楊大寨

（安徽省投資集團(tuán)控股有限公司，安徽 合肥 230000）

引言

在信息化時(shí)代，信息成為了各行各業(yè)必不可少的重要戰(zhàn)略資源，應(yīng)用云計(jì)算技術(shù)能夠形成全新的數(shù)據(jù)儲存及處理方式。但是，由于云計(jì)算開放性的特點(diǎn)，在數(shù)據(jù)儲存及共享過程存在一定的安全威脅，數(shù)據(jù)儲存中心在經(jīng)受攻擊毀壞之后，將會使關(guān)聯(lián)的服務(wù)器系統(tǒng)出現(xiàn)嚴(yán)重故障，導(dǎo)致數(shù)據(jù)泄露。應(yīng)用區(qū)塊鏈技術(shù)可以解決此類問題，實(shí)現(xiàn)去中心化的應(yīng)用效果，對于信息安全保護(hù)具有顯著優(yōu)勢。

1 技術(shù)背景簡述

1.1 區(qū)塊鏈技術(shù)

早在2008 年，有關(guān)比特幣的相關(guān)論文中提到了區(qū)塊鏈技術(shù)，通過對電子現(xiàn)金貨幣的研究，數(shù)字加密技術(shù)在金融貨幣領(lǐng)域逐漸興起。而作為創(chuàng)新去中心化的技術(shù)應(yīng)用，區(qū)塊鏈技術(shù)應(yīng)用分布式計(jì)算方式，能夠形成全新的數(shù)據(jù)處理方式。這一技術(shù)的發(fā)展，促使政府部門、金融市場以及眾多企業(yè)高度重視信息的安全問題。區(qū)塊鏈技術(shù)應(yīng)用過程中，始終保持安全狀態(tài)，并實(shí)現(xiàn)數(shù)據(jù)時(shí)序性、集體維護(hù)作用的有效作用。這一技術(shù)在社會的各個(gè)系統(tǒng)中均能夠應(yīng)用，具有良好的適用性。我國現(xiàn)階段的區(qū)塊鏈技術(shù)應(yīng)用，包括金融證券的數(shù)據(jù)結(jié)算、電子商務(wù)的物流儲存以及眾多行業(yè)的信息處理等。

1.2 密碼學(xué)技術(shù)

基于公共鑰匙加密的密碼學(xué)技術(shù)是區(qū)塊鏈技術(shù)數(shù)據(jù)云儲存以及共享的基礎(chǔ)技術(shù)，集合了應(yīng)用策略、軟硬件設(shè)置以及規(guī)程等。公共鑰匙密碼的特殊管理、儲存、發(fā)布等眾多功能，針對區(qū)塊鏈底層系統(tǒng)中的數(shù)據(jù)傳遞，具有良好的規(guī)范性作用[1]，使每一不同的功能節(jié)點(diǎn)之間能夠形成一致的數(shù)據(jù)通信規(guī)范格式。并且這一技術(shù)的應(yīng)用能夠保障用戶的身份信息隱私安全。處于網(wǎng)絡(luò)環(huán)境下的區(qū)塊鏈技術(shù)基于PKI 構(gòu)建了身份認(rèn)證系統(tǒng)，每個(gè)進(jìn)入到系統(tǒng)的用戶都能夠生成一次性身份，在信息傳遞或是交易過程中僅需對用戶的身份合法性進(jìn)行校驗(yàn)，而無法對其身份信息進(jìn)行交易，充分保障了信息數(shù)據(jù)的安全。有效實(shí)現(xiàn)身份信息保護(hù)目標(biāo)，并保障在交易過程中的雙方，均能夠處于隱私保密狀態(tài)。

1.3 IPFS

IPFS 為星際文件系統(tǒng)，其本身依托于P2P 所形成的拓?fù)涫匠襟w分布式協(xié)議分發(fā)模式，應(yīng)用分布式哈希表對數(shù)傳輸過程中的定位提供解決辦法。不同于HTTP 協(xié)議的應(yīng)用效果，IPFS 在定位過程中主要是根據(jù)內(nèi)容進(jìn)行尋找，而并非是基于域名，這樣的分布式儲存特征相較于一般的HTTP 協(xié)議而言，安全性相對更高，并且IPFS 具有較高的運(yùn)行效率。儲存數(shù)據(jù)消耗的成本相對較低，在IPFS 中儲存信息時(shí)，對應(yīng)不同的節(jié)點(diǎn)將會形成差異性的哈希函數(shù)，儲存的信息生成對應(yīng)哈希值。在IPFS 中利用哈希尋找對應(yīng)的信息文件，促使星際文件系統(tǒng)能夠調(diào)用分散列表，進(jìn)而查詢信息的對應(yīng)節(jié)點(diǎn)，并索取文件數(shù)據(jù)進(jìn)行驗(yàn)證。

2 區(qū)塊鏈數(shù)據(jù)云儲存以及共享方法

2.1 設(shè)計(jì)儲存共享方案

基于區(qū)塊鏈技術(shù)構(gòu)建數(shù)據(jù)云儲存以及共享方法，需要建立相應(yīng)的共享方案，除了要應(yīng)用到IPFS 組成之外，還要應(yīng)用Hyperledger Fabric 區(qū)塊鏈結(jié)構(gòu)。結(jié)合審核部門節(jié)點(diǎn)、數(shù)據(jù)收集節(jié)點(diǎn)、數(shù)據(jù)交換節(jié)點(diǎn)、監(jiān)管節(jié)點(diǎn)以及中心指揮節(jié)點(diǎn)等，形成相對應(yīng)的節(jié)點(diǎn)連接拓?fù)浣Y(jié)構(gòu)，為兩個(gè)不同的組成部分提供更加有效的安全保障以及快捷的信息共享渠道。在構(gòu)建處理方案時(shí)，有關(guān)文件信息經(jīng)過加密之后需要在IPFS 中進(jìn)行儲存，索引則是應(yīng)用到其對應(yīng)生成的哈希。而Hyperledger Fabric 區(qū)塊鏈網(wǎng)絡(luò)本身則是將眾多不同的節(jié)點(diǎn)相互連接，形成共識機(jī)制，在智能合約的執(zhí)行作用下，在區(qū)塊鏈生成的對應(yīng)數(shù)據(jù)庫中儲存其他隱私信息，區(qū)塊鏈儲存系統(tǒng)方案整體構(gòu)架，如下頁圖1 所示。

圖1 中，實(shí)心箭頭為信息在收集完成后的流向。在系統(tǒng)方案構(gòu)架之下，通過數(shù)據(jù)收集環(huán)節(jié)完成數(shù)據(jù)信息的收集，并傳遞到指揮中心。當(dāng)指揮中心接收到相應(yīng)的數(shù)據(jù)之后，對其進(jìn)行記錄、儲存[2]。隨后將完成核驗(yàn)確認(rèn)無誤的數(shù)據(jù)向數(shù)據(jù)上鏈進(jìn)行傳遞。

建立CP-ABE 初始化模型，選取雙線性q 階素?cái)?shù)群Gg，生成元為g。隨機(jī)選擇a，β∈Zp，輸出系統(tǒng)公鑰MPK 和主密鑰MSK。在密鑰生成階段生成處理模型CA，隨機(jī)選擇r∈Zp，輸入屬性集，生成私鑰SK。

2.2 區(qū)塊鏈底層設(shè)計(jì)

Hyperledger Fabric 區(qū)塊鏈網(wǎng)絡(luò)在當(dāng)前的系統(tǒng)方案設(shè)計(jì)中，主要是儲存框架的主干區(qū)域結(jié)構(gòu)。作用于區(qū)塊鏈聯(lián)盟，Hyperledger Fabric 區(qū)塊鏈網(wǎng)絡(luò)的應(yīng)用本身涵蓋了眾多基于聯(lián)盟鏈中的特征表現(xiàn)，能夠?qū)崿F(xiàn)更加完善的開源作用效果。在Hyperledger Fabric 區(qū)塊鏈網(wǎng)絡(luò)結(jié)構(gòu)中，以網(wǎng)絡(luò)組織作為單位進(jìn)行計(jì)算，便于實(shí)施聯(lián)盟式組織管理工作、初始化系統(tǒng)，將每一組織中的證書向其他的組織進(jìn)行傳遞共享，或是由對應(yīng)的組織自動生成證書，后續(xù)由所屬組織對證書進(jìn)行維護(hù)。

Hyperledger Fabric 聯(lián)盟鏈的架構(gòu)涵蓋了身份管理、賬本、交易以及智能合約部分。身份管理結(jié)構(gòu)則是對不同的網(wǎng)絡(luò)進(jìn)行判斷，是否能夠給予其進(jìn)入到聯(lián)盟鏈的許可。一般情況下，Hyperledger Fabric 考慮到區(qū)塊鏈數(shù)據(jù)云儲存及共享過程中大多數(shù)處于商業(yè)應(yīng)用狀態(tài)，因此，對于審計(jì)、隱私、安全和性能等的要求相對較高，需要構(gòu)建較高的準(zhǔn)入門檻，保障在內(nèi)部的各組織成員本身均通過MSP 服務(wù)認(rèn)證，才能夠準(zhǔn)許進(jìn)入到網(wǎng)絡(luò)中。而PKI 的公共鑰匙基礎(chǔ)設(shè)施結(jié)合去中心化的區(qū)塊鏈機(jī)制，促使Hyperledger Fabric 的功能更加強(qiáng)大，能夠?yàn)檎w聯(lián)盟鏈狀態(tài)下的網(wǎng)絡(luò)內(nèi)部組織成員提供審計(jì)、隱私保護(hù)以及身份驗(yàn)證等眾多功能[3]。

2.3 設(shè)計(jì)數(shù)據(jù)隱私保護(hù)

關(guān)于用戶數(shù)據(jù)隱私以非交互的零知識驗(yàn)證方式，這一技術(shù)構(gòu)建中的應(yīng)用主要是以libanark 實(shí)現(xiàn)。數(shù)據(jù)傳遞過程中實(shí)現(xiàn)隱私保護(hù)，建立證明需求下的約束系統(tǒng)，數(shù)據(jù)驗(yàn)證以及構(gòu)件證明中的公共參數(shù)由此生成。指揮中心節(jié)點(diǎn)審核數(shù)據(jù)收集節(jié)點(diǎn)時(shí)，證明者是以數(shù)據(jù)收集節(jié)點(diǎn)為代表、驗(yàn)證者則是以數(shù)據(jù)審核節(jié)點(diǎn)為代表，PKI 作為可靠的第三方，在實(shí)際中對非交互的零知識起到證明作用。整體驗(yàn)證過程如圖2 所示。

公共系統(tǒng)參數(shù)com 借助于PKI 生成之后，向?qū)?yīng)的數(shù)據(jù)收集節(jié)點(diǎn)進(jìn)行傳遞，指揮中心節(jié)點(diǎn)在接收到對應(yīng)的數(shù)據(jù)之后，在數(shù)據(jù)收集節(jié)點(diǎn)的作用下證明生成算法Prove，并進(jìn)一步進(jìn)行證明。這樣的算法轉(zhuǎn)換描述則表示為p←Prove（com，tran）[4]。其中，p 為最終的生成證明，tran 為向數(shù)據(jù)收集節(jié)點(diǎn)遞交的交易參數(shù)。隨后，在數(shù)據(jù)收集節(jié)點(diǎn)的證明下，將其傳遞給中心數(shù)據(jù)節(jié)點(diǎn)，并將輔助驗(yàn)證參數(shù)同步傳遞至中心節(jié)點(diǎn)。

中心數(shù)據(jù)節(jié)點(diǎn)在完成輔助驗(yàn)證參數(shù)及p 的接收之后，利用算法校驗(yàn)對其進(jìn)行驗(yàn)證，轉(zhuǎn)換算法描述則為r←Verif（com，p，a）。其中，r 為最終驗(yàn)證完成之后獲得的結(jié)果，這一驗(yàn)證值為布爾值，通過布爾值對數(shù)據(jù)進(jìn)行安全驗(yàn)證。當(dāng)數(shù)據(jù)收集信息中的證明結(jié)果均能夠通過相應(yīng)的驗(yàn)證之后，促使數(shù)據(jù)收集中心的眾多數(shù)據(jù)內(nèi)容都能夠向區(qū)塊鏈的聯(lián)盟鏈進(jìn)行上傳，保障了后續(xù)在數(shù)據(jù)共享過程的安全性。這樣的認(rèn)證流程建立在證明基礎(chǔ)上，不僅能夠保護(hù)數(shù)據(jù)的隱私安全，同時(shí)也能夠?qū)?shù)據(jù)信息是否真實(shí)有效進(jìn)行驗(yàn)證。

2.4 數(shù)據(jù)云儲存共享流程

本文中設(shè)計(jì)的區(qū)塊鏈數(shù)據(jù)云儲存共享方案系統(tǒng)中，主要體現(xiàn)分布式特征，因此，保障數(shù)據(jù)文件信息的安全，并實(shí)現(xiàn)高速率傳輸作用，需要考慮到不同領(lǐng)域中的數(shù)據(jù)運(yùn)行安全需求。區(qū)塊鏈分布式運(yùn)行環(huán)境中，大文件的傳輸需要保障安全分發(fā)，可以應(yīng)用星際文件系統(tǒng)結(jié)合密碼解密技術(shù)的方式，構(gòu)建全新的文件系統(tǒng)?；诜植际降奈募顟B(tài)，在IPFS 協(xié)議的作用下，通過加密技術(shù)，迅速分解大文件，將其分為眾多不同的數(shù)據(jù)塊，并在對應(yīng)的分布式節(jié)點(diǎn)中安全儲存。

在創(chuàng)建數(shù)據(jù)共享流程時(shí)，首先需要基于星際文件儲存技術(shù)對散列函數(shù)進(jìn)行選擇，將共享數(shù)據(jù)的哈希值、數(shù)據(jù)存儲地址和訪問作為消息明文輸入。執(zhí)行CP-ABE 的加密算法，輸出密文CT。

這樣的數(shù)據(jù)儲存以及共享方式不同于以往簡單的區(qū)塊鏈敏感信息儲存方式，在區(qū)塊鏈的基礎(chǔ)上，結(jié)合IPFS 協(xié)議的應(yīng)用，具有更加鮮明的應(yīng)用優(yōu)勢。不僅能夠?qū)崿F(xiàn)更加安全的數(shù)據(jù)儲存及共享，而且數(shù)據(jù)文件的查詢效率有所提升，降低了以往數(shù)據(jù)查找消耗的時(shí)間成本。這樣的數(shù)據(jù)儲存及共享方案中，將眾多數(shù)據(jù)儲存在IPFS 中，這種分隔獨(dú)立儲存數(shù)據(jù)方式，能夠避免區(qū)塊鏈的賬本空間過快占用，保障區(qū)塊鏈?zhǔn)冀K處于相對高效的應(yīng)用狀態(tài)。

IPFS 協(xié)議本身所形成的數(shù)據(jù)儲存方式具有分布式特征，使每一儲存數(shù)據(jù)的節(jié)點(diǎn)既相互聯(lián)系又能獨(dú)立運(yùn)行，當(dāng)其中的某一節(jié)點(diǎn)受到攻擊或是離線狀態(tài)無法查詢數(shù)據(jù)時(shí)，其他的節(jié)點(diǎn)能夠在第一時(shí)間將其數(shù)據(jù)進(jìn)行備份，并切斷聯(lián)系，保障各節(jié)點(diǎn)的數(shù)據(jù)始終處于安全狀態(tài)。同時(shí)，立即建立全新的備用數(shù)據(jù)節(jié)點(diǎn)，快速投入到區(qū)塊鏈中運(yùn)行使用，提升了數(shù)據(jù)查詢的應(yīng)用效率。

3 基于區(qū)塊鏈數(shù)據(jù)的云儲存與共享方案分析

區(qū)塊鏈技術(shù)主體應(yīng)用背景下設(shè)計(jì)的數(shù)據(jù)儲存及共享方案，形成了完善的區(qū)塊鏈IPFS 協(xié)議系統(tǒng)，能夠?qū)υ贫藬?shù)據(jù)儲存、共享中的組織成員以及實(shí)時(shí)操作等形成同步還原效果。該系統(tǒng)的運(yùn)行數(shù)據(jù)吞吐量相對較高，能夠適應(yīng)大數(shù)據(jù)文件的傳遞共享，并有效降低儲存和提取數(shù)據(jù)的延遲時(shí)間。

當(dāng)區(qū)塊鏈中新增數(shù)據(jù)接收單元時(shí)，均能夠保障整體數(shù)據(jù)庫中的數(shù)據(jù)完整、安全。當(dāng)前的數(shù)據(jù)云儲存及共享系統(tǒng)中，通過全面加密傳輸數(shù)據(jù)，保障了數(shù)據(jù)儲存持久并且不可逆。在前端區(qū)塊鏈構(gòu)架下，能夠?qū)崿F(xiàn)可視化網(wǎng)絡(luò)節(jié)點(diǎn)，展示其中的節(jié)點(diǎn)數(shù)量、狀態(tài)等，如若在區(qū)塊鏈系統(tǒng)運(yùn)行過程中出現(xiàn)故障或是意外等，仍舊能夠保障正常的數(shù)據(jù)上鏈及查詢等功能，降低對數(shù)據(jù)運(yùn)行的安全威脅。

4 結(jié)語

大數(shù)據(jù)時(shí)代背景下，數(shù)據(jù)管理難度增加，借助于區(qū)塊鏈技術(shù)能夠?qū)崿F(xiàn)更加安全的數(shù)據(jù)云儲存及共享。結(jié)合IPFS 協(xié)議的應(yīng)用，基于Hyperledger Fabric 技術(shù)創(chuàng)建聯(lián)盟區(qū)塊鏈，促使每個(gè)使用數(shù)據(jù)的組織成員都能夠參與到區(qū)塊鏈中，構(gòu)建起去中心化的數(shù)據(jù)儲存及交互功能，提高數(shù)據(jù)管理的安全保障。