CN115022090A - 一种数据分享方法、系统、电子设备和计算机存储介质 - Google Patents
一种数据分享方法、系统、电子设备和计算机存储介质 Download PDFInfo
- Publication number
- CN115022090A CN115022090A CN202210934044.6A CN202210934044A CN115022090A CN 115022090 A CN115022090 A CN 115022090A CN 202210934044 A CN202210934044 A CN 202210934044A CN 115022090 A CN115022090 A CN 115022090A
- Authority
- CN
- China
- Prior art keywords
- information
- publisher
- data
- private cloud
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种数据分享方法,其中,该方法包括:发布者的私有云设备,获取目标数据,并对目标数据创建文件格式信息,发布者的私有云设备,根据发布者输入的数据分享请求,在文件格式信息中添加文件处理信息。发布者的私有云设备,根据目标群标识,将文件处理信息发送至目标群组,根据第一签名信息和发布者的群成员CA证书,对文件处理信息进行校验,以认证发布者的身份;接受者的私有云设备,在身份认证成功之后,基于文件处理信息,从发布者的私有云设备上获取目标数据。通过本申请,解决了分布式群内数据分享之后,用户无法控制数据操作权限的问题,实现了用户在发出数据之后,仍旧具备控制权限,同时增强了校验能力,提升了数据安全性。
Description
技术领域
本申请涉及信息安全领域,特别是涉及一种数据分享方法、系统、电子设备和计算机存储介质。
背景技术
当前各类即时通讯软件中,普遍采用中心化群组模式,在中心化群组模式下,群成员之间的数据分享均需经过服务器中转。当用户A在群组内分享数据时,数据首先会被中心服务器接收,其次再由中心服务器进行集中处理,将数据转发至群组内的其他用户。
上述中心化群组模式中,群内用户A将数据发送至群组后,便不再具备对该数据的控制能力,群组内的其他用户(B、C…N)都可直接浏览、下载、编辑和转发该数据,其中,即使用户A选择撤回,这也只是一种依赖于中心化的有限控制,而且在数据发送后至撤回前的这段时间,用户也无法控制该数据。
目前针对数据分享之后,用户无法控制数据操作权限的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种数据分享方法、系统、电子设备和计算机可读存储介质,以至少解决数据分享方法中,用户无法控制数据操作权限的问题。
第一方面,本申请实施例提供了一种数据分享方法,用在分布式群管理场景下,发布者和接受者位于同一个分布式群组内,基于私有云设备实现,所述方法包括:
发布者的私有云设备,获取目标数据,并对所述目标数据创建文件格式信息,
发布者的私有云设备,根据所述发布者输入的数据分享请求,在所述文件格式信息中添加文件处理信息,其中,所述文件处理信息包括:目标群标识、权限信息、传递层级信息、发布者的群成员CA证书,以及由所述发布者的群成员CA证书的私钥写入的第一签名信息,
发布者的私有云设备,根据所述目标群标识,将所述文件处理信息发送至目标群组;
接受者的私有云设备,接收所述文件处理信息,并通过解析所述文件格式信息,判断其宿主用户,是否具备对所述文件格式信息的处理权限,若是,
根据所述第一签名信息和所述发布者的群成员CA证书,对所述文件处理信息进行校验,以认证所述发布者的身份;
所述接受者的私有云设备,在身份认证成功之后,基于所述文件处理信息,从所述发布者的私有云设备上获取所述目标数据,其中,在得到所述目标数据之后,根据所述权限信息,确定对所述目标数据的可操作权限。
通过上述实施例,在“文件处理信息”中配置权限信息,基于本申请提供的交互规则,用户对发送出去的数据仍旧具备控制权限,从而满足了群聊场景下的数据发送后可控权限的需求。
在其中一些实施例中,基于所述文件处理信息,从所述发布者的私有云设备上获取所述目标数据,包括:
根据所述文件处理信息中的索引,确定其对应的所述文件格式信息,根据所述文件格式信息的索引,确定所述发布者的私有云设备对应的节点信息;
基于所述文件格式信息和所述发布者的群成员CA证书,生成用于获取所述目标数据的数据请求,并通过所述发布者的群成员CA证书的私钥,在所述数据请求中添加第二签名信息;
根据所述节点信息,将所述数据请求发送至所述发布者的私有云设备;
所述发布者的私有云设备,对所述数据请求进行校验,在校验成功之后,根据所述文件格式信息中的索引,获取所述目标数据,并将所述目标数据发送至所述接受者的私有云设备。
相比于相关技术,通过在数据头中添加token,通过第三方中心服务器利用token进行认证的方式。本申请实施例中,无需经过第三方,在数据发送方自己的设备中制定规则,并自行进行校验。由于校验的规则和所涉及的私钥永远保存在设备本地,从而省去了token的流传,增强了数据安全性。
在其中一些实施例中,对所述数据请求进行校验,包括:
判断所述数据请求的发送者的身份信息是否可信,以及
判断所述数据请求是否有效;
若两者均是,指示所述数据请求校验成功。
在其中一些实施例中,所述发布者的私有云设备,判断所述数据请求的发送方的身份是否可信,包括:
获取所述数据请求中的第二签名信息;
从所述数据请求中,获取所述接收者的群成员CA证书的公钥,判断所述公钥与所述第二签名信息是否匹配,若是,指示所述数据请求的发送者的身份信息可信。
通过上述实施例,利用群成员CA证书在数据请求中进行签名,进而可以通过判断该签名是否与请求中的公钥匹配,证实数据请求的合法性。
在其中一些实施例中,判断所述数据请求是否有效,包括:
获取所述数据请求中的文件格式信息,查找本地是否存在与所述文件格式信息对应的文件处理信息,若是,指示所述数据请求有效。
在其中一些实施例中,根据所述第一签名信息和所述发布者的群成员CA证书,对所述文件处理信息进行校验,包括:
获取所述发布者的群成员CA证书的公钥,并判断所述公钥与第一签名信息是否匹配,若是,指示身份认证成功。
在其中一些实施例中,所述方法还包括:
在所述文件处理信息中,配置可操作群成员列表;
将所述文件处理信息发送至目标群,在接收到所述目标群内的操作指令的情况下,获取所述操作指令对应的群成员身份信息;
判断所述群成员身份信息是否与所述可操作群成员列表匹配,若否,不响应所述操作指令。
通过上述实施例,用户在数据发送之后,可以按照需求控制该数据的可查看群成员,从而实现了配置群内可查看人员的功能。
在其中一些实施例中,所述方法还包括:
在所述文件处理信息中,配置预设时间阈值;
将所述文件处理信息发送至目标群,在接收到所述目标群内的操作指令的情况下,判断所述操作指令的生成时间,是否小于或者等于所述时间阈值,
若否,不响应所述操作指令。
通过上述实施例,用户可以在发送数据之后,可以按照需求控制该数据的可查看时间,当超过某个预设时间段后,便无法继续查看该数据,实现了群内可查看时间的的功能。
在其中一些实施例中,所述权限信息包括:查看权限、下载权限、转发权限和编辑权限中的一个或多个的组合。
在其中一些实施例中,所述文件格式信息包括属性信息和所有权签名信息,其中,
所述属性信息包括:创建者、创建时间、创建节点和文件位置;
所述所有权签名信息是通过所述第一群成员的用户CA证书,在所述文件格式信息中进行签名得到。
第二方面,本申请提供了一种数据分享系统,应用在分布式群管理场景下,发布者和接受者位于同一个分布式群组内,基于私有云设备实现,所述系统包括:发布者的私有云设备和接受者的私有云设备,其中,
所述发布者的私有云设备用于,获取目标数据,并对所述目标数据创建文件格式信息,以及
根据所述发布者输入的数据分享请求,在所述文件格式信息中添加文件处理信息,其中,所述文件处理信息包括:目标群标识、权限信息、传递层级信息、发布者的群成员CA证书,以及由所述发布者的群成员CA证书的私钥写入的第一签名信息,以及
根据所述目标群标识,将所述文件处理信息发送至目标群组:
所述接受者的私有云设备用于,接收所述文件处理信息,并通过解析所述文件格式信息,判断其宿主用户,是否具备对所述文件格式信息的处理权限,若是,
根据所述第一签名信息和所述发布者的群成员CA证书,对所述文件处理信息进行校验,以认证所述发布者的身份,以及
在身份认证成功之后,基于所述文件处理信息,从所述发布者的私有云设备上获取所述目标数据,其中,在得到所述目标数据之后,根据所述权限信息,确定对所述目标数据的可操作权限。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的方法。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的数据分享方法的应用环境示意图;
图2是根据本申请实施例的一种数据分享方法的流程图;
图3是根据本申请实施例的根据文件处理信息获取目标数据的流程图;
图4是根据本申请实施例的判断数据请求发送者的身份信息是否可信的流程图;
图5是根据本申请实施例的一种数据分享系统的结构框图;
图6是根据本申请实施例的电子设备的内部结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请提供了一种数据分享方法,图1是根据本申请实施例的数据分享方法的应用环境示意图。如图1所示,本申请实施例应用在特定私域的可信通信场景下,例如,基于个人私有云设备10组成的分布式群组,其中,分布式群组中的各个群成员,都在设备本地保存有设备主人的用户CA证书和群成员CA证书。
进一步的,私有云设备10对应有多个终端设备11,用户可以通过终端设备11将数据上传至私有云设备10,进一步的,经过私有云设备10的认证、处理和转发后,在各个群成员之间实现数据分享;通过本实施例,用户在数据发送后,仍具备对数据的控制权限,同时,在数据分享过程中,利用CA证书进行认证校验,提升了安全性。
需要说明的是,应用端11可以是智能手机或平板电脑等移动设备,也可以是PC电脑等固定设备;私有云设备10可以是用于可信通信场景定制的个人私有云设备或家庭私有云设备。
图2是根据本申请实施例的一种数据分享方法的流程图,如图2所示,该流程包括如下步骤:
S201,发布者的私有云设备,获取目标数据,并对目标数据创建文件格式信息;
其中,该目标数据可以是私有云设备本地已保存的文件,也可以是用户通过终端设备实时上传的文件,需要说明的是,在本申请实施例中,对于文件本身,并不做任何改动(如加壳、脱壳等)。
本实施例中,可以将文件加密保存,由于加密的文件经过解密即可得到原始文件,因此,加密保存并不能理解为对于文件本身的改动。
可以理解的是,上述创建文件格式信息的过程,也并不涉及对文件本身的改动。创建文件格式信息的过程即相当于,在用户侧针对每个文件创建一个唯一的描述性数据,当文件上传时,私有云设备对于各类文件,都固定创建一个唯一的文件格式信息。
进一步的,该文件格式信息中可以包括,与其对应文件的文件位置、创建时间和创建节点等属性信息,同时,用户还可以通过自身的用户CA证书对其进行签名,以标识数据所有权。
S202,发布者的私有云设备,根据发布者输入的数据分享请求,在文件格式信息中添加文件处理信息,其中,文件处理信息包括:目标群标识、权限信息、传递层级信息、发布者的群成员CA证书,以及由发布者的群成员CA证书的私钥写入的第一签名信息;
其中,上述发布者即为群组内需要主动分享数据的一方,发布者可以操作终端设备上与该私有云设备对应的私域通信应用,生成上述数据分享请求。
进一步的,用户在生成数据分享请求时,可以结合实际需求,通过可视化界面的操作等,选择目标群及配置权限信息和传递层级信息,对应的,在生成文件处理信息时,会将上述用户输入的信息,封装在文件处理信息中。
可选的,可通过增加指针形式,将文件格式信息指向所文件处理信息,利用该指针,每个文件处理信息具备索引至文件格式信息的能力。
需要说明,该第一签名信息用于,当文件处理信息被发送之后,接收的一方可以利用其验证该信息发送者的身份。可选的,该第一签名可以通过发布者的群成员CA证书,在文件处理信息上进行签名得到。
S203,发布者的私有云设备,根据目标群标识,将文件处理信息发送至目标群组;
S204,接受者的私有云设备,接收文件处理信息,并通过解析文件格式信息,判断其宿主用户,是否具备对文件格式信息的处理权限,若是,第一签名信息和发布者的群成员CA证书,对文件处理信息进行校验,以认证发布者的身份;在身份认证成功之后,基于文件处理信息,从发布者的私有云设备上获取目标数据,其中,在得到目标数据之后,根据权限信息,确定对目标数据的可操作权限。
需要说明的是,在分布式群组中,群的生成、添加、删除都是在群主自己的设备中实现,并不涉及中心服务器。进一步的,所有用户之间的通讯都是基于群实现的,一对一之间的数据共享,可认为是两人群内的数据共享。
值得注意的是,本步骤区别于相关技术中,不再直接发送数据本身给群内用户,而是先由数据发送者生成特定群的文件处理信息,然后仅发送该文件处理信息到群组内。而真正数据的获取是群内成员的反向请求过程,本实施例,将现有技术中发布者在群内直接推送的过程,转变成接受者先校验后请求的被动获取过程。
在可信通讯场景下,由于数据安全性的要求较高。因此,在接受者的私有云设备接受到上述文件处理信息时,首先,需要判断其设备主人是否具备对该文件处理信息的处理权限,即认定其宿主用户是否位于与该群组内;
进一步的,还需判定文件处理信息的合法性;具体的,根据上述发布者的群成员CA证书和第一签名信息,可以判定发布者与自身是否位于同一个群内,进一步的,再利用第一签名信息,则可以认证该文件处理信息是否就是由发布者发送的。
进一步的,验证成功之后,作为接收方的目标群成员,可利用该文件处理信息索引到对应的文件格式信息,进而再利用文件格式信息索引到具体的数据和保存这个数据的私有云设备所处的节点(也即确定发布者的信息),从而可以向发布者的私有云设备发送数据请求,以获取目标数据。
最后,在接受方得到目标数据之后,由于其对文件的操作权限取决于步骤S202中配置的权限信息和传递层级信息,因此对于发布者来说,即相当于,其在数据发送至后,仍然具备对数据的控制权限。
具体举例说明如下:
当发送将权限信息进配置为仅查看权限、传递层级配置为0时,目标数据被发送至分布式群组后,群内的成员可以查看该目标数据,但是并不能下载、编辑和转发该目标数据;
当发送方配置权限信息包括查看、下载编辑时,且传递层级信息配置无数层时,当目标数据被发送至群内后,群内的其他成员可以任意查看、编辑和转发该目标数据。
通过上述步骤S201至S203,相比较与相关技术中直接推送实际数据的方式,本申请方案中,群内其他用户不再直接得到数据本身,只能通过文件处理格式的校验后,才能向数据所有权者发送数据请求,进而得到目标数据。而在得到目标数据之后,由于对数据的可操作权限,取决于数据发送者在文件处理信息中配置的权限信息,因此,即使在数据发出后,数据发送者依旧具有对数据的控制权限。
另外,通过上述步骤S201至S204,本申请技术方案相比较于现有方式还具备如下有益效果,具体如下:
现有中心化群组中,基于token实现群数据共享的机制如下:
1:用户客户端使用户名跟密码请求登录;
2:中心服务器收到请求,去验证用户名与密码;
3:验证成功后,中心服务器会签发一个 Token,再把这个 Token 发送给用户客户端;
4:用户客户端收到 Token 以后将其存储起来,例如,放在 Cookie 里或者 LocalStorage 里;
5:用户A的客户端每次在群内分享数据时,首先在数据包中添加上述token,将数据和token打包发送至中心服务器,待中心服务器判断该token合法后,再由中心服务器将数据包发送至,与用户A在同一个群组内的其他成员。
上述现有方式中,需通过第三方服务器制定群组数据共享的校验规则,并且在用户共享数据时,也一直需要第三方(即中心服务器)处理具体的校验认证流程。该过程中,用于认证校验的token会被一直流转,而token的流转过程中,不可避免的存在风险。
而通过本申请实施例,用于群组数据分享的校验认证规则,该规则的制定和校验都由设备本地处理,即相当于,发布者只需将数据的文件处理信息发送出去,待接收到对方发送的数据请求(由对方设备基于文件处理信息生成) 之后,只需通过签名,校验对方是否为同一个群内成员即可实现认证。
该过程并不依赖于token的流转,且完全由用户设备自行制定认证规则和自行处理认证流程,从而实现了去中心化的群数据分享及认证能力,同时,由于认证流程完全本地化处理,私钥并不会暴露至公网环境,从而提升了数据安全性。
值得注意的是,当前也存在一些与本申请接近的技术,如 “阅后即焚”功能,该类技术后台实现流程大致为:
发送数据时,在数据包中添加一个预设条件,经中心服务器将数据包转发至群(或某个好友)。群成员(或好友)查看该数据后,即触发该预设条件生成删除指令,进而指示用户终端将数据删除。
本领域技术人员可以明确获知,该类方法与本申请相比,基于完全不同的机制,且最终能实现的权限控制效果也存在较大差距,这类方法通常只能实现“阅后即焚”功能,并不能实现本申请按照用户需求灵活定制“仅限查看”、“仅限查看和下载”等多样化的控制权限。
在其中一些实施例中,图3是根据本申请实施例的根据文件处理信息获取目标数据的流程图,如图3所示,接受者的私有云设备,通过文件处理信息,从发布者的设备端获取目标数据,包括如下步骤:
S301,根据文件处理信息中的索引,确定对应的文件格式信息,根据文件格式信息的索引,确定发布者的私有云设备对应的节点信息;
该步骤即通过解析文件处理信息,获取文件格式信息对应的链接地址,进而通过链接地址确定存储目标文件的私有云设备所在的节点。
S302,基于文件格式信息和发布者的群成员CA证书,生成用于获取目标数据的数据请求,并通过发布者的群成员CA证书的私钥,在数据请求中添加第二签名信息:
需要说明的是,上述群成员CA证书,是通过群CA 证书的私钥签发群成员证书请求得到,因此,对于同一个群组内的多个用户,其群成员CA证书的签名信息一定是相同的,区别在于,证书中的用户ID、节点ID各不相同。
S303,根据节点信息,将数据请求发送至发布者的私有云设备;
S304,发布者的私有云设备,对数据请求进行校验,在校验成功之后,根据文件格式信息中的索引,获取目标数据,并将目标数据发送至接受者的私有云设备。
其中,上述校验的过程,即利用数据请求中的接收者的群成员CA证书和签名,验证数据请求的发送者的身份,以及验证数据请求的合法性。
在校验成功之后,则可以继续后续流程:确定与文件格式信息对应的目标数据,进一步地将目标数据发送至目标群成员。
在其中一些实施例中,发布者的私有云设备对数据请求进行校验,包括:判断数据请求的发送者的身份信息是否可信,以及判断数据请求是否有效;若两者均是,指示数据请求校验成功。
图4是根据本申请实施例的判断数据请求的发送者的身份信息是否可信的流程图,如图4所示,该流程包括如下步骤:
S401,获取数据请求中的第二签名信息;
S402,获取数据请求中,目标群成员CA证书对应的公钥,判断公钥与第二签名信息是否匹配,若是,指示数据请求的发送者的身份信息可信。
需要说明的是,私有云设备在获取第二签名信息之前,需要首先校验接受者的群成员CA证书的合法性,即识别接受者与自身宿主,是否为同一个群内的用户。
进一步的,对数据请求进行签名的过程,即在数据请求的某个位置,添加一段特定信息。该特定信息基于目标群成员CA证书的私钥生成,由于私钥只保存在发送数据的目标群成员处,对应的,在发布者的私有云设备接收到数据请求时,若其可以用上述公钥解密签名的特定信息,即可证实该项数据请求的确是由发布者发送的。
进一步的,判断数据请求是否有效,包括:获取数据请求中的文件格式信息,查找本地是否存在与文件格式信息对应的文件处理信息,若是,指示数据请求有效。需要说明的是,通常情况下文件格式信息不会失效,失效即指示用户删除了该文件格式信息。
在其中一些实施例中,接收者的私有云设备,根据第一签名信息和发布者的CA证书,对文件处理信息进行校验,包括:
获取发布者的群成员CA证书的公钥,并判断公钥与第一签名信息是否匹配,若是,指示身份认证成功。
需要说明的是,接收者的私有云设备,对发布者进行身份认证的过程,与步骤S401至S402的认证逻辑相同,因此,本申请实施例中不再赘述。
在其中一些实施例中,通过本实施例,用户还可以在数据发送之后,实现群内部分成员可查看的功能,具体包括:
在文件处理信息中,配置可操作群成员列表;
将文件处理信息发送至目标群,在接收到目标群内的操作指令的情况下,获取操作指令对应的群成员身份信息;
判断群成员身份信息是否与可操作群成员列表匹配,若否,不响应操作指令。
在其中一些实施例中,通过本实施例,用户还可以在数据发送之后,实现限时查看的功能,具体包括:
在文件处理信息中,配置预设时间阈值;
将文件处理信息发送至目标群,在接收到目标群内的操作指令的情况下,判断操作指令的生成时间,是否小于或者等于时间阈值,
若否,不响应操作指令。
在其中一些实施例中,权限信息包括:查看权限、下载权限、和编辑权限中的一个或多个的组合;
属性信息包括:创建者、创建时间、创建节点和文件位置;
文件格式信息包括属性信息和所有权签名信息,其中,所有权签名信息是通过发布者的用户CA证书,在文件格式信息中进行签名得到,需要说明的是,该用户CA证书可以作为作为根证书签发得到群CA证书,而群CA可以作为二级证书签发得到群成员证书。
需要说明的是,本实施例中,文件格式信息的作用在于,指示目标数据的所有权和其他基础的属性信息,以及索引至目标数据。由于系统并不能直接识别和操作实际数据,例如,一个DOCX文档,对于操作系统来说,系统只能识别其是一块数据,而只有通过office等应用才能解析和展示该文档。对应的,在本申请中,由于系统无法直接操作数据块,因此,需要生成与数据块相关联的文件格式信息,通过该文件格式信息,执行对数据块的标记和处理。
本实施例还提供了一种数据分享系统,该系统用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本申请实施例的一种数据分享系统的结构框图,应用在分布式群管理场景下,发布者和接受者位于同一个分布式群组内,基于私有云设备实现,系统包括:发布者的私有云设备50和接受者的私有云设备51,其中,
发布者的私有云设备50用于,获取目标数据,并对目标数据创建文件格式信息,以及
根据发布者输入的数据分享请求,在文件格式信息中添加文件处理信息,其中,文件处理信息包括:目标群标识、权限信息、传递层级信息、发布者的群成员CA证书,以及由发布者的群成员CA证书的私钥写入的第一签名信息,以及
根据目标群标识,将文件处理信息发送至目标群组:
接受者的私有云设备52用于,接收文件处理信息,并通过解析文件格式信息,判断其宿主用户,是否具备对文件格式信息的处理权限,若是,
根据第一签名信息和发布者的群成员CA证书,对文件处理信息进行校验,以认证发布者的身份,以及
在身份认证成功之后,基于文件处理信息,从发布者的私有云设备上获取目标数据,其中,在得到目标数据之后,根据权限信息,确定对目标数据的可操作权限。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据分享方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,图6是根据本申请实施例的电子设备的内部结构示意图,如图6所示,提供了一种电子设备,该电子设备可以是服务器,其内部结构图可以如图6所示。该电子设备包括通过内部总线连接的处理器、网络接口、内存储器和非易失性存储器,其中,该非易失性存储器存储有操作系统、计算机程序和数据库。处理器用于提供计算和控制能力,网络接口用于与外部的终端通过网络连接通信,内存储器用于为操作系统和计算机程序的运行提供环境,计算机程序被处理器执行时以实现一种数据分享方法,数据库用于存储数据。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (13)
1.一种数据分享方法,其特征在于,应用在分布式群管理场景下,发布者和接受者位于同一个分布式群组内,基于私有云设备实现,所述方法包括:
发布者的私有云设备,获取目标数据,并对所述目标数据创建文件格式信息,
发布者的私有云设备,根据所述发布者输入的数据分享请求,在所述文件格式信息中添加文件处理信息,其中,所述文件处理信息包括:目标群标识、权限信息、传递层级信息、发布者的群成员CA证书,以及由所述发布者的群成员CA证书的私钥写入的第一签名信息;
发布者的私有云设备,根据所述目标群标识,将所述文件处理信息发送至目标群组;
所述目标群组内,接受者的私有云设备,接收所述文件处理信息,并通过解析所述文件格式信息,判断其宿主用户,是否具备对所述文件格式信息的处理权限,若是,
根据所述第一签名信息和所述发布者的群成员CA证书,对所述文件处理信息进行校验,以认证所述发布者的身份;
所述接受者的私有云设备,在身份认证成功之后,基于所述文件处理信息,从所述发布者的私有云设备上获取所述目标数据,其中,在得到所述目标数据之后,根据所述权限信息,确定对所述目标数据的可操作权限。
2.根据权利要求1所述的方法,其特征在于,基于所述文件处理信息,从所述发布者的私有云设备上获取所述目标数据,包括:
根据所述文件处理信息中的索引,确定其对应的所述文件格式信息,根据所述文件格式信息的索引,确定所述发布者的私有云设备对应的节点信息;
基于所述文件格式信息和所述发布者的群成员CA证书,生成用于获取所述目标数据的数据请求,并通过所述发布者的群成员CA证书的私钥,在所述数据请求中添加第二签名信息;
根据所述节点信息,将所述数据请求发送至所述发布者的私有云设备;
所述发布者的私有云设备,对所述数据请求进行校验,在校验成功之后,根据所述文件格式信息中的索引,获取所述目标数据,并将所述目标数据发送至所述接受者的私有云设备。
3.根据权利要求2所述的方法,其特征在于,所述发布者的私有云设备,对所述数据请求进行校验,包括:
判断所述数据请求的发送方的身份是否可信,以及
判断所述数据请求是否有效;
若两者均是,指示所述数据请求校验成功。
4.根据权利要求3所述的方法,其特征在于,所述发布者的私有云设备,判断所述数据请求的发送方的身份是否可信,包括:
获取所述数据请求中的第二签名信息;
从所述数据请求中,获取所述接收者的群成员CA证书的公钥,判断所述公钥与所述第二签名信息是否匹配,若是,指示所述数据请求的发送者的身份信息可信。
5.根据权利要求3所述的方法,其特征在于,判断所述数据请求是否有效,包括:
获取所述数据请求中的文件格式信息,查找本地是否存在与所述文件格式信息对应的文件处理信息,若是,指示所述数据请求有效。
6.根据权利要求1所述的方法,其特征在于,根据所述第一签名信息和所述发布者的群成员CA证书,对所述文件处理信息进行校验,包括:
获取所述发布者的群成员CA证书的公钥,并判断所述公钥与第一签名信息是否匹配,若是,指示身份认证成功。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述文件处理信息中,配置可操作群成员列表;
将所述文件处理信息发送至目标群,在接收到所述目标群内的操作指令的情况下,获取所述操作指令对应的群成员身份信息;
判断所述群成员身份信息是否与所述可操作群成员列表匹配,若否,不响应所述操作指令。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述文件处理信息中,配置预设时间阈值;
将所述文件处理信息发送至目标群,在接收到所述目标群内的操作指令的情况下,判断所述操作指令的生成时间,是否小于或者等于所述时间阈值,
若否,不响应所述操作指令。
9.根据权利要求1所述的方法,其特征在于,
所述权限信息包括:查看权限、下载权限、和编辑权限中的一个或多个的组合。
10.根据权利要求1所述的方法,其特征在于,所述文件格式信息包括属性信息和所有权签名信息,其中,
所述属性信息包括:创建者、创建时间、创建节点和文件位置;
所述所有权签名信息是通过所述发布群成员的用户CA证书,在所述文件格式信息中进行签名得到。
11.一种数据分享系统,其特征在于,应用在分布式群管理场景下,发布者和接受者位于同一个分布式群组内,基于私有云设备实现,所述系统包括:发布者的私有云设备和接受者的私有云设备,其中,
所述发布者的私有云设备用于,获取目标数据,并对所述目标数据创建文件格式信息,以及
根据所述发布者输入的数据分享请求,在所述文件格式信息中添加文件处理信息,其中,所述文件处理信息包括:目标群标识、权限信息、传递层级信息、发布者的群成员CA证书,以及由所述发布者的群成员CA证书的私钥写入的第一签名信息,以及
根据所述目标群标识,将所述文件处理信息发送至目标群组:
所述接受者的私有云设备用于,接收所述文件处理信息,并通过解析所述文件格式信息,判断其宿主用户,是否具备对所述文件格式信息的处理权限,若是,
根据所述第一签名信息和所述发布者的群成员CA证书,对所述文件处理信息进行校验,以认证所述发布者的身份,以及
在身份认证成功之后,基于所述文件处理信息,从所述发布者的私有云设备上获取所述目标数据,其中,在得到所述目标数据之后,根据所述权限信息,确定对所述目标数据的可操作权限。
12.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至11中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至11中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210934044.6A CN115022090B (zh) | 2022-08-04 | 2022-08-04 | 一种数据分享方法、系统、电子设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210934044.6A CN115022090B (zh) | 2022-08-04 | 2022-08-04 | 一种数据分享方法、系统、电子设备和计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115022090A true CN115022090A (zh) | 2022-09-06 |
| CN115022090B CN115022090B (zh) | 2022-12-16 |
Family
ID=83065322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210934044.6A Active CN115022090B (zh) | 2022-08-04 | 2022-08-04 | 一种数据分享方法、系统、电子设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022090B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007442A1 (en) * | 2011-06-30 | 2013-01-03 | Qualcomm Incorporated | Facilitating group access control to data objects in peer-to-peer overlay networks |
| US20200244728A1 (en) * | 2019-06-27 | 2020-07-30 | Intel Corporation | Optimizing operations in icn based networks |
| CN112910632A (zh) * | 2021-02-18 | 2021-06-04 | 金陵科技学院 | 一种新型面向多数据用户、保护用户隐私的云端数据完整性验证协议 |
| CN113132116A (zh) * | 2021-06-17 | 2021-07-16 | 国网浙江省电力有限公司信息通信分公司 | 基于知识签名的敏感数据匿名访问方法 |
| CN114124392A (zh) * | 2021-11-01 | 2022-03-01 | 广州大学 | 支持访问控制的数据可控流通方法、系统、设备和介质 |
| CN114172747A (zh) * | 2022-02-10 | 2022-03-11 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群成员获得认证证书的方法和系统 |
| CN114168923A (zh) * | 2022-02-10 | 2022-03-11 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群ca证书生成方法和系统 |
| CN114168922A (zh) * | 2022-02-10 | 2022-03-11 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的用户ca证书生成方法和系统 |
| US20220191047A1 (en) * | 2020-12-12 | 2022-06-16 | International Business Machines Corporation | Anonymity mechanisms in permissioned blockchain networks |
-
2022
- 2022-08-04 CN CN202210934044.6A patent/CN115022090B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007442A1 (en) * | 2011-06-30 | 2013-01-03 | Qualcomm Incorporated | Facilitating group access control to data objects in peer-to-peer overlay networks |
| US20200244728A1 (en) * | 2019-06-27 | 2020-07-30 | Intel Corporation | Optimizing operations in icn based networks |
| US20220191047A1 (en) * | 2020-12-12 | 2022-06-16 | International Business Machines Corporation | Anonymity mechanisms in permissioned blockchain networks |
| CN112910632A (zh) * | 2021-02-18 | 2021-06-04 | 金陵科技学院 | 一种新型面向多数据用户、保护用户隐私的云端数据完整性验证协议 |
| CN113132116A (zh) * | 2021-06-17 | 2021-07-16 | 国网浙江省电力有限公司信息通信分公司 | 基于知识签名的敏感数据匿名访问方法 |
| CN114124392A (zh) * | 2021-11-01 | 2022-03-01 | 广州大学 | 支持访问控制的数据可控流通方法、系统、设备和介质 |
| CN114172747A (zh) * | 2022-02-10 | 2022-03-11 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群成员获得认证证书的方法和系统 |
| CN114168923A (zh) * | 2022-02-10 | 2022-03-11 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群ca证书生成方法和系统 |
| CN114168922A (zh) * | 2022-02-10 | 2022-03-11 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的用户ca证书生成方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| P. MECHANT: "Saving the web by decentralizing data networks? A socio-technical reflection on the promise of decentralization and personal data stores", 《2021 14TH CMI INTERNATIONAL CONFERENCE - CRITICAL ICT INFRASTRUCTURES AND PLATFORMS (CMI)》 * |
| 李文刚: "基于CA数字认证的文件存储和共享研究", 《长沙民政职业技术学院学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115022090B (zh) | 2022-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165579B2 (en) | Decentralized data authentication | |
| US20150271146A1 (en) | Methods and systems for the secure exchange of information | |
| US11675922B2 (en) | Secure storage of and access to files through a web application | |
| CN111355726B (zh) | 一种身份授权登录方法、装置及电子设备和存储介质 | |
| EP3724798B1 (en) | Method for authenticating a user based on an image relation rule and corresponding first user device, server and system | |
| US10027642B2 (en) | Method of access by a telecommunications terminal to a database hosted by a service platform that is accessible via a telecommunications network | |
| CN112765648B (zh) | 一种文档处理方法、装置、设备及存储介质 | |
| CN105354451A (zh) | 访问鉴权的方法及系统 | |
| CN114168923B (zh) | 一种基于数字证书的群ca证书生成方法和系统 | |
| CN111414647A (zh) | 一种基于区块链技术防篡改的数据共享系统及方法 | |
| CN114168922B (zh) | 一种基于数字证书的用户ca证书生成方法和系统 | |
| CN105721425A (zh) | 一种信息处理方法及电子设备 | |
| CN114172747B (zh) | 一种基于数字证书的群成员获得认证证书的方法和系统 | |
| EP3474247B1 (en) | Media content privacy control | |
| CN110351254B (zh) | 访问操作的执行方法及装置 | |
| CN112699404A (zh) | 一种校验权限的方法、装置、设备及存储介质 | |
| CN107204959B (zh) | 验证码的验证方法、装置及系统 | |
| CN109413200B (zh) | 一种资源导入的方法、客户端、mes及电子设备 | |
| CN115022090B (zh) | 一种数据分享方法、系统、电子设备和计算机存储介质 | |
| CN110807210A (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
| CN114124515B (zh) | 标书传输方法、密钥管理方法、用户验证方法及对应装置 | |
| Schulz et al. | d 2 Deleting Diaspora: Practical attacks for profile discovery and deletion | |
| CN113051611B (zh) | 在线文件的权限控制方法和相关产品 | |
| CN111371762B (zh) | 一种身份验证方法、装置及电子设备和存储介质 | |
| CN112260997A (zh) | 数据访问方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |