基于区块链获取数据的方法和装置与流程

1.本说明书实施例属于区块链技术领域，尤其涉及一种基于区块链获取数据的方法和装置。


背景技术：

2.区块链(blockchain)是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链系统中按照时间顺序将数据区块以顺序相连的方式组合成链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。由于区块链具有去中心化、信息不可篡改、自治性等特性，区块链也受到人们越来越多的重视和应用。
3.区块链正在改变着很多行业，与传统的数据管理系统相比，区块链允许各方在互不信任的条件下，一起管理和共享存储的数据，因为数据在每一方都有备份，所以杜绝了存储数据被修改的情况发生。然而，某些可以作为无形资产的信息，例如，知识产权(intellectualproperty，ip)、专有技术等，在区块链上实现资产数字化之后，在区块链上展示和交易可能会涉及到信息的安全问题。数据所有方不希望自身的数据全盘公开、透明的展示给其他参与方，需要对参与方针对性的过滤后开放。因此，如何控制参与方对区块链中的数据进行读取具有重要的现实意义和价值。


技术实现要素：

4.本说明书的实施例描述了一种基于区块链获取数据的方法和装置，该区块链中存储的第一数据通过基于管理设备的主公钥和预设策略进行属性加密而获得，只有属性标签与第一数据对应的预设策略相符合的用户的用户设备才能对第一数据解密成功，得到第二数据，从而实现了对区块链中数据读取的控制，提高了区块链中数据的安全性。
5.根据第一方面，提供了一种基于区块链获取数据的方法，其中，上述区块链中存储的第一数据通过基于管理设备的主公钥和预设策略进行属性加密而获得，上述方法包括：用户设备向区块链上传用户信息；上述管理设备从上述区块链获取上述用户信息，基于上述用户信息确定用户的属性标签，基于上述属性标签、上述管理设备的主公钥和上述管理设备的主私钥生成上述用户的子私钥，将上述子私钥上传至区块链；上述用户设备从上述区块链获取上述子私钥和上述第一数据，上述用户设备使用上述子私钥对上述第一数据进行解密，在上述属性标签符合上述预设策略的情况中，解密成功，得到第二数据。
6.根据第二方面，提供了一种基于区块链获取数据的方法，应用于区块链节点，其中，上述区块链中存储的第一数据通过基于管理设备的主公钥和预设策略进行属性加密而获得，上述方法包括：接收用户信息，将上述用户信息存储到区块链中；响应于管理设备发送的请求，将上述用户信息发送给上述管理设备；从上述管理设备接收子私钥，在区块链中存储上述子私钥，其中，上述子私钥基于上述用户信息、上述管理设备的主公钥和上述管理设备的主私钥生成；响应于上述用户设备发送的请求，将上述子私钥和上述第一数据发送给上述用户设备。
7.根据第三方面，提供了一种基于区块链获取数据的装置，设置于区块链节点，其中，上述区块链中存储的第一数据通过基于管理设备的主公钥和预设策略进行属性加密而获得，上述装置包括：接收单元，配置为接收用户信息，将上述用户信息存储到区块链中；发送单元，配置为响应于管理设备发送的请求，将上述用户信息发送给上述管理设备；存储单元，配置为从上述管理设备接收子私钥，在区块链中存储上述子私钥，其中，上述子私钥基于上述用户信息、上述管理设备的主公钥和上述管理设备的主私钥生成；数据发送单元，配置为响应于上述用户设备发送的请求，将上述子私钥和上述第一数据发送给上述用户设备。
8.根据第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当上述计算机程序在计算机中执行时，令计算机执行如第二方面中任一实现方式描述的方法。
9.根据第五方面，提供了一种计算设备，包括存储器和处理器，其特征在于，上述存储器中存储有可执行代码，上述处理器执行上述可执行代码时，实现如第二方面中任一实现方式描述的方法。
10.根据本说明书实施例提供的基于区块链获取数据的方法和装置，该区块链中存储的第一数据通过基于管理设备的主公钥和预设策略进行属性加密而获得，具体方法包括：首先用户设备向区块链上传用户信息。之后，管理设备从区块链获取该用户信息，并基于该用户信息确定用户的属性标签，基于该属性标签、管理设备的主公钥和管理设备的主私钥生成用户的子私钥，并将用户的子私钥上传至区块链。最后，用户设备从区块链获取子私钥和第一数据，用户设备使用该子私钥对第一数据进行解密，在属性标签符合预设策略的情况中，解密成功，得到第二数据。由此，只有属性标签与第一数据对应的预设策略相符合的用户的用户设备才能对第一数据解密成功，得到第二数据，从而实现了对区块链中数据读取的控制，提高了区块链中数据的安全性。
附图说明
11.为了更清楚地说明本说明书实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
12.图1示出了一个实施例中的区块链架构图；
13.图2示出了本说明书实施例可以应用于其中的一个应用场景的示意图；
14.图3示出了在向区块链读取数据之前，多个参与方设备与区块链进行交互的一个示例的时序图；
15.图4示出了一个预设策略的示意图；
16.图5示出了根据一个实施例的基于区块链获取数据的方法的时序图；
17.图6示出了用户设备向管理设备申请新的属性标签的一个例子的示意图；
18.图7示出了根据一个实施例的基于区块链获取数据的装置的示意性框图。
具体实施方式
19.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明
书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。
20.区块链技术最初是由一位化名“中本聪”的人为比特币(一种数字货币)而设计出的一种特殊的分布式数据库技术，它适合存储简单的、有先后关系的、能在系统内验证的数据，用密码学和共识算法保证了数据的不可篡改和不可伪造。为了进一步说明区块链技术，图1示出了一实施例中的区块链架构图。在图1所示的区块链架构图中，区块链100中例如包含6个节点。节点之间的连线示意性的表示p2p(peer to peer，点对点)连接。这些节点上可存储全量的账本，即存储全部区块和全部账户的状态。其中，区块链中的每个节点可通过执行相同的交易而产生区块链中的相同的状态，区块链中的每个节点可存储相同的状态数据库。可以理解，图1中虽然示出了区块链中包括6个节点，本说明书实施例不限于此，而是可以包括其他数目的节点。具体是，区块链中包含的节点可以满足拜占庭容错(byzantine fault tolerance，bft)要求。所述的拜占庭容错要求可以理解为在区块链内部可以存在拜占庭节点，而区块链对外不体现拜占庭行为。一般的，一些拜占庭容错算法中要求节点个数大于3f+1，f为拜占庭节点个数，例如实用拜占庭容错算法pbft(practical byzantine fault tolerance)。
21.区块链领域中的交易可以指在区块链中执行并记录在区块链中的任务单元。交易中通常包括发送字段(from)、接收字段(to)和数据字段(data)。其中，在交易为转账交易的情况中，from字段表示发起该交易(即发起对另一个账户的转账任务)的账户地址，to字段表示接收该交易(即接收转账)的账户地址，data字段中包括转账金额。在交易调用区块链中的智能合约的情况中，from字段表示发起该交易的账户地址，to字段表示交易所调用的合约的账户地址，data字段中包括调用合约中的函数名、及对该函数的传入参数等数据，以用于在交易执行时从区块链中获取该函数的代码并执行该函数的代码。
22.区块链中可提供智能合约的功能。区块链上的智能合约是在区块链系统上可以被交易触发执行的合约。智能合约可以通过代码的形式定义。在以太坊中调用智能合约，是发起一笔指向智能合约地址的交易，使得以太坊网络中每个节点分布式地运行智能合约代码。需要说明的是，除了可以由用户创建智能合约，也可以在创世块中由系统设置智能合约。这类合约一般称为创世合约。一般的，创世合约中可以设置一些区块链的数据结构、参数、属性和方法。此外，具有系统管理员权限的账户可以创建系统级的合约，或者修改系统级的合约(简称为系统合约)。其中，所述系统合约可用于在区块链中增加不同业务的数据的数据结构。
23.在部署合约的场景中，例如，bob将一个包含创建智能合约信息(即部署合约)的交易发送到如图1所示的区块链中，该交易的data字段包括待创建的合约的代码(如字节码或者机器码)，交易的to字段为空，以表示该交易用于部署合约。节点间通过共识机制达成一致后，确定合约的合约地址“0x6f8ae93
…”
，各个节点在状态数据库中添加与该智能合约的合约地址对应的合约账户，分配与该合约账户对应的状态存储，并将合约代码保存在该合约的状态存储中，从而合约创建成功。
24.在调用合约的场景中，例如，bob将一个用于调用智能合约的交易发送到如图1所
示的区块链中，该交易的from字段是交易发起方(即bob)的账户的地址，to字段中的“0x6f8ae93
…”
代表了被调用的智能合约的地址，交易的data字段包括调用智能合约的方法和参数。在区块链中对该交易进行共识之后，区块链中的各个节点可分别执行该交易，从而分别执行该合约，基于该合约的执行更新状态数据库。
25.如前所述，有些场景中，区块链上数据的数据所有方不希望自身的数据全盘公开、透明的展示给其他参与方，需要对参与方针对的过滤后开放。
26.为此，本说明书的实施例提供了一种基于区块链获取数据的方法，从而实现对区块链中数据读取的控制，提高了区块链中数据的安全性。作为示例，图2示出了本说明书实施例可以应用于其中的一个应用场景的示意图。如图2所示，在本应用场景中，可以包括管理设备201、数据所有方设备202、用户设备203等多个区块链100的参与方设备。其中，管理设备201可以是指监管机构所使用的设备。数据所有方设备202可以是指知识产权、专有技术等信息的版权方所使用的设备，这里，知识产权可以包括著作权、专利、商标等等。用户设备203可以是指想要读取区块链上数据的用户所使用的设备。各个参与方设备可以设置有加密系统，举例来说，可以设置有cp-abe(ciphertext policy attribute based encryption，基于密文策略的属性加密)加密系统，cp-abe的密文对应于一个访问策略，密钥对应属性集合，当且仅当属性集合中的属性能够满足此访问策略时才可对密文进行解密。区块链100中存储的第一数据可以是数据所有方设备202通过管理设备201的主公钥和预设策略进行属性加密而获得的，数据所有方设备202将得到的第一数据上传至区块链100。用户设备203可以向区块链100上传用户信息，之后，管理设备201可以从区块链100获取该用户信息，并基于该用户信息确定用户的属性标签，基于该属性标签、主公钥和主私钥生成用户的子私钥，并将用户的用户标识与子私钥关联地上传至区块链100。这样，用户设备203可以从区块链100获取该子私钥和第一数据，并尝试使用子私钥对第一数据进行解密，在属性标签符合预设策略的情况中，可以解密成功，得到第二数据。
27.继续参见图3，图3示出了在向区块链读取数据之前，多个参与方设备与区块链进行交互的一个示例的时序图。在图3所示的示例中，与区块链100进行交互的参与方设备包括管理设备201和数据所有方设备202，各参与方设备可以设置有cp-abe加密系统。
28.具体交互过程可以如下所示：
29.s301，管理设备201生成主公钥和主私钥。作为一个示例，管理设备201可以通过调用cp-abe加密系统的setup函数来生成主公钥和主私钥。作为另一个示例，也可以采用安全多方计算的方式来生成主公钥和主私钥，主私钥由多个管理设备201共同维护，需要使用主私钥时由多个管理设备201同时参与计算。计算过程可以如下：cpabe_setup(msk,mpk)，其中，mpk可以表示主公钥，msk可以表示主私钥。
30.s302，管理设备201向区块链100上传主公钥。举例来说，管理设备201可以向区块链100的任一区块链节点发送交易，该交易可以调用区块链中的数据监管合约c1(下文中简称为合约c1)，以向区块链上传主公钥。其中，该合约可由管理设备201部署到区块链中，以进行对数据的监管、对数据访问的监管等。上述区块链节点在接收到该交易之后将该交易发送给区块链中的其他节点，从而使得区块链中的各个节点可执行该交易。区块链的各个节点通过执行该交易，将主公钥存储到合约的合约状态中。
31.s303，数据所有方设备202向区块链100发送账户注册信息.
32.s304，数据所有方设备202接收区块链100返回的链上账户信息。具体的，数据所有方设备202可以向区块链100发送交易，该交易可以调用合约c1，以向区块链注册外部所有账户(externally owned accounts，eoa)。区块链的节点执行该交易，生成链上账户信息，并将链上账户信息返回给数据所有方设备202。区块链可以将生成的数据所有方的账户信息存储到合约账户下。其中，账户注册信息可以包括工商证明信息、企业信息、非对称加密的公钥accountpk等。其中，企业信息可以包括企业名称、地址、客户群体、企业经营范围、提供商品或服务的品类、规模等等。其中，工商证明信息和企业信息还可以用于kyc(know your customer，了解你的客户)。数据所有方可以保存非对称加密的公钥accountpk对应的私钥accountsk用于后续加密信息传输。举例来说，可以将账户注册信息中包括的信息进行拼接后再进行哈希计算，从而得到链上账户id。具体的，
33.accountid＝registercopyrightowner(accountinfo,accountpk)＝hash(accountinfo||accountpk)。
34.其中，accountinfo可以包括工商证明信息、企业信息等。
35.s305，完成注册后，数据所有方设备202可以从区块链100获取主公钥。
36.具体是，数据所有方设备202可通过向任一区块链节点发送调用合约c1的交易(或请求)，以用于查询主公钥，该区块链节点在接收到该交易之后，根据该交易从合约c1的状态中获取主公钥，并将该主公钥返回给数据所有方设备202。
37.s306，数据所有方设备202基于主公钥、待上链信息和预设策略生成第一数据。
38.这里，待上链信息可以包括知识产权、专有技术等信息。数据所有方可以根据自身需要设置加密时的策略policy，该策略policy可以规定满足那些属性标签的条件下才能解密。作为示例，策略policy的结构可以是树状结构。继续参考图4，图4示出了一个预设策略的示意图。以数据所有方设备202设置的预设策略为图4所示的树状结构为例，该策略加密得到的第一数据，需要满足“高信用公司”这一条件，以及“奢侈品”、“文化潮流”、“服饰”三个条件中的至少两个条件的用户才能解密，否则解密失败。这里，数据所有方设备202可以通过调用cp-abe加密系统的encrypt函数生成第一数据，具体的：
39.第一数据＝cpabe_encrypt(待上链信息,ploicy，mpk)。
40.由此，可以基于主公钥和策略进行属性加密得到第一数据。
41.在一些实现方式中，数据所有方设备202还可以生成待上链信息的hash值，并将该hash值与第一数据关联地上传至区块链100。
42.s307，数据所有方设备202将第一数据上传至区块链100。具体的，数据所有方设备202可以向区块链100发送交易，该交易可以调用合约c1，以向区块链上传第一数据。区块链的节点执行该交易，将第一数据存储到合约c1的合约状态中。
43.可选的，上述s307，数据所有方设备将第一数据上传到区块链，具体可以包括：
44.首先，数据所有方设备向区块链发送第一交易，该第一交易可以调用合约c1，以向区块链上传第一数据。
45.然后，区块链的节点执行第一交易，将第一数据存储到合约c1的合约状态中。作为示例，第一数据可以存储到合约c1的数据列表中，该数据列表可以用于存储数据所有方设备上传的数据。通过本实现方式，可以实现第一数据在合约c1中的存储。
46.在一些可选的实现方式中，上述方法还可以包括以下内容：
47.1)，管理设备通过向区块链发送调用合约c1的第二交易，从区块链接收第一数据。
48.2)，管理设备使用主私钥msk对第一数据解密，得到第二数据，检查第二数据是否合法。作为示例，管理设备可以通过调用cp-abe加密系统的decrypt函数对第一数据解密，得到第二数据，具体的：
49.第二数据＝cpabe_decrypt(第一数据,msk)。
50.解密得到第二数据之后，管理设备可以对第二数据进行各种检查，例如，检查第二数据中是否包含不到言论、不当图像等等。
51.3)，如果管理设备检查第二数据后，确定检查不通过，则管理设备可以向区块链发送调用合约c1的第三交易，在合约c1的合约状态中记录第一数据为非法数据。作为示例，可以在合约c1中预设的非法数据列表中记录第一数据的哈希值，该非法数据列表中可以包含多个非法数据的哈希值。
52.可选的，数据所有方设备向区块链发送的第一交易，还用于向区块链上传第二数据的第一哈希值。具体的，数据所有方设备可以将第二数据的第一哈希值与第一数据关联地上传至区块链。这样，管理设备检查第二数据是否合法，可以具体如下进行：
53.首先，管理设备可以从区块链获取第一哈希值，并计算解密得到的第二数据的第二哈希值。
54.然后，确定第二哈希值与第一哈希值是否匹配。举例来说，可以判断第二哈希值与第一哈希值是否相同，如果相同，则表示第二哈希值与第一哈希值相匹配，解密得到的第二数据合法；如果不相同，则表示第二哈希值与第一哈希值不匹配，解密得到的第二数据不合法。实践中，如果管理设备从区块链上接收的第一哈希值与管理设备解密得到的第二数据的第二哈希值不相同，则表示第一数据中的第二数据存在被篡改的风险，因此，为了保证数据安全，将第一数据确定为非法数据。通过本实现方式，管理设备可以通过哈希值实现对数据的检查，保证了数据的安全性。
55.通过图3所示的示例，可以完成数据所有方设备202在区块链100的注册，以及第一数据的生成、上链等步骤，为后续用户设备从区块链100中读取数据提供支持。
56.继续参见图5，图5示出了根据一个实施例的基于区块链获取数据的方法的时序图。可以理解，该方法可以通过管理设备201、用户设备203、数据所有方设备202和区块链100共同执行，其中，管理设备、用户设备、数据所有方设备和区块链节点可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。如图5所示，该基于区块链获取数据的方法，可以包括以下步骤：
57.s501，用户设备向区块链上传用户信息。
58.在本实施例中，用户设备可以向区块链上传用户信息，该用户信息可以用于账号注册。用户信息可以包括工商证明信息、企业信息、非对称加密的公钥accountpk等。其中，企业信息可以包括企业名称、地址、客户群体、企业经营范围、提供商品或服务的品类、规模等等。之后，用户设备可以接收区块链返回的链上账户信息。可以理解，用户设备的注册过程与数据所有方设备的注册过程类似，此处不再赘述。
59.在一些可选的实现方式中，用户设备向区块链上传用户信息，可以具体包括：用户设备向区块链上传用户信息以用于用户注册，或者用于更新用户信息。
60.s502，管理设备从区块链获取用户信息。具体的，管理设备201可以向区块链100发
送交易，该交易可以调用合约c1，以从区块链获取用户信息。区块链的节点执行该交易，将用户信息发送给管理设备。
61.s503，管理设备基于用户信息确定用户的属性标签，基于属性标签、管理设备的主公钥和管理设备的主私钥生成用户的子私钥。
62.s504，管理设备将子私钥上传至区块链。具体的，管理设备可以向区块链100发送交易，该交易可以调用合约c1，以将子私钥上传至区块链。区块链的节点执行该交易，将子私钥存储到合约c1的合约状态中。
63.在本实施例中，管理设备可以监听用户设备在链上的注册事件，并从区块链获取用户信息，基于用户信息确定用户的属性标签。举例来说，管理设备可以从用户信息中提取出属性标签。这里，属性标签可以是一类特征的总和，例如，企业面向的客户群体，包括老年人、中青年、幼儿、学生等等；企业提供的服务品类，包括服务、餐饮、酒店、旅游等等；企业的规模，包括小型企业、中型企业、大型企业等等；企业希望读取到的信息种类，以信息为知识产权信息为例，信息种类可以包括国潮、奢侈品等等。之后，管理设备可以基于属性标签、主公钥mpk和主私钥msk生成用户的子私钥。举例来说，管理设备可以通过调用cp-abe加密系统的keygen函数生成用户专属的子私钥sk，具体的，
64.sk＝cpabe_keygen(属性标签,msk，mpk)。
65.管理设备生成用户专属的子私钥sk之后，可以将用户的用户标识与子私钥关联地上传至区块链，以供用户设备从区块链获取子私钥。这里，用户标识可以包括用户的链上账户标识。
66.在一些可选的实现方式中，上述将子私钥上传至区块链，还可以具体如下进行：
67.首先，管理设备基于用户设备对应的区块链账户的公钥对子私钥进行加密得到加密结果。作为一个示例，可以使用用户设备对应的区块链账户的公钥采用加密方案，例如ecies(ellipticcurve integrate encrypt scheme，集成加密方案)，对子私钥进行加密，得到第一加密结果，用户设备通过解密第一加密结果可以得到子私钥。作为另一个示例，还可以使用公钥对属性标签和子私钥进行加密，得到第二加密结果，具体的，
68.第二加密结果＝ecies_encrypt(用户设备对应的公钥，属性标签，sk)。
69.用户设备通过解密第二加密结果可以得到属性标签和子私钥。
70.然后，管理设备将加密结果与用户的用户标识关联地上传至区块链，这样，用户设备可以根据用户标识从区块链获取对应的加密结果，并对加密结果进行解密得到子私钥。通过本实现方式，可以将子私钥进行加密后再上传至区块链，由此，可以实现对子私钥的保护，提高了子私钥的安全性。
71.在实际使用中，基于区块链100用户设备203还可以随时向管理设备201申请新的属性标签。如图6所示，图6示出了用户设备向管理设备申请新的属性标签的一个例子的示意图。
72.在图6所示的例子中，用户设备203向管理设备201申请新的属性标签的过程具体包括以下步骤：
73.s601，用户设备203向区块链上传更新后用户信息。更新后用户信息可以包括工商证明信息、企业信息等。
74.s602，管理设备201从区块链获取更新后用户信息。具体的，管理设备201可以向区
块链100发送交易，该交易可以调用合约c1，以从区块链获取更新后用户信息。区块链的节点执行该交易，将更新后用户信息发送给管理设备。
75.s603，管理设备201基于更新后用户信息确定用户的更新后属性标签，基于更新后属性标签、管理设备的主公钥和管理设备的主私钥生成生成更新后子私钥sknew。举例来说，管理设备可以通过调用cp-abe加密系统的keygen函数生成更新后子私钥sknew，具体的，
76.sknew＝cpabe_keygen(更新后属性标签,msk，mpk)。
77.s604，管理设备将更新后属性标签和更新后子私钥sknew上传至区块链。具体的，管理设备可以向区块链100发送交易，该交易可以调用合约c1，以将更新后属性标签和更新后子私钥sknew上传至区块链。区块链的节点执行该交易，将更新后属性标签和更新后子私钥sknew存储到合约c1的合约状态中。由此，实现了用户设备所对应属性标签的更新，以备后续用户设备从区块链获取更新后属性标签和更新后子私钥sknew。
78.s505，用户设备从区块链获取子私钥和第一数据。具体的，用户设备可以向区块链100发送交易，该交易可以调用合约c1，以从区块链获取子私钥和第一数据。区块链的节点执行该交易，将子私钥和第一数据发送给用户设备。
79.s506,用户设备使用子私钥对第一数据进行解密，在属性标签符合预设策略的情况中，解密成功，得到第二数据。
80.在本实施例中，用户设备可以从区块链获取子私钥和第一数据，并尝试使用子私钥对第一数据进行解密，在属性标签符合预设策略的情况中，解密成功，得到第二数据。这里，第二数据与前述生成第一数据时所使用的待上链信息相同。举例来说，用户设备可以通过调用cp-abe加密系统的decrypt函数来尝试对第一数据进行解密，具体的，
81.第二数据＝cpabe_decrypt(第一数据,sk)。
82.通过decrypt函数，只有用户的属性标签符合第一数据的策略时，才能解密成功，得到第二数据。
83.继续以图4所示的预设策略为例，该策略加密得到的第一数据，需要满足“高信用公司”这一条件，以及“奢侈品”、“文化潮流”、“服饰”三个条件中的至少两个条件的用户才能解密，否则解密失败。例如，用户a，管理设备为其分配的属性标签包括“高信用公司”、“奢侈品”、“酒店”，则用户a无法解密该第一数据。又例如，用户b，管理设备为其分配的属性标签包括“高信用公司”、“奢侈品”、“服饰”、“国潮”，则用户b可以解密该第一数据，得到第二数据。
84.回顾以上过程，在本说明书的上述实施例中，数据所有方根据自身需要设置加密时的策略，并基于该策略进行属性加密得到第一数据。解密时，只有属性标签与第一数据对应的预设策略相符合的用户的用户设备才能对第一数据解密成功，得到第二数据，从而实现了对区块链中数据读取的控制，提高了区块链中数据的安全性。
85.本说明书又示出了一个实施例的基于区块链获取数据的方法。该方法可以应用于区块链节点。其中，区块链节点可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。该基于区块链获取数据的方法，可以包括以下步骤：
86.步骤一，接收用户信息，将用户信息存储到区块链中。
87.在本实施例中，区块链中存储的第一数据通过基于管理设备的主公钥和预设策略
进行属性加密而获得。区块链节点可以接收用户设备发送的用户信息，并将用户信息存储到区块链中，该用户信息可以用于账号注册。用户信息可以包括工商证明信息、企业信息、非对称加密的公钥accountpk等。其中，企业信息可以包括企业名称、地址、客户群体、企业经营范围、提供商品或服务的品类、规模等等。
88.在一些可选的实现方式中，在步骤一之前，上述方法还可以包括以下内容：
89.首先，区块链节点可以接收数据所有方设备发送的第一交易，该第一交易可以调用合约，以向区块链上传第一数据。
90.然后，区块链节点可以执行第一交易，将第一数据存储到合约的合约状态中。通过本实现方式，可以实现第一数据在合约中的存储。
91.可选的，上述方法还可以包括以下内容：
92.1)，接收管理设备发送的调用合约的第二交易，其中，第二交易用于从区块链接收第一数据。
93.2)，执行第二交易，将第一数据发送给管理设备。之后，管理设备可以使用主私钥msk对第一数据解密，得到第二数据，检查第二数据是否合法。作为示例，管理设备可以通过调用cp-abe加密系统的decrypt函数对第一数据解密，得到第二数据，具体的：
94.第二数据＝cpabe_decrypt(第一数据,msk)。
95.解密得到第二数据之后，管理设备可以检查第二数据是否合法。如果确定检查不通过，则管理设备可以向区块链发送调用合约的第三交易。
96.3)，接收并执行管理设备发送的第三交易，在合约的合约状态中记录第一数据为非法数据，其中，第三交易由管理设备在检查第二数据不通过的情况下发送。
97.步骤二，响应于管理设备发送的请求，将用户信息发送给管理设备。
98.在本实施例中，管理设备可以监听用户设备在链上的注册事件，监听到用户的注册事件后，管理设备可以向区块链发送用于获取用户信息的请求。响应于管理设备发送的请求，区块链节点可以将用户信息发送给管理设备。之后，管理设备可以基于用户信息确定用户的属性标签，并基于属性标签、管理设备的主公钥和管理设备的主私钥生成用户的子私钥，并将用户的用户标识与子私钥关联地上传至区块链。
99.步骤三，从管理设备接收子私钥，在区块链中存储子私钥。
100.在本实施例中，区块链节点可以从管理设备接收用户的用户标识和子私钥，并在区块链中关联地存储用户的用户标识和子私钥。其中，子私钥是基于用户信息、管理设备的主公钥和管理设备的主私钥生成。举例来说，管理设备可以从用户信息中提取出属性标签。之后，管理设备可以基于属性标签、主公钥mpk和主私钥msk生成用户的子私钥。举例来说，管理设备可以通过调用cp-abe加密系统的keygen函数生成用户专属的子私钥sk，具体的，
101.sk＝cpabe_keygen(属性标签,msk，mpk)。
102.在一些可选的实现方式中，在区块链中存储子私钥，可以具体如下进行：在区块链中关联地存储用户的用户标识和子私钥的密文。其中，子私钥的密文可以基于用户设备对应的区块链账户的公钥对子私钥进行加密得到。
103.步骤四，响应于用户设备发送的请求，将子私钥和第一数据发送给用户设备。
104.在本实施例中，用户设备可以向区块链节点发送用于获取子私钥的请求，响应于用户设备发送的该请求，区块链节点可以将子私钥发送给用户设备。用户设备还可以向区
块链节点发送用于获取第一数据的请求，响应于用户设备发送的该请求，区块链节点可以将第一数据发送给用户设备。之后，用户设备可以使用子私钥对第一数据进行解密，在属性标签符合预设策略的情况中，解密成功，得到第二数据。
105.根据另一方面的实施例，提供了一种基于区块链获取数据的装置。上述基于区块链获取数据的装置可以设置于区块链节点，其中，区块链节点可以部署在任何具有计算、处理能力的设备、平台或设备集群中。
106.图7示出了根据一个实施例的基于区块链获取数据的装置的示意性框图。其中，区块链中存储的第一数据通过基于管理设备的主公钥和预设策略进行属性加密而获得。如图7所示，该基于区块链获取数据的装置700包括：接收单元701，配置为接收用户信息，将上述用户信息存储到区块链中；发送单元702，配置为响应于管理设备发送的请求，将上述用户信息发送给上述管理设备；存储单元703，配置为从上述管理设备接收子私钥，在区块链中存储上述子私钥，其中，上述子私钥基于上述用户信息、上述管理设备的主公钥和上述管理设备的主私钥生成；数据发送单元704，配置为响应于上述用户设备发送的请求，将上述子私钥和上述第一数据发送给上述用户设备。
107.在本实施例的一些可选的实现方式中，上述存储单元703进一步配置为：在区块链中关联地存储用户的用户标识和上述子私钥的密文，其中，上述子私钥的密文基于上述用户设备对应的区块链账户的公钥对上述子私钥进行加密得到。
108.在本实施例的一些可选的实现方式中，上述装置700还包括：第一交易接收单元(图中未示出)，配置为接收上述数据所有方设备发送的第一交易，其中，上述第一交易调用合约，以向上述区块链上传上述第一数据；第一交易执行单元(图中未示出)，配置为执行上述第一交易，将上述第一数据存储到上述合约的合约状态中。
109.在本实施例的一些可选的实现方式中，上述装置700还包括：第二交易接收单元(图中未示出)，配置为接收上述管理设备发送的调用上述合约的第二交易，其中，上述第二交易用于从上述区块链接收上述第一数据；第二交易执行单元(图中未示出)，配置为执行上述第二交易，将上述第一数据发送给上述管理设备；第三交易接收单元(图中未示出)，配置为接收并执行上述管理设备发送的第三交易，在上述合约的合约状态中记录上述第一数据为非法数据，其中，上述第三交易由上述管理设备在检查上述第二数据不通过的情况下发送。
110.根据另一方面的实施例，还提供一种计算机可读存储介质，其上存储有计算机程序，当上述计算机程序在计算机中执行时，令计算机执行基于区块链获取数据的方法，该方法可以应用于区块链节点。
111.根据再一方面的实施例，还提供一种计算设备，包括存储器和处理器，其特征在于，上述存储器中存储有可执行代码，上述处理器执行上述可执行代码时，实现基于区块链获取数据的方法，该方法可以应用于区块链节点。在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(programmable logic device,pld)(例如现场可编程
门阵列(field programmable gate array，fpga))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片pld上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(hardware description language，hdl)，而hdl也并非仅有一种，而是有许多种，如abel(advanced boolean expression language)、ahdl(altera hardware description language)、confluence、cupl(cornell university programming language)、hdcal、jhdl(java hardware description language)、lava、lola、myhdl、palasm、rhdl(ruby hardware description language)等，目前最普遍使用的是vhdl(very-high-speed integrated circuit hardware description language)与verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。
112.控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit，asic)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：arc 625d、atmel at91sam、microchip pic18f26k20以及silicone labs c8051f320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
113.上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为服务器系统。当然，本技术不排除随着未来计算机技术的发展，实现上述实施例功能的计算机例如可以为个人计算机、膝上型计算机、车载人机交互设备、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
114.虽然本说明书一个或多个实施例提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或终端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。例如若使用到第一，第二等词
语用来表示名称，而并不表示任何特定的顺序。
115.为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书一个或多个时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
116.本发明是参照根据本发明实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
117.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
118.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
119.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
120.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
121.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储、石墨烯存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
122.本领域技术人员应明白，本说明书一个或多个实施例可提供为方法、系统或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或
多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
123.本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本本说明书一个或多个实施例，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
124.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
125.以上所述仅为本说明书一个或多个实施例的实施例而已，并不用于限制本本说明书一个或多个实施例。对于本领域技术人员来说，本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在权利要求范围之内。