面向檔案信息系統(tǒng)區(qū)塊鏈支撐平臺的構(gòu)建分析

中共懷化市委黨校 向群

最近幾年，我國檔案信息化建設(shè)已經(jīng)初具規(guī)模，建成了以檔案信息管理系統(tǒng)為支撐、以基礎(chǔ)數(shù)據(jù)庫和檔案目錄中心以及檔案利用平臺為基礎(chǔ)的檔案信息化體系，促進(jìn)了檔案管理工作效率的提高。而與此同時，檔案信息安全問題也變得越發(fā)凸顯。區(qū)塊鏈技術(shù)的應(yīng)用，能夠?qū)n案信息化管理中存在的風(fēng)險和問題進(jìn)行解決，提升檔案信息管理的水平和效果。

一、區(qū)塊鏈概述

區(qū)塊鏈本身是一個比較新穎的概念，不過其并非新技術(shù)，也不是以單一的技術(shù)形式存在，而是多種現(xiàn)有技術(shù)的優(yōu)化組合，其中包含的技術(shù)有分布式賬本技術(shù)、點對點網(wǎng)絡(luò)技術(shù)、密碼學(xué)技術(shù)以及共識機(jī)制等，這些技術(shù)在獨立存在的情況下，已經(jīng)相當(dāng)成熟，在經(jīng)過組合后，形成了全新的去中心化分分布式數(shù)據(jù)庫系統(tǒng)，其技術(shù)組件如圖1所示。

圖1 區(qū)塊鏈技術(shù)組件

依照不同的應(yīng)用場景和用戶需求，可以將區(qū)塊鏈分為幾種不同類型。一是公有鏈，任何人都可以自由參與其中，也可以在任何時候退出，對于區(qū)塊鏈中存在的所有數(shù)據(jù)可以隨意讀?。欢锹?lián)盟鏈，由多個組織機(jī)構(gòu)共同參與及維護(hù)，交易數(shù)據(jù)的記錄由內(nèi)部指定多個節(jié)點共同實現(xiàn)，其余節(jié)點可以參與到交易活動中，不過并不具備記賬的權(quán)利；三是私有鏈，指由私有組織或企業(yè)定制讀寫權(quán)限的區(qū)塊鏈。三種區(qū)塊鏈各自的特點如表1所示。

表1 區(qū)塊鏈技術(shù)特點

二、面向檔案信息系統(tǒng)區(qū)塊鏈支撐平臺的構(gòu)建

（一）平臺設(shè)計

1.框架設(shè)計

平臺應(yīng)該包含四個基本的組成部分。一是客戶端重點是面向檔案管理人員，能夠為管理人員提供直觀可視化的操作界面，為平臺操作提供便利；二是后臺服務(wù)。后臺服務(wù)的主要作用是為客戶端用戶操作的反饋提供支撐，也可以很好地對接本地數(shù)據(jù)庫、區(qū)塊鏈以及IPFS系統(tǒng)，是整個平臺中數(shù)據(jù)流通的樞紐；三是區(qū)塊鏈。負(fù)責(zé)檔案信息的存儲安全；四是IPFS系統(tǒng)。負(fù)責(zé)檔案文件的分布式存儲。

2.模塊設(shè)計

（1）管理模塊。管理模塊在平臺中發(fā)揮著非常重要的作用，其主要功能包括了用戶管理、數(shù)據(jù)庫配置以及審計策略配置，其中，用戶管理主要是針對登錄平臺的用戶的身份以及權(quán)限信息進(jìn)行管理，避免用戶出現(xiàn)誤操作或者非法登錄的情況，數(shù)據(jù)庫配置可以范圍主數(shù)據(jù)庫配置和從數(shù)據(jù)庫配置，能夠分別針對主數(shù)據(jù)庫和從數(shù)據(jù)庫的連接參數(shù)進(jìn)行設(shè)置，審計策略配置則能夠面向用戶或者主數(shù)據(jù)庫中的表格添加相應(yīng)的審計策略。

（2）抽取模塊。針對數(shù)據(jù)庫不同的數(shù)據(jù)提取需求，可以將抽取模塊細(xì)分為實時數(shù)據(jù)抽取、檔案文件抽取以及輪詢數(shù)據(jù)抽取。

（3）安全存儲模塊。一是緩存隊列，其能夠?qū)崿F(xiàn)對于數(shù)據(jù)庫在短時間內(nèi)發(fā)送的大量數(shù)據(jù)信息的有效接收；二是數(shù)據(jù)加密上鏈，能夠就抽取到的檔案數(shù)據(jù)進(jìn)行相應(yīng)的加密和上鏈操作；三是文件哈希計算，能夠針對抽取到的檔案文件進(jìn)行分塊，計算相應(yīng)的字塊哈希并且合成哈希表；四是分布式存儲，主要是借助IPFS來針對檔案文件進(jìn)行分布式存儲。

（4）安全訪問模塊。安全訪問模塊中包含了幾個方面的內(nèi)容，首先是安全訪問控制，能夠最大限度地保證檔案文件訪問的有效性；其次是操作行為查詢，可以幫助管理人員對存在于區(qū)塊鏈上的事務(wù)日志進(jìn)行查找；然后是數(shù)據(jù)文件驗證，主要是針對檔案數(shù)據(jù)及電子文件真實性的驗證，及時將其中存在的錯位數(shù)據(jù)和偽造數(shù)據(jù)剔除；最后是數(shù)據(jù)文件還原，當(dāng)檔案數(shù)據(jù)庫中的數(shù)據(jù)和文件遭到誤刪或者篡改時，借助該功能可以實現(xiàn)對數(shù)據(jù)文件的恢復(fù)。

（二）平臺實現(xiàn)

1.實現(xiàn)環(huán)境

平臺實現(xiàn)的基礎(chǔ)為個人PC機(jī)，操作系統(tǒng)為Win10，以服務(wù)器承載區(qū)塊鏈和IPFS，設(shè)置為4節(jié)點網(wǎng)絡(luò)，選擇Ubuntu18.04LTS操作系統(tǒng)，服務(wù)端內(nèi)存為60GB，Xeon(R)E5-2630，40核，數(shù)據(jù)庫選擇Oracle11g。

2.流程實現(xiàn)

（1）審計日志上鏈及數(shù)據(jù)文件備份。用戶在通過DML來對檔案數(shù)據(jù)表進(jìn)行操作的過程中，觸發(fā)器能夠從審計日志中，獲取相應(yīng)的SQL操作語句，經(jīng)由Socket客戶端，發(fā)動到相應(yīng)的服務(wù)端，后臺在接收到SQL操作語句后，需要對其進(jìn)行分析，完成數(shù)據(jù)封裝操作。如果操作需要增加新的原生檔案，則可以通過抽取檔案文件的方式，從相應(yīng)的存儲位置來獲取檔案。之后，需要將數(shù)據(jù)進(jìn)行哈希處理，發(fā)布到區(qū)塊鏈平臺，加密后存儲到IPFS集群。

（2）數(shù)據(jù)驗證及數(shù)據(jù)文件還原。若檔案數(shù)據(jù)庫中的數(shù)據(jù)信息遭到破壞或者被刪除，管理人員可以針對數(shù)據(jù)進(jìn)行驗證和還原。在實際操作中，一是應(yīng)該對檔案數(shù)據(jù)以及鏈上數(shù)據(jù)進(jìn)行讀取，對比數(shù)據(jù)的哈希值，就數(shù)據(jù)信息的真實性和準(zhǔn)確性進(jìn)行確認(rèn)。

3.平臺界面

（1）登錄界面。平臺的登錄界面應(yīng)該盡量簡潔，避免對用戶形成誤導(dǎo)，如圖2所示。

圖2 平臺登錄界面

（2）初始化配置。在初次對平臺進(jìn)行使用和操作時，需要做好初始化配置，就主數(shù)據(jù)庫對接參數(shù)進(jìn)行合理設(shè)置，為主數(shù)據(jù)對接以及日志抽取提供便利。

（3）審計策略設(shè)置。管理人員需要結(jié)合實際情況來對審計策略進(jìn)行合理設(shè)置，保證審計策略的靈活性和有效性。

（4）操作記錄查找?？梢酝ㄟ^設(shè)置表名的方式，對檔案表中發(fā)生的所有的相關(guān)操作記錄進(jìn)行查找，而從保證數(shù)據(jù)操作日志真實性的角度，應(yīng)該做好本地操作日志與鏈上操作日志的對比分析，將對比結(jié)果以直觀的方式呈現(xiàn)出來。

（5）數(shù)據(jù)表重建。通過對從數(shù)據(jù)庫參數(shù)的優(yōu)化配置，能夠有效恢復(fù)主庫中檔案表的數(shù)據(jù)信息。

（三）平臺測試

對區(qū)塊鏈平臺的功能進(jìn)行測試，主要目的是驗證平臺是否能夠正常運行，分析區(qū)塊鏈后臺服務(wù)中的各個功能模塊是否可以實現(xiàn)與數(shù)據(jù)庫、區(qū)塊鏈及IPFS系統(tǒng)的有效連通，平臺的功能是否能夠很好地滿足檔案管理人員及用戶的現(xiàn)實需求。這里主要針對平臺的幾個核心功能進(jìn)行測試：

（1）登錄功能測試。測試環(huán)境為Windows系統(tǒng)，在登錄界面，輸入相應(yīng)的賬號密碼，查看密碼判斷是否正確，如果失敗，是否跳出提示信息，如果成功，是否能夠正常實現(xiàn)頁面挑戰(zhàn)。

（2）初始化配置測試。測試環(huán)境為Windows系統(tǒng)，在初次登陸時，對軟件進(jìn)行初始化配置，設(shè)置需要對接的目標(biāo)數(shù)據(jù)庫的連接參數(shù)，同時啟動相應(yīng)的數(shù)據(jù)抽取服務(wù)，若頁面能夠正常顯示，參數(shù)配置完成后可以進(jìn)行數(shù)據(jù)抽取，則測試通過。

（3）添加審計策略測試。測試環(huán)境為Windows系統(tǒng)，點擊相應(yīng)的審計管理頁面，于中間件加入用戶，確保用戶存在于目標(biāo)數(shù)據(jù)庫中，將用戶下的所有表全部納入審計范圍內(nèi)，然后取消審計功能，對用戶進(jìn)行刪除操作，若所有操作都能夠順利實現(xiàn)，則測試通過。

（4）日志和文件抽取存儲測試。測試環(huán)境為Windows系統(tǒng)，啟動數(shù)據(jù)同步服務(wù)，于數(shù)據(jù)庫中新增文件，看區(qū)塊鏈?zhǔn)欠衲軌驅(qū)κ聞?wù)日志進(jìn)行記錄，如果可以找到事務(wù)日志，同時IPFS完成了對相應(yīng)檔案文件的存儲，則測試通過。

（四）平臺評價

經(jīng)過功能測試，證明了平臺的可行性。本文提出的基于區(qū)塊鏈的檔案信息系統(tǒng)平臺可以實現(xiàn)對于檔案事物日志、小尺寸檔案文件以及大尺寸檔案文件的分離存儲，減輕系統(tǒng)的存儲壓力，同時也能夠最大限度地保障數(shù)據(jù)存儲的安全性。從簡化操作的角度，研發(fā)出了相應(yīng)的客戶端軟件，將平臺功能模塊封裝后形成對應(yīng)接口，方便用戶的使用。

三、結(jié)語

總而言之，信息化時代背景下，伴隨著檔案信息化建設(shè)的持續(xù)深入，檔案數(shù)據(jù)的規(guī)模不斷擴(kuò)大，具備保存價值的檔案數(shù)據(jù)也在不斷增長，檔案信息管理系統(tǒng)得以出現(xiàn)。針對當(dāng)前多數(shù)檔案信息管理系統(tǒng)中存在的安全問題，提出了一種基于區(qū)塊鏈技術(shù)的檔案信息安全存儲及可信管理方案，構(gòu)建起了相應(yīng)的區(qū)塊鏈支撐平臺，可以實現(xiàn)檔案文件在不同需求場景下的安全訪問，切實保障檔案數(shù)據(jù)的有效性和安全性。