本申請公開了一種用戶權(quán)限控制方法，應(yīng)用于基于區(qū)塊鏈的去中心化系統(tǒng)中的任一節(jié)點(diǎn)設(shè)備，所述方法包括：接收用戶在執(zhí)行預(yù)設(shè)的權(quán)限操作時(shí)，基于持有的私鑰提交的執(zhí)行結(jié)果；響應(yīng)于接收到的所述執(zhí)行結(jié)果，讀取與所述用戶持有的私鑰對應(yīng)的公鑰綁定的所述用戶的身份標(biāo)識；其中，所述用戶的身份標(biāo)識為所述基于區(qū)塊鏈的去中心化系統(tǒng)存儲的可信公鑰授權(quán)的身份標(biāo)識；查詢與所述身份標(biāo)識關(guān)聯(lián)的用戶權(quán)限，并基于查詢到的所述用戶權(quán)限對所述用戶進(jìn)行權(quán)限控制，以確定所述執(zhí)行結(jié)果是否合法。本申請可以在用戶持有的私鑰以及對應(yīng)的公鑰發(fā)生變化時(shí)，始終采用唯一不變的身份標(biāo)識對用戶進(jìn)行權(quán)限控制。

技術(shù)領(lǐng)域

本申請涉及計(jì)算機(jī)應(yīng)用技術(shù)領(lǐng)域，尤其涉及一種用戶權(quán)限控制方法及裝置。

背景技術(shù)

區(qū)塊鏈技術(shù)，是一種由若干臺計(jì)算設(shè)備共同參與“記賬”，共同維護(hù)一份完整的分布式數(shù)據(jù)庫的新興技術(shù)。由于區(qū)塊鏈技術(shù)具有去中心化、公開透明、每臺計(jì)算設(shè)備可以參與數(shù)據(jù)庫記錄、并且各計(jì)算設(shè)備之間可以快速的進(jìn)行數(shù)據(jù)同步的特性，利用區(qū)塊鏈技術(shù)來搭建去中心化系統(tǒng)，并在區(qū)塊鏈的分布式數(shù)據(jù)庫中收錄各種執(zhí)行程序進(jìn)行自動執(zhí)行，已在眾多的領(lǐng)域中廣泛的進(jìn)行應(yīng)用；例如，在金融科技領(lǐng)域，利用區(qū)塊鏈技術(shù)搭建P2P支付平臺，并在區(qū)塊鏈上發(fā)布諸如智能合約等執(zhí)行程序，可以在不經(jīng)過銀行等金融機(jī)構(gòu)的前提下，實(shí)現(xiàn)不同的用戶之間的點(diǎn)對點(diǎn)安全支付。

發(fā)明內(nèi)容

本申請?zhí)岢鲆环N用戶權(quán)限控制方法，應(yīng)用于基于區(qū)塊鏈的去中心化系統(tǒng)中的任一節(jié)點(diǎn)設(shè)備，所述方法包括：

接收用戶在執(zhí)行預(yù)設(shè)的權(quán)限操作時(shí)，基于持有的私鑰提交的執(zhí)行結(jié)果；

響應(yīng)于接收到的所述執(zhí)行結(jié)果，讀取與所述用戶持有的私鑰對應(yīng)的公鑰綁定的所述用戶的身份標(biāo)識；其中，所述用戶的身份標(biāo)識為所述基于區(qū)塊鏈的去中心化系統(tǒng)存儲的可信公鑰授權(quán)的身份標(biāo)識；

查詢與所述身份標(biāo)識關(guān)聯(lián)的用戶權(quán)限，并基于查詢到的所述用戶權(quán)限對所述用戶進(jìn)行權(quán)限控制，以確定所述執(zhí)行結(jié)果是否合法。

可選的，所述讀取與所述用戶持有的私鑰對應(yīng)的公鑰綁定的所述用戶的身份標(biāo)識，包括：

獲取與所述用戶持有的私鑰對應(yīng)的公鑰，與所述用戶的身份標(biāo)識之間的綁定關(guān)系；以及，對應(yīng)于所述綁定關(guān)系的電子簽名；

基于所述去中心化系統(tǒng)存儲的可信公鑰針對所述電子簽名進(jìn)行驗(yàn)證；

如果驗(yàn)證通過，基于所述綁定關(guān)系讀取與所述用戶持有的私鑰對應(yīng)的公鑰綁定的所述用戶的身份標(biāo)識。

可選的，其中，所述去中心化系統(tǒng)支持多種電子簽名算法。

可選的，所述綁定關(guān)系存儲在所述用戶的用戶身份證書中。

可選的，其中，當(dāng)所述用戶持有的私鑰及對應(yīng)的公鑰發(fā)生更新時(shí)，解除更新前的公鑰與所述用戶的身份標(biāo)識的綁定關(guān)系，并將更新后的公鑰與所述用戶的身份標(biāo)識重新綁定。

可選的，所述節(jié)點(diǎn)設(shè)備搭載了用于承載所述綁定關(guān)系的便攜式智能硬件；

所述方法還包括：

將所述綁定關(guān)系下發(fā)至所述便攜式智能硬件，以由所述便攜式智能硬件在其本地的安全存儲環(huán)境中存儲所述綁定關(guān)系。

可選的，所述查詢與所述身份標(biāo)識關(guān)聯(lián)的用戶權(quán)限，包括：

將所述身份標(biāo)識作為查詢索引，在預(yù)設(shè)的權(quán)限列表中查詢與所述身份標(biāo)識關(guān)聯(lián)的用戶權(quán)限；其中，所述權(quán)限列表包括基于所述去中心化系統(tǒng)存儲的可信公鑰授權(quán)的若干身份標(biāo)識，以及與各身份標(biāo)識關(guān)聯(lián)的至少一種用戶權(quán)限。

可選的，所述用戶的身份標(biāo)識綁定多個(gè)公鑰；其中，與所述用戶的身份標(biāo)識綁定的多個(gè)公鑰，分別對應(yīng)不同的用戶角色。

可選的，所述用戶的身份標(biāo)識為基于所述用戶提交的身份信息生成的用戶身份編碼。