用于数据管理系统的法规遵从的区块链技术

技术领域

本发明的实施方式总体涉及数据保护。更具体地，本发明的至少一些实施方式涉及用于促进数据管理系统和过程的法规遵从的系统、硬件、软件、计算机可读介质和方法。

背景技术

存储系统和数据管理系统对用户数据的处理越来越受到各种法规要求的管辖，这些法规要求包括政府制定的关于安全和隐私的要求，例如欧盟(EU)发布的通用数据保护条例(GDPR)。并且，至少在某些情况下，用户数据的处理由诸如证券交易委员会(SEC)的组织控制。然而，其他机构还颁布了关于用户数据的处理的其他规则和条例。

这样的法规要求可能对涉及创建和处理数据的企业和其他实体和组织提出挑战。并且，这些要求在行业和纵向行业之间发生变化，在每个国家/州都不同，并且随着时间的推移不断变化。这进一步使企业的例如遵从和证明遵从适用条例的能力变得复杂。

特别地，组织可能需要提供其数据管理系统符合适用的法规要求的认证。这通常通过审计过程来完成，在该审计过程中，外部审计员检查组织的数据管理实施、策略和历史。

遗憾的是，数据管理系统的认证是复杂、冗长且昂贵的过程，因为它涉及对分布在许多不同信息系统之间的大量数据的人工检查。因此，组织面临的挑战包括提供统一可靠的数据源，该数据源将作为数据管理法规遵从性认证的合法记录证明。

更详细地，组织必需处理的问题和复杂因素包括复杂且动态的法规环境、多个不同的数据管理系统以及复杂且昂贵的认证过程。例如，在法规方面，用户、IT经理和企业主很难及时了解其领域关于数据保留、保护和安全的最新条例、常见做法和行业要求。与此相关的是，组织可能难以验证其遵从性，也难以验证法规的变化不需要更改其数据保护策略。

并且，数据量和种类呈指数增长，而且需要审计员访问和审查组织中的多个不同系统。最后，由于存在多个分散的数据系统且缺乏足够的自动化工具，因此法规遵从性的认证过程通常是手动的、耗时的且成本高昂的。

附图说明

为了描述可以获得本发明的至少一些优点和特征的方式，将参考在附图中示出的本发明的特定实施方式来更具体的描述本发明的实施方式。应理解，这些附图仅描绘了本发明的典型实施方式，并且因此不应被认为是对本发明的范围的限制，将通过使用附图用附加的特征和细节来描述和解释本发明的实施方式。

图1公开了用于本发明的一些实施方式的示例性操作环境的方面。

图2公开了示例性主机配置的方面。

图3是公开了用于创建企业区块链网络的方法的一些一般方面的流程图。

图4是公开了用于在区块链网络中存储数据管理事务元数据的方法的一些一般方面的流程图。

图5是公开了用于审计企业区块链网络中的数据管理事务元数据的方法的一些一般方面的流程图。

具体实施方式

本发明的实施方式总体涉及数据保护。更具体地，本发明的至少一些实施方式涉及用于促进数据管理系统和过程的法规遵从的系统、硬件、软件、计算机可读介质和方法。

使用存储/数据保护(DP)/数据管理(DM)系统的组织/企业面临的一项挑战是，组织需要提供其所有各种数据系统和数据实体符合相关数据保护条例的认证证据。认证过程复杂、昂贵且耗时，因为它是由外部审计员手动执行的，他们需要访问和检查组织内的多个不同IT系统，以提供遵从性声明。在许多情况下，实现这一目标所需的知识超出了普通信息技术(IT)人员、企业主、或甚至企业合规官的能力。审计员无法适应数据的增长，最多只能制定关于如何处理数据的高级指导方针。

因此，本发明的一些示例性实施方式尤其包括能够连接组织内的多个数据保护系统和数据管理系统并且提供用于法规遵从性认证的单一、统一、可靠的真实来源的解决方案。这些示例性解决方案采用区块链技术，该区块链技术用于创建企业区块链网络，通过软件插件和网络应用程序编程接口(API)连接多个数据管理系统。组织中受监管的数据保护事务和数据管理事务将记录在企业区块链网络上，从而创建一个安全、加密且不可编辑的合法记录证明。通过这种方式，本发明的实施方式可以通过向审计员提供利用区块链技术的能力的统一、可靠和透明的真实来源来转变和简化数据保护法规遵从性的认证过程。

一般而言，本发明的一些示例性实施方式包含从区块链软件插件到组织中的现有存储系统、数据保护系统和数据管理系统构建的企业区块链网络。通过向这些系统添加区块链软件插件，这些系统成为企业区块链网络中的节点。

对于在这些系统上发生的每个相关数据管理操作，事务元数据将被登记为区块链网络上的数据块。例如，此类元数据可包括诸如以下的属性：事务的日期和时间；事务id；数据管理系统id；与事务涉及的数据相关的数据保护策略；数据的物理位置；以及数据删除操作的数据删除证明。

出于性能考虑，一组的一个或多个数据管理事务可以基于与事务的合并逻辑有关的可配置参数被聚集到单个区块链数据块。例如，有时可能会出现这样的情况，由于事务量太大，将事务单独发布到区块链网络可能不切实际。举例来说，如果每秒有多个存储事务或备份事务，那么定期聚集事务然后将聚集的事务的元数据同时发送到区块链网络可能会更有效。因此，在确定是否以及如何聚集数据管理事务时可以考虑的参数可以包括但不限于每个数据块的数据管理事务的数量、每分钟可以创建的数据块的最大速率。这些参数仅作为示例提供，可使用其他参数来告知聚集方法。

因此区块链网络可以作为组织中所有数据管理事务的统一真实来源，以用于法规遵从性认证和/或其他目的。最后，在区块链网络上存储数据保护操作利用区块链能力作为分布式总账技术的实现，分布式总账技术是安全、加密、不可变的，即不可编辑且透明的。

于是，有利地，本发明的实施方式可以提供相对于常规硬件、系统和方法的各种益处和改进。举例来说，至少在数据处理操作方面，本发明的实施方式可以提供用于配置具有多个节点的企业网络以作为区块链网络操作的过程。本发明的相关实施方式是被配置为实现区块链功能的企业网络或其一部分。如此，本发明的至少一些实施方式可以提供对数据保护解决方案和数据网络的修改，以使其包括区块链功能。

在本发明的各种实施方式中实现的区块链功能可以包括但不限于创建和维护关于企业数据处理操作的安全、加密、不可编辑的记录，并且除其他外，可以使企业能够肯定地证明一个或多个特定的数据事务或数据操作确实发生或没有发生。作为说明，本发明的实施方式可以使企业能够肯定地确定特定数据被删除，以及该数据被删除的时间和地点。作为另一个示例，本发明的实施方式可以使企业能够肯定地确定特定数据被加密，以及该数据被加密的时间和地点。

在一个或多个实施方式中，存储在区块链总账中的信息可由企业网络的一个或多个节点和/或由外部网络远程访问。因此，实施方式可以启用用于验证客户对适用条例的遵从性的新过程，同时还改进企业中的客户体验，并且改进审计员的体验。

应当注意，各种实施方式的前述有利方面仅通过示例的方式呈现，并且本发明的示例性实施方式的各种其他有利方面将从本说明书中变得明显。还应注意，任何实施方式实现或能够实现本文公开的任何此类有利方面不是必需的。

A.示例性操作环境的方面

以下是对本发明的各种实施方式的示例性操作环境的方面的讨论。该讨论不旨在以任何方式限制本发明的范围或实施方式的适用性。

一般而言，本发明的实施方式可以结合单独和/或共同实施和/或导致实施数据管理操作的系统、软件和组件来实施。此类数据管理操作可包括但不限于数据读/写/删除操作、数据备份操作、数据恢复操作、数据克隆操作、数据归档操作和灾难恢复操作。因此，虽然在某些方面中本文的讨论可以是针对数据保护环境和操作的讨论，但本发明的范围不限于此。更一般地，本发明的范围包括所公开的概念可以在其中有用的任何操作环境。作为说明而非限制，本发明的实施方式可以结合数据备份和恢复平台使用，例如Dell-EMCNetWorker和Avamar平台。

数据保护环境可以采用公共或私有云存储环境、本地存储环境和包括公共和私有元素的混合存储环境的形式，尽管本发明的范围也扩展到任何其他类型的数据保护环境。这些示例性存储环境中的任何一者都可以部分或完全虚拟化。存储环境可以包括数据中心或由数据中心组成，该数据中心可操作以服务由一个或多个客户端发起的读取和写入操作。

除了存储环境之外，操作环境还可以包括一个或多个主机设备(例如客户端)，每个主机设备主管一个或多个应用程序。如此，特定客户端可以使用一个或多个应用程序中的每个应用程序的一个或多个实例，或者与该一个或多个应用程序中的每个应用程序的一个或多个实例相关联。一般而言，客户端使用的应用程序不限于任何特定功能或功能类型。例如，一些示例性应用程序和数据包括电子邮件应用程序(例如MS Exchange)、文件系统以及数据库(例如Oracle数据库和SQL Server数据库)。客户端上的应用程序可生成期望被保护的新数据和/或经修改的数据。

根据本发明的各种实施方式，本文公开的任何设备或实体可以由一个或多个数据保护策略来保护。然而可以通过根据本发明的实施方式的数据保护策略来保护的设备的其他示例包括但不限于容器和VM。

操作环境中的任何设备(包括客户端、服务器和主机)都可以采用软件、物理机或虚拟机(VM)的形式、或这些的任意组合的形式，尽管任何实施方式均不需要特定的设备实现方式或配置。类似地，数据保护系统组件(例如数据库、存储服务器、存储卷(LUN)、存储磁盘、复制服务、备份服务器、恢复服务器、备份客户端和恢复客户端)例如同样可以采用软件、物理机或虚拟机(VM)的形式，尽管任何实施方式均不需要特定的组件实现。在使用VM的情况下，可以使用管理程序或其他虚拟机监视器(VMM)来创建和控制VM。

如本文所使用的，术语“数据”被规定为在范围上是广泛的。因此，该术语通过示例而非限制的方式包括数据段(例如可通过数据流分段过程而产生)、数据组块、数据块、原子数据、电子邮件、任何类型的对象、文件、联系人、目录、子目录、卷以及前述中的一者或多者的任意组。

本发明的示例性实施方式适用于能够存储和处理以模拟、数字或其他形式的各种类型的对象的任何系统。尽管可以通过示例的方式使用例如文档、文件、数据块或对象的术语，但是本发明的原理不限于表示和存储数据或其他信息的任何特定形式。而是，这些原理等同地适用于能够表示信息的任何对象。

现在特别注意图1，操作环境100可以包括数据保护环境或由数据保护环境组成。数据保护环境可以包括企业数据中心或云数据中心，或两者。例如，数据保护环境可以支持各种数据保护过程，包括数据复制、重复数据删除、克隆、数据备份和数据恢复。如本文所使用的，术语备份旨在被广泛解释，包括但不限于部分备份、增量备份、完整备份、克隆、快照、连续复制和任何其他类型的数据复制，以及上述的任何组合。上述任何一项都可能会或可能不会被删除重复数据。

一般而言，图1中的示例性配置公开了连接组织中的存储系统、数据保护系统和数据管理系统的企业区块链网络。图1中还公开了云服务连接和能够与特定于客户的IT系统和应用程序整合的API网关，。该示例性实施方式使组织能够从区块链网络获得所有数据管理遵从性信息。

如图1中特别指示的，操作环境100可以包括各种数据保护系统、组件和软件，例如备份系统102、存储系统104、数据管理系统106和集成设备108，它们在本文中可以总体称为数据保护单元。这些数据保护单元中的一个或多个可以是现成的单元，即从供应商(例如Dell-EMC)购买的硬件和/或软件。

上述数据管理单元可以全部与单个公共企业或组织相关联，但这不是必需的，并且在其他实施方式中，多个不同的企业或组织可以包括诸如图1中指示的数据保护单元。并且，数据管理单元可以各自包括硬件和/或软件、或由硬件和/或软件组成。数据管理单元102至108中的每一者可以包括或可以访问存储设施102a、104a、106a和108a，例如数据库，其能够支持与数据保护单元102、104、106和108的操作相关联的读取/写入/删除操作。

备份系统102、存储系统104、数据管理系统106和集成设备108可各自包括相应的扩展102b、104b、106b和108b，这些扩展通常使那些数据管理单元能够与区块链网络200交互，如下所述。扩展102b、104b、106b和108b中的任一者都可以被提供作为现成的硬件/软件安装的一部分。并且，扩展102b、104b、106b和108b中的任一者都可以包括区块链插件/API或由区块链插件/API组成。备份系统102、存储系统104、数据管理系统106和集成设备108中的每一个都可以使用其各自的扩展102b、104b、106b和108b来与区块链网络200交互，即使那些数据保护单元不完全是区块链网络200上的合格节点。

一般而言，并且如本文进一步详细讨论的，每个数据管理单元都可以将数据事务信息传送到区块链网络200。此外，数据管理单元可以在任何时间被添加到操作环境100或从操作环境100移除。例如，当数据管理单元从服务中移除或替换为另一个数据保护单元时，可能会发生这种情况。可以与区块链网络200结合操作的数据管理单元的数量没有限制。

继续参考图1，示例性操作环境100还可以包括一个或多个特定于客户的数据管理系统110，即不是来自供应商的现成的任何硬件/软件。这种特定于客户的数据管理系统110的一个示例是企业资源规划(ERP)系统。特定于客户的数据管理系统110，如数据管理单元102……108，可以关于结合特定于客户的数据管理系统110实现的数据事务与区块链网络200通信。

在一个示例性实施方式中，特定于客户的数据管理系统110通过用作API网关112的专用软件节点与区块链网络200通信。并且，API网关112可以形象化标准API，例如表述性状态传输((REST)API，其将使组织中的未被整合为区块链网络上的完全合格节点的数据管理单元(例如特定于客户的数据管理系统110)能够发布数据管理操作和在区块链上登记它们。如此，API网关112可以被认为是通用区块链网络网关，因为它不必需与任何特定的硬件/软件数据管理平台相关联。API网关112可以是区块链网络200的一部分，例如节点，或者可以是特定于客户的数据管理系统110的单元。

除其他之外，API网关112可以简化区块链网络200与特定于客户的数据管理系统110的整合，并且将允许组织根据其业务需求和法规要求创建记录数据管理操作的附加间隔尺寸(granularity)的定制解决方案。

如图1中进一步指示并且在本文别处更详细地讨论的，区块链网络200可以被配置为不仅与企业的一个或多个数据管理实体通信，而且还与各种外部实体通信。外部实体可以与企业相关联，也可以不与企业相关联。例如，区块链网络200可以由审计员300访问，审计员300可以是第三方审计员(例如政府审计员)，从而审计员300可以做出关于企业的数据管理单元的数据处理的各种决定。作为另一示例，区块链网络200可以连接到云服务，例如向企业提供一个或多个现成的数据管理单元的一方的云服务。

更详细地，区块链网络200还可以连接到软件提供商(例如DELL-EMC)的云服务(SaaS)400，其将用作区块链上的异地节点。如此，可以通过云服务400获得对总账的访问权。如此，云服务应用程序可以通过云服务400将数据管理事务信息传输到总账，并以其他方式与总账通信。

区块链网络连接到云服务400的这种布置可以提供多种益处。例如，将企业数据管理操作存储在受信任的异地节点上可以为企业提供数据管理操作信息的高可用性水平的保证。作为另一示例，云服务400可以用作执行认证过程的外部审计员的中央访问点，因为在一些实施方式中，每个区块链节点可以保留企业的所有数据管理单元的整个事务历史。

B.区块链网络

继续参考图1，提供了关于可以结合本发明的一个或多个实施方式使用的示例性区块链网络的进一步的细节，其中一个这样的示例性区块链网络已被表示为200。一般而言，如本文在别处指出的，一个或多个实施方式采用从区块链软件插件到组织中的现有存储系统、数据保护系统和数据管理系统构建的区块链网络。通过向这些系统添加区块链软件插件，例如扩展102b、104b、106b和108b，它们将成为区块链网络200中的节点。

区块链网络200可以包括多个主机设备或由多个主机设备组成，每个主机设备可以是区块链网络200的相应节点202。在其他实施方式中，区块链网络200的多个节点202可以位于单个主机设备上或以其他方式与单个主机设备相关联。更一般地，区块链网络200不需要具有任何特定形式或配置，因此前述内容仅通过示例的方式呈现。节点202共同定义总账，该总账保存关于所有企业事务的信息。也就是说，所有数据管理事务都在网络的所有节点上登记。总账可以接收包括标签或其他标识符的事务信息，以识别事务中涉及的源数据管理单元。

区块链网络200可以另外包括管理员204。管理员204可以附接到区块链网络200的任何节点202。管理员204还可以与外部实体和节点(例如审计员300和云服务400)通信。在一些实施方式中，管理员204处理传入的数据管理事务元数据以及访问总账中的数据的请求。

在至少一些实施方式中，区块链网络200包括企业区块链网络，因此不能被公共实体访问或不能被未被企业授权访问的实体访问。如此，企业区块链网络中的数据事务信息通常不会被公众访问，但可以被授权的第三方(例如审计员)访问。这样的区块链网络可以称为需要许可的或私有的区块链网络。

在其他实施方式中，区块链网络可以是可由一个或多个公共实体以及由企业自由访问的公共区块链网络。这种公共区块链网络也可以称为开放的或无需许可的区块链网络。

在又一实施方式中，区块链网络可以是联合区块链网络。联合区块链网络可以包括一个或多个节点，每个节点与相应的实体或企业相关联。对联合区块链网络节点的访问可以由与这些节点相关联的相应实体和/或由实体指定的管理员控制。

就其操作而言，诸如区块链网络200的区块链网络的实施方式例如包括可用于记录两方或多方之间的事务的分布式总账。私有区块链网络的任何授权方或公共区块链网络情况下的任何一方都可以访问总账。因此，区块链网络的实施方式采用点对点网络的形式，其成员或节点都遵守既定的通信协议和成员之间的事务处理，例如在区块链中创建新数据块。在至少一些实施方式中，除非事务各方达成共识，否则不能修改总账中的区块链记录。

一般而言，举例来说，每个数据管理操作，例如对于数据对象，构成导致区块链网络在区块链中创建对应数据块的数据事务。每个数据块都可以被视为区块链总账中的一个条目。在至少一些实施方式中，可以为区块链网络的每个节点提供相应的总账，并且因此，来自诸如数据管理单元102的实体的所有数据事务(这些数据事务针对特定于该数据管理单元102的节点)都可以登记在单个总账中。以此方式，例如，审计员可以对数据管理单元102所属的企业执行特定于实体的审计。然而，前述内容仅通过示例的方式呈现，并且可以以任何其他合适的方式分配和使用总账。

应当注意，在至少一些实施方式中，企业或其他实体的实际数据不存储在区块链网络200中。而是，只有关于该数据的事务信息位于区块链网络200中。企业的实际数据可以本地存储在企业站点、和/或云数据中心、和/或其他站点。

C.示例性区块链事务的一般方面

继续参考图1和区块链网络的讨论，现在提供关于诸如示例性区块链网络200的区块链网络的操作方面的进一步细节。一般而言，对于发生在企业数据管理单元上的每个相关数据管理操作，事务元数据都将在区块链网络上登记为一个数据块。如本文所用的，除其他之外，术语“事务”旨在广泛地涵盖影响由企业或其他实体管理的数据的任何操作或操作组。此类操作包括但不限于数据保护操作。有鉴于此，与事务相关联的元数据可以包括但不限于诸如以下的属性：数据事务的日期和时间；事务id；执行事务和/或导致执行事务的数据管理系统的数据管理系统id；与数据相关联的数据保护策略；数据的物理位置；以及删除操作的删除证明和/或任何其他数据管理操作的证明。在一些实施方式中，可以通过基于可配置参数将多个数据管理事务聚集到单个区块链数据块来增强性能。

如本发明因此清楚的那样，区块链网络200可以用作组织中所有数据管理事务的统一真实来源，以用于法规遵从性认证和/或其他目的。并且，在区块链网络200上存储数据保护操作利用区块链能力作为分布式总账技术的实现，即是安全、加密、不可变、即不可编辑且透明技术的实现。

D.示例性主机和服务器配置

现在简要参考图2，数据管理单元102……108、特定于客户的数据管理系统110、API网关112、节点202、总账204、审计员节点300和云服务400中的任何一者或多者可以采用物理计算设备的形式，或包括物理计算设备，或在物理计算设备上实现，或由物理计算设备主管，物理计算设备的一个示例用500表示。并且，上述单元中的任一者包括虚拟机(VM)或由虚拟机组成的情况下，该VM可以构成图2中公开的物理组件的任何组合的虚拟化。

在图2的示例中，物理计算设备500包括存储器502，其可以包括随机存取存储器(RAM)、非易失性随机存取存储器(NVRAM)504、只读存储器(ROM)、永久存储器、一个或多个硬件处理器506、非暂时性存储介质508、UI设备510和数据存储器512中的一者、一些或全部。物理计算设备500的一个或多个存储器组件502可以采用固态设备(SSD)存储器的形式。并且，提供包括可执行指令的一个或多个应用程序514。此类可执行指令可以采用各种形式，包括例如可执行以执行本文公开的任何方法或其一部分的指令，和/或可由任何存储站点(无论是在企业本地部署，还是在云存储站点、客户端、数据中心、备份服务器、区块链网络或区块链网络节点)/在任何存储站点处执行以执行本文公开的功能的指令。并且，此类指令可执行以执行本文公开的任何其他操作，包括但不限于读取、写入、备份、和恢复操作、和/或任何其他数据保护操作、审计操作、云服务操作、区块链操作、数据管理单元操作、区块链节点操作、和区块链总账操作。

E.示例性方法

现在注意图3，公开了示例性方法的方面。一种特定方法总体用600表示，并且涉及创建私有企业区块链网络，该网络被配置和操作以记录一个或多个数据管理单元的数据管理事务。在一些实施方式中，方法600的部分或全部可以在管理员控制台或其他实体处执行。例如，可以托管在服务器上的管理员控制台可以向授权用户呈现各种用户界面(UI)。然后，授权用户可以通过UI提供的各种提示进行输入，从而创建区块链网络。可以针对方法600的每个过程向用户呈现UI，尽管这不是必需的。在某些情况下，通过UI进行输入会自动触发下一个后续UI的呈现，尽管这不是必需的。区块链网络配置可以可检索地存储在库中，并且可以根据需要被添加、修改或删除。

该方法可以开始于602，其中将相应的插件或API网关(如适用的话)与一个或多个数据管理单元相关联。只有那些其事务是感兴趣的数据管理单元需要与插件或API网关相关联。因此，区块链网络可以涉及企业网络的所有节点，或者少于企业网络的所有节点。

当插件或网关已经与数据管理单元相关联时，数据管理单元然后可以被指定604为企业区块链网络的节点。也就是说，将区块链软件插件或API网关添加到数据管理单元使该数据管理单元能够充当区块链网络的节点。如果需要，可以随时禁用数据管理单元作为区块链节点的状态，使得数据管理单元不再能够参与或影响区块链操作。

在区块链网络的各个节点已被指定604之后，可以建立606与区块链网络的操作有关的通信和其他协议。这些协议可以指定，例如，如何在区块链网络的节点之间处理事务。此类事务的一个示例涉及将如何创建和管理区块链中的新数据块。

方法600还可包括用于识别608将被捕获并存储在总账中的事务元数据的过程。此类元数据的一些示例在本文别处公开。在一些实施方式中，可以为每个不同类型的数据管理事务定义相应的元数据配置文件，其包括元数据类型的列表或其他集合。元数据配置文件还可以或替选地基于特定数据管理单元来定义，即，可以定义特定于特定数据管理单元的元数据配置文件。

应当注意，与本文公开的其他方法和过程一样，方法600中各个过程的顺序可以与所示出的不同，并且所公开的过程不需要按照图中所示的顺序执行。举例来说，在图3中，元数据的定义608可以在建立606通信和其他协议之前发生。

接下来参考图4，公开了示例性方法的方面。一种特定方法总体用700表示，并且涉及在区块链网络环境(例如企业区块链网络)中处理数据管理事务。在一些实施方式中，方法700可以由数据管理单元和区块链网络的总账托管的应用程序协作执行，尽管本发明的范围不限于图4中所示的示例性功能分配。每次执行数据管理事务或数据管理事务组时过程700可以重复。

该方法可以开始于702，其中数据管理单元或数据管理单元的组执行和/或导致执行一个或多个数据管理事务，数据管理事务的示例在本文中公开。与数据管理事务702的执行相关，数据管理单元和/或区块链网络的其他单元可以在一些实施方式中响应于数据管理事务的执行而自动生成和捕获704关于数据管理事务的元数据。此类数据管理事务元数据的示例在本文别处公开。这种元数据可以由数据管理事务中涉及的(一个或多个)数据管理单元存储。元数据可以涉及单个数据管理事务或多个数据管理事务。数据管理事务可以由区块链网络的任何(一个或多个)节点和/或在其指导下执行，这些节点包括云服务节点，其示例结合图1进行了讨论。

在已经生成和捕获704数据管理事务元数据之后，数据管理事务元数据可以由(一个或多个)数据管理单元传输706到区块链网络上的其余节点。在一些实施方式中，数据管理事务元数据基于每个事务被传输706。在其他实施方式中，用于多个数据管理事务的数据管理事务元数据(无论是来自单个数据管理单元还是多个不同的数据管理单元)都可以在传输706到区块链网络之前由数据管理单元聚集在一起。

在708处，数据管理事务元数据被区块链网络中的节点接收，然后一旦被验证，则元数据被输入710区块链网络的分布式总账中。在存储在区块链网络中之前或之后，可以对数据管理事务元数据进行加密。数据管理事务数据的加密可以由数据管理节点/在数据管理节点处或其他地方执行，例如在传输数据管理单元处执行。一旦被存储在区块链网络710中，则数据管理事务元数据就可以是安全的、加密的、不可编辑的并且对一个或多个其他节点和/或授权方是透明的。

在已经将数据管理事务元数据输入710到区块链网络的分布式总账之后，区块链节点可以生成确认通知712并将确认通知传输到从其接收数据管理事务元数据的(一个或多个)数据管理单元。该确认712在被(一个或多个)数据管理单元接收714时向该(一个或多个)数据管理单元提供数据管理事务元数据被安全地存储在区块链网络上的证明。

接下来参考图5，公开了示例性方法的方面。一种特定的方法总体用800表示，并且涉及与关于数据管理事务的审计过程相关的区块链网络的使用。在一些实施方式中，方法800可以由审计节点和在审计节点处托管的相关审计应用程序与区块链网络(例如企业区块链网络)合作来协作执行。方法800在每次执行对总账中捕获的事务的审计时可以重复。方法800的部分或全部可以自动执行，例如反复执行、根据设定的时间表执行、响应于事件的发生或未发生而执行、或在任何其他基础上执行。在其他实施方式中，方法800在确定需要审计时临时执行。更一般地，方法800可以在任何基础上执行。最后，可以由区块链网络管理员和/或在区块链网络管理员的指导下执行涉及区块链网络的方法800的操作，尽管这不是必需的。

方法800可以开始于审计员节点或审计员站点的用户请求访问802区块链网络的总账(该总账与该区块链网络相关联)。如本文所述，审计员节点或审计员站点可以采用例如托管审计应用程序的服务器的形式，该审计应用程序可操作以执行方法800的各种过程。可以在区块链网络处例如由区块链网络的管理员接收804访问请求。审计员节点可以位于企业站点、即本地，或者可以位于企业站点的远程或异地。

在806处，如果诸如由区块链网络的管理员确定由审计员节点提供的与请求802相关的凭证是有效的，则区块链网络可以准许访问。在某些情况下，审计员不需要请求访问。例如，当区块链网络是企业区块链网络时，审计员节点可以位于企业网络内，因此，可以被允许随时读取总账记录。然而，在审计员节点是企业外部的实体，例如是监管机构的计算机的情况下，可以实施在802处开始的验证过程。

当访问请求802被准许时，审计员可以接收808对总账的访问已经被准许的指示。在一些实施方式中，审计员对总账的访问是指只读访问，即不允许审计员以任何方式修改总账数据。在收到808已准许访问的确认之后，审计员然后可以请求访问所需要的记录或记录范围。该请求可以在任何基础上做出，包括但不限于：所涉及的数据管理事物具有的(一个或多个)类型，例如读取、写入或删除；涉及其数据的实体的身份；数据管理事务发生时的时间范围；所涉及数据的性质，例如个人数据或财务数据；数据管理事务中涉及的实体；和/或与一项或多项数据管理事务有关的任何其他基础。

然后在区块链网络处例如由区块链管理员接收812对总账记录810的请求，然后区块链网络准许访问814所请求的总账记录，并且审计员接收816已准许访问的确认。这种访问可以仅限于读取/查看访问，但可以附加地或替选地包括对总账记录的复制/保存访问。

最后，审计员可以访问期望的记录并对那些记录执行审计818。由于记录安全地存储在总账中，并且无法修改，因此审计员可以确保记录准确反映已发生的数据管理事务。出于同样的原因，至少在一些实施方式中，一旦记录被存储在总账中，则生成记录的实体就不能以任何方式修改记录。

F.示例性计算设备和相关联的介质

本文所公开的实施方式可以包括使用包括各种计算机硬件或软件模块的专用或通用计算机，如下面更详细讨论的。计算机可以包括处理器和承载指令的计算机存储介质，所述指令在被处理器执行时和/或使得所述指令被处理器执行时，执行本文所公开的方法中的任一者或多者。

如上所述，在本发明的范围内的实施方式还包括计算机存储介质，所述计算机存储介质是用于承载或带有其上存储的计算机可执行指令或数据结构的物理介质。这种计算机存储介质可以是能够被通用或专用计算机访问的任何可用的物理介质。

以示例而不是限制的方式，这种计算机存储介质可以包括硬件存储器，所述硬件存储器诸如固态硬盘/设备(SSD)、RAM、ROM、EEPROM、CD-ROM、闪存、相变内存(“PCM”)、或者其他光盘存储器、磁盘存储器或其他磁存储设备、或者可用于存储以计算机可执行指令或数据结构的形式的程序代码的任何其他硬件存储设备，所述计算机可执行指令或数据结构可以被通用或专用计算机系统访问和执行以实现本发明所公开的功能。以上的组合也应该被包括在计算机存储介质的范围内。这些介质也是非暂时性存储介质的示例，非暂时性存储介质也包含基于云的存储系统和结构，然而本发明的范围未被限定到非暂时性存储介质的这些示例。

计算机可执行指令包括例如使得通用计算机、专用计算机、或专用处理设备执行某一功能或某一组功能的指令和数据。尽管已经用特定于结构特征和/或方法动作的语言描述了主题，应理解的是，所附权利要求中限定的主题不必限定到上述特定特征或动作。相反，本文所公开的特定特征和动作被公开作为实现权利要求的示例性形式。

如本文中所使用的，术语“模块”或“组件”可以指在计算系统上执行的软件对象或例程。本文描述的不同的组件、模块、引擎、和服务可以实现为例如作为单独的线程在计算系统上执行的对象或进程。尽管本文描述的系统和方法可以以软件实现，但是以硬件或者软件和硬件的组合实现也是可以的且可预期的。在本发明中，“计算实体”可以是如本文之前所限定的任何计算系统、或者在计算系统上运行的任何模块或模块组合。

在至少一些实例中，提供硬件处理器，该硬件处理器可操作成执行用于执行方法或过程(诸如本文所公开的方法和过程)的可执行指令。该硬件处理器可以包括或不包括其他硬件元件、诸如本文所公开的计算设备和系统。

在计算环境方面，本发明的实施方式可以在客户端-服务器环境(无论是网络环境还是本地环境)或任何其他合适的环境中执行。用于本发明的至少一些实施方式的合适的操作环境包括云计算环境，在云计算环境中，客户端、服务器、和其他机器中的一者或多者可以位于并操作在云环境中。

本发明可以以其他特定形式实现而不脱离其精神或实质特征。所描述的实施方式在所有方面均仅作为说明性的而非限制性的被考虑。因此，本发明的范围由所附权利要求而不是由之前的描述来指示。落入权利要求的等价含义和等价范围内的所有改变均被包含在权利要求的范围内。