CN114978771B - 一种基于区块链技术的数据安全共享方法及*** - Google Patents
一种基于区块链技术的数据安全共享方法及*** Download PDFInfo
- Publication number
- CN114978771B CN114978771B CN202210883132.8A CN202210883132A CN114978771B CN 114978771 B CN114978771 B CN 114978771B CN 202210883132 A CN202210883132 A CN 202210883132A CN 114978771 B CN114978771 B CN 114978771B
- Authority
- CN
- China
- Prior art keywords
- data
- consumer
- token
- data consumer
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本说明书实施例提供一种基于区块链技术的数据安全共享方法及***,属于数据共享领域,其中,所述***包括:身份管理组件,用于基于数据消费者的至少一个属性建立数据消费者对应的至少一个令牌,还用于在区块链上存储令牌;访问控制组件,用于基于数据消费者的数据访问请求验证数据消费者的令牌,并在令牌验证通过后授予数据消费者的访问权限,基于访问权限向数据消费者提供加密数据,数据消费者用于对加密数据进行解密,获取目标数据;日志和监控组件,用于记录授予访问权限的数据消费者的数据访问请求,还用于记录数据消费者对加密数据的解密操作,具有提高数据共享中的身份验证效率和数据的安全性的优点。
Description
技术领域
本说明书涉及数据共享领域,特别涉及一种基于区块链技术的数据安全共享方法及***。
背景技术
传统数据共享过程中,服务提供商采用的AAA客户端-服务器架构和服务级别协议(SLA),SLA是服务提供商和用户之间的协议,它定义了服务提供和交付的条款和条件,包括安全措施。此外,使用 SLA,用户数据的使用权被授予服务提供商。该架构中,每个服务提供商都运行自己的身份管理***,该***同时充当凭证提供者和身份提供者。服务提供商在其数据存储中保存用户身份验证信息的集合,例如用户名、密码、个人识别码、PIN(Personal Identification Number)、OTP(One-time Password)和基于用户先前答案的安全问题,以便在用户请求时将其与所提供的凭证进行匹配。
在AAA客户端-服务器架构中,用户数据将保存到中央服务器,服务提供商使用SLA可以完全访问这些数据,他们可以监视、跟踪、泄漏和控制这些数据。 这导致了用户数据脆弱性和欺诈。 因此,尽管数据属于用户,但它最终由服务提供商控制,这是数据隐私和安全性的关键问题之一。此外,SLA 要求服务提供商保证服务不会停机。因此,为了实现这一目标,服务提供商必须维护数据中心,以确保服务几乎100%的正常运行时间。这些数据中心的维护和操作是昂贵的,因为它需要大量的硬件用于计算、网络、存储、防火墙以及具有操作的冷却***,以确保服务的全天候支持。并且,该架构中,服务提供商也可以拒绝任何人的身份,或者执行虚假的验证。同时,基于该架构的在线服务数量的增加导致用户需要管理和保护的标识符和凭据过载,这不可避免地导致用户忘记或丢失不常使用的服务的密码。
因此,需要提供一种基于区块链技术的数据安全共享方法及***,用于提高数据共享中的身份验证效率和数据的安全性。
发明内容
本说明书实施例之一提供一种基于区块链技术的数据安全共享***,包括:身份管理组件,用于基于数据消费者的至少一个属性建立所述数据消费者对应的至少一个令牌,还用于在区块链上存储所述令牌;访问控制组件,用于基于所述数据消费者的数据访问请求验证所述数据消费者的令牌,并在所述令牌验证通过后授予所述数据消费者的访问权限,基于所述访问权限向所述数据消费者提供加密数据,所述数据消费者用于对所述加密数据进行解密,获取目标数据;日志和监控组件,用于记录授予所述访问权限的数据消费者的数据访问请求,还用于记录所述数据消费者对所述加密数据的解密操作。
可以理解的,基于区块链技术的数据安全共享***可以至少包括如下技术效果:1、使用区块链进行身份管理,基于链码/合约的联邦身份管理***来生成和存储基于令牌的身份,数据消费者可以选择他们想要使用的属性,基于数据消费者选择的属性生成令牌,由于这些令牌包含用户的属性,当与任何基于属性的访问控制模型结合使用时,它可以用于用户身份验证或授权,因为令牌存储在区块链网络上,这也保证了令牌的完整性,在生成和检索令牌方面非常有效,即使是在有大量并发请求的情况下;2、访问管理使用区块链,利用区块链,通过一种加密的方法来实现数据的安全共享,无需信任一个中央实体来管理对加密数据的访问,相反,访问控制策略通过链代码在链上公开存储和计算。使用区块链可以保证访问控制策略的透明性和完整性,保护策略评估过程;3、使用Intel SGX的可靠数据共享,依赖于使用Intel SGX实现的可信解密设备,数据提供者会保存所有获授权的数据访问请求的记录。只有那些数据访问请求被记录的数据消费者才能使用解密设备对加密数据进行解密;4、使用SGX提供的软件认证功能,可以确保设备没有被篡改,并允许数据提供者从部署的设备验证用户的公钥。
在一些实施例中,所述身份管理组件还用于:为每个所述令牌创建键-值对,其中,所述键-值对中的键为所述令牌对应的ID,所述键-值对中的值为所述令牌对应的字符串;所述键-值对存储在所述区块链上。
在一些实施例中,所述至少一个属性包括可变属性及不可变属性;所述数据消费者使用消费者公钥通过所述身份管理组件对所述可变属性进行修改。
在一些实施例中,所述身份管理组件包括第一密钥对,其中,所述第一密钥对用于进行所述令牌的加密及校验。
在一些实施例中,所述***还包括:数据提供端,用于数据提供者定义访问控制策略,还用于根据所述访问控制策略对所述数据提供者提供的数据进行加密,其中,所述访问控制策略及加密后的所述数据提供者提供的数据存储在所述区块链上;数据消费端,用于为数据消费者用户提供接口,还用于发送所述数据访问请求或接收所述加密数据并对所述加密数据进行解密。
在一些实施例中,所述访问控制组件包括第二密钥对,所述第二密钥对用于加密及校验所述访问控制策略。
在一些实施例中,所述数据提供端包括第三密钥对,所述第三密钥对用于加密验证数据。
在一些实施例中,所述数据消费者还用于:通过解密设备对所述加密数据进行解密,所述解密设备采用Intel SGX技术实现;所述解密设备通过第四密钥对进行所述数据消费者的解密请求进行验证。
在一些实施例中,所述日志和监控组件还用于记录所述数据访问请求的附加信息,其中,所述附加信息至少包括时间、来源、目标数据或操作。
本说明书实施例之一提供一种基于区块链技术的数据安全共享方法,所述方法包括:基于数据消费者的至少一个属性建立所述数据消费者对应的至少一个令牌;基于所述数据消费者的数据访问请求验证所述数据消费者的令牌;在所述令牌验证通过后授予所述数据消费者的访问权限;基于所述访问权限向所述数据消费者提供加密数据;所述数据消费者对所述加密数据进行解密,获取目标数据;记录授予所述访问权限的数据消费者的数据访问请求及所述数据消费者对所述加密数据的解密操作。
附图说明
本说明书将以示例性实施例的方式进一步说明,这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的,在这些实施例中,相同的编号表示相同的结构,其中:
图1是根据本说明书一些实施例所示的基于区块链技术的数据安全共享***的结构示意图;
图2是根据本说明书一些实施例所示的一种基于区块链140技术的数据安全共享方法的示例性流程示意图;
图中,110、身份管理组件;120、访问控制组件;130、日志和监控组件;140、区块链。
具体实施方式
为了更清楚地说明本说明书实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本说明书的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本说明书应用于其它类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。
应当理解,本文使用的“***”、“装置”、“单元”和/或“模块”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而,如果其他词语可实现相同的目的,则可通过其他表达来替换所述词语。
如本说明书和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其它的步骤或元素。
本说明书中使用了流程图用来说明根据本说明书的实施例的***所执行的操作。应当理解的是,前面或后面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各个步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
图1是根据本说明书一些实施例所示的基于区块链140技术的数据安全共享***的结构示意图。如图1所示,基于区块链140技术的数据安全共享***可以包括身份管理组件110、访问控制组件120、日志和监控组件130及区块链140。
身份管理组件110可以用于基于数据消费者的至少一个属性建立数据消费者对应的至少一个令牌,还用于在区块链140上存储令牌。
身份管理组件110可以包括驻留在区块链140上的链码和/或合约。
属性是通常用于区分一个人和其他人的个人信息,属性可以包括但不限于姓名、出生日期、证件ID(例如,身份证号)、电子邮件、地址、生物特征等信息,其中,生物特征信息可以包括人脸、指纹、瞳孔等信息。在一些实施例中,令牌对应的至少一个属性包括可变属性及不可变属性,其中,可变属性是指可以进行更改的属性,例如,姓名、电子邮件、地址等,不可变属性是指可以不进行更改的属性,例如,证件ID、生物特征信息等。
在一些实施例中,一个数据消费者可以申请多个令牌,每个令牌对应的属性的组合可以不同。例如,数据消费者1申请的第一令牌包括姓名及证件ID,数据消费者1申请的第二令牌包括电子邮件及人脸。
在一些实施例中,身份管理组件110可以包括一个区块链140契约,用于在区块链140上存储令牌。当数据提供者试图对数据消费者进行身份验证时,数据消费者必须能够验证所涉及的令牌是否有效。
在一些实施例中,身份管理组件110还用于为每个令牌创建键-值对,其中,键-值对中的键为令牌对应的ID,键-值对中的值为令牌对应的字符串。身份管理组件110将键-值对存储在区块链140上。具体的,令牌是JSON对象,因此可以将令牌转换为字符串,令牌ID是赋予每个令牌的唯一值,令牌ID可以为随机值,使用令牌ID而不是令牌对应的哈希用于对令牌本身的引用、检索或更新,因为令牌中的任何更改(例如,更新属性的字段)都会生成一个全新的哈希。可以通过令牌ID查询到令牌对应的属性。
在一些实施例中,身份管理组件110可以使用数据消费者的消费者公钥作为Nym值,将令牌与该数据消费者链接起来。
在一些实施例中,数据消费者使用消费者公钥通过身份管理组件110对可变属性进行修改。具体的,身份管理组件110可以首先验证请求中的Nym值,然后更新对应的令牌的属性。
在一些实施例中,身份管理组件110包括第一密钥对(V KIdMgr和SKIdMgr),第一密钥对用于进行令牌的加密及校验。
数据消费者可以使用经过身份验证的令牌向数据提供者证明他们有权访问某个特定的片段数据。
访问控制组件120可以用于基于数据消费者的数据访问请求验证数据消费者的令牌,并在令牌验证通过后授予数据消费者的访问权限,基于访问权限向数据消费者提供加密数据,数据消费者用于对加密数据进行解密,获取目标数据。
访问控制组件120 (Access Control Manager,ACM)可以用于存储和评估区块链140上的访问控制策略。在获得授权后,访问控制组件120会处理数据消费者的数据访问请求,并为数据消费者提供加密的数据。访问控制组件120可以包括驻留在区块链140上的链码和/或合约。
在一些实施例中,基于区块链140技术的数据安全共享***还可以包括数据提供端(Data Provider Application),用于数据提供者定义访问控制策略,还用于根据访问控制策略对数据提供者提供的数据进行加密,其中,访问控制策略及加密后的数据提供者提供的数据存储在区块链140上。数据提供端可以用于维护链下存储(本地),使用对称密码以加密格式存储的个人数据,并且允许在数据所有者撤回同意的情况下从***中删除数据。基于区块链140技术的数据安全共享***允许数据提供者(即充当数据控制器的组织)以不同的权限级别和粒度共享个人数据,同时遵守GDPR(General Data ProtectionRegulation)的透明度和问责原则。
在一些实施例中,数据提供端可以包括第三密钥对(V KDP和SKDP),第三密钥对用于加密解密数据。
在一些实施例中,基于区块链140技术的数据安全共享***还可以包括数据消费端(Data Consumer Application),用于为数据消费者用户提供接口,还用于发送数据访问请求或接收加密数据并对加密数据进行解密。为数据消费者用户提供接口的应用程序,用于与其他实体 通信(数据提供者),请求访问数据。每个数据消费端给定消费者密钥对(VKDC和SKDC),用于数字签名方案,EKDC和DKDC基于非对称密码方案保护数据,每个数据消费端还需要给定一个唯一的数据消费者的标识DCnym,数据消费者用于将数据访问请求与数据消费者相关联。在一些实施例中,DCnym可以为数据消费者的消费者公钥。
在一些实施例中,数据消费端可以通过解密设备对加密数据进行解密,解密设备采用Intel SGX技术实现。解密设备通过第四密钥对进行数据消费者的解密请求进行验证。具体的,每个数据消费端都有一个专用的解密设备,在这个设备中,数据消费端可以被视为一个中继,用来将数据传入和传出解密设备。该设备包含一个可信代码,该代码运行在一个名为“enclave”的可信空间中,以重建密钥K,然后执行解密。
日志和监控组件130可以用于记录授予访问权限的数据消费者的数据访问请求,还用于记录数据消费者对加密数据的解密操作。
日志和监控组件130可受信任储存来自获授权数据消费者的所有访问请求。日志和监控组件130的主要功能是记录每个加密数据交付给数据消费者后的数据访问日志,每个数据提供者必须保存自己的日志。
