丁 滟，王 闖，馮了了，王 鋒，常俊勝

(1.國(guó)防科技大學(xué)計(jì)算機(jī)學(xué)院,湖南 長(zhǎng)沙 410073;2.湖南大學(xué)信息科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410082)

1 引言

數(shù)據(jù)資源是大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的關(guān)鍵基礎(chǔ)，作為大數(shù)據(jù)時(shí)代重要的生產(chǎn)要素和戰(zhàn)略資產(chǎn)，其價(jià)值體現(xiàn)以數(shù)據(jù)開(kāi)放和流通為前提[1]。根據(jù)統(tǒng)計(jì)報(bào)告，單個(gè)機(jī)構(gòu)通常僅存儲(chǔ)15%與其業(yè)務(wù)相關(guān)的數(shù)據(jù)，所需的其他數(shù)據(jù)都來(lái)自其它機(jī)構(gòu)。因此，當(dāng)前基于網(wǎng)絡(luò)環(huán)境的聯(lián)盟式數(shù)據(jù)流通系統(tǒng)不斷涌現(xiàn)，加入機(jī)構(gòu)的用戶向系統(tǒng)提供數(shù)據(jù)信息，同時(shí)也可以獲取其他機(jī)構(gòu)提供的信息。通過(guò)數(shù)據(jù)流通將數(shù)據(jù)從數(shù)據(jù)生產(chǎn)端轉(zhuǎn)移至數(shù)據(jù)應(yīng)用端，從而打破“數(shù)據(jù)孤島”，深度挖掘數(shù)據(jù)價(jià)值[2,3]。然而，當(dāng)所流轉(zhuǎn)的信息具有較強(qiáng)的敏感性時(shí)(例如醫(yī)療、軍工數(shù)據(jù)等)，在優(yōu)化資源配置、促進(jìn)數(shù)據(jù)資源融合的同時(shí)，必須要保護(hù)數(shù)據(jù)資源不被違規(guī)使用，并能夠及時(shí)追蹤和發(fā)現(xiàn)違規(guī)侵權(quán)行為。因此，需要對(duì)流通的數(shù)據(jù)建立完善的追溯審計(jì)體制，實(shí)現(xiàn)數(shù)據(jù)流通的可追溯性。

區(qū)塊鏈?zhǔn)窃诋?dāng)前數(shù)字化社會(huì)中處理信任問(wèn)題的有效解決方案，成為近年的研究熱點(diǎn)。區(qū)塊鏈基于點(diǎn)對(duì)點(diǎn)P2P(Point-to-Point)網(wǎng)絡(luò)與密碼學(xué)的支持，綜合運(yùn)用分布式共識(shí)、智能合約及通證激勵(lì)等手段，實(shí)現(xiàn)了基于去中心化的信用保障，成功解決了去權(quán)威中心或多權(quán)威中心條件下的分布式系統(tǒng)信任問(wèn)題，并具有防偽造、防篡改和可追溯等安全特點(diǎn)。因此，基于區(qū)塊鏈技術(shù)設(shè)計(jì)實(shí)現(xiàn)對(duì)聯(lián)盟數(shù)據(jù)流通系統(tǒng)的數(shù)據(jù)流通監(jiān)管，利用區(qū)塊鏈記錄數(shù)據(jù)高度冗余、難于篡改的特性，來(lái)完成對(duì)安全敏感行為的記錄與控制，為聯(lián)盟數(shù)據(jù)流通系統(tǒng)提供可審計(jì)性保障。

在利用區(qū)塊鏈技術(shù)對(duì)聯(lián)盟數(shù)據(jù)流通完成可信增強(qiáng)的過(guò)程中，需要重點(diǎn)考慮以下幾個(gè)方面的問(wèn)題：

首先，數(shù)據(jù)流通系統(tǒng)中的數(shù)據(jù)存儲(chǔ)位置問(wèn)題?？梢灾苯訉?shù)據(jù)保存在區(qū)塊鏈上，也可以采用分布式數(shù)據(jù)存儲(chǔ)方式。保存在區(qū)塊鏈上，可以有效地利用區(qū)塊鏈的賬本組織方式保護(hù)數(shù)據(jù)的完整性，但是可以支持的數(shù)據(jù)存儲(chǔ)空間有限，并且只能支持?jǐn)?shù)據(jù)的增量式修改，缺乏靈活性。因此，采用分布式數(shù)據(jù)存儲(chǔ)與區(qū)塊鏈審計(jì)相結(jié)合的方式更符合聯(lián)盟數(shù)據(jù)流通系統(tǒng)的要求。

其次，聯(lián)盟數(shù)據(jù)流通系統(tǒng)的用戶身份刻畫(huà)問(wèn)題。在面向聯(lián)盟的系統(tǒng)中，聯(lián)盟由不同的組織組成，每個(gè)組織有自己的用戶。因此，在聯(lián)盟內(nèi)必須明確用戶的組成及數(shù)據(jù)的歸屬，并且在區(qū)塊鏈、數(shù)據(jù)庫(kù)以及系統(tǒng)終端上做到統(tǒng)一的身份管理，為數(shù)據(jù)訪問(wèn)行為的正確審計(jì)提供基礎(chǔ)支撐。

再次，聯(lián)盟數(shù)據(jù)流通系統(tǒng)的統(tǒng)一接入管理問(wèn)題。聯(lián)盟數(shù)據(jù)流通系統(tǒng)由用戶身份管理、數(shù)據(jù)存儲(chǔ)和區(qū)塊鏈監(jiān)管等多個(gè)模塊構(gòu)成，系統(tǒng)結(jié)構(gòu)復(fù)雜，需要有規(guī)范的便于追責(zé)的統(tǒng)一化接入管理來(lái)提供準(zhǔn)確的可靠的數(shù)據(jù)訪問(wèn)與上鏈審計(jì)。

針對(duì)以上問(wèn)題，本文提出了一種基于區(qū)塊鏈技術(shù)的復(fù)雜環(huán)境中的聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)，在組織內(nèi)部采用分布式文件系統(tǒng)完成數(shù)據(jù)存儲(chǔ)與訪問(wèn)，在此基礎(chǔ)上利用區(qū)塊鏈的去信任、不可篡改的特性對(duì)數(shù)據(jù)流通內(nèi)容與行為進(jìn)行監(jiān)管，研究基于區(qū)塊鏈監(jiān)管的數(shù)據(jù)流通體系。本文的主要工作包括：(1)提出了基于區(qū)塊鏈監(jiān)管的聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)模型，設(shè)計(jì)了系統(tǒng)架構(gòu)和層次式的用戶管理模式。(2)面向復(fù)雜環(huán)境下的數(shù)據(jù)流通問(wèn)題，提出了基于可信代理的優(yōu)化訪問(wèn)分系統(tǒng)結(jié)構(gòu)，定義可信代理統(tǒng)一數(shù)據(jù)訪問(wèn)接口，實(shí)現(xiàn)聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)的統(tǒng)一化接入。(3)提出了聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)的數(shù)據(jù)流通協(xié)議，設(shè)計(jì)數(shù)據(jù)上傳流程與數(shù)據(jù)下載流程。(4)基于Hyperledger Fabric聯(lián)盟鏈實(shí)現(xiàn)了系統(tǒng)原型并進(jìn)行了分析，驗(yàn)證了數(shù)據(jù)流通及用戶并發(fā)請(qǐng)求等的規(guī)?？蓴U(kuò)展性，并為以后進(jìn)一步的優(yōu)化工作提出了方向。

2 相關(guān)研究

大數(shù)據(jù)產(chǎn)業(yè)的蓬勃發(fā)展對(duì)數(shù)據(jù)流通提出了日益增長(zhǎng)的需求。目前華為云、阿里云等云服務(wù)公司都已提供了數(shù)據(jù)可信流通解決方案，UCloud公司設(shè)計(jì)了基于數(shù)據(jù)沙箱的數(shù)據(jù)流通安全屋服務(wù)，DataHub針對(duì)使用平臺(tái)即服務(wù)PaaS(Platform as Service)的用戶提供了數(shù)據(jù)流通支持[4]。但是，這些服務(wù)基本將數(shù)據(jù)流通作為云服務(wù)的一部分來(lái)提供，與公有云服務(wù)邏輯深度耦合，難以滿足聯(lián)盟用戶內(nèi)部的數(shù)據(jù)流通需求。

自2008年Nakamoto[5]提出比特幣的設(shè)計(jì)構(gòu)想以來(lái)，區(qū)塊鏈逐漸從加密數(shù)字貨幣演變?yōu)橐环N提供可信區(qū)塊鏈即服務(wù)BaaS(Blockchain as a Service)的平臺(tái)，為弱中心/多中心分布式環(huán)境提供以賬本共識(shí)為基礎(chǔ)的信任基點(diǎn)。目前，區(qū)塊鏈技術(shù)被廣泛應(yīng)用于解決醫(yī)療、金融、物聯(lián)網(wǎng)和安全等特定敏感領(lǐng)域的數(shù)據(jù)安全存儲(chǔ)與共享問(wèn)題。針對(duì)電子病歷EMR(Electronic Medical Record)在數(shù)據(jù)流通共享中存在的問(wèn)題，文獻(xiàn)[6]將區(qū)塊鏈和離鏈存儲(chǔ)相結(jié)合，構(gòu)建了一個(gè)保護(hù)用戶隱私的個(gè)人數(shù)據(jù)管理平臺(tái)；文獻(xiàn)[7]則利用區(qū)塊鏈技術(shù)提出了一種創(chuàng)新的EMR信息處理系統(tǒng)，為病歷創(chuàng)建了一個(gè)可訪問(wèn)的歷史記錄；文獻(xiàn)[8]針對(duì)非可信環(huán)境的醫(yī)療數(shù)據(jù)共享問(wèn)題，通過(guò)區(qū)塊鏈實(shí)現(xiàn)了共享數(shù)據(jù)來(lái)源確定與訪問(wèn)審計(jì)；文獻(xiàn)[9]面向醫(yī)療記錄的安全共享，提出了基于雙區(qū)塊鏈的存儲(chǔ)與共享方案；文獻(xiàn)[10]基于以太坊和深度強(qiáng)化學(xué)習(xí)技術(shù)，在實(shí)現(xiàn)數(shù)據(jù)高效收集的同時(shí)，保證了數(shù)據(jù)的可靠共享；文獻(xiàn)[11]面向物聯(lián)網(wǎng)環(huán)境，基于區(qū)塊鏈和向量機(jī)技術(shù)實(shí)現(xiàn)了支持隱私保護(hù)的數(shù)據(jù)訓(xùn)練方案；文獻(xiàn)[12]提出了基于區(qū)塊鏈的告警日志安全存儲(chǔ)方法，提高了告警日志的存儲(chǔ)安全性與檢索速度。

在通用數(shù)據(jù)的共享存儲(chǔ)方面，針對(duì)有數(shù)據(jù)集中存儲(chǔ)方的情況，文獻(xiàn)[13]提出了去中心化共享存儲(chǔ)平臺(tái)Sia，將存儲(chǔ)提供方與用戶的存儲(chǔ)合約保存在區(qū)塊鏈上，從而對(duì)雙方行為進(jìn)行約束；文獻(xiàn)[14]提出了3層架構(gòu)的 TBchain用于保存云存儲(chǔ)中的對(duì)象元數(shù)據(jù)，并驗(yàn)證云存儲(chǔ)的數(shù)據(jù)是否發(fā)生了修改，實(shí)現(xiàn)了可信云存儲(chǔ)；文獻(xiàn)[15]提出了基于智能合約的多云平臺(tái)上的可靠協(xié)作模型，用于解決多云數(shù)據(jù)共享情況下的數(shù)據(jù)安全問(wèn)題。

另一方面，利用區(qū)塊鏈增強(qiáng)數(shù)據(jù)分散存儲(chǔ)的安全性也是研究熱點(diǎn)。其中，基于公有鏈(例如以太坊)開(kāi)發(fā)的區(qū)塊鏈共享存儲(chǔ)系統(tǒng)MetaDisk[16]和 Storj[17]，將存儲(chǔ)提供方提供的空閑空間組織起來(lái)，數(shù)據(jù)上傳后將分散保存在各地的存儲(chǔ)提供方處。這類技術(shù)的另一個(gè)代表是星際文件系統(tǒng)IPFS(Inter Planetary File System)[18]，該系統(tǒng)提供P2P的分布式文件存儲(chǔ),定義文件的分布存儲(chǔ)、索引和傳輸協(xié)議，并對(duì)資源提供者給予Filecoin代幣[19]的激勵(lì)。以IPFS為基礎(chǔ)，文獻(xiàn)[20]將IPFS與以太坊公有鏈相結(jié)合，并通過(guò)基于屬性的加密技術(shù)提高存儲(chǔ)安全性。在醫(yī)療領(lǐng)域，文獻(xiàn)[21]研究基于IPFS的醫(yī)療電子數(shù)據(jù)共享，并對(duì)患者與服務(wù)方之間的數(shù)據(jù)共享提供基于智能合約的訪問(wèn)控制；文獻(xiàn)[22]則針對(duì)醫(yī)療數(shù)據(jù)設(shè)計(jì)基于屬性的加密方案，實(shí)現(xiàn)基于IPFS的安全存儲(chǔ)和高效共享。

盡管去中心化的共享存儲(chǔ)系統(tǒng)可以有效利用閑置資源，降低數(shù)據(jù)存儲(chǔ)成本，但是基于公有鏈的數(shù)據(jù)安全存儲(chǔ)與用戶隱私保護(hù)都存在巨大的挑戰(zhàn)。并且，區(qū)塊鏈本身的存儲(chǔ)空間有限，無(wú)法承擔(dān)過(guò)大的數(shù)據(jù)存儲(chǔ)任務(wù)，全副本的數(shù)據(jù)管理方式也將帶來(lái)極大的資源浪費(fèi)。因此，本文在針對(duì)聯(lián)盟間的數(shù)據(jù)流通研究中，在采用分布式文件系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)與訪問(wèn)的基礎(chǔ)上，利用區(qū)塊鏈的去信任和不可篡改的特性對(duì)數(shù)據(jù)流通內(nèi)容與行為進(jìn)行監(jiān)管，研究基于區(qū)塊鏈監(jiān)管的數(shù)據(jù)流通體系。

3 聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)結(jié)構(gòu)

3.1 系統(tǒng)結(jié)構(gòu)

基于區(qū)塊鏈技術(shù)構(gòu)造聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)，可以利用區(qū)塊鏈的去信任和不可篡改的特性對(duì)數(shù)據(jù)流通內(nèi)容與行為進(jìn)行監(jiān)管。系統(tǒng)結(jié)構(gòu)如圖1所示。

用戶身份管理模塊負(fù)責(zé)驗(yàn)證系統(tǒng)中用戶的身份，并向通過(guò)驗(yàn)證的用戶頒發(fā)證書(shū)和密鑰。每個(gè)組織的授權(quán)中心CA(Certificate Authority)根據(jù)用戶在組織中的角色對(duì)該用戶進(jìn)行授權(quán)，并為組織擁有的數(shù)據(jù)設(shè)置訪問(wèn)控制規(guī)則，以限制具有不同訪問(wèn)權(quán)限的用戶對(duì)指定數(shù)據(jù)的訪問(wèn)。每個(gè)組織的用戶身份證明與訪問(wèn)授權(quán)規(guī)則都將上傳到監(jiān)管區(qū)塊鏈上，數(shù)據(jù)訪問(wèn)發(fā)生時(shí)將從監(jiān)管區(qū)塊鏈上獲取相關(guān)信息，實(shí)現(xiàn)對(duì)不同組織的用戶身份認(rèn)證。

數(shù)據(jù)訪問(wèn)模塊以用戶終端的形式，為用戶提供訪問(wèn)數(shù)據(jù)流通系統(tǒng)的功能接口。用戶可以通過(guò)終端上傳、瀏覽或下載數(shù)據(jù)，上傳的數(shù)據(jù)保存在各組織內(nèi)部的分布式數(shù)據(jù)庫(kù)中。用戶對(duì)數(shù)據(jù)的訪問(wèn)行為也將上傳到區(qū)塊鏈中接受監(jiān)管。

監(jiān)管區(qū)塊鏈模塊則是將監(jiān)管區(qū)塊鏈與分布式文件系統(tǒng)進(jìn)行融合，通過(guò)區(qū)塊的形式將系統(tǒng)中的用戶信息、數(shù)據(jù)信息及用戶對(duì)數(shù)據(jù)的訪問(wèn)過(guò)程等保存在區(qū)塊鏈上，形成不可篡改的審計(jì)記錄。

3.2 用戶管理

在面向聯(lián)盟的數(shù)據(jù)可信流通系統(tǒng)中，用戶主要分為以下3類：

(1)聯(lián)盟管理員用戶。

聯(lián)盟管理員是整個(gè)數(shù)據(jù)可信流通系統(tǒng)的管理員。該管理員只有1個(gè)，在本系統(tǒng)中，管理員必須是完全可信可靠的。聯(lián)盟管理員負(fù)責(zé)對(duì)各參與的組織管理員進(jìn)行身份認(rèn)證，生成證書(shū)和私鑰。在此基礎(chǔ)上，按照各組織之間的數(shù)據(jù)共享規(guī)則，生成訪問(wèn)控制規(guī)則。組織管理員證書(shū)和數(shù)據(jù)共享訪問(wèn)控制規(guī)則都保存在監(jiān)管區(qū)塊鏈上。

(2)組織管理員用戶。

組織管理員是每個(gè)組織內(nèi)部的管理員用戶，負(fù)責(zé)對(duì)本組織的用戶進(jìn)行身份認(rèn)證，并為每個(gè)用戶生成證書(shū)和私鑰。

(3)普通用戶。

普通用戶分別屬于自己所屬的組織，通過(guò)用戶終端訪問(wèn)數(shù)據(jù)流通系統(tǒng)，根據(jù)聯(lián)盟之間的數(shù)據(jù)共享規(guī)則，上傳或下載數(shù)據(jù)。

如圖1所示，在系統(tǒng)運(yùn)行過(guò)程中，所有數(shù)據(jù)通過(guò)分布式存儲(chǔ)系統(tǒng)完成流通。首先各組織的管理員通過(guò)組織內(nèi)部的CA對(duì)系統(tǒng)中的用戶進(jìn)行管理與授權(quán)。用戶通過(guò)數(shù)據(jù)訪問(wèn)終端將自己的數(shù)據(jù)上傳至本組織的分布式存儲(chǔ)系統(tǒng)中進(jìn)行保存。系統(tǒng)中其他對(duì)該數(shù)據(jù)具有訪問(wèn)權(quán)限的用戶則可以通過(guò)數(shù)據(jù)訪問(wèn)終端發(fā)起請(qǐng)求，從該組織的分布式存儲(chǔ)系統(tǒng)中下載數(shù)據(jù)。所有用戶對(duì)數(shù)據(jù)的上傳、下載等訪問(wèn)行為都會(huì)被記錄在監(jiān)管區(qū)塊鏈中。一旦記錄上鏈，便通過(guò)區(qū)塊鏈不可篡改的特性來(lái)保證記錄的完整性。

4 基于可信代理的優(yōu)化訪問(wèn)

由于聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)為分布式文件系統(tǒng)、監(jiān)管區(qū)塊鏈、訪問(wèn)終端等多個(gè)模塊的分布式協(xié)同工作提供服務(wù)，同時(shí)聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)的數(shù)據(jù)使用者和數(shù)據(jù)提供者數(shù)量龐大、組織松散，需要有規(guī)范的、便于追責(zé)的用戶訪問(wèn)行為管理者來(lái)提供準(zhǔn)確、可靠的上鏈數(shù)據(jù)。因此，本文在系統(tǒng)中引入了可信代理，一方面接入本組織內(nèi)部的文件存儲(chǔ)系統(tǒng)，提供文件上傳和下載服務(wù)，并驗(yàn)證用戶訪問(wèn)權(quán)限；另一方面接入監(jiān)管區(qū)塊鏈系統(tǒng)，提供可靠的關(guān)鍵文件資產(chǎn)數(shù)據(jù)及用戶訪問(wèn)行為數(shù)據(jù)。通過(guò)可信代理提供的統(tǒng)一服務(wù)接口，可以防止用戶訪問(wèn)終端直接接入系統(tǒng)時(shí)可能導(dǎo)致的用戶繞過(guò)應(yīng)用平臺(tái)直接獲取文件，避免監(jiān)管和激勵(lì)的失效問(wèn)題。為了避免可信代理繞過(guò)訪問(wèn)控制規(guī)則為用戶提供文件下載服務(wù)的漏洞，可以通過(guò)鏈下監(jiān)管機(jī)制對(duì)代理的可信性進(jìn)行監(jiān)管，避免鏈下的作弊行為。

4.1 可信代理分系統(tǒng)結(jié)構(gòu)

可信代理分系統(tǒng)的結(jié)構(gòu)如圖2所示。

在分系統(tǒng)中，文件訪問(wèn)可信代理是一個(gè)后臺(tái)Web服務(wù)。代理最主要的功能是與組織內(nèi)部的文件服務(wù)集群通信，為客戶端提供文件上傳和下載服務(wù)。另外，它還要與區(qū)塊鏈通信，定期同步文件信息、權(quán)限信息及用戶證書(shū)。客戶端可以直接從可信代理本地獲取文件列表，而不用每次都到區(qū)塊鏈上查詢。

為了控制對(duì)監(jiān)管區(qū)塊鏈的訪問(wèn)，系統(tǒng)為每一個(gè)組織生成一個(gè)虛擬的可信代理用戶“Agent”。組織管理員可以在集中管控端創(chuàng)建Agent用戶，生成證書(shū)和私鑰，然后再把證書(shū)和私鑰保存到可信代理處，這樣可信代理才能訪問(wèn)區(qū)塊鏈。

客戶端訪問(wèn)可信代理提供的API時(shí)，首先要進(jìn)行簽名驗(yàn)證。簽名驗(yàn)證不通過(guò)就不能進(jìn)行相關(guān)的操作。當(dāng)用戶下載文件時(shí)，除了進(jìn)行簽名驗(yàn)證，還要訪問(wèn)監(jiān)管區(qū)塊鏈進(jìn)一步驗(yàn)證用戶的訪問(wèn)權(quán)限。

4.2 可信代理的數(shù)據(jù)同步

在提供系統(tǒng)平臺(tái)統(tǒng)一接口的同時(shí)，可信代理還可以起到緩存數(shù)據(jù)的作用。當(dāng)用戶登錄客戶端時(shí)，所看到的文件列表以及文件的屬主信息、訪問(wèn)權(quán)限都是從可信代理本地獲取，但是當(dāng)用戶真正要下載文件或者購(gòu)買文件的所有權(quán)時(shí)還是需要到區(qū)塊鏈上檢驗(yàn)當(dāng)前用戶是否有足夠的權(quán)限進(jìn)行相關(guān)的操作。這樣既提高了訪問(wèn)性能，又保證了數(shù)據(jù)流通的安全性。

如圖2所示，可信代理將從監(jiān)管區(qū)塊鏈上定期提取最近修改的文件信息，并根據(jù)該信息指導(dǎo)從各組織的文件服務(wù)集群上獲取相應(yīng)的索引信息，生成目錄樹(shù)，并保存在本地的目錄服務(wù)器上。具體數(shù)據(jù)同步算法如算法1所示。

算法1DataSync

礦漿從設(shè)備上部入料口給入，水介質(zhì)則按預(yù)定的壓力和流速由泵打入設(shè)備底部的分配器，通過(guò)紊流板均勻分布到分選機(jī)底部，形成上升的脈動(dòng)水流。入料中的顆粒在分選機(jī)中做干擾沉降運(yùn)動(dòng)，沉降末速與上升水流流速相同的顆粒在分選機(jī)柱體中間懸浮形成干擾層，也稱沸騰床層。當(dāng)達(dá)到穩(wěn)定狀態(tài)時(shí)，密度低于干擾床層平均密度的顆粒將向上運(yùn)動(dòng)，進(jìn)入溢流；而高于干擾床層平均密度的顆粒將穿透床層進(jìn)入沉物流，并通過(guò)底部的排料口排出。干擾床分選機(jī)工作原理見(jiàn)圖3。

Input: null。

Output: null。

Whiletruedo

1ModifiedList←get latest file-modify entries from the blockchain;

2forentry_finModifiedListdo

3ifentry_fis stored on the remote file server

4then

5dir_f←get the file directory information ofentry_ffrom remote agent;

6else

7dir_f←get the file directory information ofentry_ffrom local file server;

8 build and save the directory tree in the local directory server;

9 update the file ofentry_findir_lon local directory server;

10interval←read time interval from configuration file;

11 sleep forintervalseconds

當(dāng)用戶登錄數(shù)據(jù)流通系統(tǒng)進(jìn)行訪問(wèn)時(shí)，可信代理將根據(jù)本地目錄服務(wù)器的緩存結(jié)果，并結(jié)合用戶的訪問(wèn)權(quán)限，為用戶提供可訪問(wèn)的數(shù)據(jù)視圖。

4.3 與監(jiān)管區(qū)塊鏈的交互

可信代理與監(jiān)管區(qū)塊鏈的交互主要包括：根據(jù)用戶名獲取用戶證書(shū)，根據(jù)文件ID獲取文件信息，根據(jù)時(shí)間戳同步文件列表,根據(jù)時(shí)間戳同步訪問(wèn)權(quán)限規(guī)則等。

(1)根據(jù)用戶名獲取用戶證書(shū)。

與常規(guī)的使用用戶名和密碼登錄方式不同，在可信代理分系統(tǒng)中用戶通過(guò)證書(shū)登錄客戶端。客戶端訪問(wèn)可信代理的API時(shí)使用證書(shū)進(jìn)行身份驗(yàn)證。可信代理默認(rèn)是不保存用戶證書(shū)的，需要到監(jiān)管區(qū)塊鏈上獲取用戶的證書(shū)信息。

(2)根據(jù)文件ID獲取文件信息。

如果可信代理需要獲取某個(gè)已知文件ID的文件信息，需要調(diào)用監(jiān)管區(qū)塊鏈提供的數(shù)據(jù)文件信息查詢接口，監(jiān)管區(qū)塊鏈將相應(yīng)的數(shù)據(jù)監(jiān)管信息發(fā)送到可信代理。

(3)根據(jù)時(shí)間戳同步文件列表。

為了保證本地緩存的數(shù)據(jù)元信息與監(jiān)管區(qū)塊鏈上的文件信息列表同步一致，可信代理會(huì)定時(shí)以時(shí)間戳為參數(shù)，從監(jiān)管區(qū)塊鏈上獲取文件信息列表，并將相應(yīng)的信息解析后，緩存到本地，以備用戶訪問(wèn)。

(4)根據(jù)時(shí)間戳同步訪問(wèn)權(quán)限規(guī)則。

可信代理為了保證本地緩存的訪問(wèn)權(quán)限規(guī)則與監(jiān)管區(qū)塊鏈端同步，會(huì)定時(shí)從監(jiān)管區(qū)塊鏈獲取權(quán)限規(guī)則，并將相應(yīng)的信息解析后，緩存到本地。當(dāng)用戶發(fā)出數(shù)據(jù)訪問(wèn)請(qǐng)求時(shí)，可信代理將首先判斷該行為是否滿足訪問(wèn)權(quán)限規(guī)則，被允許時(shí)才會(huì)繼續(xù)操作。

5 數(shù)據(jù)流轉(zhuǎn)設(shè)計(jì)

數(shù)據(jù)可信流通系統(tǒng)的數(shù)據(jù)訪問(wèn)監(jiān)管信息保存在監(jiān)管區(qū)塊鏈上，所有的數(shù)據(jù)流通行為通過(guò)可信代理發(fā)出請(qǐng)求，圍繞監(jiān)管區(qū)塊鏈進(jìn)行，最終的數(shù)據(jù)保存在分布式數(shù)據(jù)庫(kù)中。本節(jié)介紹數(shù)據(jù)流通的系統(tǒng)協(xié)作流程。

5.1 數(shù)據(jù)上傳流程

在數(shù)據(jù)可信流通系統(tǒng)中，普通用戶可以通過(guò)客戶端上傳數(shù)據(jù)，數(shù)據(jù)的成功上傳者擁有對(duì)數(shù)據(jù)的所有權(quán)。上傳數(shù)據(jù)時(shí)，系統(tǒng)首先對(duì)數(shù)據(jù)使用SM3國(guó)密算法進(jìn)行校驗(yàn)。如果數(shù)據(jù)已經(jīng)被他人上傳過(guò)，則上傳失敗。數(shù)據(jù)上傳時(shí)，客戶端要先訪問(wèn)代理，由代理將數(shù)據(jù)上傳到本組織內(nèi)部的分布式數(shù)據(jù)庫(kù)中，上傳成功之后，將文件摘要保存到監(jiān)管區(qū)塊鏈上。

如圖3所示，數(shù)據(jù)上傳過(guò)程中系統(tǒng)各模塊的具體處理流程如下所示：

(1)用戶在客戶端調(diào)用UploadFile()函數(shù)發(fā)起“數(shù)據(jù)上傳”請(qǐng)求，請(qǐng)求數(shù)據(jù)包含文檔數(shù)據(jù)、用戶ID和數(shù)字簽名，即UploadFile(FileData,UserID,Sig)。其中數(shù)字簽名Sig由客戶端以自己的私鑰Skuser為參數(shù)調(diào)用國(guó)密算法SM2生成，即Sig=SM2(SM3(FileData)，Skuser)。

(2)可信代理收到客戶端請(qǐng)求后，調(diào)用VerifyUsrSig()函數(shù)在鏈上查詢?cè)撚脩鬒D對(duì)應(yīng)的證書(shū)，從證書(shū)中取出該客戶端的公鑰Pkuser，然后調(diào)用國(guó)密算法SM2驗(yàn)證客戶端的數(shù)字簽名Sig。

(3)可信代理通過(guò)Digest()函數(shù)調(diào)用SM3算法計(jì)算所傳文檔的摘要，并調(diào)用監(jiān)管區(qū)塊鏈上智能合約的數(shù)據(jù)摘要查詢功能SearchDig。

(4)監(jiān)管區(qū)塊鏈的智能合約查詢鏈上保存了所有數(shù)據(jù)摘要，如果摘要已經(jīng)存在，則返回“數(shù)據(jù)已存在”的錯(cuò)誤信息，數(shù)據(jù)上傳終止。

(5)可信代理調(diào)用SaveFile()函數(shù)將數(shù)據(jù)存儲(chǔ)至本組織內(nèi)部的分布式文件系統(tǒng)中。

(6)存儲(chǔ)成功后，可信代理向監(jiān)管區(qū)塊鏈發(fā)起交易，調(diào)用智能合約的FileAudit()函數(shù)上傳數(shù)據(jù)的摘要及擁有者等元信息并獎(jiǎng)勵(lì)擁有者。

(7)監(jiān)管區(qū)塊鏈的智能合約將數(shù)據(jù)摘要和擁有者信息寫入鏈上賬本。

5.2 數(shù)據(jù)下載流程

用戶可以下載自己有權(quán)限下載的數(shù)據(jù)，具體的訪問(wèn)權(quán)限由聯(lián)盟根據(jù)組織之間的數(shù)據(jù)共享規(guī)則來(lái)制定。數(shù)據(jù)下載也要通過(guò)可信代理來(lái)完成?？尚糯硐葯z驗(yàn)用戶是否對(duì)數(shù)據(jù)擁有下載權(quán)，如果有才能執(zhí)行下載。所有數(shù)據(jù)訪問(wèn)必須通過(guò)可信代理來(lái)完成，這樣就避免了用戶繞過(guò)訪問(wèn)控制直接下載文件。

如圖4所示，數(shù)據(jù)下載流程如下所示：

(1)用戶在客戶端調(diào)用DownloadFile()函數(shù)發(fā)起“數(shù)據(jù)下載”請(qǐng)求，請(qǐng)求數(shù)據(jù)包含文檔數(shù)據(jù)、用戶ID和數(shù)字簽名，即DownloadFile(FileData,UserID,Sig)，生成數(shù)字簽名的方法與5.1節(jié)中的(2)一致。

(2)可信代理收到客戶端請(qǐng)求后，調(diào)用VerifyUsrSig()函數(shù)驗(yàn)證請(qǐng)求數(shù)據(jù)的數(shù)字簽名，驗(yàn)證數(shù)字簽名的方法與5.1節(jié)中的(2)一致，若驗(yàn)證失敗返回“Fail”消息。

(3)可信代理以用戶ID和文檔摘要為參數(shù)，調(diào)用智能合約AccessRight()函數(shù)查詢用戶是否有下載權(quán)限，并返回判斷結(jié)果。

(4)代理收到智能合約的權(quán)限判斷結(jié)果后，如果發(fā)現(xiàn)用戶沒(méi)有權(quán)限，則向客戶端返回“Fail”消息。

(5)如果用戶有訪問(wèn)權(quán)限，可信代理接著調(diào)用IsLocalFile()函數(shù)檢查將要下載的數(shù)據(jù)是否保存在本地文件服務(wù)器中，如果的確保存在本地，則直接從本地文件服務(wù)器中獲取文檔數(shù)據(jù)；否則以代理身份構(gòu)建數(shù)據(jù)下載請(qǐng)求，并發(fā)送給其他可信代理請(qǐng)求下載數(shù)據(jù)。

(6)可信代理將獲取的文檔返回給客戶端。

6 實(shí)驗(yàn)與分析

6.1 原型系統(tǒng)實(shí)現(xiàn)

超級(jí)賬本Hyperledger Fabric是一個(gè)模塊化且可擴(kuò)展的開(kāi)源系統(tǒng)，用于部署和操作授權(quán)的區(qū)塊鏈，其中的數(shù)據(jù)只允許系統(tǒng)內(nèi)不同的機(jī)構(gòu)進(jìn)行讀寫和發(fā)送交易，具有交易速度快、部分去中心化、可控性較強(qiáng)和交易成本低等特點(diǎn)。本文基于Hyperledger Fabric聯(lián)盟鏈構(gòu)建數(shù)據(jù)可信流通原型系統(tǒng)，并對(duì)其進(jìn)行性能分析。

Minio是在Apache License v2.0協(xié)議下發(fā)布的對(duì)象存儲(chǔ)服務(wù)器，與Amazon S3云存儲(chǔ)服務(wù)兼容，適合存儲(chǔ)非結(jié)構(gòu)化數(shù)據(jù)，如照片、視頻、日志文件、備份和容器/虛擬機(jī)映像。在本文中，可信代理端使用Minio進(jìn)行文檔數(shù)據(jù)統(tǒng)一管理，主要包括文件上傳、文件下載、文件查看和文件更新功能。

實(shí)驗(yàn)所采用的系統(tǒng)結(jié)構(gòu)部署如圖5所示。

為了體現(xiàn)不同組織以及組織與監(jiān)管區(qū)塊鏈之間的遠(yuǎn)程訪問(wèn)，分別部署了2臺(tái)云主機(jī)。在云主機(jī)1上部署了組織1的客戶端、可信代理與文件服務(wù)集群等，并且還部署了一個(gè)Peer節(jié)點(diǎn)(P1)加入監(jiān)管區(qū)塊鏈；在云主機(jī)2上部署了組織2的可信代理與文件服務(wù)集群等，以及2個(gè)Peer節(jié)點(diǎn)(P2和P3)加入監(jiān)管區(qū)塊鏈。此外，監(jiān)管區(qū)塊鏈還包括2個(gè)Order節(jié)點(diǎn)(O1和O2)，均部署在云主機(jī)2上。云主機(jī)的硬件參數(shù)配置如表1所示。

Table 1 Hardware parameters of experimental environment

6.2 性能分析

為了測(cè)試原型系統(tǒng)對(duì)不同大小文件的上傳和下載性能，本文構(gòu)造了若干組從1 KB到32 MB大小不等的文件，然后在單用戶模式下進(jìn)行了測(cè)試分析，結(jié)果如圖6所示。

由圖6可知，隨著文件大小的快速增大，原型系統(tǒng)的文件下載延遲和上傳延遲緩慢上升，這表明文件大小并不是影響原型系統(tǒng)文件上傳和下載性能的關(guān)鍵因素。此外，由于網(wǎng)絡(luò)延遲的影響，相比本地文件下載，遠(yuǎn)程文件下載延遲略微有所增加。不過(guò)相比文件下載延遲，文件上傳延遲隨著文件大小的增大呈現(xiàn)出明顯上升趨勢(shì)。由5.1節(jié)和5.2節(jié)可知，文件數(shù)據(jù)上傳流程大致分為：計(jì)算文檔數(shù)據(jù)摘要并進(jìn)行簽名校驗(yàn)，鏈上查詢數(shù)據(jù)摘要,存儲(chǔ)文件數(shù)據(jù),文件信息上鏈;本地文件數(shù)據(jù)下載流程大致分為：對(duì)下載請(qǐng)求進(jìn)行簽名校驗(yàn),鏈上查詢用戶下載權(quán)限,下載文件數(shù)據(jù)。相比本地文件下載，文件數(shù)據(jù)上傳需要額外計(jì)算文檔數(shù)據(jù)的摘要信息，并對(duì)摘要進(jìn)行簽名校驗(yàn)，因此文件上傳延遲與文件大小呈現(xiàn)正相關(guān)關(guān)系。

為了探究影響原型系統(tǒng)文件上傳和文件下載性能的關(guān)鍵因素，本文將文件上傳和文件下載流程進(jìn)行了分解，分別測(cè)試各部分在文件下載和文件上傳延遲中所占的比重。由于在遠(yuǎn)程文件下載流程中系統(tǒng)實(shí)際部署的網(wǎng)絡(luò)環(huán)境將對(duì)文件下載性能引入不確定的影響，為了排除網(wǎng)絡(luò)因素對(duì)性能分析的影響，本文主要針對(duì)本地文件下載和文件上傳進(jìn)行測(cè)試分析，測(cè)試結(jié)果如表2和表3所示。

Table 2 File upload latency breakdown

Table 3 Local file download latency breakdown

由表2和表3可知，存儲(chǔ)文件數(shù)據(jù)和下載文件數(shù)據(jù)的延遲比重僅占文件上傳延遲和本地文件下載延遲中的很小一部分，在文件上傳中，文件信息上鏈延遲比重達(dá)到了92.24%，而在本地文件下載中，鏈上查詢下載權(quán)限延遲比重則達(dá)到了94.01%。這表明，區(qū)塊鏈的交易吞吐率嚴(yán)重制約了原型系統(tǒng)的文件上傳和文件下載性能，為今后的性能優(yōu)化提供了方向。

為了測(cè)試原型系統(tǒng)的并發(fā)處理能力，本文將文件大小固定為1 KB，測(cè)試當(dāng)存在多個(gè)用戶同時(shí)上傳和下載文件時(shí)，原型系統(tǒng)平均處理延遲，測(cè)試結(jié)果如圖7所示。

由圖7可知，當(dāng)并發(fā)用戶數(shù)量較小時(shí)，遠(yuǎn)程下載延遲與本地下載延遲基本相同，當(dāng)并發(fā)用戶數(shù)量較大時(shí)，受限于網(wǎng)絡(luò)帶寬的影響，遠(yuǎn)程下載延遲明顯增加。此外，根據(jù)平均延遲曲線走勢(shì)來(lái)判斷，原型系統(tǒng)的平均響應(yīng)延遲與并發(fā)用戶的數(shù)量之間的關(guān)系并不是簡(jiǎn)單的線性關(guān)系。例如，由圖6可知，單個(gè)用戶下載大小為1 KB的文件,平均響應(yīng)延遲為2 509.46 ms，當(dāng)同時(shí)存在16個(gè)用戶從本地下載文件時(shí)，圖7表明此時(shí)系統(tǒng)的平均本地下載延遲為4 603.69 ms，平均下載延遲并不是簡(jiǎn)單地同比增加15倍，而是僅增加了83.4%。這得益于Hyperledger Fabric聯(lián)盟鏈采用了“執(zhí)行-排序-驗(yàn)證”共識(shí)機(jī)制，不同于比特幣等公有鏈采用的“排序-執(zhí)行”共識(shí)機(jī)制，“執(zhí)行-排序-驗(yàn)證”共識(shí)機(jī)制保證了區(qū)塊鏈網(wǎng)絡(luò)能夠并行處理用戶交易，極大提升了系統(tǒng)的交易吞吐率。

以上實(shí)驗(yàn)結(jié)果表明，區(qū)塊鏈網(wǎng)絡(luò)的交易吞吐率是制約原型系統(tǒng)文件上傳和下載性能的瓶頸，對(duì)區(qū)塊鏈網(wǎng)絡(luò)所使用的共識(shí)算法進(jìn)行優(yōu)化能極大提升原型系統(tǒng)的性能；隨著并發(fā)用戶數(shù)量的增加，原型系統(tǒng)的平均響應(yīng)延遲緩慢增加，具有一定的并發(fā)處理能力，改善硬件配置能進(jìn)一步釋放原型系統(tǒng)的并發(fā)處理性能。

7 結(jié)束語(yǔ)

針對(duì)復(fù)雜環(huán)境中數(shù)據(jù)流通系統(tǒng)中的數(shù)據(jù)存儲(chǔ)位置、用戶身份刻畫(huà)和系統(tǒng)的統(tǒng)一接入管理等問(wèn)題，本文提出了一種基于區(qū)塊鏈技術(shù)的聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)，以分布式數(shù)據(jù)庫(kù)作為底層數(shù)據(jù)存儲(chǔ)系統(tǒng)，通過(guò)區(qū)塊鏈審計(jì)機(jī)制來(lái)記錄文件數(shù)據(jù)、用戶身份及用戶行為信息，并通過(guò)可信代理實(shí)現(xiàn)聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)的統(tǒng)一化接入，避免非法用戶繞過(guò)區(qū)塊鏈的監(jiān)督對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)。下一步將進(jìn)一步研究如何實(shí)現(xiàn)輕量級(jí)共識(shí)算法，并將其應(yīng)用到聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)中，從而進(jìn)一步提升聯(lián)盟數(shù)據(jù)可信流通系統(tǒng)的文件吞吐率和并發(fā)處理能力。