融合雙區塊鏈的征信數據存儲和查詢方案

劉發升，孫起玄，李江華

江西理工大學 信息工程學院，江西 贛州 341000

隱私數據的泄露在互聯網和大數據時代已經是司空見慣的了[1]。從淘寶購買一件生活用品、收看一期電視節目，到銀行存款、買車購房，消費者享受了互聯網帶來的種種便利的同時，也在不知不覺中付出了隱私數據泄露的代價。

根據一份中國消費者協會2018年的調查問卷，其中85.2%的受訪者曾被個人信息的泄露帶來困擾。健康生理信息、生物識別信息等數據的泄露或者被濫用可能導致個人的財產、名譽以及身心的健康帶來嚴重的危害。

現代社會已經越來越向信用社會轉化了，信用為社會經濟的發展提供方便，并促進了社會的發展。征信又是現代信用社會體系的基礎，征信可以促進信貸市場的發展，服務其他授信市場，提高履約水平，加強金融監管和宏觀調控，維護金融穩定防范金融重大風險具有重要作用[2]。國內的征信數據尤為龐大，而當前絕大部分的征信平臺使用的是分布式的、一主多從的存儲模式，此模式下主服務器負責數據的調度和均衡，而從服務器負責備份主服務器的數據[3]。征信行業中存在征信數據不對稱、征信數據可能泄露和篡改、征信數據冗余過大，征信報告查詢不便等諸多問題[4]。隨著區塊鏈技術的誕生，區塊鏈的優秀性能也許能給征信數據的存儲方式帶來新的突破。

區塊鏈技術的提出與2008年一個筆名叫中本聰（Satoshi Nakamoto）的美國學者發表的《比特幣：一個點對點的電子現金系統》[5]有關，區塊鏈技術一開始是數字加密貨幣-比特幣的底層技術，因為區塊鏈技術具有分布式去中心化、去信任化、內容不可篡改、隱私保護等特性而被學術界和工業界廣泛關注。區塊鏈技術的隱私保護特性與其所使用的非對稱加密算法[6]有關，數字簽名是利用非對稱加密算法對消息進行驗證，可以驗證消息的完整性和簽名的歸屬性。區塊鏈被認為最有可能是繼大型機、個人計算機、互聯網、社交網絡之后計算模式的又一顛覆式創新。被看作是人類信用史上同血親、貴金屬、央行紙幣一樣重新定義信用的表現形式，并對人類的社會生活產生重要的影響[7]。隨著研究和應用的深入，區塊鏈技術從以比特幣為代表的區塊鏈1.0，發展到以以太坊[8]為代表的區塊鏈2.0，正在加速向超越金融領域去中心化[9]應用的區塊鏈3.0發展。區塊鏈現已在分布式賬本[10]、防偽溯源[11]、供應鏈物流[12]、電子投票[13]等多個領域有應用，其中“數據安全存儲與共享”[14]已經成為重要的應用方向。

1 相關研究

征信是現代信用社會的保障，征信數據能否正確地反映一個人的信用狀況對社會的運行和防范金融風險至關重要[15]，同時征信數據又涉及人的重要隱私，征信隱私的泄露又會影響被泄露人的正常生活，因此急需要正確反映被征信人的信用狀況又需要保護隱私的征信數據模型應該具有以下基本原則[16]：

（1）真實性原則：征信數據的真實性是保證征信工作最重要的條件，只有真實的征信數據才能正確地反映被征信人的信用狀況。

（2）全面性原則：全面性又叫完整性，完整的征信數據才能更加全面地反映一個人的征信情況，因此征信數據不僅包括被征信人的正面征信數據，也應當包括被征信人的負面征信數據，所以每次征信報告的查詢都是遍歷被征信人的整個征信數據。

（3）及時性原則：及時性指征信數據的收集時要盡量實時跟蹤，記錄并使用被征信人最新的征信數據，反映被征信人最新的信用狀況。

（4）隱私性原則：征信數據是個人隱私，任何機構或個人在未獲得允許的情況下都不得將個人征信數據泄露，保護被征信人的征信數據隱私也是保證活動順利展開的必要條件。

當前數據的當前已存在一些利用區塊鏈進行數據安全存儲與共享的成果。文獻[17]提出了一種基于區塊鏈的電子醫療病歷共享方案，文獻[14]提出了一種基于聯盟鏈的智能電網數據安全存儲與共享系統，文獻[18]提出了一種基于區塊鏈的檔案管理系統，也有人提出將區塊鏈技術融入到征信領域的研究，琚春華等人[19]2018年11月列出了區塊鏈與首次提出了將區塊鏈技術融入征信系統的概念，以區塊鏈技術為基礎建立了多源征信數據共享的借貸平臺，然而該平臺只適合于第三方的貸款業務，并不適合銀行的征信數據的查詢與共享。陳春玲等人[4]2019年3月提出了基于DCIS的征信數據存儲模型，該模型分為上下兩部分，其中上部分為與外網交互的全節點，下半部分是單節點的構造。單節點包括區塊鏈副本、驗證節點群和存儲節點群三個部分，該模型由內容和結構冗余度極高的“全網節點和公識區塊鏈”以及“本地區塊鏈副本”和“本地驗證節點群”“本地存儲節點群”構成，其冗余度非常高，浪費內存，且當用戶需要查詢征信報告時，沒有很好的解決方式，2020年5月張晶等人[20]提出了區塊鏈技術在我國市場化個人征信中的應用初探，但也只是簡單地利用區塊鏈技術與征信相結合簡單地解決了數據隱私問題也給數據的提取帶來了麻煩。因此本次課題提出融合雙區塊鏈的征信數據收集和查詢方案。

針對當前存在的這些問題本文提出了融合雙區塊鏈的征信數據存儲和查詢方案采用雙鏈的形式，一條鏈用于存儲多人的實時征信數據，一條鏈用于存儲單人的征信報告[21]，在征信數據的獲取過程中采用了數據自動聚合加密處理，在數據的存儲與傳輸過程中使用的是非對稱加密與簽名技術以保障征信數據的安全性，融合雙區塊鏈的設計不僅能保證征信機構實時征信數據的收集記錄，而且做到個人征信報告的快速自動生成功能，避免了個人征信數據在征信查詢的過程中的隱私泄露和征信數據的篡改和偽造的風險。

2 DCIS模型

陳春玲等人[4]提出的基于DCIS的征信數據存儲模型如圖1所示，該模型分為上下兩部分，其中上部分為與外網交互的全節點，下半部分是單節點的構造。單節點包括區塊鏈副本、驗證節點群和存儲節點群三個部分。

圖1 DCIS單節點模型結構Fig.1 Structure of DCIS single-node model

（1）區塊鏈副本：區塊鏈副本始終與全網的大部分節點保持數據同步，作用是當本地數據丟失或者非法篡改時，通過邁克爾樹的hash比較，就可以恢復數據。且數據一旦寫入不可更改，當數據合法修改，內容會被記錄在新區塊且廣播至全網。

（2）驗證節點群：由若干個校驗節點組成，當用戶發出存儲數據操作時，會先同步至全網然后再校驗。

（3）存儲節點群：由若干存儲節點組成，主要對接驗證元數據的寫入和查詢功能。

在DCIS模型中區塊鏈表示存儲數據的區塊，這些區塊會隨著時間的推移而有序排列。區塊中存儲著用戶及其征信信息的新建或修改，每次提供用戶的有效簽名sign以及對應的時間過濾后可得到唯一的數據信息。每次讀取或者校驗數據時，為避免發生本地篡改或者讀到臟數據等情況，本地驗證節點群會對本地區塊鏈進行定期更新并同步。此過程中，驗證節點群會對比全網區塊鏈和本地區塊鏈的待同步區塊頭信息，任何單方面的對信息更改都會導致區塊鏈的區塊頭信息不一致，此時需要替換本地區塊。

由分析可知，該模型由兩份大體一樣的區塊鏈節點和兩份大致的節點群構成，采用單鏈的結構，隱私保護性較強，征信數據的完整性較弱，當用戶需要查詢征信報告時，沒有很好的解決方式，征信報告查詢較難，及時性因為區塊鏈副本經常需要更新和多次驗證而較弱，存在大量相同的區塊，冗余度非常高，浪費內存，因此本次課題提出融合雙區塊鏈的征信數據收集和征信報告共享模型。

3 CDSB模型

本方案分為兩個模塊，一個是征信數據的安全收集以及征信報告安全查詢兩模塊，其中征信數據安全收集方案中，利用區塊鏈技術存儲地方銀行上報而來的征信數據，征信數據在經過數據聚合器聚合后存儲在征信數據存儲鏈上（credit data storage blockchain，CDSB）如圖2所示。CDSB中包含征信數據的存儲和征信數據查詢兩組數據交易。用戶通過當地銀行LB上報征信數據，用戶可以通過WEB和手機APP獲取Service服務查詢個人征信報告。

圖2 CDSB征信數據存儲模型Fig.2 CDSB credit data storage model

地方銀行LB獲取個人征信數據，簽名并加密之后上報到數據收集器DC中，DC將收集的征信數據再聚合加密，在CDSB中申請征信數據區塊的上鏈。在數據的存儲與傳輸過程中使用的是非對稱加密與簽名技術，LB和DC對征信數據使用的簽名加密算法用(Gsign,Ssign,Vsign)（生成、簽名、驗證）與(Gencode,Eencode,Dencode)（生成、加密、解密）來表示。存儲聚合征信數據的區塊鏈服務器節點通過PBFT共識機制同步征信數據。

3.1 征信數據安全收集

本模型中的征信數據的收集模型如圖3所示，多個實體在本方案中將實現不同的功能。

圖3 征信數據收集模型Fig.3 Credit data collection model

（1）地方銀行（local bank，LB），對用戶的征信數據進行實時記錄，一定時間會將征信數據上報。地方銀行數據所采用的存儲結構如圖4區塊結構所示，區塊鏈結構存儲的本地征信數據保障了數據在向上傳輸的過程中的正確性與完整性，保障了數據不被篡改。

圖4 區塊結構Fig.4 Block structure

（2）數據收集器（data collector，DC）主要負責收集由LB上報的征信數據，通過數據收集聚合后再向上一層提交，上一層可以繼續是DC也可以是CPC。

（3）控制處理中心（control processing center，CPC），DC處的征信數據收集后，CPC將對征信數據經行分析、整合和處理。CPC作為整個征信系統的調度和控制中心，是絕對安全和可靠的，可以抵御外部攻擊，CPC應該對征信數據保持誠實且好奇。

3.1.1 系統的初始化與實體注冊

CPC通過密鑰與簽名生成算法對Gencode和Gsign生成對應的安全參數，為LB和DC生成密鑰并派發，LB集合[1]獲得加密密鑰對和簽名密鑰對，DC集合{A1A2…An}將獲得加密密鑰對和簽名密鑰對。

3.1.2 征信數據上報

用戶每次進行銀行征信業務時，需要首先進行登錄，未注冊的用戶需要先進行注冊，LB每次收集的征信數據測量值是多維的，包括時間，地點和事件，用{,,…,}表示。利用skuencoden對征信數據paillier同態加密，加密后的征信數據簽名和加密數據的哈希值一同發送給DC，由DC將收集到的征信數據聚合形成區塊并請上鏈。

3.1.3 征信數據聚合

DC獲取到所管轄范圍內的LB發來的征信數據后由DC聚合加密所有數據，并對這些數據進行簽名然后生成數據區塊，向CDSB請求上鏈，在CDSB達成共識之后，將該聚合的數據存儲入CDSB鏈。

3.2 征信報告安全查詢

征信報告共享包括征信數據上鏈和征信報告共享兩部分，征信數據上鏈就是將DC獲取到的數據存入CDSB鏈上，征信報告的查詢即是終端用戶經過一系列的驗證解密后安全地查詢自己的征信報告。

3.2.1 征信數據上鏈

CDSB鏈上的節點被用來存儲聚合征信數據，節點內部不需要相互信任。在鏈中由CPC在內部選舉產生一個主節點，主節點只起共識過程的發起和引導作用，不具備任何共識中的投票優勢，主節點可以選擇由性能更強的服務器節點來擔任，而其余節點則作為此次共識過程的從節點。主節點收到DC上報的征信數據之后，先驗證身份的合法性，然后通過PBFT共識機制將其同步至CDSB。具體步驟：

（1）主節點將接收到的征信聚合數據整理后生成一個區塊，將數據寫入區塊，并簽名加上該區塊的hash，廣播至CDSB網絡如圖5所示。

圖5 CDSB共識過程Fig.5 Process of CDSB consensus

（2）從節點在收到新區塊后，將新區塊中的內容添加到自己新區塊中，對新區塊進行hash驗證，若通過驗證，則被廣播至CDSB網絡中。

（3）各節點不僅驗證主節點所廣播的區塊，還接收其他節點的驗證結果，若接收到的正確性大于2x+1，則認為該區塊有效，并將該區塊記錄至本地CDSB賬戶中（x為本鏈允許發生錯誤節點的個數）。

3.2.2 征信報告查詢

征信系統的穩定運行不僅需要征信數據的收集，更重要的是征信報告的查詢功能，每個人的征信數據應當被單一分類統計，以方便查詢，如圖6所示，征信報告的存儲結構上，采用的是“一人一鏈”的形式，每個有征信數據的人的征信數據都會被記錄到CDSB上，用戶每次有征信記錄時，征信報告鏈都會觸發更新操作，以保證征信報告的數據都是最新的數據。當用戶需要查詢征信報告時，由于鏈上數據是加密數據，首先需要進行嚴格的身份驗證，通過之后才能獲取到數據并用私鑰解密獲得解密后的征信報告。

圖6 征信查詢過程Fig.6 Process of credit inquiry

4 模型分析

當前對征信領域的研究比較少，將CDSB模型與當前存在模型從鏈結構、安全性、數據完整性、不可篡改性、征信報告查詢、有無可信中心、數據冗余程度進行特性對比，從表1可以看出CDSB模型具有一定的優勢。

表1 模型對比Table 1 Comparison of models

4.1 鏈結構

DCIS模型采用的是單鏈結構，傳統的一主多輔模型大都使用的是基于Hadoop的Zookeeper分布式文件系統未使用區塊鏈結構，DCIS模型采用的是傳統的單鏈結構，而CDSB模型采用的是雙鏈結構，數據的收集一條鏈，報告的查詢另一條鏈。

4.2 隱私保護性

傳統的存儲方式下隱私保護能力有限，隱私數據極易泄露這也是當前數據經常遭受泄露的主要原因，采用區塊鏈結構存儲的DCIS模型的隱私保護能力有所加強，而采用CDSB模型的雙鏈結構中所有的征信數據都經過了LB的加密，在傳輸過程是以密文的形式進行的，假如存在惡意攻擊的人，即使監聽到了也無法知道用戶的征信數據，并且用戶發生征信行為不是經常性的，即使被監聽且破解一次征信行為，數據的價值有限。

4.3 數據完整性

傳統的一主多輔的數據存儲方式中數據的完整性較弱，通常收集存儲的數據有限不能因人而異，收集模型比較固化難以更新收集方式。DCIS模型只是更換了數據的存儲方式，因此數據的完成性與一主多輔的存儲結構并沒有太大的區別。CDSB模型設置的背景就是用戶在銀行發生征信數據之前需要先注冊登錄方可進行征信活動，登錄之后，用戶只要發生征信活動產生征信數據就會被系統收集，因此CDSB模型的征信數據是最完整的。

4.4 可篡改性

在傳統的一主多輔的模型中，從服務器的征信數據主要根據主服務器的數據來調整更新，因此征信數據極易被非法篡改。DCIS模型中引入本地驗證節點群，這些節點群可以驗證數據的有效性，因此數據不易被篡改。被征信人的征信數據經過簽名后聚合上鏈，區塊鏈中的數據是經過多重哈希隱藏且被其他鏈記錄的，因此是不可篡改和偽造的，征信數據的完整性和真實性得以保證。

4.5 可信中心

傳統的基于一主多輔模型具有可信中心，可信中心通常是主服務器，征信數據易被篡改。基于DCIS模型的單區塊鏈的存儲方式中引入了區塊鏈的特點不具備可信中心不易被篡改。CDSB本質是聯盟鏈，使用PBFT共識機制，各節點之間不需要相互信任，其中的每個節點都記錄了整個賬本數據，以自己的數據為基礎做共識判斷，不會被欺騙。

4.6 及時性

傳統模型和DCIS模型的報告需要臨時檢驗數據的真實性并且臨時從數據庫中獲取生成，實時性較差。CDSB模型的數據采集過程及時，本模型設想當用戶發生征信數據時實時采集的模型，且征信報告的生成也是實時動態地生成的。

4.7 數據冗余性

傳統的一主多從模型的數據存儲需要通過備份多份相同的數據來確保當主服務器發生故障或者宕機時的征信數據的安全，DCIS模型為了確保數據的準確性和不易篡改而使用了備份節點，因此冗余度都較高，而CDSB模型冗余度則較低。

5 結語

互網絡的高速發展給征信的存儲方式帶來了新的挑戰，傳統征信數據的存儲方式弊端已經越來越顯現，而區塊鏈技術的迅速崛起又給新的征信存儲方式帶來了機遇，區塊鏈技術具有優秀的溯源，去中心化和隱私保護性能，本文提出了一種基于雙區塊鏈技術的征信數據存儲和報告查詢的方案，本方案通過多對加密解密算法解決隱私問題和數據真實性以及數據不對稱性問題，通過引入兩條鏈解決報告查詢緩慢問題。接下來的工作將著重于具體模型的實現，具體模型的實施可能會遇到很多的問題，希望本文在征信領域的探索能帶來一些啟發，在征信數據存儲和查詢方面能提供更好的解決方式。