CN115603967A - 数据处理方法及设备 - Google Patents

数据处理方法及设备 Download PDF

Info

Publication number
CN115603967A
CN115603967A CN202211202166.2A CN202211202166A CN115603967A CN 115603967 A CN115603967 A CN 115603967A CN 202211202166 A CN202211202166 A CN 202211202166A CN 115603967 A CN115603967 A CN 115603967A
Authority
CN
China
Prior art keywords
data
electronic equipment
electronic
equipment
electronic device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211202166.2A
Other languages
English (en)
Inventor
潘永斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Beijing Ltd
Original Assignee
Lenovo Beijing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Beijing Ltd filed Critical Lenovo Beijing Ltd
Priority to CN202211202166.2A priority Critical patent/CN115603967A/zh
Publication of CN115603967A publication Critical patent/CN115603967A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种数据处理方法及设备,适用于验证设备的方法包括:接收第一电子设备发送的数据访问请求,数据访问请求中至少包含第一电子设备的属性标识和待访问的第一数据的数据标识,第一数据属于第二电子设备,第一电子设备和第二电子设备均连接于边缘设备,边缘设备连接于远端存储设备;根据属性标识,验证第一电子设备是否满足第二电子设备对应的验证条件;在第一电子设备满足验证条件的情况下,获得第二电子设备对应的目标私钥;将目标私钥通过第一电子设备发送给边缘设备,以使得边缘设备使用目标私钥对从远端存储设备获得到的第一数据进行解密处理并将得到的第二数据发送给第一电子设备。

Description

数据处理方法及设备
技术领域
本申请涉及智能家居技术领域,尤其涉及一种数据处理方法及设备。
背景技术
随着技术的发展,智能家居的应用越来越广泛。多个智能设备通过一个WiFi将设备数据发送到云端进行存储,而同一个局域网内的智能设备可以通过访问云端实现对其他设备的设备数据的访问。
但是,这种访问方式会使得其他局域网内的设备或其他非法设备均可以访问云端的隐私数据,因此,存在隐私数据被泄露的风险。
发明内容
有鉴于此,本申请提供一种数据处理方法及设备,如下:
一种数据处理方法,包括:
接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问的第一数据的数据标识,所述第一数据属于第二电子设备,所述第一电子设备和所述第二电子设备均连接于边缘设备,所述边缘设备连接于远端存储设备;
根据所述属性标识,验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;
在所述第一电子设备满足所述验证条件的情况下,获得所述第二电子设备对应的目标私钥;
将所述目标私钥通过所述第一电子设备发送给所述边缘设备,以使得所述边缘设备使用所述目标私钥对从所述远端存储设备获得到的所述第一数据进行解密处理并将得到的第二数据发送给所述第一电子设备。
上述方法,优选的,所述属性标识至少包含时间属性和/或空间属性,所述时间属性与所述数据访问请求对应的访问时间相关;所述空间属性与所述第一电子设备当前所处的设备位置相关。
上述方法,优选的,所述第二电子设备对应的预设标识中包含至少一个时间范围和至少一个空间范围;
其中,所述第一电子设备的属性标识与所述第二电子设备对应的预设标识相匹配,包括:
所述第一电子设备的属性标识中的时间属性所表征的访问时间处于任意一个所述时间范围内;
且,所述第一电子设备的属性标识中的空间属性所表征的终端位置处于任意一个所述空间范围内。
上述方法,优选的,所述获得所述第二电子设备对应的目标私钥,包括:
根据所述数据标识,获得所述第一数据所属的第二电子设备的设备信息;
在预设的秘钥集合中,获得与所述设备信息相对应的目标私钥。
上述方法,优选的,所述秘钥集合中包含多个所述第二电子设备对应的公钥信息和私钥信息;
其中,所述第二电子设备对应的公钥信息和私钥信息通过以下方式获得:
在接收到所述第二电子设备的加密请求的情况下,获得所述第二电子设备的安全参数;
对所述安全参数进行处理,以得到所述第二电子设备对应的私钥信息和公钥信息,所述公钥信息用于对数据进行加密,所述私钥信息用于对数据进行解密。
上述方法,优选的,所述秘钥集合中还包含所述第二电子设备对应的预设标识,所述预设标识用于根据所述属性标识验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;其中,所述预设标识根据接收到的标识配置操作获得。
一种数据处理方法,应用于边缘设备,所述边缘设备连接于多个电子设备且所述边缘设备连接于远端存储设备,所述方法包括:
接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问数据的数据标识;
根据所述数据标识,从所述远端存储设备获得所述数据标识对应的第一数据;所述第一数据属于第二电子设备;
在接收到所述第一电子设备发送的目标私钥的情况下,使用所述目标私钥对所述第一数据进行解密处理,以得到第二数据;
其中,所述目标私钥由验证设备在根据所述属性标识验证所述第一电子设备满足所述第二电子设备对应的验证条件的情况下发送给所述第一电子设备;
将所述第二数据发送给所述第一电子设备。
上述方法,优选的,所述方法还包括:
接收所述第二电子设备发送的数据存储请求,所述数据存储请求中至少包含所述第二数据和所述第二电子设备对应的公钥信息;所述第二电子设备对应的公钥信息由所述验证设备根据所述第二电子设备的安全参数生成并发送给所述第二电子设备;
使用所述公钥信息对所述第二数据进行加密处理,以得到所述第一数据;
将所述第一数据发送给所述远端存储设备。
一种验证设备,包括:
存储器,用于存储计算机程序以及所述计算机程序运行所产生的数据;
处理器,用于执行所述计算机程序,以实现:接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问的第一数据的数据标识,所述第一数据属于第二电子设备,所述第一电子设备和所述第二电子设备均连接于边缘设备,所述边缘设备连接于远端存储设备;根据所述属性标识,验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;在所述第一电子设备满足所述验证条件的情况下,获得所述第二电子设备对应的目标私钥;将所述目标私钥通过所述第一电子设备发送给所述边缘设备,以使得所述边缘设备使用所述目标私钥对从所述远端存储设备获得到的所述第一数据进行解密处理并将得到的第二数据发送给所述第一电子设备。
一种边缘设备,所述边缘设备连接于多个电子设备,且所述边缘设备连接于远端存储设备,所述边缘设备包括:
存储器,用于存储计算机程序以及所述计算机程序运行所产生的数据;
处理器,用于执行所述计算机程序,以实现:接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问数据的数据标识;根据所述数据标识,从所述远端存储设备获得所述数据标识对应的第一数据;所述第一数据属于第二电子设备;在接收到所述第一电子设备发送的目标私钥的情况下,使用所述目标私钥对所述第一数据进行解密处理,以得到第二数据;其中,所述目标私钥由验证设备在根据所述属性标识验证所述第一电子设备满足所述第二电子设备对应的验证条件的情况下发送给所述第一电子设备;将所述第二数据发送给所述第一电子设备。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例一提供的一种数据处理方法的流程图;
图2为本申请适用于智能家居场景的示例图;
图3为本申请实施例二提供的一种数据处理方法的流程图;
图4为本申请实施例二提供的一种数据处理方法中进行数据加密并存储的部分流程图;
图5为本申请实施例三提供的一种数据处理装置的结构示意图;
图6为本申请实施例三提供的一种数据处理装置的另一结构示意图;
图7为本申请实施例四提供的一种数据处理装置的结构示意图;
图8为本申请实施例四提供的一种数据处理装置的另一结构示意图;
图9为本申请实施例五提供的一种验证设备的结构示意图;
图10为本申请实施例六提供的一种边缘设备的结构示意图;
图11为本申请适用于智能家居场景中进行数据加密和数据解密的示意图;
图12为本申请适用于智能家居场景中为注册的DO生成公钥和私钥的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参考图1所示,为本申请实施例一提供的一种数据处理方法的实现流程图,该方法可以适用于能够进行数据处理的电子设备中,如计算机或服务器。本实施例中的技术方案主要用于提高局域网内终端的数据安全性。
具体的,本实施例中的方法可以包含如下步骤:
步骤101:接收第一电子设备发送的数据访问请求。
其中,数据访问请求中至少包含第一电子设备的属性标识和待访问的第一数据的数据标识,第一数据属于第二电子设备,第一电子设备和第二电子设备均连接于边缘设备,边缘设备连接于远端存储设备。例如,如图2中所示,以智能家居场景为例,远端存储设备可以为云服务提供商CSP(Cloud Server Privider)的云端服务器,云端服务器用于存储各个局域网内的终端发送来的数据,第一电子设备与第二电子设备分别为连接到不同WiFi的智能家居终端,如手机、笔记本、显示器、智能门锁、智能音箱、空气净化器、扫地机器人,第二电子设备为作为数据拥有者DO(Data Owner)的终端,第一电子设备为作为数据用户DU(Data User)的终端,在云端服务器与局域网终端之间配置有边缘设备,如边缘节点EN(Edge Node),本实施例中的技术方案执行在能够与第一电子设备和第二电子设备相连接的验证设备上,如属性授权机构AA(Attribute Authority),在AA上接收DU发送的需要访问DO上的数据的数据访问请求,在该数据访问请求中至少包含有DO上待访问的第一数据的数据标识,还包含有DU的属性标识。
步骤102:根据属性标识,验证第一电子设备是否满足第二电子设备对应的验证条件,在第一电子设备满足验证条件的情况下,执行步骤103。
其中,属性标识用于对第一电子设备是否具有访问第一数据的权限进行验证,具体的,如果根据属性标识验证第一电子设备满足第二电子设备对应的验证条件,那么表明第一电子设备具备访问第二电子设备上的第一数据的合法权限,此时,执行步骤103,而如果根据属性标识验证第一电子设备不满足第二电子设备对应的验证条件,那么表明第一电子设备不具备访问第二电子设备上的第一数据的合法权限,此时,可以丢弃第一电子设备的数据访问请求,并结束当前流程。
步骤103:获得第二电子设备对应的目标私钥。
其中,目标私钥为预先为第二电子设备配置的用于进行数据解密的秘钥。需要说明的是,每个在网络中需要进行数据访问的电子设备均预先配置有对应的私钥和公钥,公钥用于数据加密,私钥用于数据解密。
步骤104:将目标私钥通过第一电子设备发送给边缘设备,以使得边缘设备使用目标私钥对从远端存储设备获得到的第一数据进行解密处理并将得到的第二数据发送给第一电子设备。
具体的,本实施例中可以将目标私钥发送给第一电子设备,以表征第一电子设备可以使用目标私钥获得到第一数据,基于此,第一电子设备将目标私钥发送给边缘设备,而边缘设备上具有按照第一数据的数据标识从远端存储设备获得到的第一数据,由此,边缘设备使用目标私钥对第一数据进行解密处理,再将解密得到的第二数据发送给第一电子设备,此时,第一电子设备获得到未被加密的第二数据(即解密后的第一数据)。
由上述方案可知,本申请实施例一提供的一种数据处理方法中,在验证设备上根据具有访问需求的电子设备的属性标识对该电子设备进行验证,只有在该电子设备满足被访问的电子设备的验证条件的情况下,才允许获取具有访问需求的电子设备的私钥,以便于由边缘设备对远端存储上对被访问的数据进行解密,再将解密得到的数据发送给电子设备。可见,本实施例中由验证设备进行设备验证再由边缘设备进行数据解密,由此,提高局域网内各设备的数据安全性。
在一种实现方式中,属性标识至少包含时间属性和/或空间属性,时间属性与数据访问请求对应的访问时间相关;空间属性与第一电子设备当前所处的设备位置相关。具体实现中,时间属性可以用数据访问请求对应的访问时间表示,空间属性可以用第一电子设备当前所处的设备位置表示。
基于此,本实施例中在步骤102中验证第一电子设备是否满足第二电子设备的验证条件时,可以判断属性标识中的时间属性是否满足第二电子设备的验证条件,在时间属性满足验证条件的情况下,执行步骤103;或者,本实施例中可以判断属性标识中的空间属性是否满足第二电子设备的验证条件,在空间属性满足验证条件的情况下,执行步骤103;或者,本实施例中可以判断属性标识中时间属性是否满足第二电子设备的验证条件且属性标识中的空间属性是否满足第二电子设备的验证条件,在时间属性满足验证条件且空间属性也满足验证条件的情况下,执行步骤103。
可见,本实施例中通过对第一电子设备在访问时间和所处设备位置多个属性上进行验证,以判断出第一电子设备是否具备访问第二电子设备上的数据的合法权限。
在一种实现方式中,第二电子设备具有预设标识,预设标识可以理解为第二电子设备的验证条件,本实施例中根据第一电子设备的属性标识判断第一电子设备是否满足第二电子设备的验证条件具体可以为:判断第一电子设备的属性标识是否与第二电子设备对应的预设标识相匹配,在第一电子设备的属性标识与第二电子设备对应的预设标识相匹配的情况下,表明第一电子设备满足第二电子设备的验证条件,即第一电子设备具备访问第二电子设备上的数据的合法权限;而在第一电子设备的属性标识与第二电子设备对应的验证标识不匹配的情况下,表明第一电子设备不满足第二电子设备的验证条件,即第一电子设备不具备访问第二电子设备上的数据的合法权限。
具体的,第二电子设备对应的预设标识中包含至少一个时间范围和至少一个空间范围。基于此:
在一种实现方式中,第一电子设备的属性标识与第二电子设备对应的预设标识相匹配,可以包括:
第一电子设备的属性标识中的时间属性所表征的访问时间处于第二电子设备对应的预设标识中任意一个的时间范围内,或者,第一电子设备的属性标识中的空间属性所表征的终端位置处于第二电子设备对应的预设标识中任意一个所述空间范围内。
在另一种实现方式中,第一电子设备的属性标识与第二电子设备对应的预设标识相匹配,可以包括:
第一电子设备的属性标识中的时间属性所表征的访问时间处于第二电子设备对应的预设标识中任意一个的时间范围内;
且,第一电子设备的属性标识中的空间属性所表征的终端位置处于第二电子设备对应的预设标识中任意一个所述空间范围内。
具体的,时间范围可以用时间段来标识,空间范围可以用于地理坐标的范围来表示或者用网络地址的范围来表示。例如,DO对应于时间范围:8点到18点,并对应于空间范围:IP-1到IP-20,如果DU的访问时间在8点到18点之间且DU的IP地址在IP-1到IP-20的范围之中,那么DU满足DO的验证条件,即DU具备访问DO的数据的合法权限。
在一种实现方式中,步骤103中在获得第二电子设备对应的目标私钥时,可以通过以下方式实现:
首先,根据数据标识,获得第一数据所属的第二电子设备的设备信息。例如,按照数据标识确定能够唯一表征第二电子设备的身份信息的设备信息,如设备名称或设备编码。之后,在预设的秘钥集合中,获得与设备信息相对应的目标私钥。例如,在秘钥集合中,按照设备信息对相应的秘钥信息进行查找,以得到与设备信息相匹配的目标私钥。
需要说明的是,在秘钥集合中包含有多个第二电子设备对应的公钥信息和私钥信息。公钥信息用于数据加密,私钥信息用于数据解密。具体的,第二电子设备对应的公钥信息和私钥信息可以通过以下方式获得:
首先,在接收到第二电子设备的加密请求的情况下,获得第二电子设备的安全参数,这里的安全参数仅为第二电子设备所拥有,第二电子设备可以根据需求设置安全参数,如随机字符串;之后,对安全参数进行处理,以得到第二电子设备对应的私钥信息和公钥信息,公钥信息用于对数据进行加密,私钥信息用于对数据进行解密。
其中,第二电子设备的加密请求可以在第二电子设备入网时生成,也可以在第二电子设备入网后需要进行数据上传的情况下生成。加密请求至少能够表征第二电子设备需要用于公钥信息和私钥信息,基于此,本实施例中在接收到第二电子设备的加密请求的情况下,使用第二电子设备自己的安全参数为第二电子设备生成私钥信息和公钥信息。
具体的,本实施例中可以采用秘钥生成算法对安全参数进行处理,如字符串替换、加密、哈希等处理,以便于得到不为其他设备所复制的公钥信息和私钥信息,之后,将第二电子设备的公钥信息和私钥信息存储到秘钥集合中。进一步的,本实施例中的验证设备还可以将第二电子设备的公钥信息发送给第二电子设备,以便于第二电子设备将公钥信息发送给边缘设备,由边缘设备使用第二电子设备的公钥信息对第二电子设备的数据加密后发送到远端存储设备进行存储。
在一种实现方式中,秘钥集合中还包含第二电子设备对应的预设标识,预设标识用于根据属性标识验证第一电子设备是否满足第二电子设备对应的验证条件;其中,预设标识根据接收到的标识配置操作获得。
也就是说,本实施例中的验证设备可以从秘钥集合中查询到第二电子设备对应的预设标识,在接收到第一电子设备发送的数据访问请求的情况下,使用数据访问请求中的属性标识与查询到的预设标识进行比对,在属性标识与预设标识相匹配的情况下,可以获得第二电子设备的目标私钥,以便于通过第一电子设备发送给边缘设备,由边缘设备使用第二电子设备的目标私钥对从远端存储设备上获得到的第一数据进行解密处理,由此将解密得到的第二数据发送给第一电子设备,实现安全的数据访问。
参考图3,为本申请实施例二提供的一种数据处理方法的实现流程图,该方法可以适用于能够进行数据处理的边缘设备上,边缘设备连接于多个电子设备且边缘设备连接于远端存储设备,如图2中所示。
具体的,本实施例中的方法可以包括如下步骤:
步骤301:接收第一电子设备发送的数据访问请求。
其中,数据访问请求中至少包含第一电子设备的属性标识和待访问数据的数据标识。
步骤302:根据数据标识,从远端存储设备获得数据标识对应的第一数据。
其中,第一数据属于第二电子设备,且,第一数据处于被加密的状态。具体的,本实施例中可以使用数据标识在远端存储设备中查找与该数据标识相匹配的第一数据。
步骤303:在接收到第一电子设备发送的目标私钥的情况下,使用目标私钥对第一数据进行解密处理,以得到第二数据。
其中,目标私钥由验证设备在根据属性标识验证第一电子设备满足第二电子设备对应的验证条件的情况下发送给第一电子设备。
步骤304:将第二数据发送给第一电子设备。
由上述方案可知,本申请实施例二提供的一种数据处理方法中,在验证设备上根据具有访问需求的电子设备的属性标识对该电子设备进行验证,只有在该电子设备满足被访问的电子设备的验证条件的情况下,才允许获取具有访问需求的电子设备的私钥,以便于由边缘设备对远端存储上对被访问的数据进行解密,再将解密得到的数据发送给电子设备。可见,本实施例中由验证设备进行设备验证再由边缘设备进行数据解密,由此,提高局域网内各设备的数据安全性。
在一种实现方式中,本实施例中的方法还可以包括如下步骤,如图4中所示:
步骤401:接收第二电子设备发送的数据存储请求。
其中,数据存储请求中至少包含第二数据和第二电子设备对应的公钥信息。第二电子设备对应的公钥信息由验证设备根据第二电子设备的安全参数生成并发送给第二电子设备。
步骤402:使用公钥信息对第二数据进行加密处理,以得到第一数据。
步骤403:将第一数据发送给远端存储设备。
也就是说,步骤401到步骤403所描述的流程为本实施例中提到的第一数据被加密并存储到远端存储设备的流程。例如,以图2为例,DO将需要保存到云端服务器的数据和DO的公钥信息都发送给边缘节点,边缘节点使用DO的公钥信息对DO的数据进行加密,将加密后的数据上传到云端服务器进行保存,在后续接收到DU发送来的DO的秘钥信息并从云端服务器读取到被加密的数据之后,边缘节点使用DO的私钥信息对被加密的数据进行解密,从而将得到的解密后的数据发送给DU,由此实现数据的安全访问。
参考图5,为本申请实施例三提供的一种数据处理装置的结构示意图,该装置可以配置在能够进行数据处理的电子设备中,如计算机或服务器。本实施例中的技术方案主要用于提高局域网内终端的数据安全性。
具体的,本实施例中的装置可以包含如下单元:
请求接收单元501,用于接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问的第一数据的数据标识,所述第一数据属于第二电子设备,所述第一电子设备和所述第二电子设备均连接于边缘设备,所述边缘设备连接于远端存储设备;
条件验证单元502,用于根据所述属性标识,验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;在所述第一电子设备满足所述验证条件的情况下,触发私钥获得单元503;
私钥获得单元503,用于获得所述第二电子设备对应的目标私钥;
私钥传输单元504,用于将所述目标私钥通过所述第一电子设备发送给所述边缘设备,以使得所述边缘设备使用所述目标私钥对从所述远端存储设备获得到的所述第一数据进行解密处理并将得到的第二数据发送给所述第一电子设备。
由上述方案可知,本申请实施例三提供的一种数据处理装置中,在验证设备上根据具有访问需求的电子设备的属性标识对该电子设备进行验证,只有在该电子设备满足被访问的电子设备的验证条件的情况下,才允许获取具有访问需求的电子设备的私钥,以便于由边缘设备对远端存储上对被访问的数据进行解密,再将解密得到的数据发送给电子设备。可见,本实施例中由验证设备进行设备验证再由边缘设备进行数据解密,由此,提高局域网内各设备的数据安全性。
在一种实现方式中,所述属性标识至少包含时间属性和/或空间属性,所述时间属性与所述数据访问请求对应的访问时间相关;所述空间属性与所述第一电子设备当前所处的设备位置相关。
在一种实现方式中,所述第二电子设备对应的预设标识中包含至少一个时间范围和至少一个空间范围;其中,所述第一电子设备的属性标识与所述第二电子设备对应的预设标识相匹配,包括:所述第一电子设备的属性标识中的时间属性所表征的访问时间处于任意一个所述时间范围内;且,所述第一电子设备的属性标识中的空间属性所表征的终端位置处于任意一个所述空间范围内。
在一种实现方式中,私钥获得单元503具体用于:根据所述数据标识,获得所述第一数据所属的第二电子设备的设备信息;在预设的秘钥集合中,获得与所述设备信息相对应的目标私钥。
在一种实现方式中,所述秘钥集合中包含多个所述第二电子设备对应的公钥信息和私钥信息;其中,本实施例中的装置还可以包含如下单元,如图6中所示:
秘钥获得单元505,用于在接收到所述第二电子设备的加密请求的情况下,获得所述第二电子设备的安全参数;对所述安全参数进行处理,以得到所述第二电子设备对应的私钥信息和公钥信息,所述公钥信息用于对数据进行加密,所述私钥信息用于对数据进行解密。
在一种实现方式中,所述秘钥集合中还包含所述第二电子设备对应的预设标识,所述预设标识用于根据所述属性标识验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;其中,所述预设标识根据接收到的标识配置操作获得。
需要说明的是,本实施例中各单元具体实现可以参考前文中的相应内容,此处不再详述。
参考图7,为本申请实施例四提供的一种数据处理装置的结构示意图,该装置可以配置在能够进行数据处理的边缘设备上,边缘设备连接于多个电子设备且边缘设备连接于远端存储设备,如图2中所示。本实施例中的技术方案主要用于提高局域网内终端的数据安全性。
具体的,本实施例中的装置可以包括如下单元:
请求接收单元701,用于接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问数据的数据标识;
数据获得单元702,用于根据所述数据标识,从所述远端存储设备获得所述数据标识对应的第一数据;所述第一数据属于第二电子设备;
数据解密单元703,用于在接收到所述第一电子设备发送的目标私钥的情况下,使用所述目标私钥对所述第一数据进行解密处理,以得到第二数据;
其中,所述目标私钥由验证设备在根据所述属性标识验证所述第一电子设备满足所述第二电子设备对应的验证条件的情况下发送给所述第一电子设备;
数据发送单元704,用于将所述第二数据发送给所述第一电子设备。
由上述方案可知,本申请实施例四提供的一种数据处理装置中,在验证设备上根据具有访问需求的电子设备的属性标识对该电子设备进行验证,只有在该电子设备满足被访问的电子设备的验证条件的情况下,才允许获取具有访问需求的电子设备的私钥,以便于由边缘设备对远端存储上对被访问的数据进行解密,再将解密得到的数据发送给电子设备。可见,本实施例中由验证设备进行设备验证再由边缘设备进行数据解密,由此,提高局域网内各设备的数据安全性。
在一种实现方式中,本实施例中的装置还可以包含如下单元,如图8中所示:
加密处理单元705,用于接收所述第二电子设备发送的数据存储请求,所述数据存储请求中至少包含所述第二数据和所述第二电子设备对应的公钥信息;所述第二电子设备对应的公钥信息由所述验证设备根据所述第二电子设备的安全参数生成并发送给所述第二电子设备;使用所述公钥信息对所述第二数据进行加密处理,以得到所述第一数据;将所述第一数据发送给所述远端存储设备。
需要说明的是,本实施例中各单元具体实现可以参考前文中的相应内容,此处不再详述。
参考图9,为本申请实施例五提供的一种验证设备的结构示意图,该验证设备可以为计算机或服务器等。本实施例中的技术方案主要用于提高局域网内终端的数据安全性。
具体的,本实施例中的验证设备可以包含如下结构:
存储器901,用于存储计算机程序以及所述计算机程序运行所产生的数据;
处理器902,用于执行所述计算机程序,以实现:接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问的第一数据的数据标识,所述第一数据属于第二电子设备,所述第一电子设备和所述第二电子设备均连接于边缘设备,所述边缘设备连接于远端存储设备;根据所述属性标识,验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;在所述第一电子设备满足所述验证条件的情况下,获得所述第二电子设备对应的目标私钥;将所述目标私钥通过所述第一电子设备发送给所述边缘设备,以使得所述边缘设备使用所述目标私钥对从所述远端存储设备获得到的所述第一数据进行解密处理并将得到的第二数据发送给所述第一电子设备。
由上述方案可知,本申请实施例五提供的一种验证设备中,在验证设备上根据具有访问需求的电子设备的属性标识对该电子设备进行验证,只有在该电子设备满足被访问的电子设备的验证条件的情况下,才允许获取具有访问需求的电子设备的私钥,以便于由边缘设备对远端存储上对被访问的数据进行解密,再将解密得到的数据发送给电子设备。可见,本实施例中由验证设备进行设备验证再由边缘设备进行数据解密,由此,提高局域网内各设备的数据安全性。
参考图10,为本申请实施例六提供的一种边缘设备的结构示意图,该边缘设备连接于多个电子设备,且所述边缘设备连接于远端存储设备,如图2中所示。本实施例中的技术方案主要用于提高局域网内终端的数据安全性。
具体的,本实施例中的边缘设备可以包含如下结构:
存储器1001,用于存储计算机程序以及所述计算机程序运行所产生的数据;
处理器1002,用于执行所述计算机程序,以实现:接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问数据的数据标识;根据所述数据标识,从所述远端存储设备获得所述数据标识对应的第一数据;所述第一数据属于第二电子设备;在接收到所述第一电子设备发送的目标私钥的情况下,使用所述目标私钥对所述第一数据进行解密处理,以得到第二数据;其中,所述目标私钥由验证设备在根据所述属性标识验证所述第一电子设备满足所述第二电子设备对应的验证条件的情况下发送给所述第一电子设备;将所述第二数据发送给所述第一电子设备。
由上述方案可知,本申请实施例六提供的一种边缘设备中,在验证设备上根据具有访问需求的电子设备的属性标识对该电子设备进行验证,只有在该电子设备满足被访问的电子设备的验证条件的情况下,才允许获取具有访问需求的电子设备的私钥,以便于由边缘设备对远端存储上对被访问的数据进行解密,再将解密得到的数据发送给电子设备。可见,本实施例中由验证设备进行设备验证再由边缘设备进行数据解密,由此,提高局域网内各设备的数据安全性。
以智能家居场景为例,人们仅通过一台电子设备即可完成全屋智能设备的开与关,遨游在电子数据的海洋,然而智能家居电子隐私数据的存储、共享、管理、控制成为了一大难题;各种云存储技术被提出用于个人海量数据的存储、管理与共享,这为生活带来了极大的便利。然而传统的云存储服务器并不完全可信,当用户在云服务器上存储数据时,用户个人的隐私数据会受到一系列的安全威胁。为了防止隐私电子数据在传输过程的泄露,在边缘计算设备上传数据至云服务器前可以使用属性加密的方式对用户数据进行数据加密控制,保障用户的隐私安全。
本申请提供一种应用于智能家居的边缘计算属性加密数据控制方案,该方案通过一种支持时间域和空间域约束的属性加密方案,将智能设备(即,智能终端)产生的电子数据在边缘设备处进行加密,较好地满足了边缘计算的实时性和移动性需求,此外还提供了细粒度的访问授权,只允许属性集满足访问策略的用户才可以访问控制智能家居的智能设备数据,有效地阻止了第三方用户对电子控制数据的访问与使用,极大地保障了用户的隐私安全与数据控制安全。
具体的,本申请提供的一种应用于智能家居的边缘计算属性加密数据控制方案中,主要涉及:DO、DU、中央授权机构CA(Central Authority)、AA、EN、CSP。
其中,DO指的是数据源头,对数据拥有所有权和控制权,将访问策略和上传到CSP;
DU指的是需要访问云服务器中数据的用户,数据用户从EN获得解密的结果,得到明文数据;
EN具有存储和计算能力,用于实时处理DU的访问请求,并对DU请求的密文进行解密,并将结果传送给DU;
CA是完全可信的,负责DO、DU和AA的注册;
AA是完全可信的,AA根据域(即,局域网)中的属性生成AA的公私钥对(即公钥信息和撕咬信息),其中将公钥信息发送给DO用于加密,将私钥信息发送给DU用于解密。AA通过比较DU的请求时间(即访问时间)和请求位置(即设备位置)是否均在有效范围内,决定是否生成和分发相关属性私钥给DU。
可见,本申请提供的方案可应用局域云中,满足局域用户的安全性、私密性的需求;并且,方案利用移动云存储局域网中的用户数据、通过边缘计算的属性加密方式,将用户存储于云服务器的数据进行了数据加密;而且,方案中当访问用户需要访问控制这部分数据时,属性授权机构通过比较访问用户的时间和空间特点,决定是否生成和分发相关的属性私钥给访问用户,增加了访问数据的安全性;同时,边缘计算节点接收到数据用户的访问信息后会根据访问用户的搜索信息,在云服务器中进行搜索访问,当访问用户的属性私钥符合数据拥有者定义的访问策略时,边缘计算节点即可将明文控制数据传送给数据用户,此种访问控制方式,将计算集成在了边缘节点,降低了云服务器的计算压力。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图11和图12,本申请的实现步骤如下:
1、注册:DO、DU、AA向CA进行注册,这三个角色向CA提交身份信息IDO、IDU、IAA,以验证其身份的合法性;
2、系统建立:如图11中的系统架构,当DO接入系统时,输入安全参数w,AA输出DO的公钥PDO、密钥MDO,并人为设定时间域[T1…TN]与空间域[H1…HN];
3、数据加密:DO的数据DDO在边EN侧,利用加密算法E进行数据加密,如下公式(1),存储密文TDO于云服务器CSP中;
TDO=E(DDO) 公式(1)
4、数据访问:当有注册接入的DU要访问CSP的控制数据时,DU同时向AA和边缘节点EN发送请求;
5、属性验证:AA对请求访问的DU的时间域TDU(即时间范围)与空间域HDU(即空间范围)进行属性验证,如下公式(2)和公式(3),验证其是否符合设定值,当DU的时间域TDU与空间域HDU均满足设定值范围内后,AA向DU发送密钥MDO
TDU∈[T1…TN] 公式(2)
HDU∈[H1…HN] 公式(3)
6、数据解密与控制:EN根据DU发送的密钥MDO进行数据解密,如下公式(4),数据用户即可访问控制解密后的电子数据DDO
DDO=TDOMDO 公式(4)
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种数据处理方法,包括:
接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问的第一数据的数据标识,所述第一数据属于第二电子设备,所述第一电子设备和所述第二电子设备均连接于边缘设备,所述边缘设备连接于远端存储设备;
根据所述属性标识,验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;
在所述第一电子设备满足所述验证条件的情况下,获得所述第二电子设备对应的目标私钥;
将所述目标私钥通过所述第一电子设备发送给所述边缘设备,以使得所述边缘设备使用所述目标私钥对从所述远端存储设备获得到的所述第一数据进行解密处理并将得到的第二数据发送给所述第一电子设备。
2.根据权利要求1所述的方法,所述属性标识至少包含时间属性和/或空间属性,所述时间属性与所述数据访问请求对应的访问时间相关;所述空间属性与所述第一电子设备当前所处的设备位置相关。
3.根据权利要求1或2所述的方法,所述第二电子设备对应的预设标识中包含至少一个时间范围和至少一个空间范围;
其中,所述第一电子设备的属性标识与所述第二电子设备对应的预设标识相匹配,包括:
所述第一电子设备的属性标识中的时间属性所表征的访问时间处于任意一个所述时间范围内;
且,所述第一电子设备的属性标识中的空间属性所表征的终端位置处于任意一个所述空间范围内。
4.根据权利要求1或2所述的方法,所述获得所述第二电子设备对应的目标私钥,包括:
根据所述数据标识,获得所述第一数据所属的第二电子设备的设备信息;
在预设的秘钥集合中,获得与所述设备信息相对应的目标私钥。
5.根据权利要求4所述的方法,所述秘钥集合中包含多个所述第二电子设备对应的公钥信息和私钥信息;
其中,所述第二电子设备对应的公钥信息和私钥信息通过以下方式获得:
在接收到所述第二电子设备的加密请求的情况下,获得所述第二电子设备的安全参数;
对所述安全参数进行处理,以得到所述第二电子设备对应的私钥信息和公钥信息,所述公钥信息用于对数据进行加密,所述私钥信息用于对数据进行解密。
6.根据权利要求5所述的方法,所述秘钥集合中还包含所述第二电子设备对应的预设标识,所述预设标识用于根据所述属性标识验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;其中,所述预设标识根据接收到的标识配置操作获得。
7.一种数据处理方法,应用于边缘设备,所述边缘设备连接于多个电子设备且所述边缘设备连接于远端存储设备,所述方法包括:
接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问数据的数据标识;
根据所述数据标识,从所述远端存储设备获得所述数据标识对应的第一数据;所述第一数据属于第二电子设备;
在接收到所述第一电子设备发送的目标私钥的情况下,使用所述目标私钥对所述第一数据进行解密处理,以得到第二数据;
其中,所述目标私钥由验证设备在根据所述属性标识验证所述第一电子设备满足所述第二电子设备对应的验证条件的情况下发送给所述第一电子设备;
将所述第二数据发送给所述第一电子设备。
8.根据权利要求7所述的方法,所述方法还包括:
接收所述第二电子设备发送的数据存储请求,所述数据存储请求中至少包含所述第二数据和所述第二电子设备对应的公钥信息;所述第二电子设备对应的公钥信息由所述验证设备根据所述第二电子设备的安全参数生成并发送给所述第二电子设备;
使用所述公钥信息对所述第二数据进行加密处理,以得到所述第一数据;
将所述第一数据发送给所述远端存储设备。
9.一种验证设备,包括:
存储器,用于存储计算机程序以及所述计算机程序运行所产生的数据;
处理器,用于执行所述计算机程序,以实现:接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问的第一数据的数据标识,所述第一数据属于第二电子设备,所述第一电子设备和所述第二电子设备均连接于边缘设备,所述边缘设备连接于远端存储设备;根据所述属性标识,验证所述第一电子设备是否满足所述第二电子设备对应的验证条件;在所述第一电子设备满足所述验证条件的情况下,获得所述第二电子设备对应的目标私钥;将所述目标私钥通过所述第一电子设备发送给所述边缘设备,以使得所述边缘设备使用所述目标私钥对从所述远端存储设备获得到的所述第一数据进行解密处理并将得到的第二数据发送给所述第一电子设备。
