CN110708291B - 分布式网络中数据授权访问方法、装置、介质及电子设备 - Google Patents
分布式网络中数据授权访问方法、装置、介质及电子设备 Download PDFInfo
- Publication number
- CN110708291B CN110708291B CN201910854839.4A CN201910854839A CN110708291B CN 110708291 B CN110708291 B CN 110708291B CN 201910854839 A CN201910854839 A CN 201910854839A CN 110708291 B CN110708291 B CN 110708291B
- Authority
- CN
- China
- Prior art keywords
- node
- target data
- key
- encrypted
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及分布式存储领域,揭示了一种分布式网络中数据授权访问方法、装置、介质及电子设备。所述方法由分布式网络中的第一节点执行,该方法包括:利用特定于该第一节点的对称加密的密钥加密目标数据;将加密的目标数据发送至分布式网络中的第二节点存储;当接收到第二节点的访问目标数据请求,对第二节点进行鉴权;若鉴权通过,则利用已获得的第二节点的公钥加密特定于该第一节点的对称加密的密钥并将加密后的密钥发送至第二节点,以便第二节点用该第二节点的私钥解密加密后的密钥,得到密钥并用密钥对加密的目标数据进行解密,以得到目标数据。此方法下,实现了分布式网络的节点间的数据授权访问,并使节点间数据授权访问时更加安全和高效。
Description
技术领域
本公开涉及分布式存储技术领域,特别涉及一种分布式网络中数据授权访问方法、装置、介质及电子设备。
背景技术
在分布式网络中,一个节点的数据可以共享至其他节点进行存储。由于数据常常是通过分布式网络中不同的节点进行上传的,因此难以在共享数据的分布式网络中的节点间实现数据的授权访问,而数据的高效授权访问更加难以实现。
发明内容
在分布式存储技术领域,为了解决上述技术问题,本公开的目的在于提供一种分布式网络中数据授权访问方法、装置、介质及电子设备。
根据本公开的一方面,提供了一种分布式网络中数据授权访问方法,所述分布式网络包含多个节点,所述方法由所述分布式网络中的第一节点执行,所述方法包括:
利用特定于该第一节点的对称加密的密钥加密要存储至分布式网络中的第二节点的目标数据,得到加密后的目标数据;
将所述加密后的目标数据发送至分布式网络中的第二节点存储;
当接收到来自所述第二节点的访问所述目标数据的请求,所述第一节点对所述第二节点进行鉴权;
若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据。
根据本公开的另一方面,提供了一种分布式网络中数据授权访问装置,所述分布式网络包含多个节点,所述装置位于所述分布式网络的第一节点中,所述装置包括:
加密模块,被配置为利用特定于该第一节点的对称加密的密钥加密要存储至分布式网络中的第二节点的目标数据,得到加密后的目标数据;
第一发送模块,被配置为将所述加密后的目标数据发送至分布式网络中的第二节点存储;
鉴权模块,被配置为当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权;
第二发送模块,被配置为若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据。
根据本公开的另一方面,提供了一种计算机可读程序介质,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行如前所述的方法。
根据本公开的另一方面,提供了一种电子设备,所述电子设备包括:
处理器;
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如前所述的方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开所提供的分布式网络中数据授权访问方法中的所述分布式网络包括多个节点,所述方法由所述分布式网络中的第一节点执行,所述方法如下步骤:利用特定于该第一节点的对称加密的密钥加密要存储至分布式网络中的第二节点的目标数据,得到加密后的目标数据;将所述加密后的目标数据发送至分布式网络中的第二节点存储;当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权;若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据。
此方法下,一方面,通过加密的方式实现了分布式网络的节点间的数据授权访问,确保了数据授权访问时的安全性,另一方面,由于在进行数据授权访问时,采用了对称加密算法来加解密数据,实现了节点间的高效数据授权访问。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种分布式网络中数据授权访问方法的系统架构示意图;
图2是根据一示例性实施例示出的一种分布式网络中数据授权访问方法的流程图;
图3是根据图2对应实施例示出的一实施例的步骤230之前步骤以及步骤230和步骤240的细节的流程图;
图4是根据图2对应实施例示出的一实施例的步骤250之后步骤的流程图;
图5是根据图2对应实施例示出的另一实施例的步骤250之后步骤的流程图;
图6是根据一示例性实施例示出的一种分布式网络中数据授权访问装置的框图;
图7是根据一示例性实施例示出的一种实现上述分布式网络中数据授权访问方法的电子设备示例框图;
图8是根据一示例性实施例示出的一种实现上述分布式网络中数据授权访问方法的计算机可读存储介质。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。
本公开首先提供了一种分布式网络中数据授权访问方法。分布式网络也叫网状网络,它是由分布在不同地点的计算机系统互连而成,网中无中心节点,分布式网络中的节点可以为任何具备运算、通信以及存储功能的终端设备,比如可以是服务器、台式计算机、工作站等,将分布式网络中的终端设备抽象成节点是为了对分布式网络进行更好的描述,使人更容易理解。分布式网络中的数据即存储在分布式网络中的数据,是任何可以记录一定信息并能够被计算机处理的介质的总称,可以是单纯的数字,可以各种字母、数字或者文字等符号的组合,还可以是图像、音频、视频等。对数据的授权访问是指对数据的访问进行控制,使只有被授予相应权限的实体才能够访问数据。通过本公开提供的分布式网络中数据授权访问方法,能够实现对分布式网络中的数据访问进行控制,从而实现数据授权访问。
本公开的实施终端为位于分布式网络中的任意一个节点,可以是任何具有运算和处理功能的设备,该设备可以与外部设备相连,用于接收或者发送数据,具体可以是便携移动设备,例如智能手机、平板电脑、笔记本电脑、PDA(Personal Digital Assistant)等,也可以是固定式设备,例如,计算机设备、现场终端、台式计算机、服务器、工作站等,还可以是多个设备的集合,比如云计算的物理基础设施。
优选地,本公开的实施终端可以为服务器或者台式计算机。
图1是根据一示例性实施例示出的一种分布式网络中数据授权访问方法的系统架构示意图。如图1所示,在该分布式网络中包括多个节点,每一节点均可以与该分布式网络中的其他任意一个节点建立网络连接,进行双向数据传输,该分布式网络中的每一节点既可以作为该节点向其他节点发送数据时数据的发送方,也可以作为该节点接收其他节点发送的数据时数据的接收方,在该分布式网络中,每一节点为一台台式机。图1实施例示出的分布式网络架构,可以为对等网络(Peer-to-Peer networking,P2P networking),也可以是去中心化的区块链网络中的公有链网络。为了在图1实施例的分布式网络上执行本公开提供的分布式网络中数据授权访问方法,图1实施例示出的分布式网络中的任意一个节点均可以作为本实施例的实施终端,当在图1实施例示出的分布式网络中的一个节点执行本公开提供的分布式网络中数据授权访问方法时,就可以实现该节点与分布是网络中的其他节点间的数据授权访问。
值得一提的是,图1仅为本公开的一个实施例。虽然在本实施例中,用于执行本公开提供的分布式网络中数据授权访问方法的分布式网络为对等网络或者公有链网络,并且分布式网络中的节点为台式机,但在其他实施例或者具体应用中,可以根据需要将本公开提供的分布式网络中数据授权访问方法应用与其他各种分布式网络中,比如还联盟链等网络,分布式网络中的节点并不限于台式机,还可以是如前所述的各种具备计算、存储以及通信功能的设备,本公开对此不作任何限定,本公开的保护范围也不应因此而受到任何限制。
图2是根据一示例性实施例示出的一种分布式网络中数据授权访问方法的流程图。在本实施例中,所述分布式网络包含多个节点,所述方法由所述分布式网络中的第一节点执行。如图2所示,可以包括以下步骤:
步骤210,利用特定于该第一节点的对称加密的密钥加密要存储至分布式网络中的第二节点的目标数据,得到加密后的目标数据。
目标数据可以是由所述第一节点本身产生的数据,也可以是由分布式网络中除第一节点和第二节点外的其他节点,或者分布式网络之外的其他终端发送至本端——第一节点的数据。
如前所述,分布式网络可以是各种将分布在不同地点的计算机系统互连而成的网络,包括但不限于公有链、联盟链等区块链网络、对等网络等。
本实施例提供的方法由所述分布式网络中的第一节点执行,即所述分布式网络中的第一节点为本实施例提供的方法的实施终端。
第一节点可以是分布式网络中的任意一个具有要存储至其他节点的目标数据的节点。本实施例中的第一节点可以为图1实施例中的任意一台台式机。
数据为保存在所述第一节点上的任意类型的数据,比如可以是文本、图像、音频、视频等数据,而目标数据即为所述第一节点要存储至分布式网络中的第二节点的数据,第一节点通过将目标数据存储至第二节点,可以实现对分布式网络中节点存储的数据的分布式管理。
对称加密的密钥即使用对称加密算法对数据进行加解密时所采用的密钥。在本实施例中,对应于对称加密的密钥的对称加密算法包括但不限于DES(Data EncryptionStandard,数据加密标准)算法,AES(Advanced Encryption Standard,高级加密标准)算法,3DES(Triple DES)算法等。
对称加密的原理是这样的:数据发送方在使用对称加密密钥和对称加密算法对数据进行加密后将加密后的数据发送给数据接收方,若数据接收方要对接收到的被加密的数据进行解密,需要使用与数据发送方在进行数据的加密时所采用的同样的加密密钥对被加密的数据进行相应的对称加密算法的逆运算。由此可见,用对称加密算法进行数据的加解密时需要使用相同的对称加密密钥。
在一个实施例中,特定于该第一节点的对称加密的密钥是在第一节点要加密数据时生成的。
在一个实施例中,通过调用预设的对称加密密钥生成接口或者生成对称加密密钥的函数库来生成对称加密的密钥。
在一个实施例中,所述分布式网络为去中心化的区块链网络,第一节点为所述区块链网络中产生所述目标数据的节点,第二节点为所述区块链网络中所述第一节点之外的任一节点。
在一个实施例中,所述分布式网络为区块链网络,所述目标数据为由所述第一节点打包上链的区块数据。
由于区块链网络中各节点上是数据共享的,数据从不同的节点上述,难以实现对数据的授权访问,而当本公开提供的分布式网络中数据授权访问方法应用于区块链网络时,则可以实现对区块链网络中数据的高效授权访问。
步骤230,将所述加密后的目标数据发送至分布式网络中的第二节点存储。
分布式网络中的第二节点可以是分布式网络中的任意一个节点,也可以是根据需要或者预设的规则在分布式网络中选择出的节点。比如,第二节点可以是根据预设的负载均衡算法在分布式网络中选出的最适合接收加密后的目标数据的节点。
分布式网络中第一节点可以出于各种目的将加密后的目标数据发送至第二节点,比如,当分布式网络中的第一节点要在本地开辟出更多的存储空间或者要对目标数据进行备份时,可以将所述加密后的目标数据通过网络发送至分布式网络中的第二节点。
步骤240,当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权。
来自所述第二节点的访问所述目标数据的请求可以是基于各种协议的网络请求,比如可以是HTTP/HTTPS协议下的网络请求。
虽然第二节点已经接收到第一节点发来的所述目标数据,但由于第二节点存储的所述目标数据是被第一节点利用对称加密的密钥加密的,而第二节点并不掌握该密钥,所以第二节点并不能真正访问目标数据,所述第一节点对所述第二节点进行鉴权即所述第一节点确定所述第二节点是否有权利访问所述目标数据的环节。
在一个实施例中,步骤240的具体步骤可以如图3所示。图3是根据图2对应实施例示出的一实施例的步骤230之前步骤以及步骤230和步骤240的细节的流程图。如图3所示,包括以下步骤:
步骤220,生成所述目标数据的标识,并将所述目标数据的标识与有权限访问所述目标数据的节点的标识对应存储至预设的数据标识与节点标识访问权限对应关系表中。
目标数据的标识是用于唯一确定目标数据的身份的标识,第一节点生成目标数据的标识的具体方式是任意的。
在一个实施例中,所述生成所述目标数据的标识,包括:
从所述目标数据的第一个字符开始,每隔预定个字符选取一个字符;
将选取出的所有字符作为所述目标数据的标识。
在一个实施例中,所述第一节点将利用预设的摘要算法对所述目标数据进行摘要运算得到的摘要作为所述目标数据的标识。
在一个实施例中,有权限访问所述目标数据的节点的标识是认为设定的。
预设的数据标识与节点标识访问权限对应关系表中。记录了数据的标识和有权限访问一个数据的节点的标识的对应关系。
步骤230',将所述加密后的目标数据和所述目标数据的标识发送至分布式网络中的第二节点对应存储。
所述目标数据的标识被发送至分布式网络中的第二节点后,分布式网络中的第二节点得到所述目标数据的标识,可用于进行鉴权。
步骤241,当接收到来自所述第二节点的访问所述目标数据的请求,获取所述请求中的所述第二节点的标识以及所述目标数据的标识。
所述来自所述第二节点的访问所述目标数据的请求包含所述第二节点的标识和所述目标数据的标识。
步骤242,若在所述预设的数据标识与节点标识访问权限对应关系表中与所述目标数据的标识对应存储的节点的标识包含所述第二节点的标识,则对所述第二节点所进行的鉴权通过。
本实施例的好处在于,通过权限表的方式进行鉴权,使得权限的管理更加可控。
步骤250,若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据。
在一个实施例中,在将所述加密后的目标数据发送至分布式网络中的第二节点存储之前,所述方法还包括:
生成所述目标数据的标识;
所述将所述加密后的目标数据发送至分布式网络中的第二节点存储,包括:
将所述加密后的目标数据和所述目标数据的标识发送至分布式网络中的第二节点对应存储;
所述来自所述第二节点的访问所述目标数据的请求中携带的数据与所述目标数据的标识以及第一时间的时间戳相关,所述第一时间为发送所述请求的时间,所述当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权,包括:
当接收到来自所述第二节点的访问所述目标数据的请求,基于来自所述第二节点的访问所述目标数据的请求中携带的数据对所述第二节点进行鉴权;
所述若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据,包括:
若鉴权通过,则利用已获得的所述第二节点的公钥加密与所述目标数据的标识对应的所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据。
由于所述加密后的目标数据和所述目标数据的标识在第二节点对应存储,所以所述加密后的目标数据和所述目标数据的标识是一一对应的,而所述加密后的目标数据是与加密所述目标数据时使用的特定于该第一节点的对称加密的密钥是一一对应的,所以所述目标数据的标识和特定于该第一节点的对称加密的密钥的对应关系可以唯一确定。
所述目标数据的标识用于唯一标识所述目标数据,所述第一节点生成所述目标数据的标识的具体方式可以是任意的,比如根据预定规则在所述目标数据的二进制代码中选取的。
在一个实施例中,所述第一节点利用预设的摘要算法对算法目标数据进行摘要运算得到所述目标数据的标识。
在一个实施例中,来自所述第二节点的访问所述目标数据的请求所携带的与所述目标数据的标识以及第一时间的时间戳相关的数据为所述第二节点利用特定于该第二节点的私钥加密的由所述目标数据的标识和所述第一时间的时间戳构成的字符串而得到的数据,所述当接收到来自所述第二节点的访问所述目标数据的请求,基于来自所述第二节点的访问所述目标数据的请求中携带的数据对所述第二节点进行鉴权,包括:
当接收到来自所述第二节点的访问所述目标数据的请求,利用已获得的所述第二节点的公钥解密来自所述第二节点的访问所述目标数据的请求中携带的数据,得到所述目标数据的标识和第一时间的时间戳;
获取当前时间,作为第二时间;
若所述第二时间与根据所述第一时间的时间戳得到的所述第一时间的差值小于预定时间差值阈值,则鉴权通过。
公钥和私钥即为非对称加密的密钥,非对称加密的特点为对同一数据进行加密和解密需要一对公钥和私钥,被公钥加密的数据只能被对应私钥的持有方解密,而被私钥加密的数据只能被对应公钥的持有方解密。
在一个实施例中,所述第一时间的时间戳为格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至所述第一时间的总秒数,利用该规则可以基于第一时间的时间戳来确定第一时间。
预定时间差值阈值可以为任意的正数并可以选择任意的时间单位。
比如,预定时间差值阈值可以为1分钟或者5分钟。
由于只有第二节点具有特定于该第二节点的私钥,而第一节点具有与该私钥对应的公钥,这意味着只有被第二节点利用特定于该第二节点的私钥加密的数据才能被第一节点利用与该私钥对应的公钥解密,若第一节点能够利用特定于第二节点的私钥对应的公钥解密来自所述第二节点的访问所述目标数据的请求携带的数据,并能够得到所述目标数据的标识和第一时间的时间戳,则说明来自所述第二节点的访问所述目标数据的请求是真正合法的来自所述第二节点的请求。在本实施例中,通过利用动态时间戳来限制第二节点发送访问数据请求的时间与第一节点接收数据访问请求的时间间隔,若时间间隔较大,则认为是重放攻击,鉴权就不会通过,这样就实现了对重放攻击的过滤,能够防止攻击者重放请求伪造身份,能够使授权更加安全。
综上所述,根据图2对应实施例提供的分布式网络中数据授权访问方法,一方面,通过加密的方式实现了分布式网络的节点间的数据授权访问,确保了数据授权访问时的安全性,另一方面,由于在进行数据授权访问时,采用了对称加密算法来加解密数据,实现了节点间的高效数据授权访问。
图4是根据图2对应实施例示出的一实施例的步骤250之后步骤的流程图。在本实施例中,在步骤250之前步骤中,加密所述目标数据的对称加密的密钥为第一密钥,所述目标数据为第一目标数据,如图4所示,包括以下步骤:
步骤260,若分布式网络中的所述第一节点要将第二目标数据存储至分布式网络中所述第一节点之外的包括所述第二节点在内的任一目标节点,利用特定于该第一节点的对称加密的第二密钥加密所述第二目标数据,并将加密后的第二目标数据发送至所述目标节点进行存储。
当所述第一节点要将其他目标数据进行加密存储时要使用其他的对称加密的密钥。
步骤270,若分布式网络中的所述第一节点要将所述第一目标数据存储至分布式网络中除所述第一节点和所述第二节点之外的任一目标节点,利用特定于该第一节点的对称加密的第三密钥加密所述第一目标数据,并将加密后的第一目标数据发送至所述目标节点进行存储。
本实施例的好处在于,通过将同一数据存储至不同的目标节点,还是将不同的数据存储至目标节点都用不同的加密密钥进行目标数据的加密,提高了分布式网络中数据授权的安全性。
图5是根据图2对应实施例示出的另一实施例的步骤250之后步骤的流程图。在本实施例中,所述分布式网络中的每一节点要存储至所述分布式网络中的其他节点的数据在所述分布式网络中生成之初即被归为一类,加密所述目标数据的对称加密的密钥为第一密钥,所述目标数据为第一目标数据。如图5所示,包括以下步骤:
步骤260',若分布式网络中的所述第一节点要将第二目标数据存储至分布式网络中除所述第一节点之外的任一目标节点,判断所述第二目标数据被归为的类与所述第一目标数据被归为的类是否为一类。
所述第一节点对数据进行分类的方式可以是任意的,比如可以根据数据的大小进行分类,可以根据数据的生成时间进行分类。
在一个实施例中,所述第一节点中的每一数据按照被归为的类对应存储,所述判断所述第二目标数据被归为的类与所述第一目标数据被归为的类是否为一类,包括:
判断所述第二目标数据是否与所述第一目标数据对应存储,如果是,则确定所述第二目标数据被归为的类与所述第一目标数据被归为的类为一类,如果否,确定所述第二目标数据被归为的类与所述第一目标数据被归为的类不为一类。
步骤270',如果是,利用特定于该第一节点的对称加密的第一密钥加密所述第二目标数据,并将加密后的第二目标数据发送至所述目标节点进行存储。
当所述第二目标数据被归为的类与所述第一目标数据被归为的类为一类时,使用与加密第一目标数据时采用的加密密钥相同的对称加密的密钥进行加密。
步骤280',如果否,利用特定于该第一节点的对称加密的第二密钥加密所述第二目标数据,并将加密后的第二目标数据发送至所述目标节点进行存储。
在本实施例中,通过根据每一节点要发送至其他节点进行存储的数据被分为的类来选择对称加密的密钥进行加密,只有被归为一类的数据才能使用相同的密钥进行加密,在保证了数据加密安全的同时,在一定程度上降低了对称加密的维护量。
本公开还提供了一种分布式网络中数据授权访问装置,以下是本公开的装置实施例。
图6是根据一示例性实施例示出的一种分布式网络中数据授权访问装置的框图。如图6所示,装置600包括:
加密模块610,被配置为利用特定于该第一节点的对称加密的密钥加密要存储至分布式网络中的第二节点的目标数据,得到加密后的目标数据;
第一发送模块620,被配置为将所述加密后的目标数据发送至分布式网络中的第二节点存储;
鉴权模块630,被配置为当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权;
第二发送模块640,被配置为若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据。
据本公开的第三方面,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图7来描述根据本发明的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:上述至少一个处理单元710、上述至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书上述“实施例方法”部分中描述的根据本发明各种示例性实施方式的步骤。
存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)721和/或高速缓存存储单元722,还可以进一步包括只读存储单元(ROM)723。
存储单元720还可以包括具有一组(至少一个)程序模块725的程序/实用工具724,这样的程序模块725包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器760通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
根据本公开的第四方面,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图8所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围执行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (7)
1.一种分布式网络中数据授权访问方法,所述分布式网络包含多个节点,所述方法由所述分布式网络中的第一节点执行,其特征在于,所述方法包括:
根据第一节点要发送至其他节点进行存储的目标数据被分为的类选择对称加密的密钥;其中,被归为一类的数据使用相同的密钥进行加密;
利用特定于该第一节点的所述对称加密的密钥加密要存储至分布式网络中的第二节点的目标数据,得到加密后的目标数据;以及生成所述目标数据的标识,并将所述目标数据的标识与有权限访问所述目标数据的节点的标识对应存储至预设的数据标识与节点标识访问权限对应关系表中;
将所述加密后的目标数据和所述目标数据的标识发送至分布式网络中的第二节点对应存储;
当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权;所述来自所述第二节点的访问所述目标数据的请求包含所述第二节点的标识和所述目标数据的标识,获取所述请求中的所述第二节点的标识以及所述目标数据的标识;
若在所述预设的数据标识与节点标识访问权限对应关系表中与所述目标数据的标识对应存储的节点的标识包含所述第二节点的标识,则对所述第二节点所进行的鉴权通过;
若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据;
当加密所述目标数据的对称加密的密钥为第一密钥,所述目标数据为第一目标数据时,若分布式网络中的所述第一节点要将第二目标数据存储至分布式网络中所述第一节点之外的包括所述第二节点在内的任一目标节点,利用特定于该第一节点的对称加密的第二密钥加密所述第二目标数据,并将加密后的第二目标数据发送至所述目标节点进行存储;
若分布式网络中的所述第一节点要将所述第一目标数据存储至分布式网络中除所述第一节点和所述第二节点之外的任一目标节点,利用特定于该第一节点的对称加密的第三密钥加密所述第一目标数据,并将加密后的第一目标数据发送至所述目标节点进行存储。
2.根据权利要求1所述的方法,其特征在于,所述分布式网络为去中心化的区块链网络,第一节点为所述区块链网络中产生所述目标数据的节点,第二节点为所述区块链网络中所述第一节点之外的任一节点。
3.根据权利要求1所述的方法,其特征在于,在将所述加密后的目标数据发送至分布式网络中的第二节点存储之前,所述方法还包括:
生成所述目标数据的标识;
所述将所述加密后的目标数据发送至分布式网络中的第二节点存储,包括:
将所述加密后的目标数据和所述目标数据的标识发送至分布式网络中的第二节点对应存储;
所述来自所述第二节点的访问所述目标数据的请求中携带的数据与所述目标数据的标识以及第一时间的时间戳相关,所述第一时间为发送所述请求的时间,所述当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权,包括:
当接收到来自所述第二节点的访问所述目标数据的请求,基于来自所述第二节点的访问所述目标数据的请求中携带的数据对所述第二节点进行鉴权;
所述若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据,包括:
若鉴权通过,则利用已获得的所述第二节点的公钥加密与所述目标数据的标识对应的所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据。
4.根据权利要求3所述的方法,其特征在于,来自所述第二节点的访问所述目标数据的请求所携带的与所述目标数据的标识以及第一时间的时间戳相关的数据为所述第二节点利用特定于该第二节点的私钥加密的由所述目标数据的标识和所述第一时间的时间戳构成的字符串而得到的数据,所述当接收到来自所述第二节点的访问所述目标数据的请求,基于来自所述第二节点的访问所述目标数据的请求中携带的数据对所述第二节点进行鉴权,包括:
当接收到来自所述第二节点的访问所述目标数据的请求,利用已获得的所述第二节点的公钥解密来自所述第二节点的访问所述目标数据的请求中携带的数据,得到所述目标数据的标识和第一时间的时间戳;
获取当前时间,作为第二时间;
若所述第二时间与根据所述第一时间的时间戳得到的所述第一时间的差值小于预定时间差值阈值,则鉴权通过。
5.一种分布式网络中数据授权访问装置,所述分布式网络包含多个节点,所述装置位于所述分布式网络的第一节点中,其特征在于,所述装置包括:
加密模块,被配置为根据第一节点要发送至其他节点进行存储的目标数据被分为的类选择对称加密的密钥;利用特定于该第一节点的所述对称加密的密钥加密要存储至分布式网络中的第二节点的目标数据,得到加密后的目标数据;以及生成所述目标数据的标识,并将所述目标数据的标识与有权限访问所述目标数据的节点的标识对应存储至预设的数据标识与节点标识访问权限对应关系表中;其中,被归为一类的数据使用相同的密钥进行加密;
第一发送模块,被配置为将所述加密后的目标数据和所述目标数据的标识发送至分布式网络中的第二节点对应存储;
鉴权模块,被配置为当接收到来自所述第二节点的访问所述目标数据的请求,对所述第二节点进行鉴权;所述来自所述第二节点的访问所述目标数据的请求包含所述第二节点的标识和所述目标数据的标识,获取所述请求中的所述第二节点的标识以及所述目标数据的标识;若在所述预设的数据标识与节点标识访问权限对应关系表中与所述目标数据的标识对应存储的节点的标识包含所述第二节点的标识,则对所述第二节点所进行的鉴权通过;
第二发送模块,被配置为若鉴权通过,则利用已获得的所述第二节点的公钥加密所述特定于该第一节点的对称加密的密钥并将加密后的所述密钥发送至所述第二节点,以便使所述第二节点利用所述第二节点的私钥解密加密后的所述密钥,得到所述密钥并利用所述密钥对所述加密后的目标数据进行解密,以得到目标数据;当加密所述目标数据的对称加密的密钥为第一密钥,所述目标数据为第一目标数据时,若分布式网络中的所述第一节点要将第二目标数据存储至分布式网络中所述第一节点之外的包括所述第二节点在内的任一目标节点,利用特定于该第一节点的对称加密的第二密钥加密所述第二目标数据,并将加密后的第二目标数据发送至所述目标节点进行存储;若分布式网络中的所述第一节点要将所述第一目标数据存储至分布式网络中除所述第一节点和所述第二节点之外的任一目标节点,利用特定于该第一节点的对称加密的第三密钥加密所述第一目标数据,并将加密后的第一目标数据发送至所述目标节点进行存储。
6.一种计算机可读程序介质,其特征在于,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行根据权利要求1至4中任一项所述的方法。
7.一种电子设备,其特征在于,所述电子设备包括:
处理器;
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如权利要求1至4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910854839.4A CN110708291B (zh) | 2019-09-10 | 2019-09-10 | 分布式网络中数据授权访问方法、装置、介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910854839.4A CN110708291B (zh) | 2019-09-10 | 2019-09-10 | 分布式网络中数据授权访问方法、装置、介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110708291A CN110708291A (zh) | 2020-01-17 |
| CN110708291B true CN110708291B (zh) | 2022-09-02 |
Family
ID=69195092
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910854839.4A Active CN110708291B (zh) | 2019-09-10 | 2019-09-10 | 分布式网络中数据授权访问方法、装置、介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110708291B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333173B (zh) * | 2020-03-11 | 2023-07-04 | 合肥达朴汇联科技有限公司 | 基于数据提供方的数据传送方法、系统、设备及存储介质 |
| CN111526128B (zh) * | 2020-03-31 | 2022-07-19 | 中国建设银行股份有限公司 | 一种加密管理的方法和装置 |
| CN112235409B (zh) * | 2020-10-19 | 2023-10-10 | 平安证券股份有限公司 | 文件上传方法、装置、电子设备及计算机可读存储介质 |
| CN113032594B (zh) * | 2021-02-26 | 2023-12-08 | 广东核电合营有限公司 | 标牌图像存储方法、装置、计算机设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008197998A (ja) * | 2007-02-14 | 2008-08-28 | Tokyo Institute Of Technology | 分散ネットワークストレージシステムにおける暗号化データ格納方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7334125B1 (en) * | 2001-11-27 | 2008-02-19 | Cisco Technology, Inc. | Facilitating secure communications among multicast nodes in a telecommunications network |
| US20100266132A1 (en) * | 2009-04-15 | 2010-10-21 | Microsoft Corporation | Service-based key escrow and security for device data |
| CN105227380B (zh) * | 2015-10-29 | 2019-07-16 | 邱彼特 | 用户数据处理的方法、装置及系统 |
| US10691817B2 (en) * | 2016-05-06 | 2020-06-23 | ZeroDB, Inc. | Encryption for distributed storage and processing |
| CN106790304A (zh) * | 2017-03-24 | 2017-05-31 | 联想(北京)有限公司 | 数据访问方法、装置、节点以及服务器集群 |
| CN107480555B (zh) * | 2017-08-01 | 2020-03-13 | 中国联合网络通信集团有限公司 | 基于区块链的数据库访问权限控制方法及设备 |
| CN107483446A (zh) * | 2017-08-23 | 2017-12-15 | 上海点融信息科技有限责任公司 | 用于区块链的加密方法、设备以及系统 |
| CN109729041B (zh) * | 2017-10-27 | 2022-03-18 | 上海策赢网络科技有限公司 | 一种加密内容的发布以及获取方法及装置 |
| CN108259502B (zh) * | 2018-01-29 | 2020-12-04 | 平安普惠企业管理有限公司 | 用于获取接口访问权限的鉴定方法、服务端及存储介质 |
-
2019
- 2019-09-10 CN CN201910854839.4A patent/CN110708291B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008197998A (ja) * | 2007-02-14 | 2008-08-28 | Tokyo Institute Of Technology | 分散ネットワークストレージシステムにおける暗号化データ格納方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110708291A (zh) | 2020-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110708291B (zh) | 分布式网络中数据授权访问方法、装置、介质及电子设备 | |
| RU2589861C2 (ru) | Система и способ шифрования данных пользователя | |
| US9020149B1 (en) | Protected storage for cryptographic materials | |
| US9413754B2 (en) | Authenticator device facilitating file security | |
| US8984295B2 (en) | Secure access to electronic devices | |
| US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
| CN109510802B (zh) | 鉴权方法、装置及系统 | |
| US11159329B2 (en) | Collaborative operating system | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| CN102427442A (zh) | 组合请求相关元数据和元数据内容 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| US20180115535A1 (en) | Blind En/decryption for Multiple Clients Using a Single Key Pair | |
| WO2020155812A1 (zh) | 一种数据存储方法、装置及设备 | |
| US20210211293A1 (en) | Systems and methods for out-of-band authenticity verification of mobile applications | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| US10541994B2 (en) | Time based local authentication in an information handling system utilizing asymmetric cryptography | |
| US10735409B2 (en) | Authenication stick | |
| KR101479290B1 (ko) | 보안 클라우드 서비스를 제공하기 위한 에이전트 및 보안 클라우드 서비스를위한 보안키장치 | |
| CN116633582A (zh) | 安全通信方法、装置、电子设备及存储介质 | |
| KR101836211B1 (ko) | 전자 기기 인증 매니저 장치 | |
| EP3886355A2 (en) | Decentralized management of data access and verification using data management hub | |
| CN113595982A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| KR20170107818A (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 | |
| CN110619236A (zh) | 一种基于文件凭证信息的文件授权访问方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |