本發(fā)明屬于數(shù)聯(lián)網(wǎng)，具體涉及一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法及系統(tǒng)。

背景技術(shù)：

1、數(shù)字對象（do，digital?object?）是對資源實(shí)體的數(shù)據(jù)抽象。用戶可以將自己的數(shù)據(jù)作為數(shù)字對象存儲在數(shù)字對象倉庫。其他用戶可以在數(shù)字對象倉庫中獲取對應(yīng)的數(shù)據(jù)進(jìn)行訪問。但是需要對數(shù)據(jù)訪問進(jìn)行控制，例如是特定數(shù)據(jù)由特定用戶訪問。

2、目前，可以根據(jù)數(shù)據(jù)的屬性和用戶的屬性進(jìn)行映射，在用戶的屬性與當(dāng)前數(shù)據(jù)的屬性對應(yīng)時，用戶就可以訪問數(shù)據(jù)，使得訪問的便捷度較高。

3、但是目前的方案，僅是通過匹配屬性來確定用戶是否可以訪問數(shù)據(jù)，數(shù)據(jù)安全性較低。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明旨在提供一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法、系統(tǒng)、裝置、電子設(shè)備及可讀存儲介質(zhì)，至少解決在先技術(shù)中集中僅是通過屬性來確定用戶是否可以訪問數(shù)據(jù)，數(shù)據(jù)安全性較低的問題。

2、為了解決上述技術(shù)問題，本發(fā)明是這樣實(shí)現(xiàn)的：

3、第一方面，本發(fā)明實(shí)施例提供了一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法，應(yīng)用于服務(wù)器，所述服務(wù)器與第一終端、第二終端通信；所述方法包括：

4、接收所述第一終端發(fā)送的密鑰請求，向所述第一終端返回所述密鑰請求對應(yīng)的第一密鑰；所述第一終端用于基于本地生成的第二密鑰，加密目標(biāo)數(shù)據(jù)后得到加密數(shù)據(jù)；所述第一終端還用于基于所述第一密鑰和預(yù)設(shè)屬性訪問策略，加密所述第二密鑰后得到加密密鑰，并將所述加密數(shù)據(jù)和所述加密密鑰關(guān)聯(lián)存儲到數(shù)字對象倉庫；

5、接收所述第二終端針對所述加密數(shù)據(jù)的訪問請求，根據(jù)所述訪問請求確定所述第二終端的屬性信息；

6、根據(jù)所述屬性信息生成解密密鑰，并將所述解密密鑰返回所述第二終端；所述第二終端用于在所述數(shù)字對象倉庫中獲取所述加密數(shù)據(jù)和所述加密密鑰，基于所述解密密鑰解密所述加密密鑰，在所述屬性信息滿足所述預(yù)設(shè)屬性訪問策略時得到所述第二密鑰；所述第二終端還用于基于所述第二密鑰解密所述加密數(shù)據(jù)，以訪問所述目標(biāo)數(shù)據(jù)。

7、第二方面，本發(fā)明實(shí)施例還提供了一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法，應(yīng)用于第一終端，所述第一終端與服務(wù)器、第二終端通信；所述方法包括：

8、向所述服務(wù)器發(fā)送密鑰請求，并接收所述服務(wù)器返回的第一密鑰；

9、基于本地生成的第二密鑰，加密目標(biāo)數(shù)據(jù)后得到加密數(shù)據(jù)；

10、基于所述第一密鑰和預(yù)設(shè)屬性訪問策略，加密所述第二密鑰后得到加密密鑰；

11、將所述加密數(shù)據(jù)和所述加密密鑰關(guān)聯(lián)存儲到數(shù)字對象倉庫。

12、第三方面，本發(fā)明實(shí)施例還提供了一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法，應(yīng)用于第二終端，所述第二終端與服務(wù)器、第一終端通信；所述方法包括：

13、基于待訪問的加密數(shù)據(jù)，生成針對所述加密數(shù)據(jù)的訪問請求；

14、向所述服務(wù)器發(fā)送所述訪問請求，接收所述服務(wù)器返回的解密密鑰；所述解密密鑰是根據(jù)所述第二終端的屬性信息生成的；

15、在數(shù)字對象倉庫中獲取所述加密數(shù)據(jù)和加密密鑰，并基于所述解密密鑰解密所述加密密鑰，在所述屬性信息滿足預(yù)設(shè)屬性訪問策略時得到第二密鑰；

16、基于所述第二密鑰解密所述加密數(shù)據(jù)，以訪問所述目標(biāo)數(shù)據(jù)。

17、第四方面，本發(fā)明實(shí)施例還提供了一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制系統(tǒng)，所述系統(tǒng)包括：服務(wù)器、第一終端和第二終端；

18、所述服務(wù)器，用于接收所述第一終端發(fā)送的密鑰請求，向所述第一終端返回所述密鑰請求對應(yīng)的第一密鑰；

19、所述第一終端，用于基于本地生成的第二密鑰，加密目標(biāo)數(shù)據(jù)后得到加密數(shù)據(jù)；

20、所述第一終端，用于基于所述第一密鑰和預(yù)設(shè)屬性訪問策略，加密所述第二密鑰后得到加密密鑰，并將所述加密數(shù)據(jù)和所述加密密鑰關(guān)聯(lián)存儲到數(shù)字對象倉庫；

21、所述服務(wù)器，用于接收所述第二終端針對所述加密數(shù)據(jù)的訪問請求，根據(jù)所述訪問請求確定所述第二終端的屬性信息；

22、所述服務(wù)器，用于根據(jù)所述屬性信息生成解密密鑰，并將所述解密密鑰返回所述第二終端；

23、所述第二終端，用于在所述數(shù)字對象倉庫中獲取所述加密數(shù)據(jù)和所述加密密鑰，基于所述解密密鑰解密所述加密密鑰，在所述屬性信息滿足所述預(yù)設(shè)屬性訪問策略時得到所述第二密鑰；

24、所述第二終端，用于基于所述第二密鑰解密所述加密數(shù)據(jù)，以訪問所述目標(biāo)數(shù)據(jù)。

25、第五方面，本發(fā)明實(shí)施例還提供了一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制裝置，應(yīng)用于服務(wù)器，所述服務(wù)器與第一終端、第二終端通信；所述裝置包括：

26、數(shù)據(jù)加密模塊，用于接收所述第一終端發(fā)送的密鑰請求，向所述第一終端返回所述密鑰請求對應(yīng)的第一密鑰；所述第一終端用于基于本地生成的第二密鑰，加密目標(biāo)數(shù)據(jù)后得到加密數(shù)據(jù)；所述第一終端還用于基于所述第一密鑰和預(yù)設(shè)屬性訪問策略，加密所述第二密鑰后得到加密密鑰，并將所述加密數(shù)據(jù)和所述加密密鑰關(guān)聯(lián)存儲到數(shù)字對象倉庫；

27、訪問響應(yīng)模塊，用于接收所述第二終端針對所述加密數(shù)據(jù)的訪問請求，根據(jù)所述訪問請求確定所述第二終端的屬性信息；

28、數(shù)據(jù)解密模塊，用于根據(jù)所述屬性信息生成解密密鑰，并將所述解密密鑰返回所述第二終端；所述第二終端用于在所述數(shù)字對象倉庫中獲取所述加密數(shù)據(jù)和所述加密密鑰，基于所述解密密鑰解密所述加密密鑰，在所述屬性信息滿足所述預(yù)設(shè)屬性訪問策略時得到所述第二密鑰；所述第二終端還用于基于所述第二密鑰解密所述加密數(shù)據(jù)，以訪問所述目標(biāo)數(shù)據(jù)。

29、第六方面，本發(fā)明實(shí)施例還提供了一種電子設(shè)備，該電子設(shè)備包括處理器，存儲器及存儲在所述存儲器上并可在所述處理器上運(yùn)行的程序或指令，所述程序或指令被所述處理器執(zhí)行時實(shí)現(xiàn)如第一、第二和第三方面所述的方法的步驟。

30、第七方面，本發(fā)明實(shí)施例還提供了一種可讀存儲介質(zhì)，所述可讀存儲介質(zhì)上存儲程序或指令，所述程序或指令被處理器執(zhí)行時實(shí)現(xiàn)如第一、第二和第三方面所述的方法的步驟。

31、在本發(fā)明實(shí)施例中，通過接收第一終端發(fā)送的密鑰請求，向第一終端返回第一密鑰；第一終端用于基于本地生成的第二密鑰加密目標(biāo)數(shù)據(jù)得到加密數(shù)據(jù)；第一終端基于第一密鑰和預(yù)設(shè)屬性訪問策略，加密第二密鑰后得到加密密鑰，將加密數(shù)據(jù)和加密密鑰關(guān)聯(lián)存儲到數(shù)字對象倉庫；接收第二終端的訪問請求，確定第二終端的屬性信息，根據(jù)屬性信息生成解密密鑰并返回第二終端；第二終端獲取加密數(shù)據(jù)和加密密鑰，基于解密密鑰解密加密密鑰，在屬性信息滿足預(yù)設(shè)屬性訪問策略時得到第二密鑰進(jìn)而訪問目標(biāo)數(shù)據(jù)。一方面，將目標(biāo)數(shù)據(jù)進(jìn)行加密，并通過屬性訪問策略來將用于訪問目標(biāo)數(shù)據(jù)的第二密鑰加密，提高了數(shù)據(jù)的安全性；另一方面，數(shù)據(jù)訪問時，需要驗(yàn)證第二終端的屬性信息，在屬性信息符合屬性訪問策略時，才能解密得到第二密鑰進(jìn)而訪問目標(biāo)數(shù)據(jù)，進(jìn)一步提高了數(shù)據(jù)的安全性。

技術(shù)特征：

1.一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法，其特征在于，應(yīng)用于服務(wù)器，所述服務(wù)器與第一終端、第二終端通信；所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述接收所述第一終端發(fā)送的密鑰請求，向所述第一終端返回所述密鑰請求對應(yīng)的第一密鑰的步驟，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述服務(wù)器中運(yùn)行有至少一個節(jié)點(diǎn)，每個節(jié)點(diǎn)對應(yīng)有至少一個加密參數(shù)；所述接收所述第一終端發(fā)送的密鑰請求，向所述第一終端返回所述密鑰請求對應(yīng)的第一密鑰的步驟，包括：

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述訪問請求攜帶所述目標(biāo)節(jié)點(diǎn)信息和所述第二終端的身份信息；所述根據(jù)所述訪問請求確定所述第二終端的屬性信息的步驟，包括：

5.一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法，其特征在于，應(yīng)用于第一終端，所述第一終端與服務(wù)器、第二終端通信；所述方法包括：

6.一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法，其特征在于，應(yīng)用于第二終端，所述第二終端與服務(wù)器、第一終端通信；所述方法包括：

7.一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制系統(tǒng)，其特征在于，所述系統(tǒng)包括：服務(wù)器、第一終端和第二終端；

8.一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制裝置，其特征在于，應(yīng)用于服務(wù)器，所述服務(wù)器與第一終端、第二終端通信；所述裝置包括：

9.一種電子設(shè)備，其特征在于，包括處理器，存儲器及存儲在所述存儲器上并可在所述處理器上運(yùn)行的程序或指令，所述程序或指令被所述處理器執(zhí)行時實(shí)現(xiàn)如權(quán)利要求1至6中任一項(xiàng)所述面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法的步驟。

10.一種可讀存儲介質(zhì)，其特征在于，所述可讀存儲介質(zhì)上存儲程序或指令，所述程序或指令被處理器執(zhí)行時實(shí)現(xiàn)如權(quán)利要求1至6中任一項(xiàng)所述面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法的步驟。

技術(shù)總結(jié)
本發(fā)明實(shí)施例提供了一種面向數(shù)聯(lián)網(wǎng)場景的細(xì)粒度訪問控制方法及系統(tǒng)；涉及計算機(jī)技術(shù)領(lǐng)域。方法包括：接收第一終端的密鑰請求，向第一終端返回的第一密鑰；第一終端基于第二密鑰加密目標(biāo)數(shù)據(jù)，得到加密數(shù)據(jù)；第一終端基于第一密鑰和預(yù)設(shè)屬性訪問策略，加密第二密鑰得到加密密鑰，將加密數(shù)據(jù)和加密密鑰關(guān)聯(lián)存儲到數(shù)字對象倉庫；接收第二終端的訪問請求，確定第二終端的屬性信息，根據(jù)屬性信息生成解密密鑰，將解密密鑰返回第二終端；第二終端獲取加密數(shù)據(jù)和加密密鑰，基于解密密鑰對加密密鑰進(jìn)行解密，在屬性信息滿足預(yù)設(shè)屬性訪問策略時，得到第二密鑰；第二終端基于第二密鑰解密加密數(shù)據(jù)，以訪問目標(biāo)數(shù)據(jù)。本發(fā)明可以提高數(shù)據(jù)訪問的安全性。

技術(shù)研發(fā)人員：馬新建,林正浩,王亞娟,景翔,劉天成,黃罡
受保護(hù)的技術(shù)使用者：北京大數(shù)據(jù)先進(jìn)技術(shù)研究院
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2