樊淑炎，賽穎夫

（內(nèi)蒙古電力（集團）有限責(zé)任公司信息通信分公司，內(nèi)蒙古 呼和浩特 010000）

隨著互聯(lián)網(wǎng)時代的發(fā)展，各行各業(yè)對網(wǎng)絡(luò)安全的要求越來越高，企業(yè)運營過程中數(shù)據(jù)無時無刻不在產(chǎn)生，同時在生活中，視頻、圖片等數(shù)據(jù)在社交平臺、線上支付等過程中隨時隨地生成，這些海量數(shù)據(jù)中隱藏著巨大的價值，包括個人隱私，從而產(chǎn)生數(shù)據(jù)權(quán)屬與數(shù)據(jù)安全等多方信任問題。

在數(shù)字技術(shù)不斷發(fā)展背景下，數(shù)據(jù)交互與數(shù)據(jù)共享的數(shù)據(jù)信息越來越龐大，如何確保數(shù)據(jù)安全成為社會各界密切關(guān)注的重點內(nèi)容，將區(qū)塊鏈技術(shù)融入到其中，充分發(fā)揮其不可篡改、可信度高等優(yōu)勢，解決過去由于中心化機構(gòu)出現(xiàn)的信任問題，從而為跨部門、跨企業(yè)數(shù)據(jù)交互、數(shù)據(jù)安全、成果認(rèn)定提供技術(shù)支撐。

區(qū)塊鏈本質(zhì)上是一個去中心化的數(shù)據(jù)庫，通過透明和可信規(guī)則，對防偽造、防篡改的塊鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)加以構(gòu)建，為不同領(lǐng)域展開多方協(xié)作提供有力支撐。密碼學(xué)是區(qū)塊鏈技術(shù)的核心之一，因此區(qū)塊鏈技術(shù)可以有效解決隱私保護、身份認(rèn)證、攻擊防御等問題，并極大保障網(wǎng)絡(luò)信息安全性。本文從研究區(qū)塊鏈核心技術(shù)入手，對區(qū)塊鏈技術(shù)在數(shù)據(jù)信息安全領(lǐng)域中的實踐應(yīng)用進行研究，在有效保障數(shù)據(jù)信息安全的同時，推動數(shù)據(jù)安全防御能力的逐步提升。

本文針對當(dāng)前中心化數(shù)據(jù)共享平臺存在數(shù)據(jù)溯源困難、數(shù)據(jù)責(zé)任劃分不明確、數(shù)據(jù)安全等問題，從支持DNS 架構(gòu)、緩解DDoS 攻擊、數(shù)據(jù)保護、崩潰恢復(fù)等方面入手，對區(qū)塊鏈技術(shù)在數(shù)據(jù)信息安全領(lǐng)域中的實踐應(yīng)用進行細(xì)致設(shè)計，在有效保障數(shù)據(jù)信息安全的同時，推動區(qū)塊鏈技術(shù)朝著更加深入的方向發(fā)展。

1 區(qū)塊鏈技術(shù)

區(qū)塊鏈?zhǔn)且粋€信息技術(shù)領(lǐng)域的術(shù)語，實際上是一個共享數(shù)據(jù)庫，存儲其中的數(shù)據(jù)信息具有全程留痕、不可篡改、后期可追溯等特征，基于這些特征也為區(qū)塊鏈技術(shù)奠定了較好的信任基礎(chǔ)。隨著近幾年科學(xué)技術(shù)不斷發(fā)展，區(qū)塊鏈共識機制、數(shù)據(jù)儲存、加密算法、智能合約等核心技術(shù)發(fā)展較為活躍，并為區(qū)塊鏈技術(shù)應(yīng)用和發(fā)展奠定良好基礎(chǔ)。

本文通過以下幾種核心技術(shù)的研究及應(yīng)用，實現(xiàn)基于區(qū)塊鏈的數(shù)據(jù)安全防御機制。

（1）共識機制。由于區(qū)塊鏈?zhǔn)且环N分布式記賬技術(shù)，在開展工作時沒有一個中心對多方協(xié)作進行指揮和協(xié)調(diào)，為了更好解決數(shù)據(jù)錄入和同步數(shù)據(jù)問題，由一個共識機制發(fā)揮作用，比較常用的共識機制有PoS 權(quán)益證明、Paxos 算法等[1]。

（2）數(shù)據(jù)儲存。區(qū)塊鏈中的每個區(qū)塊都詳細(xì)、準(zhǔn)確地記錄了自創(chuàng)建日期起所有的交易信息，并嚴(yán)格按照時間順序生成和連接成鏈，在區(qū)塊頭主要儲存了區(qū)塊的多項特征值，如：時間戳、哈希值等，區(qū)塊體中則儲存了各種交易數(shù)據(jù)信息。

（3）網(wǎng)絡(luò)協(xié)議。在網(wǎng)絡(luò)層上，區(qū)塊鏈多采用P2P 協(xié)議，通過多個節(jié)點構(gòu)成網(wǎng)絡(luò)結(jié)構(gòu)，在該結(jié)構(gòu)中每個節(jié)點都處于平等位置，并且可以實現(xiàn)資源共享。

（4）加密算法。在區(qū)塊鏈中應(yīng)用較多的是哈希算法和非對稱加密算法，運用哈希算法實現(xiàn)去中心化計算，有效保護區(qū)塊鏈系統(tǒng)安全性，非對稱加密算法包含公開密鑰和私有密鑰兩部分內(nèi)容，其中進行信息交換由一方進行公鑰或私鑰加密，另一方使用對應(yīng)私鑰或公鑰完成解密[2]。

（5）隱私保護?？紤]到區(qū)塊鏈上儲存數(shù)據(jù)信息具有公開可見特征，為了取得隱私保護效果，通常會運用一串無意義數(shù)字作為代號，但是這種方法可能會被破解，融入混幣、環(huán)簽名等技術(shù)，進一步增強區(qū)塊鏈隱私保護。

（6）智能合約。作為一種特殊協(xié)議，利用程序算法代替人對合同內(nèi)容進行貫徹執(zhí)行，在開展安全、可追溯交易時減少對第三方的依賴。

2 基于區(qū)塊鏈的數(shù)據(jù)安全防御系統(tǒng)設(shè)計原則

結(jié)合區(qū)塊鏈技術(shù)特點確保平臺建設(shè)的先進性、成熟性和可實施性，同時遵循如下原則：

（1）網(wǎng)絡(luò)化誠信原則

區(qū)塊鏈通過密碼學(xué)建立了一套共識系統(tǒng)，通過為數(shù)據(jù)加時間戳的方式來驗證價值的唯一性。通過時間的唯一性來確保價值的唯一性。

（2）分布式系統(tǒng)原則

通過分布式網(wǎng)絡(luò)，區(qū)塊鏈網(wǎng)絡(luò)組織了一場較為公平的協(xié)作，網(wǎng)絡(luò)中的所有節(jié)點共同維護這套系統(tǒng)。

（3）安全性原則

區(qū)塊鏈網(wǎng)絡(luò)通過非對稱加密技術(shù)來保證系統(tǒng)的安全性。非對稱加密技術(shù)為數(shù)據(jù)提供了一個公匙和一個私匙，只有私匙才能具有對數(shù)據(jù)的支配權(quán)。黑客是無法獲取到私匙的，除非用戶泄漏了自己的私匙。

（4）隱私保護原則

在區(qū)塊鏈中，別人并不知道某條數(shù)據(jù)的歸屬人是誰。并且用戶個人的數(shù)據(jù)只能通過私匙才能訪問到他們的數(shù)據(jù)。

（5）權(quán)利保護原則

通過代碼編寫智能合約可以將規(guī)則或者法律數(shù)字化、代碼化，用戶利用自己的私匙對合約進行簽署，只有滿足了對應(yīng)的條件才會執(zhí)行合約的內(nèi)容。

（6）包容性原則

在區(qū)塊鏈網(wǎng)絡(luò)中，每個節(jié)點的權(quán)利都是平等的，無論你在現(xiàn)實世界中是商業(yè)大亨還是街頭小販，都必須遵守同樣的規(guī)則。并且任何人都可以參與到整個網(wǎng)絡(luò)的建設(shè)中來，不需要你提供真實身份證明、信用證明、財產(chǎn)證明等，這是一場全人類都可以參與的事業(yè)。

3 基于區(qū)塊鏈的數(shù)據(jù)安全防御能力技術(shù)特點

（1）實現(xiàn)去中心化的數(shù)據(jù)共享，將密碼學(xué)、訪問控制等信息安全技術(shù)應(yīng)用于數(shù)據(jù)共享過程中的身份認(rèn)證、數(shù)據(jù)加密和權(quán)限控制。

（2）數(shù)據(jù)共享過程中數(shù)據(jù)不出庫。數(shù)據(jù)提供方不必將數(shù)據(jù)保存到第三方，需要使用數(shù)據(jù)的用戶將用于數(shù)據(jù)查詢分析的應(yīng)用程序部署到數(shù)據(jù)提供方節(jié)點上，數(shù)據(jù)的共享、使用在數(shù)據(jù)提供方節(jié)點上完成，數(shù)據(jù)提供方擁有數(shù)據(jù)控制權(quán)。在共享過程中使用隔離技術(shù)來完成計算，保障數(shù)據(jù)安全。

（3）使用區(qū)塊鏈作為可信的第三方數(shù)據(jù)庫，記錄數(shù)據(jù)的歸屬權(quán)及使用記錄，實現(xiàn)了數(shù)據(jù)確權(quán)。同時區(qū)塊鏈提供查詢服務(wù)，供每個參與方發(fā)現(xiàn)數(shù)據(jù)共享系統(tǒng)中的所有參與方。

（4）具有通用性、可擴展性、魯棒性，并不局限于某些特定領(lǐng)域和某些特定的數(shù)據(jù)內(nèi)容，用于不同數(shù)據(jù)共享的業(yè)務(wù)場景。同時動態(tài)地增加數(shù)據(jù)共享的參與方，并且部分節(jié)點的宕機并不會影響整個系統(tǒng)的運行。

（5）構(gòu)建多主體間數(shù)據(jù)可信協(xié)作機制?；趨^(qū)塊鏈的共識機制和分布式賬本技術(shù)，提供存證、取證、合約等服務(wù)接口，將各主體的關(guān)鍵業(yè)務(wù)數(shù)據(jù)上鏈存證，防止數(shù)據(jù)篡改，解決數(shù)據(jù)保密以及互信的問題，彌補數(shù)據(jù)安全方面的信任缺失，為數(shù)字服務(wù)構(gòu)建了更加值得信任的基礎(chǔ)設(shè)施，有助于提升多主體間的協(xié)同效率。

（6）實現(xiàn)數(shù)據(jù)共享和全生命周期溯源。針對不同業(yè)務(wù)場景的數(shù)據(jù)一致性問題，記錄每一個區(qū)塊鏈及相關(guān)存儲節(jié)點，達(dá)到唯一化標(biāo)記，從而實現(xiàn)數(shù)據(jù)從產(chǎn)生、傳輸、存儲，到共享應(yīng)用的全生命周期標(biāo)記，保障數(shù)據(jù)在不同環(huán)節(jié)應(yīng)用的唯一性，實現(xiàn)相關(guān)主體共享協(xié)同和業(yè)務(wù)數(shù)據(jù)的全生命周期可溯源。

模型（Ⅰ）使用信息熵做約束條件，在一定程度上做到分散化投資的效果，但是其未考慮投資者對風(fēng)險的厭惡程度以及投資過程中對單個資產(chǎn)投資比例控制的因素，不利于投資者在收益與風(fēng)險中做權(quán)衡以及單個資產(chǎn)投資比例的控制，因此我們在模型中加入風(fēng)險厭惡因子λ，同時考慮單個資產(chǎn)投資比例控制最低限和最高限，建立不確定性均值—方差—熵投資組合模型如下：

4 基于區(qū)塊鏈的數(shù)據(jù)安全防御能力技術(shù)實施及應(yīng)用

4.1 支持DNS 結(jié)構(gòu)

4.1.1 構(gòu)建鏈上的信任體系

通過支持DNS 結(jié)構(gòu)，構(gòu)建鏈上的信任體系，保障數(shù)據(jù)安全。區(qū)塊鏈最擅長的是記錄交易，當(dāng)區(qū)塊鏈中的交易被確認(rèn)以后，想要進行篡改難度比較大。區(qū)塊鏈DNS 就是利用了這個特性，在保障網(wǎng)絡(luò)信息安全時，可以充分利用區(qū)塊鏈這一優(yōu)勢特征，將域名、IP 地址相對應(yīng)操作記錄在區(qū)塊鏈當(dāng)中，同時取得全網(wǎng)不可篡改共識，所形成的交易記錄就可以較好保存域名服務(wù)器相關(guān)信息，實踐中可以對去中心化區(qū)塊鏈技術(shù)的域名服務(wù)器加以使用，不僅可以防止緩存投毒情況出現(xiàn)，還能夠支持域名管理。

4.1.2 以區(qū)塊化的客觀邏輯判斷智能合約

在底層的交易區(qū)塊鏈建立虛擬的分布式數(shù)據(jù)庫，通過區(qū)塊鏈的網(wǎng)絡(luò)節(jié)點建立起專用虛擬鏈，解決區(qū)塊鏈節(jié)點能讀取到操作原文但無法解析的問題。通過查詢解析新建的虛擬分布式數(shù)據(jù)庫地址，解決現(xiàn)在集中式的DNS 受到攻擊可能導(dǎo)致網(wǎng)絡(luò)大面積故障的問題。

解析地址和真實IP 地址的對應(yīng)關(guān)系是客觀存在的智能合約，并記錄在數(shù)據(jù)庫中，區(qū)塊鏈的DNS 主要做法是實際形成了“控制和數(shù)據(jù)”分離的模式，合理利用了區(qū)塊鏈擅長交易的特點，且將最終解析關(guān)系的數(shù)據(jù)庫集中放在云端，而不是“鏈上”，有效避免鏈上分布式數(shù)據(jù)庫存在的缺陷。

4.2 緩解DDoS 攻擊

為了緩解數(shù)據(jù)可能受到的DDoS 攻擊，主要做法是通過區(qū)塊鏈的分布式數(shù)據(jù)庫拒絕攻擊服務(wù)將多個計算機有效聯(lián)合起來，使之作為攻擊平臺發(fā)動攻擊，實踐中也可通過發(fā)送大量合法請求，對目標(biāo)網(wǎng)站主機資源進行大量消耗，被攻擊以后的目標(biāo)對象無法繼續(xù)提供正常服務(wù)，而利用區(qū)塊鏈技術(shù)允許用戶加入到分布式網(wǎng)絡(luò)中，起到緩解DDoS 攻擊作用，還可以通過出租額外帶寬方式，對出現(xiàn)流量過載的網(wǎng)絡(luò)提供支持。

4.3 邊緣計算設(shè)備保護

由于邊緣計算的網(wǎng)絡(luò)體系和網(wǎng)絡(luò)環(huán)境比較龐大且復(fù)雜，實現(xiàn)對邊緣計算設(shè)備的隔離和保護，不僅工作量十分巨大，而且需要投入大量成本，若不對其實施保護，邊緣計算設(shè)備遭受入侵、攻擊的機率也會升高，并對整個網(wǎng)絡(luò)運行安全產(chǎn)生不良影響。同時，如果邊緣計算終端設(shè)備沒有構(gòu)建身份認(rèn)證體系，攻擊者就可以通過病毒傳播、惡意軟件等方式，對網(wǎng)絡(luò)正常工作進行破壞[3]。本文提出利用區(qū)塊鏈技術(shù)，對邊緣計算不同域、終端設(shè)備分發(fā)數(shù)字證書，設(shè)置數(shù)據(jù)和功能權(quán)限，以保障運算和儲存環(huán)境安全、可靠。

4.4 數(shù)據(jù)保護

數(shù)據(jù)保護是指對政府、企業(yè)或者個人的重要數(shù)據(jù)進行保護，防止在通信過程中因為數(shù)據(jù)泄露而導(dǎo)致的危機及損失。在日益復(fù)雜的數(shù)據(jù)恢復(fù)環(huán)境中，數(shù)據(jù)保護策略方面更加嚴(yán)峻和重要。通過區(qū)塊鏈核心技術(shù)可以有效解決數(shù)據(jù)安全保護的問題，通過區(qū)塊鏈構(gòu)建的分布式賬本具有不可篡改特征，同時可以采取加密、權(quán)限控制等方式，對數(shù)據(jù)完整性、機密性加以保障，使各項信息數(shù)據(jù)在傳輸過程中不會被未經(jīng)過授權(quán)的用戶進行訪問。同時，用文件簽名代替?zhèn)鹘y(tǒng)簽名，攻擊者無法對數(shù)據(jù)、文件進行偽造和竊取，而存在于區(qū)塊鏈上的儲存數(shù)據(jù)鏈條是環(huán)環(huán)相扣的，每新加一環(huán)前一環(huán)數(shù)據(jù)特征值也會在新的環(huán)節(jié)上進行記錄，只需對前后兩環(huán)特征值進行驗證，就可以準(zhǔn)確判斷出原始數(shù)據(jù)信息是否出現(xiàn)篡改情況，既實現(xiàn)了數(shù)據(jù)的前置保護機制，也能提供數(shù)據(jù)可能發(fā)生的篡改后追蹤，以保障后續(xù)數(shù)據(jù)安全防御針對性的提升。

4.5 隱私保護

在互聯(lián)網(wǎng)領(lǐng)域，個人隱私問題早被廣泛關(guān)注。隨著大數(shù)據(jù)時代的到來，這一問題更加突出，影響范圍也更加廣闊。眾所周知，大數(shù)據(jù)的收集、處理以及應(yīng)用安全是依賴于因特網(wǎng)，而因特網(wǎng)在傳輸信息時有著明顯的及時性、交互性和多元性等人機傳播方式及大眾傳播方式等特點，非常具有隱蔽性，這也導(dǎo)致了其信息在傳輸過程中出現(xiàn)了許多侵權(quán)行為，尤其是在個人隱私傳播方面表現(xiàn)的更加明顯。在大數(shù)據(jù)時代下，傳統(tǒng)個人隱私保護手段中的告知與許可、匿名化與模糊化逐步被破壞，個人隱私也受到了前所未有的威脅。數(shù)據(jù)安全防御中如何從根源上進行隱私保護，以及篡改后的追蹤是一大難題。本文通過區(qū)塊鏈技術(shù)的分布式結(jié)構(gòu)、可追溯性等特性，實現(xiàn)用戶有效隱私保護。主要做法是，在區(qū)塊鏈中，涉及到的用戶隱私數(shù)據(jù)被隨機發(fā)布到分布式賬本中，僅通過入侵單一節(jié)點無法對用戶所有數(shù)據(jù)進行搜集，實現(xiàn)了對用戶數(shù)據(jù)的有效保護。同時，通過區(qū)塊鏈可追溯性特征，所有采集、交易、流通等數(shù)據(jù)都準(zhǔn)確記錄在區(qū)塊鏈上，數(shù)據(jù)篡改不僅難度高，還容易被發(fā)覺，并且各節(jié)點之間進行數(shù)據(jù)交換，也要建立在地址上面，進行交易的雙方可以采取匿名方式進行，可以防止個人隱私信息遭到泄漏。

4.6 崩潰恢復(fù)

數(shù)據(jù)傳輸中出現(xiàn)的數(shù)據(jù)冗余、容錯、遭受外部攻擊導(dǎo)致的崩潰問題，可以通過區(qū)塊鏈核心技術(shù)得到有效治理。主要做法是，將區(qū)塊鏈上的所有數(shù)據(jù)均分布在對等節(jié)點之間，并且每個用戶都有權(quán)利對數(shù)據(jù)完整副本進行生成和維護，盡管可能會出現(xiàn)數(shù)據(jù)冗余情況，但是可以極大保證數(shù)據(jù)可靠性，網(wǎng)絡(luò)的容錯性也會大大增強，即便是某些節(jié)點遭受到外部攻擊，也不會對其余網(wǎng)絡(luò)造成破壞，進行崩潰恢復(fù)也會更加快速和簡單。

5 結(jié)束語

隨著互聯(lián)網(wǎng)和物聯(lián)網(wǎng)深入應(yīng)用與發(fā)展，數(shù)據(jù)已經(jīng)成為重要的資源財富。傳統(tǒng)數(shù)據(jù)管理由中心化機構(gòu)進行管理，存在著極大的數(shù)據(jù)安全和數(shù)據(jù)共享問題。區(qū)塊鏈技術(shù)可以充分發(fā)揮其區(qū)塊鏈分布式結(jié)構(gòu)、不可篡改、可追溯等優(yōu)勢特征，并利用區(qū)塊鏈核心技術(shù)，有效解決非攻擊防御、身份認(rèn)證等問題。本文基于區(qū)塊鏈對數(shù)據(jù)安全防御能力技術(shù)進行了研究與應(yīng)用，解決當(dāng)前數(shù)據(jù)交互、流通、共享、安全防御中存在的攻擊防御、數(shù)據(jù)保護、崩潰恢復(fù)等問題，緩解DDoS 攻擊，使用戶信息、重要數(shù)據(jù)等均得到全面有效的保護。