基于區塊鏈和IPFS 的監控信息隱私保護機制

王路陽，郭宇，朱依水，段宗濤

（長安大學 信息工程學院，陜西西安 710064）

隨著大數據時代的到來，隱私問題逐漸突顯出來，越來越多領域涉及到個人隱私，社會對個人隱私泄露等問題的重視程度不斷增強，如果忽視了對個人隱私的保護，可能會帶來財產安全、人身安全的威脅。現階段監控安裝與信息保存基本由個人進行管理，沒有統一的機構或者平臺進行管理，監控隨意安放，造成個人隱私大量泄漏、侵權等問題，引起了社會關注。針對目前監控管理不佳帶來的隱私泄露問題，該文提出一種基于區塊鏈和IPFS的監控信息隱私保護機制。

1 相關研究

該文將區塊鏈技術、IPFS 技術運用到監控信息的隱私保護之中，目的在于統一管理監控信息，在一定程度上降低隱私泄露的風險。

1.1 隱私保護

Meiko[1]提到了大數據環境下的隱私問題比較突出，當前應該重點研究怎么保護隱私。目前提出了幾種大數據安全與隱私保護關鍵技術[2-6]，包括數據發布匿名保護技術、社交網絡匿名保護技術、數據水印技術、傳統車聯網身份認證系統等，并且只有將技術手段與相關政策法規等相結合,才能更好地解決在大數據環境下的隱私保護問題。

1.2 區塊鏈技術

區塊鏈是一個分布式的共享賬本，并且也是一種加密分布式數據庫，其中智能合約應用于多個領域[7-8]。在該設計中，每個監控用戶都是區塊鏈的一個節點，各個節點中都可以上傳信息到區塊鏈。使用區塊鏈技術可以方便用戶直接有效地上傳信息到區塊鏈數據庫，并且提高數據的安全性，避免使用傳統數據庫所帶來的數據泄露風險及較為繁瑣的操作。

文獻[9-11]提到了物聯網中的隱私問題，認為區塊鏈技術可以提供強大的隱私保護機制，并將區塊鏈技術和物聯網融合來解決部分隱私問題。平中[12]等認為區塊鏈智能合約在未來的發展中要保持其不變性，并將其運用到保護用戶隱私中，提出一個受隱私保護的區塊鏈系統，其中所有數據在約定的時間內被加密。章寧[13]等提出了一種將區塊鏈技術運用到出租車乘客的隱私保護方案，能夠有效防止乘客在打車軟件中的隱私泄露。

1.3 IPFS網絡

星際文件系統（InterPlanetary File System，IPFS）是用于分布式存儲和共享文件的網絡傳輸協議，在區塊鏈中利用IPFS 網絡、哈希的特征，極大地減少了區塊鏈數據，降低了以太坊的鏈規模增長[14]。Kumar[9]、Sun[15]等提出將區塊鏈和IPFS 結合用于儲存患者診斷報告等數據。目前已有部分研究將區塊鏈和IPFS 結合用于某個領域[16-18]。

2 模型設計

基于區塊鏈的監控信息隱私保護模型設計將監控信息儲存的位置與監控所有者進行分離。首先，監控所有者將監控信息提交到MAS 系統中，MAS 系統對數據進行加密后上傳到IPFS 網絡中；其次，將上傳的數據生成的hash 寫入區塊鏈中進行保存。當申請人需要查看監控信息時，在MAS 系統中進行申請，通過系統的授權方可獲取信息。該文使用IPFS網絡、區塊鏈以及MAS 系統來進行監控信息管理。

2.1 MAS模型設計

多Agent 系統是由多個Agent 組成的系統，單個Agent 是可以在特定環境中進行交互和通信的自治實體。在提出的模型中，涉及到的對象是各項任務（包括上傳監控數據、申請查看監控數據）、區塊鏈、IPFS 網絡，根據對象特征，設計4 種類型的代理，分別是主代理、授權代理、數據清理代理以及加解密代理，構成了多代理系統（MAS）模型。

主代理：與其他3 種代理進行交互。接收用戶（包括監控所有者和申請查看監控信息人員）發送的任務請求，根據不同的任務類型作出對應的處理，具體包括以下幾個任務。監控所有者上傳監控數據請求，對上傳的監控數據的特征值（包括上傳地址、上傳時間、視頻數據時間范圍等）進行判斷，如果時間范圍已存在，則將任務返回給監控所有者，在數據一切正常的情況下，將數據寫入IPFS、區塊鏈的操作，同時將請求發送給數據清理代理。接收申請人提交查看監控數據請求，并將請求發送給授權代理。接收到授權代理發來的授權通知后，將數據信息發送給加解密代理，將解密后的數據發送給申請人。

授權代理：授予申請人查看目標監控的權限。接收到申請人發來的申請查看請求（包括申請人地址、角色分類），調用權限控制智能合約，根據角色類別決定是否授予查看權限。

數據清理代理：對監控所有者上傳的視頻數據作定期清理。接收到用戶發來的請求，根據監控視頻的上傳時間，在IPFS 網絡中清理監控所有者3 個月前上傳的監控數據

加解密代理：對上傳的視頻數據進行加解密處理。

2.2 設計方案

該文設計了一種基于區塊鏈和IPFS 的監控信息隱私保護機制，通過各個角色之間的交互行為進行數據傳遞。在IPFS 數據庫、MAS 系統以及區塊鏈智能合約機制的共同作用下，一定程度上能夠防止監控信息被隨意泄露，從而保護了被監控者的隱私信息。隱私保護機制模型系統框圖如圖1 所示。

圖1 隱私保護機制模型系統框圖

基于區塊鏈的隱私保護系統架構中存在如下幾個角色：

監控所有者（該文用U 表示）：監控所有者是擁有監控設備的人員，具有的功能權限包括授予和撤銷MAS 系統的數據共享權限、上傳監控信息到IPFS網絡。

IPFS 數據庫（該文用D 表示）：存儲監控信息的數據庫。

區塊鏈（該文用B 表示）：存儲監控數據對應的hash 值、錄入監控所有者的信息、審核申請人的角色權限。

MAS 系統（該文用A 表示）：多個代理組成的MAS 系統用于管理監控信息，具有的功能權限包括上傳監控信息、接收申請人的查看監控申請、提供對應的目標監控信息。

申請人（該文用S 表示）：包括監控所有者申請人、管理員申請人和其他申請人，各種申請人可以在MAS 系統中提出目標監控查看申請。

2.3 加解密工作流程

2.3.1 相關信息加密上傳

用戶（監控所有者（possessor)、管理者（Administrator））在平臺注冊后，MAS 系統根據用戶個人信息、注冊時間、注冊地點、角色類別通過MD5 加密生成唯一的用戶ID，包括possessorID、AdministratorID。

為了確保用戶身份信息、監控信息在生成和上傳中不被篡改，方案中使用GPG 加密工具生成公鑰、私鑰，因此，用戶在系統上注冊后將會得到初始的3 個數字密碼，包括唯一的用戶ID(possessorID/AdministratorID)、公鑰(publicKey)、私鑰(privateKey)。

當監控所有者需要將監控信息上傳時，將利用公鑰（publicKey）完成對信息（message）的加密，得到加密文件（EncryptedFile）；將加密文件上傳到IPFS網絡后返回一個Qm 開頭的Qmhash，再對加密文件和IPFS 返回的Qmhash 使用MD5 加密算法，得到新的唯一的Newhash，隨后將Newhash 當作索引保存在區塊鏈中。

2.3.2 監控信息獲取解密過程

當需要調取監控信息時，需要獲取Newhash，通過管理者的私鑰進行解密后獲取Qmhash，通過Qmhash 從IPFS 中下載對應的視頻文件。下載得到相關信息的加密文件，除管理員外其他人無法解密，只能夠允許在系統上注冊過的管理員所持有的privateKey 才能解密，得到解密文件DecryptVideo，保證了信息的安全性。

2.4 模型工作流程

基于區塊鏈的隱私保護系統的工作流程涉及各個角色，這些角色都積極參與其中，中間某一環節出現問題，都無法完成最后的監控查看工作，具體工作流程如圖2 所示。

圖2 隱私保護機制模型流程圖

核心流程說明如下：

用戶登錄：角色包括監控所有者、管理員、申請人。

監控所有者上傳監控信息、申請人獲取權限：MAS 系統連接IPFS 網絡，監控所有者通過MAS 系統上傳監控數據到IPFS 網絡。數據上傳到IPFS 網絡中后會生成唯一的hash，MAS 系統對返回的hash 進行加密，隨后將加密的hash 值加入到區塊鏈中。申請人如果想要查看監控內容，必須通過MAS 系統申請并獲得授權，不可以直接查看。被查看監控信息的時間、次數等信息會被MAS 系統記錄到數據庫中。監控所有者如果允許自己上傳的監控信息被其他申請人查看，其必須向MAS 系統授予數據共享權限，否則撤銷數據共享權限，除管理員外其余角色不可以查看監控信息。

查看監控：申請人在MAS系統中申請。申請人要查看需要的目標監控數據信息，必須在MAS 系統中提出申請，并通過授權。申請和查看的基本流程是申請人向MAS 系統發起申請查看監控命令，MAS 系統調用權限控制智能合約，核實申請人的權限，驗證成功后從區塊鏈中調取監控信息的hash 等信息，隨后從IPFS 網絡中找到對應數據，并將文件解密后發給申請人。如果驗證失敗，則提示申請人無查看權限。

授予和獲得權限：監控所有者和管理員注冊后，MAS 系統將其身份信息傳入權限控制智能合約，合約通過提前設置的程序自動錄入兩者的權限信息。

3 模型實現

3.1 數據存儲

IPFS 網絡有能力儲存大量文件，不像傳統的數據庫儲存模式，用戶在IPFS 網絡上傳文件后直接形成一個Qm 開頭的hash 值，其他人想要訪問這個文件只需要知道對應的hash 值即可。

由于MAS 系統與各參與者都有交互行為，所以A 需要儲存交互時需要的一些必要信息。對MAS 系統進行定制化設計，需要用到的信息主要包括使用GPG 工具生成的公鑰及私鑰、上傳到IPFS 網絡中的視頻文件對應加密后的hash 值、視頻文件在區塊鏈中的地址、用戶的ID 等。

數據庫涉及與監控所有者、申請人、IPFS 網絡、區塊鏈進行交互，完成數據交互操作，具體交易過程通過數據庫中定義的方法實現，方法分為自定義的方法和通用的方法，其角色類圖、角色方法（圖中XID 表示X 的地址ID，僅用于傳遞普通的明文或加密信息，比如U 的郵箱地址）如圖3 所示，方法描述如下:

圖3 MAS系統UML類圖

generate(V) 生成密鑰V。該設計中需要生成非對稱密鑰。非對稱密鑰中的公鑰用于對信息加密，私鑰用于對信息解密。采用GPG 加密工具生成公鑰和私鑰。

send（X，Y）將信息Y 發送給角色X。Y 中包含需要發送的具體內容。

read（Y）讀取IPFS網絡、區塊鏈中的Y信息內容，一般是通過搜索對應的ID 值、hash 值來找Y 信息。

write(Y)將信息Y 的內容寫入區塊鏈數據庫中，Y 中包含區塊字段的所需信息，生成對應的區塊字段。

check（X）驗證角色的權限，查看角色是否可以讀取監控信息，一般使用if 語句，用true、false 返回對應的值。

accredit(X)授予特定用戶“查看監控信息”權限。

hash（X）哈希計算函數，將信息X 進行哈希計算得到一串哈希值。

3.2 智能合約

區塊鏈的智能合約是該設計的核心部分，主要功能是審核申請人是否具有查看權限。在MAS 系統中，設定所有注冊后的監控用戶和部門都是以太坊用戶。用戶加入系統時，以太坊將唯一的私鑰分配給用戶，這個私鑰將用于智能合約中的參數。在MAS 系統部署權限控制智能合約在以太坊公鏈上，并創建智能合約中的功能，具體功能有錄入監控所有者的信息、審核申請人的角色權限。

權限控制智能合約由主合約與兩個子合約組成，主合約保存監控所有者和管理員的賬戶信息，子合約完成權限申請部分與權限信息查詢部分。具體的合約流程通過智能合約中定義的方法實現，方法的具體描述如下：

addUser（X,Y）錄入用戶的信息X 和Y。

addApply（X,Y）提交用戶的“權限審核”申請。

checkUser（X）審核用戶的權限。

主要方法流程：1）監控所有者和管理員在MAS系統注冊后，MAS 系統創建合約，通過調用addUser()方法，錄入用戶的地址、角色。2）申請人在MAS 系統提交“申請查看監控”命令后，MAS 系統調用addApply()方法提交申請人的權限，調用checkUser()方法審核申請人的權限，主要審查申請用戶的角色。

3.3 實現手段

該文對MAS 系統進行定制化設計，連接IPFS 網絡和以太坊實現該設計。以太坊是一個開源的有智能合約功能的公共區塊鏈平臺。平臺連接以太坊的工具選用瀏覽器端常用的以太坊MetaMask 錢包插件，通過web3.js 庫集可以與本地以太坊節點進行交互。在監控所有者上傳過程中，MAS 系統采用GPG加密工具將視頻信息進行加密，將加密后的視頻文件在MAS 系統中上傳到IPFS 網絡中，傳入IPFS 網絡后會返回對應視頻文件的hash。上傳成功后，將加密的hash 通過以太坊平臺加入到區塊鏈中。由于采用GPG 加密工具，對視頻文件進行加密時，使用的是GPG 生成的公鑰，因此對文件的解密也必須使用GPG 生成的私鑰。MAS 系統收到查看監控信息的申請后，調用區塊鏈中的權限智能合約，驗證申請人權限，通過審核后，MAS 系統從IPFS 網絡中下載視頻文件，并用其私鑰進行解密。對于參與者而言，主要是圍繞MAS 系統展開，即監控所有者與其他角色進行交互。該設計的技術架構圖如圖4 所示。

圖4 技術架構圖

4 結束語

目前，監控隱私問題一直備受關注，尤其在監控數據的保護方面缺乏強有力的技術支持。IPFS 技術和區塊鏈的結合就能很好地解決這個問題，該文從流程到實現手段，全面刻畫了上傳數據、讀取數據、權限授予等方面的區塊鏈監控信息隱私保護細節，并使用加密算法對數據作進一步處理。由于IPFS是當前的新興技術，目前的應用還主要在實驗階段，而區塊鏈則使用較為廣泛，因此，該文的研究還存在一定的局限性，未來可以嘗試通過模擬仿真等方法對該設計進行更進一步的論證，并嘗試推廣到其他應用場景。