日志和监控组件130应满足以下要求:1、每次对数据的授权访问都应正确并自动记录;2、数据解密(实际数据访问)只能在访问请求后进行记录;3、日志应该包含数据访问请求的附加信息,其中,附加信息可以至少包括时间、来源、目标数据或操作;4、日志文件本身必须是安全的(防篡改)防止非法***、删除及恶意修改。
在一些实施例中,基于区块链140技术的数据安全共享***在一个可信的执行环境(即Intel SGX)上运行一个安全日志协议,该协议由Ryan(2017)采用,安全日志协议检测数据是如何被处理的、由谁处理、目的是什么。数据解密过程的完整性由Intel SGX保证,而日志的完整性由强加密保证。日志作为获得授权访问个人数据的证明,并防止内部威胁。记录使数据主体和数据控制器能够审计内部处理,并监视***中不适当的访问或披露数据,验证任何处理的合法性,并确保个人数据的完整性和安全性。在每次请求数据解密时,SGX都使用加密数据和一些公共信息安全地构造一个解密密钥,而不是缓存在解密设备中的单个解密密钥。
区块链140用于存储令牌、访问控制策略和对加密数据的引用。
存储在区块链140上的数据和计算的完整性由一组运行共识协议的称为矿工的节点来保证。因此,区块链140基础设施提供了所需的安全级别和透明度,以分散的方式运行基于区块链140技术的数据安全共享***的组件,而不需要依赖第三方服务。区块链140后端为基于区块链140技术的数据安全共享***提供了数据和流程完整性和可审计性。具体来说,基于区块链140技术的数据安全共享***使用区块链140来确保用户的身份属性和访问控制策略不被恶意用户修改。区块链140也保证了政策评估过程的完整性,因为所有区块链140操作都是以一种完全分散的方式进行的。该技术的定义特征之一是它提供的可问责性和可追溯性。政策和政策评估的透明度是数据提供者显示其遵守GDPR问责制和透明度原则的一种方式。
在一些实施例中,基于区块链140技术的数据安全共享***可以至少包括如下技术效果:1、使用区块链140进行身份管理,基于链码/合约的联邦身份管理***来生成和存储基于令牌的身份,数据消费者可以选择他们想要使用的属性,基于数据消费者选择的属性生成令牌,由于这些令牌包含用户的属性,当与任何基于属性的访问控制模型结合使用时,它可以用于用户身份验证或授权,因为令牌存储在区块链140网络上,这也保证了令牌的完整性,在生成和检索令牌方面非常有效,即使是在有大量并发请求的情况下;2、访问管理使用区块链140,利用区块链140,通过一种加密的方法来实现数据的安全共享,无需信任一个中央实体来管理对加密数据的访问,相反,访问控制策略通过链代码在链上公开存储和计算。使用区块链140可以保证访问控制策略的透明性和完整性,保护策略评估过程;3、使用Intel SGX的可靠数据共享,依赖于使用Intel SGX实现的可信解密设备,数据提供者会保存所有获授权的数据访问请求的记录。只有那些数据访问请求被记录的数据消费者才能使用解密设备对加密数据进行解密;4、使用SGX提供的软件认证功能,可以确保设备没有被篡改,并允许数据提供者从部署的设备验证用户的公钥。
需要注意的是,以上对于基于区块链140技术的数据安全共享***及其模块的描述,仅为描述方便,并不能把本说明书限制在所举实施例范围之内。可以理解,对于本领域的技术人员来说,在了解该***的原理后,可能在不背离这一原理的情况下,对各个模块进行任意组合,或者构成子***与其他模块连接。诸如此类的变形,均在本说明书的保护范围之内。
图2是根据本说明书一些实施例所示的一种基于区块链140技术的数据安全共享方法的示例性流程示意图。在一些实施例中,基于区块链140技术的数据安全共享方法可以由基于区块链140技术的数据安全共享***执行。如图2所示,基于区块链140技术的数据安全共享方法可以包括如下步骤。
步骤210,基于数据消费者的至少一个属性建立数据消费者对应的至少一个令牌。
步骤220,基于数据消费者的数据访问请求验证数据消费者的令牌。
步骤230,在令牌验证通过后授予数据消费者的访问权限。
步骤240,基于访问权限向数据消费者提供加密数据。
步骤250,数据消费者对加密数据进行解密,获取目标数据。
步骤260,记录授予访问权限的数据消费者的数据访问请求及数据消费者对加密数据的解密操作。
上文已对基本概念做了描述,显然,对于本领域技术人员来说,上述详细披露仅仅作为示例,而并不构成对本说明书的限定。虽然此处并没有明确说明,本领域技术人员可能会对本说明书进行各种修改、改进和修正。该类修改、改进和修正在本说明书中被建议,所以该类修改、改进、修正仍属于本说明书示范。
同时,本说明书使用了特定词语来描述本说明书的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本说明书至少一个实施例相关的某一特征、结构或特点。因此,应强调并注意的是,本说明书中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一个替代性实施例”并不一定是指同一实施例。此外,本说明书的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。
此外,除非权利要求中明确说明,本说明书所述处理元素和序列的顺序、数字字母的使用、或其他名称的使用,并非用于限定本说明书流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例,但应当理解的是,该类细节仅起到说明的目的,附加的权利要求并不仅限于披露的实施例,相反,权利要求旨在覆盖所有符合本说明书实施例实质和范围的修正和等价组合。例如,虽然以上所描述的***组件可以通过硬件设备实现,但是也可以只通过软件的解决方案得以实现,如在现有的服务器或移动设备上安装所描述的***。
同理,应当注意的是,为了简化本说明书披露的表述,从而帮助对一个或多个发明实施例的理解,前文对本说明书实施例的描述中,有时会将多种特征归并至一个实施例、附图或对其的描述中。但是,这种披露方法并不意味着本说明书对象所需要的特征比权利要求中提及的特征多。实际上,实施例的特征要少于上述披露的单个实施例的全部特征。
针对本说明书引用的每个专利、专利申请、专利申请公开物和其他材料,如文章、书籍、说明书、出版物、文档等,特此将其全部内容并入本说明书作为参考。与本说明书内容不一致或产生冲突的申请历史文件除外,对本说明书权利要求最广范围有限制的文件(当前或之后附加于本说明书中的)也除外。需要说明的是,如果本说明书附属材料中的描述、定义、和/或术语的使用与本说明书所述内容有不一致或冲突的地方,以本说明书的描述、定义和/或术语的使用为准。
最后,应当理解的是,本说明书中所述实施例仅用以说明本说明书实施例的原则。其他的变形也可能属于本说明书的范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导一致。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。
Claims (7)
1.一种基于区块链技术的数据安全共享***,其特征在于,包括:
身份管理组件,用于基于数据消费者的至少一个属性建立所述数据消费者对应的至少一个令牌,还用于在区块链上存储所述令牌;
所述身份管理组件基于数据消费者的至少一个属性建立所述数据消费者对应的至少一个令牌,包括:
基于所述数据消费者的至少一个可变属性及至少一个不可变属性,建立所述数据消费者对应的至少一个令牌,其中,所述至少一个可变属性包括姓名、电子邮件、地址,所述至少一个不可变属性包括证件ID、生物特征信息,所述消费者的任意两个令牌的对应的属性的组合不同;
所述身份管理组件还用于:为每个所述令牌创建键-值对,其中,所述键-值对中的键为所述令牌对应的ID,所述键-值对中的值为所述令牌对应的字符串;所述键-值对存储在所述区块链上;
所述身份管理组件还用于:使用数据消费者的消费者公钥作为Nym值,将令牌与所述数据消费者链接起来;
所述身份管理组件基于所述令牌对应的ID对所述令牌进行引用、检索或更新;
所述数据消费者使用消费者公钥通过身份管理组件对所述可变属性进行修改;
每个数据消费端都有一个专用的解密设备,所述解密设备包含一个可信代码,该代码运行在可信空间中,以重建密钥K,然后执行解密;
访问控制组件,用于基于所述数据消费者的数据访问请求验证所述数据消费者的令牌,并在所述令牌验证通过后授予所述数据消费者的访问权限,基于所述访问权限向所述数据消费者提供加密数据,所述数据消费者用于对所述加密数据进行解密,获取目标数据;
日志和监控组件,用于记录授予所述访问权限的数据消费者的数据访问请求,还用于记录所述数据消费者对所述加密数据的解密操作。
2.如权利要求1所述的基于区块链技术的数据安全共享***,其特征在于,所述身份管理组件包括第一密钥对,其中,所述第一密钥对用于进行所述令牌的加密及校验。
3.如权利要求1所述的基于区块链技术的数据安全共享***,其特征在于,还包括:
数据提供端,用于数据提供者定义访问控制策略,还用于根据所述访问控制策略对所述数据提供者提供的数据进行加密,其中,所述访问控制策略及加密后的所述数据提供者提供的数据存储在所述区块链上;
数据消费端,用于为数据消费者用户提供接口,还用于发送所述数据访问请求或接收所述加密数据并对所述加密数据进行解密。
4.如权利要求3所述的基于区块链技术的数据安全共享***,其特征在于,所述访问控制组件包括第二密钥对,所述第二密钥对用于加密及校验所述访问控制策略。
5.如权利要求1所述的基于区块链技术的数据安全共享***,其特征在于,数据提供端包括第三密钥对,所述第三密钥对用于加密验证数据。
6.如权利要求1-5任意一项所述的基于区块链技术的数据安全共享***,其特征在于,所述日志和监控组件还用于记录所述数据访问请求的附加信息,其中,所述附加信息至少包括时间、来源、目标数据或操作。
7.一种基于区块链技术的数据安全共享方法,其特征在于,包括:
预先基于数据消费者的至少一个属性建立所述数据消费者对应的至少一个令牌;
其中,所述预先基于数据消费者的至少一个属性建立所述数据消费者对应的至少一个令牌,包括:
基于所述数据消费者的至少一个可变属性及至少一个不可变属性,建立所述数据消费者对应的至少一个令牌,其中,所述至少一个可变属性包括姓名、电子邮件、地址,所述至少一个不可变属性包括证件ID、生物特征信息,所述消费者的任意两个令牌的对应的属性的组合不同;
使用数据消费者的消费者公钥作为Nym值,将令牌与所述数据消费者链接起来;
为每个所述令牌创建键-值对,其中,所述键-值对中的键为所述令牌对应的ID,所述键-值对中的值为所述令牌对应的字符串;所述键-值对存储在所述区块链上;
数据消费者使用消费者公钥通过身份管理组件对所述可变属性进行修改,基于所述令牌对应的ID对所述令牌进行引用、检索或更新;
接收数据消费者的数据访问请求,并基于所述数据消费者的数据访问请求验证所述数据消费者的令牌;
在所述令牌验证通过后授予所述数据消费者的访问权限;
基于所述访问权限向所述数据消费者提供加密数据;
所述数据消费者对所述加密数据进行解密,获取目标数据;
记录授予所述访问权限的数据消费者的数据访问请求及所述数据消费者对所述加密数据的解密操作;
所述数据消费者对所述加密数据的解密操作,包括:
数据消费端通过解密设备对所述加密数据的解密操作,所述解密设备包含一个可信代码,该代码运行在可信空间中,以重建密钥K,然后执行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210883132.8A CN114978771B (zh) | 2022-07-26 | 2022-07-26 | 一种基于区块链技术的数据安全共享方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210883132.8A CN114978771B (zh) | 2022-07-26 | 2022-07-26 | 一种基于区块链技术的数据安全共享方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978771A CN114978771A (zh) | 2022-08-30 |
| CN114978771B true CN114978771B (zh) | 2023-06-02 |
Family
ID=82968698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210883132.8A Active CN114978771B (zh) | 2022-07-26 | 2022-07-26 | 一种基于区块链技术的数据安全共享方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978771B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639687A (zh) * | 2016-09-14 | 2019-04-16 | 甲骨文国际公司 | 用于提供基于云的身份和访问管理的***、方法和介质 |
| CN113761583A (zh) * | 2021-09-30 | 2021-12-07 | 西安理工大学 | 在区块链上的基于属性的访问控制方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462568B (zh) * | 2018-02-11 | 2021-08-06 | 西安电子科技大学 | 一种基于区块链的安全文件存储和共享方法、云存储*** |
| KR102342021B1 (ko) * | 2019-11-25 | 2021-12-22 | 서강대학교 산학협력단 | 속성을 기반으로 한 블록체인 네트워크에서의 접근 권한 제어 시스템 및 접근 권한 제어 방법 |
| CN111901302B (zh) * | 2020-06-28 | 2022-02-25 | 石家庄铁道大学 | 基于区块链的医疗信息属性加密访问控制方法 |
| CN114513533B (zh) * | 2021-12-24 | 2023-06-27 | 北京理工大学 | 一种分类分级健身健康大数据共享***及方法 |
| CN114567639B (zh) * | 2022-03-03 | 2023-08-18 | 临沂大学 | 一种基于区块链的轻量级访问控制***及方法 |
-
2022
- 2022-07-26 CN CN202210883132.8A patent/CN114978771B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639687A (zh) * | 2016-09-14 | 2019-04-16 | 甲骨文国际公司 | 用于提供基于云的身份和访问管理的***、方法和介质 |
| CN113761583A (zh) * | 2021-09-30 | 2021-12-07 | 西安理工大学 | 在区块链上的基于属性的访问控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| Xiaodong Yang ; Ting Li ; Xizhen Pei ; Long Wen ; Caifen Wang.Medical Data Sharing Scheme Based on Attribute Cryptosystem and Blockchain Technology.IEEE.2020,第8卷第1-8页. * |
| 应用区块链的数据访问控制与共享模型;王秀利;江晓舟;李洋;;软件学报(第06期);第91-99页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978771A (zh) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11606352B2 (en) | Time-based one time password (TOTP) for network authentication | |
| US20210224411A1 (en) | Integration of a block chain, managing group authority and access in an enterprise environment | |
| US11711222B1 (en) | Systems and methods for providing authentication to a plurality of devices | |
| US10348706B2 (en) | Assuring external accessibility for devices on a network | |
| US20240073003A1 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
| CN106888084B (zh) | 一种量子堡垒机***及其认证方法 | |
| US10771467B1 (en) | External accessibility for computing devices | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| WO2021139338A1 (zh) | 一种数据访问权限验证方法、装置、计算机设备及存储介质 | |
| JP2018529299A (ja) | 生体認証プロトコル標準のシステムおよび方法 | |
| Sauber et al. | A new secure model for data protection over cloud computing | |
| GB2598296A (en) | Digital storage and data transport system | |
| CN111538973A (zh) | 基于国密算法的个人授权访问控制*** | |
| CN114978771B (zh) | 一种基于区块链技术的数据安全共享方法及*** | |
| JP2022162998A (ja) | 非接続デバイス内のユーザを認証する2要素認証 | |
| CN108345801B (zh) | 一种面向密文数据库的中间件动态用户认证方法及*** | |
| AU2017412654B2 (en) | Assuring external accessibility for devices on a network | |
| KR20050003587A (ko) | 보안 시스템 및 그의 접근 제어 방법 | |
| Sauber et al. | Research Article A New Secure Model for Data Protection over Cloud Computing | |
| CN117313144A (zh) | 敏感数据的管理方法、装置、存储介质和电子设备 | |
| Kowalski | CRYPTOBOX V2. | |
| Galibus et al. | Cloud Storage Security Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |