一种基于双区块链结构的证据链平台及其实现方法与流程

本发明涉及区块链技术领域，尤其是一种基于双区块链结构的证据链平台及其实现方法。

背景技术：

随着网络技术的飞速发展，网络攻击事件频发，互联网上的木马、蠕虫、勒索软件层出不穷，对网络安全乃至国家安全造成严重的威胁。而这些网络攻击的证据是以日志、图片、恶意流量、恶意代码等形式存在于终端设备或网络中的非实物的电子证据。由于电子证据易丢失、易被篡改、难以追溯的特点，在电子证据传输、管理过程中，可能会被窃取、替换或篡改。“可信”成为证据平台关注的重点。目前，可信证据平台研究主要集中在如何保证电子证据可信以确保证据在司法上是可接受、被认可的。随着区块链技术的出现和推广，由于区块链是分布式账本、非对称加密算法、共识机制、智能合约等计算机技术的应用模式，其具有防篡改、不可抵赖等优势，逐渐成为构建可信证据平台的关键技术。

区块链技术应用于构建可信证据平台方法可分为两类：(1)区块链直接用于存取证据。(2)区别于直接将区块链用于证据存储，结合链下数据库与区块链，将证据和证据信息分离，数据库用于存储证据，区块链记录证据信息及证据在司法诉讼过程中的所有权转换情况，实现了满足完整性、身份验证和不可抵赖性等的安全服务。

现有的基于区块链的可信证据平台的缺点主要由以下三个方面：

(1)无法确保证据平台参与者可信；

区块链运用密码学技术，在保证数据传输和访问安全性的同时，参与者身份信息在区块链中也是匿名的，因此，他人可以了解参与者的账单信息，但是无法知道参与者对应的真实身份。证据提交者和证据请求者真实身份无法验证，导致提交区块链的证据不可信，或者导致证据请求不可信。

(2)证据平台不可控；

区块链是可信证据平台的关键支撑技术，但区块链使用分布式储存与算力，使得整个网络节点的权利与义务相同，区块链中各节点采用基于密码算法的共识机制共同维护账单中的数据，从而区块链不再依靠于中央处理节点就可以实现数据的分布式存储、记录。因此，区块链不需要中央与信任机构背书。缺少中央和信任机构对这些节点的身份合法性进行验证和对节点行为进行控制，导致区块链缺乏有效的监管机制，易造成可信证据平台的不可控。

(3)使用场景简单，缺乏证据协同分析的考虑；

由于现有区块链证据平台方案多面向司法、公正等应用，多用于解决独立证据的存取需求，场景相对简单，缺乏对证据协同分析的考虑。由于网络攻击场景复杂，具有阶段持续、跨域攻击、多点(网)并发，证据平台中海量证据归属不同取证机构、不同设备或网络、不同攻击阶段，而网络威胁检测和攻击溯源需考虑多源跨域证据的关联性分析，这种多方参与的复杂场景同样存在可信访问和溯源问题，需要确保证据使用者和提供者之间证据存取身份和行为的可信性。基于独立证据存储的可信证据平台不适用于面向网络攻击的电子证据可信证据平台。

(4)无法对证据来源和参与者行为进行追溯；

由于现有的区块链平台解决独立证据的存取需求，而参与者的身份信息和行为都是匿名的，这导致证据的来源和使用情况都无办法进行有效跟踪。

导致上述缺点的主要原因包括以下四个方面：(1)为保证参与者隐私，区块链技术采用随机的非对称加密对参与者信息进行保护，使得很难对参与者真实世界的身份进行验证，也无法确保提供和获取证据的可信性；(2)区块链使用分布式存储和技术，每个节点是独立和平等的，各节点基于共识机制管理和维护区块链账单，缺乏有效的访问控制和监管管理机制，导致证据平台不可控；(3)现有的方案都是基于解决独立存证需求，未考虑多源跨域证据的关联性分析需求，导致无法保证多源跨域证据的可信性；(4)由于参与者身份的匿名性和区块链节点的独立性和无管理中心的特点，导致对于参与者行为和证据无法进行监管和追溯。

