一种数据操作控制的方法及装置制造方法及图纸

本发明专利技术提供了一种数据操作控制的方法及装置，包括：第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户；生成第一数据操作信息；发送所述第一数据操作信息至所述第二账户请求联合签名；接收来自所述第二账户的签名确认信息；根据所述签名确认信息进行数据操作控制。以及，第二账户接收数据操作信息；验证所述数据操作信息通过后，对所述数据操作信息进行签名处理；向所述第一账户发送签名确认信息。采用本发明专利技术的技术方案，能够有效满足多样性的数据操作控制需求。

【技术实现步骤摘要】

本专利技术涉及数据访问控制
，可应用于基于联合签名的区块链访问控制，特别涉及一种数据操作控制的方法及装置。
技术介绍
为了保证数据安全，设置数据操作控制策略。现有的数据操作控制方案主要是基于单个用户或机构签名授权实现的，不能满足多样性的数据操作需求。
技术实现思路
本专利技术实施例提出了一种数据操作处理、协助数据操作处理的方法及装置，用以克服现有数据操作控制不能满足多样性的数据操作需求的不足。本专利技术实施例提供了一种数据操作控制的方法，包括如下步骤：第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户，所述第一账户为发起数据操作请求的账户；所述第一账户、所述第二账户分别对应一个权限值，所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值；生成第一数据操作信息；所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的；所述原始数据操作信息包括：第一账户标识ID、所述第二账户列表或所述第二账户的公钥；发送所述第一数据操作信息至所述第二账户请求联合签名；接收来自所述第二账户的签名确认信息；根据所述签名确认信息进行数据操作控制。本专利技术实施例提供了一种数据操作控制的方法，包括如下步骤：第二账户接收数据操作信息；所述数据操作信息包括：第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息；验证所述数据操作信息通过后，对所述数据操作信息进行签名处理；向所述第一账户发送签名确认信息。本专利技术实施例提供了一种数据操作控制的装置，包括：确定单元，用于根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户，所述第一账户为发起数据操作请求的账户；所述第一账户、所述第二账户分别对应一个权限值，所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值；生成单元，用于生成第一数据操作信息；所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的；所述原始数据操作信息包括：第一账户标识ID、所述第二账户列表或所述第二账户的公钥；第一发送单元，用于发送所述第一数据操作信息至所述第二账户请求联合签名；第一接收单元，用于接收来自所述第二账户的签名确认信息；控制单元，用于根据所述签名确认信息进行数据操作控制。本专利技术实施例提供了一种数据操作控制的装置，包括：第二接收单元，用于接收数据操作信息；所述数据操作信息包括：第一账户标识ID、第二账户列表、所述第二账户的公钥或已完成的签名信息、；签名单元，用于验证所述数据操作信息通过后，对所述数据操作信息进行签名处理；第二发送单元，用于向所述第一账户发送签名确认信息。本专利技术有益效果如下：本专利技术实施例提供了一种数据操作控制的方法及装置，第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户，发送第一数据操作信息至所述第二账户请求联合签名后，接收所述第二账户的签名确认信息，根据签名确认信息进行数据操作控制，可以为账户分配权限值，在第一账户本身权限值不满足某一个或多个数据操作的权限阈值时，发起联合签名请求至第二账户，根据第二账户的签名确认信息进行数据操作控制，提升联合签名的数字操作控制的可扩展性，满足多样性的数据操作需求。本专利技术实施例提供了一种数据操作控制的方法及装置，第二账户接收到数据操作信息，验证所述数据操作信息通过后，对所述数据操作信息进行签名处理，反馈签名确认信息至第一账户，可以通过对所述数据操作信息进行签名处理的方式，进行对第一账户的数据操作控制，提升联合签名的数字操作控制的可扩展性，满足多样性的数据操作需求。附图说明下面将参照附图描述本专利技术的具体实施例，图1为本专利技术实施例中数据操作控制的方法的流程示意图一；图2为本专利技术实施例中区块链数据的示意图；图3为本专利技术实施例中数据操作信息的示意图；图4为本专利技术实施例中数据操作列表的示意图；图5为本专利技术实施例中数据操作控制的装置的结构示意图一；图6为本专利技术实施例中数据操作控制的方法的流程示意图二；图7为本专利技术实施例中数据操作控制的装置的结构示意图二。具体实施方式为了使本专利技术的技术方案及优点更加清楚明白，以下结合附图对本专利技术的示例性实施例进行进一步详细的说明，显然，所描述的实施例仅是本专利技术的一部分实施例，而不是所有实施例的穷举。并且在不冲突的情况下，本说明书中的实施例及实施例中的特征可以互相结合。图1为本专利技术实施例中数据操作控制的方法的流程示意图一，本专利技术实施例中的数据操作控制的方法可以应用于联合签名的发起方。如图1所示，数据操作控制的方法可以包括如下步骤：步骤101：第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户，所述第一账户为发起数据操作请求的账户；所述第一账户、所述第二账户分别对应一个权限值，所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值；步骤102：生成第一数据操作信息；所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的；所述原始数据操作信息包括：第一账户标识ID、所述第二账户列表或所述第二账户的公钥；步骤103：发送所述第一数据操作信息至所述第二账户请求联合签名；步骤104：接收来自所述第二账户的签名确认信息；步骤105：根据所述签名确认信息进行数据操作控制。具体实施中，第一账户可以是一个或多个，当第一账户为多个时，代表该资产访问由多个用户发起。第一账户或第二账户可以向所在系统提交注册请求以获得唯一的账户ID(Identity，标识)及公、私钥等信息。账户注册成功后，可以对账户类型、账户相关数据信息等进行初始化。可以根据账户的评估结果为每个账户分配相应的数据操作的权限值。不同的数据操作需要的权限值可能不同。本专利技术实施例中的数据操作类型以及各数据操作类型的所需的权限阈值可以预先设置。例如，设预设的数据操作权限阈值为0～100内的整型数字，预设的数据操作权限阈值越高，代表该数据操作对账户的权限值要求越高。在确定第二账户的过程中，除了满足第一账户和第二账户的权限值之和不小于所述预设的数据操作权限阈值之外，第一账户还可以自主选择联合签名的一个或多个第二账户，生成第二账户列表，选择的依据可以是需要共同完成数据操作(例如，支付等)的商业伙伴或者与第一账户同属一个用户的本文档来自技高网...

【技术保护点】
一种数据操作控制的方法，其特征在于，包括如下步骤：第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二账户，所述第一账户为发起数据操作请求的账户；所述第一账户、所述第二账户分别对应一个权限值，所述第一账户和所述一个或多个第二账户对应的权限值之和不小于所述预设的数据操作权限阈值；生成第一数据操作信息；所述第一数据操作信息是基于所述第一账户的私钥对原始数据操作信息进行签名后得到的；所述原始数据操作信息包括：第一账户标识ID、所述第二账户列表或所述第二账户的公钥；发送所述第一数据操作信息至所述第二账户请求联合签名；接收来自所述第二账户的签名确认信息；根据所述签名确认信息进行数据操作控制。

【技术特征摘要】
1.一种数据操作控制的方法，其特征在于，包括如下步骤：
第一账户根据预设的数据操作权限阈值确定联合签名的一个或多个第二
账户，所述第一账户为发起数据操作请求的账户；所述第一账户、所述第二账
户分别对应一个权限值，所述第一账户和所述一个或多个第二账户对应的权限
值之和不小于所述预设的数据操作权限阈值；
生成第一数据操作信息；所述第一数据操作信息是基于所述第一账户的私
钥对原始数据操作信息进行签名后得到的；所述原始数据操作信息包括：第一
账户标识ID、所述第二账户列表或所述第二账户的公钥；
发送所述第一数据操作信息至所述第二账户请求联合签名；
接收来自所述第二账户的签名确认信息；
根据所述签名确认信息进行数据操作控制。
2.如权利要求1所述的方法，其特征在于，所述数据为区块链数据，所述
区块链数据由不同区块数据根据产生时间依次链接而成；每个区块数据包括：
所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的
根哈希值HASH或所述区块数据中包含数据的操作记录信息。
3.如权利要求1所述的方法，其特征在于，所述原始数据操作信息包括：
数据类型、时间戳、联合签名有效期、所述第二账户对应的权限值或数据操作
列表。
4.如权利要求3所述的方法，其特征在于，根据所述签名确认信息进行数
据操作控制，具体包括：
若在联合签名有效期内，所述一个或多个第二账户均反馈签名完成的签名
确认信息，则所述第一账户完成所述数据操作；
若在联合签名有效期内，若干所述第二账户未反馈签名确认信息或者反馈
签名失败的签名确认信息，则所述第一账户不能完成所述数据操作。
5.如权利要求2所述的方法，其特征在于，根据所述签名确认信息进行数

