[发明专利]基于密码学的多层级角色权限控制方法和装置

说明书

本发明提供了一种基于密码学的多层级角色权限控制方法、装置、电子设备及可存储介质，本方法根据业务权限需求划分角色上下级关系；通过密钥加解密权限在空间维度控制访问权限；部分角色拥有验证权限，需验证的单条原文信息由被验证方（数据输入方）或管理方（最高权限方）发送给验证方，验证方对原文信息进行哈希操作获得哈希头，与验证方自行取得的加密信息的哈希头进行比对，若结果一致，则验证内容未被篡改。适用于在空间维度和时间维度的各种访问权限和验证权限需求，真实生活中极其复杂的业务需求同样可以通过简单配置灵活实现，极大的减少权限系统的开发成本与维护成本。本发明基于密码学技术，以密钥确定权限，具有强大的安全性和稳定性。

技术领域

本发明属于计算机技术领域，尤其涉及一种基于密码学的多层级角色权限控制方法、装置、电子设备及可存储介质。

背景技术

非对称加密算法(asymmetric cryptographic algorithm)：该算法需要两个密钥，公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。

分层确定性密码学技术(Hierarchical Deterministic)-简称HD：分层(Hierarchical)指的是密钥之间存在层级关系，从父密钥可以生成子密钥；确定性(Deterministic)指的是，根据密钥在层级中的编号，就可以从父密钥确定性地推导出该密钥的具体内容。

1、传统的权限控制方案分为功能访问控制和数据访问控制，其只能解决访问权限控制需求，无法解决验证权限需求。

2、传统方案的安全性和稳定性都存在较大隐患，如利用模拟登录、暴力破解、反编译等技术手段可攻击权限系统，破解得到最高权限。

3、传统方案还需要针对业务需求情况，专门定制开发，建设成本和维护成本偏高。

4、单纯的分层确定性密码技术无法实现延时访问、单时段数据访问等时间维度的访问权限控制，同时也无法实现验证权限控制功能。

发明内容

本发明实施例的第一目的在于提供一种基于密码学的多层级角色权限控制方法，旨在解决上述现有技术存在的至少一个问题。

本发明实施例是这样实现的，一种基于密码学的多层级角色权限控制方法，应用于服务端，包括：

接收种子数据，根据所述种子数据生成多级密钥，分配下发密钥至对应权限的角色，其中，所述多级密钥为分层确定性密钥，每个所述密钥包括公钥和私钥；

响应于第一角色上传数据原文的操作，生成所述数据原文的第一哈希头，将所述数据原文用第一角色的公钥加密获得第一密文、用第一角色的私钥和所述第一哈希头签名以获得数据签名，将所述数据签名与所述第一密文组合为带签名的第一密文，将所述第一哈希头、带签名的第一密文存储至数据库；

响应于第二角色获取所述第一密文的请求，将所述第一密文下发至所述第二角色的客户端，以使第二角色的客户端根据所述第一密文的签名解密所述第一密文得到数据原文、并对得到的数据原文通过第三角色的公钥加密得到第二密文后发送至服务器；

响应于第三角色获取第二密文和第一哈希头的请求，将所述第二密文和第一哈希头发送至第三角色的客户端，以使第三角色的客户端解密所述第二密文获得数据原文和所述第一哈希头并根据获得的数据原文生成第二哈希头，将所述第一哈希头和第二哈希头比对以判断第二角色是否篡改数据原文。