一种基于数字水印技术的数据溯源方法及系统与流程

本发明是有关于信息安全领域，具体涉及一种基于数字水印技术的数据溯源方法及系统。

背景技术：

数据是继物质、能源之后的第三大基础性战略资源。而数据作为一种重要资源，其区别于前两者的特殊性，使其自由流通受到颇多阻碍。这种特殊性包括，数据的无损复制性，非独占性，但同时却又可以蕴含极大的价值，可以被拥有该数据的主体视为其资产。

因此，在数据资源流通的实践中，数据资产非法泄露后的维权和追责问题亟待解决。明晰的数据所有权以及可靠的权益保障途径，是数据交易的前提和基础，而数据维权和数据溯源方法的相对缺失，则严重制约了数据的流通与共享开放的实践。

数据维权一般是由数据的权利人针对疑似非法泄露的数据发起。数据的权利人拥有对数据的所有权、占有权、使用权、受益权，以及对个人隐私权的保护责任等，具体地说，产生这批数据或者第一个收集这些数据的企业主体就是这批数据的权利人。通过其他任何方式(交易等)获得这批数据的企业或个人都只拥有使用权，而无所有权。

数据溯源则是为了进一步确认数据泄露源头，从而能够依法追究其责任或向其索取赔偿。

数字水印技术，是一种可将具有特殊含义的信息嵌入数字媒体而不影响其外观及其使用的技术。传统的实践中，利用该技术在数字媒体中嵌入其权利人的身份信息，从而实现属权声明，但无法实现对泄露源的追溯。

技术实现要素：

针对上述技术问题，本发明提供一种基于数字水印技术的数据溯源方法及系统。

本发明解决上述技术问题的技术方案如下：一种基于数字水印技术的数据溯源方法，包括：

步骤1、利用第一水印算法，在原始数据集中嵌入绑定有数据权利人身份信息的初始水印，得到初始数据集；

步骤2、利用第二水印算法，在待交付的初始数据集中嵌入绑定有交付对象身份信息的交易水印，得到交付数据集并交付给交付对象；

步骤3、根据所述第一水印算法和数据权利人身份信息，判断待溯源数据集中是否存在所述初始水印，若是则执行下一步；

步骤4、根据所述第二水印算法和各个待验证候选人身份信息，分别判断所述待溯源数据集中是否存在所述待验证候选人身份信息对应的交易水印，根据判断结果确认所述待溯源数据集所指向的待验证候选人。

为实现上述发明目的，本发明还提供一种基于数字水印技术的数据溯源系统，包括：

第一嵌入模块，用于利用第一水印算法，在原始数据集中嵌入绑定有数据权利人身份信息的初始水印，得到初始数据集；

第二嵌入模块，用于利用第二水印算法，在待交付的初始数据集中嵌入绑定有交付对象身份信息的交易水印，得到交付数据集并交付给交付对象；

第一判断模块，用于根据所述第一水印算法和数据权利人身份信息，判断待溯源数据集中是否存在所述初始水印；

第二判断模块，用于在所述第一判断模块判断所述待溯源数据集中存在所述初始水印时，根据所述第二水印算法和各个待验证候选人身份信息，分别判断所述待溯源数据集中是否存在所述待验证候选人身份信息对应的交易水印，根据判断结果确认所述待溯源数据集所指向的待验证候选人。

本发明的有益效果是：利用水印技术对数据权利人流通出去的数据嵌入初始水印和交易水印，在数据维权阶段，通过判断待溯源数据集中是否存在初始水印来对数据权利人进行维权审核，实现属权的声明，然后在进一步的数据溯源阶段，通过判断待溯源数据集中是否存在待验证候选人身份信息对应的交易水印来确认待溯源数据集所指向的交付对象，从而实现对泄漏源的追溯。

附图说明

图1为本发明实施例提供的一种基于数字水印技术的数据溯源方法的流程图；

图2为本发明实施例提供的另一种基于数字水印技术的数据溯源方法的流程图；

图3为本发明实施例提供的一种基于数字水印技术的数据溯源系统的结构框图。

图4为本发明实施例提供的另一种基于数字水印技术的数据溯源系统的结构框图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

本发明实施例提供一种基于数字水印技术的数据溯源方法，用于在数据流转过程中保护数据权利人的相关权益，一般地，“数据流转”包括但不限于存在支付关系的“交易”，但为叙述方便，本实施例中将“数据流转”与“交易”视为同义，并均采用“交易”的提法。并且，交易可以发生多次，每次交易均可采用本实施例的方法，本实施例仅以一次交易为例进行说明。

本发明涉及的角色有：数据权利人，数据交付对象，水印验证机构。

其中，数据权利人拥有对数据的所有权、占有权、使用权、受益权，以及对个人隐私权的保护责任等；

数据交付对象则是通过购买或其他交付方式，由数据权利人处获得数据，但对数据只拥有使用权而无所有权；

水印验证机构认为是具有法律机关认可的从业资质的机构，关于对水印验证机构资质的要求或审核在此不做描述。

本发明使用的水印算法应满足：能够实现身份信息与水印的内在绑定，这种绑定可以是由水印算法支持以用户身份的标识作为输入而实现，也可以采用其他用户特征如密钥等方式实现。

如图1所示，该方法包括：

110、利用第一水印算法，在原始数据集中嵌入绑定有数据权利人身份信息的初始水印，得到初始数据集；

具体的，该步骤为初始水印嵌入过程，以数据权利人的身份信息作为输入，利用水印算法生成绑定该信息的水印，并将其嵌入至原始数据集。此处数据权利人的身份信息可自行生成或选择，也可采用具有法律公信力的某种信息。

120、利用第二水印算法，在待交付的初始数据集中嵌入绑定有交付对象身份信息的交易水印，得到交付数据集并交付给交付对象；

具体的，该步骤属于数据交易阶段的交易水印嵌入过程，由数据权利人执行，该步骤以数据交付对象的身份信息作为输入，利用水印算法生成绑定该信息的水印，并将其嵌入至原始数据集。此处数据交付对象的身份信息可自行生成或选择，也可采用具有法律公信力的某种信息，或采用由数据交付对象提交的某种信息。

130、根据所述第一水印算法和数据权利人身份信息，判断待溯源数据集中是否存在所述初始水印，若是则执行下一步；

具体的，该步骤属于维权验证阶段的初始水印验证过程，一般由水印验证机构执行该过程。由数据权利人提供嵌入初始水印所使用的水印算法以及作为其输入的身份信息，将由水印验证机构对待溯源数据集进行操作，得出“初始水印存在与否”的判断。

140、根据所述第二水印算法和各个待验证候选人身份信息，分别判断所述待溯源数据集中是否存在所述待验证候选人身份信息对应的交易水印，根据判断结果确认所述待溯源数据集所指向的待验证候选人。

具体的，该步骤属于溯源追责阶段的交易水印验证过程，一般由水印验证机构执行该过程。由数据权利人提供嵌入交易水印所使用的水印算法以及作为其输入的待验证候选人的身份信息，将由水印验证机构对待维权数据进行操作，得出“交易水印存在与否”“是哪一个交付对象的交易水印存在”的判断。由水印验证机构将结果反馈给数据权利人，数据权利人可根据结果，完成后续的追责流程。

本发明利用水印技术对数据权利人流通出去的数据嵌入初始水印和交易水印，在数据维权阶段，通过判断待溯源数据集中是否存在初始水印来对数据权利人进行维权审核，实现属权的声明，然后在进一步的数据溯源阶段，通过判断待溯源数据集中是否存在待验证候选人身份信息对应的交易水印来确认待溯源数据集所指向的交付对象，从而实现对泄漏源的追溯。

可选地，在该实施例中，步骤130具体包括：

1301、根据所述第一水印算法和数据权利人身份信息，得到第一待验证水印；

1302、将所述第一待验证水印在所述待溯源数据集中进行匹配查询，并统计匹配通过量与所述待溯源数据集数据量的比例，即第一水印验出比；

1303、当确认所述第一水印验出比大于给定阈值时，确认所述待溯源数据集中存在所述初始水印。

可选地，在该实施例中，步骤140具体包括：

1401、根据所述第二水印算法和各个所述交付对象身份信息，分别得到对应的第二待验证水印；

1402、分别将各个所述第二待验证水印在所述待溯源数据集中进行匹配查询，并统计匹配通过量与所述待溯源数据集数据量的比例，即第二水印验出比；

1403、当确认所述第二水印验出比大于给定阈值时，确认所述待溯源数据集中存在所述待验证候选人身份信息对应的交易水印，所述待溯源数据集对应的交付对象即为所述待验证候选人身份信息对应的待验证候选人。

可选地，作为本发明的一个实施例，如图2所示，该方法包括：

210、利用第一水印算法，在原始数据集中嵌入绑定有数据权利人身份信息的初始水印，得到初始数据集；

220、利用第二水印算法，在待交付的初始数据集中嵌入绑定有交付对象身份信息的交易水印，得到交付数据集并交付给交付对象；

230、接收所述交付数据集的交易记录，并将所述交易记录与所述交付对象身份信息绑定存储；

具体的，该步骤属于交易映射记录过程，将交付数据集的交易记录以及水印生成用到的身份信息进行绑定存储，交易记录中一般与交易相关的基本信息，如数据集名称、摘要、交付时间、交付对象名称、金额等信息。存储该绑定关系的方式既可以采用常规存储方式如数据库存储，也可以采用区块链技术等以保障数据的不可变更性。

240、根据所述待溯源数据集的基本特征对与所述交易记录绑定存储的交付对象身份信息进行筛选，得到待验证候选人身份信息；

具体的，在交易水印验证过程中，由于可以涉及多个身份对象、多个时间节点、多种数据集的交付，若对所有的交付对象身份信息均作为待验证候选人身份信息进行验证，会存在效率方面的问题，本实施例中首先根据待溯源数据集的基本特征在交易记录中进行查询，从而对交付对象身份信息进行初步筛选，得到筛选过的“身份信息”作为待验证候选人身份信息，再去验证水印，从而提高后续交易水印验证过程的效率。

250、根据所述第一水印算法和数据权利人身份信息，判断待溯源数据集中是否存在所述初始水印，若是则执行下一步；

260、根据所述第二水印算法和各个所述待验证候选人身份信息，分别判断所述待溯源数据集中是否存在所述待验证候选人身份信息对应的交易水印，根据判断结果确认所述待溯源数据集所指向的待验证候选人。

图3为本发明实施例提供的一种基于数字水印技术的数据溯源系统的结构框图，该系统中各个功能模块的原理已在前述内容中进行了详细阐述，以下不再赘述。

如图3所示，该系统包括：

第一嵌入模块，用于利用第一水印算法，在原始数据集中嵌入绑定有数据权利人身份信息的初始水印，得到初始数据集；

第二嵌入模块，用于利用第二水印算法，在待交付的初始数据集中嵌入绑定有交付对象身份信息的交易水印，得到交付数据集并交付给交付对象；

第一判断模块，用于根据所述第一水印算法和数据权利人身份信息，判断待溯源数据集中是否存在所述初始水印；

第二判断模块，用于在所述第一判断模块判断所述待溯源数据集中存在所述初始水印时，根据所述第二水印算法和各个待验证候选人身份信息，分别判断所述待溯源数据集中是否存在所述待验证候选人身份信息对应的交易水印，根据判断结果确认所述待溯源数据集所指向的待验证候选人。

可选地，作为本发明的一个实施例中，如图4所示，该系统还包括：

存储模块、用于接收所述交付数据集的交易记录，并将所述交易记录与所述交付对象身份信息绑定存储；

筛选模块，用于根据所述待溯源数据集的基本特征对与所述交易记录绑定存储的交付对象身份信息进行筛选，得到待验证候选人身份信息。

可选地，在该实施例中，所述交易记录与所述交付对象身份信息绑定存储在数据库或区块链中。

可选地，在该实施例中，所述第一判断模块具体包括：

第一生成单元，用于根据所述第一水印算法和数据权利人身份信息，得到第一待验证水印；

第一匹配单元，用于将所述第一待验证水印在所述待溯源数据集中进行匹配查询，并统计匹配通过量与所述待溯源数据集数据量的比例，即第一水印验出比；

第一确认单元，用于当确认所述第一水印验出比大于给定阈值时，确认所述待溯源数据集中存在所述初始水印。

可选地，在该实施例中，所述第二判断模块具体包括：

第二生成单元，用于根据所述第二水印算法和各个所述待验证候选人身份信息，分别得到对应的第二待验证水印；

第二匹配单元，用于分别将各个所述第二待验证水印在所述待溯源数据集中进行匹配查询，并统计匹配通过量与所述待溯源数据集数据量的比例，即第二水印验出比；

第二确认单元，用于当确认所述第二水印验出比大于给定阈值时，确认所述待溯源数据集中存在所述待验证候选人身份信息对应的交易水印，所述待溯源数据集对应的交付对象即为所述待验证候选人身份信息对应的待验证候选人。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。