CN117997965A - 区块链强制数据接入控制 - Google Patents

区块链强制数据接入控制 Download PDF

Info

Publication number
CN117997965A
CN117997965A CN202311444719.XA CN202311444719A CN117997965A CN 117997965 A CN117997965 A CN 117997965A CN 202311444719 A CN202311444719 A CN 202311444719A CN 117997965 A CN117997965 A CN 117997965A
Authority
CN
China
Prior art keywords
data
network device
identifier
blockchain
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311444719.XA
Other languages
English (en)
Inventor
戈登·扬·李
陈学敏
菲利普·克莱因
阿巴斯·萨阿达特
希·因·谭
鲁伊·佩德罗·德莫拉阿尔维斯皮曼达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avago Technologies International Sales Pte Ltd
Original Assignee
Avago Technologies General IP Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avago Technologies General IP Singapore Pte Ltd filed Critical Avago Technologies General IP Singapore Pte Ltd
Publication of CN117997965A publication Critical patent/CN117997965A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2379Updates performed during online database operations; commit processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本公开涉及区块链强制数据接入控制。提供一种方法,其包含从从数据源请求数据的请求装置接收数据请求,在区块链账本中查找对应于所述数据请求的交易以验证所述数据请求,将所述经验证的数据请求转发到数据服务器,响应于所述数据请求从所述数据服务器接收数据响应,其中所述数据响应包括来自所述数据源的所述请求的数据,及将所述数据响应转发到所述请求装置。

Description

区块链强制数据接入控制
技术领域
本描述大体上涉及网络通信,包含例如网络内的数据接入控制。
背景技术
用于视频、语音及/或数据服务的数据分析***从组成服务网络的各种装置收集及分析广泛的数据集。数据集可包含一般参数,例如装置性能、安全状态、用户统计信息、***健康状况等。数据集还可包含服务运营商、装置的原始装备制造商(OEM)及装置内部的组件(例如芯片上***(SOC))的供应商专有的数据。数据集还可包含影响服务的客户或用户的隐私的数据。
发明内容
在一个方面中,本公开提供一种网络装置,其包括:存储器,其存储一或多个指令序列;及处理器,其经配置以执行所述一或多个指令序列以:从从数据源请求数据的请求装置接收数据请求;在区块链账本中查找对应于所述数据请求的交易,以验证所述数据请求;将所述经验证的数据请求转发到数据服务器;响应于所述转发的经验证的数据请求从所述数据服务器接收数据响应,其中所述数据响应包括来自所述数据源的所述请求的数据;及将所述请求的数据转发到所述请求装置。
在另一方面中,本公开提供一种网络装置,其包括:存储器,其存储一或多个指令序列;及处理器,其经配置以执行所述一或多个指令序列以:从订购节点接收交易区块;将所述所接收的交易区块提交到区块链账本;从从数据源请求数据的应用程序接收数据请求;在所述区块链账本中查找对应于所述数据请求的交易以验证所述数据请求;将所述经验证的数据请求转发到数据服务器;响应于所述数据请求从所述数据服务器接收数据响应,其中所述数据响应包括来自所述数据源的所述请求的数据;及将所述请求的数据转发到所述应用程序。
在另一方面中,本公开提供一种网络装置,其包括:存储器,其存储一或多个指令序列;及处理器,其经配置以执行所述一或多个指令序列以:从数据服务器接收数据请求,其中所述数据请求源自请求装置;将保护方案应用于在所述数据请求中识别的所述网络装置上的请求的数据;生成数据响应,其包括所述请求的数据及报头,所述报头包括所述网络装置的属性、经授权以接收在所述数据请求中识别的所述数据的一或多个目的地装置的标识符,其中所述请求装置是所述一或多个目的地装置中的一者,及所述保护方案的属性;及响应于所述数据请求,将所述请求的数据提供到所述数据服务器。
附图说明
本主题技术的某些特征在所附权利要求书中阐述。然而,出于解释的目的,在下图中阐述本主题技术的若干实施例。
图1说明根据本主题技术的方面的可在其中实施区块链强制数据接入控制的网络环境的实例。
图2是说明根据本主题技术的方面的实例分层数据模型的图。
图3A到3E是说明根据本主题技术的方面的实例数据封装结构的图。
图4是说明根据本主题技术的方面的区块链协会方案的功能组件的框图。
图5是说明根据本主题技术的方面的区块链强制数据接入控制工作流程的框图。
图6是说明根据本主题技术的方面的区块链账本的元素的图。
图7是说明根据本主题技术的方面的区块链账本的分段的图。
图8是说明根据本主题技术的方面的用于认可由应用程序做出的数据请求的工作流程的图。
图9是说明根据本主题技术的方面的用于使用区块链强制数据接入控制的工作流程的图。
图10是说明根据本主题技术的方面的区块链协会方案的组件的框图。
图11是说明根据本主题技术的方面的区块链协会方案的组件的框图。
图12是说明根据本主题技术的方面的区块链协会方案的组件的框图。
图13是说明根据本主题技术的方面的区块链协会方案的组件的框图。
图14概念性地说明可用其实施本主题技术的一或多个实施方案的电子***。
具体实施方式
下面阐述的详细描述旨在作为本主题技术的各种配置的描述,而不是旨在表示其中可实践本主题技术的唯一配置。附图并入本文中并构成详细描述的部分。详细描述包含用于提供对本主题技术的透彻理解的目的的具体细节。然而,本主题技术不限于本文所阐述的具体细节,且可在没有一或多个具体细节的情况下实践。在一些例子中,结构及组件以框图的形式展示,以避免混淆本主题技术的概念。
用于视频、语音及/或数据服务的数据分析***从组成提供这些服务的服务网络的各种装置收集及分析广泛的数据集。数据集可包含一般参数,例如装置性能、安全状态、用户统计信息、***健康状况等。数据集还可包含服务运营商、装置的原始装备制造商(OEM)及装置内部的组件(例如芯片上***(SOC))的供应商专有的数据。数据集还可包含影响服务的客户或用户的隐私的数据。对此数据的安全接入控制对于服务网络的操作以及组成服务网络的装置及组件的管理及开发至关重要。
本主题技术提出一种基于区块链的强制***,用于控制对在网络内生成及存储的数据的接入。例如,只有由协会管理员(例如,服务运营商)管理的协会的成员才能接入的许可区块链可用于强制数据接入控制。协会管理员可授予协会指定成员(认可人)认可数据请求的权利。这些成员的认可权利可能基于成员在请求接入的数据中的权益(例如,数据的所有权、服务/业务协议等)。对应于经认可的数据请求的数据接入交易将提交到区块链账本中。在一些实施例中,区块链账本是一种数字账本,其中记录交易细节的一系列区块或区块链可通过节点(例如,网络参与者)进行认证及校验。
根据本主题技术的方面,在数据请求被发送到数据接入控制器之前,数据请求被提交以供指定的协会成员认可,所述数据接入控制器充当到从服务网络中的数据源检索请求的数据的数据收集基础设施的网关。数据接入控制器对照区块链账本验证数据请求,并将经验证的数据请求转发到数据服务器,所述数据服务器经配置以检索请求的数据并将其转发到数据接入控制器。数据接入控制器然后将请求的数据转发到数据请求的源。下面描述本主题技术的其它方面及特征。
区块链强制数据接入控制可用于实施若干不同的应用程序。例如,数据隐私控制可通过仅向特定应用程序及实体授予对不同类型的用户数据的接入权利来实施(例如,授予对订户ID及计费***的使用数据的接入权利的服务运营商)。专有数据保护可通过将专有数据的接入权利限制到数据所有者及数据所有者认可的任何实体来提供。例如,对设计敏感的SoC硬件/软件参数/度量的接入可能仅限于SoC供应商,而从SoC收集的专有分析数据可能与SoC供应商的合作伙伴共享。可通过基于内容创建者认可的权利来接入内容数据来提供内容权利管理。例如,对嵌入装置中的机器学习模型的接入可能会受到限制,除非所述模型的创建者认可,或对由装置捕获的媒体内容数据(例如,视频剪辑)的接入可能受到限制,除非内容创建者或其被许可人认可。可收集装置数据以校验是否符合标准,并可将对装置数据的接入限制为相关实体,例如服务运营商、标准机构等。区块链账本可作为安全日志进行维护,以用于接入与法律合同相关联或由法律合同涵盖的所有数据。本主题技术不限于这些用例,且可应用于其它用例。
图1说明根据本主题技术的方面可在其中实施区块链强制数据接入控制的网络环境的实例。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置、类型及数量进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。
如图1中所描绘的,网络环境100包含经配置以经由装置的网络提供视频、语音及/或数据服务的服务网络105、经配置以从服务网络105获得数据的以用于处理及分析的数据分析***110、及经配置以促进服务网络105与数据分析***110之间的数据的传送的数据管理器115。服务网络105、数据分析***110及数据管理器115可经由网络120可通信地耦合。网络120可为公共通信网络(例如互联网)或专用通信网络(例如专用局域网(LAN)或租用线路)。网络120还可包含(但不限于)以下网络拓扑中的任何一或多者,包含总线网络、星形网络、环形网络、网状网络、星形总线网络、树状或分层网络等。
如上文所提及的,服务网络105可经配置以经由装置的网络提供视频、语音及/或数据服务。根据本主题技术的方面,装置可以分层拓扑布置,且可包含核心网络装置125、边缘网络装置130及135,以及消费者场所装备(CPE)装置140及145。本主题技术不限于分层拓扑的给定层中的任何特定数目的装置或任何特定数目的层。核心网络装置125可表示电缆数据服务接口规范(DOCSIS)宽带接入网络、数字电视网络及/或互联网协议(IP)电话网络中的根装置。边缘网络装置130及135可表示经配置以与装置(例如电缆调制解调器终端***(CMTS)、电缆远程PHY装置(RPD)、电缆远端MAC/PHY装置(RMD)等)形成核心网络的组成边缘网络的装置。CPE装置140及145可表示边缘网络的节点,包含(但不限于)电缆调制解调器、住宅网关、IP机顶盒等。形成服务网络105的一或多个装置可使用嵌入在装置中的SoC来实施。SoC可将处理器(例如中央处理单元(CPU)、存储器接口、辅助存储接口、输入/输出装置、输入/输出接口等)集成到单个集成电路或芯片中。
与服务网络105的装置相关联的数据可被组织成分层树结构数据模型。图2是说明根据本主题技术的方面的实例分层数据模型的图。如图2中所描绘,数据模型的节点(由点表示)被组织成聚合层,其通常对应于网络拓扑的层。数据模型的节点中的每一者可表示单个数据参数,例如聚合在参数层中的那些节点,或可表示与核心网络层中的核心网络、边缘网络层中的组成边缘网络、CPE层中的边缘网络内的CPE或功能层中的CPE的功能区域相关联的一组参数。CPE的功能区域可包含音频/视频、Wi-Fi、电缆PHY等。参数层中的参数可包含例如来自一组视频解码器参数的视频解码器缓冲器状态。
分层数据模型内的不同节点可具有不同的安全要求。例如,与CPE层中的一种类型的CPE装置相关联的节点数据可能需要保密性及数据完整性保护。与CPE层中的另一类型的CPE装置相关联的节点数据可能只需要数据完整性保护。与CPE层中的任何其它类型的CPE装置相关联的节点数据可不具有保护要求。节点之间的类似的要求差异可能存在于其它层上,例如边缘网络层、功能层及/或参数层。
对分层数据模型的一层中的节点数据的安全要求可设置对分层数据模型中的所述层下方的层中的节点数据的最低安全要求。最低安全要求可应用于在分层数据模型的下层中聚合的所有节点数据。例如,当在层中的一者内的节点之间存在要求差异时,为一个上层节点的节点数据指定的最低安全要求可仅应用于作为植根于上层节点处的子树的部分的下层中的节点。
返回图1,数据分析***110可包含一或多个应用程序150,其经配置以根据本主题技术的方面从服务网络105请求数据并处理/分析从服务网络105接收的数据。应用程序150可包含由服务器或某一其它类型的计算装置上的一或多个处理器存储及执行的一或多个指令序列,以请求数据并处理/分析返回的数据。应用程序150可与协会的一或多个成员相关联,协会可对服务网络105中的某些类型的数据及/或某些数据源(例如,节点)具有专有权益或已被授予接入。
根据本主题技术的方面,应用程序150的数据接入控制可部分地由区块链基础设施155提供。简言之,区块链基础设施155包含区块链组件,其经配置以基于接入控制列表认可来自应用程序150的数据请求,将对应于经认可的数据请求的交易订购为区块,将区块提交到区块链账本,并基于记录在区块链账本中的交易验证数据请求。术语“验证(validate或validation)”可指在使用及/或处理数据之前对数据的准确性及质量进行检查。在这方面,验证可包含检查数据的数据类型、范围、代码及交叉引用,及/或一致性。区块链基础设施的组件及操作将在下面更详细地描述。
如图1中所描绘的,根据本主题技术的方面,数据管理器115包含一或多个云服务器160、数据保护策略165及数据对象数据库170。云服务器160可包含会员服务提供商,其经配置以管理区块链协会的形成及治理,以实施对接入服务网络(例如服务网络105)中的数据的应用程序的区块链强制数据接入控制。会员服务提供商可能由协会管理员(例如,服务运营商)拥有及运营,其可能会规定由协会成员同意并以数字方式签名的协会治理章程。协会成员的数字签名可能包含在区块链账本的起源区块中。协会治理章程可包含数据接入控制的认可及强制规则及条件、区块链账本结构及维护过程、SoC/装置类型、产品ID等方面的数据接入的范围以及章程的有效期。
会员服务提供商可从证书颁发机构向协会成员及功能节点颁发加密证书(例如,公共/私有加密密钥)。作为初始化的部分,所有组成装置,例如承载协会功能元件的那些,在投入操作之前都会注册到协会中。组成装置的注册消息记录可包含在协会的区块链账本中。注册消息可沿着发源装置与终端装置之间的注册路径记录发源装置(例如,CPE装置)、终端装置(例如,云服务器160)及中间装置(例如,边缘网络装置、核心网络装置)。沿着注册路径的中间装置可使用其相应的数字签名来识别及标记,其证明中间装置支持并允许协会中的注册。
根据本主题技术的方面,云服务器160还可包含数据服务器,其经配置以基于由应用程序150做出的经认可的数据请求从例如服务网络105的节点的数据客户端收集数据。例如,数据服务器可经配置以将经认可的数据请求转发到数据请求中识别的数据源(例如,服务网络105中的装置),并从数据源接收包含数据请求中识别的请求的数据(例如,来自分层数据模型的节点数据)的数据响应。另外,数据服务器可承载数据对象数据库170,其可用于存储从数据客户端收集的历史数据集以及可由一或多个数据客户端基于其相应的配置周期性地推送到数据服务器的数据集。
如上文所提及的,表示服务网络105的分层数据模型中的数据节点可能具有安全要求。根据本主题技术的方面,可使用数据或数据对象的安全封装来满足对数据节点的数据或数据对象的安全要求。例如,响应于数据请求的数据源可根据数据节点的安全要求封装包含在数据响应中的数据或数据对象。
安全封装为数据响应添加封装报头。封装报头可包含填充有关于数据或数据对象以及相关联的安全要求的信息的若干字段。例如,封装报头可具有填充有数据节点的属性、用于保护数据响应中的请求的数据的安全套件或保护方案的属性、以及数据响应所指向的一或多个目的地装置(例如,运行请求数据的应用程序的服务器)的标识符的字段。数据节点的属性可包含(但不限于)数据节点的标识符、数据节点的位置、节点数据的数据类别(例如,用户隐私数据、专有数据等),及应用于数据响应中的请求的数据的保护类型。保护类型可包含(但不限于)仅加密、仅签名、加密及签名、匿名、匿名及签名,及无保护。
安全套件或保护方案的属性可包含(但不限于)安全算法的标识符及用于保护请求的数据的安全算法的参数。安全算法可包含任何类型的加密操作,包含任何加密算法或散列算法。数据响应的安全封装还可包含含有数据节点的受保护版本的字段。如果用于保护请求的数据的安全算法是加密算法,那么数据节点的受保护版本是使用加密算法及在封装报头中识别的相关联的参数生成的密文。如果用于保护请求数据的安全算法是散列算法,那么数据节点的受保护版本是使用封装报头中识别的散列算法获得的散列结果。如果用于保护请求的数据的安全算法包含数字签名,那么数据响应的安全封装可包含含有数字签名的字段,或一些认证消息,其覆盖封装报头及受保护的数据节点,并根据安全算法及在封装报头中识别的相关联的参数生成。
根据本主题技术的方面,封装报头字段允许支持数据隐私。特定来说,封装报头字段可用于向目的地装置发信号通知关于数据隐私机制及相关联的参数。数据类别字段可指示封装数据的数据类别是例如“用户隐私数据”、“专有数据”等。保护类型字段可指示应用于受保护数据的用户隐私策略。例如,策略可指示经由数据散列进行数据匿名的“匿名散列”,以及经由数据标记进行数据匿名的“匿名标签”。此外,策略可指示将差分隐私(DP)、标记化、k-匿名或可使用其同态性质的密码***(例如,同态加密(HE)及函数加密(FE))应用于受保护的数据。安全套件属性识别所需保护类型的安全算法及安全算法参数。例如,这些属性可指示特定的匿名处理方案及任何相关联的输入参数。针对HE及FE保护机制,安全算法可指示特定的HE或FE算法,例如BGV(Brakerski Gentry Vaikuntanathan)、BFV(Brakerski-Fan-Vercauteren)、CKKS(Cheon-Kim-Kim-Song)及熵/安全级别。此外,安全算法的参数可指示这些算法的任何必要的加密材料,例如HE算法的公钥。
可请求相同的节点数据并将其提供到在封装报头中识别的多个目的地装置。根据本主题技术的方面,可使用与多个目的地装置相关联的相应内容加密密钥(CEK)来加密节点数据。为了保护相应的内容加密密钥,与多个目的地装置相关联的相应的密钥加密密钥(KEK)可用于加密对应的内容加密密钥,其可包含在发送到多个目的地装置的数据响应中。
图3A到3E是说明根据本主题技术的方面的实例封装数据结构的图。针对这些图,封装数据的三个不同目的地装置的加密内容加密密钥被标记为ENCRYPTED KEY 1、ENCRYPTED KEY 2及ENCRYPTED KEY 3。本主题技术不限于三个目的地装置,且可将封装数据提供到任何数量的目的地装置。在图3A中所展示的实例中,节点数据的密文以用第一目的地装置的KEK加密的CEK来分发,且因此只有所述第一目的地装置能够解密密文。相对于图3B,节点数据的密文以用与三个相应目的地装置相关联的相应KEK加密的CEK来分发,且因此所有三个目的地装置都能够解密密文。
根据本主题技术的方面,对数据节点的安全要求可施加在数据子节点上,数据子节点是植根于数据节点处的数据模型子树的部分。另外,数据子节点可能具有其自己的安全要求。参考图3C,第一目的地装置及第三目的地装置都可解密整体节点数据的密文。然而,只有第三目的地装置可解密内部节点或子节点的密文。在图3D中,整体节点数据是不受保护的,但存在两个不同的子节点,且这两个子节点中的一者的密文可由第一目的地装置解密,且另一子节点的密文可由第三目的地装置解密。最后,图3E描绘作为明文分发的没有保护方案的节点数据。
图4是说明根据本主题技术的方面的区块链协会方案的组件的框图。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置及类型进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。
如图4中所描绘的,区块链协会400包含协会成员组织A、组织B、组织C及应用程序开发者402。区块链协会400还包含会员服务提供商410、订购服务节点404及数据接入控制器406。如先前所讨论的,会员服务提供商410可经配置以建立区块链协会,例如区块链协会400,并管理其会员。会员服务提供商410还可与证书颁发机构412一起配置,以管理分配给协会成员及区块链协会内的功能节点并由其使用的安全证书(例如,身份、公钥/私钥等)。
图4中还描绘数据收集基础设施414,其包含数据服务器408及具有数据客户端418、420及422的分层数据网络416。分层数据网络416可为经配置以提供语音、数字电视及/或宽带数据服务的服务网络。数据客户端418、420及422表示分层数据网络416中的装置,例如核心网络装置、边缘网络装置、CPE装置、SoC装置等。数据服务器408可经配置以响应于由数据服务器408接收的数据请求,从分层数据网络416中的一或多个装置检索数据,并将检索的数据提供到数据请求的源。数据收集基础设施414进一步包含数据对象数据库424,其可由数据服务器408使用及维护,以存储从分层数据网络416检索的数据集以及可由一或多个数据客户端周期性地及/或基于例如监测的条件推送到数据服务器408的数据集。
相对于区块链协会400中的组织A,实体包含一或多个应用程序426、区块链客户端428、区块链认可人/提交人430、一或多个智能合同432、接入控制列表(ACL)434及本地副本区块链账本436。应用程序426中的一或多者可为分析应用程序,其经配置以从分层数据网络416中的一或多个数据客户端请求数据以处理及分析请求的数据。区块链客户端428可经配置以充当应用程序426的接口,以提交数据请求以供例如区块链认可人/提交人430的区块链认可人的认可。认可逻辑可嵌入一或多个智能合同432中,其经配置以对照所提供的接入控制列表(ACL)434检查数据请求,且如果根据ACL 434被授权那么认可数据请求。
订购服务节点404是功能区块链组件,其经配置以验证经认可的数据请求并执行共识算法(例如,崩溃容错、拜占庭(Byzantine)容错等)以将对应于经认可的数据请求的数据交易订购成区块。区块链认可人/提交人430可经进一步配置以验证从订购服务节点404接收的订购的交易区块,并将经验证的交易区块提交到区块链账本436的本地副本。
数据接入控制器406是经配置以作为区块链协会400与数据收集基础设施414之间的网关操作的功能区块链组件。特定来说,数据接入控制器406可经配置以对照提交到区块链账本407的本地副本的数据交易区块来校验或验证来自应用程序426的数据请求,并将经验证的数据请求转发到数据服务器408以请求来自分层数据网络416的数据且将具有请求的数据的数据响应提供到应用程序426。
如图4中所描绘的,组织B包含与组织A相同的组件。即,组织B包含一或多个应用程序438、区块链客户端440、区块链认可人/提交人442、一或多个智能合同444、接入控制列表(ACL)446及本地副本区块链账本448。类似地,组织C也包含与组织A及B相同的组件。即,组织C包含一或多个应用程序450、区块链客户端452、区块链认可人/提交人454、一或多个智能合同456、接入控制列表(ACL)458及本地副本区块链账本460。组织B及C中的组件的操作与组织A中的组件相同,且此处将不再重复。
如图4中所描绘的,应用程序开发者402包含一或多个应用程序462及区块链客户端464。一或多个应用程序462及区块链客户端464的操作与组织A、B及C中的常用组件几乎相同。这些组件的操作的主要变化是,应用程序开发者402不包含区块链认可人/提交人,且因此应用程序开发者402不提供其自己对来自一或多个应用程序462的数据请求的认可。区块链客户端464以及区块链客户端428、440及452可向所有三个区块链认可人/提交人提供数据请求以供审查及认可。
根据本主题技术的方面,图4中描绘的各种组件可在相应服务器中个别地实施。替代地,可在相应服务器上实施组件的组合。例如,与组织A相关联的组件可一起在单个服务器或服务器组上实施。服务器可物理地位于拥有实体附近。替代地,一或多个服务器可经实施为云服务器。本主题技术不限于服务器的任何特定布置或类型。
图5是说明根据本主题技术的方面的区块链强制的数据接入控制工作流程的框图。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置及类型进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。区块链强制数据接入控制工作流程不限于图5中所指示的过程及操作,且可用一或多个介入过程或操作及/或一或多个替代过程或操作来实施。
根据本主题技术的方面,用于区块链强制数据接入控制的工作流程可包含用于认可接入数据的请求的第一阶段及用于控制对数据的接入的第二阶段。参考图5,第一阶段包含(1)应用程序500向区块链客户端505通知接入来自分层数据网络510内的数据源(例如,数据客户端515、520、525中的一者或存储在数据库530中的数据集)的数据的数据请求。(2)区块链客户端505向协会中的区块链认可人/提交人535、540及545提出数据请求。(3)区块链认可人/提交人535、540及545使用接入控制列表(ACL)来评估所提出的数据请求,例如,其包含对分层数据模型中的不同节点的最低安全要求。(4)在确定所提出的数据请求符合ACL中指定的安全要求之后,区块链认可人/提交人535、540及545用其相应的认可来响应于区块链客户端505。(5)在接收到认可之后,区块链客户端505将所提出的数据请求发送到区块链订购服务。(6)区块链订购服务550执行共识操作以将包含所提出的数据请求的数据交易订购到订购的交易区块中,及(7)向协会中的区块链提交人(例如,区块链认可人/提交人535、540、545及555)广播订购交易区块。(8)协会中的区块链提交人验证订购的交易区块,并将其提交到相应的本地区块链账本中。(9)区块链订购服务550通知区块链客户端505,含有所提出的数据请求的订购交易区块已被生成并广播到区块链提交人。(10)区块链客户端505向应用程序500通知对所提出的数据请求的认可,以完成接入控制过程的第一阶段。
根据本主题技术的方面,当(11)应用程序500向数据接入控制器555发送数据请求时,区块链强制接入控制的第二阶段开始。(12)数据接入控制器555对照本地区块链账本验证数据请求,以通过在本地区块链账本中查找对应于数据请求的交易来确认协会中的区块链认可人的认可。(13)在验证数据请求之后,数据接入控制器555将经验证的数据请求转发到数据服务器560。(14)数据服务器560针对历史数据从数据库530或针对按需请求从分层数据网络510中的数据客户端起始数据收集。(15)数据服务器560在数据响应中向数据接入控制器555返回从数据库530及/或数据客户端515、520或525中的一者收集的请求的数据。(16)数据接入控制器555将数据响应转发到应用程序500以完成区块链强制接入控制的第二阶段。
图6是说明根据本主题技术的方面的区块链账本的元素的图。如图6中所描绘的,区块链账本包含一系列区块(例如,区块0、区块1、区块2、……区块n),除了区块链中的第一区块(区块0)之外,区块通过在每一区块中包含区块链中的相应的前一个区块的散列来链接。例如,区块1包含区块0的散列,区块2包含区块1的散列等。本主题技术不限于任何特定的散列算法,且可使用SHA-256、SHA-512、SHA-3l、Shake等中的一者来实施。除了区块链中的前一个区块的散列之外,区块还可包含交易列表及可用于数据完整性验证及校验的交易的默克尔(Merkle)根。另外,默克尔树提供一种高效的包含证明(POI),其可用于证明区块链账本中的特定交易的存在,用于监测及/或查询目的。
区块链账本中的起源或发源区块(区块0)可由区块链基础设施中的订购服务创建,并包含若干起源字段。例如,起源字段可包含区块链的标识符及创建时间戳。起源字段还可识别区块链协会的管理员及其它原始成员,并包含其相应的数字证书。起源字段可包含区块链的类型的指示(例如,数据接入控制、网络安全、库存/资产管理、数字版权管理)。起源字段可进一步包含区块链协会治理合同,其包含例如共识协议、参与者对协会治理合同的签名、散列算法、签名或消息认证算法及相关联参数以及消息传递信道的信息。
起源区块之后的区块可包含区块报头,其含有特定于相应区块的信息。例如,区块报头可包含区块标识符、创建时间戳、订购服务标识符、与共识协议相关的属性(例如,例如Raft的崩溃容错(CFT)共识算法)以及订购服务节点的签名。
区块中列出的每一交易都包含提供关于交易的细节的一组信息。例如,信息可包含交易发源人标识符、请求的时间戳以及目标SoC的属性,例如供应商、类型、标识符及能力。信息可进一步包含关于区块链认可人的细节,例如本地存储器、CPU及缓冲容量,以及区块链认可人的状态。信息可进一步包含关于用于确定是否认可数据请求的数据请求的细节。最后,信息可包含交易发源人的签名。
区块链可定期(例如,每月)或在满足某些条件时(例如,超过区块链认可人存储器及/或CPU使用阈值)进行分段。分段区块链的决定可由订购服务节点基于区块链档案规则做出。当区块链被分段时,创建一个新的活动分段,并存档先前分段。图7是说明根据本主题技术的方面的区块链账本的分段的图。参考图7,区块链账本的分段A是存档的分段,且分段B是当前活动分段。类似于每一分段内的区块,分段经由先前活动分段的最后区块的散列链接,这在图7中说明,其中散列AN被包含在活动分段的区块B0中。爱迪生(Edison)字段可包含区块链分段指数,其可用于帮助管理区块链及/或存储器/存储的增长。
图8是说明根据本主题技术的方面的用于认可由应用程序做出的数据请求的工作流程的图。根据本主题技术的方面,工作流程可在应用程序生成数据请求并将数据请求转发到区块链客户端以用于认可时开始。区块链客户端可将数据请求转发到一或多个区块链认可人/提交人以用于认可。替代地,区块链客户端可将数据请求映射到数据交易提议中,并将交易提议转发到一或多个区块链认可人/提交人以用于认可。
区块链认可人/提交人经由智能合同来确定对数据请求或交易提议的认可,所述智能合同包含对照所提供的接入控制列表(ACL)或某种其它形式的数据接入控制策略来检查数据请求或交易提议的逻辑,并在根据ACL授权的情况下认可数据请求或交易提议。区块链认可人/提交人向区块链客户端返回其相应的认可响应,区块链客户端收集并验证所接收的认可响应。区块链客户端将所收集的认可转发到区块链订购服务,其经配置以订购数据交易并将其分组为区块。交易区块被提供到区块链认可人/提交人,以进行验证并提交到区块链账本的本地副本中。另外,交易区块被提供到数据接入控制器,其将交易区块提交到区块链账本的本地副本中。区块链认可人/提交人可通知区块链客户端,交易区块对区块链账本的认可及提交完成。区块链客户端然后又可通知应用程序认可过程完成。
图9是说明根据本主题技术的方面的用于使用区块链强制数据接入控制的工作流程的图。根据本主题技术的方面,工作流程可在应用程序被通知认可过程完成且交易区块已被提交到区块链账本之后开始。继而,应用程序将数据请求转发到数据接入控制器,数据接入控制器通过在区块链账本中查找认可来验证数据请求。一旦被验证,数据请求可被转发到数据服务器,数据服务器在数据集数据库中执行数据库查询,或直接向数据源提交请求数据的按需数据请求。数据服务器从数据源接收包含请求的数据的数据响应,并将数据响应转发到应用程序。
上述实例主要参考涉及单个区块链协会的实施方案。然而,本主题技术不限于仅涉及单个区块链协会的实施方案,且可在其中形成及使用两个或更多个区块链协会的环境中实施。例如,区块链协会可在服务运营商与SoC供应商之间;在服务运营商及多个SoC及装置供应商之间;在多个服务运营商之间;在SoC供应商及多个装置供应商之间形成。图9是说明根据本主题技术的方面的区块链协会方案的功能组件的框图。
图10是说明根据本主题技术的方面的区块链协会方案的组件的框图。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置及类型进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。
如图10中所描绘的,区块链协会方案包含两个区块链协会,区块链协会1及区块链协会2,且区块链协会中的每一者被描绘为具有两个组织,用于区块链协会1的组织1A及组织1B,以及用于区块链协会2的组织2A及组织2B。应注意,本主题技术不限于两个区块链协会,也不限于每个区块链协会两个组织,且可使用这些组件中的任一或两者中的多于两者来实施。
在图10中所描绘的实例中,区块链协会1及区块链协会2利用其自己的相应的区块链账本(账本1及账本2)。然而,区块链协会1及区块链协会2可共享会员服务提供商1005及证书颁发机构1010,以形成及管理其相应的区块链协会。另外,两个区块链协会都可利用数据接入控制器1015以请求及收集来自数据收集基础设施1020的数据。然而,本主题技术不限于这种布置,且可在每一区块链协会具有并使用其自己的相应的会员服务提供商、证书颁发机构及数据接入控制器的情况下实施。
图11是说明根据本主题技术的方面的区块链协会方案的组件的框图。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置及类型进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。
在图11中所描绘的实例中,数据接入控制器1115及区块链元素1105(例如,会员服务提供商、认可人/提交人、订购服务(订购服务节点)、应用程序、区块链客户端)集中在云中。上文提供这些元件的操作的实例,且此处将不再重复。数据接入控制器1115可负责整个数据收集基础设施1110的数据接入控制。另外,数据接入控制器1115可对不同区块链协会的多个区块链执行数据接入控制。通过这种布置,区块链功能与数据收集功能解耦,且区块链管理/消息传递不会为宽带的上游或下游创建开销带宽。然而,集中接入控制可能会带来可扩展性/瓶颈问题,且可能难以实施分布式接入控制策略。
图12是说明根据本主题技术的方面的区块链协会方案的组件的框图。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置及类型进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。
类似于图11中所说明的配置,图12中所描绘的配置将许多区块链组件集中在云中。基于云的区块链组件可包含会员服务提供商1202、证书颁发机构1204、云认可人/提交人1206、订购服务(订购服务节点)1208、应用程序1210及区块链客户端1212。上文讨论这些组件的操作的实例,且此处将不再重复。相对于数据接入控制,图12中的配置通过在跨服务网络的个别节点装置(例如,CMTS、远程PHY节点、OLT等)中嵌入数据接入子控制器及节点认可人/提交人来跨服务网络分配数据接入控制的责任。参考图12,数据接入子控制器1214及节点认可人/提交人1216嵌入节点子网络1的第一节点装置中并负责节点子网络1的数据接入控制,且数据接入子控制器1218及节点认可人/提交人1220嵌入节点子网络2的第二节点装置中并负责节点子网络2的数据接入控制。不同的数据接入子控制器可共享相同的区块链,或其可与不同区块链协会的不同的相应区块链相关联。例如,不同的数据接入子控制器可服务于覆盖这些区域中的对应节点的不同地理区域。
在节点装置中嵌入数据接入子控制器及节点认可人允许服务网络的边缘装置与云共同地涉及分布式区块链处理。处理可包含散列计算、签名创建/验证、交易的形成、共识协议(例如,CFT共识算法、Raft等)。以此方式,区块链处理可利用节点级计算资源,且通常跨网络提供更高的区块链/接入控制可扩展性及可配置性。
图13是说明根据本主题技术的方面的区块链协会方案的组件的框图。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置及类型进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。
如图13中所描绘的,许多区块链组件可集中在云中。基于云的区块链组件可包含会员服务提供商1302、证书颁发机构1304、云认可人/提交人1306、订购服务1308、应用程序1310及区块链客户端1312。类似于图12中所描绘的配置,图13中的配置通过在跨服务网络的个别节点装置(例如,CMTS、远程PHY节点、OLT等)中嵌入数据接入子控制器及节点认可人来跨服务网络分配数据接入控制的责任。例如,数据接入子控制器1314及节点认可人/提交人1316可嵌入边缘节点装置中,例如CMTS,且可负责节点子网络1318的数据接入控制。
在节点子网络1318内,数据接入子控制器1320及节点认可人/提交人1322可嵌入在第一CPE装置中,且数据接入子控制器1320及节点认可人/提交人1326可嵌入在第二CPE装置中。在CPE级上,区块链交易可与本地用户活动相关联,例如民意调查、调查、报告等。上文提供图13中所描绘的各种区块链组件的操作的实例,且此处将不再重复。
在节点装置中嵌入数据接入子控制器及节点认可人允许服务网络的边缘装置及CPE装置与云共同地涉及分布式区块链处理。处理可包含散列计算、签名创建/验证、交易的形成、共识协议(例如,CFT共识算法、Raft等)。以此方式,区块链处理可利用节点级计算资源,且通常跨网络提供更高的区块链/接入控制可扩展性及可配置性。
图14概念性地说明使用其可实施本主题技术的一或多个实施方案的电子***1400。然而,并非所有描绘的组件都可能是需要的,且一或多个实施方案可包含图中未展示的额外组件。在不脱离本文所阐述的权利要求书的精神或范围的情况下,可对组件的布置及类型进行变化。组件之间的所描绘或描述的连接及耦合不限于直接连接或直接耦合,且可使用一或多个介入组件来实施,除非另有明确陈述。
电子***1400包含各种类型的计算机可读媒体及用于各种其它类型的计算机可读媒体的接口。在一或多个实施方案中,除了图14中所说明的组件之外,电子***1400可为或可包含图1及/或4中所描绘的组件。电子***1400包含总线1408、一或多个处理单元1412、***存储器1404、只读存储器(ROM)1410、永久存储装置1402、输入装置接口1414、输出装置接口1406及网络接口1416,或其子集及变体。
总线1408共同表示通信地连接电子***1400的众多内部装置的所有***、***装置及芯片组总线。在一或多个实施方案中,总线1408将一或多个处理单元1412与ROM 1410、***存储器1404及永久存储装置1402通信地连接。从这些不同的存储器单元,一或多个处理单元1412检索要执行的指令及要处理的数据以便执行本公开的过程。一或多个处理单元1412可为不同实施方案中的单处理器或多核处理器。
ROM 1410存储一或多个处理单元1412及电子***的其它模块所需的静态数据及指令。另一方面,永久存储装置1402是读-写存储器装置。永久存储装置1402是即使在电子***1400关断时也存储指令及数据的非易失性存储器单元。本公开的一或多个实施方案使用大容量存储装置(例如固态驱动器、磁盘或光盘及其对应的磁盘驱动器)作为永久存储装置1402。
其它实施方案使用可移动存储装置(例如快闪存储器驱动器、光盘及其对应的磁盘驱动器、外部磁硬盘驱动器等)作为永久存储装置1402。与永久存储装置1402类似,***存储器1404是读-写存储器装置。然而,与永久存储装置1402不同,***存储器1404是易失性读-写存储器,例如随机存取存储器。***存储器1404存储一或多个处理单元1412在运行时需要的任何指令及数据。在一或多个实施方案中,本公开的过程存储在***存储器1404、永久存储装置1402及/或ROM 1410中。从这些不同的存储器单元,一或多个处理单元1412检索要执行的指令及要处理的数据以便执行一或多个实施方案的过程。
总线1408还连接到输入装置接口1414及输出装置接口1406。输入装置接口1414使得用户能够向电子***传递信息及选择命令。与输入装置接口1414一起使用的输入装置包含例如字母数字键盘及指向装置(也称为“光标控制装置”)。例如,输出装置接口1406实现由电子***1400生成的图像的显示。与输出装置接口1406一起使用的输出装置包含例如打印机及显示装置,例如液晶显示器(LCD)、发光二极管(LED)显示器、有机发光二极管(OLED)显示器、柔性显示器、平板显示器、固态显示器、投影仪或用于输出信息的任何其它装置。一或多个实施方案包含同时用作输入及输出装置的装置,例如触摸屏。在这些实施方案中,提供给用户的反馈可为任何形式的感觉反馈,例如视觉反馈、听觉反馈或触觉反馈;且可以任何形式接收来自用户的输入,包含声学、语音或触觉输入。
最后,如图14中所展示,总线1408还通过一或多个网络接口1416将电子***1400耦合到一或多个网络(未展示)。以此方式,计算机可为一或多个计算机网络(例如局域网(LAN)、广域网(WAN)或内联网,或网络的网络(例如互联网))的一部分。电子***1400的任何或所有组件可与本公开结合使用。
可使用编码一或多个指令的有形计算机可读存储媒体(或一或多种类型的多个有形计算机可读存储媒体)部分或全部实现本公开的范围内的实施方案。有形的计算机可读存储媒体本质上也可为非暂时性的。
计算机可读存储媒体可为可由通用或专用计算装置读取、写入或以其它方式存取的任何存储媒体,包含能够执行指令的任何处理电子设备及/或处理电路***。例如(但不限于),计算机可读媒体可包含任何易失性半导体存储器,例如RAM、DRAM、SRAM、T-RAM、Z-RAM及TTRAM。计算机可读媒体还可包含任何非易失性半导体存储器,例如ROM、PROM、EPROM、EEPROM、NVRAM、快闪存储器、nvSRAM、FeRAM、FeTRAM、MRAM、PRAM、CBRAM、SONOS、RRAM、NRAM、赛道存储器、FJG及千足虫存储器。
进一步来说,计算机可读存储媒体可包含任何非半导体存储器,例如光盘存储器、磁盘存储器、磁带、其它磁存储装置,或能够存储一或多个指令的任何其它媒体。在一些实施方案中,有形计算机可读存储媒体可直接耦合到计算装置,而在其它实施方案中,有形计算机可读存储介质可经由例如一或多个有线连接、一或多个无线连接或其任何组合间接耦合到计算装置。
指令可为直接可执行的,也可用于开发可执行指令。例如,指令可经实现为可执行或不可执行的机器代码,或经实现为高级语言中的指令,其可经编译以产生可执行或不可执行的机器代码。进一步来说,指令还可经实现为数据或可包含数据。计算机可执行指令也可以任何格式组织,包含例程、子例程、程序、数据结构、对象、模块、应用程序、小程序、函数等。如所属领域的技术人员所认识到的,包含(但不限于)指令的数量、结构、顺序及组织的细节可在不改变底层逻辑、功能、处理及输出的情况下发生显著变化。
虽然上述讨论主要涉及执行软件的微处理器或多核处理器,但一或多个实施方案由一或多个集成电路(例如专用集成电路(ASIC)或现场可编程门阵列(FPGA))执行。在一或多个实施方案中,此类集成电路执行存储在电路本身上的指令。
根据本技术主题的方面,提供一种方法,其包含从从数据源请求数据的请求装置接收数据请求,在区块链账本中查找对应于所述数据请求的交易,以验证所述数据请求,将所述经验证的数据请求转发到数据服务器,响应于所述数据请求从所述数据服务器接收数据响应,其中所述数据响应包括来自所述数据源的所述请求的数据,及将所述数据转发到所述请求装置。
所述数据请求可包含所述请求装置的标识符、所述数据源的标识符、所述请求的数据的标识符及所述数据请求的时间戳。可基于所述请求装置的所述标识符、所述数据源的所述标识符、所述请求的数据的所述标识符或所述数据请求的所述时间戳中的至少一者在所述区块链账本中查找所述交易。
所述数据响应可进一步包含报头,其包括所述数据源的属性及经授权以接收所述数据请求中识别的所述数据的一或多个目的地装置的标识符,且所述请求装置是所述一或多个目的地装置中的一者。所述数据响应的所述报头进一步包括应用于所述数据响应中的所述请求的数据的保护方案的属性。
所述保护方案可包含加密算法,使用所述加密算法及第一加密密钥对所述数据响应中的所述请求的数据进行加密,且所述保护方案的所述属性包括所述加密算法的标识符及使用与所述请求装置相关联的第二加密密钥加密的所述第一加密密钥。
所述保护方案可包含散列算法,所述保护方案的所述属性可包括所述散列算法的标识符,且所述数据响应进一步包括将所述散列算法应用于所述请求的数据的散列结果。所述保护方案包含数字签名算法,所述保护方案的所述属性包括所述数字签名算法的标识符,且所述数据响应进一步包括根据所述数字签名算法生成的所述数据源的数字签名。短语“数字签名算法”可指一种数学技术,其用于通过例如使用数字链接的公钥及私钥来验证数据或数字文档的真实性及完整性。所述方法可进一步包含从订购节点接收交易区块;及将所述所接收的交易区块提交到所述区块链账本。短语“订购节点”可指提供/交付认可交易的订单。将所接收的交易区块提交到区块链账本的过程可包含一旦每一节点(例如,网络参与者)验证所述交易,就向现存区块添加区块(表示交易)。所述交易区块可包含对应于根据数据接入控制策略由一或多个认可装置认可的数据请求的交易。
根据本主题技术的方面,提供一种存储指令的非暂时性计算机可读媒体,当由一或多个处理器执行时所述指令使所述一或多个处理器执行操作。所述操作包含从订购节点接收交易区块,将所述所接收的交易区块提交到区块链账本,从从数据源请求数据的应用程序接收数据请求,在所述区块链账本中查找对应于所述数据请求的交易以验证所述数据请求,将所述经验证的数据请求转发到数据服务器,响应于所述数据请求从所述数据服务器接收数据响应,其中所述数据响应包括来自所述数据源的所述请求的数据,及将所述数据响应转发到所述请求装置。
所述数据请求可包含所述请求装置的标识符、所述数据源的标识符、所述请求的数据的标识符及所述数据请求的时间戳,且其中可基于所述请求装置的所述标识符、所述数据源的所述标识符、所述请求的数据的所述标识符或所述数据请求的所述时间戳中的至少一者在所述区块链账本中查找所述交易。所述数据响应可进一步包括报头,其包含所述数据源的属性及经授权以接收所述数据请求中识别的所述数据的一或多个目的地装置的标识符,其中所述请求装置是所述一或多个目的地装置中的一者,及应用于所述数据响应中的所述请求的数据的保护方案的属性。
所述保护方案可包含加密算法,可使用所述加密算法及第一加密密钥对所述数据响应中的所述请求的数据进行加密,且所述保护方案的所述属性包括所述加密算法的标识符及使用与所述请求装置相关联的第二加密密钥加密的所述第一加密密钥。所述保护方案可包含散列算法,所述保护方案的所述属性包括所述散列算法的标识符,且所述数据响应进一步包括将所述散列算法应用于所述请求的数据的散列结果。所述保护方案可包含数字签名算法,所述保护方案的所述属性包括所述数字签名算法的标识符,且所述数据响应进一步包括根据所述数字签名算法生成的所述数据源的数字签名。所述操作可进一步包括认可数据请求,其中所述交易区块包括所述经认可的数据请求。
根据本主题技术的方面,提供一种网络装置,其包含存储器,其存储一或多个指令序列并从数据服务器接收数据请求,其中所述数据请求源自请求装置;将保护方案应用于在所述数据请求中识别的所述网络装置上的请求的数据;生成数据响应,其包括所述请求的数据及报头,所述报头包括所述网络装置的属性、经授权以接收在所述数据请求中识别的所述数据的一或多个目的地装置的标识符,其中所述请求装置是所述一或多个目的地装置中的一者,及所述保护方案的属性;及响应于所述数据请求,将所述数据响应提供到所述数据服务器。
所述保护方案可包含加密算法,且所述处理器可经配置以执行所述一或多个指令序列以使用所述加密算法及第一加密密钥对所述请求的数据进行加密,及使用与所述请求装置相关联的第二加密密钥加密所述第一加密密钥。所述保护方案的所述属性包括所述加密算法的标识符及使用所述第二加密密钥加密的所述第一加密密钥。
所述保护方案包含散列算法,且其中所述处理器经配置以执行一或多个指令序列以:将所述散列算法应用于所述请求的数据以生成散列结果,其中所述保护方案的所述属性包括所述散列算法的标识符,且所述数据响应进一步包括所述散列。
所述保护方案可包含数字签名算法,其中所述处理器可经配置以执行所述一或多个指令序列以:根据所述数字签名算法生成覆盖所述报头及所述请求的数据的数字签名,其中所述保护方案的所述属性包括所述数字签名算法的标识符,且所述数据响应进一步包括所述数字签名。
所述网络装置可为经配置以提供视频、语音或数据服务中的至少一者的服务网络的边缘网络装置或消费者场所装备装置。所述网络装置的所述属性可包括与所述网络装置相关联的供应商的标识符、嵌入所述网络装置中的芯片上***的标识符、或分层网络内的网络装置的位置中的一或多者。
提供前述描述以使所属领域的任何技术人员能够实践本文所描述的各个方面。对这些方面的各种修改对于所属领域的技术人员来说将是显而易见的,且本文定义的一般原理可应用于其它方面。因此,权利要求书不旨在限于本文所展示的方面,而是应被赋予与权利要求书的语言一致的全部范围,其中,除非另有明确陈述,否则单数形式的对元素的引用并不旨在意味着“一个且仅一个”,而是指“一或多个”。除非另有明确陈述,否则术语“一些”是指一或多个。阳性代词(例如,他的)包含阴性及中性代词(例如,她的及它的),且反之亦然。标题及副标题(如果有)仅为方便使用,且不限制本主题公开。
谓语词“经配置以”、“可操作以”及“经编程以”并不暗示对主语进行任何特定的有形或无形的修饰,而是旨在可互换使用。例如,经配置以监测及控制操作或组件的处理器也可指经编程以监测及控制操作的处理器或可操作以监测及控制操作的处理器。同样,经配置以执行代码的处理器可被解释为经编程以执行代码或可操作以执行代码的处理器。
例如“方面”的短语并不暗示此类方面对于本主题技术是必不可少的,或此类方面适用于本主题技术的所有配置。与方面相关的公开内容可应用于所有配置,或一或多个配置。例如方面的短语可指一或多个方面,且反之亦然。例如“配置”的短语并不暗示此类配置对于本主题技术是必不可少的,或此类配置适用于本主题技术的所有配置。与配置相关的公开内容可应用于所有配置,或一或多个配置。例如配置的短语可指一或多个配置,且反之亦然。
本文使用“实例”一词以意味着“用作实例或说明”。本文中描述为“实例”的任何方面或设计不一定被解释为优选于其它方面或设计或比其它方面或设计有利。
如本文所使用的,在一系列项目之前的短语“至少一者”,以及术语“及”或“或”来分隔项目中的任一者,将列表作为一个整体而不是列表的每一成员(即,每一项目)进行修改。短语“至少一者”不要求选择所列出的每一项中的至少一者;相反,短语允许包含项目中的任一者中的至少一者及/或项目的任何组合中的至少一者的含义。以实例的方式,短语“A、B及C中的至少一者”或“A、B或C中的至少一者”各自指仅A、仅B或仅C;及/或A、B及C的任何组合。在旨在选择“A、B及C中的每一者中的至少一者”,或替代地“A中的至少一者、B中的至少一者及C中的至少一者”的例子中,明确描述为这样。
所属领域的一般技术人员已知的或稍后将已知的贯穿本公开所描述的各个方面的元件的所有结构及功能等效物以引用的方式被明确地并入本文中,且旨在被权利要求书涵盖。此外,本文所公开的任何内容都不旨在奉献给公众,无论此公开内容是否在权利要求书中明确陈述。不应根据35U.S.C.§112(f)的规定对任何权利要求元素进行解释,除非元素使用短语“用于…的构件”明确陈述,或在方法权利要求的情况下,元素使用短语“用于…的步骤”陈述。此外,在描述或权利要求书中使用术语“包含”、“具有”及其类似者的范围内,此类术语旨在以类似于术语“包括”的方式具有包含性,如同“包括”在用作权利要求书中的过渡词时被解释的那样。
所属领域的技术人员将了解,本文所描述的各种说明性框、模块、元件、组件、方法及算法可经实施为电子硬件、计算机软件或两者的组合。为了说明硬件及软件的这种互换性,上文已鉴于其功能性大体上描述各种说明性框、模块、元件、组件、方法及算法。此类功能性经实施为硬件还是软件取决于特定的应用程序及施加在整体***上的设计约束。所属领域的技术人员可针对每一特定的应用程序以不同方式实施所描述的功能性。各种组件及框可不同地布置(例如,以不同的顺序布置,或以不同的方式划分),所有这些都不脱离本主题技术的范围。

