CN110309259B - 审计结果数据存储、查询方法、审计项存储方法及装置 - Google Patents
审计结果数据存储、查询方法、审计项存储方法及装置 Download PDFInfo
- Publication number
- CN110309259B CN110309259B CN201811179316.6A CN201811179316A CN110309259B CN 110309259 B CN110309259 B CN 110309259B CN 201811179316 A CN201811179316 A CN 201811179316A CN 110309259 B CN110309259 B CN 110309259B
- Authority
- CN
- China
- Prior art keywords
- audit
- user
- signature data
- audit result
- result data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种审计结果数据存储、查询方法、审计项存储方法及装置和电子设备及介质,属于数据存储领域。本发明实施例提供的存储方法,通过不进行实际审计结果数据的传递,而是将审计结果数据的散列值通过多方签名的方式后,存储至审计结果数据存储子系统中,大大降低了数据泄露的可能性,能够为敏感信息提供安全保障。
Description
技术领域
本发明涉及数据存储领域,特别涉及一种审计结果数据存储、查询方法、审计项存储方法及装置。
背景技术
审计是指由专设机关依照法律对国家各级政府及金融机构、企业事业组织的重大项目和财务收支进行事前和事后的审查的独立性监督活动,当然,该审计还可以是指对一些网络安全性方面的审计。审计作为一种监督机制,其实践活动历史悠久,然而,目前的审计方式,一般是各个审计机构对被审计单位提交的资料进行人工审计,涉及到大量的纸质材料的传递,而这种材料的传递,不仅不环保,而且更加不利于数据的存储和保密。
发明内容
本发明实施例提供了一种审计结果数据存储、查询方法、审计项存储方法及装置,大大降低了数据泄露的可能性,能够为敏感信息提供存储安全保障。该技术方案如下:
一方面,提供了一种审计结果数据存储方法,应用于第一电子设备上,所述方法包括:
获取第一用户的审计结果数据的第一散列值;
根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据;
将所述第一签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
在一种可能实施方式中,所述获取第一用户的审计结果数据的第一散列值包括:
通过扫描任一电子设备所提供的第一图形标识码,得到所述第一图形标识码所表示的第一散列值。
在一种可能实施方式中,所述审计结果数据中每个审计项的审计结果包括审计项的散列值、所述第一用户的特征值的散列值以及审计证据的散列值。
在一种可能实施方式中,所述审计结果数据中每个审计项的审计结果还包括审计上下文的散列值、所述第二用户的特征值的散列值、第二用户信息的散列值以及所述第一用户信息的散列值中至少一项。
在一种可能实施方式中,所述根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据包括:
将所述第一散列值发送至所述第一电子设备的可信执行环境中;
接收第一签名数据,所述第一签名数据由所述第一电子设备的可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名得到,所述第一用户的私钥由审计系统在所述第一用户注册成功后生成。
在一种可能实施方式中,所述根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据之后,所述方法还包括:
根据所述第一签名数据,显示第二图形标识码,所述第二图形标识码用于表示所述第一签名数据。
一方面,提供了一种审计结果数据存储方法,应用于第二电子设备上,所述方法包括:
获取第一签名数据,所述第一签名数据用于表示第一用户的审计结果数据;
根据第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据;
将所述第二签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
在一种可能实施方式中,所述根据第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据包括:
将所述第一签名数据发送至所述第二电子设备的可信执行环境中;
接收第二签名数据,所述第二签名数据由所述第二电子设备的可信执行环境根据第二用户的私钥对所述第一签名数据进行签名得到,所述第二用户的私钥由审计系统在所述第二用户注册成功后生成。
在一种可能实施方式中,所述获取第一签名数据包括:
通过扫描第一电子设备所提供的第二图形标识码,得到所述第二图形标识码所表示的第一签名数据。
在一种可能实施方式中,所述获取第一签名数据包括:
接收所述审计结果数据存储子系统的第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统;
从所述审计结果数据存储子系统中获取所述第一签名数据。
在一种可能实施方式中,所述将所述第二签名数据发送至审计结果数据存储子系统之后,所述方法还包括:
接收所述审计结果数据存储子系统的第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
一方面,提供了一种审计结果数据存储方法,应用于审计结果数据存储子系统中的任一节点设备,所述审计结果数据存储子系统中的多个节点设备配置有共识机制,包括:
接收第二电子设备发送的第二签名数据,所述第二签名数据用于表示经过作为被审计方的第一用户和作为审计方的第二用户签名的第一散列值,所述第一散列值用于表示所述第一用户的审计结果数据;
对所述第二签名数据进行验证;
当验证通过时,在审计结果数据存储子系统中广播所述第二签名数据;
当所述审计结果数据存储子系统对所述第二签名数据共识通过时,将所述第二签名数据存储至所述审计结果数据存储子系统中。
在一种可能实施方式中,所述对所述第二签名数据进行验证包括:
基于所述第一用户的公钥和所述第二用户的公钥,对所述第二签名数据进行验证。
在一种可能实施方式中,所述将所述第二签名数据存储至所述审计结果数据存储子系统中包括:
将所述第二签名数据与所述区块链中所述第一用户的已存储数据进行关联存储。
在一种可能实施方式中,所述方法还包括:
基于所述审计结果数据存储子系统中第三用户对应的数据,生成所述第三用户的查询页面,所述第三用户的查询页面中包括所述第三用户的审计结果。
在一种可能实施方式中,所述方法还包括:以图形标识码的形式,提供所述第一用户的查询页面的页面链接地址。
在一种可能实施方式中,所述接收第二电子设备发送的第二签名数据之前,所述方法还包括:
接收第一电子设备发送的第一签名数据,根据所述第一签名数据,向第二电子设备发送第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统。
在一种可能实施方式中,所述将所述第二签名数据存储至所述审计结果数据存储子系统的区块链中之后,所述方法还包括:
向第二电子设备发送第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
一方面,提供了一种审计结果数据查询方法,包括:
通过扫描任一电子设备提供的第三图形标识码,得到第三用户的查询页面的页面链接地址;
发送网页访问请求,所述网页访问请求用于访问所述第三用户的查询页面的页面链接地址;
显示所述第三用户的查询页面,所述查询页面中包括所述第一用户的审计结果。
在一种可能实施方式中,所述第一用户的审计结果包括以年、半年、季度以及月份中至少一项划分的审计结果项。
在一种可能实施方式中,所述显示所述第一用户的查询页面之后,所述方法还包括:
当接收到对任一审计结果项的查看指令,获取所述审计结果项对应的审计结果数据。
一方面,提供了一种审计项存储方法,所述方法还包括:
获取待录入的审计项;
获取所述待录入的审计项的第二散列值;
根据所述第二散列值,在所述待录入的审计项所属审计领域的已有审计项的散列值中进行查询;
当所述已有审计项的散列值包括与所述第二散列值相同的散列值,不存储所述待录入的审计项。
其中,审计项(auditing criteria)也可以称为审计规则。
在一种可能实施方式中,所述根据所述第二散列值,在所述待录入的审计项所属审计领域的已有审计项的散列值中进行查询之后,所述方法还包括:
如果所述已有审计项的散列值中不包括与所述第二散列值相同的散列值,而所述已有审计项中包括与所述待录入的审计项的相似度大于第一相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。
在一种可能实施方式中,所述根据所述第二散列值,在所述待录入的审计项所属审计领域的已有审计项的散列值中进行查询之后,所述方法还包括:
如果所述已有审计项的散列值中不包括与所述第二散列值相同的散列值,而同一个审计领域的已有审计项中包括与所述待录入的审计项的相似度小于第二相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。
其中,第一相似度阈值大于第二相似度阈值。
在一种可能实施方式中,审计项之间的相似度确定过程包括:根据待录入的审计项确定对应的语义模板,将该语义模板和已有审计项之间的相似度,作为已有的审计项与待录入的审计项之间的相似度。
其中,语义模板集合可以是多个语义模板所组成的集合,每个语义模板可以是基于某种标准或规范(例如审计标准)生成,并关联有至少一个元数据。对于一个审计领域(auditing domain)来说,可以对应于至少一个语义模板集合。多个标准化组织SD0在制定和发布标准时,可以根据其相关性,将其所发布的标准划分为多个审计领域,其中,各个语义模板可以存储在与语义模板的散列值对应的地址中,其中,该语义模板的散列值可以是该语义模板关联的元数据(megadata)的散列值。
在审计项存储子系统中,可以根据待录入的审计项所属的审计领域,来将该待录入的审计项与该审计领域对应的语义模板集合中的语义模板进行匹配,当基于待录入的审计项匹配到对应的语义模板,也即是确定了匹配的语义模板集合时,则可以利用语义模板进行语义分析,进而进行上述相似度的确定等过程。进一步地,通过审计项与语义模板的匹配,待录入的审计项的散列值可以关联至匹配的语义模板的散列值,以便将具有相同或相似语义的审计项分到一个集合中,从而实现了基于语义模板的分集,与语义模版的散列值关联的审计项可以构成存储或者显示的数据结构,还可以提交人工评测来确定审计项的保留和删除。
在一种可能实施方式中,所述方法应用于审计项存储系统中,所述审计项存储系统用于以区块链的形式存储各个审计项。
需要说明的是,上述涉及使用语义模版存储审计项的方法,不仅可以用于审计领域,也可用于其他领域,包括各种可以定义语义模版的进行归集的领域,以便于实现基于语义内容的存储寻址数据容器结构,这种方法可以突破不同语言的限制,即使在不同语言场景下,如果基于同一语义模版判定为相同,可使用同一语义模版指向的地址进行内容定位,提升了内容关联性管理。
一方面,提供了一种审计结果数据存储装置,应用于第一电子设备上,所述装置包括:
散列获取模块,用于获取第一用户的审计结果数据的第一散列值;
签名模块,用于根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据;
发送模块,用于将所述第一签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
在一种可能实施方式中,所述散列获取模块用于通过扫描任一电子设备所提供的第一图形标识码,得到所述第一图形标识码所表示的第一散列值。
在一种可能实施方式中,所述审计结果数据中每个审计项的审计结果包括审计项的散列值、所述第一用户的特征值的散列值以及审计证据的散列值。
在一种可能实施方式中,所述审计结果数据中每个审计项的审计结果还包括审计上下文的散列值、所述第二用户的特征值的散列值、第二用户信息的散列值以及所述第一用户信息的散列值中至少一项。
在一种可能实施方式中,所述签名模块用于:
将所述第一散列值发送至所述第一电子设备的可信执行环境中;
接收第一签名数据,所述第一签名数据由所述第一电子设备的可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名得到,所述第一用户的私钥由审计系统在所述第一用户注册成功后生成。
在一种可能实施方式中,所述装置还包括:
显示模块,用于根据所述第一签名数据,显示第二图形标识码,所述第二图形标识码用于表示所述第一签名数据。
一方面,提供了一种审计结果数据存储装置,应用于第二电子设备上,所述装置包括:
获取模块,用于获取第一签名数据,所述第一签名数据用于表示第一用户的审计结果数据;
签名模块,用于根据第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据;
发送模块,用于将所述第二签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
在一种可能实施方式中,所述签名模块用于:
将所述第一签名数据发送至所述第二电子设备的可信执行环境中;
接收第二签名数据,所述第二签名数据由所述第二电子设备的可信执行环境根据第二用户的私钥对所述第一签名数据进行签名得到,所述第二用户的私钥由审计系统在所述第二用户注册成功后生成。
在一种可能实施方式中,所述获取模块用于通过扫描第一电子设备所提供的第二图形标识码,得到所述第二图形标识码所表示的第一签名数据。
在一种可能实施方式中,所述获取模块用于接收所述审计结果数据存储子系统的第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统;从所述审计结果数据存储子系统中获取所述第一签名数据。
在一种可能实施方式中,所述装置还包括:
接收模块,用于接收所述审计结果数据存储子系统的第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
一方面,提供了一种审计结果数据存储装置,应用于审计结果数据存储子系统中的任一节点设备,所述审计结果数据存储子系统中的多个节点设备配置有共识机制,包括:
接收模块,用于接收第二电子设备发送的第二签名数据,所述第二签名数据用于表示经过作为被审计方的第一用户和作为审计方的第二用户签名的第一散列值,所述第一散列值用于表示所述第一用户的审计结果数据;
验证模块,用于对所述第二签名数据进行验证;
发送模块,用于当验证通过时,在审计结果数据存储子系统中广播所述第二签名数据;
存储模块,用于当所述审计结果数据存储子系统对所述第二签名数据共识通过时,将所述第二签名数据存储至所述审计结果数据存储子系统中。
在一种可能实施方式中,所述验证模块用于基于所述第一用户的公钥和所述第二用户的公钥,对所述第二签名数据进行验证。
在一种可能实施方式中,所述存储模块用于将所述第二签名数据与所述区块链中所述第一用户的已存储数据进行关联存储。
在一种可能实施方式中,所述装置还包括:
页面生成模块,用于基于所述审计结果数据存储子系统中第三用户对应的数据,生成所述第三用户的查询页面,所述第三用户的查询页面中包括所述第三用户的审计结果。
在一种可能实施方式中,所述装置还包括:
地址提供模块,用于以图形标识码的形式,提供所述第三用户的查询页面的页面链接地址。
在一种可能实施方式中,所述接收模块还用于接收第一电子设备发送的第一签名数据,根据所述第一签名数据,向第二电子设备发送第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统。
在一种可能实施方式中,所述发送模块还用于向第二电子设备发送第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
一方面,提供了一种审计结果数据查询装置,包括:
地址获取模块,用于通过扫描任一电子设备提供的第三图形标识码,得到第三用户的查询页面的页面链接地址;
发送模块,用于发送网页访问请求,所述网页访问请求用于访问所述第三用户的查询页面的页面链接地址;
显示模块,用于显示所述第三用户的查询页面,所述查询页面中包括所述第三用户的审计结果。
在一种可能实施方式中,所述第三用户的审计结果包括以年、半年、季度以及月份中至少一项划分的审计结果项。
在一种可能实施方式中,所述装置还包括:
数据获取模块,用于当接收到对任一审计结果项的查看指令,获取所述审计结果项对应的审计结果数据。
一方面,提供了一种审计项存储装置,所述装置还包括:
审计项录入模块,用于获取待录入的审计项;
散列获取模块,用于获取所述待录入的审计项的第二散列值;
查询模块,用于根据所述第二散列值,在所述待录入的审计项所属审计领域的已有审计项的散列值中进行查询;
存储模块,用于当所述已有审计项的散列值包括与所述第二散列值相同的散列值,不存储所述待录入的审计项。
在一种可能实施方式中,所述存储模块还用于如果所述已有审计项的散列值中不包括与所述第二散列值相同的散列值,而所述已有审计项中包括与所述待录入的审计项的相似度大于第一相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。
在一种可能实施方式中,所述存储模块还用于如果所述已有审计项的散列值中不包括与所述第二散列值相同的散列值,而同一个审计领域的已有审计项中包括与所述待录入的审计项的相似度小于第二相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。
在一种可能实施方式中,所述装置应用于审计项存储系统中,所述审计项存储系统用于以区块链的形式存储各个审计项。
一方面,提供了一种审计结果数据存储方法,所述方法包括:
第一电子设备获取第一用户的审计结果数据的第一散列值,根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据;
第二电子设备在获取到所述第一签名数据后,根据第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据,将所述第二签名数据发送至审计结果数据存储子系统;
所述审计结果数据存储子系统接收到所述第二签名数据后,如果对所述第二签名数据共识通过时,将所述第二签名数据存储至所述审计结果数据存储子系统中。
一方面,提供了一种审计系统,所述审计系统包括:审计项存储子系统、现场审计子系统、至少一个电子设备、审计结果数据存储子系统;
所述审计项存储子系统用于存储多个审计项;
所述现场审计子系统用于与所述审计项存储子系统交互,以提供第一用户的审计页面,得到所述第一用户的审计结果数据,为所述至少一个电子设备中的第一电子设备提供所述第一用户的审计结果数据的第一散列值;
所述第一电子设备用于根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据;
所述第二电子设备用于根据第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据,将所述第二签名数据发送至所述审计结果数据存储子系统;
所述审计结果数据存储子系统用于采用区块链的形式存储所述第二签名数据。
一方面,提供了一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现上述的审计结果数据存储方法所执行的操作。
一方面,提供了一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如上述审计结果数据查询方法所执行的操作。
一方面,提供了一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如上述审计项存储方法所执行的操作。
一方面,提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现上述任一方法所执行的操作。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种审计系统的系统架构图;
图2是本发明实施例提供的一种审计项录入所涉及的功能构成图;
图3A是本发明实施例提供的一种审计项录入流程的示意图;
图3B是本发明实施例提供的一种审计领域以及语义模板之间关系的示意图;
图3C是本发明实施例提供的一种语义模板基于元数据的特征值存储的示意图;
图4是本发明实施例提供的审计结果数据存储子系统103的结构示意图;
图5是本发明实施例提供的一种审计结果数据存储方法的流程图;
图6是本发明实施例提供的一种审计结果数据存储方法的示例的流程图;
图7是本发明实施例提供的一种审计结果数据存储方法的流程图;
图8是本发明实施例提供的一种审计结果数据存储方法的示例的流程图;
图9是本发明实施例提供的一种审计结果数据存储方法的流程图;
图10是本发明实施例提供的一种merkel树的示例图;
图11是本发明实施例提供的一种审计结果数据存储装置的结构示意图;
图12是本发明实施例提供的一种审计结果数据存储装置的结构示意图;
图13是本发明实施例提供的一种审计结果数据存储装置的结构示意图;
图14是本发明实施例提供的一种审计结果数据查询装置的结构示意图;
图15是本发明实施例提供的一种审计项存储装置的结构示意图;
图16是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1是本发明实施例提供的一种审计系统的系统架构图。参见图1,该审计系统包括审计项存储子系统100、现场审计子系统101、至少一个电子设备102、审计结果数据存储子系统103。
该审计项存储子系统100用于存储审计项,所存储的审计项可以是由系统管理人员事先配置或是由系统内的用户上传。
在一种可能实施方式中,该审计项存储子系统100可以包括服务器和多个用户侧设备,用户可以通过用户侧设备来将审计项上传至服务器,以实现集中存储。在一种可能实施方式中,该审计项存储子系统100可以是去中心化的形式,也即是,审计项存储子系统100包括多个节点设备,各个节点设备配置有同一条区块链,来存储该多个节点设备共识通过的审计项,来实现去中心化的数据存储,以提高数据的安全性。以这种采用区块链形式进行审计项存储的系统架构为例,在对审计项存储时,可以包括散列处理、第一级判定(一致性判定)、语义处理、第二级判定(相似度判定)以及第三级判定(人工评测)的流程步骤(如图2所示)。具体地,上述流程包括:获取待录入的审计项;获取所述待录入的审计项的第二散列值;根据所述第二散列值,在所述待录入的审计项所属审计领域的已有审计项的散列值中进行查询;当所述已有审计项的散列值包括与所述第二散列值相同的散列值,不存储所述待录入的审计项。在这种存储方式下,由于相同的数据具有相同的散列值,因此,基于这种散列值的查询和比较,对于同一个审计领域来说,实现了不重复录入相同或相似度极大的审计项的目的,使得系统的存储负担降低,且审计项的冗余程度会大大降低。在一种可能实施方式中,如果所述待录入的审计项所属审计领域的已有审计项的散列值中不包括与所述第二散列值相同的散列值,而所述已有审计项中包括与所述待录入的审计项的相似度大于第一相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。其中,该相似度可以是基于语义分析所确定的相似度。对于没有相同的散列值的情况下,还需要对审计项进行进一步的分析,以避免将语义相同但是语言表达不同的审计项重复录入,因此,可以通过语义分析,来获取已有审计项与待录入的审计项的相似度。如果相似度大于第一相似度阈值,则可能该待录入的审计项与某个已有审计项是语义相同的,因此,审计项存储子系统100可以将该待录入的审计项和预判为语义相同的审计项提供给系统管理员或者当前用户,进行人工评测,基于人工评测结果来确定是否录入该审计项(如图3A所示),当人工评测结果确定该审计项与已有审计项语义不同时,则录入该审计项,当人工评测结果确定该审计项与已有审计项语义相同时,则可以基于人工选择的方式,来确定保留已有的审计项,不录入该待录入的审计项,或者录入该待录入的审计项而删除已有的审计项。上述录入方法,避免了审计项雷同造成的重复审计、大大降低了成本,提高了审计效率。
上述基于第一相似度阈值的判定实际上是针对相似度较高的、重复的审计项,而对于同一个审计领域来说,还可能出现审计项冲突的情况,为此,在一种可能实施方式中,所述根据所述第二散列值,在所述待录入的审计项所属审计领域的已有审计项的散列值中进行查询之后,所述方法还包括:如果待录入的审计项所属审计领域的已有审计项中包括与所述待录入的审计项的相似度小于第二相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。对于同一个审计领域来说,其审计项不应该出现审计项之间冲突的现象,因此,还可以基于审计项之间的相似度来确定待录入的审计项是否与已有审计项有冲突,一旦有冲突,则需要提交人工评测来确定如何对冲突的审计项进行处理。
需要说明的一点是,上述通过语义分析,来获取已有审计项与待录入的审计项的相似度可以基于预先设置的语义模板集合进行。其中,语义模板集合可以是多个语义模板所组成的集合,每个语义模板可以是基于某种标准或规范(例如审计标准)生成,并关联有至少一个元数据。对于一个审计领域(Auditing domain)来说,可以对应于至少一个语义模板集合。多个标准化组织SD0在制定和发布标准时,可以根据其相关性,将其所发布的标准划分为多个审计领域,例如,以图3B所示为例进行说明,SDO1和SDO2属于审计领域1,该审计领域1对应于语义模板集合1,SDO3、SDO4和SDO5属于审计领域2,该审计领域2对应于语义模板集合2。其中,各个语义模板可以存储在与语义模板的散列值对应的地址中,其中,该语义模板的散列值可以是该语义模板关联的元数据(megadata)的散列值(如图3C所示的Mh1至Mhp)。
在审计项存储子系统中,可以根据待录入的审计项所属的审计领域,来将该待录入的审计项与该审计领域对应的语义模板集合中的语义模板进行匹配,当基于待录入的审计项匹配到对应的语义模板,也即是确定了匹配的语义模板集合时,则可以利用匹配到的语义模板进行语义分析,进而进行上述相似度的确定等过程。进一步地,通过审计项与语义模板的匹配,待录入的审计项的散列值可以关联至匹配的语义模板的散列值,以便将具有相同或相似语义的审计项分到一个集合中,从而实现了基于语义模板的分集,与语义模版的散列值关联的审计项可以构成存储或者显示的数据结构(如图3C所示),还可以提交人工评测来确定审计项的保留和删除。进一步地,当基于待录入的审计项未匹配到对应的语义模板时,则可以创建新的语义模板,例如采用人工介入的方式来创建。
以该审计项存储子系统采用IPFS(星际文件系统,interplanetary file system)系统为例,在IPFS系统中,可以基于审计项的散列值进行寻址和存储,因此,各个审计项均具有唯一的散列值,因此,可以通过比较该待录入的审计项的散列值和已有审计项的散列值,来确定是否可以直接进行录入。当确定对该待录入的审计项进行录入时,可以基于该待录入的审计项的散列值,来确定目标存储地址,并将该待录入的审计项存储至目标存储地址。
需要说明的是,在进行审计项录入时,不仅可以是针对审计领域的录入,一个审计领域可以包括多个审计对象,在录入时,还可以是针对特定审计对象的录入,例如,对于某个审计对象,基于规范或者标准,录入多个与该审计对象关联的审计项。当然,在进行审计项录入时,也可以是不具有针对性的录入,本发明实施例对此不做具体限定。可选地,该审计项存储子系统100在存储审计项时,可以与审计对象进行关联存储,使得审计人员在进行审计时,可以通过调取审计对象,来获取与审计对象关联存储的审计项,达到提高处理效率的目的,例如,对于审计对象1可以默认关联有多个审计项A1、B1和C1……等等。当然,审计项存储子系统100也可以不对审计对象和审计项进行关联存储,本发明实施例对此也不做具体限定。
需要说明的是,上述对待录入的审计项与待录入的审计项所属审计领域的已有审计项之间的判定过程可以通过智能合约实现。
现场审计子系统101用于进行审计。该现场审计子系统101可以用于提供审计界面,以供审计人员在现场进行操作。该现场审计子系统101包括审计对象子系统,在审计对象子系统中,由被审计方依照审计模版输入一个或者多个审计对象,对于每个审计对象,可基于审计项存储子系统100关联相关一个或者多个审计项,被审计方提供与此审计项和审计对象关联的证据,审计方基于所提供的证据,可选择在现场提供符合度判定分数,或者通过远程提供符合度判定分数,形成针对该审计对象的关联的各个审计项的审计结果。其中,被审计方可以通过审计对象子系统来提供相关证据。可选地,该现场审计子系统101可以存储有所服务的经营实体的审计相关数据,例如,采用数据库形式存储,以便进行上述现场或远程的审计,这种本地存储的形式可以避免数据外泄,达到安全保密的目的。
至少一个电子设备102,该至少一个电子设备102可以作为审计客户端使用,例如,电子设备上可以运行有审计客户端,可以安装于任一个电子设备上,例如便携电子设备,如手机、平板电脑等电子设备,当然,也可以是专门的审计设备。电子设备102上可以配置有可信执行环境(TEE,trusted execution environment)或(TA,trusted application),用以存储用户的私钥以及进行签名等操作。对于审计客户端来说,当任一用户在审计系统中注册成功后,可以由审计系统为该用户生成一对密钥,包括公钥和私钥,该公钥可以分发给审计系统里的设备,用以进行签名验证等步骤,而该私钥可以存储于电子设备102的TEE或TA中,以便在有需要时,由电子设备和TEE或TA进行交互,以进行签名等步骤,私钥不能够被导出到TEE或TA以外,大大提高了安全性。电子设备102的TEE或TA中可以存储有已登录的用户的私钥,而当该用户退出登录时,可以对其私钥进行保留或删除。而当有任一用户登录该审计客户端时,可以从审计系统中重新申请生成密钥或者私钥的传送,使得该电子设备的TEE或TA能够获取到私钥,以便实现后续的数据安全保障。
审计结果数据存储子系统103用于存储审计结果数据。该存储可以采用区块链形式进行,也即是,该审计结果数据存储子系统103可以包括多个节点设备(如图4所示),该各个节点可以分别为不同经营实体服务,区块链形式的存储是指对于每个节点设备上所存储的数据具有不可篡改性。
在上述系统中,为了实现审计的安全性和数据保密性,各个用户均需要进行注册,例如被审计方、审计方,被审计方和审计方均可以注册至少一个账号,以便供自己的审计参与人员使用。例如,在使用审计客户端时,被审计方人员需要首先完成注册,并选择所属的机构名称,如果相关的机构尚未注册,则需要进一步完成机构注册;某被审计机构的人员注册完成后,审计客户端获取相应的公私密钥对(pk1,sk1);在使用审计客户端时,审计人员需要首先完成注册,并选择所属的审计机构,如果相关的审计机构尚未注册,则需要进一步完成审计机构注册;某审计机构的审计人员注册完成后,审计客户端获取相应的公私密钥对(pk2,sk2)。
图5是本发明实施例提供的一种审计结果数据存储方法的流程图。参见图5,该实施例涉及到作为被审计方的第一用户、作为审计方的第二用户,在一个示例性的实施例中,该审计结果数据存储方法包括:
501、通过现场审计子系统和审计项存储子系统之间的交互,获取第一用户的审计对象的一个或多个审计项。
审计人员可以在现场审计子系统进行操作,以输入审计对象,而现场审计子系统可以与审计项存储子系统建立数据连接,从而根据审计对象,从该审计项存储子系统中获取该审计对象关联的一个或多个审计项。当然,该一个或多个审计项可以是该审计对象默认的关联项,审计人员可以实际审计需求对该默认的关联项进行调整(例如删除某个审计项,或者增加某个审计项),还可以是审计人员基于实际审计需求,从审计项存储子系统中获取的一个或多个审计项,本发明实施例对此不做限定。
502、在该现场审计子系统上基于该审计对象的一个或多个审计项进行审计,得到审计结果数据。
其中,所述审计结果数据中每个审计项的审计结果包括审计项的散列值、所述第一用户的特征值的散列值以及审计证据的散列值。由于散列值的不可逆性,因此,基于散列值的数据传递可以保证原始审计数据不被泄露。以该散列值是基于哈希算法得到为例,审计项的散列值Hash(L),审计对象的特征值的散列值Hash(O),被审计方所提供的证据的散列值Hash(E)。可选地,所述审计结果数据中每个审计项的审计结果还包括审计上下文的散列值、所述第二用户的特征值的散列值、第二用户信息的散列值以及所述第一用户信息的散列值中至少一项。也即是,审计项还可以包括审计上下文散列值Hash(Con),审计方的特征值的散列值Hash(D),审计方基本信息散列值Hash(A),被审计方基本信息散列值Hash(O)。
其中,第一用户信息可以为该第一用户所属机构信息、机构代码等等,第二用户信息可以为第二用户所属机构信息、机构代码等等,当然,上述用户信息中还可以包括该用户自身的员工编号等等,本发明实施例对此不做限定。审计上下文是指审计发生地点信息、审计发生时间等等与本次审计相关的信息。
需要说明的是,上述审计可以是审计人员在该现场审计子系统上进行,也可以是由远程接入的审计人员来执行,本发明实施例对此不做限定。
503、现场审计子系统根据审计结果数据的第一散列值,显示第一图形标识码,该第一图形标识码用于表示该审计结果数据。
其中,现场审计子系统基于审计结果数据,生成该审计结果数据的第一散列值。在生成第一散列值之前,可以对审计结果数据中的各个审计项进行组合,以形成新的数据块,再进行散列处理,得到第一散列值。现场审计子系统再基于该第一散列值,生成第一图形标识码,并显示于该现场审计子系统的屏幕上。该第一图形标识码可以为二维码,例如QR码等。
该第一图形标识码还可以标识作为审计方的第二用户,以便在后续流程中使得其他设备能够获知在现场进行审计的人员。
504、第一电子设备通过扫描该第一图形标识码,得到所述第一图形标识码所表示的第一散列值。
该第一电子设备是指被审计方的第一用户所登录的设备,被审计方的工作人员可以通过该扫码的方式,将第一散列值获取到第一电子设备上进行存储。这种基于图形标识码的数据传递方法,不仅操作方法简单便捷,而且大大提高了整个传递的直观性和可信程度。
需要说明的是,上述步骤503和504是以通过扫码模式来进行数据传递进行说明,而对于现场审计子系统和第一电子设备来说,也可以不采用扫码模式,而是采用其他数据传递方式,例如蓝牙或局域网连接等方式,本发明实施例对此不做限定。
505、第一电子设备将所述第一散列值发送至所述第一电子设备的可信执行环境中。
该步骤505中,签名可以是基于授权来进行,也即是,当第一用户认可该审计结果数据时,可以通过第一电子设备来授权对审计结果数据进行签名,来表示被审计方认可该审计结果。而当第一用户不认可该审计结果数据时,可以不授权签名。
第一电子设备的可信执行环境中存储有第一用户的私钥,为了实现数据安全,第一电子设备可以将第一散列值发送至可信执行环境中进行签名,而不是获取私钥自行签名。在一种可能实施方式中,该第一电子设备可以向可信执行环境发送签名指令,该签名指令携带客户端标识和第一散列值,以用于标识需要使用哪个私钥对散列值进行签名。
506、该可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据,将该第一签名数据发送至该第一电子设备。
在步骤506中,可信执行环境可以获取该第一用户的私钥,再采用该私钥对所述第一散列值进行签名。在一种可能实施方式中,该可信执行环境可以对签名指令所携带的客户端标识进行验证,当可信客户端标识包括该客户端标识时,则获取该客户端标识对应的私钥,执行该签名指令。
507、第一电子设备在接收到第一签名数据后,将所述第一签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于存储审计结果数据。所述审计结果数据存储子系统用于采用区块链的形式存储数据。
对于该已经签名的第一散列值,第一电子设备可以将该第一签名数据发送给审计结果数据存储子系统,以确定被审计方已经认可该审计结果。
508、审计结果数据存储子系统在接收到第一签名数据后,向第二电子设备发送第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统。
可选地,该审计结果数据存储子系统还可以向第一电子设备返回第一存证证明,以便告知第一电子设备存储完成。当然,该审计结果数据存储子系统还可以向第一电子设备返回进度说明,以告知第一电子设备现阶段的签名已经完成,还需要第二用户的签名才能完成数据存储。
其中,审计结果数据存储子系统在接收到第一签名数据后,可以对第一签名数据进行验证,该验证可以是基于第一用户的公钥进行,当验证通过时,再执行步骤508的第一存证证明的发送步骤以及后续过程。
509、当第二电子设备接收到该第一存证证明时,从所述审计结果数据存储子系统中获取所述第一签名数据。
在步骤509中,该从审计结果数据存储子系统中获取第一签名数据,可以是接收该审计结果数据存储子系统发送的第一签名数据,也可以是第二电子设备主动从审计结果数据存储子系统中获取与该第一存证证明对应的第一签名数据,本发明实施例对此不做限定。
510、该第二电子设备将所述第一签名数据发送至所述第二电子设备的可信执行环境中。
511、该可信执行环境根据所述第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据,将该第二签名数据发送至该第二电子设备。
512、该第二电子设备接收第二签名数据后,将所述第二签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
该步骤510至步骤512与上述第一电子设备进行签名以及发送的过程同理,在此不做赘述。
513、该审计结果数据存储子系统对该第二签名数据进行存储。
该第二签名数据为经过第一用户和第二用户签名的数据,得到了审计方和被审计方的双重签名,能够大大提高数据的安全性,而且,通过采用区块链的形式来存储审计结果数据,能够在保证审计结果真实有效的同时,避免数据的泄露。
514、当存储完成后,该审计结果数据存储子系统向第二电子设备发送第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
可选地,该审计结果数据存储子系统还可以向第一电子设备返回第二存证证明,以便告知第一电子设备存储完成。
为了更加清晰的表示上述的数据传递过程,下面基于一个示例来对图5提供的实施例进行简要的说明,参见图6,在审计结果数据a生成后,在现场审计子系统上形成与审计结果数据a对应的二维码B0,被审计方可在审计客户端601上登录并选择使用扫码模式,扫描B0,将审计结果a收集到审计客户端,并授权对审计结果a签名,签名时可通过审计客户端的TEE实现,由TEE使用上述私钥sk1,签名得到的第一签名数据可以表示为Sign(a),并将Sign(a)发送至审计结果数据存储子系统,由审计结果数据存储子系统将S ign(a)发送给第二用户所登录的审计客户端602,由第二用户在审计客户端602上授权对Sign(a)进行签名,得到Sign(b),并将Sign(b)发送至审计结果数据存储子系统进行存储。
上述存储方法,通过不进行实际审计结果数据的传递,而是将审计结果数据的散列值通过多方签名的方式后,存储至审计结果数据存储子系统中,大大降低了数据泄露的可能性,能够为敏感信息提供安全保障。
上述图5所示实施例为第一用户和第二用户之间基于审计结果数据存储子系统的数据传递来分别进行签名为例进行说明,而在图7所示实施例中,示出了一种第一用户和第二用户基于图形标识码来进行数据传递,以进行签名为例进行说明的过程,参见图7,该实施例具体包括:
701、通过现场审计子系统和审计项存储子系统之间的交互,获取第一用户的审计对象的多个审计项。
702、在该现场审计子系统上基于该审计对象的多个审计项进行审计,得到审计结果数据。
703、现场审计子系统根据审计结果数据的第一散列值,显示第一图形标识码,该第一图形标识码用于表示该审计结果数据。
704、第一电子设备通过扫描该第一图形标识码,得到所述第一图形标识码所表示的第一散列值。
705、第一电子设备将所述第一散列值发送至所述第一电子设备的可信执行环境中。
706、该可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据,将该第一签名数据发送至该第一电子设备。
上述步骤701至步骤706与步骤501至506同理,在此不做赘述。
707、第一电子设备在接收到第一签名数据后,显示第二图形标识码,所述第二图形标识码用于表示所述第一签名数据。
被审计方的工作人员可以在第一电子设备上选择扫码模式,以通过面对面的方式,来由审计方的工作人员通过扫码来得到第一签名数据,操作简单直观。
708、第二电子设备通过扫描该第二图形标识码,得到所述第二图形标识码所表示的第一签名数据。
该第二电子设备是指审计方的第二用户所登录的设备,审计方的工作人员可以通过该扫码的方式,将第一签名数据获取到第二电子设备上进行存储。这种基于图形标识码的数据传递方法,不仅操作方法简单便捷,而且大大提高了整个传递的直观性和可信程度。
需要说明的是,上述步骤是以通过扫码模式来进行数据传递进行说明,而对于第一电子设备和第二电子设备来说,也可以不采用扫码模式,而是采用其他数据传递方式,例如蓝牙或局域网连接等方式,本发明实施例对此不做限定。
709、该第二电子设备将所述第一签名数据发送至所述第二电子设备的可信执行环境中。
710、该可信执行环境根据所述第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据,将该第二签名数据发送至该第二电子设备。
711、该第二电子设备接收第二签名数据后,将所述第二签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于存储审计结果数据。
712、该审计结果数据存储子系统对该第二签名数据进行存储。
713、当存储完成后,该审计结果数据存储子系统向第二电子设备发送第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
上述步骤709至713与步骤510至514同理,在此不做赘述。
为了更加清晰的表示上述的数据传递过程,下面基于一个示例来对图7提供的实施例进行简要的说明,参见图8,在审计结果数据a生成后,在现场审计子系统上形成与审计结果数据a对应的二维码B0,被审计方可在审计客户端801上登录并选择使用扫码模式,扫描B0,将审计结果a收集到审计客户端801,并授权对审计结果a签名,签名时可通过审计客户端的TEE实现,由TEE使用上述私钥sk1,签名得到的第一签名数据可以表示为Sign(a),在Sign(a)生成后,审计客户端上形成与Sign(a)对应的二维码B1,在审计客户端,审计方可关联被审计方,审计方可选择使用扫码模式,将审计结果B1所对应的Sign(a)数据收集到审计客户端802,由第二用户在审计客户端802上授权对Sign(a)进行签名,得到Sign(b),并将Sign(b)发送至审计结果数据存储子系统进行存储。
上述存储方法,通过不进行实际审计结果数据的传递,而是将审计结果数据的散列值通过多方签名的方式后,存储至审计结果数据存储子系统中,大大降低了数据泄露的可能性,能够为敏感信息提供安全保障。
对于审计结果数据存储子系统来说,可以采用区块链的形式存储数据,下面通过图9所示来对存储过程进行说明,该过程可以应用于上述图5或图7的流程中。
901、该审计结果数据存储子系统中的任一节点设备接收第二电子设备发送的第二签名数据,所述第二签名数据用于表示经过作为被审计方的第一用户和作为审计方的第二用户签名的第一散列值,所述第一散列值用于表示所述第一用户的审计结果数据。
902、该节点设备对所述第二签名数据进行验证,当验证通过时,在审计结果数据存储子系统中广播所述第二签名数据。
对于任一个节点设备来说,该节点设备存储有各个用户的公钥,以用于身份验证,因此,步骤902具体可以包括:基于所述第一用户的公钥和所述第二用户的公钥,对所述第二签名数据进行验证。
其中,该验证可以包括采用第二用户的公钥和第一用户的公钥对第二签名数据进行解密,以得到第一散列值,如果解密成功,则验证通过,如果解密不成功,则验证不通过。
903、当所述审计结果数据存储子系统对所述第二签名数据共识通过时,该节点设备将所述第二签名数据存储至所述审计结果数据存储子系统的区块链中。
对于任一个节点设备来说,可以接收步骤902中节点设备所广播的第二签名数据,并对第二签名数据进行验证,当验证通过时,该节点设备可以广播验证通过消息,各个节点设备可以基于所接收到的验证通过消息,来确定该第二签名数据是否共识通过,本发明实施例对此不做限定。当然,上述的共识过程仅是一种示例性的说明,对于应用有其他共识机制的系统来说,还可以有其他共识方式,本发明实施例对此不做限定。
通过采用区块链形式对签名数据进行存储,在对数据本身进行安全保障的同时,还可以避免数据被篡改,且由于区块链本身的数据处理效率较高,也能够提高查询的效率。
可选地,在进行存储时,可以将所述第二签名数据与所述区块链中所述第一用户的已存储数据进行关联存储,以便于查询。在关联存储时,可以采用下述任一方式:一种可能实施方式中,可以采用第二签名数据中所包括的被审计方对应的散列值,获取被审计方在区块链中已存储的数据,并基于第二签名数据和被审计方的已存储数据,来生成新的区块,在该新的区块中以Merkel树方式来记录该被审计方的历史审计情况。这种以区块来存储的方式,可以在每接收到一次第二签名数据时进行。而在又一种可能实施方式中,各个节点设备可以为每个第一用户维护对应的Merkel树,基于共识通过的签名数据来对每个第一用户对应的Merkel树进行更新。该过程可以是每接收到一次第二签名数据时进行,也可以是在区块高度达到一定值的时候进行,本发明实施例对此不做限定。可选地,上述Merkel树的存储可以通过容器来实现。
对于Merkel树示例如下,参见图10,被审计方K公司于2018年实施了p次审计,2017年实施了n次审计;
对于2017年的n次审计,记为C1至Cn,其中,以审计C1为例所涉及的审计项有m项时,各个审计项所对应的审计结果的散列值为RC11,RC12,…,RC1m;则可以将审计C1的各个审计项的审计结果的散列值组合,进行散列,得到审计C1对应的审计结果的散列值为C1=hash(RC11,RC12,…,RC1m),对于审计Cn,所涉及的审计项有x项时,各个审计项所对应的审计结果的散列值为RCn1,RCn2,…,RCnx,则可以将审计Cn的各个审计项的审计结果的散列值组合,进行散列,得到审计Cn对应的审计结果的散列值为Cn=hash(RCn1,RCn2,…,RCnx);
对于2018年的p次审计,记为D1至Dp,审计Dp所涉及的审计项有y项时,各个审计项所对应的审计结果的散列值为RDp1,RDp2,…,RDpy,则可以将审计Dp的各个审计项的审计结果的散列值组合,进行散列,得到审计Dp对应的审计结果的散列值为Dp=hash(RDp1,RDp2,…,RDpy);
2017年涉及的n次审计的散列值组合后,得到(C1…,Cn),再次进行散列,生成散列值Y2017=hash(C1…,Cn);2018年涉及的p次审计的散列值组合后,得到(D1…,Dp),再次进行散列,得到散列值Y2018=hash(D1…,Dp);
则K公司的审计结果Merkel根为各年度散列值Y2017、Y2018的组合后,再进行散列所得到的散列值K=hash(Y2017,Y2018)。
可选地,基于上述关联存储,可以实现审计结果数据的快捷查询,具体如下:审计结果数据存储子系统基于所述审计结果数据存储子系统中第三用户对应的数据,生成所述第三用户的查询页面,所述第三用户的查询页面中包括所述第三用户的审计结果。第三用户对应的数据包括该第三用户的历史审计结果,由于在对第三用户的每次审计后,均会将用于表示第三用户的审计结果的签名数据存储至该审计结果数据存储子系统,且每次存储时均采用了关联存储的方式,使得第三用户的各次审计所得到的数据具有关联性,因此,在生成该第三用户的查询页面时,可以根据签名数据之间的时间关系,来生成在时间上有关联的各次审计结果。例如,所述第三用户的审计结果包括以年、半年、季度以及月份中至少一项划分的审计结果项。以上述示出的merkel树为例,该查询页面上可以包括以年为单位的审计结果项,每个以年为单位的审计结果项下还挂载有以季度为单位的审计结果项等等,本发明实施例对此不做限定。而查询者可以基于任一个审计结果项进行查看,通过对该审计结果项的点击操作,来触发查看指令,以跳转到该审计结果项的信息页面等,本发明实施例对此不做限定。
当然,上述对查询页面的显示可以是基于图形标识码实现的,也即是,审计结果数据存储子系统在接收到页面查询请求时,可以根据页面查询请求携带的被审计用户的特征值的散列值等信息作为查询索引,来采用图形标识码的方式,提供查询页面的页面链接地址,而当查询者对该页面链接地址进行访问时,可以在其访问设备上显示该查询页面。在一种可能实施方式中,查询过程还可以基于被审计用户的特征值的散列值以外的查询索引,例如,可以基于审计方的特征值的散列值,又或者,基于审计上下文信息的散列值等等,本发明实施例对此不做限定。
在一种可能实施方式中,第三电子设备可以通过扫描任一电子设备提供的第三图形标识码,得到第三用户的查询页面的页面链接地址;发送网页访问请求,所述网页访问请求用于访问所述第三用户的查询页面的页面链接地址;显示所述第三用户的查询页面,所述查询页面中包括所述第三用户的审计结果。其中,所述第三用户的审计结果包括以年、半年、季度以及月份中至少一项划分的审计结果项。所述显示所述第三用户的查询页面之后,当接收到对任一审计结果项的查看指令,获取所述审计结果项对应的审计结果数据。
通过上述数据存储方式,使得一个用户与该用户在历史上进行的审计结果等关联起来,不仅可以大大提高查询的效率,还能够使得数据更具有规范性。进一步地,通过以图形标识码的方式来提供查询页面的链接地址,也能够达到直观、便捷的查询。
图11是本发明实施例提供的一种审计结果数据存储装置的结构示意图。该装置应用于第一电子设备上,所述装置包括:
散列获取模块1101,用于获取第一用户的审计结果数据的第一散列值;
签名模块1102,用于根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据;
发送模块1103,用于将所述第一签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
在一种可能实施方式中,所述散列获取模块1101用于通过扫描任一电子设备所提供的第一图形标识码,得到所述第一图形标识码所表示的第一散列值。
在一种可能实施方式中,所述审计结果数据中每个审计项的审计结果包括审计项的散列值、所述第一用户的特征值的散列值以及审计证据的散列值。
在一种可能实施方式中,所述审计结果数据中每个审计项的审计结果还包括审计上下文的散列值、所述第二用户的特征值的散列值、第二用户信息的散列值以及所述第一用户信息的散列值中至少一项。
在一种可能实施方式中,所述签名模块用于:
将所述第一散列值发送至所述第一电子设备的可信执行环境中;
接收第一签名数据,所述第一签名数据由所述第一电子设备的可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名得到,所述第一用户的私钥由审计系统在所述第一用户注册成功后生成。
在一种可能实施方式中,所述装置还包括:
显示模块,用于根据所述第一签名数据,显示第二图形标识码,所述第二图形标识码用于表示所述第一签名数据。
需要说明的是:上述实施例提供的审计结果数据存储装置在审计结果数据存储时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的审计结果数据存储方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图12是本发明实施例提供的一种审计结果数据存储装置的结构示意图。该装置应用于第二电子设备上,所述装置包括:
获取模块1201,用于获取第一签名数据,所述第一签名数据用于表示第一用户的审计结果数据;
签名模块1202,用于根据第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据;
发送模块1203,用于将所述第二签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
在一种可能实施方式中,所述签名模块用于:
将所述第一签名数据发送至所述第二电子设备的可信执行环境中;
接收第二签名数据,所述第二签名数据由所述第二电子设备的可信执行环境根据第二用户的私钥对所述第一签名数据进行签名得到,所述第二用户的私钥由审计系统在所述第二用户注册成功后生成。
在一种可能实施方式中,所述获取模块用于通过扫描第一电子设备所提供的第二图形标识码,得到所述第二图形标识码所表示的第一签名数据。
在一种可能实施方式中,所述获取模块用于接收所述审计结果数据存储子系统的第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统;从所述审计结果数据存储子系统中获取所述第一签名数据。
在一种可能实施方式中,所述装置还包括:
接收模块,用于接收所述审计结果数据存储子系统的第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
需要说明的是:上述实施例提供的审计结果数据存储装置在审计结果数据存储时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的审计结果数据存储方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图13是本发明实施例提供的一种审计结果数据存储装置的结构示意图。该装置应用于审计结果数据存储子系统中的任一节点设备,所述审计结果数据存储子系统中的多个节点设备配置有共识机制,包括:
接收模块1301,用于接收第二电子设备发送的第二签名数据,所述第二签名数据用于表示经过作为被审计方的第一用户和作为审计方的第二用户签名的第一散列值,所述第一散列值用于表示所述第一用户的审计结果数据;
验证模块1302,用于对所述第二签名数据进行验证;
发送模块1303,用于当验证通过时,在审计结果数据存储子系统中广播所述第二签名数据;
存储模块1304,用于当所述审计结果数据存储子系统对所述第二签名数据共识通过时,将所述第二签名数据存储至所述审计结果数据存储子系统中。
在一种可能实施方式中,所述验证模块用于基于所述第一用户的公钥和所述第二用户的公钥,对所述第二签名数据进行验证。
在一种可能实施方式中,所述存储模块用于将所述第二签名数据与所述区块链中所述第一用户的已存储数据进行关联存储。
在一种可能实施方式中,所述装置还包括:
页面生成模块,用于基于所述审计结果数据存储子系统中第三用户对应的数据,生成所述第三用户的查询页面,所述第三用户的查询页面中包括所述第三用户的审计结果。
在一种可能实施方式中,所述装置还包括:
地址提供模块,用于以图形标识码的形式,提供所述第三用户的查询页面的页面链接地址。
在一种可能实施方式中,所述接收模块还用于接收第一电子设备发送的第一签名数据,根据所述第一签名数据,向第二电子设备发送第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统。
在一种可能实施方式中,所述发送模块还用于向第二电子设备发送第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
需要说明的是:上述实施例提供的审计结果数据存储装置在审计结果数据存储时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的审计结果数据存储方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图14是本发明实施例提供的一种审计结果数据查询装置的结构示意图,参见图14,该装置包括:
地址获取模块1401,用于通过扫描任一电子设备提供的第三图形标识码,得到第三用户的查询页面的页面链接地址;
发送模块1402,用于发送网页访问请求,所述网页访问请求用于访问所述第三用户的查询页面的页面链接地址;
显示模块1403,用于显示所述第三用户的查询页面,所述查询页面中包括所述第三用户的审计结果。
在一种可能实施方式中,所述第三用户的审计结果包括以年、半年、季度以及月份中至少一项划分的审计结果项。
在一种可能实施方式中,所述装置还包括:
数据获取模块,用于当接收到对任一审计结果项的查看指令,获取所述审计结果项对应的审计结果数据。
需要说明的是:上述实施例提供的审计结果数据查询装置在审计结果数据查询时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的审计结果数据查询方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图15是本发明实施例提供的一种审计项存储装置的结构示意图,参见图15,所述装置还包括:
审计项录入模块1501,用于获取待录入的审计项;
散列获取模块1502,用于获取所述待录入的审计项的第二散列值;
查询模块1503,用于根据所述第二散列值,在所述待录入的审计项所属审计领域的已有审计项的散列值中进行查询;
存储模块1504,用于当所述已有审计项的散列值包括与所述第二散列值相同的散列值,不存储所述待录入的审计项。
在一种可能实施方式中,所述存储模块还用于如果所述已有审计项的散列值中不包括与所述第二散列值相同的散列值,而所述已有审计项中包括与所述待录入的审计项的相似度大于第一相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。
在一种可能实施方式中,所述存储模块还用于如果所述已有审计项的散列值中不包括与所述第二散列值相同的散列值,而同一个审计领域的已有审计项中包括与所述待录入的审计项的相似度小于第二相似度阈值的审计项,根据人工评测结果确定是否存储所述待录入的审计项。
在一种可能实施方式中,所述装置应用于审计项存储系统中,所述审计项存储系统用于以区块链的形式存储各个审计项。
需要说明的是:上述实施例提供的审计项存储装置在审计项存储时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的审计项存储方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供的一种审计系统,所述审计系统包括:审计项存储子系统、现场审计子系统、至少一个电子设备、审计结果数据存储子系统;
所述审计项存储子系统用于存储多个审计项;
所述现场审计子系统用于与所述审计项存储子系统交互,以提供第一用户的审计页面,得到所述第一用户的审计结果数据,为所述至少一个电子设备中的第一电子设备提供所述第一用户的审计结果数据的第一散列值;
所述第一电子设备用于根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据;
所述第二电子设备用于根据第二用户的私钥对所述第一签名数据进行签名,得到第二签名数据,将所述第二签名数据发送至所述审计结果数据存储子系统;
所述审计结果数据存储子系统用于采用区块链的形式存储所述第二签名数据。
图16是本发明实施例提供的一种电子设备的结构示意图,该电子设备1600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)1601和一个或一个以上的存储器1602,其中,该存储器1602中存储有至少一条指令,该至少一条指令由该处理器1601加载并执行以实现上述各个方法实施例提供的方法。当然,该电子设备还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该电子设备还可以包括其他用于实现设备功能的部件,在此不做赘述。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括指令的存储器,上述指令可由终端中的处理器执行以完成上述实施例中的审计结果数据存储方法或查询方法或审计项存储方法等上述各个方法实施例提供的方法。例如,该计算机可读存储介质可以是只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)、磁带、软盘和光数据存储设备等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
上述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (22)
1.一种审计结果数据存储方法,其特征在于,应用于第一电子设备上,所述方法包括:
获取第一用户的审计结果数据的第一散列值;
将所述第一散列值发送至所述第一电子设备的可信执行环境中;
接收第一签名数据,所述第一签名数据由所述第一电子设备的可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名得到,所述第一用户的私钥由审计系统在所述第一用户注册成功后生成;
将所述第一签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
2.根据权利要求1所述的方法,其特征在于,所述获取第一用户的审计结果数据的第一散列值包括:
通过扫描任一电子设备所提供的第一图形标识码,得到所述第一图形标识码所表示的第一散列值。
3.根据权利要求1所述的方法,其特征在于,所述审计结果数据中每个审计项的审计结果包括审计项的散列值、所述第一用户的特征值的散列值以及审计证据的散列值。
4.根据权利要求1所述的方法,其特征在于,所述审计结果数据中每个审计项的审计结果还包括审计上下文的散列值、第二用户的特征值的散列值、第二用户信息的散列值以及所述第一用户信息的散列值中至少一项。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第一用户的私钥对所述第一散列值进行签名,得到第一签名数据之后,所述方法还包括:
根据所述第一签名数据,显示第二图形标识码,所述第二图形标识码用于表示所述第一签名数据。
6.一种审计结果数据存储方法,其特征在于,应用于第二电子设备上,所述方法包括:
获取第一签名数据,所述第一签名数据用于表示第一用户的审计结果数据;
将所述第一签名数据发送至所述第二电子设备的可信执行环境中;
接收第二签名数据,所述第二签名数据由所述第二电子设备的可信执行环境根据第二用户的私钥对所述第一签名数据进行签名得到,所述第二用户的私钥由审计系统在所述第二用户注册成功后生成;
将所述第二签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
7.根据权利要求6所述的方法,其特征在于,所述获取第一签名数据包括:
通过扫描第一电子设备所提供的第二图形标识码,得到所述第二图形标识码所表示的第一签名数据。
8.根据权利要求6所述的方法,其特征在于,所述获取第一签名数据包括:
接收所述审计结果数据存储子系统的第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统;
从所述审计结果数据存储子系统中获取所述第一签名数据。
9.根据权利要求6所述的方法,其特征在于,所述将所述第二签名数据发送至审计结果数据存储子系统之后,所述方法还包括:
接收所述审计结果数据存储子系统的第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
10.一种审计结果数据存储方法,其特征在于,应用于审计结果数据存储子系统中的任一节点设备,所述审计结果数据存储子系统中的多个节点设备配置有共识机制,包括:
接收第二电子设备发送的第二签名数据,所述第二签名数据用于表示经过作为被审计方的第一用户和作为审计方的第二用户签名的第一散列值,所述第一散列值用于表示所述第一用户的审计结果数据;
对所述第二签名数据进行验证;
当验证通过时,在审计结果数据存储子系统中广播所述第二签名数据;
当所述审计结果数据存储子系统对所述第二签名数据共识通过时,将所述第二签名数据与区块链中所述第一用户的已存储数据进行关联存储。
11.根据权利要求10所述的方法,其特征在于,所述对所述第二签名数据进行验证包括:
基于所述第一用户的公钥和所述第二用户的公钥,对所述第二签名数据进行验证。
12.根据权利要求10所述的方法,其特征在于,所述方法还包括:
基于所述审计结果数据存储子系统中第三用户对应的数据,生成所述第三用户的查询页面,所述第三用户的查询页面中包括所述第三用户的审计结果。
13.根据权利要求10所述的方法,其特征在于,所述方法还包括:
以图形标识码的形式,提供所述第一用户的查询页面的页面链接地址。
14.根据权利要求10所述的方法,其特征在于,所述接收第二电子设备发送的第二签名数据之前,所述方法还包括:
接收第一电子设备发送的第一签名数据,根据所述第一签名数据,向第二电子设备发送第一存证证明,所述第一存证证明用于表示第一签名数据已经存储至所述审计结果数据存储子系统。
15.根据权利要求10所述的方法,其特征在于,所述将所述第二签名数据与区块链中所述第一用户的已存储数据进行关联存储之后,所述方法还包括:
向第二电子设备发送第二存证证明,所述第二存证证明用于表示所述第二签名数据已经存储至所述审计结果数据存储子系统。
16.一种审计结果数据存储装置,其特征在于,应用于第一电子设备上,所述装置包括:
散列获取模块,用于获取第一用户的审计结果数据的第一散列值;
签名模块,用于将所述第一散列值发送至所述第一电子设备的可信执行环境中;接收第一签名数据,所述第一签名数据由所述第一电子设备的可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名得到,所述第一用户的私钥由审计系统在所述第一用户注册成功后生成;
发送模块,用于将所述第一签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
17.一种审计结果数据存储装置,其特征在于,应用于第二电子设备上,所述装置包括:
获取模块,用于获取第一签名数据,所述第一签名数据用于表示第一用户的审计结果数据;
签名模块,用于将所述第一签名数据发送至所述第二电子设备的可信执行环境中;接收第二签名数据,所述第二签名数据由所述第二电子设备的可信执行环境根据第二用户的私钥对所述第一签名数据进行签名得到,所述第二用户的私钥由审计系统在所述第二用户注册成功后生成;
发送模块,用于将所述第二签名数据发送至审计结果数据存储子系统,所述审计结果数据存储子系统用于采用区块链的形式存储数据。
18.一种审计结果数据存储装置,其特征在于,应用于审计结果数据存储子系统中的任一节点设备,所述审计结果数据存储子系统中的多个节点设备配置有共识机制,包括:
接收模块,用于接收第二电子设备发送的第二签名数据,所述第二签名数据用于表示经过作为被审计方的第一用户和作为审计方的第二用户签名的第一散列值,所述第一散列值用于表示所述第一用户的审计结果数据;
验证模块,用于对所述第二签名数据进行验证;
发送模块,用于当验证通过时,在审计结果数据存储子系统中广播所述第二签名数据;
存储模块,用于当所述审计结果数据存储子系统对所述第二签名数据共识通过时,将所述第二签名数据与区块链中所述第一用户的已存储数据进行关联存储。
19.一种审计结果数据存储方法,其特征在于,所述方法包括:
第一电子设备获取第一用户的审计结果数据的第一散列值,将所述第一散列值发送至所述第一电子设备的可信执行环境中,接收第一签名数据,所述第一签名数据由所述第一电子设备的可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名得到,所述第一用户的私钥由审计系统在所述第一用户注册成功后生成;
第二电子设备在获取到所述第一签名数据后,将所述第一签名数据发送至所述第二电子设备的可信执行环境中,接收第二签名数据,所述第二签名数据由所述第二电子设备的可信执行环境根据第二用户的私钥对所述第一签名数据进行签名得到,所述第二用户的私钥由审计系统在所述第二用户注册成功后生成,将所述第二签名数据发送至审计结果数据存储子系统;
所述审计结果数据存储子系统接收到所述第二签名数据后,如果对所述第二签名数据共识通过时,将所述第二签名数据与区块链中所述第一用户的已存储数据进行关联存储。
20.一种审计系统,其特征在于,所述审计系统包括:审计项存储子系统、现场审计子系统、至少一个电子设备、审计结果数据存储子系统;
所述审计项存储子系统用于存储多个审计项;
所述现场审计子系统用于与所述审计项存储子系统交互,以提供第一用户的审计页面,得到所述第一用户的审计结果数据,为所述至少一个电子设备中的第一电子设备提供所述第一用户的审计结果数据的第一散列值;
所述第一电子设备用于将所述第一散列值发送至所述第一电子设备的可信执行环境中,接收第一签名数据,所述第一签名数据由所述第一电子设备的可信执行环境根据所述第一用户的私钥对所述第一散列值进行签名得到,所述第一用户的私钥由审计系统在所述第一用户注册成功后生成;
第二电子设备用于将所述第一签名数据发送至所述第二电子设备的可信执行环境中,接收第二签名数据,所述第二签名数据由所述第二电子设备的可信执行环境根据第二用户的私钥对所述第一签名数据进行签名得到,所述第二用户的私钥由审计系统在所述第二用户注册成功后生成;
所述审计结果数据存储子系统用于将所述第二签名数据与区块链中所述第一用户的已存储数据进行关联存储。
21.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如权利要求1至权利要求15任一项所述的方法。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如权利要求1至权利要求15任一项所述的方法。
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811179316.6A CN110309259B (zh) | 2018-10-10 | 2018-10-10 | 审计结果数据存储、查询方法、审计项存储方法及装置 |
CN201911305074.5A CN111079197B (zh) | 2018-10-10 | 2018-10-10 | 审计结果数据存储方法、装置、电子设备及介质 |
CN201911206332.4A CN111008264A (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置、电子设备及介质 |
CN202110925542.XA CN113642040B (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置以及系统 |
PCT/CN2019/108666 WO2020073828A1 (zh) | 2018-10-10 | 2019-09-27 | 审计结果数据存储、查询方法、审计项存储方法及装置 |
US17/073,191 US11316669B2 (en) | 2018-10-10 | 2020-10-16 | Audit result data storage method and device, audit result data query method and device, and audit item storage method and device |
US17/700,433 US11700113B2 (en) | 2018-10-10 | 2022-03-21 | Audit result data storage method and device, audit result data query method and device, and audit item storage method and device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811179316.6A CN110309259B (zh) | 2018-10-10 | 2018-10-10 | 审计结果数据存储、查询方法、审计项存储方法及装置 |
Related Child Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110925542.XA Division CN113642040B (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置以及系统 |
CN201911305074.5A Division CN111079197B (zh) | 2018-10-10 | 2018-10-10 | 审计结果数据存储方法、装置、电子设备及介质 |
CN201911206332.4A Division CN111008264A (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置、电子设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110309259A CN110309259A (zh) | 2019-10-08 |
CN110309259B true CN110309259B (zh) | 2021-09-03 |
Family
ID=68074088
Family Applications (4)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811179316.6A Active CN110309259B (zh) | 2018-10-10 | 2018-10-10 | 审计结果数据存储、查询方法、审计项存储方法及装置 |
CN202110925542.XA Active CN113642040B (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置以及系统 |
CN201911206332.4A Pending CN111008264A (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置、电子设备及介质 |
CN201911305074.5A Active CN111079197B (zh) | 2018-10-10 | 2018-10-10 | 审计结果数据存储方法、装置、电子设备及介质 |
Family Applications After (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110925542.XA Active CN113642040B (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置以及系统 |
CN201911206332.4A Pending CN111008264A (zh) | 2018-10-10 | 2018-10-10 | 审计项存储方法、装置、电子设备及介质 |
CN201911305074.5A Active CN111079197B (zh) | 2018-10-10 | 2018-10-10 | 审计结果数据存储方法、装置、电子设备及介质 |
Country Status (3)
Country | Link |
---|---|
US (2) | US11316669B2 (zh) |
CN (4) | CN110309259B (zh) |
WO (1) | WO2020073828A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111062790A (zh) * | 2019-11-15 | 2020-04-24 | 深圳供电局有限公司 | 一种基于企业内部审计成果的数据分析方法及系统 |
CN112102098B (zh) * | 2020-08-12 | 2023-10-27 | 泰康保险集团股份有限公司 | 数据处理方法、装置、电子设备及存储介质 |
CN111984216B (zh) * | 2020-08-26 | 2023-03-31 | 成都安恒信息技术有限公司 | 一种对字符运维的图形审计方法及系统 |
US11681784B2 (en) * | 2020-09-03 | 2023-06-20 | Arista Networks, Inc. | Hardware license verification |
CN112347119A (zh) * | 2020-09-18 | 2021-02-09 | 杭州安恒信息安全技术有限公司 | 应用于审计系统的数据存储方法、装置和计算机设备 |
CN114598699B (zh) * | 2020-12-07 | 2023-07-28 | 国家广播电视总局广播电视科学研究院 | 文件内容审核方法、装置及电子设备 |
CN114598693B (zh) * | 2020-12-07 | 2023-11-21 | 国家广播电视总局广播电视科学研究院 | 文件内容审核方法、装置及电子设备 |
CN114661734A (zh) * | 2020-12-23 | 2022-06-24 | 上海唯链信息科技有限公司 | 基于区块链的数据审核方法、装置、设备及存储介质 |
US11966782B2 (en) * | 2021-09-24 | 2024-04-23 | Dell Products L.P. | Method and system for performing historical state management services for composed information handling systems |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103136243A (zh) * | 2011-11-29 | 2013-06-05 | 中国电信股份有限公司 | 基于云存储的文件系统去重方法及装置 |
CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
CN106485168A (zh) * | 2016-10-17 | 2017-03-08 | 成都知道创宇信息技术有限公司 | 一种采用md5值验证合同文件是否被修改的方法 |
CN106874253A (zh) * | 2015-12-11 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 识别敏感信息的方法及装置 |
CN107241317A (zh) * | 2017-05-24 | 2017-10-10 | 国民认证科技(北京)有限公司 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
CN107682308A (zh) * | 2017-08-16 | 2018-02-09 | 北京航空航天大学 | 基于区块链潜信道技术的电子证据保存系统 |
CN107846278A (zh) * | 2017-10-30 | 2018-03-27 | 中国联合网络通信集团有限公司 | 智能合约处理方法及装置 |
CN107888375A (zh) * | 2017-11-08 | 2018-04-06 | 深圳市携网科技有限公司 | 一种基于区块链技术的电子证据保全系统及方法 |
WO2018089843A1 (en) * | 2016-11-10 | 2018-05-17 | Saavha, Inc. | Secured auditing system based on verified hash algorithm |
CN108600199A (zh) * | 2018-04-08 | 2018-09-28 | 国网浙江省电力有限公司电力科学研究院 | 一种基于区块链的审计数据的传输方法及系统 |
CN108614974A (zh) * | 2018-04-24 | 2018-10-02 | 南京邮电大学 | 一种基于区块链的快递信息隐私保护系统及其保护方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8943332B2 (en) * | 2006-10-31 | 2015-01-27 | Hewlett-Packard Development Company, L.P. | Audit-log integrity using redactable signatures |
CN102799990A (zh) * | 2012-06-19 | 2012-11-28 | 袁开国 | 基于pki的双二维码产品防伪方案 |
US8639753B1 (en) * | 2012-09-18 | 2014-01-28 | Squash Compression, LLC | Methods and apparatus for increasing the efficiency of electronic data storage and transmission |
US9678975B2 (en) * | 2013-03-15 | 2017-06-13 | International Business Machines Corporation | Reducing digest storage consumption in a data deduplication system |
CN104581149B (zh) * | 2015-01-27 | 2017-08-08 | 北京正奇联讯科技有限公司 | 视音频文件的技审方法和系统 |
EP3259873B1 (en) | 2015-02-20 | 2018-12-12 | Telefonaktiebolaget LM Ericsson (publ) | Method of providing a hash value for a piece of data, electronic device and computer program |
CN105072086B (zh) * | 2015-07-06 | 2018-03-02 | 武汉科技大学 | 一种基于MapReduce的云存储批量审计方法 |
US10402792B2 (en) * | 2015-08-13 | 2019-09-03 | The Toronto-Dominion Bank | Systems and method for tracking enterprise events using hybrid public-private blockchain ledgers |
US10826685B1 (en) * | 2016-06-28 | 2020-11-03 | Amazon Technologies, Inc. | Combined blockchain integrity |
US10592670B2 (en) * | 2016-06-28 | 2020-03-17 | Intel Corporation | Technologies for provisioning and managing secure launch enclave with platform firmware |
CN107124403A (zh) * | 2017-04-14 | 2017-09-01 | 朱清明 | 区块链中共识区块的生成方法与计算设备 |
CN107194801A (zh) * | 2017-05-18 | 2017-09-22 | 电子科技大学 | 基于主权区块链的供应链金融区块链应用方法 |
CN107231351B (zh) * | 2017-05-25 | 2021-01-08 | 远光软件股份有限公司 | 电子证件的管理方法及相关设备 |
CN107483585B (zh) * | 2017-08-18 | 2020-03-10 | 西安电子科技大学 | 云环境中支持安全去重的高效数据完整性审计系统及方法 |
CN108446407B (zh) * | 2018-04-12 | 2021-04-30 | 北京百度网讯科技有限公司 | 基于区块链的数据库审计方法和装置 |
CN108462724B (zh) | 2018-05-17 | 2020-07-31 | 京东数字科技控股有限公司 | 数据共享方法、装置、系统、成员节点和可读存储介质 |
-
2018
- 2018-10-10 CN CN201811179316.6A patent/CN110309259B/zh active Active
- 2018-10-10 CN CN202110925542.XA patent/CN113642040B/zh active Active
- 2018-10-10 CN CN201911206332.4A patent/CN111008264A/zh active Pending
- 2018-10-10 CN CN201911305074.5A patent/CN111079197B/zh active Active
-
2019
- 2019-09-27 WO PCT/CN2019/108666 patent/WO2020073828A1/zh active Application Filing
-
2020
- 2020-10-16 US US17/073,191 patent/US11316669B2/en active Active
-
2022
- 2022-03-21 US US17/700,433 patent/US11700113B2/en active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103136243A (zh) * | 2011-11-29 | 2013-06-05 | 中国电信股份有限公司 | 基于云存储的文件系统去重方法及装置 |
CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
CN106874253A (zh) * | 2015-12-11 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 识别敏感信息的方法及装置 |
CN106485168A (zh) * | 2016-10-17 | 2017-03-08 | 成都知道创宇信息技术有限公司 | 一种采用md5值验证合同文件是否被修改的方法 |
WO2018089843A1 (en) * | 2016-11-10 | 2018-05-17 | Saavha, Inc. | Secured auditing system based on verified hash algorithm |
CN107241317A (zh) * | 2017-05-24 | 2017-10-10 | 国民认证科技(北京)有限公司 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
CN107682308A (zh) * | 2017-08-16 | 2018-02-09 | 北京航空航天大学 | 基于区块链潜信道技术的电子证据保存系统 |
CN107846278A (zh) * | 2017-10-30 | 2018-03-27 | 中国联合网络通信集团有限公司 | 智能合约处理方法及装置 |
CN107888375A (zh) * | 2017-11-08 | 2018-04-06 | 深圳市携网科技有限公司 | 一种基于区块链技术的电子证据保全系统及方法 |
CN108600199A (zh) * | 2018-04-08 | 2018-09-28 | 国网浙江省电力有限公司电力科学研究院 | 一种基于区块链的审计数据的传输方法及系统 |
CN108614974A (zh) * | 2018-04-24 | 2018-10-02 | 南京邮电大学 | 一种基于区块链的快递信息隐私保护系统及其保护方法 |
Non-Patent Citations (1)
Title |
---|
区块链对审计业务的影响路径初探;韩玉丽 等;《山西农经》;20180715(第13期);第107页 * |
Also Published As
Publication number | Publication date |
---|---|
US20210105133A1 (en) | 2021-04-08 |
US11316669B2 (en) | 2022-04-26 |
CN111079197A (zh) | 2020-04-28 |
CN113642040B (zh) | 2023-02-10 |
WO2020073828A1 (zh) | 2020-04-16 |
CN110309259A (zh) | 2019-10-08 |
CN113642040A (zh) | 2021-11-12 |
CN111079197B (zh) | 2021-07-09 |
CN111008264A (zh) | 2020-04-14 |
US11700113B2 (en) | 2023-07-11 |
US20220216986A1 (en) | 2022-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110309259B (zh) | 审计结果数据存储、查询方法、审计项存储方法及装置 | |
US11431693B2 (en) | Systems, methods, and apparatuses for seeding community sidechains with consent written onto a blockchain interfaced with a cloud based computing environment | |
US20230342734A1 (en) | Systems, methods, and apparatuses for implementing smart flow contracts using distributed ledger technologies in a cloud based computing environment | |
US10084775B1 (en) | Time-varying representations of user credentials | |
CN110516474B (zh) | 区块链网络中的用户信息处理方法、装置、电子设备及存储介质 | |
US20190236562A1 (en) | Systems, methods, and apparatuses for implementing document interface and collaboration using quipchain in a cloud based computing environment | |
US20190238316A1 (en) | Systems, methods, and apparatuses for implementing intelligent consensus, smart consensus, and weighted consensus models for distributed ledger technologies in a cloud based computing environment | |
CN111523890B (zh) | 基于区块链的数据处理方法、装置、存储介质及设备 | |
CN110990407A (zh) | 基于区块链的数据存储方法、装置、服务器及存储介质 | |
CN110555029A (zh) | 基于区块链的票务管理方法、装置及存储介质 | |
CN106992988A (zh) | 一种跨域匿名资源共享平台及其实现方法 | |
CN112235260B (zh) | 一种匿名数据存证方法、装置、设备和存储介质 | |
CN110825814A (zh) | 一种基于国家人口基础信息创建公民身份区块链的方法 | |
CN111143889A (zh) | 基于区块链的兴奋剂检测信息管理方法、装置、设备 | |
CN110493011B (zh) | 基于区块链的证书颁发管理方法以及装置 | |
CN115756255A (zh) | 停车场设备的设备参数处理方法、装置、设备和存储介质 | |
CN112446677B (zh) | 电子签章方法、装置、设备及存储介质 | |
CN113489669A (zh) | 一种用户数据保护的方法及装置 | |
CN111275537A (zh) | 用户数据处理方法、装置、系统及计算机可读存储介质 | |
CN114662124A (zh) | 区块链可信数据的处理方法与计算机可读存储介质 | |
Alizadeh Saveh | A PERMISSIONED BLOCKCHAIN-BASED MODEL FOR DIGITAL FORENSICS | |
CN118264430A (zh) | 数据处理方法、装置、计算机设备、介质及产品 | |
JP2024055413A (ja) | 電子契約プログラム、情報処理装置、情報処理システムの製造方法、情報処理方法 | |
CN116541874A (zh) | 数字资产管理方法及相关产品 | |
CN118364481A (zh) | 线上合同签署方法、装置、计算机设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40009195 Country of ref document: HK |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |