[发明专利]基于密码学的多层级角色权限控制方法和装置

权利要求书

1.一种基于密码学的多层级角色权限控制方法，应用于服务端，其特征在于，包括：

接收种子数据，根据所述种子数据生成多级密钥，分配下发密钥至对应权限的角色，其中，所述多级密钥为分层确定性密钥，每个所述密钥包括公钥和私钥；

响应于第一角色上传数据原文的操作，生成所述数据原文的第一哈希头，将所述数据原文用第一角色的公钥加密获得第一密文、用第一角色的私钥和所述第一哈希头签名以获得数据签名，将所述数据签名与所述第一密文组合为带签名的第一密文，将所述第一哈希头、带签名的第一密文存储至数据库；

响应于第二角色获取所述第一密文的请求，将所述第一密文下发至所述第二角色的客户端，以使第二角色的客户端根据所述第一密文的签名解密所述第一密文得到数据原文、并对得到的数据原文通过第三角色的公钥加密得到第二密文后发送至服务器，所述第二角色的客户端根据所述第一密文的签名解密所述第一密文得到数据原文包括：第二角色的客户端利用第一角色的公钥，验证所述第一密文的签名得到第一角色的身份以确定第一角色的角色序号，根据所述第一角色的角色序号和第二角色的密钥和链码生成所述第一角色的私钥，利用所述第一角色的私钥解密所述第一密文得到数据原文；

响应于第三角色获取第二密文和第一哈希头的请求，将所述第二密文和第一哈希头发送至第三角色的客户端，以使第三角色的客户端解密所述第二密文获得数据原文和所述第一哈希头并根据获得的数据原文生成第二哈希头，将所述第一哈希头和第二哈希头比对以判断第二角色是否篡改数据原文。

2.根据权利要求1所述的基于密码学的多层级角色权限控制方法，其特征在于，所述根据所述种子数据生成多级密钥，分配下发密钥至对应权限的角色包括：根据所述种子数据生成多级密钥，将所述多级密钥根据预设规则分配下发至对应权限的角色，所述预设规则包括：给具有可上传数据的权限对应的角色和可下载自己上传数据的权限对应的角色分配所述多级密钥的最后一层级密钥，给具有上传权限对应的角色、访问自己上传数据的权限对应的角色、以及访问自己对应的多层级密钥的下层级密钥对应的角色所上传的数据的权限对应的角色分配所述多级密钥的父密钥和最后一层级密钥之间层级的密钥，给具有上传权限对应的角色和访问所有角色上传数据的权限对应的角色分配所述多级密钥的父密钥，不可当期访问数据的权限对应的角色在下期密钥分配时分配上期的密钥。

3.根据权利要求2所述的基于密码学的多层级角色权限控制方法，其特征在于，所述第一角色只具有上传数据和下载自己上传的数据的权限，所述第二角色具有访问所有数据或自己及自己对应的多层级密钥的下层级密钥对应的角色上传的数据的权限，所述第三角色具有验证权限。

4.根据权利要求1所述的基于密码学的多层级角色权限控制方法，其特征在于，通过哈希算法生成所述第一哈希头和第二哈希头。

5.根据权利要求1所述的基于密码学的多层级角色权限控制方法，其特征在于，所述第三角色的客户端解密所述第二密文获得数据原文包括：所述第三角色的客户端以所述第三角色的私钥进行解密所述第二密文得到数据原文。

6.根据权利要求1所述的基于密码学的多层级角色权限控制方法，其特征在于，所述将所述第一哈希头和第二哈希头比对以判断第二角色是否篡改数据原文包括：当所述第一哈希头和第二哈希头一致时，判定所述第二角色没有篡改数据原文，当所述第一哈希头和第二哈希头不一致时，判定所述第二角色有篡改数据原文。