一种基于区块链的敏感数据安全交换系统、方法、装置和存储介质与流程

1.本发明属于数据处理或区域块技术领域，具体涉及一种基于区块链的数据安全交换系统、方法、装置和存储介质。


背景技术：

2.目前，各企业内部与外部均尚未形成成熟可靠的可信数据共享机制，部分需求内外数据互信与共享开展的业务难以完成。由于企业数据的保密性，各企业也无法使用主流的云服务器进行数据共享，以第三方机构作为中心节点的云服务器存在着系统崩溃、数据泄露等问题，从而导致企业内部与外部数据共享渠道尚未能真正打通，存在数据交换实时性低、数据生命周期管理难、数据正确性低、数据安全性低、信息互联互通困难等问题。


技术实现要素：

3.发明目的：为解决海量敏感数据的跨域交换与安全共享的问题，本发明提出了一种基于区块链的数据安全交换系统、方法、装置和存储介质。
4.一种基于区块链的数据安全交换系统，包括数据请求方端和数据被请求方端；
5.所述数据请求方端包括：请求体发送模块；
6.请求体发送模块，用于以区块链交易的形式将请求体发送给持有待共享数据的机构节点；在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息；
7.所述数据被请求方端包括：数据录入模块、请求体获取模块及数据共享模块；
8.数据录入模块，用于持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据进行存储，以及对所述待上链的数据的摘要描述进行存储；以及持有待共享数据的机构节点使用持有待共享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，并生成所述待上链的数据的元信息，所述元信息包括数据的摘要描述；将所述的待上链的数据的元信息广播给整个区块链网络；
9.请求体获取模块，用于从区块链网络中接收来自请求数据共享的机构节点的请求体，在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息；
10.数据共享模块，用于根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据。
11.进一步的，数据共享模块包括以下模块：
12.请求审核模块，用于持有待共享数据的机构节点确定是否根据请求体中的信息向请求数据共享的机构节点共享相应的数据，在确定时，调用hash地址加密模块；
13.hash地址加密模块，用于利用持有待共享数据的机构节点的公钥对私有分布式存储系统的hash地址进行加密，得到加密后的hash地址，将加密后的hash地址广播给整个区
块链网络，并调用公钥获取模块；所述私有分布式存储系统的hash地址为存储有与请求体中信息对应的数据的私有分布式存储系统的hash地址；
14.公钥获取模块，用于获取请求数据共享的机构节点的公钥；
15.重加密模块，用于持有待共享数据的机构节点使用持有待共享数据的机构节点的私钥和请求数据共享的机构节点的公钥对持有待共享数据的机构节点私有分布式存储系统中的数据进行重加密，进行重加密的数据为与请求体中信息对应的数据，得到重加密后的数据，并将重加密后的数据放入缓冲区；
16.数据交换申请获取模块，用于接收来自请求数据共享的机构节点发出数据交换申请，在数据交换申请中包括目标数据地址；所述目标数据地址是由请求数据共享的机构节点使用自身的私钥对加密后的hash地址进行解密得到的；
17.数据交换模块，用于判断数据交换申请中携带的目标数据地址是否失效，仅在目标数据有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给请求数据共享的机构节点。
18.进一步的，数据共享模块还包括共享记录模块，该共享记录模块用于当加密后的hash地址广播给整个区块链网络后，向区块链网络追加本次数据共享记录。
19.进一步的，数据请求方端还包括：
20.请求体发送模块，用于以区块链交易的形式将请求体发送给持有待共享数据的机构节点；在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息。
21.进一步的，数据请求方端还包括以下模块：
22.目标数据地址获取模块，用于从区块链网络中获取数据共享状态以及加密后的hash地址，并使用请求数据共享的机构节点的私钥进行解密，获取目标数据地址；
23.数据交换申请发出模块，用于向持有待共享数据的机构节点发出数据交换申请；
24.数据交换模块，用于从持有待共享数据的机构节点拉取重加密的数据，并通过请求数据共享的机构节点的公钥解密，完成数据交换。
25.进一步的，请求体是通过请求体生成模块生成的；所述请求体生成模块，用于基于数据共享请求，生成请求体，所述数据共享请求为经请求数据共享的机构节点审查通过的数据共享请求。
26.进一步的，所述请求体生成模块，包括：
27.数据共享请求子模块，用于接收来自请求数据共享的机构节点的子节点的数据共享请求；
28.请求体生成子模块，用于对数据共享请求进行审查，仅基于请求数据共享的机构节点审查通过的数据共享请求生成请求体。
29.进一步的，数据请求方端还包括检索模块，所述检索模块用于根据区块链网络中数据的元信息，对区块链网络中待共享数据进行检索，得到持有所需的待共享数据的机构节点的地址，再调用请求体生成模块。
30.本发明公开了一种基于区块链的数据安全交换方法，包括以下步骤：
31.持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据进行存储，以及对所述待上链的数据的摘要描述进行存储；持有待共享数据的机构节点使用持有待共
享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，并生成所述待上链的数据的元信息，所述元信息包括待上链的数据的摘要描述；将所述的待上链的数据的元信息广播给整个区块链网络；
32.持有待共享数据的机构节点从区块链网络中接收来自请求数据共享的机构节点的请求体，在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息；
33.持有待共享数据的机构节点根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据。
34.进一步的，所述的持有待共享数据的机构节点根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据，具体包括：
35.持有待共享数据的机构节点确定是否根据请求体中的信息向请求数据共享的机构节点共享相应的数据，在确定时，利用持有待共享数据的机构节点的公钥对私有分布式存储系统的hash地址进行加密，得到加密后的hash地址，并将加密后的hash地址广播给整个区块链网络；所述私有分布式存储系统的hash地址为存储有与请求体中信息对应的数据的私有分布式存储系统的hash地址；
36.持有待共享数据的机构节点获取请求数据共享的机构节点的公钥；
37.持有待共享数据的机构节点使用持有待共享数据的机构节点的私钥和请求数据共享的机构节点的公钥对持有待共享数据的机构节点私有分布式存储系统中的数据进行重加密，进行重加密的数据为与请求体中信息对应的数据，得到重加密后的数据；并将重加密后的数据放入缓冲区；
38.持有待共享数据的机构节点接收来自请求数据共享的机构节点发出的数据交换申请，在数据交换申请中包括目标数据地址，所述目标数据地址是由请求数据共享的机构节点使用请求数据共享的机构节点的私钥对加密后的hash地址进行解密得到的；判断数据交换申请中携带的目标数据地址是否失效，在目标数据地址有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给请求数据共享的机构节点。
39.进一步的，当加密后的hash地址广播给整个区块链网络后，向区块链网络追加本次数据共享记录。
40.本发明公开了一种基于区块链的数据安全交换方法，包括以下步骤：
41.请求数据共享的机构节点以区块链交易的形式将请求体发送给持有待共享数据的机构节点；所述请求体包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息。
42.进一步的，还包括以下步骤：
43.请求数据共享的机构节点从区块链网络中获取与所述请求体对应的数据的数据共享状态以及获取存储有与所述请求体对应的数据的加密后的hash地址，并使用请求数据共享的机构节点的私钥进行解密，获取目标数据地址；
44.请求数据共享的机构节点向持有待共享数据的机构节点发出数据交换申请，在数据交换申请中包括目标数据地址；
45.请求数据共享的机构节点从持有待共享数据的机构节点拉取存储在目标数据地址下的与所述请求体对应的重加密后的数据，使用请求数据共享的机构节点的公钥对得到
的重加密后的数据进行解密，完成数据交换。
46.进一步的，在执行所述请求数据共享的机构节点以区块链交易的形式将请求体发送给持有待共享数据的机构节点的步骤之前，还包括以下步骤：
47.根据区块链网络中数据的元信息，对区块链网络中待共享数据进行检索，得到持有所需的待共享数据的机构节点的地址，将所述持有所需的待共享数据的机构节点的地址作为请求体中的持有待共享数据的机构节点的地址。
48.本发明公开了一种基于区块链的数据安全交换方法的装置，所述系统包括网络接口、存储器和处理器；其中，
49.所述网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；
50.所述存储器，用于存储能够在所述处理器上运行的计算机程序指令；
51.所述处理器，用于在运行所述计算机程序指令时，执行上述基于区块链的数据安全交换方法的步骤。
52.本发明公开了一种计算机存储介质，所述计算机存储介质存储有基于区块链的数据安全交换方法的程序，所述基于区块链的数据安全交换方法的程序被至少一个处理器执行时实现上述基于区块链的数据安全交换方法的步骤。
53.有益效果：本发明与现有技术相比，具有以下优点：
54.(1)本发明方法/系统利用私有分布式存储系统存储由用户录入的数据，确保各类敏感数据的存储安全性，以及通过仅将数据的元信息广播给整个区块链网络，确保上链、共享的安全性；
55.(2)本发明方法/系统通过将私有分布式存储系统的hash地址进行加密，并将加密后的hash地址广播给整个区块链网络，确保数据交换的可靠性；
56.(3)本发明方法/系统通过使用持有待共享数据的机构节点的私钥和请求数据共享的机构节点的公钥对持有待共享数据的机构节点私有分布式存储系统中的数据进行重加密，确保数据交换的防抵赖；
57.(4)本发明方法/系统通过对数据共享请求进行审核，仅将审核通过的数据共享请求生成请求体，具有节约资源等优点；
58.(5)本发明方法/系统通过对数据交换申请中携带的目标数据地址是否失效进行判断，仅在目标数据有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给请求数据共享的机构节点，确保数据交换的准确性和可靠性；
59.(6)本发明方法/系统通过将与数据操作有关的用户行为均进行上链存证，对加密的授权信息通过链上同步的方式进行传送，实现过程中采用将区块链平台与数据存储平台进行联合部署的模式，具有防抵赖、安全可靠、节约资源等优点；
60.(7)本发明方法/系统特别适用于文档、图片、音频、视频等各类敏感数据的安全存储、上链及共享，方案普适性强。
附图说明
61.图1为一种基于区块链的敏感数据安全交换系统的框架示意图；
62.图2为一种基于区块链的敏感数据安全交换系统中所涉及的用户角色示意图；
63.图3为一种基于区块链的敏感数据安全交换方法的流程示意图。
具体实施方式
64.现结合附图和实施例对本发明的技术方案做进一步说明。
65.实施例1：
66.本实施例公开了一种基于区块链的数据安全共享系统，包括数据请求方端和数据被请求方端。
67.具体的，在数据请求方端包括请求体发送模块，该请求体发送模块，用于以区块链交易的形式将请求体发送给持有待共享数据的机构节点；在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息。
68.具体的，数据被请求方端包括以下模块：数据录入模块、请求体获取模块及数据共享模块；
69.数据录入模块，用于持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据和待上链的数据的摘要描述进行存储；以及持有待共享数据的机构节点使用持有待共享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，并生成待上链的数据的元信息，元信息包括数据的摘要描述；将待上链的数据的元信息广播给整个区块链网络；
70.请求体获取模块，用于从区块链网络中接收来自请求数据共享的机构节点的请求体，在请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(请求的目标地址)、时间戳、数据信息和备注信息。
71.数据共享模块，用于根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据。
72.利用本实施例提出的基于区块链的数据安全交换系统，各用户之间可实现数据互信，开展数据共享业务，通过仅将数据的摘要描述广播给整个区块链网络，确保在数据交换过程中的安全性，特别适用于敏感数据进行安全交换，实现打通企业内部与外部数据共享渠道。
73.实施例2：
74.本实施例在实施例1的基础上，提出了一种基于区块链的数据安全交换系统，主要包括数据请求方端和数据被请求方端。
75.具体的，在数据请求方端包括请求体发送模块，该请求体发送模块，用于以区块链交易的形式将请求体发送给持有待共享数据的机构节点；在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息。
76.具体的，数据被请求方端包括以下模块：
77.数据录入模块，用于持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据和待上链的数据的摘要描述进行存储；以及持有待共享数据的机构节点使用持有待共享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，并生成待上链的数据的元信息，元信息包括数据的摘要描述；将待上链的数据的元信息广播给整个区块链网络。
78.请求体获取模块，用于从区块链网络中接收来自请求数据共享的机构节点的请求
体，在请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(请求的目标地址)、时间戳、数据信息和备注信息。
79.请求审核模块，用于持有待共享数据的机构节点根据请求体中的信息进行审查，确定是否根据请求体中的信息向请求数据共享的机构节点共享相应的数据，仅在审查通过时，调用hash地址加密模块；私有分布式存储系统的hash地址为存储有与请求体中信息对应的数据的私有分布式存储系统的hash地址；当审查不通过时，则不调用hash地址加密模块。此处的审查包括合法审查。
80.hash地址加密模块，用于根据智能合约，利用持有待共享数据的机构节点的公钥对私有分布式存储系统的hash地址进行加密，得到加密后的hash地址，并将加密后的hash地址广播给整个区块链网络，并调用公钥获取模块；
81.公钥获取模块，用于获取请求数据共享的机构节点的公钥；
82.重加密模块，用于持有待共享数据的机构节点使用持有待共享数据的机构节点的私钥和请求数据共享的机构节点的公钥对持有待共享数据的机构节点私有分布式存储系统中的数据进行重加密，进行重加密的数据为与请求体中信息对应的数据，得到重加密后的数据，并将重加密后的数据放入缓冲区。
83.数据交换申请获取模块，用于接收来自请求数据共享的机构节点发出数据交换申请，在数据交换申请中包括目标数据地址；所述目标数据地址是由请求数据共享的机构节点使用自身的私钥对加密后的hash地址进行解密得到的；
84.数据交换模块，用于判断数据交换申请中携带的目标数据地址是否失效，仅在目标数据有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给请求数据共享的机构节点。以上完成数据安全共享。
85.利用本实施例提出的基于区块链的数据安全交换系统，各用户之间可实现数据互信，开展数据共享业务，通过仅将数据的摘要描述广播给整个区块链网络、将存储由待交换数据的地址进行加密、以及将待共享数据进行重加密，确保在数据交换过程中的安全性，特别适用于敏感数据进行安全交换，实现打通企业内部与外部数据共享渠道。
86.实施例3：
87.为便于追溯数据共享记录，本实施例在实施例1或实施例2的基础上，增加数据共享记录模块。该调用数据共享记录模块用于向区块链网络追加本次数据共享记录，并调用公钥获取模块。当将加密后的hash地址广播给整个区块链网络后，调用数据共享记录模块。
88.本实施例将与数据操作有关的用户行为均进行了上链存证，对加密的授权信息通过链上同步的方式进行传送，实现过程中采用将区块链平台与数据存储平台进行联合部署的模式，具有防抵赖、安全可靠、节约资源等优点。
89.实施例4：
90.本实施例公开了一种基于区块链的数据安全交换系统，主要包括数据请求方端和数据被请求方端。其中，数据请求方端包括以下模块：
91.检索模块，用于根据区块链网络中数据的元信息，对区块链网络中待共享数据进行检索，得到持有所需的待共享数据的机构节点的地址，调用请求体生成模块。
92.请求体生成模块，用于接收来自请求数据共享的机构节点的子节点的数据共享请求，基于该数据共享请求，生成请求体，在此模块中，仅基于经请求数据共享的机构节点审
查通过的数据共享请求生成请求体，对于审查不通过的数据共享请求，不生成请求体。
93.请求体发送模块，用于以区块链交易的形式将请求体发送给持有待共享数据的机构节点；在请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(请求的目标地址)、时间戳、数据信息和备注信息。
94.实施例5：
95.本实施例在实施例4的基础上，提出了一种基于区块链的数据安全交换系统，主要包括数据请求方端和数据被请求方端。其中，数据请求方端包括以下模块：
96.检索模块，用于根据区块链网络中数据的元信息，对区块链网络中待共享数据进行检索，得到持有所需的待共享数据的机构节点的地址，调用请求体生成模块。
97.请求体生成模块，用于接收来自请求数据共享的机构节点的子节点的数据共享请求，基于该数据共享请求，生成请求体，在此模块中，仅基于经请求数据共享的机构节点审查通过的数据共享请求生成请求体，对于审查不通过的数据共享请求，不生成请求体。在请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(请求的目标地址)、时间戳、数据信息和备注信息。
98.请求体发送模块，用于以区块链交易的形式将请求体发送给持有待共享数据的机构节点。
99.目标数据地址获取模块，用于从区块链网络中获取数据共享状态以及加密后的hash地址，并使用请求数据共享的机构节点的私钥进行解密，获取目标数据地址；
100.数据交换申请发出模块，用于向持有待共享数据的机构节点发出数据交换申请；
101.数据交换模块，用于从持有待共享数据的机构节点拉取重加密的数据，并通过请求数据共享的机构节点的公钥解密，完成数据交换。
102.利用本实施例提出的基于区块链的数据安全交换系统，特别适用于敏感数据进行安全交换，在此过程中，通过对存储有待共享数据的地址进行加密，以及对待共享数据进行重加密，大大提高数据安全性，以及实现信息互联互通。
103.实施例6：
104.本实施例在实施例1或2或3的基础上，公开了一种基于区块链的数据安全交换方法，主要包括以下步骤：
105.持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据及待上链的数据的摘要描述进行存储；该数据及数据的摘要描述是由机构用户录入的；持有待共享数据的机构节点使用持有待共享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，生成待上链的数据的元信息，元信息包括待上链的数据的摘要描述；将待上链的数据的元信息广播给整个区块链网络；
106.持有待共享数据的机构节点从区块链网络中接收来自请求数据共享的机构节点的请求体，在请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(请求的目标地址)、时间戳、数据信息和备注信息。
107.持有待共享数据的机构节点根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据。
108.实施例7：
109.本实施例在实施例6的基础上，公开了一种基于区块链的数据安全交换方法，主要
包括以下步骤：
110.持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据及待上链的数据的摘要描述进行存储；该数据及数据的摘要描述是由机构用户录入的；持有待共享数据的机构节点使用持有待共享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，生成待上链的数据的元信息，元信息包括待上链的数据的摘要描述；将待上链的数据的元信息广播给整个区块链网络；
111.持有待共享数据的机构节点从区块链网络中接收来自请求数据共享的机构节点的请求体，在请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(请求的目标地址)、时间戳、数据信息和备注信息。
112.持有待共享数据的机构节点根据请求体中的信息进行审查，确定是否根据请求体中的信息向请求数据共享的机构节点共享相应的数据，在审查通过时，根据智能合约，利用持有待共享数据的机构节点的公钥对私有分布式存储系统的hash地址进行加密，得到加密后的hash地址，并将加密后的hash地址广播给整个区块链网络；若审查不通过，则不进行数据共享；上述提及的私有分布式存储系统的hash地址为存储有与请求体中信息对应的数据的私有分布式存储系统的hash地址；上述提及的审查包括请求方是否合法的审查。
113.持有待共享数据的机构节点获取请求数据共享的机构节点的公钥；
114.持有待共享数据的机构节点使用持有待共享数据的机构节点的私钥和请求数据共享的机构节点的公钥对持有待共享数据的机构节点私有分布式存储系统中的数据进行重加密，进行重加密的数据为与请求体中信息对应的数据，得到重加密后的数据；并将重加密后的数据放入缓冲区。
115.持有待共享数据的机构节点接收来自请求数据共享的机构节点发出的数据交换申请，数据交换申请包括目标数据地址，目标数据地址是由请求数据共享的机构节点使用请求数据共享的机构节点的私钥对加密后的hash地址进行解密得到的；判断数据交换申请中携带的目标数据地址是否失效，仅在目标数据地址有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给请求数据共享的机构节点。
116.实施例8：
117.为便于追溯数据共享记录，本实施例在实施例7的基础上，增加数据共享记录步骤，该步骤包括：当加密后的hash地址广播给整个区块链网络后，向区块链网络追加本次数据共享记录。
118.实施例9：
119.本实施例在实施例4或5的基础上，公开了一种基于区块链的数据安全交换方法，主要包括以下步骤：
120.请求数据共享的机构节点以区块链交易的形式将请求体发送给持有待共享数据的机构节点；在请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息。
121.实施例10：
122.本实施例在实施例9的基础上，公开了一种基于区块链的数据安全交换方法，主要包括以下步骤：
123.请求数据共享的机构节点根据区块链网络中数据的元信息，对区块链网络中待共
享数据进行检索，得到持有所需的待共享数据的机构节点的地址，将该地址作为请求体中的持有待共享数据的机构节点的地址。
124.请求数据共享的机构节点对来自其自身的子节点的数据共享请求进行审查，仅基于请求数据共享的机构节点审查通过的数据共享请求生成请求体。在请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息。
125.请求数据共享的机构节点以区块链交易的形式将请求体发送给持有待共享数据的机构节点；
126.请求数据共享的机构节点从区块链网络中获取与所述请求体对应的数据的数据共享状态以及获取存储有与所述请求体对应的数据的加密后的hash地址，并使用请求数据共享的机构节点的私钥进行解密，获取目标数据地址。
127.请求数据共享的机构节点向持有待共享数据的机构节点发出数据交换申请，在数据交换申请中包括目标数据地址。
128.请求数据共享的机构节点从持有待共享数据的机构节点拉取存储在目标数据地址下的与所述请求体对应的重加密后的数据，使用请求数据共享的机构节点的公钥对得到的重加密后的数据进行解密，完成数据交换。
129.实施例11
130.本实施例公开了一种基于区块链的敏感数据安全交换系统，现结合图1和图2，对该数据安全交换系统做进一步说明。该系统主要包括：联盟区块链、分布式存储系统、机构管理系统和应用系统。
131.其中，联盟区块链是一个基于以太坊的联盟区块链网络，由多个机构节点构成，机构节点作为联盟区块链网络基础节点接入区块链，负责管理本机构的机构用户节点，审核机构用户节点的申请共享、上传，通过后该操作将从该机构节点发起数据处理请求，在链上的数据共享记录会以该节点为记录节点。数据的存储会以机构节点为核心传入ipfs系统中进行处理和存储，并将返回的地址加密、上链完成数据的上传和共享。如图3所示的机构节点a和机构节点b。每一个机构节点均有一机构管理员，该机构管理员为监督节点，用于负责注册机构节点、设置机构信息、执行智能合约等操作，会动态的构建数据共享列表保证授权的节点才能共享指定信息。机构用户依存于机构节点，负责发起数据共享申请、上传数据，操作需要经过机构节点的审查，共享获取到的数据也由机构节点进行存储与管理。
132.其中，私有分布式存储系统由ipfs集群构成，其利用ipfs集群提供面向对象的加密数据存储服务，用以存储离链数据。这里的面向对象指的是一种存储策略，即存储在系统中的数据都是以对象的形式进行存储。如图1所示，机构节点a的用户节点上传数据至私有分布式存储系统，填写数据的摘要描述，并向机构节点a发起数据上链请求。机构管理员审查用户节点的数据上链请求，并补充必要的数据的摘要描述和设置数据权限。如图2所示，当用户节点的数据上链请求审查通过后，机构节点a从本地密钥服务器获取密钥，对私有分布式存储系统中待上链的数据进行加密存储，并生产数据的元信息，此处的元信息包括了数据的摘要描述，将数据的元信息广播给整个区块链网络。
133.其中，机构管理系统由一个受信公共节点单独构成，用于控制可信机构成员的加入，并对整个联盟区块链网络的运行状态监控，以满足机构安全审计需求，在本实施例中，
机构管理系统作为密钥中心，还用于对机构节点和系统管理员分发密钥，并使用代理重加密方法对数据进行加密。
134.其中，应用系统用于为机构内部或外部提供数据交换与共享服务，由密钥服务器、web服务组件、安全防护组件以及监督节点构成。
135.现针对数据录入、数据检索和数据共享这三个场景，对本实施例系统的数据交互过程进行说明。
136.数据录入：如图1所示，机构节点b的用户节点上传数据至私有分布式存储系统，填写数据的摘要描述，并向机构节点b发起数据上链请求。机构节点b的机构管理员审查用户节点的数据上链请求，并补充必要的数据的摘要描述和设置数据权限。当用户节点的数据上链请求审查通过后，机构节点b从本地密钥服务器获取密钥，对私有分布式存储系统中待上链的数据进行加密存储，并生产数据的元信息，此处的元信息包括了数据的摘要描述，将数据的元信息广播给整个联盟区块链。
137.数据检索：机构节点的用户节点基于数据的元信息向联盟区块链发出查询请求，对区块链网络中存在的共享数据进行检索，得到检索结果；如图3所示，机构节点a的子节点机构用户a1向区块链网络发出查询请求，经查询，得到数据001归属机构节点b。
138.现以机构节点a为请求数据共享的机构节点，以机构节点b为持有待共享数据的机构节点对数据共享过程做进一步说明。
139.机构节点a中的用户节点根据联盟区块链中数据的元信息，对联盟区块链中待共享数据进行检索，得到机构节点b的地址，机构节点a中的用户节点向机构节点a中的机构管理员(监督节点)发送数据共享请求，由机构节点a中的机构管理员(监督节点)对该数据共享请求进行审核，仅基于经请求数据共享的机构节点审查通过的数据共享请求生成请求体，对于审查不通过的数据共享请求，不生成请求体。在请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(机构节点b的地址)、时间戳、数据信息和备注信息。机构节点a以区块链交易的形式将请求体发送给机构节点b。
140.机构节点b从联盟区块链中接收来自机构节点a的请求体，并对该请求体进行审查，确定是否根据请求体中的信息向机构节点a共享相应的数据，仅在审查通过时，由机构节点b的机构管理员执行智能合约，从本地密钥服务器获取私钥对机构节点b的私有分布式存储系统的hash地址进行加密，得到加密后的hash地址，并将加密后的hash地址广播给整个联盟区块链。而后从机构管理系统(密钥中心)获取机构节点a的公钥，机构节点b使用机构节点b的私钥和机构节点a的公钥对机构节点b的私有分布式存储系统中的数据进行重加密，进行重加密的数据为与请求体中信息对应的数据，得到重加密后的数据，并将重加密后的数据放入缓冲区。
141.机构节点a从联盟区块链中获取待共享数据的数据共享状态以及加密后的hash地址，从本地密钥服务器获取私钥对加密后的hash地址进行解密，获取目标数据地址；机构节点a通过联盟区块链向机构节点b发出数据交换申请，在该数据交换申请中携带有目标数据地址。
142.机构节点b接收来自机构节点a的数据交换申请，判断数据交换申请中携带的目标数据地址是否失效，仅在目标数据有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给机构节点a。
143.机构节点a从机构节点b拉取重加密的数据，机构节点a从本地密钥服务器获取公钥，并通过该公钥对重加密的数据解密，完成数据交换。
144.实施例12
145.本实施例公开了一种基于区块链的敏感数据安全交换方法，现结合图3，对敏感数据安全交换方法做进一步说明。
146.机构用户通过查询，获取数据：机构用户向区块链网络发出查询请求，基于数据的元信息对区块链网络中存在的共享数据进行检索，得到检索结果；如图1所示，机构节点a的子节点机构用户a1向区块链网络发出查询请求，经查询，得到数据001归属机构节点b。
147.机构用户发出数据共享请求，该数据共享请求经机构节点a的机构管理员审查，仅对审查通过的数据共享请求生成请求块，请求体中包括请求数据共享的机构节点的地址(请求的源地址)、持有待共享数据的机构节点的地址(请求的目标地址)、时间戳、数据信息和备注信息等。
148.机构节点a将请求体以区块链交易的形式发送给持有此数据的机构节点，在本实施例中，持有此数据的机构节点为机构节点b。
149.机构节点b的机构管理员审查数据共享请求，判断是否向机构节点a共享数据，若同意，则机构节点b根据智能合约，利用自身的公钥对私有的分布式存储系统存储数据的hash地址进行加密，并向区块链网络追加本次数据共享记录，完成此次数据共享。
150.数据共享流程完成后，机构节点b从密钥服务器获取机构节点a的公钥，机构节点b使用自己的私钥以及机构节点a的公钥对机构节点b私有的分布式存储系统中的数据进行重加密，得到重加密数据，将该重加密数据放入数据缓冲区。
151.机构节点a从区块链网络中获取数据共享状态以及加密后的hash地址，使用机构节点a自己的私钥进行解密，获取目标数据地址。
152.机构节点a发出数据交换申请。机构节点b对数据交换申请进行审核，判断目标数据地址是否失效，若有效，则机构节点a通过数据交换总线从机构节点b拉取重加密数据，并通过自己的公钥解密，完成数据交换。
153.在本实施例中，区块链网络中的数据都通过以下步骤由机构用户录入：
154.①
机构用户上传数据至私有分布式存储系统，填写数据的摘要描述，并向机构节点发起数据上链请求。
155.②
机构节点审查数据上链请求，并补充必要的数据的摘要描述和设置数据权限。
156.③
机构节点从本地密钥服务器获取密钥，对私有分布式存储系统中待上链的数据进行加密存储，并生产数据的元信息，此处的元信息包括了数据的摘要描述，将数据的元信息广播给整个区块链网络。
157.实施例13：
158.本实施例公开了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行计算机程序时实现上述任意一实施例公开的步骤。其中，该计算机设备可以是服务器。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环
境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于区块链的敏感数据安全交换方法。
159.实施例14：
160.本实施例公开了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述任意一实施例公开的步骤。
161.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
162.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
163.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。

技术特征：
1.一种基于区块链的敏感数据安全交换系统，其特征在于，基于区块链的数据安全交换系统包括：数据请求方端和数据被请求方端；所述数据请求方端包括：请求体发送模块；请求体发送模块，用于以区块链交易的形式将请求体发送给持有待共享数据的机构节点；在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息；所述数据被请求方端包括：数据录入模块、请求体获取模块及数据共享模块；数据录入模块，用于持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据进行存储，以及对所述待上链的数据的摘要描述进行存储；以及持有待共享数据的机构节点使用持有待共享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，并生成所述待上链的数据的元信息，所述元信息包括数据的摘要描述；将所述的待上链的数据的元信息广播给整个区块链网络；请求体获取模块，用于从区块链网络中接收来自请求数据共享的机构节点的请求体，在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息；数据共享模块，用于根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据。2.根据权利要求1所述的一种基于区块链的敏感数据安全交换系统，其特征在于，所述数据共享模块包括以下模块：请求审核模块，用于持有待共享数据的机构节点确定是否根据请求体中的信息向请求数据共享的机构节点共享相应的数据，在确定时，调用hash地址加密模块；hash地址加密模块，用于利用持有待共享数据的机构节点的公钥对私有分布式存储系统的hash地址进行加密，得到加密后的hash地址，将加密后的hash地址广播给整个区块链网络，并调用公钥获取模块；所述私有分布式存储系统的hash地址为存储有与请求体中信息对应的数据的私有分布式存储系统的hash地址；公钥获取模块，用于获取请求数据共享的机构节点的公钥；重加密模块，用于持有待共享数据的机构节点使用持有待共享数据的机构节点的私钥和请求数据共享的机构节点的公钥对持有待共享数据的机构节点私有分布式存储系统中的数据进行重加密，进行重加密的数据为与请求体中信息对应的数据，得到重加密后的数据，并将重加密后的数据放入缓冲区；数据交换申请获取模块，用于接收来自请求数据共享的机构节点发出数据交换申请，在数据交换申请中包括目标数据地址；所述目标数据地址是由请求数据共享的机构节点使用自身的私钥对加密后的hash地址进行解密得到的；数据交换模块，用于判断数据交换申请中携带的目标数据地址是否失效，仅在目标数据有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给请求数据共享的机构节点。3.一种基于区块链的敏感数据安全交换方法，其特征在于，所述基于区块链的数据安全交换方法包括以下步骤：持有待共享数据的机构节点使用私有分布式存储系统对待上链的数据进行存储，以及
对所述的待上链的数据的摘要描述进行存储；持有待共享数据的机构节点使用持有待共享数据的机构节点的密钥对私有分布式存储系统中待上链的数据进行加密，并生成所述待上链的数据的元信息，所述元信息包括待上链的数据的摘要描述；将所述的待上链的数据的元信息广播给整个区块链网络；持有待共享数据的机构节点从区块链网络中接收来自请求数据共享的机构节点的请求体，在所述请求体中包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息；持有待共享数据的机构节点根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据。4.根据权利要求3所述的一种基于区块链的敏感数据安全交换方法，其特征在于，所述的持有待共享数据的机构节点根据接收到的请求体，向请求数据共享的机构节点发送请求共享的数据，具体包括：持有待共享数据的机构节点确定是否根据请求体中的信息向请求数据共享的机构节点共享相应的数据，在确定时，利用持有待共享数据的机构节点的公钥对私有分布式存储系统的hash地址进行加密，得到加密后的hash地址，并将加密后的hash地址广播给整个区块链网络；所述私有分布式存储系统的hash地址为存储有与请求体中信息对应的数据的私有分布式存储系统的hash地址；持有待共享数据的机构节点获取请求数据共享的机构节点的公钥；持有待共享数据的机构节点使用持有待共享数据的机构节点的私钥和请求数据共享的机构节点的公钥对持有待共享数据的机构节点私有分布式存储系统中的数据进行重加密，进行重加密的数据为与请求体中信息对应的数据，得到重加密后的数据；并将重加密后的数据放入缓冲区；持有待共享数据的机构节点接收来自请求数据共享的机构节点发出的数据交换申请，在数据交换申请中包括目标数据地址，所述目标数据地址是由请求数据共享的机构节点使用请求数据共享的机构节点的私钥对加密后的hash地址进行解密得到的；判断数据交换申请中携带的目标数据地址是否失效，在目标数据地址有效时，将存储在目标数据地址下的与相应请求体对应的重加密后的数据发给请求数据共享的机构节点。5.根据权利要求4所述的一种基于区块链的敏感数据安全交换方法，其特征在于：所述基于区块链的数据安全交换方法，还包括：当加密后的hash地址广播给整个区块链网络后，向区块链网络追加本次数据共享记录。6.一种基于区块链的敏感数据安全交换方法，其特征在于，所述基于区块链的数据安全交换方法包括以下步骤：请求数据共享的机构节点以区块链交易的形式将请求体发送给持有待共享数据的机构节点；所述请求体包括请求数据共享的机构节点的地址、持有待共享数据的机构节点的地址、时间戳、数据信息和备注信息。7.根据权利要求6所述的一种基于区块链的敏感数据安全交换方法，其特征在于，还包括以下步骤：请求数据共享的机构节点从区块链网络中获取与所述请求体对应的数据的数据共享
状态以及获取存储有与所述请求体中信息对应的数据的加密后的hash地址，并使用请求数据共享的机构节点的私钥进行解密，获取目标数据地址；请求数据共享的机构节点向持有待共享数据的机构节点发出数据交换申请，在数据交换申请中包括目标数据地址；请求数据共享的机构节点从持有待共享数据的机构节点拉取存储在目标数据地址下的与所述请求体对应的重加密后的数据，使用请求数据共享的机构节点的公钥对得到的重加密后的数据进行解密，完成数据交换。8.根据权利要求6所述的一种基于区块链的敏感数据安全交换方法，其特征在于，在执行所述请求数据共享的机构节点以区块链交易的形式将请求体发送给持有待共享数据的机构节点的步骤之前，还包括以下步骤：根据区块链网络中数据的元信息，对区块链网络中待共享数据进行检索，得到持有所需的待共享数据的机构节点的地址，将所述持有所需的待共享数据的机构节点的地址作为请求体中的持有待共享数据的机构节点的地址。9.一种基于区块链的敏感数据安全交换方法的装置，其特征在于，所述系统包括网络接口、存储器和处理器；其中，所述网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；所述存储器，用于存储能够在所述处理器上运行的计算机程序指令；所述处理器，用于在运行所述计算机程序指令时，执行权利要求3至5任一项或执行权利要求6至8任一项所述基于区块链的敏感数据安全交换方法的步骤。10.一种计算机存储介质，其特征在于，所述计算机存储介质存储有基于区块链的数据安全交换方法的程序，所述基于区块链的数据安全交换方法的程序被至少一个处理器执行时实现权利要求3至5任一项或实现权利要求6至8任一项所述基于区块链的敏感数据安全交换方法的步骤。

技术总结
本发明公开了一种基于区块链的敏感数据安全交换系统、方法、装置和存储介质，其以机构为基本单位，通过区块链和联盟链构建数据交换与共享模型，实现一个互信、透明、可靠的数据共享机制，解决海量敏感数据的跨域交换与共享。解决海量敏感数据的跨域交换与共享。解决海量敏感数据的跨域交换与共享。


技术研发人员：巫乾军 张才俊 王小龙 杨华飞 陈宇航 董清泉 郎嘉忆 鲜开强
受保护的技术使用者：国家电网有限公司客户服务中心 国网江苏省电力有限公司营销服务中心
技术研发日：2022.10.14
技术公布日：2023/7/22