WO2020238238A1

WO2020238238A1 - 创建区块链账户及验证区块链交易的方法及装置

Info

Publication number: WO2020238238A1
Application number: PCT/CN2020/071142
Authority: WO
Inventors: 左军
Original assignee: 创新先进技术有限公司
Priority date: 2019-05-31
Filing date: 2020-01-09
Publication date: 2020-12-03
Also published as: CN110264354A; TW202046221A; TWI726581B; CN110264354B

Abstract

一种创建区块链账户和验证区块链交易的方法和装置，所述方法允许用户100针对拥有的秘钥设置秘钥控制规则，该秘钥控制规则可以是秘钥标识、行为标识、权限设定的三元组的形式。用户100可以在创建账户的交易中包含该秘钥控制规则。如此，作为区块链网络中全节点的区块链平台300可以在创建账户时，存储该秘钥控制规则，使得该账户100具有秘钥访问控制功能。在用户100利用已创建的账户发起后续交易时，区块链平台300就可以基于所存储的秘钥控制规则，对后续交易进行验证。

Description

创建区块链账户及验证区块链交易的方法及装置

技术领域

本说明书一个或多个实施例涉及区块链技术领域，尤其涉及基于秘钥访问控制创建区块链账户及验证区块链交易的方法和装置。

背景技术

在新一代区块链中，例如在以太坊中，新增了账户的概念，其中，用户可以通过区块链平台创建账户，在这样的场景中，区块链平台作用为区块链网络中的全节点，用户创建的账户为以太坊中的外部账户。在区块链网络的各个全节点中，在节点本地的数据库中以状态树的形式维持区块链中全部账户的数据表，该状态树为账户地址与账户内容之间的映射，所述账号内容包括，账户余额、账户密钥信息(哈希值)等。

目前，在一些区块链平台中，每个账户可以拥有多对秘钥，其中，每对秘钥包含一个公钥和一个私钥，私钥可以用于进行数字签名，公钥可以用于验证签名。在拥有多对秘钥的情况下，如何对这些秘钥进行管理和访问控制，进一步保障区块链中的交易安全，成为有待解决的问题。

发明内容

本说明书一个或多个实施例描述了创建区块链账户以及验证区块链交易的方法和装置，其中在创建账户时允许设置秘钥控制规则，在验证交易时基于该秘钥控制规则进行验证，从而实现秘钥的访问控制，提升交易安全性。

根据第一方面，提供了一种创建区块链账户的方法，通过作为区块链网络中全节点的区块链平台执行，所述方法包括：

接收用户发起的用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

将所述第一交易打包到区块中并发送给所述区块链网络中的至少一个其他全节点。

在一个实施例中，获取用户发起的用于创建账户的第一交易包括：

从客户端接收所述第一交易；或者：

从所述区块链网络中的其他节点接收所述第一交易。

根据一个实施例，上述第一方面的方法还包括：在本地的账户数据库中添加与所述第一账户的账户标识对应的账户内容，所述账户内容包括所述秘钥控制规则。

在一个实施例中，所述三元组中的秘钥标识用于标识一个秘钥对，该秘钥对包括对应的公钥和私钥，所述秘钥标识基于所述公钥而产生。

根据一个实施例，秘钥控制规则具有通过预设编码方式编码的格式。

根据第二方面，提供一种创建区块链账户的方法，通过客户端执行，所述客户端连接到作为区块链网络中全节点的区块链平台，所述方法包括：

接收用户的创建账户的请求，其中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

向所述区块链平台发出用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括所述秘钥控制规则。

在第二方面的一个实施例中，在向区块链平台发出用于创建账户的第一交易之前，方法还包括：采用预定的编码方式对所述秘钥控制规则进行编码；将编码后得到的具有预定格式的数据填入所述第一交易的数据字段。

根据第三方面，提供一种验证区块链交易的方法，通过作为区块链网络中全节点的区块链平台执行，所述方法包括：

接收第二交易，所述第二交易至少包括发起方字段和扩展字段，所述发起方字段中包括第一账户，所述扩展字段中包括该第二交易涉及的第一行为对应的第一行为标识；

获取所述第一账户在创建时设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

从所述秘钥控制规则中确定出与所述第一行为标识对应的第一三元组；

至少根据所述第一三元组，验证所述第二交易。

在一个实施例中，接收第二交易包括：从用户客户端接收所述第二交易；或者，从所述区块链网络中的其他节点接收所述第二交易。

根据一个实施例，可以如下获取秘钥控制规则：

从区块链中获取历史上用于创建该第一账户的第一交易，从所述第一交易的数据字段中读取所述秘钥控制规则；或者，

从本地的账户数据库中读取与所述第一账户的账户标识对应的账户内容，所述账户内容包括所述秘钥控制规则。

在第三方面的一个实施例中，验证第二交易包括：

根据所述第一三元组，验证所述扩展字段；

在扩展字段验证通过的情况下，根据所述第一三元组验证所述第一行为。

在进一步的实施例中，验证扩展字段可以包括：获取第一三元组中的第一秘钥标识对应的第一公钥；利用所述第一公钥验证扩展字段中的字段签名。

更进一步的，利用所述第一公钥验证字段签名可以包括：

计算所述第一行为标识和所述扩展数据的第一摘要；

利用所述第一公钥解密所述字段签名，得到第二摘要；

比对所述第一摘要和第二摘要，在比对一致的情况下，确定所述字段签名通过验证。

根据第三方面的一个实施例，根据第一三元组验证第一行为可以包括：

获取所述第一三元组中的权限设定内容；

在所述权限设定内容指示出不允许所述第一行为时，确定所述第一行为验证失败，以及所述第二交易验证失败。

在一种实施方式中，第三方面的方法还包括：在所述第二交易验证失败的情况下，向发起所述第二交易的用户客户端返回提示信息。

根据第四方面，提供一种创建区块链账户的装置，部署在区块链平台中，所述区块链平台作为区块链网络中的全节点，所述装置包括：

第一交易接收单元，配置为接收用户发起的用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

区块形成单元，配置为将所述第一交易打包到区块中并发送给所述区块链网络中的至少一个其他全节点。

根据第五方面，提供一种创建区块链账户的装置，部署在客户端中，所述客户端连接到作为区块链网络中全节点的区块链平台，所述装置包括：

请求接收单元，配置为接收用户的创建账户的请求，其中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

第一交易发送单元，配置为向所述区块链平台发出用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括所述秘钥控制规则。

根据第六方面，提供一种验证区块链交易的装置，部署在区块链平台中，所述区块链平台作为区块链网络中的全节点，所述装置包括：

第二交易接收单元，配置为接收第二交易，所述第二交易至少包括发起方字段和扩展字段，所述发起方字段中包括第一账户，所述扩展字段中包括该第二交易涉及的第一行为对应的第一行为标识；

秘钥规则获取单元，配置为获取所述第一账户在创建时设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

三元组确定单元，配置为从所述秘钥控制规则中确定出与所述第一行为标识对应的第一三元组；

验证单元，配置为至少根据所述第一三元组，验证所述第二交易。

根据第七方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行第一方面到第三方面的方法。

根据第八方面，提供了一种计算设备，包括存储器和处理器，其特征在于，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现第一方面到第三方面的方法。

根据本说明书实施例提供的方法和装置，用户可以针对拥有的秘钥设置秘钥控制规则，并在创建账户的交易中包含该秘钥控制规则。如此，作为区块链网络中全节点的区块链平台可以在创建账户时，存储该秘钥控制规则。在用户利用已创建的账户发起后续交易时，区块链平台就可以基于所存储的秘钥控制规则，对后续交易进行验证。如此，使得用户可以精细化地管理秘钥，也使得用户利用秘钥进行的交易更加安全。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1示出根据本说明书实施例的区块链网络系统；

图2示出根据一个实施例的创建区块链账户的流程图；

图3示出在验证交易的过程中进行秘钥访问控制检查的方法流程；

图4示出根据一个实施例的部署在区块链平台中的创建区块链账户的装置的示意性框图；

图5示出根据一个实施例的部署在客户端中的创建区块链账户的装置的示意性框图；

图6示出根据一个实施例的部署在区块链平台中的验证区块链交易的装置的示意性框图。

具体实施方式

下面结合附图，对本说明书提供的方案进行描述。

图1示出根据本说明书实施例的区块链网络系统。如图1所示，所述系统中包括构成区块链网络的多个全节点(图中示意示出6个全节点)，这些节点两两相连，其中例如包括节点11、节点12和节点13，所述区块链例如为联盟链，其中的各个全节点为联盟链中可参与共识的节点。

根据一个实施例，全节点可以体现为区块链平台，该平台作用为服务器，为终端用户提供接入区块链网络的服务。终端用户可以借助客户端，例如区块链的钱包App，连接到区块链平台，经由该区块链平台接入区块链网络，进行各种区块链交易，例如转账交易，创建智能合约的交易，调用智能合约的交易，等等。此时，上述客户端也可以认为是区块链中的轻量节点，其依赖于上述各个全节点进行交易。例如，在图1中，用户U1和用户U2分别通过对应的客户端C1和C2，连接到区块链平台对应的全节点11，通过该区块链平台进行交易。

根据本说明书的实施例，允许用户在创建账户时，对拥有的秘钥进行访问控制的设置，该设置可以体现为(秘钥id，行为id，权限)的三元组，这样的三元组构成秘钥控制规则。在创建账户时，客户端可以响应于用户请求发起一个用于创建账户的交易，将设置的秘钥控制规则填写在交易的数据字段中。于是，作为全节点的区块链平台可以在创建对应账户的同时，记录下用户设置的秘钥控制规则。

此外，根据本说明书的实施例，支持在交易中添加扩展字段。在创建账户之后，利用该账户进行后续交易时，用户可以在交易的扩展字段中声明该交易涉及的行为。于是，区块链平台可以基于扩展字段中的声明，以及该账户对应的秘钥控制规则，对交易进行验证，从而实现秘钥访问控制，提升交易安全性。

下面分别描述基于秘钥访问控制进行的创建账户的过程和交易验证的过程。

图2示出根据一个实施例的创建区块链账户的流程图。如图2所示，为了创建区块链账户，在步骤21，用户100获取一对或多对秘钥，每对秘钥包括相对应的公钥和私钥。

在一个实施例中，用户100可以通过以下方式获取秘钥：用户可以输入一段字符串作为私钥，这段字符串类似于常规的用户密码。然后客户端使用加密算法，基于该私钥生成公钥，从而构成一个秘钥对。用户可以基于这样的方式获取多对秘钥。在其他实施例中，也可以通过其他方式获取秘钥，例如，输入公钥，生成私钥，从而得到秘钥对。

针对获取的一对或多对秘钥，在步骤22，用户100可以进行秘钥访问控制的设置，也就是设置秘钥控制规则。在一个实施例中，秘钥控制规则体现为三元组的形式，每个三元组包括，秘钥标识，行为标识和权限设定，其中秘钥标识用于指示某个秘钥对，行为标识用于指示要执行的操作行为，权限设定可以限定上述操作行为是否被允许。在一个具体例子中，权限设定包括允许(yes)或不允许(no)两个选项。在另一例子中，权限设定还可以包括条件限定性允许，例如允许以及允许的条件等。

在一个具体例子中，秘钥控制规则可以包括表1中的内容。

表1：秘钥控制规则示例

秘钥标识	行为标识	权限设定
KeyID1	ActionID1	Yes
KeyID2	ActionID2	No
KeyID3	ActionID3	Yes

需要理解，表1仅仅是一个示例。秘钥控制规则可以包括任意数目的三元组，其中权限设定也不局限于yes/no的形式。

在一个例子中，秘钥标识基于一对秘钥中的公钥而生成，例如该标识可以是公钥本身，或者公钥中的一段。

更具体的，在一个例子中，上述表格中第一行的三元组对应的具体内容如下：

KeyID1：0xa24fghjfact67uadu

ActionID1:verify_transaction_signature(验证交易签名)

Yes

也就是说，该三元组定义了，使用KeyID1中定义的秘钥执行ActionID1中的操作行为(验证交易签名)，是允许的。

又例如，上述表格第二行的三元组对应的具体内容可以是：

KeyID2:0fa78fa20oghdas

ActionID2:encrypt_transaction_with_pubkey(用公钥加密交易)

No

该三元组定义了，使用KeyID2中定义的秘钥，用其中的公钥加密交易是不允许的。

如此，用户可以通过三元组的方式定义秘钥控制规则。

然后，在步骤23，用户100向客户端200发出创建账户的请求，其中可以包括设置的秘钥控制规则。

响应于用户请求，在步骤24，客户端200向区块链平台300发出创建账户的交易，为了简单起见，称为第一交易。

可以理解，在已有的区块链架构中，各种区块链操作都可以通过交易的形式来实现。表2示出一个交易的字段示例。

表2：交易字段示例

Tx-hash	交易哈希
Tx-type	交易类型
Timestamp	时间戳
From	交易发起方
To	接收方
Value/amount	金额
Data	数据
…	…
Signature	签名

结合以上表2所示，交易中必填的字段包含发起方字段(from字段)，接收方字段(to字段)和数字签名。发起方字段定义交易发起者的地址，接收方字段定义接收账户的地址或智能合约的地址(在调用智能合约的交易中)。数字签名用于交易的验证，通常是用发起方的私钥对交易内容进行加密得到的。

交易中一般包括value或amount字段，用于定义转账金额。因此，对转账操作而言，可以在该字段中填入转账数目。

交易还包括数据字段。在已有的交易形式中，数据字段一般可以包括，发送给接收者的消息数据。在涉及智能合约的场景中，数据字段具体包括，创建的智能合约的代码，或者调用智能合约时，传递到智能合约的参数，等等。

可选的，以太坊的交易还可以包括与Gas相关的字段，nonce字段，等等。

根据本说明书一个实施例，在用户请求创建账户时，客户端200发出用于创建账户的第一交易。为了表明该第一交易是创建账户的交易，可以将该第一交易的接收方字段设定为预设的默认值，例如空值(Null)或其他表明创建的约定值，并在发起方字段中填入有待创建的账户，称为第一账户。一般地，第一账户的账户地址基于该账户的公钥而生成。

进一步地，在上述第一交易的数据字段中包括用户设置的秘钥控制规则，该秘钥控制规则包括若干前述的三元组。

在一个实施例中，客户端200利用预定的编码方式对秘钥控制规则进行编码，并将编码后得到的具有相应格式的数据填入第一交易的数据字段。上述预定的编码方式例如可以是递归长度前缀RLP编码，protobuf编码，等等。

如此，客户端200生成并向区块链平台300发出第一交易，该第一交易的发起方字段为有待创建的第一账户，接收方字段为预设值，数据字段中包含用户设置的秘钥控制规则。

相应的，区块链平台300接收到上述用于创建账户的第一交易。

可以理解，该区块链平台300是区块链网络中的全节点，例如图1中的全节点11。在实现上，该区块链平台300可以体现为任何具有计算、处理能力的装置、设备、或设备集群。并且，该区块链平台300可以是区块链网络中任意的一个全节点，也就是说，可以是客户端200直接访问的全节点(例如图1中的全节点11)，也可以是其他全节点(例如图1中的全节点12)。具体的，在一个实施例中，客户端200可以直接访问该区块链平台300。在这样的情况下，区块链平台300从客户端接收到上述第一交易。或者，区块链平台300不是客户端200直接连接到的全节点；此时，客户端200将第一消息发送到其直接连接的全节点，该全节点会将该第一消息转发给其他节点，于是，区块链平台300通过转发的方式从区块链网络中的其他节点接收该第一交易。

在接收到该第一交易后，在步骤25，区块链平台300将该第一交易打包到区块中，并发送给区块链网络中的其他全节点。换而言之，区块链平台300可以将该第一交易入块并上链。该过程可以基于各种常规的共识算法而实现。一旦该第一交易的信息被添加到区块链中，网络中的各个全节点均可以获取到第一交易的信息，由此均可以获知，第一交易所创建的第一账户，以及第一账户对应的秘钥控制规则。

此外，在一个实施例中，在步骤26，区块链平台300还在其本地的账户数据库中添加与所述第一账户的账户标识对应的账户内容，并在账户内容中包括上述秘钥控制规则。

需要理解，在区块链网络中，每个全节点可以在其本地维护账户数据库，用于记录各个区块链账户的账户内容。一般地，账户数据库中记录的账户内容可以包括，账户ID，账户余额，账户秘钥信息(秘钥库根哈希)等。

在本说明书的一个实施例中，当区块链平台300通过第一交易确定需要新创建第一账户时，可以在其本地的账户数据库中添加第一账户的账户内容，其中账户内容除了包含上述的常规信息之外，还包括用户设置的秘钥控制规则。

根据一种实施方式，账户数据库例如可以组织为状态树的形式，该状态树例如为MPT树，MPT树的叶子节点为各个账户的账户内容，叶子节点上方的各个父节点包括账户的至少一个地址字符和对应于其全部子节点的哈希值。当然，账户数据库不限于为MPT树的形式，也可以为其它数据库形式，如Merkle树、Trie树等。在这样的情况下，在添加第一账户的账户内容后，区块链平台300相应地更新其账户数据库的状态树。

需要理解的是，在执行步骤26的情况下，其执行顺序可以不限于图2所示例的顺序，而是可以在步骤25之前执行，或者与其并行执行。

如此，通过图2所示的方式，可以创建一个区块链账户，该账户对应具有设置的秘钥控制规则，从而具有秘钥访问控制检查的功能。

下面结合图3描述在验证交易的过程中，进行秘钥访问控制检查的方法流程。图3的方法流程通过区块链平台执行。

如前所述，用户可以通过第一交易创建一个账户，即前述的第一账户，并针对该第一账户设置秘钥控制规则。在创建该第一账户之后，就可以使用该账户，进行各种区块链支持的交易。

假定用户在创建第一账户之后，通过客户端发起另一交易，称为第二交易。第二交易可以是普通的转账交易，也可以是特定类型的交易，例如隐私保护相关的交易，或信封加密交易。

可以理解，第二交易的发起方字段中会包含所创建的第一账户。根据一个实施例，为了支持秘钥访问控制的核查，在表2所示的交易内容的基础上，增加一个扩展字段extention。扩展字段中包含第二交易涉及的操作行为对应的行为标识。

在一个实施例中，用户可以在扩展字段中填入该交易涉及的操作行为对应的行为标识。或者，在另一实施例中，用户可以指定要发起的第二交易的交易类型，客户端根据预设的交易类型和涉及操作的映射关系，确定出第二交易涉及的操作行为的行为标识，将该行为标识填入扩展字段。

在一个具体的实施例中，扩展字段的具体形式包括：

{ActionID，extention-data，Action签名}

其中ActionID即为交易涉及的操作行为的行为标识，extention-data为扩展数据，Action签名为该字段的数字签名。

在一个实施例中，Action签名通过以下方式得到：对Action签名之前的字段(包括ActionID字段和extention-data字段)构成的字符串进行哈希散列操作，得到摘要；然后用秘钥访问控制三元组中该ActionID对应的秘钥对中的私钥对摘要进行加密，从而得到Action签名。

客户端将以上包括扩展字段的第二交易发送到所连接的区块链平台。

于是，如图3中步骤31所示，区块链平台接收到第二交易，该第二交易的发起方字段中包括第一账户，扩展字段中包括该第二交易涉及的行为对应的行为标识。清楚简单起见，将第二交易涉及的行为称为第一行为，将对应的行为标识称为第一行为标识。

与图2中接收第一交易类似的，当区块链平台是客户端直接访问的全节点时，区块链平台可以从客户端接收到上述第二交易；否则，区块链平台可以从区块链网络中的其他节点接收上述第二交易。

接着，在步骤32，区块链平台获取第一账户在创建时设置的秘钥控制规则。具体的，区块链平台可以首先从第二交易的发起方字段中提取出第一账户，然后获取第一账户所对应的秘钥控制规则。

在一个实施例中，区块链平台可以从上链的区块中获取历史上用于创建该第一账户的第一交易，从所述第一交易的数据字段中读取秘钥控制规则。可以理解，区块链网络中的各个交易均会记录在区块中。通过图2的步骤25，用于创建第一账户的第一交易被打包上链，于是区块链网络中的各个节点均可以从对应区块中读取到第一交易的交易内容，由此得到第一账户对应的秘钥控制规则。

或者，在另一实施例中，区块链平台也可以从本地的账户数据库中读取与第一账户的账户标识对应的账户内容，其中包括秘钥控制规则。如图2的步骤26所示，区块链平台可以在其本地的账户数据库中记录第一账户的账户内容。由此，对于后续第一账户发起的交易，可以从本地的账户数据库中快速地获取到第一账户的账户内容，包括设置的秘钥控制规则。

如前所述，秘钥控制规则包括若干三元组，每个三元组包括，秘钥标识，行为标识和权限设定。于是，接下来，在步骤33，区块链平台可以从第一账户对应的秘钥控制规则三元组中，确定出与第二交易的扩展字段中的第一行为标识对应的三元组，称为第一三元组。换而言之，在步骤32获取的若干三元组中，确定出行为标识为第一行为标识的三元组作为第一三元组。

当然，如果在秘钥控制规则中无法搜索到第一行为标识，那么就意味着，用户并未对相应的第一行为进行权限设置，那么验证流程可以结束。下面仅考虑搜索到第一行为标识，确定出第一三元组的情况。

在确定出第一三元组的情况下，在步骤34，至少根据该第一三元组，对第二交易进行验证。

在一个实施例中，扩展字段中包括字段签名，例如为{ActionID，extention-data，Action签名}的形式。在这样的情况下，可以首先基于字段签名，验证该扩展字段的真实性；在扩展字段验证通过的情况下，再根据第一三元组验证第二交易中涉及的第一行为的权限。

具体的，为了验证扩展字段，一方面，对字段签名之前的字段值，包括第一行为标识ActionID和扩展数据extention-data，再次进行哈希散列计算，得到一个摘要，称为第一摘要。另一方面，获取第一三元组中的秘钥标识对应的公钥。可以理解，账户的各个秘钥对中的公钥都是向各个区块链节点公开的，因此，通过第一三元组中的秘钥标识，可以得到对应的公钥，称为第一公钥。然后，用该第一公钥解密字段签名，得到第二摘要。比对上述第一摘要和第二摘要；如果两者一致，则说明该扩展字段真实准确，未被篡改，扩展字段通过验证。否则，则说明该扩展字段真实性存疑，有待进一步验证。

在扩展字段通过验证的情况下，根据第一三元组验证上述第一行为。具体的，可以获取第一三元组中的权限设定内容。如果权限设定内容指示出允许第一行为，例如权限设定为Yes，则确定第一行为验证通过，进而第二交易验证通过。当然，接下来也可能对第二交易进行其他方面的验证。

如果权限设定内容指示出不允许第一行为，例如权限设定为No，则确定第一行为验证失败，进而第二交易验证失败。如果权限设定内容为条件性限定，则进一步判断该条件是否满足，进而判断第一行为是否通过验证。

在一个实施例中，扩展字段不包含字段签名。在这样的情况下，可以直接基于第一三元组对第一行为的权限进行核查，从而验证第一行为。

在一个实施例中，扩展字段中可以包括第二交易涉及的多项操作行为对应的多个行为标识。在这样的情况下，对于该多个行为标识中每一个，分别确定出对应的第一三元组，并执行以上的验证过程。

在一个实施例中，在第一行为验证失败，进而导致第二交易验证失败的情况下，向发起该第二交易的用户客户端返回提示信息，该提示信息用于通知用户第二交易验证失败，未能上链生效。于是用户可以选择修改第二交易的交易内容，再次发起交易。

回顾以上过程，用户可以针对拥有的秘钥设置秘钥控制规则，并在创建账户的交易中包含该秘钥控制规则。如此，作为区块链网络中全节点的区块链平台可以在创建账户时，存储该秘钥控制规则。在用户利用已创建的账户发起后续交易时，区块链平台就可以基于所存储的秘钥控制规则，对后续交易进行验证。如此，使得用户可以精细化地管理秘钥，也使得用户利用秘钥进行的交易更加安全。

根据另一方面的实施例，提供了一种创建区块链账户的装置，该装置部署在区块链平台中，所述区块链平台作为区块链网络中的全节点，并且区块链平台可以实现为任何具有计算、处理能力的设备或设备集群。图4示出根据一个实施例的部署在区块链平台中的创建区块链账户的装置的示意性框图。如图4所示，该装置400包括：

第一交易接收单元41，配置为接收用户发起的用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

区块形成单元42，配置为将所述第一交易打包到区块中并发送给所述区块链网络中的至少一个其他全节点。

在一个实施例中，第一交易接收单元41配置为，从客户端接收所述第一交易；或者，从区块链网络中的其他节点接收所述第一交易。

根据一个实施例，装置400还包括本地添加单元43，配置为在本地的账户数据库中添加与所述第一账户的账户标识对应的账户内容，所述账户内容包括所述秘钥控制规则。

在一个实施例中，三元组中的秘钥标识用于标识一个秘钥对，该秘钥对包括对应的公钥和私钥，所述秘钥标识基于所述公钥而产生。

根据一个实施例，第一交易的数据字段中的秘钥控制规则具有通过预设编码方式编码的格式。

根据本说明书又一方面的实施例，提供了一种创建区块链账户的装置，该装置部署在客户端中，所述客户端连接到作为区块链网络中全节点的区块链平台。图5示出根据一个实施例的部署在客户端中的创建区块链账户的装置的示意性框图。如图5所示，该装置500包括：

请求接收单元51，配置为接收用户的创建账户的请求，其中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

第一交易发送单元52，配置为向所述区块链平台发送用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括所述秘钥控制规则。

在一个实施例中，第一交易发送单元52还配置为，在发送第一交易之前，采用预定的编码方式对所述秘钥控制规则进行编码；将编码后得到的具有预定格式的数据填入所述第一交易的数据字段。

根据本说明书又一方面的实施例，提供了一种验证区块链交易的装置，该装置部署在区块链平台中，所述区块链平台作为区块链网络中的全节点，并且区块链平台可以实现为任何具有计算、处理能力的设备或设备集群。图6示出根据一个实施例的部署在区块链平台中的验证区块链交易的装置的示意性框图。如图6所示，该装置600包括：

第二交易接收单元61，配置为接收第二交易，所述第二交易至少包括发起方字段和扩展字段，所述发起方字段中包括第一账户，所述扩展字段中包括该第二交易涉及的第一行为对应的第一行为标识；

秘钥规则获取单元62，配置为获取所述第一账户在创建时设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

三元组确定单元63，配置为从所述秘钥控制规则中确定出与所述第一行为标识对应的第一三元组；

验证单元64，配置为至少根据所述第一三元组，验证所述第二交易。

在一个实施例中，第二交易接收单元61配置为，从用户客户端接收所述第二交易；或者，从所述区块链网络中的其他节点接收所述第二交易。

在一个实施例中，秘钥规则获取单元62配置为，从区块链中获取历史上用于创建该第一账户的第一交易，从所述第一交易的数据字段中读取所述秘钥控制规则；或者，从本地的账户数据库中读取与所述第一账户的账户标识对应的账户内容，所述账户内容包括所述秘钥控制规则。

根据一个实施例，验证单元64包括(未示出)第一验证模块和第二验证模块，第一验证模块配置为根据第一三元组，验证所述扩展字段；第二验证模块配置为，在扩展字段验证通过的情况下，根据所述第一三元组验证所述第一行为。

在一个实施例中，所述扩展字段还包括，扩展数据和字段签名；相应的，所述第一验证模块配置为，获取第一三元组中的第一秘钥标识对应的第一公钥；利用所述第一公钥验证所述字段签名。

在进一步的实施例中，第一验证模块配置为，计算所述第一行为标识和所述扩展数据的第一摘要；利用所述第一公钥解密所述字段签名，得到第二摘要；比对所述第一摘要和第二摘要，在比对一致的情况下，确定所述字段签名通过验证。

在一个实施例中，验证单元64具体配置为，获取第一三元组中的权限设定内容；在所述权限设定内容指示出不允许所述第一行为时，确定所述第一行为验证失败，以及所述第二交易验证失败。

根据一个实施例，装置600还包括提示单元(未示出)，配置为在第二交易验证失败的情况下，向发起所述第二交易的用户客户端返回提示信息。

通过以上的装置，创建具有秘钥控制规则设定的区块链账户，并基于秘钥控制规则进行区块链交易的验证。

根据另一方面的实施例，还提供一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行结合图2和图3所描述的方法。

根据再一方面的实施例，还提供一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现结合图2和图3所述的方法。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims

一种创建区块链账户的方法，通过作为区块链网络中全节点的区块链平台执行，所述方法包括：

接收用户发起的用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

将所述第一交易打包到区块中并发送给所述区块链网络中的至少一个其他全节点。
根据权利要求1所述的方法，其中，获取用户发起的用于创建账户的第一交易包括：

从客户端接收所述第一交易；或者：

从所述区块链网络中的其他节点接收所述第一交易。
根据权利要求1所述的方法，还包括：

在本地的账户数据库中添加与所述第一账户的账户标识对应的账户内容，所述账户内容包括所述秘钥控制规则。
根据权利要求1所述的方法，其中，所述秘钥标识用于标识一个秘钥对，该秘钥对包括对应的公钥和私钥，所述秘钥标识基于所述公钥而产生。
根据权利要求1所述的方法，其中，所述秘钥控制规则具有通过预设编码方式编码的格式。
一种创建区块链账户的方法，通过客户端执行，所述客户端连接到作为区块链网络中全节点的区块链平台，所述方法包括：

接收用户的创建账户的请求，其中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

向所述区块链平台发送用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括所述秘钥控制规则。
根据权利要求6所述的方法，其中，在向所述区块链平台发出用于创建账户的第一交易之前，还包括：

采用预定的编码方式对所述秘钥控制规则进行编码；

将编码后得到的具有预定格式的数据填入所述第一交易的数据字段。
一种验证区块链交易的方法，通过作为区块链网络中全节点的区块链平台执行，所述方法包括：

接收第二交易，所述第二交易至少包括发起方字段和扩展字段，所述发起方字段中包括第一账户，所述扩展字段中包括该第二交易涉及的第一行为对应的第一行为标识；

获取所述第一账户在创建时设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

从所述秘钥控制规则中确定出与所述第一行为标识对应的第一三元组；

至少根据所述第一三元组，验证所述第二交易。
根据权利要求8所述的方法，其中，接收第二交易包括：

从用户客户端接收所述第二交易；或者：

从所述区块链网络中的其他节点接收所述第二交易。
根据权利要求8所述的方法，其中，获取所述第一账户在创建时设置的秘钥控制规则包括：

从区块链中获取历史上用于创建该第一账户的第一交易，从所述第一交易的数据字段中读取所述秘钥控制规则；或者，

从本地的账户数据库中读取与所述第一账户的账户标识对应的账户内容，所述账户内容包括所述秘钥控制规则。
根据权利要求8所述的方法，其中，至少根据所述第一三元组，验证所述第二交易包括：

根据所述第一三元组，验证所述扩展字段；

在扩展字段验证通过的情况下，根据所述第一三元组验证所述第一行为。
根据权利要求11所述的方法，其中，所述扩展字段还包括，扩展数据和字段签名；根据所述第一三元组，验证所述扩展字段，包括：

获取所述第一三元组中的第一秘钥标识对应的第一公钥；

利用所述第一公钥验证所述字段签名。
根据权利要求12所述的方法，其中，利用所述第一公钥验证所述字段签名包括：

计算所述第一行为标识和所述扩展数据的第一摘要；

利用所述第一公钥解密所述字段签名，得到第二摘要；

比对所述第一摘要和第二摘要，在比对一致的情况下，确定所述字段签名通过验证。
根据权利要求11所述的方法，所述根据第一三元组验证所述第一行为，包括：

获取所述第一三元组中的权限设定内容；

在所述权限设定内容指示出不允许所述第一行为时，确定所述第一行为验证失败，以及所述第二交易验证失败。
根据权利要求8所述的方法，其中在至少根据所述第一三元组，验证所述第二交易之后，还包括：

在所述第二交易验证失败的情况下，向发起所述第二交易的用户客户端返回提示信息。
一种创建区块链账户的装置，部署在区块链平台中，所述区块链平台作为区块链网络中的全节点，所述装置包括：

第一交易接收单元，配置为接收用户发起的用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

区块形成单元，配置为将所述第一交易打包到区块中并发送给所述区块链网络中的至少一个其他全节点。
一种创建区块链账户的装置，部署在客户端中，所述客户端连接到作为区块链网络中全节点的区块链平台，所述装置包括：

请求接收单元，配置为接收用户的创建账户的请求，其中包括用户设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

第一交易发送单元，配置为向所述区块链平台发送用于创建账户的第一交易，所述第一交易至少包括发起方字段，接收方字段和数据字段；其中，所述发起方字段中包括待创建的第一账户，所述接收方字段中包括预设的字段值，所述数据字段中包括所述秘钥控制规则。
一种验证区块链交易的装置，部署在区块链平台中，所述区块链平台作为区块链网络中的全节点，所述装置包括：

第二交易接收单元，配置为接收第二交易，所述第二交易至少包括发起方字段和扩展字段，所述发起方字段中包括第一账户，所述扩展字段中包括该第二交易涉及的第一行为对应的第一行为标识；

秘钥规则获取单元，配置为获取所述第一账户在创建时设置的秘钥控制规则，所述秘钥控制规则包括至少一个三元组，每个三元组包括，秘钥标识，行为标识和权限设定；

三元组确定单元，配置为从所述秘钥控制规则中确定出与所述第一行为标识对应的第一三元组；

验证单元，配置为至少根据所述第一三元组，验证所述第二交易。
一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-15中任一项的所述的方法。
一种计算设备，包括存储器和处理器，其特征在于，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-15中任一项所述的方法。