点进行身份验证;
S507、身份认证节点生成授权凭证和授权标识,并且利用身份认证节点的私钥对授权标识进行数字签名;
S508、身份认证节点向分布式账本上传授权凭证;
S509、身份认证节点向用户节点发送签名后的授权标识;
S510、用户节点利用签名后的授权标识、存储秘密信息的请求和待存储的秘密信息生成操作请求信息;
S511、用户节点将操作请求信息发送至信息托管节点;
S512、信息托管节点在分布式账本中查询操作请求信息中的授权标识对应的身份认证节点的公钥;
S513、信息托管节点利用身份认证节点的公钥对授权标识进行验签;
S514、信息托管节点根据验签后的授权标识在分布式账本中查询对应的授权凭证;
S515、信息托管节点确定授权凭证中的授权认证结果为通过授权认证;
S516、信息托管节点存储待存储的秘密信息;
S517、信息托管节点向用户节点发送待存储的秘密信息对应的标识码。
第二种情况
用户通过用户节点在信息托管节点的已有账户下存储秘密信息。
图8示出了本发明另一个实施例的用户在信息托管节点存储秘密信息的方法的流程示意图。
如图8所示,在第二种情况下,用户在信息托管节点存储秘密信息的方法具体包括如下步骤:
S601、用户节点利用已存储的签名后的授权标识、存储秘密信息的请求和待存储的秘密信息生成操作请求信息;
S602、用户节点将操作请求信息发送至信息托管节点;
S603、信息托管节点在分布式账本中查询操作请求信息中的授权标识对应的身份认证节点的公钥;
S604、信息托管节点利用身份认证节点的公钥对授权标识进行验签;
S605、信息托管节点根据验签后的授权标识在分布式账本中查询对应的授权凭证;
S606、信息托管节点确定授权凭证中的授权认证结果为通过授权认证;
S607、信息托管节点存储待存储的秘密信息;
S608、信息托管节点向用户节点发送待存储的秘密信息对应的标识码。
在本发明实施例中,用户通过用户节点从信息托管节点读取秘密信息具有两种情况:
第一种情况
用户失去身份认证节点发送的授权标识时,通过用户节点从信息托管节点的已有账户中读取秘密信息。
图9示出了本发明一个实施例的用户从信息托管节点读取秘密信息的方法的流程示意图。
如图9所示,在第一种情况下,用户从信息托管节点读取秘密信息的方法具体包括如下步骤:
S701、用户节点生成用户节点的公私钥对,并向分布式账本上传用户节点的公钥;
S702、用户节点从分布式账本获取身份认证节点的公钥;
S703、用户节点向身份认证节点发送利用身份认证节点的公钥加密的用户认证信息及利用用户节点的私钥进行数字签名;
S704、身份认证节点从分布式账本获取用户节点的公钥;
S705、身份认证节点利用用户节点的公钥对数字签名进行验签,并且利用身份认证节点的私钥解密已加密的用户认证信息,然后根据用户认证信息对用户节点进行身份验证;
S706、身份认证节点生成授权凭证和授权标识,并且利用身份认证节点的私钥对授权标识进行数字签名;
S707、身份认证节点向分布式账本上传授权凭证;
S708、身份认证节点向用户节点发送签名后的授权标识;
S709、用户节点利用签名后的授权标识、读取秘密信息的请求和待读取的秘密信息对应的标识码生成操作请求信息;
S710、用户节点将操作请求信息发送至信息托管节点;
S711、信息托管节点在分布式账本中查询操作请求信息中的授权标识对应的身份认证节点的公钥;
S712、信息托管节点利用身份认证节点的公钥对授权标识进行验签;
S713、信息托管节点根据验签后的授权标识在分布式账本中查询对应的授权凭证;
S714、信息托管节点确定授权凭证中的授权认证结果为通过授权认证;
S715、信息托管节点根据标识码查询待读取的秘密信息;
S716、信息托管节点向用户节点发送待读取的秘密信息。
第二种情况
用户拥有身份认证节点发送的授权标识时,通过用户节点从信息托管节点的已有账户中读取秘密信息。
图10示出了本发明另一个实施例的用户从信息托管节点读取秘密信息的方法的流程示意图。
如图10所示,在第二种情况下,用户从信息托管节点读取秘密信息的方法具体包括如下步骤:
S801、用户节点利用签名后的授权标识、读取秘密信息的请求和待读取的秘密信息对应的标识码生成操作请求信息;
S802、用户节点将操作请求信息发送至信息托管节点;
S803、信息托管节点在分布式账本中查询操作请求信息中的授权标识对应的身份认证节点的公钥;
S804、信息托管节点利用身份认证节点的公钥对授权标识进行验签;
S805、信息托管节点根据验签后的授权标识在分布式账本中查询对应的授权凭证;
S806、信息托管节点确定授权凭证中的授权认证结果为通过授权认证;
S807、信息托管节点根据标识码查询待读取的秘密信息;
S808、信息托管节点向用户节点发送待获取的秘密信息。
综上所述,本发明实施例的信息托管方法,能够采用用户认证信息替代传统的密码方式,使得遗失率远低于传统的密码方式;建立新账户和找回已有账户的用户节点的用户验证通过与信息托管节点相互独立的身份认证节点实现,脱离于数据存储服务,达到分治的效果,方便监管,提高秘密信息托管服务商的作恶成本;由于建立新账户和找回已有账户的记录在去中心化账本上可查且不可更改,可以为秘密信息托管服务商提供自证清白的手段。
图11示出了本发明一个实施例提供的信息托管装置的结构示意图。如图11所示,该信息托管装置应用于信息托管系统的身份认证节点,装置包括:
认证信息获取单元910,其配置为获取用户认证信息,并根据用户认证信息进行授权认证;
授权认证单元920,其配置为如果用户认证信息通过授权认证,生成授权凭证和授权标识;
授权信息发送单元930,其配置为对授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将授权凭证上传至分布式账本;其中,签名后的授权标识用于供用户节点生成操作请求信息,操作请求信息用于发送给信息托管节点,授权凭证用于供信息托管节点利用操作请求信息中的授权标识验证授权认证结果。
图12示出了本发明另一个实施例提供的信息托管装置的结构示意图。如图12所示,该信息托管装置应用于信息托管系统的信息托管节点,装置包括:
请求信息获取单元1010,其配置为获取用户节点发送的操作请求信息;
信息查询单元1020,其配置为根据操作请求信息中的授权标识在分布式账本中查询授权标识对应的身份认证节点的公钥,以及根据通过验签后的授权标识在分布式账本中查询对应的授权凭证;
信息处理单元1030,其配置为利用身份认证节点的公钥对授权标识进行验签;判断授权凭证中的授权认证结果是否为通过授权认证;
操作执行单元1040,其配置为若授权凭证中的授权认证结果为通过授权认证,执行操作请求信息所请求的操作。
本发明实施例的信息托管装置,能够通过身份认证节点对用户节点发送的用户认证信息进行授权认证,如果用户认证信息通过授权认证,身份认证节点便将生成的授权凭证上传至分布式账本、将生成的签名后的授权标识发送至用户节点,使用户节点能够利用签名后的授权标识生成操作请求信息,并将操作请求信息发送给信息托管节点,信息托管节点能够利用操作请求信息中的授权标识查询授权凭证,从而根据授权凭证中的授权认证结果完成对用户节点的用户身份的验证,以便信息托管节点能够执行用户节点发送的操作请求信息所请求的操作,即使在用户失去身份认证节点发送的授权标识时,也能够通过身份认证节点帮助其找回信息托管节点中存储的秘密信息,从而降低用户失去秘密信息的风险。
图13示出了本发明实施例提供的信息托管设备的硬件结构示意图。
在信息托管设备可以包括处理器1101以及存储有计算机程序指令的存储器1102。
具体地,上述处理器1101可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器1102可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器1102可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器1102可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器1102可在综合网关容灾设备的内部或外部。在特定实施例中,存储器1102是非易失性固态存储器。在特定实施例中,存储器1102包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器1101通过读取并执行存储器1102中存储的计算机程序指令,以实现上述实施例中的任意一种信息托管方法。
在一个示例中,信息托管设备还可包括通信接口1103和总线1110。其中,如图13所示,处理器1101、存储器1102、通信接口1103通过总线1110连接并完成相互间的通信。
通信接口1103,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线1110包括硬件、软件或两者,将信息托管设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线1110可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
该信息托管设备可以执行本发明实施例中的信息托管方法,从而实现结合附图描述的信息托管方法和装置。
另外,结合上述实施例中的信息托管方法,本发明实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种信息托管方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种信息托管方法,应用于信息托管系统的身份认证节点,其特征在于,所述方法包括:
获取用户认证信息,并根据所述用户认证信息进行授权认证;
如果所述用户认证信息通过授权认证,生成授权凭证和授权标识;
对所述授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将所述授权凭证上传至分布式账本;其中,所述签名后的授权标识用于供所述用户节点生成操作请求信息,所述操作请求信息用于发送给信息托管节点,所述授权凭证用于供所述信息托管节点利用所述操作请求信息中的授权标识验证授权认证结果;
所述操作请求信息所请求的操作包括存储秘密信息,其中,待存储的秘密信息为利用所述用户节点的私钥加密后的信息。
2.根据权利要求1所述的信息托管方法,其特征在于,获取用户认证信息,并根据所述用户认证信息进行授权认证包括:
获取所述用户节点发送的利用所述身份认证节点的公钥加密并利用所述用户节点的私钥进行数字签名的用户认证信息;
获取所述用户节点的公钥,利用所述用户节点的公钥进行验签并利用所述身份认证节点的私钥解密以获得所述用户认证信息;
根据所述用户认证信息对所述用户节点的用户身份进行核对,并基于核对结果进行授权认证。
3.根据权利要求1所述的信息托管方法,其特征在于,所述用户认证信息至少包括用户姓名、用户身份标识以及生物识别信息。
4.一种信息托管方法,应用于信息托管系统的信息托管节点,其特征在于,所述方法包括:
获取用户节点发送的操作请求信息;
根据所述操作请求信息中的授权标识在分布式账本中查询所述授权标识对应的身份认证节点的公钥;
利用所述身份认证节点的公钥对所述授权标识进行验签;
根据通过验签后的所述授权标识在所述分布式账本中查询对应的授权凭证;
若所述授权凭证中的授权认证结果为通过授权认证,执行所述操作请求信息所请求的操作;
所述操作请求信息所请求的操作包括存储秘密信息,其中,待存储的秘密信息为利用所述用户节点的私钥加密后的信息。
5.根据权利要求4所述的信息托管方法,其特征在于,执行所述操作请求信息所请求的操作包括:
生成待存储的秘密信息对应的标识码;
将所述待存储的秘密信息与对应的标识码存储至数据库,并向所述用户节点返回所述标识码。
6.根据权利要求4所述的信息托管方法,其特征在于,所述操作请求信息所请求的操作包括读取秘密信息,执行所述操作请求信息所请求的操作包括:
获取所述操作请求信息中与待读取的秘密信息对应的标识码;
根据所述标识码在数据库中查找所述待读取的秘密信息,并将所述待读取的秘密信息发送至所述用户节点。
7.一种信息托管装置,应用于信息托管系统的身份认证节点,其特征在于,所述装置包括:
认证信息获取单元,其配置为获取用户认证信息,并根据所述用户认证信息进行授权认证;
授权认证单元,其配置为如果所述用户认证信息通过授权认证,生成授权凭证和授权标识;
授权信息发送单元,其配置为对所述授权标识进行数字签名并将签名后的授权标识发送至用户节点,并且将所述授权凭证上传至分布式账本;其中,所述签名后的授权标识用于供所述用户节点生成操作请求信息,所述操作请求信息用于发送给信息托管节点,所述授权凭证用于供所述信息托管节点利用所述操作请求信息中的授权标识验证授权认证结果;所述操作请求信息所请求的操作包括存储秘密信息,其中,待存储的秘密信息为利用所述用户节点的私钥加密后的信息。
8.一种信息托管装置,应用于信息托管系统的信息托管节点,其特征在于,所述装置包括:
请求信息获取单元,其配置为获取用户节点发送的操作请求信息;
信息查询单元,其配置为根据所述操作请求信息中的授权标识在分布式账本中查询所述授权标识对应的身份认证节点的公钥,以及根据通过验签后的所述授权标识在所述分布式账本中查询对应的授权凭证;
信息处理单元,其配置为利用所述身份认证节点的公钥对所述授权标识进行验签;
操作执行单元,其配置为若所述授权凭证中的授权认证结果为通过授权认证,执行所述操作请求信息所请求的操作;
所述请求信息获取单元中所述操作请求信息所请求的操作包括存储秘密信息,其中,待存储的秘密信息为利用所述用户节点的私钥加密后的信息。
9.一种信息托管设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-3或权利要求4-6任意一项所述的信息托管方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-3或权利要求4-6任意一项所述的信息托管方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910046659.3A CN109660346B (zh) | 2019-01-16 | 2019-01-16 | 信息托管方法、装置、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910046659.3A CN109660346B (zh) | 2019-01-16 | 2019-01-16 | 信息托管方法、装置、设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109660346A CN109660346A (zh) | 2019-04-19 |
| CN109660346B true CN109660346B (zh) | 2021-09-17 |
Family
ID=66119949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910046659.3A Active CN109660346B (zh) | 2019-01-16 | 2019-01-16 | 信息托管方法、装置、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109660346B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110334153B (zh) * | 2019-06-28 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 块链式账本中的授权方法、系统、装置及设备 |
| US10789376B2 (en) | 2019-06-28 | 2020-09-29 | Alibaba Group Holding Limited | Blockchain authorization |
| CN111783060B (zh) * | 2020-06-04 | 2021-03-30 | 北京海泰方圆科技股份有限公司 | 电子凭证的分发控制方法、装置、电子设备及存储介质 |
| CN112084527A (zh) * | 2020-08-18 | 2020-12-15 | 中国银联股份有限公司 | 数据存储及获取方法、装置、设备、介质 |
| CN112464280B (zh) * | 2020-11-26 | 2024-02-09 | 中国信息通信研究院 | 一种工业互联网标识数据的托管方法及系统 |
| CN112733121A (zh) * | 2021-01-13 | 2021-04-30 | 京东数科海益信息科技有限公司 | 数据获取方法、装置、设备及存储介质 |
| CN114338149B (zh) * | 2021-12-28 | 2022-12-27 | 北京深盾科技股份有限公司 | 一种服务器的登录凭据授权方法、终端及密钥托管平台 |
| CN114727284B (zh) * | 2022-05-19 | 2024-04-12 | 中国农业银行股份有限公司 | 一种身份认证方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618120A (zh) * | 2015-03-04 | 2015-05-13 | 青岛微智慧信息有限公司 | 一种移动终端密钥托管数字签名方法 |
| CN106789045A (zh) * | 2017-02-22 | 2017-05-31 | 中钞信用卡产业发展有限公司北京智能卡技术研究院 | 一种智能ic卡、数字签名系统及方法 |
| CN107181595A (zh) * | 2017-07-27 | 2017-09-19 | 深圳市泰衡诺科技有限公司 | 一种基于智能终端的账户找回方法及找回装置 |
| CN107888382A (zh) * | 2017-11-24 | 2018-04-06 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种基于区块链的数字身份验证的方法、装置和系统 |
| CN109155088A (zh) * | 2016-05-20 | 2019-01-04 | 索斯科公司 | 动态密钥访问控制系统、方法和装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6981138B2 (en) * | 2001-03-26 | 2005-12-27 | Microsoft Corporation | Encrypted key cache |
| US9311465B2 (en) * | 2009-09-21 | 2016-04-12 | James McNulty | Secure information storage and retrieval apparatus and method |
| US10068228B1 (en) * | 2013-06-28 | 2018-09-04 | Winklevoss Ip, Llc | Systems and methods for storing digital math-based assets using a secure portal |
| WO2017044554A1 (en) * | 2015-09-11 | 2017-03-16 | Aware, Inc. | Biometric verification of a blockchain database transaction contributor |
| US10142312B2 (en) * | 2016-02-22 | 2018-11-27 | Bank Of America Corporation | System for establishing secure access for users in a process data network |
| GB2557577A (en) * | 2016-10-21 | 2018-06-27 | Cygnetise Ltd | Methods and apparatus for recording a change of authorisation state of one or more authorisation agents |
| CN107066893B (zh) * | 2017-02-28 | 2018-11-09 | 腾讯科技(深圳)有限公司 | 区块链中账户信息的处理方法和装置 |
| CN109150535A (zh) * | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
| CN108418680B (zh) * | 2017-09-05 | 2021-12-07 | 矩阵元技术(深圳)有限公司 | 一种基于安全多方计算技术的区块链密钥恢复方法、介质 |
| CN107623569A (zh) * | 2017-09-30 | 2018-01-23 | 矩阵元技术(深圳)有限公司 | 基于秘密共享技术的区块链密钥托管和恢复方法、装置 |
| CN108242999B (zh) * | 2017-10-26 | 2021-04-16 | 招商银行股份有限公司 | 密钥托管方法、设备及计算机可读存储介质 |
| CN108737105B (zh) * | 2018-05-07 | 2021-09-28 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 私钥的找回方法、装置、私钥设备和介质 |
-
2019
- 2019-01-16 CN CN201910046659.3A patent/CN109660346B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618120A (zh) * | 2015-03-04 | 2015-05-13 | 青岛微智慧信息有限公司 | 一种移动终端密钥托管数字签名方法 |
| CN109155088A (zh) * | 2016-05-20 | 2019-01-04 | 索斯科公司 | 动态密钥访问控制系统、方法和装置 |
| CN106789045A (zh) * | 2017-02-22 | 2017-05-31 | 中钞信用卡产业发展有限公司北京智能卡技术研究院 | 一种智能ic卡、数字签名系统及方法 |
| CN107181595A (zh) * | 2017-07-27 | 2017-09-19 | 深圳市泰衡诺科技有限公司 | 一种基于智能终端的账户找回方法及找回装置 |
| CN107888382A (zh) * | 2017-11-24 | 2018-04-06 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种基于区块链的数字身份验证的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109660346A (zh) | 2019-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109660346B (zh) | 信息托管方法、装置、设备及计算机存储介质 | |
| AU2022204148B2 (en) | Methods and apparatus for providing blockchain participant identity binding | |
| US20220321359A1 (en) | Methods and systems for ownership verification using blockchain | |
| US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
| CN108647964B (zh) | 一种区块链数据处理方法、装置及计算机可读存储介质 | |
| US9397980B1 (en) | Credential management | |
| US8086868B2 (en) | Data communication method and system | |
| CN112084234A (zh) | 数据获取方法、装置、设备和介质 | |
| CN113569267B (zh) | 隐私安全的数据集合求交方法、装置、设备及存储介质 | |
| CN111435913A (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| CN111523142B (zh) | 数据处理方法、装置、电子设备及介质 | |
| CN106487758B (zh) | 一种数据安全签名方法、业务终端以及私钥备份服务器 | |
| CN109302286B (zh) | 一种Fido设备密钥索引的生成方法 | |
| CN114143312A (zh) | 基于区块链的边缘计算终端认证方法、系统及设备 | |
| CN110431803A (zh) | 基于身份信息管理加密密钥 | |
| CN112084527A (zh) | 数据存储及获取方法、装置、设备、介质 | |
| CN116684156A (zh) | 免密登录认证方法、装置、设备、介质及产品 | |
| CN110955921A (zh) | 电子签章方法、装置、设备及存储介质 | |
| CN114553586B (zh) | 数据获取方法、装置、设备、介质及程序产品 | |
| CN114553432A (zh) | 身份认证方法、装置、设备及计算机可读存储介质 | |
| CN111294315B (zh) | 基于区块链的安全认证方法、装置、设备及存储介质 | |
| KR101118424B1 (ko) | 인증서 자동갱신 처리 시스템 | |
| TWI650665B (zh) | 個人資料管理系統及其管理方法 | |
| US11343078B2 (en) | System and method for secure input at a remote service | |
| CN116303509A (zh) | 基于多渠道注册的用户信息处理方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |