張彭　李昊宸　林澤朋

【關鍵詞】區(qū)塊鏈；非對稱加密；智能合約；數據安全；安全通信協議

引言

數據在存儲與傳輸期間，將受網絡環(huán)境、技術防護條件的干擾，造成信息數據在利用中存在風險。所以，必須采取相應的措施保障數據安全。區(qū)塊鏈技術作為融合加密思想的先進技術，能夠切實對網絡信息安全性加以維護，實現對數據的存儲管理。隨著區(qū)塊鏈技術的逐漸發(fā)展，在大數據技術的推動下，區(qū)塊鏈在數據安全領域的應用日益完善。

一、區(qū)塊鏈概述

實際上，區(qū)塊鏈就是一種由數據塊經過共識機制與密碼學技術建立的可信數據庫模型。對于海量的數據，區(qū)塊鏈依靠密碼學保護數據隱私安全。加密作為密碼學當中的一項核心概念，一般采用除了接收者之外任何人無法解密的方式進行消息編碼處理，接收者之外的人不能讀取數據格式，區(qū)塊鏈就是通過這種方式保護數據安全，防止數據的存儲與傳輸期間受到攻擊。對于區(qū)塊鏈技術的研究，一般有公鑰與私鑰兩種密鑰，這兩種算法至關重要，公鑰一般用在加密會話中，通過數據驗證后，數據在加密的同時也會獲得私鑰解密數據，公鑰對外公開，私鑰對內保密。工作人員經過設置后可以保證密鑰的唯一性。除此之外，區(qū)塊鏈也具有可編程性特點，即支持上鏈，采用腳本開發(fā)服務，憑借技術的可追溯性，依靠區(qū)塊鏈中存儲數據的時間戳，在鏈式結構下跟蹤全部交易[1]。

二、區(qū)塊鏈核心技術

（一）分布式賬本

作為區(qū)塊鏈的核心技術之一，分布式賬本主要指在不同位置多節(jié)點注冊的交易，所有節(jié)點都會參與其中，各節(jié)點記錄一個完整的賬戶，即便是有個別節(jié)點出現問題，賬戶也不會被隨意篡改，分布式賬本對于交易的監(jiān)控有著合法性。和以往的分布式存儲完全不同，基于區(qū)塊鏈之下的分布式存儲有著一定的獨特性，具體體現如下：1、區(qū)塊鏈中每個節(jié)點都會按照區(qū)塊鏈的結構存儲數據，新的區(qū)塊在建立時會將舊區(qū)塊信息備份，隨后再加入新數據。傳統分布式存儲當中，計算機會將數據依據相應規(guī)則劃分為不同部分存儲。

2、區(qū)塊鏈中每個節(jié)點對于數據的存儲都是相對獨立的，地位相同，都是在共識機制的作用下保證數據存儲的一致性。以往分布式存儲都是依靠中心節(jié)點將數據同步在備份節(jié)點中，缺少單個節(jié)點記錄數據。

由于區(qū)塊鏈記賬節(jié)點較多，賬戶不會丟失，能夠最大程度上保障數據安全。在網絡安全應用中，憑借分布式賬本的可信記錄，賬本內所有記錄都配置了時間戳與數字簽名，這讓賬本成為交易過程中可審計的歷史記錄。一旦黑客想要修改數據，將會對時間戳造成破壞，且無法完成正確簽名，此時系統安全人員便可以立即發(fā)現并解決問題[2]。

（二）非對稱加密

區(qū)塊鏈系統當中，加密技術也是其中的核心技術，是保障所有交易信息安全可靠的重要基礎。該算法主要依靠公鑰與私鑰解決區(qū)塊鏈中信息安全問題。在使用公鑰加密數據時，只有相應的私鑰才能解密；如果使用私鑰加密數據，只能使用相應的公鑰解密數據。由于加密與解密用到的密鑰不同，所以這一算法就被稱為非對稱加密。實際上，公鑰與私鑰可以同時生成，人們可以使用公鑰加密數據，保障數據真實且安全，相比之下私鑰是可以做到嚴格保密的，信息所有者能夠用私鑰解密數據，其他人都無法對信息解密，可見非對稱加密與對稱加密不同，對稱加密算法能夠傳輸對方密鑰。公鑰主要由私鑰經過加密算法而生成，信息在交易過程中需要保證數字簽名正確，否則交易將無法成立，所以需要提前判斷交易的有效性。

區(qū)塊鏈加密技術的應用過程中，一般是先產生私鑰，通過函數橢圓曲線算法生成公鑰，經過不可逆運算將明文加密處理。正常情況下，公鑰主要用來接收明文，并對明文加密處理，私鑰用來生成與之相應的數字簽名，以此確定信息所有權，只有私鑰的持有者才能作為信息擁有者和使用者，其他人無法篡改受到保護的信息[3]。

（三）共識機制

根據現階段的形勢變化，在應用區(qū)塊鏈網絡數據庫的時候，為識別虛假信息，應考慮應用共識機制，這是記賬節(jié)點達成共識并確定記錄有效性的身份識別手段，同時也是防止數據被惡意篡改的手段?；诠沧R機制的作用，加強對少數惡意節(jié)點的科學處理，從中獲得成效，保障網絡運行安全。隨著區(qū)塊鏈網絡規(guī)模的擴大，網絡數據庫不會受到攻擊。在共識機制的應用下，區(qū)塊鏈提出了幾種用于不同場景的共識機制，比如權益證明、股份授權證明、工作量證明機制，此外還包含分布式一致算法，維護網絡安全，保障數據應用可靠，也讓區(qū)塊鏈網絡時刻保持較好的工作狀態(tài)，提高區(qū)塊鏈在數據安全領域的應用效率。

（四）智能合約

從某種程度來講，智能合約就是以數字定義且可以執(zhí)行的條約，區(qū)塊鏈當中智能合約屬于計算機程序，以預先確定的事件執(zhí)行程序，基于可信任且沒有被篡改的數據，可以自動執(zhí)行預定的行為。本質上區(qū)塊鏈中的智能合約是一種自動化腳本代碼，能夠同時發(fā)揮算法與業(yè)務邏輯的作用，按照提前編寫的代碼執(zhí)行程序，在滿足智能合約條款后自動執(zhí)行程序，整個過程不需要人為進行操作。與其他技術相比，區(qū)塊鏈中的智能合約優(yōu)點很多，不僅可以實時更新，且人為干預風險很低，有著去中心化權威特點。區(qū)塊鏈網絡中，智能合約可以讓網絡應用變得更有安全性，為數據賦予了能夠靈活編程的功能，最大程度上降低業(yè)務難度，可保障數據應用安全[4]。

三、區(qū)塊鏈在數據安全領域的應用

（一）保證數據完整性，保護隱私信息

數據的完整性主要指信息在傳輸期間不會被非法授權修改或者破壞，能夠確保數據一致性。數據存儲期間，分布式賬本是區(qū)塊鏈中的核心技術，能夠讓各節(jié)點分別存儲數據，同時在共識機制的作用下保障數據一致。各節(jié)點都能監(jiān)督數據存儲的全過程，確保數據不會被惡意篡改，每個節(jié)點都無法單獨對賬本數據進行記錄，可避免單個節(jié)點被控制。區(qū)塊鏈技術應用后，采取單一鏈式結構存儲數據，如果想要修改某部分區(qū)塊的內容，就要對全部區(qū)塊指針進行更改。分布式存儲下，各節(jié)點都會保存數據副本，防止集中化存儲單點遇到故障問題。共識機制能夠用于數據驗證環(huán)節(jié)，無形中加大了對數據惡意攻擊的成本，黑客想要篡改數據，就要對區(qū)塊鏈中所有節(jié)點發(fā)起攻擊。除此之外，非對稱加密算法可以加密信息摘要，也就是數字簽名，信息的持有者可以使用私鑰，對信息摘要加密并得到簽名，數字簽名通常會附在信息原文之后，表明當前信息沒有被偽造，可保證信息的真實性與完整性，就像是手寫的簽名一樣不可抵賴[5]。

網絡環(huán)境下，用戶隱私至關重要，很多黑客侵入網絡服務器，將用戶的信息掃描下載，以此威脅對方。例如在2019年的Facebook信息泄露事件當中，有超過5億用戶的賬戶信息被盜，同時黑客將一部分敏感信息出售于暗網中，此時加密算法的應用尤為必要。在數據存儲環(huán)節(jié)應用非對稱加密技術，對用戶數據及時加密處理，即便是黑客獲取了敏感數據，對方也無法將數據解密，這是因為只有掌握私鑰的收信者才能解開加密信息，公鑰加密的信息只能解密密鑰。除此之外，還可以建立聯盟鏈，只有成員才能進入網絡，未經過認證通過的成員不能加入網絡，這在一定程度上防止了黑客從外部渠道入侵網絡。

（二）實施自我審計防護，抵抗DDoS

服務器中包含日志文件，系統安全人員會在檢查日志的同時查看是否存在黑客入侵的情況，多數黑客在入侵服務器的時候會獲得權限，隨后對用戶日志文件作出修改的操作，或者直接將日志刪除，安全人員將無法確認當前服務器是否被非法入侵。為做出及時判斷，可以采用智能合約進行日志審查，將提前編寫的審查腳本用于其中，系統24小時執(zhí)行審查工作，如果日志被黑客改動，安全人員將會收到智能合約發(fā)來的警告，及時審查日志文件，同時為程序設置防火墻，加強對任何惡意攻擊行為的智能化識別分析。

抵抗DDoS，最大程度上減輕服務器的運行壓力。實際上，DDoS攻擊主要指的是分布式拒絕服務攻擊，聯合各個計算機后對服務器發(fā)起攻擊，用戶無法訪問網站，信息技術應用下，黑客所擁有的僵尸網絡規(guī)模龐大，抵抗DDoS攻擊的代價與成本很高。采用區(qū)塊鏈，對DNS服務器進行分布式設計，從而以集體社區(qū)的手段積極應對來自DDoS的攻擊，減輕服務器運行壓力，也為系統安全人員提供反應與攔截的時間。除此之外，通過對智能合約的部署，以便及時監(jiān)控網絡流量，一旦出現問題可對網絡流量溯源與封鎖，保障數據沒有經過篡改，并在監(jiān)控軟件的使用下及時發(fā)現任何惡意篡改的現象。

（三）應用密碼學技術保護數據安全

1、對稱加密算法

發(fā)揮密碼學技術的應用優(yōu)勢，對稱加密算法能夠對相同的密鑰算法進行解密處理，信息傳輸的雙方在明確通信關系時一般會設置密鑰，依靠密鑰傳送信息。與此同時，對稱加密算法可以在明文數據展開加密處理，經過加密后的密文消息保護性較好，接收方可使用密鑰對密文詳細解析，最大程度上確保明文在傳輸期間的可靠性與安全性。實際數據保護過程中，對稱加密算法所需的計算量并不大，且該算法下的加密與解密能力較強，現如今已經被廣泛用于數據安全領域。當信息傳輸雙方使用的密鑰屬于同一組密鑰時，可以在對稱加密算法的試用下保障數據安全，依靠數據存儲傳輸情況提高數據安全性，為數據設置密鑰時應按照密碼學的技術需求選擇加密算法，從而突出算法對于數據的保護能力，并在DES和AES的算法下保證數據傳輸與存儲安全。

2、非對稱加密算法

與對稱加密算法相對而言，非對稱加密算法存在著非對稱的屬性特點，兩個不同的密鑰可對數據展開加密與解密處理，其中一個是公開密鑰，另一個是隱私密鑰。使用該算法時，用戶將會得到一組密鑰，甲方可使用私鑰存儲數據，保障數據安全。相比之下，公開密鑰能夠對外開放。而乙方在使用公開密鑰時也會使用數據加密的方式，為甲方提供密文，甲方使用私鑰完成密文解析，全方位保障數據使用安全。

3、哈希算法

這是密碼學技術的一部分，數據在相應的長度下可以利用哈希算法改變數據長度，提升數據在傳輸期間的使用效率。雖然數據輸出結果會存在一定差異性，而輸入的信息具有相似性特征。使用哈希算法能夠對數據有效處理，方便用戶獲得輸出結果，但是輸出的數據沒有源數據，通信環(huán)節(jié)中數據會對用戶進行傳送，保障哈希完整輸出，接收方在接收數據的同時完成哈希處理，防止數據受到篡改。

（四）應用安全通信協議與訪問限制技術

1、安全通信協議

當SSL協議展開安全通信操作時，會將數字證書作為出發(fā)點，并在網頁瀏覽器和服務器當中得到廣泛應用，最大程度上確保數據使用安全，特別是交互數據的使用安全。安全通信即SSL協議會在TCP與用戶操作層之間建立有效連接，用戶操作層以計算機數據為前提，會將數據傳輸到SSL層，協議中包含多個要素，可對數據加密處理，隨后在報文的首部位置加入SSL協議頭目，接著再添加數據信息，從而保證數據安全，提高交互數據使用安全性。在計算機與服務器的連接時應用安全通信協議，同時在握手協議的使用下完成終端與服務器交互，最后通過用戶的身份驗證，確立相對完善的數據安全通信體系，以此更好地保障數據安全。

2、訪問限制技術

一方面，客體訪問限制，這是根據主體判斷確定的訪問權限，訪問授權這一角色就是客體所有者，計算機內對于數據與文件夾的訪問權限也會歸數據所有者，他可以完成數據訪問數據與權限回收

另一方面，訪問限制安全判斷，這一過程中可以獲得對客體的訪問權限，數據安全的屬性與權限一般會歸屬于管理員。計算機管理員設置數據安全規(guī)則時，其他用戶在訪問限制的時候沒有任何數據篡改能力，所以訪問限制安全判斷可以保持數據安全屬性，強化數據保護效果。

（五）通過區(qū)塊鏈創(chuàng)建數據安全管理系統

1、系統架構

數據安全管理系統總共有頁面層、應用層以及區(qū)塊鏈層三部分。具體情況如下：

（1）頁面層。該層主要有幾個不同的模塊，首先，用戶管理模塊主要負責用戶注冊與系統登錄，用戶在注冊的時候，信息也會被存儲在模塊中，新用戶在注冊時需要經過老用戶審核，通過后才能登錄系統。其次，交易管理模塊，用戶具有數據交易與檢索的功能權限，在數據共享時，用戶可以檢索數據，找出數據提供者，采用線上的方式得到數據提供者的信任，再利用通信交流的功能得到密鑰，實現數據加密與解密處理。最后，權限管理模塊，主要負責對用戶使用權與訪問控制權的審核管理，提供方可以向使用方授予數據的使用權限。為避免出現惡意操作，審核通過之后系統會產生注冊記錄，并出現審核者的數字簽名，所有信息都會傳到區(qū)塊鏈，為后續(xù)關于責任的追溯創(chuàng)造便利條件。

（2）應用層，該部分主要包含兩個模塊，一個是智能合約，這是用戶與系統間的橋梁，主要負責對智能合約的管理，數據共享期間，智能合約模塊可以調用相應交易；另一個是數據同步模塊，這是同步當前區(qū)塊鏈節(jié)點數據的操作，通過數據同步保證區(qū)塊鏈節(jié)點中所有數據一致。

（3）區(qū)塊鏈層，這是系統的核心，區(qū)塊鏈屬于具有去中心化特點的數據庫，主要負責對用戶信息與交易記錄的存儲。數據被存儲于區(qū)塊鏈中，降低交易效率，但是在應用了IPFS技術及P2P分布式文件管理系統之后，大型數據會在提供方中保存，小型數據會被保存在區(qū)塊鏈中。

2、系統運行流程

整個系統的操作步驟大致如下：

（1）在多密鑰分發(fā)中心完成初始化操作的時候生成了主密鑰信息，則為參與方提供了公鑰與私鑰信息。

（2）登錄系統后，交易模塊可以提取用戶身份認證信息，調用接口，再對數據進行BGN加密，其他信息可完成簽密與密文，從而觸發(fā)智能合約的應用。智能合約將密文存儲于系統內，系統收到密文的同時會利用哈希算法得到哈希值。

（3）智能合約可以將源數據發(fā)送給區(qū)塊鏈數據庫，以字段為索引，為接下來數據檢索提供服務。數據庫將信息提交給使用者，通過身份驗證后雙方確立信任關系。

總結

總而言之，以數據安全作為重點，確立共享機制，基于區(qū)塊鏈的基本框架建立數據安全管理系統，通過對各項區(qū)塊鏈核心技術的應用，實現對數據的追溯管理，全方位保障數據使用安全。