技术实现要素：

有鉴于此，本发明实施例提供一种基于双区块链结构的证据链平台及其实现方法，以实现保证参与者身份信息隐蔽的同时，还保证参与者身份的合法性和可溯源性。

本发明的第一方面提供了一种基于双区块链结构的证据链平台，其特征在于，包括监管区块链、证据区块链和可信存储系统：

所述监管区块链，用于根据所述证据区块链发送的证据请求信息确定参与者访问证据的合法性，并记录所述参与者的行为信息；

所述证据区块链，用于获取证据请求信息，并将所述证据请求信息对应的身份信息发送给所述监管区块链进行身份验证；以及用于将证据信息存入所述可信存储系统或将证据信息从所述可信存储系统中取出并反馈给所述参与者；

所述可信存储系统，用于存储证据信息。

在一些实施例中，所述监管区块链包括参与者区块链、共享区块链和证据创建信息区块链；

所述参与者区块链，用于记录参与者真实身份信息；

所述共享区块链，用于记录参与者使用证据的信息；

所述证据创建信息区块链，用于记录参与者提交的证据信息。

在一些实施例中，所述监管区块链是私有链，所述证据区块链是联盟链。

本发明的第二方面提供了一种基于双区块链结构的证据链平台的实现方法，包括：

通过证据区块链发起证据请求信息，并将所述证据请求信息发送至监管区块链；

根据所述证据请求信息，通过所述监管区块链对参与者的身份信息进行身份验证；

在通过身份验证后，通过可信存储系统将证据请求信息对应的证据内容发送给所述证据区块链。

在一些实施例中，所述实现方法还包括提交证据的步骤，该步骤包括：

向所述监管区块链发起身份记录请求；

由所述监管区块链对所述身份记录请求进行验证，并将验证通过的身份信息存储至参与者区块链中；

向证据区块链发送证据内容；

所述证据区块链向所述监管区块链发起身份验证请求，并在通过身份验证后将所述证据内容存储至证据区块链中。

在一些实施例中，

所述向所述监管区块链发起身份记录请求，包括：

证据提供者将身份记录请求发送给证据监管者，所述身份记录请求包括被认证的私钥

签名、身份标识、随机公钥组、角色信息、角色权限和消息签名；

所述在通过身份验证后将所述证据内容存储至证据区块链中，包括：

证据监管者将证据管理者返回的信息、证据提供者的公钥、消息签名、证据名称存储在监管区块链的证据创建信息区块链中。

在一些实施例中，所述实现方法还包括参与者溯源的步骤，该步骤包括：

证据监管者将证据名称、证据在证据区块链中的账本哈希值发送给证据管理者；

所述证据管理者查询证据区块链，获得证据对应的随机公钥；

所述证据管理者将查询到的所述随机公钥返回给所述证据监管者；

所述证据管理者通过所述随机公钥查询监管区块链中的参与者区块链，获得参与者认证公钥，通过所述认证公钥找到参与者真实信息；

所述证据监管者通过所述随机公钥查询监管区块链中的证据创建信息区块链，获取证据提交的相关信息；

所述证据监管者通过所述随机公钥查询证据共享区块链，获取证据使用者的相关信息；并通过所述参与者认证公钥查询所述参与者区块链，来获取所述参与者的真实信息。

在一些实施例中，所述实现方法还包括参与者所有证据查找的步骤，该步骤包括：

获取参与者的随机公钥，根据所述参与者的随机公钥查询监管区块链中的参与者区块链；

获取参与者真实身份信息和一组随机公钥值；

根据所述返回的一组随机公钥值查询监管区块链中的证据创建信息区块链；

证据监管者获取该参与者的证据创建信息，所述证据创建信息包括创建的所有证据名称以及证据内容信息，所述证据内容信息包括证据区块链中的账本哈希值和证据提交时间；

证据监管者将获取到的证据创建信息发送给证据管理者；

证据管理者查询证据区块链，获取所有关于参与者的证据信息；

证据管理者将查询到的所有关于参与者证据相关的信息发给证据监管者；

证据监管者利用参与者的随机公钥查询监管区块链中的共享区块链，获取所述参与者的人员信息。

本发明的实施例通过证据区块链发起证据请求信息，并将所述证据请求信息发送至监管区块链；根据所述证据请求信息，通过所述监管区块链对参与者的身份信息进行身份验证；在通过身份验证后，通过可信存储系统将证据请求信息对应的证据内容发送给所述证据区块链。本发明实现了保证参与者身份信息隐蔽的同时，还保证参与者身份的合法性和可溯源性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的证据链平台的架构示意图；

图2为本发明实施例的证据提供者提交证据的步骤流程图；

图3为本发明实施例的证据使用者获取证据的步骤流程图；

图4为本发明实施例的查询参与者溯源信息的步骤流程图；

图5为本发明实施例的基于身份的参与者所有证据查找的步骤流程图。

具体实施方式

下面结合说明书附图和具体实施例对本发明作进一步解释和说明。对于本发明实施例中的步骤编号，其仅为了便于阐述说明而设置，对步骤之间的顺序不做任何限定，实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。

针对现有技术存在的问题，本发明实施例提供了一种基于双区块链结构的证据链平台，如图1所示，该平台主要由监管区块链、证据区块链和可信存储系统。

其中，监管区块链由参与者区块链、共享区块链和证据创建信息区块链三部分组成。参与者区块链用户记录参与者真实身份信息，共享区块链用于记录参与者使用证据的信息，证据创建信息区块链用于记录参与者提交的相关证据信息，通过三个区块链用来监管参与者访问证据的合法性并记录参与者行为。监管区块链由证据监管者负责管理。

证据区块链用来接受参与者提交和请求的证据，并把相关信息发送给证据监管者请求验证。参与者身份验证成功后，将证据存入可信存储系统或者将证据从可信存储系统中取出，返给参与者。证据区块链由证据管理者负责管理。

可信存储系统由可信云平台或本地数据中心组成，存储形式可以以知识图谱或其他形式存在，用于存储证据的相关信息。

具体地，本发明实施例的可信证据链平台由具备监管能力的权威机构主导，联合企业、研究团体、公众个人等合法用户参与证据的收集、存储、使用和监理。参与者可能承担其中某一或某几个角色。其中证据提供者(如个人用户、isp供应商、国家出入口管理部门)从终端、网络等不同层面收集并提交证据；证据管理者验证提交或使用的证据的有效性；证据使用者根据攻击检测和溯源等需求获取共享证据；证据监管者则监管证据的使用。本发明将监管、取用、存储功能解耦，分别对应监管区块链、证据区块链以及可信存储系统三部分。

其中：

(1)证据区块链

证据区块链是由证据区块链管理者构造的联盟链，用于记录证据相关信息，证据管理者验证证据提供者提交或证据使用者使用的证据的有效性，并验证证据的完整性和有效性。

(2)监管区块链

监管区块链是由证据监管者构造的私有链，监管区块链由参与者区块链、共享区块链和证据创建信息区块链组成，其中参与者区块链用户记录参与者身份信息，共享区块链记录使用者使用信息，证据创建信息区块链用于记录参与者提交证据的信息，该三个区块链用于监管证据访问的合法性并记录参与者行为，保证平台的可控性和可追溯性。在该场景下，海量证据从不同区域由不同提供者发布到平台，不同证据使用者基于信任和监管机制获取多源跨域的区块链信息，通过协同分析解决网络安全问题。

(3)可信存储系统

证据可直接存储到可信云平台或本地数据中心，存储形式可以以知识图谱或其他形式存在，以支持攻击检测和溯源。证据相关信息存储到区块链，以保证证据可信。

基于本发明提供的双区块链结构的证据链平台，本发明实施例提供了对应的实现方法，包括：

通过证据区块链发起证据请求信息，并将所述证据请求信息发送至监管区块链；

根据所述证据请求信息，通过所述监管区块链对参与者的身份信息进行身份验证；

在通过身份验证后，通过可信存储系统将证据请求信息对应的证据内容发送给所述证据区块链。

具体地，如图2所示，本发明实施例提供了证据提供者提交证据的步骤，包括：

第1步：证据提供者利用被监管者认证的私钥签名的公钥pkpx、身份id、随机产生的一组公钥{pkrx1,pkrx2,pkrx3,…pkrxn}、角色信息、角色权限和消息签名等注册人信息并发送给证据监管者。

第2步、证据监管者验证并保存注册人信息到参与者区块链中；

第3步、证据监管者返回验证成功的信息给证据提供者；

第4步、证据提供者将用随机私钥签名的证据内容和证据名称e-name、证据内容哈希、消息签名等其他相关信息和未签名的提供者的随机公钥pkrxi发给证据管理者；

第5步、证据管理者将收到的内容转发给证据监管者；

第6步、证据监管者得到提供者的随机公钥pkrxi、基于随机公钥pkrxi找到提供者区块链中的对应账本，验证其身份信息；

第7步、证据监管者将身份验证结果返回给证据管理者；

第8步、证据管理者用提供者发送的随机公钥pkrxi将证据提供者提供的内容解密，将提供者的随机公钥pkrxi和内容存储到证据区块链中

第9步、证据管理者将证据提供的证据在证据中的账本哈希值h(e-tr)，证据提交时间t等返回给证据监管者

第10步、证据监管者将证据管理者返回的信息、证据提供者公钥pkrxi、消息签名、证据名称e-name存储在证据创建信息区块链中。

具体地，如图3所示，本发明实施例还提供了证据使用者获取证据的步骤，包括：

第1步：证据提供者利用被认证的私钥签名自己的被监管者认证的公钥pkpu、身份id、随机产生的一组公钥{pkru1,pkru2,pkru3,…pkrun}、角色信息，权限和消息签名等注册人信息并发送给证据监管者；

第2步、证据监管者验证并保存使用者信息到参与者区块链中；

第3步、证据监管者返回验证成功的信息给证据使用者；

第4步、证据使用者将用随机私钥签名的需要获取的证据名称e-name、证据在证据区块链中的账本哈希值h(e-tr)、消息签名等其他相关信息和未签名的参与者的随机公钥pkruj发给证据管理者；

第5步、证据管理者将收到的内容转发给证据监管者；

第6步、证据监管者得到使用者的随机公钥pkruj、基于随机公钥pkruj找到参与者区块链中的对应账本，验证其身份信息和权限信息，并在证据创建信息区块链中找到相关的证据创建信息；

第7步、证据监管者将身份验证结果返回给证据管理者；

第8步、证据管理者将证据使用者提供公钥对内容解密，并查找证据区块链；

第9步、查询成功后，返回成功信息给证据监管者；

第10步、证据监管者将证据提供者公钥pkrpi、证据使用者公钥pkruj，共享权限信息等存储到共享区块链中；

第11步、共享区块链存储成功后，返回成功信息给证据管理者；

第12步、证据管理者将查询到的证据信息发给证据使用者，证据使用者获得证据后，可从对应区块的账本中获取证据提供者公钥、内容哈希等信息，以验证证据的有效性和完整性。

存储方法和查询方法都是基于证据监管者区块链，参与者将认证的密钥对和随机产生的密钥对分隔，认证密钥对只用于监管区块链，随机密钥对则用于证据区块链，二者通过监管区块链中的账本关联起来。由于监管区块链为私有链，只有监管者可获取其信息，即验证了参与者身份和共享权限，又保护了参与者真实身份信息不被泄露给其他参与者。

具体地，如图4所示，本发明实施例还提供了查询参与者溯源信息的步骤，一旦证据出现问题，或者参与者的行为异常，可以通过以下流程进行溯源，包括：

第1步：证据监管者将问题证据名称e-name、证据在证据区块链中的账本哈希值h(e-tr)发送给证据管理者；

第2步：证据管理者查询证据区块链，获得证据的随机公钥pkru；

第3步：证据管理者将查询到的随机公钥pkru返回给证据监管者；

第4步：证据管理者通过随机公钥pkru查询参与者区块链获得参与人认证公钥pkrx，通过认证公钥pkrx找到参与者真实信息；

第5步：证据监管者通过随机公钥pkru查询证据创建信息区块链，获取证据提交的相关信息；

第6步：证据监管者通过随机公钥pkru查询证据共享区块链，获取证据使用者的相关信息；并通过证据使用者公钥pkruj查询参与者区块链，来获取使用者的真实信息。

该方法可以在证据出现问题或者参与人有行为行为异常时，由监管者查询与其相关的真实信息，由于监管者区块链是私有链，可以在保证参与者信息隐私的情况下，获取参与者的真实身份信息，保证了其行为的可溯源性和平台的可控性。

具体地，如图5所示，本发明实施例还提供了基于身份的参与者所有证据查找的步骤，如果发现一个参与者证据和行为异常，可以快速查询该参与者下所有的行为和证据，方便判断参与者其他行为和证据是否异常，包括以下步骤：

第1步、在获得参与者一个随机公钥pkru后，查询参与者区块链；

第2步、返回获取参与者真实身份和一组随机公钥值{pkrx1,pkrx2,pkrx3,…pkrxn}；

第3步、用返回的一组随机公钥值{pkrx1,pkrx2,pkrx3,…pkrxn}查询证据创建信息区块链；

第4步，监管者获取该参与者创建的所有证据名称和证据在证据区块链中的账本哈希值h(e-tr)、证据提交时间等；

第5步、监管者将获取到的证据创建信息发送给证据管理者，

第6步、证据管理者查询据区块链；

第7步、证据管理者将查询到的所有关于参与者证据相关的信息发给监管者；

第8步、证据监管者利用参与者随机公钥{pkrx1,pkrx2,pkrx3,…pkrxn}共享区块链；

第9步、证据监管者获取所有关于参与者共享的人员相关信息，方便及时发现、提醒使用异常证据人员。

该方法可以在获取一个参与者异常行为或证据的情况下，及时搜索发现该参与者下所有的证据和共享者，能够快速筛选其他行为或证据是否异常，能及时提醒共享者其使用的证据存在异常。

综上所述，相较于现有技术，本发明存在以下区别：

现有的基于区块链的证据平台无法解决区块链中证据共享时参与者的相互信任、平台不可控的问题、无法进行海量证据多源跨域协同分析的问题。本发明基于双链的松耦合结构可信证据模型的证据平台，将监管、取用、存储功能解耦，设计监管区块链、证据区块链、可信存储系统。设计监管区块链和证据区块链相互支撑构成双区块链架构，证据与证据信息解耦，证据及其信息分开存储，并设计参与者多重密钥认证方法，参与者和监管区认证身份信息和共享信息方法，能够在保证参与者信息匿名性情况下，由监管者对其身份进行鉴别和认证，保证了证据平台的有效性、完整性、机密性和可追溯性的要求，并且能够快速寻找和发现同一参与者下所有的证据和行为。

本发明相较于现有技术，具有以下优点：

1、选择基于区块链的双链结构松耦合可信证据架构天然保证了证据的可信；

2、参与者产生两组密钥，被认证的公钥用于追溯参与人行为，随机公钥用于保护参与人隐私，既保证了参与者的合法性和行为，又保护了参与者的身份信息保密，保证了平台的可控性、机密性和可追溯性，保证了平台得可控性。

3、通过监管机制，不同证据使用者基于信任获取多源跨域的区块链信息，解决了证据共享时参与者的相互信任问题，可以通过协同分析解决网络安全问题。

以上是对本发明的较佳实施进行了具体说明，但本发明并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。