基于區塊鏈的氣象數據共享服務架構*

袁 偉 段 卿 袁 翔

(福建省氣象信息中心，福建 福州 350007)

2018年，國務院辦公廳公布第一批國務院部門數據共享責任清單，明確提出“研究建立促進企業登記、交通運輸、氣象等公共數據開放和數據資源有效流動的制度規范。”《氣象資料共享管理辦法》也明確了氣象數據共享的使用限制條件和管理職責邊界。然而，氣象數據在開放共享和安全共享之間一直存在不易調和的矛盾。例如，數據出口后的管制職責溯源問題，用戶違規使用或非法傳播數據難以跟蹤問題，虛假數據仿冒、信息發布問題等。這些問題既是《氣象信息服務管理辦法》《氣象資料共享管理辦法》中需要明確的，也是氣象數據更好地共享發展和安全服務過程中需要防范的。

氣象數據面向的服務對象廣泛，且不同的服務對象有不同的數據需求，如政府部門用戶對原始數據的需求更多些，行業用戶對加工產品的需求更多些。根據不同單位服務職能，不少氣象管理機構均存在輸出的可能性，而且同時也會面臨“一對多”輸出的情況。因此，需要通過采用科學的數據治理方法，解決傳統氣象數據直接共享輸出無法溯源、后期數據擴散無法追查、數據在使用中難以認定安全責任等問題。區塊鏈技術作為分布式數據存儲、點對點傳輸、共識機制、加密算法等技術的集成應用，給氣象數據的安全共享、安全管理提供了一攬子解決技術方案。

本文結合福建省氣象數據共享服務的流程化、服務對象的多樣性和數據鏈條的復雜性等現狀，設計了基于區塊鏈的數據管控架構，在數據供應末端與傳統輸出端之間增加區塊鏈應用服務層，幫助解決氣象數據安全共享、權責溯源、防篡改等問題，實現具備可操作的、安全的、明確的、可信的數據共享服務管理。

1 技術背景

1.1 區塊鏈簡介

為推動區塊鏈技術與實體經濟深度融合，形成發展共識，中國信息通信研究院和可信區塊鏈推進計劃共同組織編寫了《區塊鏈白皮書》(2018年)。區塊鏈是一種由多方共同維護，使用密碼學保證傳輸和訪問安全，能夠實現數據一致存儲、難以篡改、防止抵賴的記賬技術，也稱為分布式賬本技術[1-2]。典型的區塊鏈以塊-鏈結構存儲數據，作為一種在不可信的競爭環境中低成本建立信任的新型計算范式和協作模式，區塊鏈憑借其獨有的信任建立機制，正在改變諸多行業的應用場景和運行規則，是未來發展數字經濟、構建新型信任體系不可或缺的技術之一。為了防止共識信息被篡改，系統以區塊為單位存儲數據，區塊之間按照時間順序、結合密碼學算法構成鏈式數據結構，通過共識機制選出記錄節點，由該節點決定最新區塊的數據，其他節點共同參與最新區塊數據的驗證、存儲和維護，數據一經確認，就難以刪除和更改，只能進行授權查詢操作。

作為一項新興技術，區塊鏈具有在諸多領域開展應用的潛力。區塊鏈的不可篡改、分布式、可審計、可追蹤等特性為我們構建了一個全新的信任體系。此外，區塊鏈還被視為一種顛覆式創新技術平臺。它變革了數據管理方式，從集中管控轉變為分布式協同，從各組織維護自己的數據資產轉變為每個參與者都能夠訪問、維護、共享數據庫。它最小化了交易風險，提供了信任機制以及可靠而準確的審計跟蹤，提高了合同執行效率甚至可以幫助簡化業務處理流程。最終，交易和數據的管控權從第三方權威組織轉移到參與交易的各方，無論是數據提供方還是數據用戶終端。

1.2 氣象數據共享服務

隨著氣象大數據云平臺逐漸步入業務應用，氣象數據已完成集約過程，解決了早期存在的煙囪式數據服務狀況。然而在數據集約后，通過數據接口向用戶單位提供服務的中間環節，依然存在授權、溯源、可信等問題，尤其是數據出口后，難以形成有效的鏈條跟蹤，給數據提供方、數據使用方之間帶來職責不確定風險。

當前，福建省氣象數據對政府、部門、行業的共享方式，主要通過API接口提供資料半加工式的透明數據服務，下游讀取數據后的應用、再流轉或它用方面的服務狀態、數據安全、鏈式跟蹤等現象目前還尚無有效手段解決。

國家對大數據的重視程度與日俱增，數據面向社會、行業的全面共享政策、手段也逐漸成熟，氣象數據也必然面臨政策方針下的開放共享問題，引入安全策略機制是應對數據全面共享所帶來的各種問題的有效方式之一。目前福建通過構建有效的安全防護策略，提升氣象數據應用環境的安全等級，但數據自身的安全保證還有大量工作要做。

1.3 區塊鏈與氣象數據技術融合現狀

隨著區塊鏈技術的興起，國內外對它的研究、探索和應用幾乎同時起步。應用場景層面，在電子貨幣、政務信息共享、遠程醫療等方面做了很多嘗試，進入了常態化階段，實現了數據可用不可見，安全數據共享規范標準化等目的。技術層面，國外側重于BFT共識算法、原子跨鏈、子鏈等底層關鍵技術。國際巨頭將區塊鏈作為核心戰略進行布局，不斷提供人力、財力、物力，集聚全球資源打造開源社區，輸出原創技術和開源產品，影響和主導行業發展方向和路徑；國內側重于哈希鎖定、分布式私鑰控制、隱私數據授權訪問等中間層關鍵技術，以及分布式應用、智能合約等應用層關鍵技術。

在氣象數據共享方面應用互聯網新一代信息技術—區塊鏈技術來提升氣象服務品質和氣象服務安全，相關研究極少，本文將基于福建省氣象大數據云平臺的數據共享服務架構進行改進設計探討。

2 共享服務架構設計與應用

2.1 當前氣象數據共享的隱患

通過福建省氣象大數據云平臺的基礎數據服務接口，用戶可申請賬號(一個賬號一個客戶端)，采用API、WEB等方式獲取數據結構。共享流程如圖1所示。

圖1 當前數據共享流程

該數據共享方式，可以高效率、簡便性地提供數據服務，從數據安全方面考慮，則可能存在的隱患及風險如下。

①盡管通過賬號授權，但賬號的全流程跟蹤還未形成共識機制。授權對象、授權范圍、授權周期內的動態跟蹤、授權回收等問題，沒有進行統一的管理設計。

②數據透明輸出，在數據全壽命跟蹤、數據權責、防篡改等方面還未形成管控機制。

③無有效機制約束數據的非授信二次傳播。存在數據非法傳播，甚至惡意傳播的可能，而且當出現風險時，數據授權方無法自證。

引入區塊鏈技術，在數據服務接口與客戶端之間增加一個安全驅動層，經合理設計，可以有效解決上述問題，規避風險。

2.2 基于區塊鏈的治理架構

2.2.1 解決方案

基于省級天擎系統的大數據環境，探索更加安全有效的數據共享管理方式，重構現有數據共享架構，在數據基礎庫與數據共享輸出之間增設安全防護邊界，設計區塊鏈驅動層、數據服務層、業務應用層，形成數據開放共享環境下的分級管控、確權確責、數據溯源，實現共享數據全方位監管和全過程追蹤溯源。

引入區塊鏈技術的氣象數據共享服務管控架構如圖2所示。

圖2 引入區塊鏈技術的氣象數據共享流程

引入區塊鏈的數據共享管控方法是多方共識數據發布、多方共識數據共享、多方共識數據訪問、多方共識數據評價、不可篡改數據溯源，通過多方基于共識算法完成數據共享的管控過程，原理如下。

①數據全局確權管理，通過區塊鏈的全局統一賬簿對數據的標識進行記錄及共享管理，確保數據權屬的唯一性。這將進一步強化一賬戶一客戶端的實際意義，客戶端用戶二次非法傳播的數據將不可用。

②數據多方共識訪問控制，通過區塊鏈分布式系統完成數據共享訪問控制，確保數據共享的安全可靠。

③賦能審計溯源系統，配合數據共享審計系統完成審計數據的可信校驗，確保審計數據不可篡改。防抵賴、防篡改，數據在交換周期中抗風險能力極大提升。

④公平可信數據評價，通過區塊鏈形成數據評價的可信記錄，為數據資產化奠定基礎。

通過公鑰對用戶的身份進行標識，通過數據指紋對數據進行標識，最終通過區塊鏈共識網絡實現用戶的安全接入、發布驗證、數據確權、讀取控制、數據評價、共享確責，并通過區塊鏈瀏覽器對網絡節點及共享數據的態勢進行展示，整個區塊鏈數據均是通過哈希進行串聯，確保數據的不可篡改，同時可以通過數據指紋對數據共享記錄進行關聯查詢，通過簽名確保查詢結果的不可抵賴，通過交易(數據)編號確保數據的不可抵賴。

賦予區塊鏈技術的氣象數據共享服務，為確保數據能夠安全流轉，需進行數據的規范化、語義化共享建模，數據被使用時，授權后可用，依此達到數據可用但不見，同時區塊鏈技術能夠有效防止未授權數據的二次交換、多次交換的情況發生，從而達成數據確權和授信管理。為更好地實現區塊鏈技術與當前數據共享的融合，在大數據平臺的數據接口與業務之間，嵌入并構建安全邊界，按功能和邏輯流程劃分三個子層，相互配合，共同完成數據授信服務，詳細設計架構如圖3所示。

圖3 區塊鏈層詳情設計

(1)氣象數據的安全區塊處理層。該處理層即區塊鏈平臺，是系統的核心層，主要包括共識過程、智能合約的部署和運行，最后形成塊數據。該層的數據來源可通過現行的MUSIC接口直接獲取資料，獲取資料后進行標準化、語義化解析(維護賬本信息，進行背書和區塊存儲，對各個節點發來的交易數據進行排序，并按照一定的規則確定交易順序之后，打成區塊發給各個節點把交易記錄到區塊鏈賬本中)，最后得到安全的塊數據。

(2)氣象區塊數據的契約服務層。該服務層為應用服務提供輔助開發、運行和管控的中間件功能，并提供可以提升系統可用性的數據預整理服務。基于fabric的智能合約調用過程，包括復雜的調用流程需要和區塊鏈平臺的多次交互，以保證一個智能合約的正確執行，并最終形成區塊保存。每次交互都有復雜的數據格式和基于密碼學的簽名驗簽，以保證數據的可靠性。然而，大多數應用方并不關心復雜的過程和數據結構，只關心核心的業務數據是否在需要的智能合約上得到執行，最終完成區塊鏈應用。

(3)氣象塊數據服務與應用獲取層。該層主要完成具體業務，包括第三方系統的業務需求實現，并提供態勢呈現，即動態展示區塊鏈中區塊和交易(數據)的變化情況,提供區塊和交易(數據)具體數據的可視化展示。業務在調度相應氣象資料時，由該層進行解析、定位和授信，因依靠某些安全模塊，業務自身對數據只能用而不可見，從而無法向下游用戶二次發起數據服務，下游用戶必須按照安全標準流程直接對接應用層，避免了數據的無序擴散。

2.2.2 服務應用

基于區塊鏈和大數據平臺的氣象數據共享服務，根據前述設計，可提供數據分級防護、數據安全交換、數據共享建模等幾種應用。

2.2.2.1 數據分級防護

大數據共享區塊鏈平臺針對數據安全分級防護場景，通過安全套件對接用戶的數據庫、文件等數據源，并通過分類分級管理系統梳理數據資產的安全分級，制定不同強度的安全策略，產生數據安全標記；由標簽服務和策略服務為安全防護設備(系統)提供統一的管控，從而基于分級策略實現對多種數據安全防護手段的一體化聯動。

2.2.2.2 數據安全交換

(1)庫表文件類型的數據安全交換。大數據共享區塊鏈平臺針對庫表、文件共享數據的交換場景，通過模型倉庫支持共享數據建模，實現共享數據的規范化；通過共享交換平臺實現共享數據的安全流轉、交換；通過安全套件對接發布方、使用方的數據庫、文件服務器。同時，在使用方提供標簽存儲控制網關，支持業務應用對帶標數據數據庫和帶標電子文件的透明化使用。在整個共享交換過程中，通過基于標簽的安全管控為共享數據流轉提供安全支撐。

(2)服務接口安全交換。大數據共享區塊鏈平臺針對服務接口共享交換場景，通過安全套件為服務提供方接口實現細粒度訪問控制、完整性保護、參數不可抵賴、流量管控等安全防護功能。在服務請求方，可通過安全套件透明對接存量應用。針對新增應用，可直接調用共享交換平臺服務接口獲取帶標數據，然后調用數據共享安全標簽服務進行共享數據驗證脫標。

(3)數據服務發布。大數據共享區塊鏈平臺針對數據匯聚后的服務發布場景，提供發布方數據以服務形式實現安全發布的功能，支持數據查詢、核驗、統計等接口服務發布，提供服務接口調用的不可抵賴、調用方細粒度管控、服務結果的分類分級保護等安全措施。

2.2.2.3 數據共享建模

大數據共享區塊鏈平臺針對數據共享建模場景，提供共享數據建模系統，支持多種建模方式實現共享數據的歸一化和語義化，支持的建模方式包括對象關系建模、SQL建模和導入Excel需求建模等。提供共享模型的格式化導出，支持模型與其他業務對接。提供與安全共享交換平臺對接功能，數據提供方可通過安全套件實現用戶庫表、文件等數據源到模型的自動轉換，并通過共享交換平臺實現共享數據的安全交換。數據使用方可通過安全套件實現模型到目標源的反向映射，實現模型數據到目標源的落地存儲。

2.2.3 技術優勢

通過分析現有氣象數據共享中存在的問題，文中在簡述區塊鏈技術的基礎上，進行技術與現有數據服務應用的結合，給出了新的服務架構設計，闡述了技術原理和分層管控的工作機制，新架構下的技術優勢主要有。

①全過程安全保障：具備了跨地域、跨部門、跨系統的安全管控特點。現有的共享交換體系通常圍繞業務系統進行安全防護，缺乏共享數據整體流轉過程的安全性建設、缺乏分類分級管控措施、無法明確共享數據權責。基于分類分級安全標簽，采取統一的安全策略，從共享數據準備階段、交換階段、使用階段等共享交換全過程建立數據安全防護模型，從共享數據提供方、平臺方、使用方、監管方等數據共享參與方提供安全防護措施，通過數據分級防護、身份認證、受控交換、流轉監控、合規性檢測，以及數據追蹤溯源等安全措施，建立數據共享交換整體安全防護體系，全方位保障共享數據安全。

②全局唯一虛擬資產登記：使用數據指紋、數據標簽等區塊鏈技術對虛擬資產形成唯一的身份標識，實現數據資源的實例化，然后與資源擁有者身份一起記入區塊鏈分布式總賬，實現對資源權益的公開確認。

③數據責任交接清晰明確：基于區塊鏈分布式總賬對數據提交、授權、申請、共享、確認等過程進行公證記錄，為數據溯源提供高可靠的數據支撐，結合數據實例化進一步提升溯源效能。

④數據管控責任多方分擔：多方共同參與記賬，賬本不可更改，資源提供者參與了交易的記錄與確認，既降低了對平臺的依賴，同時也分擔了平臺的數據管控責任。

⑤公開公正可靠的數據評價：資源需求者可對資源提供者數據服務進行評價，并記錄至區塊鏈，由于評價記錄不可更改，結合數據的可溯源特性，能夠為共享平臺生態治理提供幫助。

⑥數據服務化：部門之間的信息網絡自成體系，相互割裂，數據孤島的問題客觀存在，難以實現互通和共享，導致目前政務數據大多處于割裂和休眠狀態。同時由于各部門信息系統的割裂，許多數據需要重復采集，成本較高。大數據共享區塊鏈平臺通過數據接口服務化的模式，支持數據提取、數據匯聚后以服務接口形式進行發布，通過提供查詢、核驗、統計等服務接口，打通應用邊界，使數據在多系統中實現了流動、共享，打破了原有業務數據隔離狀態，為部門業務的進一步聯動提供了數據資源基礎。

⑦應用無侵入：針對已完成數據共享交換平臺建設，但缺少安全防護系統的應用場景，大數據共享區塊鏈平臺提供了透明化對接方案，可在現有共享交換平臺基礎上透明對接安全防護系統，無需交換平臺做修改。

3 結束語

本文從區塊鏈技術和當前氣象數據共享存在的問題入手，闡述兩者結合的技術優勢和解決問題的能力，構建了新的氣象數據共享架構，并基于區塊鏈技術架構，介紹了大數據云平臺的數據共享應用場景和技術特點。隨著區塊鏈技術進入大眾視野，越來越多的人認識到，區塊鏈技術作為互聯網新一代信息技術之一，不僅是生產力上的進步，也是生產關系的進一步優化，它正在“產權”界定、低信用成本、智能合約、價值傳遞等方面重塑當前的生產關系。同時，基于區塊鏈的氣象數據共享服務明確了數據發布者、使用者和使用范圍，構成數據安全鏈上全流程的跟蹤，進一步確保數據的安全性。氣象數據共享和數據服務，作為一種生產關系，有望于這次技術革新中產生更多附加價值。