10.一种边缘设备,所述边缘设备连接于多个电子设备,且所述边缘设备连接于远端存储设备,所述边缘设备包括:
存储器,用于存储计算机程序以及所述计算机程序运行所产生的数据;
处理器,用于执行所述计算机程序,以实现:接收第一电子设备发送的数据访问请求,所述数据访问请求中至少包含所述第一电子设备的属性标识和待访问数据的数据标识;根据所述数据标识,从所述远端存储设备获得所述数据标识对应的第一数据;所述第一数据属于第二电子设备;在接收到所述第一电子设备发送的目标私钥的情况下,使用所述目标私钥对所述第一数据进行解密处理,以得到第二数据;其中,所述目标私钥由验证设备在根据所述属性标识验证所述第一电子设备满足所述第二电子设备对应的验证条件的情况下发送给所述第一电子设备;将所述第二数据发送给所述第一电子设备。
CN202211202166.2A 2022-09-29 2022-09-29 数据处理方法及设备 Pending CN115603967A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211202166.2A CN115603967A (zh) 2022-09-29 2022-09-29 数据处理方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211202166.2A CN115603967A (zh) 2022-09-29 2022-09-29 数据处理方法及设备

Publications (1)

Publication Number Publication Date
CN115603967A true CN115603967A (zh) 2023-01-13

Family

ID=84845391

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211202166.2A Pending CN115603967A (zh) 2022-09-29 2022-09-29 数据处理方法及设备

Country Status (1)

Country Link
CN (1) CN115603967A (zh)

Similar Documents

Publication Publication Date Title
CN112260995B (zh) 接入认证方法、装置及服务器
CN107770182B (zh) 家庭网关的数据存储方法及家庭网关
US9935954B2 (en) System and method for securing machine-to-machine communications
WO2017028593A1 (zh) 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质
JP4504192B2 (ja) 加入モジュールへのセキュアアクセス方法
CN111212084B (zh) 一种面向边缘计算的属性加密访问控制方法
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
CN110995418B (zh) 云存储认证方法及系统、边缘计算服务器、用户路由器
WO2022111187A1 (zh) 终端认证方法、装置、计算机设备及存储介质
US20060161774A1 (en) Authentication method and system between device with small computational resources and device using public key
US6990582B2 (en) Authentication method in an agent system
CN105099673A (zh) 一种授权方法、请求授权的方法及装置
CN105553666B (zh) 一种智能电力终端安全认证系统及方法
CN110545252B (zh) 一种认证和信息保护的方法、终端、控制功能实体及应用服务器
WO2010075650A1 (en) Solutions for identifying legal user equipments in a communication network
KR20060077444A (ko) 홈 네트워크 외부에서 사용자를 인증하는 방법
CN113316149B (zh) 身份安全认证方法、装置、系统、无线接入点及介质
CN105429962A (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
CN111654481A (zh) 一种身份认证方法、装置和存储介质
CN115022850A (zh) 一种d2d通信的认证方法、装置、系统、电子设备及介质
CN113965425A (zh) 物联网设备的接入方法、装置、设备及计算机可读存储介质
WO2022135383A1 (zh) 一种身份鉴别方法和装置
CN114650182A (zh) 身份认证方法、系统、装置、网关设备、设备和终端
CN115603967A (zh) 数据处理方法及设备
CN114238915A (zh) 数字证书添加方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination