CN116167079A - 基于区块链的数据安全防控方法、装置及存储介质 - Google Patents
基于区块链的数据安全防控方法、装置及存储介质 Download PDFInfo
- Publication number
- CN116167079A CN116167079A CN202310096592.0A CN202310096592A CN116167079A CN 116167079 A CN116167079 A CN 116167079A CN 202310096592 A CN202310096592 A CN 202310096592A CN 116167079 A CN116167079 A CN 116167079A
- Authority
- CN
- China
- Prior art keywords
- data
- target
- preset database
- blockchain
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种基于区块链的数据安全防控方法、装置及存储介质,涉及通信领域,能够解决无法及时准确地发现数据安全的问题。该方法包括:接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;获取该目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;在上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。本申请实施例用于监测数据安全的过程中。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种基于区块链的数据安全防控方法、装置及存储介质。
背景技术
目前,数据已成为第五大生产要素,而要完成数据的市场化配置,信息安全是重中之重。
现有技术中,常见的安全防御技术是通过用户身份认证,在认证成功后进入计算机***,接着再根据用户身份信息、角色信息与访问权限,访问计算机***中的文件和目录等资源。
然而,上述安全防御技术存在人为篡改的风险,例如,在临时用户被授权访问***之后,若将该临时访问的访问记录删除,则会导致无法及时准确地发现数据安全问题。
发明内容
本申请提供一种基于区块链的数据安全防控方法、装置及存储介质,能够解决无法及时准确地发现数据安全的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种基于区块链的数据安全防控方法,该方法包括:接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;获取该目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;在上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。
基于上述技术方案,本申请实施例提供的基于区块链的数据安全防控方法,通过接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;获取该目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;在上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。由于区块链技术具有不可篡改的特点,所以保存在上述目标区块链中的数据不可能被篡改,因此,在业务访问时,进行数据库和区块链的双重校验,可以及时发现上述业务访问是否合法,从而可以及时准确地发现数据安全问题。
在第一方面的第一种可能的实现方式中,上述接收目标用户的业务访问请求之前,上述方法还包括:创建上述目标区块链,该目标区块链包括安全调用接口,该安全调用接口用于传输数据;将上述预设数据库中的至少一个第一数据,通过上述安全调用接口上传至上述目标区块链中存储,上述至少一个第一数据包括上述至少一个权限数据,每个上述第一数据分别包括一个权限数据。
在第一方面的第二种可能的实现方式中,上述预设数据库和上述目标区块链中还包括用户数据,该用户数据用于表征上述预设数据库和上述目标区块链的历史访问用户;上述执行所述目标业务的访问操作之后,上述方法还包括:在上述预设数据库与上述目标区块链中的用户数据不匹配的情况下,确定上述预设数据库的历史访问用户中存在未被授权的非法用户。
在第一方面的第三种可能的实现方式中,上述预设数据库和上述目标区块链中还包括日志数据,该日志数据用于表征上述预设数据库和上述目标区块链的历史操作记录;上述执行所述目标业务的访问操作之后,上述方法还包括:在上述预设数据库与上述目标区块链中的日志数据匹配的情况下,确定上述预设数据库中的日志数据为可信日志数据。
在第一方面的第四种可能的实现方式中,上述确定上述预设数据库中的日志数据为可信日志数据之后,上述方法还包括:基于上述可信日志数据,对上述预设数据库执行审计操作,该审计操作用于验证上述预设数据库的安全性。
第二方面,本申请提供一种基于区块链的数据安全防控装置,该装置包括:接收单元、获取单元和执行单元,其中:上述接收单元,用于接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;上述获取单元,用于获取上述目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;上述执行单元,用于在获取单元获取的上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。
在第二方面的第一种可能的实现方式中,上述装置还包括:发送单元,其中:上述执行单元,还用于在接收单元接收目标用户的业务访问请求之前,创建上述目标区块链,该目标区块链包括安全调用接口,该安全调用接口用于传输数据;上述发送单元,用于将上述预设数据库中的至少一个第一数据,通过上述安全调用接口上传至上述目标区块链中存储,上述至少一个第一数据包括上述至少一个权限数据,每个上述第一数据分别包括一个权限数据。
在第二方面的第二种可能的实现方式中,上述预设数据库和上述目标区块链中还包括用户数据,上述用户数据用于表征上述预设数据库和上述目标区块链的历史访问用户;上述执行单元,还用于在上述执行上述目标业务的访问操作之后,在上述预设数据库与上述目标区块链中的用户数据不匹配的情况下,确定上述预设数据库的历史访问用户中存在未被授权的非法用户。
在第二方面的第三种可能的实现方式中,上述预设数据库和上述目标区块链中还包括日志数据,该日志数据用于表征上述预设数据库和上述目标区块链的历史操作记录;上述执行单元,还用于在上述执行上述目标业务的访问操作之后,在上述预设数据库与上述目标区块链中的日志数据匹配的情况下,确定上述预设数据库中的日志数据为可信日志数据。
在第二方面的第四种可能的实现方式中,上述执行单元,还用于在上述确定上述预设数据库中的日志数据为可信日志数据之后,基于上述可信日志数据,对上述预设数据库执行审计操作,该审计操作用于验证上述预设数据库的安全性。
第三方面,本申请提供了一种基于区块链的数据安全防控装置,该装置包括:处理器和通信接口;通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的基于区块链的数据安全防控方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在终端上运行时,使得终端执行如第一方面和第一方面的任一种可能的实现方式中描述的基于区块链的数据安全防控方法。
第五方面,本申请实施例提供一种包含指令的计算机程序产品,当计算机程序产品在基于区块链的数据安全防控装置上运行时,使得基于区块链的数据安全防控装置执行如第一方面和第一方面的任一种可能的实现方式中所描述的基于区块链的数据安全防控方法。
第六方面,本申请实施例提供一种芯片,芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的基于区块链的数据安全防控方法。
具体的,本申请实施例中提供的芯片还包括存储器,用于存储计算机程序或指令。
附图说明
图1为本申请实施例提供的一种基于区块链的数据安全防控方法的方法流程图;
图2为本申请实施例提供的一种基于区块链的数据安全防控方法的内部流程图之一;
图3为本申请实施例提供的一种基于区块链的数据安全防控方法的内部流程图之二;
图4为本申请实施例提供的一种基于区块链的数据安全防控方法的内部流程图之三;
图5为本申请实施例提供的一种基于区块链的数据安全防控装置的结构示意图;
图6为本申请实施例提供的另一种基于区块链的数据安全防控装置的结构示意图;
图7为本申请实施例提供的一种芯片的结构示意图。
具体实施方式
下面结合附图对本申请实施例提供的基于区块链的数据安全防控方法、装置及存储介质进行详细地描述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
以下,对本申请实施例涉及的名词进行解释,以方便读者理解。
(1)区块链技术
区块链技术具有不可篡改、多方共识、公开透明等特点,为多主体间为创造信任奠定了技术基础,例如可以更好地保障数据跨机构使用过程中所有权的权益,防止数据被篡改或违规使用。
(2)信息安全
信息安全,国际标准化组织的定义为:为数据处理***建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
目前,信息安全关注的主要问题是数据的保密性、完整性和可用性。常见的安全防御技术包括入侵检测技术、防火墙以及病毒防护技术、数字签名以及生物识别技术、信息加密处理与访问控制技术、安全审计技术等。在相关技术中,常见安全防御技术,本身一定程度上都存在被黑客从外部攻破的风险,同时,对于内部人为作恶等情形,进一步加剧了***被“里应外合”攻破的风险。对于以上不对称或不透明的风险,当前的技术手段难以招架,并且发生该类安全问题后难以及时发现。具体地:
访问控制技术是访问控制与权限管理的最常见方法。例如,基于角色的访问控制,指的是用户可通过身份认证进入计算机***,根据用户身份、角色与资源访问权限,访问计算机***中的文件和目录等资源。而该方法存在人为篡改、违规授权等潜在风险,导致非法访问的出现。
举例说明,管理员临时给普通用户A增加某重要资源的查询权限,在普通用户A完成违规查询后,再将临时权限数据删除,这使得***发生安全问题后,难以追踪定位。
安全审计技术以常见的日志方法为例。存储在数据库中的日志数据可能存在从源头上被人为篡改风险,这也将大大降低安全审计的效力。
举例说明,***被黑客攻破后,重要资源的访问日志记录又遭删除,使得业务安全运营方面的检查与审计手段的失灵,导致出现***安全问题后不能被及时发现。
为了解决现有技术中,无法及时准确地发现数据安全的问题,本申请提供了一种基于区块链的数据安全防控方法,接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;获取该目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;在上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。由于区块链技术具有不可篡改的特点,所以保存在上述目标区块链中的数据不可能被篡改,因此,在业务访问时,进行数据库和区块链的双重校验,可以及时发现上述业务访问是否合法,从而可以及时准确地发现数据安全问题。
如图1所示,为本申请实施例提供的基于区块链的数据安全防控方法的流程图,该方法包括以下步骤S101至步骤S103:
S101、接收目标用户的业务访问请求。
在本申请实施例中,上述业务访问请求用于上述目标用户请求访问目标业务。
示例性地,上述目标用户可以为其他电子设备的用户,也可以为本地电子设备的用户。
示例性地,上述业务访问请求可以包括:查询请求、下载请求、上传请求等。
在本申请实施例中,上述业务访问请求可以分为两种类型:合法访问请求和非法访问请求。
示例性地,上述合法访问请求用于表示该访问请求被授权允许。
示例性地,上述非法访问请求用于表示该访问请求未被授权允许。
S102、获取目标业务的第一权限数据。
在本申请实施例中,上述第一权限数据用于表征允许访问上述目标业务的用户。
示例性地,上述允许访问上述目标业务的用户对应的访问请求即为合法访问请求。
S103、在第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行目标业务的访问操作。
在本申请实施例中,上述预设数据库和上述目标区块链中均包括至少一个权限数据。
在本申请实施例中,每个权限数据分别用于表征允许访问一个业务的用户。
在本申请实施例中,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。
示例性地,上述预设数据库可以为业务数据库,该业务数据库可以存储上述业务对应的数据信息。
在本申请实施例中,上述目标区块链可以为用户新创建的。对于区块链的详细说明,可以参照上述名词解释部分的说明,此处不再赘述。
举例说明,如图2所示,在接收到业务访问请求时,会进行数据库权限检查(即上述预设数据库)和区块链权限检查(即上述目标区块链)的双重校验,在该双重校验检查都验证成功(即上述均匹配)的情况下,才会将该业务访问请求判定为合法的访问请求,以执行对应的访问操作。
在本申请实施例提供的基于区块链的数据安全防控中,通过接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;获取该目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;在上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。由于区块链技术具有不可篡改的特点,所以保存在上述目标区块链中的数据不可能被篡改,因此,在业务访问时,进行数据库和区块链的双重校验,可以及时发现上述业务访问是否合法,从而可以及时准确地发现数据安全问题。
可选的,在本申请实施例中,上述步骤S101之前,本申请实施例提供的基于区块链的数据安全防控方法还可以包括如下步骤S201和步骤S202:
S201、创建目标区块链。
在本申请实施例中,上述目标区块链包括安全调用接口。
在本申请实施例中,上述安全调用接口用于传输数据。
在本申请实施例中,可以先搭建一条区块链,然后以联盟链模式对外提供安全的存证调用接口。
S202、将预设数据库中的至少一个第一数据,通过安全调用接口上传至目标区块链中存储。
在本申请实施例中,上述至少一个第一数据包括上述至少一个权限数据。
需要说明的是,每个上述第一数据分别包括一个权限数据。
示例性地,上述第一数据可以包括组织、用户、角色、权限和日志的有关数据。
在本申请实施例中,可以将组织、用户、角色、权限和日志的有关数据通过上述存证调用接口,保存在上述目标区块链中,以从数据源头上,确保业务数据库和区块链上有两套完全一致的数据。
如此,通过将数据保存至区块链中,可以使得区块链中的数据始终保持不变,保证了后续进行校验时,校验结果的有效性。
可选地,在本申请实施例中,上述预设数据库和上述目标区块链中还包括用户数据;上述步骤S103之后,本申请实施例提供的基于区块链的数据安全防控方法还可以包括如下步骤S104:
S104、在预设数据库与目标区块链中的用户数据不匹配的情况下,确定预设数据库的历史访问用户中存在未被授权的非法用户。
在本申请实施例中,上述用户数据用于表征上述预设数据库和上述目标区块链的历史访问用户。
示例性地,用户在对预设数据库进行业务访问之后,预设数据库会将该用户的用户数据存储。
举例说明,如图3所示,可以定时或实时的进行预设数据库和目标区块链上的对比巡检,如将数据库用户表(即预设数据库的用户数据)与区块链用户表(即目标区块链的用户数据)逐一比对,在两个用户表不相同的情况下,证明数据库用户表中存在非法用户。
在本申请实施例中,上述对预设数据库和目标区块链中的用户数据进行对比校验,可以让数据异常透明化,可视化,让违规授权等风险提前暴露,减少***安全隐患。
如此,通过对比数据库和区块链中的历史访问用户,可以清楚的确定出是否存在非法用户,保证了数据的安全性。
可选地,在本申请实施例中,上述预设数据库和上述目标区块链中还包括日志数据;上述步骤S103之后,本申请实施例提供的基于区块链的数据安全防控方法还可以包括如下步骤S105:
S105、在预设数据库与目标区块链中的日志数据匹配的情况下,确定预设数据库中的日志数据为可信日志数据。
在本申请实施例中,上述日志数据用于表征上述预设数据库和上述目标区块链的历史操作记录。
示例性地,上述日志数据可以为日志文件,也可以为日志表。
示例性地,在对预设数据库执行操作后,预设数据库会生成该操作对应的日志数据,并将该日志数据存储。
示例性地,以上述预设数据库为网站数据库为例,访问者在浏览该网站时的各种操作,例如浏览某个网页的操作,均会以记录的行式写到一个文件中,并将该文件保存在网站数据库中。
举例说明,如图4所示,可以将数据库日志表(即预设数据库的日志数据)与区块链日志表(即目标区块链的日志数据)逐一比对,在两个日志表相同的情况下,则确定数据库日志表是可信的,以进行后续操作。
如此,通过对比数据库和区块链中的日志数据,可以确定出数据库中的日志数据是否为可信数据,保证了进行后续操作的有效性。
可选地,在本申请实施例中,上述步骤S105之后,本申请实施例提供的基于区块链的数据安全防控方法还可以包括如下步骤S106:
S106、基于可信日志数据,对预设数据库执行审计操作。
在本申请实施例中,上述审计操作用于验证上述预设数据库的安全性。
示例性地,上述审计操作为检查、审查和检验预设数据库对应的操作事件的环境及活动,从而发现***漏洞、入侵行为或改善***性能的过程。
在本申请实施例中,在进行审计操作之前,可以通过比对预设数据库和目标区块链中的日志数据,以确定预设数据库中的日志数据是精确的,从而可以使得根据该日志数据进行的审计操作所得到的结果是有效的。
如此,在确定日志数据为可信的情况下,才进行审计操作,有效避免了无效审计,从而提升了审计效率。
本申请实施例可以根据上述方法示例对基于区块链的数据安全防控装置进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图5所示,为本申请实施例提供的一种基于区块链的数据安全防控装置的结构示意图,该装置包括:接收单元201、获取单元202和执行单元203。
其中,上述接收单元201,用于接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;上述获取单元202,用于获取上述目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;上述执行单元203,用于在获取单元202获取的上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。
可选地,在本申请实施例中,上述基于区块链的数据安全防控装置还包括:发送单元,其中:上述执行单元203,还用于在接收单元201接收目标用户的业务访问请求之前,创建上述目标区块链,该目标区块链包括安全调用接口,该安全调用接口用于传输数据;上述发送单元,用于将上述预设数据库中的至少一个第一数据,通过上述安全调用接口上传至上述目标区块链中存储,上述至少一个第一数据包括上述至少一个权限数据,每个上述第一数据分别包括一个权限数据。
可选地,在本申请实施例中,上述预设数据库和上述目标区块链中还包括用户数据,上述用户数据用于表征上述预设数据库和上述目标区块链的历史访问用户;上述执行单元203,还用于在上述执行上述目标业务的访问操作之后,在上述预设数据库与上述目标区块链中的用户数据不匹配的情况下,确定上述预设数据库的历史访问用户中存在未被授权的非法用户。
可选地,在本申请实施例中,上述预设数据库和上述目标区块链中还包括日志数据,该日志数据用于表征上述预设数据库和上述目标区块链的历史操作记录;上述执行单元203,还用于在上述执行上述目标业务的访问操作之后,在上述预设数据库与上述目标区块链中的日志数据匹配的情况下,确定上述预设数据库中的日志数据为可信日志数据。
可选地,在本申请实施例中,上述执行单元203,还用于在上述确定上述预设数据库中的日志数据为可信日志数据之后,基于上述可信日志数据,对上述预设数据库执行审计操作,该审计操作用于验证上述预设数据库的安全性。
