(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210300792.9 (22)申请日 2022.03.25 (71)申请人 阿里云计算有限公司 地址 310024 浙江省杭州市西湖区转塘科 技经济区块12号 (72)发明人 赵浩然　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 郝玉娥 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/1097(2022.01) (54)发明名称 身份验证方法、 装置及系统 (57)摘要 本申请公开了身份验证方法及系统。 其中方 法包括： 将基于用户隐私数据生成的第一登录信 息密文存储至区块链， 服务端不存储用户隐私数 据； 在用户区块链本域基于登录信息明文生成第 二登录信息密文， 检测第二登录信息密文和第一 登录信息密文是否一致， 在一致情况下， 生成一 次性登录密码， 将一次性登录密码存储至区块 链； 跨公网向服务端发送登录用户信息和一次性 登录密码； 在服务端本域根据服务端接收 的登录 用户信息和一次性登录密码、 及服务端本域区块 链节点存储的第一登录信息密文和一次性登录 密码， 对登录用户进行身份验证。 采用这种处理 方式， 使得登录信息明文不入公网， 服务端不再 感知用户隐私数据； 因此， 可以有效提升用户隐 私数据的安全性。 权利要求书4页 说明书18页 附图3页 CN 114629713 A 2022.06.14 CN 114629713 A 1.一种身份验证方法， 其特 征在于， 包括： 在区块链中存储 网络服务注册用户的第 一登录信 息密文集， 所述第 一登录信 息密文是 对与身份验证相关的注册隐私信息进 行加密得到的密 文， 并在服务端存储不包括用户隐私 数据的注 册用户信息； 获取登录用户名和登录密码； 根据登录用户名和登录密码， 生成第二登录信息密文； 在客户端本地网络 中， 根据第 二登录信 息密文和客户端本地网络的第 一区块链节点存 储的第一登录信息密文集， 对登录用户进行身份验证； 若在客户端本地网络中判定通过身份验证， 则为登录用户分配一次性登录密码， 并将 一次性登录密码存储至区块链； 通过公有网络 向服务端发送用户登录请求， 所述用户登录 请求包括登录用户信息和一次性登录密码； 在服务端本地网络中， 根据服务端接收的登录用户信息和一次性登录密码、 及服务端 本地网络的第二区块链节点存储的与 注册用户对应的一次性登录密码， 对登录用户进 行身 份验证。 2.根据权利要求1所述的方法， 其特 征在于， 所述登录信息密文是对用户名和密码的组合字符串 进行加密得到的密文； 所述登录用户信息包括第二登录信息密文； 所述根据第二登录信息密文和客户端本地网络的第一区块链节点存储的第一登录信 息密文集， 对登录用户进行身份验证， 包括： 判断第一区块链节点存储的第 一登录信 息密文集中是否包括第 二登录信 息密文； 若判 断结果为是， 则判定通过身份验证； 所述根据服务端接收的登录用户信 息和一次性登录密码、 及服务端本地网络的第 二区 块链节点存储的与注 册用户对应的一次性登录密码， 对登录用户进行身份验证， 包括： 获取第二区块链节点存储的与服务端接收的登录信 息密文对应的一 次性登录密码， 作 为目标登录密码； 判断目标登录密码与服务端接收的一次性登录密码是否相同； 若判断结果为是， 则服 务端判定通过身份验证。 3.根据权利要求2所述的方法， 其特 征在于， 还 包括： 在区块链中还存储与第 一登录信 息密文对应的注册密码密文， 第 一区块链节点还存储 用于将注 册密码密文解密为明文的密钥； 所述根据第二登录信息密文和客户端本地网络的第一区块链节点存储的第一登录信 息密文集， 对登录用户进行身份验证， 包括： 判断第一区块链节点存储的第 一登录信 息密文集中是否包括第 二登录信 息密文； 若判 断结果为是， 则通过所述密钥， 将与第二登录信息密文对应的注册密码密文解密为注册密 码明文； 若登录密码明文和注 册密码明文相同， 则判定通过身份验证。 4.根据权利要求1所述的方法， 其特 征在于， 所述登录信息密文是对用户名和密码的组合字符串或者密码进行加密得到的密文； 在区块链中还 存储与第一登录信息密文对应的用户名；权　利　要　求　书 1/4 页 2 CN 114629713 A 2所述登录用户信息包括登录用户名； 所述根据第二登录信息密文和客户端本地网络的第一区块链节点存储的第一登录信 息密文集， 对登录用户进行身份验证， 包括： 判断第一区块链节点存储的与登录用户名对应的第一登录信息密文和第二登录信息 密文是否一 致； 若判断结果 为是， 则判定通过身份验证； 所述根据服务端接收的登录用户信 息和一次性登录密码、 及服务端本地网络的第 二区 块链节点存储的与注 册用户对应的一次性登录密码， 对登录用户进行身份验证， 包括： 获取第二区块链节点存储的与服务端接收的登录用户名对应的一 次性登录密码， 作为 目标登录密码； 判断目标登录密码与服务端接收的一次性登录密码是否相同； 若判断结果为是， 则服 务端判定通过身份验证。 5.根据权利要求1所述的方法， 其特 征在于， 所述第一登录信息密文包括： 对用户名加密得到的第一用户名密文， 对密码加密得到 的第一密码密文； 所述根据登录用户名和登录密码， 生成第二登录信息密文， 包括: 对登录用户名加密得到的第二用户名密文， 对登录密码加密得到的第二密码密文； 所述登录用户信息包括:第二用户名密文和第二密码密文； 所述根据第二登录信息密文和客户端本地网络的第一区块链节点存储的第一登录信 息密文集， 对登录用户进行身份验证， 包括： 判断第一区块链节点存储的第一用户名密文与第一密码密文之间的对应关系集是否 包括第二用户名密文与第二密码密文之间的对应关系； 若判断结果为是， 则判定通过身份 验证； 所述根据服务端接收的登录用户信 息和一次性登录密码、 及服务端本地网络的第 二区 块链节点存储的与注 册用户对应的一次性登录密码， 对登录用户进行身份验证， 包括： 获取第二区块链节点存储的与服务端接收的用户名密文和密码密文对应的一次性登 录密码， 作为目标登录密码； 判断目标登录密码与服务端接收的一次性登录密码是否相同； 若判断结果为是， 则服 务端判定通过身份验证。 6.根据权利要求1所述的方法， 其特 征在于， 所述服务端包括云平台服务端， 所述密码包括用户用于加密认证字符串和云厂商用来 验证认证字符串的密钥SK。 所述方法还 包括： 若云平台服务端判定通过身份验证， 则所述云平台服务端向云产品服务端发送用户登 录请求， 所述用户登录请求包括登录用户信息和一次性登录密码； 在云产品服务端本地网络 中， 根据云产品服务端接收的登录用户信 息和一次性登录密 码、 及云产品服务端本地网络的第三区块链节点存储的与注册用户对应的一次性登录密 码， 对登录用户进行身份验证。 7.根据权利要求1所述的方法， 其特 征在于， 还 包括： 设置一次性登录密码的有效时长和生成时间；权　利　要　求　书 2/4 页 3 CN 114629713 A 3