CN113792332A - 一种数据访问控制的方法及相关装置 - Google Patents
一种数据访问控制的方法及相关装置 Download PDFInfo
- Publication number
- CN113792332A CN113792332A CN202111013114.6A CN202111013114A CN113792332A CN 113792332 A CN113792332 A CN 113792332A CN 202111013114 A CN202111013114 A CN 202111013114A CN 113792332 A CN113792332 A CN 113792332A
- Authority
- CN
- China
- Prior art keywords
- data
- node
- access
- moment
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 238000013475 authorization Methods 0.000 claims abstract description 185
- 238000013500 data storage Methods 0.000 claims abstract description 39
- 230000006870 function Effects 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 16
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004806 packaging method and process Methods 0.000 claims description 10
- 239000000126 substance Substances 0.000 claims description 2
- 239000003795 chemical substances by application Substances 0.000 description 21
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000011664 signaling Effects 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004576 sand Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1014—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to tokens
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种数据访问控制的方法及相关装置,该方法包括数据需求方节点发送访问请求至数据存储方节点进而获取加密数据,并获取与自身关联的访问授权策略,其中,访问授权策略为数据拥有方节点发布的,且用于限定数据需求方节点访问具有时间序列数据的权限;基于访问授权策略,确定加密数据的解密密钥;利用解密密钥对加密数据进行解密,获得目标数据,本申请所提供的技术方案可以更好地提高数据访问的安全性。
Description
技术领域
本申请涉及数据访问控制领域,特别是涉及一种数据访问控制的方法及相关装置。
背景技术
近年来,随着各行各业的各种业务电子化,在整个业务的处理过程中,会产生各种各样的数据并将所产生的数据进行上链存储。在业务的处理过程中所产生的数据会产生较多涉密数据或敏感数据,这些涉密数据或敏感数据会对企业的运营产生一定的影响,一旦涉密数据或敏感数据被不法人员的攻击或人为的泄露,必然会造成不可估量的负面影响和损失,故继续一种可以解决上述技术问题的技术方案。
发明内容
本申请主要解决的技术问题是提供一种数据访问控制的方法及相关装置,可以实现更好地提高数据访问的安全性。
为解决上述技术问题,本申请采用的一个技术方案是:提供一种数据访问控制的方法,所述方法包括:
数据需求方节点发送访问请求至数据存储方节点进而获取加密数据,并获取与自身关联的访问授权策略,其中,所述访问授权策略为数据拥有方节点发布的,且用于限定所述数据需求方节点访问具有时间序列数据的权限;
基于所述访问授权策略,确定所述加密数据的解密密钥;
利用所述解密密钥对所述加密数据进行解密,获得目标数据。
为解决上述技术问题,本申请采用的一个技术方案是:提供一种数据访问控制的方法,所述方法包括:
数据拥有方节点接收数据需求方节点所发送的访问授权策略申请,所述访问授权策略申请中包括数据访问的初始时刻;
响应所述访问授权策略申请,将所述初始时刻的第一哈希令牌封装于访问授权策略中;
将所述初始时刻之后的每个时刻的第二哈希令牌存放到密码箱中,并将用于开启所述密码箱的第一密钥封装于所述访问授权策略中;
将所述访问授权策略反馈给所述数据需求方节点。
为解决上述技术问题,本申请采用的又一个技术方案是:提供一种数据访问控制的方法,所述方法包括:
数据存储方节点接收数据需求方节点发送的访问请求;
根据所述访问请求,对所述数据需求方节点进行访问权限验证;
根据所述访问权限验证的结果响应所述访问请求。
为解决上述技术问题,本申请采用的再一个技术方案是:提供一种电子设备,所述电子设备包括处理器以及与所述处理器耦接的存储器;其中,
所述存储器用于存储计算机程序;
所述处理器用于运行所述计算机程序以执行如上任意一项所述的方法。
为解决上述技术问题,本申请采用的又一个技术方案是:提供一种计算机可读存储介质,所述计算机可读存储介质存储有能够被处理器运行的计算机程序,所述计算机程序用于实现如上任意一项所述的方法。
本申请的有益效果是:区别于现有技术的情况,本申请所提供的技术方案,数据需求方节点通过发送访问请求至数据存储方节点进而获取到加密数据,数据需求方节点同时获取与自身关联的访问授权策略,然后再基于所获取的访问授权策略,确定加密数据的解密密钥,然后利用所得的解密密钥对加密数据进行解密,获得目标数据,在本申请所提供的技术方案中,数据需求方节点通过获取数据拥有方节点所发布的的访问授权策略,方可基于所获取的访问授权策略确定用于获取用于解密加密数据的解密密钥,使得数据需求方节点可以基于访问授权策略访问被数据拥有方节点授权访问权限的具有时间序列的数据,避免了不具备访问权限的节点可以随意访问具有时间序列的数据,较好地提高数据访问的安全性,起到了良好的技术效果。
附图说明
图1为本申请一种数据访问控制的方法一实施例中的流程示意图;
图2为本申请一种数据访问控制的方法另一实施例中的流程示意图;
图3为本申请一种数据访问控制的方法又一实施例中的流程示意图;
图4为本申请一种数据访问控制的方法一实施例中的流程示意图;
图5为本申请一种数据访问控制的方法另一实施例中的流程示意图;
图6为本申请一种数据访问控制的方法又一实施例中的流程示意图;
图7为一实施例中的密钥生成示意图;
图8为本申请一种数据访问控制的方法一实施例中的流程示意图;
图9为本申请一种数据访问控制的方法另一实施例中的流程示意图;
图10为本申请一种电子设备一实施例中的结构示意图;
图11为本申请一种计算机可读存储介质一实施例结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅用于解释本申请,而非对本申请的限定。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请所提供的技术方案中,是对具有时间序列的数据进行访问控制。具体地,当数据需求方节点需要访问区块链上或者是区块链内某个节点所存储的数据时,首先需要获得数据拥有方节点授权,数据拥有方节点在为数据需求方节点授权时,会为数据需求方节点发布访问授权策略,进而使得数据需求方节点可以基于访问授权策略获得某一个时间段内的数据的解密密钥,从而获得目标数据。
请参见图1,图1为本申请一种数据访问控制的方法一实施例中的流程示意图。在当前实施例中,本申请所提供的技术方案包括步骤S110至步骤S130。
S110:数据需求方节点发送访问请求至数据存储方节点进而获取加密数据,并获取与自身关联的访问授权策略。
数据需求方节点在需要访问某一段数据时,数据需求方节点首先需要发送访问请求至数据存储方节点,进而获取到存储于数据存储方节点的加密数据。其中,加密数据是数据拥有方节点存储于数据存储方节点的、具有时间序列的加密数据,访问请求中包括数据需求方节点的信息和需要访问的数据的时间信息。如,数据需求方节点需要访问时刻t1到时刻tn之间的数据时,则对应将需要访问的数据的时间信息“t1到时刻tn”封装至访问请求中,以向数据存储方节点请求获取t1到时刻tn之间的加密数据。
数据需求方节点在发送访问请求至数据存储方节点获取加密数据的同时,数据需求方节点还会获取与自身关联的访问授权策略。
其中,访问授权策略为数据拥有方节点发布的,且是用于限定数据需求方节点访问具有时间序列数据的权限信息。访问授权策略中至少封装有第一哈希令牌和第一密钥。其中,第一哈希令牌是用于获取初始时刻的加密数据的解密密钥的哈希令牌,第一密钥是用于获取最新时刻的第二哈希令牌的密钥,第二哈希令牌存储于密码箱中。
在一实施例中,当区块链中包括用于存储各个节点所对应的访问授权策略的授权代理节点时,数据需求方节点可以是直接通过访问授权代理节点获取与自身关联的访问授权策略。其中,区块链中的授权代理节点中存储有各个节点所对应的访问授权策略,且会将各个节点的访问授权策略与各个节点的信息进行关联存储。
在另一实施例中,在数据需求方节点发送访问授权策略申请至数据拥有方节点,且数据拥有方节点响应访问授权策略申请为数据需求方节点发布访问授权策略时,数据需求方节点可以直接将数据拥有方节点发布的访问授权策略保存,并在需要访问数据时,直接通过访问自身存储区获得访问授权策略。
进一步地,同一个数据需求方节点可以同时关联多个不同的访问授权策略,不同的访问授权策略分别用于访问不同的数据拥有方节点的数据。对应的,数据需求方节点所发送的访问请求中还包括其所需要访问的加密数据所对应的数据拥有方信息,以使得数据存储方节点可以根据访问请求,快速查询验证数据需求方节点是否具有对应的访问权限,进而实现快速根据权限的验证结果为数据需求方节点反馈其所请求的加密数据。对应的,数据需求方节点在获取与自身关联的访问授权策略时,获取的是与需要访问的加密数据所对应的数据拥有方关联的访问授权策略。
在一实施例中,当区块链中包括授权代理节点时,步骤S110中获取与自身关联访问授权策略进一步包括:发送查询请求至授权代理节点,以查询得到与自身关联的访问授权策略。
其中,查询请求中包括数据需求方节点的信息,以及所需要访问的数据所对应的数据拥有方节点信息。对应的,数据存储方节点在接收到数据需求方节点发送的访问请求时,则会进一步验证数据需求方节点的权限。具体地,数据存储方节点可以根据访问请求获取到数据需求方节点信息和数据拥有方节点信息,并根据数据需求方节点信息和数据拥有方节点信息访问授权代理节点,进而验证数据需求方节点是否具有访问数据拥有方节点所对应的数据的访问权限。
其中,需要说明的是,在此不限定数据需求方节点获取加密数据和获取访问授权策略的执行顺序。在一实施例中,数据需求方节点可以是在发送访问请求至数据存储方节点获取加密数据的同时,还会获取与自身关联的访问授权策略。
在另一实施例中,数据需求方节点也可以是先发送访问请求至数据存储方节点获取加密数据,再获取与自身关联的访问授权策略。
S120:基于访问授权策略,确定加密数据的解密密钥。
数据需求方节点在获取加密数据和访问授权策略之后,进一步基于访问授权策略确定加密数据的解密密钥。其中,解密密钥可以用于对加密数据进行解密,从而获得目标数据。需要说明的是,在本申请所提供的技术方案中,为了保证数据的安全,会采用动态的加密密钥对数据进行加密,即不同时刻会对待加密数据采用不同的加密密钥进行加密操作从而获得加密数据。
进一步地,请参见图2,图2为本申请一种数据访问控制的方法另一实施例中的流程示意图。在当前实施例中,步骤S120进一步包括步骤S201至步骤S203。
S201:从访问授权策略中获取初始时刻的第一哈希令牌和第一密钥。
如上所述,访问授权策略中封装有初始时刻的第一哈希令牌和第一密钥,故数据需求方节点在获取到自身所对应的访问授权策略时,则会进一步从从访问授权策略中获取初始时刻的第一哈希令牌和第一密钥。
其中,初始时刻为数据需求方节点申请可以访问的时间段内靠前的时刻端点。如,数据需求方节点希望访问时刻t1至tn之间的数据时,初始时刻为t1,则对应的访问授权策略中对应封装的时刻t1对应的第一哈希令牌。
S202:利用第一密钥访问密码箱,获得最新时刻的第二哈希令牌。
数据需求方节点在访问授权策略中获取到第一密钥之后,数据需求方节点利用第一密钥访问密码箱,以从密码箱中获取到最新时刻的第二哈希令牌。其中,第一密钥为数据拥有方节点预先设定的固定密钥,同一个数据拥有方节点可以为不同的数据需求方节点设定相同的第一密钥。
在一实施例中,密码箱可以是存储于区块链上的、用于存放最新时刻的第二哈希令牌的,数据需求方节点利用第一密钥访问存储于区块链上的密码箱,进而从密码箱中获取到最新时刻的第二哈希令牌。
在另一实施例中,密码箱也可以是存储于云平台上的、用于存放最新时刻的第二哈希令牌的。在当前实施例中,数据需求方节点在获取到第一密钥后,利用第一密钥访问存储于云平台上的密码箱,进而从密码箱中获取到最新时刻的第二哈希令牌。
S203:根据初始时刻的第一哈希令牌和最新时刻的第二哈希令牌,确定初始时刻和最新时刻之间所有时刻的解密密钥。
数据需求方节点在获取到初始时刻的第一哈希令牌和最新时刻的第二哈希令牌之后,进一步根据初始时刻的第一哈希令牌和最新时刻的第二哈希令牌,确定初始时刻和最新时刻之间的所有时刻的解密密钥。
其中,在本申请所提供的技术方案中,第一哈希令牌为用于获得加密密钥的哈希令牌。在获取到初始时刻的第一哈希令牌之后,即可根据初始时刻的第一哈希令牌计算获得初始时刻之后所有时刻的第一哈希令牌,同理,在获取到最新时刻的第二哈希令牌之后,可以根据最新时刻的第二哈希令牌计算获得最新时刻之前所有时刻的第二哈希令牌。具体地,第一哈希令牌的获取方式具体参见下文图6以及图7所对应的阐述。
S130:利用解密密钥对加密数据进行解密,获得目标数据。
数据需求方在获取到解密密钥之后,进一步利用解密密钥对所获取到的加密数据进行解密获得目标数据。其中,目标数据是数据需求方节点所需要访问、且执行完解密操作所得的数据。
数据需求方节点通过发送访问请求至数据存储方节点进而获取到加密数据,数据需求方节点同时获取与自身关联的访问授权策略,然后再基于所获取的访问授权策略,确定加密数据的解密密钥,然后利用所得的解密密钥对加密数据进行解密,获得目标数据,在整个数据访问的过程中,数据拥有方节点无需直接将解密密钥分发给数据需求方节点,只需要将用于获取解密密钥的第一哈希令牌和第一密钥封装至访问授权策略中,数据需求方节点通过获取数据拥有方节点所发布的的访问授权策略,即可基于所获取的访问授权策略确定用于获取用于解密加密数据的解密密钥,使得数据需求方节点可以基于访问授权策略访问具有时间序列、且被数据拥有方节点授予访问权限的数据,避免了不具备访问权限的节点可以随意访问具有时间序列的数据,也规避了直接将解密密钥分发给数据需求方节点所造成的解密密钥泄露风险,较好地提高数据访问的安全性。
请参见图3,图3为本申请一种数据访问控制的方法又一实施例中的流程示意图。在当前实施例中,上述步骤S203进一步包括步骤S301至步骤S303。
S301:根据初始时刻的第一哈希令牌,并利用回归算法获得初始时刻和最新时刻之间所有时刻的第一哈希令牌。
在自访问授权策略中获取到初始时刻的第一哈希令牌之后,数据需求方节点利用回归算法基于初始时刻的第一哈希令牌获得初始时刻和最新时刻之间所有时刻的第一哈希令牌。
S302:根据最新时刻的第二哈希令牌,并利用回归算法获得初始时刻和最新时刻之间所有时刻的第二哈希令牌。
数据需求方节点在利用第一密钥访问密码箱,获得最新时刻的第二哈希令牌之后,数据需求方节点进一步根据最新时刻的第二哈希令牌,并利用回归算法获得初始时刻和最新时刻之间所有时刻的第二哈希令牌。其中,需要说明的是,将各个时刻的第一哈希令牌连起来定义为第一哈希令牌链,在本申请所提供的技术方案中,将各个时刻的第二哈希令牌定义为第二哈希令牌链,第二哈希令牌链是基于key-regression算法将第一哈希令牌链反转获得。
S303:对于初始时刻和最新时刻之间每个时刻:利用密钥生成函数分别对各个时刻的第一哈希令牌和第二哈希令牌进行运算,得到各个时刻的第二密钥。
在获取到初始时刻和最新时刻之间的第一哈希令牌以及第二哈希令牌之后,对于初始时刻和最新时刻之间每个时刻,用密钥生成函数对时刻的第一哈希令牌和第二哈希令牌进行运算,分别获得初始时刻和最新时刻之间每一个时刻的第二密钥。
其中,第二密钥为用于对解密密钥进行加密的密钥,每个时刻的第二密钥是基于该时刻的第一哈希令牌和第二哈希令牌获得,具体可以是将第一哈希令牌和第二哈希令牌作为密钥生成函数的输入进而获得第二密钥,数据拥有方节点可以在对待加密数据进行加密后,利用第二密钥对解密密钥进行加密,并将加密后的解密密钥存储至数据需求方可以访问的云平台上。如上所述,解密密钥是数据需求方节点将第一哈希令牌输入至密钥生成函数中获得。其中,用于生成解密密钥的密钥生成函数和用于生成第二密钥的密钥函数可以是相同的,也可以是不同的,具体在此不做限定。
S304:分别利用各个时刻的第二密钥对各个时刻的加密后的解密密钥进行解密,得到每个时刻的解密密钥。
在获得各个时刻的第二密钥之后,进一步分别利用各个时刻的第二密钥对各个时刻的加密后的解密密钥进行解密,得到每个时刻的解密密钥。其中,解密密钥为用于对加密数据进行解密的密钥,每个时刻的解密密钥是将该时刻的第一哈希令牌输入至密钥生成函数中获得的。
在当前实施例中,上述步骤利用解密密钥对加密数据进行解密,获得目标数据进一步包括:分别利用每一时刻的解密密钥,分别对每一时刻的加密数据进行解密,进而获得目标数据。
进一步地,在又一实施例中,当数据需求方节点被授权访问的最后时刻,在数据需求方节点此次期望访问的数据结束时刻之后一段时间内,则在获取到初始时刻和最新时刻之间每个时刻的第一哈希令牌和第二哈希令牌之后,则只需要基于所获取的第一哈希令牌和第二哈希令牌,获取所需访问的时间段内的各个时刻的第二密钥,并基于所获取的第二密钥获取所需访问的时间段内各个时刻的解密密钥即可,而无需获取初始时刻与最新时刻之间所有时刻的第二密钥和解密密钥。如,数据需求方节点被授予可以访问时刻t1至t200之间的数据,但是,数据需求方节点只请求访问时刻t1至t100之间的数据,则对应的,在获取得到时刻t1至t200之间每一个时刻的第一哈希令牌和第二哈希令牌之后,进一步只基于所获取的t1至t100之间第一哈希令牌和第二哈希令牌,分别获取t1至t100之间每个时刻的第二密钥和解密密钥。
请参见图4,图4为本申请一种数据访问控制的方法一实施例中的流程示意图。在当前实施例中,本申请所提供的数据访问控制的方法的执行主体为数据拥有方节点。在当前实施例中,本申请所提供的方法包括步骤S410至步骤S440。
S410:数据拥有方节点接收数据需求方节点所发送的访问授权策略申请。
数据需求方节点在访问区块链内某一段具有时间序列的数据之前,数据需求方节点首先需要向数据拥有方节点发送访问授权策略申请,以获得数据拥有方节点授予的具有时间期限的访问权限。数据拥有方节点在响应数据需求方节点的访问授权策略申请之后,则会为数据需求方节点发布封装了初始时刻的第一哈希令牌和第一密钥的访问授权策略,进而使得数据需求方节点在后续访问所申请的该段时间内的数据时,可以直接基于访问授权策略,获得解密加密数据所需的解密密钥。
其中,访问授权策略申请是数据需求方节点发送至数据拥有方节点,以获得访问授权策略的申请。数据需求方节点所发送的访问授权策略申请中包括初始时刻,初始时刻是指的数据需求方节点所申请的期望具有访问权限的数据所对应的开始时刻。
进一步地,在另一实施例中,访问授权策略申请中包括访问的初始时刻和结束时刻。其中,结束时刻是数据需求方节点所申请的期望具有访问权限的数据所对应的结束时刻。如,在一实施例中,数据需求方节点向数据拥有方节点申请,希望获得对时刻t1至t200之间的数据访问权限,则对应的,t1为初始时刻,t200为结束时刻。
更进一步地,在又一实施例中,访问授权策略申请中包括访问的初始时刻,访问的结束时刻是由数据拥有方节点设定的。如,数据拥有方节点可以根据用户设定的规则为数据需求方节点设定结束时刻,如,可以根据节点的类型设定结束时刻。如可以基于各个节点的信用指数为不同节点设定允许访问的时长,数据拥有方节点可以根据初始时刻、数据需求方节点的信用指数和允许访问的时长确定结束时刻。
数据拥有方节点接收数据需求方节点所发送的访问授权策略申请之后,进一步对数据需求方进行审核,以确定数据需求方节点是否可以被授予其所申请的时间段内的数据访问权。如若数据拥有方节点确定数据需求方节点可以被授予其所申请的时间段内的数据访问权限时,则可以进一步执行下述步骤S420和步骤S430,反之如若确定得到数据需求方节点不可以被授予其所申请的时间段内的数据访问权限时,则结束当前循环。
进一步地,如若在一实施例中,如若会为不同类型的数据需求方节点设定每次可以访问的时长阈值,在时长阈值要求前提下,数据需求方节点可以根据自身需求设定初始时刻和结束时刻,则数据拥有方节点在确定是否授予数据需求方节点对应的访问授权策略时,如若判断得到数据需求方节点所设的初始时刻和结束时刻之间的时长大于时长阈值,则数据拥有方节点确定得到数据需求方节点不可以被授予其所申请的时间段内的数据访问权限。
更进一步地,数据需求方节点预先设定访问自身数据的节点类型,则数据需求方节点在接收到访问授权策略申请时,根据数据需求方节点的节点类型判断是否授予数据需求方节点数据访问权限。数据拥有方节点如若判断得到数据需求方节点的节点类型为自身所设的可以访问数据的节点类型,则确定得到数据需求方节点可以被授予其所申请的时间段内的数据访问权限,反之,如若该数据需求方节点的节点类型不是所设的可以访问数据的节点类型之一,则确定得到数据需求方节点不可以被授予其所申请的时间段内的数据访问权限。
S420:响应访问授权策略申请,将初始时刻的第一哈希令牌封装于访问授权策略中。
数据拥有方节点在接收数据需求方节点所发送的访问授权策略申请之后,并确定数据需求方节点可以被授予访问其所申请的时间段内数据的权限之后,数据拥有方节点响应访问授权策略申请,将初始时刻的第一哈希令牌封装于访问授权策略中。其中,初始时刻为数据需求方节点申请访问的数据的时间起点,可以自访问授权策略申请中获得。
进一步地,在另一实施例中,将初始时刻的第一哈希令牌封装于访问授权策略中,进一步包括:利用数据需求方节点的公钥对初始时刻的第一哈希令牌进行加密,并将加密后的第一哈希令牌封装于访问授权策略中。
在该实施例中,为了进一步保证用于获得解密密钥的初始时刻的第一哈希令牌的安全,避免被不具备访问权限的节点非法获得,数据拥有方节点在响应访问授权策略申请时,会利用数据需求方节点的公钥对初始时刻的第一哈希令牌进行加密,再将加密后的第一哈希令牌封装于访问授权策略中。
S430:将最新时刻的第二哈希令牌存放到密码箱中,并将用于开启密码箱的第一密钥封装于访问授权策略中。
数据拥有方节点在执行数据访问控制的过程中,在将数据加密存储于数据存储方节点的同时,还会将最新时刻的第二哈希令牌存放到密码箱中,并将用于开启密码箱的第一密钥封装于访问授权策略中。其中,密码箱用于存放最新时刻的第二哈希令牌,密码箱可以是存储于区块链上,也可以是存储于多个数据需求方节点可以访问的云平台上,数据需求方节点可以利用第一密钥打开密码箱,从而获得最新时刻的第二哈希令牌。
其中,需要说明的是,则上述步骤S430中的将最新时刻的第二哈希令牌存放到密码箱中的步骤,可以是数据拥有方节点在对最新时刻的数据进行加密并存储至数据存储方节点的同时执行。即在本申请所提供的技术方案中,数据拥有方节点只要是将数据进行加密存储至数据存储方节点时,则会对应将最新时刻在加密操作中的所运用到的第二哈希令牌存放到密码箱中,数据需求方节点可以利用第一密钥访问密码箱,并获得最新时刻的第二哈希令牌,然后基于最新时刻的哈希令牌获取得到最新时刻到初始时刻之间的所有时刻的第二哈希令牌。
S440:将访问授权策略反馈给数据需求方节点。
数据拥有方节点在确定数据需求方节点可以被授予其所申请的数据访问权限时,并将初始时刻的第一哈希令牌和用于打开密码箱的第一密钥封装至访问授权策略中之后,数据拥有方节点还会进一步将访问授权策略反馈给数据需求方节点。
进一步地,数据拥有方节点可以是直接将访问授权策略反馈至数据需求方节点,数据需求方节点在接收到访问授权策略之后,数据需求方节点则会进一步将该访问授权策略与该数据拥有方节点信息进行关联保存。对应的,数据需求方节点中可以保存有多个不同的访问授权策略,且在保存不同数据拥有方节点所对应的访问授权策略时,会将各个数据拥有方节点所对应的访问授权策略分别与对应的数据拥有方节点的信息关联保存,以便可以根据数据拥有方节点的信息快速获取到对应的访问授权策略。
进一步地,数据拥有方节点可以是通过将访问授权策略反馈至授权代理节点,数据需求方节点可以通过访问授权代理节点进而获取到与数据拥有方节点所对应的访问授权策略。在当前实施例中,通过设置授权代理节点,可以减少保存访问授权策略时对于数据需求方节点内存的非必要耗用。同时,这一设置也可以使得其他需要查询访问授权策略的节点,可以快速查询获得数据需求方节点的访问授权策略。
请参见图5,图5为本申请一种数据访问控制的方法另一实施例中的流程示意图。在当前实施例中,本申请所提供的方法包括步骤S501至步骤S505。
S501:数据拥有方节点接收数据需求方节点所发送的访问授权策略申请。
S502:响应访问授权策略申请,将初始时刻的第一哈希令牌封装于访问授权策略中。
S503:将最新时刻的第二哈希令牌存放到密码箱中,并将用于开启密码箱的第一密钥封装于访问授权策略中。
在当前实施例中,步骤S501至步骤S503与上述步骤S410至步骤S430相同,具体可以参见上文对应部分的阐述,具体在此不再赘述。在当前实施例中,在将访问授权策略反馈给数据需求方节点之前还包括步骤S504。
S504:将访问授权策略上链以进行共识验证。
数据拥有方节点在将初始时刻的第一哈希令牌和用于开启密码箱的第一密钥封装于访问授权策略中之后,数据拥有方节点还会将访问授权策略上链,以利用区块链内的各个节点对访问授权策略进行共识验证。其中,数据拥有方节点封装至访问授权策略中的初始时刻的第一哈希令牌为:数据需求方节点所申请访问的初始时刻对数据进行加密操作过程中所运用到的第一哈希令牌。
其中,当数据拥有方节点将访问授权策略上链,使得区块链内的各个节点对访问授权策略进行共识验证时,区块链内的各个节点会对数据需求方节点进行验证,以判断数据需求方节点是否可以被授予对应的访问权限,如若某个节点验证得到数据需求方节点可以被授予对应的访问权限,则该节点确定该访问授权策略有效,反之,若如该节点验证得到数据需求方节点不可以被授予对应的访问权限,则该节点确定得到该访问授权策略无效。如若区块链内有超过设定数量的节点确定访问授权策略有效,则当前的访问授权策略有效,此时数据拥有方节点会执行下述步骤S505;反之,数据拥有方节点则确定访问授权策略没有通过共识验证,即此时的访问授权策略无效,则会结束当前循环不会执行下述步骤S505,并进一步清除掉该无效的访问授权策略,同时还可以通知数据需求方节点。
在当前实施例中,数据拥有方节点可以是通过将访问授权策略反馈至授权代理节点,进而实现通过授权代理节点将访问授权策略反馈给数据需求方节点。故在当前实施例中,上述步骤S440将访问授权策略反馈给数据需求方节点,进一步包括步骤S505。
S505:若授权策略通过共识验证,则将访问授权策略反馈至数据需求方节点和/或授权代理节点。
若访问授权策略通过了区块链内各个节点的共识验证,被确定为有效的访问授权策略,则数据拥有方节点会将访问授权策略反馈至数据需求方节点和/或授权代理节点。
需要说明的是,对于数据拥有方节点而言,本申请所提供的数据访问控制方法还包括数据采集和加密的过程。
故在一实施例中,本申请所提供的方法还包括:采集待加密数据,并根据第一哈希令牌获取加密密钥;利用加密密钥对待加密数据进行加密得到加密数据,并将加密数据存储至数据存储方节点。
其中,待加密数据至少包括数据拥有方节点在运行过程中所产生的需要存储至存储方节点的数据,第一哈希令牌是基于下述图6所示意的步骤中生成的。数据拥有方节点可以是基于密钥生成函数生成加密密钥。需要说明的是,区块链中可以包括至少一个存储方节点,具体数据在此不做限定,具体依据实际的需求进行设置。
请参见图6,图6为本申请一种数据访问控制的方法又一实施例中的流程示意图。在当前实施例中,上述步骤根据第一哈希令牌获取加密密钥之前,本申请所提供的方法还包括图6所示意的步骤S601至步骤S602。
S601:利用伪随机数发生器生成随机源数据。
数据拥有方节点利用伪随机数发生器生成随机源数据。如,在一实施例中,数据拥有方节点可以是利用OpenSSL的伪随机数发生器(PRNG)生成带有熵数据的随机种子作为随机源数据。
S602:利用预设的哈希函数对随机源数据进行哈希运算获得哈希值,并依次递归获得多个具有时间序列的第一哈希令牌。
数据拥有方节点在利用伪随机数发生器生成随机源数据之后,进一步利用预设的哈希函数对随机源数据进行哈希运算获得哈希值,并依次递归获得多个具有时间序列的第一哈希令牌。
在当前实施例中,上述步骤根据第一哈希令牌获取加密密钥,进一步包括步骤S603。
S603:分别基于各个第一哈希令牌,并利用密钥生成函数分别生成各个时刻的加密密钥。
数据拥有方节点在获得多个具有时间序列的第一哈希令牌之后,还会分别基于各个第一哈希令牌,并利用密钥生成函数分别生成各个时刻的加密密钥。
请同时结合图6和图7,图7为一实施例中的密钥生成示意图。在一实施例中,数据拥有方节点利用OpenSSL的伪随机数发生器(PRNG)生成带有熵数据的随机种子作为随机源数据,数据拥有方节点在根节点处对随机种子进行哈希函数运算,生成根哈希散列值(或也可以成为是哈希摘要)。然后分别利用左右哈希函数对根哈希值进行哈希运算进而获得哈希值AB和CD,并依次对每一层所得的哈希值进行递归计算,当计算到足够深的层级时,即如图7中所示意的A1,A2,A3,A4的层次作为各个时刻的第一哈希令牌,然后分别将各个时刻第一哈希令牌输入至密钥生成函数(即图7所示意的每个第一哈希令牌下方的箭头所示意的运算过程)从而生成加密密钥(也是数据需求方计算所求得解密密钥),然后再采用该密钥对待加密数据进行加密。
其中,需要说明的是,上述左右哈希函数的具体可以是自哈希函数算法中获取得到,如可以是SHA1和SHA-256,左右哈希函数具体还可以根据实际的需求进行设置,在此不做限定。
请参见图8,图8为本申请一种数据访问控制的方法一实施例中的流程示意图。在当前实施例中,数据访问控制的方法的执行主体为数据存储方节点,在当前实施例中,本申请所提供的方法包括S810至步骤S830。
S810:数据存储方节点接收数据需求方节点发送的访问请求。
其中,数据存储方节点是为数据拥有方节点存储数据的节点,数据需求方节点可以通过发送访问请求至数据存储方节点,进而获取存储于数据存储方节点上的数据。其中,访问请求中包括数据需求方的信息和数据需求方所需访问的数据所对应的数据拥有方信息。
S820:根据访问请求,对数据需求方节点进行访问权限验证。
数据存储方节点根据所接收到的数据需求方节点的访问请求,对数据需求方节点进行访问权限验证。其中,访问权限验证至少包括确定数据需求方节点是否具有访问其所申请的数据拥有方节点的数据的权限。
S830:根据访问权限验证的结果响应访问请求。
数据存储方节点对数据需求方节点进行访问权限验证之后,数据存储方节点进一步根据访问权限验证的结果响应访问请求。如若确定得到数据需求方节点具有对应的访问权限,则数据存储方节点则允许数据需求方节点访问对应的数据。反之,如若确定得到数据需求方节点不具备对应的访问权限,则数据存储方节点会拒绝数据需求方节点的访问请求,以保护数据的安全性。
进一步地,入肉确定数据需求方节点对数据拥有方节点具备访问权限,则数据存储方节点对应展示数据需求方权限内所对应的数据。如,数据需求方节点具有访问数据拥有方节点时刻tc至时刻ts之间的数据,则对应的数据存储方节点会将时刻tc至时刻ts之间的加密数据反馈给数据需求方节点,对于时刻tc至时刻ts以外的数据则不会展示给数据需求方节点,也会反馈给数据需求方节点。
进一步地,请参见图9,图9为本申请一种数据访问控制的方法另一实施例中的流程示意图。在当前实施例中,本申请所提供的方法包括步骤S901至步骤S904。
S901:数据存储方节点接收数据需求方节点发送的访问请求。
在当前实施例中,步骤S901与上文所述的S810相同,具体可以参见上文对应部分的刹那书,在此不再赘述。上述步骤S820根据访问请求,对数据需求方节点进行访问权限验证进一步包括步骤S902至步骤S903。
S902:查询是否存在与数据需求方节点关联的访问授权策略。
数据需求方节点接收到访问请求之后,进一步根据访问请求获取数据需求方节点信息和数据拥有方节点信息,然后根据所获取的数据需求方节点信息和数据拥有方节点信息,查询是否存在由数据拥有方节点发布的、且与数据需求方节点关联的访问授权策略。
如若查询得到存在由数据拥有方节点发布的、且与数据需求方节点关联的访问授权策略(也可以理解为是为数据需求方节点发布的访问授权策略),则确定数据需求方节点具有对应的访问权限,反之,入肉查询没有得到数据拥有方节点发布的访问授权策略,则确定数据需求方节点不具备对应的访问权限。
进一步地,当区块链内存在授权代理节点时,则上述步骤S902查询是否存在数据需求方节点关联的访问授权策略,进一步包括:发送访问授权策略查询请求至授权代理节点,以查询与数据需求方节点关联、且有效的访问授权策略。
S903:若存在与数据需求方节点关联的访问授权策略,则确定数据需求方节点具有访问权限,并根据访问授权策略确定数据需求方节点被允许访问的初始时刻和结束时刻。
若查询得到存在与数据需求方节点关联的访问授权策略,则确定得到数据需求方节点具有访问权限。其中,数据需求方节点被允许访问的初始时刻为:数据拥有方节点所允许数据需求方节点访问的具有时间序列顺序的数据最靠前的时刻,数据需求方节点被允许访问的结束时刻为:数据拥有方节点所允许数据需求方节点访问的具有时间序列的数据最后的一个时刻。需要说明的是,当数据需求方节点的结束时刻还没有到来,则对应的会将最新时刻默认为当前的结束时刻,依次类推直至访问授权策略中的结束时刻到来。
S904:响应访问请求,将加密数据反馈给数据需求方节点。
在验证得到存在与数据需求方节点关联的访问授权策略,并在数据需求方节点被允许访问的初始时刻和结束时刻后,数据存储方节点响应数据需求方节点的访问请求,将允许访问的初始时刻与结束时刻,或是允许访问的初始时刻与最新时刻之间的加密数据反馈给数据需求方节点。
请同时结合图1至图9,本申请所提供的数据访问控制的方法一实施例中包括如下流程:数据需求方节点希望可以访问数据拥有方节点过去某一时刻(初始时刻ti)到最新时刻(现在)之间所产生的数据或过去某一段时间内(如ti-tj时间段)所产生的数据,则数据需求方节点会向数据拥有方节点发送访问授权策略请求,以获得数据拥有方节点为数据需求方节点发布的访问授权策略。数据拥有方节点在访问授权策略里封装了初始时刻ti的第一哈希令牌t′i和用于开启密码箱的密钥,并发布访问控制交易(注:交易里有该策略的哈希值),从而为数据需求方节点设置授权许可。其中,只有通过区块链内的共识验证的访问授权策略才是有效的。
此时区块链内的授权代理节点扫描区块链上的策略交易过程,并将所有有效的访问授权策略缓存,以维持全局状态同步,方便快速响应查询请求确定某一数据需求方节点是否具备对某一段时间内的数据的访问权限。
当数据需求方节点(如招投标流程中的招标方节点、招标代理商节点、评标专家节点等主体)需要访问最新产生的数据或过去某一段时间内产生的数据时,则数据需求方节点发送访问请求给数据存储方节点。数据存储方节点收到请求后,验证该数据需求方节点的身份,并查询与该数据需求方节点相关联的访问授权策略。其中,数据存储方节点可以是通过发送查询请求至授权代理节点来验证这个数据需求方节点是否具备访问权限。
授权代理节点在接收到查询请求后,进一步在本地策略缓存里查询是否存在与该数据需求方节点关联的访问授权策略。若存在,则将“该数据需求方节点在数据拥有方节点的授权列表”里的消息反馈给数据存储方节点。数据需求方节点也可以是在授权代理节点那里查询获取到访问授权策略,并可以获取里面事先封装的被允许访问的初始时刻的第一哈希令牌。
数据需求方节点获取访问授权策略后,进一步基于访问授权策略来计算得到解密密钥,并通过访问控制模块开放读取存储于数据存储方节点的加密数据的API接口来获取加密数据,再利用该解密密钥执行解密数据操作,从而实现安全的数据访问。
数据拥有方节点对于待加密数据的整个加密流程如下:以hash token为密钥生成函数(KDF)的输入,生成加密密钥DEK。例如:在某一时刻ti的加密密钥:KDF(hi)=DEKi,在最新时刻KDF(hj+1)=DEKj+1,数据拥有方节点利用密钥DEKi对待加密数据加密,并将加密数据上传到数据存储方节点(如云服务器或分布式数据库)。
同时,数据拥有方节点将初始时刻的第一哈希令牌用数据需求方节点的公钥加密,并和第一密钥封装于访问授权策略。其中,第一密钥为打开密码箱获取最新时刻的第二哈希令牌的密钥。
数据拥有方节点还需要把最新时刻tj+1的数据加密密钥(DEKj+1)经SEKj+1加密,并记为存放于数据需求方节点可以访问的位置,如区块链内或云平台内。数据拥有方节点还会将最新时刻的第二哈希令牌存放在密封密码箱里。而打开黑盒的第一密钥KD被封装至访问授权策略中。注:SEKj+1是以每个时刻的第一哈希令牌和第二哈希令牌作为密钥生成函数的输入而生成的一种密钥,具体是用于对加密密钥(DEKj+1)进行加密。
其中,在数据拥有方节点具有多个数据需求方节点时,这样设置可以使得数据拥有方节点无需向每个数据需求方节点不停地分发最新时刻的第二哈希令牌,只需要向不同数据需求方节点分发一个固定的第一密钥,就可以让各个数据需求方节点拿着这个第一密钥自己去取最新时刻的第二哈希令牌,从而实现降低通信/计算消耗。
数据需求方节点的解密过程如下:
首先需要说明的是,本申请所提供的技术方案中使用的是“对称加解密”,即数据拥有方节点对数据执行加密时所采用的加密密钥和数据需求方节点对加密数据执行解密操作的解密密钥为同一密钥。
本申请所提供的技术方案中,数据拥有方节点将初始时刻的第一哈希令牌下发给数据需求方节点,使得数据需求方节点可以直接依据密钥回归算法,根据这个初始时刻的第一哈希令牌hj除了能够生成对应的加解密的密钥DEKi之外,还能够由哈希函数生成所有前面各个时刻的第一哈希令牌(hj-1,hj-2,…,hi,…,h0)。
同理,数据需求方节点通过将最新时刻的第二哈希令牌放入至密码箱中,数据需求方节点利用第一密钥获取到最新时刻的第二哈希令牌h’i后,数据需求方节点就可以根据密钥回归算法计算出后续所有时刻的第二哈希令牌(h′i,h′i+1,h′i+2,…,h′j,h′j+1)。
对于同一时刻ti会有两个哈希令牌,分别是hi和h′i。同理,在时刻tj也会两个哈希令牌,分别是(hj,h'j)。有了上述技术基础,如果数据需求方节点想要访问从时间ti到某一时刻tj或直至最新时刻的数据,其数据解密流程如下:
数据需求方节点从“访问授权策略”里获取初始时刻ti的哈希令牌hi,利用回归算法,根据反转链的性质不断向前计算得到最新时间tj+1的哈希令牌hj+1,计算公式为H(j-i+1)(hi)=hj+1
另外,还会从“访问授权策略”里获取第一密钥,打开密码箱,获取最新时刻的第二哈希令牌h'j+1,并利用回归算法,计算获得最新时刻之前各个时刻的第二哈希令牌。分别联合各个时刻的第一哈希令牌和第二哈希令牌hj+1和h'j+1经过“密钥生成函数(KDF)”生成第二密钥SEKj+1,计算公式为:KDF(hj+1||h'j+1)=SEKj+1,获得这个密钥SEKj+1后再解密从而获得解密密钥DEKj+1,进而以此来解密加密数据获得目标数据,整个过程安全可靠,可以较好地提高数据访问的安全性。
请参见图10,图10为本申请一种电子设备一实施例中的结构示意图。在当前实施例中,本申请所提供的电子设备1000包括处理器1001以及与处理器1001耦接的存储器1002和通信电路1003。电子设备1000可以执行图1至图9及其对应的任意一个实施例中所述的方法。
其中,存储器1002包括本地储存(图未示),且用于存储有计算机程序,计算机程序被执行时可以实现图1至图9及其所对应的任意一个实施例中所述的方法。
处理器1001与存储器1002耦接,处理器1001用于运行计算机程序,以执行如上图1至图9及其对应的任意一个实施例中所述的方法。
通信电路1003与处理器1001连接,用于在处理器1001的控制下与外部的电子设备进行交互,以发送信令或接收信令。
进一步地,在一些实施例中,电子设备可包括移动终端、车载终端、摄像头、电脑终端、计算机、具备计算存储能力的图像采集设备、服务器等中的任意一种,也可以包括其他任何具有计算处理功能的设备。
参见图11,图11为本申请一种计算机可读存储介质一实施例结构示意图。该计算机可读存储介质1100存储有能够被处理器运行的计算机程序1101,该计算机程序1101用于实现如上图1至图6及其对应的任意一个实施例中所描述的方法。具体地,上述计算机可读存储介质1100可以是存储器、个人计算机、服务器、网络设备,或者U盘等其中的一种,具体在此不做任何限定。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (12)
1.一种数据访问控制的方法,其特征在于,所述方法包括:
数据需求方节点发送访问请求至数据存储方节点进而获取加密数据,并获取与自身关联的访问授权策略,其中,所述访问授权策略为数据拥有方节点发布的,且用于限定所述数据需求方节点访问具有时间序列数据的权限;
基于所述访问授权策略,确定所述加密数据的解密密钥;
利用所述解密密钥对所述加密数据进行解密,获得目标数据。
2.根据权利要求1所述的方法,其特征在于,获取所述与自身关联访问授权策略,进一步包括:
发送查询请求至授权代理节点,以查询得到所述与自身关联的访问授权策略。
3.根据权利要求1所述的方法,其特征在于,所述基于所述访问授权策略,确定所述加密数据的解密密钥,进一步包括:
从所述访问授权策略中获取初始时刻的第一哈希令牌和第一密钥;
利用所述第一密钥访问密码箱,获得最新时刻的第二哈希令牌;
根据所述初始时刻的第一哈希令牌和所述最新时刻的第二哈希令牌,确定所述初始时刻和所述最新时刻之间所有时刻的解密密钥。
4.根据权利要求3所述的方法,其特征在于,所述根据所述初始时刻的第一哈希令牌和所述最新时刻的第二哈希令牌,确定所述初始时刻和所述最新时刻之间所有时刻的解密密钥,进一步包括:
根据所述初始时刻的第一哈希令牌,并利用回归算法获得所述初始时刻和所述最新时刻之间所有时刻的第一哈希令牌;
根据所述最新时刻的第二哈希令牌,并利用回归算法获得所述初始时刻和所述最新时刻之间所有时刻的第二哈希令牌;
对于所述初始时刻和所述最新时刻之间每个时刻:利用密钥生成函数分别对各个所述时刻的所述第一哈希令牌和所述第二哈希令牌进行运算,对应得到各个所述时刻的第二密钥;
分别利用各个所述时刻的所述第二密钥对各个所述时刻的加密后的解密密钥进行解密,得到各个所述时刻的所述解密密钥。
5.根据权利要求3所述的方法,其特征在于,所述利用所述解密密钥对所述加密数据进行解密,获得目标数据,进一步包括:
对于所述初始时刻和所述最新时刻之间每个时刻:分别利用所述每一时刻的所述解密密钥,分别对所述每一时刻的加密数据进行解密,进而获得所述目标数据。
6.一种数据访问控制的方法,其特征在于,所述方法包括:
数据拥有方节点接收数据需求方节点所发送的访问授权策略申请,所述访问授权策略申请中包括数据访问的初始时刻;
响应所述访问授权策略申请,将所述初始时刻的第一哈希令牌封装于访问授权策略中;
将最新时刻的第二哈希令牌存放到密码箱中,并将用于开启所述密码箱的第一密钥封装于所述访问授权策略中;
将所述访问授权策略反馈给所述数据需求方节点。
7.根据权利要求6所述的方法,其特征在于,所述将所述初始时刻的第一哈希令牌封装于访问授权策略中,进一步包括:
利用所述数据需求方节点的公钥对所述初始时刻的第一哈希令牌进行加密,并将加密后的第一哈希令牌封装于所述访问授权策略中。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
采集待加密数据,并根据当前时刻所述第一哈希令牌获取加密密钥,根据当前时刻的第一哈希令牌和第二哈希令牌获得第二密钥;
利用所述加密密钥对所述待加密数据进行加密得到加密数据,将所述加密数据存储至存储方节点,并利用所述当前时刻的第二密钥加密所述加密密钥,并加密后的所述加密密钥存储至云平台。
9.根据权利要求8所述的方法,其特征在于,所述根据所述第一哈希令牌获取加密密钥之前,所述方法还包括:利用伪随机数发生器生成随机源数据;
利用预设的哈希函数对所述随机源数据进行哈希运算获得哈希值,并依次递归获得多个具有时间序列的第一哈希令牌;
所述根据所述第一哈希令牌获取加密密钥,进一步包括:分别基于各个所述第一哈希令牌,并利用密钥生成函数分别生成各个时刻的所述加密密钥。
10.一种数据访问控制的方法,其特征在于,所述方法包括:
数据存储方节点接收数据需求方节点发送的访问请求;
根据所述访问请求,对所述数据需求方节点进行访问权限验证;
根据所述访问权限验证的结果响应所述访问请求。
11.一种电子设备,其特征在于,所述电子设备包括处理器以及与所述处理器耦接的存储器;其中,
所述存储器用于存储计算机程序;
所述处理器用于运行所述计算机程序以执行权利要求1至10任意一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有能够被处理器运行的计算机程序,所述计算机程序用于实现权利要求1至10任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111013114.6A CN113792332A (zh) | 2021-08-31 | 2021-08-31 | 一种数据访问控制的方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111013114.6A CN113792332A (zh) | 2021-08-31 | 2021-08-31 | 一种数据访问控制的方法及相关装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113792332A true CN113792332A (zh) | 2021-12-14 |
Family
ID=78876757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111013114.6A Pending CN113792332A (zh) | 2021-08-31 | 2021-08-31 | 一种数据访问控制的方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113792332A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850224A (zh) * | 2017-04-13 | 2017-06-13 | 桂林电子科技大学 | 一种私钥定长的密文策略属性基加密方法 |
CN109559124A (zh) * | 2018-12-17 | 2019-04-02 | 重庆大学 | 一种基于区块链的云数据安全共享方法 |
CN109995712A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团湖北有限公司 | 数据加解密方法、装置、设备及介质 |
CN110493347A (zh) * | 2019-08-26 | 2019-11-22 | 重庆邮电大学 | 基于区块链的大规模云存储中数据访问控制方法及系统 |
CN110611570A (zh) * | 2019-09-26 | 2019-12-24 | 鹏城实验室 | 一种加密、密钥信息提供以及数据获取方法、装置 |
CN111953483A (zh) * | 2020-07-29 | 2020-11-17 | 哈尔滨工程大学 | 一种基于准则的多授权机构访问控制方法 |
CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
CN112668018A (zh) * | 2020-12-24 | 2021-04-16 | 山大地纬软件股份有限公司 | 一种基于区块链的政府数据协议授权共享的方法与装置 |
-
2021
- 2021-08-31 CN CN202111013114.6A patent/CN113792332A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850224A (zh) * | 2017-04-13 | 2017-06-13 | 桂林电子科技大学 | 一种私钥定长的密文策略属性基加密方法 |
CN109995712A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团湖北有限公司 | 数据加解密方法、装置、设备及介质 |
CN109559124A (zh) * | 2018-12-17 | 2019-04-02 | 重庆大学 | 一种基于区块链的云数据安全共享方法 |
CN110493347A (zh) * | 2019-08-26 | 2019-11-22 | 重庆邮电大学 | 基于区块链的大规模云存储中数据访问控制方法及系统 |
CN110611570A (zh) * | 2019-09-26 | 2019-12-24 | 鹏城实验室 | 一种加密、密钥信息提供以及数据获取方法、装置 |
CN111953483A (zh) * | 2020-07-29 | 2020-11-17 | 哈尔滨工程大学 | 一种基于准则的多授权机构访问控制方法 |
CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
CN112668018A (zh) * | 2020-12-24 | 2021-04-16 | 山大地纬软件股份有限公司 | 一种基于区块链的政府数据协议授权共享的方法与装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021184968A1 (zh) | 共享集群密钥的方法及装置 | |
CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
US7877604B2 (en) | Proof of execution using random function | |
US7697691B2 (en) | Method of delivering Direct Proof private keys to devices using an on-line service | |
JP2552061B2 (ja) | 公開キー暗号システムにおいてネットワーク安全保証ポリシーが狂わないようにする方法及び装置 | |
US20170244687A1 (en) | Techniques for confidential delivery of random data over a network | |
KR20190109419A (ko) | 암호화키를 사용한 신뢰 실행 환경의 어드레싱 기법 | |
CA2921740C (en) | Enabling access to data | |
US20080059809A1 (en) | Sharing a Secret by Using Random Function | |
CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
KR20190108580A (ko) | 서명키를 사용한 신뢰 실행 환경의 어드레싱 기법 | |
US20210143986A1 (en) | Method for securely sharing data under certain conditions on a distributed ledger | |
US11329835B2 (en) | Apparatus and method for authenticating IoT device based on PUF using white-box cryptography | |
CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
JP2023500570A (ja) | コールドウォレットを用いたデジタルシグニチャ生成 | |
KR20120007509A (ko) | 일종의 신분 인증 및 공유키 생성방법 | |
CN101834853A (zh) | 匿名资源共享方法和系统 | |
CN113726733B (zh) | 一种基于可信执行环境的加密智能合约隐私保护方法 | |
CN114500069A (zh) | 一种电子合同的存储及共享的方法与系统 | |
CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
CN115883154A (zh) | 访问凭证的颁发方法、基于区块链的数据访问方法及装置 | |
KR20210058313A (ko) | 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템 | |
CN103944721A (zh) | 一种基于web的保护终端数据安全的方法和装置 | |
CN108616516A (zh) | 一种基于多种加密算法的第三方明文口令校验方法 | |
CN110740036A (zh) | 基于云计算的防攻击数据保密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |