一种基于网络的密码存储、找回方法及密码找回装置

技术领域

本发明涉及互联网数据存储技术领域，具体涉及一种基于网络的密码存储、找回方法及密码找回装置。

背景技术

随着信息技术的快速发展，互联网已深入人们生活的方方面面。人们会通过互联网使用各种应用平台，享受互联网带来的生活便利。但在此同时，登录各种应用平台所需记忆的账号和密码也越来越多，因此用户很容易忘记应用平台的账号或密码。为防止忘记应用平台的账号和密码带来的困扰，有些用户会将应用平台的账号和密码记录在本子上、手机中或电脑中，也有用户会在遗忘时通过电子邮箱或手机找回平台账号或密码，但上述方法均存在应用平台账号和密码被盗的可能，因此无法保证平台账号和密码的安全。基于上述问题，有必要建立一种安全可靠的密码存储、找回专用平台，以解决用户随时存储或找回密码的实际应用需求。

发明内容

为了克服背景技术中的不足，本发明公开了一种基于网络的密码存储、找回方法，其运行在由密码找回装置、云服务器组成的通信网络中；用户密码及相关信息以非对称加密方式存储在区块链的数据块中，其具有不可篡改性、非易失性的特点，保证了用户密码存储的稳定性；用户密码及相关信息的非对称加密密钥和非对称解密密钥以复制、分离、随机分配方式存储在若干个密码找回装置中，因此具有解密密码不易寻找的特点；用户找回密码时，密码找回装置以自身存储的非对称加密密钥或非对称解密密钥解密用户密码及相关信息所存储的数据块，以表决方式找出正确密码，确保找回密码的正确性；当非法用户在盗取用户密码时，需同时攻击由密码找回装置、云服务器组成网络的所有节点或多数节点参与，因此极大增加了非法用户盗取用户密码的难度。

为了实现所述发明目的，本发明采用如下技术方案：一种基于网络的密码存储、找回方法，其运行在包括密码找回装置、云服务器的网络中；用户密码及相关信息以非对称加密方式存储在区块链的数据块中，由于该发明采用了区块链技术，因此其具有不可篡改性、非易失性的特点，保证了用户密码存储的稳定性；用户密码及相关信息的非对称加密密钥和非对称解密密钥以复制、分离、随机分配的方式存储在若干个密码找回装置中，具有正确解密密码在网络中位置不确定的特点，即使非法用户获得了区块链数据和解密密码，因解密密码众多，也不易找到正确的解密密码，因此解密后也无法判断解密后密码的正确性；用户找回密码时，密码找回装置以自身存储的非对称加密密钥或非对称解密密钥解密用户密码及相关信息所存储的数据块，解密后数据块传输至云服务器，由云服务器进行比对，若存在若干个解密后数据块相同，即若干个密码找回装置表决结果相同，则该解密后相同的数据块即为用户需要找回的密码；在找回密码的过程中，需要密码找回装置、云服务器组成网络的所有节点或多数节点参与，因此非法用户在盗取用户密码时，需同时攻击由密码找回装置、云服务器组成网络的几乎所有节点，因此极大增加了非法用户盗取用户密码的难度，从而确保了用户存储密码的安全性；另外该基于网络的密码存储、找回方法在网络规模增加时，其可靠性和安全性也会同步提高。

进一步的，云服务器中存储有用户密码及相关信息的映射表，该映射表是以用户首次使用密码找回装置时，采集的用户人脸特征值的哈希值指向的用于存储数据块哈希值的存储区，用于找到存储有用户密码的数据块。

进一步的，密码找回装置与若干云服务器之间，或若干密码找回装置相互之间采用非对称加密通信；密码找回装置设有公钥KTgi、私钥KTsi，云服务器设有公钥KTgf、私钥KTsf，其中公钥KTgi、公钥KTgf公开；每个密码找回装置首次工作时，随机生成一对非对称加密密钥KJAi、加密密钥KJBi，在随后网络运行中，随机生成的加密密钥KJAi、加密密钥KJBi被复制、分离、随机转移分配存储在其他若干个密码找回装置中，密钥KJAi、密钥KJBi复制、分离、随机转移分配存储会不定时进行，当密钥KJAi、密钥KJBi复制到设定数量时，密钥KJAi、密钥KJBi将不再被复制，仅进行随机转移分配存储；每个密码找回装置首次工作生成的密钥KJAi、密钥KJBi在经过复制、分离、随机转移分配后，其在网络中的位置会变得完全不可知，即密钥KJAi、密钥KJBi在网络中的分布完全处于混沌状态；密钥KJAi、密钥KJBi分离、随机转移分配在网络运行过程中持续进行，随着次数增加，每对密钥KJAi、密钥KJBi最终在网络密码找回装置中存在的数量会随着增加，但其最大数量是受限的，其具体最大数量根据网络规模自动调整；在上述公钥KTgi、私钥KTsi、密钥KJAi、密钥KJBi中，角标i表示序号。

进一步的，通过人脸识别登录密码找回装置存储或找回密码；进行人脸识别时，密码找回装置提示用户朗读验证文本信息，验证文本信息以分行的形式进行显示，在用户朗读验证文本信息时，密码找回装置同步采集用户人脸特征值、朗读语音、朗读验证文本信息时口型信息及朗读验证文本信息时眼球的转动信息；其中人脸特征值用于用户身份识别认证；其中朗读语音、朗读验证文本信息时口型信息和朗读验证文本信息时眼球的转动信息联合用于验证用户为真实个体，其具体方法是：通过对朗读语音的分解得到若干朗读音节，根据朗读音节对朗读验证文本信息时的口型进行时序对位，以朗读验证文本信息中随机间隔重复出现的汉字、拼音字母或阿拉伯数字相同的口型置“1”，以朗读验证文本信息中其他非重复出现的汉字、拼音字母或阿拉伯数字的口型置“0”，得到一串二进制编码，以该二进制编码与朗读验证文本信息以相同规则（朗读验证文本信息中重复出现的汉字、拼音字母或阿拉伯数字置“1”，其余置“0”）得到的二进制编码进行比对，以判断用户是否是在朗读验证文本信息；同时通过判断朗读验证文本信息时眼球的左右、上下转动是否与朗读文本信息分行是否一致，再次判断用户是否是在朗读验证文本信息，从而达到防止用预先拍摄的图片或预先录制的动态视频对人脸识别系统的攻击；补充说明的是：在本发明基于网络的密码存储、找回方法的人脸识别中，虽然采用了同时录制音、视频的手段，但没有采用同时进行声纹识别和人脸识别的方法，其原因在于声纹识别和人脸识别均存在一定的识别误识率和成功率，两者联合识别虽然可以降低误识率，但会导致识别成功率下降，从而导致用户使用体验的降低；另外，现有人脸识别系统已成功应用于支付系统，说明其误识率和成功率已达到可用水平，因此在本发明中将人脸识别的重点放在了防止用预先拍摄的图片或预先录制的动态视频对人脸识别的非法攻击上。

进一步的，提示用户朗读的验证文本信息包括汉字、拼音字母或阿拉伯数字随机组成的字符串，该字符串中包括完整语义的短句和随机出现的汉字、英文字母或阿拉伯数字，且该字符串中某一个或几个汉字或读音、拼音字母或阿拉伯数字以随机间隔重复出现；人在朗读验证文本信息，因完整语义的短句在朗读时其音节间时间间隔会较小，而随机出现的汉字、英文字母或阿拉伯数字因其语义不连贯，因此其音节将时间间隔会较长，如果采用人工智能朗读验证文本信息，则完整语义的短句和随机出现的汉字、英文字母或阿拉伯数字间其音节间时间间隔会相等，借此可辅助验证用户是否为真实个体。

进一步的，用户找回密码在密码找回装置上随机显示若干位，其余未显示密码位用通用符代替，该密码显示方法通常用在密码找回装置设置在公共场所的情况，用户不希望其他人看到完整密码，或用户仅希望显示若干位用于提示的情况；或完整显示用户找回的密码，该密码显示方法通常用在家中、私密性较好的场所；上述两种显示方法用户可根据需要随时进行切换；用户在阅读找回密码后，点击删除，将找回的密码和相关信息从密码找回装置中彻底删除，且无法恢复。

一种基于网络的密码存储、找回的密码找回装置，包括摄像单元、显示单元、信息输入单元、中央处理单元、存储单元、通信单元；

其中，摄像单元用于拍摄用户动态图像；

其中，显示单元用于引导用户操作、显示用户朗读验证文本信息、显示用户预找回的密码；

其中，信息输入单元用于用户输入密码及相关信息；

其中，中央处理单元用于生成用户朗读验证文本信息，处理用户动态图像，生成公钥KTgi、私钥KTsi、密钥KJAi、密钥KJBi，密码的加密、解密；

其中，存储单元用于存储公钥KTgi、私钥KTsi、密钥KJAi、密钥KJBi、公钥KTgf；

其中，通信单元用于与云服务器的通信及密码找回装置之间的通信。

进一步的，通信单元采用有线通信网络和公用无线通信网络通信，其中有线通信网络用于设置在具有较高安全度的公共场所的密码找回装置的通信，其中公用无线通信网络用于用户随身携带的移动式密码找回装置的通信。

由于采用如上所述的技术方案，本发明具有如下有益效果：本发明公开的一种基于网络的密码存储、找回方法，其运行在由密码找回装置、云服务器组成的网络中；用户密码及相关信息以非对称加密方式存储在区块链的数据块中，其具有不可篡改性、非易失性的特点，保证了用户密码存储的稳定性；用户密码及相关信息的非对称加密密钥和非对称解密密钥以复制、分离、随机分配的方式存储在若干个密码找回装置中，因此具有解密密码不易寻找的特点；用户找回密码时，密码找回装置以自身存储的非对称加密密钥或非对称解密密钥解密用户密码及相关信息所存储的数据块，以表决方式找出正确密码，确保找回密码的正确性；当非法用户在盗取用户密码时，需同时攻击由密码找回装置、云服务器组成网络的几乎所有节点，因此极大增加了非法用户盗取用户密码的难度；密码找回装置可设置在家中或广泛设置在具有较高安全度的公共场所，成为一种公共设置，为用户随时存储、找回密码提供了极大便利。

附图说明

图1为密码存储、找回网络结构示意图；

图2为加密密钥KJAi、加密密钥KJBi在网络中分布状态变化示意表；

图3为密码存储、找回网络通信密钥分布状态表。

具体实施方式

通过下面的实施例可以详细的解释本发明，公开本发明的目的旨在保护本发明范围内的一切技术改进。

需要说明的是，本申请所涉及的用户信息（包括但不限于用户设备信息、用户个人信息等）和数据（包括但不限于用于分析的数据、存储的数据、展示的数据等），均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

一种基于网络的密码存储、找回方法及密码找回装置，其运行在包括密码找回装置1、云服务器2组成的网络中；其中密码找回装置1包括摄像单元、显示单元、信息输入单元、中央处理单元、存储单元、通信单元；其中摄像单元用于拍摄用户动态图像音视频；其中显示单元用于引导用户操作、显示用户朗读验证文本信息、显示用户预找回的密码；其中信息输入单元用于用户输入密码及相关信息；其中中央处理单元用于生成用户朗读验证文本信息，处理用户动态图像，生成通信公钥KTgi、通信私钥KTsi、加密密钥KJAi、加密密钥KJBi，密码的加密、解密；其中存储单元用于存储通信公钥KTgi、通信私钥KTsi、加密密钥KJAi、加密密钥KJBi、服务器通信公钥KTgf（服务器通信私钥KTsf存储在服务器中）；其中通信单元采用有线通信网络或公用无线通信网络，用于与云服务器2或密码找回装置1之间的通信及密码找回装置1之间的通信。

用户A首次启用密码找回装置1录入密码时，依照密码找回装置1的提示，将脸部对准摄像单元，显示单元显示需朗读的验证文本信息：“下面显示的密码是”“1369A1963ACCBD8”，其中“下面显示的密码是”显示在第一行，“1369A”显示在第二行，其中“1963A”显示在第三行，其中“CCBD8”显示在第四行；用户朗读验证文本信息时，密码找回装置同步采集用户人脸特征值（非人脸图片）、朗读验证文本信息时的口型信息及朗读验证文本信息时眼球的转动信息；验证文本信息依照读音重复出现的汉字（“示”、“是”读音相同）、拼音字母或阿拉伯数字置“1”、其余置“0”的原则，得到“00010001011111111111000”二进制编码；通过对朗读语音的分解得到“下”、“面”、“显”、“示”、“的”、“密”、“码”、“是”、“1”、“3”、“6”、“9”、“A”、“1”、“9”、“6”、“3”、“A”、“C”、“C”、“B”、“D”、“8”二十三个音节，根据音视频同步原则，将朗读上述音节的口型与文本信息进行对位，其中“示”、“是”读音相同，“1”、“3”、“6”、“9”、“A”、“C”均出现重复，因此朗读口型出现重复，将出现重复的口型置“1”，其余非重复口型置“0”，得到“00010001011111111111000”二进制编码；将上述两个二进制编码进行对比，两者相同，即用户朗读的验证文本信息与密码找回装置提示的验证文本信息相同，初步确定用户为真实个体；同时密码找回装置1判断用户在阅读“下面显示的密码是”、“1369A”、“1963A”、“CCBD8”四段文本时，眼球是否存在从左向右的转动，以及从“下面显示的密码是”阅读到“1369A”、“1369A”阅读到“1963A”、及从“1963A”阅读到“CCBD8”时，眼球是否有快速从右向左的转动，从而进一步确定用户为真实个体；当密码找回装置判定用户为非真实个体时，随机更换用户朗读验证文本信息，再次提醒用户进行验证，若三次均不通过，则发出报警信息；若用户真实个体验证通过后，密码找回装置1提示用户输入预存储的密码项目、账号、密码，如输入“交通银行卡”、“6222XXXXXXXXXXX6077”、“6XXXX1”，同时密码找回装置1随机生成非对称加密密钥KJAi、加密密钥KJBi分别为KJA1、KJB2（参见说明书附图2），和非对称通信公钥KTgi、通信私钥KTsi分别为KTg1、KTs1，其中通信公钥KTgi在生成后，通过广播在网络中公开；密码找回装置1用加密密钥KJA1（或加密密钥KJB2）对“交通银行卡1”、“6222XXXXXXXXXXX6077”、“6XXXX1”进行加密，得到“交通银行卡密文1”、“卡号密文1”、“密码密文1”；然后首先用服务器通信公钥KTgf对“用户人脸特征值1”、“交通银行卡密文1”、“卡号密文1”、“密码密文1”进行加密，再用通信私钥KTs1对服务器通信公钥KTgf加密后的密文进行二次加密，最后传输给云服务器2，同时密码找回装置1从内存中删除所有用户信息；

云服务器2接收到二次加密密文后，先后通信公钥KTg1、服务器通信私钥KTsf对二次加密密文解密，得到“用户人脸特征值1”、“交通银行卡密文1”、“卡号密文1”、“密码密文1”，其中“用户人脸特征值1”存储在云服务器2指定的存储区域；云服务器2对“用户人脸特征值1”进行哈希运算，得到“用户人脸特征哈希值1”，将“用户人脸特征哈希值1”与“交通银行卡密文1”、“卡号密文1”、“密码密文1”打包形成数据块1，对数据块1进行哈希运算，得到“数据块哈希值1”，用“数据块哈希值1”作为数据块1标识，由云服务器2对外广播，网络中的所有密码找回装置1对数据块1及其标识进行存储；同时云服务器2以“用户人脸特征哈希值1”作为指针指向云服务器2的特定存储区，将“数据块哈希值1”存储在“用户人脸特征哈希值1”指向的特定存储区中；用上述同样的过程，启用网络中其他的密码找回装置1，最终形成网络节点庞大的密码存储、找回网络；补充说明的是，在整个网络形成的初期，其安全度并不高，因此在网络初期是以人工输入的无需保密信息来形成整个网络及初始的数据块链；

参见说明书附图2：当整个密码存储、找回网络形成后，云服务器2会定期发出广播指令，网络中的所有密码找回装置1复制自身存储的加密密钥KJAi、加密密钥KJBi，并将复制后的加密密钥KJAi、加密密钥KJBi分离打散后（原加密密钥KJAi、加密密钥KJBi为一组非对称加密密钥），分别随机传输给其他密码找回装置1存储，同时密码找回装置1删除自身原来存储的加密密钥KJAi、加密密钥KJBi；加密密钥KJAi、加密密钥KJBi复制数量与网络规模有关，通常节点数量在十万至一百万时复制数量为100-200，节点数量在一百万至五百万时复制数量为200-500，节点数量在一千万以上时复制数量为1000；在加密密钥KJAi、加密密钥KJBi经过复制、分离、随机转移分配后，每个密码找回装置1存储的加密密钥KJAi或加密密钥KJBi数量与复制数量相等；在加密密钥KJAi、加密密钥KJBi经过复制、分离、随机转移后，加密密钥KJAi、加密密钥KJBi在整个网络中的分布完全处于混沌状态，即加密密钥KJAi、加密密钥KJBi在整个网络的分布无安全不可知，此时密码存储、找回网络处于极高的安全水平；补充说明的：对加密密钥KJAi、加密密钥KJBi进行复制的目的，是防止部分网络节点不在线，导致对原密码加密密钥对应的解密密钥不存在或数量低于两个，而造成无法解密或无法达成表决结果；参见说明书附图2，该图显示了一个具有十个密码找回装置1（节点）网络中加密密钥KJAi、加密密钥KJBi在初始生成的分布状态，以及经过多次复制、分离、随机转移分配后的分布状态，其复制数量为三；参见说明书附图3，在密码存储、找回网络运行过程中，服务器通信公钥KTgf、服务器通信私钥KTsf、密码找回装置1的通信公钥KTgi、通信私钥KTsi保持不变；

以下为方便阐述本发明工作方法，对非对称加密密钥和非对称解密密钥以复制、分离、随机分配仅以包括十台密码找回装置1和云服务器2的网络说明；当用户再次使用密码找回装置1存储密码时，其过程与初次有所不同，其不同之处在于：1、密码找回装置1不再随机生成非对称加密密钥KJAi、加密密钥KJBi和非对称通信公钥KTgi、通信私钥KTsi，而是使用密码找回装置1经复制、分离、随机分配存储的非对称加密密钥KJAi、加密密钥KJBi，和已存储的非对称通信公钥KTgi、通信私钥KTsi，以说明书附图2为例的具有十个密码找回装置1（节点）网络中，此时密码找回装置1非对称加密密钥KJAi或加密密钥KJBi数量共有六个，且这六个加密密钥KJAi或加密密钥KJBi之间并无关系，即使用户通过某台密码找回装置1录入了密码，密码被六个加密密钥KJAi或加密密钥KJBi中的任一个加密后，该台密码找回装置1也无法对加密后的密码进行解密；2、密码找回装置1采集的用户人脸特征值在传输给云服务器后，服务器首先将用户人脸特征值与数据库进行比对，确定是否为已有用户；若用户为已有用户，则最终生成的数据块哈希值存储在已有特定存储区中；若用户为新用户，用户人脸特征值存储在特定存储区，新用户人脸特征哈希值指向的特定存储区来存储最终生成的数据块的哈希值；

当用户A需找回“交通银行卡”、“6222XXXXXXXXXXX6077”、“6XXXX1”的密码时，用户通过人脸识别登录密码找回装置六，并输入预找回密码的密码项目，如预找回“交通银行卡”；密码找回装置六将采集到的用户人脸特征值及密码项目“交通银行卡”传送给云服务器2，云服务器2首先将用户人脸特征值与数据库进行比对，确定是否为已有用户；若用户为已有用户，则将“用户人脸特征哈希值1”指向的特定存储区中存储的“数据块哈希值1”及其他数据块哈希值（或可能还存储有其他密码）以广播形式加密传输给所有密码找回装置1，所有密码找回装置1根据收到的“数据块哈希值1”及其他数据块哈希值找到对应的数据块，然后用密码找回装置1存储的所有加密密钥KJAi、加密密钥KJBi对数据块中的“交通银行卡密文1”或其他密码项目密文进行解密；以说明书附图2具有十个密码找回装置1的网络为例，在经过四次复制/分离/转移后密钥的分布情况是在每个密码找回装置1中均有总计六个加密密钥KJAi或加密密钥KJBi，“交通银行卡密文1”或其他密码项目密文解密后每个密码找回装置1均会得到六个解密明文，每个密码找回装置1均将六个解密明文传输至云服务器2，云服务器2对收到的所有解密明文进行比对，假如十个密码找回装置1均在线，就会得到三个相同的解密明文“交通银行卡”，即密码找回装置二、密码找回装置三、密码找回装置九通过加密密钥KJB1解密后的明文（通过加密密钥KJA1加密）或通过加密密钥KJA1解密后的明文（通过加密密钥KJB1加密），然后云服务器2通知密码找回装置二、密码找回装置三、密码找回装置九，由其对“交通银行卡密文1”对应的“卡号密文1”、“密码密文1”进行解密，各得到六组解密明文，其中一组解密明文为“6222XXXXXXXXXXX6077”、“6XXXX1”；密码找回装置二、密码找回装置三、密码找回装置九将六组解密明文加密传输给用户登录的密码找回装置六，同时密码找回装置二、密码找回装置三、密码找回装置九从内存中删除解密得到的六组解密明文，用户登录的密码找回装置六将收到的六组解密明文进行比对，会有“6222XXXXXXXXXXX6077”、“6XXXX1”出现三次重复，即“6222XXXXXXXXXXX6077”、“6XXXX1”就是用户预找回密码账号和密码，然后密码找回装置六以用户设定的方式予以显示；用户查询得到预找回密码后，用户登录的密码找回装置六自行从内存中删除用户查询得到的密码账号和密码。

本发明未详述部分为现有技术。