CN117993017A - 数据共享系统、方法、装置、计算机设备及存储介质 - Google Patents
数据共享系统、方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN117993017A CN117993017A CN202410372794.8A CN202410372794A CN117993017A CN 117993017 A CN117993017 A CN 117993017A CN 202410372794 A CN202410372794 A CN 202410372794A CN 117993017 A CN117993017 A CN 117993017A
- Authority
- CN
- China
- Prior art keywords
- data
- data sharing
- shared
- sharing agent
- abstract
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000015654 memory Effects 0.000 claims description 26
- 238000012986 modification Methods 0.000 claims description 24
- 230000004048 modification Effects 0.000 claims description 24
- 238000012216 screening Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 12
- 230000000977 initiatory effect Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 238000007726 management method Methods 0.000 description 39
- 230000005540 biological transmission Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 9
- 238000000586 desensitisation Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012546 transfer Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005284 excitation Effects 0.000 description 2
- 230000001976 improved effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000004936 stimulating effect Effects 0.000 description 1
- 230000000638 stimulation Effects 0.000 description 1
- 230000008093 supporting effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及区块链技术领域,公开了数据共享系统、方法、装置、计算机设备及存储介质,系统包括:第一数据共享代理,用于创建非对称密钥,接收数据提供端发送的待共享对象,获取待共享对象的镜像摘要声明内容,将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送给目标认证服务节点;目标认证服务节点,用于基于公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容,生成第一数据共享代理的数字身份、数字身份文档和待共享对象的镜像摘要凭证,将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链。本发明能够有效地保护共享数据以及节省区块链节点的开销。
Description
技术领域
本发明涉及区块链技术领域,具体涉及数据共享系统、方法、装置、计算机设备及存储介质。
背景技术
数据共享就是让计算机网络上的用户通过网络能够读取他人数据并进行分析与处理,它可以让一份归属于某个用户的私有数据资源被多个应用程序、用户或组织使用。
目前,通过将共享数据写入区块链的节点中实现数据共享。然而,将共享数据写入区块链的节点中,代表对所有的参与者或参与节点,该共享数据都是公开的,存在隐私泄漏及数据被滥用的风险,且将共享数据都写入区块链的节点中,使得区块链节点的开销较大。
发明内容
有鉴于此,本发明提供了一种数据共享系统、方法、装置、计算机设备及存储介质,以解决现有的数据共享方式存在隐私泄露及数据被滥用的风险,且区块链节点的开销较大的问题。
第一方面,本发明提供了一种数据共享系统,所述系统包括:
第一数据共享代理,用于创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点;
所述目标认证服务节点,用于基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链;
所述区块链,包含多个区块链节点,所述区块链节点用于存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,以使数据使用端根据所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,访问所述第一数据共享代理中的目标共享对象。
本实施例提供的数据共享系统,在数据提供端设置第一数据共享代理,第一数据共享代理将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送至目标认证服务节点,以使目标认证服务节点基于上述信息生成第一数据共享代理的数字身份文档以及待共享对象的镜像摘要凭证,并将第一数据共享代理的数字身份文档以及待共享对象的镜像摘要凭证存储至区块链。通过将数据提供端与区块链隔离开,由第一数据共享代理经由目标认证服务节点与区块链进行数据交互,且只需要将第一数据共享代理的数字身份文档与待共享对象的镜像摘要凭证存储至区块链,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险,且节省了区块链节点的开销。
在一种可选的实施方式中,所述系统包括:
数据使用端,用于基于数据要素需求信息从所述区块链上筛选目标镜像摘要凭证,从所述目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份,基于所述第一数据共享代理的数字身份从所述区块链上获取所述第一数据共享代理的数字身份文档,从所述第一数据共享代理的数字身份文档中获取所述第一数据共享代理的访问接口信息和公钥,将所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥发送至第二数据共享代理;
第二数据共享代理,用于基于所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥向所述第一数据共享代理发起数据查询请求;
第一数据共享代理,还用于响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,将所述目标共享对象发送给所述第二数据共享代理;
所述第二数据共享代理,用于接收所述目标共享对象,将所述目标共享对象发送给所述数据使用端。
本实施例提供的数据共享系统,数据使用端在区块链上获取目标镜像摘要凭证,进而根据目标镜像摘要凭证获取第一数据共享代理的访问接口信息和公钥,通过第二数据共享代理基于目标镜像摘要凭证、第一数据共享代理的访问接口信息和公钥向第一数据共享代理发起数据查询请求,进而获取目标共享对象。数据使用端可以获取目标共享对象,但无法直接访问目标共享对象,极大降低了数据被滥用的风险,且数据使用端与数据提供端的所有操作都通过其对应的数据共享代理实现,进一步保证了共享数据的隐私安全性。
在一种可选的实施方式中,所述数据使用端,用于:
获取所述区块链上的镜像摘要凭证的状态信息,基于所述区块链上的镜像摘要凭证的状态信息和所述数据要素需求信息从所述区块链上筛选目标镜像摘要凭证。
本实施例提供的数据共享系统,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险,且节省了区块链节点的开销。
在一种可选的实施方式中,所述数据使用端,还用于:
在接收所述目标共享对象后,通过预先部署在区块链上的数据共享服务智能合约提供的激励接口,对所述目标共享对象的数据提供端进行激励。
本实施例提供的数据共享系统,通过数据共享服务智能合约实现了对数据共享的数据提供端的激励,既保障了数据提供方的权益,也激发了数据提供方的积极性。
在一种可选的实施方式中,所述第一数据共享代理与所述数据提供端对应的区块链节点连接,所述第一数据共享代理,用于:
通过预先部署在所述区块链上的数据隐私保护智能合约提供的接口获取若干个隐私保护策略;
若任一所述隐私保护策略满足预设隐私保护要求,则将该隐私保护策略确定为所述待共享对象的目标隐私保护策略;
若各所述隐私保护策略均不满足所述预设隐私保护要求,则通过预先部署在所述区块链上的数据隐私保护智能合约提供的接口,在所述区块链上创建满足所述预设隐私保护要求的新增隐私保护策略,并将该新增隐私保护策略作为所述待共享对象的目标隐私保护策略;
所述第一数据共享代理,用于:
响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,基于所述目标共享对象对应的目标隐私保护策略对所述目标共享对象进行隐私保护处理,得到待使用共享对象,将待使用共享对象发送给第二数据共享代理;
所述第二数据共享代理,用于:
接收待使用共享对象,将待使用共享对象发送给所述数据使用端。
本实施例提供的数据共享系统,通过预先部署在区块链上的数据隐私保护智能合约以及预设隐私保护要求对待共享对象进行隐私保护处理,确保共享数据以预先要求的方式被共享,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险。
在一种可选的实施方式中,所述第一数据共享代理,还用于:
将所述待共享对象放入数据库镜像管理队列,将所述待共享对象的镜像摘要凭证放入镜像摘要凭证管理队列;
所述第一数据共享代理包括数据库镜像管理模块和镜像摘要凭证管理模块;
所述数据库镜像管理模块,用于管理所述数据库镜像管理队列;
所述镜像摘要凭证管理模块,用于管理所述镜像摘要凭证管理队列。
本实施例提供的数据共享系统,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险。
在一种可选的实施方式中,所述第一数据共享代理,用于:
获取所述第一数据共享代理与分布式数字身份与可验证凭证服务集群中的各个服务节点之间的回路时间延迟,将与所述第一数据共享代理之间的回路时间延迟最短的服务节点作为所述目标认证服务节点。
本实施例提供的数据共享系统,通过分布式数字身份与可验证凭证服务集群中的服务节点为数据共享双方提供数字身份服务与可验证凭证服务,可以支持灵活的数据提供端访问接口,提供分布式的凭证服务,而且该凭证可以与第三方平台进行可信交互,支持跨平台数据交互,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险。
在一种可选的实施方式中,所述目标认证服务节点,用于:
基于所述非对称密钥中的公钥和第一数据共享代理的访问接口信息生成所述第一数据共享代理的数字身份以及数据身份文档;
所述第一数据共享代理,还用于:
接收所述第一数据共享代理的数字身份,利用所述第一数据共享代理的数字身份从所述目标认证服务节点获取镜像摘要凭证模板,按照所述镜像摘要凭证模板填充所述待共享对象的镜像摘要声明内容,得到目标镜像摘要数据,将所述目标镜像摘要数据发送给所述目标认证服务节点,以使所述目标认证服务节点基于所述目标镜像摘要数据,签发所述待共享对象的镜像摘要凭证。
本实施例提供的数据共享系统,通过分布式数字身份与可验证凭证服务集群中的服务节点为数据共享双方提供数字身份服务与可验证凭证服务,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险。
在一种可选的实施方式中,所述目标认证服务节点,用于:
通过预先部署在所述区块链上的身份与凭证上链智能合约将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至所述区块链。
本实施例提供的数据共享系统,通过身份与凭证上链智能合约将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险。
在一种可选的实施方式中,所述第一数据共享代理,还用于:
响应于所述数据提供端的待共享对象的更新请求,对已接收的待共享对象进行相应的更新。
本实施例提供的数据共享系统,通过在接收到数据提供端的待共享对象的更新请求后,将对已接收的待共享对象进行相应的更新,以确保数据的准确性和一致性。
在一种可选的实施方式中,所述第一数据共享代理,还用于:
响应于所述数据提供端的镜像摘要凭证状态修改请求,对镜像摘要凭证管理队列中的镜像摘要凭证进行相应的状态修改。
本实施例提供的数据共享系统,通过在接收到数据提供端的待共享对象的镜像摘要凭证状态修改请求后,第一数据共享代理对镜像摘要凭证管理队列中的镜像摘要凭证进行相应的状态修改,以确保数据的准确性和一致性。
在一种可选的实施方式中,所述区块链,还用于:
响应于所述数据提供端的镜像摘要凭证状态修改请求,对已存储的镜像摘要凭证进行相应的状态修改。
本实施例提供的数据共享系统,通过在接收到数据提供端的待共享对象的镜像摘要凭证状态修改请求后,区块链对已存储的镜像摘要凭证进行相应的状态修改,以确保数据的准确性和一致性。
在一种可选的实施方式中,所述第一数据共享代理,还用于:
接收所述数据提供端发送的待共享对象的摘要信息;
基于所述待共享对象的摘要信息,确定所述待共享对象的镜像摘要声明内容。
本实施例提供的数据共享系统,数据提供端将待共享对象的摘要信息发送给第一数据共享代理,第一数据共享代理基于待共享对象的摘要信息确定待共享对象的镜像摘要声明内容,能够有效的保护待共享数据。
第二方面,本发明提供了一种数据共享方法,应用于数据提供端,所述方法包括:
利用第一数据共享代理创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链;
其中,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,以使数据使用端根据所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,访问所述第一数据共享代理中的目标共享对象。
第三方面,本发明提供了一种数据共享方法,应用于数据使用端,所述方法包括:
基于数据要素需求信息从区块链上筛选目标镜像摘要凭证;
从所述目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份;
基于所述第一数据共享代理的数字身份从所述区块链上获取所述第一数据共享代理的数字身份文档;
从所述第一数据共享代理的数字身份文档中获取所述第一数据共享代理的访问接口信息和公钥;其中,所述第一数据共享代理用于创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档;
利用第二数据共享代理基于所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥向所述第一数据共享代理发起数据查询请求,以使所述第一数据共享代理响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,将所述目标共享对象发送给所述数据使用端;
接收所述目标共享对象。
第四方面,本发明提供了一种数据共享装置,应用于数据提供端,所述装置包括:
密钥创建模块,用于利用第一数据共享代理创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链;
其中,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,以使数据使用端根据所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,访问所述第一数据共享代理中的目标共享对象。
第五方面,本发明提供了一种数据共享装置,应用于数据使用端,所述装置包括:
目标镜像摘要凭证筛选模块,用于基于数据要素需求信息从区块链上筛选目标镜像摘要凭证;
数字身份获取模块,用于从所述目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份;
数字身份文档获取模块,用于基于所述第一数据共享代理的数字身份从所述区块链上获取所述第一数据共享代理的数字身份文档;
访问接口信息和公钥获取模块,用于从所述第一数据共享代理的数字身份文档中获取所述第一数据共享代理的访问接口信息和公钥;其中,所述第一数据共享代理用于创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档;
目标共享对象获取模块,用于利用第二数据共享代理基于所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥向所述第一数据共享代理发起数据查询请求,以使所述第一数据共享代理响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,将所述目标共享对象发送给所述数据使用端;
目标共享对象接收模块,用于接收所述目标共享对象。
第六方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第二方面的数据共享方法或上述第三方面的数据共享方法。
第七方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第二方面的数据共享方法或上述第三方面的数据共享方法。
第八方面,本发明提供了一种计算机程序产品,包括计算机指令,计算机指令用于使计算机执行上述第二方面的数据共享方法或上述第三方面的数据共享方法。
附图说明
为了更清楚地说明本发明具体实施方式或相关技术中的技术方案,下面将对具体实施方式或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的数据共享系统的示意图;
图2是根据本发明实施例的另一数据共享系统的示意图;
图3是根据本发明实施例的数据共享方法的流程示意图;
图4是根据本发明实施例的另一数据共享方法的流程示意图;
图5是根据本发明实施例的另一数据共享方法的流程示意图;
图6是根据本发明实施例的数据共享装置的结构框图;
图7是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
数据共享从数据归属角度来说,可以将用户分为数据提供方和数据使用方。在信息化社会,数据被视为一种资源和资产,数据共享可以为用户创造更高的价值,不仅数据提供方可以获得收益,数据使用方也可以从数据中挖掘价值;同时数据共享可以打破数据孤岛并有助于改进分析,从而优化数据驱动型决策。从社会影响上看,数据共享可以有助于创造新的合作机会,促进数字经济和共享经济的发展。例如,卫生及医疗数据共享可以极大地促进医学研究的发展。
目前,数据共享的方式包括但不限于:数据文件传输、电子邮件、数据库、数据共享云服务以及区块链方式。以下对几种数据共享的方式进行说明。
数据文件传输:数据文件传输是把数据写入一个文件,并通过文件传输协议(如FTP、SCP、HTTP、HTTPS等)在两个系统或应用程序之间传输数据。这种方式可以是端到端的直连传输,也可以先由数据提供方把数据文件上传到一个中间节点,再通过中间节点下载数据文件到数据使用方。
电子邮件:数据提供方可以通过电子邮件以附件的形式把数据发送到数据使用方提供的电子邮箱地址。为了更高的传输效率,数据文件通常被压缩成一个压缩包作为邮件附件,因此带来了压缩开销。如果数据不压缩,则网络传输量会明显比压缩包大,也带来更大的传输延迟。
数据库:应用程序通过数据库访问接口(如: ODBC、JDBC、ADO.NET 和 PDO)可以访问远端数据库的数据,通过这些接口,可以执行SQL(Structured Query Language,结构化查询语言)语句,查询符合条件的数据,甚至对远端数据库进行修改、写入、删除等操作。分布式数据库(如:HBase、Cassandra、MongoDB)继承了传统单机数据库的核心特性,不同之处在于它的数据分布在不同的数据库节点中存储。这些数据库节点运行在不同的机器上,其中,不同的机器支持不同的操作系统。这些数据库节点由不同的数据库管理系统进行管理且每个数据库节点具有独立处理的能力,并通过网络连接在一起构成一个全局系统,对用户或应用程序提供透明的操作,例如记录的查询、写入、删除等。
数据共享云服务:这种方式一般是基于互联网的文件共享或存储共享,数据提供方把数据上传到云端后,然后可以在任何位置通过共享应用服务(例如 Drop Box、GoogleDrive、MS One Drive)访问云上的数据,它可以实现一个团队内部的数据云共享,如:使用MS One Drive可以实现团队成员在云上存储或共享文件,以及在不同设备间同步备份数据。
区块链方式:区块链是由一组分布式节点构成的分布式数据存储系统,它的每个节点上都存储着一份账本副本。对账本数据的任何一次写入或修改,都会被同步到所有节点上,因此,它允许在不同节点间透明地共享信息。区块链账本是由一系列区块构成的一个链表,一个区块包含多个交易数据,区块之间按照创建时间先后链接成一个链条。后一区块头包含前一区块的哈希,因此历史区块的数据一旦被篡改则会破坏哈希校验关系。而且修改一个节点上的账本数据,需要通过共识机制,只有通过网络共识后所有节点上的对应数据才会被一起修改即写入末尾的新区块中,修改记录可以被追溯。
其中,数据文件传输方式或电子邮件方式,需要把数据文件从数据提供方传输到数据使用方,这带来了不小的网络传输开销,数据使用方需要的数据可能只是其中很小的一部分。而且一旦共享,数据可能被滥用或分发给未知的第三方,完全不受数据提供方控制,数据所有权无法被保护,存在巨大的数据隐私安全风险。
数据库方式可以提供SQL语句查询所需数据,但存在极大的数据安全风险,一旦被恶意攻击者获得访问密钥,则数据完全暴露,可能造成灾难性后果。另外,数据共享过程中没有形成共享激励,极大地抑制了数据提供方的共享积极性。
数据共享云服务方式可以为团队内部提供高效便捷的数据共享服务,但并不适用于跨组织、跨授权边界的共享场景。另外一方面,这种共享方式也没有激励方法,无法提高数据提供方的积极性。
区块链方式可以为参与节点提供透明的数据共享,但是如果把共享数据都写入账本的区块中,则会带来巨大的链上存储开销,因为每个节点都需要存储一份。另外共享数据一旦上链,则对所有参与者或参与节点都是公开的,存在隐私泄露及数据被滥用的风险。最后,这种简单地把数据全部通过区块链共享的方式,也缺少共享激励机制。
可见,相关技术中,数据共享主要存在以下两个问题:
隐私泄露:每个数据提供方都有保护本方系统客户的数据隐私的法律和道德义务,在共享数据时,需要采取适当的措施对敏感数据进行屏蔽,避免客户的隐私数据泄露。
激励机制:数据共享中没有设置激励机制,无法提高数据提供方的积极性。
为了解决以上两个问题,本发明实施例提供了一种数据共享系统,通过将数据提供端与区块链隔离开,由第一数据共享代理经由目标认证服务节点与区块链进行数据交互,且只需要将第一数据共享代理的数字身份文档与待共享对象的镜像摘要凭证存储至区块链,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险,且节省了区块链节点的开销。
根据本发明实施例,提供了一种数据共享系统实施例。图1是根据本发明实施例的数据共享系统的示意图。如图1所示,系统包括:
数据提供端101,用于从数据提供端的数据库中获取待共享对象,将待共享对象发送给第一数据共享代理。
其中,数据提供方选取一个数据库实例作为待共享对象。图2是根据本发明实施例的数据共享系统的示意图。如图2所示,数据提供方可以通过数据提供端将待共享对象发送给第一数据共享代理。如图1所示,数据共享系统可以包括多个数据提供端(如数据提供端A、数据提供端N),对于任一数据提供端,该数据提供端拥有归属于其的数据库(如数据库A、数据库N)以及其对应的第一数据共享代理(如第一数据共享代理-A、第一数据共享代理-N)。每个数据提供方可以通过一个数据提供端将待共享对象发送给第一数据共享代理,也可以通过多个数据提供端将待共享对象发送给第一数据共享代理。
数据提供方是指生产或收集数据,并提供数据将进行共享的各类相关主体,如提供医疗数据的医院。
数据库是用来组织、存储和管理数据的仓库,它通常采用数据库软件对外提供数据的增、删、改、查等服务。其中,数据库软件可以是MySQL、PostgreSQL、MongoDB等。一个数据库可以同时创建、管理并维护多个数据库实例,每个数据库实例包含一个或多个数据表,一个数据表的结构由一组数据元素即数据表的列构成,每个数据表可以插入多条数据记录即数据表的行。
其中,待共享对象为数据库中待共享的数据库实例。
第一数据共享代理102,用于创建非对称密钥,接收数据提供端发送的待共享对象,获取待共享对象的镜像摘要声明内容,将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送给目标认证服务节点。
其中,第一数据共享代理部署在数据提供端,为数据提供端提供数据共享的一系列处理功能。需要说明的是,每个数据提供方的数据提供端对应一个第一数据共享代理。
具体地,如图2所示,第一数据共享代理包括数据收发、数据脱敏、数据加解密、数据查询、私钥管理、数据库镜像管理、镜像摘要凭证管理、隐私策略控制等功能。
其中,数据收发:提供数据共享代理与DID&VC(Decentralized Identifier&Verifiable Credential,分布式数字身份与可验证凭证)服务节点、数据提供端的数据库系统及区块链节点之间的数据收发、消息解析等服务。
隐私策略控制:提供从区块链节点获取可用的即已添加的隐私保护策略,或添加新隐私保护策略等处理功能。
数据脱敏:也称数据的去隐私化,它是对数据中的敏感信息,比如:身份证号、手机号、卡号、客户姓名、地址、邮箱等等进行屏蔽,具体的屏蔽处理可以根据脱敏规则进行数据的变形,其中,脱敏规则可以包括删除,转换,替换,加密等,从而防止敏感数据泄露。
在本实施例中,数据脱敏为根据隐私保护策略要求,对共享数据中的敏感数据进行屏蔽处理例如删除、替换、加密等。
数据加解密:数据提供端利用非对称加密技术,基于数据使用方的公钥对共享数据进行加密处理,数据使用方使用私钥对加密的共享数据进行解密处理。
其中,非对称加密技术是指通信双方各自准备一对公钥和私钥,其中公钥是公开的,由信息接受方提供给信息发送方。通常情况下,公钥是用来对信息进行加密,而私钥由创建者(一般是信息接受方)保留并用来解密以公钥加密的数据。
本实施例中第一数据共享代理可以创建一对非对称密钥,也可以创建多对非对称密钥。需要说明的是,具体使用哪对非对称密钥由数据提供方决定。
私钥管理:创建DID身份时,创建一对公钥和私钥,公钥提交到DID&VC服务集群中的服务节点,私钥保存在本地,允许一个数据共享代理创建多个DID身份。
数据查询:作为数据使用方的数据共享代理,为数据使用方提供查询远端共享数据的接口及服务。另外,作为数据提供方的数据共享代理,执行来自远端即数据使用方的查询请求,并从本地指定的共享数据库中获取查询结果。
数据库镜像管理:对共享的数据库实例进行管理,可以添加一个新的共享数据库实例,或删除一个已共享的数据库实例等。
镜像摘要凭证管理:对数据库镜像摘要凭证进行管理,可以创建一个新的镜像摘要凭证,或修改镜像摘要凭证状态,例如,修改镜像摘要凭证的共享状态为正常、结束、异常等。
第一数据共享代理102为待共享对象创建非对称密钥后,将非对称密钥中的私钥保存在本地,将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送给目标认证服务节点。其中,待共享对象的镜像摘要声明内容包括:待共享对象所在数据库名称、待共享对象包含哪些数据表、各个数据表的结构及记录数量等。
需要说明的是,第一数据共享代理通过满足REST(Representational StateTransfer,表述性状态转移)架构风格的接口RESTful API与一个DID&VC服务节点进行交互,进行的交互可以是:注册数字身份、创建镜像摘要凭证模板、创建镜像摘要凭证等。其中,DID&VC服务节点用于提供DID(Decentralized Identifier,分布式数字身份)服务和VC(Verifiable Credential,可验证凭证)服务。
DID服务主要提供实体DID注册、身份验证以及身份查询与更新等服务。
VC服务主要提供凭证模板服务以及凭证服务。其中凭证模板服务包括凭证模板的注册、更新、查询等服务,凭证服务包括凭证签发与验证、支持选择性披露的可验证表达的签发与验证等服务。
目标认证服务节点103,用于基于非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容,生成第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证,并将第一数据共享代理的数字身份以及待共享对象的镜像摘要凭证发送给第一数据共享代理,将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链。
其中,第一数据共享代理的数字身份文档包括:非对称密钥中的公钥、第一数据共享代理的访问接口信息以及第一数据共享代理的数字身份。
待共享对象的镜像摘要凭证包括:待共享对象所在数据库名称、待共享对象包含哪些数据表、各个数据表的结构及记录数量、第一数据共享代理的数字身份等。
第一数据共享代理的访问接口信息可以包括:第一数据共享代理的访问接口以及第一数据共享代理的访问地址等。
数据共享代理的访问接口可以根据具体需求定制,例如,(1)可以在数据共享代理上实现一个对外直接数据传输的服务模块,如基于消息发布订阅机制来实现、或基于消息队列机制实现,那么要求数据共享代理的访问地址及接口可以被外网主机访问。(2)也可以实现一个由对接的区块链节点中转的数据传输服务模块,如基于开源联盟链FISCO BCOS提供的链上信使协议(Advanced Messages Onchain Protocol,AMOP),这种方式无需暴露数据共享代理的访问地址,但需要对接的区块链节点支持AMOP或类似的消息机制。
区块链104,包含多个区块链节点,区块链节点用于存储该数据提供端的待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档,以使数据使用端根据待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档,访问第一数据共享代理中的目标共享对象。
其中,区块链本质上是一种分布式数据存储系统,具有去中心化、去第三方信任、数据公开透明、不可篡改及可追溯等特点。去中心化,表现在区块链网络由一组分布式节点构成,各节点角色对等,无中心节点或特权节点,每个节点都保存着一份账本副本。去第三方信任,是因为与传统信息系统依靠中心化的权威机构背书不同,区块链依靠密码学算法和共识机制来背书,因此区块链数据具有很高的可信度。数据公开透明,因为链上的数据对所有参与者公开,任何参与者都可通过公开的接口查询链上数据,因此数据高度透明。不可篡改,是因为数据一旦写入,比如通过智能合约定义的接口写入,会被永久保存,且无法被删除或篡改。可追溯,是因为对区块链上任何一交易数据的写入或修改操作,都可以被追溯。因此,区块链是分布式数据存储、点对点传输、共识机制、智能合约、加密算法等计算机技术的新型应用模式。
在本实施例中,一个区块链节点一般部署在一个数据提供方所在网络,作为该数据提供方的参与节点,并通常由该数据提供方负责管理与维护。目前公有链在国内存在合规性问题,因此行业普遍使用联盟链技术。
以下举例说明区块链节点网络的构建过程:本实施例中使用开源联盟链FISCOBCOS技术构建区块链节点网络,使用开源组件WeBASE作为区块链数据管理组件。首先参考FISCO BCOS完成区块链节点网络的安装和部署,然后部署WeBASE组件,下一步将设计实现的智能合约程序通过WeBASE提供的可视化界面完成智能合约的编译及部署,最后应用程序如本实施例中的第一数据共享代理或第二数据共享代理可通过WeBASE提供的智能合约调用接口完成与区块链账本的数据交互。
数据使用方可以通过数据使用端根据待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档,访问第一数据共享代理中的目标共享对象。
数据使用方是指通过数据共享获取或使用共享数据的各类主体。数据提供方和数据使用方应当遵循国家相关政策要求开展数据共享工作,合理合法地提供或使用共享数据。在本实施例的数据共享系统中,数据提供方同时也可以是使用其它实体共享数据的数据使用方。
当然,在实际应用场景下,也存在单纯的数据使用方即不提供共享数据,只使用他人数据的用户。这种单纯的数据使用方的数据共享代理比较简单,其功能是数据提供方的一个子集,主要包含数据收发、数据加解密、数据查询、私钥管理等。
本实施例提供的数据共享系统,在数据提供端设置第一数据共享代理,第一数据共享代理将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送至目标认证服务节点,以使目标认证服务节点基于上述信息生成第一数据共享代理的数字身份文档以及待共享对象的镜像摘要凭证,并将第一数据共享代理的数字身份文档以及待共享对象的镜像摘要凭证存储至区块链。通过将数据提供端与区块链隔离开,由第一数据共享代理经由目标认证服务节点与区块链进行数据交互,且只需要将第一数据共享代理的数字身份文档与待共享对象的镜像摘要凭证存储至区块链,能够有效的保护共享数据,降低共享数据泄露以及被滥用的风险,且节省了区块链节点的开销。
采用区块链作为数据共享的网络,为每个数据提供方创建一个区块链节点,并由该数据提供方负责维护和管控,确保数据资源在数据提供方控制之下。
数据共享代理充当数据提供方的“守门员”,既可以把本地数据库与区块链隔离开,更好地保护共享的数据资源,也可以按照隐私保护策略定义的规则自动地为远端数据使用方提供查询结果。
在一些可选的实施方式中,数据共享系统还包括:
数据使用端,用于基于数据要素需求信息从区块链上筛选目标镜像摘要凭证,从目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份,基于第一数据共享代理的数字身份从区块链上获取第一数据共享代理的数字身份文档,从第一数据共享代理的数字身份文档中获取第一数据共享代理的访问接口信息和公钥,将目标镜像摘要凭证、第一数据共享代理的访问接口信息和公钥发送至第二数据共享代理。
其中,数据使用方想要获取共享数据时,通过数据使用端基于数据要素需求信息从区块链上筛选目标镜像摘要凭证。其中,数据要素需求信息可以是想要获取的共享数据相关的查询字段等等。
第二数据共享代理,用于基于目标镜像摘要凭证、第一数据共享代理的访问接口信息和公钥向第一数据共享代理发起数据查询请求。
需要说明的是,第二数据共享代理也可以通过非对称加密技术,创建一对非对称密钥,利用第一数据共享代理创建的公钥将第二数据共享代理创建的公钥、目标镜像摘要凭证进行加密处理,获得数据查询数据,并通过第一数据共享代理的访问接口信息向第一数据共享代理发起数据查询请求,其中,该数据查询请求中包含有数据查询数据。
在具体的实现中,如果数据提供端支持SQL,该数据查询请求可以直接包含查询SQL语句。如果数据提供端不支持SQL,则可定义查询接口及参数。
第一数据共享代理102,还用于响应于数据查询请求,执行数据查询操作,获得目标共享对象,将目标共享对象发送给第二数据共享代理。
第一数据共享代理通过获取的数据查询请求中的目标镜像摘要凭证,确定目标共享对象,在数据提供端的数据库中获取目标共享对象,将目标共享对象发送给第二数据共享代理。
具体地,第一数据共享代理通过存储在本地的私钥对数据查询数据进行解密,获得其中的目标镜像摘要凭证。
第二数据共享代理,用于接收目标共享对象,将目标共享对象发送给数据使用端。
其中,数据使用端接收目标共享对象,至此,完成数据共享。
本实施例提供的数据共享系统,数据使用端在区块链上获取目标镜像摘要凭证,进而根据目标镜像摘要凭证获取第一数据共享代理的访问接口信息和公钥,通过第二数据共享代理基于目标镜像摘要凭证、第一数据共享代理的访问接口信息和公钥向第一数据共享代理发起数据查询请求,进而获取目标共享对象。数据使用端可以获取目标共享对象,但无法直接访问目标共享对象,极大降低了数据被滥用的风险,且数据使用端与数据提供端的所有操作都通过其对应的数据共享代理实现,进一步保证了共享数据的隐私安全性。
可以理解的是,数据共享方式与传统分布式存储系统(如分布式数据库)不同,数据使用方虽然可以使用共享数据,但无法直接访问,极大降低了数据被滥用的风险。另外,数据使用方和数据提供方的所有操作都要通过关联的数据共享代理完成,例如数据使用方通过关联的数据共享代理完成对远端共享数据的查询,而提供方的数据共享代理会按照隐私保护策略屏蔽隐私数据后再返回查询结果。
在一些可选的实施方式中,数据使用端,用于:
获取区块链上的镜像摘要凭证的状态信息,基于区块链上的镜像摘要凭证的状态信息和数据要素需求信息从区块链上筛选目标镜像摘要凭证。
其中,镜像摘要凭证的状态信息可以是正常、结束、异常等。获取区块链上的镜像摘要凭证的状态信息为正常的镜像摘要凭证,也即获取区块链上可用的镜像摘要凭证,基于数据要素需求信息在区块链上可用的镜像摘要凭证中筛选目标镜像摘要凭证,该目标镜像摘要凭证为区块链上可用的镜像摘要凭证中符合数据要素需求的镜像摘要凭证。
其中,第一数据共享代理与一个区块链节点连接,该区块链节点称为接入节点,通过预先设计实现并部署的一组智能合约提供的接口与接入节点进行数据交互。智能合约包括:数据共享服务智能合约和数据隐私保护智能合约。其中,预先部署的智能合约由数据提供方要求的方式被部署,使得待共享对象能够以数据提供方要求的方式被共享,有效地保护隐私数据。
本实施例提供的数据共享系统实现了基于智能合约的隐私保护策略管理。
数据使用端从区块链上获取可用的镜像摘要凭证的操作可以通过第一数据共享代理基于预先部署在区块链上的数据共享服务智能合约提供的接口来完成。
其中,数据共享服务智能合约包括以下接口:
CreateAccount创建账户接口:数据提供端通过对应的第一数据共享代理调用该接口创建收益账户,参数包含第一数据共享代理的数字身份,收益值初始化为0。
GetAvailableImage镜像摘要凭证获取接口:获取已上链的镜像摘要凭证,并从镜像摘要凭证的声明内容中读取镜像摘要信息,参数可以为空。
Inspire激励接口:对某个数据提供方进行激励,参数包括镜像摘要凭证对应的凭证DID,其中,每个镜像摘要凭证使用一个凭证DID作为唯一标识。智能合约程序会给对应的数据提供端的收益账户增加一个激励值。例如:激励值可定义为一个变量值,可通过智能合约接口参数传入。
在一些可选的实施方式中,数据使用端,还用于:
在接收目标共享对象后,通过预先部署在区块链上的数据共享服务智能合约提供的激励接口,对目标共享对象的数据提供端进行激励。
可以理解的是,数据使用端可以根据数据使用方的需求来确定是否需要对目标共享对象的数据提供方进行激励。若需要对目标共享对象的数据提供方进行激励,则通过调用预先部署在区块链上的数据共享服务智能合约提供的激励接口,对目标共享对象的数据提供方进行激励。
本实施例提供的数据共享系统,通过数据共享服务智能合约实现了对数据共享的数据提供端的激励,既保障了数据提供方的权益,也激发了数据提供方的积极性。
在一些可选的实施方式中,第一数据共享代理与数据提供端对应的区块链节点连接,第一数据共享代理102,用于:
通过预先部署在区块链上的数据隐私保护智能合约提供的接口获取若干个隐私保护策略。
具体地,通过预先部署在区块链上的数据隐私保护智能合约提供的接口获取数据提供方预先添加的可用的隐私保护策略。
若任一隐私保护策略满足预设隐私保护要求,则将该隐私保护策略确定为待共享对象的目标隐私保护策略。
若各隐私保护策略均不满足预设隐私保护要求,则通过预先部署在区块链上的数据隐私保护智能合约提供的接口,在区块链上创建满足预设隐私保护要求的新增隐私保护策略,并将该新增隐私保护策略作为待共享对象的目标隐私保护策略。
其中,预设隐私保护要求由数据提供方根据实际情况进行制定。
第一数据共享代理102,用于:
响应于数据查询请求,执行数据查询操作,获得目标共享对象,基于目标共享对象对应的目标隐私保护策略对目标共享对象进行隐私保护处理,得到待使用共享对象,将待使用共享对象发送给第二数据共享代理。
第二数据共享代理,用于:
接收待使用共享对象,将待使用共享对象发送给数据使用端。
其中,数据提供方通过第一数据共享代理为待共享对象设置隐私保护策略。隐私保护策略是通过数据隐私保护智能合约来管理和维护的,第一数据共享代理通过数据隐私保护智能合约定义的接口来读写区块链上的隐私保护策略。智能合约程序需要预先设计实现,并通过智能合约部署接口将之部署到区块链上。不同的区块链实现技术,对应的智能合约部署的操作各不相同,例如在开源联盟链FISCO BCOS上,通过开源组件WeBASE提供的智能合约管理功能实现智能合约的可视化编译与部署。而在另一种开源联盟链HyperLedgerFabric上,通过开源项目提供的命令行脚本完成对链码(包含智能合约的程序)的编译与部署。
其中,数据隐私保护智能合约包括以下接口:
Init初始化接口:初始化智能合约关键参数,可以对隐私保护定义不同的严格程度指标,例如可以定义如下指标:
可使用:共享的数据可以供数据使用方分析使用,但未必可见。
使用方可见:数据使用方可以获取共享的数据。
要脱敏:共享数据在发送给使用方之前需要进行脱敏处理。
加密传输:共享数据在发送给使用方之前需要进行加密。
GetAvaiablePolicy获取策略接口:获取已存在的隐私保护策略(即以上指标的一个组合)。
AddPolicy添加策略接口:添加一种新的隐私策略,包含策略名称,策略ID(IDentity,身份标识号码),指标组合等信息,每个隐私保护策略可以通过策略名称或策略ID进行标识。
第一数据共享代理通过数据隐私保护智能合约提供的接口从区块链上获取已存在的隐私保护策略,并根据实际需要添加新隐私保护策略,为待共享对象指定一个隐私保护策略。
数据提供端的第一数据共享代理根据该目标共享对象对应的目标隐私保护策略对目标共享对象进行隐私保护处理。示例性地,如果目标共享对象的目标隐私保护策略是“可使用且使用方不可见”,则目标共享对象将只提供满足条件的数量而不能提供具体的数据内容。如果目标隐私保护策略是“可使用、使用方可见、要脱敏、加密传输”,则目标共享对象首先需要经过脱敏处理,去除敏感数据(如姓名、住址、联系电话等),再基于数据使用端提供的公钥对脱敏处理后的目标共享对象进行加密处理,获得待使用共享对象,将待使用共享对象发送给第二数据共享代理。
需要说明的是,数据使用端提供的公钥即数据使用端在进行数据查询时通过第二数据共享代理创建的公钥,第二数据共享代理将进行数据查询时创建的私钥保存在本地,该公钥可以从数据查询数据中获取,也可以从区块链上存储的数据使用端对应的第二数据共享代理的数字身份文档中进行获取。
第二数据共享代理在接收到待使用共享对象后,利用保存在本地的私钥对待使用共享对象进行解密,获得解密后的待使用共享对象,将解密后的待使用共享对象发送给数据使用端。
在一些可选的实施方式中,第一数据共享代理102,还用于:
将待共享对象放入数据库镜像管理队列,将待共享对象的镜像摘要凭证放入镜像摘要凭证管理队列。
第一数据共享代理包括数据库镜像管理模块和镜像摘要凭证管理模块。
数据库镜像管理模块,用于管理数据库镜像管理队列。
镜像摘要凭证管理模块,用于管理镜像摘要凭证管理队列。
在一些可选的实施方式中,第一数据共享代理102,用于:
获取第一数据共享代理与分布式数字身份与可验证凭证服务集群中的各个服务节点之间的回路时间延迟,将与第一数据共享代理之间的回路时间延迟最短的服务节点作为目标认证服务节点。
随着数字经济的发展,越来越多的事务处理依赖数字身份及数字凭证。物理身份无法满足在线使用的要求,因为物理文档的数字副本很容易伪造,而且合法性难以进行远程验证。传统的物理凭证及其电子化凭证无法有效应对高频请求、海量数据、隐私安全和不断出现的新型数字化场景的挑战。为了解决这些挑战,分布式数字身份技术与可验证凭证技术被提出并得到快速发展。分布式数字身份标识与可验证凭证相关的标准,包括:(1)分布式数字身份DID,是一种全局唯一的数字身份标识符,具有分布式、可解析性及可验证性。与传统标识符的区别是数据自主存储而不是集中托管,标识自生成、自分配、自管理而不是统一分配,数据真实性由加密算法背书而不是由权威机构背书。(2)可验证凭证VC,是权威实体为另一个实体的某些属性做背书而发出的描述性声明,并附加自己的数字签名;VC规范定义了可验证凭证的数据格式,形成数据跨域跨机构交互的一种标准。
分布式数字身份与可验证凭证服务集群由一组DID&VC服务节点(简称服务节点)构成,每个服务节点都是对等的,第一数据共享代理可以访问指定服务节点即由用户配置的一个服务节点,也可通过获取可用服务节点列表如可用服务节点信息登记到区块链,第一数据共享代理通过区块链节点获取该可用服务节点列表,根据第一数据共享代理与该可用服务节点列表中各个服务节点之间的回路时间延迟(RTT,Round-Trip Time)选取一个最佳服务节点即与第一数据共享代理之间的回路时间延迟最短的服务节点。
在一些可选的实施方式中,目标认证服务节点103,用于:
基于非对称密钥中的公钥和第一数据共享代理的访问接口信息生成第一数据共享代理的数字身份以及数据身份文档;
第一数据共享代理,还用于:
接收第一数据共享代理的数字身份,利用第一数据共享代理的数字身份从目标认证服务节点获取镜像摘要凭证模板,按照镜像摘要凭证模板填充待共享对象的镜像摘要声明内容,得到目标镜像摘要数据,将目标镜像摘要数据发送给目标认证服务节点,以使目标认证服务节点基于目标镜像摘要数据,签发待共享对象的镜像摘要凭证。
每个数据共享代理都需要向DID&VC服务节点注册数字身份即DID,注册DID时,数据共享代理要在本地创建一对非对称密钥,私钥保存在本地,并提供数据共享代理的访问接口信息及公钥用于注册DID,这些信息将被写入对应的DID文档中(在链上保存)。注册完DID后,数据共享代理可以从服务节点获取镜像摘要凭证模板,也可以根据需要创建新的镜像摘要凭证模板。假设使用现有模板,可以依据现有模板要求填写镜像摘要凭证的声明内容。具体地,镜像摘要凭证的声明内容可以包括:待共享对象所在数据库名称、待共享对象包含哪些数据表、各个数据表的结构及记录数量、第一数据共享代理的数字身份、隐私保护策略ID、共享状态即镜像摘要凭证的状态信息等,然后提交创建凭证申请。
DID&VC服务节点根据创建凭证申请信息签发镜像摘要凭证,并将镜像摘要凭证上链。DID&VC服务节点收到创建凭证申请后,可以根据需要,由审核用户完成镜像摘要凭证声明内容审核及签发,也可以由程序自动完成检查(如检查申请者DID即数据共享代理的数字身份、声明内容、凭证模板等)后直接签发该镜像摘要凭证,每个镜像摘要凭证使用一个凭证DID作为唯一标识。具体的凭证签发流程可以根据具体需求定制。凭证上链是通过凭证上链智能合约完成,该合约定义了一组凭证在链上的写入及读取的相关操作,此处不再展开描述,可以参考开源WeIdentity项目的WeIdentity Evidence智能合约部分。
在一些可选的实施方式中,目标认证服务节点103,用于:
通过预先部署在区块链上的身份与凭证上链智能合约将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链。
在一些可选的实施方式中,第一数据共享代理102,还用于:
响应于数据提供端的待共享对象的更新请求,对已接收的待共享对象进行相应的更新。
其中,更新可以是添加一个新的待共享对象,也可以是删除一个已接收的待共享对象等。可以通过数据库镜像管理模块,添加一个新的待共享对象到数据库镜像管理队列中,或者删除一个数据库镜像管理队列中的待共享对象等以完成更新。
在一些可选的实施方式中,第一数据共享代理102,还用于:
响应于数据提供端的镜像摘要凭证状态修改请求,对镜像摘要凭证管理队列中的镜像摘要凭证进行相应的状态修改。
其中,镜像摘要凭证状态修改可以是创建一个新的镜像摘要凭证,或者修改已接收的镜像摘要凭证的状态,例如数据提供端不再共享某一待共享对象时,将该待共享对象的镜像摘要凭证的状态从正常状态修改为结束状态。
通过镜像摘要凭证管理模块,可以实现创建一个新的镜像摘要凭证到镜像摘要凭证管理队列中,也可以实现修改镜像摘要凭证管理队列中的镜像摘要凭证的状态。
在一些可选的实施方式中,区块链104,还用于:
响应于数据提供端的镜像摘要凭证状态修改请求,对已存储的镜像摘要凭证进行相应的状态修改。
可以理解的是,若数据提供端对已上链的镜像摘要凭证进行状态修改,则区块链响应于该镜像摘要凭证状态修改请求,对已存储的对应的镜像摘要凭证进行相应的状态修改。
在一些可选的实施方式中,第一数据共享代理102,还用于:
接收数据提供端发送的待共享对象的摘要信息。
基于待共享对象的摘要信息确定待共享对象的镜像摘要声明内容。
其中,上述数据提供端将待共享的数据库实例完整地进行数据转储或数据导出成数据文件,将数据文件发送给第一数据共享代理,由第一数据共享代理创建并导入对应的数据库实例,也就是说,第一数据共享代理创建并保存待共享的数据库实例副本。
需要说明的是,数据提供端还可以只将待共享对象的摘要信息发送给第一数据共享代理,其中待共享对象的摘要信息包括待共享的数据库实例的数据库名称、包含哪些数据表、各个数据表的结构及记录数量以及数据库访问接口信息等,其中数据库访问接口信息包括访问接口方式、主机地址、端口号、用户名及密码等。
本实施例中的数据共享系统,主要实现基于数据库的数据资源的共享。为实现对其他数据类型例如文档、图片、视频等的数据共享,可以在第一数据共享代理实现不同数据类型的共享模块,例如以文档共享为例,可以为每个共享的文档创建一个摘要凭证,并提供文档的关键字查询,数据使用方根据关键字查询结果决定是否获取完整文档,另外在数据提供方可以制定针对该文档的隐私保护策略(如可用、使用方可见、脱敏要求、加密传输等)。
根据本发明实施例,提供了一种数据共享方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种数据共享方法,可用于上述的数据提供端,如中央处理单元、服务器等,该数据共享方法包括:
利用第一数据共享代理创建非对称密钥,接收数据提供端发送的待共享对象,获取待共享对象的镜像摘要声明内容,将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使目标认证服务节点基于非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容,生成第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证,并将第一数据共享代理的数字身份以及待共享对象的镜像摘要凭证发送给第一数据共享代理,将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链。
其中,区块链,包含多个区块链节点,区块链节点存储该数据提供端的待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档,以使数据使用端根据待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档,访问第一数据共享代理中的目标共享对象。
本实施例提供的数据共享方法,与前述实施例对应的描述相同,在此不再赘述。且本实施例提供的数据共享方法还用于实现上述系统实施例及优选实施方式,已经进行过说明的不再赘述。
在本实施例中提供了一种数据共享方法,图3是根据本发明实施例的数据共享方法的流程图,如图3所示,数据共享方法的流程包括:
第一步:数据提供方选取一个数据库实例作为待共享对象。
第二步:发送待共享对象给数据提供端的本地数据共享代理,即第一数据共享代理。
第三步:第一数据共享代理接收到待共享对象后,数据提供端通过第一数据共享代理为其设置隐私保护策略。
第四步:第一数据共享代理向DID&VC服务节点发送镜像摘要声明内容并申请创建镜像摘要凭证。
第五步:DID&VC服务节点根据创建凭证申请信息签发镜像摘要凭证,并将镜像摘要凭证上链。
第六步:第一数据共享代理将共享对象放入数据库镜像管理队列,将已上链的镜像摘要凭证放入镜像摘要凭证管理队列。
其中,共享对象即已上链的镜像摘要凭证对应的待共享对象。
本实施例提供的数据共享方法,与前述实施例对应的描述相同,在此不再赘述。且本实施例提供的数据共享方法还用于实现上述系统实施例及优选实施方式,已经进行过说明的不再赘述。
在本实施例中提供了一种数据共享方法,可用于上述的数据使用端,如中央处理单元、服务器等,图4是根据本发明实施例的数据共享方法的流程图,如图4所示,该流程包括如下步骤:
步骤S401,基于数据要素需求信息从区块链上筛选目标镜像摘要凭证。
步骤S402,从目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份。
步骤S403,基于第一数据共享代理的数字身份从区块链上获取第一数据共享代理的数字身份文档。
步骤S404,从第一数据共享代理的数字身份文档中获取第一数据共享代理的访问接口信息和公钥。
其中,第一数据共享代理用于创建非对称密钥,接收数据提供端发送的待共享对象,获取待共享对象的镜像摘要声明内容,将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使目标认证服务节点基于非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容,生成第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证,并将第一数据共享代理的数字身份以及待共享对象的镜像摘要凭证发送给第一数据共享代理,将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链,区块链,包含多个区块链节点,区块链节点存储该数据提供端的待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档。
步骤S405,利用第二数据共享代理基于目标镜像摘要凭证、第一数据共享代理的访问接口信息和公钥向第一数据共享代理发起数据查询请求,以使第一数据共享代理响应于数据查询请求,执行数据查询操作,获得目标共享对象,将目标共享对象发送给数据使用端。
步骤S406,接收目标共享对象。
本实施例提供的数据共享方法,与前述实施例对应的描述相同,在此不再赘述。且本实施例提供的数据共享方法还用于实现上述系统实施例及优选实施方式,已经进行过说明的不再赘述。
在本实施例中提供了一种数据共享方法,图5是根据本发明实施例的数据共享方法的流程图,如图5所示,数据共享方法的流程包括:
第一步:从区块链上获取可用的共享数据库镜像摘要凭证。
该步骤对应前述获取区块链上可用的镜像摘要凭证。
第二步:选取满足数据要素要求的共享数据库镜像摘要。
该步骤对应前述基于数据要素需求信息在区块链上可用的镜像摘要凭证中筛选目标镜像摘要凭证。
第三步:从数据库镜像摘要中获取对应的数据共享代理的DID文档,并从该DID文档获取访问数据共享代理的访问接口。
其中,数据共享代理的DID文档为前述第一数据共享代理的数字身份文档,数据共享代理的访问接口为前述第一数据共享代理的访问接口。
第四步:向对应的第一数据共享代理发起数据查询请求。
第五步:第一数据共享代理收到查询请求后,执行查询操作,获得查询结果。
第六步:第一数据共享代理根据该数据库对应的隐私保护策略对查询结果进行处理。
该步骤对应前述第一数据共享代理基于目标共享对象对应的目标隐私保护策略对目标共享对象进行隐私保护处理,得到待使用共享对象。
第七步:返回处理后的结果给数据使用方。
本实施例提供的数据共享方法,与前述实施例对应的描述相同,在此不再赘述。且本实施例提供的数据共享方法还用于实现上述系统实施例及优选实施方式,已经进行过说明的不再赘述。
在本实施例中还提供了一种数据共享装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种数据共享装置,应用于数据提供端,包括:
密钥创建模块,用于利用第一数据共享代理创建非对称密钥,接收数据提供端发送的待共享对象,获取待共享对象的镜像摘要声明内容,将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使目标认证服务节点基于非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容,生成第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证,并将第一数据共享代理的数字身份以及待共享对象的镜像摘要凭证发送给第一数据共享代理,将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链。
其中,区块链,包含多个区块链节点,区块链节点存储该数据提供端的待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档,以使数据使用端根据待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档,访问第一数据共享代理中的目标共享对象。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本实施例中的数据共享装置是以功能单元的形式来呈现,这里的单元是指ASIC(Application Specific Integrated Circuit,专用集成电路)电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
本实施例提供一种数据共享装置,如图6所示,应用于数据使用端,包括:
目标镜像摘要凭证筛选模块601,用于基于数据要素需求信息从区块链上筛选目标镜像摘要凭证。
数字身份获取模块602,用于从目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份。
数字身份文档获取模块603,用于基于第一数据共享代理的数字身份从区块链上获取第一数据共享代理的数字身份文档。
访问接口信息和公钥获取模块604,用于从第一数据共享代理的数字身份文档中获取第一数据共享代理的访问接口信息和公钥。其中,第一数据共享代理用于创建非对称密钥,接收数据提供端发送的待共享对象,获取待共享对象的镜像摘要声明内容,将非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使目标认证服务节点基于非对称密钥中的公钥、第一数据共享代理的访问接口信息以及待共享对象的镜像摘要声明内容,生成第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证,并将第一数据共享代理的数字身份以及待共享对象的镜像摘要凭证发送给第一数据共享代理,将第一数据共享代理的数字身份文档和待共享对象的镜像摘要凭证存储至区块链,区块链,包含多个区块链节点,区块链节点存储该数据提供端的待共享对象的镜像摘要凭证和第一数据共享代理的数字身份文档。
目标共享对象获取模块605,用于利用第二数据共享代理基于目标镜像摘要凭证、第一数据共享代理的访问接口信息和公钥向第一数据共享代理发起数据查询请求,以使第一数据共享代理响应于数据查询请求,执行数据查询操作,获得目标共享对象,将目标共享对象发送给数据使用端。
目标共享对象接收模块606,用于接收目标共享对象。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本发明实施例还提供一种计算机设备,具有上述任一数据共享装置。
请参阅图7,图7是本发明可选实施例提供的一种计算机设备的结构示意图,如图7所示,该计算机设备包括:一个或多个处理器701、存储器702,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图7中以一个处理器701为例。
处理器701可以是中央处理器,网络处理器或其组合。其中,处理器701还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,存储器702存储有可由至少一个处理器701执行的指令,以使至少一个处理器701执行实现上述实施例示出的方法。
存储器702可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器702可选包括相对于处理器701远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器702可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器702还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口703,用于该计算机设备与其他设备或通信网络通信。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。本领域技术人员应能理解,计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等,相应地,计算机程序指令被计算机执行的方式包括但不限于:该计算机直接执行该指令,或者该计算机编译该指令后再执行对应的编译后程序,或者该计算机读取并执行该指令,或者该计算机读取并安装该指令后再执行对应的安装后程序。在此,计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (20)
1.一种数据共享系统,其特征在于,所述系统包括:
第一数据共享代理,用于创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点;
所述目标认证服务节点,用于基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链;
所述区块链,包含多个区块链节点,所述区块链节点用于存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,以使数据使用端根据所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,访问所述第一数据共享代理中的目标共享对象。
2.根据权利要求1所述的系统,其特征在于,所述系统包括:
数据使用端,用于基于数据要素需求信息从所述区块链上筛选目标镜像摘要凭证,从所述目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份,基于所述第一数据共享代理的数字身份从所述区块链上获取所述第一数据共享代理的数字身份文档,从所述第一数据共享代理的数字身份文档中获取所述第一数据共享代理的访问接口信息和公钥,将所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥发送至第二数据共享代理;
第二数据共享代理,用于基于所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥向所述第一数据共享代理发起数据查询请求;
第一数据共享代理,还用于响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,将所述目标共享对象发送给所述第二数据共享代理;
所述第二数据共享代理,用于接收所述目标共享对象,将所述目标共享对象发送给所述数据使用端。
3.根据权利要求2所述的系统,其特征在于,所述数据使用端,用于:
获取所述区块链上的镜像摘要凭证的状态信息,基于所述区块链上的镜像摘要凭证的状态信息和所述数据要素需求信息从所述区块链上筛选目标镜像摘要凭证。
4.根据权利要求2所述的系统,其特征在于,所述数据使用端,还用于:
在接收所述目标共享对象后,通过预先部署在区块链上的数据共享服务智能合约提供的激励接口,对所述目标共享对象的数据提供端进行激励。
5.根据权利要求2所述的系统,其特征在于,所述第一数据共享代理与所述数据提供端对应的区块链节点连接,所述第一数据共享代理,用于:
通过预先部署在所述区块链上的数据隐私保护智能合约提供的接口获取若干个隐私保护策略;
若任一所述隐私保护策略满足预设隐私保护要求,则将该隐私保护策略确定为所述待共享对象的目标隐私保护策略;
若各所述隐私保护策略均不满足所述预设隐私保护要求,则通过预先部署在所述区块链上的数据隐私保护智能合约提供的接口,在所述区块链上创建满足所述预设隐私保护要求的新增隐私保护策略,并将该新增隐私保护策略作为所述待共享对象的目标隐私保护策略;
所述第一数据共享代理,用于:
响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,基于所述目标共享对象对应的目标隐私保护策略对所述目标共享对象进行隐私保护处理,得到待使用共享对象,将待使用共享对象发送给第二数据共享代理;
所述第二数据共享代理,用于:
接收待使用共享对象,将待使用共享对象发送给所述数据使用端。
6.根据权利要求1所述的系统,其特征在于,所述第一数据共享代理,还用于:
将所述待共享对象放入数据库镜像管理队列,将所述待共享对象的镜像摘要凭证放入镜像摘要凭证管理队列;
所述第一数据共享代理包括数据库镜像管理模块和镜像摘要凭证管理模块;
所述数据库镜像管理模块,用于管理所述数据库镜像管理队列;
所述镜像摘要凭证管理模块,用于管理所述镜像摘要凭证管理队列。
7.根据权利要求1所述的系统,其特征在于,所述第一数据共享代理,用于:
获取所述第一数据共享代理与分布式数字身份与可验证凭证服务集群中的各个服务节点之间的回路时间延迟,将与所述第一数据共享代理之间的回路时间延迟最短的服务节点作为所述目标认证服务节点。
8.根据权利要求1所述的系统,其特征在于,所述目标认证服务节点,用于:
基于所述非对称密钥中的公钥和第一数据共享代理的访问接口信息生成所述第一数据共享代理的数字身份以及数据身份文档;
所述第一数据共享代理,还用于:
接收所述第一数据共享代理的数字身份,利用所述第一数据共享代理的数字身份从所述目标认证服务节点获取镜像摘要凭证模板,按照所述镜像摘要凭证模板填充所述待共享对象的镜像摘要声明内容,得到目标镜像摘要数据,将所述目标镜像摘要数据发送给所述目标认证服务节点,以使所述目标认证服务节点基于所述目标镜像摘要数据,签发所述待共享对象的镜像摘要凭证。
9.根据权利要求1所述的系统,其特征在于,所述目标认证服务节点,用于:
通过预先部署在所述区块链上的身份与凭证上链智能合约将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至所述区块链。
10.根据权利要求1所述的系统,其特征在于,所述第一数据共享代理,还用于:
响应于所述数据提供端的待共享对象的更新请求,对已接收的待共享对象进行相应的更新。
11.根据权利要求1所述的系统,其特征在于,所述第一数据共享代理,还用于:
响应于所述数据提供端的镜像摘要凭证状态修改请求,对镜像摘要凭证管理队列中的镜像摘要凭证进行相应的状态修改。
12.根据权利要求1所述的系统,其特征在于,所述区块链,还用于:
响应于所述数据提供端的镜像摘要凭证状态修改请求,对已存储的镜像摘要凭证进行相应的状态修改。
13.根据权利要求1所述的系统,其特征在于,所述第一数据共享代理,还用于:
接收所述数据提供端发送的待共享对象的摘要信息;
基于所述待共享对象的摘要信息,确定所述待共享对象的镜像摘要声明内容。
14.一种数据共享方法,其特征在于,应用于数据提供端,所述方法包括:
利用第一数据共享代理创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链;
其中,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,以使数据使用端根据所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,访问所述第一数据共享代理中的目标共享对象。
15.一种数据共享方法,其特征在于,应用于数据使用端,所述方法包括:
基于数据要素需求信息从区块链上筛选目标镜像摘要凭证;
从所述目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份;
基于所述第一数据共享代理的数字身份从所述区块链上获取所述第一数据共享代理的数字身份文档;
从所述第一数据共享代理的数字身份文档中获取所述第一数据共享代理的访问接口信息和公钥;其中,所述第一数据共享代理用于创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档;
利用第二数据共享代理基于所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥向所述第一数据共享代理发起数据查询请求,以使所述第一数据共享代理响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,将所述目标共享对象发送给所述数据使用端;
接收所述目标共享对象。
16.一种数据共享装置,其特征在于,应用于数据提供端,所述装置包括:
密钥创建模块,用于利用第一数据共享代理创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链;
其中,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,以使数据使用端根据所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档,访问所述第一数据共享代理中的目标共享对象。
17.一种数据共享装置,其特征在于,应用于数据使用端,所述装置包括:
目标镜像摘要凭证筛选模块,用于基于数据要素需求信息从区块链上筛选目标镜像摘要凭证;
数字身份获取模块,用于从所述目标镜像摘要凭证中获取对应的第一数据共享代理的数字身份;
数字身份文档获取模块,用于基于所述第一数据共享代理的数字身份从所述区块链上获取所述第一数据共享代理的数字身份文档;
访问接口信息和公钥获取模块,用于从所述第一数据共享代理的数字身份文档中获取所述第一数据共享代理的访问接口信息和公钥;其中,所述第一数据共享代理用于创建非对称密钥,接收数据提供端发送的待共享对象,获取所述待共享对象的镜像摘要声明内容,将所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容发送给目标认证服务节点,以使所述目标认证服务节点基于所述非对称密钥中的公钥、第一数据共享代理的访问接口信息以及所述待共享对象的镜像摘要声明内容,生成所述第一数据共享代理的数字身份、第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证,并将所述第一数据共享代理的数字身份以及所述待共享对象的镜像摘要凭证发送给所述第一数据共享代理,将所述第一数据共享代理的数字身份文档和所述待共享对象的镜像摘要凭证存储至区块链,所述区块链,包含多个区块链节点,所述区块链节点存储该数据提供端的所述待共享对象的镜像摘要凭证和所述第一数据共享代理的数字身份文档;
目标共享对象获取模块,用于利用第二数据共享代理基于所述目标镜像摘要凭证、所述第一数据共享代理的访问接口信息和公钥向所述第一数据共享代理发起数据查询请求,以使所述第一数据共享代理响应于所述数据查询请求,执行数据查询操作,获得目标共享对象,将所述目标共享对象发送给所述数据使用端;
目标共享对象接收模块,用于接收所述目标共享对象。
18.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求14所述的数据共享方法或权利要求15所述的数据共享方法。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求14所述的数据共享方法或权利要求15所述的数据共享方法。
20.一种计算机程序产品,其特征在于,包括计算机指令,所述计算机指令用于使计算机执行权利要求14所述的数据共享方法或权利要求15所述的数据共享方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410372794.8A CN117993017B (zh) | 2024-03-29 | 2024-03-29 | 数据共享系统、方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410372794.8A CN117993017B (zh) | 2024-03-29 | 2024-03-29 | 数据共享系统、方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117993017A true CN117993017A (zh) | 2024-05-07 |
CN117993017B CN117993017B (zh) | 2024-06-07 |
Family
ID=90901441
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410372794.8A Active CN117993017B (zh) | 2024-03-29 | 2024-03-29 | 数据共享系统、方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117993017B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112861157A (zh) * | 2021-03-01 | 2021-05-28 | 北京欧凯联创网络科技有限公司 | 一种基于去中心化身份和代理重加密的数据共享方法 |
CN113961535A (zh) * | 2021-11-26 | 2022-01-21 | 北京航空航天大学 | 一种基于区块链的数据可信存储共享系统与方法 |
US20230010786A1 (en) * | 2019-12-03 | 2023-01-12 | Sony Group Corporation | Method, computer program and data sharing system for sharing user-specific data of a user |
-
2024
- 2024-03-29 CN CN202410372794.8A patent/CN117993017B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230010786A1 (en) * | 2019-12-03 | 2023-01-12 | Sony Group Corporation | Method, computer program and data sharing system for sharing user-specific data of a user |
CN112861157A (zh) * | 2021-03-01 | 2021-05-28 | 北京欧凯联创网络科技有限公司 | 一种基于去中心化身份和代理重加密的数据共享方法 |
CN113961535A (zh) * | 2021-11-26 | 2022-01-21 | 北京航空航天大学 | 一种基于区块链的数据可信存储共享系统与方法 |
Non-Patent Citations (1)
Title |
---|
卫荣;钱步月;兰欣;李晓亮;: "基于区块链技术的区域医疗数据安全共享问题研究", 中国卫生信息管理杂志, no. 02, 20 April 2020 (2020-04-20) * |
Also Published As
Publication number | Publication date |
---|---|
CN117993017B (zh) | 2024-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11399079B2 (en) | Zero-knowledge environment based networking engine | |
CA3058013C (en) | Managing sensitive data elements in a blockchain network | |
US20200356680A1 (en) | Buckets with policy driven forced encryption | |
CN111164948B (zh) | 使用区块链网络管理网络安全漏洞 | |
US9886684B2 (en) | File vault and cloud based document notary service | |
US10554406B1 (en) | Authorized data sharing using smart contracts | |
Ghani et al. | Issues and challenges in cloud storage architecture: a survey | |
JP2008276756A (ja) | ウェブ・サービス仲介装置 | |
CA3083722C (en) | Re-encrypting data on a hash chain | |
US11095620B1 (en) | Secure method, system, and computer program product for exchange of data | |
Zichichi et al. | Data governance through a multi-dlt architecture in view of the gdpr | |
US20200134229A1 (en) | Data Processing Apparatus and Methods | |
CN116583833A (zh) | 自审计区块链 | |
CN117993017B (zh) | 数据共享系统、方法、装置、计算机设备及存储介质 | |
Ghani et al. | Cloud storage architecture: research challenges and opportunities | |
CN113348452A (zh) | 用于数字权限管理的方法和系统 | |
Andersen | Decentralized authorization with private delegation | |
Missio | Custom cloud storage solutions based on Nextcloud: a case study implementation | |
US20240048380A1 (en) | Cryptography-as-a-Service | |
CN113946864B (zh) | 一种机密信息获取方法、装置、设备及存储介质 | |
US20240048532A1 (en) | Data exchange protection and governance system | |
US20240048361A1 (en) | Key Management for Cryptography-as-a-service and Data Governance Systems | |
US20230394481A1 (en) | Authorizing public trust ledger actions via a database system | |
US20240177143A1 (en) | Intermediary roles in public trust ledger actions via a database system | |
US20230177209A1 (en) | Distributed Communication Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |