本发明专利技术提出了一种数据共享监管系统和方法,所述数据共享监管系统包括安全存储服务和数据安全网关,所述安全存储服务用于为数据所有者提供上传并存储共享数据的服务,或者是响应数据使用者的数据访问请求;数据安全网关用于记录数据使用者访问共享数据的访问记录,或者是,响应数据监管者的审计请求。本发明专利技术的优点是提供了一种基于数据安全网关的共享书监管审计系统及方法,使得共享数据的访问行为能够以透明的方式记录在数据安全网关上,使得数据使用过程的审计追溯更加方便。据使用过程的审计追溯更加方便。据使用过程的审计追溯更加方便。
【技术实现步骤摘要】
一种数据共享监管系统和方法
[0001]本专利技术涉及大数据领域,具体涉及一种数据共享监管系统和方法。
技术介绍
[0002]随着数字化进程加快,当今社会生产生活所产生的数据种类和规模前所未有的增长,数据作为一种新型资源,具有其他资源无法替代的经济价值,而实现数据价值的关键是要打破数据孤岛壁垒,实现数据的融合共享。然而,在实际应用中,由于监管技术手段不到位,导致在共享使用的过程中发送各类数据泄露事件,侵害了数据所有人的合法权益。
[0003]为了实现大数据的融合共享的安全可控,需要对大数据共享过程进行有效监管。然而目前还缺乏有效的技术支撑,大多依赖于发生事故后的调查取证,无法实现对数据共享使用的有效监管,并且一旦发生数据泄露,安全事件回溯追责也会十分困难。
[0004]综上所述,急需一种数据共享监管系统和方法以解决现有技术中存在的问题。
技术实现思路
[0005]本专利技术目的在于提供一种数据共享监管系统和方法,具体技术方案如下:
[0006]本专利技术提出了一种数据共享监管系统,包括安全存储服务和数据安全网关,所述安全存储服务用于为数据所有者提供上传并存储共享数据的服务,或者是响应数据使用者的数据访问请求;数据安全网关用于记录数据使用者访问共享数据的访问记录,或者是,响应数据监管者的审计请求;
[0007]所述数据安全网关包括数据访问代理、安全策略模块、日志模块、数据审计代理和区块链;
[0008]所述数据访问代理用于接收数据使用者发出的数据访问请求,验证数据访问请求后转发至安全存储服务;
[0009]所述安全策略模块用于生成数据使用者的访问权限,数据访问代理基于访问权限验证数据访问请求;
[0010]所述日志模块用于生成访问日志,所述访问日志用于记录数据使用者的操作行为;
[0011]所述数据审计代理用于响应数据审查者发出的审计请求,利用区块链校验对应审计请求的访问日志后将所述访问日志发送至数据监管者;
[0012]所述区块链由多个区块组成,所述区块包括区块头和区块体,所述区块头存储共享数据的元数据,所述区块体存储访问日志;所述元数据为数据所有者信息、数据标识信息和关键词信息;数据标识信息包括共享数据ID;数据描述关键字信息用于描述共享数据内容。
[0013]具体的,所述访问权限包括共享数据ID、数据使用者ID、操作权限和有效时限。
[0014]具体的,所述操作权限包括部分读取权限、全部读取权限以及写入权限。
[0015]具体的,所述操作行为包括数据使用者ID、操作动作、共享数据ID和操作时间,所
述操作动作包括对共享数据的查询、修改、复制和删除。
[0016]具体的,所述数据标志信息还包括共享数据的数据名称、数据类型和数据密级,所述共享数据ID由数据名称、数据类型和数据密级组成。
[0017]具体的,所述区块体结构为Merkle树,叶子节点包括日志文档的摘要信息以及日志文档的位置信息。
[0018]具体的,所述安全策略模块和日志模块位于一个可信计算环境中运行。
[0019]另外,本专利技术还提出了一种上述数据共享监管系统的数据共享监管方法,步骤如下:
[0020]步骤S1:数据所有者共享数据,具体是,数据所有者将共享数据上传至所述安全存储服务中,同时将对应该共享数据的元数据和访问权限发送数据安全网关,数据安全网关基于访问权限生成密钥,每一种访问权限对应一个密钥,并将所述密钥反馈给数据所有者;
[0021]步骤S2:数据使用者访问数据,具体是,数据使用者从数据所有者获取密钥,基于密钥向数据安全网关发起数据访问请求;
[0022]步骤S3:数据安全网关代理请求,具体是,数据安全网关接收数据访问请求并根据密钥确认访问权限,若无法识别密钥,则终止此次访问请求;查询到密钥对应的访问权限后,数据安全网关将数据访问请求发送至安全存储服务,安全存储服务基于密钥将对应的共享数据反馈至数据使用者;数据安全网关在数据使用者使用共享数据时生成访问日志,并将访问日志存储到区块链中;
[0023]步骤S4:数据监管者审计,具体是,数据监管者向数据安全网关发出审计请求,数据安全网关校验审计请求对应的访问日志的完整性,若访问日志不完整,则将结果反馈至数据监管者,若访问日志完整,则将访问日志反馈至数据监管者。
