[发明专利]一种基于标签的云制造用户数据管控方法

权利要求书

1.一种基于标签的云制造用户数据管控方法，其特征在于：包括以下7个模块：：

1)安全通信模块：实现数据、控制信息传输过程中的安全防护；

2)标签注册模块：根据数据使用协议，生成所需密钥、标签；

3)标签融合模块：在密钥控制下将标签与数据进行不可分融合；

4)文件解析模块：在密钥控制下对含有标签的数据进行解析，并根据标签内容提供对外数据访问接口；

5)运行监控模块：监控服务过程的中间数据，验证并反馈运行结果；

6)行为管控模块：管理用户对数据的处置行为，负责数据回收、二次授权过程的管理；

7)安全管理模块：负责策略配置、安全管理和审计；

工作流程如下：

步骤1：数据拥有方和服务提供方双方用户达成数据使用协议，以下简称协议，并将协议通过安全通信模块上报数据管控服务器，下文中数据和协议的传输都是基于安全通信模块，不再做单独说明；

步骤2：数据管控服务器根据协议，生成标签、密钥组，将标签与密钥组发送至数据拥有方和服务提供方双方；

步骤3：数据拥有方将数据与标签进行融合，并将融合标签的数据发送至服务提供方；

步骤4：服务提供方解析融合标签的数据，并依据协议提供服务；

步骤5：服务结束后，服务提供方依据协议处置数据，反馈服务内容；

全程安全管理模块对数据全生命周期进行审计和管理。

2.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于：

当服务提供方需要第三方服务时：

步骤4.a.1：服务提供方向数据管控服务器验证二次授权权限，若具备权限，则建立新的数据使用协议，并上报数据管控服务器，若不具备，则服务结束，跳转至步骤5；

步骤4.a.2：数据管控服务器根据新的数据使用协议，生成新的标签、密钥组，将新的标签、密钥组按照策略发送至数据拥有方和服务提供方双方；

步骤4.a.3：服务提供方收到新协议和密钥组后，将原有标签转换为水印，将新的标签与含水印数据进行融合后发送至第三方，之后第三方转变为服务提供方，之后跳转至步骤4。

3.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于：

步骤1中具体如下：

数据拥有方通过云制造平台，搜索匹配所需服务的服务提供方，数据拥有方和服务提供方双方需要就数据传递、分享和使用中涉及的数据类型、使用时间、允许的操作类型、中间过程数据的处理、是否允许二次授权、是否允许数据脱离云制造环境以及数据使用后的处理达成协议；。

安全通信模块采用网络过滤驱动技术，或者基于终端和服务器硬件平台的可信接入认证，或者同时采用。

4.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于：

步骤2中标签具体如下：

数据管控服务器接收来自数据拥有方和服务提供方双方的身份信息，根据协议和双方身份生成标签，标签包含的内容如下：

基本属性标签包括数据在系统内唯一编号、数据类型、数据摘要以及数据归属权；

安全属性标签包括数据和标签提供安全信息标识，主要内容包括数字签名、流转信息、水印信息和日志信息，；

授权属性标签包括使用主体、授权的操作类型、授权使用期限、是否允许二次授权、中间数据授权、是否运行脱离云、数据到期后的处置；

数据管控服务器完成标签后，将标签发送至数据拥有方。

5.根据权利要求1所述的一种基于标签的云制造用户数据管控方法，其特征在于：

步骤4具体如下：

服务提供方接收到带标签数据后，借助文件解析模块，使用密钥解析数据，并在运行监控模块的监督下按照约定内容提供服务。

其中文件解析模块的工作过程如下，文件解析模块只接受含标签数据和文件解析密钥作为输入，只对外提供预设的数据对外接口，

实现密钥扩充、标签与数据还原功能、标签与数据验证功能、数据操作权限控制功能以及数据接口控制功能；

通过数据操作权限控制，提供数据对外接口中提供的操作类型的管理；通过数据接口控制，控制数据对外接口的访问主体、开放时间；

数据操作权限控制模块控制过程如下：

a)数据操作权限控制模块获取数据对应的密钥，并将其放入密钥缓存序列中；

b)数据操作权限控制模块对数据标签中的控制信息进行提取，并将控制信息发送至密钥缓存序列；

c)密钥缓存序列根据控制信息，生成密钥计时器；

d)密钥计时器将密钥及控制信息，控制信息包括操作权限，操作限定次数、限定时间，下发至嵌入数据使用软件的解码控制功能模块；

e)解码控制功能模块根据下发的控制信息，为数据使用软件开放指定数据操作权限，并记录操作类型；

当密钥计时器中的使用时间到期时，向密钥缓存序列和解码控制功能模块发送到期通知，密钥缓存序列将指定密钥进行销毁，解码控制功能模块终止应用程序；

当解码控制功能模块记录的操作限定次数用尽时，解码控制功能模块终止应用程序，并将到期信息反馈密钥计时器和密钥缓存序列，进行密钥销毁。