一种基于区块链技术的数据溯源的系统和方法与流程

本发明涉及一种基于区块链技术的数据溯源的系统和方法，涉及操作系统的文件系统控制技术、基于正则表达式的数据识别技术、以及区块链的分布记账技术，对特定的信息数据的状态标识，最终实现对特定信息数据的全生命周期溯源。

缩略语及名词解释

区块链：狭义来讲，区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。广义来讲，区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。

背景技术：

随着云计算和大数据技术的发展和大力推广，数据也越来越集中在云平台和大数据平台中，其中包含有大量敏感的特定信息数据，比如：姓名、出生年月日、地址、身份证信息、电话号码、银行卡号、车牌号等。这些数据一旦遭到非法操作导致信息泄密，会造成巨大的损失。在云计算平台和大数据平台中，这些敏感数据大多存储于各类数据库(关系型数据库rmdb、nosqldb、或分布式db)中和数据文件中。其中对于数据库的操作主要有两种模式，一是通过网络访问数据库服务来访问数据，一是直接通过数据库管理系统dbms(类似于文件系统)访问数据库文件来访问数据；对于数据文件的操作主要是通过操作系统的文件系统进行访问的。这样的访问主要就是增、删、改、查操作，因此为了防止非法操作导致的这些敏感数据被泄密、被破坏，则需要一方面通过技术手段能够实现敏感数据的存储分布统计，以及另一方面通过技术手段实现对敏感数据的操作溯源，从而分析识别操作的主体(用户)、终端、以及操作内容的合法性和关联性，由此判断操作的合法性和对于操作的追溯审计。

目前，技术成熟的各类审计系统均是集中式管理，所有审计数据存储于审计系统的数据库中，一旦审计系统遭到破坏或审计系统的数据库遭到破坏，那么将面临无法审计追溯的作用。

因此，本发明涉及一种基于区块链技术的数据溯源的系统和方法，提供了一种基于区块链技术和独特的数据标识技术的系统和方法，能够一方面实现有效的审计记录和安全审计体系；同时，基于该系统所提出的溯源方法具有普遍性和实操性。

技术实现要素：

本发明所述的涉及一种基于区块链技术的数据溯源的系统，采用中心化和去中心化(基于区块链技术)结合的c/s架构体系，如图1所示，其中服务器主要由展示模块、分析统计模块、策略模块、关系型数据库、网络路由共识记账模块和区块账本组成；客户端主要由策略设定模块、api接口模块、数据操作记录模块、网络操作记录模块、网络路由共识记账模块和区块账本组成。其中：

1.服务器部分

1.1.展示模块

展示模块是将分析统计模块的运算结果以图形或表格的方式展示出来；主要展示敏感数据的分类分布情况、终端敏感数据变化趋势、敏感数据流向和传递追溯分析、以及敏感数据分类操作统计等。

1.2.分析统计模块

分析统计模块通过遍历区块账本，获取敏感数据存储和操作(终端操作和网络传输操作)的审计记录，依据输入条件进行分析和统计计算，并一方面将计算结果发送给展示模块，一方面将计算结果存入关系型数据库。

当输入条件为“敏感数据的分类分布”和终端信息时，分析统计模块则统计该终端中各类敏感数据(依据“敏感数据的指纹”，详见后面定义)的条目数。

当输入条件为“终端敏感数据变化趋势”和终端信息时，分析统计模块则按日期统计该终端中各类敏感数据(依据“敏感数据的指纹”，详见后面定义)的条目数。

当输入条件为“敏感数据流向和传递追溯分析”时，分析统计模块则按照时间关系和网络中源及目的地址，分析各类敏感数据(依据“敏感数据的指纹”，详见后面定义)的流动关系。

当输入条件为“敏感数据分类操作”时，分析统计模块则按照操作类别(增、删、改、查)统计出各类敏感数据(依据“敏感数据的指纹”，详见后面定义)的操作条目数。

1.3.策略模块

策略模块由两部分组成，一是通过正则表达式定义敏感数据，将敏感数据的定义存储到关系型数据库中，并提供用户增、删、改、查的操作界面；一是网络通信部分，用于和客户端的策略设定模块通信，将敏感数据的定义发送给客户端。

1.4.关系型数据库

中心化管理数据库，用于存储敏感数据定义和分析统计结果，可使用oracle数据库、sqlserver数据库、db2数据库、mysql数据库、postgresql数据库。

1.5.网络路由共识记账模块

服务器作为区块链体系的一个节点，网络路由共识记账模块采用区块链中的点对点通信技术，实现和区块链体系中其他节点(客户端)之间同步区块账本。

网络路由共识记账模块不创建新的区块。

1.6.区块账本

区块账本用于存储敏感数据的标识(敏感数据的分类：姓名、出生年月日、地址、身份证信息、电话号码、银行卡号和车牌号)、操作类别(终端存储、终端操作和网络传输)、以及操作信息(增删改查、网络传输5元组、网络传输应用识别、操作用户信息、以及操作进程信息)。数据以如图2所示的区块链结构进行存储。

服务器的区块账本是所有审计数据的全集。

2.客户端

2.1.策略设定模块

策略设定模块由两部分组成，一是网络通信部分，用于和服务器的策略模块通信，获取敏感数据的定义；一是将敏感数据的定义通知给数据操作记录模块和网络操作记录模块。

2.2.api接口模块

api接口模块提供接口方法，为在客户端上提取区块账本和验证区块账本提供接口。

2.3.数据操作记录模块

数据操作记录模块通过操作系统的文件系统内核编程技术，对磁盘数据的读取行为进行监控，根据敏感数据的定义判断并记录对敏感数据操作的信息；并将操作记录打包成区块，发布给网络路由共识记账模块。

2.4.网络操作记录模块

网络操作记录模块通过操作系统的网络内核编程技术，对网络传输数据的行为进行监控，提取网络通信的5元组信息，采用应用识别技术提取应用信息，并针对数据库的访问协议进行解析，根据敏感数据的定义判断并记录对敏感数据操作的信息；并将操作记录打包成区块，发布给网络路由共识记账模块。

2.5.网络路由共识记账模块

客户端作为区块链体系的一个节点，网络路由共识记账模块采用区块链中的点对点通信技术，实现和区块链体系中其他节点(客户端和服务器)之间同步区块账本。

网络路由共识记账模块要创建新的区块。

2.6.区块账本

区块账本用于存储敏感数据的标识(敏感数据的分类：姓名、出生年月日、地址、身份证信息、电话号码、银行卡号和车牌号)、操作类别(终端存储、终端操作和网络传输)、以及操作信息(增删改查、网络传输5元组、网络传输应用识别、操作用户信息、以及操作进程信息)。数据以如图2所示的区块链结构进行存储。

客户端的区块账本并不存放完整的区块，本地操作区块完成存储，其他客户端的操作区块采用区块链压缩技术，仅存放梅克尔根。

本发明所述的涉及一种基于区块链技术的数据溯源的方法，采用本发明所述的涉及一种基于区块链技术的数据溯源的系统，首先在服务器上通过策略模块定义并存储敏感数据，并将定义发送给各个客户端的策略设定模块；客户端的策略设定模块接收到敏感数据定义后，将敏感数据定义发布给数据操作记录模块和网络操作记录模块；数据操作记录模块和网络操作记录模块实时监控本机敏感数据的操作，并打包区块，然后通知客户端的网络路由共识记账模块进行区块链的共识记账；客户端和服务器的网络路由共识记账模块基于区块链技术的账本同步方式同步账本。

本发明所述的涉及一种基于区块链技术的数据溯源的系统和方法，通过采用区块链的分布账本技术，一旦某个节点(甚至是服务器节点)的账本遭到破坏，均可通过区块链技术自动修复审计数据，提升系统的安全；同时，因为采用中心化和去中心化的结合架构，规避了区块链技术共识复杂、效率低下的问题；第三，各个客户端节点采用区块链账本压缩技术，可大大节省各节点的存储开销。

具体实施方式

针对云计算平台，本系统的服务器部分独立部署在一台服务器中，本系统的客户端部分分别部署在每台云主机和访问云计算平台的终端计算机中。

针对大数据平台，本系统的服务器部分独立部署在一台服务器中，本系统的客户端部分分别部署在大数据平台只中每台数据节点服务器中、大数据平台的应用服务器和数据库服务器中、和大数据平台的运维终端计算机中。

附图说明

图1为一种基于区块链技术的数据溯源的系统结构；

图2为比特币区块链的区块结构。