2024年4月30日发(作者:)
1202021,57(3)
ComputerEngineeringandApplications计算机工程与应用
基于区块链的云计算数据共享系统研究
翁晓泳
南京市信息中心,南京210008
摘要:云计算用户通过云平台进行数据共享时面临数据不可控和敏感数据泄露的风险,传统通过数据加密上云的
方式在灵活性和执行效率方面存在弊端。借助区块链的去中心化共识和不可篡改等特点,提出了基于区块链的模
型和实现方案。采用私链与公链双层结构,通过元数据按规范查询和解析数据,查询结果可验证。数据在私链中存
储,公链中存储私链块头,计算通过智能合约进行,只返回数据结果,数据不会泄露给第三方。数据加密采用基于身
份的公钥加密算法,无需进行公钥证书认证,确保加密性能。仿真结果表明,所提方案具有可行性。通过“金融超
市”这一典型的云数据共享场景作为应用实例进一步验证了系统的有效性。
关键词:云计算;区块链;安全数据共享;普惠金融
文献标志码:A中图分类号:TP391doi:10.3778/.1002-8331.2001-0137
ResearchonBlockchainBasedCloudComputingDataSharingSystem
WENGXiaoyong
NanjingInformationCenter,Nanjing210008,China
Abstract:Cloudcomputingusersfacetheriskofuncontrollabledataandsensitivedataleakagewhensharingdata
throughcloudplatform,traditionalwayofdataencryptiononthecloudhasdisadvantagesintermsofflexibilityandexe-
nthecharacteristicsofblockchain,suchasdecentralizedconsensusandunforgeable,thispaper
proposesamodelandimplhedouble-
layerstructureofprivatechainandpublicchain,thequeryresultscanbeverifiedbymetadataqueryingandanalyzing
storedinprivatechains,ing
taresultsarereturned,
identitybasedpublickeyencryptionalgorithmisadoptedfordataencryptionwithoutpublickeycertificateauthentication
y,theeffec-
tivenessofthesystemisfurtherverifiedthroughtheapplicationof“financialsupermarket”,whichistypicalclouddata
sharingscenarios.
Keywords:cloudcomputing;blockchain;securedatasharing;inclusivefinance
云计算和大数据技术的发展,为人们带来了极大的
便利,同时也加剧了敏感数据泄露的隐患
[1-3]
。由于数据
具有可复制性,当用户把数据上传到云服务供应商的服
务器上时,数据的存储和使用处于一种失控状态,数据
传递和使用过程中的可信性、完整性、数据权属、数据隐
私等都难以保障,成为数据有效共享和合理使用面临的
关键问题。目前数据所有者、用户、云服务提供商、第三
方平台大多分别进行数据安全防护,缺少具有一致信任
的统一数据防护手段,不利于数据全生命周期的管理和
多方融合共享。
数据获取方面,云服务提供商获取和收集的数据远
远超出用户上传的数据
[4-5]
。云提供商通过使用浏览器
的网络存储、应用程序数据缓存、cookies、像素标记和匿
名标识符等方式,很容易获得登录时间、连接时长、使用
的设备、连接的位置、使用的应用程序等与个人身份信
息相关联的数据。
隐私保护方面,云服务供应商给终端用户提供的隐
私选项是很有限的。首先,用户不是对所有数据都拥有
控制权,只有一小部分是拥有特权的;其次,这些选项只
能帮助用户定制世界上其他人访问这些信息的方式。
而云服务供应商仍然对这些数据具有完全的访问权,而
