CN108229962A - 基于区块链的权限管理方法及系统 - Google Patents
基于区块链的权限管理方法及系统 Download PDFInfo
- Publication number
- CN108229962A CN108229962A CN201810007715.8A CN201810007715A CN108229962A CN 108229962 A CN108229962 A CN 108229962A CN 201810007715 A CN201810007715 A CN 201810007715A CN 108229962 A CN108229962 A CN 108229962A
- Authority
- CN
- China
- Prior art keywords
- user
- transaction
- key
- role
- authorization server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 23
- 238000013475 authorization Methods 0.000 claims abstract description 47
- 238000000034 method Methods 0.000 claims abstract description 44
- 239000003999 initiator Substances 0.000 claims abstract description 24
- 230000008569 process Effects 0.000 claims description 14
- 238000009826 distribution Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 7
- 238000005303 weighing Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 2
- 238000012797 qualification Methods 0.000 claims 1
- 230000001276 controlling effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
Abstract
本发明涉及网络技术领域,公开了一种基于区块链的权限管理方法及系统,所述方法包括:各用户自行产生各自相互独立的用户密钥;授权服务器内部根据外部用户所处角色对应的权限高低,形成不同的角色密钥;发起方用户登录授权服务器,使用自己的用户私钥及该用户对应的角色私钥创建与另一用户的授权交易;或者,使用自己的角色密钥交易解锁已确认的授权交易,创建与自己的交易,形成对另一用户的除权交易;所述授权服务器需验证创建交易的用户的数字签名信息;上述用户创建交易的形式均记录在区块链中。本发明解决了传统的管控系统中,系统中心化导致性能和安全性高度依赖中心处理器,权限信息不够公开透明,无法同时保证双方的权益等问题。
Description
技术领域
本发明涉及计算机技术领域,具体地,涉及一种基于区块链的权限管理方法及系统。
背景技术
在信息管理系统(例如内部流程管理系统,审批系统等)中,为了提高系统的安全性以及在系统应用场景下的业务需求,需要对参与的角色进行权限控制。
现有技术是通过对数据中的角色进行权限设置,并将设置后的权限存储至数据库中,比如将不同的“人物”用数据库中不同的字段表示,字段的不同值代表了不同的权限,从而实现权限管理。
但是在部分安全要求较高,且网络状态不稳定的场景下,现有技术所提供的技术方案在数据库遭到攻击时,很容易导致权限失控,且该方法对数据库的依赖性较高,同时会增加系统的维护成本。
发明内容
针对现有技术的缺陷,本发明所要解决的技术问题是如何提高信息系统的权限管控安全性。
为解决该问题,一方面,本发明提供了一种基于区块链的权限管理方法,包括:
各用户自行产生各自相互独立的用户密钥;
授权服务器内部根据外部用户所处角色对应的权限高低将密钥以分层确定性钱包的方式分配给不同角色,形成不同的角色密钥;
发起方用户登录授权服务器,使用自己的用户私钥及该用户对应的角色私钥创建与另一用户的授权交易;或者,
发起方用户登录授权服务器,使用自己的角色密钥(更具体为角色私钥)交易解锁已确认的授权交易,创建与自己的交易,形成对另一用户的除权交易;
其中,所述授权服务器根据创建交易的用户的数字签名信息,确认该交易是否合法有效;
上述用户创建交易的形式均记录在区块链中。
进一步地,所述授权交易的过程还包括:
发起方用户创建与另一用户的授权交易后,将交易信息发送给接收方用户,接收方用户接收该交易信息,使用自己的用户私钥解锁该交易,并创建一新的确权交易反馈至原交易发起方对应的角色,完成整个授权过程。
进一步地,所述授权服务器根据接收授权交易及创建新确权交易的用户的数字签名信息,确认该交易是否合法有效;所述用户接收授权交易及创建新的确权交易的形式均记录在区块链中。
进一步地,根据分层确定性钱包,形成不同的角色密钥的方法具体包括:由随机种子获取顶层主密钥对,所述主密钥对衍生出第一级子密钥对分配给权限等级最高的角色,该第一级子密钥对衍生出第二级子密钥对分配给次权限等级的角色,其中,各角色对应的密钥对由其上一级角色对应的密钥对衍生而成。
进一步地,同级角色对应的子密钥对相互隔离,同级角色的子密钥对不可衍生不属于该角色下属级别的子密钥。
进一步地,用户创建某交易需要该创建的用户本人的数字签名,用户接受某交易也需要该接受的用户本人的数字签名,授权服务器检测到创建交易和接受交易的用户均签名合格后,认定该交易合法,并将交易记录存储到区块链中。
进一步地,所述随机种子包含128bit至256bit的随机数,存储所述随机种子的数据库不接入网络,且采用多备份的物理存储。
在本发明的另一方面,还同时提供一种基于区块链的权限管理系统,所述系统包括:
密钥分配模块,用于根据授权服务器内部及外部分配不同的密钥,其中,授权服务器外部的系统用户自行生成各自独立的用户密钥,授权服务器内部则根据系统用户所处角色对应的权限高低将密钥以分层确定性钱包的方式分配给不同角色,形成不同的角色密钥;
