基于區塊鏈的法檢司數據安全共享技術研究*

湯雪珂，蔡全旺，汪慧君

(1.中國船舶集團有限公司第七二二研究所，湖北 武漢 430205；2.司法部信息安全與智能裝備實驗室，湖北 武漢 430205)

0 引言

在“建設更高水平的平安中國，以新安全格局保障新發展格局”的戰略目標下，法院、檢察院和司法行政機關各單位堅持以科技賦能為動力，研究智慧司法關鍵技術，促進大數據分析、云計算技術、人工智能、區塊鏈等技術與平安中國建設深度融合[1]，促進平安中國建設更加智能化、精細化和科學化，為建設智慧社會提供科技支撐。

然而目前在法檢司數據共享管理方面缺乏體系化的法律規制，且沒有統一的數據交互服務和數據標準來實現法檢司三方數據的線上匯聚。基于司法案件的特殊性，其案件數據本身具有數量龐大、包含當事人大量隱私信息的特點，在法檢司各部門之間傳遞與共享過程中伴隨一些安全風險，不可信數據共享同樣會損害當事人的隱私權。此外，法檢司各部門參與人員眾多，共享系統面臨數據失控、濫用等問題。

區塊鏈通過可溯源、去中心化和不可篡改等技術特性對數據的全生命周期進行閉環管理[2]，可以實現鏈接前數據真實性的交叉驗證和鏈接后數據難以被篡改和溯源[3-4]，運用共識機制建立參與者之間的信任，實現點對點的價值傳遞[5]，通過協調機制和激勵機制的設定和共識[6]，降低安全風險，促進數據的安全共享[7-9]。

基于此，本文提出一種基于區塊鏈的法檢司數據安全共享模型，在不改變業務數據共享獨立路徑的基礎上將數據共享行為進行管控上鏈。在安全性方面，這一安全共享模型使用混合加密處理、可信計算、區塊鏈智能合約及用戶身份認證等關鍵技術，維護數據共享可信和安全，保證在司法案件數據共享過程中數據不被隨意篡改和濫用，為未來建設完整的法檢司數據共享系統提供參考。

1 法檢司數據共享場景分析

在實際的辦案過程中，除各部門系統內部有大量頻繁的數據交互之外，法檢司各部門之間也存在大量的數據交換與流程交接操作，在一些特定的業務場景和環節中實現了法檢司數據共享。當前法檢司數據共享模型如圖1所示。

圖1 當前法檢司數據共享模型

如圖1所示，法院、檢察院和司法行政機關均有各自的虛擬數據中心，虛擬數據中心與各部門的業務系統之間通過網閘隔離，法檢司三方的數據信息通過協同分布式數據融合中心樞紐完成從數據供給方到數據需求方的流轉。這種模式的優點在于無須對現有業務系統進行大量改造更便于適配。圖中箭頭表示法院、檢察院和司法業務數據的交互過程，數據傳輸均以服務接口的方式進行。法院、檢察院和司法行政機關數據資源的詳細內容如表1所示。

表1 各部門數據資源類型

以刑事審判生效案件“人身自由刑”的交付執行為例，就其業務流程和法檢司協同內容予以詳細闡述。交付執行是判決或裁定發生法律效力后的程序環節，具體業務流程如圖2所示。

圖2 交付執行業務流程示意圖

依照《刑事訴訟法》《民事訴訟法》《人民檢察院刑事訴訟規則》《人民檢察院民事訴訟監督規則》和《監獄法》等法律法規要求，交付執行場景下的數據協同內容如表2所示。

2 法檢司數據共享面臨的安全風險

根據上文對法檢司數據共享場景及業務流程特點的梳理和研究，發現在目前的法檢司數據共享流程及現有系統中，主要存在身份偽造冒用、共享監管困難、個人隱私泄露和業務數據濫用四類安全風險。

2.1 身份偽造冒用

以交付執行業務為例，法院在對犯罪嫌疑人作出的判決書發生法律效力后，向司法行政機關送達執行通知書、判決書、起訴書副本、結案登記表等法律文書，并且將執行通知書等法律文書送達所在地的人民檢察院，司法行政機關需要確定數據信息來源于法院，再向法院反饋罪犯的入矯入監信息。

在這一數據協同過程，由于現有的公鑰密碼方法的需要，法院和司法行政機關雙方需要相互交換公鑰才能完成數據共享。由于公鑰和使用者身份是綁定關系，認證中心(Certificate Authority，CA)頒發包含用戶公鑰的可信任證書并且附上電子簽名[10]，在公鑰使用前先驗證使用者身份的真實性以及證書的合法性，通過驗證后再進行加解密操作[11]。

密鑰的管理依賴于PKI(Public Key Infrastructure)的認證中心，大量的證書存儲和密鑰更換過程給PKI系統造成了巨大考驗[12]，中間人攻擊冒用合法身份的風險也增加。中間攻擊者不僅會攔截需要交換的公鑰信息，而且還會將原有公鑰替換成自己的公鑰發送出去，攻擊者通過這種方式偽造冒用身份，可以順利獲取加密數據同時輕易解密信息，進而導致法檢司相關信息知悉范圍擴大，引起法律糾紛、公眾恐慌和社會信任危機等不良后果。

2.2 共享監管困難

以減刑假釋業務場景為例，在減刑假釋提請階段中，檢察院需要對司法行政機關提出的減刑假釋建議書等法律文件進行書面審查，提出書面檢察意見并且送達至司法行政機關，司法行政機關針對檢察院提出的檢察意見進行反饋，反饋內容有案件基本信息、抄送提請信息、監獄意見信息等。

在上述環節中，可能存在內部數據被發送方刻意隱瞞并按照共享流程發送出去的風險，單單從表面上來看這種行為符合數據共享要求，實際上體現出監管方監管不當的安全漏洞[13]。在數據監管的維度上，數據監管方不僅要監管數據是否按照既定的規則發送，而且也需要監管數據是否被順利接收且沒有被篡改[14]。

傳統的數據監管模式存在管控權限過于集中且效率低下的問題[15]，因此需要一種可靠高效的新型監管手段，解決數據共享過程的監管難題，同時對安全風險加以有效控制，從而保證法檢司數據共享的正常運轉。

2.3 個人隱私泄露

在協同辦案過程中，個人隱私如當事人姓名、年齡、身份證號、證件照片等數據泄露風險也是當前法檢司數據共享需要重視的問題，必須采取技術手段保障隱私數據存儲和傳輸安全。

業務數據傳輸過程中，在追求高效率的同時也不能忽視數據隱私安全[16]。傳統的隱私保護存在數據所有權確權難的弊端，具體包括判定數據是否被指定方使用以及判定數據在流轉階段的歸屬[17]。大部分隱私保護方案均通過數據擁有者制定訪問規則來對數據隱私予以保護，而這種保護在數據被接收方獲得之后便不復存在，因而不能滿足現有法檢司數據共享的安全需求。

對于傳輸中的數據常見的安全保護措施有加密、防火墻、入侵防御和安全網關等。除此之外，還可以依賴密碼學算法對共享的數據重新加密后再傳輸和分發[18]，這種方式雖然提高了數據共享安全程度，但是對于海量案卷數據的處理較為麻煩，并且密鑰交換過程存在泄露風險，不利于數據的流轉使用。

2.4 業務數據濫用

在司法案件中，當事人必須如實提供真實詳盡的個人信息及其他涉及案件的信息，這些數據關乎公民隱私權甚至關乎國家和社會的數據安全，一旦發生濫用會造成不可估量的嚴重后果[19]。現有業務流轉涉及法院、檢察院、司法行政機關和其他系統運營單位，法檢司各部門工作人員依照法律規定對案件材料進行審查和處理，而其他系統運營單位相關人員通過提供各種技術服務維護系統的正常運行。

上述工作人員在平時接觸案件時可能會有意或無意濫用業務數據，比如未經許可使用或越權使用了某些案件相關信息，造成數據泄露[20]。一些合作方也可利用自身便利在對業務數據進行分析處理之外，同時進行非法復制、非法轉讓等操作，類似的未經許可的違規操作難以被及時發現和事后追蹤[21]。

在實際共享過程中，基于數據在用戶間授權與被授權過程的不透明性，數據被非法使用的情況時有發生，數據的真實性難以知悉，交互安全面臨極大挑戰[22]。從提高法檢司數據共享安全性的角度出發，有必要采取措施對法院判決書等其他法律文書中的敏感信息的查詢和下載等操作進行監控，保證數據在合理范圍使用并且不可修改，從而避免業務數據濫用情況的發生。

3 基于區塊鏈的法檢司數據安全共享模型及驗證

3.1 基于區塊鏈的法檢司數據安全共享模型

針對法院、檢察院和司法行政機關數據資源共享中的使用部門多、數據類型復雜、數據量大、應用場景多以及業務范圍廣泛等特點，本文融合區塊鏈技術優勢，通過分析業務數據流轉過程，圍繞“業務數據獨立共享+管控共享數據上鏈”的雙路徑思路設計數據資源共享流程，構建了一種基于區塊鏈的法檢司數據安全共享系統模型，如圖3所示。

參與數據共享的用戶有法院、檢察院、司法行政機關和系統運營單位，圖3展示了司法端是數據供方，法院和檢察院是數據需方的情形。在實際業務流轉時，供方、需方身份可以靈活變換?；趨^塊鏈的法檢司數據安全共享模型涉及數據提供者、數據接收者、數據共享模塊和數據安全共享聯盟鏈四個主要組成部分。

由圖3可見，數據提供方和數據接收方按照獨立共享路徑進行業務數據共享，首先由數據提供方業務系統將數據進行簽名、加密等處理，完成后交付給提供方前置機，提供方前置機通過數據共享模塊將數據發送至數據接收方的前置機，最后再通過處理最終到達數據接收方的業務系統。

在按照獨立共享路徑進行業務數據交互的同時，數據提供方和數據接收方將管控數據同步保存至法檢司數據安全共享系統。這一系統按需在法院、檢察院、司法行政機關和系統運營單位每個試點單位部署區塊鏈節點服務器，法檢司數據安全共享系統在接收到管控數據后，將這些管控數據保存至法檢司數據安全共享聯盟鏈，該鏈上的數據包含數據確權信息、數據溯源信息、跨域共享行為監控信息、訪問控制信息。

法檢司數據安全共享聯盟鏈在數據資源提供方的數據進入前置機前，將數據文件哈希值、數據權屬信息、數據共享交互全過程(包括申請、審批、授權、共享等)操作記錄上鏈存證，實現數據確權、數據共享交互全程公正記錄與安全管控，同時也保證數據泄露和違規使用等安全威脅事件的溯源追蹤。

3.2 模型實驗驗證

3.2.1 區塊鏈環境及智能合約部署

區塊鏈底層平臺環境由4臺服務器共同虛擬化出的區塊鏈節點構建而成，部署共識和背書等協議。

其中3臺區塊鏈節點服務器的配置為CPU：4核，內存：8 GB，硬盤：250 GB。

以其中一個節點服務器為例，啟動如下：

(1)登錄主節點服務器，進入啟動目錄/opt/top-chain/node；

(2)啟動consenter服務，執行nohup java-jar julongchain-1.0.6-original.jar consenter start >consenter.out &；

(3)啟動node服務，執行nohup java-jar julongchain-1.0.6-original.jar node start >node.out &；

(4)啟動jetty容器進入/opt/topchain/node/jet-ty/目錄，執行nohup java-jar start.jar >jetty.out &。

數據共享管控智能合約為JAVA語言編寫，負責數據共享行為日志的上鏈等，部署如下：

3.2.2 數據共享系統及共享管控系統部署

數據共享系統和共享管控系統的部署在1臺應用服務器上完成，服務器配置為CPU：FT2000；內存：64 GB；硬盤：2 TB。數據共享系統上集成了共享管控服務的API接口。

3.2.3 實驗結果

基于交付執行場景，檢察院用戶通過本系統向法院虛擬系統獲取到執行通知書等數據，法院用戶通過資源共享系統獲取到檢察院的案件基本信息、罪犯基本信息及檢察建議書相關數據，完成數據交換。刪除共享系統中檢察院用戶的下載案件相關信息痕跡，在共享管控平臺查看實驗結果，如圖4所示。

圖4 共享管控平臺上鏈結果

由圖4可見，通過基于區塊鏈的數據共享管控系統可以查看用戶操作行為日志信息。用戶的下載、查詢等操作上鏈，利用區塊鏈的不可篡改偽造特點，可以對法檢司數據共享過程進行管控記錄。

3.2.4 實驗驗證分析

本文所提出的基于區塊鏈的法檢司數據安全共享模型能夠實現共享行為的可信存證，用戶進行違規操作之后，即使擦除了違規操作痕跡，區塊鏈也能將該行為在鏈上存儲，可以防止用戶刪除操作的攻擊，為數據共享交換過程行為管控和事后溯源提供可靠支撐。

4 關鍵技術應用分析

4.1 法檢司監管數據混合加密技術

法檢司監管數據混合加密技術融合了對稱加密高效率與非對稱加密強安全優勢，在法檢司數據共享的過程中，數據始終是以密文在不同部門之間進行傳輸，能夠有效解決數據共享監管困難的問題。數據監管過程如圖5所示。

圖5 法檢司監管數據混合加密技術路線

法檢司數據安全共享系統對數據共享行為進行管控，包括數據提供和數據接收，在數據安全共享系統中監管方按照不同的層級做出明確的權利界定和權限劃分，各個層級的監管方可以查看相應層級的數據，通過特殊的標簽方式進行訪問控制。對于所有的管控數據都通過隨機生成的對稱密鑰進行加密，而對稱密鑰則通過監管方的公鑰加密。一旦數據密文和密鑰密文到達監管方，監管方首先通過自己的私鑰對密鑰密文解密，繼而再通過之前解密得到的對稱密鑰對密文數據進行相應的解密，并通過對比發送和接收方的數據得出法檢司數據在共享中是否被篡改，達到監管的目的。

4.2 可信計算技術

可信計算[23]是一種系統安全防護與運算并行的新型操作保護技術，其計算全程不受干擾并且最終總能獲得與預期一樣的計算結果，利用可信計算技術可以構建可信任的計算環境?？尚庞嬎慵夹g以密碼算法和密碼協議為基礎，以硬件模塊為平臺，以可信支撐軟件為核心，對數據惡意破壞、主機身份偽造和其他篡改行為進行防御，保障主機安全從而保障系統正常運行。法檢司數據共享可信計算環境組成如圖6所示。

圖6 法檢司數據共享可信計算環境組成

如圖6所示，法檢司數據共享可信計算環境包括可信硬件平臺和可信軟件基。其中可信硬件平臺包括可信根和可信密碼模塊，可信根起到建立信任計算節點、支撐信任鏈傳遞和加密保護的作用[24]，可信密碼模塊是可信引導的基礎，需要根據法檢司數據安全共享系統核心服務器進行研發，主要保證操作系統卡機啟動過程中順利進入運行狀態，保障在啟動時只啟動安全的軟件模塊?？尚跑浖话阄挥诓僮飨到y內核層，主要作用包括在業務程序安裝和啟動時對其進行完整性度量以及監控數據資源操作是否可信，在發現異常情況時及時阻斷訪問，依托主動安全防護機制有效杜絕惡意代碼攻擊，避免信息資源泄露或被篡改等事件發生[25]。在不對應用程序進行任何修改的情況下，可信計算安全模塊對法檢司共享數據認證、授權、監管和追溯等業務起到透明支撐的作用，進一步提高了法檢司數據共享系統的安全防護能力。

4.3 數據共享管控智能合約

區塊鏈技術與智能合約的結合使得智能合約在自動執行的全過程保持公開透明且不受干擾[26]，智能合約完成用戶所賦予的業務邏輯。通過智能合約將管理數據共享過程的業務數據保存到區塊鏈賬本中，同時也可以將區塊鏈賬本中的數據去除，并且還能夠按照設計的邏輯規則進行數據清洗獲得結構化數據，方便上層應用接口調用[27]。智能合約基本架構如圖7所示。

圖7 智能合約基本架構

在法檢司數據安全共享區塊鏈服務層中，數據共享管控智能合約包含數據共享認證智能合約、數據共享授權智能合約、數據共享監管智能合約、數據共享追溯智能合約及相應合約模板。數據共享認證智能合約對應記錄參與機構用戶的身份信息，認證合約具有唯一性，且與用戶公鑰地址相互綁定。數據共享授權智能合約授權不同機構用戶不同的訪問控制權限，也可以隨時收回權限，保證對法檢司案件數據的掌控。數據共享監管智能合約針對跨部門數據協同安全共享過程進行可信監管，保障監管追責的順利實施。數據共享溯源智能合約支持法院、檢察院和司法行政機關查找數據來源以及數據對象出處，各參與方獨立對等且擁有完整的數據共享過程，利用分布式共識機制保證溯源可信性和安全性。

4.4 基于區塊鏈的跨域身份認證技術

所謂基于區塊鏈的跨域身份認證技術，是指通過在法院、檢察院和司法行政機關部署多個聯盟鏈節點，各節點必須擁有權威CA簽發的數字證書，所有參與數據共享的用戶借助證書進行相互認證。這種方式不僅可以實現用戶身份證書簽發的透明化，還可以通過遍歷區塊鏈進行用戶證書查詢，從而支撐跨法檢司多部門的數據可控共享?；趨^塊鏈的跨域身份認證技術架構如圖8所示。

圖8 基于區塊鏈的跨域身份認證技術架構

在數據共享之前，數據提供者和接收者均要完成身份注冊和認證，用戶發送登錄和身份證書信息給背書節點，背書節點對這些信息進行驗證，驗證合法后即時返回給分布式應用程序模擬執行，再由應用程序把身份認證交易信息提交到排序服務節點，服務節點廣播區塊到記賬節點最終寫入賬本[28]。經過用戶與分布式計算節點的信任建立過程完成身份認證，為法檢司跨域共享系統中的數據安全提供了保障，輔之以區塊鏈本身集成了分布式存儲、共識機制和公共賬本等技術，有效解決密鑰管理和隱私保護的問題。

5 結論

針對法檢司數據共享安全風險，本文提出了一種基于區塊鏈的法檢司數據安全共享模型，即“業務數據獨立共享+管控共享數據上鏈”的雙路徑思路，并通過實驗驗證了該模型安全管控的可行性，然后對于解決共享中身份偽冒、隱私泄露、監管困難等問題的若干關鍵技術進行了詳細分析。

未來在繼續深化構建基于區塊鏈的法檢司數據安全共享模型外，還可以考慮在模型中運用區塊鏈共識機制、隱私計算、去中心化存儲方法和安全多方計算等技術，解決數據安全風險，不斷提高協同辦案效率，推進信息技術與法治中國建設深度融合，實現國家治理現代化的目標。