CN114050915B - 隔离网络下细粒度权限访问同步方法、装置及设备 - Google Patents

隔离网络下细粒度权限访问同步方法、装置及设备 Download PDF

Info

Publication number
CN114050915B
CN114050915B CN202111240357.3A CN202111240357A CN114050915B CN 114050915 B CN114050915 B CN 114050915B CN 202111240357 A CN202111240357 A CN 202111240357A CN 114050915 B CN114050915 B CN 114050915B
Authority
CN
China
Prior art keywords
data
network
key
encrypted
fine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111240357.3A
Other languages
English (en)
Other versions
CN114050915A (zh
Inventor
李晓风
许金林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Zhongke Lattice Technology Co ltd
Original Assignee
Anhui Zhongke Lattice Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Zhongke Lattice Technology Co ltd filed Critical Anhui Zhongke Lattice Technology Co ltd
Priority to CN202111240357.3A priority Critical patent/CN114050915B/zh
Publication of CN114050915A publication Critical patent/CN114050915A/zh
Application granted granted Critical
Publication of CN114050915B publication Critical patent/CN114050915B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及数据隐私保护技术领域,公开了一种隔离网络下细粒度权限访问同步方法、装置及设备,所述方法包括:采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,并将得到的细粒度的加密数据或大文件加密数据的数据摘要写入第一区块链,密钥表中的密钥与所述待加密数据的每个属性相对应;根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,完成数据访问;本发明实现了数据细粒化访问控制和数据同步,可满足多场景下的业务需求,采用区块链技术保证了数据传输过程中不可篡改,极大的提升了系统访问数据的安全性。

Description

隔离网络下细粒度权限访问同步方法、装置及设备
技术领域
本发明涉及数据隐私保护技术领域,尤其涉及隔离网络下细粒度权限访问同步方法、装置及设备。
背景技术
物理隔离是采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时。为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,这些网络几乎全部要求采用物理隔离技术。但是,在现有技术中,网络处于完全隔离环境下的数据存在加密同步的安全性问题的缺陷。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种隔离网络下细粒度权限访问同步方法、装置及设备,旨在解决现有技术中隔离网络下数据存在加密同步安全性的技术问题。
为实现上述目的,本发明提供了一种隔离网络下细粒度权限访问同步方法,所述隔离网络下细粒度权限访问同步方法包括以下步骤:
采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,所述密钥表中的密钥与所述待加密数据的每个属性相对应;
根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密。
可选地,所述密钥表包括总密钥、与所述待加密数据中的数据实体相对应的次一级密钥和与所述数据实体的多层级属性对应的多层级子密钥;
所述总密钥用于为所述数据实体生成所述次一级密钥,所述次一级密钥用于为相应的所述数据实体的多层级属性分发对应层级的子密钥。
可选地,所述采用密钥表对第一网络中的待加密数据进行加密,包括:
采用HD密钥分发技术,根据所述待加密数据的结构生成所述密钥表;
将所述密钥表中的密钥分层级分发至所述待加密数据的各属性,以对所述待加密数据进行加密。
可选地,还包括:
将所述加密数据进行序列化处理后写入第一区块链,所述第一区块链位于所述第一网络。
可选地,还包括:
对所述授权密钥进行加密后同步至所述第二网络。
可选地,所述根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,包括:
根据所述第二网络发送的数据请求,将所述被请求同步的数据同步至第二区块链,所述第二区块链位于所述第二网络中;
将所述授权密钥同步至所述第二网络的业务系统。
可选地,所述在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,包括:
对同步至所述第二区块链的加密数据进行反序列化操作,得到原始加密数据;
采用所述授权密钥对所述原始加密数据进行解密,完成数据访问。
此外,为实现上述目的,本发明还提出一种隔离网络下细粒度权限访问同步装置,所述隔离网络下细粒度权限访问同步装置包括:
数据加密模块,用于采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,所述密钥表中的密钥与所述待加密数据的每个属性一一对应;
数据同步模块,根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,完成数据访问。
此外,为实现上述目的,本发明还提出一种隔离网络下细粒度权限访问同步设备,所述隔离网络下细粒度权限访问同步设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的隔离网络下细粒度权限访问同步程序,所述隔离网络下细粒度权限访问同步程序配置有实现如上所述的隔离网络下细粒度权限访问同步方法。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有隔离网络下细粒度权限访问同步程序,所述隔离网络下细粒度权限访问同步程序被处理器执行时实现如上所述的隔离网络下细粒度权限访问同步方法。
本发明提出的隔离网络下细粒度权限访问同步方法,采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,所述密钥表中的密钥与所述待加密数据的属性一一对应;根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,完成数据访问;本发明通过物理隔离网络下的数据加密和细粒度化访问权限与区块链进行结合,对第一网络环境的数据分属性加密,将加密数据和第一网络环境授权公开的数据属性所对应的密钥同步至第二网络,供第二网络进行数据解密,实现了数据细粒化访问控制和相应的数据同步,可满足多场景下的业务需求;数据传输到第二网络后可以随时进行数据对照,极大的提升了系统访问数据的安全性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的隔离网络下细粒度权限访问同步设备的结构示意图;
图2为本发明隔离网络下细粒度权限访问同步方法第一实施例的流程示意图;
图3为本发明隔离网络下细粒度权限访问同步方法第二实施例的流程示意图;
图4为本发明密钥层级关系示意图;
图5为本发明待加密数据的属性数据表与密钥表对应示意图;
图6为本发明隔离网络下细粒度权限访问同步方法第三实施例的流程示意图;
图7为本发明隔离网络下细粒度权限访问同步方法第三实施例的整体流程示意图;
图8为本发明密钥数据对照示意图;
图9为本发明数据解密时,加密数据与密钥对应示意图;
图10为本发明隔离网络下细粒度权限访问同步装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的隔离网络下细粒度权限访问同步设备结构示意图。
如图1所示,该隔离网络下细粒度权限访问同步设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,Wi-Fi)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-VolatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对隔离网络下细粒度权限访问同步设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及隔离网络下细粒度权限访问同步程序。
在图1所示的隔离网络下细粒度权限访问同步设备中,网络接口1004主要用于与细粒度权限访问同步设备进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明隔离网络下细粒度权限访问同步设备中的处理器1001、存储器1005可以设置在隔离网络下细粒度权限访问同步设备中,所述隔离网络下细粒度权限访问同步设备通过处理器1001调用存储器1005中存储的隔离网络下细粒度权限访问同步程序,并执行本发明实施例提供的隔离网络下细粒度权限访问同步方法。
基于上述硬件结构,提出本发明隔离网络下细粒度权限访问同步方法实施例。
参照图2,图2为本发明隔离网络下细粒度权限访问同步方法第一实施例的流程示意图。
在第一实施例中,所述隔离网络下细粒度权限访问同步方法包括以下步骤:
步骤S10,采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,所述密钥表中的密钥与所述待加密数据的每个属性一一对应;
需要说明的是,需要说明的是,本实施例的执行主体为隔离网络下细粒度权限访问同步设备,还可为其他可实现相同或相似功能的设备,本实施例对此不作限制。
需要说明的是,本实施例对于第一网络中的待加密数据,采用与数据各属性对应的密钥对数据属性进行加密,通过将待加密数据进行属性划分,实现细粒度加密。
在具体实施中,隔离网络下细粒度权限访问同步设备采用密钥表对第一网络中的待加密数据进行加密,所述密钥表中的密钥与所述待加密数据的每个属性一一对应。
步骤S20,根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,完成数据访问。
需要说明的是,本实施例中的第一网络和第二网络为物理隔离,可以分别为内网和外网,即不能通过网络进行内外网的数据通信。
应当理解的是,本实施例所指物理隔离是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时。为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,这些网络几乎全部要求采用物理隔离技术。
需要说明的是,本实施例通过外接设备分别与内外网进行通信,进行数据同步。
在具体实施中,隔离网络下细粒度权限访问同步设备根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,完成数据访问。
需要说明的是,授权密钥用于对某一部分加密数据进行解密,可以是当次传输过去的加密数据进行解密,亦可以对之前已经传输至第二网络的加密数据进行授权后解密。
本实施例通过对内网环境的数据分属性进行加密,根据第二网络发送的数据请求,对需要公开的数据属性授权,并将需要披露的数据属性传递给业务系统,通过外接设备同步需要披露的数据和授权密钥至外网,通过将结构化数据细粒度加密,通过密钥分发技术实现数据分属性加密和披露,提升隔离环境下同步问题的安全性。
在一实施例中,如图3所述,基于第一实施例提出本发明隔离网络下细粒度权限访问同步方法第二实施例,所述步骤S10中的待加密数据为结构化数据,本实施例将结构化数据存储在第一网络中相应的数据库中,并采用密钥表中的密钥对结构化数据各属性进行加密。
需要说明的是,本实施例所指结构化数据为行数据,是由二维表结构来逻辑表达和实现的数据,通过对结构化数据分层加密,提高了内网数据的安全性。
进一步地,所述密钥表包括总密钥、与所述待加密数据中的数据实体相对应的次一级密钥和与所述数据实体的多层级属性对应的多层级子密钥;
所述总密钥用于为所述数据实体生成所述次一级密钥,所述次一级密钥用于为相应的所述数据实体的多层级属性分发对应层级的子密钥。
需要说明的是,本实施例中,待加密数据的每个属性有各自对应的密钥,密钥跟随属性分层级,其中,父密钥比子密钥的层级高,可以查看加解密下一层级的数据。
进一步地,所述步骤S10包括:
步骤S101,采用HD密钥分发技术,根据所述待加密数据的结构生成所述密钥表。
需要说明的是,密钥包含几个参数,加密时用其中的公钥参数对结构中相应的数据进行加密,解密时用相应的私钥等数据进行解密。
步骤S102,将所述密钥表中的密钥分层级分发至所述待加密数据的各属性,以对所述待加密数据进行加密。
需要说明的是,密钥的层级关系如图4所示,一张表有一个总密钥skroot,skroot为每个实体分发一个次一级密钥,即skA,skB,skC,skD。每个实体的次一级密钥又会对自己每个属性分发子密钥,比如skA给自己的属性加密为skA1,skA2,……,skAn
如图5所示,图5中左侧为待加密数据的属性数据表,表中属性尚未加密,表中每个实体对应不同属性;右侧为密钥表,和属性数据表中每个属性相对应,对应位置存储的是相应的密钥;利用每个属性对应的密钥对数据属性进行加密,通过数据多级加密保证了数据安全性。
进一步地,还包括:
将所述加密数据进行序列化处理后写入第一区块链,所述第一区块链位于所述第一网络。
特别地,考虑到大文件数据可能存储不上去,而导致上链失败,本实施例还包括:
判断所述加密数据的大小是否超过设定的限制值;
若是,则将所述加密数据的数据摘要进行序列化处理后写入第一区块链,将所述加密数据进行序列化处理后等待传输;
若否,则将所述加密数据进行序列化处理后写入第一区块链,所述第一区块链位于所述第一网络。
需要说明的是,本实施例中根据加密数据的大小,采用不同的存储和上链方式,具体为大文件数据存储时只会存储数据摘要来保证数据不被篡改,数据一旦被篡改就失去其真实性(此时只是验证),大文件数据的主体部分不会存储到区块链上,小的细粒度加密数据直接存储在区块链上。
需要说明的是,由于数据存证是需要消耗手续费的,数据越大,手续费越多,有的区块链如以太坊会设置上限,大文件数据可能存储不上去,而导致上链失败;本实施例通过将细粒度的加密数据直接上链,将大文件的加密数据的数据摘要上链,加密数据随着物理设备一起传输,确保数据成功传输。
可以理解的是,关于本实施例中设定的限制值,本领域技术人员可根据不同区块链的存储容量设定,本实施例不做具体限定。
需要说明的是,序列化操作是指将数据结构或对象转换成二进制串的过程。在传递和保存对象时保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。
需要说明的是,本实施例通过对细粒度的加密数据或大文件加密数据的数据摘要,以及大文件加密数据进行序列化操作,即存储在内网数据转换成二进制串有序字节流,方便存储在第一区块链上以及方便内外网之间的传输。
需要说明的是,本实施例通过对内网环境的数据分属性进行加密,并将授权公开即需要披露的数据传递给业务系统,通过外接设备同步待同步的加密数据和相应密钥至外网区块链,通过将结构化数据细粒度加密,结合区块链技术在网络完全隔离的环境下进行数据同步,通过密钥分发技术实现数据分属性加密和披露,提升隔离环境下同步问题的安全性。
进一步地,还包括:
对所述授权密钥进行加密后同步至所述第二网络。
需要说明的是,通过对授权密钥进行加密后再传输,使用公钥为对方数字证书中的公钥,保证了密钥传输安全性,且在第二网络中,需要对加密后的授权密钥进行解密后,利用解密后的授权密钥对原始加密数据进行解密。
在一实施例中,如图6至7所述,基于第一实施例提出本发明隔离网络下细粒度权限访问同步方法第三实施例,所述步骤S20,包括:
步骤S201,根据所述第二网络发送的数据请求,将所述被请求同步的数据同步至第二区块链,所述第二区块链位于所述第二网络中。
步骤S202,将所述授权密钥同步至所述第二网络的业务系统。
需要说明的是,内网业务系统可以选择在同步过程中对于某些加密属性的密钥进行选择性的披露;披露的密钥和第一区块链中需要同步的数据一起同步到外接设备中,外接设备将其中的加密数据同步至第二区块链中,将披露密钥即授权密钥同步至外网业务系统。
需要说明的是,内网业务系统授权公开数据的哪些属性,授权公开自身部分的属性,就需要将公开的属性对应的密钥公开给外网业务系统,需要等待外接设备将密钥同步过去。
同步内网第一区块链数据,内网中第一区块链不停增长,外网需要同步内网数据,同步过去的数据即为已经加密的序列化的数据。数据同步需要外接设备连接内网。内网第一区块链的最新数据在外接设备上进行初次同步,同时外接设备存储内网业务系统披露的部分密钥,同步过后外接设备断开与内网的连接,准备同步数据至外网。
内外网授权数据同步,外接设备连接外网,外网开始同步外接设备中的区块数据,使得外网第二区块链的账本更新至最新;外网业务系统获取内网授权披露的密钥。
步骤S203,对同步至所述第二区块链的加密数据进行反序列化操作,得到原始加密数据。
步骤S204,采用所述授权密钥对所述原始加密数据进行解密,完成数据访问。
需要说明的是,在外网中,对第二区块链上的数据进行反序列化操作,还原原始加密数据,外网业务系统使用披露的密钥解密相应原始加密数据,获取所需访问的数据,如图9所示。
需要说明的是,外网反序列化区块链上的数据,得到加密后的数据后进行存储,此时数据从区块链上转移到链下,链上链下都有存储,因区块链的特性,可以增强存储数据的安全,链下业务系统随时可以进行反序列化数据的检查,保证数据的安全。
如图8所示,本实施例通过对内网环境的数据分属性进行加密,将加密数据写入第一区块链,并将授权公开即需要披露的数据传递给内网业务系统,通过外接设备同步待同步的加密数据至第二区块链,同步相应密钥至外网业务系统,在外网中,对第二区块链上的数据进行反序列化操作,还原原始加密数据,外网业务系统使用披露的密钥解密相应原始加密数据,获取所需访问的数据;通过将结构化数据细粒度加密,结合区块链技术在网络完全隔离的环境下进行数据同步,通过密钥分发技术实现数据分属性加密和披露,提升隔离环境下同步问题的安全性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有隔离网络下细粒度权限访问同步程序,所述隔离网络下细粒度权限访问同步程序被处理器执行时实现如上文所述的隔离网络下细粒度权限访问同步方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,参照图10,本发明实施例还提出一种隔离网络下细粒度权限访问同步装置,所述隔离网络下细粒度权限访问同步装置包括:
数据加密模块10,用于采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,所述密钥表中的密钥与所述待加密数据的每个属性一一对应。
需要说明的是,本实施例对于第一网络中的待加密数据,采用与数据各属性对应的密钥对数据属性进行加密,通过将待加密数据进行属性划分,实现细粒度加密,并将加密数据写入区块链,增强存储数据的安全。
数据同步模块20,用于根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,完成数据访问。
需要说明的是,本实施例中的第一网络和第二网络为物理隔离,可以分别为内网和外网,即不能通过网络进行内外网的数据通信。
应当理解的是,本实施例所指物理隔离是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时。为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,这些网络几乎全部要求采用物理隔离技术。
需要说明的是,本实施例通过外接设备分别与内外网进行通信,进行数据同步。
本实施例通过对内网环境的数据分属性进行加密,并将授权公开即需要披露的数据传递给业务系统,通过外接设备同步待同步的加密数据和相应密钥至外网区块链,通过将结构化数据细粒度加密,通过密钥分发技术实现数据分属性加密和披露,提升隔离环境下同步问题的安全性。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的隔离网络下细粒度权限访问同步方法,此处不再赘述。
在一实施例中,所述待加密数据为结构化数据,本实施例将结构化数据存储在第一网络中相应的数据库中,并采用密钥表中的密钥对结构化数据各属性进行加密。
需要说明的是,本实施例所指结构化数据为行数据,是由二维表结构来逻辑表达和实现的数据,通过对结构化数据分层加密,提高了内网数据的安全性。
进一步地,所述密钥表包括总密钥、与所述待加密数据中的数据实体相对应的次一级密钥和与所述数据实体的多层级属性对应的多层级子密钥;
所述总密钥用于为所述数据实体生成所述次一级密钥,所述次一级密钥用于为相应的所述数据实体的多层级属性分发对应层级的子密钥。
需要说明的是,本实施例中,待加密数据的每个属性有各自对应的密钥,密钥跟随属性分层级,其中,父密钥比子密钥的层级高,可以查看加解密下一层级的数据。
在一实施例中,所述数据加密模块10包括:
密钥生成单元,采用HD密钥分发技术,根据所述待加密数据的结构生成所述密钥表。
需要说明的是,密钥的层级关系如图4所示,一张表有一个总密钥skroot,skroot为每个实体分发一个次一级密钥,即skA,skB,skC,skD。每个实体的次一级密钥又会对自己每个属性分发子密钥,比如skA给自己的属性加密为skA1,skA2,……,skAn
如图5所示,图5中左侧为待加密数据的属性数据表,表中属性尚未加密,表中每个实体对应不同属性;右侧为密钥表,和属性数据表中每个属性相对应,对应位置存储的是相应的密钥;利用每个属性对应的密钥对数据属性进行加密,通过数据多级加密保证了数据安全性。
加密单元,用于将所述密钥表中的密钥分层级分发至所述待加密数据的各属性,以对所述待加密数据进行加密。
需要说明的是,序列化操作是指将数据结构或对象转换成二进制串的过程。在传递和保存对象时保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。
进一步地,还包括:
上链模块,用于将所述加密数据进行序列化处理后写入第一区块链,所述第一区块链位于所述第一网络。
特别地,上链模块包括:
判断单元,用于判断所述加密数据的大小是否超过设定的限制值;
第一上链单元,用于在判断模块输出结果为是时,将所述加密数据的数据摘要进行序列化处理后写入第一区块链,将所述加密数据进行序列化处理后等待传输;
第二上链单元,用于在判断模块输出结果为否时,将所述加密数据进行序列化处理后写入第一区块链,所述第一区块链位于所述第一网络。
需要说明的是,本实施例通过对上链的细粒度加密数据或大文件加密数据的数据摘要,以及链下的大文件加密数据进行序列化操作,即存储在内网数据转换成二进制串有序字节流,方便存储在第一区块链上以及方便内外网之间的传输,同时通过结合区块链技术在网络完全隔离的环境下进行数据同步,提升隔离环境下同步问题的安全性。
进一步地,还包括:
密钥加密模块,用于对所述授权密钥进行加密后同步至所述第二网络。
需要说明的是,通过对授权密钥进行加密后再传输,使用公钥为对方数字证书中的公钥,保证了密钥传输安全性,且在第二网络中,需要对加密后的授权密钥进行解密后,利用解密后的授权密钥对原始加密数据进行解密。
在一实施例中,所述数据同步模块20包括:
第一同步单元,用于根据所述第二网络发送的数据请求,将所述被请求同步的数据同步至第二区块链,所述第二区块链位于所述第二网络中。
第二同步单元,用于将所述授权密钥同步至所述第二网络的业务系统。
需要说明的是,内网业务系统可以选择在同步过程中对于某些加密属性的密钥进行选择性的披露;披露的密钥和第一区块链中需要同步的数据一起同步到外接设备中,外接设备将其中的加密数据同步至第二区块链中,将披露密钥同步至外网业务系统。
需要说明的是,内网业务系统授权公开数据的哪些属性,将相应的密钥进行披露,等待外接设备同步披露信息的密钥,即不同实体中授权公开自身部分的属性,就需要将公开的属性对应的密钥公开给外网业务系统,需要等待外接设备将密钥同步过去。
同步内网第一区块链数据,内网中第一区块链不停增长,外网需要同步内网增长数据,同步过去的数据即为已经加密的序列化的数据。数据同步需要外接设备连接内网。内网第一区块链的最新数据在外接设备上进行初次同步,同时外接设备存储内网业务系统披露的部分密钥,同步过后外接设备断开与内网的连接,准备同步数据至外网。
内外网授权数据同步,外接设备连接外网,外网开始同步外接设备中的区块数据,使得外网第二区块链的账本更新至最新;外网业务系统获取内网授权披露的密钥。
反序列化单元,用于对同步至所述第二区块链的加密数据进行反序列化操作,得到原始加密数据。
解密单元,用于采用所述授权密钥对所述原始加密数据进行解密,完成数据访问。
需要说明的是,在外网中,对第二区块链上的数据进行反序列化操作,还原原始加密数据,外网业务系统使用披露的密钥解密相应原始加密数据,获取所需访问的数据
需要说明的是,链上数据反序列化,外网反序列化区块链上的数据,得到加密后的数据后进行存储,此时数据从区块链上转移到链下,链上链下都有存储,因区块链的特性,可以增强存储数据的安全,链下业务系统随时可以进行反序列化数据的检查,保证数据的安全。
本发明所述隔离网络下细粒度权限访问同步装置的其他实施例或具有实现方法可参照上述各方法实施例,此处不再赘余。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,节点打包设备,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种隔离网络下细粒度权限访问同步方法,其特征在于,所述隔离网络下细粒度权限访问同步方法包括以下步骤:
采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,所述密钥表中的密钥与所述待加密数据的每个属性一一对应,利用每个属性对应的密钥对数据属性进行加密,所述密钥表包括总密钥、与所述待加密数据中的数据实体相对应的次一级密钥和与所述数据实体的多层级属性对应的多层级子密钥;所述总密钥用于为所述数据实体生成所述次一级密钥,所述次一级密钥用于为相应的所述数据实体的多层级属性分发对应层级的子密钥;
根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,完成数据访问。
2.如权利要求1所述的隔离网络下细粒度权限访问同步方法,其特征在于,所述采用密钥表对第一网络中的待加密数据进行加密,包括:
采用密钥分发技术,根据所述待加密数据的结构生成所述密钥表,包括:为一张表生成一个总密钥,利用总密钥为每个实体分发一个次一级密钥,每个实体的次一级密钥对自己每个属性分发子密钥;
将所述密钥表中的密钥分层级分发至所述待加密数据的各属性,以对所述待加密数据进行加密。
3.如权利要求1所述的隔离网络下细粒度权限访问同步方法,其特征在于,还包括:
将所述加密数据进行序列化处理后写入第一区块链,所述第一区块链位于所述第一网络。
4.如权利要求1所述的隔离网络下细粒度权限访问同步方法,其特征在于,还包括:
对所述授权密钥进行加密后同步至所述第二网络。
5.如权利要求3所述的隔离网络下细粒度权限访问同步方法,其特征在于,所述根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,包括:
根据所述第二网络发送的数据请求,将所述被请求同步的数据同步至第二区块链,所述第二区块链位于所述第二网络中;
将所述授权密钥同步至所述第二网络的业务系统。
6.如权利要求5所述的隔离网络下细粒度权限访问同步方法,其特征在于,所述在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密,包括:
对同步至所述第二区块链的加密数据进行反序列化操作,得到原始加密数据;
采用所述授权密钥对所述原始加密数据进行解密,完成数据访问。
7.一种隔离网络下细粒度权限访问同步装置,其特征在于,所述隔离网络下细粒度权限访问同步装置包括:
数据加密模块,用于采用密钥表对第一网络中的待加密数据进行加密,得到加密数据,所述密钥表中的密钥与所述待加密数据的每个属性相对应,利用每个属性对应的密钥对数据属性进行加密,所述密钥表包括总密钥、与所述待加密数据中的数据实体相对应的次一级密钥和与所述数据实体的多层级属性对应的多层级子密钥;所述总密钥用于为所述数据实体生成所述次一级密钥,所述次一级密钥用于为相应的所述数据实体的多层级属性分发对应层级的子密钥;
数据同步模块,根据第二网络发送的数据请求,将所述加密数据中被请求同步的数据及授权密钥同步至第二网络,使得在第二网络中利用所述授权密钥对与所述授权密钥相对应的同步数据进行解密。
8.一种隔离网络下细粒度权限访问同步设备,其特征在于,所述隔离网络下细粒度权限访问同步设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的隔离网络下细粒度权限访问同步程序,所述隔离网络下细粒度权限访问同步程序配置有实现如权利要求1至6中任一项所述的隔离网络下细粒度权限访问同步方法。
9.一种存储介质,其特征在于,所述存储介质上存储有隔离网络下细粒度权限访问同步程序,所述隔离网络下细粒度权限访问同步程序被处理器执行时实现如权利要求1至6中任一项所述的隔离网络下细粒度权限访问同步方法。
CN202111240357.3A 2021-10-25 2021-10-25 隔离网络下细粒度权限访问同步方法、装置及设备 Active CN114050915B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111240357.3A CN114050915B (zh) 2021-10-25 2021-10-25 隔离网络下细粒度权限访问同步方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111240357.3A CN114050915B (zh) 2021-10-25 2021-10-25 隔离网络下细粒度权限访问同步方法、装置及设备

Publications (2)

Publication Number Publication Date
CN114050915A CN114050915A (zh) 2022-02-15
CN114050915B true CN114050915B (zh) 2024-03-15

Family

ID=80206034

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111240357.3A Active CN114050915B (zh) 2021-10-25 2021-10-25 隔离网络下细粒度权限访问同步方法、装置及设备

Country Status (1)

Country Link
CN (1) CN114050915B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978578B (zh) * 2022-04-06 2023-09-19 中债金科信息技术有限公司 基于属性密钥派生的数据越权访问控制方法及装置
CN116032948A (zh) * 2023-02-21 2023-04-28 苏州阿基米德网络科技有限公司 一种医院内网与外网数据同步方法、系统及电子设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103618729A (zh) * 2013-09-03 2014-03-05 南京邮电大学 一种应用于云存储的多机构层次化属性基加密方法
CN109559117A (zh) * 2018-11-14 2019-04-02 北京科技大学 基于属性基加密的区块链合约隐私保护方法与系统
CN111371561A (zh) * 2020-02-27 2020-07-03 华信咨询设计研究院有限公司 基于cp-abe算法的联盟区块链数据访问控制方法
CN112383391A (zh) * 2020-11-12 2021-02-19 北京安御道合科技有限公司 基于数据属性授权的数据安全保护方法、存储介质及终端
CN112836229A (zh) * 2021-02-10 2021-05-25 北京深安信息科技有限公司 属性基加密和区块链结合的可信数据访问控制方案
CN113242219A (zh) * 2021-04-26 2021-08-10 卓尔智联(武汉)研究院有限公司 数据传输方法、区块链网络及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11223487B2 (en) * 2020-03-19 2022-01-11 Jinan University Method and system for secure blockchain-based vehicular digital forensics

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103618729A (zh) * 2013-09-03 2014-03-05 南京邮电大学 一种应用于云存储的多机构层次化属性基加密方法
CN109559117A (zh) * 2018-11-14 2019-04-02 北京科技大学 基于属性基加密的区块链合约隐私保护方法与系统
CN111371561A (zh) * 2020-02-27 2020-07-03 华信咨询设计研究院有限公司 基于cp-abe算法的联盟区块链数据访问控制方法
CN112383391A (zh) * 2020-11-12 2021-02-19 北京安御道合科技有限公司 基于数据属性授权的数据安全保护方法、存储介质及终端
CN112836229A (zh) * 2021-02-10 2021-05-25 北京深安信息科技有限公司 属性基加密和区块链结合的可信数据访问控制方案
CN113242219A (zh) * 2021-04-26 2021-08-10 卓尔智联(武汉)研究院有限公司 数据传输方法、区块链网络及存储介质

Also Published As

Publication number Publication date
CN114050915A (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
US11128471B2 (en) Accessibility controls in distributed data systems
US7792300B1 (en) Method and apparatus for re-encrypting data in a transaction-based secure storage system
US10581603B2 (en) Method and system for secure delegated access to encrypted data in big data computing clusters
CN101019369B (zh) 利用在线服务向装置传递直接证明私有密钥的方法
RU2351078C2 (ru) Эффективное управление генерациями криптографических ключей
US7639819B2 (en) Method and apparatus for using an external security device to secure data in a database
US8625802B2 (en) Methods, devices, and media for secure key management in a non-secured, distributed, virtualized environment with applications to cloud-computing security and management
US8806200B2 (en) Method and system for securing electronic data
CN114050915B (zh) 隔离网络下细粒度权限访问同步方法、装置及设备
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
US20090240956A1 (en) Transparent encryption using secure encryption device
CN111181719B (zh) 云环境下基于属性加密的分层访问控制方法及系统
CN104618096A (zh) 保护密钥授权数据的方法、设备和tpm密钥管理中心
CN112202713B (zh) 一种Kubernetes环境下用户数据安全保护方法
CN113094733A (zh) 一种区块链数据隐私保护方法及系统
WO2023078055A1 (zh) 在第一区域和第二区域间数据安全共享的方法和系统
US8737622B2 (en) Method for importing rights object and rights issuer
US11290277B2 (en) Data processing system
JP2008242665A (ja) 暗号化処理装置、暗号化処理方法及びファイル分割保存システム
CN112187456B (zh) 一种密钥分层管理与协同恢复系统及方法
JP2024500822A (ja) 鍵インストール方法、システム、装置、機器及びコンピュータプログラム
CN114553557A (zh) 密钥调用方法、装置、计算机设备和存储介质
CN114490551A (zh) 基于联盟链的文件安全外包与共享方法
CN106127078A (zh) 一种Android环境下的密钥保护方法和系统
WO2024166302A1 (ja) ファイル共有システム、ファイル共有方法、情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant