基于区块链的面向隐私数据共享的权能访问控制方法

本发明涉及访问控制领域，数据共享领域和联盟链技术，尤其涉及在企业用户隐私数据共享场景下，基于联盟链和权能的访问控制模型实现的一种数据共享方案。

快速发展的移动互联网，正逐渐渗透到人们工作生活的方方面面，各式各样的移动互联网应用迅猛发展，巨大的用户量使得数据呈现指数级增长，大数据的时代已经到来，在数据的背后蕴藏着巨大的价值。为了充分释放数据的价值，必须实现数据的流通共享。而数据共享流通的前提是明确数据的所有权。企业中的数据，从所有权归属上分为脱敏数据和未脱敏的数据，脱敏数据的数据所有权是企业，而未脱敏数据则属于用户隐私数据，所有权归属于用户个人。国家法律层面要求，未经用户授权，企业之间数据交易时不得私自泄露用户的隐私数据。因此，企业间在涉及到用户隐私数据的交易时，前提是要经过数据所有者的授权同意，否则不能进行交易。

随着企业越来越重视挖掘数据价值，市场需求不断增加，通过用户数据获取商业利益将成为趋势。为了解决企业中用户隐私数据的共享问题，用户的授权环节必不可少。而作为数据保护的基石性技术之一，访问控制机制可保证数据仅能被拥有权限的用户访问，在数据的共享过程加入用户授权环节，可以明确数据的所有权，实现数据的安全合法共享，保护了用户个人的隐私。常见的访问控制机制包括访问控制列表(ACL)，基于角的访问控制(RBAC)，基于属性的访问控制机制(ABAC)等。早期的ACL是通过给每个特定的主体指定相应的权限。这种模式最大的问题就是对于权限的控制比较分散，不易于管理。后来，ABAC的引入解决了这个问题，通过为角分配权限，然后再将角分配给主体，而不是直接将权限授予主体。这样管理起来较为方便，但是，随着主体和资源数量的增加，场景越来越复杂，需要管理的角会越来越多，会导致角滥用，控制和管理将会很难。ABAC通过引入属性，来实现复杂场景下的更精细的访问控制，但是这种模型明显较为复杂，灵活性和可扩展性较差，在针对一对一的控制管理时，并不合适。以上的几种控制模型大多具有缺乏灵活性，扩展性较差和开销大等问题，显然并不适用于企业用户隐私数据的共享。

鉴于此，本发明基于联盟链和权能访问控制机制，实现一种面向企业用户隐私数据共享的方案。基于权能的访问控制模型，实现一对一的访问访问控制，在不增加访问控制模型复杂性的情况下，可以极大的简化资源的授权访问。同时，引入联盟链技术，将数据的访问控制等环节上链存证，为数据的开放和授权使用环节提供了不可抵赖的凭证。该方案解决了数据共享和隐私保护之间的问题。

本发明的主要目的是提出一种面向企业中用户隐私数据(未脱敏的数据)共享的方案，旨在解决数据共享和用户隐私保护的问题，让企业中未脱敏的数据也能实现共享流通，创造出价值。其系统结构图如图1所示。

本发明采用的技术方案为基于权能的访问控制模型与联盟链的结合，实现企业用户隐私数据共享流通。该方案是以一个企业数据共享平台为载体实现的。该平台是以前后端分离模式实现的，前端由Vue框架实现，后端是基于SpringBoot+Mybatis实现的RestfulAPI接口服务的形式供前端页面调用，由于区块链的性能和存储较弱，故数据库采用的是主流的关系型数据库Mysql,而对于区块链种类的选择，考虑到私有链，公有链和联盟链的特点，结合企业数据共享特殊场景，故本方案选取联盟链作为底层链，以Docker容器的方式搭建联盟链网络，链码合约的开发语言选择是Go，链上数据存储到区块链节点上的LevelDB数据库中，平台通过Mysql和联盟链实现链上，链下存储和查询审计。

具体方案如图3所示，在整个的方案中，主要分为以下角：

1数据请求者

在企业隐私数据共享场景下，数据请求者为某个需要用户隐私数据的企业。这里以企业A代指。

2数据拥有者

在企业隐私数据共享场景下，数据拥有者为存储用户隐私数据的企业，该企业并没有权力去共享使用这些用户隐私数据，这里以企业B代指。

3数据所有者

在企业隐私数据共享场景下，数据所有者为用户个人，数据所有权归属用户个人所有，即未经用户主体授权，不得私自交易。这里以用户C代指。

方案实现如下：

首先，在搭建的联盟链中，企业B创建一个联盟，针对不同请求数据的企业创建不同的业务通道，这里当企业A请求数据时，企业A和企业B共同加入到同一个数据业务通道内。

其次，在VMware虚拟机中搭建WindowsServer2008服务器，并在WindowServer2008服务器上配置CA，搭建CA服务供本发明使用。企业A和企业B通过搭建的CA服务申请自己的数字身份证书，方便后续的安全操作。

S1)企业B的数据共享平台展示数据列表；

1)后台敏感数据附上类别标签；

2)通过标签分类展示到共享平台；

S2)企业A注册平台账户；

1)注册平台账号；

2)申请数字证书；

S3)企业A请求数据；

1)查看可获取的数据列表；

2)发送数据请求；

S4)平台进行数据权能控制；

1)权能令牌申请；

2)权能令牌审核；

3)权能委托；

S5)查询审计；

1)链上校验数据交易；

2)链下查询数据交易；

上述的步骤中，具体的实现方法如下：

S1)中所述的内容是企业B的数据共享平台中通过对后台数据库中的数据进行分析归类，通过标签的形式展示在数据共享平台上，比如以位置轨迹数据，信用信息数据，个人偏好数据等分类，如图4所示。

S2)中所述的内容是企业A在企业B的数据共享平台上注册账号信息，注册信息包括企业名称，企业规模等描述信息，生成一个公司A私有的平台账号。此外，公司A向CA服务申请一个证书，私钥自己保存在本地，供后续加密操作，如图4和图5所示。

S3)所述的内容是企业A注册账号之后，登录企业B的数据共享平台，可以查看现有的用户隐私数据列表，同时，还可以根据用户关键字搜索指定用户数据隐私信息列表。当企业A需求某个用户的隐私数据时，点击申请，填写数据请求，数据请求内容包括，请求者信息，请求数据的用途，用户的姓名，是否有权能令牌，及自己的数字证书。将数据请求信息封装成JSON格式发送出去，并通过存证合约上链存证，如图7所示。

S4)所述的内容是企业B的数据共享平台，对企业A的数据访问所做的权能控制过程，是本发明的重点。主要分为三个部分，权能令牌的申请，权能令牌的审核，权能的委托。

对于权能令牌的申请，当企业A提交数据请求后，平台将企业A的数据请求信息封装并以短信的形式发送给指定用户，用户收到短信之后，查看短信内容，并点开短信中的Web授权链接，如图8所示，如果同意，则填写相应的授权信息，用于生成权能令牌；如果不同意，则点击拒绝数据访问请求。当平台收集到Web授权页面的内容，若同意授权，则数据共享平台将根据收集到的用户授权信息生成权能令牌，令牌信息通过企业A的数字证书加密之后，携带自己的签名发送到企业A的账号；若不同意授权，则将拒绝信息返回给企业A的账号。此外，将用户的授权结果信息和权能令牌的hash上链存证。权能令牌的JSON内容格式如下，

其中，”t_id”表示权能令牌的ID，”issuer”表示令牌的发布者，”dig_sign”表示令牌的数字签名，”issue_time”表示令牌的生成时间，”expire_time”表示令牌的失效时间，”encrypt”表示令牌的加密类型和公钥,is_delegate表示是否委派。

对于权能令牌的审核，企业A在没有得到权能令牌时，首先需要通过上述步骤申请权能令牌，申请得到权能令牌后，企业A在数据共享平台中发送数据请求时，将申请到的权能令牌通过共享平台证书加密之后和数据请求一并发送。平台收到企业A的数据请求信息，解密得到权能令牌，并进行令牌校验。校验通过后，将隐私数据获取链接经企业A证书加密后发送给A。若校验不通过，则返回请求失败信息。处理结果通过存证合约上链存证。

对于权能的委托，隐私数据的所有者用户本人可以通过在授权链接里面指定权能委托人或企业，比如可以指定企业B,委托企业B代理，同时，若用户本人想要撤销权能委托人的权力时，则通过授权链接进行权能撤销。数据共享平台收到用户的权能撤销信息时候，更新权能令牌内容，将权能委派字段设置为false。

S5)所述的内容是共享平台数据库和区块链上存放着数据共享交易记录和权能令牌的hash，通过后台查询交易信息供共享平台审计，通过链上查询可验证令牌的真实性和数据交易溯源追责。

相较于现有的数据共享场景中的访问控制方案，本发明提出的面向用户隐私数据的访问控制方案具有以下益处：

1本发明所述的方案是基于联盟链和权能访问控制的方案，相较于传统的访问控制方案更为轻便灵活，权限管理效率高，可扩展性更强，更适合企业用户隐私数据共享这种一对一的特殊场景。

2本发明在权能访问控制及数据流转流程引入CA证书服务，通过非对称加密技术和数字签名技术保证数据的真实性，有效避免了交易过程中的网络攻击和数据泄露。

3本发明在数据的存储上引入了联盟链技术，联盟链相较于公有链处理速度更快，此外，凭借联盟链的不可篡改特性，将数据交易等信息上链存证，明确了数据的授权使用记录，为数据开放和使用的相关环节提供了不可抵赖的凭证。

图1为系统架构图。

图2为功能模块图。

图3为权能控制方案图。

图4为数据展示示意图。

图5为注册页面示意图。

图6为证书申请示意图

图7为数据请求示意图。

图8为用户授权示意图。

为了使本发明的目的，发明内容及优点更加清楚明白，以及结合附图对本发明作进一步的详细说明。实施案例的具体步骤如下：

步骤001：企业A打开企业B的数据共享平台网址，填写注册信息，注册账号，如图5所示。

步骤002：企业A打开证书服务网址，申请数字证书。如图6所示。

步骤003：企业A浏览平台列出的可共享的用户数据，点击申请数据，填写请求信息，并导入自己的数字证书，如图7所示。

步骤004：数据所有者用户收到数据请求授权短信，打开短信中的链接，填写权限授予信息，如图8所示。

步骤005：企业B的数据共享平台生成权能令牌，并将权能令牌安全加密发给企业A的账户。

步骤006：企业A携带权能令牌发送数据请求，共享平台验证成功，短信通知数据所有者用户隐私数据使用信息，并返回私密数据获取接口链接，企业A通过证书解密获取接口地址，获取数据。共享平台验证失败，则返回验证失败信息。

步骤007：企业A通过链上查询验证令牌的真实性和交易记录。

步骤008：数据所有者用户点击权能撤销链接，撤销之前的授权信息，共享平台及时更新令牌信息。

本发明的实施案例中，数据选取的是某企业内部数据库中涉及到用户隐私的数据，包括用户信用，用户轨迹，用户浏览记录等隐私数据信息，在3台Centos7服务器上搭建了多机的Fabric区块链网络，CA服务搭建在WindowServer2008服务器上。数据请求者企业A通过步骤003申请数据，企业B将将请求短信通知数据所有者用户，用户通过步骤004授权，企业B通过步骤005将令牌发送给企业A，企业A通过步骤006获取数据。