基于區塊鏈的種質資源數據安全共享模型

孫昌霞， 馬於帥， FERNANDO Ba??o， 王少參， 張 蕾， 司海平

（1. 河南農業大信息與管理科學學院，河南 鄭州 450018； 2. 新里斯本大學信息管理學院，里斯本 1070-312，葡萄牙；3. 中國船舶重工集團公司第七一三研究所，河南 鄭州 450015）

0 引言

區塊鏈是若干個數據塊的集合，塊與塊之間通過哈希值相互關聯組成鏈。它是互聯網時代分布式存儲、點對點數據傳輸、共識機制、加密機制等一系列網絡技術的創新組合應用模式。互聯網的交易需要依賴可信的第三方交易機構，而區塊鏈技術基于密碼學的屬性使得任何得到共識的雙方都可以直接交易，不需要可信第三方的介入，并將所有交易記錄在鏈上，具有公開透明、不可篡改、可追溯等優點，有效地提高了交易的安全性，廣泛應用在數字金融、身份驗證、產品溯源、信息存儲和數據共享等場景[1]。2014 年以太坊將智能合約引入區塊鏈，區塊鏈在金融業開始發展，區塊鏈2.0 時代開啟。之后，將區塊鏈應用到其他領域并提供去中心化的解決方案，被定義為區塊鏈3.0 技術。

農作物種質資源作為國家發展的戰略性資源，承載著糧食安全和保障民生的重要職責，我國針對農作物種質資源的研究工作經過多年的發展，形成了系統性的種質資源管理工作流程。近年來，農業領域對區塊鏈技術的研究也逐步發展。劉海洋等[2]針對農作物種質資源的數據管理工作提出了一種基于區塊鏈的解決方案，研究了基于區塊鏈的種質資源數據管理方案、存儲方案、共識方案和加密方案。劉海洋等[3]提出了種業大數據中應用區塊鏈技術4 層層級架構，分析在種業大數據中應用區塊鏈技術的激勵機制、智能合約和密鑰機制。秦煥榮[4]依據區塊鏈技術的基本特征，討論在農作物種業研發生產過程中，運用區塊鏈技術保證種子來源真實性，實現種子研發生產環節的可追溯能力，解決種業市場中的監管難、品種偽劣等問題。由此可見，隨著區塊鏈技術的快速發展，其公開透明、安全可靠、可追溯和去中心化的特點為種質資源數據共享及管理工作提供新的研究方向[4]。

本文結合區塊鏈在信息共享、數據安全應用方面的優勢，利用區塊鏈中的以太坊架構結合IPFS（分布式文件系統）設計雙鏈存儲數據的種質資源安全共享系統，提出基于鏈上鏈下協同存儲模型及數據信息安全共享加密模型以供讀者參考。

1 關鍵技術

1.1 哈希函數和Merkle 樹

哈希函數是使任意長的輸入字符串變化成固定長的哈希值的一種函數[5]。哈希函數具備以下特性[6]。①抗碰撞性。已知x，找不到y使得H（x）=H（y），即沒有辦法篡改內容而又不被檢測到。②不可逆性。哈希函數的運算具有單向性，即可以通過x得到H（x），但由H（x）得不到x，即由哈希值無法推得原數據。

Merkle 樹是一種哈希二叉樹，該算法不直接計算所有哈希值，而是通過每個交易分別計算出哈希值，然后哈希值兩兩連接再計算出Hash，一直到Merkle 樹根部，其結構類似于二叉樹。

1.2 非對稱加密技術

非對稱加密技術是密碼學中常用的一種算法，在數據交易過程中起到安全保障作用。在非對稱加密體制中，信息需求者和信息發送者采用不同的密鑰，加解密過程中需要一對公私鑰對，若公鑰加密，則需私鑰解密，若私鑰加密，則需公鑰解密。常用的非對稱加密算法包括ECC（橢圓曲線算法）、DSA 算法（Digital Signature Algorithm）、RSA 加密算法等。優缺點比較如表1 所示。

表1 不同非對稱加密算法比較Tab. 1 Comparison of different asymmetric encryption algorithms

為方便調用，采用基于大數分解的RSA 算法，其具體描述如下[7]。

（1）選定兩個不同的大素數p和q，求得兩數的乘積n=pq，n公 開，p和q保密。

（2）計算n的歐拉函數 ?(n)=(p?1)(q?1)， ? (n)保密。

（3）任意選取一個隨機數e，1

（4）根據de=1(mod,?(n)) ，計算得d，d是保密的解密密鑰。

RSA 加密算法所依據的原理：根據數論，將兩個大素數的乘積進行因式分解十分困難，因此可以將乘積公開作為加密密鑰。e、n是 公開的密鑰。將 ? (n)作為密鑰嚴加保密。如果 ? (n)泄露，則RSA 非對稱加密算法的安全性將受到威脅。此外，RSA 加密算法的安全程度與p、q的長度呈正相關，長度越長信息交易的安全性越高。

1.3 以太坊

以太坊（Ethereum）是一個去中心化應用的平臺，它與比特幣區塊鏈的不同在于以太坊支持智能合約，可以發行自己的代幣，通過合約創建各種服務，然后部署到以太坊上，以此來為人們提供便利的服務。創立者Vitalik Buterin 于2013 年底發表了以太坊白皮書，把以太坊定義為下一代加密貨幣與去中心化應用平臺。以太坊提供許多模塊方便用戶使用，其中提供的IPFS文件系統、Ganache 客戶端、web3.js 庫等極大方便了本系統的構建。依托以太坊，用戶可以更加方便地進行去中心化應用的開發。

以太坊總體架構主要由去中心化應用、智能合約、以太坊虛擬機（EVM）、區塊鏈、P2P 網絡等構成[8]。EVM 編譯運行智能合約，RPC 提供外部應用調用合約的接口，web3.js 封裝了以太坊的JSON-RPC API，方便系統前端與合約交互。

1.4 智能合約

尼克·薩博（Nick Szabo）于1994 年提出了智能合約的概念：執行合約條款的計算機化交易協議。他是一段依賴事件觸發的計算機程序。在以太坊上部署的智能合約是執行在EVM 中的一段代碼，可以根據預先約定的規則自動執行操作。其規則對外部公開，任何人都可獲取合約內部規則及數據[9]。在合約中沒有任何隱藏交易或虛假交易信息，所有交易內容公開可見。區塊鏈技術具有公開透明、不可篡改的特點本質上都取決于智能合約。

1.5 IPFS

IPFS（Inter Planetary File System），中文名稱為分布式文件系統[10]。本質上是一種內容可尋址、點對點的分布式存儲、傳輸協議。在IPFS 中數據文件會被分割為固定大小的塊，分散地存儲到分布式節點中，同時文件產生一個唯一Hash 值作為尋址地址，并且有容災備份機制[11]。存儲進IPFS 的數據，可以通過IPFS 返回的Hash 值來查看。它不使用基于位置的尋址，而是基于內容的尋址，在分布式系統中有冗余備份，一定程度上能夠抵抗外界安全攻擊。IPFS 去中心化和防篡改的特點對數據存儲提供了一定的保證。

2 基于區塊鏈的數據共享系統模型設計

2.1 “鏈上鏈下協同存儲”模型設計

基于區塊鏈的種質資源數據共享模型重點解決數據的存儲和安全性問題。由于種質資源數據相對繁雜、體量較大，而區塊鏈鏈上存儲能力較弱，過量冗余數據很容易影響區塊鏈的共享效率，對此，首先探討基于區塊鏈的種質資源數據存儲模型。

將數據信息按照區塊鏈的數據結構存儲到區塊鏈上是利用區塊鏈技術構建作物種質資源數據安全共享系統的基礎。基于區塊鏈技術構建的農作物種質資源數據安全共享系統中要存儲的數據總體上分為種質信息數據存儲和用戶信息數據存儲兩大類型。

農作物種質資源數據龐大并且復雜，基于區塊鏈的種質資源數據共享系統首先要考慮按照國家種質資源數據標準規范全面且合理地提供種質資源數據信息，其次要結合區塊鏈數據存儲結構的具體特征進行存儲。另外，本系統面向農業工作者、科研人員、政府部門提供種質資源數據信息，為保證數據共享過程的安全性，防止一些重要數據信息被篡改或泄露為他人所用，要對使用該系統的用戶進行信息登記并嚴格保護用戶隱私數據信息，由此產生另一部分數據信息。由于區塊鏈所有數據均由每個節點備份，鏈上過多的冗余數據量會降低共識效率、額外增加各節點存儲、計算成本，這也是區塊鏈架構的基本弊端。因此引入分布式文件系統記錄數據描述等非關鍵信息及通過權限驗證后的數據訪問方式。本文設計的協同存儲模型如圖1 所示，將種質資源數據概要、用戶信息概要及兩種數據詳情的Hash 值存儲于鏈上，在鏈下（IPFS）存儲種質資源的詳細數據（如屬性、名稱、來源等關系型數據文本）和種質資源數據訪問用戶的關鍵隱私數據（如具體單位、聯系方式、地址、電話等）。根據Hash 值可以快速地索引找到鏈下存儲的具體信息。

圖1 基于區塊鏈網絡和分布式文件系統的存儲模型Fig. 1 Storage scheme based on blockchain network and distributed file system

此模型采用區塊鏈與IPFS 系統結合，在IPFS 中存儲用戶信息，在區塊鏈中存儲IPFS 返回的Hash 值。區塊鏈的后一個區塊的塊頭中存儲了前一個區塊的Hash 值，由于哈希函數計算過程是單向的，所以區塊鏈上的數據很難被篡改，保證了鏈上數據的安全。各種質數據數據源由各數據提供方負責管理與維護，只需要將詳細描述和共享協議以文件形式放入分布式文件系統網絡，并在區塊鏈上發布數據概要，綁定數據所有權。其余用戶需要數據時，從鏈上根據類型或概要關鍵字檢索到數據，通過分布式文件系統定位數據描述，在鏈上進行數據交互。鏈上鏈下采用加密后的訪問方式進行訪問。加密后的文本存入IPFS 文件系統，代碼如圖2 所示。

圖2 加密存儲部分代碼Fig. 2 Some codes of encrypted storage

2.2 區塊鏈安全設計

基于區塊鏈的農作物種質資源數據安全共享模型中，在用戶上傳種質資源數據和用戶隱私保護過程中需要用到信息加密技術。種質資源數據共享是一個多方參與的共享數據管理模型，通過非對稱加密技術，可以保證種質資源數據信息提供者在種質資源數據的上傳共享過程中數據的來源準確可靠性，可以實現在種質資源數據共享鏈上的數據加密、防篡改、可控，使種質資源共享數據更好地傳播在區塊鏈的各個網絡節點中，確保種質資源數據在共享的同時保證各網絡節點的隱私信息。

本文研究的區塊鏈中采用RSA 算法來完成數據的加密，RSA 公開密鑰密碼體制原理是根據數論，尋求兩個大素數比較簡單，而將它們的乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。參與種質資源數據共享的用戶節點通過區塊鏈非對稱加密技術生成的公私鑰進行交互，公鑰作為公開的地址，私鑰由各方保存。用戶在共享數據時采用私鑰對信息進行加密，確定該信息的真實性，如發布數據過程中采用私鑰對數據描述、訪問方式等信息進行加密，以交易的形式保證數據版權[12]。當需要雙方進行授權交互時，對私密信息可進行公私鑰加密，使用RSA 算法數據加密存儲及解密流程如圖3 所示。①需要上傳的種質數據或用戶身份數據經過RSA 加密算法用公鑰進行加密，得到密文。②將密文轉化為Buffer 字符流，調用IPFS 的api 接口存儲進IPFS 中，得到IPFS 返回的Hash 值。③數據上鏈，調用web3.js 接口將其存入智能合約。④前端下達需求命令，調入web3.js 接口，從智能合約Hash 字段里獲取Hash。⑤調用IPFS 的api 得到密文。⑥私鑰解密得到原始的用戶身份信息和種質資源數據。

圖3 加密解密流程Fig. 3 Encryption and decryption process

2.3 系統整體架構

基于以太坊整體架構主要分為數據層、區塊鏈層、智能合約層、業務層和表現層，如圖4 所示，通過智能合約實現功能邏輯，其中區塊鏈節點和IPFS 節點需要下載配置環境來使用[13-14]。區塊鏈層中，共識機制作用是由于區塊鏈是由若干個節點組成的分布式系統，在系統數據上鏈的過程中最終是以其中某一節點的結果為準，并會為該節點提供激勵機制，所以要使用共識機制保證數據可靠性，得到所有節點的共同認可。P2P組網用來保證區塊鏈每個節點擁有相同的權限，每一個用戶節點都會承擔網絡路由、數據記錄、數據傳播和數據提交的功能。系統的開發主要集中于智能合約層、業務層和應用層。智能合約層作為整個系統的核心大腦，提供系統主要的邏輯功能，以此完成系統的功能實現。

圖4 系統架構Fig. 4 System architecture

系統采用Solidity 語言編寫智能合約，通過智能合約來進行數據信息存儲，完成系統的信息存儲、信息修改等功能。業務層提供系統的后端邏輯，利用node.js、web3.js、ipfs-api 接口與智能合約、區塊鏈網絡和IPFS 節點進行通信。前端利用html+css+JavaScript 的前端框架編寫模塊化的頁面應用。

2.4 智能合約交互結果

智能合約作為業務邏輯層，處理前端發送的操作，而前端與智能合約交互需要使用web3.js 提供的接口。系統中圖片、文檔等數據類型的存儲則需要前端與IPFS 交互，需要ipfs-api 接口。調用非對稱加密算法RSA 為數據加密則需要crypto-js 加密算法庫。系統與智能合約、IPFS 節點交互模式如圖5 所示。

圖5 交互模式Fig. 5 Interaction mode

系統在前端通過web3.js 提供的接口創建智能合約的實例，通過實例調用智能合約的函數。當有數據存儲進IPFS 時，則需要調用ipfs-api 提供的接口，把需要存儲的數據傳到IPFS 節點上，并把IPFS 返回的哈希值存儲到智能合約上。通過執行“ipfs cat”命令，可以驗證參與種質資源數據共享的用戶身份信息數據已成功存入IPFS 節點，成功存入一條數據便可查看得到返回的哈希值，如QmWFLcVbaNRFiG8pJGa3BCC8BZ4FsW ssM9qpTaJGacaWG3。

系統的業務邏輯層與前端界面交互需要使用node.js 進行模塊引用。然后利用Ganache 在構建初始分配的10 個有虛擬以太幣的賬戶，方便系統開發時的調試運行。Ganache 是一個運行在個人桌面上的以太坊開發者的個人區塊鏈，方便區塊鏈的開發。用命令行進入項目后，即可開始部署項目。執行編譯合約、部署合約命令。在執行編譯命令后，開始編譯系統中未編譯的合約，把智能合約編譯為EVM 能夠執行的字節碼文件，編譯后生成.json 文件，這個文件在JavaScript 中可以調用合約實例。編譯后進行部署合約，執行部署合約命令，即可把編譯好的合約部署鏈上。

2.5 數據加密存儲實現

參與種質資源數據共享的用戶數據屬性包括用戶名、身份證號碼，具體地址、工作單位、聯系電話等信息。表2 給出3 位用戶信息加密后的密文結果和存入IPFS后返回的Hash 值結果。

表2 身份信息存儲結果Tab. 2 Identity information storage results

基于區塊鏈的種質資源共享系統中，用戶體系模塊由用戶注冊登錄和身份信息認證組成，提供用戶準入和安全交互功能，具體采用基于區塊鏈的賬戶密鑰技術保證賬戶安全，使用IPFS 存儲用戶的詳細信息。用戶注冊區塊鏈賬戶，獲得公私鑰；根據具體規范，將個人信息以文件形式存儲于IPFS 并獲得該文件Hash 地址。此模塊要實現驗證用戶身份并登錄功能，因此需要用戶輸入自己的賬戶及密碼來驗證。其中賬戶可以是用戶的賬戶地址也可以是用戶名，因智能合約中同時保存了用戶名和賬戶地址，并存在用戶名到賬戶地址的映射及所對應的查找函數，所以用戶可以根據用戶名登錄，系統在登陸時判斷用戶輸入的是地址還是用戶名，若是用戶名，則先利用智能合約中的用戶名到地址的映射，找到用戶的地址，然后在區塊鏈中查找到用戶對應的信息，跳轉到用戶信息模塊，至此驗證身份完成。

以上內容主要運用區塊鏈中的以太坊技術結合IPFS，研究基于區塊鏈的種質資源數據共享模型，提出基于鏈上鏈下協同存儲的數據存儲模型及數據信息安全共享加密模型，在IPFS 節點上存儲數據詳細信息，在區塊鏈上存儲數據加密后的Hash 值。基于以太坊框架框架設計智能合約交互方式，給出種質資源數據共享用戶隱私信息存儲結果。結果顯示，對于種質資源數據共享的用戶信息管理環節，用戶身份可以得到有效驗證，隱私數據信息可以安全存儲。

3 結論

大數據時代農業數據已經成為推動現代化農業發展的重要資產和價值源泉，區塊鏈技術自身尚處于快速發展的初級階段，作為搭建去中心化數據管理方案的核心技術，已經融入到眾多行業的數據管理工作中。目前區塊鏈技術的應用研究開始發展到“區塊鏈3.0”時代，將區塊鏈技術應用到大數據資源領域進行數據的共享利用是目前區塊鏈技術應用研究的主要領域之一。對于現代化農業研究領域的大數據資源，基于區塊鏈的種質資源數據安全共享模型，能充分利用區塊鏈技術具備的天然可信性、安全性，基于以太坊架構，引入非對稱加密技術保證數據安全，提高共享效率，進而使種質資源數據可以得到更好的利用。