區(qū)塊鏈技術在電子商務信息安全領域的應用

謝崇亮 茹潔芳

（廣州市艾樂特電子科技有限公司 廣東省廣州市 510665）

1 區(qū)塊鏈核心技術

區(qū)塊鏈技術是以密碼學、數(shù)學算法以及經濟模型為基礎結合成的數(shù)據(jù)加密貨幣的技術。在區(qū)塊鏈技術應用過程中可以以點對點網絡和使用分布式一致性算法對傳統(tǒng)分布式數(shù)據(jù)庫的同步問題進行解決。區(qū)塊鏈技術本身是一個集成的多領域基礎設施構建技術。在區(qū)塊鏈技術應用過程中主要的特點是分布性、透明性、開源性、自制性、不可改變性以及秘密性。而區(qū)塊本身是一種數(shù)據(jù)結構可以記錄交易，以區(qū)塊頭以及區(qū)塊主體組成。區(qū)塊鏈技術的關鍵技術主要包括以下方面：

（1）密碼學。在區(qū)塊鏈技術應用過程中，加密技術的方式比較多樣，可以將其用在交易、錢包、安全和隱私保護協(xié)議中。因此，密碼學是區(qū)塊鏈技術的重要組成之一，密碼學主要是利用復雜的數(shù)學對信息進行加密以及解密的方法。區(qū)塊鏈技術使用的密碼學是以哈希算法以及非對稱加密技術為主的，這樣能夠進一步保證信息的完整性以及安全性。比特幣中使用的加密是以橢圓加密為主。

（2）分布式存儲。當前的分布式存儲系統(tǒng)比較多，IPFS 就是從P2P 系統(tǒng)中發(fā)展出來的分布式文件系統(tǒng)，但是在多個主機中進行數(shù)據(jù)傳播時，分布式存儲系統(tǒng)會面臨一個主要問題，就是多個操作同時訪問數(shù)據(jù)時如何保持數(shù)據(jù)的一致性。比特幣以及以太網采用的方法是點對點技術。

（3）共識機制。這是一種容錯機制，主要是在計算機系統(tǒng)中應用的，可以在多代理系統(tǒng)中實現(xiàn)對單個數(shù)據(jù)值以及網絡的單個狀態(tài)的必要協(xié)議。而在區(qū)塊鏈的動態(tài)變化情況下，公共共享分類賬對安全機制的要求更高，必須保證網絡上的交易數(shù)據(jù)都是真實的。

（4）智能合約。智能合約本身是一種計算機程序，能夠對一些條件下各方數(shù)據(jù)的數(shù)字貨幣或者資產的轉移進行直接控制。合約存儲在鏈上可以使它們繼承分類賬技術為基礎的網絡關鍵屬性。在業(yè)務合作過程中，智能合約的優(yōu)勢比較突出，可以通過某種機制保證參與者對結果進行確定，不需要中間人參與。智能合約在電子商務信息安全領域中進行應用時，除了能夠完成流程自動化之外，還能對行為進行控制，并且可以發(fā)揮審計以及風險評估的應用優(yōu)勢。

（5）跨鏈技術。在區(qū)塊鏈應用過程中，鏈與鏈之間是高度異構化的，每一個區(qū)塊鏈網絡都具有較強的獨立性，數(shù)據(jù)信息不能進行互聯(lián)互通。而不同的區(qū)塊鏈網絡之間進行協(xié)作時難度比較大，會對區(qū)塊鏈的發(fā)展產生一定影響。跨鏈本質上是一種協(xié)議，能夠對兩個或者兩個以上的不同鏈上的資產以及功能狀態(tài)進行傳遞以及轉移，也就是說跨鏈技術是實現(xiàn)區(qū)塊鏈與區(qū)塊鏈之間協(xié)作的重要技術類型，跨鏈技術可以增加區(qū)塊鏈的可拓展性，并且可以對不同區(qū)塊鏈產生的信息孤島問題進行有效解決。

（6）分片技術。在數(shù)據(jù)庫設計過程中分片是一個重要的概念，可以將比較大的數(shù)據(jù)庫分成小而快的部分，而這一部分的管理工作更加簡單容易，可以進行擴容，同時能夠提高數(shù)據(jù)庫的性能。將分片技術思想運用在區(qū)塊鏈中，可以將大的任務拆分成能夠并行處理的多個小任務，這樣能夠提高區(qū)塊鏈技術的應用效果。在網絡中將整個任務分攤給所有參與的區(qū)塊鏈節(jié)點，然后利用多個網絡設備可以實現(xiàn)平行處理轉賬功能，達能進行分片處理工作的目的[1]。

2 區(qū)塊鏈技術的應用中存在的安全隱患

區(qū)塊鏈技術在應用過程中存在一些安全隱患，比特幣失控就是主要表現(xiàn)之一。對該技術的安全隱患進行分析時，需要從鏈上以及鏈下兩方面進行探討：

（1）鏈上安全隱患主要指的是存儲區(qū)塊鏈資產的區(qū)塊鏈在應用過程中存在的主要隱患為51%的攻擊，例如某一個人占據(jù)全網51%的算力時，就可以獲取新區(qū)塊的支配權。而51%攻擊指的是一組礦工對超過50%的網絡挖掘能力、計算能力以及哈希率進行控制，可以對新的交易發(fā)生或者被確認進行阻止。這會嚴重威脅交易的安全性以及可靠性。此外人為欺詐性上傳數(shù)據(jù)，如果因為區(qū)塊鏈技術占用過程中并沒有身份驗證機制，如果直接將人為造假的數(shù)據(jù)上傳到鏈上，區(qū)塊鏈機制會對這些假的數(shù)據(jù)進行保護，并且會保護后續(xù)交易。

（2）鏈下存在的安全隱患。鏈下存在的端點漏洞主要反映的是區(qū)塊鏈技術的整體安全，必須重視對端點漏洞進行解決。供應商風險也是鏈下的主要安全隱患之一，為了防止與供應商相關的區(qū)塊鏈出現(xiàn)缺陷，需要對為區(qū)塊鏈生態(tài)系統(tǒng)作出貢獻的供應商進行審查，才能保證供應商的可靠性。此外，公鑰以及密鑰之間的安全性，對區(qū)塊鏈進行訪問時需要使用公鑰以及密鑰，如果公鑰以及密鑰沒有正確組合不能對于區(qū)塊鏈中的數(shù)據(jù)進行訪問。這雖然是區(qū)塊鏈的優(yōu)勢，但是在實際應用過程中，也存在難以正確組合的劣勢[2]。

3 區(qū)塊鏈技術在電子商務信息安全領域的應用

3.1 保護隱私

在區(qū)塊鏈技術應用過程中，可以直接利用分布式結構可追溯性以及匿名性的特征達到隱私保護的目的。在區(qū)塊鏈中，可以將用戶的隱私數(shù)據(jù)發(fā)布在分布式賬本中，而攻擊者并不能入侵單一的節(jié)點獲取用戶的所有數(shù)據(jù)。這樣能夠在最大程度上防止數(shù)據(jù)泄露以及丟失。此外，區(qū)塊鏈的可追溯性能夠保證在數(shù)據(jù)采集交易以及流通過程中將每一步工作流程記錄在區(qū)塊鏈上，防止數(shù)據(jù)被篡改，進一步提高數(shù)據(jù)的隱私性。在區(qū)塊鏈技術中，每一個節(jié)點間的數(shù)據(jù)交換是以地址為基礎的，信息交易雙方可以通過匿名方式完成交易過程，能夠在很大程度上保證個人隱私信息的安全性[3]。

3.2 數(shù)據(jù)保護與恢復

在區(qū)塊鏈技術應用過程中構建分布式賬本具有不可篡改性，可以利用加密以及權限控制等方法提高數(shù)據(jù)的完整性、可用性。區(qū)塊鏈技術在對數(shù)據(jù)進行加密時，能夠防止數(shù)據(jù)在傳輸過程中被沒有經過授權的用戶訪問，而利用分布式記賬技術可以完成文件簽名工作，這樣能夠取代傳統(tǒng)簽名方式，防止攻擊者竊取數(shù)據(jù)資料。區(qū)塊鏈技術可以作為存儲數(shù)據(jù)的鏈條環(huán)環(huán)相扣，并且每一個鏈條之間具有一定獨立性，能夠防止其中一條鏈接鏈條上的數(shù)據(jù)出現(xiàn)問題而對其他鏈條數(shù)據(jù)產生影響。每加入一個新的數(shù)據(jù)環(huán)時，前一環(huán)的數(shù)據(jù)特征值可以被記錄在新的環(huán)節(jié)上，只要對某一環(huán)以及前后兩環(huán)的特征值進行驗證，就能夠對原始信息的準確性進行判斷，防止原始信息被篡改。因此，區(qū)塊鏈技術在電子商務信息網絡安全領域中具有更好的數(shù)據(jù)保護效果。

將數(shù)據(jù)分布在區(qū)塊鏈上時，主要是在對節(jié)點之間分布的與傳統(tǒng)數(shù)據(jù)庫中的數(shù)據(jù)存儲位置相比，區(qū)塊鏈上的每一個用戶都可以生成并維護數(shù)據(jù)的完整副本，這樣雖然會導致數(shù)據(jù)冗余，但是能夠在極大程度上提高數(shù)據(jù)的可靠性，保證網絡的容錯性。例如區(qū)塊鏈數(shù)據(jù)節(jié)點中，某些節(jié)點受到攻擊時，不會對其余部分的節(jié)點數(shù)據(jù)產生影響和損壞，很容易完成崩潰恢復工作。

3.3 與PKI結合的安全性更高

現(xiàn)階段，以公鑰基礎設施（PKI）為主的標準加密技術主要是以第三方認證機構為主完成用戶證書發(fā)放、激活以及存儲工作。如果黑客直接攻擊第三方認證機構可以直接偽造第三方認證機構，獲取用戶身份，同時破解加密通信，這會嚴重威脅數(shù)據(jù)的安全性。而在區(qū)塊鏈技術應用過程中，可以對非對稱加密技術進行應用，提高用戶身份信息的加密效果，通過發(fā)放密鑰的方式對真實身份進行驗證，信息驗證后并添加到區(qū)塊鏈，可以利用去中心化的方式對身份信息進行管理，防止身份信息被篡改，從而保證數(shù)字證書的安全性。因此，區(qū)塊鏈技術與公鑰基礎設施進行有效結合，對提高用戶證書信息的安全性有積極幫助。

3.4 支持安全性較高的DNS架構

區(qū)塊鏈技術在電子商務信息安全領域中進行應用的過程中，可以支持更加安全的DNS 架構。因為區(qū)塊鏈中的交易被確認后就可以防止其被篡改，可以利用這種特性將域名以及地址對應關系保存在區(qū)塊鏈中，能夠在全網形成共識，形成交易記錄。并且可以對域名服務器信息進行有效保存，使域名服務器具有更高的安全性，支持域名管理工作并防止域名服務器內出現(xiàn)病毒。

3.5 緩解DDoS攻擊

電子商務網絡信息安全領域中對區(qū)塊鏈技術進行應用能夠有效緩解DDoS 攻擊。DDoS 攻擊可以將多個計算機聯(lián)合起來發(fā)動攻擊，并且會利用較多合法的請求消耗目標網站的主機資源，導致被攻擊的對象不能正常運行。而區(qū)塊鏈技術在使用過程中，用戶可以加入分布式網絡，能夠緩解DDoS 攻擊。除此之外，還可以出租額外的貸款，支持流量過載的網絡，保證電子商務網絡的運行穩(wěn)定可靠[4]。

3.6 保護邊緣計算設備

在邊緣計算設備運行過程中，網絡體系以及網絡環(huán)境比較復雜，為了能夠為邊緣計算設備提供有效的隔離保護，需要增加大量網絡隔離設備。但是這樣會導致成本投入以及隔離設備的工作量增加。如果不在邊緣計算設備中設置隔離保護裝置，會導致邊緣計算設備容易被入侵或者攻擊，從而對整個網絡的安全產生影響。除此之外，如果在邊緣計算設備中沒有設置身份認證體系，攻擊者可以隨意進入終端，導致病毒傳播迅速，會使整個網絡癱瘓，影響正常的生產以及生活。而利用區(qū)塊鏈技術能夠有效保護邊緣計算設備，可以降低隔離保護裝置的投入成本。因為區(qū)塊鏈技術是根據(jù)邊緣計算的不同以及終端設備情況分發(fā)數(shù)字證書的，能夠對功能權限以及數(shù)據(jù)權限進行有效控制，保證邊緣計算設備的運算安全以及存儲環(huán)境的安全性。除此之外，區(qū)塊鏈技術在應用過程中可以為邊緣計算設備提供身份認證體系，這樣在邊緣計算以及數(shù)據(jù)傳輸過程中需要先進行身份驗證，能夠進一步提高數(shù)據(jù)傳輸?shù)臏蚀_性以及安全性。

4 區(qū)塊鏈技術在應用中的優(yōu)勢以及面臨的挑戰(zhàn)

在電子商務信息安全領域中對區(qū)塊鏈技術進行應用具有以下優(yōu)勢與問題：第一，優(yōu)勢：在電子商務發(fā)展過程中，能夠將商業(yè)鏈條中的一些隱形環(huán)節(jié)擺到前端，而不同的服務商之間有互相指責的權利，并且每一個環(huán)節(jié)之間具有較強的獨立性，但是又具有較強的融合性，彼此之間可以互相監(jiān)督，在共同努力下可以呈現(xiàn)出結果，最終會出現(xiàn)品牌溢價降低。主要是因為對中間環(huán)節(jié)有更深度的了解。而在平臺結算體系中，服務商的服務體系以及結算方式并不統(tǒng)一，會對商業(yè)流通的順暢性產生影響。在電子商務中對區(qū)塊鏈技術進行應用，直接利用數(shù)字貨幣進行置換，能夠對每一個供應商的結算方式進行統(tǒng)一，保證所有供應鏈之間的平等性，防止供應鏈出現(xiàn)強勢以及弱勢的問題。第二，問題：區(qū)塊鏈技術在電子商務信息安全領域中進行應用時，面臨著較多挑戰(zhàn)。面臨的挑戰(zhàn)主要包括以下方面：

（1）初始成本區(qū)塊鏈技術在應用過程中能夠提高生產效率以及及時性，可以在極大程度上降低成本帶來的長期利益，但是在區(qū)塊鏈技術的最初使用過程中，其投入成本比較高。

（2）需要與遺留系統(tǒng)集成。在區(qū)塊鏈技術應用過程中需要將傳統(tǒng)的系統(tǒng)轉移到以區(qū)塊鏈為基礎的系統(tǒng)內，必須對先前的系統(tǒng)進行徹底檢修或者找到將現(xiàn)有系統(tǒng)以及區(qū)塊鏈系統(tǒng)進行有效集成的方法。但是區(qū)塊鏈解決方案不能對所有的功能進行處理，因此，不能完全根除遺留系統(tǒng)，就導致區(qū)塊鏈技術在應用過程中仍然受遺留系統(tǒng)的限制，不能充分發(fā)揮區(qū)塊鏈技術的應用優(yōu)勢。

（3）能源消耗問題。比特幣以及以太網，在使用過程中都是以工作量證明機制對區(qū)塊鏈上的交易進行驗證的，但是該機制在應用過程中必須對數(shù)學問題進行復雜計算才能達到驗證目的。而在計算過程中必須使用大量的能量來驅動計算機，這樣會導致能源消耗增加[5]。

5 結語

總而言之，在區(qū)塊鏈技術應用過程中具有較強的應用優(yōu)勢，雖然也存在鏈上以及鏈下的安全隱患，但是在電子商務信息安全領域中對區(qū)塊鏈技術進行應用，具有較強的價值。區(qū)塊鏈技術在應用過程中可以防止所有的交易記錄被篡改，并且不需要使用征信系統(tǒng)，能夠更好的保護個人隱私。除此之外，區(qū)塊鏈技術的去中心化特點可以使交易雙方直接進行交易，縮短交易時間，提高交易效率。這是區(qū)塊鏈技術在電子商務應用過程中的突出優(yōu)勢。為了促進區(qū)塊鏈技術在電子商務信息安全領域中的進一步發(fā)展以及應用，需要加強區(qū)塊鏈技術的研究，使其與電子商務行業(yè)的發(fā)展相適應。這樣才能夠利用區(qū)塊鏈技術保障電子商務的信息安全，對促進電子商務行業(yè)以及區(qū)塊鏈技術同步發(fā)展有積極意義。