[发明专利]账户级区块链隐私数据访问权限管控方法及系统

权利要求书

1.一种账户级区块链隐私数据访问权限管控方法，其特征在于，区块链中，客户端账户订阅一个或多个区块链节点作为其订阅节点，客户端账户将隐私数据经其数据秘钥的公钥加密后提交上链，所述方法包括以下步骤：

S1：订阅节点接收到请求账户的数据访问请求，所述数据访问请求至少包括所述请求账户的请求地址、被访问账户的目的地址；

S2：根据所述目的地址，验证所述被访问账户是否为所述订阅节点的节点账户或者是否位于所述订阅节点的订阅者白名单，若是则验证通过，反之直接丢弃所述数据访问请求；

S3：所述步骤S2的验证通过，则根据所述请求地址，验证所述请求账户是否位于所述被访问账户的访问者白名单，若是则验证通过，反之拒绝访问；

S4：所述步骤S3的验证通过，则根据所述请求地址，将需要访问的隐私数据经所述数据秘钥的私钥解密后发送给所述请求账户。

2.根据权利要求1所述的账户级区块链隐私数据访问权限管控方法，其特征在于，所述步骤S3中，所述根据所述请求地址，验证所述请求账户是否位于所述被访问账户的访问者白名单，若是则验证通过，反之拒绝访问进一步包括：

若所述被访问账户为所述订阅节点的节点账户，则所述订阅节点根据所述请求地址，验证所述请求账户是否位于所述被访问账户的访问者白名单，若是则验证通过，反之拒绝访问；

若所述被访问账户位于所述订阅节点的订阅者白名单，则所述订阅节点判断所述被访问账户是否在线：

若在线，则所述被访问账户根据所述请求地址，验证所述请求账户是否位于所述被访问账户的访问者白名单，若是则验证通过，反之拒绝访问；

若不在线，则所述订阅节点将所述数据访问请求暂存于缓存队列内，待所述被访问账户在线时，将所述数据访问请求转发至所述被访问账户，所述被访问账户根据所述请求地址，验证所述请求账户是否位于所述被访问账户的访问者白名单，若是则验证通过，反之拒绝访问。

3.根据权利要求1或2所述的账户级区块链隐私数据访问权限管控方法，其特征在于，所述步骤S3中，所述访问者白名单包括多个访问者子名单，多个所述访问者子名单分别对应所述被访问账户不同分组的隐私数据。

4.根据权利要求1所述的账户级区块链隐私数据访问权限管控方法，其特征在于，所述数据访问请求还包括所述请求账户的公钥，所述步骤S4中，所述根据所述请求地址，将需要访问的隐私数据经所述数据秘钥的私钥解密后发送给所述请求账户进一步包括：

将需要访问的隐私数据通过所述数据秘钥的私钥进行解密；

将解密后的隐私数据通过所述请求账户的公钥进行加密之后发送给请求账户。

5.根据权利要求1所述的账户级区块链隐私数据访问权限管控方法，其特征在于，所述步骤S4中，所述根据所述请求地址，将需要访问的隐私数据经所述数据秘钥的私钥解密后发送给所述请求账户进一步包括：

将需要访问的隐私数据通过所述数据秘钥的私钥进行解密；

将解密后的隐私数据通过所述请求账户与所述被访问账户之间的临时秘钥进行加密之后发送给请求账户，其中，所述临时秘钥为所述被访问账户通过秘钥交换与所述请求账户协商的秘钥。

6.根据权利要求4或5所述的账户级区块链隐私数据访问权限管控方法，其特征在于，所述步骤S4之后还包括步骤S5：

所述请求账户接收经加密传输的隐私数据，解密获取隐私数据的明文，其中，通过所述被访问账户的所述数据秘钥的公钥对隐私数据的明文再次加密，与链上的所述被访问账户对应加密的隐私数据对比，验证接收的隐私数据是否正确。

7.根据权利要求1所述的账户级区块链隐私数据访问权限管控方法，其特征在于，所述步骤S1之前还包括步骤S0：

若所述被访问账户的所述订阅节点的节点地址已知，则所述请求账户直接向所述节点地址发送所述数据访问请求；

若所述被访问账户的所述订阅节点的节点地址未知，则所述请求账户向区块链节点发送所述数据访问请求，经检查请求合法后向区块链全网广播。