一种数据安全共享交换方法和数据安全共享交换平台系统与流程

本发明涉及数据共享交换技术领域，特别是涉及一种数据安全共享交换方法和一种数据安全共享交换平台系统。

背景技术：

随着信息技术的发展与数据时代的到来，数据流通成为释放数据红利与价值的主要手段和途径。在政策扶持、技术驱动、市场引领下，数据共享交换产业蓬勃发展，数据变现能力显著提升，数据共享交换平台建设进入井喷期。

当前，数据共享交换平台可以分为两类：一类是以数据生产、数据服务类企业为主导，面向商业交易为主的共享交换平台；另一类是以政府联合其他主体为主导，面向政务信息资源共享交换为主的共享交换平台。

上述两类平台均采用如图1所示的中心化系统结构，拥有相同的共享交换主体，包括数据提供方、数据服务方、数据需求方。数据提供方，为提供共享交换的数据资源的一方；数据服务方，为管理运营共享交换平台，提供共享交换服务的一方；数据需求方，为使用共享交换的数据资源的一方。

数据共享交换的过程，如图1所示，中心化的共享交换平台会使数据提供方将数据资源以离线数据、服务接口、数据接口、api等方式提供给数据服务方；数据服务方再将数据资源以离线数据、服务接口、数据接口、api等方式提供给数据需求方，实现数据提供方到数据需求方的数据共享交换。其中，数据提供方很少直接面对数据需求方，数据服务方在整个数据流通过程中，中心支配地位突出。

目前，数据共享交换平台采用中心化系统结构，围绕数据提供方、数据服务方、数据需求方，实现数据共享交换。在中心化系统结构下，数据共享交换平台存在如下共性敏感问题难以突破，对数据共享交换形成了挑战：

成本，基于中心化系统结构构建的数据共享交换平台，建设、使用、运维中心平台成本高。

管理，1)计算应用托管在中心平台，占用资源大，灵活性差；2)数据提供方、数据服务方、数据需求方使用的数据、技术标准难以统一，共享交换过程标准化程度低，管理难度大。

安全，1)数据提供方将数据资源以委托方式提供给数据服务方，数据资源由数据服务方管控，数据提供方失去了数据资源的自主控制权，增大了数据泄漏与数据非授权扩散风险；2)共享交换过程安全防护薄弱，缺乏有力的威胁应对手段；3)数据监管方缺失或如图2所示由数据服务方作为数据监管方对共享交换过程进行监管，缺乏公信力；4)作为审计、追溯依据的共享交换过程信息由中心平台管控，存在篡改、抵赖的风险，可信度有限的问题；5)共享交换主体信任体系缺失；6)依靠中心平台发布、检索和存储数据资源，中心平台故障将导致共享交换业务中断，无法保证业务连续性。

便捷，1)数据需求方获取多个数据提供方的数据资源，需要发起多次请求，完成多次登记，繁琐不便；2)共享交换平台无法实现数据资源共享交换的自动化交付和个性化定制。

因此，现有的中心化数据共享交换平台普遍存在着管理灵活性差、安全性低以及管理成本高的问题。

技术实现要素：

本发明提供了一种数据安全共享交换方法和数据安全共享交换平台系统，以解决现有的中心化数据共享交换平台所存在的管理灵活性差、安全性低、管理成本高的问题。

为了解决上述问题，根据本发明的一个方面，本发明公开了一种数据安全共享交换方法，应用于数据安全共享交换平台系统，所述数据安全共享交换平台系统包括区块链基础设施、区块链存储库、访问代理子系统和请求代理子系统，所述方法包括：

访问代理子系统接收第一目标数据的描述信息并将所述第一目标数据的描述信息发布至所述区块链存储库；

请求代理子系统从所述区块链存储库的所述第一目标数据的描述信息中，选择对应第二目标数据的第二目标数据描述信息，生成针对所述第二目标数据的数据权限请求，并将所述数据权限请求发布至所述区块链存储库；

所述访问代理子系统从所述区块链存储库获取所述数据权限请求，并按照定制规则对所述数据权限请求批复，将权限批复信息发布至所述区块链存储库；

所述请求代理子系统从所述区块链存储库获取所述权限批复信息，根据所述权限批复信息判断权限批复是否成功，若是，则发布对所述第二目标数据的数据访问请求至所述区块链存储库；

所述访问代理子系统从所述区块链存储库获取所述第二目标数据的数据访问请求，将所述第二目标数据提供给所述请求代理子系统对应的数据需求方。

根据本发明的另一方面，本发明还公开了一种数据安全共享交换平台系统，包括：

区块链基础设施、区块链存储库、访问代理子系统和请求代理子系统；

所述区块链基础设施，为依托区块链构建工具、pki系统和定制的规则，而建立的节点可信的区块链及与所述区块链配套的可定制的软硬件资源、规范和服务，用于支撑数据安全共享交换平台系统，其中，所述区块链基础设施包括加解密管理模块，所述加解密管理模块支持数据加解密和密钥管理；

所述区块链存储库，用于承载、存储以及管理数据安全共享交换过程中的信息；

所述区块链存储库包括区块链网络、节点数据库和存储库工具；

所述区块链网络，为基于所述区块链基础设施而由多个节点构成的区块链网络，用于承载区块链网络中各个节点间的数据资源连通与交互；

所述节点数据库，为基于所述区块链基础设施的而由不同节点和各个节点配套的通用数据库共同构成、且根据定制的共识机制进行共享与更新的资源数据库；所述节点数据库，用于存储数据安全共享交换过程信息；其中，所述通用数据库为用于存储数据的数据库，所述通用数据库包括关系型数据库和非关系型数据库；

所述存储库工具，用于配置、管理所述区块链网络和所述节点数据库，以及用于管理数据安全共享交换过程信息；

访问代理子系统，用于接收第一目标数据的描述信息并将所述第一目标数据的描述信息发布至所述区块链存储库；

请求代理子系统，用于从所述区块链存储库的所述第一目标数据的描述信息中，选择对应第二目标数据的第二目标数据描述信息，生成针对所述第二目标数据的数据权限请求，并将所述数据权限请求发布至所述区块链存储库；

所述访问代理子系统，用于从所述区块链存储库获取所述数据权限请求，并按照定制规则对所述数据权限请求批复，将权限批复信息发布至所述区块链存储库；

所述请求代理子系统，用于从所述区块链存储库获取所述权限批复信息，判断所述权限批复信息是否表示权限批复成功，若是，则发布对所述第二目标数据的第二目标数据访问请求至所述区块链存储库；

所述访问代理子系统，用于从所述区块链存储库获取所述第二目标数据访问请求，将所述第二目标数据提供给所述请求代理子系统对应的数据需求方。

与现有技术相比，本发明包括以下优点：

借助于本发明上述实施例的技术方案，通过在数据安全共享平台系统中设置区块链存储库和访问代理子系统、请求代理子系统以及监管代理子系统实现了数据的安全共享，并且使得数据安全共享平台系统弱中心化，实现了对数据交互的灵活管理，降低了管理难度；并通过权限批复的方式保证了共享数据的安全性。本发明基于弱中心化系统结构构建的数据安全共享交换平台系统，充分利用现有资源进行数据安全共享交换，共享交换主体以对等节点形式加入数据共享交换联盟网络，节省、降低了建设、使用、运维中心平台成本。

附图说明

图1是现有技术的一种数据共享交换平台实施例的示意图；

图2是现有技术的一种数据共享交换监管实施例的示意图；

图3是本发明的一种数据安全共享交换方法实施例的步骤流程图；

图4是本发明的一种数据安全共享交换平台系统实施例的示意图；

图5是本发明的一种数据安全共享交换平台系统实施例的结构框图；

图6是本发明的一种小额信贷的数据安全共享交换方法实施例的流程图；

图7是本发明的一种公安局获取民政局政务信息资源的数据安全共享交换方法实施例的流程图；

图8是本发明的一种民政局获取公安局政务信息资源的数据安全共享交换方法实施例的流程图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

参照图3，示出了本发明的一种数据安全共享交换方法实施例的步骤流程图，该方法应用于数据安全共享交换平台系统，如图4所示，所述数据安全共享交换平台系统包括区块链基础设施、区块链存储库、访问代理子系统和请求代理子系统。其中，该数据安全共享交换平台系统可以是实现相应功能的软件系统或专用的硬件设备。

访问代理子系统由数据提供方使用，可以与数据提供方的数据中心交互；请求代理子系统由数据需求方使用，可以与数据需求方的数据应用交互。

可选地，如图4所示，所述数据安全共享交换平台系统还可包括监管代理子系统，监管代理子系统由数据监管方使用，可以与数据监管方的监管应用交互。

数据安全共享交换平台系统包括多个业务节点；

而所述监管代理子系统用于依托所述区块链基础设施向未加入至数据安全共享交换平台系统的访问代理子系统和请求代理子系统发送信任证书，并对请求加入至所述数据安全共享交换平台系统的访问代理子系统和请求代理子系统进行信任证书的身份认证，若身份认证通过，则将请求加入的访问代理子系统和请求代理子系统加入至所述数据安全共享交换平台系统；

所述监管代理子系统还用于对区块链存储库中所有数据进行同步，并对数据安全共享交换全过程进行审计；

所述监管代理子系统，还用于追溯共享交换数据，对数据共享交换违规行为进行取证。

具体而言，数据监管方可以预先向参与数据共享交换的各个数据提供方、各个数据需求方颁发信任证书，数据监管方会保存每个信任证书与各个数据提供方、各个数据需求方的标识之间的对应关系；

那么以数据提供方加入数据安全共享平台系统为例，数据提供方基于预先颁发的信任证书向监管代理子系统发起身份认证请求，监管代理子系统根据数据提供方提供的基于信任证书的认证信息对该数据提供方(即对应的访问代理子系统)进行身份认证；如果通过认证，可以将数据安全共享交换平台系统中一个未分配的业务节点分配至该访问代理子系统，使得该访问代理子系统与该业务节点之间建立了通信关系，以此实现将该访问代理子系统加入至所述数据安全共享交换平台系统；

同理，数据需求方的请求代理子系统也通过此方式加入数据安全共享平台系统。

这样，本发明实施例通过设置监管代理子系统，避免了数据提供方将数据资源以委托方式提供给数据服务方，数据资源由数据服务方管控，数据提供方失去了数据资源的自主控制权的问题，从而降低了数据泄漏与数据非授权扩散风险；并通过监管代理子系统实现数据共享交换过程的审计、共享交换数据的追溯和数据安全共享交换违规行为的取证，审计、追溯和取证依据的共享交换过程信息时，不会存在篡改、抵赖的风险，可信度增强；数据安全共享交换平台系统基于弱中心化系统结构构建，即使某个节点出现故障，也不会导致共享交换业务全部中断，保证了业务连续性。

在数据安全共享交换平台系统中已分配访问代理子系统、请求代理子系统或监管代理子系统的各个业务节点，可以根据实际业务需求来同步区块链存储库的特定信息，所述特定信息是采用特定加解密方式处理后的加密信息；各个业务节点根据基于信任证书的节点权限进行使用；如果某个业务节点不具备使用该信息的节点权限，根据实际业务需求，仍可以同步该加密后的特定信息，作为区块链存储库的冗余数据，当其他节点发生故障时，可以基于区块链技术的特性，提供该加密后的特定信息给故障节点，保证区块链存储库的健壮性。

本发明实施例的方法可以包括如下步骤：

步骤101，访问代理子系统接收第一目标数据的描述信息并将所述第一目标数据的描述信息发布至所述区块链存储库；

具体的，第一目标数据的范围很广，可以是档案数据，还可以为单位开展业务的业务数据，例如，用户数据等，本发明实施例在此不作列举，而第一目标数据可以包括多种数据。

在一个具体实例中，如图4所示，数据提供方在共享数据时，可以提供一个或多个目标数据的共享，即第一目标数据的数量可以是一个或多个，数据提供方通过访问代理子系统发布第一目标数据的描述信息至区块链存储库。

所述第一目标数据的描述信息可以包括：该第一目标数据的种类、大小、格式等描述第一目标数据自身特征的信息。

可选地，所述方法还可以包括：所述访问代理子系统接收所述第一目标数据的操作信息并将所述第一目标数据的操作信息发布至所述区块链存储库；其中，所述操作信息包括使用规则、安全规则、数据权限；

也就是说，数据提供方不仅可以将能够共享的目标数据的描述信息通过访问代理子系统发布至区块链存储库，数据提供方还可以将用于共享的目标数据的操作信息通过访问代理子系统发送至区块链存储库。

所谓使用规则，即该目标数据使用时需要遵循的约束和要求，例如使用时限、使用范围、使用次数等信息。

所谓安全规则，即保证该目标数据安全的约束和要求，例如使用环境、加密要求、销毁时限等信息。

所谓数据权限，即具体到该目标数据的用户权限、访问权限等信息。

区块链存储库中某个业务节点发布的信息，可以基于区块链技术的特性，同步至其他业务节点。各个业务节点根据基于信任证书的节点权限进行使用；如果某个业务节点不具备使用该信息的节点权限，则无法使用该信息。

步骤102，请求代理子系统从所述区块链存储库的所述第一目标数据的描述信息中，选择对应第二目标数据的第二目标数据描述信息，生成针对所述第二目标数据的数据权限请求，并将所述数据权限请求发布至所述区块链存储库；

具体而言，数据需求方利用请求代理子系统从区块链存储库获取数据提供方发布的第一目标数据的描述信息。

请求代理子系统可以根据数据需求方的业务需求，从数据提供方提供的第一目标数据的描述信息中，选择对应的第二目标数据的第二目标数据描述信息，并生成针对所述第二目标数据的数据权限请求，并将所述数据权限请求发布至所述区块链存储库；

所谓数据权限请求，特定的目标数据并非每个用户都可以获取，例如，数据提供方为金融机构，如果该特定的目标数据包含敏感信息，只能面向特定的监管机构进行共享，而不允许面向个人提供共享，因此，当数据需求方为个人，该请求代理子系统并不具备该第二目标数据的访问权限。因此，当某个数据需求方需要获取第二目标数据时，都要先发送一个数据权限请求至所述区块链存储库，由数据提供方判断数据需求方是否具备获取该第二目标数据的权限。

步骤103，所述访问代理子系统从所述区块链存储库获取所述数据权限请求，并按照定制规则对所述数据权限请求批复，将权限批复信息发布所述区块链存储库；

其中，所述定制规则包括预设规则和根据用户需求自定义的规则。

其中，权限批复信息中包括权限批复结果，还可包括批复相关的其他信息，用于审计、追溯、取证和其他根据需求开展的安全管理等。

同理，区块链存储库中某个业务节点发布的信息，可以基于区块链技术的特性，同步至其他业务节点。各个业务节点根据基于信任证书的节点权限进行使用；如果某个业务节点不具备使用该信息的节点权限，则无法使用该信息。

数据提供方的访问代理子系统可以从本业务节点处获取到该数据权限请求，该数据权限请求可包括数据需求方的基于信任证书的节点权限和需要获取的第二目标数据的描述信息；

那么访问代理子系统就可以按照定制规则来对该数据权限请求进行批复，得到权限批复信息。

接着，访问代理子系统就可以将权限批复信息发布至所述区块链存储库；

同理，区块链存储库中某个业务节点发布的信息，可以基于区块链技术的特性，同步至其他业务节点，访问代理子系统的第一业务节点可以将权限批复信息发布至区块链存储库，同步到其他业务节点，当然包括请求代理子系统的第二业务节点。

步骤104，所述请求代理子系统从所述区块链存储库获取所述权限批复信息，根据所述权限批复信息判断权限批复是否成功，若是，则发布对所述第二目标数据的数据访问请求至所述区块链存储库；

具体而言，请求代理子系统就可以从本业务节点处获取到针对该第二目标数据的权限批复信息，并根据所述权限批复信息判断权限批复是否成功；批复失败，则终止该数据提供方和该数据需求方之间针对该第二目标数据的共享交换流程；相反，如果批复成功，则说明该数据需求方具备访问该第二目标数据的权限，因此，请求代理子系统就可以生成针对该第二目标数据的数据访问请求，并发布至所述区块链存储库(例如发布至第二业务节点并进行节点同步)。

步骤105，所述访问代理子系统从所述区块链存储库获取所述第二目标数据的数据访问请求，将所述第二目标数据提供给所述请求代理子系统对应的数据需求方。

同理，区块链存储库中某个业务节点发布的信息，可以基于区块链技术的特性，同步至其他业务节点，，第二业务节点可以将该第二目标数据的数据访问请求共享至区块链存储库中其他业务节点，当然包括该第一业务节点。

那么访问代理子系统就可以从本业务节点处获取到上述数据需求方提交的来自第二业务节点的第二目标数据访问请求，然后就可以将该第二目标数据提供给该请求代理子系统对应的数据需求方。

借助于本发明上述实施例的技术方案，通过在数据安全共享平台系统中设置区块链存储库和访问代理子系统、请求代理子系统以及监管代理子系统实现了数据的安全共享，并且使得数据安全共享平台系统弱中心化，实现了对数据交互的灵活管理，降低了管理难度；并通过权限批复的方式保证了共享数据的安全性。本发明基于弱中心化系统结构构建的数据安全共享交换平台系统，充分利用现有资源进行数据安全共享交换，共享交换主体以对等节点形式加入数据共享交换联盟网络，节省、降低了建设、使用、运维中心平台成本。

在一个实施例中，在执行步骤105的在所述访问代理子系统将所述第二目标数据提供给所述请求代理子系统对应的数据需求方之前，根据本发明实施例的方法还可包括：

所述访问代理子系统对所述第二目标数据访问请求进行鉴权；

若鉴权通过，则所述访问代理子系统获取所述第二目标数据并对所述第二目标数据加密。

具体而言，当经过上述步骤103访问代理子系统对请求代理子系统对应的数据需求方是否具备访问第二目标数据的资格进行权限批复后，需要对该数据需求方的第二目标数据的数据访问请求进行鉴权，即将数据需求方的第二目标数据的数据访问请求，与批复通过的数据需求方的第二目标数据的数据访问权限进行匹配；如果不一致，鉴权失败，终止数据共享交换；如果一致，鉴权通过，访问代理子系统准备所述第二目标数据并对所述第二目标数据加密。

相应的，在执行所述将所述第二目标数据提供给所述请求代理子系统对应的数据需求方的步骤时，在一种实现方式中针对第二目标数据的数据量较小的情况，可以通过以下方式来实现：

所述访问代理子系统将加密后的所述第二目标数据发布至所述区块链存储库；所述请求代理子系统从所述区块链存储库获取加密后的所述第二目标数据，并对所述加密后的第二目标数据解密，得到第二目标数据并提供给数据需求方。

具体而言，访问代理子系统经过鉴权确定请求代理子系统的数据访问请求与批复通过的数据需求方的第二目标数据的数据访问权限一致，可以将加密后的第二目标数据发布至所述区块链存储库，区块链存储库中某个业务节点发布的信息，可以基于区块链技术的特性，同步至其他业务节点，请求代理子系统可以从对应的本业务节点获取该加密后的第二目标数据，并进行解密，从而得到第二目标数据并提供给数据需求方。

本实现方式中，适用于共享数据的数据量较小的情况，从而提升共享数据的传输速度和传输安全性。

而在执行所述将所述第二目标数据提供给所述请求代理子系统对应的数据需求方的步骤时，在另一种实现方式中，针对第二目标数据的数据量较大的情况，可以通过以下方式来实现：

所述访问代理子系统将加密后的所述第二目标数据的交付描述信息发布至所述区块链存储库；所述请求代理子系统从所述区块链存储库获取加密后的所述第二目标数据的交付描述信息，并对所述加密后的第二目标数据的交付描述信息解密，得到第二目标数据的交付描述信息并提供给数据需求方；其中，所述数据需求方根据所述第二目标数据的交付描述信息确定加密后的所述第二目标数据的获取方式，并根据所述获取方式获取加密后的所述第二目标数据；所述请求代理子系统对所述数据需求方获取的所述加密后的第二目标数据解密，得到第二目标数据并提供给所述数据需求方。

其中，所述访问代理子系统可以将加密后的所述第二目标数据以不涉及区块链存储库的其他方式提供给数据需求方。即该其他方式不涉及区块链存储库，而是以离线数据、服务接口、数据接口、api接口或其他根据需求定制的交付方式等任意一种或多种方式组合方式来提供。

其中，交付描述信息可以包括该加密后的第二目标数据的获取方式。

这种共享数据的提供方式可以保证数据量大的共享数据的传输速度，提升数据共享效率。

可选地，若确定权限批复成功，或若包括上述鉴权操作，则在鉴权通过后，则根据本发明实施例的方法还可包括：所述请求代理子系统从所述区块链存储库获取所述第二目标数据的操作信息，并将所述第二目标数据的操作信息提供给所述数据需求方，使得所述数据需求方按照所述操作信息对所述第二目标数据进行操作。

其中，操作信息的具体内容请参照上述具体实施例，在此不再赘述。

可选地，所述访问代理子系统包括智能数据融合模块和网络边界安全防护模块；

其中，所述智能数据融合模块用于将物理上分离的多个数据服务按照特征和定制的规则，融合为单个逻辑服务，提供透明的数据访问服务；

而所述网络边界安全防护模块，为数据提供方数据中心与外界的唯一交互接口，包括访问路由子模块；

所述访问路由子模块，用于将外部数据请求转发到实际的数据提供方，并且提供给数据提供方数据资源的访问路由，以及将数据访问请求转发到其他数据提供方的数据中心，其中，访问路由支持联邦查询，一个数据访问请求经过访问路由划分为多个本数据提供方数据中心或其他数据提供方数据中心的数据访问子请求，按照服务注册时定义的逻辑关系生成查询结果。

借助于上述智能数据融合模块和访问路由子模块，对于具有合作关系的多个数据提供方来说，如果数据提供方a接收到数据需求方b的第二目标数据(包括数据1、数据2和数据3)访问请求，其中，数据提供方a共享至区块链存储库的数据包括数据1和数据2；数据提供方c共享至区块链存储库的数据包括数据3，而由于数据提供方a与数据提供方c具有合作关系，因此为了避免数据需求方b发送两个数据请求分别从数据提供方a和数据提供方c获取上述第二目标数据，则数据提供方a在将数据1和数据2发送给数据需求方b时，可以从数据提供方c处获取数据3并将数据3与数据1和数据2打包提供给数据需求方b，从而提升数据共享效率。

这样，当数据需求方获取多个数据提供方的数据资源时，无需发起多次请求，就可以一次完成多次登记和多种数据的共享，简化了数据共享流程。

借助于本发明上述实施例的技术方案，通过在数据安全共享平台系统中设置区块链存储库和访问代理子系统、请求代理子系统以及监管代理子系统实现了数据的安全共享，并且使得数据安全共享平台系统弱中心化，实现了对数据交互的灵活管理，降低了管理难度；并通过区块链安全特性、权限批复的方式、网络边界安全防护模块和数据使用安全防护模块提供的防护保证了共享数据的安全性。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

与上述本发明实施例所提供的方法相对应，示出了本发明一种数据安全共享平台系统实施例的结构框图，图5示出了本发明实施例的一种数据安全共享平台系统的结构框图。

如图5所示，该数据安全共享交换平台系统包括区块链基础设施、区块链存储库、访问代理子系统和请求代理子系统；

其中，所述区块链基础设施，为依托区块链构建工具、pki系统和定制的规则，而建立的节点可信的区块链及与所述区块链配套的可定制的软硬件资源、规范和服务，用于支撑数据安全共享交换平台系统，其中，所述区块链基础设施包括加解密管理模块，所述加解密管理模块支持数据加解密和密钥管理；

所述区块链存储库，用于承载、存储以及管理数据安全共享交换过程中的信息；

所述区块链存储库包括区块链网络、节点数据库和存储库工具；

所述区块链网络，为基于所述区块链基础设施而由多个节点构成的区块链网络，用于承载区块链网络中各个节点间的数据资源连通与交互；

所述节点数据库，为基于所述区块链基础设施的而由不同节点和各个节点配套的通用数据库共同构成、且根据定制的共识机制进行共享与更新的资源数据库；所述节点数据库，用于存储数据安全共享交换过程信息；其中，所述通用数据库为用于存储数据的数据库，所述通用数据库包括关系型数据库和非关系型数据库；

所述存储库工具，用于配置、管理所述区块链网络和所述节点数据库，以及用于管理数据安全共享交换过程信息；

访问代理子系统，用于接收第一目标数据的描述信息并将所述第一目标数据的描述信息发布至所述区块链存储库；

请求代理子系统，用于从所述区块链存储库的所述第一目标数据的描述信息中，选择对应第二目标数据的第二目标数据描述信息，生成针对所述第二目标数据的数据权限请求，并将所述数据权限请求发布至所述区块链存储库；

所述访问代理子系统，用于从所述区块链存储库获取所述数据权限请求，并按照定制规则对所述数据权限请求批复，将权限批复信息发布至所述区块链存储库；

所述请求代理子系统，用于从所述区块链存储库获取所述权限批复信息，根据所述权限批复信息判断权限批复是否成功，若是，则发布对所述第二目标数据的第二目标数据访问请求至所述区块链存储库；

所述访问代理子系统，用于从所述区块链存储库获取所述第二目标数据访问请求，将所述第二目标数据提供给所述请求代理子系统对应的数据需求方。

可选地，所述访问代理子系统，用于在将所述第二目标数据提供给所述请求代理子系统对应的数据需求方之前，对所述第二目标数据访问请求进行鉴权，若鉴权通过，则获取所述第二目标数据并对所述第二目标数据加密；

所述访问代理子系统，用于将加密后的所述第二目标数据发布至所述区块链存储库；

所述请求代理子系统，用于从所述区块链存储库获取加密后的所述第二目标数据，并对所述加密后的第二目标数据解密，得到第二目标数据并提供给数据需求方；

所述访问代理子系统，还用于将加密后的所述第二目标数据的交付描述信息发布至所述区块链存储库；

所述请求代理子系统，还用于从所述区块链存储库获取加密后的所述第二目标数据的交付描述信息，并对所述加密后的第二目标数据的交付描述信息解密，得到第二目标数据的交付描述信息提供给数据需求方；

其中，所述数据需求方根据所述第二目标数据的交付描述信息确定加密后的所述第二目标数据的获取方式，并根据所述获取方式获取加密后的所述第二目标数据；

所述请求代理子系统，还用于对所述数据需求方获取的所述加密后的第二目标数据解密，得到第二目标数据并提供给所述数据需求方。

可选地，所述访问代理子系统，用于接收所述第一目标数据的操作信息并将所述第一目标数据的操作信息发布至所述区块链存储库，所述操作信息包括使用规则、安全规则、数据权限；

所述请求代理子系统，用于若确定权限批复成功，则从所述区块链存储库获取所述第二目标数据的操作信息，并将所述第二目标数据的操作信息提供给所述数据需求方，使得所述数据需求方按照所述操作信息对所述第二目标数据进行操作。

可选地，所述数据安全共享交换平台系统还包括：

监管代理子系统，用于在访问代理子系统接收第一目标数据的描述信息并将所述第一目标数据的描述信息发布至所述区块链存储库之前，依托所述区块链基础设施向未加入至数据安全共享交换平台系统的访问代理子系统和请求代理子系统发送信任证书，并对请求加入至所述数据安全共享交换平台系统的访问代理子系统和请求代理子系统进行信任证书的身份认证，若身份认证通过，则将请求加入的访问代理子系统和请求代理子系统加入至所述数据安全共享交换平台系统；

所述监管代理子系统，还用于对区块链存储库中所有数据进行同步，并对数据安全共享交换全过程进行审计；

所述监管代理子系统，还用于追溯共享交换数据，对数据共享交换违规行为进行取证。

可选地，所述访问代理子系统包括智能数据融合模块和网络边界安全防护模块；

所述智能数据融合模块用于将物理上分离的多个数据服务按照特征和定制的规则，融合为单个逻辑服务，提供透明的数据访问服务；

所述网络边界安全防护模块，为数据提供方数据中心与外界的唯一交互接口，包括访问路由子模块；

所述访问路由子模块，用于将外部数据请求转发到实际的数据提供方，并且提供给数据提供方数据资源的访问路由，以及将数据访问请求转发到其他数据提供方的数据中心，其中，访问路由支持联邦查询，一个数据访问请求经过访问路由划分为多个本数据提供方数据中心或其他数据提供方数据中心的数据访问子请求，按照服务注册时定义的逻辑关系生成查询结果。

可选地，所述访问代理子系统，是数据提供方参与数据安全共享交换的媒介，包括数据提供客户端；

所述数据提供客户端，用于为数据提供方发布和管理数据描述信息、批复和管理数据共享交换请求、管理共享交换数据的操作信息，并提供友好的用户界面；

所述网络边界安全防护模块，还包括主机隐藏子模块、通信加密子模块、服务权限管控子模块、服务管理子模块、用户认证子模块、数据脱敏子模块和安全插件管理子模块；

所述主机隐藏子模块，用于实现外部数据访问接口与数据中心内部数据服务接口的映射，使得外部无法通过数据访问接口获得、推测数据中心内部的网络拓扑结构；

所述通信加密子模块，用于将数据服务基于http协议的api转变成基于https协议的api，基于国密兼容国际主流标准加解密算法，对共享交换的数据资源进行加密，保证数据传输安全；

所述服务权限管控子模块，用于实现数据需求方的数据访问服务的鉴权，鉴别数据需求方是否具有访问路由指向的数据访问服务的权限；

所述服务管理子模块，用于实现服务定义、服务注册，整合本数据提供方和其他数据提供方的数据资源，提供透明的数据访问服务；

所述用户认证子模块，用于同步所述区块链基础设施的信任策略，对数据需求方进行认证；

所述数据脱敏子模块，用于根据需求定制脱敏规则，对数据提供方的特定敏感信息进行数据变形，屏蔽特定敏感数据，实现对敏感数据的有效保护；

所述安全插件管理子模块，用于提供访问代理子系统支持的安全管控能力的插拔功能，以插件形式集成主机隐藏、通信加密、访问路由、服务权限管控、服务管理、用户认证和数据脱敏功能，根据不同的安全防护要求，按需开闭；

所述安全插件管理子模块，基于开放、标准的接口规范和协议，具有插件管理和扩展能力，为根据安全防护要求，按需动态去除或集成特定功能的安全插件；

所述请求代理子系统，为数据需求方参与数据安全共享交换的媒介，包括数据需求客户端和数据使用安全防护模块；

所述数据需求客户端，用于为数据需求方检索数据描述信息、提交数据共享交换请求、管理可用数据资源提供友好的用户界面；

所述数据使用安全防护模块，用于基于国密兼容国际主流标准加解密算法，对加密的共享交换数据进行解密，同步共享交换数据的使用规则、安全规则、数据权限，严格限制数据需求方按照数据共享交换合约规定的方式使用数据，通过认证、加密、监控和追踪手段，防止数据非授权使用、拷贝与外发；

所述监管代理子系统，为数据监管方参与数据安全共享交换的媒介，包括可信节点审批模块、全程审计模块和数据追溯模块；

所述可信节点审批模块，用于对加入区块链基础设施的节点进行身份认证，发放信任证书，使得获得信任证书的节点加入数据安全共享交换平台系统并在数据安全共享交换平台系统发布或使用数据；

所述全程审计模块，用于对所述区块链基础设施中记录的数据安全共享交换进行审计，提供数据共享交换统计分析功能，为数据监控方从全局视角把握数据共享交换趋势、监控违规行为提供支撑；

所述数据追溯模块，用于追溯共享交换数据，为数据监控方对数据共享交换违规行为进行取证提供支撑。

在上述实施例的基础上，下面参照图6、图7、图8分别示出了具体的机构进行上述数据安全共享的流程图，其中，图6～图8中的标号①～⑨分别代表标号1)～标号9)。

如图6所示，示出了小额信贷的数据安全共享交换流程。

1)金融机构、运营商、信贷公司、监管机构依托区块链基础设施，凭借监管机构颁发的信任证书，加入数据安全共享交换联盟网络。

步骤2)金融机构、运营商通过访问代理子系统发布第一目标数据的数据描述信息、使用规则、安全规则、数据权限到区块链存储库。

步骤3)信贷公司通过请求代理子系统从区块链存储库获取金融机构、运营商发布的数据描述信息。

步骤4)信贷公司选择第二目标数据，通过请求代理子系统系统发布对第二目标数据的数据权限请求到区块链存储库。

步骤5)金融机构、运营商通过访问代理子系统，从区块链存储库获取信贷公司发布的第二目标数据的数据权限请求，按照定制的规则进行权限批复，将权限批复信息发布到区块链存储库。

6)信贷公司的请求代理子系统从区块链存储库获取金融机构、运营商权限批复信息进行确认，权限批复失败，终止共享交换过程；权限批复成功，信贷公司的请求代理子系统经过区块链存储库发送数据访问请求到金融机构、运营商的访问代理子系统鉴权。

7)金融机构、运营商的访问代理子系统确权后，对第二目标数据进行加密，针对数据访问请求对应的数据访问服务进行智能融合，以离线数据、服务接口、数据接口、api等方式提供加密后的第二目标数据。

8)信贷公司通过请求代理子系统获取、解密第二目标数据，实现数据安全共享交换。

9)监管机构实时同步区块链基础设施所有数据块，对数据安全共享交换进行全面监管。

如图7所示，示出公安局获取民政局政务信息资源的数据安全共享交换流程。

1)民政局、公安局、其他委办局、监管机构依托区块链基础设施，凭借监管机构颁发的信任证书，加入数据安全共享交换联盟网络。

2)民政局通过访问代理子系统系统发布第一目标数据的数据描述信息、使用规则、安全规则、数据权限到区块链存储库。

3)公安局通过请求代理子系统，从区块链存储库获取民政局发布的数据描述信息。

4)公安局选择第二目标数据，通过请求代理子系统发布第二目标数据的数据权限请求到区块链存储库。

5)民政局通过访问代理子系统，从区块链存储库获取公安局发布的第二目标数据的数据权限请求，按照定制的规则进行权限批复，将权限批复信息发布到区块链存储库。

6)公安局的请求代理子系统系统从区块链存储库获取民政局权限批复信息进行确认，权限批复失败，终止共享交换过程；权限批复成功，公安局的请求代理子系统经过区块链存储库发送数据访问请求到民政局的访问代理子系统鉴权。

7)民政局的访问代理子系统确权后，对第二目标数据进行加密，针对数据访问请求对应的数据访问服务进行智能融合，以离线数据、服务接口、数据接口、api等方式提供加密后的第二目标数据。

8)公安局通过请求代理子系统获取、解密第二目标数据，实现数据安全共享交换。

9)监管机构实时同步区块链存储库所有数据块，对数据安全共享交换进行全面监管。

如图8所示，示出民政局获取公安局政务信息资源的数据安全共享交换流程。

1)民政局、公安局、其他委办局、监管机构依托区块链基础设施，凭借监管机构颁发的信任证书，加入数据共享交换联盟网络。

2)公安局通过访问代理子系统发布数据描述信息、使用规则、安全规则、数据权限到区块链存储库。

3)民政局通过请求代理子系统，从区块链存储库获取公安局发布的数据描述信息。

4)民政局选择第二目标数据，通过请求代理子系统发布对第二目标数据的数据权限请求到区块链存储库。

5)公安局通过访问代理子系统，从区块链存储库获取民政局发布的第二目标数据的数据权限请求，按照定制的规则进行权限批复，将权限批复信息发布到区块链存储库。

6)民政局的请求代理子系统从区块链存储库获取公安局权限批复信息进行确认，权限批复失败，终止共享交换过程；权限批复成功，民政局的请求代理子系统经过区块链存储库发送数据访问请求到公安局的访问代理子系统鉴权。

7)公安局的访问代理子系统确权后，对第二目标数据进行加密，针对数据访问请求对应的数据访问服务进行智能融合，以离线数据、服务接口、数据接口、api等方式提供加密后的第二目标数据。

8)民政局通过请求代理子系统获取、解密第二目标数据，实现数据安全共享交换。

9)监管机构实时同步区块链存储库所有数据块，对数据安全共享交换进行全面监管。

因此，同一个机构可以同时设置请求代理子系统和访问代理子系统，即本发明并不限于一个机构只配置一个用户代理的方案。

综上，本发明实施例的数据安全共享方法和数据安全共享平台系统采用弱中心化系统架构，能够解决现有数据共享交换平台存在的成本、管理、安全、便捷方面的缺陷。

成本：基于弱中心化系统结构构建的数据安全共享交换平台系统，充分利用现有资源进行数据安全共享交换，共享交换主体以对等节点形式加入数据共享交换联盟网络，节省、降低了建设、使用、运维中心平台成本。

管理：计算应用分布在节点，资源占用小，灵活性好。数据提供方、数据服务方、数据需求方采用统一的数据、技术标准，共享交换过程标准化程度高，降低了管理难度。

安全：数据提供方始终拥有自主控制权，降低了数据泄漏与数据非授权扩散风险。提供基于开放、标准的接口规范和协议的安全插件管理和扩展能力，可以根据安全防护要求，按需动态集成特定功能的安全插件，有力应对不同的安全威胁。数据监管方为独立、权威的第三方，共享交换过程监管具有较高公信力。作为审计、追溯依据的共享交换过程信息发布到区块链基础设施上，具有防篡改、防抵赖的特性，可信度高。共享交换主体凭借监管机构颁发的信任证书，加入数据安全共享交换联盟网络，拥有可靠的共享交换主体信任体系。节点可以自主安全的发布、检索和存储数据资源，节点故障对共享交换业务连续性影响极小，节点重新加入后会自动同步缺失信息，具有极强的健壮性。

便捷：基于智能数据融合技术，数据需求方获取多个数据提供方的数据资源，无需发起多次请求和登记，简单便捷。利用区块链基础设施中定制的规则，可以实现数据资源共享交换的自动化交付和个性化定制。

对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种数据共享方法和一种数据共享平台系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。