CN110535833B - 一种基于区块链的数据共享控制方法 - Google Patents
一种基于区块链的数据共享控制方法 Download PDFInfo
- Publication number
- CN110535833B CN110535833B CN201910727936.7A CN201910727936A CN110535833B CN 110535833 B CN110535833 B CN 110535833B CN 201910727936 A CN201910727936 A CN 201910727936A CN 110535833 B CN110535833 B CN 110535833B
- Authority
- CN
- China
- Prior art keywords
- data
- accessor
- chain
- holder
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于区块链的共享控制方法,数据持有者将包括加密后的数据资源和数据资源对应的索引文件的第一文件包通过其创建的私有链上传至数据存储器;数据访问者从数据存储器下载第一文件包;数据访问者能够基于获取的管理文件访问与数据资源对应的私有链,其中,私有链在管理文件被认可情况下允许数据访问者从私有链中获取与数据资源对应的密钥,用于解密加密后的数据资源,其中,基于数据访问者向数据持有者请求共享权限,数据持有者在数据访问者与索引文件匹配的情况下生成和索引文件匹配的管理文件并向数据访问者传输管理文件。
Description
技术领域
本发明涉及网络共享技术领域,尤其涉及一种基于区块链的数据共享控制方法。
背景技术
数据共享就是让在不同地方使用不同计算机、不同软件的用户能够读取他人数据并进行各种操作、运算和分析。数据共享的程度反映一个地区、一个国家的信息发展水平,数据共享程度越高,信息发展水平越高。
在现有技术中,数据共享平台大多数采用中心化系统结构。该类共享平台具有相同的共享交换主体。交换主体包括数据提供方、数据服务方和数据需求方。
其中,数据提供方,提供共享交换的数据资源的一方。
其中,数据服务方,管理运营该共享交换平台并提供交换服务的一方。
其中,数据需求方,使用共享交换的数据资源。
中心化的共享过程主要包括如下几点:(1)数据提供方将数据资源以离线数据、服务接口、数据接口或者API等方式提供给数据服务方;(2)数据服务方将数据资源以离线数据、服务接口、数据接口或者API等方式提供给数据需求方,实现数据提供方到数据需求方的数据共享交换。
在这个数据流通过程中,数据提供方很少直接地面对数据需求方,数据服务方在整个数据流通中,中心支配地位及其突出。因而,该共享平台常常会存在如下的风险:(1)数据提供方将数据资源委托数据服务方管控,失去对数据资源的自主控制权,会出现数据篡改、数据泄密以及数据非授权扩散的风险;(2)数据服务方本身也作为服务主体,但是又要对整个数据流通过程进行管理和控制,数据的有效性和真实性难以甄别;(3)数据交换过程中安全防护薄弱,缺乏有力的威胁应对手段。
因此,如何实现数据的去中心化共享是急需解决的技术问题。
例如,公开号为CN107241360B的中国专利公开的一种数据安全共享交换方法和数据安全共享交换平台系统。该系统包括区块链基础设施、区块链存储库、访问代理子系统和请求代理子系统。该方法包括:访问代理子系统接收第一目标数据的描述信息并发布至区块链存储库;请求代理子系统从描述信息中选择第二目标数据描述信息,生成数据权限请求并发布至区块链存储库;访问代理子系统获取数据权限请求并对数据权限请求批复,将权限批复信息发布至区块链存储库;请求代理子系统获取权限批复信息,并判断权限批复是否成功,若是,则发布对第二目标数据的数据访问请求至区块链存储库;访问代理子系统从区块链存储库获取第二目标数据的数据访问请求,将第二目标数据提供给请求代理子系统对应的数据需求方。但是,该技术方案中提供的分享系统中,仍然存在监管代理子系统参与数据共享,相对于中心化系统而言,仅仅是弱中心化,并非是真正的去中心化。
例如,公开号为CN108259169A的中国专利公开的一种基于区块链云存储的文件安全分享方法及系统。该方法包括:通过对称加密算法对文件进行加密数据并将数据密文存储在云盘中;用户将解密数据密文的对称密钥通过加密生成密钥密文并将密钥密文和数据密文存放位置一起作为元数据的一部分存储在区块链上;对存储的文件数据使用新密钥进行代理重加密,通过新密钥以及重加密后的新密文进行安全分享。
例如,公开号为CN107566357B的中国专利公开的一种基于分区认证的互联网交易信息数据存储方法。其包括:建立B2B云平台和多个工程技术交易区;在任意两个发生交易的工程交易区之间建立工程交易块;其中,每个工程交易块与其相关的工程交易区进行数据共享;每个工程交易块均与B2B云平台进行数据共享。其中,交易数据存储方法包括:对交易合同和交易成果进行电子签名并进行加密、密文存储于工程交易区块内,并通过工程交易块发送至工程交易区以分账薄形式存储;对交易展示内容进行电子签名并进行公加密,密文存储于工程交易块内,并通过工程交易块发送至B2B云平台。该发明是一种基于分区认证技术的互联网交易信息数据存储方法,采用B2B平台和区块链技术实现,使得智能工程各个技术的交易信息正式可靠,不可篡改,并且具有回溯功能。
例如,公开号为CN106992990A的中国专利公开的一种数据共享方法和系统以及区块链系统和计算设备。该数据共享方法包括数据存放者接收到来自数据所有权者的数据后,对所述数据进行存储并将该数据的基本信息提交给区块链系统;当所述数据存放着接收到用户的访问请求时,所述数据存放者根据所述区块链系统中存放的所述基本信息以及用户对所述数据的访问权限判断发送所述访问请求的用户是否具有访问权限;以及如果所述用户是否具有访问权限,则所述数据存放者根据所述访问权限将所述数据提供给所述用户。根据该数据共享方法和系统以及区块链系统和计算设备的技术方案,能够极大地节约成本和资金投入,并且能够实现对数据的全局共享控制。
还如,公开号为CN107592318A的中国专利公开的一种通过区块链实现临床数据共享的方法及系统。该方法主要包括:采用设置在各医院中的前置服务器向院内信息系统请求并缓存电子病历的数据;采用前置服务器对所述电子病历的数据进行区块化处理,生成多个病历区块;采用前置服务器进病历区块上传至前置服务器的主服务器;采用主服务器依据已存储的区块链数据和病历区块生成时间不可逆的病历区块链。
又如,公开号为CN206237441U的中国专利公开的一种资源共享区块链网络。该网络包括有核心区块链、私有区块链以及中央服务器。私有区块链设备包括有节点服务器、于节点服务器内设有硬件防火墙,私有区块链设备通过中央服务器与核心区块链连接。该实用新型基于核心区块链又设有私有区块链设备,基于该私有区块链设备配置有多个区块链节点。该私有链基于区块链平台搭建并可创建多个私有链节点。该实用新型还设置有中央处理器,通过中央处理器建立私有链监控管理平台,该私有链监控管理平台包括节点监控平台和节点管理两部分,其主要功能是用于对私有链网络环境的监控仪保障网络的顺畅运行。
又如,公开号为CN208938168U的中国专利公开的一种基于区块链技术的积分共享管理系统。其包括管理系统,管理系统内部设有应用服务器,且管理系统采用发行积分的方式与应用服务器相连接,管理系统作用于管理员模块,应用服务器内部设有开放接口,且应用服务器和开放接口作用于适用人群使用模块,所述应用服务器通过TRUSTSQLSDK平台和Baas平台连接,且Baas平台和TRUSTSQL平台相连接。该基于区块链技术的积分共享管理系统APP终端通过人群使用模块的界面操作,管理系统进行反应和数据传输,解决在区块链技术的积分方面工作时,由于原生公司内部是各负其责,整体的区块链技术积分方面的信息没有达到共享,不便于整体的管理工作的问题。
基于目前的基于区块链的数据共享方法,至少还存在以下不足:1、仍然存在监管代理子系统参与数据共享,相对于中心化系统而言,仅仅是弱中心化,并非是真正的去中心化。2、加密方法通常使用对称密钥进行加密。在向网络中上传数据密文的同时,用于加密数据的对称密钥在传输过程中存在被恶意窃取的可能性,这种情况无疑会增加数据泄露的风险。3、缺少细粒度的访问控制,无法在不同的场景下根据情况为不同数据访问者设置不同的数据访问权限。此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于发明人做出本发明时研究大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本发明不具备这些现有技术的特征,相反本发明已经具备现有技术的所有特征,而且申请人保留在背景技术中增加相关现有技术之权利。
发明内容
针对现有技术之不足,本发明提供一种基于区块链的数据共享控制方法,包括:数据持有者将包括加密后的数据资源和所述数据资源对应的索引文件的第一文件包通过其创建的私有链上传至数据存储器;数据访问者从所述数据存储器下载所述第一文件包;所述数据访问者能够基于获取的管理文件访问与所述数据资源对应的私有链,其中,所述私有链在所述管理文件被认可情况下允许所述数据访问者从所述私有链中获取与所述数据资源对应的密钥,用于解密加密后的所述数据资源,其中,基于所述数据访问者向所述数据持有者请求共享权限,所述数据持有者在所述数据访问者与所述索引文件匹配的情况下生成和所述索引文件匹配的所述管理文件并向所述数据访问者传输所述管理文件。数据持有者1根据数据的安全保护和共享方法针对具体的数据访问者配置访问控制策略(若需要对应多个不同的数据访问者则配置多条不同的策略),并将访问控制策略与相应的区块链锚定,成功之后,区块链便可通过策略对数据访问者的访问行为进行判断,从而准许或拒绝访问行为。同时,数据持有者可以随时更新策略。对于某个数据访问者的所设定的更新策略将通过与区块链的重新锚定来代替之前对该数据访问者设定的策略。基于此方法,数据的分享过程变得更加灵活,当数据持有者想要改变某个数据访问者对某些数据的权限时,只需重新配置相应的访问策略即可,而无需为访问者重新设置身份信息并通过多个步骤将身份信息发送给数据访问者。
根据一种优选的实施方式,所述数据访问者与所述索引文件按照调用智能合约的方式匹配,其中,在所述数据持有者授权的情况下,其创建的所述私有链能够通过设置于联盟链上的接入节点与所述联盟链实现数据交互,以使得所述数据持有者能够在所述联盟链上以调用智能合约的方式授权所述数据访问者获取所述管理文件。
根据一种优选的实施方式,在所述数据访问者获取所述管理文件的情况下,所述管理文件按照如下方式认可:如果所述数据访问者通过所述私有链上的访问节点下载所述第一文件包,所述私有链通过以调用智能合约的方式对所述管理文件进行认可;如果所述数据访问者通过所述联盟链上的访问节点下载所述第一文件包,所述联盟链通过以调用智能合约的方式对所述管理文件进行认可并将所述认可结果反馈至所述私有链。
根据一种优选的实施方式,在所述数据访问者获取所述密文之后,所述私有链和/或所述联盟链能够将获取信息写入所述数据存储器中;其中,所述获取信息至少包括获取时间、数据访问者的ID、请求时间和更改后的数据。
根据一种优选的实施方式,如果存储数据发起者试图对所述数据资源进行更改和/或更新,所述存储数据发起者在所述私有链以调用智能合约的方式确认存储数据发起者是所述数据持有者的情况下通过所述私有链对所述数据存储器中的数据资源进行更改和/或更新;和/或,所述数据持有者授权所述存储数据发起者的情况下通过所述私有链对所述数据存储器中的数据资源进行更改和/或更新,用以防止在所述数据访问者获取所述密文之后试图篡改所述数据资源。
根据一种优选的实施方式,所述加密后的数据资源对应的数据标签保存于所述数据存储器上,所述数据标签定义能够对数据资源进行更新和/或更改的用户,至少能够用于所述数据持有者基于所述数据标签对所述加密后的数据资源进行更新和/或更改;并且,如果所述数据存储器上的数据资源被破坏,所述数据持有者能够基于所述数据标签启动追踪方案,用于判定所述数据访问者是否是恶意用户。
根据一种优选的实施方式,在所述数据访问者请求更新和/或更改所述数据资源的情况下,所述私有链和/或所述联盟链上基于所述数据标签以调用智能合约的方式验证所述数据访问者是否具备更新和/或更改所述数据资源的权限,如果所述数据访问者具备所述数据标签定义的更新和/或更改的权限,所述数据访问者上传的数据能够以覆盖所述数据资源或不覆盖所述数据资源的方式存储于数据存储器上。
根据一种优选的实施方式,在所述数据存储器保存所述第一文件包和/或所述数据标签的情况下,所述数据存储器仅能够从所述第一文件包和/或所述数据标签对应的私有链写入数据。
根据一种优选的实施方式,本发明还公开一种基于区块链共享控制装置,至少包括:文件包创建单元,用于数据持有者生成包括加密后数据资源和与所述数据资源对应的索引文件的第一文件包;创链单元,用于数据持有者创建私有链;上传单元,将所述第一文件包通过所述私有链存储于数据存储器中;和数据存储器,至少用于存储所述第一文件包;所述装置还包括:载单元,用于数据访问者从所述数据存储器中下载所述第一文件包;访问单元,用于所述数据访问者在获取管理文件后访问与所述数据资源对应的私有链;密文获取单元,用于所述私有链在所述管理文件被认可情况下允许所述数据访问者从所述私有链中获取与所述数据资源对应的密文,用于解密加密后的所述数据资源;和权限管理单元,用于获取所述数据访问者向所述数据持有者请求的共享权限,并且用于所述数据持有者在所述数据访问者与所述索引文件匹配的情况下生成和所述索引文件匹配的所述管理文件并向所述数据访问者传输所述管理文件。
根据一种优选的实施方式,所述权限管理单元能够在以调用智能合约的方式匹配所述数据访问者与所述索引文件之后获取所述管理文件,其中,在所述数据持有者授权的情况下,其创建的所述私有链能够通过设置于联盟链上的接入节点与所述联盟链实现数据交互,以使得所述数据持有者能够在所述联盟链上以调用智能合约的方式通过所述授权所述数据访问者获取所述管理文件。
本发明提供一种基于区块链的共享控制方法,相比较于现有技术而言,至少具有如下优势:数据访问者的身份认证是在区块链上调用智能合约完成的,智能合约是数据持有者预先上传的,因此本发明的认可主体实质为数据持有者,而区块链相当于仅仅是为认证提供数据传输和媒介,基于区块链不可篡改性的特性,智能合约不会被区块链篡改,因而不会出现数据访问者与第三方勾结以及数据访问者身份认证不实的情况发生;其次,由于区块链上有不同的区块,智能合约是一串数据持有者预先设置的代码,智能合约的调用可以在不同的区块完成,其仅需要在区块链上读取数据访问者的ID身份,便能实现认证,因而比第三方认证速度快。
附图说明
图1是本发明提供的一种共享控制装置的优选逻辑框图;和
图2是本发明提供的一种共享控制装置的优选流程框图示意图。
附图标记列表
1:数据持有者 400:数据存储器
2:数据访问者 500:下载单元
100:文件包创建单元 600:访问单元
200:创链单元 700:密文获取单元
300:上传单元 800:权限管理单元
具体实施方式
下面结合附图1-2进行详细说明。
实施例1
本实施例公开一种基于区块链的数据共享控制方法,在不造成冲突或者矛盾的情况下,其他实施例的优选实施方式的整体和/或部分内容可以作为本实施例的补充。
本发明中的常见术语:
数据持有者1(Data Owner):数据分享方,能够加密待共享数据,创建私有链(控制待共享数据的访问权限)以及根据User的属性来生成私有链索引文件。例如,数据持有者1可以是各大券商、医院或者民间组织。
数据访问者2,(User):数据被分享方,能够下载共享数据并需要获取持有者1上传至私有链中的密文才能使用、查看或者更改该共享数据资源。例如,数据访问者2可以是患者或银行客户。
私有链Pb:是指其写入权限由某个组织和机构控制的区块链,参与节点的资格会被严格限制。
公有链:是指全世界任何人都可读取的,任何人都能发送交易且交易能获得有效确认的、任何人都能参与竞争记账的区块链。
联盟链Cb:只针对某个特定群体的成员和有限的第三方,其内部指定多个预选节点为记账人,每个块的生成由所有的预选节点共同决定。
智能合约(Smart contact),是执行在区块链上面的合约程序,通过区块链提供不可停止的可信计算功能。智能合约需要通过在合约中构建可以满足现实需求的合约功能,包括监督、行政以及监管的功能,通过合约本身的机制来符合业务需求。智能合约是代码和数据的集合,寄存于Blockchain的具体的地址。智能合约更想是在Blockchain中的一个自动化的代理(或者说是机器人or NPC),智能合约有自己的账户,在时间或事件的驱动下能自动执行一些功能,如可以在相互之间传递信息,修改区块链的状态(账户信息等),以及图灵完备计算(可以用图灵机做到的所有事情,通俗来说就是一般编程语言可以做的所有事情)。以太坊的智能合约是以太坊特定的字节码,被叫做EVM字节码。
矿工:区块链中参与处理区块的节点叫做矿工。
本实施公开一种基于区块链的数据共享控制方法,如图1所示,包括如下步骤:
数据持有者1将第一文件包通过其创建的私有链上传至数据存储器400。优选地,数据存储器400是云端存储器。数据访问者2从数据存储器400下载第一文件包。第一文件包中包括加密后的数据资源和数据资源对应的索引文件。索引文件用于识别数据访问者2的身份。
数据访问者2向数据持有者1请求共享权限。数据持有者1在数据访问者2与索引文件匹配的情况下生成和索引文件匹配的管理文件并向数据访问者2传输管理文件。数据访问者2能够基于获取的管理文件访问与数据资源对应的私有链。私有链Pb在管理文件被认可情况下允许数据访问者2从私有链Pb中获取与数据资源对应的密钥,用于解密加密后的数据资源。相比较于现有技术,本发明的数据分享控制方法至少具有如下优势:1、数据持有者能够在不同环境下根据特定的需求为不同的访问者提供细粒度的访问控制。数据持有者1根据数据的安全保护和共享方法针对具体的数据访问者配置访问控制策略(若需要对应多个不同的数据访问者则配置多条不同的策略),并将访问控制策略与相应的区块链锚定,成功之后,区块链便可通过策略对数据访问者的访问行为进行判断,从而准许或拒绝访问行为。同时,数据持有者可以随时更新策略。对于某个数据访问者的所设定的更新策略将通过与区块链的重新锚定来代替之前对该数据访问者设定的策略。基于此方法,数据的分享过程变得更加灵活,当数据持有者想要改变某个数据访问者对某些数据的权限时,只需重新配置相应的访问策略即可,而无需为访问者重新设置身份信息并通过多个步骤将身份信息发送给数据访问者。2、区块链上的数据一经产生便永远无法篡改,数据的被访问情况均会被记录在区块链当中,数据持有者可以通过查询历史记录来获知数据的被访问情况,从而得到数据泄露的源头,同时无需担心历史记录的真实性。
优选地,数据访问者2与索引文件按照调用智能合约的方式匹配。智能合约既是一段能够自动执行的程序代码,由数据持有者1预先部署。当接收到特定的输入后,执行相应的程序。例如,可以编写智能合约:接收到用户(数据访问者)的get(获取相应数据)请求后,当判断用户身份真实,并且在数据持有者对其设置的访问控制策略中含有get的权限时,则允许该请求,向用户返回数据的存储位置及部分密钥信息。此过程无需第三方参与,只需在区块链上成功部署智能合约即可,减少了时间和人力等资源的投入。索引文件上至少具有数据访问者2的身份信息,例如ID。通过智能合约甄别数据访问者2的身份信息与索引文件上的身份信息是否匹配,数据持有者1能够匹配的结果将管理文件传输至数据访问者2。现有技术中的管理子端由第三方提供,容易导致数据访问者2和第三方勾结盗取或篡改数据持有者1的数据资源的发生。而相比较于现有技术中的第三方认可而言,数据访问者2的身份认证是在区块链上调用智能合约完成的,智能合约是数据持有者1预先上传的,因此本发明的认可主体实质为数据持有者1,而区块链相当于仅仅是为认证提供数据传输和媒介,基于区块链不可篡改性的特性,智能合约不会被区块链篡改,因而不会出现数据访问者2与第三方勾结以及数据访问者2身份认证不实的情况发生;其次,由于区块链上有不同的节点,智能合约是一串数据持有者1预先设置的代码,智能合约的调用可以在不同的节点完成,其仅需要在区块链上读取数据访问者2的ID身份,便能实现认证,因而比第三方认证速度快。优选地,数据访问者2与索引文件是在联盟链Cb上按照调用智能合约的方式匹配的。数据持有者1能够通过该联盟链Cb开放的API进行限定查询。并且,联盟链Cb对于共识和验证节点的配置和网络要求相比较与公有链而言更高,从而联盟链Cb相比较于公有链而言,具有更好的处理性能、隐私保护以及合规性。而在联盟链Cb上进行身份验证,不在其私有链Pb上进行验证,是考虑到私有链Pb的限制更多,私有链Pb对于身份验证的效率而言较低。因此,通过在联盟链Cb上调用智能合约来进行数据访问者2与索引文件的匹配认证。具体地,在数据持有者1授权的情况下,其创建的私有链Pb能够通过设置于联盟链Cb上的接入节点与联盟链Cb实现数据交互,从而数据持有者1能够在联盟链Cb上以调用智能合约的方式授权数据访问者2获取管理文件。
优选地,管理文件用于数据访问者2从私有链上获取密文。因此,管理文件必须要得到区块链的认可,才能够使得其获取密文。本发明中,至少提供如下两种方式认可该管理文件。优选地,管理文件可以为数据持有者1发送给数据访问者2的的一串代码或者一串字符。在数据访问者2获取管理文件的情况下,管理文件按照如下方式认可:
(1)如果数据访问者2通过私有链Pb上的访问节点下载第一文件包,私有链Pb通过以调用智能合约的方式对管理文件进行认可。从私有链Pb的节点上获取第一文件包,私有链上能够分配一个节点资源用于验证该管理文件,以达到高效快速地方式将密文传输至数据访问者2的效果。
(2)如果数据访问者2通过联盟链Cb上的访问节点下载第一文件包,联盟链Cb通过以调用智能合约的方式对管理文件进行认可并将认可结果反馈至私有链Pb。从联盟链Cb的节点上获取第一文件包,联盟链Cb上能够分配一个区块资源用于验证该管理文件,以达到高效快速地方式将密文传输至数据访问者2的效果。
优选地,在数据访问者2获取密文之后,私有链Pb和/或联盟链Cb能够将获取信息写入数据存储器400中。该写入的获取信息以第二文件包的形式自动写入数据存储器400中。第二文件包与第一文件包彼此相互关联。该获取信息至少包括获取时间、数据访问者2的ID、请求时间和更改后的数据。
优选地,如果存储数据发起者试图对数据资源进行更改和/或更新,存储数据发起者在私有链Pb以调用智能合约的方式确认存储数据发起者是数据持有者1的情况下通过私有链Pb对数据存储器中的数据资源进行更改和/或更新。现有技术中,由于第三方对数据资源不能得到充分的保护,例如其对数据访问者2进行的数据资源篡改和更新监控不足,甚至第三方还可能随意对数据资源进行篡改。为有效的克服现有技术的不足,本发明提出该技术方案。该方式旨在对数据资源更改和/或更新前,需要对数据更改和/或更新发起者的身份进行确认,且该确认是在数据持有者1创建的私有链Pb上进行的,这能够使得数据资源更改和/或更新的主动权属于数据持有者1而非其他方(数据访问者1或第三方)。
优选地,保护数据资源的技术方案还可以通过另一优选的实施方案进行,即数据持有者1可以向存储数据发起者颁布证书。该证书通过调用智能合约的方式进行验证,在验证后,存储数据发起者也可以更新和/或更改数据资源。这种方式既能保证其他方具有更新和/或更改数据的权力,但该权力需要数据持有者1授权。具体地,数据持有者1授权存储数据发起者的情况下通过私有链Pb对数据存储器中的数据资源进行更改和/或更新,用以防止在数据访问者2获取密文之后试图篡改数据资源。
这两种保护数据资源的技术方案可以任选其一,也可以使用两种保护方案。
优选地,加密后的数据资源对应的数据标签保存于数据存储器400上。数据标签能够定义对数据资源进行更新和/或更改的用户名单。例如,该用户名单是以ID的形式保存的。如果用户名单仅包括数据持有者1,那么数据资源仅能通过数据持有者1进行更改和/或更新。甚至,该用户名单可以是以空值的形式保存,即数据标签定义该任何用户均不能更新和/或更改数据。这样有助于数据持有者1对数据资源的高效保护。例如,在数据访问者2请求更新和/或更改数据资源的情况下,私有链Pb和/或联盟链Cb上基于数据标签以调用智能合约的方式验证数据访问者2是否具备更新和/或更改数据资源的权限,如果数据访问者2具备数据标签定义的更新和/或更改的权限,数据访问者2上传的数据能够以覆盖数据资源或不覆盖数据资源的方式存储于数据存储器400上。即,如果数据标签上定义的用户名单包括数据访问者2,那么数据访问者2上传的数据能够以覆盖数据资源或不覆盖数据资源的方式存储于数据存储器400上。
尽管,本发明已经建立安全性较高的分享机制和访问机制,但是仍然存在恶意用户在获取数据持有者1信任后对数据资源进行破坏。因此,本发明还建立数据追踪机制。优选地,如果数据存储器400上的数据资源被破坏,数据持有者1能够基于数据标签启动追踪方案,用于判定数据访问者2是否是恶意用户。能够访问、下载、更新和/或更改数据的用于包括数据持有者1以及由数据持有者1授权的数据访问者2,并且能够更新和/或更改数据的用户是由数据标签定义的。因此,在私有链Pb以及联盟链Cb中能够对数据标签里的用户名单和访问、下载以及更改和/或更新时间进行核查和追踪,以确认破坏数据的数据访问者2。
优选地,为能够减小数据资源被破坏的概率和风险。在数据存储器400保存第一文件包和/或数据标签的情况下,数据存储器400仅能够从第一文件包和/或数据标签对应的私有链Pb写入数据。相比较于现有技术中数据来源能够多渠道的写入和存储,由于私有链中的区块数较少且具有较高的私密性和健全的访问机制,数据的写入能够有效地保证原始数据的安全性。
优选地,本实施例还公开一种系统,该系统适于执行本发明记载的各个方法步骤,以达到预期的技术效果。
实施例2
本实施例可以是对实施例1的进一步改进和/或补充,重复的内容不再赘述。在不造成冲突或者矛盾的情况下,其他实施例的优选实施方式的整体和/或部分内容可以作为本实施例的补充。
如图2所示,该数据共享控制方法具体地包括如下两大步骤:数据上传控制步骤S1和数据下载控制步骤S2。
数据上传控制步骤S1包括:
S11:数据持有者1加密需要共享的数据资源。
S12:数据持有者1在区块链网络中创建私有链Pb。
S13:在私有链Pb创建完成之后,数据持有者1能够根据需要获取数据资源的数据访问者的属性来生成索引文件。
S14:数据持有者1将加密后的共享数据资源连同索引文件打包成第一文件包上传至数据存储器。该数据存储器可以是云存储或者硬盘存储。
S15:数据持有者1将其个人信息(例如其ID信息)上传至与该私有链Pb绑定的数据存储器中。
S16:数据持有者1将加密所用到的密文上传到私有链Pb上。例如,密文可以是公钥及与之配对的主密钥。
数据下载控制步骤S2包括:
S21:数据访问者2从数据存储器中下载第一文件包。第一文件包中包括加密后的共享数据资源和索引文件。
S22:数据访问者2根据所下载的第一文件包内的索引文件,向数据持有者1请求与数据资源对应的管理文件(MSP文件),用以获取访问权限。
S23:数据持有者1响应于对管理文件(MSP文件)的请求而生成针对对应数据资源的管理文件(MSP文件),并将该管理文件(MSP文件)发送到发起请求的数据访问者2。
S24:数据访问者2基于管理文件(MSP文件)来确定需要访问的私有链Pb,以获取私有链Pb上的密文。
S25:仅当私有链Pb确认管理文件(MSP文件)文件有效之后,才允许由数据访问者2从该私有链Pb获取“其上的与所请求的数据资源对应的公钥和主密钥”。
S26:数据访问者2根据从私有链Pb所获取的主密钥和公钥来生成密钥,并用以解密所共享的数据。
实施例3
本实施例可以是配置实施例1和/或2中的方法的具体装置在不造成冲突或者矛盾的情况下,其他实施例的优选实施方式的整体和/或部分内容可以作为本实施例的补充。
本实施例提供的一种基于区块链的数据共享控制装置,如图1所示。至少包括:文件包创建单元100、创链单元200、上传单元300、数据存储器400、下载单元500、访问单元600、密文获取单元700和权限管理单元800。文件包创建单元100,用于数据持有者1生成包括加密后数据资源和与数据资源对应的索引文件的第一文件包。创链单元200,用于数据持有者1创建私有链Pb。上传单元300,将第一文件包通过私有链Pb存储于数据存储器400中。数据存储器400,至少用于存储第一文件包。下载单元500,用于数据访问者2从数据存储器400中下载第一文件包。访问单元600,用于数据访问者2在获取管理文件后访问与数据资源对应的私有链Pb。密文获取单元700,用于私有链Pb在管理文件被认可情况下允许数据访问者2从私有链Pb中获取与数据资源对应的密文,用于解密加密后的数据资源。权限管理单元800,用于获取数据访问者2向数据持有者1请求的共享权限,并且用于数据持有者1在数据访问者2与索引文件匹配的情况下生成和索引文件匹配的管理文件并向数据访问者2传输管理文件。
优选地,权限管理单元800能够在以调用智能合约的方式匹配数据访问者2与索引文件之后获取管理文件,其中,在数据持有者1授权的情况下,其创建的私有链Pb能够通过设置于联盟链Cb上的接入节点与联盟链Cb实现数据交互,以使得数据持有者1能够在联盟链Cb上以调用智能合约的方式通过授权数据访问者2获取管理文件。
文件包创建单元100、创链单元200、上传单元300、数据存储器400、下载单元500、访问单元600、密文获取单元700和权限管理单元800可以体现为个人计算机、服务器、个人数字助理,蜂窝电话、平板电脑等设备或者设备的组合。其中,各个单元之间可以通过数据网络、因特网、无线设备、有线设备实现通信连接。
需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。
Claims (10)
1.一种基于区块链的数据共享控制方法,包括:
数据持有者(1)将包括加密后的数据资源和所述数据资源对应的索引文件的第一文件包通过其创建的私有链(Pb)上传至数据存储器(400);
数据访问者(2)从所述数据存储器下载所述第一文件包;
其特征在于,
所述数据访问者(2)能够基于获取的管理文件访问与所述数据资源对应的私有链(Pb),
其中,所述私有链(Pb)在所述管理文件被认可情况下允许所述数据访问者(2)从所述私有链(Pb)中获取与所述数据资源对应的密钥,用于解密加密后的所述数据资源,
其中,基于所述数据访问者(2)的请求共享权限,所述数据持有者(1)在所述数据访问者(2)与所述索引文件匹配的情况下生成和所述索引文件匹配的所述管理文件并向所述数据访问者(2)传输所述管理文件。
2.根据权利要求1所述的控制方法,其特征在于,所述数据访问者(2)与所述索引文件按照调用智能合约的方式匹配,其中,在所述数据持有者(1)授权的情况下,其创建的所述私有链(Pb)能够通过设置于联盟链(Cb)上的接入节点与所述联盟链(Cb)实现数据交互,以使得所述数据持有者(1)能够在所述联盟链(Cb)上以调用智能合约的方式授权所述数据访问者(2)获取所述管理文件。
3.根据权利要求2所述的控制方法,其特征在于,在所述数据访问者(2)获取所述管理文件的情况下,所述管理文件按照如下方式认可:
如果所述数据访问者(2)通过所述私有链(Pb)上的访问节点下载所述第一文件包,所述私有链(Pb)通过以调用智能合约的方式对所述管理文件进行认可;
如果所述数据访问者(2)通过所述联盟链(Cb)上的访问节点下载所述第一文件包,所述联盟链(Cb)通过以调用智能合约的方式对所述管理文件进行认可并将认可结果反馈至所述私有链(Pb)。
4.根据权利要求3所述的控制方法,其特征在于,在所述数据访问者(2)获取密文之后,所述私有链(Pb)和/或所述联盟链(Cb)能够将获取信息写入所述数据存储器(400)中;
其中,所述获取信息至少包括获取时间、数据访问者(2)的ID、请求时间和更改后的数据。
5.根据权利要求4所述的控制方法,其特征在于,如果存储数据发起者试图对所述数据资源进行更改和/或更新,所述存储数据发起者在所述私有链(Pb)以调用智能合约的方式确认存储数据发起者是所述数据持有者(1)的情况下通过所述私有链(Pb)对所述数据存储器中的数据资源进行更改和/或更新;和/或,在所述数据持有者(1)授权所述存储数据发起者的情况下通过所述私有链(Pb)对所述数据存储器中的数据资源进行更改和/或更新,用以防止在所述数据访问者(2)获取所述密文之后试图篡改所述数据资源。
6.根据权利要求5所述的控制方法,其特征在于,所述加密后的数据资源对应的数据标签保存于所述数据存储器(400)上,所述数据标签定义能够对数据资源进行更新和/或更改的用户,至少能够用于所述数据持有者(1)基于所述数据标签对所述加密后的数据资源进行更新和/或更改;并且,如果所述数据存储器(400)上的数据资源被破坏,所述数据持有者(1)能够基于所述数据标签启动追踪方案,用于判定所述数据访问者(2)是否是恶意用户。
7.根据权利要求6所述的控制方法,其特征在于,在所述数据访问者(2)请求更新和/或更改所述数据资源的情况下,所述私有链(Pb)和/或所述联盟链(Cb)上基于所述数据标签以调用智能合约的方式验证所述数据访问者(2)是否具备更新和/或更改所述数据资源的权限,如果所述数据访问者(2)具备所述数据标签定义的更新和/或更改的权限,所述数据访问者(2)上传的数据能够以覆盖所述数据资源或不覆盖所述数据资源的方式存储于数据存储器(400)上。
8.根据权利要求7所述的控制方法,其特征在于,在所述数据存储器(400)保存所述第一文件包和/或所述数据标签的情况下,所述数据存储器(400)仅能够从所述第一文件包和/或所述数据标签对应的私有链(Pb)写入数据。
9.一种基于区块链的数据共享控制装置,至少包括:
文件包创建单元(100),用于数据持有者(1)生成包括加密后数据资源和与所述数据资源对应的索引文件的第一文件包;
创链单元(200),用于数据持有者(1)创建私有链(Pb);
上传单元(300),将所述第一文件包通过所述私有链(Pb)存储于数据存储器(400)中;和
数据存储器(400),至少用于存储所述第一文件包;
其特征在于,
所述装置还包括:
下载单元(500),用于数据访问者(2)从所述数据存储器(400)中下载所述第一文件包;
访问单元(600),用于所述数据访问者(2)在获取管理文件后访问与所述数据资源对应的私有链(Pb);
密文获取单元(700),用于所述私有链(Pb)在所述管理文件被认可情况下允许所述数据访问者(2)从所述私有链(Pb)中获取与所述数据资源对应的密钥,用于解密加密后的所述数据资源;和
权限管理单元(800),用于获取所述数据访问者(2)向所述数据持有者(1)请求的共享权限,并且用于所述数据持有者(1)在所述数据访问者(2)与所述索引文件匹配的情况下生成和所述索引文件匹配的所述管理文件并向所述数据访问者(2)传输所述管理文件。
10.根据权利要求9所述的控制装置,其特征在于,所述权限管理单元(800)能够在以调用智能合约的方式匹配所述数据访问者(2)与所述索引文件之后获取所述管理文件,其中,在所述数据持有者(1)授权的情况下,其创建的所述私有链(Pb)能够通过设置于联盟链(Cb)上的接入节点与所述联盟链(Cb)实现数据交互,以使得所述数据持有者(1)能够在所述联盟链(Cb)上以调用智能合约的方式通过所述授权所述数据访问者(2)获取所述管理文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910727936.7A CN110535833B (zh) | 2019-08-07 | 2019-08-07 | 一种基于区块链的数据共享控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910727936.7A CN110535833B (zh) | 2019-08-07 | 2019-08-07 | 一种基于区块链的数据共享控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110535833A CN110535833A (zh) | 2019-12-03 |
| CN110535833B true CN110535833B (zh) | 2020-06-09 |
Family
ID=68661467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910727936.7A Expired - Fee Related CN110535833B (zh) | 2019-08-07 | 2019-08-07 | 一种基于区块链的数据共享控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535833B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111669442A (zh) * | 2019-11-27 | 2020-09-15 | 朱培培 | 基于区块链的数据传输方法及电子设备 |
| CN111046427A (zh) * | 2019-12-13 | 2020-04-21 | 北京启迪区块链科技发展有限公司 | 基于区块链的数据访问控制方法、装置、设备和介质 |
| CN111414647A (zh) * | 2020-03-23 | 2020-07-14 | 深圳市闪联信息技术有限公司 | 一种基于区块链技术防篡改的数据共享系统及方法 |
| CN111539819A (zh) * | 2020-03-31 | 2020-08-14 | 上海宓猿信息技术有限公司 | 一种离线权益证明方法及系统 |
| CN111526197B (zh) * | 2020-04-24 | 2023-05-09 | 远光软件股份有限公司 | 一种云端数据安全共享方法 |
| CN111782889A (zh) * | 2020-07-07 | 2020-10-16 | 北京钢研新材科技有限公司 | 基于区块链的合金材料数据共享方法、系统及设备 |
| CN111709056B (zh) * | 2020-08-24 | 2020-11-17 | 北京邮电大学 | 基于区块链的数据共享方法及系统 |
| CN112333159B (zh) * | 2020-10-22 | 2022-09-23 | 北京梆梆安全科技有限公司 | 基于区块链的移动物联网终端访问控制方法、装置及系统 |
| CN112199220B (zh) * | 2020-12-01 | 2021-03-02 | 蚂蚁智信(杭州)信息技术有限公司 | 一种基于api网关的数据调用的方法和api网关 |
| CN112540957B (zh) * | 2020-12-03 | 2022-06-24 | 齐鲁工业大学 | 基于混合区块链的档案安全存储和共享系统及实现方法 |
| CN112527755B (zh) * | 2020-12-04 | 2022-05-31 | 浪潮云信息技术股份公司 | 基于区块链技术的政务数据交换方法及系统 |
| CN112532646B (zh) * | 2020-12-09 | 2022-08-16 | 杭州趣链科技有限公司 | 数据共享方法、系统、装置、设备和存储介质 |
| CN115021992A (zh) * | 2022-05-27 | 2022-09-06 | 中国银行股份有限公司 | 基于区块链的手机银行基金数据处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120639A (zh) * | 2018-09-26 | 2019-01-01 | 众安信息技术服务有限公司 | 一种基于区块链的数据云存储加密方法及系统 |
| CN109559124A (zh) * | 2018-12-17 | 2019-04-02 | 重庆大学 | 一种基于区块链的云数据安全共享方法 |
| WO2019120325A2 (en) * | 2019-03-29 | 2019-06-27 | Alibaba Group Holding Limited | Retrieving access data for blockchain networks using highly available trusted execution environments |
| WO2019137564A2 (en) * | 2019-04-26 | 2019-07-18 | Alibaba Group Holding Limited | Securely executing smart contract operations in a trusted execution environment |
| CN110032545A (zh) * | 2019-03-27 | 2019-07-19 | 远光软件股份有限公司 | 基于区块链的文件存储方法、系统及电子设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11829998B2 (en) * | 2016-06-07 | 2023-11-28 | Cornell University | Authenticated data feed for blockchains |
| CN109255251B (zh) * | 2018-10-31 | 2023-10-10 | 安徽中科晶格技术有限公司 | 基于区块链技术的档案数据保护系统及方法 |
| CN109729168B (zh) * | 2018-12-31 | 2021-10-01 | 浙江成功软件开发有限公司 | 一种基于区块链的数据共享交换系统及方法 |
| CN110008746B (zh) * | 2019-04-01 | 2020-11-03 | 大连理工大学 | 基于区块链的医疗记录存储、共享和安全理赔模型及方法 |
-
2019
- 2019-08-07 CN CN201910727936.7A patent/CN110535833B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120639A (zh) * | 2018-09-26 | 2019-01-01 | 众安信息技术服务有限公司 | 一种基于区块链的数据云存储加密方法及系统 |
| CN109559124A (zh) * | 2018-12-17 | 2019-04-02 | 重庆大学 | 一种基于区块链的云数据安全共享方法 |
| CN110032545A (zh) * | 2019-03-27 | 2019-07-19 | 远光软件股份有限公司 | 基于区块链的文件存储方法、系统及电子设备 |
| WO2019120325A2 (en) * | 2019-03-29 | 2019-06-27 | Alibaba Group Holding Limited | Retrieving access data for blockchain networks using highly available trusted execution environments |
| WO2019137564A2 (en) * | 2019-04-26 | 2019-07-18 | Alibaba Group Holding Limited | Securely executing smart contract operations in a trusted execution environment |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110535833A (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535833B (zh) | 一种基于区块链的数据共享控制方法 | |
| CN109144961B (zh) | 授权文件共享方法及装置 | |
| CN111709056B (zh) | 基于区块链的数据共享方法及系统 | |
| CN108259169B (zh) | 一种基于区块链云存储的文件安全分享方法及系统 | |
| CN111316278B (zh) | 安全身份和档案管理系统 | |
| CN110580413B (zh) | 基于链下授权的隐私数据查询方法及装置 | |
| CN110417750B (zh) | 基于区块链技术的文件读取和存储的方法、终端设备和存储介质 | |
| US8850593B2 (en) | Data management using a virtual machine-data image | |
| CN104137466B (zh) | 操作计算设备的方法及计算设备 | |
| US20210218720A1 (en) | Systems and methods for secure custodial service | |
| US8572372B2 (en) | Method for selectively enabling access to file systems of mobile terminals | |
| CN111787530B (zh) | 一种基于sim卡的区块链数字身份管理方法 | |
| CN101120355B (zh) | 用于控制在存储器装置中存取的方法 | |
| CN110519049A (zh) | 一种基于可信执行环境的云端数据保护系统 | |
| CN105516110A (zh) | 移动设备安全数据传送方法 | |
| CN111147432B (zh) | 具隐密性的kyc数据共享系统及其方法 | |
| JP2005537559A (ja) | トランザクションの安全な記録 | |
| CN105378649A (zh) | 多权限数据安全和访问 | |
| KR20140093716A (ko) | 컴퓨팅 장치를 보안화하는 방법 | |
| CN109067528A (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| CN1326629A (zh) | 鉴定及利用计算机系统安全资源的方法和系统 | |
| CN105450750A (zh) | 智能终端安全交互方法 | |
| CN111475850A (zh) | 基于智能合约的隐私数据查询方法及装置 | |
| CN114175580B (zh) | 增强的安全加密和解密系统 | |
| WO2002006948A1 (en) | Method for protecting the privacy, security, and integrity of sensitive data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200609 Termination date: 20210807 |