CN113505358B - 一种对信息处理行为的监管方法 - Google Patents
一种对信息处理行为的监管方法 Download PDFInfo
- Publication number
- CN113505358B CN113505358B CN202111060911.XA CN202111060911A CN113505358B CN 113505358 B CN113505358 B CN 113505358B CN 202111060911 A CN202111060911 A CN 202111060911A CN 113505358 B CN113505358 B CN 113505358B
- Authority
- CN
- China
- Prior art keywords
- shield
- block chain
- transaction proposal
- signature
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000006399 behavior Effects 0.000 title claims abstract description 7
- 230000010365 information processing Effects 0.000 title claims abstract description 7
- 238000003780 insertion Methods 0.000 claims abstract description 4
- 230000037431 insertion Effects 0.000 claims abstract description 4
- 238000004422 calculation algorithm Methods 0.000 claims description 14
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 9
- 230000002159 abnormal effect Effects 0.000 abstract 1
- 239000004973 liquid crystal related substance Substances 0.000 description 15
- 239000000463 material Substances 0.000 description 15
- 238000012544 monitoring process Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 239000000758 substrate Substances 0.000 description 7
- 238000012795 verification Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012163 sequencing technique Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本公开揭示了一种对信息处理行为的监管方法,主要包括如下步骤:当用户在信息化系统中提交某操作类型的操作时,客户端的U盾服务检测是否插入区块链U盾,如果没有检测到区块链U盾则提示插入区块链U盾;然后认证当前用户的身份信息是否匹配该区块链U盾合法所有者的身份信息,无论认证失败或成功均会构造相应的交易提案;最后,U盾服务在后台将交易提案和针对该交易提案生成的交易提案的签名发给区块链服务器上链。通过上述技术方案,本公开无论认证失败或成功,均会在后台进行上链操作,记录异常的情况,由此,本公开实现了一种安全、可信的监管方法,以便利用区块链技术监控细粒度级别的操作,保障信息化系统。
Description
技术领域
本公开属于信息安全领域,特别涉及一种对信息处理行为的监管方法。
背景技术
随着信息技术的不断发展,当前信息安全方面暴露的问题也随之增加。虽然在敏感的信息化系统或常规信息化系统的敏感操作中,已经广泛使用U盾等产品来提高安全性,但是,依然发生了很多非法删库或恶意破坏的事故,如何可信的监测用户的操作并提高信息化系统的健壮性,始终是亟待解决的问题。
发明内容
鉴于此,本公开揭示了一种对信息处理行为的监管方法,包括如下步骤:
S100、当用户在信息化系统中提交某操作类型的操作时,客户端的U盾服务检测是否插入区块链U盾,如果没有检测到区块链U盾则提示插入区块链U盾;
其中,
客户端,供用户登录所述信息化系统;
区块链U盾,用于耦接所述客户端且所述盾可连接到区块链;
S200、认证当前用户的身份信息是否匹配该区块链U盾合法所有者的身份信息:如果认证失败,U盾服务将采集到的当前用户的身份信息、操作类型、时间戳和客户端所属硬件的唯一编号构造交易提案;如果认证通过,U盾服务将:用户的身份信息对应的用户名、操作类型、当前操作的操作内容、时间戳和客户端所属硬件的唯一编号构造交易提案;
S300、U盾服务在后台将交易提案和针对该交易提案生成的交易提案的签名发给区块链服务器上链。
优选的,
在步骤S300中,通过如下子步骤得到针对该交易提案生成的交易提案的签名:
S301、U盾服务将交易提案发给区块链U盾用私钥加密,然后将加密结果发给区块链U盾进行签名以得到针对该交易提案生成的交易提案的签名。
优选的,
在步骤S300之后,还包括如下步骤:
S401、U盾服务将交易提案和交易提案签名写入区块链U盾的存储单元中。
优选的,
在步骤S300之后,还包括如下步骤:
S402、U盾服务再次对用户的身份信息进行认证,以确保其匹配区块链U盾的合法所有者的身份信息,如果是认证失败则提示用户操作失败;如果认证成功则执行用户对信息化系统的操作。
优选的,
所述身份信息包括:指纹信息,和/或虹膜信息,和/或现场拍摄的照片信息。
优选的,
所述盾可以是硬件实体U盾,也可以是软件数字盾;
当其为硬件实体U盾时,所述盾包括指纹模块和/或虹膜模块和/或摄像头模块;
当其为软件数字盾时,所述数字盾至少包括一个或多个接口以便与数字盾之外的系统或接口进行交互,并且,所述客户端包括指纹模块和/或虹膜模块和/或摄像头模块。
优选的,
所述方法还包括如下步骤:
S403、上链成功后,U盾服务删除区块链U盾存储单元中的交易提案和交易提案签名。
优选的,
在步骤S100之后,S200之前,还包括如下步骤:
S101、U盾服务检测到区块链U盾插入时,先查询区块链U盾的存储单元是否有交易提案和交易提案签名,如果有,说明存在未成功上链的异常,U盾服务在后台增加一个上链任务,以对该交易提案和交易提案签名重新进行上链。
优选的,
在步骤S100之后,还包括如下步骤:
S101:定时轮询所述区块链U盾中是否有所述签名的缓存;
S102:如果有,说明存在未成功上链的异常,U盾服务在后台增加一个上链任务,以对该交易提案和交易提案签名重新进行上链。
优选的,
所述盾还包括:
生成密钥接口,用于根据盾的唯一编号和第一加密算法生成公钥和私钥并储存在盾的存储单元;
其中,当盾注册到区块链时,所述盾的唯一编号先经由CA服务器查重,确认合法时,根据该盾的唯一编号得到与该盾关联的ID;
所述盾的唯一编号可以经由合法所有者的身份信息计算得到,也可以是硬件实体U盾中的某硬件模块的唯一编码,还可以是数字盾的相应数字文件的校验码。
通过上述技术方案,本公开实现了一种安全、可信的监管方法,以便利用区块链技术监控细粒度级别的操作,保障信息化系统。
附图说明
图1是本公开中一个实施例的示意图。
具体实施方式
为了使本领域技术人员理解本公开所披露的技术方案,下面将结合实施例及有关附图1,对各个实施例的技术方案进行描述,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。本公开所采用的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,“包括”和“具有”以及它们的任何变形,意图在于覆盖且不排他的包含。例如包含了一系列步骤或单元的过程、或方法、或系统、或产品或设备没有限定于已列出的步骤或单元,而是可选的还包括没有列出的步骤或单元,或可选的还包括对于这些过程、方法、系统、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本公开的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其他实施例互斥的独立的或备选的实施例。本领域技术人员可以理解的是,本文所描述的实施例可以与其他实施例相结合。
参见图1,在一个实施例中,本公开揭示了一种对信息处理行为的监管方法,包括如下步骤:
S100、当用户在信息化系统中提交某操作类型的操作时,客户端的U盾服务检测是否插入区块链U盾,如果没有检测到区块链U盾则提示插入区块链U盾;
其中,
客户端,供用户登录所述信息化系统;
区块链U盾,用于耦接所述客户端且所述盾可连接到区块链;
S200、认证当前用户的身份信息是否匹配该区块链U盾合法所有者的身份信息:如果认证失败,U盾服务将采集到的当前用户的身份信息、操作类型、时间戳和客户端所属硬件的唯一编号构造交易提案;如果认证通过,U盾服务将:用户的身份信息对应的用户名、操作类型、当前操作的操作内容、时间戳和客户端所属硬件的唯一编号构造交易提案;
S300、U盾服务在后台将交易提案和针对该交易提案生成的交易提案的签名发给区块链服务器上链。
能够理解,针对U盾丢失或用户恶意操作,导致系统数据丢失、篡改等问题,上述实施例提供一种基于区块链技术的监控信息化系统用户操作的方法,将用户的操作记录到区块链中,实现安全、可信、可追溯。
在一个实施例中,
在步骤S300中,通过如下子步骤得到针对该交易提案生成的交易提案的签名:
S301、U盾服务将交易提案发给区块链U盾用私钥加密,然后将加密结果发给区块链U盾进行签名以得到针对该交易提案生成的交易提案的签名。
在一个实施例中,
在步骤S300之后,还包括如下步骤:
S401、U盾服务将交易提案和交易提案签名写入区块链U盾的存储单元中。
在一个实施例中,
在步骤S300之后,还包括如下步骤:
S402、U盾服务再次对用户的身份信息进行认证,以确保其匹配区块链U盾的合法所有者的身份信息,如果是认证失败则提示用户操作失败;如果认证成功则执行用户对信息化系统的操作。
在一个实施例中,
所述身份信息包括:指纹信息,和/或虹膜信息,和/或现场拍摄的照片信息。
在一个实施例中,
所述盾可以是硬件实体U盾,也可以是软件数字盾;
当其为硬件实体U盾时,所述盾包括指纹模块和/或虹膜模块和/或摄像头模块;
当其为软件数字盾时,所述数字盾至少包括一个或多个接口以便与数字盾之外的系统或接口进行交互,并且,所述客户端包括指纹模块和/或虹膜模块和/或摄像头模块。
能够理解,典型的,硬件实体盾可以是各种具备硬件接口的产品,例如U盘形式的硬件实体盾,或者带USB接口的卡片类一证通,抑或者具有蓝牙接口或音频接口的硬件实体盾。然而,更加需要说明的是,软件数字盾可以是各种格式的数字文件,至于其接口则是采取读写文件的数字接口或其他合适的API技术来实现,从而通过对此类数字文件的访问,实现该软件数字盾与数字盾之外的系统或接口的交互。显而易见的,硬件实体盾一般比软件数字盾具备更高的安全性,但是,这不妨碍本公开采用现有的数字加密技术或监控技术或其他数字安全技术以提高软件数字盾的安全性。
在一个实施例中,
所述方法还包括如下步骤:
S403、上链成功后,U盾服务删除区块链U盾存储单元中的交易提案和交易提案签名。
在一个实施例中,
在步骤S100之后,S200之前,还包括如下步骤:
S101、U盾服务检测到区块链U盾插入时,先查询区块链U盾的存储单元是否有交易提案和交易提案签名,如果有,说明存在未成功上链的异常,U盾服务在后台增加一个上链任务,以对该交易提案和交易提案签名重新进行上链。
在一个实施例中,
在步骤S100之后,还包括如下步骤:
S101:定时轮询所述区块链U盾中是否有所述签名的缓存;
S102:如果有,说明存在未成功上链的异常,U盾服务在后台增加一个上链任务,以对该交易提案和交易提案签名重新进行上链。
在另一个实施例中,按如下方法执行:
用户在信息化系统中提交操作(登录、修改、审核等);
客户端运行在计算机上,客户端的U盾服务检测是否插入区块链U盾,如果没有检测到区块链U盾则提示用户插入区块链U盾;
提示用户认证区块链U盾所有者的指纹;
如果认证失败,U盾服务将指纹特征值、操作类型、时间戳和计算机硬件编号构造交易提案;如果认证通过U盾服务将用户名、操作类型、操作内容、时间戳和计算机硬件编号构造交易提案;
U盾服务将交易提案发给区块链U盾用私钥加密,然后将加密结果发给区块链U盾进行签名,U盾服务将交易提案和交易提案签名写入区块链U盾存储器中;
U盾服务再次对用户的身份信息进行认证,以确保其匹配区块链U盾的合法所有者的身份信息,如果认证失败则提示用户操作失败;如果认证成功则信息化系统执行用户的操作;
U盾服务在后台将交易提案和交易提案签名发给区块链服务器上链;
上链成功后U盾服务删除区块链U盾存储器中的交易提案和交易提案签名;
其中,上链过程如下:
U盾服务调用读取区块链U盾存储单元中的证书;
U盾服务将交易提案、交易提案签名和证书提交给一个或多个背书节点(备注:由约定的背书策略决定本系统背书节点数量)进行模拟交易;
背书节点收到模拟交易提案后,首先验证证书是否是该系统证书颁发机构所认证的合法证书:用CA服务器的公钥对证书进行解密得到证书里的公钥,使用公钥对证书的签名解密并与对证书进行哈希计算得到的哈希值进行比较,如果不一样则返回失败,如果一样则进行签名验证;
用证书里的公钥对交易提案签名进行解密并与对交易提案进行哈希计算得到的哈希值进行比较,如果不一致则返回验证签名失败,如果签名验证通过则判断当前提交者(用户)是否有权限执行操作:
如果证书无权则返回失败,如果有权限,则背书节点执行模拟交易(不会更新账本),背书节点将交易结果的返回值、背书节点的签名和背书结果作为提案的结果返回给U盾服务;
U盾服务验证背书节点的签名,如果签名不一致则提示用户操作失败,如果验签通过则比较各个背书节点返回的提案结果,判断提案结果是否一致,如果提案结果不一致则提示用户操作失败;
U盾服务如果判断:已收到足够多的背书节点的结果后(备注:背书策略决定相应足够多的标准),表示该交易已经正确背书,然后U盾服务将收到的各个背书节点的应答,打包到一起组成一个交易并签名,发送给排序节点;如果判断没有收集到足够多的背书节点反馈的背书信息,则该交易被舍弃;
进一步的,排序节点对接收到的交易进行排序,然后将一批交易打包到一起,生成新的区块,发送给记账节点;
记账节点收到区块后,会对区块中的每笔交易进行校验,检查交易是否有效,包括检查:交易消息的格式、签名有效性以及指定背书策略的有效性;如果所有的验证均通过,则将区块追加到区块链中。
如此,通过详细的实施方式完成区块链对有关代表用户对信息化系统操作的交易,进行上链。
在一个实施例中,
所述盾还包括:
生成密钥接口,用于根据盾的唯一编号和第一加密算法生成公钥和私钥并储存在盾的存储单元;
其中,当盾注册到区块链时,所述盾的唯一编号先经由CA服务器查重,确认合法时,根据该盾的唯一编号得到与该盾关联的ID;
所述盾的唯一编号可以经由合法所有者的身份信息计算得到,也可以是硬件实体U盾中的某硬件模块的唯一编码,还可以是数字盾的相应数字文件的校验码。
能够理解,如果要求盾必须耦接特定的客户端所属的硬件,例如某特定计算机或便携设备(例如手机或Pad等),则上述实施例也可以根据该硬件的唯一编号和第一加密算法生成公钥和私钥。
此外,所述生成密钥接口被第一接口调用;例如第一接口为U盾服务的接口。
进一步的,如果某合法用户必须指定使用某确定的盾,或者必须指定使用某确定的上述客户端所属的硬件,则上述实施例还可以根据该合法用户的身份信息(例如用户名或指纹或虹膜或人脸识别等)和第一加密算法生成公钥和私钥。能够发现,这些灵活的实施方式都可以确保唯一性。
在另一个实施例中,以合法所有者的用户名为例:
生成密钥接口,用于被盾之外的第一接口所调用,以及根据用户名和第一算法生成用户公钥和用户私钥并储存在盾的存储单元;
示例性的,所述第一接口为U盾服务接口,包括:在线办公的U盾服务、敏感服务等各种服务所对应的Service提供的接口;而所述第一算法则可以是SM2算法或其他国密算法(例如SM3,SM4)或任何其他非标或标准算法等等;更加示例性的,所述第一算法,可以是使用某加密芯片的自身所支持的公私钥生成算法,或者利用软件生成非标或标准公私钥算法,其中,如果使用加密芯片,则加密芯片的接口,可以作为所述盾的生成密钥接口。
其中,当盾注册到区块链时,所述用户名预先经由CA服务器查重,确认不存在相同用户名时,该用户名则作为与该盾关联的用户名,然后所述生成密钥接口被第一接口调用。
由此,通过上述实施例,实现了所述基于区块链的盾。在该实施例中,其用户名经由区块链和CA服务器方可作为该盾关联的用户名。这意味着,该盾后续可以经由区块链进一步核实其使用状况。能够理解,当第一接口为各种Web Service的对应接口时,该盾可以用于各种Web Service,从而大幅度提高用户使用各种Web Service的安全性。
在另一个实施例中,
所述盾还包括第一哈希值计算单元和第一签名单元;
所述第一哈希值计算单元,用于根据合法所有者的身份信息(或前文所述的其他能够确保唯一性的其他信息,例如客户端所属的硬件,甚至前文其他实施例所述的数字文件的校验码)和所述公钥计算第一哈希值;
所述第一签名单元,用于根据所述私钥对第一哈希值生成第一数字签名。
对于上述实施例,其给出了如何进一步利用区块链的哈希技术在盾上实现第一数字签名的方式,从而使得该盾成为更具区块链特性的产品。
在另一个实施例中,
所述盾还包括第一发送单元;
所述第一发送单元,其经由第一接口发送所述公钥和第一数字签名至CA服务器。
能够理解,该实施例通过第一发送单元和第一接口实现了向CA服务器发送相关签名,示例性的,所述第一接口为U盾服务接口。如此,该盾通过对接其的第一接口来对接CA服务器,而第一接口可以是面向各种Web Service甚至各种应用的接口,这意味着该盾可以广泛的用于各种服务和/或应用。需要说明的是,所述CA服务器可以是独立于区块链的服务器,也可以是区块链的CA服务器。
在另一个实施例中,以合法所有者的用户名为例:
所述盾的存储单元还用于存储如下证书:
当所述第一接口利用区块链的CA服务器的公钥验签通过所述第一数字签名后,所述存储单元存储所述用户名和区块链的CA服务器所生成的证书。
对于该实施例,其揭示了前文所述的基于区块链的盾作为一种新的盾是如何生成并存储其证书。
在另一个实施例中,
所述盾包括国密安全芯片模块,且所述国密安全芯片包括生成密钥功能、和/或加密功能、和/或签名功能。
能够理解,当利用国密安全芯片模块时,可以通过集成度更高的现有各种国密安全芯片模块,更快速的实现所述基于区块链的盾。
在另一个实施例中,
所述盾还包括第二发送单元;
当所述盾耦接其外部的某一数据处理系统时,在某一时间或某一时间段,所述第二发送单元经由第一接口(例如前文所述的U盾服务作为所述第一接口)至少将所述盾存储的用户名、用户对该数据处理系统的操作、时间信息(例如时间戳)发给区块链以上链。
对于该实施例而言,其揭示了所述盾用于某一数据处理系统的安全交互时,该盾如何通过第二发送单元与区块链交互,例如如何将有关信息上链。
在另一个实施例中,
所述第二发送单元还将用户对该盾的操作发给区块链以上链。
能够理解,该实施例表明该盾能够将用户对盾的操作上链,例如:假设所述盾包括ok确认按钮,当用户某一时刻按压一次ok按钮,将此种对盾自身的操作也发给区块链以上链。
在另一个实施例中,
所述盾还包括第二哈希值计算单元和第二签名单元;
所述第二哈希值计算单元,至少用于根据当前使用者的身份信息、对该数据处理系统的操作、时间信息以及公钥计算第二哈希值;
所述第二签名单元,用于根据相应的私钥对第二哈希值生成第二数字签名;
所述第二发送单元还将所述第二数字签名发给区块链以上链。
对于上述实施例,其给出了如何进一步利用区块链的哈希技术在盾上实现第二数字签名的方式,从而使得该盾成为更具区块链特性的产品并实现第二数字签名的上链。
进一步的,在另一个实施例中,
当本公开所述的基于区块链的盾实现为数字盾时,除了前文所述的有关数字盾的内容,数字盾的数据处理能力则可以利用数字盾所处的装置或设备或计算机或数据处理系统或云服务器等自身的CPU或其他处理器、传感器(例如摄像头、指纹模块、虹膜模块等)的处理能力,也可以利用调用该数字盾的外部系统自身的处理能力;而数字盾所需的存储能力则可以利用数字盾所处的装置或设备或计算机或数据处理系统或云服务器等自身的存储能力,或者也可以利用调用该数字盾的外部系统自身的存储能力;至于数字盾所需的交互接口,则可以利用访问数字文件的I/O读写来实现;如果需要显示此种交互过程,则可以利用任何能够接收数字盾与外部系统(或外部接口)交互中产生的必要的信息流或数据流(例如,彼此的操作信息)的显示设备来实现,且当不需要显示时,还可以将交互中产生的信息流或数据流另存为一定格式的文件(例如,操作的日志文件)。
通过上述各个实施例所揭示的基于区块链的盾,特别是如何来实现一种可被外部系统或外部接口所调用的盾,本公开显著提高了数字或实体盾在使用过程中的安全性,且可用于各种信息化系统的用户操作的监控中。
由此,在另一个实施例中,本公开还进一步揭示了一种基于区块链的可信监控方系统,包括:
客户端,供用户登录一信息化系统;
前文所述的盾,且所述盾耦接所述客户端;
其中,所述可信监控系统通过区块链技术,利用所述盾对用户通过所述客户端访问所述信息化系统的操作进行可信监测。
对于该实施例而言,正是利用前文所述的盾实现了对被监测对象,包括用户及其操作的可信监测。
示例性的,优选区块链U盾作为所述盾的硬件实体盾;
优选的,其中,所述系统还包括:
区块链服务模块;
U盾服务模块。
优选的,
所述区块链服务模块包括CA认证服务、提交节点、背书节点、排序节点和记账节点。
优选的,
所述U盾服务模块,用于:
为区块链U盾提供注册服务;
在客户端进行重要操作时,将当前操作、用户名和时间戳,发给区块链U盾加密得到密文,然后计算密文的哈希值,将哈希值发给区块链U盾进行签名,然后将密文、签名和区块链U盾的证书发给背书节点发起交易提案。
优选的,
所述CA认证服务,为区块链U盾提供注册服务,返回区块链可信的证书;协助背书节点验证区块链U盾是否有权上链。
优选的,
所述背书节点接收U盾服务模块发起的交易提案,用X509解析算法解密证书,得到客户端的公钥,再用客户端的公钥验证客户端的签名、客户端的权限,验证通过后进行模拟交易,返回背书节点的模拟交易结果至U盾服务模块。
优选的,
U盾服务模块接收的背书节点的返回信息达到一定阈值后,将交易提议、背书节点的模拟结果和背书信息打包发给排序节点。
优选的,
所述排序服务对U盾服务模块发来的信息进行排序并创建交易区块,广播给记账节点;
记账节点接收到广播的交易区块后,验证其是否满足背书策略,验证通过则根据交易区块更新账本。
优选的,
所述系统还包括应用监测平台,
所述应用监测平台,用于访问区块链的账本,读取账本中的信息。
能够理解,所述应用监测平台,可以被具有权限的人调取和查阅,以此读取账本中记录的用户操作。
在另一个实施例中,
本公开所揭示的方法中,还包括如下步骤:
当前用户的所有操作,在上链的同时,对全程操作进行备份,包括备份其操作类型和操作内容。
更优选的,采取录像的方式或截屏的方式进行备份。
更优选的,对操作前的操作对象进行快照或其他形式的备份,以及对操作后的操作对象进行快照或其他形式的备份。
更优选的,对上述备份进行上链。
如此,即使遭到恶意破坏,也可以最大程度的快速恢复信息化系统。
本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作、模块、单元并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本公开所提供的几个实施例中,应该理解到,所揭露的盾,可实现为对应的功能单元、处理器乃至系统,其中所述系统的各部分既可以位于一个地方,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,各功能单元可以集成在一个处理单元中,也可以是各个单元单独存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为智能手机、个人数字助理、可穿戴设备、笔记本电脑、平板电脑)执行本公开的各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储单元(R0M,Read-0nly Memory)、随机存取存储单元(RAM,Random AccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质,且不限于USB、蓝牙或音频等不同的接口或传输方式。
以上所述,以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开的各实施例技术方案的范围。
Claims (8)
1.一种对信息处理行为的监管方法,包括如下步骤:
S100、当用户在信息化系统中提交某操作类型的操作时,客户端的U盾服务检测是否插入区块链U盾,如果没有检测到区块链U盾则提示插入区块链U盾;其中,
客户端,用于供用户登录所述信息化系统;
区块链U盾,用于耦接所述客户端且所述盾可连接到区块链;
S200、认证当前用户的身份信息是否匹配该区块链U盾合法所有者的身份信息:如果认证失败,U盾服务将采集到的当前用户的身份信息、操作类型、时间戳和客户端所属硬件的唯一编号构造交易提案;如果认证通过,U盾服务将:用户的身份信息对应的用户名、操作类型、当前操作的操作内容、时间戳和客户端所属硬件的唯一编号构造交易提案;
S300、U盾服务在后台将交易提案和针对该交易提案生成的交易提案的签名发给区块链服务器上链;
所述方法将用户的操作记录到区块链中,实现安全、可信、可追溯,以针对用户恶意操作,导致系统数据丢失或篡改;
其中,
在步骤S100之后,S200之前,还包括如下步骤:
U盾服务检测到区块链U盾插入时,先查询区块链U盾的存储单元是否有交易提案和交易提案的签名,如果有,说明存在未成功上链的异常,U盾服务在后台增加一个上链任务,以对该交易提案和交易提案签名重新进行上链;
并且,
在步骤S100之后,还包括如下步骤:
定时轮询所述区块链U盾中是否有所述签名的缓存;
如果有,说明存在未成功上链的异常,U盾服务在后台增加一个上链任务,以对该交易提案和交易提案的签名重新进行上链。
2.如权利要求1所述的监管方法,其中,
在步骤S300中,通过如下子步骤得到针对该交易提案生成的交易提案的签名:
S301、U盾服务将交易提案发给区块链U盾并用私钥加密,然后将加密结果发给区块链U盾进行签名以得到针对该交易提案生成的交易提案的签名。
3.如权利要求1所述的监管方法,其中,
在步骤S300之后,还包括如下步骤:
S401、U盾服务将交易提案和交易提案签名写入区块链U盾的存储单元中。
4.如权利要求1所述的监管方法,其中,
S402、U盾服务再次对用户的身份信息进行认证,以确保其匹配区块链U盾的合法所有者的身份信息,如果认证失败则提示用户操作失败;如果认证成功则执行用户对信息化系统的操作。
5.如权利要求1所述的监管方法,其中,
所述身份信息包括:指纹信息,和/或虹膜信息,和/或现场拍摄的照片信息。
6.如权利要求1所述的监管方法,其中,
所述盾是硬件实体U盾或软件数字盾;
当其为硬件实体U盾时,所述盾包括指纹模块和/或虹膜模块和/或摄像头模块;
当其为软件数字盾时,所述软件数字盾至少包括一个或多个接口以便与软件数字盾之外的系统或接口进行交互,并且,所述客户端包括指纹模块和/或虹膜模块和/或摄像头模块。
7.如权利要求3所述的监管方法,其中,
所述方法还包括如下步骤:
S403、上链成功后,U盾服务删除区块链U盾的存储单元中的交易提案和交易提案签名。
8.如权利要求6所述的监管方法,其中,
所述盾还包括:
生成密钥接口,用于根据盾的唯一编号和第一加密算法生成公钥和私钥并储存在盾的存储单元;
其中,当盾注册到区块链时,所述盾的唯一编号先经由CA服务器查重,确认合法时,根据该盾的唯一编号得到与该盾关联的ID;
所述盾的唯一编号经由合法所有者的身份信息计算得到,或是硬件实体U盾中的某硬件模块的唯一编码,或是软件数字盾的相应数字文件的校验码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111060911.XA CN113505358B (zh) | 2021-09-10 | 2021-09-10 | 一种对信息处理行为的监管方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111060911.XA CN113505358B (zh) | 2021-09-10 | 2021-09-10 | 一种对信息处理行为的监管方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113505358A CN113505358A (zh) | 2021-10-15 |
CN113505358B true CN113505358B (zh) | 2022-06-03 |
Family
ID=78017115
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111060911.XA Active CN113505358B (zh) | 2021-09-10 | 2021-09-10 | 一种对信息处理行为的监管方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113505358B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115580400A (zh) * | 2022-10-09 | 2023-01-06 | 云南云电同方科技有限公司 | 一种涉密文件授权方法、装置、系统、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109245893A (zh) * | 2017-07-10 | 2019-01-18 | 浙江华信区块链科技服务有限公司 | 一种用于替代u盾的身份构建及签名方法 |
CN109767215A (zh) * | 2018-12-29 | 2019-05-17 | 杭州趣链科技有限公司 | 一种在线的基于多种私钥存储方式的区块链身份认证方法 |
CN110175467A (zh) * | 2019-04-25 | 2019-08-27 | 平安科技(深圳)有限公司 | 基于区块链的签名文件保存方法、装置和计算机设备 |
CN110647728A (zh) * | 2019-08-27 | 2020-01-03 | 武汉烽火众智数字技术有限责任公司 | 一种便捷登陆方法及装置 |
CN111241531A (zh) * | 2019-12-31 | 2020-06-05 | 陕西医链区块链集团有限公司 | 一种基于区块链技术的交易身份认证系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8649297B2 (en) * | 2010-03-26 | 2014-02-11 | Cisco Technology, Inc. | System and method for simplifying secure network setup |
-
2021
- 2021-09-10 CN CN202111060911.XA patent/CN113505358B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109245893A (zh) * | 2017-07-10 | 2019-01-18 | 浙江华信区块链科技服务有限公司 | 一种用于替代u盾的身份构建及签名方法 |
CN109767215A (zh) * | 2018-12-29 | 2019-05-17 | 杭州趣链科技有限公司 | 一种在线的基于多种私钥存储方式的区块链身份认证方法 |
CN110175467A (zh) * | 2019-04-25 | 2019-08-27 | 平安科技(深圳)有限公司 | 基于区块链的签名文件保存方法、装置和计算机设备 |
CN110647728A (zh) * | 2019-08-27 | 2020-01-03 | 武汉烽火众智数字技术有限责任公司 | 一种便捷登陆方法及装置 |
CN111241531A (zh) * | 2019-12-31 | 2020-06-05 | 陕西医链区块链集团有限公司 | 一种基于区块链技术的交易身份认证系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113505358A (zh) | 2021-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110162936B (zh) | 一种软件内容的使用授权方法 | |
CN112260826B (zh) | 用于安全凭证供应的方法 | |
KR101680525B1 (ko) | 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 | |
CN110798315B (zh) | 基于区块链的数据处理方法、装置及终端 | |
KR101863953B1 (ko) | 전자 서명 서비스 시스템 및 방법 | |
CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
US8631486B1 (en) | Adaptive identity classification | |
US20080040613A1 (en) | Apparatus, system, and method for secure password reset | |
CN112685786B (zh) | 一种金融数据加密、解密方法、系统、设备及存储介质 | |
TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
CN113169866A (zh) | 使用同时密钥发布来防止共谋的技术 | |
US7340773B2 (en) | Multi-stage authorisation system | |
WO2022020686A1 (en) | Master key escrow process | |
JP2021536166A (ja) | ピア識別情報の検証 | |
CN112699353A (zh) | 一种金融信息传输方法以及金融信息传输系统 | |
CN112398920A (zh) | 一种基于区块链技术的医疗隐私数据保护方法 | |
CN113505358B (zh) | 一种对信息处理行为的监管方法 | |
CN116720839B (zh) | 基于区块链技术的金融信息管理方法及其监管系统 | |
US9673986B2 (en) | Methods and systems for increasing the security of private keys | |
CN112383577A (zh) | 授权方法、装置、系统、设备和存储介质 | |
CN115643081A (zh) | 工业控制系统认证方法、装置和计算机设备 | |
JP5489913B2 (ja) | 携帯型情報装置及び暗号化通信プログラム | |
CN108540498B (zh) | 一种金融支付中安全策略版本下发的方法和系统 | |
CN101227281A (zh) | 动态防窃密及身份认证方法 | |
CN101123506B (zh) | 敏感信息监控及自动恢复的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |