WO2021139338A1

WO2021139338A1 - 一种数据访问权限验证方法、装置、计算机设备及存储介质

Info

Publication number: WO2021139338A1
Application number: PCT/CN2020/124726
Authority: WO
Inventors: 赵亦杨
Original assignee: 平安科技（深圳）有限公司
Priority date: 2020-07-31
Filing date: 2020-10-29
Publication date: 2021-07-15
Also published as: CN111914293B; CN111914293A

Abstract

一种数据访问权限验证方法、装置、计算机设备及存储介质，涉及区块链领域，方法包括：第一服务端（110）创建访问消息并将访问消息加密并数字签名后发送至区块链（130），并向第二服务端（120）发送数据访问请求；第二服务端（120）接收请求后从区块链（130）中获取第一服务端（110）的访问消息并对访问消息进行签名验证和解密，生成解密后的访问消息，并针对解密后的访问消息进行权限审核，生成授权结果，并将授权结果进行加密并数字签名后发送至区块链（130）并向第一服务端（110）发送访问响应；第一服务端（110）接收响应后，从区块链（130）中获取授权结果并对授权结果进行签名验证和解密，生成解密的授权结果，并基于解密的授权结果确定是否进行数据访问。利用上述方法可以降低数据共享时存在的安全风险。

Description

一种数据访问权限验证方法、装置、计算机设备及存储介质

本申请要求于2020年7月31日提交中国专利局、申请号为202010760949.7，发明名称为“一种数据访问权限验证方法、装置、计算机设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及区块链技术领域，特别涉及一种数据访问权限验证方法、装置、计算机设备及存储介质。

背景技术

随着信息时代的不断发展，同一公司的不同部门或者不同企业间的信息交流逐步增加，计算机网络技术的发展为数据传输提供了保障，实现数据共享。这使得更多的人能够更充分地使用已有的数据资源，减少了数据采集处理等重复劳动和相应费用。

发明人意识到，在当前的数据共享时，主要关注了数据交换格式等标准化问题，忽略了潜在的安全问题。例如，A公司将其客户数据交给公司B进行分析，由B公司帮其分析客户购买产品偏好，但出于获利的角度，B公司的数据分析人员可能将数据出售给A公司的竞争对手C公司。此时，在A公司不知道其数据已被C公司非法访问的基础上，损害了A公司的利益。由于当前数据共享存在数据流转的不受控问题，从而增加了数据共享时存在的安全风险。

技术问题

基于此，有必要针对当前数据共享存在数据流转的不受控问题，从而降低了数据共享时存在的安全风险，提供一种数据访问权限验证方法、装置、计算机设备及存储介质。

技术解决方案

一种数据访问权限验证方法，应用于第一服务端，所述数据访问权限验证方法包括：获取第二服务端预先生成的访问规则；基于所述访问规则确定所述第二服务端访问资源的开放时间；当前时间符合所述开放时间时，获取第二服务端的公钥；创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；将所述第一服务端的访问消息发送至区块链，并向所述第二服务端发送数据访问请求。

一种数据访问权限验证方法，应用于第二服务端，所述方法包括：当接收到第一服务端数据访问请求时，从区块链中获取第一服务端的访问消息；获取第一服务端的公钥以及第二服务端的私钥；根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；根据所述审核结果确定授权结果；通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。

一种数据访问权限验证装置，应用于第一服务端，所述装置包括：访问规则获取模块，用于获取第二服务端预先生成的访问规则；时间确定模块，用于基于所述访问规则确定所述第二服务端访问资源的开放时间；公钥获取模块，用于当前时间符合所述开放时间时，获取第二服务端的公钥；数据创建模块，用于创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；数据加密模块，用于基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；数据签名模块，用于根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；消息发送模块，用于将所述第一服务端的访问消息发送至区块链。

一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行一种数据访问权限验证方法，其中，所述数据访问权限验证方法应用于第一服务端，所述方法包括以下步骤：

获取第二服务端预先生成的访问规则；

基于所述访问规则确定所述第二服务端访问资源的开放时间；

当当前时间符合所述开放时间时，获取第二服务端的公钥；

创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；

基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；

根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；

将所述第一服务端的访问消息发送至区块链，并向所述第二服务端发送数据访问请求。

一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行一种数据访问权限验证方法，其中，所述数据访问权限验证方法应用于第二服务端，所述方法包括以下步骤：