授权交易创建模块,用于发起方用户登录授权服务器,使用自己的用户私钥及该用户对应的角色私钥创建与另一用户的授权交易;
除权交易创建模块,用于发起方用户登录授权服务器,使用自己的角色密钥(更具体为角色私钥)交易解锁已确认的授权交易,创建与自己的交易,形成对另一用户的除权交易;
确权交易接收模块,用于接收方用户接收该交易信息,使用自己的用户私钥解锁该交易,并创建一新的确权交易反馈至原交易发起方对应的角色完成整个授权过程;
验证模块,设置于授权服务器内部,用于验证创建交易的用户身份及接收交易的用户身份;
区块链记录模块,用于记录创建交易用户及接收交易用户的交易信息。
进一步地,接收方用户通过自己的用户私钥对应的公钥地址来接收从发起方用户发送来的交易请求。
与现有技术相比,本发明所公开的一种基于区块链的权限管理方法及系统,达到了如下技术效果:
(1)、本发明方法的授权过程需要授权双方的电子签名,并且以交易的形式记录在区块链上。区块链的公开和不可篡改的特性保证了这样一份“授权合同”在任何时候都是合法可信的,只要保护好授权服务器,就不会发生权限失控的问题。同时,权限查询的操作将不再需要任何服务器参与,只需要查询区块链上的“授权合同”即可,实现了去中心化。
(2)、本发明可以应用到各类信息系统的权限管理,帐号密码的保存和衍生的一些应用中。对于安全性要求较高,且网络状态不稳定的场景尤其有利。由于采用了区块链技术,系统的去中心化使得各种操作对于网络状态的依赖程度较低,而系统的整体安全由密码学来保证,是一种成本低、安全可靠的方法。
附图说明
图1是本发明的实施例中对分层确定性钱包的结构示意图;
图2为本发明实施例中采用区块链技术交易流程的示意图。
图3是本发明实施例所述的一种基于区块链的权限管理系统的架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例为实施本发明的较佳实施方式,所述描述是以说明本发明的一般原则为目的,并非用以限定本发明的范围。本发明的保护范围应当以权利要求所界定者为准,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例所公开的一种基于区块链的权限管理方法,所述方法包括:
各用户自行产生各自相互独立的用户密钥;
授权服务器内部根据外部用户所处角色对应的权限高低将密钥以分层确定性钱包的方式分配给不同角色,形成不同的角色密钥;
发起方用户登录授权服务器,使用自己的用户私钥及该用户对应的角色私钥创建与另一用户的授权交易;或者,
发起方用户登录授权服务器,使用自己的角色密钥(更具体为角色私钥)交易解锁已确认的授权交易,创建与自己的交易,形成对另一用户的除权交易;
其中,所述授权服务器根据创建交易的用户的数字签名信息,确认该交易是否合法有效。
所述授权交易的过程具体包括:
发起方用户创建与另一用户的授权交易后,将交易信息发送给接收方用户,接收方用户接收该交易信息,使用自己的用户私钥解锁该交易,并创建一新的确权交易反馈至原交易发起方对应的角色,完成整个授权过程。
同样地,所述授权服务器根据接收授权交易及创建新确权交易的用户的数字签名信息,确认该交易是否合法有效;所述用户接收授权交易及创建新的确权交易的形式均记录在区块链中。
在对本发明的方法进行具体描述之前,先对本发明的用户密钥和角色密钥的概念进行详述。本发明所述的密钥,包含两部分,即:
一、内部的密钥,即保存在服务器内部的密钥,是指“角色”的密钥;
二、外部的密钥,即用户自己生成并保存的密钥,是指“人”的密钥;
每一个人都会对应某一角色。举例来说,张三为某公司董事长,则设定张三本人为d,设定的董事长角色为D,密钥一般都是成对出现的,张三本人有自己的密钥对:公钥dK和私钥dk,该密钥对掌握在d手里;张三作为董事长,也能使用董事长角色的密钥对:公钥DK和私钥Dk,保存在授权服务器里。
本发明的其中一个实际应用场景是:当需要为某个人m分配权限总经理权限时,具有董事长角色D的张三d登录授权服务器,启用D的角色私钥Dk和自己的用户私钥dk做签名,即发生一笔交易,交易的接受者就是m(交易接受者的地址就是从m的公钥生成的地址)。m用他自己本人的密钥(具体为本人的用户私钥)解锁这笔交易就接受了任命。
下面来对本发明的具体实施过程进行分段描述。
本发明实施例所述方法主要包含:密钥的生成和分发、基于区块链交易的权限管控记录、分级管控和分支管控、双方确认签名四个过程。
参照图1所示,在密钥的生成与分发过程中,本发明实施例的密钥分配分为授权服务器内部和授权服务器外部两个部分。授权服务器内部采用比特币BIP0032/BIP0044中定义的分层钱包技术,以“角色”为单位进行生成和分发,此处的“职位”是指按照权限大小而设置不同的职位,比如A属于董事长,B、C属于职位对等的总经理,D、E属于总经理B管辖,F、G、H属于总经理C管辖,D、E、F、G、H五者的职位对等,此处服务器内部的分发密钥的依据是角色大小,一种职位只有一对角色密钥。在本发明实施例中,对角色密钥的分发是以确定性钱包的方式。确定性钱包被开发成更容易从单个“种子”中生成许多关键的钥匙,最高级的来自确定性钱包的形式是通过BIP0032标准生成的。分层确定性钱包包含从随机数所生成的父钥匙(相当于本发明的主密钥),这种父钥匙可以生成子钥匙(相当于本发明的一级子密钥)的序列,这些子钥匙又可以衍生出孙钥匙,以此无穷类推,可衍生出不同角色的密钥。授权服务器外部的所有人员,如上述的用户A至H也拥有唯一的属于他们自己的用户密钥,每个用户密钥间相互独立,没有逻辑关系。
比特币BIP0032标准中提出了“分层确定性钱包”(the hierarchicaldeterministic wallet,简称HD钱包)的概念。在HD钱包中,有一个128bit到256bit的随机数作为“种子”,钱包中所有的私钥都衍生自这个种子,形成一个分层的树状结构。HD钱包的优势主要有三个:只要备份“种子”就能还原整个密钥树;树状结构在应用中可以隐含额外的组织含义,例如某个分支用作收入,另一个用作消费;并且,在HD钱包中子公钥可由父公钥直接衍生,这就允许在不接触私钥的情况下(意味着不需要一个安全的运行环境),衍生出一系列合法的公钥。
