CN113918984A - 基于区块链的应用访问方法及系统、存储介质、电子设备 - Google Patents
基于区块链的应用访问方法及系统、存储介质、电子设备 Download PDFInfo
- Publication number
- CN113918984A CN113918984A CN202011459391.5A CN202011459391A CN113918984A CN 113918984 A CN113918984 A CN 113918984A CN 202011459391 A CN202011459391 A CN 202011459391A CN 113918984 A CN113918984 A CN 113918984A
- Authority
- CN
- China
- Prior art keywords
- certificate
- target
- party
- user
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例是关于一种基于区块链的应用访问方法及系统、存储介质、电子设备,涉及计算机技术领域,该方法包括:获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。本发明实施例提高了用户信息的安全性。
Description
技术领域
本发明实施例涉及计算机技术领域,具体而言,涉及一种基于区块链的应用访问方法、基于区块链的应用访问装置、计算机可读存储介质以及电子设备。
背景技术
在客户端、服务器分离的应用程序模型中,应用程序所在的服务器需要对客户端进行验证,确认使用者的身份。
在常见的场景中,例如一个登录界面,用户方需要在界面中录入自己的身份信息,服务端确认信息正确后,方可允许客户端以此身份进行后续操作。
但是,上述方案存在如下缺陷:由于用户方需要录入自己的身份信息,使得用户方的敏感信息的过度暴露,进而导致用户方的信息的安全性较低。
因此,需要提供一种新的基于区块链的应用访问方法。
需要说明的是,在上述背景技术部分发明的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本发明的目的在于提供一种基于区块链的应用访问方法、基于区块链的应用访问装置、计算机可读存储介质以及电子设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的用户方的信息的安全性较低的问题。
根据本公开的一个方面,提供一种基于区块链的应用访问方法,包括:
获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;
如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;
将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
在本公开的一种示例性实施例中,在根据所述目标证书生成授权证书信息之前,所述基于区块链的应用访问方法还包括:
如果所述目标证书不存在于所述当前证书类型中,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成证书申请请求;
将所述证书申请请求发送至发证方,并接收所述发证方响应所述证书申请请求,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符生成的目标证书。
在本公开的一种示例性实施例中,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成证书申请请求,包括:
生成包括用户公钥以及用户私钥的密码对;
根据所述密码对中的用户公钥、所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成所述证书申请请求。
在本公开的一种示例性实施例中,所述基于区块链的应用访问方法还包括:
建立所述密码对中的用户私钥以及所述目标证书之间的映射关系;
对所述映射关系、所述用户私钥以及所述目标证书进行存储。
在本公开的一种示例性实施例中,所述将所述证书授权信息上传至所述状态库中,包括:
在所述区块链中创建目标账户信息,并对所述目标账户信息以及所述用户方的当前账户信息进行绑定;
基于绑定关系,将所述证书授权信息共享至所述状态库中。
在本公开的一种示例性实施例中,所述基于区块链的应用访问方法还包括:
根据所述当前证书的生成证书列表,并基于所述绑定关系,将所述当前证书列表存储至所述状态库中。
根据本公开的一个方面,提供一种基于区块链的应用访问装置,包括:
目标证书获取模块,用于获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;
授权信息生成模块,用于如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;
应用访问模块,用于将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
根据本公开的一个方面,提供一种基于区块链的应用访问系统,包括:
用户方所在的终端设备,用于实现上述任一项所述的基于区块链的应用访问方法;
区块链,与所述用户方所在的终端设备网络连接,用于对所述用户方上传的证书授权信息进行管理;
应用方所在的服务器,与所述区块链网络连接,用于在轮询到所述区块链中存在证书授权信息后,将根据所述证书授权信息中包括的目标证书生成证书验证请求发送至发证方,并在确认发证方发送的验证结果为所述目标证书全部有效时,授权与所述目标证书对应的用户方的访问行为。
根据本公开的一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的基于区块链的应用访问方法。
根据本公开的一个方面,提供一种电子设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的基于区块链的应用访问方法。
本发明实施例提供的一种基于区块链的应用访问方法,一方面,通过获取访问应用方所需的目标证书,并判断目标证书是否存在于用户方的当前证书中;并在确定目标证书存在于当前证书中时,根据目标证书生成证书授权信息;最后将证书授权信息上传至区块链的状态库中,以使得应用方在轮询到状态库中存在用户方的证书授权信息时,在确认证书授权信息中所包括的目标证书均有效时,授权用户方的访问行为,解决了现有技术中由于用户方需要录入自己的身份信息,使得用户方的敏感信息的过度暴露,进而导致用户方的信息的安全性较低的问题,提高了用户方的信息的安全性;另一方面,由于应用方是在确认证书授权信息中所包括的目标证书均有效时,才授权用户方的访问行为,进而实现了对用户方的当前证书的二次校验;再一方面,通过在确定目标证书存在于当前证书中时,根据目标证书生成证书授权信息,避免了由于需要录入身份信息进而导致的访问效率较低的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出根据本发明示例实施例的一种基于区块链的应用访问方法的流程图。
图2示意性示出根据本发明示例实施例的一种基于区块链的应用访问系统的框图。
图3示意性示出根据本发明示例实施例的一种基于区块链的框图。
图4示意性示出根据本发明示例实施例的另一种基于区块链的应用访问方法的流程图。
图5示意性示出根据本发明示例实施例的另一种基于区块链的应用访问方法的流程图。
图6示意性示出根据本发明示例实施例的另一种基于区块链的应用访问方法的流程图。
图7示意性示出根据本发明示例实施例的一种基于区块链的应用访问装置的框图。
图8示意性示出根据本发明示例实施例的另一种基于区块链的应用访问装置的框图。
图9示意性示出根据本发明示例实施例的一种用于实现上述基于区块链的应用访问方法的电子设备。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本发明的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本发明的各方面变得模糊。
此外,附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
近年来,互联网得到深入普及,与每个人的衣食住行息息相关。带给人们便捷的同时,也造成了用户敏感信息的过度暴露。网络暴力,金融诈骗,人肉等作恶行为的成本变得很低,带来了很多不良的社会影响。
为了解决上述问题,W3C(World Wide Web Consortium,网际网络联盟)提出了DID(Decentralized Identifier,去中心化标识符)的概念,即分布式身份标识规范,该分布式身份标识规范可以将用户的敏感信息转换为匿名的可验证声明,该声明主要提供断言,由发证方背书;使用者看不到用户敏感信息,而是拿到该断言来判断用户权限。
但是,W3C的DID仍旧停留在规范阶段,并未有成熟的与业务相结合的整体方案,即并未应用到具体的应用场景中,这就导致很多细节问题没有得到答案。例如,在整体系统框架中,发证方如何验证用户的敏感信息;使用方、用户方如何有效管理;如何快速对接更多业务方等等。
基于此,本示例实施方式中首先提供了一种基于区块链的应用访问方法,该方法可以运行于终端设备;当然,本领域技术人员也可以根据需求在其他平台运行本发明的方法,本示例性实施例中对此不做特殊限定。参考图1所示,该基于区块链的应用访问方法可以包括以下步骤:
步骤S110.获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;
步骤S120.如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;
步骤S130.将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
上述基于区块链的应用访问方法中,一方面,通过获取访问应用方所需的目标证书,并判断目标证书是否存在于用户方的当前证书中;并在确定目标证书存在于当前证书中时,根据目标证书生成证书授权信息;最后将证书授权信息上传至区块链的状态库中,以使得应用方在轮询到状态库中存在用户方的证书授权信息时,在确认证书授权信息中所包括的目标证书均有效时,授权用户方的访问行为,解决了现有技术中由于用户方需要录入自己的身份信息,使得用户方的敏感信息的过度暴露,进而导致用户方的信息的安全性较低的问题,提高了用户方的信息的安全性;另一方面,由于应用方是在确认证书授权信息中所包括的目标证书均有效时,才授权用户方的访问行为,进而实现了对用户方的当前证书的二次校验;再一方面,通过在确定目标证书存在于当前证书中时,根据目标证书生成证书授权信息,避免了由于需要录入身份信息进而导致的访问效率较低的问题。
以下,将结合附图对本发明示例实施例基于区块链的应用访问方法中涉及的各步骤进行详细的解释以及说明。
首先,对本发明示例实施例的发明目的进行解释以及说明。具体的,本公开受W3CDID理论基础所启发,结合区块链技术完成对于多方有效管理,通过智能合约完成对于多方行为的安全监管与追踪审计,进而使得用户方可以成功的对应用方进行访问;同时,还可以针对不同业务方、不同区块链平台进行快速的对接。
其中,去中心化标识符是一种新型可验证的且拥有“自我主权”的数字身份标识符,作为一种去中心化的认证数据结构,可以定义人、物和机构,去中心化标识符的方法规范由万维网联盟(W3C)创建,区块链技术的出现为实施去中心化身份管理提供了机会,在去中心化标识符中,所有身份信息都以分布式账本的形式共享信任节点,每个去中心化标识符由身份所有者的私钥加密保护,它被公认为可以重新定义互联网协议中缺失的重要安全层,即身份层,传统的身份认证管理系统是集中式的,而去中心化标识符完全独立于集中式管理中心、第三方认证服务和证书颁发机构(发证方)。
去中心化标识符DIDs完全被DIDs主题控制,不依赖于任何中心注册机构,身份提供商或者证书颁发机构。去中心化标识符的系统设计应该消除对集中式注册机构以及密钥管理的集中式证书颁发机构--分层PKI(公钥基础结构)标准模式的依赖性,由于DIDs驻留在分布式帐本上,因此每个实体都可以充当其自己的权限信任根,该权限信任根即为一种被称为DPKI(去中心化PKI)的体系结构。
DIDs是将DIDs主题与可信任的交互端点相关联的URL(Uniform ResourceIdentifier,统一资源标识符),DIDs解析为DIDs文档,DIDs文档一种描述如何使用该特定DIDs的简单文档,每个DIDs文档至少包含三个组件:加密材料,身份验证套件和服务端点,与身份验证套件相结合的加密材料提供了一组用于作为DIDs主题进行身份验证的机制(例如,公钥,匿名生物识别协议等),服务端点支持与DIDs主题的可信交互。实体由去中心化标识符(DIDs)标识,可以通过证明(例如数字签名,隐私保护生物识别协议等)进行身份验证。DIDs指向DIDs文档。遵循隐私设计的原则,每个实体可以根据需要拥有尽可能多的DIDs,以尊重实体所希望的身份,实现人物角色和背景的分离。
其次,对本发明示例实施例的基于区块链的应用访问系统进行解释以及说明。参考图2所示,该基于区块链的应用访问系统可以包括用户方所在的终端设备210、区块链220以及应用方所在的服务器230,用户方所在的终端设备以及应用方所在的服务器分别与区块链网络连接。进一步的,该基于区块链的应用访问系统还可以包括发证方所在的服务器240,其分别与用户方所在的终端设备210、区块链220以及应用方所在的服务器230网络连接。具体的:
首先,用户方,可以用于根据访问应用方所需的目标证书生成证书授权信息,并将证书授权信息上传至区块链的状态库中。譬如,用户方可以扫描应用方提供的二维码,该二维码中包括应用方的去中心化标识符,其中,具体的扫描过程可以通过终端设备进行扫描,譬如,通过微信小程序进行扫描等等;然后,用户方可以根据该去中心化标识符查询访问该应用方所需的目标证书(列表);当用户方获取到该目标证书时,判断目标证书是否都包含在当前拥有的证书中,如果是,则生成证书授权信息并将其上传至区块链的状态库中;如果否,则根据所需要目标证书以及用户方的去中心化标识符生成目标证书申请请求,并将该目标证书申请请求发送至发证方。
其次,参考图3所示,区块链中可以包括管理模块301,该管理模块可以用于对所述状态库中的所述用户方发送的证书授权信息进行管理。
然后,应用方,其可以用于在轮询到所述管理模块中存在证书授权信息后,将根据所述证书授权信息中包括的目标证书生成证书验证请求发送至发证方,并在确认发证方发送的验证结果为所述目标证书全部有效时,授权与所述目标证书对应的用户方的访问行为;
最后,发证方,与所述应用方、区块链以及所述用户方网络连接,可以用于对所述应用方发送的证书验证请求中包括的目标证书进行验证,得到验证结果,并将验证结果发送至所述应用方。当然,发证方还可以用于在接收到目标证书申请请求后,在判断该申请请求符合要求后,生成目标证书;同时,发证方还可以用于:在检测到所述目标证书到期和/或发生更新时,对所述目标证书进行撤销。
以下,结合图3对区块链进行进一步的解释以及说明。参考图3所示,该区块链中还可以包括身份模块302以及证书模块303。其中:
首先,管理模块,用于管理应用方、发证方以及对证书进行维护。其中:
应用方,包含应用方身份、信任的发证方、所需的目标证书(即可验证声明断言)。应用方可以有多个,其还可以包括新接入的应用方以及应用方信息更新、删除等操作。
发证方,包含发证方身份、发证方支持的证书类型。发证方也可以有多个,其还可以包括新接入的发证方、系统间服务对接以及发证方信息更新、删除等操作。
证书,包含证书的说明、有效期、目前支持的发证方等,证书有大量的不同的多个。
其次,身份模块,用于管理整个系统的身份,以及跨链身份。身份模块首先可以管理应用方、发证方、普通用户(用户方)的区块链身份,秘钥对找回等。但不会保存或泄露任何用户敏感信息,例如实名信息,用户私钥等。
由于很多业务系统都有独立的账户体系,例如发证方自身验证服务系统的账户体系、应用方系统账户体系。由于发证方的账户体系是用于检查证书内容的查询条件,因此会被第三方身份安全模块管理起来。而应用方系统的账户体系,则提供了用户匿名安全且具备各种证书的分布式身份,应用方可以随时接入本系统,并对自身账户体系关联,以及自身业务权限的配置等。
最后,证书模块,用于证书的保存、申请、授权、撤销等。证书模块首先保存了大量的不同发证方发给不同用户的不同类型的证书。每个证书的结构覆盖x509证书规范以及DIDs证书规范,达到多方安全规范标准,提供更多的冗余字段,供前端展示。
证书模块还负责了普通用户向发证方发起的申请动作,这是一个工单性质的动作。具备申请创建、处理中、申请失败以及成功的多种状态。
证书模块还负责了普通用户向应用方发起的授权动作,这也同样是一个工单动作,具备授权创建、处理中、授权失败与成功的多种状态。
证书模块还负责了证书本身的撤销动作。当证书被授权或者应用方验证的时候,会发现证书过期或者发证方验证服务返回失效等问题,此时会触发证书撤销动作。证书模块还包括了查询索引模块,对于用户申请以及授权、证书撤销等记录,业务系统前端会有查询的需求,那么该模块就是为了应对快速查询这些记录而服务的。
以下,将结合上述图2对步骤S110-步骤S130进行解释以及说明。
在步骤S110中,获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中。
在本示例实施例中,首先,用户方所在的终端设备扫描应用方展示的二维码(具体可以通过终端设备中包括的微信小程序对二维码进行扫描,当然也可以通过其他方式,本示例对此不做特殊限制),得到应用方的去中心化标识符;然后,用户方根据该去中心化标识符从区块链的管理模块中获取访问该应用方所需要的目标证书(可以以列表的形式存在);进一步的,当获取到该目标证书后,判断该目标证书是否全都存在于用户方的当前证书(也可以以列表的形式存在)中。
此处需要补充说明的是,基于前述记载的内容可以得知,应用方所需的目标证书以及用户方所拥有的当前证书,都可以存储在区块链的管理模块中,且都可以以列表的形式存在。因此,可以直接从区块链的管理模块中获取目标证书,也可以从区块链的管理模块中获取当前证书,当都获取到以后,再进行比对。基于该方法,通过使用区块链技术对应用方以及用户方的进行分布式身份的管理,可以利用到区块链的匿名性、不可逆性以及高健壮性,提高了证书的管理效率以及证书的可信程度,打通了多方壁垒,提高了应用方以及用户方的系统效率,进而提升访问效率;同时,还可以便于安全监控以及事后追踪审计,进一步的提高了应用方以及用户方的自身的安全性。
在步骤S120中,如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息。
具体的,此处以应用方为某个App为例,对证书授权信息的具体生成过程进行解释以及说明。具体的,假设该App所需要的目标证书均存在于当前证书中,则用户方可以通过勾选的方式选中目标证书,并勾选同意授权的选项,当终端设备接收到用户的选择信息时,可以根据用户所勾选的目标证书生成证书授权信息。
另外,如果目标证书不完全存在于当前证书中,则参考图4所示,该基于区块链的应用访问方法还可以包括步骤S410以及步骤S420。其中:
在步骤S410中,如果所述目标证书不存在于所述当前证书中,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成证书申请请求。
在本示例实施例中,当目标证书不存在于或者不完全存在于当前证书中时,可以根据不存在于当前证书中的目标证书所属的证书类型以及用户方的去中心化标识符,生成证书申请请求。具体的可以包括:首先,生成包括用户公钥以及用户私钥的密码对;其次,根据所述密码对中的用户公钥、所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成所述证书申请请求。举例来说,当需要申请目标证书时,终端设备生成一包括用户公钥以及用户私钥的密码对,然后根据密码对中的用户公寓、目标证书所属的证书类型以及用户方的去中心化标识符生成证书申请请求。
此处需要补充说明的是,用户方可通过RSA算法生成密码对。其中,RSA算法是一种非对成型的加密算法。非对称加密的密钥,在生成时每组会产生两个,且由于数学特性,只知道其中一个密钥是很难推算出另一个密钥的,因此,使用其中一个密钥加密的数据,只能被另一个密钥解密。使用时,将产生的密钥的其中一个广而告之(称之为用户公钥),另一个则妥善保管(称之为用户私钥)。任何人可以使用公钥加密数据,并发往私钥拥有者。由于只有私钥拥有者可以解密数据,因此也可以防止其他人谎称自己是私钥拥有者而获得明文信息。同样,使用私钥加密的数据,则可以被任何人使用对应的公钥解密。这种操作可以用来保障此发出信息的人必然是私钥的拥有者。使用时,通常私钥拥有者会将需要发送的明文信息进行摘要算法(哈希),并使用私钥将摘要结果加密,这种操作被称为签名。接受者使用相同的算法计算明文的摘要信息,与使用公钥解密后的签名比对,即可得知原发送者是否为对应的私钥拥有者。
在步骤S420中,将所述证书申请请求发送至发证方,并接收所述发证方响应所述证书申请请求,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符生成的目标证书。
在本示例实施例中,当得到上述证书申请请求以后,可以将该证书申请请求发送至发证方,当发证方接收到该证书申请请求后,响应该证书申请请求,对去中心化标识符进行验证;如果验证成功,则根据目标证书所属的证书类型以及用户公钥,签发目标证书并发送至用户方;如果验证失败,则向用户方发送证书签发失败的消息。
进一步的,当用户方接收到目标证书以后,该基于区块链的应用访问方法还包括:首先,建立所述密码对中的用户私钥以及所述目标证书之间的映射关系;其次,对所述映射关系、所述用户私钥以及所述目标证书进行存储。通过该方法,可以对目标证书进行续签、对目标证书的验证信息进行修改或者对证书的功能进行变更。具体原因如下:在对目标证书进行续签、对目标证书的验证信息进行修改或者对证书的功能进行变更,发证方需要对用户方的目标证书的合法性进行验证,具体验证过程是:验证目标证书是否是由发证方签发,并用户方对应的客户端是否存在用户私钥;如果存在用户私钥,则发证方可以根据用户方提供的新的用户公钥重新对目标证书进行签发。
在步骤S130中,将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
在本示例实施例中,首先,将证书授权信息上传至区块链的状态库中,具体的可以包括:首先,在所述区块链中创建目标账户信息,并对所述目标账户信息以及所述用户方的当前账户信息进行绑定;其次,基于绑定关系,将所述证书授权信息共享至所述状态库中。具体的,可以根据用户方的去中心化标识符在区块链中创建目标账户信息,然后对目标账户信息以及用户方的当前账户信息(例如微信的账户信息)进行绑定,当生成授权信息以后,可以基于该绑定关系,将证书授权信息共享至区块链的状态库中。通过该方法,可以提高证书授权信息的共享效率,进而提高访问效率。
其次,当共享至状态库以后,应用方可以以轮询的方式从状态库中轮询该证书授权信息,并在轮询到该证书授权信息以后,可以确认目标证书是否均有效(或者合法),如果全部有效,则授权访问;如果无效,则拒绝访问。
进一步的,为了便于判断目标证书是否全都存在于当前证书中,该方法还包括:根据所述当前证书的生成证书列表,并基于所述绑定关系,将所述当前证书列表存储至所述状态库中。进一步的,当需要判断目标证书是否全都存在于当前证书中时,可以基于该证书列表以及目标证书所生成的证书列表进行匹配,再基于匹配结果,判断是否完全存在于当前证书中。通过该方法,可以提高判断效率,进而提高访问效率。
本发明示例实施例还提供了另一种基于区块链的应用访问方法,该方法可以运行于应用方所在的服务器。参考图5所示,该基于区块链的应用访问方法可以包括步骤S510-步骤S530。其中:
在步骤S510中,当轮询到区块链中存在用户方在确定目标证书存在于当前证书中时根据目标证书生成的证书授权信息时,根据所述证书授权信息中包括的目标证书生成证书验证请求。
在步骤S520中,将所述证书验证请求发送至发证方,并接受所述发证方在对所述目标证书验证以后发送的验证结果。
在步骤S530中,如果所述验证结果为所述目标证书全部有效,则授权与所述目标证书对应的用户方的访问行为。
图5示意性示出的基于区块链的应用访问方法中,实现了对用户方的当前证书的二次校验,进一步的提升了应用方所在的系统的安全性。
以下,将结合图6对本发明示例实施例基于区块链的应用访问方法进行进一步的解释以及说明。参考图6所示,该基于区块链的应用访问方法可以包括以下步骤:
步骤S610,用户方扫描应用方展示的二维码,得到应用方的去中心化标识符;
步骤S620,用户方根据应用方的去中心化标识符获取访问应用方所需的目标证书,并判断目标证书是否完全存在于当前证书中;如果是,则跳转至步骤S630,如果否,则跳转至步骤S660;
步骤S630,用户方根据目标证书生成证书授权信息,并将证书授权信息共享至区块链的状态库中;
步骤S640,应用方从状态库中轮询用户方的证书授权信息,并判断证书授权信息中包括的目标证书是否有效;如果是,跳转至步骤S650,如果否,则跳转至步骤S670。
步骤S650,应用方授权用户方的登录以及访问等行为。
步骤S660,用户方根据目标证书的证书类型生成证书申请请求,以向发证方申请目标证书,直至目标证书全部申请成功。
步骤S670,应用方拒绝用户方的登录以及访问等行为。
本发明示例实施例所提供的基于区块链的应用访问方法中,实现了基于W3C DID的落地解决方案,包括对于多方角色以及证书相关的系统架构方案,发证服务的对接管理、应用方使用的对接建议等;同时,通过使用区块链技术,管理多方角色、以及各角色间通过智能合约完成的关于分布式身份的动作。从而利用到区块链的优良特性,如匿名、不可逆、高健壮性,以及打通多方壁垒,提高协同效率,安全监控与事后追踪审计等。
本发明示例实施例还提供了一种基于区块链的应用访问装置。参考图7所示,该基于区块链的应用访问装置可以包括目标证书获取模块710、授权信息生成模块720以及应用访问模块730。其中:
目标证书获取模块710,可以用于获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;
授权信息生成模块720,可以用于如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;
应用访问模块730,可以用于将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
在本公开的一种示例性实施例中,所述基于区块链的应用访问装置还包括:
证书申请请求生成模块,可以用于如果所述目标证书不存在于所述当前证书类型中,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成证书申请请求;
目标证书接收模块,可以用于将所述证书申请请求发送至发证方,并接收所述发证方响应所述证书申请请求,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符生成的目标证书。
在本公开的一种示例性实施例中,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成证书申请请求,包括:
生成包括用户公钥以及用户私钥的密码对;
根据所述密码对中的用户公钥、所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成所述证书申请请求。
在本公开的一种示例性实施例中,所述基于区块链的应用访问装置还包括:
映射关系建立模块,可以用于建立所述密码对中的用户私钥以及所述目标证书之间的映射关系;
存储模块,可以用于对所述映射关系、所述用户私钥以及所述目标证书进行存储。
在本公开的一种示例性实施例中,所述将所述证书授权信息上传至所述状态库中,包括:
在所述区块链中创建目标账户信息,并对所述目标账户信息以及所述用户方的当前账户信息进行绑定;
基于绑定关系,将所述证书授权信息共享至所述状态库中。
在本公开的一种示例性实施例中,所述基于区块链的应用访问装置还包括:
证书列表生成模块,可以用于根据所述当前证书的生成证书列表,并基于所述绑定关系,将所述当前证书列表存储至所述状态库中。
本发明示例实施例还提供了另一种基于区块链的应用访问装置。参考图8所示,该基于区块链的应用访问装置还可以包括证书验证请求生成模块810、验证结果接收模块820以及授权模块830。其中:
证书验证请求生成模块810,可以用于当轮询到区块链中存在用户方在确定目标证书存在于当前证书中时根据目标证书生成的证书授权信息时,根据所述证书授权信息中包括的目标证书生成证书验证请求;
验证结果接收模块820,可以用于将所述证书验证请求发送至发证方,并接受所述发证方在对所述目标证书验证以后发送的验证结果;
授权模块830,可以用于如果所述验证结果为所述目标证书全部有效,则授权与所述目标证书对应的用户方的访问行为。
上述基于区块链的应用访问装置中各模块的具体细节已经在对应的基于区块链的应用访问方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
在本发明的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图9来描述根据本发明的这种实施方式的电子设备900。图9显示的电子设备900仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:上述至少一个处理单元910、上述至少一个存储单元920、连接不同系统组件(包括存储单元920和处理单元910)的总线930以及显示单元940。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元910执行,使得所述处理单元910执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元910可以执行如图1中所示的步骤S110:获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;步骤S120:如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;步骤S130:将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
所述处理单元910还可以执行如图5中所述的步骤S510:当轮询到区块链中存在用户方在确定目标证书存在于当前证书中时根据目标证书生成的证书授权信息时,根据所述证书授权信息中包括的目标证书生成证书验证请求;步骤S520:将所述证书验证请求发送至发证方,并接受所述发证方在对所述目标证书验证以后发送的验证结果;步骤S530:如果所述验证结果为所述目标证书全部有效,则授权与所述目标证书对应的用户方的访问行为。
存储单元920可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)9201和/或高速缓存存储单元9202,还可以进一步包括只读存储单元(ROM)9203。
存储单元920还可以包括具有一组(至少一个)程序模块9205的程序/实用工具9204,这样的程序模块9205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备900也可以与一个或多个外部设备1000(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备900交互的设备通信,和/或与使得该电子设备900能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口950进行。并且,电子设备900还可以通过网络适配器960与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器960通过总线930与电子设备900的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备900使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本发明实施方式的方法。
在本发明的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里发明的发明后,将容易想到本发明的其他实施例。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由权利要求指出。
Claims (10)
1.一种基于区块链的应用访问方法,其特征在于,包括:
获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;
如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;
将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
2.根据权利要求1所述的基于区块链的应用访问方法,其特征在于,在根据所述目标证书生成授权证书信息之前,所述基于区块链的应用访问方法还包括:
如果所述目标证书不存在于所述当前证书中,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成证书申请请求;
将所述证书申请请求发送至发证方,并接收所述发证方响应所述证书申请请求,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符生成的目标证书。
3.根据权利要求2所述的基于区块链的应用访问方法,其特征在于,根据所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成证书申请请求,包括:
生成包括用户公钥以及用户私钥的密码对;
根据所述密码对中的用户公钥、所述目标证书所属的证书类型以及所述用户方的去中心化标识符,生成所述证书申请请求。
4.根据权利要求3所述的基于区块链的应用访问方法,其特征在于,所述基于区块链的应用访问方法还包括:
建立所述密码对中的用户私钥以及所述目标证书之间的映射关系;
对所述映射关系、所述用户私钥以及所述目标证书进行存储。
5.根据权利要求1所述的基于区块链的应用访问方法,其特征在于,所述将所述证书授权信息上传至所述状态库中,包括:
在所述区块链中创建目标账户信息,并对所述目标账户信息以及所述用户方的当前账户信息进行绑定;
基于绑定关系,将所述证书授权信息共享至所述状态库中。
6.根据权利要求5所述的基于区块链的应用访问方法,其特征在于,所述基于区块链的应用访问方法还包括:
根据所述当前证书的生成证书列表,并基于所述绑定关系,将所述当前证书列表存储至所述状态库中。
7.一种基于区块链的应用访问装置,其特征在于,包括:
目标证书获取模块,用于获取访问应用方所需的目标证书,并判断所述目标证书是否存在于用户方的当前证书中;
授权信息生成模块,用于如果所述目标证书存在于当前证书中,则根据所述目标证书生成证书授权信息;
应用访问模块,用于将所述证书授权信息上传至区块链的状态库中,以使得所述应用方在轮询到所述状态库中存在所述用户方的证书授权信息时,在确认所述证书授权信息中所包括的目标证书均有效后,授权所述用户方的访问行为。
8.一种基于区块链的应用访问系统,其特征在于,包括:
用户方所在的终端设备,用于实现权利要求1-6任一项所述的基于区块链的应用访问方法;
区块链,与所述用户方所在的终端设备网络连接,用于对所述用户方上传的证书授权信息进行管理;
应用方所在的服务器,与所述区块链网络连接,用于在轮询到所述区块链中存在证书授权信息后,将根据所述证书授权信息中包括的目标证书生成证书验证请求发送至发证方,并在确认发证方发送的验证结果为所述目标证书全部有效时,授权与所述目标证书对应的用户方的访问行为。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6任一项所述的基于区块链的应用访问方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-6任一项所述的基于区块链的应用访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011459391.5A CN113918984A (zh) | 2020-12-11 | 2020-12-11 | 基于区块链的应用访问方法及系统、存储介质、电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011459391.5A CN113918984A (zh) | 2020-12-11 | 2020-12-11 | 基于区块链的应用访问方法及系统、存储介质、电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113918984A true CN113918984A (zh) | 2022-01-11 |
Family
ID=79231249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011459391.5A Pending CN113918984A (zh) | 2020-12-11 | 2020-12-11 | 基于区块链的应用访问方法及系统、存储介质、电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113918984A (zh) |
-
2020
- 2020-12-11 CN CN202011459391.5A patent/CN113918984A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
AU2007345313B2 (en) | Biometric credential verification framework | |
CN110061846B (zh) | 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 | |
RU2297037C2 (ru) | Управление защищенной линией связи в динамических сетях | |
US20210136073A1 (en) | Identity authentication method, personal security kernel node, device, and medium | |
US20030177351A1 (en) | System and method for single session sign-on with cryptography | |
US20060126848A1 (en) | Key authentication/service system and method using one-time authentication code | |
US20110293098A1 (en) | Key recovery mechanism | |
US20040199774A1 (en) | Secure method for roaming keys and certificates | |
CN101507233A (zh) | 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备 | |
CN114008968A (zh) | 用于计算环境中的许可授权的系统、方法和存储介质 | |
KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
KR100723835B1 (ko) | 일회성 인증 코드를 이용한 키 인증/서비스 시스템 및 그방법 | |
WO2014124782A1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
JP2020120173A (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
JP2020014168A (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
JP6045018B2 (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
US9281947B2 (en) | Security mechanism within a local area network | |
CN113918984A (zh) | 基于区块链的应用访问方法及系统、存储介质、电子设备 | |
US20170118198A1 (en) | Identity verification | |
Fugkeaw et al. | Multi-Application Authentication based on Multi-Agent System. | |
Fugkeaw et al. | A robust single sign-on model based on multi-agent system and PKI | |
KR20030042789A (ko) | 로밍 사용자 인증을 위한 트러스트 모델 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |