CN111767551A - 一种基于区块链的浏览权限控制方法和控制*** - Google Patents
一种基于区块链的浏览权限控制方法和控制*** Download PDFInfo
- Publication number
- CN111767551A CN111767551A CN202010402287.6A CN202010402287A CN111767551A CN 111767551 A CN111767551 A CN 111767551A CN 202010402287 A CN202010402287 A CN 202010402287A CN 111767551 A CN111767551 A CN 111767551A
- Authority
- CN
- China
- Prior art keywords
- data resource
- client
- data
- server
- block chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
- G06F16/275—Synchronous replication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于区块链的浏览权限控制方法和控制***,解决现有业务交互过程中数据安全性和可溯源性无法满足业务需要的技术问题。方法包括:将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据;接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证。浏览权限鉴权过程在客户端间形成的复杂协同工作过程中实现了对源数据权限控制的灵活粒度,以及交互过程的全程追溯和责任认定,保证了在区块链上同步的源数据内容的交换安全性和交换双方的真实性。拓展了区块链技术应用场景,可以同样适合联盟链与公有链。
Description
技术领域
本发明涉及数据交互安全技术领域,具体涉及一种基于区块链的浏览权限控制方法和控制***。
背景技术
随着互联网技术的成熟,各种单一业务***形成分布式结构,产业链也拆分为多类型大量客户端间的同步或异步业务流程。各流程的业务数据的形成往往伴随着不定向的数据共享和数据传输,业务数据、基础数据在客户端间的定向安全和隐私安全受到极大挑战。尤其是涉及保密属性的数据资源,需要和相关的上下游客户端进行数据共享时由于权限等问题不便访问控制,往往形成数据孤岛或数据转移障碍。
现有技术中,区块链利用以不对称加解密为基础的区块数据结构、智能合约数据同步等技术手段实现了数据异地分布式存储的安全性和可靠性,区块链技术的可行性为复杂时效保密数据的有效访问控制提供了可能性。
发明内容
鉴于上述问题,本发明实施例提供一种基于区块链的浏览权限控制方法和控制***,解决现有业务交互过程中数据安全性和可溯源性无法满足业务需要的技术问题。
本发明实施例的基于区块链的浏览权限控制方法,包括:
将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据;
接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证,使得所述客户端通过所述数据资源凭证获取服务端的目标数据资源。
本发明一实施例中,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
接受所述客户端的客户身份信息;
为所述客户端分配唯一的用户标识;
获取所述客户端的初始权限等级;
设置所述客户端上传的数据资源的索引空间。
本发明一实施例中,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
接受服务端的服务身份信息;
为服务端分配唯一的服务标识;
设置关联服务标识的对应数据资源的分类列表;
在所述分类列表中存储数据资源属性。
本发明一实施例中,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
接受所述数据资源的文件属性;
接受所述数据资源的创建者信息;
接受所述数据资源的访问权限等级;
接受所述数据资源的访问白名单;
接受所述数据资源的数据摘要形成数据资源索引数值。
本发明一实施例中,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
设置所述客户端的激励计数器;
当所述客户端成功向所述服务端上传所述数据资源时,所述客户端的激励计数器累加;
当所述客户端同时是所述数据资源的创建者时,所述数据资源被下载时所述创建者的激励计数器累加;
当被成功举报所述数据资源存在缺陷时,上传所述数据资源的所述客户端的所述激励计数器核减;
当被成功举报所述数据资源存在违法时,上传所述数据资源的所述客户端权限降级。
本发明一实施例中,所述接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证包括:
根据客户端请求确定客户端权限等级和目标数据资源访问权限等级;
当所述客户端对目标数据资源的操作类型与权限等级匹配的结果适配时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
将所述数据资源凭证反馈至客户端。
本发明一实施例中,所述接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证包括:
根据客户端请求确定客户端权限等级和目标数据资源访问权限等级;
当所述客户端对目标数据资源的操作类型与权限等级匹配的结果不适配时,审核所述客户端是否属于目标数据资源的访问白名单;
当审核所述客户端属于所述目标数据资源的访问白名单时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
当审核所述客户端不属于所述目标数据资源的访问白名单时,等待所述客户端向目标数据资源创建者申请授权;
当所述客户端提供获得的目标数据资源创建者提供的签名授权信息时,验证签名授权信息;
根据所述加密授权信息更新目标数据资源的访问白名单,并将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
将所述数据资源凭证反馈至客户端。
本发明实施例的基于区块链的浏览权限控制***,包括:
存储器,用于存储如上述的基于区块链的浏览权限控制方法处理过程对应的程序代码;
处理器,用于执行所述程序代码。
本发明实施例的基于区块链的浏览权限控制***,包括:
权限控制区块链节点,用于形成客户端注册信息、服务端标识、服务端的数据资源属性在区块链上同步的区块数据;
客户端,用于向服务端请求数据资源,根据获得的服务端数据资源凭证获取服务端的目标数据资源;
服务端,用于根据所述区块数据中所述客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证。
本发明实施例的基于区块链的浏览权限控制***,包括:
数据区块同步装置,用于将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据;
权限交互控制装置,用于接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证,使得所述客户端通过所述数据资源凭证获取服务端的目标数据资源。
本发明实施例的基于区块链的浏览权限控制方法和控制***将数据资源授予过程中的数据浏览权限鉴权过程和数据获取过程有效剥离成交互的独立过程。数据鉴权过程通过从服务端同步获得源数据各粒度的关键性描述形成独立于源数据的完整性数据和权限数据。通过区块链技术将完整性数据和权限数据在区块链中同步,形成基于可信分布式数据架构的广泛客户端接入能力,实现数据浏览权限鉴权过程的并发优势。浏览权限鉴权过程在客户端间形成的复杂协同工作过程中实现了对源数据权限控制的灵活粒度,以及交互过程的全程追溯和责任认定,保证了在区块链上同步的源数据内容的交换安全性和交换双方的真实性。实现了政务网站以及军队网络等相关保密资源的共享以及高层次的安全保证。拓展了区块链技术的广阔应用场景,本发明可以同样适合联盟链与公有链。
附图说明
图1所示为本发明一实施例基于区块链的浏览权限控制方法的架构示意图。
图2所示为本发明一实施例基于区块链的浏览权限控制方法中客户端的注册过程示意图。
图3所示为本发明一实施例基于区块链的浏览权限控制方法中服务端的注册过程示意图。
图4所示为本发明一实施例基于区块链的浏览权限控制方法中形成数据资源索引的过程示意图。
图5所示为本发明一实施例基于区块链的浏览权限控制方法中数据资源属性同步中形成数据资源激励的过程示意图。
图6所示为本发明一实施例基于区块链的浏览权限控制方法中响应客户端数据资源请求形成数据资源凭证的过程示意图。
图7所示为本发明一实施例基于区块链的浏览权限控制方法中客户端协商形成数据资源凭证的过程示意图。
图8所示为利用本发明一实施例基于区块链的浏览权限控制方法形成的一种数据资源查看请求的流程示意图。
图9所示为利用本发明一实施例基于区块链的浏览权限控制方法形成的一种数据资源添加请求的流程示意图。
图10所示为利用本发明一实施例基于区块链的浏览权限控制方法形成的一种数据资源删除请求的流程示意图。
图11所示为本发明一实施例基于区块链的浏览权限控制***的结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明白,以下结合附图及具体实施方式对本发明作进一步说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一实施例的基于区块链的浏览权限控制方法如图1所示。在图1中,本实施例包括:
步骤100:将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据。
本领域技术人员可以理解,区块链技术将根据业务形成的数据采用区块数据结构存储,存储过程中利用加密机制形成不可篡改的区块数据,由区块数据形成数据区块链。服务端包括但不限于业务网站、门户网站或应用网站,也可以包括服务器或服务器集群。服务端的标识可以采用但不限于IP地址、域名、硬件地址等具有唯一性的识别标识。
客户端注册信息包括对客户访问进行鉴权时的必要数据,必要数据包括但不限于客户识别、客户服务等级、客户权限等级等关联数据。客户识别数据可以包括用于鉴权的不对称加密算法中密钥对中的一个秘钥。客户端注册信息可以包括登录服务端的注册信息,也可以是单独注册信息。
数据资源属性包括数据资源索引和数据资源访问权限。数据资源访问权限包括但不限于数据资源的涉密等级、涉密时长、加密强度等关联数据,数据资源访问权限与数据资源的最小粒度对应。数据资源包括但不限于数据文件、组成数据文件的文本段落数据、图片数据、媒体数据、配置数据等文件数据或流数据,数据资源索引是可独立运用的数据资源的对应数字指纹组成,表明数据资源的唯一性,可以体现为哈希算法形成的数据摘要。
本领域技术人员可以理解,上述服务端的数据资源属性可以通过在服务端设置的认证模块或认证网关以软件或硬件方式通过专用数据链路获得。
本领域技术人员可以理解,服务端的标识、客户端注册信息、数据资源索引和数据资源访问权限的变化会同步形成新的区块数据。服务端的的数据变化可以由服务端项认证模块或认证网关推送,或是由认证模块或认证网关主动获取。
本领域技术人员可以理解,数据资源索引和数据资源访问权限由服务端提供。数据资源由创建者创建,由服务端拥有和提供,客户端身份通过客户端注册信息识别。各客户端的标识具有唯一性。
步骤200:接受客户端数据资源请求,根据区块链上客户端注册信息与数据资源属性中数据资源访问权限的匹配度向客户端颁发数据资源凭证,使得客户端通过数据资源凭证获取服务端的目标数据资源。
本发明的技术方案执行主体直接接收客户端数据资源请求,不向服务端进行请求转发。
本领域技术人员可以理解,通过区块链上的区块数据可以获得客户端、服务端和数据资源的最新权限状态。通过资源请求方(客户端)与资源提供方(服务端)间的权限量化比较可以形成资源请求方获得数据服务的匹配程度,满足匹配度意味着可以得到服务端的服务响应。通过资源请求方与数据资源访问权限间的权限量化比较可以形成资源请求方获取数据资源的匹配程度,满足匹配度意味着可以得到服务端的数据资源响应。
本领域技术人员可以理解,数据资源凭证是客户端从服务端获得确定数据资源的权限验证结果,是服务端进行数据资源响应使得客户端获取目标数据资源的基础。数据资源凭证的信息包括但不限于客户端身份信息、权限级别、申请时间戳、访问有效时长、操作类型以及目标数据资源信息等。
本发明实施例的基于区块链的浏览权限控制方法将数据资源授予过程中的数据浏览权限鉴权过程和数据获取过程有效剥离成交互的独立过程。数据鉴权过程通过从服务端同步获得源数据各粒度的关键性描述形成独立于源数据的完整性数据和权限数据。通过区块链技术将完整性数据和权限数据在区块链中同步,形成基于可信分布式数据架构的广泛客户端接入能力,实现数据浏览权限鉴权过程的并发优势。浏览权限鉴权过程在客户端间形成的复杂协同工作过程中实现了对源数据权限控制的灵活粒度,以及交互过程的全程追溯和责任认定,保证了在区块链上同步的源数据内容的交换安全性和交换双方的真实性。实现了政务网站以及军队网络等相关保密资源的共享以及高层次的安全保证。拓展了区块链技术的广阔应用场景,本发明可以同样适合联盟链与公有链。
在本发明一实施例中,注册的客户端或服务端间存在隶属关系,可以根据隶属关系形成层级结构的唯一标识。客户端的主体包括但不限于用户角色、数据资源创建者角色、用户终端身份或远程接入终端身份等。客户端形成的层级结构的唯一标识可以由客户端的业务逻辑或职能层级表达形成。例如“确定个人标识.确定业务身份.确定地域.确定业务团队”。服务端的主体包括但不限于服务器、服务器集群地址、服务地址或独立主机等。服务端形成的层级结构的唯一服务标识可以由服务端的业务逻辑或职能层级表达形成。例如“地域.行政区划.机构.确定服务器”。
本发明一实施例的基于区块链的浏览权限控制方法中形成客户端注册信息如图2所示。在图2中,步骤100中客户端的注册包括:
步骤110:接受客户端的客户身份信息。可以是客户端用于签名的公钥。
步骤113:为客户端分配唯一的用户标识。
步骤116:获取客户端的初始权限等级。
步骤119:设置客户端上传的数据资源的索引空间。
本领域技术人员可以理解,客户端的客户身份信息中签名公钥与客户端持有的签名秘钥成对形成,是利用现有加密算法形成的客户端注册信息传递的保密手段也是客户端的识别手段。客户端的用户标识作为形成客户端社会拓扑结构或业务拓扑结构的基本元素,可以与服务端的用户或客户端相同或相应。初始权限等级受服务端的用户或客户端权限等级影响,存在权限类别的扩展,初始权限等级可以根据客户端所处的社会拓扑结构或业务拓扑结构形成二维权限矩阵。上传的数据资源的索引空间为客户端建立上传数据资源的摘要索引。
本发明实施例的基于区块链的浏览权限控制方法将客户端与服务端的鉴权接入与客户端与服务端的数据资源交互接入合理分离,形成鉴权接入与交互接入的并行架构,可以有效提高接入效率。
本发明一实施例的基于区块链的浏览权限控制方法中形成服务端标识如图3所示。在图3中,步骤100中服务端的注册包括:
步骤130:接受服务端的服务身份信息。可以是服务端用于签名的公钥。
步骤133:为服务端分配唯一的服务标识。
步骤136:设置关联服务标识的对应数据资源的分类列表。
步骤139:在分类列表中存储数据资源属性。
本领域技术人员可以理解,服务端的服务身份信息中签名公钥与服务端持有的签名秘钥成对形成,是利用现有加密算法形成的与服务端进行信息传递的保密手段也是服务端的识别手段。服务端的服务标识作为形成服务端社会拓扑结构或业务拓扑结构的基本元素,可以响应服务端的用户或客户端。分类列表将服务端的数据资源进行适当转换形成适合区块同步的数据资源映射结构。在数据资源映射结构上利用数据资源索引和权限的属性形成数据资源的同步映射属性。
本发明实施例的基于区块链的浏览权限控制方法将对服务端的数据资源请求转换为对数据资源属性的匹配,降低了服务端混合鉴权和交互的复杂性,也有效提高了客户端与服务端数据交互的安全性,保证了服务端数据资源与非法请求的有效隔离。
本发明一实施例的基于区块链的浏览权限控制方法中形成数据资源属性如图4所示。在图4中,步骤100中数据资源属性的建立包括:
步骤150:接受数据资源的文件属性。
步骤153:接受数据资源的创建者信息。
步骤156:接受数据资源的访问权限等级。
步骤159:接受数据资源的访问白名单。
步骤162:接受数据资源的数据摘要形成数据资源索引数值。
本发明实施例的基于区块链的浏览权限控制方法采用区块数据形成服务端上述数据资源属性的同步,使得数据资源的更新过程具有可溯源和不可修改的技术特征。数据资源属性的结构保证了如实反映对应数据资源的内容摘要和访问权限,使得针对数据资源的请求映射为同步数据资源属性的请求,简化了直接访问数据资源的数据处理逻辑复杂性。
本发明一实施例基于区块链的浏览权限控制方法中形成数据资源激励如图5所示。在图5中,数据资源激励包括:
步骤170:设置客户端的激励计数器。
本领域技术人员可以理解,激励计数器可以是在客户端的注册信息中增加一计数字段。根据服务端的数据资源属性同步时资源信息、客户端信息和服务端信息获取,每形成依次激励结果进行计数的相应增减,增减幅度根据激励类型设置,计数字段设置上下门限,当达到门限时触发客户端的权限等级提升或降低。
步骤173:当客户端成功向服务端上传数据资源时,客户端的激励计数器累加。
上述激励过程属于单一触发的激励类型。
步骤176:当客户端同时是数据资源的创建者时,数据资源被下载时创建者的激励计数器累加。
上述激励过程属于传递触发的激励类型。
步骤179:当被成功举报数据资源存在缺陷时,上传数据资源的客户端的激励计数器核减。
缺陷类型包括但不限于数据资源内容缺失、数据资源访问权限混乱等。缺陷由服务端或其他客户端评价。
步骤182:当被成功举报数据资源存在违法时,上传数据资源的客户端权限降级。
违法类型包括但不限于同一数据资源重复上传、数据资源内容违反法律、数据资源包含病毒等。违法由服务端或其他客户端评价。
本发明实施例的基于区块链的浏览权限控制方法将服务端形成的实时数据交互过程量化为新的数据资源的衡量指标,并将衡量指标与客户端身份关联形成客户端质量的衡量指标,保证了客户端与服务端间的数据交互过程的有效衡量,提供了额外的***衡量指标。从而更好地维护整个区块链各节点在数据资源权限控制上的的正常运作。
本发明一实施例的基于区块链的浏览权限控制方法中形成数据资源凭证如图6所示。在图6中,形成数据资源凭证包括:
步骤210:根据客户端请求确定客户端权限等级和目标数据资源访问权限等级。
步骤213:当客户端对目标数据资源的操作类型与权限等级匹配的结果适配时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证。
步骤220:将数据资源凭证反馈至客户端。
本发明实施例的基于区块链的浏览权限控制方法将数据访问中复杂的鉴权交互过程转换为属性匹配过程,降低权限控制开销。可以利用更高效的比对算法和检索算法,更有利于形成更健壮的数据资源权限控制水平。
本发明一实施例基于区块链的浏览权限控制方法中客户端协商形成数据资源凭证如图7所示。在图7中,形成数据资源凭证包括:
步骤210:根据客户端请求确定客户端权限等级和目标数据资源访问权限等级。
步骤233:当客户端对目标数据资源的操作类型与权限等级匹配的结果不适配时,审核客户端是否属于目标数据资源的访问白名单。
步骤236:当审核客户端属于目标数据资源的访问白名单时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证。
步骤239:当审核客户端不属于目标数据资源的访问白名单时,等待客户端向目标数据资源创建者申请授权。
步骤242:当客户端提供获得的目标数据资源创建者提供的加密授权信息时,验证加密授权信息。
步骤245:根据加密授权信息更新目标数据资源的访问白名单,并将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证。
步骤220:将数据资源凭证反馈至客户端。
本发明实施例的基于区块链的浏览权限控制方法提供了客户端间进行可靠越权授权的权限控制过程,使得数据资源的权限控制形成受控的旁路控制,使得权限传导路径的控制可以进行实时调整形成根据业务或身份变化形成,有效提升权限控制灵活性。
利用本发明一实施例基于区块链的浏览权限控制方法申请数据资源查看如图8所示。在图8中申请查看文件的过程包括:
客户端发起数据文件查看请求;
通过区块链上的区块数据获取数据文件的最新属性,根据客户端与数据文件属性中的权限等级的匹配度判断:匹配则向客户端返回数据文件凭证。不匹配则向客户端返回特定文件凭证,客户端据此向数据文件的创建者(Owner)请求更高权限;
创建者(Owner)验证客户端通过则提供被权限授权的签名,客户端利用签名以获得数据文件凭证。
客户端将数据文件凭证发送服务端;
服务端验证数据文件凭证通过后将目标数据文件反馈客户端。
利用本发明一实施例基于区块链的浏览权限控制方法申请数据资源添加如图9所示。在图9中申请添加文件的过程包括:
客户端上传文件,通过区块链上的区块数据获取客户端权限,当客户端权限验证通过时,将上传文件形成区块数据写入区块链;
将区块链中的上传文件同步到相应服务端。
利用本发明一实施例基于区块链的浏览权限控制方法申请数据资源删除如图10所示。在图10中申请删除文件的过程包括:
客户端请求删除文件,通过区块链上的区块数据获取客户端权限,当客户端权限验证通过时,将删除文件操作形成区块数据写入区块链;
将区块链中的删除文件操作同步到相应服务端。
本发明一实施例的基于区块链的浏览权限控制***,包括:
存储器,用于存储上述实施例的基于区块链的浏览权限控制方法处理过程对应的程序代码;
处理器,用于执行上述实施例的基于区块链的浏览权限控制方法处理过程对应的程序代码。
处理器可以采用DSP(Digital Signal Processing)数字信号处理器、FPGA(Field-Programmable Gate Array)现场可编程门阵列、MCU(MicrocontrollerUnit)***板、SoC(system on a chip)***板或包括I/O的PLC(Programmable Logic Controller)最小***。
本发明一实施例的基于区块链的浏览权限控制***,包括:
权限控制区块链节点,用于形成客户端注册信息、服务端标识、服务端的数据资源属性在区块链上同步的区块数据;
客户端,用于向服务端请求数据资源,根据获得的服务端数据资源凭证获取服务端的目标数据资源;
服务端,用于根据区块数据中客户端注册信息与数据资源属性中数据资源访问权限的匹配度向客户端颁发数据资源凭证。
本发明实施例的基于区块链的浏览权限控制***利用权限控制区块链节点形成具有共识技术特征的区块链数据存储网络,客户端与服务端间的业务交互过程形成基于可信分布式数据架构的广泛客户端接入能力,实现数据浏览权限鉴权过程的并发优势。浏览权限鉴权过程在客户端间形成的复杂协同工作过程中实现了对源数据权限控制的灵活粒度,以及交互过程的全程追溯和责任认定,保证了在区块链上同步的源数据内容的交换安全性和交换双方的真实性。本发明一实施例的基于区块链的浏览权限控制***如图11所示。在图11中,本实施例包括:
数据区块同步装置1100,用于将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据;
权限交互控制装置1200,用于接受客户端数据资源请求,根据区块链上客户端注册信息与数据资源属性中数据资源访问权限的匹配度向客户端颁发数据资源凭证,使得客户端通过数据资源凭证获取服务端的目标数据资源。
如图11所示,在本发明一实施例中,数据区块同步装置1100包括:
客户端第一信息获取模块1110,用于接受客户端的客户身份信息;
客户端第二信息获取模块1113,用于为客户端分配唯一的用户标识;
客户端第三信息获取模块1116,用于获取客户端的初始权限等级;
客户端第四信息获取模块1119,用于设置客户端上传的数据资源的索引空间。
如图11所示,在本发明一实施例中,数据区块同步装置1100还包括:
服务端第一信息获取模块1130,用于接受服务端的服务身份信息;
服务端第二信息获取模块1133,用于为服务端分配唯一的服务标识;
服务端第三信息获取模块1136,用于设置关联服务标识的对应数据资源的分类列表;
服务端第四信息获取模块1139,用于在分类列表中存储数据资源属性。
如图11所示,在本发明一实施例中,数据区块同步装置1100还包括:
资源属性第一获取模块1150,用于接受数据资源的文件属性;
资源属性第二获取模块1153,用于接受数据资源的创建者信息;
资源属性第三获取模块1156,用于接受数据资源的访问权限等级;
资源属性第四获取模块1159,用于接受数据资源的访问白名单;
资源属性第五获取模块1162,用于接受数据资源的数据摘要形成数据资源索引数值。
如图11所示,在本发明一实施例中,数据区块同步装置1100还包括:
激励初始化模块1170,用于设置客户端的激励计数器;
第一激励行为模块1173,用于当客户端成功向服务端上传数据资源时,客户端的激励计数器累加;
第二激励行为模块1176,用于当客户端同时是数据资源的创建者时,数据资源被下载时创建者的激励计数器累加;
第三激励行为模块1179,用于当被成功举报数据资源存在缺陷时,上传数据资源的客户端的激励计数器核减;
第四激励行为模块1182,用于当被成功举报数据资源存在违法时,上传数据资源的客户端权限降级。
如图11所示,在本发明一实施例中,权限交互控制装置1200包括:
接受客户请求模块1210,用于根据客户端请求确定客户端权限等级和目标数据资源访问权限等级;
第一凭证生成模块1213,用于当客户端对目标数据资源的操作类型与权限等级匹配的结果适配时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
凭证传输模块1220,用于将数据资源凭证反馈至客户端。
如图11所示,在本发明一实施例中,权限交互控制装置1200还包括:
白名单审核模块1233,用于当客户端对目标数据资源的操作类型与权限等级匹配的结果不适配时,审核客户端是否属于目标数据资源的访问白名单;
第二凭证生成模块1236,用于当审核客户端属于目标数据资源的访问白名单时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
附加权限等待模块1239,用于当审核客户端不属于目标数据资源的访问白名单时,等待客户端向目标数据资源创建者申请授权;
附加权限验证模块1242,用于当客户端提供获得的目标数据资源创建者提供的加密授权信息时,验证加密授权信息;
第三凭证生成模块1245,用于根据加密授权信息更新目标数据资源的访问白名单,并将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证。
本发明实施例的基于区块链的浏览权限控制***应用于供应链网络时,在区块链上的区块数据形成的客户端数据结构字段包括:
客户端ID,以层次化命名方式进行用户ID的分配,保证每个用户拥有唯一的标识ID;
level,用户权限等级,用户注册后初始等级为0级;
PK,签名的公钥;
rank,累计奖励积分数量,达到100后level增加一级同时rank数值清零;
index,对用户上传的资源进行哈希,得到对应的索引。
作为数据资源的订单数据结构字段包括:
OrderName:订单名;
Type:订单类型;
Owner:创建者;
level:资源权限等级,只有在客户端.level>=订单.level,此客户端(即用户)才有权限查询该资源;
Status:用户指定访问者的范围(白名单)。
供应链网络中的客户端包含生产商、加工商、分销商、零售商等类型角色。
供应链网络中的各个角色都在区块链浏览***中进行注册,获取到自身相对应的唯一的数字身份。
零售商向分销商发起订单,订单属性上链。分销商申请查看订单,整合时间周期内的所有订单后,向加工商发起批次订单,批次订单属性上链。为了保密可以提高批次订单的权限安全等级,也可以将对应的分销商与加工商加入订单的status字段。
加工商请求获取批次订单,整合时间周期内的批次订单,发起订货单,订货单属性上链。生产商获取订货单进行发货,并把发货单属性上链。为了保密可以提高订货单的安全等级。也可以将对应的商家加入订货单与发货单的status字段。
加工商确认发货单与订货单匹配后,将按照区块链上批次订单的分销商进行发货,并且将各自的分销发货单属性上链。也可以将对应的分销商家加入发货单的status字段。
分销商确认分销发货单与批次订单匹配后,将按照链上的零售商的订单进行发货,并且将各自的零售发货单属性上链。也可以将对应的零售商加入零售发货单的status字段。
零售商则确认自身上链的订单和分销商的零售发货单后,将确认收货。
整个供应链网络中的所有节点都将不能否认各自上链的相关单据。避免了后续可能存在质量问题的追溯,提供不可抵赖的证明。所有单据统一保存,各角色根据权限完成操作请求。涉及到保密、关键性的订单,管理层可以直接与确定角色申请权限,直接获得订单信息。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (10)
1.一种基于区块链的浏览权限控制方法,其特征在于,包括:
将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据;
接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证,使得所述客户端通过所述数据资源凭证获取服务端的目标数据资源。
2.如权利要求1所述的基于区块链的浏览权限控制方法,其特征在于,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
接受所述客户端的客户身份信息;
为所述客户端分配唯一的用户标识;
获取所述客户端的初始权限等级;
设置所述客户端上传的数据资源的索引空间。
3.如权利要求1所述的基于区块链的浏览权限控制方法,其特征在于,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
接受服务端的服务身份信息;
为服务端分配唯一的服务标识;
设置关联服务标识的对应数据资源的分类列表;
在所述分类列表中存储数据资源属性。
4.如权利要求1所述的基于区块链的浏览权限控制方法,其特征在于,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
接受所述数据资源的文件属性;
接受所述数据资源的创建者信息;
接受所述数据资源的访问权限等级;
接受所述数据资源的访问白名单;
接受所述数据资源的数据摘要形成数据资源索引数值。
5.如权利要求1所述的基于区块链的浏览权限控制方法,其特征在于,所述将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据包括:
设置所述客户端的激励计数器;
当所述客户端成功向所述服务端上传所述数据资源时,所述客户端的激励计数器累加;
当所述客户端同时是所述数据资源的创建者时,所述数据资源被下载时所述创建者的激励计数器累加;
当被成功举报所述数据资源存在缺陷时,上传所述数据资源的所述客户端的所述激励计数器核减;
当被成功举报所述数据资源存在违法时,上传所述数据资源的所述客户端权限降级。
6.如权利要求1所述的基于区块链的浏览权限控制方法,其特征在于,所述接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证包括:
根据客户端请求确定客户端权限等级和目标数据资源访问权限等级;
当所述客户端对目标数据资源的操作类型与权限等级匹配的结果适配时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
将所述数据资源凭证反馈至客户端。
7.如权利要求1所述的基于区块链的浏览权限控制方法,其特征在于,所述接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证包括:
根据客户端请求确定客户端权限等级和目标数据资源访问权限等级;
当所述客户端对目标数据资源的操作类型与权限等级匹配的结果不适配时,审核所述客户端是否属于目标数据资源的访问白名单;
当审核所述客户端属于所述目标数据资源的访问白名单时,将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
当审核所述客户端不属于所述目标数据资源的访问白名单时,等待所述客户端向目标数据资源创建者申请授权;
当所述客户端提供获得的目标数据资源创建者提供的签名授权信息时,验证签名授权信息;
根据所述加密授权信息更新目标数据资源的访问白名单,并将请求时间戳、客户端身份信息、操作类型、目标数据资源索引数值和访问时长利用服务身份信息签名形成数据资源凭证;
将所述数据资源凭证反馈至客户端。
8.一种基于区块链的浏览权限控制***,其特征在于,包括:
存储器,用于存储如权利要求1至7任一所述的基于区块链的浏览权限控制方法处理过程对应的程序代码;
处理器,用于执行所述程序代码。
9.一种基于区块链的浏览权限控制***,其特征在于,包括:
权限控制区块链节点,用于形成客户端注册信息、服务端标识、服务端的数据资源属性在区块链上同步的区块数据;
客户端,用于向服务端请求数据资源,根据获得的服务端数据资源凭证获取服务端的目标数据资源;
服务端,用于根据所述区块数据中所述客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证。
10.一种基于区块链的浏览权限控制***,其特征在于,包括:
数据区块同步装置,用于将客户端注册信息、服务端标识、服务端的数据资源属性形成同步在区块链上的区块数据;
权限交互控制装置,用于接受客户端数据资源请求,根据所述区块链上客户端注册信息与所述数据资源属性中数据资源访问权限的匹配度向所述客户端颁发数据资源凭证,使得所述客户端通过所述数据资源凭证获取服务端的目标数据资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010402287.6A CN111767551A (zh) | 2020-05-13 | 2020-05-13 | 一种基于区块链的浏览权限控制方法和控制*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010402287.6A CN111767551A (zh) | 2020-05-13 | 2020-05-13 | 一种基于区块链的浏览权限控制方法和控制*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111767551A true CN111767551A (zh) | 2020-10-13 |
Family
ID=72719089
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010402287.6A Pending CN111767551A (zh) | 2020-05-13 | 2020-05-13 | 一种基于区块链的浏览权限控制方法和控制*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111767551A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113010600A (zh) * | 2021-02-02 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种基于区块链的数据管理***、方法、相关设备及介质 |
| CN113378240A (zh) * | 2021-06-23 | 2021-09-10 | 浪潮云信息技术股份公司 | 一种基于区块链的同步调用用户身份认证方法 |
| CN113643006A (zh) * | 2021-10-13 | 2021-11-12 | 江苏荣泽信息科技股份有限公司 | 基于区块链的在线领取电子证照***及方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107480555A (zh) * | 2017-08-01 | 2017-12-15 | 中国联合网络通信集团有限公司 | 基于区块链的数据库访问权限控制方法及设备 |
| CN108965299A (zh) * | 2018-07-19 | 2018-12-07 | 清华大学 | 一种数据访问方法、访问验证设备及数据存储*** |
| CN109241753A (zh) * | 2018-08-09 | 2019-01-18 | 南京简诺特智能科技有限公司 | 一种基于区块链的数据共享方法和*** |
| CN109347941A (zh) * | 2018-10-10 | 2019-02-15 | 南京简诺特智能科技有限公司 | 一种基于区块链的数据共享平台及其实现方法 |
| CN109729168A (zh) * | 2018-12-31 | 2019-05-07 | 浙江成功软件开发有限公司 | 一种基于区块链的数据共享交换***及方法 |
| CN109787815A (zh) * | 2018-12-27 | 2019-05-21 | 云南财经大学 | 基于区块链的政务信息资源共享*** |
| CN110109930A (zh) * | 2019-05-15 | 2019-08-09 | 山东省计算中心(国家超级计算济南中心) | 基于区块链双链结构的政务数据存储、查询方法及*** |
| CN110636043A (zh) * | 2019-08-16 | 2019-12-31 | 中国人民银行数字货币研究所 | 一种基于区块链的文件授权访问方法、装置及*** |
| CN110650139A (zh) * | 2019-09-25 | 2020-01-03 | 四川师范大学 | 云平台的资源访问控制方法以及*** |
| CN110888938A (zh) * | 2019-09-02 | 2020-03-17 | 腾讯科技(深圳)有限公司 | 基于区块链网络的学生身份信息处理方法及装置 |
-
2020
- 2020-05-13 CN CN202010402287.6A patent/CN111767551A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107480555A (zh) * | 2017-08-01 | 2017-12-15 | 中国联合网络通信集团有限公司 | 基于区块链的数据库访问权限控制方法及设备 |
| CN108965299A (zh) * | 2018-07-19 | 2018-12-07 | 清华大学 | 一种数据访问方法、访问验证设备及数据存储*** |
| CN109241753A (zh) * | 2018-08-09 | 2019-01-18 | 南京简诺特智能科技有限公司 | 一种基于区块链的数据共享方法和*** |
| CN109347941A (zh) * | 2018-10-10 | 2019-02-15 | 南京简诺特智能科技有限公司 | 一种基于区块链的数据共享平台及其实现方法 |
| CN109787815A (zh) * | 2018-12-27 | 2019-05-21 | 云南财经大学 | 基于区块链的政务信息资源共享*** |
| CN109729168A (zh) * | 2018-12-31 | 2019-05-07 | 浙江成功软件开发有限公司 | 一种基于区块链的数据共享交换***及方法 |
| CN110109930A (zh) * | 2019-05-15 | 2019-08-09 | 山东省计算中心(国家超级计算济南中心) | 基于区块链双链结构的政务数据存储、查询方法及*** |
| CN110636043A (zh) * | 2019-08-16 | 2019-12-31 | 中国人民银行数字货币研究所 | 一种基于区块链的文件授权访问方法、装置及*** |
| CN110888938A (zh) * | 2019-09-02 | 2020-03-17 | 腾讯科技(深圳)有限公司 | 基于区块链网络的学生身份信息处理方法及装置 |
| CN110650139A (zh) * | 2019-09-25 | 2020-01-03 | 四川师范大学 | 云平台的资源访问控制方法以及*** |
Non-Patent Citations (1)
| Title |
|---|
| 章峰;史博轩;蒋文保;: "区块链关键技术及应用研究综述", 网络与信息安全学报 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113010600A (zh) * | 2021-02-02 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种基于区块链的数据管理***、方法、相关设备及介质 |
| CN113010600B (zh) * | 2021-02-02 | 2023-01-31 | 腾讯科技(深圳)有限公司 | 一种基于区块链的数据管理***、方法、相关设备及介质 |
| CN113378240A (zh) * | 2021-06-23 | 2021-09-10 | 浪潮云信息技术股份公司 | 一种基于区块链的同步调用用户身份认证方法 |
| CN113378240B (zh) * | 2021-06-23 | 2023-03-28 | 浪潮云信息技术股份公司 | 一种基于区块链的同步调用用户身份认证方法 |
| CN113643006A (zh) * | 2021-10-13 | 2021-11-12 | 江苏荣泽信息科技股份有限公司 | 基于区块链的在线领取电子证照***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10708070B2 (en) | System and method for utilizing connected devices to enable secure and anonymous electronic interaction in a decentralized manner | |
| Chen et al. | Trust architecture and reputation evaluation for internet of things | |
| CN111767527B (zh) | 基于区块链的数据权限控制方法、装置和计算机设备 | |
| CN107967416B (zh) | 版权维权检测的方法、装置和*** | |
| CN113742782B (zh) | 基于隐私保护的区块链访问权限控制方法和区块链*** | |
| CN109327481B (zh) | 一种基于区块链的全网统一在线认证方法及*** | |
| CN105516110B (zh) | 移动设备安全数据传送方法 | |
| US11979392B2 (en) | Systems and methods for managing device association | |
| CN111767551A (zh) | 一种基于区块链的浏览权限控制方法和控制*** | |
| US11729175B2 (en) | Blockchain folding | |
| CN105450750A (zh) | 智能终端安全交互方法 | |
| CN114547636A (zh) | 分布式账本*** | |
| CN111611554B (zh) | 基于联盟区块链的图档文件流转与追溯***及方法 | |
| Jeong et al. | An efficient authentication scheme to protect user privacy in seamless big data services | |
| CN113360458A (zh) | 一种基于联盟链的分布式文件存储共享*** | |
| EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
| Guo et al. | Using blockchain to control access to cloud data | |
| CN112311830B (zh) | 基于云存储的Hadoop集群的多租户认证***及方法 | |
| Yoon et al. | Blockchain-based object name service with tokenized authority | |
| Song et al. | Smart contract-based trusted content retrieval mechanism for NDN | |
| Xiong et al. | BDIM: A Blockchain-Based Decentralized Identity Management Scheme for Large Scale Internet of Things | |
| CN117118640A (zh) | 一种数据处理方法、装置、计算机设备以及可读存储介质 | |
| CN115563212A (zh) | 云链协同下供应链数据管理方法、装置、设备及存储介质 | |
| Rech et al. | A decentralized service-platform towards cross-domain entitlement handling | |
| Wang | Construction and Application of a New Metal Random Matrix‐Based Theory in a Numerical Phantom of the Metaverse NFT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |