CN109711182A - 一种基于区块链的跨领域共享数据安全决策方法及模型 - Google Patents
一种基于区块链的跨领域共享数据安全决策方法及模型 Download PDFInfo
- Publication number
- CN109711182A CN109711182A CN201811606541.3A CN201811606541A CN109711182A CN 109711182 A CN109711182 A CN 109711182A CN 201811606541 A CN201811606541 A CN 201811606541A CN 109711182 A CN109711182 A CN 109711182A
- Authority
- CN
- China
- Prior art keywords
- decision
- security
- shared data
- point
- security policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明涉及数据安全技术领域,公开了一种基于区块链的跨领域共享数据安全决策方法。包括:共享数据发布方通过安全策略执行点拟定安全策略,发布共享数据,并上报策略信息到安全策略管理点;共享数据使用方通过安全策略执行点向安全策略决策点发起数据访问决策请求;安全策略决策点响应决策请求,从安全策略管理点上获取共享数据安全策略,基于安全策略结合区块链共识机制进行策略决策,反馈决策结果给安全策略执行点;使用方安全策略执行点根据决策结果对共享数据访问请求进行允许或拒绝处理。本发明的技术方案简化了跨领域权限系统设计和实现的复杂性。本发明的技术方案保证策略决策的权威性和可靠性,可支撑共享数据权限的跨域验证和管控。
Description
技术领域
本发明涉及数据安全技术领域,特别是一种基于区块链的跨领域共享数据安全决策方法及模型。
背景技术
现有的权限系统设计模型通常有:自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)、基于属性的权限控制(ABAC)等。但这些权限模型通常无法满足跨网跨域数据共享场景下,数据确权确责、追踪溯源、细粒度管控、跨域权限管控等安全需求。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供了一种基于区块链的跨领域共享数据安全决策方法及模型。
本发明采用的技术方案如下:一种基于区块链的跨领域共享数据安全决策方法,具体包括以下过程:
步骤1,共享数据发布方通过安全策略执行点拟定安全策略,发布共享数据,并上报策略信息到安全策略管理点;
步骤2,共享数据使用方通过安全策略执行点向安全策略决策点发起数据访问决策请求;
步骤3,安全策略决策点响应决策请求,从安全策略管理点上获取共享数据安全策略,基于安全策略结合区块链共识机制进行策略决策,反馈决策结果给安全策略执行点;
步骤4,使用方安全策略执行点根据决策结果对共享数据访问请求进行允许或拒绝处理。
进一步的,所述步骤1的具体过程为:步骤11,共享数据发布方进行共享数据发布时,依据主体、客体、环境、权限属性拟定共享数据安全策略;步骤12,安全策略执行点依据安全策略对共享数据进行封装保护后通过共享交换平台进行共享发布;步骤13,安全策略执行点将安全策略上报到安全策略管理点。
进一步的,所述基于区块链的跨领域共享数据安全决策方法还包括以下过程:安全策略执行点将发布方身份、共享数据信息、安全策略标识通过策略执行点提交到策略决策点,记录到不可篡改信息资源共享账簿。
进一步的,所述步骤2的具体过程为:步骤21,共享数据使用方从共享交换平台获取共享数据信息,向使用方安全策略执行点发起共享数据访问请求;步骤22,使用方安全策略执行点响应该请求,向安全策略决策点发起共享数据访问决策请求。
进一步的,所述步骤3的具体过程为:步骤31,安全策略决策点响应使用方决策请求,向安全策略管理点查询共享数据的安全策略信息;步骤32,安全策略决策点将返回的安全策略信息,以及使用方身份信息、使用环境信息作为决策条件,交予区块链决策模块;步骤33,区块链决策模块基于智能合约机制进行授权决策,并将决策结果返回给安全策略执行点。
进一步的,所述步骤4的具体过程为:步骤41,使用方安全策略执行点获取安全策略决策点决策结果;步骤42,若决策结果为合法,则安全策略执行点允许访问共享数据,若结果为非法,则拒绝访问共享数据。
进一步的,所述基于区块链的跨领域共享数据安全决策方法还包括以下过程:安全策略执行点将处理结果上报安全策略决策点,记录到不可篡改信息资源共享账簿。
本发明还公开了一种基于区块链的跨领域共享数据安全决策模型,包括:
安全策略执行点,部署在共享数据发布方和使用方;用于对接共享业务系统,响应共享业务系统的共享数据请求;用于对接策略决策点,向策略决策点发起数据访问决策请求;
安全策略决策点,用于负责响应策略执行点决策请求,依据安全策略,基于共识决策算法决策使用方是否具备请求的操作权限,并将决策结果反馈给策略执行点;
安全策略管理点,用于集中配置并管理安全策略,为安全策略决策点提供安全策略查询服务。
进一步的,所述安全策略决策点还包括不可篡改信息资源共享账簿,用于记录将发布方身份、共享数据信息、安全策略标识。
进一步的,所述安全策略包括数据单元、授权用户、授权权限、授权环境和扩展属性。
与现有技术相比,采用上述技术方案的有益效果为:
(1)通过构建跨领域共享数据安全决策模型,分离安全策略的管理、决策和执行功能,简化跨领域权限系统设计和实现的复杂性。安全策略管理点实现策略的集中管理,策略决策点基于区块链实现安全策略共识决策、共享数据确权和访问行为的追踪溯源,策略执行点对接业务系统,实现业务系统和权限系统的解耦。
(2)基于区块链智能合约、共识算法和账簿不可篡改等特性实现安全策略决策点,可保证策略决策的权威性和可靠性,同时基于区块链的分布式特征,可支撑共享数据权限的跨域验证和管控。
(3)通过主体、客体、环境、行为等实体属性、以及实体关系的组合制定安全策略,可基于策略描述实现共享数据权限的细粒度、跨域权限管控。
附图说明
图1是本发明基于区块链的跨领域共享数据安全决策模型示意图。
图2是本发明基于区域链的安全决策点示意图。
图3是本发明共享数据安全策略示意图。
具体实施方式
下面结合附图对本发明做进一步描述。
如图1所示,数据提供方和数据使用方是跨领域的两个主体,两个主体之间是共享业务系统,通过本发明的决策方法来实现两个主体之间的安全共享业务。
(1)共享数据发布方通过安全策略执行点拟定安全策略,发布共享数据,并上报策略信息到安全策略管理点;
具体的:(11)共享数据发布方进行共享数据发布时,依据主体、客体、环境、权限属性拟定共享数据安全策略;(12)安全策略执行点依据安全策略对共享数据进行封装保护后通过共享交换平台进行共享发布;(13)安全策略执行点将安全策略上报到安全策略管理点。安全策略管理点作用是集中配置管理安全策略。
优选地,为了数据确权,安全策略执行点将发布方身份、共享数据信息(数据标识、数据指纹)、安全策略标识通过策略执行点提交到策略决策点(区块链),记录到不可篡改信息资源共享账簿。
(2)共享数据使用方通过安全策略执行点向安全策略决策点发起数据访问决策请求;
具体的:(21)共享数据使用方从共享交换平台获取共享数据信息,向使用方安全策略执行点发起共享数据访问请求;(22)使用方安全策略执行点响应该请求,向安全策略决策点发起共享数据访问决策请求。
(3)安全策略决策点响应决策请求,从安全策略管理点上获取共享数据安全策略,基于安全策略结合区块链共识机制进行策略决策,反馈决策结果给安全策略执行点;
具体地:(31)安全策略决策点响应使用方决策请求,向安全策略管理点查询共享数据的安全策略信息;(32)安全策略决策点将返回的安全策略信息,以及使用方身份信息、使用环境信息作为决策条件,交予区块链决策模块;(33)区块链决策模块基于智能合约机制进行授权决策,并将决策结果返回给安全策略执行点。
(4)使用方安全策略执行点根据决策结果对共享数据访问请求进行允许或拒绝处理。
具体地:(41)使用方安全策略执行点获取安全策略决策点决策结果;(42)若决策结果为合法,则安全策略执行点允许访问共享数据,若结果为非法,则拒绝访问共享数据。
上述决策方法中包括以下几个重要的组成部分:安全策略执行点、安全策略决策点、安全策略管理点:
A.安全策略执行点:部署在共享数据发布方和使用方。一方面,对接业务系统,响应业务系统的共享数据请求;另一方面,对接策略决策点,向策略决策点发起数据访问决策请求;
B.安全策略决策点:基于区块链技术实现,一方面,负责登记数据发布方发布的共享数据信息,实现共享数据确权和追踪溯源;另一方面,负责响应策略执行点数据访问请求,依据安全策略,基于共识决策算法决策使用方是否具备请求的操作权限,并将决策结果反馈给策略执行点,同时在账簿中记录该访问行为,实现共享数据访问记录的追溯。基于区块链的安全策略决策点设计如图2;基于区块链的安全决策点包括证书管理节点、智能合约验证节点、共识节点、态势呈现节点,不可篡改信息资源共享账簿。所述不可篡改信息资源共享账簿记录用于以下两个方面:
一、为了用于数据确权,安全策略执行点将发布方身份、共享数据信息(数据标识、数据指纹)、安全策略标识通过策略执行点提交到策略决策点(区块链),记录到不可篡改信息资源共享账簿。
二、为了数据追踪溯源,安全策略执行点根据决策结果做出相应处理之后,安全策略执行点将处理结果上报安全策略决策点(区块链),并记录到不可篡改信息资源共享账簿。
C.安全策略管理点:实现安全策略的集中配置管理,为策略决策点提供安全策略查询服务。
如图3所示,安全策略作为跨领域数据共享的规则描述语言,包括授权用户(主体)、数据单元(客体)、授权环境(例如授权使用时间等,环境)、授权权限(行为)等实体,各实体通过属性进行描述。通过对各实体属性赋值、以及实体之间关系的组合,为细粒度的权限管控和跨领域权限验证提供策略支持。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。
Claims (10)
1.一种基于区块链的跨领域共享数据安全决策方法,其特征在于,包括以下过程:
步骤1,共享数据发布方通过安全策略执行点拟定安全策略,发布共享数据,并上报策略信息到安全策略管理点;
步骤2,共享数据使用方通过安全策略执行点向安全策略决策点发起数据访问决策请求;
步骤3,安全策略决策点响应决策请求,从安全策略管理点上获取共享数据安全策略,基于安全策略结合区块链共识机制进行策略决策,反馈决策结果给安全策略执行点;
步骤4,使用方安全策略执行点根据决策结果对共享数据访问请求进行允许或拒绝处理。
2.如权利要求1所述的基于区块链的跨领域共享数据安全决策方法,其特征在于,所述步骤1的具体过程为:步骤11,共享数据发布方进行共享数据发布时,依据主体、客体、环境、权限属性拟定共享数据安全策略;步骤12,安全策略执行点依据安全策略对共享数据进行封装保护后通过共享交换平台进行共享发布;步骤13,安全策略执行点将安全策略上报到安全策略管理点。
3.如权利要求2所述的基于区块链的跨领域共享数据安全决策方法,其特征在于,还包括以下过程:安全策略执行点将发布方身份、共享数据信息、安全策略标识通过策略执行点提交到策略决策点,记录到不可篡改信息资源共享账簿。
4.如权利要求3所述的基于区块链的跨领域共享数据安全决策方法,其特征在于,所述步骤2的具体过程为:步骤21,共享数据使用方从共享交换平台获取共享数据信息,向使用方安全策略执行点发起共享数据访问请求;步骤22,使用方安全策略执行点响应该请求,向安全策略决策点发起共享数据访问决策请求。
5.如权利要求4所述的基于区块链的跨领域共享数据安全决策方法,其特征在于,所述步骤3的具体过程为:步骤31,安全策略决策点响应使用方决策请求,向安全策略管理点查询共享数据的安全策略信息;步骤32,安全策略决策点将返回的安全策略信息,以及使用方身份信息、使用环境信息作为决策条件,交予区块链决策模块;步骤33,区块链决策模块基于智能合约机制进行授权决策,并将决策结果返回给安全策略执行点。
6.如权利要求5所述的基于区块链的跨领域共享数据安全决策方法,其特征在于,所述步骤4的具体过程为:步骤41,使用方安全策略执行点获取安全策略决策点决策结果;步骤42,若决策结果为合法,则安全策略执行点允许访问共享数据,若结果为非法,则拒绝访问共享数据。
7.如权利要求6所述的基于区块链的跨领域共享数据安全决策方法,其特征在于,还包括以下过程:安全策略执行点将处理结果上报安全策略决策点,记录到不可篡改信息资源共享账簿。
8.一种基于区块链的跨领域共享数据安全决策模型,其特征在于,包括:
安全策略执行点,部署在共享数据发布方和使用方;用于对接共享业务系统,响应共享业务系统的共享数据请求;用于对接策略决策点,向策略决策点发起数据访问决策请求;
安全策略决策点,用于负责响应策略执行点决策请求,依据安全策略,基于共识决策算法决策使用方是否具备请求的操作权限,并将决策结果反馈给策略执行点;
安全策略管理点,用于集中配置并管理安全策略,为安全策略决策点提供安全策略查询服务。
9.如权利要求8所述的基于区块链的跨领域共享数据安全决策模型,其特征在于,所述安全策略决策点还包括不可篡改信息资源共享账簿,用于记录将发布方身份、共享数据信息、安全策略标识。
10.如权利要求9所述的基于区块链的跨领域共享数据安全决策模型,其特征在于,所述安全策略包括数据单元、授权用户、授权权限、授权环境和扩展属性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811606541.3A CN109711182A (zh) | 2018-12-27 | 2018-12-27 | 一种基于区块链的跨领域共享数据安全决策方法及模型 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811606541.3A CN109711182A (zh) | 2018-12-27 | 2018-12-27 | 一种基于区块链的跨领域共享数据安全决策方法及模型 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109711182A true CN109711182A (zh) | 2019-05-03 |
Family
ID=66257747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811606541.3A Pending CN109711182A (zh) | 2018-12-27 | 2018-12-27 | 一种基于区块链的跨领域共享数据安全决策方法及模型 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109711182A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110099068A (zh) * | 2019-05-16 | 2019-08-06 | 通链(北京)科技有限公司 | 基于区块链的开放平台间交互的方法、装置及设备 |
| CN110290125A (zh) * | 2019-06-17 | 2019-09-27 | 西安纸贵互联网科技有限公司 | 基于区块链的数据安全系统及数据安全处理方法 |
| CN110445751A (zh) * | 2019-06-27 | 2019-11-12 | 布比(北京)网络技术有限公司 | 一种基于重加密的分布式信息共享方法及系统 |
| CN111404897A (zh) * | 2020-03-06 | 2020-07-10 | 深圳前海达闼云端智能科技有限公司 | 消息分发方法、装置、存储介质及电子设备 |
| CN111461237A (zh) * | 2020-04-03 | 2020-07-28 | 中国电子科技集团公司第三十研究所 | 一种基于QPSO优化K-Means的ABAC模型 |
| WO2021088882A1 (zh) * | 2019-11-07 | 2021-05-14 | 华为技术有限公司 | 数据共享的方法、设备及系统 |
| CN114257435A (zh) * | 2021-12-15 | 2022-03-29 | 四川启睿克科技有限公司 | 物联网数据分布式使用控制系统及方法 |
| US11641364B2 (en) | 2020-03-03 | 2023-05-02 | International Business Machines Corporation | Cross-domain state synchronization |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106598490A (zh) * | 2016-11-25 | 2017-04-26 | 深圳前海微众银行股份有限公司 | 区块链数据的访问方法和区块链管理系统 |
| CN107995197A (zh) * | 2017-12-04 | 2018-05-04 | 中国电子科技集团公司第三十研究所 | 一种实现跨管理域身份和权限信息共享的方法 |
| CN108234456A (zh) * | 2017-12-15 | 2018-06-29 | 南京邮电大学 | 一种基于区块链的能源互联网可信服务管理系统和方法 |
| CN108270780A (zh) * | 2018-01-08 | 2018-07-10 | 中国电子科技集团公司第三十研究所 | 一种异构网络环境多中心数字身份管理方法 |
| CN108737370A (zh) * | 2018-04-05 | 2018-11-02 | 西安电子科技大学 | 一种基于区块链的物联网跨域认证系统及方法 |
| US20190036698A1 (en) * | 2017-07-27 | 2019-01-31 | International Business Machines Corporation | Password management and verification with a blockchain |
-
2018
- 2018-12-27 CN CN201811606541.3A patent/CN109711182A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106598490A (zh) * | 2016-11-25 | 2017-04-26 | 深圳前海微众银行股份有限公司 | 区块链数据的访问方法和区块链管理系统 |
| US20190036698A1 (en) * | 2017-07-27 | 2019-01-31 | International Business Machines Corporation | Password management and verification with a blockchain |
| CN107995197A (zh) * | 2017-12-04 | 2018-05-04 | 中国电子科技集团公司第三十研究所 | 一种实现跨管理域身份和权限信息共享的方法 |
| CN108234456A (zh) * | 2017-12-15 | 2018-06-29 | 南京邮电大学 | 一种基于区块链的能源互联网可信服务管理系统和方法 |
| CN108270780A (zh) * | 2018-01-08 | 2018-07-10 | 中国电子科技集团公司第三十研究所 | 一种异构网络环境多中心数字身份管理方法 |
| CN108737370A (zh) * | 2018-04-05 | 2018-11-02 | 西安电子科技大学 | 一种基于区块链的物联网跨域认证系统及方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110099068A (zh) * | 2019-05-16 | 2019-08-06 | 通链(北京)科技有限公司 | 基于区块链的开放平台间交互的方法、装置及设备 |
| CN110099068B (zh) * | 2019-05-16 | 2021-06-22 | 通链(北京)科技有限公司 | 基于区块链的开放平台间交互的方法、装置及设备 |
| CN110290125A (zh) * | 2019-06-17 | 2019-09-27 | 西安纸贵互联网科技有限公司 | 基于区块链的数据安全系统及数据安全处理方法 |
| CN110290125B (zh) * | 2019-06-17 | 2021-12-28 | 西安纸贵互联网科技有限公司 | 基于区块链的数据安全系统及数据安全处理方法 |
| CN110445751A (zh) * | 2019-06-27 | 2019-11-12 | 布比(北京)网络技术有限公司 | 一种基于重加密的分布式信息共享方法及系统 |
| CN110445751B (zh) * | 2019-06-27 | 2021-08-17 | 布比(北京)网络技术有限公司 | 一种基于重加密的分布式信息共享方法及系统 |
| WO2021088882A1 (zh) * | 2019-11-07 | 2021-05-14 | 华为技术有限公司 | 数据共享的方法、设备及系统 |
| US11641364B2 (en) | 2020-03-03 | 2023-05-02 | International Business Machines Corporation | Cross-domain state synchronization |
| CN111404897A (zh) * | 2020-03-06 | 2020-07-10 | 深圳前海达闼云端智能科技有限公司 | 消息分发方法、装置、存储介质及电子设备 |
| CN111461237A (zh) * | 2020-04-03 | 2020-07-28 | 中国电子科技集团公司第三十研究所 | 一种基于QPSO优化K-Means的ABAC模型 |
| CN114257435A (zh) * | 2021-12-15 | 2022-03-29 | 四川启睿克科技有限公司 | 物联网数据分布式使用控制系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109711182A (zh) | 一种基于区块链的跨领域共享数据安全决策方法及模型 | |
| US20230076019A1 (en) | Smart pest trap as iot in policy fabric and sharing system for enabling multi-party data processing in an iot environment | |
| CN108737370B (zh) | 一种基于区块链的物联网跨域认证系统及方法 | |
| US20080290988A1 (en) | Systems and methods for controlling access within a system of networked and non-networked processor-based systems | |
| CN104125219A (zh) | 针对电力信息系统的身份集中授权管理方法 | |
| CN106534199B (zh) | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 | |
| WO2016169324A1 (zh) | 一种云计算数据中心访问管理方法和云计算数据中心 | |
| CN111064718B (zh) | 一种基于用户上下文及策略的动态授权方法和系统 | |
| CN102347958B (zh) | 一种基于用户信任的动态分级访问控制方法 | |
| CN102073817B (zh) | 一种基于rbac模型的动态访问控制改进方法 | |
| CN112565453A (zh) | 一种物联网下的区块链访问控制策略模型及策略保护方案 | |
| CN100574210C (zh) | 一种基于无等级角色间映射的访问控制方法 | |
| US11863662B2 (en) | Automatic network application security policy expansion | |
| CN113010919A (zh) | 一种敏感数据与隐私数据的保护方法 | |
| Adahman et al. | An analysis of zero-trust architecture and its cost-effectiveness for organizational security | |
| CN103778364A (zh) | 管理应用于应用的许可设置 | |
| JP4805615B2 (ja) | アクセス制御方法 | |
| CN103069767B (zh) | 交付认证方法 | |
| CN107124429B (zh) | 一种基于双数据表设计的网络业务安全保护方法及系统 | |
| IT201900005876A1 (it) | Sistema e metodo per la gestione delle credenziali di accesso multi-dominio di un utente abilitato ad accedere ad una pluralità di domini | |
| CN116089970A (zh) | 基于身份管理的配电运维用户动态访问控制系统与方法 | |
| CN114844702A (zh) | 基于策略审查和授权扩展的访问控制方法 | |
| EP4099203A1 (en) | Data distribution management device, data distribution management method, and program | |
| US11770374B1 (en) | Computer user credentialing and verification system | |
| JP2007004610A (ja) | 複合的アクセス認可方法及び装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190503 |