CN108768988B

CN108768988B - 区块链访问控制方法、设备及计算机可读存储介质

Info

Publication number: CN108768988B
Application number: CN201810477044.1A
Authority: CN
Inventors: 陈宇杰; 石翔; 李辉忠; 张开翔; 范瑞彬
Original assignee: WeBank Co Ltd
Current assignee: WeBank Co Ltd
Priority date: 2018-05-17
Filing date: 2018-05-17
Publication date: 2021-01-05
Anticipated expiration: 2038-05-17
Also published as: CN108768988A

Abstract

本发明公开了一种区块链访问控制方法、设备及计算机可读存储介质，本发明的区块链系统通过群签名算法完成了角色对应机构成员的身份认证，用数字信封技术，实现了对加密数据的访问；通过群与角色的概念，一个群对应一个角色，一个角色可对应多个机构成员，使区块链系统支持多用户访问数据的场景，相对于传统的基于关系型数据库的数据访问系统，本申请中的区块链系统可扩展性强，能够简便实现跨机构的访问控制；且本实施例中群签名算法的签名操作和验证群签名的验证时间与群成员数量无关，提高了数据访问过程中，区块链系统的运行效率。

Description

区块链访问控制方法、设备及计算机可读存储介质

技术领域

本发明涉及区块链技术领域，尤其涉及一种区块链访问控制方法、设备及计算机可读存储介质。

背景技术

区块链是由一系列区块组成的一条链，每个块上除了记录本块的数据还会记录上一块的Hash(哈希)值，通过这种方式组成一条链。区块链的核心理念有两个，一个是密码学技术，另一个是去中心化思想，基于这两个理念做到区块链上的历史信息无法被篡改。一个区块由块头和块体组成，其中块头定义包括该区块高度，上一个区块的哈希值等重要字段，而块体主要存储交易数据。区块链系统因其去中心化、数据不可篡改、不可抵赖、公开透明等特性被广泛应用于实现加密货币和构建去中心化应用。由于区块链系统维护的公共账簿对任何人可见，隐私保护和权限控制就尤为重要。

目前，可在区块链上通过智能合约实现区块链数据的访问，但是会存在智能合约系统过于复杂、系统运行效率低等问题；或者通过采用加密算法和签名算法来保障用户数据的机密性，并控制对用户数据的访问，主要用于解决区块链系统中心化部署方式导致用户数据泄露的问题，但是此种方法仅做到了对单个用户数据访问的场景，没有考虑到多用户数据共享的场景。由此可知，传统的基于关系型数据库的数据访问系统复杂度高、运行效率低；且传统数据访问系统是中心化系统，其他机构用户访问本机构资源的访问控制系统比较复杂，扩展性不强。

发明内容

本发明的主要目的在于提供一种区块链访问控制方法、设备及计算机可读存储介质，旨在解决传统的基于关系型数据库的数据访问系统运行效率低和扩展性不强的技术问题。

为实现上述目的，本发明提供一种区块链访问控制方法，所述区块链访问控制方法包括步骤：

当接收到区块链中机构成员客户端发送的群签名，通过预设的群公钥验证所述群签名是否处于有效状态，其中，所述群签名由所述机构成员所在客户端将机构成员的访问信息和群成员私钥输入至群签名算法中所得的；

若所述群签名处于有效状态，且根据角色与访问权限之间的映射关系确定所述机构成员对应角色存在访问区块链数据的访问权限，则根据所述机构成员的解密私钥解密预设密文串，得到访问区块链数据的加密密钥；

根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员。

优选地，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之后，还包括:

当侦测到撤销所述机构成员的撤销指令后，根据所述撤销指令撤销所述机构成员的群签名权限，并将所述机构成员对应的预设密文串设置为无效状态。

优选地，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之后，还包括：

当检测到区块链数据被异常访问后，从所述区块链数据所在的区块链中获取异常访问对应机构成员的群签名；

根据异常访问对应机构成员的群签名，通过群管理员私钥获取异常访问对应机构成员的身份信息，以根据所述身份信息确定异常访问对应的机构成员。

优选地，所述当接收到区块链中机构成员客户端发送的群签名，通过预设的群公钥验证所述群签名是否处于有效状态的步骤之前，还包括：

当侦测到创建角色的创建请求后，根据所述创建请求创建角色对应群的群公钥和群管理员私钥；

将所述群公钥与角色之间的映射关系部署到角色映射合约中，并为所述角色分配访问权限，将所述访问权限和所述角色之间的映射关系部署到访问控制层的智能合约中。

当接收到角色授权请求后，检测所述角色授权请求是否通过审核；

若所述角色授权请求通过审核，则获取与所述角色对应的群管理员私钥，根据所述群管理员私钥为所述角色对应的机构成员生成群成员私钥，并将所述群成员私钥返回给所述角色授权请求对应的机构成员；

加密所述机构成员对应角色可访问数据的加密密钥，生成预设密文串，并将所述预设密文串存储至区块链中。

优选地，所述若所述群签名处于有效状态，且根据角色与访问权限之间的映射关系确定所述机构成员对应角色存在访问区块链数据的访问权限，则根据所述机构成员的解密私钥解密预设密文串，得到访问区块链数据的加密密钥的步骤包括：

若所述群签名处于有效状态，且根据角色与访问权限之间的映射关系确定所述机构成员对应角色存在访问区块链数据的访问权限，则获取预设密文串；

获取所述预设密文串中的第一哈希值，并检验所述第一哈希值是否是有效的哈希值；

若所述第一哈希值是有效的哈希值，则获取所述机构成员的解密私钥；

通过所述解密私钥解密所述预设密文中加密后的加密密钥，以得到访问区块链数据的加密密钥。

优选地，所述获取所述预设密文串中的第一哈希值，并检验所述第一哈希值是否是有效的哈希值的步骤包括：

获取所述预设密文串中的第一哈希值，以及获取所述预设密文串中的第二哈希值和加密后的加密密钥；

计算所述第二哈希值和加密后的加密密钥之间的哈希值，记为第三哈希值；

判断所述第一哈希值和所述第三哈希值是否一致；

若所述第一哈希值和所述第三哈希值一致，则确定所述第一哈希值为有效的哈希值；

若所述第一哈希值和所述第三哈希值不一致，则确定所述第一哈希值为无效的哈希值。

优选地，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之前，还包括：

计算所述加密密钥的哈希值，记为第四哈希值；

将所述第四哈希值与所述预设密文串中加密密钥对应的第二哈希值进行对比；

若所述第四哈希值和所述第二哈希值一致，则执行所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员。

此外，为实现上述目的，本发明还提供一种区块链访问控制设备，所述区块链访问控制设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的区块链访问控制程序，所述区块链访问控制程序被所述处理器执行时实现如上所述的区块链访问控制方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有区块链访问控制程序，所述区块链访问控制程序被处理器执行时实现如上所述的区块链访问控制方法的步骤。

本发明的区块链系统通过群签名算法完成了角色对应机构成员的身份认证，用数字信封技术，实现了对加密数据的访问；通过群与角色的概念，一个群对应一个角色，一个角色可对应多个机构成员，使区块链系统支持多用户访问数据的场景，相对于传统的基于关系型数据库的数据访问系统，本申请中的区块链系统可扩展性强，能够简便实现跨机构的访问控制；且本实施例中群签名算法的签名操作和验证群签名的验证时间与群成员数量无关，提高了数据访问过程中，区块链系统的运行效率。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的结构示意图；

图2为本发明区块链访问控制方法第一实施例的流程示意图；

图3为本发明区块链访问控制方法第二实施例的流程示意图；

图4为本发明区块链访问控制方法第三实施例的流程示意图；

图5为本发明区块链访问控制方法第四实施例的流程示意图；

图6为本发明区块链访问控制方法第五实施例的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的结构示意图。

需要说明的是，图1即可为区块链访问控制设备的硬件运行环境的结构示意图。本发明实施例区块链访问控制设备可以是PC，便携计算机等终端设备。

如图1所示，该区块链访问控制设备可以包括：处理器1001，例如CPU，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的区块链访问控制设备结构并不构成对区块链访问控制设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及区块链访问控制程序。其中，操作系统是管理和控制区块链访问控制设备硬件和软件资源的程序，支持区块链访问控制程序以及其它软件或程序的运行。

在图1所示的区块链访问控制设备中，用户接口1003主要用于获取群管理触发的操作指令，如撤销指令，创建请求等；网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信，如查找待回答问题对应的答案；而处理器1001可以用于调用存储器1005中存储的区块链访问控制程序，并执行以下操作：

进一步地，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之后，处理器1001还可以用于调用存储器1005中存储的区块链访问控制程序，并执行以下步骤：

进一步地，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之后，处理器1001还可以用于调用存储器1005中存储的区块链访问控制程序，并执行以下步骤:

进一步地，所述当接收到区块链中机构成员客户端发送的群签名，通过预设的群公钥验证所述群签名是否处于有效状态的步骤之前，处理器1001还可以用于调用存储器1005中存储的区块链访问控制程序，并执行以下步骤：

进一步地，所述若所述群签名处于有效状态，且根据角色与访问权限之间的映射关系确定所述机构成员对应角色存在访问区块链数据的访问权限，则根据所述机构成员的解密私钥解密预设密文串，得到访问区块链数据的加密密钥的步骤包括：

进一步地，所述获取所述预设密文串中的第一哈希值，并检验所述第一哈希值是否是有效的哈希值的步骤包括：

判断所述第一哈希值和所述第三哈希值是否一致；

进一步地，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之前，处理器1001还可以用于调用存储器1005中存储的区块链访问控制程序，并执行以下步骤：

计算所述加密密钥的哈希值，记为第四哈希值；

基于上述的结构，提出区块链访问控制方法的各个实施例。区块链访问控制方法应用于区块链访问控制设备，区块链访问控制设备可为PC，便携计算机等终端设备。为了描述的简便，在以下区块链访问控制方法的各个实施例中，省略区块链访问控制设备这个执行主体。

参照图2，图2为本发明区块链访问控制方法第一实施例的流程示意图。

本发明实施例提供了区块链访问控制方法的实施例，需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

以下对本申请中所用的专业名词进行解释：

(1)机构成员是指依法设立的机关、事业、企业、社团及其他依法成立的单位，区块链中的节点隶属机构成员所有，根据区块链中节点信息能够定位所属机构成员。

(2)节点特指参与到区块链网络里，进行交易和数据交换的网络节点，每个独立机构成员可以拥有一个到多个交易节点，每个交易节点是一组物理网络，计算机，区块链应用软件以及数据库的组合。节点和节点之间，通过TCP/IP协议互相连接。

(3)群签名算法(BBS04)基于双线性密码学为基础，是一种允许群内成员用群成员私钥进行签名的算法，其他人可通过群签名获取签名所在群，但无法追踪具体的签名者信息；群签名算法中，群管理员可在必要时揭露签名者信息，群签名算法有以下特性：①完备性(Soundness and completeness)：有效的签名总是验证通过，无效的签名总是验证失败；②不可伪造性(Unforgeable)：仅群内成员可产生有效签名；③匿名性(Anonymity)：除了群管理员外，其他成员无法根据签名信息获取签名者信息；④可追踪性(Traceability)：群管理员可在必要时揭露签名者信息；⑤无关联性(Unlinkability)：给定两条或多条签名信息，无法判断这些签名是否由同一个签名者产生；⑥抗联合欺骗性(Unforgeable tracingverification)：群内若干个成员无法共谋构造出使得群主无法揭露签名者身份的有效签名。群签名算法主要流程：①生成群：生成群公钥，并为群管理员颁发群管理员私钥；②群成员加入群：用群管理员的群管理员私钥和群公钥为群成员生成群成员私钥；③生成群签名：群成员用群成员私钥生成群签名；④群签名验证：其他人通过群公钥验证签名，此时可通过群公钥定位群签名所属的群组，却无法获取具体的签名者信息；⑤群管理员揭露签名者证书：群管理员通过群成员私钥获取签名者证书，揭露签名者(即机构成员)身份信息。

(4)数字信封技术：

数字信封技术同时利用了非对称加密算法的安全性和对称加密算法的高性能特征，其中非对称加密算法用于密钥交换，对称加密算法用于保障数据的机密性，下面以发送端Alice发送数据Data给客户端Bob为例，数字信封技术主要包括以下流程：

①Alice端产生一串随机对称密钥DEK，并采用对称加密算法对Data进行加密，产生密文Cryp_Data；

②Alice端用Bob端的公钥Puk_b加密对称密钥DEK，生成Cryp_Key；

③Alice端通过群签名算法，用其私钥Prk_a生成Cryp_Data和Cryp_Key的签名Sig(Cryp_Data&&Cryp_Key)；

④Alice端将[Cryp_Data，Cryp_Key，Sig(Cryp_Data&&Cryp_Key)]发送给Bob端；

⑤Bob端接收到数据后，首先用Alice端公钥Pub_a验证签名Sig(Cryp_Data&&Cryp_Key)的有效性，若签名验证有效，则用Bob端私钥Prk_b解密Cryp_Key，获取对称密钥DEK；

⑥Bob端获取对称密钥DEK后，解密Cryp_Data获取明文数据Data。

综上所述，通过数字信封技术，Alice端和Bob端(通信双方)可在不安全的信道上进行机密数据交换。

区块链访问控制方法包括：

步骤S10，当接收到区块链中机构成员客户端发送的群签名，通过预设的群公钥验证所述群签名是否处于有效状态，其中，所述群签名由所述机构成员所在客户端将机构成员的访问信息和群成员私钥输入至群签名算法中所得的。

当机构成员需要访问区块链中的数据时，机构成员通过其所在的客户端，将其访问信息输入至群签名算法中，并通过在授权过程中所获取的群成员私钥对访问信息进行签名，得到群签名，即群签名算法的输入参数为访问信息和群成员私钥，群签名算法的输出为群签名。其中，访问信息包括机构成员的角色信息、待访问数据的ID号和解密所需的解密私钥。需要说明的是，解密私钥和群成员私钥是不同的两个私钥。角色信息可为表示机构成员角色的标识码，通过角色信息可唯一确定一个角色。机构成员所在的客户端可为PC，便携计算机等终端设备。

当机构成员所在的客户端接收得到群签名后，将群签名发送给区块链系统。具体地，将群签名发送给区块链系统中合约层的智能合约。当客户端将群签名发送给区块链系统后，区块链系统调用合约层的智能合约，获取群签名，并通过预设的群公钥验证群签名是否处于有效状态。需要说明的是，该群公钥是区块链系统在创建角色后，为角色授权过程中，调用群签名算法所生成的。在合约层的智能合约中，存储有群公钥到角色之间的映射关系，属于同一个群的机构成员具有相同的角色，机构成员访问区块链系统时，必须带上访问凭证，合约层的智能合约根据机构成员角色查询其对应的群公钥，并用群公钥验证该机构成员访问凭证，从而决定该机构成员对角色对应数据的访问权限。

区块链系统通过预设的群公钥验证群签名是否处于有效状态的过程可为：区块链系统通过合约层的智能合约获取角色映射表，基于角色映射表，通过机构成员的角色信息确定该机构成员对应的群公钥。其中，在角色映射表中，预先设置了不同角色对应的群公钥，因此，通过机构成员的角色信息即可确定对应的群公钥。当获取到群公钥后，区块链系统调用BBS04(Short Group Signatures)群签名验证算法，以群公钥和群签名作为参数，输入至BBS04群签名验证算法中，得到输出结果。若输出结果为第一结果，区块链系统则确定机构成员对应的群签名处于有效状态；若输出结果为第二结果，区块链系统则确定机构成员对应的群签名处于无效状态。其中，第一结果和第二结果具体的表现形式可根据具体需要而设置，如第一结果可设置为“true”，第二结果可设置为“false”；或者第一结果可设置为“1”，第二结果可设置为“0”。

步骤S20，若所述群签名处于有效状态，且根据角色与访问权限之间的映射关系确定所述机构成员对应角色存在访问区块链数据的访问权限，则根据所述机构成员的解密私钥解密预设密文串，得到访问区块链数据的加密密钥。

若确定群签名处于有效状态，即确定机构成员是拥有角色的合法成员，区块链系统则调用访问控制层的智能合约，获取角色与访问权限之间的映射关系，基于角色与访问权限之间的映射关系，通过机构成员的角色信息确定机构成员对应的角色是否存在访问区块链数据的访问权限。区块链系统可在群签名中获取机构成员的角色信息，也由机构成员通过其客户端将其角色信息发送给区块链系统。可以理解的是，当确定机构成员的角色信息后，即可确定该机构成员的角色，根据角色与访问权限之间的映射关系即可确定机构成员是否存在访问权限。如通过角色与访问权限之间的映射关系中，若确定机构成员的角色对应访问权限的标识为“1”，则确认机构成员对应的角色存在访问区块数据的访问权限；若确定机构成员的角色对应访问权限的标识为“0”，则确认机构成员对应的角色未存在访问区块数据的访问权限。其中，访问权限对应的标识的表现形式并限制于本申请中的“1”和“0”，本实施例对访问权限对应标识的具体表现形式不做具体限制。

当确定机构成员对应的角色存在访问区块链数据的访问权限后，区块链系统则获取机构成员的解密私钥。其中，解密私钥可由区块链系统从群签名中获取，或者由机构成员通过其客户端发送给区块链系统。当区块链系统获取到解密私钥后，区块链系统获取预设密文串，通过解密私钥解密预设密文串，得到机构成员访问区块链数据的加密密钥。需要说明的是，预设密文串是通过与解密私钥对应的加密公钥加密后所得字符串。在本实施例中，不同角色对应的数据所采用的加密密钥不同。

进一步地，若确定群签名处于无效状态，区块链系统则确定机构成员不是拥有角色的合法群成员，禁止该机构成员访问区块链中的数据。

进一步地，若确定机构成员对应角色未存在区块链数据的访问权限，区块链系统则禁止该机构成员访问区块链中的数据。

进一步地，步骤S20包括：

步骤a，若所述群签名处于有效状态，且根据角色与访问权限之间的映射关系确定所述机构成员对应角色存在访问区块链数据的访问权限，则获取预设密文串。

若确定群签名处于有效状态，且根据角色与访问权限之间的映射关系确定机构成员对应角色存在访问区块链数据的访问权限，区块链系统则获取预设密文串。预设密文串包括加密后的加密密钥、加密密钥的哈希值、以及加密后的加密密钥和加密密钥哈希值之间的哈希值。在本实施例中，将加密后的加密密钥和加密密钥哈希值之间的哈希值记为第一哈希值，将加密密钥的哈希值记为第二哈希值。预设密文串可由加密后的加密密钥、第二哈希值和第一哈希值拼接而成，具体的拼接方法在本实施例中不做限制。

为了让区块链系统快速获取到与机构成员对应的预设密文串，可将预设密文串机构成员的角色信息关联存储在区块链中。当区块链系统需要获取机构成员的预设密文串时，通过机构成员的角色信息即可获取到机构成员对应的预设密文串。

步骤b，获取所述预设密文串中的第一哈希值，并检验所述第一哈希值是否是有效的哈希值。

当区块链系统获取到预设密文串后，获取预设密文串中的第一哈希值，并检验第一哈希值是否是有效的哈希值。

进一步地，步骤b包括：

步骤b1，获取所述预设密文串中的第一哈希值，以及获取所述预设密文串中的第二哈希值和加密后的加密密钥。

步骤b2，计算所述第二哈希值和加密后的加密密钥之间的哈希值，记为第三哈希值。

步骤b3，判断所述第一哈希值和所述第三哈希值是否一致。

步骤b4，若所述第一哈希值和所述第三哈希值一致，则确定所述第一哈希值为有效的哈希值。

步骤b5，若所述第一哈希值和所述第三哈希值不一致，则确定所述第一哈希值为无效的哈希值。

区块链系统检验第一哈希值是否是有效的哈希值的过程可为：区块链系统在获取到第一哈希值后，获取预设密文串中的第二哈希值和加密后的加密密钥，并计算第二哈希值和加密后的加密密钥之间的哈希值，将第二哈希值和加密后的加密密钥之间的哈希值记为第三哈希值，并判断第一哈希值和第三哈希值是否一致。若第一哈希值与第三哈希值一致，区块链系统则确定第一哈希值为有效的哈希值；若第一哈希值和第三哈希值不一致，区块链系统则确定第一哈希值为无效的哈希值。其中，计算哈希值的算法包括但不限于MD5(Message-Digest Algorithm 5，信息-摘要算法5)和SHA(Secure Hash Algorithm，安全散列算法)。

步骤c，若所述第一哈希值是有效的哈希值，则获取所述机构成员的解密私钥。

步骤d，通过所述解密私钥解密所述预设密文中加密后的加密密钥，以得到访问区块链数据的加密密钥。

若确定第一哈希值为有效的哈希值，区块链系统则获取机构成员的解密私钥，并通过解密私钥解密预设密文中加密后的加密密钥，以得到访问区块链数据的加密密钥。可以理解的是，本实施例是采用与解密私钥对应的加密公钥加密该加密密钥的。加密公钥和解密私钥是通过非对称加密算法产生的。

进一步地，若确定第一哈希值为无效的哈希值，区块链系统则确定区块链中机构成员所对应的数据访问信令无效，机构成员需要重新触发角色授权请求。

步骤S30，根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员。

当得到加密密钥后，区块链系统通过加密密钥解密访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给机构成员的客户端，以将解密后的数据发送给机构成员。可以理解的是，在访问信息中，存在机构成员待访问数据的ID号，因此，通过该待访问数据的ID号可确定访问信息对应的区块链数据。待访问数据的ID号可由机构成员通过其客户端发送给区块链系统，或者由区块链系统从群签名中获取。

需要说明的是，在本实施例中，机构成员通过其客户端在安全的加密信道中与区块链系统中的区块链节点进行交互。

本实施例的区块链系统通过群签名算法完成了角色对应机构成员的身份认证，用数字信封技术，实现了对加密数据的访问；通过群与角色的概念，一个群对应一个角色，一个角色可对应多个机构成员，使区块链系统支持多用户访问数据的场景，相对于传统的基于关系型数据库的数据访问系统，本申请中的区块链系统可扩展性强，能够简便实现跨机构的访问控制；且本实施例中群签名算法的签名操作和验证群签名的验证时间与群成员数量无关，提高了数据访问过程中，区块链系统的运行效率。

进一步地，提出本发明区块链访问控制方法第二实施例。

所述区块链访问控制方法第二实施例与所述区块链访问控制方法第一实施例的区别在于，参照图3，区块链访问控制方法还包括：

步骤S40，当侦测到撤销所述机构成员的撤销指令后，根据所述撤销指令撤销所述机构成员的群签名权限，并将所述机构成员对应的预设密文串设置为无效状态。

当区块链系统侦测到撤销机构成员的撤销指令后，回收机构成员对应的角色，撤销该机构成员的群签名权限，使该机构成员不再是含有该角色的机构成员，以将该机构成员从角色中删除，并根据该撤销指令将区块链中该机构成员对应的预设密文串设置为无效状态。可以理解的是，当该机构成员用其群成员私钥产生的群签名去访问对应角色的数据时，区块链系统会检测该群签名处于无效状态，拒绝该机构成员访问该角色在区块链中的数据。具体地，区块链系统中设置有撤销列表，该撤销列表中存储着从各个角色撤销出的机构成员，即撤销列表中存储着撤销了群签名权限的机构成员。因此，区块链系统从撤销列表中即可确定对应的被撤销的机构成员。其中，该撤销指令可由区块链系统对应的群管理员根据具体需要而触发。

本实施例根据群管理员的需求将机构成员从角色中撤销，以便于群管理员可根据需要控制各个机构成员访问角色在区块链中数据。

进一步地，提出本发明区块链访问控制方法第三实施例。

所述区块链访问控制方法第三实施例与所述区块链访问控制方法第一或第二实施例的区别在于，参照图4，区块链访问控制方法还包括：

步骤S50，当检测到区块链数据被异常访问后，从所述区块链数据所在的区块链中获取异常访问对应机构成员的群签名。

步骤S60，根据异常访问对应机构成员的群签名，通过群管理员私钥获取异常访问对应机构成员的身份信息，以根据所述身份信息确定异常访问对应的机构成员。

由群签名算法的特性可知，群签名算法具有匿名性。当区块链系统检测到区块链数据被异常访问后，区块链系统从区块链中获取异常访问对应机构成员的群签名，并根据异常访问对应机构成员的群签名，通过群管理员私钥获取异常访问对应机构成员的身份信息，以根据该身份信息确定异常访问对应的机构成员，从而追踪到异常访问者。其中，当机构成员在获取区块链数据过程中，出现误操作时，区块链系统则会检测到区块链数据被异常访问。需要说明的是，该群管理员私钥是由区块链系统对应的群管理员保管，因此，只有群管理员才有资格知道异常访问者。

本实施例通过在区块链数据被异常访问时，通过群管理员私钥获取异常访问对应机构成员的身份信息，以追踪数据异常访问者，并且由于只有群管理员才有资格知道异常访问者，保证了数据访问的匿名性。

进一步地，提出本发明区块链访问控制方法第四实施例。

所述区块链访问控制方法第四实施例与所述区块链访问控制方法第一、第二和/或第三实施例的区别在于，参照图5，区块链访问控制方法还包括：

步骤S70，当侦测到创建角色的创建请求后，根据所述创建请求创建角色对应群的群公钥和群管理员私钥。

步骤S80，将所述群公钥与角色之间的映射关系部署到角色映射合约中，并为所述角色分配访问权限，将所述访问权限和所述角色之间的映射关系部署到访问控制层的智能合约中。

当区块链系统侦测到创建机构成员对应角色的创建请求后，区块链系统根据创建请求调用群签名服务，通过群签名服务调用群签名算法，以根据群签名算法创建该角色对应群的群公钥和群管理员私钥，并建立角色和群公钥之间的映射关系，将角色和群公钥之间的映射关系部署到角色映射合约中，角色映射合约为合约层的智能合约。该创建请求为群管理员根据需要而触发的。

当将群公钥与角色之间的映射关系部署到角色映射合约中后，区块链系统根据机构管理员，即群管理员的操作指令为该角色分配区块链数据的访问权限，以构建角色和访问权限之间的映射关系，并在构建角色和访问权限之间的映射关系后，将角色和访问权限之间的映射关系存储至访问控制层的智能合约中。

本实施例通过创建群公钥和角色之间的映射关系，访问权限和角色之间的映射关系，使各个机构成员可以在区块链上构建自己的数据访问控制系统，以实现了对机构内成员和机构外成员的授权操作和撤销权限操作。

进一步地，提出本发明区块链访问控制方法第五实施例。

所述区块链访问控制方法第五实施例与所述区块链访问控制方法第一、第二、第三和/或第四实施例的区别在于，参照图6，区块链访问控制方法还包括：

步骤S90，当接收到角色授权请求后，检测所述角色授权请求是否通过审核。

当区块链系统接收到机构成员通过其客户端发送的角色授权请求后，区块链系统检测角色授权请求是否通过审核。其中，本实施例中的角色授权请求可为同一机构之间的授权请求，或者为跨机构的角色授权请求。即同一机构内的成员可以申请授予访问该机构所对应角色的数据的访问权限，机构外的成员也可以申请授予访问该机构所对应角色的数据的访问权限。在本实施例中，若角色授权请求对应的机构成员是区块链中的机构成员，则确定角色授权请求通过审核，否则确定该机构成员通过其客户端发送的角色授权请求未通过审核。

步骤S110，若所述角色授权请求通过审核，则获取与所述角色对应的群管理员私钥，根据所述群管理员私钥为所述角色对应的机构成员生成群成员私钥，并将所述群成员私钥返回给所述角色授权请求对应的机构成员。

若角色授权请求通过审核，区块链系统则获取该角色对应的群管理员私钥，调用群签名服务，通过群签名算法为该角色对应的机构成员生成群成员私钥，并将群成员私钥返回给角色授权请求对应的机构成员。

步骤S120，加密所述机构成员对应角色可访问数据的加密密钥，生成预设密文串，并将所述预设密文串存储至区块链中。

区块链系统获取加密机构成员对应角色可访问数据的加密密钥，并获取预先生成的机构成员加密公钥加密该加密密钥，计算该加密密钥的哈希值(即计算第二哈希值)，以及计算加密后的加密密钥和第二哈希值之间的哈希值(即计算第一哈希值)，将加密后的加密密钥、第二哈希值和第一哈希值拼接得到预设密文串，并将预设密文串存储至区块链上，记为数据访问信令。计算哈希值的算法已在第一实施例中详细说明，在本实施例中不再赘述。区块链系统将加密后的加密密钥、第二哈希值和第一哈希值拼接得到预设密文串过程中，可按照加密密钥、第二哈希值和第一哈希值的顺序拼接，也可不按照加密密钥、第二哈希值和第一哈希值的顺序拼接，在本实施例中不限制拼接加密密钥、第二哈希值和第一哈希值的具体方式。其中，机构成员对应角色可访问数据为该角色在区块链中的数据。

本实施例通过生成群成员私钥，并生成预设密文串，以便于机构成员在访问区块链数据过程中，可以通过群成员私钥验证机构成员的身份，避免非法的机构成员访问预设密文串，提高了区块链数据的安全性。

需要说明的是，在本申请中，区块链系统可先将各个机构的数据写入区块链中，后续的执行流程可为：步骤S70→步骤S80→步骤S90→步骤S110→步骤S120→步骤S10→步骤S20→步骤S30。

区块链系统将机构的数据写入区块链中的过程为：当某个机构的数据要存储至区块链中时，区块链系统生成加密密钥，通过该加密密钥对该数据进行加密，生成与该数据对应的密文，并将该密文存储至区块链中。其中，生成加密密钥可采用对称加密算法，在本实施例中并不限制具体的对称加密算法。

进一步地，为了便于管理加密密钥，且保证加密密钥的安全性，可用群管理员的非对称公钥加密该加密密钥，得到加密后的加密密钥，并计算该加密密钥的哈希值，以及计算加密后的加密密钥和加密密钥哈希值之间的哈希值，将所计算的两个哈希值和加密后的加密密钥拼接成密文串，存储至区块链中。

进一步地，提出本发明区块链访问控制方法第六实施例。

所述区块链访问控制方法第五实施例与所述区块链访问控制方法第一、第二、第三、第四和/或第五实施例的区别在于，区块链访问控制方法还包括：

步骤e，计算所述加密密钥的哈希值，记为第四哈希值。

步骤f，将所述第四哈希值与所述预设密文串中加密密钥对应的第二哈希值进行对比。

若所述第四哈希值和所述第二哈希值一致，则执行步骤S30。

当区块链系统得到加密密钥后，区块链系统计算加密密钥的哈希值，并将加密密钥的哈希值记为第四哈希值。当区块链系统得到第四哈希值后，区块链系统将第四哈希值与预设密文串中加密密钥对应的第二哈希值进行对比，判断第四哈希值和第二哈希值是否一致。若第四哈希值和第二哈希值一致，区块链系统则根据加密密钥解密访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给机构成员；若第四哈希值和第二哈希值不一致，区块链系统则确定该机构成员对应的数据访问信令无效，该机构成员需要重新触发角色授权请求，获取正确的数据访问信令。

本实施例通过区块链系统在获取到加密密钥后，计算加密密钥的第四哈希值，将第四哈希值与预设密文串中的第二哈希值进行对比，只有当第四哈希值和第二哈希值一致时，区块链系统才根据加密密钥加密加密后的区块链数据，提高了区块链数据的安全性。

此外，本发明实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有区块链访问控制程序，所述区块链访问控制程序被处理器执行时实现如上所述的奖励发送方法的步骤。

本发明计算机可读存储介质具体实施方式与上述区块链访问控制方法各实施例基本相同，在此不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种区块链访问控制方法，其特征在于，所述区块链访问控制方法包括以下步骤：

根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员；

其中，所述若所述群签名处于有效状态，且根据角色与访问权限之间的映射关系确定所述机构成员对应角色存在访问区块链数据的访问权限，则根据所述机构成员的解密私钥解密预设密文串，得到访问区块链数据的加密密钥的步骤包括：

2.如权利要求1所述的区块链访问控制方法，其特征在于，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之后，还包括:

3.如权利要求1所述的区块链访问控制方法，其特征在于，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之后，还包括：

4.如权利要求1所述的区块链访问控制方法，其特征在于，所述当接收到区块链中机构成员客户端发送的群签名，通过预设的群公钥验证所述群签名是否处于有效状态的步骤之前，还包括：

5.如权利要求1所述的区块链访问控制方法，其特征在于，所述当接收到区块链中机构成员客户端发送的群签名，通过预设的群公钥验证所述群签名是否处于有效状态的步骤之前，还包括：

6.如权利要求1所述的区块链访问控制方法，其特征在于，所述获取所述预设密文串中的第一哈希值，并检验所述第一哈希值是否是有效的哈希值的步骤包括：

判断所述第一哈希值和所述第三哈希值是否一致；

7.如权利要求1至6任一项所述的区块链访问控制方法，其特征在于，所述根据所述加密密钥解密所述访问信息对应的区块链数据，得到解密后的数据，并将解密后的数据返回给所述机构成员的步骤之前，还包括：

计算所述加密密钥的哈希值，记为第四哈希值；

8.一种区块链访问控制设备，其特征在于，所述区块链访问控制设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的区块链访问控制程序，所述区块链访问控制程序被所述处理器执行时实现如权利要求1至7中任一项所述的区块链访问控制方法的步骤。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有区块链访问控制程序，所述区块链访问控制程序被处理器执行时实现如权利要求1至7中任一项所述的区块链访问控制方法的步骤。