CN112152801A - 一种基于区块链技术的数据资产确权方法 - Google Patents

Abstract

本发明公开了一种基于区块链技术的数据资产确权方法，基础设施层包括IOT设备、业务系统库、互联网/专网模块、主机/储存模块和安全设备，IOT设备用于设备数据的采集，网络资源根据实际部署情况采用互联网或者专网模块，主机/储存模块根据存储资源使用的服务器类型可以分为私有服务器和云服务器，安全设备用于保护底层网络系统的安全性，网络层包括区块链网络和若干个区块，区块链网络用于构建整个系统架构基础区块链网络，在同一协议下，区块链网络通过区块链适配器统一适配不同底层的接口，通过提供上层统一接口，兼容不同底层。本发明极大的提高了数据资产确权的安全性，具有较好的确权效果。

Description

一种基于区块链技术的数据资产确权方法

技术领域

本发明涉及数据确权领域，具体涉及一种基于区块链技术的数据资产确权方法。

背景技术

数据资产确权是为了保障数据资产的安全，而确定数字资产归属的一种手段，数据资产确权的目的地是为了防止数据丢失，保障数据资产所有者的财产安全，减少数据资产遗失或者被侵占的风险。

现有的数据资产确权方法在对数字资产进行确权时手段单一，且数据资产的安全性得不到保障，同时不能方便对数据的真伪性进行鉴别，导致数据资产在确权时存在一定的风险，因此，如何将打造一种新型的数据治理实时数据质量检测系统成为一个亟待解决的问题。

发明内容

本发明所要解决的技术问题在于：现有的数据资产确权方法在对数字资产进行确权时手段单一，且数据资产的安全性得不到保障，同时不能方便对数据的真伪性进行鉴别，导致数据资产在确权时存在一定的风险；本发明中采用区块链配合数据水印技术，利用区块链的不可伪造、全程留痕、可以追溯、公开透明和集体维护的特性，结合数据水印对数据资产的标识信息的嵌入，达到了版本保护、保密通信、文件真伪鉴别和产品标识的目的，且嵌入数据的信息不影响数据载体的使用，并且不容易被提取或修改，水印可以进行提取证明数据产权归属，从源头确保数据真实性，也保证数据记录未篡改和可追溯；采用服务层实现数隐私配合基础设施层安全设备的安全防护，在数据资产共享交换和数据流通过程中，保障数据安全并保护隐私，解决了数据所有权确认、流通路径控制、避免数据被未授权使用、避免泄露隐私等问题，从安全的角度打造了完整的数据流通机制；整个确权过程数据不会被篡改，避免了人为干扰，数据在传输、存储过程中不会丢失，当数据改动后，数据水印信息不会丢失，保障被准确鉴别，让水印在原始数据中隐藏于无形，不影响原数据使用，可以从数据片段中提取水印信息，进行数据溯源，溯源成功率高，水印提取规则的精确设计最大限度降低数据溯源的错误概率。

本发明是通过以下技术方案解决上述技术问题的，一种基于区块链技术的数据资产确权方法，其特征在于，该方法由如下系统架构实现，该系统架构分为五层，依次为：基础设施层、网络层、合约层、服务层和展示层；

基础设施层包括IOT设备、业务系统库、互联网/专网模块、主机/储存模块和安全设备，IOT设备用于设备数据的采集，网络资源根据实际部署情况采用互联网或者专网模块，主机/储存模块根据存储资源使用的服务器类型可以分为私有服务器和云服务器，安全设备用于保护底层网络系统的安全性；

网络层包括区块链网络和若干个区块，区块链网络用于构建整个系统架构基础区块链网络，在同一协议下，区块链网络通过区块链适配器统一适配不同底层的接口，通过提供上层统一接口，兼容不同底层；

合约层包括预言机、分布式身份标识模块、智能合约模块和跨链互操作模块，预言机、分布式身份标识模块与跨链互操作模块相互协作形成智能合约方式；

服务层包括数据采集模块、数据上链模块、数据存证模块、数据交易模块、访问控制模块、数据隐私模块、数据共享模块、监管审计模块和数据水印模块；

展示层包括数据存证平台、数据交易平台和区块链管理后台；

该基于区块链技术的数据资产确权方法在运行时具体包括如下步骤：

步骤一：各个待确权的数据资产向证书机构CA申请公钥数字证书；

步骤二：业务系统库作为数据资源方利用区块链网络对数据进行分块，将数据资源分成若干块，采用BLS签名方案对数据块取认证器，并把数据块数、数据库认证器、数据标识符ID的签名的确权请求信息发送给审计中心；

步骤三：审计中心利用数据源供应方的公钥验证签名的正确性，若验证通过则审计中心会向数据源供应方发送证据挑战请求，最后审计中心收到证据后，验证等式是否成立，若成立则数据源供应方向水印中心申请生成水印并完成水印嵌入；

步骤四：审计中心和水印中心将挑战证据、相关确权信息、水印以及相关元信息以JSON的格式封装成一笔交易并发送给数据源供应方，待数据源供应方签名以后再将其发送到Fabric区块链权属登记商业网络；

步骤五：网络中的共识节点在鉴定交易中签名的合法性后，按照共识算法的要求最终将权属信息写入Fabric区块链，完成数据资产确权。

优选的，采用BLS签名方案对数据块取认证器具体包括如下步骤：

S1:密钥生成算法KeyGen：随机选取x in[0，r-1]作为私钥，sk＝x，计算公钥pk＝g^x，g是群G的生成元；

S2：签名算法Sign：消息m的签名为sign＝h^x，h＝Hash(m)；

S3：验证算法Verify：验证者拥有G，g^x(pk)，m和sign，验证e(sign，g)和e(Hash(m)，pk)是否相等，如果相等那么签名验证通过。

优选的，认证器的具体处理步骤如下：

S11：令(pk，sk)为签名者的公私钥对，σ1，σ2分别为数据块m1，m2∈Zp的签名；

S22：Blockless可验证性(BlocklessVerifiability)：给定σ1，σ2，两个随机数α1，α2∈Zp和一个数据块m′＝α1m1+α2m2∈Zp，验证者能够在不知道m1和m2的情况下验证m′的正确性；

S33：不可延展性(NonGmalleability)：给定σ1，σ2，两个随机数α1，α2∈Zp和一个数据块m′＝α1m1+α2m2∈Zp，没有私钥sk的用户不可以通过线性组合σ1和σ2生成一个关于数据块m′的有效签名σ′。

优选的，服务层用于展示层结构的供给，数据上链用于将数据写入到区块当中，数据存储模块用于数据存证，数据交易模块用于数据交易，访问控制模块用于对用户访问权限进行控制，数据隐私模块用于隐私数据的加密，数据共享模块、监管审计模块和数据水印模块分别用于数据共享，监管审计和水印的添加。

优选的，展示层用于提供可视化界面，用于平台使用者与网络管理人员进行人机交互，数据存证平用于数据的采集、上传和存证，并通过预言机生成可供相关审计工作使用的验证证书，数据交易平台用于数据的交易与安全共享，区块链管理后台利用智能合约进行跨主体之间的数据安全交易与协作，同时提供动态网络配置，对网络节点运行状态进行监控。

本发明相比现有技术具有以下优点：本发明中采用区块链配合数据水印技术，利用区块链的不可伪造、全程留痕、可以追溯、公开透明和集体维护的特性，结合数据水印对数据资产的标识信息的嵌入，达到了版本保护、保密通信、文件真伪鉴别和产品标识的目的，且嵌入数据的信息不影响数据载体的使用，并且不容易被提取或修改，水印可以进行提取证明数据产权归属，从源头确保数据真实性，也保证数据记录未篡改和可追溯；采用服务层实现数隐私配合基础设施层安全设备的安全防护，在数据资产共享交换和数据流通过程中，保障数据安全并保护隐私，解决了数据所有权确认、流通路径控制、避免数据被未授权使用、避免泄露隐私等问题，从安全的角度打造了完整的数据流通机制；整个确权过程数据不会被篡改，避免了人为干扰，数据在传输、存储过程中不会丢失，当数据改动后，数据水印信息不会丢失，保障被准确鉴别，让水印在原始数据中隐藏于无形，不影响原数据使用，可以从数据片段中提取水印信息，进行数据溯源，溯源成功率高，水印提取规则的精确设计最大限度降低数据溯源的错误概率。

附图说明

图1是本发明的系统框架图；

图2是本发明的系统交互流程图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

如图1-2所示，一种基于区块链技术的数据资产确权方法，其特征在于，该方法由如下系统架构实现，该系统架构分为五层，依次为：基础设施层、网络层、合约层、服务层和展示层；

基础设施层包括IOT设备、业务系统库、互联网/专网模块、主机/储存模块和安全设备，IOT设备用于设备数据的采集，网络资源根据实际部署情况采用互联网或者专网模块，主机/储存模块根据存储资源使用的服务器类型可以分为私有服务器和云服务器，安全设备用于保护底层网络系统的安全性；

网络层包括区块链网络和若干个区块，区块链网络用于构建整个系统架构基础区块链网络，在同一协议下，区块链网络通过区块链适配器统一适配不同底层的接口，通过提供上层统一接口，兼容不同底层；

合约层包括预言机、分布式身份标识模块、智能合约模块和跨链互操作模块，预言机、分布式身份标识模块与跨链互操作模块相互协作形成智能合约方式；

服务层包括数据采集模块、数据上链模块、数据存证模块、数据交易模块、访问控制模块、数据隐私模块、数据共享模块、监管审计模块和数据水印模块；

展示层包括数据存证平台、数据交易平台和区块链管理后台；

该基于区块链技术的数据资产确权方法在运行时具体包括如下步骤：

步骤一：各个待确权的数据资产向证书机构CA申请公钥数字证书；

步骤二：业务系统库作为数据资源方利用区块链网络对数据进行分块，将数据资源分成若干块，采用BLS签名方案对数据块取认证器，并把数据块数、数据库认证器、数据标识符ID的签名的确权请求信息发送给审计中心；

步骤三：审计中心利用数据源供应方的公钥验证签名的正确性，若验证通过则审计中心会向数据源供应方发送证据挑战请求，最后审计中心收到证据后，验证等式是否成立，若成立则数据源供应方向水印中心申请生成水印并完成水印嵌入；

步骤四：审计中心和水印中心将挑战证据、相关确权信息、水印以及相关元信息以JSON的格式封装成一笔交易并发送给数据源供应方，待数据源供应方签名以后再将其发送到Fabric区块链权属登记商业网络；

步骤五：网络中的共识节点在鉴定交易中签名的合法性后，按照共识算法的要求最终将权属信息写入Fabric区块链，完成数据资产确权。

采用BLS签名方案对数据块取认证器具体包括如下步骤：

S1:密钥生成算法KeyGen：随机选取x in[0，r-1]作为私钥，sk＝x，计算公钥pk＝g^x，g是群G的生成元；

S2：签名算法Sign：消息m的签名为sign＝h^x，h＝Hash(m)；

S3：验证算法Verify：验证者拥有G，g^x(pk)，m和sign，验证e(sign，g)和e(Hash(m)，pk)是否相等，如果相等那么签名验证通过。

认证器的具体处理步骤如下：

S11：令(pk，sk)为签名者的公私钥对，σ1，σ2分别为数据块m1，m2∈Zp的签名；

S22：Blockless可验证性(BlocklessVerifiability)：给定σ1，σ2，两个随机数α1，α2∈Zp和一个数据块m′＝α1m1+α2m2∈Zp，验证者能够在不知道m1和m2的情况下验证m′的正确性；

S33：不可延展性(NonGmalleability)：给定σ1，σ2，两个随机数α1，α2∈Zp和一个数据块m′＝α1m1+α2m2∈Zp，没有私钥sk的用户不可以通过线性组合σ1和σ2生成一个关于数据块m′的有效签名σ′。

服务层用于展示层结构的供给，数据上链用于将数据写入到区块当中，数据存储模块用于数据存证，数据交易模块用于数据交易，访问控制模块用于对用户访问权限进行控制，数据隐私模块用于隐私数据的加密，数据共享模块、监管审计模块和数据水印模块分别用于数据共享，监管审计和水印的添加。

展示层用于提供可视化界面，用于平台使用者与网络管理人员进行人机交互，数据存证平用于数据的采集、上传和存证，并通过预言机生成可供相关审计工作使用的验证证书，数据交易平台用于数据的交易与安全共享，区块链管理后台利用智能合约进行跨主体之间的数据安全交易与协作，同时提供动态网络配置，对网络节点运行状态进行监控。

本发明中采用区块链配合数据水印技术，利用区块链的不可伪造、全程留痕、可以追溯、公开透明和集体维护的特性，结合数据水印对数据资产的标识信息的嵌入，达到了版本保护、保密通信、文件真伪鉴别和产品标识的目的，且嵌入数据的信息不影响数据载体的使用，并且不容易被提取或修改，水印可以进行提取证明数据产权归属，从源头确保数据真实性，也保证数据记录未篡改和可追溯；采用服务层实现数隐私配合基础设施层安全设备的安全防护，在数据资产共享交换和数据流通过程中，保障数据安全并保护隐私，解决了数据所有权确认、流通路径控制、避免数据被未授权使用、避免泄露隐私等问题，从安全的角度打造了完整的数据流通机制；整个确权过程数据不会被篡改，避免了人为干扰，数据在传输、存储过程中不会丢失，当数据改动后，数据水印信息不会丢失，保障被准确鉴别，让水印在原始数据中隐藏于无形，不影响原数据使用，可以从数据片段中提取水印信息，进行数据溯源，溯源成功率高，水印提取规则的精确设计最大限度降低数据溯源的错误概率。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (5)

1.一种基于区块链技术的数据资产确权方法，其特征在于，该方法由如下系统架构实现，该系统架构分为五层，依次为：基础设施层、网络层、合约层、服务层和展示层；

基础设施层包括IOT设备、业务系统库、互联网/专网模块、主机/储存模块和安全设备，IOT设备用于设备数据的采集，网络资源根据实际部署情况采用互联网或者专网模块，主机/储存模块根据存储资源使用的服务器类型可以分为私有服务器和云服务器，安全设备用于保护底层网络系统的安全性；

网络层包括区块链网络和若干个区块，区块链网络用于构建整个系统架构基础区块链网络，在同一协议下，区块链网络通过区块链适配器统一适配不同底层的接口，通过提供上层统一接口，兼容不同底层；

合约层包括预言机、分布式身份标识模块、智能合约模块和跨链互操作模块，预言机、分布式身份标识模块与跨链互操作模块相互协作形成智能合约方式；

服务层包括数据采集模块、数据上链模块、数据存证模块、数据交易模块、访问控制模块、数据隐私模块、数据共享模块、监管审计模块和数据水印模块；

展示层包括数据存证平台、数据交易平台和区块链管理后台；

该基于区块链技术的数据资产确权方法在运行时具体包括如下步骤：

步骤一：各个待确权的数据资产向证书机构CA申请公钥数字证书；

步骤二：业务系统库作为数据资源方利用区块链网络对数据进行分块，将数据资源分成若干块，采用BLS签名方案对数据块取认证器，并把数据块数、数据库认证器、数据标识符ID的签名的确权请求信息发送给审计中心；

步骤三：审计中心利用数据源供应方的公钥验证签名的正确性，若验证通过则审计中心会向数据源供应方发送证据挑战请求，最后审计中心收到证据后，验证等式是否成立，若成立则数据源供应方向水印中心申请生成水印并完成水印嵌入；

步骤四：审计中心和水印中心将挑战证据、相关确权信息、水印以及相关元信息以JSON的格式封装成一笔交易并发送给数据源供应方，待数据源供应方签名以后再将其发送到Fabric区块链权属登记商业网络；

步骤五：网络中的共识节点在鉴定交易中签名的合法性后，按照共识算法的要求最终将权属信息写入Fabric区块链，完成数据资产确权。

2.根据权利要求1所述的一种基于区块链技术的数据资产确权方法，其特征在于：采用BLS签名方案对数据块取认证器具体包括如下步骤：

S1:密钥生成算法KeyGen：随机选取x in[0，r-1]作为私钥，sk＝x，计算公钥pk＝g^x，g是群G的生成元；

S2：签名算法Sign：消息m的签名为sign＝h^x，h＝Hash(m)；

S3：验证算法Verify：验证者拥有G，g^x(pk)，m和sign，验证e(sign，g)和e(Hash(m)，pk)是否相等，如果相等那么签名验证通过。

3.根据权利要求1所述的一种基于区块链技术的数据资产确权方法，其特征在于：认证器的具体处理步骤如下：

S11：令(pk，sk)为签名者的公私钥对，σ1，σ2分别为数据块m1，m2∈Zp的签名；

S22：Blockless可验证性(BlocklessVerifiability)：给定σ1，σ2，两个随机数α1，α2∈Zp和一个数据块m′＝α1m1+α2m2∈Zp，验证者能够在不知道m1和m2的情况下验证m′的正确性；

S33：不可延展性(NonGmalleability)：给定σ1，σ2，两个随机数α1，α2∈Zp和一个数据块m′＝α1m1+α2m2∈Zp，没有私钥sk的用户不可以通过线性组合σ1和σ2生成一个关于数据块m′的有效签名σ′。

4.根据权利要求1所述的一种基于区块链技术的数据资产确权方法，其特征在于：服务层用于展示层结构的供给，数据上链用于将数据写入到区块当中，数据存储模块用于数据存证，数据交易模块用于数据交易，访问控制模块用于对用户访问权限进行控制，数据隐私模块用于隐私数据的加密，数据共享模块、监管审计模块和数据水印模块分别用于数据共享，监管审计和水印的添加。

5.根据权利要求1所述的一种基于区块链技术的数据资产确权方法，其特征在于：展示层用于提供可视化界面，用于平台使用者与网络管理人员进行人机交互，数据存证平用于数据的采集、上传和存证，并通过预言机生成可供相关审计工作使用的验证证书，数据交易平台用于数据的交易与安全共享，区块链管理后台利用智能合约进行跨主体之间的数据安全交易与协作，同时提供动态网络配置，对网络节点运行状态进行监控。

Images