CN114900534A - 一种基于区块链技术的大数据监管方法 - Google Patents

一种基于区块链技术的大数据监管方法 Download PDF

Info

Publication number
CN114900534A
CN114900534A CN202210320412.8A CN202210320412A CN114900534A CN 114900534 A CN114900534 A CN 114900534A CN 202210320412 A CN202210320412 A CN 202210320412A CN 114900534 A CN114900534 A CN 114900534A
Authority
CN
China
Prior art keywords
data
contract
user
request
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210320412.8A
Other languages
English (en)
Other versions
CN114900534B (zh
Inventor
邹北骥
聂凡博
朱承璋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Central South University
Original Assignee
Central South University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Central South University filed Critical Central South University
Priority to CN202210320412.8A priority Critical patent/CN114900534B/zh
Publication of CN114900534A publication Critical patent/CN114900534A/zh
Application granted granted Critical
Publication of CN114900534B publication Critical patent/CN114900534B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于区块链技术的大数据监管方法,包括区块链网络的初始化和客户端程序的初始化;身份绑定,包括用户本地生成密钥对,并将自身的实体身份与区块链账户地址进行绑定;数据存证,当数据变动时,用户与管理员可选采用哈希策略或副本策略,协同完成数据改动并进行存证;数据验证,包括对数据真实性和完整性的普通验证以及对历史操作记录的溯源验证。本发明提供的这种基于区块链技术的大数据监管方法,以用户可控的方式对用户自身的数据进行存证,解决了中心化服务提供商的不透明管理问题,同时根据不同数据特性设计适应的存证策略,为服务提供商不同数据类型实现安全高效的存证;因此本发明方法可靠性高、实用性好且透明科学。

Description

一种基于区块链技术的大数据监管方法
技术领域
本发明属于计算机技术领域,具体涉及一种基于区块链技术的大数据监管方法。
背景技术
随着经济技术的发展和人们生活水平的提高,用户个人数据安全已经受到了越来越多人的重视,而用户信息通常由各服务提供商的信息系统进行管理。
用户敏感的个人数据通常包含了身份信息、账号密码、征信信息、健康记录、交易信息、行踪轨迹等,其安全性对于用户至关重要。然而,传统服务提供商信息系统以中心化方式进行管理,用户数据通常由相关部门单方维护,用户无法直接参与到自己数据的监管过程。因此用户无法确认自己的数据是否真实完整,用户与服务提供商之间很难建立信任。
区块链技术是一种具有普适性的底层技术框架。它融合了分布式存储、点对点传输、密码学以及共识算法等技术,能够在无需信任的节点间实现去中心化的点对点交易,具有数据不可篡改、公开透明、防伪可溯源等优秀特性。此外,基于区块链的智能合约是一种数字形式定义的规则,是部署在链上的自动执行和验证的程序代码,能够在没有第三方的情况下完成可信交易,这些交易不可逆转且可追溯。因而,区块链技术可以应用在数据的监管场景,为数据存证、授权行为进行全面的记录,保证数据的真实完整。
目前,应用区块链技术进行数据管理通常基于公有链或行业联盟成员组成的联盟链,即服务提供商加入公共的区块链网络,通过网络中所有节点共同维护数据生成的存证信息,保障数据的安全可信。但是这样的方式用于服务提供商的数据监管会存在以下弊端:
(1)公开维护的方式并不适用于所有类型服务提供商的数据监管:服务提供商可能不会愿意将所有内部的数据以公开的方式进行监管,即使这样不暴露数据内容,所有数据变动行为也难以隐藏。
(2)与服务提供商外部组建网络难以保证监管效率:由于需要在所有节点间达成共识,服务提供商内部的数据监管容易受到网络的规模和状况等复杂因素的制约。
(3)单一的存证方式无法满足部分数据安全与效率需求:服务提供商管理的数据可能复杂多样,单独使用传统的哈希存证无法恢复原始数据,且对大型文件的处理耗时无法满足部分场景监管的效率需求。
发明内容
本发明的目的在于提供一种可靠性高、实用性好且透明科学的基于区块链技术的大数据监管方法。
本发明提供的这种基于区块链技术的大数据监管方法,包括如下步骤:
S1.环境初始化,包括区块链网络的初始化和客户端程序的初始化;区块链网络的初始化包括在服务提供商内构建区块链网络并部署相应的合约;客户端程序的初始化包括在用户和管理员端安装应用程序并初始化配置参数;
S2.身份绑定,包括用户本地生成密钥对,并将自身的实体身份与区块链账户地址进行绑定;
S3.数据存证,当数据变动时,用户与管理员采用哈希策略或副本策略,协同完成数据改动并进行存证;
S4.数据验证,包括对数据真实性和完整性的普通验证,以及对历史操作记录的溯源验证。
所述的步骤S1,具体包括如下步骤:
在服务提供商的各个部门之间构建具有准入机制的区块链网络;在构建的区块链网络中,所有节点默认加入1号群组,并在该群组内部署服务认证合约和用户合约;
然后,负责当前数据类型的部门根用户部署监管服务合约;监管服务合约在部署时依次创建管理员合约、请求合约和证据合约,并与用户合约一同聚合在监管服务合约内;
根据数据类型选定数据存证的策略:
若数据存证选定的为哈希策略,则将对应的合约部署在1号群组中;
若数据存证选定的为副本策略,则首先获取或创建对应的群组,并在该群组中部署合约;
监管服务合约部署后,部门根用户向服务提供商根用户提交服务合约认证申请;服务提供商根用户审核通过后,将对应的信息登记在服务认证合约中;
监管服务合约使用前,还需要调用其中的管理员合约为相关的账户授予数据管理权限。
所述的步骤S2,具体包括如下步骤:
首先,用户通过客户端注册获得服务提供商的实体身份,然后采用加密算法在设备本地生成公私钥对,并根据得到的公私钥对计算得到区块链账户地址;
然后,用户在实体身份登录的状态下向管理员发起绑定区块链账户请求,管理员接收请求后验证用户的登录状态,并在确认无误后调用用户合约将此实体身份与目标地址进行预绑定;
最后,用户通过用户合约获取该链上账户的预绑定信息,检查实体身份是否与本人一致:若一致则通过合约授权,从而完成链下实体身份与链上账户地址的绑定;若不一致,则直接反馈并重新进行身份确认。
所述的公私钥对对应于用户的链上身份,私钥由用户保存在本地,作为链上操作时身份真实性的有效证明;身份绑定信息存储在用户合约内,在区块链上建立实体身份与链上账户的可靠映射,同时自动维护用户身份下的存证引用,方便定位用户的存证信息。
所述的步骤S3,具体包括如下步骤:
对于数据的增加和修改操作,管理员首先根据用户实体身份通过用户合约获取用户的链上账户地址,然后将创建或修改后的数据发送至用户确认,并通过对应数据的监管服务合约调用其中的请求合约,构造包括安全凭证、管理员地址和用户地址在内的存证请求;用户接收到管理员发送的请求后,通过调用对应监管服务合约中的请求合约获得安全凭证,并验证数据的准确性;对于验证合法的数据,用户通过监管服务合约进行授权,监管服务合约将自动调用内部的证据合约添加一条存证记录,按规则分配唯一的存证编号和数据引用,并包含请求合约的数据及当前时间戳,同时自动调用用户合约添加存证的引用信息;对于验证非法的数据,用户通过监管服务合约拒绝请求;在请求被处理后,监管服务合约自动释放本次请求合约中的信息,并在区块链上发布请求结果事件;管理员通过监听区块链上的事件获取请求结果:若用户授权通过则按照生成的数据引用将数据存储在数据库中,否则管理员将丢弃本次非法数据或采取其他异常策略;
对于数据的删除操作,管理员通过监管服务合约调用请求合约构造删除请求,其中删除请求包括了用户与管理员双方的地址、特定的删除标识和删除数据的版本;用户通过监管服务合约获得对应的请求消息,并通过监管服务合约接受或拒绝该请求;最终,管理员监听请求结果,若请求被接受则可以执行删除操作,否则不被允许执行删除操作。
所述的步骤S4,具体包括如下步骤:
普通验证:用户使用区块链上的身份,通过用户合约检索数据最新的存证信息,根据存证信息获取链下数据和安全凭证,并通过凭证验证数据的真实性和完整性;
溯源验证:用户使用区块链上的身份,通过用户合约检索目标数据的所有存证信息列表,并根据每条存证信息获取所有版本的安全凭证,最终将所有凭证信息进行展示,重现目标数据的完整的存证记录。
所述的用户合约,具体为用户合约实例全局唯一,用于将用户实体身份与区块链的链上身份进行绑定,并自动维护用户身份下存证信息的引用;用户合约聚合在每个服务合约中,只有用户将身份绑定后,才能使用数据存证服务,能够把每次存证的引用信息自动记录,维护用户身份下的数据至对应的引用信息列表的映射;每条引用信息包括引用编号、智能合约版本和数据版本。
所述的管理员合约,具体为管理员合约在每个服务合约实例中唯一,用于维护拥有对应类型数据管理权限的账户集合,并为发起存证操作的账户进行管理权限认证;每个管理员合约由对应部门根用户管理,包含账户实体身份、链上身份及权限状态,表示拥有对应数据存证资质的服务提供商内部账户。
所述的请求合约,具体为请求合约在每个服务合约实例中唯一,用于用户验证安全凭证信息生成的临时请求;在数据存证的流程中,数据的安全凭证需要在链上经过用户本人的核查,从而实现可信的存证;一个请求的生命周期包含了以下阶段:首先管理员通过请求合约构造存证请求,请求包含安全凭证与用户与管理员双方的链上地址;然后用户通过链上凭证验证原始数据,并通过合约反馈确认结果;最后服务合约在存证处理完毕后自动释放请求的存储。
所述的证据合约,具体为证据合约在每个服务合约实例中唯一,用于将用户授权后的请求数据迁移并自动合成存证信息,并将存证信息持久化在合约中;在请求被确认之后,为了将信息保存并为后续提供方便的验证,调用证据合约中的存证功能,生成存证编号、数据引用和时间戳,并将请求中消息合并保存为一条新的存证记录,最后通过存证编号获取记录继而实现数据的验证和确权。
所述的监管服务合约,具体为监管服务合约的每个实例为一类数据提供监管服务,用于为用户和管理员监管提供可信的链上操作;监管服务合约封装了请求合约、证据合约、用户合约和管理员合约,用户和管理员仅能通过监管服务合约执行数据的存证、验证与权限管理操作。
所述的服务认证合约,具体为服务认证合约实例全局唯一,用于提供监管服务合约认证,维护各数据类型至所有版本的监管服务合约地址及群组号列表,提供可信的服务合约信息查询;服务认证合约仅支持服务提供商根用户执行认证登记,初次登记时新建数据名称至其合约地址及群组号列表的映射,之后仅能通过追加的方式更新合约地址及群组信息,并使用自增的编号标记合约版本;服务认证合约支持保留历史版本的监管服务合约升级,用户能够获取历史合约版本中的存证信息,同时支持使用最新版本存证。
所述的哈希策略,具体包括如下步骤:
环境初始化:在区块链网络中部署监管服务合约,将监管服务合约部署在1号群组中,并在服务认证合约中登记对应的合约信息;在管理员端执行校准程序,在不同大小文件、分块数量从1至机器核心数的情况下,使用并行默克尔树计算的最佳分块数N(l),完成测试;测试完成后,测试结果按照文件大小划分为稳定区间和不稳定区间,其中稳定区间分布在两端,不稳定区间位于两端之间;对于稳定区间,采取固定分块策略:稳定区间内的分块数为得到的稳定最优值noptimal;对于不稳定区间,使用最佳分块拟合策略:使用不稳定区间文件大小及对应的最佳分块数,构成序列(l1,n1)~(lk,nk),其中lk为第k个文件的大小,nk为第k个最佳分块数,然后运用最小二乘法拟合最佳分块函数,在不稳定区间使用函数动态计算大小为l的文件所对应的分块数;最后,管理员端保存计算得到的参数,完成分块策略,初始化工作完成;分块策略最终表示如下:
Figure BDA0003570310530000071
不稳定区间
数据存证阶段:管理员采用分块策略计算得到待存证的数据文件的分块数量,通过得到的分块数量计算出待存证的数据文件的哈希值,将分块数量与哈希值共同作为数据的安全凭证,在1号群组中调用服务监管合约生成存证请求;用户验证数据时,使用安全凭证中的分块数量计算验证数据,判断计算结果是否与数据的安全凭证一致:若一致则用户对数据内容进行进一步确认,否则判定数据异常且本次请求无效;
数据验证阶段:用户获取链下数据及对应的安全凭证,使用安全凭证中的分块数量对链下数据进行验证计算,将计算结果与安全凭证中的哈希值进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。
所述的副本策略,具体包括如下步骤:
环境初始化阶段:在区块链网络中部署监管服务合约,将监管服务合约部署在相关参与部门组成的群组中;若相关参与部门组成的群组不存在则先进行创建,再将监管服务合约部署在群组内,并在服务认证合约中登记对应的信息;
数据存证阶段,管理员将原始数据副本作为数据的安全凭证,通过对应的服务监管合约在相关节点组成的群组中生成存证请求;用户验证数据时,从安全凭证中获取数据的副本,直接对数据内容进行确认;
在数据验证阶段,用户获取链下数据以及安全凭证,并用数据副本与链下数据进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。
本发明提供的这种基于区块链技术的大数据监管方法,以用户可控的方式对用户自身的数据进行存证,解决了服务提供商中心化的不透明管理问题,同时根据不同数据特性设计适应的存证策略,为服务提供商不同数据类型实现安全高效的存证;因此本发明方法可靠性高、实用性好且透明科学。
附图说明
图1为本发明方法的方法流程示意图。
图2为本发明的区块链中的实体及关系示意图。
图3为本发明的合约架构示意图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种基于区块链技术的大数据监管方法,包括如下步骤:
本发明所对应的系统,由多个部门组成,包括四类实体,分别为管理员、用户、数据库以及区块链,其关系如图2所示;其中管理员包括部署及管理智能合约的根用户和被授权负责存证的普通管理员;管理员和用户通过客户端或浏览器与其他实体进行交互,管理员端程序通常部署在部门内部的高性能服务器上,用于提供稳定高效的数据处理;而用户端程序通常安装在移动设备上,提供方便可信的本地验证环境;数据库可沿用原有的信息系统,不限定于关系型数据库或非关系型数据库,仅需使用数据引用(唯一键)存储与获取指定的记录;区块链可使用FISCO BCOS开源平台,在服务提供商的部门节点间组建网络,加入区块链网络的成员需要经过身份验证;共识方面采用基于多方投票验证的实用拜占庭容错算法(Practical Byzantine Fault Tolerance,PBFT),具有低延迟、高吞吐、低能耗、强一致性等优点,更适合在服务提供商内部监管场景;
S1.环境初始化,包括区块链网络的初始化和客户端程序的初始化;区块链网络的初始化包括在服务提供商内构建区块链网络并部署相应的合约;客户端程序的初始化包括在用户和管理员端安装应用程序并初始化配置参数;具体包括如下步骤:
在服务提供商的各个部门之间构建具有准入机制的区块链网络;在构建的区块链网络中,所有节点默认加入1号群组,并在该群组内部署服务认证合约和用户合约;
然后,负责当前数据类型的部门根用户部署监管服务合约;监管服务合约在部署时依次创建管理员合约、请求合约和证据合约,并与用户合约一同聚合在该监管服务合约内;
根据数据类型选定数据存证的策略:
若数据存证选定的为哈希策略,则将对应的合约部署在1号群组中;
若数据存证选定的为副本策略,则首先获取或创建对应的群组,并在该群组中部署合约;
监管服务合约部署后,该部门根用户向服务提供商根用户提交服务合约认证申请;服务提供商根用户审核通过后,将对应的信息登记在服务认证合约中;
监管服务合约使用前,还需要调用其中的管理员合约为相关的账户授予数据管理权限。
具体实施时,管理员端程序部署在部门内的服务器上,管理员可以通过浏览器或客户端通过个人电脑等设备进行操作;用户端程序安装在移动设备上,用户可以方便、可信地验证数据;特别的,对于采用哈希策略存证的大型数据类型(例如影像、视频等),使用并行哈希方法,需要部署在多核的高性能服务器上,并在首次启动时运行初始化校准程序,以获取该机器环境下的配置参数;
S2.身份绑定,包括用户本地生成密钥对,并将自身的实体身份与区块链账户地址进行绑定;具体包括如下步骤:
首先,用户通过客户端注册获得服务提供商的实体身份,然后采用加密算法在设备本地生成公私钥对,并根据得到的公私钥对计算得到区块链账户地址;
然后,用户在实体身份登录的状态下向管理员发起绑定区块链账户请求,管理员接收请求后验证用户的登录状态,并在确认无误后调用用户合约将此实体身份与目标地址进行预绑定;
最后,用户通过用户合约获取该链上账户的预绑定信息,检查实体身份是否与本人一致:若一致则通过合约授权,从而完成链下实体身份与链上账户地址的绑定;若不一致,则直接反馈并重新进行身份确认。
所述的公私钥对对应于用户的链上身份,私钥由用户保存在本地,作为链上操作时身份真实性的有效证明;身份绑定信息存储在用户合约内,在区块链上建立实体身份与链上账户的可靠映射,同时自动维护用户身份下的存证引用,方便定位用户的存证信息。
S3.数据存证,当数据变动时,用户与管理员可选采用哈希策略或副本策略,协同完成数据改动并进行存证;具体包括如下步骤:
对于数据的增加和修改操作,管理员首先根据用户实体身份通过用户合约获取用户的链上账户地址,然后将创建或修改后的数据发送至用户确认,并通过对应数据的监管服务合约调用其中的请求合约,构造包括安全凭证、管理员地址和用户地址在内的存证请求;用户接收到管理员发送的请求后,通过调用对应监管服务合约中的请求合约获得安全凭证,并验证数据的准确性;对于验证合法的数据,用户通过监管服务合约进行授权,监管服务合约将自动调用内部的证据合约添加一条存证记录,按规则分配唯一的存证编号和数据引用,并包含请求合约的数据及当前时间戳,同时自动调用用户合约添加存证的引用信息;对于验证非法的数据,用户通过监管服务合约拒绝请求;在请求被处理后,监管服务合约自动释放本次请求合约中的信息,并在区块链上发布请求结果事件;管理员通过监听区块链上的事件获取请求结果:若用户授权通过则按照生成的数据引用将数据存储在数据库中,否则管理员将丢弃本次非法数据或采取其他异常策略;
对于数据的删除操作,管理员通过监管服务合约调用请求合约构造删除请求,其中删除请求包括了用户与管理员双方的地址、特定的删除标识和删除数据的版本;用户通过监管服务合约获得对应的请求消息,并通过监管服务合约接受或拒绝该请求;最终,管理员监听请求结果,若请求被接受则可以执行删除操作,否则不被允许执行删除操作。
S4.数据验证,包括对数据真实性和完整性的普通验证,以及对历史操作记录的溯源验证;具体包括如下步骤:
普通验证:用户使用区块链上的身份,通过用户合约检索数据最新的存证信息,根据存证信息获取链下数据和安全凭证,并通过凭证验证数据的真实性和完整性;
溯源验证:用户使用区块链上的身份,通过用户合约检索目标数据的所有存证信息列表,并根据每条存证信息获取所有版本的安全凭证,最终将所有凭证信息进行展示,重现目标数据的完整的存证记录。
在上述的步骤中,具体包括了若干个合约,而各个合约的合约架构如图3所示:
所述的用户合约,具体为位于身份层的智能合约;用户合约实例全局唯一,用于将用户实体身份与区块链的链上身份进行绑定,并自动维护用户身份下存证信息的引用;用户合约聚合在每个服务合约中,只有用户将身份绑定后,才能使用数据存证服务,能够把每次存证的引用信息自动记录,维护用户身份下的数据至对应的引用信息列表的映射;每条引用信息包括引用编号、智能合约版本和数据版本。
其中的管理员合约,具体为位于身份层的智能合约;管理员合约在每个服务合约实例中唯一,用于维护拥有该类型数据管理权限的账户集合,并为发起存证操作的账户进行管理权限认证;每个管理员合约由对应部门根用户管理,包含账户实体身份、链上身份及权限状态,表示拥有该数据存证资质的服务提供商内部账户。在某些存证或确权操作中,比如发起存证请求,就需要验证当前用户身份是否属于该集合,如果当前身份拥有权限,就可以继续执行接下来的流程,否则流程将会被中断。
其中的请求合约,具体为位于数据层的智能合约;请求合约在每个服务合约实例中唯一,用于用户验证安全凭证信息生成的临时请求;在数据存证的流程中,数据的安全凭证需要在链上经过用户本人的核查,从而实现可信的存证;一个请求的生命周期包含了以下阶段:首先管理员通过请求合约构造存证请求,请求包含安全凭证与用户与管理员双方的链上地址;然后用户通过链上凭证验证原始数据,并通过合约反馈确认结果;最后服务合约在存证处理完毕后自动释放请求的存储。
其中的证据合约,具体为位于数据层的智能合约;证据合约在每个服务合约实例中唯一,用于将用户授权后的请求数据迁移并自动合成存证信息,并将存证信息持久化在合约中;在请求被确认之后,为了将信息保存并为后续提供方便的验证,调用证据合约中的存证功能,生成存证编号、数据引用和时间戳,并将请求中消息合并保存为一条新的存证记录,最后通过存证编号获取记录继而实现数据的验证和确权。
其中的监管服务合约,具体为位于服务层的智能合约;监管服务合约的每个实例为一类数据提供监管服务,用于为用户和管理员监管提供可信的链上操作;监管服务合约封装了请求合约、证据合约、用户合约和管理员合约,用户和管理员仅能通过监管服务合约执行数据的存证、验证与权限管理操作。比如创建者维护管理员的管理权限,经过授权的管理员通过该合约构造请求,用户可以查看请求中的消息并处理该请求,一旦请求被接受合法用户便可检索并获取存该证信息。
其中的服务认证合约,具体为位于认证层的智能合约;服务认证合约实例全局唯一,用于提供监管服务合约认证,维护各数据类型至所有版本的监管服务合约地址及群组号列表,提供可信的服务合约信息查询;服务认证合约仅支持服务提供商根用户执行认证登记,初次登记时新建数据名称至其合约地址及群组号列表的映射,之后仅能通过追加的方式更新合约地址及群组信息,并使用自增的编号标记合约版本;服务认证合约支持保留历史版本的监管服务合约升级,用户能够获取历史合约版本中的存证信息,同时支持使用最新版本存证;这使得本发明方法具有良好的的可扩展性。
此外,上述方法还涉及到创新的策略:
其中哈希策略,具体包括如下步骤:
环境初始化:在区块链网络中部署监管服务合约,将监管服务合约部署在1号群组中,并在服务认证合约中登记对应的合约信息;在管理员端执行校准程序,在不同大小文件、分块数量从1至机器核心数的情况下,使用并行默克尔树计算的最佳分块数N(l),完成测试;测试完成后,测试结果按照文件大小划分为稳定区间和不稳定区间,其中稳定区间分布在两端,不稳定区间位于两端之间;对于稳定区间,采取固定分块策略:稳定区间内的分块数为得到的稳定最优值noptimal;对于不稳定区间,使用最佳分块拟合策略:使用不稳定区间文件大小及对应的最佳分块数,构成序列(l1,n1)~(lk,nk),其中lk为第k个文件的大小,nk为第k个最佳分块数,然后运用最小二乘法拟合最佳分块函数,在不稳定区间使用函数动态计算大小为l的文件所对应的分块数;最后,管理员端保存计算得到的参数,完成分块策略,初始化工作完成;分块策略最终表示如下:
Figure BDA0003570310530000151
不稳定区间
数据存证阶段:管理员采用分块策略计算得到待存证的数据文件的分块数量,通过得到的分块数量计算出待存证的数据文件的哈希值,将分块数量与哈希值共同作为数据的安全凭证,在1号群组中调用服务监管合约生成存证请求;用户验证数据时,使用安全凭证中的分块数量计算验证数据,判断计算结果是否与数据的安全凭证一致:若一致则用户对数据内容进行进一步确认,否则判定数据异常且本次请求无效;
数据验证阶段:用户获取链下数据及对应的安全凭证,使用安全凭证中的分块数量对链下数据进行验证计算,将计算结果与安全凭证中的哈希值进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。
以上的哈希策略,针对大文件哈希计算效率低下问题提出了并行化默克尔树结构,用于加速单个文件计算,并进一步设计了自适应方法,可以根据文件长度动态调整分块数量,使得各大小的文件能够保持较高的计算效率;以SHA-384计算为例,首先对大小为l的输入文件进行填充,使其为分组长度s的整数倍,再将文件进行分组,压缩函数依次迭代计算每一组数据,每轮处理耗时Tb,最后一轮的输出即为最终结果。若文件足够大,则可以忽略填充长度P(l),处理时间Ts可近似为:
Figure BDA0003570310530000152
本发明提出的并行化默克尔树结构针对大文件哈希效率优化,其底层基于传统的哈希函数(本实例中采用SHA-384),可通过多核并行计算加速获取文件哈希;它首先对输入文件进行均匀分块,利用默克尔树的方式计算文件的各个分块,且树中每层节点的计算并行执行,自下而上通过多核处理并行获取根节点的哈希值,即为输出文件的指纹信息。具体的,对文件大小为l,分块数为n(不超过机器核心数),底层哈希函数输出长度为m,单个线程的额外开销为Tt,使用该结构并行哈希计算花费的时间Tp为:
Figure BDA0003570310530000161
进一步,考虑本实例中底层具体的SHA-384哈希函数,其中间节点填充后分组数量
Figure BDA0003570310530000162
为1,且当文件足够大时,线程额外开销Tt和分块填充
Figure BDA0003570310530000163
可忽略,上式可近似为:
Figure BDA0003570310530000164
则对大文件计算,本实例中该并行方法相比于传统串行方法的加速比S近似为:
Figure BDA0003570310530000165
因此当l>>s时(SHA-384的s为1024比特),使用该并行方法的效率将接近使用传统串行方法的n倍,因此优选将分块数设置为机器最大核心数;当文件大小不满足该条件时,为了让文件通过并行方法达到较高的效率,本发明进一步设计了自适应的方法,能够根据文件大小动态调整分块数量平衡并行带来的开销与收益,以接近该条件下最优的计算效率。特别的,该自适应方法需要适配不同的机器环境,根据测试结果拟合最佳分块策略,需要在程序初始化时运行校准程序,并通过结果获取目标机器环境中策略的配置参数
因此,哈希策略的安全凭证包括了数据的哈希指纹以及分块数量,任何设备使用该并行默克尔树结构输入相同数据与分块数量即可输出唯一的哈希结果。对于并行方法,当分块数量为1时(即不分块),并行哈希方法退化为串行哈希方法。因此串行方法将安全凭证中的分块数量固定为1,这样串行方法与并行方法在形式上实现了统一,而且并行方法底层使用的哈希函数与串行方法相同,所以并行方法也同时能够兼容传统方法。
其中的副本策略,具体包括如下步骤:
环境初始化阶段:在区块链网络中部署监管服务合约,将监管服务合约部署在相关参与部门组成的群组中;若相关参与部门组成的群组不存在则先进行创建,再将监管服务合约部署在群组内,并在服务认证合约中登记对应的信息;
数据存证阶段,管理员将原始数据副本作为数据的安全凭证,通过对应的服务监管合约在相关节点组成的群组中生成存证请求;用户验证数据时,从安全凭证中获取数据的副本,直接对数据内容进行确认;
在数据验证阶段,用户获取链下数据以及安全凭证,并用数据副本与链下数据进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。
副本策略是一种专用策略,仅限数据量小(本实例中不超过1MB)且有可恢复需求的数据类型,使用原始数据副本作为其安全凭证,即使链下数据丢失也可恢复原始数据。特别的,数据副本策略使用FISCO BCOS的多群组架构,即区块链节点可加入多个群组,群组之间的交易、存储、共识相互隔离,保障链上数据的隐私性。因此副本策略仅在与数据相关的部门间构建群组,能够分散网络整体的负载,同时结合链上访问控制防止未授权访问,为部分有可恢复需求的轻量数据类型在可信环境下提供了高效且隐私保护的存证策略。
本发明具有兼容性,通过链上存储原始数据的证据信息,与链下具体的存储模式分离,进行存证与验证操作,能够适用于不同信息系统,具有较好的兼容性。
本发明具有安全性,部门集体维护不可篡改的分布式区块链账本,使用智能合约可信记录与维护用户所有的存证信息,应用哈希函数、数字签名、时间戳等技术,保证数据的内容、来源、时间等多维度信息安全可靠。
本发明具有隐私性,副本策略仅在相关部门间维护证据,哈希策略则无法获取数据的明文信息,结合智能合约的访问控制策略,能够防止未授权实体获取用户的隐私数据。
本发明具有高可用性,一旦数据在区块链上存证,其证据可从群组中任意节点离线获取,即有效避免了单点故障问题,确保了证据信息的高可用。
本发明具有适应性,即提供通用的哈希策略在所有节点间保证数据完整,也提供专用的副本策略在指定节点间保证数据的可恢复性,为各类数据提供了适应性的安全保障。
本发明具有高效性,本方法使用服务提供商内部高速网络,采用低能耗、高吞吐的PBFT共识机制,链上仅执行轻量信息的存储与查询操作,链下设计了自适应的哈希方法优化大型文件计算,对各类数据本方法能够达到较高的效率。
本发明提供的这种基于区块链技术的大数据监管方法,可以用于医疗机构的内部数据监管;此时,本发明提供的这种基于区块链技术的大数据监管方法,就变成了基于区块链技术的医疗机构内部数据监管方法;
此时,该种基于区块链技术的医疗机构内部数据监管方法,具体包括如下步骤:(本方法中,机构内区块链网络对应于服务提供商区块链网络,用户对应于患者,管理员对应于医生,对应的用户合约就对应于患者合约,管理员合约就对应于医生合约)
S1.环境初始化,包括区块链网络的初始化和用户端程序的初始化;区块链网络的初始化包括在机构内构建区块链网络并部署相应的合约;用户端程序的初始化包括在用户端安装应用程序并初始化配置参数;
S2.身份绑定,包括患者将自身的实体身份与区块链账户地址进行绑定,并生成密钥对;
S3.数据存证,当医疗数据变动时,患者与医生采用哈希策略或副本策略,共同对医疗数据进行改动;
S4.数据验证,包括对数据真实性和完整性的普通验证,以及对历史操作记录的溯源验证。
所述的步骤S1,具体包括如下步骤:
在医疗机构的各个部门之间构建具有准入机制的区块链网络;在构建的区块链网络中,所有节点默认加入1号群组,并在该群组内部署服务认证合约和患者合约;
然后,在对应的群组内部署监管服务合约;监管服务合约在部署时依次创建医生合约、请求合约和证据合约,并与患者合约一同聚合在对应的群组内部;
选定数据存证的策略:
若数据存证选定的为哈希策略,则和将对应的合约部署在1号群组中;
若数据存证选定的为副本策略,则首先创建对应的群组,并在创建的群组中部署合约;
监管服务合约部署后,部门管理员向机构管理员提交服务认证申请;机构管理员审通通过后,将对应的信息登记在服务认证合约中;
监管服务合约使用前,还需要调用医生合约并为对应的医生创建账户。
所述的步骤S2,具体包括如下步骤:
首先,患者通过客户端注册获得机构内的实体身份,然后采用加密算法在设备本地生成公私钥对,并根据得到的公私钥对计算得到区块链账户地址;
然后,患者在实体身份登录的状态下向机构发起绑定区块链账户请求,机构接收请求后验证患者的登录状态,并在确认无误后调用患者合约将此实体身份与目标地址进行预绑定;
最后,患者通过患者合约获取该链上账户的预绑定信息,检查实体身份是否与本人一致:若一致并通过合约授权,从而完成链下实体身份与链上账户地址的绑定;若不一致,则直接反馈并重新进行身份确认。
所述的公私钥对对应于患者的链上身份,私钥由患者保存在本地,作为链上操作时身份真实性的有效证明;身份绑定信息存储在患者合约内,在区块链上建立实体身份与链上账户的可靠映射,同时自动维护患者身份下的存证引用,方便定位患者的存证信息。
所述的步骤S3,具体包括如下步骤:
对于数据的增加和修改操作,医生首先根据患者实体身份通过患者合约获取患者的链上账户地址,然后将创建或修改后的数据发送至患者确认,并通过对应数据的监管服务合约调用其中的请求合约,构造包括安全凭证、医生地址和患者地址在内的存证请求;患者接收到医生发送的请求后,通过调用对应监管服务合约中的请求合约获得安全凭证,并验证医疗数据的准确性;对于验证合法的数据,患者通过监管服务合约进行授权,监管服务合约将自动调用内部的证据合约添加一条存证记录,按规则分配唯一的存证编号和数据引用,并包含请求合约的数据及当前时间戳,同时自动调用患者合约添加存证的引用信息;对于验证非法的数据,患者通过监管服务合约拒绝请求;在请求被处理后,监管服务合约自动释放本次请求合约中的信息,并在区块链上推送请求结果事件;医生通过监听区块链上的事件获取请求结果:若患者授权通过则按照生成的数据引用将数据存储在数据库中,否则医生将丢弃本次非法数据或采取其他异常策略;
对于数据的删除操作,医生通过监管服务合约调用请求合约构造删除请求,其中删除请求包括了医患双方的地址、特定的删除标识和删除数据的版本;患者通过监管服务合约获得对应的请求消息,并通过监管服务合约接受或拒绝该请求;最终,医生监听请求结果,若请求被接受则可以执行删除操作,否则不被允许执行删除操作。
所述的步骤S4,具体包括如下步骤:
普通验证:患者使用区块链上的身份,通过患者合约检索数据最新的存证信息,根据存证信息获取链下数据和安全凭证,并通过凭证验证数据的真实性和完整性;
溯源验证:患者使用区块链上的身份,通过患者合约检索目标数据的所有存证信息列表,并根据每条存证信息获取所有版本的安全凭证,最终将所有凭证信息进行展示,重现目标数据的完整的存证记录。
所述的患者合约,具体为患者合约实例全局唯一,用于将患者实体身份与区块链的链上身份进行绑定,并自动维护患者身份下存证信息的引用;患者合约聚合在每个服务合约中,只有患者将身份绑定后,才能使用数据存证服务,能够把每次存证的引用信息自动记录,维护患者身份下的数据至对应的引用信息列表的映射;每条引用信息包括引用编号、智能合约版本和数据版本。
所述的医生和约,具体为医生和约在每个服务合约实例中唯一,用于维护拥有数据管理权限的医生身份集合,并使用身份集合进行身份权限认证。
所述的请求合约,具体为请求合约在每个服务合约实例中唯一,用于患者验证安全凭证信息生成的临时请求;在数据存证的流程中,数据的安全凭证需要在链上经过患者本人的核查,从而实现可信的存证;一个请求的生命周期包含了以下阶段:首先医生通过请求合约构造存证请求,请求包含安全凭证与医患双方的链上地址;然后患者通过链上凭证验证原始数据,并通过合约反馈确认结果;最后服务合约在存证处理完毕后自动释放请求的存储。
所述的证据合约,具体为证据合约在每个服务合约实例中唯一,用于将患者授权后的请求数据迁移并自动合成存证信息,并将存证信息持久化在合约中;在请求被确认之后,为了将信息保存并为后续提供方便的验证,调用证据合约中的存证功能,生成存证编号、数据引用和时间戳,并将请求中消息合并保存为一条新的存证记录,然后通过存证编号获取记录继而实现数据的验证和确权。
所述的监管服务合约,具体为监管服务合约的每个实例为一类数据提供监管服务,用于为用户监管提供可信的链上操作;监管服务合约封装了请求合约、证据合约、患者合约和医生合约,用户仅能通过监管服务合约执行数据的存证、验证与权限管理操作。
所述的服务认证合约,具体为服务认证合约实例全局唯一,用于提供监管服务合约认证,维护各数据类型至所有版本的监管服务合约地址及群组号列表,提供可信的服务合约信息查询;服务认证合约仅支持机构管理员认证登记,初次登记时新建数据名称至对应的合约地址及群组号列表的映射,之后仅能通过追加的方式更新合约地址及群组信息,并使用自增的编号标记合约版本;服务认证合约支持保留历史版本的监管服务合约升级,用户能够获取历史合约版本中的存证信息,同时支持使用最新版本存证。
所述的哈希策略,具体包括如下步骤:
环境初始化:在区块链网络中部署监管服务合约,将监管服务合约部署在1号群组中,并在服务认证合约中登记对应的合约信息;在医生端执行校准程序,在不同大小文件、分块数量从1至机器核心数的情况下,使用并行默克尔树计算的最佳分块数N(l),完成测试;测试完成后,测试结果按照文件大小划分为稳定区间和不稳定区间,其中稳定区间分布在两端,不稳定区间位于两端之间;对于稳定区间,采取固定分块策略:稳定区间内的分块数为得到的稳定最优值noptimal;对于不稳定区间,使用最佳分块拟合策略:使用不稳定区间文件大小及对应的最佳分块数,构成序列(l1,n1)~(lk,nk),其中lk为第k个文件的大小,nk为第k个最佳分块数,然后运用最小二乘法拟合最佳分块函数,在不稳定区间使用函数动态计算大小为l的文件所对应的分块数;最后,医生端保存计算得到的参数,完成分块策略,初始化工作完成;分块策略最终表示如下:
Figure BDA0003570310530000231
不稳定区间
数据存证阶段:医生采用分块策略计算得到待存证的数据文件的分块数量,通过得到的分块数量计算出待存证的数据文件的哈希值,将分块数量与哈希值共同作为数据的安全凭证,在1号群组中调用服务监管合约生成存证请求;患者验证数据时,使用安全凭证中的分块数量计算验证数据,判断计算结果是否与数据的安全凭证一致:若一致则患者对数据内容进行进一步确认,否则判定数据异常且本次请求无效;
数据验证阶段:患者获取链下数据及对应的安全凭证,使用安全凭证中的分块数量对链下数据进行验证计算,将计算结果与安全凭证中的哈希值进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。
所述的副本策略,具体包括如下步骤:
环境初始化阶段:在区块链网络中部署监管服务合约,将监管服务合约部署在参与部门组成的群组中;若参与部门组成的群组不存在则先进行创建,再将监管服务合约部署在群组内,并在服务认证合约中登记对应的信息;
数据存证阶段,医生将原始数据副本作为数据的安全凭证,通过对应的服务监管合约在相关节点组成的群组中生成存证请求;患者验证数据时,从安全凭证中获取数据的副本,直接对数据内容进行确认;
在数据验证阶段,患者获取链下数据以及安全凭证,并用数据副本与链下数据进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。

Claims (8)

1.一种基于区块链技术的大数据监管方法,包括如下步骤:
S1.环境初始化,包括区块链网络的初始化和客户端程序的初始化;区块链网络的初始化包括在服务提供商内构建区块链网络并部署相应的合约;客户端程序的初始化包括在用户和管理员端安装应用程序并初始化配置参数;
S2.身份绑定,包括用户本地生成密钥对,并将自身的实体身份与区块链账户地址进行绑定;
S3.数据存证,当数据变动时,用户与管理员采用哈希策略或副本策略,协同完成数据改动并进行存证;
S4.数据验证,包括对数据真实性和完整性的普通验证,以及对历史操作记录的溯源验证。
2.根据权利要求1所述的一种基于区块链技术的大数据监管方法,其特征在于所述的步骤S1,具体包括如下步骤:
在服务提供商的各个部门之间构建具有准入机制的区块链网络;在构建的区块链网络中,所有节点默认加入1号群组,并在该群组内部署服务认证合约和用户合约;
然后,负责当前数据类型的部门根用户部署监管服务合约;监管服务合约在部署时依次创建管理员合约、请求合约和证据合约,并与用户合约一同聚合在监管服务合约内;
根据数据类型选定数据存证的策略:
若数据存证选定的为哈希策略,则将对应的合约部署在1号群组中;
若数据存证选定的为副本策略,则首先获取或创建对应的群组,并在该群组中部署合约;
监管服务合约部署后,部门根用户向服务提供商根用户提交服务合约认证申请;服务提供商根用户审核通过后,将对应的信息登记在服务认证合约中;
监管服务合约使用前,还需要调用其中的管理员合约为相关的账户授予数据管理权限。
3.根据权利要求2所述的一种基于区块链技术的大数据监管方法,其特征在于所述的步骤S2,具体包括如下步骤:
首先,用户通过客户端注册获得服务提供商的实体身份,然后采用加密算法在设备本地生成公私钥对,并根据得到的公私钥对计算得到区块链账户地址;
然后,用户在实体身份登录的状态下向管理员发起绑定区块链账户请求,管理员接收请求后验证用户的登录状态,并在确认无误后调用用户合约将此实体身份与目标地址进行预绑定;
最后,用户通过用户合约获取该链上账户的预绑定信息,检查实体身份是否与本人一致:若一致则通过合约授权,从而完成链下实体身份与链上账户地址的绑定;若不一致,则直接反馈并重新进行身份确认;
所述的公私钥对对应于用户的链上身份,私钥由用户保存在本地,作为链上操作时身份真实性的有效证明;身份绑定信息存储在用户合约内,在区块链上建立实体身份与链上账户的可靠映射,同时自动维护用户身份下的存证引用,方便定位用户的存证信息。
4.根据权利要求3所述的一种基于区块链技术的大数据监管方法,其特征在于所述的步骤S3,具体包括如下步骤:
对于数据的增加和修改操作,管理员首先根据用户实体身份通过用户合约获取用户的链上账户地址,然后将创建或修改后的数据发送至用户确认,并通过对应数据的监管服务合约调用其中的请求合约,构造包括安全凭证、管理员地址和用户地址在内的存证请求;用户接收到管理员发送的请求后,通过调用对应监管服务合约中的请求合约获得安全凭证,并验证数据的准确性;对于验证合法的数据,用户通过监管服务合约进行授权,监管服务合约将自动调用内部的证据合约添加一条存证记录,按规则分配唯一的存证编号和数据引用,并包含请求合约的数据及当前时间戳,同时自动调用用户合约添加存证的引用信息;对于验证非法的数据,用户通过监管服务合约拒绝请求;在请求被处理后,监管服务合约自动释放本次请求合约中的信息,并在区块链上发布请求结果事件;管理员通过监听区块链上的事件获取请求结果:若用户授权通过则按照生成的数据引用将数据存储在数据库中,否则管理员将丢弃本次非法数据或采取其他异常策略;
对于数据的删除操作,管理员通过监管服务合约调用请求合约构造删除请求,其中删除请求包括了用户与管理员双方的地址、特定的删除标识和删除数据的版本;用户通过监管服务合约获得对应的请求消息,并通过监管服务合约接受或拒绝该请求;最终,管理员监听请求结果,若请求被接受则可以执行删除操作,否则不被允许执行删除操作。
5.根据权利要求4所述的一种基于区块链技术的大数据监管方法,其特征在于所述的步骤S4,具体包括如下步骤:
普通验证:用户使用区块链上的身份,通过用户合约检索数据最新的存证信息,根据存证信息获取链下数据和安全凭证,并通过凭证验证数据的真实性和完整性;
溯源验证:用户使用区块链上的身份,通过用户合约检索目标数据的所有存证信息列表,并根据每条存证信息获取所有版本的安全凭证,最终将所有凭证信息进行展示,重现目标数据的完整的存证记录。
6.根据权利要求5所述的一种基于区块链技术的大数据监管方法,其特征在于所述的用户合约,具体为用户合约实例全局唯一,用于将用户实体身份与区块链的链上身份进行绑定,并自动维护用户身份下存证信息的引用;用户合约聚合在每个服务合约中,只有用户将身份绑定后,才能使用数据存证服务,能够把每次存证的引用信息自动记录,维护用户身份下的数据至对应的引用信息列表的映射;每条引用信息包括引用编号、智能合约版本和数据版本;
所述的管理员合约,具体为管理员合约在每个服务合约实例中唯一,用于维护拥有对应类型数据管理权限的账户集合,并为发起存证操作的账户进行管理权限认证;每个管理员合约由对应部门根用户管理,包含账户实体身份、链上身份及权限状态,表示拥有对应数据存证资质的服务提供商内部账户;
所述的请求合约,具体为请求合约在每个服务合约实例中唯一,用于用户验证安全凭证信息生成的临时请求;在数据存证的流程中,数据的安全凭证需要在链上经过用户本人的核查,从而实现可信的存证;一个请求的生命周期包含了以下阶段:首先管理员通过请求合约构造存证请求,请求包含安全凭证与用户与管理员双方的链上地址;然后用户通过链上凭证验证原始数据,并通过合约反馈确认结果;最后服务合约在存证处理完毕后自动释放请求的存储;
所述的证据合约,具体为证据合约在每个服务合约实例中唯一,用于将用户授权后的请求数据迁移并自动合成存证信息,并将存证信息持久化在合约中;在请求被确认之后,为了将信息保存并为后续提供方便的验证,调用证据合约中的存证功能,生成存证编号、数据引用和时间戳,并将请求中消息合并保存为一条新的存证记录,最后通过存证编号获取记录继而实现数据的验证和确权。
所述的监管服务合约,具体为监管服务合约的每个实例为一类数据提供监管服务,用于为用户和管理员监管提供可信的链上操作;监管服务合约封装了请求合约、证据合约、用户合约和管理员合约,用户和管理员仅能通过监管服务合约执行数据的存证、验证与权限管理操作;
所述的服务认证合约,具体为服务认证合约实例全局唯一,用于提供监管服务合约认证,维护各数据类型至所有版本的监管服务合约地址及群组号列表,提供可信的服务合约信息查询;服务认证合约仅支持服务提供商根用户执行认证登记,初次登记时新建数据名称至其合约地址及群组号列表的映射,之后仅能通过追加的方式更新合约地址及群组信息,并使用自增的编号标记合约版本;服务认证合约支持保留历史版本的监管服务合约升级,用户能够获取历史合约版本中的存证信息,同时支持使用最新版本存证。
7.根据权利要求6所述的一种基于区块链技术的大数据监管方法,其特征在于所述的哈希策略,具体包括如下步骤:
环境初始化:在区块链网络中部署监管服务合约,将监管服务合约部署在1号群组中,并在服务认证合约中登记对应的合约信息;在管理员端执行校准程序,在不同大小文件、分块数量从1至机器核心数的情况下,使用并行默克尔树计算的最佳分块数N(l),完成测试;测试完成后,测试结果按照文件大小划分为稳定区间和不稳定区间,其中稳定区间分布在两端,不稳定区间位于两端之间;对于稳定区间,采取固定分块策略:稳定区间内的分块数为得到的稳定最优值noptimal;对于不稳定区间,使用最佳分块拟合策略:使用不稳定区间文件大小及对应的最佳分块数,构成序列(l1,n1)~(lk,nk),其中lk为第k个文件的大小,nk为第k个最佳分块数,然后运用最小二乘法拟合最佳分块函数,在不稳定区间使用函数动态计算大小为l的文件所对应的分块数;最后,管理员端保存计算得到的参数,完成分块策略,初始化工作完成;分块策略最终表示如下:
Figure FDA0003570310520000061
不稳定区间
数据存证阶段:管理员采用分块策略计算得到待存证的数据文件的分块数量,通过得到的分块数量计算出待存证的数据文件的哈希值,将分块数量与哈希值共同作为数据的安全凭证,在1号群组中调用服务监管合约生成存证请求;用户验证数据时,使用安全凭证中的分块数量计算验证数据,判断计算结果是否与数据的安全凭证一致:若一致则用户对数据内容进行进一步确认,否则判定数据异常且本次请求无效;
数据验证阶段:用户获取链下数据及对应的安全凭证,使用安全凭证中的分块数量对链下数据进行验证计算,将计算结果与安全凭证中的哈希值进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。
8.根据权利要求7所述的一种基于区块链技术的大数据监管方法,其特征在于所述的副本策略,具体包括如下步骤:
环境初始化阶段:在区块链网络中部署监管服务合约,将监管服务合约部署在相关参与部门组成的群组中;若相关参与部门组成的群组不存在则先进行创建,再将监管服务合约部署在群组内,并在服务认证合约中登记对应的信息;
数据存证阶段,管理员将原始数据副本作为数据的安全凭证,通过对应的服务监管合约在相关节点组成的群组中生成存证请求;用户验证数据时,从安全凭证中获取数据的副本,直接对数据内容进行确认;
在数据验证阶段,用户获取链下数据以及安全凭证,并用数据副本与链下数据进行比较:若一致则说明数据正常,链下数据与存证信息匹配;否则说明数据异常,链下数据与存证信息不匹配。
CN202210320412.8A 2022-03-29 2022-03-29 一种基于区块链技术的大数据监管方法 Active CN114900534B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210320412.8A CN114900534B (zh) 2022-03-29 2022-03-29 一种基于区块链技术的大数据监管方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210320412.8A CN114900534B (zh) 2022-03-29 2022-03-29 一种基于区块链技术的大数据监管方法

Publications (2)

Publication Number Publication Date
CN114900534A true CN114900534A (zh) 2022-08-12
CN114900534B CN114900534B (zh) 2023-04-07

Family

ID=82714654

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210320412.8A Active CN114900534B (zh) 2022-03-29 2022-03-29 一种基于区块链技术的大数据监管方法

Country Status (1)

Country Link
CN (1) CN114900534B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112131309A (zh) * 2020-08-28 2020-12-25 赣州圣享区块链技术有限公司 一种基于区块链技术的数据存证方法及系统
WO2021184962A1 (zh) * 2020-03-18 2021-09-23 支付宝(杭州)信息技术有限公司 生成共享合约密钥的方法及装置
WO2021184963A1 (zh) * 2020-03-18 2021-09-23 支付宝(杭州)信息技术有限公司 调用合约的方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021184962A1 (zh) * 2020-03-18 2021-09-23 支付宝(杭州)信息技术有限公司 生成共享合约密钥的方法及装置
WO2021184963A1 (zh) * 2020-03-18 2021-09-23 支付宝(杭州)信息技术有限公司 调用合约的方法及装置
CN112131309A (zh) * 2020-08-28 2020-12-25 赣州圣享区块链技术有限公司 一种基于区块链技术的数据存证方法及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
BEIJI ZOU 等: ""Multi-Label Classification Scheme Based on Local Regression for Retinal Vessel Segmentation"", 《IEEE/ACM TRANSACTIONS ON COMPUTATIONAL BIOLOGY AND BIOINFORMATICS》 *
CHENGZHANG ZHU 等: ""Cluster-Based Distribution Alignment For Generalizable Person Re-Identification"", 《2021 IEEE INTERNATIONAL CONFERENCE ON MULTIMEDIA & EXPO WORKSHOPS (ICMEW)》 *
徐健等: "基于区块链网络的医疗记录安全储存访问方案", 《计算机应用》 *
王亮等: "基于区块链的地学大数据管理", 《国防科技》 *

Also Published As

Publication number Publication date
CN114900534B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
US11899817B2 (en) Systems, methods, and apparatuses for storing PII information via a metadata driven blockchain using distributed and decentralized storage for sensitive user information
US11824970B2 (en) Systems, methods, and apparatuses for implementing user access controls in a metadata driven blockchain operating via distributed ledger technology (DLT) using granular access objects and ALFA/XACML visibility rules
US11431486B2 (en) System or method to implement consensus on read on distributed ledger/blockchain
US20200145223A1 (en) System and method for blockchain-based notification
US10917246B2 (en) System and method for blockchain-based cross-entity authentication
US11886421B2 (en) Systems, methods, and apparatuses for distributing a metadata driven application to customers and non-customers of a host organization using distributed ledger technology (DLT)
US11611560B2 (en) Systems, methods, and apparatuses for implementing consensus on read via a consensus on write smart contract trigger for a distributed ledger technology (DLT) platform
US11783024B2 (en) Systems, methods, and apparatuses for protecting consumer data privacy using solid, blockchain and IPFS integration
US10756885B2 (en) System and method for blockchain-based cross entity authentication
US11803537B2 (en) Systems, methods, and apparatuses for implementing an SQL query and filter mechanism for blockchain stored data using distributed ledger technology (DLT)
Bhaskaran et al. Double-blind consent-driven data sharing on blockchain
CN111144881A (zh) 对资产转移数据的选择性访问
US11876915B2 (en) Method, apparatus, and computer-readable medium for authentication and authorization of networked data transactions
Lee et al. Blockchain-based RBAC for user authentication with anonymity
Chang et al. DeepLinQ: distributed multi-layer ledgers for privacy-preserving data sharing
JP2023524715A (ja) ネットワーク間の識別情報プロビジョニング
Adlam et al. A permissioned blockchain approach to the authorization process in electronic health records
Chen et al. Data Access & Sharing Approach for Trade Documentations Based on Blockchain Technology
CN114900534B (zh) 一种基于区块链技术的大数据监管方法
JP2023551160A (ja) Dltネットワークの自動化されたマージ
Sahi et al. Self-sovereign identity in semi-permissioned blockchain networks leveraging ethereum and hyperledger fabric
Adlam et al. A permissioned blockchain approach to electronic health record audit logs
Thomas et al. Reliable and Privacy Preserving Blockchain Based Medical Data Sharing Digital Ledger
Sudha et al. Patient Wellness: Ethereum Based Electronic Health Record Storage
Mehmood et al. Consent Management System Based on User Data Security and Privacy Using Hyperledger Fabric Blockchain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant