WO2021169107A1

WO2021169107A1 - 一种网络身份保护方法、装置及电子设备和存储介质

Info

Publication number: WO2021169107A1
Application number: PCT/CN2020/098484
Authority: WO
Inventors: 刘文印; 麦超; 冼祥斌; 吴鸿文
Original assignee: 广东工业大学
Priority date: 2020-02-26
Filing date: 2020-06-28
Publication date: 2021-09-02
Also published as: US20220394026A1; CN111353903A; CN111353903B

Abstract

一种网络身份保护方法、装置及一种电子设备和计算机可读存储介质，该方法包括：当接收到目标账户信息的理赔请求后，从智能合约中获取目标账户信息对应的所有第一交易凭证；其中，目标账户信息用于登录目标应用或网站，第一交易凭证用于记录目标应用或网站的服务器上传的所有登录请求对应的登录信息；从区块链网络中的区块链节点获取目标账户信息对应的所有第二交易凭证；其中，第二交易凭证用于记录正常授权登录目标应用或网站的登录请求对应的登录信息；通过对比所有第一交易凭证和所有第二交易凭证响应理赔请求。由此可见，本申请提供的网络身份保护方法，实现了为用户网络身份进行投保与自动理赔。

Description

一种网络身份保护方法、装置及电子设备和存储介质

本申请要求于2020年2月26日提交中国专利局、申请号为202010120877.X、发明名称为“一种网络身份保护方法、装置及电子设备和存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全技术领域，更具体地说，涉及一种网络身份保护方法、装置及一种电子设备和一种计算机可读存储介质。

背景技术

在互联网保险领域，360安全公司推出了搜索赔付计划，对360搜索的推广应用或网站，因采取钓鱼、诈骗或假冒官网、授权应用或网站等行为导致用户发生的直接财产损失承担先行赔付责任。各大银行也推出账户银行，网银，存在资金保险，为用户提供被盗保障。腾讯，支付宝，苏宁金融也相应推出了账户安全保险，在其应用中绑定的安全卡网银以及安全卡手机银行若被盗造成损失，则获得赔付。

在上述方案中，各用户身份保险局限于本身应用而且只保障财产方面的账户，理赔过程手续繁琐，理赔凭证数据存储于中心数据库中，可信任程度低。并且用户日常使用的大部分应用或网站身份信息得不到安全保障。

因此，如何为用户网络身份进行投保与自动理赔是本领域技术人员需要解决的技术问题。

发明内容

本申请的目的在于提供一种网络身份保护方法、装置及一种电子设备和一种计算机可读存储介质，实现了为用户网络身份进行投保与自动理赔。

为实现上述目的，本申请提供了一种网络身份保护方法，应用于区块链网络，包括：

当接收到目标账户信息的理赔请求后，从智能合约中获取所述目标账户信息对应的所有第一交易凭证；其中，所述目标账户信息用于登录目标应用或网站，所述第一交易凭证用于记录所述目标应用或网站的服务器上传的所有登录请求对应的登录信息；

从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；

通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。

其中，还包括：

当所述服务器允许登录所述目标应用或网站的第一登录请求后，接收并利用所述智能合约存储所述服务器发送的所述第一交易凭证；

当所述服务器允许通过所述区块链网络登录所述目标应用或网站的第二登录请求后，利用所述区块链网络中的区块链节点对所述第二登录请求对应的登录许可交易进行共识并上链存储；其中登录许可交易至少包括所述第二交易凭证。

其中，还包括：

当所述服务器允许目标账户的新密码修改请求后，向密码管理器返回所述目标账户信息，以便所述密码管理器对所述目标账户进行密码修改；其中，所述目标账户信息包括所述目标账户和所述服务器生成的新密码的隐藏值；

当接收到对所述目标账户信息的投保请求后，为所述目标账户信息创建对应的目标智能合约。

其中，所述接收并利用所述智能合约存储所述服务器发送的所述第一交易凭证，包括：

接收并利用所述目标智能合约存储所述服务器发送的所述目标账户信息对应的第一交易凭证；

相应的，从智能合约中获取所述目标账户信息对应的所有第一交易凭证，包括：

从所述目标智能合约中获取所述目标账户信息对应的所有第一交易凭证。

其中，还包括：

接收所述密码管理器广播的所述目标账户信息对应的投保交易，确定所述投保交易对应的投保机构；

当所述区块链网络中的区块链节点对所述投保交易共识后，对所述投保交易进行上链存储。

其中，所述通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求，包括：

当存在不属于所有所述第二交易凭证的第一交易凭证时，判定登录异常，并触发理赔程序；

当存在不属于所有所述第一交易凭证的第二交易凭证时，判定缺失异常，并触发理赔程序。

其中，还包括：

客户端从所述服务器中获取随机字符串和所述目标应用或网站的标识，生成公钥和私钥，并基于所述标识从密码管理器中获取用于登录所述目标应用或网站的账户信息；

所述客户端通过所述密码管理器生成并向所述区块链网络广播所述第二登录请求，以便所述区块链网络中所述目标应用或网站对应的区块链节点将所述第二登录请求发送至所述服务器进行验证；其中，所述第二登录请求包括所述随机字符串、所述标识、所述公钥、所述账户信息和所述第二交易凭证；

所述客户端通过所述区块链网络接收所述登录许可交易，并利用所述登录许可交易中的登录令牌访问所述服务器。

其中，所述登录许可交易还包括所述第二登录请求对应的登录许可信息标识；所述客户端通过所述区块链网络接收登录许可交易，包括：

所述客户端计算所述第二登录请求对应的登录许可信息标识，调用区块链接口从所述区块链网络中获取所述登录许可信息标识对应的登录许可交易。

其中，还包括：

当所述客户端接收到所述目标账户的新密码修改请求时，确定所述目标账户对应的目标应用或目标网站；

所述客户端通过所述密码管理器向所述区块链网络广播所述目标账户对应的原始账户信息，以便所述区块链网络中所述目标应用或目标网站对应的区块链节点将所述原始账户信息发送至所述目标应用或目标网站对应的服务器进行验证；其中，所述原始账户信息包含所述目标账户的账号和旧密码；

所述客户端接收所述服务器发送的目标账户信息；所述客户端将所述密码管理器中所述目标账户的旧密码修改为所述新密码。

其中，所述客户端通过所述密码管理器生成并向区块链网络广播所述第二登录请求，以便所述区块链网络中所述目标应用或网站对应的区块链节点将所述第二登录请求发送至所述服务器进行验证，包括：

所述客户端通过所述密码管理器生成所述第二登录请求和所述目标应用或网站对应的区块链节点的一次性接收地址；

所述客户端通过所述密码管理器将所述第二登录请求广播至所述区块链网络，以便所述目标应用或网站对应的区块链节点利用所述一次性接收地址获取所述第二登录请求，并将所述第二登录请求发送至所述服务器进行验证。

其中，所述客户端通过所述密码管理器生成所述第二登录请求和所述目标应用或网站对应的区块链节点的一次性接收地址，包括：

所述客户端通过所述密码管理器生成所述第二登录请求和交易标识，并利用所述交易标识生成所述目标应用或网站对应的区块链节点的一次性接收地址。

其中，所述登录许可交易为进行环签名后的信息，环签名的签名者为所述区块链网络中接入应用或网站服务器的区块链节点。

为实现上述目的，本申请提供了一种网络身份保护装置，应用于区块链网络，包括：

第一获取模块，用于当接收到目标账户信息的理赔请求后，从智能合约中获取所述目标账户信息对应的所有第一交易凭证；其中，所述目标账户信息用于登录目标应用或网站，所述第一交易凭证用于记录所述目标应用或网站的服务器上传的所有登录请求对应的登录信息；

第二获取模块，用于从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；

对比模块，用于通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。

其中，所述对比模块包括：

第一触发单元，用于当存在不属于所有所述第二交易凭证的第一交易凭证时，判定登录异常，并触发理赔程序；

第二触发单元，用于当存在不属于所有所述第一交易凭证的第二交易凭证时，判定缺失异常，并触发理赔程序。

为实现上述目的，本申请提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述网络身份保护方法的步骤。

为实现上述目的，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述网络身份保护方法的步骤。

通过以上方案可知，本申请提供的一种网络身份保护方法，包括：当接收到目标账户信息的理赔请求后，从智能合约中获取所述目标账户信息对应的所有第一交易凭证；其中，所述目标账户信息用于登录目标应用或网站，所述第一交易凭证用于记录所述目标应用或网站的服务器上传的所有登录请求对应的登录信息；从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。

本申请提供的网络身份保护方法，第一交易凭证由应用或网站的服务器通过其在区块链网络中对应的的区块链节点上传至智能合约，包括请求登录的所有登录交易的登录信息，即包括正常的授权登录(密码管理器登录)，也包括攻击登录。当接收到理赔请求后从区块链节点中获取第二交易凭证，其为利用密码管理器通过区块链网络登录目标应用或网站的登录信息，将智能合约中的第一交易凭证与上述第二交易凭证进行对比，实现自动理赔。由此可见，本申请提供的网络身份保护方法，基于区块链技术填补网络身份保险的空白，并实现自动理赔。本申请还公开了一种网络身份保护装置及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1为根据一示例性实施例示出的一种网络身份保护系统的架构图；

图2为根据一示例性实施例示出的一种网络身份保护方法的流程图；

图3为根据一示例性实施例示出的另一种网络身份保护方法的流程图；

图4为根据一示例性实施例示出的一种网络身份保护装置的结构图；

图5为根据一示例性实施例示出的一种电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为了便于理解本申请提供的网络身份保护方法，下面对其使用的系统进行介绍。参见图1，其示出了本申请实施例提供的一种网络身份保护系统的架构图，如图1所示，包括客户端、密码管理器、区块链网络、应用或网站服务器节点、应用或网站服务器、分布式数据库、保险公司节点、监督节点和智能合约。

客户端主要安装有APP、浏览器、浏览器插件等。密码管理器主要用于存储管理用户应用或网站信息，例如用于登录该应用或网站的账户信息等，还用于授权客户端请求的登录、调用区块链系统接口生成交易等。区块链网络为点对点通信网络结构，建立密码管理器与应用或网站服务器节点信息交互的载体。不同的应用或网站服务器节点在区块链系统中负责与应用或网站服务器对接，维护区块链系统安全，交易共识上链等。应用或网站服务器用于存储、验证用户网络身份信息，为客户端提供业务服务。分布式数据库为区块链去中心化共识数据存储库，主要用于应用或网站服务器节点、保险节点共识数据的存储。保险公司节点参与数据共识上链并为用户提供投保服务，监督节点主要为应用或网站服务器节点、保险公司节点授权管理区块链系统，生成保险智能合约等。智能合约属于区块链功能模块之一，主要用于实现用户投保与自动理赔。

本申请实施例公开了一种网络身份保护方法，实现了为用户网络身份进行投保与自动理赔。

参见图2，根据一示例性实施例示出的一种网络身份保护方法的流程图，如图2所示，包括：

S101：当接收到目标账户信息的理赔请求后，从智能合约中获取所述目标账户信息对应的所有第一交易凭证；其中，所述目标账户信息用于登录目标应用或网站，所述第一交易凭证用于记录所述目标应用或网站的服务器上传的所有登录请求对应的登录信息；

本实施例的执行主体为区块链网络，目的是为网络身份实现自动理赔。在具体实施中，如果用户为该账号购买了相应的网络身份保险，并发现该账号异常或造成损失时，便可通过密码管理器申请理赔。用户可以选择为目标账户申请新的密码，并为新的目标账户信息进行投保。即本实施例还包括：当所述服务器允许目标账户的新密码修改请求后，向密码管理器返回所述目标账户信息，以便所述密码管理器对所述目标账户进行密码修改；其中，所述目标账户信息包括所述目标账户和所述服务器生成的新密码的隐藏值。具体的，隐藏方式可以为散列、加密、加盐等，在此不进行限定。

在具体实施中，修改新密码的过程为：用户进入密码管理器，选择要修改密码的应用或网站，生成修改密码交易(目标服务器节点公钥加密的应用或网站账号和旧密码，用户公钥签名)，调用区块链系统接口广播交易。目标应用或网站服务器节点接收到修改密码交易并验证交易正确后，利用目标应用或网站服务器节点私钥解密获得应用或网站的账号密码。目标应用或网站服务器节点利用目标应用或网站服务器公钥加密账户的账号密码后，发送到目标应用或网站服务器。目标应用或网站服务器利用私钥解密获得应用或网站账号密码，并验证账号密码的正确性后，允许用户修改为新密码，并生成新密码的隐藏值。利用目标应用或网站服务器节点公钥加密新密码隐藏值，发送到目标应用或网站服务器节点。目标应用或网站服务器节点利用私钥解密获得新密码隐藏值后，生成允许购买交易(用户账号散列值，目标应用或网站服务器节点签名)，广播共识后在相应的智能合约保险里面添加用户账号散列值，即允许用户为账户信息投保。即本实施例还包括：当接收到对所述目标账户信息的投保请求后，为所述目标账户信息创建对应的目标智能合约。目标应用或网站服务器节点生成允许修改密码交易(用户公钥加密后应用或网站账号、密码的隐藏值、智能合约地址，目标应用或网站服务器节点的签名)，广播到区块链系统经各应用或网站服务器节点共识上链。管理器调用区块链系统接口获得允许修改密码交易，利用用户私钥解密获得强密码隐藏值存储于密码管理器本地或云端。

目标账户进行密码修改后，用户可以为账户信息进行投保。具体的，本实施例还包括：接收所述密码管理器广播的所述目标账户信息对应的投保交易，确定所述投保交易对应的投保机构；当所述区块链网络中的所有区块链节点对所述投保交易共识后，对所述投保交易进行上链存储。

在具体实施中，用户可以通过密码管理器生成投保交易，包括智能合约保险地址、账号Hash、代币等，密码管理器将其广播到区块链系统，经各应用或网站服务器节点共识上链后投保成功。可以理解的是，区块链网络可以包括多个保险公司节点，即用户可以选择不同的保险公司进行投保。

智能合约中的第一交易凭证由应用或网站的区块链节点进行上传，即本实施例还包括：当所述服务器允许登录所述目标应用或网站的第一登录请求后，接收并利用所述智能合约存储所述服务器发送的所述第一交易凭证。第一交易凭证用于存储该用户此账号所有登录交易的登录信息，即包括正常的授权登录(密码管理器登录)，也包括攻击登录。登录信息可以为以下形式：{E(时间戳，AppID，账号Hash，登录设备唯一标识，登录方式等)，HashProof1(时间戳，AppID，账号Hash，登录设备唯一标识，登录方式等)}，HashProof1即为第一交易凭证。

S102：从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；

在本步骤中，用户通过密码管理器向保险智能合约发起理赔申请交易(用户公钥，应用或网站账号hash，登录记录智能合约地址，公钥签名等)广播。调用区块链接口获得用户公钥下该应用或网站账号Hash对应的所有登录许可交易，从交易中提取出第二交易凭证。第二交易凭证用于记录正常授权登录目标应用或网站的登录请求对应的登录信息，{E(时间戳，AppID，账号Hash，登录设备唯一标识，登录方式等信息)，HashProof2(时间戳，AppID，账号Hash，登录设备唯一标识，登录方式等)}，HashProof2即为第二交易凭证。即本实施例还包括：当所述服务器允许通过所述区块链网络登录所述目标应用或网站的第二登录请求后，利用所述区块链网络中的区块链节点对所述第二登录请求对应的登录许可交易进行共识并上链存储；其中登录许可交易至少包括所述第二交易凭证。

利用密码管理器通过区块链网络登录目标应用或网站的过程为：用户在客户端中进入应用或网站的登录页面。应用或网站服务器生成随机字符串，并将随机字符串和应用或网站的标识返回至客户端。同时，客户端生成公私钥1CSK和1CPK保存于缓存中。用户用主密码等验证打开密码管理器，解密存储于本地或云端的账户信息。扫描应用或网站或浏览器登录二维码提取登录信息。密码管理器调用区块链接口向区块链系统广播登录请求交易，可以包括应用或网站产生的随机字符串、应用或网站的标识、客户端产生的公钥、用于登录该应用或网站的账户信息、第二交易凭证和用户签名、对第二交易凭证的签名等。此处的第二交易凭证可以包括时间戳、应用或网站的标识、账号Hash、用户设备唯一标识、登录方式等。应用或网站服务器节点接收到广播的登录请求交易，利用私钥解密网络身份信息，然后利用应用或网站服务器节点公钥加密后发送至相应的应用或网站服务器节点。应用或网站服务器解密获得网络身份信息，验证成功后向应用或网站服务器节点返回登录许可信息，可以包括随机字符串对应的哈希值、登录令牌等。应用或网站服务器节点解密获得登录许可信息后，生成登录许可交易广播至区块链网络，可以包括随机字符串对应的哈希值、账号的哈希值、登录令牌和对第二交易凭证，数字签名等信息。其他应用或网站服务器节点验证登录许可交易正确后，通过共识上链。客户端通过调用区块链系统接口，利用随机字符串对应的哈希值获取共识后的登录许可交易，并利用1CSK解密获得登录令牌等许可登录信息。客户端携带登录令牌重新访问应用或网站服务器，应用或网站服务器验证登录令牌等信息正确后，返回登录成功后页面。

S103：通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。

在本步骤中，对比第一交易凭证与第二交易凭证实现自动理赔，当存在不属于所有所述第二交易凭证的第一交易凭证时，判定登录异常，并触发理赔程序；当存在不属于所有所述第一交易凭证的第二交易凭证时，判定缺失异常，并触发理赔程序。触发理赔程序后理赔成功，除上述两种理赔成功的情形外，判定理赔失败，例如第一交易凭证与第二交易凭证对应相等、数字签名不正确、用户提供的理赔信息(包括目标账户信息等)不正确等，在此不进行具体限定。

本申请实施例提供的网络身份保护方法，第一交易凭证由应用或网站的服务器通过其在区块链网络中对应的的区块链节点上传至智能合约，包括请求登录的所有登录交易的登录信息，即包括正常的授权登录(密码管理器登录)，也包括攻击登录。当接收到理赔请求后从区块链节点中获取第二交易凭证，其为正常授权登录目标应用或网站的登录信息，将智能合约中的第一交易凭证与上述第二交易凭证进行对比，实现自动理赔。由此可见，本申请实施例提供的网络身份保护方法，基于区块链技术填补网络身份保险的空白，并实现自动理赔。

本申请实施例公开了一种网络身份保护方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图3，根据一示例性实施例示出的另一种网络身份保护方法的流程图，如图3所示，包括：

S201：当所述服务器允许目标账户的新密码修改请求后，向密码管理器返回所述目标账户信息，以便所述密码管理器对所述目标账户进行密码修改；其中，所述目标账户信息包括所述目标账户和所述服务器生成的新密码的隐藏值；

S202：当接收到对所述目标账户信息的投保请求后，为所述目标账户信息创建对应的目标智能合约；

S203：当所述服务器允许登录所述目标应用或网站的第一登录请求后，接收并利用所述目标智能合约存储所述服务器发送的所述目标账户信息对应的第一交易凭证；

S204：当所述服务器允许通过所述区块链网络登录所述目标应用或网站的第二登录请求后，利用所述区块链网络中的区块链节点对所述第二登录请求对应的登录许可交易进行共识并上链存储；其中登录许可交易至少包括所述第二交易凭证。

S205：当接收到所述目标账户信息的理赔请求后，从所述目标智能合约中获取所述目标账户信息对应的所有第一交易凭证；

S206：从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；

S207：通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。

在本实施例中，每个账户有对应的智能合约，用户为账户信息进行投保，投保交易上链存储，为其中的账号建立对应的目标智能合约。该账号所有登录目标应用或网站的登录信息均上传至目标智能合约。在用户申请理赔后，将目标智能合约中的所有交易凭证作为所有第一交易凭证，与从区块链节点中获取的该账户对应的第二交易凭证进行对比，响应理赔请求。

下面详细介绍用户通过客户端修改新密码的过程，具体可以包括以下步骤：

S301：当所述客户端接收到所述目标账户的新密码修改请求时，确定所述目标账户对应的目标应用或目标网站；

本实施例的执行主体为客户端，在具体实施中，用户可以向客户端发送目标账户的新密码修改请求，目标账户的原始账户信息包含目标账户的账号和旧密码，用于登录目标应用或目标网站。

S302：所述客户端通过所述密码管理器向所述区块链网络广播所述目标账户对应的原始账户信息，以便所述区块链网络中所述目标应用或目标网站对应的区块链节点将所述原始账户信息发送至所述目标应用或目标网站对应的服务器进行验证；其中，所述原始账户信息包含所述目标账户的账号和旧密码；

在本步骤中，通过密码管理器生成并向区块链网络广播修改密码交易，其中包含上述原始账户信息，当然也可以同时广播用户签名，在此不进行具体限定。目标应用或网站服务器节点接收到修改密码交易并验证交易正确后，利用目标应用或网站服务器节点私钥解密获得原始账户信息，并发送到目标应用或网站服务器。

S303：所述客户端接收所述服务器发送的目标账户信息；

S304：所述客户端将所述密码管理器中所述目标账户的旧密码修改为所述新密码。

在具体实施中，目标应用或网站服务器验证账号密码的正确性后，基于旧密码生成新密码，并向对应的区块链节点返回目标账户信息，其中包括目标账号、生成的新密码的隐藏值。该区块链节点解密获得目标账户信息，生成允许修改新密码交易广播到区块链系统共识上链。密码管理器调用区块链接口获得允许修改新密码交易，解密后获得新密码，保存于去中心密码管理器或个人云端中。

下面详细介绍利用密码管理器通过区块链网络登录目标应用或网站的过程，具体可以包括以下步骤：

S401：客户端从所述服务器中获取随机字符串和所述目标应用或网站的标识，生成公钥和私钥，并基于所述标识从密码管理器中获取用于登录所述目标应用或网站的账户信息；

本实施例的执行主体为客户端，其中安装有需要使用应用或网站的服务器资源的第三方应用。在具体实施中，用户在客户端中进入应用或网站的登录页面。应用或网站服务器生成随机字符串，并将随机字符串和应用或网站的标识返回至客户端。同时，客户端生成公私钥1CSK和1CPK保存于缓存中。用户用主密码等验证打开密码管理器，解密存储于本地或云端的账户信息。

S402：所述客户端通过所述密码管理器生成并向区块链网络广播所述第二登录请求，以便所述区块链网络中所述目标应用或网站对应的区块链节点将所述第二登录请求发送至所述服务器进行验证；其中，所述第二登录请求包括所述随机字符串、所述标识、所述公钥、所述账户信息和所述第二交易凭证；

在本步骤中，扫描应用或网站或浏览器登录二维码提取登录信息。密码管理器调用区块链接口向区块链系统广播第二登录请求，可以包括应用或网站产生的随机字符串、应用或网站的标识、客户端产生的公钥、用于登录该应用或网站的账户信息、第二交易凭证和用户签名、对第二交易凭证的签名等。此处的第二交易凭证可以包括时间戳、应用或网站的标识、账号Hash、用户设备唯一标识、登录方式等。第二登录请求可以使用应用或网站服务器节点公钥加密保证数据传输的安全性。区块链网络中应用或网站服务器对应的区块链节点查找交易列表获得登录请求交易，利用的应用或网站服务器节点私钥解密登录请求交易，通过网络发送至相应的应用或网站服务器，应用或网站服务器解密并验证接收到的信息。

需要说明的是，密码管理器可以使用一次性隐蔽地址技术向区块链网络广播登录请求交易。主要目的是实现隐藏接收者的真正地址，实现不可追溯性。混淆地址公式为：P＝Hs(rA)G+B。P为接收者的一次性接收地址，Hs为哈希函数，r为交易发送者产生的随机数，只有发送者知道。A为接收者的查看公钥，B为接收者的支付公钥。G为椭圆曲线上的一点，R＝rG为交易公钥，公开于交易中。

接收者从交易列表中检查交易是否是发送给自己：P'＝Hs(aR)G+B。P'为交易接受者利用交易公钥R和自己的查看私钥，支付私钥生成混淆地址。x为交易接受者利用交易公钥R和自己的查看私钥，支付私钥生成一次性使用私钥。

在基于区块链的网络身份授权登录系统中，因为不同的应用或网站服务器节点共同维护同一个区块链系统，并在此系统中进行用户信息的交互。为了实现不同应用或网站服务器节点之间的用户流量等隐私保护，利用混淆地址技术隐藏接收者(应用或网站服务器节点)真实地址和环签名技术隐藏交易发起者(应用或网站服务器节点)的真实地址。即所述登录许可信息为进行环签名后的信息，环签名的签名者为所述区块链网络中接入应用或网站服务器的区块链节点。

具体的，所述通过所述密码管理器生成并向区块链网络广播第二登录请求，以便通过所述区块链网络中所述目标应用或网站对应的区块链节点将所述第二登录请求发送至所述服务器进行验证的步骤可以包括：通过所述密码管理器生成所述第二登录请求和所述目标应用或网站对应的区块链节点的一次性接收地址；通过所述密码管理器将所述第二登录请求广播至所述区块链网络，以便所述目标应用或网站对应的区块链节点利用所述一次性接收地址获取所述第二登录请求，并将所述第二登录请求发送至所述服务器进行验证。

在具体实施中，密码管理器获得二维码信息并解密密码管理中存储的账号信息后，生成第二登录请求。接收者为应用或网站服务器对应的区块链节点，为了隐藏该区块链节点的地址，去中心密码管理生成一个随机数r，并计算交易标识R＝rG公开放在交易中。利用区块链节点的查看公钥A与支付公钥B计算P＝Hs(rA)G+B作为此次登录请求交易区块链节点的一次性接收地址。即所述通过所述密码管理器生成所述第二登录请求和所述目标应用或网站对应的区块链节点的一次性接收地址的步骤包括：通过所述密码管理器生成所述第二登录请求和交易标识，并利用所述交易标识生成所述目标应用或网站对应的区块链节点的一次性接收地址。

各区块链节点查看交易列表，并利用交易标识R＝rG和自己的查看私钥和支付公钥B计算P'＝Hs(aR)G+B获得发送给自己的交易。应用或网站服务器对应的区块链节点获得加密后的登录令牌等信息后，生成第二登录请求，并进行环签名，环签名的签名者集合为应用或网站服务器对应的区块链节点。其他应用或网站服务器对应的区块链节点验证第二登录请求中用户签名与环签名的正确性后，共识上链。在验证环签名中只能证明真实签名者是各应用或网站服务器对应的区块链节点之一。

S403：所述客户端通过所述区块链网络接收所述登录许可交易，并利用所述登录许可交易中的登录令牌访问所述服务器。

在具体实施中，服务器验证成功后向应用或网站服务器节点返回登录许可信息，可以包括第二登录请求对应的登录许可信息标识(例如随机字符串对应的哈希值)、登录令牌等。此处的登录令牌可以包括用于访问服务器的Cookie和Token，该区块链节点将登录许可信息广播至区块链网络。应用或网站服务器节点解密获得登录许可信息后，生成登录许可交易广播至区块链网络，可以包括随机字符串对应的哈希值、账号的哈希值、登录令牌和对第二交易凭证，数字签名等信息。其他应用或网站服务器节点验证登录许可交易正确后，通过共识上链。客户端计算所述第二登录请求对应的登录许可信息标识(即随机字符串对应的哈希值)，通过调用区块链系统接口从区块链网络中获取登录许可信息标识对应的登录许可交易，并利用1CSK解密获得登录令牌等登录许可信息。客户端携带登录令牌重新访问应用或网站服务器，应用或网站服务器验证登录令牌等信息正确后，返回登录成功后页面。

下面对本申请实施例提供的一种网络身份保护装置进行介绍，下文描述的一种网络身份保护装置与上文描述的一种网络身份保护方法可以相互参照。

参见图4，根据一示例性实施例示出的一种网络身份保护装置的结构图，如图4所示，包括：

第一获取模块401，用于当接收到目标账户信息的理赔请求后，从智能合约中获取所述目标账户信息对应的所有第一交易凭证；其中，所述目标账户信息用于登录目标应用或网站，所述第一交易凭证用于记录所述目标应用或网站的服务器上传的所有登录请求对应的登录信息；

第二获取模块402，用于从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；

对比模块403，用于通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。

本申请实施例提供的网络身份保护装置，第一交易凭证由应用或网站的服务器通过其在区块链网络中对应的的区块链节点上传至智能合约，包括请求登录的所有登录交易的登录信息，即包括正常的授权登录(密码管理器登录)，也包括攻击登录。当接收到理赔请求后从区块链节点中获取第二交易凭证，其为正常授权登录目标应用或网站的登录信息，将智能合约中的第一交易凭证与上述第二交易凭证进行对比，实现自动理赔。由此可见，本申请实施例提供的网络身份保护装置，基于区块链技术填补网络身份保险的空白，并实现自动理赔。

在上述实施例的基础上，作为一种优选实施方式，还包括：

第一存储模块，用于当所述服务器允许登录所述目标应用或网站的第一登录请求后，接收并利用所述智能合约存储所述服务器发送的所述第一交易凭证；

第二存储模块，用于当所述服务器允许通过所述区块链网络登录所述目标应用或网站的第二登录请求后，利用所述区块链网络中的区块链节点对所述第二登录请求对应的登录许可交易进行共识并上链存储；其中登录许可交易至少包括所述第二交易凭证。

在上述实施例的基础上，作为一种优选实施方式，还包括：

返回模块，用于当所述服务器允许目标账户的新密码修改请求后，向密码管理器返回所述目标账户信息，以便所述密码管理器对所述目标账户进行密码修改；其中，所述目标账户信息包括所述目标账户和所述服务器生成的新密码的隐藏值；

创建模块，用于当接收到对所述目标账户信息的投保请求后，为所述目标账户信息创建对应的目标智能合约。

在上述实施例的基础上，作为一种优选实施方式，所述存储模块具体为当所述服务器允许登录所述目标应用或网站的登录请求后，接收并利用所述目标智能合约存储所述服务器发送的所述目标账户信息对应的第一交易凭证的模块；

相应的，第一获取模块401具体为当接收到目标账户信息的理赔请求后，从所述目标智能合约中获取所述目标账户信息对应的所有第一交易凭证的模块。

在上述实施例的基础上，作为一种优选实施方式，还包括：

第一确定模块，用于接收所述密码管理器广播的所述目标账户信息对应的投保交易，确定所述投保交易对应的投保机构；

第三存储模块，用于当所述区块链网络中的区块链节点对所述投保交易共识后，对所述投保交易进行上链存储。

在上述实施例的基础上，作为一种优选实施方式，所述对比模块403包括：

在上述实施例的基础上，作为一种优选实施方式，所述客户端包括：

第三获取模块，用于从所述服务器中获取随机字符串和所述目标应用或网站的标识，生成公钥和私钥，并基于所述标识从密码管理器中获取用于登录所述目标应用或网站的账户信息；

第一广播模块，用于通过所述密码管理器生成并向所述区块链网络广播所述第二登录请求，以便所述区块链网络中所述目标应用或网站对应的区块链节点将所述第二登录请求发送至所述服务器进行验证；其中，所述第二登录请求包括所述随机字符串、所述标识、所述公钥和所述账户信息；

第一接收模块，用于通过所述区块链网络接收所述登录许可交易，并利用所述登录许可交易中的登录令牌访问所述服务器。

在上述实施例的基础上，作为一种优选实施方式，所述登录许可交易还包括所述第二登录请求对应的登录许可信息标识；所述第一接收模块具体为计算所述第二登录请求对应的登录许可信息标识，调用区块链接口从所述区块链网络中获取所述登录许可信息标识对应的登录许可交易的模块。

在上述实施例的基础上，作为一种优选实施方式，所述客户端还包括：

第二确定模块，用于当接收到所述目标账户的新密码修改请求时，确定所述目标账户对应的目标应用或目标网站；

第二广播模块，用于通过所述密码管理器向所述区块链网络广播所述目标账户对应的原始账户信息，以便所述区块链网络中所述目标应用或目标网站对应的区块链节点将所述原始账户信息发送至所述目标应用或目标网站对应的服务器进行验证；其中，所述原始账户信息包含所述目标账户的账号和旧密码；

第二接收模块，用于接收所述服务器发送的目标账户信息；所述客户端将所述密码管理器中所述目标账户的旧密码修改为所述新密码。

在上述实施例的基础上，作为一种优选实施方式，所述第一广播模块包括：

生成单元，用于通过所述密码管理器生成所述第二登录请求和所述目标应用或网站对应的区块链节点的一次性接收地址；

广播单元，用于通过所述密码管理器将所述第二登录请求广播至所述区块链网络，以便所述目标应用或网站对应的区块链节点利用所述一次性接收地址获取所述第二登录请求，并将所述第二登录请求发送至所述服务器进行验证。

在上述实施例的基础上，作为一种优选实施方式，所述生成单元具体为通过所述密码管理器生成所述第二登录请求和交易标识，并利用所述交易标识生成所述目标应用或网站对应的区块链节点的一次性接收地址的单元。

在上述实施例的基础上，作为一种优选实施方式，所述登录许可交易为进行环签名后的信息，环签名的签名者为所述区块链网络中接入应用或网站服务器的区块链节点。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本申请还提供了一种电子设备，参见图5，本申请实施例提供的一种电子设备500的结构图，如图5所示，可以包括处理器11和存储器12。该电子设备500还可以包括多媒体组件13，输入/输出(I/O)接口14，以及通信组件15中的一者或多者。

其中，处理器11用于控制该电子设备500的整体操作，以完成上述的网络身份保护方法中的全部或部分步骤。存储器12用于存储各种类型的数据以支持在该电子设备500的操作，这些数据例如可以包括用于在该电子设备500上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random Access Memory，简称SRAM)，电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，简称EEPROM)，可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，简称EPROM)，可编程只读存储器(Programmable Read-Only Memory，简称PROM)，只读存储器(Read-Only Memory，简称ROM)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件13可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器12或通过通信组件15发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口14为处理器11和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件15用于该电子设备500与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(Near Field Communication，简称NFC)，2G、3G或4G，或它们中的一种或几种的组合，因此相应的该通信组件15可以包括：Wi-Fi模块，蓝牙模块，NFC模块。

在一示例性实施例中，电子设备500可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit，简称ASIC)、数字信号处理器(Digital Signal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的网络身份保护方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述网络身份保护方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器12，上述程序指令可由电子设备500的处理器11执行以完成上述的网络身份保护方法。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

一种网络身份保护方法，其特征在于，应用于区块链网络，包括：

当接收到目标账户信息的理赔请求后，从智能合约中获取所述目标账户信息对应的所有第一交易凭证；其中，所述目标账户信息用于登录目标应用或网站，所述第一交易凭证用于记录所述目标应用或网站的服务器上传的所有登录请求对应的登录信息；

从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；

通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。
根据权利要求1所述网络身份保护方法，其特征在于，还包括：

当所述服务器允许登录所述目标应用或网站的第一登录请求后，接收并利用所述智能合约存储所述服务器发送的所述第一交易凭证；

当所述服务器允许通过所述区块链网络登录所述目标应用或网站的第二登录请求后，利用所述区块链网络中的区块链节点对所述第二登录请求对应的登录许可交易进行共识并上链存储；其中登录许可交易至少包括所述第二交易凭证。
根据权利要求2所述网络身份保护方法，其特征在于，还包括：

当所述服务器允许目标账户的新密码修改请求后，向密码管理器返回所述目标账户信息，以便所述密码管理器对所述目标账户进行密码修改；其中，所述目标账户信息包括所述目标账户和所述服务器生成的新密码的隐藏值；

当接收到对所述目标账户信息的投保请求后，为所述目标账户信息创建对应的目标智能合约。
根据权利要求3所述网络身份保护方法，其特征在于，所述接收并利用所述智能合约存储所述服务器发送的所述第一交易凭证，包括：

接收并利用所述目标智能合约存储所述服务器发送的所述目标账户信息对应的第一交易凭证；

相应的，从智能合约中获取所述目标账户信息对应的所有第一交易凭证，包括：

从所述目标智能合约中获取所述目标账户信息对应的所有第一交易凭证。
根据权利要求1所述网络身份保护方法，其特征在于，还包括：

接收所述密码管理器广播的所述目标账户信息对应的投保交易，确定所述投保交易对应的投保机构；

当所述区块链网络中的区块链节点对所述投保交易共识后，对所述投保交易进行上链存储。
根据权利要求1所述网络身份保护方法，其特征在于，所述通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求，包括：

当存在不属于所有所述第二交易凭证的第一交易凭证后，判定登录异常，并触发理赔程序；

当存在不属于所有所述第一交易凭证的第二交易凭证后，判定缺失异常，并触发理赔程序。
根据权利要求2所述网络身份保护方法，其特征在于，还包括：

客户端从所述服务器中获取随机字符串和所述目标应用或网站的标识，生成公钥和私钥，并基于所述标识从密码管理器中获取用于登录所述目标应用或网站的账户信息；

所述客户端通过所述密码管理器生成并向所述区块链网络广播所述第二登录请求，以便所述区块链网络中所述目标应用或网站对应的区块链节点将所述第二登录请求发送至所述服务器进行验证；其中，所述第二登录请求包括所述随机字符串、所述标识、所述公钥、所述账户信息和所述第二交易凭证；

所述客户端通过所述区块链网络接收所述登录许可交易，并利用所述登录许可交易中的登录令牌访问所述服务器。
根据权利要求7所述网络身份保护方法，其特征在于，所述登录许可交易还包括所述第二登录请求对应的登录许可信息标识；所述客户端通过所述区块链网络接收登录许可交易，包括：

所述客户端计算所述第二登录请求对应的登录许可信息标识，调用区块链接口从所述区块链网络中获取所述登录许可信息标识对应的登录许可交易。
根据权利要求3所述网络身份保护方法，其特征在于，还包括：

当所述客户端接收到所述目标账户的新密码修改请求时，确定所述目标账户对应的目标应用或目标网站；

所述客户端通过所述密码管理器向所述区块链网络广播所述目标账户对应的原始账户信息，以便所述区块链网络中所述目标应用或目标网站对应的区块链节点将所述原始账户信息发送至所述目标应用或目标网站对应的服务器进行验证；其中，所述原始账户信息包含所述目标账户的账号和旧密码；

所述客户端接收所述服务器发送的目标账户信息；所述客户端将所述密码管理器中所述目标账户的旧密码修改为所述新密码。
根据权利要求7所述网络身份保护方法，其特征在于，所述客户端通过所述密码管理器生成并向区块链网络广播所述第二登录请求，以便所述区块链网络中所述目标应用或网站对应的区块链节点将所述第二登录请求发送至所述服务器进行验证，包括：

所述客户端通过所述密码管理器生成所述第二登录请求和所述目标应用或网站对应的区块链节点的一次性接收地址；

所述客户端通过所述密码管理器将所述第二登录请求广播至所述区块链网络，以便所述目标应用或网站对应的区块链节点利用所述一次性接收地址获取所述第二登录请求，并将所述第二登录请求发送至所述服务器进行验证。
根据权利要求10所述网络身份保护方法，其特征在于，所述客户端通过所述密码管理器生成所述第二登录请求和所述目标应用或网站对应的区块链节点的一次性接收地址，包括：

所述客户端通过所述密码管理器生成所述第二登录请求和交易标识，并利用所述交易标识生成所述目标应用或网站对应的区块链节点的一次性接收地址。
根据权利要求10所述网络身份保护方法，其特征在于，所述登录许可交易为进行环签名后的信息，环签名的签名者为所述区块链网络中接入应用或网站服务器的区块链节点。
一种网络身份保护装置，其特征在于，应用于区块链网络，包括：

第一获取模块，用于当接收到目标账户信息的理赔请求后，从智能合约中获取所述目标账户信息对应的所有第一交易凭证；其中，所述目标账户信息用于登录目标应用或网站，所述第一交易凭证用于记录所述目标应用或网站的服务器上传的所有登录请求对应的登录信息；

第二获取模块，用于从所述区块链网络中的区块链节点获取所述目标账户信息对应的所有第二交易凭证；其中，所述第二交易凭证用于记录正常授权登录所述目标应用或网站的登录请求对应的登录信息；

对比模块，用于通过对比所有所述第一交易凭证和所有所述第二交易凭证响应所述理赔请求。
根据权利要求13所述网络身份保护装置，其特征在于，所述对比模块包括：

第一触发单元，用于当存在不属于所有所述第二交易凭证的第一交易凭证后，判定登录异常，并触发理赔程序；

第二触发单元，用于当存在不属于所有所述第一交易凭证的第二交易凭证后，判定缺失异常，并触发理赔程序。
一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序后实现如权利要求1至12任一项所述网络身份保护方法的步骤。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行后实现如权利要求1至12任一项所述网络身份保护方法的步骤。