\t据操作控制之后，还包括：
采用区块数据广播所述数据操作记录。
6.一种数据操作控制的方法，其特征在于，包括如下步骤：
第二账户接收数据操作信息；所述数据操作信息包括：第一账户标识ID、
第二账户列表、所述第二账户的公钥或已完成的签名信息；
验证所述数据操作信息通过后，对所述数据操作信息进行签名处理；
向所述第一账户发送签名确认信息。
7.如权利要求6所述的方法，其特征在于，所述数据为区块链数据，所述
区块链数据由不同区块数据根据产生时间依次链接而成；每个区块数据包括：
所述区块数据的产生时间、所述区块数据的根哈希值HASH、前一区块数据的
根哈希值HASH或所述区块数据中包含数据的操作记录信息。
8.如权利要求6所述的方法，其特征在于，所述数据操作信息包括：数据
类型、时间戳、签名有效期、所述第二账户对应的权限值或数据操作列表。
9.如权利要求6所述的方法，其特征在于，验证所述数据操作信息具体包
括：
确定所述数据操作信息中是否包含所述第二账户的密钥；
若确定所述数据操作信息中包含所述第二账户的密钥，确定采用已签
名账户的密钥是否能对所述数据操作信息进行解密；
若确定采用已签名账户的密钥能对所述数据操作信息进行解密，
则验证所述数据操作信息为合法的；
若确定采用已签名账户的密钥不能对所述数据操作信息进行解
密，验证所述数据操作信息为非法的；
若确定所述数据操作信息中不包含所述第二账户的密钥，验证所述数
据操作信息为非法的。
10.如权利要求6所述的方法，其特征在于，验证所述数据操作信息通过
后，对所述数据操作信息进行签名处理，具体包括：
若所述验证结果为所述数据操作信息是合法的，采用上述第二账户的私钥
对所述数据操作信息进行签名；
若所述验证结果为所述数据操作信息是非法的，拒绝对所述数据操作信息
进行签名。
11.如权利要求9所述的方法，其特征在于，对所述数据操作信息进行签
名处理之后，还包括：
根据签名处理的结果更新所述数据操作信息；
向所述第一账户发送签名确认信息之后，还包括：
所述第二账户依据所述第二账户列表中的第二账户顺序发送更新后的数
据操作信息至所述第二账户的下一个第二账户。
12.如权利要求11所述的方法，其特征在于，向所述第一账户发送签名确
认信息之后，还包括：
所述第二账户列表中的最后一个第二账户完成签名后，采用区块数据广播
所述数据操作信息。
13.如权利要求12所述的方法，其特征在于，接收到广播所述数据操作信
息的区块数据后，验证所述区块数据。
14.如权利要求13所述的方法，其特征在于，验证所述区块数据，具体包
括：
确定所述第一账户的公钥及所述第二账户的公钥是否能对所述数据操作
信息解密；
若确定所述第一账户的公钥及所述第二账户的公钥能对所述数据操
作信息解密后，确定所述第一账户和所述第二账户对应的权限值之和是否
不小于预设的数据操作权限阈值；
若确定所述第一账户和所述第二账户对应的权限值之和不小于
所述预设的数据操作权限阈值，验证所述区块数据是有效的；
若确定所述第一账户和所述第二账户对应的权限值之和小于所

\t述预设的数据操作权限阈值，则验证所述区块数据是无效的；
若确定所述第一账户的公钥及所述第二账户的公钥不能对所述数据
操作信息解密，验证所述区块数据是无效的。
15.一种数据操作控制的装置，...

【专利技术属性】
技术研发人员：蒋海，翟海滨，王璟，赵正涌，胡楠，乔肖瑞，
申请(专利权)人：布比北京网络技术有限公司，
类型：发明
国别省市：北京;11