本發明實施例公開了一種授權驗證方法、裝置、設備和存儲介質。該方法包括：獲取授權用戶組的授權結果，授權結果包括授權用戶組的第一公鑰、授權用戶組的授權用戶簽名和預設授權人數閾值；根據授權結果確定第一授權信息并存儲于區塊鏈，將第一授權信息發送給被授權方；獲取待驗證的第二授權信息，第二授權信息包括第二交易索引、第二公鑰地址和第二交易附值；根據第一授權信息驗證第二授權信息是否有效，若有效則授權驗證通過。本發明實施例提供的授權驗證方法通過去中心化的區塊鏈保存第一授權信息避免了因中心服務器被攻擊導致的不可靠，設置預設授權人數閾值用于降低因授權用戶組中少數用戶的私鑰泄露導致授權泛濫的風險。

技術領域

本發明屬于密碼學與軟件工程的技術領域，尤其涉及一種授權驗證方法、裝置、設備及存儲介質。

背景技術

隨著社會的發展，用戶授權及驗證的場景越來越多，這里的用戶可以是單個人也可以是一個機構。傳統的授權驗證系統面臨著許多問題，如專利201410079876.X提出的身份驗證方法及裝置，服務器接收第一終端設備發送的業務獲取請求，發起對第一終端設備的身份驗證，在獲取了身份驗證后通過一系列的驗證環節最后判斷身份的合法性再提供第一終端請求的業務。諸如這樣的傳統身份驗證方法，都可以抽象成是一端到另一端的驗證方式。用戶發布簽名信息來提供身份驗證的依據，驗證方驗證授權記錄中的用戶簽名來驗證授權的有效性。這樣的驗證方式如果用在實際的場景中，例如高校頒發學位證書，學生受聘的企業驗證證書的真偽。在這樣的場景中，因為一對一驗證模式的局限會造成許多問題，如學校會面臨著在校招高峰時間段內處理多個企業驗證請求的壓力；如果學校的私鑰丟失，則無法完成證書的頒發和驗證，先前頒發的證書失效；如果學校的私鑰被泄露，則攻擊者可以偽造證書信息?，F有的發明還不足以解決上述問題。如發明201310008315.6提出的一種多重簽名生成與驗證系統及其方法，這個方法雖然使用了多重簽名的方法但是只是將簽名放在了簽名收集單元中，驗證方如需驗證授權記錄依然需要訪問特定的一個單元，某個驗證高峰可能會造成訪問單元的訪問壓力過載，且授權記錄存在被篡改的風險，并且只存儲在特定單元的授權記錄并沒有透明公開，如果存儲單元遭到攻擊，雖然篡改了授權記錄后授權記錄無效，但是不排除惡意刪除的可能。發明201610796491.4提出的一種基于身份密碼機制的多重數字簽名方法，來提高系統的安全性和穩定性，這個發明是將身份密碼機制與Rabin算法相結合降低系統的負載來減輕證書管理的負擔，但是這個發明還是存在簽名沒有透明公開的問題，并且還是會造成一定的證書管理的負擔，而且也存在上述的授權記錄丟失的可能。發明201610902142.6雖然使用了區塊鏈作為存儲用戶更改密鑰消息廣播的平臺來防篡改，提升了網絡授權的安全性和可用性，但是依然不能解決用戶私鑰丟失造成的授權失效和用戶私鑰泄露造成的授權被造假的可能。

發明內容

有鑒于此，本發明提供了一種授權驗證方法，能夠解決用數據中心的證書管理負擔大，授權信息不夠公開，用戶私鑰丟失造成的授權失效和用戶私鑰泄露造成的授權被造假的問題。

為解決上述技術問題，本發明采用以下技術方案：

第一方面，本發明提供了一種授權驗證方法，該方法包括：

獲取授權用戶組的授權結果，所述授權結果包括授權用戶組的第一公鑰、授權用戶組的授權用戶簽名和預設授權人數閾值；

根據所述授權結果確定第一授權信息并存儲于區塊鏈，所述第一授權信息包括第一交易索引、第一公鑰地址和第一交易附值，將所述第一授權信息發送給被授權方；

獲取待驗證的第二授權信息，所述第二授權信息包括第二交易索引、第二公鑰地址和第二交易附值；

根據所述第一授權信息驗證所述第二授權信息是否有效，若有效則授權驗證通過。

第二方面，本發明提供了一種授權驗證裝置，包括：