CN109995791B - 一种数据授权方法及系统 - Google Patents
一种数据授权方法及系统 Download PDFInfo
- Publication number
- CN109995791B CN109995791B CN201910290498.2A CN201910290498A CN109995791B CN 109995791 B CN109995791 B CN 109995791B CN 201910290498 A CN201910290498 A CN 201910290498A CN 109995791 B CN109995791 B CN 109995791B
- Authority
- CN
- China
- Prior art keywords
- data
- information
- certification
- block chain
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 137
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000003993 interaction Effects 0.000 claims abstract description 17
- 238000012795 verification Methods 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000002452 interceptive effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种数据授权方法及系统,该数据授权方法及系统通过基于区块链技术预先在链上存储多用户的通证信息及多用户所拥有的不同数据的授权条件,并进而利用链上通证信息及不同数据拥有者的数据授权条件对数据请求者进行数据权限认证,实现了一种基于区块链通证体系的数据授权方案。本申请通过设计区块链通证体系,可基于链上公认共识的通证打通各类数据拥有者(如不同网络应用所属的不同运营实体)的数据交互权限的一致性,有效实现了不同数据拥有者的数据授权机制的通用化、标准化、扁平化,从而提升了数据授权的灵活性与高效性,能够更好地支撑动态网络空间中数据的安全共享与价值保护。
Description
技术领域
本申请属于数据权限管理技术领域,尤其涉及一种数据授权方法及系统。
背景技术
随着大数据、云计算、物联网、人工智能等信息技术的飞速发展,网络空间中的数据规模呈现出指数级增长。数据本身所蕴含的价值及其对于上述技术的支撑作用,使得数据越来越受到重视。
在上述环境下,目前,数据已成为最新的经济资源、数据资产化也已成为信息时代的共识。作为未来信息社会的一种有效资产,其流通价值日益显现,而数据授权系统在数据流通过程中的作用非常关键,基于数据授权系统可有效确保数据在网络空间中能够拥有一个安全、可信的传播、共享环境,进而可确保数据在流通过程中其价值被合法使用、其权益得到保障。
然而,现有的数据授权系统各自独立于网络应用内部,也即,现有数据授权系统的授权逻辑局限在特定的网络应用内部,这就导致不同应用之间的交叉授权与数据共享需要借助线下完成,具体地,比如,由不同应用的运营实体签订线下合同,并通过层层线下授权来完成不同应用之间的交叉授权与数据共享等。
现有的数据授权系统显然存在未对不同数据拥有者(如不同网络应用所属的不同运营实体等)的数据授权机制进行打通的问题,缺乏灵活性与高效性,难以适应动态多变的网络环境,难以支撑起动态网络环境下的灵活、高效的数据授权需求。
发明内容
有鉴于此,本申请的目的在于提供一种数据授权方法及系统,以打通不同数据拥有者(如不同网络应用所属的不同运营实体)的数据授权机制,提升数据授权的灵活性与高效性,更好地支撑动态网络空间中数据的安全共享与价值保护。
为此,本申请公开如下技术方案:
一种数据授权方法,包括:
获取数据请求者的数据访问请求;所述数据访问请求至少包括:利用所述数据请求者的硬件数字身份信息对原始数据访问请求消息所作的数字签名以及所述数据请求者的第一区块链地址;
验证所述数字签名与所述第一区块链地址是否一致,得到验证结果;
若所述验证结果表示一致,则:
基于所述第一区块链地址从区块链上获取所述数据请求者的通证信息;
从区块链上获取所述数据访问请求所请求的目标数据的授权条件;
确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,若满足,则授予所述数据请求者访问所述目标数据的权限;
其中,区块链上预先存储有多用户的通证信息及多用户所拥有的不同数据的授权条件。
