CN110519062B - 基于区块链的身份认证方法、认证系统及存储介质 - Google Patents
基于区块链的身份认证方法、认证系统及存储介质 Download PDFInfo
- Publication number
- CN110519062B CN110519062B CN201910887294.7A CN201910887294A CN110519062B CN 110519062 B CN110519062 B CN 110519062B CN 201910887294 A CN201910887294 A CN 201910887294A CN 110519062 B CN110519062 B CN 110519062B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- server
- identity
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请公开了一种基于区块链的身份认证方法、认证系统及存储介质,属于信息处理领域。所述方法包括:接收客户端基于认证设备发送的用户身份认证请求,该用户身份认证请求携带认证设备标识和认证设备生成的签名信息;基于该认证设备标识,从区块链中获取认证设备的公钥;基于该公钥,对签名信息进行验证;若签名信息验证成功,则确定用户身份认证通过。本申请中,由于多个机构服务器统一配置有区块链,且该区块链用于存储针对这多个结构统一开通的认证设备的公钥,因此用户针对多家机构仅需开通一个认证设备,同一个认证设备可以在多家机构使用,减少了用户需要持有的认证设备的数量,方便了用户的使用。
Description
技术领域
本申请涉及信息处理领域,特别涉及一种基于区块链的身份认证方法、认证系统及存储介质。
背景技术
身份认证是为了在计算机网络中确认操作者的合法身份而使用的一种认证方法,用以保证以数字身份进行操作的操作者就是这个数字身份的合法拥有者,确保网络安全。
相关技术中,用户在网上银行进行交易的过程中,可以通过诸如U盾的认证设备进行身份认证。但是由于各家银行机构相互独立,每家银行机构均具有有各自专门的认证设备,当用户在任一家银行机构的网上银行进行交易时,只能使用这家银行机构发放的认证设备进行身份认证。这样,将导致一个用户针对多家银行机构需要开通多个认证设备,用户使用不便。
发明内容
本申请提供了一种基于区块链的身份认证方法、认证系统及存储介质,可以解决相关技术中存在的用户针对多家银行机构需要开通多个认证设备,用户使用不便的问题。所述技术方案如下:
一方面,提供了一种基于区块链的身份认证方法,应用于认证系统中的目标机构服务器中,所述目标机构服务器为所述认证系统包括的多个机构服务器中的任一个,所述多个机构服务器为多家机构的服务器,每个机构服务器上均配置有区块链,所述区块链用于存储认证设备标识和对应的公钥,所述方法包括:
接收客户端基于认证设备发送的用户身份认证请求,所述用户身份认证请求携带所述认证设备的认证设备标识和所述认证设备生成的签名信息,所述签名信息是通过所述认证设备的私钥进行加密得到,所述认证设备是在所述多个机构服务器中的任一机构服务器上针对所述多家机构统一开通的;
基于所述认证设备标识,从所述区块链中获取所述认证设备的公钥;
基于所述公钥,对所述签名信息进行验证;
若所述签名信息验证成功,则确定用户身份认证通过。
另一方面,提供了一种基于区块链的身份认证方法,应用于认证系统中的信息中心服务器中,所述认证系统还包括多个机构服务器,所述多个机构服务器为多家机构的服务器,所述信息中心服务器和每个机构服务器上均配置有区块链,所述区块链用于存储认证设备标识和对应的公钥,所述方法包括:
接收任一机构服务器发送的认证设备的开通请求,所述开通请求携带认证设备标识;
基于所述开通请求,向所述认证设备下发激活指令,所述激活指令用于指示所述认证设备生成公钥和私钥,将生成的公钥上报给所述信息中心服务器;
接收所述认证设备上报的公钥,将所述认证设备标识和所述公钥对应加入到所述区块链中。
另一方面,提供了认证系统,所述认证系统包括多个机构服务器,所述多个机构服务器为多家机构的服务器,每个机构服务器上均配置有区块链,所述区块链用于存储认证设备标识和对应的公钥,所述多个机构服务器中的任一机构服务器用于执行上述基于区块链的身份认证方法。
另一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由处理器加载并执行以实现上述基于区块链的身份认证方法。
另一方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述基于区块链的身份认证方法。
本申请提供的技术方案至少可以带来以下有益效果:
本申请实施例中,由于多个机构服务器统一配置有区块链,且该区块链用于存储针对这多个结构统一开通的认证设备的公钥,因此,当用户基于认证设备在任一机构服务器进行身份认证时,该机构服务器均可从区块链中获取到该认证设备的公钥,基于该公钥对用户身份进行认证。如此,用户针对认证系统的所有机构仅需申请开通一个认证设备,即能够在所有机构的业务中进行身份认证,减少了用户需要持有的认证设备的数量,方便了用户的使用,以及多个机构间的身份管理。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种认证系统的系统机构图;
图2是本申请实施例提供的一种基于区块链的身份认证方法的流程图;
图3是本申请实施例提供的一种用户开通认证设备和使用认证设备进行身份认证的流程示意图;
图4是本申请实施例提供的一种U盾开通和认证过程示意图;
图5是本申请实施例提供的一种基于区块链的身份认证装置的结构框图;
图6是本申请实施例提供的另一种基于区块链的身份认证装置的结构框图;
图7是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在对本申请实施例提供的方法进行详细的解释说明之前,先对本申请实施例提供的应用场进行介绍。
U盾(USB key)是一种USB接口的硬件设备,它内置单片机户或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
相关技术中,每家银行具有各自专门的U盾,用于在各家银行的交易中进行用户身份认证。而且,每家银行具有各自对应的密钥管理中心,用于对各自发放的U盾进行激活和管理。
目前,用户开办不同的银行业务,需要对应办理不同的认证设备(如U盾),导致用户持有很多认证设备,日常使用极其麻烦。为了解决用户需要在各个机构办理不同认证设备,导致用户持有较多认证设备的问题,本申请实施例提供了一种基于一个认证设备即可在多家机构上进行身份认证的方法,也即是,一个认证设备可以在多家机构上使用,从而减少了用户需要持有的认证设备的数量,方便了用户的使用。
接下来,对本申请实施例提供的实施环境进行介绍。
图1是本发明实施例提供的一种认证系统的系统机构图。该实施环境包括多个机构服务器101和信息中心服务器102。该多个机构服务器101为多家机构的服务器,机构服务器101可以属于任一家机构,例如银行、金融机构、信贷机构、征信机构或消费机构等等需要对用户身份进行认证的机构,该多个机构服务器101上均可以部署有至少一条可供各家机构共用的区块链,例如,用于存储在针对这多家机构统一开通的认证设备的认证设备标识和对应的公钥的区块链。当然,为了进一步实现用户身份认证功能,该多个机构服务器101上还可以部署有用于存储用户数据的其他区块链,本申请实施例对此不做限定。进一步地,为了保证数据的安全性和私密性,各个机构服务器还可以部署有各自的私有区块链,以存储该机构服务器对应机构的用户行为数据。
进一步地,各个机构服务器101还用于获取用户基于认证设备触发的用户身份认证请求,该用户身份认证请求携带认证设备标识和待认证的签名信息;基于该认证设备标识,从区块链中获取该认证设备的公钥,基于获取的公钥,对该签名信息进行验证,若签名信息验证成功,则确定用户身份认证通过。
进一步地,信息处理服务器102还用于接收任一机构服务器发送的认证设备的开通请求,该开通请求携带待开通的认证设备的认证设备标识,基于开通请求,向认证设备发送激活指令,以指示该认证设备生成公钥和私钥,将生成的公钥发送给信息中心服务器101;接收认证设备发送的公钥,将该认证设备标识和公钥对应加入到区块链中。
需要说明的是,信息中心服务器101是与多个机构服务器101对应的信息中心服务器,用于为多个机构服务器101提供服务。上述服务器均可以提供为任一种计算机设备,本发明实施例对此不做具体限定。
下面,对下述具体说明过程中出现的一些名词进行介绍:
联盟链,也称共同体区块链(Consortium Block chains),是指其共识过程受到预选节点控制的区块链。在联盟链中,只针对链内的节点成员开放全部或部分功能,联盟链中的各个区块链节点可以基于需要定制读写权限、查询权限等。例如,上述区块链可以为联盟链。
智能合约:根据特定条件自动执行的合约程序,是用户与区块链进行交互,利用区块链实现业务逻辑的重要途径。例如,各家机构可以通过服务器中部署的区块链上智能合约接入该认证系统。
区块链:区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
接下来对本申请实施例提供的基于区块链的身份认证方法进行详细的解释说明。图2是本申请实施例提供的一种基于区块链的身份认证方法的流程图,该方法应用于上述图1所示的认证系统中,如图2所示,该方法包括如下步骤:
需要说明的是,本申请实施例在进行身份认证之前,需要先开通用于进行身份认证的认证设备,接下来,先通过步骤201-208对认证设备的开通过程进行说明。
步骤201:客户端基于认证设备向目标机构服务器发送开通请求,该开通请求携带用户的身份标识、用户在目标机构服务器上注册的目标机构账号和认证设备标识。
其中,认证设备为数字证书载体,用于存储数字证书和用户私钥,以对用户身份进行验证。可选地,认证设备可以为独立于客户端之外的设备,如U盾、蓝牙盾或音频盾等。若认证设备独立于客户端之外,认证设备可以与客户端进行连接。比如,通过蓝牙或USB进行连接等。认证设备也可以为客户端,也即是,客户端集成有认证设备的功能。该客户端可以为移动终端、平板电脑或计算机等,本申请实施例对此不做限定。
其中,用户的身份标识用于唯一标识用户身份,可以为用户的身份证号、护照或出生证明等等。认证设备标识用于唯一标识认证设备,可以为认证设备的编号或id等。示例的,若目标机构为银行机构,则目标机构账号可以为银行卡号。
该开通请求用于请求为用户开通认证设备。客户端可以在接收到用户开通认证设备的指令时,向目标机构服务器发送开通请求。可选地,客户端可以在目标机构服务器提供的应用或网页中,向目标机构服务器发送开通请求。
客户端可以为用户客户端,也可以为目标机构的机构人员的客户端。也即是,可以由用户自己申请认证设备,也可以由目标机构的机构人员为用户申请认证设备。例如,以目标机构服务器为银行A的服务器为例,可以在用户在银行A开办网银业务的过程中,由银行A的职员为用户申请开通网银账号以及认证设备。
步骤202:目标机构服务器接收该开通请求,将该开通请求转发给信息中心服务器。
步骤203:信息中心服务器基于该开通请求,向认证设备下发激活指令。
其中,该激活指令用于指示认证设备生成公钥和私钥,将生成的公钥发送给信息中心服务器,由信息中心服务器将该认证设备标识和该公钥对应加入到该区块链中。
可选地,目标机构服务器可以以区块链节点的身份向信息中心服务器申请开通认证设备。信息中心服务器接收到目标机构服务器发送的开通请求后,可以先对目标机构服务器的区块链节点身份进行验证,当验证通过时,再为用户开通认证设备。
作为一个示例,目标机构服务器向信息中心服务器发送的开通请求还可以携带目标机构服务器的认证数据,当信息中心服务器基于该认证数据,对该目标机构服务器的区块链节点身份验证通过时,即可向认证设备下发激活指令。该认证数据可以为目标机构服务器的数字签名或数字证书等。
可选地,信息中心服务器可以先将该激活指令发送给客户端,由客户端转发给认证设备。
步骤204:认证设备基于该激活指令生成公钥和私钥,将生成的公钥上报给信息中心服务器。
也即是,认证设备基于该激活指令进行初始化,初始化的过程中将生成一对非对称性密钥,并将私钥存储在自身设备中,将公钥上传至信息中心服务器。
作为一个示例,认证设备可以先将公钥发送给客户端,由客户端通过目标机构服务器将公钥转发给信息中心服务器。
步骤205:信息处理中心服务器将该认证设备标识和该公钥对应加入到该区块链中。
也即是,信息处理中心服务器可以将该认证设备标识和该公钥统一到区块链的其他区块链节点上,实现与其他机构服务器的数据共享。
在另一实施例中,信息中心服务器接收到该开通请求后,还可以基于该认证设备标识,生成该认证设备的数字证书,然后将该数字证书下发给该认证设备。该数字证书用于验证该认证设备的身份。可选地,该数字证书可以为该信息中心服务器签名后的数字证书。
步骤206:目标机构服务器将目标机构账号和该认证设备标识进行关联。
通过将目标机构账号和该认证设备标识进行关联,即可实现为该用户针对目标机构开通认证设备。比如,若目标机构为银行机构,可以将银行账户与该认证设备标识进行关联。
进一步地,信息处理中心对认证设备激活成功后,还可以向目标机构服务器发送激活成功通知,当目标机构服务器接收到激活通知后,再将目标机构账号和该认证设备标识进行关联。
步骤207:目标机构服务器向认证系统中除目标机构服务器之外的其他机构服务器发送关联请求,该关联请求携带该身份标识和该认证设备标识。
其中,该关联请求用于请求其他机构服务器基于该身份标识确定该用户在该其他机构服务器上注册的机构账号,并将注册的机构账号与该认证设备标识进行关联。
步骤208:其他机构服务器接收该关联请求,基于该身份标识确定该用户在其他机构服务器上注册的机构账号,并将注册的机构账号与该认证设备标识进行关联。
也即是,当用户在目标机构服务器上申请开通认证设备时,目标机构服务器不仅能够在本机构内开通认证设备,还可以将该认证设备在认证系统的其他机构服务器上也进行开通,从而可以实现认证设备在认证系统的所有机构的同一开通。如此,用户仅需在一家机构内申请开通认证设备,即可将该认证设备在所有机构内均开通,使得用户仅需开通一次,即可实现认证设备在所有机构内的统一开通,简化了用户的操作,提高了认证设备的开通效率。
需要说明的是,本申请实施例申请开通的认证设备可以针对认证系统的所有机构使用,即可以针对联盟链的所有联盟成员使用,因此,本申请实施例所述的认证设备还可以称为统一认证设备,比如若认证设备为U盾,则本申请实施例的U盾可以称为统一盾。
在开通了认证设备后,即可利用认证设备进行身份认证。接下来,将通过步骤209-212对采用认证设备进行身份认证的过程进行说明。
步骤209:客户端基于认证设备向其他机构服务器发送用户身份认证请求,用户身份认证请求携带认证设备的认证设备标识和认证设备生成的签名信息。
其中,该其他机构服务器与该认证设备请求开通的其他机构服务器可以为同一机构服务器,也可以为不同机构服务器,本申请实施例对此不做限定。
其中,该签名信息是通过认证设备的私钥进行加密得到。认证设备为数字证书载体,用于存储数字证书和用户私钥,以对用户身份进行验证。可选地,认证设备可以为独立于客户端之外的设备,如U盾、蓝牙盾或音频盾等。若认证设备独立于客户端之外,认证设备可以与客户端进行连接。比如,通过蓝牙或USB进行连接等。认证设备也可以为客户端,也即是,客户端集成有认证设备的功能。
客户端可以在接收到用户基于认证设备触发的身份认证指令时,向其他机构服务器发送用户身份认证请求。用户可以在其他机构服务器提供的应用或网页中进行业务操作的过程中,基于认证设备触发的身份认证指令。比如,用户可以在银行A的网上银行进行交易的过程中,将认证设备与客户端进行连接,基于认证设备触发身份认证指令。
步骤210:其他机构服务器接收该用户身份认证请求,基于该认证设备标识,从区块链中获取该认证设备的公钥。
也即是,可以基于该认证设备标识,从区块链中获取该认证设备标识对应的公钥,作为该认证设备的公钥。
步骤211:其他机构服务器基于该公钥,对该签名信息进行验证。
可选地,可以使用该公钥对该签名信息进行解密,若解密成功,则确定签名信息验证成功,若解密失败,则确定签名信息验证失败。
步骤212:若该签名信息验证成功,则其他机构服务器确定用户身份认证通过。
在确定用户身份认证通过之后,其他机构服务器还可以向客户端返回身份认证通过通知。
在另一实施例中,用户身份认证请求还可以携带该认证设备的数字证书,在步212之前,还可以基于该数字证书,对认证设备的身份进行验证,若认证设备的身份认证通过,且签名信息验证成功,则确定用户身份认证通过。
在另一实施例中,该区块链还用于存储生物特征信息,也即是,区块链用于存储认证设备标识,以及对应的公钥和生物特征信息。该生物特征信息为用户的生物特征信息,可选地,可以为用户的人脸图像特征、指纹特征、声音特征或心率特征等。
相应地,在确定签名信息验证成功之后,还可以向客户端发送生物验证通知,该生物验证通知用于指示客户端采集用户的生物特征信息,然后接收客户端发送的生物特征信息,从区块链中获取认证设备对应的目标生物特征信息;若该生物特征信息与目标生物特征信息匹配,则确定用户身份认证通过。
通过在认证设备的签名信息验证通过之后,在基于用户的生物特征信息,对用户身份进一步进行验证,可以进一步提高用户身份认证的准确度。
进一步地,用户身份认证请求还可以携带该认证设备的数字证书,在向客户端发送生物验证通知之前,还可以基于该数字证书,对认证设备的身份进行验证,若认证设备的身份认证通过,且签名信息验证成功,则向客户端发送生物验证通知。
本申请实施例中,由于多个机构服务器统一配置有区块链,且该区块链用于存储针对这多个结构统一开通的认证设备的公钥,因此,当用户基于认证设备在任一机构服务器进行身份认证时,该机构服务器均可从区块链中获取到该认证设备的公钥,基于该公钥对用户身份进行认证。如此,用户针对认证系统的所有机构仅需申请开通一个认证设备,即能够在所有机构的业务中进行身份认证,减少了用户需要持有的认证设备的数量,方便了用户的使用,以及多个机构间的身份管理。
另外,用户仅需在一家机构内申请开通认证设备,即可将该认证设备在所有机构内均开通,使得用户仅需开通一次,即可实现认证设备在所有机构内的统一开通,简化了用户的操作,提高了认证设备的开通效率。
请参考图3,图3示出了本申请实施例的一个示例性的用户开通认证设备以及使用认证设备进行身份认证的流程图,如图3所示,机构A、机构B和信息中心服务器均配置有区块链,即均部署有区块链的前置节点,可以向区块链中添加和获取数据,该区块链用于存储认证设备标识和对应的公钥。用户可以向机构A申请开通认证设备,则机构A向信息中心发送认证设备的开通请求,由信息中心向认证设备发送激活指令。认证设备根据信息中心的激活指令进行初始化,在初始化的过程中生成私钥和公钥,并将公钥上报给信息中心。信息中心接收到认证设备上报的公钥后,将公钥和该认证设备的认证设备标识对应加入到区块链中,以与其他机构进行数据共享。在认证设备开通后,用户可以在机构B的业务处理过程中使用该认证设备进行身份认证,则机构B可以基于该认证设备的认证设备标识,从区块链中获取该认证设备的公钥,使用该公钥对该认证设备的签名信息进行验证,若签名信息验证成功,则确定用户身份认证通过。
请参考图4,图4将以目标机构为银行机构、认证设备为U盾、以及用户使用登录密码和已开通的U盾进行身份验证以登录网上银行的登录场景为例,对认证设备的开通过程和认证过程进行举例说明。如图4所示,认证设备的开通和认证过程包括如下步骤:
1.用户去银行开办网银业务。
2.银行为用户开通网银登录账户,授权交易次数,限额等等。
3.银行以区块链节点的身份去信息中心为用户申请开通U盾。
4.信息中心去激活U盾。
5.U盾进行初始化,内部生成私钥和公钥。
6.U盾将生成的公钥上传到信息中心。
7.信息处理中心下发数字证书,该数字证书用于证明U盾身份。
8.银行处理内部业务,将U盾与网银账户进行关联。
9.用户设置登录及交易密码等。
10.开通网银业务完成。
11.信息中心将U盾上传的公钥加入到区块链,即将该U盾的公钥统一到其他区块链节点上。
12.用户登录银行B的网上银行。
13.用户输入登录密码,并请求U盾认证。
14.请求U盾签名。
15.U盾向银行B上传数字证书。
16.银行B基于U盾的数字证书验证U盾身份合法性。
17.U盾签名成功。
18.U盾上传签名信息。
19.银行B从区块链上获取U盾的公钥,基于公钥验证签名信息。
20.签名信息验证成功。
21.用户登录成功。
图5是本申请实施例提供的一种基于区块链的身份认证装置的结构框图,该装置集成于认证系统中的目标机构服务器中,目标机构服务器为认证系统包括的多个机构服务器中的任一个,该多个机构服务器为多家机构的服务器,每个机构服务器上均配置有区块链,该区块链用于存储认证设备标识和对应的公钥,该认证装置包括接收模块501、获取模块502、验证模块503和确定模块504。
第一接收模块501,用于接收客户端基于认证设备发送的用户身份认证请求,该用户身份认证请求携带该认证设备的认证设备标识和该认证设备生成的签名信息,该签名信息是通过该认证设备的私钥进行加密得到,该认证设备是在该多个机构服务器中的任一机构服务器上针对该多家机构统一开通的;
获取模块502,用于基于该认证设备标识,从该区块链中获取该认证设备的公钥;
第一验证模块503,用于基于该公钥,对该签名信息进行验证;
确定模块504,用于若该签名信息验证成功,则确定用户身份认证通过。
可选地,该区块链还用于存储生物特征信息;该确定模块504用于:
若该签名信息验证成功,则向该客户端发送生物验证通知,该生物验证通知用于指示该客户端采集用户的生物特征信息;
接收该客户端发送的生物特征信息;
从该区块链中获取该认证设备对应的目标生物特征信息;
若该生物特征信息与该目标生物特征信息匹配,则确定用户身份认证通过。
可选地,该用户身份认证请求还携带该认证设备的数字证书;
该装置还包括第二验证模块,用于基于该数字证书,对该认证设备的身份进行验证;
该确定模块504用于:
若该认证设备的身份认证通过,且该签名信息验证成功,则向该客户端发送生物验证通知。
可选地,第一验证模块503,用于:
采用该公钥,对该签名信息进行解密;
若对该签名信息解密成功,则确定该签名信息验证成功。
可选地,述认证系统还包括信息中心服务器,该信息中心服务器上也配置有该区块链;
该装置还包括:
第二接收模块,用于接收该客户端基于该认证设备发送的开通请求,该开通请求携带用户的身份标识、该用户在该目标机构服务器上注册的目标机构账号和该认证设备标识;
发送模块,用于基于该开通请求,通过该信息中心服务器向该认证设备下发激活指令,该激活指令用于指示该认证设备生成公钥和私钥,将生成的公钥上报给该信息中心服务器,由该信息中心服务器将该认证设备标识和该公钥对应加入到该区块链中;
关联模块,用于将该目标机构账号和该认证设备标识进行关联。
可选地,该装置还包括发送模块,用于:
向该认证系统中除该目标机构服务器之外的其他机构服务器发送关联请求,该关联请求携带该身份标识和该认证设备标识,用于请求该其他机构服务器基于该身份标识确定该用户在该其他机构服务器上注册的机构账号,并将注册的机构账号与该认证设备标识进行关联。
本申请实施例中,由于多个机构服务器统一配置有区块链,且该区块链用于存储针对这多个结构统一开通的认证设备的公钥,因此,当用户基于认证设备在任一机构服务器进行身份认证时,该机构服务器均可从区块链中获取到该认证设备的公钥,基于该公钥对用户身份进行认证。如此,用户针对认证系统的所有机构仅需申请开通一个认证设备,即能够在所有机构的业务中进行身份认证,减少了用户需要持有的认证设备的数量,方便了用户的使用,以及多个机构间的身份管理。
图6是本申请实施例提供的另一种基于区块链的身份认证装置的结构框图,该装置集成于认证系统中的信息中心服务器中,该认证系统还包括多个机构服务器,该多个机构服务器为多家机构的服务器,该信息中心服务器和每个机构服务器上均配置有区块链,该区块链用于存储认证设备标识和对应的公钥,该装置包括:接收模块601和发送模块602。
接收模块601,用于接收任一机构服务器发送的认证设备的开通请求,该开通请求携带认证设备标识;
发送模块602,用于基于该开通请求,向该认证设备下发激活指令,该激活指令用于指示该认证设备生成公钥和私钥,将生成的公钥上报给该信息中心服务器;
接收模块601,还用于接收该认证设备上报的公钥,将该认证设备标识和该公钥对应加入到该区块链中。
可选地,该装置还包括:
生成模块,用于基于该认证设备标识,生成该认证设备的数字证书,该数字证书用于验证该认证设备的身份;
发送模块602,还用于将该认证设备的数字证书下发给该认证设备。
本申请实施例中,由于在任一机构服务器上申请开通认证设备时,信息中心服务器均可以将申请开通的认证设备的公钥存储在区块链上,与其他机构服务器进行共享,因此后续当用户基于该认证设备在任一机构服务器进行身份认证时,该机构服务器均可从区块链中获取到该认证设备的公钥,基于该公钥对用户身份进行认证。如此,用户针对认证系统的所有机构仅需申请开通一个认证设备,即能够在所有机构的业务中进行身份认证,减少了用户需要持有的认证设备的数量,方便了用户的使用,以及多个机构间的身份管理。
需要说明的是:上述实施例提供的基于区块链的身份认证装置在对用户身份进行认证时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的基于区块链的身份认证装置与基于区块链的身份认证方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图7是本发明实施例提供的一种服务器700的结构示意图,该服务器700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processingunits,CPU)701和一个或一个以上的存储器702,其中,所述存储器702中存储有至少一条指令,所述至少一条指令由所述处理器701加载并执行以实现上述各个方法实施例提供的基于区块链的身份认证方法。当然,该服务器700还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该服务器700还可以包括其他用于实现设备功能的部件,在此不做赘述。该服务器可以为认证系统中的机构服务器或信息中心服务器。
在一些实施例中,还提供了一种计算机可读存储介质,该存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述实施例中基于区块链的身份认证方法。例如,所述计算机可读存储介质可以是只读内存(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)、磁带、软盘和光数据存储设备等。
值得注意的是,本申请提到的计算机可读存储介质可以为非易失性存储介质,换句话说,可以是非瞬时性存储介质。
应当理解的是,实现上述实施例的全部或部分步骤可以通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。所述计算机指令可以存储在上述计算机可读存储介质中。
在示例性实施例中,还提供了一种计算机程序产品,当该计算机程序产品被执行时,其用于实现上述基于区块链的身份认证方法。
以上所述为本申请提供的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (7)
1.一种基于区块链的身份认证方法,其特征在于,应用于认证系统,所述认证系统包括多个机构服务器和信息中心服务器,所述多个机构服务器为多家机构的服务器,每个机构服务器和所述信息中心服务器上均配置有区块链,所述区块链用于存储认证设备标识和对应的公钥,所述方法包括:
第一机构服务器接收客户端基于认证设备发送的开通请求,并向所述信息中心服务器发送所述开通请求,所述开通请求携带用户的身份标识、所述用户在所述第一机构服务器上注册的第一机构账号和认证设备标识,所述第一机构服务器为所述多个机构服务器中的任一个;
所述信息中心服务器基于所述开通请求,向所述认证设备下发激活指令,所述激活指令用于指示所述认证设备生成公钥和私钥,将生成的公钥上报给所述信息中心服务器;
所述信息中心服务器接收所述认证设备上报的公钥,将所述认证设备标识和所述公钥对应加入到所述区块链中;
所述第一机构服务器将所述第一机构账号和所述认证设备进行关联,并向其他机构服务器发送关联请求,所述关联请求携带所述身份标识和所述认证设备标识,用于请求所述其他机构服务器基于所述身份标识确定所述用户在所述其他机构服务器上注册的机构账号,并将注册的机构账号与所述认证设备标识进行关联;
第二机构服务器接收客户端基于认证设备发送的用户身份认证请求,所述用户身份认证请求携带所述认证设备的认证设备标识和所述认证设备生成的签名信息,所述签名信息是通过所述认证设备的私钥进行加密得到,所述认证设备是在所述多个机构服务器中的任一机构服务器上针对所述多家机构统一开通的,所述第二机构服务器为所述多个机构服务器中的任一个;
所述第二机构服务器基于所述认证设备标识,从所述区块链中获取所述认证设备的公钥;基于所述公钥,对所述签名信息进行验证;若所述签名信息验证成功,则确定用户身份认证通过。
2.根据权利要求1所述的方法,其特征在于,所述区块链还用于存储生物特征信息;
所述若所述签名信息验证成功,则确定用户身份认证通过,包括:
若所述签名信息验证成功,则所述第二机构服务器向所述客户端发送生物验证通知,所述生物验证通知用于指示所述客户端采集用户的生物特征信息;
所述第二机构服务器接收所述客户端发送的生物特征信息;
所述第二机构服务器从所述区块链中获取所述认证设备对应的目标生物特征信息;
若所述生物特征信息与所述目标生物特征信息匹配,则所述第二机构服务器确定用户身份认证通过。
3.根据权利要求2所述的方法,其特征在于,所述用户身份认证请求还携带所述认证设备的数字证书;
所述若所述签名信息验证成功,则向所述客户端发送生物验证通知之前,还包括:
所述第二机构服务器基于所述认证设备的数字证书,对所述认证设备的身份进行验证;
所述若所述签名信息验证成功,则向所述客户端发送生物验证通知,包括:
若所述认证设备的身份认证通过,且所述签名信息验证成功,则所述第二机构服务器向所述客户端发送生物验证通知。
4.根据权利要求1所述的方法,其特征在于,所述基于所述公钥,对所述签名信息进行验证,包括:
采用所述公钥,对所述签名信息进行解密;
若对所述签名信息解密成功,则确定所述签名信息验证成功。
5.根据权利要求1所述的方法,其特征在于,所述接收所述认证设备上报的公钥之后,还包括:
所述信息中心服务器基于所述认证设备标识,生成所述认证设备的数字证书,所述数字证书用于验证所述认证设备的身份;
所述信息中心服务器将所述认证设备的数字证书下发给所述认证设备。
6.一种认证系统,所述认证系统包括信息中心服务器和多个机构服务器,所述多个机构服务器为多家机构的服务器,每个机构服务器上均配置有区块链,所述区块链用于存储认证设备标识和对应的公钥,所述认证系统用于执行权利要求1-5任一所述的基于区块链的身份认证方法。
7.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由信息中心服务器或多个机构服务器中的任一服务器的处理器加载并执行以实现如权利要求1-5任一所述的基于区块链的身份认证方法中对应的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910887294.7A CN110519062B (zh) | 2019-09-19 | 2019-09-19 | 基于区块链的身份认证方法、认证系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910887294.7A CN110519062B (zh) | 2019-09-19 | 2019-09-19 | 基于区块链的身份认证方法、认证系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110519062A CN110519062A (zh) | 2019-11-29 |
| CN110519062B true CN110519062B (zh) | 2021-10-29 |
Family
ID=68631529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910887294.7A Active CN110519062B (zh) | 2019-09-19 | 2019-09-19 | 基于区块链的身份认证方法、认证系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110519062B (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111090547A (zh) * | 2019-12-24 | 2020-05-01 | 浙江大华技术股份有限公司 | 一种数据备份处理方法及装置 |
| CN111327612B (zh) * | 2020-02-19 | 2022-05-24 | 奥比中光科技集团股份有限公司 | 一种用于认证深度测量装置的系统及方法 |
| CN111556007B (zh) * | 2020-03-03 | 2021-09-24 | 支付宝实验室(新加坡)有限公司 | 基于区块链的身份校验方法、装置、设备及存储介质 |
| CN113572715B (zh) * | 2020-04-29 | 2023-01-31 | 青岛海尔洗涤电器有限公司 | 基于区块链的数据传输方法和系统 |
| CN111949953B (zh) * | 2020-06-23 | 2021-10-22 | 卓尔智联(武汉)研究院有限公司 | 基于区块链的身份认证方法、系统、装置和计算机设备 |
| CN112003691B (zh) * | 2020-07-02 | 2022-04-26 | 北京交通大学 | 一种应用于城市轨道交通的分布式密钥管理系统 |
| CN111832046B (zh) * | 2020-07-02 | 2024-02-23 | 中通服创发科技有限责任公司 | 一种基于区块链技术的可信数据存证方法 |
| CN111885128A (zh) * | 2020-07-08 | 2020-11-03 | 佛山市海协科技有限公司 | 基于区块链的身份管理方法 |
| CN111738893B (zh) * | 2020-07-17 | 2024-03-22 | 百度在线网络技术(北京)有限公司 | 一种基于区块链的身份认证方法、装置、设备和介质 |
| CN114124418B (zh) * | 2020-08-27 | 2023-11-21 | 中国移动通信集团河南有限公司 | 一种基于区块链的数据处理方法、装置、系统及电子设备 |
| CN112036881A (zh) * | 2020-08-28 | 2020-12-04 | 江苏恒为信息科技有限公司 | 一种用区块链打通不同系统帐户的软硬件实现方式 |
| CN112255924A (zh) * | 2020-10-16 | 2021-01-22 | 深圳拓邦股份有限公司 | 基于区块链的家居设备管理方法、装置、移动式入链设备 |
| CN112311556B (zh) * | 2020-11-05 | 2024-05-24 | 北京领主科技有限公司 | 设备认证的方法、设备控制的方法、节点、设备、区块链 |
| CN112489760B (zh) * | 2020-11-26 | 2023-07-18 | 泰康保险集团股份有限公司 | 一种基于分布式身份认证的处方处理方法和系统 |
| CN112822162B (zh) * | 2020-12-29 | 2023-05-23 | 重庆川仪自动化股份有限公司 | 一种基于区块链的设备验证连接方法及系统 |
| CN112818323A (zh) * | 2020-12-29 | 2021-05-18 | 山西特信环宇信息技术有限公司 | 一种锥体区块链身份认证系统 |
| CN112800130A (zh) * | 2020-12-30 | 2021-05-14 | 杭州趣链科技有限公司 | 数据上链方法、系统、装置、设备和存储介质 |
| CN112862589B (zh) * | 2021-01-08 | 2024-04-23 | 北京金山云网络技术有限公司 | 金融场景下的身份验证方法、装置和系统 |
| CN112765586A (zh) * | 2021-01-12 | 2021-05-07 | 湖北宸威玺链信息技术有限公司 | 一种基于区块链的部署文件分发方法、设备和存储介质 |
| CN113114625B (zh) * | 2021-03-16 | 2023-07-18 | 上海源庐加佳信息科技有限公司 | 基于区块链的用户身份校验方法、系统、介质及终端 |
| CN114900307A (zh) * | 2021-03-29 | 2022-08-12 | 万加合一数字科技集团有限公司 | 一种基于区块链的盾及其可信监测系统 |
| CN114900309A (zh) * | 2021-03-29 | 2022-08-12 | 北京格瑞空间科技有限公司 | 一种将信息化应用系统的用户身份标识与区块链链账户对应的方法 |
| CN115225428B (zh) * | 2021-06-29 | 2023-10-13 | 达闼机器人股份有限公司 | 机器人认证系统及方法 |
| CN113743939A (zh) * | 2021-09-16 | 2021-12-03 | 中国银行股份有限公司 | 基于区块链的身份认证方法、装置及系统 |
| CN114584324B (zh) * | 2022-04-28 | 2022-08-26 | 天聚地合(苏州)科技股份有限公司 | 一种基于区块链的身份授权方法和系统 |
| CN115834253B (zh) * | 2023-02-15 | 2023-04-14 | 布比(北京)网络技术有限公司 | 身份验证方法、身份验证系统、客户端和服务端 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394276A (zh) * | 2007-09-21 | 2009-03-25 | 上海盛大网络发展有限公司 | 基于usb硬件令牌的认证系统及方法 |
| CN103873241A (zh) * | 2012-12-11 | 2014-06-18 | 中国银联股份有限公司 | 安全盾、数字证书管理系统和方法 |
| CN108737418A (zh) * | 2018-05-22 | 2018-11-02 | 飞天诚信科技股份有限公司 | 一种基于区块链的身份认证方法及系统 |
| CN109150535A (zh) * | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
| CN109660330A (zh) * | 2018-12-28 | 2019-04-19 | 飞天诚信科技股份有限公司 | 一种在区块链上进行身份认证的方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10079682B2 (en) * | 2015-12-22 | 2018-09-18 | Gemalto Sa | Method for managing a trusted identity |
| CN106385319B (zh) * | 2016-09-29 | 2020-11-27 | 江苏通付盾科技有限公司 | 区块链网络中信息的验证方法及系统 |
| WO2018214133A1 (zh) * | 2017-05-25 | 2018-11-29 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的fido认证方法、装置及系统 |
-
2019
- 2019-09-19 CN CN201910887294.7A patent/CN110519062B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394276A (zh) * | 2007-09-21 | 2009-03-25 | 上海盛大网络发展有限公司 | 基于usb硬件令牌的认证系统及方法 |
| CN103873241A (zh) * | 2012-12-11 | 2014-06-18 | 中国银联股份有限公司 | 安全盾、数字证书管理系统和方法 |
| CN109150535A (zh) * | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
| CN108737418A (zh) * | 2018-05-22 | 2018-11-02 | 飞天诚信科技股份有限公司 | 一种基于区块链的身份认证方法及系统 |
| CN109660330A (zh) * | 2018-12-28 | 2019-04-19 | 飞天诚信科技股份有限公司 | 一种在区块链上进行身份认证的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110519062A (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519062B (zh) | 基于区块链的身份认证方法、认证系统及存储介质 | |
| KR102062919B1 (ko) | 블록체인 기반 데이터 클라우드 서비스 제공방법 | |
| US10636240B2 (en) | Architecture for access management | |
| US11314891B2 (en) | Method and system for managing access to personal data by means of a smart contract | |
| CN111552955B (zh) | 一种基于区块链和ipfs的个人身份认证方法及装置 | |
| US20190095835A1 (en) | Use of identity and access management for service provisioning | |
| KR102189301B1 (ko) | 블록체인 기반 보안이 강화된 클라우드 서비스 제공 시스템 및 방법 | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| US20220405765A1 (en) | Know your customer (kyc) and anti-money laundering (aml) verification in a multi-decentralized private blockchains network | |
| CN110535807B (zh) | 一种业务鉴权方法、装置和介质 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN112712452A (zh) | 基于区块链的审批信息处理方法和装置 | |
| Ahmed et al. | A self-sovereign identity architecture based on blockchain and the utilization of customer’s banking cards: The case of bank scam calls prevention | |
| CN110599332A (zh) | 基于区块链的用户意愿确定方法、装置、设备和存储介质 | |
| CN113271207A (zh) | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 | |
| CN111934881A (zh) | 数据确权方法和装置、存储介质和电子装置 | |
| CN113869901B (zh) | 密钥生成方法、装置、计算机可读存储介质及计算机设备 | |
| CN114495352A (zh) | 一种基于缴费终端身份认证管控机制的电子化解款系统及方法 | |
| TWI828001B (zh) | 使用多安全層級驗證客戶身分與交易服務之系統及方法 | |
| KR102261195B1 (ko) | 본인정보 활용 서비스를 위한 통합 인증 및 데이터 제공 방법과 그 장치 | |
| KR20230089559A (ko) | 블록체인 기반 fido 인증 방법 및 이를 이용한 시스템 | |
| TWM619084U (zh) | 具有電信認證的服務系統 | |
| CN116166743A (zh) | 一种基于Hyperledger Fabric超级账本的数字资产继承系统及方法 | |
| CN117557264A (zh) | 一种mpc钱包交互系统 | |
| CN111275461A (zh) | 一种数据处理方法、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |