数据处理方法、装置、服务器及可读存储介质与流程

1.本技术涉及通信技术领域，特别是涉及一种数据处理方法、装置、服务器及可读存储介质。


背景技术：

2.随着物联网及智能设备、5g等技术的逐步成熟，满足了异构实体之间边缘数据的收集、流通、处理和共享等需求，同时，需要提供一种数据管理方法以保证边缘数据的隐私和安全。
3.传统技术中，将大量边缘数据上传到云端进行存储并实现数据同步。但是，采用传统的方式会导致边缘数据的安全性较差。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种数据处理方法、装置、服务器及可读存储介质。
5.一种数据处理方法，所述方法包括：
6.构建基于边缘计算的分布式数据存储系统；
7.通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略；
8.构建边缘关键数据存储联盟链系统；
9.将边缘关键数据、边缘数据请求和所述访问控制策略存储至所述边缘关键数据存储联盟链系统。
10.在其中一个实施例中，所述通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略，包括：
11.构建多授权中心的属性基加密数据访问控制策略以及基于区块链的属性基加密域间认证策略。
12.在其中一个实施例中，所述构建多授权中心的属性基加密数据访问控制策略，包括：
13.通过边缘服务器的属性信息，确定所述区块链节点的私钥；
14.构建所述边缘数据的访问结构树；
15.通过所述访问结构树对所述边缘数据进行加密，得到加密密文；
16.通过所述访问结构树、所述私钥和所述加密密文执行确认密钥算法，得到所述加密密文的确认密钥；
17.通过所述确认密钥，对加密密文进行解密，得到所述边缘数据。
18.在其中一个实施例中，所述通过边缘服务器的属性信息，确定所述区块链节点的私钥，包括：
19.对所述边缘服务器的属性信息进行初始化，得到区块链节点的主密钥和公钥；
20.获取区块链节点注册请求，并通过所述区块链节点的主密钥和公钥，验证所述区
块链节点的合法状态；
21.若所述区块链节点为合法状态，则通过所述边缘服务器的属性信息、所述区块链节点的主密钥和公钥，确定所述区块链节点的私钥。
22.在其中一个实施例中，所述边缘数据请求包括域间边缘数据请求；所述将边缘关键数据、边缘数据请求和所述访问控制策略存储至所述边缘关键数据存储联盟链系统，包括：
23.将边缘关键数据存储至所述边缘关键数据存储联盟链系统中的域内边缘关键数据存储链；
24.将域间边缘数据请求和所述访问控制策略存储至所述边缘关键数据存储联盟链系统中的域间数据访问存储链。
25.在其中一个实施例中，所述构建基于边缘计算的分布式数据存储系统，包括：
26.通过边缘服务器组建分布式网络；
27.通过分布式网络构建所述分布式数据存储系统。
28.在其中一个实施例中，所述方法还包括：
29.通过所述访问结构树对所述边缘数据进行加密，得到加密密文；
30.通过所述访问结构树和所述加密密文执行确认密钥算法，得到所述加密密文的确认密钥；
31.通过所述确认密钥，对加密密文进行解密，得到所述边缘数据。
32.在其中一个实施例中，所述方法还包括：
33.将所述分布式网络的节点状态消息，存储至所述分布式数据存储系统。
34.一种数据处理装置，所述装置包括：
35.存储系统构建模块，用于构建基于边缘计算的分布式数据存储系统；
36.控制策略构建模块，用于通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略；
37.联盟链系统构建模块，用于构建边缘关键数据存储联盟链系统；
38.存储模块，用于将边缘关键数据、边缘数据请求和所述访问控制策略存储至所述边缘关键数据存储联盟链系统。
39.一种服务器，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
40.构建基于边缘计算的分布式数据存储系统；
41.通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略；
42.构建边缘关键数据存储联盟链系统；
43.将边缘关键数据、边缘数据请求和所述访问控制策略存储至所述边缘关键数据存储联盟链系统。
44.一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
45.构建基于边缘计算的分布式数据存储系统；
46.通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略；
47.构建边缘关键数据存储联盟链系统；
48.将边缘关键数据、边缘数据请求和所述访问控制策略存储至所述边缘关键数据存储联盟链系统。
49.上述数据处理方法、装置、服务器和存储介质，服务器可以构建基于边缘计算的分布式数据存储系统，通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略，构建边缘关键数据存储联盟链系统，将边缘关键数据、边缘数据请求和所述访问控制策略存储至所述边缘关键数据存储联盟链系统；上述方法通过构建分布式数据存储系统存储边缘数据，可以实现边缘数据的冗余备份以及高效同步，并且解决中心化存储面临的单点失效以及分布式拒绝服务等问题，通过构建访问控制策略可以实现边缘数据受控流转，减少边缘数据泄漏风险，满足边缘数据细粒度访问需求，另外，将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统，可以实现共享边缘数据的一致性验证及扩散轨迹溯源，保证边缘数据的可信共享；通过上述方法可以提高边缘数据存储和访问的安全性。
附图说明
50.图1为一个实施例中服务器的内部结构图；
51.图2为一个实施例中数据处理方法的流程示意图；
52.图3为一个实施例中构建多授权中心的属性基加密数据访问控制策略的方法流程示意图；
53.图4为另一个实施例中确定区块链节点的私钥的方法流程示意图；
54.图5为另一个实施例中将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统的方法流程示意图；
55.图6为另一个实施例中构建基于边缘计算的分布式数据存储系统的方法流程示意图；
56.图7为一个实施例中数据处理装置的结构框图。
具体实施方式
57.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
58.本技术提供的数据处理方法，可以适用于图1所示的服务器。如图1所示，该服务器包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，该服务器的处理器用于提供计算和控制能力。该服务器的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该服务器的数据库用于存储管线和管线的属性信息。该服务器的网络接口用于与外部的终点通过网络连接通信。该计算机程序被处理器执行时以实现一种数据处理方法。
59.本领域技术人员可以理解，图1中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的服务器的限定，具体的服务器可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
60.在一个实施例中，如图2所示，提供了一种数据处理方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：
61.s100、构建基于边缘计算的分布式数据存储系统。
62.具体的，通常边缘网络中存在一些网络边缘设备，网络边缘设备会涉及边缘计算，从而使得网络边缘设备获取到边缘计算的边缘数据。上述网络边缘设备可以为边缘路由器、路由交换机、防火墙、多路复用器和/或其他广域网设备等等。在网络边缘设备获取到边缘数据后，可以对边缘数据进行加密和签名，然后将加密和签名后数据同时存储至至少两个边缘服务器中。
63.需要说明的是，服务器可以基于一个或者多个边缘服务器中的存储器构建基于边缘计算的分布式数据存储系统。分布式数据存储系统可以理解为分布式数据存储结构。在本实施例中，上述服务器和边缘服务器属于不同的服务器。
64.s200、通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略。
65.具体的，上述访问控制策略可以理解为针对访问分布式数据存储系统中存储的各边缘数据的访问者制定的基于区块链的访问控制方式。同时，上述访问控制策略也可以为支持跨域访问的边缘数据的加解密方法。
66.需要说明的是，上述区块链可以为多方共享的分布式账本。该区块链可以通过数学方法实现交易数据和历史记录的不可篡改性，通过共识算法和智能合约实现各参与方对交易的共同确认和账本记录。区块链可以分为公有链、联盟链、私有链三种基本类型。上述交易可以理解为区块链接收的数据。上述共识算法可以一种分布式系统数据一致性保证的算法，通过一定的协议交互来确保分布式系统的多个参与方达成数据的一致性，常见的算法包括pbft、raft、pow、pos等。
67.s300、构建边缘关键数据存储联盟链系统。
68.具体的，上述边缘关键数据可以为对边缘数据进行关键数据提取，得到边缘关键数据。上述边缘关键数据存储联盟链系统可以由设备层多种网络边缘设备、物联网网关、边缘服务器、区块链系统及分布式应用构成，可以称为边缘关键数据存储联盟链结构。
69.s400、将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统。
70.具体的，上述边缘数据请求可以理解为边缘数据访问请求。在本实施例，服务器可以按照预设存储顺序和存储方式，将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统中。上述存储顺序可以边缘关键数据、边缘数据请求和访问控制策略之间的优先存储顺序，或者同步存储顺序等等，上述存储方式可以为将边缘关键数据、边缘数据请求和访问控制策略按照表格的形式存储或者将边缘关键数据、边缘数据请求和访问控制策略按照文档的形式存储等等。
71.上述数据处理方法可以构建基于边缘计算的分布式数据存储系统，通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略，构建边缘关键数据存储联盟链系统，将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统；该方法通过构建分布式数据存储系统存储边缘数据，可以实现边缘数据的冗余备份以及高效同步，并且解决中心化存储面临的单点失效以及分布式拒绝服务等问题，通过构建访问控制策略可以实现边缘数据受控流转，减少边缘数据泄漏风险，满足边缘数据细粒度访问
需求，另外，将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统，可以实现共享边缘数据的一致性验证及扩散轨迹溯源，保证边缘数据的可信共享；通过上述方法可以提高边缘数据存储和访问的安全性。
72.在其中一个实施例中，上述s200中通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略的步骤，可以包括：构建多授权中心的属性基加密数据访问控制策略以及基于区块链的属性基加密域间认证策略。
73.具体的，上述授权中心可以为多个边缘服务器的管理中心。分布式网络中存在的多个边缘服务器可以通过多个授权中心进行安全管理、数据管理等等。
74.需要说明的是，将根证书颁发机构rca作为授权机构，并将各域信任锚根域证书颁发机构dca作为认证服务器节点组成认证证书区块链网络，为实现跨域认证，多个域的信任锚根dca节点经过许可后加入联盟链，作为联盟链的验证节点，执行数据的读写、查询等操作。
75.以a域与b域作为跨域认证为例，构建面向属性基加密的域间认证策略，该策略可以由用户、域证书颁发机构dca服务器、根证书颁发机构rca服务器组成；根证书颁发机构rca服务器、域证书颁发机构dca服务器均可以作为区块链节点，分别执行生成证书并记入区块链和查询区块链验证证书的任务。其中，上述基于区块链的属性基加密域间认证策略构建流程如下：
76.(1)ua→
dcab：a域用户ua请求访问b域认证服务器dcab；
77.(2)dcab→
ua：{n1}：b域认证服务器dcab收到a域用户ua的请求后，响应请求并向a域用户ua发送随机数n1；
78.(3)
79.i)a域用户ua收到b域认证服务器dcab的响应，使用用户ua的认证私钥sk
ua
对随机数n1签名生成
80.ii)a域用户ua响应b域认证服务器dcab的请求，把a域用户证书签名随机数n1作为消息发送给b域认证服务器dcab；
81.(4)dcab→
dcaa：{n2}：
82.i)b域认证服务器dcab收到消息，检查随机数n1是否有效；
83.ii)通过和n1验证是否正确，解析证书，查看证书有效期，通过证书或证书链确定a域信任锚dcaa；
84.iii)b域认证服务器dcab向a域认证服务器dcaa发送请求申请得到a域信任锚dcaa的区块链证书并发送随机数n2；
85.(5)a域证书认证服务器dcaa收到请求及随机数n2，将a域信任锚dcaa的区块链证书随机数n2作为消息发给b域认证服务器dcab；
86.(6)
87.i)b域认证服务器dcab收到消息后，检查随机数n2是否有效；
88.ii)解析查看有效期，b域认证服务器dcab使用查询区块
链，得到在区块链上查询的结果：(a)若无查询结果，则表明a域认证服务器提供了不正确的信任锚dcaa区块链证书，认证失败；(b)若查询结果为issue和revoke，则表明a域信任锚dcaa的区块链证书已为撤销状态，认证失败；(c)若查询结果仅有issue，则表明a域信任锚dcaa的区块链证书为已发布状态，认证成功；
89.iv)认证成功后，b域认证服务器dcab生成跨域区块链证书并记入区块链，同时反馈给a域服务器ua，从而实现b域服务对a域服务器的认证。
90.同时，可以采用上述(1)至(6)实现a域服务器对b域服务器的反向认证。基于上述认证方式可以实现a域、b域服务器的双向认证，以验证证书的有效性。
91.另外，a域服务器与b域服务器之间可以实现重复认证，在重复认证过程中，a域服务器ua可以直接把跨域区块链证书发给b域认证服务器dcab，由b域认证服务器dcab并查询认证证书联盟链，验证证书有效性即可。
92.上述数据处理方法可以构建多授权中心的属性基加密数据访问控制策略以及基于区块链的属性基加密域间认证策略，从而能够实现边缘数据受控流转，减少边缘数据泄漏风险，满足边缘数据细粒度访问需求。
93.作为其中一个实施例，如图3所示，上述构建多授权中心的属性基加密数据访问控制策略的步骤，具体可以包括：
94.s210、通过边缘服务器的属性信息，确定区块链节点的私钥。
95.具体的，边缘服务器的属性信息可以为边缘服务器的运行状态、ip地址、id编码、配置信息等等。服务器可以对缘服务器的属性信息进行运算处理，得到区块链节点的私钥。该运算可以包括对数运算、指数运算、加法运算、减法运算、乘法运算和/或除法运算等等。
96.其中，如图4所示，上述s210中通过边缘服务器的属性信息，确定区块链节点的私钥的步骤，具体可以包括：
97.s211、对边缘服务器的属性信息进行初始化，得到区块链节点的主密钥和公钥。
98.具体的，令边缘服务器的安全参数为1
λ
，分布式网络中所有边缘服务器的属性信息构建的全局属性集为u，由分布式网络中可信的根证书颁发机构(rca，rootcertificateauthority)授权密钥分发中心生成公钥pk和系统主密钥mk，具体计算过程如下：
99.将安全参数1
λ
作为输入，首先运行函数生成参数(p，g1，g2，e)，其中g1的阶为p，生成元为g的双线性群，并满足双线性映射e：g1×
g1→
g2，同时，堆积选取α，β∈z
p
，p为生成元的群，用于标识rca或dca，z
p
生成的主密钥mk可以为(β，g
α
)，生成的公钥上述rca颁发的证书可以为最终用户数据加密的公共密钥。
100.s212、获取区块链节点注册请求，并通过区块链节点的主密钥和公钥，验证区块链节点的合法状态。
101.需要说明的是，为了验证区块链节点的合法状态，服务器可以先验证受访者的合法性。具体为，当rca收到域证书颁发机构(dca，domaincertificateauthority)发送的区块链节点注册请求时，rca可以为dca随机选择一个唯一的aid(aid∈z
p
)，并为dca生成一个随机数k
aid
(k
aid
∈z
p
)作为私钥，计算公钥同时，rca可以为dca生成一个包含
公钥pk
aid
的证书cert
aid
，并通过sk
rca
进行签名以证明dca用户的合法性，对(aid，pk
aid
，cert
aid
)进行上链处理，并利用秘密通道将kaid发送给dca；上述区块链节点注册请求可以为dca注册请求，也可以理解为区块链节点用户注册请求。
102.进一步，验证组织的合法性，当rca接收到dca发送的区块链节点注册请求时，rca可以为dca随机选择唯一用于标识该dca用户的uid∈z
p
及全局属性集u
uid
，同时rca可以为dca生成一个证书cert
uid
，并使用sk
rca
进行签名以证明dca用户的合法性，将(uid，u
uid
，cert
uid
)发送给dca，dca再将(uid，u
uid
，cert
uid
)秘密发送给dca用户，dca用户并对(uid，u
uid
，cert
uid
)进行上链处理。上述dca颁发的证书可以为最终用户数据加密的公共密钥。
103.s213、若区块链节点为合法状态，则通过边缘服务器的属性信息、区块链节点的主密钥和公钥，确定区块链节点的私钥。
104.具体的，在验证区块链节点为合法状态时，服务器可以通过边缘服务器的属性信息、区块链节点的主密钥和公钥，确定区块链节点的私钥。
105.需要说明的是，dca可以为区块链节点用户生成私钥sk
uid
，并且dca将公钥pk和系统主密钥mk、区块链节点的全局属性集u
uid
作为输入，执行密钥生成算法生成区块链节点的私钥sk
uid
，私钥的具体计算过程可以通过公式(1)表示；其中，随机选择r∈z
p
，同时为全局属性集中的各属性选择一个随机数rj∈z
p
，j∈u
uid
，h为u
uid
→
g1的函数映射；
[0106][0107]
s220、构建边缘数据的访问结构树。
[0108]
具体的，服务器可以针对访问分布式数据存储系统中存储的各边缘数据的访问者构建一个访问结构树。其中，一个访问结构树中可以包括多个树节点，服务器可以对访问结构树中的每个树节点随机定义一个多项式q
x
；该多项式的阶d
x
可以为对应树节点的门限值h
x
减1，从访问结构树的根树结点r开始，按照广度优先搜索遍历并选择，遍历过程中随机选取s∈z
p
，并令qr(0)＝s，随机定义dr阶的随机多项式qr，对于其它非根树节点x，令q
x
(0)＝q
parent(x)
(index(x))，随机定义d
x
阶的随机多项式q
x
，直到访问结构树中的所有树节点全部定义完成。在本实施例中，上述s210与s220的执行顺序可以相互交互。
[0109]
s230、通过访问结构树对边缘数据进行加密，得到加密密文。
[0110]
具体的，服务器可以通过访问结构树，对边缘数据进行算术运算以实现加密，得到加密密文。上述算术运算可以为加法运算、减法运算、乘法运算、除法运算、指数运算、对数运算等等，还可以为这些运算的组合运算。但在本实施例中，上述加密过程可以通过公式(2)实现，具体为：
[0111][0112]
其中，m表示边缘数据，ct表示加密密文。
[0113]
s240、通过访问结构树、私钥和加密密文执行确认密钥算法，得到加密密文的确认密钥。
[0114]
具体的，服务器可以在边缘数据的访问结构树中查找是否存在边缘数据的访问者的访问属性信息，若确定存在时，可以获取区块链节点的私钥，根据区块链节点的私钥和加密密文ct执行确认密钥算法，得到加密密文的确认密钥ck。上述确认密钥算法可以执行算术运算，该算术运算可以为加法运算、减法运算、乘法运算、除法运算、指数运算、对数运算
等等，还可以为这些运算的组合运算。但在本实施例中，执行确认密钥算法的具体过程可以通过公式(3)表示为：
[0115][0116]
在本实施例中，上述s210可以只要在上述s240之前执行即可。
[0117]
s250、通过确认密钥，对加密密文进行解密，得到边缘数据。
[0118]
具体的，在访问者访问边缘数据时，服务器可以获取加密密文，然后通过确认密钥对加密密文进行解密，得到边缘数据。上述解密过程可以通过算术运算实现，该算术运算可以为加法运算、减法运算、乘法运算、除法运算、指数运算、对数运算等等，还可以为这些运算的组合运算。但在本实施例中，解密过程可以通过公式(4)表示为：
[0119][0120]
上述数据处理方法可以通过边缘服务器的属性信息，确定区块链节点的私钥，构建边缘数据的访问结构树，通过访问结构树对边缘数据进行加密，得到加密密文，通过访问结构树、私钥和加密密文执行确认密钥算法，得到加密密文的确认密钥，通过确认密钥，对加密密文进行解密，得到边缘数据；该方法可以对边缘数据进行加密，在用户访问边缘数据时可以安全解密加密密文，以保证边缘数据的隐私和安全访问。
[0121]
作为其中一个实施例，边缘数据请求包括域间边缘数据请求；如图5所示，上述s300中将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统的步骤，可以包括：
[0122]
s310、将边缘关键数据存储至边缘关键数据存储联盟链系统中的域内边缘关键数据存储链。
[0123]
具体的，边缘关键数据存储联盟链系统可以包括两个子系统，分别为域内边缘关键数据存储链和域间数据访问存储链。其中，边缘关键数据存储联盟链系统可以由两个相互隔离又通过区块链节点相互关联的双链系统组成。上述域内边缘关键数据存储链可以用于加密存储域内边缘数据的地址及摘要等信息。上述域内边缘关键数据存储链可以理解为域内边缘关键数据分布式账本。
[0124]
在本实施例中，边缘数据可以通过设备层中各网络边缘设备生成，网络边缘设备可以通过互联网网关传输至边缘服务器，边缘服务器将边缘数据通过去中心化应用传输和描述到域内边缘关键数据存储链，边缘关键数据存储联盟链系统可以调用智能合约，智能合约通过关键数据标准化后执行上链操作，通过存储链节点联合运行共识算法，通过审计检验将边缘数据存储至域内边缘关键数据存储链形成数据账本结构，实现去中心化应用的边缘数据安全可靠存储。上述智能合约可以区块链技术的特性之一，用计算机语言描述合同条款、交易的条件、交易的业务逻辑等，通过调用智能合约实现交易的自动执行和对账本数据的操作。
[0125]
另外，在本实施例中，可以利用智能合约的方式设置查询条件参数，能够实现自动执行边缘数据在区块链节点之间共享以及在授权的区块链节点进行安全访问。
[0126]
其中，将边缘数据中的边缘关键数据存储至域内边缘关键数据存储链的过程中，
可以对待存储的边缘数据的准确性进行判断，并对待存储的边缘数据进行标准化，以确保边缘数据可信共享。由于区块链为一种不可篡改的数据账本存储结构，因此，在将边缘数据上链之前必须要执行标准化处理，以降低不规范边缘数据上链存储所引发的边缘数据修改成本。标准化处理的过程可以描述为，利用智能合约完成针对边缘数据文件存储在分布式边缘数据存储中获取的完整性正确性保证哈希值、针对边缘数据计算得到的聚合数据关键数据描述、以及针对边缘数据的描述信息定义成标准化的开发语言(如json、java、js等等)格式文件，实现重要敏感边缘数据的关键数据标准化。其中，可以通过针对边缘数据链上聚合关键数据处理和链下数据描述协同工作，保证边缘数据上链前标准化和格式化工作，以防止低质量边缘数据上链，通过数据聚合处理提高边缘重要敏感数据颗粒度手段，在保护用户隐私数据的前提下保证了边缘隐私数据可用性。
[0127]
可以理解的是，采集设备可以采集网络边缘设备获取到的数据，并且将这些数据经过采集设备主站服务器解析成边缘数据，然后通过去中心化应用添加边缘数据描述后发送边缘数据上链请求，去中心化应用将提交的参数和请求存储的功能函数传输到软件开发工具包，软件开发工具包可以调用封装好的invoke接口中的上链存证方法，该接口主要是先构架一个边缘数据存储的上链提案，根据预先设定好的背书策略，利用软件开发工具包中的上链提案发送至各背书节点进行背书，各背书节点可以根据请求执行智能合约中invoke接口中的标准化边缘关键数据函数，智能合约执行完毕后，各背书节点会生成读写集。软件开发工具包获取到各读写集后，先对各读写集进行验证，验证成功后再判断读写集中的内容是否一致；如果内容不一致，则背书失败，交易无法继续进行，如果内容一致，则继续进行上链存证。软件开发工具包可以将上链存证请求通过调用智能合约方法发送至排序节点，排序节点可以对交易进行排序打包，生成区块，然后广播至分布式网络中的各网络节点。提交节点可以利用智能合约验证交易的正确性，验证完成后发送event至软件开发工具包，软件开发工具包可以将event返回去中心化应用进行处理，给用户端返回边缘关键数据上链存储结果，用户可以得到边缘关键数据上链存储的执行结果。
[0128]
s320、将域间边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统中的域间数据访问存储链。
[0129]
具体的，上述域间数据访问存储链可以用于存储域间边缘数据请求及访问控制策略等信息。每个请求域间边缘数据访问的边缘节点涉及双方在提出跨域的边缘数据访问请求前，可以通过域间认证协议及验证认证证书联盟链，实现域间认证彼此身份，以了解请求数据方或组织的全部属性集及证书结构；跨域的边缘数据请求可以通过设备层的网络边缘设备或私有链服务器节点产生，通过互联网网关传输至边缘跨域服务器节点，经过双方身份认证后，边缘服务器将边缘数据链上关键数据利用属性加密，通过去中心化应用存储至域间数据访问存储链，域间数据访问存储链可以调用智能合约执行上链操作，通过域间数据访问存储链节点联合运行共识算法，通过审计检验将跨域的访问控制策略存储至域间数据访问存储链形成策略账本结构，实现去中心化应用的跨域访问控制策略安全可靠存储及数据可溯源。
[0130]
需要说明的是，上述域间数据访问存储链可以理解为域间边缘数据访问分布式账本。
[0131]
上述数据处理方法可以将边缘关键数据存储至边缘关键数据存储联盟链系统中
的域内边缘关键数据存储链，并将域间边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统中的域间数据访问存储链，从而可以共享边缘数据的一致性验证及扩散轨迹溯源，保证边缘数据的可信共享。
[0132]
作为其中一个实施例，如图6所示，上述s100中构建基于边缘计算的分布式数据存储系统的步骤，具体可以包括：
[0133]
s110、通过边缘服务器组建分布式网络。
[0134]
具体的，服务器可以通过存储加密和签名后数据的至少两个边缘服务器组建分布式网络。每个边缘服务器可以称为一个分布式网络的节点。其中，分布式网络中可以包括多个组织，每个组织可以包括多个节点。
[0135]
s120、通过分布式网络构建分布式数据存储系统。
[0136]
可以理解的是，服务器可以通过组建的分布式网络中各边缘服务器的存储器，构建基于分布式存储及路由算法(即kademlia算法)分布式数据存储系统。服务器可以对分布式网络中各边缘服务器分配随机生成的多字节节点身份信息。在本实施例中，上述节点身份信息可以为160字节，其中前32字节为分布式网络中节点所属组织的组织编码，后128字节为所有组织内随机生成的唯一标识编码。上述分布式数据存储系统中的各边缘服务器仅可以通过构建的数据存储规则存储一部分边缘数据，并非待存储的所有边缘数据，且同一组织内的节点优先存储备份，以实现组织内部边缘数据的冗余备份及高效同步。
[0137]
上述数据处理方法可以构建构建基于边缘计算的分布式数据存储系统，以将边缘数据存放在本地可控保险域，组建域间节点形成分布式存储结构，实现数据的冗余备份及高效同步，解决中心化存储面临的单点失效及分布式拒绝服务等问题。
[0138]
作为其中一个实施例，上述数据处理方法还可以包括：将分布式网络的节点状态消息，存储至分布式数据存储系统。
[0139]
具体的，在执行上述s100之后，服务器可以获取分布式网络的节点状态消息，并将分布式网络的节点状态消息存储至分布式数据存储系统。
[0140]
需要说明的是，分布式网络的节点状态消息可以理解为分布式网络中边缘服务器的状态信息。边缘服务器的状态信息可以通过k-桶机制存储在各边缘服务器中。上述kademlia算法可以通过异或操作来计算节点之间的距离。基于边缘计算的分布式数据存储系统中，各边缘服务器均可以有160层的k-桶机制表。对于各边缘服务器的k-桶i，各边缘服务器最多存储与其距离为[2i-1，2i)的k个节点的状态信息，该状态信息可以包括节点的id、互联网协议ip地址和访问端口；k是系统级常数，可以根据分布式数据存储系统动态设置，如比特流中使用的kademlia算法将k设置为8。在本实施例中，通过k-桶机制可以使得n台边缘服务器最多需要lgn次查询就能找到目标边缘数据。一个组织可以称为一个域，域内可以包括多个节点。
[0141]
示例性的，以一次边缘数据上链存储及跨域的边缘数据共享为例，具体实现步骤如下：
[0142]
(1)持有边缘数据的服务器可以先利用高级加密标准对称加密算法对边缘数据进行加密得到加密密文，并将加密密文的哈希值作为键值，将加密密文和签名的副本以键值对的形式存储在k个与网络节点id值和键值相近的分布式数据存储系统中。最后，持有边缘数据的分布式数据存储系统将边缘数据访问类型、时间戳、利用属性加密的对称密钥及边
缘数据的哈希值、账户信息及备注信息经过上链操作部署到域内边缘关键数据存储链上实现可信共享；
[0143]
(2)边缘数据请求的边缘服务器可以利用自身的属性密钥对满足访问结构树的链上边缘数据进行解密，得到边缘数据的哈希及解密密钥；边缘数据请求的边缘服务器基于分布式搜索算法搜索键值对，找到存储加密的加密密文和特定的边缘服务器，验证边缘数据签名确认加密密文的所有权，通过计算边缘数据的哈希值，与记录在区块链上的哈希标识符对比验证边缘数据的完整性，实现边缘数据的完整一致可信共享；
[0144]
(3)通过域间身份认证及认证证书链证书验证，持有边缘数据的服务器结合跨域请求的边缘服务器的属性对对称密钥及边缘数据的哈希值进行属性加密，并结合边缘数据访问类型、持有边缘数据的服务器的账户信息、边缘数据请求的边缘服务器的账户信息、时间戳及备注等信息经过上链操作部署到域间边缘数据访问链上，边缘数据请求的边缘服务器利用区块链节点转发，并通过上述步骤(2)中的访问步骤对边缘数据进行访问。
[0145]
上述数据处理方法可以将分布式网络的节点状态消息，存储至分布式数据存储系统，以减少边缘服务器从存储的所有边缘数据中查找目标边缘数据的时间，同时还可以减少查询次数。
[0146]
为了便于本领域技术人员的理解，以执行主体为服务器为例介绍本技术提供的数据处理方法，具体的，该方法包括：
[0147]
(1)通过边缘服务器组建分布式网络；
[0148]
(2)通过分布式网络构建分布式数据存储系统；
[0149]
(3)对边缘服务器的属性信息进行初始化，得到区块链节点的主密钥和公钥；
[0150]
(4)获取区块链节点注册请求，并通过区块链节点的主密钥和公钥，验证区块链节点的合法状态；
[0151]
(5)若区块链节点为合法状态，则通过边缘服务器的属性信息、区块链节点的主密钥和公钥，确定区块链节点的私钥；
[0152]
(6)构建边缘数据的访问结构树；
[0153]
(7)通过访问结构树对边缘数据进行加密，得到加密密文；
[0154]
(8)通过访问结构树、私钥和加密密文执行确认密钥算法，得到加密密文的确认密钥；
[0155]
(9)通过确认密钥，对加密密文进行解密，得到边缘数据；
[0156]
(10)构建基于区块链的属性基加密域间认证策略；
[0157]
(11)将边缘关键数据存储至边缘关键数据存储联盟链系统中的域内边缘关键数据存储链；边缘数据请求包括域间边缘数据请求；
[0158]
(12)将域间边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统中的域间数据访问存储链；
[0159]
(13)将分布式网络的节点状态消息，存储至分布式数据存储系统。
[0160]
以上(1)至(13)的执行过程具体可以参见上述实施例的描述，其实现原理和技术效果类似，在此不再赘述。
[0161]
应该理解的是，虽然图2-6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤
的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-6中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0162]
在一个实施例中，如图7所示，提供了一种数据处理装置，包括：存储系统构建模块11、控制策略构建模块12、联盟链系统构建模块13和存储模块14，其中：
[0163]
存储系统构建模块11，用于构建基于边缘计算的分布式数据存储系统；
[0164]
控制策略构建模块12，用于通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略；
[0165]
联盟链系统构建模块13，用于构建边缘关键数据存储联盟链系统；
[0166]
存储模块14，用于将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统。
[0167]
本实施例提供的数据处理装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。
[0168]
在其中一个实施例中，控制策略构建模块12包括：策略构建单元，其中：
[0169]
策略构建单元，用于构建多授权中心的属性基加密数据访问控制策略以及基于区块链的属性基加密域间认证策略。
[0170]
本实施例提供的数据处理装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。
[0171]
在其中一个实施例中，策略构建单元包括：私钥确定子单元、结构树构建子单元、加密子单元、算法执行子单元和解密子单元，其中：
[0172]
私钥确定子单元，用于通过边缘服务器的属性信息，确定区块链节点的私钥；
[0173]
结构树构建子单元，用于构建边缘数据的访问结构树；
[0174]
加密子单元，用于通过访问结构树对边缘数据进行加密，得到加密密文；
[0175]
算法执行子单元，用于通过访问结构树、私钥和加密密文执行确认密钥算法，得到加密密文的确认密钥；
[0176]
解密子单元，用于通过确认密钥，对加密密文进行解密，得到边缘数据。
[0177]
本实施例提供的数据处理装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。
[0178]
在其中一个实施例中，私钥确定子单元包括：初始化子单元、验证子单元和私钥获取子单元，其中：
[0179]
初始化子单元，用于对边缘服务器的属性信息进行初始化，得到区块链节点的主密钥和公钥；
[0180]
验证子单元，用于获取区块链节点注册请求，并通过区块链节点的主密钥和公钥，验证区块链节点的合法状态；
[0181]
私钥获取子单元，用于在区块链节点为合法状态时，通过边缘服务器的属性信息、区块链节点的主密钥和公钥，确定区块链节点的私钥。
[0182]
本实施例提供的数据处理装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。
[0183]
在其中一个实施例中，边缘数据请求包括域间边缘数据请求；存储模块14包括：第一存储单元和第二存储单元，其中：
[0184]
第一存储单元，用于将边缘关键数据存储至边缘关键数据存储联盟链系统中的域内边缘关键数据存储链；
[0185]
第二存储单元，用于将域间边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统中的域间数据访问存储链。
[0186]
本实施例提供的数据处理装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。
[0187]
在其中一个实施例中，存储系统构建模块11包括：网络组建单元和存储系统构建单元，其中：
[0188]
网络组建单元，用于通过边缘服务器组建分布式网络；
[0189]
存储系统构建单元，用于通过分布式网络构建分布式数据存储系统。
[0190]
本实施例提供的数据处理装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。
[0191]
在其中一个实施例中，数据处理装置还包括：消息存储模块，其中：
[0192]
消息存储模块，用于将分布式网络的节点状态消息，存储至分布式数据存储系统。
[0193]
本实施例提供的数据处理装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。
[0194]
关于数据处理装置的具体限定可以参见上文中对于数据处理方法的限定，在此不再赘述。上述数据处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于服务器中的处理器中，也可以以软件形式存储于服务器中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0195]
在一个实施例中，提供了一种服务器，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：
[0196]
构建基于边缘计算的分布式数据存储系统；
[0197]
通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略；
[0198]
构建边缘关键数据存储联盟链系统；
[0199]
将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统。
[0200]
在一个实施例中，提供了一种存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0201]
构建基于边缘计算的分布式数据存储系统；
[0202]
通过分布式数据存储系统构建基于区块链的边缘数据的访问控制策略；
[0203]
构建边缘关键数据存储联盟链系统；
[0204]
将边缘关键数据、边缘数据请求和访问控制策略存储至边缘关键数据存储联盟链系统。
[0205]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，
本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0206]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0207]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。