CN115987657B - 云存储安全认证方法、装置、设备及存储介质 - Google Patents

Abstract

本申请提供一种云存储安全认证方法、装置、设备及存储介质，该方法应用于用户节点，方法包括：获取用户的生物特征实时采集数据，通过第一中间节点公钥对生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码；将用户标识、双重认证结果和实时采集特征编码发送给服务提供方节点，以使服务提供方节点获取用户标识，将双重认证结果和实时采集特征编码发送给第一中间节点进行特征匹配，并接收第一中间节点发送的匹配信息，根据匹配信息对用户节点进行安全认证，其中，匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，双重认证结果为用户节点预先向第一中间节点和第二中间节点注册得到的。

Description

云存储安全认证方法、装置、设备及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种云存储安全认证方法、装置、设备及存储介质。

背景技术

云存储是一种网上在线存储模式，即把数据存放在通常由第三方的多台虚拟服务器，而非专属的服务器上。通过区块链存储数据是云存储的一种常用方式。区块链是一种特殊的分布式数据库，主要作用是存储信息，任何需要保存的信息，都可以写入区块链，也可以从里面读取。其次，任何人都可以架设服务器，加入区块链网络，成为一个节点。区块链不包含中心节点，每个节点都是平等的，都保存着整个数据库，可以向任意一个节点写入或者读取数据，所有节点均会同步，保证区块链一致。

目前，当数据存储在区块链中时，云存储的安全认证依靠用户的私钥或者保存在第三方的生物特征，在云存储安全认证时，拥有私钥或者保存在第三方的生物特征的用户认定为安全用户。

然而，现有技术中的云存储认证方式，私钥和保存在第三方的生物特征容易丢失，云存储认证安全性差，用户保存在区块链中的数据安全性差。

发明内容

本申请提供一种云存储安全认证方法、装置、设备及存储介质，以解决现有技术中的云存储认证方式，私钥和保存在第三方的生物特征容易丢失，云存储认证安全性差，用户保存在区块链中的数据安全性差的技术问题。

第一方面，本申请提供一种云存储安全认证方法，应用于用户节点，所述方法包括：

获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码；

将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点，以使所述服务提供方节点获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配，并接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，所述双重认证结果为所述用户节点预先向第一中间节点和第二中间节点注册得到的。

本申请提供了一种针对于区块链的云存储安全认证方法，若服务提供方需要对用户进行身份认证，用户可以采集自己的生物特征实时采集数据，将生物特征实时采集数据、当前时间和服务提供方标识通过第一中间节点公钥加密处理后发送给服务提供方节点，并将通过第一中间节点、第二中间节点注册得到的双重认证结果和用户标识发送给服务提供方节点，服务提供方节点再将双重认证结果和用户节点实时采集得到的实时采集特征编码即加密后的生物特征实时采集数据、当前时间和服务提供方标识发送给第一中间节点，第一中间节点可通过实时采集特征编码中的生物特征实时采集数据与双重认证结果中包含的用户的生物特征数据进行匹配，从而实现了对用户的安全认证，其中，实时采集特征编码与双重认证结果都由用户节点提供，不容易被窃取及丢失，且在传输过程中实时采集特征编码通过第一中间节点的公钥加密，保证了数据的安全性，提高了云存储认证安全性，也提高了用户保存在区块链中的数据安全性。

可选地，在所述获取用户的生物特征实时采集数据之前，还包括：

向第一中间接地节点和第二中间节点进行注册；

接收所述第二中间节点发送的双重认证结果。

这里，本申请中用户预先在两个中间节点实现注册，将两个节点注册关联得到双重认证结果，以便在后续认证过程中，通过双重认证结果进行特征匹配，实现云存储安全认证，提高了云存储安全认证的准确性。

可选地，所述向第一中间接地节点和第二中间节点进行注册，包括：

采集用户的生物特征数据；

将所述生物特征数据上传至第一中间节点，以使所述第一中间节点存储所述生物特征数据，并保存所述生物特征数据的存储地址，将所述存储地址发送给所述用户节点；

接收所述第一中间节点发送的存储地址；

将存储地址和所述用户标识发送至第二中间节点，以使所述第二中间节点保存所述存储地址和所述用户标识，并通过所述第一中间节点公钥加密所述存储地址，得到加密存储地址，将所述加密存储地址和所述用户标识通过第二中间节点私钥进行签名，得到双重认证结果，将所述双重认证结果发送至所述用户节点。

其中，本申请中用户预先在两个中间节点进行注册，通过第一中间节点实现生物特征数据的加密，通过第二中间节点实现双重认证结果的签发，在注册及认证过程中，生物特征数据均为加密状态，任何人无法获取真实的生物特征数据的存储地址，进一步的提高了云存储安全认证的安全性，进一步地保证了用户的信息安全。

可选地，在所述将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点之后，还包括：

接收所述服务提供方节点发送的安全认证结果。

第二方面，本申请提供了一种云存储安全认证方法，应用于服务提供方节点，所述方法包括：

接收用户节点发送的用户标识、双重认证结果和所述实时采集特征编码，其中，所述实时采集特征编码为所述用户节点获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理得到的；

获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配；

接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，所述双重认证结果为所述用户节点预先向第一中间节点和第二中间节点注册得到的。

这里，本申请中的服务提供方节点在对用户节点进行安全认证时，仅作为转发作用，将用户节点发送的数据转发至第一中间节点，在认证过程中不获取用户的生物特征数据，从而保证了用户数据的安全性，防止了用户数据被窃取的可能，且通过第一中间节点反馈的匹配信息，可以准确确定对用户节点的认证结果，提高了云存储安全认证的安全性。

第三方面，本申请提供了一种云存储认证系统，包括用户节点、服务提供方节点、第一中间节点和第二中间节点；

所述用户节点，用于获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码，将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点；

所述服务提供方节点，用于获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配，并接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，所述双重认证结果为所述用户节点预先向第一中间节点和第二中间节点注册得到的。

通过上述系统，区块链中的用户可以通过两个关联的中间节点签发可用于认证匹配的双重认证结果，用户节点在服务提供方节点发起认证时，可采集用户的生物特征实时采集数据并在加密处理后通过服务提供方节点发送至第一中间节点实现安全认证，在认证过程中用户的数据均为加密的，生物特征数据不易被窃取，提高了云存储认证的安全性。

第四方面，本申请提供了一种云存储安全认证装置，应用于用户节点，所述装置包括：

第一获取模块，用于获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码；

第一发送模块，用于将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点，以使所述服务提供方节点获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配，并接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，所述双重认证结果为所述用户节点预先向第一中间节点和第二中间节点注册得到的。

可选地，在所述第一获取模块获取用户的生物特征实时采集数据之前，上述装置还包括注册模块，用于：

向第一中间接地节点和第二中间节点进行注册；

接收所述第二中间节点发送的双重认证结果。

可选地，所述注册模块具体用于：

采集用户的生物特征数据；

将所述生物特征数据上传至第一中间节点，以使所述第一中间节点存储所述生物特征数据，并保存所述生物特征数据的存储地址，将所述存储地址发送给所述用户节点；

接收所述第一中间节点发送的存储地址；

将存储地址和所述用户标识发送至第二中间节点，以使所述第二中间节点保存所述存储地址和所述用户标识，并通过所述第一中间节点公钥加密所述存储地址，得到加密存储地址，将所述加密存储地址和所述用户标识通过第二中间节点私钥进行签名，得到双重认证结果，将所述双重认证结果发送至所述用户节点。

可选地，在所述第一发送模块将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点之后，上述装置还包括：

第一接收模块，用于接收所述服务提供方节点发送的安全认证结果。

第五方面，本申请提供了一种云存储安全认证装置，应用于服务提供方节点，所述方法包括：

第二接收模块，用于接收用户节点发送的用户标识、双重认证结果和所述实时采集特征编码，其中，所述实时采集特征编码为所述用户节点获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理得到的；

第二发送模块，用于获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配；

处理模块，用于接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，所述双重认证结果为所述用户节点预先向第一中间节点和第二中间节点注册得到的。

第六方面，本申请提供一种云存储安全认证设备，包括：至少一个处理器和存储器；

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的云存储安全认证方法。

第七方面，本申请提供一种云存储安全认证设备，包括：至少一个处理器和存储器；

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第二方面以及第二方面各种可能的设计所述的云存储安全认证方法。

第八方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第一方面以及第一方面各种可能的设计所述的云存储安全认证方法。

第九方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第二方面以及第二方面各种可能的设计所述的云存储安全认证方法。

第十方面，本申请提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时，实现如上第一方面以及第一方面各种可能的设计所述的云存储安全认证方法。

第十一方面，本申请提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时，实现如上第二方面以及第二方面各种可能的设计所述的云存储安全认证方法。

本申请提供的云存储安全认证方法、装置、设备及存储介质，其中该方法若服务提供方需要对用户进行身份认证，用户可以采集自己的生物特征实时采集数据，将生物特征实时采集数据、当前时间和服务提供方标识通过第一中间节点公钥加密处理后发送给服务提供方节点，并将通过第一中间节点、第二中间节点注册得到的双重认证结果和用户标识发送给服务提供方节点，服务提供方节点再将双重认证结果和用户节点实时采集得到的实时采集特征编码即加密后的生物特征实时采集数据、当前时间和服务提供方标识发送给第一中间节点，第一中间节点可通过实时采集特征编码中的生物特征实时采集数据与双重认证结果中包含的用户的生物特征数据进行匹配，从而实现了对用户的安全认证，其中，实时采集特征编码与双重认证结果都由用户节点提供，不容易被窃取及丢失，且在传输过程中实时采集特征编码通过第一中间节点的公钥加密，保证了数据的安全性，提高了云存储认证安全性，也提高了用户保存在区块链中的数据安全性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种云存储安全认证系统架构示意图；

图2为本申请实施例提供的一种云存储安全认证方法的流程示意图；

图3为本申请实施例提供的另一种云存储安全认证方法的流程示意图；

图4为本申请实施例提供的一种云存储安全认证装置的结构示意图；

图5为本申请实施例提供的一种云存储安全认证设备的结构示意图。

通过上述附图，已示出本公开明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围，而是通过参考特定实施例为本领域技术人员说明本公开的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”及“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本申请的技术方案中，所涉及的用户数据等信息的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。

当前区块链中的用户认证依赖用户的私钥，谁拥有声称用户身份的公钥对应的私钥，谁就是正确的用户。但是要求用户必须特别严密的保护私钥的安全，一旦私钥丢失或者泄密则区块链中的所有资产则再也无法找回。而传统常用的口令的方式容易记忆但易被破解。基于生物特征的身份认证，用户个人不用记录任何私钥和口令，但是生物特征需要保存在第三方，默认第三方必须是可信的，是所有认证成功的根本，一旦第三方存储的生物特征数据泄露，则无法实现对云存储用户的安全认证。

为了解决上述技术问题，本申请实施例提供一种云存储安全认证方法、装置、设备及存储介质，区块链中的用户可以通过两个关联的中间节点签发可用于认证匹配的双重认证结果，用户节点在服务提供方节点发起认证时，可采集用户的生物特征实时采集数据并在加密处理后通过服务提供方节点发送至第一中间节点实现安全认证，在认证过程中用户的数据均为加密的，生物特征数据不易被窃取，提高了云存储认证的安全性。

可选地，图1为本申请实施例提供的一种云存储安全认证系统架构示意图。如图1所示，上述架构包括用户节点101、服务提供方节点102、第一中间节点103和第二中间节点104。

可以理解的是，上述用户节点、服务提供方节点和中间节点的数量及具体结构可以根据实际情况确定，图1仅是示意性的，本申请实施例对于上述节点的数目不作具体限制。

其中，上述节点均为区块链中的节点，任意两个节点之间可以实现通信。

其中，用户节点、服务提供方节点和中间节点可以设置在服务器或者终端设备上，用户节点、服务提供方节点和中间节点也可以是服务器或者终端设备本身。

可以理解的是，本申请实施例示意的结构并不构成对云存储安全认证系统架构的具体限定。在本申请另一些可行的实施方式中，上述架构可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置，具体可根据实际应用场景确定，在此不做限制。图1所示的部件可以以硬件，软件，或软件与硬件的组合实现。

另外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面以几个实施例为例对本申请的技术方案进行描述，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图2为本申请实施例提供的一种云存储安全认证方法的流程示意图，本申请实施例可以应用于图1中的用户节点101，用户节点101可以是服务器或者终端设备，具体执行主体可以根据实际应用场景确定。如图2所示，该方法包括如下步骤：

S201：获取用户的生物特征实时采集数据，通过第一中间节点公钥对生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码。

可选地，生物特征实时采集数据可以为通过终端设备或者服务器的采集单元实时采集到的生物特征数据，可以为指纹或者虹膜等生物特征数据。

可选地，采集单元可以为传感器或者摄像头等图像采集设备等。

S202：将用户标识、双重认证结果和实时采集特征编码发送给服务提供方节点，以使服务提供方节点获取用户标识，将双重认证结果和实时采集特征编码发送给第一中间节点进行特征匹配，并接收第一中间节点发送的匹配信息，根据匹配信息对用户节点进行安全认证。

其中，匹配信息为第一中间节点签名后的匹配结果和服务提供方标识。

其中，双重认证结果为用户节点预先向第一中间节点和第二中间节点注册得到的。

可选地，在将用户标识、双重认证结果和实时采集特征编码发送给服务提供方节点之后，还包括：

接收服务提供方节点发送的安全认证结果。

本申请实施例提供了一种针对于区块链的云存储安全认证方法，若服务提供方需要对用户进行身份认证，用户可以采集自己的生物特征实时采集数据，将生物特征实时采集数据、当前时间和服务提供方标识通过第一中间节点公钥加密处理后发送给服务提供方节点，并将通过第一中间节点、第二中间节点注册得到的双重认证结果和用户标识发送给服务提供方节点，服务提供方节点再将双重认证结果和用户节点实时采集得到的实时采集特征编码即加密后的生物特征实时采集数据、当前时间和服务提供方标识发送给第一中间节点，第一中间节点可通过实时采集特征编码中的生物特征实时采集数据与双重认证结果中包含的用户的生物特征数据进行匹配，从而实现了对用户的安全认证，其中，实时采集特征编码与双重认证结果都由用户节点提供，不容易被窃取及丢失，且在传输过程中实时采集特征编码通过第一中间节点的公钥加密，保证了数据的安全性，提高了云存储认证安全性，也提高了用户保存在区块链中的数据安全性。

在一种可能的实现方式中，本申请实施例用户节点预先在第一中间节点和第二中间节点进行注册，为认证做准备，相应的，在获取用户的生物特征实时采集数据之前，还包括：

向第一中间接地节点和第二中间节点进行注册；接收第二中间节点发送的双重认证结果。

这里，本申请实施例中用户预先在两个中间节点实现注册，将两个节点注册关联得到双重认证结果，以便在后续认证过程中，通过双重认证结果进行特征匹配，实现云存储安全认证，提高了云存储安全认证的准确性。

可选地，向第一中间接地节点和第二中间节点进行注册，包括：

采集用户的生物特征数据；将生物特征数据上传至第一中间节点，以使第一中间节点存储生物特征数据，并保存生物特征数据的存储地址，将存储地址发送给用户节点；接收第一中间节点发送的存储地址；将存储地址和用户标识发送至第二中间节点，以使第二中间节点保存存储地址和用户标识，并通过第一中间节点公钥加密存储地址，得到加密存储地址，将加密存储地址和用户标识通过第二中间节点私钥进行签名，得到双重认证结果，将双重认证结果发送至用户节点。

其中，本申请实施例中用户预先在两个中间节点进行注册，通过第一中间节点实现生物特征数据的加密，通过第二中间节点实现双重认证结果的签发，在注册及认证过程中，生物特征数据均为加密状态，任何人无法获取真实的生物特征数据的存储地址，进一步的提高了云存储安全认证的安全性，进一步地保证了用户的信息安全。

图3为本申请实施例提供的另一种云存储安全认证方法的流程示意图，本申请实施例可以应用于图1中的服务提供方节点102，服务提供方节点102为区块链中的节点，可以是服务器或者终端设备，具体执行主体可以根据实际应用场景确定。如图3所示，该方法包括如下步骤：

S301：接收用户节点发送的用户标识、双重认证结果和实时采集特征编码。

其中，实时采集特征编码为用户节点获取用户的生物特征实时采集数据，通过第一中间节点公钥对生物特征实时采集数据、当前时间和服务提供方标识进行加密处理得到的。

S302：获取用户标识，将双重认证结果和实时采集特征编码发送给第一中间节点进行特征匹配。

S303：接收第一中间节点发送的匹配信息，根据匹配信息对用户节点进行安全认证。

其中，匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，双重认证结果为用户节点预先向第一中间节点和第二中间节点注册得到的。

可选地，若匹配结果为匹配成功，且服务提供方标识为服务提供方节点102的标识，则确定云存储安全认证成功。

这里，本申请实施例中的服务提供方节点在对用户节点进行安全认证时，仅作为转发作用，将用户节点发送的数据转发至第一中间节点，在认证过程中不获取用户的生物特征数据，从而保证了用户数据的安全性，防止了用户数据被窃取的可能，且通过第一中间节点反馈的匹配信息，可以准确确定对用户节点的认证结果，提高了云存储安全认证的安全性。

本申请实施例还提供一种云存储安全认证系统，包括用户节点、服务提供方节点、第一中间节点和第二中间节点；

用户节点，用于获取用户的生物特征实时采集数据，通过第一中间节点公钥对生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码，将用户标识、双重认证结果和实时采集特征编码发送给服务提供方节点。

服务提供方节点，用于获取用户标识，将双重认证结果和实时采集特征编码发送给第一中间节点进行特征匹配，并接收第一中间节点发送的匹配信息，根据匹配信息对用户节点进行安全认证，其中，匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，双重认证结果为用户节点预先向第一中间节点和第二中间节点注册得到的。

在一种可能的实现方式中，提供一种云存储安全认证流程：

用户节点在两个中间节点分别注册用户节点名身份证标识号(Identitydocument，ID)和生物特征数据，并用存储地址将两个中间节点关联，用户节点注册指纹或虹膜的流程如下：

用户节点在首次进行生物特征注册时候，首先在第一中间节点处上传生物特征数据，比如用户节点上传自己的完整指纹FingerPrint1。

第一中间节点在本次存储FingerPrint1指纹或虹膜数据，并记录该数据的存储地址DataID，DataID全局唯一，后续任何人只要给第一中间节点提供DataID的值，第一中间节点就可以索引找到FingerPrint1。

第一中间节点将DataID发送给注册用户节点。

用户节点将DataID和自己的用户节点身份ID1同时发送给第二中间节点，第二中间节点对ID1和DataID进行保存。

第二中间节点保存完成后将DataID采用第一中间节点的公钥进行加密，然后将加密结果与ID1一起采用自己的私钥进行签名，将签名后的双重认证结果(Result1)返回给用户节点。

通过上述过程实现了用户节点的注册。

当互联网上的一方比如服务提供方，要对另一方用户进行身份验证的时候，整个验证的流程如下：

用户节点首先采集自己的生物特征数据FingerPrint1’，并对FingerPrint1’与当前的时间T0和服务提供方(Internet Service Provider，ISP)，标识一起采用中间节点的第一中间节点的公钥进行加密，得到实时采集特征编码Enc(FingerPrint1’，T0，ISP标识)。

用户节点同时发送自己的用户节点标识ID1、第二中间节点返回的Result1和Enc(FingerPrint1’，T0，ISP标识)给服务提供方

服务提供方节点提取ID1，然后将Result1和Enc(FingerPrint1’，T0，ISP标识)发送给第一中间节点。

第一中间节点通过自己的私钥解密获得FingerPrint1’、T0和ISP标识，同时从Result1解密获得DataID。首先判断T0是与当前时间在允许的时间内，然后通过DataID检索找到FingerPrint1，与FingerPrin1’对比匹配，将匹配结果和ISP标识签名后返回给ISP节点。

ISP节点收到匹配结果和ISP标识后，确认ISP标识是自己的标识，则根据匹配结果作为本次用户节点身份验证的验证结果。

这里，用户节点的生物特征数据对应的存储地址不由中间节点提供，而是由用户节点提供，为了避免用户节点提供别人的存储地址，需要提供第二中间节点的密钥进行签发，并且需要对DataID采用第一中间节点的公钥进行加密，这样任何人无法获得真实的DataID。用户节点在注册的时候，第二种间节点同时签发一份注册结果返回给用户节点，用户节点即可采用该返回结果进行认证。任何时候都可以提供ID请求获得注册结果。

通过上述系统，区块链中的用户节点可以通过两个关联的中间节点签发可用于认证匹配的双重认证结果，用户节点在服务提供方节点发起认证时，可采集用户节点的生物特征实时采集数据并在加密处理后通过服务提供方节点发送至第一中间节点实现安全认证，在认证过程中用户节点的数据均为加密的，生物特征数据不易被窃取，提高了云存储认证的安全性。

图4为本申请实施例提供的一种云存储安全认证装置的结构示意图，应用于用户节点，如图4所示，本申请实施例的装置包括：第一获取模块401和第一接收模块402。这里的云存储安全认证装置可以是服务器或者终端设备，或者是实现服务器或者终端设备的功能的芯片或者集成电路。这里需要说明的是，第一获取模块401和第一接收模块402的划分只是一种逻辑功能的划分，物理上两者可以是集成的，也可以是独立的。

其中，第一获取模块，用于获取用户的生物特征实时采集数据，通过第一中间节点公钥对生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码；

第一发送模块，用于将用户标识、双重认证结果和实时采集特征编码发送给服务提供方节点，以使服务提供方节点获取用户标识，将双重认证结果和实时采集特征编码发送给第一中间节点进行特征匹配，并接收第一中间节点发送的匹配信息，根据匹配信息对用户节点进行安全认证，其中，匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，双重认证结果为用户节点预先向第一中间节点和第二中间节点注册得到的。

可选地，在第一获取模块获取用户的生物特征实时采集数据之前，上述装置还包括注册模块，用于：

向第一中间接地节点和第二中间节点进行注册；

接收第二中间节点发送的双重认证结果。

可选地，注册模块具体用于：

采集用户的生物特征数据；

将生物特征数据上传至第一中间节点，以使第一中间节点存储生物特征数据，并保存生物特征数据的存储地址，将存储地址发送给用户节点；

接收第一中间节点发送的存储地址；

将存储地址和用户标识发送至第二中间节点，以使第二中间节点保存存储地址和用户标识，并通过第一中间节点公钥加密存储地址，得到加密存储地址，将加密存储地址和用户标识通过第二中间节点私钥进行签名，得到双重认证结果，将双重认证结果发送至用户节点。

可选地，在第一发送模块将用户标识、双重认证结果和实时采集特征编码发送给服务提供方节点之后，上述装置还包括：

第一接收模块，用于接收服务提供方节点发送的安全认证结果。

本申请实施例还提供的另一种云存储安全认证装置，应用于服务提供方节点，本申请实施例的装置包括：第二接收模块、第二发送模块和处理模块。这里的云存储安全认证装置可以是服务器或者终端设备等，或者是实现服务器或者终端设备等的功能的芯片或者集成电路。这里需要说明的是，第二接收模块、第二发送模块和处理模块的划分只是一种逻辑功能的划分，物理上两者可以是集成的，也可以是独立的。

其中，第二接收模块，用于接收用户节点发送的用户标识、双重认证结果和实时采集特征编码，其中，实时采集特征编码为用户节点获取用户的生物特征实时采集数据，通过第一中间节点公钥对生物特征实时采集数据、当前时间和服务提供方标识进行加密处理得到的；

第二发送模块，用于获取用户标识，将双重认证结果和实时采集特征编码发送给第一中间节点进行特征匹配；

处理模块，用于接收第一中间节点发送的匹配信息，根据匹配信息对用户节点进行安全认证，其中，匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，双重认证结果为用户节点预先向第一中间节点和第二中间节点注册得到的。

参考图5，其示出了适于用来实现本公开实施例的云存储安全认证设备500的结构示意图，该云存储安全认证设备500可以为终端设备或服务器。其中，终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、个人数字助理(Personal DigitalAssistant，简称PDA)、平板电脑(Portable Android Device，简称PAD)、便携式多媒体播放器(Portable Media Player，简称PMP)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图5示出的云存储安全认证设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图5所示，云存储安全认证设备500可以包括处理装置(例如中央处理器、图形处理器等)501，其可以根据存储在只读存储器(Read Only Memory，简称ROM)502中的程序或者从存储装置508加载到随机访问存储器(Random Access Memory，简称RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中，还存储有云存储安全认证设备500操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。

通常，以下装置可以连接至I/O接口505：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置506；包括例如液晶显示器(Liquid CrystalDisplay，简称LCD)、扬声器、振动器等的输出装置507；包括例如磁带、硬盘等的存储装置508；以及通信装置509。通信装置509可以允许云存储安全认证设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的云存储安全认证设备500，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置509从网络上被下载和安装，或者从存储装置508被安装，或者从ROM502被安装。在该计算机程序被处理装置501执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述云存储安全认证设备中所包含的；也可以是单独存在，而未装配入该云存储安全认证设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该云存储安全认证设备执行时，使得该云存储安全认证设备执行上述实施例所示的方法。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LocalArea Network，简称LAN)或广域网(Wide Area Network，简称WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现上述任一项的云存储安全认证方法。

本申请实施例还提供一种计算机程序产品，包括计算机程序，计算机程序被处理器执行时，用于实现上述任一项的云存储安全认证方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本领域技术人员在考虑说明书及实践这里公开的申请后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求书指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。

Claims (9)

1.一种云存储安全认证方法，其特征在于，应用于用户节点，所述方法包括：

获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码；

将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点，以使所述服务提供方节点获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配，并接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识；

在所述获取用户的生物特征实时采集数据之前，还包括：采集用户的生物特征数据；

将所述生物特征数据上传至第一中间节点，以使所述第一中间节点存储所述生物特征数据，并保存所述生物特征数据的存储地址，将所述存储地址发送给所述用户节点；

接收所述第一中间节点发送的存储地址；

将存储地址和所述用户标识发送至第二中间节点，以使所述第二中间节点保存所述存储地址和所述用户标识，并通过所述第一中间节点公钥加密所述存储地址，得到加密存储地址，将所述加密存储地址和所述用户标识通过第二中间节点私钥进行签名，得到双重认证结果，将所述双重认证结果发送至所述用户节点；

接收所述第二中间节点发送的双重认证结果。

2.根据权利要求1所述的方法，其特征在于，在所述将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点之后，还包括：

接收所述服务提供方节点发送的安全认证结果。

3.一种云存储安全认证方法，其特征在于，应用于服务提供方节点，所述方法包括：

接收用户节点发送的用户标识、双重认证结果和实时采集特征编码，其中，所述实时采集特征编码为所述用户节点获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理得到的；所述双重认证结果为第二中间节点将通过第一中间节点公钥加密第一中间节点存储生物特征数据的存储地址得到的加密存储地址、和用户标识通过第二中间节点私钥进行签名得到的；

获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配；

接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识。

4.一种云存储认证系统，其特征在于，包括用户节点、服务提供方节点、第一中间节点和第二中间节点；

所述用户节点，用于获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码，将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点；

所述服务提供方节点，用于获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配，并接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识；

所述用户节点，还用于采集用户的生物特征数据；将生物特征数据上传至第一中间节点；

所述第一中间节点，用于存储生物特征数据，并保存生物特征数据的存储地址，将存储地址发送给用户节点；

所述用户节点，还用于接收第一中间节点发送的存储地址；将存储地址和用户标识发送至第二中间节点；

所述第二中间节点，用于保存存储地址和用户标识，并通过第一中间节点公钥加密存储地址，得到加密存储地址，将加密存储地址和用户标识通过第二中间节点私钥进行签名，得到双重认证结果，将双重认证结果发送至用户节点。

5.一种云存储安全认证装置，其特征在于，应用于用户节点，所述装置包括：

第一获取模块，用于获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理，得到实时采集特征编码；

第一发送模块，用于将用户标识、双重认证结果和所述实时采集特征编码发送给服务提供方节点，以使所述服务提供方节点获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配，并接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识，所述双重认证结果为所述用户节点预先向第一中间节点和第二中间节点注册得到的；

所述装置还包括：注册模块，

所述注册模块，用于采集用户的生物特征数据；将所述生物特征数据上传至第一中间节点，以使所述第一中间节点存储所述生物特征数据，并保存所述生物特征数据的存储地址，将所述存储地址发送给所述用户节点；接收所述第一中间节点发送的存储地址；将存储地址和所述用户标识发送至第二中间节点，以使所述第二中间节点保存所述存储地址和所述用户标识，并通过所述第一中间节点公钥加密所述存储地址，得到加密存储地址，将所述加密存储地址和所述用户标识通过第二中间节点私钥进行签名，得到双重认证结果，将所述双重认证结果发送至所述用户节点；接收所述第二中间节点发送的双重认证结果。

6.一种云存储安全认证装置，其特征在于，应用于服务提供方节点，所述装置包括：

第二接收模块，用于接收用户节点发送的用户标识、双重认证结果和实时采集特征编码，其中，所述实时采集特征编码为所述用户节点获取用户的生物特征实时采集数据，通过第一中间节点公钥对所述生物特征实时采集数据、当前时间和服务提供方标识进行加密处理得到的；所述双重认证结果为第二中间节点将通过第一中间节点公钥加密第一中间节点存储生物特征数据的存储地址得到的加密存储地址、和用户标识通过第二中间节点私钥进行签名得到的；

第二发送模块，用于获取所述用户标识，将所述双重认证结果和所述实时采集特征编码发送给第一中间节点进行特征匹配；

处理模块，用于接收所述第一中间节点发送的匹配信息，根据所述匹配信息对所述用户节点进行安全认证，其中，所述匹配信息为第一中间节点签名后的匹配结果和服务提供方标识。

7.一种云存储安全认证设备，其特征在于，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1或2所述的方法。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1或2所述的云存储安全认证方法。

9.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1或2所述的方法。