CN113328979B - 一种访问行为的记录方法、装置 - Google Patents

一种访问行为的记录方法、装置 Download PDF

Info

Publication number
CN113328979B
CN113328979B CN202010131927.4A CN202010131927A CN113328979B CN 113328979 B CN113328979 B CN 113328979B CN 202010131927 A CN202010131927 A CN 202010131927A CN 113328979 B CN113328979 B CN 113328979B
Authority
CN
China
Prior art keywords
user data
behavior
key
access device
block chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010131927.4A
Other languages
English (en)
Other versions
CN113328979A (zh
Inventor
洪佳楠
张艳平
胡伟华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010131927.4A priority Critical patent/CN113328979B/zh
Priority to PCT/CN2021/077955 priority patent/WO2021170049A1/zh
Publication of CN113328979A publication Critical patent/CN113328979A/zh
Application granted granted Critical
Publication of CN113328979B publication Critical patent/CN113328979B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及通信技术领域,公开一种访问行为的记录方法、装置,包括:访问设备从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述访问设备向所述区块链进行获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址;所述访问设备在通过所述区块链的验证后,接收来自所述区块链的第一密钥,并使用所述第一密钥对所述加密后的用户数据进行解密。该方法中每个装置只存有部分用户数据信息,降低了因某个装置被攻击,造成用户数据泄露风险,提供了安全性较高的,基于区块链技术的可追溯的记录方法。

Description

一种访问行为的记录方法、装置
技术领域
本申请涉及通信技术领域,尤其涉及一种访问行为的记录方法、装置。
背景技术
目前在通信过程中,为避免用户数据的非受控扩散等各种风险,需要对访问方针对用户数据的访问行为进行记录,以便对访问记录进行追溯。为此,在进行通信访问过程中,一方面需要保证每个访问的行为均能被如实地记录下来,另一方面还需要保证追溯的访问记录是完整的,未被破坏和修改的。
与此同时,随着区块链技术的不断发展,基于区块链去中心化以及采用分布式账本技术所具有的不可篡改性等特点,使得区块链系统对于用户数据的历史访问行为具有可信记录和保存的能力。因此,在通信过程中,也逐渐致力于打造基于区块链系统进行的访问行为的追溯。
然而,目前并没有基于在去中心化区块链网络中实现访问行为的记录方法。
发明内容
本申请提供一种访问行为的记录方法及装置,用以提供在去中心化区块链网络中实现访问行为的记录方法。
第一方面,本申请实施例提供一种访问行为的记录方法,包括:
数据记录网元使用第一密钥对用户数据进行加密;所述数据记录网元通过区块链将所述第一密钥存储到数据库中;所述数据记录网元接收所述区块链反馈的智能合约中第一行为的地址,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为;所述数据记录网元将所述加密后的用户数据以及所述第一行为的地址存储到云平台中。
基于该方案,本申请实施例中在进行用户数据存储时,将用于获取所述用户数据的相关信息分别存储到云平台以及数据库等设备中,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。
在一种可能的实现方式中,所述数据记录网元使用第二密钥对所述第一密钥进行加密,得到第一加密信息,并将所述第一加密信息通过所述区块链存储到所述数据库中。
在一种可能的实现方式中,所述第二密钥为所述数据库预配置在所述数据记录网元上的;或所述第二密钥为所述数据记录网元从所述数据库处接收的。
在一种可能的实现方式中,所述第一行为中包括所述第一密钥在所述数据库中的存储地址。
第二方面,本申请实施例提供一种访问行为的记录方法,包括:
区块链接收来自数据记录网元的第一密钥,并将所述第一密钥存储到数据库中;所述区块链通过智能合约记录第一行为以及所述第一行为的地址,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为;所述区块链将所述第一行为的地址反馈给所述数据记录网元。
基于该方案,本申请实施例中在进行用户数据存储时,将用于获取所述用户数据的相关信息分别存储到云平台以及数据库等设备中,从而有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。
在一种可能的实现方式中,所述区块链接收来自所述数据记录网元的第一加密信息,所述第一加密信息是通过第二密钥对所述第一密钥加密后得到的;所述区块链将所述第一加密信息存储到所述数据库中。
第三方面,本申请实施例提供一种访问行为的记录方法,包括:
数据库通过区块链接收来自数据记录网元的第一密钥;所述数据库存储所述第一密钥,并记录所述存储地址;所述数据库将所述存储地址发送给所述区块链,以使所述区块链根据所述存储地址记录第一行为;其中,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为。
基于该方案,本申请实施例中在进行用户数据存储时,将所述用户数据的相关部分信息分别存储到云平台以及数据库等设备中,从而有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。
在一种可能的实现方式中,所述数据库通过所述区块链接收来自所述数据记录网元的第一加密信息;其中,所述第一加密信息是通过第二密钥对所述第一密钥加密后得到的。
在一种可能的实现方式中,所述第二密钥是所述数据记录网元与所述数据库预先设定的;或所述第二密钥是所述数据库生成的。
在一种可能的实现方式中,所述数据库通过区块链接收来自数据记录网元的第一加密信息之后,存储所述第一密钥,并记录所述存储地址之前,所述数据库根据第二密钥对所述第一加密信息进行解密,获取所述第一密钥。
第四方面,本申请实施例提供一种访问行为的记录方法,包括:
访问设备从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述访问设备向所述区块链进行获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址;所述访问设备在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的第一密钥;所述访问设备使用所述第一密钥对所述加密后的用户数据进行解密。
基于该方案,本申请实施例中在进行用户数据存储时,将所述用户数据的相关部分信息分别存储到云平台以及数据库等设备中,从而所述访问行为的记录系统中任何一个装置只存有与用户数据相关的部分信息,需要结合所述系统中的所有装置才能获取用户数据,因此,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。
在一种可能的实现方式中,所述获取用户数据申请包括第三密钥,所述第三密钥用于所述数据库对所述第一密钥进行加密,得到所述第二加密信息。
在一种可能的实现方式中,所述访问设备接收来自所述区块链的第二加密信息。
在一种可能的实现方式中,所述第二加密信息是通过第三密钥对所述第一密钥进行加密后得到的。
在一种可能的实现方式中,所述访问设备对所述第二加密信息进行解密,获取所述第一密钥。
在一种可能的实现方式中,所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,接收来自所述区块链的所述第一密钥。
第五方面,本申请实施例提供一种访问行为的记录方法,包括:
区块链接收来自访问设备的获取用户数据申请,所述获取用户数据申请中携带智能合约中第一行为的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述区块链确定所述访问设备验证成功后,根据所述第一行为从所述数据库中获取所述第一密钥;所述区块链将所述第一密钥发送给所述访问设备。
基于该方案,本申请实施例中在进行用户数据存储时,将所述用户数据的相关部分信息分别存储到云平台以及数据库等设备中,从而所述访问行为的记录系统中任何一个装置只存有与用户数据相关的部分信息,需要结合所述系统中的所有装置才能获取用户数据,因此,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。
在一种可能的实现方式中,所述区块链确定所述访问设备验证成功后,将验证成功的结果以及所述第一行为发送给所述数据库;所述区块链接收所述数据库的第一密钥。
在一种可能的实现方式中,所述获取用户数据申请包括第三密钥,所述第三密钥用于所述数据库对所述第一密钥进行加密,得到所述第二加密信息。
在一种可能的实现方式中,所述区块链确定所述访问设备验证成功后,将所述验证成功的结果、所述第一行为以及所述第三密钥发送给所述数据库。
在一种可能的实现方式中,所述区块链根据所述第一行为从所述数据库中获取第二加密信息,所述第二加密信息是所述数据库通过所述第三密钥对所述第一密钥加密后得到的;所述区块链将所述第二加密信息发送给所述访问设备。
在一种可能的实现方式中,所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,则所述区块链确定所述访问设备验证成功。
在一种可能的实现方式中,所述区块链将所述第一密钥发送给所述访问设备之前,所述区块链将第二行为记录到所述智能合约中;其中,所述第二行为用于记录所述访问设备向所述区块链获取用户数据申请的行为;所述第二行为中包括所述区块链对所述访问设备进行验证的结果。
第六方面,本申请实施例提供一种访问行为的记录方法,包括:
数据库接收来自区块链对访问设备验证成功的结果以及智能合约中的第一行为;所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述数据库在确定所述验证成功的结果有效后,根据所述第一行为确定第一密钥,并将所述第一密钥通过区块链发送给所述访问设备,所述第一密钥用于解密加密后的用户数据。
基于该方案,本申请实施例中在进行用户数据存储时,将所述用户数据的相关部分信息分别存储到云平台以及数据库等设备中,从而所述访问行为的记录系统中任何一个装置只存有与用户数据相关的部分信息,需要结合所述系统中的所有装置才能获取用户数据,因此,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。
在一种可能的实现方式中,所述方法还包括:所述数据库还接收来自区块链的第三密钥,所述第三密钥是所述区块链从所述访问设备发送的获取用户数据申请中获取的;所述第三密钥用于所述数据库对所述第一密钥进行加密,得到所述第二加密信息。
在一种可能的实现方式中,所述数据库根据所述第一行为确定第一密钥;所述数据库根据所述第三密钥对所述第一密钥进行加密,得到所述第二加密信息;所述数据库将所述第二加密信息通过区块链发送给所述访问设备。
第七方面,本申请实施例提供一种访问行为的记录方法,包括:
访问设备从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述访问设备向区块链进行获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址和加密后的用户数据块,所述用户数据块是所述用户数据的全部或部分;所述访问设备在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的所述用户数据块。
基于该方案,本申请实施例中在进行用户数据存储时,将所述用户数据的相关部分信息分别存储到云平台以及数据库等设备中,从而所述访问行为的记录系统中任何一个装置只存有与用户数据相关的部分信息,需要结合所述系统中的所有装置才能获取用户数据,因此,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。与此同时,通过水印的添加,本申请实施例能更好避免访问方在获得所述用户数据后将所述用户数据恶意分享给其他实体。
在一种可能的实现方式中,所述访问设备接收到的所述用户数据块是所述数据库根据来自所述区块链的第一行为确定所述第一密钥后,对来自所述区块链的所述加密后的用户数据块进行解密后得到的;所述第一行为中包含所述第一密钥在所述数据库中的存储地址。
在一种可能的实现方式中,所述访问设备接收来自所述区块链的添加水印标记的所述用户数据块。
在一种可能的实现方式中,所述获取用户数据申请包括第四密钥,所述第四密钥用于所述数据库对所述用户数据块进行加密,得到所述第三加密信息。
在一种可能的实现方式中,所述访问设备接收来自所述区块链的所述第三加密信息。
在一种可能的实现方式中,所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,接收来自所述区块链的所述用户数据块。
第八方面,本申请实施例提供一种访问行为的记录方法,包括:
区块链接收来自访问设备的获取用户数据申请,所述获取用户数据申请中携带智能合约中第一行为的地址和加密后的用户数据块,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述用户数据块是所述用户数据的全部或部分;所述区块链确定所述访问设备验证成功后,将所述第一行为和所述加密后的用户数据块发送给所述数据库;所述区块链接收来自所述数据库的所述用户数据块,并将所述用户数据块发送给所述访问设备。
基于该方案,本申请实施例中在进行用户数据存储时,将所述用户数据的相关部分信息分别存储到云平台以及数据库等设备中,从而所述访问行为的记录系统中任何一个装置只存有与用户数据相关的部分信息,需要结合所述系统中的所有装置才能获取用户数据,因此,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。与此同时,通过水印的添加,本申请实施例能更好避免访问方在获得所述用户数据后将所述用户数据恶意分享给其他实体。
在一种可能的实现方式中,所述用户数据块是所述数据库在确定来自所述区块链发送的所述访问设备验证成功的结果有效后发送的。
在一种可能的实现方式中,所述区块链接收来自所述数据库的添加水印标记的所述用户数据块,并将添加水印标记的所述用户数据块发送给所述访问设备。
在一种可能的实现方式中,所述方法还包括:所述获取用户数据申请包括第四密钥,所述第四密钥用于所述数据库对所述用户数据块进行加密,得到所述第三加密信息;所述区块链确定所述访问设备验证成功后,将所述第一行为、所述加密后的用户数据块以及所述第四密钥发送给所述数据库。
在一种可能的实现方式中,所述区块链接收来自所述数据库的所述第三加密信息,并将所述第三加密信息发送给所述访问设备。
在一种可能的实现方式中,所述区块链接收到的来自所述数据库的所述用户数据块,是所述数据库根据来自所述区块链的第一行为确定所述第一密钥后,对来自所述区块链的所述加密后的用户数据块进行解密后得到的;其中,所述第一行为中包含所述第一密钥在所述数据库中的存储地址。
在一种可能的实现方式中,所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,则所述区块链确定所述访问设备验证成功。
在一种可能的实现方式中,所述区块链将所述第一密钥发送给所述访问设备之前,所述区块链将第二行为记录到所述智能合约中;其中,所述第二行为用于记录所述访问设备向所述区块链获取用户数据申请的行为;所述第二行为中包括所述区块链对所述访问设备进行验证的结果。
第九方面,本申请实施例提供一种访问行为的记录方法,包括:
数据库接收来自区块链对访问设备验证成功的结果、智能合约中的第一行为以及加密后的用户数据块,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为,所述用户数据块是所述用户数据的全部或部分;所述数据库在确定所述验证成功的结果有效后,根据所述第一行为确定所述用户数据块,并将所述用户数据块通过所述区块链发送给所述访问设备。
基于该方案,本申请实施例中在进行用户数据存储时,将所述用户数据的相关部分信息分别存储到云平台以及数据库等设备中,从而所述访问行为的记录系统中任何一个装置只存有与用户数据相关的部分信息,需要结合所述系统中的所有装置才能获取用户数据,因此,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。与此同时,通过水印的添加,本申请实施例能更好避免访问方在获得所述用户数据后将所述用户数据恶意分享给其他实体。
在一种可能的实现方式中,所述数据库根据所述第一行为确定第一密钥;所述数据库根据所述第一密钥对所述加密后的用户数据块进行解密,并将解密得到的所述用户数据块通过区块链发送给所述访问设备。
在一种可能的实现方式中,所述数据库根据所述第一行为确定所述用户数据块;
所述数据块对所述用户数据块添加水印标记,并将添加水印标记的所述用户数据块通过所述区块链发送给所述访问设备。
在一种可能的实现方式中,所述方法还包括:所述数据库还接收来自区块链的第四密钥,所述第四密钥是所述区块链从所述访问设备发送的获取用户数据申请中获取的;所述第四密钥用于所述数据库对所述用户数据块进行加密,得到所述第三加密信息。
在一种可能的实现方式中,所述数据库根据所述第一行为确定所述用户数据块;所述数据库根据所述第四密钥对所述用户数据块进行加密,得到所述第三加密信息;所述数据库将所述第三加密信息通过所述区块链发送给所述访问设备。
第十方面,本申请实施例提供一种访问行为的记录方法,包括:
访问设备安装客户端,并通过区块链向授权服务器发送第一申请,所述第一申请用于授予所述客户端打开所述访问设备获取到的用户数据的权限;所述访问设备通过区块链接收来自所述授权服务器的第一随机数,所述第一随机数用于生成第二序列号,所述第二序列号用于验证所述客户端是否有权打开所述用户数据。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
在一种可能的实现方式中,所述第一申请包括所述客户端的标识ID;所述访问设备接收到的所述第一随机数与所述客户端的标识ID一一对应。
在一种可能的实现方式中,所述第一申请还包括第五密钥,所述第五密钥用于加密所述第一随机数。
在一种可能的实现方式中,所述访问设备通过区块链接收来自所述授权服务器的第四加密信息,所述第四加密信息是所述授权服务器根据所述第五密钥对所述第一随机数进行加密后得到的。
在一种可能的实现方式中,所述方法还包括:所述访问设备根据所述第五密钥解密所述第四加密信息,获取所述第一随机数。
第十一方面,本申请实施例提供一种访问行为的记录方法,包括:
区块链接收访问设备发送的第一申请,所述第一申请用于授予所述访问设备通过安装的客户端打开所述访问设备获取到的用户数据的权限;所述区块链将所述第一申请发送授权服务器;所述区块链接收来自所述授权服务器的第一随机数,并将所述第一随机数发送给所述访问设备,其中,所述第一随机数用于生成第二序列号,所述第二序列号用于验证所述客户端是否有权打开所述用户数据。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
在一种可能的实现方式中,所述第一申请包括所述客户端的标识ID;所述访问设备接收到的所述第一随机数与所述客户端的标识ID一一对应。
在一种可能的实现方式中,所述第一申请还包括第五密钥,所述第五密钥用于加密所述第一随机数。
在一种可能的实现方式中,所述区块链接收来自所述授权服务器的第四加密信息,并将所述第四加密信息发送给所述访问设备,所述第四加密信息是所述授权服务器根据所述第五密钥对所述第一随机数进行加密后得到的。
在一种可能的实现方式中,所述方法还包括:所述区块链将第三行为记录到所述智能合约中;其中,所述第三行为用于记录所述访问设备向所述数据库发送所述第一申请。
第十二方面,本申请实施例提供一种访问行为的记录方法,包括:
授权服务器通过区块链接收访问设备发送的第一申请,所述第一申请用于授予所述访问设备通过安装的客户端打开所述访问设备获取到的用户数据的权限;所述授权服务器生成第一随机数,并将所述第一随机数发送给所述访问设备,其中,所述第一随机数用于生成第二序列号,所述第二序列号用于验证是所述客户端否有权打开所述用户数据。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
在一种可能的实现方式中,所述第一申请包括所述客户端的标识ID;所述授权服务器根据所述客户端的标识ID生成所述第一随机数,生成的所述第一随机数与所述客户端的标识ID一一对应。
在一种可能的实现方式中,所述第一申请还包括第五密钥,所述第五密钥用于加密所述第一随机数。
在一种可能的实现方式中,所述授权服务器根据所述第五密钥对所述第一随机数进行加密,得到所述第四加密信息,并将所述第四加密信息发送给所述访问设备。
第十三方面,本申请实施例提供一种访问行为的记录方法,包括:
数据记录网元将用户数据存储到云平台;所述数据记录网元确定所述用户数据成功存储到所述云平台后,向区块链发送所述用户数据的存储状态。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
第十四方面,本申请实施例提供一种访问行为的记录方法,包括:
区块链接收数据记录网元发送的用户数据的存储状态,所述存储状态用于指示所述数据记录网元将所述用户数据存储到云平台;所述区块链在确定所述云平台中成功存储所述用户数据后,为所述用户数据分配用户数据ID;所述区块链将所述用户数据ID发送给所述云平台。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
第十五方面,本申请实施例提供一种访问行为的记录方法,包括:
云平台接收来自数据记录网元的用户数据,并将所述用户数据存储到本地;
所述云平台接收区块链为所述用户数据分配的用户数据ID,并将所述用户数据与所述用户数据ID关联。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
第十六方面,本申请实施例提供一种访问行为的记录方法,包括:
访问设备从云平台获取用户数据以及用户数据ID;所述访问设备向区块链发送第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;所述访问设备接收来自区块链发送的第一序列号;所述访问设备将所述第一序列号输入所述客户端;所述访问设备在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
在一种可能的实现方式中,所述第二申请包括所述客户端的标识ID以及所述用户数据ID,所述客户端的标识ID以及所述用户数据ID用于验证所述客户端具有打开所述用户数据的权限。
在一种可能的实现方式中,所述用户数据ID还用于验证所述用户数据的真实性。
在一种可能的实现方式中,所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,通过所述区块链接收来自授权服务器的所述第一序列号。
在一种可能的实现方式中,所述第一序列号是所述授权服务器根据接收到所述第二申请的时间、所述用户数据ID、或所述客户端的标识ID的一项或多项生成的。
在一种可能的实现方式中,之前还包括:所述访问设备安装所述客户端,并通过区块链向授权服务器发送第一申请,所述第一申请用于授予所述客户端打开所述用户数据的权限;
所述访问设备通过区块链接收来自所述授权服务器的第一随机数,所述第一随机数用于生成第二序列号,所述第二序列号用于验证所述客户端是否有权打开所述用户数据。
在一种可能的实现方式中,所述访问设备将所述第一随机数提供给所述客户端以生成第一随机数生成器;所述客户端将所述第二申请的时间、所述用户数据ID、或所述客户端的标识ID中的一项或多项作为第一随机数生成器的输入参数,生成第二序列号。
在一种可能的实现方式中,所述访问设备在所述客户端确定所述第二序列号与所述第一序号相同后,阅读所述客户端打开的所述用户数据。
在一种可能的实现方式中,所述方法还包括:所述访问设备接收来自区块链的第一序列号以及第二随机数;所述访问设备将所述第一序列号以及所述第二随机数输入所述客户端;所述访问设备在所述客户端根据所述第一序列号以及所述第二随机数确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
第十七方面,本申请实施例提供一种访问行为的记录方法,包括:
区块链接收访问设备发送的第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;所述区块链将所述第二申请发送给授权服务器;所述区块链接收所述授权服务器发送的第一序列号,并将所述第一序列号发送给所述访问设备。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
在一种可能的实现方式中,所述第二申请包括所述客户端的标识ID以及所述用户数据ID,所述客户端的标识ID以及所述用户数据ID用于验证所述客户端具有打开所述用户数据的权限,所述用户数据ID还用于验证所述用户数据的真实性。
在一种可能的实现方式中,所述区块链将所述第二申请发送给授权服务器之前,还包括:
所述区块链确定所述客户端的标识ID有效;和/或所述区块链确定所述用户数据ID有效。
在一种可能的实现方式中,所述区块链中不小于阈值数量的节点确定所述客户端的标识ID有效;和/或所述区块链中不小于阈值数量的节点确定所述用户数据ID有效。
在一种可能的实现方式中,所述区块链根据所述第二申请中的所述客户端的标识ID查询到智能合约中存在第三行为,所述第三行为用于记录所述访问设备向所述数据库发送第一申请,所述第一申请用于授予所述访问设备通过安装的客户端打开所述访问设备获取到的用户数据的权限。
在一种可能的实现方式中,所述区块链根据所述第二申请中的所述用户数据ID查询到云平台中存在与所述用户数据ID对应的用户数据。
在一种可能的实现方式中,所述区块链接收所述授权服务器发送的第一序列号以及第二随机数,并将所述第一序列号以及第二随机数发送给所述访问设备。
在一种可能的实现方式中,所述方法还包括:所述区块链将第四行为记录到所述智能合约中;其中,所述第四行为用于记录所述访问设备向所述授权服务器发送所述第二申请。
第十八方面,本申请实施例提供一种访问行为的记录方法,包括:
授权服务器通过区块链接收来自访问设备的第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;所述授权服务器根据所述第二申请,生成第一序列号;所述授权服务器通过所述区块链将所述第一序列号发送给所述访问设备。
基于该方案,本实施例通过将管理域延伸到访问方的客户端,进一步提升了数据访问行为记录的能力和可信度。能够进一步有效地控制所述用户数据在访问之后的利用,如将所述用户数据访发送给其他访问方,甚至是访问方本身对相同用户数据的二次访问,都将在区块链中记录下来,否则无法阅读有效信息。
在一种可能的实现方式中,所述第二申请包括所述客户端的标识ID以及所述用户数据ID,所述客户端的标识ID以及所述用户数据ID用于验证所述客户端具有打开所述用户数据的权限,所述用户数据ID还用于验证所述用户数据的真实性。
在一种可能的实现方式中,所述授权服务器根据所述第二申请中的客户端标识ID确定所述客户端对应的第一随机数生成器;所述授权服务器将所述第二申请的申请时间和所述用户数据ID作为所述第一随机数生成器的输入参数,生成所述第一序列号;其中,所述第一随机数生成器是所述授权服务器根据第一随机数生成的。
在一种可能的实现方式中,还包括:所述授权服务器生成第二随机数,并通过所述区块链将所述第一序列号以及所述第二随机数发送给所述访问设备。
在一种可能的实现方式中,所述授权服务器根据所述第二申请中的客户端标识ID确定所述客户端对应的第一随机数;所述授权服务器根据所述第一随机数以及所述第二随机数生成所述第二随机数生成器;所述授权服务器将所述第二申请的申请时间和所述用户数据ID作为所述第二随机数生成器的输入参数,生成所述第一序列号。
第十九方面,本申请实施例提供一种访问行为的记录装置,该装置具有实现上述实施例中的数据记录网元的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。
其中,该装置可以是所述数据记录网元,或者是可用于所述数据记录网元的部件,例如芯片或芯片系统或者电路,该装置可以包括:收发器和处理器。该处理器可被配置为支持该装置执行以上所述数据记录网元相应功能,该收发器用于支持该装置与区块链和数据库等之间的通信。可选地,该装置还可以包括存储器,该存储器可以与处理器耦合,其保存该装置必要的程序指令和数据。其中,收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。
第二十方面,本申请实施例提供一种访问行为的记录装置,该装置具有实现上述实施例中的区块链的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。
其中,该装置可以是所述区块链,或者是可用于所述区块链的部件,例如芯片或芯片系统或者电路,该装置可以包括:收发器和处理器。该处理器可被配置为支持该装置执行以上所述区块链的相应功能,该收发器用于支持该装置与数据记录网元、访问设备、数据库、授权服务器等之间的通信。可选地,该装置还可以包括存储器,该存储器可以与处理器耦合,其保存该装置必要的程序指令和数据。其中,收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。
第二十一方面,本申请实施例提供一种访问行为的记录装置,该装置具有实现上述实施例中的数据库的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。
其中,该装置可以是所述数据库,或者是可用于所述数据库的部件,例如芯片或芯片系统或者电路,该装置可以包括:收发器和处理器。该处理器可被配置为支持该装置执行以上所述数据库的相应功能,该收发器用于支持该装置与数据记录网元、访问设备、区块链、授权服务器等之间的通信。可选地,该装置还可以包括存储器,该存储器可以与处理器耦合,其保存该装置必要的程序指令和数据。其中,收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。
第二十二方面,本申请实施例提供一种访问行为的记录装置,该装置具有实现上述实施例中的访问设备的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。
其中,该装置可以是所述访问设备,或者是可用于所述访问设备的部件,例如芯片或芯片系统或者电路,该装置可以包括:收发器和处理器。该处理器可被配置为支持该装置执行以上所述访问设备的相应功能,该收发器用于支持该装置与数据记录网元、数据库、区块链、授权服务器等之间的通信。可选地,该装置还可以包括存储器,该存储器可以与处理器耦合,其保存该装置必要的程序指令和数据。其中,收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。
第二十二方面,本申请实施例提供一种访问行为的记录装置,该装置具有实现上述实施例中的授权服务器的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。
其中,该装置可以是所述授权服务器,或者是可用于所述授权服务器的部件,例如芯片或芯片系统或者电路,该装置可以包括:收发器和处理器。该处理器可被配置为支持该装置执行以上所述授权服务器的相应功能,该收发器用于支持该装置与数据记录网元、数据库、区块链、访问设备等之间的通信。可选地,该装置还可以包括存储器,该存储器可以与处理器耦合,其保存该装置必要的程序指令和数据。其中,收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。
第二十三方面,本申请实施例提供一种访问行为的记录装置,该装置具有实现上述实施例中的云平台的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。
其中,该装置可以是所述云平台,或者是可用于所述云平台的部件,例如芯片或芯片系统或者电路,该装置可以包括:收发器和处理器。该处理器可被配置为支持该装置执行以上所述云平台的相应功能,该收发器用于支持该装置与数据记录网元、区块链、访问设备等之间的通信。可选地,该装置还可以包括存储器,该存储器可以与处理器耦合,其保存该装置必要的程序指令和数据。其中,收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。
第二十四方面,本申请实施例还提供了一种数据记录网元,该数据记录网元可以用来执行上述第一方面或第十三方面的任意可能的实现方式中的操作。例如,所述数据记录网元可以包括用于执行上述第一方面或第十三方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第二十五方面,本申请实施例还提供了一种区块链,该区块链可以用来执行上述第二方面、第五方面、第八方面、第十一方面、第十四方面以及第十七方面的任意可能的实现方式中的操作。例如,所述区块链可以包括用于执行上述第二方面、第五方面、第八方面、第十一方面、第十四方面以及第十七方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第二十六方面,本申请实施例还提供了一种数据库,该数据库可以用来执行上述第三方面、第六方面以及第九方面的任意可能的实现方式中的操作。例如,所述数据库可以包括用于执行上述第三方面、第六方面以及第九方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第二十七方面,本申请实施例还提供了一种访问设备,该访问设备可以用来执行上述第四方面、第七方面、第十方面以及第十六方面的任意可能的实现方式中的操作。例如,所述访问设备可以包括用于执行上述第四方面、第七方面、第十方面以及第十六方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第二十八方面,本申请实施例还提供了一种授权服务器,该授权服务器可以用来执行上述第十二方面以及第十八方面的任意可能的实现方式中的操作。例如,所述授权服务器可以包括用于执行上述第十二方面以及第十八方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第二十九方面,本申请实施例还提供了一种云平台,该云平台可以用来执行上述第十五方面的任意可能的实现方式中的操作。例如,所述云平台可以包括用于执行上述第十五方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第三十方面,本申请实施例提供一种访问行为的记录系统,该访问行为的记录系统包括数据记录网元、区块链和数据库。其中,所述数据记录网元可以用于执行上述第一方面或第一方面中的任意一种方法;所述区块链可以用于执行上述第二方面或第二方面中的任意一种方法;所述数据库可以用于执行上述第三方面或第三方面中的任意一种方法;
本申请一种可选的方式,本申请实施例提供一种访问行为的记录系统,该访问行为的记录系统包括访问设备、区块链和数据库。其中,所述访问设备可以用于执行上述第四方面或第四方面中的任意一种方法;所述区块链可以用于执行上述第五方面或第五方面中的任意一种方法;所述数据库可以用于执行上述第六方面或第六方面中的任意一种方法;
本申请一种可选的方式,本申请实施例提供一种访问行为的记录系统,该访问行为的记录系统包括访问设备、区块链和数据库。其中,所述访问设备可以用于执行上述第七方面或第七方面中的任意一种方法;所述区块链可以用于执行上述第八方面或第八方面中的任意一种方法;所述数据库可以用于执行上述第九方面或第九方面中的任意一种方法;
本申请一种可选的方式,本申请实施例提供一种访问行为的记录系统,该访问行为的记录系统包括访问设备、区块链和授权服务器。其中,所述访问设备可以用于执行上述第十方面或第十方面中的任意一种方法;所述区块链可以用于执行上述第十一方面或第十一方面中的任意一种方法;所述授权服务器可以用于执行上述第十二方面或第十二方面中的任意一种方法;
本申请一种可选的方式,本申请实施例提供一种访问行为的记录系统,该访问行为的记录系统包括访问设备、区块链和授权服务器。其中,所述访问设备可以用于执行上述第十六方面或第十六方面中的任意一种方法;所述区块链可以用于执行上述第十七方面或第十七方面中的任意一种方法;所述授权服务器可以用于执行上述第十八方面或第十八方面中的任意一种方法;
本申请一种可选的方式,本申请实施例提供一种访问行为的记录系统,该访问行为的记录系统包括数据记录网元、区块链和云平台。其中,所述数据记录网元可以用于执行上述第十三方面或第十三方面中的任意一种方法;所述区块链可以用于执行上述第十四方面或第十四方面中的任意一种方法;所述云平台可以用于执行上述第十五方面或第十五方面中的任意一种方法。
第三十一方面,本申请提供了一种芯片系统,包括处理器。可选地,还可包括存储器,存储器用于存储计算机程序,处理器用于从存储器中调用并运行计算机程序,使得安装有芯片系统的通信装置执行上述第一方面至第十八方面中任意一面;或者执行上述第一方面至第十八方面中的任意一种方法。
第三十二方面,本申请实施例提供一种计算机存储介质,计算机存储介质中存储有指令,当其在通信装置上运行时,使得该通信装置执行上述第一方面至第十八方面中任意一面;或执行上述第一方面至第十八方面中的任意一种方法。
第三十三方面,本申请实施例提供一种包含指令的计算机程序产品,当其在通信装置上运行时,使得该通信装置执行上述第一方面至第十八方面中任意一面;或执行上述第一方面至第十八方面中的任意一种方法。
附图说明
图1为本申请提供的第一种通信系统架构图;
图2为本申请提供的一种基于数据存储记录阶段访问行为的记录的方法流程示意图;
图3为本申请提供的第二种通信系统架构图;
图4为本申请提供的第一种基于数据访问记录阶段访问行为的记录的方法流程示意图;
图5为本申请提供的第二种基于数据访问记录阶段访问行为的记录的方法流程示意图;
图6为本申请提供的第三种通信系统架构图;
图7为本申请提供的一种客户端部署的方法流程示意图;
图8为本申请提供的第四种通信系统架构图;
图9为本申请提供的一种基于数据存储记录阶段访问行为的记录的方法流程示意图;
图10为本申请提供的第五种通信系统架构图;
图11为本申请提供的第一种基于数据访问记录阶段访问行为的记录的方法流程示意图;
图12为本申请提供的第二种基于数据访问记录阶段访问行为的记录的方法流程示意图;
图13为本申请提供的第一种数据记录单元示意图;
图14为本申请提供的第二种数据记录单元示意图;
图15为本申请提供的第一种区块链示意图;
图16为本申请提供的第二种区块链示意图;
图17为本申请提供的第一种数据库示意图;
图18为本申请提供的第二种数据库示意图;
图19为本申请提供的第一种访问设备示意图;
图20为本申请提供的第二种访问设备示意图;
图21为本申请提供的第一种授权服务器示意图;
图22为本申请提供的第二种授权服务器示意图。
具体实施方式
下面将结合附图对申请实施例的具体实施过程进行详尽的描述。
目前在通信过程中,为避免用户数据的非受控扩散等各种风险,需要对访问方针对用户数据的访问行为进行记录,以便对访问记录进行追溯。为此,在进行通信访问过程中,一方面需要保证每个访问的行为均能被如实地记录下来,另一方面还需要保证追溯的访问记录是完整的,未被破坏和修改的。
与此同时,随着区块链技术的不断发展,基于区块链去中心化以及采用分布式账本技术所具有的不可篡改性等特点,使得区块链系统对于用户数据的历史访问行为具有可信记录和保存的能力。因此,在通信过程中,也逐渐致力于打造基于区块链系统进行的访问行为的追溯。
其中,一种现有基于区块链进行访问行为追溯的方法为:
将数据库、区块链系统以及查询系统等整体作为一个封闭的用于进行访问行为追溯的系统。所述访问行为追溯系统中,所述数据库中存放用户数据,且只有区块链系统才具有调用该数据库的接口。所述区块链系统负责认证访问者的身份,鉴别访问者对被访问数据的访问能力,并记录访问日志。所述查询系统作为整个访问行为追溯系统的唯一对外接口,用于将访问用户的查询请求过滤和翻译,并将请求重定向到区块链系统,从而使区块链通过智能合约审查用户的身份以及访问权限,在确定用户能够对请求数据进行访问后,从数据库系统中获取数据,并记录每一次数据的访问操作。
然而,因为这个封闭架构的管理者实际上掌握了整个系统的操控,使得这个封闭的进行访问行为追溯的系统已然不具备任何区块链的特点,因此也不具备区块链的诸多安全特性。
另一种现有基于区块链进行访问行为追溯的方法为:
将数据加密存放于公开存储平台(一般为云存储中),而密钥以区块链智能合约的形式进行保护。所述智能合约除包含对密钥的管理,还包含了数据的访问控制模型,例如哪些访问者可以访问,访问行为的记录模式等,这种记录在智能合约的信息称为元数据。当访问者申请访问某个数据时,首先向区块链网络提出请求,区块链网络调用智能合约鉴别用户的身份和访问能力,为访问者分发密钥,并通过合约账户的状态变迁记录访问者的访问行为。
然而,在集中式管理中,攻击者需要控制这个唯一的服务器才能达到攻击目的,而在去中心化模式下,攻击者只需要控制任何一个记录账本的节点即可。因此,该种方式中,若访问者只控制任意一个区块链验证节点,让其以单独离线的方式执行一遍智能合约,调出元数据完成访问数据的目的,之后回退程序抹去记录,则存在巨大安全隐患。
为解决上述问题,本申请实施例提供了至少一种访问行为的记录方法。本申请实施例的技术方案可以应用于各种通信系统,例如:长期演进(long term evolution,LTE)系统,全球互联微波接入(worldwide interoperability for microwave access,WiMAX)通信系统,未来的第五代(5th Generation,5G)系统,如新一代无线接入技术(new radioaccess technology,NR),及未来的通信系统,如6G系统等。
以5G系统(也可以称为New Radio系统)为例,具体来说,本申请实施例主要通过利用区块链管理访问能力的方法,来保证访问者只有在和区块链账本维护节点进行交互之后才具有访问数据的能力,其中,所述访问数据的能力与访问权限无关。另外,本申请实施例中所述访问行为的记录系统中任何一个装置只存有与用户数据相关的部分信息,需要结合所述系统中的所有装置才能获取用户数据,因此,有效降低了因系统中某个装置被攻击,造成用户数据泄露的,且无法追溯的风险,提供了一种安全性较高的,基于区块链网络实现访问行为的记录的方法。
以下再对本申请实施例中涉及的部分用语进行解释说明,以便于理解。
1)智能合约,本质上是一段在区块链中运行的程序,由事件驱动执行。具有确定性、实时性、自治性、可观察、可验证、去中心化方面的特点,在数字金融、大数据、物联网等方面具有广泛的研究和应用。
其中,基于区块链的智能合约包含数据的接收、处理和状态记录。当合约账户接收到某个或某几个输入信息满足状态转移的触发条件,则根据预设信息选择合约动作自动执行,并记录当前状态。因此,智能合约作为一种计算机技术,能够保证在不引入可信第三方的条件下,强制履行合约,保证合约程序的可信安全。
进一步的,本申请实施例中所述智能合约中包含有数据记录网元将用户数据存储到云平台的行为、访问设备获取用户数据申请的行为以及数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为等等。
2)区块链,是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式,它本质上是一个去中心化的数据库。其中,区块链技术不依赖额外的第三方管理机构或硬件设施,没有中心管制,除了自成一体的区块链本身,通过分布式核算和存储,各个节点实现了信息自我验证、传递和管理。其中,去中心化是区块链最突出最本质的特征。
3)共识机制,是指区块链中的节点之间怎么达成共识,去认定一个记录的有效性,这既是认定的手段,也是防止篡改的手段。所述共识机制具备“少数服从多数”以及“人人平等”的特点,其中“少数服从多数”并不完全指节点个数,也可以是计算能力、股权数或者其他的计算机可以比较的特征量。“人人平等”是当节点满足条件时,所有节点都有权优先提出共识结果、直接被其他节点认同后并最后有可能成为最终共识结果。
4)共识结果,是指所述区块链中达到阈值数量的节点执行共识机制的结果。
另外,本申请实施例中的术语“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中,A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。以下至少一项(个)下或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。
此外,本申请实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如,包括了一系列步骤或模块的过程、方法、系统、产品或设备,不限定于已列出的步骤或模块,还可以包括没有列出的步骤或模块。
下面,针对本申请实施例提供的多种访问行为的记录方法,分别举例进行介绍。
一、本申请实施例中第一种访问行为的记录方法:
其中,在该种访问行为的记录方法中,本申请实施例主要过程包括数据存储记录阶段和数据访问记录阶段两个阶段,针对不同阶段,本申请实施例结合附图分别举例进行介绍。
阶段一、数据存储记录阶段。
为便于理解本申请实施例,首先以图1中示出的访问行为的记录系统为例,详细说明本申请实施例在数据存储记录阶段适用的记录系统。如图1所示,该记录系统包括数据记录网元100、区块链101、数据库102和云平台103。
数据记录网元100,数据存储方,用于在获得用户的上下文用户数据后,将用户数据安全记录在运营商联盟共同信任的平台(例如,云平台103),以及通过区块链101对所述用户数据进行管理。
区块链101,是一种分布式账本的安全实现,以区块作为数据结构存储行为信息,每个区块包含区块体和区块头。其中,区块体存储行为内容,例如,所述区块体存储所述数据记录网元100通过所述区块链101将第一密钥存储到数据库的行为。所述行为内容根据本申请实施例一种实现方式中应用场景需要,可以为数据记录、访问记录或执行记录中的一种或多种等;区块头存储时间戳、行为的哈希汇总结果,以及使之和前序区块形成链式结构的必要信息。
数据库102,具有存储和处理功能,其中,所述数据库102用于存储所述记录系统中的相关数据信息,以及根据接收到的信息更新存储的数据信息。另外,所述数据库102还可以根据接收到的信息返回对应信息。示例性的,本申请实施例中的数据库,用于存储本申请实施例中加密用户数据的密钥,例如,第一密钥。
云平台103,具有存储和处理功能,其中,所述云平台103用于存储所述记录系统中的相关数据信息,以及根据接收到的信息更新存储的数据信息。另外,所述云平台103还可以根据接收到的信息返回对应信息。示例性的,本申请实施例中的云平台103,用于存储本申请实施例中所述数据记录网元100发送的加密后的用户数据。
其中,本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。应理解,图1仅为便于理解而示例的简化示意图,该记录系统中还可以包括其他装置或者还可以包括其他数据记录网元,图1中未予以画出。
基于上述图1所述的记录系统,如图2所示,本申请实施例提供一种基于数据存储记录阶段进行访问行为的记录方法,具体包括以下步骤:
步骤200,所述数据记录网元确定第一密钥,并根据所述第一密钥对采集到的用户数据进行加密。
示例性的,本申请实施例中假设所述数据记录网以符号M来标识采集到的所述用户数据。然后,所述数据记录网元确定第一密钥,并根据所述第一密钥加密所述M,得到所述用户数据的密文形式C。
步骤201,所述数据记录网元将所述第一密钥发送给区块链。
本申请实施例中一种可选的方式,为了更好的保障系统的安全性,所述数据记录网元可以对需要传输的第一密钥进行加密。从而,能有效防止所述记录系统明文传输所述第一密钥的过程中,其他设备获取所述第一密钥,并根据所述第一密钥获取所述用户数据的情况。
示例性的,所述数据记录网元确定一个第二密钥,并根据所述第二密钥对所述第一密钥进行加密,得到所述第一加密信息。其中,所述第一加密信息是所述第一密钥通过所述第二密钥进行加密后的结果。然后,所述数据记录网元将所述第一加密信息发送给所述区块链。
其中,本申请实施例中所述记录网元可以通过多种方式确定所述第二密钥,具体并不限于下述几种。
第二密钥确定方式1:所述数据记录网元将所述数据库预配置在所述数据记录网元上的密钥确定为所述第二密钥。
也就是说,本申请实施例中,所述数据记录网元与所述数据库事先协议了用于加密所述第一密钥的密钥,从而当所述数据记录网元需要对所述第一密钥进行加密时,直接根据所述预先协议的密钥,即第二密钥,对所述第一密钥进行加密。
第二密钥确定方式2:所述数据记录网元将接收到的所述数据库发送的密钥确定为所述第二密钥。
示例性的,所述数据记录网元需要发送所述第一加密信息之前,向所述数据库发送获取第二密钥的信息,所述数据库接收到所述数据记录网元发送的获取所述第二密钥的信息后,并本地存储的第二密钥发送给所述数据记录网元。
其中,所述数据库可以在接收到所述数据记录网元发送的获取第二密钥的信息后,生成所述第二密钥;或者所述第二密钥是所述数据库在接收到所述数据记录网元发送的获取第二密钥的信息之前,就已经存储到本地的。
步骤202,所述区块链接收来自所述数据记录网元的第一密钥,并将所述第一密钥存储到所述数据库中。
本申请一种可选的方式中,若所述区块链接收到的是所述数据记录网元发送的所述第一加密信息,则所述区块链将所述第一加密信息存储到所述数据库中。
步骤203,所述数据库接收来自所述区块链的所述第一密钥,将所述第一密钥安全存储到本地。
本申请实施例中一种可选的方式中,若所述数据库接收到的是来自所述区块链的所述第一加密信息,则所述数据库根据第二密钥对所述第一加密信息进行解密,获取所述第一密钥,然后将所述第一密钥安全存储到本地,以及将所述第一密钥的存储地址通知给所述区块链。
本申请实施例中另一种可选的方式中,若所述数据库接收到的是来自所述区块链的所述第一加密信息,则所述数据库先将所述第一加密信息存储到本地,并把所述第一加密信息的存储地址通知给所述区块链。后续过程中,若所述数据库接收到其他设备发送的获取所述第一密钥的申请,此时,所述数据库再根据所述第二密钥对所述第一加密信息进行解密,获取所述第一密钥,在将所述第一密钥发送给对应的装置。
步骤204,所述数据库将所述第一密钥的存储地址通知给所述区块链。
步骤205,所述区块链接收所述第一密钥的存储地址。
步骤206,所述区块链通过智能合约记录第一行为,并确定所述第一行为在所述区块链的地址,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为。
其中,所述第一行为中包含所述第一密钥在所述数据库中的存储地址;或者所述第一行为中包含所述第一加密信息在所述数据库中的存储地址。
进一步的,本申请实施例中所述第一行为可在未来作为判断和记录访问设备访问所述用户数据的安全脚本。
步骤207:所述区块链将所述第一行为的地址反馈给所述数据记录网元。
本申请实施例中一种可选的方式中,所述区块链可以直接将所述第一密钥的存储地址反馈给所述数据记录网元。
本申请实施例中一种可选的方式中,当所述数据库中存储的是所述第一加密信息时,所述区块链还可以直接将所述第一加密信息的存储地址反馈给所述数据记录网元。
步骤208:所述数据记录网元将所述加密后的用户数据以及所述第一行为的地址存储到云平台中。
本申请实施例中一种可选的方式中,所述数据记录网元将所述加密后的用户数据以及所述第一密钥的存储地址,存储到云平台中。
本申请实施例中一种可选的方式中,若所述数据记录网元接收到来自所述区块链的所述第一加密信息的存储地址,则所述数据记录网元将所述加密后的用户数据以及所述第一加密信息的存储地址,存储到云平台中。
阶段二、数据访问记录阶段。
为便于理解本申请实施例,首先以图3中示出的访问行为记录系统为例,详细说明本申请实施例在数据访问记录阶段适用的记录系统。如图3所示,该通信系统包括访问设备300、区块链301、数据库302和云平台303。
访问设备300,数据访问方,用于获取用户数据。其中,本申请实施例中所述访问设备可以为核心网中的网元,也可以是独立于电信网络以外的第三方,所述访问设备对用户数据的访问目的可以包括法规监控,或提供定制化用户服务,在此,本申请实施例并不进行限定。
区块链301,是一种分布式账本的安全实现,以区块作为数据结构存储行为信息,每个区块包含区块体和区块头。其中,区块体存储行为内容。所述行为内容根据本申请实施例一种实现方式中应用场景需要,可以为数据记录、访问记录、或执行记录中的一种或多种等;区块头存储时间戳、行为的哈希汇总结果,以及使之和前序区块形成链式结构的必要信息。
数据库302,具有存储和处理功能,其中,所述数据库302用于存储所述记录系统中的相关数据信息,以及根据接收到的信息更新存储的数据信息。另外,所述数据库302还可以根据接收到的信息返回对应信息。示例性的,本申请实施例中的数据库,用于存储本申请实施例中加密用户数据的密钥,例如,第一密钥。
云平台303,具有存储和处理功能,其中,所述云平台303用于存储所述记录系统中的相关数据信息,以及根据接收到的信息更新存储的数据信息。另外,所述云平台303还可以根据接收到的信息返回对应信息。
其中,本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。应理解,图3仅为便于理解而示例的简化示意图,该记录系统中还可以包括其他装置或者还可以包括其他访问设备,图3中未予以画出。
基于上述图3所述的记录系统,如图4所示,本申请实施例提供一种基于数据访问记录阶段进行访问行为的记录方法,具体包括以下步骤:
步骤400,访问设备从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址。
其中,所述智能合约用于记录所述区块链的被访问行为;所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为。
本申请实施例中一种可选的方式,所述访问设备从云平台中获取加密后的用户数据以及所述第一密钥在所述数据库中的存储地址。
步骤401,所述访问设备向所述区块链进行获取用户数据申请,所述获取用户数据申请中携带所述智能合约第一行为的地址。其中,所述401中所述访问设备主要通过所述区块链寻求本次访问行为的仲裁和记录,即所述智能合约中所述第一行为。
可选的,所述获取用户数据申请中携带所述第一密钥在所述数据库中的存储地址。
步骤402,所述区块链接收所述访问设备发送的所述获取用户数据申请,根据所述获取用户申请中携带的所述第一行为的地址确定所述第一行为。
需要说明的是,当所述获取用户数据申请中携带所述第一密钥在所述数据库中的存储地址时,所述步骤402可以省略。
步骤403,所述区块链对所述访问设备进行验证,并在确定所述访问设备验证成功后,向所述数据库发送验证成功的结果以及所述第一行为。
其中,本申请实施例一种可选的方式,所述区块链在确定所述区块链中不小于阈值数量的节点成功验证所述访问设备后,则确定所述访问设备验证成功。也就是说,为了防止对单一节点的篡改,使所述用户数据信息泄露以及无法追溯,则本申请实施例可以采用共识机制,在确定共识结果为成功验证访问设备后,才确定所述访问设备验证成功。
本申请实施例中一种可选的方式,所述区块链可以基于设定的访问策略确定所述访问设备是否验证成功。
示例性的,符合所述访问策略的访问设备都是经过授权的访问设备,所述授权的形式可以为终端设备直接授权和/或核心网授权等。比如,权限赋予者可以通过对所述访问设备息进行签名的方式进行授权,从而使所述区块链节点通过判断所述签名的有效性即可以判断所述访问设备是否验证通过。
可选的,若所述区块链接收到来自所述访问设备发送的所述第一密钥的存储地址,则所述区块链对所述访问设备进行验证,并在确定所述访问设备验证成功后,向所述数据库发送验证成功的结果以及所述第一密钥的存储地址。
进一步的,若所述区块链确定所述访问设备验证失败,则终止后续操作。
步骤404,所述数据库根据所述第一行为确定所述第一密钥,并将所述第一密钥发送给所述区块链。
其中,本申请实施例中所述数据库根据所述第一行为中的所述第一密钥在所述数据库中的存储地址,确定所述第一密钥;或者,若所述数据库接收到的是来自所述区块链发送的所述第一密钥的存储地址,则所述数据库直接根据所述第一密钥的存储地址,确定所述第一密钥。
本申请实施例中一种可选的方式中,为了更好的提升信息传递的安全性,所述获取用户数据申请中还携带所述第三密钥,从而所述数据库在确定所述第一密钥后,可以根据所述第三密钥对所述第一密钥进行加密,得到所述第二加密信息,并将所述第二加密信息发送给所述区块链。
本申请实施例中一种可选的方式,所述数据库在执行所述步骤404之前,所述数据库确定所述验证成功的结果有效。示例性的,所述数据库在接收到所述区块链发送的所述验证成功的结果后,可以查询若干个区块链背书节点,若存在大于或等于一定比例的(如符合比例为一个阈值到100%则说明有效)背书节点上已经记录了所述验证成功的内容,则所述数据库确定所述验证成功的结果有效;或者,所述数据库在接收到所述区块链发送的所述验证成功的结果后,可以抽查自己信任的背书节点,若自己信任的背书节点已经记录了所述验证成功的内容,则所述数据库确定所述验证成功的结果有效。
步骤405,所述区块链接收来自所述数据库的所述第一密钥。
本申请实施例中一种可选的方式中,所述区块链接收来自所述数据库的所述第一加密信息。
步骤406,所述区块链将所述第一密钥发送给所述访问设备。
本申请实施例中一种可选的方式中,若所述区块链接收到的是来自所述数据库的所述第二加密信息,则所述区块链将所述第二加密信息发送给所述访问设备。
另外,本申请实施例中为了有效的进行后期的追溯,所述区块链将所述第一密钥发送给所述访问设备之前,所述区块链将第二行为记录到所述智能合约中;或者,所述区块链将所述第一密钥发送给所述访问设备后,将所述第二行为记录到所述智能合约中。
其中,所述第二行为用于记录所述访问设备向所述区块链获取用户数据申请的行为;所述第二行为中包括所述区块链对所述访问设备进行验证的结果。
步骤407,所述访问设备接收来自所述区块链的所述第一密钥。
本申请实施例中,若所述访问设备接收到的是来自所述区块链的所述第二加密信息,则所述访问设备根据所述第三密钥对所述第二加密信息进行解密,得到所述第一密钥。
步骤408,所述访问设备根据所述第一密钥对所述加密后的用户数据进行解密,从而获取所述用户数据。
另外,基于上述图3所述的记录系统,如图5所示,本申请实施例还提供了另一种基于数据访问记录阶段进行访问行为的记录方法,具体包括以下步骤:
步骤500,访问设备从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址。
其中,所述智能合约用于记录所述区块链的被访问行为;所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为。
本申请实施例中一种可选的方式,所述访问设备从云平台中获取加密后的用户数据以及所述第一密钥在所述数据库中的存储地址。
步骤501,所述访问设备向所述区块链进行获取用户数据申请,所述获取用户数据申请中携带所述智能合约第一行为的地址以及加密后的用户数据块。
其中,所述用户数据块是所述用户数据的部分或全部,所述步骤501中所述访问设备主要通过所述区块链寻求本次访问行为的仲裁和记录,即所述智能合约中所述第一行为。
本申请实施例中一种可选的方式,所述获取用户申请中携带所述第一密钥在所述数据库中的存储地址以及加密后的用户数据块。
步骤502,所述区块链接收所述访问设备发送的所述获取用户数据申请。
步骤503,所述区块链根据所述获取用户申请中携带的所述第一行为的地址确定所述第一行为。
其中,需要说明的是,当所述获取用户数据申请中携带的是所述第一密钥在所述数据库中的存储地址时,所述步骤503可以省略。
步骤504,所述区块链对所述访问设备进行验证,并在确定所述访问设备验证成功后,向所述数据库发送验证成功的结果、所述第一行为以及所述加密后的用户数据块。
本申请实施例中一种可选的方式,所述区块链对所述访问设备进行验证,并在确定所述访问设备验证成功后,向所述数据库发送验证成功的结果、所述第一密钥在所述数据库中的存储地址以及所述加密后的用户数据块。
进一步的,所述区块链在确定所述区块链中不小于阈值数量的节点成功验证所述访问设备后,则确定所述访问设备验证成功。也就是说,为了防止对单一节点的篡改,使所述用户数据信息泄露以及无法追溯,则本申请实施例可以采用共识机制,在确定共识结果为成功验证访问设备后,才确定所述访问设备验证成功。
其中,所述区块链确定所述访问设备是否验证成功的方式参见上述步骤403,为简洁描述,在此不进行赘述。
需要说明的是,若后续所述数据库不需要验证所述区块链对所述访问设备验证结果的有效性,则所述区块链向所述数据库发送的信息中可以不包含所述验证成功的结果。
步骤505,所述数据库根据所述第一行为确定所述第一密钥,并根据所述第一密钥解密所述加密后的用户数据块,得到所述用户数据块。
其中,本申请实施例中所述数据库根据所述第一行为中的所述第一密钥在所述数据库中的存储地址,确定所述第一密钥。
本申请实施例中一种可选的方式中,若所述数据库接收到的是来自所述区块链发送的所述验证成功的结果、所述第一密钥在所述数据库中的存储地址以及所述加密后的用户数据块,则所述数据库直接根据所述第一密钥在所述数据库中的存储地址,确定所述第一密钥。
进一步的,本申请实施例中,为更好的保障安全性,所述数据库在执行所述步骤504之前,确定接收到的来自所述区块链发送的所述验证成功的结果的有效。相反,当所述数据库在确定接收到的来自所述区块链发送的所述验证成功的结果无效时,则终止后续操作,或者通过所述区块链向所述访问设备发送拒绝获取用户数据的信息。
示例性的,所述数据库在接收到所述区块链发送的所述验证成功的结果后,可以查询若干个区块链背书节点,若存在大于或等于一定比例的(如符合比例为一个阈值到100%则说明有效)背书节点上已经记录了所述验证成功的内容,则所述数据库确定所述验证成功的结果有效;或者,所述数据库在接收到所述区块链发送的所述验证成功的结果后,可以抽查自己信任的背书节点,若自己信任的背书节点已经记录了所述验证成功的内容,则所述数据库确定所述验证成功的结果有效。
步骤506,所述数据库对所述用户数据块添加水印标记,并将添加水印标记的所述用户数据块发送给所述区块链。
本申请实施例中一种可选的方式中,为了更好的提升信息传递的安全性,所述获取用户数据申请中还携带所述第四密钥,从而所述数据库可以根据所述第四密钥对所述用户数据块进行加密,得到所述第三加密信息,并将所述第三加密信息发送给所述区块链;或者,
所述数据库可以根据所述第四密钥对添加水印标记的所述用户数据块进行加密,得到所述第三加密信息,并将所述第三加密信息发送给所述区块链。
步骤507,所述区块链接收来自所述数据库的添加水印标记的所述用户数据块。
本申请实施例中一种可选的方式,所述区块链接收来自所述数据库的第三加密信息,其中,所述第三加密信息是所述数据库根据所述第四密钥对所述用户数据块进行加密后得到的;或者所述第三加密信息是所述数据库根据所述第四密钥对添加水印标记的所述用户数据块进行加密后得到的。
步骤508,所述区块链将所述添加水印标记的所述用户数据块发送给所述访问设备。
本申请实施例中一种可选的方式中,若所述区块链接收到的是来自所述数据库的所述第三加密信息,则所述区块链将所述第三加密信息发送给所述访问设备。
另外,本申请实施例中为了有效的进行后期的追溯,所述区块链将添加水印标记的所述用户数据块或者所述第三加密信息发送给所述访问设备之前,所述区块链将第二行为记录到所述智能合约中;或者,所述区块链将所述第一密钥发送给所述访问设备后,将所述第二行为记录到所述智能合约中。
其中,所述第二行为用于记录所述访问设备向所述区块链获取用户数据申请的行为;所述第二行为中包括所述区块链对所述访问设备进行验证的结果。
步骤509,所述访问设备接收来自所述区块链的添加水印标记的所述用户数据块。
本申请实施例中,若所述访问设备接收到的是来自所述区块链的所述第三加密信息,则所述访问设备根据所述第四密钥对所述第三加密信息进行解密,得到所述用户数据块,或者,得到添加水印标记的所述用户数据块。
二、本申请实施例中第二种访问行为的记录方法:
其中,在该种访问行为的记录方法中,本申请实施例主要过程包括客户端部署阶段、数据存储记录阶段和数据访问记录阶段三个阶段,针对不同阶段,本申请实施例结合附图分别举例进行介绍。
阶段一、客户端部署阶段。
为便于理解本申请实施例,首先以图6中示出的访问行为记录系统为例详细说明本申请实施例在客户端部署阶段适用的记录系统。如图6所示,该通信系统包括访问设备600、客户端601、区块链602和授权服务器603。
访问设备600,数据访问方,用于获取用户数据。其中,本申请实施例中所述访问设备可以为核心网中的网元,也可以是独立于电信网络以外的第三方,所述访问设备对用户数据的访问目的可以包括法规监控,或提供定制化用户服务,在此,本申请实施例并不进行限定。
客户端601,用于辅助所述访问设备600阅读用户数据,其中,所述客户端需要在具有权限的情况下才能够阅读访问所述访问设备提供的所述用户数据。本申请实施例中,所述客户端可以在所述访问设备上,也可以与所述访问设备相连,所述客户端不局限是纯粹用软件实现,还可以是基于安全硬件平台的系统,在此,本申请实施例并不进行限制。
区块链602,是一种分布式账本的安全实现,以区块作为数据结构存储行为信息,每个区块包含区块体和区块头。其中,区块体存储行为内容。所述行为内容根据本申请实施例一种实现方式中应用场景需要,可以为数据记录、访问记录、或执行记录中的一种或多种等;区块头存储时间戳、行为的哈希汇总结果,以及使之和前序区块形成链式结构的必要信息。
授权服务器603,具有管理以及生成序列号等功能,本申请实施例中所述授权服务器主要用于部署客户端阅读用户数据的权限,以及生成序列号,并将所述序列号通知给所述客户端,从而使所述客户端根据所述序列号确定是否有权限阅读所述用户数据。所述授权服务器和每一个客户端实现时间上的宽同步。
其中,本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。应理解,图6仅为便于理解而示例的简化示意图,该记录系统中还可以包括其他装置或者还可以包括其他访问设备,图6中未予以画出。
基于上述图6所述的记录系统,如图7所示,本申请实施例提供一种基于客户端部署阶段进行访问行为的记录方法,具体包括以下步骤:
步骤700,所述访问设备安装客户端。
步骤701,所述访问设备向区块链发送第一申请,所述第一申请用于授予所述客户端打开所述访问设备获取到的所述用户数据的权限。
其中,所述第一申请包括所述客户端的标识ID。
步骤702,所述区块链接收访问设备发送的第一申请。
步骤703,所述区块链将第三行为记录到所述智能合约中,其中,所述第三行为用于记录所述访问设备向所述数据库发送所述第一申请。
步骤704,所述区块链将所述第一申请发送给授权服务器。
步骤705,所述授权服务器接收所述第一申请,并生成所述第一随机数。
步骤706,所述授权服务器将所述第一随机数与所述第一申请中的客户端标识ID进行关联。
其中,所述第一随机数与所述客户端的标识ID一一对应,从而使所述授权服务器在数据访问阶段,根据接收到的客户端的标识ID确定对应的第一随机数。
步骤707,所述授权服务器将所述第一随机数发送给所述区块链。
本申请实施例中一种可选的方式,为有效保障所述第一随机数的安全性,避免所述第一随机数被其他设备获取,所述第一申请中还可以包含第五密钥,所述授权服务器根据所述第五密钥对所述第一随机数进行加密,得到第四加密信息,从而所述授权服务器将所述第四加密信息发送给所述区块链。
步骤708,所述区块链接收来自所述授权服务器的所述第一随机数。
本申请实施例中一种可选的方式,所述区块链接收来自所述授权服务器的所述第四加密信息。
步骤709:所述区块链将所述第一随机数反馈给所述访问设备。
本申请实施例中一种可选的方式中,若所述区块链接收到的是来自所述授权服务器的所述第四加密信息,则所述区块链将所述第四加密信息反馈给所述访问设备。
步骤710:所述访问设备接收来自所述区块链的所述第一随机数。
本申请实施例中一种可选的方式中,若所述访问设备接收到的是来自所述区块链的所述第四加密信息,则所述访问设备根据所述第五密钥对所述第四加密信息进行解密,获取所述第一随机数。
阶段二、数据存储记录阶段。
为便于理解本申请实施例,首先以图8中示出的访问行为记录系统为例详细说明本申请实施例在数据记录阶段适用的记录系统。如图8所示,该通信系统包括数据记录网元800、区块链801和云平台802。
数据记录网元800,数据存储方,用于在获得用户的上下文用户数据后,将用户数据安全记录在运营商联盟共同信任的平台,例如,云平台103,并通过区块链101进行管理。
区块链801,是一种分布式账本的安全实现,以区块作为数据结构存储行为信息,每个区块包含区块体和区块头。其中,区块体存储行为内容。所述行为内容根据本申请实施例一种实现方式中应用场景需要,可以为数据记录、访问记录、或执行记录中的一种或多种等;区块头存储时间戳、行为的哈希汇总结果,以及使之和前序区块形成链式结构的必要信息。
云平台802,具有存储和处理功能,在所述记录系统中用于存储相关数据信息,根据接收到的信息更新存储的数据信息,或者根据接收到的信息返回对应信息。其中,本申请实施例中的云平台,用于存储本申请实施例中所述数据记录网元800发送的加密后的用户数据。
其中,本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。应理解,图8仅为便于理解而示例的简化示意图,该记录系统中还可以包括其他装置或者还可以包括其他数据记录网元,图8中未予以画出。
基于上述图8所述的记录系统,如图9所示,本申请实施例提供一种基于数据存储记录阶段进行访问行为的记录方法,具体包括以下步骤:
步骤900,所述数据记录网元将用户数据存储到云平台。
步骤901,云平台接收来自数据记录网元的用户数据,并在将所述用户数据成功存储到本地后通知所述数据记录网元;
步骤902,所述数据记录网元确定所述用户数据成功存储到所述云平台后,向区块链发送所述用户数据的存储状态。
步骤903,区块链接收数据记录网元发送的用户数据的存储状态,所述存储状态用于指示所述数据记录网元将所述用户数据存储到云平台;
步骤904,所述区块链在确定所述云平台中成功存储所述用户数据后,为所述用户数据分配用户数据ID。
步骤905,所述区块链将所述用户数据ID发送给所述云平台。
步骤906,所述云平台接收区块链为所述用户数据分配的用户数据ID,并将所述用户数据与所述用户数据ID关联。
进一步的,本申请实施例中为了更好的保障系统传输过程中所述用户数据的安全性,可对所述用户数据进行加密传输,具体可以结合上述图2所述的内容,在此不进行赘述。
阶段三、数据访问记录阶段。
为便于理解本申请实施例,首先以图10中示出的访问行为记录系统为例详细说明本申请实施例在数据记录阶段适用的记录系统。如图10所示,该通信系统包括访问设备1000、客户端1001、区块链1002、授权服务器1003和云平台1004。
访问设备1000,数据访问方,用于获取用户数据。其中,本申请实施例中所述访问设备可以为核心网中的网元,也可以是独立于电信网络以外的第三方,所述访问设备对用户数据的访问目的可以包括法规监控,或提供定制化用户服务,在此,本申请实施例并不进行限定。
客户端1001,用于辅助所述访问设备1000阅读用户数据,其中,所述客户端需要在具有授权服务器授权的情况下才能够阅读访问所述访问设备提供的所述用户数据。本申请实施例中,所述客户端可以在所述访问设备上,也可以与所述访问设备相连,所述客户端不局限是纯粹用软件实现,还可以是基于安全硬件平台的系统,在此,本申请实施例并不进行限制。
区块链1002,是一种分布式账本的安全实现,以区块作为数据结构存储行为信息,每个区块包含区块体和区块头。其中,区块体存储行为内容。所述行为内容根据本申请实施例一种实现方式中应用场景需要,可以为数据记录、访问记录、或执行记录中的一种或多种等;区块头存储时间戳、行为的哈希汇总结果,以及使之和前序区块形成链式结构的必要信息。
授权服务器1003,具有管理以及生成序列号等功能,本申请实施例中所述授权服务器主要用于部署客户端阅读用户数据的权限,以及生成序列号,并将所述序列号通知给所述客户端,从而使所述客户端根据所述序列号确定是否有权限阅读所述用户数据。所述授权服务器和每一个客户端实现时间上的宽同步。
云平台1004,具有存储和处理功能,在所述记录系统中用于存储相关数据信息,根据接收到的信息更新存储的数据信息,或者根据接收到的信息返回对应信息。其中,本申请实施例中的云平台,用于存储本申请实施例中所述数据记录网元发送的加密后的用户数据。
其中,本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。应理解,图10仅为便于理解而示例的简化示意图,该记录系统中还可以包括其他装置或者还可以包括其他访问设备,图10中未予以画出。
基于上述图10所述的记录系统,如图11所示,本申请实施例提供一种基于数据访问记录阶段进行访问行为的记录方法,具体包括以下步骤:
步骤1100,访问设备从云平台中获取用户数据以及用户数据ID。
步骤1101,所述访问设备向区块链发送第二申请,所述第二申请用于请求通过客户端阅读所述用户数据。
所述第二申请包括所述客户端的标识ID以及所述用户数据ID,所述客户端的标识ID以及所述用户数据ID用于验证所述客户端具有打开所述用户数据的权限,所述用户数据ID还用于验证所述用户数据的真实性。
步骤1102,区块链接收访问设备发送的第二申请。
步骤1103,所述区块链确定所述客户端的标识ID有效;和/或确定所述用户数据ID有效。
示例性的,所述区块链根据接收到的所述客户端的标识ID,确定所述智能合约中是否存在所述第三行为,即所述访问设备是否向所述数据库发送过所述第一申请。若根据所述客户端标识查询到所述第三行为,则所述客户端的标识ID为有效,反之无效。
因为,只有当所述访问设备发送过所述第一申请,则所述访问设备有可能具有授权服务器给予的阅读所述用户数据的权限。
反之,若所述访问设备都没有发送过所述第一申请,则可以确定所述访问设备是没有被所述授权服务器授权阅读用户数据的。因此,所述区块链在确定所述客户点标识ID无效后,则可以直接终止此次的访问行为,有效减少了后续信令的开销以及系统的功耗。
示例性的,所述区块链根据接收到的所述用户数据ID,确定所述云平台中是否存在与所述用户数据ID对应的用户数据。若存在对应的用户数据,则所述用户数据ID为有效,反之无效。
因为,只有当所述云平台中记录需要访问的用户数据ID对应的用户数据后,才能在确定有权限阅读所述用户数据时,阅读所述用户数据。反之,若所述云平台中并没有记录需要访问的用户数据ID对应的用户数据,则即使获得阅读权限,也无法成功获取所述用户数据,因此,所述区块链在确定所述客户点标识ID无效后,则可以直接终止此次的访问行为,有效减少了后续信令的开销以及系统的功耗。
进一步的,本申请实施例中还可应用共识机制,即所述区块链中不小于阈值数量的节点确定所述客户端的标识ID有效;和/或所述区块链中不小于阈值数量的节点确定所述用户数据ID有效。
步骤1104,所述区块链将所述第二申请发送给所述授权服务器。
步骤1105,授权服务器通过区块链接收来自访问设备的第二申请。
步骤1106,所述授权服务器根据所述第二申请,生成第一序列号。
具体的,所述授权服务器根据所述第二申请中的所述客户端的标识ID确定所述客户端标识ID对应的第一随机数,然后,根据所述第一随机数生成第一随机数生成器,然后将所述第二申请的申请时间和/或所述用户数据ID作为所述第一随机数生成器的输入参数,生成所述第一序列号。
其中,所述第一随机数生成器可以是所述授权服务器事先根据所述第一随机数生成的,则所述授权服务器根据所述第二申请中的所述客户端的标识ID直接确定所述第一随机数生成器。
步骤1107,所述授权服务器将所述第一序列号发送给所述区块链。
步骤1108,所述区块链接收所述授权服务器发送的第一序列号,并将所述第一序列号发送给所述访问设备。
另外,本申请实施例中为了有效的进行后期的追溯,所述区块链将所述第一序列号发送给所述访问设备之前,所述区块链将第四行为记录到所述智能合约中;或者,所述区块链将所述第一序列号发送给所述访问设备后,所述区块链将第四行为记录到所述智能合约中。
其中,所述第四行为用于记录所述访问设备向所述授权服务器发送所述第二申请。
步骤1109,所述访问设备接收来自所述区块链的所述第一序列号,并将所述第一序列号输入所述客户端。
步骤1110,所述访问设备在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
具体的,所述客户端生成第二序号,并在确定生成的第二序列号与所述第一序号相同后,打开的所述用户数据,所述访问设备阅读所述客户端打开的所述用户数据。
其中,所述客户端根据部署阶段接收到的所述第一随机数生成第一随机数生成器,然后将所述第二申请的申请时间和/或所述用户数据ID作为所述第一随机数生成器的输入参数,生成所述第二序列号,从而比较所述第一序列号与第二序列号是否相同。
进一步的,本申请实施例中为了更好的保障系统传输过程中所述第一随机数和/或所述第一序列号的安全性,可对所述第一随机数和/或所述第一序列号进行加密传输,具体可以结合上述图2所述的内容,在此不进行赘述。
另外,基于上述图10所述的记录系统,如图12所示,本申请实施例还提供了另一种基于数据访问记录阶段进行访问行为的记录方法,具体包括以下步骤:
步骤1200,访问设备从云平台中获取用户数据以及用户数据ID。
步骤1201,所述访问设备向区块链发送第二申请,所述第二申请用于请求通过客户端阅读所述用户数据。
所述第二申请包括所述客户端的标识ID以及所述用户数据ID,所述客户端的标识ID以及所述用户数据ID用于验证所述客户端具有打开所述用户数据的权限,所述用户数据ID还用于验证所述用户数据的真实性。
步骤1202,区块链接收访问设备发送的第二申请。
步骤1203,所述区块链确定所述客户端的标识ID有效;和/或确定所述用户数据ID有效。
具体内容详见上述步骤1103,在此不进行赘述。
步骤1204,所述区块链将所述第二申请发送给所述授权服务器。
步骤1205,授权服务器通过区块链接收来自访问设备的第二申请。
步骤1206,所述授权服务器生成第二随机数,以及所述授权服务器根据所述第二申请,生成第一序列号。
具体的,所述授权服务器根据所述第二申请中的所述客户端的标识ID确定所述客户端标识ID对应的第一随机数,然后,根据所述第一随机数以及所述第二随机数生成第一随机数生成器,然后将所述第二申请的申请时间和/或所述用户数据ID作为所述第一随机数生成器的输入参数,生成所述第一序列号。
步骤1207,所述授权服务器将所述第一序列号以及所述第二随机数发送给所述区块链。
步骤1208,所述区块链接收所述授权服务器发送的第一序列号以及所述第二随机数,并将所述第一序列号以及所述第二随机数发送给所述访问设备。
具体内容详见上述步骤1108,在此不进行赘述。
步骤1209,所述访问设备接收来自所述区块链的所述第一序列号以及所述第二随机数,并将所述第一序列号以及所述第二随机数输入所述客户端。
步骤1210,所述访问设备在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
具体的,所述客户端将所述第二申请的申请时间和/或所述用户数据ID作为所述第一随机数生成器的输入参数,生成所述第二序列号。所述客户端在确定生成的第二序列号与所述第一序号相同后,打开的所述用户数据。所述访问设备阅读所述客户端打开的所述用户数据。
进一步的,本申请实施例中为了更好的保障系统传输过程中所述第二随机数和/或所述第一序列号的安全性,可对所述第一随机数和/或所述第一序列号进行加密传输,具体可以结合上述图2所述的内容,在此不进行赘述。
通过上述对本申请方案的介绍,可以理解的是,上述实现各设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
基于以上实施例,如图13所示,本申请一种数据记录网元,该数据记录网元包括处理器1300、存储器1301和通信接口1302。
处理器1300负责管理总线架构和通常的处理,存储器1301可以存储处理器1300在执行操作时所使用的数据。收发机通信接口1302用于在处理器1300的控制下接收和发送数据与存储器1301进行数据通信。
所述处理器1300可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。所述处理器1300还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。存储器1301可以包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
所述处理器1300、所述存储器1301以及所述通信接口1302之间相互连接。可选的,所述处理器1300、所述存储器1301以及所述通信接口1302可以通过总线1303相互连接;所述总线1303可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体地,所述处理器1300,用于读取存储器1301中的程序并执行如图2所示的S200-S207中所述数据记录网元执行的方法流程;或执行如图9所示的S900-S906中所述数据记录网元执行的方法流程。
如图14所示,本发明提供一种数据记录网元,该数据记录网元包括:处理单元1400和通信单元1401;
本申请实施例中一种可选的方式中,所述处理单元1400和所述通信单元1401用于执行下述内容:
所述处理单元1400,用于使用第一密钥对用户数据进行加密;通过区块链将所述第一密钥存储到数据库中;
所述通信单元1401,用于接收所述区块链反馈的智能合约中第一行为的地址,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为;
所述处理单元1400,用于将所述加密后的用户数据以及所述第一行为的地址存储到云平台中。
本申请实施例中一种可选的方式中,所述处理单元1400和所述通信单元1401用于执行下述内容:
所述处理单元1400,用于将用户数据存储到云平台;
所述通信单元1401,用于确定所述用户数据成功存储到所述云平台后,向区块链发送所述用户数据的存储状态。
基于以上实施例,如图15所示,本申请一种区块链,该区块链包括处理器1500、存储器1501和通信接口5302。
处理器1500负责管理总线架构和通常的处理,存储器1501可以存储处理器1500在执行操作时所使用的数据。收发机通信接口1502用于在处理器1500的控制下接收和发送数据与存储器1501进行数据通信。
所述处理器1500可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。所述处理器1300还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。存储器1501可以包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
所述处理器1500、所述存储器1501以及所述通信接口1502之间相互连接。可选的,所述处理器1500、所述存储器1501以及所述通信接口1502可以通过总线1503相互连接;所述总线1503可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体地,所述处理器1500,用于读取存储器1501中的程序并执行如图2所示的S200-S207中所述区块链执行的方法流程;或执行如图4所示的S400-S408中所述区块链执行的方法流程;或执行如图5所示的S500-S508中所述区块链执行的方法流程;或执行如图7所示的S700-S710中所述区块链执行的方法流程;或执行如图9所示的S900-S906中所述区块链执行的方法流程;或执行如图11所示的S1100-S1111中所述区块链执行的方法流程;或执行如图12所示的S1200-S1212中所述区块链执行的方法流程。
如图16所示,本发明提供一种区块链,该区块链包括:处理单元1600和通信单元1601;
本申请实施例中一种可选的方式中,所述处理单元1600和所述通信单元1601用于执行下述内容:
所述通信单元,用于接收来自数据记录网元的第一密钥,并将所述第一密钥存储到数据库中;
所述处理单元1600,用于通过智能合约记录第一行为以及所述第一行为的地址,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为;
所述通信单元1601,用于将所述第一行为的地址反馈给所述数据记录网元。
本申请实施例中一种可选的方式中,所述处理单元1600和所述通信单元1601用于执行下述内容:
所述通信单元1601,用于接收来自访问设备的获取用户数据申请;所述获取用户数据申请中携带的智能合约中第一行为的地址;所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述处理单元1600,用于确定所述访问设备验证成功后,根据所述第一行为从所述数据库中获取所述第一密钥;
所述通信单元1601,用于将所述第一密钥发送给所述访问设备。
本申请实施例中一种可选的方式中,所述处理单元1600和所述通信单元1601用于执行下述内容:
所述通信单元1601,用于接收来自访问设备的获取用户数据申请,所述获取用户数据申请中携带智能合约中第一行为的地址和加密后的用户数据块;所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述用户数据块是所述用户数据的全部或部分;
所述处理单元1600,用于根据所述第一行为的地址,确定所述第一行为;
所述通信单元1601,用于确定所述访问设备验证成功后,将所述第一行为和所述加密后的用户数据块发送给所述数据库;接收来自所述数据库的所述用户数据块,并将所述用户数据块发送给所述访问设备。
本申请实施例中一种可选的方式中,所述处理单元1600和所述通信单元1601用于执行下述内容:
所述通信单元1601,用于接收访问设备发送的第一申请,所述第一申请用于授予所述访问设备通过安装的客户端打开所述访问设备获取到的用户数据的权限;
所述处理单元1600,用于确定所述访问设备通过验证;
所述通信单元1601,用于将所述第一申请发送授权服务器;接收来自所述授权服务器的第一随机数,并将所述第一随机数发送给所述访问设备,其中,所述第一随机数用于生成第二序列号,所述第二序列号用于验证所述客户端是否有权打开所述用户数据。
本申请实施例中一种可选的方式中,所述处理单元1600和所述通信单元1601用于执行下述内容:
所述通信单元1601,用于接收数据记录网元发送的用户数据的存储状态,所述存储状态用于指示所述数据记录网元将所述用户数据存储到云平台;
所述处理单元1600,用于在确定所述云平台中成功存储所述用户数据后,为所述用户数据分配用户数据ID;
所述通信单元1601,用于将所述用户数据ID发送给所述云平台。
本申请实施例中一种可选的方式中,所述处理单元1600和所述通信单元1601用于执行下述内容:
所述通信单元1601,用于接收访问设备发送的第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;
所述处理单元1600,用于确定所述访问设备通过验证;
所述通信单元1601,用于将所述第二申请发送给授权服务器;接收所述授权服务器发送的第一序列号,并将所述第一序列号发送给所述访问设备。
基于以上实施例,如图17所示,本申请一种数据库,该数据库包括处理器1700、存储器1701和通信接口1702。
处理器1700负责管理总线架构和通常的处理,存储器1701可以存储处理器1700在执行操作时所使用的数据。收发机通信接口1702用于在处理器1700的控制下接收和发送数据与存储器1701进行数据通信。
所述处理器1700可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。所述处理器1700还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。存储器1701可以包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
所述处理器1700、所述存储器1701以及所述通信接口1702之间相互连接。可选的,所述处理器1700、所述存储器1701以及所述通信接口1702可以通过总线1703相互连接;所述总线1703可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图17中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体地,所述处理器1700,用于读取存储器1701中的程序并执行如图2所示的S200-S207中所述数据库执行的方法流程;或执行如图4所示的S400-S408中所述数据库执行的方法流程;或执行如图5所示的S500-S508中所述数据库执行的方法流程。
如图18所示,本发明提供一种数据库,该数据库包括:处理单元1800和通信单元1801;
本申请实施例中一种可选的方式中,所述处理单元1800和所述通信单元1801用于执行下述内容:
所述通信单元1801,用于通过区块链接收来自数据记录网元的第一密钥;
所述处理单元1800,用于存储所述第一密钥,并记录所述存储地址;
所述通信单元1801,用于将所述存储地址发送给所述区块链,以使所述区块链根据所述存储地址记录第一行为;
其中,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为。
本申请实施例中一种可选的方式中,所述处理单元1800和所述通信单元1801用于执行下述内容:
所述通信单元1801,用于接收区块链在确定访问设备验证成功后发送的验证成功的结果以及智能合约中的第一行为;所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述处理单元1800,用于在确定所述验证成功的结果有效后,根据所述第一行为确定第一密钥;
所述通信单元1801,用于将所述第一密钥通过区块链发送给所述访问设备;
所述第一密钥用于解密访问设备从云平台获取的加密后的用户数据。
本申请实施例中一种可选的方式中,所述处理单元1800和所述通信单元1801用于执行下述内容:
所述通信单元1801,用于接收区块链在确定访问设备验证成功后发送的验证成功的结果、智能合约中的第一行为以及加密后的用户数据块;其中,所述第一行为和所述加密后的用户数据块是所述区块链从接收到的访问设备发送的获取用户数据申请中得到的,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;所述用户数据块是所述用户数据的全部或部分;
所述处理单元1800,用于确定所述验证成功的结果有效后,根据所述第一行为确定所述用户数据块;
所述通信单元1801,用于将所述用户数据块通过所述区块链发送给所述访问设备。
基于以上实施例,如图19所示,本申请一种访问设备,该访问设备包括处理器1900、存储器1901和通信接口1902。
处理器1900负责管理总线架构和通常的处理,存储器1901可以存储处理器1900在执行操作时所使用的数据。收发机通信接口1902用于在处理器1900的控制下接收和发送数据与存储器1901进行数据通信。
所述处理器1900可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。所述处理器1900还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。存储器1901可以包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
所述处理器1900、所述存储器1901以及所述通信接口1902之间相互连接。可选的,所述处理器1900、所述存储器1901以及所述通信接口1902可以通过总线1903相互连接;所述总线1903可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图19中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体地,所述处理器1900,用于读取存储器1901中的程序并执行如图4所示的S400-S408中所述访问设备执行的方法流程;或执行如图5所示的S500-S508中所述访问设备执行的方法流程;或执行如图7所示的S700-S710中所述访问设备执行的方法流程;或执行如图11所示的S1100-S1111中所述访问设备执行的方法流程;或执行如图12所示的S1200-S1212中所述访问设备执行的方法流程。
如图20所示,本发明提供一种访问设备,该访问设备包括:处理单元2000和通信单元2001;
本申请实施例中一种可选的方式中,所述处理单元2000和所述通信单元2001用于执行下述内容:
所述通信单元2001,用于从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述处理单元2000,用于向所述区块链进行获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址;
所述通信单元2001,用于在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的第一密钥;
所述处理单元2000,用于使用所述第一密钥对所述加密后的用户数据进行解密。
本申请实施例中一种可选的方式中,所述处理单元2000和所述通信单元2001用于执行下述内容:
所述处理单元2000,用于从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述通信单元2001,用于向区块链发送获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址和加密后的用户数据块,所述用户数据块是所述用户数据的全部或部分;在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的所述用户数据块。
本申请实施例中一种可选的方式中,所述处理单元2000和所述通信单元2001用于执行下述内容:
所述处理单元2000,用于安装客户端,并通过区块链向授权服务器发送第一申请,所述第一申请用于授予所述客户端打开所述访问设备获取到的用户数据的权限;
所述通信单元2001,用于通过区块链接收来自所述授权服务器的第一随机数,所述第一随机数用于生成第二序列号,所述第二序列号用于验证所述客户端是否有权打开所述用户数据。
本申请实施例中一种可选的方式中,所述处理单元2000和所述通信单元2001用于执行下述内容:
所述处理单元2000,用于从云平台获取用户数据以及用户数据ID;
所述通信单元2001,用于向区块链发送第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;接收来自区块链发送的第一序列号;
所述处理单元2000,用于将所述第一序列号输入所述客户端;在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
基于以上实施例,如图21所示,本申请一种授权服务器,该授权服务器包括处理器2100、存储器2101和通信接口2102。
处理器2100负责管理总线架构和通常的处理,存储器2101可以存储处理器2100在执行操作时所使用的数据。收发机通信接口2102用于在处理器2100的控制下接收和发送数据与存储器2101进行数据通信。
所述处理器2100可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。所述处理器2100还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。存储器2101可以包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
所述处理器2100、所述存储器2101以及所述通信接口2102之间相互连接。可选的,所述处理器2100、所述存储器2101以及所述通信接口2102可以通过总线2103相互连接;所述总线2103可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图21中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体地,所述处理器2100,用于读取存储器2101中的程序并执行如图7所示的S700-S710中所述授权服务器执行的方法流程;或执行如图11所示的S1100-S1111中所述授权服务器执行的方法流程;或执行如图12所示的S1200-S1212中所述授权服务器执行的方法流程。
如图22所示,本发明提供一种授权服务器,该授权服务器包括:处理单元2200和通信单元2201;
本申请实施例中一种可选的方式中,所述处理单元2200和所述通信单元2201用于执行下述内容:
所述通信单元2201,用于通过区块链接收访问设备发送的第一申请,所述第一申请用于授予所述访问设备通过安装的客户端打开所述访问设备获取到的用户数据的权限;
所述处理单元2200,用于生成第一随机数;
所述通信单元2201,用于将所述第一随机数发送给所述访问设备,其中,所述第一随机数用于所述客户端验证是否有权打开所述用户数据。
本申请实施例中一种可选的方式中,所述处理单元2200和所述通信单元2201用于执行下述内容:
所述处理单元2200,用于从云平台获取用户数据以及用户数据ID;
所述通信单元2201,用于向区块链发送第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;接收来自区块链发送的第一序列号;
所述处理单元2200,用于将所述第一序列号输入所述客户端;在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更本申请实施例一种实现方式中例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
根据本发明的实施方式的用于访问行为的记录的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在服务器设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被信息传输、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由周期网络动作系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备。
本申请实施例针对访问行为的记录的方法还提供一种计算设备可读存储介质,即断电后内容不丢失。该存储介质中存储软件程序,包括程序代码,当所述程序代码在计算设备上运行时,该软件程序在被一个或多个处理器读取并执行时可实现本申请实施例上面任何一种访问行为的记录的方案。
以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行系统、装置或设备使用,或结合指令执行系统、装置或设备使用。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。

Claims (40)

1.一种访问行为的记录方法,其特征在于,包括:
访问设备从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述访问设备向所述区块链进行获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址;
所述访问设备在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的第一密钥;
所述访问设备使用所述第一密钥对所述加密后的用户数据进行解密。
2.如权利要求1所述的方法,其特征在于,所述获取用户数据申请包括第三密钥,所述第三密钥用于所述数据库对所述第一密钥进行加密,得到第二加密信息。
3.如权利要求2所述的方法,其特征在于,所述访问设备接收来自所述区块链的所述第一密钥,包括:所述访问设备接收来自所述区块链的第二加密信息;
所述方法还包括:所述访问设备对所述第二加密信息进行解密,获取所述第一密钥。
4.如权利要求1~3任一项所述的方法,其特征在于,所述访问设备在通过所述区块链的验证后,接收来自所述区块链的所述第一密钥,包括:
所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,接收来自所述区块链的所述第一密钥。
5.一种访问行为的记录方法,其特征在于,包括:
区块链接收来自访问设备的获取用户数据申请,所述获取用户数据申请中携带智能合约中第一行为的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述区块链确定所述访问设备验证成功后,根据所述第一行为从所述数据库中获取所述第一密钥;
所述区块链将所述第一密钥发送给所述访问设备。
6.如权利要求5所述的方法,其特征在于,所述区块链确定所述访问设备验证成功后,根据所述第一行为从所述数据库中获取所述第一密钥,包括:
所述区块链确定所述访问设备验证成功后,将验证成功的结果以及所述第一行为发送给所述数据库;
所述区块链接收所述数据库的第一密钥。
7.如权利要求6所述的方法,其特征在于,所述获取用户数据申请包括第三密钥,所述第三密钥用于所述数据库对所述第一密钥进行加密,得到第二加密信息。
8.如权利要求7所述的方法,其特征在于,所述区块链确定所述访问设备验证成功后,将验证成功的结果以及所述第一行为发送给所述数据库,包括:
所述区块链确定所述访问设备验证成功后,将所述验证成功的结果、所述第一行为以及所述第三密钥发送给所述数据库。
9.如权利要求8所述的方法,其特征在于,所述区块链根据所述第一行为从所述数据库中获取所述第一密钥,将所述第一密钥发送给所述访问设备,包括:
所述区块链根据所述第一行为从所述数据库中获取第二加密信息,所述第二加密信息是所述数据库通过所述第三密钥对所述第一密钥加密后得到的;
所述区块链将所述第二加密信息发送给所述访问设备。
10.如权利要求5~9任一项所述的方法,其特征在于,所述区块链确定所述访问设备验证成功,包括:
所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,则所述区块链确定所述访问设备验证成功。
11.如权利要求5~9任一项所述的方法,其特征在于,所述区块链将所述第一密钥发送给所述访问设备之前,还包括:
所述区块链将第二行为记录到所述智能合约中;
其中,所述第二行为用于记录所述访问设备向所述区块链获取用户数据申请的行为;所述第二行为中包括所述区块链对所述访问设备进行验证的结果。
12.一种访问行为的记录方法,其特征在于,包括:
访问设备从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述访问设备向区块链进行获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址和加密后的用户数据块,所述用户数据块是所述用户数据的全部或部分;
所述访问设备在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的所述用户数据块。
13.如权利要求12所述的方法,其特征在于,所述访问设备接收来自所述区块链的所述用户数据块,包括:
所述访问设备接收来自所述区块链的添加水印标记的所述用户数据块。
14.如权利要求12或13所述的方法,其特征在于,所述访问设备在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的所述用户数据块,包括:
所述访问设备在通过所述区块链中不小于阈值数量的节点的验证后,接收来自所述区块链的所述用户数据块。
15.一种访问行为的记录方法,其特征在于,包括:
访问设备从云平台获取用户数据以及用户数据ID;
所述访问设备向区块链发送第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;
所述访问设备接收来自区块链发送的第一序列号;
所述访问设备将所述第一序列号输入所述客户端;
所述访问设备在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
16.如权利要求15所述的方法,其特征在于,之前还包括:
所述访问设备安装所述客户端,并通过区块链向授权服务器发送第一申请,所述第一申请用于授予所述客户端打开所述用户数据的权限;
所述访问设备通过区块链接收来自所述授权服务器的第一随机数,所述第一随机数用于生成第二序列号,所述第二序列号用于验证所述客户端是否有权打开所述用户数据。
17.如权利要求16所述的方法,其特征在于,还包括:
所述访问设备将所述第一随机数提供给所述客户端以生成第一随机数生成器;
所述第二序列号是所述客户端将所述第二申请的时间、所述用户数据ID、或所述客户端的标识ID中的一项或多项输入所述第一随机数生成器后生成的。
18.如权利要求17所述的方法,其特征在于,所述访问设备在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据,包括:
所述访问设备在所述客户端确定所述第二序列号与所述第一序列号相同后,阅读所述客户端打开的所述用户数据。
19.一种访问行为的记录方法,其特征在于,包括:
数据记录网元使用第一密钥对用户数据进行加密;
所述数据记录网元通过区块链将所述第一密钥存储到数据库中;
所述数据记录网元接收所述区块链反馈的智能合约中第一行为的地址,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为;
所述数据记录网元将所述加密后的用户数据以及所述第一行为的地址存储到云平台中。
20.如权利要求19所述的方法,其特征在于,所述数据记录网元通过区块链将所述第一密钥存储到数据库中,包括:
所述数据记录网元使用第二密钥对所述第一密钥进行加密,得到第一加密信息,并将所述第一加密信息通过所述区块链存储到所述数据库中。
21.一种访问设备,其特征在于,包括:处理单元和通信单元;
所述通信单元,用于从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述处理单元,用于向所述区块链进行获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址;
所述通信单元,用于在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的第一密钥;
所述处理单元,用于使用所述第一密钥对所述加密后的用户数据进行解密。
22.如权利要求21所述的访问设备,其特征在于,所述获取用户数据申请包括第三密钥,所述第三密钥用于所述数据库对所述第一密钥进行加密,得到第二加密信息。
23.如权利要求22所述的访问设备,其特征在于,所述通信单元具体用于:
接收来自所述区块链的第二加密信息;
所述处理单元还用于:
对所述第二加密信息进行解密,获取所述第一密钥。
24.如权利要求21~23任一项所述的访问设备,其特征在于,所述通信单元用于:
在通过所述区块链中不小于阈值数量的节点的验证后,接收来自所述区块链的所述第一密钥。
25.一种区块链,其特征在于,包括:处理单元和通信单元;
所述通信单元,用于接收来自访问设备的获取用户数据申请,所述获取用户数据申请中携带的智能合约中第一行为的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述处理单元,用于确定所述访问设备验证成功后,根据所述第一行为从所述数据库中获取所述第一密钥;
所述通信单元,用于将所述第一密钥发送给所述访问设备。
26.如权利要求25所述的区块链,其特征在于,所述通信单元具体用于:
确定所述访问设备验证成功后,将验证成功的结果以及所述第一行为发送给所述数据库;
接收所述数据库的第一密钥。
27.如权利要求26所述的区块链,其特征在于,所述获取用户数据申请包括第三密钥,所述第三密钥用于所述数据库对所述第一密钥进行加密,得到第二加密信息。
28.如权利要求27所述的区块链,其特征在于,所述通信单元具体用于:
确定所述访问设备验证成功后,将所述验证成功的结果、所述第一行为以及所述第三密钥发送给所述数据库。
29.如权利要求28所述的区块链,其特征在于,所述处理单元具体用于:
根据所述第一行为从所述数据库中获取第二加密信息,所述第二加密信息是所述数据库通过所述第三密钥对所述第一密钥加密后得到的;
所述通信单元具体用于:
将所述第二加密信息发送给所述访问设备。
30.如权利要求25~29任一项所述的区块链,其特征在于,所述处理单元具体用于:
确定不小于阈值数量的节点对所述访问设备验证成功。
31.如权利要求25~29任一项所述的区块链,其特征在于,所述处理单元还用于:
将第二行为记录到所述智能合约中;
其中,所述第二行为用于记录所述访问设备向所述区块链获取用户数据申请的行为;所述第二行为中包括所述区块链对所述访问设备进行验证的结果。
32.一种访问设备,其特征在于,包括:处理单元和通信单元;
所述处理单元,用于从云平台中获取加密后的用户数据以及智能合约中第一行为在区块链中的地址,所述第一行为用于记录数据记录网元通过所述区块链将第一密钥存储到数据库的行为;
所述通信单元,用于向区块链发送获取用户数据申请,所述获取用户数据申请中携带所述第一行为的地址和加密后的用户数据块,所述用户数据块是所述用户数据的全部或部分;
在通过所述区块链对所述访问设备身份的验证后,接收来自所述区块链的所述用户数据块。
33.如权利要求32所述的访问设备,其特征在于,所述通信单元具体用于:
接收来自所述区块链的添加水印标记的所述用户数据块。
34.如权利要求32或33所述的访问设备,其特征在于,所述通信单元具体用于:
在通过所述区块链中不小于阈值数量的节点的验证后,接收来自所述区块链的所述用户数据块。
35.一种访问设备,其特征在于,包括:处理单元和通信单元;
所述处理单元,用于从云平台获取用户数据以及用户数据ID;
所述通信单元,用于向区块链发送第二申请,所述第二申请用于请求通过客户端阅读所述用户数据;
接收来自区块链发送的第一序列号;
所述处理单元,用于将所述第一序列号输入所述客户端;
在所述客户端根据所述第一序列号确定有权打开所述用户数据后,阅读所述客户端打开的所述用户数据。
36.如权利要求35所述的访问设备,其特征在于,所述处理单元之前还用于:
安装所述客户端;
所述通信单元还用于:
通过区块链向授权服务器发送第一申请,所述第一申请用于授予所述客户端打开所述用户数据的权限;
通过区块链接收来自所述授权服务器的第一随机数,所述第一随机数用于生成第二序列号,所述第二序列号用于验证所述客户端是否有权打开所述用户数据。
37.如权利要求36所述的访问设备,其特征在于,所述处理单元还用于:
将所述第一随机数提供给所述客户端以生成第一随机数生成器;
所述第二序列号是所述客户端将所述第二申请的时间、所述用户数据ID、或所述客户端的标识ID中的一项或多项输入所述第一随机数生成器后生成的。
38.如权利要求35~37任一项所述的访问设备,其特征在于,所述处理单元具体用于:
在所述客户端确定生成的第二序列号与所述第一序列号相同后,阅读所述客户端打开的所述用户数据。
39.一种数据记录网元,其特征在于,包括:处理单元和通信单元;
所述处理单元,用于使用第一密钥对用户数据进行加密;通过区块链将所述第一密钥存储到数据库中;
所述通信单元,用于接收所述区块链反馈的智能合约中第一行为的地址,所述第一行为用于记录所述数据记录网元通过所述区块链将所述第一密钥存储到所述数据库的行为;
所述处理单元,用于将所述加密后的用户数据以及所述第一行为的地址存储到云平台中。
40.如权利要求39所述的数据记录网元,其特征在于,所述处理单元具体用于:
确定第二密钥;使用第二密钥对所述第一密钥进行加密,得到第一加密信息,并将所述第一加密信息通过所述区块链存储到所述数据库中。
CN202010131927.4A 2020-02-29 2020-02-29 一种访问行为的记录方法、装置 Active CN113328979B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010131927.4A CN113328979B (zh) 2020-02-29 2020-02-29 一种访问行为的记录方法、装置
PCT/CN2021/077955 WO2021170049A1 (zh) 2020-02-29 2021-02-25 一种访问行为的记录方法、装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010131927.4A CN113328979B (zh) 2020-02-29 2020-02-29 一种访问行为的记录方法、装置

Publications (2)

Publication Number Publication Date
CN113328979A CN113328979A (zh) 2021-08-31
CN113328979B true CN113328979B (zh) 2022-07-19

Family

ID=77413166

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010131927.4A Active CN113328979B (zh) 2020-02-29 2020-02-29 一种访问行为的记录方法、装置

Country Status (2)

Country Link
CN (1) CN113328979B (zh)
WO (1) WO2021170049A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114500119B (zh) * 2022-04-15 2022-08-26 恒生电子股份有限公司 区块链服务的调用方法和装置
CN117708863B (zh) * 2024-02-05 2024-04-19 四川集鲜数智供应链科技有限公司 一种基于物联网的设备数据加密处理方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017195627A (ja) * 2017-06-23 2017-10-26 株式会社エヌ・ティ・ティ・データ 情報処理装置、情報処理方法およびプログラム
CN107480555A (zh) * 2017-08-01 2017-12-15 中国联合网络通信集团有限公司 基于区块链的数据库访问权限控制方法及设备
CN108462568A (zh) * 2018-02-11 2018-08-28 西安电子科技大学 一种基于区块链的安全文件存储和共享方法
CN108959911A (zh) * 2018-06-14 2018-12-07 联动优势科技有限公司 一种密钥链生成、验证方法及其装置
CN109951498A (zh) * 2019-04-18 2019-06-28 中央财经大学 一种基于密文策略属性加密的区块链访问控制方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483446A (zh) * 2017-08-23 2017-12-15 上海点融信息科技有限责任公司 用于区块链的加密方法、设备以及系统
JP6709243B2 (ja) * 2018-03-01 2020-06-10 株式会社エヌ・ティ・ティ・データ 情報処理装置
CN108985011A (zh) * 2018-07-23 2018-12-11 北京聚道科技有限公司 一种基于区块链技术的基因组数据管理方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017195627A (ja) * 2017-06-23 2017-10-26 株式会社エヌ・ティ・ティ・データ 情報処理装置、情報処理方法およびプログラム
CN107480555A (zh) * 2017-08-01 2017-12-15 中国联合网络通信集团有限公司 基于区块链的数据库访问权限控制方法及设备
CN108462568A (zh) * 2018-02-11 2018-08-28 西安电子科技大学 一种基于区块链的安全文件存储和共享方法
CN108959911A (zh) * 2018-06-14 2018-12-07 联动优势科技有限公司 一种密钥链生成、验证方法及其装置
CN109951498A (zh) * 2019-04-18 2019-06-28 中央财经大学 一种基于密文策略属性加密的区块链访问控制方法及装置

Also Published As

Publication number Publication date
CN113328979A (zh) 2021-08-31
WO2021170049A1 (zh) 2021-09-02

Similar Documents

Publication Publication Date Title
CN109379369A (zh) 单点登录方法、装置、服务器及存储介质
US20180324158A1 (en) Assuring external accessibility for devices on a network
CN111914293B (zh) 一种数据访问权限验证方法、装置、计算机设备及存储介质
CN113596009B (zh) 零信任访问方法、系统、零信任安全代理、终端及介质
CN101043335A (zh) 一种信息安全控制系统
CN103534976A (zh) 数据安全的保护方法、服务器、主机及系统
EP3292495B1 (en) Cryptographic data
CN108881327A (zh) 一种基于云计算的计算机互联网信息安全控制系统
CN113328979B (zh) 一种访问行为的记录方法、装置
CN105262590A (zh) 一种虚拟化环境下的密钥安全隔离方法及系统
CN112235301B (zh) 访问权限的验证方法、装置和电子设备
CN113329003B (zh) 一种物联网的访问控制方法、用户设备以及系统
CN106992978A (zh) 网络安全管理方法及服务器
CN116647326A (zh) 基于区块链的嵌入式网关系统
CN111190694A (zh) 一种基于鲲鹏平台的虚拟化安全加固方法及装置
CN113676446B (zh) 通信网络安全防误控制方法、系统、电子设备及介质
CN112906032B (zh) 基于cp-abe与区块链的文件安全传输方法、系统及介质
CN115296795A (zh) 一种混合加密信息处理与通信片上系统及方法
CN109598114B (zh) 跨平台统一用户账户管理方法及系统
CN114066182A (zh) 继电保护定值管理智能合约方法、系统、设备及存储介质
EP3619632B1 (en) Assuring external accessibility for devices on a network
CN111079109A (zh) 兼容多浏览器本地安全授权登录方法和系统
CN111818057B (zh) 一种网络配置数据中继分发传输系统及方法
CN117294465B (zh) 一种基于跨域通信的属性加密系统及方法
CN114928617B (zh) 专网签约数据管理方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant