基于區(qū)塊鏈的科研創(chuàng)新信息安全共享研究＊

李 凌,盧志菁,楊 葉

（廣東中煙工業(yè)有限責任公司，廣東 廣州 510000)

1 引言

煙草行業(yè)的科研創(chuàng)新數(shù)據(jù)整體共享水平較低，阻礙了數(shù)據(jù)價值轉化和人類社會進步。造成這一現(xiàn)象的根本原因是，參與數(shù)據(jù)共享的各方缺乏透明、開放、可信的數(shù)據(jù)共享環(huán)境，無法永久、不可撤銷地記錄和跟蹤整個數(shù)據(jù)共享過程。這使得數(shù)據(jù)利益難以共同協(xié)商和分配，數(shù)據(jù)安全無法得到有效保障，也給數(shù)據(jù)連接、數(shù)據(jù)控制和跨域數(shù)據(jù)服務帶來困難。

范吉立等人提建立以支持智能合約的區(qū)塊鏈2.0 平臺，是深入研究分散式共享商品交易服務系統(tǒng)運行機制和實現(xiàn)技術的基本框架[1]。設計了基于Ethereum的分布式共享貨物交易服務系統(tǒng)框架，提出智能合約交易管理流程，詳細描述系統(tǒng)實現(xiàn)技術，包括用戶界面，并測試系統(tǒng)在交易處理中的性能。實驗結果表明，以太坊事務服務系統(tǒng)在保證事務數(shù)據(jù)可信度的基礎上，能夠處理真實物聯(lián)網(wǎng)中的大部分場景，具有較高的運行效率。王何健等人提出一種研究基礎設施共享平臺策略[2]。通過建立激勵共享機制和制度，建立相對集中的儀器共享中心，根據(jù)市場需求自主招聘儀器操作人員，構建儀器管理者與公眾創(chuàng)新者全方位的信息溝通渠道，為科研基礎設施共享者提供充足的資金，架構公共創(chuàng)新主體的創(chuàng)客空間和平臺等一系列措施，全面考慮科研基礎設施的共享和開放，打通全社會創(chuàng)新者與科研平臺的渠道，找到符合大眾創(chuàng)業(yè)創(chuàng)新要求的科研基礎設施共享解決方案。

為了隨時了解煙草行業(yè)的科研創(chuàng)新信息情況，獲得煙草業(yè)務工作進展，實現(xiàn)煙草科研信息化建筑，提升煙草科研信息的存儲安全，推動煙草行業(yè)進步，本文研究基于區(qū)塊鏈的科研創(chuàng)新信息安全共享方法。

2 區(qū)塊鏈技術分析

區(qū)塊鏈作為一種新型的分布式信息共享平臺，正以前所未有的速度和規(guī)模迅速發(fā)展。其具有分散性、可驗證性、防篡改性和價值傳遞功能，有望引起社會生活的深刻變革，改變社會某些領域的管理模式。

區(qū)塊鏈技術在供應鏈中，諸如原材料、生產(chǎn)過程、技術標準之類的數(shù)據(jù)，往往湮沒在各個環(huán)節(jié)的轉換過程中，導致參與者由于信息缺失而產(chǎn)生信任危機[3]。其具體結構在圖1中展現(xiàn)。

圖1 區(qū)塊鏈結構框圖

從圖1中可知，區(qū)塊鏈的交易由一個或多個輸入和輸出組成[4]。

3 平臺具體流程

3.1 SupeSite的科研信息自動采集

科研信息自動采集模塊具體組成部分通過圖2展現(xiàn)。在用戶界面中，用戶使用科研信息自動采集模塊，可以通過設置科技信息檢索條件，再以web 方式瀏覽相應的結果信息?；蛘咴谧詣硬杉K內設定前端信息推進器，將該領域最新的科研動態(tài)信息推送到用戶所在的領域，用戶可以獲得前沿不設置搜索條件的科研信息[5]。

圖2 科研信息自動采集流程圖

采集器核心算法流程圖在圖3中展現(xiàn)。在采集過程中，收集的科研信息包括科研信息網(wǎng)站的前沿信息和科研數(shù)據(jù)庫的論文信息。

圖3 采集器核心算法流程圖

在收集科研信息網(wǎng)站前沿信息時，首先生成收集任務t，并將其添加到科研任務收集列表T中，根據(jù)目標網(wǎng)站的自定義URL和網(wǎng)頁收集的垂直深度，通過預定的時間間隔自動收集網(wǎng)頁內所需信息。

在科研數(shù)據(jù)庫中收集論文信息時，還需要根據(jù)科研論文的收集情況，完成收集任務t，并將其添加到科研任務的收集列表T中域建立目標資源庫中，然后把信息合理存儲在科研論文數(shù)據(jù)庫中[6-7]。

3.2 資源安全共享的個性化推薦模塊

3.2.1 安全共享機制建立

共享的安全參數(shù)由授權機制生成。隨機生成元是p，階是g的雙線性群G和雙線性映射e：G×G→G1。隨機選取散列函數(shù)H和α，β∈Zp生成主密鑰(ga，β)和公鑰(G，g，gβ，H，e(g，g)a)。

云存儲中心生成對稱密鑰ε∈Zp和所有屬性集Ω={λ1，λ2，…，λn}。

用戶把本身屬性集S={λ1，λk，…，λm}和身份發(fā)送給授權機構申請屬性關聯(lián)私鑰。授權機構在注冊用戶的屬性集中隨機選擇每個屬性的參數(shù)λk，通過式(1)計算私鑰并發(fā)送給注冊用戶。

通過上述步驟，注冊用戶獲得的私鑰表達式為：

在上載共享數(shù)據(jù)之前，數(shù)據(jù)所有者將構造訪問樹，并使用訪問樹、公鑰和對稱密鑰對共享數(shù)據(jù)進行加密處理。

訪問樹構造算法的數(shù)據(jù)屬于主集合訪問結構，以訪問結構中的屬性作為葉節(jié)點，以閾值邏輯運算符作為中間節(jié)點，從根節(jié)點開始構建訪問樹TR，數(shù)據(jù)所有者為訪問樹TR中的每個非葉節(jié)點x定義一個(kx-1)次多項式fx，并隨機選擇s∈Zp作為根節(jié)點R的節(jié)點值，設置fR(0)=s；對于每個非葉節(jié)點x，設置fR(0)=fparent(x)(index(x))，其中in-dex(x)代表節(jié)點的編碼值。

數(shù)據(jù)加密算法如果訪問樹中設置的屬性為{λ1，λ2，…，λn}，那么該數(shù)據(jù)屬于加密共享數(shù)據(jù)M，數(shù)據(jù)所有者將加密后的數(shù)據(jù)存儲在云存儲中心。

3.2.2 個性化推薦規(guī)則的建立

個性化推薦模塊的關聯(lián)規(guī)則主要是為了解大量科研資源與用戶科研方向的關系[8]。

整體研究方向的集合表達式為：

從式中可得出，每個用戶都有自己的資源子集U，且UT，D所描述的是研究資源數(shù)據(jù)庫。假設UA與UB是用戶A與B的主要研究方向資源的子集，建立出關聯(lián)規(guī)則是為了方便獲取UAUB的蘊涵，其中UA、UB，且UAUB≠Φ。研究資源數(shù)據(jù)D庫中關聯(lián)規(guī)則UAUB的支持度和置信度分別為支持度UAUB=P(UAUB)和置信度UAUB=P(UA|UB)。

若關聯(lián)規(guī)則UAUB同時符合科研資源數(shù)據(jù)D庫內的最小支持閾值和最小置信閾值，運用強關聯(lián)規(guī)則作為個性化科研信息推薦的準則。其次，通過求解頻率集得到了所有具有最小置信度的強關聯(lián)規(guī)則。

3.2.3 資源共享

突破資源庫之間的自封閉狀態(tài)，廣泛使用和學習資源數(shù)據(jù)庫，使用戶能夠準確高效地找到所需的資源。強大的資源管理和資源整合功能資源管理平臺資源管理集管理、優(yōu)化、積累、檢索、使用為一體，有效整合資源，共享其他資源。

在科研資源的有效共享過程中，用戶通過SNS 群模式共享科研資源，達到科研信息的自動個性化推薦。資源共享機制如圖4所示。

圖4 資源共享機制

通過圖4中的資源共享機制，用戶能夠十分全面且準確地共享科研資源，具有實現(xiàn)簡單、不受科研交流時間和空間限制的優(yōu)勢，能夠更準確獲取用戶科研信息的研究方向。

3.3 科研管理系統(tǒng)安全綜合設計流程

科研管理信息系統(tǒng)的主要框架是碎片化服務、開放平臺、數(shù)據(jù)庫和云服務，作為整個業(yè)務流程的支撐。各研究組通過信息開放平臺與科研管理系統(tǒng)進行交互，按照國家和學校的信息標準模型建立后臺數(shù)據(jù)庫，并在應用服務建設的指導下進行更新和迭代。為用戶提供更便捷的個人信息存儲和管理服務。

根據(jù)科研管理系統(tǒng)的特點和影響因素，可分為系統(tǒng)級安全、程序資源訪問控制安全、功能安全以及數(shù)據(jù)域安全。具體內容如下：

(1) 系統(tǒng)級安全：包括連接數(shù)量的限制，作為應用系統(tǒng)的安全保護門。針對系統(tǒng)的訪問權限，應在配置文件中添加連接數(shù)限制，以防止大規(guī)模攻擊。

(2) 程序資源訪問控制安全：客戶端給予和用戶權限相關的界面和操作手段，在服務器端控制URL程序資源進行調用。

(3) 功能安全：用戶上交信息記錄后，必須經(jīng)過相關管理部門的審批，同時設置上傳附件。

(4) 數(shù)據(jù)域安全：數(shù)據(jù)域安全包括行級數(shù)據(jù)域安全，和字段級數(shù)據(jù)域安全。

對數(shù)據(jù)域配置為：科研管理系統(tǒng)不僅需要行級的數(shù)據(jù)域控制，而且還涉及到域級的數(shù)據(jù)域控制?？梢酝ㄟ^配置表指定用戶能夠訪問的業(yè)務記錄，然后在運行期間對其進行過濾。第二種是在業(yè)務表中指定業(yè)務字段的安全級別索引，并與用戶級索引進行比較，判斷是否打開訪問。

功能集的組織方式適用于不同角色人員，根據(jù)不同的權限使用不同的功能集。通過權限設置完成功能集組織的組合。本設計的目的是根據(jù)實際情況調整用戶的功能，使功能設置靈活。程序資源訪問控制的配置類似于表單數(shù)據(jù)驗證，程序資源訪問控制模型在圖5中展現(xiàn)。

圖5 程序資源訪問控制模型

當用戶嘗試通過輸入URL直接調用目標程序資源來繞過客戶端的直接控制，而服務器會阻止用戶越權行為。

利用基于角色的用戶授權，將用戶與權限隔離開，避免用戶與權限生成直接關聯(lián)性，然后構建用戶、角色以及權限間的相關聯(lián)系。授權是通過系統(tǒng)管理員進行操作。管理員能夠設置多個用戶的權限。角色授權可以防止單獨分配權限的復雜操作。用戶組設置可防止重復授權現(xiàn)象發(fā)生，不會存在相同權限的多個用戶。角色授權模型如圖6所示。

圖6 角色授權模型

在運行過程中，應合理控制對程序資源的訪問。當用戶登錄到系統(tǒng)時，他/她的所有權限都將加載到會話窗口中。在訪問程序資源前，判斷與該資源相對應的權限是否在用戶的權限列表中是合理的。

4 實驗及結果分析

采用五臺同型號服務器搭建分布式測試環(huán)境。每臺服務器的基本硬件配置是：Intel 8 核3.80 千兆赫CPU，16g內存，CentOS6.5條操作系統(tǒng)。同時在局域網(wǎng)和相同的協(xié)商機制環(huán)境下，不考慮網(wǎng)絡帶寬對測試結果的影響。

在實驗過程中，區(qū)塊鏈數(shù)據(jù)平臺中過多的重復數(shù)據(jù)源會占用大量內存。為了確?？蒲腥藛T能夠在平臺中交互信息具有較高質量和安全性，以數(shù)據(jù)源平均重復率和預處理數(shù)據(jù)重復率作為評判該平臺是否優(yōu)秀的指標。

獲取數(shù)據(jù)源的平均重復率和數(shù)據(jù)預處理結果的重復率對數(shù)據(jù)分析效率影響。數(shù)據(jù)源平均重復率是指多個數(shù)據(jù)分析中，相同數(shù)據(jù)源的數(shù)據(jù)分析次數(shù)占總分析次數(shù)的比率；數(shù)據(jù)預處理結果重復率是指多個數(shù)據(jù)分析中，相同預處理結果的分析次數(shù)占總分析次數(shù)的比率。表達式如下：

數(shù)據(jù)源平均重復率=數(shù)據(jù)源重復次數(shù)/總分析次數(shù)(5)

數(shù)據(jù)源平均重復率=與處理數(shù)據(jù)重復次數(shù)/總分析次(6)

測試過程中數(shù)據(jù)源重復率、預處理數(shù)據(jù)重復率與數(shù)據(jù)分析效率之間的關系如圖7所示。

圖7 數(shù)據(jù)源和預處理數(shù)據(jù)重復率對數(shù)據(jù)分析的影響

通過圖7可知，當數(shù)據(jù)源重復率和預處理數(shù)據(jù)重復率不斷增加，數(shù)據(jù)分析效率逐漸提高。當數(shù)據(jù)源發(fā)生重復現(xiàn)象，第一次分析需要數(shù)據(jù)訪問的步驟，可直接使用數(shù)據(jù)源；當預處理數(shù)據(jù)重復時，第一次分析通?？梢詧?zhí)行之前的數(shù)據(jù)訪問和數(shù)據(jù)預處理，能夠直接使用之前的預處理，在一定程度上提高數(shù)據(jù)分析效率，使本文安全共享存儲量充裕。

從表1可知，區(qū)塊鏈數(shù)據(jù)共享平臺能夠滿足數(shù)據(jù)分析的基本功能和性能要求，跨系統(tǒng)進行交互操作，可保證數(shù)據(jù)分析鏈的完整性以及對業(yè)務決策的及時響應。

表1 不同平臺性能對比

5 結束語

科研資源共享的研發(fā)實現(xiàn)了科研資源的整合和高度共享，創(chuàng)造了立體化的科研交流新模式，為推動形成有效的科研創(chuàng)新體系提供了可能。通過多層面安全控制，可以實現(xiàn)科研資源的高度共享，對科研創(chuàng)新能力大幅提高。