CN114465815B - 一种基于区块链和sgx的访问权限控制系统及方法 - Google Patents

一种基于区块链和sgx的访问权限控制系统及方法 Download PDF

Info

Publication number
CN114465815B
CN114465815B CN202210253251.5A CN202210253251A CN114465815B CN 114465815 B CN114465815 B CN 114465815B CN 202210253251 A CN202210253251 A CN 202210253251A CN 114465815 B CN114465815 B CN 114465815B
Authority
CN
China
Prior art keywords
authority
contract
user
access
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210253251.5A
Other languages
English (en)
Other versions
CN114465815A (zh
Inventor
陈建海
范俊松
许端清
白杨
沈睿
纪守领
何钦铭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202210253251.5A priority Critical patent/CN114465815B/zh
Publication of CN114465815A publication Critical patent/CN114465815A/zh
Application granted granted Critical
Publication of CN114465815B publication Critical patent/CN114465815B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于区块链和SGX的访问权限控制系统及方法。该系统包括区块链系统和区块链节点上的权限管理合约、权限控制合约及其本地服务、权限验证合约及其本地服务以及一个身份验证系统,为访问权限控制提供安全、可信、透明、可控的底层架构。本系统通过智能合约进行权限的操作控制和管理,通过本地的SGX安全区对链上权限操作过程中的关键性数据进行链下秘密处理,确保信息安全与准确。本系统还特别考虑权限删除的即时性需求,为其进行了特殊处理,避免了基于时间序列的攻击。本发明的方法为访问权限控制机制特别是基于云端的信息系统的访问权限控制机制提供了信息安全、流程化、可监控的底层架构,为组织和个人提供更好的安全保障。

Description

一种基于区块链和SGX的访问权限控制系统及方法
技术领域
本发明涉及信息技术安全领域,特别涉及一种基于区块链和SGX的访问权限控制系统及方法。
背景技术
在庞大的信息系统中,通常需要对不同的参与者能接触到的信息内容进行分类控制,使得参与者能且仅能访问到系统允许其访问的信息内容,从而确保信息数据的隐私性和安全性。这带来了访问控制的需求。访问控制的基本思路是,首先通过验证多种登录凭据以识别用户身份,包括用户名密码、安全令牌、生物识别等方式。在获取用户身份后,根据系统设定给用户的访问级别等权限信息、用户的身份信息等,给予用户相应的访问权限。目前的访问控制主要有四种方式,即自主访问控制、强制访问控制、基于角色的访问控制、基于属性的访问控制,它们分别适用于不同情境下不同粒度的访问控制需求,具有一定的灵活性。
然而,现有的访问权限控制方法并没有为权限控制自身的安全性作考虑,也缺乏透明性。访问信息系统的用户无法自主获知自身权限的更改情况,而若信息系统对内部权限更改没有统一的记录和监听行为时,也会面临恶意攻击者获取权限而不被他人感知的风险。此外,在基于云的数据组织架构中,通过复杂的网络环境进行信息访问时,需要更加精准、细粒度的访问控制机制对用户和访问对象数据进行统一管理,同时访问控制机制本身也更容易受到攻击,因而需要一种安全可信同时具有强可扩展性的访问权限控制方法。
区块链技术提供了一种解决数据可信问题的解决方案。区块链本质上为一个去中心化的分布式账本,具有数据不可篡改、系统集体维护、交易公开透明等优势,而使用区块链联盟链作为信息系统访问权限控制的底层平台,联盟链的准入机制可以确保数据只由经过接入许可的节点所共享,确保了权限信息不会泄漏到信息系统之外而遭遇不可预测的结果。
因特尔公司于2013年提出了SGX(Software Guard Extensions)安全保护机制,它是一套基于硬件的扩展指令和安全保护机制,允许开发者在设计应用程序时指定可信部分,为可信部分的代码和数据创建称为安全区(enclave)的加密内存区域,以保证运行过程中代码的完整性和数据的一致性。除非经过允许,安全区中的数据只能被安全区中的代码访问,并且任何同一平台上的恶意软件、特权软件甚至是操作系统本身都无法在未经过先行授权的情况下对安全区进行访问,从而确保安全区内部的数据与代码不会被泄露给第三方或者恶意篡改。
基于区块链技术和SGX技术,可构建一套新的访问权限控制底层机制,解决访问控制中的信息公开和流程控制等问题,同时确保数据安全可信。
发明内容
针对现有不足,本发明提供一种基于区块链和SGX的访问权限控制方法。依靠区块链、智能合约技术去中心化、不可篡改、自动执行的特性,提供安全、快速、透明、可控的访问权限控制方法。同时,本方法中的密码学验证部分可以使用AES、RSA、国密算法等各种其他密钥加密算法进行对等替换,可根据具体实践情况进行选择,保证了可扩展性。
本发明提供如下技术方案:
本发明的第一个目的在于提供一种基于区块链和SGX的访问权限控制系统,由用户身份验证系统和区块链系统构成;
用户身份验证系统,其独立于区块链系统之外,用于对访问者的身份进行验证,验证通过后将访问者的访问请求数据结构发送至区块链系统,并获取区块链系统返回的请求结果;
所述的区块链系统包括:
区块链网络单元,其用于部署一个或多个区块链节点或依托现有的一个或多个区块链节点参与区块链网络,这些区块链节点能够允许用户发布智能合约;
权限管理合约单元,其部署于区块链节点上,用于发布及更新访问者、访问对象的权限验证相关信息;
权限验证合约单元,其部署于区块链节点上,用于搜索区块链上公开的权限数据,并通过合约的权限验证规则处理,根据处理结果返回请求结果;
权限验证节点本地服务单元,其部署于运行权限验证合约单元的区块链节点上,且与权限验证合约单元之间建立有可信渠道,用于处理加密的权限数据;
权限控制合约单元,其部署于区块链节点上,所有访问控制请求均会调用该合约生成内部请求序号,根据内部请求序号和访问请求数据结构作为参数调用权限验证合约单元,并接收返回的请求结果;
权限控制节点本地服务单元,其部署于运行权限控制合约单元的区块链节点上,且与权限控制合约单元之间建立有可信渠道,用于为访问者提供可信的访问渠道。
本发明的第二个目的在于提供一种基于区块链和SGX的访问权限控制系统的控制方法,包括三个阶段:
权限组初始化阶段:初始化所述的用户身份验证系统和区块链系统,验证其功能的正常执行,从而生成一个链上新的权限组;
权限管理阶段:权限管理员用户通过智能合约对权限组内容进行新增、修改、删除,所述的权限组内容包括用户信息、访问对象信息以及权限验证规则;
权限验证阶段:用户通过用户身份验证系统和区块链系统进行权限验证,获取访问对象的访问渠道,或者接收到请求失败的相关信息。
与现有技术相比,本发明拥有以下优势:
1)依托区块链技术,确保权限内容和访问权限控制流程的公开、透明,各种权限更改记录均会在区块链上留档,提供强大的追溯功能;
2)依靠智能合约技术,将权限管理流程通过智能合约自动化执行,具有较高的可信度和可靠度;
3)使用SGX技术处理机密数据和验证数据,所有的私钥都位于SGX安全区内,确保了隐私数据的安全性和数据流通的完整性、可靠性,使其不会被泄露给云提供商和网络服务提供商等第三方,提高了系统整体的安全性;
4)本系统在权限数据删除上进行特殊处理,使得权限删除操作具有即时性,能够抵御基于时间的攻击操作;
5)本系统具有高可扩展性,对于具体的访问权限控制机制不作特殊要求,可直接运用为现有的访问控制机制的底层架构,为其提供更佳的透明性和安全性,且不会对现有的权限管理组织行为造成变动。
附图说明
图1为基于区块链和SGX的访问权限控制系统整体架构图;
图2为基于区块链和SGX的访问权限控制系统权限组初始化阶段流程图;
图3为基于区块链和SGX的访问权限控制系统权限管理阶段流程图;
图4为基于区块链和SGX的访问权限控制系统权限验证阶段流程图。
具体实施方式
下面结合附图和实施例对本发明进行进一步详细描述。必须声明,本实施例中的用户权限信息Auser和访问对象权限信息Atarget,为描述形象起见,采用基础权限级别的方式进行标明。在其他具体实施方式中,可以采用基于角色的访问权限控制方式、基于属性的访问权限控制方式等形式进行实现;本实施例采用非对称加密形式对管理员密钥进行加密,但在具体实现中可根据现实情况进行调整。因此,后续对实施例进行描述时所给出图示和文字描述仅起范例作用,所有基于此的修改应当全部视为在本发明范围内。
本实施例所述的基于区块链和SGX的访问权限控制系统,其整体架构图如图1所示,其中,本实施例对于系统所需的多节点构成的区块链具体架构不做特别需求,仅需支持区块链基础功能和智能合约。对于区块链架构的部署,本实施例不进行具体阐述。
在一项具体实施中,本发明采用的基于区块链的访问权限控制系统架构如下:
1.区块链节点与区块链网络。区块链节点群运行整个区块链底层网络,用户可搭建区块链节点接入区块链网络,发布智能合约;
2.权限管理合约。运行于区块链节点上,该合约用于发布及更新访问者、访问对象的权限验证相关信息。为了安全,该合约仅可被合约部署者或其他限定范围的访问者调用;
3.权限验证合约。运行于区块链节点上,该合约通过搜索区块链上公开的权限信息,通过合约的权限验证规则处理,根据处理结果返回对应信息。若公开的权限信息包含了加密内容,则需要使用本地服务进行权限验证;
4.权限验证节点本地服务。位于运行权限验证合约的区块链节点上,由权限管理者控制。本地服务运行于SGX可信环境中,与权限验证合约建立可信渠道。本地服务用于对加密的权限内容进行处理验证;
5.权限控制合约。运行于区块链节点上,所有访问控制请求均会调用该合约,经过本系统提供的方法验证后,依靠链下的权限控制节点本地服务提供访问渠道;
6.权限控制节点本地服务。位于运行权限控制合约的区块链节点上,由权限管理者控制。本地服务运行于SGX可信环境中,与权限控制合约建立可信渠道,同时为访问者提供可信访问渠道。
7.用户身份验证系统。用户身份验证系统独立于区块链系统,运行于支持SGX的服务器上。作为用户与区块链系统的中间人,用户身份验证系统会对访问用户的身份进行验证,通过权限控制合约获取访问渠道后发送给用户。
本实施例的基于区块链和SGX的访问权限控制流程,分为权限组初始化、权限管理、权限验证三部分。权限组初始化阶段:初始化上述系统架构中的节点、合约和系统,验证其功能的正常执行,从而生成一个链上新的权限组;该阶段主要包括权限管理合约部署、权限验证节点本地服务初始化、权限验证合约部署、权限控制节点本地服务初始化、权限控制合约部署等。
权限管理阶段:管理员通过智能合约对权限组的具体内容进行新增、修改、删除,主要涉及对用户信息、访问对象信息以及权限验证规则的管理;该阶段主要包括权限更新,包含用户权限信息更新和访问对象权限信息更新;权限删除,包含用户权限信息删除和访问对象权限信息删除,此删除操作可以具有即时性;权限验证规则更新,包含涉及验证权限的智能合约和本地服务的代码更新。
权限验证阶段:用户通过该系统进行权限验证,获取访问对象的访问渠道,或者接收到请求失败的相关信息;该阶段主要包括用户发起访问请求,调用权限控制合约;调用权限验证合约验证用户与访问对象权限;权限控制节点本地处理等。
下面对本实施例中的三阶段流程进行如下说明:
一、本实施例的基于区块链和SGX的访问权限控制系统权限组初始化阶段,其流程如图2所示,具体如下:
1.1.接入区块链网络。权限管理员用户通过部署一个或多个区块链节点或依托现有的一个或多个区块链节点参与区块链网络,这些区块链节点需要允许该用户发布智能合约,且其中至少一个节点支持SGX硬件安全保护机制,以运行本地服务;多个本地服务可支持部署在同一个节点上。
1.2.生成权限组ID。权限组ID用于识别和搜索链上权限信息的归属情况。在本实施例中,该ID由时间戳和权限管理员用户地址生成,以确保唯一性。
1.3.生成管理员密钥。管理员密钥用于对部分需要确保隐私性的权限数据进行加解密操作。在本实施例中,管理员密钥中的私钥由两部分持有:1)权限管理员用户自身保存,用于生成加密的权限数据;2)分发给身份验证系统和权限验证节点本地服务,用于在SGX安全区中解密和处理加密权限数据以及验证数据。
1.4.发布权限管理合约。权限管理员用户在区块链节点上发布权限管理合约,将该区块链节点称为权限管理节点。在权限管理合约的发布初始化阶段,会传入管理员用户预设的管理员身份验证信息以及权限组ID。在本实施例中,管理员身份验证信息用于检查调用者地址是否与预设的权限管理员用户地址相符,只有相符的调用才被允许进行后续权限管理操作。权限组ID用于识别该权限管理合约归属的权限组,该合约将只处理权限组ID与之相符的信息。
1.5.初始化权限验证节点本地服务。权限管理员用户在区块链节点上部署权限验证节点本地服务,该节点必须支持SGX硬件安全保护机制。本地服务将运行SGX关键服务初始化、分配内存区域、构建SGX安全区。此本地服务用于接收经过加密的权限数据,在SGX安全区里完成解密。权限管理员用户通过SGX远程认证机制,确认该本地服务的代码正常运行。之后,通过SGX远程认证机制提供的密钥交换协议秘密上传管理员私钥,在该SGX安全区的生命周期中,管理员私钥不会离开安全区,且当安全区销毁时该私钥自动销毁,确保管理员私钥的安全。在初始化完成后,通过向权限验证节点本地服务发送加密数据测试解密功能的正常运行。
1.6.发布权限验证合约。权限管理员用户在前述初始化权限验证节点本地服务完成的区块链节点(简称权限验证节点)上发布权限验证合约。在权限验证合约的发布初始化阶段,会传入权限组ID和管理员公钥。权限组ID用于识别该权限验证合约归属的权限组,该合约将只处理权限组ID与之相符的信息。
1.7.初始化权限控制节点本地服务。权限管理员用户在区块链节点上部署权限控制节点本地服务,该节点必须支持SGX硬件安全保护机制。本地服务将运行SGX关键服务初始化、分配内存区域、构建SGX安全区。此本地服务用于接收经过加密的权限数据,在SGX安全区里完成解密。权限管理员用户通过SGX远程认证机制,确认该本地服务的代码正常运行。
1.8.发布权限控制合约。权限管理员用户在前述初始化权限控制节点本地服务完成的区块链节点(简称权限控制节点)上发布权限控制合约。在权限控制合约的发布初始化阶段,会传入权限组ID、管理员公钥以及前述权限管理合约和权限验证合约地址。权限组ID用于识别该权限控制合约归属的权限组,该合约将只处理权限组ID与之相符的信息。
二、本实施例的基于区块链和SGX的访问权限控制系统权限管理阶段,分为权限更新、权限删除以及权限验证规则更新三种情况,其流程如图3所示,具体如下:
2.1.权限更新。
本实施例中,权限更新的操作类型包括:
a.新增、修改用户的权限信息Auser,其流程具体如下;
a 2.1.1.权限管理员用户构造最新的用户权限数据结构。此数据结构包括1)用户ID,2)权限类型,3)用户权限信息Auser以及4)加密验证信息。用户ID为用户的唯一识别码,用于唯一标定用户身份,在本实施例中,用户ID由用户身份验证系统维护,具体实现不作特殊说明;权限类型表明此数据结构属于用户权限;用户权限信息Auser包含了用户具体的权限内容,在本实施例中,用户权限信息Auser为用户所处的权限等级;加密验证信息用于确保该信息由拥有此权限组的权限管理员用户发布,在本实施例中,加密验证信息为通过管理员私钥对用户ID和用户权限信息Auser以及当前时间戳进行加密后生成的数据。
a 2.1.2.权限控制合约检查发布者地址。权限管理员用户将操作类型(新增、修改用户的权限信息Auser)和用户权限数据结构作为参数调用权限控制合约,权限控制合约检查发布者地址是否与预设的权限管理员地址相匹配,若不匹配,则拒绝发布操作;若匹配,则继续后续操作。
a 2.1.3.清空删除标记。若用户权限数据结构中的用户ID对应权限曾被标记删除,则需要清空删除标记。本实施例中,权限控制合约清空删除标记,并将用户ID和权限类型传入权限控制节点本地服务的SGX安全区,清空安全区中的删除标记。
a 2.1.4.通过权限控制合约调用权限管理合约。将操作类型(新增、修改用户的权限信息Auser)和用户权限数据结构作为参数调用权限管理合约。
a 2.1.5.通过权限管理合约发布最新的用户权限数据结构。权限管理合约使用管理员公钥检查用户权限数据结构中的加密验证信息是否匹配,若匹配,则将此用户权限数据结构附加上权限组ID并发布到区块链上;若不匹配,则拒绝发布操作。
b.新增、修改访问对象的权限信息Atarget,其流程具体如下;
b 2.1.1.权限管理员用户构造最新的访问对象权限数据结构。此数据结构包括1)访问对象ID,2)权限类型,3)访问对象权限信息Atarget,4)访问渠道以及5)加密验证信息。访问对象ID为目标对象的唯一识别码,用于唯一标定目标对象身份,在本实施例中,访问对象ID由额外的访问对象身份系统维护,因而不作特殊说明;权限类型表明此数据结构属于访问对象权限;访问对象权限信息Atarget包含了访问对象具体的权限内容,在本实施例中,访问对象权限信息Atarget为访问对象所处的权限等级;访问渠道提供了访问此对象所需要的包括但不限于网络路径等数据,该数据通过管理员公钥加密以确保安全;加密验证信息用于确保该信息由拥有此权限组的权限管理员用户发布,在本实施例中,加密验证信息为通过管理员私钥对访问对象ID和访问对象权限信息Atarget以及当前时间戳进行加密后生成的数据。
b 2.1.2.权限控制合约检查发布者地址。管理员用户将操作类型(新增、修改访问对象的权限信息Atarget)和此访问对象权限数据结构作为参数调用权限控制合约,权限控制合约检查发布者地址是否与预设的权限管理员地址相匹配,若不匹配,则拒绝发布操作;若匹配,则进行后续操作。
b 2.1.3.清空删除标记。若访问对象权限数据结构中的访问对象ID对应权限曾被标记删除,则需要清空删除标记。本实施例中,权限控制合约清空删除标记,并将访问对象ID和权限类型传入权限控制节点本地服务的SGX安全区,清空安全区中的删除标记。
b 2.1.4.访问渠道秘密存储。将访问对象ID和访问渠道传入权限控制节点本地服务的SGX安全区进行保存,在安全区内使用秘密存储的管理员私钥对访问渠道进行解密。
b 2.15.通过权限控制合约调用权限管理合约。安全区存储完成后,将访问渠道从访问对象权限数据结构中去除,并将操作类型(新增、修改访问对象的权限信息Atarget)和访问对象权限数据结构作为参数调用权限管理合约。
b 2.1.6.通过权限管理合约发布最新的访问对象权限数据结构。权限管理合约使用管理员公钥检查访问对象权限数据结构中的加密验证信息是否匹配,若匹配,则将此访问对象权限数据结构附加上权限组ID并发布到区块链上;若不匹配,则拒绝发布操作。
2.2.权限删除。
权限删除有即时性需求,考虑到区块链交易处理时间,本发明对其进行额外处理。本实施例中权限删除流程具体如下:
2.2.1.权限管理员用户构造权限删除数据结构。此数据结构包括1)权限类型,2)目标ID,3)即时性需求,4)加密验证信息。权限类型表明此数据结构属于用户权限或是访问对象权限;目标ID为该用户/访问对象的唯一识别码,用于唯一标定目标用户或访问对象身份,如前文所述;即时性需求表明此次删除是否需要权限控制合约标记删除;加密验证信息用于确保该信息由拥有此权限组的权限管理员用户发布,在本实施例中,加密验证信息为通过管理员私钥对目标ID以及当前时间戳进行加密后生成的数据。
2.2.2.权限控制合约检查发布者地址。管理员用户将操作类型(权限删除)和此权限删除数据结构作为参数调用权限控制合约,权限控制合约检查发布者地址是否与预设的权限管理员地址相匹配,若不匹配,则拒绝发布操作;若匹配,则进行后续操作。
2.2.3.通过权限控制合约添加删除标记。权限控制合约检查此次删除请求的即时性需求。若此次删除请求有即时性需求,则权限控制合约需要将对应权限类型的目标ID添加删除标记,将目标ID和目标权限类型传入权限控制节点本地服务的安全区,在安全区中将对应权限类型的目标ID添加删除标记。
2.2.5.通过权限控制合约调用权限管理合约。将即时性需求从权限删除数据结构中去除,之后将操作类型(权限删除)和权限删除数据结构作为参数调用权限管理合约。
2.2.6.通过权限管理合约发布链上删除标记。权限管理合约使用管理员公钥检查权限删除数据结构中的加密验证信息是否匹配,若匹配,则将此权限删除数据结构附加上权限组ID并发布到区块链上,即,在链上发布了删除标记;若不匹配,则拒绝发布操作。
2.3.权限验证规则更新。
权限验证规则更新通过发布最新合约完成,其流程具体如下:
2.3.1.发布最新权限验证合约。权限管理员用户重新编写权限验证规则后,在权限验证节点上发布最新的权限验证合约,记录下最新权限验证合约的地址。
2.3.2.重启权限验证节点本地服务。本地服务的SGX安全区将内存的各种数据和标记进行加密封存后存储在本地。之后,权限管理员用户将重新编写的权限验证规则更新到安全区代码中,将安全区重新初始化,通过SGX远程认证机制确认该本地服务的代码正常运行。之后,通过SGX远程认证机制提供的密钥交换协议重新上传管理员私钥。在重新初始化完成后,通过向本地服务发送加密数据测试解密功能的正常运行。当本地服务重新启动后,解封封存的各类数据和标记,恢复本地服务功能。
2.3.3.发布最新权限管理合约。根据最新权限验证合约的地址,在权限管理节点上修改并发布最新的权限管理合约。
2.3.4.通知身份验证系统。若权限管理合约更新成功,通知身份验证系统使用最新的权限管理合约进行访问权限控制;若权限管理合约更新失败,通知身份验证系统目前访问权限控制机制不可用,等待管理员修复。
三、本实施例的基于区块链和SGX的访问权限控制系统权限验证阶段,其流程如图4所示,具体如下:
3.1.用户侧构造访问对象请求。该访问对象请求包括用户ID和访问对象ID,以及验证用户身份所需的用户身份验证信息,交由用户身份验证系统进行验证。
3.2.用户身份验证系统构造访问对象请求。通过用户身份验证系统验证后,用户身份验证系统生成一对临时的用户密钥,其中用户私钥通过与用户的加密通信渠道发回给用户,用以接收加密的访问渠道。用户身份验证系统构造对权限控制合约的访问请求数据结构,包括1)外部请求序号,2)用户ID,3)访问对象ID,4)用户公钥,5)加密验证信息。外部请求序号由用户身份验证系统生成,仅和一次请求一一对应。用户公钥用于在SGX安全区中对获取的访问渠道进行加密。加密验证信息用于确保该信息由拥有此权限组的用户身份验证系统发布,在本实施例中,加密验证信息为通过管理员私钥对用户ID、访问对象ID以及当前时间戳进行加密后生成的数据。用户身份验证系统将操作类型(访问请求)和该访问请求数据结构作为参数调用权限控制合约。
3.3.权限控制合约处理。权限控制合约生成内部请求序号并与请求内容对应,在内存中记录数据后,将内部请求序号和访问请求数据结构作为参数调用权限验证合约。
3.4.权限验证合约获取权限数据。权限验证合约使用管理员公钥检查访问请求数据结构中的加密验证信息是否匹配,若成功匹配,权限验证合约根据用户ID和权限组ID搜索链上公开的用户权限数据,根据访问对象ID和权限组ID搜索链上公开的访问对象权限数据。
3.5.权限验证过程。权限验证合约首先检查所获取的用户权限数据和访问对象权限数据中是否存在加密数据。若没有加密数据,则根据权限验证合约内置的权限验证规则对权限数据进行计算,获取用户是否符合访问该访问对象条件的结果;之后,无论是否存在加密数据,都将用户权限数据、访问对象权限数据、内部请求序号、权限组ID发送到本权限验证节点上的本地服务安全区中进行解密和处理;需要说明的是,无论用户权限数据和访问对象权限数据是否加密,都会在权限验证节点本地服务中进行处理,但是权限验证过程会对没有加密的用户权限数据和访问对象权限数据多做一步权限验证规则计算。
3.6.权限验证节点本地服务处理。本地服务接收到由权限验证合约发送到本地的数据后,将其传入本地服务的安全区。安全区使用内部的管理员私钥对加密数据进行解锁后,根据内置的权限验证规则对权限数据进行计算,获取用户是否符合访问该访问对象条件的结果;之后,将内部请求序号、权限组ID以及计算生成结果和时间戳通过管理员私钥进行加密,生成加密验证信息;
3.7.权限验证合约计算结果上链。权限验证合约获取本地服务安全区生成的结果和加密验证信息;如果权限验证合约自身进行过权限验证规则计算(针对未加密的权限数据),则需要比对生成结果是否相同,只有两次计算结果相同才会继续后续步骤。之后,构造返回数据结构,包括1)内部请求序号,2)权限组ID,3)请求结果,4)加密验证信息。
其中,请求结果分为请求失败、拒绝访问和允许访问三种情况,请求失败即为步骤3.4中搜索操作失败的结果;加密验证信息为上述信息(内部请求序号、权限组ID和请求结果)以及时间戳通过管理员私钥加密后的验证数据。合约将返回数据结构上链。
3.8.权限控制合约获得返回数据。权限控制合约持续监听链上符合权限组ID和内部请求序号的交易数据,在使用管理员公钥对数据进行验证通过后,及时更新到内部维护的数据列表中。当一个请求的结果被监听到且通过验证时,根据请求的结果进行处理,若请求失败或者拒绝访问,则将失败原因和外部请求序号一起上链并结束处理;若请求成功且允许访问,则将该返回数据结构和外部请求序号发送到本权限控制节点上的本地服务安全区中进行处理。
3.9.权限控制节点本地服务获取访问渠道。本地服务接收到返回数据结构和外部请求序号后,将其和访问对象ID、用户公钥一起传入本地服务的安全区。本地服务验证返回数据结构的加密验证信息之后,根据访问对象ID以及返回数据结构中的请求结果,从安全区的安全存储中读取访问对象的访问渠道。安全区使用用户公钥对访问渠道进行加密后,将加密的访问渠道和外部请求序号通过合约上链。
3.10.用户身份验证系统获得返回数据。用户身份验证系统持续监听链上与外部请求序号对应的交易数据。当一个请求的结果被监听到时,若该请求失败或者拒绝访问,则将失败的消息通过与用户约定的加密渠道返回给用户;若该请求成功,用户身份验证系统将加密的访问渠道发送到本地安全区中,使用用户私钥对其进行解密,并使用与用户约定的加密通信渠道将该访问渠道返回给用户。用户获取访问渠道后,就可以以正常方式访问该对象。
本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举,本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式,本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。

Claims (9)

1.一种基于区块链和SGX的访问权限控制系统,其特征在于,由用户身份验证系统和区块链系统构成;
用户身份验证系统,其独立于区块链系统之外,用于对访问者的身份进行验证,验证通过后将访问者的访问请求数据结构发送至区块链系统,并获取区块链系统返回的请求结果;
所述的区块链系统包括:
区块链网络单元,其用于部署一个或多个区块链节点或依托现有的一个或多个区块链节点参与区块链网络,这些区块链节点能够允许用户发布智能合约;
权限管理合约单元,其部署于区块链节点上,用于发布及更新访问者、访问对象的权限验证相关信息;
权限验证合约单元,其部署于区块链节点上,用于搜索区块链上公开的权限数据,并通过合约的权限验证规则处理,根据处理结果返回请求结果;
权限验证节点本地服务单元,其部署于运行权限验证合约单元的区块链节点上,且与权限验证合约单元之间建立有可信渠道,用于处理加密的权限数据;
权限控制合约单元,其部署于区块链节点上,所有访问控制请求均会调用该合约生成内部请求序号,根据内部请求序号和访问请求数据结构作为参数调用权限验证合约单元,并接收返回的请求结果;
权限控制节点本地服务单元,其部署于运行权限控制合约单元的区块链节点上,且与权限控制合约单元之间建立有可信渠道,用于为访问者提供可信的访问渠道;
所述的访问权限控制系统的权限组初始化过程包括:
接入区块链网络,且至少一个区块链节点支持SGX硬件安全保护机制;
生成权限组ID,用于识别和搜索链上权限数据的归属情况,具有唯一性;
生成管理员密钥,用于对需要确保隐私性的权限数据进行加解密操作;
发布权限管理合约,传入管理员身份验证信息以及权限组ID;
初始化权限验证节点本地服务,且用于部署权限验证节点本地服务的区块链节点必须支持SGX硬件安全保护机制;权限验证节点本地服务将运行SGX关键服务初始化、分配内存区域、构建SGX安全区,所述的SGX安全区用于对加密的权限数据进行解密;权限管理员用户通过SGX远程认证机制确认权限验证节点本地服务正常运行,之后通过SGX远程认证机制提供的密钥交换协议秘密上传管理员密钥,在所述SGX安全区的生命周期中,管理员密钥不会离开安全区,且当安全区销毁时该密钥自动销毁;
发布权限验证合约,传入权限组ID和管理员公钥;
初始化权限控制节点本地服务,且用于部署权限控制节点本地服务的区块链节点必须支持SGX硬件安全保护机制;权限控制节点本地服务将运行SGX关键服务初始化、分配内存区域、构建SGX安全区,所述的SGX安全区用于对加密的权限数据进行解密,权限管理员用户通过SGX远程认证机制确认权限控制节点本地服务正常运行;
发布权限控制合约,传入权限组ID、管理员公钥以及所述的权限管理合约和权限验证合约地址。
2.根据权利要求1所述的基于区块链和SGX的访问权限控制系统,其特征在于,所述的智能合约包括权限管理合约、权限验证合约和权限控制合约。
3.根据权利要求1所述的基于区块链和SGX的访问权限控制系统,其特征在于,所述的权限管理合约单元仅可被合约部署者或权限范围内的访问者调用。
4.一种基于权利要求1所述的区块链和SGX的访问权限控制系统的控制方法,其特征在于,包括三个阶段:
权限组初始化阶段:初始化所述的用户身份验证系统和区块链系统,验证其功能的正常执行,从而生成一个链上新的权限组;
权限管理阶段:权限管理员用户通过智能合约对权限组内容进行新增、修改、删除,所述的权限组内容包括用户信息、访问对象信息以及权限验证规则;
权限验证阶段:用户通过用户身份验证系统和区块链系统进行权限验证,获取访问对象的访问渠道,或者接收到请求失败的相关信息。
5.根据权利要求4所述的区块链和SGX的访问权限控制系统的控制方法,其特征在于,所述的权限管理阶段包括:
权限更新,包含用户权限信息更新和访问对象权限信息更新;
权限删除,包含用户权限信息删除和访问对象权限信息删除,此删除操作具有即时性;
权限验证规则更新。
6.根据权利要求5所述的区块链和SGX的访问权限控制系统的控制方法,其特征在于,所述的用户权限信息更新包括新增、修改用户的权限信息,具体为:
a 2.1.1.权限管理员用户构造最新的用户权限数据结构,包括用户ID、权限类型、用户权限信息以及第一加密验证信息;所述的第一加密验证信息为通过管理员私钥对用户ID和用户权限信息以及当前时间戳进行加密后生成的数据;
a 2.1.2. 权限控制合约检查发布者地址:权限管理员用户将操作类型和用户权限数据结构作为参数调用权限控制合约,权限控制合约检查发布者地址是否与预设的权限管理员地址相匹配,若不匹配,则拒绝发布操作;若匹配,则继续后续操作;
a 2.1.3.清空删除标记:若用户权限数据结构中的用户ID对应权限曾被标记删除,则需要清空删除标记;
a 2.1.4.通过权限控制合约将操作类型和用户权限数据结构作为参数,调用权限管理合约;
a 2.1.5.通过权限管理合约发布最新的用户权限数据结构:权限管理合约使用管理员公钥检查用户权限数据结构中的第一加密验证信息是否匹配,若匹配,则将此用户权限数据结构附加上权限组ID并发布到区块链上;若不匹配,则拒绝发布操作;
所述的访问对象权限信息更新包括新增、修改访问对象的权限信息,具体为:
b 2.1.1. 权限管理员用户构造最新的访问对象权限数据结构,包括访问对象ID、权限类型、访问对象权限信息、访问渠道以及第二加密验证信息;所述的访问渠道由管理员公钥加密以确保安全,所述的第二加密验证信息为通过管理员私钥对访问对象ID和访问对象权限信息以及当前时间戳进行加密后生成的数据;
b 2.1.2.权限控制合约检查发布者地址:管理员用户将操作类型和此访问对象权限数据结构作为参数调用权限控制合约,权限控制合约检查发布者地址是否与预设的权限管理员地址相匹配,若不匹配,则拒绝发布操作;若匹配,则进行后续操作;
b 2.1.3.清空删除标记:若访问对象权限数据结构中的访问对象ID对应权限曾被标记删除,则需要清空删除标记;
b 2.1.4.访问渠道秘密存储:将访问对象ID和访问渠道传入权限控制节点本地服务的SGX安全区进行保存,在安全区内使用秘密存储的管理员私钥对访问渠道进行解密;
b 2.15.通过权限控制合约调用权限管理合约:将完成安全区存储后的访问渠道从访问对象权限数据结构中去除,并将操作类型和访问对象权限数据结构作为参数调用权限管理合约;
b 2.1.6.通过权限管理合约发布最新的访问对象权限数据结构:权限管理合约使用管理员公钥检查访问对象权限数据结构中的第二加密验证信息是否匹配,若匹配,则将此访问对象权限数据结构附加上权限组ID并发布到区块链上;若不匹配,则拒绝发布操作。
7.根据权利要求5所述的区块链和SGX的访问权限控制系统的控制方法,其特征在于,所述的权限删除具体为:
2.2.1. 权限管理员用户构造权限删除数据结构,包括权限类型、目标ID、即时性需求以及第三加密验证信息;所述的第三加密验证信息为通过管理员私钥对目标ID以及当前时间戳进行加密后生成的数据;
2.2.2. 权限控制合约检查发布者地址:管理员用户将操作类型和此权限删除数据结构作为参数调用权限控制合约,权限控制合约检查发布者地址是否与预设的权限管理员地址相匹配,若不匹配,则拒绝发布操作;若匹配,则进行后续操作;
2.2.3. 通过权限控制合约添加删除标记:权限控制合约检查此次删除请求的即时性需求,若此次删除请求有即时性需求,则权限控制合约需要将对应权限类型的目标ID添加删除标记,将目标ID和目标权限类型传入权限控制节点本地服务的安全区,在安全区中将对应权限类型的目标ID添加删除标记;
2.2.5. 通过权限控制合约调用权限管理合约:将即时性需求从权限删除数据结构中去除,之后将操作类型和权限删除数据结构作为参数调用权限管理合约;
2.2.6. 通过权限管理合约发布链上删除标记:权限管理合约使用管理员公钥检查权限删除数据结构中的第三加密验证信息是否匹配,若匹配,则将此权限删除数据结构附加上权限组ID并发布到区块链上;若不匹配,则拒绝发布操作。
8.根据权利要求5所述的区块链和SGX的访问权限控制系统的控制方法,其特征在于,所述的权限验证规则更新具体为:
2.3.1. 发布最新权限验证合约,记录下最新权限验证合约的地址;
2.3.2. 重启权限验证节点本地服务;
2.3.3. 根据最新权限验证合约的地址,修改并发布最新的权限管理合约;
2.3.4. 通知用户身份验证系统:若权限管理合约更新成功,通知身份验证系统使用最新的权限管理合约进行访问权限控制;若权限管理合约更新失败,通知身份验证系统目前访问权限控制机制不可用,等待管理员修复。
9.根据权利要求4所述的区块链和SGX的访问权限控制系统的控制方法,其特征在于,所述的权限验证阶段包括:
用户侧构造访问对象请求,所述的访问对象请求包括用户ID和访问对象ID,以及验证用户身份所需的用户身份验证信息,交由用户身份验证系统进行验证;
用户身份验证系统构造访问对象请求:
验证通过后,用户身份验证系统生成一对临时的用户密钥,其中用户私钥通过与用户的加密通信渠道发回给用户,用以接收加密的访问渠道;用户身份验证系统构造对权限控制合约的访问请求数据结构,包括外部请求序号、用户ID、访问对象ID、用户公钥和第四加密验证信息,所述的第四加密验证信息为通过管理员私钥对用户ID、访问对象ID以及当前时间戳进行加密后生成的数据;
用户身份验证系统将操作类型和所述的访问请求数据结构作为参数调用权限控制合约;
权限控制合约处理:
权限控制合约生成内部请求序号并与请求内容对应,在内存中记录数据后,将内部请求序号和访问请求数据结构作为参数调用权限验证合约;
权限数据搜索过程:
权限验证合约获取权限数据,并使用管理员公钥检查访问请求数据结构中的第四加密验证信息是否匹配,若成功匹配,权限验证合约根据用户ID和权限组ID搜索链上公开的用户权限数据,根据访问对象ID和权限组ID搜索链上公开的访问对象权限数据;
权限验证过程:
权限验证合约首先检查所获取的用户权限数据和访问对象权限数据中是否存在加密数据,若没有加密数据,则根据权限验证合约内置的权限验证规则对权限数据进行计算,获取用户是否符合访问该访问对象条件的结果;之后,无论是否存在加密数据,都将用户权限数据、访问对象权限数据、内部请求序号、权限组ID发送到本权限验证节点上的本地服务安全区中进行解密和处理;
权限验证节点本地服务处理:
本地服务接收到由权限验证合约发送到本地的数据后,将其传入本地服务的安全区,使用内部的管理员私钥对加密数据进行解锁后,根据内置的权限验证规则对权限数据进行计算,获取用户是否符合访问该访问对象条件的结果;之后,将内部请求序号、权限组ID以及计算生成结果和时间戳通过管理员私钥进行加密,生成第五加密验证信息;
权限验证合约计算结果上链:
权限验证合约获取本地服务安全区生成的结果和第五加密验证信息;如果权限验证合约自身进行过权限验证规则计算,则需要比对生成结果是否相同,只有两次计算结果相同才会继续后续步骤;之后,构造返回数据结构,包括内部请求序号、权限组ID、请求结果以及第五加密验证信息;
权限控制合约获得返回数据:
权限控制合约持续监听链上符合权限组ID和内部请求序号的交易数据,在使用管理员公钥对数据进行验证通过后,及时更新到内部维护的数据列表中;当一个请求的结果被监听到且通过验证时,根据请求的结果进行处理,若请求失败或者拒绝访问,则将失败原因和外部请求序号一起上链并结束处理;若请求成功且允许访问,则将该返回数据结构和外部请求序号发送到本权限控制节点上的本地服务安全区中进行处理;
权限控制节点本地服务获取访问渠道:
本地服务接收到返回数据结构和外部请求序号后,将其和访问对象ID、用户公钥一起传入本地服务的安全区,本地服务验证返回数据结构的第五加密验证信息之后,根据访问对象ID以及返回数据结构中的请求结果,从安全区的安全存储中读取访问对象的访问渠道;安全区使用用户公钥对访问渠道进行加密后,将加密的访问渠道和外部请求序号通过合约上链;
用户身份验证系统获得返回数据:
用户身份验证系统持续监听链上与外部请求序号对应的交易数据,当一个请求的结果被监听到时,若该请求失败或者拒绝访问,则将失败的消息通过与用户约定的加密渠道返回给用户;若该请求成功,用户身份验证系统将加密的访问渠道发送到本地安全区中,使用用户私钥对其进行解密,并使用与用户约定的加密通信渠道将该访问渠道返回给用户。
CN202210253251.5A 2022-03-15 2022-03-15 一种基于区块链和sgx的访问权限控制系统及方法 Active CN114465815B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210253251.5A CN114465815B (zh) 2022-03-15 2022-03-15 一种基于区块链和sgx的访问权限控制系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210253251.5A CN114465815B (zh) 2022-03-15 2022-03-15 一种基于区块链和sgx的访问权限控制系统及方法

Publications (2)

Publication Number Publication Date
CN114465815A CN114465815A (zh) 2022-05-10
CN114465815B true CN114465815B (zh) 2022-11-08

Family

ID=81418077

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210253251.5A Active CN114465815B (zh) 2022-03-15 2022-03-15 一种基于区块链和sgx的访问权限控制系统及方法

Country Status (1)

Country Link
CN (1) CN114465815B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737348A (zh) * 2017-04-21 2018-11-02 中国科学院信息工程研究所 一种基于区块链的智能合约的物联网设备访问控制方法
WO2020140931A1 (zh) * 2019-01-03 2020-07-09 菜鸟智能物流控股有限公司 区块链的访问控制方法和装置以及电子设备
CN111709745A (zh) * 2020-06-09 2020-09-25 浙江大学 一种基于sgx的区块链交易安全保护系统及其方法
WO2021053131A1 (en) * 2019-09-18 2021-03-25 Gunnebo Ab Method, locking system for controlling access to a resource and a locking device
CN112564775A (zh) * 2020-12-18 2021-03-26 江苏省未来网络创新研究院 一种基于区块链的空间信息网络访问控制系统与认证方法
CN113297561A (zh) * 2021-05-27 2021-08-24 复旦大学 基于sgx和区块链的高考资格认证系统
CN113420320A (zh) * 2021-05-08 2021-09-21 杭州未名信科科技有限公司 一种数据共享场景下的区块链权限管理方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770201B (zh) * 2020-08-31 2020-12-04 支付宝(杭州)信息技术有限公司 一种数据验证方法、装置及设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737348A (zh) * 2017-04-21 2018-11-02 中国科学院信息工程研究所 一种基于区块链的智能合约的物联网设备访问控制方法
WO2020140931A1 (zh) * 2019-01-03 2020-07-09 菜鸟智能物流控股有限公司 区块链的访问控制方法和装置以及电子设备
WO2021053131A1 (en) * 2019-09-18 2021-03-25 Gunnebo Ab Method, locking system for controlling access to a resource and a locking device
CN111709745A (zh) * 2020-06-09 2020-09-25 浙江大学 一种基于sgx的区块链交易安全保护系统及其方法
CN112564775A (zh) * 2020-12-18 2021-03-26 江苏省未来网络创新研究院 一种基于区块链的空间信息网络访问控制系统与认证方法
CN113420320A (zh) * 2021-05-08 2021-09-21 杭州未名信科科技有限公司 一种数据共享场景下的区块链权限管理方法和系统
CN113297561A (zh) * 2021-05-27 2021-08-24 复旦大学 基于sgx和区块链的高考资格认证系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于SGX的区块链交易隐私安全保护方法;范俊松等;《应用科学学报》;20210131;第39卷(第1期);全文 *

Also Published As

Publication number Publication date
CN114465815A (zh) 2022-05-10

Similar Documents

Publication Publication Date Title
CN110120869B (zh) 密钥管理系统及密钥服务节点
CN110892691B (zh) 安全执行平台群集
US20220191012A1 (en) Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System
US8971537B2 (en) Access control protocol for embedded devices
US8059818B2 (en) Accessing protected data on network storage from multiple devices
US11849029B2 (en) Method of data transfer, a method of controlling use of data and cryptographic device
CN110535880B (zh) 物联网的访问控制方法以及系统
CN108701094A (zh) 在基于云的应用中安全地存储和分发敏感数据
US20210028931A1 (en) Secure distributed key management system
CN111294349B (zh) 用于物联网设备数据共享的方法及装置
CN109981255A (zh) 密钥池的更新方法和系统
EP3674938A2 (en) Identifying computing processes on automation servers
CN115277168B (zh) 一种访问服务器的方法以及装置、系统
WO2022223036A1 (zh) 一种加密数据共享的方法、装置、设备及可读介质
CN115865320A (zh) 一种基于区块链的安全服务管理方法及系统
CN113301107A (zh) 节点计算平台及其实现方法、可信云平台实现方法
JP2022523068A (ja) 安全な電子データ転送のためのシステムと方法
CN114465815B (zh) 一种基于区块链和sgx的访问权限控制系统及方法
US20210051004A1 (en) System and method for secure access management
Dhondge Lifecycle IoT Security for Engineers
CN116781359B (zh) 一种使用网络隔离和密码编译的门户安全设计方法
CN116319096B (zh) 算力网络操作系统的访问系统、方法、装置、设备及介质
Kowalski CRYPTOBOX V2.
CN117313144A (zh) 敏感数据的管理方法、装置、存储介质和电子设备
CN113468517A (zh) 一种基于区块链的数据共享方法、系统及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant