标识查询、存储管理方法、标识代理模块及权限管理系统与流程

1.本发明涉及标识解析技术领域，尤其涉及一种标识查询、存储管理方法、标识代理模块以及权限管理系统。


背景技术：

2.工业互联网标识解析系统作为重要网络基础设施建设之一，旨在打破信息孤岛，促进工业互联网数据互通，实现数据和信息的无缝传递，实现“跨企业-跨行业-跨地区-跨国家”标识数据管理和共享，标识解析二级节点建设为标识解析系统建设的重要内容。当前的标识解析二级节点系统为完全开放的系统，任何人、任何单位都可以通过标识查询标识数据，实现了开放共享，任何接入二级节点解析体系的企业均可访问其他企业的数据，如果该数据为企业核心数据，则存在泄漏商业机密的危险，继而使得一些企业接入标识解析系统存在顾虑。


技术实现要素：

3.本发明提供的标识查询和存储管理方法以及标识代理模块及系统，能够管理标识应用的权限，增加数据的保密性，提高数据的安全性。
4.第一方面，本发明提供一种标识查询管理方法，执行于标识查询代理单元，包括：
5.接收标识应用发送的查询请求；
6.向权限认证模块确认标识应用是否具有对应于查询请求的权限；
7.当标识应用具有权限时，从标识解析模块获取对应于查询请求的标识数据；
8.调用标识加解密单元对标识数据解密；
9.将解密后的标识数据发送至标识应用。
10.可选地，从标识解析模块获取对应于查询请求的标识数据之后，还包括：
11.判断标识数据的数据类型；
12.当数据类型为密文类型时，执行调用标识加解密单元对标识数据解密的步骤；
13.当数据类型为明文类型时，将标识数据发送至标识应用。
14.可选地，向权限认证模块确认标识应用是否具有对应于查询请求的权限包括：
15.将标识应用的识别标签和查询请求对应的数据范围发送至权限认证模块，以使权限认证模块将识别应用具有查询权限的数据范围与查询请求对应的数据范围进行比较。
16.第二方面，本发明提供一种标识存储管理方法，执行于标识存储代理单元，包括：
17.接收标识应用发送的存储请求；
18.向权限认证模块确认标识应用是否具有对应于存储请求的权限；
19.当标识应用具有权限时，从存储请求中提取出标识数据；
20.调用标识加解密单元对标识数据加密；
21.将加密后的标识数据发送至标识解析模块进行存储。
22.可选地，接收标识应用发送的存储请求之后还包括：
23.依据存储请求的数据，判断存储请求对应的存储类型；
24.当存储类型为加密存储时，执行向权限认证模块确认标识应用是否具有对应于存储请求的权限的步骤；
25.当存储类型为明文存储时，从存储请求中提取出标识数据并发送至标识解析模块进行存储。
26.可选地，依据存储请求的数据，判断存储请求对应的存储类型包括：
27.当存储请求具有加密标志时，确认存储类型为加密存储，其中，加密标志为将标识应用的识别标签和存储请求的时间戳进行加密运算后得到的字符串。
28.可选地，向权限认证模块确认标识应用是否具有对应于存储请求的权限包括：
29.将标识应用的识别标签和存储请求对应的数据范围发送至权限认证模块，以使权限认证模块将识别应用具有权限存储的数据范围与存储请求对应的数据范围进行比较。
30.第三方面，本发明提供一种标识代理模块，包括：
31.标识查询代理单元，用于执行上述任意一项标识查询管理方法；
32.标识存储代理单元，用于执行上述任意一项标识存储管理方法；
33.标识加解密单元，用于响应标识查询代理单元的调用对标识数据解密，和/或，响应标识存储代理单元的调用对标识数据进行加密。
34.第四方面，本发明提供一种标识权限管理系统，包括：
35.如上述的标识代理模块；
36.权限认证模块，用于响应标识代理模块的存储请求和/或查询请求，对标识应用的查询权限和/或存储权限进行判断，并向标识代理模块返回判断结果；
37.标识解析模块，用于响应标识代理模块的请求向标识代理模块发送标识数据，和/或，响应标识代理模块的请求接收标识代理模块发送的标识数据进行存储。
38.可选地，权限认证模块还用于响应标识应用的权限请求，赋予标识应用存储权限的识别标签。
39.可选地，权限认证模块还用于响应标识应用的权限请求，向数据持有者发送权限赋予请求，并依据数据持有者的响应赋予标识应用具有查询权限的识别标签。
40.在本发明提供的技术方案中，在对数据进行存储和查询之前，对应用标识的权限予以判断，能够拒绝不具有权限的标识应用，避免数据的泄露。同时，在本发明提供的技术方案中，对于有必要的数据，在标识解析模块中存储的是密文信息，避免了存储信息的泄露。
附图说明
41.图1为本发明一实施例标识查询管理方法的流程图；
42.图2为本发明另一实施例标识查询管理方法的示例性过程的流程图；
43.图3为本发明另一实施例标识存储管理方法的流程图；
44.图4为本发明另一实施例标识存储管理方法的示例性过程的流程图；
45.图5为本发明另一实施例标识权限管理系统的各模块调用关系示意图。
具体实施方式
46.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
47.本发明实施例提供一种标识查询管理方法，执行于标识查询代理单元，如图1所示，包括：
48.步骤110，接收标识应用发送的查询请求；
49.在一些实施例中，标识应用发送的查询请求通常需要包括标识应用的识别标签，识别标签是与标识应用具有唯一对应关系的身份表示，通过识别标签，能够确定标识应用所具有的权限。标识应用发送的查询请求还需要包括需要查询的标识前缀或者标识。
50.步骤120，向权限认证模块确认标识应用是否具有对应于查询请求的权限；
51.在一些实施例中，权限认证模块为标识查询代理单元提供了鉴权接口，能够通过识别标签获取到该识别标签具有查询权限的数据范围，当查询请求对应的数据范围在识别标签具有查询权限的数据范围内时，权限认证模块会返回标识应用具有权限的提示。在权限查询的过程中，权限认证模块仅向标识查询代理单元返回鉴权的结果，而不向标识查询代理单元公开标识应用具有查询权限的数据范围。
52.步骤130，当标识应用具有权限时，从标识解析模块获取对应于查询请求的标识数据；
53.在一些实施例中，标识解析模块是用来提供标识查询和标识存储功能的，是工业互联网标识解析体系的中间环节，直接面向行业和企业提供服务。在本实施方式中，标识解析模块中对标识数据的存储优选的采用密文存储的模式，能够避免标识数据的泄露。标识查询代理单元从标识解析模块中获取的数据也是密文数据。
54.步骤140，调用标识加解密单元对标识数据解密；
55.在一些实施例中，标识加解密单元能够获取加解密的密钥，并对密文数据进行解密。作为一种优选的实施方式，所有加密标识数据采用同一秘钥，在解密过程中，可采用对称加密算法例如aes加密算法，也可以采用非对称加密算法例如rsa加密算法。在解密过程中，标识应用不需要获取秘钥，而是采用标识查询代理的接口获得数据。秘钥保存在标识加解密单元，由加解密单元来实现对标识数据的加解密。
56.步骤150，将解密后的标识数据发送至标识应用。
57.在一些实施例中，解密后的标识数据即明文数据，将明文数据发送至标识应用，标识应用的使用者即可获知该标识数据。
58.在本发明实施例提供的技术方案中，在对数据进行存储和查询之前，对应用标识的权限予以判断，能够拒绝不具有权限的标识应用，避免数据的泄露。同时，在本实施例提供的技术方案中，对于有必要的数据，例如，产品的工艺流程、工艺参数以及供应商信息等，数据持有者不希望公开，在标识解析模块中存储的是密文信息，避免了存储信息的泄露。在本实施例提供的技术方案中，对标识应用的鉴权、对数据的存储以及对数据的解密，分别执行于权限认证模块、标识解析模块和加解密单元，在执行过程中，如需获知正确的标识数据，三者执行的过程是缺一不可的，能够有效的确保数据的安全性和保密性。
59.作为一种可选的实施方式，在步骤130中，从标识解析模块获取对应于查询请求的标识数据之后，还包括：
60.步骤131，判断标识数据的数据类型；
61.在一些实施例中，标识解析模块中可以存储明文数据，也可以存储密文数据。在标识解析模块中存储的数据，数据中设置有类型识别标志位，该标志位用来表示标识数据是明文数据还是密文数据。例如，当标志位为表示密文数据的字符串或字符时，表明对应的标识数据为密文数据，当标志位为空或者为表示明文数据的字符串或字符时，表明对应的标识数据为明文数据。
62.步骤132，当数据类型为密文类型时，执行调用标识加解密单元对标识数据解密的步骤；
63.在一些实施例中，对于密文数据来说，标识应用的使用者不能直接读取，需要经过解密，因此，需要执行调用标识加解密单元对标识数据进行解密的步骤。
64.步骤133，当数据类型为明文类型时，将标识数据发送至标识应用。
65.在一些实施例中，对于明文数据来说，标识应用的使用者可直接读取，因此，直接将其发送至标识应用。
66.在本实施方式中，对数据进行了明文存储和密文存储，对于有需要的数据进行密文存储，而其他的数据则进行明文存储。采用这种方式，能够有效的降低加解密单元的计算量，降低对硬件资源的需求。
67.作为一种可选的实施方式，在步骤120中，向权限认证模块确认标识应用是否具有对应于查询请求的权限包括：
68.将标识应用的识别标签和查询请求对应的数据范围发送至权限认证模块，以使权限认证模块将标识应用具有查询权限的数据范围与查询请求对应的数据范围进行比较。
69.在一些实施例中，识别标签例如可以为标识应用id，较佳的，标识应用id为一个唯一的32个字符组成的字符串，一个标识应用id对应一个标识应用，被查询标识拥有主体可对此标识应用id赋予标识查询权限。查询权限范围例如包括可访问的标识前缀，可访问的标识，访问的时间段等。标识应用id的获取方式例如可以采用如下方式：查询主体登录企业账号，在权限认证模块应用管理单元中向被查询标识拥有主体提出查询申请，被查询标识拥有主体在角色管理单元中通过查询申请后，在权限认证模块应用管理单元的数据库内插入对应于查询申请的数据生成标识应用的调用目标，并且生成此标识应用id。
70.如图2所示，示例性的展示了一种标识查询的具体执行过程：标识应用获取标识应用id后，标识应用调用标识查询代理单元，并将标识应用id以及需要查询的标识前缀或标识传递给标识代理单元，标识查询代理单元通过权限认证模块校验标识应用id以及标识应用的查询权限，没有通过时，例如系统内查询不到对应的标识应用id或者查询不到相关权限信息时，向标识应用返回不具有权限的提醒，权限通过时，调用标识解析模块的标识查询接口进行标识查询，再调用标识加解密单元实现标识的解密，并返回解密后的标识数据给标识应用。
71.本发明实施例还提供一种标识存储管理方法，执行于标识存储代理单元，如图3所示，包括：
72.步骤210，接收标识应用发送的存储请求；
73.在一些实施例中，标识应用发送的存储请求通常需要包括标识应用的识别标签，识别标签是与标识应用具有唯一对应关系的身份表示，通过识别标签，能够确定标识应用所具有的权限。标识应用发送的存储请求还需要包括需要存储的标识数据。
74.步骤220，向权限认证模块确认标识应用是否具有对应于存储请求的权限；
75.在一些实施例中，权限认证模块为标识存储代理单元提供了鉴权接口，能够通过识别标签获取到该识别标签具有存储权限的数据范围，当存储请求对应的数据范围在识别标签具有存储权限的数据范围内时，权限认证模块会返回标识应用具有权限的提示。在权限存储的过程中，权限认证模块仅向标识存储代理单元返回鉴权的结果，而不向标识存储代理单元公开标识应用具有存储权限的数据范围。
76.步骤230，当标识应用具有权限时，从存储请求中提取出标识数据；
77.在一些实施例中，当标识应用具有对应的权限时，即表明标识应用可以将标识数据存储至标识解析模块。在本步骤中，将存储请求中的标识数据提取出来，为后续的加密和存储提供了前提。在存储请求中，携带了需要存储的标识数据以及存储类型标识等数据，在确定了应用标识具有存储的权限之后，将存储请求中携带的标识数据从对应的字段中提取出来，即可得到需要存储的标识数据。
78.步骤240，调用标识加解密单元对标识数据加密；
79.在一些实施例中，标识加解密单元能够获取加解密的密钥，并对密文数据进行解密。作为一种优选的实施方式，所有加密标识数据采用同一秘钥，在解密过程中，可采用对称加密算法例如aes加密算法，也可以采用非对称加密算法例如rsa加密算法。在解密过程中，标识应用不需要获取秘钥，而是采用标识查询代理的接口获得数据。秘钥保存在标识加解密单元，由加解密单元来实现对标识数据的加解密。
80.步骤250，将加密后的标识数据发送至标识解析模块进行存储。
81.在一些实施例中，加密后的标识数据即密文数据，将密文数据发送至标识解析模块进行存储，能够避免标识数据的泄露。
82.在本发明实施例提供的技术方案中，在对数据进行存储和查询之前，对应用标识的权限予以判断，能够拒绝不具有权限的标识应用，避免数据的泄露。同时，在本实施例提供的技术方案中，对于有必要的标识数据，例如，产品的工艺流程、工艺参数以及供应商信息等，数据持有者不希望公开，在标识解析模块中存储的是密文信息，避免了存储信息的泄露。在本实施例提供的技术方案中，对标识应用的鉴权、对数据的存储以及对数据的加密，分别执行于权限认证模块、标识解析模块和加解密单元，采用上述的方式存储的数据，如需获知正确的标识数据，三者执行的过程是缺一不可的，能够有效的确保数据的安全性和保密性。
83.作为一种可选的实施方式，步骤210中接收标识应用发送的存储请求之后还包括：
84.步骤211，依据存储请求的数据，判断存储请求对应的存储类型；
85.在一些实施例中，标识解析模块中可以存储明文数据，也可以存储密文数据。在存储请求中，存储请求设置有类型识别标志位，该标志位用来表示标识数据需要以明文数据存储还是需要以密文数据存储。例如，当标志位为表示密文数据的字符串或字符时，表明对应的标识数据需要以密文存储，当标志位为空或者为表示明文数据的字符串或字符时，表明对应的标识数据需要以明文存储。对于存储请求中设置的类型识别标志位，可以设置于
请求头中，也可以设置于请求体中。
86.步骤212，当存储类型为加密存储时，执行向权限认证模块确认标识应用是否具有对应于存储请求的权限的步骤；
87.在一些实施例中，对于需要以密文存储的标识数据来说，不能直接进行存储，需要先对其进行加密，因此，执行向权限认证模块确认标识应用是否具有对应于存储请求的权限的步骤。
88.步骤213，当存储类型为明文存储时，从存储请求中提取出标识数据并发送至标识解析模块进行存储。
89.在一些实施例中，对于需要以明文存储的标识数据来说，直接将其进行存储即可，因此将其发送至标识解析模块进行存储。
90.在本实施方式中，通过对数据予以区分，将有需要的数据进行密文存储，其他数据则可以以明文存储，这样，降低了加解密单元在存储和查询过程中的计算量，能够降低对硬件资源的需求。
91.作为一种可选的实施方式，在步骤211中，依据存储请求的数据，判断存储请求对应的存储类型包括：
92.当存储请求具有加密标志时，存储类型为加密存储，其中，加密标志为将标识应用的识别标签和存储请求的时间戳进行加密运算后得到的字符串。对于加密标识的来说，可以设置在存储请求的请求头中，也可以设置在存储请求的请求体中。
93.在一些实施例中，识别标签例如可以为标识应用id，将标识应用id加上时间戳经过特定加密算法加密后的字符串放在存储请求中，能够使得每次加密后产生的字符串都不一样，可以防止被第三方截获报文后以复制重发请求的方式盗取数据。
94.作为一种可选的实施方式，向权限认证模块确认标识应用是否具有对应于存储请求的权限包括：
95.将标识应用的识别标签和存储请求对应的数据范围发送至权限认证模块，以使权限认证模块将识别应用具有权限存储的数据范围与存储请求对应的数据范围进行比较。
96.在一些实施例中，识别标签例如可以为标识应用id，较佳的，标识应用id为一个唯一的32个字符组成的字符串，一个标识应用id对应一个标识应用。标识应用id的获取方式例如可以采用如下方式：存储主体，即标识数据拥有者，登录企业账号，向权限认证模块应用管理单元提出存储请求，在权限认证模块角色管理单元中通过存储申请后，例如存储主体的管理员能够通过本企业的存储请求，在权限认证模块应用管理单元上将生成标识应用的调用目标，赋予标识应用id，并给此标识应用赋予存储权限，标识应用id为一个唯一的32个字符组成的字符串，标识应用可通过标识应用id调用接口存储标识数据。
97.如图4所示，示例性的展示了一种标识存储的具体的执行过程：标识应用获取标识应用id后，标识应用调用标识存储代理单元，并将标识应用id加上时间戳经过特定加密算法加密后的字符串放在存储请求中并将需要存储的标识传递给标识存储代理单元，加上时间戳使得每次加密后产生的字符串都不一样，可防止被第三方截获报文后复制重发请求的方式盗取数据，标识存储代理单元通过权限认证模块校验标识应用id以及标识应用的存储权限，没有通过时，例如系统内查询不到对应的标识应用id或者查询不到相关权限信息时，返回不具有存储权限的提示信息；权限校验通过时，调用标识加解密单元实现对标识数据
的加密，标识加解密单元上存放了加解密的秘钥和加解密算法，可采用对称加密算法或者非对称加密算法，再通过标识解析模块的标识存储接口进行标识写入。
98.本发明实施例还提供一种标识代理模块，如图5所示，在图5中，展示了标识代理模块中的各单元之间的关系以及标识代理模块中各单元与其他模块之间的关系，本实施例的标识代理模块包括：
99.标识查询代理单元，用于执行上述任意一项标识查询管理方法；
100.标识存储代理单元，用于执行上述任意一项标识存储管理方法；
101.标识加解密单元，用于响应标识查询代理单元的调用对标识数据解密，和/或，响应标识存储代理单元的调用对标识数据进行加密。
102.本发明实施例还提供一种标识权限管理系统，如图5所示，包括：
103.如上述的标识代理模块；
104.权限认证模块，用于响应标识代理模块的存储请求和/或查询请求，对标识应用的查询权限和/或存储权限进行判断，并向标识代理模块返回判断结果；
105.在一些实施例中，权限认证模块由标识应用权限管理单元、用户管理单元、企业单元、角色管理单元、应用管理单元组成。权限认证模块为标识代理层提供标识查询、存储、标识加解密过程中的权限认证，使用标识代理模块进行标识查询和存储的主体都需要在权限系统中注册企业账号。进一步地，标识应用权限管理单元主要是给标识代理层提供鉴权接口；用户管理单元是对需要使用标识解析功能的用户进行管理；角色管理单元是可以将不同的权限归为一类赋予某个角色，比如企业管理员角色可以对本企业的标识数据、标识权限、标识应用进行操作，而普通用户则只有查看和申请标识应用的权限；企业管理单元对在权限认证系统的注册企业信息进行维护和管理；应用管理单元是在通过查询/存储权限申请后，赋予标识应用相应的标识应用id。
106.标识解析模块，用于响应标识代理模块的请求向标识代理模块发送标识数据，和/或，响应标识代理模块的请求接收标识代理模块发送的标识数据进行存储。
107.在一些实施例中，标识解析系统是工业互联网标识解析体系的中间环节，直接面向行业和企业提供服务，提供基本的标识存储和查询功能接口。
108.作为一种可选的实施方式，权限认证模块还用于响应标识应用的权限请求，赋予标识应用存储权限的识别标签。在一些实施例中，识别标签的赋予可以按照如下的方式进行：存储主体，即标识数据拥有者登录企业账号，向权限认证模块应用管理单元提出存储请求，在权限认证模块角色管理单元中通过查询申请后，例如存储主体的管理员通过本企业的存储请求后，在权限认证模块应用管理单元上将生成标识应用的调用目标，赋予标识应用id，并给此标识应用赋予存储权限，标识应用id为一个唯一的32个字符组成的字符串，标识应用可通过标识应用id调用接口存储标识数据。
109.作为一种可选的实施方式，权限认证模块还用于响应标识应用的权限请求，向数据持有者发送权限赋予请求，并依据数据持有者的响应赋予标识应用具有查询权限的识别标签。在一些实施例中，识别标签的赋予可以按照如下的方式进行：查询主体登录企业账号，在权限认证模块应用管理单元中向被查询标识拥有主体提出查询申请，被查询标识拥有主体在角管理单元中通过查询申请后，在权限认证模块应用管理单元的数据库内插入对应查询申请的数据生成标识应用的调用目标，并且生成标识应用id，标识应用id为一个唯
一的32个字符组成的字符串，一个标识应用id对应一个标识应用，被查询标识拥有主体可对此应用赋予标识查询权限。权限内容包括可访问的标识前缀，可访问的标识，访问的时间段等。
110.本领域普通技术人员可以理解实现上述方法实施例中的全部或部分流程，是可以通过计算机程序来请求相关的硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
111.以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。