Claims (20)

1.一种网络装置,其包括:
存储器,其存储一或多个指令序列;及
处理器,其经配置以执行所述一或多个指令序列以:
从从数据源请求数据的请求装置接收数据请求;
在区块链账本中查找对应于所述数据请求的交易,以验证所述数据请求;
将所述经验证的数据请求转发到数据服务器;
响应于所述转发的经验证的数据请求从所述数据服务器接收数据响应,其中所述数据响应包括来自所述数据源的所述请求的数据;及
将所述请求的数据转发到所述请求装置。
2.根据权利要求1所述的网络装置,其中所述数据请求包括所述请求装置的标识符、所述数据源的标识符、所述请求的数据的标识符及所述数据请求的时间戳。
3.根据权利要求2所述的网络装置,其中基于所述请求装置的所述标识符、所述数据源的所述标识符、所述请求的数据的所述标识符或所述数据请求的所述时间戳中的至少一者在所述区块链账本中查找所述交易。
4.根据权利要求3所述的网络装置,其中所述数据响应进一步包括报头,其包括所述数据源的属性及经授权以接收所述数据请求中识别的所述数据的一或多个目的地装置的标识符,且
其中所述请求装置是所述一或多个目的地装置中的一者。
5.根据权利要求4所述的网络装置,其中所述数据响应的所述报头进一步包括应用于所述数据响应中的所述请求的数据的保护方案的属性。
6.根据权利要求5所述的网络装置,其中:
所述保护方案包括加密算法,
使用所述加密算法及第一加密密钥对所述数据响应中的所述请求的数据进行加密,且
所述保护方案的所述属性包括所述加密算法的标识符及使用与所述请求装置相关联的第二加密密钥加密的所述第一加密密钥。
7.根据权利要求5所述的网络装置,其中:
所述保护方案包括数字签名算法,
所述保护方案的所述属性包括所述数字签名算法的标识符,且
所述数据响应进一步包括根据所述数字签名算法生成的所述数据源的数字签名。
8.根据权利要求1所述的网络装置,其中所述处理器经配置以执行所述一或多个指令序列以:
从订购节点接收交易区块;及
将所述所接收的交易区块提交到所述区块链账本。
9.根据权利要求8所述的网络装置,其中所述交易区块包括对应于根据数据接入控制策略由一或多个认可装置认可的数据请求的交易。
10.一种网络装置,其包括:
存储器,其存储一或多个指令序列;及
处理器,其经配置以执行所述一或多个指令序列以:
从订购节点接收交易区块;
将所述所接收的交易区块提交到区块链账本;
从从数据源请求数据的应用程序接收数据请求;
在所述区块链账本中查找对应于所述数据请求的交易以验证所述数据请求;
将所述经验证的数据请求转发到数据服务器;
响应于所述数据请求从所述数据服务器接收数据响应,其中所述数据响应包括来自所述数据源的所述请求的数据;及
将所述请求的数据转发到所述应用程序。
11.根据权利要求10所述的网络装置,其中:
所述数据请求包括所述应用程序的标识符、所述数据源的标识符、所述请求的数据的标识符及所述数据请求的时间戳,且
基于所述应用程序的所述标识符、所述数据源的所述标识符、所述请求的数据的所述标识符或所述数据请求的所述时间戳中的至少一者在所述区块链账本中查找所述交易。
12.根据权利要求11所述的网络装置,其中所述数据响应进一步包括报头,其包括:
所述数据源的属性,
经授权以接收在所述数据请求中识别的所述数据的一或多个目的地装置的标识符,其中所述应用程序是所述一或多个目的地装置中的一者,及
应用于所述数据响应中的所述请求的数据的保护方案的属性。
13.根据权利要求12所述的网络装置,其中:
所述保护方案包含加密算法,
使用所述加密算法及第一加密密钥对所述数据响应中的所述请求的数据进行加密,且
所述保护方案的所述属性包括所述加密算法的标识符及使用与所述应用程序相关联的第二加密密钥加密的所述第一加密密钥。
14.根据权利要求12所述的网络装置,其中:
所述保护方案包含数字签名算法,
所述保护方案的所述属性包括所述数字签名算法的标识符,且
所述数据响应进一步包括根据所述数字签名算法生成的所述数据源的数字签名。
15.根据权利要求10所述的网络装置,其中:
所述处理器经配置以执行所述一或多个指令序列以认可数据请求,且
所述交易区块包括所述经认可的数据请求。
16.一种网络装置,其包括:
存储器,其存储一或多个指令序列;及
处理器,其经配置以执行所述一或多个指令序列以:
从数据服务器接收数据请求,其中所述数据请求源自请求装置;
将保护方案应用于在所述数据请求中识别的所述网络装置上的请求的数据;
生成数据响应,其包括所述请求的数据及报头,所述报头包括所述网络装置的属性、经授权以接收在所述数据请求中识别的所述数据的一或多个目的地装置的标识符,其中所述请求装置是所述一或多个目的地装置中的一者,及所述保护方案的属性;及
响应于所述数据请求,将所述请求的数据提供到所述数据服务器。
17.根据权利要求16所述的网络装置,其中所述保护方案包含加密算法,且其中所述处理器经配置以执行所述一或多个指令序列以:
使用所述加密算法及第一加密密钥对所述请求的数据进行加密;及
使用与所述请求装置相关联的第二加密密钥加密所述第一加密密钥,
其中所述保护方案的所述属性包括所述加密算法的标识符及使用所述第二加密密钥加密的所述第一加密密钥。
18.根据权利要求16所述的网络装置,其中所述网络装置是经配置以提供视频、语音或数据服务中的至少一者的服务网络的边缘网络装置或消费者场所装备装置。
19.根据权利要求16所述的网络装置,其中所述保护方案包含数字签名算法,且其中所述处理器经配置以执行所述一或多个指令序列以:
根据所述数字签名算法生成覆盖所述报头及所述请求的数据的数字签名,
其中所述保护方案的所述属性包括所述数字签名算法的标识符,且所述数据响应进一步包括所述数字签名。
20.根据权利要求16所述的网络装置,其中所述网络装置的所述属性包括与所述网络装置相关联的供应商的标识符、嵌入在所述网络装置中的芯片上***的标识符、或分层网络内的所述网络装置的位置中的一或多者。
CN202311444719.XA 2022-11-03 2023-11-01 区块链强制数据接入控制 Pending CN117997965A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/980,475 2022-11-03
US17/980,475 US20240152638A1 (en) 2022-11-03 2022-11-03 Blockchain-enforced data access control

Publications (1)

Publication Number Publication Date
CN117997965A true CN117997965A (zh) 2024-05-07

Family

ID=88690370

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311444719.XA Pending CN117997965A (zh) 2022-11-03 2023-11-01 区块链强制数据接入控制

Country Status (3)

Country Link
US (1) US20240152638A1 (zh)
EP (1) EP4365764A1 (zh)
CN (1) CN117997965A (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240020362A1 (en) * 2022-07-18 2024-01-18 Nxp Usa, Inc. Control Channel Architecture

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11232221B2 (en) * 2018-09-17 2022-01-25 International Business Machines Corporation Right to be forgotten on an immutable ledger
US20210042686A1 (en) * 2019-08-08 2021-02-11 Toyota Motor North America, Inc. Processing of requests
CN112307116A (zh) * 2020-09-17 2021-02-02 北京沃东天骏信息技术有限公司 基于区块链的数据访问控制方法、装置及设备

Also Published As

Publication number Publication date
US20240152638A1 (en) 2024-05-09
EP4365764A1 (en) 2024-05-08

Similar Documents

Publication Publication Date Title
Megouache et al. Ensuring user authentication and data integrity in multi-cloud environment
RU2531569C2 (ru) Защищенное и конфиденциальное хранение и обработка резервных копий для доверенных сервисов вычисления и данных
US20200327100A1 (en) Information management and access control in a database
CN107465681B (zh) 云计算大数据隐私保护方法
CN107332858B (zh) 云数据存储方法
CN111884801A (zh) 联合密钥管理
JP2012518330A (ja) 高信頼なクラウド・コンピューティングおよびクラウド・サービスのフレームワーク
US20120042168A1 (en) Method, device, and system for issuing license
CN117997965A (zh) 区块链强制数据接入控制
Schanzenbach et al. ZKlaims: Privacy-preserving attribute-based credentials using non-interactive zero-knowledge techniques
CN112307116A (zh) 基于区块链的数据访问控制方法、装置及设备
Cui et al. IoT data management and lineage traceability: A blockchain-based solution
Ahmed et al. Toward fine‐grained access control and privacy protection for video sharing in media convergence environment
US11113365B2 (en) System and method to limit content distribution
CN107395609B (zh) 数据加密方法
Dinh et al. City on the sky: extending xacml for flexible, secure data sharing on the cloud
CN117457133A (zh) 支持动态访问的去中心化电子病历共享方法及***
TWI829218B (zh) 可經由第三方服務子系統間接移轉取用訊標的去中心化資料授權控管系統
Rakesh et al. Distributed scheme to authenticate data storage security in cloud computing
McDaniel Policy management in secure group communication
Raja et al. An enhanced study on cloud data services using security technologies
TWI766430B (zh) 可動態調整資料授權政策的去中心化資料授權控管系統
Nepal et al. Key management service: Enabling secure sharing and deleting of documents on public clouds
TWI829215B (zh) 可檢核取用訊標的移轉歷史以驗證取用訊標有效性的去中心化資料授權控管系統
Dhole et al. Ensuring Data Storage Security using Cloud Computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication