一种用户数据管理方法以及相关设备与流程

1.本技术实施例涉及数据处理领域，尤其涉及一种用户数据管理方法以及相关设备。


背景技术：

2.用户数据管理是移动通信网络最核心功能之一。用户业务的提供和网络的正常运营都需要依赖于用户数据管理实体和相关流程。移动网络的用户数据管理实体，存储用户和业务订阅相关数据，密钥信息等，是实现用户鉴权认证、授权以及访问控制的关键。
3.在目前的2g到5g核心网架构中，每一个用户都有着许多信息，例如签约信息、秘钥信息和业务信息等等，这些用户信息都是在一个集中式的单点用户数据管理设备中一起进行处理，该用户数据管理设备与其他控制面板网络实体或应用服务器连接，从而提供数据的访问和存取等服务。例如在5g网络的核心网架构中，用户信息由统一数据管理(user data management，udm)，udm在单个元素中管理网络用户数据，它可以与用户数据存储库配对，用户数据存储库存储用户信息，udm位于控制平面，用来实现在用户平面和控制平面之间进行通信。另一方面，用户数据管理设备与用户数据存储库之间的数据传递所采用的加密方法通常是非对称加密和对称密钥加密。
4.由于用户的信息都由集中式的单点用户数据管理设备进行管理，所以有着单点失效和被网络攻击的风险，因此具有较高的数据安全风险；同时，用户数据管理设备与用户数据存储库之间的数据传递所采用的加密方法的安全性较低，非对称加密算法存在效率低、加密耗时长和加密速度慢的缺点，而且无法确认公钥的合法性和完整性；对称密钥加密最大的确定就是很难实现共享密钥的安全传递。


技术实现要素：

5.本技术实施例提供了一种用户数据管理方法以及相关设备，用于提升用户数据的安全性。
6.本技术实施例第一方面提供了一种用户数据管理方法，该方法应用于用户数据管理系统管理用户的数据，该系统包括数据请求设备、数据存储设备和区块链平台，当数据请求设备需要访问数据存储设备时，用户数据管理系统执行对应的操作，具体该方法包括：数据请求设备向区块链平台发送第一请求，第一请求指示数据请求设备需要访问数据存储设备，第一请求包括数据请求设备的签名信息、访问的类型和运营商私钥签名；数据请求设备接收区块链平台发送的第一许可信息，第一许可信息指示数据请求设备是否拥有访问数据存储设备的权限，权限与数据请求设备的签名信息、访问的类型和运营商公钥有关，运营商公钥与运营商私钥唯一对应；若第一许可信息指示数据请求设备拥有访问数据存储设备的权限，则数据请求设备向数据存储设备发送第二请求，第二请求包括访问的地址和运营商私钥签名。
7.该种可能的实现方式中，数据请求设备在访问数据存储设备之前，需要获得区块
链平台确认该数据请求设备具有相应的权限，由于区块链平台具有去中心化和不可篡改性等特性，因此具有鉴权和授权功能的区块链平台的没有单点失效的风险，受到分布式拒绝服务攻击时损失的数据相对也很少，因此用户数据具有更高的安全性。另一方面，数据请求设备、数据存储设备和区块链平台之间的信息传递都由运营商的密钥签名，保障了信息的安全性。
8.在第一方面的一种可能的实现方式中，访问的类型包括写入数据和读取数据，若访问的类型为写入数据，则第一请求还包括访问的地址和用户公钥；若访问的类型为读取数据，则第一许可信息包括访问的地址和用户公钥。
9.在第一方面的一种可能的实现方式中，在上述数据请求设备向数据存储设备发送第二请求之后，该方法还包括：数据请求设备接收数据存储设备发送的确认信息，确认信息指示数据存储设备已经执行第二请求对应的任务。
10.该种可能的实现方式中，使得数据请求设备可以得知数据存储设备是否已经执行第二请求对应的任务，从而可以据此作出相应的响应，增加了数据请求设备的信息获取。
11.在第一方面的一种可能的实现方式中，在数据请求设备向区块链平台发送第一请求之前，该方法还包括：数据请求设备接收用户设备发送的第三请求，第三请求指示数据请求设备向区块链平台发送第一请求，第三请求包括用户公钥。
12.该种可能的实现方式中，用户设备的用户公钥通过运营商的密钥签名，保障了信息的安全性。
13.在第一方面的一种可能的实现方式中，数据请求设备的签名信息包括用户设备的签名信息。
14.在第一方面的一种可能的实现方式中，第一许可信息包括用户公钥，在数据请求设备向数据存储设备发送第二请求之前,方法还包括：数据请求设备根据用户公钥和运营商私钥确定对称加密密钥。
15.在第一方面的一种可能的实现方式中，确认信息包括经过加密的用户数据，方法还包括：数据请求设备根据对称加密密钥对经过加密的用户数据解密。
16.本技术实施例第二方面提供了一种用户数据管理方法，该方法应用于用户数据管理系统管理用户的数据，该系统包括数据请求设备、数据存储设备和区块链平台，当数据请求设备需要访问数据存储设备时，用户数据管理系统执行对应的操作，具体该方法包括：数据存储设备接收数据请求设备的第二请求，第二请求包括访问的地址和运营商私钥签名；数据存储设备向区块链平台发送访问验证请求，访问验证请求指示数据请求设备向数据存储设备发送第二请求；数据存储设备接收区块链平台发送的第二许可信息，第二许可信息指示数据存储设备是否可以执行第二请求对应的任务；若第二许可信息指示数据存储设备可以执行第二请求对应的任务，则数据存储设备根据第二请求执行对应的任务。
17.该种可能的实现方式中，数据请求设备在访问数据存储设备之前，需要获得区块链平台确认该数据请求设备具有相应的权限，由于区块链平台具有去中心化和不可篡改性等特性，因此具有鉴权和授权功能的区块链平台的没有单点失效的风险，被网络攻击时损失的数据相对也很少，因此用户数据具有更高的安全性。另一方面，该第一请求中包括访问的类型，进一步细化了访问信息，从而使得区块链平台可以更精准地确定第一请求对应的权限；同时，由于只有用户数据的相关信息存储在区块链平台中，用户数据都存储在数据存
储设备中，从而避免了“区块链膨胀问题”、“隐私问题”和数据不可篡改带来的“遗忘权问题”。
18.在第二方面的一种可能的实现方式中，访问的类型为用户数据存储，数据存储设备根据第二请求执行对应的任务，包括：数据存储设备根据对称加密密钥将用户数据加密；数据存储设备将加密后的用户数据存储到访问的地址。
19.在第二方面的一种可能的实现方式中，在数据存储设备根据第二请求执行对应的任务之后，方法还包括：数据存储设备向区块链平台发送响应信息，响应信息指示数据存储设备已经执行第二请求对应的任务。
20.在第二方面的一种可能的实现方式中，在数据存储设备根据第二请求执行对应的任务之后，方法还包括：数据存储设备向数据请求设备发送确认信息，确认信息指示数据存储设备已经执行第二请求对应的任务。
21.在第二方面的一种可能的实现方式中，确认信息包括经过加密的用户数据。
22.本技术实施例第三方面提供了一种用户数据管理方法，该方法应用于用户数据管理系统管理用户的数据，该系统包括数据请求设备、数据存储设备和区块链平台，当数据请求设备需要访问数据存储设备时，用户数据管理系统执行对应的操作，具体该方法包括：区块链平台接收数据请求设备发送的第一请求，第一请求指示数据请求设备需要访问数据存储设备，第一请求包括数据请求设备的签名信息、访问的类型和运营商私钥签名；区块链平台根据数据请求设备的签名信息、访问的类型和运营商私钥签名确定数据请求设备是否可以访问数据存储设备；区块链平台向数据请求设备发送第一许可信息，第一许可信息指示数据请求设备是否拥有访问数据存储设备的权限；区块链平台接收数据存储设备发送的访问验证请求，访问验证请求指示数据请求设备向数据存储设备发送第二请求；若区块链平台确定数据请求设备可以访问数据存储设备，则区块链平台向数据存储设备发送第二许可信息，第二许可信息指示数据存储设备可以执行第二请求对应的任务。
23.数据请求设备在访问数据存储设备之前，需要获得区块链平台确认该数据请求设备具有相应的权限，由于区块链平台具有去中心化和不可篡改性等特性，因此具有鉴权和授权功能的区块链平台的没有单点失效的风险，被网络攻击时损失的数据相对也很少，因此用户数据具有更高的安全性。另一方面，该第一请求中包括访问的类型，进一步细化了访问信息，从而使得区块链平台可以更精准地确定第一请求对应的权限。
24.在第三方面的一种可能的实现方式中，在区块链平台向数据存储设备发送第二许可信息之后，方法还包括：区块链平台接收数据存储设备发送的响应信息，响应信息指示数据存储设备已经执行第二请求对应的任务；区块链平台根据响应消息将数据存储设备已经执行第二请求对应的任务记入分布式账本。
25.在第三方面的一种可能的实现方式中，若访问的类型为读取数据，则第一许可信息包括访问的地址。
26.本技术实施例第四方面提供了一种用户数据管理方法，该方法应用于用户数据管理系统管理用户的数据，该系统包括数据请求设备、数据存储设备和区块链平台，当数据请求设备需要访问数据存储设备时，用户数据管理系统执行对应的操作，具体该方法包括：区块链平台接收数据请求设备发送的第一密钥更新请求，第一密钥更新请求指示数据请求设备需要数据存储设备将与用户第一密钥相关的第一用户数据更新为与用户第二密钥相关
的第二用户数据；密钥更新请求包括数据请求设备的签名信息、访问的类型、通过运营商私钥加密的用户第二公钥和用户根私钥签名；区块链平台根据用户的根公钥和用户第一公钥确定数据请求设备是否具有让数据存储设备将第一用户数据更新为第二用户数据的权限；若区块链平台确定数据请求设备具有权限，则区块链平台向数据存储设备发送第二密钥更新请求，第二密钥更新请求指示数据存储设备向区块链平台发送第一用户数据；区块链平台接收数据存储设备发送的第一响应消息，第一响应消息包括第一用户数据；区块链平台将由第一对称加密密钥加密的第一用户数据更新为由第二对称加密密钥加密的第二用户数据，第一对称加密密钥与用户第一密钥相关，第二对称加密密钥与用户第二密钥相关；区块链平台向数据存储设备设备发送第三请求，第三请求包括第二用户数据，第三请求指示数据存储设备存储第二用户数据。
27.在第四方面的一种可能的实现方式中，在区块链平台向数据存储设备设备发送第三请求之后，方法还包括：区块链平台接收数据存储设备发送的第二响应消息，第二响应消息指示数据存储设备已经存储第二用户数据；区块链平台将数据存储设备已经存储第二用户数据记入分布式账本。
28.在第四方面的一种可能的实现方式中，方法还包括：区块链平台向数据请求设备发送确认消息，所示确认消息指示区块链平台已经将第一用户数据更新为第二用户数据。
29.本技术实施例第五方面提供了一种用户数据管理方法，该方法应用于用户数据管理系统管理用户的数据，该系统包括数据请求设备、数据存储设备和区块链平台，当数据请求设备需要访问数据存储设备时，用户数据管理系统执行对应的操作，具体该方法包括：方法包括：数据请求设备向区块链平台发送第一密钥更新请求，第一密钥更新请求指示数据请求设备需要数据存储设备将由用户第一密钥加密的第一用户数据更新为由用户第二密钥加密的第二用户数据；第一密钥更新请求包括数据请求设备的签名信息、访问的类型、通过运营商私钥加密的用户新公钥和用户根私钥签名；数据请求设备接收区块链平台发送的确认消息，所示确认消息指示数据存储设备已经将第一用户数据更新为第二用户数据。
30.本技术第六方面提供一种数据请求设备，该数据请求设备具有实现上述第一方面或第一方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块，例如：第一发送模块。
31.本技术第七方面提供一种数据存储设备，该数据存储设备具有实现上述第二方面或第二方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块，例如：第一接收模块。
32.本技术第八方面提供一种区块链平台设备，该区块链平台设备具有实现上述第三方面或第三方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块，例如：第一接收模块。
33.本技术第九方面提供一种区块链平台设备，该区块链平台设备具有实现上述第四方面或第四方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块，
例如：第一接收模块。
34.本技术第十方面提供一种数据请求设备，该数据请求设备具有实现上述第五方面或第五方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块，例如：第一发送模块。
35.本技术第十一方面提供一种数据请求设备，该数据请求设备包括至少一个处理器、存储器、输入/输出(input/output，i/o)接口以及存储在存储器中并可在处理器上运行的计算机执行指令，当计算机执行指令被处理器执行时，处理器执行如上述第一方面或第一方面任意一种可能的实现方式的方法。
36.本技术第十二方面提供一种数据存储设备，该数据存储设备包括至少一个处理器、存储器、输入/输出(input/output，i/o)接口以及存储在存储器中并可在处理器上运行的计算机执行指令，当计算机执行指令被处理器执行时，处理器执行如上述第二方面或第二方面任意一种可能的实现方式的方法。
37.本技术第十三方面提供一种区块链平台设备，该数据存储设备包括至少一个处理器、存储器、输入/输出(input/output，i/o)接口以及存储在存储器中并可在处理器上运行的计算机执行指令，当计算机执行指令被处理器执行时，处理器执行如上述第三方面或第三方面任意一种可能的实现方式的方法。
38.本技术第十四方面提供一种区块链平台设备，该数据存储设备包括至少一个处理器、存储器、输入/输出(input/output，i/o)接口以及存储在存储器中并可在处理器上运行的计算机执行指令，当计算机执行指令被处理器执行时，处理器执行如上述第四方面或第四方面任意一种可能的实现方式的方法。
39.本技术第十五方面提供一种数据请求设备，该数据请求设备包括至少一个处理器、存储器、输入/输出(input/output，i/o)接口以及存储在存储器中并可在处理器上运行的计算机执行指令，当计算机执行指令被处理器执行时，处理器执行如上述第五方面或第五方面任意一种可能的实现方式的方法。
40.本技术第十六方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，处理器执行如上述第一方面或第一方面任意一种可能的实现方式的方法。
41.本技术第十七方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，处理器执行如上述第二方面或第二方面任意一种可能的实现方式的方法。
42.本技术第十八方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，处理器执行如上述第三方面或第三方面任意一种可能的实现方式的方法。
43.本技术第十九方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，处理器执行如上述第四方面或第四方面任意一种可能的实现方式的方法。
44.本技术第二十方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，处理器执行如上述第五方面或第五方面任意一
种可能的实现方式的方法。
45.本技术第二十一方面提供一种存储一个或多个计算机执行指令的计算机程序产品，当计算机执行指令被处理器执行时，处理器执行如上述第一方面或第一方面任意一种可能的实现方式的方法。
46.本技术第二十二方面提供一种存储一个或多个计算机执行指令的计算机程序产品，当计算机执行指令被处理器执行时，处理器执行如上述第二方面或第二方面任意一种可能的实现方式的方法。
47.本技术第二十三方面提供一种存储一个或多个计算机执行指令的计算机程序产品，当计算机执行指令被处理器执行时，处理器执行如上述第三方面或第三方面任意一种可能的实现方式的方法。
48.本技术第二十四方面提供一种存储一个或多个计算机执行指令的计算机程序产品，当计算机执行指令被处理器执行时，处理器执行如上述第四方面或第四方面任意一种可能的实现方式的方法。
49.本技术第二十五方面提供一种存储一个或多个计算机执行指令的计算机程序产品，当计算机执行指令被处理器执行时，处理器执行如上述第五方面或第五方面任意一种可能的实现方式的方法。
50.本技术第二十六方面提供了一种芯片系统，该芯片系统包括至少一个处理器，至少一个处理器用于实现上述第一方面或第一方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中，芯片系统还可以包括存储器，存储器，用于保存处理人工智能模型的装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。
51.本技术第二十七方面提供了一种芯片系统，该芯片系统包括至少一个处理器，至少一个处理器用于实现上述第二方面或第二方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中，芯片系统还可以包括存储器，存储器，用于保存基于人工智能模型的数据处理的装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。
52.本技术第二十八方面提供了一种芯片系统，该芯片系统包括至少一个处理器，至少一个处理器用于实现上述第三方面或第三方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中，芯片系统还可以包括存储器，存储器，用于保存基于人工智能模型的数据处理的装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。
53.本技术第二十九方面提供了一种芯片系统，该芯片系统包括至少一个处理器，至少一个处理器用于实现上述第三方面或第三方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中，芯片系统还可以包括存储器，存储器，用于保存基于人工智能模型的数据处理的装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。
54.本技术第三十方面提供了一种芯片系统，该芯片系统包括至少一个处理器，至少一个处理器用于实现上述第一方面或第一方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中，芯片系统还可以包括存储器，存储器，用于保存处理人工智能模型的
装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。
55.从以上技术方案可以看出，本技术实施例具有以下优点：数据请求设备在访问数据存储设备之前，需要获得区块链平台确认该数据请求设备具有相应的权限，由于区块链平台具有去中心化和不可篡改性等特性，因此具有鉴权和授权功能的区块链平台的没有单点失效的风险，受到分布式拒绝服务攻击时损失的数据相对也很少，因此用户数据具有更高的安全性。另一方面，数据请求设备、数据存储设备和区块链平台之间的信息传递都由运营商的密钥签名，保障了信息的安全性。
附图说明
56.图1为2g/3g/4g/ims网络的用户数据架构的一个网络架构示意图；
57.图2为5g网络的用户数据架构的一个网络架构示意图；
58.图3为本技术实施例中用户数据管理方法的一个场景示意图；
59.图4为本技术实施例中用户数据管理方法的一个流程示意图；
60.图5为本技术实施例中用户数据管理方法的另一个流程示意图；
61.图6为本技术实施例中用户数据管理方法的另一个流程示意图；
62.图7为本技术实施例中数据请求设备的一个结构示意图；
63.图8为本技术实施例中数据存储设备的一个结构示意图；
64.图9为本技术实施例中区块链平台设备的一个结构示意图；
65.图10为本技术实施例中区块链平台设备的另一个结构示意图；
66.图11为本技术实施例中数据请求设备的另一个结构示意图；
67.图12为本技术实施例中数据请求设备的另一个结构示意图；
68.图13为本技术实施例中数据存储设备的另一个结构示意图；
69.图14为本技术实施例中区块链平台设备的另一个结构示意图；
70.图15为本技术实施例中区块链平台设备的另一个结构示意图；
71.图16为本技术实施例中数据请求设备的另一个结构示意图；
72.图17为本技术实施例中用户数据管理系统的一个结构示意图；
73.图18为本技术实施例中用户数据管理系统的另一个结构示意图。
具体实施方式
74.本技术实施例提供了一种用户数据管理方法以及相关设备，用于提升用户数据的安全性。
75.下面结合附图，对本技术的实施例进行描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。本领域普通技术人员可知，随着技术的发展和新场景的出现，本技术实施例提供的技术方案对于类似的技术问题，同样适用。
76.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包
含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
77.用户数据管理是移动通信网络最核心功能之一。用户业务的提供和网络的正常运营都需要依赖于用户数据管理实体和相关流程。移动网络的用户数据管理实体，存储用户和业务注册相关数据，密钥信息等，是实现用户鉴权认证、授权以及访问控制的关键。
78.在目前的2g到5g核心网架构中，每一个用户都有着许多信息，例如签约信息、密钥信息和业务信息等等，这些用户信息都是在一个集中式的单点用户数据管理设备中一起进行处理，该用户数据管理设备与其他控制面板网络实体或应用服务器连接，从而提供数据的访问和存取等服务。如图1所示，例如在2g、3g、4g以及网际互连协议多媒体系统(ip multimedia subsystem，ims)架构中的用户数据管理实体是归属位置寄存器(home location register，hlr)和归属用户服务器(home subscriber server，hss)，这些实体与其他控制面网络功能实体或应用服务器接口，提供访问和存取服务。如图2所示，例如在5g网络的核心网架构中，用户信息由统一数据管理(unified data management，udm)，udm在单个元素中管理网络用户数据，它可以与用户数据存储库配对，用户数据存储库存储用户信息，udm位于控制平面。
79.基于上述移动通信网络，下面对本技术实施例中的用户数据管理方法进行描述：
80.如图3所示，本技术实施例提供了一种用户数据管理方法，该方法应用于用户数据管理系统，本技术中的用户数据管理系统包括数据请求设备、区块链平台和数据存储设备，数据请求设备为需要对用户的数据进行相应的操作的设备，可以是数据主体(data subject，ds)、数据控制设备(data controller，dc)和数据处理设备(data processor，dp)等设备，也可以是用户设备、接入网设备和核心网网元，该用户设备可以是笔记本电脑、平板电脑、计算机、lte协助终端、nr协助终端、协助器、半有源标签、有源标签、无线中继站、lte手机和nr手机等终端设备；该接入网设备可以是宏基站、杆基站、长期演进(long term evolution，lte)基站、演进型(evolved nodeb，enb)基站、无线中继(relay)站、femto基站、pico基站和下一代(next generation nodeb，gnb)基站等接入网设备；该核心网网元可以是身份验证服务器、会话管理服务器等核心网网元。
81.区块链平台用来存储数据操作、策略管理交易以及数据指针，该数据指针指向数据存储设备的存储的用户数据；具体地，区块链平台一方面实现了去中心化，实现了访问的认证、鉴权和授权以及访问控制逻辑，另一方面将所有数据操作和策略管理记录都记录在不可篡改的分布式账本上，该访问记录包括个人用户数据的存储地址和访问策略。本技术实施例中，通过区块链平台的去中心化、不可篡改性、可追溯性和透明性等特性，消除集中式信任模式，即区块链平台承担鉴权和授权服务器的角色，针对数据请求设备的所有操作由区块链平台进行鉴权和授权；并且由部署在区块链的智能合约承担自动化的访问控制管理；并且由区块链承担不可篡改日志系统，用于记录任何对链下数据的访问操作。
82.数据存储设备用来存储用户的个人数据，用户的个人数据并不存储在区块链平台上，从而解决的区块链平台的“区块链膨胀问题”、“隐私问题”和数据不可篡改带来的“数据遗忘权问题”。
83.另一方面，本技术实施例中的用户数据管理系统可以分为用户侧的设备和网络服
务提供商侧的设备即运营商侧设备，用户侧的设备配置有用户根密钥对、用户的公私密钥对和运营商的公钥，该用户根密钥对包括用户根公钥和用户根私钥，该用户的公私密钥对包括用户的公钥和用户的私钥；运营商侧的设备配置有运营商的公私密钥对和用户的公钥，该运营商的公私密钥对包括运营商的公钥和运营商的私钥。该用户侧的设备包括用户请求设备中的用户设备，该运营商侧设备包括数据请求设备中的核心网设备、接入网设备、区块链平台和数据存储设备。
84.本技术实施例中，运营商侧设备的设备在传递信息时，发送该信息的设备用运营商私钥对需要传递或存储的信息进行签名，接收该消息的设备在接收到该消息后，可以根据运营商公钥对上述签名进行验证。相应地，用户侧的设备在给运营商侧设备的设备传递信息时，用户侧的设备会用用户私钥对需要传递或存储的信息进行签名，接收该消息的运营商侧设备在可以根据用户公钥对上述签名进行验证；相应地，运营商侧设备的设备再给用户侧的设备传递信息时，运营商侧设备的设备会用运营商私钥对需要传递或存储的信息进行签名，接收该消息的用户侧设备在可以根据运营商公钥对上述签名进行验证。本技术实施例中的运营商侧设备的设备和用户侧的设备在每一次传递数据时都可以根据上述方法进行数据签名认证，也可以不执行数据签名认证，只传递需要传递或存储的信息，具体此处不做限定。
85.如图4所示，本技术实施例中用户数据管理方法的一个流程包括：
86.401、用户设备向数据请求设备发送第三请求。
87.当用户设备需要数据存储设备执行对应的任务时，用户设备就向数据请求设备发送第三请求，该第三请求指示该数据请求设备向区块链平台发送第一请求，第三请求中包括用户设备的签名信息和用户公钥。本技术实施例中的第三请求还可以包括用户设备信息、数据指针即用户设备想要访问的数据在数据存储设备中的数据地址、数据访问的类型即数据访问的策略、用户的根公钥和用户的公钥，该用户的根公钥为该用户唯一的不可改变的密钥。
88.具体地，一种可能的实现方式中，当用户需要销户时，可执行如下步骤：用户设备向数据请求设备例如crm设备和boss发送注册请求，该注册请求即为第三请求。
89.一种可能的实现方式中，该用户设备还会计算第一对称加密密钥，该第一对称加密密钥与用户私钥和运营商公钥相关，例如该第一对称加密密钥ken可以是ken＝用户私钥*运营商公钥，具体此处不做限定。
90.402、数据请求设备向区块链平台发送第一请求。
91.数据请求设备向区块链平台发送第一请求，该第一请求指示数据请求设备需要访问数据存储设备，该第一请求包括数据请求设备的签名信息、访问的类型和运营商私钥签名，该数据请求设备的签名信息用于区块链平台确定第一请求对应的权限。
92.本技术实施例中，该访问的类型可以是数据写入、数据删除和数据读取，除此之外，本技术实施例中的访问的类型也可以是其他类型，例如数据修改等，具体此处不做限定。
93.本技术实施例中，该第一请求包括数据请求设备的签名信息、运营商私钥签名和访问的类型，除此之外，本技术实施例中该第一请求可以包括用户设备信息、或者用户设备需要数据存储设备执行的任务的相关信息，还可以包括数据指针即用户设备想要访问的数
据在数据存储设备中的数据地址、数据访问的类型即数据访问的策略、用户的根公钥和用户的公钥；例如当访问的类型为数据写入时，该第一请求还包括访问的地址，该访问的地址可以是一个数据指针；例如若访问的类型为写入数据，则第一请求还包括访问的地址和用户公钥，具体此处不做限定。
94.本技术实施例中，该数据请求设备的签名信息可以包括该数据请求设备的签名信息，也可以包括用户设备的签名信息，也可以包括数据请求设备的电子签名信息和用户设备的签名信息，也可以是其他可以指示数据请求设备或用户设备的信息，具体此处不做限定；本技术实施例中，该签名信息可以是电子签名，也可以是id等标识信息，具体此处不做限定。
95.本技术实施例中，该数据请求设备为用户设备之外的设备，例如核心网网元、接入网设备和网络功能实体，除此之外，该数据请求设备也可以是终端之类的用户设备，若该数据请求设备为用户设备，则不执行步骤401，用户设备作为数据请求设备直接向区块链平台发送第一请求，具体此处不做限定。
96.本技术实施例中，该数据访问是由用户设备发起的，除此之外，也可以是由核心网网元、接入网设备或网络功能实体发起的，若是核心网网元、接入网设备或网络功能实体发起的，则不执行步骤401,具体此处不做限定。
97.具体地，一种可能的实现方式中，当用户设备需要注册业务时，作为数据请求设备的crm设备和boss就向区块链平台发送第一请求即发起注册交易，该第一请求中包括用户设备的标识、用户设备的信息、数据指针、数据访问策略、用户设备的根公钥和用户的公钥，该第一请求即注册交易由运营商私钥签名。
98.具体地，一种可能的实现方式中，如图5所示，当网络功能设备需要访问用户数据时，作为数据请求设备的网络功能设备就向区块链平台发送第一请求，该第一请求指示该网络功能设备需要访问数据存储设备中的用户数据，该第一请求中包括用户的相关信息，并且由该第一请求由运营商私钥签名。
99.403、区块链平台向数据请求设备发送第一许可信息。
100.区块链平台确定数据请求设备是否可以访问数据存储设备，然后区块链平台向数据请求设备发送第一许可信息，该第一许可信息指示数据请求设备是否可以访问数据存储设备。
101.一种可能的实现方式中，当访问的类型为读取数据时，该第一许可信息还包括访问的地址，该访问的地址可以是一个数据指针；若访问的类型为读取数据，则第一许可信息包括访问的地址和用户公钥。
102.具体地，该区块链平台在接收到数据请求设备发送的第一请求之后，根据该第一请求中包括的数据请求设备的签名信息、运营商私钥签名和访问的类型确定该第一请求的权限，区块链平台可以用预先配置的运营商公钥检验该第一请求是否由运营商私钥签名，由于该数字签名信息具有唯一的真实可靠性，即该数字签名可以唯一的确定该数据请求设备，该数字签名用于区块链平台确定是不是该用户设备发起的请求，即确定第一请求的真实性，确定该第一请求是不是该用户设备知晓并经过该用户设备确认的，从而可以确定第一请求对应的权限，即确定发送该第一请求的数据请求设备有没有权限去访问该数据存储设备并使得数据存储设备执行相应的任务。当该区块链确定该数据请求设备可以访问数据
存储设备之后，即该第一请求具有相应的权限，区块链平台向数据请求设备发送第一许可信息，该第一许可信息指示该数据请求设备可以访问数据存储设备，即该第一请求具有其对应的任务相应的权限。
103.具体地，一种可能的实现方式中，当网络功能设备需要访问用户数据时，区块链平台在接收到第一请求之后，区块链平台会查询分布式账本中用户设备最新的交易信息，从该交易信息中获取用户公钥；然后区块链平台根据该第一请求中包括的数据请求设备的签名信息、运营商私钥签名和访问的类型确定该第一请求的权限，再向数据请求设备发送第一请求消息。若该第一许可信息指示数据请求设备拥有访问数据存储设备的权限，则该第一许可信息中包括数据访问的地址和用户公钥。
104.404、数据请求设备向数据存储设备发送第二请求。
105.数据请求设备在收到第一许可信息之后，若该第一许可信息指示数据请求设备拥有访问数据存储设备的权限则数据请求设备得知区块链平台已经确定该数据请求设备可以访问数据存储设备之后，该数据请求设备向数据存储设备发送第二请求，该第二请求指示数据存储设备执行第二请求对应的任务。该第二请求中可以包括用户设备的标识、用户设备的信息、用户的信息、数据指针、数据访问的类型、用户公钥和运营商私钥签名。
106.一种可能的实现方式中，若该第一许可信息中还包括用户公钥，数据存储设备根据用户公钥确认对称加密密钥，该对称加密密钥与用户公钥和运营商私钥相关。
107.405、数据存储设备向区块链平台发送访问验证请求。
108.数据存储设备在接收到数据请求设备发送的第二请求之后，由于该第二请求指示数据存储设备执行对应的任务，该数据存储设备就需要确认该第二请求是否有与该任务对应的权限，则该数据存储设备向区块链平台发送访问验证请求，该访问验证请求指示数据请求设备向数据存储设备发送了第二请求，该访问验证请求包括该第二请求的相关信息，以使得区块链平台根据该第二请求的相关信息确认该第二请求的权限信息。
109.406、区块链平台向数据存储设备发送第二许可信息。
110.区块链平台在接收数据存储设备发送的访问验证请求之后，区块链平台根据该访问验证请求中第二请求的相关信息确认该第二请求是否具有相应的权限，即该数据存储设备是否可以访问该数据存储设备，然后该区块链平台向数据存储设备发送第二许可信息，该第二许可信息可以指示该数据存储设备是否可以执行第二请求对应的任务。
111.407、数据存储设备接收第二许可信息并执行第二请求对应的任务。
112.数据存储设备接收区块链平台发送的第二许可信息，该第二许可信息指示该数据存储设备是否可以执行第二请求对应的任务，即该第二请求中包含的签名信息所对应的用户设备具有的权限是否可以使该数据存储设备执行第二请求对应的任务。数据存储设备可以用预先配置的运营商公钥检验该第二请求是否由运营商私钥签名，若该第二许可信息指示该数据存储设备可以执行第二请求对应的任务，数据存储设备在接收到第二许可信息之后就可以执行第二请求对应的任务。
113.具体地，一种可能的实现方式中，当用户设备需要注册业务时，数据存储设备在接收到第二许可信息后，若该该第二许可信息指示该数据存储设备可以执行第二请求对应的任务，且该第二请求中的运营商私钥签名通过了数据存储设备根据运营商公钥的检验，则该数据存储设备根据对称加密密钥对用户数据进行加密并保存到数据指针对应的地址，该
对称加密密钥与用户公钥和运营商私钥相关，例如该对称加密密钥可以是用户公钥与运营商私钥的乘积。
114.408、数据存储设备向区块链平台发送响应信息。
115.数据存储设备在执行完第二请求对应的任务之后，就向区块链平台发送响应信息，该响应信息指示数据存储设备已经完成了第二请求对应的任务。该响应信息中包括该任务的相关信息，例如任务的结果信息、发起该任务的用户的标识信息、任务的执行策略和执行该任务的数据存储设备的相关信息。
116.409、区块链平台接收响应信息并记录在分布式账本中。
117.区块链平台接收数据存储设备发送的响应信息，该响应信息指示数据存储设备已经完成了第二请求对应的任务，相应地，该响应信息中包括该任务的相关信息，例如任务的结果信息、发起该任务的用户的标识信息、任务的执行策略和执行该任务的数据存储设备的相关信息；然后区块链平台可以将该任务的相关信息广播给区块链平台的每个节点，在所有节点达成共识后，区块链平台将该任务的相关信息记录在区块链平台的不可篡改的分布式账本中。该区块链平台的每个节点都记录了完整的该任务的相关信息，且每个节点的存储都是独立的地位相同的。
118.410、数据存储设备向数据请求设备发送确认信息。
119.数据存储设备向数据请求设备发送确认消息，该确认消息指示数据存储设备已经完成了第二请求对应的任务。
120.具体地，一种可能的实现方式中，若访问的类型为读取数据，该确认消息中包括加密的用户数据，数据请求设备在接收到该加密的用户数据后，可根据对称加密密钥对该加密的用户数据进行解密，从而获得用户数据。
121.本技术实施例中，数据存储设备可以先执行步骤408，再执行步骤410.也可以先执行步骤410，再执行步骤408，也可以两个两个步骤同时执行，具体此处不做限定。
122.411、数据存储设备向用户设备发送任务结果信息。
123.数据存储设备向用户设备发送任务结果信息，该任务结果信息指示数据存请求设备是否已经完成了第三请求对应的任务。
124.本技术实施例中，运营商侧设备的设备在传递信息时，发送该信息的设备用运营商私钥对需要传递或存储的信息进行签名，接收该消息的设备在接收到该消息后，可以根据运营商公钥对上述签名进行验证。相应地，用户侧的设备在给运营商侧设备的设备传递信息时，用户侧的设备会用用户私钥对需要传递或存储的信息进行签名，接收该消息的运营商侧设备在可以根据用户公钥对上述签名进行验证；相应地，运营商侧设备的设备再给用户侧的设备传递信息时，运营商侧设备的设备会用运营商私钥对需要传递或存储的信息进行签名，接收该消息的用户侧设备在可以根据运营商公钥对上述签名进行验证。
125.本技术实施例中的运营商侧设备的设备和用户侧的设备在每一次传递数据时都可以根据上述方法进行数据签名认证，也可以不执行数据签名认证，只传递需要传递或存储的信息，具体此处不做限定。本技术实施例中的运营商侧设备的设备包括数据请求设备(不是用户设备时)、区块链平台和数据存储设备，用户侧的设备包括用户设备。
126.本技术实施例中，数据请求设备发起对于用户数据的访问请求，除此之外，数据请求设备也可以发起对于用户密钥的更新请求，下面具体进行说明：
127.如图6所示，本技术实施例中用户数据管理方法的另一个流程包括：
128.601、数据请求设备确定用户第二密钥对和第二对称加密密钥；
129.数据请求设备生成用户第二密钥对，该用户第二密钥对包括用户第二公钥和用户第二私钥，该用户第二密钥对为新的密钥对，用来替换用户第一密钥对即旧的密钥对。然后，该数据请求设备根据用户第二私钥和运营商公钥确定第二对称加密密钥，该第二对称加密密钥用来替换第一对称加密密钥，该第一对称加密密钥与用户第一私钥和运营商公钥相关。
130.602、数据请求设备向区块链平台发送第一密钥更新请求。
131.数据请求设备向区块链平台发送密钥更新请求，密钥更新请求指示数据请求设备需要数据存储设备将与用户第一密钥相关的第一用户数据更新为与用户第二密钥相关的第二用户数据；密钥更新请求包括数据请求设备的签名信息、访问的类型、通过运营商私钥加密的用户第二公钥和用户根私钥签名，该密钥更新请求由用户的根私钥签名。
132.603、区块链平台确定数据请求设备的权限。
133.区块链平台在接收到数据请求设备发送的第一密钥更新请求之后，区块链设备确定该请求设备是否有对应的权限。
134.具体地，该区块链平台查询该用户最新的交易信息，根据该交易信息获取该用户的根公钥和用户之前的公钥即用户第一公钥；然后区块链平台根据该用户的根公钥检验该密钥更新请求是否由用户的根私钥签名，该区块链平台根据该第一密钥更新请求中包括的数据请求设备的签名信息、运营商私钥签名和访问的类型确定该第一密钥更新请求的权限，由于该数字签名信息具有唯一的真实可靠性，即该数字签名可以唯一的确定该数据请求设备，该数字签名用于区块链平台确定是不是该用户设备发起的请求，即确定第一密钥更新请求的真实性，确定该第一密钥更新请求是不是该用户设备知晓并经过该用户设备确认的，从而可以确定第一密钥更新请求对应的权限，即确定发送该第一请求的数据请求设备有没有权限去访问该数据存储设备并使得数据存储设备执行相应的任务。区块链平台还会用运营商私钥对通过运营商私钥加密的用户第二公钥进行解密，从而获得未加密的用户第二公钥。
135.604、区块链平台向数据存储设备发送第二密钥更新请求。
136.若区块链平台确定该数据请求设备具有相应的权限，则区块链平台向数据存储设备发送第二密钥更新请求，该第二密钥更新请求指示数据存储设备向该区块链平台发送第一用户数据。该第二密钥更新请求包括第一用户数据所对应的数据地址。
137.605、区块链平台接收用户数据存储设备发送的第一响应消息。
138.区块链平台接收数据存储设备发送的第一响应消息，该第一响应消息包括第一用户数据。
139.606、区块链平台将第一用户数据更新为第二用户数据。
140.区块链平台将由第一对称加密密钥加密的第一用户数据更新为由第二对称加密密钥加密的第二用户数据，具体地，区块链平台根据第一对称加密密钥对第一用户数据进行解密，然后再将解密后的用户数据通过第二对称加密密钥进行加密从而生成第二用户数据。第一对称加密密钥与用户第一密钥和运营商公钥相关，第二对称加密密钥与用户第二密钥和运营商公钥相关。
141.607、区块链平台向数据存储设备设备发送第三请求。
142.区块链平台向数据存储设备设备发送第三请求，第二请求包括第二用户数据和对应的数据指针，第三请求指示数据存储设备将第二用户数据存储到该指针对应的地址。
143.608、区块链平台接收数据存储设备发送的第二响应消息。
144.区块链平台接收数据存储设备发送的第二响应消息，第二响应消息指示数据存储设备已经存储第二用户数据。
145.609、区块链平台接收第二响应信息并记录在分布式账本中。
146.区块链平台接收数据存储设备发送的第二响应信息，该响应信息指示数据存储设备已经完成了第三请求对应的任务，相应地，该响应信息中包括该任务的相关信息，例如任务的结果信息、发起该任务的用户的标识信息、任务的执行策略和执行该任务的数据存储设备的相关信息；然后区块链平台可以将该任务的相关信息广播给区块链平台的每个节点，在所有节点达成共识后，区块链平台将该任务的相关信息记录在区块链平台的不可篡改的分布式账本中。该区块链平台的每个节点都记录了完整的该任务的相关信息，且每个节点的存储都是独立的地位相同的。
147.610、区块链平台向数据请求设备发送确认消息。
148.区块链平台向数据请求设备发送确认消息，该确认消息指示区块链平台已经将第一用户数据更新为第二用户数据。
149.下面对本技术实施例中的数据请求设备进行描述，请参阅图7，本技术实施例提供的一种数据请求设备700，该数据请求设备可以为上述图4至图5中数据请求设备，该数据请求设备700包括：
150.第一发送模块701，用于向区块链平台发送第一请求，第一请求指示数据请求设备需要访问数据存储设备，第一请求包括数据请求设备的签名信息、访问的类型和运营商私钥签名；具体实现方式，请参考图4中步骤402中数据请求设备向区块链平台发送第一请求，此处不再赘述。
151.第一接收模块702，用于接收区块链平台发送的第一许可信息，第一许可信息指示数据请求设备是否拥有访问数据存储设备的权限，权限与数据请求设备的签名信息、访问的类型和运营商公钥有关，运营商公钥与运营商私钥唯一对应；具体实现方式，请参考图4中步骤403中区块链平台向数据请求设备发送第一许可信息，此处不再赘述。
152.第二发送模块703，用于若第一许可信息指示数据请求设备拥有访问数据存储设备的权限，则向数据存储设备发送第二请求，第二请求包括访问的地址和运营商私钥签名。具体实现方式，请参考图4中步骤404中数据请求设备向数据存储设备发送第二请求，此处不再赘述。
153.第二接收模块704，用于接收数据存储设备发送的确认信息，确认信息指示数据存储设备已经执行第二请求对应的任务。具体实现方式，请参考图4中步骤410中数据存储设备向数据请求设备发送确认信息，此处不再赘述。
154.第三接收模块705，用于数据请求设备接收用户设备发送的第三请求，第三请求指示数据请求设备向区块链平台发送第一请求，第三请求包括用户公钥。具体实现方式，请参考图4中步骤401中用户设备向数据请求设备发送第三请求，此处不再赘述。
155.确定模块706，用于根据用户公钥和运营商私钥确定对称加密密钥。具体实现方
式，请参考图4中步骤401中用户设备向数据请求设备发送第三请求，此处不再赘述。
156.解密模块707，用于数据请求设备根据对称加密密钥对经过加密的用户数据解密。具体实现方式，请参考图4中步骤410中数据存储设备向数据请求设备发送确认信息，此处不再赘述。
157.本技术实施例中，运营商侧设备的设备在传递信息时，发送该信息的设备用运营商私钥对需要传递或存储的信息进行签名，接收该消息的设备在接收到该消息后，可以根据运营商公钥对上述签名进行验证。相应地，用户侧的设备在给运营商侧设备的设备传递信息时，用户侧的设备会用用户私钥对需要传递或存储的信息进行签名，接收该消息的运营商侧设备在可以根据用户公钥对上述签名进行验证；相应地，运营商侧设备的设备再给用户侧的设备传递信息时，运营商侧设备的设备会用运营商私钥对需要传递或存储的信息进行签名，接收该消息的用户侧设备在可以根据运营商公钥对上述签名进行验证。
158.本技术实施例中的运营商侧设备的设备和用户侧的设备在每一次传递数据时都可以根据上述方法进行数据签名认证，也可以不执行数据签名认证，只传递需要传递或存储的信息，具体此处不做限定。本技术实施例中的运营商侧设备的设备包括数据请求设备(不是用户设备时)、区块链平台和数据存储设备，用户侧的设备包括用户设备。
159.本实施例中，数据请求设备700可以执行前述图4至图5中任一项所示实施例中数据请求设备所执行的操作，具体此处不再赘述。
160.下面对本技术实施例中的数据存储设备进行描述，请参阅图8，本技术实施例提供的一种数据存储设备800，该数据存储设备可以为上述图4至图5中数据存储设备，该数据存储设备800包括：
161.第一接收模块801，用于接收数据请求设备的第二请求，第二请求包括访问的地址和运营商私钥签名；具体实现方式，请参考图4中步骤404中数据请求设备向数据存储设备发送第二请求，此处不再赘述。
162.第一发送模块802，用于向区块链平台发送访问验证请求，访问验证请求指示数据请求设备向数据存储设备发送第二请求；具体实现方式，请参考图4中步骤405中数据存储设备向区块链平台发送访问验证请求，此处不再赘述。
163.第二接收模块803，用于接收区块链平台发送的第二许可信息，第二许可信息指示数据存储设备是否可以执行第二请求对应的任务；具体实现方式，请参考图4中步骤406中区块链平台向数据存储设备发送第二许可信息，此处不再赘述。
164.执行模块804，用于若第二许可信息指示数据存储设备可以执行第二请求对应的任务，则根据第二请求执行对应的任务。具体实现方式，请参考图4中步骤407中数据存储设备接收第二许可信息并执行第二请求对应的任务，此处不再赘述。
165.第二发送模块805，用于向区块链平台发送响应信息，响应信息指示数据存储设备已经执行第二请求对应的任务。具体实现方式，请参考图4中步骤408中数据存储设备向区块链平台发送响应信息，此处不再赘述。
166.第三发送模块806，用于向数据请求设备发送确认信息，确认信息指示数据存储设备已经执行第二请求对应的任务。具体实现方式，请参考图4中步骤48中数据存储设备向数据请求设备发送确认信息，此处不再赘述。
167.本实施例中，数据存储设备800可以执行前述图4至图5中任一项所示实施例中数
据存储设备所执行的操作，具体此处不再赘述。
168.下面对本技术实施例中的区块链平台设备进行描述，请参阅图9，本技术实施例提供的一种区块链平台设备900，该区块链平台设备可以为上述图4至图5中区块链平台设备，该区块链平台设备900包括：
169.第一接收模块901，用于接收数据请求设备发送的第一请求，第一请求指示数据请求设备需要访问数据存储设备，第一请求包括数据请求设备的签名信息、访问的类型和运营商私钥签名；具体实现方式，请参考图4中步骤402中数据请求设备向区块链平台发送第一请求，此处不再赘述。
170.确定模块902，用于根据数据请求设备的签名信息、访问的类型和运营商私钥签名确定数据请求设备是否可以访问数据存储设备；具体实现方式，请参考图4中步骤403中区块链平台向数据请求设备发送第一许可信息，此处不再赘述。
171.第一发送模块903，用于向数据请求设备发送第一许可信息，第一许可信息指示数据请求设备是否拥有访问数据存储设备的权限；具体实现方式，请参考图4中步骤403中区块链平台向数据请求设备发送第一许可信息，此处不再赘述。
172.第二接收模块904，用于接收数据存储设备发送的访问验证请求，访问验证请求指示数据请求设备向数据存储设备发送第二请求；具体实现方式，请参考图4中步骤405中数据存储设备向区块链平台发送访问验证请求，此处不再赘述。
173.第二发送模块905，用于若区块链平台确定数据请求设备可以访问数据存储设备，则向数据存储设备发送第二许可信息，第二许可信息指示数据存储设备可以执行第二请求对应的任务。具体实现方式，请参考图4中步骤406中区块链平台向数据存储设备发送第二许可信息，此处不再赘述。
174.第三接收模块906，用于接收数据存储设备发送的响应信息，响应信息指示数据存储设备已经执行第二请求对应的任务；具体实现方式，请参考图4中步骤408中数据存储设备向区块链平台发送响应信息，此处不再赘述。
175.记入模块907，用于区块链平台根据响应消息将数据存储设备已经执行第二请求对应的任务记入分布式账本。具体实现方式，请参考图4中步骤409中区块链平台接收响应信息并记录在分布式账本中，此处不再赘述。
176.本实施例中，区块链平台设备900可以执行前述图4至图5中任一项所示实施例中区块链平台设备所执行的操作，具体此处不再赘述。
177.下面对本技术实施例中的区块链平台设备进行描述，请参阅图10，本技术实施例提供的一种区块链平台设备1000，该区块链平台设备可以为上述图6中区块链平台设备，该区块链平台设备1000包括：
178.第一接收模块1001，用于接收数据请求设备发送的第一密钥更新请求，第一密钥更新请求指示数据请求设备需要数据存储设备将与用户第一密钥相关的第一用户数据更新为与用户第二密钥相关的第二用户数据；密钥更新请求包括数据请求设备的签名信息、访问的类型、通过运营商私钥加密的用户第二公钥和用户根私钥签名；具体实现方式，请参考图6中步骤602:数据请求设备向区块链平台发送第一密钥更新请求，此处不再赘述。
179.确定模块1002，用于根据用户的根公钥和用户第一公钥确定数据请求设备是否具有让数据存储设备将第一用户数据更新为第二用户数据的权限；具体实现方式，请参考图6
中步骤603:区块链平台确定数据请求设备的权限，此处不再赘述。
180.第一发送模块1003，用于若区块链平台确定数据请求设备具有权限，则向数据存储设备发送第二密钥更新请求，第二密钥更新请求指示数据存储设备向区块链平台发送第一用户数据；具体实现方式，请参考图6中步骤604:区块链平台向数据存储设备发送第二密钥更新请求，此处不再赘述。
181.第二接收模块1004，用于接收数据存储设备发送的第一响应消息，第一响应消息包括第一用户数据；具体实现方式，请参考图6中步骤605:区块链平台接收用户数据存储设备发送的第一响应消息，此处不再赘述。
182.更新模块1005，用于将由第一对称加密密钥加密的第一用户数据更新为由第二对称加密密钥加密的第二用户数据，第一对称加密密钥与用户第一密钥相关，第二对称加密密钥与用户第二密钥相关；具体实现方式，请参考图6中步骤606:区块链平台将第一用户数据更新为第二用户数据，此处不再赘述。
183.第二发送模块1006，用于向数据存储设备设备发送第三请求，第三请求包括第二用户数据，第三请求指示数据存储设备存储第二用户数据；具体实现方式，请参考图6中步骤607:区块链平台向数据存储设备设备发送第三请求，此处不再赘述。
184.第三接收模块1007，用于接收数据存储设备发送的第二响应消息，第二响应消息指示数据存储设备已经存储第二用户数据；具体实现方式，请参考图6中步骤608:区块链平台接收数据存储设备发送的第二响应消息，此处不再赘述。
185.存储模块1008，用于将数据存储设备已经存储第二用户数据记入分布式账本。具体实现方式，请参考图6中步骤609:区块链平台接收响应信息并记录在分布式账本中，此处不再赘述。
186.第三发送模块1009，用于向数据请求设备发送确认消息，所示确认消息指示区块链平台已经将第一用户数据更新为第二用户数据。具体实现方式，请参考图6中步骤610:区块链平台向数据请求设备发送确认消息，此处不再赘述。
187.本实施例中，区块链平台设备1000可以执行前述图6所示实施例中区块链平台设备所执行的操作，具体此处不再赘述。
188.下面对本技术实施例中的数据请求设备进行描述，请参阅图11，本技术实施例提供的一种数据请求设备1100，该数据请求设备可以为上述图6中数据请求设备，该数据请求设备1100包括：
189.发送模块1101，用于向区块链平台发送第一密钥更新请求，第一密钥更新请求指示数据请求设备需要数据存储设备将由用户第一密钥加密的第一用户数据更新为由用户第二密钥加密的第二用户数据；第一密钥更新请求包括数据请求设备的签名信息、访问的类型、通过运营商私钥加密的用户新公钥和用户根私钥签名；具体实现方式，请参考图6中步骤601:数据请求设备确定用户第二密钥对和第二对称加密密钥，此处不再赘述。
190.接收模块1102，用于数据请求设备接收区块链平台发送的确认消息，所示确认消息指示数据存储设备已经将第一用户数据更新为第二用户数据。具体实现方式，请参考图6中步骤610:区块链平台向数据请求设备发送确认消息，此处不再赘述。
191.图12是本技术实施例提供的一种数据请求设备结构示意图，该数据请求设备1200可以包括一个或一个以上中央处理器(central processing units，cpu)1201和存储器
1205，该存储器1205中存储有一个或一个以上的应用程序或数据。
192.其中，存储器1205可以是易失性存储或持久存储。存储在存储器1205的程序可以包括一个或一个以上模块，每个模块可以包括对数据请求设备中的一系列指令操作。更进一步地，中央处理器1201可以设置为与存储器1205通信，在数据请求设备1200上执行存储器1205中的一系列指令操作。
193.其中，中央处理器1201用于执行存储器1205中的计算机程序，以使得数据请求设备1200用于执行：数据请求设备向区块链平台发送第一请求，第一请求指示数据请求设备需要访问数据存储设备，第一请求包括数据请求设备的签名信息、访问的类型和运营商私钥签名；数据请求设备接收区块链平台发送的第一许可信息，第一许可信息指示数据请求设备是否拥有访问数据存储设备的权限，权限与数据请求设备的签名信息、访问的类型和运营商公钥有关，运营商公钥与运营商私钥唯一对应；若第一许可信息指示数据请求设备拥有访问数据存储设备的权限，则数据请求设备向数据存储设备发送第二请求，第二请求包括访问的地址和运营商私钥签名。具体实现方式，请参考图4所示实施例中步骤401-411，此处不再赘述。
194.数据请求设备1200还可以包括一个或一个以上电源1202，一个或一个以上有线或无线网络接口1203，一个或一个以上输入输出接口1204，和/或，一个或一个以上操作系统，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm等。
195.该数据请求设备1200可以执行前述图4-图5所示的任一个实施例中数据请求设备所执行的操作，具体此处不再赘述。
196.图13是本技术实施例提供的一种数据存储设备结构示意图，该数据存储设备1300可以包括一个或一个以上中央处理器(central processing units，cpu)1301和存储器1305，该存储器1305中存储有一个或一个以上的应用程序或数据。
197.其中，存储器1305可以是易失性存储或持久存储。存储在存储器1305的程序可以包括一个或一个以上模块，每个模块可以包括对数据存储设备中的一系列指令操作。更进一步地，中央处理器1301可以设置为与存储器1305通信，在数据存储设备1300上执行存储器1305中的一系列指令操作。
198.其中，中央处理器1301用于执行存储器1305中的计算机程序，以使得数据存储设备1300用于执行：数据存储设备接收数据请求设备的第二请求，第二请求包括访问的地址和运营商私钥签名；数据存储设备向区块链平台发送访问验证请求，访问验证请求指示数据请求设备向数据存储设备发送第二请求；数据存储设备接收区块链平台发送的第二许可信息，第二许可信息指示数据存储设备是否可以执行第二请求对应的任务；若第二许可信息指示数据存储设备可以执行第二请求对应的任务，则数据存储设备根据第二请求执行对应的任务。具体实现方式，请参考图4所示实施例中步骤401-411，此处不再赘述。
199.数据存储设备1300还可以包括一个或一个以上电源1302，一个或一个以上有线或无线网络接口1303，一个或一个以上输入输出接口1304，和/或，一个或一个以上操作系统，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm等。
200.该数据存储设备1300可以执行前述图4-图5所示的任一个所示实施例中数据存储设备所执行的操作，具体此处不再赘述。
201.图14是本技术实施例提供的一种区块链平台设备结构示意图，该区块链平台设备
1400可以包括一个或一个以上中央处理器(central processing units，cpu)1401和存储器1405，该存储器1405中存储有一个或一个以上的应用程序或数据。
202.其中，存储器1405可以是易失性存储或持久存储。存储在存储器1405的程序可以包括一个或一个以上模块，每个模块可以包括对区块链平台设备中的一系列指令操作。更进一步地，中央处理器1401可以设置为与存储器1405通信，在区块链平台设备1400上执行存储器1405中的一系列指令操作。
203.其中，中央处理器1401用于执行存储器1405中的计算机程序，以使得区块链平台设备1400用于执行：区块链平台接收数据请求设备发送的第一请求，第一请求指示数据请求设备需要访问数据存储设备，第一请求包括数据请求设备的签名信息、访问的类型和运营商私钥签名；区块链平台根据数据请求设备的签名信息、访问的类型和运营商私钥签名确定数据请求设备是否可以访问数据存储设备；区块链平台向数据请求设备发送第一许可信息，第一许可信息指示数据请求设备是否拥有访问数据存储设备的权限；区块链平台接收数据存储设备发送的访问验证请求，访问验证请求指示数据请求设备向数据存储设备发送第二请求；若区块链平台确定数据请求设备可以访问数据存储设备，则区块链平台向数据存储设备发送第二许可信息，第二许可信息指示数据存储设备可以执行第二请求对应的任务。具体实现方式，请参考图4所示实施例中步骤401-411，此处不再赘述。
204.区块链平台设备1400还可以包括一个或一个以上电源1402，一个或一个以上有线或无线网络接口1403，一个或一个以上输入输出接口1404，和/或，一个或一个以上操作系统，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm等。
205.该区块链平台设备1400可以执行前述图4-图5所示的任一个实施例中区块链平台设备所执行的操作，具体此处不再赘述。
206.图15是本技术实施例提供的一种区块链平台设备结构示意图，该区块链平台设备1500可以包括一个或一个以上中央处理器(central processing units，cpu)1501和存储器1505，该存储器1505中存储有一个或一个以上的应用程序或数据。
207.其中，存储器1505可以是易失性存储或持久存储。存储在存储器1505的程序可以包括一个或一个以上模块，每个模块可以包括对区块链平台设备中的一系列指令操作。更进一步地，中央处理器1501可以设置为与存储器1505通信，在区块链平台设备1500上执行存储器1505中的一系列指令操作。
208.其中，中央处理器1501用于执行存储器1505中的计算机程序，以使得区块链平台设备1500用于执行：区块链平台接收数据请求设备发送的第一密钥更新请求，第一密钥更新请求指示数据请求设备需要数据存储设备将与用户第一密钥相关的第一用户数据更新为与用户第二密钥相关的第二用户数据；密钥更新请求包括数据请求设备的签名信息、访问的类型、通过运营商私钥加密的用户第二公钥和用户根私钥签名；区块链平台根据用户的根公钥和用户第一公钥确定数据请求设备是否具有让数据存储设备将第一用户数据更新为第二用户数据的权限；若区块链平台确定数据请求设备具有权限，则区块链平台向数据存储设备发送第二密钥更新请求，第二密钥更新请求指示数据存储设备向区块链平台发送第一用户数据；区块链平台接收数据存储设备发送的第一响应消息，第一响应消息包括第一用户数据；区块链平台将由第一对称加密密钥加密的第一用户数据更新为由第二对称加密密钥加密的第二用户数据，第一对称加密密钥与用户第一密钥相关，第二对称加密密
钥与用户第二密钥相关；区块链平台向数据存储设备设备发送第三请求，第三请求包括第二用户数据，第三请求指示数据存储设备存储第二用户数据。具体实现方式，请参考图6所示实施例中步骤601-610，此处不再赘述。
209.区块链平台设备1500还可以包括一个或一个以上电源1502，一个或一个以上有线或无线网络接口1503，一个或一个以上输入输出接口1504，和/或，一个或一个以上操作系统，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm等。
210.该区块链平台设备1500可以执行前述图6所示的任一个实施例中区块链平台设备所执行的操作，具体此处不再赘述。
211.图16是本技术实施例提供的一种数据请求设备结构示意图，该数据请求设备1600可以包括一个或一个以上中央处理器(central processing units，cpu)1601和存储器1605，该存储器1605中存储有一个或一个以上的应用程序或数据。
212.其中，存储器1605可以是易失性存储或持久存储。存储在存储器1605的程序可以包括一个或一个以上模块，每个模块可以包括对数据请求设备中的一系列指令操作。更进一步地，中央处理器1601可以设置为与存储器1605通信，在数据请求设备1600上执行存储器1605中的一系列指令操作。
213.其中，中央处理器1601用于执行存储器1605中的计算机程序，以使得数据请求设备1600用于执行：数据请求设备向区块链平台发送第一密钥更新请求，第一密钥更新请求指示数据请求设备需要数据存储设备将由用户第一密钥加密的第一用户数据更新为由用户第二密钥加密的第二用户数据；第一密钥更新请求包括数据请求设备的签名信息、访问的类型、通过运营商私钥加密的用户新公钥和用户根私钥签名；数据请求设备接收区块链平台发送的确认消息，所示确认消息指示数据存储设备已经将第一用户数据更新为第二用户数据。具体实现方式，请参考图6所示实施例中步骤601-610，此处不再赘述。
214.数据请求设备1600还可以包括一个或一个以上电源1602，一个或一个以上有线或无线网络接口1603，一个或一个以上输入输出接口1604，和/或，一个或一个以上操作系统，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm等。
215.该数据请求设备1600可以执行前述图6所示的任一个实施例中数据请求设备所执行的操作，具体此处不再赘述。
216.图17是本技术实施例提供的一种用户数据管理系统1700的结构示意图，该用户数据管理系统1700可以包括数据请求设备1701、数据存储设备1702和区块链平台设备1703，该数据请求设备1701可以执行前述图4-图5所示的任一个实施例中数据请求设备所执行的操作；该数据存储设备1702可以执行前述图4-图5所示的任一个所示实施例中数据存储设备所执行的操作；该区块链平台设备1703可以执行前述图4-图5所示的任一个实施例中区块链平台设备所执行的操作。
217.图18是本技术实施例提供的一种用户数据管理系统1800的结构示意图，该用户数据管理系统1800可以包括数据请求设备1801、数据存储设备1802和区块链平台设备1803，该数据请求设备1801可以执行前述图4-8所示的任一个实施例中数据请求设备所执行的操作；该数据存储设备1802可以执行前述图6所示的任一个所示实施例中数据存储设备所执行的操作；该区块链平台设备1803可以执行前述图6所示的任一个实施例中区块链平台设备所执行的操作。
218.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
219.在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
220.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
221.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
222.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。