CN106372874A - 一种基于云平台下物联网移动金融支付系统 - Google Patents
一种基于云平台下物联网移动金融支付系统 Download PDFInfo
- Publication number
- CN106372874A CN106372874A CN201610772019.7A CN201610772019A CN106372874A CN 106372874 A CN106372874 A CN 106372874A CN 201610772019 A CN201610772019 A CN 201610772019A CN 106372874 A CN106372874 A CN 106372874A
- Authority
- CN
- China
- Prior art keywords
- data
- cloud
- platform
- payment
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/085—Payment architectures involving remote charge determination or related payment systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/0601—Electronic shopping [e-shopping]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于云平台下物联网移动金融支付系统,包括:云订购平台,其为用户订购商品或服务的平台,在用户订购商品或服务时向中央交易系统发送订单信息;移动终端,用于提供登录云订购平台的接口以及用户结账的接口;客户端,用于读取移动终端发送的账户信息,并向中央交易系统发送支付请求;中央交易系统,用于响应客户端的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台,待接收到云订购平台返回的支付结果确认的应答后,向客户端返回支付成功确认的信息。本发明支持多样的支付方式,智能便捷。
Description
技术领域
本发明涉及物联网金融支付技术领域,具体涉及一种基于云平台下物联网移动金融支付系统。
背景技术
目前移动支付的运作模式主要有以下三类:以移动运营商为运营主体的移动支付业务、以银行为运营主体的移动支付业务和以独立的第三方为运营主体的移动支付业务。这三类模式各有优缺点,在移动支付业务产业价值链中,移动运营商、银行、第三方服务提供商拥有各自不同的资源优势,只有彼此合理分工、密切合作,建立科学合理的移动支付业务的运作模式,才能推动移动支付业务的健康发展,本发明就着以移动运营商、银行、第三方服务提供商共同合作的新模式开发出新的移动金融支付模式,惠及地方,实现各个环节之间的共赢。
相关技术中的移动金融支付系统存在移动支付恶意程序,转账困难,支付不方便,功能单一的问题。
发明内容
为解决上述问题,本发明旨在提供一种基于云平台下物联网移动金融支付系统。
本发明的目的采用以下技术方案来实现:
提供了一种基于云平台下物联网移动金融支付系统,包括中央交易系统、移动终端、客户端、云订购平台;所述云订购平台为用户订购商品或服务的平台,其在用户订购商品或服务时向中央交易系统发送订单信息;所述移动终端用于提供登录云订购平台的接口以及用户结账的接口;所述客户端用于读取移动终端发送的账户信息,并向中央交易系统发送支付请求;所述中央交易系统用于响应客户端的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台,待接收到云订购平台返回的支付结果确认的应答后,向客户端返回支付成功确认的信息;所述移动终端包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。
本发明的有益效果为:采用了云订购平台的云平台大数据存储数据信息进行信息共享,改变了现在支付系统的模式;移动终端包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端,实现了远程支付、近场支付联机消费和近场支付脱机消费的功能,从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明结构连接示意图。
图2是本发明数据安全管理系统的结构示意图。
附图标记:
中央交易系统1、移动终端2、客户端3、数据安全管理系统4、云订购平台5、数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43、安全管理中心44。
具体实施方式
结合以下实施例对本发明作进一步描述。
应用场景1
参见图1、图2,本应用场景的一个实施例的基于云平台下物联网移动金融支付系统,包括中央交易系统1、移动终端2、客户端3、云订购平台5;所述云订购平台5为用户订购商品或服务的平台,其在用户订购商品或服务时向中央交易系统1发送订单信息;所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口;所述客户端3用于读取移动终端2发送的账户信息,并向中央交易系统1发送支付请求;所述中央交易系统1用于响应客户端3的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台5,待接收到云订购平台5返回的支付结果确认的应答后,向客户端3返回支付成功确认的信息;所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。
本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享,改变了现在支付系统的模式;移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端,实现了远程支付、近场支付联机消费和近场支付脱机消费的功能,从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。
优选的,所述的云订购平台5具体采用云存储平台,云存储平台采用Web开发语言PHP作为首选的支持语言,Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试,团队开发时还进行成员协作,不同的角色对代码、项目拥有不同的权限。
本优选实施例采用云存储平台,可以实现大量数据的存储。
优选的,所述的现场受理终端包括移动无线POS机,设置智能电子标签连接在移动无线POS机的前侧,智能电子标签具体采用RFID射频识别器。
本优选实施例运用了物联网RFID识别技术,实现了为智能终端的支付扫描部分提供了信息录入。
优选的,所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4;所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44;所述数据服务系统40用于负责商品信息的存储、备份及查询;所述数据预处理系统41用于将商户需要保密的信息数据进行预处理;所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密;所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备;所述安全管理中心44用于对各系统安全进行统一监控管理。
本优选实施例构建了数据安全管理系统4的系统结构。
优选的,所述负责商品信息的存储、备份及查询,包括:
(1)对商品信息的数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将商品信息数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给客户。
本优选实施例采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对商品信息数据存储、传输、访问过程中的安全进行综合考虑,不仅对商品信息数据进行加密,同时对商品信息数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本优选实施例实现了对各系统安全的统一监控管理。
优选的,所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元,所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合;所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的信息数据存储至相应的存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器;其中,当云存储器接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统41,先对需要保密的信息数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了需保密的信息数据存储的安全性能。
优选的,所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对需要保密的信息数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统42,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了数据安全管理系统4的安全性能。
在此应用场景中,更新周期T取6,数据安全管理系统4的安全性相对提高了12%。
应用场景2
参见图1、图2,本应用场景的一个实施例的基于云平台下物联网移动金融支付系统,包括中央交易系统1、移动终端2、客户端3、云订购平台5;所述云订购平台5为用户订购商品或服务的平台,其在用户订购商品或服务时向中央交易系统1发送订单信息;所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口;所述客户端3用于读取移动终端2发送的账户信息,并向中央交易系统1发送支付请求;所述中央交易系统1用于响应客户端3的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台5,待接收到云订购平台5返回的支付结果确认的应答后,向客户端3返回支付成功确认的信息;所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。
本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享,改变了现在支付系统的模式;移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端,实现了远程支付、近场支付联机消费和近场支付脱机消费的功能,从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。
优选的,所述的云订购平台5具体采用云存储平台,云存储平台采用Web开发语言PHP作为首选的支持语言,Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试,团队开发时还进行成员协作,不同的角色对代码、项目拥有不同的权限。
本优选实施例采用云存储平台,可以实现大量数据的存储。
优选的,所述的现场受理终端包括移动无线POS机,设置智能电子标签连接在移动无线POS机的前侧,智能电子标签具体采用RFID射频识别器。
本优选实施例运用了物联网RFID识别技术,实现了为智能终端的支付扫描部分提供了信息录入。
优选的,所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4;所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44;所述数据服务系统40用于负责商品信息的存储、备份及查询;所述数据预处理系统41用于将商户需要保密的信息数据进行预处理;所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密;所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备;所述安全管理中心44用于对各系统安全进行统一监控管理。
本优选实施例构建了数据安全管理系统4的系统结构。
优选的,所述负责商品信息的存储、备份及查询,包括:
(1)对商品信息的数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将商品信息数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给客户。
本优选实施例采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对商品信息数据存储、传输、访问过程中的安全进行综合考虑,不仅对商品信息数据进行加密,同时对商品信息数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本优选实施例实现了对各系统安全的统一监控管理。
优选的,所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元,所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合;所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的信息数据存储至相应的存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器;其中,当云存储器接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统41,先对需要保密的信息数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了需保密的信息数据存储的安全性能。
优选的,所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对需要保密的信息数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统42,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了数据安全管理系统4的安全性能。
在此应用场景中,更新周期T取7,数据安全管理系统4的安全性相对提高了11%。
应用场景3
参见图1、图2,本应用场景的一个实施例的基于云平台下物联网移动金融支付系统,包括中央交易系统1、移动终端2、客户端3、云订购平台5;所述云订购平台5为用户订购商品或服务的平台,其在用户订购商品或服务时向中央交易系统1发送订单信息;所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口;所述客户端3用于读取移动终端2发送的账户信息,并向中央交易系统1发送支付请求;所述中央交易系统1用于响应客户端3的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台5,待接收到云订购平台5返回的支付结果确认的应答后,向客户端3返回支付成功确认的信息;所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。
本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享,改变了现在支付系统的模式;移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端,实现了远程支付、近场支付联机消费和近场支付脱机消费的功能,从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。
优选的,所述的云订购平台5具体采用云存储平台,云存储平台采用Web开发语言PHP作为首选的支持语言,Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试,团队开发时还进行成员协作,不同的角色对代码、项目拥有不同的权限。
本优选实施例采用云存储平台,可以实现大量数据的存储。
优选的,所述的现场受理终端包括移动无线POS机,设置智能电子标签连接在移动无线POS机的前侧,智能电子标签具体采用RFID射频识别器。
本优选实施例运用了物联网RFID识别技术,实现了为智能终端的支付扫描部分提供了信息录入。
优选的,所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4;所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44;所述数据服务系统40用于负责商品信息的存储、备份及查询;所述数据预处理系统41用于将商户需要保密的信息数据进行预处理;所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密;所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备;所述安全管理中心44用于对各系统安全进行统一监控管理。
本优选实施例构建了数据安全管理系统4的系统结构。
优选的,所述负责商品信息的存储、备份及查询,包括:
(1)对商品信息的数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将商品信息数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给客户。
本优选实施例采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对商品信息数据存储、传输、访问过程中的安全进行综合考虑,不仅对商品信息数据进行加密,同时对商品信息数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本优选实施例实现了对各系统安全的统一监控管理。
优选的,所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元,所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合;所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的信息数据存储至相应的存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器;其中,当云存储器接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统41,先对需要保密的信息数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了需保密的信息数据存储的安全性能。
优选的,所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对需要保密的信息数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统42,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了数据安全管理系统4的安全性能。
在此应用场景中,更新周期T取8,数据安全管理系统4的安全性相对提高了10%。
应用场景4
参见图1、图2,本应用场景的一个实施例的基于云平台下物联网移动金融支付系统,包括中央交易系统1、移动终端2、客户端3、云订购平台5;所述云订购平台5为用户订购商品或服务的平台,其在用户订购商品或服务时向中央交易系统1发送订单信息;所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口;所述客户端3用于读取移动终端2发送的账户信息,并向中央交易系统1发送支付请求;所述中央交易系统1用于响应客户端3的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台5,待接收到云订购平台5返回的支付结果确认的应答后,向客户端3返回支付成功确认的信息;所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。
本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享,改变了现在支付系统的模式;移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端,实现了远程支付、近场支付联机消费和近场支付脱机消费的功能,从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。
优选的,所述的云订购平台5具体采用云存储平台,云存储平台采用Web开发语言PHP作为首选的支持语言,Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试,团队开发时还进行成员协作,不同的角色对代码、项目拥有不同的权限。
本优选实施例采用云存储平台,可以实现大量数据的存储。
优选的,所述的现场受理终端包括移动无线POS机,设置智能电子标签连接在移动无线POS机的前侧,智能电子标签具体采用RFID射频识别器。
本优选实施例运用了物联网RFID识别技术,实现了为智能终端的支付扫描部分提供了信息录入。
优选的,所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4;所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44;所述数据服务系统40用于负责商品信息的存储、备份及查询;所述数据预处理系统41用于将商户需要保密的信息数据进行预处理;所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密;所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备;所述安全管理中心44用于对各系统安全进行统一监控管理。
本优选实施例构建了数据安全管理系统4的系统结构。
优选的,所述负责商品信息的存储、备份及查询,包括:
(1)对商品信息的数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将商品信息数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给客户。
本优选实施例采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对商品信息数据存储、传输、访问过程中的安全进行综合考虑,不仅对商品信息数据进行加密,同时对商品信息数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本优选实施例实现了对各系统安全的统一监控管理。
优选的,所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元,所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合;所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的信息数据存储至相应的存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器;其中,当云存储器接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统41,先对需要保密的信息数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了需保密的信息数据存储的安全性能。
优选的,所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对需要保密的信息数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统42,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了数据安全管理系统4的安全性能。
在此应用场景中,更新周期T取9,数据安全管理系统4的安全性相对提高了9%。
应用场景5
参见图1、图2,本应用场景的一个实施例的基于云平台下物联网移动金融支付系统,包括中央交易系统1、移动终端2、客户端3、云订购平台5;所述云订购平台5为用户订购商品或服务的平台,其在用户订购商品或服务时向中央交易系统1发送订单信息;所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口;所述客户端3用于读取移动终端2发送的账户信息,并向中央交易系统1发送支付请求;所述中央交易系统1用于响应客户端3的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台5,待接收到云订购平台5返回的支付结果确认的应答后,向客户端3返回支付成功确认的信息;所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。
本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享,改变了现在支付系统的模式;移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端,实现了远程支付、近场支付联机消费和近场支付脱机消费的功能,从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。
优选的,所述的云订购平台5具体采用云存储平台,云存储平台采用Web开发语言PHP作为首选的支持语言,Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试,团队开发时还进行成员协作,不同的角色对代码、项目拥有不同的权限。
本优选实施例采用云存储平台,可以实现大量数据的存储。
优选的,所述的现场受理终端包括移动无线POS机,设置智能电子标签连接在移动无线POS机的前侧,智能电子标签具体采用RFID射频识别器。
本优选实施例运用了物联网RFID识别技术,实现了为智能终端的支付扫描部分提供了信息录入。
优选的,所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4;所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44;所述数据服务系统40用于负责商品信息的存储、备份及查询;所述数据预处理系统41用于将商户需要保密的信息数据进行预处理;所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密;所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备;所述安全管理中心44用于对各系统安全进行统一监控管理。
本优选实施例构建了数据安全管理系统4的系统结构。
优选的,所述负责商品信息的存储、备份及查询,包括:
(1)对商品信息的数据格式进行转换,建立适用于非关系数据库进行存储的格式;
(2)将商品信息数据分为基础数据和专业数据,采用集中式和分布式结合的策略对数据进行存储,存储时所有数据都进行备份;所述集中式和分布式结合的策略包括:对于高于预设频率的基础数据采用集中式存储,由数据管理中心统一维护,对于低于预设频率的专业数据采用分布式存储,由各专业数据中心分别维护;
(3)建立相应的数据检索算法,对数据进行快速检索,所述数据检索算法采用目录检索和搜索引擎相结合的方式进行,具体包括:建立数据目录,根据目录对数据进行初步检索;在搜索引擎输入关键词,对数据进行精确检索;搜索引擎按照一定的方式寻找匹配的数据,并根据数据与关键词的匹配程度进行排序反馈给客户。
本优选实施例采用目录检索和搜索引擎结合的检索算法,能够快速、准确的获取数据。
优选的,所述对各系统安全进行统一监控管理,包括:
(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术,配备相关的安全防护设备,形成完整的安全防护体制;
(2)建立有效的数据安全策略,对商品信息数据存储、传输、访问过程中的安全进行综合考虑,不仅对商品信息数据进行加密,同时对商品信息数据的传输协议进行加密;
(3)建立病毒和木马防御机制,定期更新病毒库和升级防火墙,更新周期为T,T取值为6-10天,对检测到的异常数据要进行分析,并发出预警。
本优选实施例实现了对各系统安全的统一监控管理。
优选的,所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元,所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合;所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序,将每个数据集合中的第一个数据单元按序抽取出来,与所述排序规则一起保存作为小块数据,其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联;所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略,包括:
(1)基于被数据抽取单元处理后的互斥的数据集合,构建层次化数据数结构,所述层次化数据树结构为三层数据树结构,其包括服务层、逻辑层和物理层,所述服务层为与数据调度服务相关的树根节点,所述逻辑层为访问控制安全策略中关联的数据,所述物理层包含所有互斥的数据集合中的数据单元;
(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略,将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上,从而将访问控制安全策略中的规则细化到数据维度;
(3)在每个所述互斥的数据集合中的数据单元上进行规则优化,以删除分配在每个数据单元上的规则的冲突和冗余;
(4)合并优化后的规则,生成优化的访问控制安全策略。
优选的,所述将用户需要上传的信息数据存储至相应的存储设备,包括:
(1)将小块数据存储至本地存储器,并采用用户定义的加密技术对小块数据进行加密;
(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器;其中,当云存储器接收到数据后,云对该数据进行完整性校验后保存在存储节点中。
上述两个优选实施例设置数据预处理系统41,先对需要保密的信息数据进行数据分割和数据抽取处理,再进行访问控制安全策略中的规则细化,可以减少数据存储的物理存储空间,降低存储的开销,并消除访问控制安全策略中的冲突和冗余,提高访问控制决策效率;通过数据抽取处理抽取部分数据存储到本地存储器中,其余数据设置相应的访问控制安全策略后存储至云存储器中,解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐,可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据,提高了需保密的信息数据存储的安全性能。
优选的,所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成,所述对需要保密的信息数据进行加密或解密,包括:
(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID,包括:
A、进行初始化,可信三方设定系统参数为其中α为随机整数;
B、对于每个合法用户,可信三方分配UAID并为其生成证书:
同时,公布合法用户的身份验证参数其中,CUAID∈ZP;
C、为数据拥有者和合法用户生成身份密钥对;
(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥,其中所述基于身份的加解密密钥包括身份公钥GKUAID和身份私钥CKUAID,所述属性加解密密钥包括属性公钥GKAID和属性私钥CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID为单个属性机构能够分配的属性集合,GKx为属性x的公钥,Bx为属性x的版本号,∝AID为属性机构的私钥参数,βAID为属性更新参数,ASUAID,AID为根据属性机构的身份分配的属性集合,γ为属性机构随机选择的参数,γ,∝AID,βAID∈ZP;
(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密,得到密文CT,然后分别利用身份公钥和属性公钥对数据密钥加密,生成身份密钥密文CTU和属性密钥密文CTA,包括:
A、随机生成两个固定长度的字符串IK,AK,合并生成数据密钥DK:
DK=IK||AK
B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密,得到密文CT后,利用属性公钥对AK加密,生成属性密钥密文CTA,利用身份公钥对IK加密,生成身份密钥密文CTU;
(4)进行代理重加密,当收到用户的数据请求时,云利用代理重加密密钥将身份密钥密文CTU转化为指定用户可解密的密文,其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成;
(5)进行数据解密时,用户收到数据后,分别利用身份私钥CKUAID和属性私钥CKAID解密身份密钥密文CTU和属性密钥密文CTA,然后重构数据密钥,解密密文CT;
(6)进行属性和身份密钥的更新。
本优选实施例通过设置云存储加解密系统42,能够实现对多类型的大数据的细粒度访问控制和隐私保护,同时抵御用户和属性机构共谋;对需存储到云存储器的数据,分别构造基于身份的加解密密钥、属性加解密密钥,合并构成数据加密密钥对该数据进行加密,从而只有同时满足身份和属性双重条件的用户可以解密,极大提高了数据安全管理系统4的安全性能。
在此应用场景中,更新周期T取10,数据安全管理系统4的安全性相对提高了8%。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。
Claims (3)
1.一种基于云平台下物联网移动金融支付系统,其特征在于,包括中央交易系统、移动终端、客户端、云订购平台;所述云订购平台为用户订购商品或服务的平台,其在用户订购商品或服务时向中央交易系统发送订单信息;所述移动终端用于提供登录云订购平台的接口以及用户结账的接口;所述客户端用于读取移动终端发送的账户信息,并向中央交易系统发送支付请求;所述中央交易系统用于响应客户端的支付请求,根据所述订单信息进行相应的扣款确认,同时将支付结果发送给云订购平台,待接收到云订购平台返回的支付结果确认的应答后,向客户端返回支付成功确认的信息;所述移动终端包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。
2.根据权利要求1所述的一种基于云平台下物联网移动金融支付系统,其特征在于,所述的云订购平台具体采用云存储平台,云存储平台采用Web开发语言PHP作为首选的支持语言,Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试,团队开发时还进行成员协作,不同的角色对代码、项目拥有不同的权限。
3.根据权利要求2所述的一种基于云平台下物联网移动金融支付系统,其特征在于,所述的现场受理终端包括移动无线POS机,设置智能电子标签连接在移动无线POS机的前侧,智能电子标签具体采用RFID射频识别器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610772019.7A CN106372874A (zh) | 2016-08-30 | 2016-08-30 | 一种基于云平台下物联网移动金融支付系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610772019.7A CN106372874A (zh) | 2016-08-30 | 2016-08-30 | 一种基于云平台下物联网移动金融支付系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106372874A true CN106372874A (zh) | 2017-02-01 |
Family
ID=57902009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610772019.7A Pending CN106372874A (zh) | 2016-08-30 | 2016-08-30 | 一种基于云平台下物联网移动金融支付系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106372874A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110751560A (zh) * | 2019-10-22 | 2020-02-04 | 中国工商银行股份有限公司 | 交易处理方法和装置、电子设备和可读存储介质 |
CN110929282A (zh) * | 2019-12-05 | 2020-03-27 | 武汉深佰生物科技有限公司 | 一种基于蛋白互作的生物特征信息预警方法 |
CN112785383A (zh) * | 2021-01-28 | 2021-05-11 | 杉德银卡通信息服务有限公司 | 基于物联网的物流配送系统及方法 |
CN114429341A (zh) * | 2022-01-24 | 2022-05-03 | 吉林银行股份有限公司 | 一种分组缴费方法、装置及设备 |
CN114629680A (zh) * | 2022-01-27 | 2022-06-14 | 广州爱格尔智能科技有限公司 | 一种基于扫码设备的数据交互系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281314A (zh) * | 2011-01-30 | 2011-12-14 | 程旭 | 高效安全的数据云存储系统实现方法及装置 |
US20130212160A1 (en) * | 2012-02-09 | 2013-08-15 | Rockwell Automation Technologies, Inc. | Industrial automation app-store |
CN104809611A (zh) * | 2015-04-20 | 2015-07-29 | 王宏旭 | 一种基于云平台下物联网移动金融支付方法和系统 |
CN105787716A (zh) * | 2014-12-25 | 2016-07-20 | 北京花果信息技术有限公司 | 一种基于云平台的移动终端支付方法 |
-
2016
- 2016-08-30 CN CN201610772019.7A patent/CN106372874A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281314A (zh) * | 2011-01-30 | 2011-12-14 | 程旭 | 高效安全的数据云存储系统实现方法及装置 |
US20130212160A1 (en) * | 2012-02-09 | 2013-08-15 | Rockwell Automation Technologies, Inc. | Industrial automation app-store |
CN105787716A (zh) * | 2014-12-25 | 2016-07-20 | 北京花果信息技术有限公司 | 一种基于云平台的移动终端支付方法 |
CN104809611A (zh) * | 2015-04-20 | 2015-07-29 | 王宏旭 | 一种基于云平台下物联网移动金融支付方法和系统 |
Non-Patent Citations (1)
Title |
---|
裴新: "云存储中数据安全模型设计及分析关键技术研究", 《中国博士学位论文全文数据库-信息科技辑》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110751560A (zh) * | 2019-10-22 | 2020-02-04 | 中国工商银行股份有限公司 | 交易处理方法和装置、电子设备和可读存储介质 |
CN110751560B (zh) * | 2019-10-22 | 2022-03-18 | 中国工商银行股份有限公司 | 交易处理方法和装置、电子设备和可读存储介质 |
CN110929282A (zh) * | 2019-12-05 | 2020-03-27 | 武汉深佰生物科技有限公司 | 一种基于蛋白互作的生物特征信息预警方法 |
CN112785383A (zh) * | 2021-01-28 | 2021-05-11 | 杉德银卡通信息服务有限公司 | 基于物联网的物流配送系统及方法 |
CN114429341A (zh) * | 2022-01-24 | 2022-05-03 | 吉林银行股份有限公司 | 一种分组缴费方法、装置及设备 |
CN114429341B (zh) * | 2022-01-24 | 2022-12-02 | 吉林银行股份有限公司 | 一种分组缴费方法、装置及设备 |
CN114629680A (zh) * | 2022-01-27 | 2022-06-14 | 广州爱格尔智能科技有限公司 | 一种基于扫码设备的数据交互系统及方法 |
CN114629680B (zh) * | 2022-01-27 | 2023-11-10 | 广州爱格尔智能科技有限公司 | 一种基于扫码设备的数据交互系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11868998B2 (en) | System and method for tracking of provenance and flows of goods, services, and payments in responsible supply chains | |
CN106372874A (zh) | 一种基于云平台下物联网移动金融支付系统 | |
CN108764877B (zh) | 基于区块链技术的数字资产确权交易方法 | |
US10162978B2 (en) | Secure computer cluster with encryption | |
CN105096172A (zh) | 基于电子商务平台的电子发票的生成和处理方法及系统 | |
CN102307185A (zh) | 适用于存储云内的数据隔离方法 | |
CN102402733A (zh) | 多样化电子会计档案管理系统及方法 | |
CN106326666A (zh) | 一种健康档案信息管理服务系统 | |
CN101639889A (zh) | 网络物流 | |
CN106156345B (zh) | 项目文件存证方法、存证设备及终端设备 | |
CN104299135A (zh) | 一种在线支付系统与方法 | |
US11914732B2 (en) | Systems and methods for hard deletion of data across systems | |
CN106356066A (zh) | 一种基于云计算的语音识别系统 | |
CN106022706A (zh) | 电子合约主体以及相关执行过程信息的全息呈现系统 | |
CN110766548A (zh) | 基于区块链的信息处理方法、装置、存储介质及电子设备 | |
US20220067125A1 (en) | Method for distributing certificate of right to use digital content, and computer program stored in medium in order to carry out method | |
KR20220167146A (ko) | 블록체인 기반 스마트컨트랙트를 이용한 수출입 자동화 서비스 제공 시스템 | |
Liu et al. | The application of block chain technology in spot exchange | |
WO2021249208A1 (zh) | 采用码链区块的数字货币模型、方法、系统及装置 | |
Subash et al. | IoT-based secure luggage storage kiosk | |
CN106131224A (zh) | 一种数据传输系统 | |
CN101968816A (zh) | 数据处理系统及服务器 | |
Lu et al. | Design of enterprise financial information management system based on blockchain technology | |
US11799658B2 (en) | Tracking data throughout an asset lifecycle | |
CN106355328A (zh) | 一种账票数据管理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170201 |
|
RJ01 | Rejection of invention patent application after publication |