一种文件处理方法、装置和存储介质与流程

1.本发明涉及区块链领域，尤其涉及一种文件处理方法、装置和存储介质


背景技术：

2.传统的中心化文件存储体系中，通常采用密码加密的方式，为了进行文件的权限分配，可以对密钥设置时效，定期更新密钥。但是一旦密码泄露，文件可能泄露，且文件不需要使用时，只能删除中心化服务器中的数据，而之前流转的数据无法销毁。而采用区块链存储数据时，数据上链后，需要引入辅助数据库，才能设定文件的查看权限与时效信息。然而，通过辅助数据库进行文件权限管理时安全机制不够完善，可能导致存储的文件泄露。


技术实现要素：

3.本发明实施例期望提供一种文件处理方法、装置和存储介质，通过ipfs文件管理节点存储根据tee机密计算节点加密得到的第一加密文件，提高了文件存储的安全性。
4.本发明的技术方案是这样实现的：
5.本发明实施例提供一种文件处理方法，应用于ipfs文件管理节点，包括：
6.接收tee机密计算节点发送的第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥；其中，所述第一加密文件根据tee机密计算节点对上传文件进行加密得到；
7.根据所述第一加密文件计算得到所述第一加密文件的第一哈希地址，并存储所述第一加密文件；
8.发送所述第一加密文件的第一哈希地址、所述第一加密文件的文件标识信息和所述第一机密计算密钥至区块链网络。
9.本发明实施例提供一种文件处理方法，应用于tee机密计算节点，包括：
10.接收上传的上传文件后，根据第一机密计算密钥对所述上传文件进行加密得到第一加密文件；
11.根据所述第一加密文件确定所述第一加密文件的文件标识信息，并将所述第一加密文件、所述第一加密文件的文件标识信息和所述第一机密计算密钥发送至ipfs文件管理节点；其中，所述第一加密文件的文件标识信息和所述上传文件对应的文件标识信息一致。
12.本发明实施例提供一种文件处理方法，应用于区块链网络，包括：
13.接收ipfs文件管理节点发送的第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥；
14.根据所述第一哈希地址计算得到对应的第一哈希地址密钥，并根据所述第一哈希地址密钥对所述第一哈希地址进行加密得到第一加密哈希地址；
15.存储所述第一加密文件的文件标识信息和所述第一加密哈希地址；
16.发送所述第一加密文件的文件标识信息、所述第一哈希地址密钥和所述第一机密计算密钥至具有文件访问权限的文件查看设备。
17.本发明实施例提供一种文件处理装置，包括：第一接收单元、第一计算单元、第一存储单元和第一发送单元；其中，
18.所述第一接收单元，用于接收tee机密计算节点发送的第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥；其中，所述第一加密文件根据tee机密计算节点对上传文件进行加密得到；
19.所述第一计算单元，用于根据所述第一加密文件计算得到所述第一加密文件的第一哈希地址；
20.所述第一存储单元，用于存储所述第一加密文件；
21.所述第一发送单元，用于发送所述第一加密文件的第一哈希地址、所述第一加密文件的文件标识信息和所述第一机密计算密钥至区块链网络。
22.本发明实施例提供一种文件处理装置，包括：第二接收单元、第一加密单元、第一确定单元和第二发送单元；其中，
23.所述第二接收单元，用于接收上传的上传文件；
24.所述第一加密单元，用于根据第一机密计算密钥对所述上传文件进行加密得到第一加密文件；
25.所述第一确定单元，用于根据所述第一加密文件确定所述第一加密文件的文件标识信息；
26.所述第二发送单元，用于将所述第一加密文件、所述第一加密文件的文件标识信息和所述第一机密计算密钥发送至ipfs文件管理节点；其中，所述第一加密文件的文件标识信息和所述上传文件对应的文件标识信息一致。
27.本发明实施例提供一种文件处理装置，包括：第三接收单元、第二计算单元、第二加密单元、第二存储单元和第三发送单元；其中，
28.所述第三接收单元，用于接收ipfs文件管理节点发送的第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥；
29.所述第二计算单元，用于根据所述第一哈希地址计算得到对应的第一哈希地址密钥；
30.所述第二加密单元，用于根据所述第一哈希地址密钥对所述第一哈希地址进行加密得到第一加密哈希地址；
31.所述第二存储单元，用于存储所述第一加密文件的文件标识信息和所述第一加密哈希地址；
32.所述第三发送单元，用于发送所述第一加密文件的文件标识信息、所述第一哈希地址密钥和所述第一机密计算密钥至具有文件访问权限的文件查看设备。
33.本发明实施例提供一种ipfs文件管理节点，所述ipfs文件管理节点包括：
34.第一存储器，用于存储可执行数据指令；
35.第一通信总线，用于实现所述第一存储器与第一处理器的通信；
36.第一处理器，用于执行所述第一存储器中存储的可执行指令，以实现如权利要求1-3任一项所述的文件处理方法。
37.本发明实施例提供一种tee机密计算节点，所述tee机密计算节点包括：
38.第二存储器，用于存储可执行数据指令；
39.第二通信总线，用于实现所述第二存储器与第二处理器的通信；
40.第二处理器，用于执行所述第二存储器中存储的可执行指令，以实现如权利要求4-6任一项所述的文件处理方法。
41.本发明实施例提供一种区块链网络，所述区块链网络包括：
42.第三存储器，用于存储可执行指令；
43.第三通信总线，用于实现所述第三存储器与第三处理器的通信；
44.所述第三处理器，用于执行所述第三存储器中存储的可执行指令，以实现如权利要求7-9任一项所述的文件处理方法。
45.本发明实施例提供了一种存储介质，所述存储介质存储有可执行指令，当所述可执行指令被执行时，用于引起第一处理器执行如本发明实施例所述的文件处理方法。
46.本发明实施例提供了一种存储介质，所述存储介质存储有可执行指令，当所述可执行指令被执行时，用于引起第二处理器执行如本发明实施例所述的文件处理方法。
47.本发明实施例提供了一种存储介质，所述存储介质存储有可执行指令，当所述可执行指令被执行时，用于引起第三处理器执行如本发明实施例所述的文件处理方法。
48.本发明实施例提供了一种文件处理方法、装置和存储介质，其中，方法包括ipfs文件管理节点接收tee机密计算节点发送的第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥；其中，第一加密文件根据tee机密计算节点对上传文件进行加密得到；根据第一加密文件计算得到第一加密文件的第一哈希地址，并存储第一加密文件；发送第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥至区块链网络。本发明实施例提供的技术方案，通过ipfs文件管理节点存储根据tee机密计算节点加密得到的第一加密文件，提高了文件存储的安全性。
附图说明
49.图1为本发明实施例提供的一种文件处理方法的一个可选的系统框架示意图；
50.图2为本发明实施例提供的一种应用于ipfs文件管理节点的文件处理方法的流程示意图一；
51.图3为本发明实施例提供的一种应用于ipfs文件管理节点的文件处理方法的流程示意图二；
52.图4为发明实施例提供的一种应用于tee机密计算节点的文件处理方法的流程示意图一；
53.图5为本发明实施例提供的一种应用于tee机密计算节点的文件处理方法的流程示意图二；
54.图6为本发明实施例提供的一种应用于区块链网络的文件处理方法的流程示意图一；
55.图7为本发明实施例提供的一种应用于区块链网络的文件处理方法的流程示意图二；
56.图8为本发明实施例提供的一种文件处理方法的交互流程示意图一；
57.图9为本发明实施例提供的一种文件处理方法的交互流程示意图二；
58.图10为本发明实施例提供的一种文件处理装置的结构示意图一；
59.图11为本发明实施例提供的一种文件处理装置的结构示意图二；
60.图12为本发明实施例提供的一种文件处理装置的结构示意图三；
61.图13为本发明实施例提供的一种ipfs文件管理节点的结构示意图；
62.图14为本发明实施例提供的一种tee机密计算节点的结构示意图；
63.图15为本发明实施例提供的一种区块链网络的结构示意图。
具体实施方式
64.为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，所描述的实施例不应视为对本发明的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
65.除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的，不是旨在限制本发明。
66.对本发明实施例进行进一步详细说明之前，对本发明实施例中涉及的名词和术语进行说明，本发明实施例中涉及的名词和术语适用于如下的解释。
67.1)区块链(blockchain)，区块以顺序相连的方式组合成的一种链式数据结构，在每个区块中引用前一个区块或者其子集的哈希值，从而以密码学的方式保证所记录交易的不可篡改和不可伪造。
68.2)区块链网络，通过共识的方式将新区块纳入区块链的一系列的、无中心的节点的集合。
69.3)智能合约(smart contracts)，也称为链码(chaincode)，部署在区块链网络中的根据条件而触发执行的程序，用于通过查询、增加、修改来操作账本，以实现对账本的查询或更新。
70.本发明实施例提供一种文件处理方法，图1是本发明实施例提供的一种文件处理方法的一个可选的系统框架示意图，如图1所示，该方法包括：
71.本发明实施例涉及到三个部分：区块链网络、星际文件系统(ipfs，interplanetary file system)文件管理节点和可信执行环境(tee，trusted execution environment)机密计算节点。其中，各部分数据通信连接关系为：区块链网络与ipfs文件管理节点相连接，ipfs文件管理节点与tee机密计算节点相连接。
72.需要说明的是，tee机密计算节点和ipfs文件管理节点分别为ipfs文件管理模块和tee机密计算模块连接区块链网络后而成为的节点；其中，ipfs文件管理节点用于部署ipfs文件存储服务，具体用于计算得到文件的哈希地址并保存文件，还用于通过哈希地址检索到对应文件，并下载文件；tee机密计算节点用于部署机密计算服务，具体用于根据tee技术进行密钥的管理与文件加解密操作，同时基于tee环境下的应用程序编程接口(api，application programming interface)构建tee服务端，tee服务端与tee环境外的用户进行数据交互。区块链网络中的区块链用于存储文件名，和文件对应的哈希地址。需要查找文件时，通过文件名在区块链中检索到对应的哈希地址，再通过哈希地址从ipfs文件管理节点中下载加密文件；其中，加密文件根据tee机密计算模块加密得到。同时，还可以通过区块链对文件进行验证，方法为通过ipfs文件管理节点下载加密文件后，通过ipfs文件管理节
点的计算规则计算得到加密文件的哈希地址，对比该哈希地址与区块链上检索得到的哈希地址是否一致，若一致则说明加密文件没有篡改。区块链网络的类型是灵活多样的，例如可以为公有链、私有链或联盟链中的任意一种。
73.区块链网络、ipfs文件管理节点和tee机密计算节点可以实施为服务器，也可以实施为其他电子设备，下面，将说明设备实施为服务器时的示例性应用。图1示出的区块链网络和ipfs文件管理节点分别部署于服务器1、服务器2上，tee机密计算节点部署于服务器3上；需要说明的是，区块链网络和ipfs文件管理节点还可以部署于同一个服务器上，但是tee机密计算节点必须单独部署于一个服务器，且不能与区块链网络、ipfs文件管理节点共用同一个服务器。另外，区块链网络、ipfs文件管理节点和tee机密计算节点的连接关系也可以是多样的。示例性的，当区块链网络和ipfs文件管理节点部署于同一个服务器时，tee机密计算节点通过通信接口可以与区块链网络相连接，也可以与ipfs文件管理节点相连接，本发明实施例对此不作具体限定。
74.本发明实施例提供一种文件处理方法，应用于ipfs文件管理节点，图2是本发明实施例提供的一种应用于ipfs文件管理节点的文件处理方法的流程示意图一，如图2所示，该方法包括：
75.s101、接收tee机密计算节点发送的第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥；其中，第一加密文件根据tee机密计算节点对上传文件进行加密得到。
76.本发明实施例中，适用于通过ipfs文件管理节点保存第一加密文件的场景。
77.在本发明实施例提供的文件处理方法中的tee机密计算节点用于根据tee技术进行密钥的管理与文件加解密操作。tee技术的特点为以硬件安全为强制性保障,不依赖于固件和软件的安全状态，提供用户空间的可信执行环境。
78.在本发明实施例中，ipfs文件管理节点接收tee机密计算节点发送的第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥；其中，第一加密文件根据tee机密计算节点对上传文件进行加密得到。
79.需要说明的是，本发明实施例中的机密计算密钥基于tee机密计算节点通过tee技术生成；通过该密钥在tee的可信执行环境中加密文件，得到的加密文件可以拷贝、传播，可以设定得到的解密文件只能在可信执行环境中查看，而不能拷贝和传播。另外，本发明实施例中的第一加密文件根据tee机密计算节点对文件上传者上传的文件进行加密得到；其中，加密算法可以是对称加密算法，例如，高级加密标准(aes，advanced encryption standard)算法，本发明实施例不作限制。通过tee机密计算节点加密得到的文件，只能利用机密计算密钥在tee机密计算节点提供的tee环境中解密，其他环境中无法执行解密运算。
80.s102、根据第一加密文件计算得到第一加密文件的第一哈希地址，并存储第一加密文件。
81.在本发明实施例中，ipfs文件管理节点根据第一加密文件生成第一加密文件的哈希地址，并将第一加密文件进行保存。
82.需要说明的是，ipfs文件管理节点根据第一加密文件生成第一加密文件的哈希地址的方法可以是多样的，例如，可以采用有向无环图(dag，directed acycline graph)算法。
83.可以理解的是，本发明实施例中，利用ipfs文件管理节点存储基于tee机密计算节点加密得到的第一加密文件，相较于直接将未加密文件保存至数据链上，提高了文件存储的安全性。
84.s103、发送第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥至区块链网络。
85.在本发明实施例中，ipfs文件管理节点发送第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥至区块链网络。
86.需要说明的是，ipfs文件管理节点发送第一加密文件的第一哈希地址、第一加密文件的文件标识信息至区块链网络的目的是为下一步区块链网络将第一加密文件的第一哈希地址、第一加密文件的文件名存储于区块链上。
87.在本发明的一些实施例中，图3是本发明实施例提供的一种应用于ipfs文件管理节点的文件处理方法的流程示意图二，如图3所示，在步骤s103之后还包括s104-s106。如下：
88.s104、接收区块链网络发送的第二哈希地址和第二机密计算密钥。
89.本发明实施例中，适用于通过ipfs文件管理节点下载第二加密文件的场景。
90.在本发明实施例中，ipfs文件管理节点接收区块链网络的智能合约上传的第二哈希地址和第二机密计算密钥。
91.需要说明的是，ipfs文件管理节点接收区块链网络发送的第二哈希地址是经由区块链网络根据第二哈希地址密钥对第二加密哈希地址进行解密而得到的第二哈希地址；其中，第二哈希地址密钥根据文件查看设备上传得到；第二加密哈希地址为区块链网络根据文件查看设备上传的第二文件标识信息检索得到。
92.s105、根据第二哈希地址检索得到第二哈希地址对应的第二加密文件。
93.在本发明实施例中，ipfs文件管理节点根据第二哈希地址检索得到第二哈希地址对应的第二加密文件。
94.需要说明的是，ipfs文件管理节点根据第二哈希地址检索得到第二哈希地址对应的第二加密文件；其中，检索方法具体可以为遍历检索，也可以是优化遍历检索算法，本发明实施例不作限制。
95.可以理解的是，本发明实施例中，利用ipfs文件管理节点通过第二哈希地址检索得到第二加密文件，相较于直接在数据链上检索未加密文件，提高了文件存储的安全性。
96.s106、发送第二加密文件和第二机密计算密钥至tee机密计算节点。
97.在本发明实施例中，ipfs文件管理节点发送第二加密文件和第二机密计算密钥至tee机密计算节点。
98.需要说明的是，ipfs文件管理节点中的智能合约通过tee的服务端发送第二加密文件和第二机密计算密钥至tee机密计算节点；ipfs文件管理节点发送第二加密文件和第二机密计算密钥至tee机密计算节点的目的是下一步tee机密计算节点对第二加密文件进行解密。
99.在本发明的一些实施例中，在步骤s105之后还包括s107和s108。如下：
100.s107、根据第二加密文件计算得到第二加密文件的哈希地址。
101.本发明实施例中，适用于验证第二加密文件是否被篡改的场景。
102.在本发明实施例中，ipfs文件管理节点根据第二加密文件计算得到第二加密文件的哈希地址。
103.示例性的，ipfs文件管理节点根据ipfs dag算法对第二加密文件计算得到第二加密文件的哈希地址。
104.s108、对比第二加密文件的哈希地址和区块链网络发送的第二哈希地址是否一致，若一致，则表征第二加密文件没有被篡改。
105.在本发明实施例中，ipfs文件管理节点对比自身生成的第二加密文件的哈希地址和区块链网络发送的第二哈希地址是否一致，若一致则表征加密文件没有被篡改。
106.可以理解的是，本发明实施例中，区块链网络发送的第二哈希地址可能由于受外界影响导致区块链上存储的第二哈希地址被篡改，通过对比ipfs文件管理节点自身生成的第二加密文件的哈希地址和区块链网络发送的第二哈希地址是否一致，确保区块链网络发送的第二哈希地址的正确性，从而保证根据第二哈希地址检索得到第二加密文件的正确性，进一步提高文件存储的安全性。
107.本发明实施例提供一种文件处理方法，应用于tee机密计算节点，图4是本发明实施例提供的一种应用于tee机密计算节点的文件处理方法的流程示意图一，如图4所示，该方法包括：
108.s201、接收上传的上传文件后，根据第一机密计算密钥对上传文件进行加密得到第一加密文件。
109.本发明实施例中，适用于tee机密计算节点对上传文件进行加密的场景。
110.在本发明实施例提供的文件处理方法中tee机密计算节点用于部署机密计算服务。tee技术的特点以硬件安全为强制性保障,不依赖于固件和软件的安全状态,提供用户空间的可信执行环境,通过一组新的指令集扩展与访问控制机制,实现不同程序间的隔离运行。
111.在本发明实施例中，tee机密计算节点接收文件上传设备上传的文件后，根据机密计算密钥对文件进行加密得到第一加密文件。
112.需要说明的是，tee机密计算节点对文件进行加密的加密算法可以是对称加密算法，例如aes算法，本发明实施例不作限制。本发明实施例中的机密计算密钥由tee机密计算节点直接调用tee的接口生成，机密计算密钥仅在tee机密计算节点中的tee环境中能够使用。通过机密计算密钥在tee的可信执行环境中加密文件，得到的加密文件可以拷贝、传播；另外，可以设定得到的解密文件只能在可信执行环境中查看，不能拷贝和传播。通过tee环境加密得到的第一加密文件，只能利用机密计算密钥在tee环境中解密，其他环境中无法执行解密运算。本发明实施例中，tee机密计算节点根据机密计算密钥得到第一加密文件后，tee机密计算节点根据文件上传设备设定的有效访问时间设定tee的服务端，使得tee服务端只有在该时间段内能访问进行文件解密操作。
113.s202、根据第一加密文件确定第一加密文件的文件标识信息，并将第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥发送至ipfs文件管理节点；其中，第一加密文件的文件标识信息和上传文件对应的文件标识信息一致。
114.在本发明实施例中，tee机密计算节点通过第一加密文件得到对应的文件标识信息，并将第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥发送至ipfs文
件管理节点。
115.需要说明的是，tee机密计算节点发送第一加密文件至ipfs文件管理节点用于下一步ipfs文件管理节点对第一机密文件进行存储。
116.在本发明的一些实施例中，图5是本发明实施例提供的一种应用于tee机密计算节点的文件处理方法的流程示意图二，如图5所示，在步骤s202之后还包括s203-s204。如下：
117.s203、接收ipfs文件管理节点发送的第二加密文件和第二机密计算密钥。
118.本发明实施例中，适用于tee机密计算节点对文件进行解密操作的场景。
119.在本发明实施例中，tee机密计算节点接收ipfs文件管理节点发送的第二加密文件和第二机密计算密钥。
120.需要说明的是，tee机密计算节点通过tee的服务端接收ipfs文件管理节点发送的第二加密文件和第二机密计算密钥。
121.s204、根据第二机密计算密钥对第二加密文件进行解密得到解密后的文件，并通过tee服务端对解密后的文件进行展现。
122.在本发明实施例中，tee机密计算节点基于机密计算密钥对第二加密文件进行解密得到解密后的文件，解密后的文件通过tee服务端展现其文件内容。
123.需要说明的是，tee机密计算节点采用的解密方法可以是依据对称加密算法，例如aes算法，本发明实施例不作限制。本发明实施例中解密后的文件通过tee服务端展现文件内容，具有文件访问权限的文件查看设备可以直接连接tee服务端，可以浏览相应的文件内容。
124.在本发明的一些实施例中，若当前时间在上传的有效访问时间内，tee机密计算节点则根据第二机密计算密钥对第二加密文件进行解密得到解密后的文件，并通过tee服务端对解密后的文件进行展现。
125.在本发明实施例提供的文件处理方法中的有效访问时间内根据文件上传设备设定。
126.在本发明实施例中，tee机密计算节点判断若当前时间在文件上传设备上传的有效访问时间内，tee机密计算节点则根据机密计算密钥对第二加密文件进行解密得到解密后的文件，并通过tee服务端对解密后的文件进行展现；其中，当前时间表征的是tee机密计算节点的当前系统时间。
127.可以理解的是，本发明实施例在文件权限管理同时，通过tee机密计算节点仅在有效访问时间内对第二加密文件进行解密得到解密后的文件，从而提高了文件的安全性。
128.本发明实施例提供一种文件处理方法，应用于区块链网络，图6是本发明实施例提供的一种应用于区块链网络的文件处理方法的流程示意图一，如图6所示，该方法包括：
129.s301、接收ipfs文件管理节点发送的第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥。
130.在本发明实施例中，区块链网络接收ipfs文件管理节点发送的第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥。
131.需要说明的是，第一加密文件的第一哈希地址基于ipfs文件管理节点计算得到；第一机密计算密钥基于tee机密计算节点计算得到。
132.s302、根据第一哈希地址计算得到对应的第一哈希地址密钥，并根据第一哈希地
址密钥对第一哈希地址进行加密得到第一加密哈希地址。
133.本发明实施例中，适用于区块链网络对第一哈希地址进行加密操作的场景。
134.在本发明实施例中，区块链网络根据第一哈希地址生成对应的第一哈希地址密钥，并根据第一哈希地址密钥对第一哈希地址进行加密得到第一加密哈希地址。
135.需要说明的是，区块链网络对第一哈希地址进行加密的方法可以是基于对称加密算法，例如aes算法，本发明实施例不作限制。
136.s303、存储第一加密文件的文件标识信息和第一加密哈希地址。
137.本发明实施例中，适用于区块链网络存储第一加密文件的文件标识信息和第一加密哈希地址至区块链上的场景。
138.在本发明实施例中，区块链网络中的智能合约将第一加密文件的文件标识信息和第一加密哈希地址存储于区块链上。
139.可以理解的是，本发明实施例中，区块链上存储的是第一加密哈希地址，即使第一加密哈希地址泄露，攻击者也由于无法获取第一哈希地址密钥进而无法得到第一哈希地址，因此，提高了文件存储的安全性。
140.s304、发送第一加密文件的文件标识信息、第一哈希地址密钥和第一机密计算密钥至具有文件访问权限的文件查看设备。
141.本发明实施例中，适用于区块链网络分发第一加密文件的文件标识信息、第一哈希地址密钥和第一机密计算密钥至具有文件访问权限的文件查看设备的场景。
142.在本发明实施例中，区块链网络分发第一加密文件的文件标识信息、第一哈希地址密钥和第一机密计算密钥至具有文件访问权限的文件查看设备。
143.在本发明的一些实施例中，区块链网络根据上传的文件访问权限信息确定具有文件访问权限的文件查看设备，并发送第一加密文件的文件标识信息、第一哈希地址密钥和第一机密计算密钥至具有文件访问权限的文件查看设备。
144.需要说明的是，区块链网络中的智能合约根据文件上传设备的上传的文件访问权限信息，确定具有文件访问权限的文件查看设备，并将第一加密文件的文件标识信息、第一哈希地址密钥和第一机密计算密钥发送至具有文件访问权限的文件查看设备。也就是说，只有具有第一哈希地址密钥和第一机密计算密钥的文件查看设备，才具备对应文件的访问权限。
145.在本发明的一些实施例中，图7是本发明实施例提供的一种应用于区块链网络的文件处理方法的流程示意图二，如图7所示，在步骤s304之后还包括s305-s308。如下：
146.s305、接收上传的第二文件标识信息、第二文件标识信息对应的第二哈希地址密钥和第二机密计算密钥。
147.本发明实施例中，适用于当文件查看设备需要解密文件时，区块链网络确定第二文件标识信息对应的第二哈希地址的场景。
148.在本发明实施例中，区块链网络接收文件查看设备上传的第二文件标识信息、第二文件标识信息对应的第二哈希地址密钥和第二机密计算密钥。
149.s306、若第二哈希地址密钥有效，则根据第二文件标识信息进行检索得到第二文件标识信息对应的第二加密哈希地址。
150.在本发明实施例中，区块链网络验证第二哈希地址密钥的有效性，若第二哈希地
址密钥有效，则区块链网络根据第二文件标识信息进行检索得到第二文件标识信息对应的第二加密哈希地址。
151.需要说明的是，区块链网络中的智能合约先验证第二哈希地址密钥的有效性，若验证通过，则区块链网络中的智能合约再根据第二文件标识信息进行检索得到第二文件标识信息对应的第二加密哈希地址。若验证失败，则说明该文件查看设备不具有该文件的访问权限，区块链网络不再做进一步检索操作。
152.s307、根据第二哈希地址密钥对第二文件标识信息对应的第二加密哈希地址进行解密得到第二文件标识信息对应的第二哈希地址。
153.在本发明实施例中，区块链网络根据第二哈希地址密钥对第二文件标识信息对应的第二加密哈希地址进行解密得到第二文件标识信息对应的第二哈希地址。
154.需要说明的是，区块链网络采用的解密算法可以是对称加密算法，例如，aes算法，本发明实施例不作限制。
155.可以理解的是，本发明实施例中，区块链上需要根据第二哈希地址密钥对第二加密哈希地址进行解密才能得到第二文件标识信息对应的第二哈希地址，因此，提高了文件存储的安全性。
156.s308、发送第二哈希地址和第二机密计算密钥至ipfs文件管理节点。
157.在本发明实施例中，区块链网络中的智能合约上传第二哈希地址和第二机密计算密钥至ipfs文件管理节点。
158.可以理解的是，本发明实施例中，区块链网络发送第二哈希地址至ipfs文件管理节点用于下一步ipfs文件管理节点根据第二哈希地址检索得到对应的加密文件。
159.本发明实施例提供一种文件处理方法，图8是本发明实施例提供的一种文件处理方法的交互流程示意图一，如图8所示，该方法包括：
160.s401、tee机密计算节点接收上传的上传文件。
161.s402、tee机密计算节点根据第一机密计算密钥对上传文件进行加密得到第一加密文件。
162.s403、tee机密计算节点根据第一加密文件确定第一加密文件的文件标识信息，并将第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥发送至ipfs文件管理节点；其中，第一加密文件的文件标识信息和上传文件对应的文件标识信息一致。
163.s404、ipfs文件管理节点根据第一加密文件计算得到第一加密文件的第一哈希地址，并存储第一加密文件。
164.s405、ipfs文件管理节点发送第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥至区块链网络。
165.s406、区块链网络根据第一哈希地址计算得到对应的第一哈希地址密钥，并根据第一哈希地址密钥对第一哈希地址进行加密得到第一加密哈希地址。
166.s407、区块链网络存储第一加密文件的文件标识信息和第一加密哈希地址。
167.s408、区块链网络发送第一加密文件的文件标识信息、第一哈希地址密钥和第一机密计算密钥至具有文件访问权限的文件查看设备。
168.可以理解的是，本发明实施例中，tee机密计算节点先对文件上传设备上传的文件先进行加密，ipfs文件管理节点对第一加密文件再进行存储，之后区块链网络存储第一加
密文件的文件标识信息和第一加密哈希地址；也就是说，文件的加密环境和保存环境分离。即使区块链中的第一加密哈希地址泄露，攻击者也需要拿到第一哈希地址密钥才能获取到第一哈希地址；即使攻击者获取到了第一哈希地址，攻击者根据第一哈希地址得到的是根据第一机密计算密钥加密得到的第一加密文件，攻击者无法对第一加密文件进行解密以查看文件内容；即使密钥都泄露，也可以设定tee机密计算服务失效，或关闭tee机密计算服务，从而保护文件内容，提高了文件存储的安全性。
169.本发明实施例提供一种文件处理方法，图9是本发明实施例提供的一种文件处理方法的交互流程示意图二，如图9所示，该方法包括：
170.s501、区块链网络接收上传的第二文件标识信息、第二文件标识信息对应的第二哈希地址密钥和第二机密计算密钥。
171.s502、若第二哈希地址密钥有效，则根据第二文件标识信息进行检索得到第二文件标识信息对应的第二加密哈希地址。
172.s503、区块链网络根据第二哈希地址密钥对第二文件标识信息对应的第二加密哈希地址进行解密得到第二文件标识信息对应的第二哈希地址。
173.s504、区块链网络发送第二哈希地址和第二机密计算密钥至ipfs文件管理节点。
174.s505、ipfs文件管理节点根据第二哈希地址检索得到第二哈希地址对应的第二加密文件。
175.s506、ipfs文件管理节点发送第二加密文件和第二机密计算密钥至tee机密计算节点。
176.s507、tee机密计算节点根据第二机密计算密钥对第二加密文件进行解密得到解密后的文件，并通过tee服务端对解密后的文件进行展现。
177.可以理解的是，本发明实施例中，区块链网络先检索得到第二加密哈希地址，并根据第二哈希地址密钥对第二加密哈希地址进行解密得到第二哈希地址，ipfs文件管理节点根据第二哈希地址检索得到对应的第二加密文件，tee机密计算节点再根据第二机密计算密钥对第二加密文件进行解密得到解密后的文件；也就是说，第二加密文件的解密的环境与第二加密文件保存环境分离。即使区块链中的第二加密哈希地址泄露，攻击者也需要拿到第二哈希地址密钥才能获取到第二哈希地址；即使攻击者获取到了第二哈希地址，攻击者根据第二哈希地址得到的是根据第二机密计算密钥加密的第二加密文件，攻击者无法对第二加密文件进行解密以查看文件内容。即使密钥都泄露，也可以设定tee机密计算服务失效，或关闭tee机密计算服务，从而保护文件内容，提高了文件存储的安全性。
178.本发明实施例提供了一种文件处理装置，对应于一种应用于ipfs文件管理节点的文件处理方法；图10是本发明实施例提供的一种文件处理装置的结构示意图一，该视频处理装置1包括第一接收单元10、第一计算单元11、第一存储单元12和第一发送单元13；其中，
179.所述第一接收单元10，用于接收tee机密计算节点发送的第一加密文件、第一加密文件的文件标识信息和第一机密计算密钥；其中，所述第一加密文件根据tee机密计算节点对上传文件进行加密得到；；
180.所述第一计算单元11，用于根据所述第一加密文件计算得到所述第一加密文件的第一哈希地址；
181.所述第一存储单元12，用于存储所述第一加密文件；
182.所述第一发送单元13，用于发送所述第一加密文件的第一哈希地址、所述第一加密文件的文件标识信息和所述第一机密计算密钥至区块链网络。
183.在本发明的一些实施例中，所述装置还包括第一检索单元14；其中，所述第一接收单元10，还用于接收所述区块链网络发送的第二哈希地址和第二机密计算密钥；
184.所述第一检索单元14，用于根据所述第二哈希地址检索得到所述第二哈希地址对应的第二加密文件；
185.所述第一发送单元13，还用于发送所述第二加密文件和所述第二机密计算密钥至所述tee机密计算节点。
186.在本发明的一些实施例中，所述装置还包括对比单元15；其中，所述第一计算单元11，还用于根据所述第二加密文件计算得到所述第二加密文件的哈希地址；
187.所述对比单元，用于对比所述第二加密文件的哈希地址和所述区块链网络发送的第二哈希地址是否一致，若一致，则表征所述第二加密文件没有被篡改。
188.本发明实施例提供了一种文件处理装置，对应于一种应用于tee机密计算节点的文件处理方法；图11是本发明实施例提供的一种文件处理装置的结构示意图二，该文件处理装置2包括第二接收单元20、第一加密单元21、第一确定单元22和第二发送单元23；其中，
189.所述第二接收单元20，用于接收上传的上传文件；
190.所述第一加密单元21，用于根据第一机密计算密钥对所述上传文件进行加密得到第一加密文件；
191.所述第一确定单元22，用于根据所述第一加密文件确定所述第一加密文件的文件标识信息；
192.所述第二发送单元23，用于将所述第一加密文件、所述第一加密文件的文件标识信息和所述第一机密计算密钥发送至ipfs文件管理节点；其中，所述第一加密文件的文件标识信息和所述上传文件对应的文件标识信息一致。
193.在本发明的一些实施例中，所述装置还包括第一解密单元24和展现单元25，其中，所述第二接收单元20，还用于接收所述ipfs文件管理节点发送的第二加密文件和第二机密计算密钥；
194.所述第一解密单元24，用于根据所述第二机密计算密钥对所述第二加密文件进行解密得到解密后的文件；
195.所述展现单元25，用于对解密后的文件进行展现。
196.在本发明的一些实施例中，所述装置还包括第一判断单元26，所述第一判断单元26，用于判断当前时间是否在上传的有效访问时间内。
197.本发明实施例提供了一种文件处理装置，对应于一种应用于区块链网络的文件处理方法；图12是本发明实施例提供的一种文件处理装置的结构示意图三，该文件处理装置3包括第三接收单元30、第二计算单元31、第二加密单元32、第二存储单元33和第三发送单元34；其中，
198.所述第三接收单元30，用于接收ipfs文件管理节点发送的第一加密文件的第一哈希地址、第一加密文件的文件标识信息和第一机密计算密钥；
199.所述第二计算单元31，用于根据所述第一哈希地址计算得到对应的第一哈希地址密钥；
200.所述第二加密单元32，用于根据所述第一哈希地址密钥对所述第一哈希地址进行加密得到第一加密哈希地址；
201.所述第二存储单元33，用于存储所述第一加密文件的文件标识信息和所述第一加密哈希地址；
202.所述第三发送单元34，用于发送所述第一加密文件的文件标识信息、所述第一哈希地址密钥和所述第一机密计算密钥至具有文件访问权限的文件查看设备。
203.在本发明的一些实施例中，所述装置还包括第二判断单元35、第二检索单元36和第二解密单元37；其中，所述第三接收单元30，还用于接收上传的第二文件标识信息、第二文件标识信息对应的第二哈希地址密钥和第二机密计算密钥；
204.所述第二判断单元35，用于判断所述第二哈希地址密钥是否有效；
205.所述第二检索单元36，用于根据所述第二文件标识信息进行检索得到所述第二文件标识信息对应的第二加密哈希地址；
206.所述第二解密单元37，用于根据所述第二哈希地址密钥对所述第二文件标识信息对应的第二加密哈希地址进行解密得到所述第二文件标识信息对应的第二哈希地址；
207.第三发送单元34，还用于发送所述第二哈希地址和所述第二机密计算密钥至所述ipfs文件管理节点。
208.在本发明的一些实施例中，所述装置还包括第二确定单元38；所述第二确定单元38，用于根据上传的文件访问权限信息确定具有文件访问权限的文件查看设备。
209.本发明实施例提供了一种ipfs文件管理节点，对应于一种应用于ipfs文件管理节点的文件处理方法；图13是本发明实施例提供的一种ipfs文件管理节点的结构示意图，如图13所示，ipfs文件管理节点13包括：第一处理器131、第一存储器132以及第一通信总线134，第一存储器132通过第一通信总线134与第一处理器131进行通信，第一存储器132存储所述第一处理器131可执行的一个或者多个程序，当所述一个或者多个程序被执行时，所述第一处理器131执行如本发明实施例的文件处理方法，具体的，ipfs文件管理节点13还包括用于进行数据传输的第一通信组件133，其中，第一处理器131至少设有一个。
210.本发明实施例中，ipfs文件管理节点13中的各个组件通过总线134耦合在一起。可理解，通过总线134用于实现这些组件之间的连接通信。通过总线134除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图13中将各种总线都标为通过总线134。
211.本发明实施例提供了一种tee机密计算节点，对应于一种应用于tee机密计算节点的文件处理方法；图14是本发明实施例提供的一种tee机密计算节点的结构示意图，如图14所示，tee机密计算节点14包括：第二处理器141、第二存储器142以及第二通信总线144，第二存储器142通过第二通信总线144与第二处理器141进行通信，第二存储器142存储所述第二处理器141可执行的一个或者多个程序，当所述一个或者多个程序被执行时，所述第二处理器141执行如本发明实施例的文件处理方法，具体的，tee机密计算节点14还包括用于进行数据传输的第二通信组件143，其中，第二处理器141至少设有一个。
212.本发明实施例中，tee机密计算节点14中的各个组件通过总线144耦合在一起。可理解，通过总线144用于实现这些组件之间的连接通信。通过总线144除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图14中将各种总线
都标为通过总线144。
213.本发明实施例提供了一种区块链网络，对应于一种应用于区块链网络的文件处理方法；图15是本发明实施例提供的一种区块链网络的结构示意图，如图15所示，区块链网络15包括：第三处理器151、第三存储器152以及第三通信总线154，第三存储器152通过第三通信总线154与第三处理器151进行通信，第三存储器152存储所述第三处理器151可执行的一个或者多个程序，当所述一个或者多个程序被执行时，所述第三处理器151执行如本发明实施例的文件处理方法，具体的，区块链网络15还包括用于进行数据传输的第三通信组件153，其中，第三处理器151至少设有一个。
214.本发明实施例中，区块链网络15中的各个组件通过总线154耦合在一起。可理解，通过总线154用于实现这些组件之间的连接通信。通过总线154除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图15中将各种总线都标为通过总线154。
215.本发明实施例提供了一种存储介质，所述存储介质存储有可执行指令，当所述可执行指令被执行时，用于引起第一处理器执行如本发明实施例所述的文件处理方法。
216.本发明实施例提供了一种存储介质，所述存储介质存储有可执行指令，当所述可执行指令被执行时，用于引起第二处理器执行如本发明实施例所述的文件处理方法。
217.本发明实施例提供了一种存储介质，所述存储介质存储有可执行指令，当所述可执行指令被执行时，用于引起第三处理器执行如本发明实施例所述的文件处理方法。
218.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
219.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
220.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
221.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
222.以上所述，为本发明的较佳实施例而已，并非用于限定本发明的保护范围。