在本申请实施例提供的基于区块链的数据安全防控装置中,通过接收目标用户的业务访问请求,该业务访问请求用于上述目标用户请求访问目标业务;获取该目标业务的第一权限数据,该第一权限数据用于表征允许访问上述目标业务的用户;在上述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行上述目标业务的访问操作,上述预设数据库和上述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,上述第二权限数据为上述至少一个权限数据中与上述目标业务对应的权限数据。由于区块链技术具有不可篡改的特点,所以保存在上述目标区块链中的数据不可能被篡改,因此,在业务访问时,进行数据库和区块链的双重校验,可以及时发现上述业务访问是否合法,从而可以及时准确地发现数据安全问题。
在通过硬件实现时,本申请实施例中的接收单元201可以集成在通信接口上,获取单元202和执行单元203可以集成在处理器上。具体实现方式如图6所示。
图6示出了上述实施例中所涉及的基于区块链的数据安全防控装置的又一种可能的结构示意图。该基于区块链的数据安全防控装置包括:处理器302和通信接口303。处理器302用于对基于区块链的数据安全防控装置的动作进行控制管理,例如,执行上述获取单元202和执行单元203执行的步骤,和/或用于执行本文所描述的技术的其它过程。通信接口303用于支持基于区块链的数据安全防控装置与其他网络实体的通信,例如,执行上述接收单元201执行的步骤。基于区块链的数据安全防控装置还可以包括存储器301和总线304,存储器301用于存储基于区块链的数据安全防控装置的程序代码和数据。
其中,存储器301可以是基于区块链的数据安全防控装置中的存储器等,该存储器可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
上述处理器302可以是实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线304可以是扩展工业标准结构(ExtendedIndustryStandard Architecture,EISA)总线等。总线304可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图7是本申请实施例提供的芯片170的结构示意图。芯片170包括一个或两个以上(包括两个)处理器1710和通信接口1730。
可选的,该芯片170还包括存储器1740,存储器1740可以包括只读存储器和随机存取存储器,并向处理器1710提供操作指令和数据。存储器1740的一部分还可以包括非易失性随机存取存储器(non-volatilerandom accessmemory,NVRAM)。
在一些实施方式中,存储器1740存储了如下的元素,执行模块或者数据结构,或者他们的子集,或者他们的扩展集。
在本申请实施例中,通过调用存储器1740存储的操作指令(该操作指令可存储在操作***中),执行相应的操作。
其中,上述处理器1710可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,单元和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,单元和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
存储器1740可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线1720可以是扩展工业标准结构(ExtendedIndustryStandard Architecture,EISA)总线等。总线1720可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得该计算机执行上述方法实施例中的基于区块链的数据安全防控方法。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得该计算机执行上述方法实施例所示的方法流程中的基于区块链的数据安全防控方法。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RandomAccess Memory,RAM)、只读存储器(Read-OnlyMemory,ROM)、可擦式可编程只读存储器(ErasableProgrammableReadOnlyMemory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(CompactDiscRead-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(ApplicationSpecificIntegrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
本发明的实施例提供一种包含指令的计算机程序产品,当指令在计算机上运行时,使得计算机执行如图1至图4中所述的基于区块链的数据安全防控方法。
由于本发明的实施例中的基于区块链的数据安全防控装置、计算机可读存储介质、计算机程序产品可以应用于上述方法,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (12)
1.一种基于区块链的数据安全防控方法,其特征在于,所述方法包括:
接收目标用户的业务访问请求,所述业务访问请求用于所述目标用户请求访问目标业务;
获取所述目标业务的第一权限数据,所述第一权限数据用于表征允许访问所述目标业务的用户;
在所述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行所述目标业务的访问操作,所述预设数据库和所述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,所述第二权限数据为所述至少一个权限数据中与所述目标业务对应的权限数据。
2.根据权利要求1所述的方法,其特征在于,所述接收目标用户的业务访问请求之前,所述方法还包括:
创建所述目标区块链,所述目标区块链包括安全调用接口,所述安全调用接口用于传输数据;
将所述预设数据库中的至少一个第一数据,通过所述安全调用接口上传至所述目标区块链中存储,所述至少一个第一数据包括所述至少一个权限数据,每个所述第一数据分别包括一个权限数据。
3.根据权利要求1或2所述的方法,其特征在于,所述预设数据库和所述目标区块链中还包括用户数据,所述用户数据用于表征所述预设数据库和所述目标区块链的历史访问用户;
所述执行所述目标业务的访问操作之后,所述方法还包括:
在所述预设数据库与所述目标区块链中的用户数据不匹配的情况下,确定所述预设数据库的历史访问用户中存在未被授权的非法用户。
4.根据权利要求1或2所述的方法,其特征在于,所述预设数据库和所述目标区块链中还包括日志数据,所述日志数据用于表征所述预设数据库和所述目标区块链的历史操作记录;
所述执行所述目标业务的访问操作之后,所述方法还包括:
在所述预设数据库与所述目标区块链中的日志数据匹配的情况下,确定所述预设数据库中的日志数据为可信日志数据。
5.根据权利要求4所述的方法,其特征在于,所述确定所述预设数据库中的日志数据为可信日志数据之后,所述方法还包括:
基于所述可信日志数据,对所述预设数据库执行审计操作,所述审计操作用于验证所述预设数据库的安全性。
6.一种基于区块链的数据安全防控装置,其特征在于,所述装置包括:接收单元、获取单元和执行单元,其中:
所述接收单元,用于接收目标用户的业务访问请求,所述业务访问请求用于所述目标用户请求访问目标业务;
所述获取单元,用于获取所述目标业务的第一权限数据,所述第一权限数据用于表征允许访问所述目标业务的用户;
所述执行单元,用于在所述获取单元获取的所述第一权限数据与预设数据库和目标区块链中的第二权限数据均匹配的情况下,执行所述目标业务的访问操作,所述预设数据库和所述目标区块链中均包括至少一个权限数据,每个权限数据分别用于表征允许访问一个业务的用户,所述第二权限数据为所述至少一个权限数据中与所述目标业务对应的权限数据。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:发送单元,其中:
所述执行单元,还用于在所述接收单元接收目标用户的业务访问请求之前,创建所述目标区块链,所述目标区块链包括安全调用接口,所述安全调用接口用于传输数据;
所述发送单元,用于将所述预设数据库中的至少一个第一数据,通过所述安全调用接口上传至所述目标区块链中存储,所述至少一个第一数据包括所述至少一个权限数据,每个所述第一数据分别包括一个权限数据。
8.根据权利要求6或7所述的装置,其特征在于,所述预设数据库和所述目标区块链中还包括用户数据,所述用户数据用于表征所述预设数据库和所述目标区块链的历史访问用户;
所述执行单元,还用于在所述执行所述目标业务的访问操作之后,在所述预设数据库与所述目标区块链中的用户数据不匹配的情况下,确定所述预设数据库的历史访问用户中存在未被授权的非法用户。
9.根据权利要求6或7所述的装置,其特征在于,所述预设数据库和所述目标区块链中还包括日志数据,所述日志数据用于表征所述预设数据库和所述目标区块链的历史操作记录;
所述执行单元,还用于在所述执行所述目标业务的访问操作之后,在所述预设数据库与所述目标区块链中的日志数据匹配的情况下,确定所述预设数据库中的日志数据为可信日志数据。
10.根据权利要求9所述的装置,其特征在于,
所述执行单元,还用于在所述确定所述预设数据库中的日志数据为可信日志数据之后,基于所述可信日志数据,对所述预设数据库执行审计操作,所述审计操作用于验证所述预设数据库的安全性。
11.一种基于区块链的数据安全防控装置,其特征在于,包括:处理器和通信接口;所述通信接口和所述处理器耦合,所述处理器用于运行计算机程序或指令,以实现如权利要求1-5任一项中所述的基于区块链的数据安全防控方法。
12.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当计算机执行该指令时,该计算机执行上述权利要求1-5任一项中所述的基于区块链的数据安全防控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310096592.0A CN116167079A (zh) | 2023-01-20 | 2023-01-20 | 基于区块链的数据安全防控方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310096592.0A CN116167079A (zh) | 2023-01-20 | 2023-01-20 | 基于区块链的数据安全防控方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116167079A true CN116167079A (zh) | 2023-05-26 |
Family
ID=86412759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310096592.0A Pending CN116167079A (zh) | 2023-01-20 | 2023-01-20 | 基于区块链的数据安全防控方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116167079A (zh) |
-
2023
- 2023-01-20 CN CN202310096592.0A patent/CN116167079A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2007252841B2 (en) | Method and system for defending security application in a user's computer | |
| US8601580B2 (en) | Secure operating system/web server systems and methods | |
| CA3138850A1 (en) | Mitigation of ransomware in integrated, isolated applications | |
| KR20100003234A (ko) | 신뢰 검증 방법 및 신뢰 검증 시스템 | |
| JP4636607B2 (ja) | セキュリティ対策アプリケーションの機密ファイル保護方法 | |
| CN105049445B (zh) | 一种访问控制方法及独立式访问控制器 | |
| US11658996B2 (en) | Historic data breach detection | |
| CN114297708A (zh) | 访问控制方法、装置、设备和存储介质 | |
| US20160335433A1 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| CN101324913B (zh) | 计算机文件保护方法和装置 | |
| CN115310084A (zh) | 一种防篡改的数据保护方法及*** | |
| CN101308700A (zh) | 防泄密u盘 | |
| Wueest et al. | Mistakes in the IaaS cloud could put your data at risk | |
| Kaczmarek et al. | Operating system security by integrity checking and recovery using write‐protected storage | |
| US20090204544A1 (en) | Activation by trust delegation | |
| CN116167079A (zh) | 基于区块链的数据安全防控方法、装置及存储介质 | |
| US11611570B2 (en) | Attack signature generation | |
| Pill | 10 Database Attacks | |
| KR102358099B1 (ko) | 위협 사용자의 접속차단방법 | |
| US11582248B2 (en) | Data breach protection | |
| Mardjan et al. | Open Reference Architecture for Security and Privacy Documentation | |
| Fgee et al. | My Security for Dynamic Websites in Educational Institution | |
| Feng et al. | Security audit in mobile apps security design | |
| CN117235818A (zh) | 基于固态硬盘的加密认证方法、装置、计算机设备及介质 | |
| Chi et al. | Baseline Technical Measures for Data Privacy INthe Cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |