CN114925031A - 数据差异化安全共享方法、装置、电子设备及介质 - Google Patents
数据差异化安全共享方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114925031A CN114925031A CN202210542812.3A CN202210542812A CN114925031A CN 114925031 A CN114925031 A CN 114925031A CN 202210542812 A CN202210542812 A CN 202210542812A CN 114925031 A CN114925031 A CN 114925031A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- uplink
- access
- attribute set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/176—Support for shared access to files; File sharing support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
- G06Q40/125—Finance or payroll
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Databases & Information Systems (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Data Mining & Analysis (AREA)
- Marketing (AREA)
- Mathematical Physics (AREA)
- Technology Law (AREA)
- Computing Systems (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种数据差异化安全共享方法、装置、电子设备及介质。该方法包括:当获取到待上链数据时,确定待上链数据的访问条件;访问条件包括可访问待上链数据的用户的第一用户属性集合及第一用户权限等级;将访问条件封装至加密密钥中,并基于加密密钥和待上链数据生成密文数据,将密文数据记录在共享联盟链;当获取到用户的访问请求时,从访问请求中获取用户的第二用户属性集合及第二用户权限等级;基于用户的第二用户属性集合及第二用户权限等级,判断用户是否满足访问条件,若是,则向用户发送解密密钥,解密密钥用于对密文数据进行解密。本申请的方法,有利于在不增大加密成本及密钥管理的开销的情况下,实现一对多的数据共享。
Description
技术领域
本申请涉及数据加密技术,尤其涉及一种数据差异化安全共享方法、装置、电子设备及介质。
背景技术
区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证不可篡改和不可伪造的分布式数据库,也称为分布式账本技术。现有的,部分领域多采用区块链对数据进行记录存储。企业中的隐私或敏感的数据需要以密文的形式在账本中存储,从而引出了加密数据如何进行共享的问题。
传统的加密技术(包括对称、非对称和混合加密)中,加密数据(或对称密钥)由单一用户解密,解密方没有动机也不可能将密钥(或对称密钥)共享给他人,通信双方需要预先获知对方的密钥,并将数据加密发给每一个对应的密钥持有人。
对于上述方法,在加密数据或接受方数目众多(一对多)的情况下,一次一密、一户一密或多个加密副本的方案会导致加解密和密钥管理的开销增大。
发明内容
本申请提供一种数据差异化安全共享方法、装置、电子设备及介质,用以在不增大开销的情况下,实现数据的安全共享。
一方面,本申请提供一种数据差异化安全共享方法,该方法包括:
当获取到待上链数据时,确定所述待上链数据的访问条件;所述访问条件包括可访问所述待上链数据的用户的第一用户属性集合及第一用户权限等级;
将所述访问条件封装至加密密钥中,并基于所述加密密钥和所述待上链数据生成密文数据,将所述密文数据记录在共享联盟链;
当获取到用户访问所述密文数据的访问请求时,从所述访问请求中获取所述用户的第二用户属性集合及第二用户权限等级;
基于所述用户的第二用户属性集合及第二用户权限等级,判断所述用户是否满足所述访问条件,若是,则向所述用户发送解密密钥,所述解密密钥用于对所述密文数据进行解密。
在另一种可能实现的方式中,所述确定所述待上链数据的访问条件之前,所述方法还包括:
对数据库内的每个企业的数据进行分类,得到不同类别的所述待上链数据,其中,每个企业包括至少一类所述待上链数据;
为不同类别的所述待上链数据配置所述访问条件,并将所述访问条件写入智能合约。
在另一种可能实现的方式中,所述对数据库内的每个企业的数据进行分类,得到不同类别的所述待上链数据,包括:
针对每个企业的数据,基于访问不同数据所需的用户属性和权限等级,对每个企业的数据进行分类,得到不同类别的所述待上链数据;
对应地,为不同类别的所述待上链数据配置访问条件,包括:
基于每类所述待上链数据对应的用户属性和权限等级,配置所述访问条件。
在另一种可能实现的方式中,所述当获取到待上链数据时,确定所述待上链数据的访问条件,包括:
确定所述待上链数据的所属类别;
根据所述所属类别,从智能合约中获取与所属类别的待上链数据对应的访问条件。
在另一种可能实现的方式中,所述基于所述用户的第二用户属性集合及第二用户权限等级,判断所述用户是否满足所述访问条件,包括:
判断所述第二用户属性集合是否为所述第一用户属性集合的子集;
若是,则判断所述第二用户权限等级是否等于或高于所述第一用户权限等级,若是,则确定所述用户满足所述访问条件。
在另一种可能实现的方式中,所述获取所述用户的第二用户属性集合及第二用户权限等级,包括:
基于所述用户的企业信息、部门信息及角色信息,获取所述用户的第二用户属性集合;
在属性权威链上查找所述第二用户属性集合,在查找到所述第二用户属性集合后,获取所述第二用户属性集合对应的第二用户权限等级;其中,所述属性权威链上记录有至少一个用户属性集合及所述用户属性集合对应的用户权限等级。
在另一种可能实现的方式中,在属性权威链上查找所述第二用户属性集合之前,所述方法还包括:
为每个所述用户属性集合配置所述用户权限等级;
将所述用户属性集合及所述用户属性集合对应的所述用户权限等级记录在所述属性权威链上。
另一方面,本申请提供一种数据差异化安全共享装置,包括确定模块、生成模块、获取模块及发送模块,其中,
确定模块,用于当获取到待上链数据时,确定所述待上链数据的访问条件;所述访问条件包括可访问所述待上链数据的用户的第一用户属性集合及第一用户权限等级;
生成模块,用于将所述访问条件封装至加密密钥中,并基于所述加密密钥和所述待上链数据生成密文数据,将所述密文数据记录在共享联盟链;
获取模块,用于当获取到用户访问所述密文数据的访问请求时,从所述访问请求中获取所述用户的第二用户属性集合及第二用户权限等级;
发送模块,用于基于所述用户的第二用户属性集合及第二用户权限等级,判断所述用户是否满足所述访问条件,若是,则向所述用户发送解密密钥,所述解密密钥用于对所述密文数据进行解密。
在另一种可能实现的方式中,所述装置还包括分类模块及第一配置模块,其中,
分类模块,用于对数据库内的每个企业的数据进行分类,得到不同类别的所述待上链数据,其中,每个企业包括至少一类所述待上链数据;
第一配置模块,用于为不同类别的所述待上链数据配置所述访问条件,并将所述访问条件写入智能合约。
在另一种可能实现的方式中,所述分类模块具体用于:
针对每个企业的数据,基于访问不同数据所需的用户属性和权限等级,对每个企业的数据进行分类,得到不同类别的所述待上链数据;
对应地,所述分类模块具体用于:
基于每类所述待上链数据对应的用户属性和权限等级,配置所述访问条件。
在另一种可能实现的方式中,所述确定模块具体用于:
确定所述待上链数据的所属类别;
根据所述所属类别,从智能合约中获取与所属类别的待上链数据对应的访问条件。
在另一种可能实现的方式中,所述发送模块具体用于:
判断所述第二用户属性集合是否为所述第一用户属性集合的子集;
若是,则判断所述第二用户权限等级是否等于或高于所述第一用户权限等级,若是,则确定所述用户满足所述访问条件。
在另一种可能实现的方式中,所述获取模块具体用于:
基于所述用户的企业信息、部门信息及角色信息,获取所述用户的第二用户属性集合;
在属性权威链上查找所述第二用户属性集合,在查找到所述第二用户属性集合后,获取所述第二用户属性集合对应的第二用户权限等级;其中,所述属性权威链上记录有至少一个用户属性集合及所述用户属性集合对应的用户权限等级。
在另一种可能实现的方式中,所述装置还包括第二配置模块及记录模块,其中,
第二配置模块,用于为每个所述用户属性集合配置所述用户权限等级;
记录模块,用于将所述用户属性集合及所述用户属性集合对应的所述用户权限等级记录在所述属性权威链上。
第三方面,本发明提供一种电子设备,包括:
至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面任一项所述的数据差异化安全共享方法。
第四方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面任一项所述的数据差异化安全共享方法。
本申请提供一种数据差异化安全共享方法、装置、电子设备及介质,可以在有数据请求上链时,首先确定所述待上链数据的访问条件,将确认好的访问条件封装至加密密钥中,并基于所述加密密钥和所述待上链数据生成密文数据,最后将所述密文数据记录在共享联盟链,完成数据的上链过程。其中,访问条件包括可访问所述待上链数据的用户的第一用户属性集合及第一用户权限等级,仅当用户满足所述访问条件时,才允许访问所述待上链数据。当请求访问所述待上链数据的用户满足所述访问条件时,向用户发送解密密钥,用户基于解密密钥对所述密文数据进行解密,从而完成用户访问所述待上链数据的过程。
基于访问所述待上链数据所需的用户属性及用户权限等级,为所述待上链数据配置访问条件,使得用户只要满足所述访问条件,即可收到与所述密文数据对应的解密密钥。上述过程中,仅对每类所述待上链数据进行了一次加密,而所述待上链数据可被满足所述访问条件的所有用户访问,从而实现了在不增大加密成本及密钥管理的开销的情况下,实现一对多的数据共享。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种数据差异化安全共享的系统示意图;
图2为本申请实施例提供的一种数据差异化安全共享的方法流程示意图一;
图3为本申请实施例提供的一种数据差异化安全共享的方法流程示意图二;
图4为本申请实施例提供的一种数据差异化安全共享的方法流程示意图三;
图5为本申请实施例提供的一种数据差异化安全共享的装置示意图;
图6为本申请实施例提供的一种电子设备。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
图1为本申请实施例提供的一种数据差异化安全共享的系统示意图。该系统可以包括属性权威链、共享联盟链、数据提供方及数据使用方。其中,属性权威链用于在获取到待上链数据时,为待上链数据分配加密密钥、配置访问条件;同时用于在有数据使用方请求访问已上链数据时,判断数据使用方是否满足访问条件,并在数据使用方满足访问条件时,向数据使用方发送解密密钥。数据提供方用于提供待上链数据,在有待上链数据时,从属性权威链上获取加密密钥,并响应属性权威链对待上链数据进行加密,生成密文数据后将密文数据记录在共享联盟链上。共享联盟链用于存储密文数据。数据使用方用于基于从属性权威链获取的解密密钥,访问对应的密文数据。
具体地,在获取到待上链数据时,属性权威链首先向数据提供方提供加密密钥,并使数据提供方将待上链数据封装至加密密钥。其次将基于加密密钥及待上链数据生成的密文数据记录在共享联盟链,完成密文数据的上链。当有数据使用方请求访问已上链的密文数据时,属性权威链判断数据使用方是否满足已上链密文数据的访问条件,并在满足时,向数据使用方发送解密密钥,数据使用方基于解密密钥从共享联盟链上获取已上链密文数据,并基于解密密钥对该已上链密文数据进行解密。
在上述过程中,仅对每类待上链数据进行了一次加密,数据使用方只要满足待上链数据的访问条件,即可获取待上链数据对应的已上链密文数据的解密密钥,从而实现了在不增大加密成本及密钥管理的开销的情况下,实现一对多的数据共享。
图2为本申请实施例提供的一种数据差异化安全共享的方法流程图一。如图2所示,本实施例中的方法可以包括步骤S201、步骤S202、步骤S203以及步骤S204,其中,
步骤S201,当获取到待上链数据时,确定待上链数据的访问条件。
其中,待上链数据由数据提供方提供,当数据提供方有要提供的待上链数据时,属性权威链获取待上链数据,并确定待上链数据的访问条件。
具体地,访问条件包括可访问待上链数据的用户的第一用户属性集合及第一用户权限等级。第一用户属性集合的元素包括满足同一用户单位、用户部门及用户角色的各个用户。第一用户权限等级为用户应具备的权限等级,用户具备的权限等级及所属第一用户集合决定了用户可以访问什么等级的数据。例如,当第一用户属性集合={XX企业∩(财务部∪企业管理部)∩(财务专员∪财务主管∪企业管理者)},第一用户权限等级为二级时,访问该待上链数据的用户需满足:是XX企业、财务部权限等级高于二级的财务专员及以上的财务部人员或企业管理部权限等级高于二级的企业管理者。
步骤S202,将访问条件封装至加密密钥中,并基于加密密钥和待上链数据生成密文数据,将密文数据记录在共享联盟链。
其中,共享联盟链用于对密文数据进行存储,以实现待上链数据的加密存储,保证了待上链数据的安全性。
步骤S203,当获取到用户访问密文数据的访问请求时,从访问请求中获取用户的第二用户属性集合及第二用户权限等级。
其中,第二用户属性集合用于表示请求访问密文数据的用户具备的属性,第二用户权限等级用于表示用户具备的访问权限。
步骤S204,基于用户的第二用户属性集合及第二用户权限等级,判断用户是否满足访问条件,若是,则向用户发送解密密钥。
其中,解密密钥用于对密文数据进行解密。
具体地,判断用户具备的第二用户属性集合及第二用户权限等级是否满足密文数据要求用户具备的第一用户属性集合及第二用户权限等级,若满足,则说明用户满足访问密文数据的条件,此时,向用户发送解密密钥。用户能基于解密密钥对密文数据进行解密,从而完成数据的访问。
本实施例提供的方法,当有待上链数据需要上链时,首先确认可访问待上链数据的用户应具备的访问条件,并为待上链数据分配加密密钥,使待上链数据基于加密密钥生成密文数据。当有用户请求访问密文数据时,首先判断该用户具备的属性及权限等级条件是否满足该密文数据要求用户具备的条件,仅在满足该密文数据要求用户具备的条件时,才向用户发送解密密钥。通过上述方法,仅对同一类待上链数据分配一个加密密钥,同时仅对其进行一次加密,从而在不增大加密成本及密钥管理的开销的情况下,实现了一对多的数据共享。
图3是本申请实施例提供的一种数据差异化安全共享的方法流程图二。下面结合图3,对本申请实施例的具体实现过程进行详细说明。具体地,本实施例在上述实施例的基础上,详细限定了属性权威链为待上链数据配置访问条件的方式、确定待上链数据访问条件的方式以及属性权威链判断用户是否满足访问条件的方式。
如图3所示,该方法包括步骤S301~步骤S309,其中,
步骤S301,针对数据库内每个企业的数据,基于访问不同数据所需的用户属性和权限等级,对每个企业的数据进行分类,得到不同类别的待上链数据。
具体地,数据库内包括至少一个企业的数据,对于每个企业的数据,按照该数据允许访问的用户所需的用户属性和权限等级进行分类,得到不同类别的待上链数据。
步骤S302,基于每类待上链数据对应的用户属性和权限等级,配置访问条件,并将访问条件写入智能合约。
具体地,属性权威链根据访问每类待上链数据所需的用户属性及权限等级,为每类待上链数据配置访问条件,并将与每类待上链数据对应的访问条件写入智能合约。
步骤S303,当获取到待上链数据时,确定待上链数据的所属类别。
具体地,属性权威链获取到一类待上链数据时,判断该待上链数据属于哪一类待上链数据。其中,判断该待上链数据属于哪一类待上链数据的方式为:查看访问数据库内哪一类待上链数据所需的用户属性及用户权限与访问该待上链数据所需的用户属性及用户权限一致。
步骤S304,根据所属类别,从智能合约中获取与所属类别的待上链数据对应的访问条件。
具体地,确定好待上链数据的所属类别后,直接将该类别的待上链数据的访问条件作为当前获取的待上链数据的访问条件。
步骤S305,将访问条件封装至加密密钥中,并基于加密密钥和待上链数据生成密文数据,将密文数据记录在共享联盟链。
其中,步骤S305的实现方式参见前述实施例中对于步骤S202的描述,此处不再赘述。
步骤S306,当获取到用户访问密文数据的访问请求时,从访问请求中获取用户的第二用户属性集合及第二用户权限等级。
其中,步骤S306的实现方式参见前述实施例中对于步骤S203的描述,此处不再赘述。
步骤S307,判断第二用户属性集合是否为第一用户属性集合的子集。
步骤S308,若是,则判断第二用户权限等级是否等于或高于第一用户权限等级,若是,则确定用户满足访问条件。
步骤S309,向用户发送解密密钥,解密密钥用于对密文数据进行解密。
具体地,判断第二用户属性集合是否为第一用户属性集合的子集的方式为:判断满足第二用户属性集合的用户是否等于满足第一用户属性集合的用户,或满足第一属性集合的用户是否包含满足第二属性集合的用户。仅在第二用户属性集合是第一用户属性集合的子集,且第二用户权限等级等于或高于第一用户权限等级时,确定用户满足待上链数据的访问条件。
本实施例提供的方法,属性权威链提前将数据库内已有的待上链数据进行分类,并为每类待上链数据配置访问条件。当获取到新的待上链数据时,根据访问该待上链数据的用户所需的用户属性及用户权限等级,判断该待上链数据属于数据库内的哪一类待上链数据,并从智能合约中获取所属类别的待上链数据的访问条件作为该待上链数据的访问条件。当用户满足待上链数据的访问条件时,向用户发送与访问条件对应的解密密钥,用户基于解密密钥对密文数据进行解密。通过上述方法,对一类待上链数据配置同一个访问条件,同一个访问条件对应一个加密密钥及解密密钥,有效减轻了密钥管理的负担。
图4为本申请实施例提供的一种数据差异化安全共享的方法流程图三。下面结合图4,对本申请实施例的具体实现过程做进一步详细说明。具体地,本实施例对用户属性集合及用户权限等级的获取方式进行了限定。
如图4所示,该方法可以包括步骤S401、步骤S402、步骤S403及步骤S404,其中,
步骤S401,为每个用户属性集合配置用户权限等级。
具体地,企业可以依据需要,为每个企业用户配置用户权限等级,以限制企业用户的访问权限。
步骤S402,将用户属性集合及用户属性集合对应的用户权限等级记录在属性权威链上。
其中,属性权威链上记录有至少一个用户属性集合及用户属性集合对应的用户权限等级。
步骤S403,当获取到用户访问密文数据的访问请求时,基于用户的企业信息、部门信息及角色信息,获取用户的第二用户属性集合。
步骤S404,在属性权威链上查找第二用户属性集合,在查找到第二用户属性集合后,获取第二属性集合对应的第二用户权限等级。
具体地,确认用户的第二用户属性集合及第二用户权限等级的方式为:首先根据用户的企业信息、部门信息及角色信息,确定用户对应的第二用户属性集合,然后在属性权威链上查找与第二用户属性集合对应的第二用户权限等级。
本实施例提供的方法,通过使各企业预先将用户对应的用户属性集合及用户权限等级记录在属性权威链上,使得用户在请求访问密文数据时,能够直接从属性权威链上获取用户的第二用户属性集合及第二用户权限等级,从而提高数据共享的安全性及高效性。
上述实施例从方法流程的角度介绍一种数据差异化安全共享方法,下述实施例从虚拟模块或虚拟单元的角度介绍了一种数据差异化安全共享装置,具体详见下述实施例。
本申请实施例提供一种数据差异化安全共享装置,如图5所示,该装置包括确定模块51、生成模块52、获取模块53及发送模块54,其中,
确定模块51,用于当获取到待上链数据时,确定待上链数据的访问条件;访问条件包括可访问待上链数据的用户的第一用户属性集合及第一用户权限等级;
生成模块52,用于将访问条件封装至加密密钥中,并基于加密密钥和待上链数据生成密文数据,将密文数据记录在共享联盟链;
获取模块53,用于当获取到用户访问密文数据的访问请求时,从访问请求中获取用户的第二用户属性集合及第二用户权限等级;
发送模块54,用于基于用户的第二用户属性集合及第二用户权限等级,判断用户是否满足访问条件,若是,则向用户发送解密密钥,解密密钥用于对密文数据进行解密。
本申请实施例的另一种可能的实现方式,装置还包括分类模块及第一配置模块,其中,
分类模块,用于对数据库内的每个企业的数据进行分类,得到不同类别的待上链数据,其中,每个企业包括至少一类待上链数据;
第一配置模块,用于为不同类别的待上链数据配置访问条件,并将访问条件写入智能合约。
本申请实施例的另一种可能的实现方式,分类模块具体用于:
针对每个企业的数据,基于访问不同数据所需的用户属性和权限等级,对每个企业的数据进行分类,得到不同类别的待上链数据;
对应地,分类模块具体用于:
基于每类待上链数据对应的用户属性和权限等级,配置访问条件。
本申请实施例的另一种可能的实现方式,确定模块51具体用于:
确定待上链数据的所属类别;
根据所属类别,从智能合约中获取与所属类别的待上链数据对应的访问条件。
本申请实施例的另一种可能的实现方式,发送模块54具体用于:
判断第二用户属性集合是否为第一用户属性集合的子集;
若是,则判断第二用户权限等级是否等于或高于第一用户权限等级,若是,则确定用户满足访问条件。
本申请实施例的另一种可能的实现方式,获取模块53具体用于:
基于用户的企业信息、部门信息及角色信息,获取用户的第二用户属性集合;
在属性权威链上查找第二用户属性集合,在查找到第二属性集合后,获取第二属性集合对应的第二用户权限等级;其中,属性权威链上记录有至少一个用户属性集合及用户属性集合对应的用户权限等级。
本申请实施例的另一种可能的实现方式,装置还包括第二配置模块及记录模块,其中,
第二配置模块,用于为每个用户属性集合配置用户权限等级;
记录模块,用于将用户属性集合及用户属性集合对应的用户权限等级记录在属性权威链上。
本申请实施例中,第一配置模块及第二配置模块可以为相同的配置模块,也可以为不同的配置模块,在本申请实施例中均不做限定。
本申请实施例提供的一种数据差异化安全共享装置,适用于上述方法实施例,在此不再赘述。
本申请实施例中提供了一种电子设备,如图6所示,图6所示的电子设备包括:处理器61和存储器62。其中,处理器61和存储器62相连,如通过总线63相连。可选地,电子设备还可以包括收发器64。需要说明的是,实际应用中收发器64不限于一个,该电子设备的结构并不构成对本申请实施例的限定。
处理器61可以是CPU(Central Processing Unit,中央处理器61),通用处理器61,DSP(Digital Signal Processor,数据信号处理器61),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器61也可以是实现计算功能的组合,例如包含一个或多个微处理器61组合,DSP和微处理器61的组合等。
总线63可包括一通路,在上述组件之间传送信息。总线631002可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线63或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线63等。总线63可以分为地址总线63、数据总线63、控制总线63等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线63或一种类型的总线63。
存储器62可以是ROM(Read Only Memory,只读存储器62)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器62)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器62)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器62用于存储执行本申请方案的应用程序代码,并由处理器61来控制执行。处理器61用于执行存储器62中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备包括但不限于:移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。还可以为服务器等。图6示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种数据差异化安全共享方法,其特征在于,包括:
当获取到待上链数据时,确定所述待上链数据的访问条件;所述访问条件包括可访问所述待上链数据的用户的第一用户属性集合及第一用户权限等级;
将所述访问条件封装至加密密钥中,并基于所述加密密钥和所述待上链数据生成密文数据,将所述密文数据记录在共享联盟链;
当获取到用户访问所述密文数据的访问请求时,从所述访问请求中获取所述用户的第二用户属性集合及第二用户权限等级;
基于所述用户的第二用户属性集合及第二用户权限等级,判断所述用户是否满足所述访问条件,若是,则向所述用户发送解密密钥,所述解密密钥用于对所述密文数据进行解密。
2.根据权利要求1所述的方法,其特征在于,所述确定所述待上链数据的访问条件之前,所述方法还包括:
对数据库内的每个企业的数据进行分类,得到不同类别的所述待上链数据,其中,每个企业包括至少一类所述待上链数据;
为不同类别的所述待上链数据配置所述访问条件,并将所述访问条件写入智能合约。
3.根据权利要求2所述的方法,其特征在于,所述对数据库内的每个企业的数据进行分类,得到不同类别的所述待上链数据,包括:
针对每个企业的数据,基于访问不同数据所需的用户属性和权限等级,对每个企业的数据进行分类,得到不同类别的所述待上链数据;
对应地,为不同类别的所述待上链数据配置访问条件,包括:
基于每类所述待上链数据对应的用户属性和权限等级,配置所述访问条件。
4.根据权利要求2或3所述的方法,其特征在于,所述当获取到待上链数据时,确定所述待上链数据的访问条件,包括:
确定所述待上链数据的所属类别;
根据所述所属类别,从智能合约中获取与所属类别的待上链数据对应的访问条件。
5.根据权利要求2所述的方法,其特征在于,所述基于所述用户的第二用户属性集合及第二用户权限等级,判断所述用户是否满足所述访问条件,包括:
判断所述第二用户属性集合是否为所述第一用户属性集合的子集;
若是,则判断所述第二用户权限等级是否等于或高于所述第一用户权限等级,若是,则确定所述用户满足所述访问条件。
6.根据权利要求1所述的方法,其特征在于,所述获取所述用户的第二用户属性集合及第二用户权限等级,包括:
基于所述用户的企业信息、部门信息及角色信息,获取所述用户的第二用户属性集合;
在属性权威链上查找所述第二用户属性集合,在查找到所述第二用户属性集合后,获取所述第二用户属性集合对应的第二用户权限等级;其中,所述属性权威链上记录有至少一个用户属性集合及所述用户属性集合对应的用户权限等级。
7.根据权利要求6所述的方法,其特征在于,在属性权威链上查找所述第二用户属性集合之前,所述方法还包括:
为每个所述用户属性集合配置所述用户权限等级;
将所述用户属性集合及所述用户属性集合对应的所述用户权限等级记录在所述属性权威链上。
8.一种数据差异化安全共享装置,其特征在于,包括:
确定模块,用于当获取到待上链数据时,确定所述待上链数据的访问条件;所述访问条件包括可访问所述待上链数据的用户的第一用户属性集合及第一用户权限等级;
生成模块,用于将所述访问条件封装至加密密钥中,并基于所述加密密钥和所述待上链数据生成密文数据,将所述密文数据记录在共享联盟链;
获取模块,用于当获取到用户访问所述密文数据的访问请求时,从所述访问请求中获取所述用户的第二用户属性集合及第二用户权限等级;
发送模块,用于基于所述用户的第二用户属性集合及第二用户权限等级,判断所述用户是否满足所述访问条件,若是,则向所述用户发送解密密钥,所述解密密钥用于对所述密文数据进行解密。
9.一种电子设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1-7任一项所述的数据差异化安全共享方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-7任一项所述的数据差异化安全共享方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210542812.3A CN114925031A (zh) | 2022-05-18 | 2022-05-18 | 数据差异化安全共享方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210542812.3A CN114925031A (zh) | 2022-05-18 | 2022-05-18 | 数据差异化安全共享方法、装置、电子设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114925031A true CN114925031A (zh) | 2022-08-19 |
Family
ID=82808472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210542812.3A Pending CN114925031A (zh) | 2022-05-18 | 2022-05-18 | 数据差异化安全共享方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114925031A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055144A (zh) * | 2022-12-29 | 2023-05-02 | 电子科技大学 | 基于物联网的数据安全性分析方法、装置、设备及存储 |
| CN117195270A (zh) * | 2023-09-25 | 2023-12-08 | 江苏达科数智技术有限公司 | 数据共享方法及共享平台 |
-
2022
- 2022-05-18 CN CN202210542812.3A patent/CN114925031A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055144A (zh) * | 2022-12-29 | 2023-05-02 | 电子科技大学 | 基于物联网的数据安全性分析方法、装置、设备及存储 |
| CN117195270A (zh) * | 2023-09-25 | 2023-12-08 | 江苏达科数智技术有限公司 | 数据共享方法及共享平台 |
| CN117195270B (zh) * | 2023-09-25 | 2024-02-02 | 江苏达科数智技术有限公司 | 数据共享方法及共享平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110060162B (zh) | 基于区块链的数据授权、查询方法和装置 | |
| US11057189B2 (en) | Providing data authorization based on blockchain | |
| CN109214197B (zh) | 基于区块链来处理隐私数据的方法、装置及存储介质 | |
| CN112184222B (zh) | 基于区块链的业务处理方法、业务处理方法、装置及设备 | |
| US20190318105A1 (en) | Forced data transformation policy | |
| US9519696B1 (en) | Data transformation policies | |
| CN112131316B (zh) | 应用于区块链系统的数据处理方法及装置 | |
| US11290446B2 (en) | Access to data stored in a cloud | |
| CN114925031A (zh) | 数据差异化安全共享方法、装置、电子设备及介质 | |
| US11870882B2 (en) | Data processing permits system with keys | |
| CN107370604B (zh) | 一种大数据环境下的多粒度访问控制方法 | |
| CN111190974B (zh) | 可验证声明的转发、获取方法、装置及设备 | |
| CN112825520A (zh) | 用户隐私数据处理方法、装置、系统及存储介质 | |
| CN104937904A (zh) | 针对全异卸载提供器的复制卸载 | |
| CN113743955A (zh) | 基于智能合约的食材溯源数据安全访问控制方法 | |
| CN111245811A (zh) | 信息加密方法、装置及电子设备 | |
| CN115277143A (zh) | 一种数据安全传输方法、装置、设备及存储介质 | |
| CN116090000A (zh) | 文件安全管理方法、系统、设备、介质和程序产品 | |
| KR20080029687A (ko) | 암호화 기능이 내장된 메모리를 이용한 고속 대용량의암호화 장치 및 그 구현 방법 | |
| CN104104650A (zh) | 数据文件访问方法及终端设备 | |
| CN114116637A (zh) | 一种数据共享方法、装置、设备及存储介质 | |
| CN113282959A (zh) | 业务数据处理方法、装置及电子设备 | |
| CN116956308A (zh) | 数据库处理方法、装置、设备及介质 | |
| CN116522355A (zh) | 一种电力数据边界保护方法、设备、介质及装置 | |
| CN113901498B (zh) | 一种数据共享方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |