技术领域
[0001] 本
发明涉及区块链技术领域,具体涉及一种基于区块链的密码处理方法、设备以及介质。
背景技术
[0002]
现有技术中密码存储一般都采用将密码存储在中心
服务器中,即用户通过用户终端设置完密码后,上传至中心服务器,部分中心服务器甚至采用明文存储的方式进行用户密码存储,信息泄露
风险极大,部分中心服务器采对用户密码加密,采用密文的方式存储密码,需要服务器端具有相应权限的管理员才能够查看相应用户的密码信息,但是因为密码查看权限被单一管理员所掌握,这种密码存储方式也不能保证安全。
[0003] 需要说明的是,上述内容属于
发明人的技术认知范畴,并不必然构成现有技术。
发明内容
[0004] 为了解决上述问题,本发明提供一种基于区块链的密码处理方法、设备以及介质,利用区块链的超级账本技术,提高密码安全性。
[0005] 本发明公开的一种基于区块链的密码处理方法,包括如下步骤:
[0006] 部署区块链;
[0007] 获取用户终端发送的密码录入信息;
[0008] 将所述密码录入信息进行分段处理形成N个分段密码,其中,N>1;
[0009] 将所述N个分段密码发送至与所述分段密码数量对应的N个背书
节点,由所述N个背书节点利用公钥对接收到的所述分段密码进行加密、封装,并广播到共识网络;
[0011] 获取用户终端的签名进行验证;
[0012] 根据验证签名结果判断用户终端签名是否被正确授权;
[0013] 若判断结果为是,则向对应的N个背书节点发送密码还原请求,并由所述N个背书节点利用公钥根据所述密码还原请求对分段密码进行分别还原;
[0014] 接收N个背书节点发送的N个分段还原密码;
[0015] 将N个分段还原密码按照顺序拼接并发送至用户终端。
[0016] 作为本发明一种基于区块链的密码处理方法的优选实施方案,执行获取用户终端发送的密码录入信息步骤时,所述方法还包括:
[0017] 获取密码原文;
[0018] 针对密码原文生成所对应的MD5值;
[0019] 将密码原文对应的MD5值发送至背书节点进行校验;
[0020] 判断发送所述密码录入信息的用户终端是否被正确授权;
[0021] 若判断结果为是,则将所述密码录入信息进行分段处理。
[0022] 作为本发明一种基于区块链的密码处理方法的优选实施方案,执行将密码原文对应的MD5值发送至背书节点进行校验步骤时,所述方法还包括:
[0023] 将密码原文对应的MD5值发送至第一背书节点,并由第一背书节点对用户终端进行验证;
[0024] 将验证结果返回至用户终端;
[0025] 获取用户终端对第一背书节点的签名验证信息;
[0026] 将密码原文对应的MD5值发送至第二至第N背书节点;
[0027] 获取第二至第N背书节点发送的验证结果并发送至用户终端,由用户终端判断第二背书节点至第N背书节点的背书策略是否全部满足;
[0028] 接收用户终端的判断结果,若判断结果为是,则将密码录入信息进行封装并广播到共识网络。
[0029] 作为本发明一种基于区块链的密码处理方法的优选实施方案,执行所述获取用户终端发送的密码录入信息步骤时,所述方法还包括:
[0030] 判断所述用户终端的密码录入信息是否小于16位且大于4位;
[0031] 若判断结果为是,则进一步判断所述密码录入信息是否为数字、大小写字母中的至少一种;
[0032] 若判断结果为是,则将密码录入信息进行分段处理。
[0033] 作为本发明一种基于区块链的密码处理方法的优选实施方案,将所述密码录入信息进行分段处理形成4段分段密码。
[0034] 作为本发明一种基于区块链的密码处理方法的优选实施方案,所述方法还包括:
[0035] 判断每段分段密码的数位是否满足4位;
[0036] 若判断结果为是,则将所述密码录入信息分为4段后,每段不足4位的空位通过
通配符进行补足。
[0037] 作为本发明一种基于区块链的密码处理方法的优选实施方案,执行根据验证签名结果判断用户终端签名是否被正确授权时,若判断结果为否,则将此次请求定义为非法请求,将请求信息广播到共识网络中的所有节点,并向用户终端发送判断结果。
[0038] 作为本发明一种基于区块链的密码处理方法的优选实施方案,执行将拼接完成的密码发送至用户终端步骤后,所述方法还包括:
[0039] 将此次请求定义为合法请求;
[0040] 将处理信息封装并广播到共识网络中的背书节点。
[0041] 本发明还公开一种基于区块链的密码处理设备,包括:
[0042] 至少一个处理器;以及
[0043] 与所述至少一个处理器通信连接的
存储器;其中,
[0044] 所述存储器存储有可被所示至少一个处理器执行的指令,所述指令被至少一个处理器执行,以使所述至少一个处理器能够:
[0045] 部署区块链;
[0046] 获取用户终端发送的密码录入信息;
[0047] 将所述密码录入信息进行分段处理形成N个分段密码,其中,N>1;
[0048] 将所述N个分段密码发送至与所述分段密码数量对应的N个背书节点,由所述N个背书节点利用公钥对接收到的所述分段密码进行加密、封装,并广播到共识网络;
[0049] 接收用户终端发送的密码找回请求;
[0050] 获取用户终端的签名进行验证;
[0051] 根据验证签名结果判断用户终端签名是否被正确授权;
[0052] 若判断结果为是,则向对应的N个背书节点发送密码还原请求,并由所述N个背书节点利用公钥根据所述密码还原请求对分段密码进行分别还原;
[0053] 接收N个背书节点发送的N个分段还原密码;
[0054] 将N个分段还原密码按照顺序拼接并发送至用户终端。
[0055] 本发明还公开一种基于区块链的密码处理介质,存储有计算机可执行指令,所述计算机可执行指令为:
[0056] 部署区块链;
[0057] 获取用户终端发送的密码录入信息;
[0058] 将所述密码录入信息进行分段处理形成N个分段密码,其中,N>1;
[0059] 将所述N个分段密码发送至与所述分段密码数量对应的N个背书节点,由所述N个背书节点利用公钥对接收到的所述分段密码进行加密、封装,并广播到共识网络;
[0060] 接收用户终端发送的密码找回请求;
[0061] 获取用户终端的签名进行验证;
[0062] 根据验证签名结果判断用户终端签名是否被正确授权;
[0063] 若判断结果为是,则向对应的N个背书节点发送密码还原请求,并由所述N个背书节点利用公钥根据所述密码还原请求对分段密码进行分别还原;
[0064] 接收N个背书节点发送的N个分段还原密码;
[0065] 将N个分段还原密码按照顺序拼接并发送至用户终端。
[0066] 本发明的有益效果在于:
[0067] 本发明利用区块链超级账本技术,将用户密码原文在保存时进行分段处理,分别由多个密码管理员进行加密保存,当用户遗忘密码时,则由多个密码管理员允许才能还原出密码,且每次密码的录入操作、还原操作都经过超级账本验证并记录,显著提高了密码管理的安全性。
附图说明
[0068] 此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性
实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0070] 图2绘示了本发明一实施例中执行获取用户终端发送的密码录入信息步骤的流程图。
[0071] 图3绘示了本发明一实施例中执行将密码原文对应的MD5值发送至背书节点进行校验步骤的流程图。
[0072] 图4为本发明一实施例中一种基于区块链的密码处理设备的结构示意图。
具体实施方式
[0073] 为使本
说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本
申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0074] 以下结合附图,详细说明本申请各实施例提供的技术方案。
[0075] 本申请的技术方案是应用传统技术存在的问题,提供的一种数据可信、难以篡改、分布式记录的实现方法。
[0076] 如图1所示,本发明公开的一种基于区块链的密码处理方法,包括如下步骤:
[0077] S1部署区块链;
[0078] S2获取用户终端发送的密码录入信息;
[0079] S3将所述密码录入信息进行分段处理形成N个分段密码,其中,N>1;
[0080] S4将所述N个分段密码发送至与所述分段密码数量对应的N个背书节点,由所述N个背书节点利用公钥对接收到的所述分段密码进行加密、封装,并广播到共识网络;
[0081] S5接收用户终端发送的密码找回请求;
[0082] S6获取用户终端的签名进行验证;
[0083] S7根据验证签名结果判断用户终端签名是否被正确授权;
[0084] S8若判断结果为是,则向对应的N个背书节点发送密码还原请求,并由所述N个背书节点利用公钥根据所述密码还原请求对分段密码进行分别还原;
[0085] S9接收N个背书节点发送的N个分段还原密码;
[0086] S10将N个分段还原密码按照顺序拼接并发送至用户终端。
[0087] 区块链作为一种去中心化的分布式存储技术,具有可信性、不可篡改、安全隐私等等特性,这些特性决定了特别适用于用户密码信息存储以及用户终端身份校验等环节,记录在区块链上的数据会保存在分布式的记账节点中,单个节点或者少数节点的数据
修改不会生效,使得区块链上的数据无法篡改,区块链上的信息也能够被所有人员查阅,更加公平、可靠。本实施例应用的超级账本技术,是区块链技术中联盟链的一种,在产生新交易时才创建新区块,更适用于商业用途中,如用户和管理员之间权限的调解及分层管理,实现不同
角色的权限控制。本实施例应用超级账本技术,将用户密码进行分段处理分配至多个管理员,具有公钥的管理员能够对分段处理的密码进行加密,整个密码分段处理及密码加密过程都需要经过验证,以此提高了用户密码的使用安全性。
[0088] 本实施例中,以orderer节点作为执行主体完成整个超级账本中用户终端的应用程序和背书节点的信息验证、信息打包、以及信息广播功能的协同功能。Order节点用于接收用户终端应用发送的背书过的提议交易响应,order节点对交易进行排序,并将大量的交易打包进区块,并准备将区块分发到所有连接到order的peer节点,需要说明的是,peer节点为对等节点同级节点,其中,背书节点也属于peer节点之一。
[0089] 在获取用户终端发送的密码录入信息后,为了提高密码信息的整体安全性,将密码信息分割,形成N个分段密码,N个分段密码分别发送至N个背书节点来防止一个用户终端的全部密码信息都保存在一个背书节点中。现有的技术中虽然部分的密码管理采用将全部密码信息存储在一个节点中,即密码信息的保存、找回、修改操作信息都能够记录在区块链中,但是由于只用一个节点就能够对密码进行操作,风险较高,即便任何针对密码的修改、更新信息都能够被保存,仍无法阻止其对密码信息的篡改,且当用户终端对密码执行找回操作时,管理权限太高,可直接允许用户终端对密码进行还原,影响用户密码安全性。
[0090] 本实施例利用超级账本技术,将原本保存在单一节点的用户密码信息进行分布式保存,将原本完整的密码原文进行分段处理,形成的N个分段密码由N个背书节点利用各自的公钥进行共同加密。加密后的信息在没有权限或秘钥的前提下仅能够查询得知密码相关信息的更新记录,却无法获知详细信息。
[0091] 在用户遗忘密码后,通过用户终端对密码进行找回,会向orderer节点发送密码找回请求,接收到用户找回密码的请求的同时,还会获取用户终端的签名请求,在验证用户终端的签名无误后,才确认用户终端的合法性,只有确认为正确授权的用户终端,才执行向背书节点发送密码还原请求的步骤,N个背书节点利用各自的公钥对各段用户密码进行分别解密,还原为密码原文,orderer节点接收到各背书节点还原的密码原文后,对密码原文进行拼接,形成一段完整的密码原文,返回相应结果至用户终端,完成用户找回密码流程。
[0092] 如图2所示,本实施例中,执行获取用户终端发送的密码录入信息步骤时,所述方法还包括:
[0093] S201获取密码原文;
[0094] S202针对密码原文生成所对应的MD5值;
[0095] S203将密码原文对应的MD5值发送至背书节点进行校验;
[0096] S204判断发送所述密码录入信息的用户终端是否被正确授权;
[0097] S205若判断结果为是,则将所述密码录入信息进行分段处理。
[0098] 在对用户的密码进行保存时,保存的信息需要包括用户密码的MD5信息,以便对密码进行校验。背书节点对用户密码原文对应的MD5值进行校验,当确认用户终端为被授权终端,或者用户终端具有合法签名,则允许执行该用户终端的密码录入请求,同时将该用户密码录入信息进行分段处理,以便多个背书节点能够分别加密处理。
[0099] 如图3所示,本实施例中,执行将密码原文对应的MD5值发送至背书节点进行校验步骤时,所述方法还包括:
[0100] S2021将密码原文对应的MD5值发送至第一背书节点,并由第一背书节点对用户终端进行验证;
[0101] S2022将验证结果返回至用户终端;
[0102] S2023获取用户终端对第一背书节点的签名验证信息;
[0103] S2024将密码原文对应的MD5值发送至第二至第N背书节点;
[0104] S2025获取第二至第N背书节点发送的验证结果并发送至用户终端,由用户终端判断第二背书节点至第N背书节点的背书策略是否全部满足;
[0105] S2026接收用户终端的判断结果,若判断结果为是,则将密码录入信息进行封装并广播到共识网络。
[0106] 此步骤利用超级账本的验证原理,对用户终端是否合法进行验证。第一背书节点接收用户终端发起的针对某一
智能合约的交易请求,智能合约配置的背书策略要求需要第一背书节点至第N背书节点的签名。第一背书节点验证签名,验证结果并不更新超级账本,但将验证结果发送至用户终端。用户终端采用与第一背书节点相同的交互方式,和第二至第N背书节点采用进行交互。当第二至第N背书节点的背书处理结果返回到用户终端后,判断背书策略是否全部满足,当背书策略全部满足时,用户终端将交易信息和响应信息封装到一个事务消息中,广播到共识网络,共识网络将接收到的交易信息(密码录入信息)按时间顺序排序,形成一个区块,并发送至相同通道的所有节点。此外,还需要所有节点对公式网络发来的区块进行校验。
[0107] 本实施例中,执行所述获取用户终端发送的密码录入信息步骤时,所述方法还包括:
[0108] S211判断所述用户终端的密码录入信息是否小于16位且大于4位;
[0109] S212若判断结果为是,则进一步判断所述密码录入信息是否为数字、大小写字母中的至少一种;
[0110] S213若判断结果为是,则将密码录入信息进行分段处理。
[0111] 在进行智能合约设置时,为保证密码的
基础安全性,密码应不少于4位,另外,根据实际需要,可设置密码长度小于16位。在接收到用户终端发送的密码录入信息时,首先判断密码信息是否符合智能合约的触发规则,密码信息中密码位数、密码含有除数字、大小写字母之外的其他标识符或者汉字,则认定密码信息不符合分段规则,不对其执行下一步的分段处理。
[0112] 进一步的,为了保证密码处理的标准化、统一化,将所述密码录入信息进行分段处理形成4段分段密码,减少了相应的计算量,提高了处理效率。
[0113] 本实施例中,当密码被分段处理形成4段分段密码时,所述方法还包括:
[0114] 判断每段分段密码的数位是否满足4位;
[0115] 若判断结果为是,则将所述密码录入信息分为4段后,每段不足4位的空位通过通配符进行补足。
[0116] 实际应用中,无法保证每个用户终端录入的密码信息都满足16位,能够恰好以4位为一段分为4段,因此当每段用户密码原文不满足4位时,采用通配符进行补足,其中,通配符可以是“#”、“*”或者其他符号。如当用户密码原文为八位数位AABBCCDD,将其分为4段后,为A/A/BB/CCDD,则经过通配符补充后的密码为A###/A###/BB##/CCDD。需要说明的是,上述分割方法仅为多种分割方式中的一种,根据需要可设置多种分割方式,在此不再赘述。
[0117] 本实施例中,执行根据验证签名结果判断用户终端签名是否被正确授权时,若判断结果为否,则将此次请求定义为非法请求,将请求信息广播到共识网络中的所有节点,并向用户终端发送判断结果。
[0118] 基于区块链技术的特性,任何操作记录、操作信息都能被记录,当用户终端所发送的请求为非法请求时,需要将此次操作进行记录广播到共识网络,由共识网络发送至相应的节点,一方面提供修改依据,另一方面,能够对用户进行提醒。
[0119] 本实施例中,执行将拼接完成的密码发送至用户终端步骤后,所述方法还包括:
[0120] 将此次请求定义为合法请求;
[0121] 将处理信息封装并广播到共识网络中的背书节点。
[0122] 如前文所揭示的,基于区块链技术的特性,当用户的密码还原请求被允许并执行后,会被广播到共识网络,由共识网络发送至相应的节点,便于修改溯源。
[0123] 如图4所示,本发明还公开一种基于区块链的密码处理设备,包括:
[0124] 至少一个处理器;以及
[0125] 与所述至少一个处理器通信连接的存储器;其中,
[0126] 所述存储器存储有可被所示至少一个处理器执行的指令,所述指令被至少一个处理器执行,以使所述至少一个处理器能够:
[0127] 部署区块链;
[0128] 获取用户终端发送的密码录入信息;
[0129] 将所述密码录入信息进行分段处理形成N个分段密码,其中,N>1;
[0130] 将所述N个分段密码发送至与所述分段密码数量对应的N个背书节点,由所述N个背书节点利用公钥对接收到的所述分段密码进行加密、封装,并广播到共识网络;
[0131] 接收用户终端发送的密码找回请求;
[0132] 获取用户终端的签名进行验证;
[0133] 根据验证签名结果判断用户终端签名是否被正确授权;
[0134] 若判断结果为是,则向对应的N个背书节点发送密码还原请求,并由所述N个背书节点利用公钥根据所述密码还原请求对分段密码进行分别还原;
[0135] 接收N个背书节点发送的N个分段还原密码;
[0136] 将N个分段还原密码按照顺序拼接;
[0137] 将拼接完成的密码发送至用户终端。
[0138] 本发明还公开一种基于区块链的密码处理介质,存储有计算机可执行指令,所述计算机可执行指令为:
[0139] 部署区块链;
[0140] 获取用户终端发送的密码录入信息;
[0141] 将所述密码录入信息进行分段处理形成N个分段密码,其中,N>1;
[0142] 将所述N个分段密码发送至与所述分段密码数量对应的N个背书节点,由所述N个背书节点利用公钥对接收到的所述分段密码进行加密、封装,并广播到共识网络;
[0143] 接收用户终端发送的密码找回请求;
[0144] 获取用户终端的签名进行验证;
[0145] 根据验证签名结果判断用户终端签名是否被正确授权;
[0146] 若判断结果为是,则向对应的N个背书节点发送密码还原请求,并由所述N个背书节点利用公钥根据所述密码还原请求对分段密码进行分别还原;
[0147] 接收N个背书节点发送的N个分段还原密码;
[0148] 将N个分段还原密码按照顺序拼接;
[0149] 将拼接完成的密码发送至用户终端。
[0150] 本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备和介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0151] 本申请实施例提供的设备和介质与方法是一一对应的,因此,设备和介质也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述设备和介质的有益技术效果。
[0152] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或
计算机程序产品。因此,本发明可采用完全
硬件实施例、完全
软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0153] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方
框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程
数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中
指定的功能的装置。
[0154] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0155] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0156] 在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出
接口、网络接口和内存。
[0157] 内存可能包括计算机可读介质中的非永久性存储器,
随机存取存储器(RAM)和/或非易失性内存等形式,如
只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
[0158] 计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于
相变内存(PRAM)、静态随机存取存储器(SRAM)、
动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、
电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他
磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备
访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据
信号和载波。
[0159] 还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0160] 以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的
权利要求范围之内。
