CN110287739B - 基于硬件私钥存储技术的数据安全管理方法及系统 - Google Patents
基于硬件私钥存储技术的数据安全管理方法及系统 Download PDFInfo
- Publication number
- CN110287739B CN110287739B CN201910522456.7A CN201910522456A CN110287739B CN 110287739 B CN110287739 B CN 110287739B CN 201910522456 A CN201910522456 A CN 201910522456A CN 110287739 B CN110287739 B CN 110287739B
- Authority
- CN
- China
- Prior art keywords
- data
- access request
- chain
- data access
- signed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供基于硬件私钥存储技术的数据安全管理方法及系统,应用于完全离线的PC端,方法包括:接收用户输入的数据访问请求;将数据访问请求转换成二进制数后发给USB key,使USB key对转换成二进制数的数据访问请求进行签名;接收USB key返回的经过签名后的数据访问请求,将经过签名后的数据访问请求发给许可链进行签名验证;接收许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据通证在联盟链上获取数据访问请求对应的数据,并从通证中获取对在联盟链上所获取的数据的操作权限。可将USB key应用于基于联盟区块链安全访问控制体系,使用户通过完全离线的PC端在不触网的情况下在联盟区块链上做到安全可靠的读取信息。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于硬件私钥存储技术的数据安全管理方法及系统。
背景技术
随着区块链技术快速发展,随之而来的是数据面临多方面的威胁,不论是上传还是读取数据的过程变得不安全,数据极有可能丢失或被篡改。为规避这些风险,许多区块链产品使用硬件私钥存储设备,使访问数据上链的过程不触网,保证数据安全。
目前,冷钱包是近年来一种典型的使用了硬件私钥存储技术的相关发明,其存储功能类似于硬盘,但交易时,需要支付密码,并且随机生成强种子密码来获得私钥和地址,每一笔交易进行数字签名备注,随时可查。冷钱包的技术方案,都秉持着以下几条理念:网络是不安全的,只要是接触网络的设备,就有被攻击的风险;U盘是不安全的,U盘可能会被植入病毒,被植入病毒的U盘可能会自动记录数据,被插入有网络的电脑以后,通过网络把数据盗走;单个人是不可信的,所有的授权必须要经过多个人做多重确认,才能确保安全;每个人都有可能出现意外事件,因此掌握授权的人需要进异地备份以确保安全;人可能被绑架,因此重要的数据需要保存在安保级别高的银行保险柜里,同时须本人亲自去银行才可取出。
目前,冷钱包主要用于数字资产的安全存储和交易,还无法应用于更广泛的场景中,特别是在数据安全、访问权限控制等更广泛的使用领域,相关技术还有待研究。同时,冷钱包在创建钱包,备份私钥时相当麻烦,首先要找到两个相距较远且可信的人,并且交通方式都不能一致,因此变相的加大了财力物力支出。冷钱包避免了被黑客盗取私钥的风险,但是可能面临物理安全风险,比如电脑丢失损坏等,这给非数字资产类的应用落地带来了很大的不便。另外,也是关键的一点,目前的硬件私钥存储技术都应用于公有区块链链环境中,而在联盟区块链链的环境下,现有的冷钱包技术无法提供适应的接口。
发明内容
针对现有技术存在的问题,本发明实施例提供一种基于硬件私钥存储技术的数据安全管理方法及系统。
本发明实施例提供一种基于硬件私钥存储技术的数据安全管理方法,应用于完全离线的PC端,包括:
接收用户输入的数据访问请求;
将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名;
接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;
接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
本发明实施例提供一种基于硬件私钥存储技术的数据安全管理系统,应用于完全离线的PC端,包括:
第一接收模块,用于接收用户输入的数据访问请求;
第一发送模块,用于将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名;
第二发送模块,用于接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;
获取模块,用于接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述方法的步骤。
本发明实施例提供的基于硬件私钥存储技术的数据安全管理方法及系统,通过完全离线的PC端将用户输入的数据访问请求转换成二进制数后发送给USB key,使USB key对转换成二进制数的数据访问请求进行签名,将USB key返回的经过签名后的数据访问请求发送给许可链进行签名验证,接收签名验证通过后许可链发出的通证,根据通证在联盟链上获取数据访问请求对应的数据,并从通证中获取对在联盟链上所获取的数据的操作权限,由此,可将USB key应用于基于联盟区块链安全访问控制体系,使得用户通过完全离线的PC端,在不触网的情况下在联盟区块链上做到安全可靠的读取信息。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种基于硬件私钥存储技术的数据安全管理方法的流程示意图;
图2为本发明一实施例提供的一种基于硬件私钥存储技术的数据安全管理系统的结构示意图;
图3为本发明一实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明一实施例提供的一种基于硬件私钥存储技术的数据安全管理方法的流程示意图,本实施例所述方法应用于完全离线的PC(personal computer,个人计算机)端,如图1所示,本实施例的基于硬件私钥存储技术的数据安全管理方法,包括:
S1、接收用户输入的数据访问请求。
在具体应用中,所述数据访问请求,可以包括:要操作的数据名称和操作类型等。
需要说明的是,本实施例所述方法的执行主体为完全离线的PC端。
可以理解的是,利用完全离线的PC端执行本实施例所述方法,可以实现无网络操作,防止数据泄漏或被篡改,保证数据安全。
S2、将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名。
可以理解的是,和传统的数据上链(即数据采集)一样,私钥的安全对数据的可信采集至关重要。硬件私钥存储设备是一种实体设备,私钥储存在设备内的受保护区域中,可以抵抗病毒等来自互联网和其他设备的攻击。硬件私钥存储设备的安全性包括两部分,即保存安全性和防电子攻击。所谓保存安全性,前提就是私钥被保存在硬件设备内,使用私钥签名过程都在硬件中进行,明文不会传出。此外,硬件钱包使用的芯片种类至关重要。使用安全模块的硬件私钥存储设备能够有效地实现对私钥的保护,安全模块不提供调试接口,无法绕开芯片系统读取存储器数据。相较而言,使用普通ARM芯片的硬件私钥存储设备对于私钥的保护相对偏弱,因为没有使用专门的安全模块对私钥进行硬件加密存储。如果黑客获取到物理设备,比较容易发起针对性攻击。而黑客获取到硬件私钥存储设备之后,会采用多种方式侵入到硬件中,包括侵入式攻击(物理攻击,使用探针进行监听)和非侵入式攻击。一种典型的非侵入式攻击是电子探测攻击,攻击方式包括SPA(Simple Power Analysis,简单功耗分析)和DPA(Differential Power Analysis,高阶功耗分析)攻击。采用安全模块的硬件私钥存储设备比普通ARM芯片更能有效抵御攻击。对于各种形式的电子探测攻击,都能做出有针对性的防护,可以有效地抵御各种形式的电子探测攻击。USB key是一种USB(通用串行总线)接口的硬件私钥存储设备,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。在具体应用中,USB key是对二进制格式的数据进行签名,因此,需要将所述数据访问请求转换成二进制数,使USB key对转换成二进制数的数据访问请求进行签名。
本实施例利用USB key的私钥存储技术进行数据上链前的权限验证,由于USB key根据其特性可以实现不联网读取信息,可实现无网络操作,使得用户通过完全离线的PC端可以在不触网的情况下在联盟区块链上做到安全可靠的读取信息。
S3、接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证。
可以理解的是,许可链是指参与到区块链系统中的每个节点都是经过许可的,未经许可的节点是不可接入系统中。假设将所述数据访问请求转换成的二进制数为A,所述USB key对A进行签名后,生成的签名为sign_A,本步骤就是利用许可链对签名sign_A进行验证,只有验证通过后才能进行后续步骤S4的数据获取的过程。
S4、接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
可以理解的是,通证就是共享平台中体现用户权限与权益的凭证,换句话说,在联盟区块链中,用户凭借通证可以对数据进行操作。在本实施例中,许可链在收到由USB key生成的签名sign_A之后进行验证,如果验证无误则颁发通证给所述完全离线的PC端,所述完全离线的PC端可以根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
在具体应用中,所述通证中可以包括:数据的索引地址和数据的操作权限,所述获取模块,可以根据所述通证中包含的数据的索引地址,在联盟链上获取所述数据访问请求对应的数据。
可以理解的是,在联盟链上获取所述数据访问请求对应的数据以及从所述通证中获取对在联盟链上所获取的数据的操作权限之后,用户可以在所述完全离线的PC端上,基于所获取的操作权限,对在联盟链上所获取的数据进行相应的操作。
可以理解的是,本实施例利用许可链进行了通证管理,使得许可链、联盟链与USBkey可以对接,用这种结合的方式,实现了在不触网的情况下对联盟区块链上的数据进行操作,避免了由于联网带来的数据泄露失真等问题。
本发明实施例提供的基于硬件私钥存储技术的数据安全管理方法,通过完全离线的PC端将用户输入的数据访问请求转换成二进制数发送给USB key,使USB key对转换成二进制数的数据访问请求进行签名,将USB key返回的经过签名后的数据访问请求发送给许可链进行签名验证,接收签名验证通过后许可链发出的通证,根据通证在联盟链上获取数据访问请求对应的数据,并从通证中获取对在联盟链上所获取的数据的操作权限,由此,可将USB key应用于基于联盟区块链安全访问控制体系,使得用户通过完全离线的PC端,在不触网的情况下在联盟区块链上做到安全可靠的读取信息,避免了由于联网带来的数据泄露失真等问题。本实施例所述方法可以被应用于各项数据治理中。
进一步地,在上述实施例的基础上,所述步骤S3中的“将所述经过签名后的数据访问请求发送给许可链进行签名验证”,可以包括:
将所述经过签名后的数据访问请求发送给许可链,以使所述许可链验证所述经过签名后的数据访问请求中的私钥签名和数据名称后返回通证;
相应地,所述步骤S4中的“根据所述通证,在联盟链上获取所述数据访问请求对应的数据”,可以包括:
将所述经过签名后的数据访问请求发送给注册解析系统,以使所述注册解析系统经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给保险仓,以使所述保险仓经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给数据储存系统,以使所述数据储存系统经过所述许可链的权限确认后、根据所述通证中包含的数据的索引地址、将所述数据访问请求对应的数据返回给所述保险仓;
接收所述保险仓返回的所述数据访问请求对应的数据。
可以理解的是,上述过程的数据访问请求模式是逐级进行的,而许可链在每一级都要进行验证,能同时兼顾流水线的高效和安全。
可以理解的是,在具体应用中,在将所述经过签名后的数据访问请求发送给许可链的同时,还需要将所述经过签名后的数据访问请求发送给监管链,所述监管链是确保数据的实体安全的连续的追踪途径,是一个保存和证实按时间先后排列的证据记录过程,以保证数据安全性。
进一步地,在上述实施例的基础上,在所述步骤S1之前,本实施例所述方法还可以包括下述图中未示出的步骤:
接收用户输入的数据上传请求;
将所述数据上传请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据上传请求进行私钥签名;
接收所述USB key返回的经过私钥签名后的数据上传请求,将所述经过私钥签名后的数据上传请求发送给许可链,以使所述许可链核对所接收的数据上传请求中的私钥签名和数据名称之后、生成用于限制上传时间的令牌;
接收所述许可链生成的令牌,将数据、数据名称、私钥签名和令牌上传到联盟链的数据储存系统中;
接收所述数据储存系统将本次上传的数据与许可链进行权限确认并保存后返回的数据索引。
这样,本实施例使得许可链、联盟链与USB key可以对接,实现了利用完全离线的PC端在不触网的情况下将数据上传到联盟链的数据储存系统中,避免了由于联网带来的数据泄露失真等问题。
可以理解的是,本实施例所述方法应用于联盟区块链而非公有区块链;应用于数据安全而非数字资产;简化了现有冷钱包使用流程。
本发明实施例提供的基于硬件私钥存储技术的数据安全管理方法,将USB key应用于基于联盟区块链安全访问控制体系,使得用户通过完全离线的PC端,在不触网的情况下在联盟区块链上做到安全可靠的上传/读取信息,避免了由于联网带来的数据泄露失真等问题。本实施例所述方法可以被应用于各项数据治理中。
图2示出了本发明一实施例提供的一种基于硬件私钥存储技术的数据安全管理系统的结构示意图,本实施例所述系统应用于完全离线的PC端,如图2所示,本实施例的验证终端,包括:第一接收模块21、第一发送模块22、第二发送模块23和获取模块24;其中:
所述第一接收模块21,用于接收用户输入的数据访问请求;
所述第一发送模块22,用于将所述数据访问请求转换成二进制数后发送给USBkey,以使所述USB key对转换成二进制数的数据访问请求进行签名;
所述第二发送模块23,用于接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;
所述获取模块24,用于接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
具体地,所述第一接收模块21接收用户输入的数据访问请求;所述第一发送模块22将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名;所述第二发送模块23接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;所述获取模块24接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
在具体应用中,所述数据访问请求,可以包括:要操作的数据名称和操作类型等。
需要说明的是,本实施例所述系统的执行主体为完全离线的PC端,利用完全离线的PC端执行本实施例所述系统,可以实现无网络操作,防止数据泄漏或被篡改,保证数据安全。
可以理解的是,和传统的数据上链(即数据采集)一样,私钥的安全对数据的可信采集至关重要。硬件私钥存储设备是一种实体设备,私钥储存在设备内的受保护区域中,可以抵抗病毒等来自互联网和其他设备的攻击。硬件私钥存储设备的安全性包括两部分,即保存安全性和防电子攻击。所谓保存安全性,前提就是私钥被保存在硬件设备内,使用私钥签名过程都在硬件中进行,明文不会传出。此外,硬件钱包使用的芯片种类至关重要。使用安全模块的硬件私钥存储设备能够有效地实现对私钥的保护,安全模块不提供调试接口,无法绕开芯片系统读取存储器数据。相较而言,使用普通ARM芯片的硬件私钥存储设备对于私钥的保护相对偏弱,因为没有使用专门的安全模块对私钥进行硬件加密存储。如果黑客获取到物理设备,比较容易发起针对性攻击。而黑客获取到硬件私钥存储设备之后,会采用多种方式侵入到硬件中,包括侵入式攻击(物理攻击,使用探针进行监听)和非侵入式攻击。一种典型的非侵入式攻击是电子探测攻击,攻击方式包括SPA和DPA攻击。采用安全模块的硬件私钥存储设备比普通ARM芯片更能有效抵御攻击。对于各种形式的电子探测攻击,都能做出有针对性的防护,可以有效地抵御各种形式的电子探测攻击。USB key是一种USB接口的硬件私钥存储设备,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。在具体应用中,USB key是对二进制格式的数据进行签名,因此,需要将所述数据访问请求转换成二进制数,使USB key对转换成二进制数的数据访问请求进行签名。
本实施例利用USB key的私钥存储技术进行数据上链前的权限验证,由于USB key根据其特性可以实现不联网读取信息,可实现无网络操作,使得用户通过完全离线的PC端可以在不触网的情况下在联盟区块链上做到安全可靠的读取信息。
可以理解的是,许可链是指参与到区块链系统中的每个节点都是经过许可的,未经许可的节点是不可接入系统中。假设将所述数据访问请求转换成的二进制数为A,所述USB key对A进行签名后,生成的签名为sign_A,本步骤就是利用许可链对签名sign_A进行验证,只有验证通过后才能进行后续步骤S4的数据获取的过程。
在具体应用中,所述通证中可以包括:数据的索引地址和数据的操作权限,本实施例可以根据所述通证中包含的数据的索引地址,在联盟链上获取所述数据访问请求对应的数据。
可以理解的是,在联盟链上获取所述数据访问请求对应的数据以及从所述通证中获取对在联盟链上所获取的数据的操作权限之后,用户可以在所述完全离线的PC端上,基于所获取的操作权限,对在联盟链上所获取的数据进行相应的操作。
可以理解的是,本实施例利用许可链进行了通证管理,使得许可链、联盟链与USBkey可以对接,用这种结合的方式,实现了在不触网的情况下对联盟区块链上的数据进行操作,避免了由于联网带来的数据泄露失真等问题。
本发明实施例提供的基于硬件私钥存储技术的数据安全管理系统,可将USB key应用于基于联盟区块链安全访问控制体系,使得用户通过完全离线的PC端,在不触网的情况下在联盟区块链上做到安全可靠的读取信息,避免了由于联网带来的数据泄露失真等问题。本实施例所述方法可以被应用于各项数据治理中。
进一步地,在上述实施例的基础上,所述第二发送模块23,可具体用于
接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链,以使所述许可链验证所述经过签名后的数据访问请求中的私钥签名和数据名称后返回通证;
相应地,所述获取模块24,可具体用于
接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证;将所述经过签名后的数据访问请求发送给注册解析系统,以使所述注册解析系统经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给保险仓,以使所述保险仓经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给数据储存系统,以使所述数据储存系统经过所述许可链的权限确认后、根据所述通证中包含的数据的索引地址、将所述数据访问请求对应的数据返回给所述保险仓;接收所述保险仓返回的所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
可以理解的是,上述过程的数据访问请求模式是逐级进行的,而许可链在每一级都要进行验证,能同时兼顾流水线的高效和安全。
可以理解的是,在具体应用中,在将所述经过签名后的数据访问请求发送给许可链的同时,还需要将所述经过签名后的数据访问请求发送给监管链,所述监管链是确保数据的实体安全的连续的追踪途径,是一个保存和证实按时间先后排列的证据记录过程,以保证数据安全性。
进一步地,在上述实施例的基础上,本实施例所述系统还可以包括图中未示出的:
第二接收模块,用于接收用户输入的数据上传请求;
第三发送模块,用于将所述数据上传请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据上传请求进行私钥签名;
第四发送模块,用于接收所述USB key返回的经过私钥签名后的数据上传请求,将所述经过私钥签名后的数据上传请求发送给许可链,以使所述许可链核对所接收的数据上传请求中的私钥签名和数据名称之后、生成用于限制上传时间的令牌;
上传模块,用于接收所述许可链生成的令牌,将数据、数据名称、私钥签名和令牌上传到联盟链的数据储存系统中;
第三接收模块,用于接收所述数据储存系统将本次上传的数据与许可链进行权限确认并保存后返回的数据索引。
这样,本实施例使得许可链、联盟链与USB key可以对接,实现了利用完全离线的PC端在不触网的情况下将数据上传到联盟链的数据储存系统中,避免了由于联网带来的数据泄露失真等问题。
可以理解的是,本实施例所述系统应用于联盟区块链而非公有区块链;应用于数据安全而非数字资产;简化了现有冷钱包使用流程。
本发明实施例提供的基于硬件私钥存储技术的数据安全管理系统,将USB key应用于基于联盟区块链安全访问控制体系,使得用户通过完全离线的PC端,在不触网的情况下在联盟区块链上做到安全可靠的上传/读取信息,避免了由于联网带来的数据泄露失真等问题。本实施例所述方法可以被应用于各项数据治理中。
本发明实施例提供的基于硬件私钥存储技术的数据安全管理系统,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图3示出了本发明一实施例提供的一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括存储器302、处理器301及存储在存储器302上并可在处理器301上运行的计算机程序,所述处理器301执行所述程序时实现上述方法的步骤,例如包括:接收用户输入的数据访问请求;将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名;接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤,例如包括:接收用户输入的数据访问请求;将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名;接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种基于硬件私钥存储技术的数据安全管理方法,应用于完全离线的PC端,其特征在于,包括:
接收用户输入的数据访问请求;
将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名;
接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;
接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限;
所述数据访问请求,包括:要操作的数据名称和操作类型;
所述通证,包括:数据的索引地址和数据的操作权限;
相应地,所述根据所述通证,在联盟链上获取所述数据访问请求对应的数据,包括:
根据所述通证中包含的数据的索引地址,在联盟链上获取所述数据访问请求对应的数据;
所述将所述经过签名后的数据访问请求发送给许可链进行签名验证,包括:将所述经过签名后的数据访问请求发送给许可链,以使所述许可链验证所述经过签名后的数据访问请求中的私钥签名和数据名称后返回通证;
相应地,所述根据所述通证,在联盟链上获取所述数据访问请求对应的数据,包括:
将所述经过签名后的数据访问请求发送给注册解析系统,以使所述注册解析系统经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给保险仓,以使所述保险仓经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给数据储存系统,以使所述数据储存系统经过所述许可链的权限确认后、根据所述通证中包含的数据的索引地址、将所述数据访问请求对应的数据返回给所述保险仓;
接收所述保险仓返回的所述数据访问请求对应的数据。
2.根据权利要求1所述的基于硬件私钥存储技术的数据安全管理方法,其特征在于,在接收用户输入的数据访问请求之前,所述方法还包括:
接收用户输入的数据上传请求;
将所述数据上传请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据上传请求进行私钥签名;
接收所述USB key返回的经过私钥签名后的数据上传请求,将所述经过私钥签名后的数据上传请求发送给许可链,以使所述许可链核对所接收的数据上传请求中的私钥签名和数据名称之后、生成用于限制上传时间的令牌;
接收所述许可链生成的令牌,将数据、数据名称、私钥签名和令牌上传到联盟链的数据储存系统中;
接收所述数据储存系统将本次上传的数据与许可链进行权限确认并保存后返回的数据索引。
3.一种基于硬件私钥存储技术的数据安全管理系统,应用于完全离线的PC端,其特征在于,包括:
第一接收模块,用于接收用户输入的数据访问请求;
第一发送模块,用于将所述数据访问请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据访问请求进行签名;
第二发送模块,用于接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链进行签名验证;
获取模块,用于接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限;
所述数据访问请求,包括:要操作的数据名称和操作类型;
所述通证,包括:数据的索引地址和数据的操作权限;
相应地,所述获取模块,具体用于
接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证,根据所述通证中包含的数据的索引地址,在联盟链上获取所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限;
所述第二发送模块,具体用于
接收所述USB key返回的经过签名后的数据访问请求,将所述经过签名后的数据访问请求发送给许可链,以使所述许可链验证所述经过签名后的数据访问请求中的私钥签名和数据名称后返回通证;
相应地,所述获取模块,具体用于
接收所述许可链对经过签名后的数据访问请求签名验证通过后发出的通证;将所述经过签名后的数据访问请求发送给注册解析系统,以使所述注册解析系统经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给保险仓,以使所述保险仓经过所述许可链的权限确认后、将所述经过签名后的数据访问请求发送给数据储存系统,以使所述数据储存系统经过所述许可链的权限确认后、根据所述通证中包含的数据的索引地址、将所述数据访问请求对应的数据返回给所述保险仓;接收所述保险仓返回的所述数据访问请求对应的数据,并从所述通证中获取对在联盟链上所获取的数据的操作权限。
4.根据权利要求3所述的基于硬件私钥存储技术的数据安全管理系统,其特征在于,所述系统还包括:
第二接收模块,用于接收用户输入的数据上传请求;
第三发送模块,用于将所述数据上传请求转换成二进制数后发送给USB key,以使所述USB key对转换成二进制数的数据上传请求进行私钥签名;
第四发送模块,用于接收所述USB key返回的经过私钥签名后的数据上传请求,将所述经过私钥签名后的数据上传请求发送给许可链,以使所述许可链核对所接收的数据上传请求中的私钥签名和数据名称之后、生成用于限制上传时间的令牌;
上传模块,用于接收所述许可链生成的令牌,将数据、数据名称、私钥签名和令牌上传到联盟链的数据储存系统中;
第三接收模块,用于接收所述数据储存系统将本次上传的数据与许可链进行权限确认并保存后返回的数据索引。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至2任一项所述方法的步骤。
6.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至2任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910522456.7A CN110287739B (zh) | 2019-06-17 | 2019-06-17 | 基于硬件私钥存储技术的数据安全管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910522456.7A CN110287739B (zh) | 2019-06-17 | 2019-06-17 | 基于硬件私钥存储技术的数据安全管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110287739A CN110287739A (zh) | 2019-09-27 |
| CN110287739B true CN110287739B (zh) | 2020-12-29 |
Family
ID=68005123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910522456.7A Active CN110287739B (zh) | 2019-06-17 | 2019-06-17 | 基于硬件私钥存储技术的数据安全管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110287739B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111209589A (zh) * | 2019-12-31 | 2020-05-29 | 航天信息股份有限公司 | 一种基于区域链的数据动态脱敏的方法及系统 |
| CN111369731A (zh) * | 2020-02-25 | 2020-07-03 | 上海桔品网络科技有限公司 | 一种智能型彩票自助销售系统 |
| CN112200565A (zh) * | 2020-10-26 | 2021-01-08 | 成都商通时代数字科技有限公司 | usbKey在区块链数字酒证钱包中的应用方法及应用系统 |
| CN112532395B (zh) * | 2020-11-26 | 2024-02-27 | 中国船舶工业系统工程研究院 | 一种基于区块链的数据授信系统、方法和介质 |
| CN112580017B (zh) * | 2020-12-25 | 2023-12-29 | 深信服科技股份有限公司 | 认证方法及装置、电子设备、存储介质 |
| CN112950196A (zh) * | 2021-03-11 | 2021-06-11 | 杭州复杂美科技有限公司 | 一种区块链钱包系统及其使用方法、设备、储存介质 |
| CN115619394A (zh) * | 2021-07-13 | 2023-01-17 | 华为技术有限公司 | 一种用户数据管理方法以及相关设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101872399A (zh) * | 2010-07-01 | 2010-10-27 | 武汉理工大学 | 基于双重身份认证的动态数字版权保护方法 |
| CN107566117A (zh) * | 2017-07-14 | 2018-01-09 | 浙商银行股份有限公司 | 一种区块链密钥管理系统及方法 |
| KR101841928B1 (ko) * | 2016-11-02 | 2018-05-14 | 주식회사 코인플러그 | 문서를 오프라인으로 발행하며, 발행된 오프라인 문서에 대한 인증을 수행하는 방법 및 이를 이용한 서버 |
| CN108960825A (zh) * | 2018-06-26 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 基于区块链的电子签名方法及装置、电子设备 |
| WO2019020824A1 (en) * | 2017-07-27 | 2019-01-31 | Sofitto Nv | METHOD FOR AUTHENTICATING FINANCIAL TRANSACTION IN CRYPTOMONIA BASED ON BLOCK CHAIN, INTELLIGENT CHIP CARD, AND BLOCK CHAIN AUTHENTICATION INFRASTRUCTURE |
| CN109409874A (zh) * | 2018-09-17 | 2019-03-01 | 烨链(上海)科技有限公司 | 基于区块链的支付方法、离线终端和在线终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101873991B1 (ko) * | 2017-04-19 | 2018-07-04 | (주)케이사인 | IoT 기기들 간의 액세스 권한의 위임 방법 |
-
2019
- 2019-06-17 CN CN201910522456.7A patent/CN110287739B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101872399A (zh) * | 2010-07-01 | 2010-10-27 | 武汉理工大学 | 基于双重身份认证的动态数字版权保护方法 |
| KR101841928B1 (ko) * | 2016-11-02 | 2018-05-14 | 주식회사 코인플러그 | 문서를 오프라인으로 발행하며, 발행된 오프라인 문서에 대한 인증을 수행하는 방법 및 이를 이용한 서버 |
| CN107566117A (zh) * | 2017-07-14 | 2018-01-09 | 浙商银行股份有限公司 | 一种区块链密钥管理系统及方法 |
| WO2019020824A1 (en) * | 2017-07-27 | 2019-01-31 | Sofitto Nv | METHOD FOR AUTHENTICATING FINANCIAL TRANSACTION IN CRYPTOMONIA BASED ON BLOCK CHAIN, INTELLIGENT CHIP CARD, AND BLOCK CHAIN AUTHENTICATION INFRASTRUCTURE |
| CN108960825A (zh) * | 2018-06-26 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 基于区块链的电子签名方法及装置、电子设备 |
| CN109409874A (zh) * | 2018-09-17 | 2019-03-01 | 烨链(上海)科技有限公司 | 基于区块链的支付方法、离线终端和在线终端 |
Non-Patent Citations (1)
| Title |
|---|
| 支持多种数字通证的区块链在线授信系统;尚维斯 等;《网络空间安全》;20181130;第09卷(第11期);第34-40页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110287739A (zh) | 2019-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110287739B (zh) | 基于硬件私钥存储技术的数据安全管理方法及系统 | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| CN109412812B (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| CN111431707B (zh) | 业务数据信息处理方法、装置、设备以及可读存储介质 | |
| CN105264537A (zh) | 使用装置证实进行生物计量验证的系统和方法 | |
| CN101163009A (zh) | 用户认证系统、认证服务器、终端以及防篡改设备 | |
| Vidalis et al. | Assessing identity theft in the Internet of Things | |
| CN110268406A (zh) | 密码安全性 | |
| Bose et al. | Explaining the workings principle of cloud-based multi-factor authentication architecture on banking sectors | |
| US9411949B2 (en) | Encrypted image with matryoshka structure and mutual agreement authentication system and method using the same | |
| CN106911722A (zh) | 一种智能密码签名身份鉴别双向认证方法及系统 | |
| CN111932261A (zh) | 一种基于可验证声明的资产数据管理方法和装置 | |
| Biswal et al. | Cyber‐crime prevention methodology | |
| CN109740319B (zh) | 数字身份验证方法及服务器 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| US20230409700A1 (en) | Systems and methods for managing state | |
| US10291609B2 (en) | Vault appliance for identity verification and secure dispatch of rights | |
| CN101939748A (zh) | 通过信任委托的激活 | |
| CN106921501A (zh) | 一种智能密码签名身份鉴别认证方法及系统 | |
| Zhao et al. | Feasibility of deploying biometric encryption in mobile cloud computing | |
| Mughaid et al. | Intelligent cybersecurity approach for data protection in cloud computing based Internet of Things | |
| CN114024682A (zh) | 跨域单点登录方法、服务设备及认证设备 | |
| Lee et al. | A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services | |
| Xie et al. | VOAuth: A solution to protect OAuth against phishing | |
| Cho et al. | User credential cloning attacks in android applications: exploiting automatic login on android apps and mitigating strategies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |