基于区块链的用户数据管理方法及装置与流程

本发明实施例涉及计算机技术领域，具体涉及一种基于区块链的用户数据管理方法及装置。

背景技术：

随着互联网的普及，海量数据被互联网用户生产创造出来，这些数据被日益重视利用，数据资产这一概念逐渐为社会各界所接受，但是数据的生产者对于其所创造的数据以及个人信息缺少管理权力。对于个人隐私保护和数据所有权和处置权的问题被日益重视。

目前互联网数据存在以下问题：

1)数据收集分散，各个机构仅能通过自己提供的互联网服务获取数据，无法形成数据的流通；

2)数据信息安全性差，目标用户终端设备访问互联网及使用各种应用软件产生的数据被滥用、盗用，缺少有效的监督和管理方法，因个人隐私泄露造成大量骚扰信息甚至造成财产损失；

3)数据所有权不明确，数据创造者(用户)对自己所创造的数据没有任何权力，数据产生的收益绝大部分被拥有数据的公司所占有。

技术实现要素：

针对现有技术中的问题，本发明实施例提供一种基于区块链的用户数据管理方法及装置。

第一方面，本发明实施例提供了一种基于区块链的用户数据管理方法，包括：

建立用于用户数据管理的区块链数据管理系统；所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点；

用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。

进一步地，所述用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理，包括：

目标用户终端设备节点为目标用户终端设备访问目标网络服务产生的数据添加用户标签形成通用数据，并对所述通用数据进行加密后存储至所述目标用户终端设备节点中；其中，所述通用数据的数据结构为用户标签数据头加上目标用户终端设备访问目标网络服务产生的数据；其中，所述用户标签用于确定所述通用数据的所有权；

目标网络服务提供商节点收集并存储所述目标用户终端设备节点访问所述目标网络服务产生的数据；

每当所述目标用户终端设备和所述目标网络服务提供商节点确定所述目标用户终端设备访问所述目标网络服务产生新的数据时，所述目标用户终端设备和所述目标网络服务提供商节点分别将新产生的数据进行哈希计算，若两者哈希值一致，则将哈希值存储至区块链数据管理系统中，以供所述区块链数据管理系统上的除所述目标用户终端设备节点和所述目标网络服务提供商节点以外的其他用户终端设备节点和其他网络服务提供商节点通过数据授权申请的方式获取所述通用数据，否则向区块链数据管理系统提出仲裁申请，由区块链数据管理系统进行决策。

进一步地，所述目标用户终端设备节点还用于将用户信息加密后存储至区块链数据管理系统。

进一步地，所述目标用户终端设备节点共生成三种秘钥，分别为主密钥，用户信息密钥以及数据密钥；

所述主密钥用于授权属于同一用户管理的其他新用户终端设备节点的接入和删除，以及用户信息密钥和数据密钥的更新和废除；

所述用户信息密钥用于加密所述用户信息；

所述数据密钥用于加密所述通用数据。

进一步地，所述方法还包括：

在所述区块链数据管理系统上的除所述目标用户终端设备节点和所述目标网络服务提供商节点以外的其他用户终端设备节点和其他网络服务提供商节点欲获取所述通用数据时，向所述区块链数据管理系统上的审核节点提出数据授权申请，并经所述审核节点审核通过后获取所述目标用户终端设备保存的所述通用数据，同时将获取的通用数据与区块链数据管理系统中存储的哈希值进行校验，以确定数据的完整性和一致性。

进一步地，所述方法还包括：

当目标用户终端设备节点欲对目标用户终端设备保存的所述通用数据进行操作时，向所述区块链数据管理系统上的审核节点提出数据授权申请，并经所述审核节点审核通过后对所述通用数据进行操作，并将操作后的数据和操作记录存储至目标用户终端设备。

进一步地，所述方法还包括：

当区块链数据管理系统对所述仲裁申请进行决策时，所述区块链数据管理系统上的除所述目标用户终端设备节点和所述目标网络服务提供商节点以外的其他用户终端设备节点和其他网络服务提供商节点以及审核节点参与所述决策。

第二方面，本发明实施例还提供了一种基于区块链的用户数据管理装置，包括：

组建模块，用于建立用于用户数据管理的区块链数据管理系统；其中，所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点；

数据管理模块，用于使得用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。

第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述基于区块链的用户数据管理方法的步骤。

第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述基于区块链的用户数据管理方法的步骤。

由上述技术方案可知，本发明实施例提供的基于区块链的用户数据管理方法及装置，基于区块链的方式，建立用于用户数据管理的区块链数据管理系统，所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点，用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。可见，本发明实施例通过区块链的方式，实现了用户数据的权限管理和安全管理。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的基于区块链的用户数据管理方法的流程图；

图2是本发明另一实施例提供的基于区块链的用户数据管理装置的结构示意图；

图3是本发明又一实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1示出了本发明实施例提供的基于区块链的用户数据管理方法的流程图。如图1所示，本发明实施例提供的基于区块链的用户数据管理方法包括如下步骤：

步骤101：建立用于用户数据管理的区块链数据管理系统；所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点。

在本步骤中，建立用于用户数据管理的区块链数据管理系统，从而后续可以利用建立的区块链数据管理系统实现用户数据的管理。步骤102：用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。

在本步骤中，利用区块链难以篡改、透明可溯源、安全性较高的特点，使得用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。

由上述技术方案可知，本发明实施例提供的基于区块链的用户数据管理方法及装置，基于区块链的方式，建立用于用户数据管理的区块链数据管理系统，所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点，用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。可见，本发明实施例通过区块链的方式，实现了用户数据的权限管理和安全管理。

基于上述实施例的内容，上述步骤102具体通过如下方式实现：

目标用户终端设备节点为目标用户终端设备访问目标网络服务产生的数据添加用户标签形成通用数据，并对所述通用数据进行加密后存储至所述目标用户终端设备节点中；其中，所述通用数据的数据结构为用户标签数据头加上目标用户终端设备访问目标网络服务产生的数据；其中，所述用户标签用于确定所述通用数据的所有权；

目标网络服务提供商节点收集并存储所述目标用户终端设备节点访问所述目标网络服务产生的数据；

每当所述目标用户终端设备和所述目标网络服务提供商节点确定所述目标用户终端设备访问所述目标网络服务产生新的数据时，所述目标用户终端设备和所述目标网络服务提供商节点分别将新产生的数据进行哈希计算，若两者哈希值一致，则将哈希值存储至区块链数据管理系统中，以供所述区块链数据管理系统上的除所述目标用户终端设备节点和所述目标网络服务提供商节点以外的其他用户终端设备节点和其他网络服务提供商节点通过数据授权申请的方式获取所述通用数据，否则向区块链数据管理系统提出仲裁申请，由区块链数据管理系统进行决策。

在本实施例中，采用设置在用户终端设备的标签模块为目标用户终端设备因访问目标网络服务产生的数据添加用户标签形成通用数据，所述标签模块属于用户端数据处理插件的功能模块，主要用于对用户产生的数据添加统一用户标签，为数据增加所有权属性，每个用户标签是用户的对数据所有权的唯一标识(用户标识)。此外，所述标签模块还可以用于用户接入设备的辨认，对新接入的终端设备通过用户使用主密钥或者通过其他已获得授权的设备进行授权后加入用户设备信息表。

在本实施例中，针对用户数据引入了数据的所有权概念，通过用户标签明确了数据的所有权，基于区块链实现用户数据和对应通用数据的管理，首先，为所有用户终端设备生产的数据添加从属属性，明确了数据的所有权；其次，通用数据的结构为“用户标签数据头+用户终端设备访问所述目标网络服务产生的数据”，由于不含用户身份隐私信息，因此较好的保护了用户隐私，再者，使用分布式去中心化的方式存储通用数据，充分利用了分布式系统运行维护成本低的优点。最后，采用各节点自治管理，统一验证的方式，实现了数据的可控流通，既保证了系统具备区块链难以篡改、透明可溯源、安全性较高的特点，又避免了完全采用区块链存储架构可能造成的性能瓶颈。

基于上述实施例的内容，所述目标用户终端设备节点还用于将用户信息加密后存储至区块链数据管理系统。

基于上述实施例的内容，所述目标用户终端设备节点共生成三种秘钥，分别为主密钥，用户信息密钥以及数据密钥；

所述主密钥用于授权属于同一用户管理的其他新用户终端设备节点的接入和删除，以及用户信息密钥和数据密钥的更新和废除；

所述用户信息密钥用于加密所述用户信息；

所述数据密钥用于加密所述通用数据。

在本实施例中，三种秘钥的产生通过设置在用户终端设备的秘钥模块实现，秘钥模块属于用户端数据处理插件功能模块，以浏览器插件或者客户端的形式由用户选择安装到自己的终端设备，其主要功能：为用户生成、管理秘钥。密钥模块将生成并使用三种不同权限和功能的秘钥，分别是主密钥，用户信息密钥以及数据密钥。主密钥用于操作用户端设备的接入和删除以及用户信息密钥和数据密钥的更新和废除；用户信息密钥用于加密用户信息；数据密钥用于加密用户端数据。

需要说明的是，用户信息使用用户端数据处理插件的加密模块对用户信息秘钥进行加密后存入数据管理系统，申请获取用户信息需要用户通过二级密钥授权并经过审核节点验证确认；用户产生的通用数据通过数据密钥加密后存入用户终端设备中。

基于上述实施例的内容，所述方法还包括：

在所述区块链数据管理系统上的除所述目标用户终端设备节点和所述目标网络服务提供商节点以外的其他用户终端设备节点和其他网络服务提供商节点欲获取所述通用数据时，向所述区块链数据管理系统上的审核节点提出数据授权申请，并经所述审核节点审核通过后获取所述目标用户终端设备保存的所述通用数据，同时将获取的通用数据与区块链数据管理系统中存储的哈希值进行校验，以确定数据的完整性和一致性。

在本实施例中，不但明确了数据的所有权，而且通过多密钥的设计，使不同的信息分别采用对应的秘钥进行管理，从而增强了数据的安全性。

基于上述实施例的内容，所述方法还包括：

当目标用户终端设备节点欲对目标用户终端设备保存的所述通用数据进行操作时，向所述区块链数据管理系统上的审核节点提出数据授权申请，并经所述审核节点审核通过后对所述通用数据进行操作，并将操作后的数据和操作记录存储至目标用户终端设备。

在本实施例中，目标用户终端设备节点可以向审核节点提出对其所拥有的数据进行访问、查询和修改的授权申请。在本实施例中，区块链数据管理系统智能合约根据授权指令自动对区块链数据管理系统上的数据进行操作。

在本实施例中，审核节点由第三方机构担任，主要对区块链数据管理系统中的各种请求(如授权、申诉、修改等)进行审核验证，采用一票同意制度，操作记录存入区块链以备验证和溯源。

基于上述实施例的内容，所述方法还包括：

当区块链数据管理系统对所述仲裁申请进行决策时，所述区块链数据管理系统上的除所述目标用户终端设备节点和所述目标网络服务提供商节点以外的其他用户终端设备节点和其他网络服务提供商节点以及审核节点参与所述决策。

在本实施例中，区块链数据管理系统上除所述目标用户终端设备节点和所述目标网络服务提供商节点以外的其他用户终端设备节点和其他网络服务提供商节点均可参与验证管理系统中的各种决策，且拥有对决策结果提出申诉的权力。

在本实施例中，基于enterpriseoperationsystem(eos)标准开源代码重构，使用基于权限分级多代表共识算法，区块链数据管理系统的成员节点同时作为区块链管理系统的主链节点，所有系统内用户均可以作为验证节点参与管理系统的验证和监督。

需要说明的是，区块链数据管理系统中所有的操作记录被保存，以实现用对用户隐私信息的各种操作记录不可篡改、可监督和可追溯。

需要说明的是，区块链数据管理系统由多中心化授权区块链构成，区块链上各节点根据不同的权限对链上的决策、认证、验证等行为具有不同的参与度。数据管理系统将主要保存加密的用户信息、通用数据数据的hash值以及各种系统操作记录，并使用智能合约自动执行对应指令。此外，区块链数据管理系统中所有节点使用标准p2p通信协议，完成通信功能。

下面通过一个具体实例对本实施例提供的基于区块链的用户数据管理方法进行详细说明，具体实施流程步骤描述如下：

s1、用户终端安装的插件(基于浏览器或直接植入系统)；

s2、插件生产密钥：主密钥、用户信息密钥、数据密钥；

s3、插件生成用户统一识别标签；

s4、通过区块链向用数据管理系统申请存入用户标签数据；

s5、新终端设备使用主密钥或已验证设备进行接入验证，新终端设备纳入用户设备列表；

s6、用户终端插件对用户使用网络服务所产生的数据添加用户标识数据头，形成通用数据；

s7、用户终端插件对通用数据进行hash计算；

s8、根据用户选项对通用数据进行加密存储到用户设备中；

s9、服务节点收集用户生产数据，并进行hash计算，对应hash值与用户端验证；验证一致后hash值存入数据管理系统区块链；

s10、通用数据系统中的数据按照所存储数据位置由对应节点保存，数据对应hash值由数据管理系统保存；

s11、数据使用者向数据所有者申请解密所查询的加密数据；

s12、数据所有者使用用户信息密钥或数据密钥向数据管理系统发出授权申请；

s13、数据管理系统任一审核节点验证用户授权申请；

s14、根据具体授权要求，区块链管理系统使用智能合约自动对申请进行操作管理。

由上面描述可知，本实施例以用户使用互联网资讯网站(门户网站)和社交类网站为目标，引入数据所有权的概念，明确数据创造者(用户)对数据控制和监督权限。此外，本实施例对用户创造的数据(通用数据)进行处理，使用用户识别标签以明确数据的所有权。此外，本实施例使用去中心化分布式存储机制存储通用数据，降低数据中心建设和维护成本，提高数据的流通性。此外，本实施例建立多中心的数据管理系统，系统内各节点根据不同权限对用户信息数据的授权和修改增删进行监督和认证。本实施例使用授权区块链，利用智能合约自动实现用户信息管理系统中用户身份标签和通用数据系统的数据的映射关系和管理。

基于相同的发明构思，本发明另一实施例提供了一种基于区块链的用户数据管理装置，参见图2，该装置包括：组建模块21和数据管理模块22，其中：

组建模块21，用于建立用于用户数据管理的区块链数据管理系统；所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点；

数据管理模块22，用于使得用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。

由于本发明实施例提供的基于区块链的用户数据管理装置，可以用于执行上述实施例所述的基于区块链的用户数据管理方法，其工作原理和有益效果类似，故此处不再详述，具体内容可参见上述实施例的介绍。

基于相同的发明构思，本发明又一实施例提供了一种电子设备，参见图3，所述电子设备具体包括如下内容：处理器301、存储器302、通信接口303和总线304；

其中，所述处理器301、存储器302、通信接口303通过所述总线304完成相互间的通信；所述通信接口303用于实现各建模软件及智能制造装备模块库等相关设备之间的信息传输；

所述处理器301用于调用所述存储器302中的计算机程序，所述处理器执行所述计算机程序时实现上述基于区块链的用户数据管理方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述过程：建立用于用户数据管理的区块链数据管理系统；所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点。用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。

基于相同的发明构思，本发明又一实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述基于区块链的用户数据管理方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述过程：建立用于用户数据管理的区块链数据管理系统；所述区块链数据管理系统中包括用户终端设备节点和网络服务提供商节点。用户终端设备节点和各个网络服务提供商节点通过所述区块链数据管理系统实现用户数据的权限管理和安全管理。

此外，上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。