王峻松，張 晨

(安徽建筑大學(xué)城市建設(shè)學(xué)院，安徽 合肥 238076)

0 引 言

每個(gè)數(shù)據(jù)都具有一定的意義，多個(gè)數(shù)據(jù)組成一個(gè)或者多個(gè)信息，處于信息時(shí)代快速發(fā)展的今天，數(shù)據(jù)存儲(chǔ)的安全性尤為重要，一旦數(shù)據(jù)泄露，就會(huì)給某人或者單位企業(yè)造成不可挽回的損失，為此數(shù)據(jù)加密存儲(chǔ)方法是目前國(guó)內(nèi)重點(diǎn)研究的技術(shù)[1]。

區(qū)塊鏈技術(shù)是一個(gè)可共享的數(shù)據(jù)庫(kù)，技術(shù)的實(shí)質(zhì)是一個(gè)由P2P網(wǎng)絡(luò)、加密算法以及公式算法綜合集成的一個(gè)中心化特征的數(shù)據(jù)庫(kù)技術(shù)，被廣泛地應(yīng)用于數(shù)據(jù)加密領(lǐng)域。區(qū)塊鏈技術(shù)的優(yōu)勢(shì)是采用剔除第三方軟件的協(xié)作，整個(gè)數(shù)據(jù)加密過程都由區(qū)塊鏈技術(shù)的各個(gè)節(jié)點(diǎn)完成數(shù)據(jù)的存儲(chǔ)等操作。另外區(qū)塊鏈技術(shù)具有數(shù)字簽名、時(shí)間戳技術(shù)、共識(shí)機(jī)制的輔助，增加數(shù)據(jù)數(shù)字簽名偽造的難度，保證數(shù)據(jù)存儲(chǔ)的安全可靠性。

文獻(xiàn)[2]提出一種基于混沌映射的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法，采用混沌敏感性特征表征方法進(jìn)行云存儲(chǔ)平臺(tái)大數(shù)據(jù)的非結(jié)構(gòu)化重組設(shè)計(jì)，在非結(jié)構(gòu)化特征分布空間中進(jìn)行云數(shù)據(jù)的同態(tài)變換和關(guān)聯(lián)映射對(duì)應(yīng)，構(gòu)建云數(shù)據(jù)的混沌編碼密鑰，采用碼元自適應(yīng)配對(duì)方法進(jìn)行數(shù)據(jù)密鑰的循環(huán)擴(kuò)展，根據(jù)明文攻擊的強(qiáng)度，在有限域中構(gòu)建云存儲(chǔ)平臺(tái)加密的編碼協(xié)議，采用分段線性編碼方法實(shí)現(xiàn)云平臺(tái)下的存儲(chǔ)數(shù)據(jù)算術(shù)編碼和循環(huán)加密。文獻(xiàn)[3]提出基于融合模糊聚類算法的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法，在同態(tài)公鑰加密體系下構(gòu)建云信息存儲(chǔ)加密的數(shù)據(jù)分布式結(jié)構(gòu)模型，提取云存儲(chǔ)信息加密統(tǒng)計(jì)特征量，采用同態(tài)數(shù)據(jù)融合方法進(jìn)行云信息的模糊聚類處理，結(jié)合模糊C均值聚類方法進(jìn)行云信息的分段融合調(diào)度，在分段區(qū)間內(nèi)采用隨機(jī)線性編碼方案進(jìn)行云信息存儲(chǔ)加密的編碼設(shè)計(jì)，基于融合模糊聚類算法構(gòu)建加密密鑰，實(shí)現(xiàn)云信息存儲(chǔ)加密優(yōu)化設(shè)計(jì)。但是上述兩種方法的遠(yuǎn)程數(shù)據(jù)加密時(shí)間長(zhǎng)，存儲(chǔ)數(shù)據(jù)量少。

為了解決上述方法存在的問題，本文提出基于區(qū)塊鏈技術(shù)的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法，通過研究遠(yuǎn)程數(shù)據(jù)身份驗(yàn)證、數(shù)據(jù)加密控制以及區(qū)塊鏈技術(shù)，提高遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法的安全性。

1 遠(yuǎn)程數(shù)據(jù)身份驗(yàn)證

遠(yuǎn)程數(shù)據(jù)身份的驗(yàn)證是信息安全的核心技術(shù)，也是數(shù)據(jù)加密存儲(chǔ)的基礎(chǔ)，在本文研究中任何一組加密數(shù)據(jù)都具備唯一的身份驗(yàn)證密鑰，才能保證數(shù)據(jù)加密存儲(chǔ)的有序性。數(shù)據(jù)的身份驗(yàn)證是在計(jì)算機(jī)或者終端設(shè)備中用于存儲(chǔ)以及注銷數(shù)據(jù)的依據(jù)。為了在遠(yuǎn)程數(shù)據(jù)身份驗(yàn)證過程中保證數(shù)據(jù)的安全性，避免數(shù)據(jù)在傳輸過程中被截取或者第三方攻擊，本文采用鄰近節(jié)點(diǎn)選取方法進(jìn)行遠(yuǎn)程數(shù)據(jù)身份驗(yàn)證，在此過程中通過加密數(shù)據(jù)特征，根據(jù)自動(dòng)生成的數(shù)據(jù)的生物特征、所有證明以及口令，從而確認(rèn)數(shù)據(jù)存儲(chǔ)的身份[4-5]。遠(yuǎn)程數(shù)據(jù)身份驗(yàn)證過程如圖1所示。

圖1 遠(yuǎn)程數(shù)據(jù)身份驗(yàn)證

由圖1可知，本文分析的數(shù)據(jù)加密存儲(chǔ)方法設(shè)有雙層身份驗(yàn)證，依次為數(shù)據(jù)所屬法人身份驗(yàn)證以及數(shù)據(jù)身份驗(yàn)證。數(shù)據(jù)所屬法人身份驗(yàn)證可以保證數(shù)據(jù)不被其他人員隨意調(diào)用，保證數(shù)據(jù)的安全。

數(shù)據(jù)身份的驗(yàn)證是在數(shù)據(jù)法人身份驗(yàn)證合格的基礎(chǔ)上完成的，本文利用隱私感知模型對(duì)遠(yuǎn)程數(shù)據(jù)完成身份驗(yàn)證，隱私感知模型的本質(zhì)是通過遠(yuǎn)程數(shù)據(jù)線下密鑰對(duì)線上密鑰身份驗(yàn)證，其中不涉及到用戶的真實(shí)身份。在數(shù)據(jù)遠(yuǎn)程身份驗(yàn)證時(shí)，可以有效簡(jiǎn)化身份驗(yàn)證的流程，減少數(shù)據(jù)泄露[6]?；陔[私感知模型的身份驗(yàn)證如圖2所示。

圖2 基于隱私感知模型的身份驗(yàn)證

具體感知模型如下：

(1)

其中，y表示線下密鑰序列，t表示線上密鑰序列，R表示數(shù)據(jù)字節(jié)長(zhǎng)度，k表示數(shù)據(jù)加密等級(jí)[7-8]。

2 遠(yuǎn)程數(shù)據(jù)加密控制

遠(yuǎn)程數(shù)據(jù)加密控制的目的是在數(shù)據(jù)加密存儲(chǔ)期間訪問權(quán)限的控制，避免遠(yuǎn)程加密數(shù)據(jù)在此過程中被非法人員對(duì)存儲(chǔ)數(shù)據(jù)的惡意調(diào)用，提高存儲(chǔ)加密數(shù)據(jù)的安全等級(jí)。利用RSA加密算法調(diào)用區(qū)塊鏈技術(shù)完成數(shù)據(jù)加密存儲(chǔ)，因此通過控制區(qū)塊鏈技術(shù)的訪問控制權(quán)限完成數(shù)據(jù)加密控制[9]。數(shù)據(jù)加密過程如圖3所示。

圖3 數(shù)據(jù)加密過程

根據(jù)圖3可知，本文設(shè)計(jì)的遠(yuǎn)程數(shù)據(jù)加密控制主要在兩階段進(jìn)行加密控制，就可以完全控制遠(yuǎn)程數(shù)據(jù)的訪問，分別是在需要加密的數(shù)據(jù)遠(yuǎn)程傳輸階段和數(shù)據(jù)加密存儲(chǔ)階段。在需要加密的數(shù)據(jù)傳輸過程中，主要控制數(shù)據(jù)的受攻擊性，本文采用RSA對(duì)稱加密算法完成。具體的對(duì)稱算法公式如下所示：

(2)

通過區(qū)塊鏈技術(shù)將要存儲(chǔ)的數(shù)據(jù)進(jìn)行RSA對(duì)稱加密算法改碼處理，算法處理后的數(shù)據(jù)為十六進(jìn)制字節(jié)，并且具有不可逆性，提高數(shù)據(jù)破解難度。在數(shù)據(jù)加密存儲(chǔ)過程利用哈希算法再對(duì)二進(jìn)制字節(jié)數(shù)據(jù)進(jìn)行轉(zhuǎn)碼，不更改存儲(chǔ)加密數(shù)據(jù)的內(nèi)容，因?yàn)檫h(yuǎn)程數(shù)據(jù)傳輸過程中是可移動(dòng)的，因此本文采用私有密鑰進(jìn)行數(shù)據(jù)轉(zhuǎn)碼[10-12]。轉(zhuǎn)碼后的數(shù)據(jù)如圖4所示。

圖4 轉(zhuǎn)碼后的數(shù)據(jù)

對(duì)于遠(yuǎn)程數(shù)據(jù)加密階段的數(shù)據(jù)加密控制，本文采用數(shù)字簽名的方法完成。數(shù)字簽名通過交易的形式進(jìn)行權(quán)限轉(zhuǎn)移控制和創(chuàng)建交易控制管理，此遠(yuǎn)程數(shù)據(jù)加密控制隨著加密數(shù)據(jù)的更新而更新、存儲(chǔ)數(shù)據(jù)撤銷而撤銷，為數(shù)據(jù)加密提供存儲(chǔ)空余空間。數(shù)字簽名方法通過交易提取、簽名認(rèn)證、身份對(duì)比，從而形成一個(gè)加密控制的交易鏈，實(shí)現(xiàn)對(duì)遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)的全周期管理。最后，在數(shù)據(jù)加密存儲(chǔ)最終確認(rèn)時(shí)，會(huì)收錄遠(yuǎn)程數(shù)據(jù)存儲(chǔ)者的交易數(shù)字簽名，在遠(yuǎn)程數(shù)據(jù)存儲(chǔ)時(shí)一同存入，調(diào)用時(shí)需要驗(yàn)證交易簽名，完成訪問控制判決，實(shí)現(xiàn)了訪問控制[13]。交易鏈如圖5所示。

圖5 交易鏈安全周期

3 基于區(qū)塊鏈技術(shù)的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)

對(duì)于遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法，區(qū)塊鏈技術(shù)除了具有可靠性同時(shí)還具有開放共識(shí)性、中心化、信任性、匿名性、不可篡改性、可追溯性以及可編程性。開放性指的是每一個(gè)具有區(qū)塊鏈技術(shù)的設(shè)備在連接網(wǎng)絡(luò)后都可以看做一個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)都具有一個(gè)完成的數(shù)據(jù)庫(kù)，方便工作。中心化是指每?jī)蓚€(gè)全新任意的區(qū)塊鏈節(jié)點(diǎn)都可以組成一個(gè)最基本的簡(jiǎn)易網(wǎng)絡(luò)，降低遠(yuǎn)程網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)的流程。并且存儲(chǔ)后，存儲(chǔ)數(shù)據(jù)會(huì)自動(dòng)傳輸?shù)綌?shù)據(jù)庫(kù)中，單一的節(jié)點(diǎn)出現(xiàn)字節(jié)丟失或者竊取，不影響整個(gè)區(qū)塊鏈數(shù)據(jù)庫(kù)的工作，因?yàn)閱我坏淖止?jié)無法修復(fù)成一個(gè)完整的數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)[14-15]。數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)之間的關(guān)系如圖6所示。

