王晓敏
关键词:区块链;FISCO BCOS数据存储系统;分布式KPI体系;同态加密系统Paillier
中圖分类号:TP311 文献标识码:B
文章编号:1009-3044(2023)12-0083-03
随着数字化时代的到来,构建数字孪生世界已经成为社会发展的必然趋势,高校信息化建设紧跟社会发展步入智慧校园3.0时代,打造智慧校园的基础服务体系成为各大高校发展必然趋势。以淮阴师范学院网站为典型例,多年来该学校组织建设完成了大量的业务系统,但是还有很多部门系统业务间关联的基础数据都没有真正被进行充分利用或挖掘,且有些部门单位间由于信息交叉流通利用不完全充分,业务数据已多年都被分散封存在学校各个内部业务系统网络中,需要定期进行内部统一业务数据清洗、管理。更需要一个一站式服务平台的统一管理和展示。本文通过对目前一站式服务平台的研究,发现数据存储问题,并结合区块链技术,提出构建基于区块链技术的一站式服务平台。
1 目前一站式服务平台架构及问题
1.1 目前一站式服务平台架构
一站式服务平台能够一次性解决了上述信息化建设中出现的问题,目前绝大多数高校的一站式服务平台框架(图1) ,拥有一个校级数据中心,通过制定完善的数据标准体制,在服务平台内置完整的数据标准管理工具和基于数据标准的业务建模工具。数据标准是由“数据集定义”和“代码集定义”两部分共同构成规范,是用于约束组织进行信息化建设时必须遵循的基础信息定义。通过定期从校级数据中心同步数据标准,并通过将业务构建过程与数据标准深度融合来保证服务平台生产的数据严格遵守数据标准。
1.2 一站式服务平台存在问题
在一站式服务平台建设过程中,采用统一数据中心方便管理的同时却增加了数据遭受攻击损坏或丢失的风险;平台的标准接口便于数据传输转换,然而在充分实现数据的相互交换、共享数据与整合服务的同时,数据的安全性没有保证,且频繁访问给数据中心带来过载压力,进而导致数据损坏或是丢失。用区块链作为一种新型的分布式数据库系统来替代一个中心化服务器问题。区块链基础上建立的数字记录,不可人为篡改、不可人工伪造,智能合约系统等能让所有业务参与者更高效顺畅地协同工作起来,从而共同建立起可信安全的社会数字经济秩序,提高交易数据的流转及效率,打破交易数据孤岛,打造一个全新的数字存储服务模式,保证数据的安全。根据区块链的特性,结合目前一站式服务平台,提出基于区块链的一站式服务平台的设想,利用区块链的特性完善一站式服务平台内数据存储安全和数据共享问题。
2 相关技术
2.1 数据存储安全
一站式服务平台内包含了学校各个业务系统庞大的各类数据,本平台采用基于区块链的存储方式,区块链不可篡改性是以数据冗余为代价的,高度冗余给内存造成巨大负担,严重影响区块链数据的安全。因此我们设计基于区块链的一站式服务平台时,为了消除区块链内存负载过大的问题,采用了链上链下综合存储的方式,只在链上节点中存储实时上传数据的哈希值。采用智能合约和分布式哈希表(distributionhash table,DHT) 相结合的方式创建数据索引[1]。
典型的FISCO BCOS数据存储系统[2]采用了分布式存储架构,分为状态层、分布式存储层和驱动层,如图2所示,状态层调用存储访问接口;存储层适配不同的表结构的多种存储系统,存储区块链核心的各种类型数据;驱动层完成数据库的各类访问逻辑。FISCOBCOS利用RocksDB解决了LevelDB内存占用高和文件描述符超限导致节点故障的缺陷,还可以通过NoSQL、SQL等数据管理方式对一站式服务平台的不同业务场景选择适合的数据库存储数据。
2.2 数据访问安全
由于一站式服务平台数据应用涉及学校广大师生群体的工作学习生活息息相关的方方面面,因此对数据资源访问及安全管控至关重要,要保证每个用户访问数据的合法性和隐私性,就要对用户身份权限进行控制和授权。一般采用身份认证和权限访问控制技术。
身份认证技术是用来鉴别用户在网络和操作系统中身份的技术,一般采用数字证书技术,而区块链不用依靠集中式的CA机构,就可以实现分布式PKI(public key infrastructure) 系统。本文采用基于区块链的分布式PKI体系,这个体系第一次是由Fromknecht等人[3-4]提出,实现分布式PKI的方式将鉴别用户的数字证书存放在区块链中,在网络中公开与之相关身份和证书公钥。但是此模式会泄露用户身份隐私,不适用于一站式服务平台的移动网络情形,为此,我们根据Axon等人[5-9]提出的隐私感知框架PB-PKI。把密钥存储在链下,通过邻近可信节点,利用链下存储的密钥实现对身份隐私的保护。这种通过链下存储加强了对链上密钥的加密保护,从而有效地避免了区块链网络中的公钥和用户身份的绑定。
权限访问控制技术是一种保护系统安全和用户隐私的另一项重要技术,通过授权方式,达到保护用户隐私的目的,不同的用户只能访问自己权限内的资源,没有授权的情况下,一个用户无法查看其他任何用户的资源信息。基于本文一站式服务平台采用链上链下协同的数据存储方式,因此访问控制技术也采用链上链下协同的数据访问控制技术。我们将被访问者的信息资源存储在链下,访问者只有获得授权令牌才能实现访问,为了保证令牌的真实可靠性,令牌是由被访问者利用访问者的链上公钥进行签名。此类访问控制技术有利于透明化细粒度的权限访问管理。
2.3 数据查询安全
为了提高数据查询效率,与链下数据库结合是基于区块链技术的一站式服务平台的主要的查询方法。利用MySQL数据库多样有效的查询功能,我们将链上数据实时同步到链下的MySQL数据库中进行有效查询。为了防止链下MySQL数据库中的数据被人为恶意篡改,我们利用加密算法设计了验证机制。当链上实时数据同步到链下时,引用哈希链处理存储数据,查询访问时需要先对数据进行验证,从而保证了链下数据的安全性,保证数据查询快速可靠。
2.4 数据共享安全
数据管理一个重要的需求就是对数据进行共享利用。一站式服务平台内各个业务部门数据繁复芜杂,出入管理系统,校园一卡通系统等各类系统,每日都能产生大量数据信息,如何在共享过程中保持数据的完整性,防止数据泄露也是本平台设计的难点。利用区块链的安全特性,建立数据共享系统。根据Zheng等人[10]提出基于区块链的可扩展且保护隐私的数据共享模型,为了保护敏感信息,可以把同态加密系统Paillier应用到链上,利用(p,k) 阈值Paillier加密机制在共享数据时保护交易信息,实现各个节点数据的共享计算。为了各个节点共享数据的传输的隐蔽性,根据司成祥的动态标签数据隐蔽传输方案,可以将含有标签的信息,利用哈希函数生成动态标签地址,发送方打包发送带有动态标签地址的隐私数据,接收方通过获取和识别动态标签地址,从而解析出隐私数据。
3 基于区块链的一站式服务平台设计框架
通过对区块链相关技术的学习,结合一站式服务平台的功能,采用基于FISCO BCOS数据存储的链上链下协同存储数据系统,利用分布式哈希表(distribution hash table,DHT) 和智能合约建立数据索引。多重签名技术可以灵活分配数据访问权限,是一站式服务平台数据存储的绝佳选择。基于区块链的分布式PKI体系,实现不篡改的身份认证功能,校史档案,师生个人信息,结合物联网技术存放设备信息等隐秘性数据,有效避免了电子数据的易篡改性;而且区块链数据带有时间戳,可用于教务系统的学历证明、财务系统的票据凭证以及审计部门的审计工作;区块链的隐私保护方法形成了信息化时代个人隐私的一个保障;智能合约可编程性使得一站式服务可以增加任意复杂的流程。
通过对区块链特性的分析,创新性将区块链与一站式服务平台结合起来,并设计出框架。
如图3所示,学校各业务部门部署本地化的区块链节点,快速实现区块链分布账本和业务系统数据的同步,为一站式服务平台提供实时数据信息。上链同步的数据仅为数据哈希,并不涉及完整原始数据,占用数据帶宽小,且业务部门不需要全量向中心化数据交换系统进行冗复制。验证所需要的数据哈希在所有业务发生时即完成了同步,从而能提高了验证效率,简化工作流程。
基于区块链的一站式服务平台,无论在技术上还是实践上都具有可行性,解决了一站式服务平台的数据问题,为校园治理决策提供了真实有效的数据基础,有利于高校未来信息化的发展。
4 结束语
本文作者提出的一种基于区块链技术实现的数据安全一站式安全服务平台的设计,解决了单一中心化数据中心的弊端,借助了区块链技术的强大特性,数据存储安全、数据访问安全、数据共享安全和数据查询安全几个方面,针对高校一站式服务平台的应用场景做出具体的设计,保证了一站式服务平台的数据安全性。
对于本系统而言,仍然存在很多技术难点有待突破。通过对区块链技术的深入研究,随着区块链在各行各业的广泛应用和国内外学者对于区块链的研究,虽然基于区块链进行数据管理的优势日益突出,但是在保证数据真实性和匿名性等方面仍需要努力。