一種數據全鏈路追溯監控方法，屬于數據處理領域。它包括：數據源端上傳數據文件加密記錄、可信認證加密記錄、秘鑰加密記錄，以及關聯的數據文件指針、可信指針和可信數據至記錄區塊鏈；數據黑盒上傳數據獲取記錄和可信認證記錄，數據操作端上傳數據操作記錄，記錄區塊鏈建立區塊，所述區塊內容包括數據文件加密記錄、可信認證加密記錄、秘鑰加密記錄、數據獲取記錄、可信認證記錄、數據操作記錄，以及關聯的數據文件指針、可信指針和可信數據。通過操作記錄上傳，可以實現操作回溯，數據監控的目的，從而提高數據操作的安全性。

技術領域

本發明涉及數據處理技術領域，具體涉及一種數據全鏈路追溯監控方法。

背景技術

數字化審計要求實現審計全覆蓋、全量審計和跨域審計，需要對公司人資、財務、營銷、工程、物資等各專業數據進行大數據整合匯聚，審計中間數據具有海量(存量數據430TB，增量數據340GB)、多樣(結構化、半結構化、非結構化數據)、真實(確保數據完整、準確)等特性，涉及業務信息系統多，隨著審計覆蓋面拓展，審計中間表數據容量會越來越大，海量數據安全管理難度高、責任大，急需應用先進技術手段保障數據安全。為此，需要對財務數據進行加密，并對數據獲取行為、操作行為進行記錄，以便于監控數據。

發明內容

本發明的目的是提供一種數據全鏈路追溯監控方法，以提高數據操作的安全性。

本發明的技術方案是：

一種數據全鏈路追溯監控方法，包括：數據源端上傳數據文件加密記錄、可信認證加密記錄、秘鑰加密記錄，以及關聯的數據文件指針、可信指針和可信數據至記錄區塊鏈；數據黑盒上傳數據獲取記錄和可信認證記錄至記錄區塊鏈，數據操作端上傳數據操作記錄至記錄區塊鏈，記錄區塊鏈建立區塊，所述區塊內容包括數據文件加密記錄、可信認證加密記錄、秘鑰加密記錄、數據獲取記錄、可信認證記錄、數據操作記錄，以及關聯的數據文件指針、可信指針和可信數據。

優選的，所述數據源端上傳數據文件指針和加密數據文件至數據中臺。

進一步的，所述數據黑盒根據數據文件指針從所述數據中臺獲取加密數據文件，并生成數據獲取記錄。

優選的，所述數據源端關聯上傳可信指針和可信數據至可信認證中心，所述可信認證中心用于運行可信指針隨機生成器。

進一步優選的，所述可信認證中心還存儲有主密鑰MK和公開參數PK，所述數據源端生成對稱秘鑰K，并從所述可信認證中心獲取公開參數PK，基于對稱秘鑰K、公開參數PK和訪問結構樹T生成秘鑰EK，所述數據黑盒發送訪問屬性集A至可信認證中心，所述可信認證中心基于主密鑰MK、公開參數PK和訪問屬性集A生成私鑰SK，發送私鑰SK至數據黑盒，所述數據黑盒使用私鑰SK解秘所述秘鑰EK，獲得所述對稱秘鑰K。

又進一步優選的，所述數據黑盒根據數據文件指針從數據中臺獲取加密數據文件，根據數據文件指針從記錄區塊鏈中獲取可信指針和可信數據，所述數據黑盒使用所述對稱秘鑰K解秘所述加密數據文件，生成第二數據；基于可信指針加密所述第二數據，生成并發送可信驗證數據至可信認證中心，所述可信認證中心對比可信數據和可信驗證數據，返回對比結果，所述數據黑盒輸出所述對比結果并生成可信認證記錄，若可信數據等于可信驗證數據，則所述對比結果為第一信息，若可信數據不等于可信驗證數據，則所述對比結果為第二信息。第一信息表達第二數據可信的意思，第二信息表達第二數據存疑的意思。

優選的，所述數據源端獲取對稱密鑰K，對稱加密第一數據，生成內容加密數據和數據文件加密記錄；基于可信指針加密所述第一數據，生成可信數據和可信認證加密記錄；基于公開參數PK和訪問結構樹T屬性加密對稱密鑰K，生成秘鑰EK和秘鑰加密記錄，秘鑰EK對應有至少一個私鑰SK，所述第一數據與所述數據文件指針唯一對應。