CN118094520A - 服务权限管理方法、装置、节点设备、系统和存储介质 - Google Patents

Abstract

本发明涉及权限管理技术领域，提供一种服务权限管理方法、装置、节点设备、系统和存储介质。区块链网络中的节点设备部署有主控智能合约，节点设备接收目标业务平台发送的服务权限申请获得基本信息和其中关联服务标识；在服务列表中查找到关联服务标识时，根据目标业务平台的基本信息获得申请信息并保存至申请列表；根据运维人员发送的申请审核指令对申请信息进行审核，当通过审核时生成根令牌并发送给目标业务平台；接收目标业务平台基于根令牌发送的服务访问申请并进行验证，当通过验证时确定目标服务端并向其发送访问令牌获取请求，将目标服务端返回的访问令牌和其服务信息发送给目标业务平台，以使目标业务平台具有目标服务端的访问权限。

Description

服务权限管理方法、装置、节点设备、系统和存储介质

技术领域

本发明涉及权限管理技术领域，具体而言，涉及一种服务权限管理方法、装置、节点设备、系统和存储介质。

背景技术

在微服务模式中，可以将应用程序的不同功能模块独立部署以形成不同的服务。每个服务都专注于完成一个特定的功能，并且这些服务之间相互独立，可以采用不同的编程语言和数据存储。现有的系统架构一般是采用中心设备来对各种服务的权限进行分配和控制，即通过中心化的方式来管理权限，但是这种方式存在单点故障，容易导致系统异常。

发明内容

有鉴于此，本发明的目的在于提供一种服务权限管理方法、装置、节点设备、系统和存储介质。

为了实现上述目的，本发明采用的技术方案如下：

第一方面，本发明提供一种服务权限管理方法，应用于区块链网络中的任一节点设备，所述节点设备与多个服务端和多个业务平台通信连接，所述节点设备部署有主控智能合约，所述主控智能合约包含服务列表和申请列表，所述服务权限管理方法包括：

接收目标业务平台发送的服务权限申请，获得所述目标业务平台的基本信息，所述基本信息包括关联服务标识；其中所述目标业务平台为任意一个业务平台；

在所述服务列表的全部服务信息中查找到所述目标业务平台的关联服务标识的情况下，根据所述目标业务平台的基本信息，获得所述目标业务平台的申请信息并保存至所述申请列表；

根据运维人员发送的所述目标业务平台的申请审核指令，对所述目标业务平台的申请信息进行审核，并在所述目标业务平台的申请信息通过审核的情况下，生成所述目标业务平台的根令牌发送给所述目标业务平台；

接收所述目标业务平台基于其根令牌发送的服务访问申请，并对所述服务访问申请进行验证，在所述服务访问申请通过验证的情况下，确定所述目标业务平台的关联服务标识所对应的目标服务端；

向所述目标服务端发送访问令牌获取请求，并接收所述目标服务端返回的访问令牌，通过将所述目标服务端的服务信息和访问令牌发送给所述目标业务平台，以使所述目标业务平台具有所述目标服务端的访问权限。

在可选的实施方式中，所述服务列表中的任意一个服务信息是按照以下方式得到的：

接收运维人员发送的服务注册指令，获得所述服务注册指令中的数字签名和待注册服务端的服务名称、IP地址、访问端口和服务公钥；

通过对所述服务注册指令中的数字签名进行验证，以对所述运维人员进行身份验证；

在所述服务注册指令中的数字签名通过验证的情况下，根据所述待注册服务端的IP地址、访问端口和服务公钥进行哈希运算，得到所述待注册服务端的服务标识；

将所述待注册服务端的服务名称、IP地址、访问端口、服务公钥和服务标识，作为所述待注册服务端的服务信息并保存至所述服务列表。

在可选的实施方式中，所述基本信息还包括平台名称、平台域名和平台公钥；

所述根据所述目标业务平台的基本信息，获得所述目标业务平台的申请信息并保存至所述申请列表的步骤，包括：

根据所述目标业务平台的平台名称、平台域名、平台公钥和关联服务标识进行哈希运算，获得所述目标业务平台的申请标识；

将所述目标业务平台的平台名称、平台域名、平台公钥、关联服务标识和申请标识作为所述目标业务平台的申请信息；

将所述目标业务平台的申请信息保存至所述申请列表，并将所述目标业务平台的申请信息标记为待审核状态。

在可选的实施方式中，所述根据运维人员发送的所述目标业务平台的申请审核指令，对所述目标业务平台的申请信息进行审核，并在所述目标业务平台的申请信息通过审核的情况下，生成所述目标业务平台的根令牌发送给所述目标业务平台的步骤，包括：

接收运维人员发送的所述目标业务平台的申请审核指令，获得所述申请审核指令中的审核意见、申请标识和数字签名；

在所述申请审核指令中的审核意见为不同意的情况下，判定所述目标业务平台的申请信息未通过审核，并将所述目标业务平台的申请信息标记为审核未通过状态；

在所述申请审核指令中的审核意见为同意的情况下，根据所述申请列表对所述申请审核指令中的申请标识进行验证，并根据所述目标业务平台的平台公钥对所述申请审核指令中的数字签名进行验证；

若所述申请审核指令中的申请标识和/或数字数字签名未通过验证，则判定所述目标业务平台的申请信息未通过审核，并将所述目标业务平台的申请信息标记为审核未通过状态；

若所述申请审核指令中的申请标识和数字签名均通过验证，则判定所述目标业务平台的申请信息通过审核，并将所述目标业务平台的申请信息标记为审核通过状态；

在所述目标业务平台的申请信息通过审核的情况下，根据所述目标业务平台的平台公钥和申请标识进行加密运算，得到所述目标业务平台的根令牌并发送给所述目标业务平台。

在可选的实施方式中，所述接收所述目标业务平台基于其根令牌发送的服务访问申请，并对所述服务访问申请进行验证的步骤，包括：

接收所述目标业务平台基于其根令牌发送的服务访问申请，获得所述服务访问申请中的申请标识、数字签名和根令牌；

根据所述申请列表对所述服务访问申请中的申请标识进行验证，并根据所述目标业务平台的平台公钥对所述服务访问申请中的数字签名进行验证，以及根据所述目标业务平台的平台公钥和申请标识对所述服务访问申请中的根令牌进行验证；

在所述服务访问申请中的申请标识、根令牌和数字签名中任意一个未通过验证的情况下，判定所述服务访问申请未通过验证；

在所述服务访问申请中的申请标识、根令牌和数字签名均通过验证的情况下，判定所述服务访问申请通过验证。

在可选的实施方式中，所述服务权限管理方法还包括：

接收运维人员发送的服务权限禁用指令，获得所述服务权限禁用指令中的数字签名和申请标识；

通过对所述服务权限禁用指令中的数字签名进行验证，以对所述运维人员进行身份验证；

在所述服务权限禁用指令中的数字签名通过验证的情况下，在所述申请列表的全部申请信息中，获取包含所述服务权限禁用指令中申请标识的待处理申请信息；

通过在所述申请列表中删除所述待处理申请信息，以禁用所述待处理申请信息所属的业务平台的服务访问权限。

第二方面，本发明提供一种服务权限管理装置，应用于区块链网络中的任一节点设备，所述节点设备与多个服务端和多个业务平台通信连接，所述节点设备部署有主控智能合约，所述主控智能合约包含服务列表和申请列表，所述服务权限管理装置包括：

申请信息接收模块，用于接收目标业务平台发送的服务权限申请，获得所述目标业务平台的基本信息，所述基本信息包括关联服务标识；其中所述目标业务平台为任意一个业务平台；

在所述服务列表的全部服务信息中查找到所述目标业务平台的关联服务标识的情况下，根据所述目标业务平台的基本信息，获得所述目标业务平台的申请信息并保存至所述申请列表；

申请信息审核模块，用于根据运维人员发送的所述目标业务平台的申请审核指令，对所述目标业务平台的申请信息进行审核，并在所述目标业务平台的申请信息通过审核的情况下，生成所述目标业务平台的根令牌发送给所述目标业务平台；

访问权限管理模块，用于接收所述目标业务平台基于其根令牌发送的服务访问申请，并对所述服务访问申请进行验证，在所述服务访问申请通过验证的情况下，确定所述目标业务平台的关联服务标识所对应的目标服务端；

向所述目标服务端发送访问令牌获取请求，并接收所述目标服务端返回的访问令牌，通过将所述目标服务端的服务信息和访问令牌发送给所述目标业务平台，以使所述目标业务平台具有所述目标服务端的访问权限。

第三方面，本发明提供一种节点设备，所述节点设备设置于区块链网络中，所述节点设备包括处理器和存储器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现前述实施方式中任一项所述的服务权限管理方法。

第四方面，本发明提供一种系统，所述系统包括服务端、业务平台以及前述实施方式所述的节点设备。

第五方面，本发明提供一种存储介质，所述存储介质上存储有计算机程序，该计算机程序被处理器执行时，实现前述实施方式中任一项所述的服务权限管理方法。

本发明提供的服务权限管理方法、装置、节点设备、系统和存储介质，区块链网络中的节点设备部署有主控智能合约，节点设备接收目标业务平台发送的服务权限申请获得基本信息和其中的关联服务标识；在服务列表中查找到关联服务标识时，根据目标业务平台的基本信息获得申请信息并保存至申请列表；根据运维人员发送的申请审核指令对目标业务平台的申请信息进行审核，当通过审核时生成根令牌并发送给目标业务平台；接收目标业务平台基于其根令牌发送的服务访问申请并进行验证，当通过验证时确定目标服务端并向其发送访问令牌获取请求，将目标服务端的返回的访问令牌和其服务信息发送给目标业务平台，以使目标业务平台具有目标服务端的访问权限。通过去中心化的区块链网络架构来对服务权限进行管理，避免了单点故障，保障了服务权限的安全性和可靠性，提高了系统的稳定性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本发明实施例提供的系统的示意图；

图2示出了本发明实施例提供节点设备的方框示意图；

图3示出了本发明实施例提供的服务权限管理方法的一种流程示意图；

图4示出了本发明实施例提供的服务权限管理装置的一种功能模块图。

图标：110-总线；120-处理器；130-存储器；150-I/O模块；170-通信模块；300-服务权限管理装置；310-服务信息生成模块；330-申请信息接收模块；350-申请信息审核模块；370-访问权限管理模块。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

请参阅图1，是本发明实施例提供的系统的示意图。系统包括服务端、业务平台以及区块链网络中的节点设备，其中图1所示的服务端、业务平台以及节点设备的个数仅仅为示例，其不对本发明构成限定，可以按照实际情况设置。

服务端是指在微服务模式中用于提供特定功能的设备。业务平台是指需要通过访问服务来执行业务流程的设备。节点设备是指在区块链网络中参与数据记录、传输和验证的计算机或设备；每个节点设备都保有区块链的一份完整副本，通过加密算法和共识机制与其它节点设备进行通信和协调，共同维护整个区块链网络的安全性和一致性；节点设备可以是个人设备、服务器或大型数据中心等。

区块链是一种去中心化的分布式数据库技术，它可以记录交易、事件或数据，同时确保这些记录是不可篡改和透明的。区块链的核心思想是通过使用密码学技术和分布式共识算法来确保交易和数据的安全性和可靠性，而无需依赖于集中式机构或第三方中介。区块链的基本组成部分是“区块”，每个区块包含一些交易或数据，以及一些元数据，例如时间戳和前一个区块的哈希值。这些区块被链接在一起形成一个不断增长的链，因此得名“区块链”。

在密码学技术中，密钥是指用于加密、解密和完整性验证等密码学应用的秘密信息。在对称密码学中，加密和解密过程使用的是同一个密钥。在非对称密码学中，密钥分为公钥和私钥，公钥可以公开而私钥必须保密。

可以理解为，本发明正是通过区块链这种去中心化的系统架构来对服务权限进行管理，以确保服务权限的安全性和可靠性，避免了单点故障，提高了系统的稳定性，确保系统正常运行。

请参阅图2，是本发明实施例提供的节点设备的方框示意图。节点设备包括总线110、处理器120、存储器130、I/O模块150和通信模块170。

总线110可以是将上述元件相互连接并在元件之间传递通信的电路。

处理器120可以通过总线110从上述其它元件(例如存储器130、I/O模块150、通信模块170等)接收指令，可以解释接收到的指令，并可以根据所解释的指令来执行计算或数据处理。处理器120可以是一种集成电路芯片，具有信号处理能力。该处理器120可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(NetworkProcessor，NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

存储器130可以存储从处理器120或其它元件(例如I/O模块150、通信模块170等)接收的指令或数据或者由处理器120或其它元件产生的指令或数据。存储器130可以是但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(ElectricErasable Programmable Read-Only Memory，EEPROM)。

I/O模块150可以接收经由输入-输出手段(例如传感器、键盘、触摸屏等)从用户输入的指令或数据，并可以通过总线110向处理器120或存储器130传送接收到的指令或数据。并且用于显示从上述元件接收、存储、处理的各种信息，可以向用户显示视频、图像、数据等。

通信模块170可用于与其他设备进行信令或数据的通信。

可以理解的是，图2所示的结构仅为节点设备的结构示意图，节点设备还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。

需要说明的是，节点设备部署有主控智能合约，并且由于区块链具有信息共享的特性，在区块链网络中的任意一个节点设备部署主控智能合约，那么区块链网络中的所有节点设备都会同步部署主控智能合约。节点设备通过运行主控智能合约实现本发明实施例提供的服务权限管理方法。

下面将以上述的节点设备作为执行主体，执行本发明实施例提供的各个方法中的各个步骤，并实现的对应技术效果。

请参阅图3，图3是本发明实施例提供的服务权限管理方法的一种流程示意图。

步骤S210，接收目标业务平台发送的服务权限申请，获得目标业务平台的基本信息，基本信息包括关联服务标识；其中目标业务平台为任意一个业务平台；

步骤S212，在服务列表的全部服务信息中查找到目标业务平台的关联服务标识的情况下，根据目标业务平台的基本信息，获得目标业务平台的申请信息并保存至申请列表；

可以理解的是，每个业务平台向节点设备申请服务的访问权限的方式类似，为了简要，本发明实施例是将任意一个业务平台作为目标业务平台来进行示例说明。

在本实施例中，节点设备部署有主控智能合约，并且主控智能合约包含服务列表和申请列表。服务列表可以理解为用于存储服务信息的数据存储结构，比如可以用serv[d]表示服务列表。申请列表可以理解为用于存储申请信息的数据存储结构，比如可以用sys[n]表示申请列表。

目标业务平台可以向节点设备发送服务权限申请，来触发权限申请函数以申请某一服务的访问权限；节点设备接收目标业务平台发送的服务权限申请，并从该服务权限申请中获得目标业务平台的基本信息，该基本信息包括关联服务标识，目标业务平台的关联服务标识可以理解为目标业务平台申请的服务的标识。

然后节点设备在服务列表的全部服务信息中，对目标业务平台的关联服务标识进行查找。如果未查找到目标业务平台的关联服务标识，则说明不存在目标业务平台申请的服务，那么就向目标业务平台返回申请失败消息；如果查找到目标业务平台的关联服务标识，则说明存在目标业务平台申请的服务，那么就根据目标业务平台的基本信息，获得目标业务平台的申请信息并将其保存到申请列表中。

步骤S214，根据运维人员发送的目标业务平台的申请审核指令，对目标业务平台的申请信息进行审核，并在目标业务平台的申请信息通过审核的情况下，生成目标业务平台的根令牌发送给目标业务平台；

步骤S216，接收目标业务平台基于其根令牌发送的服务访问申请，并对服务访问申请进行验证，在服务访问申请通过验证的情况下，确定目标业务平台的关联服务标识所对应的目标服务端；

在本实施例中，为了保证服务权限的安全性，以确保申请服务的业务平台与该服务提供的功能匹配，故在获得业务平台的申请信息后还需要对其进行审核。即主控智能合约的运维人员，可以通过对目标业务平台的申请信息执行审核操作，来生成目标业务平台的申请审核指令。

节点设备接收运维人员发送的目标业务平台的申请审核指令，并对目标业务平台的申请信息进行审核。如果目标业务平台的申请信息未通过审核，则向目标业务平台返回申请失败消息；如果目标业务平台的申请信息通过审核，则生成目标业务平台的根令牌并发送给目标业务平台。

目标业务平台获得根令牌即表示目标业务平台具有其申请的服务的基本身份，那么目标业务平台就可以基于其根令牌向节点设备发送服务访问申请，来触发服务访问申请函数以申请服务的访问令牌。

节点设备接收目标业务平台发送的服务访问申请，并对服务访问申请进行验证。如果服务访问申请未通过验证，则向目标业务平台返回申请失败消息；如果服务访问申请通过验证，则基于目标业务平台的关联服务标识确定其对应的目标服务端。

步骤S218，向目标服务端发送访问令牌获取请求，并接收目标服务端返回的访问令牌，通过将目标服务端的服务信息和访问令牌发送给目标业务平台，以使目标业务平台具有目标服务端的访问权限；

在本实施例中，节点设备在确定出目标服务端后，向目标服务端发送访问令牌获取请求；目标服务端接收到访问令牌获取请求，按照自定义的规则生成访问令牌及其有效时限并返回给节点设备，该访问令牌可以理解为用于访问目标服务端的临时令牌。

节点设备接收目标服务端返回的访问令牌及其有效时限，并将目标服务端的服务信息和访问令牌及其有效时限进行加密后，发送给目标业务平台，以使目标业务平台具有目标服务端的访问权限。即目标业务平台可以基于的目标服务端的服务信息和访问令牌，在有效时限内访问目标服务端并使用其提供的功能。

可以理解为，本发明实施例是通过在区块链网络中的节点设备部署主控智能合约，并利用主控智能合约来管理业务平台对服务的访问权限。即通过去中心化的区块链网络架构来对服务权限进行管理，避免了单点故障，保障了服务权限的安全性和可靠性，提高了系统的稳定性。

可见基于上述步骤，区块链网络中的节点设备部署有主控智能合约，节点设备接收目标业务平台发送的服务权限申请获得基本信息和其中的关联服务标识；在服务列表中查找到关联服务标识时，根据目标业务平台的基本信息获得申请信息并保存至申请列表；根据运维人员发送的申请审核指令对目标业务平台的申请信息进行审核，当通过审核时生成根令牌并发送给目标业务平台；接收目标业务平台基于其根令牌发送的服务访问申请并进行验证，当通过验证时确定目标服务端并向其发送访问令牌获取请求，将目标服务端的返回的访问令牌和其服务信息发送给目标业务平台，以使目标业务平台具有目标服务端的访问权限。通过去中心化的区块链网络架构来对服务权限进行管理，避免了单点故障，保障了服务权限的安全性和可靠性，提高了系统的稳定性。

可选地，对于上述服务列表中的服务信息，本发明实施例提供了一种获得服务信息的实现方式。

步骤S202，接收运维人员发送的服务注册指令，获得服务注册指令中的数字签名和待注册服务端的服务名称、IP地址、访问端口和服务公钥；

步骤S204，通过对服务注册指令中的数字签名进行验证，以对运维人员进行身份验证；

步骤S206，在服务注册指令中的数字签名通过验证的情况下，根据待注册服务端的IP地址、访问端口和服务公钥进行哈希运算，得到待注册服务端的服务标识；

步骤S208，将待注册服务端的服务名称、IP地址、访问端口、服务公钥和服务标识，作为待注册服务端的服务信息并保存至服务列表。

在本实施例中，运维人员可以通过执行服务注册操作，来触发服务注册函数以生成服务注册指令。节点设备接收运维人员发送的服务注册指令，获得服务注册指令中的数字签名和待注册服务端的服务名称、IP地址、访问端口和服务公钥，该服务注册指令中的数字签名是根据运维人员输入的账号私钥生成的。

节点设备通过主控智能合约中预存的多个账号的公钥，对服务注册指令中的数字签名进行验证，来对运维人员进行身份验证。如果服务注册指令中的数字签名未通过验证，则说明身份验证失败，那么就会返回服务注册失败消息。

如果服务注册指令中的数字签名通过验证，则说明身份验证成功，那么就根据待注册服务端的IP地址、访问端口和服务公钥进行哈希运算，得到待注册服务端的服务标识，然后将待注册服务端的服务名称、IP地址、访问端口、服务公钥和服务标识，作为待注册服务端的服务信息并将其保存到服务列表中。

可选地，对于步骤S212中根据目标业务平台的基本信息，获得目标业务平台的申请信息并保存至申请列表的过程，本发明实施例提供了一种可能的实现方式。

步骤S212-1，根据目标业务平台的平台名称、平台域名、平台公钥和关联服务标识进行哈希运算，获得目标业务平台的申请标识；

步骤S212-3，将目标业务平台的平台名称、平台域名、平台公钥、关联服务标识和申请标识作为目标业务平台的申请信息；

步骤S212-5，将目标业务平台的申请信息保存至申请列表，并将目标业务平台的申请信息标记为待审核状态。

可以理解的是，业务平台的基本信息包括业务平台的平台名称、平台域名、平台公钥和关联服务标识。

在本实施例中，节点设备获得目标业务平台的关联服务标识后，可以通过在服务列表中查找是否存在目标业务平台的关联服务标识，来判断是否存在目标业务平台所申请的服务。如果在服务列表中未查找到目标业务平台的关联服务，则说明不存在目标业务平台申请的服务，那么就向目标业务平台返回申请失败消息。

如果在服务列表中查找到目标业务平台的关联服务标识，则说明存在目标业务平台申请的服务，那么就根据目标业务平台的平台名称、平台域名、平台公钥和关联服务标识进行哈希运算，获得目标业务平台的申请标识，然后将目标业务平台的平台名称、平台域名、平台公钥、关联服务标识和申请标识作为目标业务平台的申请信息，并且将目标业务平台的申请信息保存至申请列表，以及将目标业务平台的申请信息标记为待审核状态。

可选地，对于步骤S214，本发明实施例提供了一种可能的实现方式。

步骤S214-1，接收运维人员发送的目标业务平台的申请审核指令，获得申请审核指令中的审核意见、申请标识和数字签名；

步骤S214-3，在申请审核指令中的审核意见为不同意的情况下，判定目标业务平台的申请信息未通过审核，并将目标业务平台的申请信息标记为审核未通过状态；

步骤S214-5，在申请审核指令中的审核意见为同意的情况下，根据申请列表对申请审核指令中的申请标识进行验证，并根据目标业务平台的平台公钥对申请审核指令中的数字签名进行验证；

步骤S214-7A，若申请审核指令中的申请标识和/或数字数字签名未通过验证，则判定目标业务平台的申请信息未通过审核，并将目标业务平台的申请信息标记为审核未通过状态；

步骤S214-7B，若申请审核指令中的申请标识和数字签名均通过验证，则判定目标业务平台的申请信息通过审核，并将目标业务平台的申请信息标记为审核通过状态；

步骤S214-9，在目标业务平台的申请信息通过审核的情况下，根据目标业务平台的平台公钥和申请标识进行加密运算，得到目标业务平台的根令牌并发送给目标业务平台。

在本实施例中，运维人员可以通过对目标业务平台的申请信息执行审核操作，来触发申请审核函数以生成目标业务平台的申请审核指令。节点设备接收运维人员发送的申请审核指令，获得申请审核指令中的审核意见、申请标识和数字签名，该申请审核指令中的数字签名是根据运维人员输入的平台私钥生成的。

节点设备对申请审核指令中的审核意见进行验证。即如果申请审核指令中的审核意见为不同意如False，那么就判定目标业务平台的申请信息未通过审核，并且将目标业务平台的申请信息标记为审核未通过状态；如果申请审核指令中的审核意见为同意如True，那么就对申请审核指令中的申请标识和数字签名分别进行验证。

节点设备可以通过在申请列表中，查找是否存在申请审核指令中的申请标识来对其进行验证。如果在申请列表中未查找到申请审核指令中的申请标识，则判定申请审核指令中的申请标识未通过验证；如果在申请列表中查找到申请审核指令中的申请标识，则判定申请审核指令中的申请标识通过验证。

节点设备可以根据目标业务平台的平台公钥，来对申请审核指令中的数字签名进行验证。如果申请审核指令中的数字签名未通过验证，则说明申请审核指令中的数字签名不是基于目标业务平台的平台私钥生成的，即身份验证失败；如果申请审核指令中的数字签名通过验证，则说明申请审核指令中的数字签名是基于目标业务平台的平台私钥生成的，即身份验证成功。

在申请审核指令中的审核意见为同意的情况下，如果申请审核指令中的申请标识和/或数字数字签名未通过验证，那么就判定目标业务平台的申请信息未通过审核，并且将目标业务平台的申请信息标记为审核未通过状态；如果申请审核指令中的申请标识和数字签名都通过验证，那么就判定目标业务平台的申请信息通过审核，并且将目标业务平台的申请信息标记为审核通过状态。

在目标业务平台的申请信息通过审核的情况下，根据目标业务平台的平台公钥和申请标识进行加密运算，得到目标业务平台的根令牌并将其发送给目标业务平台，以使目标业务平台具有其申请的服务的基本身份。

可选地，对于步骤S216中接收目标业务平台基于其根令牌发送的服务访问申请，并对服务访问申请进行验证的过程，本发明实施例提供了一种可能的实现方式。

步骤S216-1，接收目标业务平台基于其根令牌发送的服务访问申请，获得服务访问申请中的申请标识、数字签名和根令牌；

步骤S216-3，根据申请列表对服务访问申请中的申请标识进行验证，并根据目标业务平台的平台公钥对服务访问申请中的数字签名进行验证，以及根据目标业务平台的平台公钥和申请标识对服务访问申请中的根令牌进行验证；

步骤S216-5，在服务访问申请中的申请标识、根令牌和数字签名中任意一个未通过验证的情况下，判定服务访问申请未通过验证；

步骤S216-7，在服务访问申请中的申请标识、根令牌和数字签名均通过验证的情况下，判定服务访问申请通过验证。

在本实施例中，节点设备接收到目标业务平台基于其根令牌发送的服务访问申请，获得服务访问申请中的申请标识、数字签名和根令牌，该服务访问申请中的数字签名是根据目标业务平台的管理员输入的平台私钥生成的，再对服务访问申请中的申请标识、数字签名和根令牌分别进行验证。

节点设备可以通过在申请列表中，查找是否存在服务访问申请中的申请标识来对其进行验证。如果在申请列表中未查找到服务访问申请中的申请标识，则判定服务访问申请中的申请标识未通过验证；如果在申请列表中查找到服务访问申请中的申请标识，并且该申请标识所属的申请信息处于审核通过的状态，则判定服务访问申请中的申请标识通过验证。

节点设备可以根据目标业务平台的平台公钥，来对服务访问申请中的数字签名进行验证。如果服务访问申请中的数字签名未通过验证，则说明服务访问申请中的数字签名不是基于目标业务平台的平台私钥生成的，即身份验证失败；如果服务访问申请中的数字签名通过验证，则说明服务访问申请中的数字签名是基于目标业务平台的平台私钥生成的，即身份验证成功。

节点设备可以将根据目标业务平台的平台公钥和申请标识进行加密运算所得到的根令牌，与服务访问申请中的根令牌进行对比来对其进行验证。如果经比对两者不一致，则判定服务访问申请中的根令牌未通过验证；如果经比对两者一致，则判定服务访问申请中的根令牌通过验证。

如果服务访问申请中的申请标识、根令牌和数字签名中任意一个未通过验证，则判定服务访问申请未通过验证；如果服务访问申请中的申请标识、根令牌和数字签名都通过验证，则判定服务访问申请通过验证。

可选地，运维人员还可以取消任何一个业务平台对某一服务的访问许可，进而本发明实施例提供了一种可能的实现方式。

步骤S220，接收运维人员发送的服务权限禁用指令，获得服务权限禁用指令中的数字签名和申请标识；

步骤S222，通过对服务权限禁用指令中的数字签名进行验证，以对运维人员进行身份验证；

步骤S224，在服务权限禁用指令中的数字签名通过验证的情况下，在申请列表的全部申请信息中，获取包含服务权限禁用指令中申请标识的待处理申请信息；

步骤S226，通过在申请列表中删除待处理申请信息，以禁用待处理申请信息所属的业务平台的服务访问权限。

在本实施例中，运维人员可以通过执行服务权限取消操作，来触发服务权限禁用函数以生成服务权限禁用指令。节点设备接收运维人员发送的服务权限禁用指令，获得服务权限禁用指令中的数字签名和申请标识。

节点设备通过主控智能合约中预存的多个账号的公钥，对服务权限禁用指令中的数字签名进行验证，来对运维人员进行身份验证。如果服务权限禁用指令中的数字签名未通过验证，则说明身份验证失败，那么就会返回权限禁用失败消息。

如果服务权限禁用指令中的数字签名通过验证，则说明身份验证成功，那么就在申请列表的全部申请信息中，获取包含申请标识的待处理申请信息，并且通过在申请列表中删除待处理申请信息，来禁用待处理申请信息所属的业务平台的服务访问权限，即取消该业务平台对待处理申请信息中关联服务标识所对应的服务端的访问权限。

可以理解为，本发明实施例是通过在申请列表中删除业务平台的申请信息，来使申请列表中无业务平台对某一服务的申请信息，那么在业务平台对该服务发起服务访问申请时，由于申请列表没有业务平台对该服务的申请信息，则服务访问申请无法通过验证，那么就不会向业务平台发放该服务的访问令牌，从而取消业务平台对该服务的访问权限。

为了执行上述实施例及各个可能的方式中的相应步骤，下面给出一种服务权限管理装置的实现方式。请参阅图4，图4为本发明实施例提供的服务权限管理装置300的一种功能模块图。需要说明的是，本实施例提供的服务权限管理装置300，其基本原理及产生的技术效果和上述实施例相同，为简要描述，本实施例未提及之处，可参考上述实施例中相应的内容。该服务权限管理装置300包括：

申请信息接收模块330，用于接收目标业务平台发送的服务权限申请，获得目标业务平台的基本信息，基本信息包括关联服务标识；其中目标业务平台为任意一个业务平台；

在服务列表的全部服务信息中查找到目标业务平台的关联服务标识的情况下，根据目标业务平台的基本信息，获得目标业务平台的申请信息并保存至申请列表；

申请信息审核模块350，用于根据运维人员发送的目标业务平台的申请审核指令，对目标业务平台的申请信息进行审核，并在目标业务平台的申请信息通过审核的情况下，生成目标业务平台的根令牌发送给目标业务平台；

访问权限管理模块370，用于接收目标业务平台基于其根令牌发送的服务访问申请，并对服务访问申请进行验证，在服务访问申请通过验证的情况下，确定目标业务平台的关联服务标识所对应的目标服务端；

向目标服务端发送访问令牌获取请求，并接收目标服务端返回的访问令牌，通过将目标服务端的服务信息和访问令牌发送给目标业务平台，以使目标业务平台具有目标服务端的访问权限。

可选地，服务权限管理装置300还包括服务信息生成模块310，用于：接收运维人员发送的服务注册指令，获得服务注册指令中的数字签名和待注册服务端的服务名称、IP地址、访问端口和服务公钥；通过对服务注册指令中的数字签名进行验证，以对运维人员进行身份验证；在服务注册指令中的数字签名通过验证的情况下，根据待注册服务端的IP地址、访问端口和服务公钥进行哈希运算，得到待注册服务端的服务标识；将待注册服务端的服务名称、IP地址、访问端口、服务公钥和服务标识，作为待注册服务端的服务信息并保存至服务列表。

可选地，申请信息接收模块330还用于：根据目标业务平台的平台名称、平台域名、平台公钥和关联服务标识进行哈希运算，获得目标业务平台的申请标识；将目标业务平台的平台名称、平台域名、平台公钥、关联服务标识和申请标识作为目标业务平台的申请信息；将目标业务平台的申请信息保存至申请列表，并将目标业务平台的申请信息标记为待审核状态。

可选地，申请信息审核模块350还用于：接收运维人员发送的目标业务平台的申请审核指令，获得申请审核指令中的审核意见、申请标识和数字签名；在申请审核指令中的审核意见为不同意的情况下，判定目标业务平台的申请信息未通过审核，并将目标业务平台的申请信息标记为审核未通过状态；在申请审核指令中的审核意见为同意的情况下，根据申请列表对申请审核指令中的申请标识进行验证，并根据目标业务平台的平台公钥对申请审核指令中的数字签名进行验证；若申请审核指令中的申请标识和/或数字数字签名未通过验证，则判定目标业务平台的申请信息未通过审核，并将目标业务平台的申请信息标记为审核未通过状态；若申请审核指令中的申请标识和数字签名均通过验证，则判定目标业务平台的申请信息通过审核，并将目标业务平台的申请信息标记为审核通过状态；在目标业务平台的申请信息通过审核的情况下，根据目标业务平台的平台公钥和申请标识进行加密运算，得到目标业务平台的根令牌并发送给目标业务平台。

可选地，访问权限管理模块370还用于：接收目标业务平台基于其根令牌发送的服务访问申请，获得服务访问申请中的申请标识、数字签名和根令牌；根据申请列表对服务访问申请中的申请标识进行验证，并根据目标业务平台的平台公钥对服务访问申请中的数字签名进行验证，以及根据目标业务平台的平台公钥和申请标识对服务访问申请中的根令牌进行验证；在服务访问申请中的申请标识、根令牌和数字签名中任意一个未通过验证的情况下，判定服务访问申请未通过验证；在服务访问申请中的申请标识、根令牌和数字签名均通过验证的情况下，判定服务访问申请通过验证。

可选地，访问权限管理模块370还用于：接收运维人员发送的服务权限禁用指令，获得服务权限禁用指令中的数字签名和申请标识；通过对服务权限禁用指令中的数字签名进行验证，以对运维人员进行身份验证；在服务权限禁用指令中的数字签名通过验证的情况下，在申请列表的全部申请信息中，获取包含服务权限禁用指令中申请标识的待处理申请信息；通过在申请列表中删除待处理申请信息，以禁用待处理申请信息所属的业务平台的服务访问权限。

本发明实施例还提供了一种节点设备，其设置于区块链网络中并包括处理器和存储器，存储器存储有计算机程序，处理器执行计算机程序时，实现本发明实施例揭示的服务权限管理方法。

本发明实施例还提供了一种系统，其包括服务端、业务平台以及本发明实施例提供的节点设备。

本发明实施例还提供了一种存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，实现本发明实施例揭示的服务权限管理方法。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种服务权限管理方法，其特征在于，应用于区块链网络中的任一节点设备，所述节点设备与多个服务端和多个业务平台通信连接，所述节点设备部署有主控智能合约，所述主控智能合约包含服务列表和申请列表，所述服务权限管理方法包括：

接收目标业务平台发送的服务权限申请，获得所述目标业务平台的基本信息，所述基本信息包括关联服务标识；其中所述目标业务平台为任意一个业务平台；

在所述服务列表的全部服务信息中查找到所述目标业务平台的关联服务标识的情况下，根据所述目标业务平台的基本信息，获得所述目标业务平台的申请信息并保存至所述申请列表；

根据运维人员发送的所述目标业务平台的申请审核指令，对所述目标业务平台的申请信息进行审核，并在所述目标业务平台的申请信息通过审核的情况下，生成所述目标业务平台的根令牌发送给所述目标业务平台；

接收所述目标业务平台基于其根令牌发送的服务访问申请，并对所述服务访问申请进行验证，在所述服务访问申请通过验证的情况下，确定所述目标业务平台的关联服务标识所对应的目标服务端；

向所述目标服务端发送访问令牌获取请求，并接收所述目标服务端返回的访问令牌，通过将所述目标服务端的服务信息和访问令牌发送给所述目标业务平台，以使所述目标业务平台具有所述目标服务端的访问权限。

2.根据权利要求1所述的服务权限管理方法，其特征在于，所述服务列表中的任意一个服务信息是按照以下方式得到的：

接收运维人员发送的服务注册指令，获得所述服务注册指令中的数字签名和待注册服务端的服务名称、IP地址、访问端口和服务公钥；

通过对所述服务注册指令中的数字签名进行验证，以对所述运维人员进行身份验证；

在所述服务注册指令中的数字签名通过验证的情况下，根据所述待注册服务端的IP地址、访问端口和服务公钥进行哈希运算，得到所述待注册服务端的服务标识；

将所述待注册服务端的服务名称、IP地址、访问端口、服务公钥和服务标识，作为所述待注册服务端的服务信息并保存至所述服务列表。

3.根据权利要求1所述的服务权限管理方法，其特征在于，所述基本信息还包括平台名称、平台域名和平台公钥；

所述根据所述目标业务平台的基本信息，获得所述目标业务平台的申请信息并保存至所述申请列表的步骤，包括：

根据所述目标业务平台的平台名称、平台域名、平台公钥和关联服务标识进行哈希运算，获得所述目标业务平台的申请标识；

将所述目标业务平台的平台名称、平台域名、平台公钥、关联服务标识和申请标识作为所述目标业务平台的申请信息；

将所述目标业务平台的申请信息保存至所述申请列表，并将所述目标业务平台的申请信息标记为待审核状态。

4.根据权利要求3所述的服务权限管理方法，其特征在于，所述根据运维人员发送的所述目标业务平台的申请审核指令，对所述目标业务平台的申请信息进行审核，并在所述目标业务平台的申请信息通过审核的情况下，生成所述目标业务平台的根令牌发送给所述目标业务平台的步骤，包括：

接收运维人员发送的所述目标业务平台的申请审核指令，获得所述申请审核指令中的审核意见、申请标识和数字签名；

在所述申请审核指令中的审核意见为不同意的情况下，判定所述目标业务平台的申请信息未通过审核，并将所述目标业务平台的申请信息标记为审核未通过状态；

在所述申请审核指令中的审核意见为同意的情况下，根据所述申请列表对所述申请审核指令中的申请标识进行验证，并根据所述目标业务平台的平台公钥对所述申请审核指令中的数字签名进行验证；

若所述申请审核指令中的申请标识和/或数字数字签名未通过验证，则判定所述目标业务平台的申请信息未通过审核，并将所述目标业务平台的申请信息标记为审核未通过状态；

若所述申请审核指令中的申请标识和数字签名均通过验证，则判定所述目标业务平台的申请信息通过审核，并将所述目标业务平台的申请信息标记为审核通过状态；

在所述目标业务平台的申请信息通过审核的情况下，根据所述目标业务平台的平台公钥和申请标识进行加密运算，得到所述目标业务平台的根令牌并发送给所述目标业务平台。

5.根据权利要求3所述的服务权限管理方法，其特征在于，所述接收所述目标业务平台基于其根令牌发送的服务访问申请，并对所述服务访问申请进行验证的步骤，包括：

接收所述目标业务平台基于其根令牌发送的服务访问申请，获得所述服务访问申请中的申请标识、数字签名和根令牌；

根据所述申请列表对所述服务访问申请中的申请标识进行验证，并根据所述目标业务平台的平台公钥对所述服务访问申请中的数字签名进行验证，以及根据所述目标业务平台的平台公钥和申请标识对所述服务访问申请中的根令牌进行验证；

在所述服务访问申请中的申请标识、根令牌和数字签名中任意一个未通过验证的情况下，判定所述服务访问申请未通过验证；

在所述服务访问申请中的申请标识、根令牌和数字签名均通过验证的情况下，判定所述服务访问申请通过验证。

6.根据权利要求3所述的服务权限管理方法，其特征在于，所述服务权限管理方法还包括：

接收运维人员发送的服务权限禁用指令，获得所述服务权限禁用指令中的数字签名和申请标识；

通过对所述服务权限禁用指令中的数字签名进行验证，以对所述运维人员进行身份验证；

在所述服务权限禁用指令中的数字签名通过验证的情况下，在所述申请列表的全部申请信息中，获取包含所述服务权限禁用指令中申请标识的待处理申请信息；

通过在所述申请列表中删除所述待处理申请信息，以禁用所述待处理申请信息所属的业务平台的服务访问权限。

7.一种服务权限管理装置，其特征在于，应用于区块链网络中的任一节点设备，所述节点设备与多个服务端和多个业务平台通信连接，所述节点设备部署有主控智能合约，所述主控智能合约包含服务列表和申请列表，所述服务权限管理装置包括：

申请信息接收模块，用于接收目标业务平台发送的服务权限申请，获得所述目标业务平台的基本信息，所述基本信息包括关联服务标识；其中所述目标业务平台为任意一个业务平台；

在所述服务列表的全部服务信息中查找到所述目标业务平台的关联服务标识的情况下，根据所述目标业务平台的基本信息，获得所述目标业务平台的申请信息并保存至所述申请列表；

申请信息审核模块，用于根据运维人员发送的所述目标业务平台的申请审核指令，对所述目标业务平台的申请信息进行审核，并在所述目标业务平台的申请信息通过审核的情况下，生成所述目标业务平台的根令牌发送给所述目标业务平台；

访问权限管理模块，用于接收所述目标业务平台基于其根令牌发送的服务访问申请，并对所述服务访问申请进行验证，在所述服务访问申请通过验证的情况下，确定所述目标业务平台的关联服务标识所对应的目标服务端；

向所述目标服务端发送访问令牌获取请求，并接收所述目标服务端返回的访问令牌，通过将所述目标服务端的服务信息和访问令牌发送给所述目标业务平台，以使所述目标业务平台具有所述目标服务端的访问权限。

8.一种节点设备，其特征在于，所述节点设备设置于区块链网络中，所述节点设备包括处理器和存储器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现权利要求1至6中任一项所述的服务权限管理方法。

9.一种系统，其特征在于，所述系统包括服务端、业务平台以及权利要求8所述的节点设备。

10.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，该计算机程序被处理器执行时，实现权利要求1至6中任一项所述的服务权限管理方法。