[发明专利]基于隐私保护的区块链访问权限控制方法和区块链系统

权利要求书

1.一种基于隐私保护的区块链访问权限控制方法，其特征在于，应用于区块链系统，所述区块链系统包括多个区块链节点，每个区块链节点所在的节点设备中还部署有该区块链节点对应的分布式节点，各区块链节点分别对应的分布式节点组成一分布式存储系统；所述方法包括：

第二区块链节点接收第二客户端发送的数据存储交易、第一密文和第二密文，其中，所述第一密文是利用第二客户端的第一加密密钥对待存储内容加密而得到的密文，所述第二密文是利用第二客户端的私钥对第一解密密钥加密而得到的密文，所述第二区块链节点为所述区块链系统中的任意一个区块链节点，所述第一解密密钥和所述第一加密密钥为相同的对称密钥或者互为非对称密钥；

所述第二区块链节点对所述数据存储交易进行校验；

若所述数据存储交易通过校验，所述第二区块链节点从所述分布式存储系统中确定第一存储节点，所述第一存储节点是用于存储所述第一密文的分布式节点；

所述第二区块链节点确定所述第一密文对应的内容标识，并将所述第一密文及所述内容标识写入所述第一存储节点，并将所述数据存储交易写入本地区块链；

第一区块链节点接收第一客户端发送的访问请求，所述访问请求包括访问内容的指示信息、所述第一客户端的角色确认信息和权限认证信息，所述第一区块链节点是所述区块链系统中的任意一个区块链节点；

所述第一区块链节点根据所述角色确认信息确定所述第一客户端具有访问所述区块链系统的第一权限后，基于所述指示信息从所述分布式存储系统中确定所述访问内容所在的分布式节点；

所述第一区块链节点根据所述权限认证信息确定所述第一客户端具有访问所述访问内容所在的分布式节点的第二权限后，从所述访问内容所在的分布式节点获取所述访问内容，并返回给所述第一客户端。

2.根据权利要求1所述的方法，其特征在于，所述区块链系统中的每个区块链节点存储有分布式账本，所述分布式账本包括多个内容标识以及每个内容标识与至少一个分布式节点标识之间的对应关系；一个内容标识指示的内容存储于该内容标识对应的至少一个分布式节点标识所指示的分布式节点上。

3.根据权利要求1所述的方法，其特征在于，在所述将所述第一密文写入所述第一存储节点之后，所述方法还包括：

所述第二区块链节点生成所述第一密文的路由信息，所述路由信息包括所述第一密文的内容标识以及所述第一存储节点的节点标识、IP地址和UDP端口；

将所述第一密文的路由信息添加到路由表中。

4.根据权利要求1所述的方法，其特征在于，所述数据存储交易包括服务信息字段；在所述将所述数据存储交易写入本地区块链之前，所述方法还包括：

若所述待存储内容被存储于本地存储系统，将所述服务信息字段设置为所述待存储内容在所述本地存储系统的统一资源定位符URL地址；

若所述待存储内容被存储于所述分布式存储系统，将所述服务信息字段设置为所述待存储内容的内容标识。

5.根据权利要求4所述的方法，其特征在于，所述数据存储交易包括访问策略字段；在所述将所述数据存储交易写入本地区块链之前，所述方法还包括：

若所述待存储内容被存储于所述分布式存储系统且所述待存储内容为隐私数据，利用所述第二客户端的公钥解密所述第二密文，得到所述第一解密密钥；

针对所述待存储内容的每个可访问对象，所述第二区块链节点利用所述可访问对象的公钥将所述第一解密密钥加密为第三密文，并存储每个可访问对象的用户标识与所述可访问对象的第三密文的对应关系；

所述第二区块链节点获取第一存储地址，并在所述数据存储交易的访问策略字段中设置所述第一存储地址，所述第一存储地址是所述对应关系的存储地址。

6.根据权利要求5所述的方法，其特征在于，在所述将所述数据存储交易写入本地区块链之前，所述方法还包括：

所述第二区块链节点确定该隐私数据的私密等级，并基于该私密等级获取第二存储地址，所述第二存储地址是该私密等级对应的权限验证规则的存储地址；

所述第二区块链节点在所述数据存储交易的访问策略字段中设置所述第二存储地址。