一种区块链数据安全及隐私保护方法

摘要

本发明公开了一种区块链数据安全及隐私保护方法，包括：通过平台系统登录产生的数据进行记录，缓存至各自的数据库中；进行区块链数据存证；将加密后的信息存储在新的数据区块，通过共识机制校验；数据以密文的方式保存在区块链上，依赖区块链账户体系的加密特性进行授权访问；在区块链上仅保留密文，由数据所有者持有密钥，在链外进行数据访问授权，通过智能合约授权列表与账户体系实现数据授权访问，通过智能合约获取解密的密钥，进行解密，将数据发送到用户终端节点，解密后获取数据，将数据反馈。本发明通过三层数据模型对隐私数据进行保护，使得数据仅在获得授权的情况下才可以被访问，数据存储在智能合约内，可以进行实时维护和更新。

说明书

技术领域

本发明内容涉及计算机技术领域，尤其涉及一种区块链数据安全及隐私保护方法。

背景技术

区块链是利用分布式节点共识算法来生成和更新数据的分布式账本，利用密码学串接并保护内容不被篡改，用以串连交易记录(又称区块，允许多个交易产生一个区块)。每一个区块包含了前一个区块的加密哈希、相应时间戳记以及交易数据。这样的设计使得区块内容具有难以篡改的特性。用区块链所串接的分布式账本能让多方有效记录交易，且可永久查验此交易。

区块链可以方便的实现资产数字化，资产的跨平台流转。数据全网公开透明是区块链最重要的特性之一。但是在联盟链等某些商业应用场景下，用户的数据被分为可公开数据和私有数据，可公开数据可以全网透明，私有数据只有数据拥有者才能查看。但是现在很多的区块链网络由于无法保护数据隐私，不能满足联盟链等某些商业应用场景下的数据要求。

数据隐私保护是指数据拥有方对数据进行保护的措施，避免敏感数据被恶意窃取。隐私保护一直是在区块链场景中用户比较关心的环节，如何在共计一本账的情况下保证业务方自己的隐私问题，同时又能保证数据在业务中的流通性。传统的集中存储方式，维护方便，安全性高，但由于工作量较大容易产生服务瓶颈；分布式存储技术共享需求依然通过中心服务器处理，当处理时还要通过分布式存储寻找所需数据，增加了系统复杂度，用户隐私得不到有效保障。

完整的隐私保护不仅仅是通过加密一层措施进行，还结合了账户体系、权限动态控制列表方式进行。因此需要一种更安全的数据安全及隐私保护方法，对隐私数据进行保护，并进行实时维护和更新。

发明内容

本发明内容所要解决的技术问题是针对背景技术中所涉及到的缺陷，提供一种区块链数据安全及隐私保护方法，解决用户隐私得不到有效保障的问题，实现用户隐私数据安全的保护。

本发明内容的目的及解决的技术问题是采用以下技术方案来实现的：

一种区块链数据安全和隐私保护方法，包括：

通过平台系统登录产生的数据进行记录，缓存至各自的数据库中；

由SDK应用服务、消息队列服务器、文件服务器、四个区块链节点进行区块链数据存证；

用户终端节点发起数据写入请求，创建新的数据区块，将加密后的信息存储在新的数据区块，通过共识机制校验，新的数据区块添加至数据持有者的数据存储节点；

数据以密文的方式保存在区块链上，依赖区块链账户体系的加密特性进行授权访问，即所有上链数据都会进行加密，区块链上不保存明文数据，数据上链时通过智能合约生成随机密钥，进行数据加密，再将加密后的数据上链存储；

在区块链上仅保留密文，由数据所有者持有密钥，在链外进行数据访问授权，通过智能合约授权列表与账户体系实现数据授权访问，获取区块链准入许可后，该节点才可以和联盟链上其他区块链节点进行通信，进行数据读取，即用户终端节点获取授权后，发送请求，各节点通过共识机制校验后，通过智能合约获取解密的密钥，进行解密，将数据发送到用户终端节点，解密后获取数据，将数据反馈。

优选的，所述智能合约的授权列表分为数据ID数据模块、用户ID数据模块、令牌数据模块，通过三层数据模型对隐私数据进行保护。所述数据ID数据模块、用户ID数据模块、令牌数据模块映射关系为正向树模型，所述数据ID数据模块包括被隐私保护的结构化信息，包括但不限于数据的索引和ID，所述用户ID数据模块包括当前被保护数据目标开发用户列表，列表内为用户相关账户信息，所述令牌数据模块包括用户ID对被保护数据的访问权限范围，包括但不限于访问期限、访问次数、数据范围。

优选的，所述账户体系包括但不限于数据访问授权，组织架构和与业务角色相关业务的支撑。

优选的，所述授权访问方法还包括区块链令牌，区块链令牌为授权操作提供信用背书。

优选的，所述SDK应用服务、消息队列服务器、文件服务器、四个区块链节点采用云服务器，服务器监控通过在云服务器监控上设置告警机制，在资源负载达到设定值时会发送告警通知到账户邮箱。

优选的，平台系统间部署的网络层访问安全通过云安全组控制，每个IP限定访问固定的云服务器，且限定访问协议类型及端口号。

优选的，平台系统间部署应用层，应用层访问安全通过安全组配置，对能访问SDK的IP做固定限制，仅平台系统出口可访问SDK服务器，SDK部署在内网服务器，外网无法访问。

优选的，所述应用层SDK与不同系统之间的数据传输协议均采用https协议，所述https协议进行数据证书加密，鉴定服务器的真实身份。

优选的，服务器之间进行了固定IP限制，只有批准的来访服务器才能进行服务器间接口通讯，鉴定IP持有者为真实获批服务器的逻辑为：对获批的联盟链准入者颁发证书，所述证书应用于对应的系统与SDK、区块链节点之间的通信，通过证书形式进行签名和验签，签名最终一致，则认为来访者为真实。

本发明通过三层数据模型对隐私数据进行保护，部分区块链节点加密保存数据，使得数据仅在获得授权的情况下才可以被访问，数据存储在智能合约内，可以进行实时维护和更新，也满足了对要求进行数据隐私保护的商业需求，减少网络通信数据，提升系统性能。

具体实施方式

下面对本发明内容的技术方案做进一步的详细说明。显然，所描述的实施例仅仅是本发明内容一部分实施例，而不是全部的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明内容保护的范围。

应当理解，尽管这里可以使用术语第一、第二、第三等描述各个元件、组件和/或部分，但这些元件、组件和/或部分不受这些术语限制。

一种区块链数据安全和隐私保护方法，包括：

通过平台系统登录产生的数据进行记录，缓存至各自的数据库中；

由SDK应用服务、消息队列服务器、文件服务器、四个区块链节点进行区块链数据存证；

用户终端节点发起数据写入请求，创建新的数据区块，将加密后的信息存储在新的数据区块，通过共识机制校验，新的数据区块添加至数据持有者的数据存储节点；

数据以密文的方式保存在区块链上，依赖区块链账户体系的加密特性进行授权访问，即所有上链数据都会进行加密，区块链上不保存明文数据，数据上链时通过智能合约生成随机密钥，进行数据加密，再将加密后的数据上链存储；

在区块链上仅保留密文，由数据所有者持有密钥，在链外进行数据访问授权，通过智能合约授权列表与账户体系实现数据授权访问，获取区块链准入许可后，该节点才可以和联盟链上其他区块链节点进行通信，进行数据读取，即用户终端节点获取授权后，发送请求，各节点通过共识机制校验后，通过智能合约获取解密的密钥，进行解密，将数据发送到用户终端节点，解密后获取数据，将数据反馈。

优选的，所述智能合约的授权列表分为数据ID数据模块、用户ID数据模块、令牌数据模块，通过三层数据模型对隐私数据进行保护。所述数据ID数据模块、用户ID数据模块、令牌数据模块映射关系为正向树模型，所述数据ID数据模块包括被隐私保护的结构化信息，包括但不限于数据的索引和ID，所述用户ID数据模块包括当前被保护数据目标开发用户列表，列表内为用户相关账户信息，所述令牌数据模块包括用户ID对被保护数据的访问权限范围，包括但不限于访问期限、访问次数、数据范围。

优选的，所述账户体系包括但不限于数据访问授权，组织架构和与业务角色相关业务的支撑。

优选的，所述授权访问方法还包括区块链令牌，区块链令牌为授权操作提供信用背书。

优选的，所述SDK应用服务、消息队列服务器、文件服务器、四个区块链节点采用云服务器，服务器监控通过在云服务器监控上设置告警机制，在资源负载达到设定值时会发送告警通知到账户邮箱。

优选的，平台系统间部署的网络层访问安全通过云安全组控制，每个IP限定访问固定的云服务器，且限定访问协议类型及端口号。

优选的，平台系统间部署应用层，应用层访问安全通过安全组配置，对能访问SDK的IP做固定限制，仅平台系统出口可访问SDK服务器，SDK部署在内网服务器，外网无法访问。

优选的，所述应用层SDK与不同系统之间的数据传输协议均采用https协议，所述https协议进行数据证书加密，鉴定服务器的真实身份。

优选的，服务器之间进行了固定IP限制，只有批准的来访服务器才能进行服务器间接口通讯，鉴定IP持有者为真实获批服务器的逻辑为：对获批的联盟链准入者颁发证书，所述证书应用于对应的系统与SDK、区块链节点之间的通信，通过证书形式进行签名和验签，签名最终一致，则认为来访者为真实。

本发明通过三层数据模型对隐私数据进行保护，部分区块链节点加密保存数据，使得数据仅在获得授权的情况下才可以被访问，数据存储在智能合约内，可以进行实时维护和更新，也满足了对要求进行数据隐私保护的商业需求，减少网络通信数据，提升系统性能。

以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。