基于“區(qū)塊鏈-加密卡”的加密系統(tǒng)設(shè)計

易凡 劉燕莉

摘? 要：為了解決信息加密中硬件加密效率較低、軟件加密安全性不足的問題，設(shè)計了一種基于區(qū)塊鏈和高速密碼卡的軟硬件結(jié)合加密系統(tǒng)。系統(tǒng)在數(shù)據(jù)加密前增加了信息準(zhǔn)備步驟。通過去中心化的區(qū)塊鏈對待加密信息進(jìn)行處理，將計算機(jī)的硬件特征引入簽名驗簽，不通過第三方CA機(jī)構(gòu)即可達(dá)到可信的目的。加密系統(tǒng)避免了密碼資源暴露在網(wǎng)絡(luò)中，提高了效率，改善了用戶體驗，增強(qiáng)了點對點通信的安全強(qiáng)度。

關(guān)鍵詞：區(qū)塊鏈；智能合約；加密卡；摘要值

中圖分類號：TP309.7；TP183 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2023）09-0181-04

Abstract： In order to solve the problems of low efficiency of hardware encryption and insufficient security of software encryption in information encryption， a combined software and hardware encryption system based on blockchain and high-speed cryptographic card is designed. The system adds a new information preparation step before data encryption. By processing the information to be encrypted through a decentralized blockchain， the hardware characteristics of the computer are introduced into the signature and verification， the purpose of trustworthiness can be achieved without going through a third-party CA institution. The encryption system avoids the leakage of cryptographic resources in the network， increases efficiency， improves user experience， and enhances the security strength of peer-to-peer communication.

Keywords： blockchain; smart contract; cryptographic card; digest value

0? 引? 言

數(shù)據(jù)加密是計算機(jī)系統(tǒng)對信息進(jìn)行保護(hù)的一種可靠辦法。它利用密碼技術(shù)對待發(fā)送信息進(jìn)行編碼，實現(xiàn)信息隱蔽，從而起到保護(hù)信息安全的作用?？梢哉f，加密技術(shù)是網(wǎng)絡(luò)信息安全的基石。從加密技術(shù)的發(fā)展來看，大致可以分為軟件加密和硬件加密兩種形式。

軟件加密的定義比較寬泛，一般來講，經(jīng)過加密軟件授權(quán)與某一種或某幾種特定信息進(jìn)行綁定，再進(jìn)行加密的方法都稱為軟件加密。這里的特定信息通常包括三類，一是用戶信息如用戶名、用戶編號，二是計算機(jī)硬件特征如CPU序列號、MAC地址、硬盤序列號、BIOS信息，三是互聯(lián)網(wǎng)上的授權(quán)服務(wù)器綁定，是云計算模式的授權(quán)方案。其中，采用綁定計算機(jī)硬件特征的加密方式，不使用額外的硬件設(shè)備，易于管理和維護(hù)，且加密軟件可以電子化發(fā)行，有助于提高效率。但軟件加密的密碼資源存儲于主機(jī)內(nèi)，不法分子能通過技術(shù)手段獲取密碼資源，甚至篡改、偽造密碼資源，造成了一定的安全隱患。

相比于軟件加密，硬件加密的安全強(qiáng)度可以得到保證，它借助硬件設(shè)備來實現(xiàn)。在加密過程中，加密密鑰、加密算法、自定義文件、敏感數(shù)據(jù)等都存儲加密卡中。硬件加密所采用的加密卡一般都與計算機(jī)PCIE主板插槽完全匹配，可直接插入槽中工作。加密卡與計算機(jī)之間的數(shù)據(jù)通過PCIE總線進(jìn)行傳輸，所有的加解密過程都在加密卡中進(jìn)行。由于卡中的密碼資源相對獨立，沒有相應(yīng)的授權(quán)無法導(dǎo)出，極大地增加了加密的可靠性。但與此同時，硬件加密一次性永久授權(quán)的方式，無法方便實現(xiàn)用戶的按需購買和二次更新。另外，信息發(fā)送者采用加密卡單獨進(jìn)行加密時，必須委托CA頒發(fā)證書，之后向全網(wǎng)公布公鑰，獲取公鑰后對信息進(jìn)行加密。這個過程不僅需要選擇可信的第三方CA機(jī)構(gòu)，而且整個證書認(rèn)證體系的過程也影響了客戶體驗，造成了效率的降低。

為了解決上述兩種加密方式分別存在的問題，本文設(shè)計了一種基于“區(qū)塊鏈-加密卡”的軟硬件結(jié)合信息加密系統(tǒng)（以下簡稱加密系統(tǒng)）。

1? 加密系統(tǒng)設(shè)計

加密系統(tǒng)由區(qū)塊鏈模塊、加密卡硬件模塊和管理軟件模塊三部分組成。

1.1? 區(qū)塊鏈模塊

區(qū)塊鏈模塊包括區(qū)塊鏈底層平臺、智能合約及區(qū)塊鏈上層應(yīng)用：區(qū)塊鏈底層平臺由傳輸網(wǎng)絡(luò)中的計算機(jī)組成，在此基礎(chǔ)上，向上部署了智能合約上層應(yīng)用系統(tǒng)。由于區(qū)塊鏈反轉(zhuǎn)了應(yīng)用層和協(xié)議層之間的分布模式，區(qū)塊鏈應(yīng)用層為滿足用戶需求，需要調(diào)用協(xié)議層及智能合約層的接口，來豐富整個區(qū)塊鏈生態(tài)。

加密系統(tǒng)在傳輸網(wǎng)絡(luò)中部署區(qū)塊鏈模塊的流程包括了智能合約的部署、傳輸網(wǎng)絡(luò)中計算機(jī)賬號的注冊、摘要值的獲取。

1.1.1? 部署智能合約

智能合約作為目前區(qū)塊鏈的核心技術(shù)之一，是一種旨在以信息化方式傳播、驗證或執(zhí)行合同的計算機(jī)協(xié)議。智能合約最大的優(yōu)勢在于可以不通過第三方進(jìn)行可信交易，自動促進(jìn)、驗證或執(zhí)行可信的交易，這些交易可追蹤且不可逆轉(zhuǎn)。本系統(tǒng)借助智能合約完成數(shù)據(jù)的加密，部署智能合約需要五個步驟：

1）啟動并配置一個以太坊節(jié)點，首先安裝go語言，目的是編譯go-ethereum源碼；之后安裝安裝git用以拉取go-ethereum 源碼；獲取go-ethereum后，切換到指定的release branch；添加geth到系統(tǒng)路徑并啟動geth重要參數(shù)。當(dāng)出現(xiàn)如下類似結(jié)果時表明配置成功，如圖1所示。

2）編寫智能合約。合約部署交易的數(shù)據(jù)部分是初始化期間將要執(zhí)行的代碼。這部分代碼會做下面兩件事：運行構(gòu)造器部分的代碼，設(shè)置存儲值等。復(fù)制剩下的代碼到內(nèi)存區(qū)并返回。

3）智能合約經(jīng)以太坊虛擬機(jī)的編譯，成為計算機(jī)可運行的字節(jié)碼，同時會產(chǎn)生二進(jìn)制接口規(guī)范（ABI）。ABI是合約接口的JSON表示，包括了變量、事件和可以調(diào)用的方法；另外編譯能夠處理編譯時拋出的錯誤，確保不會在包含錯誤的源代碼上進(jìn)行編譯。

4）合約發(fā)起用戶將編譯好的字節(jié)碼文件通過發(fā)起交易的形式廣播到區(qū)塊鏈網(wǎng)絡(luò)中。

5）礦工確認(rèn)后將智能合約存入?yún)^(qū)塊鏈，同時使用節(jié)點的默認(rèn)地址為合約簽名，并得到智能合約所在地址及調(diào)用合約所需接口。

1.1.2? 注冊賬戶

傳輸網(wǎng)絡(luò)中的計算機(jī)通過區(qū)塊鏈上層應(yīng)用，注冊賬戶，獲得區(qū)塊鏈上唯一的賬戶ID。

1.1.3? 獲取摘要

各計算機(jī)通過智能合約，將公鑰數(shù)據(jù)及計算機(jī)硬件特性信息摘要上鏈存為塊消息；每個上鏈的計算機(jī)通過塊消息的哈希值，查找獲取塊消息中的公鑰及硬件特性信息摘要數(shù)據(jù)。

1.2? PCIE加密卡硬件模塊

PCIE加密卡采用PCIE插槽，內(nèi)部集成了一款64位的RISC嵌入式處理器，有專用的軟件集成開發(fā)環(huán)境和擴(kuò)展指令，支持SM1、SM2、SM3、SM4等國密算法以及DES、3DES、AES、RSA等多種國標(biāo)算法，適用于數(shù)字簽名與身份認(rèn)證。

加密卡基于StratixIII系統(tǒng)FPGA-DE3開發(fā)板實現(xiàn)，DE3開發(fā)板包含豐富的器件資源及外設(shè)結(jié)構(gòu)，有充足的開關(guān)、LED流水燈、按鍵，能夠滿足各種數(shù)據(jù)傳輸與加密的需求，內(nèi)部的高速擴(kuò)展接口可以實現(xiàn)與其他開發(fā)板的連接，提升了數(shù)據(jù)傳輸效率。DE3開發(fā)板不僅器件資源豐富，外設(shè)接口也相當(dāng)成熟，在設(shè)計時只需對FPGA芯片內(nèi)部控制系統(tǒng)進(jìn)行二次開發(fā)，減少了工作量。

考慮到加密卡在開發(fā)階段與應(yīng)用階段你的不同需求，設(shè)計了兩種電源供電：一是穩(wěn)壓電源供電，通過穩(wěn)壓電源直接輸出三路所需電壓到DE3開發(fā)板上。這種方案效率較高，輸出電流大，但同時功耗較高，噪聲大，使用前需要調(diào)節(jié)相應(yīng)參數(shù)，可以用于開發(fā)板的設(shè)計驗證階段。二是電源芯片供電，選用LT1764系列電源芯片將輸入的5 V直流電壓轉(zhuǎn)換成各個模塊所需要的不同電壓，這種方案輸出電流、噪聲、功耗都較小，設(shè)計完成后無須人工干預(yù)，適合用于開發(fā)板的實際工作階段。

本系統(tǒng)通過Nios II嵌入式處理開發(fā)包中的組件SOPC Builder完成SOPC子系統(tǒng)的定制，實現(xiàn)軟核系統(tǒng)的基本配置與生成；使用Verilog硬件描述語言對自定義控制模塊進(jìn)行描述并借助Altera集成開發(fā)環(huán)境Quartus II下載到主控芯片F(xiàn)PGA中。在硬件設(shè)計完成之后使用集成開發(fā)環(huán)境Nios II進(jìn)行軟件的開發(fā)與調(diào)試，實現(xiàn)對硬件邏輯的控制。在進(jìn)行數(shù)據(jù)傳輸時，開發(fā)板通過內(nèi)部FPGA芯片Nios II CPU接收與下發(fā)上位機(jī)命令，并在數(shù)據(jù)傳輸完成后將測試結(jié)果上傳，完成系統(tǒng)上位機(jī)與下位機(jī)間的數(shù)據(jù)交互。

1.3? 管理軟件模塊

管理軟件模塊提供雜湊算法API接口、公鑰加密API接口、簽名生成API接口、簽名驗證API接口，可以為用戶提供從公鑰加密到簽名、驗簽的一整套算法接口，無須借助其他設(shè)備與模塊，方便隨時調(diào)用。以簽名生成與簽名驗證為例，管理軟件模塊工作流程如下：

1）將所有業(yè)務(wù)請求參數(shù)按優(yōu)先級進(jìn)行排序。

2）將參數(shù)名稱和參數(shù)值鏈接成一個字符串。

3）在字符串的首尾加上簽名API接口密鑰組成一個新字符串。

4）對新字符串進(jìn)行散列運算得到API簽名，對簽名進(jìn)行編碼，完成簽名的生成。

5）對這兩個簽名進(jìn)行校驗，比對生成的API簽名是否一致，得出簽名的有效性。如果有效，則繼續(xù)執(zhí)行業(yè)務(wù)流程，否則拒絕請求。

當(dāng)布置完成區(qū)塊鏈網(wǎng)絡(luò)后，加密系統(tǒng)即可開展工作，其工作流程可以分為：信息準(zhǔn)備階段、信息加密階段、信息解密階段。

2? 信息準(zhǔn)備階段

計算機(jī)通過加密卡管理軟件模塊調(diào)用公私鑰對生成函數(shù)接口API，生成一組公私鑰對作為后續(xù)公鑰加密的密鑰。其中，公鑰傳入計算機(jī)內(nèi)存中，私鑰只存儲在加密卡中。

計算機(jī)調(diào)用加密卡雜湊算法API接口，將計算機(jī)的硬件特征信息加密生成計算機(jī)硬件特征信息摘要，存放于加密卡并上傳至計算機(jī)中。硬件特征信息摘要存放于加密卡的地址固定，內(nèi)容無法更改，包括CPU序列號、BIOS序列號、網(wǎng)卡MAC地址和硬盤序列號。

計算機(jī)將加密卡提供的公鑰及自身硬件特征信息摘要通過智能合約規(guī)定上傳至區(qū)塊鏈中，得到每個區(qū)塊地址哈希值。通過區(qū)塊鏈上層應(yīng)用，計算機(jī)可以根據(jù)區(qū)塊地址的摘要值獲取其他計算機(jī)公鑰及硬件特征信息摘要。信息準(zhǔn)備階段流程如圖2所示。

3? 信息加密階段

以兩臺通用計算機(jī)為例，描述信息加密階段流程：

1）在信息加密數(shù)據(jù)準(zhǔn)備完畢后，調(diào)用非對稱加密算法API接口，計算機(jī)Ⅰ以計算機(jī)Ⅱ的公鑰Ⅱ作為加密密鑰，以明文信息作為待加密數(shù)據(jù)，通過加密卡處理得到加密消息Ⅰ。

2）計算機(jī)Ⅰ從加密卡固定地址內(nèi)讀取自身的計算機(jī)硬件特征信息摘要Ⅰ，和加密消息Ⅰ拼接后，通過雜湊算法生成待驗簽消息Ⅰ。

3）計算機(jī)Ⅰ調(diào)用簽名算法API接口，以待驗簽消息Ⅰ作為待加密數(shù)據(jù)，以密碼卡內(nèi)的私鑰Ⅰ作為加密密鑰，通過加密卡處理得到簽名消息Ⅰ。

4）將加密消息Ⅰ和簽名消息Ⅰ打包發(fā)送給計算機(jī)Ⅱ完成加密流程。

信息加密階段流程如圖3所示。

4? 信息解密階段

以兩臺通用計算機(jī)為例，描述信息解密階段流程：

1）在信息加密完畢后，計算機(jī)Ⅱ從區(qū)塊鏈中獲取計算機(jī)Ⅰ的公鑰及硬件特征信息Ⅰ的摘要，調(diào)用驗簽算法API接口，以簽名消息Ⅰ作為待驗簽數(shù)據(jù)，以計算機(jī)Ⅰ的公鑰Ⅰ作為解密密鑰，在加密卡中解密簽名消息Ⅰ得到驗簽消息Ⅰ。

2）調(diào)用雜湊算法API接口，計算機(jī)Ⅱ?qū)⒂嬎銠C(jī)Ⅰ的硬件特征信息摘要Ⅰ與加密消息Ⅰ拼接后通過雜湊算法處理得到驗簽消息Ⅱ。

3）在計算機(jī)Ⅱ的密碼卡內(nèi)，對比驗簽消息Ⅰ和驗簽消息Ⅱ是否一致，如果一致則判定計算機(jī)Ⅰ身份信息無誤且數(shù)據(jù)未被更改。

4）計算機(jī)Ⅱ調(diào)用非對稱解密算法API接口，以加密消息Ⅰ作為待解密數(shù)據(jù)，以計算機(jī)Ⅱ密碼卡內(nèi)的私鑰Ⅱ作為解密密鑰解密得到明文；如果不一致則判定計算機(jī)Ⅰ身份信息無效或信息被篡改。

信息解密階段流程如圖4所示。

5? 結(jié)? 論

傳統(tǒng)區(qū)塊鏈體系中的加密算法大多沒有用于鏈上的數(shù)據(jù)的加密存儲，即任何人都能獲取鏈上數(shù)據(jù)，僅僅能實現(xiàn)了交易雙方身份的隱私。加密卡加密的方式雖然可以避免上述問題，卻因為第三方CA的介入，增加了加解密的流程。

本文設(shè)計的基于“區(qū)塊鏈-加密卡”信息加密系統(tǒng)，將區(qū)塊鏈、加密卡硬件、管理軟件進(jìn)行融合，在依靠硬件設(shè)備的參與保證了信息安全的同時摒棄了CA，減少了加密流程，大大提高了加解密及簽名驗簽效率，具有重要的價值。經(jīng)過對AES算法密鑰生成、加密解密運算進(jìn)行測試。在密鑰長度采用256位，數(shù)據(jù)分組長度為128位的ECB模式下，相較于傳統(tǒng)密碼機(jī)加密，其加密效率提高了大約27%。

參考文獻(xiàn)：

[1] 彭陽，孟李林，李年，等.基于FPGA的高速加密卡設(shè)計與實現(xiàn) [J].電子科技，2013，26（6）：42-45.

[2] 劉烊，侯方勇，陳雪.基于嵌入式系統(tǒng)硬件加密的技術(shù)研究 [J].黑龍江科技信息，2012（36）：105+11.

[3] 王繼業(yè)，高靈超，董愛強(qiáng)，等.基于區(qū)塊鏈的數(shù)據(jù)安全共享網(wǎng)絡(luò)體系研究 [J].計算機(jī)研究與發(fā)展，2017，54（4）：742-749.

[4] HUANG B T，LIU Z G，CHEN J H，et al. Behavior pattern clustering in blockchain networks [J].Multimedia Tools and Applications，2017，76：20099–20110.

[5] 胡凱，白曉敏，高靈超，等.智能合約的形式化驗證方法 [J].信息安全研究，2016，2（12）：1080-1089.

[6] 李明.基于PCI-E高性能密碼卡的關(guān)鍵技術(shù)的研究 [D].西安：西安電子科技大學(xué)，2018.

[7] 唐樂爽，竇同銳，桑洪波，等.基于I/O前后端模型的密碼卡軟件虛擬化 [J].計算機(jī)系統(tǒng)應(yīng)用，2022，31（1）：286-294.

[8] 李萍，朱春琴，曹磊，等.基于高性能密碼實現(xiàn)的大數(shù)據(jù)安全研究 [J].無線互聯(lián)科技，2021，18（1）：104-107.

作者簡介：易凡（1990—），男，漢族，河南信陽人，工程師，碩士，研究方向：信息安全；劉燕莉（1988—），女，漢族，河南新鄉(xiāng)人，助教，碩士，研究方向：通信與信息系統(tǒng)。