程羅德

（大連海洋大學(xué)圖書館，遼寧 大連116023）

新信息環(huán)境下，物聯(lián)網(wǎng)、云計算及AI等技術(shù)在圖書館的創(chuàng)新應(yīng)用，為圖書館建設(shè)、管理和服務(wù)向智慧化深層次發(fā)展提供了新的機(jī)遇。圖書館數(shù)字資源量呈指數(shù)級增長，數(shù)據(jù)共享規(guī)模不斷擴(kuò)大，數(shù)據(jù)在采集、存儲、管理和提供服務(wù)等方面的保護(hù)工作被提上日程，這使得如何提升圖書館信息安全防護(hù)水平成為數(shù)字圖書館建設(shè)信息安全領(lǐng)域中研究的熱點問題。同時，館際合作、區(qū)域聯(lián)盟和圖情領(lǐng)域共享參與者的大幅增加，為多方參與共建共享數(shù)據(jù)的安全保護(hù)帶來了新的挑戰(zhàn)。當(dāng)前大多數(shù)圖書館對數(shù)據(jù)的管理仍然使用傳統(tǒng)集中式管理模式，這種模式在應(yīng)用過程中對利用、交流和傳遞數(shù)據(jù)的靈活、可靠和自主性等產(chǎn)生很大的限制。圖書館將數(shù)據(jù)存儲和共享轉(zhuǎn)移到云中，但是云服務(wù)提供商（CSP）并沒有提供云共享數(shù)據(jù)的安全保護(hù)，這給存儲在云端的數(shù)據(jù)也帶來一定的風(fēng)險。如何解決新環(huán)境下數(shù)字圖書館信息安全問題仍是數(shù)據(jù)建設(shè)、管理和服務(wù)中迫切需要解決的問題之一。區(qū)塊鏈作為一種有效的分布式數(shù)據(jù)存儲技術(shù)，在多個網(wǎng)絡(luò)節(jié)點共同參與下，具有去中心化、防篡改和可追溯等優(yōu)勢[1]。研究基于區(qū)塊鏈的數(shù)字圖書館可信安全問題，對提升其信息安全防護(hù)具有重要現(xiàn)實意義。

1 數(shù)字圖書館信息安全與區(qū)塊鏈技術(shù)

1.1 數(shù)字圖書館信息安全問題現(xiàn)狀

與傳統(tǒng)圖書館相比，數(shù)字圖書館以網(wǎng)絡(luò)和數(shù)據(jù)庫存儲為基礎(chǔ)平臺，更注重物聯(lián)網(wǎng)和人機(jī)交互，呈現(xiàn)出信息資源建設(shè)和管理網(wǎng)絡(luò)化、數(shù)字化和共享化等特點[2]。信息安全事關(guān)數(shù)字化圖書館能否正常開展線上、線下業(yè)務(wù)服務(wù)。網(wǎng)絡(luò)安全建設(shè)一般具有P2P網(wǎng)絡(luò)的開放性，數(shù)字圖書館的資源建設(shè)、數(shù)據(jù)管理、價值服務(wù)都是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的，面臨著多種安全威脅，如遭受寬帶攻擊、協(xié)議攻擊（包括Smurf、UDP、ICMP、SYN、DNS、CGI請求等）、軟件漏洞攻擊等DDOS攻擊，攻擊者通過大量僵尸節(jié)點向受害節(jié)點發(fā)送海量數(shù)據(jù)包以達(dá)到拒絕服務(wù)的目的。失效的身份認(rèn)證和會話管理，與身份認(rèn)證和會話管理相關(guān)的應(yīng)用功能實現(xiàn)不正確，允許攻擊者可以構(gòu)造密碼、密鑰、會話令牌或利用信息系統(tǒng)功能缺陷，這些都會造成敏感數(shù)據(jù)泄露。功能級訪問控制策略缺失，訪問請求沒有驗證，攻擊者構(gòu)造請求，訪問未授權(quán)的功能，即可實施數(shù)據(jù)篡改和竊取。

信息安全已成為數(shù)字圖書館建設(shè)重要內(nèi)容，根據(jù)研究文獻(xiàn)分析，國內(nèi)外高校圖書館在信息安全方面的研究和應(yīng)用各有側(cè)重，一些專家學(xué)者從圖書館空間安全、智能識別、策略控制等物理安全層面進(jìn)行了研究[3]。圖情領(lǐng)域相關(guān)技術(shù)人員對網(wǎng)絡(luò)與設(shè)備安全、存儲與系統(tǒng)安全、數(shù)據(jù)加密與共享等方面也進(jìn)行了初步的探索[4]。利用區(qū)塊鏈技術(shù)驅(qū)動數(shù)字圖書館信息安全的研究和應(yīng)用非常少，很難找到當(dāng)前區(qū)塊鏈技術(shù)應(yīng)用于數(shù)字圖書館信息安全方面相關(guān)實踐的案例。因此，對區(qū)塊鏈技術(shù)應(yīng)用于數(shù)字圖書館進(jìn)行深入的研究，構(gòu)建技術(shù)、機(jī)制、模式、人員、管理和服務(wù)立體綜合性的圖書館信息安全防護(hù)體系非常有意義和價值。

1.2 區(qū)塊鏈技術(shù)安全屬性分析

區(qū)塊鏈由區(qū)塊相互連接形成鏈?zhǔn)酱鎯Y(jié)構(gòu)，它的數(shù)據(jù)結(jié)構(gòu)含有父區(qū)哈希值、隨機(jī)數(shù)、難度值和時間戳等信息，該結(jié)構(gòu)將數(shù)據(jù)以區(qū)塊為單位進(jìn)行驗證與存儲，由于硬件或管理機(jī)構(gòu)無中心特征，任意節(jié)點都是對等的，系統(tǒng)中具有維護(hù)功能的節(jié)點對鏈上數(shù)據(jù)庫進(jìn)行共同維護(hù)。存儲在區(qū)塊鏈上的數(shù)據(jù)信息需經(jīng)加密算法進(jìn)行處理，只有授權(quán)合法用戶才擁有訪問和使用權(quán)限，保證數(shù)據(jù)的安全和個人隱私性問題。哈希算法，提供一個數(shù)據(jù)的摘要或者指紋，對數(shù)據(jù)進(jìn)行完整性校驗。區(qū)塊鏈網(wǎng)絡(luò)使用智能合約，對分布式賬本進(jìn)行受控訪問，支持信息一致性更新。智能合約的編碼信息具有開放性，且不受硬件設(shè)備的制約。智能合約這種高效、安全的約定協(xié)議，可以促使參與用戶能夠在區(qū)塊鏈上自覺履行所有承諾的協(xié)議內(nèi)容。

區(qū)塊鏈?zhǔn)且粋€去中心化的數(shù)據(jù)庫，在運(yùn)行過程中，區(qū)塊鏈將數(shù)據(jù)信息采用分布式方式進(jìn)行記錄，并且由所有的參與者共同記錄[5]。這些數(shù)據(jù)信息會被存儲到所有的節(jié)點之中，不同于傳統(tǒng)數(shù)據(jù)庫僅存在于唯一的中心化機(jī)構(gòu)。在安全性方面，區(qū)塊鏈具有的保密性、完整性、可用性等安全屬性，較傳統(tǒng)技術(shù)而言，取得了實質(zhì)性突破。利用區(qū)塊鏈技術(shù)安全優(yōu)勢，應(yīng)用于數(shù)字圖書館信息安全領(lǐng)域中，能夠有效地解決數(shù)字圖書館網(wǎng)絡(luò)和信息系統(tǒng)中數(shù)據(jù)在存取、處理、傳輸和服務(wù)過程中無中心網(wǎng)絡(luò)信任安全、用戶個人信息保護(hù)和數(shù)字資源存儲共享安全等方面的難題，保證網(wǎng)絡(luò)、數(shù)據(jù)和信息系統(tǒng)本身能連續(xù)、可靠、正常的運(yùn)行，并且在遭到攻擊或破壞后能夠迅速地恢復(fù)正常狀態(tài)。區(qū)塊鏈技術(shù)為中心化數(shù)據(jù)存儲和信息共享中出現(xiàn)的云存儲數(shù)據(jù)可拓展性、隱私性和敏感數(shù)據(jù)訪問控制等問題提供了解決方案。

2 數(shù)字圖書館區(qū)塊鏈智能合約安全

2.1 智能合約的虛擬機(jī)安全

云計算環(huán)境下，圖書館在服務(wù)模式和服務(wù)內(nèi)容方面發(fā)生了變化，數(shù)字圖書館虛擬化技術(shù)的應(yīng)用使得虛擬機(jī)的創(chuàng)建、管理和應(yīng)用程序等面臨新的安全威脅。有些虛擬機(jī)提供比較完整的操作系統(tǒng)（OS），可以安裝操作系統(tǒng)和應(yīng)用程序，如VMware、Oracle VirtualBox、Hyper-V等，有的則只能提供應(yīng)用程序環(huán)境，如JAVA虛擬機(jī)。在區(qū)塊鏈的智能合約系統(tǒng)設(shè)計中，很少采用模擬完整操作系統(tǒng)模式，因為這種模式會消耗大量的資源并嚴(yán)重影響性能，對不同操作系統(tǒng)的架構(gòu)也難以做到互相兼容。虛擬機(jī)安全可從智能合約運(yùn)行的可確定性、停機(jī)問題、資源控制和資源隔離等幾個維度進(jìn)行綜合考慮。因此，在數(shù)字圖書館區(qū)塊鏈虛擬技術(shù)及平臺的應(yīng)用中應(yīng)適當(dāng)選擇采用更加輕量級的虛擬機(jī)架構(gòu)，如EVM、JVM、JavaScript虛擬機(jī)引擎等。

數(shù)字圖書館區(qū)塊鏈上的智能合約設(shè)計中，可以采用以太坊智能合約，它提供了一個圖靈完備的平臺，用戶可以編寫任意的邏輯程序。由于沒有提供任何非確定性的系統(tǒng)函數(shù)，可訪問的數(shù)據(jù)僅限于鏈內(nèi)數(shù)據(jù)，外部數(shù)據(jù)需要通過交易發(fā)送到合約[6]。合約訪問到的數(shù)據(jù)都是確定的，鏈上的所有節(jié)點在動態(tài)調(diào)用函數(shù)庫目標(biāo)代碼的時候，得到目標(biāo)地址均相同，解決了系統(tǒng)一致性問題。在這個開放的數(shù)字圖書館區(qū)塊鏈上，任何節(jié)點上的用戶都可以進(jìn)行代碼的編寫和智能合約的上傳，圖靈完備的智能合約可以編寫并執(zhí)行包括病毒、故障合約在內(nèi)任意的邏輯。一旦這些非綠色的智能合約在數(shù)字圖書館區(qū)塊鏈節(jié)點部署的虛擬平臺宿主系統(tǒng)上運(yùn)行，病毒即可實施復(fù)制攻擊，虛擬平臺宿主系統(tǒng)的數(shù)據(jù)就會被故障合約破壞。因此，對于開放的數(shù)字圖書館區(qū)塊鏈上智能合約來說，需要有一個隔離的虛擬化平臺運(yùn)行環(huán)境，以便合約之間、合約和宿主系統(tǒng)之間，進(jìn)行資源的有效隔離，實現(xiàn)對惡意或故障合約產(chǎn)生影響和破壞程度的控制。

2.2 智能合約的身份管理與訪問控制

身份管理與訪問控制是數(shù)字圖書館信息系統(tǒng)安全的基石，區(qū)塊鏈技術(shù)在解決圖書館身份管理與訪問控制系統(tǒng)問題方法如表1所示。

表1

圖書館許可鏈（包括私有鏈或聯(lián)盟鏈）需對參與節(jié)點或用戶身份進(jìn)行驗證和訪問控制，Hyperledger Fabric采用的是一個中心化的身份管理系統(tǒng)，與Fabric CA服務(wù)端的通信，都是通過REST API來實現(xiàn)[7]。在訪問控制上，F(xiàn)abric采用隔離區(qū)塊鏈網(wǎng)絡(luò)通道，通道內(nèi)只允許被授權(quán)的參與節(jié)點使用通道Chaincode的數(shù)據(jù)。在通道內(nèi)部，通過可見性設(shè)置對輸入和輸出數(shù)據(jù)的限制。將訪問控制策略構(gòu)建到Chaincode邏輯中，達(dá)到一定的基于角色的訪問控制。這種模式利用CA集群提高了可用性，解決了單點的問題，但仍是一個中心化方案，可能成為黑客攻擊的目標(biāo)，從而導(dǎo)致整個數(shù)字圖書館網(wǎng)絡(luò)和信息的不安全。

運(yùn)用區(qū)塊鏈智能合約，構(gòu)建數(shù)字圖書館多鏈的身份管理生態(tài)系統(tǒng)。如圖1所示。

圖1 數(shù)字圖書館多鏈的身份管理生態(tài)系統(tǒng)

身份消費(fèi)者，如一高校圖書館對讀者有KYR（Know Your Reader）的需求，必須獲得身份擁有者的許可。許可可以用身份鏈的客戶端產(chǎn)生一個許可令牌（Access Token），產(chǎn)生許可令牌前，用戶必須進(jìn)行指紋或虹膜掃描等生物認(rèn)證的方式，以確保安全。身份消費(fèi)者可以向多鏈的身份管理生態(tài)系統(tǒng)中某一條鏈發(fā)起KYR請求，請求滿足，流程即可完成。如果當(dāng)前請求鏈不能提供所有信息，可以轉(zhuǎn)發(fā)給其他的身份鏈，獲得用戶信息數(shù)據(jù)。若需驗證信息在所有的身份鏈上都無法完成，可以利用身份中介Identity Oracle獲得可信的鏈下身份數(shù)據(jù)。Oracle可提供諸如基礎(chǔ)數(shù)據(jù)、資源數(shù)據(jù)、平臺信息、規(guī)則條例等影響合約執(zhí)行結(jié)果的任何信息，其所提供的信息是經(jīng)過Oracle數(shù)字簽名的，確保能夠驗證，且來源可靠。

數(shù)字圖書館公有鏈訪問控制可以借助于修飾符（modifier）來實現(xiàn)對智能合約函數(shù)的訪問控制，若某些系統(tǒng)功能函數(shù)不希望被非授權(quán)用戶調(diào)用，可以創(chuàng)建一個修飾符并限制函數(shù)用法，設(shè)定多個不同角色，定義修飾符。對于圖書館聯(lián)盟鏈上的訪問控制，可以考慮建立節(jié)點準(zhǔn)入條件，如操作系統(tǒng)類型、開放端口、關(guān)閉對區(qū)塊鏈P2P通信無用賬戶、增強(qiáng)密碼復(fù)雜度、CA根證書以及館際聯(lián)盟鏈成員間身份屬性的映射規(guī)則和訪問控制策略等。

3 區(qū)塊鏈技術(shù)助推數(shù)字圖書館信息安全應(yīng)用

3.1 數(shù)字圖書館區(qū)塊鏈數(shù)據(jù)可信安全傳輸

為提高消息在網(wǎng)絡(luò)中傳輸安全性，對信封信息進(jìn)行處理和封裝，使用這種信封結(jié)構(gòu)無需考慮網(wǎng)絡(luò)節(jié)點之間的具體通信方式或協(xié)議。采用非對稱加密，數(shù)字簽名的密鑰對傳輸封裝消息進(jìn)行明文數(shù)據(jù)的加密或密文解密。區(qū)塊鏈可信數(shù)據(jù)傳輸數(shù)據(jù)信息處理層，防止區(qū)塊鏈網(wǎng)絡(luò)數(shù)據(jù)傳輸安全遭到攻擊。智能合約共識層傳輸、排序和驗證執(zhí)行，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。

區(qū)塊鏈網(wǎng)絡(luò)節(jié)點管理主要對網(wǎng)絡(luò)中的節(jié)點進(jìn)行組織關(guān)系劃分、信任身份驗證、訪問權(quán)限控制策略、Node類型分類等功能管理。消息在網(wǎng)絡(luò)傳輸模式中，每一次節(jié)點之間的數(shù)據(jù)傳輸，不再發(fā)送至核心服務(wù)器，而是通過多節(jié)點集群共識模塊對數(shù)據(jù)完整性檢查，對消息內(nèi)容的真實性和發(fā)送方身份進(jìn)行驗證。在該模式中傳輸數(shù)據(jù)加密、身份認(rèn)證技術(shù)與共識模塊結(jié)合應(yīng)用，保障圖書館網(wǎng)絡(luò)傳輸數(shù)據(jù)信息安全。

3.2 區(qū)塊鏈的數(shù)字圖書館個人數(shù)據(jù)保護(hù)

區(qū)塊鏈技術(shù)具有的去中心化、點對點傳輸、開放和共識等特點[8]，為圖書館用戶個人數(shù)據(jù)安全提供新的解決思路。利用區(qū)塊鏈去信任化將其應(yīng)用到圖書館個人信息保護(hù)中，需要引入新的管理機(jī)制，由目前的信息集中管理到無中心或弱中心化管理，這對于系統(tǒng)管理人員來說，在意識、操作、技能等方面，都可很大程度上減少個人用戶數(shù)據(jù)信息泄露的機(jī)會。區(qū)塊鏈對任何的交易行為和業(yè)務(wù)操作等都有時序記錄，實現(xiàn)零信任、可追溯，防篡改數(shù)字圖書館個人數(shù)據(jù)信息的立體、全生命周期的保護(hù)。

在圖書館整個分布式多節(jié)點體系中，數(shù)據(jù)信息存儲于鏈上的某個節(jié)點時，其他節(jié)點將保存一個相應(yīng)的數(shù)據(jù)副本，當(dāng)某個節(jié)點存儲的數(shù)據(jù)信息被破壞，系統(tǒng)將從臨近節(jié)點提取完整的副本數(shù)據(jù)，以修復(fù)故障節(jié)點存儲數(shù)據(jù)，提高整個系統(tǒng)的容錯率。區(qū)塊鏈對圖書館新增用戶進(jìn)行一次性加密，分配用戶唯一密鑰，只有擁有對應(yīng)密鑰者才能使用個人信息數(shù)據(jù)，有效防止個人數(shù)據(jù)被非法篡改，確保用戶個人數(shù)據(jù)具有可追溯性。個人數(shù)據(jù)一旦上鏈，就會受到區(qū)塊鏈的數(shù)據(jù)檢測，以避免無效、虛假信息的出現(xiàn)，實現(xiàn)數(shù)據(jù)自我監(jiān)管，大大降低對個人數(shù)據(jù)信息保護(hù)的管理成本。區(qū)塊鏈具有的可擴(kuò)展性，能夠較好地適應(yīng)圖書館對個人數(shù)據(jù)信息保護(hù)應(yīng)用過程中出現(xiàn)的動態(tài)變化需求。

應(yīng)用區(qū)塊鏈基礎(chǔ)架構(gòu)，設(shè)計圖書館用戶數(shù)據(jù)信息保護(hù)模型，數(shù)據(jù)層封裝私有鏈、聯(lián)盟鏈和公有鏈等區(qū)塊鏈數(shù)據(jù)庫的存取操作，供業(yè)務(wù)邏輯層調(diào)用，邏輯層提供具體的操作處理模塊，根據(jù)應(yīng)用層業(yè)務(wù)請求，得到數(shù)據(jù)層的相應(yīng)處理結(jié)果反饋。圖書館用戶數(shù)據(jù)信息的采集、存儲、操作、銷毀等全生命周期都會得到區(qū)塊鏈技術(shù)的保護(hù)，確保用戶數(shù)據(jù)信息的安全。區(qū)塊鏈的圖書館用戶數(shù)據(jù)信息保護(hù)框架如圖2所示。

圖2 區(qū)塊鏈的圖書館用戶數(shù)據(jù)信息保護(hù)框架

3.3 聯(lián)合體區(qū)塊鏈的圖書館數(shù)據(jù)存儲與共享安全

在區(qū)塊鏈數(shù)據(jù)管理中，聯(lián)合機(jī)構(gòu)、用戶和節(jié)點等多個實體協(xié)同存儲和共享資源數(shù)據(jù)，有效解決了圖書館數(shù)字資源共建共享中出現(xiàn)的諸如修改上傳的共享數(shù)據(jù)、共享數(shù)據(jù)因軟硬件故障而受損、破壞存儲的共享數(shù)據(jù)完整性、惡意攻擊者可能獲取數(shù)據(jù)所有權(quán)、用戶身份等數(shù)據(jù)隱私信息存儲共享鏈潛在安全威脅問題。聯(lián)合體區(qū)塊鏈的圖書館數(shù)據(jù)存儲與共享安全模型如圖3所示。

圖3 聯(lián)合體區(qū)塊鏈的圖書館

機(jī)構(gòu)被視為基于區(qū)塊鏈的多組數(shù)據(jù)共享方案的區(qū)塊鏈成員在一個聯(lián)合體區(qū)塊鏈網(wǎng)絡(luò)，各機(jī)構(gòu)共同為用戶提供數(shù)據(jù)共享服務(wù)。用戶是數(shù)據(jù)的所有者，他們屬于不同的機(jī)構(gòu)，希望通過機(jī)構(gòu)共享數(shù)據(jù)。用戶在該機(jī)構(gòu)注冊，并將他們共享的數(shù)據(jù)上傳到該機(jī)構(gòu)。數(shù)據(jù)共享層，由多個機(jī)構(gòu)組成，主要負(fù)責(zé)存儲和管理數(shù)據(jù)，為所有用戶提供數(shù)據(jù)共享服務(wù)。所有成員一起維護(hù)區(qū)塊鏈數(shù)據(jù)庫，該數(shù)據(jù)庫為上層用戶提供公共審計服務(wù)。在公共審計服務(wù)層中，所有機(jī)構(gòu)維護(hù)一個防篡改數(shù)據(jù)庫，該數(shù)據(jù)庫記錄公共驗證信息用戶，以驗證共享數(shù)據(jù)的完整性和可用性。在該存儲共享安全模型中，所有成員都可以根據(jù)公共區(qū)塊鏈上的信息使用驗證協(xié)議來驗證共享數(shù)據(jù)的完整性，而不需要可信的第三方。

共享數(shù)據(jù)對區(qū)塊鏈節(jié)點不可見，區(qū)塊鏈節(jié)點維護(hù)一個記錄共享數(shù)據(jù)驗證信息的區(qū)塊鏈數(shù)據(jù)庫。節(jié)點驗證共享數(shù)據(jù)的正確性，但不會得到真實的數(shù)據(jù)。因分享數(shù)據(jù)可能包含敏感信息，為了保護(hù)用戶隱私，數(shù)據(jù)應(yīng)以匿名的方式共享。在一定條件下，當(dāng)發(fā)生糾紛時，管理器可以跟蹤惡意用戶的真實身份，此模型方案解決了數(shù)字圖書館存儲和共享數(shù)據(jù)的機(jī)密性、匿名性和可追溯性問題。

4 結(jié)語

區(qū)塊鏈技術(shù)下構(gòu)建數(shù)字圖書館信息安全體系過程中，運(yùn)用區(qū)塊鏈點對點、去中心化、鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)和密碼學(xué)原理等技術(shù)有效預(yù)防運(yùn)行故障和安全威脅，滿足對數(shù)據(jù)監(jiān)管和審計安全性要求，保障數(shù)據(jù)安全完整、可信和可審計，解決圖書館信息鏈中相關(guān)安全技術(shù)難題，實現(xiàn)圖書館多樣性信息采集、安全性數(shù)據(jù)存儲和廣泛性資源共享，助推圖書館成為一個數(shù)據(jù)安全、管理規(guī)范、服務(wù)高效的全域性資源信息保障中心。