一种基于区块链信任根思想的可信数据溯源方法及系统

本发明涉及数据安全，具体为一种基于区块链信任根思想的可信数据溯源方法及系统。

背景技术：

1、数据安全问题已成为当下基础的安全问题，而数据溯源技术是实现数据安全的关键技术。区块链技术是解决数据溯源问题中数据可信性的关键技术，是一种去中心化的分布式存储技术，它能够记录和验证数据，保证数据的安全性和可靠性。区块链确保数据的可行性一般是利用其分布式存储和不可篡改性：区块链由多个区块组成，每个区块包含了前一个区块的哈希值、时间戳、交易记录等信息。每个区块都经过算力证明或权益证明等机制进行验证，被添加到区块链中后，便无法被更改。目前区块链技术已经被广泛应用于供应链管理、物联网、数字身份认证、知识产权保护等领域。在这些应用场景中，区块链的特点包括可追溯性、去中心化、安全性等，为这些领域带来了巨大的变革和创新。虽然以区块链技术为代表的去中心化方案可以确保数据不可篡改，但是也带来了计算和存储成本的问题：区块链系统普遍面临的数据查询效率低的关键性能瓶颈问题，导致对链上数据的存取效率极低。而传统的数据溯源存在以下弊端：传统的数据溯源无法确保溯源信息的可信性，数据在不同节点流转有可能会篡改数据，从而无法实现数据真实有效。

技术实现思路

1、本发明的目的是针对背景技术中存在的缺点和问题加以改进和创新，提供一种基于区块链信任根思想的可信数据溯源方法及系统。

2、根据本发明的第一方面，提供一种基于区块链信任根思想的可信数据溯源方法，具体包括以下步骤：

3、根据各个监控体节点提取到的溯源数据di和接收到的上一个监控体节点的哈希值hi-1，计算当前监控体节点的哈希值hi；

4、将当前监控体节点的哈希值进行加密生成对应的数字签名si，将数字签名si、当前监控体节点的哈希值hi、溯源数据di和上一个监控体节点的哈希值hi-1上报溯源服务端存储；

5、将数字签名si和溯源数据di上报溯源区块链存储；

6、以溯源数据流转终节点为信任根，提取信任根对应的溯源服务端上存储的溯源数据dn和上一个监控体节点的哈希值hn-1并生成相应的终节点的哈希值hn，判断信任根对应溯源服务端上存储的终节点的哈希值hn是否与生成的终节点的哈希值hn相对应，以验证信任根哈希依赖关系是否成立；

7、若是，由后向前依次验证溯源数据流转各个节点的哈希依赖关系，构造出溯源数据流转的溯源链路；

8、判断溯源链路是否是完整的；

9、若是，获取溯源区块链上与信任根对应的数字签名sn对应的哈希值hn；

10、验证信任根对应的溯源服务端上生成的哈希值hn与信任根对应的溯源区块链上生成的哈希值hn是否相同；以确认溯源服务端上的溯源数据是否被篡改。

11、进一步的方案是，所述获取溯源区块链上与信任根对应的数字签名sn对应的哈希值hn具体包括：

12、提取信任根对应的溯源服务端上的溯源数据dn；

13、通过溯源数据dn来查找信任根对应的溯源区块链中是否有对应的溯源数据dn；

14、若是，则返回存储在信任根对应的溯源区块链中的数字签名sn，并对数字签名进行解密，以生成溯源区块链对应的哈希值hn；

15、若否，则证明溯源数据在流转途中发生了篡改。

16、进一步的方案是，所述将数字签名si、当前监控体节点的哈希值hi、溯源数据di和上一个监控体节点的哈希值hi-1上报溯源服务端存储具体包括：

17、溯源服务端接收监控体上报的数字签名si、当前监控体节点的哈希值hi、溯源数据di和上一个监控体节点的哈希值hi-1；

18、对数字签名进行解密，以生成哈希值hi，并判断生成的哈希值hi与监控体上报的哈希值hi是否相同；

19、若是，溯源服务端则对上报的数字签名si、当前监控体节点的哈希值hi、溯源数据di和上一个监控体节点的哈希值hi-1进行存储。

20、进一步的方案是，所述根据各个监控体节点提取到的溯源数据di和接收到的上一个监控体节点的哈希值hi-1，计算当前监控体节点的哈希值hi具体包括：

21、创建初始哈希值h0，以使得第一个监控体节点根据初始哈希值h0和第一个监控体节点提取的溯源数据d1生成第一哈希值h1；之后各个监控体节点根据提取到的溯源数据di和接收到的上一个监控体节点的哈希值hi-1，计算当前监控体节点的哈希值hi。

22、进一步的方案是，通过数字签名安全认证方式生成公钥和私钥，将当前监控体节点的哈希值hi通过私钥进行加密生成对应的数字签名si；通过公钥对数字签名进行解密生成对应的哈希值。

23、进一步的方案是，所述由后向前依次验证溯源数据流转各个节点的哈希依赖关系，构造出溯源数据流转的溯源链路具体包括：

24、从终节点由后向前依次根据各个节点对应的溯源服务端上存储的上一节点的哈希值和溯源数据，以计算得到各个节点对应的哈希值，判断计算得到的哈希值与溯源服务端上存储的各个节点对应的哈希值是否相同，直至验证到第一个节点。

25、根据本发明的第二方面，提供一种基于区块链信任根思想的可信数据溯源系统，具体包括：

26、计算模块，用于根据各个监控体节点提取到的溯源数据di和接收到的上一个监控体节点的哈希值hi-1，计算当前监控体节点的哈希值hi；

27、第一上报模块，用于将当前监控体节点的哈希值进行加密生成对应的数字签名si，将数字签名si、当前监控体节点的哈希值hi、溯源数据di和上一个监控体节点的哈希值hi-1上报溯源服务端存储；

28、第二上报模块，用于将数字签名si和溯源数据di上报溯源区块链存储；

29、第一验证模块，用于以溯源数据流转终节点为信任根，提取信任根对应的溯源服务端上存储的溯源数据dn和上一个监控体节点的哈希值hn-1并生成相应的终节点的哈希值hn，判断信任根对应溯源服务端上存储的终节点的哈希值hn是否与生成的终节点的哈希值hn相对应，以验证信任根哈希依赖关系是否成立。

30、构造模块，用于当信任根对应溯源服务端上存储的终节点的哈希值hn与生成的终节点的哈希值hn相对应，由后向前依次验证溯源数据流转各个节点的哈希依赖关系，构造出溯源数据流转的溯源链路；

31、判断模块，用于判断溯源链路是否是完整的；

32、获取模块，当溯源链路是完整的，用于获取溯源区块链上与信任根对应的数字签名sn对应的哈希值hn；

33、第二验证模块，用于验证信任根对应的溯源服务端上生成的哈希值hn与信任根对应的溯源区块链上生成的哈希值hn是否相同，以确认溯源服务端上的溯源数据是否被篡改。

34、进一步的方案是，所述获取模块具体包括：

35、第一查找单元，用于提取信任根对应的溯源服务端上的溯源数据dn；

36、第二查找单元，用于通过溯源数据dn来查找信任根对应的溯源区块链中是否有对应的溯源数据dn；

37、生成单元，当溯源区块链中有对应的溯源数据时，用于返回存储在信任根对应的溯源区块链中的数字签名sn，并对数字签名进行解密，以生成溯源区块链对应的哈希值hn；

38、第一证明单元，当溯源区块链中没有对应的溯源数据时，用于证明溯源数据在流转途中发生了篡改。

39、与现有技术相比，本发明的有益效果是：本发明提供一种基于区块链信任根思想的可信数据溯源方法及系统。当前监控体节点哈希值hi在哈希生成时同时参考了溯源数据di和上一监控体节点的哈希值hi-1的信息，若溯源数据di或溯源数据di-1被篡改，都会导致哈希链式依赖关系不成立，从而为整体溯源链路信息的完整性自验证奠定基础。本发明通过验证数据链路是否完整，来排除哈希值和溯源数据被部分篡改的情况；进一步通过区块链信任根来排除哈希值和溯源数据被全部篡改的情况，从而确保溯源服务端上的溯源数据是可信的。具体的，基于哈希链式依赖的数据血缘关系，以数据流转终节点为信任根，就能通过哈希链式依赖关系，实现对溯源服务端上流转各个节点的溯源数据溯源信息完整性的自验证。在验证整个溯源链路<n1, n2, n3, …, nn-1, nn>的完整性时，不用查询区块链系统上的数据，提高了溯源数据的查询效率，克服了区块链系统普遍面临的数据查询效率低的关键性能瓶颈问题；此外，由于从信任根由后向前依次验证哈希依赖关系，因此信任根的完整性至关重要。本方案通过区块链技术保证信任根的完整性和不可篡改性，即通过将溯源服务端的溯源信息与区块链存储的溯源信息进行比对，以确认信任根数据的可信。基于该方案，每次溯源数据验证仅需查询一次信任根对应的区块链数据，不需要查询各个数据流转节点对应的区块链数据，因此能显著提高溯源效率。本发明相比传统区块链方案，通过引入信任根思想，实现只查询根节点的区块链信息，就能实现完整溯源链的可信性鉴别，提高区块链溯源效率。