CN111274599A - 一种基于区块链的数据共享方法及相关装置 - Google Patents
一种基于区块链的数据共享方法及相关装置 Download PDFInfo
- Publication number
- CN111274599A CN111274599A CN202010096196.4A CN202010096196A CN111274599A CN 111274599 A CN111274599 A CN 111274599A CN 202010096196 A CN202010096196 A CN 202010096196A CN 111274599 A CN111274599 A CN 111274599A
- Authority
- CN
- China
- Prior art keywords
- data
- node
- credit investigation
- authorization
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请涉及区块链技术领域,提供一种基于区块链的数据共享方法及相关装置。一种基于区块链的数据共享方法包括:获取区块链上传输节点的征信数据;确定所述征信数据对应的授权节点;确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;将所述共享数据通过区块链传输给所述授权节点。本申请实施例的技术方案,有利于提高数据共享的安全性,以及实现对数据进行多维度管理。
Description
技术领域
本申请涉及区块链技术领域,尤其涉及一种基于区块链的数据共享方法及相关装置。
背景技术
随着信息化的发展,数据的安全性越来越重要,对于企业而言,每家企业都有大量的针对自己企业客户的征信数据,并且征信数据对于数据安全性要求较高。
目前,企业与企业之间进行数据共享时,一旦选择共享数据,便只能将数据完全公开,这样有较高的数据泄露的风险,导致数据共享的安全性较低,并且,无法对数据进行多维度管理。
发明内容
本申请实施例提供一种基于区块链的数据共享方法及相关装置,有利于提高数据共享的安全性,以及实现对数据进行多维度管理。
本申请第一方面提供一种基于区块链的数据共享方法,包括:
获取区块链上传输节点的征信数据;
确定所述征信数据对应的授权节点;
确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;
生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;
根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;
根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;
将所述共享数据通过区块链传输给所述授权节点。
本申请第二方面提供了一种基于区块链的数据共享装置,所述装置包括:
获取单元,用于获取区块链上传输节点的征信数据;
第一确定单元,用于确定所述征信数据对应的授权节点;
第二确定单元,用于确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;
加密单元,用于生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;
第一生成单元,用于根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;
第二生成单元,用于根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;
传输单元,用于将所述共享数据通过区块链传输给所述授权节点。
本申请第三方面提供了一种电子设备,所述电子设备包括处理器、存储器、通信接口以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置由所述处理器执行,所述程序包括用于执行本申请第一方面任一方法中的步骤的指令。
本申请第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现本申请第一方面任一方法中所描述的部分或全部步骤。
可以看到,通过本申请提出的基于区块链的数据共享方法及相关装置,获取区块链上传输节点的征信数据,确定所述征信数据对应的授权节点,确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围,生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据,根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据,根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据,将所述共享数据通过区块链传输给所述授权节点。这样,在数据共享的过程中,通过密钥对征信数据进行加密,得到密文数据,没有授权的节点无法解密数据,从而提高了数据的安全性,同时,确定授权节点对征信数据的访问权限粒度和读写权限范围,根据访问权限粒度和读写权限范围对加密后的数据进行进一步处理,从而控制授权节点对数据的访问权限粒度和读写权限范围,以实现对数据的多维度管理。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于区块链的数据共享***的示意图;
图2为本申请实施例提供的一种基于区块链的数据共享方法的流程图;
图3为本申请实施例提供的另一种基于区块链的数据共享方法的流程图;
图4为本申请实施例提供的一种分角色解密授权的示意图;
