支持监管的数据存储机制.pdf

上传人:T****z 文档编号:10139847 上传时间:2021-06-05 格式:PDF 页数:11 大小:444.41KB
收藏 版权申诉 举报 下载
支持监管的数据存储机制.pdf_第1页
第1页 / 共11页
支持监管的数据存储机制.pdf_第2页
第2页 / 共11页
支持监管的数据存储机制.pdf_第3页
第3页 / 共11页
文档描述:

《支持监管的数据存储机制.pdf》由会员分享,可在线阅读,更多相关《支持监管的数据存储机制.pdf(11页完成版)》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010084961.0 (22)申请日 2020.02.10 (71)申请人 北京天德科技有限公司 地址 102488 北京市房山区阎富路69号院 37号楼-1层至4层102三层10 (72)发明人 蔡维德 (51)Int.Cl. G06F 21/74(2013.01) G06F 21/78(2013.01) G06F 21/60(2013.01) (54)发明名称 一种支持监管的数据存储机制 (57)摘要 本发明提出一种支持监管的数据存储机制, 将数据分为Plaintex。

2、t (明文数据) 、 Ciphertext (加密数据) 、 Regulatorydata (监管数据) 三类, 按照敏感程度划分内核区、 监管区、 密文区、 明文 区进行管理, 结合硬件安全芯片实现的物理隔离 的监管区存储机制, 定义了新的针对账号, 交易 等监管数据的文件属性, 并规定了不同文件属性 之间的相互关系。 通过监管区内功能软件和监管 文件属性的设定, 以及隔离存储的机制, 提高数 据处理的安全性、 可监管性和效率。 权利要求书1页 说明书5页 附图4页 CN 112131615 A 2020.12.25 CN 112131615 A 1.一种高性能可监管的新型区块链操作系统架构。

3、, 其特征为: 结构分为四层, 包括硬件 层, 内核层, 共识层和应用层。 2.根据权利要求1所述一种高性能可监管的新型区块链操作系统架构, 其特征为: 所述 架构提供共识功能, 监管功能, 高速网络技术及数据加解密功能。 3.根据权利要求2所述一种高性能可监管的新型区块链操作系统架构, 其特征为: 进一 步地, 硬件层除传统操作系统常用硬件外, 还支持GPU、 安全芯片、 硬件加速卡。 4.根据权利要求3所述一种高性能可监管的新型区块链操作系统架构, 其特征为: 进一 步地, 内核层除传统操作系统必备组件外, 还包含存证、 加解密、 权限控制以及高速网络组 件。 5.根据权利要求4所述一种高。

4、性能可监管的新型区块链操作系统架构, 其特征为: 进一 步地, 共识层提供区块链支持及一致性算法。 6.一种高性能可监管的新型区块链操作系统架构, 其特征为: 加解密技术纳入操作系 统层面直接支持区块链运行。 7.一种高性能可监管的新型区块链操作系统架构, 其特征为: 高速网络技术纳入操作 系统层面支持区块链运行。 8.一种高性能可监管的新型区块链操作系统架构, 其特征为: 操作系统层面支持监管 功能。 9.一种高性能可监管的新型区块链操作系统架构, 其特征为: 数据或任务调度队列分 为三级, 包括高优先级高实时性队列, 高优先级非实时性队列, 低优先级队列。 10.根据权利要求8、 9所述一。

5、种高性能可监管的新型区块链操作系统架构, 其特征为: 高优先级队列存放监管数据或监管任务; 低优先级存放非监管数据或非监管任务。 权利要求书 1/1 页 2 CN 112131615 A 2 一种支持监管的数据存储机制 技术领域 0001 本发明属于计算机存储领域, 特别涉及到计算机内存, 磁盘存储, 以及将监管技术 应用到操作系统底层的相关技术。 背景技术 0002 传统的操作系统对于内存的管理只分为内核空间和用户空间, 对内核空间和用户 空间是分别管理的, 进程要么运行在用户空间, 要么运行在内核空间, 进程通过系统调用进 入内核空间。 如图1, 内核空间又分为物理页面映射区, 安全保护区。

6、和内核虚拟空间。 虚拟内 核空间通过查询内核页表, 获取实际物理内存地址。 物理内存映射区通过计算偏移量获得 实际物理地址。 用户空间的进程数据分为代码段, 数据段, BSS段, 堆和栈。 0003 传统的内存区域管理只设计了两个区域, 没有针对交易信息和账户等区块链数据 做专门处理, 所有数据都存储在用户空间, 查找效率低, 且不利于监管, 存在隐私泄露, 数据 篡改等问题。 发明内容 0004 本发明提出一种支持监管的数据存储机制, 结合硬件安全芯片实现的物理隔离的 监管区存储机制, 定义了新的针对账号, 交易等监管数据的文件属性, 并规定了不同文件属 性之间的相互关系。 通过对监管区内功。

7、能软件和监管文件属性进行设定, 以及隔离存储的 机制, 提高数据处理的安全性、 可监管性和效率。 0005 本发明以Linux系统为基础进行改进, 以监管的视角来考虑数据的存储和访问。 本发明首先对数据的类型进行定义, 其次对存储的区域进行划分, 然后对监管文件的 属性进行扩充, 并规定了各个权限之间的相互关系, 最后提出自动触发监管以及容错的机 制。 0006 本发明将数据划分为三大类。 这三类数据分别是: (1) Plaintext, 明文的数据; (2) Ciphertext, 加密的数据; (3) Regulatory data, 监管数据。 0007 进一步地, 监管数据可以是加密的。

8、数据也可以是明文的数据, 这类数据只有监管 层的功能才可以访问。 0008 进一步地, 在一个区块链技术的实施例中, 监管数据是和区块链交易相关的账户 信息和交易信息。 0009 本发明将数据按照监管的敏感程度分区进行管理, 数据的存储无论是在内存中, 还是在磁盘中, 都可以受到监管。 如表1所示, 系统的最初始的文件是操作系统的文件, 处于 内核引导区。 与传统存储不同之处, 本发明将普通存储区又分为了监管区, 密文区和明文 区。 监管区存储所有需要监管的文件, 监管机制提供配置接口, 用于定制哪些信息属于被监 管的数据, 应该存放到监管区域中; 密文区用于存放加密后的数据; 明文区用于存放。

9、公开的 说明书 1/5 页 3 CN 112131615 A 3 数据。 0010 表1. 存储分区 级别位置类型 1明文区开放数据 2密文区加密数据 3监管区监管数据 4内核区操作系统文件 进一步地, 监管区中可以存放开放的数据, 也可以存放加密的数据。 0011 进一步地, 在一个区块链技术的实施例中, 监管区存储的文件或数据包括账户信 息, 当前交易信息, 历史交易信息, 账户相关人的信息等。 0012 进一步地, 明文区和加密区可以再分许多小区。 小区和大区的隔离机制相同, 只有 体量大小差别。 因为隔离机制系统代价高, 在个人电脑或是手机上, 可以限制小区数目来维 持系统性能。 00。

10、13 在一个实施例中, 一个应用占一个小区; 在另一个实施例中, 一个应用的一个版本 占用一个小区。 各样应用或应用不同版本之间不能传递信息, 保证应用软件的隐私性。 0014 优选地, 在实现物理隔离的过程中, 使用硬件的安全芯片提供支持。 在物理内存中 划分一块独立的存储空间, 监管的数据和监管软件都运行这个区域, 由硬件加密和权限控 制来保护这区域的安全。 0015 本发明在文件系统方面, 将现有的文件增加监管属性。 如果一个文件的内容是和 账户信息和交易信息相关的, 那么就要在这个文件的属性上增加一个T (Trade 交易) 标签, 表示这个文件是一个需要监管的文件。 现在操作系统标签。

11、有R (Read, 读), W (Write 写) , X (eXecute, 执行), 现加T, 但是T可以还有TR (监管读Read) , TA (监管加Append) , TX (监 管执行eXecute) 。 0016 在一个实施例中, TR及TA在金融系统代表资产信息, 在另一个实施例中, 在公检法 系统代表证据信息, 每一次读和写都必须记录在案。 0017 在一个实施例中, TX 代表区块链的智能合约或是链上代码, 可以执行。 执行的时 候可能接触到被监管的账户或是交易信息。 因为TX存的是代码, 读和追加必须特别处理。 例 如在一些操作系统设计上, 智能合约 (或是链上代码) 只。

12、能上传一次。 这是根据区块链系统 原则 “数据可存不可改” 的特性设置的限制。 如果一定要更新代码, 原来智能合约记录不能 被直接更改, 只能作废, 不能再用。 可以将旧智能合约代码放在冷仓库当做记录。 0018 参考表2, 各种操作关系如下: TR (监管读) 和R, W, X不能同时存在, 如遇到TX需要特殊处理; TA (监管追加) 和R, W, X不能同时存在, 如遇到TX需要特殊处理; TX (监管执行) 和R, W, X不能同时存在, 遇到TR和TA需要特殊处理。 0019 表2. 文件权限相互关系表 (Y表示可操作, N表示不可操作, S表示需要特殊处理) RWXTRTATX R。

13、-YYNNN WY-YNNN 说明书 2/5 页 4 CN 112131615 A 4 XYY-NNN TRNNN-YS TANNNY-S TXNNNSS- 本发明提出的文件的监管属性确定以后, 需要确定各分区软件和数据之间的关系。 监 管区的数据是永不更改, 数据只能追加, 不能修改, 最终将数据写到和操作系统相关的区块 链里面。 在明文区, 加密区, 和部分操作系统里面的文件是可以更改的, 如果监管区的数据 满了, 可以将数据放到硬盘, 保持数据只能增加不可修改的特性不变。 监管区的软件可以修 改明文区和加密区的数据, 明文区软件和加密区软件, 不能修改监管区以及操作系统区的 软件, 如表。

14、3所示。 0020 表3. 各区域软件与数据权限关系表 明文区密文区监管区内核区 明文区软件RWX- 密文区软件RWXRWX- 监管区软件RWXRWXTR TA TX- 操作系统软件RWXRWX-RWX 本发明支持可监管的文件全部被追踪, 不会有交易逃脱监管。 带有T属性的数据, 移动 到物理隔离的监管区, 支持安全的智能合约。 0021 传统操作系统所有数据都就是混合存储, 数据都在用户区域, 监管效率低且不能 保证安全。 本发明提出的监管数据存储机制有专门的监管区, 数据有物理隔离, 只能被监管 软件做自动记录, 或送到监管中心做记录。 在监管区的数据, 做记录, 数据只能增加, 不能修 。

15、改, 可以回滚。 0022 本发明支持监管属性自动触发监管操作。 0023 数据的产生有两个途径, 一个是网络传输产生的数据, 还有一个是系统自身产生 的数据。 对于已经产生的数据, 系统立刻对其进行检查, 并自动触发监管。 监管程序采用守 护进程的方式, 不断检查新产生的数据。 0024 如图4, 监管程序对文件进行检查, 并指定文件的最终存储分区。 首先, 检查文件属 性是否带有T标识, 凡是接触到监管数据 (带有T标识的数据), 例如涉及到交易, 账号, 就立 刻触发监管, 将数据迁移到监管区。 然后, 检查文件的标签, 如果是有加密后的数据, 就将数 据移动到密文区。 对于非监管非加密。

16、的数据, 监管程序将不做处理, 默认保存在明文区。 0025 监管区内有监管功能软件, 这些软件在部署的时候上传一次, 不能更改, 只能增加 或停止使用。 这样的设计避免了因为监管区功能软件的修改可能引发的安全漏洞或恶意行 为。 0026 本发明的设计中, 所有的数据, 只要接触到了账号和交易信息, 就自动的触发监管 操作, 这是以往的存储机制所没有的。 本发明专门针对账户和交易信息的监管和安全性进 行设计, 保存了和账户有关的自然人的信息, 社会关系信息, 交易信息以及历史交易记录 等, 对于保存何种信息提供可配置接口。 0027 在监管区内, 如果发现文件前面的属性是错误的, 直接拒绝处理。

17、。 如果文件的标签 是要监管的, 就将数据迁移到监管区域。 如果文件不是需要监管的, 却存储在了监管区域, 说明书 3/5 页 5 CN 112131615 A 5 那么要将文件迁移出监管区域。 操作系统区的程序的权限相对较高, 可能会由于某些异常 情况进入监管区, 一旦发生操作系统软件对T属性的文件进行修改时, 立刻停止。 0028 附图说明 0029 图1为传统操作系统对内存空间的划分示意图; 图2为本发明提出的数据分区示意图; 图3为本发明提出的硬件隔离示意图; 图4为本发明提出的监管程序自动触发示意图; 图5为本发明实施例中利用Intel SGX实现存储分区的示意图。 0030 具体实。

18、施案例 为了更加清晰地说明本发明的实施技术方案, 使得本发明的目的与描述更加易于理 解, 下面将以Linux系统为例对本发明的实施进行说明。 0031 根据本发明设计的分区机制, 利用硬件安全芯片先对物理内存进行隔离。 如图5, 采用Intel SGX的技术, 先部署SGX支持环境, 然后增加监管区Enclave和密文区Enclave, 以 实现存储的分区。 0032 在实现了存储分区以后, 在系统中部署监管程序, 监管流程以不同类型的应用场 景具体说明。 0033 系统新产生了待监管文件, 进行如下处理: (1) 监管程序识别到新产生的文件; (2) 读取文件的属性; (3) 发现文件的属性。

19、具有T标识, 那么将文件迁移到监管区, 由监管区功能软件处理; (4) 监管区功能软件对文件中的数据进行监管, 检查信息的真伪, 是否合规, 然后进行 结算 (5) 结算之后, 将数据存储到区块链上。 0034 系统产生了非监管的加密文件, 进行如下处理: (1) 监管程序识别到新产生的文件; (2) 读取文件的属性, 发现不是监管文件; (3) 检查文件的Tag, 发现是加密文件, 那么将文件迁移到密文区; (4) 交由密文区功能软件处理。 0035 系统产生了普通的文件, 进行如下处理: (1) 监管程序识别到新产生的文件; (2) 读取文件的属性, 发现不是监管文件; (3) 读取文件的。

20、Tag, 发现不是加密文件; (4) 将文件保留在明文区 系统容错机制处理流程: (1) 检查监管区的文件属性, 如果有不具有监管属性的文件, 移除; (2) 检查监管区的文件是否有错误, 如果有错误, 移除; (3) 检查文件的已打开句柄, 发现有不属于监管区软件的进程尝试打开监管区的文件, 说明书 4/5 页 6 CN 112131615 A 6 直接关闭句柄, 停止文件操作。 0036 以上为本发明的实施例, 本发明同样可用于监管所有与区块链操作相关的应用, 包括智能合约, 数据存证等应用。 说明书 5/5 页 7 CN 112131615 A 7 图1 说明书附图 1/4 页 8 CN 112131615 A 8 图2 说明书附图 2/4 页 9 CN 112131615 A 9 图3 图4 说明书附图 3/4 页 10 CN 112131615 A 10 图5 说明书附图 4/4 页 11 CN 112131615 A 11 。

展开阅读全文
内容关键字: 支持 监管 数据 存储 机制
关于本文
本文标题:支持监管的数据存储机制.pdf
链接地址:https://www.zhuanlichaxun.net/pdf/10139847.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1 
 


收起
展开