一种适用于联盟链的数据安全信使方法及系统技术方案

本发明专利技术公开了一种适用于联盟链的数据安全信使方法及系统，数据生成端按照安全策略配置数据安全信封，将数据安全信封程序体和影子守护进程封装成加密壳体，将加密数据体和加密壳体装载到数据安全信封；数据生成端将数据安全信封上传到区块链网络；数据使用端从区块链网络上交易得到数据安全信封；数据使用端获取数据安全信封，激活数据安全信封，由数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将加密数据体重组解密后的数据体装载到虚拟逻辑磁盘内且数据体的使用权限受数据安全信封程序体中配置给使用方的权限控制，由影子守护进程对数据安全信封程序体进行监管守护；本发明专利技术能实现数据的安全可控流转和合法合规使用。

A data security messenger method and system for alliance chain

【技术实现步骤摘要】
一种适用于联盟链的数据安全信使方法及系统
本专利技术涉及区块链应用
，特别涉及一种适用于联盟链的数据安全信使方法及系统。
技术介绍
区块链(Blockchain)是基于密码学的分布式数据库系统。区块链这一概念最早来源于2008年11月发表的一篇题为《比特币：一种点对点的电子现金系统》的论文，文中提出区块链技术是构建比特币数据结构与交易信息加密传输的基础，比特币也是区块链技术的第一个应用。总体来讲，区块链是一个由数据区块通过链式结构组成的具有时序特征的分布式的共享账本系统，具有泛中心化、开放性、匿名性和信息不可篡改等特点。区块链可以分为公有链、联盟链和私有链。其中，联盟链仅限于联盟成员参与，区块链上的读写权限、参与记账权限按联盟规则来制定。整个网络由成员机构共同维护，网络接入一般通过成员机构的网关节点接入，共识过程由预先选好的节点控制。联盟链中的数据不会默认公开，数据只限于联盟里的机构及其用户才有权限进行访问。联盟链对数据隐私保护和数据安全管控的要求很高。一种基于区块链的数据安全传输方法和设备，对数据安全传输有一定的保护作用。通常，数据提供方和数据使用方通过预先设置公钥和私钥，实现数据加密传送，解密使用，这样，有效保护数据传输的安全。现有技术对所处理的数据，实现了一定的安全防护功能。但是，对于数据使用方解密后数据的流转使用行为，数据提供方无法掌控，缺乏有效的防泄漏手段。
技术实现思路
本专利技术所要解决的技术问题是：提供一种适用于联盟链的数据安全信使方法及系统，实现了数据的安全可控流转和合法合规使用。为了解决上述技术问题，本专利技术采用的技术方案为：一种适用于联盟链的数据安全信使方法，包括步骤：S1、数据生成端按照安全策略配置数据安全信封，将数据安全信封程序体和影子守护进程封装成加密壳体，将加密数据体和加密壳体装载到所述数据安全信封；S2、数据生成端将所述数据安全信封上传到区块链网络；S3、数据使用端从所述区块链网络上交易得到所述数据安全信封；S4、数据使用端获取所述数据安全信封，激活所述数据安全信封，由所述数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将所述加密数据体重组解密后的数据体装载到所述虚拟逻辑磁盘内且所述数据体的使用权限受所述数据安全信封程序体中配置给使用方的权限控制，由所述影子守护进程对所述数据安全信封程序体进行监管守护。为了解决上述技术问题，本专利技术采用的另一种技术方案为：一种适用于联盟链的数据安全信使系统，包括数据生成端以及数据使用端，所述数据生成端包括第一存储器、第一处理器及存储在第一存储器上并可在第一处理器上运行的第一计算机程序，所述数据使用端包括第二存储器、第二处理器及存储在第二存储器上并可在第二处理器上运行的第二计算机程序，所述第一处理器执行所述第一计算机程序时实现以下步骤：S1、按照安全策略配置数据安全信封，将数据安全信封程序体和影子守护进程封装成加密壳体，将加密数据体和加密壳体装载到所述数据安全信封；S2、将所述数据安全信封上传到区块链网络；所述第二处理器执行所述第二计算机程序时实现以下步骤：S3、从所述区块链网络上交易得到所述数据安全信封；S4、获取所述数据安全信封，激活所述数据安全信封，由所述数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将所述加密数据体重组解密后的数据体装载到所述虚拟逻辑磁盘内且所述数据体的使用权限受所述数据安全信封程序体中配置给使用方的权限控制，由所述影子守护进程对所述数据安全信封程序体进行监管守护。本专利技术的有益效果在于：一种适用于联盟链的数据安全信使方法及系统，由数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将加密数据体重组解密后的数据体装载到虚拟逻辑磁盘内且数据体的使用权限受数据安全信封程序体中配置给使用方的权限控制，由影子守护进程对数据安全信封程序体进行监管守护，由于数据使用方在虚拟逻辑磁盘上的一切操作完全受控，从而实现了数据的安全可控流转和合法合规使用。附图说明图1为本专利技术实施例的一种适用于联盟链的数据安全信使方法的流程示意图；图2为本专利技术实施例涉及的数据安全信封的结构示意图；图3为本专利技术实施例涉及的数据安全信封的信息交互示意图；图4为本专利技术实施例的一种适用于联盟链的数据安全信使系统的结构示意图。标号说明：1、一种适用于联盟链的数据安全信使系统；2、数据生成端；3、第一处理器；4、第一存储器；5、数据使用端；6、第二处理器；7、第二存储器。具体实施方式为详细说明本专利技术的
技术实现思路
、所实现目的及效果，以下结合实施方式并配合附图予以说明。请参照图1至图3，一种适用于联盟链的数据安全信使方法，包括步骤：S1、数据生成端按照安全策略配置数据安全信封，将数据安全信封程序体和影子守护进程封装成加密壳体，将加密数据体和加密壳体装载到所述数据安全信封；S2、数据生成端将所述数据安全信封上传到区块链网络；S3、数据使用端从所述区块链网络上交易得到所述数据安全信封；S4、数据使用端获取所述数据安全信封，激活所述数据安全信封，由所述数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将所述加密数据体重组解密后的数据体装载到所述虚拟逻辑磁盘内且所述数据体的使用权限受所述数据安全信封程序体中配置给使用方的权限控制，由所述影子守护进程对所述数据安全信封程序体进行监管守护。从上述描述可知，本专利技术的有益效果在于：由数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将加密数据体重组解密后的数据体装载到虚拟逻辑磁盘内且数据体的使用权限受数据安全信封程序体中配置给使用方的权限控制，由影子守护进程对数据安全信封程序体进行监管守护，由于数据使用方在虚拟逻辑磁盘上的一切操作完全受控，从而实现了数据的安全可控流转和合法合规使用。进一步地，所述步骤S4中还包括：所述数据安全信封程序体记录打开时间和操作记录，将所述打开时间和操作记录作为日记文件上传至区块链网络。从上述描述可知，数据安全信封的日志审计系统基于区块链技术，用户对每个数据安全信封的每次操作记录都被实时的上链存证，区块链技术有效保证了日志文件的防伪造和防篡改，监管人员也可以对日志文件进行查证、核验和溯源，以实现数据流转使用全流程上链存证记录。进一步地，所述步骤S1中还包括：获取信封封装套件，由信封封装套件对数据体进行脱敏处理，得到脱敏数据，通过哈希算法对所述脱敏数据提取消息摘要，对所述消息摘要进行数字签名，以得到数据标签，对所述数据标签添加水印，并随机选择信封封装套件所提供的加密算法，使用公钥对添加水印后的数据体进行加密处理，封装成由内至外依次为数据体、数据标签、水印和加密的加密数据体。从上述描述可知，本专利技术的数据体经过多重保护，以保证其数据体的安全性能。进一步地，所述步骤S1中的“安全策略”包括计算机软硬件环境和安全公钥本文档来自技高网...

【技术保护点】
1.一种适用于联盟链的数据安全信使方法，其特征在于，包括步骤：/nS1、数据生成端按照安全策略配置数据安全信封，将数据安全信封程序体和影子守护进程封装成加密壳体，将加密数据体和加密壳体装载到所述数据安全信封；/nS2、数据生成端将所述数据安全信封上传到区块链网络；/nS3、数据使用端从所述区块链网络上交易得到所述数据安全信封；/nS4、数据使用端获取所述数据安全信封，激活所述数据安全信封，由所述数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将所述加密数据体重组解密后的数据体装载到所述虚拟逻辑磁盘内且所述数据体的使用权限受所述数据安全信封程序体中配置给使用方的权限控制，由所述影子守护进程对所述数据安全信封程序体进行监管守护。/n

【技术特征摘要】
1.一种适用于联盟链的数据安全信使方法，其特征在于，包括步骤：
S1、数据生成端按照安全策略配置数据安全信封，将数据安全信封程序体和影子守护进程封装成加密壳体，将加密数据体和加密壳体装载到所述数据安全信封；
S2、数据生成端将所述数据安全信封上传到区块链网络；
S3、数据使用端从所述区块链网络上交易得到所述数据安全信封；
S4、数据使用端获取所述数据安全信封，激活所述数据安全信封，由所述数据安全信封程序体建立一块完全受控的虚拟逻辑磁盘，将所述加密数据体重组解密后的数据体装载到所述虚拟逻辑磁盘内且所述数据体的使用权限受所述数据安全信封程序体中配置给使用方的权限控制，由所述影子守护进程对所述数据安全信封程序体进行监管守护。


2.根据权利要求1所述的一种适用于联盟链的数据安全信使方法，其特征在于，所述步骤S4中还包括：
所述数据安全信封程序体记录打开时间和操作记录，将所述打开时间和操作记录作为日记文件上传至区块链网络。


3.根据权利要求1的一种适用于联盟链的数据安全信使方法，其特征在于，所述步骤S1中还包括：
获取信封封装套件，由信封封装套件对数据体进行脱敏处理，得到脱敏数据，通过哈希算法对所述脱敏数据提取消息摘要，对所述消息摘要进行数字签名，以得到数据标签，对所述数据标签添加水印，并随机选择信封封装套件所提供的加密算法，使用公钥对添加水印后的数据体进行加密处理，封装成由内至外依次为数据体、数据标签、水印和加密的加密数据体。


4.根据权利要求3所述的一种适用于联盟链的数据安全信使方法，其特征在于，所述步骤S1中的“安全策略”包括计算机软硬件环境和安全公钥；
所述步骤S4中“数据使用端获取所述数据安全信封，激活所述数据安全信封”具体为：
数据使用端获取所述数据安全信封，使用安全私钥打开所述数据安全信封，计划所述数据安全信封，由所述数据安全信封程序体自动检测当前计算机软硬件环境是否符合安全策略内设置的计算机软硬件环境，若检测到处于非安全环境或非授权环境时，由数据安全信封程序体向区块链网络发送报警信息，以接受区块链网络返回的控制指令，若在预设时间内未收到区块链网络返回的应答信息，则所述数据安全信封程序体自动销毁数据安全信封内的所有数据；
所述步骤S4中“由所述影子守护进程对所述数据安全信封程序体进行监管守护”具体为：
所述影子守护进程监控所述数据安全信封程序体是否受到注入、劫持或篡改的恶意攻击行为，若监控到受到恶意攻击行为，则所述数据安全信封程序体自动销毁数据安全信封内的所有数据；
所述数据安全信封程序体判断当前是否受到非法操作，若是，则所述数据安全信封程序体自动销毁数据安全信封内的所有数据，所述非法操作包括当前打开次数超过所述安全策略内设置的预设打开次数和当前密码错误次数超过所述安全策略内设置的预设密码错误次数。


5.根据权利要求1所述的一种适用于联盟链的数据安全信使方法，其特征在于，所述步骤S4之后还包括：
数据使用端退出数据安全信封后，由所述数据安全信封程序体将数据体恢复成加密数据体。


6.一种适用于联盟链的数据安全信使系统，包括数据生成端以及数据使用端，所述数据生成端包括第一存储器、第一处理器及存储在第一存储器上并可在第一处理器上运行的第一计算机程序，所述数据使用端包括第二存储器、第二处理器及存储在第二存储器上并可在第二处理器上运行...

【专利技术属性】
技术研发人员：刘皓，斯雪明，
申请(专利权)人：福建福链科技有限公司，
类型：发明
国别省市：福建;35