本发明实施例中,所述随机种子包含多个不同128bit至256bit的随机数,而存储所述随机种子的数据库则不接入网络,类似“冷隔离”的手段,防止网络篡改,造成数据被盗产生风险,且随机种子采用多备份的物理存储,类似将随机种子写在几张纸上且保存在不同的保险箱的方式,防止遗失。顶层主密钥由随机种子生成,先由随机种子获取顶层主密钥,也可称为顶层根密码,其中顶层根密码作为主密钥,将严格保密,所述主密钥衍生出第一级子密钥对分配给权限等级最高的角色(比如董事长),该第一级子密钥对衍生出第二级子密钥对分配给次权限等级的角色(比如总经理,可以有多个),以此类推,第二级子密钥对衍生出第三级子密钥对分配给下一级别的角色(比如各分管部门经理),其中,各角色对应的密钥对由其上一级角色对应的密钥对衍生而成。
也就是说,上层角色(职位)密钥根据自己的密钥、父链编码和索引码生成出子密钥,并公开该角色(职位)的公钥,并根据需求分发给下属角色(职位)。下属角色(职位)在获取子密钥对后,用子密钥对生成自己的角色私钥,公开自己的角色公钥。密钥的分配以“职位”为单位,一个职位只有一对密钥(比如就有多个总经理,但归属于“总经理”职位的密钥只有一对)。
由于采用了确定性分层钱包的方案在授权服务器内部分配密钥,因此可以使用密钥天生的“分级”和“分支”属性对权限进行管控。下级密钥无法推出上级密钥,而上级密钥可以推出所有的下级密钥。同时,同级密钥之间相互隔离,无法推出兄弟密钥的下级密钥。这正好符合了权限管控上分级需求和分支需求:上级可以管控所有下级的权限,而同级别的不同上级无法干涉其他上级的下属权限。
在本实施例的方法中,所有的权限管控记录都以区块链交易的形式记录在区块链上。任何一个“授权”和“除权”的操作都分为两个交易进行:一个是授权(除权)人发起一份授权(除权),一个是被授权(除权)人接受。每次记录的系统操作,都需要由双方的数字签名才可以被系统接纳为合法,并加入区块链系统中。一个操作分为两个交易进行,单一交易不构成授权(除权)记录。所有被区块链网络确认的操作信息将是可溯源、可验证且不可修改的。系统记录采用分布式存储,单一节点的失效不影响整个授权和验证系统的运行。和现有采用区块链的系统相比,这种权限管理的信息完全以区块链交易的形式表达,而不是存储在交易中,提高了数据的可信度和安全性。
为了保护授权双方的利益,本实施例中的方法将一个授权(除权)操作分拆层两个交易进行,各需要双方的电子签名。这样,任何一个合法的授权(除权)操作都类似于一封双边的“合同”,需要双方共同确认之后才能生效。
为了更详细说明本发明的实施过程及原理,下面来列举一应用实施例。
我们假设公司中有如下几个实体:
具备基本公司架构和供应链硬件条件的电子商务平台J,公司中有:
a)董事长d
b)总经理m
c)仓储员工s、物流员工t1和t2、财务员工f
三层结构属上下级关系,同级员工权限相等。
上述实体集合是一个公司的极简子集,实际公司中,可能有多个总经理分管不同部门,每个部门有更细化的分层结构,一个部门中的员工也远不止一位。但本方案并不受限于公司层级和人员数量,因此方案完全可以推广至大部分情况。
1.1密钥分配方案
方案中,供应链中的每个实体都有一对密钥。以前文描述的极简供应链为例,密钥的分配方式如下:
1)董事长、总经理、员工各有一对相互独立的密钥(xk,xK)x∈{d,m,s,t1,t2,f}。
2)电子商务平台J的授权服务器Serv内部也采用分层钱包技术,密钥分配以“职位”为单位。由随机种子获取主密钥(Ak,AK),(Ak,AK)衍生出第一级子密钥对(Dk,DK)分配给“董事长”职位(这里不是d本人),(Dk,DK)衍生出“总经理”的密钥对(Mk,Mk),(Mk,MK)衍生出三对底层职位的密钥对(Xk,XK)x∈{S,T,F}。这些角色对应的私钥仅保存在Serv内部,因此Serv必须保证安全。
1.2权限管控
本方案中,权限管控信息不再直接存储于数据库,而是以交易的形式放置于链上。上一节中,授权服务器Serv保存了一个以职位为单位的分层钱包密钥树,这样一个“授权”或“除权”的操作就可以一个交易的形式表达。
现假设公司新聘用了一位总经理m,需要在系统中对这一任命进行记录。详细流程举例描述如下:
1)交易A:首先,同样类比于比特币的“创币交易”,授权服务器Serv内部创建这样一份交易A。交易A的输入为空,输出的解锁条件为需要d(董事长本人)和D(对应角色)的多重签名。交易A相当于一份还未经董事长签名、且未填写任命对象的总经理委任书。
2)交易B:现在需要授予m总经理权限,因此董事长d登录Serv,Serv验证身份后,联合dk(用户d私钥)和Dk(角色D私钥)解锁这份“委任书”(交易A),并创建一个新的交易B,输出的解锁条件为需要m的签名。
3)交易C:接下来,m决定接受这份“委任书”。于是他使用mk(用户m私钥)解锁交易B,然后创建一个新的交易C,输出的解锁条件为需要D(董事长角色)的签名。
这样,整个授权的流程就完成了。这个授权记录完整地存储在区块链中,任何时候都可以查阅到这份公开的“委任书”上的委任人、委任对象和委任时间。只要交易C还未被Dk解锁(相当于比特币系统中,由m转给D的钱还未被D花费),m就可以确认为该公司的总经理。
解除职务的流程如下:
4)交易D:董事长d登录Serv,Serv验证身份后,使用Dk(角色私钥)解锁交易C,并创建交易D,输出的解锁条件设置为需要d(董事长本人)的签名,需要说明的是,在除权操作中,董事长角色私钥Dk把交易C解锁,即免除了m的总经理权限,而做出免除动作的是d这个人。交易D就相当于一份“解聘书”,任何时候都可以在链上查询到“解聘书”的解聘时间和解聘书签署人,也能确认m不再担任公司的总经理一职。
本发明由于借鉴了“比特币系统”中的分层钱包技术,因此职位的上下级关系在密钥分配阶段就已经确定,只有上级的职位可以签署下级的委任书(不一定是相邻下级,例如董事长可以直接签署物流员工的委任书)。同理,也只有上级职位可以解聘下级员工。分层钱包内同级密钥间相互隔离,因此由不同父密钥衍生出的同级别子密钥不可以签署其他子密钥的下级职位委任书,例如如果有两个总经理职位A和B,A不可以签署B衍生出的下级职位委任书。这种机制和大部分实际公司的内部职位管理制度吻合。
本发明所述的一种基于区块链的权限管理方法,解决了传统的管控系统中,系统中心化导致性能和安全性高度依赖中心处理器,权限信息不够公开透明,无法同时保证双方的权益等问题。
此外,本领域技术人员应理解,实现上述实施例方法中的部分或全部步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括上述实施例方法的相应步骤,而所述的存储介质可以是:ROM/RAM、磁碟、光盘、存储卡等。因此,参照图3所示,与上述方法相对应的,本发明还同时提供一种基于区块链的权限管理系统,该系统包括:
密钥分配模块,用于根据授权服务器内部及外部分配不同的密钥,其中,授权服务器外部的系统用户自行生成各自独立的用户密钥,授权服务器内部则根据系统用户所处角色对应的权限高低将密钥以分层确定性钱包的方式分配给不同角色,形成不同的角色密钥;
授权交易创建模块,用于发起方用户登录授权服务器,使用自己的用户私钥及该用户对应的角色私钥创建与另一用户的授权交易;
除权交易创建模块,用于发起方用户登录授权服务器,使用自己的角色秘钥(更具体为角色私钥)交易解锁已确认的授权交易,创建与自己的交易,形成对另一用户的除权交易;
确权交易接收模块,用于接收方用户接收该交易信息,使用自己的用户私钥解锁该交易,并创建一新的确权交易反馈至原交易发起方对应的角色,完成整个授权过程;
验证模块,设置于授权服务器内部,用于验证创建交易的用户身份及接收交易的用户身份;
区块链记录模块,用于记录创建交易用户及接收交易用户的交易信息,交易信息是以区块链的模式记录,公开透明。
上述系统对应的模块用以执行本发明的前一实施例所述的方法,故本实施例中的系统未详解之处,请参照前一实施例方法所述的内容。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种基于区块链的权限管理方法,其特征在于,所述方法包括:
各用户自行产生各自相互独立的用户密钥;
授权服务器内部根据外部用户所处角色对应的权限高低将密钥以分层确定性钱包的方式分配给不同角色,形成不同的角色密钥;
发起方用户登录授权服务器,使用自己的用户私钥及该用户对应的角色私钥创建与另一用户的授权交易;或者,
发起方用户登录授权服务器,使用自己的角色密钥交易解锁已确认的授权交易,创建与自己的交易,形成对另一用户的除权交易;
其中,所述授权服务器根据创建交易的用户的数字签名信息,确认该交易是否合法有效;
上述用户创建交易的形式均记录在区块链中。
2.根据权利要求1所述的方法,其特征在于,所述授权交易进一步包括:发起方用户创建与另一用户的授权交易后,将交易信息发送给接收方用户,接收方用户接收该交易信息,使用自己的用户私钥解锁该交易,并创建一新的确权交易反馈至原交易发起方对应的角色,完成整个授权过程。
3.根据权利要求2所述的方法,其特征在于,所述授权服务器根据接收授权交易及创建新确权交易的用户的数字签名信息,确认该交易是否合法有效;所述用户接收授权交易及创建新的确权交易的形式均记录在区块链中。
4.根据权利要求1所述的方法,其特征在于,根据分层确定性钱包,形成不同的角色秘钥的方法具体包括:由随机种子获取顶层主密钥对,所述主密钥对衍生出第一级子密钥对分配给权限等级最高的角色,该第一级子密钥对衍生出第二级子密钥对分配给次权限等级的角色,其中,各角色对应的密钥对由其上一级角色对应的密钥对衍生而成。
5.根据权利要求4所述的方法,其特征在于,同级角色对应的子密钥对相互隔离,同级角色的子密钥对不可衍生不属于该角色下属级别的子密钥。
6.根据权利要求1所述的方法,其特征在于,用户创建某交易需要该创建的用户本人的数字签名,用户接受某交易也需要该接受的用户本人的数字签名,授权服务器检测到创建交易和接受交易的用户均签名合格后,认定该交易合法,并将交易记录存储到区块链中。
7.根据权利要求4所述的方法,其特征在于,所述随机种子包含128bit至256bit的随机数,存储所述随机种子的数据库不接入网络,且采用多备份的物理存储。
8.一种基于区块链的权限管理系统,其特征在于,所述系统包括:
密钥分配模块,用于根据授权服务器内部及外部分配不同的密钥,其中,授权服务器外部的系统用户自行生成各自独立的用户密钥,授权服务器内部则根据系统用户所处角色对应的权限高低将密钥以分层确定性钱包的方式分配给不同角色,形成不同的角色密钥;
授权交易创建模块,用于发起方用户登录授权服务器,使用自己的用户私钥及该用户对应的角色私钥创建与另一用户的授权交易;
除权交易创建模块,用于发起方用户登录授权服务器,使用自己的角色密钥交易解锁已确认的授权交易,创建与自己的交易,形成对另一用户的除权交易;
确权交易接收模块,用于接收方用户接收该交易信息,使用自己的用户私钥解锁该交易,并创建一新的确权交易反馈至原交易发起方对应的角色,完成整个授权过程;
验证模块,设置于授权服务器内部,用于验证创建交易的用户身份及接收交易的用户身份;
区块链记录模块,用于记录创建交易用户及接收交易用户的交易信息。
9.根据权利要求8所述的系统,其特征在于,接收方用户通过自己的用户私钥对应的公钥地址来接收从发起方用户发送来的交易请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810007715.8A CN108229962B (zh) | 2018-01-04 | 2018-01-04 | 基于区块链的权限管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810007715.8A CN108229962B (zh) | 2018-01-04 | 2018-01-04 | 基于区块链的权限管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108229962A true CN108229962A (zh) | 2018-06-29 |
| CN108229962B CN108229962B (zh) | 2021-04-06 |
Family
ID=62642880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810007715.8A Active CN108229962B (zh) | 2018-01-04 | 2018-01-04 | 基于区块链的权限管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108229962B (zh) |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965478A (zh) * | 2018-09-03 | 2018-12-07 | 北京许继电气有限公司 | 基于区块链技术的分布式数据采集方法和系统 |
| CN109034571A (zh) * | 2018-07-12 | 2018-12-18 | 天津中教优效教育科技有限公司 | 基于区块链的教育评价方法、平台、存储介质和系统 |
| CN109218012A (zh) * | 2018-09-11 | 2019-01-15 | 重庆邮电大学 | 一种具有集中器的分布式智能电表售电方法和系统 |
| CN109241763A (zh) * | 2018-07-04 | 2019-01-18 | 武汉康慧然信息技术咨询有限公司 | 基于权限下发的区块生成方法 |
| CN109685506A (zh) * | 2018-12-25 | 2019-04-26 | 杭州复杂美科技有限公司 | 多重签名账户生成方法和多重签名账户的签名确认方法 |
| CN109741511A (zh) * | 2018-12-26 | 2019-05-10 | 复旦大学 | 基于区块链和层次化确定性钱包的投票系统及其使用方法 |
| CN110033258A (zh) * | 2018-11-12 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 基于区块链的业务数据加密方法及装置 |
| CN110300112A (zh) * | 2019-07-02 | 2019-10-01 | 石家庄铁道大学 | 区块链密钥分层管理方法 |
| CN110310011A (zh) * | 2019-05-31 | 2019-10-08 | 北京随信云链科技有限公司 | 一种基于区块链的资产管理系统及其方法 |
| CN110569291A (zh) * | 2019-09-16 | 2019-12-13 | 东信和平科技股份有限公司 | 一种数字货币钱包的密钥数据查询获取方法及装置 |
| CN110599342A (zh) * | 2019-09-23 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于区块链的身份信息的授权方法及装置 |
| CN111027973A (zh) * | 2019-12-04 | 2020-04-17 | 杭州复杂美科技有限公司 | 转账证明授权提交方法、设备和存储介质 |
| CN111259422A (zh) * | 2020-01-15 | 2020-06-09 | 厦门顺势共识信息科技有限公司 | 一种自定义权限的区块链账户体系构建方法 |
| CN111311258A (zh) * | 2020-01-20 | 2020-06-19 | 布比(北京)网络技术有限公司 | 基于区块链的可信交易方法、装置、系统、设备及介质 |
| CN111353780A (zh) * | 2020-02-28 | 2020-06-30 | 南方科技大学 | 授权验证方法、装置及存储介质 |
| WO2020151308A1 (zh) * | 2019-01-24 | 2020-07-30 | 平安科技(深圳)有限公司 | 医疗记录权限管理方法、装置、可读存储介质及服务器 |
| CN111814176A (zh) * | 2020-05-29 | 2020-10-23 | 上海申铁信息工程有限公司 | 一种基于区块链的数据访问权限控制方法和装置 |
| CN111970126A (zh) * | 2020-08-31 | 2020-11-20 | 北京书生网络技术有限公司 | 密钥管理方法及装置 |
| CN112001717A (zh) * | 2020-10-27 | 2020-11-27 | 四川泰立科技股份有限公司 | 一种数字电视的加密货币计算方法、系统及存储介质 |
| WO2020238958A1 (zh) * | 2019-05-31 | 2020-12-03 | 创新先进技术有限公司 | 基于合约状态的修改次序实现动态加密的方法及装置 |
| CN112187454A (zh) * | 2020-09-14 | 2021-01-05 | 国网浙江省电力有限公司信息通信分公司 | 基于区块链的密钥管理方法及系统 |
| CN112215609A (zh) * | 2020-11-05 | 2021-01-12 | 深圳市瀚兰区块链地产有限公司 | 基于超级账本的房产用户身份认证方法、装置和电子设备 |
| CN112422287A (zh) * | 2021-01-22 | 2021-02-26 | 杭州城市大数据运营有限公司 | 基于密码学的多层级角色权限控制方法和装置 |
| CN113079006A (zh) * | 2021-03-29 | 2021-07-06 | 北京深思数盾科技股份有限公司 | 针对密钥的信息处理方法、电子设备及存储介质 |
| CN113592509A (zh) * | 2021-06-22 | 2021-11-02 | 北京农业信息技术研究中心 | 一种基于供应链的数据追溯监管方法及系统 |
| CN114124395A (zh) * | 2020-08-31 | 2022-03-01 | 北京书生网络技术有限公司 | 密钥管理方法及装置 |
| CN116384999A (zh) * | 2023-04-19 | 2023-07-04 | 北方工业大学 | 轻量级支持隐形地址的分层确定性钱包模型及方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170046698A1 (en) * | 2015-08-13 | 2017-02-16 | The Toronto-Dominion Bank | Systems and methods for establishing and enforcing transaction-based restrictions using hybrid public-private blockchain ledgers |
| CN106778343A (zh) * | 2016-12-12 | 2017-05-31 | 武汉优聘科技有限公司 | 一种基于区块链的涉及隐私数据的数据共享方法 |
| CN106796688A (zh) * | 2016-12-26 | 2017-05-31 | 深圳前海达闼云端智能科技有限公司 | 区块链的权限控制方法、装置、系统及节点设备 |
| CN106920080A (zh) * | 2017-02-15 | 2017-07-04 | 捷德(中国)信息科技有限公司 | 数字货币的账户管理方法和系统 |
| US20170213221A1 (en) * | 2016-01-26 | 2017-07-27 | Bank Of America Corporation | System for tracking and validation of multiple instances of an entity in a process data network |
| CN107181765A (zh) * | 2017-07-25 | 2017-09-19 | 光载无限(北京)科技有限公司 | 基于区块链技术的网络数字身份认证方法 |
| CN107453865A (zh) * | 2017-07-18 | 2017-12-08 | 众安信息技术服务有限公司 | 一种保护数据发送源隐私的多方数据共享方法及系统 |
| CN107480555A (zh) * | 2017-08-01 | 2017-12-15 | 中国联合网络通信集团有限公司 | 基于区块链的数据库访问权限控制方法及设备 |
| CN107508812A (zh) * | 2017-08-29 | 2017-12-22 | 广东工业大学 | 一种工控网络数据存储方法、调用方法及系统 |
-
2018
- 2018-01-04 CN CN201810007715.8A patent/CN108229962B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170046698A1 (en) * | 2015-08-13 | 2017-02-16 | The Toronto-Dominion Bank | Systems and methods for establishing and enforcing transaction-based restrictions using hybrid public-private blockchain ledgers |
| US20170213221A1 (en) * | 2016-01-26 | 2017-07-27 | Bank Of America Corporation | System for tracking and validation of multiple instances of an entity in a process data network |
| CN106778343A (zh) * | 2016-12-12 | 2017-05-31 | 武汉优聘科技有限公司 | 一种基于区块链的涉及隐私数据的数据共享方法 |
| CN106796688A (zh) * | 2016-12-26 | 2017-05-31 | 深圳前海达闼云端智能科技有限公司 | 区块链的权限控制方法、装置、系统及节点设备 |
| CN106920080A (zh) * | 2017-02-15 | 2017-07-04 | 捷德(中国)信息科技有限公司 | 数字货币的账户管理方法和系统 |
| CN107453865A (zh) * | 2017-07-18 | 2017-12-08 | 众安信息技术服务有限公司 | 一种保护数据发送源隐私的多方数据共享方法及系统 |
| CN107181765A (zh) * | 2017-07-25 | 2017-09-19 | 光载无限(北京)科技有限公司 | 基于区块链技术的网络数字身份认证方法 |
| CN107480555A (zh) * | 2017-08-01 | 2017-12-15 | 中国联合网络通信集团有限公司 | 基于区块链的数据库访问权限控制方法及设备 |
| CN107508812A (zh) * | 2017-08-29 | 2017-12-22 | 广东工业大学 | 一种工控网络数据存储方法、调用方法及系统 |
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109241763A (zh) * | 2018-07-04 | 2019-01-18 | 武汉康慧然信息技术咨询有限公司 | 基于权限下发的区块生成方法 |
| CN109034571A (zh) * | 2018-07-12 | 2018-12-18 | 天津中教优效教育科技有限公司 | 基于区块链的教育评价方法、平台、存储介质和系统 |
| CN108965478A (zh) * | 2018-09-03 | 2018-12-07 | 北京许继电气有限公司 | 基于区块链技术的分布式数据采集方法和系统 |
| CN109218012A (zh) * | 2018-09-11 | 2019-01-15 | 重庆邮电大学 | 一种具有集中器的分布式智能电表售电方法和系统 |
| CN109218012B (zh) * | 2018-09-11 | 2021-07-16 | 重庆邮电大学 | 一种具有集中器的分布式智能电表售电方法和系统 |
| US11425108B2 (en) | 2018-11-12 | 2022-08-23 | Advanced New Technologies Co., Ltd. | Blockchain-based service data encryption methods and apparatuses |
| TWI714219B (zh) * | 2018-11-12 | 2020-12-21 | 開曼群島商創新先進技術有限公司 | 基於區塊鏈的業務資料加密方法及裝置 |
| CN110033258A (zh) * | 2018-11-12 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 基于区块链的业务数据加密方法及装置 |
| CN110033258B (zh) * | 2018-11-12 | 2021-03-23 | 创新先进技术有限公司 | 基于区块链的业务数据加密方法及装置 |
| US11102185B2 (en) | 2018-11-12 | 2021-08-24 | Advanced New Technologies Co., Ltd. | Blockchain-based service data encryption methods and apparatuses |
| CN109685506A (zh) * | 2018-12-25 | 2019-04-26 | 杭州复杂美科技有限公司 | 多重签名账户生成方法和多重签名账户的签名确认方法 |
| CN109685506B (zh) * | 2018-12-25 | 2020-12-11 | 杭州复杂美科技有限公司 | 多重签名账户生成方法和多重签名账户的签名确认方法 |
| CN109741511A (zh) * | 2018-12-26 | 2019-05-10 | 复旦大学 | 基于区块链和层次化确定性钱包的投票系统及其使用方法 |
| WO2020151308A1 (zh) * | 2019-01-24 | 2020-07-30 | 平安科技(深圳)有限公司 | 医疗记录权限管理方法、装置、可读存储介质及服务器 |
| CN110310011B (zh) * | 2019-05-31 | 2024-01-26 | 北京随信云链科技有限公司 | 一种基于区块链的资产管理系统及其方法 |
| CN110310011A (zh) * | 2019-05-31 | 2019-10-08 | 北京随信云链科技有限公司 | 一种基于区块链的资产管理系统及其方法 |
| WO2020238958A1 (zh) * | 2019-05-31 | 2020-12-03 | 创新先进技术有限公司 | 基于合约状态的修改次序实现动态加密的方法及装置 |
| CN110300112B (zh) * | 2019-07-02 | 2022-05-10 | 石家庄铁道大学 | 区块链密钥分层管理方法 |
| CN110300112A (zh) * | 2019-07-02 | 2019-10-01 | 石家庄铁道大学 | 区块链密钥分层管理方法 |
| CN110569291B (zh) * | 2019-09-16 | 2022-04-15 | 东信和平科技股份有限公司 | 一种数字货币钱包的密钥数据查询获取方法及装置 |
| CN110569291A (zh) * | 2019-09-16 | 2019-12-13 | 东信和平科技股份有限公司 | 一种数字货币钱包的密钥数据查询获取方法及装置 |
| CN110599342A (zh) * | 2019-09-23 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于区块链的身份信息的授权方法及装置 |
| CN111027973A (zh) * | 2019-12-04 | 2020-04-17 | 杭州复杂美科技有限公司 | 转账证明授权提交方法、设备和存储介质 |
| CN111259422A (zh) * | 2020-01-15 | 2020-06-09 | 厦门顺势共识信息科技有限公司 | 一种自定义权限的区块链账户体系构建方法 |
| CN111311258A (zh) * | 2020-01-20 | 2020-06-19 | 布比(北京)网络技术有限公司 | 基于区块链的可信交易方法、装置、系统、设备及介质 |
| CN111353780A (zh) * | 2020-02-28 | 2020-06-30 | 南方科技大学 | 授权验证方法、装置及存储介质 |
| CN111353780B (zh) * | 2020-02-28 | 2023-10-17 | 南方科技大学 | 授权验证方法、装置及存储介质 |
| CN111814176A (zh) * | 2020-05-29 | 2020-10-23 | 上海申铁信息工程有限公司 | 一种基于区块链的数据访问权限控制方法和装置 |
| CN114124395A (zh) * | 2020-08-31 | 2022-03-01 | 北京书生网络技术有限公司 | 密钥管理方法及装置 |
| CN114124395B (zh) * | 2020-08-31 | 2024-04-12 | 北京书生网络技术有限公司 | 密钥管理方法及装置 |
| CN111970126A (zh) * | 2020-08-31 | 2020-11-20 | 北京书生网络技术有限公司 | 密钥管理方法及装置 |
| CN112187454A (zh) * | 2020-09-14 | 2021-01-05 | 国网浙江省电力有限公司信息通信分公司 | 基于区块链的密钥管理方法及系统 |
| CN112001717A (zh) * | 2020-10-27 | 2020-11-27 | 四川泰立科技股份有限公司 | 一种数字电视的加密货币计算方法、系统及存储介质 |
| CN112215609A (zh) * | 2020-11-05 | 2021-01-12 | 深圳市瀚兰区块链地产有限公司 | 基于超级账本的房产用户身份认证方法、装置和电子设备 |
| CN112422287A (zh) * | 2021-01-22 | 2021-02-26 | 杭州城市大数据运营有限公司 | 基于密码学的多层级角色权限控制方法和装置 |
| CN113079006A (zh) * | 2021-03-29 | 2021-07-06 | 北京深思数盾科技股份有限公司 | 针对密钥的信息处理方法、电子设备及存储介质 |
| CN113079006B (zh) * | 2021-03-29 | 2021-11-30 | 上海纬百科技有限公司 | 针对密钥的信息处理方法、电子设备及存储介质 |
| CN113592509B (zh) * | 2021-06-22 | 2023-09-12 | 北京农业信息技术研究中心 | 一种基于供应链的数据追溯监管方法及系统 |
| CN113592509A (zh) * | 2021-06-22 | 2021-11-02 | 北京农业信息技术研究中心 | 一种基于供应链的数据追溯监管方法及系统 |
| CN116384999A (zh) * | 2023-04-19 | 2023-07-04 | 北方工业大学 | 轻量级支持隐形地址的分层确定性钱包模型及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108229962B (zh) | 2021-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108229962A (zh) | 基于区块链的权限管理方法及系统 | |
| US11496310B2 (en) | Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication | |
| US11689366B2 (en) | Cryptoasset custodial system with vault-specific rules governing different actions allowed for different vaults | |
| CN108234515B (zh) | 一种基于智能合约的自认证数字身份管理系统及其方法 | |
| CN101107611B (zh) | 私有的和受控的所有权共享的方法、设备和系统 | |
| CN109639632A (zh) | 基于区块链的用户信息管理方法、电子设备及存储介质 | |
| CN109951498A (zh) | 一种基于密文策略属性加密的区块链访问控制方法及装置 | |
| CN107070938A (zh) | 基于区块链的数据访问控制系统 | |
| CN106330452A (zh) | 一种用于区块链的安全网络附加装置及方法 | |
| CN106778343A (zh) | 一种基于区块链的涉及隐私数据的数据共享方法 | |
| KR19990022451A (ko) | 다단계 디지털 서명 방법 및 시스템 | |
| CN108288157A (zh) | 一种基于金融区块链技术的供应链管理方法 | |
| CN110149304A (zh) | 一种适用于联盟链的支持身份可追踪的高效匿名认证方法和系统 | |
| US20200259646A1 (en) | System and method for storing and managing keys for signing transactions using key of cluster managed in trusted execution environment | |
| CN112149073B (zh) | 一种锥体区块链管理方法及系统 | |
| JP2005525731A (ja) | 物理アクセス制御 | |
| CN111506590A (zh) | 一种数字作品版权确权与交易可信记录管理方法 | |
| CN116324844A (zh) | 用于联合权限和分级密钥管理的方法、装置和计算机可读介质 | |
| CN109859846A (zh) | 一种基于私有链的个人健康档案存储方法 | |
| CN112994872B (zh) | 一种移动终端平台的密钥管理方法及系统 | |
| CN103858377A (zh) | 用于管理和控制来自组织成结构化集合的不同身份域的数据的方法 | |
| CN114285867B (zh) | 基于联盟链与属性加密的空铁联运数据共享系统 | |
| CN114124392B (zh) | 支持访问控制的数据可控流通方法、系统、设备和介质 | |
| CN109889343A (zh) | 电子发票流转控制方法及装置 | |
| Sabzmakan et al. | An improved distributed access control model in cloud computing by blockchain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220919 Address after: 518052 Room 201, building A, 1 front Bay Road, Shenzhen Qianhai cooperation zone, Shenzhen, Guangdong Patentee after: ZHONGAN INFORMATION TECHNOLOGY SERVICE Co.,Ltd. Patentee after: FUDAN University Address before: 518000 Room 201, building A, No. 1, Qian Wan Road, Qianhai Shenzhen Hong Kong cooperation zone, Shenzhen, Guangdong (Shenzhen Qianhai business secretary Co., Ltd.) Patentee before: ZHONGAN INFORMATION TECHNOLOGY SERVICE Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240310 Address after: Room 1179, W Zone, 11th Floor, Building 1, No. 158 Shuanglian Road, Qingpu District, Shanghai, 201702 Patentee after: Shanghai Zhongan Information Technology Service Co.,Ltd. Country or region after: China Patentee after: FUDAN University Address before: 518052 Room 201, building A, 1 front Bay Road, Shenzhen Qianhai cooperation zone, Shenzhen, Guangdong Patentee before: ZHONGAN INFORMATION TECHNOLOGY SERVICE Co.,Ltd. Country or region before: China Patentee before: FUDAN University |
|
| TR01 | Transfer of patent right |