圖6 數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)之間的關(guān)系

信任性指的是任何存儲(chǔ)在區(qū)塊鏈技術(shù)依賴的數(shù)據(jù)庫(kù)中的數(shù)據(jù)，技術(shù)會(huì)自動(dòng)對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行二次加密，防止數(shù)據(jù)丟失和數(shù)據(jù)竊取的情況發(fā)生，每個(gè)節(jié)點(diǎn)和設(shè)備都自動(dòng)構(gòu)成一個(gè)信任關(guān)系。匿名性是指區(qū)塊鏈中的用戶只與數(shù)據(jù)身份驗(yàn)證的網(wǎng)絡(luò)地址相對(duì)應(yīng)，而不與用戶的真實(shí)身份相關(guān)聯(lián)，用戶不需要暴露自己的真實(shí)身份就可以參與遠(yuǎn)程數(shù)據(jù)的加密存儲(chǔ)。區(qū)塊鏈技術(shù)的可追溯性是在區(qū)塊鏈技術(shù)下完成的數(shù)據(jù)加密存儲(chǔ)，在設(shè)備終端上都會(huì)有記錄，如果出現(xiàn)記錄丟失，調(diào)用區(qū)塊鏈技術(shù)查詢即可。可編程性是區(qū)塊鏈技術(shù)定期根據(jù)實(shí)時(shí)發(fā)展情況進(jìn)行數(shù)據(jù)加密級(jí)別的升級(jí)，保證區(qū)塊鏈技術(shù)的有效性和加密性。節(jié)點(diǎn)通信如圖7所示。

圖7 節(jié)點(diǎn)通信過程

通過以上對(duì)遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)身份驗(yàn)證、遠(yuǎn)程數(shù)據(jù)加密控制訪問以及區(qū)塊鏈技術(shù)的分析研究，總結(jié)歸納出基于區(qū)塊鏈技術(shù)的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法的存儲(chǔ)流程，具體步驟如圖8所示。

圖8 基于區(qū)塊鏈技術(shù)的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法存儲(chǔ)流程

(1)首先存儲(chǔ)者在任意一個(gè)具有區(qū)塊鏈技術(shù)的終端上提交一個(gè)數(shù)據(jù)加密存儲(chǔ)的請(qǐng)求，然后區(qū)塊鏈技術(shù)將請(qǐng)求提交到數(shù)據(jù)庫(kù)管理中心，管理中心查詢檢索存儲(chǔ)者是否存儲(chǔ)過數(shù)據(jù)，如果有則調(diào)出存儲(chǔ)空間序列，如果沒有則創(chuàng)建一個(gè)數(shù)據(jù)存儲(chǔ)空間，由區(qū)塊鏈管理中心發(fā)回此存儲(chǔ)空間地址；

(2)其次區(qū)塊鏈技術(shù)對(duì)存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)身份進(jìn)行驗(yàn)證，檢驗(yàn)后生成一個(gè)特有的CH策略信息點(diǎn)以及將要存儲(chǔ)數(shù)據(jù)的基本屬性；

(3)數(shù)據(jù)身份驗(yàn)證處理后，通過區(qū)塊鏈技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密控制，由PDP對(duì)其進(jìn)行訪問控制判決并將判決結(jié)果(允許或拒絕)返回給數(shù)據(jù)身份驗(yàn)證中心；

(4)最后區(qū)塊鏈技術(shù)將用戶提供的數(shù)據(jù)根據(jù)身份驗(yàn)證說明以及加密控制指令進(jìn)行加數(shù)據(jù)加密存儲(chǔ)。

區(qū)塊鏈中每個(gè)用戶都對(duì)應(yīng)一個(gè)公鑰地址作為數(shù)據(jù)存儲(chǔ)注銷的身份憑證，由存儲(chǔ)者的身份密鑰以及存儲(chǔ)序列號(hào)對(duì)權(quán)限進(jìn)行管理維護(hù)，保證遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)的安全性。

4 實(shí)驗(yàn)研究

為了驗(yàn)證本文提出的基于區(qū)塊鏈技術(shù)的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法的有效性，與文獻(xiàn)[2]提出的基于混沌映射的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法和文獻(xiàn)[3]提出的基于融合模糊聚類算法的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法進(jìn)行對(duì)比實(shí)驗(yàn)。設(shè)定實(shí)驗(yàn)參數(shù)見表1。

表1 實(shí)驗(yàn)參數(shù)

根據(jù)上述參數(shù)，選用本文提出的加密存儲(chǔ)方法和文獻(xiàn)[2]、文獻(xiàn)[3]方法進(jìn)行對(duì)比實(shí)驗(yàn)，得到的實(shí)驗(yàn)結(jié)果如圖9所示。

圖9 加密時(shí)間實(shí)驗(yàn)結(jié)果

根據(jù)圖9可知，本文提出的加密存儲(chǔ)方法加密耗時(shí)為20 s，比文獻(xiàn)[2]、文獻(xiàn)[3]方法的加密耗時(shí)短。該加密存儲(chǔ)方法不僅能對(duì)數(shù)據(jù)進(jìn)行加密，還能對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)。設(shè)備將實(shí)時(shí)采集運(yùn)行數(shù)據(jù)，并上傳到數(shù)據(jù)處理模塊。資料處理模組接獲資料后，會(huì)使用該機(jī)的私鑰簽署資料，然后將資料簽名及收集資料儲(chǔ)存至IPFS。作為分布式存儲(chǔ)，IPFS具有很強(qiáng)的抗DDOS攻擊能力，它采用分片冗余存儲(chǔ)方式，以避免數(shù)據(jù)泄露和丟失的風(fēng)險(xiǎn)。

在IPFS系統(tǒng)中，存儲(chǔ)結(jié)果是一個(gè)數(shù)據(jù)索引散列，通過這個(gè)散列可以得到IPFS系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，由于散列具有唯一性和不可逆性，任何散列都不能在沒有索引哈希的情況下得到數(shù)據(jù)明文，從而保證了數(shù)據(jù)的安全性。

在區(qū)塊鏈上建立數(shù)據(jù)索引。因?yàn)樵贗PFS系統(tǒng)中，只要有數(shù)據(jù)索引哈希就能控制數(shù)據(jù)，并且區(qū)塊鏈?zhǔn)枪_透明的，那么在將數(shù)據(jù)索引哈希存至區(qū)塊鏈之前，就需要用系統(tǒng)的公鑰加密數(shù)據(jù)索引哈希，把數(shù)據(jù)的控制權(quán)交給系統(tǒng)所有者，把加密后的密文和數(shù)據(jù)摘要發(fā)送給交易的上鏈信息，交易的發(fā)送方是系統(tǒng)的公鑰地址，接收方是設(shè)備的公鑰地址，這使數(shù)據(jù)索引哈希即該數(shù)據(jù)被記錄到區(qū)塊鏈上，不可篡改，可用于后續(xù)驗(yàn)證數(shù)據(jù)真?zhèn)巍?/p>

存儲(chǔ)量實(shí)驗(yàn)結(jié)果如圖10所示。

圖10 存儲(chǔ)量實(shí)驗(yàn)結(jié)果

根據(jù)圖10可知，本文提出的基于區(qū)塊鏈技術(shù)的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)方法的存儲(chǔ)數(shù)據(jù)量最高可達(dá)35 GB，比傳統(tǒng)方法的存儲(chǔ)數(shù)據(jù)量高，是因?yàn)楸疚姆椒ú杉瓿珊螅褂迷O(shè)備私鑰簽署數(shù)據(jù)，保證了數(shù)據(jù)源的真實(shí)性。采用加密存儲(chǔ)技術(shù)，確保數(shù)據(jù)安全，防止用戶資源損失和數(shù)據(jù)泄漏。還可以使用不同的公鑰對(duì)不同的數(shù)據(jù)索引進(jìn)行加密，對(duì)不同的私鑰設(shè)置權(quán)限，實(shí)現(xiàn)數(shù)據(jù)的分級(jí)管理，實(shí)現(xiàn)用戶隱私等隱私數(shù)據(jù)的私有存儲(chǔ)。采用區(qū)塊鏈、IPFS等技術(shù)，結(jié)合橢圓曲線、哈希等算法，構(gòu)建大數(shù)據(jù)全流程安全解決方案，實(shí)現(xiàn)了數(shù)據(jù)采集、存儲(chǔ)、傳輸、隱私保護(hù)、強(qiáng)關(guān)聯(lián)等多項(xiàng)功能，具有很強(qiáng)的安全性，實(shí)用性，且成本低，易于推廣，具有非常廣闊的研究?jī)r(jià)值和應(yīng)用前景。

5 結(jié) 論

本文通過依次分析遠(yuǎn)程數(shù)據(jù)身份驗(yàn)證、數(shù)據(jù)加密控制以及區(qū)塊鏈技術(shù)的工作原理，研究探索遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)的關(guān)鍵點(diǎn)，然后根據(jù)遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)解密的邏輯，總結(jié)出基于區(qū)塊鏈技術(shù)的遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)流程，實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)的加密存儲(chǔ)，達(dá)到本文的研究目的。隨著科技的發(fā)展，遠(yuǎn)程數(shù)據(jù)加密存儲(chǔ)的方法也要隨之進(jìn)行更新，才能保證數(shù)據(jù)存儲(chǔ)的安全性。