一种数据传输方法、装置、计算机设备及可读存储介质与流程

1.本发明涉及区块链技术、云安全技术领域，尤其涉及一种数据传输方法、装置、计算机设备及可读存储介质。


背景技术：

2.大数据发展日新月异，随着物联网、云计算产业的深入发展，国家积极推动发挥数据价值的同时，也在加速落地大数据国家战略，大数据产业呈现蓬勃发展趋势，数据交易将迎来战略机遇，行业也需加速思考如何充分利用新技术为数据创造价值，因此如何保障数据安全当前发展的趋势。
3.目前，由于大数据环境下终端用户非常多，且受众类型较多，用户身份难以确认，并且数据明文的传输方式导致数据易泄露，比如，以政府采集企业数据为例，各企业将产品信息、经营数据以及客户列表等数据通过明文/纸质数据传输给采集机构，采集机构通过内网明文的方式传递给上级机构，上级机构再次通过内网明文的方式传递给最终机构进行数据统计，明文数据的采集及传递方式导致数据丢失隐患，且数据存在易复制难确权的问题，导致数据资产难以流通，无法做到全流程、全方位保障数据安全。
4.由此可见，目前数据存在易泄露、难确权，导致数据安全性差的问题。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种数据传输方法、装置、计算机设备及可读存储介质，以解决现有数据易泄露、难确权导致数据安全性差的问题。
6.第一方面，提供了一种数据传输方法，包括：
7.接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，其中，所述通过所述加密字段对所述业务数据加密；
8.接收数据需求方发送的，业务数据结果密文请求携带的数据需求方的身份信息以及业务数据标识；
9.根据授权策略信息，对数据需求方的身份信息进行授权状态认证，以确定数据需求方是否属于数据授权对象；
10.当数据需求方属于数据授权对象时，获取与业务数据标识对应的业务数据密文；
11.对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
12.进一步，所述接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，包括：
13.接收数据属主上传的业务数据；
14.向所述数据属主显示业务数据加密及授权配置界面，以使所述数据属主在所述业务数据加密及授权配置界面对所述业务数据中的需加密字段进行加密以及对授权策略信息进行配置；
15.将加密后的业务数据以及配置的授权策略信息存储于区块链网络。
16.进一步，数据属主在业务数据加密及授权配置界面对业务数据中的需加密字段之后，将加密后的业务数据以及配置的授权策略信息存储于区块链网络之前，还包括：
17.按照预设加密规则对加密后的业务数据进行扫描，以确定加密后的业务数据中是否存在待加密字段；
18.当加密后的业务数据存在待加密字段时，则向数据属主发送提示信息，提示信息用于指示业务数据中存在的待加密字段以及加密原因。
19.进一步，对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方，包括：
20.对业务数据密文，进行数据确权，以确定所述业务数据密文所属的数据属主；
21.对确权后的业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
22.进一步，方法还包括：
23.接收数据属主发送的业务数据操作风险监测请求；
24.响应业务数据操作风险监测请求，向数据属主发送业务数据操作风险记录列表，记录列表包括授权行为信息以及业务数据使用信息；
25.当根据授权行为信息以及业务数据使用信息，确定业务数据操作处于风险状态，输出报警信息。
26.进一步，对业务数据密文进行密文计算，以获取结果密文之后，方法还包括：
27.接收数据需求方发送的结果密文解密请求，并将结果密文解密请求发送给数据属主；
28.当接收到数据属主发送的授权解密许可信息时，对结果密文进行解密处理，以获取结果明文。
29.进一步，方法还包括：
30.接收数据属主发送的业务数据授权更改请求；
31.向数据属主显示对应的业务数据授权更改界面；
32.接收数据属主在业务数据授权更改界面录入的数据授权策略更改信息。
33.第二方面，提供了一种数据传输装置，装置包括：
34.业务数据接收单元，用于接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，其中，所述通过所述加密字段对所述业务数据加密；
35.业务数据结果密文请求，用于接收数据需求方发送的业务数据结果密文请求，业务数据结果密文请求携带有数据需求方的身份信息以及业务数据标识；
36.认证单元，用于根据授权策略信息对数据需求方的身份信息以及授权状态进行认证，以确定数据需求方是否属于数据授权对象；
37.业务数据密文获取单元，用于当数据需求方属于数据授权对象时，获取与业务数据标识对应的业务数据密文；
38.密文计算单元，用于对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
39.第三方面，提供了一种计算机设备，包括存储器、处理器以及存储在存储器中并可
在处理器上运行的计算机可读指令，处理器执行计算机可读指令时实现上述数据传输方法的步骤。
40.第四方面，提供了一个或多个可读存储介质，可读存储介质存储有计算机可读指令，计算机可读指令被处理器执行时实现上述数据传输方法的步骤。
41.上述数据传输方法、装置、计算机设备及可读存储介质，其方法包括：接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，其中，所述通过所述加密字段对所述业务数据加密；接收数据需求方发送的业务数据结果密文请求，业务数据结果密文请求携带有数据需求方的身份信息以及业务数据标识；根据授权策略信息对数据需求方的身份信息以及授权状态进行认证，以确定数据需求方是否属于数据授权对象；当数据需求方属于数据授权对象时，获取与业务数据标识对应的业务数据密文；对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。本方案中，通过对业务数据进行加密以及授权，以提高数据的保密情况，并且通过数据需求方的请求，对加密数据进行密文运算，进而将结果密文发送给数据需求方，使得数据全程在密文状态下进行传输，并且只有经数据属主授权的数据需求才可以获取密文结果，对数据全生命周期进行追踪，可避免数据泄露、提高数据传输的安全性。
附图说明
42.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
43.图1是本发明一实施例中数据传输方法的一应用环境示意图；
44.图2是本发明一实施例中数据传输方法的一流程示意图；
45.图3是本发明一实施例中数据传输装置的一结构示意图；
46.图4是本发明一实施例中计算机设备的一示意图。
具体实施方式
47.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
48.本实施例提供的数据传输方法，可应用在如图1的应用环境中，其中，数据属主与云平台通过通信网络连接，并向云平台上传业务数据；云平台与数据需求方通过通信网络连接，并向数据属主授权的数据需求方发送、经过密文计算的结果密文，以便数据需求方根据结果密文进行对应的操作。
49.在本发明一实施场景中，数据属主可为企业管理员用户指定的企业用户，被指定的企业用户可对企业经营业务中需要进行密态保存和密态传输的明文数据通过云平台进行全同态加密，以便保证数据传输的安全性。
50.其中，通信网络包括但不限于4g、5g以及wifi等。该云平台可为themis平台，即数
据审核平台。
51.实施例一、
52.参见图2，提供一种数据传输方法，详述如下：
53.在步骤s110中，接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，其中，所述通过所述加密字段对所述业务数据加密；
54.其中，业务数据可包括企业经营数据、产品数据、交易数据等数据。
55.其中，加密字段为业务数据中需进行加密的隐私字段，示例性的，该加密字段可为名字、电话号码等信息。
56.其中，授权策略信息为业务数据可使用的授权情况，示例性的，该授权策略信息可包括授权用户、授权用户的授权权限以及授权数据的使用方法等信息，比如，授权用户可在每天的上午10点到12之间使用该授权数据。
57.在本发明实施例中，数据属主在上传数据之前，可自行将业务数据进行加密以及标记授权策略信息，或者还可以通过云平台提供的加密方式以及授权策略信息配置界面进行数据加密字段以及授权策略信息的配置。
58.在步骤s120中，接收数据需求方发送的业务数据结果密文请求，业务数据结果密文请求携带有数据需求方的身份信息以及业务数据标识；
59.其中，业务数据标识用于唯一标识业务数据，示例性的，该业务数据标识可为业务类型、业务对象，如财务数据、业务数据所属公司等信息。
60.其中，数据需求方身份信息可为数据需求方的姓名、部门等信息。
61.在本发明一实施场景中，该业务数据结果密文可为多个业务数据的统计结果，比如业务数据包括企业k中各个员工的工资数据，而业务数据结果密文可为企业k中所有员工工资总费用。
62.在步骤s130中，根据授权策略信息，对数据需求方的身份信息进行授权状态认证，以确定数据需求方是否属于数据授权对象；
63.在本发明实施例中，授权策略信息可存储于授权列表中，授权列表中每条记录可查看授权详情，该授权策略信息可更改授权方式，也可取消授权，授权数据以csv文件形式发出，仅支持查看授权详情。
64.在本发明实施例中，通过该业务数据标识查询上述授权列表，可获取到该业务数据对应的授权策略信息，并通过对数据需求方的身份信息以及授权状态进行ca认证，以便确定该数据需求方是否属于该业务数据的数据授权对象。
65.在步骤s140中，当数据需求方属于数据授权对象时，获取与业务数据标识对应的业务数据密文；
66.本实施例中，当数据需求方属于数据授权对象时，通过该业务数据标识查询业务数据存储路径，以获取存储的业务数据，该业务数据为密文。
67.在步骤是150中，对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
68.本实施例中，密文计算为对业务数据密文具备使用权的业务数据进行相互密文计算，密文计算方式可包括文本密文计算、csv表密文计算以及数据库密文计算，可根据业务数据密文的类型选用不同的计算方式。
69.其中，该密文计算可采用全同态加密算法实现，比如，该业务数据密文包括a、b，以加法同态为例进行说明，f(a) f(b)＝f(a b)，f为加密函数，即，对密文a及密文b进行相加运算可得到结果密文f(a b)，而对密文计算结果f(a b)进行解密后得到的结果为密文a和密文b的明文a b。采用全同态加密算法可以实现对密文间的计算，无需对每个密文进行解密后，在计算结果，提高了数据的安全性，且避免每一个密文解密而产生的成本和时间。
70.进一步，密文计算完成后，生成密文计算记录，可用于展示业务数据的密文计算操作记录，展示进行密文计算时所运用的两则密文、计算结果以及该条记录的其他信息。此外密文之间的运算方式可更改，更改运算方式后可返回新的计算结果。
71.在实际应用场景中，该业务数据密文为数据属主上传并加密的业务数据，比如，g公司上传的2020年公司各部门的财务支出及盈利情况，而数据需求方h公司则需要了解公司2020年度的财务收支情况，此时可通过对公司各部门的财务支出即盈利情况进行密文计算，以获取g公司2020年度的财务收支，该财务收支在密文环境下计算，输出的结果也为密文，数据需求方h公司可使用，但无法解密，因此数据传输的过程都是在密文状态下进行的。
72.本发明实施例提供了一种数据传输方法，包括：接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，其中，所述通过所述加密字段对所述业务数据加密；接收数据需求方发送的业务数据结果密文请求，业务数据结果密文请求携带有数据需求方的身份信息以及业务数据标识；根据授权策略信息对数据需求方的身份信息以及授权状态进行认证，以确定数据需求方是否属于数据授权对象；当数据需求方属于数据授权对象时，获取与业务数据标识对应的业务数据密文；对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。本方案中，通过对业务数据进行加密以及授权，以提高数据的保密情况，并且通过数据需求方的请求，对加密数据进行密文运算，进而将结果密文发送给数据需求方，使得数据全程在密文状态下进行传输，并且只有经数据属主授权的数据需求才可以获取密文结果，对数据全生命周期进行追踪，可避免数据泄露、提高数据传输的安全性。
73.实施例二、
74.本实施例二提供了一种数据传输方法，详述如下：
75.步骤s110中，接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，其中，所述通过所述加密字段对所述业务数据加密；
76.在本发明实施例中，步骤s110包括：
77.接收数据属主上传的业务数据；
78.向所述数据属主显示业务数据加密及授权配置界面，以使所述数据属主在所述业务数据加密及授权配置界面对所述业务数据中的需加密字段进行加密以及对授权策略信息进行配置；
79.将加密后的业务数据以及配置的授权策略信息存储于区块链网络。
80.本实施例中，对业务数据进行存储时，可配置需要扫描的数据安全的数据库路径，对数据库进行列表筛选，以完成业务数据源新增，新增业务数据源会显示在业务数据源配置中的业务数据源列表中以实现数据源配置。
81.本实施例中，可向用户提供数据加密界面，以使数据属主对业务数据中需要进行密态保存和密态传输的明文数据进行加密，可提供不同的加密方式，供数据属主选择，比
如。可选择加密的字段、加密的方式、加密的程度等信息。进一步，当接收到数据属主录入的加密字段及加密方式后，可将业务数据、加密字段以及加密方式传输到加密设备中进行加密处理，该加密设备可为全同态加密机，以对业务数据中需加密字段进行全同态加密处理。
82.本实施例中，授权的业务数据可包括不同的授权方式，比如，数据授权、csv授权以及数据库授权等，数据授权仅为文本数据的授权，数据属主可在提供的配置界面中输入需加密的明文文本，选择授权人员、授权方法、授权时间等信息完成数据加密以及数据授权，以实现授权方获取到的数据为密文数据；csv数据为用户本地csv文件数据的授权，上传该csv文件，并选择授权人员、授权方法、授权时间等信息完成数据加密以及数据授权，以发送内容为密文的csv文件的方式将数据进行传输，此时无需进行上述的数据源新增，以实现授权方获取到的数据为密文数据；当为数据库授权时，可允许数据属主将数据库中的某个字段进行授权，数据属主可选择授权人员、授权方法、授权时间等信息完成数据加密以及数据授权，以实现授权方获取到的数据为密文数据。
83.需要强调的是，为进一步保证上述加密的业务数据以及配置的授权策略信息的私密和安全性，上述加密的业务数据以及配置的授权策略信息的私密和安全性还可以存储于一区块链的节点中。
84.进一步，数据属主在完成授权策略信息配置后，如数据的授权情况发生改变时，还可对授权策略信息进行修改，具体包括：接收数据属主发送的业务数据授权更改请求；向数据属主显示对应的业务数据授权更改界面；接收数据属主在业务数据授权更改界面录入的数据授权策略更改信息。
85.具体的，可建立授权列表，该授权列表可包括详情，用户可根据该授权列表查看业务数据的授权情况，并在业务的授权情况发生变化时，发送数据授权更改请求，并通过业务数据授权更改界面录入新增或删减授权策略信息，比如增加或减少授权对象，授权对象的权限变更等。
86.进一步，数据属主在业务数据加密及授权配置界面对业务数据中的需加密字段之后，将加密后的业务数据以及配置的授权策略信息存储于区块链网络之前，还包括：
87.按照预设加密规则对存储的业务数据进行扫描，以确定业务数据中是否存在待加密字段；
88.当加密后的业务数据存在待加密字段时，则向数据属主发送提示信息，提示信息用于指示业务数据中存在的待加密字段以及加密原因。
89.具体的，该待加密字段可为敏感字段、隐私字段等需要加密的字段，当检测到业务数据中存在待加密字段时，通过业务数据采用的加密方式对待加密字段进行加密，并提示数据属主，以便数据属主确认。
90.进一步，数据属主可对加密的业务数据进行解密处理，以便查看解密后的业务数据的明文与加密之前的业务数据的明文是否一致，以确定加密是否正确。
91.在步骤s120中，接收数据需求方发送的业务数据结果密文请求，业务数据结果密文请求携带有数据需求方的身份信息以及业务数据标识；
92.其中，业务数据标识用于唯一标识业务数据的标识，示例性的，该业务数据标识可为业务类型、业务对象，如财务数据、业务数据所属公司等信息。
93.其中，数据需求方身份信息可为数据需求方的姓名、部门等信息。
94.在步骤s130中，根据授权策略信息，对数据需求方的身份信息进行授权状态认证，以确定数据需求方是否属于数据授权对象；
95.本实施例中，可根据业务数据标识，获取该业务数据标识对应的业务数据的授权策略信息；通过ca认证确定数据需求方的身份信息，并进一步根据该授权策略信息确定该用户是否属于该业务数据的授权对象。
96.其中，数据需求方每次进行数据访问时，都需要进行ca认证，并在出现异常时进行预警，比如，数据需求方频繁访问业务数据，或者数据需求方在非授权时间范围使用业务数据等，输出警报，以保证数据流通的安全性。
97.在步骤s140中，当数据需求方属于数据授权对象时，获取与业务数据标识对应的业务数据密文；
98.本实施例中，当数据需求方属于数据授权对象时，通过该业务数据标识查询业务数据存储路径，以获取存储的业务数据，该业务数据为密文。
99.其中，数据确权记录可通过确权管理页面的数据确权记录进行查看。
100.在步骤s150中，对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
101.本实施例中，密文计算为对业务数据密文具备使用权的业务数据进行相互密文计算，密文计算方式可包括文本密文计算、csv表密文计算以及数据库密文计算，根据业务数据密文的类型选用不同的计算方式。
102.其中，该密文计算可采用全同态加密算法实现，比如，该业务数据密文包括a、b，以加法同态为例进行说明，f(a) f(b)＝f(a b)，f为加密函数，即，对密文a及密文b进行相加运算可得到结果密文f(a b)，而对密文计算结果f(a b)进行解密后得到的结果为密文a和密文b的明文a b。采用全同态加密算法可以实现对密文间的计算，无需对每个密文进行解密后，在计算结果，提高了数据的安全性，且避免每一个密文解密而发给的比较高的成本和时间。
103.进一步，密文计算完成后，生成密文计算记录，可用于展示业务数据的密文计算操作记录，展示进行密文计算时所运用的两则密文、计算结果以及该条记录的其他信息。此外密文之间的运算方式可更改，更改运算方式后可返回新的计算结果。
104.在实际应用场景中，以业务数据为财务数据为例进行说明，其中，a名称为上游公司职工a，职位为themis平台管理员，b名称为上游公司职工b，职位为财务专员，c名称为下游公司职工c，职位为themis平台管理员，d名称为下游公司职工d，职位为数据分析师。
105.首先，上游公司职工a所属的业务数据的传输流程包括：
106.上游公司职员a在themis平台注册成为管理员，并申请机构证书；平台核实申请后，颁布机构证书；职员a还可以为机构其他职员代理申请证书；职员a可以上传需要加密的数据文件/数据库，即，企业的业务数据；职员a可以对上传的业务数据进行授权，比如可以在平台提供的加密和授权配置界面配置加密字段，如姓名、喜好等，对数据进行全同态加密，且可通过ca秘钥实现分级管理；其中，为可以对上游公司职工b授权其上传的业务数据，为对下游公司调用其商定的数据进行授权，查看上传数据的调用情况。
107.进一步，可以通过ca签名，将经过签名的属权信息和业务数据标记在一起，该themis平台可以进行授权管理，比如，授权对象、业务数据使用时长、密文计算操作，计算结
果明文查看权限，具体的授权内容可包括对可访问数据人员、数据使用期限、数据使用方法等进行授权。
108.其中，themis平台可以对用户，比如管理员，进行管理，比如，创建、变更以及注销。themis平台还可以进行风险管理，即上游公司职工b调用业务数据的情况，下游公司调用业务数据情况进行监控。
109.其中，对上游公司利用自身业务数据进行业务计算(财务统计)，具体的，职员b(财务专员)注册成为themis平台用户，请求公司全年度财务计算结果，themis平台可以根据授权管理规则返回计算结果，全流程密文计算。对下游公司利用授权数据进行自身业务数据分析，具体的，下游公司职工c(themis平台管理员)注册成为themis用户、申请机构证书；平台核实申请后，颁布机构证书；下游公司职工d(数据分析师)注册成为themis用户，调用加密数据，请求数据分析模型计算结果，全流程密文计算；根据授权管理规则返回计算结果，全流程密文计算。比如，e公司上传了2020年公司各部门的财务支出及盈利情况，而数据需求方f公司则需要了解e公司2020年度的财务收支情况，此时可通过对e公司各部门的财务支出即盈利情况进行密文计算，以获取e公司2020年度的财务收支，该财务收支在密文环境下计算，输出的结果也为密文，数据需求方f公司可使用，但无法解密，因此数据传输的过程都是在密文状态下进行的。
110.进一步，步骤s150，包括：对业务数据密文，进行数据确权，以确定业务数据密文所属的数据属主；对确权后的业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
111.具体的，对加密的业务数据进行数据确权，确定加密的业务数据所属的数据属主，根据数据属主可以确定该业务数据密文是否为数据需求方所需要的业务数据，对确权后的业务数据密文进行密文计算，比如，可将已加密的密文复制到数据确权界面进行确权，确权后的数据才可进行密文计算或者可授权给他人使用，通过对数据进行确权，以解决目前数据传输难以确权的问题。其中，数据属主可以随时对上传的已加密的业务数据进行解密操作。
112.进一步，本方案还包括：
113.接收数据属主发送的业务数据操作风险监测请求；向数据属主发送业务数据操作风险记录列表，记录列表包括授权行为信息以及业务数据使用信息；当根据授权行为信息以及业务数据使用信息，确定业务数据操作处于风险状态，输出报警信息。
114.本实施例中，实时对授权的业务数据进行全程监控，当出现风险操作时，比如解密，则可输出报警信息，以便及时进行处理，进一步，建立了风险管理规则，可以查看风险时间，例如授权出去的密文是否进行了高频解密操作，或是否为非授权业务数据需求方进行风险操作等。对风险操作进行记录以生成风险记录列表，每一条记录可查看风险的详情。
115.风险管理支持筛选功能，可以根据风险时间或者风险等级显示风险时间记录。
116.进一步，在步骤s150之后，该方法还包括如下步骤：
117.接收数据需求方发送的结果密文解密请求，并将结果密文解密请求发送给数据属主；
118.当接收到数据属主发送的授权解密许可信息时，对结果密文进行解密处理，以获取结果明文。
119.本实施例中，数据属主可以随时解密已加密的数据，但是数据被授权方必须在被授权解密许可后，方可对被授权数据进行解密数据需求方在进行数据解密时，需要先经过数据属主的许可，确认该结果密文可以解密时，才可进行解密操作，解密方式可采用同态加密算法进行。
120.本发明实施例提供了一种数据传输方法，通过对业务数据进行加密以及授权，以提高数据的保密情况，并且通过数据需求方的请求，对加密数据进行密文运算，进而将结果密文发送给数据需求方，使得数据全程在密文状态下进行传输，并且只有经数据属主授权的数据需求才可以获取密文结果，对数据全生命周期进行追踪，可避免数据泄露、提高数据传输的安全性。
121.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
122.实施例三、
123.图3示出了本发明实施例提供的一种数据传输装置，该数据传输装置与上述实施例中数据传输方法一一对应。如图4所示，该数据传输装置包括业务数据接收单元10、业务数据结果密文请求单元20、认证单元30、业务数据密文获取单元40和密文计算单元50。各组成单元详细说明如下：
124.业务数据接收单元10，用于接收数据属主上传的业务数据，以及所述数据属主配置的加密字段以及所述授权策略信息，其中，所述通过所述加密字段对所述业务数据加密；
125.其中，业务数据可包括企业经营数据、产品数据、交易数据等数据。
126.其中，加密字段为业务数据中需进行加密的隐私字段，示例性的，该加密字段可为名字、电话号码等信息。
127.其中，授权策略信息为业务数据可使用的授权情况，示例性的，该授权策略信息可包括授权用户、授权用户的授权权限以及授权数据的使用方法等信息，比如，授权用户可在每天的上午10点到12之间使用该授权数据。
128.在本发明实施例中，数据属主在上传数据之前，可自行将业务数据进行加密以及标记授权策略信息，或者还可以通过云平台提供的加密方式以及授权策略信息配置界面进行数据加密字段以及授权策略信息的配置。
129.进一步，业务数据接收单元10，还用于：
130.接收数据属主上传的业务数据；
131.向所述数据属主显示业务数据加密及授权配置界面，以使所述数据属主在所述业务数据加密及授权配置界面对所述业务数据中的需加密字段进行加密以及对授权策略信息进行配置；
132.将加密后的业务数据以及配置的授权策略信息存储于区块链网络。
133.本实施例中，对业务数据进行存储时，可配置需要扫描的数据安全的数据库路径，对数据库进行列表筛选，以完成业务数据源新增，新增业务数据源会显示在业务数据源配置中的业务数据源列表中以实现数据源配置。
134.本实施例中，可向用户提供数据加密界面，以使数据属主对业务数据中需要进行密态保存和密态传输的明文数据进行加密，可提供不同的加密方式，供数据属主选择，比
如。可选择加密的字段、加密的方式、加密的程度等信息。进一步，当接收到数据属主录入的加密字段及加密方式后，可将业务数据、加密字段以及加密方式传输到加密设备中进行加密处理，该加密设备可为全同态加密机，以对业务数据中需加密字段进行全同态加密处理。
135.本实施例中，授权的业务数据可包括不同的授权方式，比如，数据授权、csv授权以及数据库授权等，数据授权仅为文本数据的授权，数据属主可在提供的配置界面中输入需加密的明文文本，选择授权人员、授权方法、授权时间等信息完成数据加密以及数据授权，以实现授权方获取到的数据为密文数据；csv数据为用户本地csv文件数据的授权，上传该csv文件，并选择授权人员、授权方法、授权时间等信息完成数据加密以及数据授权，以发送内容为密文的csv文件的方式将数据进行传输，此时无需进行上述的数据源新增，以实现授权方获取到的数据为密文数据；当为数据库授权时，可允许数据属主将数据库中的某个字段进行授权，数据属主可选择授权人员、授权方法、授权时间等信息完成数据加密以及数据授权，以实现授权方获取到的数据为密文数据。
136.需要强调的是，为进一步保证上述加密的业务数据以及配置的授权策略信息的私密和安全性，上述加密的业务数据以及配置的授权策略信息的私密和安全性还可以存储于一区块链的节点中。
137.进一步，数据属主在完成授权策略信息配置后，如数据的授权情况发生改变时，还可对授权策略信息进行修改，具体包括：接收数据属主发送的业务数据授权更改请求；向数据属主显示对应的业务数据授权更改界面；接收数据属主在业务数据授权更改界面录入的数据授权策略更改信息。
138.具体的，可建立授权列表，该授权列表可包括详情，用户可根据该授权列表查看业务数据的授权情况，并在业务的授权情况发生变化时，发送数据授权更改请求，并通过业务数据授权更改界面录入新增或删减授权策略信息，比如增加或减少授权对象，授权对象的权限变更等。
139.进一步，数据传输装置，还包括扫描单元，用于：
140.按照预设加密规则对存储的业务数据进行扫描，以确定业务数据中是否存在待加密字段；
141.当加密后的业务数据存在待加密字段时，则向数据属主发送提示信息，提示信息用于指示业务数据中存在的待加密字段以及加密原因。
142.具体的，该待加密字段可为敏感字段、隐私字段等需要加密的字段，当检测到业务数据中存在待加密字段时，通过业务数据采用的加密方式对待加密字段进行加密，并提示数据属主，以便数据属主确认。
143.进一步，数据属主可对加密的业务数据进行解密处理，以便查看解密后的业务数据的明文与加密之前的业务数据的明文是否一致，以确定加密是否正确。
144.业务数据结果密文请求单元20，用于接收数据需求方发送的业务数据结果密文请求，业务数据结果密文请求携带有数据需求方的身份信息以及业务数据标识；
145.其中，业务数据标识用于唯一标识业务数据，示例性的，该业务数据标识可为业务类型、业务对象，如财务数据、业务数据所属公司等信息。
146.其中，数据需求方身份信息可为数据需求方的姓名、部门等信息。
147.在本发明一实施场景中，该业务数据结果密文可为多个业务数据的统计结果，比
如业务数据包括企业k中各个员工的工资数据，而业务数据结果密文可为企业k中所有员工工资总费用。
148.认证单元30，用于根据授权策略信息，对数据需求方的身份信息进行授权状态认证，以确定数据需求方是否属于数据授权对象；
149.本实施例中，可根据业务数据标识，获取该业务数据标识对应的业务数据的授权策略信息；通过ca认证确定数据需求方的身份信息，并进一步根据该授权策略信息确定该用户是否属于该业务数据的授权对象。
150.其中，数据需求方每次进行数据访问时，都需要进行ca认证，并在出现异常时进行预警，比如，数据需求方频繁访问业务数据，或者数据需求方在非授权时间范围使用业务数据等，输出警报，以保证数据流通的安全性。
151.业务数据密文获取单元40，用于当数据需求方属于数据授权对象时，获取与业务数据标识对应的业务数据密文；
152.本实施例中，当数据需求方属于数据授权对象时，通过该业务数据标识查询业务数据存储路径，以获取存储的业务数据，该业务数据为密文。
153.本实施例中，获取待确权业务数据密文，对业务数据密文进行数据确权，以确定业务数据密文的数据属主；根据业务数据密文的数据属主，确定业务数据密文对应的授权策略信息，只有经过数据确权后的业务数据密文才能进行密文计算，因此，可对待确权业务数据密文进行数据确权，以确定数据属主，进而确定业务数据密文的授权策略信息。
154.具体的，对加密的业务数据进行数据确权，即确认数据属主，比如，可将已加密的密文复制到数据确权界面进行确权，确权后的数据可进行密文计算或者可授权给他人使用，通过对数据进行确权，以解决目前数据传输难以确权的问题。进一步，数据属主可以随时对上传的已加密的业务数据进行解密操作。
155.密文计算单元50，用于对业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
156.本实施例中，密文计算为对业务数据密文具备使用权的业务数据进行相互密文计算，密文计算方式可包括文本密文计算、csv表密文计算以及数据库密文计算，可根据业务数据密文的类型选用不同的计算方式。
157.其中，该密文计算可采用全同态加密算法实现，比如，该业务数据密文包括a、b，以加法同态为例进行说明，f(a) f(b)＝f(a b)，f为加密函数，即，对密文a及密文b进行相加运算可得到结果密文f(a b)，而对密文计算结果f(a b)进行解密后得到的结果为密文a和密文b的明文a b。采用全同态加密算法可以实现对密文间的计算，无需对每个密文进行解密后，在计算结果，提高了数据的安全性，且避免每一个密文解密而产生的成本和时间。
158.进一步，密文计算完成后，生成密文计算记录，可用于展示业务数据的密文计算操作记录，展示进行密文计算时所运用的两则密文、计算结果以及该条记录的其他信息。此外密文之间的运算方式可更改，更改运算方式后可返回新的计算结果。
159.进一步，密文计算单元50还用于：对业务数据密文，进行数据确权，以确定业务数据密文的数据属主；对确权后的业务数据密文进行密文计算，以获取结果密文，并将结果密文发送给数据需求方。
160.具体的，对加密的业务数据进行数据确权，确定加密的业务数据所属的数据属主，
根据数据属主可以确定该业务数据密文是否为数据需求方所需要的业务数据，对确权后的业务数据密文进行密文计算，比如，可将已加密的密文复制到数据确权界面进行确权，确权后的数据才可进行密文计算或者可授权给他人使用，通过对数据进行确权，以解决目前数据传输难以确权的问题。其中，数据属主可以随时对上传的已加密的业务数据进行解密操作。
161.在实际应用场景中，以业务数据为财务数据为例进行说明，其中，a名称为上游公司职工a，职位为themis平台管理员，b名称为上游公司职工b，职位为财务专员，c名称为下游公司职工c，职位为themis平台管理员，d名称为下游公司职工d，职位为数据分析师。
162.首先，上游公司职工a所属的业务数据的传输流程包括：
163.上游公司职员a在themis平台注册成为管理员，并申请机构证书；平台核实申请后，颁布机构证书；职员a还可以为机构其他职员代理申请证书；职员a可以上传需要加密的数据文件/数据库，即，企业的业务数据；职员a可以对上传的业务数据进行授权，比如可以在平台提供的加密和授权配置界面配置加密字段，如姓名、喜好等，对数据进行全同态加密，且可通过ca秘钥实现分级管理；其中，为可以对上游公司职工b授权其上传的业务数据，为对下游公司调用其商定的数据进行授权，查看上传数据的调用情况。
164.进一步，可以通过ca签名，将经过签名的属权信息和业务数据标记在一起，该themis平台可以进行授权管理，比如，授权对象、业务数据使用时长、密文计算操作，计算结果明文查看权限，具体的授权内容可包括对可访问数据人员、数据使用期限、数据使用方法等进行授权。
165.其中，themis平台可以对用户，比如管理员，进行管理，比如，创建、变更以及注销。themis平台还可以进行风险管理，即上游公司职工b调用业务数据的情况，下游公司调用业务数据情况进行监控。
166.其中，对上游公司利用自身业务数据进行业务计算(财务统计)，具体的，职员b(财务专员)注册成为themis平台用户，请求公司全年度财务计算结果，themis平台可以根据授权管理规则返回计算结果，全流程密文计算。对下游公司利用授权数据进行自身业务数据分析，具体的，下游公司职工c(themis平台管理员)注册成为themis用户、申请机构证书；平台核实申请后，颁布机构证书；下游公司职工d(数据分析师)注册成为themis用户，调用加密数据，请求数据分析模型计算结果，全流程密文计算；根据授权管理规则返回计算结果，全流程密文计算。比如，e公司上传了2020年公司各部门的财务支出及盈利情况，而数据需求方f公司则需要了解e公司2020年度的财务收支情况，此时可通过对e公司各部门的财务支出即盈利情况进行密文计算，以获取e公司2020年度的财务收支，该财务收支在密文环境下计算，输出的结果也为密文，数据需求方f公司可使用，但无法解密，因此数据传输的过程都是在密文状态下进行的。
167.进一步，数据传输装置还包括风险监测单元，用于：
168.接收数据属主发送的业务数据操作风险监测请求；向数据属主发送业务数据操作风险记录列表，记录列表包括授权行为信息以及业务数据使用信息；当根据授权行为信息以及业务数据使用信息，确定业务数据操作处于风险状态，输出报警信息。
169.本实施例中，实时对授权的业务数据进行全程监控，当出现风险操作时，比如解密，则可输出报警信息，以便及时进行处理，进一步，建立了风险管理规则，可以查看风险时
间，例如授权出去的密文是否进行了高频解密操作，或是否为非授权业务数据需求方进行风险操作等。对风险操作进行记录以生成风险记录列表，每一条记录可查看风险的详情。
170.风险管理支持筛选功能，可以根据风险时间或者风险等级显示风险时间记录。
171.进一步，数据传输装置，还包括解密单元，用于：
172.接收数据需求方发送的结果密文解密请求，并将结果密文解密请求发送给数据属主；
173.当接收到数据属主发送的授权解密许可信息时，对结果密文进行解密处理，以获取结果明文。
174.本实施例中，数据属主可以随时解密已加密的数据，但是数据被授权方必须在被授权解密许可后，方可对被授权数据进行解密数据需求方在进行数据解密时，需要先经过数据属主的许可，确认该结果密文可以解密时，才可进行解密操作，解密方式可采用同态加密算法进行。
175.本发明实施例提供了一种数据传输装置，通过对业务数据进行加密以及授权，以提高数据的保密情况，并且通过数据需求方的请求，对加密数据进行密文运算，进而将结果密文发送给数据需求方，使得数据全程在密文状态下进行传输，并且只有经数据属主授权的数据需求才可以获取密文结果，对数据全生命周期进行追踪，可避免数据泄露、提高数据传输的安全性。
176.关于数据传输装置的具体限定可以参见上文中对于数据传输方法的限定，在此不再赘述。上述数据传输装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
177.本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
178.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括可读存储介质。该可读存储介质存储有计算机可读指令。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种数据传输方法。本实施例所提供的可读存储介质包括非易失性可读存储介质和易失性可读存储介质。
179.在一实施例中，提供了一种计算机设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机可读指令，处理器执行计算机可读指令时实现上述数据传输方法的步骤。
180.在一实施例中，提供了一个或多个可读存储介质，可读存储介质存储有计算机可读指令，计算机可读指令被处理器执行时实现上述数据传输方法的步骤。
181.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，的计算机可读指令可存储于一非易失性可
读取存储介质或易失性可读存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
182.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
183.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。