当接收到第一服务端针对所述第二服务端发送的数据访问请求时，从区块链中获取所述第一服务端针对所述第二服务端发送的访问消息；

获取第一服务端的公钥以及第二服务端的私钥；

根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；

当所述第一验证结果中的识别标识与所述第一服务端的识别标识相同时，通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；其中，所述识别标识为所述第一服务端生成所述访问消息时添加的识别参数；

根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；

根据所述审核结果确定授权结果；

通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。

一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行一种数据访问权限验证方法，其中，所述数据访问权限验证方法应用于第一服务端，所述方法包括以下步骤：

获取第二服务端预先生成的访问规则；

当当前时间符合所述开放时间时，获取第二服务端的公钥；

一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行一种数据访问权限验证方法，其中，所述数据访问权限验证方法应用于第二服务端，所述方法包括以下步骤：

获取第一服务端的公钥以及第二服务端的私钥；

根据所述审核结果确定授权结果；

有益效果

本申请通过将各服务端之间数据的流向、授权信息以及使用记录等发布在区块链上，使得将数据与共享访问过程相割裂，避免了数据共享中数据非法泄露，从而导致降低了数据共享时存在的安全风险。

附图说明

图1为本申请一个实施例中提供的数据访问权限验证方法的实施环境图；

图2为本申请一个实施例中计算机设备的内部结构示意图；

图3为本申请一个实施例中提供的数据访问权限验证方法的方法示意图；

图4为本申请一个实施例中提供的数据访问权限验证方法中访问请求消息生成方法的方法示意图；

图5为本申请一个实施例中提供的数据访问权限验证方法中访问规则生成方法的方法示意图；

图6为本申请一个实施例中提供的数据访问权限验证方法中授权结果查看方法的方法示意图；

图7为本申请一个实施例中提供的数据访问权限验证的实施场景示意图；

图8是本申请实施例提供的一种数据访问权限验证装置的装置示意图；

图9是本申请实施例提供的另一种数据访问权限验证装置的装置示意图。

本发明的最佳实施方式

可以理解，本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件，但这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说，在不脱离本申请的范围的情况下，可以将第一服务端成为第二服务端，且类似地，可将第二服务端成为第一服务端。

图1为一个实施例中提供的数据访问权限验证方法的实施环境图，如图1所示，在该实施环境中，包括第一服务端110、第二服务端120以及区块链130。

第一服务端110和第二服务端120为服务器设备，例如第一服务端110为B公司存储平台数据的服务器，第二服务端120为A公司存储平台数据的服务器。区块链130其主要记录各个平台发布的访问规则，以及其他平台对数据的访问权限申请，访问授权等。

当第一服务端110(B公司服务器)访问第二服务端120(A公司服务器)时，第二服务端120会对第一服务端110进行访问权限验证，首先第一服务端110获取第二服务端120预先生成的访问规则，第一服务端110基于获取的访问规则创建访问消息加密并数字签名后发送至区块链130并向第二服务端发送数据访问请求。第二服务端120当接收到第一服务端数据访问请求时，从区块链130中获取访问消息并对访问消息进行签名验证和解密，生成解密后的访问消息，并针对解密后的访问消息进行权限审核，生成授权结果，并将授权结果进行加密并数字签名后发送至区块链130，并向第一服务端发送数据访问响应。第一服务端110接收到响应后从区块链130中获取授权结果并对授权结果进行签名验证和解密，生成解密的授权结果，并基于解密的授权结果确定是否进行数据访问。

需要说明的是，第一服务端110、第二服务端120以及区块链130可以通过蓝牙、USB(Universal Serial Bus，通用串行总线)或者其他通讯连接方式进行连接，本申请在此不做限制。

图2为一个实施例中计算机设备的内部结构示意图。如图2所示，该计算机设备包括通过系统总线连接的处理器、非易失性存储介质、存储器和网络接口。其中，该计算机设备的非易失性存储介质存储有操作系统、数据库和计算机可读指令，数据库中可存储有控件信息序列，该计算机可读指令被处理器执行时，可使得处理器实现一种数据访问权限验证方法。该计算机设备的处理器用于提供计算和控制能力，支撑整个计算机设备的运行。该计算机设备的存储器中可存储有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行一种数据访问权限验证方法。该计算机设备的网络接口用于与终端连接通信。本领域技术人员可以理解，图2中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

下面将结合附图3-附图7，对本申请实施例提供的数据访问权限验证方法进行详细介绍。该方法可依赖于计算机程序实现，可运行于基于冯诺依曼体系的数据访问权限验证装置上。该计算机程序可集成在应用中，也可作为独立的工具类应用运行。

请参见图3，为本申请实施例提供了一种数据访问权限验证方法的流程示意图。如图3 所示，本申请实施例的所述方法可以包括以下步骤：

S101，当接收到第一服务端针对所述第二服务端发送的数据访问请求时，从区块链中获取所述第一服务端针对所述第二服务端发送的访问消息；

其中，服务端是公司存储平台数据的服务器，即负责存储公司平台的数据。区块链是一种由多方维护，使用密码学保障数据传输和数据访问安全，能够实现数据一致性、防篡改、防抵赖的技术。访问消息是第一服务端生成的。

在本申请实施例中，例如图4所示，图4是第一服务端生成访问消息和访问请求的流程图，在生成访问消息和访问请求时，第一服务端首先获取第二服务端预先生成的访问规则，再基于访问规则确定第二服务端访问资源的开放时间，再当前时间符合所述开放时间时，获取第二服务端的公钥，然后创建访问第二服务端的权限访问数据并获取第一服务端的私钥，再基于第二服务端的公钥对权限访问数据进行加密，生成加密后的权限访问数据，最后根据第一服务端的私钥对加密后的权限访问数据进行数字签名，生成第一服务端的访问消息，并将第一服务端的访问消息发送至区块链，以及向第二服务端发送数据访问请求。

需要说明的是，在本申请实施例中，签名和验证可以使用椭圆曲线加解密，利用ECC-secp256k1算法实现，即一种非对称密码算法。其中私钥用于签名，公钥用于解密。

进一步地，在向第二服务端发送数据访问请求后，第二服务端当接收到第一服务端的访问请求时，对第一服务端的访问请求进行解析，解析后获取到请求的标识，第二服务端根据该标识从区块链中匹配该标识对应的访问消息。(即第一服务端的访问消息)。

S102，获取第一服务端的公钥以及第二服务端的私钥；

在一种可能的实现方式中，例如，第一服务端为B公司服务端，第二服务端为A公司服务端，为了保障安全性，每个公司分别拥有自己的公私钥对，记A公司服务端的公钥为PK _A，私钥为SK _A，且B公司服务端的公钥为PK _B，私钥为SK _B。当B公司服务端欲访问A公司服务端的数据时，B公司服务端首先获取A公司服务端发布在区块链中的访问规则，再对该访问规则进行解析，查询该访问规则中A公司服务端设定的访问时间，如果当前时刻符合A公司服务端设定的访问时间时，B公司服务端的访问权限申请用A公司的公钥PK _A加密并用其私钥为SK _B签名，防止伪造，签名后的消息为

随后，B公司(即第一服务端)将消息记录在区块链上，并向A公司服务端(即第二服务端)发送数据访问请求。其中，ID _B为B公司的身份标识，Self_Condition _B为对自身情况的描述，Apply_Datasource _B为申请访问的数据资源。A公司服务端(即第二服务端)接收访问请求，并从区块链上获取B公司发布的访问消息，然后获取B公司的公钥以及自身服务端的私钥。

S103，根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；

在一种可能的实现方式中，在基于步骤S102获取到B公司的公钥以及自身服务端的私钥后，利用ECC-secp256k1算法对步骤S101中接收的访问消息通过B公司的公钥进行签名验证，当确定时B公司的访问消息时，利用ECC-secp256k1算法对访问消息通过自身服务端的私钥进行解密，生成解密后的访问消息。

进一步地的，在访问规则生成时，例如图5所示，第二服务端首先获取自身的公钥以及第二服务端参数集合，然后基于第二服务端的私钥将第二服务端参数集合进行数字签名，生成访问规则，最后根据第二服务端公钥将访问规则加密后发布至区块链。

例如，A公司(第二服务端)将首先在区块链上发布所有欲访问其数据的其他平台应满足的条件，即访问规则

该规则由A公司的私钥SK _A签名，通常包括A公司自身身份标识ID _A，对方公司的资质要求Demands _A，可供访问的数据资源Datasource _A，如统计出的数据平均值，开放的访问时间Time _A等。

S104，当所述第一验证结果中的识别标识与所述第一服务端的识别标识相同时，通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；其中，所述识别标识为所述第一服务端生成所述访问消息时添加的识别参数；

具体可参见步骤S103，此处不再赘述。

S105，根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；

其中，预设审核方式是第二服务端对第一服务端发送的访问消息解密后进行权限审核的几种方式，在本申请中审核方式包括人工审核以及服务端自动审核。

在一种可能的实现方式中，当是人工审核时，服务端将访问申请首先发送到审核用户的终端进行提示，提示后接收审核的指令，根据指令生成审核结果进行反馈。

在另一种可能的实现方式中，当是服务端自动审核时，首先获取预设的授权服务端集合，最后判断请求的服务端访问消息是否存在授权服务端集合内，判断结束后生成审核结果。

具体的，在自动审核时，采用智能合约，若采用Hyperledger Fabric进行智能合约审核时，它的智能合约其实就是链上代码chaincode，其可以自动执行特定的业务规则，可以制定成访问控制类型，仅允许某些批准过的成员，如A,B公司调用。在实现中，可以采用虚拟机等技术。如果是在以太网上，可以通过以以太网包，或者控制台来部署智能合约。实现方式很多，不局限于此。

S106，根据所述审核结果确定授权结果；

其中，授权结果是第二服务端根据第一服务端的访问消息进行审核后生成的最终结果，该结果包括通过审核与不通过审核。

在一种可能的实现方式中，当审核结果为不通过时，生成拒绝访问通知，通过第一服务端的公钥将拒绝访问通知进行加密得到加密后的拒绝访问通知，通过第二服务端的私钥将加密后的拒绝访问通知进行数字签名，生成授权结果。

在另一种可能的实现方式中，当审核结果为通过时，生成访问凭据以及访问时间，再通过第一服务端的公钥将访问凭据以及访问时间进行加密，生成加密后的访问凭据以及访问时间，最后通过第二服务端的私钥将加密后的访问凭据以及访问时间进行数字签名，生成授权结果。

S107，通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。

例如，若审核不通过，则直接终止交易，并在区块链上发布拒绝通知

该通知用B公司服务端(第一服务端)的公钥PK _B加密，并由A公司服务端(第二服务端)签名。否则，A公司(第二服务端)服务端将在区块链上发布消息并向B公司(第一服务端)发布数据访问响应，消息为：

其中，Token _{A_B}为A公司服务端向B公司服务端授权分配的令牌，作为访问凭据，Expiration为该令牌的有效期，任何超出有效期的令牌将不能用于数据访问，有效保证了被访问数据的后向安全性。同样，该消息也将用B公司的公钥PK _B加密，并由A签名。此外，A公司还将在应用服务器上记录分配给B公司的令牌及令牌有效期，允许B公司访问的资源等，以便于后续审核。

进一步地，例如图6所示，当接收到第二服务端数据访问响应时，第一服务端从区块链中获取第二服务端的授权结果，再获取第二服务端的公钥以及第一服务端的私钥，然后通过第二服务端的公钥对所述授权结果进行验证，生成第二验证结果，当第二验证结果为第二服务端发送的验证结果时，通过第一服务端的私钥对授权结果进行解密，生成解密的授权结果，最后基于所述解密的授权结果确定是否进行数据访问。

在本申请实施例中，例如图7所示，本申请中提出的基于区块链的跨平台应用数据安全将数据与共享访问过程相割裂，其中数据仍由各个平台应用服务器本地保存，区块链上仅记录各个平台发布的访问规则，其他平台对数据的访问权限申请，数据所有者对申请者的授权记录等。通过为不同的数据申请者分配不同的令牌等访问凭据，数据拥有平台可以清楚地知道谁在何时访问了什么数据，避免了数据者申请者内部的恶意工作人员对所申请数据造成的非法泄漏。同时，本申请为不同令牌赋予了不同的有效期，有效保证了数据的后向安全性，避免了数据共享中数据非法泄露，从而导致降低了数据共享时存在的安全风险。

下述为本申请装置实施例，可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

请参见图8，其示出了本申请一个示例性实施例提供的数据访问权限验证装置的结构示意图，应用于第一服务端。该数据访问权限验证系统可以通过软件、硬件或者两者的结合实现成为计算机设备的全部或一部分。该装置1包括访问规则获取模块10、时间确定模块20、公钥获取模块30、数据创建模块40、数据加密模块50、数据签名模块60、消息发送模块70。

访问规则获取模块10，用于获取第二服务端预先生成的访问规则；

时间确定模块20，用于基于所述访问规则确定所述第二服务端访问资源的开放时间；

公钥获取模块30，用于当前时间符合所述开放时间时，获取第二服务端的公钥；

数据创建模块40，用于创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；

数据加密模块50，用于基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；

数据签名模块60，用于根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；

消息发送模块70，用于将所述第一服务端的访问消息发送至区块链。

请参见图9，其示出了本申请一个示例性实施例提供的数据访问权限验证装置的结构示意图，应用于第二服务端。该数据访问权限验证系统可以通过软件、硬件或者两者的结合实现成为计算机设备的全部或一部分。该装置2包括消息获取模块10、公钥和密钥获取模块20、结果生成模块30、解密消息生成模块40、审核结果生成模块50、授权结果确定模块60、响应模块70。

消息获取模块10，用于当接收到第一服务端数据访问请求时，从区块链中获取第一服务端的访问消息；

公钥和密钥获取模块20，用于获取第一服务端的公钥以及第二服务端的私钥；

结果生成模块30，用于根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；

解密消息生成模块40，用于通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；

审核结果生成模块50，用于根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；

授权结果确定模块60，用于根据所述审核结果确定授权结果；

响应模块70，用于通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。

需要说明的是，上述实施例提供的数据访问权限验证系统在执行数据访问权限验证方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的数据访问权限验证系统与数据访问权限验证方法实施例属于同一构思，其体现实现过程详见方法实施例，这里不再赘述。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在一个实施例中，提出了一种计算机设备，所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一个示例性实施例所示出的数据访问权限验证方法，所述数据访问权限验证方法包括以下步骤：第一服务端获取第二服务端预先生成的访问规则；第一服务端基于所述访问规则确定所述第二服务端访问资源的开放时间；当前时间符合所述开放时间时，第一服务端获取第二服务端的公钥；第一服务端创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；第一服务端基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；第一服务端根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；第一服务端将所述第一服务端的访问消息发送至区块链，并向所述第二服务端发送数据访问请求。第二服务端当接收到第一服务端数据访问请求时，从区块链中获取第一服务端的访问消息；第二服务端获取第一服务端的公钥以及第二服务端的私钥；第二服务端根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；第二服务端通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；第二服务端根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；第二服务端根据所述审核结果确定授权结果；第二服务端通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。第一服务端当接收到第二服务端数据访问响应时，从区块链中获取第二服务端的授权结果；第一服务端获取第二服务端的公钥以及第一服务端的私钥；第一服务端通过所述第二服务端的公钥对所述授权结果进行验证，生成第二验证结果；当所述第二验证结果为所述第二服务端发送的验证结果时，第一服务端通过所述第一服务端的私钥对所述授权结果进行解密，生成解密的授权结果；第一服务端基于所述解密的授权结果确定是否进行数据访问。

在一个实施例中，提出了一种存储有计算机可读指令的存储介质，所述计算机可读存储介质可以是非易失性，也可以是易失性，该计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述任一个示例性实施例所示出的数据访问权限验证方法，所述数据访问权限验证方法包括以下步骤：第一服务端获取第二服务端预先生成的访问规则；第一服务端基于所述访问规则确定所述第二服务端访问资源的开放时间；当前时间符合所述开放时间时，第一服务端获取第二服务端的公钥；第一服务端创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；第一服务端基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；第一服务端根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；第一服务端将所述第一服务端的访问消息发送至区块链，并向所述第二服务端发送数据访问请求。第二服务端当接收到第一服务端数据访问请求时，从区块链中获取第一服务端的访问消息；第二服务端获取第一服务端的公钥以及第二服务端的私钥；第二服务端根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；第二服务端通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；第二服务端根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；第二服务端根据所述审核结果确定授权结果；第二服务端通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。第一服务端当接收到第二服务端数据访问响应时，从区块链中获取第二服务端的授权结果；第一服务端获取第二服务端的公钥以及第一服务端的私钥；第一服务端通过所述第二服务端的公钥对所述授权结果进行验证，生成第二验证结果；当所述第二验证结果为所述第二服务端发送的验证结果时，第一服务端通过所述第一服务端的私钥对所述授权结果进行解密，生成解密的授权结果；第一服务端基于所述解密的授权结果确定是否进行数据访问。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)等非易失性存储介质，或随机存储记忆体(Random Access Memory，RAM)等。

Claims

一种数据访问权限验证方法，应用于第一服务端，其中，所述方法包括：

获取第二服务端预先生成的访问规则；

基于所述访问规则确定所述第二服务端访问资源的开放时间；

当当前时间符合所述开放时间时，获取第二服务端的公钥；

创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；

基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；

根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；

将所述第一服务端的访问消息发送至区块链，并向所述第二服务端发送数据访问请求。
根据权利要求1所述的方法，其中，所述将所述第一服务端的访问消息发送至区块链之后，还包括：

当接收到所述第二服务端针对所述数据访问请求生成的数据访问响应时，从区块链中获取所述第二服务端针对所述数据访问请求生成的授权结果；其中，所述授权结果为所述第二服务端接收到所述访问请求时从区块链中获取所述访问消息进行审核后生成的结果；所述数据访问响应是所述第二服务端生成所述授权结果后针对所述第一服务端发出的响应；

获取第二服务端的公钥以及第一服务端的私钥；

通过所述第二服务端的公钥对所述授权结果进行验证，生成第二验证结果；

当所述第二验证结果中的识别标识与所述第二服务端的识别标识相同时，通过所述第一服务端的私钥对所述授权结果进行解密，生成解密的授权结果；其中，所述识别标识为所述第二服务端生成所述授权结果时添加的识别参数；

基于所述解密的授权结果确定是否进行数据访问。
一种数据访问权限验证方法，应用于第二服务端，其中，所述方法包括：

当接收到第一服务端针对所述第二服务端发送的数据访问请求时，从区块链中获取所述第一服务端针对所述第二服务端发送的访问消息；

获取第一服务端的公钥以及第二服务端的私钥；

根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；

当所述第一验证结果中的识别标识与所述第一服务端的识别标识相同时，通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；其中，所述识别标识为所述第一服务端生成所述访问消息时添加的识别参数；

根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；

根据所述审核结果确定授权结果；

通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。
根据权利要求3所述的方法，其中，所述从区块链中获取第一服务端的访问消息之前，还包括：

获取第二服务端的公钥以及第二服务端参数集合；

基于所述第二服务端的私钥将所述第二服务端参数集合进行数字签名，生成访问规则；

根据所述第二服务端公钥将所述访问规则加密后发布至区块链。
根据权利要求3所述的方法，其中，所述预设审核方式包括人工审核方式以及服务端审核方式；

所述根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果包括：

当所述审核方式为人工审核且所述验证结果为所述第一服务端发送的访问消息时，接收审核结果的指令并基于所述审核结果的指令生成审核结果；或

当所述审核方式为服务端审核且所述验证结果为所述第一服务端发送的访问消息时，获取预设的授权服务端集合；

判断所述第一服务端是否存在所述授权服务端集合内，生成审核结果。
根据权利要求3所述的方法，其中，所述根据所述审核结果确定授权结果，包括：

当所述审核结果为不通过时，生成拒绝访问通知；

通过所述第一服务端的公钥将所述拒绝访问通知进行加密得到加密后的拒绝访问通知；

通过所述第二服务端的私钥将所述加密后的拒绝访问通知进行数字签名，生成授权结果。
根据权利要求3所述的方法，其中，所述根据所述审核结果确定授权结果，包括：

当所述审核结果为通过时，生成访问凭据以及访问时间；

通过所述第一服务端的公钥将所述访问凭据以及访问时间进行加密，生成加密后的访问凭据以及访问时间；

通过所述第二服务端的私钥将所述加密后的访问凭据以及访问时间进行数字签名，生成授权结果。
一种数据访问权限验证装置，应用于第一服务端，其中，所述装置包括：

访问规则获取模块，用于获取第二服务端预先生成的访问规则；

时间确定模块，用于基于所述访问规则确定所述第二服务端访问资源的开放时间；

公钥获取模块，用于当前时间符合所述开放时间时，获取第二服务端的公钥；

数据创建模块，用于创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；

数据加密模块，用于基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；

数据签名模块，用于根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；

消息发送模块，用于将所述第一服务端的访问消息发送至区块链。
一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行一种数据访问权限验证方法：

其中，所述数据访问权限验证方法应用于第一服务端，所述方法包括以下步骤：

获取第二服务端预先生成的访问规则；

基于所述访问规则确定所述第二服务端访问资源的开放时间；

当当前时间符合所述开放时间时，获取第二服务端的公钥；

创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；

基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；

根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；

将所述第一服务端的访问消息发送至区块链，并向所述第二服务端发送数据访问请求。
根据权利要求9所述的计算机设备，其中，所述将所述第一服务端的访问消息发送至区块链之后，还包括：

当接收到所述第二服务端针对所述数据访问请求生成的数据访问响应时，从区块链中获取所述第二服务端针对所述数据访问请求生成的授权结果；其中，所述授权结果为所述第二服务端接收到所述访问请求时从区块链中获取所述访问消息进行审核后生成的结果；所述数据访问响应是所述第二服务端生成所述授权结果后针对所述第一服务端发出的响应；

获取第二服务端的公钥以及第一服务端的私钥；

通过所述第二服务端的公钥对所述授权结果进行验证，生成第二验证结果；

当所述第二验证结果中的识别标识与所述第二服务端的识别标识相同时，通过所述第一服务端的私钥对所述授权结果进行解密，生成解密的授权结果；其中，所述识别标识为所述第二服务端生成所述授权结果时添加的识别参数；

基于所述解密的授权结果确定是否进行数据访问。
一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行一种数据访问权限验证方法：

其中，所述数据访问权限验证方法应用于第二服务端，所述方法包括以下步骤：

当接收到第一服务端针对所述第二服务端发送的数据访问请求时，从区块链中获取所述第一服务端针对所述第二服务端发送的访问消息；

获取第一服务端的公钥以及第二服务端的私钥；

根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；

当所述第一验证结果中的识别标识与所述第一服务端的识别标识相同时，通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；其中，所述识别标识为所述第一服务端生成所述访问消息时添加的识别参数；

根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；

根据所述审核结果确定授权结果；

通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。
根据权利要求11所述的计算机设备，其中，所述从区块链中获取第一服务端的访问消息之前，还包括：

获取第二服务端的公钥以及第二服务端参数集合；

基于所述第二服务端的私钥将所述第二服务端参数集合进行数字签名，生成访问规则；

根据所述第二服务端公钥将所述访问规则加密后发布至区块链。
根据权利要求11所述的计算机设备，其中，所述预设审核方式包括人工审核方式以及服务端审核方式；

所述根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果包括：

当所述审核方式为人工审核且所述验证结果为所述第一服务端发送的访问消息时，接收审核结果的指令并基于所述审核结果的指令生成审核结果；或

当所述审核方式为服务端审核且所述验证结果为所述第一服务端发送的访问消息时，获取预设的授权服务端集合；

判断所述第一服务端是否存在所述授权服务端集合内，生成审核结果。
根据权利要求11所述的计算机设备，其中，所述根据所述审核结果确定授权结果，包括：

当所述审核结果为不通过时，生成拒绝访问通知；

通过所述第一服务端的公钥将所述拒绝访问通知进行加密得到加密后的拒绝访问通知；

通过所述第二服务端的私钥将所述加密后的拒绝访问通知进行数字签名，生成授权结果。
根据权利要求11所述的计算机设备，其中，所述根据所述审核结果确定授权结果，包括：

当所述审核结果为通过时，生成访问凭据以及访问时间；

通过所述第一服务端的公钥将所述访问凭据以及访问时间进行加密，生成加密后的访问凭据以及访问时间；

通过所述第二服务端的私钥将所述加密后的访问凭据以及访问时间进行数字签名，生成授权结果。
一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行一种数据访问权限验证方法，其中，所述数据访问权限验证方法应用于第一服务端，所述方法包括以下步骤：

获取第二服务端预先生成的访问规则；

基于所述访问规则确定所述第二服务端访问资源的开放时间；

当当前时间符合所述开放时间时，获取第二服务端的公钥；

创建访问所述第二服务端的权限访问数据并获取第一服务端的私钥；

基于所述第二服务端的公钥对所述权限访问数据进行加密，生成加密后的权限访问数据；

根据所述第一服务端的私钥对所述加密后的权限访问数据进行数字签名，生成第一服务端的访问消息；

将所述第一服务端的访问消息发送至区块链，并向所述第二服务端发送数据访问请求。
根据权利要求16所述的计算机可读存储介质，其中，所述将所述第一服务端的访问消息发送至区块链之后，还包括：

当接收到所述第二服务端针对所述数据访问请求生成的数据访问响应时，从区块链中获取所述第二服务端针对所述数据访问请求生成的授权结果；其中，所述授权结果为所述第二服务端接收到所述访问请求时从区块链中获取所述访问消息进行审核后生成的结果；所述数据访问响应是所述第二服务端生成所述授权结果后针对所述第一服务端发出的响应；

获取第二服务端的公钥以及第一服务端的私钥；

通过所述第二服务端的公钥对所述授权结果进行验证，生成第二验证结果；

当所述第二验证结果中的识别标识与所述第二服务端的识别标识相同时，通过所述第一服务端的私钥对所述授权结果进行解密，生成解密的授权结果；其中，所述识别标识为所述第二服务端生成所述授权结果时添加的识别参数；

基于所述解密的授权结果确定是否进行数据访问。
一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行一种数据访问权限验证方法，其中，所述数据访问权限验证方法应用于第二服务端，所述方法包括以下步骤：

当接收到第一服务端针对所述第二服务端发送的数据访问请求时，从区块链中获取所述第一服务端针对所述第二服务端发送的访问消息；

获取第一服务端的公钥以及第二服务端的私钥；

根据所述第一服务端的公钥对所述第一服务端的访问消息进行验证，生成第一验证结果；

当所述第一验证结果中的识别标识与所述第一服务端的识别标识相同时，通过所述第二服务端的私钥对所述第一服务端的访问消息进行解密，生成解密后的访问消息；其中，所述识别标识为所述第一服务端生成所述访问消息时添加的识别参数；

根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果；

根据所述审核结果确定授权结果；

通过所述第一服务端的公钥将所述授权结果加密后发送至区块链，并向第一服务端发送数据访问响应。
根据权利要求18所述的计算机可读存储介质，其中，所述从区块链中获取第一服务端的访问消息之前，还包括：

获取第二服务端的公钥以及第二服务端参数集合；

基于所述第二服务端的私钥将所述第二服务端参数集合进行数字签名，生成访问规则；

根据所述第二服务端公钥将所述访问规则加密后发布至区块链。
根据权利要求18所述的计算机可读存储介质，其中，所述预设审核方式包括人工审核方式以及服务端审核方式；

所述根据预设审核方式对所述验证结果和解密后的访问消息进行审核，生成审核结果包括：

当所述审核方式为人工审核且所述验证结果为所述第一服务端发送的访问消息时，接收审核结果的指令并基于所述审核结果的指令生成审核结果；或

当所述审核方式为服务端审核且所述验证结果为所述第一服务端发送的访问消息时，获取预设的授权服务端集合；

判断所述第一服务端是否存在所述授权服务端集合内，生成审核结果。