数据交易及共享会话构建方法、系统、设备及存储介质与流程

1.本发明涉及信息安全以及数据传输技术领域，尤其是数据交易及共享会话构建方法、系统、设备及存储介质。

背景技术：

2.大数据的广泛应用是社会经济发展的必然趋势，随着“数据社会化”初具雏形，如何有效地进行数据交换、数据管理也是目前政府以及大多数企业共同面临的关键挑战。
3.由于数据所有者和数据获取者互不信任，数据共享交换过程中具有较高安全风险，导致双方在数据共享过程中有很大顾虑。另外由于参与者属性、数据交易规则将影响数据交易的权限，造成访问权限的管理复杂。

技术实现要素：

4.本发明实施例提供一种数据交易及共享会话构建方法、系统、设备及存储介质，用以解决现有技术中提到的如何使现实世界中的计算机应用程序能够在元宇宙中被使用的问题。
5.本发明第一个方面，提供了一种数据交易及共享会话构建方法，所述方法包括：在参与数据交易的交易终端与权限机之间进行双向验证，其中，在双向验证过程中，由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌；在双向验证通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，在所有所述交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话；其中，所述交易终端的数量设置为至少两个，且每个所述交易终端均与其余至少一个交易终端构成数据连接，而且，所述交易终端与归属于该交易终端的验证令牌一一对应。
6.可选的，所述在参与数据交易的交易终端与权限机之间进行双向验证，包括：在所述参与数据交易的交易终端与所述权限机之间互发归属于自身的验证令牌；在所述交易终端与所述权限机均对接收到的验证令牌验证通过的情况下，完成参与数据交易的交互终端与所述权限机之间的双向认证，其中，所述权限机与归属于该权限机的验证令牌一一对应。
7.可选的，在所述交易终端与所述权限机均对接收到的验证令牌进行验证之前，所述方法还包括：所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌。
8.可选的，所述在参与数据交易的交易终端与权限机之间进行双向验证，包括：由参与数据交易的交易终端发送各自的验证令牌至所述权限机；
在所述权限机对归属于所述交易终端的验证令牌验证通过的情况下，确定验证通过的验证令牌所对应的交易终端为可信任终端，以完成单向验证；由所述权限机发送相关数据信息至确定为可信任终端的所述交易终端；其中，所述相关数据信息包括：该权限机的验证令牌、以及与该确定为可信任终端的所述交易终端构成数据交互的另一侧交易终端的验证令牌，其中，所述权限机与归属于该权限机的验证令牌一一对应；由确定为可信任终端的所述交易终端对归属于该权限机的验证令牌验证通过的情况下，确定所述权限机为可信任的权限机，以完成参与数据交易的交互终端与所述权限机之间的双向认证。
9.可选的，所述交易终端向所述权限机发送归属于该交易终端的验证令牌，包括：由任一所述交易终端发送数据交易请求至所述权限机，其中，所述交易请求包括：归属于所述任一交易终端的验证令牌、以及与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息；基于该与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息，由所述权限机将所述数据交易请求转发至与所述任一交易终端构成数据交互的另一侧交易终端；由所述权限机接收归属于该与所述任一交易终端构成数据交互的另一侧交易终端的验证令牌；其中，该归属于与所述任一交易终端构成数据交互的另一侧交易终端的验证令牌为该与所述任一交易终端构成数据交互的另一侧交易终端响应所述数据交易请求而反馈的。
10.可选的，在构成数据交互的所述交易终端之间互发自身的验证令牌之后，并在构建参与该数据交易的交易终端之间的数据交易会话之前，所述方法还包括：在构成数据交互的所述交易终端之间互发归属于所述权限机的验证令牌；比较每个所述交易终端两次接收到的归属于所述权限机的验证令牌以及归属于同一交易终端的验证令牌是否均相同；若是，则构建参与该数据交易的交易终端之间的数据交易会话。
11.可选的，比较每个所述交易终端两次接收到的归属于所述权限机的验证令牌以及归属于同一交易终端的验证令牌是否均相同，包括：由所述交易终端分别将两次接收到的归属于所述权限机的验证令牌以及归属于与该交易终端构成数据交互的另一侧交易终端的验证令牌进行绑定；比较每个交易终端中归属于同一交易终端的两个绑定数据是否相同；若是，则构建参与该数据交易的交易终端之间的数据交易会话。
12.可选的，所述数据交易请求还包括：待交易数据属性信息、任一交易终端的终端属性信息；在所述构建参与该数据交易的交易终端之间的数据交易会话之前，所述方法还包括：基于所述待交易数据属性信息、所述任一交易终端的终端属性信息，由所述权限机生成交易决策；在所述交易决策通过的情况下，确定所述数据交易具备有效性。
13.可选的，所述交易终端及所述权限机均设有对应的密钥对，每个所述密钥对均包括：私钥和公钥；所述交易终端及所述权限机均通过自身的私钥对自身发出的验证令牌进行加密；而且，接收验证令牌的所述交易终端及所述权限机均通过对应的公钥对该验证令牌进行解密，若解密成功，则表征为该验证令牌验证通过，其中，该对应的公钥表征为发出该验证令牌的所述交易终端和/或所述权限机所对应的公钥。
14.本发明第二个方面，提供一种数据交易及共享会话构建系统，所述系统包括：权限机，与参与数据交易的交易终端构成数据连接，用于接收并验证参与数据交易的交易终端各自上传自身的验证令牌，而且，所述权限机还将自身的验证令牌发送至参与数据交易的交易终端；交易终端，数量设置为至少两个且每个交易终端均参与数据交易，每个交易终端均接收并验证所述权限机发送的归属于该权限机的验证令牌；而且，在所述权限机与参与数据交易的每个交易终端之间的双向验证均通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，在所有所述交易终端确定其两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话。
15.本发明第三个方面，提供一种计算机设备，包括：一个或多个处理器；存储器；一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于：执行根据上述的数据交易及共享会话构建方法。
16.本发明第四个方面，提供一种计算机可读存储介质，所述存储介质存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述的数据交易及共享会话构建方法。
17.本发明实施例的有益效果为：通过在权限机和参与交易的交易终端之间进行双向验证，从而使得权限机和参与交易的交易终端之间相互验证通过，建立权限机和每个参与交易的交易终端之间的信任；然后，在双向验证通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，并结合由权限机向构成数据交互的其中一侧交易终端发送的归属于另一侧交易终端的验证令牌，在所有所述交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话，从而，通过权限机可以在相互不信任的交易终端之间构建信任机制，继而权限机可以对交易终端之间的交易权限进行管理。
附图说明
18.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1为本发明第一实施例涉及的一种数据交易及共享会话构建方法的流程示意图；图2为本发明第一及三实施例涉及的一种数据交易及共享会话构建系统的结构示意图；图3为本发明第二实施例涉及的一种数据交易及共享会话构建系统的结构示意
图；图4为本发明二实施例涉及的一种数据交易及共享会话构建方法的流程示意图；图5为本发明二实施例涉及的权限机的结构示意图。
具体实施方式
19.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
20.图1为本发明第一实施例涉及的一种数据交易及共享会话构建方法的流程示意图；图2为本发明第一及三实施例涉及的一种数据交易及共享会话构建系统的结构示意图；图3为本发明第二实施例涉及的一种数据交易及共享会话构建系统的结构示意图；图4为本发明二实施例涉及的一种数据交易及共享会话构建方法的流程示意图；图5为本发明二实施例涉及的权限机的结构示意图。
21.根据本发明第一实施例，提供了一种数据交易及共享会话构建方法，所述方法包括：在参与数据交易的交易终端与权限机之间进行双向验证，其中，在双向验证过程中，由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌；在双向验证通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，在所有所述交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话；其中，所述交易终端的数量设置为至少两个，且每个所述交易终端均与其余至少一个交易终端构成数据连接，而且，所述交易终端与归属于该交易终端的验证令牌一一对应。
22.就此，通过在权限机和参与交易的交易终端之间进行双向验证，从而使得权限机和参与交易的交易终端之间构成相互验证通过，建立权限机和每个参与交易的交易终端之间的信任；然后，在双向验证通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，并结合由权限机向构成数据交互的其中一侧交易终端发送的归属于另一侧交易终端的验证令牌，在所有所述交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话，从而，通过权限机可以在相互不信任的交易终端之间构建信任机制，继而权限机可以对交易终端之间的交易权限进行管理。
23.具体的，根据图1及2所示，本发明第一实施例提供了一种数据交易及共享会话构建方法，其中，该方法也可以理解为：在构建交易终端会话之前，对参与数据交易的交易终端进行权限认证。此外，对本实施例中涉及的数据交易和共享会话构建方法，不仅适用于交易终端之间数据传输，还可适用于网络终端之间的网络数据共享或交易，还可适用于不同网络之间得信息共享或交易，也可适用于基于大数据的数据共享及交易，当然，也可适用于电子支付过程中支付信息的传输和交易，具体的，该方法包括：步骤s100：在参与数据交易的交易终端与权限机之间进行双向验证，其中，在双向验证过程中，由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终
端的验证令牌；在一个典型的数据交易场景中，至少应该包括一个作为数据获取者的交易终端以及一个作为数据所有者的交易终端，在本文中，先在参与数据交易的交易终端与权限机之间进行双向验证，就此，可以在交易终端侧确定权限机为可信任或合法的权限机，在权限机侧也可以确定参与数据交易的交易终端为可信任或合法的终端设备。
24.值得注意的是，在双向验证过程中，由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌；当然，在另一实施例中，也可在双向验证完成之后（执行完该步骤s100之后但在执行步骤s120之前）再由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌。
25.在本实施例中，涉及数据交易及共享会话构建系统，其并不对该交易终端的数量进行限定，该交易终端的数量设置为至少两个。如：该交易终端的数量设置为两个，当然，在其余实施例中，该交易终端也可设置为三个甚至更多个，如：交易终端1、交易终端2、交易终端3及交易终端4。当然，这至少两个交易终端之间存在至少一个数据获取者以及至少一个数据所有者。故：在交易终端的数量为两个时，该两个交易终端中一个为数据所有者，另一个则为数据获取者；在交易终端的数量为三个甚至更多时，该交易终端中包括一个数据所有者以及一个数据获取者，而对其余的交易终端的作用不做限定，这些其余的交易终端在数据交易过程中担任一定的任务和作用，如：对待交易的数据进行分析、和/或验证、和/或分拆重组。
26.此外，在本实施例中，每个交易终端均与权限机构成数据连接，如：交易终端与权限机之间构成网络通信连接。
27.针对上述的权限机，其可为安全服务器，该权限机用于对参与数据交易的交易终端之间是否可以进行交易做权限判断，具体详情在下文中进行详述。
28.步骤s120：在双向验证通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，在所有所述交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话；其中，交易终端与归属于该交易终端的验证令牌一一对应。
29.在双向验证通过的情况下，参与数据交易的交易终端中构成数据交互的交易中孤单之间互发自身的验证令牌。而且，结合步骤s100涉及的：由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌，故每个交易终端均先后接收到了与其构成数据交互的同一交易终端的验证令牌，在所有交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话。
30.具体的，如：该交易终端的数量设置为三个：数据获取者、数据所有者及数据处理者，在正常的数据交易及共享过程中，数据所有者拥有待交易和共享的数据，可由数据获取者、数据所有者及数据处理者任一方发起数据交易请求，使得数据所有者将该待交易和共享的数据发送至数据处理者，数据处理者将该待交易和共享的数据进行预处理（在本实施例中并不对该预处理内容进行限定）后发送至数据获取者，从而完成该数据交易和共享，即：该数据所有者只与数据处理者构成数据交互，数据获取者也只与该数据处理者构成数据交互，但该数据处理者分别于该数据获取者和数据所有者构成数据交互。故在本实施例
中，在进行该待交易和共享的数据的传输之前，还需执行上述的步骤s100-步骤s120，具体的，在数据获取者、数据所有者及数据处理者的基础上加设权限机，该数据获取者、数据所有者及数据处理者均与该权限机构成数据连接，故，该数据获取者、数据所有者及数据处理者均和该权限机进行双向验证，值得注意的是，在该双向验证过程中，由该权限机向该数据获取者发送归属于该数据处理者的验证令牌，由该权限机向数据所有者发送归属于该数据处理者的验证令牌，由该权限机向数据处理者发送归属于该数据所有者的验证令牌以及归属于该数据获取者的验证令牌；在双向验证通过的情况下，该数据获取者向数据处理者发送归属于该数据获取者的验证令牌，该数据处理者向数据获取者和数据所有者发送归属于该数据处理者的验证令牌，该数据所有者向该数据处理者发送归属于该数据所有者的验证令牌；故：使得数据所有者接收有两次归属于数据处理者的验证令牌，数据处理者接收有两次归属于数据所有者的验证令牌以及两次归属于数据获取者的验证令牌，数据获取者接收有两次归属于数据处理者的验证令牌；数据所有者比较两次接收的归属于数据处理者的验证令牌是否相同；数据处理者比较两次接收的归属于数据所有者的验证令牌是否相同，数据处理者比较两次接收的归属于数据获取者的验证令牌是否相同，数据获取者比较两次接收的归属于数据处理者的验证令牌是否相同，若数据获取者、数据处理者以及数据所有者各自的比较结果均相同，则可以确定数据获取者、数据处理者以及数据所有者三者的认证通过，即可以在数据获取者、数据处理者以及数据所有者三者之间构建数据交易即共享的数据交易会话。
31.如：该交易终端的数量设置为两个：数据获取者及数据所有者，在正常的数据交易及共享过程中，数据所有者拥有待交易和共享的数据，可由数据获取者、数据所有者任一方发起数据交易请求，数据所有者将该待交易和共享的数据发送至数据获取者，从而完成该数据交易和共享，即：该数据所有者只与数据获取者构成数据交互。故在本实施例中，在进行该待交易和共享的数据的传输之前，还需执行上述的步骤s100-步骤s120，具体的，在数据获取者、数据所有者的基础上加设权限机，该数据获取者、数据所有者均与该权限机构成数据连接，故，该数据获取者、数据所有者均和该权限机进行双向验证，值得注意的是，在该双向验证过程中，由该权限机向该数据获取者发送归属于该数据所有者的验证令牌，由该权限机向数据所有者发送归属于该数据获取者的验证令牌；在双向验证通过的情况下，该数据获取者向数据所有者发送归属于该数据获取者的验证令牌，该数据所有者向该数据获取者发送归属于该数据所有者的验证令牌；故：使得数据所有者接收有两次归属于数据获取者的验证令牌，数据获取者接收有两次归属于数据所有者的验证令牌；数据所有者比较两次接收的归属于数据获取者的验证令牌是否相同；数据获取者比较两次接收的归属于数据所有者的验证令牌是否相同，若数据获取者以及数据所有者各自的比较结果均相同，则可以确定数据获取者以及数据所有者二者的认证通过，即可以在数据获取者以及数据所有者三者之间构建数据交易即共享的数据交易会话。
32.在另一实施例中，关于本文中涉及的验证令牌及其验证过程，进行以下示范性设置：上述涉及的交易终端及权限机均设有对应的密钥对，每个所述密钥对均包括：私钥和公钥；该公钥被所属的交易终端和权限机进行公开发布（如：广播），而且，交易终端及权限机均通过自身的私钥对自身发出的验证令牌进行加密；而且，接收验证令牌的所述交易终端及所述权限机均通过对应的公钥对该验证令牌进行解密，若解密成功，则表征为该验证令
牌验证通过，其中，该对应的公钥表征为发出该验证令牌的所述交易终端和/或所述权限机所对应的公钥。
33.即：上述步骤s100具体包括：在参与数据交易的交易终端与权限机之间进行双向验证，其中，在双向验证过程中，由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的token，由于该token是由权限机发送，则该token则由权限机对应的私钥加密后再由权限机发送出来，当然，在步骤s120进行验证令牌比较前，各个交易终端需要利用权限机对应的公钥对步骤s100中接收到的token进行解密，以得到待比较的token；上述步骤s120具体包括：在双向验证通过的情况下，在构成数据交互的所述交易终端之间互发自身的token，各个交易终端发出的token均被自身的私钥进行解密，接收到token的交易终端会通过发送该token的交易终端所对应的公钥对该token进行解密，得到解密后的token，在所有所述交易终端确定自身两次接收到的归属于同一交易终端的解密后token均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话。
34.在另一实施例中，针对上述步骤s100，其一种选项为：步骤s101：在所述参与数据交易的交易终端与所述权限机之间互发归属于自身的验证令牌；即：每个参与数据交易的交易终端均向权限机发送自身的验证令牌；而且，权限机也向每个参与数据交易的交易终端发送自身的验证令牌。即：每个参与数据交易的交易终端均通过自身对应的私钥将自身的token进行加密后发送至权限机；而且，权限机也通过自身对应的私钥将自身的token进行加密后发送至每个参与数据交易的交易终端。
35.其中，所述权限机与归属于该权限机的验证令牌一一对应。
36.步骤s102：在所述交易终端与所述权限机均对接收到的验证令牌验证通过的情况下，以完成参与数据交易的交互终端与所述权限机之间的双向认证。
37.每个交易终端在收到权限机发送的归属于该权限机的验证令牌后，每个交易终端均对接收到的归属于权限机的验证令牌进行验证；同时，该权限机在收到各个交易终端发送的归属于各自的验证令牌后，该权限机对归属于各个交易终端的验证令牌进行验证；若每个交易终端及权限机对各自接收的验证令牌均验证通过，则意味着参与数据交易的交互终端与所述权限机之间的双向认证完成。即：只要有任一交易终端或权限机对接收到的验证令牌验证不通过，则该双向验证失败。
38.当然，在执行上述步骤s102之前，步骤s100还包括：所述权限机将构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌。
39.具体的，如：该交易终端的数量设置为两个：数据获取者及数据所有者，数据获取者及数据所有者均向权限机发送各自的验证令牌，而且，权限机也向数据获取者及数据所有者分别发送自身的验证令牌。即：数据获取者及数据所有者均通过自身对应的私钥将自身的token进行加密后发送至权限机；而且，权限机也通过自身对应的私钥将自身的token进行加密后发送至数据获取者及数据所有者。
40.数据获取者及数据所有者在收到权限机发送的归属于该权限机的token（该权限机通过自身对应的私钥进行加密后的token）后，数据获取者及数据所有者均通过该权限机对应的公钥对该token（该权限机通过自身对应的私钥进行加密后的token）进行解密；同时，该权限机在收到数据获取者发送的归属于数据获取者的token（该数据获取者通过自身
对应的私钥进行加密后的token）后，该权限机对归属于数据获取者的token（该数据获取者通过自身对应的私钥进行加密后的token）进行解密；同时，该权限机在收到数据所有者发送的归属于数据所有者的token（该数据所有者通过自身对应的私钥进行加密后的token）后，该权限机对归属于数据所有者的token（该数据所有者通过自身对应的私钥进行加密后的token）进行解密；若数据获取者及数据所有者均对接收到的归属于该权限机的token（该权限机通过自身对应的私钥进行加密后的token）解密成功，并且，权限机接收到的归属于数据所有者的token（该数据所有者通过自身对应的私钥进行加密后的token）以及归属于数据获取者的token（该数据获取者通过自身对应的私钥进行加密后的token）也均解密成功，则意味着参与数据交易的交互终端与所述权限机之间的双向认证完成。但：只要有数据获取者、或数据所有者、或权限机对接收到的token未成功解密，则该双向验证失败。
41.而且，在双向验证过程中，由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的token，由于该token是由权限机发送，则该token则由权限机对应的私钥加密后再由权限机发送出来，当然，在步骤s120进行验证令牌比较前，各个交易终端需要利用权限机对应的公钥对步骤s100中接收到的token进行解密，以得到待比较的token。
42.在另一实施例中，针对上述步骤s100，其另一种选项为：步骤s111：由参与数据交易的交易终端发送各自的验证令牌至所述权限机；步骤s112：在所述权限机对归属于所述交易终端的验证令牌验证通过的情况下，确定验证通过的验证令牌所对应的交易终端为可信任终端，以完成单向验证；步骤s113：由所述权限机发送相关数据信息至确定为可信任终端的所述交易终端；其中，所述相关数据信息包括：该权限机的验证令牌、以及与该确定为可信任终端的所述交易终端构成数据交互的另一侧交易终端的验证令牌，其中，所述权限机与归属于该权限机的验证令牌一一对应；步骤s114：由确定为可信任终端的所述交易终端对归属于该权限机的验证令牌验证通过的情况下，确定所述权限机为可信任的权限机，以完成参与数据交易的交互终端与所述权限机之间的双向认证。
43.就此，通过该步骤s111-s104,不仅可以完成参与数据交易的各个交易终端与权限机之间的双向验证，而且，在双向验证过程中，还由权限机将与该确定为可信任终端的所述交易终端构成数据交互的另一侧交易终端的验证令牌发送至该确定为双向验证通过后的所述交易终端。
44.在本方案中，并不对上述步骤s101-s102、以及步骤s111-s104的选择进行限定，上述步骤s101-s102、以及步骤s111-s104中，均通过权限机对交易终端之间是否可以进行交易做了权限判断，故可以根据实际情况选择性执行上述步骤s101-s102或步骤s111-s104。
45.此外，在另一实施例中，在参与数据交易的交易终端为两个甚至更多时，在构建交易终端之间的数据交易会话前，其中一个步骤是需要在参与数据交易的各个交易终端与权限机之间进行双向认证，该双向认证的其中一个步骤就是：交易终端向所述权限机发送归属于该交易终端的验证令牌，针对该“交易终端向所述权限机发送归属于该交易终端的验证令牌”，其具体包括：步骤s1111：由任一所述交易终端发送数据交易请求至所述权限机，其中，所述交
易请求包括：归属于所述任一交易终端的验证令牌、以及与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息；步骤s1112：基于该与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息，由所述权限机将所述数据交易请求转发至与所述任一交易终端构成数据交互的另一侧交易终端；步骤s1113：由所述权限机接收归属于该与所述任一交易终端构成数据交互的另一侧交易终端的验证令牌；其中，该归属于与所述任一交易终端构成数据交互的另一侧交易终端的验证令牌为该与所述任一交易终端构成数据交互的另一侧交易终端响应所述数据交易请求而反馈的。
46.由此，在参与数据交易的交易终端中，由任一交易终端发出数据交易请求，即可使得每个参与数据交易的交易终端均向所述权限机发送归属于该交易终端的验证令牌。
47.此外，在另一实施例中，在上述步骤s120中，在构成数据交互的所述交易终端之间互发自身的验证令牌之后，并在所有所述交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同之前，该数据交易及共享会话构建方法，还包括：步骤s121：在构成数据交互的所述交易终端之间互发归属于所述权限机的验证令牌；步骤s122：比较每个所述交易终端两次接收到的归属于所述权限机的验证令牌以及归属于同一交易终端的验证令牌是否均相同；若是，则执行步骤s123，否则，则执行步骤s124；步骤s123：构建参与该数据交易的交易终端之间的数据交易会话；步骤s124：停止进程。
48.故在本实施例中，在双向验证之后，构成数据交互的交易终端之间还会互发归属于权限机的验证令牌，然后每个交易终端都会在双向验证期间接收到归属于与之交互的交易终端的验证令牌以及归属于权限机的验证令牌；在步骤s120以及步骤s121中，每个交易终端还会接收到归属于与之交互的交易终端的验证令牌以及归属于权限机的验证令牌；故只需比较每个交易终端在这两次接收到的与之交互的交易终端的验证令牌以及归属于权限机的验证令牌是否均相同，若相同，则构建参与该数据交易的交易终端之间的数据交易会话；否则，停止进程。
49.此外，在另一实施例中，上述步骤s122的另一种选项为：步骤s1221：由所述交易终端分别将两次接收到的归属于所述权限机的验证令牌以及归属于与该交易终端构成数据交互的另一侧交易终端的验证令牌进行绑定；步骤s1222：比较每个交易终端中归属于同一交易终端的两个绑定数据是否相同；若是，则执行步骤s1223，否则，则执行步骤s1224；步骤s1223：构建参与该数据交易的交易终端之间的数据交易会话；步骤s1224：停止进程。
50.故在本实施例中，在双向验证之后，构成数据交互的交易终端之间还会互发归属于权限机的验证令牌，然后每个交易终端都会在双向验证期间接收到归属于与之交互的交易终端的验证令牌以及归属于权限机的验证令牌；在步骤s120以及步骤s121中，每个交易终端还会接收到归属于与之交互的交易终端的验证令牌以及归属于权限机的验证令牌；每
个交易终端均将每次接收到的归属于与之交互的交易终端的验证令牌以及归属于权限机的验证令牌进行绑定，然后，每个交易终端只需比较其接收的归属于同一交易终端的两个绑定数据是否相同，若相同，则构建参与该数据交易的交易终端之间的数据交易会话；否则，停止进程。
51.此外，在另一实施例中，该数据交易请求还包括：待交易数据属性信息、与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息；故在步骤s113、或s120、或步骤s1223之前，该数据交易及共享会话构建方法还包括：基于所述待交易数据属性信息、与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息，由所述权限机生成交易决策；在所述交易决策通过的情况下，确定所述数据交易具备有效性。
52.就此，可以对该数据交易是否具备有效性进行校验。
53.具体的，一个典型的数据交易包括数据所有者和数据获取者，通过权限机对是否可以进行数据交易做权限判断。数据交易可以由所有者发起也可由获取者发起，在此不做限制。权限机接收数据交易请求，该数据交易请求中包括：待交易数据属性信息、所述任一交易终端的终端属性信息。其中，该终端属性信息包括但不限于该任一交易终端所处地域、该任一交易终端数据交易历史、该任一交易终端信用等级等。待交易数据属性信息包括但不限于个人身份信息（pii）、敏感信息、数据类型、数据限制区域、数据所允许的用户等级。权限机根据规则库中所存规则对待交易数据属性信息、所述任一交易终端的终端属性信息进行分析，判断交易是否可以进行。
54.具体的，该权限机包括但不限于：策略执行模块、规则判断模块、规则库以及属性获取模块。
55.其中，策略执行模块用于接受任一交易终端的数据交易请求，与规则判断模块通讯获取交易决策结果，向该任一交易终端发送交易签名建立交易终端之间的交易会话；规则判断模块用于接收策略执行模块传送的数据交易请求（待交易数据属性信息、任一交易终端的终端属性信息、以及与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息），收集做出交易权限决策所需的适用策略和数据（从属性获取模块和规则库），将规则和属性公式化得到逻辑运算结果，返回给策略执行模块；规则库保存数据交易合规性要求和其他所需管理的规则集合，这些规则可以使用逻辑运算，如与（and）、或（or）、非（not），进行组合；属性获取模块收集有关参与数据交易的交易终端、待交易数据和环境的相关数据提供给规则判断模块。
56.根据图3-图5，在一个典型的数据交易场景包括数据所有者和数据获取者，通过权限机对是否可以进行数据交易做权限判断。数据交易可以由所有者发起也可由获取者发起，在此不做限制。权限机接收数据交易请求，该数据交易请求中包括：待交易数据属性信息、所述任一交易终端的终端属性信息。其中，该终端属性信息包括但不限于该任一交易终端所处地域、该任一交易终端数据交易历史、该任一交易终端信用等级等。待交易数据属性信息包括但不限于个人身份信息（pii）、敏感信息、数据类型、数据限制区域、数据所允许的用户等级。权限机根据规则库中所存规则对待交易数据属性信息、所述任一交易终端的终端属性信息进行分析，判断交易是否可以进行。
57.故本发明第二实施例提供了一种数据交易及共享会话构建系统，可由数据所有者或数据获取者发起数据交易请求，具体的，以数据获取者发起数据交易请求为例，在获取者持有密钥对1（私钥1及公钥1），所有者持有密钥对2（私钥2及公钥2），权限机持有密钥对3（私钥3及公钥3），其中，私钥用于签名授权，确保只有密钥产生者拥有，公钥则可公开发布：1.数据获取者向权限机发起数据交易请求，该数据交易请求中包含数据所有者、待交易数据属性信息以及经私钥1加密的token1，权限机使用公钥1解密获得token1；2.权限机将数据交易请求转发给数据所有者；3.数据所有者向权限机返回经私钥2加密的token2，权限机使用公钥2解密获得token2；4.权限机的策略执行模块与规则判断模块通讯获取交易决策结果，如通过则执行步骤5及6；否则，停止进程；5.权限机向数据获取者发送经私钥3加密的token2+token3，数据获取者使用公钥3进行解密，获得token2+token3；token2表示数据所有者已签名认可，token3表示权限机已签名认可；6.权限机向数据所有者发送经私钥3加密的token1+token3，数据所有者使用公钥3进行解密，获得token1+token3；token1表示数据获取者已签名认可，token3表示权限机已签名认可；其中，在本实施例中，步骤5及步骤6的执行时机不分先后；7.数据所有者向数据获取者发送经私钥2加密的token2+token3，数据获取者使用公钥2解密，获得token2+token3；然后将本步骤获得的经解密后的token2+token3与步骤5所得的token2+token3进行比较；8.数据获取者向数据所有者发送经私钥1加密的token1+token3，数据获取者使用公钥1解密，获得token1+token3；然后将本步骤获得的经解密后的token1+token3与步骤6所得的token1+token3进行比较；其中，在本实施例中，步骤7及步骤8的执行时机不分先后；在步骤7和8的比较结果均为相同的情况下，即成功构建数据获取者与数据所有者之间的交易会话。
58.其中，该权限机包括但不限于：策略执行模块、规则判断模块、规则库以及属性获取模块。
59.其中，策略执行模块用于接受任一交易终端的数据交易请求，与规则判断模块通讯获取交易决策结果，向该任一交易终端发送交易签名建立交易终端之间的交易会话；规则判断模块用于接收策略执行模块传送的数据交易请求（待交易数据属性信息、任一交易终端的终端属性信息、以及与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息），收集做出交易权限决策所需的适用策略和数据（从属性获取模块和规则库），将规则和属性公式化得到逻辑运算结果，返回给策略执行模块；规则库保存数据交易合规性要求和其他所需管理的规则集合，这些规则可以使用逻辑运算，如与（and）、或（or）、非（not），进行组合；属性获取模块收集有关参与数据交易的交易终端、待交易数据和环境的相关数据提供给规则判断模块。
60.根据图2所示，本发明第三实施例提供了一种数据交易及共享会话构建系统，所述系统包括：权限机，与参与数据交易的交易终端构成数据连接，用于接收并验证参与数据交易的交易终端各自上传自身的验证令牌，而且，所述权限机还将自身的验证令牌发送至参与数据交易的交易终端；交易终端，数量设置为至少两个且每个交易终端均参与数据交易，每个交易终端均接收并验证所述权限机发送的归属于该权限机的验证令牌；而且，在所述权限机与参与数据交易的每个交易终端之间的双向验证均通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，在所有所述交易终端确定其两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话。
61.本发明第四实施例提供了一种计算机设备，包括：一个或多个处理器；存储器；一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于：执行根据上述的数据交易及共享会话构建方法。
62.上述方法步骤的具体实施例过程可参见第一、二及三实施例，本实施例在此不再重复赘述。
63.本发明第五实施例提供了一种计算机可读存储介质，所述存储介质存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述的数据交易及共享会话构建方法。
64.上述方法步骤的具体实施例过程可参见第一、二及三实施例，本实施例在此不再重复赘述。
65.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质（如rom/ram、磁碟、光盘）中，包括若干指控制用以使得一台终端（可以是手机，计算机，服务器，空调器，或者网络设备等）执行本发明各个实施例所述的方法。
66.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

技术特征：

1.一种数据交易及共享会话构建方法，其特征在于，所述方法包括：在参与数据交易的交易终端与权限机之间进行双向验证，其中，在双向验证过程中，由所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌；在双向验证通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，在所有所述交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话；其中，所述交易终端的数量设置为至少两个，且每个所述交易终端均与其余至少一个交易终端构成数据连接，而且，所述交易终端与归属于该交易终端的验证令牌一一对应。2.根据权利要求1所述的方法，其特征在于，所述在参与数据交易的交易终端与权限机之间进行双向验证，包括：在所述参与数据交易的交易终端与所述权限机之间互发归属于自身的验证令牌；在所述交易终端与所述权限机均对接收到的验证令牌验证通过的情况下，完成参与数据交易的交互终端与所述权限机之间的双向认证，其中，所述权限机与归属于该权限机的验证令牌一一对应。3.根据权利要求2所述的方法，其特征在于，在所述交易终端与所述权限机均对接收到的验证令牌进行验证之前，所述方法还包括：所述权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌。4.根据权利要求1所述的方法，其特征在于，所述在参与数据交易的交易终端与权限机之间进行双向验证，包括：由参与数据交易的交易终端发送各自的验证令牌至所述权限机；在所述权限机对归属于所述交易终端的验证令牌验证通过的情况下，确定验证通过的验证令牌所对应的交易终端为可信任终端，以完成单向验证；由所述权限机发送相关数据信息至确定为可信任终端的所述交易终端；其中，所述相关数据信息包括：该权限机的验证令牌、以及与该确定为可信任终端的所述交易终端构成数据交互的另一侧交易终端的验证令牌，其中，所述权限机与归属于该权限机的验证令牌一一对应；由确定为可信任终端的所述交易终端对归属于该权限机的验证令牌验证通过的情况下，确定所述权限机为可信任的权限机，以完成参与数据交易的交互终端与所述权限机之间的双向认证。5.根据权利要求2或4所述的方法，其特征在于，所述交易终端向所述权限机发送归属于该交易终端的验证令牌，包括：由任一所述交易终端发送数据交易请求至所述权限机，其中，所述交易请求包括：归属于所述任一交易终端的验证令牌、以及与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息；基于该与所述任一交易终端构成数据交互的另一侧交易终端的终端属性信息，由所述权限机将所述数据交易请求转发至与所述任一交易终端构成数据交互的另一侧交易终端；由所述权限机接收归属于该与所述任一交易终端构成数据交互的另一侧交易终端的验证令牌；其中，该归属于与所述任一交易终端构成数据交互的另一侧交易终端的验证令
牌为该与所述任一交易终端构成数据交互的另一侧交易终端响应所述数据交易请求而反馈的。6.根据权利要求3或4所述的方法，其特征在于，在构成数据交互的所述交易终端之间互发自身的验证令牌之后，并在构建参与该数据交易的交易终端之间的数据交易会话之前，所述方法还包括：在构成数据交互的所述交易终端之间互发归属于所述权限机的验证令牌；比较每个所述交易终端两次接收到的归属于所述权限机的验证令牌以及归属于同一交易终端的验证令牌是否均相同；若是，则构建参与该数据交易的交易终端之间的数据交易会话。7.根据权利要求6所述的方法，其特征在于，比较每个所述交易终端两次接收到的归属于所述权限机的验证令牌以及归属于同一交易终端的验证令牌是否均相同，包括：由所述交易终端分别将两次接收到的归属于所述权限机的验证令牌以及归属于与该交易终端构成数据交互的另一侧交易终端的验证令牌进行绑定；比较每个交易终端中归属于同一交易终端的两个绑定数据是否相同；若是，则构建参与该数据交易的交易终端之间的数据交易会话。8.根据权利要求5所述的方法，其特征在于，所述数据交易请求还包括：待交易数据属性信息、任一交易终端的终端属性信息；在所述构建参与该数据交易的交易终端之间的数据交易会话之前，所述方法还包括：基于所述待交易数据属性信息、所述任一交易终端的终端属性信息，由所述权限机生成交易决策；在所述交易决策通过的情况下，确定所述数据交易具备有效性。9.根据权利要求2所述的方法，其特征在于，所述交易终端及所述权限机均设有对应的密钥对，每个所述密钥对均包括：私钥和公钥；所述交易终端及所述权限机均通过自身的私钥对自身发出的验证令牌进行加密；而且，接收验证令牌的所述交易终端及所述权限机均通过对应的公钥对该验证令牌进行解密，若解密成功，则表征为该验证令牌验证通过，其中，该对应的公钥表征为发出该验证令牌的所述交易终端和/或所述权限机所对应的公钥。10.一种数据交易及共享会话构建系统，其特征在于，所述系统包括：权限机，与参与数据交易的交易终端构成数据连接，用于接收并验证参与数据交易的交易终端各自上传自身的验证令牌，而且，所述权限机还将自身的验证令牌发送至参与数据交易的交易终端；以及交易终端，数量设置为至少两个且每个交易终端均参与数据交易，每个交易终端均接收并验证所述权限机发送的归属于该权限机的验证令牌；而且，在所述权限机与参与数据交易的每个交易终端之间的双向验证均通过的情况下，在构成数据交互的所述交易终端之间互发自身的验证令牌，在所有所述交易终端确定其两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话。11.一种计算机设备，其特征在于，包括：一个或多个处理器；存储器；一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于：执行根据权利要求1至9任一项所述的数据交
易及共享会话构建方法。12.一种计算机可读存储介质，特征在于，所述存储介质存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至9任一所述的数据交易及共享会话构建方法。

技术总结

本发明涉及一种数据交易及共享会话构建方法、系统、设备及存储介质，其中，该方法包括：在参与数据交易的交易终端与权限机之间进行双向验证，其中，在双向验证过程中，由权限机向构成数据交互的其中一侧交易终端发送归属于另一侧交易终端的验证令牌；在双向验证通过的情况下，在构成数据交互的交易终端之间互发自身的验证令牌，在所有交易终端确定自身两次接收到的归属于同一交易终端的验证令牌均相同的情况下，构建参与该数据交易的交易终端之间的数据交易会话；通过权限机可以在相互不信任的交易终端之间构建信任机制，继而权限机可以对交易终端之间的交易权限进行管理。对交易终端之间的交易权限进行管理。对交易终端之间的交易权限进行管理。