一种基于区块链的门禁授权方法、管理客户端和系统与流程

1.本发明涉及门禁管理技术领域，尤其涉及一种基于区块链的门禁授权方法、管理客户端和系统。


背景技术：

2.门禁系统是对出入口通道进行管制的系统。当遇到用户来访，比如快递员登门送货，客户拜访公司等场景，门禁系统需要授予用户通过门禁的权限。目前，常见的授权方式主要包括以下两种：
3.方式一：由门禁安保人员与用户进行线下沟通，包括出示相关认证材料(比如身份证)、打电话给本次来访的联系人等，确认用户来访的真实性，并登记本次来访的相关信息。方式二：用户提前登录指定系统，录入认证信息后提交授权申请，门禁系统管理员审核后，发送授权码给用户，用户在通过门禁系统时使用授权码和认证材料进行验证。
4.在实现本发明过程中，发明人发现现有技术中至少存在如下问题：
5.方式一容易产生安全漏洞，比如冒用联系人的信息进行授权，且用户通过门禁系统需要花费的时间长，联系人的个人信息容易泄露；方式二中用户每次申请权限都需要提前登记审批，花费时间长。


技术实现要素：

6.有鉴于此，本发明实施例提供一种基于区块链的门禁授权方法、管理客户端和系统，该门禁授权方法通过从区块链中读取申请块的区块数据，对区块数据的字段进行解密、签名处理，并更新申请块，进而反馈授权通知，无需线下沟通，提高了授权效率，授权无法被伪造，同时保证用户隐私。
7.为实现上述目的，根据本发明实施例的一个方面，提供了一种基于区块链的门禁授权方法。
8.本发明实施例的一种基于区块链的门禁授权方法，包括：接收授权请求信息，根据所述授权请求信息的申请块标识，从区块链中读取相应申请块的区块数据；其中，所述授权请求信息包括所述申请块标识和用于解密所述区块数据中已加密的申请字段的密钥；使用所述密钥对所述申请字段进行解密，得到申请信息，根据所述申请信息确定通行权限信息；在所述通行权限信息为允许通行时，使用私钥对所述区块数据的授权字段进行签名，根据签名后的区块数据对所述申请块进行更新，输出授权通知信息。
9.可选地，根据所述申请信息确定通行权限信息，包括：将所述申请信息与设定的允许通行条件进行匹配，如果匹配成功，则确定通行权限信息为允许通行；如果匹配失败，则确定所述通行权限信息为拒绝通行。
10.可选地，所述申请信息包括用户客户端标识和申请原因；所述允许通行条件通过配置白名单和语料库实现；将所述申请信息与设定的允许通行条件进行匹配，包括：判断所述白名单中是否存在所述用户客户端标识，或者计算所述申请原因与所述语料库中语料样
本的相似度；如果所述白名单中存在所述用户客户端标识，或者所述相似度大于等于设定阈值，则匹配成功；如果所述白名单中不存在所述用户客户端标识，且所述相似度小于所述阈值，则匹配失败。
11.可选地，所述申请块是由用户客户端在所述区块链上创建的；其中，所述申请块的区块数据包括所述申请块标识、所述已加密的申请字段和所述授权字段。
12.可选地，所述方法还包括：生成包括所述私钥和对应公钥的密钥对，将所述公钥发送至门禁系统。
13.为实现上述目的，根据本发明实施例的又一个方面，提供了一种基于区块链的门禁授权方法。
14.本发明实施例的一种基于区块链的门禁授权方法，包括：接收认证请求信息，根据所述认证请求信息的申请块标识，从区块链中读取相应申请块的区块数据；其中，所述认证请求信息包括所述申请块标识；根据建立的管理客户端标识与公钥之间的映射关系，获取与所述区块数据的管理客户端标识相对应的公钥；使用所述公钥对所述区块数据的授权字段进行解密，得到授权信息，验证所述授权信息，验证通过时，开启门禁。
15.可选地，所述授权信息包括门禁系统标识、授权时间和过期时间；验证所述授权信息，包括：验证自身标识与所述门禁系统标识是否相同，以及验证当前时间是否属于有效期限；其中，所述有效期限为所述授权时间和所述过期时间之间的时间段。
16.可选地，所述方法还包括：接收来自管理客户端的公钥和管理客户端标识，验证使用所述管理客户端的管理员身份；在所述管理员身份验证通过后，建立所述管理客户端标识和所述公钥之间的映射关系。
17.为实现上述目的，根据本发明实施例的另一方面，提供了一种管理客户端。
18.本发明实施例的一种管理客户端，包括：数据读取模块，用于接收授权请求信息，根据所述授权请求信息的申请块标识，从区块链中读取相应申请块的区块数据；其中，所述授权请求信息包括所述申请块标识和用于解密所述区块数据中已加密的申请字段的密钥；权限确定模块，用于使用所述密钥对所述申请字段进行解密，得到申请信息，根据所述申请信息确定通行权限信息；签名更新模块，用于在所述通行权限信息为允许通行时，使用私钥对所述区块数据的授权字段进行签名，根据签名后的区块数据对所述申请块进行更新，输出授权通知信息。
19.可选地，所述权限确定模块，还用于将所述申请信息与设定的允许通行条件进行匹配，如果匹配成功，则确定通行权限信息为允许通行；如果匹配失败，则确定所述通行权限信息为拒绝通行。
20.可选地，所述申请信息包括用户客户端标识和申请原因；所述允许通行条件通过配置白名单和语料库实现；所述权限确定模块，还用于判断所述白名单中是否存在所述用户客户端标识，或者计算所述申请原因与所述语料库中语料样本的相似度；如果所述白名单中存在所述用户客户端标识，或者所述相似度大于等于设定阈值，则匹配成功；如果所述白名单中不存在所述用户客户端标识，且所述相似度小于所述阈值，则匹配失败。
21.可选地，所述申请块是由用户客户端在所述区块链上创建的；其中，所述申请块的区块数据包括所述申请块标识、所述已加密的申请字段和所述授权字段。
22.可选地，所述装置还包括：密钥对生成模块，用于生成包括所述私钥和对应公钥的
密钥对，将所述公钥发送至门禁系统。
23.为实现上述目的，根据本发明实施例的再一方面，提供了一种门禁系统。
24.本发明实施例的一种门禁系统，包括：接收读取模块，用于接收认证请求信息，根据所述认证请求信息的申请块标识，从区块链中读取相应申请块的区块数据；其中，所述认证请求信息包括所述申请块标识；公钥获取模块，用于根据建立的管理客户端标识与公钥之间的映射关系，获取与所述区块数据的管理客户端标识相对应的公钥；门禁控制模块，用于使用所述公钥对所述区块数据的授权字段进行解密，得到授权信息，验证所述授权信息，验证通过时，开启门禁。
25.可选地，所述授权信息包括门禁系统标识、授权时间和过期时间；所述门禁控制模块，还用于验证自身标识与所述门禁系统标识是否相同，以及验证当前时间是否属于有效期限；其中，所述有效期限为所述授权时间和所述过期时间之间的时间段。
26.可选地，所述装置还包括：接收建立模块，用于接收来自管理客户端的公钥和管理客户端标识，验证使用所述管理客户端的管理员身份；在所述管理员身份验证通过后，建立所述管理客户端标识和所述公钥之间的映射关系。
27.为实现上述目的，根据本发明实施例的又一方面，提供了一种门禁授权系统。
28.本发明实施例的一种门禁授权系统，包括：用户客户端、区块链、管理客户端和门禁系统；其中，所述用户客户端，用于在所述区块链上创建申请块，向所述管理客户端发送授权请求信息；还用于接收来自所述管理客户端的授权通知信息，向所述门禁系统发送认证请求信息；所述区块链，用于接入所述用户客户端、所述管理客户端和所述门禁系统，为所述用户客户端、所述管理客户端和所述门禁系统生成对应的客户端标识；还用于创建所述申请块、更新所述申请块。
29.为实现上述目的，根据本发明实施例的再一方面，提供了一种电子设备。
30.本发明实施例的一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明实施例的一种基于区块链的门禁授权方法。
31.为实现上述目的，根据本发明实施例的再一方面，提供了一种计算机可读介质。
32.本发明实施例的一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明实施例的一种基于区块链的门禁授权方法。
33.上述发明中的一个实施例具有如下优点或有益效果：通过从区块链中读取申请块的区块数据，对区块数据的字段进行解密、签名处理，并更新申请块，进而反馈授权通知，无需线下沟通，提高了授权效率，授权无法被伪造，同时保证用户隐私；通过设定允许通行条件，实现了申请信息与允许通行条件的自动匹配，进而自动确定通行权限信息；通过白名单、语料库的方式设置允许通行条件，能够快速、准确地判定用户是否可以被允许通行；
34.通过在区块链上创建申请块，并对申请字段加密，利用区块链的透明可信以及防篡改的特性，大幅度降低授权成本，保证数据不被窃取；通过生成密钥对，并将公钥发送至门禁系统，便于门禁系统在收到用户客户端的认证请求信息后，利用公钥进行认证授权，安全性高。
35.上述发明中的一个实施例具有如下优点或有益效果：通过从区块链中读取申请块的区块数据，对区块数据的字段进行解密验证，进而控制门禁开启，在保证安全的前提下，
能够快速放行用户；通过对门禁系统标识、有效期限进行验证，保证授权信息的有效性；通过验证管理员身份，保证管理员身份真实有效，通过建立管理客户端标识与公钥的映射关系，保证后续能够基于管理客户端标识得到对应公钥，以使用公钥验证数据未被篡改。
36.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
37.附图用于更好地理解本发明，不构成对本发明的不当限定。其中：
38.图1是根据本发明一实施例的基于区块链的门禁授权方法的主要步骤的示意图；
39.图2是根据本发明另一实施例的基于区块链的门禁授权方法的主要步骤示意图；
40.图3是根据本发明再一实施例的基于区块链的门禁授权方法的主要流程示意图；
41.图4是根据本发明实施例的管理客户端的主要模块的示意图；
42.图5是根据本发明实施例的门禁系统的主要模块的示意图；
43.图6是根据本发明实施例的基于区块链的门禁授权系统的结构示意图；
44.图7是本发明实施例可以应用于其中的示例性系统架构图；
45.图8是适用于来实现本发明实施例的电子设备的计算机装置的结构示意图。
具体实施方式
46.以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
47.下面对本发明涉及的术语进行解释。
48.区块链：是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改、不可伪造、完全可追溯、去中心化的分布式账本。
49.图1是根据本发明一实施例的基于区块链的门禁授权方法的主要步骤的示意图。如图1所示，本发明实施例的基于区块链的门禁授权方法，应用于管理客户端，主要包括如下步骤：
50.步骤s101：接收授权请求信息，根据所述授权请求信息的申请块标识，从区块链中读取相应申请块的区块数据。需要进入门禁的用户使用其用户客户端在区块链上创建申请块，之后向管理客户端发送授权请求信息。实施例中，申请块包括区块链头和区块体，区块链头包括申请块标识，区块体包括已加密的申请字段和授权字段；区块数据既包括区块链头中的数据内容，也包括区块体中的数据内容。
51.授权请求信息用于向管理客户端申请进入门禁的权限，实施例中包括申请块标识和用于解密区块数据中已加密的申请字段的密钥。管理客户端接收到授权请求信息后，解析授权请求信息得到申请块标识和密钥，之后根据申请块标识，从区块链中读取对应申请块的区块数据。
52.步骤s102：使用所述密钥对所述申请字段进行解密，得到申请信息，根据所述申请信息确定通行权限信息。实施例中，申请字段包括用户客户端标识和申请原因。为了防止数
据被窃取，用户客户端对该申请字段进行了加密处理。管理客户端在读取到区块数据后，需要使用解析授权请求信息所得的密钥对已加密的申请字段进行解密，得到相应的申请信息。此处的申请信息即申请字段的数据内容。
53.为了实现通行权限信息的自动确定，管理客户端中设置有允许通行条件，该步骤中将申请信息与允许通行条件进行匹配，如果匹配成功，则确定通行权限信息为允许通行；如果匹配失败，则确定通行权限信息为拒绝通行。
54.步骤s103：在所述通行权限信息为允许通行时，使用私钥对所述区块数据的授权字段进行签名，根据签名后的区块数据对所述申请块进行更新，输出授权通知信息。如果管理客户端确定允许通行，则使用自身私钥对授权字段进行签名，以保证数据真实性，之后对区块链上的申请块进行更新，更新成功后向用户客户端发送响应于授权请求信息的授权通知信息。该授权通知信息用于提示用户管理客户端允许其通行门禁。
55.上述实施例利用区块链的透明可信以及防篡改的特性，不需要第三方认证中心介入即可完成授权流程，授权效率高，无法被伪造，且参与角色(即用户和使用管理客户端的管理员)之间的耦合关系较弱，无需线下沟通，同时保证用户隐私。
56.图2是根据本发明另一实施例的基于区块链的门禁授权方法的主要步骤示意图。如图2所示，本发明实施例的基于区块链的门禁授权方法，应用于门禁系统，主要包括如下步骤：
57.步骤s201：接收认证请求信息，根据所述认证请求信息的申请块标识，从区块链中读取相应申请块的区块数据。用户客户端接收到来自管理客户端的授权通知信息后，向门禁系统发送认证请求信息。实施例中，申请块的区块体还包括管理客户端标识。
58.认证请求信息用于触发门禁系统对用户进入门禁的权限进行认证，实施例中包括申请块标识。门禁系统接收到认证请求信息后，解析认证请求信息得到申请块标识，之后根据申请块标识，从区块链中读取对应申请块的区块数据。
59.步骤s202：根据建立的管理客户端标识与公钥之间的映射关系，获取与所述区块数据的管理客户端标识相对应的公钥。为了保证数据真实未被篡改，管理客户端预先生成了包括私钥和对应公钥的密钥对。私钥自己留存，用于对授权字段进行加密；公钥发送至门禁系统，用于让门禁系统验证申请块的授权字段未被篡改。
60.门禁系统接收到来自管理客户端的公钥后，保存公钥，并建立管理客户端标识与公钥之间的映射关系。当门禁系统从区块链中读取出相应申请块的区块数据后，从区块数据中获取管理客户端标识，之后可以通过映射关系即查找出该管理客户端标识对应的公钥。
61.步骤s203：使用所述公钥对所述区块数据的授权字段进行解密，得到授权信息，验证所述授权信息，验证通过时，开启门禁。实施例中，授权字段包括门禁系统标识、授权时间和过期时间。为了验证申请块中授权字段的真实性，门禁系统使用公钥对授权字段进行解密，得到授权信息，此处的授权信息即授权字段的数据内容。
62.之后门禁系统对授权信息进行验证，即验证自身标识与授权字段的门禁系统标识是否相同，以及验证当前时间是否属于有效期限(即授权时间和过期时间之间的时间段)，如果自身标识与授权字段的门禁系统标识相同，且当前时间隶属有效期限，则验证通过，控制门禁开启，以允许用户通行。
63.上述实施例通过区块链技术实现了规范的授权流程，在保证信息安全的前提下，能够快速放行用户。
64.图3是根据本发明再一实施例的基于区块链的门禁授权方法的主要流程示意图。如图3所示，本发明实施例的基于区块链的门禁授权方法，由用户客户端、区块链、管理客户端和门禁系统实现，主要包括如下步骤：
65.步骤s301：用户使用其用户客户端在区块链上创建申请块。此处的用户是需要进入门禁的任意人员，比如可以是外来访客，也可以是小区业主、楼宇职工等。用户每次申请会在区块链上创建一个申请块。
66.实施例中，申请块包括区块链头和区块体。区块链头包括申请块标识(比如申请块编号)和时间戳，该时间戳为申请块的生成时间。区块体包括明文字段、申请字段和授权字段，明文字段包括管理客户端标识(id)和区块状态，申请字段包括用户客户端标识和申请原因，授权字段包括门禁系统标识、授权时间和过期时间。表1为本发明实施例的申请块的数据结构。
67.表1
[0068][0069]
[0070]
实施例中，用户客户端可以使用对称加密算法或者非对称加密算法对申请字段的数据内容进行加密。对称加密算法比如aes(advanced encryption standard，高级加密标准)、des(data encryption standard，数据加密标准)、pbe(password based encryption，基于口令加密)等。非对称加密算法比如rsa加密算法、elgamal加密算法、ecc(elliptic curves cryptography，椭圆加密算法)。
[0071]
由于用户客户端向区块链发送的创建申请块的请求为一次性请求，且对称加密算法无需事前确认，故为了降低加密成本，优选地使用对称加密算法，比如aes密钥对申请字段进行加密。对称加密中，加密所使用的密钥与解密所使用的密钥相同。
[0072]
步骤s302：用户客户端向管理客户端发送授权请求信息。用户客户端创建申请块后，向权限拥有者(即管理客户端)发送授权请求信息。该授权请求信息包括申请块标识(比如申请块编号)、时间戳和用于解密申请块中已加密的申请字段的密钥。表2为本发明实施例的授权请求信息的数据结构。其中，payload为核心数据，即本技术的授权请求信息的数据结构不限于表2所示的数据结构，可以根据实际情况见进行调整。时间戳为授权请求信息的生成时间。
[0073]
表2
[0074] 字段字段内容描述payload
ꢀꢀꢀꢀ
blocknum申请块编号用于定位申请块 timestamp时间戳生成时间 aeskeyaes密钥用于解密申请块中申请字段
[0075]
步骤s303：管理客户端根据授权请求信息的申请块标识，从区块链中读取相应申请块的区块数据。管理客户端接收到授权请求信息后，解析得到申请块标识和aes密钥，之后根据申请块标识，从区块链中读取对应申请块的区块数据。
[0076]
步骤s304：管理客户端使用授权请求信息的密钥对区块数据的申请字段进行解密，得到申请信息。管理客户端在读取到区块数据后，使用步骤s303解析所得的aes密钥对已加密的申请字段进行解密，得到相应的申请信息。
[0077]
步骤s305：管理客户端根据申请信息确定通行权限信息，如果通行权限信息指示允许通行时，执行步骤s306；如果通行权限信息指示拒绝通行时，执行步骤s309。确定通行权限信息即确定是否授予用户通行门禁的权利。管理客户端中设置有允许通行条件，将申请信息与允许通行条件进行匹配，如果匹配成功，则确定通行权限信息为允许通行；如果匹配失败，则确定通行权限信息为拒绝通行。
[0078]
实施例中，允许通行条件通过配置白名单和语料库实现。其中，白名单中保存有允许通行的用户客户端标识，语料库中保存有属于允许通行范围内的语料样本，比如送快递、拜访xx公司等。
[0079]
具体地，判断白名单中是否存在当前用户客户端标识，或者计算申请原因与语料库中语料样本的相似度；如果白名单中存在当前用户客户端标识，或者相似度大于等于设定阈值，则匹配成功；如果白名单中不存在当前用户客户端标识，且相似度小于阈值，则匹配失败。相似度的计算方式可以是欧式距离、余弦相似度等文本相似计算方式。
[0080]
在一优选的实施例中，可以将申请原因进行分词、停用词过滤等预处理后，再计算
其与语料样本的相似度。
[0081]
可以理解的是，该步骤中管理客户端可以将申请信息在其用户界面进行展示，由管理员在用户界面操作，以选择是否授予用户通行门禁的权利。
[0082]
步骤s306：管理客户端使用私钥对区块数据的授权字段进行签名。该步骤中，管理客户端确定授予用户通行门禁的权利时，使用自身rsa私钥对区块数据的授权字段进行签名，保证授权字段未被伪造。
[0083]
步骤s307：管理客户端根据签名后的区块数据对申请块进行更新。管理客户端增量更新申请块中的授权字段。
[0084]
步骤s308：管理客户端向用户客户端反馈授权通知信息，执行步骤s310。管理客户端在更新申请块后，向客户端反馈授权通知信息，用于通知用户客户端授予其通行门禁的权利。
[0085]
步骤s309：管理客户端向用户客户端反馈拒绝通知信息，结束本流程。管理客户端确定不授予用户通行门禁的权利时，向客户端反馈拒绝通知信息，用于通知用户客户端不授予其通行门禁的权利。
[0086]
步骤s310：用户客户端向门禁系统发送认证请求信息。用户客户端接收到授权通知信息后，向门禁系统发送认证请求信息。实施例中，该认证请求信息包括申请块标识(比如申请块编号)、时间戳和用户客户端标识。表3为本发明实施例的认证请求信息的数据结构。其中，时间戳为认证请求信息的生成时间。
[0087]
表3
[0088][0089]
步骤s311：门禁系统根据认证请求信息的申请块标识，从区块链中读取相应申请块的区块数据。门禁系统接收到认证请求信息后，解析认证请求信息得到申请块标识，之后根据申请块标识，从区块链中读取对应申请块的区块数据。
[0090]
步骤s312：门禁系统获取与区块数据的管理客户端标识相对应的公钥，使用公钥对区块数据的授权字段进行解密，得到授权信息，验证授权信息。申请块的明文字段包括管理客户端标识，门禁系统获取到区块数据后，即可得到管理客户端标识。之后门禁系统通过映射关系查找该管理客户端标识对应的公钥，使用公钥对授权字段进行解密，即可得到授权信息。
[0091]
门禁系统得到授权信息后，需要对授权信息进行验证。具体地，可以验证自身标识与申请块的门禁系统标识是否相同，以及验证当前时间是否属于有效期限；其中，有效期限为申请块的授权时间和过期时间之间的时间段。比如当前时间为2020年3月15日8时，授权时间为2020年3月15日7时，过期时间为2020年3月15日10时，由于当前时间位于授权时间和
过期时间之间，故属于有效期限。
[0092]
步骤s313：门禁系统验证通过时，开启门禁；门禁系统验证未通过时，关闭门禁，向用户客户端返回放行结果。如果自身标识与申请块的门禁系统标识相同，且当前时间属于有效期限，则说明验证通过，门禁系统控制门禁开启，放行用户。如果自身标识与申请块的门禁系统标识不同，或者当前时间不属于有效期限，则说明验证未通过，门禁系统控制门禁关闭，不允许用户通行。
[0093]
在一可选地实施例中，步骤s301之前，用户客户端、管理客户端和门禁系统需要接入区块链，由区块链后台系统为用户客户端、管理客户端和门禁系统对应生成用户客户端标识、管理客户端标识和门禁系统标识。接入区块链即通过区块链前端系统进行注册。上述各个客户端标识为区块链中用户客户端、管理客户端、门禁系统的唯一标识，可以使用uuid(universally unique identifier，通用唯一识别码)等方式生成。
[0094]
需要注意的是，步骤s306中管理客户端使用的私钥需要预先生成。具体地，管理客户端使用非对称加密算法，比如ras加密算法，预先生成密钥对，将rsa私钥自己留存，将rsa公钥发送至门禁系统。门禁系统可以在确认使用管理客户端的管理员身份后，保存公钥，并建立公钥与管理客户端标识之间的映射关系。门禁系统可以通过线下或者线上方式确认管理员身份。
[0095]
本实施例基于区块链技术提供了一种低成本、高效率的门禁授权方式，参与角色之间耦合关系较弱，授权流程无需线下沟通，降低了被授权用户的等待授权时间；本实施例基于区块链的去中心化特性，不需要第三方认证中心介入即可完成，认证授权流程安全可靠、无法被篡改；同时本实施例依赖数据签名证明身份，授权流程中不涉及个人信息(比如身份证号、电话等)，高度保证用户隐私。
[0096]
图4是根据本发明实施例的管理客户端的主要模块的示意图。如图4所示，本发明实施例的管理客户端400，主要包括：
[0097]
数据读取模块401，用于接收授权请求信息，根据所述授权请求信息的申请块标识，从区块链中读取相应申请块的区块数据。需要进入门禁的用户使用其用户客户端在区块链上创建申请块，之后向管理客户端发送授权请求信息。实施例中，申请块包括区块链头和区块体，区块链头包括申请块标识，区块体包括已加密的申请字段和授权字段；区块数据既包括区块链头中的数据内容，也包括区块体中的数据内容。
[0098]
授权请求信息用于向管理客户端申请进入门禁的权限，实施例中包括申请块标识和用于解密区块数据中已加密的申请字段的密钥。管理客户端接收到授权请求信息后，解析授权请求信息得到申请块标识和密钥，之后根据申请块标识，从区块链中读取对应申请块的区块数据。
[0099]
权限确定模块402，用于使用所述密钥对所述申请字段进行解密，得到申请信息，根据所述申请信息确定通行权限信息。实施例中，申请字段包括用户客户端标识和申请原因。为了防止数据被窃取，用户客户端对该申请字段进行了加密处理。管理客户端在读取到区块数据后，需要使用解析授权请求信息所得的密钥对已加密的申请字段进行解密，得到相应的申请信息。此处的申请信息即申请字段的数据内容。
[0100]
为了实现通行权限信息的自动确定，管理客户端中设置有允许通行条件，该模块中将申请信息与允许通行条件进行匹配，如果匹配成功，则确定通行权限信息为允许通行；
如果匹配失败，则确定通行权限信息为拒绝通行。
[0101]
签名更新模块403，用于在所述通行权限信息为允许通行时，使用私钥对所述区块数据的授权字段进行签名，根据签名后的区块数据对所述申请块进行更新，输出授权通知信息。如果管理客户端确定允许通行，则使用自身私钥对授权字段进行签名，以保证数据真实性，之后对区块链上的申请块进行更新，更新成功后向用户客户端发送响应于授权请求信息的授权通知信息。该授权通知信息用于提示用户管理客户端允许其通行门禁。
[0102]
另外，本发明实施例的管理客户端400还可以包括：密钥对生成模块(图4中未示出)。该模块用于生成包括所述私钥和对应公钥的密钥对，将所述公钥发送至门禁系统。
[0103]
从以上描述可以看出，本实施例利用区块链的透明可信以及防篡改的特性，不需要第三方认证中心介入即可完成授权流程，授权效率高，无法被伪造，且参与角色之间的耦合关系较弱，无需线下沟通，同时保证用户隐私。
[0104]
图5是根据本发明实施例的门禁系统的主要模块的示意图。如图5所示，本发明实施例的门禁系统500，主要包括：
[0105]
接收读取模块501，用于接收认证请求信息，根据所述认证请求信息的申请块标识，从区块链中读取相应申请块的区块数据。用户客户端接收到来自管理客户端的授权通知信息后，向门禁系统发送认证请求信息。实施例中，申请块的区块体还包括管理客户端标识。
[0106]
认证请求信息用于触发门禁系统对用户进入门禁的权限进行认证，实施例中包括申请块标识。门禁系统接收到认证请求信息后，解析认证请求信息得到申请块标识，之后根据申请块标识，从区块链中读取对应申请块的区块数据。
[0107]
公钥获取模块502，用于根据建立的管理客户端标识与公钥之间的映射关系，获取与所述区块数据的管理客户端标识相对应的公钥。为了保证数据真实未被篡改，管理客户端预先生成了包括私钥和对应公钥的密钥对。私钥自己留存，用于对授权字段进行加密；公钥发送至门禁系统，用于让门禁系统验证申请块的授权字段未被篡改。
[0108]
门禁系统接收到来自管理客户端的公钥后，保存公钥，并建立管理客户端标识与公钥之间的映射关系。当门禁系统从区块链中读取出相应申请块的区块数据后，从区块数据中获取管理客户端标识，之后可以通过映射关系即查找出该管理客户端标识对应的公钥。
[0109]
门禁控制模块503，用于使用所述公钥对所述区块数据的授权字段进行解密，得到授权信息，验证所述授权信息，验证通过时，开启门禁。实施例中，授权字段包括门禁系统标识、授权时间和过期时间。为了验证申请块中授权字段的真实性，门禁系统使用公钥对授权字段进行解密，得到授权信息，此处的授权信息即授权字段的数据内容。
[0110]
之后门禁系统对授权信息进行验证，即验证自身标识与授权字段的门禁系统标识是否相同，以及验证当前时间是否属于有效期限(即授权时间和过期时间之间的时间段)，如果自身标识与授权字段的门禁系统标识相同，且当前时间属于有效期限，则验证通过，控制门禁开启，以允许用户通行。
[0111]
另外，本发明实施例的门禁系统500还可以包括：接收建立模块(图5中未示出)。该模块用于接收来自管理客户端的公钥和管理客户端标识，验证使用所述管理客户端的管理员身份；以及在所述管理员身份验证通过后，建立所述管理客户端标识和所述公钥之间的
映射关系。上述实施例通过区块链技术实现了规范的授权流程，在保证信息安全的前提下，能够快速放行用户。
[0112]
图6是根据本发明实施例的基于区块链的门禁授权系统的结构示意图。如图6所示，本发明实施例的基于区块链的门禁授权系统，主要包括：用户客户端、管理客户端、门禁系统和区块链。其中，用户客户端，用于在区块链上创建申请块，向管理客户端发送授权请求信息；还用于接收来自管理客户端的授权通知信息，向门禁系统发送认证请求信息。
[0113]
区块链，用于接入用户客户端、管理客户端和门禁系统，为用户客户端、管理客户端和门禁系统生成对应的客户端标识；还用于创建申请块、更新申请块。管理客户端和门禁系统的模块划分以及各模块的功能如前所述，此处不再赘述。
[0114]
图7示出了可以应用本发明实施例的基于区块链的门禁授权方法或管理客户端的示例性系统架构700。
[0115]
如图7所示，系统架构700可以包括终端设备701、702、703，网络704和服务器705。网络704用以在终端设备701、702、703和服务器705之间提供通信链路的介质。网络704可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
[0116]
用户可以使用终端设备701、702、703通过网络704与服务器705交互，以接收或发送消息等。终端设备701、702、703可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
[0117]
服务器705可以是提供各种服务的服务器，例如对管理员利用终端设备701、702、703发送的区块数据读取请求、申请块更新请求进行处理的后台管理服务器。后台管理服务器可以将处理结果(例如区块数据)反馈给终端设备。
[0118]
需要说明的是，本技术实施例所提供的基于区块链的门禁授权方法一般由终端设备701、702、703执行，相应地，管理客户端一般设置于终端设备701、702、703中。
[0119]
应该理解，图7中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
[0120]
根据本发明的实施例，本发明还提供了一种电子设备和一种计算机可读介质。
[0121]
本发明的电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明实施例的一种基于区块链的门禁授权方法。
[0122]
本发明的计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明实施例的一种基于区块链的门禁授权方法。
[0123]
下面参考图8，其示出了适用于来实现本发明实施例的电子设备的计算机系统800的结构示意图。图8示出的电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
[0124]
如图8所示，计算机系统800包括中央处理单元(cpu)801，其可以根据存储在只读存储器(rom)802中的程序或者从存储部分808加载到随机访问存储器(ram)803中的程序而执行各种适当的动作和处理。在ram 803中，还存储有计算机系统800操作所需的各种程序和数据。cpu 801、rom 802以及ram 803通过总线804彼此相连。输入/输出(i/o)接口805也连接至总线804。
[0125]
以下部件连接至i/o接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射
线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至i/o接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。
[0126]
特别地，根据本发明公开的实施例，上文主要步骤图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行主要步骤图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(cpu)801执行时，执行本发明的系统中限定的上述功能。
[0127]
需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
[0128]
附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0129]
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括数据读取模块、权限确定模块和签名更新模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，数据读取模块还可以被描述为“接收授权请求信息，根据
所述授权请求信息的申请块标识，从区块链中读取相应申请块的区块数据的模块”。
[0130]
作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：接收授权请求信息，根据所述授权请求信息的申请块标识，从区块链中读取相应申请块的区块数据；其中，所述授权请求信息包括所述申请块标识和用于解密所述区块数据中已加密的申请字段的密钥；使用所述密钥对所述申请字段进行解密，得到申请信息，根据所述申请信息确定通行权限信息；在所述通行权限信息为允许通行时，使用私钥对所述区块数据的授权字段进行签名，根据签名后的区块数据对所述申请块进行更新，输出授权通知信息。
[0131]
根据本发明实施例的技术方案，通过从区块链中读取申请块的区块数据，对区块数据的字段进行解密、签名处理，并更新申请块，进而反馈授权通知，无需线下沟通，提高了授权效率，授权无法被伪造，同时保证用户隐私。
[0132]
上述产品可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明实施例所提供的方法。
[0133]
上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。