CN105678182B - 一种数据操作控制的方法及装置 - Google Patents
一种数据操作控制的方法及装置 Download PDFInfo
- Publication number
- CN105678182B CN105678182B CN201511020129.XA CN201511020129A CN105678182B CN 105678182 B CN105678182 B CN 105678182B CN 201511020129 A CN201511020129 A CN 201511020129A CN 105678182 B CN105678182 B CN 105678182B
- Authority
- CN
- China
- Prior art keywords
- account
- data
- operation information
- data operation
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Abstract
本发明提供了一种数据操作控制的方法及装置,包括:第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户;生成第一数据操作信息;发送所述第一数据操作信息至所述第二账户请求联合签名;接收来自所述第二账户的签名确认信息;根据所述签名确认信息进行数据操作控制。以及,第二账户接收数据操作信息;验证所述数据操作信息通过后,对所述数据操作信息进行签名处理;向所述第一账户发送签名确认信息。采用本发明的技术方案,能够有效满足多样性的数据操作控制需求。
Description
技术领域
本发明涉及数据访问控制技术领域,可应用于基于联合签名的区块链访问控制,特别涉及一种数据操作控制的方法及装置。
背景技术
为了保证数据安全,设置数据操作控制策略。现有的数据操作控制方案主要是基于单个用户或机构签名授权实现的,不能满足多样性的数据操作需求。
发明内容
本发明实施例提出了一种数据操作处理、协助数据操作处理的方法及装置,用以克服现有数据操作控制不能满足多样性的数据操作需求的不足。
本发明实施例提供了一种数据操作控制的方法,包括如下步骤:
第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户,所述第一账户为发起数据操作请求的账户;所述第一账户、所述第二账户分别对应一个权限值,所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值;
生成第一数据操作信息;所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的;所述原始数据操作信息包括:第一账户标识ID、所述第二账户列表或所述第二账户的公钥;
发送所述第一数据操作信息至所述第二账户请求联合签名;
接收来自所述第二账户的签名确认信息;
根据所述签名确认信息进行数据操作控制。
本发明实施例提供了一种数据操作控制的方法,包括如下步骤:
第二账户接收数据操作信息;所述数据操作信息包括:第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息;
验证所述数据操作信息通过后,对所述数据操作信息进行签名处理;
向所述第一账户发送签名确认信息。
本发明实施例提供了一种数据操作控制的装置,包括:
确定单元,用于根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户,所述第一账户为发起数据操作请求的账户;所述第一账户、所述第二账户分别对应一个权限值,所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值;
生成单元,用于生成第一数据操作信息;所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的;所述原始数据操作信息包括:第一账户标识ID、所述第二账户列表或所述第二账户的公钥;
第一发送单元,用于发送所述第一数据操作信息至所述第二账户请求联合签名;
第一接收单元,用于接收来自所述第二账户的签名确认信息;
控制单元,用于根据所述签名确认信息进行数据操作控制。
本发明实施例提供了一种数据操作控制的装置,包括:
第二接收单元,用于接收数据操作信息;所述数据操作信息包括:第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息、;
签名单元,用于验证所述数据操作信息通过后,对所述数据操作信息进行签名处理;
第二发送单元,用于向所述第一账户发送签名确认信息。
本发明有益效果如下:
本发明实施例提供了一种数据操作控制的方法及装置,第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户,发送第一数据操作信息至所述第二账户请求联合签名后,接收所述第二账户的签名确认信息,根据签名确认信息进行数据操作控制,可以为账户分配权限值,在第一账户本身权限值不满足某一个或多个数据操作的权限阈值时,发起联合签名请求至第二账户,根据第二账户的签名确认信息进行数据操作控制,提升联合签名的数字操作控制的可扩展性,满足多样性的数据操作需求。
本发明实施例提供了一种数据操作控制的方法及装置,第二账户接收到数据操作信息,验证所述数据操作信息通过后,对所述数据操作信息进行签名处理,反馈签名确认信息至第一账户,可以通过对所述数据操作信息进行签名处理的方式,进行对第一账户的数据操作控制,提升联合签名的数字操作控制的可扩展性,满足多样性的数据操作需求。
附图说明
下面将参照附图描述本发明的具体实施例,
图1为本发明实施例中数据操作控制的方法的流程示意图一;
图2为本发明实施例中区块链数据的示意图;
图3为本发明实施例中数据操作信息的示意图;
图4为本发明实施例中数据操作列表的示意图;
图5为本发明实施例中数据操作控制的装置的结构示意图一;
图6为本发明实施例中数据操作控制的方法的流程示意图二;
图7为本发明实施例中数据操作控制的装置的结构示意图二。
具体实施方式
为了使本发明的技术方案及优点更加清楚明白,以下结合附图对本发明的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本发明的一部分实施例,而不是所有实施例的穷举。并且在不冲突的情况下,本说明书中的实施例及实施例中的特征可以互相结合。
图1为本发明实施例中数据操作控制的方法的流程示意图一,本发明实施例中的数据操作控制的方法可以应用于联合签名的发起方。如图1所示,数据操作控制的方法可以包括如下步骤:
步骤101:第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户,所述第一账户为发起数据操作请求的账户;所述第一账户、所述第二账户分别对应一个权限值,所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值;
步骤102:生成第一数据操作信息;所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的;所述原始数据操作信息包括:第一账户标识ID、所述第二账户列表或所述第二账户的公钥;
步骤103:发送所述第一数据操作信息至所述第二账户请求联合签名;
步骤104:接收来自所述第二账户的签名确认信息;
步骤105:根据所述签名确认信息进行数据操作控制。
具体实施中,第一账户可以是一个或多个,当第一账户为多个时,代表该资产访问由多个用户发起。
第一账户或第二账户可以向所在系统提交注册请求以获得唯一的账户ID(Identity,标识)及公、私钥等信息。账户注册成功后,可以对账户类型、账户相关数据信息等进行初始化。可以根据账户的评估结果为每个账户分配相应的数据操作的权限值。不同的数据操作需要的权限值可能不同。
本发明实施例中的数据操作类型以及各数据操作类型的所需的权限阈值可以预先设置。例如,设预设的数据操作权限阈值为0~100内的整型数字,预设的数据操作权限阈值越高,代表该数据操作对账户的权限值要求越高。
在确定第二账户的过程中,除了满足第一账户和第二账户的权限值之和不小于所述预设的数据操作权限阈值之外,第一账户还可以自主选择联合签名的一个或多个第二账户,生成第二账户列表,选择的依据可以是需要共同完成数据操作(例如,支付等)的商业伙伴或者与第一账户同属一个用户的其他账号等等。第二账户列表可以按照权限值的大小降序或升序排序,也可以按照账户名称的顺序等进行排序,也可以是无序排列,这里不做具体限定。
第一账户生成第一数据操作信息后,可以发送至第二账户列表中排序第一的第二账户请求联合签名,第二账户列表中排序第一的第二账户完成签名处理后,由该排序第一的第二账户向下一个第二账户发送包含第一账户的签名信息和第二账户列表中排序第一的第二账户的签名处理结果(签名处理结果可以是完成签名的签名信息或者拒绝签名)的数据操作信息请求联合签名。排序第二的第二账户完成签名处理后,向排序第三的第二账户发送包含第一账户的签名信息、排序第一的第二账户的签名处理结果和排序第二的第二账户的签名处理结果的数据操作信息请求联合签名,依次类推,直至联合签名完成。
另一种情况,第一账户生成第一数据操作信息后,也可以向第二账户列表中的所有第二账户发送所述第一数据操作信息请求联合签名,接收来自第二账户签名处理后得到的签名确认信息。具体的,可以是每个第二账户完成签名处理后,向第一账户反馈签名确认信息;也可以是第二账户列表中的所有第二账户均完成签名处理后,由排序最后一个的第二账户向第一账户反馈签名确认信息。
本发明实施例提供了一种数据操作控制的方法,第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户,发送第一数据操作信息至所述第二账户请求联合签名后,接收所述第二账户的签名确认信息,根据签名确认信息进行数据操作控制,可以为账户分配权限值,在第一账户本身权限值不满足某一个或多个数据操作的权限阈值时,发起联合签名请求至第二账户,根据第二账户的签名确认信息进行数据操作控制,提升联合签名的数字操作控制的可扩展性,满足多样性的数据操作需求。
实施中,所述数据可以为区块链数据,所述区块链数据由不同区块数据根据产生时间依次链接而成;每个区块数据包括:所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的根哈希值HASH或所述区块数据中包含数据的操作记录信息。
具体实施中,图2为本发明实施例中区块链数据的示意图,如图2所示,区块链数据可以由根据产生的时间依次链接的区块数据组成,每个区块数据中可以包括由区块数据产生的时间戳、当前区块数据的根HASH、前一区块数据的根HASH、所包含的数据操作记录等信息组成。
实施中,所述原始数据操作信息可以包括:数据类型、时间戳、联合签名有效期、所述第二账户对应的权限值或数据操作列表。
具体实施中,图3为本发明实施例中数据操作信息的示意图,如图3所示,第一账户列表中可以包括一个或多个第一账户的账户ID。其中,数据类型可以是第一账户拥有的数据的类型,也可以是第一账户发起的数据操作对应的数据的类型。时间戳为生成数据操作信息的时间戳。
图4为本发明实施例中数据操作列表的示意图,如图4所示,数据操作列表可以包含一个数据操作或多个数据操作。对于数据操作列表中的每个数据操作都需要根据预设的操作权限阈值选择相应的第二账户形成第二账户列表,以达到数据操作的权限阈值要求。例如,设数据操作1的权限阈值为T1,第一账户1的权限值为W1,如果W1>T1,则第一账户1自己拥有满足数据操作1的权限阈值,则无需进行联合签名,数据操作记录中仅需第一账户1签名即可。如果W1<T1,第一账户1无权单独进行数据操作1,则需要得到一个或多个第二账户的联合签名,以使第一账户的权限值和所述一个或多个第二账户对应的权限值之和不小于预设的数据操作1权限阈值T1,完成数据操作1。
实施中,根据所述签名确认信息进行数据操作控制,可以具体包括:
若在联合签名有效期内,所述一个或多个第二账户均反馈签名完成的签名确认信息,则所述第一账户完成所述数据操作;
若在联合签名有效期内,若干所述第二账户未反馈签名确认信息或者反馈签名失败的签名确认信息,则所述第一账户不能完成所述数据操作。
具体实施中,除了要求第一账户的权限值和所述一个或多个第二账户对应的权限值之和不小于预设的数据操作权限阈值之外,还可以限制联合签名必须在联合签名有效期内完成。若超出联合签名有效期,仍有一个或几个第二账户没有完成签名处理或者拒绝进行签名时,此次数据操作控制的联合签名结束,结果为失败。第一账户可以向已选定的第二账户列表中的第二账户重新发起一次数据操作控制的联合签名请求,也可以重新选择第二账户进行数据操作控制的联合签名,以保证联合签名实现的效率。
实施中,根据所述签名确认信息进行数据操作控制之后,还包括:
采用区块数据广播所述数据操作记录。
具体实施中,可以由第一账户在完成数据操作控制之后,利用区块数据广播所述数据操作记录,也可以由最后完成签名处理的第二账户广播所述数据操作记录。
基于同一发明构思,本发明实施例中还提供了一种数据操作控制的装置,由于该装置解决问题的原理与一种数据操作控制的方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图5为本发明实施例中数据操作控制的装置的结构示意图一,如图5所示,该数据操作控制的装置可以包括:
确定单元501,用于根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户,所述第一账户为发起数据操作请求的账户;所述第一账户、所述第二账户分别对应一个权限值,所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值;
生成单元502,用于生成第一数据操作信息;所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的;所述原始数据操作信息包括:第一账户标识ID、所述第二账户列表或所述第二账户的公钥;
第一发送单元503,用于发送所述第一数据操作信息至所述第二账户请求联合签名;
第一接收单元504,用于接收来自所述第二账户的签名确认信息;
控制单元505,用于根据所述签名确认信息进行数据操作控制。
实施中,所述数据可以为区块链数据,所述区块链数据由不同区块数据根据产生时间依次链接而成;每个区块数据包括:所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的根哈希值HASH或所述区块数据中包含数据的操作记录信息。
实施中,所述原始数据操作信息可以包括:数据类型、时间戳、联合签名有效期、所述第二账户对应的权限值或数据操作列表。
实施中,所述控制单元可以具体用于若在联合签名有效期内,所述一个或多个第二账户均反馈签名完成的签名确认信息,则所述第一账户完成所述数据操作;若在联合签名有效期内,若干所述第二账户未反馈签名确认信息或者反馈签名失败的签名确认信息,则所述第一账户不能完成所述数据操作。
实施中,所述数据操作控制的装置还可以包括:
第一广播单元,用于根据所述签名确认信息进行数据操作控制之后,采用区块数据广播所述数据操作记录。
图6为本发明实施例中数据操作控制的方法的流程示意图二,本发明实施例中的数据操作控制的方法可以应用于联合签名的响应方。如图6所示,数据操作控制的方法可以包括如下步骤:
步骤601:第二账户接收数据操作信息;所述数据操作信息包括:第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息;
步骤602:验证所述数据操作信息通过后,对所述数据操作信息进行签名处理;
步骤603:向所述第一账户发送签名确认信息。
具体实施中,账户、数据操作类型数据操作类型的权限阈值以及第二账户的确定,上述已有说明,此处不再赘述。
签名确认信息可以是签名完成或者拒绝签名。
本发明实施例提供了一种数据操作控制的方法,第二账户接收到数据操作信息,验证所述数据操作信息通过后,对所述数据操作信息进行签名处理,反馈签名确认信息至第一账户,可以通过对所述数据操作信息进行签名处理的方式,进行对第一账户的数据操作控制,提升联合签名的数字操作控制的可扩展性,满足多样性的数据操作需求。
实施中,所述数据可以为区块链数据,所述区块链数据由不同区块数据根据产生时间依次链接而成;每个区块数据包括:所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的根哈希值HASH或所述区块数据中包含数据的操作记录信息。
具体实施中,区块链数据上述已说明,此处不再赘述。
实施中,所述数据操作信息可以包括:数据类型、时间戳、签名有效期、所述第二账户对应的权限值或数据操作列表。
具体实施中,数据操作信息上述已说明,此处不再赘述。
实施中,验证所述数据操作信息可以具体包括:
确定所述数据操作信息中是否包含所述第二账户的密钥;
若确定所述数据操作信息中包含所述第二账户的密钥,确定采用已签名账户的密钥是否能对所述数据操作信息进行解密;
若确定采用已签名账户的密钥能对所述数据操作信息进行解密,则验证所述数据操作信息为合法的;
若确定采用已签名账户的密钥不能对所述数据操作信息进行解密,验证所述数据操作信息为非法的;
若确定所述数据操作信息中不包含所述第二账户的密钥,验证所述数据操作信息为非法的。
具体实施中,第二账户对数据操作信息的验证可以从两个方面进行:一是第二账户的自身公钥是否包含在数据操作信息中、二是采用用已签名者的公钥是否可以对数据操作信息进行解密。该数据操作控制的方法应用于区块链数据的操作控制场景下,对于数据操作信息的验证,还可以根据区块链数据中已存在的区块数据信息对数据操作信息进行验证。如果验证通过,则对数据操作信息进行签名,否则,拒绝签名,以保证签名的安全性。
实施中,验证所述数据操作信息通过后,对所述数据操作信息进行签名处理,可以具体包括:
若所述验证结果为所述数据操作信息是合法的,采用上述第二账户的私钥对所述数据操作信息进行签名;
若所述验证结果为所述数据操作信息是非法的,拒绝对所述数据操作信息进行签名。
实施中,对所述数据操作信息进行签名处理之后,还可以包括:
根据签名处理的结果更新所述数据操作信息;
向所述第一账户发送签名确认信息之后,还可以包括:
所述第二账户依据所述第二账户列表中的第二账户顺序发送更新后的数据操作信息至所述第二账户的下一个第二账户。
具体实施中,第二账户列表中以某种顺序对第二账户进行排序,具体的,可以按照权限值的大小降序或升序排序,也可以按照账户名称的顺序等进行排序,也可以是无序排列。第二账户对数据操作信息完成签名处理后,若签名处理结果为完成签名,则将所述第二账户的签名信息更新至所述数据操作信息中;若签名处理结果为拒绝签名,则将所述第二账户拒绝签名的信息更新至所述数据操作信息中。然后,根据第二账户的排序,将更新后的数据操作信息发送给下一个第二账户,依次类推,直至此次数据操作控制的联合签名完成或结束。
实施中,向所述第一账户发送签名确认信息之后,还可以包括:
所述第二账户列表中的最后一个第二账户完成签名后,采用区块数据广播所述数据操作信息。
具体实施中,可以由最后完成签名处理的第二账户广播所述数据操作记录。
实施中,接收到广播所述数据操作信息的区块数据后,可以验证所述区块数据。
具体实施中,验证所述区块数据,以确保所述区块数据的安全性。
实施中,验证所述区块数据,可以具体包括:
确定所述第一账户的公钥及所述第二账户的公钥是否能对所述数据操作信息解密;
若确定所述第一账户的公钥及所述第二账户的公钥能对所述数据操作信息解密后,确定所述第一账户和所述第二账户对应的权限值之和是否不小于预设的数据操作权限阈值;
若确定所述第一账户和所述第二账户对应的权限值之和不小于所述预设的数据操作权限阈值,验证所述区块数据是有效的;
若确定所述第一账户和所述第二账户对应的权限值之和小于所述预设的数据操作权限阈值,则验证所述区块数据是无效的;
若确定所述第一账户的公钥及所述第二账户的公钥不能对所述数据操作信息解密,验证所述区块数据是无效的。
具体实施中,对所述区块数据的验证主要可以包括两个步骤,一是验证所有完成签名账户的签名有效性,即,判断第一账户和所有第二账户的公钥是否可以完成数据操作信息的解密;二是数据操作权重阈值验证,即,判断所有完成签名账户(即所有第一账户和所有第二账户)的权限值之和是否不小于数据操作的权重阈值。对于所述区块数据的验证,还可以根据区块链数据中已存在的区块数据对所述区块数据进行验证。
若所述区块数据通过验证,可以依据算法PoW(Proof of Work,工作证明)、PoS(Proof of Stake,权益证明)、RPCA(Ripple Consensus Algorithm,一致性算法)或SCP(Stellar Consensus Protocol,恒星一致性协议)等进行共识验证。所述区块数据通过共识验证,则说明数据操作信息的合法性被认可,所述区块数据可被纳入区块链数据中,数字操作成功。
从理论上来说,只要是能够对区块数据进行验证的其它的技术也是可以实施本方案的,PoW、POS、RPCA及SCP仅用于教导本领域技术人员具体如何实施本发明,但不意味仅能使用PoW、POS、RPCA或SCP一种方式,实施过程中可以结合实践需要来确定相应的方式。
基于同一发明构思,本发明实施例中还提供了一种数据操作控制的装置,由于该装置解决问题的原理与一种数据操作控制的方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图7为本发明实施例中数据操作控制的装置的结构示意图二,如图7所示,数据操作控制的装置可以包括:
第二接收单元701,用于接收数据操作信息;所述数据操作信息包括:第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息;
签名单元702,用于验证所述数据操作信息通过后,对所述数据操作信息进行签名处理;
第二发送单元703,用于向所述第一账户发送签名确认信息。
实施中,所述数据可以为区块链数据,所述区块链数据由不同区块数据根据产生时间依次链接而成;每个区块数据包括:所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的根哈希值HASH或所述区块数据中包含数据的操作记录信息。
实施中,所述数据操作信息可以包括:数据类型、时间戳、签名有效期、所述第二账户对应的权限值或数据操作列表。
实施中,所述数据操作控制的装置还可以包括:
验证单元,用于确定所述数据操作信息中是否包含所述第二账户的密钥;若确定所述数据操作信息中包含所述第二账户的密钥,确定采用已签名账户的密钥是否能对所述数据操作信息进行解密;若确定采用已签名账户的密钥能对所述数据操作信息进行解密,则验证所述数据操作信息为合法的;若确定采用已签名账户的密钥不能对所述数据操作信息进行解密,验证所述数据操作信息为非法的;若确定所述数据操作信息中不包含所述第二账户的密钥,验证所述数据操作信息为非法的。
实施中,签名单元可以具体用于若所述验证结果为所述数据操作信息是合法的,采用上述第二账户的私钥对所述数据操作信息进行签名;若所述验证结果为所述数据操作信息是非法的,拒绝对所述数据操作信息进行签名。
实施中,所述数据操作控制的装置还可以包括:
更新单元,用于对所述数据操作信息进行签名处理之后,根据签名处理的结果更新所述数据操作信息;
所述第二发送单元可以进一步用于向所述第一账户发送签名确认信息之后,所述第二账户依据所述第二账户列表中的第二账户顺序发送更新后的数据操作信息至所述第二账户的下一个第二账户。所述第二发送单元可以进一步用于向所述第一账户发送签名确认信息之后,所述第二账户依据所述第二账户列表中的第二账户顺序发送更新后的数据操作信息至所述第二账户的下一个第二账户。
实施中,所述数据操作控制的装置还可以包括:
第二广播单元,用于向所述第一账户发送签名确认信息之后,所述第二账户列表中的最后一个第二账户完成签名后,采用区块数据广播所述数据操作信息。
实施中,所述验证单元可以进一步用于接收到广播所述数据操作信息的区块数据后,验证所述区块数据。
实施中,所述验证单元可以具体用于确定所述第一账户的公钥及所述第二账户的公钥是否能对所述数据操作信息解密;若确定所述第一账户的公钥及所述第二账户的公钥能对所述数据操作信息解密后,确定所述第一账户和所述第二账户对应的权限值之和是否不小于预设的数据操作权限阈值;若确定所述第一账户和所述第二账户对应的权限值之和不小于所述预设的数据操作权限阈值,验证所述区块数据是有效的;若确定所述第一账户和所述第二账户对应的权限值之和小于所述预设的数据操作权限阈值,则验证所述区块数据是无效的;若确定所述第一账户的公钥及所述第二账户的公钥不能对所述数据操作信息解密,验证所述区块数据是无效的。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种数据操作控制的方法,其特征在于,包括如下步骤:
第二账户接收数据操作信息;所述数据操作信息包括:第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息;
验证所述数据操作信息通过后,对所述数据操作信息进行签名处理;
向所述第一账户发送签名确认信息;
验证所述数据操作信息具体包括:
确定所述数据操作信息中是否包含所述第二账户的密钥;
若确定所述数据操作信息中包含所述第二账户的密钥,确定采用已签名账户的密钥是否能对所述数据操作信息进行解密;
若确定采用已签名账户的密钥能对所述数据操作信息进行解密,则验证所述数据操作信息为合法的;
若确定采用已签名账户的密钥不能对所述数据操作信息进行解密,验证所述数据操作信息为非法的;
若确定所述数据操作信息中不包含所述第二账户的密钥,验证所述数据操作信息为非法的。
2.如权利要求1所述的方法,其特征在于,所述数据为区块链数据,所述区块链数据由不同区块数据根据产生时间依次链接而成;每个区块数据包括:所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的根哈希值HASH或所述区块数据中包含数据的操作记录信息。
3.如权利要求1所述的方法,其特征在于,所述数据操作信息包括:数据类型、时间戳、签名有效期、所述第二账户对应的权限值或数据操作列表。
4.如权利要求1所述的方法,其特征在于,验证所述数据操作信息通过后,对所述数据操作信息进行签名处理,具体包括:
若验证结果为所述数据操作信息是合法的,采用上述第二账户的私钥对所述数据操作信息进行签名;
若所述验证结果为所述数据操作信息是非法的,拒绝对所述数据操作信息进行签名。
5.如权利要求1所述的方法,其特征在于,对所述数据操作信息进行签名处理之后,还包括:
根据签名处理的结果更新所述数据操作信息;
向所述第一账户发送签名确认信息之后,还包括:
所述第二账户依据所述第二账户列表中的第二账户顺序发送更新后的数据操作信息至所述第二账户的下一个第二账户。
6.如权利要求5所述的方法,其特征在于,向所述第一账户发送签名确认信息之后,还包括:
所述第二账户列表中的最后一个第二账户完成签名后,采用区块数据广播所述数据操作信息。
7.如权利要求6所述的方法,其特征在于,接收到广播所述数据操作信息的区块数据后,验证所述区块数据。
8.如权利要求7所述的方法,其特征在于,验证所述区块数据,具体包括:
确定所述第一账户的公钥及所述第二账户的公钥是否能对所述数据操作信息解密;
若确定所述第一账户的公钥及所述第二账户的公钥能对所述数据操作信息解密后,确定所述第一账户和所述第二账户对应的权限值之和是否不小于预设的数据操作权限阈值;
若确定所述第一账户和所述第二账户对应的权限值之和不小于所述预设的数据操作权限阈值,验证所述区块数据是有效的;
若确定所述第一账户和所述第二账户对应的权限值之和小于所述预设的数据操作权限阈值,则验证所述区块数据是无效的;
若确定所述第一账户的公钥及所述第二账户的公钥不能对所述数据操作信息解密,验证所述区块数据是无效的。
9.一种数据操作控制的装置,其特征在于,包括:
第二接收单元,用于接收数据操作信息;所述数据操作信息包括:第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息;
签名单元,用于验证所述数据操作信息通过后,对所述数据操作信息进行签名处理;
第二发送单元,用于向所述第一账户发送签名确认信息;
验证单元,用于确定所述数据操作信息中是否包含所述第二账户的密钥;若确定所述数据操作信息中包含所述第二账户的密钥,确定采用已签名账户的密钥是否能对所述数据操作信息进行解密;若确定采用已签名账户的密钥能对所述数据操作信息进行解密,则验证所述数据操作信息为合法的;若确定采用已签名账户的密钥不能对所述数据操作信息进行解密,验证所述数据操作信息为非法的;若确定所述数据操作信息中不包含所述第二账户的密钥,验证所述数据操作信息为非法的。
10.如权利要求9所述的装置,其特征在于,所述数据为区块链数据,所述区块链数据由不同区块数据根据产生时间依次链接而成;每个区块数据包括:所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的根哈希值HASH或所述区块数据中包含数据的操作记录信息。
11.如权利要求9所述的装置,其特征在于,所述数据操作信息包括:数据类型、时间戳、签名有效期、所述第二账户对应的权限值或数据操作列表。
12.如权利要求9所述的装置,其特征在于,签名单元具体用于若验证结果为所述数据操作信息是合法的,采用上述第二账户的私钥对所述数据操作信息进行签名;若所述验证结果为所述数据操作信息是非法的,拒绝对所述数据操作信息进行签名。
13.如权利要求11所述的装置,其特征在于,还包括:
更新单元,用于对所述数据操作信息进行签名处理之后,根据签名处理的结果更新所述数据操作信息;
所述第二发送单元进一步用于向所述第一账户发送签名确认信息之后,所述第二账户依据所述第二账户列表中的第二账户顺序发送更新后的数据操作信息至所述第二账户的下一个第二账户。
14.如权利要求13所述的装置,其特征在于,还包括:
第二广播单元,用于向所述第一账户发送签名确认信息之后,所述第二账户列表中的最后一个第二账户完成签名后,采用区块数据广播所述数据操作信息。
15.如权利要求14所述的装置,其特征在于,所述验证单元进一步用于接收到广播所述数据操作信息的区块数据后,验证所述区块数据。
16.如权利要求15所述的装置,其特征在于,所述验证单元具体用于确定所述第一账户的公钥及所述第二账户的公钥是否能对所述数据操作信息解密;若确定所述第一账户的公钥及所述第二账户的公钥能对所述数据操作信息解密后,确定所述第一账户和所述第二账户对应的权限值之和是否不小于预设的数据操作权限阈值;若确定所述第一账户和所述第二账户对应的权限值之和不小于所述预设的数据操作权限阈值,验证所述区块数据是有效的;若确定所述第一账户和所述第二账户对应的权限值之和小于所述预设的数据操作权限阈值,则验证所述区块数据是无效的;若确定所述第一账户的公钥及所述第二账户的公钥不能对所述数据操作信息解密,验证所述区块数据是无效的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511020129.XA CN105678182B (zh) | 2015-12-29 | 2015-12-29 | 一种数据操作控制的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511020129.XA CN105678182B (zh) | 2015-12-29 | 2015-12-29 | 一种数据操作控制的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105678182A CN105678182A (zh) | 2016-06-15 |
| CN105678182B true CN105678182B (zh) | 2019-04-12 |
Family
ID=56298016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511020129.XA Active CN105678182B (zh) | 2015-12-29 | 2015-12-29 | 一种数据操作控制的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105678182B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105976232B (zh) * | 2016-06-24 | 2020-04-28 | 深圳前海微众银行股份有限公司 | 资产交易方法和装置 |
| CN105976231A (zh) * | 2016-06-24 | 2016-09-28 | 深圳前海微众银行股份有限公司 | 基于区块链智能合约的资产管理方法及节点 |
| CN106327173A (zh) * | 2016-08-22 | 2017-01-11 | 布比(北京)网络技术有限公司 | 网络支付方法及装置 |
| DE102016215915A1 (de) | 2016-08-24 | 2018-03-01 | Siemens Aktiengesellschaft | Sicheres Konfigurieren eines Gerätes |
| CN106487801B (zh) * | 2016-11-03 | 2019-10-11 | 江苏通付盾科技有限公司 | 基于区块链的信息验证方法及装置 |
| CN107016542A (zh) | 2016-12-06 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 一种业务数据处理方法、验证方法、装置及系统 |
| CN106934623B (zh) * | 2016-12-07 | 2021-06-08 | 中国银联股份有限公司 | 基于以太坊区块链技术的帐户完整性检查方法 |
| WO2018112940A1 (zh) * | 2016-12-23 | 2018-06-28 | 深圳前海达闼云端智能科技有限公司 | 区块链节点的业务执行方法、装置及节点设备 |
| CN106686555A (zh) * | 2017-01-12 | 2017-05-17 | 算丰科技(北京)有限公司 | 广播数据块的方法、装置和电子设备 |
| CN107395557B (zh) | 2017-03-28 | 2020-05-15 | 创新先进技术有限公司 | 一种业务请求的处理方法及装置 |
| CN107154850A (zh) * | 2017-05-17 | 2017-09-12 | 北京汇通金财信息科技有限公司 | 一种区块链数据的处理方法及装置 |
| CN107171810B (zh) * | 2017-06-27 | 2020-03-13 | 中国联合网络通信集团有限公司 | 区块链的验证方法及装置 |
| CN109241726B (zh) * | 2017-07-10 | 2021-05-11 | 上海策赢网络科技有限公司 | 一种用户权限控制方法及装置 |
| EP3432507B1 (de) * | 2017-07-20 | 2019-09-11 | Siemens Aktiengesellschaft | Überwachung einer blockchain |
| CN109840766B (zh) * | 2017-11-27 | 2024-03-29 | 华为终端有限公司 | 一种设备控制方法及其相关设备 |
| CN109347897B (zh) * | 2018-08-16 | 2019-11-26 | 朱小军 | 一种中心架构型仿生数据传输系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102780709A (zh) * | 2012-08-21 | 2012-11-14 | 广东利为网络科技有限公司 | 一种权限管理方法和权限管理系统 |
| US8458193B1 (en) * | 2012-01-31 | 2013-06-04 | Google Inc. | System and method for determining active topics |
-
2015
- 2015-12-29 CN CN201511020129.XA patent/CN105678182B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8458193B1 (en) * | 2012-01-31 | 2013-06-04 | Google Inc. | System and method for determining active topics |
| CN102780709A (zh) * | 2012-08-21 | 2012-11-14 | 广东利为网络科技有限公司 | 一种权限管理方法和权限管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| 基于P2P网络的Bitcion虚拟货币分析;石苗;《计算机与数字工程》;20150831;第43卷(第8期);1435-1439 |
| 基于量化权限的门限访问控制方案;雷浩;《软件学报》;20141130;第15卷(第11期);1683-1686 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105678182A (zh) | 2016-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105678182B (zh) | 一种数据操作控制的方法及装置 | |
| CN110309634B (zh) | 一种基于区块链的可信广告数据管理系统 | |
| CN109067539B (zh) | 联盟链交易方法、设备及计算机可读存储介质 | |
| CN109840771A (zh) | 一种基于同态加密的区块链隐私保护系统及其方法 | |
| WO2021008453A1 (zh) | 一种基于标识认证的区块链离线交易方法和系统 | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| CN109450877B (zh) | 基于区块链的分布式IDaaS身份统一认证系统 | |
| CN106503098A (zh) | 内置于Paas服务层的区块链云服务框架系统 | |
| CN109150539A (zh) | 一种基于区块链的分布式ca认证系统、方法及装置 | |
| US9882890B2 (en) | Reissue of cryptographic credentials | |
| CN107438002A (zh) | 基于区块链的系统以及系统中的电子设备和方法 | |
| CN106327184A (zh) | 一种基于安全硬件隔离的移动智能终端支付系统及方法 | |
| CN110134424A (zh) | 固件升级方法及系统、服务器、智能设备、可读存储介质 | |
| US20090254749A1 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN105049434B (zh) | 一种对等网络环境下的身份认证方法与加密通信方法 | |
| CN112069550B (zh) | 一种基于智能合约方式的电子合同存证系统 | |
| CN109583893A (zh) | 可追踪的基于区块链的数字货币交易系统 | |
| CN112396421B (zh) | 一种基于区块链通证的身份认证系统及方法 | |
| CN105933338A (zh) | 一种用于进行虚拟卡交易的方法和装置 | |
| EP3686829A1 (en) | Device control method, and related device for same | |
| CN111222879A (zh) | 一种适用于联盟链的无证书认证方法及系统 | |
| CN108768975A (zh) | 支持密钥更新和第三方隐私保护的数据完整性验证方法 | |
| CN105450623A (zh) | 一种电动汽车的接入认证方法 | |
| CN107248997B (zh) | 多服务器环境下基于智能卡的认证方法 | |
| León-Coca et al. | Authentication systems using ID Cards over NFC links: the Spanish experience using DNIe |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20160615 Assignee: Cedar golden Services Technology (Guangzhou) Co.,Ltd. Assignor: BUBI (BEIJING) NETWORK TECHNOLOGY Co.,Ltd. Contract record no.: X2021990000108 Denomination of invention: A method and device of data operation control Granted publication date: 20190412 License type: Common License Record date: 20210218 |