[发明专利]客户端、服务端、方法和身份验证系统

说明书

提供了一种客户端、服务端、方法和身份验证系统，该客户端用于生成验证码，其包括：事务发起单元，响应于关于用户的预定身份验证事件而发起数据平台系统内的第一账户与第二账户之间的随机事务，以使得该随机事务记录在数据平台系统内；验证码生成单元，至少基于关于随机事务的信息生成用于用户的身份验证的验证码；以及发送单元，将所生成的验证码发送给服务端，以由服务端根据随机事务的记录和验证码对用户的身份进行验证，数据平台系统是去中心化的分布式数据库并且其中的记录是不可更改和删除的。根据本公开的实施例，通过借助于基于区块链的数据平台系统，由用户主动发起验证码生成，可以提高系统安全性同时降低系统成本。

技术领域

本公开涉及信息安全领域，更具体地，涉及一种用于生成验证码的客户端和方法、用于验证用户身份的服务端和方法以及身份验证系统。

背景技术

访问控制是所有计算机系统都需要涉及的机制，无论是客户端/服务器系统、客户端/浏览器系统，还是云系统，从最简单的用户名/密码，到广泛使用的认证码/验证码(CAPTCHA)，以及现在广泛使用的短信验证码和基于硬件的UKey(USB Key)等，其中，短信验证码和UKey都需要外部设备的支持。

多因素认证(Multi-Factor Authentication,MFA)是一种简单有效的账号安全最佳实践方法，它能够在用户名和密码之外再增加一层或多层安全保护。从密码学理论上说，用于身份认证主要有三方面要素:一是需要用户记忆的身份认证内容，例如密码或身份证号码等；二是用户拥有认证硬件，例如UKey、智能卡(以下简称IC卡)、磁卡等；三是用户本身拥有的唯一特征，例如指纹、瞳孔、声音等。单独来看，每个要素独立存在时，都有其脆弱性，而把多种要素结合起来，实现多重要素认证，可以有效提高系统访问控制的安全性，就是多因素认证。

验证码是目前广泛应用于多因素认证的一种方式。目前广泛使用的验证方式有两种，一种是服务端和客户端同步生成验证信息；另一种是服务端生成验证码，传递到用户设备。

对于第一种方式，例如，通过UKey产生随机电子令牌(Token)，这种方式一般是服务端和UKey拥有同步的随机数发生器，周期性地产生随机变化的电子令牌。然而，这种方式需要为所有用户配发UKey，并且后台也要维护一个针对所有用户的庞大随机数同步系统，因而成本较高。对于第二种方式，例如，手机验证码方式，则是服务端生成验证码，发送给手机用户，用户再按提示输入该验证码。但是，随着智能手机的普及，手机系统的漏洞也在增长，各类木马的存在，导致手机验证码的安全性出现问题。无论哪种验证方式，要么服务端和客户端同步获得验证码，要么服务端生成验证码后再发送给用户，而用户自身并不是先于服务端主动生成验证码，然后由服务端在特定条件下进行验证，也就是说，用户无法主动掌控验证信息。

发明内容

在下文中给出了关于本公开的简要概述，以便提供关于本公开的某些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。

鉴于以上问题，本公开的目的是提供一种用于生成验证码的客户端和方法、用于验证用户身份的服务端和方法以及用于身份验证系统，其通过借助于公共数据平台，由用户端主导验证码的生成来提高验证安全性。

根据本公开的一方面，提供了一种用于生成验证码的客户端，该客户端包括：事务发起单元，被配置成响应于关于用户的预定身份验证事件而发起数据平台系统内的第一账户与第二账户之间的随机事务(transaction)，以使得该随机事务记录在数据平台系统内；验证码生成单元，被配置成至少基于关于随机事务的信息，生成用于用户的身份验证的验证码；以及发送单元，被配置成将所生成的验证码发送给服务端，以由服务端根据数据平台系统内的随机事务的记录和验证码对用户的身份进行验证，其中，数据平台系统是去中心化的分布式数据库，并且其中的记录是不可更改和删除的。