基于區(qū)塊鏈技術(shù)的數(shù)據(jù)存儲安全研究與應(yīng)用

徐福燕

1 背景

隨著計算機系統(tǒng)規(guī)模越來越大，全球數(shù)據(jù)存儲量呈現(xiàn)爆炸式增長，企業(yè)及互聯(lián)網(wǎng)數(shù)據(jù)以每年50%的速率在增長。據(jù)Gartner 預(yù)測，到2025 年，全球數(shù)據(jù)量將達(dá)到175ZB，而中國的數(shù)據(jù)總量也將達(dá)到48.6ZB。數(shù)據(jù)爆發(fā)性增長給數(shù)據(jù)存儲技術(shù)方案帶來了前所未有的變革。

傳統(tǒng)的中心化集中存儲經(jīng)常有數(shù)據(jù)丟失、網(wǎng)絡(luò)盜竊、個人隱私泄漏，甚至是運營關(guān)停等問題發(fā)生，而且集中存儲極大占用了骨干網(wǎng)網(wǎng)絡(luò)帶寬，而大規(guī)模擴容骨干網(wǎng)寬帶資源將消耗大量的投資，在中心化的存儲架構(gòu)下，該問題難以有效地解決。

分布式存儲以其高性能、方便平滑擴容、較高的數(shù)據(jù)安全等優(yōu)勢，已經(jīng)成為當(dāng)前存儲市場上主流的技術(shù)模式，受到了企業(yè)、政府及個人消費者的青睞。在分布式網(wǎng)絡(luò)中，需要存儲的用戶可以用更便宜的價格、更安全和透明地存儲數(shù)據(jù)，而且也大大縮短了數(shù)據(jù)查詢與調(diào)用的時延。

不管是集中存儲還是分布式存儲，主要的數(shù)據(jù)安全策略是進行RAID 備份，如RAID0+1、RAID5、RAID6 等。但RAID 機制仍有很大的局限性，如RAID6 方式，在同一集群內(nèi)也僅允許同時壞掉2 塊硬盤。如果分布式存儲節(jié)點出現(xiàn)網(wǎng)絡(luò)故障、電源故障或存儲設(shè)備故障時，就有可能造成存儲的重要數(shù)據(jù)資料丟失。

2009 年1 月份比特幣上線后，世界各國對區(qū)塊鏈的研究與應(yīng)用飛速發(fā)展，區(qū)塊鏈甚至被認(rèn)為是繼蒸汽機、電氣化、計算機之后的第四次工業(yè)革命的重要成果。經(jīng)過10 多年的技術(shù)沉淀，區(qū)塊鏈技術(shù)得到了長足發(fā)展，在全球領(lǐng)域內(nèi)已實現(xiàn)金融、政務(wù)、醫(yī)療、保險、工業(yè)制造等多個領(lǐng)域不同程度的應(yīng)用，社會對區(qū)塊鏈的價值和適用場景的認(rèn)識不斷提高，區(qū)塊鏈的去中心化、加密、防篡改等優(yōu)勢特性變得眾所周知。在區(qū)塊鏈時代的背景下，基于區(qū)塊鏈技術(shù)的分布式存儲應(yīng)運而生，為分布式存儲提供了加密、防篡改、自動恢復(fù)、多副本備份等功能，讓重要數(shù)據(jù)安若磐石，滿足市場上行業(yè)客戶對存儲數(shù)據(jù)高安全性的要求。

2 技術(shù)分析

2.1 分布式存儲技術(shù)

分布式存儲采用兩級架構(gòu)，管理運維功能集中部署在上層，數(shù)據(jù)節(jié)點分散下沉，對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問的能力，如圖1。分布式存儲采取集群建設(shè)模式，將寫入數(shù)據(jù)負(fù)載分擔(dān)到集群內(nèi)所有節(jié)點做數(shù)據(jù)切片存儲處理，擁有高效的寫入效率，并通過 EC（Erasure Code）糾刪碼策略、RAID6 等數(shù)據(jù)安全等多重保護策略，支持?jǐn)?shù)據(jù)重構(gòu)，提高寫入數(shù)據(jù)的安全性。

圖1 分布式存儲架構(gòu)

2.2 區(qū)塊鏈技術(shù)

區(qū)塊鏈?zhǔn)且环N去中心化的分布式電子記賬系統(tǒng)，是以區(qū)塊結(jié)構(gòu)存儲數(shù)據(jù)、多方共同維護的、使用密碼技術(shù)保證傳輸和訪問的分布式數(shù)據(jù)存儲技術(shù)體系。在加密算法的配合下，交易信息按照發(fā)生的時間順序記錄在區(qū)塊鏈系統(tǒng)中，并附帶相應(yīng)的時間戳。數(shù)字區(qū)塊必須通過所有參與交易的人一致同意才可以更新，因此不容易被攻擊者通過數(shù)據(jù)攔截、修改或刪除進行非法操作，具有去中心化、時序數(shù)據(jù)（即時間戳）、可追溯、防篡改、安全可信等特點。其主要核心技術(shù)是共識機制（PBFT、RBFT 等）、智能合約、多級密碼機制（數(shù)字簽名算法、安全哈希算法等）。

區(qū)塊鏈和分布式存儲技術(shù)相結(jié)合，充分利用了兩種技術(shù)的優(yōu)勢特征，是分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等計算機技術(shù)的新型應(yīng)用模式（圖2），解決了多點之間相互信任以及數(shù)據(jù)安全的問題，在智慧工地、醫(yī)療影像、電子病歷、法院卷宗、政務(wù)單據(jù)等方面都有廣闊的應(yīng)用前景。

圖2

3 方案設(shè)計（圖3）

1）在云資源池上，部署區(qū)塊鏈業(yè)務(wù)平臺，客戶可通過互聯(lián)網(wǎng)或VPN 網(wǎng)絡(luò)，將重要數(shù)據(jù)文件上傳到區(qū)塊鏈業(yè)務(wù)平臺上。

2）在分布式存儲節(jié)點上，同時部署區(qū)塊鏈功能節(jié)點。為了避免將存儲數(shù)據(jù)直接暴露在公網(wǎng)中，區(qū)塊鏈各節(jié)點通過VPN 網(wǎng)絡(luò)與云資源平臺上的區(qū)塊鏈業(yè)務(wù)平臺主節(jié)點進行對接交互，提高數(shù)據(jù)安全性。

3）區(qū)塊鏈業(yè)務(wù)平臺根據(jù)客戶需求，分配需要的存儲空間大小，按最小化訪問策略限制其他公網(wǎng)IP 訪問的黑白名單，并配置所需要的副本存儲數(shù)量（N=3，5，7 等）。

4）客戶將重要數(shù)據(jù)文件上傳到區(qū)塊鏈業(yè)務(wù)平臺，平臺將文件信息進行MD5 加密上鏈，并根據(jù)用戶的多副本存儲需求，異步存放到各個存儲節(jié)點中，通過多副本異地存儲的方式，大大提高了數(shù)據(jù)存儲的安全性和可靠性。

5）上傳的文件信息存儲到區(qū)塊鏈各節(jié)點上，各區(qū)塊鏈節(jié)點共同維護有效地保證了存儲數(shù)據(jù)不被篡改。

6）系統(tǒng)可主動進行定期掃描，若某個存儲節(jié)點數(shù)據(jù)損壞或丟失，區(qū)塊鏈節(jié)點進行文件信息校驗，并從其他節(jié)點中重新獲取數(shù)據(jù)并進行修復(fù)。

圖3

在系統(tǒng)部署上，將區(qū)塊鏈存儲業(yè)務(wù)平臺劃分為能力層和業(yè)務(wù)接入層，業(yè)務(wù)接入層負(fù)責(zé)對接客戶側(cè)的互聯(lián)網(wǎng)或VPN 網(wǎng)絡(luò)接入，按公網(wǎng)、VPN 專網(wǎng)兩種方式分別設(shè)置接口機，能力層則將區(qū)塊鏈及存儲能力相關(guān)能力封裝為基礎(chǔ)核心能力，供接入層進行調(diào)用，以避免存儲節(jié)點和區(qū)塊鏈節(jié)點公網(wǎng)環(huán)境建設(shè)一套，VPN 環(huán)境再建設(shè)一套，達(dá)到節(jié)省建設(shè)投資并大大提高存儲資源利用率的效果。

在網(wǎng)絡(luò)安全上，系統(tǒng)訪問控制依據(jù)最小化按需訪問策略進行制定，主要通過防火墻限制訪問，通過協(xié)議和端口的限制，制定按需訪問控制策略。

4 應(yīng)用前景

1）智慧工地。在建筑工地上，建設(shè)工程往往涉及多家單位共同參與，設(shè)計、施工、監(jiān)理、審核，以及物料搬運、存放等涉及多方人員交互（圖4），人多事雜，而且信息化程度不高，很多建筑工地的施工圖紙、合同等紙質(zhì)材料成堆存放，待工程完工后裝運到總部歸檔，工期一久，存在字跡模糊不清、合同金額多次變動等諸多問題，無法得到及時有效監(jiān)管。此外，文件材料成袋存放或裝運，有丟失或損壞風(fēng)險，如工地坍塌、意外失火、大雨淋濕等情況下極易造成文件損毀。智慧工地借助區(qū)塊鏈技術(shù)，可以將設(shè)計圖紙、材料清單、合同等檔案材料及時上傳，加密上鏈保存，將文件以多副本形式存放在多個區(qū)塊鏈節(jié)點中，避免文件受損或被惡意篡改，及時得到有效的監(jiān)管，同時，多副本區(qū)塊鏈存儲方式，也極大提高了文件的安全性。

圖4

2）智慧醫(yī)療。傳統(tǒng)醫(yī)療云存儲一般也是單文件存儲方式，醫(yī)療病歷、醫(yī)療影像相關(guān)數(shù)據(jù)安全可靠性達(dá)不到容災(zāi)的要求。將存儲文件的MD5 信息加密上鏈，利用區(qū)塊鏈可信、防篡改等特點，保證醫(yī)療數(shù)據(jù)文件不被篡改和丟失，通過數(shù)字簽名實現(xiàn)了數(shù)據(jù)操作過程中的身份驗證，并對數(shù)據(jù)操作進行追蹤溯源。

3）法院卷宗。隨著信息化程度的不斷提高，與法院判決有效的電子記錄數(shù)量大規(guī)模增長，區(qū)塊鏈分布式存儲可以有效解決法院的電子記錄保存、更新方面長期存在的問題，如法院判決、法院禁令記錄、犯罪前科記錄等相關(guān)信息，實現(xiàn)電子信息的及時準(zhǔn)確更新。此外，利用區(qū)塊鏈智能合約，可將對經(jīng)濟案件合同中的條款添加到區(qū)塊鏈上，當(dāng)違反合同約定條款等違約行為產(chǎn)生時，即可自動執(zhí)行賠償措施。

如今，國家明確指出要將區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新的重要突破口，加速推動區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展，區(qū)塊鏈存儲在當(dāng)前人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)的時代背景下，必將迎來廣闊的發(fā)展前景。