CN115952527A - 数据授权、提取、验证方法及其装置、设备和介质 - Google Patents
数据授权、提取、验证方法及其装置、设备和介质 Download PDFInfo
- Publication number
- CN115952527A CN115952527A CN202310226363.6A CN202310226363A CN115952527A CN 115952527 A CN115952527 A CN 115952527A CN 202310226363 A CN202310226363 A CN 202310226363A CN 115952527 A CN115952527 A CN 115952527A
- Authority
- CN
- China
- Prior art keywords
- document
- data
- key
- plaintext
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本公开提供了一种数据授权、提取、验证方法及其装置、设备和介质,涉及计算机技术领域,尤其涉及区块链技术。具体实现方案为:获取数据需求方发送的对目标数据的数据授权请求;响应于数据授权请求,生成包括解密数据的去中心化身份DID文档;其中,解密数据,用于对存储于区块链网络的智能合约中的还原信息密文进行解密,得到还原信息明文;还原信息明文,用于指示进行目标数据的获取和还原。根据本公开的技术,提高了目标数据获取过程的安全性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及区块链技术。
背景技术
随着信息时代的不断发展,不同数据持有方所持有的数据量不断增加,且数据持有方之间的数据交流需求逐渐增大。计算机网络技术的发展,为不同数据持有方之间的数据交互提供了便利,同时也对数据交互过程的安全性带来了考验。
发明内容
本公开提供了一种数据授权、提取、验证方法及其装置、设备和介质。
根据本公开的一方面,提供了一种数据授权方法,应用于身份授权方,包括:
获取数据需求方发送的对目标数据的数据授权请求;
响应于所述数据授权请求,生成包括解密数据的去中心化身份DID文档;
其中,所述解密数据,用于对存储于区块链网络的智能合约中的还原信息密文进行解密,得到还原信息明文;
所述还原信息明文,用于指示进行目标数据的获取和还原。
根据本公开的另一方面,还提供了一种数据提取方法,应用于数据需求方,包括:
获取目标数据的身份授权方所生成的去中心化身份DID文档;其中,所述DID文档基于本公开实施例提供的任意一种数据授权方法生成;
从区块链网络的智能合约中获取目标数据的还原信息密文;
根据所述DID文档中的解密数据,对所述还原信息密文进行解密,得到还原信息明文;
根据所述还原信息明文获取并还原所述目标数据。
根据本公开的另一方面,还提供了一种数据验证方法,应用于去中心化存储系统中的各存储节点,包括:
获取数据需求方发送的数据提取请求;
响应于所述数据提取请求,确定所述数据需求方所持有的去中心化身份DID文档,并对所述DID文档进行验证;其中,所述DID文档基于本公开实施例提供的任意一种数据授权方法生成;
若验证通过,则向所述数据需求方反馈所述DID文档的身份授权方所授权数据,用于还原所授权数据对应目标数据。
根据本公开的另一方面,还提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开实施例所提供数据授权方法、数据提取方法和数据验证方法中的至少一种。
根据本公开的另一方面,还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行根据本公开实施例所提供数据授权方法、数据提取方法和数据验证方法中的至少一种。
根据本公开的技术,提高了目标数据获取过程的安全性。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1A是本公开实施例提供的一种数据处理系统的结构图;
图1B是本公开实施例提供的一种数据授权方法的流程图;
图1C是本公开实施例提供的一种DID文档的结构示意图;
图2是本公开实施例提供的一种数据提取方法的流程图;
图3是本公开实施例提供的一种数据验证方法的流程图;
图4A是本公开实施例提供的一种数据授权交互方法的流程图;
图4B是本公开实施例提供的一种数据提取和验证交互方法的流程图;
图5是本公开实施例提供的一种数据授权装置的结构图;
图6是本公开实施例提供的一种数据提取装置的结构图;
图7是本公开实施例提供的一种数据验证装置的结构图;
图8是用来实现本公开实施例的数据授权、提取和验证方法中的至少一种的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
为了清楚地介绍本公开的技术方案,首先对本公开所涉及的数据处理系统,进行详细说明。
参见图1A所示的数据处理系统,包括:身份授权方10、数据需求方20、去中心化存储系统30和区块链网络40。其中,身份授权方10与数据需求方20通信连接;身份授权方10与数据需求方20,分别与去中心化存储系统30和区块链网络40通信连接。
其中,身份授权方10,用于向数据需求方20对数据持有方所持有目标数据授予去中心化身份,也即下发DID(Decentralized Identification,去中心化身份)文档,并将DID文档存储于去中心化存储系统30中,得到DID文档的文档位置标识。
去中心化存储系统30中设置有至少一个存储节点,用于分布式存储数据持有方所持有的目标数据,以及存储身份授权方10为数据需求方20办法的DID文档。
区块链网络40,用于存储DID文档的文档内容标识和文档位置标识之间的身份对应关系,用于进行DID文档查证。
进一步的,若去中心化存储系统30中所存储数据为目标数据的数据加密分片,则区块链网络40中,还用于存储基于数据加密分片还原生成目标数据的还原信息密文;相应的,在身份授权方10所生成的DID文档中,携带有该还原信息密文的解密密钥密文,用于解密前述还原信息密文。
其中,身份授权方为10与目标数据的数据持有方可以是同一方;或者,目标数据的数据持有方,受身份授权方10监管,可以通过身份授权方针对数据持有方所持有的目标数据,向数据需求方20进行数据提取的身份授权、或进一步撤销所授权身份。
其中,数据需求方20可以理解为基于目标数据进行设定业务处理的业务处理方。在一个可选实施例中,数据需求方20可以是按照某种约定所构建的计算网络的成员节点,该计算网络用于进行统一的分布式计算。在一个具体实施例中,计算网络可以是多方协同计算网络,相应的,数据需求方可以是多方协同计算网络中的计算节点,从而适配多方协同计算场景。可选的,多方协同计算网络可以用于进行多方数据协同计算和去中心化机器学习等中的至少一种。
需要说明的是,身份授权方10可以是数据持有方自身,还可以是对数据持有方所持有数据具备授权权限的第三方,本公开对此不作任何限定。
在上述数据处理系统的基础上,本公开提供了对应于不同执行主体的数据交互方法,包括身份授权方对应的数据授权方法、数据需求方对应的数据提取方法、以及去中心化存储系统中各存储节点对应的数据验证方法。以下将分别进行详述。
本公开所提供的各数据授权方法,适用于身份授权方对数据需求方进行目标数据的数据授权场景,该方法可以由数据授权装置执行,该装置可以采用软件和/或硬件实现,并具体配置于电子设备中。以下将对本公开所提供的各数据授权方法进行说明。
参见图1B所示的数据授权方法,应用于身份授权方,包括:
S101、获取数据需求方发送的对目标数据的数据授权请求。
需要说明的是,本公开对数据授权请求的具体呈现形式、发送方式及获取方式不作任何限定,仅需保证数据授权请求能够表征数据需求方,针对目标数据的数据授权需求即可。
S102、响应于数据授权请求,生成包括解密数据的DID文档。
其中,DID可以理解为基于区块链技术实现的让用户能够自主拥有和支配的数字身份。DID文档是指DID的描述文档,用于记录DID的至少一种身份属性。
可选的,参见图1C所示的DID文档的结构示意图,其中,DID文档可以包括DID标识、版本信息、创建时间、验证方式、交互属性和其他属性等中的至少一种。其中,DID标识,用于唯一表征该DID文档的内容,例如可以是数字摘要;版本信息,用于区分不同DID文档的版本;创建时间,用于表征DID文档的生成时间;验证方式,用于限定对DID文档的验证机制;交互属性,用于表征基于DID文档为授权某种数据交互行为后,在数据交互过程中所需用到的属性信息。其中,数据交互行为可以包括数据提取、数据传输等行为中的至少一种。
其中,验证方式可以由技术人员根据需要或经验进行设置或调整,本公开对具体的验证方式不作任何限定。例如,验证方式可以是基于ECDSA(Elliptic Curve DigitalSignature Algorithm,椭圆曲线数字签名算法),对DID文档进行签名验证。
可选的,交互属性可以包括文档位置标识,用于表征DID文档的存储位置,以供查证。或者可选的,交互属性可以包括解密数据,用于对存储于区块链网络的智能合约中的还原信息密文进行解密,得到还原信息明文,其中还原信息明文用于指示目标数据的获取和还原。
其中,其他属性可以作为DID文档的属性扩展接口,便于后续对DID文档进行属性扩展。
示例性的,其他属性可以包括声明属性,用于通过添加预设声明字段的方式,对本DID文档、在先生成的DID文档或预设字段指定的DID文档进行额外注解。例如,预设声明字段可以是撤销字段,通过在撤销字段中添加撤销声明信息,用于表征对本DID文档、在先生成的DID文档或预设字段指定的DID文档撤销已授权身份,从而指示相应DID文档失效。在一个具体示例中,可以在DID文档中添加撤销字段,用于声明撤销在先生成的最新DID文档的已授权身份,从而通过新增DID文档的方式,替代直接修改DID文档自身的方式,实现对已授予身份的有效撤回,在保证了DID文档的不可修改特性的同时,保留了身份撤回能力,便于及时对过期DID进行所授予身份的撤回,进一步提高了DID的安全性。
示例性的,其他属性可以包括有效期属性,用于通过添加有效期字段的方式,限定本DID文档的有效使用期限。其中,有效期字段可以包括有效起始时间、有效终止时间和有效时长中的至少两个。通过上述方式在保证DID文档的时效性同时,便捷性和灵活性更好。
需要说明的是,身份授权方为数据需求方针对目标数据所生成的DID文档,可以存储于数据需求方和/或身份授权方本地,便于进行DID文档的查找获取,还可以存储于与数据需求方和身份授权方具备通信连接的其他存储区域中。例如,该存储区域可以是去中心化存储系统。
在一个可选实施例中,将DID文档去中心化存储,得到DID文档的文档位置标识,用于表征DID文档在去中心化存储系统中的存储位置;将DID文档的文档内容标识和文档位置标识之间的身份对应关系,存储于区块链网络的智能合约中,和/或,将文档位置标识添加至DID文档中。这样做的好处在于,便于数据需求方或其他方进行DID文档的查证,同时提高了DID文档获取的丰富性和多样性。
需要说明的是,存储身份对应关系的智能合约,与前述存储还原信息密文的智能合约,两者可以是相同或不同的智能合约,本公开对此不作任何限定,仅需保证在需要进行身份对应关系或还原信息密文获取时,能够在相应智能合约中查找到即可。
可以理解的是,为了减少数据持有方进行目标数据存储的硬件部署成本,可以采用去中心化存储的方式,将目标数据存储于去中心化存储系统中。
示例性的,存储于去中心化存储系统的数据可以是目标数据明文、目标数据密文、或者目标数据所拆分的数据加密分片等。
可选的,若去中心化存储系统存储的是目标数据明文,则还原信息明文可以对应存储目标数据明文的存储位置,通过该存储位置可以进行目标数据的获取。
或者可选的,若去中心化存储系统存储的是目标数据密文,则还原信息明文可以对应存储目标数据明文的存储位置,用于进行目标数据密文的查找;还原信息明文中还包括目标数据密文的解密需求数据,例如包括解密密钥和解密算法等,用于对目标数据密文进行解密,得到目标数据明文。
或者可选的,若去中心化存储系统存储的是目标数据拆分所得的数据加密分片,则还原信息明文中可以包括满足还原需求数量的数据加密分片的存储位置信息,用于指示相应数据加密分片在去中心化存储系统中的存储位置,以供数据加密分片的获取;还原信息明文中还可以包括目标数据的逆向恢复数据,例如逆向恢复算法等,用于指示满足还原需求数量的数据加密分片还原出目标数据的逆向恢复方式。其中,还原需求数量可以基于目标数据所划分的数据加密分片的数量确定。其中,目标数据的数据加密分片生成方式,可以采用现有技术中的至少一种分片算法实现,本公开对此不作任何限定。
可以理解的是,通过将目标数据的数据加密分片,分布式存储于去中心化存储系统中,并通过还原信息明文中的数据加密分片的存储位置信息,以及目标数据的逆向恢复方式,进行目标数据的还原恢复,能够适配数据量较大的目标数据的数据授权场景,同时进一步提高了目标数据的安全性。
本公开实施例通过将目标数据的还原信息密文存储于区块链网络的智能合约中,便于不同数据需求方进行还原信息密文的获取,提高了还原信息密文获取的便捷性和不可篡改性。通过引入DID文档携带用于解密还原信息密文的解密数据,保证了解密数据的安全性和可靠性。通过存储于智能合约的还原信息密文,结合DID文档中的解密数据进行目标数据的获取和还原,从而提高了目标数据获取和还原过程的可靠性和安全性。
在一个可选实施例中,解密数据可以是解密密钥明文,直接用于对还原信息密文进行解密。相应的,可以直接通过该解密密钥明文,对还原信息密文进行解密,得到还原信息明文,以供目标数据的获取和还原。为了避免解密数据泄露,导致目标数据被随意获取和还原的情况发生,数据需求方向其他方展示DID文档,表明自身具备目标数据获取权限之前,需要将DID文档中的解密数据设置为隐藏状态,从而保证了解密数据自身的安全性,进而为目标数据的安全性提供了保障。
在另一可选实施例中,解密数据还可以是解密密钥密文,也即解密密钥明文的加密结果。相应的,可以采用以下过程生成DID文档:响应于数据授权请求,根据自身私钥和数据需求方公钥,生成密钥加密密钥;根据密钥加密密钥对解密密钥明文进行加密,得到解密密钥密文;生成包括解密密钥密文的DID文档。相应的,可以对DID文档中的解密密钥密文进行解密后,得到解密密钥明文,并基于解密密钥明文,对还原信息密文进行解密,得到还原信息明文,以供目标数据的获取和还原。
其中,密钥加密密钥用于对解密密钥明文进行加密,从而避免解密密钥明文的泄露,提高数据安全性。
示例性的,可以基于ECDH(Elliptic Curve Diffie–Hellman key Exchange,椭圆曲线迪菲-赫尔曼金钥交换)算法,根据身份授权方的私钥以及数据需求方的公钥,生成对称加密密钥,并将生成结果作为密钥加密密钥。相应的,可以基于ECDH算法,根据数据需求方的私钥以及身份授权方的公钥,生成对称加密密钥,并将生成结果作为密钥解密密钥,用于对解密密钥密文进行解密,得到解密密钥明文。
可以理解的是,通过身份授权方的私钥以及数据需求方的公钥,生成仅数据需求方才能获取到的密钥加密密钥,避免了密钥加密密钥被其他方破解,提高了密钥加密密钥的安全性,进而提高了DID文档的安全性。
其中,解密密钥明文对应对还原信息明文进行加密,得到还原信息密文时所采用的加密密钥明文;其中,加密密钥明文可以由技术人员根据需要或经验生成或调整。
在一个可选实施例中,加密密钥明文可以是非对称密钥对中的私钥;相应的,解密密钥明文可以是非对称密钥对中的公钥。
在另一可选实施例中,加密密钥明文和解密密钥明文可以是对称密钥,也即两者相同。
示例性的,确定参考密钥对;其中,参考密钥对包括参考公钥和参考私钥;根据自身公钥和参考私钥,生成加密密钥明文;根据加密密钥明文对还原信息明文进行加密,得到包括参考公钥的还原信息密文。
其中,参考密钥对可以理解为加密密钥明文和解密密钥明文的生成材料,可以随机生成,以提高加密密钥明文的随机性,进而提高还原信息密文的安全性。
具体的,可以采用ECIES(elliptic curve integrate encrypt scheme,集成加密方案),根据身份授权方的公钥和参考私钥,生成对称加密密钥,并将生成结果作为加密密钥明文。
可以理解的是,采用对称密钥进行数据加解密,与非对称密钥相比,计算效率更高,因此,根据自身公钥和参考私钥所生成加密密钥明文,对还原信息明文进行加密,提高了还原信息明文生成效率。同时,加密密钥明文基于身份授权方公钥和参考私钥生成,仅持有身份授权方私钥时,才能进行解密密钥明文的恶意破解,进一步提高了还原信息明文的安全性。
为了便于身份授权方进行目标数据的获取和还原,在一个可选实施例中,可以直接将还原信息明文存储于身份授权方本地。
在另一可选实施例中,还可以在身份授权方本地存储加密密钥明文对应的解密密钥明文即可。在身份授权方需要使用目标数据时,从区块链网络的智能合约中获取还原信息密文,并采用解密密钥明文对还原信息密文进行解密,得到还原信息明文,以供目标数据的获取和还原。这样做的好处在于,在保证身份授权方能够获取到目标数据的情况下,减少了身份授权方的存储空间占用量。
在又一可选实施例中,还可以根据自身私钥和还原信息密文中的参考公钥,生成解密密钥明文;从区块链网络的智能合约中获取还原信息密文;根据解密密钥明文对还原信息密文进行解密,得到还原信息明文,以供目标数据的获取和还原。
示例性的,可以采用ECIES,根据身份授权方的私钥和参考公钥,生成对称加密密钥,并将生成结果作为解密密钥明文。
可以理解的是,采用上述方案进行解密密钥明文的获取,降低了解密密钥明文泄露、或被恶意破解的风险,从而提高了身份授权方进行目标数据获取的安全性。
以上,对以身份授权方为执行主体的数据授权方法,进行了详细说明。以下,将以数据需求方为执行主体,对数据提取过程进行详述。
本公开所提供的各数据提取方法,适用于数据需求方基于DID文档进行目标数据提取的场景,该方法可以由数据提取装置执行,该装置可以采用软件和/或硬件实现,并具体配置于电子设备中。需要说明的是,在本公开实施例未详述的内容,可以参见其他实施例的相关表述,在此不再赘述。
参见图2所示的一种数据提取方法,应用于数据需求方,包括:
S201、获取目标数据的身份授权方所生成的DID文档。
其中,DID文档基于本公开实施例所提供的任意一种数据授权方法生成。
S202、从区块链网络的智能合约中获取目标数据的还原信息密文。
其中,还原信息密文为还原信息明文的加密结果。其中,还原信息明文用于指示目标数据的获取和还原。
可以理解的是,将还原信息密文预先存储于区块链网络中,利用区块链网络去中心化和不可篡改的特性,保证了还原信息密文的可靠性。采用区块链网络的智能合约进行还原信息密文的存储,提高了还原信息密文查找获取的便捷性。
S203、根据DID文档中的解密数据,对还原信息密文进行解密,得到还原信息明文。
其中,解密数据专用于解密还原信息密文。
在一个可选实施例中,解密数据可以是解密密钥明文,直接用于对还原信息密文进行解密,得到还原信息明文。为了避免解密数据泄露,导致目标数据被随意获取和还原的情况发生,数据需求方向其他方展示DID文档,表明自身具备目标数据获取权限之前,需要将DID文档中的解密数据设置为隐藏状态,从而保证了解密数据自身的安全性,进而为目标数据的安全性提供了保障。
在另一可选实施例中,解密数据还可以是解密密钥密文,也即解密密钥明文的加密结果,可以由身份授权方采用以下方式生成:响应于数据授权请求,根据自身私钥和数据需求方公钥,生成密钥加密密钥;根据密钥加密密钥对解密密钥明文进行加密,得到解密密钥密文。相应的,数据需求方可以根据自身私钥和身份授权方公钥,生成密钥解密密钥;根据密钥解密密钥对解密密钥密文进行解密,得到解密密钥明文;根据解密密钥明文对还原信息密文进行解密,得到还原信息明文。
其中,密钥加密密钥用于对解密密钥明文进行加密,从而避免解密密钥明文的泄露,提高数据安全性。
示例性的,可以基于ECDH算法,根据身份授权方的私钥以及数据需求方的公钥,生成对称加密密钥,并将生成结果作为密钥加密密钥。相应的,可以基于ECDH算法,根据数据需求方的私钥以及身份授权方的公钥,生成对称加密密钥,并将生成结果作为密钥解密密钥,用于对解密密钥密文进行额机密,得到解密密钥明文。
可以理解的是,通过身份授权方的私钥以及数据需求方的公钥,生成仅数据需求方才能获取到的密钥加密密钥,从而由数据需求方根据自身私钥和身份授权方公钥,生成用于对解密密钥密文进行解密的密钥解密密钥,避免了密钥加密密钥被其他方破解,提高了密钥加密密钥的安全性,进而提高了DID文档的安全性。
S204、根据还原信息明文获取并还原目标数据。
为了减少数据持有方进行目标数据存储的硬件部署成本,可以采用去中心化存储的方式,将目标数据存储于去中心化存储系统中。
示例性的,存储于去中心化存储系统的数据可以是目标数据明文、目标数据密文、或者目标数据所拆分的数据加密分片等。
可选的,若去中心化存储系统存储的是目标数据明文,则还原信息明文可以对应存储目标数据明文的存储位置,通过该存储位置可以进行目标数据的获取。
或者可选的,若去中心化存储系统存储的是目标数据密文,则还原信息明文可以对应存储目标数据明文的存储位置,用于进行目标数据密文的查找;还原信息明文中还包括目标数据密文的解密需求数据,例如包括解密密钥和解密算法等,用于对目标数据密文进行解密,得到目标数据明文。
或者可选的,若去中心化存储系统存储的目标数据拆分所得的数据加密分片,则还原信息明文中可以包括满足还原需求数量的数据加密分片的存储位置信息,用于指示相应数据加密分片在去中心化存储系统中的存储位置,以供数据加密分片的获取;还原信息明文中还可以包括目标数据的逆向恢复数据,例如逆向恢复算法等,用于指示满足还原需求数量的数据加密分片还原出目标数据的逆向恢复方式。相应的,可以根据还原信息明文中数据加密分片的存储位置信息,从去中心化存储系统的各存储节点中获取满足还原需求数量的数据加密分片;根据所获取数据加密分片,采用还原信息明文中的逆向恢复方式,还原目标数据。其中,还原需求数量可以基于目标数据所划分的数据加密分片的数量确定。其中,目标数据的数据加密分片生成方式,可以采用现有技术中的至少一种分片算法实现,本公开对此不作任何限定。
可以理解的是,通过将目标数据的数据加密分片,分布式存储于去中心化存储系统中,并通过还原信息明文中的数据加密分片的存储位置信息,以及目标数据的逆向恢复方式,进行目标数据的还原恢复,能够适配数据量较大的目标数据的数据提取场景,同时进一步提高了目标数据的安全性。
本公开实施例通过将目标数据的还原信息密文存储于区块链网络的智能合约中,便于不同数据需求方进行还原信息密文的获取,提高了还原信息密文获取的便捷性和不可篡改性。通过引入DID文档携带用于解密还原信息密文的解密数据,保证了解密数据的安全性和可靠性。通过存储于智能合约的还原信息密文,结合DID文档中的解密数据进行目标数据的获取和还原,从而提高了目标数据获取和还原过程的可靠性和安全性。
以上,对以数据需求方为执行主体的数据提取方法,进行了详细说明。以下,将以数据存储方为执行主体,对数据验证过程进行详述。其中,数据存储方可以是去中心化存储系统中的各存储节点。
本公开所提供的各数据验证方法,适用于数据需求方基于DID文档进行数据持有方所授权数据的提取时,对数据需求方所提供的DID文档进行验证的场景。该方法可以由数据验证装置执行,该装置可以采用软件和/或硬件实现,并具体配置于电子设备中。需要说明的是,在本公开实施例未详述的内容,可以参见其他实施例的相关表述,在此不再赘述。
参见图3所示的一种数据验证方法,应用于数据存储方,包括:
S301、获取数据需求方发送的数据提取请求。
其中,数据提取请求用于指示对数据存储方存储的身份授权方所授权数据,该数据可以理解为数据持有方所持有的目标数据的关联数据,用于还原生成目标数据。其中,关联数据可以是至少部分目标数据,或至少部分目标数据的加密结果,如目标数据的数据加密分片。
S302、响应于数据提取请求,确定数据需求方所持有的DID文档,并对DID文档进行验证。
其中,DID文档基于本公开实施例所提供的任意一种数据授权方法生成。
在一个可选实施例中,可以在数据提取请求中,携带DID文档的文档内容标识,从而可以根据数据提取请求中的文档内容标识,进行DID文档的查找获取。
在一个具体实现方式中,可以从数据需求方和/或身份授权方本地,查找获取文档内容标识对应的DID文档。
在另一具体实现方式中,可以从去中心化存储系统中,查找获取文档内容标识对应的DID文档。
可选的,为了便于进行DID文档查找,还可以预先将DID文档的文档内容标识和文档位置标识之间的身份对应关系,存储于区块链网络的智能合约中。相应的,根据区块链网络的智能合约中的身份对应关系,确定文档内容标识对应的文档位置标识,并根据文档位置标识,从去中心化存储系统中查找获取DID文档。
在另一可选实施例中,还可以在数据提取请求中,携带DID文档自身,可以根据DID文档中所携带的文档位置标识,从去中心化存储系统中查找获取DID文档。
示例性的,对DID文档进行验证,可以对DID文档进行至少一个维度的验证。其中,验证维度可以包括下述至少一种:对DID文档进行签名验证、文档内容验证、身份授权方的身份验证和有效期验证等。这样做的好处在于,提高了DID文档验证的丰富性和多样性,从而通过多维度验证的方式,提高DID文档的准确性和可靠性,进而有助于提高目标数据的安全性。
需要说明的是,当需要对DID文档进行多维度验证时,各维度验证均通过,才表明对DID文档的验证通过;若存在任一维度验证不通过,则表明对DID文档的验证未通过。
通常情况下,DID文档在生成时,会添加有文档生成方,也即身份授权方的签名信息,通过对DID文档中所携带的签名信息进行验签的方式,提高了DID文档的有效性。
在一个可选实施例中,对DID文档进行文档内容验证,可以包括:根据区块链网络的智能合约中DID文档的文档内容标识对应文档位置标识,和/或根据DID文档中所携带的文档位置标识,获取DID文档的身份授权方为数据需求方所颁发的标准DID文档;根据标准DID文档的文档内容标识,对DID文档进行文档内容验证。
示例性的,根据DID文档中携带的文档内容标识,从智能合约中查找与文档内容标识具备身份对应关系的文档位置标识,通过该文档位置标识,从去中心化存储系统中,获取身份授权方为数据需求方所颁发的标准DID文档;或者,通过DID文档中所携带的文档位置标识,从去中心化存储系统中,获取身份授权方为数据需求方所颁发的标准DID文档。具体的,若标准DID文档的文档内容标识,与DID文档的文档内容标识相一致,则表明两者文档内容相同且完整,也即对DID文档的文档内容验证通过;否则,表明DID文档内容有误或缺失,也即对DID文档的文档内容验证不通过。
若DID文档中存在部分隐藏信息,则可以对标准DID文档相应部分内容进行隐藏,以更新标准DID文档,重新生成更新后的标准DID文档的文档内容标识,并基于该重新生成的文档内容标识,对DID文档进行文档内容验证。
可以理解的是,通过引入标准DID文档,对DID文档进行文档内容验证,保证了DID文档所携带内容的准确性和完整性,从而保证了DID文档的可靠性,进而有助于提高目标数据的安全性。
在另一可选实施例中,对DID文档进行身份验证,可以包括:获取DID文档的生成方;根据生成方和/或区块链网络中生成方的授权身份类别,对DID文档进行身份验证。其中,DID文档中携带有生成方的标识信息。
针对数据处理系统中存在统一的身份授权方的场景,若该生成方属于前述数据处理系统中的身份授权方,或者该生成方存在进行数据授权的授权身份类别,则表明DID文档的生成方,具备对目标数据的身份授予权限,也即对DID文档的身份验证通过。
针对数据处理系统中存在进行部分数据持有方的身份授权方的场景,若该生成方存在针对目标数据的身份授权权限,则对DID文档的身份验证通过。
可以理解的是,通过引入生成方和/或生成方的授权身份类别,对DID文档进行身份验证,提高了身份验证方式的丰富性和多样性。同时,避免了无目标数据的身份授予权限的第三方,假冒授权给目标数据的数据持有方带来安全隐患和经济损失。
在又一可选实施例中,对DID文档进行有效期验证,可以包括:根据DID文档中的有效期属性对应属性值,对DID文档进行有效期验证。
示例性的,DID文档中可以设置有效期属性,用于通过添加有效期字段的方式,限定本DID文档的有效使用期限。其中,有效期字段可以包括有效起始时间、有效终止时间和有效时长中的至少两个。
相应的,若数据提取请求发送时刻已超出DID文档的有效使用期限,则表明DID文档已失效,也即对DID文档的有效期验证不通过。若数据提取请求发送时刻未超出DID文档的有效使用期限,则表明DID文档有效,也即对DID文档的有效期验证通过。
可以理解的是,上述技术方案通过在DID文档中引入有效期属性,并基于该有效期属性的属性值对DID文档进行有效期验证,降低了由于DID文档失效导致目标数据泄露的风险,同时,提高了有效性验证的便捷性和灵活性。
在再一可选实施例中,对DID文档进行有效期验证,可以包括:从区块链网络的智能合约中查找数据需求方的身份对应关系,并根据查找到的身份对应关系中与目标数据相关的时间最新的文档内容标识,对DID文档进行有效期验证。
可选的,DID文档中可以设置声明属性,用于通过添加预设声明字段的方式,对本DID文档、在先生成的DID文档或预设字段指定的DID文档进行额外注解。例如,预设声明字段可以是撤销字段,通过在撤销字段中添加撤销声明信息,用于表征对本DID文档、在先生成的DID文档或预设字段指定的DID文档撤销已授权身份,从而指示相应DID文档失效。在一个具体示例中,可以在DID文档中添加撤销字段,用于声明撤销在先生成的最新DID文档的已授权身份,从而通过新增DID文档的方式,替代直接修改DID文档自身的方式,实现对已授予身份的有效撤回,在保证了DID文档的不可修改特性的同时,保留了身份撤回能力,便于及时对过期DID进行授予身份的及时撤回。
相应的,在区块链网络的智能合约中,存储有与数据需求方相关的至少一个身份对应关系,部分身份对应关系对应的DID文档,用于对在先生成的DID文档声明失效。因此,需要从数据需求方的各身份对应关系中,找到与目标数据相关,且时间最新的文档内容标识,来确定最新的文档内容标识对应DID文档,是否仍旧表征数据需求方具备目标数据的数据提取权限。若最新时间的文档内容标识与数据提取请求对应的DID文档的文档内容标识不一致,则表明已撤回在先授予身份,DID文档已失效,也即对DID文档的有效期验证未通过;若最新时间的文档内容标识与数据提取请求对应的DID文档的文档内容标识一致,则表明未撤回在先授予身份,DID文档未失效,也即对DID文档的有效期验证通过。
可以理解的是,通过上述新增DID文档替代直接修改DID文档自身的方式,实现对已授予身份的有效撤回,在保证了DID文档的不可修改特性的同时,保留了身份撤回能力,便于对过期DID进行授予身份的及时撤回,进一步提高了DID的安全性。相应的,通过身份对应关系中与目标数据相关的时间最新的文档内容标识,对DID文档进行有效期验证,操作便捷,且准确性好,同时降低了由于DID文档失效导致目标数据泄露的风险。
S303、若验证通过,则向数据需求方反馈DID文档的身份授权方所授权数据,用于还原所授权数据对应目标数据。
示例性的,若验证通过,表明数据需求方在数据提取请求发送时刻,具备对DID文档的身份授权方所授权数据的提取权限,此时将相应数据反馈至数据需求方,以供数据需求方进行目标数据的还原。
进一步的,若验证不通过,则表明数据需求方在数据提取请求发送时刻之前,已丧失对DID文档的授权身份方所授权数据的提取权限,此时,将禁止向数据需求方反馈相应数据。
本公开实施例通过对DID文档进行验证,仅在验证通过的情况下,向数据需求方反馈DID文档的身份授权方所授权数据,用于还原目标数据,能够有效识别DID文档造假或失效的情况发生,提高了DID文档的可靠性和准确性,进而减少了目标数据的泄露风险,提高了目标数据的安全性。
在上述各技术方案的基础上,本公开还提供了一个优选实施例,在该实施例中,对基于数据处理系统的数据交互过程,进行了详细说明。
参见图4A所示的数据授权交互方法,包括:
S401、数据持有方将目标数据转化为多个数据加密分片,并目标数据的逆向恢复方式。
S402、数据持有方将各数据加密分片分布式存储于去中心化存储系统中,得到各数据加密分片的存储位置信息。
S403、数据持有方生成包括逆向恢复方式和存储位置信息的还原信息明文。
S404、数据持有方基于自身公钥和参考私钥,推导对称加密密钥,作为加密密钥明文和解密密钥明文。
S405、数据持有方采用加密密钥明文对还原信息明文进行加密,得到还原信息密文。
S406、数据持有方将还原信息密文存储于区块链网络的智能合约中。
S407、数据需求方向数据持有方发送数据授权请求。
S408、数据持有方根据自身私钥和数据需求方公钥,生成密钥加密密钥。
S409、数据持有方采用密钥加密密钥对解密密钥明文进行加密,得到解密密钥密文。
S410、数据持有方生成包括解密密钥密文和有效期的DID文档。
S411、数据持有方将DID文档存储于去中心化存储系统中,并得到DID文档在去中心化存储系统中对应的文件ID(Identification,标识),且将文件ID添加至DID文档中。
S412、数据持有方向数据需求方反馈DID文档以及DID文档的数字摘要对应文档ID。
S413、数字持有方将DID文档的文档ID以及文件ID之间的对应关系,存储于区块链网络的智能合约中。
在图4A所述的数据授权交互方法的基础上,参见图4B所示的数据提取和验证交互方法,包括:
S414、数据需求方向根据DID自身公钥和数据持有方公钥,生成密钥解密密钥。
S415、数据需求方采用密钥解密密钥对DID文档中的解密密钥密文进行解密,得到解密密钥明文。
S416、数据需求方从区块链网络的智能合约中获取目标数据的还原信息密文。
S417、数据需求方对还原信息密文进行解密,得到还原信息明文。
S418、数据需求方根据还原信息明文中的存储位置信息,向去中心化存储系统发送包括文档ID的数据提取请求。
S419、去中心化存储系统中的存储节点根据文档ID查找对应DID文档。
S420、存储节点对DID文档进行签名验证、文档内容验证和有效期验证。
S421、若验证均通过,则存储节点向数据需求方反馈数据加密分片。
S422、数据需求方在获取到满足还原需求数量的数据加密分片后,根据还原信息明文中的逆向恢复方式,还原目标数据。
S423、数据需求方根据目标数据进行业务处理。
作为上述各数据授权方法的实现,本公开还提供了一种实施上述各数据授权方法的执行装置的可选实施例。参见图5所示的数据授权装置500,配置于身份授权方,包括:数据授权请求获取模块501和DID文档生成模块502。其中,
数据授权请求获取模块501,用于获取数据需求方发送的对目标数据的数据授权请求;
DID文档生成模块502,用于响应于所述数据授权请求,生成包括解密数据的去中心化身份DID文档;
其中,所述解密数据,用于对存储于区块链网络的智能合约中的还原信息密文进行解密,得到还原信息明文;
所述还原信息明文,用于指示进行目标数据的获取和还原。
本公开实施例通过将目标数据的还原信息密文存储于区块链网络的智能合约中,便于不同数据需求方进行还原信息密文的获取,提高了还原信息密文获取的便捷性和不可篡改性。通过引入DID文档携带用于解密还原信息密文的解密数据,保证了解密数据的安全性和可靠性。通过存储于智能合约的还原信息密文,结合DID文档中的解密数据进行目标数据的获取和还原,从而提高了目标数据获取和还原过程的可靠性和安全性。
在一个可选实施例中,所述解密数据为解密密钥密文;所述DID文档生成模块502,包括:
密钥加密密钥生成单元,用于响应于所述数据授权请求,根据自身私钥和所述数据需求方公钥,生成密钥加密密钥;
解密密钥密文得到单元,用于根据所述密钥加密密钥对解密密钥明文进行加密,得到所述解密密钥密文;
DID文档生成单元,用于生成包括所述解密密钥密文的DID文档。
在一个可选实施例中,所述装置500,还包括还原信息密文生成模块,用于生成还原信息密文,具体包括:
参考密钥对确定单元,用于确定参考密钥对;其中,所述参考密钥对包括参考公钥和参考私钥;
加密密钥明文生成单元,用于根据自身公钥和所述参考私钥,生成加密密钥明文;
还原信息密文生成单元,用于根据所述加密密钥明文对所述还原信息明文进行加密,得到包括所述参考公钥的所述还原信息密文。
在一个可选实施例中,所述装置500,还包括:
解密密钥明文生成模块,用于根据自身私钥和所述还原信息密文中的参考公钥,生成解密密钥明文;和/或,获取本地存储的所述加密密钥明文对应的解密密钥明文;
还原信息密文获取模块,用于从区块链网络的智能合约中获取还原信息密文;
还原信息明文得到模块,用于根据所述解密密钥明文对所述还原信息密文进行解密,得到还原信息明文。
在一个可选实施例中,所述装置500,还包括:
文档位置标识得到模块,用于将所述DID文档去中心化存储,得到所述DID文档的文档位置标识;
文档位置标识存储模块,用于将所述DID文档的文档内容标识和文档位置标识之间的身份对应关系,存储于区块链网络的智能合约中,和/或,将所述文档位置标识添加至所述DID文档中。
在一个可选实施例中,所述目标数据的数据加密分片分布式存储于去中心化存储系统中;所述还原信息明文用于指示满足还原需求数量的数据加密分片在所述去中心化存储系统的存储位置信息,以及,所述目标数据的逆向恢复方式。
上述数据授权装置可执行本公开任意实施例所提供的数据授权方法,具备执行各数据授权方法相应的功能模块和有益效果。
作为上述各数据提取方法的实现,本公开还提供了一种实施上述各数据提取方法的执行装置的可选实施例。参见图6所示的数据提取装置600,配置于数据需求方,包括:DID文档获取模块601、还原信息密文获取模块602、还原信息明文得到模块603和目标数据还原模块604。其中,
DID文档获取模块601,用于获取目标数据的身份授权方所生成的去中心化身份DID文档;其中,所述DID文档基于本公开实施例提供的任意一种数据授权装置生成;
还原信息密文获取模块602,用于从区块链网络的智能合约中获取目标数据的还原信息密文;
还原信息明文得到模块603,用于根据所述DID文档中的解密数据,对所述还原信息密文进行解密,得到还原信息明文;
目标数据还原模块604,用于根据所述还原信息明文获取并还原所述目标数据。
本公开实施例通过将目标数据的还原信息密文存储于区块链网络的智能合约中,便于不同数据需求方进行还原信息密文的获取,提高了还原信息密文获取的便捷性和不可篡改性。通过引入DID文档携带用于解密还原信息密文的解密数据,保证了解密数据的安全性和可靠性。通过存储于智能合约的还原信息密文,结合DID文档中的解密数据进行目标数据的获取和还原,从而提高了目标数据获取和还原过程的可靠性和安全性。
在一个可选实施例中,所述解密数据为解密密钥密文;所述还原信息明文得到模块603,包括:
密钥解密密钥生成单元,用于根据自身私钥和所述身份授权方公钥,生成密钥解密密钥;
解密密钥明文得到单元,用于根据所述密钥解密密钥对所述解密密钥密文进行解密,得到解密密钥明文;
还原信息明文得到单元,用于根据所述解密密钥明文对所述还原信息密文进行解密,得到所述还原信息明文。
在一个可选实施例中,所述目标数据还原模块604,包括:
数据加密分片获取单元,用于根据所述还原信息明文中数据加密分片的存储位置信息,从去中心化存储系统的各存储节点中获取满足还原需求数量的数据加密分片;
目标数据还原单元,用于根据所获取数据加密分片,采用所述还原信息明文中的逆向恢复方式,还原所述目标数据。
上述数据提取装置可执行本公开任意实施例所提供的数据提取方法,具备执行各数据提取方法相应的功能模块和有益效果。
作为上述各数据验证方法的实现,本公开还提供了一种实施上述各数据验证方法的执行装置的可选实施例。参见图7所示的数据验证装置700,配置于去中心化存储系统中的各存储节点,包括:数据提取请求获取模块701、DID文档验证模块702和数据反馈模块703。其中,
数据提取请求获取模块701,用于获取数据需求方发送的数据提取请求;
DID文档验证模块702,用于响应于所述数据提取请求,确定所述数据需求方所持有的去中心化身份DID文档,并对所述DID文档进行验证;其中,所述DID文档基于本公开实施例提供的任意一种数据授权方法生成;
数据反馈模块703,用于若验证通过,则向所述数据需求方反馈所述DID文档的身份授权方所授权数据,用于还原所授权数据对应目标数据。
本公开实施例通过对DID文档进行验证,仅在验证通过的情况下,向数据需求方反馈DID文档的身份授权方所授权数据,用于还原目标数据,能够有效识别DID文档造假或失效的情况发生,提高了DID文档的可靠性和准确性,进而减少了目标数据的泄露风险,提高了目标数据的安全性。
在一个可选实施例中,所述DID文档验证模块702,包括下述至少一种:
文档内容验证单元,用于对所述DID文档进行文档内容验证;
身份验证单元,用于对所述DID文档的身份授权方进行身份验证;
有效期验证单元,用于对所述DID文档进行有效期验证。
在一个可选实施例中,所述文档内容验证单元,包括:
标准DID文档获取子单元,用于根据区块链网络的智能合约中所述DID文档的文档内容标识对应文档位置标识,和/或根据所述DID文档中所携带的文档位置标识,获取所述DID文档的身份授权方为所述数据需求方所颁发的标准DID文档;
文档内容验证子单元,用于根据所述标准DID文档的文档内容标识,对所述DID文档进行文档内容验证。
在一个可选实施例中,所述身份验证单元,包括:
生成方获取子单元,用于获取所述DID文档的生成方;
身份验证子单元,用于根据所述生成方和/或区块链网络中所述生成方的授权身份类别,对所述DID文档进行身份验证。
在一个可选实施例中,所述有效期验证单元,包括:
属性值验证子单元,用于根据所述DID文档中的有效期属性对应属性值,对所述DID文档进行有效期验证;和/或,
对应关系验证子单元,用于从区块链网络的智能合约中查找所述数据需求方的身份对应关系,并根据查找到的身份对应关系中与所述目标数据相关的时间最新的文档内容标识,对所述DID文档进行有效期验证。
上述数据验证装置可执行本公开任意实施例所提供的数据验证方法,具备执行各数据验证方法相应的功能模块和有益效果。
本公开的技术方案中,所涉及的目标数据、DID文档、还原信息密文、公私钥等数据的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图8示出了可以用来实施本公开的实施例的示例电子设备800的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图8所示,设备800包括计算单元801,其可以根据存储在只读存储器(ROM)802中的计算机程序或者从存储单元808加载到随机访问存储器(RAM)803中的计算机程序,来执行各种适当的动作和处理。在RAM 803中,还可存储设备800操作所需的各种程序和数据。计算单元801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
设备800中的多个部件连接至I/O接口805,包括:输入单元806,例如键盘、鼠标等;输出单元807,例如各种类型的显示器、扬声器等;存储单元808,例如磁盘、光盘等;以及通信单元809,例如网卡、调制解调器、无线通信收发机等。通信单元809允许设备800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元801可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元801的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元801执行上文所描述的各个方法和处理,例如数据授权方法、数据提取方法和数据验证方法中的至少一种。例如,在一些实施例中,数据授权方法、数据提取方法和数据验证方法中的至少一种可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元808。在一些实施例中,计算机程序的部分或者全部可以经由ROM 802和/或通信单元809而被载入和/或安装到设备800上。当计算机程序加载到RAM 803并由计算单元801执行时,可以执行上文描述的数据授权方法、数据提取方法和数据验证方法中的至少一种的一个或多个步骤。备选地,在其他实施例中,计算单元801可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行数据授权方法、数据提取方法和数据验证方法中的至少一种。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
人工智能是研究使计算机来模拟人的某些思维过程和智能行为(如学习、推理、思考、规划等)的学科,既有硬件层面的技术也有软件层面的技术。人工智能硬件技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理等技术;人工智能软件技术主要包括计算机视觉技术、语音识别技术、自然语言处理技术及机器学习/深度学习技术、大数据处理技术、知识图谱技术等几大方向。
云计算(cloud computing),指的是通过网络接入弹性可扩展的共享物理或虚拟资源池,资源可以包括服务器、操作系统、网络、软件、应用和存储设备等,并可以按需、自服务的方式对资源进行部署和管理的技术体系。通过云计算技术,可以为人工智能、区块链等技术应用、模型训练提供高效强大的数据处理能力。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开提供的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (30)
1.一种数据授权方法,应用于身份授权方,包括:
获取数据需求方发送的对目标数据的数据授权请求;
响应于所述数据授权请求,生成包括解密数据的去中心化身份DID文档;
其中,所述解密数据,用于对存储于区块链网络的智能合约中的还原信息密文进行解密,得到还原信息明文;
所述还原信息明文,用于指示进行目标数据的获取和还原。
2.根据权利要求1所述的方法,其中,所述解密数据为解密密钥密文;所述响应于所述数据授权请求,生成包括解密数据的去中心化身份DID文档,包括:
响应于所述数据授权请求,根据自身私钥和所述数据需求方公钥,生成密钥加密密钥;
根据所述密钥加密密钥对解密密钥明文进行加密,得到所述解密密钥密文;
生成包括所述解密密钥密文的DID文档。
3.根据权利要求1所述的方法,其中,所述还原信息密文采用以下方式生成:
确定参考密钥对;其中,所述参考密钥对包括参考公钥和参考私钥;
根据自身公钥和所述参考私钥,生成加密密钥明文;
根据所述加密密钥明文对所述还原信息明文进行加密,得到包括所述参考公钥的所述还原信息密文。
4.根据权利要求3所述的方法,其中,所述方法还包括:
根据自身私钥和所述还原信息密文中的参考公钥,生成解密密钥明文;和/或,获取本地存储的所述加密密钥明文对应的解密密钥明文;
从区块链网络的智能合约中获取还原信息密文;
根据所述解密密钥明文对所述还原信息密文进行解密,得到还原信息明文。
5.根据权利要求1所述的方法,其中,所述方法还包括:
将所述DID文档去中心化存储,得到所述DID文档的文档位置标识;
将所述DID文档的文档内容标识和文档位置标识之间的身份对应关系,存储于区块链网络的智能合约中,和/或,将所述文档位置标识添加至所述DID文档中。
6.根据权利要求1-5任一项所述的方法,其中,所述目标数据的数据加密分片分布式存储于去中心化存储系统中;所述还原信息明文用于指示满足还原需求数量的数据加密分片在所述去中心化存储系统的存储位置信息,以及,所述目标数据的逆向恢复方式。
7.一种数据提取方法,应用于数据需求方,包括:
获取目标数据的身份授权方所生成的去中心化身份DID文档;其中,所述DID文档基于权利要求1-6任一项所述的数据授权方法生成;
从区块链网络的智能合约中获取目标数据的还原信息密文;
根据所述DID文档中的解密数据,对所述还原信息密文进行解密,得到还原信息明文;
根据所述还原信息明文获取并还原所述目标数据。
8.根据权利要求7所述的方法,其中,所述解密数据为解密密钥密文;所述根据所述DID文档中的解密数据,对所述还原信息密文进行解密,得到还原信息明文,包括:
根据自身私钥和所述身份授权方公钥,生成密钥解密密钥;
根据所述密钥解密密钥对所述解密密钥密文进行解密,得到解密密钥明文;
根据所述解密密钥明文对所述还原信息密文进行解密,得到所述还原信息明文。
9.根据权利要求7或8所述的方法,其中,所述根据所述还原信息明文获取并还原所述目标数据,包括:
根据所述还原信息明文中数据加密分片的存储位置信息,从去中心化存储系统的各存储节点中获取满足还原需求数量的数据加密分片;
根据所获取数据加密分片,采用所述还原信息明文中的逆向恢复方式,还原所述目标数据。
10.一种数据验证方法,应用于去中心化存储系统中的各存储节点,包括:
获取数据需求方发送的数据提取请求;
响应于所述数据提取请求,确定所述数据需求方所持有的去中心化身份DID文档,并对所述DID文档进行验证;其中,所述DID文档基于权利要求1-6任一项所述的数据授权方法生成;
若验证通过,则向所述数据需求方反馈所述DID文档的身份授权方所授权数据,用于还原所授权数据对应目标数据。
11.根据权利要求10所述的方法,其中,所述响应于所述数据提取请求,对所述DID文档进行验证,包括下述至少一种:
对所述DID文档进行文档内容验证;
对所述DID文档的身份授权方进行身份验证;
对所述DID文档进行有效期验证。
12.根据权利要求11所述的方法,其中,所述对所述DID文档进行文档内容验证,包括:
根据区块链网络的智能合约中所述DID文档的文档内容标识对应文档位置标识,和/或根据所述DID文档中所携带的文档位置标识,获取所述DID文档的身份授权方为所述数据需求方所颁发的标准DID文档;
根据所述标准DID文档的文档内容标识,对所述DID文档进行文档内容验证。
13.根据权利要求11所述的方法,其中,所述对所述DID文档对应身份授权方进行身份验证,包括:
获取所述DID文档的生成方;
根据所述生成方和/或区块链网络中所述生成方的授权身份类别,对所述DID文档进行身份验证。
14.根据权利要求11所述的方法,其中,所述对所述DID文档进行有效期验证,包括:
根据所述DID文档中的有效期属性对应属性值,对所述DID文档进行有效期验证;和/或,
从区块链网络的智能合约中查找所述数据需求方的身份对应关系,并根据查找到的身份对应关系中与所述目标数据相关的时间最新的文档内容标识,对所述DID文档进行有效期验证。
15.一种数据授权装置,配置于身份授权方,包括:
数据授权请求获取模块,用于获取数据需求方发送的对目标数据的数据授权请求;
DID文档生成模块,用于响应于所述数据授权请求,生成包括解密数据的去中心化身份DID文档;
其中,所述解密数据,用于对存储于区块链网络的智能合约中的还原信息密文进行解密,得到还原信息明文;
所述还原信息明文,用于指示进行目标数据的获取和还原。
16.根据权利要求15所述的装置,其中,所述解密数据为解密密钥密文;所述DID文档生成模块,包括:
密钥加密密钥生成单元,用于响应于所述数据授权请求,根据自身私钥和所述数据需求方公钥,生成密钥加密密钥;
解密密钥密文得到单元,用于根据所述密钥加密密钥对解密密钥明文进行加密,得到所述解密密钥密文;
DID文档生成单元,用于生成包括所述解密密钥密文的DID文档。
17.根据权利要求15所述的装置,其中,所述装置还包括还原信息密文生成模块,用于生成还原信息密文,具体包括:
参考密钥对确定单元,用于确定参考密钥对;其中,所述参考密钥对包括参考公钥和参考私钥;
加密密钥明文生成单元,用于根据自身公钥和所述参考私钥,生成加密密钥明文;
还原信息密文生成单元,用于根据所述加密密钥明文对所述还原信息明文进行加密,得到包括所述参考公钥的所述还原信息密文。
18.根据权利要求17所述的装置,其中,所述装置还包括:
解密密钥明文生成模块,用于根据自身私钥和所述还原信息密文中的参考公钥,生成解密密钥明文;和/或,获取本地存储的所述加密密钥明文对应的解密密钥明文;
还原信息密文获取模块,用于从区块链网络的智能合约中获取还原信息密文;
还原信息明文得到模块,用于根据所述解密密钥明文对所述还原信息密文进行解密,得到还原信息明文。
19.根据权利要求15所述的装置,其中,所述装置还包括:
文档位置标识得到模块,用于将所述DID文档去中心化存储,得到所述DID文档的文档位置标识;
文档位置标识存储模块,用于将所述DID文档的文档内容标识和文档位置标识之间的身份对应关系,存储于区块链网络的智能合约中,和/或,将所述文档位置标识添加至所述DID文档中。
20.根据权利要求15-19任一项所述的装置,其中,所述目标数据的数据加密分片分布式存储于去中心化存储系统中;所述还原信息明文用于指示满足还原需求数量的数据加密分片在所述去中心化存储系统的存储位置信息,以及,所述目标数据的逆向恢复方式。
21.一种数据提取装置,配置于数据需求方,包括:
DID文档获取模块,用于获取目标数据的身份授权方所生成的去中心化身份DID文档;其中,所述DID文档基于权利要求15-20任一项所述的数据授权装置生成;
还原信息密文获取模块,用于从区块链网络的智能合约中获取目标数据的还原信息密文;
还原信息明文得到模块,用于根据所述DID文档中的解密数据,对所述还原信息密文进行解密,得到还原信息明文;
目标数据还原模块,用于根据所述还原信息明文获取并还原所述目标数据。
22.根据权利要求21所述的装置,其中,所述解密数据为解密密钥密文;所述还原信息明文得到模块,包括:
密钥解密密钥生成单元,用于根据自身私钥和所述身份授权方公钥,生成密钥解密密钥;
解密密钥明文得到单元,用于根据所述密钥解密密钥对所述解密密钥密文进行解密,得到解密密钥明文;
还原信息明文得到单元,用于根据所述解密密钥明文对所述还原信息密文进行解密,得到所述还原信息明文。
23.根据权利要求21或22所述的装置,其中,所述目标数据还原模块,包括:
数据加密分片获取单元,用于根据所述还原信息明文中数据加密分片的存储位置信息,从去中心化存储系统的各存储节点中获取满足还原需求数量的数据加密分片;
目标数据还原单元,用于根据所获取数据加密分片,采用所述还原信息明文中的逆向恢复方式,还原所述目标数据。
24.一种数据验证装置,配置于去中心化存储系统中的各存储节点,包括:
数据提取请求获取模块,用于获取数据需求方发送的数据提取请求;
DID文档验证模块,用于响应于所述数据提取请求,确定所述数据需求方所持有的去中心化身份DID文档,并对所述DID文档进行验证;其中,所述DID文档基于权利要求15-20任一项所述的数据授权装置生成;
数据反馈模块,用于若验证通过,则向所述数据需求方反馈所述DID文档的身份授权方所授权数据,用于还原所授权数据对应目标数据。
25.根据权利要求24所述的装置,其中,所述DID文档验证模块,包括下述至少一种:
文档内容验证单元,用于对所述DID文档进行文档内容验证;
身份验证单元,用于对所述DID文档的身份授权方进行身份验证;
有效期验证单元,用于对所述DID文档进行有效期验证。
26.根据权利要求25所述的装置,其中,所述文档内容验证单元,包括:
标准DID文档获取子单元,用于根据区块链网络的智能合约中所述DID文档的文档内容标识对应文档位置标识,和/或根据所述DID文档中所携带的文档位置标识,获取所述DID文档的身份授权方为所述数据需求方所颁发的标准DID文档;
文档内容验证子单元,用于根据所述标准DID文档的文档内容标识,对所述DID文档进行文档内容验证。
27.根据权利要求25所述的装置,其中,所述身份验证单元,包括:
生成方获取子单元,用于获取所述DID文档的生成方;
身份验证子单元,用于根据所述生成方和/或区块链网络中所述生成方的授权身份类别,对所述DID文档进行身份验证。
28.根据权利要求25所述的装置,其中,所述有效期验证单元,包括:
属性值验证子单元,用于根据所述DID文档中的有效期属性对应属性值,对所述DID文档进行有效期验证;和/或,
对应关系验证子单元,用于从区块链网络的智能合约中查找所述数据需求方的身份对应关系,并根据查找到的身份对应关系中与所述目标数据相关的时间最新的文档内容标识,对所述DID文档进行有效期验证。
29.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行下述权利要求所述的方法中的至少一种:权利要求1-6任一项所述的数据授权方法、权利要求7-9任一项所述的数据提取方法、以及权利要求10-14任一项所述的数据验证方法。
30.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行根据下述权利要求所述的方法中的至少一种:权利要求1-6任一项所述的数据授权方法、权利要求7-9任一项所述的数据提取方法、以及权利要求10-14任一项所述的数据验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310226363.6A CN115952527A (zh) | 2023-03-09 | 2023-03-09 | 数据授权、提取、验证方法及其装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310226363.6A CN115952527A (zh) | 2023-03-09 | 2023-03-09 | 数据授权、提取、验证方法及其装置、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115952527A true CN115952527A (zh) | 2023-04-11 |
Family
ID=87288018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310226363.6A Pending CN115952527A (zh) | 2023-03-09 | 2023-03-09 | 数据授权、提取、验证方法及其装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115952527A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210218574A1 (en) * | 2020-01-14 | 2021-07-15 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for verifying digital identity, device and storage medium |
| CN115208886A (zh) * | 2022-07-13 | 2022-10-18 | 上海柚子工道物联技术有限公司 | 基于did的数据授权方法、系统及介质 |
| CN115412568A (zh) * | 2022-08-26 | 2022-11-29 | 中国工商银行股份有限公司 | 分布式数据传输方法、装置及系统 |
-
2023
- 2023-03-09 CN CN202310226363.6A patent/CN115952527A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210218574A1 (en) * | 2020-01-14 | 2021-07-15 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for verifying digital identity, device and storage medium |
| CN115208886A (zh) * | 2022-07-13 | 2022-10-18 | 上海柚子工道物联技术有限公司 | 基于did的数据授权方法、系统及介质 |
| CN115412568A (zh) * | 2022-08-26 | 2022-11-29 | 中国工商银行股份有限公司 | 分布式数据传输方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220191012A1 (en) | Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System | |
| US11683187B2 (en) | User authentication with self-signed certificate and identity verification and migration | |
| US10601801B2 (en) | Identity authentication method and apparatus | |
| US10574648B2 (en) | Methods and systems for user authentication | |
| US10659226B2 (en) | Data encryption method, decryption method, apparatus, and system | |
| WO2015072203A1 (ja) | 情報配信システム | |
| CN109714176B (zh) | 口令认证方法、装置及存储介质 | |
| CN104618107A (zh) | 数字签名方法和系统 | |
| CN102307193A (zh) | 动态令牌的密钥更新及同步方法、系统及装置 | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| CN101964789A (zh) | 安全访问受保护资源的方法及系统 | |
| CN113836506A (zh) | 身份认证方法、装置、系统、电子设备、存储介质 | |
| CN104038336A (zh) | 一种基于3des的数据加密方法 | |
| CN115473722A (zh) | 数据加密方法、装置、电子设备及存储介质 | |
| CN115964755B (zh) | 数据授权及验证方法、装置、设备和存储介质 | |
| CN102571341B (zh) | 一种基于动态图像的认证系统及认证方法 | |
| CN115129518B (zh) | Tee内存储数据的备份和恢复方法、装置、设备及介质 | |
| CN114363094B (zh) | 一种数据分享方法、装置、设备及存储介质 | |
| CN114884714B (zh) | 任务处理方法、装置、设备及存储介质 | |
| CN102420829B (zh) | 业务数据签名的方法、装置和系统及数字认证终端 | |
| CN115600215A (zh) | 系统启动方法、系统信息处理方法、装置、设备及其介质 | |
| CN114245374B (zh) | 安全认证方法、系统和相关设备 | |
| CN115952527A (zh) | 数据授权、提取、验证方法及其装置、设备和介质 | |
| CN110740112B (zh) | 认证方法、装置和计算机可读存储介质 | |
| CN115580489B (zh) | 数据传输方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |