2. 专利技术
  3. 基于区块链的跨境数据流动与监管系统的制作方法

基于区块链的跨境数据流动与监管系统的制作方法

专利2023-10-07  125


1.本发明属于区块链应用技术领域,特别是涉及基于区块链的跨境数据流动与监管系统。


背景技术:

2.近年来,随着人工智能、云计算、物联网及大数据等新一代信息技术的快速发展,数据的全球化属性、资产属性以及流动属性日益增强,跨境数据流动逐步成为了驱动数字政府、数字社会以及数字经济加快建设的核心力量;根据麦肯锡2016年的研究报告,自2008年以来跨境数据流动在各产业领域带来的效率增长和产出增加已经超过传统的跨境贸易和投资,支撑了包括商品、服务、资本和人才等几乎所有类型的全球化活动;美国智库布鲁金斯学会指出,2014年跨境数据流动对全球经济增长的价值贡献超过2.8万亿美元,预计2025年有望突破11万亿美元。
3.国际上对跨境数据流动的内涵与外延界定主要包括两类:一类是数据跨越国界的传输、处理与存储;另一类是尽管数据尚未跨越国界,但能够被他国主体进行访问;依据跨境数据流动的定义,各国相关规制将数据出入境的主要角色划分为数据主体、数据控制者、数据处理者和数据消费者等,并明确了参与者各方对数据保护的责任和义务;然而,当数据控制者以云计算平台、工业互联网、产业互联网、电子商务及新兴社交媒体等信息服务平台提供商(如microsoft、facebook、google和amazon等)的身份为数据主体提供相关的业务服务时,数据主体丧失了对其身份和数据的控制权,信息服务平台提供商成为了交易方身份信息和数据的实际控制者;在这种情况下,极易造成跨境数据流动下国家数据安全、个人隐私与商业秘密泄露,并形成数据垄断。
4.信息服务平台即使采用数据本地化的方式进行身份信息与数据存储,平台控制者仍然可以通过在本地进行数据处理,再将处理结果以多种数据形态进行跨境传输;欧盟相关研究也认为,数据本地化不会比数据跨境传输更安全;因此,随着各国对数据跨境流动意义和影响的认识日益深入,跨境数据流动已经成为国家和地区间博弈的焦点问题,基于国家安全、经济发展、产业能力、隐私保护等多方考量,各国确立了不同的跨境数据流动策略,加快构建自身的跨境数据流动规制体系。
5.在推动跨境数据流动与构建保障各方主体权益规制体系的同时,存在传统跨境数据流动技术体系难以满足跨境数据流动的旺盛需求和日趋严格的数据合规要求之间的矛盾,如何打破数据共享壁垒、确保跨境数据流动的安全与监管、体现数据对经济增长的价值,是全球数据治理亟待解决的问题;近年来,跨境数据流动管理体系不断完善,我国正处于数字经济快速发展的战略机遇期,在完善跨境数据流动相关制度的同时,也应高度重视跨境数据流动技术体系的构建,为全球数据治理提出中国的技术路径和解决方案,塑造全新的跨境数据流动模式和对等管理机制,从而构建符合《全球数据安全倡议》的数据治理新格局。


技术实现要素:

6.本发明实施例的目的在于提供基于区块链的跨境数据流动与监管系统,保证了交易方对自身数据的完全可控,使跨境流动的数据可信、可证、可溯,减少了个人隐私和敏感信息等被泄露的风险,提高了数据流动的安全性和效率。
7.为解决上述技术问题,本发明所采用的技术方案是,基于区块链的跨境数据流动与监管系统,包括:
8.应用层,用于提供跨境数据流动的应用程序,包括跨境金融、跨境电子政务、跨境医疗共享、跨境供应链;
9.应用接口层,用于存储跨境数据流动中涉及的智能合约、预言机oracle、sdks、apis;
10.数据钱包,用于为交易方提供交互、操作平台,实现交易方的身份标识符did注册、登陆、消息发布、授权访问、通信和数据验证,并存储交易方身份信息、跨境数据、可验证凭证数据的隐私信息;
11.账本层,用于将同一交易方的身份信息、跨境数据、可验证凭证数据中的哈希摘要信息存储于各功能链,所述功能链包括身份链、数据链、数据资产链;
12.数据层,用于存储和查询链上数据,实现各功能链之间的数据交互,以及链上与链下数据源、操作系统的交互;
13.安全层,用于对参与跨境流动的交易方和数据进行权限管理和隐私计算,对跨境数据的隐私信息进行隐藏;
14.多链基础设施层,用于对参与跨境数据流动的交易方进行可验证凭证的签发、认证,以及对跨境数据流动进行监管、协作。
15.进一步的,所述应用接口层还包括开发工具,其内设有加密算法库、智能合约库、共识算法库和开发语言库;
16.所述安全层还提供可插拔加密服务。
17.进一步的,所述数字钱包包括:
18.客户端,用于为交易方提供人机交互界面,以实现身份标识符did的注册、登陆、消息发布、授权访问、通信和数据验证;
19.数据库,用于存储交易方的身份信息、跨境流动数据、可验证凭证数据的隐私信息;
20.智能前端,用于对数据库进行管理,并与各区块链互联,完成交易方行为信息的记录;
21.钱包协议栈,用于保证各交易方即时通信,且数据传输安全、数据可信、可溯及可验证。
22.进一步的,所述多链基础设施层包括跨境认证与数据流动服务链,所述跨境认证与数据流动服务链包括:
23.智能合约层,用于存储认证合约、关系合约、隐私保护合约和标准一致性检测合约;
24.did交互代理层,用于链接有各国身份服务提供商idp和认证提供方,身份供应商idp和认证提供方调用认证合约、关系合约实现对交易方身份标识符did的验证和可验证凭
证的认证,调用标准一致性检测合约检测交易方的did文档和可验证凭证的格式结构,调用隐私保护合约对交易方的身份信息进行隐私保护;
25.凭证交换层,用于为身份标识符验证成功的交易方生成可验证凭证,将交易方的身份标识符did锚定在可验证凭证中,最后用身份提供商idp的私钥对可验证凭证进行数据签名,将签名的可验证凭证发送至交易方。
26.进一步的,所述跨境认证与数据流动服务链还包括参与主体钱包交互和互操作解析中间件,用于识别不同交易方的身份标识符对应的分布式账本。
27.进一步的,所述多链基础设施层还包括国家跨境数据流动监管链,所述国家跨境数据流动监管链由植入身份链和数据链中的监管节点构成,用于身份链和数据链的备案注册、数据核查、安全核查、数据分析、数据追溯和信用评估。
28.进一步的,所述多链基础设施层还包括全球跨境数据流动监管协作链,所述全球跨境数据流动监管协作链由跨域网关构成,所述跨域网关通过消息交换平台与国家跨境数据流动监管链交互,所述跨域网关还与其他区域的跨域网关进行交互。
29.本发明的有益效果是:采用数据钱包管理数字身份与身份数据,通过身份信息与数据的自主控制破解中心化技术模式下数据垄断和数据主权问题;将区块链平台作为身份认证可信第三方,解决了中心化平台身份认证存在的安全风险问题;将区块链及标准共知一致性检测等技术作为跨境数据真实性验证的基础,实现数据跨境流动的可信、可证与可溯;采用隐私计算、联邦学习和零知识证明等技术实现身份信息与数据的安全隐私保护及最小信息披露。
附图说明
30.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
31.图1是基于区块链的跨境数据流动与监管系统框架图。
32.图2是跨境认证与数据流动服务链的框架图。
33.图3是数据钱包的框架图。
34.图4是跨境数据流动监管部分框架图。
35.图5是面向数据交换的跨境数据流动框架图。
36.图6是面向应用服务的跨境数据流动框架图。
具体实施方式
37.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
38.基于区块链的跨境数据流动与监管系统,其结构如图1所示,包括数据钱包、应用层、应用接口层、账本层、数据层、安全层和多链基础设施层,参与跨境数据流动的交易方通
过数据钱包完成身份标识符did的注册、登陆、消息的发布、授权访问、通信以及数据验证等功能,并在数据钱包中存储交易方身份信息、跨境数据、可验证凭证等中的隐私数据,将其中的哈希摘要信息发送至账本层进行存储,所述账本层包括身份链、数据链和数据资产链,可将同一交易方的相关数据分别存放;应用接口层用于提供智能合约、预言机oracle、sdks、apis以及开发工具,在跨境数据流动过程中,交易方通过数据钱包调用应用接口层中的智能合约,访问多链基础设施层进行可验证凭证的生成和认证;访问数据层以安全地访问和查询链上数据,并通过调用智能合约在区块链间进行数据交互,以及安全访问链下数据,进行链下计算;访问安全层实现权限管理以及隐私计算,隐藏跨境数据中的隐私信息;访问应用层调用相应的跨境数据流动应用程序,包括跨境金融、跨境电子政务、跨境医疗共享、跨境供应链等。
39.数据钱包
40.在平衡数据自由流动与数据安全的矛盾中,既要满足国家对跨境数据的监管要求,又需要确保数据共享和开放中交易方对其数据具有自主可管、可控的能力,并最终体现数据要素的价值;因此,在促进数据资源互联、互通、互信和互认的基础上,本实施例以数据钱包作为数据流动过程中交易方自主权身份与数据的管理工具来维护其身份与数据控制权。
41.1、数据钱包的分类
42.数据钱包可分为个人、企业、设备及应用四类,个人数据钱包是面向交易方为个人的身份与数据管理工具,通常采用计算机、移动终端等个人设备作为数据钱包的载体;企业数据钱包主要是面向交易方为企业的,通常在企业网内部构建独立的身份与数据管理服务器,并通过可验证凭证实现内部授权管理;设备数据钱包主要面向工业互联网和产业互联网中的设备,设备标识信息与数据由设备数据钱包控制,只有设备的拥有者有权访问设备数据钱包;应用提供方数据钱包则是面向跨境应用服务提供者的身份验证及数据验证工具。
43.以个人与企业间进行数据的跨境交换为例,企业方通过数据钱包发布共享和交换数据的请求,个人交易方可以接受或拒绝该请求,整个过程由跨境认证与数据流动服务链进行全网共识和验证,交易方的数据被各自的数据钱包全流程控制,交易方通过数字签名和可验证凭证体现其对数据的控制权和所有权。
44.2、数据钱包结构
45.数据钱包结构如图3所示,是用于存储交易方的可验证凭证,允许交易方跟踪、管理数据要素及其资产的应用软件工具,是交易方行使其数据控制权的重要载体,具有自主控制、可携带的特点,采用分布式可信内容协议、即时通信协议和安全传输协议保障跨境数据的安全存储、共享和可信交换。
46.数据钱包安装在交易方的移动端设备或者电脑等设备中,以应用程序的方式为交易方提供服务,数据钱包包括客户端、智能前端、数据库和钱包协议栈,客户端为交易方提供良好的人机交互界面,交易方可通过客户端与跨境认证与数据流动服务链交互,以实现身份标识符did的注册、登陆、消息发布、授权访问、通信以及数据验证等功能;客户端中还设置有用于数据要素管理和数据资产管理的密码算法,在进行数据要素管理时,交易方可调动相应的密码算法与跨境认证与数据流动服务链进行交互,获得其签发的数字签名,对
数据规格、类型标识、数据安全审查、分级分类等进行标准化后的数据确权,以保证数据的来源唯一且可以确定交易方身份;进行数据资产管理时,交易方调用相应的密码算法与跨境认证与数据流动服务链进行交互,获得其签发的可验证凭证,其中可验证凭证的类型根据交易方的不同而不同,当交易方为个人时,可验证凭证主要是描述个人身份信息、数据信息、资产信息等的数字化凭证;当交易方是企业时,可验证凭证主要是描述企业合同信息、购销信息、发货信息、物流信息等的数字化凭证;当交易方是设备时,可验证凭证主要是描述设备位置信息、编号信息、输入输出信息的数字化凭证;这些凭证都是以具有法律效力的电子文件形式提供数据权利的凭证,可根据实际应用需求发行数据通证,形成跨境贸易、服务贸易等场景中的可交易数据资产。
47.另一方面,为了保证交易方之间数据的数字签名和可验证凭证验证过程的公开透明和可信,认证都将在跨境认证与数据流动服务链上利用认证合约完成,认证合约分为交易方的数字签名认证智能合约和可验证凭证认证智能合约,对于数字签名认证智能合约,其验证过程为,交易方利用数据钱包向认证提供方提交可验证凭证、数字签名值以及数字签名所采用的算法类型,其根据算法类型,调用不同认证合约函数完成认证,认证通过,向交易方返回认证通过指令,否则,返回认证不通过指令。
48.可验证凭证的验证过程为交易方利用数据钱包向可验证凭证认证智能合约提交可验证凭证中记录的凭证所有者的身份标识符did、凭证信息的哈希值、凭证的数字签名和数字签名的类型,智能合约在身份链上找到凭证所有者的身份标识符did对应的公钥,然后根据数字签名类型,调用不同验证合约函数利用公钥完成认证,认证通过,向交易方返回认证通过指令,否则,返回认证不通过指令。
49.智能前端是交易方自主权数据规范化管理的工具,用作数据库和第三方存储资源的管理,智能前端也与各区块链互联,完成交易方行为信息的记录,便于后续处理和追溯;数据库用于存储交易方的身份信息、跨境流动数据等,在具体场景下,如果数据的规模较大,则将其摘要hash、元数据或链接url等存储于数据库,而真实数据仍存储于第三方数据存储层上,针对小规模的数据,则直接存储在数据库,从而确保跨境数据通过本地化的存储管理实现数据的自我可管可控。
50.钱包协议栈包括分布式可信内容协议(dtcp)、即时通信协议、安全传输协议、分布式身份协议(sidetree)及分布式应用安全服务协议(dasp)等,dtcp协议是数据钱包管理跨境身份与数据服务平台中数据存储的标准协议,该协议赋予了数据钱包所存储数据的唯一身份标识符did,通过建立主数据和元数据的对应关系,确保交易方数据可信、可溯和可验证;即时通信协议是通过区块链智能合约建立的即时通信合约,在各交易方同时在线的情况下,可以通过区块链调用即时通信协议触发合约事件,向另一方发送即时通信请求;安全服务协议是数据传输前,各交易方需要通过互换身份标识符did以及验证对方是身份标识符did的持有者后才可以进行安全数据传输的协议;sidetree协议使得数据钱包能够适用于多种区块链平台,通过建立sidetree网络,解决数据钱包跨链访问的问题;dasp协议使用端到端加密和tls/ssl匿名加密传输,确保了跨境数据在网络层和应用层的安全性。
51.应用接口层
52.应用接口层从开发者的角度理解数据跨境流动与监管的区块链设计思路,其根本目标是支持区块链的互操作性,使得交易方、应用程序和各功能链之间能够实时可信地进
行数据交换,支持模块化、企业级程序设计、开放的多链iaas,便于开发者复用成熟的功能模块和选择任意的开发平台,实现跨平台的可移植性。
53.应用接口层提供的主要功能包括:
54.智能合约服务,能够将数据管理逻辑、应用逻辑、业务规则和合同条款集成到分布式应用程序;
55.开发工具,用于编写、记录、测试、部署和监控分布式应用的工具,提供的开发工具包括加密算法库、共识算法库、智能合约库及开发语言库等;
56.sdks和apis,简化分布式应用程序访问分布式账本、智能合约等服务的中间代码,包括允许外部系统访问智能合约的服务、平台和数据;
57.预言机oracle,作为一种去中心化的分布式存储数据聚合协议,其核心功能是作为去中心化的数据流量、数据价值的预言机和数据交易撮合引擎,将现实世界的数据反馈给基于区块链的dapp和智能合约,帮助出入境数据的拥有者打通现实世界和区块链世界数据连接通道。
58.账本层
59.基于区块链的跨境数据流动与监管系统中账本层由多个功能链的账本共同组成,其中包括身份链、数据链、数字资产链构成的账本,这些账本是交易方之间共享、复制和同步的分布式账本构成的数据库,交易方会将他们数据钱包中的部分数据或者相关数据的哈希摘要等信息存储到上述各功能链的账本数据库中,而与这些链上数据相关的隐私信息则存储到数据钱包中,例如身份链中将存储交易方身份标识符did的描述信息和公钥信息文档,而did的公钥对应的私钥则存储在数据钱包中;交易方要进行数据共享和交换时,会将数据相关的哈希摘要存储到数据链的账本数据库中,而数据本身将存储在数据钱包中;交易方为了交易数据,会将数据进行定价,并在数字资产链中发布与数据定价相关的数字资产合约。
60.此外,各账本之间相互独立以保证区块链的共识同步效率和吞吐量,因此,各账本的交易共识互不影响,不同账本中记录了交易方各种类型的数据,其中包括分布式身份、数字资产通证、监管数据等,而不同账本中,对于相同交易方的数据是相互关联的,交易方在数据链中发布数据的哈希摘要交易时,用于求取哈希摘要的数据是交易方的实际数据与身份链中的数字身份所构成的数据结构,交易方在数字资产链中发布的数字资产是关联到身份链中的数字身份唯一标识符的。
61.各功能链共存的基础上构建了面向数据本地化的跨境数据流动多链账本协作模式,并使用可插拔的互操作一致性共识机制验证不同链中的交易是否满足各功能链的共识记账要求,如果满足要求,则将不同类型交易写入不同功能链的分布式账本,同时,根据应用场景自主选择合适的共识算法对不同账本中的记录高效同步,保障跨境数据流动与监管区块链在共识性能上的高效。
62.数据层
63.跨境数据面向不同行业和领域,分布式应用程序dapp在对链上跨境数据要素进行价值传递的同时,不可避免地需要与链下传统数据库应用进行交互,因此系统中的数据层提供了异构链间、链上和链下对数据要素交易流通的标准化和互操作的服务过程,主要包含以下三大服务:
64.安全可信数据访问服务,分布式应用程序可以安全地存储和查询链上以交易形式存储在分布式账本或者智能合约中的不可篡改的可信数据,分布式应用程序包括应用层中服务提供商的应用服务程序以及交易方的数据钱包中包括的区块链应用接口;
65.跨链服务,是指身份链、数据链、数据资产链之间的数据交互,交互是由交易方在进行交互操作时完成的,例如,交易方进行数据传输时,数据链中的智能合约将检测数据的有效性,而数据有效性的前提是数据持有者身份的有效性,则数据链中的智能合约会调用身份链中的身份,并对身份进行验证;此外,交易方在进行数据资产交易时,交易合约也会调用数据链中数据哈希摘要,验证数据的有效性,也会调用身份链中的交易方身份,以验证身份链的有效性等。
66.进一步地,在区块链间进行数据交互的能力,主要包括:跨链注销管理机制、跨链合约功能、跨链交易验证、跨链消息路由协议及跨链事务原子性保护等;
67.链上-链下服务,交易方利用数据钱包与可信外部数据源、链下操作系统交互的能力,例如使用可信外部数据源或交叉使用可信分布式预言机认证技术对链下数据进行安全访问,使用链下高性能服务器节点进行外包复杂计算,链上记录并验证计算的状态和正确性信息。
68.安全层
69.数据安全是数据跨境流动的前提,数据传输至境外可能会带来各种不可控风险,如数据泄露、数据滥用等,对国家安全构成威胁,为此,在推动数据跨境流动时,必须加快发展数据跨境流动的安全保障能力;面对数据跨境流动中可能的数据泄露、个人隐私风险、数据滥用等一系列安全风险,安全层提供权限管理、隐私计算和可插拔加密服务。
70.权限管理即访问控制,支持基于合约、交易方、区块链等级别的权限管理,分级的权限控制符合更高的治理要求,更好适应各个国家监管和审计的要求,权限管理的访问控制功能是由实际应用的服务提供商根据不同应用的访问控制需求制定,并将它们抽象为应用接口层的智能合约服务、软件开发套件sdk、应用程序接口api等,应用层的实际应用服务提供商将在他们的服务应用程序中调用这些接口完成智能合约、交易方、区块链等级别的权限管理;此外,权限管理中的访问控制规则是基于交易方所具有的身份制定的,因此,判断某一交易方是否满足访问控制规则,是对其身份进行认证。
71.隐私计算是一套融合了密码学、安全硬件、数据科学、人工智能及计算机工程等众多领域的跨学科技术体系,支持差分隐私、同态加密、安全多方计算、联邦学习及密码累加器等前沿数据安全技术,为数据跨境流动安全提供切实可行的技术方案,降低数据跨境流动安全风险和追溯审计的难度;隐私计算的各种安全技术服务将被抽象为应用接口层的智能合约服务、预言机oracle、软件开发套件sdk、应用程序接口api等,应用层的不同应用服务将通过调用这些接口完成隐私相关的具体计算,此时,隐私计算涉及的数据根据具体的应用而不同,例如跨境金融应用中的交易记录需要对交易方的身份进行隐藏,跨境电子政务的机密文件需要进行对称或者非对称加密和安全存储等,此外,交易方的数据钱包中也将集成隐私计算的各种安全技术服务的应用接口,以完成诸如交易方身份的零知识证明的生成与验证,个人数字身份证书的加密,个人敏感数据的脱敏操作等。
72.可插拔加密服务支持自主选择和使用不同类型的加密算法,作为可升级的模块化组件,以应对未来量子计算机对现有区块链中使用基于数论的加密算法的安全性隐患;可
插拔密码服务将以软件组件或者硬件密码卡的形式安装或者插入到区块链节点服务器中,而他们的服务调用接口将被预留在应用接口层中以供应用层或者交易方的数据钱包调用,进一步地,可插拔密码服务主要用于应对隐私计算服务中的部分密码算法服务,因为量子计算机等发展而被攻破的风险,从而以可插拔的形式支持最新的密码服务应用,而对于具体的密码服务的数据仍然与隐私计算服务要处理的数据一致。
73.多链基础设施层
74.使用多链协同的基础设施作为数据安全流动与监管的核心底座,为促进数据开放共享与价值协作中互信、互认、互操作提供基础服务支持,多链基础设施层采用“多链+云计算”模式,其中,多链是指跨境认证与数据流动服务链、国家跨境数据流动监管链和全球跨境数据流动监管协作链,而云计算是指协助多链进行数据存储和服务计算的云存储和计算资源,这是因为区块链自身的存储和计算资源有限,即使可以使用链上智能合约完成部分计算任务,利用分布式账本存储部分数据,但是智能合约的计算和调用会产生区块链交易,当交易方的计算任务较多时,将对系统性能有较大影响,同时分布式账本的不可篡改特性导致账本的大小将不断增加,这也会影响系统性能。
75.为了确保在区块链上的计算性能、存储能力以及智能合约执行经济性不断提升的同时,支持云链融合,将多个分布式账本的一组服务器节点融入云计算技术,包括虚拟化和可扩展性,尤其在联盟链场景下,提供更加开放、高度兼容的多链iaas服务,根据跨境数据安全流通的复杂性和多样性,以及对数据的规制要求,多链基础设施层包括:面向行业或领域的用于验证不同身份提供商idp颁发的数字签名的跨境认证与数据流动服务链、国家跨境数据流动监管链及全球跨境数据流动监管协作链。
76.跨境认证与流动服务链
77.跨境认证与数据流动服务链如图2所示,其可以提供交易方数字签名和可验证凭证的签发及认证,包括了智能合约层、did交互代理层和凭证交换层,智能合约层设置有认证合约、关系合约、隐私保护合约和标准一致性检测合约,did交互代理层链接有各国身份提供商idp,比如海关、银行、数字证书企业等具备颁发数字身份证明的机构,用于对交易方提交的身份标识符did进行认证,认证成功后在凭证交换层中身份提供商idp将生成的可验证凭证发送给相应的身份持有方。
78.交易方使用数字钱包提供的注册接口进行注册,生成身份标识符did,并将身份标识符did的相关信息记录到账本层的身份链中,然后通过数字钱包将其身份标识符did提交给身份提供商idp,身份提供商idp据此在身份链中找到相应的分布式账本,获得其中身份标识符did对应的文档,并从文档中获得公钥信息,随后身份提供商idp生成一个随机数,并用公钥对其进行加密,再将加密结果和身份提供商idp的身份标识符did发送至交易方的数字钱包,交易方用其私钥解密获得随机数,之后利用相同的方法,到身份链获得身份提供商idp的身份标识符did对应的文档,并从文档中获得公钥信息,然后交易方利用身份提供商idp的公钥加密随机数,并返回给身份提供商idp,身份提供商idp用其私钥解密获得随机数。
79.身份提供商idp比对随机数是否是其发送的随机数,如果是,则证明交易方是所提交的身份标识符did的持有者,同时身份提供商idp节点的操作人员核验交易方提交的物理身份信息是否真实,如果真实,则生成一个与真实身份信息相同的可验证凭证,并将交易方
的身份标识符did锚定在可验证凭证中,用自身的私钥对可验证凭证进行数字签名,然后将签名后的可验证凭证发送给交易方。
80.在身份提供商idp和交易方在账本层的身份链中查找文档时,本实施例使用参与主体钱包交互和互操作解析中间件,将标识符体系与区块链命名与解析系统(bns)、对象命名与解析系统(ons)、域名解析系统(dns)结合,以可读性名字的方式提供分布式互操作生态体系,该体系可识别出不同身份链的身份标识符did对应的分布式账本,并基于该账本中记录的身份标识符did的文档获得身份标识符对应的公钥,并利用公钥完成身份标识符did互换过程中认证互换双方确实是身份标识符did的持有者的操作。
81.当交易方获得可验证凭证后,向应用层的服务提供商请求服务,服务提供商将请求重定向给认证提供方,此时,交易方利用其数字钱包与认证提供方交互,提交可验证凭证给认证提供方,并请求可验证凭证的认证。
82.认证提供方首先按照交易方与身份提供商idp交互认证交易方是did持有者的步骤,利用did交互代理层中的协议验证交易方是可信任凭证中锚定的did的持有者,然后认证提供方调用智能合约层的认证合约,对可验证凭证中的身份提供商idp的数字签名进行验证,以判断签名是否为合法的身份提供商idp签署,如果是,则向交易方数字钱包返回完成认证命令,并通知服务提供商向交易方提供服务。
83.上述数字签名和可验证凭证的认证过程均是调用相应的认证合约完成的,另一方面,图2中的关系合约是存储和构建交易方的身份标识符did和对应公钥信息映射关系的智能合约,其将在身份提供商idp验证交易方身份时候被身份提供商idp调用;隐私保护合约是在认证提供方与交易方进行交互,以完成身份验证时对交易方的身份信息进行隐私保护的智能合约算法,其将在认证提供方与交易方交互完成身份认证时,被交易方调用;标准一致性检测合约将检测交易方的did文档和可验证凭证的格式结构是否符合系统要求的标准,其将被认证提供方在身份认证时调用。
84.上述过程通过零知识证明和隐私计算服务在异构多信任环境下对数字身份进行真实性认证,做到身份敏感信息在跨境认证与数据服务请求过程不泄露、身份信息难以关联和身份行为不可追踪等;因此,跨境认证与数据流动服务链是保障安全地跨境数据传输、访问控制和共享开放的关键,是零信任网络环境下数据安全访问控制的边界。
85.国家跨境数据流动监管链
86.跨境数据流动监管体系是将法律与技术有机融合的“区块链+监管”模式,通过区块链、人工智能、大数据及云计算等技术提高监管的有效性,可实现对跨境数据流动的合规及风险水平的精准评估;基于区块链的跨境数据流动监管体系采用国家和行业(或省区)两级监管模式,通过跨链协议实现监管链与跨境认证与数据流动服务链的监管数据获取,一是允许身份链和数据链向监管链发布其最新的数据记录哈希值;二是保证数据包来自发送者,并通过merkle证明机制保证数据收发方的自由传递和数据的安全性和真实性。
87.国家跨境数据流动监管链架构如图4所示,各机构在构建相应的跨境认证与数据流动服务链前应向国家跨境数据流动监管链提出申请,跨境数据流动监管链主管部门在已经注册登记的身份链和数据链中植入监管节点,从而实现监管节点与身份链、数据链的交互,并通过交互完成监管任务,监管任务的执行可由监管节点的操作人员根据制定的监管任务完成,也可调用区块链接口的监管操作应用程序完成,监管任务包括定期审查身份链
和数据链中分布式账本和智能合约的内容,针对性的在身份链和数据链中搜索特点的账本数据和合约记录,不定期或周期性的跟踪账本和合约中的特点数据内容等。
88.此外,跨境数据流动监管链主管部门也将在已经注册登记的身份链和数据链中植入区块链智能合约,以实现链上自动监管,并将监管结果自动发送到植入的监管节点的监听应用程序中,监听应用程序发现异常后将报告具体的操作人员,操作人员根据具体报告事件进行处理。
89.进一步地,这些可完成链上自动监管任务的智能合约主要包括:(1)账本统计智能合约,以用于自动统计所监管的区块链中的当前交易信息;(2)合约部署监管智能合约,以用于监管当前部署到区块链中的合约和合约的输入输出;(3)基于关键词的账本筛选智能合约,以用于在链上部署的合约和账本中筛选监管的关键信息;(4)监管事件报告合约,以用于发现监管的可疑信息后向监管部门的业务系统发送即时报警事件,以保证监管部门即时响应。
90.此外,跨境数据流动监管链包括多个核心业务系统,各系统及其作用如下:(1)区块链备案注册系统,实现对需要基于区块链进行跨境数据流动的区块链系统进行系统信息注册和登记,并在注册登记后植入监管节点和合约;(2)数据核查系统,利用植入到注册登记的区块链系统中的合约部署监管智能合约和基于关键词的账本筛选智能合约获得区块链中的关键数据,并对关键数据进行核查;(3)安全核查系统,对注册登记的区块链信息及数据核查系统获得的关键数据进行定期的安全性核查,以保证系统符合安全规范要求;(4)数据分析系统,利用植入到注册登记的区块链系统中的账本统计智能合约获得区块链中的所要分析的数据,并利用监管事件报告合约将数据返回给业务系统,以按要求分析相关账本数据;(5)数据追溯系统,利用数据核查系统和数据分析系统的功能,对特点数据进行链上查询追溯;(6)信用评估系统,根据数据核查系统、安全检查系统、数据分析系统对监管的区块链、区块链合约、区块链数据的合规、安全等进行长期评估,并根据评估结果得到信用评分。
91.全球跨境数据流动监管协作链
92.全球跨境数据流动协作链是各国跨境数据监管链间采用跨域网关进行互联的松耦合协作平台,其节点为各区域部署的跨域网关服务器,所述跨域网关一方面通过消息交换平台与国家跨境数据流动监管链交互,以获取跨境数据认证与流动的监管情况,另一方面与其他区域的跨域网关交互,对各区域的数据进行收发,同时将数据的哈希摘要存储在以其为核心节点的区块链。
93.全球跨境数据流动协作链侧重于跨境数据流动业务与数据标准领域的合作,主要包括两个方面的功能:一是跨境数据标准的智能合约及一致性检测,以智能合约形式实现跨境数据流动与业务标准、数据标准、密码与共识算法标准、跨境数字身份标识等方面的国际合作;二是通过联邦学习、多方安全计算等隐私计算技术,实现隐私保护前提下的多方数据利用,为各国在跨国犯罪、疫情防控等领域的跨境数据流动协作提供技术支撑。
94.本发明实施例提出采用区块链技术,将交易方的身份信息和数据从数据控制者提供的业务服务平台中独立出来,由交易方自主管理,按照“数据在自家、服务在链上”的思路,还数据于民,从技术上解决跨境数据流动面临的数据确权、数据安全、数据垄断及个人隐私泄露等问题;同时利用跨境认证与数据服务链为各交易方签发可验证凭证和数字签
名,保证了跨境数据流动过程中数据的可信、可证和可溯,再配合监管链对跨境数据进行监管,降低了数据跨境流动的个人隐私和敏感信息泄露风险;使用协作链与其他区域的跨域网关进行交互,实现跨境数据流动中与数据标准、密码与共识算法标准、数字身份标识等的国际合作,通过联邦学习、多方安全计算等实现隐私保护下的多方数据利用,加速了跨境数据流动的效率。
95.一、面向数据交换的跨境数据流动
96.面向数据交换的跨境数据流动中,交易方采用第三方数据交换平台进行数据传输,数据交换平台主要包括消息通信、统一共建及edi数据交换等三类技术平台。
97.消息通信平台是指数据主体之间通过电子邮件、即时通讯等消息通信系统开展跨境数据流动,主要用于单个数据主体之间的点对点数据交换;常用的第三方消息通信服务系统包括电子邮件及即时通讯,目前,国际贸易领域普遍使用消息通信平台进行贸易合同、贸易单证及电子证照等跨境商务数据的传输。
98.统一共建平台是指各交易方共建统一平台实现跨境数据流动,该模式主要用于政府机构之间的跨境数据交换。
99.edi数据交换平台是指各交易方采用统一的电子数据交换(electronic data interchange,edi)标准实现点对点的跨境数据流动,该模式广泛应用于国际贸易、跨境物流、跨境供应链等领域的企业间数据交换,edi数据交换各方通过edi专线互联,采用数字证书服务机构颁发的数字证书作为身份标识,安全通信采用安全套接字协议ssl(secure sockets layer)。
100.如图5所示,面向数据交换的跨境数据流动时,数据交换平台、交易方数据钱包、跨境认证与流动服务链及监管链将相互交互,完成区块链控制监管下的跨境数据流动,具体流程如下:第一步:交易方a通过其数据钱包向交易方b发送数据传输请求,并直接或由隐私保护计算提供最少必要身份信息;第二步:交易方b通过跨境认证与流动服务链对交易方a的数字身份进行认证;第三步:交易方a向交易方b发送经密码算法保护的数据;第四步:交易方b通过跨境认证与流动服务链对数据进行验证;第五步:交易方b向交易方a发送接收确认。
101.二、面向应用服务的跨境数据流动
102.面向应用服务的跨境数据流动是指数据主体通过网络访问应用服务平台,应用服务平台主要包括境外平台和境内平台,应用服务平台的境外平台是指应用服务平台提供方为境外企业,应用服务平台也设在境外,如谷歌数据中心、特斯拉汽车数据中心、波音飞机数据中心等,其将数据主体的身份与数据进行集中处理,境外平台具有数据垄断性,完全拥有数据主体的身份信息和数据,数据安全与隐私泄露风险极高,对个人隐私、商业秘密和国家信息安全等造成极大威胁。
103.应用服务平台的境内平台是应用服务平台提供方为境外企业,应用服务平台设置在境内,交易方身份和数据存储在应用服务平台中,如苹果中国数据中心、亚马逊中国等,虽然应用服务平台境内平台实现了数据的境内存储,但并未改变平台对交易方身份与数据的垄断。
104.如图6所示,面向应用服务的跨境数据流动时,应用服务平台、应用服务安全网关、交易方数据钱包、跨境认证与流动服务链及监管链将相互交互,完成区块链控制监管下的
跨境数据流动,具体流程如下:第一步:交易方通过其数据钱包向应用服务安全网关发送服务请求,并直接或由隐私保护计算提供最少必要身份信息;第二步:应用服务安全网关通过跨境认证与流动服务链对交易方的数字身份进行认证;第三步:交易方向安全服务网关发送经密码算法保护的数据;第四步:应用服务安全网关通过跨境认证与流动服务链对数据进行验证;第五步:应用服务安全网关将数据提交应用服务平台进行处理;第六步:应用服务安全网关将处理结果以加密数据返回给交易方。
105.本实施例设计的区块链跨境数据流动与监管系统,由多链基础设施层、安全层、数据层、账本层、应用接口层和应用层六个部分组成,以数据钱包实现身份信息与数据的自主控制,并构建了跨境认证与数据流动服务体系、国家跨境流动监管体系和全球跨境流动监管协作体系,有效增强跨境电子政务、电子商务、跨境金融和跨境贸易等的业务能力,同时提升国家与地区间的互信互认,改善数据访问控制的机制,增强数据要素价值链的跟踪能力,并为跨境数据流动打开新的机遇。
106.与现有跨境数据流动点对点通信、身份访问、交换平台等三种模式相比,该系统提供了满足各国跨境数据流动规制要求的可行通用技术解决方案,确保数据跨境流动中的身份可信、数据可证、来源可溯及自主可控,并为进一步建设高效、高安全性的跨境数据流动监管体系打下基础。
107.在构建自身数据跨境流动规则和机制的同时,着眼于运用新技术、新思想和新模式的创新,同时兼顾维护国家安全、公共利益和个人隐私权益,在当前全球尚未建立统一规则的情况下,在分布式账本技术、智能合约和隐私计算等分布式新型计算范式的基础上,真正加快构建数据跨境流动的技术体系,研发健全数据出境安全评估、个人信息保护认证等技术方案,探索“区块链+监管”的数据跨境流动治理机制,另一方面积极推广数据跨境流动治理的技术方案,与合作伙伴建立以身份链、监管链和协作链等多链共存的可信区块链基础设施,实现适应数据流动高强度、高可靠和链间互操作的去中心化工程技术标准,最终推动数据安全有序地跨境流动。
108.本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
109.以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

技术特征:
1.基于区块链的跨境数据流动与监管系统,其特征在于,包括:应用层,用于提供跨境数据流动的应用程序,包括跨境金融、跨境电子政务、跨境医疗共享、跨境供应链;应用接口层,用于存储跨境数据流动中涉及的智能合约、预言机oracle、sdks、apis;数据钱包,用于为交易方提供交互、操作平台,实现交易方的身份标识符did注册、登陆、消息发布、授权访问、通信和数据验证,并存储交易方身份信息、跨境数据、可验证凭证数据的隐私信息;账本层,用于将同一交易方的身份信息、跨境数据、可验证凭证数据中的哈希摘要信息存储于各功能链,所述功能链包括身份链、数据链、数据资产链;数据层,用于存储和查询链上数据,实现各功能链之间的数据交互,以及链上与链下数据源、操作系统的交互;安全层,用于对参与跨境流动的交易方和数据进行权限管理和隐私计算,对跨境数据的隐私信息进行隐藏;多链基础设施层,用于对参与跨境数据流动的交易方进行可验证凭证的签发、认证,以及对跨境数据流动进行监管、协作。2.根据权利要求1所述的基于区块链的跨境数据流动与监管系统,其特征在于,所述应用接口层还包括开发工具,其内设有加密算法库、智能合约库、共识算法库和开发语言库;所述安全层还提供可插拔加密服务。3.根据权利要求1所述的基于区块链的跨境数据流动与监管系统,其特征在于,所述数字钱包包括:客户端,用于为交易方提供人机交互界面,以实现身份标识符did的注册、登陆、消息发布、授权访问、通信和数据验证;数据库,用于存储交易方的身份信息、跨境流动数据、可验证凭证数据的隐私信息;智能前端,用于对数据库进行管理,并与各区块链互联,完成交易方行为信息的记录;钱包协议栈,用于保证各交易方即时通信,且数据传输安全、数据可信、可溯及可验证。4.根据权利要求1所述的基于区块链的跨境数据流动与监管系统,其特征在于,所述多链基础设施层包括跨境认证与数据流动服务链,所述跨境认证与数据流动服务链包括:智能合约层,用于存储认证合约、关系合约、隐私保护合约和标准一致性检测合约;did交互代理层,用于链接有各国身份服务提供商idp和认证提供方,身份供应商idp和认证提供方调用认证合约、关系合约实现对交易方身份标识符did的验证和可验证凭证的认证,调用标准一致性检测合约检测交易方的did文档和可验证凭证的格式结构,调用隐私保护合约对交易方的身份信息进行隐私保护;凭证交换层,用于为身份标识符验证成功的交易方生成可验证凭证,将交易方的身份标识符did锚定在可验证凭证中,最后用身份提供商idp的私钥对可验证凭证进行数据签名,将签名的可验证凭证发送至交易方。5.根据权利要求4所述的基于区块链的跨境数据流动与监管系统,其特征在于,所述跨境认证与数据流动服务链还包括参与主体钱包交互和互操作解析中间件,用于识别不同交易方的身份标识符对应的分布式账本。6.根据权利要求4所述的基于区块链的跨境数据流动与监管系统,其特征在于,所述多
链基础设施层还包括国家跨境数据流动监管链,所述国家跨境数据流动监管链由植入身份链和数据链中的监管节点构成,用于身份链和数据链的备案注册、数据核查、安全核查、数据分析、数据追溯和信用评估。7.根据权利要求4所述的基于区块链的跨境数据流动与监管系统,其特征在于,所述多链基础设施层还包括全球跨境数据流动监管协作链,所述全球跨境数据流动监管协作链由跨域网关构成,所述跨域网关通过消息交换平台与国家跨境数据流动监管链交互,所述跨域网关还与其他区域的跨域网关进行交互。

技术总结
本发明公开了基于区块链的跨境数据流动与监管系统,包括应用层、应用接口层、数据钱包、账本层、数据层、安全层和多链基础设施层,各交易方通过数据钱包调用应用接口层的智能合约等,进而实现可验证凭证的签发、认证,链上-链下数据的查询,实现跨境数据的安全流动;该系统能够保证交易方的数据可控,实现了跨境数据流动的可信、可证和可溯,安全性较高。安全性较高。安全性较高。


技术研发人员:余益民 陈韬伟 宋智明 段正泰 杨潜 宋俊蓉 赵进一
受保护的技术使用者:云南农优科技有限公司
技术研发日:2022.07.12
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-5548.html

专利

最新回复(0)