WO2018112946A1

WO2018112946A1 - 注册及授权方法、装置及系统

Info

Publication number: WO2018112946A1
Application number: PCT/CN2016/111857
Authority: WO
Inventors: 谢辉; 王健
Original assignee: Cloudminds Shenzhen Robotics Systems Co Ltd
Current assignee: Cloudminds Shenzhen Robotics Systems Co Ltd
Priority date: 2016-12-23
Filing date: 2016-12-23
Publication date: 2018-06-28
Anticipated expiration: 2019-06-23
Also published as: US20190312877A1; JP2019522412A; JP6547079B1; EP3454238A4; EP3454238B1; EP3454238A1; US11115418B2; CN107079036A

Abstract

一种注册及授权方法、装置及系统，用以解决现有授权技术安全性较低的技术问题。所述方法应用于授权服务器，所述授权服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述方法包括：接收用户设备发送的注册请求消息，所述注册请求消息包括身份证明信息，所述身份证明信息用于对用户进行身份认证；为所述用户分配授权信息，所述授权信息用于指示所述用户能够访问的服务；通过所述授权服务器将所述身份证明信息以及所述授权信息写入区块链的区块中。

Description

注册及授权方法、装置及系统

技术领域

本公开涉及网络通信领域，尤其涉及一种注册及授权方法、装置及系统。

背景技术

对于已经注册的计算机或者网络系统中的用户，其能够访问的服务可能不同，授权即是对用户身份进行认证，并在认证通过后，确定用户可以使用哪些服务的过程。

现有的授权技术普遍需要第三方可信机构的参与，工作流程如下：用户登录接入网关，并提供口令或证书等用户身份证明，接入网关将用户身份证明转至授权服务器。授权服务器对用户身份进行验证后，根据验证结果，向接入网关返回验证成功消息和可访问的服务，或者验证失败消息。如果验证通过，接入网关允许用户访问相应可访问的服务。

由上述流程可知，授权服务器作为一个中心化的服务器，若其被黑客攻击，或者被提供该授权服务器的机构主动篡改，这都将使当事人的合法权益受到侵害。由此可知，现有的授权技术存在安全性低的问题。

发明内容

本公开的目的是提供一种注册及授权方法、装置及系统，用以解决现有授权技术安全性较低的技术问题。

为了实现上述目的，本发明第一方面提供一种注册方法，所述方法应用于授权服务器，所述授权服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述方法包括：

接收用户设备发送的注册请求消息，所述注册请求消息包括身份证明信息，所述身份证明信息用于对用户进行身份认证；

为所述用户分配授权信息，所述授权信息用于指示所述用户能够访问的服务；

通过所述授权服务器将所述身份证明信息以及所述授权信息写入区块链的区块中。

本发明第二方面提供一种授权方法，所述方法应用于接入服务器，所述接入服务器是区块链网络中的节点，所述方法包括：

接收用户设备发送的访问请求消息，所述访问请求消息包括用户身份信息；

通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息；

根据所述身份证明信息对所述用户进行身份认证；

在认证通过后，根据所述授权信息允许所述用户访问指定的服务。

本发明第三方面提供一种注册装置，所述注册装置应用于授权服务器，所述授权服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述注册装置包括：

消息接收单元，用于接收用户设备发送的注册请求消息，所述注册请求消息包括身份证明信息，所述身份证明信息用于对用户进行身份认证；

权限分配单元，用于为所述用户分配授权信息，所述授权信息用于指示所述用户能够访问的服务；

区块链写入单元，通过所述授权服务器将所述身份证明信息以及所述授权信息写入区块链的区块中。

本发明第四方面提供一种授权装置，所述授权装置用于接入服务器，所述接入服务器是区块链网络中的节点，所述授权装置包括：

消息接收单元，用于接收用户设备发送的访问请求消息，所述访问请求消息包括用户身份信息；

区块链查询单元，用于通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息；

身份认证单元，用于根据所述身份证明信息对所述用户进行身份认证；

授权访问单元，用于在所述身份认证单元对所述用户认证通过后，根据所述授权信息允许所述用户访问指定的服务。

本发明第五方面提供一种授权服务器，所述授权服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述授权服务器包括：

处理器、通信接口、存储器和通信总线；所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信；

所述存储器用于存储应用程序；

所述处理器用于执行所述应用程序以实现第一方面所述的方法。

本发明第六方面提供一种接入服务器，所述接入服务器是区块链网络中的节点，所述接入服务器包括：

所述存储器用于存储应用程序；

所述处理器用于执行所述应用程序以实现第二方面所述的方法。

本发明第七方面提供一种授权系统，所述系统包括：

授权服务器和接入服务器，所述授权服务器是区块链网络中的节点，所述接入服务器是区块链网络中的节点，所述接入服务器与提供网络服务的服务器相连；

所述授权服务器用于执行第一方面所述的方法；

所述接入服务器用于执行第二方面所述的方法。

本发明第九方面提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序包括用于执行上述第一方面所述的方法的指令。

本发明第十方面提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序包括用于执行第二方面所述的方法的指令。

采用上述技术方案，授权服务器将用户的身份信息以及授权信息写入区块链中，这样，接入服务器在接收用户设备发送的访问请求消息时，可以利用区块链存储的身份证明信息对访问进行身份验证，并在验证通过后，根据授权信息允许用户访问指定的服务。区块链的去信任化使得授权过程无需第三方可信机构背书，同时，区块链的去中心化使得任何个人或者组织无法对用户的相关信息进行篡改，从而保证了授权的安全性和可靠性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种注册方法的流程示意图；

图2为本发明实施例提供的一种授权方法的流程示意图；

图3为本发明实施例提供的一种注册及授权方法的流程示意图；

图4为本发明实施例提供的一种注册装置的结构示意图；

图5为本发明实施例提供的一种授权装置的结构示意图；

图6为本发明实施例提供的另一种授权服务器的结构示意图；

图7为本发明实施例提供的另一种接入服务器的结构示意图；

图8为本发明实施例提供的一种授权系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了使本领域技术人员更容易理解本发明实施例提供的技术方案，下面首先对涉及到的相关技术进行简单介绍。

区块链是由区块链网络中所有节点共同参与维护的去中心化分布式数据库系统，它是由一系列基于密码学方法产生的数据块组成，每个数据块即为区块链中的一个区块。根据产生时间的先后顺序，区块被有序地链接在一起，形成一个数据链条，被形象地称为区块链。区块链由其特别的区块和交易产生、验证协议，具有不可更改，不可伪造、完全可追溯的安全特性。

区块链技术中涉及到的相关概念说明：

用户身份：区块链中的用户身份使用公钥表示，所述公钥所对应的私钥由用户掌握而不发布到网络，公钥通过特定的哈希和编码后成为“地址”，“地址”代表了用户，并可随意发布。

区块链数据写入：区块链节点通过向区块链网络发布“交易”(Transaction)实现向区块链写入数据。交易中包含用户使用自己私钥对交易的签名，以证明用户的身份。交易被“矿工”(执行区块链共识竞争机制的区块链节点)记录入产生的新区块，然后发布到区块链网络，并被其他区块链节点验证通过和接受后，交易数据即被写入区块链。

区块链具有的特性：

去中心化：整个区块链系统没有中心化的硬件或者管理机构，任意节点之间的权利和义务都是均等的，且任一节点的损坏或者失去都会不影响整个系统的运作。因此也可以认为区块链具有极好的健壮性。

去信任化：参与整个区块链系统中的每个节点之间进行数据交换是无需互相信任的，整个系统的运作规则是公开透明的，所有的数据内容也是公开的，因此在系统指定的规则范围和时间范围内，节点之间是不能也无法欺骗其它节点。

本发明实施例基于区块链技术提供一种注册方法，该方法应用于授权服务器，其中，该授权服务器是区块链网络中的节点，如图1所示，该方法包括：

S101、接收用户设备发送的注册请求消息，所述注册请求消息包括身份证明信息。

其中，所述身份证明信息用于对用户进行身份认证。

S102、为所述用户分配授权信息，所述授权信息用于指示所述用户能够访问的服务。

值得说明的是，授权服务器可以根据预先配置的授权规则对用户分配授权信息，以控制用户能够访问的服务。例如，在具体实施过程中，授权服务器可以为不同身份、不同接入地点、不同接入方式、不同安全状态的用户设计合理的网络访问权限，本发明对此不做限定。

S103、通过所述授权服务器将所述身份证明信息以及所述授权信息写入区块链的区块中。

参照上述对区块链数据写入的介绍，其中，该授权服务器是区块链网络中的一个区块链节点，以确保授权服务器至少具备参与区块链交易的功能。其中，作为区块链网络中的节点，授权服务器存储有由多个区块组成的区块链，每个区块用于存储授权信息。值得说明的是，授权服务器可以不参与挖矿，在此种情况下，上述步骤S103中，授权服务器将身份证明信息以及授权信息广播至区块链网络中的其他节点，由其他节点在产生区块时写入。授权服务器也可以参与挖矿，在此种情况下，授权服务器可以在自身产生区块从而获得区块写入权限时，将身份证明信息以及授权信息写入区块中，也可以将身份证明信息以及授权信息广播至区块链网络中的其他节点，由其他节点在产生区块时写入。

采用上述方法，接入服务器作为区块链网络中的节点，其在接收用户设备发送的访问请求消息时，可以利用区块链存储的身份证明信息对访问进行身份验证，并在验证通过后，根据授权信息允许用户访问指定的服务。区块链的去信任化使得授权过程无需第三方可信机构背书，同时，区块链的去中心化使得任何个人或者组织无法对用户的相关信息进行篡改，从而保证了授权的安全性和可靠性。

进一步地，本发明实施例还提供一种授权方法，所述方法应用于接入服务器，所述接入服务器是区块链网络中的节点，如图2所示，该方法包括：

S201、接收用户设备发送的访问请求消息，所述访问请求消息包括用户身份信息。

S202、通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息。

其中，接入服务器是区块链网络中的一个区块链节点，以确保该接入服务器至少具备区块链查询的功能。在本发明实施例的一种可能的实现方式中，该接入服务器与图1所示的注册方法中的授权服务器可以为同一服务器。

另外，参照上述对区块链中的用户身份的介绍，值得说明的是，用户身份和区块链节点不存在一一对应关系，用户可以在任意一个区块链节点上使用自己的私钥，这样，接入服务器可以利用私钥在区块链中查找任一区块，以查询并获取用户的身份证明信息以及授权信息。若该接入服务器在区块链中未查找到用户的身份证明信息和授权信息，则向用户设备返回接入失败消息。

S203、根据所述身份证明信息对所述用户进行身份认证。

S204、在对所述用户身份信息认证通过后，根据所述授权信息允许所述用户访问指定的服务。

这样，相较现有技术中的接入服务器在接收到用户设备的访问请求消息后，需要依赖第三方可信任机构对用户进行认证，本发明实施例提供的授权方法，由于区块链网络没有中心化的硬件或者管理机构，任意节点之间的权利和义务都是均等的，且任一节点的损坏或者失去都会不影响整个系统的运作，因此，授权过程更加安全可靠。

下面具体说明根据身份证明信息和用户身份信息对于用户的认证：

方式一，在上述步骤S101中，身份证明信息可以是口令哈希值的密文，

在具体实施时，可以通过接入服务器的公钥加密口令哈希值的明文得到该身份证明信息，也可以通过一个预设密钥采用对称加密算法加密口令哈希值的明文得到，其中，所述预设密钥可以由授权服务器和接入服务器单独存储和使用。

这样，在步骤S203中，用户身份信息可以包括用户名和口令哈希值，接入服务器在接收到用户身份信息后，通过用户名找到存储在区块链上的口令哈希值密文，进一步地，通过自身的私钥或者预设密钥对身份证明信息进行解密得到口令哈希值的明文，若解密得到的口令哈希值的明文和用户身份信息中的口令哈希值一致，则表明用户身份认证通过，若不一致，则表明用户身份认证未通过。

方式二，在上述步骤S101中，身份证明信息可以是用户公钥，在步骤S203中，用户身份信息可以是用户公钥，则接入服务器在根据用户公钥确定区块链中记录有用户公钥和授权信息后，可以向所述用户设备发送用于指示所述用户提供身份证明的指示信息，并接收所述用户设备根据所述指示信息发送的用户私钥签名的签名信息，并对该签名信息进行签名认证，若签名认证成功，则表明用户身份认证通过，若签名认证失败，则表明用户身份认证失败。

上述只是举例说明，在具体实施时，还可以采用其他方式对用户身份进行认证，本发明对此不做限定。

在本发明实施例的一种可能的实现方式中，图1所示的注册方法还包括：授权服务器接收更新消息，所述更新消息用于更新对应所述身份证明信息的授权信息，并通过所述授权服务器将所述身份证明信息以及更新后的授权信息写入所述区块链的区块中。

也就是说，根据授权服务器配置的授权规则，若用户满足授权信息变更的条件，授权服务器可以根据管理系统的控制对用户的授权范围进行变更。这样，区块链中就可能存在多个存储有用户身份证明信息以及授权信息的区块。因此，上述步骤S202中，若通过接入服务器利用所述用户身份信息在所述区块链中查询到存储有所述用户的身份证明信息以及授权信息的多个区块时，从所述多个区块中的最新一个区块中获取所述用户的身份证明信息以及授权信息，以保证接入服务器根据最新的授权信息允许用户访问网络服务。

为了使本领域的技术人员更加理解本发明实施例提供的技术方案，下面详细举例说明本发明实施例提供的注册和授权方法，如图3所示，该方法包括：

S301、用户设备向授权服务器发送注册请求消息，所述注册请求消息包括用户公钥。

S302、授权服务器为用户分配授权信息，并将所述用户公钥和所述授权信息写入区块链。

S303、用户设备向接入服务器发送访问请求消息，所述访问请求消息包括用户公钥。

S304、接入服务器根据所述用户公钥在区块链中查询该用户公钥是否已写入区块链。

进一步地，在所述用户公钥在区块链中查询该用户公钥未写入区块链的情况下，执行步骤S305；在所述用户公钥在区块链中查询该用户公钥已经写入区块链的情况下，执行步骤S306及后续步骤。

S305、接入服务器向用户设备返回拒绝访问消息。

S306、接入服务器向用户设备发送用于指示用户提供基于公私钥的身份证明的消息。

S307、用户设备向接入服务器发送用户私钥签名的签名信息。

S308、接入服务器根据用户公钥对该签名信息进行签名认证。

进一步地，若签名认证失败，则执行步骤S305；若签名认证成功，则执行步骤S309。

S309、接入服务器根据所述授权信息允许用户设备访问授权范围内的网络服务。

采用上述方法，区块链的去信任化使得授权过程无需第三方可信机构背书，同时，区块链的去中心化使得任何个人或者组织无法对用户的相关信息进行篡改，从而保证了授权的安全性和可靠性。

值得说明的是，上述方法只是以用户公钥作为身份证明信息进行举例说明，在具体实施时，身份证明信息还可以是口令哈希值的密文。另外，对于上述方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明所必须的。

本发明实施例还提供一种注册装置40，所述注册装置40应用于授权服务器，所述授权服务器是区块链网络中的节点，所述授权服务器存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述注册装置40用于实施上述方法实施例中提供的如图1所示的注册方法，如图4所示，该注册装置40包括：

消息接收单元401，用于接收用户设备发送的注册请求消息，所述注册请求消息包括身份证明信息，所述身份证明信息用于对用户进行身份认证；

权限分配单元402，用于为所述用户分配授权信息，所述授权信息用于指示所述用户能够访问的服务；

区块链写入单元403，通过所述授权服务器将所述身份证明信息以及所述授权信息写入区块链的区块中。

采用上述注册装置，应用该注册装置的授权服务器能够将用户的身份信息以及授权信息写入区块链中，这样，接入服务器在接收用户设备发送的访问请求消息时，可以利用区块链存储的身份证明信息对访问进行身份验证，并在验证通过后，根据授权信息允许用户访问指定的服务。区块链的去信任化使得授权过程无需第三方可信机构背书，同时，区块链的去中心化使得任何个人或者组织无法对用户的相关信息进行篡改，从而保证了授权的安全性和可靠性。

值得说明的是，所述身份证明信息为口令哈希值的密文；或者，所述身份证明信息为用户公钥。具体参照上述方法实施例中的方式一和方式二，此处不再赘述。

可选地，所述消息接收单元401还用于，接收更新消息，所述更新消息用于更新对应所述身份证明信息的授权信息；所述区块链写入单元403还用于，通过所述授权服务器将所述身份证明信息以及更新后的授权信息写入所述区块链的区块中。

也就是说，根据授权服务器配置的授权规则，若用户满足授权信息变更的条件，授权服务器可以根据管理系统的控制对用户的授权范围进行变更。这样，区块链中就可能存在多个存储有用户身份证明信息以及授权信息的区块。

本领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能单元的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将装置的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。上述描述功能单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

另外，对于上述功能单元的物理实现也可以有多种方式，例如，在一示例性实施例中，注册装置40可以被一个或多个ASIC(Application Specific Integrated Circuit，应用专用集成电路)、DSP(Digital Signal Processor，数字信号处理器)、DSPD(Digital Signal Processing Device、数字信号处理终端设备)、PLD(Programmable Logic Device，可编程逻辑器件)、FPGA(Field Programmable Gate Array，现场可编程门阵列)、控制器、微控制器、微处理器或其他电子元件实现，用于执行图1提供的方法。

本发明实施例还提供一种授权装置50，所述授权装置50应用于接入服务器，所述接入服务器是区块链网络中的节点，所述授权装置50用于实施上述方法实施例提供的如图2所示的授权方法，如图5所示，该授权装置50包括：

消息接收单元501，用于接收用户设备发送的访问请求消息，所述访问请求消息包括用户身份信息；

区块链查询单元502，用于通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息；

身份认证单元503，用于根据所述身份证明信息对所述用户进行身份认证；

授权访问单元504，用于在所述身份认证单元对所述用户认证通过后，根据所述授权信息允许所述用户访问指定的服务。

其中，区块链的去信任化使得授权过程无需第三方可信机构背书，同时，区块链的去中心化使得任何个人或者组织无法对用户的相关信息进行篡改，从而保证了授权的安全性和可靠性。

可选地，所述区块链查询单元502用于：

根据所述用户身份信息在所述区块链中查询到存储有所述用户的身份证明信息以及授权信息的多个区块时，从所述多个区块中的最新一个区块中获取所述用户的身份证明信息以及授权信息。

可选地，所述身份证明信息为口令哈希值的密文，所述用户身份信息包括用户名和口令哈希值，所述区块链查询单元502用于：通过所述接入服务器利用所述用户名在所述区块链上查找对应的口令哈希值密文以及所述授权信息；所述身份认证单元503用于：对所述口令哈希值密文进行解密，若解密得到的明文与所述用户身份信息中的口令哈希值一致，则确定认证通过。

可选地，所述身份证明信息为用户公钥，所述身份认证单元503用于：向所述用户设备发送用于指示所述用户提供身份证明的指示信息；接收所述用户设备根据所述指示信息发送的用户私钥签名的签名信息；根据所述用户公钥对所述签名信息进行签名认证，若签名认证成功，则确定身份认证通过。

在具体实施时，接入服务器可以是位于用户设备需接入的网络边界，网络可以为互联网Internet或局域网。用户设备通过验证后，方可接入网络，访问网络的全部服务。提供网络服务的还可以是云服务，用户设备通过身份验证后，可以访问授权范围内的相应服务。

所属本领域的技术人员应该清楚地了解到，为描述的方便和简洁，上述描述的接入服务器的各单元的具体工作过程，可以参考前述方法实施例中对应的过程，此处不再赘述。

另外，上述对接入服务器组成单元进行的划分，仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。并且，各个单元的物理实现也可以有多种方式，本发明对此不做限定。

本发明实施例还提供一种授权服务器60，该授权服务器60是区块链网络中的节点，如图6所示，该授权服务器60包括：

处理器601、通信接口602、存储器603和通信总线604；所述处理器601、所述通信接口602和所述存储器603通过所述通信总线604完成相互间的通信。

处理器601可能是一个多核中央处理器CPU，或者是特定集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。

存储器603用于存放程序代码，所述程序代码包括计算机操作指令和网络流图。存储器603可能携带高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

所述通信接口602，用于实现这些装置之间的连接通信。

所述处理器601执行程序代码，所述程序代码在运行时用于实现如下方法：

将所述身份证明信息以及所述授权信息写入区块链的区块中。

可选地，所述身份证明信息为口令哈希值的密文；或者，所述身份证明信息为用户公钥。

可选地，所述方法还包括：

接收更新消息，所述更新消息用于更新对应所述身份证明信息的授权信息；

将所述身份证明信息以及更新后的授权信息写入所述区块链的区块中。

采用上述授权服务器，该授权服务器将用户的身份信息以及授权信息写入区块链中，这样，接入服务器在接收用户设备发送的访问请求消息时，可以利用区块链存储的身份证明信息对访问进行身份验证，并在验证通过后，根据授权信息允许用户访问指定的服务。区块链的去信任化使得授权过程无需第三方可信机构背书，同时，区块链的去中心化使得任何个人或者组织无法对用户的相关信息进行篡改，从而保证了授权的安全性和可靠性。

本发明实施例还提供一种接入服务器70，该接入服务器是区块链网络中的节点，如图7所示，该接入服务器70包括：

处理器(processor)701、通信接口(Communications Interface)702、存储器(memory)703和通信总线704；其中，所述处理器701、所述通信接口702和所述存储器703通过所述通信总线704完成相互间的通信。

处理器701可能是一个多核中央处理器CPU，或者是特定集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。

存储器703用于存放程序代码，所述程序代码包括计算机操作指令和网络流图。存储器703可能携带高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

所述通信接口702，用于实现这些装置之间的连接通信。

所述处理器701执行程序代码，所述程序代码在运行时用于实现如下方法：

根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息；

根据所述身份证明信息对所述用户进行身份认证；

可选地，所述根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息，包括：

可选地，所述身份证明信息为口令哈希值的密文，所述用户身份信息包括口令，所述根据所述身份证明信息对所述用户进行身份认证，包括：

计算所述用户身份信息的哈希值；

对所述用户身份信息进行解密，若解密得到的明文与所述用户身份信息的一致，则确定认证通过。

可选地，所述身份证明信息为用户公钥，所述根据所述身份证明信息对所述用户进行身份认证，包括：

向所述用户设备发送用于指示所述用户提供身份证明的指示信息；

接收所述用户设备根据所述指示信息发送的用户私钥签名的签名信息；

根据所述用户公钥对所述签名信息进行签名认证，若签名认证成功，则确定身份认证通过。

本发明实施例还提供一种授权系统80，所述授权系统80包括授权服务器60和接入服务器70，其中，所述授权服务器60是区块链网络中的节点，所述接入服务器70是区块链网络中的节点，所述接入服务器50与提供网络服务的服务器相连。所述授权服务器60具体可参照上述对图6的说明，此处不再赘述。所述接入服务器70具体可参照上述对图7的说明，此处不再赘述。

在本申请所提供的几个实施例中，应该理解到，所公开的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储数据的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

一种注册方法，其特征在于，所述方法应用于授权服务器，所述授权服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述方法包括：

接收用户设备发送的注册请求消息，所述注册请求消息包括身份证明信息，所述身份证明信息用于对用户进行身份认证；

为所述用户分配授权信息，所述授权信息用于指示所述用户能够访问的服务；

通过所述授权服务器将所述身份证明信息以及所述授权信息写入区块链的区块中。
根据权利要求1所述的方法，其特征在于，所述身份证明信息为口令哈希值的密文；或者，所述身份证明信息为用户公钥。
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

接收更新消息，所述更新消息用于更新对应所述身份证明信息的授权信息；

通过所述授权服务器将所述身份证明信息以及更新后的授权信息写入所述区块链的区块中。
一种授权方法，其特征在于，所述方法应用于接入服务器，所述接入服务器是区块链网络中的节点，所述方法包括：

接收用户设备发送的访问请求消息，所述访问请求消息包括用户身份信息；

通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息；

根据所述身份证明信息对所述用户进行身份认证；

在认证通过后，根据所述授权信息允许所述用户访问指定的服务。
根据权利要求4所述的方法，其特征在于，所述通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息，包括：

在通过所述接入服务器利用所述用户身份信息在所述区块链中查询到存储有所述用户的身份证明信息以及授权信息的多个区块时，从所述多个区块中的最新一个区块中获取所述用户的身份证明信息以及授权信息。
根据权利要求4或5所述的方法，其特征在于，所述身份证明信息为口令哈希值的密文，所述用户身份信息包括用户名和口令哈希值；

所述通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息包括：通过所述接入服务器利用所述用户名在所述区块链上查找对应的口令哈希值密文以及所述授权信息；

所述根据所述身份证明信息对所述用户进行身份认证，包括：

对所述口令哈希值密文进行解密，若解密得到的明文与所述用户身份信息中的口令哈希值一致，则确定认证通过。
根据权利要求4或5所述的方法，其特征在于，所述身份证明信息为用户公钥，所述根据所述身份证明信息对所述用户进行身份认证，包括：

向所述用户设备发送用于指示所述用户提供身份证明的指示信息；

接收所述用户设备根据所述指示信息发送的用户私钥签名的签名信息；

根据所述用户公钥对所述签名信息进行签名认证，若签名认证成功，则确定身份认证通过。
一种注册装置，其特征在于，所述注册装置应用于授权服务器，所述授权服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述注册装置包括：

消息接收单元，用于接收用户设备发送的注册请求消息，所述注册请求消息包括身份证明信息，所述身份证明信息用于对用户进行身份认证；

权限分配单元，用于为所述用户分配授权信息，所述授权信息用于指示所述用户能够访问的服务；

区块链写入单元，通过所述授权服务器将所述身份证明信息以及所述授权信息写入区块链的区块中。
根据权利要求8所述的注册装置，其特征在于，所述消息接收单元还用于，接收更新消息，所述更新消息用于更新对应所述身份证明信息的授权信息；

所述区块链写入单元还用于，通过所述授权服务器将所述身份证明信息以及更新后的授权信息写入所述区块链的区块中。
一种授权装置，其特征在于，所述授权装置用于接入服务器，所述接入服务器是区块链网络中的节点，所述授权装置包括：

消息接收单元，用于接收用户设备发送的访问请求消息，所述访问请求消息包括用户身份信息；

区块链查询单元，用于通过所述接入服务器根据所述用户身份信息在区块链中查询用户的身份证明信息以及授权信息；

身份认证单元，用于根据所述身份证明信息对所述用户进行身份认证；

授权访问单元，用于在所述身份认证单元对所述用户认证通过后，根据所述授权信息允许所述用户访问指定的服务。
根据权利要求10所述的授权装置，其特征在于，所述区块链查询单元用于：

在通过所述接入服务器利用所述用户身份信息在所述区块链中查询到存储有所述用户的身份证明信息以及授权信息的多个区块时，从所述多个区块中的最新一个区块中获取所述用户的身份证明信息以及授权信息。
根据权利要求10或11所述的授权装置，其特征在于，所述身份证明信息为口令哈希值的密文，所述用户身份信息包括用户名和口令哈希值；

所述区块链查询单元用于：通过所述接入服务器利用所述用户名在所述区块链上查找对应的口令哈希值密文以及所述授权信息；

所述身份认证单元用于：对所述口令哈希值密文进行解密，若解密得到的明文与所述用户身份信息中的口令哈希值一致，则确定认证通过。
根据权利要求10或11所述的授权装置，其特征在于，所述身份证明信息为用户公钥，所述身份认证单元用于：

向所述用户设备发送用于指示所述用户提供身份证明的指示信息；

接收所述用户设备根据所述指示信息发送的用户私钥签名的签名信息；

根据所述用户公钥对所述签名信息进行签名认证，若签名认证成功，则确定身份认证通过。
一种授权服务器，其特征在于，所述授权服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储授权信息，所述授权服务器包括：

处理器、通信接口、存储器和通信总线；所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信；

所述存储器用于存储应用程序；

所述处理器用于执行所述应用程序以实现权利要求1至3任一项所述的方法。
一种接入服务器，其特征在于，所述接入服务器是区块链网络中的节点，所述接入服务器包括：

处理器、通信接口、存储器和通信总线；所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信；

所述存储器用于存储应用程序；

所述处理器用于执行所述应用程序以实现权利要求4至7任一项所述的方法。
一种授权系统，其特征在于，所述系统包括：

授权服务器和接入服务器，所述授权服务器是区块链网络中的节点，所述接入服务器是区块链网络中的节点，所述接入服务器与提供网络服务的服务器相连；

所述授权服务器用于执行权利要求1所述的方法；

所述接入服务器用于执行权利要求4所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，所述计算机程序包括用于执行权利要求1至3任一项所述的方法的指令。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，所述计算机程序包括用于执行权利要求4至7任一项所述的方法的指令。