分布式数据访问授权及数据服务方法及装置、设备、介质与流程

1.本技术涉及一种分布式数据访问授权及数据服务方法及装置、设备、介质，属于信息技术领域。。


背景技术：

2.目前，随着数据的不断增长和应用场景的复杂化，越来越多的数据被存储在不同位置的不同存储介质中，这些数据往往需要被多个用户访问和使用。然而，传统的数据访问授权方法往往存在着安全性和效率等问题。因此，亟需一种新的分布式数据访问授权及数据服务方法。


技术实现要素：

3.为解决上述技术问题，本技术的实施例分别提供了一种分布式数据访问授权及数据服务方法及装置、设备、介质，以提高数据访问授权的效率和安全性。
4.本技术的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本技术的实践而习得。
5.根据本技术实施例的一个方面，提供了一种分布式数据访问授权及数据服务方法，包括：数据申请端向区块链发送身份验证信息，所述身份验证信息包括身份证书，所述区块链根据身份证书对所述数据申请端进行身份认证；
6.在所述数据申请端身份认证成功后，所述数据申请端通过区块链向数据提供端发出数据访问请求，所述区块链利用智能合约对数据申请端的数据访问请求进行授权，并将授权信息存储在区块链中，所述数据提供端根据所述数据访问请求以及存储于区块链中的授权信息，确定所述数据申请端的访问权限；
7.所述数据提供端在确定所述数据申请端具有访问权限的情况下，根据所述数据申请端发送的数据服务请求，所述数据提供端使用handle或obda进行数据查找，并在查找到对应数据的情况下，对所述数据进行加密后发送至所述数据申请端；
8.所述申请端接收加密后的数据并进行解密得到要访问的数据。
9.进一步地，所述区块链中存储有日志记录，所述日志记录包括数据访问请求的来源、时间、请求参数以及处理结果。
10.进一步地，所述区块链根据身份证书对所述数据申请端进行身份认证，具体包括：
11.区块链根据存储于区块链上的身份认证数据对所述数据申请端进行身份认证，所述身份认证数据包括多个身份证书，所述多个身份证书通过用户端在区块链上注册为数据申请端时提供的身份信息生成；
12.在所述身份认证数据中存在有与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证成功；
13.在所述身份认证数据中不存在与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证不成功。
14.进一步地，所述数据提供端存储有数据库，所述数据库中包括的各个数字对象均对应有一个唯一标识符，所述数字对象包括数据服务以及数据集合；
15.所述数据服务请求中包括唯一标识符，所述数据提供端根据所述唯一标识符在数据库中进行数据查找：
16.在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端使用handle查找到与所述唯一标识符对应的数字对象的情况下，以所述数字对象作为对应数据进行加密后发送至所述数据申请端；
17.在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信息，所述第一返回信息用于表示请求超时；
18.在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效；
19.在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。
20.进一步地，通过对所述唯一标识符进行更新、重命名或删除操作以实现对数字对象的管理。
21.进一步地，所述数据提供端存储有数据库，所述数据提供端将所述数据库中的部分数据或全部数据集成到统一的语义图中，所述语义图中，不同的数据资源能够被标识、分类、连接和查询；
22.所述数据服务请求中包括语义查询信息，所述数据提供端根据所述语义查询信息在所述数据库中进行数据查找：
23.在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端以描述分布在不同数据源的数据之间语义和关系的本体模型为基础，使用obda查找到与所述语义查询信息对应的数据资源的情况下，以所述数据资源作为对应数据进行加密后发送至所述数据申请端；
24.在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信息，所述第一返回信息用于表示请求超时；
25.在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效；
26.在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。
27.进一步地，所述数据提供端利用所述数据申请端的公钥对数据进行加密，加密后的数据仅能通过与所述公钥相对应的私钥进行解密。
28.根据本技术实施例的一个方面，提供了一种分布式数据访问授权及数据服务装置，包括：
29.数据申请端，被配置为向区块链发送身份验证信息，所述身份验证信息包括身份证书，所述区块链根据身份证书对所述数据申请端进行身份认证，在所述数据申请端身份认证成功后，向数据提供端发出数据访问请求以及接收加密后的数据并进行解密得到要访
问的数据；
30.数据提供端，被配置为根据所述数据访问请求以及存储于区块链中的授权信息，确定所述数据申请端的访问权限，在确定所述数据申请端具有访问权限的情况下，根据所述数据申请端发送的数据服务请求，所述数据提供端使用handle或obda进行数据查找，并在查找到对应数据的情况下，对所述数据进行加密后发送至所述数据申请端。
31.根据本技术实施例的一个方面，提供了一种电子设备，包括：控制器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述控制器执行时，使得所述控制器实现上所述的分布式数据访问授权及数据服务方法。
32.根据本技术实施例的一个方面，还提供了一种计算机可读存储介质，其上存储有计算机可读指令，当所述计算机可读指令被计算机的处理器执行时，使计算机执行上述的分布式数据访问授权及数据服务方法。
33.根据本技术实施例的一个方面，还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述的分布式数据访问授权及数据服务方法。
34.在本技术的实施例所提供的技术方案中，至少具有以下优点：
35.安全性：通过区块链的可信身份验证和联盟访问授权机制，确保身份的真实性和数据的不可篡改性，避免数据被篡改或盗取的风险。
36.高效性：采用handle或obda数据服务方法，可以快速响应用户请求，提高数据访问效率。
37.可扩展性：分布式数据访问授权及数据服务可以在多个节点上部署，可以根据数据量和用户需求的增加来动态地调整系统规模，从而实现更高的并发性和更好的性能表现。
38.可靠性：分布式数据访问授权及数据服务可以采用冗余和备份机制来提高系统的可靠性。当某个节点发生故障时，可以自动切换到其他节点来保证系统的正常运行。
39.可管理性：分布式数据访问授权及数据服务可以通过中心化的管理机制来对数据服务进行管理和监控，可以及时发现和解决系统的问题，提高系统的可管理性。
40.高效性：分布式数据访问授权及数据服务可以将数据授权信息存储在就近的节点上，减少数据的传输和网络延迟，从而提高数据的访问效率和响应速度。
41.透明性：使用区块链技术记录所有的访问授权和数据服务记录，保证了数据服务的透明性和可追溯性。
42.灵活性：分布式数据访问授权采用联盟访问授权机制，可以根据具体的需求，灵活地调整访问授权范围和权限等级。
43.总之，分布式数据访问授权及数据服务可以通过可扩展性、可靠性、安全性、可管理性、透明性、灵活性和高效性等方面的优势，广泛应用于需要跨机构、跨领域的数据访问授权和数据服务场景。
44.应理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
45.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
46.图1是本技术涉及的一种实施环境的示意图；
47.图2是本技术一示例性实施例示出的分布式数据访问授权及数据服务方法的流程图；
48.图3是本技术一示例性实施例示出的身份验证流程图；
49.图4是本技术另一示例性实施例示出的数据服务的流程图；
50.图5是本技术另一示例性实施例示出的数据服务的流程图；
51.图6是本技术一示例性实施例示出的分布式数据访问授权及数据服务装置的结构的示意图；
52.图7是本技术的一示例性实施例示出的电子设备的计算机系统的结构示意图。
具体实施方式
53.这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
54.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
55.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
56.在本技术中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
57.首先，请参阅图1，图1是本技术涉及的一种实施环境的示意图。该实施环境包括数据申请端100、数据提供端200，数据申请端100和数据提供端200之间通过有线或者无线网络进行通信。
58.数据申请端100和数据提供端200可以作为参与方，分别为数据申请方和数据提供方，通过区块链系统进行身份注册，并提供身份信息和身份验证材料。在过程中需要采用加密和匿名化等技术，以确保身份信息和访问权限得到充分保护。在参与方身份信息发生变化时，需要进行身份更新，以便区块链系统可以更新参与方的身份信息和访问权限。
59.请参阅图2，图2是本技术一示例性实施例示出的一种分布式数据访问授权及数据服务方法的流程图，该方法由建立通信的数据申请端和数据提供端配合执行，其中数据申请端和数据提供端实现为至少具有数据处理及传输的设备。如图2所示，该方法至少包括步
骤s201至s204，详细介绍如下：
60.步骤s201，数据申请端向区块链发送身份验证信息，所述身份验证信息包括身份证书，所述区块链根据身份证书对所述数据申请端进行身份认证。
61.该步骤为身份验证步骤，即只有在区块链系统中注册的用户才能被成功认证，本技术采用基于区块链的可信身份验证机制，每个用户都拥有自己的身份证书，用于验证用户的身份和权限，确保用户的身份是可信的。用户在申请访问数据之前，需要进行身份验证。
62.请参阅图3，图3是本技术一示例性实施例示出的身份验证流程图，进一步地，所述区块链根据身份证书对所述数据申请端进行身份认证，具体包括：
63.步骤s301，区块链根据存储于区块链上的身份认证数据对所述数据申请端进行身份认证，所述身份认证数据包括多个身份证书，所述多个身份证书通过用户端在区块链上注册为数据申请端时提供的身份信息生成；
64.步骤s302，在所述身份认证数据中存在有与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证成功；
65.步骤s303，在所述身份认证数据中不存在与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证不成功。
66.步骤s202，在所述数据申请端身份认证成功后，所述数据申请端通过区块链向数据提供端发出数据访问请求，所述区块链利用智能合约对数据申请端的数据访问请求进行授权，并将授权信息存储在区块链中，所述数据提供端根据所述数据访问请求以及存储于区块链中的授权信息，确定所述数据申请端的访问权限。
67.所述联盟访问授权机制，利用智能合约对数据申请端的数据访问请求进行授权，控制用户对数据的访问权限。只有经过授权的用户才能够访问数据服务，授权信息存储在区块链中，确保授权信息的可靠性和不可篡改性。
68.具体的，联盟访问授权机制是一种基于联盟链的访问授权模式，用于控制数据资源的访问权限。在该机制中，只有被授权的成员才能够访问数据资源，其他非授权成员无法访问。
69.联盟访问授权机制的实现基于区块链技术和智能合约。在该机制中，授权成员的身份和访问权限信息被存储在区块链上，智能合约被用来实现访问授权的逻辑。当一个成员需要访问数据资源时，它需要先提交一个访问请求，并提供自己的身份验证信息。智能合约将根据请求中的信息判断是否授权该成员访问数据资源，并根据授权等级和时效性等要求生成相应的访问授权令牌。
70.联盟访问授权机制可以有效地保护数据资源的安全和隐私，防止未经授权的成员访问和篡改数据。同时，该机制还可以支持细粒度的访问控制，实现不同成员之间的差异化访问权限管理，提高数据资源的利用效率和灵活性。
71.步骤s203，所述数据提供端在确定所述数据申请端具有访问权限的情况下，根据所述数据申请端发送的数据服务请求，所述数据提供端使用handle或obda进行数据查找，并在查找到对应数据的情况下，对所述数据进行加密后发送至所述数据申请端。
72.该步骤为针对性的提供数据服务以及数据的返回，在获得访问授权后，数据请求方可以通过handle(或obda)数据服务访问数据。handle(或obda)数据服务是一种高效的数
据服务方法，可以快速响应用户请求，提高数据访问效率。
73.handle和obda都是可以用来进行数据服务的。它们都是基于标识符的系统，可以用来命名、寻址、访问和管理分布式的资源，包括数据、服务、应用程序等。
74.在分布式数据访问授权及数据服务方法中，handle和obda可以用来标识和管理数据资源、提供数据服务，并通过联盟访问授权机制控制数据访问权限，以保证数据的安全和隐私。
75.handle是一种分布式命名系统，可以为数字对象提供唯一的、持久的、可管理的标识符。在本发明中，handle用于实现分布式的数据服务。
76.具体来说，handle提供了一个全球唯一的标识符，可以用来标识和定位数字对象。在本发明中，数字对象可以是数据服务、数据集合或者其他数据资源。通过将数字对象与唯一的handle标识符相关联，可以实现数据服务的分布式提供。
77.当用户需要访问特定的数据服务时，可以使用该数据服务的handle标识符来定位该服务。在联盟访问授权机制的支持下，只有经过授权的用户才能访问该数据服务。同时，由于handle提供了持久的标识符，即使数据服务的提供者发生变化，用户仍然可以通过相同的handle标识符访问该数据服务。
78.另外，handle还提供了可管理的标识符，可以在需要时对数字对象进行更新、重命名、删除等操作。这使得数据服务的管理变得更加灵活和高效。
79.总之，handle在本发明中的作用是为数字对象提供唯一的、持久的、可管理的标识符，实现分布式的数据服务。通过与联盟访问授权机制的结合，可以保证数据服务的安全性和可控性。
80.示例性地，请参阅图4，图4是本技术一示例性实施例示出的数据服务的流程图，具体包括：
81.步骤s401，所述数据提供端存储有数据库，所述数据库中包括的各个数字对象均对应有一个唯一标识符，所述数字对象包括数据服务以及数据集合。
82.步骤s402，所述数据服务请求中包括唯一标识符，所述数据提供端根据所述唯一标识符在数据库中进行数据查找。
83.步骤s403，在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端使用handle查找到与所述唯一标识符对应的数字对象的情况下，以所述数字对象作为对应数据进行加密后发送至所述数据申请端。
84.步骤s404，在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信息，所述第一返回信息用于表示请求超时。
85.步骤s405，在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效。
86.步骤s406，在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。
87.obda是一种基于语义的数据服务提供方式，可以在数据访问和数据查询中提供更加智能、高效的服务。在本发明中，obda用于实现分布式的数据服务。
88.具体来说，obda利用本体的技术，将不同的数据源和数据集成到一个统一的语义
图中，形成一个复杂的、多维的、语义化的数据网络。在这个语义图中，不同的数据资源可以被标识、分类、连接和查询。
89.当用户需要访问特定的数据服务时，可以使用obda提供的语义化查询来快速定位和获取所需的数据资源。在联盟访问授权机制的支持下，只有经过授权的用户才能访问该数据服务。同时，由于obda具有高度智能化和可扩展性，可以对数据资源进行更加复杂的查询和分析，为用户提供更加精确、高效的数据服务。
90.另外，obda还可以利用知识图谱的技术进行数据的质量控制和数据的补全、清洗等预处理工作。这使得数据服务的质量和可靠性得到了保证。
91.总之，obda在本发明中的作用是通过知识图谱的技术，将不同的数据资源集成到一个统一的语义图中，为数据访问和查询提供更加智能、高效的服务。通过与联盟访问授权机制的结合，可以保证数据服务的安全性和可控性。同时，obda还可以对数据进行质量控制和预处理，提高数据服务的质量和可靠性。
92.示例性地，请参阅图5，图5是本技术另一示例性实施例示出的数据服务的流程图，具体包括：
93.步骤s501，所述数据提供端存储有数据库，所述数据提供端将所述数据库中的部分数据或全部数据集成到统一的语义图中，所述语义图中，不同的数据资源能够被标识、分类、连接和查询。
94.步骤s502，所述数据服务请求中包括语义查询信息，所述数据提供端根据所述语义查询信息在所述数据库中进行数据查找。
95.步骤s503，在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端以描述分布在不同数据源的数据之间语义和关系的本体模型为基础，使用obda查找到与所述语义查询信息对应的数据资源的情况下，以所述数据资源作为对应数据进行加密后发送至所述数据申请端。
96.步骤s504，在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信息，所述第一返回信息用于表示请求超时。
97.步骤s505，在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效。
98.步骤s506，在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。
99.在一些实施例中，数据提供端对数据服务请求进行处理，包括请求的解析、验证、响应等，同时对异常情况进行处理，例如请求超时、请求无效、权限不足等。
100.在一些实施例中，数据提供端对数据进行质量控制和预处理，确保数据的准确性和可靠性。将请求的数据结果返回给用户，同时保证数据的安全性和隐私保护。
101.在一些实施例中，所述数据提供端利用所述数据申请端的公钥对数据进行加密，加密后的数据仅能通过与所述公钥相对应的私钥进行解密。
102.最后在步骤s204，所述申请端接收加密后的数据并进行解密得到要访问的数据。
103.在一些实施例中，所述区块链中存储有日志记录，所述日志记录包括数据访问请求的来源、时间、请求参数以及处理结果。
104.通过日志记录来记录每个数据服务请求的相关信息，包括请求的来源、时间、请求参数、处理结果等，以便后续的分析和管理。记录所有的访问授权和数据服务记录，保证了数据访问授权及数据服务的透明性和可追溯性。
105.因此，本技术提出的一种基于区块链的分布式数据访问授权及数据服务方法，通过可信身份验证、联盟访问授权机制和handle(或obda)数据服务，实现了对数据服务的高效安全访问和控制，该专利具有良好的实用性和经济效益，适用于各种分布式数据访问授权和数据服务场景。
106.本技术的另一方面还提供了一种分布式数据访问授权及数据服务装置，如图6所示，该装置600包括：
107.数据申请端601，被配置为向区块链发送身份验证信息，所述身份验证信息包括身份证书，所述区块链根据身份证书对所述数据申请端进行身份认证，在所述数据申请端身份认证成功后，所述数据申请端通过区块链向所述数据提供端发出数据访问请求以及接收加密后的数据并进行解密得到要访问的数据；
108.数据提供端602，被配置为根据所述数据访问请求以及存储于区块链中的授权信息，确定所述数据申请端的访问是否被允许，在确定所述数据申请端具有访问权限的情况下，根据所述数据申请端发送的数据服务请求，所述数据提供端使用handle或obda进行数据查找，并在查找到对应数据的情况下，对所述数据进行加密后发送至所述数据申请端。
109.在另一实施例中，所述区块链利用智能合约实现授权，所述数据申请端通过区块链向数据提供端发起数据访问请求，所述智能合约根据公共的数据访问规则及数据提供端提供的个人定制数据访问规则进行语义推理，确定所述数据访问请求是否被允许，以此判断是否对其进行授权。
110.在另一实施例中，所述区块链中存储有日志记录，所述日志记录包括数据访问请求的来源、时间、请求参数以及处理结果。
111.在另一实施例中，所述数据提供端602被配置为：
112.根据存储于区块链上的身份认证数据对所述数据申请端进行身份认证，所述身份认证数据包括多个身份证书，所述多个身份证书通过用户端在区块链上注册为数据申请端时提供的身份信息生成；
113.在所述身份认证数据中存在有与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证成功；
114.在所述身份认证数据中不存在与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证不成功。
115.在另一实施例中，所述数据提供端存储有数据库，所述数据库中包括的各个数字对象均对应有一个唯一标识符，所述数字对象包括数据服务以及数据集合；
116.所述数据服务请求中包括唯一标识符，所述数据提供端根据所述唯一标识符在数据库中进行数据查找：
117.在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端使用handle查找到与所述唯一标识符对应的数字对象的情况下，以所述数字对象作为对应数据进行加密后发送至所述数据申请端；
118.在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信
息，所述第一返回信息用于表示请求超时；
119.在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效；
120.在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。
121.在另一实施例中，所述数据提供端602被配置为通过对所述唯一标识符进行更新、重命名或删除操作以实现对数字对象的管理。
122.在另一实施例中，所述数据提供端存储有数据库，所述数据提供端将所述数据库中的部分数据或全部数据集成到统一的语义图中，所述语义图中，不同的数据资源能够被标识、分类、连接和查询；
123.所述数据服务请求中包括语义查询信息，所述数据提供端根据所述语义查询信息在所述数据库中进行数据查找：
124.在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端以描述分布在不同数据源的数据之间语义和关系的本体模型为基础，使用obda查找到与所述语义查询信息对应的数据资源的情况下，以所述数据资源作为对应数据进行加密后发送至所述数据申请端；
125.在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信息，所述第一返回信息用于表示请求超时；
126.在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效；
127.在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。
128.在另一实施例中，所述数据提供端602被配置为利用所述数据申请端的公钥对数据进行加密，加密后的数据仅能通过与所述公钥相对应的私钥进行解密。
129.需要说明的是，上述实施例所提供的分布式数据访问授权及数据服务装置与前述实施例所提供的分布式数据访问授权及数据服务方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，这里不再赘述。
130.本技术的另一方面还提供了一种电子设备，包括：控制器；存储器，用于存储一个或多个程序，当一个或多个程序被控制器执行时，以执行上述各个实施例中识别的方法。
131.请参阅图7，图7是本技术的一示例性实施例示出的电子设备的计算机系统的结构示意图，其示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。
132.需要说明的是，图7示出的电子设备的计算机系统700仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
133.如图7所示，计算机系统700包括中央处理单元(central processing unit，cpu)701，其可以根据存储在只读存储器(read-only memory，rom)702中的程序或者从存储部分708加载到随机访问存储器(random access memory，ram)703中的程序而执行各种适当的动作和处理，例如执行上述实施例中的方法。在ram 703中，还存储有系统操作所需的各种
程序和数据。cpu 701、rom 702以及ram 703通过总线704彼此相连。输入/输出(input/output，i/o)接口705也连接至总线704。
134.以下部件连接至i/o接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(cathode ray tube，crt)、液晶显示器(liquid crystal display，lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan(local area network，局域网)卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器77也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器77上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。
135.特别地，根据本技术的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(cpu)701执行时，执行本技术的系统中限定的各种功能。
136.需要说明的是，本技术实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
137.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不相同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
138.描述于本技术实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。
139.本技术的另一方面还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前的分布式数据访问授权及数据服务方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。
140.本技术的另一方面还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各个实施例中提供的分布式数据访问授权及数据服务方法。
141.根据本技术实施例的一个方面，还提供了一种计算机系统，包括中央处理单元(central processing unit，cpu)，其可以根据存储在只读存储器(read-only memory，rom)中的程序或者从存储部分加载到随机访问存储器(random access memory，ram)中的程序而执行各种适当的动作和处理，例如执行上述实施例中的方法。在ram中，还存储有系统操作所需的各种程序和数据。cpu、rom以及ram通过总线彼此相连。输入/输出(input/output，i/o)接口也连接至总线。
142.以下部件连接至i/o接口：包括键盘、鼠标等的输入部分；包括诸如阴极射线管(cathode ray tube，crt)、液晶显示器(liquid crystal display，lcd)等以及扬声器等的输出部分；包括硬盘等的存储部分；以及包括诸如lan(local area network，局域网)卡、调制解调器等的网络接口卡的通信部分。通信部分经由诸如因特网的网络执行通信处理。驱动器也根据需要连接至i/o接口。可拆卸介质，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器上，以便于从其上读出的计算机程序根据需要被安装入存储部分。
143.上述内容，仅为本技术的较佳示例性实施例，并非用于限制本技术的实施方案，本领域普通技术人员根据本技术的主要构思和精神，可以十分方便地进行相应的变通或修改，故本技术的保护范围应以权利要求书所要求的保护范围为准。

技术特征：
1.一种分布式数据访问授权及数据服务方法，其特征在于，所述方法包括：数据申请端向区块链发送身份验证信息，所述身份验证信息包括身份证书，所述区块链根据身份证书对所述数据申请端进行身份认证；在所述数据申请端身份认证成功后，所述数据申请端通过区块链向数据提供端发出数据访问请求，所述区块链利用智能合约对数据申请端的数据访问请求进行授权，并将授权信息存储在区块链中，所述数据提供端根据所述数据访问请求以及存储于区块链中的授权信息，确定所述数据申请端的访问权限；所述数据提供端在确定所述数据申请端具有访问权限的情况下，根据所述数据申请端发送的数据服务请求，所述数据提供端使用handle或obda进行数据查找，并在查找到对应数据的情况下，对所述数据进行加密后发送至所述数据申请端；所述申请端接收加密后的数据并进行解密得到要访问的数据。2.根据权利要求1所述的分布式数据访问授权及数据服务方法，其特征在于，所述区块链中利用智能合约实现授权，所述智能合约的参数包括数据访问请求的来源、对象、时间以及返回请求的处理结果。3.根据权利要求1所述的分布式数据访问授权及数据服务方法，其特征在于，所述区块链根据身份证书对所述数据申请端进行身份认证，具体包括：区块链根据存储于区块链上的身份认证数据对所述数据申请端进行身份认证，所述身份认证数据包括多个身份证书，所述多个身份证书通过用户端在区块链上注册为数据申请端时提供的身份信息生成；在所述身份认证数据中存在有与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证成功；在所述身份认证数据中不存在与所述数据申请端的身份证书相同的身份证书的情况下，所述数据申请端身份认证不成功。4.根据权利要求3所述的分布式数据访问授权及数据服务方法，其特征在于，所述数据提供端存储有数据库，所述数据库中包括的各个数字对象均对应有一个唯一标识符，所述数字对象包括数据服务以及数据集合；所述数据服务请求中包括唯一标识符，所述数据提供端根据所述唯一标识符在数据库中进行数据查找：在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端使用handle查找到与所述唯一标识符对应的数字对象的情况下，以所述数字对象作为对应数据进行加密后发送至所述数据申请端；在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信息，所述第一返回信息用于表示请求超时；在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效；在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。5.根据权利要求4所述的分布式数据访问授权及数据服务方法，其特征在于，通过对所
述唯一标识符进行更新、重命名或删除操作以实现对数字对象的管理。6.根据权利要求1所述的分布式数据访问授权及数据服务方法，其特征在于，所述数据提供端存储有数据库，所述数据提供端将所述数据库中的部分数据或全部数据集成到统一的语义图中，所述语义图中，不同的数据资源能够被标识、分类、连接和查询；所述数据服务请求中包括语义查询信息，所述数据提供端根据所述语义查询信息在所述数据库中进行数据查找：在所述数据申请端的数据服务请求得到区块链智能合约授权后，所述数据提供端以描述分布在不同数据源的数据之间语义和关系的本体模型为基础，使用obda查找到与所述语义查询信息对应的数据资源的情况下，以所述数据资源作为对应数据进行加密后发送至所述数据申请端；在预设的时间范围内未查找到数据的情况下，向所述数据申请端发出第一返回信息，所述第一返回信息用于表示请求超时；在未查找到数据的情况下，向所述数据申请端发出第二返回信息，所述第二返回信息用于表示请求无效；在所述数据申请端的数据服务请求未得到区块链智能合约授权时，即区块链中未存储相关的授权信息，向所述数据申请端发出第三返回信息，所述第三返回信息用于表示权限不足。7.根据权利要求1至6中任一项所述的分布式数据访问授权及数据服务方法，其特征在于，所述数据提供端利用所述数据申请端的公钥对数据进行加密，加密后的数据仅能通过与所述公钥相对应的私钥进行解密。8.一种分布式数据访问授权及数据服务装置，其特征在于，包括：数据申请端，被配置为向区块链发送身份验证信息，所述身份验证信息包括身份证书，所述区块链根据身份证书对所述数据申请端进行身份认证，在所述数据申请端身份认证成功后，通过区块链向数据提供端发出数据访问请求以及接收加密后的数据并进行解密得到要访问的数据；数据提供端，被配置为根据所述数据访问请求以及存储于区块链中的授权信息，确定所述数据申请端的访问权限，在确定所述数据申请端具有访问权限的情况下，根据所述数据申请端发送的数据服务请求，所述数据提供端使用handle或obda进行数据查找，并在查找到对应数据的情况下，对所述数据进行加密后发送至所述数据申请端。9.一种电子设备，其特征在于，包括：控制器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述控制器执行时，使得所述控制器实现权利要求1至7中任一项所述的分布式数据访问授权及数据服务方法。10.一种计算机可读存储介质，其特征在于，其上存储有计算机可读指令，当所述计算机可读指令被计算机的处理器执行时，使计算机执行权利要求1至7中任一项所述的分布式数据访问授权及数据服务方法。

技术总结
本申请的实施例揭示了一种分布式数据访问授权及数据服务方法及装置、设备、介质。方法包括：数据申请端向区块链发送身份验证信息，区块链根据身份证书对数据申请端进行身份认证；在身份认证成功后，数据申请端通过区块链向数据提供端发出数据访问请求，区块链利用智能合约对数据申请端的数据访问请求进行授权，并将授权信息存储在区块链中；数据申请端发送的数据服务请求得到区块链智能合约授权后，数据提供端使用Handle或OBDA进行数据查找，并在查找到对应数据的情况下，对数据进行加密后发送至所述数据申请端。本发明可以满足大规模分布式用户之间零信任的可控、自动数据交换，为数据驱动的业务协同和业务创新提供更好的支持。持。持。


技术研发人员：傅德谦 王利 李晓玲 刘佳
受保护的技术使用者：临沂呆马区块链网络科技有限公司 山东现代物流科技产业研究院有限公司
技术研发日：2023.07.14
技术公布日：2023/10/6