本發明公開了一種基于證書鏈的分布式數據安全共享方法及系統。即通過數據分級與用戶角色劃分的方法，賦予用戶角色身份，實現用戶對數據的訪問控制；基于證書鏈模型，在子節點對用戶角色進行劃分；使用數字證書賦予用戶角色身份，用戶需向云中心節點申請數字證書，并使用子節點證書對用戶證書簽名；用戶向云中心節點申請數據訪問，上傳用戶證書，在云中心節點驗證用戶的訪問權限。本發明通過數據分級與用戶角色劃分，實現用戶對數據的訪問控制，并基于證書鏈模型，使用數據證書來認證用戶身份，解決了用戶角色的管理問題與網絡信任問題，角色分配更準確、靈活，緩解了云中心節點分配角色的壓力，有效的解決了云中心節點與用戶之間的信任問題。

技術領域

本發明涉及一種數據共享方法及系統，具體地說，本發明涉及一種基于證書鏈的分布式數據安全共享方法及系統。本發明屬于數據安全應用技術領域。

背景技術

在當前網絡互聯和大數據時代，數據的共享與應用已成為一種重要的數據應用模式。與傳統的數據本地應用系統不同，越來越多的分布式計算場景往往要求多個節點進行數據匯聚共享應用。從數據的安全應用方面考慮，這種多節點數據匯集共享應用面臨的主要挑戰在于：如何在數據共享應用中，確保數據來源清晰、責權明確、應用有度，保障數據的合法共享和使用。

目前，解決分布式數據安全共享應用的方法是：使用數據分級的方式對用戶實現訪問控制，即某一級別的用戶僅有權訪問與其對應的某一級別數據。其缺點是：在分布式系統中，如果僅根據數據安全分級來劃分用戶的等級，那么對于具有相同級別訪問權限的用戶可以訪問該等級的全部數據。而在實際應用環境中，由于各子節點中用戶來源不同、所處部門不同、用戶角色具有多樣性，同等級的數據并不該被擁有該數據等級權限的所有用戶訪問，這種單一的使用數據分級劃分用戶訪問權限的方式顯然滿足不了實際需求。此外，由于用戶大多分布在各子節點中，云中心節點與用戶之間也存在信任問題。

發明內容

鑒于上述原因，本發明的目的是提供一種基于證書鏈的分布式數據安全共享方法及系統。該方法不僅解決了用戶對數據訪問控制的問題以及用戶與云中心節點之間的信任問題，還解決了用戶角色的分配和管理問題，角色分配更準確、靈活，緩解了云中心節點分配角色的壓力。

為實現上述目的，本發明采用以下技術方案：一種基于證書鏈的分布式數據安全共享方法，它包括如下步驟：

S1：對分布式數據進行分級，賦予訪問不同級別數據的用戶角色，將訪問權限與角色綁定，實現用戶對數據的訪問控制；

S2：基于證書鏈模型，在各子節點對用戶進行角色劃分，用戶通過分配角色獲取訪問權限；

S3：使用數字證書賦予用戶角色身份，用戶向云中心節點申請數字證書，并使用子節點證書對用戶數字證書簽名；

S4：用戶向云中心節點申請數據訪問，上傳用戶數字證書，在云中心節點驗證用戶的訪問權限，驗證通過后，訪問相關數據。

進一步地，所述步驟S2基于證書鏈模型，在各子節點對用戶進行角色劃分的具體方法為：

S2.1、云中心節點將各子節點擁有的數據權限告知子節點，并將分配給各子節點的數據權限保存在數據庫中；

S2.2、各子節點進行角色權限的劃分，將劃分的結果保存在云中心節點數據庫中；

如果子節點的業務復雜，子節點可以將持續劃分角色的權限再下發給子節點下的下級節點；權限下發給下級節點后，仍可以根據實際的需求再進行權限下發，形成一種鏈式的角色劃分體系；

S2.3、若數據權限需要進行更新，則重復步驟S2.1，步驟S2.2操作。

進一步地，所述步驟S3使用數字證書賦予用戶角色身份，用戶向云中心節點申請數字證書，并使用子節點證書對用戶數字證書簽名，具體方法為：

S3.1、用戶向所屬子節點提交個人信息；