图5为本申请实施例提供的一种基于区块链的数据共享装置的示意图;
图6为本申请实施例涉及的硬件运行环境的电子设备结构示意图。
具体实施方式
本申请实施例提供的基于区块链的数据共享方法及相关装置,有利于提高数据共享的安全性,以及实现对数据进行多维度管理。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面对本申请实施例进行详细介绍。
首先参见图1,图1为本申请实施例提供的一种基于区块链的数据共享***100的示意图。其中,如图1所示,数据共享***100包括传输节点101和授权节点102;
获取区块链上传输节点101的征信数据;确定所述征信数据对应的授权节点102;确定所述授权节点102对所述征信数据的访问权限粒度以及所述授权节点102对所述征信数据的读写权限范围;生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;将所述共享数据通过区块链传输给所述授权节点102。
其中,传输节点101和授权节点102包括企业、银行、金融机构等,传输节点101和授权节点102位于同一条区块链上,各自为区块链上的独立节点,并且传输节点101和授权节点102在区块链上的权限一样,区块链是一种去中心化的存储和计算技术,其通过将数据块按照时间顺序叠加而生成持久的不可修改的记录,并且将计入存储在区块链网络的各个节点中,使得以去中心化的方式集体维护一个可靠数据库,本申请实施例中的区块链类型可以为联盟链,即传输节点101和授权节点102为联盟链上的独立节点。
其中,征信数据包括名单核验类数据,具体包括黑名单、灰名单和白名单等。
在区块链上,传输节点101将征信数据上传到区块链上,并且对征信数据进行加密,这样可以保证传输节点101的数据隐私安全,并且,传输节点101对上传到区块链上的征信数据拥有所属权,授权节点102可以解密密文信息,没有经过授权,区块链上的其他节点无法解密密文信息。
并且,传输节点101还可以对征信数据进行多维度管理,传输节点101确定授权节点102对征信数据的访问权限粒度和读写权限范围,征信数据包括了多种数据类型的数据,授权节点102可能只能访问其中的部分数据,访问权限粒度即授权节点102具体可以访问征信数据中的哪些数据,授权节点102接收了传输节点101共享的数据后,可以对数据进行访问或者修改,读写权限范围即授权节点102只能读数据或者只能写数据或者既可以读数据也可以写数据,根据访问权限粒度和读写权限范围生成共享数据,通过区块链传输给授权节点102,从而实现了在数据共享的同时,提高数据共享的安全性,以及实现对数据进行多维度管理。
参见图2,图2为本申请的一个实施例提供的一种基于区块链的数据共享方法的流程图。其中,如图2所示,本实施例提供的一种基于区块链的数据共享方法可以包括:
201、获取区块链上传输节点的征信数据。
其中,区块链是一种去中心化的存储和计算技术,其通过将数据块按照时间顺序叠加而生成持久的不可修改的记录,并且将计入存储在区块链网络的各个节点中,使得以去中心化的方式集体维护一个可靠数据库。
传输节点包括企业、银行、金融机构等,传输节点为区块链上的独立节点,本申请实施例中的区块链类型可以为联盟链,即传输节点为联盟链上的独立节点。其中,征信数据包括名单核验类数据,具体包括黑名单、灰名单和白名单等。
202、确定所述征信数据对应的授权节点。
其中,授权节点包括企业、银行、金融机构等,授权节点为区块链上的独立节点,本申请实施例中的区块链类型可以为联盟链,即授权节点为联盟链上的独立节点。
在区块链上,传输节点将征信数据上传到区块链上,并且对征信数据进行加密,这样可以保证传输节点的数据隐私安全,并且,传输节点对上传到区块链上的征信数据拥有所属权,授权节点可以解密密文信息,没有经过授权,区块链上的其他节点无法解密密文信息。
在一个可能的示例中,确定征信数据对应的授权节点的方式可以是,传输节点选定授权节点。
在一个可能的示例中,区块链上存储了数据标识与节点标识的映射关系,确定征信数据对应的授权节点的方式可以是:
获取征信数据的数据标识;
查询数据标识与节点标识的映射关系,确定与征信数据的数据标识匹配的节点标识;
根据节点标识确定对应的授权节点。
这样,根据数据标识与节点标识的映射关系,查找征信数据的数据标识对应的节点标识,从而确定征信数据对应的授权节点,可以实现自动授权,而不用传输节点选定授权节点。
203、确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围。
传输节点可以对征信数据进行多维度管理,传输节点确定授权节点对征信数据的访问权限粒度和读写权限范围,征信数据包括了多种数据类型的数据,授权节点可能只能访问其中的部分数据,访问权限粒度即授权节点具体可以访问征信数据中的哪些数据,授权节点接收了传输节点共享的数据后,可以对数据进行访问或者修改,读写权限范围即授权节点只能读数据或者只能写数据或者既可以读数据也可以写数据。
举例来说,当征信数据为名单核验类数据时,征信数据包括名单一级类型、名单二级类型、入库标签、组织机构代码、统一社会信用代码、入库时间等类型的数据,对于授权节点而已,可能只能访问征信数据中特点几种类型的数据,比如授权节点只能访问名单一级类型、名单二级类型等数据,即为授权节点对征信数据的访问权限粒度,并且,对于不同的授权节点而言,有些授权节点可以对征信数据进行信息读取,有些授权节点可以对征信数据进行信息写入,有些授权节点既可以对征信数据进行信息读取,也可以对征信数据进行信息写入,即为授权节点对征信数据的读写权限范围。
204、生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据。
在区块链的加密授权方案中,采用一文一密的方式,即征信数据对应唯一的密钥,这样可以保证征信数据与其他数据之间的独立性,其中,生成密钥的方法可以是AES-128算法。
在一个可能的示例中,根据密钥对征信数据进行加密的方法可以是:
将征信数据按照数据类型划分为M条域数据,M为正整数;
根据密钥衍生得到M组域密钥;
根据M组域密钥分别对M条域数据进行加密,M组域密钥与M条域数据一一对应。
具体的,将征信数据按照数据类型划分为M条域数据,M为正整数,M条域数据分别对应了M种数据类型,并且,该M条域数据属于同一业务属性,即属于该征信数据的业务属性,由于征信数据对应唯一的密钥,因此,根据该密钥可以衍生得到M组域密钥,通过M组域密钥中的每一组域密钥对M条域数据中的每一条域数据进行单独加密,M组域密钥与M条域数据一一对应,由此,M条域数据都会对应一组独立的域密钥,从而实现对M条域数据进行单独授权,这样,授权节点可以访问征信数据中的某些数据,而不需要将该征信数据进行拆分,分为多条数据进行单独传输,实现了对同一征信数据中的不同域数据进行单独授权。
205、根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据。
在一个可能的示例中,根据访问权限粒度、密钥和密文数据生成初始共享数据的方法可以是:
根据访问权限粒度确定授权节点可访问征信数据的N种数据类型,N为不大于M的正整数;
确定与N种数据类型匹配的N条域数据;
确定与N条域数据对应的N组域密钥;
生成初始共享数据,初始共享数据包括N组域密钥和密文数据。
具体的,将征信数据按照数据类型划分为M条域数据,M为正整数,M条域数据分别对应了M种数据类型,授权节点可能只能访问其中的部分数据,访问权限粒度即授权节点具体可以访问征信数据中的哪些数据,举例来说,当征信数据为名单核验类数据时,征信数据包括名单一级类型、名单二级类型、入库标签、组织机构代码、统一社会信用代码、入库时间等类型的数据,对于授权节点而已,可能只能访问征信数据中特点几种类型的数据,比如授权节点只能访问名单一级类型、名单二级类型等数据,即为授权节点对征信数据的访问权限粒度,因此,根据访问权限粒度可以确定授权节点可访问征信数据的N种数据类型,N为不大于M的正整数。
由于M条域数据是按照数据类型划分的,所以根据N种数据类型可以确定与N种数据类型匹配的N条域数据,在对征信数据进行加密的过程中,通过M组域密钥中的每一组域密钥对M条域数据中的每一条域数据进行单独加密,M组域密钥与M条域数据一一对应,由此,M条域数据都会对应一组独立的域密钥,所以根据N条域数据可以确定与N条域数据对应的N组域密钥。
生成初始共享数据,初始共享数据包括N组域密钥和密文数据,授权节点只有获取密钥才可以对密文进行解密,因此授权节点根据初始共享数据中的N组域密钥只可以访问该N组域密钥对应的N条域数据。
206、根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据。
在一个可能的示例中,根据读写权限范围、密钥和初始共享数据生成共享数据的方法可以是:
当读写权限范围包括读权限和写权限时,生成共享数据,共享数据包括N组域密钥和密文数据,N组域密钥中的每一组域密钥包括对称密钥和非对称密钥。
具体的,授权节点接收了传输节点共享的数据后,可以对数据进行访问或者修改,读写权限范围即授权节点只能读数据或者只能写数据或者既可以读数据也可以写数据。对于不同的授权节点而言,有些授权节点可以对征信数据进行信息读取,有些授权节点可以对征信数据进行信息写入,有些授权节点既可以对征信数据进行信息读取,也可以对征信数据进行信息写入,即为授权节点对征信数据的读写权限范围。
在对征信数据进行加密的过程中,需要使用两个密钥,第一个密钥为对称密钥,用于对征信数据进行加密,第二个密钥为非对称密钥,用于对加密的结果进行签名,在授权的过程中,如果向授权节点同时发送对称密钥和非对称密钥,则该授权节点同时拥有了读写权限。
因此,当授权节点对征信数据的读写权限范围包括读权限和写权限时,生成共享数据,该共享数据包括N组域密钥和密文数据,并且该N组域密钥中的每一组域密钥包括对称密钥和非对称密钥。
在一个可能的示例中,根据读写权限范围、密钥和初始共享数据生成共享数据的方法还可以是:
当读写权限范围包括读权限时,生成共享数据,共享数据包括N组域密钥中的对称密钥和密文数据;
当读写权限范围包括写权限时,生成共享数据,共享数据包括N组域密钥中的非对称密钥和密文数据。
具体的,授权节点接收了传输节点共享的数据后,可以对数据进行访问或者修改,读写权限范围即授权节点只能读数据或者只能写数据或者既可以读数据也可以写数据。对于不同的授权节点而言,有些授权节点可以对征信数据进行信息读取,有些授权节点可以对征信数据进行信息写入,有些授权节点既可以对征信数据进行信息读取,也可以对征信数据进行信息写入,即为授权节点对征信数据的读写权限范围。
在对征信数据进行加密的过程中,需要使用两个密钥,第一个密钥为对称密钥,用于对征信数据进行加密,第二个密钥为非对称密钥,用于对加密的结果进行签名,在授权的过程中,如果仅向授权节点发送第一个密钥(对称密钥),则该授权节点仅有查看数据的权限,而如果向授权节点发送第二个密钥(非对称密钥),则该授权节点拥有了修改数据和删除数据的权限。
因此,当授权节点对征信数据的读写权限范围包括读权限时,生成共享数据,该共享数据包括N组域密钥中的对称密钥和密文数据,当授权节点对征信数据的读写权限范围包括写权限时,生成共享数据,该共享数据包括N组域密钥中的非对称密钥和密文数据。
207、将所述共享数据通过区块链传输给所述授权节点。
将共享数据通过区块链传输给授权节点以后,授权节点接收共享数据,获取共享数据中的密钥和密文数据,并根据密钥对密文数据进行解密,从而对有权限的数据进行访问,或者进行写入、修改、删除等。
在一个可能的示例中,将共享数据通过区块链传输给授权节点之后,还包括:
获取授权节点的节点标识;
获取征信数据的数据标识;
建立数据标识与节点标识的映射关系;
将映射关系存储在区块链上,映射关系用于根据数据标识确定节点标识。
具体的,在数据共享的过程中,还可以获取区块链上每个授权节点的节点标识,并且获取征信数据的数据标识,然后建立每个数据标识与每个节点标识之间的映射关系,将该映射关系存储在区块链上,这样,后续可以根据该映射关系,查找某征信数据的数据标识对应的节点标识,从而查找到对应的授权节点,实现自动授权。
在一个可能的示例中,将共享数据通过区块链传输给授权节点之后,还包括:
设定授权时间;
当前时间不超过授权时间时,保持授权节点对共享数据的读写权限范围;
当前时间超过授权时间时,向授权节点发送拒绝访问指令,拒绝访问指令用于取消授权节点对共享数据的读写权限范围。
具体的,通过本示例可以实现授权回收,即,在授权时设定授权时间,在授权时间内允许被授权方(授权节点)访问数据,超过该授权时间后被授权方(授权节点)即无法访问数据,这样有利于提高数据的隐私安全性。
在一个可能的示例中,传输节点将征信数据上传到区块链时,如果传输节点需要将该征信数据共享给授权节点,那么传输节点不直接将为该征信数据生成的私钥发给授权节点,而是提供该征信数据的被授权列表,仅有该征信数据的所有方,即传输节点可以修改该被授权列表,由此,数据的所有方可以始终保持对该征信数据的绝对控制权。例如,传输节点上传了一份合同到区块链,合同的某些部分由传输节点完成,而合同的另外一些部分需要由授权节点完成,此时,传输节点需要授权修改数据的权限给授权节点,同时在授权节点完成合同的补充后,合同进入保密阶段,此时传输节点需要收回授权节点的权限,实现授权回收。
可以看出,通过本实施例提出的基于区块链的数据共享方法,获取区块链上传输节点的征信数据,确定所述征信数据对应的授权节点,确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围,生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据,根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据,根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据,将所述共享数据通过区块链传输给所述授权节点。这样,在数据共享的过程中,通过密钥对征信数据进行加密,得到密文数据,没有授权的节点无法解密数据,从而提高了数据的安全性,同时,确定授权节点对征信数据的访问权限粒度和读写权限范围,根据访问权限粒度和读写权限范围对加密后的数据进行进一步处理,从而控制授权节点对数据的访问权限粒度和读写权限范围,以实现对数据的多维度管理。
参见图3,图3为本申请的另一个实施例提供的另一种基于区块链的数据共享方法的流程图。其中,如图3所示,本申请实施例提供的另一种基于区块链的数据共享方法可以包括:
301、获取区块链上传输节点的征信数据。
其中,区块链是一种去中心化的存储和计算技术,其通过将数据块按照时间顺序叠加而生成持久的不可修改的记录,并且将计入存储在区块链网络的各个节点中,使得以去中心化的方式集体维护一个可靠数据库。
传输节点包括企业、银行、金融机构等,传输节点为区块链上的独立节点,本申请实施例中的区块链类型可以为联盟链,即传输节点为联盟链上的独立节点。其中,征信数据包括名单核验类数据,具体包括黑名单、灰名单和白名单等。
302、确定征信数据对应的授权节点。
其中,授权节点包括企业、银行、金融机构等,授权节点为区块链上的独立节点,本申请实施例中的区块链类型可以为联盟链,即授权节点为联盟链上的独立节点。
在区块链上,传输节点将征信数据上传到区块链上,并且对征信数据进行加密,这样可以保证传输节点的数据隐私安全,并且,传输节点对上传到区块链上的征信数据拥有所属权,授权节点可以解密密文信息,没有经过授权,区块链上的其他节点无法解密密文信息。
在一个可能的示例中,确定征信数据对应的授权节点的方式可以是,传输节点选定授权节点。
在一个可能的示例中,区块链上存储了数据标识与节点标识的映射关系,确定征信数据对应的授权节点的方式可以是:
获取征信数据的数据标识;
查询数据标识与节点标识的映射关系,确定与征信数据的数据标识匹配的节点标识;
根据节点标识确定对应的授权节点。
这样,根据数据标识与节点标识的映射关系,查找征信数据的数据标识对应的节点标识,从而确定征信数据对应的授权节点,可以实现自动授权,而不用传输节点选定授权节点。
303、确定授权节点对征信数据的访问权限粒度以及授权节点对征信数据的读写权限范围。
传输节点可以对征信数据进行多维度管理,传输节点确定授权节点对征信数据的访问权限粒度和读写权限范围,征信数据包括了多种数据类型的数据,授权节点可能只能访问其中的部分数据,访问权限粒度即授权节点具体可以访问征信数据中的哪些数据,授权节点接收了传输节点共享的数据后,可以对数据进行访问或者修改,读写权限范围即授权节点只能读数据或者只能写数据或者既可以读数据也可以写数据。
举例来说,当征信数据为名单核验类数据时,征信数据包括名单一级类型、名单二级类型、入库标签、组织机构代码、统一社会信用代码、入库时间等类型的数据,对于授权节点而已,可能只能访问征信数据中特点几种类型的数据,比如授权节点只能访问名单一级类型、名单二级类型等数据,即为授权节点对征信数据的访问权限粒度,并且,对于不同的授权节点而言,有些授权节点可以对征信数据进行信息读取,有些授权节点可以对征信数据进行信息写入,有些授权节点既可以对征信数据进行信息读取,也可以对征信数据进行信息写入,即为授权节点对征信数据的读写权限范围。
304、生成征信数据的密钥。
在区块链的加密授权方案中,采用一文一密的方式,即征信数据对应唯一的密钥,这样可以保证征信数据与其他数据之间的独立性,其中,生成密钥的方法可以是AES-128算法。
305、将征信数据按照数据类型划分为M条域数据,M为正整数。
将征信数据按照数据类型划分为M条域数据,M为正整数,M条域数据分别对应了M种数据类型,并且,该M条域数据属于同一业务属性,即属于该征信数据的业务属性。
306、根据密钥衍生得到M组域密钥,根据M组域密钥分别对M条域数据进行加密,M组域密钥与M条域数据一一对应。
由于征信数据对应唯一的密钥,因此,根据该密钥可以衍生得到M组域密钥,通过M组域密钥中的每一组域密钥对M条域数据中的每一条域数据进行单独加密,M组域密钥与M条域数据一一对应,由此,M条域数据都会对应一组独立的域密钥,从而实现对M条域数据进行单独授权,这样,授权节点可以访问征信数据中的某些数据,而不需要将该征信数据进行拆分,分为多条数据进行单独传输,实现了对同一征信数据中的不同域数据进行单独授权。
307、根据访问权限粒度确定授权节点可访问征信数据的N种数据类型,N为不大于M的正整数。
具体的,将征信数据按照数据类型划分为M条域数据,M为正整数,M条域数据分别对应了M种数据类型,授权节点可能只能访问其中的部分数据,访问权限粒度即授权节点具体可以访问征信数据中的哪些数据,举例来说,当征信数据为名单核验类数据时,征信数据包括名单一级类型、名单二级类型、入库标签、组织机构代码、统一社会信用代码、入库时间等类型的数据,对于授权节点而已,可能只能访问征信数据中特点几种类型的数据,比如授权节点只能访问名单一级类型、名单二级类型等数据,即为授权节点对征信数据的访问权限粒度,因此,根据访问权限粒度可以确定授权节点可访问征信数据的N种数据类型,N为不大于M的正整数。
308、确定与N种数据类型匹配的N条域数据,确定与N条域数据对应的N组域密钥。
由于M条域数据是按照数据类型划分的,所以根据N种数据类型可以确定与N种数据类型匹配的N条域数据,在对征信数据进行加密的过程中,通过M组域密钥中的每一组域密钥对M条域数据中的每一条域数据进行单独加密,M组域密钥与M条域数据一一对应,由此,M条域数据都会对应一组独立的域密钥,所以根据N条域数据可以确定与N条域数据对应的N组域密钥。
309、生成初始共享数据,初始共享数据包括N组域密钥和密文数据。
生成初始共享数据,初始共享数据包括N组域密钥和密文数据,授权节点只有获取密钥才可以对密文进行解密,因此授权节点根据初始共享数据中的N组域密钥只可以访问该N组域密钥对应的N条域数据。
310、当读写权限范围包括读权限和写权限时,生成共享数据,共享数据包括N组域密钥和密文数据,N组域密钥中的每一组域密钥包括对称密钥和非对称密钥。
具体的,授权节点接收了传输节点共享的数据后,可以对数据进行访问或者修改,读写权限范围即授权节点只能读数据或者只能写数据或者既可以读数据也可以写数据。对于不同的授权节点而言,有些授权节点可以对征信数据进行信息读取,有些授权节点可以对征信数据进行信息写入,有些授权节点既可以对征信数据进行信息读取,也可以对征信数据进行信息写入,即为授权节点对征信数据的读写权限范围。
在对征信数据进行加密的过程中,需要使用两个密钥,第一个密钥为对称密钥,用于对征信数据进行加密,第二个密钥为非对称密钥,用于对加密的结果进行签名,在授权的过程中,如果向授权节点同时发送对称密钥和非对称密钥,则该授权节点同时拥有了读写权限。
因此,当授权节点对征信数据的读写权限范围包括读权限和写权限时,生成共享数据,该共享数据包括N组域密钥和密文数据,并且该N组域密钥中的每一组域密钥包括对称密钥和非对称密钥。
311、将共享数据通过区块链传输给授权节点。
将共享数据通过区块链传输给授权节点以后,授权节点接收共享数据,获取共享数据中的密钥和密文数据,并根据密钥对密文数据进行解密,从而对有权限的数据进行访问,或者进行写入、修改、删除等。
312、获取授权节点的节点标识。
313、获取征信数据的数据标识。
314、建立数据标识与节点标识的映射关系,将映射关系存储在区块链上,映射关系用于根据数据标识确定节点标识。
具体的,在数据共享的过程中,还可以获取区块链上每个授权节点的节点标识,并且获取征信数据的数据标识,然后建立每个数据标识与每个节点标识之间的映射关系,将该映射关系存储在区块链上,这样,后续可以根据该映射关系,查找某征信数据的数据标识对应的节点标识,从而查找到对应的授权节点,实现自动授权。
参见图4,图4为本申请实施例提供的一种分角色解密授权的示意图。如图4所示,区块链上的节点为金融机构,金融机构之间进行征信数据共享。
具体的,金融机构A上传的征信数据包括第一明文、第二明文、第三明文和第四明文,分别对应黑名单、灰名单、绿名单和白名单,金融机构A将这些数据加密后上传到区块链,分别为第一密文、第二密文、第三密文和第四密文,在数据共享的过程中,需要将第一明文(黑名单)传输给金融机构B,将第一明文(黑名单)和第二明文(灰名单)传输给金融机构C,将第四明文(白名单)传输给金融机构D,不传输数据给金融机构N,此时,第一明文对应的授权节点为金融机构B和金融机构C,第二明文对应的授权节点为金融机构C,第四明文对应的授权节点为金融机构D。
参见图5,图5为本申请的一个实施例提供的一种基于区块链的数据共享装置的示意图。其中,如图5所示,本申请实施例提供的一种基于区块链的数据共享装置可以包括:
获取单元501,用于获取区块链上传输节点的征信数据;
第一确定单元502,用于确定所述征信数据对应的授权节点;
第二确定单元503,用于确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;
加密单元504,用于生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;
第一生成单元505,用于根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;
第二生成单元506,用于根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;
传输单元507,用于将所述共享数据通过区块链传输给所述授权节点。
本申请基于区块链的数据共享装置的具体实施可参见上述基于区块链的数据共享方法的各实施例,在此不做赘述。
参见图6,图6为本申请的实施例涉及的硬件运行环境的电子设备结构示意图。其中,如图6所示,本申请的实施例涉及的硬件运行环境的电子设备可以包括:
处理器601,例如CPU。
存储器602,可选的,存储器可以为高速RAM存储器,也可以是稳定的存储器,例如磁盘存储器。
通信接口603,用于实现处理器601和存储器602之间的连接通信。
本领域技术人员可以理解,图6中示出的电子设备的结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图6所示,存储器602中可以包括操作***、网络通信模块以及数据共享的程序。操作***是管理和控制电子设备硬件和软件资源的程序,支持数据共享的程序以及其他软件或程序的运行。网络通信模块用于实现存储器602内部各组件之间的通信,以及与电子设备中其他硬件和软件之间通信。
在图6所示的电子设备中,处理器601用于执行存储器602中存储的数据共享的程序,实现以下步骤:
获取区块链上传输节点的征信数据;
确定所述征信数据对应的授权节点;
确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;
生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;
根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;
根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;
将所述共享数据通过区块链传输给所述授权节点。
本申请电子设备的具体实施可参见上述基于区块链的数据共享方法的各实施例,在此不做赘述。
本申请的另一个实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行以实现以下步骤:
获取区块链上传输节点的征信数据;
确定所述征信数据对应的授权节点;
确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;
生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;
根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;
根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;
将所述共享数据通过区块链传输给所述授权节点。
本申请计算机可读存储介质的具体实施可参见上述基于区块链的数据共享方法的各实施例,在此不做赘述。
还需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种基于区块链的数据共享方法,其特征在于,包括:
获取区块链上传输节点的征信数据;
确定所述征信数据对应的授权节点;
确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;
生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;
根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;
根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;
将所述共享数据通过区块链传输给所述授权节点。
2.根据权利要求1所述的方法,其特征在于,所述根据所述密钥对所述征信数据进行加密包括:
将所述征信数据按照数据类型划分为M条域数据,M为正整数;
根据所述密钥衍生得到M组域密钥;
根据所述M组域密钥分别对所述M条域数据进行加密,所述M组域密钥与所述M条域数据一一对应。
3.根据权利要求2所述的方法,其特征在于,所述根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据包括:
根据所述访问权限粒度确定所述授权节点可访问所述征信数据的N种数据类型,N为不大于M的正整数;
确定与所述N种数据类型匹配的N条域数据;
确定与所述N条域数据对应的N组域密钥;
生成所述初始共享数据,所述初始共享数据包括所述N组域密钥和所述密文数据。
4.根据权利要求3所述的方法,其特征在于,所述根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据包括:
当所述读写权限范围包括读权限和写权限时,生成所述共享数据,所述共享数据包括所述N组域密钥和所述密文数据,所述N组域密钥中的每一组域密钥包括对称密钥和非对称密钥。
5.根据权利要求4所述的方法,其特征在于,所述根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据,还包括:
当所述读写权限范围包括读权限时,生成所述共享数据,所述共享数据包括所述N组域密钥中的对称密钥和所述密文数据;
当所述读写权限范围包括写权限时,生成所述共享数据,所述共享数据包括所述N组域密钥中的非对称密钥和所述密文数据。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述将所述共享数据通过区块链传输给所述授权节点之后,所述方法还包括:
获取所述授权节点的节点标识;
获取所述征信数据的数据标识;
建立所述数据标识与所述节点标识的映射关系;
将所述映射关系存储在区块链上,所述映射关系用于根据所述数据标识确定所述节点标识。
7.根据权利要求6所述的方法,其特征在于,所述将所述共享数据通过区块链传输给所述授权节点之后,所述方法还包括:
设定授权时间;
当前时间不超过所述授权时间时,保持所述授权节点对所述共享数据的读写权限范围;
当前时间超过所述授权时间时,向所述授权节点发送拒绝访问指令,所述拒绝访问指令用于取消所述授权节点对所述共享数据的读写权限范围。
8.一种基于区块链的数据共享装置,其特征在于,所述装置包括:
获取单元,用于获取区块链上传输节点的征信数据;
第一确定单元,用于确定所述征信数据对应的授权节点;
第二确定单元,用于确定所述授权节点对所述征信数据的访问权限粒度以及所述授权节点对所述征信数据的读写权限范围;
加密单元,用于生成所述征信数据的密钥,根据所述密钥对所述征信数据进行加密,以得到密文数据;
第一生成单元,用于根据所述访问权限粒度、所述密钥和所述密文数据生成初始共享数据;
第二生成单元,用于根据所述读写权限范围、所述密钥和所述初始共享数据生成共享数据;
传输单元,用于将所述共享数据通过区块链传输给所述授权节点。
9.一种电子设备,其特征在于,所述电子设备包括处理器、存储器、通信接口以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置由所述处理器执行,所述程序包括用于执行权利要求1至7任一项方法中的步骤的指令。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现权利要求1至7任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010096196.4A CN111274599A (zh) | 2020-02-17 | 2020-02-17 | 一种基于区块链的数据共享方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010096196.4A CN111274599A (zh) | 2020-02-17 | 2020-02-17 | 一种基于区块链的数据共享方法及相关装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111274599A true CN111274599A (zh) | 2020-06-12 |
Family
ID=70997203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010096196.4A Pending CN111274599A (zh) | 2020-02-17 | 2020-02-17 | 一种基于区块链的数据共享方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111274599A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112131316A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 应用于区块链***的数据处理方法及装置 |
CN112328558A (zh) * | 2020-10-29 | 2021-02-05 | 厦门大学附属第一医院 | 基于区块链的医疗***的访问日志存储方法及*** |
CN112446702A (zh) * | 2020-11-17 | 2021-03-05 | 深圳市元征科技股份有限公司 | 一种数据验证方法、装置及节点设备 |
CN112685766A (zh) * | 2020-12-15 | 2021-04-20 | 广西大学 | 基于区块链的企业征信管理方法、装置、计算机设备及存储介质 |
CN112800071A (zh) * | 2020-08-24 | 2021-05-14 | 支付宝(杭州)信息技术有限公司 | 基于区块链的业务处理方法、装置、设备及存储介质 |
CN113259105A (zh) * | 2021-06-23 | 2021-08-13 | 发明之家(北京)科技有限公司 | 一种区块链数据共享方法和*** |
CN113312666A (zh) * | 2021-06-04 | 2021-08-27 | 广西大学 | 一种基于区块链的企业征信数据申报*** |
CN113496041A (zh) * | 2021-07-23 | 2021-10-12 | 永旗(北京)科技有限公司 | 一种基于区块链的数据加密方法 |
CN114546271A (zh) * | 2022-02-18 | 2022-05-27 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的数据读写方法及装置、*** |
-
2020
- 2020-02-17 CN CN202010096196.4A patent/CN111274599A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112800071A (zh) * | 2020-08-24 | 2021-05-14 | 支付宝(杭州)信息技术有限公司 | 基于区块链的业务处理方法、装置、设备及存储介质 |
CN112328558A (zh) * | 2020-10-29 | 2021-02-05 | 厦门大学附属第一医院 | 基于区块链的医疗***的访问日志存储方法及*** |
CN112446702A (zh) * | 2020-11-17 | 2021-03-05 | 深圳市元征科技股份有限公司 | 一种数据验证方法、装置及节点设备 |
CN112131316A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 应用于区块链***的数据处理方法及装置 |
WO2022105505A1 (zh) * | 2020-11-20 | 2022-05-27 | 腾讯科技(深圳)有限公司 | 应用于区块链***的数据处理方法及装置 |
CN112685766A (zh) * | 2020-12-15 | 2021-04-20 | 广西大学 | 基于区块链的企业征信管理方法、装置、计算机设备及存储介质 |
CN113312666A (zh) * | 2021-06-04 | 2021-08-27 | 广西大学 | 一种基于区块链的企业征信数据申报*** |
CN113312666B (zh) * | 2021-06-04 | 2022-06-21 | 广西大学 | 一种基于区块链的企业征信数据申报*** |
CN113259105A (zh) * | 2021-06-23 | 2021-08-13 | 发明之家(北京)科技有限公司 | 一种区块链数据共享方法和*** |
CN113496041A (zh) * | 2021-07-23 | 2021-10-12 | 永旗(北京)科技有限公司 | 一种基于区块链的数据加密方法 |
CN114546271A (zh) * | 2022-02-18 | 2022-05-27 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的数据读写方法及装置、*** |
CN114546271B (zh) * | 2022-02-18 | 2024-02-06 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的数据读写方法及装置、*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109120639B (zh) | 一种基于区块链的数据云存储加密方法及*** | |
Liang et al. | PDPChain: A consortium blockchain-based privacy protection scheme for personal data | |
CN111274599A (zh) | 一种基于区块链的数据共享方法及相关装置 | |
CN111191286B (zh) | Hyperledger Fabric区块链隐私数据存储与访问***及其方法 | |
CN112836229B (zh) | 属性基加密和区块链结合的可信数据访问控制方案 | |
CN112019591B (zh) | 一种基于区块链的云数据共享方法 | |
CN110855671B (zh) | 一种可信计算方法和*** | |
CN109614818B (zh) | 可授权的基于身份的带关键词搜索加密方法 | |
US10650164B2 (en) | System and method for obfuscating an identifier to protect the identifier from impermissible appropriation | |
CN100518411C (zh) | 一种基于移动通信终端的动态密码***及方法 | |
CN107959567A (zh) | 数据存储方法、数据获取方法、装置及*** | |
CN113420319A (zh) | 一种基于区块链和权限合约的数据隐私保护的方法和*** | |
CN113541935B (zh) | 一种支持密钥托管的加密云存储方法、***、设备、终端 | |
JP2023500570A (ja) | コールドウォレットを用いたデジタルシグニチャ生成 | |
CN106452770A (zh) | 一种数据加密方法、解密方法、装置和*** | |
CN111859446A (zh) | 一种农产品溯源信息共享-隐私保护的方法及*** | |
WO2020123926A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
CN112487443A (zh) | 一种基于区块链的能源数据细粒度访问控制方法 | |
CN115567312B (zh) | 一种可满足多种场景的联盟链数据权限管理***和方法 | |
CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和*** | |
Kumar et al. | Data outsourcing: A threat to confidentiality, integrity, and availability | |
CN111008855A (zh) | 一种基于改进代理重加密的追溯数据访问控制方法 | |
CN114500069A (zh) | 一种电子合同的存储及共享的方法与*** | |
Bhargav et al. | A review on cryptography in cloud computing | |
CN102752112A (zh) | 基于sm1/sm2算法的权限控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |