WO2019214068A1

WO2019214068A1 - 区块链系统上用户验证方法、装置、终端设备及存储介质

Info

Publication number: WO2019214068A1
Application number: PCT/CN2018/095904
Authority: WO
Inventors: 贾牧; 谢丹力; 陆陈一帆
Original assignee: 深圳壹账通智能科技有限公司
Priority date: 2018-05-09
Filing date: 2018-07-17
Publication date: 2019-11-14
Also published as: CN108737106B; CN108737106A

Abstract

一种区块链系统上用户验证方法、装置、终端设备及存储介质。该区块链系统上用户验证方法，包括：通过权威认证节点在区块链系统上设置系统根证书（S10）；根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书（S20）；区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的所述用户数字证书（S30）；用户A采用所述系统根证书对用户B的用户数字证书进行验证（S40）；若验证通过，则确定用户B为所述区块链系统上的合法用户（S50）。采用该区块链系统上用户验证方法能够实现区块链系统上有效和安全的用户验证功能。

Description

区块链系统上用户验证方法、装置、终端设备及存储介质

本申请以2018年5月9日提交的申请号为201810436851.9，名称为“区块链系统上用户验证方法、装置、终端设备及存储介质”的中国发明专利申请为基础，并要求其优先权。

技术领域

本申请涉及区块链应用领域，尤其涉及一种区块链系统上用户验证方法、装置、终端设备及存储介质。

背景技术

目前区块链系统采用外部的第三方证书签发机构签发的根证书进行用户验证，而第三方证书签发机构签发的根证书一般安装在浏览器或操作系统中，意味着整个区块链系统的证书安全完全依赖于第三方证书签发机构的安全。在某些情形下，应用场景要求整个区块链系统的安全需依赖于自己可控的一个根认证中心，而不是外部的第三方证书签发机构，同时，外部的第三方证书签发机构对签发的证书信息有一系列的认证流程，某些情形下申请的证书信息无法通过证书签发机构的认证，使得当区块链系统采用外部的第三方证书签发机构签发的根证书进行用户验证时，将无法实现区块链上用户验证的功能。

发明内容

本申请实施例提供一种区块链系统上用户验证方法、终端设备及存储介质，以解决当前区块链系统采用外部的第三方证书签发机构签发的根证书无法实现区块链系统上用户验证的问题。

第一方面，本申请实施例提供一种区块链系统上用户验证方法，包括：

通过权威认证节点在区块链系统上设置系统根证书；

根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书；

所述区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的所述用户数字证书；

用户A采用所述系统根证书对用户B的用户数字证书进行验证；

若验证通过，则确定用户B为所述区块链系统上的合法用户。

第二方面，本申请实施例提供一种区块链系统上用户验证装置，包括：

根证书设置模块，用于通过权威认证节点在区块链系统上设置系统根证书；

数字证书生成模块，用于根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书；

数字证书发送模块，用于所述区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的所述用户数字证书；

验证模块，用于用户A采用所述系统根证书对用户B的用户数字证书进行验证；

确定模块，用于若验证通过，则用户B为所述区块链系统上的合法用户。

第三方面，本申请实施例提供一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，所述处理器执行所述计算机可读指令时实现如下步骤：

通过权威认证节点在区块链系统上设置系统根证书；

若验证通过，则确定用户B为所述区块链系统上的合法用户。

第四方面，本申请实施例提供一个或多个存储有计算机可读指令的非易失性可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行如下步骤：

通过权威认证节点在区块链系统上设置系统根证书；

若验证通过，则确定用户B为所述区块链系统上的合法用户。

本申请实施例所提供的区块链系统上用户验证方法、装置、终端设备及存储介质中，首先通过权威认证节点在区块链系统上设置系统根证书，自定义地在区块链系统上设置系统根证书，使得整个区块链系统的安全依赖于该自定义设置的系统根证书，提高区块链系统的独立性和安全性。然后根据系统根证书生成区块链系统上所有用户的用户数字证书，使得通过自定义设置的系统根证书生成的用户数字证书能够用于区块链系统上的用户验证。最后区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的用户数字证书。用户A采用系统根证书对用户B的用户数字证书进行验证。若验证通过，则确定用户B为区块链系统上的合法用户，基于在区块链系统上自定义设置的系统根证书生成的用户数字证书，能实现区块链系统上有效和安全的用户验证功能。在区块链系统上自定义设置的系统根证书结合了区块链的特点，基于区块链的数据共享性，使得创建设置的系统根证书能够便捷地被区块链系统上用户获取和使用，以进行区块链上用户间的验证；基于区块链的数据不可篡改性，使得创建设置的系统根证书不能被恶意修改；并且，权威认证节点在区块链系统上拥有特定权限及权威性，由权威认证节点在区块链系统上设置的系统根证书拥有权威性，保证了区块链系统的安全性。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例1中区块链系统上用户验证方法的一流程图。

图2是图1中步骤S10的一具体流程图。

图3是图1中步骤S20的一具体流程图。

图4是图1中步骤S40的一具体流程图。

图5是本申请实施例2中区块链系统上用户验证装置的一原理框图。

图6是本申请实施例4中终端设备的一示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例1

图1示出本实施例中区块链系统上用户验证方法的一流程图。该区块链系统上用户验证方法可应用在以区块链为技术基础的应用系统上，用于在区块链系统上实现用户身份的合法性验证功能。如图1所示，该区块链系统上用户验证方法包括如下步骤：

S10：通过权威认证节点在区块链系统上设置系统根证书。

其中，权威认证节点指区块链系统上的系统管理员用户节点，该权威认证节点拥有比区块链系统上普通用户更高级的权限，可以对区块链系统进行特定权限的操作。区块链是基于分布式数据存储、共识机制和加密算法等计算机技术的新型应用模式。区块链系统本质是一个去中心化的分布式数据库系统。需要说明的是，本实施例中区块链上的用户应理解为在区块链系统上的各个用户节点，即区块链系统上各个相关的终端，该终端可以是通过区块链网络相连的手机、电脑、平板和服务器等终端，如权威认证节点为区块链系统上特殊的用户(用户节点)，该用户拥有该区块链系统上的特定权限，该用户即区块链系统的系统管理员。

本实施例中，区块链系统上的权威认证节点(即系统管理员)在系统上设置系统根证书，该系统根证书是独一无二的，且只能由该系统的权威认证节点设置生成。该权威认证节点类似于外部的第三方证书签发机构(即CA，Certificate Authority的缩写，也叫“证书认证中心)。CA是证书的签发机构，是负责签发证书、认证证书和管理已颁发证书的机构。CA需要制定政策和具体步骤来验证和识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。区块链系统上的权威认证节点与外部的第三方证书签发机构CA的区别在于，权威认证节点是该区块链系统自身认证的具有权威性质(特定权限)的用户节点，权威认证节点可以根据区块链系统的特点设置和创建根证书，并根据该根证书生成(颁发)区块链系统上每一用户的用户证书，并基于区块链系统自身实现用户验证过程。通过区块链系统的权威认证节点(系统管理员)在系统上设置系统根证书，结合区块链系统自身的性质和特点，能够实现整个区块链系统依赖于自己可控的一个根认证中心，而不依赖于第三方证书签发机构，提高了整个区块链系统的安全性。

在一具体实施方式中，如图2所示，步骤S10中，通过权威认证节点在区块链系统上设置系统根证书，具体包括如下步骤：

S11：通过权威认证节点创建一个包含系统根证书的交易。

其中，“交易”是区块链系统一基本概念，区块链系统本质是一个去中心化的分布式数据库系统，交易即在该区块链系统上进行的创建、删除和修改数据的操作(读取不改变区块链系统上的数据，因此读取操作不属于交易)。

本实施例中，通过权威认证节点在区块链系统上创建一个交易，该交易的内容包含创建系统根证书的创建操作。通过该交易创建获取的系统根证书是独一无二且具有权威性的，能够根据该系统根证书实现区块链系统上用户验证的功能。

S12：将交易发送到区块链系统上。

其中，区块链系统有两个概念：区块和当前数据状态(fabric中的world state，比特币中的UTXO)。区块中是历史交易信息，当前数据状态是由所有的历史交易所得到的系统数据状态。本实施例中所有的创建、删除或修改等操作，都是通过发送一个交易，经过区块链系统本身的验证，得到一个区块。最终区块链上所有用户根据该区块将交易执行，实现对当前数据状态的修改。另外，交易动作会包含在一个区块中，一个区块中可能有多个交易；并且区块链系统会按照一定的时间间隔产生区块，每个区块中包含这个时间间隔中所有的交易。

本实施例中，区块链上的权威认证节点在创建该包含系统根证书交易后即把该交易发送到区块链系统上，并等待区块链系统的验证。

S13：基于区块链系统的共识机制，打包交易到当前所在区块中，区块链系统上所有用户得到当前所在区块，接受当前所在区块中的交易。

由于区块链系统上点对点网络存在较高的网络延迟，各个用户节点所观察到的交易的事务先后顺序不可能完全一致。因此区块链系统需要设计一种机制对在一时间间隔内发生的交易的事务先后顺序进行共识。这种对一个时间间隔内的交易的事务先后顺序达成共识的算法被称为“共识机制”。其中，该事务是指数据库事务，是指作为单个逻辑工作单元执行的一系列操作，要么完全地执行，要么完全地不执行。区块链系统的共识机制是区块链技术的重要组成部分，通过共识机制可以确认区块链系统上交易的有效性和真实性。具体地，区块链共识机制可以通过工作量证明(PoW)和权益证明(PoS)等共识机制的方法实现。

本实施例中，基于区块链系统的共识机制，将包含创建系统根证书的交易打包到该交易所在时间间隔产生的区块中(即该交易的当前所在区块)，基于区块链系统的共识机制，区块链上所有用户都能正确、有效地获取该包含创建系统根证书交易的当前所在区块。在获取该当前所在区块后，接受当前所在区块中的交易，完成系统根证书的设置。可以理解地，上述过程可以概括为在区块链系统上先进行设置(创建)系统根证书的交易操作，等该交易操作在区块链上经过区块链本身的验证(通过共识机制)后，区块链系统上用户得到该交易的当前所在区块，并加入到原有的区块链中形成新的区块链后，才根据该区块中记载的交易去真正执行该交易，最后实现对区块链系统上用户的当前数据状态的修改，即执行该创建系统根证书的交易，完成系统根证书的设置过程。

在一具体实施方式中，步骤S11中，通过权威认证节点在区块链系统上设置系统根证书，具体包括：

通过权威认证节点创建一个键值对，该键值对的键为key＝ROOT，值为value＝cert，其中，ROOT代表系统根证书的键，cert代表系统根证书的值。

其中，键值(key-value)是一种数据存储方式，值指具体存储的数据，键即其存储的数据的索引，值可以通过查找其对应的键直接获取。键值反映的是一种数据存储的对应关系，由一个键及其对应的值所组成的数据关系对称为键值对。通过键key＝ROOT可以获取对应的值value＝cert。

本实施例中，权威认证节点在区块链系统上设置的系统根证书是采用键值对的形式设置创建的，键值对的存储方式可以很好地结合区块链系统的特点。根据区块链上系统是共享的、不可篡改的特点，区块链上用户可以便捷地读取设置在区块链系统上的根证书。由于该根证书是由权威认证节点(即系统管理员)设置创建的，具有权威性，结合区块链上数据不可篡改的特点，可以保证该根证书的安全性。本实施例中在区块链系统上创建一个键值对，该键值对是独一无二的，具体该键值对的键可以设为key＝ROOT，值设为value＝cert，用户后续在区块链系统上进行用户身份验证时，只需读取区块链系统上名为ROOT的键即可获取相应的根证书，利用根证书进行区块链上用户身份的合法性验证。

需要说明的是，区块链系统采用自定义设置的系统根证书，可以避免采用其他设置方式(如没有采用本实施例中结合区块链系统进行设置创建)可能造成多个用户之间不一致的情况发生，无法确保多用户的一致性。本实施例中，采用结合区块链系统自定义创建的系统根证书不会出现该问题，能够保证多用户的一致性。

S20：根据系统根证书生成区块链系统上所有用户的用户数字证书。

其中，用户数字证书用于进行区块链上用户间的验证。本实施例中，系统根证书在区块链系统上，基于哈希算法和系统根证书的私钥生成区块链系统上所有用户的用户数字证书(区块链上用户如果没有系统根证书生成的用户数字证书，将无法进行身份的合格验证，导致无法与区块链上的其他用户进行通信)，为基于该用户数字证书实现区块链系统上用户间的身份验证提供了重要的技术基础。

在一具体实施方式中，如图3，步骤S20中，通过权威认证节点在区块链系统上设置系统根证书，具体包括如下步骤：

S21：创建区块链系统上所有用户的原始用户证书。

其中，原始用户证书是指未经数字签名加密的证书，该原始用户证书包括原始证书内容。该证书可以是采用X.509V3的证书标准。本实施例中，系统根证书创建区块链系统上所有用户的原始用户证书，为后续基于该原始用户证书生成区块链系统上所有用户的用户数字证书提供了基础。

S22：采用系统根证书的私钥加密所有用户的原始用户证书，生成区块链系统上所有用户的用户数字证书，用户数字证书包括发行者数字签名。

其中，系统根证书包括一对相对应的公钥和私钥，公钥用于用户验证，私钥用于加密原始用户证书。原始用户证书包括原始证书内容。发行者数字签名是由证书内容的哈希摘要(即采用哈希算法对证书内容进行计算得到的信息摘要)采用系统根证书的私钥加密获取的。本实施例中，采用系统根证书的私钥对区块链上所有用户的原始用户证书进行加密，加密过程具体是系统根证书采用哈希函数(如SHA256)对原始用户证书包括的证书内容进行计算，生成原始信息摘要,然后采用系统根证书自身的私钥对该原始信息摘要进行加密，该加密后的原始信息摘要即发行者数字签名。原始用户证书经系统根证书签名后发放到区块链上的所有用户上。区块链上每一用户获取签名后的原始用户证书，即用户数字证书。通过采用区块链上的系统根证书生成区块链上每一用户的用户数字证书，能够保证生成的每一用户数字证书都是安全合法的，区块链系统上每一用户都可以采用自身的用户数字证书证明在该区块链系统上的身份合法性。

基于步骤S21和步骤S22，通过采用区块链上的系统根证书生成区块链上每一用户的用户数字证书，能够保证每一用户数字证书的安全性。区块链系统上每一用户都可以采用自身的用户数字证书证明在该区块链系统上的身份合法性。

S30：区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的用户数字证书。

本实施例中，区块链系统上包括任意两个普通用户：用户A和用户B。若用户B想要发送数据给用户A，用户A要求对用户B的身份进行验证。在用户A对用户B进行身份验证时，则用户B需发送自身的用户数字证书给用户A，为后续用户A根据系统根证书的公钥对用户B的用户数字证书进行解密，验证用户B是否为区块链上合法用户提供了基础。需要说明的是用户B也可以要求验证用户A的身份合法性，验证过程可以是双向的。

S40：用户A采用系统根证书对用户B的用户数字证书进行验证。

本实施例中，区块链上用户采用在区块链上创建的系统根证书，采用系统根证书对用户B的用户数字证书进行验证。系统根证书在该区块链系统上具有权威性，根据用户系统根证书能够保证验证结果的准确性，使得用户A能够实现对用户B的身份验证。

在一具体实施方式中，如图4，步骤S40中，用户A采用系统根证书对用户B的用户数字证书进行验证，具体包括如下步骤：

S41：用户A在区块链系统上读取系统根证书，获取系统根证书的公钥。

本实施例中，用户A读取区块链系统上的系统根证书，具体读取的方式为在区块链上查询名为ROOT的键，由该键ROOT与值cert为一个键值对的关系，直接根据键ROOT获取值cert，该值cert即为系统根证书。系统根证书包括一对相对应的公钥和私钥，公钥用于用户验证，私钥用于加密原始用户证书，而区块链系统上的每一用户的用户数字证书均是采用系统根证书的私钥加密其对应的原始用户证书后获取的，因此，需获取系统根证书中的公钥，以便基于该公钥对用户数字证书进行验证。本实施例中，用户A需要对用户B进行验证，因此，用户A需从系统根证书中获取系统根证书的公钥，以根据该公钥进行区块链上用户身份合法性验证。

S42：用户A根据系统根证书的公钥对用户B的用户数字证书进行解密，若解密成功，则验证通过。

本实施例中，在用户A获取系统根证书的公钥后，采用该公钥对用户B的用户数字证书进行解密，具体地，该解密验证过程为：用户A首先采用与系统根证书生成用户数字证书时采用的相同的哈希函数，对用户B的用户数字证书的证书内容计算得到第一信息摘要，接着再用系统根证书的公钥对发行者数字签名进行解密，计算出第二信息摘要，如果第一信息摘要和第二信息摘要相同，则认为该解密过程是成功的，即用户A能够确认该发行者数字签名是系统根证书签发的。

需要说明的是，用户B的用户数字证书的证书内容和原始用户证书的证书内容是相同的。系统根证书对原始用户证书进行数字签名，只是对原始信息摘要进行加密，并不会改变原始用户证书的证书内容。根据哈希函数的单向散列性，采用哈希函数对用户B的用户数字证书的证书内容进行计算，获取第一信息摘要，并基于该第一信息摘要与第二摘要作比较。由加密的过程(哈希函数的单向散列性质)能够知道如果用户B的用户证书是区块链系统上的系统根证书发放的，第一信息摘要与第二摘要必定相同。通过用户A根据系统根证书的公钥对用户B的用户数字证书进行解密，实现了用户A在区块链系统上对用户B的验证，保证区块链系统上用户进行通信时的安全。

基于步骤S41和步骤S42，用户A在对用户B进行身份验证的时候，采用了区块链上具有权威性质的系统根证书，通过系统根证书的公钥解密用户B的用户数字证书，根据解密结果(第一信息摘要是否和第二信息摘要相同)判断用户B的合法性，使得基于系统根证书的验证在区块链系统上的用户验证更加安全和可靠。

S50：若验证通过，则确定用户B为区块链系统上的合法用户。

本实施例中，若验证通过，由系统根证书在区块链系统上的权威性可知，拥有系统根证书加密的用户数字证书的区块链上系统上的用户都是区块链上的合法用户，则能够确定用户B为区块链系统上的合法用户，用户B能够与用户A进行正常的通信。

需要说明的是，本实施例中的用户A和用户B是区块链系统上任意的两个区别于权威认证节点的普通用户，区块链上的用户间进行验证可以是单向的，也可以是双向的，用户A可以要求对用户B的身份进行验证，用户B同样也可以对用户A的身份进行验证。验证过程都需要通过区块链系统读取系统根证书，根据系统根证书对用户数字证书进行解密，以验证用户是否为区块链系统上的合法用户。

本实施例所提供的区块链系统上用户验证方法中，首先通过权威认证节点在区块链系统上设置系统根证书，结合区块链自身特点自定义地在区块链系统上设置系统根证书，使得整个区块链系统的安全依赖于该系统根证书，保证区块链系统的安全性。然后根据系统根证书生成区块链系统上所有用户的用户数字证书，使得通过该系统根证书生成的用户数字证书能够用于实现区块链系统上的用户验证。最后区块链系统上用户A和用户B进行通信，用户A采用系统根证书的公钥对用户B的用户数字证书进行验证，以确定用户B是否为区块链系统上的合法用户。区块链上用户通过直接读取设置在区块链上的根证书，采用根证书对在区块链系统上自定义设置的系统根证书生成的用户数字证书进行验证，能够实现区块链系统上有效和安全的用户验证功能。在区块链系统上自定义设置的系统根证书结合了区块链的特点，基于区块链的数据共享性，使得创建设置的系统根证书能够便捷地被区块链系统上用户读取和使用，以进行区块链上用户间的验证；基于区块链的数据不可篡改性，使得创建设置的系统根证书不能被恶意修改；并且，权威认证节点在区块链系统上拥有特定权限及权威性，由权威认证节点在区块链系统上设置的系统根证书拥有权威性，保证了区块链系统的安全。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

实施例2

图5示出与实施例1中区块链系统上用户验证方法一一对应的区块链系统上用户验证管理装置的原理框图。如图5所示，该区块链系统上用户验证装置包括根证书设置模块10、数字证书生成模块20、数字证书发送模块30、验证模块40和确定模块50。其中，根证书设置模块10、数字证书生成模块20、数字证书发送模块30、验证模块40和确定模块50的实现功能与实施例1中区块链系统上用户验证方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

根证书设置模块10，用于通过权威认证节点在区块链系统上设置系统根证书。

数字证书生成模块20，用于根据系统根证书生成区块链系统上所有用户的用户数字证书。

数字证书发送模块30，用于区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的用户数字证书。

验证模块40，用于用户A采用系统根证书对用户B的用户数字证书进行验证。

确定模块50，用于若验证通过，则用户B为区块链系统上的合法用户。

优选地，根证书设置模块10包括根证书创建单元11、交易发送单元12和交易接收单元13。

根证书创建单元11，用于通过权威认证节点创建一个包含系统根证书的交易。

交易发送单元12，用于将交易发送到区块链系统上。

交易接收单元13，用于基于区块链系统的共识机制，打包交易到当前所在区块中，区块链系统上所有用户得到当前所在区块，接受当前所在区块中的交易。

优选地，根证书创建单元11，用于通过权威认证节点创建一个键值对，键值对的键为key＝ROOT，值为value＝cert，其中，ROOT代表系统根证书的键，cert代表系统根证书的值。

优选地，数字证书生成模块20包括原始用户证书创建单元21和用户数字证书获取单元22。

原始证书创建单元21，用于创建区块链系统上所有用户的原始用户证书。

数字证书获取单元22，用于采用系统根证书的私钥加密所有用户的原始用户证书，生成区块链系统上所有用户的用户数字证书，用户数字证书包括发行者数字签名。

优选地，验证模块40包括公钥获取单元41和解密单元42。

公钥获取单元41，用于使用户A在区块链系统上读取系统根证书，获取系统根证书的公钥。

解密单元42，用于使用户A根据系统根证书的公钥对用户B的用户数字证书进行解密，若解密成功，则验证通过。

本实施例所提供的区块链系统上用户验证装置中，根证书设置模块10，能够使得整个区块链系统的安全依赖于该自定义设置的系统根证书，提高区块链系统的独立性和安全性。数字证书生成模块20，使得通过自定义设置的系统根证书生成的用户数字证书能够用于区块链系统上的用户验证。数字证书发送模块30、验证模块40和确定模块50，基于在区块链系统上自定义设置的系统根证书生成的用户数字证书，能实现区块链系统上有效和安全的用户验证功能。在区块链系统上自定义设置的系统根证书结合了区块链的特点，基于区块链的数据共享性，使得创建设置的系统根证书能够便捷地被区块链系统上用户获取和使用，以进行区块链上用户间的验证；基于区块链的数据不可篡改性，使得创建设置的系统根证书不能被恶意修改；并且，权威认证节点在区块链系统上拥有特定权限及权威性，由权威认证节点在区块链系统上设置的系统根证书拥有权威性，保证了区块链系统的安全性。

实施例3

本实施例提供一个或多个存储有计算机可读指令的非易失性可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行时实现实施例1中区块链系统上用户验证方法，为避免重复，这里不再赘述。或者，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行时实现实施例2中区块链系统上用户验证装置中各模块/单元的功能，为避免重复，这里不再赘述。

实施例4

图6是本实施例中终端设备的示意图。如图6所示，终端设备60包括处理器61、存储器62以及存储在存储器62中并可在处理器61上运行的计算机可读指令63。处理器61执行计算机可读指令63时实现实施例1中区块链系统上用户验证方法的各个步骤，例如图1所示的步骤S10、S20、S30、S40和S50。或者，处理器61执行计算机可读指令63时实现实施例2中区块链系统上用户验证装置各模块/单元的功能，如图5所示根证书设置模块10、数字证书生成模块20、数字证书发送模块30、验证模块40和确定模块50的功能。

示例性的，计算机可读指令63可以被分割成一个或多个模块/单元，一个或者多个模块/单元被存储在存储器62中，并由处理器61执行，以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令的指令段，该指令段用于描述计算机可读指令63在终端设备60中的执行过程。例如，计算机可读指令63可被分割成实施例2 中的根证书设置模块10、数字证书生成模块20、数字证书发送模块30、验证模块40和确定模块50，各模块的具体功能如实施例2所示，为避免重复，此处不一一赘述。

终端设备60可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。终端设备可包括，但不仅限于，处理器61、存储器62。本领域技术人员可以理解，图6仅仅是终端设备60的示例，并不构成对终端设备60的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器61可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器62可以是终端设备60的内部存储单元，例如终端设备60的硬盘或内存。存储器62也可以是终端设备60的外部存储设备，例如终端设备60上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，存储器62还可以既包括终端设备60的内部存储单元也包括外部存储设备。存储器62用于存储计算机可读指令63以及终端设备所需的其他程序和数据。存储器62还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机可读指令63来指令相关的硬件来完成，所述的计算机可读指令63可存储于一计算机可读存储介质中，该计算机可读指令63在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机可读指令63包括计算机可读指令63的代码，所述计算机可读指令63的代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机可读指令63的代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括是电载波信号和电信信号。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims

一种区块链系统上用户验证方法，其特征在于，包括：

通过权威认证节点在区块链系统上设置系统根证书；

根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书；

所述区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的所述用户数字证书；

用户A采用所述系统根证书对用户B的用户数字证书进行验证；

若验证通过，则确定用户B为所述区块链系统上的合法用户。
根据权利要求1所述的区块链系统上用户验证方法，其特征在于，所述通过权威认证节点在区块链系统上设置系统根证书，包括：

通过权威认证节点创建一个包含所述系统根证书的交易；

将所述交易发送到所述区块链系统上；

基于所述区块链系统的共识机制，打包所述交易到当前所在区块中，所述区块链系统上所有用户得到当前所在区块，接受当前所在区块中的所述交易。
根据权利要求2所述的区块链系统上用户验证方法，其特征在于，所述通过权威认证节点创建一个包含所述系统根证书的交易，包括：

通过权威认证节点创建一个键值对，所述键值对的键为key＝ROOT，值为value＝cert，其中，所述ROOT代表所述系统根证书的键，所述cert代表所述系统根证书的值。
根据权利要求1所述的区块链系统上用户验证方法，其特征在于，所述根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书，包括：

创建区块链系统上所有用户的原始用户证书；

采用所述系统根证书的私钥加密所有用户的所述原始用户证书，生成所述区块链系统上所有用户的用户数字证书，所述用户数字证书包括发行者数字签名。
根据权利要求4所述的区块链系统上用户验证方法，其特征在于，所述用户A采用所述系统根证书对用户B的用户数字证书进行验证，包括：

用户A在区块链系统上读取所述系统根证书，获取所述系统根证书的公钥；

用户A根据所述系统根证书的公钥对用户B的用户数字证书进行解密，若解密成功，则验证通过。
一种区块链系统上用户验证装置，其特征在于，包括：

根证书设置模块，用于通过权威认证节点在区块链系统上设置系统根证书；

数字证书生成模块，用于根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书；

数字证书发送模块，用于所述区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的所述用户数字证书；

验证模块，用于用户A采用所述系统根证书对用户B的用户数字证书进行验证；

确定模块，用于若验证通过，则用户B为所述区块链系统上的合法用户。
根据权利要求6所述的区块链系统上用户验证装置，其特征在于，所述根证书设置模块，包括：

根证书创建单元，用于通过权威认证节点创建一个包含所述系统根证书的交易；

交易发送单元，用于将所述交易发送到所述区块链系统上；

交易接收单元，用于基于所述区块链系统的共识机制，打包所述交易到当前所在区块中，所述区块链系统上所有用户得到当前所在区块，接受当前所在区块中的所述交易。
根据权利要求7所述的区块链系统上用户验证装置，其特征在于，所述根证书创建单元，用于通过权威认证节点创建一个键值对，所述键值对的键为key＝ROOT，值为value＝cert，其中，所述ROOT代表所述系统根证书的键，所述cert代表所述系统根证书的值。
根据权利要求6所述的区块链系统上用户验证装置，其特征在于，所述数字证书生成模块包括：

原始证书创建单元，用于创建区块链系统上所有用户的原始用户证书；

数字证书获取单元，用于采用所述系统根证书的私钥加密所有用户的所述原始用户证书，生成所述区块链系统上所有用户的用户数字证书，所述用户数字证书包括发行者数字签名。
根据权利要求9所述的区块链系统上用户验证装置，其特征在于，所述验证模块，包括：

公钥获取单元41，用于使用户A在区块链系统上读取所述系统根证书，获取所述系统根证书的公钥；

解密单元42，用于使用户A根据所述系统根证书的公钥对用户B的用户数字证书进行解密，若解密成功，则验证通过。
一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，其特征在于，所述处理器执行所述计算机可读指令时实现如下步骤：

通过权威认证节点在区块链系统上设置系统根证书；

根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书；

所述区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的所述用户数字证书；

用户A采用所述系统根证书对用户B的用户数字证书进行验证；

若验证通过，则确定用户B为所述区块链系统上的合法用户。
根据权利要求11所述的终端设备，其特征在于，所述通过权威认证节点在区块链系统上设置系统根证书，包括：

通过权威认证节点创建一个包含所述系统根证书的交易；

将所述交易发送到所述区块链系统上；

基于所述区块链系统的共识机制，打包所述交易到当前所在区块中，所述区块链系统上所有用户得到当前所在区块，接受当前所在区块中的所述交易。
根据权利要求12所述的终端设备，其特征在于，所述通过权威认证节点创建一个包含所述系统根证书的交易，包括：

通过权威认证节点创建一个键值对，所述键值对的键为key＝ROOT，值为value＝cert，其中，所述ROOT代表所述系统根证书的键，所述cert代表所述系统根证书的值。
根据权利要求11所述的终端设备，其特征在于，所述根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书，包括：

创建区块链系统上所有用户的原始用户证书；

采用所述系统根证书的私钥加密所有用户的所述原始用户证书，生成所述区块链系统上所有用户的用户数字证书，所述用户数字证书包括发行者数字签名。
根据权利要求14所述的终端设备，其特征在于，所述用户A采用所述系统根证书对用户B的用户数字证书进行验证，包括：

用户A在区块链系统上读取所述系统根证书，获取所述系统根证书的公钥；

用户A根据所述系统根证书的公钥对用户B的用户数字证书进行解密，若解密成功，则验证通过。
一个或多个存储有计算机可读指令的非易失性可读存储介质，其特征在于，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行如下步骤：

通过权威认证节点在区块链系统上设置系统根证书；

根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书；

所述区块链系统上用户A和用户B进行通信，若用户A需要对用户B进行验证，则用户A接收用户B发送的所述用户数字证书；

用户A采用所述系统根证书对用户B的用户数字证书进行验证；

若验证通过，则确定用户B为所述区块链系统上的合法用户。
根据权利要求16所述的非易失性可读存储介质，其特征在于，所述通过权威认证节点在区块链系统上设置系统根证书，包括：

通过权威认证节点创建一个包含所述系统根证书的交易；

将所述交易发送到所述区块链系统上；

基于所述区块链系统的共识机制，打包所述交易到当前所在区块中，所述区块链系统上所有用户得到当前所在区块，接受当前所在区块中的所述交易。
根据权利要求17所述的非易失性可读存储介质，其特征在于，所述通过权威认证节点创建一个包含所述系统根证书的交易，包括：

通过权威认证节点创建一个键值对，所述键值对的键为key＝ROOT，值为value＝cert，其中，所述ROOT代表所述系统根证书的键，所述cert代表所述系统根证书的值。
根据权利要求16所述的非易失性可读存储介质，其特征在于，所述根据所述系统根证书生成所述区块链系统上所有用户的用户数字证书，包括：

创建区块链系统上所有用户的原始用户证书；

采用所述系统根证书的私钥加密所有用户的所述原始用户证书，生成所述区块链系统上所有用户的用户数字证书，所述用户数字证书包括发行者数字签名。
根据权利要求19所述的非易失性可读存储介质，其特征在于，所述用户A采用所述系统根证书对用户B的用户数字证书进行验证，包括：

用户A在区块链系统上读取所述系统根证书，获取所述系统根证书的公钥；

用户A根据所述系统根证书的公钥对用户B的用户数字证书进行解密，若解密成功，则验证通过。