基于哈希树的数据资源的授权和鉴权方法、装置和系统与流程

1.本发明涉及网络技术与安全领域，更具体地涉及数字资源的授权和鉴权。


背景技术：

2.授权是指使用一个准则来确定主体能够对客体执行的操作，其本质是主体、客体及权限之间的关系描述。比较常见的方法是通过授权记录(也称为授权信息或权限记录)的维护来实现授权的管理。授权记录描述了允许访问某资源的用户(或用户组、角色)，结合用户标识(以及所属用户组、角色)最终计算出某个用户能否访问该资源。这种方法易于实现，但授权记录存在被篡改的风险，其安全性依赖于授权记录的保存方式。鉴权是指在用户在访问资源时将授权记录提供给鉴权者，由鉴权者鉴别授权记录是否合法的过程。图1示出了信息系统典型的数据授权和访问的控制示例，其中使用数据库表记录“用户-角色-权限”之间的关系。
3.在多源数据联合计算中，数据使用方需要拿到数据所有方的授权才可以进行相应的联合计算。图2示出了多源数据联合计算场景下的访问控制，其中数据所有方采用与传统信息系统相似的访问控制方法来授权。多源数据联合计算中的多方之间的授权方法具有以下特点：
4.1)可能存在第三方，例如图2所示的数据执行方，使得授权访问机制变得更加复杂；
5.2)授权所有方拥有的数据量较大，每个数据独立授权会导致授权信息成倍增加；以及
6.3)鉴别权限时，待鉴权数据可能由数据执行方提交，存在暴露过多授权信息的可能。
7.针对上述特点，可采用密码学技术进行抵御。
8.现有技术中对于多源数据联合计算中的多方之间的授权存在以下两种方法：
9.第一种方法是独立授权，即，数据所有方针对每个授权签发独立的授权证书给数据使用方。图3示出了这种对每个授权记录签发独立授权证书的示意图。如图所示，在鉴权时，数据使用方/执行方可以按需将授权证书提供给数据所有方进行验证，不会暴露除待鉴权的授权信息以外的授权信息。这种方式的授权比较琐碎，授权量较大时需签发较多授权证书，效率低下。
10.第二种方法是批量授权，即，数据所有方将整个授权记录集作为一个整体进行数字签名。图4示出了这种批量授权的示意图。然而，批量授权虽然提高了授权效率，但在鉴权时，数据使用方需要将整个授权记录集提供给数据执行方，由其转发进行数据访问鉴权。因此，不得不将除待鉴权的授权信息以外的授权信息提供给数据执行方，导致过多授权信息的不必要的暴露。


技术实现要素：

11.本发明提出了一种数据资源的批量授权方法。该方法采用密码技术保证授权信息不可篡改。与传统的批量授权方法不同，该方法支持在权限鉴别过程中仅公开待鉴权数据资源的授权信息，而不泄露其他数据资源的授权信息，从而达到数据资源授权效率和授权信息保护之间的平衡。
12.根据本发明一个方面，提供了一种基于哈希树的数据资源的授权方法，包括：基于多个数据资源的多个权限记录中的每一个权限记录构建哈希树；以及形成授权证书，所述授权证书至少包括所构建的哈希树的根节点值。
13.根据本发明的另一个方面，提供了一种基于哈希树的数据资源的鉴权方法，包括：从用户接收多个数据资源的授权证书和所述多个数据资源的多个权限记录中待鉴权的一个或多个权限记录，其中所述授权证书是使用如上所述的授权方法形成的；基于待鉴权的所述一个或多个权限记录重新计算哈希树的根节点值；确定重新计算的根节点值与授权证书中的根节点值是否一致；以及根据确定的结果确定待鉴权的一个或多个权限记录是否合法。
14.根据本发明的另一个方面，提供了一种基于哈希树的数据资源的授权装置，包括：存储器，存储有计算机可执行指令；以及处理器，被配置为当执行存储器中存储的计算机可执行指令时，实现如上所述的授权方法。
15.根据本发明的另一个方面，提供了一种基于哈希树的数据资源的授权系统，包括被配置为执行如上所述的授权方法的步骤的部件。
16.根据本发明的另一个方面，提供了一种基于哈希树的数据资源的鉴权装置，包括：存储器，存储有计算机可执行指令；以及处理器，被配置为当执行存储器中存储的计算机可执行指令时，实现如上所述的鉴权方法。
17.根据本发明的另一个方面，提供了一种基于哈希树的数据资源的鉴权系统，包括被配置为执行如上所述的鉴权方法的步骤的部件。
18.根据本发明的另一个方面，提供了一种非瞬态计算机可读存储介质，存储有指令，所述指令当被处理器执行时实现如上所述的授权方法和鉴权方法中的任一种。
附图说明
19.参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：
20.图1示出了信息系统典型的数据授权和访问的控制示例；
21.图2示出了多源数据联合计算场景下数据授权和访问的控制示例；
22.图3示出了现有技术中多源数据联合计算场景下数据授权和访问的第一控制示例；
23.图4示出了现有技术中多源数据联合计算场景下数据授权和访问的第二控制示例；
24.图5示出了根据本发明的一个实施例的数据授权和访问的控制示例；
25.图6示出了根据本发明的一个实施例的授权方法的流程图；
26.图7示出了根据本发明的一个实施例的授权证书的一个示例；
27.图8示出了根据本发明的一个实施例的哈希树的非叶子节点的计算示例；
28.图9示出了根据一个节点补足策略填补哈希树节点的示例；
29.图10示出了根据另一个节点补足策略填补哈希树节点的示例；
30.图11示出了根据本发明的一个实施例的鉴权方法的流程图；
31.图12示出了基于待鉴权的权限记录计算子节点的示例；
32.图13示出了通过已知节点计算上一层节点的示例；
33.图14示出了根据本发明的一个实例构建哈希树的过程；
34.图15示出了根据本发明的一个实例的授权证书；以及
35.图16示出了根据本发明的一个实例的验证哈希树根节点的示例。
具体实施方式
36.现在将参照附图来详细描述本公开的各种示例性实施例。除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
37.整体上而言，本发明使用哈希树构造可用于权限鉴别的授权证书。图5示出了根据本发明的改进的数据授权和访问的控制示例，在该控制示例中，数据所有方以批量方式对多个数据资源进行授权，而在鉴权过程中，数据使用方只需提供待鉴权的数据资源的权限记录，而无需提供被批量授权的其它数据资源的权限记录。此外，本发明的一个实施例还在授权证书中使用了数字签名技术，以防止授权证书被篡改。尽管图5所示的控制示例可用于多源数据联合计算的场景，但是其它涉及多方之间授权的场景也适用。下面，分别介绍根据本发明的授权和鉴权方法。
38.一、授权
39.1、基于哈希树的数据资源的授权方法。
40.图6示出了根据本发明的一个实施例的授权方法的流程图。首先，在步骤601中，基于多个数据资源的多个权限记录中的每一个权限记录构建哈希树。接着，在步骤602中，形成授权证书，所述授权证书至少包括所构建的哈希树的根节点值。
41.以上方法由授权者执行，并且形成的授权证书将被提供给被授权者。本文以数据所有方为授权者，数据使用方(也称为用户)为被授权者为例进行描述。但本领域技术人员可以理解，这只是示例，授权者也可以为除数据所有方以外的其它实体，而被授权者也可以为除数据使用方以外的其它实体。
42.如此形成的授权证书可用于所述多个数据资源中所有数据资源的批量授权。通过这样的批量授权方法，无需对每个数据资源单独签发证书，提高了授权效率。
43.授权证书被提供给被授权者，以供在鉴权过程中使用。
44.优选地，通过以下步骤构建哈希树：计算所述多个权限记录的集合中的每一个权限记录的哈希值；并使用计算的每一个权限记录的哈希值作为叶子节点，逐层构建哈希树直至根节点，并将得到的根节点值包括在授权证书中。
45.哈希树的构建过程的详细内容将在下面的章节中描述。
46.根据一个实施方式，除了根节点值以外，授权证书还包括哈希树构造参数。优选地，哈希树构造参数包括构建哈希树所使用的哈希算法和哈希树类型。例如，哈希算法可以为构造哈希树所使用的哈希算法名称，如sm3。哈希树类型可以通过注明哈希树的分叉数来
表示(例如，二叉哈希树对应的哈希树类型可以为“2”)。此外，优选地，还可以注明哈希树缺失节点的补全方法。
47.此外，授权证书还可以包括授权证书的其它常用参数。
48.优选地，授权证书还包括对授权证书中的参数进行数字签名得到的结果。在授权证书中使用数据签名技术，保证了授权证书的不可伪造和不可篡改，从而确保授权信息的合法性。
49.授权证书的各项参数将在下面的章节中详细介绍。
50.2、授权证书的构造
51.本发明假定授权者和被授权者已从数字证书认证中心申请其数字证书，所有参与方都在相同的信任域，即任意一方都可以获取其他方的数字证书，并验证他方的数字签名。
52.如上所述，根据本发明的授权证书除了哈希树根节点值以外还包括哈希树构造参数，例如哈希算法和哈希树类型。此外，根据本发明的授权证书还包括防止授权证书的各参数被篡改的数字签名，因此相应地包括证书签名算法。
53.图7中示出了根据本发明的授权证书的一个示例。
54.如图7所示，授权证书包括以下参数：
55.1)授权证书编号，用于唯一地标识授权证书；
56.2)授权者标识，即授权者数字证书中的标识信息，作为授权者不可伪造的身份标识，数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，可以用它来识别对方的身份；
57.3)被授权者标识，即被授权者数字证书中的标识信息，作为被授权者不可伪造的身份标识；
58.4)授权有效期，记录授权证书的失效时间。
59.以上参数1)-4)为授权证书的基本信息参数，用于在鉴权过程中验证授权证书的有效性，例如授权证书是否已超过有效期，从而变得无效。
60.授权证书还包括哈希树构造参数，具体包括：
61.5)哈希算法，例如构造哈希树所使用的哈希算法名称，如sm3等；
62.6)哈希树类型，用以注明哈希树的分叉数以及缺失节点补全方法，比如二叉哈希树，使用复制兄弟节点进行补全等。
63.参数5)-6)用于在鉴权的过程中重构哈希树。
64.7)哈希树根节点值，即在根据本发明的授权方法中所构建的哈希树的根节点值，实质是一个哈希值。
65.参数7)是在鉴权过程中验证待鉴权的权限记录是否合法的度量。
66.8)证书签名算法，即授权证书生成数字签名所使用的签名算法，如sm3withsm2、sha256withrsa等；
67.9)授权证书签名，即使用8)描述的算法以及授权者私钥对参数1)～8)的内容进行数字签名得到的结果。
68.参数8)-9)使得能够在授权证书中应用数字签名技术，从而保证了授权证书的不可伪造和不可篡改。
69.图7还示出了数据资源的权限记录列表的构造。当涉及多个数据资源的授权时，多
个数据资源对应的多个权限记录将作为一个集合全部提供给授权者以形成授权证书。
70.3、哈希树的构造
71.下面，详细描述基于多个权限记录构建哈希树的过程。
72.约定哈希树为m叉哈希树，数据资源授权信息列表d有n个元素，即d＝[d1，d2，...，dn]，使用的哈希函数为h()。m叉哈希树是指，每个非叶子节点有m个子节点。叶子节点是指没有子节点的节点，也就是处于树形结构最底层的节点。
[0073]
1)完整m叉哈希树的构造步骤
[0074]
完整m叉哈希树需要满足n＝m
l
，即数据资源授权信息列表d恰好有m
l
个元素。使用哈希函数计算d中元素的哈希值[hi＝h(di)]
1≤i≤n
，并依次作为哈希树第叶子节点的值。以叶子节点作为第l层，可以依次计算第l-1层的中间节点，进而计算第l-1，...，1，0层的每个节点的值。第0层仅有一个节点，即哈希树根节点。非叶子节点k的值基于其对应的m个子节点的值[h
j 1
，...，h
j m
]来计算。例如，k的值可以计算为hk＝h(h
j 1
||
…
||h
j m
)，如图8所示。
[0075]
2)子节点不足时的构造
[0076]
在构造节点时往往会遇到某个节点的子节点数不足m，从而无法计算该节点的值的情况。为了构建完整的哈希树，在这种情况下，需要采用预定策略补足子节点。预定策略可以是复制最近左侧兄弟节点的值进行填补、使用固定值进行填补或现有技术中的任何其它预定策略等。
[0077]
现假定非叶子节点k仅有t＜m个子节点，这些子节点的值为[h
j 1
，...，h
j t
]，因此还需要补充m-t个子节点，即[h
j (t 1)
，h
j (t 2
)，...，h
j m
]。下面介绍使用两种不同的预定策略进行节点补足的情况。
[0078]
(1)复制最近左侧兄弟节点的值进行填补
[0079]
根据该策略，待补充的m-t个子节点使用与其最近的左侧兄弟节点的值进行填补。也就是说，待补充的m-t个子节点的值被设为与其最近的左侧兄弟节点的值。如附图9所示，待补充的m-t个子节点的最近左侧兄弟节点为h
j t
，因此待补充的子节点的值被设为h
j (t 1)
＝h
j (t 2)
＝
…
＝h
j m
＝h
j t
。
[0080]
(2)使用固定值进行填补
[0081]
根据该策略，待补充的m-t个子节点使用固定值hc＝h(const)进行填补，其中const为约定的固定值。如附图10所示，即h
j (t 1)
＝h
j (t 2)
＝
…
＝h
j m
＝hc。所述固定值可以根据实际需要由本领域技术人员设置或选择。
[0082]
二、鉴权
[0083]
下面描述使用根据本发明的基于哈希树的授权方法形成的授权证书进行鉴权的过程。
[0084]
1、鉴权方法
[0085]
图11示出了根据本发明的一个实施例的鉴权方法的流程图。
[0086]
首先，在步骤1101，从用户接收多个数据资源的授权证书和所述多个数据资源的多个权限记录中待鉴权的一个或多个权限记录，其中所述授权证书是上述基于哈希树的授权方法形成的。在步骤1102，基于待鉴权的所述一个或多个权限记录重新计算哈希树的根节点值。在步骤1103，确定重新计算的根节点值与授权证书中的根节点值是否一致。最后，在步骤1104，根据确定的结果判断待鉴权的一个或多个权限记录是否合法。如果重新计算
的根节点值与授权证书中的根节点值一致，则判断待鉴权的一个或多个权限记录合法，允许用户使用与所述待鉴权的一个或多个权限对应的数据资源；如果不一致，则判断待鉴权的一个或多个权限记录不合法，不允许用户使用与待鉴权的一个或多个权限对应的数据资源。
[0087]
以上方法由鉴权者执行，并且授权证书和待鉴权的权限记录由被鉴权者提供。本文以数据所有方为鉴权者，数据使用方(也称为用户)为被鉴权者为例进行描述。但本领域技术人员可以理解，这只是示例，鉴权者也可以为除数据所有方以外的其它实体，而被鉴权者也可以为除数据使用方以外的其它实体。
[0088]
优选地，在计算哈希树的根节点值之前，首先验证授权证书的有效性，包括有效期和签名。例如，数据所有方先使用授权者公钥验证授权证书的合法性和有效性。
[0089]
在一个实施方式中，所述多个数据资源的授权证书和所述多个数据资源的多个权限记录中待鉴权的一个或多个权限记录是经由数据执行方从数据使用方接收的。如图5所示，在多方之间的授权中，数据使用方通过任务委派的方式将鉴权所需的信息，例如授权证书和待鉴权的权限记录提供给数据执行方，再由数据执行方将其转发给数据所有方进行鉴权。
[0090]
所述待鉴权的一个或多个权限记录可以是形成授权证书时所使用的多个权限记录的全部，也可以是其中一部分，即多个权限记录的子集。下面依次对在这两种情况下重构哈希树的过程进行描述。
[0091]
2、鉴权中哈希树的重构(重新计算根节点的过程)
[0092]
在数据使用方请求全部数据资源的情况下，需要对全部多个权限记录进行鉴权。此时，数据所有方从数据使用方接收全部多个权限记录，并基于全部的权限记录重构哈希树。重构的方法和授权过程中的相同。优选地，可以计算每一个权限记录的哈希值作为叶子节点，逐层重构哈希树直至根节点，并得到根节点值。如上面关于授权方法所述，授权证书中包括构建时采用的哈希算法、哈希树类型和节点补足策略。数据所有方可使用这些哈希树构造参数来重构哈希树。
[0093]
下面介绍待鉴权的一个或多个权限记录是所述多个权限记录的子集的情况。在鉴权时，有可能数据使用方并不需要使用所述多个数据资源中的全部数据资源，而只需要使用多个数据资源中的一些数据资源。在这种情况下，数据使用方只需将要访问的一个或多个数据资源的一个或多个权限记录提供给数据所有方进行鉴权，而无需将除待鉴权的权限记录以外的权限记录提供给数据所有方，避免了过多地暴露授权信息。这在存在第三方(例如数据执行方)的情况下更有利。由于只需要将待鉴权的部分权限记录提供给数据执行方，而其余的权限记录无需提供给数据执行方，大大减少了授权信息的不必要的暴露，保护了授权信息，降低了授权信息被篡改的概率。
[0094]
在仅对多个权限记录的子集进行鉴权的情况下，还需要从数据使用方接收辅助节点的值，所述辅助节点是基于待鉴权的所述一个或多个权限记录重新计算哈希树的根节点值所必需的节点。这是因为，父节点的计算依赖于其所有子节点的值，而仅基于部分权限记录无法得到所有子节点的值，因此需要使用辅助节点。换句话说，在对部分权限记录鉴权的重构哈希树的过程中，子节点的值来源于两方面：一是通过待鉴权的一个或多个权限记录计算而来；二是通过由数据使用方作为辅助节点值直接提供。
[0095]
辅助节点优选地包括待鉴权的一个或多个权限记录对应的一个或多个叶子节点的兄弟节点和/或基于待鉴权的一个或多个权限记录计算得到的子节点的兄弟节点。基于待鉴权的一个或多个权限记录计算得到的子节点可以包括叶子节点以上任一层(除了0层)中的利用计算获得的子节点。如本领域技术人员所公知的，同一个节点的子节点互为兄弟节点。
[0096]
图12示出了基于多个权限记录中的一个待鉴权的权限记录d
t
计算子节点的示例。如图所示，从待鉴权的权限记录d
t
计算得到叶子节点h
t
＝h(d
t
)，而节点h
t
的兄弟节点[h
j 1
，...，h
t-1
]以及[h
t 1
，...，h
j m
]的值可以由数据使用方作为辅助节点值直接提供，以计算其父节点hk＝h(h
j 1
||
…
||h
t
||
…
||h
j m
)。
[0097]
在计算得到叶子节点的父节点值之后，可接着构建再上一层的节点值直至根节点。图13示出了通过已知节点继续重构上一层节点的示例，其中已知节点为计算得到的节点和由数据使用方直接提供的辅助节点。如图所示，当已经计算得到节点值h
j t
之后，可以与其兄弟节点一起计算其父节点的值。其兄弟节点的值可以由数据使用方作为辅助节点值直接提供。例如，节点h
j 1
的值可以由数据使用方直接提供，而无需通过获得其子节点的值并利用其子节点值进行计算的方式。
[0098]
优选地，辅助节点的值可以由数据使用方基于所述多个权限记录构建哈希树得到的。数据使用方可以在发送授权证书之前，先基于全部多个权限记录和授权证书中的哈希树算法等参数构建哈希树，并根据待鉴权的一个或多个权限记录判断需要将哪些节点值作为辅助节点值提供给鉴权方。根据另一个实施例，数据使用方还可以在构建哈希树之后将其存储在本地或远端，以便在下一次鉴权时直接缓存以获得哈希树的节点值。
[0099]
三、授权方法和鉴权方法的实例
[0100]
下面以sm3哈希函数、二叉哈希树类型、复制最近左侧兄弟节点值的补足策略和sm3withsm2签名算法为例，描述根据本发明的授权方法和鉴权方法的一个实例。本领域技术人员应理解，以上参数仅为示例，可以根据需要采用与示例参数不同的参数。
[0101]
本实例以6条数据资源权限记录为例进行说明。
[0102]
1、授权
[0103]
授权方接收全部6条数据资源权限记录d1，d2，d3，d4，d5，d6，并构建二叉哈希树。
[0104]
1)构造二叉哈希树
[0105]
图14示出了基于以上参数示例构建哈希树的过程。
[0106]
首先，分别计算每条权限记录的哈希值依次作为叶子节点hi＝sm3(di)，i为1-6的整数。然后，两两一组作为兄弟节点计算第l-1层中间节点的值，直至第0层的根节点h
root
＝sm3(h
13
||h
14
)。
[0107]
如图所示，由于节点h
14
的子节点只有h
11
，因此需要利用复制最近左侧兄弟节点值的补足策略补充节点h
12
。节点h
12
的最近左侧兄弟节点为h
11
，因此节点h
12
＝h
11
＝sm3(h5||h6)。
[0108]
2)构造授权证书
[0109]
给定授权证书编号为certno，授权者标识为admin，其公私钥对为pk
admin
，sk
admin
；被授权者标识为user，其公私钥对为pk
user
，sk
user
。构造的授权证书如附图15所示，其中，参数2021/06/18为授权证书有效期，在此日期之后使用授权证书是无效的，sm3为构建哈希树
所使用的哈希算法，sm3withsm2为证书签名算法，数字签名σ＝sm3withsm2(sk
admin
，证书信息)。
[0110]
2、鉴权
[0111]
图16以鉴别数据资源授权信息4(即d4)为例示出了数据资源权限记录的鉴别示例。
[0112]
由于只对部分权限记录进行鉴权，被授权者除了提供d4、授权证书之外还需提供辅助节点值给鉴权者。
[0113]
被授权者使用全部权限记录和授权证书中的哈希树构建参数重构哈希树，并从中确定需要提供给鉴权者的辅助节点的值。如图16所示，本例中，辅助节点值包括h3，h9，h
14
。
[0114]
鉴权者接收到d4、授权证书和辅助节点值h3，h9，h
14
后，先使用授权者公钥pk
admin
验证授权证书的各项参数，从而判断其合法性和有效性。例如，如果此时已超过了证书有效期，那么判断证书无效，并结束鉴权。
[0115]
如果判断授权证书有效，则授权者依次计算节点值h4，h
10
，h
13
，h
root
，并核对h
root
与授权证书中的h
root
是否相同。如果相同，则判断授权合法，允许被授权者访问与d4对应的数据资源；如果不相同，则判断授权不合法，不允许被授权者访问与d4对应的数据资源，并结束鉴权。
[0116]
以上描述的授权方法和鉴权方法可以是能够由计算机或处理器实现的方法，可以通过软件、硬件或软件和硬件的组合执行。例如，以上描述的方法可以由编码装置的各个软件模块分别执行。以上描述的方法也可以实现为存储在存储介质中的程序代码，以便由处理器来执行。所述处理器可以是专用处理器或通用处理器。
[0117]
本发明的授权方法和鉴权方法相对于现有技术有以下优点：
[0118]
1)授权信息不易篡改，相比一般的权限记录表或记录文件，采用数字签名技术构造的授权证书能有效抵御非授权篡改。
[0119]
2)允许对数据资源进行批量授权，将数据资源授权信息与授权证书进行绑定，将数字证书的合法性延伸为授权信息的权威性。
[0120]
3)允许对部分数据资源授权信息鉴权，通过构造哈希树，实现在不暴露其他授权信息的前提下对部分授权信息鉴权，这在多方参与的联合计算中尤为重要。
[0121]
执行以上方法的硬件或软件模块或以上方法的各种其它实现方式也包括在本发明的保护范围内。下面对其进行描述。
[0122]
根据本发明的一个方面，提供了一种基于哈希树的数据资源的授权装置，包括：存储器，存储有计算机可执行指令；以及处理器，被配置为当执行存储器中存储的计算机可执行指令时，实现如上描述的根据任一实施例的授权方法。
[0123]
根据本发明的另一方面，提供了一种基于哈希树的数据资源的鉴权装置，包括：存储器，存储有计算机可执行指令；以及处理器，被配置为当执行存储器中存储的计算机可执行指令时，实现如上描述的根据任一实施例的鉴权方法。
[0124]
此处的存储器应被理解为包括但不限于固态存储器，以及光和磁介质。具体例子包括非易失性存储器，包括例如半导体存储设备(例如，电可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom))和闪存设备；磁盘，比如内部硬盘和可移除磁盘；磁光盘；以及cd-rom和dvd-rom盘。处理器可以是通用处理器、专用处理器或其它可编程处理装置。
[0125]
根据本发明的另一方面，提供了一种基于哈希树的数据资源的授权系统，包括被配置为执行如上描述的根据任一实施例的授权方法的步骤的部件。
[0126]
根据本发明的另一方面，提供了一种基于哈希树的数据资源的鉴权系统，包括被配置为执行如上描述的根据任一实施例的鉴权方法的步骤的部件。
[0127]
应当理解，这里的部件仅是根据其所实现的具体功能所划分的逻辑模块，而不是用于限制具体的实现方式。在实际实现时，所述装置可被实现为独立的物理实体，或者也可由单个实体(例如，处理器(cpu或dsp等)、集成电路等)来实现。
[0128]
根据本发明的另一个方面，提供了一种非瞬态计算机可读存储介质，存储有指令，所述指令当被处理器执行时实现如上描述的根据任一实施例的授权方法或鉴权方法。术语“计算机可读存储介质”应当被认为包括能够存储、编码或承载供处理器执行的指令，并使处理器进行本公开的任何一种或多种方法，或者能够存储、编码或承载由这样的指令利用或与这样的指令关联的数据结构的任何有形介质(非瞬态介质)。计算机程序指令可以由计算机处理器或其它可编程处理装置执行，以使得在计算机处理器或其它可编程处理装置上执行一系列操作步骤，以产生计算机实现的处理。
[0129]
根据详细的说明书，本发明的许多特征和优点是显而易见的，因此，所附权利要求书旨在涵盖落入本发明的真实精神和范围内的本发明的所有这些特征和优点。此外，由于本领域技术人员将容易想到许多修改和变型，因此不希望将本发明限制于所图示和描述的确切构造和操作，并且相应地，可以采用落入本发明的范围内的所有合适的修改和等效物。