基于私有區塊鏈的分布式信息安全系統設計

陸明遠，張帆

（天津大學管理與經濟學部，天津 300000）

大數據時代的到來使數據成為人力、資本、能源外的第四類社會發展關鍵資源，如何實現狀態、行為、交易、特征等數據的安全、有序管理成為挖掘信息資源價值的前提。伴隨著數據爆炸時代的來臨，集中式數據管理不堪重負，為緩解服務器壓力、提高效率，越來越多的領域接受了分布式記錄數據的方式，即將任務分割交給不同的節點[1-3]。但是，分布式系統的應用需要基于不可信的互聯網環境實現可信、準確、充分的身份認證[4]。中本聰創立的比特幣，其背后的技術支持體系——區塊鏈技術為分布式環境中的共享技術設計提供了新思路[5]。區塊鏈的每個區塊由哈希指針順序連接，每一哈希指針中的哈希值由上一區塊的所有內容計算得出，實現區塊排列的鏈式結構。更改某一區塊中的一點，需要更改哈希指針中的哈希值。區塊鏈技術基于POW、POA等共識機制實現了去中心化或弱中心化的分布式系統，讓所有節點都可以共享同一本“賬本”，從而實現了大規模數據管理的高速率、安全性、不可篡改性[6]。

1 私有區塊鏈的特點

區塊鏈按照去中心化程度分為公有鏈（Public blockchains）、聯盟鏈（Consortium blockchains）、私有鏈（Private blockchains）3 種類型，不同類型區塊鏈的特點如表1 所示。公有鏈最大的優勢是完全去中心化、匿名化帶來的公開透明，所有節點權限均等地參與區塊數據讀取并公平競爭寫入數據的機會；私有鏈采取部分中心化或弱中心化的方式，僅對特定個人或組織開放，數據讀、寫及共識機制設計都遵從私有鏈管理者的規定，能最大限度維護敏感數據不被非法訪問、篡改；聯盟鏈介于兩者之間，共識過程由預選節點掌控[7]。

表1 不同類型區塊鏈特點

由分析可知，上述任意一種區塊鏈類型都難以同時實現去中心化、高效、權威安全這3 個功能[8]。私有鏈保留了可信中心，雖然沒有去中心化公開透明的優勢，但是只要得到管理方許可即可實踐決策，無需得到其他節點的同意，執行效率高；同時，由于私有鏈非公開的特點，體系內不涉及大量低信任度、低相關度的節點，極大地提高了數據處理速率及讀寫吞吐率；私有鏈不支持匿名化，保障了數據監管的順利實施；私有鏈僅對組織內部開放，保障了敏感數據的機密性；更為重要的是，私有鏈仍然保留了區塊鏈中共享“賬本”的核心特點，保障了數據的不可篡改性。私有鏈的這些特點，極為符合大型企業、公安部門、保密機構等組織對于信息安全體系私密安全、分布式、輕量級、高效率、可審計追蹤、不可篡改的要求。因此，將私有鏈技術應用到信息安全系統建設中，能解決很多傳統模式下無法解決的問題。基于上述目標，建立基礎框架模型，如圖1 所示。

圖1 私有區塊鏈信息安全防御系統框架模型

2 關鍵技術

2.1 基于哈希函數的鏈式數據結構

區塊由塊頭、塊身兩個部分構成。塊頭包括父區塊頭哈希值（Parent block header hash）、時間戳（Time）、Merkle 根（Merkle root）以及隨機數（Nonce）；塊頭中記載父區哈希值實現了區塊之間的鏈式結構，也保證了數據的完整性。由于哈希函數抗碰撞（Collision Resistance）、不可逆（Hiding）的特點，只要記錄最終的哈希值就可以知道數據是否被改動。塊身部分采用Merkle 樹結構記錄本區詳細信息，Merkle 樹與普通二叉樹（Binary Tree）相比的特殊之處在于，用哈希指針代替了普通指針。Merkle 樹最下面一層是數據塊（Data Blocks），中間n層內部節點都是哈希指針(Hash Pointers)，第一層是根節點，根節點取哈希為根哈希(Root Hash)；底層區塊取哈希值保存在上一層節點中，同一節點的哈希值拼在一起取哈希存于上層節點，從此不斷向上最后匯總到根節點，最終實現以Merkle 樹的根哈希值記錄本區全部數據信息的目標[9-10]。Merkle 樹有很多優勢，一方面，只要記錄根哈希值就能檢測出對任何部位的修改，且數據一旦寫入區塊將被發送給所有有權限的節點，實現數據永久記錄、可溯源；另一方面，Merkle樹結構下只要將底層哈希值按順序排列，就可以實現信息查找、不存在證明（Proof of Non-membership）等功能，極大地便利了信息管理。

2.2 傳輸機制與身份認證

圖2 區塊鏈數據結構

區塊鏈以P2P（Peer-to-Peer）的結構實現數據傳輸，特點是在分布式環境中可直接實現端對端的傳輸；要進入某一P2P 網絡，首先，要知道至少一個種子節點，以便與種子節點聯系獲得網絡中的其他節點；節點之間通過TCP 通信，以便穿透防火墻。區塊鏈中鄰居節點的選取是隨機的，沒有考慮底層的拓撲結構。比如一個在青島的節點，它的鄰居節點可能被分配在石家莊。在不考慮底層拓撲結構的前提下，信息系統的魯棒性得到了極大地提升，但是犧牲的是效率，向物理距離一米的人發送信息和一萬千米之外的人發送信息的速度是差不多的。此外，在節點中心化程度方面，在公有鏈中，以比特幣為例，去中心環境中所有的P2P 節點都是平等的；但是在私有鏈中，仍然保留了中心化特征，部分節點被賦予了身份認證、許可發行等任務，可能會產生所謂的超級節點（Super Node）。P2P 網絡雖實現了數據的高效率傳輸，但面臨著節點身份認證的問題。

在分布式環境中，節點正確、可信的身份認證是信息安全的前提，為實現這一目標，引入密碼學中的非對稱加密技術（Asymmetric Encryption Algorithm），建立數字簽名認證體系。非對稱加密是相較于對稱加密體系（Symmetric Encryption Algorithm）建立的，對稱加密體系下密文的加密方和解密方共用一個秘鑰進行加密、解密，密文的安全以保證秘鑰在雙方傳輸過程中的安全性為前提，秘鑰的分發往往要耗費大量人、財、物成本，即使如此，互聯網傳輸環境也并不能被完全信任。為解決上述問題，非對稱加密體系應運而生。在非對稱加密體系中，每個節點在創建賬戶時被賦予了獨屬于自己的秘鑰對，即公鑰和私鑰（Public key,Private key），有且僅有配對的公、私鑰對可以相互加密、解密，節點的公鑰可以在一定范圍內公開，類似銀行賬號；私鑰則由節點自己管理，類似銀行卡密碼。一方面，非對稱加密技術的出現極大地提高了密文傳輸的安全性，假設A 給B 傳輸密文，A 只要用B 公開的公鑰加密密文，那么只有掌握對應私鑰的B 就可以解密該密文，即使密文在傳輸過程中被非法截獲，也無法被破解，從而保證了信息的機密性；另一方面，建立了基于數字簽名的身份認證體系，假設B 要接收來自A 的信息，那么A 只要用自己的私鑰對信息進行簽名，若B 用A 的公鑰能解密，則證明這確實是來自A 的信息。數字簽名的實現，以公、私鑰對的唯一性為前提，現有的鑰對產生方式是隨機的，相同的公、私鑰對基本不存在，這就要求在產生鑰對及每次簽名時都要以好的隨機源為基礎。

針對保障用戶身份真實性以及匿名性的雙向需求，使用ChainAchor 框架作為身份認證工具。ChainAchor 框架基于零知識理論，實現了私有鏈節點匿名化的真實身份認證服務，同一節點可創建幾個匿名賬戶進行信息發布，有選擇性地暴露自己的真實身份以防范內外部攻擊[11]。同時，共識節點借助只讀公鑰列表核實節點的共享許可來管理區塊鏈。ChainAchor 框架工作流程如圖3 所示。

2.3 訪問控制

當前，為解決分布式數據碎片化、共享效率低、傳輸過程不安全、隱私保護等問題，出現了多種共識機制。例如，比特幣的POW（Power of work）、以太坊的POA（Proof of Activity），還有POS（Proof of Stake）、DPOS（Delegated Proof of Stake）等。但是，為適用于私有鏈對安全性、私密性的訪問控制要求，在設計私有鏈信息安全防御控制系統時，沒有選用上述主流的共識機制，而是使用MedRec 框架。

MedRec 的優勢是結合智能合約達成了訪問權限的自動化控制。MedRec 包含3 層智能合約結構，第一層為注冊中心（Register Contract），實現節點身份的分發與管理；第二層為信任代理中心（Provider Contract），基于智能合約的強制規定實現節點權限的管理；第三層為簡要合同層（Summary Contract），在該層，智能合約對網絡節點的傳輸進行控制，并將用戶節點的身份信息與區塊讀、寫權限相關聯[12]。

具體來說，首先，參照ChainAchor 架構設計節點身份分發和認證的智能合約，實現用戶身份認證真實性及匿名性的雙向需求；其次，基于智能合約對各節點的讀、寫權限以及本節點信息被讀、寫的權限進行強制規定，可限定除非經過節點同意否則不得訪問隱私數據；最后，基于簡要合約整合節點與權限之間的對應關聯，確定每一節點擁有的權限。MedRec框架需逐一梳理賬戶與權限之間的關系，雖然成本較高，但是在對數據私密性、安全性較高的行業領域，能依據智能合約實現對隱私數據的保護，仍有一定的建設意義。

圖3 ChainAchor工作流程

2.4 應用模式

私有鏈技術對信息安全防御系統建設的貢獻在于提供了一種文件共享及安全管理的新思路。以往的信息安全系統通過防火墻、VPN 等防御技術加強內部環境的可信性，但是私有區塊鏈技術則直接放棄了這一目標，轉為默認系統所在的P2P 環境是零信任的，通過共享賬本以及特殊的數據結構建立了一套新的數據傳輸結構。同時，在數據結構構造過程中，注重對存在證明、信息查詢、信息追溯等功能的應用，實現了組織信息的安全、管理。

在實際工作中，可將基于私有區塊鏈技術的分布式信息安全系統應用到對信息安全性、私密性要求較高的檔案服務機構、金融機構、公安部門等。

3 結束語

在數據已位列第五大社會要素的當今時代，急需實現對海量數據安全、高效的管理，區塊鏈技術的快速成長正是順應這一趨勢的結果。基于區塊鏈的銀行聯盟平臺[13]、電子政務信息共享平臺[14-15]、電能交易平臺[16]、電子招投標[17]、云審計平臺[18]等紛紛建立，但基于私有區塊鏈技術的信息安全防御系統建設卻相對緩慢。應當注意的是，私有鏈技術雖然具有安全、不可篡改、可溯源等優勢，但也有響應的劣勢，例如，系統對信任中心的安全性要求較高；雖不存在公有鏈中的51%攻擊威脅，但中心化的結構容錯性較低等。