(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210930802.7 (22)申请日 2022.08.04 (71)申请人 北京智融云河科技有限公司 地址 100089 北京市海淀区上地十街1号院 3号楼5层51 1 (72)发明人 郭京申　朱晓旻　舒俊宜　蔡华谦　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 苟冬梅 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/06(2006.01) H04L 67/1097(2022.01) (54)发明名称 一种数字对象的访问控制方法及装置 (57)摘要 本发明实施例提供了一种数字对象访问控 制方法及装置， 本发明首先接收客户端发送的针 对数字对象的操作请求； 然后根据所述操作请 求， 获取身份标识； 根据所述身份标识， 从所述区 块链本地存储的摘要列表中获取所述身份标识 对应的目标摘要值； 所述摘要列表已在所述区块 链节点所属区块链中共识； 根据所述目标摘要 值， 从分布式存储网络服务端中获取对应的目标 身份数据； 根据所述身份数据与所述区块链本地 存储的权限策略数据， 确定所述操作请求的权 限； 所述权限策略数据已在所述区块链节点所属 区块链中共识； 最后根据所述权 限， 对所述操作 请求进行处理。 本发明实施例提供的数字对象访 问控制方法， 在大数据场景下， 既可以满足区块 链数据的一致性， 又可以降低全网存储的开销， 方便研发机构之间对于海量数据的维护和管理。 权利要求书2页 说明书31页 附图8页 CN 115277242 A 2022.11.01 CN 115277242 A 1.一种数字对象访问控制方法， 其特 征在于， 应用于区块链 节点， 所述方法包括： 接收客户端发送的针对数字对象的操作请求； 根据所述操作请求， 获取身份标识； 根据所述身份标识， 从所述 区块链本地存储的摘要列表中获取所述身份标识对应的目 标摘要值； 所述摘要列表已在所述区块链 节点所属区块链中共识； 根据所述目标摘要值， 从分布式存 储网络服 务端中获取对应的目标身份数据； 根据所述身份数据与所述区块链本地存储的权限策略数据， 确定所述操作请求的权 限； 所述权限策略数据已在所述区块链 节点所属区块链中共识； 根据所述权限， 对所述操作请求进行处 理。 2.根据权利要求1所述的方法， 其特 征在于， 所述操作请求包括： 访问请求、 存储请求、 检索请求、 修改请求、 针对任一数字对象的权限更改请求中至少 一种。 3.根据权利要求1所述的方法， 其特 征在于， 还 包括： 获取身份数据以及权限策略数据； 将所述身份数据发送至存储服务端进行存储， 并接收所述存储服务端返回的摘要值， 并建立所述身份数据对应的身份标识和所述摘要值； 将所述身份数据对应的身份标识和所述摘要值在所述区块链中进行共识以在所述区 块链中全局存储摘要列 表， 以及将所述权限策略数据在所述区块链中进 行共识以在所述区 块链中全局存 储权限策略数据； 根据所述身份数据和所述区块链中存储的权限策略数据， 确定所述操作请求的操作权 限。 4.根据权利要求3所述的方法， 其特征在于， 所述身份数据包括身份标识和用户角色， 所述权限策略数据包括： 对不同的角色设定有至少 部分不同的第一权限规则数据； 所述根 据所述身份数据和所述区块链中存储的权限策略数据， 确定所述操作请求的操作权限， 包 括： 根据所述第 一权限规则数据， 确定所述用户角色所具有的权限范围是否涵盖所述操作 权限。 5.根据权利要求3所述的方法， 其特征在于， 所述权限策略数据中还包括： 基于权限判 断参数的第二权限规则数据， 所述根据所述身份数据和所述区块链中存储的权限策略数 据， 确定所述操作请求的操作权限， 还 包括： 调用外置函数， 获取 所述用户标识对应的目标权限判断参数； 根据所述第 二权限规则数据和权限判断参数， 判断所述用户标识是否具有所述操作权 限。 6.根据权利要求1所述的方法， 其特征在于， 所述根据所述目标摘要值， 从分布式存储 网络服务端中获取对应的目标身份数据， 包括： 在缓存哈希 表的键中查询所述摘要值； 在所述缓存哈希表的键存在所述摘要值的情况下， 根据所述键对应的值， 确定双 向链 表中的目标节点； 从所述目标节点中读取所述摘要值对应的身份数据， 并将所述目标节点移动到所述双权　利　要　求　书 1/2 页 2 CN 115277242 A 2向链表的头指针之后。 7.根据权利要求6所述的方法， 其特 征在于， 所述方法还 包括： 在所述缓存哈希表的键不存在所述摘要值的情况下， 在所述分布式存储 网络服务端查 询所述摘要值对应的身份数据； 在查询到所述摘要值对应的身份数据后， 在 双向链表中创建新的节点； 将所述身份数据存入所述新的节点， 并所述将所述新的节点移动到所述双向链表的头 指针之后。 8.根据权利要求6所述的方法， 其特征在于， 所述在双 向链表中创建新的节点之前， 还 包括： 在确定所述双向链表的记录数达到上限的情况下， 删除所述双向链表的尾指针指向的 节点。 9.根据权利要求7所述的方法， 其特征在于， 所述在所述缓存哈希表的键不存在所述摘 要值的情况 下， 在所述分布式存 储网络服 务端查询所述摘要值对应的身份数据， 还 包括： 在查询到的身份数据为至少一个身份数据块的情况下， 将所述至少一个身份数据块进 行拼接， 获得拼接数据； 移除所述 拼接数据中的占位符， 获得最终的身份数据。 10.根据权利要求1所述的方法， 其特征在于， 所述根据所述目标摘要值， 从分布式存储 网络服务端中获取对应的目标身份数据之后， 还 包括： 根据所述身份数据， 计算对应的校验摘要值； 将所述校验摘要值和所述目标摘要值进行对比， 确定所述身份数据的真实性； 在所述身份数据真实的情况下， 执行根据 所述身份数据和所述 区块链中存储的权限策 略数据， 确定所述访问请求的操作权限的步骤； 在所述身份数据不真实的情况 下， 向客户端发送身份不真实的校验结果。 11.一种数字对象访问控制装置， 其特 征在于， 应用于区块链 节点， 所述装置包括： 操作请求接收模块， 用于 接收客户端发送的针对数字对象的操作请求； 身份标识获取模块， 用于根据所述操作请求， 获取身份标识； 摘要值获取模块， 用于根据所述身份标识， 从所述区块链本地存储的摘要列表中获取 所述身份标识对应的目标摘要值； 所述摘要列表已在所述区块链 节点所属区块链中共识； 身份数据获取模块， 用于根据所述目标摘要值， 从分布式存储网络服务端中获取对应 的目标身份数据； 权限认证模块， 用于根据所述身份数据与所述区块链本地存储的权限策略数据， 确定 所述操作请求的权限； 所述权限策略数据已在所述区块链 节点所属区块链中共识； 操作请求处 理模块， 用于根据所述权限， 对所述操作请求进行处 理。权　利　要　求　书 2/2 页 3 CN 115277242 A 3