CN115065542A - 权限验证方法、装置、处理器及电子设备 - Google Patents

权限验证方法、装置、处理器及电子设备 Download PDF

Info

Publication number
CN115065542A
CN115065542A CN202210720369.4A CN202210720369A CN115065542A CN 115065542 A CN115065542 A CN 115065542A CN 202210720369 A CN202210720369 A CN 202210720369A CN 115065542 A CN115065542 A CN 115065542A
Authority
CN
China
Prior art keywords
authority
service
identity
target
block chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210720369.4A
Other languages
English (en)
Inventor
夏韵
黄肇敏
黄文韬
吴业骏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202210720369.4A priority Critical patent/CN115065542A/zh
Publication of CN115065542A publication Critical patent/CN115065542A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种权限验证方法、装置、处理器及电子设备。涉及区块链领域,该方法包括:获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限。解决了相关技术中无法基于区块链场景进行权限验证的问题。

Description

权限验证方法、装置、处理器及电子设备
技术领域
本申请涉及领域,具体而言,涉及一种权限验证方法、装置、处理器及电子设备。
背景技术
目前业界的区块链产品对链上数据和智能合约调用的权限控制是通过用户的证书和通道隔离技术实现的,同一个通道内的用户共享同一套账本数据,该通道内所有用户通过无法基于区块链场景进行权限验证A颁发的证书都能调用该通道内的所有智能合约的接口,即实现查询和修改账本数据的操作。
由于同一通道内的账本数据和智能合约无法按机构、接口、数据内容等粒度进行访问控制,会导致同一个业务场景下,不参与该场景流程的机构也能获取到该场景下的业务数据,同时还能根据交易报文,模拟交易调用智能合约的接口进行攻击,尤其是高并发恶意调用智能合约,导致区块链节点因内存和无法基于区块链场景进行权限验证pu占用过高而无法运作,甚至整个区块链网络都无法运行、账本数据被毁坏的结果。因此账本数据、智能合约调用的权限访问控制极其重要。
针对相关技术中无法基于区块链场景进行权限验证的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种权限验证方法、装置、处理器及电子设备,以解决相关技术中无法基于区块链场景进行权限验证的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种权限验证方法。该方法包括:获取目标对象对目标账本触发的操作请求,其中,所述操作请求中至少携带所述目标对象的验证信息,其中,所述目标账本用于记录目标业务的交易信息;响应所述操作请求,在预设数据库中查询所述目标业务对应的业务区块链网络,其中,所述预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于所述业务区块链网络中的业务共识节点对所述目标对象的验证信息进行权限验证,得到权限验证结果;根据所述权限验证结果确定所述目标对象对所述目标账本的操作权限。
可选地,在获取目标对象对目标账本的操作请求之后,所述方法还包括:识别所述验证信息中的目标身份证书,其中,所述目标身份证书为所述目标对象预先注册的身份信息;基于身份区块链网络验证所述目标身份证书,得到身份验证结果,其中,所述身份区块链网络包括多个身份共识节点,所述身份共识节点验证用户的身份证书。
可选地,在基于所述业务区块链网络中的业务共识节点对所述目标对象的验证信息进行验证,得到权限验证结果之后,所述方法还包括:在所述身份验证结果通过的情况下,识别所述验证信息中的目标权限证书;基于所述业务区块链网络验证所述目标权限证书,得到所述权限验证结果。
可选地,在基于所述业务区块链网络验证所述目标权限证书,得到所述权限验证结果之前,所述方法包括:获取所述目标业务的预设权限模板,其中,所述预设权限模板用于注册权限证书;将所述目标权限证书与所述预设权限模板进行比对,得到比对结果;在所述比对结果符合预定条件的情况下,基于所述业务区块链网络验证所述目标权限证书。
可选地,基于身份区块链网络验证所述目标身份证书,得到身份验证结果包括:识别所述目标身份证书中的身份数字签名;基于所述身份区块链网络中的身份共识节点利用所述目标对象的预设身份公钥对所述身份数字签名进行解密;基于所述身份数字签名的解密结果,确定所述身份验证结果。
可选地,基于所述业务区块链网络验证所述目标权限证书,得到所述权限验证结果包括:识别所述目标权限证书中的权限数字签名;基于所述业务区块链网络中的业务共识节点利用所述目标对象的预设权限公钥对所述权限数字签名进行解密;基于所述权限数字签名的解密结果,确定所述权限验证结果。
可选地,在获取目标对象对目标账本的操作请求之前,所述方法还包括:通过数字证书认证服务器对所述目标对象进行权限注册,得到目标权限证书,其中,所述目标权限证书至少包括:权限私钥、权限公钥;将所述权限私钥返回给所述目标对象进行存储;将所述权限公钥上传至业务区块链网络,其中,所述业务区块链网络包括多个业务共识节点,所述业务共识节点用于存储所述权限公钥;确定所述业务区块链网络中业务共识节点的业务节点数量;根据所述业务节点数量将所述权限私钥拆分为多个权限私钥块;将多个所述权限私钥块上传至所述业务区块链网络,其中,每个业务共识节点存储一个私钥块。
为了实现上述目的,根据本申请的另一方面,提供了一种权限验证装置。该装置包括:获取单元,用于获取目标对象对目标账本触发的操作请求,其中,所述操作请求中至少携带所述目标对象的验证信息,其中,所述目标账本用于记录目标业务的交易信息;查询单元,用于响应所述操作请求,在预设数据库中查询所述目标业务对应的业务区块链网络,其中,所述预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;验证单元,用于基于所述业务区块链网络中的业务共识节点对所述目标对象的验证信息进行权限验证,得到权限验证结果;确定单元,用于根据所述权限验证结果确定所述目标对象对所述目标账本的操作权限。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器。该处理器用于运行程序,其中,所述程序运行时执行上述权限验证方法。
为了实现上述目的,根据本申请的另一方面,提供了一种电子设备。该电子设备包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述权限验证方法。
通过本申请,采用以下步骤:获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限,解决了相关技术中无法基于区块链场景进行权限验证的问题。进而达到了基于目标业务对应的业务区块链网络验证目标对象对目标账本的操作权限的技术效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的一种权限验证方法的流程图;
图2是根据本申请实施例提供的一种数据控制系统的示意图;
图3是根据本申请实施例提供的一种服务网关集群的示意图;
图4是根据本申请实施例提供的一种CA服务启动流程的示意图;
图5是根据本申请实施例提供的一种颁发用户身份凭证的示意图;
图6是根据本申请实施例提供的一种CA服务启动流程的示意图;
图7A是根据本申请实施例提供的一种私钥恢复流程的示意图一;
图7B是根据本申请实施例提供的一种私钥恢复流程的示意图二;
图8是根据本申请实施例提供的一种数据控制系统的整个业务流程的示意图;
图9是根据本申请实施例提供的一种权限验证装置的示意图;
图10是根据本申请实施例的一种电子设备的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,以下对本申请实施例涉及的部分名词或术语进行说明:
区块链数字身份:通过数字化信息将个体可识别地刻画,将真实信息浓缩为数字代码形式的公私钥,以便对个人的实时行为信息进行绑定、查询和验证。
安全多方计算:一种加密协议,在一个分布式系统中执行数据计算,计算过程中,各参与方都无法知道其他参与者的数据。
密钥分享:把一个密钥数字拆分成多个部分,分发给多个参与方,满足一定条件的多个参与方联合起来可以重构该密钥数字。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
下面结合优选的实施步骤对本发明进行说明,图1是根据本申请实施例提供的一种权限验证方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;
步骤S104,响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;
步骤S106,基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;
步骤S108,根据权限验证结果确定目标对象对目标账本的操作权限。
本发明上述实施例,获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限,解决了相关技术中无法基于区块链场景进行权限验证的问题。进而达到了基于目标业务对应的业务区块链网络验证目标对象对目标账本的操作权限的技术效果。
在上述步骤S102中,目标对象可以用于执行目标业务的业务应用,操作请求可以是目标业务的业务调用请求。
在上述步骤S104中,预设数据库用于记录业务与业务区块链网络的映射关系,其中,不同的业务对应不同的区块链网络,每个区块链网络中包括多个业务共识节点。
可选地,业务共识节点用于对目标对象进行身份验证,其中,业务共识节点可以包括业务记账节点,用于记录目标业务的目标账本,在目标对象通过共识节点的验证的情况下,目标对象可以得到对目标账本的操作权限。
可选地,不同的业务网场景具有不同的业务区块链网络,通过不同的业务区块链网络实现对不同业务的隔离,进而针对不同业务场景,可以选择不同的业务区块链网络进行权限验证。
在上述步骤S106中,验证信息可以是用目标对象的私钥加密的数字证书,业务区块链网络的业务共识节点中预先存有目标对象的公钥,若业务共识节点中的公钥能够对加密的数字证书进行解密,则确定该验证信息通过验证,进而在验证信息通过验证的情况下,确定目标对象具有对目标账本的操作权限。
图2是根据本申请实施例提供的一种数据控制系统的示意图,如图2所示,上述权限验证方法可以在图2所示的数据控制系统中执行,数据控制系统包括:应用服务器1、服务网关集群2、CA服务集群3和区块链节点(集成安全多方计算组件的记账节点4和共识节点5)。其中,应用服务器1用于发送业务调用请求和接收业务调用结果;服务网关集群2用于对业务请求进行安全控制和智能合约调用操作,同时集成数字身份,对业务请求进行身份鉴真;CA服务集群3用于颁发用户身份证书以及根据业务场景的账本数据操作权限证书;区块链节点(记账节点4和共识节点5)用于执行业务请求的操作,并将运算结果和运算过程都记录在区块中,同时区块链节点部署安全多方计算的计算块组件,分散备份存储服务网关集群2分发的数字身份私钥分块。
可选地,应用服务器1是发起业务交易和处理调用交易结果的服务器,一般通过HTTP和HTTPS的方式调用。
图3是根据本申请实施例提供的一种服务网关集群的示意图,如图3所示,服务网关集群2主要包括:接入服务、安全服务和技术服务。
表1是根据本申请实施例提供的一种接入服务的示意表,如表1所示,接入服务旨在集成区块链底层网络API服务和CA的API服务,为产品应用封装统一标准的REST API接口,完成与区块链网络及CA服务通讯交互。
Figure BDA0003711063550000061
Figure BDA0003711063550000071
表1
表2是根据本申请实施例提供的一种安全服务的示意表,如表2所示,安全服务包括区块链系统安全防护(包括安全访问、应用安全、隐私计算、数据安全和密码支撑等)及交易安全调用(网络安全、系统安全、服务安全和数据安全)等服务。
Figure BDA0003711063550000072
表2
表3是根据本申请实施例提供的一种技术服务的示意表,如表3所示,技术服务通过将赋能业务场景过程中的定制化服务需求提炼形成可扩展的通用技术服务构件集成到服务网关中,包括链上数据复杂查询、链上消息订阅等服务,帮助业务系统实现链上链下交易流程的完整闭环。
Figure BDA0003711063550000081
表3
所述CA服务集群3,旨在为区块链网络中的节点和交易用户颁发可信证书,CA与数字身份结合,对用户和CA进行数字身份注册后,颁发节点的共识证书和交易用户基于业务场景的身份证书。详细的流程如下:
图4是根据本申请实施例提供的一种CA服务启动流程的示意图,如图4所示,CA服务启动之后,调用服务网关的数字身份注册DID接口,注册该服务集群内所有机器的数字身份DID、身份公私钥对;CA服务器本地保存数字身份私钥和DID,公钥上链存储,同时私钥使用秘钥分享技术分块备份在各个共识节点内。
图5是根据本申请实施例提供的一种颁发用户身份凭证的示意图,如图5所示,,用户申请智能合约的调用,操作链上账本数据,首先需要CA服务集群调用数字身份对该用户的身份注册DID,注册完成之后,将用户的DID和私钥返回给用户自行保管,同时私钥使用秘钥分享技术分块备份在各个共识节点内;然后用户申请访问权限,CA服务集群对该申请颁发业务场景对应访问规则的证书,规则按交易类型、交易量、交易应用、交易地址等划分和制定,CA服务集群先注册该业务场景需要的凭证模板;最后按该模板向数字身份申请颁发由该CA签名的用户凭证,凭证内容由用户私钥加密完成,凭证在CA服务器上备份并返回给用户保管。
图6是根据本申请实施例提供的一种CA服务启动流程的示意图,如图6所示,用户申请某个业务接口的调用,即调用智能合约操作链上账本数据,将凭证传输至服务网关,服务网关上链获取该凭证的签发机构数字身份DID(即CA服务器的DID)和用户数字身份DID的正确性之后,再检查凭证的模板CPT是否与链上的一致;然后检查该凭证的哈希是否与链上一致,保证凭证是CA签发的,并且未被篡改;最后检查该凭证内容中权限控制规则。
可选地,区块链网络(集成安全多方计算组件的记账节点4和共识节点5)集成安全多方计算组件,实现CA调用数字身份生成的密钥对中的私钥备份、数字身份凭证hash和数字身份DID的背书等。
可选地,目标对象的验证信息可以包括:目标身份证书和目标权限证书,其中,目标身份证书用于实现对目标对象的身份验证,目标权限证书用于实现对目标对象的身份验证。
可选地,基于目标对象的目标身份证书对目标对象进行身份验证,可以通过身份区块链网络实现,其中,身份区块链网络可以包括多个身份共识节点,每个身份共识节点可以用于注册身份证书的数字证书服务器(即CA服务器)。
可选地,目标身份证书可以目标对象使用身份私钥加密后得到,身份共识节点预先存有目标对象的身份公钥,若身份共识节点中存储的身份公钥能够对目标身份证书进行解密,则说明该身份共识节点通过了对目标对象的身份验证。
可选地,基于目标对象的目标权限证书对目标对象进行权限验证,可以通过业务区块链网络实现,其中,业务区块链网络可以包括多个业务共识节点。
可选地,目标权限证书可以目标对象使用权限私钥加密后得到,权限共识节点预先存有目标对象的权限公钥,若权限共识节点中存储的权限公钥能够对目标权限证书进行解密,则说明该权限共识节点通过了对目标对象的权限验证。
可选地,在本申请实施例提供的权限验证方法中,在获取目标对象对目标账本的操作请求之后,方法还包括:识别验证信息中的目标身份证书,其中,目标身份证书为目标对象预先注册的身份信息;基于身份区块链网络验证目标身份证书,得到身份验证结果,其中,身份区块链网络包括多个身份共识节点,身份共识节点验证用户的身份证书。
本发明上述实施例,验证信息中还包括目标对象的目标身份证书,该目标身份证书是目标对象是通过数字证书服务器(即CA服务器)预先注册的,多个数字证书服务器(即CA服务器)构成身份区块链网络,用于在对目标对象进行权限验证前,先对目标对象进行身份验证。
可选地,在身份区块链网络中包括多个身份共识节点,每个数字证书服务器(即CA服务器)可以作为一个身份共识节点。
可选地,数字证书服务器(即CA服务器)可以是预定对象集群的数字证书签发机构,该预定对象集群可以包括多个对象,每个数字证书服务器(即CA服务器)可以预先存储对应对象集群中多个对象的身份信息,使数字证书服务器(即CA服务器)可以根据预先存储的身份信息对目标对象进行身份验证。
但是,每个数字证书服务器(即CA服务器)只会记录该数字证书服务器(即CA服务器)注册对象的身份信息,若需要对通过其他数字证书服务器(即CA服务器)注册的对象进行身份验证,就需要使多个数字证书服务器(即CA服务器)联网,共享各数字证书服务器(即CA服务器)注册的对象,进而实现对其他数字证书服务器(即CA服务器)注册的对象进行身份验证。
可选地,不同数字证书服务器(即CA服务器)存有不同对象的身份证书,在对目标对象进行身份验证的过程中,可以在多个数字证书服务器(即CA服务器)中查找预先存有目标身份证书的数字证书服务器(即CA服务器),进而使用该数字证书服务器(即CA服务器)实现对目标对象的身份验证。
可选地,身份区块链网络中的各身份共识节点可以记录有已注册的各对象的身份公钥,在对目标对象进行身份验证的过程中,各身份共识节点可以使用身份公钥对目标身份证书进行解密,若解密成功,则证明目标对象的身份通过该身份共识节点的验证,在身份区块链网络中通过身份验证的身份共识节点数量超过预定身份验证阈值的情况下,则证明该目标对象的身份通过了身份区块链网络的验证。
可选地,在本申请实施例提供的权限验证方法中,在基于业务区块链网络中的业务共识节点对目标对象的验证信息进行验证,得到权限验证结果之后,方法还包括:在身份验证结果通过的情况下,识别验证信息中的目标权限证书;基于业务区块链网络验证目标权限证书,得到权限验证结果。
本发明上述实施例,验证信息中还包括目标对象的目标权限证书,在目标对象通过该身份验证后,可以根据目标权限证书在业务区块链网络进行权限验证。
可选地,在业务区块链网络中包括多个业务共识节点,每个业务共识节点中记录有应用目标应用的各对象的权限公钥,在对目标对象进行权限验证的过程中,各业务共识节点可以使用权限公钥对目标权限证书进行解密,若解密成功,则证明目标对象的权限通过该业务共识节点的验证,在业务区块链网络中通过权限验证的业务共识节点数量超过预定权限验证阈值的情况下,则证明该目标对象的权限通过了权限区块链网络的验证。
可选地,目标对象的目标权限证书可以是通过数字证书服务器(即CA服务器)注册的。
其中,数字证书服务器(即CA服务器)可以根据目标对象请求账本的目标业务为目标对象提供该业务的预设权限模板,由目标对象对该预设权限模板进行填写后反馈回给数字证书服务器(即CA服务器),再由数字证书服务器(即CA服务器)根据目标对象反馈的内容实现对目标对象的权限注册,并向目标对象返回注册的权限私钥、目标权限证书,并将权限公钥上传至业务区块链网络的各业务公式节点中。
可选地,在本申请实施例提供的权限验证方法中,在基于业务区块链网络验证目标权限证书,得到权限验证结果之前,方法包括:获取目标业务的预设权限模板,其中,预设权限模板用于注册权限证书;将目标权限证书与预设权限模板进行比对,得到比对结果;在比对结果符合预定条件的情况下,基于业务区块链网络验证目标权限证书。
本发明上述实施例,在对目标对象进行权限验证之间,还需要验证目标对象的目标权限证书是否符合权限证书的注册要求,也即验证目标对象的权限证书是否为预先注册的,进而在验证目标权限证书是否符合注册要求的情况下,可以将目标权限证书同用于注册权限证书的预设权限模板进行比对,在比对结果符合预定条件的情况下,确定目标权限证书符合注册要求,然后再基于业务区块链网络验证目标权限证书。
可选地,预设权限模板是用于注册权限证书的,则目标权限证书与预设权限模板越相似,则说明目标对象对目标权限证书的改动越小,也就可以进一步证明目标对象未对目标权限证书进行篡改,确保目标权限证书的安全,避免不安全的证书进入业务区块链网络,确保业务区块链网络的安全性。
需要说明的是,基于数字签名进行验证,其过程包括:目标用户将一段明文通过私钥加密,得到数字签名,然后将加密后的数字签名发送到验证端进行验证;验证端使用预先存储的公钥对数字签名进行解密,然后将解密的内容与明文进行比对,若比对结果一致,则说明通过验证,否则说明为通过验证。
可选地,在本申请实施例提供的权限验证方法中,基于身份区块链网络验证目标身份证书,得到身份验证结果包括:识别目标身份证书中的身份数字签名;基于身份区块链网络中的身份共识节点利用目标对象的预设身份公钥对身份数字签名进行解密;基于身份数字签名的解密结果,确定身份验证结果。
本发明上述实施例,身份区块链网络中的身份共识节点中记录有目标对象的预设身份公钥,在对目标身份证书进行验证的过程中,可以使用身份共识节点中的预设身份公钥对身份数字签名进行解密,并将解密结果与目标身份证书中的明文进行比对,若比对结果一致,则目标对象的身份通过该身份共识节点的验证。
可选地,在身份区块链网络中通过验证的身份共识节点的数量超过预定身份阈值的情况下,说明目标对象的身份通过身份区块链网络的验证。
可选地,在本申请实施例提供的权限验证方法中,基于业务区块链网络验证目标权限证书,得到权限验证结果包括:识别目标权限证书中的权限数字签名;基于业务区块链网络中的业务共识节点利用目标对象的预设权限公钥对权限数字签名进行解密;基于权限数字签名的解密结果,确定权限验证结果。
本发明上述实施例,权限区块链网络中的权限共识节点中记录有目标对象的预设权限公钥,在对目标权限证书进行验证的过程中,可以使用权限共识节点中的预设权限公钥对权限数字签名进行解密,并将解密结果与目标权限证书中的明文进行比对,若比对结果一致,则目标对象的权限通过该权限共识节点的验证。
可选地,在权限区块链网络中通过验证的权限共识节点的数量超过预定权限阈值的情况下,说明目标对象的权限通过权限区块链网络的验证。
可选地,在本申请实施例提供的权限验证方法中,在获取目标对象对目标账本的操作请求之前,方法还包括:通过数字证书认证服务器对目标对象进行身份注册,得到目标身份证书,其中,目标身份证书至少包括:身份私钥、身份公钥;将身份私钥返回给目标对象进行存储;将身份公钥上传至身份区块链网络,其中,身份区块链网络包括多个身份共识节点,身份共识节点用于存储身份公钥;确定身份区块链网络中身份共识节点的身份节点数量;根据身份节点数量将身份私钥拆分为多个身份私钥块;将多个身份私钥块上传至身份区块链网络,其中,每个身份共识节点存储一个私钥块。
本发明上述实施例,在对目标对象进行身份注册后,向目标对象返回身份私钥,并将目标对象的身份公钥发送到身份区块链网络的身份共识节点,使身份共识节点可以基于目标对象的身份公钥对目标对象进行身份验证;另外,目标对象的身份私钥还可以被拆分为多个身份私钥块上传至身份区块链网络的身份共识节点中,各身份共识节点只存储目标对象的身份私钥块,可以避免目标对象的身份私钥被盗用;并且,在目标对象丢失了身份私钥的情况下,可以向身份区块链网络中的多个身份共识节点发送身份私钥的恢复请求,从身份共识节点中获取身份私钥块,进而基于获取的多个身份私钥块实现对身份私钥的恢复。
可选地,在本申请实施例提供的权限验证方法中,在获取目标对象对目标账本的操作请求之前,方法还包括:通过数字证书认证服务器对目标对象进行权限注册,得到目标权限证书,其中,目标权限证书至少包括:权限私钥、权限公钥;将权限私钥返回给目标对象进行存储;将权限公钥上传至业务区块链网络,其中,业务区块链网络包括多个业务共识节点,业务共识节点用于存储权限公钥;确定业务区块链网络中业务共识节点的业务节点数量;根据业务节点数量将权限私钥拆分为多个权限私钥块;将多个权限私钥块上传至业务区块链网络,其中,每个业务共识节点存储一个私钥块。
本发明上述实施例,在对目标对象进行权限注册后,向目标对象返回权限私钥,并将目标对象的权限公钥发送到权限区块链网络的权限共识节点,使权限共识节点可以基于目标对象的权限公钥对目标对象进行权限验证;另外,目标对象的权限私钥还可以被拆分为多个权限私钥块上传至权限区块链网络的权限共识节点中,各权限共识节点只存储目标对象的权限私钥块,可以避免目标对象的权限私钥被盗用;并且,在目标对象丢失了权限私钥的情况下,可以向权限区块链网络中的多个权限共识节点发送权限私钥的恢复请求,从权限共识节点中获取权限私钥块,进而基于获取的多个权限私钥块实现对权限私钥的恢复。
本发明还提供了一种优选实施例,该优选实施例提供了一种基于区块链数字身份和安全多方计算技术的数据控制系统。
本发明结合区块链数字身份和安全多方计算的密钥分享技术,解决同一通道内的不同业务应用交易类型、交易量、交易应用、交易地址等的账本数据的安全问题。
本发明引入了区块链数字身份技术控制CA对不同场景的证书颁发、安全多方计算的密钥分享技术对区块链数字身份的私钥实现安全备份,完成同一个通道内账本数据控制系统。
图7A是根据本申请实施例提供的一种私钥恢复流程的示意图一,如图7A所示,包括步骤如下:
S1:拥有数字身份DID对应私钥的用户和CA服务集群,将自身的私钥拆分成N份,N是同一通道内同一组织下的共识节点个数;
S2:将N份私钥块数据分发至同一通道内同一组织下的共识节点,指定共识节点部署的多方安全计算组件的计算规则R;
S3:当用户和CA服务集群发生私钥丢失情况,同一通道内同一组织下的任意两个共识节点的计算组件依照规则R,计算完成后返回原始私钥。
图7B是根据本申请实施例提供的一种私钥恢复流程的示意图二,如图7B所示,当用户和CA服务集群发生私钥丢失情况,根据共识节点中存储的私钥块可以恢复丢失的私钥。
图8是根据本申请实施例提供的一种数据控制系统的整个业务流程的示意图,如图8所示,包括步骤如下:
T1:CA服务启动初始化时,先将机器进行数字身份DID的注册,保管私钥在本地,同时将私钥基于密钥分享技术,分块备份至各个区块链共识节点中;
T2:根据业务场景,进行创建区块链网络\创建通道\新增共识节点等操作时,CA服务给网络内/通道内的共识节点进行数字身份DID的注册,保管私钥在本地,同时将私钥基于密钥分享技术,分块备份至同一通道内的区块链共识节点中;
T3:根据业务场景的要求,按不同业务应用交易类型、交易量、交易应用、交易地址等,CA服务分发不同的数字身份凭证给业务应用,交易业务应用保管凭证,凭证hash上链;
T4:业务应用发起交易时,先通过服务网关检测业务请求的参数正确性,校验数字身份的有效性,再对数字身份凭证的模板和凭证hash与链上进行比对,检测是否一致;
T5:共识节点根据交易用户的数字身份公钥,查询本地是否有该用户的数字身份私钥块来判断是否拥有该场景的权限,然后根据凭证内容中的权限规则,确认交易的数据访问权限,控制该账本数据的可操作性和安全性;
T6:如若发生私钥丢失情况,通过服务网关发起私钥恢复请求,验证发起方的数字身份有效性,然后根据链上该身份的公钥,确认私钥分块分发给了哪些共识节点,然后请求任意两个共识节点运算出原始私钥,返回至服务网关,服务网关返回用户保管。
本发明提供的技术方案,结合数字身份与安全多方计算技术,解决链上数据和智能合约调用的访问控制,详细效果为:业务应用使用数字身份对不同业务场景下的上链数据颁发授权访问凭证,有助于控制同一个通道内不同用户可访问和运算的账本数据,保证数据的隐私隔离和安全性;区块链CA节点作为权威机构,可根据业务场景颁发业务应用交易类型、交易量、交易应用、交易地址等的数字身份凭证,控制场景内的交易的有效性,同时也可以在自定义的指标内监控业务交易;使用安全多方计算的秘密分享技术将业务应用的证书和数字身份私钥在同一个组织内进行私钥分享,不仅能在业务交易过程中保证凭证验证的安全性,同时能保证业务应用的证书或者私钥在丢失的情况下快速和安全的恢复私钥。
本申请实施例提供的权限验证方法,通过获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限,解决了相关技术中无法基于区块链场景进行权限验证的问题。进而达到了基于目标业务对应的业务区块链网络验证目标对象对目标账本的操作权限的效果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种权限验证装置,需要说明的是,本申请实施例的权限验证装置可以用于执行本申请实施例所提供的用于权限验证方法。以下对本申请实施例提供的权限验证装置进行介绍。
图9是根据本申请实施例提供的一种权限验证装置的示意图。如图9所示,该装置包括:获取单元902,用于获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;查询单元904,用于响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;验证单元906,用于基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;确定单元908,用于根据权限验证结果确定目标对象对目标账本的操作权限。
需要说明的是,该实施例中的获取单元902可以用于执行本申请实施例中的步骤S102,该实施例中的查询单元904可以用于执行本申请实施例中的步骤S104,该实施例中的验证单元906可以用于执行本申请实施例中的步骤S106,该实施例中的确定单元908可以用于执行本申请实施例中的步骤S108。上述单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。
本申请实施例提供的权限验证装置,通过获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限,解决了相关技术中无法基于区块链场景进行权限验证的问题,进而达到了基于目标业务对应的业务区块链网络验证目标对象对目标账本的操作权限的效果。
可选地,在本申请实施例提供的权限验证装置中,装置还包括:身份识别模块,用于在获取目标对象对目标账本的操作请求之后,识别验证信息中的目标身份证书,其中,目标身份证书为目标对象预先注册的身份信息;身份验证模块,用于基于身份区块链网络验证目标身份证书,得到身份验证结果,其中,身份区块链网络包括多个身份共识节点,身份共识节点验证用户的身份证书。
可选地,在本申请实施例提供的权限验证装置中,装置还包括:权限识别模块,用于在基于业务区块链网络中的业务共识节点对目标对象的验证信息进行验证,得到权限验证结果之后,在身份验证结果通过的情况下,识别验证信息中的目标权限证书;权限验证模块,用于基于业务区块链网络验证目标权限证书,得到权限验证结果。
可选地,在本申请实施例提供的权限验证装置中,装置包括:获取模块,用于在基于业务区块链网络验证目标权限证书,得到权限验证结果之前,获取目标业务的预设权限模板,其中,预设权限模板用于注册权限证书;比对模块,用于将目标权限证书与预设权限模板进行比对,得到比对结果;验证模块,用于在比对结果符合预定条件的情况下,基于业务区块链网络验证目标权限证书。
可选地,在本申请实施例提供的权限验证装置中,身份验证模块包括:身份签名识别模块,用于识别目标身份证书中的身份数字签名;身份签名解密模块,用于基于身份区块链网络中的身份共识节点利用目标对象的预设身份公钥对身份数字签名进行解密;身份签名确认模块,用于基于身份数字签名的解密结果,确定身份验证结果。
可选地,在本申请实施例提供的权限验证装置中,权限验证模块包括:权限签名识别模块,用于识别目标权限证书中的权限数字签名;权限签名解密模块,用于基于业务区块链网络中的业务共识节点利用目标对象的预设权限公钥对权限数字签名进行解密;权限签名确认模块,用于基于权限数字签名的解密结果,确定权限验证结果。
可选地,在本申请实施例提供的权限验证装置中,装置还包括:身份注册单元,用于在获取目标对象对目标账本的操作请求之前,通过数字证书认证服务器对目标对象进行身份注册,得到目标身份证书,其中,目标身份证书至少包括:身份私钥、身份公钥;身份私钥分发单元,用于将身份私钥返回给目标对象进行存储;身份公钥分发单元,用于将身份公钥上传至身份区块链网络,其中,身份区块链网络包括多个身份共识节点,身份共识节点用于存储身份公钥;身份节点数量确定单元,用于确定身份区块链网络中身份共识节点的身份节点数量;身份私钥拆分单元,用于根据身份节点数量将身份私钥拆分为多个身份私钥块;身份私钥块分发单元,用于将多个身份私钥块上传至身份区块链网络,其中,每个身份共识节点存储一个私钥块。
可选地,在本申请实施例提供的权限验证装置中,装置还包括:权限注册单元,用于在获取目标对象对目标账本的操作请求之前,通过数字证书认证服务器对目标对象进行权限注册,得到目标权限证书,其中,目标权限证书至少包括:权限私钥、权限公钥;权限私钥分发单元,用于将权限私钥返回给目标对象进行存储;权限公钥分发单元,用于将权限公钥上传至业务区块链网络,其中,业务区块链网络包括多个业务共识节点,业务共识节点用于存储权限公钥;权限节点数量确定单元,用于确定业务区块链网络中业务共识节点的业务节点数量;权限私钥拆分单元,用于根据业务节点数量将权限私钥拆分为多个权限私钥块;权限私钥块分发单元,用于将多个权限私钥块上传至业务区块链网络,其中,每个业务共识节点存储一个私钥块。
本申请实施例提供的权限验证装置,通过获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限,解决了相关技术中无法基于区块链场景进行权限验证的问题,进而达到了基于目标业务对应的业务区块链网络验证目标对象对目标账本的操作权限的效果。
所述权限验证装置包括处理器和存储器,上述单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来达到基于目标业务对应的业务区块链网络验证目标对象对目标账本的操作权限的目的。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现所述权限验证方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述权限验证方法。
图10是根据本申请实施例的一种电子设备的示意图。如图10所示,本发明实施例提供了一种电子设备1002,设备包括处理器1004、存储器1006及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限。
可选地,处理器执行程序时实现以下步骤:在获取目标对象对目标账本的操作请求之后,识别验证信息中的目标身份证书,其中,目标身份证书为目标对象预先注册的身份信息;基于身份区块链网络验证目标身份证书,得到身份验证结果,其中,身份区块链网络包括多个身份共识节点,身份共识节点验证用户的身份证书。
可选地,处理器执行程序时实现以下步骤:在基于业务区块链网络中的业务共识节点对目标对象的验证信息进行验证,得到权限验证结果之后,在身份验证结果通过的情况下,识别验证信息中的目标权限证书;基于业务区块链网络验证目标权限证书,得到权限验证结果。
可选地,处理器执行程序时实现以下步骤:在基于业务区块链网络验证目标权限证书,得到权限验证结果之前,获取目标业务的预设权限模板,其中,预设权限模板用于注册权限证书;将目标权限证书与预设权限模板进行比对,得到比对结果;在比对结果符合预定条件的情况下,基于业务区块链网络验证目标权限证书。
可选地,处理器执行程序时实现以下步骤:识别目标身份证书中的身份数字签名;基于身份区块链网络中的身份共识节点利用目标对象的预设身份公钥对身份数字签名进行解密;基于身份数字签名的解密结果,确定身份验证结果。
可选地,处理器执行程序时实现以下步骤:识别目标权限证书中的权限数字签名;基于业务区块链网络中的业务共识节点利用目标对象的预设权限公钥对权限数字签名进行解密;基于权限数字签名的解密结果,确定权限验证结果。
可选地,处理器执行程序时实现以下步骤:在获取目标对象对目标账本的操作请求之前,通过数字证书认证服务器对目标对象进行身份注册,得到目标身份证书,其中,目标身份证书至少包括:身份私钥、身份公钥;将身份私钥返回给目标对象进行存储;将身份公钥上传至身份区块链网络,其中,身份区块链网络包括多个身份共识节点,身份共识节点用于存储身份公钥;确定身份区块链网络中身份共识节点的身份节点数量;根据身份节点数量将身份私钥拆分为多个身份私钥块;将多个身份私钥块上传至身份区块链网络,其中,每个身份共识节点存储一个私钥块。
可选地,处理器执行程序时实现以下步骤:在获取目标对象对目标账本的操作请求之前,通过数字证书认证服务器对目标对象进行权限注册,得到目标权限证书,其中,目标权限证书至少包括:权限私钥、权限公钥;将权限私钥返回给目标对象进行存储;将权限公钥上传至业务区块链网络,其中,业务区块链网络包括多个业务共识节点,业务共识节点用于存储权限公钥;确定业务区块链网络中业务共识节点的业务节点数量;根据业务节点数量将权限私钥拆分为多个权限私钥块;将多个权限私钥块上传至业务区块链网络,其中,每个业务共识节点存储一个私钥块。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取目标对象对目标账本触发的操作请求,其中,操作请求中至少携带目标对象的验证信息,其中,目标账本用于记录目标业务的交易信息;响应操作请求,在预设数据库中查询目标业务对应的业务区块链网络,其中,预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;基于业务区块链网络中的业务共识节点对目标对象的验证信息进行权限验证,得到权限验证结果;根据权限验证结果确定目标对象对目标账本的操作权限。
可选地,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在获取目标对象对目标账本的操作请求之后,识别验证信息中的目标身份证书,其中,目标身份证书为目标对象预先注册的身份信息;基于身份区块链网络验证目标身份证书,得到身份验证结果,其中,身份区块链网络包括多个身份共识节点,身份共识节点验证用户的身份证书。
可选地,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在基于业务区块链网络中的业务共识节点对目标对象的验证信息进行验证,得到权限验证结果之后,在身份验证结果通过的情况下,识别验证信息中的目标权限证书;基于业务区块链网络验证目标权限证书,得到权限验证结果。
可选地,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在基于业务区块链网络验证目标权限证书,得到权限验证结果之前,获取目标业务的预设权限模板,其中,预设权限模板用于注册权限证书;将目标权限证书与预设权限模板进行比对,得到比对结果;在比对结果符合预定条件的情况下,基于业务区块链网络验证目标权限证书。
可选地,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:识别目标身份证书中的身份数字签名;基于身份区块链网络中的身份共识节点利用目标对象的预设身份公钥对身份数字签名进行解密;基于身份数字签名的解密结果,确定身份验证结果。
可选地,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:识别目标权限证书中的权限数字签名;基于业务区块链网络中的业务共识节点利用目标对象的预设权限公钥对权限数字签名进行解密;基于权限数字签名的解密结果,确定权限验证结果。
可选地,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在获取目标对象对目标账本的操作请求之前,通过数字证书认证服务器对目标对象进行身份注册,得到目标身份证书,其中,目标身份证书至少包括:身份私钥、身份公钥;将身份私钥返回给目标对象进行存储;将身份公钥上传至身份区块链网络,其中,身份区块链网络包括多个身份共识节点,身份共识节点用于存储身份公钥;确定身份区块链网络中身份共识节点的身份节点数量;根据身份节点数量将身份私钥拆分为多个身份私钥块;将多个身份私钥块上传至身份区块链网络,其中,每个身份共识节点存储一个私钥块。
可选地,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序::在获取目标对象对目标账本的操作请求之前,通过数字证书认证服务器对目标对象进行权限注册,得到目标权限证书,其中,目标权限证书至少包括:权限私钥、权限公钥;将权限私钥返回给目标对象进行存储;将权限公钥上传至业务区块链网络,其中,业务区块链网络包括多个业务共识节点,业务共识节点用于存储权限公钥;确定业务区块链网络中业务共识节点的业务节点数量;根据业务节点数量将权限私钥拆分为多个权限私钥块;将多个权限私钥块上传至业务区块链网络,其中,每个业务共识节点存储一个私钥块。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种权限验证方法,其特征在于,包括:
获取目标对象对目标账本触发的操作请求,其中,所述操作请求中至少携带所述目标对象的验证信息,其中,所述目标账本用于记录目标业务的交易信息;
响应所述操作请求,在预设数据库中查询所述目标业务对应的业务区块链网络,其中,所述预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;
基于所述业务区块链网络中的业务共识节点对所述目标对象的验证信息进行权限验证,得到权限验证结果;
根据所述权限验证结果确定所述目标对象对所述目标账本的操作权限。
2.根据权利要求1所述的方法,其特征在于,在获取目标对象对目标账本的操作请求之后,所述方法还包括:
识别所述验证信息中的目标身份证书,其中,所述目标身份证书为所述目标对象预先注册的身份信息;
基于身份区块链网络验证所述目标身份证书,得到身份验证结果,其中,所述身份区块链网络包括多个身份共识节点,所述身份共识节点验证用户的身份证书。
3.根据权利要求2所述的方法,其特征在于,在基于所述业务区块链网络中的业务共识节点对所述目标对象的验证信息进行验证,得到权限验证结果之后,所述方法还包括:
在所述身份验证结果通过的情况下,识别所述验证信息中的目标权限证书;
基于所述业务区块链网络验证所述目标权限证书,得到所述权限验证结果。
4.根据权利要求3所述的方法,其特征在于,在基于所述业务区块链网络验证所述目标权限证书,得到所述权限验证结果之前,所述方法包括:
获取所述目标业务的预设权限模板,其中,所述预设权限模板用于注册权限证书;
将所述目标权限证书与所述预设权限模板进行比对,得到比对结果;
在所述比对结果符合预定条件的情况下,基于所述业务区块链网络验证所述目标权限证书。
5.根据权利要求2所述的方法,其特征在于,基于身份区块链网络验证所述目标身份证书,得到身份验证结果包括:
识别所述目标身份证书中的身份数字签名;
基于所述身份区块链网络中的身份共识节点利用所述目标对象的预设身份公钥对所述身份数字签名进行解密;
基于所述身份数字签名的解密结果,确定所述身份验证结果。
6.根据权利要求3所述的方法,其特征在于,基于所述业务区块链网络验证所述目标权限证书,得到所述权限验证结果包括:
识别所述目标权限证书中的权限数字签名;
基于所述业务区块链网络中的业务共识节点利用所述目标对象的预设权限公钥对所述权限数字签名进行解密;
基于所述权限数字签名的解密结果,确定所述权限验证结果。
7.根据权利要求1所述的方法,其特征在于,在获取目标对象对目标账本的操作请求之前,所述方法还包括:
通过数字证书认证服务器对所述目标对象进行权限注册,得到目标权限证书,其中,所述目标权限证书至少包括:权限私钥、权限公钥;
将所述权限私钥返回给所述目标对象进行存储;
将所述权限公钥上传至业务区块链网络,其中,所述业务区块链网络包括多个业务共识节点,所述业务共识节点用于存储所述权限公钥;
确定所述业务区块链网络中业务共识节点的业务节点数量;
根据所述业务节点数量将所述权限私钥拆分为多个权限私钥块;
将多个所述权限私钥块上传至所述业务区块链网络,其中,每个业务共识节点存储一个私钥块。
8.一种权限验证装置,其特征在于,包括:
获取单元,用于获取目标对象对目标账本触发的操作请求,其中,所述操作请求中至少携带所述目标对象的验证信息,其中,所述目标账本用于记录目标业务的交易信息;
查询单元,用于响应所述操作请求,在预设数据库中查询所述目标业务对应的业务区块链网络,其中,所述预设数据库记录有多个业务各自对应的业务区块链网络,每个业务区块链网络包括:多个业务共识节点,不同业务对应的业务区块链网络中的业务共识节点不同;
验证单元,用于基于所述业务区块链网络中的业务共识节点对所述目标对象的验证信息进行权限验证,得到权限验证结果;
确定单元,用于根据所述权限验证结果确定所述目标对象对所述目标账本的操作权限。
9.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的权限验证方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的权限验证方法。
CN202210720369.4A 2022-06-23 2022-06-23 权限验证方法、装置、处理器及电子设备 Pending CN115065542A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210720369.4A CN115065542A (zh) 2022-06-23 2022-06-23 权限验证方法、装置、处理器及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210720369.4A CN115065542A (zh) 2022-06-23 2022-06-23 权限验证方法、装置、处理器及电子设备

Publications (1)

Publication Number Publication Date
CN115065542A true CN115065542A (zh) 2022-09-16

Family

ID=83203272

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210720369.4A Pending CN115065542A (zh) 2022-06-23 2022-06-23 权限验证方法、装置、处理器及电子设备

Country Status (1)

Country Link
CN (1) CN115065542A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116455571A (zh) * 2023-06-16 2023-07-18 广州广杰网络科技有限公司 一种基于区块链网络通讯的数据交互方法及终端
WO2024093593A1 (zh) * 2022-11-02 2024-05-10 腾讯科技(深圳)有限公司 基于多区块链的数据处理方法、装置、电子设备、计算机可读存储介质及计算机程序产品

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535872A (zh) * 2019-09-12 2019-12-03 腾讯科技(深圳)有限公司 在区块链网络中处理数据请求的方法和装置
CN110598446A (zh) * 2019-09-16 2019-12-20 腾讯科技(深圳)有限公司 基于区块链的测试方法、装置、存储介质和计算机设备
CN111818087A (zh) * 2020-07-27 2020-10-23 深圳壹账通智能科技有限公司 区块链的节点接入方法、装置、设备及可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535872A (zh) * 2019-09-12 2019-12-03 腾讯科技(深圳)有限公司 在区块链网络中处理数据请求的方法和装置
CN110598446A (zh) * 2019-09-16 2019-12-20 腾讯科技(深圳)有限公司 基于区块链的测试方法、装置、存储介质和计算机设备
CN111818087A (zh) * 2020-07-27 2020-10-23 深圳壹账通智能科技有限公司 区块链的节点接入方法、装置、设备及可读存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024093593A1 (zh) * 2022-11-02 2024-05-10 腾讯科技(深圳)有限公司 基于多区块链的数据处理方法、装置、电子设备、计算机可读存储介质及计算机程序产品
CN116455571A (zh) * 2023-06-16 2023-07-18 广州广杰网络科技有限公司 一种基于区块链网络通讯的数据交互方法及终端
CN116455571B (zh) * 2023-06-16 2023-12-22 广州广杰网络科技有限公司 一种基于区块链网络通讯的数据交互方法及终端

Similar Documents

Publication Publication Date Title
CN107743133B (zh) 移动终端及其基于可信安全环境的访问控制方法和系统
CN111090876B (zh) 调用合约的方法及装置
CN111327643B (zh) 一种多方数据共享方法和装置
CN109274652B (zh) 身份信息验证系统、方法及装置及计算机存储介质
US20220394026A1 (en) Network identity protection method and device, and electronic equipment and storage medium
US20190245857A1 (en) Method for securing access by software modules
CN108471403B (zh) 一种账户迁移的方法、装置、终端设备及存储介质
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
CN115065542A (zh) 权限验证方法、装置、处理器及电子设备
CN111368340A (zh) 基于区块链的通证安全校验方法、装置及硬件设备
CN111131336B (zh) 多方授权场景下的资源访问方法、装置、设备及存储介质
CN114239046A (zh) 数据共享方法
CN108200014B (zh) 利用智能密钥装置访问服务器的方法、装置及系统
CN111914293A (zh) 一种数据访问权限验证方法、装置、计算机设备及存储介质
CN110942382A (zh) 电子合同的生成方法、装置、计算机设备及存储介质
CN113271207A (zh) 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质
CN113114610B (zh) 一种取流方法、装置及设备
CN112418850A (zh) 一种基于区块链的交易方法、装置及电子设备
CN115048672A (zh) 基于区块链的数据审计方法和装置、处理器及电子设备
CN112422475B (zh) 一种服务鉴权方法、装置、系统及存储介质
EP3975015B9 (en) Applet package sending method and device and computer readable medium
Petrlic et al. Unlinkable content playbacks in a multiparty DRM system
TWM585941U (zh) 帳戶資料處理系統
KR101705293B1 (ko) 비밀스런 인증데이터 관리가 필요 없는 인증시스템 및 방법
US20240106649A1 (en) Multifactor authentication via bifurcated passcode and non-fungible token

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination