CN118175172A - 用于提供分布式账本的通信网络节点、通信网络以及方法 - Google Patents
用于提供分布式账本的通信网络节点、通信网络以及方法 Download PDFInfo
- Publication number
- CN118175172A CN118175172A CN202311839744.8A CN202311839744A CN118175172A CN 118175172 A CN118175172 A CN 118175172A CN 202311839744 A CN202311839744 A CN 202311839744A CN 118175172 A CN118175172 A CN 118175172A
- Authority
- CN
- China
- Prior art keywords
- data
- user data
- communication network
- distributed ledger
- blockchain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 92
- 238000013523 data management Methods 0.000 claims abstract description 14
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 description 69
- 238000007726 management method Methods 0.000 description 34
- 230000008569 process Effects 0.000 description 19
- 230000032258 transport Effects 0.000 description 19
- 238000012545 processing Methods 0.000 description 11
- 238000007405 data analysis Methods 0.000 description 9
- 150000003839 salts Chemical class 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000005065 mining Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 230000002427 irreversible effect Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000000873 masking effect Effects 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 235000016496 Panda oleosa Nutrition 0.000 description 1
- 240000000220 Panda oleosa Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013503 de-identification Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005184 irreversible process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003340 mental effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 238000000746 purification Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000029305 taxis Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Abstract
本公开提供一种用于提供分布式账本的通信网络节点、通信网络以及方法,其中,节点具有电路,该电路被配置为:提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且将非敏感用户数据提供至分布式账本。
Description
本申请是申请日为2019年10月21日、国际申请号为PCT/EP2019/078536、发明名称为“由区块链支持的隐私保护移动即服务”的PCT申请的中国国家阶段申请的分案申请,该中国国家阶段申请进入中国国家阶段的进入日为2021年03月31日、申请号为201980064917.9,其全部内容结合于此作为参考。
技术领域
本公开总体上涉及一种用于提供分布式账本的通信网络节点、通信网络以及方法。
背景技术
通常,已知在诸如实体(例如,记录数字交易的电子装置、服务器等)的多个节点上分布账本。分布式账本可以基于已知的区块链技术,例如,已知的加密货币基于该区块链技术,而且还可以基于公知的以太网项目等。通常,分布式账本还可以在除了区块链技术之外的其他技术上实现,并且不基于区块链的分布式账本项目的示例是BigchainDB和IOTA等。例如,IOTA是使用链表的加密货币。
此外,已知移动即服务(MaaS),其中,用户或乘客使用移动即服务,而无需拥有例如汽车等。移动即服务可以组合来自相关联的运营商或供应商的公共(例如,火车、公共汽车等)和私人(例如,汽车共享、自行车共享等)运输服务。
已知的MaaS解决方案通常涉及中央和统一网关,通过该中央和统一网关,规划并且预定旅行或旅途,其中,用户可以通过单个账户支付。
尽管存在用于提供分布式账本和移动即服务的技术,但是通常期望提供一种用于控制通信网络以提供分布式账本的通信网络节点、通信网络以及方法。
发明内容
根据第一方面,本公开提供一种用于将数据提供至分布式账本的通信网络节点,其中,该节点包括电路,该电路被配置为提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且将非敏感用户数据提供至分布式账本。
根据第二方面,本公开提供一种包括用于提供分布式账本的多个节点的通信网络,其中,至少一个节点包括电路,该电路被配置为提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且将非敏感用户数据提供至分布式账本。
根据第三方面,本公开提供一种用于控制包括用于提供分布式账本的多个节点的通信网络的方法,包括:提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且将非敏感用户数据提供至分布式账本。
在从属权利要求、以下描述以及附图中阐述了进一步方面。
附图说明
参考所附附图,通过示例的方式说明实施方式,其中:
图1示意性地示出了区块链;
图2示意性地示出了区块链中的散列;
图3是示出共识协议的实施方式的流程图;
图4示出了MaaS系统中的数据流;
图5示出了包括旅途日志数据的区块链的实施方式;
图6示出了用于提供区块链的通信网络的实施方式;
图7示出了分离敏感数据和非敏感数据的实施方式;
图8示出了包括旅途数据的区块链的区块;
图9示出了乘客数据的假名化;
图10示出了乘客数据的匿名化;
图11示出了在区块链中使用数据保护的不同秘钥的实施方式;
图12示出了非敏感数据和敏感数据的分离,其中,保护敏感数据;
图13示出了数据的第三方加密;
图14示出了第三方对数据的访问,其中,敏感数据被匿名化;
图15示出了用于大数据分析的第三方访问的应用编程接口;
图16示出了通过使秘钥无效而从区块链中擦除数据的第一实施方式;
图17示出了通过擦除区块而从区块链中擦除数据的第二实施方式;
图18示出了通用计算机的实施方式,在一些实施方式中基于该通用计算机来实现网络设备或通信装置;以及
图19示出了eNodeB和用户设备彼此通信的实施方式。
具体实施方式
在参考图1给出实施方式的详细描述之前,进行一般性说明。
如开头所述,通常,已知分布式账本和移动即服务(MaaS)。
在一些实施方式或方面中,本公开总体上涉及用于移动即服务(MaaS)应用的区块链/分布式账本的应用,尤其是一个以上服务供应商(多模式运输)之间的MaaS。
在一些实施方式或方面中,本公开总体上还涉及分布式账本或区块链的应用作为分布式账本的一个示例,而不将本公开限于区块链。根据本公开的一些方面,因为分布式账本需要多个玩家(即,多个移动即服务供应商)之间的旅途历史(或旅途数据)的分布式数据库,所以分布式账本或区块链被识别为适合于移动即服务(MaaS)应用。
在一些实施方式中,MaaS区块链可能需要处理大量的乘客、存储各种类型的旅途记录、大尺寸的区块、高峰时间的处理峰值等。
在一些实施方式中,通常,因为分布式账本或区块链提供多个玩家之间的旅途历史的分布式数据库,所以分布式账本或区块链适合于MaaS应用。
然而,因为个人数据通常可能对于区块链中的所有成员是开放的,并且区块中的重新编码的数据不能被用户删除/修改,所以个人数据保护对于区块链/分布式账本可能具有挑战性。
因此,已经认识到,在一些实施方式中,利用基于区块链的分布式账本为用户隐私提供保护可能是有用的,尤其是对于MaaS应用。此外,在一些实施方式中,记录乘客的旅途与保护乘客的隐私之间的需求可能彼此冲突。
在一些实施方式中,就乘客的旅途的准确记录而言,分布式账本可以在玩家(包括移动服务供应商)之间共享,并且可以甚至是不可变的。在一些实施方式中,这样的特性适合于类似收入共享计算的旅途的记录/证据。另外,政府运输机构可能需要保留乘客信息的记录,尤其是如已知的空中旅行。
另一方面,在一些实施方式中,MaaS旅途记录可以包括在敏感的乘客信息中,诸如乘客在何地、何时、和谁以及在做什么。因此,就个人数据保护而言,可以应用匿名化和假名化。在一些实施方式中,存在用于保护个人数据的需求,诸如通用数据保护权(GDPR)。
因此,在本公开中,一些实施方式涉及如何利用访问控制保护个人数据以及如何提供乘客数据的匿名化和假名化的方法的问题。
因此,在一些实施方式中,个人信息被限制在系统的不可访问的部分,该部分可能无法被第三方访问。此外,在一些实施方式中,通过与用户具有合同的移动服务供应商确保用户简档/多模式通行证信息的机密性,而用户特定ID例如在分布式账本或区块链中被匿名化。包括在分布式账本或区块链中的旅途日志可以在访问控制之下并且旅途日志的内容可以被假名化。
在下文中,给出了可以在一些实施方式中应用的一些术语定义(而不将本公开限于以下给出的定义。因为MaaS和分布式账本的技术领域是高度动态的,并且定义在将来可以改变,所以定义仅是用于增强对本公开的理解而提供的并且仅是给出的示例)。
可以从维基百科获知术语“分布式账本”,其定义:“分布式账本(也称为共享账本或分布式账本技术(DLT))是在地里上跨多个地点、国家或机构分布的复制、共享以及同步数字数据的共识。不存在中央管理员或集中数据存储器。”
以下还将进一步讨论分布式账本及其具体示例(即,区块链)的技术。更一般地,术语分布式账本用作与网络的多个节点共享数字记录的数据的一种类型的数据库。其可以包括对等网络。数字记录的数据可以包括一种信息以从先前记录在同一数据库上的数据证明其一致性。
分布式账本可以是公共的并且可以被任何人访问,但是,原则上,其还可以是非公共的并且仅获得许可的用户可以对其进行访问,其中,还如以下进一步说明的,获得许可的一组实体、节点、人、运营商、供应商等还可以称为“联盟”。还可以区分对来自每个分层用户的账本上的数据的访问许可。
分布式账本可以使用例如从用于比特币的区块链技术已知的机制。这样的机制包括发现方法、共识机制、保持数据一致性的机制等。共识机制确保具有分布式账本的副本的所有节点或一定数量以上的节点(通常为电子装置)在分布式账本的内容上达成共识。存在包括所谓的工作证明机制的许多共识机制,其是某种加密拼图并且确保不能(易于)改变例如区块链的旧区块。例如,工作证明用于比特币区块链的挖掘过程。
在分布式账本或区块链中,关于参与节点中的区块链上的数据更新达成共识的确认过程(称为挖掘过程)可以通过将先前记录的数据包括在确认数据中来实现记录在区块链上的交易序列的不可逆性。这样的挖掘过程实现了交易的新区块的分布式时间戳服务器。在比特币(并且因此在一些实施方式)中,挖掘过程基于SHA-256散列函数。参与挖掘过程的区块链的节点搜索具有预定义性质的散列输出,而散列函数的输入取决于区块链的当前区块以及被添加至区块链的交易的新区块。
基于散列函数的工作证明计算本身可能不是有用的,除了需要它们来实现分布式账本的不可逆性。
此外,通常,已知使用用于存储各种数据的区块链。例如,图像、视频、测量以及文本文件可以以交易形式记录在区块链上。
还从维基百科获知术语“移动即服务(MaaS)”,其定义:“移动即服务(MaaS)描述了远离个人拥有的运输模式并且朝向作为服务消费的移动解决方案的转变。这是通过创建并且管理旅行的统一网关组合来自公共和私人运输供应商的运输服务来实现的,用户可以通过单个账户支付。用户可以按行程支付或在有限的距离内按月支付。MaaS后面的秘钥概念基于旅行者旅行需求为旅行者提供移动解决方案。”
还如上所述,在一些实施方式中,“公共区块链/分布式账本”是指任何人可以共享分布式数据库(账本)并且加入以执行共识协议。
与此相反,“许可区块链/分布式账本”是指仅许可成员可以共享分布式数据库(账本)并且加入共识协议。如上所述,获得访问区块链的许可的许可成员称为“联盟”。在一些实施方式中,因为许可/联盟类型的区块链不是公共的并且因此没有人可以访问它,所以许可/联盟类型的区块链适合于MaaS应用。
在维基百科中还可以找出术语“(移动)边缘计算”,其定义:“多路访问边缘计算(MEC)(以前的移动边缘计算)是在蜂窝网络[l][2]的边缘处(并且更一般地,在任何网络的边缘处)使能云计算能力和IT服务环境的网络架构概念。MEC后面的基本理念是,通过运行应用程序并且执行更接近蜂窝客户的相关处理任务,减少网络拥堵并且应用执行地更好。”
术语“北向API”在网络虚拟化上下文中被理解为电信运营商可以利用基于软件的接口(API)配置网络功能,并且网络运营商可以配置虚拟基础设施(例如,虚拟机)和所请求的网络功能/应用功能。
术语“实例”被理解为在云上运行的软件过程。它可以在分布式云中的某个地方移动。
“公共云”可以定义为(https://azure.microsoft.com/en-gb/overview/what-are-private-public-hybrid-clouds/):“公共云是部署云计算的最常见方式。由第三方云服务供应商拥有和操作并且通过因特网交付云资源(类似服务器和存储器)。”
在一些实施方式中,将按给定的理解使用以下术语:
术语“多模式运输通行证”可以是对具有指定条件的多个移动服务有效的通行证,诸如有效周期或可用运输、不可接受的服务等。例如,一日票、一周票、月度MaaS服务订阅、季度票等。
术语“移动服务供应商”可以是任何类型的服务供应商MaaS的总称。在一些实施方式中,它通常是运输组织,诸如铁路公司、公共汽车/教练、旅行和出租车、汽车共享、乘车共享、自行车共享等。一些移动服务供应商可能未提供实际的运输装置(transport means),但是可以仅提供与旅行机构或在线预订站点等相当的预订/布置。
术语“通行证”可以是交通通行证或旅行卡(UK)(还参见https://en.wikipe-dia.org/wiki/Transit_pass)。在本公开中,多模式通行证还应属于术语“通行证”,这意味着通行证可以在一个以上的运输运营商(或移动服务供应商)之间有效,并且因此,其不仅可以覆盖公共运输,而且还可以覆盖其他类型的移动,诸如乘车共享、自行车共享等。通行证可以包括可接受运输、有效周期以及票发行/运输乘坐的任何其他条件的信息。在一些实施方式中,MaaS可以提供具有服务级别的某些选项的月度服务订阅。乘客或用户可以支付服务订阅费或向通行证发行者(其通常可以是发行通行证的移动服务供应商)购买指定周期的通行证。该通行证可以由运输运营商或旅行机构、MaaS服务供应商等(如上所述,其可以全部属于术语移动服务供应商)发行。因此,如提及的,一些通行证发行者可以出售通行证,但是不可以提供实际的运输服务或运输装置。
术语“票”可以是用于指定区段的单向旅途的票,如具有(或不具有)座位预留的单向火车票。在一些实施方式中,票可以在多模式运输通行证及其术语和条件下发行,并且其可以包括所选择的运输、座位号、价格等信息。在一些实施方式中,即使不需要座位预留或允许无限制的旅行,也可以针对多个移动服务供应商之间的收入共享发行票。此外,乘客(用户)可以不向票发行者直接支付,而是通行证发行者可以向票发行者而不是乘客支付,并且票可以由运输运营商或服务供应商(即,移动服务供应商)发行。
术语“旅途日志”可以覆盖基于票的单向旅途记录的旅途日志。其可以包括关于路堤的位置、其时间/天、下车的位置、其时间/天、票被使用还是未被使用等的信息,这将在下面进一步讨论。
可以根据维基百科定义术语“匿名化”(还参见https://en.wikipedia.org/wiki/Data_anonymization):“数据匿名化是其意图是隐私保护的一种类型的信息净化。这是从数据集中加密或去除个人可识别信息的过程,使得数据描述的人保持匿名。”
可以根据维基百科定义术语“假名化”(还参见https://en.wikipedia.org/wiki/Pseudonymization):“假名化是数据管理和去识别过程,通过该过程,数据记录内的个人可识别信息字段被一个或多个人工标识符或假名替代。每个被替换字段或被替换字段的集合的单个假名使数据记录在保持适合于数据分析和数据处理的同时而较不可识别。”
术语“不可追踪”可以理解为没有人(例如,没有实体、用户、人等)可以追踪动作或行为的历史。例如,可以防止可能追踪用户在指定天/时间去过哪里、他做了什么或他没有做什么。
此外,通用数据保护法规(GDPR)可能需要(还参见https://en.wikipedia.org/wiki/General_Data_Protection_Regulation):“通用数据保护法规(EU)2016/679(“GDPR”)是关于欧洲联盟(EU)和欧洲经济区(EEA)内的所有个体的数据保护和隐私的EU法律中的法规。”
在一些实施方式中,术语“个人数据”可以在某种意义上被理解为(参见示例性https://gdpr-info.eu/art-4-gdpr/):“(1)‘个人数据’是指与已识别或可识别的自然人(‘数据对象’)相关的任何信息;可识别的自然人是可以被直接或间接地(尤其是通过参考诸如姓名、识别号、位置数据、在线标识符或特定于该自然人的物理、生理、遗传、精神、经济、文化或社交身份的一个或多个因素)识别的自然人;”
“GDPR中的假名化”可以被相应地理解为:“(5)‘假名化’是指以这样的方式处理个人数据,即,在不使用额外信息的情况下,个人数据不再归属于指定的数据对象,前提是这样的额外信息分开保持并且经过技术和组织措施以确保个人数据不再归属于已识别或可识别的自然人;”
在一些实施方式中,术语“公共秘钥密码”被理解为还如维基百科(https://en.wikipedia.org/wiki/Public-key_cryptography)中定义:“公共秘钥密码或非对称密码是使用配对的秘钥的任何密码系统:可以广泛传播的公共秘钥和仅所有者已知的私人秘钥。这实现了两个功能:认证,其中,公共秘钥验证所配对的私人秘钥的持有者发送消息;以及加密,其中,仅所配对的私人秘钥的持有者可以对通过公共秘钥加密的消息进行解密。”其中,“公共秘钥密码的两个最著名的用途是:公共秘钥加密,其中,利用接收者的公共秘钥对消息进行加密。不拥有匹配私人秘钥的任何人不能对消息进行解密,因此假设其是该秘钥的所有者并且是与公共秘钥相关联的人。这是在尝试确保机密性时使用的。”;以及“数字签名,其中,利用发送者的私人秘钥对消息进行签名,并且可以由访问发送者的公共秘钥的任何人验证。该验证证明发送者有权访问公共秘钥,并且因此可能是与公共秘钥相关联的人。这还确保消息未被篡改,因为签名在数学上绑定至其最初发出的消息,并且实际上对于任何其他消息,无论与原始消息如何相似,验证都将失败。”
在一些实施方式中,根据维基百科(https://en.wikipedia.org/wiki/Salt_(cryptography))理解术语“盐(salt)”:“在密码学中,盐是用作“散列”数据、密码或口令短语的单向函数的额外输入的随机数据。盐与随机数的概念密切相关。盐的主要功能是防御字典攻击或其散列等价物(预先计算的彩虹表攻击)。”
在下文中,给出了描述的一般概述,其中,将讨论本公开的四个不同方面的实施方式,其可以实施或实现为独立的方面或可以以任何可能的组合彼此组合。
根据第一方面,讨论了涉及基本技术的一些实施方式,包括敏感数据分离(利用离链技术)和假名化和匿名化(利用加扰和/或散列)的朴素方法。
根据第二方面,一些实施方式涉及数据的访问控制,其中,访问控制可以包括访问控制的级别、具有不同访问秘钥的区块加密和/或开放数据和API。
根据第三方面,一些实施方式涉及敏感数据的擦除,包括例如秘钥无效和/或区块擦除。
在下文中,将参考图1说明区块链及其一般数据结构。在区块链的该实施方式中,特征是网络/拓扑、共识算法、散列函数、参与者认证、可扩展性/区块结构以及性能。
图1示出了区块链1的一般结构。区块链1包括多个数据区块2a、2b、以及2c的链,其中,区块2b是当前区块(区块#N),区块2a是前一区块(区块#N-l),并且区块2c是未来或后继区块(区块#N+l)。每个区块包括前一区块的散列函数结果、主数据结构、散列函数的输入值以及当前区块的散列函数结果,其中,当前区块(2b)的散列函数结果始终用作下一区块(2c)的输入。
此外,每个区块包括“一次性使用的编号”,这是用于安全区块链处理的一次性随机数,并且可以防止重放攻击。例如,如果攻击者复制先前发送的数据并且再次重新使用所复制的数据进行欺骗,则接收者能够检测欺骗通信,因为下一数据必须与不同的“一次性使用的编号”一起使用。在密码学中,将该随机编号有时称为“随机数”。
此外,可以在区块2a、2b以及2c的每个区块中插入时间戳。区块链1是分布式账本的示例,其在一些实施方式中例如可以用于提供MaaS。
图2示出了例如用于图1的区块链1的散列函数的输入和输出。
通常,散列函数是可以用于利用特定算法将输入数据映射至输出数据的任何函数。输入数据的大小可能较大并且是各种各样的,相反,数据的输出可能紧凑并且可以具有固定的大小。在一些区块链实施方式中用于散列的已知(和著名)算法是由美国国家安全局设计的安全散列算法(SHA)(例如,SHA-2、SHA-256)。
散列函数的输入是前一散列输出、一次性使用的编号以及当前区块(例如图1中的区块2b)中的数据的主体。散列函数的输出是响应于输入值的唯一值。如果有人尝试篡改数据的主体,则散列函数的输出无法一致。
本公开中的分布式账本(区块链)的实施方式可以实现共识协议或算法。例如,在一些实施方式中,拜占庭容错(BFT)用于共识协议,其对数据库的欺骗和硬件的故障具有弹性。
在一些实施方式中实现的公知的共识算法是所谓的实际拜占庭容错(PBFT)。
在一些实施方式中,使用许可区块链并且相对少量的许可区块链节点管理共识(区块的验证)。
图3示例性地示出了PBFT的过程10。
领导节点(也称为非验证对等体)在11请求其他节点验证区块链。在12,每个请求节点(验证对等体)利用散列函数检查区块链的有效性并且在13将其结果指示给其他节点。在14,节点从多个其他对等体接收有效性结果,并且如果其接收比预定义标准更有效的结果,则检查区块链的共识。如果存在共识,在15,节点写入/完成区块链。领导对等体检查其他节点中的有效性检查的整体进度,并且在16完成区块链过程。
对于弹性,在一些实施方式中的节点的总数大于3f+l,其中,f是所允许的故障节点的数量。例如,f=l,存在总共4个节点;如果f=3,则存在总共10个节点等。
如本文所讨论的,在一些实施方式中,PBFT具有移动服务区块链的许可区块链,至少部分地提供以下特征:
关于安全性,PBFT在一些实施方式中提供51%攻击的低风险,这对于加密货币是常见的,因为负责共识的对等体的许可必须是可信的。关于隐私,因为仅移动服务供应商在(对等体)节点处处理该区块链(由于基于许可的区块链和终端用户可能不具有访问区块链的许可),所以终端用户无法访问整个区块链。关于性能,在一些实施方式中,由于具有高性能的少量对等体,因此对于共识的处理时间非常短。关于灵活性,在一些实施方式中,与公共区块链相比,区块链的区块大小和格式可以是灵活的。
在下文中,参考示出整体数据流的图4说明MaaS系统20的数据流。在MaaS系统20中,示例性地假设终端用户具有自身的终端21,例如,智能电话(或任何其他类型的电子(移动)装置)。一些用户(例如,来自海外的访客)可能没有智能电话等,并且在这样的情况下,例如,可以提供基于图4中的代理功能(代理22)的可选解决方案,其为用户提供门户。
图4示出了MaaS系统20的数据流图,其中,提供三个主要部分:位于左侧的终端用户部分、位于中间的移动服务运营商/供应商部分以及位于右侧的其他实体部分,其中,终端用户部分和其他实体部分与位于中间的移动服务供应商部分通信。
对于MaaS系统20的该实施方式,假设移动服务供应商具有用户管理功能23和用户简档管理功能23a以及乘客旅途管理功能23b,用户管理功能23具有用于客户服务的网络服务器或云。移动服务供应商进一步具有区块链管理功能24。具有区块链管理功能24a的区块链功能24与其他实体部分的区块链管理功能25通信。如果由预定中心26提供座位预留/共享乘车预定,则提供中心预定服务器/云。
终端用户与具有示例性用户接口和传感器(例如,GNSS、NFC等)的其自身终端(即,该实施方式中的智能电话21)通信。
如还可以从图4中看出的,例如,终端用户可以利用终端或经由代理22执行以下动作:订阅服务/购买一天/一周票;预定火车、预留汽车/乘车共享;运输上车/下车许可/记录;下车之后的后期处理(例如,客户调查、退款或延迟补偿)等。
用户简档管理功能23a被配置为存储静态数据,例如,姓名、年龄、联系地址、支付方法(例如,信用卡)、服务订阅状态、运输喜好、类似TMEI的任何其他唯一ID等,并且与终端21通信。
乘客旅途管理功能23b被配置为执行若干动作并且与终端21通信。例如,关于多模式运输通行证,例如,其管理MaaS月度服务的订阅和一天票、一周票等的购买。关于旅途规划(或旅途规划者),其提供目的地输入、路由选择/运输选项、预定/旅行布置,并且发行票并且发行票ID、生成乘客的行程并且发行行程ID等。在乘客/用户的旅途上,乘客旅途管理功能被配置为开始旅途,并且针对旅途(行程)的每个部分,检查通行证/票持有并且记录路堤、记录下车、并且将旅途日志添加到区块链,并且在旅途结束时终止它并且关闭行程。
区块链管理功能24a与乘客旅途管理功能23b及其他区块管理25通信。其被配置为添加、验证/执行共识协议并且读取区块链。此外,如还可以从图4中看出的,至少在乘客旅途管理功能23b与区块链管理功能24a之间以及区块链管理功能24a与其他区块链管理25之间通信通行证、票以及旅途日志信息。
在下文中,参考图5说明包括乘客旅途历史的区块链30的实施方式。
还如参考图1通常说明的,区块链30具有若干区块30a、30b、30c,其中,在图5中,示例性地示出了过去区块30a(区块#N-1)、当前区块30b(区块#N)以及后继或下一/未来区块30c(区块#N+1)。
区块30a、30b、30c中的每一个区块可以包括在最大给定区块大小内和相关联的数据结构内的交易中的一个或多个乘客日志。在图5中,位于左手侧的区块30a(区块#N-1)处理两个乘客日志31a和31b。来自N-l区块30a的散列输出被提供至下一N区块30b(当前区块)。区块30b(区块#N)处理乘客A和B的下一旅途日志32a和32b,并且另外处理乘客C旅途的旅途日志32c。例如,如果乘客D发行新的旅途日志,但是如果同时超过区块大小极限,则在下一区块中(即,在本实施例的区块30c中)处理进一步的旅途日志,其包括乘客B的进一步旅途日志33a条目、乘客C的进一步旅途日志33b条目以及乘客D的进一步旅途日志33c条目,使得区块30c(区块N+l)处理乘客C和D的下一旅途以及乘客D的其余日志。然后,散列输出(N+l)被提供至下一区块(N+2)(图5中未示出)。
通常,区块链30中的旅途日志可以包括以下信息中的至少一项:
-发行者:多模式运输通行证发行者、移动服务供应商/运输运营商、乘客id(匿名化数据)。
-票信息:票的类型、运输的类型(铁路、乘车共享等)、座位预留(火车/座位号)、价格或票、条款和条件。
-乘坐记录:路堤的位置、其时间/天、下车的位置、其时间/天、未使用/使用。
-备注:特殊注意事项(例如,取消、延迟)。
在一些实施方式中,假设MaaS的区块链使用许可的区块链。在许可的区块链中,仅许可运营商(形成联盟)可以添加/读取区块,并且允许有限的参与者加入交易的验证(即,与信任玩家达成共识)。因此,在一些实施方式中,例如,移动服务供应商被组织在联盟中,并且仅允许具有相应许可的移动服务供应商访问许可的分布式账本或区块链,而恶意参与者或不诚实的参与者不能加入区块链的联盟。
在下文中,参考图6说明用于提供MaaS的(许可)区块链的通信网络40的实施方式。
就弹性而言,通信网络40降低了单点故障(SPOF)的风险,单点故障(SPOF)通常是系统的弱点,例如,对于严重依赖于服务器的中心的常规系统,单点故障(SPOF)可能是系统中的SPOF。
如可以从图6中看出的,通信网络40具有与不同运营商或移动服务供应商相关联的多个节点(或实体)41(大圆圈),诸如MaaS服务供应商、铁路运营商、汽车共享/乘车共享运营商、自行车共享运营商和公共汽车运营商。
此外,存在可以与移动服务供应商的节点41通信的多个乘客42(小圆圈)。移动服务供应商节点41可以一起形成提供MaaS的许可区块链(例如,图5中的区块链30)的通信网络40。
例如,乘客42订阅由移动服务供应商提供的月度MaaS服务或通过与其终端(例如,图4中的终端21)与相关联的移动服务供应商通信购买多模式运输服务的一天/一周通行证。
如所提及的,除诸如汽车铁路公司、运输运营商的常规运输运营商之外,移动服务供应商41可以是新的服务供应商,诸如MaaS运营商(例如,共享乘车)、自行车共享服务供应商、旅行机构。
移动服务供应商41通过通信网络彼此连接,该通信网络是逻辑连接,其中,不必需要运营商或移动服务供应商之间的直接连接,但是可能需要低延迟和高吞吐量。
移动服务供应商的实体或节点41可以具有各种功能,但是存在两个主要功能,还如以上针对图4所讨论的,即,乘客管理功能和区块链管理功能。乘客管理功能支持座位的预定、共享乘车/出租车/汽车租赁/火车的座位预留的预定、月度订阅或购买一天票等。如同正常的电子商务网站,其提供网站或智能电话后端处理的用户接口。
另一方面,对于本实施方式中的终端用户,隐藏区块链,但是通过并且由多个移动服务供应商访问。此外,在本实施方式中,在节点41之间实现联盟(许可)区块链,其验证作为联盟成员的移动服务供应商之间的区块链账本。
在一些实施方式中,该上述实施例被扩展至国际MaaS操作或不同区域的MaaS操作。然后,区块链被定义为多层结构。第一层区块链配置在国家之间或区域之间,并且第二层区块链配置在区域的联盟中。例如,区域联盟中的代表供应商可以加入第一层区块链,并且处理国际服务。
如所提及的,一些实施方式涉及服务订阅/用户简档中的用户的个人信息的分离。
在一些实施方式中,还如图7所示,作为第一步骤,分离乘客(用户)的主要(全部)数据50的敏感信息。此处,全部数据50包括个人(敏感)信息(例如,乘客姓名、家庭地址、电话号码、性别、年龄、护照号、信用卡号等)以及非敏感数据,诸如旅途数据或旅途的统计。如图7所示,全部数据50被划分为非敏感数据50a和敏感数据50b,使得非敏感数据50a与敏感数据彼此分离。
对于MaaS服务的订阅,可能需要乘客输入个人数据,如姓名、年龄、家庭地址、电话号码、信用卡号、护照号/旅行文件等。这些可能混合了敏感数据和非敏感(非识别)数据。
因此,在该实施方式中,敏感信息/数据50b与全部数据50分离,并且敏感数据被额外小心地处理并存储在安全位置。
例如,如果移动服务供应商具有信用卡信息,则在一些实施方式中,其必须符合诸如支付卡行业数据安全标准(PCI标准)的行业安全标准。因此,在这样的实施方式中,利用防火墙保护数据库和网络不受外部网络的影响。
这意味着在一些实施方式中,用于敏感信息的数据库也与区块链节点及其网络(诸如,图6中的节点41及网络40)分离。
还如示出区块链的区块55和55的图8中示出的,在一些实施方式中,利用离链技术执行敏感信息和非敏感信息的这种分离,也如示出区块链的区块55和56的图8所示。
在该实施方式中,乘客的个人数据与区块链之间的关系未被绑定。因此,敏感数据(图7中的50b)未包括在区块链中(也称为离链)。个人数据(敏感数据)存储在MaaS供应商(例如,数据库、存储器等)内部,并且不添加至区块链。
图8示出了MaaS服务的票和旅途记录的示例。票可以由票或通行证发行者(例如,运输运营商)或其他MaaS服务供应商发行。在区块链中,不包括乘客姓名或任何个人数据,但是仅(唯一)票号与其他数据(诸如谁发行票(通行证发行者#1等)、谁是移动服务供应商、与特定乘客相关联的票号的价格和旅途日志标识符)一起包括在区块链的区块55和56的数据结构中。
例如,在该实施方式中,区块链对于联盟的其他成员是开放的,但是其仅可以看到票号而非乘客(用户)的敏感数据。不能获知谁是区块链中的实际乘客。因为他具有存储在其数据库中与区块链分离并且与票号相关联的敏感信息,所以仅票或通行证发行者(或MaaS供应商)可以识别实际的乘客姓名和身份。
然而,通常,在运输业或旅游业中,已知在一些实例中需要乘客姓名记录(PNR)(还参见维基百科https://en.wikipedia.org/wiki/Passenger_name_record)。
因此,例如,因为如果机票的姓名与护照上的姓名不匹配,通常不允许登机,所以例如由移动服务供应商提供的预留系统应保留乘客的个人数据。
在应用所讨论的离链技术的实施方式中,例如,区块链成员基于票号或与乘客相关联的任何其他标识从具有乘客的个人数据的MaaS供应商请求所需的信息。
然而,在一些实施方式中,不能应用离链技术,并且因此,在一些实施方式中,区块链中的乘客的个人数据经受假名化和/或匿名化(参见下一部分)。
在下文中,讨论涉及区块链中的个人数据的假名化和匿名化的实施方式。
如所讨论的,如果需要将类似乘客姓名的个人数据包括在区块链的区块中,则应保护姓名(或任何其他个人数据)。
在一些实施方式中,替换个人数据,并且假名化的典型方式是利用字符或数字替换敏感部分、或零填充、或甚至将其移除。例如,使用初始或其他缩写代替全名或使用用户ID号代替全名等,在一些实施方式中,移除个人数据。然而,可以猜出或推断个人信息和/或可以从其他信息追踪用户信息。
在下文中,讨论用于假名化和匿名化的进一步实施方式。
在一些实施方式中,实现加扰(掩蔽),还也在图9中示出,在图9中,示出了利用加扰进行假名化的方法60。
输入数据61被划分为两部分,即,包括通行证发行者信息的未保护部分62和包括个人数据(即,乘客ID)的受保护部分63。
受保护部分63的数据被作为流输入到加扰处理64(“+”)。在加扰处理64中,受保护部分63和扰码65彼此应用(数学异或计算)。作为输出数据,生成假名化乘客数据66,其与未保护部分62组合作为输出67。
因此,在加扰之后,联盟中的其他成员(例如,移动服务供应商)不能识别区块链中的实际用户,但是例如仅通行证发行者(其知道扰码,或知道扰码的任何其他实体)可以去扰并且去屏蔽乘客ID。
通常,存在用于生成扰码的各种方式,并且本公开不限于在该方面的具体实现方式,但是在一些实施方式中,使用线性反馈移位寄存器(LFSR)。在一些实施方式中,扰码也是可被配置的并且在大量的备选码之中选择扰码,使得可以类似于加密秘钥。
在一些实施方式中,加扰技术允许简单的硬件/软件算法并且加扰通常是可逆的(至少只要扰码可用)。如果有必要或需要,数据的初始来源可以对其进行去扰。
然而,在一些实施方式中,可能不需要可逆性。例如,如果区块链成员之间存在恶意的成员,则可以识别用户ID并且获取信息,并且因此,在一些实施方式中,需要非可逆的实现方式。
在下文中,讨论利用秘钥加密的实施方式。原则上,加扰和加密是类似的过程,但是其目的和设计不同。
加扰的主要目的是数据屏蔽,并且不存在秘钥,但是仅设置了代码号(即,移位寄存器的初始值)。如果有人意外设置了相同的代码,则易于对数据进行去扰。此外,数据的加扰对于尝试所有可能的组合可能是脆弱的,即,基于强力攻击的去扰可能是可能的。但是,加扰通常仅涉及轻处理负载并且易于处理,使得在一些实施方式中还在可信成员之间(例如,在可信成员的联盟中)实现加扰。
另一方面,加密的主要目的是提供秘密的数据。加密的算法通常对于每个人开放,并且其可以使用例如公共秘钥来解密(如果PKI)。如同因特网的情况,这对于公共/不可信组合尤其有用。
然而,加密可能涉及解密的重处理负载、复杂的算法,并且还可能不是免费可用的,但是可以例如受知识产权保护。
如以上所讨论的,GDPR需要用于匿名化数据的不可逆过程。例如,如果数据被开放地提供给第三方,则个人数据必须匿名化。
图10中示出了用于匿名化数据的方法70的实施方式,其中,散列函数71用于数据的匿名化。
通常,散列函数是可以用于利用指定算法将输入数据映射至输出数据的任何函数。输入数据的大小可能较大并且是各种各样的,相反,数据的输出可能紧凑并且可以具有固定的大小。
散列函数71的输入是个人数据72(或任何需要保护的数据)和散列的盐73(或任何初始化随机值)。
散列函数的输出是匿名化个人数据74,其是响应于输入值的唯一值,其中,该散列输出74是不可逆的。
在一些实施方式中,单独存储并且保护盐73。
在一些实施方式中,例如在每次应用时改变盐秘钥,使得这增强匿名化,因为在这种情况下,即使输入再次是相同的用户ID,输出也是不同的,因为使用了不同的盐。
因此,在该实施方式中,由于使用散列,数据的匿名化是非可逆的,由此还提供了不可追踪性。在一些实施方式中,该不可追踪的特性适合于完善匿名化,其中,可以在散列输出之后访问原始数据。
因此,在一些实施方式中,例如当数据被提供给第三方进行统计/大数据分析时,该方法70对于永久地移除个人数据尤其有用。
如所提及的,一些实施方式涉及对分布式账本或区块链的访问控制。
分布式账本的总体优点在于,所有成员可以访问分布式数据库。然而,在一些实施方式中,个人信息应受到保护并且不应无限制地共享,并且因此,在一些实施方式中,取决于数据使用的目的,数据访问受到限制。
通常,取决于数据使用的目的的访问控制可能涉及以下内容和/或可以具有以下特性(单独或组合):
-负责服务订阅的通行证发行者或其他移动服务供应商:还如以上所讨论的,这样的供应商具有关于服务订阅/购买的客户/乘客的敏感信息。包括个人数据的该敏感信息应受到保护,其中,需要假名化以写入区块链的区块。
-票发行者/运输运营商:票发行者/运输运营商保持相关信息符合运输法规。取决于运输类型(例如,航空、铁路、公共汽车等)和票的类型(例如,仅注册乘客),所需要的信息可能不同。运输运营商不访问不必要的信息。在这种情况下,需要假名化以写入区块链的区块。
-第三方的数据分析:第三方不得访问敏感信息。因此,第三方应该不能识别个人信息并且不应访问假名化数据。因此,在这种情况下,在数据访问之前需要匿名化。
-乘客:乘客具有控制自身信息并且删除信息的权利,但是不允许乘客访问其他乘客的信息,并且乘客不可以直接访问区块链或分布式账本。
-紧急-公共安全:公共安全当局可以在紧急情况下访问乘客的全部信息。需要特殊的加密秘钥来访问乘客的全部信息。
如所提及的,在一些实施方式中,实现许可的区块链,并且在许可的区块链(例如,联盟)中,仅许可的实体可以访问分布式账本/区块链。
理论上,联盟的安全级别高于公共区块链。然而,在一些实施方式中,利用单独秘钥的加密对于访问控制也是有益的。
现在将参考图11讨论用于使用加密对区块链进行访问控制的方法80的实施方式。
首先,应利用第一秘钥81(主秘钥)对敏感数据进行加密,该第一秘钥81仅为和与用户简档数据相关联的用户具有合同的MaaS供应商已知。除紧急情况外,该秘钥不应与其他MaaS供应商或任何第三方共享。因此,数据不与其他方共享。因为该秘钥未分配给外部服务器/网络,所以在该实施方式中优选私人秘钥加密。用户管理功能82具有用户简档管理功能82a和乘客旅途管理功能82b,使得用户简档数据(敏感数据)和乘客旅途数据(非敏感数据)彼此分离并且还可以不同地和单独地处理。
用户管理功能82与区块链管理功能83通信,该区块链管理功能83进而与一个或多个区块链84通信。
在本实施方式中,在用户管理功能82与区块链管理功能83之间设置防火墙85来保护敏感数据,并且用户管理功能82和区块链管理功能83可以位于不同的实体上,例如,不同的服务器或其他计算装置。
如所提及的,主秘钥81用于对敏感数据进行加密,使得通过防火墙85和加密来保护敏感数据。
其次,MaaS供应商生成第二秘钥86(服务供应商秘钥)。该第二秘钥86可以与其他MaaS供应商共享,并且可以用于区块链,即,用于由区块链管理功能83存储在区块链84中的区块中的数据的加密。
如果访问区块链84的成员是高度可信的,并且成员的数量不大或成员不频繁地改变(例如,在联盟中),则私人秘钥加密仍然是优选的。
例如,同一秘钥可以长期使用。或者甚至在一些实施方式中仅利用无秘钥的特定序列发生器的加扰也是可能的,在这种情况下,这可以避免密钥分发。
如果成员不可信或存在具体原因,诸如区块链存储在海外,则应使用公共秘钥加密。
其他移动服务供应商还通过经由防火墙89与第三方的区块链管理功能88分离的区块链管理功能87访问区块链84。
此外,提供与第三方共享的第三秘钥90,使得第三方可以访问利用第三秘钥90保护的区块链的信息。
现在参考图12更详细地讨论区块链中的数据保护的原理。
此处,还如以上所提及的,假设MaaS运营商95与乘客具有合同,并且因此,MaaS运营商95还具有乘客的敏感信息和数据。
运输供应商/运营商#1基于与乘客的MaaS运营商合同发行票96,但是运输运营商#1不具有乘客信息细节。
MaaS运营商具有乘客信息的细节,即敏感信息,并且将其插入由运输运营商#1发行的票中,其中,利用特定运输运营商(在这种情况下,为运输运营商#1)的公共秘钥加密进行加密。如以上所讨论的,将该信息放置到包括区块链的票96的区块中。
如可以从图12看出的,在本实施方式中,对于每个运输运营商,提供自身的公共秘钥,并且此处,假设MaaS运营商提前具有所有的公共秘钥。
运输供应商/运营商#1可以利用其自身的私人秘钥对从区块链接收的区块中的受保护的数据进行解密。秘密的私人秘钥不与其他运输运营商共享。
因此,在该实施方式中,其他运输运营商或甚至第三方可以访问区块,但是不能对受保护的数据进行解密,因为其秘密的私人秘钥是不同的。
在一些实施方式中,原则上,数据是开放数据。因此,第三秘钥(参见图11)应与其他第三方共享以用于数据分析(例如,用于获取统计、大数据分析等)。
在下文中,参考图13讨论涉及第三方的开放数据访问的实施方式。
此处,通常,运输运营商具有开放数据的第三方公共秘钥100。第三方秘密秘钥与希望将其用于数据分析的多个第三方共享。运输运营商#1基于第三方秘钥利用开放数据的加密将数据插入如区块101所示的区块中。一个或多个第三方可以利用开放数据的第三方秘密秘钥100对开放数据进行解密,但是如以上所讨论的,不能对利用例如仅移动服务供应商已知的私人秘钥加密的受保护的数据进行解密。
如果使用一个以上的第三方秘钥,则在一些实施方式中可以提供多级访问控制(取决于数据机密性的等级)或指定组的访问控制(取决于第三方的所属组)。
在一些实施方式中,可以使区块中的受保护的数据(即,敏感数据)匿名化。例如,还如图14所示,在一些实施方式中,在区块链中组合匿名化数据和开放数据。
此处,运输运营商#1(票发行者)利用以上参考图10讨论的盐和散列方法生成被输入至区块链的区块105中的匿名化数据(例如,乘客姓名)。区块105还具有利用第三公共秘钥进行加密的开放数据(例如,目的地)。此外,还如以上所讨论的,票号和票发行者#1存储在区块中。
第三公共/秘密秘钥与其他方共享并且可以用于对区块105中的开放数据进行解密,而匿名化数据不能被解密并且也不能被识别,如以上所讨论的。
一些实施方式涉及应用编程接口(API),诸如图15所示的API 110等。
图15基本上对应于图11,并且相同的参考数字还表示相同的实体和功能。图11的实施方式与图15的实施方式之间的区别仅在于,在图15的实施方式中,提供了用于大数据的数据库110,该数据库110还提供可以由第三方访问的API以用于大数据分析功能111。
存储在大数据的数据库110中的运输统计/数据对于公共和商业目的可能是有用的。例如,政府可以将其用于城市规划,并且私人公司可以基于此来确定新商店的位置。在该实施方式中,大数据通常是可访问的,并且对于更广泛的第三方,该数据利用开放应用接口(API)110是可用的。
移动服务供应商或代表移动服务供应商的可信数据库供应商将数据存储在数据库110中而没有敏感信息。移动服务供应商或可信数据库供应商为外部第三方提供访问数据库的API 110。外部第三方可以在没有秘钥(任选地,具有秘钥)的情况下访问数据库110。
API 110可以包括身份检查以防止恶意访问。例如,API可以支持类似OAuth 2.0(RFC 6749)(https://oauth.net/2/)的认证协议。
在一些实施方式中,可以从区块链中擦除敏感数据,并且在下文中,参考图16和图17讨论涉及敏感数据的擦除的实施方式。
通常,因为区块链最初旨在用于永久数据存储,所以区块链实现为使得不能擦除数据。
在第一实施方式中,还如图16所示,用于从区块链中擦除敏感数据的方法115保持区块链中的敏感数据或擦除数据,但是使秘钥无效。
然而,即使该数据被保留在区块链中,但是如果不存在解密的秘钥,则等同于擦除数据,尽管这不是严格意义上的擦除,因为该数据仍然存在,但是它不再能够进行解密。
在本实施方式中,假设存在区块链管理116的主机(通常是与乘客具有合同的MaaS供应商)。在117,一个成员请求擦除数据,而另一成员具有用于对数据进行解密的区块链和秘钥。
因此,方法115中的流程如下。
在117,如所提及的,移动服务供应商的联盟中的一个或多个成员向主机116请求删除区块中的个人数据(或任何敏感数据)。
在118,主机116向联盟中的其他区块链成员发送/广播用于使秘钥无效的请求。
在119,其他区块链成员删除秘钥,并且在120将确认发送至主机116。
在121,主机将数据擦除的确认发送至请求者。
存在用于使秘钥无效的各种方式。在一些实施方式中,秘钥具有定时器或有效时间/日期(或数据本身具有有效性定时器),并且在时间/日期过期之后,可以自动删除秘钥,或者在时间/日期过期之后,解密算法可以拒绝秘钥。
图17中示出了用于从区块链中擦除敏感数据的方法125的另一实施方式,其中,在联盟成员达成共识之后擦除区块链,并且其中,相同参考数字表示相同的实体和功能或方法步骤。
有利地,在许可区块链(联盟类型)中,可以自由管理联盟成员内的区块链。
如已经针对图16的实施方式所讨论的,假设存在区块链管理的主机116(通常是与乘客具有合同的MaaS供应商)。
联盟中的一个成员请求擦除(敏感)数据,其中,另一成员具有区块链及其相关联的秘钥。
因此,流程如下:
在117,一个(或多个)成员向主机116请求删除区块中的个人数据(或任何敏感数据)。
在118’,主机116将区块擦除的请求发送/广播至其他区块链成员,其中,请求可能是擦除区块的特定部分、多个区块或区块链的全部部分(即,整个区块链)。
其他区块链成员检查其是否可接受。如果不可接受,则其他区块链成员在126将同意命令发送至主机116。例如,如果收入共享计算尚未完成,则其他成员可以发送拒绝或等待命令。
在127,基于在126接收的命令检查是否存在共识。如果存在删除区块的共识,则主机发送/广播删除区块的相应命令127a,否则,不擦除区块链。在127b,每个成员根据命令删除区块。
在128,成员将成功区块删除的确认发送至主机116,并且在129,主机将数据擦除的确认发送至请求者。
通常,如所讨论的,利用散列函数对数据进行匿名化是已知的。可以利用匿名化引擎将用户ID或个人标识符转换为匿名化数据。匿名化数据可以聚集并且存储在中央模块中。匿名化防止数据挖掘器识别数据中的个人。在一些实施方式中,如本文所讨论的,这样的匿名化应用于区块链或分布式账本。
此外,如以上所讨论的,尽管通常已知将敏感数据存储在区块链或分布式账本中,然而在一些实施方式中,本公开提供将数据划分为敏感部分和非敏感部分并且不将敏感部分存储在区块链中。
在下文中,将参考图18描述通用计算机130的实施方式。计算机130可以实现为使得其可以基本上用作任何类型的网络设备,例如,基站或新的无线电基站、发送和接收点或通信装置,诸如本文所述的用户设备、(端)终端装置等。计算机具有可以形成电路(诸如本文所述的网络设备和通信装置的任何一个电路)的组件131至141。
使用用于执行本文所述的方法的软件、固件、程序等的实施方式可以安装在计算机130上,然后该计算机130被配置为适合于具体实施方式。
计算机130具有CPU 131(中央处理单元),例如,CPU 131可以根据存储在只读存储器(ROM)132中、存储在存储器137中并且被加载到随机访问存储器(RAM)133中、存储在可以插入相应驱动器139中的介质140上等的程序执行本文所述的各种类型的过程和方法。
CPU 131、ROM 132以及RAM 133与总线141连接,总线141进而连接至输入/输出接口134。CPU、内存以及存储器的数量仅是示例性的,并且技术人员将认识到,计算机130可以相应地被适配并且配置为满足当计算机130用作基站或用户设备(末端终端)时出现的特定要求。
在输入/输出接口134处,连接若干组件:输入135、输出136、存储器137、通信接口138以及可以插入介质140(压缩盘、数字视频盘、压缩闪存等)的驱动器139。
输入135可以是指针装置(鼠标、图形表等)、键盘、麦克风、相机、触摸屏等。
输出136可以具有显示器(液晶显示器、阴极射线管显示器、发光二极管显示器等)、扬声器等。
存储器137可以具有硬盘、固态驱动器等。
例如,通信接口138可以被适配为经由局域网(LAN)、无线局域网(WLAN)、移动电信系统(GSM、UMTS、LTE、NR等)、蓝牙、红外线等进行通信。
应注意,以上描述仅涉及计算机130的示例配置。利用额外或其他传感器、存储装置、接口等可以实现可选的配置。例如,通信接口138可以支持除所提及的UMTS、LTE以及NR之外的其他无线电访问技术。
当计算机130用作基站时,通信接口138可以进一步具有相应的空中接口(例如,提供E-UTRA协议OFDMA(下行链路)和SC-FDMA(上行链路))和网络接口(例如,实现诸如Sl-AP、GTP-U、Sl-MME、X2-AP等的协议)。此外,计算机130可以具有一个或多个天线和/或天线阵列。本公开并不限于这样的协议的任何特殊性。
参考图19讨论用于实现本公开的实施方式的用户设备UE 150和eNB 155(或NReNB/gNB)以及UE 150与eNB 155之间的通信路径154的实施方式。UE 150是通信装置的示例,并且eNB是基站(即,网络设备)的示例,但在该方面不限制本公开。
UE 150具有发送器151、接收器152以及控制器153,其中,通常,技术人员已知发送器151、接收器152以及控制器153的技术功能,并且因此省略其更详细的描述。
eNB 155具有发送器156、接收器157以及控制器158,其中,此处,通常,技术人员还已知发送器156、接收器157以及控制器158的功能,并且因此省略其更详细的描述。
通信路径154具有从UE 150至eNB 155的上行链路路径154a和从eNB 155至UE 150的下行链路路径154b。
在操作期间,UE 150的控制器153控制在接收器152处通过下行链路路径154b接收下行链路信号,并且控制器153控制经由发送器151通过上行链路路径154a发送上行链路信号。
类似地,在操作期间,eNB 155的控制器158控制在发送器156上通过下行链路路径154b发送下行链路信号,并且控制器158控制在接收器157处通过上行链路路径154a接收上行链路信号。
进一步总结,如从描述中显而易见的,一些实施方式涉及用于将数据提供至分布式账本的通信网络节点,其中,节点具有电路,该电路被配置为:提供用于分离敏感用户数据(例如,乘客姓名、家庭地址、电话号码、性别、年龄、护照号、信用卡号等)与非敏感用户数据(诸如旅途数据或旅途统计等)的用户数据管理部分;并且将非敏感用户数据提供至分布式账本。通信网络节点可以是诸如基站、eNodeB等的网络设备,但是节点还可以被配置为通信装置,诸如具有相应配置的电路的用户设备、(末端)终端装置等(例如,移动电话、智能电话、计算机、膝上型电脑、笔记本等)。
在一些实施方式中,电路被进一步配置为将敏感用户数据存储在节点的数据库中,因此节点可以包括数据库或其可以连接至数据库或与数据库相关联。
在一些实施方式中,分布式账本包括(或是)区块链,其中,区块链可以包括多个区块,区块包括非敏感用户数据。
因此,在一些实施方式中,敏感用户数据仅存储在节点的数据库中,而分布式账本或区块链仅包括非敏感用户数据。
在一些实施方式中,分布式账本包括用于移动即服务的数据。
在一些实施方式中,基于许可权来准予对分布式账本的访问,其中,节点可以是联盟的一部分。该联盟可以由移动服务供应商提供,其中,例如,每个节点可以对应于一个移动服务供应商或可以与一个移动服务供应商相关联。
一些实施方式涉及具有用于提供分布式账本的多个节点的通信网络,其中,至少一个节点具有电路,该电路被配置为提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且将非敏感用户数据提供至分布式账本。
通信网络可以被配置为电信网络,其中,电信网络可以被配置为移动电信网络。通信网络的节点可以被配置为使得其提供分布式账本。
在一些实施方式中,如所讨论的,电路被进一步配置为将敏感用户数据存储在节点的数据库中。
如所讨论的,分布式账本可以包括区块链,其中,区块链可以包括多个区块,区块包括非敏感用户数据,并且其中,分布式账本可以包括用于移动即服务的数据。因此,在一些实施方式中,通信网络及其节点被配置为提供MaaS。
在一些实施方式中,基于许可权来准予对分布式账本的访问,其中,节点可以是联盟的一部分(例如,MaaS联盟)。
在一些实施方式中,分布式账本中的个人用户数据(例如,可能唯一识别用户的姓名或其他数据)被假名化或匿名化。如以上所讨论的,例如,因为对于机票,已知用于登机的乘客姓名,所以个人用户数据可以输入至分布式账本中。
在一些实施方式中,通过加扰敏感用户数据使个人用户数据假名化,并且其中,可以基于应用散列算法使个人用户数据匿名化。
在一些实施方式中,提供对非敏感用户数据的访问控制,其中,可以基于秘钥执行访问控制,该秘钥用于非敏感用户数据进行加密。
在一些实施方式中,访问控制为不同方提供不同的秘钥,使得不同方可以获得不同级别的访问。不同方可以例如是具有敏感数据的节点、访问分布式账本的其他节点(例如,可以是联盟的一部分)、以及既不具有敏感数据也不访问分布式账本或不是联盟的一部分、不提供MaaS或仅需要用于数据分析的数据的第三方。
在一些实施方式中,访问控制通过应用编程接口给出对非敏感用户数据的访问。
在一些实施方式中,能够响应于来自至少一个节点的请求而擦除个人用户数据或非敏感用户数据,其中,通过使秘钥无效或通过从分布式账本中擦除数据(包括擦除所有数据)可以擦除数据。如所提及的,分布式账本可以包括区块链,并且可以擦除至少一个区块(包括要擦除的个人数据)。
一些实施方式涉及用于控制具有用于提供分布式账本(如本文所讨论的)的多个节点的通信网络的方法,如以上详细讨论的,该方法包括:提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且将非敏感用户数据提供至分布式账本。例如由通信网络和/或由通信网络节点执行的本文所讨论的所有步骤可以是该方法的一部分。
在一些实施方式中,本文所讨论的方法还实现为计算机程序,当在计算机和/或处理器和/或电路上执行时,该计算机程序使计算机和/或处理器和/或电路执行该方法。在一些实施方式中,还提供了其中存储计算机程序产品的非易失性计算机可读记录介质,当由诸如上述处理器的处理器执行时,该计算机程序产品使本文所述的方法被执行。
应认识到,实施方式描述了具有方法步骤的示例性顺序的方法。然而,方法步骤的具体顺序仅出于说明性目的给出,并且不应被解释为是绑定的。
如果没有另外说明,本说明书中所描述和所附权利要求中要求保护的所有单元和实体可以实现为例如芯片上的集成电路逻辑,并且如果没有另外说明,可以由软件实现由这样的单元和实体提供的功能。
就至少部分地使用软件控制的数据处理设备来实现上述本公开的实施方式而言,应当理解,提供这样的软件控制的计算机程序和提供这样的计算机程序的发送、存储或其他介质被设想为本公开的各方面。
应注意,本技术还可以如下配置。
(1)一种用于将数据提供至分布式账本的通信网络节点,其中,节点包括电路,该电路被配置为:
提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且
将非敏感用户数据提供至分布式账本。
(2)根据(1)的通信网络节点,其中,电路被进一步配置为将敏感用户数据存储在节点的数据库中。
(3)根据(1)或(2)的通信网络节点,其中,分布式账本包括区块链。
(4)根据(3)的通信网络节点,其中,区块链包括多个区块,该区块包括非敏感用户数据。
(5)根据(1)至(4)中任一项的通信网络节点,其中,分布式账本包括用于移动即服务的数据。
(6)根据(1)至(5)中任一项的通信网络节点,其中,基于许可权来准予对分布式账本的访问。
(7)根据(6)的通信网络节点,其中,节点是联盟的一部分。
(8)一种包括用于提供分布式账本的多个节点的通信网络,其中,至少一个节点包括电路,该电路被配置为:
提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且
将非敏感用户数据提供至分布式账本。
(9)根据(8)的通信网络,其中,电路被进一步配置为将敏感用户数据存储在节点的数据库中。
(10)根据(8)或(9)的通信网络,其中,分布式账本包括区块链。
(11)根据(10)的通信网络,其中,区块链包括多个区块,该区块包括非敏感用户数据。
(12)根据(8)至(11)中任一项的通信网络,其中,分布式账本包括用于移动即服务的数据。
(13)根据(8)至(12)中任一项的通信网络,其中,基于许可权来准予对分布式账本的访问。
(14)根据(13)的通信网络,其中,节点是联盟的一部分。
(15)根据(8)至(14)中任一项的通信网络,其中,分布式账本中的个人用户数据被假名化或匿名化。
(16)根据(15)的通信网络,其中,通过加扰敏感用户数据使个人用户数据假名化。
(17)根据(15)的通信网络,其中,基于应用散列算法使个人用户数据匿名化。
(18)根据(8)至(17)中任一项的通信网络,其中,提供对非敏感用户数据的访问控制。
(19)根据(18)的通信网络,其中,基于秘钥执行访问控制,该秘钥用于对非敏感用户数据进行加密。
(20)根据(19)的通信网络,其中,访问控制为不同方提供不同的秘钥。
(21)根据(18)至(20)中任一项的通信网络,其中,访问控制通过应用编程接口给出对非敏感用户数据的访问。
(22)根据(8)至(21)中任一项的通信网络,其中,能够响应于来自至少一个节点的请求而擦除个人用户数据或非敏感用户数据。
(23)根据(22)的通信网络,其中,通过使秘钥无效而擦除数据。
(24)根据(22)的通信网络,其中,通过从分布式账本中擦除数据而擦除数据。
(25)根据(24)的通信网络,其中,分布式账本包括区块链,并且其中,擦除至少一个区块。
(26)一种用于控制包括用于提供分布式账本的多个节点的通信网络的方法,包括:
提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且
将非敏感用户数据提供至分布式账本。
(27)根据(26)的方法,将敏感用户数据存储在节点的数据库中。
(28)根据(26)或(27)的方法,其中,分布式账本包括区块链。
(29)根据(28)的方法,其中,区块链包括多个区块,该区块包括非敏感用户数据。
(30)根据(26)至(29)中任一项的方法,其中,分布式账本包括用于移动即服务的数据。
(31)根据(26)至(30)中任一项的方法,其中,基于许可权来准予对分布式账本的访问。
(32)根据(31)的方法,其中,节点是联盟的一部分。
(33)根据(26)至(32)中任一项的方法,其中,分布式账本中的个人用户数据被假名化或匿名化。
(34)根据(33)的方法,其中,通过加扰敏感用户数据使个人用户数据假名化。
(35)根据(33)的方法,其中,基于应用散列算法使个人用户数据匿名化。
(36)根据(26)至(35)中任一项的方法,其中,提供对非敏感用户数据的访问控制。
(37)根据(36)的方法,其中,基于秘钥执行访问控制,该秘钥用于对非敏感用户数据进行加密。
(38)根据(37)的方法,其中,访问控制为不同方提供不同的秘钥。
(39)根据(36)至(38)中任一项的方法,其中,访问控制通过应用编程接口给出对非敏感用户数据的访问。
(40)根据(26)至(39)中任一项的方法,其中,能够响应于来自至少一个节点的请求而擦除个人用户数据或非敏感用户数据。
(41)根据(40)的方法,其中,通过使秘钥无效而擦除数据。
(42)根据(40)的方法,其中,通过从分布式账本中擦除数据而擦除数据。
(43)根据(42)的方法,其中,分布式账本包括区块链,并且其中,擦除至少一个区块。
Claims (43)
1.一种用于将数据提供至分布式账本的通信网络节点,其中,所述节点包括电路,所述电路被配置为:
提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且
将所述非敏感用户数据提供至所述分布式账本。
2.根据权利要求1所述的通信网络节点,其中,所述电路被进一步配置为将所述敏感用户数据存储在所述节点的数据库中。
3.根据权利要求1所述的通信网络节点,其中,所述分布式账本包括区块链。
4.根据权利要求3所述的通信网络节点,其中,所述区块链包括多个区块,所述区块包括所述非敏感用户数据。
5.根据权利要求1所述的通信网络节点,其中,所述分布式账本包括用于移动即服务的数据。
6.根据权利要求1所述的通信网络节点,其中,基于许可权来准予对所述分布式账本的访问。
7.根据权利要求6所述的通信网络节点,其中,所述节点是联盟的一部分。
8.一种包括用于提供分布式账本的多个节点的通信网络,其中,至少一个节点包括电路,所述电路被配置为:
提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且
将所述非敏感用户数据提供至所述分布式账本。
9.根据权利要求8所述的通信网络,其中,所述电路被进一步配置为将所述敏感用户数据存储在所述节点的数据库中。
10.根据权利要求8所述的通信网络,其中,所述分布式账本包括区块链。
11.根据权利要求10所述的通信网络,其中,所述区块链包括多个区块,所述区块包括所述非敏感用户数据。
12.根据权利要求8所述的通信网络,其中,所述分布式账本包括用于移动即服务的数据。
13.根据权利要求8所述的通信网络,其中,基于许可权来准予对所述分布式账本的访问。
14.根据权利要求13所述的通信网络,其中,所述节点是联盟的一部分。
15.根据权利要求8所述的通信网络,其中,所述分布式账本中的个人用户数据被假名化或匿名化。
16.根据权利要求15所述的通信网络,其中,通过加扰所述敏感用户数据使所述个人用户数据假名化。
17.根据权利要求15所述的通信网络,其中,基于应用散列算法使所述个人用户数据匿名化。
18.根据权利要求8所述的通信网络,其中,提供对所述非敏感用户数据的访问控制。
19.根据权利要求18所述的通信网络,其中,基于秘钥执行所述访问控制,所述秘钥用于对所述非敏感用户数据进行加密。
20.根据权利要求19所述的通信网络,其中,所述访问控制为不同方提供不同的秘钥。
21.根据权利要求18所述的通信网络,其中,所述访问控制通过应用编程接口给出对所述非敏感用户数据的访问。
22.根据权利要求8所述的通信网络,其中,能够响应于来自至少一个节点的请求而擦除个人用户数据或所述非敏感用户数据。
23.根据权利要求22所述的通信网络,其中,通过使秘钥无效而擦除数据。
24.根据权利要求22所述的通信网络,其中,通过从所述分布式账本中擦除数据而擦除所述数据。
25.根据权利要求24所述的通信网络,其中,所述分布式账本包括区块链,并且其中,擦除至少一个区块。
26.一种用于控制包括用于提供分布式账本的多个节点的通信网络的方法,包括:
提供用于分离敏感用户数据与非敏感用户数据的用户数据管理部分;并且
将所述非敏感用户数据提供至所述分布式账本。
27.根据权利要求26所述的方法,进一步包括:将所述敏感用户数据存储在所述节点的数据库中。
28.根据权利要求26所述的方法,其中,所述分布式账本包括区块链。
29.根据权利要求28所述的方法,其中,所述区块链包括多个区块,所述区块包括所述非敏感用户数据。
30.根据权利要求26所述的方法,其中,所述分布式账本包括用于移动即服务的数据。
31.根据权利要求26所述的方法,其中,基于许可权来准予对所述分布式账本的访问。
32.根据权利要求31所述的方法,其中,所述节点是联盟的一部分。
33.根据权利要求26所述的方法,其中,所述分布式账本中的个人用户数据被假名化或匿名化。
34.根据权利要求33所述的方法,其中,通过加扰所述敏感用户数据使所述个人用户数据假名化。
35.根据权利要求33所述的方法,其中,基于应用散列算法使所述个人用户数据匿名化。
36.根据权利要求26所述的方法,其中,提供对所述非敏感用户数据的访问控制。
37.根据权利要求36所述的方法,其中,基于秘钥执行所述访问控制,所述秘钥用于对所述非敏感用户数据进行加密。
38.根据权利要求37所述的方法,其中,所述访问控制为不同方提供不同的秘钥。
39.根据权利要求36所述的方法,其中,所述访问控制通过应用编程接口给出对所述非敏感用户数据的访问。
40.根据权利要求26所述的方法,其中,能够响应于来自至少一个节点的请求而擦除个人用户数据或所述非敏感用户数据。
41.根据权利要求40所述的方法,其中,通过使秘钥无效而擦除数据。
42.根据权利要求40所述的方法,其中,通过从所述分布式账本中擦除数据而擦除所述数据。
43.根据权利要求42所述的方法,其中,所述分布式账本包括区块链,并且其中,擦除至少一个区块。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18202446.3 | 2018-10-25 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980064917.9A Division CN112805961A (zh) | 2018-10-25 | 2019-10-21 | 由区块链支持的隐私保护移动即服务 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118175172A true CN118175172A (zh) | 2024-06-11 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11847249B2 (en) | Privacy-preserving mobility as a service supported by blockchain | |
| US10671733B2 (en) | Policy enforcement via peer devices using a blockchain | |
| US11038672B2 (en) | Secure and distributed management of a proxy re-encryption key ledger | |
| US9137113B2 (en) | System and method for dynamically allocating resources | |
| US20060080526A1 (en) | Login system and method | |
| CN111914293B (zh) | 一种数据访问权限验证方法、装置、计算机设备及存储介质 | |
| CN113168627A (zh) | 通信网络节点、方法和移动终端 | |
| TWI829219B (zh) | 可將取用訊標由區塊鏈子系統移轉給資料請求者裝置的去中心化資料授權控管系統 | |
| CN111859443A (zh) | 账户级区块链隐私数据访问权限管控方法及系统 | |
| US20240048367A1 (en) | Distributed anonymized compliant encryption management system | |
| TWI829218B (zh) | 可經由第三方服務子系統間接移轉取用訊標的去中心化資料授權控管系統 | |
| US20240135036A1 (en) | Privacy-preserving mobility as a service supported by blockchain | |
| CN115022039A (zh) | 信息处理方法、装置、设备、存储介质和计算机程序产品 | |
| TWI829216B (zh) | 可透過第三方服務子系統轉傳訊標請求的去中心化資料授權控管系統 | |
| TWI829217B (zh) | 可彈性調整資料授權政策的去中心化資料授權控管系統 | |
| CN118175172A (zh) | 用于提供分布式账本的通信网络节点、通信网络以及方法 | |
| US20230089487A1 (en) | Communication network, communication network node, user equipment, method | |
| US20240154940A1 (en) | Communication network nodes, methods for providing communication network nodes, terminal device, method for operating a terminal device, methods for communication networks | |
| US20230036353A1 (en) | Communication network node, user equipment, communication network, method | |
| TWI829221B (zh) | 可允許資料請求者裝置查核區塊鏈子系統中的資料授權政策正確性的去中心化資料授權控管系統 | |
| TWI829222B (zh) | 可利用第三方服務子系統提供可查詢資料清單給資料請求者裝置的去中心化資料授權控管系統 | |
| TWI829220B (zh) | 可利用智能合約產生並移轉授權訊標的去中心化資料授權控管系統 | |
| TWI829215B (zh) | 可檢核取用訊標的移轉歷史以驗證取用訊標有效性的去中心化資料授權控管系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication |