WO2020073513A1

WO2020073513A1 - 基于区块链的用户认证方法及终端设备

Info

Publication number: WO2020073513A1
Application number: PCT/CN2018/124343
Authority: WO
Inventors: 吴超勇; 陈仕财; 陈亚殊
Original assignee: 平安科技（深圳）有限公司
Priority date: 2018-10-11
Filing date: 2018-12-27
Publication date: 2020-04-16
Also published as: CN109522698A

Abstract

本申请适用于计算机应用技术领域，提供了一种基于区块链的用户认证方法及终端设备，包括：通过预先根据用户的身份信息生成用户证书，并采用非对称加密算法生成唯一对应的公私钥对，通过私钥对用户证书进行哈希运算得到加签数据，获取用户在登录区块链系统中的链设备的加签数据，并通过该链设备对应的公钥对该加签数据进行解签得到哈希值，将解签得到的哈希值与预设的哈希值进行对比，校验该用户的身份信息是否正确，保证了用户的身份信息的私密性，也提高了设备的安全性。

Description

基于区块链的用户认证方法及终端设备

本申请申明享有2018年10月11日递交的申请号为201811182177.2、名称为“基于区块链的用户认证方法及终端设备”中国专利申请的优先权，该中国专利申请的整体内容以参考的方式结合在本申请中。

技术领域

本申请属于计算机应用技术领域，尤其涉及一种基于区块链的用户认证方法及终端设备。

背景技术

随着科技不断进步，信息传递方式也在不断升级，价值的传递方式也同步得到了发展。从电报、电话，再到互联网，人们已经全面进入信息时代。互联网使整个通信网络实现了信息的高效传递，但是却缺乏有效保护信息安全的内在机制，人们还无法点对点地传递带有所有权的信息，在网络上拷贝、传播甚至篡改一条信息的成本几乎为零。些传统行业因此受到很大冲击，尽管各国政府对网络信息版权保护力度不断加大，仍然难以从技术层而上杜绝信息安全和数据安全的问题。

现有技术中的登陆方式普遍为用户名和密码登陆，这种登陆方式面临很多潜在的风险，比如：密码被盗、密码劫持、密码多机器使用易被探测、弱密码易被攻击等安全问题。

技术问题

有鉴于此，本申请实施例提供了一种基于区块链的用户认证方法及终端设备，以解决现有技术中的登录方式的安全性较低的问题。

技术解决方案

本申请实施例的第一方面提供了一种基于区块链的用户认证方法，包括：

获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到；

获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；

采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；

若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。

本申请实施例的第二方面提供了一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

本申请实施例的第三方面提供了一种终端设备，包括：

第一获取单元，用于获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到；

第二获取单元，用于获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；

数据处理单元，用于采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；

信息校验单元，用于若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。

本申请实施例的第四方面提供了一种计算机非易失性可读存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。

有益效果

本申请实施例与现有技术相比存在的有益效果是：

本申请实施例通过预先根据用户的身份信息生成用户证书，并采用非对称加密算法生成唯一对应的公私钥对，通过私钥对用户证书进行哈希运算得到加签数据，获取用户在登录区块链系统中的链设备的加签数据，并通过该链设备对应的公钥对该加签数据进行解签得到哈希值，将解签得到的哈希值与预设的哈希值进行对比，校验该用户的身份信息是否正确，保证了用户的身份信息的私密性，也提高了设备的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例一提供的基于区块链的用户认证方法的流程图；

图2是本申请实施例二提供的基于区块链的用户认证方法的流程图；

图3是本申请实施例三提供的终端设备的示意图；

图4是本申请实施例四提供的终端设备的示意图。

本发明的实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例通过埋点数据得到关联数据，以对关联数据进行分析，得到整个时间段之内、某一操作过程中的用户行为情况和软件的运行状态情况，解决了根据单一埋点处获取到的操作信息单独分析某一点处的用户数据，不能对整个使用过程进行全面的监控，造成数据分析的局限性的问题。

实施例1

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

为了说明本申请所述的技术方案，下面通过具体实施例来进行说明。

参见图1，图1是本申请实施例一提供的基于区块链的用户认证方法的流程图。本实施例中基于区块链的用户认证方法的执行主体为终端。终端包括但不限于智能手机、平板电脑、可穿戴设备等移动终端，还可以是台式电脑等。如图所示的基于区块链的用户认证方法可以包括以下步骤：

S101：获取用户在登录区块链系统中的链设备时输入的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到。

随着科技不断进步，信息传递方式也在不断升级，价值的传递方式也同步得到了发展。从电报、电话，再到互联网，人们已经全面进入信息时代。互联网使整个通信网络实现了信息的高效传递，但是却缺乏有效保护信息安全的内在机制，人们还无法点对点地传递带有所有权的信息，在网络上拷贝、传播甚至篡改一条信息的成本几乎为零。些传统行业因此受到很大冲击，尽管各国政府对网络信息版权保护力度不断加大，仍然难以从技术层而上杜绝信息安全和数据安全的问题。现有技术中的登陆方式普遍为用户名和密码登陆，这种登陆方式面临很多潜在的风险，比如：密码被盗、密码劫持、密码多机器使用易被探测、弱密码易被攻击等安全问题。

在本实施例中，用户在登录链设备之前，就已经知道自己的加签数据。加签数据为根据用户的身份信息，进行哈希运算和非对称加密得到。其中，用户的身份信息可以是用户输入ID号、身份证号码或者生物特征等信息，可以是其中的一种，也可以是多种信息合成在一起。进一步的，本实施例中的用户的身份信息可以分为生物特征识别和行为特征识别两种。生物特征可以包括但不限于指纹识别、虹膜、手掌纹、人脸等；行为特征可以包括但不限于语音识别、签名及键盘敲击动作方面的识别。

在得到加签数据时，先获取用户的身份信息，根据用户的身份信息和预设的证书格式得到用户证书，生成该用户证书的哈希值，并通过该用户的私钥对用户证书的哈希值进行加密，得到加签数据，该加签数据是用户自己独有的，不被他人所知。

通过预先与用户独有的身份信息进行哈希运算，得到用户信息的唯一哈希值，用于表示将当前用户的用户信息与其他用户的用户信息区别。哈希运算是把任意长度的数据压缩成固定长度的串。本实施例中的哈希函数可以采用安全散列算法1（Secure Hash Algorithm 1，SHA-1）或者消息摘要算法第五版（Message Digest AlgorithmMD5，MD5）等，也可以采用其他的哈希运算方法此处不做限定。

在通过哈希运算得到哈希值之后，将该哈希值通过该链设备对应的私钥进行加密。其中链设备对应的私钥为该链设备预先规定的用户的私钥，加密的方式可以是对称加密的方式，也可以是非对称加密的方式，此处不做限定。对称加密算法在加密和解密时使用的是同一个秘钥；而非对称加密算法需要两个密钥来进行加密和解密，这两个秘钥是私钥和私钥。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密；如果用私钥对数据进行加密，那么只有用对应的公钥才能解密。因为加密和解密使用的是两个不同的密钥。非对称加密与对称加密相比，其安全性更好：对称加密的通信双方使用相同的秘钥，如果一方的秘钥遭泄露，那么整个通信就会被破解。而非对称加密使用一对秘钥，一个用来加密，一个用来解密，而且公钥是公开的，秘钥是自己保存的，不需要像对称加密那样在通信之前要先同步秘钥。非对称加密算法可以是Elgamal、背包算法、椭圆曲线加密算法等，此处不做限定。

需要说明的是，在本实施例中，链设备可以对应与一个用户，也可以对应与多个用户使用。当存在链设备被多个用户使用时，通过识别该用户的用户信息确定其对应的公钥，以对该用户的身份信息进行校验。

S102：获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到。

在本实施例中，每个链设备都有其对应的用户，用户通过输入自己的加签数据进行认证和登录。因此，本实施例中的每个链设备都有其对应的公钥，用于对用户信息进行认证。其中，该公钥可以是存储在链设备中，可以是存储在服务器的数据库中，此处不做限定。用户的身份信息可以是用户的证件信息、用户的生物信息等。

在计算该链设备的哈希值时，是通过基于该链设备对应的阈值的身份信息进行哈希运算得到的。在本实施例中，每个链设备都有其对应的使用用户，该用户的身份信息即与该链设备对应，因此，对该用户的身份信息进行哈希运算得到哈希值，并将该哈希值存储至对应的链设备中，以在当有用户登录该链设备的时候，通过该预存的哈希值对该试图登录链设备的用户的用户身份进行验证。

S103：采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值。

在获取到用户在登录区块链中的链设备时生成的加签数据、该链设备对应的公钥以及该链设备预存的哈希值之后，通过该公钥对加签数据进行解签，得到该登录用户的身份信息对应的哈希值。具体的，在加签数据进行解签时，根据在对身份信息的哈希值进行加密时的加密方法，通过公钥进行解密，得到该用户的身份信息对应的哈希值。

在实际应用中，A用户的签名只有A用户的公钥才能解签，这样链设备就能确认这个身份信息确实是A用户发来的。因此，本实施例中，通过将解签得到的哈希值与预设的哈希值进行对比，校验该用户的身份信息是否正确。

S104：若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。

在采用预存的哈希值校验用户的身份信息对应的哈希值之后，若解签得到的哈希值与预设的哈希值相同，则说明当前登录的用户信息正确，该用户即为与该链设备对应的正确用户，则授权该用户登录该链设备。

若解签得到的哈希值与预设的哈希值不同，则说明当前登录的用户信息有误，可能是用户加签信息的输入错误，这种情况下可以向链设备发送重新输入信息的通知；若当前登录的用户信息有误，则可能是存在恶意用户要登录该链设备，在这种情况则向链设备发送警告信息，防止用户做出有损设备或者整个系统的操作。

上述方案，通过获取用户在登录区块链系统中的链设备时生成的加签数据；获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。通过获取用户在登录区块链系统中的链设备的加签数据，并通过该链设备对应的公钥对该加签数据进行解签得到哈希值，将解签得到的哈希值与预设的哈希值进行对比，校验该用户的身份信息是否正确，保证了用户登录信息不被盗取或篡改，也提高了设备的安全性。

实施例2

参见图2，图2是本申请实施例二提供的基于区块链的用户认证方法的流程图。本实施例中基于区块链的用户认证方法的执行主体为终端。终端包括但不限于智能手机、平板电脑、可穿戴设备等移动终端，还可以是台式电脑等。如图所示的基于区块链的用户认证方法可以包括以下步骤：

S201：获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书。

在用户登录区块链系统各种的链设备之前，需要先获取用户的一些信息，以对该用户进行登录时候输入的用户信息进行验证。在本实施例中，可以先获取用户的用户信息，并进行注册，以实现用户的用户信息建档。

具体的，本实施例中的步骤S201可以具体包括步骤S2011~S2012：

S2011：获取用户的身份信息；所述身份信息包括但不限于以下信息中的一种或者至少两种的结合：用户账号、身份证号或者生物特征。

本实施例中用户的身份信息可以包括但不限于：用户账号、身份证号或者生物特征。其中生物特征可以包括但不限于人体所固有的生理特征或行为特征，例如指纹、虹膜、面相、步态、击键习惯等。需要说明的是，本实施例中获取的用户身份信息可以包括以上信息中的一种，为了保证用户信息的全面性和不可篡改性，也可以是以上信息中的至少两种信息的结合。

在实际应用中，生物识别技术利用人体生物特征进行身份认证的一种技术。更具体一点，生物特征识别技术就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性和行为特征来进行个人身份的鉴定。生物识别系统是对生物特征进行取样，提取其唯一的特征并且转化成数字代码，并进一步将这些代码组合而成的特征模板。人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据可中的特征模板进行比对，以确定是否匹配，从而决定接受或拒绝该人。生物特征包括但不限于生物识别的生物特征有手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓等，行为特征有签字、声音、按键力度等。其中，个体的虹膜结构独一无二、不具遗传性，使即使是同卵双胞胎虹膜也各不相同，并且自童年以后，便基本不再变化，使得其非常适合应用于生物识别。有统计表明，到目前为止，虹膜识别的错误率是各种生物特征识别中最低的。

2012：对所述身份信息进行审核，若审核通过，则基于区块链分布式账本技术，将所述身份信息输入预设的证书结构中，得到所述用户证书。

在获取到用户的身份信息之后，对该身份信息进行审核。其中审核的内容包括但不限于：该身份信息的格式是否符合预设的数据格式、该身份信息的数据完整性是否达到预设的完整性要求、该身份信息中的数据新旧程度是否符合预设的数据生成时间间隔。

示例性地，当获取身份证图像作为用户的身份信息时，需要审核该身份证的有效日期是否合格；在获取用户的指纹信息时，需要审核所获取到的指纹信息是否完整等。

进一步的，步骤S201还可以包括：

获取用户的身份信息，并验证所述身份信息是否在预设的有效期限之内；

若所述身份信息在所述有效期限之内，则根据所述身份信息生成用户证书；

若所述身份信息不在所述有效期限之内，则获取用户新的身份信息，并根据所述新的身份信息生成新的用户证书，并替换之前的用户证书。

具体的，在实际应用中，若是长期使用某个身份信息，则很容易发生篡改，不能保证身份信息的安全性，因此，本实施例中设定一个有效期限，若该身份信息使用的时间到达该有效期限时，则需要获取新的身份信息来代替旧身份信息，保证身份信息的安全性和私密性。

在获取到的身份信息合格之后，按照预设的证书结构，将该身份信息输入该证书结构中，得到用户证书。

示例性地，可以按照X.509证书的预定义结构录入用的身份信息得到用户证书。X.509是由国际电信联盟制定的数字证书标准。在X.509系统中，电子商务认证授权机构（Certificate Authority，CA）签发的证书依照X.500的管理，绑定了一个唯一甄别名，可以包含多个字段和值，还可以支持别名。一个组织受信任的根证书会分发给所有需要用到系统的员工手上。主流浏览器会预先安装一部分根证书，这些根证书都是受信任的证书认证机构CA，这样他们颁发的证书，浏览器将可以直接信任。虽然用户可以删除或者禁用这些根证书，但事实上，用户很少这么做。在最新的微软平台，甚至会在用户移除了预先安置的根证书后，当用户再访问这些被删除的根证书网站的时候，会自动将这些根证书恢复到信任列表中。

S202：采用非对称加密算法生成唯一的密钥对；所述密钥对包括公钥和私钥，所述私钥和所述公钥唯一对应。

实现非对称加密功能的软件或者硬件模块一般都具备私钥的产生及保护能力。在具备智能卡等加密安全硬件的情况下，私钥的产生和保护会在这些硬件内部。私钥与安全硬件绑定时，用户容易理解和落实对存有私钥的这些实物安全凭证的管理要求。在不具备外置安全硬件时，加密软件包利用本地计算平台的资源，产生密钥对和保护私钥。这种文件形式存储私钥，会受到计算机上的恶意代码的威胁，其安全对用户的要求相对较高。

对称加密算法本身对密钥的值没有约束，虽然我们会有意避开一些太有规律的密钥值。与对称密钥不同，非对称加密算法不能使用任意比特串作为密钥。非对称加密所用的密钥是符合算法原理要求的特别大数。例如，RSA算法的密钥来自于两个大的素数。非对称私钥没有密钥交换和分配，非对称私钥只应在预期的私钥持有者安全可控的环境里产生。由于无需与任何其他人共享，非对称私钥比较容易管控。如此，我们能建立一个安全的非对称加密系统，在这个系统中，只有私钥的所有者，能够对预期的内容进行解密和签署操作。

示例性的，RSA（Ron Rivest、Adi Shamir、Leonard Adleman）算法是最早得到广泛使用的非对称加密算法，RSA算法基于分解大素数之乘积的困难性。较新的非对称加密算法是ECC，ECC基于离散对数难题。它能够以较少的计算资源消耗达到与RSA相当的安全性。本实施例中，通过非对称加密算法生成唯一的公私钥对，其中，私钥和公钥唯一对应，私钥用于对用户的身份信息进行签名，公钥用于对签名数据进行解签。

S203：通过所述私钥对所述用户证书进行哈希运算得到加签数据。

哈希运算能够把任意长度的输入映射成固定长度的输出，即散列值。本实施例中为了实现对长文件的数字签名，先对消息进行哈希函数运算，然后对消息的哈希值进行签名而不是对原始消息进行签名。哈希函数具有单向性、抗碰撞性等特点。

数字签名，签名者对消息进行处理，生成别人无法伪造的一段数字串，这段数字串同时也是对消息的签名者发送消息真实性的一个有效证明。利用数字签名技术，能够确保消息传输的完整性、发送者的身份认证，防止交易中的抵赖发生。在本实施例的设备登录系统中，可以采用非对称加密的方式。设备登录系统中的用户私钥，用于当前该链设备的拥有者，拥有者必须使用私钥给交易消息签名，以证明消息的发布者是相应链设备地址的所有者。如果没有私钥，用户就不能给消息签名。公钥用于生成用户的链设备地址。

示例性地，用户的公钥是由私钥通过椭圆曲线算法生成65字节的随机数，再经过哈希运算生成20字节长度的消息摘要作为链设备地址的主体信息，再在前面加上版本号信息，在末尾添加4个字节的地址校验码，地址校验码通过对摘要结果进行两次哈希运算得到，取哈希值的前四位产生，最后把版本信息、主体信息和地址校验码放在一块通过字符转换为易识别的字符串作为链设备地址。私钥在区块链系统中最为重要，一旦丢失，即代表这对应公钥地址的财产也一并丢失。通过利用数字签名，区块链设备登录系统保证了消息的完整性与不可抵赖性，是用户可以安全登录该系统中。

S204：获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到。

在本实施例中S204与图1对应的实施例中S101的实现方式完全相同，具体可参考图1对应的实施例中的S101的相关描述，在此不再赘述。

S205：获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到。

在本实施例中S205与图1对应的实施例中S102的实现方式完全相同，具体可参考图1对应的实施例中的S102的相关描述，在此不再赘述。

S206：采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值。

在本实施例中S206与图1对应的实施例中S103的实现方式完全相同，具体可参考图1对应的实施例中的S103的相关描述，在此不再赘述。

S207：若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。

在本实施例中S207与图1对应的实施例中S104的实现方式完全相同，具体可参考图1对应的实施例中的S104的相关描述，在此不再赘述。

进一步的，在步骤S207之后，还可以包括：

接收所述链设备发送的登录成功信息；所述登录成功信息中包括所述用户的用户信息；

根据用户信息从预设的权限数据库中查找与所述用户信息对应的用户权限信息；

将所述用户权限信息发送至预设的设备系统中所有的链设备；所述用户权限信息用于所述链设备设置所述用户的操作权限。

具体的，在预设的基于区块链的网络系统中，存在很多的链设备，这些设备都有各自的对应的用户，而每个用户都有自己的权限。系统中的每个链设备都按照其对应的用户权限运行，同时，所有的链设备也都能获取到其他链设备的工作方式和工作数据。但是，仍然不可避免的是存在一些链设备会越过自身的运行权限。在这种情况下，服务器接收链设备发送的登录成功信息之后，根据登录成功信息中的用户信息，从预设的权限数据库中查找与该用户信息对应的用户权限，并将该用户权限发送至该链设备，以通过控制该链设备的运行权限。

进一步的，还可以将用户权限发送至所有的链设备，以通知系统中所有的链设备该链设备的权限信息，使其他链设备都能对该链设备的运行进行监督，这样，便可以保证系统中的每个链设备都能正常、安全的运行。

上述方案，通过预先根据用户的身份信息生成用户证书，并采用非对称加密算法生成唯一对应的公私钥对，通过私钥对用户证书进行哈希运算得到加签数据，获取用户在登录区块链系统中的链设备的加签数据，并通过该链设备对应的公钥对该加签数据进行解签得到哈希值，将解签得到的哈希值与预设的哈希值进行对比，校验该用户的身份信息是否正确，保证了用户的身份信息的私密性，也提高了设备的安全性。

实施例3

参见图3，图3是本申请实施例三提供的一种终端设备的示意图。终端设备包括的各单元用于执行图1~图2对应的实施例中的各步骤。具体请参阅图1~图2各自对应的实施例中的相关描述。为了便于说明，仅示出了与本实施例相关的部分。本实施例的终端设备300包括：

第一获取单元301，用于获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到；

第二获取单元302，用于获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；

数据处理单元303，用于采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；

信息校验单元304，用于若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。

进一步的，所述终端设备还可以包括：

第一生成单元，用于获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书；

密钥生成单元，用于采用非对称加密算法生成唯一的密钥对；所述密钥对包括公钥和私钥，所述私钥和所述公钥唯一对应；

哈希运算单元，用于通过所述私钥对所述用户证书进行哈希运算得到加签数据。

进一步的，所述第一生成单元可以包括：

第三获取单元，用于获取用户的身份信息；所述身份信息包括但不限于以下信息中的一种或者至少两种的结合：用户账号、身份证号或者生物特征；

第二生成单元，用于对所述身份信息进行审核，若审核通过，则基于区块链分布式账本技术，将所述身份信息输入预设的证书结构中，得到所述用户证书。

进一步的，所述第一生成单元可以包括：

信息检测单元，用于获取用户的身份信息，并检测所述身份信息是否在预设的有效期限之内；

第三生成单元，用于若所述身份信息在所述有效期限之内，则根据所述身份信息生成用户证书；

数据更新单元，用于若所述身份信息不在所述有效期限之内，则重新获取所述用户的身份信息，并根据新的身份信息生成新的用户证书，并用所述新的用户证书替换所述用户证书。

进一步的，所述终端设备还可以包括：

第四获取单元，用于接收所述链设备发送的登录成功信息；所述登录成功信息中包括所述用户的用户信息；

权限确定单元，用于根据用户信息从预设的权限数据库中查找与所述用户信息对应的用户权限信息；

权限发送单元，用于将所述用户权限信息发送至预设的设备系统中所有的链设备；所述用户权限信息用于所述链设备设置所述用户的操作权限。

实施例4

图4是本申请实施例四提供的终端设备的示意图。如图4所示，该实施例的终端设备4包括：处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机可读指令42。所述处理器40执行所述计算机可读指令42时实现上述基于区块链的用户认证方法实施例中的步骤，例如图1所示的步骤101至104。或者，所述处理器40执行所述计算机可读指令42时实现上述各装置实施例中各模块/单元的功能，例如图3所示单元301至304的功能。

示例性的，所述计算机可读指令42可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器41中，并由所述处理器40执行，以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令指令段，该指令段用于描述所述计算机可读指令42在所述终端设备4中的执行过程。

所述终端设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括，但不仅限于，处理器40、存储器41。本领域技术人员可以理解，图4仅仅是终端设备4的示例，并不构成对终端设备4的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器40可以是中央处理单元（Central Processing Unit，CPU），还可以是其他通用处理器、数字信号处理器（Digital Signal Processor，DSP）、专用集成电路（Application Specific Integrated Circuit，ASIC）、现成可编程门阵列（Field-Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器41可以是所述终端设备4的内部存储单元，例如终端设备4的硬盘或内存。所述存储器41也可以是所述终端设备4的外部存储设备，例如所述终端设备4上配备的插接式硬盘，智能存储卡（Smart Media Card，SMC），安全数字（Secure Digital，SD）卡，闪存卡（Flash Card，FC）等。进一步地，所述存储器41还可以既包括所述终端设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机可读指令以及所述终端设备所需的其他程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一计算机非易失性可读存储介质中。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims

一种基于区块链的用户认证方法，其特征在于，包括：

获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到；

获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；

采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；

若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。
如权利要求1所述的基于区块链的用户认证方法，其特征在于，所述获取所述链设备对应的公钥以及预存的哈希值之前，还包括：

获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书；

采用非对称加密算法生成唯一的密钥对；所述密钥对包括公钥和私钥，所述私钥和所述公钥唯一对应；

通过所述私钥对所述用户证书进行哈希运算得到所述预存的哈希值。
如权利要求2所述的基于区块链的用户认证方法，其特征在于，所述获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书，包括：

获取用户的身份信息；所述身份信息包括但不限于以下信息中的一种或者至少两种的结合：用户账号、身份证号或者生物特征；

对所述身份信息进行审核，若审核通过，则基于区块链分布式账本技术，将所述身份信息输入预设的证书结构中，得到所述用户证书。
如权利要求2或3所述的基于区块链的用户认证方法，其特征在于，所述获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书，包括：

获取用户的身份信息，并检测所述身份信息是否在预设的有效期限之内；

若所述身份信息在所述有效期限之内，则根据所述身份信息生成用户证书；

若所述身份信息不在所述有效期限之内，则重新获取所述用户的身份信息，并根据新的身份信息生成新的用户证书，并用所述新的用户证书替换所述用户证书。
如权利要求1-3任一项所述的基于区块链的用户认证方法，其特征在于，所述若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备之后，还包括：

接收所述链设备发送的登录成功信息；所述登录成功信息中包括所述用户的用户信息；

根据用户信息从预设的权限数据库中查找与所述用户信息对应的用户权限信息；

将所述用户权限信息发送至预设的设备系统中所有的链设备；所述用户权限信息用于所述链设备设置所述用户的操作权限。
一种终端设备，其特征在于，包括存储器以及处理器，所述存储器中存储有可在所述处理器上运行的计算机可读指令，其特征在于，所述处理器执行所述计算机可读指令时，实现如下步骤：

获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到；

获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；

采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；

若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。
如权利要求6所述的终端设备，其特征在于，所述获取用户在登录区块链系统中的链设备时生成的加签数据之前，还包括：

获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书；

采用非对称加密算法生成唯一的密钥对；所述密钥对包括公钥和私钥，所述私钥和所述公钥唯一对应；

通过所述私钥对所述用户证书进行哈希运算得到加签数据。
如权利要求7所述的终端设备，其特征在于，所述获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书，包括：

获取用户的身份信息；所述身份信息包括但不限于以下信息中的一种或者至少两种的结合：用户账号、身份证号或者生物特征；

对所述身份信息进行审核，若审核通过，则基于区块链分布式账本技术，将所述身份信息输入预设的证书结构中，得到所述用户证书。
如权利要求7或8所述的终端设备，其特征在于，所述获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书，包括：

获取用户的身份信息，并检测所述身份信息是否在预设的有效期限之内；

若所述身份信息在所述有效期限之内，则根据所述身份信息生成用户证书；

若所述身份信息不在所述有效期限之内，则重新获取所述用户的身份信息，并根据新的身份信息生成新的用户证书，并用所述新的用户证书替换所述用户证书。
如权利要求6-8任一项所述的终端设备，其特征在于，所述若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备之后，还包括：

接收所述链设备发送的登录成功信息；所述登录成功信息中包括所述用户的用户信息；

根据用户信息从预设的权限数据库中查找与所述用户信息对应的用户权限信息；

将所述用户权限信息发送至预设的设备系统中所有的链设备；所述用户权限信息用于所述链设备设置所述用户的操作权限。
一种终端设备，其特征在于，包括：

第一获取单元，用于获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到；

第二获取单元，用于获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；

数据处理单元，用于采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；

信息校验单元，用于若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。
如权利要求11所述的终端设备，其特征在于，所述终端设备还包括：

第一生成单元，用于获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书；

密钥生成单元，用于采用非对称加密算法生成唯一的密钥对；所述密钥对包括公钥和私钥，所述私钥和所述公钥唯一对应；

哈希运算单元，用于通过所述私钥对所述用户证书进行哈希运算得到加签数据。
如权利要求12所述的终端设备，其特征在于，所述第一生成单元包括：

第三获取单元，用于获取用户的身份信息；所述身份信息包括但不限于以下信息中的一种或者至少两种的结合：用户账号、身份证号或者生物特征；

第二生成单元，用于对所述身份信息进行审核，若审核通过，则基于区块链分布式账本技术，将所述身份信息输入预设的证书结构中，得到所述用户证书。
如权利要求12或13所述的终端设备，其特征在于，所述第一生成单元包括：

信息检测单元，用于获取用户的身份信息，并检测所述身份信息是否在预设的有效期限之内；

第三生成单元，用于若所述身份信息在所述有效期限之内，则根据所述身份信息生成用户证书；

数据更新单元，用于若所述身份信息不在所述有效期限之内，则重新获取所述用户的身份信息，并根据新的身份信息生成新的用户证书，并用所述新的用户证书替换所述用户证书。
如权利要求11-13任一项所述的终端设备，其特征在于，所述终端设备还包括：

第四获取单元，用于接收所述链设备发送的登录成功信息；所述登录成功信息中包括所述用户的用户信息；

权限确定单元，用于根据用户信息从预设的权限数据库中查找与所述用户信息对应的用户权限信息；

权限发送单元，用于将所述用户权限信息发送至预设的设备系统中所有的链设备；所述用户权限信息用于所述链设备设置所述用户的操作权限。
一种计算机非易失性可读存储介质，所述计算机非易失性可读存储介质存储有计算机可读指令，其特征在于，所述计算机可读指令被处理器执行时实现：

获取用户在登录区块链系统中的链设备时生成的加签数据；所述加签数据通过采用所述链设备对应的私钥对所述用户的身份信息的哈希值进行加密得到；

获取所述链设备对应的公钥以及预存的哈希值；所述预存的哈希值基于所述链设备对应的预置的身份信息得到；

采用所述公钥对所述获取的加签数据进行解签，得到所述用户的身份信息对应的哈希值，并采用所述预存的哈希值校验所述用户的身份信息对应的哈希值；

若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备。
如权利要求16所述的计算机非易失性可读存储介质，其特征在于，所述获取所述链设备对应的公钥以及预存的哈希值之前，还包括：

获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书；

采用非对称加密算法生成唯一的密钥对；所述密钥对包括公钥和私钥，所述私钥和所述公钥唯一对应；

通过所述私钥对所述用户证书进行哈希运算得到所述预存的哈希值。
如权利要求17所述的计算机非易失性可读存储介质，其特征在于，所述获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书，包括：

获取用户的身份信息；所述身份信息包括但不限于以下信息中的一种或者至少两种的结合：用户账号、身份证号或者生物特征；

对所述身份信息进行审核，若审核通过，则基于区块链分布式账本技术，将所述身份信息输入预设的证书结构中，得到所述用户证书。
如权利要求17或18所述的计算机非易失性可读存储介质，其特征在于，所述获取注册用户的身份信息，并根据所述注册用户的身份信息生成用户证书，包括：

获取用户的身份信息，并检测所述身份信息是否在预设的有效期限之内；

若所述身份信息在所述有效期限之内，则根据所述身份信息生成用户证书；

若所述身份信息不在所述有效期限之内，则重新获取所述用户的身份信息，并根据新的身份信息生成新的用户证书，并用所述新的用户证书替换所述用户证书。
如权利要求16-18任一项所述的计算机非易失性可读存储介质，其特征在于，所述若所述用户的身份信息对应的哈希值校验通过，则授权所述用户登录所述链设备之后，还包括：

接收所述链设备发送的登录成功信息；所述登录成功信息中包括所述用户的用户信息；

根据用户信息从预设的权限数据库中查找与所述用户信息对应的用户权限信息；

将所述用户权限信息发送至预设的设备系统中所有的链设备；所述用户权限信息用于所述链设备设置所述用户的操作权限。