一种基于跨链架构和身份隐私保护的数据传输系统

1.本发明涉及一种计算机网络通信技术，具体地涉及一种基于跨链架构和身份隐私保护的数据传输系统。


背景技术：

2.科技协同创新各研究机构和企业积累了大量行业数据，这些数据是各协同主体数据交流和交易活动的数字化记录，是能够被重复利用的非物质财富。但是由于系统差异等原因各主体之间形成了若干的数据孤岛，进而严重影响了数据价值的释放。因此，亟需通过数据共享打通数据壁垒，释放数据流通起来的价值。现有的数据共享方案主要基于中心化数据共享平台，各个单位或部门通过网络、系统接口或人工上传的方式，将各单位数字资源上传到共享平台中进行协同合作或数据共享。由于数据全部集中于共享平台上，难以避免中心化系统固有易受网络攻击的安全风险，一旦发生数据泄漏会造成严重后果。而且，由于数据共享平台缺少隐私数据保护机制，导致各个参与方的一些敏感数据不敢共享，由此限制了后续业务的开展。
3.隐私包括身份隐私和数据隐私两个方面。所谓的身份隐私，是指区块链交易参与者的真实身份不被泄露，所谓的数据隐私，是指区块链的交易数据不被泄露。
4.由于区块链技术在促进数据共享的同时也可能对数据的安全带来一定的风险挑战，如数据多方存储可能带来的数据意外暴露风险等，需要通过隐私计算技术确保数据在共享的同时保障隐私性和保密性。
5.目前的平台技术在隐私保护方面还存在很多不足，已经无法满足目前数据量大、任务复杂且不同应用之间基于保密属性、数据隔离、业务协调等问题，因此亟需解决数据共享平台隐私保护性不够的技术问题。


技术实现要素：

6.针对现有技术存在的问题，本发明的目的在于提供一种科技协同创新数据共享的隐私保护系统，实现去中心化数据共享模式，并确保数据在共享的同时保障隐私性和保密性。
7.为实现上述目的，本发明一种基于跨链架构和身份隐私保护的数据传输系统，所述数据共享平台基于区块链网络建立，采用多链模式和主侧区块链应用架构，所述隐私保护系统包括分布式身份识别模块，所述分布式身份识别模块主要包括三部分组成，第一部分是分布式分布身份识别单元，第二部分是分布式信任传递体系单元，第三部分是分布式账本技术单元。
8.进一步，所述分布式身份识别模块通过用户自主控制存储保护用户隐私和数据使用的权限控制，具体方式为：用户私有的隐私数据被分布式身份识别模块的密钥加密后保存在用户信任的云存储，在存储上设计一个标准化存储访问和管理的中间层，所述中间层支持多种存储介质，包括去中心化存储和云存储；读取或写入数据到中间层需要使用基于
区块链令牌，每个区块链令牌都被授予不同的权限，每次数据访问都将被区块链智能合约记录；用户可以为每个应用程序分离多个存储区，用户个人数据索引文件是一个包含指向分布式存储。
9.进一步，数据隐私保护系统通过设置隔离通道和私有数据集实现隐私保护。
10.进一步，所述隔离通道是指通过在一条链上划分出不同的通道，每个组织或应用运行在不同的通道上，每个通道都有一个独立的账本，只有通道成员之间才能共享账本；通道机制保证在组织和/或应用之间形成一个专有的私密网络，交易在其上以保密方式执行，而与之无关的外部组织或应用无法访问通道账本，从而保证数据的隐私和安全。
11.进一步，所述私有数据集的设置原理如下：将需要保密的机密数据存储到私有数据集中，然后通过私有数据收集策略来定义授权节点，所述授权节点有权获得私有数据集中的数据，所述授权节点将所述机密数据存储到私有数据库里，而对于共识节点而言，只能看到私有数据的哈希。
12.进一步，科技协同创新网络的参与主体可以使用区块链构建的分布式网络，每个参与机构通过联盟节点的方式加入到区块链网络，一致性分布式账本记录共享数据索引、数据日志存证和数据校验；各个联盟节点通过区块链节点实现共享数据维护，区块链节点通过点对点协议进行数据、通讯交互。
13.进一步，所述区块链网络采用跨链交互架构设计，通过侧链和/或中继模式实现，跨链架构设计采用星系架构，包括中继链、侧链和网络继电器三个部分。
14.进一步，所述中继链作为整个多链架构的协调器，管理侧链的注册、变更、注销事宜，任何侧链都可向中继链提交注册请求，待审核通过后即可成为整个链网体系的一员，当多链间需要进行跨链通信时，中继链负责协调跨链间信息交互的流程；
15.所述侧链作为整个多链架构的执行器，用于执行具体的跨链逻辑，跨链模块或智能合约部署在各个侧链上；
16.网络继电器作为跨链信息的搬运工，用于在中继链和侧链间搬运跨链数据。
17.进一步，同一中继链下的侧链可以进行任意信息的跨链交互，跨链设计协议是在协议层面实现安全、可靠的跨链信息传输接口，具体的业务逻辑需要项目方根据自己的业务逻辑在不同的侧链上部署相应跨链模块或合约，网络继电器作为跨链信息的搬运工，当网络继电器监听到跨链事件发生时，会在不同链间搬运跨链数据。
18.进一步，所述保密系统的跨链交互示的原理如下：
19.(a)各侧链需要同步中继链的区块头信息，并且该信息要经过各侧链共识；以及
20.(b)中继链需要同步各侧链的区块头信息，并且该信息经过中继链共识；
21.并且，跨链交互信息的有效性证明，采用信息的梅克尔证明来验证跨链信息的有效性；不同的区块链之间需要同步对方链的区块头信息来验证对方链的跨链信息。
22.本发明通过区块链技术，可以实现去中心化数据共享模式，解决了数据不公开、数据未集中、获取难度大等多行业主体的痛点，通过去中心化的方式有效降低了实现大一统集中化系统开发成本，并保护了各个机构、部门和子系统的隐私和数据运营的利益；并且提供了对于机密数据的高质量保密系统保障数据安全。
附图说明
23.图1为根据本发明的数据共享平台中多链多业务应用架构示意图；
24.图2为根据本发明的数据共享平台中主侧链应用架构示意图；
25.图3为根据本发明的基于跨链架构和身份隐私保护的数据传输系统中基于did技术的隐私保护方案示意图；
26.图4为根据本发明的基于跨链架构和身份隐私保护的数据传输系统的多通道示意图；
27.图5为根据本发明的基于跨链架构和身份隐私保护的数据传输系统的星系架构示意图；
28.图6为根据本发明的基于跨链架构和身份隐私保护的数据传输系统的跨链交互示意图。
具体实施方式
29.下面将结合附图，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
30.在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
31.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
32.以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。
33.根据图1-图6，本发明的基于异构多链多应用的科技协同创新数据共享平台系统，基于区块链技术的多业务网络架构实现。
34.区块链具有分布式账本、共享数据、共识机制、数据不可篡改等特性，因此非常适合作为数据共享协同创新网络的底层技术架构。
35.科技协同创新主体是由核心企业、院校、科研机构等成员组织构成，它们间的组织应由三个基本面构成：主体成员、成员网络结构变量、成员数字资产供需连接方式。
36.对于复杂网络结构的数据共享模型而言，可以根据业务特点使用联盟链异构多链多应用技术。使用多链技术相比单链在容量、隔离性、隐私、性能、扩展等方面更有优势。主体进行基于区块链的数据共享协同网络建设可以根据自身业务需求进行相应选择。
37.科技协同创新数据共享的参与主体存在多样性、差异性。各研究机构、院校和企业
也会因为其规模大小和所处的层级和保密程度的不同而在数据共享网络中要对应不同的权限。基于区块链的数据协同共享并未形成统一、公认和经过实践检验的应用架构，仍存在着多样性。
38.根据本发明的科技协同创新基于跨链架构和身份隐私保护的数据传输系统，采用多链多业务应用架构。根据运营主体、协同方式不同，可分为核心机构主导架构、第三方平台架构以及联盟式协同架构。
39.如图1所示，多链多业务应用架构是指，在科技协同创新中，不同参与方分别参与到不同的区块链网络中；某些参与方(包括企业1、企业2、企业3、院校1、院校2、院校3以及研究机构，其各自的系统以及节点)同时参与在多个区块链网络；不同区块链网络之间通过跨链交换和共享数据，从而实现更大范围的数据共享和基于数据的业务协同。在这种架构下，不同参与方多采用不同的业务应用。其中企业主体101包括企业1、企业2、企业3；院校主体102包括院校1、院校2、院校3以及研究机构103，其各自的系统以及节点，通过跨链104实现网络连通。
40.采用多链模式，是由于不同参与方所参与的共享协作网络不完全相同、不同协作网络的参与方由于保密属性、数据隔离、业务协调等问题难以构建一个单一网络。
41.除了采用多链多业务应用架构之外，本发明还应用了主侧区块链应用架构，如图2所示，参与主体(包括企业1、企业2、企业3、院校1、院校2、院校3以及研究机构，其各自的系统以及节点)在使用一条主链201进行全局共识和数据共享、交换的基础上，部署多条侧链202，203，完成多项供应链业务。侧链202，203完成局部共识，具备较高的性能；主链201则为业务协同提供更大范围的支持。
42.采用主侧区块链模式，既可以满足小范围内高效协同、信息交换的需求，又可以在保证一定程度的数据隔离的同时，实现数据全局可验证，满足某些场景下对大规模应用的性能需求。
43.通过区块链技术，可以实现去中心化数据共享模式，解决了数据不公开、数据未集中、获取难度大等多行业主体的痛点，通过去中心化的方式有效降低了实现大一统集中化系统开发成本，并保护了各个机构、部门和子系统的隐私和数据运营的利益。本方案还提出基于分布式账本及智能合约技术实现分布式架构的数据信息共享平台(以下简称共享平台)的技术方案。科技协同创新网络的参与主体可以使用区块链构建的分布式网络，每个参与机构通过联盟节点的方式加入到区块链网络，一致性分布式账本记录共享数据索引、数据日志存证和数据校验。各个联盟节点通过区块链节点实现共享数据维护，区块链节点通过点对点协议(p2p协议)进行数据、通讯交互。
44.对于基于跨链架构和身份隐私保护的数据传输系统来说，身份隐私主要通过匿名交易实现，从交易的无关联性和不可追踪性两个方面确保对交易信息匿名保护。无关联性和不可追踪性是完全匿名模型必须满足的属性，这两个属性可采用一次密钥one-time secret key和环签名ring signature技术实现。同时，设计并实现严格的零知识证明zero-knowledge proof模型，可进一步增强交易匿名性。
45.如图3所示，为了实现良好的隐私保护功能，本发明的隐私保护系统包括分布式身份识别模块(decentralized identifiers，简称did模块)，其定义了一种新的通用性身份识别数据模型。did模块面向分布式的身份系统，从设计上去除了对中心化管理机构的依
赖，使得每个id由其所属者直接控制。
46.去中心化、自主管理是新一代身份系统的关键特性，是其安全性、灵活性以及可信性的保障。did模块主要由三部分组成，第一部分是分布式分布身份识别单元，第二部分是分布式信任传递体系单元，第三部分是分布式账本技术单元。分布式身份识别单元是分布式信任体系的基石，要想给一个网络实体建立信任模型，首先要能识别出这个实体，就像在现实生活中，每个人都需要有一个身份证号一样。
47.分布式身份由w3c定义并标准化，和可验证凭证(verifiable credentials)协议及分布式账本技术(区块链)一起构成了自主身份(ssi)的三大支柱。分布式分布身份识别单元中，当分配一个可验证凭证时，会将一个公开的分布式身份和这个凭证进行绑定，同时这个分布式身份被存入区块链中，变成一个不可篡改的数据记录。需要验证身份的有效性和真实性时，只需检查区块链中的分布式身份，检查是谁发布的，无需和身份拥有者联系。区块链充当了身份验证平台，任何人都可以在这个平台上查询一个公开的分布式身份属于哪个组织。分布式身份保证可验证凭证随时随地都可以被验证，即使身份发布方已经不再存在。区块链中只存储分布式身份信息，不应存储个人的其他信息，因为区块链信息是不能修改和删除的。分布式信任传递体系单元是基于区块链技术建立的分布式信任链网，可以实现跨链、跨行业和跨终端实体认证、数据交换和流程协作的功能。
48.本发明提供一个去中心化，同时还能很好的保护本发明隐私安全，并且还易扩展的身份识别系统，它能够把所有的网络实体包括人、机构、院校、企业以及物联网设备纳入到一个统一的识别系统中。
49.方案通过用户自主控制存储(user-controlled storage)保护用户隐私和数据使用的权限控制，具体原理为：用户私有的隐私数据被did密钥加密后保存在用户信任的云存储，在存储上设计一个标准化存储访问和管理层，这个中间层支持多种存储介质，包括去中心化存储和云存储，如华为云服务或阿里云等。读取或写入数据到存储需要使用基于区块链令牌301、区块链令牌302(dtoken)，每个区块链令牌301、区块链令牌302都被授予不同的权限，每次数据访问都将被区块链智能合约记录。用户可以为每个应用程序分离多个存储区303，用户个人数据索引文件304是一个包含指向分布式存储。
50.数据隐私保护系统通过设置隔离通道和私有数据集实现隐私保护。
51.其中，隔离通道的多通道架构如图4所示。通过在一条链上划分出不同的通道，本示意图中包括第一通道401和第二通道402，每个组织或应用运行在不同的通道上，每个通道都有一个独立的账本，只有通道成员之间才能共享账本。通道机制保证在组织/应用之间形成一个专有的私密网络，交易在其上以保密方式执行，而与之无关的外部组织或应用无法访问通道账本，从而保证数据的隐私和安全。
52.私有数据集的设置原理如下：对某些机密数据，如涉密信息、单位、职务、地址等，可能希望仅在某一特定范围内知道，如本单位，或者仅仅自己知道。可以将这些机密数据存储到私有数据集中，然后通过私有数据收集策略来定义有哪些节点有权获得这些私有数据，这些授权节点同样是将这些数据存储到私有数据库里，对于共识节点而言，也只能看到私有数据的哈希。
53.当本发明使用跨链技术打通链与链之间交互后，本发明不仅可以将大量的业务转移到子链或侧链，从而极大的减轻主链的业务压力并提高吞吐量；也可以安全、高效地将一
条链上的价值转移到另一条链上，从而实现链与链之间价值的自由流通。
54.跨链技术是在单条区块链架构设计的基础上通过跨链互操作协议打通链与链之间交互的一种新的技术手段。跨链交互设计主要围绕链与链之间数据交互的有效性问题展开。例如：若用户a想在b、c两条链上进行跨链交互，首先，他在b链上执行了一个操作并产生了执行结果，但c链上的操作需要依赖b链上的执行结果，这时候就需要将b链的执行结果传输到c链上，但如何确保b链传输到c链的数据没有被篡改，这就涉及到跨链间数据交互的有效性问题。
55.本方案的跨链交互架构设计是通过侧链/中继模式实现，主要围绕验证跨链交互信息的有效性展开。
56.(1)跨链架构设计
57.本方案所阐述的跨链架构设计采用星系架构，如图5所示，一条中继链501作为整个链网体系的协调器，其他侧链502作为整个链网体系的执行器，网络继电器relayer作为多链间信息交互的搬运工，架构示意图如下图所示：
58.其中多链架构主要包含以下三种角色：
59.(a)多链架构协调器-中继链501，中继链501作为整个多链架构的协调器，主要管理侧链502的注册、变更、注销等事宜，任何侧链502都可向中继链501提交注册请求，待审核通过后即可成为整个链网体系的一员，当多链间需要进行跨链通信时，中继链501负责协调跨链间信息交互的流程；
60.(b)多链架构执行器-侧链502，侧链作为整个多链架构的执行器，主要用于执行具体的跨链逻辑，跨链模块或智能合约主要部署在各个侧链上；
61.(c)跨链信息搬运工-网络继电器relayer，relayer作为跨链信息的搬运工，主要用于在中继链501和侧链502间搬运跨链数据。
62.(2)跨链交互流程
63.同一中继链下的侧链可以进行任意信息的跨链交互，跨链设计协议主要是在协议层面实现安全、可靠的跨链信息传输接口，具体的业务逻辑需要项目方根据自己的业务逻辑在不同的侧链上部署相应跨链模块或合约，relayer作为跨链信息的搬运工，当relayer监听到跨链事件发生时，会在不同链间搬运跨链数据。
64.(3)跨链交互信息有效性验证
65.跨链交互的核心在于跨链交互信息的有效性证明，本发明采用信息的梅克尔证明来验证跨链信息的有效性，而信息的梅克尔证明需要依赖该信息的梅克尔根，梅克尔根存在每一个区块的区块头之中，所以，若需要验证跨链信息的有效性，不同的区块链之间需要同步对方链的区块头信息来验证对方链的跨链信息。若不同的区块链之间两两同步对方的关键区块头，也可实现链与链之间的跨链交互，但随着整个链网体系规模的扩大，每条链之间两两都同步对方的区块头的方案显然不太合适，因此，本架构采用了一种星型结构，通过一条中继链501来衔接不同链与链之间的跨链交互，减小了整个链网体系的复杂程度。
66.如图6所示，跨链交互示的原理如下：
67.(a)各侧链502需要同步中继链501的区块头信息，并且该信息要经过各侧链502共识；
68.(b)中继链501需要同步各侧链502的区块头信息，并且该信息经过中继链501共
识；
69.所述数据共享平台用于实现以下功能：
70.(1)门户管理
71.门户统一管理功能，建设基于区块链的数据共享网络统一门户。实现登录入口统一、用户统一、消息统一、通知公告统一的四统一门户系统。包括注册，登录，首页，消息中心，通知公告，用户管理等功能模块。
72.(2)服务中台管理
73.面向应用连接平台层，实现标准统一的编程接口与区块链管理功能，包括区块链公共服务平台和应用支撑平台，面向基于区块链的数据共享网络，提供统一的服务平台，包括统一的数据共享区块链可信应用的可编程接口，平台管理，区块链管理及应用支撑模块。
74.(3)基础设施平台管理
75.底层软硬件支撑功能。包括区块链如硬件、内部网、区块链底层平台。基础软硬件满足系统部署和数据共享网络用户访问需要，包括统一的用户权限管理，流程管理，个性化开发支持等功能。区块链底层平台主要构建性能较高、功能完备的区块链服务平台，提高高性能共识机制，高级图灵完备智能合约，跨链通信多链融合、加密算法支持、数据上链、数据查询、冷热备份等功能，同时为数据隐私保护、确权共享提供支持。建立标准化、专业化、规范化的基于区块链的数据共享网络运行维护体系，更好指导区块链硬件节点购置标准、应用上链互操作规范、数据存证、调用接口与日常维护等。主要包括基础设施监控，应用监控、运维管理。
76.(5)数据共享平台功能应用
77.搭建区块链可信应用系统，满足数据共享平台日常业务使用需求，提升科技协同创新数据共享管理信息化水平。根据上文架构分析，不同的的应用数据分别对应不同的应用链，具体包括用户管理、客户管理、信息发布管理、数字资产目录管理、交易管理、支付管理、统计管理、用户互动管理和日志管理。同时根据业务需要，应用可满足多样性、账本隔离性、功能伸缩性、使用便捷性、体系完善性及可监管隐私等需求，并支持后续任意扩展。
78.创建及维护系统中的用户账户，通过与角色捆绑或关联，继承角色拥有的权限。支持系统角色的维护和管理，并能针对系统功能灵活实现基于角色的权限设置和维护，如∶系统管理员、网站管理员、客户、协同伙伴等不同的角色，并赋予系统中不同的功能使用权限。账户根据用户类别进行分级管理，只有经过认证的企业、院校、机构才能在后台系统下载节点客户端，同步共享数据。
79.用于发布融合主体自主开放的技术资料、项目代码、产品设计等资源。针对特定课题提供有偿征集个人或团队进行合作攻关。数字资产或服务提供者可提交相关资料申请成为数据共享平台会员，并在经过网站管理员审核后准入或驳回；灵活对协同伙伴进行状态管理和分级管理；协同伙伴能在完成权限验证的情况下完成企业基础信息、数字资产信息的发布与维护，通过数据共享平台进行宣传展示。记录协同伙伴在平台中达成的每项电子交易记录。
80.拥有权限的账号能通过数据共享平台对公众发布信息，如通知公告等；发布和维护的信息支持图片、文字及其它附件形式。针对不同类别的信息可设置阅读对象。实现数字资产目录的创建和维护，支持无限级的子目录形式。通过平台实现交易信息共享、在线交易
及合同受理，支持基于工作流的后台支撑实现对数据交易各环节中对应角色的配置和处理时限设定。产品或服务提供商在满足合同付款条件时，在数据共享平台中向数据提供者发起电子支付申请。数据共享主体相关人员可以查阅、受理该电子支付请求。实现对系统中各项基础数据指标的统计以及结果的导出，如协作伙伴、交易对手名录、某个时期的协作项目信息统计，点评排行统计等。通过多种点评指标，让数据提供者及用户互相进行点评，针对点评结果能追踪；并将点评结果纳入到用户的评级及升降级管理中，并在数据共享平台中面向公众用户公布供应商的点评榜。系统记录每个账户的登陆验证日志。实现对站内信息的全文检索，针对检索出的结果，根据信息所属类别的阅读权限进行有选择性许可访问。
81.本方案基于区块链技术为底层，实现新型科技协同创新数据共享平台的建设，涵盖了对基本数据共享活动的全面支持，同时实现对共享数据提供者的数字资产或服务质量的溯源追踪、电子支付服务、用户互动等功能。方案以区块链技术结合应用系统为支撑，规范和优化了数据共享流程，减少主体间交易活动中信息验证等必要开支，建立了不可抵赖、无法人为修改的完整数据全生命周期管理支撑条件，实现数据生成、汇总、使用、保存的全过程可溯源，为数据共享网络平台系统建设提供科学、规范、实时、可靠的数据基础。
82.本发明的数据共享平台的保密系统，在体系架构和多应用协同中最大程度满足网络化、非线性、开放性的特征，实现各类优质科研成果和技术创新数据网络化管理，开放共享，科学配置，安全可信；然后提出了一个基于上述架构的基于区块链的数据共享应用方案。
83.上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。