一种基于权限管理的可信数据交换方法与流程

1.本发明涉及业务数据处理领域，具体涉及一种基于权限管理的可信数据交换方法。


背景技术：

2.随着信息化快速发展，业务信息的需求量与日俱增，大量数据需要进行传输。掌握可靠有序的数据显得尤为重要。数据交换可以对数据进行分类、整理、授权、加密、解密等处理过程，并利用区块链的新型模式，确保信息的安全快速传输。
3.现有数据由各类人员进行无权、无序、无效地传输，信息传输中容易出现信息泄密、信息被篡改等问题。


技术实现要素：

4.为了解决上述技术缺点，本发明目的是提供一种基于权限管理的可信数据交换方法。其中，包括数据推送模块、数据加密模块、数据数据请求模块、数据解密模块，数据中心及联盟链；基于权限管理的可信数据交换方法包括以下步骤：步骤1，数据推送模块基于数据中心的标准规范进行数据整理，准备推送数据，包含推送数据总量、推送数据说明、推送数据属性说明；步骤2，数据加密模块对所述数据推送模块的推送数据进行加密处理，加密处理基于非对称加密算法，如sm2加密算法；所述数据加密模块通过在数据中心申请公钥进行数据加密；步骤3，数据中心对上述经加密的数据进行权限、处理、存储、分析一系列操作后，将数据传输至各个联盟链进行数据管理追踪；步骤4，数据解密模块基于加密算法、私钥、应用id、应用名称、请求数据id等属性进行解密，同时将解密过程形成日志，同步至步骤6；步骤5，数据请求模块，基于数据服务模块和数据中心，请求模块在发起数据请求时，提交请求申请属性，如数据应用id，数据应用名称，请求数据服务名称,请求数据服务id；获得数据解密私钥；步骤6，联盟链模块，基于区块链技术为不同行业搭建联盟链，将数据请求、请求数据解密日志存入联盟链，进行数据流向的跟踪。
5.进一步地，所述数据中心包括鉴权模块、数据解密、数据仓库、数据服务及数据加密，其中，数据中心处理数据包含以下步骤：步骤11，所述鉴权模块通过判断推送数据请求是否合法，进行数据信息的权限管控；基于数据中心访问权限进行鉴权管理，防止数据信息泄露等安全事件；步骤12，所述数据解密基于推送数据时的公钥，对推送的加密数据通过私钥进行解密操作；步骤13，所述数据仓库模块对解密后的推送数据，进行汇集存储；
步骤14，所述数据服务模块用于对推送数据提供服务整合，形成数据服务商店；步骤15，所述数据加密通过应用id、应用名称、请求数据id属性，对数据服务提供的数据进行非对称加密，加密算法采用sm2/rsa。
6.进一步地，所述数据推送模块用于数据中心的数据采集，数据推送模块可通过前置数据交换、接口推送、文件推送方式进行数据的推送传输；所述前置数据交换，用于将数据通过前置交互机器的方式，进行数据汇集；所述接口推送，用于将数据以接口标准的方式，通过restful接口标准实时推送数据信息；所述文件推送方式，用于将数据信息以文件的形式进行交换汇集。
7.进一步地，在数据推送之前，还包括：步骤21：获取数据中心的用户权限认证信息，包括token信息、授权码；步骤22：获取数据中心的加密私钥；步骤23：整理推送数据总量、推送数据说明、推送数据属性说明、数据服务名称信息。
8.进一步地，数据推送时，需要对数据进行非对称加密，采用sm2/rsa非对称加密算法，对数据进行加密，保证数据的安全性。
9.进一步地，推送至数据中心时，数据中心需要进行鉴权认证，判断推送方是否合法，如推送方的鉴权认证通过，则可将数据推送至数据中心，否则，将拦截推送请求。
10.进一步地，数据中心在接受到推送的数据时，需要对数据进行解密；根据推送方的私钥对应的公钥，对推送数据进行解密。
11.进一步地，推送的数据解密后，按照数据仓库标准对解密数据，按照数据仓库数据标准规范进行入库，数据服务名称，数据量，数据字典属性，提供的服务方式参数。
12.进一步地，数据加密模块需要在数据服务请求时对请求响应的数据进行数据加密，初始请求参数在数据仓库进行数据查询，按照标准要求进行数据格式化；其次根据请求方提供的应用名称、应用id、加密公钥对数据使用sm2、rsa等加密算法进行数据加密。
13.进一步地，请求方在获取到数据结果后需要对相应的结果数据进行解密，包括以下步骤：步骤101：从数据中心获取解密私钥；步骤102：从数据中心获取解密算法；步骤103：获取应用id、应用名称参数；步骤104：通过解密私钥、解密算法、相关参数，对数据进行解密；步骤105：解密算法中包含解密日志、请求日志，并同步至联盟链。
14.本发明具有以下有益效果：针对信息传输中容易出现信息泄密、信息被篡改等问题，本技术利用数据推送模块、数据加密模块、数据数据请求模块、数据解密模块，数据中心及联盟链组成的系统，在数据交换过程中可以对数据进行分类、整理、授权、加密、解密等处理，并利用区块链的新型模式，确保信息的安全快速传输。
附图说明
15.图1为本发明提出的一种基于权限管理的可信数据交换方法的框图。
具体实施方式
16.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
17.如图1所示，一种基于权限管理的可信数据交换方法，其中，包括数据推送模块，数据推送模块用于数据中心的数据采集，数据推送模块可通过前置数据交换、接口推送、文件推送方式进行数据的推送传输；所述前置数据交换，用于将数据通过前置交互机器的方式，进行数据汇集；所述接口推送，用于将数据以接口标准的方式，通过restful接口标准实时推送数据信息；文件推送方式，用于将数据信息以文件的形式进行交换汇集。
18.数据加密模块、数据数据请求模块、数据解密模块，数据中心及联盟链；基于权限管理的可信数据交换方法包括以下步骤：步骤1，数据推送模块基于数据中心的标准规范进行数据整理，准备推送数据，包含推送数据总量、推送数据说明、推送数据属性说明；步骤2，数据加密模块对所述数据推送模块的推送数据进行加密处理，加密处理基于非对称加密算法，如sm2加密算法；所述数据加密模块通过在数据中心申请公钥进行数据加密；步骤3，数据中心对上述经加密的数据进行权限、处理、存储、分析一系列操作后，将数据传输至各个联盟链进行数据管理追踪；步骤4，数据解密模块基于加密算法、私钥、应用id、应用名称、请求数据id等属性进行解密，同时将解密过程形成日志，同步至步骤6；步骤5，数据请求模块，基于数据服务模块和数据中心，提交请求申请属性，如应用id，应用名称，数据服务id；获得数据解密需要的属性，如数据解密私钥；步骤6，联盟链模块，基于区块链技术为不同行业搭建联盟链，将数据请求、请求数据解密日志存入联盟链，进行数据流向的跟踪。
19.数据中心包括：鉴权模块，鉴权模块通过判断推送数据请求是否合法，进行数据信息的权限管控；基于数据中心访问权限进行鉴权管理，防止数据信息泄露等安全事件；数据解密，数据解密基于推送数据时的公钥，对推送的加密数据通过私钥进行解密操作；数据仓库，数据仓库模块对解密后的推送数据，进行汇集存储；所述数据仓库汇集的数据，为数据服务提供数据支撑，数据服务按照服务方式、服务名称、行业类型形成数据服务商店，为用户提供开放的展现。
20.数据服务，数据服务模块用于对推送数据提供服务整合，形成数据服务商店；数据加密，数据加密通过应用id、应用名称、请求数据id属性，对数据服务提供的数据进行非对称加密，加密算法采用sm2/rsa。
21.在数据推送之前，还包括：获取数据中心的用户权限认证信息，包括token信息、授权码；获取数据中心的加密私钥；整理推送数据总量、推送数据说明、推送数据属性说明、数据服务名称信息；数据推送时，需要对数据进行非对称加密，采用sm2/rsa非对称加密算法，对数据进行加密，保证数据的安全性。
22.推送至数据中心时，数据中心需要进行鉴权认证，判断推送方是否合法，如推送方的鉴权认证通过，则可将数据推送至数据中心，否则，将拦截推送请求。
23.数据中心在接受到推送的数据时，需要对数据进行解密；根据推送方的私钥对应的公钥，对推送数据进行解密。
24.推送的数据解密后，按照数据仓库标准对解密数据，按照数据仓库数据标准规范进行入库，数据服务名称，数据量，数据字典属性，提供的服务方式参数。
25.数据加密模块需要在数据服务请求时对请求响应的数据进行数据加密，包括以下步骤：根据请求参数在数据仓库进行数据查询，按照标准要求进行数据格式化；根据请求方提供的应用名称、应用id、加密公钥对数据使用sm2、rsa等加密算法进行数据加密；请求方在获取到数据结果后需要对相应的结果数据进行解密，包括以下步骤：步骤101：从数据中心获取解密私钥；步骤102：从数据中心获取解密算法；步骤103：获取应用id、应用名称参数；步骤104：通过解密私钥、解密算法、相关参数，对数据进行解密；步骤105：解密算法中包含解密日志、请求日志，并同步至联盟链；请求模块在发起数据请求时，需要准备数据应用的id、数据应用名称、请求数据服务id、请求数据服务名称、解密私钥信息，为保证数据的安全性，需要对数据流向进行跟踪，通过区块链技术形成可信的数据交换体系。
26.数据交互的所有过程，都需要通过加解密进行数据安全加固，加固的过程，将数据的来源、数据流向，通过联盟链记录，形成可信的、可追溯的、安全的数据交换体系。
27.结合实例具体操作如下所示：一种基于权限管理的可信数据交换方法，其中，包括数据推送模块、数据加密模块、数据数据请求模块、数据解密模块，数据中心及联盟链；其特征在于，基于权限管理的可信数据交换方法包括以下步骤：步骤1，数据推送模块基于数据中心的标准规范进行数据整理，不同类别的数据标准可能需要设置不同的信息，在建立标准之前先建个标准集，对标准进行分类，设置其需要填写的属性，每个标准集都可以自定义属性。除了单条新建标准的方法，即在新建标准页面设置标准属性值然后保存即可，也支持从 excel文本中导入在表格中编辑好的标准到系统中，还提供了标准文档管理，上传和管理任何格式文档的标准。此外支持从源数据拾取生成数据标准，用户选择源数据及源数据下的字段信息，设置源数据属性与数据标准属性的对应关系，自动获取源数据属性信息填充到标准中，形成标准，准备推送数据，包含推送数据总量、推送数据说明、推送数据属性说明；步骤2，数据加密模块对所述数据推送模块的推送数据进行加密处理，加密处理基于非对称加密算法，如sm2加密算法；所述数据加密模块通过在数据中心申请公钥进行数据加密；加密的依据：y=[x]m，m是已知消息，以x为私钥，y点(ay, by)为公钥。具体为长度为len的串符f，公钥为gy；1) 产生随机数x,取值从1到n-1；2) 计算椭圆曲线点y1=[x]m=(x1,y1), 将y1转换成串符；3) 验证公钥gy, 计算s=[h] gy，如果s是无穷远点，出错退出；
4) 计算(x2,y2)=[x] gy；5) 计算t=fx(x2||y2, len), fx是密钥派生函数，如果t是全0串符，返回第1）步；6) 计算y2=m
⊕
t；7) 计算y3=hash(x2||m||y2)；8) 输出密文y=y1||y3||y2，y1和y3的长度是固定的，y1是64字节，y3是32字节，很方便y从中提取y1，y3和y2。
[0028]
步骤3，数据中心对上述经加密的数据进行权限、处理、存储、分析一系列操作后，将数据传输至各个联盟链进行数据管理追踪；联盟链是指由多个机构共同参与管理的区块链，每个组织或机构管理一个或多个节点，其数据只允许系统内不同的机构进行读写和发送。联盟链的共识过程由预先选好的节点控制。该区块记录的交易将得到全网确认。且具有很高的信任度，交易不需要所有网络节点的确认，所以其交易速度比任何其他的区块链都快。由于读取权限是由该组织决定的，因此自身的隐私保障更好。
[0029]
步骤4，数据解密模块基于加密算法、私钥、应用id、应用名称、请求数据id等属性进行解密，同时将解密过程形成日志，同步至步骤6；具体解密为：sm2结构密文串符f, 私钥gy；1) 从密文比特串f=f1||f3||f2中取出f1,将f1转换成椭圆曲线上的点；2) 验证f1, 计算s=[h] f1，如果s是无穷远点，出错退出；3) 计算(x2,y2)=[gy] c1；4) 计算t=fx(x2||y2, len), fx是密钥派生函数，如果t是全0比特串，出错退出；5) 从f=f1||f3||f2中取出f2，计算m’= f2
⊕
t；6) 计算y=hash(x2||m’||y2)，比较y是否与f3相等，不相等则退出；7) 输出明文m’。
[0030]
步骤5，数据请求模块，基于数据服务模块和数据中心，请求模块在发起数据请求时，提交请求申请属性，如数据应用id，数据应用名称，请求数据服务名称,请求数据服务id；获得数据解密私钥；sm2算法想要成功解密，必须使用与加密公钥对于的私钥，这样才能通过密钥派生函数计算出的异或串符才能和加密时计算的异或串符完全一致。
[0031]
步骤6，联盟链模块，基于区块链技术为不同行业搭建联盟链，将数据请求、请求数据解密日志存入联盟链，进行数据流向的跟踪。
[0032]
1. 如权利要求1所述的基于权限管理的可信数据交换方法，其特征在于，所述数据中心包括鉴权模块、数据解密、数据仓库、数据服务及数据加密，其中，数据中心处理数据包含以下步骤：步骤11，所述鉴权模块通过判断推送数据请求是否合法，进行数据信息的权限管控；基于数据中心访问权限进行鉴权管理，防止数据信息泄露等安全事件；依据步骤1中提前设置不同数据的标准属性进行鉴权, 基于ipfs去中心化存储技术来对未认证的用户声明的属性信息进行鉴权认证的，以保证用户存储数据的可信性、可追溯性、不可逆性和安全性；并且通过利用标准属性对预先设置的属性信息进行鉴权认证，也保证了整个鉴权认证环节中提交到ipfs存储中的数据的完整性和安全性。
[0033]
步骤12，所述数据解密基于推送数据时的公钥，对推送的加密数据通过私钥进行解密操作；
步骤13，所述数据仓库模块对解密后的推送数据，进行汇集存储；步骤14，所述数据服务模块用于对推送数据提供服务整合，形成数据服务商店；步骤15，所述数据加密通过应用id、应用名称、请求数据id属性，对数据服务提供的数据进行非对称加密，加密算法采用sm2/rsa；所述数据推送模块用于数据中心的数据采集，数据推送模块可通过前置数据交换、接口推送、文件推送方式进行数据的推送传输；所述前置数据交换，用于将数据通过前置交互机器的方式，进行数据汇集；所述接口推送，用于将数据以接口标准的方式，通过restful接口标准实时推送数据信息；所述文件推送方式，用于将数据信息以文件的形式进行交换汇集。
[0034]
在数据推送之前，还包括：步骤21：获取数据中心的用户权限认证信息，包括token信息、授权码；步骤22：获取数据中心的加密私钥；步骤23：整理推送数据总量、推送数据说明、推送数据属性说明、数据服务名称信息；数据推送时，需要对数据进行非对称加密，采用sm2/rsa非对称加密算法，对数据进行加密，保证数据的安全性。
[0035]
推送至数据中心时，数据中心需要进行鉴权认证，判断推送方是否合法，如推送方的鉴权认证通过，则可将数据推送至数据中心，否则，将拦截推送请求。
[0036]
数据中心在接受到推送的数据时，需要对数据进行解密；根据推送方的私钥对应的公钥，对推送数据进行解密。
[0037]
推送的数据解密后，按照数据仓库标准对解密数据，按照数据仓库数据标准规范进行入库，数据服务名称，数据量，数据字典属性，提供的服务方式参数。
[0038]
数据加密模块需要在数据服务请求时对请求响应的数据进行数据加密，初始请求参数在数据仓库进行数据查询，按照标准要求进行数据格式化；其次根据请求方提供的应用名称、应用id、加密公钥对数据使用sm2、rsa等加密算法进行数据加密。
[0039]
请求方在获取到数据结果后需要对相应的结果数据进行解密，包括以下步骤：步骤101：从数据中心获取解密私钥；步骤102：从数据中心获取解密算法；步骤103：获取应用id、应用名称参数；步骤104：通过解密私钥、解密算法、相关参数，对数据进行解密；步骤105：解密算法中包含解密日志、请求日志，并同步至联盟链。
[0040]
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。