(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210321493.3 (22)申请日 2022.03.30 (71)申请人 深圳数鑫科技有限公司 地址 518000 广东省深圳市南 山区粤海街 道高新区社区高新南一道002号飞亚 达科技大厦732 (72)发明人 廖炳才　吴会才　 (74)专利代理 机构 深圳卓正专利代理事务所 (普通合伙) 44388 专利代理师 万正平　吴思莹 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) H04L 9/40(2022.01) H04L 67/1095(2022.01) (54)发明名称 垂直领域数据安全流 通引擎的运行方法 (57)摘要 本发明公开了垂直领域数据安全流通引擎 的运行方法， 其中， 所述垂直领域数据安全流通 引擎包括DPE和DCE， 其中， 所述DPE包括第一网 关、 待开放数据储存库和数据同步模块； 所述垂 直领域数据安全流通引擎的运行方法包括所述 数据同步模块接收待同步的多个数据对象； 将所 述多个数据对象同步至所述待开放数据储存库； 所述第一网关接收第一访问请求信息； 对所述第 一访问请求信息执行鉴权处理， 若鉴权通过， 则 允许访问与所述第一访问请求信息对应的第一 目标数据对象。 本发明解决了在数据交易完成 后， 如何将数据需求方对数据商品的访问和使用 受控于数据提供方， 避免数据售出后失控的技术 问题。 权利要求书2页 说明书8页 附图4页 CN 114896610 A 2022.08.12 CN 114896610 A 1.垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述垂直领域数据安全流通 引擎包括D PE和DCE， 其中， 所述D PE包括第一网关、 待开 放数据储 存库和数据同步模块； 所述垂直领域数据安全流 通引擎的运行 方法包括： 所述数据同步模块接收待同步的多个数据对象； 将所述多个数据对象同步至所述待开 放数据储 存库； 所述第一网关接收第一访问请求信息； 对所述第一访 问请求信息执行鉴权处理， 若鉴权通过， 则允许访 问与所述第一访 问请 求信息对应的第一目标 数据对象； 其中， 所述对所述第一访问请求信息执 行鉴权处 理的步骤 包括： 对所述第一访问请求信息的ID令牌进行鉴权处 理， 若鉴权通过， 则生成访问令牌； 对所述第一访 问请求信息进行访 问策略的鉴权处理， 若鉴权通过， 则根据所述访 问令 牌访问所述第一目标 数据对象； 对所述第一访 问请求信息进行使用策略的鉴权处理， 若鉴权通过， 则根据所述第一访 问请求信息使用所述第一目标 数据对象。 2.根据权利要求1所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述待 开放数据储 存库采用的接口服 务是NGSI； 所述第一访问请求信息包括数字签名、 ID令牌和指定访问的数据对象名称。 3.根据权利要求2所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述对 所述第一访问请求信息执 行鉴权处 理的步骤 还包括： 对所述数字签名进行鉴权处 理。 4.根据权利要求3所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述访 问策略包括： 限制授权关系的长期有效状态； 限制授权关系的生效起止期限； 限制对应的DC E安全级别的要求； 限制允许使用每 个数据对象的地理位置； 限制对要求所述对应的DC E上报日志信息； 和 数据离开时， 限制邮件通知数据提供 方。 5.根据权利要求4所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述访 问策略符合XAC ML标准， 所述使用策略符合ODRL标准。 6.根据权利要求5所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述使 用策略包括： 限制每个数据对象对应的连接器； 限制每个数据对象的上层系统； 限制每个数据对象的数据需求方； 限制每个数据对象的连接器所在的地理位置； 限制每个数据对象在特定事 件发生时的使用权限； 限制每个数据对象的连接器的安全级别； 限制每个数据对象的最大使用次数；权　利　要　求　书 1/2 页 2 CN 114896610 A 2设置每个数据对象被访问使用后必须删除； 限制不能使用每 个数据对象的原 始数据； 限制不能存 储每个数据对象的原 始数据； 当其中一个数据对象被访问使用时， 通知对应的数据提供 方； 当其中一个数据对象被数据需求方分发给第 三方时， 需要满足与所述数据对象对应的 使用策略； 每个数据对象被访问使用之前， 交易关系必须经对应的数据提供方和数据需求方双方 认可。 7.根据权利要求6所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述 DPE还包括第一行为跟踪模块； 所述垂直领域数据安全流 通引擎的运行 方法还包括： 所述第一行为跟踪模块记录所述第一目标 数据对象的使用日志。 8.根据权利要求7所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述 DPE还包括第二网关； 所述垂直领域数据安全流 通引擎的运行 方法还包括： 所述第二网关接收业 务能力API请求信息； 对所述业务能力API请求信息进行鉴权处 理， 若鉴权通过， 则返回对应的业 务能力API。 9.根据权利要求8所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述 DCE包括拉取代理模块和推送 代理模块； 所述垂直领域数据安全流 通引擎的运行 方法还包括： 所述拉取代理模块发送第二访问请求信息； 所述推送 代理模块获取与所述第二访问请求信息对应的第二目标 数据对象； 对所述第二访 问请求信息进行所述使用策略的鉴权处理， 若鉴权通过， 则根据所述第 二访问请求信息使用所述第二目标 数据对象。 10.根据权利要求9所述的垂直领域数据安全流通引擎的运行方法， 其特征在于， 所述 DCE还包括第二行为跟踪模块； 所述垂直领域数据安全流 通引擎的运行 方法还包括： 所述第二行为跟踪模块记录所述第二目标 数据对象的使用日志。权　利　要　求　书 2/2 页 3 CN 114896610 A 3