技术领域
[0001] 本
发明属于区块链和信息安全技术领域,更具体地,涉及一种基于区块链的身份关联方法。
背景技术
[0002] 区块链技术,又称为“
分布式账本技术”,是一种去中心化、集体维护分布式账本的技术方案,其本质是由多个
节点集体参与通过多方存储、多方计算的方式来实现数据不可篡改、计算结果可信的分布式
数据库系统。区块链不是一种单一的技术,而是多种技术整合的结果,利用区块链技术维护一个可靠的、难以篡改的账本记录,可以降低信任的
风险,并能有效的降低参与方协作的维护成本。
[0003] 现有
操作系统(Windows、Linux等)或业务系统的登录方式主要是登录用户输入正确的静态密码,但该登录方式存在一些不可忽略的技术问题:第一,登录用户需要牢记该静态密码,一旦忘记,则登录用户完全无法登录操作系统或业务员系统;第二、该静态密码是存储在操作系统或
服务器的一个文件中,该文件容易被窃取,从而导致静态密码容易被破解。
[0004] 为了解决上述技术问题,研究者们开发出了基于移动端实现登录操作系统或业务系统的方法,用户通过与操作系统客户端关联的移动端替代人工输入静态密码登录操作系统或业务系统。然而,该方法仍然存在不可忽略的
缺陷:首先,其需要在服务端通过手工输入的方式建立客户端与移动端之间的关联,当操作系统的登录用户数量庞大时,该手工关联过程相当耗时耗
力,且效率低下;此外,由于服务端为中心化网络,一旦服务端发生故障,则关联过程无法进行;最后,这种基于中心化存储关联关系的方式存在被黑客恶意攻击和篡改的风险。
发明内容
[0005] 针对
现有技术的以上缺陷或改进需求,本发明提供了一种基于区块链的身份关联方法,其目的在于,解决现有基于移动端实现登录操作系统或业务系统的方法中由于需要在服务端手动实现客户端与移动端关联所导致的耗时耗力、效率低下、安全性差的技术问题,以及一旦服务端出现故障,则关联过程无法进行的技术问题。
[0006] 为实现上述目的,按照本发明的一个方面,提供了一种基于区块链的身份关联方法,包括以下步骤:
[0007] (1)客户端为登录用户生成第一非对称密钥对,并根据登录用户的第一非对称密钥对中的第一公钥和该登录用户所依赖的一个或多个区块链账户的生成规则生成登录用户在对应的一个或多个区块链网络中的账户地址;
[0008] (2)客户端生成二维码,并将二维码显示给移动端,该二维码中包含关联
请求消息,且该关联请求消息中包括登录用户名和登录用户在对应的一个或多个区块链网络中的账户地址;
[0009] (3)移动端扫描客户端提供的二维码,以获取其中包含的关联请求消息,对该关联请求消息进行解析,以获取登录用户名和登录用户在对应的一个或多个区块链网络中的账户地址;
[0010] (4)移动端随机生成第二非对称密钥对,并根据该第二非对称密钥对中的第二公钥和该移动端所依赖的一个或多个区块链账户的生成规则生成移动端在对应的一个或多个区块链网络中的账户地址;
[0011] (5)移动端利用生成的其在各个区块链网络中的账户地址向步骤(3)得到的登录用户在对应的区块链网络中的账户地址发起一笔交易或运行
智能合约,并通过P2P网络将交易相关信息或智能合约相关信息发送给对应的区块链网络中的所有节点;
[0012] (6)区块链网络中的节点验证交易或智能合约的合法性,在验证通过后通过P2P网络达成整个区块链网络的共识,生成新区块,并利用生成的新区块更新区块链网络中每个节点的本地账本记录。
[0013] 优选地,步骤(2)中二维码的生成过程为:生成关联请求消息,对该关联请求消息进行二维码编码,以生成二维码;二维码编码可以采用PDF417、QR Code、Data Matrix、Maxi Code、Code 49、Code 16K、或Code One等编码方式。
[0014] 优选地,关联请求消息进一步包含一次性随机数、时间戳、移动端的手机号码、客户端
硬件标识、或操作系统标识中的一种或多种;二维码中进一步包含客户端的身份
鉴别信息,用于移动端对客户端进行身份认证,其中客户端的身份鉴别信息是利用步骤(1)中生成的第一非对称密钥对中的第一私钥对关联请求消息进行计算得到的签名信息。
[0015] 优选地,当二维码中包含客户端的身份鉴别信息,所述方法还包括在步骤(3)之后、步骤(4)之前,移动端对二维码中包含的客户端的身份鉴别信息进行验证,验证成功则进入步骤(4),否则过程结束;
[0016] 优选地,所述方法进一步包括在步骤(1)之后,客户端产生登录用户的第一证书
申请文件,其包括第一公钥、第一标识名称、以及利用第一私钥对该第一公钥和第一标识名称的签名结果,向第三方认证中心发送包含第一证书申请文件的证书申请请求,并等待第三方认证中心根据该证书申请请求审核并签发第一数字证书。
[0017] 优选地,移动端对二维码中包含的客户端的身份鉴别信息进行验证这一过程具体为,移动端利用第一数字证书对身份鉴别信息进行有效性验证,如果成功,则表示客户端的身份鉴别信息有效,否则表示无效。
[0018] 优选地,移动端对二维码中包含的客户端的身份鉴别信息进行验证这一过程具体为,移动端利用第一公钥对身份鉴别信息进行有效性验证,如果成功,则表示客户端的身份鉴别信息有效,否则表示无效。
[0019] 优选地,所述方法进一步包括在步骤(3)之后、步骤(4)之前,移动端设定客户端登录用户的身份鉴别方式,其中身份鉴别方式包括但不限于PIN码、指纹、虹膜、人脸中的一种或多种。
[0020] 优选地,所述方法进一步包括在步骤(4)之后,移动端产生登录用户的第二证书申请文件,其包括第二公钥、第二标识名称、以及利用第二私钥对该第二公钥和标识名称的签名结果,向第三方认证中心发送包含第二证书申请文件的证书申请请求,并等待第三方认证中心根据该证书申请请求审核并签发第二数字证书。
[0021] 优选地,步骤(5)中移动端发起一笔交易的过程为:利用移动端的第二私钥对关联请求信息进行数字签名,然后按照移动端所依赖的不同区块链网络的交易格式要求将数字签名结果和登录用户名一起打包成一笔交易。
[0022] 总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
[0023] (1)由于本发明方法能够自动实现移动端与客户端的关联,因此能够解决现有基于移动端实现登录操作系统或业务系统的方法中,由于需要在服务端手动实现客户端与移动端关联所导致的耗时耗力、效率低下的技术问题。
[0024] (2)相对于传统的以服务器为中心化的关联方法,本发明提供了基于区块链的去中心化的关联解决方案,即使服务端发生故障,关联过程也不会受到任何影响,因此本发明的可靠性高;
[0025] (3)由于本发明没有使用基于中心化存储关联关系的方式,因此不存在被黑客恶意攻击和篡改的风险,安全性更高;
[0026] (4)由于本发明方法中包括移动端对二维码中包含的生成方身份鉴别信息进行验证的过程,其能够确保二维码的生成方是合法的,并避免二维码被黑客替换,从而进一步提升本发明方法的安全性;
[0027] (5)由于本发明方法在使移动端与客户端关联的同时,还为客户端或移动端生成了数字证书,从而增强了客户端和移动端身份的可信度;
[0028] (6)由于本发明能够基于登录用户所依赖的一个或多个区块链网络所对应的一个或多个区块链账户实现,因此即使某一个区块链网络出现故障,本发明仍然能够正常工作,从而能够确保本发明的安全性和健壮性。
附图说明
[0029] 图1是本发明基于区块链的身份关联方法的
流程图。
具体实施方式
[0030] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及
实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0031] 如图1所示,本发明提供了一种基于区块链的身份关联方法,包括以下步骤:
[0032] (1)客户端为登录用户生成第一非对称密钥对,并根据登录用户的第一非对称密钥对中的第一公钥和该登录用户所依赖的一个或多个区块链账户的生成规则生成登录用户在对应的一个或多个区块链网络中的账户地址。
[0033] 在本实施方式中,客户端安装有操作系统(诸如Windows操作系统、Linux操作系统等),其可以是个人电脑(Personal computer,简称PC)或笔记本(Laptop)。
[0034] 具体而言,区块链账户的生成规则是由各区块链网络自身的
算法决定。
[0035] 当区块链网络是
比特币区块链网络时,生成登录用户在该区块链网络中的账户地址这一过程为:
[0036] (a)使用SHA256算法对第一公钥进行哈希计算,以得到第一哈希计算结果;
[0037] (b)使用RIPEMD-160算法对步骤(a)得到的第一哈希计算结果进行哈希计算,以得到第二哈希计算结果;
[0038] (c)在步骤(b)得到的第二哈希结果前面添加
比特币地址前缀0x00;
[0039] (d)使用SHA256算法对步骤(c)得到的结果进行哈希计算,以得到第三哈希计算结果;
[0040] (e)使用SHA256算法对步骤(d)得到的第三哈希计算结果进行哈希计算,以得到第四哈希计算结果;
[0041] (f)取步骤(e)结果的前四个字节,作为地址的检验和;
[0042] (g)将步骤(e)得到的第四哈希计算结果和步骤(f)得到的地址的检验和打包作为元数据进行base-58编码,编码结果作为账户地址。
[0043] 当区块链网络是以太坊区块链网络是,账户地址是从第一公钥派生而来,即直接取第一公钥的最后20个字节。
[0044] 优选地,本发明的方法还可以包括在上述步骤(1)之后,客户端产生登录用户的第一证书申请文件,其包括第一公钥、第一标识名称(Distinguished name,简称DN)、以及利用第一私钥对该第一公钥和第一标识名称的签名结果,向第三方认证中心(Certificate authority,简称CA)发送包含第一证书申请文件的证书申请请求,并等待CA根据该证书申请请求审核并签发第一数字证书。
[0045] 本步骤的优点在于,采用可信第三方对登录用户进行认证,确保第一公钥和登录用户存在一一对应关系,从而进一步增强安全性。
[0046] (2)客户端生成二维码,并将二维码显示给移动端,该二维码中包含关联请求消息,且该关联请求消息中包括登录用户名和登录用户在对应的一个或多个区块链网络中的账户地址;
[0047] 在本实施方式中,移动端可以是手机或
平板电脑。
[0048] 具体而言,步骤(2)中的二维码的生成过程为:生成关联请求消息,对该关联请求消息进行二维码编码,以生成二维码。
[0049] 具体而言,上述二维码编码可以采用PDF417、QR Code、Data Matrix、Maxi Code、Code 49、Code 16K、或Code One等编码方式。
[0050] 可选地,关联请求消息还可包含一次性随机数、时间戳(Time stamp)、移动端的手机号码、
客户端硬件标识、或操作系统标识中的一种或多种。
[0051] 可选地,二维码中还可包含客户端的身份鉴别信息,用于移动端对客户端进行身份认证。客户端的身份鉴别信息是利用步骤(1)中生成的第一非对称密钥对中的第一私钥对关联请求消息进行计算得到的签名信息。
[0052] (3)移动端扫描客户端提供的二维码,以获取其中包含的关联请求消息,对该关联请求消息进行解析,以获取登录用户名和登录用户在对应的一个或多个区块链网络中的账户地址;
[0053] 优选地,本发明的方法还包括在上述步骤(3)之后、步骤(4)之前,移动端设定客户端登录用户的身份鉴别方式,身份鉴别方式包括但不限于PIN码、指纹、虹膜、人脸中的一种或多种。
[0054] 优选地,如果二维码中包含客户端的身份鉴别信息,则本发明的方法还包括在上述步骤(3)之后、步骤(4)之前,移动端对二维码中包含的客户端的身份鉴别信息进行验证,验证成功则进入步骤(4),否则过程结束。
[0055] 上述移动端对二维码中包含的客户端的身份鉴别信息进行验证这一过程具体为,移动端利用第一公钥(如果步骤(1)之后客户端从CA获取了第一数字证书,则优先使用第一数字证书)对身份鉴别信息进行有效性验证,如果成功,则表示客户端的身份鉴别信息有效,否则表示无效。
[0056] 本步骤的优点在于,能够确保二维码的生成方是合法的,并避免二维码被黑客替换,从而进一步提升本发明方法的安全性。
[0057] (4)移动端随机生成第二非对称密钥对,并根据该第二非对称密钥对中的第二公钥和该移动端所依赖的一个或多个区块链账户的生成规则生成移动端在对应的一个或多个区块链网络中的账户地址;
[0058] 优选地,本发明的方法还可以包括在上述步骤(4)之后,移动端产生登录用户的第二证书申请文件,其包括第二公钥、第二标识名称(Distinguished name)、以及利用第二私钥对该第二公钥和标识名称的签名结果,向第三方认证中心(Certificate authority,简称CA)发送包含第二证书申请文件的证书申请请求,并等待CA根据该证书申请请求审核并签发第二数字证书;
[0059] (5)移动端利用生成的其在各个区块链网络中的账户地址向步骤(3)得到的登录用户在对应的区块链网络中的账户地址发起一笔交易或运行智能合约,并通过P2P网络将交易相关信息或智能合约相关信息发送给对应的区块链网络中的所有节点;
[0060] 具体而言,移动端发起一笔交易的过程为:利用移动端的第二私钥对关联请求信息进行数字签名,然后按照移动端所依赖的不同区块链网络的交易格式要求将数字签名结果和登录用户名一起打包成一笔交易。
[0061] (6)区块链网络中的节点验证交易或智能合约的合法性,在验证通过后通过P2P网络达成整个区块链网络的共识,生成新区块,并利用生成的新区块更新区块链网络中每个节点的本地账本记录。
[0062] 本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何
修改、等同替换和改进等,均应包含在本发明的保护范围之内。
