基于区块链的面向隐私数据共享的权能访问控制方法技术

本发明专利技术公开了基于区块链的面向隐私数据共享的权能访问控制方法，在搭建的联盟链中，企业B创建一个联盟，针对不同请求数据的企业创建不同的业务通道，这里当企业A请求数据时，企业A和企业B共同加入到同一个数据业务通道内。在VMware虚拟机中搭建服务器，并在服务器上配置CA，搭建CA服务供本发明专利技术使用。企业A和企业B通过搭建的CA服务申请自己的数字身份证书，方便后续的安全操作。本发明专利技术权限管理效率高，可扩展性更强，更适合企业用户隐私数据共享这种一对一的特殊场景，有效避免了交易过程中的网络攻击和数据泄露；同时，明确了数据的授权使用记录，为数据开放和使用的相关环节提供了不可抵赖的凭证。

【技术实现步骤摘要】
基于区块链的面向隐私数据共享的权能访问控制方法
本专利技术涉及访问控制领域，数据共享领域和联盟链技术，尤其涉及在企业用户隐私数据共享场景下，基于联盟链和权能的访问控制模型实现的一种数据共享方案。
技术介绍
快速发展的移动互联网，正逐渐渗透到人们工作生活的方方面面，各式各样的移动互联网应用迅猛发展，巨大的用户量使得数据呈现指数级增长，大数据的时代已经到来，在数据的背后蕴藏着巨大的价值。为了充分释放数据的价值，必须实现数据的流通共享。而数据共享流通的前提是明确数据的所有权。企业中的数据，从所有权归属上分为脱敏数据和未脱敏的数据，脱敏数据的数据所有权是企业，而未脱敏数据则属于用户隐私数据，所有权归属于用户个人。国家法律层面要求，未经用户授权，企业之间数据交易时不得私自泄露用户的隐私数据。因此，企业间在涉及到用户隐私数据的交易时，前提是要经过数据所有者的授权同意，否则不能进行交易。随着企业越来越重视挖掘数据价值，市场需求不断增加，通过用户数据获取商业利益将成为趋势。为了解决企业中用户隐私数据的共享问题，用户的授权环节必不可少。而作为数据保护的基石性技术之一，访问控制机制可保证数据仅能被拥有权限的用户访问，在数据的共享过程加入用户授权环节，可以明确数据的所有权，实现数据的安全合法共享，保护了用户个人的隐私。常见的访问控制机制包括访问控制列表(ACL)，基于角色的访问控制(RBAC)，基于属性的访问控制机制(ABAC)等。早期的ACL是通过给每个特定的主体指定相应的权限。这种模式最大的问题就是对于权限的控制比较分散，不易于管理。后来，ABAC的引入解决了这个问题，通过为角色分配权限，然后再将角色分配给主体，而不是直接将权限授予主体。这样管理起来较为方便，但是，随着主体和资源数量的增加，场景越来越复杂，需要管理的角色会越来越多，会导致角色滥用，控制和管理将会很难。ABAC通过引入属性，来实现复杂场景下的更精细的访问控制，但是这种模型明显较为复杂，灵活性和可扩展性较差，在针对一对一的控制管理时，并不合适。以上的几种控制模型大多具有缺乏灵活性，扩展性较差和开销大等问题，显然并不适用于企业用户隐私数据的共享。鉴于此，本专利技术基于联盟链和权能访问控制机制，实现一种面向企业用户隐私数据共享的方案。基于权能的访问控制模型，实现一对一的访问访问控制，在不增加访问控制模型复杂性的情况下，可以极大的简化资源的授权访问。同时，引入联盟链技术，将数据的访问控制等环节上链存证，为数据的开放和授权使用环节提供了不可抵赖的凭证。该方案解决了数据共享和隐私保护之间的问题。
技术实现思路
本专利技术的主要目的是提出一种面向企业中用户隐私数据(未脱敏的数据)共享的方案，旨在解决数据共享和用户隐私保护的问题，让企业中未脱敏的数据也能实现共享流通，创造出价值。其系统结构图如图1所示。本专利技术采用的技术方案为基于权能的访问控制模型与联盟链的结合，实现企业用户隐私数据共享流通。该方案是以一个企业数据共享平台为载体实现的。该平台是以前后端分离模式实现的，前端由Vue框架实现，后端是基于SpringBoot+Mybatis实现的RestfulAPI接口服务的形式供前端页面调用，由于区块链的性能和存储较弱，故数据库采用的是主流的关系型数据库Mysql,而对于区块链种类的选择，考虑到私有链，公有链和联盟链的特点，结合企业数据共享特殊场景，故本方案选取联盟链作为底层链，以Docker容器的方式搭建联盟链网络，链码合约的开发语言选择是Go，链上数据存储到区块链节点上的LevelDB数据库中，平台通过Mysql和联盟链实现链上，链下存储和查询审计。具体方案如图3所示，在整个的方案中，主要分为以下角色：1数据请求者在企业隐私数据共享场景下，数据请求者为某个需要用户隐私数据的企业。这里以企业A代指。2数据拥有者在企业隐私数据共享场景下，数据拥有者为存储用户隐私数据的企业，该企业并没有权力去共享使用这些用户隐私数据，这里以企业B代指。3数据所有者在企业隐私数据共享场景下，数据所有者为用户个人，数据所有权归属用户个人所有，即未经用户主体授权，不得私自交易。这里以用户C代指。方案实现如下：首先，在搭建的联盟链中，企业B创建一个联盟，针对不同请求数据的企业创建不同的业务通道，这里当企业A请求数据时，企业A和企业B共同加入到同一个数据业务通道内。其次，在VMware虚拟机中搭建WindowsServer2008服务器，并在WindowServer2008服务器上配置CA，搭建CA服务供本专利技术使用。企业A和企业B通过搭建的CA服务申请自己的数字身份证书，方便后续的安全操作。S1)企业B的数据共享平台展示数据列表；1)后台敏感数据附上类别标签；2)通过标签分类展示到共享平台；S2)企业A注册平台账户；1)注册平台账号；2)申请数字证书；S3)企业A请求数据；1)查看可获取的数据列表；2)发送数据请求；S4)平台进行数据权能控制；1)权能令牌申请；2)权能令牌审核；3)权能委托；S5)查询审计；1)链上校验数据交易；2)链下查询数据交易；上述的步骤中，具体的实现方法如下：S1)中所述的内容是企业B的数据共享平台中通过对后台数据库中的数据进行分析归类，通过标签的形式展示在数据共享平台上，比如以位置轨迹数据，信用信息数据，个人偏好数据等分类，如图4所示。S2)中所述的内容是企业A在企业B的数据共享平台上注册账号信息，注册信息包括企业名称，企业规模等描述信息，生成一个公司A私有的平台账号。此外，公司A向CA服务申请一个证书，私钥自己保存在本地，供后续加密操作，如图4和图5所示。S3)所述的内容是企业A注册账号之后，登录企业B的数据共享平台，可以查看现有的用户隐私数据列表，同时，还可以根据用户关键字搜索指定用户数据隐私信息列表。当企业A需求某个用户的隐私数据时，点击申请，填写数据请求，数据请求内容包括，请求者信息，请求数据的用途，用户的姓名，是否有权能令牌，及自己的数字证书。将数据请求信息封装成JSON格式发送出去，并通过存证合约上链存证，如图7所示。S4)所述的内容是企业B的数据共享平台，对企业A的数据访问所做的权能控制过程，是本专利技术的重点。主要分为三个部分，权能令牌的申请，权能令牌的审核，权能的委托。对于权能令牌的申请，当企业A提交数据请求后，平台将企业A的数据请求信息封装并以短信的形式发送给指定用户，用户收到短信之后，查看短信内容，并点开短信中的Web授权链接，如图8所示，如果同意，则填写相应的授权信息，用于生成权能令牌；如果不同意，则点击拒绝数据访问请求。当平台收集到Web授权页面的内容，若同意授权，则数据共享平台将根据收集到的用户授权信息生成权能令牌，令牌信息通过企业A的数字证书加密之后，携带自己的签名发送到企业A的账号；若不同意授权，则将拒绝信息返回本文档来自技高网...

【技术保护点】
1.基于区块链的面向隐私数据共享的权能访问控制方法，首先，在搭建的联盟链中，企业B创建一个联盟，针对不同请求数据的企业创建不同的业务通道，这里当企业A请求数据时，企业A和企业B共同加入到同一个数据业务通道内；/n其次，在VMware虚拟机中搭建服务器，并在服务器上配置CA，搭建CA服务；企业A和企业B通过搭建的CA服务申请自己的数字身份证书；其特征在于：本方法的具体实现步骤如下：/nS1)企业B的数据共享平台展示数据列表；/n1)后台敏感数据附上类别标签；/n2)通过标签分类展示到共享平台；/nS2)企业A注册平台账户；/n1)注册平台账号；/n2)申请数字证书；/nS3)企业A请求数据；/n1)查看获取的数据列表；/n2)发送数据请求；/nS4)平台进行数据权能控制；/n1)权能令牌申请；/n2)权能令牌审核；/n3)权能委托；/nS5)查询审计；/n1)链上校验数据交易；/n2)链下查询数据交易。/n

【技术特征摘要】
1.基于区块链的面向隐私数据共享的权能访问控制方法，首先，在搭建的联盟链中，企业B创建一个联盟，针对不同请求数据的企业创建不同的业务通道，这里当企业A请求数据时，企业A和企业B共同加入到同一个数据业务通道内；
其次，在VMware虚拟机中搭建服务器，并在服务器上配置CA，搭建CA服务；企业A和企业B通过搭建的CA服务申请自己的数字身份证书；其特征在于：本方法的具体实现步骤如下：
S1)企业B的数据共享平台展示数据列表；
1)后台敏感数据附上类别标签；
2)通过标签分类展示到共享平台；
S2)企业A注册平台账户；
1)注册平台账号；
2)申请数字证书；
S3)企业A请求数据；
1)查看获取的数据列表；
2)发送数据请求；
S4)平台进行数据权能控制；
1)权能令牌申请；
2)权能令牌审核；
3)权能委托；
S5)查询审计；
1)链上校验数据交易；
2)链下查询数据交易。


2.根据权利要求1所述的基于区块链的面向隐私数据共享的权能访问控制方法，其特征在于：S1)中所述的内容是企业B的数据共享平台中通过对后台数据库中的数据进行分析归类，通过标签的形式展示在数据共享平台上。


3.根据权利要求1所述的基于区块链的面向隐私数据共享的权能访问控制方法，其特征在于：S2)中所述的内容是企业A在企业B的数据共享平台上注册账号信息，注册信息包括企业名称，企业规模描述信息，生成一个公司A私有的平台账号；此外，公司A向CA服务申请一个证书，私钥自己保存在本地，供后续加密操作。


4.根据权利要求1所述的基于区块链的面向隐私数据共享的权能访问控制方法，其特征在于：S3)所述的内容是企业A注册账号之后，登录企业B的数据共享平台，查看用户隐私数据列表，还能够根据用户关键字搜索指定用户数据隐私信息列表；当企业A需求某个用户的隐私数据时，点击申请，填写数据请求，数据请求内容包括，请求者信息，请求数据的用途，用户的姓名，是否有权能令牌，及自己的数字证书；将数据请求信息封装成JSON格式发送出去，并通过存证合约上链存证。


5.根据权利要求1所述的基于区块链的面向隐私数据共享的权能访问控制方法，其特征在于：S4)所述的内容是企业B的数据共享平台，对企业A的数据访问所做的权能控制过程，分为三个部分：权能令牌的申请、权能令牌的审核和权能的委托。


6.根据权利要求5所述的基于区块链的面向隐私数据共享的权能访问控制方法，其特征在于：对于权能令牌的申请，当企业A提交数据请求后，平台将企业A的数据请求信息封装并以短信的形式发送给指定用户，用户收到短信之后，查看短信内容，并点开短信中的Web授权链接，如果同意，则填写相应的授权信息，用于生成权能令牌；如果不同意，则点击...

【专利技术属性】
技术研发人员：黄志清，张亚川，黄明明，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京;11