基于區塊鏈的數據安全防御能力技術研究及應用

樊淑炎，賽穎夫

（內蒙古電力（集團）有限責任公司信息通信分公司，內蒙古 呼和浩特 010000）

隨著互聯網時代的發展，各行各業對網絡安全的要求越來越高，企業運營過程中數據無時無刻不在產生，同時在生活中，視頻、圖片等數據在社交平臺、線上支付等過程中隨時隨地生成，這些海量數據中隱藏著巨大的價值，包括個人隱私，從而產生數據權屬與數據安全等多方信任問題。

在數字技術不斷發展背景下，數據交互與數據共享的數據信息越來越龐大，如何確保數據安全成為社會各界密切關注的重點內容，將區塊鏈技術融入到其中，充分發揮其不可篡改、可信度高等優勢，解決過去由于中心化機構出現的信任問題，從而為跨部門、跨企業數據交互、數據安全、成果認定提供技術支撐。

區塊鏈本質上是一個去中心化的數據庫，通過透明和可信規則，對防偽造、防篡改的塊鏈式數據結構加以構建，為不同領域展開多方協作提供有力支撐。密碼學是區塊鏈技術的核心之一，因此區塊鏈技術可以有效解決隱私保護、身份認證、攻擊防御等問題，并極大保障網絡信息安全性。本文從研究區塊鏈核心技術入手，對區塊鏈技術在數據信息安全領域中的實踐應用進行研究，在有效保障數據信息安全的同時，推動數據安全防御能力的逐步提升。

本文針對當前中心化數據共享平臺存在數據溯源困難、數據責任劃分不明確、數據安全等問題，從支持DNS 架構、緩解DDoS 攻擊、數據保護、崩潰恢復等方面入手，對區塊鏈技術在數據信息安全領域中的實踐應用進行細致設計，在有效保障數據信息安全的同時，推動區塊鏈技術朝著更加深入的方向發展。

1 區塊鏈技術

區塊鏈是一個信息技術領域的術語，實際上是一個共享數據庫，存儲其中的數據信息具有全程留痕、不可篡改、后期可追溯等特征，基于這些特征也為區塊鏈技術奠定了較好的信任基礎。隨著近幾年科學技術不斷發展，區塊鏈共識機制、數據儲存、加密算法、智能合約等核心技術發展較為活躍，并為區塊鏈技術應用和發展奠定良好基礎。

本文通過以下幾種核心技術的研究及應用，實現基于區塊鏈的數據安全防御機制。

（1）共識機制。由于區塊鏈是一種分布式記賬技術，在開展工作時沒有一個中心對多方協作進行指揮和協調，為了更好解決數據錄入和同步數據問題，由一個共識機制發揮作用，比較常用的共識機制有PoS 權益證明、Paxos 算法等[1]。

（2）數據儲存。區塊鏈中的每個區塊都詳細、準確地記錄了自創建日期起所有的交易信息，并嚴格按照時間順序生成和連接成鏈，在區塊頭主要儲存了區塊的多項特征值，如：時間戳、哈希值等，區塊體中則儲存了各種交易數據信息。

（3）網絡協議。在網絡層上，區塊鏈多采用P2P 協議，通過多個節點構成網絡結構，在該結構中每個節點都處于平等位置，并且可以實現資源共享。

（4）加密算法。在區塊鏈中應用較多的是哈希算法和非對稱加密算法，運用哈希算法實現去中心化計算，有效保護區塊鏈系統安全性，非對稱加密算法包含公開密鑰和私有密鑰兩部分內容，其中進行信息交換由一方進行公鑰或私鑰加密，另一方使用對應私鑰或公鑰完成解密[2]。

（5）隱私保護。考慮到區塊鏈上儲存數據信息具有公開可見特征，為了取得隱私保護效果，通常會運用一串無意義數字作為代號，但是這種方法可能會被破解，融入混幣、環簽名等技術，進一步增強區塊鏈隱私保護。

（6）智能合約。作為一種特殊協議，利用程序算法代替人對合同內容進行貫徹執行，在開展安全、可追溯交易時減少對第三方的依賴。

2 基于區塊鏈的數據安全防御系統設計原則

結合區塊鏈技術特點確保平臺建設的先進性、成熟性和可實施性，同時遵循如下原則：

（1）網絡化誠信原則

區塊鏈通過密碼學建立了一套共識系統，通過為數據加時間戳的方式來驗證價值的唯一性。通過時間的唯一性來確保價值的唯一性。

（2）分布式系統原則

通過分布式網絡，區塊鏈網絡組織了一場較為公平的協作，網絡中的所有節點共同維護這套系統。

（3）安全性原則

區塊鏈網絡通過非對稱加密技術來保證系統的安全性。非對稱加密技術為數據提供了一個公匙和一個私匙，只有私匙才能具有對數據的支配權。黑客是無法獲取到私匙的，除非用戶泄漏了自己的私匙。

（4）隱私保護原則

在區塊鏈中，別人并不知道某條數據的歸屬人是誰。并且用戶個人的數據只能通過私匙才能訪問到他們的數據。

（5）權利保護原則

通過代碼編寫智能合約可以將規則或者法律數字化、代碼化，用戶利用自己的私匙對合約進行簽署，只有滿足了對應的條件才會執行合約的內容。

（6）包容性原則

在區塊鏈網絡中，每個節點的權利都是平等的，無論你在現實世界中是商業大亨還是街頭小販，都必須遵守同樣的規則。并且任何人都可以參與到整個網絡的建設中來，不需要你提供真實身份證明、信用證明、財產證明等，這是一場全人類都可以參與的事業。

3 基于區塊鏈的數據安全防御能力技術特點

（1）實現去中心化的數據共享，將密碼學、訪問控制等信息安全技術應用于數據共享過程中的身份認證、數據加密和權限控制。

（2）數據共享過程中數據不出庫。數據提供方不必將數據保存到第三方，需要使用數據的用戶將用于數據查詢分析的應用程序部署到數據提供方節點上，數據的共享、使用在數據提供方節點上完成，數據提供方擁有數據控制權。在共享過程中使用隔離技術來完成計算，保障數據安全。

（3）使用區塊鏈作為可信的第三方數據庫，記錄數據的歸屬權及使用記錄，實現了數據確權。同時區塊鏈提供查詢服務，供每個參與方發現數據共享系統中的所有參與方。

（4）具有通用性、可擴展性、魯棒性，并不局限于某些特定領域和某些特定的數據內容，用于不同數據共享的業務場景。同時動態地增加數據共享的參與方，并且部分節點的宕機并不會影響整個系統的運行。

（5）構建多主體間數據可信協作機制。基于區塊鏈的共識機制和分布式賬本技術，提供存證、取證、合約等服務接口，將各主體的關鍵業務數據上鏈存證，防止數據篡改，解決數據保密以及互信的問題，彌補數據安全方面的信任缺失，為數字服務構建了更加值得信任的基礎設施，有助于提升多主體間的協同效率。

（6）實現數據共享和全生命周期溯源。針對不同業務場景的數據一致性問題，記錄每一個區塊鏈及相關存儲節點，達到唯一化標記，從而實現數據從產生、傳輸、存儲，到共享應用的全生命周期標記，保障數據在不同環節應用的唯一性，實現相關主體共享協同和業務數據的全生命周期可溯源。

模型（Ⅰ）使用信息熵做約束條件，在一定程度上做到分散化投資的效果，但是其未考慮投資者對風險的厭惡程度以及投資過程中對單個資產投資比例控制的因素，不利于投資者在收益與風險中做權衡以及單個資產投資比例的控制，因此我們在模型中加入風險厭惡因子λ，同時考慮單個資產投資比例控制最低限和最高限，建立不確定性均值—方差—熵投資組合模型如下：

4 基于區塊鏈的數據安全防御能力技術實施及應用

4.1 支持DNS 結構

4.1.1 構建鏈上的信任體系

通過支持DNS 結構，構建鏈上的信任體系，保障數據安全。區塊鏈最擅長的是記錄交易，當區塊鏈中的交易被確認以后，想要進行篡改難度比較大。區塊鏈DNS 就是利用了這個特性，在保障網絡信息安全時，可以充分利用區塊鏈這一優勢特征，將域名、IP 地址相對應操作記錄在區塊鏈當中，同時取得全網不可篡改共識，所形成的交易記錄就可以較好保存域名服務器相關信息，實踐中可以對去中心化區塊鏈技術的域名服務器加以使用，不僅可以防止緩存投毒情況出現，還能夠支持域名管理。

4.1.2 以區塊化的客觀邏輯判斷智能合約

在底層的交易區塊鏈建立虛擬的分布式數據庫，通過區塊鏈的網絡節點建立起專用虛擬鏈，解決區塊鏈節點能讀取到操作原文但無法解析的問題。通過查詢解析新建的虛擬分布式數據庫地址，解決現在集中式的DNS 受到攻擊可能導致網絡大面積故障的問題。

解析地址和真實IP 地址的對應關系是客觀存在的智能合約，并記錄在數據庫中，區塊鏈的DNS 主要做法是實際形成了“控制和數據”分離的模式，合理利用了區塊鏈擅長交易的特點，且將最終解析關系的數據庫集中放在云端，而不是“鏈上”，有效避免鏈上分布式數據庫存在的缺陷。

4.2 緩解DDoS 攻擊

為了緩解數據可能受到的DDoS 攻擊，主要做法是通過區塊鏈的分布式數據庫拒絕攻擊服務將多個計算機有效聯合起來，使之作為攻擊平臺發動攻擊，實踐中也可通過發送大量合法請求，對目標網站主機資源進行大量消耗，被攻擊以后的目標對象無法繼續提供正常服務，而利用區塊鏈技術允許用戶加入到分布式網絡中，起到緩解DDoS 攻擊作用，還可以通過出租額外帶寬方式，對出現流量過載的網絡提供支持。

4.3 邊緣計算設備保護

由于邊緣計算的網絡體系和網絡環境比較龐大且復雜，實現對邊緣計算設備的隔離和保護，不僅工作量十分巨大，而且需要投入大量成本，若不對其實施保護，邊緣計算設備遭受入侵、攻擊的機率也會升高，并對整個網絡運行安全產生不良影響。同時，如果邊緣計算終端設備沒有構建身份認證體系，攻擊者就可以通過病毒傳播、惡意軟件等方式，對網絡正常工作進行破壞[3]。本文提出利用區塊鏈技術，對邊緣計算不同域、終端設備分發數字證書，設置數據和功能權限，以保障運算和儲存環境安全、可靠。

4.4 數據保護

數據保護是指對政府、企業或者個人的重要數據進行保護，防止在通信過程中因為數據泄露而導致的危機及損失。在日益復雜的數據恢復環境中，數據保護策略方面更加嚴峻和重要。通過區塊鏈核心技術可以有效解決數據安全保護的問題，通過區塊鏈構建的分布式賬本具有不可篡改特征，同時可以采取加密、權限控制等方式，對數據完整性、機密性加以保障，使各項信息數據在傳輸過程中不會被未經過授權的用戶進行訪問。同時，用文件簽名代替傳統簽名，攻擊者無法對數據、文件進行偽造和竊取，而存在于區塊鏈上的儲存數據鏈條是環環相扣的，每新加一環前一環數據特征值也會在新的環節上進行記錄，只需對前后兩環特征值進行驗證，就可以準確判斷出原始數據信息是否出現篡改情況，既實現了數據的前置保護機制，也能提供數據可能發生的篡改后追蹤，以保障后續數據安全防御針對性的提升。

4.5 隱私保護

在互聯網領域，個人隱私問題早被廣泛關注。隨著大數據時代的到來，這一問題更加突出，影響范圍也更加廣闊。眾所周知，大數據的收集、處理以及應用安全是依賴于因特網，而因特網在傳輸信息時有著明顯的及時性、交互性和多元性等人機傳播方式及大眾傳播方式等特點，非常具有隱蔽性，這也導致了其信息在傳輸過程中出現了許多侵權行為，尤其是在個人隱私傳播方面表現的更加明顯。在大數據時代下，傳統個人隱私保護手段中的告知與許可、匿名化與模糊化逐步被破壞，個人隱私也受到了前所未有的威脅。數據安全防御中如何從根源上進行隱私保護，以及篡改后的追蹤是一大難題。本文通過區塊鏈技術的分布式結構、可追溯性等特性，實現用戶有效隱私保護。主要做法是，在區塊鏈中，涉及到的用戶隱私數據被隨機發布到分布式賬本中，僅通過入侵單一節點無法對用戶所有數據進行搜集，實現了對用戶數據的有效保護。同時，通過區塊鏈可追溯性特征，所有采集、交易、流通等數據都準確記錄在區塊鏈上，數據篡改不僅難度高，還容易被發覺，并且各節點之間進行數據交換，也要建立在地址上面，進行交易的雙方可以采取匿名方式進行，可以防止個人隱私信息遭到泄漏。

4.6 崩潰恢復

數據傳輸中出現的數據冗余、容錯、遭受外部攻擊導致的崩潰問題，可以通過區塊鏈核心技術得到有效治理。主要做法是，將區塊鏈上的所有數據均分布在對等節點之間，并且每個用戶都有權利對數據完整副本進行生成和維護，盡管可能會出現數據冗余情況，但是可以極大保證數據可靠性，網絡的容錯性也會大大增強，即便是某些節點遭受到外部攻擊，也不會對其余網絡造成破壞，進行崩潰恢復也會更加快速和簡單。

5 結束語

隨著互聯網和物聯網深入應用與發展，數據已經成為重要的資源財富。傳統數據管理由中心化機構進行管理，存在著極大的數據安全和數據共享問題。區塊鏈技術可以充分發揮其區塊鏈分布式結構、不可篡改、可追溯等優勢特征，并利用區塊鏈核心技術，有效解決非攻擊防御、身份認證等問題。本文基于區塊鏈對數據安全防御能力技術進行了研究與應用，解決當前數據交互、流通、共享、安全防御中存在的攻擊防御、數據保護、崩潰恢復等問題，緩解DDoS 攻擊，使用戶信息、重要數據等均得到全面有效的保護。