(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210750872.4 (22)申请日 2022.06.28 (71)申请人 湖南文盾信息技 术有限公司 地址 410005 湖南省长 沙市开福区福天兴 业综合楼3 01室 (72)发明人 任江春　 (74)专利代理 机构 长沙七源专利代理事务所 (普通合伙) 43214 专利代理师 周晓艳　张勇 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种数据共享 监管系统和方法 (57)摘要 本发明提出了一种数据共享监管系统和方 法， 所述数据共享监管系统包括安全存储服务和 数据安全网关， 所述安全存储服务用于为数据所 有者提供上传并存储共享数据的服务， 或者是响 应数据使用者的数据访问请求； 数据安全网关用 于记录数据使用者访问共享数据的访问记录， 或 者是， 响应数据监管者的审计请求。 本发明的优 点是提供了一种基于数据安全网关的共享书监 管审计系统及方法， 使 得共享数据的访问行为能 够以透明的方式记录在数据安全网关上， 使 得数 据使用过程的审计追溯更加方便 。 权利要求书2页 说明书5页 附图2页 CN 115134089 A 2022.09.30 CN 115134089 A 1.一种数据共享监管系统， 其特征在于， 包括安全存储服务和数据安全 网关， 所述安全 存储服务用于为数据所有者提供上传并存储共享数据的服务， 或者是响应数据使用者的数 据访问请求； 数据安全网关用于记录数据使用者访问共享数据的访问记录， 或者是， 响应数 据监管者的审计请求； 所述数据安全 网关包括数据访问代理、 安全策略模块、 日志模块、 数据审计代理和区块 链； 所述数据访问代理用于接收数据使用者发出的数据访问请求， 验证数据访问请求后转 发至安全 存储服务； 所述安全策略模块用于生成数据使用者的访问权限， 数据访问代理基于访问权限验证 数据访问请求； 所述日志模块用于生成访问日志， 所述访问日志用于记录数据使用者的操作行为； 所述数据审计代理用于响应数据审查者发出的审计请求， 利用区块链校验对应审计请 求的访问日志后将所述访问日志发送至数据监管者； 所述区块链 由多个区块组成， 所述区块包括区块头和区块体， 所述区块头存储共享数 据的元数据， 所述区块体用于存储访问日志； 所述元数据为数据所有者信息、 数据标识信息 和关键词信息； 数据标识信息包括共享数据ID； 数据描述关键字信息用于描述共享数据内 容。 2.根据权利要求1所述的数据共享监管系统， 其特征在于， 所述访问权限包括共享数据 ID、 数据使用者 ID、 操作权限和有效时限。 3.根据权利要求2所述的数据共享监管系统， 其特征在于， 所述操作权限包括部分读取 权限、 全部读取权限以及写入权限。 4.根据权利要求1所述的数据共享监管系统， 其特征在于， 所述操作 行为包括数据使用 者ID、 操作动作、 共享数据ID和操作时间， 所述操作动作包括对共享数据的查询、 修改、 复制 和删除。 5.根据权利要求1所述的数据共享监管系统， 其特征在于， 所述数据标志信 息还包括共 享数据的数据名称、 数据类型和数据密 级， 所述共享数据ID由数据名称、 数据类型和数据密 级组成。 6.根据权利要求1所述的数据共享监管系统， 其特征在于， 所述区块体结构为Merkle 树， 叶子节点包括日志文档的摘要信息以及日志文档的位置信息 。 7.根据权利要求1 ‑6任意一项所述的数据共享监管系统， 其特征在于， 所述安全策略模 块和日志模块 位于一个可信执 行环境中运行。 8.一种基于权利要求1 ‑6任意一项所述的数据共享监管系统的数据共享监管方法， 其 特征在于， 步骤如下： 步骤S1： 数据所有者共享数据， 具体是， 数据所有者将共享数据 上传至所述安全存储服 务中， 同时将对应该共享数据的元数据和访问权限发送数据安全网关， 数据安全网关基于 访问权限生成密钥， 每一种访问权限对应一个密钥， 并将所述密钥反馈给 数据所有者； 步骤S2： 数据使用者访问数据， 具体是， 数据使用者从数据所有者获取密钥， 基于密钥 向数据安全网关发起数据访问请求； 步骤S3： 数据安全 网关代理请求， 具体是， 数据安全 网关接收数据访问请求并根据密钥权　利　要　求　书 1/2 页 2 CN 115134089 A 2确认访问权限， 若无法识别密钥， 则终止此次访问请求； 查询 到密钥对应的访问权限后， 数 据安全网关将数据访问请求 发送至安全存储服务， 安全存储服务基于密钥将对应的共享数 据反馈至数据使用者； 数据安全网关在数据使用者使用共享数据时生成访问日志， 并将访 问日志存 储到区块链中； 步骤S4： 数据监管者审计， 具体是， 数据监管者向数据安全网关发出审计请求， 数据安 全网关校验审计请求对应的访问日志的完整性， 若访问日志不完整， 则将结果反馈至数据 监管者， 若访问日志完整， 则将访问日志反馈 至数据监管者。 9.根据权利要求8所述的数据共享监管方法， 其特征在于， 在步骤S3中， 所述数据安全 网关存储访问日志的具体方式如下： 数据安全网关 向区块链发起上链请求， 并调用智能合约将访问日志及其哈希值添加到 区块链中。 10.根据权利要求8所述的数据共享监管方法， 其特征在于， 在步骤S4中， 所述数据安全 网关验证访问日志完整性的方式如下： 计算访问日志的哈希值， 基于所述哈希值找到区块链中对应的数据信息， 将所述数据 信息和访问日志对比， 若相同则表明访问日志未遭篡改， 若不同则表明访问日志遭 到篡改。权　利　要　求　书 2/2 页 3 CN 115134089 A 3