CN114900309A - 一种将信息化应用***的用户身份标识与区块链链账户对应的方法 - Google Patents

Abstract

本公开揭示了一种将信息化应用***的用户身份标识与区块链链账户对应的方法，包括以下步骤：S100、注册用户；S200、生成用户的公钥和私钥；S300、发送公钥和用户名以及数字签名至CA服务器；S400：验证第一数字签名；S500：生成用户的证书；S600：验证第二数字签名；若验证通过，第一服务则将证书保存。通过上述方法，本公开显著提高了用户身份标识在使用过程中的安全性和可信性，且可用于各种IT或DT领域中。

Description

一种将信息化应用***的用户身份标识与区块链链账户对应 的方法

技术领域

本公开属于信息安全领域，特别涉及一种将信息化应用***的用户身份标识与区块链链账户对应的方法。

背景技术

随着信息技术的不断发展，当前信息安全方面暴露的问题也随之增加。虽然在证券和银行等金融领域，已经广泛使用U盾等产品来提高安全性，但是，在更加广泛的领域中如何使得用户更加安全的进行操作，始终是亟待解决的问题。

发明内容

鉴于此，本公开揭示了一种将信息化应用***的用户身份标识与区块链链账户对应的方法，包括以下步骤：

S100、注册用户：

输入用户名，向区块链的CA服务器发送注册用户请求，CA服务器查询用户名是否已经存在，如果存在则提示不能注册，如果不存在则继续进行该用户名的注册；

S200、生成用户的公钥和私钥：

第一服务通过一生成公私钥算法生成所述用户的公钥和私钥；

S300、发送公钥和用户名以及数字签名至CA服务器：

第一服务读取所述公钥，并对公钥和用户名进行签名，根据公钥和用户名计算第一哈希值，然后用私钥对该第一哈希值进行签名以生成第一数字签名；

并将公钥、用户名和第一数字签名发给所述CA服务器；

S400：验证第一数字签名：

所述CA服务器利用步骤S300发来的公钥将第一数字签名解密得到第一哈希值，

并且，CA服务器根据公钥和用户名的哈希值计算得到第二哈希值，如果第一哈希值等于第二哈希值，则说明公钥和用户名没有被篡改，验证签名通过；

S500：生成用户的证书：

CA服务器为用户生成证书，其中，证书中包括第二数字签名；

计算证书的哈希值，然后用CA服务器的私钥对证书的哈希值进行签名以生成所述第二数字签名；

并且，CA服务器返回证书；

S600：验证第二数字签名：

所述第一服务利用CA服务器的公钥将第二数字签名解密得到第三哈希值，并计算证书的哈希值得到第四哈希值，如果第三哈希值等于第四哈希值则验证签名通过；

若验证通过，第一服务则将证书保存。

优选的，

步骤S600中，所述第一服务将证书保存在U盾中，使得所述存储介质实现为区块链U盾。

优选的，

通过注册所述的区块链U盾来注册用户。

优选的，

所述第一服务为U盾服务。

优选的，

步骤S200中，所述U盾服务调用区块链U盾中的生成密钥接口，以使得所述区块链U盾通过生成公私钥算法生成公钥、私钥。

通过上述方法，本公开显著提高了用户身份标识在使用过程中的安全性和可信性，且可用于各种IT或DT领域中。

附图说明

图1是本公开一个实施例的流程示意图；

图2是本公开一个实施例中的盾的结构示意图。

具体实施方式

为了使本领域技术人员理解本公开所披露的技术方案，下面将结合实施例及有关附图图1至图2，对各个实施例的技术方案进行描述，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。本公开所采用的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，“包括”和“具有”以及它们的任何变形，意图在于覆盖且不排他的包含。例如包含了一系列步骤或单元的过程、或方法、或***、或产品或设备没有限定于已列出的步骤或单元，而是可选的还包括没有列出的步骤或单元，或可选的还包括对于这些过程、方法、***、产品或设备固有的其他步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本公开的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其他实施例互斥的独立的或备选的实施例。本领域技术人员可以理解的是，本文所描述的实施例可以与其他实施例相结合。

在一个实施例中，本公开揭示了一种将信息化应用***的用户身份标识与区块链链账户对应的方法，包括以下步骤：

S100、注册用户：

输入用户名，向区块链的CA服务器发送注册用户请求，CA服务器查询用户名是否已经存在，如果存在则提示不能注册，如果不存在则继续进行该用户名的注册；

S200、生成用户的公钥和私钥：

第一服务通过一生成公私钥算法(例如SM2、SM3、SM4或其他算法)生成所述用户的公钥和私钥；

S300、发送公钥和用户名以及数字签名至CA服务器：

第一服务读取所述公钥，并对公钥和用户名进行签名，根据公钥和用户名计算第一哈希值，然后用私钥对该第一哈希值进行签名以生成第一数字签名；

并将公钥、用户名和第一数字签名发给所述CA服务器；

S400：验证第一数字签名：

所述CA服务器利用步骤S300发来的公钥将第一数字签名解密得到第一哈希值，

并且，CA服务器根据公钥和用户名的哈希值计算得到第二哈希值，如果第一哈希值等于第二哈希值，则说明公钥和用户名没有被篡改，验证签名通过；

S500：生成用户的证书：

CA服务器为用户生成证书，其中，证书中包括第二数字签名；

计算证书的哈希值，然后用CA服务器的私钥对证书的哈希值进行签名以生成所述第二数字签名；

并且，CA服务器返回证书；

S600：验证第二数字签名：

所述第一服务利用CA服务器的公钥将第二数字签名解密得到第三哈希值，并计算证书的哈希值得到第四哈希值，如果第三哈希值等于第四哈希值则验证签名通过；

若验证通过，第一服务则将证书保存。

由此，通过上述实施例，本公开实现了一种将信息化应用***的用户身份标识与区块链链账户对应的方法，从而经由区块链技术提高了关联的用户名的安全程度和可信程度。这意味着，该用户名的任何操作和使用痕迹，后续可以经由区块链进一步核实其使用状况。此外，由于存储了证书，因此使得该方法够被用于多种安全交互的场合。考虑到所述用户名是与链关联的，因此，本实施例实现了一种安全、可靠的基于区块链的用户身份标识的处理方法。

进一步的，如果将证书等敏感信息通过第一服务保存到U盘或其他可移动存储设备，特别是自身安全程度已经达到一定级别的存储设备，例如保存到U盾获得一种区块链U盾，那么，当所述区块链U盾能够被盾之外的任何外部***或外部接口所调用时，例如当所述外部接口为各种Web Service的对应接口时，该盾可以用于各种Web Service，从而大幅度提高用户使用各种Web Service的安全性，并有效管控各种用户身份标识。

优选的，

通过注册所述的区块链U盾来注册用户。

优选的，

所述第一服务为U盾服务。

优选的，

步骤S200中，所述U盾服务调用区块链U盾中的生成密钥接口，以使得所述区块链U盾通过生成公私钥的算法(例如SM2算法，能够理解，所述SM2算法还可以根据需要替换为SM3、SM4或其他算法)生成公钥、私钥。

在另一个实施例中，

所述区块链U盾还可以实现为除了USB接口之外的、基于区块链的盾，例如蓝牙或音频接口的盾。

在另一个实施例中，

所述基于区块链的盾还可以实现为硬件实体盾之外的、软件数字盾，

当其为软件数字盾时，所述数字盾至少包括一个或多个接口以便与数字盾之外的***或接口进行交互。

能够理解，典型的，硬件实体盾可以是各种具备硬件接口的产品，例如U盘形式的硬件实体盾，或者带USB接口的卡片类一证通，抑或者具有蓝牙接口或音频接口的硬件实体盾。然而，更加需要说明的是，软件数字盾可以是各种格式的数字文件，至于其接口则是采取读写文件的数字接口或其他合适的API技术来实现，从而通过对此类数字文件的访问，实现该软件数字盾与数字盾之外的***或接口的交互。显而易见的，硬件实体盾一般比软件数字盾具备更高的安全性，但是，这不妨碍本公开采用现有的数字加密技术或监控技术或其他数字安全技术以提高软件数字盾的安全性。

在一个实施例中，本公开揭示了一种基于区块链的盾，包括：

生成密钥接口，用于被盾之外的第一接口所调用，以及根据用户名和第一算法生成用户公钥和用户私钥并储存在盾的密钥存储单元；

示例性的，所述第一接口为U盾服务接口，包括：银行的U盾服务、政务在线办公的U盾服务等各种服务所对应的Service提供的接口；而所述第一算法则可以是SM2算法或其他国密算法(例如SM3，SM4)或任何其他算法等等；

其中，当盾注册到区块链时，所述用户名预先经由CA服务器查重，确认不存在相同用户名时，该用户名则作为与该盾关联的用户名，然后所述生成密钥接口被第一接口调用。

由此，通过上述实施例，本公开实现了一种基于区块链的盾，其作为一种产品，便于通过该产品使得用户身份标识与区块链产生关联或对应。这意味着，该盾可以经由区块链进一步核实相关的用户身份标识在信息化应用***甚至任何数字世界中的使用状况。此外，该盾自身的密钥存储单元，由于其存储了根据用户名和第一算法生成的所述用户公钥和用户私钥，因此使得该盾能够被用于多种安全交互的场合。考虑到所述用户名是与链关联的，本实施例实现了一种安全、可靠的基于区块链的盾，且能够被盾之外的第一接口所调用。能够理解，当第一接口为各种Web Service的对应接口时，该盾可以用于各种WebService，从而大幅度提高用户使用各种Web Service的安全性。

在另一个实施例中，

所述盾还包括第一哈希值计算单元和第一签名单元；

所述第一哈希值计算单元，用于根据所述用户名和所述用户公钥计算第一哈希值；

所述第一签名单元，用于根据所述用户私钥对第一哈希值生成第一数字签名。

对于上述实施例，其给出了如何进一步利用区块链的哈希技术在盾上实现第一数字签名的方式，从而使得该盾成为更具区块链特性的产品。

在另一个实施例中，

所述盾还包括第一发送单元；

所述第一发送单元，其经由第一接口至少发送所述用户公钥和第一数字签名至CA服务器。

能够理解，该实施例通过第一发送单元和第一接口实现了向CA服务器发送相关签名，示例性的，所述第一接口为U盾服务接口。如此，该盾通过对接其的第一接口来对接CA服务器，而第一接口可以是面向各种Web Service甚至各种应用的接口，这意味着该盾可以广泛的用于各种服务和/或应用。需要说明的是，所述CA服务器可以是独立于区块链的服务器，也可以是区块链的CA服务器。

在另一个实施例中，

所述盾还包括证书存储单元，

当所述第一接口利用CA服务器的公钥验签通过所述第一数字签名后，所述存储单元存储所述用户名和CA服务器所生成的用户证书。

对于该实施例，其揭示了前文所述的基于区块链的盾作为一种新的盾是如何生成并存储其用户证书。

在另一个实施例中，

所述盾包括国密安全芯片模块，且所述国密安全芯片包括生成密钥功能、和/或加密功能、和/或签名功能。

能够理解，当利用国密安全芯片模块时，可以通过集成度更高的现有各种国密安全芯片模块，更快速的实现所述基于区块链的盾。

在另一个实施例中，

所述盾还包括第二发送单元；

当所述盾耦接其外部的某一数据处理***时，在某一时间或某一时间段，所述第二发送单元经由第一接口(例如前文所述的U盾服务接口作为所述第一接口)至少将所述盾存储的用户名、用户对该数据处理***的操作、时间信息(例如时间戳)发给区块链以上链。

对于该实施例而言，其揭示了所述盾用于某一数据处理***的安全交互时，该盾如何通过第二发送单元与区块链交互，例如如何将有关用户信息上链。

在另一个实施例中，

所述第二发送单元还将用户对该盾的操作发给区块链以上链。

能够理解，该实施例表明该盾能够将用户对盾的操作上链，例如：假设所述盾包括“ok”或“确认”按钮，当用户某一时刻按压一次ok按钮，将此种对盾自身的操作也发给区块链以上链。

在另一个实施例中，

所述盾还包括第二哈希值计算单元和第二签名单元；

所述第二哈希值计算单元，至少用于根据所述盾存储的用户名、用户对该数据处理***的操作、时间信息以及所述用户公钥计算第二哈希值；

所述第二签名单元，用于根据所述用户私钥对第二哈希值生成第二数字签名；

所述第二发送单元还将所述第二数字签名发给区块链以上链。

对于上述实施例，其给出了如何进一步利用区块链的哈希技术在盾上实现第二数字签名的方式，从而使得该盾成为更具区块链特性的产品并实现第二数字签名的上链。

在另一个实施例中，参见图2，本公开所述的基于区块链的盾是一种基于国密算法的联盟链硬件U盾，包括：

MCU主控芯片模块、通用串行总线USB、国密安全芯片模块、蓝牙模块、屏幕显示模块、按键和电池模块；

所述MCU主控芯片模块作为主控制单元，用于将国密安全芯片模块、蓝牙模块、屏幕、按键、通用串行总线USB连接，且用于解析信道(例如通过通用串行总线USB、蓝牙等)发来的数据，并交由专门的模块处理；

国密安全芯片模块，其包括对应的处理单元和存储单元，至少用于实现数据存储功能、密钥生成和管理功能，以及加密功能；

通用串行总线USB或蓝牙模块，用于接收/发送所述盾的外部***或外部接口与所述U盾的交互数据；

屏幕显示模块，用于配合MCU主控芯片模块和国密安全芯片模块显示来自用户的操作信息(例如账户、交易金额等信息)；

按键，用于配合MCU主控芯片模块和国密安全芯片模块，实施用户交互功能(例如开关机、确认、取消、上下翻页、输入PIN码等功能)；

电池模块，用于对所述U盾进行供电。

能够理解，该实施例通过具体硬件U盾的示例，揭示了一种实现所述基于区块链的盾的方式。

进一步的，在另一个实施例中，

当本公开所述的基于区块链的盾实现为数字盾时，除了前文所述的有关数字盾的内容，数字盾的数据处理能力则可以利用数字盾所处的装置或设备或计算机或数据处理***或云服务器等自身的CPU或其他处理器的处理能力，也可以利用调用该数字盾的外部***自身的处理能力；而数字盾所需的存储能力则可以利用数字盾所处的装置或设备或计算机或数据处理***或云服务器等自身的存储能力，或者也可以利用调用该数字盾的外部***自身的存储能力；至于数字盾所需的交互接口，则可以利用访问数字文件的I/O读写来实现；如果需要显示此种交互过程，则可以利用任何能够接收数字盾与外部***(或外部接口)交互中产生的必要的信息流或数据流(例如，彼此的操作信息)的显示设备来实现，且当不需要显示时，还可以将交互中产生的信息流或数据流另存为一定格式的文件(例如，操作的日志文件)。

本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作、模块、单元并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本公开所提供的几个实施例中，应该理解到，所揭露的盾，可实现为对应的功能单元、处理器乃至***，其中所述***的各部分既可以位于一个地方，也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，各功能单元可以集成在一个处理单元中，也可以是各个单元单独存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为智能手机、个人数字助理、可穿戴设备、笔记本电脑、平板电脑)执行本公开的各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(R0M，Read-0nly Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质，且不限于USB、蓝牙或音频等不同的接口或传输方式。

以上所述，以上实施例仅用以说明本公开的技术方案，而非对其限制；尽管参照前述实施例对本公开进行了详细的说明，本领域技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开的各实施例技术方案的范围。

Claims (5)

1.一种将信息化应用***的用户身份标识与区块链链账户对应的方法，包括以下步骤：

S100、注册用户；

S200、生成用户的公钥和私钥；

S300、发送公钥和用户名以及数字签名至CA服务器；

S400：验证第一数字签名；

S500：生成用户的证书；

S600：验证第二数字签名；

若验证通过，第一服务则将证书保存。

2.如权利要求1所述的方法，其中，优选的，

步骤S600中，第一服务将证书保存在U盾中，使得所述存储介质实现为区块链U盾。

3.如权利要求2所述的方法，其中，

通过注册所述的区块链U盾来注册用户。

4.如权利要求1所述的方法，其中，

所述第一服务为U盾服务。

5.如权利要求4所述的方法，其中，

步骤S200中，所述U盾服务调用区块链U盾中的生成密钥接口，以使得所述区块链U盾通过生成公私钥算法生成公钥、私钥。

Images