[0024]具体的,在步骤S3中,所述数据安全网关存储访问日志的具体方式如下:
[0025]数据安全网关向区块链发起上链请求,并调用智能合约将访问日志及其哈希值添加到区块链中。
[0026]具体的,在步骤S4中,所述数据安全网关验证访问日志完整性的方式如下:
[0027]计算访问日志的哈希值,基于所述哈希值找到区块链中对应的数据信息,将所述数据信息和访问日志对比,若相同则表明访问日志未遭篡改,若不同则表明访问日志遭到篡改。
[0028]应用本专利技术的技术方案,具有以下有益效果:
[0029]本专利技术利用区块链的去中心化和不可抵赖的特点,建立了一种基于数据安全网关的共享数据监管系统,使得共享数据的访问行为能够以透明的方式记录在多个数据安全网关构成的联盟链上,使得数据使用过程的审计追溯更加方便。
[0030]本专利技术中的数据安全网关利用可信执行环境(TEE)来运行数据访问控制和操作记录的各个步骤,而TEE不允许任何用户直接读取TEE中存储的数据,只有拥有特定秘钥或者经过授权才可以获取到相关数据,从而保证操作行为的记录在上链之前不会被篡改。
[0031]本专利技术中的数据所有者给出的访问权限经过与数据所有者身份绑定的密钥加密后保存在数据安全网关的可信执行环境中,数据使用者在访问数据时需要通过数据所有者获取密钥,有利于共享数据访问过程的监管。
[0032]除了上面所描述的目的、特征和优点之外,本专利技术还有其它的目的、特征和优点。
下面将参照图,对本专利技术作进一步详细的说明。
附图说明
[0033]构成本申请的一部分的附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:
[0034]图1是数据共享监管系统的工作原理简图;
[0035]图2是数据安全网关的结构简图;
[0036]图3是区块结构的示意图;
[0037]图4是数据共享监管方法的步骤流程图。
具体实施方式
[0038]以下结合附图对本专利技术的实施例进行详细说明,但是本专利技术可以根据权利要求限定和覆盖的多种不同方式实施。
[0039]实施例1:
[0040]本实施例以企业的电子文档数据为具体的数据样式,阐述本专利技术的优势和目的。随着信息化、云端办公在企事业单位的深入,文档电子化程度越来越高,这些基于信息化的云服务和网络的电子文档在企业的各个部门乃至不同企业间共享流转,从而大幅提升企业的办公效率。然而,大量的电子文档在网络环境中共享时容易造成信息泄露,给企业带本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据共享监管系统,其特征在于,包括安全存储服务和数据安全网关,所述安全存储服务用于为数据所有者提供上传并存储共享数据的服务,或者是响应数据使用者的数据访问请求;数据安全网关用于记录数据使用者访问共享数据的访问记录,或者是,响应数据监管者的审计请求;所述数据安全网关包括数据访问代理、安全策略模块、日志模块、数据审计代理和区块链;所述数据访问代理用于接收数据使用者发出的数据访问请求,验证数据访问请求后转发至安全存储服务;所述安全策略模块用于生成数据使用者的访问权限,数据访问代理基于访问权限验证数据访问请求;所述日志模块用于生成访问日志,所述访问日志用于记录数据使用者的操作行为;所述数据审计代理用于响应数据审查者发出的审计请求,利用区块链校验对应审计请求的访问日志后将所述访问日志发送至数据监管者;所述区块链由多个区块组成,所述区块包括区块头和区块体,所述区块头存储共享数据的元数据,所述区块体用于存储访问日志;所述元数据为数据所有者信息、数据标识信息和关键词信息;数据标识信息包括共享数据ID;数据描述关键字信息用于描述共享数据内容。2.根据权利要求1所述的数据共享监管系统,其特征在于,所述访问权限包括共享数据ID、数据使用者ID、操作权限和有效时限。3.根据权利要求2所述的数据共享监管系统,其特征在于,所述操作权限包括部分读取权限、全部读取权限以及写入权限。4.根据权利要求1所述的数据共享监管系统,其特征在于,所述操作行为包括数据使用者ID、操作动作、共享数据ID和操作时间,所述操作动作包括对共享数据的查询、修改、复制和删除。5.根据权利要求1所述的数据共享监管系统,其特征在于,所述数据标志信息还包括共享数据的数据名称、数据类型和数据密级,所述共享数据ID由数据名称、数据类型和数据密级组成。6.根据权利要求1所述的数据共享监管系统,其特征在于,所述区块体结构为Merkle树,叶子节点包括日志文档的摘要信息以及日志文档的位置信息。...
【专利技术属性】
技术研发人员:任江春,
申请(专利权)人:湖南文盾信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。