上述方法,优选的,所述硬件数字身份信息包括存储于加密硬件中的私钥;
所述验证所述数字签名与所述第一区块链地址是否一致,包括:
利用所持有的所述数据请求者的公钥对所述数字签名进行验签;
若验签通过,则基于区块链协议所规定的地址生成规则对所述公钥进行哈希计算,得到第二区块链地址;
判断所述第一区块链地址与所述第二区块链地址是否相同;若相同,则表示所述数字签名与所述第一区块链地址一致;若不相同,则表示所述数字签名与所述第一区块链地址不一致。
上述方法,优选的,所述数据请求者的通证信息包括所述数据请求者所拥有的通证种类及每个通证种类的数量,所述目标数据的授权条件包括访问所述目标数据所需的目标通证种类及数量;
则所述确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,包括:
基于所述数据请求者所拥有的通证种类及每个通证种类的数量,确定所述数据请求者是否具备访问所述目标数据所需的目标通证种类及数量。
上述方法,优选的,在所述获得数据请求者的数据访问请求之前,还包括以下的预处理:
获得用户的身份证明信息,并基于用户的身份证明信息向用户分配硬件数字身份信息;
获得用户利用所持有的硬件数字身份信息所注册的访问权限信息,并在区块链上存储所述访问权限信息;所述访问权限信息至少包括用户的区块链地址信息及访问用户所拥有的数据时需具备的授权条件。
上述方法,优选的,还包括:
在存在向目标用户发送通证信息的需求时,动态、实时地在线发送通证信息给所述目标用户。
上述方法,优选的,还包括:
记录用户与区块链进行交互的过程中所涉及的交互信息,并在区块链上存储所述交互信息。
一种数据授权系统,包括:
第一获取单元,用于获取数据请求者的数据访问请求;所述数据访问请求至少包括:利用所述数据请求者的硬件数字身份信息对原始数据访问请求消息所作的数字签名以及所述数据请求者的第一区块链地址;
验证单元,用于验证所述数字签名与所述第一区块链地址是否一致,得到验证结果;
第二获取单元,用于在所述验证单元的验证结果表示一致的情况下,基于所述第一区块链地址从区块链上获取所述数据请求者的通证信息;以及用于从区块链上获取所述数据访问请求所请求的目标数据的授权条件;
授权单元,用于确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,若满足,则授予所述数据请求者访问所述目标数据的权限;
其中,区块链上预先存储有多用户的通证信息及多用户所拥有的不同数据的授权条件。
上述系统,优选的,所述数据请求者的通证信息包括所述数据请求者所拥有的通证种类及每个通证种类的数量,所述目标数据的授权条件包括访问所述目标数据所需的目标通证种类及数量;
则所述授权单元确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,具体包括:
基于所述数据请求者所拥有的通证种类及每个通证种类的数量,确定所述数据请求者是否具备访问所述目标数据所需的目标通证种类及数量。
上述系统,优选的,还包括:
通证发送单元,用于在存在向目标用户发送通证信息的需求时,动态、实时地在线发送通证信息给所述目标用户。
上述系统,优选的,还包括:
记录单元,用于记录记录用户与区块链进行交互的过程中所涉及的交互信息,并在区块链上存储所述交互信息。
由以上内容可知,本申请提供的数据授权方法及系统,通过基于区块链技术预先在链上存储多用户的通证信息及多用户所拥有的不同数据的授权条件,并进而利用链上通证信息及不同数据拥有者的数据授权条件对数据请求者进行数据权限认证,实现了一种基于区块链通证体系的数据授权方案。本申请通过设计区块链通证体系,可基于链上公认共识的通证打通各类数据拥有者(如不同网络应用所属的不同运营实体)的数据交互权限的一致性,有效实现了不同数据拥有者的数据授权机制的通用化、标准化、扁平化,从而提升了数据授权的灵活性与高效性,能够更好地支撑动态网络空间中数据的安全共享与价值保护。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本申请实施例一提供的数据授权方法的流程示意图;
图2是本申请实施例一提供的基于区块链通证体系的数据授权系统的工作原理示意图;
图3是本申请实施例二提供的数据授权方法的流程示意图;
图4是本申请实施例三提供的数据授权方法的流程示意图;
图5-图8是本申请实施例四提供的数据授权系统的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了打通不同数据拥有者(如不同网络应用所属的不同运营实体)的数据授权机制,提升数据授权的灵活性与高效性,更好地支撑动态网络空间中数据的安全共享与价值保护,本申请提供了一种数据授权方法及系统,以下将通过多个实施例对本申请的数据授权方法及系统进行详细阐述。
实施例一
参考图1,为本申请实施例一提供的数据授权方法的一种流程示意图,本实施例一中,如图1所示,所述数据授权方法包括以下处理步骤:
步骤101、获取数据请求者的数据访问请求;所述数据访问请求至少包括:利用所述数据请求者的硬件数字身份信息对原始数据访问请求消息进行签名所得的数字签名以及所述数据请求者的第一区块链地址。
实际应用中,可采用软件系统的形式对本申请方法的数据授权处理逻辑进行实施,具体地,参考图2所示,可基于本申请方法实现一基于区块链通证体系的数据授权系统。
参与使用本系统的用户,如需要请求数据的数据请求者或者需要提供数据的数据拥有者等,需预先向系统管理员出示自身的身份证明信息,在此基础上,系统管理员可为其分配硬件数字身份信息。
其中,用户的身份证明信息可以包括但不限于用户的身份证、工作证、职称/职务、密级、业务领域等证明材料中的一种或多种,为用户所分配的硬件数字身份信息可以为存储于加密硬件中的用户的私钥。所述硬件数字身份信息用于唯一标识用户及其区块链地址信息、通证信息。
在获得硬件数字身份信息后,数据拥有者可使用自己的硬件数字身份信息向所述基于区块链通证体系的数据授权系统注册数据的访问权限信息,其中,注册信息至少包括数据拥有者的区块链地址信息及访问该数据拥有者所提供的数据时所需的授权条件,该授权条件进一步可以包括访问数据所需的通证种类及数量。
本申请具体将多用户的通证信息及多用户所拥有的不同数据的授权条件存储于区块链上,以实现这些信息的链上存储,实际实施中,对于所述授权条件,可采用授权逻辑的形式对其进行链上存储,其中,如图2所示,数据的授权逻辑中可以包括但不限于数据的拥有者、数据访问所需通证的种类与数量等信息;用户的通证信息可存储在区块链上该用户的区块链地址所标示的存储位置处,数据的授权逻辑相对应的可存储在区块链上该数据的拥有者的区块链地址所标示的存储位置处;数据请求者、数据拥有者等用户的区块链地址信息具体可通过对用户的私钥所对应的公钥进行哈希计算得到。
需要说明的是,图2中所示的不同拥有者所拥有的不同数据,既可以是不同的运营实体所提供的不同应用数据(如不同网络应用的数据),还可以是相同运营实体的不同业务部门所提供的不同数据,本申请对此不作限定。
上述的硬件数字身份信息分配及访问权限信息注册均可作为本申请方法的预处理过程预先实施,在此基础上,当数据请求者存在对目标数据的访问需求时,可触发针对目标数据的数据访问请求,为了确保网络空间中数据的安全共享与价值保护,需首先利用所述基于区块链通证体系的数据授权系统对该数据请求者进行权限验证,从而,相对应地,需首先由该基于区块链通证体系的数据授权系统获取数据请求者的数据访问请求,并验证数据请求者是否具备访问其所需的目标数据的权限。
其中,数据请求者的数据访问请求至少包括以下信息:利用所述数据请求者的硬件数字身份信息对原始数据访问请求消息所作的数字签名以及所述数据请求者的第一区块链地址。
具体地,所述数字签名可利用数据请求者的私钥对所述原始数据访问请求消息进行签名得到,所述第一区块链地址可通过对数据请求者的私钥所对应的公钥进行哈希计算得到。
步骤102、验证所述数字签名与所述第一区块链地址是否一致,得到验证结果;若所述验证结果表示一致,则继续执行后续步骤,否则,若所述验证结果表示一致,则结束。
在获得数据请求者的数据访问请求后,系统可首先利用其所持有的所述数据请求者的公钥对数据访问请求中的数字签名进行验签。
在验签通过后,系统可进一步基于区块链协议所规定的地址生成规则对所述公钥进行哈希计算,得到第二区块链地址,并可判断所述第一区块链地址与所述第二区块链地址是否相同,若相同,则表示数据请求者确实是使用了其自身的硬件数字身份信息来生成所述第一区块链地址(而并非数据请求者随意杜撰的地址信息),从而可进一步表征用户的数据访问请求中所包含的数字签名与所包含的第一区块链地址一致,此种情况下可继续执行后续的权限验证步骤;否则,若不相同,则表示用户的数据访问请求中所包含的数字签名与所包含的第一区块链地址不一致,该情况下则可终止用户的数据访问请求,不向用户授予其所需的目标数据的访问权限。
步骤103、基于所述第一区块链地址从区块链上获取所述数据请求者的通证信息。
在数据请求者的数据访问请求中所包含的数字签名与第一区块链地址一致的情况下,可继续基于所述第一区块链地址从区块链上获取所述数据请求者的通证信息,具体地可获取所述数据请求者所具备的通证种类与数量。
以图2为例,所获取的数据请求者的通证信息具体为:
通证a:10;
通证b:1000。
步骤104、从区块链上获取所述数据访问请求所请求的目标数据的授权条件。
同时,可从区块链上获取所述数据访问请求所请求的目标数据的授权条件,具体地,以图2为例,则可从区块链上获取所述目标数据的授权逻辑,该授权逻辑中包含了访问目标数据所需具备的授权条件。
参考图2,假设用户所需访问的目标数据为数据1,则本步骤获取的授权条件为:{通证a:50},该授权条件要求数据访问者需具备通证a,且通证a的数量至少为50;相类似地,假设用户所需访问的目标数据为数据3,则本步骤获取的授权条件为:{通证b:30},该授权条件要求数据访问者需具备通证b,且通证b的数量至少为30。
步骤105、确定所述数据请求者的通证信息是否满足所述目标数据的授权条件;
步骤106、若满足,则授予所述数据请求者访问所述目标数据的权限。
在此基础上,可进一步判断数据请求者的通证信息是否满足所述目标数据的授权条件,若满足,则授予所述数据请求者访问所述目标数据的权限,否则,则不授予。
仍以图2为例,如果用户所需访问的目标数据为数据3,由于数据请求者拥有的通证b的数量为100,满足该数据3的授权条件{通证b:30},从而可授予所述数据请求者对所述目标数据的访问权限;如果用户所需访问的目标数据为数据1,则由于数据请求者拥有的通证a的数量为10,不满足该数据1的授权条件{通证a:50},从而不授予该数据请求者对该数据1的访问权限,并可终止用户的数据访问请求。
由以上方案可知,本实施例提供的数据授权方法,通过基于区块链技术预先在链上存储多用户的通证信息及多用户所拥有的不同数据的授权条件,并进而利用链上通证信息及不同数据拥有者的数据授权条件对数据请求者进行数据权限认证,实现了一种基于区块链通证体系的数据授权方案。本申请通过设计区块链通证体系,可基于链上公认共识的通证打通各类数据拥有者(如不同网络应用所属的不同运营实体)的数据交互权限的一致性,有效实现了不同数据拥有者的数据授权机制的通用化、标准化、扁平化,从而提升了数据授权的灵活性与高效性,能够更好地支撑动态网络空间中数据的安全共享与价值保护。
实施例二
参考图3,为本申请实施例二提供的数据授权方法的流程示意图,本实施例中,所述数据授权方法还可以包括以下步骤:
步骤107、在存在向目标用户发送通证信息的需求时,动态、实时地在线发送通证信息给所述目标用户。
其中,系统管理员可以依据实际需求,动态、实时地在线发送通证信息(包括通证种类及数量)给某目标用户,以临时赋予某目标用户某些数据的访问权限。且具体地,系统管理员还可以根据实际需求设置在线发送的通证信息的有效时限信息,例如,设置所发送的通证信息的有效时限为5分钟等,从而,后续,目标用户可在该有效时限内使用所发送的通证进行相对应的数据访问,超过该有限时限,则所发送的通证失效,相对应地用户不再具备该通证所对应的数据的访问权限。
本实施例通过动态、实时地在线发送通证信息给目标用户,可实现数据权限的在线实时更新与临时发放。
实施例三
参考图4,为本申请实施例三提供的数据授权方法的流程示意图,本实施例中,所述数据授权方法还可以包括以下步骤:
步骤108、记录用户与区块链进行交互的过程中所涉及的交互信息,并在区块链上存储所述交互信息。
具体地,可以包括但不限于在区块链中记录数据拥有者向区块链进行数据注册、数据请求者向区块链请求访问数据以及通证的发送等各种交互操作所涉及的交互信息。
本实施例通过在区块链中记录用户与区块链进行交互的过程中所涉及的交互信息,可便于后期数据授权行为的追溯与审计。
实施例四
对应于上述的数据授权方法,本申请还提供了一种数据授权系统,参考图5示出的数据授权系统的结构示意图,该系统可以包括:
第一获取单元501,用于获取数据请求者的数据访问请求;所述数据访问请求至少包括:利用所述数据请求者的硬件数字身份信息对原始数据访问请求消息所作的数字签名以及所述数据请求者的第一区块链地址;
验证单元502,用于验证所述数字签名与所述第一区块链地址是否一致,得到验证结果;
第二获取单元503,用于在所述验证单元的验证结果表示一致的情况下,基于所述第一区块链地址从区块链上获取所述数据请求者的通证信息;以及用于从区块链上获取所述数据访问请求所请求的目标数据的授权条件;
授权单元504,用于确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,若满足,则授予所述数据请求者访问所述目标数据的权限;
其中,区块链上预先存储有多用户的通证信息及多用户所拥有的不同数据的授权条件。
在本申请实施例的一实施方式中,所述验证单元502,具体用于:利用所持有的所述数据请求者的公钥对所述数字签名进行验签;若验签通过,则基于区块链协议所规定的地址生成规则对所述公钥进行哈希计算,得到第二区块链地址;判断所述第一区块链地址与所述第二区块链地址是否相同;若相同,则表示所述数字签名与所述第一区块链地址一致;若不相同,则表示所述数字签名与所述第一区块链地址不一致。
在本申请实施例的一实施方式中,所述授权单元504确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,具体包括:基于所述数据请求者所拥有的通证种类及每个通证种类的数量,确定所述数据请求者是否具备访问所述目标数据所需的目标通证种类及数量。
在本申请实施例的一实施方式中,参考图6示出的数据授权系统的结构示意图,所述数据授权系统还可以包括:预处理单元501’,用于获得用户的身份证明信息,并基于用户的身份证明信息向用户分配硬件数字身份信息;以及用于获得用户利用所持有的硬件数字身份信息所注册的访问权限信息,并在区块链上存储所述访问权限信息;所述访问权限信息至少包括用户的区块链地址信息及访问用户所拥有的数据时需具备的授权条件。
在本申请实施例的一实施方式中,参考图7示出的数据授权系统的结构示意图,所述数据授权系统还可以包括:通证发送单元505,用于在存在向目标用户发送通证信息的需求时,动态、实时地在线发送通证信息给所述目标用户。
在本申请实施例的一实施方式中,参考图8示出的数据授权系统的结构示意图,所述数据授权系统还可以包括:记录单元506,用于记录记录用户与区块链进行交互的过程中所涉及的交互信息,并在区块链上存储所述交互信息。
对于本申请实施例四公开的数据授权系统而言,由于其与实施例一至实施例三公开的数据授权方法相对应,所以描述的比较简单,相关相似之处请参见实施例一至实施例三中数据授权方法部分的说明即可,此处不再详述。
综上所述,针对现有数据授权系统所存在的因授权逻辑局限在特定的互联网应用内部,而导致的不同应用程序中的用户身份难以在线上完成实时的相互认证与授权、难以灵活支持数据权限与不同级别用户的动态映射关系、难以完成跨应用的授权逻辑的实时在线更新及跨应用的数据权限临时发放等问题,本申请通过设计区块链通证体系,基于链上公认共识的通证打通了系统中各类实体交互权限的一致性,实现了不同运营实体的数据授权机制的通用化、标准化、扁平化,不同类型的数据与不同等级的人员之间的复杂对应关系可统一由通证的种类和数量加以连接,通过针对通证设置不同的种类和配置不同的数量,可承载起各类人员对各类数据的授权使用。
从而,相比于现有技术,本申请方案可具备以下优势:
1)可实现安全、可信、灵活、高效的数据授权;
2)可实现数据权限的在线实时更新与临时发放;
3)提供了标准化、一体化的数据授权逻辑模型;
4)用户访问数据行为的可追溯性、可审计性强;
5)可实现生存性强的授权系统。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
为了描述的方便,描述以上系统或装置时以功能分为各种模块或单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
最后,还需要说明的是,在本文中,诸如第一、第二、第三和第四等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种数据授权方法,其特征在于,应用于基于区块链通证体系的数据授权系统,所述系统为一软件系统,参与使用该系统的数据请求者或者数据拥有者预先在该系统进行用户身份注册,该系统在用户进行身份注册时,向用户分配硬件数字身份信息;
所述方法包括:
获取数据请求者的数据访问请求;所述数据访问请求至少包括:利用所述数据请求者的硬件数字身份信息对原始数据访问请求消息所作的数字签名以及所述数据请求者的第一区块链地址;
验证所述数字签名与所述第一区块链地址是否一致,得到验证结果;
若所述验证结果表示一致,则:
基于所述第一区块链地址从区块链上获取所述数据请求者的通证信息;
从区块链上获取所述数据访问请求所请求的目标数据的授权条件;
确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,若满足,则授予所述数据请求者访问所述目标数据的权限;
其中,区块链上预先存储有多用户的通证信息及多用户所拥有的不同数据的授权条件。
2.根据权利要求1所述的方法,所述硬件数字身份信息包括存储于加密硬件中的私钥;
所述验证所述数字签名与所述第一区块链地址是否一致,包括:
利用所持有的所述数据请求者的公钥对所述数字签名进行验签;
若验签通过,则基于区块链协议所规定的地址生成规则对所述公钥进行哈希计算,得到第二区块链地址;
判断所述第一区块链地址与所述第二区块链地址是否相同;若相同,则表示所述数字签名与所述第一区块链地址一致;若不相同,则表示所述数字签名与所述第一区块链地址不一致。
3.根据权利要求1所述的方法,其特征在于,所述数据请求者的通证信息包括所述数据请求者所拥有的通证种类及每个通证种类的数量,所述目标数据的授权条件包括访问所述目标数据所需的目标通证种类及数量;
则所述确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,包括:
基于所述数据请求者所拥有的通证种类及每个通证种类的数量,确定所述数据请求者是否具备访问所述目标数据所需的目标通证种类及数量。
4.根据权利要求1所述的方法,其特征在于,在所述获得数据请求者的数据访问请求之前,还包括以下的预处理:
获得用户的身份证明信息,并基于用户的身份证明信息向用户分配硬件数字身份信息;
获得用户利用所持有的硬件数字身份信息所注册的访问权限信息,并在区块链上存储所述访问权限信息;所述访问权限信息至少包括用户的区块链地址信息及访问用户所拥有的数据时需具备的授权条件。
5.根据权利要求1所述的方法,其特征在于,还包括:
在存在向目标用户发送通证信息的需求时,动态、实时地在线发送通证信息给所述目标用户。
6.根据权利要求1所述的方法,其特征在于,还包括:
记录用户与区块链进行交互的过程中所涉及的交互信息,并在区块链上存储所述交互信息。
7.一种基于区块链通证体系的数据授权系统,其特征在于,所述系统为一软件系统,参与使用该系统的数据请求者用户或者数据拥有者用户预先在该系统进行身份注册,该系统在用户进行身份注册时,向用户分配硬件数字身份信息;
所述系统包括:
第一获取单元,用于获取数据请求者的数据访问请求;所述数据访问请求至少包括:利用所述数据请求者的硬件数字身份信息对原始数据访问请求消息所作的数字签名以及所述数据请求者的第一区块链地址;
验证单元,用于验证所述数字签名与所述第一区块链地址是否一致,得到验证结果;
第二获取单元,用于在所述验证单元的验证结果表示一致的情况下,基于所述第一区块链地址从区块链上获取所述数据请求者的通证信息;以及用于从区块链上获取所述数据访问请求所请求的目标数据的授权条件;
授权单元,用于确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,若满足,则授予所述数据请求者访问所述目标数据的权限;
其中,区块链上预先存储有多用户的通证信息及多用户所拥有的不同数据的授权条件。
8.根据权利要求7所述的系统,其特征在于,所述数据请求者的通证信息包括所述数据请求者所拥有的通证种类及每个通证种类的数量,所述目标数据的授权条件包括访问所述目标数据所需的目标通证种类及数量;
则所述授权单元确定所述数据请求者的通证信息是否满足所述目标数据的授权条件,具体包括:
基于所述数据请求者所拥有的通证种类及每个通证种类的数量,确定所述数据请求者是否具备访问所述目标数据所需的目标通证种类及数量。
9.根据权利要求7所述的系统,其特征在于,还包括:
通证发送单元,用于在存在向目标用户发送通证信息的需求时,动态、实时地在线发送通证信息给所述目标用户。
10.根据权利要求7所述的系统,其特征在于,还包括:
记录单元,用于记录记录用户与区块链进行交互的过程中所涉及的交互信息,并在区块链上存储所述交互信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910290498.2A CN109995791B (zh) | 2019-04-11 | 2019-04-11 | 一种数据授权方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910290498.2A CN109995791B (zh) | 2019-04-11 | 2019-04-11 | 一种数据授权方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109995791A CN109995791A (zh) | 2019-07-09 |
| CN109995791B true CN109995791B (zh) | 2020-11-03 |
Family
ID=67133337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910290498.2A Active CN109995791B (zh) | 2019-04-11 | 2019-04-11 | 一种数据授权方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109995791B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110401680A (zh) * | 2019-08-28 | 2019-11-01 | 山东劳动职业技术学院(山东劳动技师学院) | 一种基于分布式服务框架的访问管控方法及系统 |
| CN111291421A (zh) * | 2020-02-17 | 2020-06-16 | 深圳壹账通智能科技有限公司 | 区块链数据授权方法、电子装置及计算机可读存储介质 |
| CN112837043B (zh) * | 2021-03-04 | 2023-07-18 | 腾讯科技(深圳)有限公司 | 基于区块链的数据处理方法、装置及电子设备 |
| CN113536385A (zh) * | 2021-09-16 | 2021-10-22 | 中关村科学城城市大脑股份有限公司 | 数据权益行使方法、装置、电子设备及存储介质 |
| CN114944949B (zh) * | 2022-05-17 | 2023-03-24 | 清华大学 | 一种基于区块链的数据授权方法、系统、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108416589A (zh) * | 2018-03-08 | 2018-08-17 | 深圳前海微众银行股份有限公司 | 区块链节点的连接方法、系统及计算机可读存储介质 |
| CN108462724A (zh) * | 2018-05-17 | 2018-08-28 | 北京京东金融科技控股有限公司 | 数据共享方法、装置、系统、成员节点和可读存储介质 |
| CN109064167A (zh) * | 2018-07-27 | 2018-12-21 | 烨链(上海)科技有限公司 | 基于区块链的数据处理方法和装置 |
| KR101949711B1 (ko) * | 2018-06-29 | 2019-02-19 | (주) 와이즈엠글로벌 | 복수의 블록체인을 사용하여 다수의 토큰을 하나의 통합토큰으로 통합하는 방법 |
| CN109583184A (zh) * | 2018-10-09 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 身份验证方法及装置和电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10476879B2 (en) * | 2017-07-26 | 2019-11-12 | International Business Machines Corporation | Blockchain authentication via hard/soft token verification |
| WO2019104690A1 (zh) * | 2017-11-30 | 2019-06-06 | 深圳前海达闼云端智能科技有限公司 | 移动网络接入认证方法、装置、存储介质及区块链节点 |
| CN109040026A (zh) * | 2018-07-11 | 2018-12-18 | 深圳市网心科技有限公司 | 一种数字资产的授权方法、装置、设备及介质 |
-
2019
- 2019-04-11 CN CN201910290498.2A patent/CN109995791B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108416589A (zh) * | 2018-03-08 | 2018-08-17 | 深圳前海微众银行股份有限公司 | 区块链节点的连接方法、系统及计算机可读存储介质 |
| CN108462724A (zh) * | 2018-05-17 | 2018-08-28 | 北京京东金融科技控股有限公司 | 数据共享方法、装置、系统、成员节点和可读存储介质 |
| KR101949711B1 (ko) * | 2018-06-29 | 2019-02-19 | (주) 와이즈엠글로벌 | 복수의 블록체인을 사용하여 다수의 토큰을 하나의 통합토큰으로 통합하는 방법 |
| CN109064167A (zh) * | 2018-07-27 | 2018-12-21 | 烨链(上海)科技有限公司 | 基于区块链的数据处理方法和装置 |
| CN109583184A (zh) * | 2018-10-09 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 身份验证方法及装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109995791A (zh) | 2019-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109995791B (zh) | 一种数据授权方法及系统 | |
| US12008561B2 (en) | System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks | |
| US11314891B2 (en) | Method and system for managing access to personal data by means of a smart contract | |
| US20230245019A1 (en) | Use of identity and access management for service provisioning | |
| US11689529B2 (en) | Systems and methods for online third-party authentication of credentials | |
| US11093643B2 (en) | Method and system for accessing anonymized data | |
| AU2017100968A4 (en) | System for issuance, verification and use of digital identities on a public or private ledger. | |
| CN108259422B (zh) | 一种多租户访问控制方法和装置 | |
| CN106992988B (zh) | 一种跨域匿名资源共享平台及其实现方法 | |
| Liu et al. | Enabling secure and privacy preserving identity management via smart contract | |
| CN116708037B (zh) | 云平台访问权限控制方法及系统 | |
| CN103220141B (zh) | 一种基于组密钥策略的敏感数据保护方法和系统 | |
| Coelho et al. | Federation of attribute providers for user self-sovereign identity | |
| EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
| CN107302524A (zh) | 一种云计算环境下的密文数据共享系统 | |
| Chai et al. | BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things | |
| Vignesh et al. | Secured Data Access and Control Abilities Management over Cloud Environment using Novel Cryptographic Principles | |
| CN111931230A (zh) | 数据授权方法和装置、存储介质和电子装置 | |
| KR20210090519A (ko) | 사물인터넷에서 서비스 수준 협약 기반 공유경제 서비스 제공시스템 및 제공방법 | |
| US20240140249A1 (en) | Method for authorizing a first participant in a communication network, processing device, motor vehicle and infrastructure device | |
| KR102307668B1 (ko) | 인증 시스템 및 인증 방법 | |
| CN115048672A (zh) | 基于区块链的数据审计方法和装置、处理器及电子设备 | |
| Shibli et al. | MagicNET: Security architecture for creation, classification, and validation of trusted mobile agents | |
| KR102239449B1 (ko) | 데이터 공유를 통한 객관적 포트폴리오 관리 시스템 | |
| Feng et al. | Personal Credit Data Sharing Scheme Based on Blockchain and Access Control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |