全文摘要
本发明实施例提供了一种数据安全集中服务方法和系统,所述系统包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,中心服务子平台,用于汇总整合终端服务子平台上报的数据,将数据目录发布到区块链网络基础设施;构建多个基础计算服务,将服务目录发布到区块链网络基础设施;终端服务子平台,用于获取目标需求数据的访问信息和目标基础计算服务的服务描述信息;依据访问信息从中心服务子平台获取对应的目标需求数据;依据服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用目标计算服务对目标需求数据进行计算,确定计算结果。提高数据安全集中服务的安全性、效率和资源利用率,降低数据流转成本和业务创新成本。
主设计要求
1.一种数据安全集中服务系统,其特征在于,包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务器子平台分别接入所述区块链网络基础设施,其中,所述中心服务子平台,用于对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;所述终端服务子平台,用于依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果;其中,所述目标基础计算服务包括多个,所述终端服务子平台,用于依据服务描述信息,接入各目标基础计算服务;对各目标基础计算服务的进行排序,得到服务序列;和\/或,对各目标基础计算服务的进行重组,得到复合服务;依据所述服务序列,和\/或,所述复合服务,生成目标计算服务。
设计方案
1.一种数据安全集中服务系统,其特征在于,包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务器子平台分别接入所述区块链网络基础设施,其中,
所述中心服务子平台,用于对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;
所述终端服务子平台,用于依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果;
其中,所述目标基础计算服务包括多个,
所述终端服务子平台,用于依据服务描述信息,接入各目标基础计算服务;
对各目标基础计算服务的进行排序,得到服务序列;
和\/或,
对各目标基础计算服务的进行重组,得到复合服务;
依据所述服务序列,和\/或,所述复合服务,生成目标计算服务。
2.根据权利要求1所述的系统,其特征在于,
所述终端服务子平台,用于对所述数据目录进行检索,并确定中心服务子平台中存在所述目标需求数据对应的数据时,发起所述目标需求数据对应的数据申请并发布至区块链网络基础设施;
所述中心服务子平台,用于从区块链网络基础设施获取所述数据申请,并对所述数据申请进行审核;若审核失败,则拒绝提供所述终端服务子平台申请的目标需求数据的访问信息;若审核通过,则将所述终端服务子平台申请的目标需求数据的访问信息发布至区块链网络基础设施;终端服务子平台从区块链网络基础设施,获取所述目标需求数据的访问信息。
3.根据权利要求1所述的系统,其特征在于,
所述终端服务子平台,用于终端服务子平台对服务目录进行查阅,从服务目录中获取目标基础计算服务的服务描述信息;
所述终端服务子平台,还用于发起目标基础计算服务的服务申请,并发布至区块链网络基础设施;
所述中心服务子平台,还用于从区块链网络基础设施获取所述服务申请,并对所述服务申请进行审核;若审核失败,则拒绝对所述终端服务子平台申请的目标基础计算服务进行授权;若审核通过,则对所述终端服务子平台申请的目标基础计算服务进行授权。
4.根据权利要求1所述的系统,其特征在于,
所述中心服务子平台,用于依据终端服务子平台上报数据对应的数据原始描述信息,将已有数据与终端服务子平台上报的数据进行汇总整合,得到汇总整合后的数据;以及将终端服务子平台上报数据对应的数据原始描述信息和已有数据的数据描述信息进行汇总整合,得到汇总整合后的数据对应的数据详细描述信息;依据汇总整合后的数据对应的数据详细描述信息进行编辑,生成汇总整合后的数据的数据目录。
5.根据权利要求1所述的系统,其特征在于,
所述中心服务子平台,用于中心服务子平台构建多个基础计算模型,所述基础计算模型包括以下特征:细粒度和松耦合;梳理各基础计算模型提供的服务和服务描述信息,将各基础计算模型服务化得到基础计算服务;依据各基础计算服务和对应的服务描述信息,形成标准化计算服务库;
所述中心服务子平台,还用于接入所述标准化计算服务库中各基础计算服务;设置标准化计算服务库中各基础计算服务的服务状态,其中,所述服务状态包括未开放状态和已开放状态。
6.根据权利要求1所述的系统,其特征在于,
所述中心服务子平台,用于依据标准化计算服务库中各基础计算服务的服务描述信息进行编辑,生成标准化计算服务库中各基础计算服务的服务目录。
7.根据权利要求1所述的系统,其特征在于,区块链网络基础设施包括中心节点和终端节点,中心服务子平台与中心节点,终端服务子平台与终端节点连接,所述终端节点默认为未激活状态,所述中心节点默认为激活状态;
所述中心服务子平台,还用于向指定的终端服务子平台发放终端接入凭证;以及从区块链网络基础设施获取所述接入申请,并对所述接入申请中的终端接入凭证进行有效性验证;若验证失败,则通过保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务,以及当验证失败的次数达到自定义阈值时,向区块链网络基础设施发送控制指令,以注销与所述终端服务子平台连接的终端节点;若验证通过,则向区块链网络基础设施发送控制指令,以将与所述终端服务子平台连接的终端节点对应状态更新为激活状态,以为所述终端节点提供数据安全集中服务;
所述终端服务子平台,还用于依据终端接入凭证生成接入申请,并将所述接入申请发布至区块链网络基础设施。
8.根据权利要求1-7任一所述的系统,其特征在于,
所述中心服务子平台,还用于存储所述汇总整合后的数据,并为所述汇总整合后的数据提供安全防护;
所述终端服务子平台,还用于存储所述目标需求数据,并为所述目标需求数据提供安全防护;
其中,所述安全防护包括以下至少一种:数据防泄漏、通信安全、安全扩展。
9.根据权利要求1-7任一所述的系统,其特征在于,所述的系统还包括:
所述中心服务子平台,还用于对第一交互行为进行审计,所述第一交互行为包括第一数据交互行为和第一服务调用行为,所述第一数据交互行为包括:数据的汇总整合行为、数据目录的发布行为,数据申请的审核行为;所述第一服务调用行为包括:服务目录的发布行为、目标基础计算服务申请的审核和授权行为,以及目标基础计算服务的调用行为;
所述终端服务子平台,还用于对第二交互行为进行审计,所述第二交互行为包括第二数据交互行为和第二服务调用行为,所述第二数据交互行为包括:数据的上报行为、数据目录的检索行为、数据的申请行为和数据的获取行为;所述第二服务调用行为包括:服务目录的查阅行为、目标基础计算服务的申请行为、目标基础计算服务的组合行为和目标计算服务的调用行为。
10.一种数据安全集中服务方法,其特征在于,应用于数据安全集中服务系统中,所述数据安全集中服务系统包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务子平台分别接入所述区块链网络基础设施,所述方法包括:
中心服务子平台对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;
终端服务子平台依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;
终端服务子平台依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;
终端服务子平台调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果;
其中,所述目标基础计算服务包括多个,所述终端服务子平台依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务,包括:
终端服务子平台依据服务描述信息,接入各目标基础计算服务;
对各目标基础计算服务的进行排序,得到服务序列;
和\/或,
对各目标基础计算服务的进行重组,得到复合服务;
依据所述服务序列,和\/或,所述复合服务,生成目标计算服务。
11.根据权利要求10所述的方法,其特征在于,所述终端服务子平台依据数据目录获取目标需求数据的访问信息,包括:
终端服务子平台对所述数据目录进行检索,并确定中心服务子平台中存在所述目标需求数据对应的数据时,发起所述目标需求数据对应的数据申请并发布至区块链网络基础设施;
中心服务子平台从区块链网络基础设施获取所述数据申请,并对所述数据申请进行审核;若审核失败,则拒绝提供所述终端服务子平台申请的目标需求数据的访问信息;若审核通过,则将所述终端服务子平台申请的目标需求数据的访问信息发布至区块链网络基础设施;
终端服务子平台从区块链网络基础设施,获取所述目标需求数据的访问信息。
12.根据权利要求10所述的方法,其特征在于,所述依据服务目录获取目标基础计算服务的服务描述信息,包括:
终端服务子平台对服务目录进行查阅,从服务目录中获取目标基础计算服务的服务描述信息;
在所述从服务目录中获取目标基础计算服务的服务描述信息之后,所述的方法还包括:
终端服务子平台发起目标基础计算服务的服务申请,并发布至区块链网络基础设施;
中心服务子平台从区块链网络基础设施获取所述服务申请,并对所述服务申请进行审核;若审核失败,则拒绝对所述终端服务子平台申请的目标基础计算服务进行授权;若审核通过,则对所述终端服务子平台申请的目标基础计算服务进行授权。
13.根据权利要求10所述的方法,其特征在于,
所述中心服务子平台对终端服务子平台上报的数据进行汇总整合,包括:
中心服务子平台依据终端服务子平台上报数据对应的数据原始描述信息,将已有数据与终端服务子平台上报的数据进行汇总整合,得到汇总整合后的数据;
以及将终端服务子平台上报数据对应的数据原始描述信息和已有数据的数据描述信息进行汇总整合,得到汇总整合后的数据对应的数据详细描述信息;
所述依据汇总整合后的数据生成数据目录,包括:
依据汇总整合后的数据对应的数据详细描述信息进行编辑,生成汇总整合后的数据的数据目录。
14.根据权利要求10所述的方法,其特征在于,所述中心服务子平台构建多个基础计算服务,包括:
中心服务子平台构建多个基础计算模型,所述基础计算模型包括以下特征:细粒度和松耦合;
梳理各基础计算模型提供的服务和服务描述信息,将各基础计算模型服务化得到基础计算服务;
依据各基础计算服务和对应的服务描述信息,形成标准化计算服务库;
接入所述标准化计算服务库中各基础计算服务;
设置标准化计算服务库中各基础计算服务的服务状态,其中,所述服务状态包括未开放状态和已开放状态。
15.根据权利要求10所述的方法,其特征在于,所述中心服务子平台依据各基础计算服务生成服务目录,包括:
依据标准化计算服务库中各基础计算服务的服务描述信息进行编辑,生成标准化计算服务库中各基础计算服务的服务目录。
16.根据权利要求10所述的方法,其特征在于,区块链网络基础设施包括中心节点和终端节点,中心服务子平台与中心节点,终端服务子平台与终端节点连接,所述终端节点默认为未激活状态,所述中心节点默认为激活状态,所述的方法还包括:
中心服务子平台向指定的终端服务子平台发放终端接入凭证;
终端服务子平台依据终端接入凭证生成接入申请,并将所述接入申请发布至区块链网络基础设施;
中心服务子平台从区块链网络基础设施获取所述接入申请,并对所述接入申请中的终端接入凭证进行有效性验证;
若验证失败,则通过保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务;以及当验证失败的次数达到自定义阈值时,向区块链网络基础设施发送控制指令,以注销与所述终端服务子平台连接的终端节点;若验证通过,则向区块链网络基础设施发送控制指令,以将与所述终端服务子平台连接的终端节点对应状态更新为激活状态,以为所述终端节点提供数据安全集中服务。
17.根据权利要求10-16任一所述的方法,其特征在于,在所述中心服务子平台对终端服务子平台上报的数据进行汇总整合之后,所述的方法还包括:
中心服务子平台存储所述汇总整合后的数据,并为所述汇总整合后的数据提供安全防护;
在所述终端服务子平台依据所述访问信息从中心服务子平台获取对应的目标需求数据之后,所述的方法还包括:
终端服务子平台存储所述目标需求数据,并为所述目标需求数据提供安全防护;
其中,所述安全防护包括以下至少一种:数据防泄漏、通信安全、安全扩展。
18.根据权利要求10-16任一所述的方法,其特征在于,所述的方法还包括:
中心服务子平台对第一交互行为进行审计,所述第一交互行为包括第一数据交互行为和第一服务调用行为,所述第一数据交互行为包括:数据的汇总整合行为、数据目录的发布行为,数据申请的审核行为;所述第一服务调用行为包括:服务目录的发布行为、目标基础计算服务申请的审核和授权行为,以及目标基础计算服务的调用行为;
终端服务子平台对第二交互行为进行审计,所述第二交互行为包括第二数据交互行为和第二服务调用行为,所述第二数据交互行为包括:数据的上报行为、数据目录的检索行为、数据的申请行为和数据的获取行为;所述第二服务调用行为包括:服务目录的查阅行为、目标基础计算服务的申请行为、目标基础计算服务的组合行为和目标计算服务的调用行为。
设计说明书
技术领域
本发明涉及数据安全技术领域,特别是涉及一种数据安全集中服务方法和系统。
背景技术
随着信息技术的蓬勃发展,信息系统的建设已成为提升服务质量、降低服务成本和提升自身竞争力的关键手段。政府机关、企事业单位和个人,利用信息系统提供高品质服务的同时,积累了海量数据,形成了自身重要的数据资产。在经济新常态的背景下,数据资产的价值逐渐显现,有力支撑业务创新和战略决策;提供数据服务(如数据共享、数据计算等)是释放数据资产价值的重要途径。
当前,企业的各个分支机构通常面向自身业务需求,建设了独立的信息系统,基于安全、业务及历史原因,这些独立的信息系统仍有大多未实现互联互通,形成了众多数据壁垒。在业务创新和战略决策的迫切需求下,采用了人工参与方式实现数据共享交换、独立建设模式构建数据计算模型;如图1所示,其中,企业包括总机构和多个分支机构,分支机构需要在总机构指定的共享场所建立独立的共享中心,然后将需要共享交换的数据从各自的数据中心导出至各自的共享中心,由各个分支指派的专人,从各自的共享中心以临时在线或离线方式提供特定数据给其他分支机构,数据流转安全性差、效率低、成本高。且分支机构需要根据自身业务应用,独立建设各自的计算模型以支持特定的业务应用,每个分支机构的计算模型是面向单一分支机构的业务需求个性化、独立建设的,其他分支机构无法复用,资源利用率低;业务创新对计算模型依赖程度较大,通常需要新建或修改计算模型,业务创新成本相对较高。
发明内容
鉴于上述问题,本发明实施例提供一种数据安全集中服务方法,以提高数据安全集中服务的安全性、效率和资源利用率,以及降低数据流转成本和业务创新成本。
相应的,本发明实施例还提供了一种数据安全集中服务系统,用以保证上述方法的实现及应用。
为了解决上述问题,本发明实施例提供了一种数据安全集中服务系统,包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务器子平台分别接入所述区块链网络基础设施,其中,所述中心服务子平台,用于对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;所述终端服务子平台,用于依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。
可选地,所述目标基础计算服务包括多个,所述终端服务子平台,用于依据服务描述信息,接入各目标基础计算服务;对各目标基础计算服务的进行排序,得到服务序列;依据所述服务序列生成目标计算服务。
可选地,所述目标基础计算服务包括多个,所述终端服务子平台,用于依据服务描述信息,接入各目标基础计算服务;对各目标基础计算服务的进行重组,得到复合服务;依据所述复合服务生成目标计算服务。
可选地,所述终端服务子平台,用于对所述数据目录进行检索,并确定中心服务子平台中存在所述目标需求数据对应的数据时,发起所述目标需求数据对应的数据申请并发布至区块链网络基础设施;所述中心服务子平台,用于从区块链网络基础设施获取所述数据申请,并对所述数据申请进行审核;若审核失败,则拒绝提供所述终端服务子平台申请的目标需求数据的访问信息;若审核通过,则将所述终端服务子平台申请的目标需求数据的访问信息发布至区块链网络基础设施;终端服务子平台从区块链网络基础设施,获取所述目标需求数据的访问信息。
可选地,所述终端服务子平台,用于终端服务子平台对服务目录进行查阅,从服务目录中获取目标基础计算服务的服务描述信息;所述终端服务子平台,还用于发起目标基础计算服务的服务申请,并发布至区块链网络基础设施;所述中心服务子平台,还用于从区块链网络基础设施获取所述服务申请,并对所述服务申请进行审核;若审核失败,则拒绝对所述终端服务子平台申请的目标基础计算服务进行授权;若审核通过,则对所述终端服务子平台申请的目标基础计算服务进行授权。
可选地,所述中心服务子平台,用于依据终端服务子平台上报数据对应的数据原始描述信息,将已有数据与终端服务子平台上报的数据进行汇总整合,得到汇总整合后的数据;以及将终端服务子平台上报数据对应的数据原始描述信息和已有数据的数据描述信息进行汇总整合,得到汇总整合后的数据对应的数据详细描述信息;依据汇总整合后的数据对应的数据详细描述信息进行编辑,生成汇总整合后的数据的数据目录。
可选地,所述中心服务子平台,用于中心服务子平台构建多个基础计算模型,所述基础计算模型包括以下特征:细粒度和松耦合;梳理各基础计算模型提供的服务和服务描述信息,将各基础计算模型服务化得到基础计算服务;依据各基础计算服务和对应的服务描述信息,形成标准化计算服务库。
可选地,所述中心服务子平台,用于依据标准化计算服务库中各基础计算服务的服务描述信息进行编辑,生成标准化计算服务库中各基础计算服务的服务目录。
可选地,所述中心服务子平台,还用于接入所述标准化计算服务库中各基础计算服务;设置标准化计算服务库中各基础计算服务的服务状态,其中,所述服务状态包括未开放状态和已开放状态。
可选地,区块链网络基础设施包括中心节点和终端节点,中心服务子平台与中心节点,终端服务子平台与终端节点连接,所述终端节点默认为未激活状态,所述中心节点默认为激活状态;所述中心服务子平台,还用于向指定的终端服务子平台发放终端接入凭证;以及从区块链网络基础设施获取所述接入申请,并对所述接入申请中的终端接入凭证进行有效性验证;若验证失败,则通过保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务;若验证通过,则向区块链网络基础设施发送控制指令,以将与所述终端服务子平台连接的终端节点对应状态更新为激活状态,以为所述终端节点提供数据安全集中服务;所述终端服务子平台,还用于依据终端接入凭证生成接入申请,并将所述接入申请发布至区块链网络基础设施。
可选地,所述中心服务子平台,还用于确定验证失败的次数达到自定义阈值时,向区块链网络基础设施发送控制指令,以注销与所述终端服务子平台连接的终端节点。
可选地,所述中心服务子平台,还用于存储所述汇总整合后的数据,并为所述汇总整合后的数据提供安全防护;所述终端服务子平台,还用于存储所述目标需求数据,并为所述目标需求数据提供安全防护;其中,所述安全防护包括以下至少一种:数据防泄漏、通信安全、安全扩展。
可选地,所述的方法还包括:所述中心服务子平台,还用于对第一交互行为进行审计,所述第一交互行为包括第一数据交互行为和第一服务调用行为,所述第一数据交互行为包括:数据的汇总整合行为、数据目录的发布行为,数据申请的审核行为;所述第一服务调用行为包括:服务目录的发布行为、目标基础计算服务申请的审核和授权行为,以及目标基础计算服务的调用行为;所述终端服务子平台,还用于对第二交互行为进行审计,所述第二交互行为包括第二数据交互行为和第二服务调用行为,所述第二数据交互行为包括:数据的上报行为、数据目录的检索行为、数据的申请行为和数据的获取行为;所述第二服务调用行为包括:服务目录的查阅行为、目标基础计算服务的申请行为、目标基础计算服务的组合行为和目标计算服务的调用行为。
本发明实施例还提供了一种数据安全集中服务方法,应用于数据安全集中服务系统中,所述数据安全集中服务系统包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务子平台分别接入所述区块链网络基础设施,所述方法包括:中心服务子平台对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;终端服务子平台依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;终端服务子平台依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;终端服务子平台调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。
可选地,所述目标基础计算服务包括多个,所述终端服务子平台依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务,包括:
终端服务子平台依据服务描述信息,接入各目标基础计算服务;对各目标基础计算服务的进行排序,得到服务序列;依据所述服务序列生成目标计算服务。
可选地,所述目标基础计算服务包括多个,所述终端服务子平台依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务,包括:
终端服务子平台依据服务描述信息,接入各目标基础计算服务;对各目标基础计算服务的进行重组,得到复合服务;依据所述复合服务生成目标计算服务。
可选地,所述终端服务子平台依据数据目录获取目标需求数据的访问信息,包括:终端服务子平台对所述数据目录进行检索,并确定中心服务子平台中存在所述目标需求数据对应的数据时,发起所述目标需求数据对应的数据申请并发布至区块链网络基础设施;中心服务子平台从区块链网络基础设施获取所述数据申请,并对所述数据申请进行审核;若审核失败,则拒绝提供所述终端服务子平台申请的目标需求数据的访问信息;若审核通过,则将所述终端服务子平台申请的目标需求数据的访问信息发布至区块链网络基础设施;终端服务子平台从区块链网络基础设施,获取所述目标需求数据的访问信息。
可选地,所述依据服务目录获取目标基础计算服务的服务描述信息,包括:终端服务子平台对服务目录进行查阅,从服务目录中获取目标基础计算服务的服务描述信息;在所述从服务目录中获取目标基础计算服务的服务描述信息之后,所述的方法还包括:终端服务子平台发起目标基础计算服务的服务申请,并发布至区块链网络基础设施;中心服务子平台从区块链网络基础设施获取所述服务申请,并对所述服务申请进行审核;若审核失败,则拒绝对所述终端服务子平台申请的目标基础计算服务进行授权;若审核通过,则对所述终端服务子平台申请的目标基础计算服务进行授权。
可选地,所述中心服务子平台对终端服务子平台上报的数据进行汇总整合,包括:中心服务子平台依据终端服务子平台上报数据对应的数据原始描述信息,将已有数据与终端服务子平台上报的数据进行汇总整合,得到汇总整合后的数据;以及将终端服务子平台上报数据对应的数据原始描述信息和已有数据的数据描述信息进行汇总整合,得到汇总整合后的数据对应的数据详细描述信息;所述依据汇总整合后的数据生成数据目录,包括:依据汇总整合后的数据对应的数据详细描述信息进行编辑,生成汇总整合后的数据的数据目录。
可选地,所述中心服务子平台构建多个基础计算服务,包括:中心服务子平台构建多个基础计算模型,所述基础计算模型包括以下特征:细粒度和松耦合;梳理各基础计算模型提供的服务和服务描述信息,将各基础计算模型服务化得到基础计算服务;依据各基础计算服务和对应的服务描述信息,形成标准化计算服务库。
可选地,所述中心服务子平台依据各基础计算服务生成服务目录,包括:依据标准化计算服务库中各基础计算服务的服务描述信息进行编辑,生成标准化计算服务库中各基础计算服务的服务目录。
可选地,所述的方法还包括:中心服务子平台接入所述标准化计算服务库中各基础计算服务;设置标准化计算服务库中各基础计算服务的服务状态,其中,所述服务状态包括未开放状态和已开放状态。
可选地,区块链网络基础设施包括中心节点和终端节点,中心服务子平台与中心节点,终端服务子平台与终端节点连接,所述终端节点默认为未激活状态,所述中心节点默认为激活状态,所述的方法还包括:中心服务子平台向指定的终端服务子平台发放终端接入凭证;终端服务子平台依据终端接入凭证生成接入申请,并将所述接入申请发布至区块链网络基础设施;中心服务子平台从区块链网络基础设施获取所述接入申请,并对所述接入申请中的终端接入凭证进行有效性验证;若验证失败,则通过保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务;若验证通过,则向区块链网络基础设施发送控制指令,以将与所述终端服务子平台连接的终端节点对应状态更新为激活状态,以为所述终端节点提供数据安全集中服务。
可选地,所述的方法还包括:中心服务子平台确定验证失败的次数达到自定义阈值时,向区块链网络基础设施发送控制指令,以注销与所述终端服务子平台连接的终端节点。
可选地,在所述中心服务子平台对终端服务子平台上报的数据进行汇总整合之后,所述的方法还包括:中心服务子平台存储所述汇总整合后的数据,并为所述汇总整合后的数据提供安全防护;在所述终端服务子平台依据所述访问信息从中心服务子平台获取对应的目标需求数据之后,所述的方法还包括:终端服务子平台存储所述目标需求数据,并为所述目标需求数据提供安全防护;其中,所述安全防护包括以下至少一种:数据防泄漏、通信安全、安全扩展。
可选地,所述的方法还包括:中心服务子平台对第一交互行为进行审计,所述第一交互行为包括第一数据交互行为和第一服务调用行为,所述第一数据交互行为包括:数据的汇总整合行为、数据目录的发布行为,数据申请的审核行为;所述第一服务调用行为包括:服务目录的发布行为、目标基础计算服务申请的审核和授权行为,以及目标基础计算服务的调用行为;终端服务子平台对第二交互行为进行审计,所述第二交互行为包括第二数据交互行为和第二服务调用行为,所述第二数据交互行为包括:数据的上报行为、数据目录的检索行为、数据的申请行为和数据的获取行为;所述第二服务调用行为包括:服务目录的查阅行为、目标基础计算服务的申请行为、目标基础计算服务的组合行为和目标计算服务的调用行为。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现本发明实施例中的数据安全集中服务方法的步骤。
本发明实施例包括以下优点:
本发明实施例的一种数据安全集中服务系统,可以包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务器子平台分别接入所述区块链网络基础设施;所述中心服务子平台,用于对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;所述终端服务子平台,用于依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。从而一方面,本发明实施例中,数据安全集中服务系统各个子平台之间,通过区块链网络基础设施实现数据的流动,能够提高数据安全集中服务的安全性。另一方面,本发明实施例无需各个分支指派的专人,从各自的共享中心以临时在线或离线方式提供特定数据给其他分支机构,提高了数据流转安全性和效率,且还可以降低成本。又一方面,本发明实施例无需在各分支机构独立建设各自的计算模型以支持特定的业务应用,各终端服务子平台对应的分支机构均可以基于中心服务子平台的基础计算服务进行组合,实现满足自身需求的目标计算服务,提高了资源利用率;且业务创新时,在中心服务子平台添加对应创新的基础计算服务,可以供多个终端服务子平台自行按需进行选用与组合,业务创新成本低。
附图说明
图1是现有技术中一种各机构信息系统数据交互的示意图;
图2是本发明的一种数据安全集中服务系统实施例的结构框图;
图3a是本发明的一种xx集团的数据安全集中服务系统实施例的结构框图;
图3b是本发明的一种数据安全集中服务系统可选实施例的结构框图;
图4是本发明一种数据安全集中服务方法实施例的步骤流程图;
图5是本发明的一种终端服务子平台接入方法实施例的步骤流程图;
图6是本发明实施例的一种服务目录生成方法实施例的步骤流程图;
图7是本发明实施例的一种访问信息获取方法实施例的步骤流程图;
图8是本发明实施例的一种构建基础计算服务方法实施例的步骤流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图2,示出了本发明实施例的一种数据安全集中服务系统的结构框图。
本发明实施例中,所述数据安全集中服务系统是基于区块链技术实现的,所述数据安全集中服务系统可以包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台;其中,图2只是作为一个示例,示出了2个终端服务子平台,当然本发明实施例对终端服务子平台的数量不作限制。所述数据安全集中服务系统200包括区块链网络基础设施201、中心服务子平台202、终端服务子平台203和终端服务子平台204,所述中心服务子平台202、终端服务器子平台203和终端服务子平台204均分别接入所述区块链网络基础设施201。其中,企业的总机构可以部署中心服务子平台,通过中心服务子平台参与数据安全集中服务,以及企业的各个分支机构可以部署终端服务子平台,通过终端服务子平台参与数据安全集中服务;进而基于数据安全集中服务系统实现企业的各个分支机构之间的数据安全集中服务。
其中,区块链网络基础设施:是基于区块链技术构建的分布式网络基础设施,可以接入中心服务子平台和终端服务子平台,实现中心服务子平台与终端服务子平台的互联互通,承载数据安全集中服务过程中数据信息的流转。
所述中心服务子平台,用于对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;
所述终端服务子平台,用于依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。
本发明实施例中,为了实现数据安全集中服务,一方面各终端服务子平台可以将其可以共享的数据上报给中心服务子平台,然后中心服务子平台可对各终端服务子平台上报的数据进行汇总整合,可以得到汇总整合后的数据;然后再依据汇总整合后的数据生成数据目录,将该数据目录发布至区块链网络基础设施中。进而终端服务子平台可以从区块链网络基础设施中获取数据目录,以根据该数据目录判断中心服务子平台中是否存在目标需求数据,并在确定中心服务子平台中存在目标需求数据时,从中心服务子平台获取目标需求数据;从而无需各个分支指派的专人,从各自的共享中心以临时在线或离线方式提供特定数据给其他分支机构,提高了数据流转安全性和效率,且还可以降低成本。另一方面,中心服务子平台可以统计其自身对应总机构的业务需求,和各终端服务子平台对应分支机构的业务需求;然后依据这些需求构建基础计算服务,其中,所述基础计算服务是最小粒度的计算服务,且各个基础计算服务之间是松耦合的。再依据各基础计算服务生成服务目录,并将服务目录发布到区块链网络基础设施,使得终端服务子平台可以从区块链网络基础设施获取服务目录,依据所述服务目录确定中心服务子平台中存在目标基础计算服务时,可以调用目标基础计算服务进行计算。从而无需在各分支机构独立建设各自的计算模型以支持特定的业务应用,各终端服务子平台对应的分支机构均可以基于中心服务子平台的基础计算服务进行组合,实现满足自身需求的目标计算服务,提高了资源利用率;且业务创新时,在中心服务子平台添加对应创新的基础计算服务,可以供多个终端服务子平台自行按需进行选用与组合,业务创新成本低。
进而终端服务中心子平台在需要进行业务计算时,可以从区块链网络基础设施获取数据目录和服务目录,然后可以进行如下操作:一方面,可以依据数据目录获取目标需求数据的访问信息,然后再依据访问信息从中心服务子平台中获取目标需求数据;另一方面,可以依据服务目录获取目标基础计算服务的服务描述信息,然后依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务。再调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。
当然,若终端服务中心自平台业务计算对应的目标基础计算服务包含一个基础计算服务,则可以直接依据该目标基础计算服务的服务描述信息,调用该目标基础计算服务对目标需求数据进行计算。若终端服务中心自平台业务计算对应的目标基础计算服务包含多个基础计算服务,则可以对多个基础计算服务进行组合如排序、动态重组等等,得到目标计算服务;再调用目标计算服务对目标需求数据进行计算。
此外,本发明实施例不限制终端服务子平台获取服务目录和数据目录的方式,可以在需要进行业务计算时从区块链网络基础设施中获取;也可以在中心服务子平台将更新的数据目录发布至区块链网络基础设施后,从区块链网络基础设施中获取数据目录,以及将更新的服务目录发布至区块链网络基础设施后,从区块链网络基础设施中获取服务目录。
本发明实施例可以应用于xx集团,实现xx集团内部各机构的数据安全集中服务;其中,xx集团包括xx总机构、xx银行、xx证券、xx保险。参照图3a,本发明的一个示例中,xx总机构部署了中心服务子平台Z,xx银行部署了终端服务子平台A,xx证券部署了终端服务子平台B和xx保险部署了终端服务子平台C。xx总机构可以通过中心服务子平台Z对xx银行、xx证券和xx保险对应上报的数据进行汇总整合,然后依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施。xx总机构可以构建建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施。xx银行需要计算业务计算时,可以通过终端服务子平台A从区块链网络基础设施获取数据目录和服务目录,然后依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息。再依据所述访问信息从中心服务子平台Z获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。对应的,xx证券也可以通过终端服务子平台B进行业务计算,xx保险也可以通过终端服务子平台C进行业务计算,在此不再赘述。
综上,本发明实施例的一种数据安全集中服务系统,可以包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务器子平台分别接入所述区块链网络基础设施;所述中心服务子平台,用于对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;所述终端服务子平台,用于依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。从而一方面,本发明实施例中,数据安全集中服务系统各个子平台之间,通过区块链网络基础设施实现数据的流动,能够提高数据安全集中服务的安全性。另一方面,本发明实施例无需各个分支指派的专人,从各自的共享中心以临时在线或离线方式提供特定数据给其他分支机构,提高了数据流转安全性和效率,且还可以降低成本。又一方面,本发明实施例无需在各分支机构独立建设各自的计算模型以支持特定的业务应用,各终端服务子平台对应的分支机构均可以基于中心服务子平台的基础计算服务进行组合,实现满足自身需求的目标计算服务,提高了资源利用率;且业务创新时,在中心服务子平台添加对应创新的基础计算服务,可以供多个终端服务子平台自行按需进行选用与组合,业务创新成本低。
本发明的另一个实施例中,所述区块链网络基础设施可以包括区块链节点和基于区块链技术由区块链节点构成的区块链网络,其中,所述区块链节点包括:中心节点和终端节点。其中,中心服务子平台通过中心节点接入至区块链网络基础设施,终端服务子平台通过终端节点接入至区块链网络基础设施。可参照图3b,本发明的一个示例中,数据安全集中服务系统包括区块链网络基础设施301、中心服务子平台302和三个终端服务子平台:终端服务子平台303、终端服务子平台304和终端服务子平台305;其中,中心服务子平台302通过中心节点接入区块链网络基础设施301,终端服务子平台303通过终端节点1接入区块链网络基础设施301,终端服务子平台304通过中终端节点2接入区块链网络基础设施301,终端服务子平台305通过终端节点3接入区块链网络基础设施301。
本发明实施例中,区块链节点支持数据安全集中服务过程中本节点相关数据信息的数据存储;其中,所述中心节点默认为激活状态,所述终端节点默认为激活状态,区块链节点处于激活状态才能获得数据安全集中服务。因此终端服务子平台需要获得数据安全集中服务时,可以通过对应的终端节点发起接入申请,以使区块链网络基础设施将该终端节点更新为激活状态。且中心服务子平台需要对接入申请中的终端接入凭证进行验证,验证通过时,终端服务子平台对应的终端节点才能被激活。
因此本发明实施例中,所述中心服务子平台,还用于向指定的终端服务子平台发放终端接入凭证;以及从区块链网络基础设施获取所述接入申请,并对所述接入申请中的终端接入凭证进行有效性验证;若验证失败,则通过保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务;若验证通过,则向区块链网络基础设施发送控制指令,以将与所述终端服务子平台连接的终端节点对应状态更新为激活状态,以为所述终端节点提供数据安全集中服务。
所述终端服务子平台,还用于依据终端接入凭证生成接入申请,并将所述接入申请发布至区块链网络基础设施。
本发明实施例中,中心服务子平台可以预先向指定的终端服务子平台颁发终端接入凭证,所述指定的终端服务子平台可以是允许获取数据安全集中服务的终端服务子平台。其中,所述终端接入凭证可以是指数字证书、电子密钥或其他根据实际应用场景需求自定义的软件、硬件或软硬一体的电子身份凭证。进而当终端服务子平台需要获取数据安全集中服务时,可以发起接入申请,然后将所述接入申请发布至区块链网络基础设施中;对应的,中心服务子平台可以从区块链网络基础设施获取所述接入申请,并对所述接入申请中的终端接入凭证进行有效性验证。若验证失败,则可以继续保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务;若验证通过,则向区块链网络基础设施发送控制指令,区块链网络基础设施接收到所述控制指令后,可确定所述控制指令对应的终端节点信息,然后将该终端节点信息对应的终端节点更新为激活状态;进而该终端节点对应的终端服务子平台可以通过该终端节点获取数据安全集中服务。
可选地,本发明实施例中,所述中心服务子平台,还用于确定验证失败的次数达到自定义阈值时,向区块链网络基础设施发送控制指令,以注销与所述终端服务子平台连接的终端节点。
本发明实施例中,终端服务子平台可以向区块链网络基础设施发布接入申请,以申请数据安全集中服务,中心服务子平台从区块链网络基础设施接收到接入申请后,可以对所述接入申请中终端接入凭证进行验证;若验证成功,中心服务子平台向区块链网络基础设施发布控制指令,以使区块链网络基础设施依据所述控制指令将所述终端服务子平台接入的终端节点更新为激活状态,以为所述终端服务子平台提供数据安全集中服务;若验证失败,则可以继续保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务。进而降低了数据泄露的风险,保证了数据安全。
本发明实施例中,各终端服务子平台在上报数据的同时,可以上报数据的数据原始描述信息,进而中心服务子平台可以依据数据原始描述信息,对数据进行汇总整合,再生成对应的数据目录。
因此本发明实施例中,所述中心服务子平台,用于依据终端服务子平台上报数据对应的数据原始描述信息,将已有数据与终端服务子平台上报的数据进行汇总整合,得到汇总整合后的数据;以及将终端服务子平台上报数据对应的数据原始描述信息和已有数据的数据描述信息进行汇总整合,得到汇总整合后的数据对应的数据详细描述信息;依据汇总整合后的数据对应的数据详细描述信息进行编辑,生成汇总整合后的数据的数据目录。
其中,各终端服务子平台确定需要共享的数据后,可以通过区块链网络基础设施向中心服务子平台上报对应的数据,也可以通过其他链路向中心服务子平台上报对应的数据。同时,各终端服务子平台还可以将对应上报数据的数据原始描述信息,上报给中心服务子平台,其中,终端服务子平台可以通过将对应数据的数据原始描述信息,发布至区块链网络基础设施,上报给中心服务子平台。其中,所述数据原始描述信息可以是用于描述数据的信息,可以包括数据名称、数据类型、更新周期、简要描述、数据提供方式、使用约束、样例数据和其他自定义的内容。
对应的,中心服务子平台可以从各终端服务子平台上报数据的链路,接收各终端服务子平台上报的数据;以及从区块链网络基础设施中,获取各终端服务子平台上报数据对应数据的原始描述信息。中心服务子平台在接收各终端服务子平台上报的数据和对应的数据原始描述信息后,可以将各终端服务子平台上报的数据,与已有数据进行汇总整合,得到汇总整合后的数据;以及将各终端服务子平台上报的数据原始描述信息,和已有数据原始描述信息进行汇总整合,得到汇总整合后的数据的数据详细描述信息。其中,数据详细描述信息,可以包括数据编号、数据名称、数据类型、更新周期、数据提供机构、简要描述、数据提供方式、使用约束、样例数据和其他自定义的内容。
中心服务子平台得到汇总整合后的数据和对应的数据详细描述信息后,可以为汇总整合后的生成对应的数据目录;其中,可以依据中心服务子平台中数据的数据详细描述信息,生成对应的数据目录。然后可以将所述数据目录发布至区块链网络基础设施。其中,所述数据目录中的最后一级目录可展示对应数据的数据详细描述信息。
可选地,中心服务子平台在每次汇总整合数据和对应的数据原始描述信息后,可以更新所述数据目录,然后将更新的数据目录发布至区块链网络基础设施。
本发明实施例中,所述中心服务子平台可以构建多个基础计算服务,以使终端服务子平台可以调用这些基础计算服务进行业务计算;具体的,所述中心服务子平台,用于中心服务子平台构建多个基础计算模型,所述基础计算模型包括以下特征:细粒度和松耦合;梳理各基础计算模型提供的服务和服务描述信息,将各基础计算模型服务化得到基础计算服务;采用各基础计算服务和对应的服务描述信息,形成标准化计算服务库。
本发明实施例中,中心服务子平台可以统计各终端服务子平台对应的业务需求和中心服务子平台自身的业务需求,然后基于业务需求构建多个基础计算模型;其中,所述计算模型是不可以再细分的(即具有细粒度特征),且每个计算模型对应的功能是不重叠的(即具有松耦合特征)。然后可以对各个基础计算模型进行梳理,确定各个基础计算模型对应提供的服务,进而分别将各个基础计算模型服务化,得到各基础计算模型对应的基础计算服务。其中,在梳理各个基础计算模型提供的服务的同时,还可以得到各基础计算模型提供的服务对应的服务描述信息,即基础计算服务的服务描述信息。然后可以将各个基础计算服务和对应的服务描述信息存储在标准化计算服务库中;其中,所述服务描述信息可以是指用于描述计算服务的信息,可以包括服务名称、服务协议、服务状态、简要描述和其他自定义的内容。
然后中心服务子平台可以为标准化计算服务库中的基础计算服务,生成服务目录;具体的,所述中心服务子平台,用于依据标准化计算服务库中各基础计算服务的服务描述信息进行编辑,生成标准化计算服务库中各基础计算服务的服务目录。
其中,所述计算服务目录的最后一级目录可以展示对应基础计算服务的服务描述信息,进而便于终端服务子平台从服务目录中获取目标基础服务的服务描述信息。
本发明实施例中,基础计算服务需要接入中心服务子平台,且服务状态为已开放状态后,终端服务子平台才能查看到该基础计算服务。因此所述中心服务子平台,还用于接入所述标准化计算服务库中各基础计算服务;设置标准化计算服务库中各基础计算服务的服务状态,其中,所述服务状态包括未开放状态和已开放状态。
本发明实施例中,所述基础计算模型是最小粒度的模型,各个基础计算模型不重叠,因此各终端服务子平台需要进行业务计算时,可以通过调用基础计算模型对应的基础计算服务进行组合,满足业务计算需求,进而提高了计算模型的通用性,且降低了各终端服务子平台业务创新的成本。
本发明实施例中,终端服务子平台在依据数据目录获取目标需求数据的访问信息的过程中,具体的,可以用于对所述数据目录进行检索,并确定中心服务子平台中存在所述目标需求数据对应的数据时,发起所述目标需求数据对应的数据申请并发布至区块链网络基础设施;对应的,中心服务子平台,用于从区块链网络基础设施获取所述数据申请,并对所述数据申请进行审核;若审核失败,则拒绝提供所述终端服务子平台申请的目标需求数据的访问信息;若审核通过,则将所述终端服务子平台申请的目标需求数据的访问信息发布至区块链网络基础设施;终端服务子平台从区块链网络基础设施,获取所述目标需求数据的访问信息。
本发明实施例中,每个终端服务子平台共享的数据可能是具有权限的;例如终端服务子平台A共享的数据允许终端服务子平台B获取,但不允许终端服务子平台C、D获取;其中,可以在数据的数据原始描述信息中添加属性,表征数据的权限,如上述属性:使用约束。因此中心服务子平台可以从区块链网络基础设施接收数据共享申请,然后可以依据所述数据共享申请对应数据的数据原始描述信息,对所述数据共享申请进行审核,判断所述数据共享申请对应终端服务子平台是否具有获取对应目标需求数据的权限。若确定终端服务子平台具有获取所述数据共享申请对应的目标需求数据的权限,则确定审核通过,可以将所述数据共享申请对应目标需求数据的访问信息发布至区块链网络基础设施,以使终端服务子平台通过区块链网络基础设施,获取所述数据需求信息对应的访问信息。若确定终端服务子平台不具有获取所述数据共享申请对应的目标需求数据的权限,则确定审核失败,此时,可以拒绝提供所述终端服务子平台申请的目标需求数据的访问信息。
进而当中心服务子平台将目标需求数据的访问信息,发布至区块链网络基础设施户,终端服务子平台可以从区块链网络基础设施获取所述访问信息;然后可以依据所述访问信息生成访问请求,并将所述访问请求发送至所述中心服务子平台。中心服务子平台接收到所述访问请求,然后可以将所述访问请求对应的数据,返回给对应的终端服务子平台。
本发明实施例中,中心服务子平台发布的服务目录中,可以包括基础计算服务的服务描述信息,所述服务描述信息可以用于调用对应的基础计算服务;因此可以直接从服务目录中获取目标基础计算服务的服务描述信息;对应的,所述终端服务子平台,用于终端服务子平台对服务目录进行查阅,从服务目录中获取目标基础计算服务的服务描述信息。
其中,中心服务子平台中基础计算服务的调用权限可能是不同的,例如基础计算服务1允许终端服务子平台A调用,不允许终端服务子平台B调用;因此即使终端服务子平台获取到基础计算服务的服务描述信息,若不具有基础计算服务的调用权限,也无法调用该基础计算服务的。因此在终端服务子平台在依据服务目录获取目标基础计算服务的服务描述信息后,所述终端服务子平台,还用于发起目标基础计算服务的服务申请,并发布至区块链网络基础设施;对应的,所述中心服务子平台,还用于从区块链网络基础设施获取所述服务申请,并对所述服务申请进行审核;若审核失败,则拒绝对所述终端服务子平台申请的目标基础计算服务进行授权;若审核通过,则对所述终端服务子平台申请的目标基础计算服务进行授权。
终端服务子平台在获取服务描述信息后,可以发起目标基础计算服务的服务申请,并发布至区块链网络基础设施;对应的,中心服务子平台可以从区块链网络基础设施获取所述服务申请,并对所述服务申请进行审核。其中,可以预先在基础计算服务的服务描述信息中添加属性,表征计算服务的权限;进而中心服务子平台可以依据所述服务申请对应目标基础计算服务的服务描述信息,对所述服务申请进行审核,审核终端服务子平台是否具有调用对应基础计算服务的权限。若确定所述终端服务子平台具有调用所述服务申请对应的目标基础计算服务的权限,则对所述终端服务子平台申请的目标基础计算服务进行授权;以使后续该终端服务子平台依据服务描述信息,可以从中心服务子平台调用对应的目标基础计算服务。若确定所述终端服务子平台不具有调用所述服务申请对应目标基础计算服务的权限,则拒绝对所述终端服务子平台申请的目标基础计算服务进行授权;以使后续该终端服务子平台依据服务描述信息,无法从中心服务子平台调用对应的目标基础计算服务。从而保证了计算调用服务的安全性。
本发明实施例中,当目标基础计算服务包括多个时,可以对目标基础计算服务进行组合,生成目标计算服务,然后再调用目标计算服务进行计算;其中,一种组合方式可以是对多个目标基础计算服务进行排序,因此所述终端服务子平台,用于依据服务描述信息,接入各目标基础计算服务;对各目标基础计算服务的进行排序,得到服务序列;依据所述服务序列生成目标计算服务。例如目标基础计算服务可以包括:A、B、C、D,可以按照业务需求对这四个目标基础计算服务进行排序,得到服务序列如{A,C,D,B}。
另一种组合方式可以是对多个目标基础计算服务进行动态重组,因此所述终端服务子平台,用于依据服务描述信息,接入各目标基础计算服务;对各目标基础计算服务的进行重组,得到复合服务;依据所述复合服务生成目标计算服务。例如目标基础计算服务可以包括:A、B、C、D,可以按照业务需求对这四个目标基础计算服务进行动态重组,得到复合服务如(ACDB)。
当然,又一种组合方式可以是上述两种方式的结合,即向对多个目标基础计算服务进行动态重组,再进行排序;例如目标基础计算服务可以包括:A、B、C、D,可以按照业务需求对这四个目标基础计算服务进行动态重组,得到复合服务(ACD),然后对(ACD)和B进行排序,得到服务序列{(ACD),B}。
此外,为了保证数据的安全,中心服务子平台和终端服务子平台还可以对数据进行安全防护;具体的,所述中心服务子平台,还用于存储所述汇总整合后的数据,并为所述汇总整合后的数据提供安全防护;所述终端服务子平台,还用于存储所述目标需求数据,并为所述目标需求数据提供安全防护;其中,所述安全防护包括以下至少一种:数据防泄漏、通信安全、安全扩展。
此外,为了便于数据管理和统计,中心服务子平台和终端服务子平台还可以对交互的数据进行审计,具体的,中心服务子平台对第一交互行为进行审计,所述第一交互行为包括第一数据交互行为和第一服务调用行为,所述第一数据交互行为包括:数据的汇总整合行为、数据目录的发布行为,数据申请的审核行为;所述第一服务调用行为包括:服务目录的发布行为、目标基础计算服务申请的审核和授权行为,以及目标基础计算服务的调用行为。终端服务子平台对第二交互行为进行审计,所述第二交互行为包括第二数据交互行为和第二服务调用行为,所述第二数据交互行为包括:数据的上报行为、数据目录的检索行为、数据的申请行为和数据的获取行为;所述第二服务调用行为包括:服务目录的查阅行为、目标基础计算服务的申请行为、目标基础计算服务的组合行为和目标计算服务的调用行为。
本发明的一个示例中,对所述数据安全集中服务系统的中心服务子平台可以包括多个模块,用于实现上述功能,其中:
中心服务子平台:可以包括中心子平台管理功能模块、中心数据共享功能模块、计算模型管理功能模块、中心安全保障和中心监管审计等功能模块,其中:
(1)中心子平台管理功能模块:是用于对中心服务子平台进行基础管理的,可以包括中心服务子平台的用户管理、终端接入凭证颁发、终端节点接入验证等子功能模块。
A、用户管理子功能模块:包括中心服务子平台中用户创建、删除、修改、查询,用户的分组设置、权限设置。
分组设置,可以自定义创建、删除、修改、查询用户分组,对用户分组设置描述信息,支持将用户移入或迁出特定用户分组。
权限设置,对不同的用户或用户分组,赋予不同的系统使用权限。
B、终端接入凭证颁发子功能模块:向指定终端节点颁布对应的终端接入凭证,其中颁布的方式可以是线上的方式,也可以是线下的方式。
C、终端节点接入验证子功能模块:从区块链网络基础设施获取接入申请,并对接入申请中的终端接入凭证进行有效性验证。
(2)中心数据共享功能模块:可以包括数据托管、数据目录管理、中心数据共享交换管理等子功能模块。其中,中心数据共享功能模块可以是中心服务子平台中共享中心的功能模块,所述共享中心,用于存储数据中心中导出的用于共享的数据,以及存储各终端服务子平台上报的数据,所述共享中心可以是物理上独立建设的共享数据中心,也可以是其数据中心中逻辑上划分出的共享数据中心;所述数据中心可以是中心服务子平台数据中心,也可以是应用中心服务子平台的机构的数据中心。
A、数据托管子功能模块:接收各终端服务子平台的数据,与中心服务子平台的数据进行汇总整合,集中托管于统一机构的共享中心;以及生成数据的访问信息。
B、数据目录管理子功能模块:编辑中心服务子平台中数据对应的数据目录,并将数据目录发布至区块链网络基础设施。
C、中心数据共享交换管理子功能模块:从区块链网络基础设施获取并审核终端服务子平台发布的数据共享申请。
(3)计算模型管理功能模块:包括标准化计算服务管理、服务目录管理、计算服务授权等子功能模块。
A、标准化计算服务管理子功能模块:建设满足各机构计算需求且具有细粒度、松耦合特征的多种计算模型,对计算模型提供的计算服务进行梳理,形成标准化计算服务库。
B、服务目录管理子功能模块:用于编辑中心服务子平台的标准化计算服务库中计算服务对应的服务目录,并将计算服务目录发布至区块链网络基础设施。
C、计算服务授权子功能模块:从区块链网络基础设施获取并审核终端服务子平台的计算服务调用请求。
(4)中心安全保障功能模块:用于为中心服务子平台参与数据安全集中服务提供安全防护,包括数据防泄漏、通信安全、安全扩展等子功能模块。
A、数据防泄漏子功能模块:根据实际应用需求定制敏感信息识别规则,在数据共享交换过程中,按需屏蔽特定敏感数据,实现对敏感数据的有效保护。
B、通信安全子功能模块:基于国密兼容国际主流标准加解密算法,实现加密通信,保证数据传输过程的安全。
C、安全扩展子功能模块:根据实际安全防护需求,提供安全防护动态扩展能力,可以动态集成特定功能模块的安全插件。
(5)中心监管审计功能模块:收集中心服务子平台的数据共享交换、计算服务调用日志,根据预定义或自定义的监管审计策略,从数据共享交换、计算服务调用等两方面,对中心服务子平台进行监管审计,形成可视化报告,支持导出报告。
终端服务子平台:可以包括终端子平台管理功能模块、终端数据共享功能模块、计算模型管理功能模块、终端安全保障和终端监管审计等功能模块,其中:
(1)终端子平台管理功能模块:是用于对终端服务子平台进行基础管理的,可以包括终端服务子平台的用户管理、终端节点接入申请等子功能模块。
A、用户管理子功能模块:包括终端服务子平台中用户创建、删除、修改、查询,用户的分组设置、权限设置。
分组设置,可以自定义创建、删除、修改、查询用户分组,对用户分组设置描述信息,支持将用户移入或迁出特定用户分组。
权限设置,对不同的用户或用户分组,赋予不同的系统使用权限。
B、终端节点接入子功能模块:向区块链网络基础设施发送包含终端接入凭证的接入申请。
(2)终端数据共享功能模块:可以包括数据上报、数据申请、数据获取等功能模块。其中,终端数据共享功能模块可以是终端服务子平台中共享中心的功能模块,所述共享中心,用于存储终端服务子平台从数据中心中导出的用于共享的数据,所述共享中心可以是物理上独立建设的共享数据中心,也可以是其数据中心中逻辑上划分出的共享数据中心;所述数据中心可以是终端服务子平台数据中心,也可以是应用终端服务子平台的机构的数据中心。
A、数据上报子功能模块:上报终端服务子平台中共享中心的数据给中心服务子平台,并发布对应的数据原始描述信息到区块链网络基础设施。
B、数据申请子功能模块:从区块链网络基础设施获取中心服务子平台发布的数据目录并进行检索、查阅,确定数据目录存在需求的数据对应的目录时,发布数据共享申请至区块链网络基础设施。
C、数据获取子功能模块:从区块链网络基础设施获取需求的数据对应访问信息,以及根据访问信息获取需求的数据。
(3)计算模型管理功能模块:包括计算服务申请、服务编排等子功能模块。
A、计算服务申请子功能模块:从区块链网络基础设施获取中心服务子平台发布的计算服务目录并进行检索、查阅;从计算服务目录查找到需求的计算服务对应的目录时,可以发起该计算服务调用请求到区块链网络基础设施。
B、服务编排子功能模块:基于业务需求,可以对计算服务进行柔性编排或动态重组,形成服务序列或复合服务。
(4)终端安全保障功能模块:用于为终端服务子平台参与数据安全集中服务提供安全防护,包括存储安全、通信安全、安全扩展等功能模块。
A、存储安全子功能模块:基于国密兼容国际主流标准加解密算法,实现加密存储,保证数据存储过程的安全。
B、通信安全子功能模块:基于国密兼容国际主流标准加解密算法,实现加密通信,保证数据传输过程的安全。
C、安全扩展子功能模块,根据实际安全防护需求,提供安全防护动态扩展能力,可以动态集成特定功能模块的安全插件。
(5)中心监管审计功能模块:收集终端服务子平台的数据共享交换、计算服务调用日志,根据预定义或自定义的监管审计策略,从数据共享交换、计算服务调用等两方面,对中心服务子平台进行监管审计,形成可视化报告,支持导出报告。
可选地,数据安全集中服务系统可以包括数据库,用于记录实现数据安全集中服务功能模块的数据信息。可以根据实际应用场景需求,包括一个或多个数据库,本发明实施例对此不作限制。
需要说明的是,中心服务子平台、终端服务子平台还可以包括其他功能,可以按照具体需求设置,本发明实施例对其功能不作限制。
需要说明的是,对于系统实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
基于上述数据按照集中服务系统,本发明实施例还提供另一种数据安全集中服务方法。
参照图4,示出了本发明的一种数据安全集中服务方法实施例的步骤流程图,具体包括:
步骤401、中心服务子平台对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施。
步骤402、终端服务子平台依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取。
步骤403、终端服务子平台依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务。
步骤404、终端服务子平台调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。
参照图5,示出了本发明的一种终端服务子平台接入方法实施例的步骤流程图,具体包括:
步骤501、中心服务子平台向指定的终端服务子平台发放终端接入凭证。
步骤502、终端服务子平台依据终端接入凭证生成接入申请,并将所述接入申请发布至区块链网络基础设施。
步骤503、中心服务子平台从区块链网络基础设施获取所述接入申请,并对所述接入申请中的终端接入凭证进行有效性验证;若验证失败,则通过保持与所述终端服务子平台连接的终端节点为未激活状态,拒绝为所述终端节点提供数据安全集中服务;若验证通过,则向区块链网络基础设施发送控制指令,以将与所述终端服务子平台连接的终端节点对应状态更新为激活状态,以为所述终端节点提供数据安全集中服务。
可选地,中心服务子平台确定验证失败的次数达到自定义阈值时,向区块链网络基础设施发送控制指令,以注销与所述终端服务子平台连接的终端节点。
参照图6,示出了本发明实施例的一种服务目录生成方法实施例的步骤流程图,具体包括如下步骤:
步骤601、中心服务子平台依据终端服务子平台上报数据对应的数据原始描述信息,将已有数据与终端服务子平台上报的数据进行汇总整合,得到汇总整合后的数据。
步骤602、将终端服务子平台上报数据对应的数据原始描述信息和已有数据的数据描述信息进行汇总整合,得到汇总整合后的数据对应的数据详细描述信息。
步骤603、依据汇总整合后的数据对应的数据详细描述信息进行编辑,生成汇总整合后的数据的数据目录。
参照图7,示出了本发明实施例的一种访问信息获取方法实施例的步骤流程图,具体包括如下步骤:
步骤701、终端服务子平台对所述数据目录进行检索,并确定中心服务子平台中存在所述目标需求数据对应的数据时,发起所述目标需求数据对应的数据申请并发布至区块链网络基础设施。
步骤702、中心服务子平台从区块链网络基础设施获取所述数据申请,并对所述数据申请进行审核;若审核失败,则拒绝提供所述终端服务子平台申请的目标需求数据的访问信息;若审核通过,则将所述终端服务子平台申请的目标需求数据的访问信息发布至区块链网络基础设施。
步骤703、终端服务子平台从区块链网络基础设施,获取所述目标需求数据的访问信息。
参照图8,示出了本发明实施例的一种构建基础计算服务方法实施例的步骤流程图,具体包括如下步骤:
步骤801、中心服务子平台构建多个基础计算模型,所述基础计算模型包括以下特征:细粒度和松耦合。
步骤802、梳理各基础计算模型提供的服务和服务描述信息,将各基础计算模型服务化得到基础计算服务。
步骤803、采用各基础计算服务和对应的服务描述信息,形成标准化计算服务库。
可选的,依据标准化计算服务库中各基础计算服务的服务描述信息进行编辑,生成标准化计算服务库中各基础计算服务的服务目录。
可选地,中心服务子平台接入所述标准化计算服务库中各基础计算服务;设置标准化计算服务库中各基础计算服务的服务状态,其中,所述服务状态包括未开放状态和已开放状态。
可选地,终端服务子平台对服务目录进行查阅,从服务目录中获取目标基础计算服务的服务描述信息。
可选地,终端服务子平台发起目标基础计算服务的服务申请,并发布至区块链网络基础设施;中心服务子平台从区块链网络基础设施获取所述服务申请,并对所述服务申请进行审核;若审核失败,则拒绝对所述终端服务子平台申请的目标基础计算服务进行授权;若审核通过,则对所述终端服务子平台申请的目标基础计算服务进行授权。
可选地,中心服务子平台存储所述汇总整合后的数据,并为所述汇总整合后的数据提供安全防护;在所述终端服务子平台依据所述访问信息从中心服务子平台获取对应的目标需求数据之后,所述的方法还包括:终端服务子平台存储所述目标需求数据,并为所述目标需求数据提供安全防护;其中,所述安全防护包括以下至少一种:数据防泄漏、通信安全、安全扩展。
可选地,本年发明实施例中,中心服务子平台对第一交互数据进行审计,所述第一交换数据包括:终端服务子平台上报的数据和调用的目标基础计算服务,以及中心服务子平台发布的数据目录和服务目录;终端服务子平台对第二交互数据进行审计,所述第二交换数据包括:终端服务子平台上报的数据、获取的目标需求数据和调用的目标基础计算服务。
综上,本发明实施例的一种数据安全集中服务系统,可以包括区块链网络基础设施、中心服务子平台和至少两个终端服务子平台,所述中心服务子平台和终端服务器子平台分别接入所述区块链网络基础设施;中心服务子平台对终端服务子平台上报的数据进行汇总整合,依据汇总整合后的数据生成数据目录并发布到区块链网络基础设施;以及构建多个基础计算服务,依据各基础计算服务生成服务目录并发布到区块链网络基础设施;终端服务子平台依据数据目录获取目标需求数据的访问信息,以及依据服务目录获取目标基础计算服务的服务描述信息,其中,所述数据目录和服务目录是终端服务子平台从区块链网络基础设施获取;终端服务子平台依据所述访问信息从中心服务子平台获取对应的目标需求数据;以及依据所述服务描述信息对目标基础计算服务进行组合,生成目标计算服务;终端服务子平台调用所述目标计算服务对所述目标需求数据进行计算,确定计算结果。从而一方面,本发明实施例中,数据安全集中服务系统各个子平台之间,通过区块链网络基础设施实现数据的流动,能够提高数据安全集中服务的安全性。另一方面,本发明实施例无需各个分支指派的专人,从各自的共享中心以临时在线或离线方式提供特定数据给其他分支机构,提高了数据流转安全性和效率,且还可以降低成本。又一方面,本发明实施例无需在各分支机构独立建设各自的计算模型以支持特定的业务应用,各终端服务子平台对应的分支机构均可以基于中心服务子平台的基础计算服务进行组合,实现满足自身需求的目标计算服务,提高了资源利用率低;且业务创新时,在中心服务子平台添加对应创新的基础计算服务,可以供多个终端服务子平台自行按需进行选用与组合,业务创新成本低。
对方法实施例而言,由于其与系统实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现本发明实施例中的数据安全集中服务方法的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和\/或方框图来描述的。应理解可由计算机程序指令实现流程图和\/或方框图中的每一流程和\/或方框、以及流程图和\/或方框图中的流程和\/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和\/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和\/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和\/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种数据安全集中服务方法和系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
设计图
相关信息详情
申请码:申请号:CN201811647941.9
申请日:2018-12-29
公开号:CN109474706A
公开日:2019-03-15
国家:CN
国家/省市:11(北京)
授权编号:CN109474706B
授权时间:20191213
主分类号:H04L29/08
专利分类号:H04L29/08;H04L29/06
范畴分类:申请人:北京明朝万达科技股份有限公司
第一申请人:北京明朝万达科技股份有限公司
申请人地址:100097 北京市海淀区蓝靛厂南路25号嘉友国际大厦北区2层
发明人:宋博韬;王志海;喻波;魏力;孙亚东
第一发明人:宋博韬
当前权利人:北京明朝万达科技股份有限公司
代理人:莎日娜
代理机构:11319
代理机构编号:北京润泽恒知识产权代理有限公司
优先权:关键词:当前状态:审核中
类型名称:外观设计