基于區塊鏈技術的防篡改審計系統設計

周黎

(陜西學前師范學院 馬克思主義學院, 陜西 西安 710100)

0 引言

在互聯網時代，人們在享受網絡信息服務的同時也面對著非法網絡活動的威脅，計算機審計系統的出現在分析網絡攻擊行為方式、發出危險預警等方面發揮了極大的作用[1]。但是，審計系統中具有超級權限的管理員也有可能成為不安全因素的制造者，因而對統計系統本身提出了更高的安全性要求[2]。區塊鏈技術由比特幣衍生而來，能夠在開放的環境中創建無法修改的可信數據[3]。本文設計了一種基于區塊鏈的防特權賬號篡改審計系統，在充分利用區塊鏈數據不可篡改特性的同時，基于細粒度訪問控制對數據進行加密處理，并制定了快捷高效的稽核方案，從而在根本上解決了超級管理員利用自身權限開展非法網絡活動的問題。

1 系統框架和設計目標

1.1 系統結構設計

基于區塊鏈的防特權賬號篡改審計系統由密鑰管理服務器、審計驗證系統、區塊鏈網絡、數據采集網關和傳統審計系統5個部分組成，其總體結構如圖1所示。

圖1 防特權賬號篡改審計系統總體結構

在以上各組成部分中，傳統審計系統是本系統的基礎，能夠記錄并分析包括超級管理員活動在內的系統內部事件；為了防止超級管理員利用自身的超級權限將其操作記錄徹底從系統中刪除，數據采集網關會實時將監測到的管理員操作發送給區塊鏈網絡，同時考慮到上傳信息的保密性，數據采集網關會提前采取數據加密措施；審計驗證系統的作用是結合區塊鏈中的數據判斷傳統審計系統中的超級管理員活動記錄有無篡改痕跡；密鑰管理器負責生成和分配區塊鏈網絡中加密數據的加密密鑰和解密密鑰，由于區塊鏈數據必須經過認證，因此數據采集網關在上傳操作記錄時需要生成公私鑰以進行簽名，其中公鑰是由密鑰管理服務器發送給區塊鏈的。

1.2 信任假設

為了論證系統設計的可行性，對本系統的各組成部分列出以下信任假設條件。

(1)傳統審計系統所收集的超級管理員活動記錄是完整的，但在超級管理員權限下這些記錄是完全可以修改的。

(2)數據采集網關能夠采集到符合條件的全部審計記錄，且在不發生信息泄露的前提下將其全部上傳。

(3)密鑰管理服務器能夠安全地存儲私鑰和生成、分配公鑰，且作為數據采集網關與審計驗證系統的樞紐，與二者之間的通信能夠在安全的環境下進行。

(4)區塊鏈網絡的共識機制與收斂機制并存，它會基于前者收納和驗證記錄數據，但也會基于后者放棄主動攻擊的意圖。

(5)審計驗證系統在用戶已獲取公鑰的前提下才會允許其進行記錄原始性驗證。

1.3 系統設計目標

本系統的安全設計目標包括審計記錄數據的不可篡改性和保密性2個部分。系統的審計記錄一經生成就是固定的，任何用戶都無權修改記錄內容，數據采集網關輸出的審計記錄只有擁有對應公鑰的用戶才能對其進行細粒度控制訪問。

系統的效率包括數據的上、下鏈效率2個部分。上鏈效率是指數據采集網關上傳數據的速度，對于大型審計系統數據量通常是百萬級的。下鏈效率的目標是保證審計記錄稽核效率的合理性，不存在被篡改記錄的條件下其正常效率應大于1 000條/秒，反之則必須在5秒內準確定位被篡改數據。

2 系統設計

基于本系統的數據處理需要經歷初始化、數據收集、數據上鏈、數據下鏈4個階段。

2.1 系統初始化階段

在本階段實現系統密鑰的生成和分配。

(1)密鑰管理服務器通過行ABE.SkeyGen獲取基于屬性基加密的公私密鑰對(mpk, msk)，并將其中的公鑰mpk發送給數據采集網關供其分配。

(2)數據采集網關通過S.Skey獲取數字簽名公私密鑰對(pk, sk)并將其中的公鑰mpk發送給密鑰服務器由其對外公布。

(3)通過了第三方認證的合法用戶通過密鑰服務器的ABE.Ext獲取私鑰。

2.2 數據收集階段

傳統審計系統所記錄的用戶操作由數據采集網關進行收集和處理并發送給區域連網絡，具體流程如圖2所示。

圖2 數據收集階段設計流程圖

(1)收集傳統審計系統中的操作記錄，將其標記為M。

(2)基于對稱加密法通過密鑰K加密M，得到的加密數據標記為C1。

(3)在M的訪問限制條件下基于ABE.Enc處理密鑰K，得到屬性基加密數據C2。

(4)提取C1、C2、M產生的時間t，以私鑰SK對t進行S.Sign運算，獲取與SK對應的簽名σ。

(5)通過區塊鏈網絡公布(t，C1，C2，σ)。

2.3 數據上鏈階段

區塊鏈網絡的共識節點檢測(t，C1，C2，σ)的合法性，若檢測通過，則將其收納進區塊鏈，若未通過則將該數據集拋棄，具體流程如圖3所示。

圖3 數據上鏈階段設計流程圖

(t，C1，C2，σ)的檢測過程如下。

(1)檢測該數據集在區塊鏈中是否已經存在，若是則檢測不通過。

(2)通過公鑰pk以行S.Sign算法檢測σ對(C1，C2，t)的有效性，若無效則檢測不通過。

2.4 數據下鏈階段

在該階段由審計驗證系統對傳統審計系統[4-5]中的操作記錄進行驗證。

(1)設置稽核所需的時間區間段[T1,T2]。

(2)在[T1,T2]內從傳統審計系統中提取M′ ={M.}，M′為稽核目標M.的數據集。

(3)在[T1,T2]內從區塊鏈中提取數據，輸入私鑰sk，通過審計驗證服務器解密獲取的數據，得到原始數據集M={M.}。

(4)逐一稽核M′以及M中的數據，以檢查在[T1,T2]內是否存在篡改記錄數據的行為。

3 系統應用分析

3.1 安全分析

(1)防篡改性

按照信任假設條件，數據采集網關將全面的、完整的記錄數據發送給區塊鏈網絡，通過其驗證后保存在區塊鏈中，區塊鏈是無法篡改的，因此數據的完整性得以保證。數據采集網關在發送數據的同時對其進行簽名認證，這些簽名也是無法偽造的，在區塊鏈和數字簽名固定性的雙重加持下，記錄數據的防篡改性得以保證。

(2)細粒度訪問控制

數據網關輸出的是基于對稱加密算法加密的記錄數據，同時用于解密的密鑰也以屬性基加密的方式進行了加密，只有獲得了解密密鑰才可以獲取記錄數據。在屬性基加密的條件下，若用戶屬性不符合訪問控制要求，則即使擁有密鑰也不能完成解密。所以在僅獲取了(t，C1，C2，σ)數據而屬性沒有得到認可的條件下無法訪問原始數據，系統由此具備了細粒度訪問控制的功能。

3.2 效率分析

對于本文所設計的防篡改審計系統，系統初始化的發生頻率低，耗時保持在秒級范圍內，數據上鏈過程中簽名認證與形成共識的環節均能在很短時間內完成。這兩個階段均不會影響系統的整體效率，因此本文圍繞數據收集和數據下鏈2個階段對系統效率進行分析。

(1)數據采集階段

屬性基加密是該階段最為耗時的環節，對單個數據密鑰進行屬性基加密耗時數秒，而審計系統面對的是百萬級數量的數據處理需求，因而該階段對于系統效率的影響占比很大。

(2)數據下鏈階段

在該階段系統需要進行屬性基解密，同時從區塊鏈中提取數據也需要耗費大量時間。區塊鏈數據庫本身排斥快速查詢操作，因此查詢的過程是逐一進行的，在審計數據高達百萬級數量的情況下，系統的查詢速度可想而知。

由此可見，必須采取特定的措施改進系統的效率，才能實現系統的實用性。

4 系統效率改進

本系統效率改進設計的思路如下。

(1)在加解密算法相對固定的條件下，從計算機系統快速處理的功能角度入手，將多個審計記錄數據以同一密鑰進行加密，降低屬性基加解密的發生頻率。

(2)在系統中部署一個與區塊鏈相對應的數據庫，在確保自建數據庫未被篡改的前提下通過該數據庫進行快速稽核。

4.1 數據采集實現

按照批處理的方法，對審計數據基于其類型分批次、分階段進行整合并發送給區塊鏈網絡。

(1)創建空白數據整合表，對其附加創建時間、密鑰、屬性基密文和訪問機制等屬性。

(2)收集傳統審計系統中的操作記錄，將其標記為m。

(3)在數據整合表中搜索符合下列條件的數據：

①m的創建時間t與整合表的創建時間在同一時間段內；

②m的訪問機制與記錄的訪問機制相同。

若搜索到滿足上述條件的記錄，則對其屬性基密文C2與密鑰K進行提取，反之則通過對稱加密算法隨機生成一個密鑰K，再基于ABE.Enc處理密鑰K，得到屬性基加密數據C2。創建與之對應的數據整合表。

(4)通過密鑰K加密m，獲取加密數據C1。

(5)通過私鑰sk對C1、C2、t、h、h-1進行S.Sign 運算，獲取與sk對應的簽名σ，其中，h=H(h-1||C1||C2||t)，h-1代表相鄰記錄的h值。

(6)通過區塊鏈網絡公布(t，C1，C2，σ)。

較之于效率改進前的系統，當前系統于相同時間段對具有相同訪問機制的數據僅需進行一次屬性加密，由此極大地提高了數據采集的效率。

4.2 數據下鏈實現

在系統中部署一個與區塊鏈相對應的允許進行快速查詢的數據庫，將t，C1，C2，σ，h，h-1以及與之對應的區塊ID存儲于其中，對區塊鏈進行實時監測，區塊鏈內容更新時審計驗證系統提取出新的t，C1，C2，σ，h，h-1和區塊ID并發送給數據庫。改進后的審計數據稽核流程如下。

(1)設置稽核所需的時間區間段[T1,T2]。

(3)在區塊鏈內搜索目標數據的上一個審計數據(t，C1，C2，σ，h，h-1)，檢查h值是否與h-1的值相同，同時檢查hij=H(h-1，ij||C1||C2||t)能否成立，若存在h-1，ij+1≠hij的情況，則可認定自建數據庫已被篡改，需要進行相應處理，反之則可認定在[T1,T2]內自建數據庫與區塊鏈內容一致。

(4)在[T1,T2]內從傳統審計系統中提取出M′ ={M}。

(5)在[T1,T2]內從區塊鏈中提取數據，輸入私鑰sk，過審計驗證服務器進行解密，即創建空白解密表，對其附加密鑰、屬性基密文等，在整合表中搜索C2，若搜索到滿足上述條件的記錄，則對其屬性基密文C2與密鑰K進行提取，反之則通過對稱加密算法隨機生成一個密鑰K，再基于ABE.Enc處理密鑰K，得到屬性基加密數據C2，將C2與K保存在解密表中。

(6)若K不是空的密鑰，則可以完成解密并獲取M，因此可以得到原始數據集M={M.}。

(7)逐一稽核M′以及M中的數據，以檢查在[T1,T2]內是否存在篡改記錄數據的行為。

5 總結

本文針對傳統審計系統存在的的超級管理員能夠利用其權限威脅系統安全的問題，提出并設計了一種基于區塊鏈技術的防篡改審計系統。文中介紹了系統的總體架構，基于防篡改的數據處理需求對系統運行的4個階段進行了初步設計，利用區塊鏈技術和屬性基加密方案的防篡改性實現了系統的安全保證。隨后在對系統效率進行充分分析的基礎上，采取批處理與自建區塊鏈鏡像數據庫的方式完成了效率改進系統的設計。本系統在保證審計效率的前提下限制了特權用戶的活動空間，為計算機審計系統的研發提供了新的技術模式和設計思路。