[发明专利]基于区块链的面向隐私数据共享的权能访问控制方法

说明书

本发明公开了基于区块链的面向隐私数据共享的权能访问控制方法，在搭建的联盟链中，企业B创建一个联盟，针对不同请求数据的企业创建不同的业务通道，这里当企业A请求数据时，企业A和企业B共同加入到同一个数据业务通道内。在VMware虚拟机中搭建服务器，并在服务器上配置CA，搭建CA服务供本发明使用。企业A和企业B通过搭建的CA服务申请自己的数字身份证书，方便后续的安全操作。本发明权限管理效率高，可扩展性更强，更适合企业用户隐私数据共享这种一对一的特殊场景，有效避免了交易过程中的网络攻击和数据泄露；同时，明确了数据的授权使用记录，为数据开放和使用的相关环节提供了不可抵赖的凭证。

技术领域

本发明涉及访问控制领域，数据共享领域和联盟链技术，尤其涉及在企业用户隐私数据共享场景下，基于联盟链和权能的访问控制模型实现的一种数据共享方案。

背景技术

快速发展的移动互联网，正逐渐渗透到人们工作生活的方方面面，各式各样的移动互联网应用迅猛发展，巨大的用户量使得数据呈现指数级增长，大数据的时代已经到来，在数据的背后蕴藏着巨大的价值。为了充分释放数据的价值，必须实现数据的流通共享。而数据共享流通的前提是明确数据的所有权。企业中的数据，从所有权归属上分为脱敏数据和未脱敏的数据，脱敏数据的数据所有权是企业，而未脱敏数据则属于用户隐私数据，所有权归属于用户个人。国家法律层面要求，未经用户授权，企业之间数据交易时不得私自泄露用户的隐私数据。因此，企业间在涉及到用户隐私数据的交易时，前提是要经过数据所有者的授权同意，否则不能进行交易。

随着企业越来越重视挖掘数据价值，市场需求不断增加，通过用户数据获取商业利益将成为趋势。为了解决企业中用户隐私数据的共享问题，用户的授权环节必不可少。而作为数据保护的基石性技术之一，访问控制机制可保证数据仅能被拥有权限的用户访问，在数据的共享过程加入用户授权环节，可以明确数据的所有权，实现数据的安全合法共享，保护了用户个人的隐私。常见的访问控制机制包括访问控制列表(ACL)，基于角色的访问控制(RBAC)，基于属性的访问控制机制(ABAC)等。早期的ACL是通过给每个特定的主体指定相应的权限。这种模式最大的问题就是对于权限的控制比较分散，不易于管理。后来，ABAC的引入解决了这个问题，通过为角色分配权限，然后再将角色分配给主体，而不是直接将权限授予主体。这样管理起来较为方便，但是，随着主体和资源数量的增加，场景越来越复杂，需要管理的角色会越来越多，会导致角色滥用，控制和管理将会很难。ABAC通过引入属性，来实现复杂场景下的更精细的访问控制，但是这种模型明显较为复杂，灵活性和可扩展性较差，在针对一对一的控制管理时，并不合适。以上的几种控制模型大多具有缺乏灵活性，扩展性较差和开销大等问题，显然并不适用于企业用户隐私数据的共享。

鉴于此，本发明基于联盟链和权能访问控制机制，实现一种面向企业用户隐私数据共享的方案。基于权能的访问控制模型，实现一对一的访问访问控制，在不增加访问控制模型复杂性的情况下，可以极大的简化资源的授权访问。同时，引入联盟链技术，将数据的访问控制等环节上链存证，为数据的开放和授权使用环节提供了不可抵赖的凭证。该方案解决了数据共享和隐私保护之间的问题。

发明内容

本发明的主要目的是提出一种面向企业中用户隐私数据(未脱敏的数据)共享的方案，旨在解决数据共享和用户隐私保护的问题，让企业中未脱敏的数据也能实现共享流通，创造出价值。其系统结构图如图1所示。

本发明采用的技术方案为基于权能的访问控制模型与联盟链的结合，实现企业用户隐私数据共享流通。该方案是以一个企业数据共享平台为载体实现的。该平台是以前后端分离模式实现的，前端由Vue框架实现，后端是基于SpringBoot+Mybatis实现的RestfulAPI接口服务的形式供前端页面调用，由于区块链的性能和存储较弱，故数据库采用的是主流的关系型数据库Mysql,而对于区块链种类的选择，考虑到私有链，公有链和联盟链的特点，结合企业数据共享特殊场景，故本方案选取联盟链作为底层链，以Docker容器的方式搭建联盟链网络，链码合约的开发语言选择是Go，链上数据存储到区块链节点上的LevelDB数据库中，平台通过Mysql和联盟链实现链上，链下存储和查询审计。