樊淑炎，賽穎夫

（內(nèi)蒙古電力（集團(tuán)）有限責(zé)任公司信息通信分公司，內(nèi)蒙古 呼和浩特 010000）

隨著互聯(lián)網(wǎng)時(shí)代的發(fā)展，各行各業(yè)對(duì)網(wǎng)絡(luò)安全的要求越來越高，企業(yè)運(yùn)營(yíng)過程中數(shù)據(jù)無時(shí)無刻不在產(chǎn)生，同時(shí)在生活中，視頻、圖片等數(shù)據(jù)在社交平臺(tái)、線上支付等過程中隨時(shí)隨地生成，這些海量數(shù)據(jù)中隱藏著巨大的價(jià)值，包括個(gè)人隱私，從而產(chǎn)生數(shù)據(jù)權(quán)屬與數(shù)據(jù)安全等多方信任問題。

在數(shù)字技術(shù)不斷發(fā)展背景下，數(shù)據(jù)交互與數(shù)據(jù)共享的數(shù)據(jù)信息越來越龐大，如何確保數(shù)據(jù)安全成為社會(huì)各界密切關(guān)注的重點(diǎn)內(nèi)容，將區(qū)塊鏈技術(shù)融入到其中，充分發(fā)揮其不可篡改、可信度高等優(yōu)勢(shì)，解決過去由于中心化機(jī)構(gòu)出現(xiàn)的信任問題，從而為跨部門、跨企業(yè)數(shù)據(jù)交互、數(shù)據(jù)安全、成果認(rèn)定提供技術(shù)支撐。

區(qū)塊鏈本質(zhì)上是一個(gè)去中心化的數(shù)據(jù)庫(kù)，通過透明和可信規(guī)則，對(duì)防偽造、防篡改的塊鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)加以構(gòu)建，為不同領(lǐng)域展開多方協(xié)作提供有力支撐。密碼學(xué)是區(qū)塊鏈技術(shù)的核心之一，因此區(qū)塊鏈技術(shù)可以有效解決隱私保護(hù)、身份認(rèn)證、攻擊防御等問題，并極大保障網(wǎng)絡(luò)信息安全性。本文從研究區(qū)塊鏈核心技術(shù)入手，對(duì)區(qū)塊鏈技術(shù)在數(shù)據(jù)信息安全領(lǐng)域中的實(shí)踐應(yīng)用進(jìn)行研究，在有效保障數(shù)據(jù)信息安全的同時(shí)，推動(dòng)數(shù)據(jù)安全防御能力的逐步提升。

本文針對(duì)當(dāng)前中心化數(shù)據(jù)共享平臺(tái)存在數(shù)據(jù)溯源困難、數(shù)據(jù)責(zé)任劃分不明確、數(shù)據(jù)安全等問題，從支持DNS 架構(gòu)、緩解DDoS 攻擊、數(shù)據(jù)保護(hù)、崩潰恢復(fù)等方面入手，對(duì)區(qū)塊鏈技術(shù)在數(shù)據(jù)信息安全領(lǐng)域中的實(shí)踐應(yīng)用進(jìn)行細(xì)致設(shè)計(jì)，在有效保障數(shù)據(jù)信息安全的同時(shí)，推動(dòng)區(qū)塊鏈技術(shù)朝著更加深入的方向發(fā)展。

1 區(qū)塊鏈技術(shù)

區(qū)塊鏈?zhǔn)且粋€(gè)信息技術(shù)領(lǐng)域的術(shù)語，實(shí)際上是一個(gè)共享數(shù)據(jù)庫(kù)，存儲(chǔ)其中的數(shù)據(jù)信息具有全程留痕、不可篡改、后期可追溯等特征，基于這些特征也為區(qū)塊鏈技術(shù)奠定了較好的信任基礎(chǔ)。隨著近幾年科學(xué)技術(shù)不斷發(fā)展，區(qū)塊鏈共識(shí)機(jī)制、數(shù)據(jù)儲(chǔ)存、加密算法、智能合約等核心技術(shù)發(fā)展較為活躍，并為區(qū)塊鏈技術(shù)應(yīng)用和發(fā)展奠定良好基礎(chǔ)。

本文通過以下幾種核心技術(shù)的研究及應(yīng)用，實(shí)現(xiàn)基于區(qū)塊鏈的數(shù)據(jù)安全防御機(jī)制。

（1）共識(shí)機(jī)制。由于區(qū)塊鏈?zhǔn)且环N分布式記賬技術(shù)，在開展工作時(shí)沒有一個(gè)中心對(duì)多方協(xié)作進(jìn)行指揮和協(xié)調(diào)，為了更好解決數(shù)據(jù)錄入和同步數(shù)據(jù)問題，由一個(gè)共識(shí)機(jī)制發(fā)揮作用，比較常用的共識(shí)機(jī)制有PoS 權(quán)益證明、Paxos 算法等[1]。

（2）數(shù)據(jù)儲(chǔ)存。區(qū)塊鏈中的每個(gè)區(qū)塊都詳細(xì)、準(zhǔn)確地記錄了自創(chuàng)建日期起所有的交易信息，并嚴(yán)格按照時(shí)間順序生成和連接成鏈，在區(qū)塊頭主要儲(chǔ)存了區(qū)塊的多項(xiàng)特征值，如：時(shí)間戳、哈希值等，區(qū)塊體中則儲(chǔ)存了各種交易數(shù)據(jù)信息。

（3）網(wǎng)絡(luò)協(xié)議。在網(wǎng)絡(luò)層上，區(qū)塊鏈多采用P2P 協(xié)議，通過多個(gè)節(jié)點(diǎn)構(gòu)成網(wǎng)絡(luò)結(jié)構(gòu)，在該結(jié)構(gòu)中每個(gè)節(jié)點(diǎn)都處于平等位置，并且可以實(shí)現(xiàn)資源共享。

（4）加密算法。在區(qū)塊鏈中應(yīng)用較多的是哈希算法和非對(duì)稱加密算法，運(yùn)用哈希算法實(shí)現(xiàn)去中心化計(jì)算，有效保護(hù)區(qū)塊鏈系統(tǒng)安全性，非對(duì)稱加密算法包含公開密鑰和私有密鑰兩部分內(nèi)容，其中進(jìn)行信息交換由一方進(jìn)行公鑰或私鑰加密，另一方使用對(duì)應(yīng)私鑰或公鑰完成解密[2]。

（5）隱私保護(hù)。考慮到區(qū)塊鏈上儲(chǔ)存數(shù)據(jù)信息具有公開可見特征，為了取得隱私保護(hù)效果，通常會(huì)運(yùn)用一串無意義數(shù)字作為代號(hào)，但是這種方法可能會(huì)被破解，融入混幣、環(huán)簽名等技術(shù)，進(jìn)一步增強(qiáng)區(qū)塊鏈隱私保護(hù)。

（6）智能合約。作為一種特殊協(xié)議，利用程序算法代替人對(duì)合同內(nèi)容進(jìn)行貫徹執(zhí)行，在開展安全、可追溯交易時(shí)減少對(duì)第三方的依賴。

2 基于區(qū)塊鏈的數(shù)據(jù)安全防御系統(tǒng)設(shè)計(jì)原則

結(jié)合區(qū)塊鏈技術(shù)特點(diǎn)確保平臺(tái)建設(shè)的先進(jìn)性、成熟性和可實(shí)施性，同時(shí)遵循如下原則：

（1）網(wǎng)絡(luò)化誠(chéng)信原則

區(qū)塊鏈通過密碼學(xué)建立了一套共識(shí)系統(tǒng)，通過為數(shù)據(jù)加時(shí)間戳的方式來驗(yàn)證價(jià)值的唯一性。通過時(shí)間的唯一性來確保價(jià)值的唯一性。

（2）分布式系統(tǒng)原則

通過分布式網(wǎng)絡(luò)，區(qū)塊鏈網(wǎng)絡(luò)組織了一場(chǎng)較為公平的協(xié)作，網(wǎng)絡(luò)中的所有節(jié)點(diǎn)共同維護(hù)這套系統(tǒng)。

（3）安全性原則

區(qū)塊鏈網(wǎng)絡(luò)通過非對(duì)稱加密技術(shù)來保證系統(tǒng)的安全性。非對(duì)稱加密技術(shù)為數(shù)據(jù)提供了一個(gè)公匙和一個(gè)私匙，只有私匙才能具有對(duì)數(shù)據(jù)的支配權(quán)。黑客是無法獲取到私匙的，除非用戶泄漏了自己的私匙。

（4）隱私保護(hù)原則

在區(qū)塊鏈中，別人并不知道某條數(shù)據(jù)的歸屬人是誰。并且用戶個(gè)人的數(shù)據(jù)只能通過私匙才能訪問到他們的數(shù)據(jù)。

（5）權(quán)利保護(hù)原則

通過代碼編寫智能合約可以將規(guī)則或者法律數(shù)字化、代碼化，用戶利用自己的私匙對(duì)合約進(jìn)行簽署，只有滿足了對(duì)應(yīng)的條件才會(huì)執(zhí)行合約的內(nèi)容。

（6）包容性原則

在區(qū)塊鏈網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)的權(quán)利都是平等的，無論你在現(xiàn)實(shí)世界中是商業(yè)大亨還是街頭小販，都必須遵守同樣的規(guī)則。并且任何人都可以參與到整個(gè)網(wǎng)絡(luò)的建設(shè)中來，不需要你提供真實(shí)身份證明、信用證明、財(cái)產(chǎn)證明等，這是一場(chǎng)全人類都可以參與的事業(yè)。

3 基于區(qū)塊鏈的數(shù)據(jù)安全防御能力技術(shù)特點(diǎn)

（1）實(shí)現(xiàn)去中心化的數(shù)據(jù)共享，將密碼學(xué)、訪問控制等信息安全技術(shù)應(yīng)用于數(shù)據(jù)共享過程中的身份認(rèn)證、數(shù)據(jù)加密和權(quán)限控制。

（2）數(shù)據(jù)共享過程中數(shù)據(jù)不出庫(kù)。數(shù)據(jù)提供方不必將數(shù)據(jù)保存到第三方，需要使用數(shù)據(jù)的用戶將用于數(shù)據(jù)查詢分析的應(yīng)用程序部署到數(shù)據(jù)提供方節(jié)點(diǎn)上，數(shù)據(jù)的共享、使用在數(shù)據(jù)提供方節(jié)點(diǎn)上完成，數(shù)據(jù)提供方擁有數(shù)據(jù)控制權(quán)。在共享過程中使用隔離技術(shù)來完成計(jì)算，保障數(shù)據(jù)安全。

（3）使用區(qū)塊鏈作為可信的第三方數(shù)據(jù)庫(kù)，記錄數(shù)據(jù)的歸屬權(quán)及使用記錄，實(shí)現(xiàn)了數(shù)據(jù)確權(quán)。同時(shí)區(qū)塊鏈提供查詢服務(wù)，供每個(gè)參與方發(fā)現(xiàn)數(shù)據(jù)共享系統(tǒng)中的所有參與方。

（4）具有通用性、可擴(kuò)展性、魯棒性，并不局限于某些特定領(lǐng)域和某些特定的數(shù)據(jù)內(nèi)容，用于不同數(shù)據(jù)共享的業(yè)務(wù)場(chǎng)景。同時(shí)動(dòng)態(tài)地增加數(shù)據(jù)共享的參與方，并且部分節(jié)點(diǎn)的宕機(jī)并不會(huì)影響整個(gè)系統(tǒng)的運(yùn)行。

（5）構(gòu)建多主體間數(shù)據(jù)可信協(xié)作機(jī)制。基于區(qū)塊鏈的共識(shí)機(jī)制和分布式賬本技術(shù)，提供存證、取證、合約等服務(wù)接口，將各主體的關(guān)鍵業(yè)務(wù)數(shù)據(jù)上鏈存證，防止數(shù)據(jù)篡改，解決數(shù)據(jù)保密以及互信的問題，彌補(bǔ)數(shù)據(jù)安全方面的信任缺失，為數(shù)字服務(wù)構(gòu)建了更加值得信任的基礎(chǔ)設(shè)施，有助于提升多主體間的協(xié)同效率。

（6）實(shí)現(xiàn)數(shù)據(jù)共享和全生命周期溯源。針對(duì)不同業(yè)務(wù)場(chǎng)景的數(shù)據(jù)一致性問題，記錄每一個(gè)區(qū)塊鏈及相關(guān)存儲(chǔ)節(jié)點(diǎn)，達(dá)到唯一化標(biāo)記，從而實(shí)現(xiàn)數(shù)據(jù)從產(chǎn)生、傳輸、存儲(chǔ)，到共享應(yīng)用的全生命周期標(biāo)記，保障數(shù)據(jù)在不同環(huán)節(jié)應(yīng)用的唯一性，實(shí)現(xiàn)相關(guān)主體共享協(xié)同和業(yè)務(wù)數(shù)據(jù)的全生命周期可溯源。

模型（Ⅰ）使用信息熵做約束條件，在一定程度上做到分散化投資的效果，但是其未考慮投資者對(duì)風(fēng)險(xiǎn)的厭惡程度以及投資過程中對(duì)單個(gè)資產(chǎn)投資比例控制的因素，不利于投資者在收益與風(fēng)險(xiǎn)中做權(quán)衡以及單個(gè)資產(chǎn)投資比例的控制，因此我們?cè)谀Ｐ椭屑尤腼L(fēng)險(xiǎn)厭惡因子λ，同時(shí)考慮單個(gè)資產(chǎn)投資比例控制最低限和最高限，建立不確定性均值—方差—熵投資組合模型如下：

4 基于區(qū)塊鏈的數(shù)據(jù)安全防御能力技術(shù)實(shí)施及應(yīng)用

4.1 支持DNS 結(jié)構(gòu)

4.1.1 構(gòu)建鏈上的信任體系

通過支持DNS 結(jié)構(gòu)，構(gòu)建鏈上的信任體系，保障數(shù)據(jù)安全。區(qū)塊鏈最擅長(zhǎng)的是記錄交易，當(dāng)區(qū)塊鏈中的交易被確認(rèn)以后，想要進(jìn)行篡改難度比較大。區(qū)塊鏈DNS 就是利用了這個(gè)特性，在保障網(wǎng)絡(luò)信息安全時(shí)，可以充分利用區(qū)塊鏈這一優(yōu)勢(shì)特征，將域名、IP 地址相對(duì)應(yīng)操作記錄在區(qū)塊鏈當(dāng)中，同時(shí)取得全網(wǎng)不可篡改共識(shí)，所形成的交易記錄就可以較好保存域名服務(wù)器相關(guān)信息，實(shí)踐中可以對(duì)去中心化區(qū)塊鏈技術(shù)的域名服務(wù)器加以使用，不僅可以防止緩存投毒情況出現(xiàn)，還能夠支持域名管理。

4.1.2 以區(qū)塊化的客觀邏輯判斷智能合約

在底層的交易區(qū)塊鏈建立虛擬的分布式數(shù)據(jù)庫(kù)，通過區(qū)塊鏈的網(wǎng)絡(luò)節(jié)點(diǎn)建立起專用虛擬鏈，解決區(qū)塊鏈節(jié)點(diǎn)能讀取到操作原文但無法解析的問題。通過查詢解析新建的虛擬分布式數(shù)據(jù)庫(kù)地址，解決現(xiàn)在集中式的DNS 受到攻擊可能導(dǎo)致網(wǎng)絡(luò)大面積故障的問題。

解析地址和真實(shí)IP 地址的對(duì)應(yīng)關(guān)系是客觀存在的智能合約，并記錄在數(shù)據(jù)庫(kù)中，區(qū)塊鏈的DNS 主要做法是實(shí)際形成了“控制和數(shù)據(jù)”分離的模式，合理利用了區(qū)塊鏈擅長(zhǎng)交易的特點(diǎn)，且將最終解析關(guān)系的數(shù)據(jù)庫(kù)集中放在云端，而不是“鏈上”，有效避免鏈上分布式數(shù)據(jù)庫(kù)存在的缺陷。

4.2 緩解DDoS 攻擊

為了緩解數(shù)據(jù)可能受到的DDoS 攻擊，主要做法是通過區(qū)塊鏈的分布式數(shù)據(jù)庫(kù)拒絕攻擊服務(wù)將多個(gè)計(jì)算機(jī)有效聯(lián)合起來，使之作為攻擊平臺(tái)發(fā)動(dòng)攻擊，實(shí)踐中也可通過發(fā)送大量合法請(qǐng)求，對(duì)目標(biāo)網(wǎng)站主機(jī)資源進(jìn)行大量消耗，被攻擊以后的目標(biāo)對(duì)象無法繼續(xù)提供正常服務(wù)，而利用區(qū)塊鏈技術(shù)允許用戶加入到分布式網(wǎng)絡(luò)中，起到緩解DDoS 攻擊作用，還可以通過出租額外帶寬方式，對(duì)出現(xiàn)流量過載的網(wǎng)絡(luò)提供支持。

4.3 邊緣計(jì)算設(shè)備保護(hù)

由于邊緣計(jì)算的網(wǎng)絡(luò)體系和網(wǎng)絡(luò)環(huán)境比較龐大且復(fù)雜，實(shí)現(xiàn)對(duì)邊緣計(jì)算設(shè)備的隔離和保護(hù)，不僅工作量十分巨大，而且需要投入大量成本，若不對(duì)其實(shí)施保護(hù)，邊緣計(jì)算設(shè)備遭受入侵、攻擊的機(jī)率也會(huì)升高，并對(duì)整個(gè)網(wǎng)絡(luò)運(yùn)行安全產(chǎn)生不良影響。同時(shí)，如果邊緣計(jì)算終端設(shè)備沒有構(gòu)建身份認(rèn)證體系，攻擊者就可以通過病毒傳播、惡意軟件等方式，對(duì)網(wǎng)絡(luò)正常工作進(jìn)行破壞[3]。本文提出利用區(qū)塊鏈技術(shù)，對(duì)邊緣計(jì)算不同域、終端設(shè)備分發(fā)數(shù)字證書，設(shè)置數(shù)據(jù)和功能權(quán)限，以保障運(yùn)算和儲(chǔ)存環(huán)境安全、可靠。

4.4 數(shù)據(jù)保護(hù)

數(shù)據(jù)保護(hù)是指對(duì)政府、企業(yè)或者個(gè)人的重要數(shù)據(jù)進(jìn)行保護(hù)，防止在通信過程中因?yàn)閿?shù)據(jù)泄露而導(dǎo)致的危機(jī)及損失。在日益復(fù)雜的數(shù)據(jù)恢復(fù)環(huán)境中，數(shù)據(jù)保護(hù)策略方面更加嚴(yán)峻和重要。通過區(qū)塊鏈核心技術(shù)可以有效解決數(shù)據(jù)安全保護(hù)的問題，通過區(qū)塊鏈構(gòu)建的分布式賬本具有不可篡改特征，同時(shí)可以采取加密、權(quán)限控制等方式，對(duì)數(shù)據(jù)完整性、機(jī)密性加以保障，使各項(xiàng)信息數(shù)據(jù)在傳輸過程中不會(huì)被未經(jīng)過授權(quán)的用戶進(jìn)行訪問。同時(shí)，用文件簽名代替?zhèn)鹘y(tǒng)簽名，攻擊者無法對(duì)數(shù)據(jù)、文件進(jìn)行偽造和竊取，而存在于區(qū)塊鏈上的儲(chǔ)存數(shù)據(jù)鏈條是環(huán)環(huán)相扣的，每新加一環(huán)前一環(huán)數(shù)據(jù)特征值也會(huì)在新的環(huán)節(jié)上進(jìn)行記錄，只需對(duì)前后兩環(huán)特征值進(jìn)行驗(yàn)證，就可以準(zhǔn)確判斷出原始數(shù)據(jù)信息是否出現(xiàn)篡改情況，既實(shí)現(xiàn)了數(shù)據(jù)的前置保護(hù)機(jī)制，也能提供數(shù)據(jù)可能發(fā)生的篡改后追蹤，以保障后續(xù)數(shù)據(jù)安全防御針對(duì)性的提升。

4.5 隱私保護(hù)

在互聯(lián)網(wǎng)領(lǐng)域，個(gè)人隱私問題早被廣泛關(guān)注。隨著大數(shù)據(jù)時(shí)代的到來，這一問題更加突出，影響范圍也更加廣闊。眾所周知，大數(shù)據(jù)的收集、處理以及應(yīng)用安全是依賴于因特網(wǎng)，而因特網(wǎng)在傳輸信息時(shí)有著明顯的及時(shí)性、交互性和多元性等人機(jī)傳播方式及大眾傳播方式等特點(diǎn)，非常具有隱蔽性，這也導(dǎo)致了其信息在傳輸過程中出現(xiàn)了許多侵權(quán)行為，尤其是在個(gè)人隱私傳播方面表現(xiàn)的更加明顯。在大數(shù)據(jù)時(shí)代下，傳統(tǒng)個(gè)人隱私保護(hù)手段中的告知與許可、匿名化與模糊化逐步被破壞，個(gè)人隱私也受到了前所未有的威脅。數(shù)據(jù)安全防御中如何從根源上進(jìn)行隱私保護(hù)，以及篡改后的追蹤是一大難題。本文通過區(qū)塊鏈技術(shù)的分布式結(jié)構(gòu)、可追溯性等特性，實(shí)現(xiàn)用戶有效隱私保護(hù)。主要做法是，在區(qū)塊鏈中，涉及到的用戶隱私數(shù)據(jù)被隨機(jī)發(fā)布到分布式賬本中，僅通過入侵單一節(jié)點(diǎn)無法對(duì)用戶所有數(shù)據(jù)進(jìn)行搜集，實(shí)現(xiàn)了對(duì)用戶數(shù)據(jù)的有效保護(hù)。同時(shí)，通過區(qū)塊鏈可追溯性特征，所有采集、交易、流通等數(shù)據(jù)都準(zhǔn)確記錄在區(qū)塊鏈上，數(shù)據(jù)篡改不僅難度高，還容易被發(fā)覺，并且各節(jié)點(diǎn)之間進(jìn)行數(shù)據(jù)交換，也要建立在地址上面，進(jìn)行交易的雙方可以采取匿名方式進(jìn)行，可以防止個(gè)人隱私信息遭到泄漏。

4.6 崩潰恢復(fù)

數(shù)據(jù)傳輸中出現(xiàn)的數(shù)據(jù)冗余、容錯(cuò)、遭受外部攻擊導(dǎo)致的崩潰問題，可以通過區(qū)塊鏈核心技術(shù)得到有效治理。主要做法是，將區(qū)塊鏈上的所有數(shù)據(jù)均分布在對(duì)等節(jié)點(diǎn)之間，并且每個(gè)用戶都有權(quán)利對(duì)數(shù)據(jù)完整副本進(jìn)行生成和維護(hù)，盡管可能會(huì)出現(xiàn)數(shù)據(jù)冗余情況，但是可以極大保證數(shù)據(jù)可靠性，網(wǎng)絡(luò)的容錯(cuò)性也會(huì)大大增強(qiáng)，即便是某些節(jié)點(diǎn)遭受到外部攻擊，也不會(huì)對(duì)其余網(wǎng)絡(luò)造成破壞，進(jìn)行崩潰恢復(fù)也會(huì)更加快速和簡(jiǎn)單。

5 結(jié)束語

隨著互聯(lián)網(wǎng)和物聯(lián)網(wǎng)深入應(yīng)用與發(fā)展，數(shù)據(jù)已經(jīng)成為重要的資源財(cái)富。傳統(tǒng)數(shù)據(jù)管理由中心化機(jī)構(gòu)進(jìn)行管理，存在著極大的數(shù)據(jù)安全和數(shù)據(jù)共享問題。區(qū)塊鏈技術(shù)可以充分發(fā)揮其區(qū)塊鏈分布式結(jié)構(gòu)、不可篡改、可追溯等優(yōu)勢(shì)特征，并利用區(qū)塊鏈核心技術(shù)，有效解決非攻擊防御、身份認(rèn)證等問題。本文基于區(qū)塊鏈對(duì)數(shù)據(jù)安全防御能力技術(shù)進(jìn)行了研究與應(yīng)用，解決當(dāng)前數(shù)據(jù)交互、流通、共享、安全防御中存在的攻擊防御、數(shù)據(jù)保護(hù)、崩潰恢復(fù)等問題，緩解DDoS 攻擊，使用戶信息、重要數(shù)據(jù)等均得到全面有效的保護(hù)。