且他们会把这些数据用于各种目的。
作者简介:翁晓泳(1970—),男,硕士,高级工程师,研究领域为大数据整合管理、电子政务、大数据应用、区块链等。
收稿日期:2020-01-08修回日期:2020-07-20文章编号:1002-8331(2021)03-0120-05
翁晓泳:基于区块链的云计算数据共享系统研究
数据多方可信共享方面,由于信息共享是云计算业
务的关键因素,信息共享导致数据在不同实体之间流
转,使用数据的实体之间缺少沟通、信任和监管,使得原
始数据拥有方出于信息安全和隐私保护的角度的考虑
不愿意公开自己的信息,导致云计算业务协同效率低下。
区块链技术是一种全局共识的分布式账本机制,具
有数据全流程管控和不可篡改的特性。区块链技术去
中心化、防篡改、高度可扩展等特点,正成为继大数据、
云计算、人工智能、虚拟现实等技术后又一项将对未来
产生重大影响的新兴技术。本文基于区块链和数据加
密技术对云平台数据隐私进行保护,加密体系保证数据
的所有权都控制在数据拥有者手中,不会发生被篡改、
非法利用、大规模泄密等安全风险,并且通过区块链智
能合约,有效地保障了业务处理时平台数据的隐私性和
安全性。
1相关工作
目前基于云环境的数据共享隐私保护的方法大致
分为三种,一是成员管理的方法。成员管理服务是由网
络上管理用户身份和隐私的几个基础架构组成,这些服
务验证用户的身份,在系统中注册用户,并为他/她提供
创建和/或调用交易时所需要的证书,通过数字证书签
名来实现信息不被篡改,例如HyperledgerFabric网络
中的每个节点都有属于自己的证书(秘钥对),不同角色
的节点有不同权限。二是应用层的访问控制。所有的
应用访问都需要得到授权许可后,才能够得到数据的解
密权限,通过数据应用授权来解决应用访问的实际控
制问题,例如文献[6]根据私有云环境下的应用特点,提
出了基于加密体制的访问控制应用方案。三是数据加
密方法。用户上传加密后的数据,需要使用时再进行
解密
[7-9]
。
在安全数据共享和隐私保护方面,文献[10]针对第
三方收集个人数据导致用户隐私泄露的问题,提出一个
基于区块链的分布式个人数据管理系统和自动化访问
控制协议,确保用户拥有并控制私有数据。但是缺少对
多方参与的融合共享场景的支持。文献[11]针对公共网
络上区块链交易导致交易隐私泄露的问题,提出了将合
同双方的通信进行加密的Hawk协议,该协议主要侧重
交易数据,对于业务数据的处理能力并不具有优势。文
献[12]采用一种加密的智能合约,通过公私钥方式保护
公共隐私文件,并提供审计与追踪。薛腾飞等在文献
[13]提出了基于区块链的医疗数据共享模型,以去中心
化的方式加密存储医疗数据文件,只有病人指定的医生
才能查看病人的医疗数据,实现了病人对其医疗数据的
控制。上述加密方案仅从数据加密角度进行研究,大数
据环境下,并不需要对所有数据进行加密,因而存在一
定局限性。文献[14]提出了一个去中心化的数据共享框
2021,57(3)
121
架,通过验证用户的密码学密钥并以去中心化的方式实
现用户对共享医疗数据的访问请求,结合智能合约和访
问控制策略来跟踪数据行为和撤销恶意的访问,该方案
针对医疗数据特点进行研究,在通用性方面有一定欠缺。
本文针对云计算多方数据提供和使用场景,基于公
链和本地链双链协同机制,研究了全生命周期的可信数
据共享方案。
2系统设计
基于区块链的数据共享模型如图1所示。
客户原始数据服务器
记账
区块链服务器
本地化加密服务
云端服务器
本地化解服务
授权
客户端业客户端业客户端业客户端业
务访问1务访问2务访问3务访问4
图1数据共享模型
首先将用户原始服务器中的数据进行区块链记账,
利用区块链的不可篡改特性,从而保证云服务器的数据
不会被篡改。其次,本地数据上传到云服务器之前,采
用国密算法的非对称加密技术,加密精度精确到每一条
数据内容,即使数据被窃取,也无法批量破解。客户端
使用智能合约进行业务访问,根据定义好的规则,使用
智能合约完成交互,只返回业务结果,从而保证云平台
的数据更安全、更开放。
区块链平台采用了私有链加共有链的联合查询架
构,首先私有链根据自身的业务需要,通过智能合约生
成区块,将区块头提交共有链,在数据分享时,数据请求
方通过检索公链数据得到数据提供方的元数据,数据拥
有方根据授权证书向请求方提交数据。具体流程如图2
所示。
提取
原始数据
私有数据
计算Hash
Hash上链
数据证书
数据拥有方
私有区块
链平台
分享数据
元数据
验证数据
数据请求方
公有区块
链平台
图2数据授权使用流程图
区块的结构如图3所示,每个区块的记账部分包含
公链部分和私链部分,以及标识、密钥和操作权限等内容。
数据提供者为了证明所提供的数据的有效性,采用
了如下算法:
1222021,57(3)
ComputerEngineeringandApplications计算机工程与应用
公链块H头部
前一块哈希状态根
私链块
N
头部
交易根Mpub
前一块哈希
公链块H主体
交易根Mpriv
公链转账私链块头
Tpub(私
链块头)
私链块
N
主体
私链块头私链块头…
交易1交易2
Tpriv1Tpriv2
…
图3区块结构
(1)系统初始化
数据提供者维护一条私有区块链。私链上区块节
点对应公钥为pk=PIDi,私链交易标识为Tpriv=xi。密
钥生成算法如下:
给定安全参数
k
,返回系统参数和主密钥。系统参
数包括明文空间和密文空间。公开系统参数,而将主密
钥秘密存放在私钥生成器(PKG)中。运行BDH参数生
成器
G(k)
,生成大素数
q
以及
q
阶的群
G
1
、G
2
以及双
线性映射
e:G
1
×G
1
→G
2
,选择随机生成元
P∈G
1
。其
中
G
1
是椭圆曲线
EF
p
上点集所组成的加法群的子
群,
G
2
是有限域
F
*
p
2
上乘法群的子群。
选择主密钥
s
,设置系统公钥
pk=sP
;选择密码学意
义上安全(满足随机预言机要求)的散列函数
H
1
:{0,1}*→
G
*
1
,
H
2
:G
2
→{0,1}
n
。明文空间
M={0,1}
n
,密文空间
C=
G
*
1
×{0,1}
n
。系统参数,系统主密钥为
s
。
输入系统参数、主密钥和身份
ID∈{0,1}*
,返回ID所
对应的私钥。计算
Q
ID
=H
1
(ID)∈G
*
1
,私钥
d
ID
=sQ
ID
。
(2)数据提供者加密
在进行数据提供时,获取公链块高度
H
和公链对
应的交易Tpub,以及公链Merkleproof路径Ppub,私链
Merkleproof路径Ppriv,将上述信息封装成对提供数据
集的验证参数。随加密后的数据一起发送至云平台。
输入系统参数、解密者的身份
ID∈{0,1}*
和明文
M∈ℳ
,计算
Q
ID
=H
1
(ID)∈G
*
1
,随机选择
r
;生成密文
C= 2 (g ID r )> ,其中, g ID =e(Q ID ,P pub )∈G * 2 。 (3)数据使用者验证数据 数据验证者根据验证参数,通过以下步骤进行验证。 ① 数据验证者通过查询,在公链区块 H 上获取交 易Tpub的根哈希Mpub。 ② 通过Ppub与pk验证交易Tpub有效性;计算方法 如下: 输入系统参数,密文 C= 和私钥 d ID ∈ G * 1 ,返回明文 M : M=V⊕H 2 (e(d ID ,U,)) 。 ③ 从Tpub获取Tpriv对应的根哈希Mpriv。 ④ 通过Ppriv验证私有交易Tpriv有效性。 3仿真分析 为了验证所提算法的可行性,在实验室搭建了测试 用云计算环境。云环境采用5台配置IntelCorei7CPU, 128GB,DDR4内存,512GB,SSD硬盘的工作站组成 的服务器集群,集群上部署docker运行环境,基于 HyperledgerFabric区块链平台运行数据共享系统,统计 系统运行的各项指标,所有数据为10次实验的平均值。 仿真系统模拟用户上传文件到云端,将文件访问权 限通过区块链授权给数据请求方。一共有两台服务器, 分别运行公有链服务和私有链服务,模拟的数据请求方 有100个。图4为公有链上数据请求节点从请求到数据 获取所需要的时间曲线,随着请求节点数量的增加,节点 数据同步时间大致稳定,表明系统对文件分享具有有效性。 13 12 s / 间 时 11 步 同 10 入 接 9 点 节 8 7 6 5 1015202530 节点个数/个 图4数据请求节点访问性能曲线 在区块生成效率方面,随着区块总数的增加,如图5 所示。仿真数据可见,单个区块生成时间呈上涨趋势, 这是因为区块链中共识算法需要在全链成员中进行同 步,区块总数增加导致更新时间变长。由于本文算法采 用了安全的数据共享模型和算法,所以平均生成时间在 可控范围之内。 6.0 s / 间 5.5 时 成 5.0 生 均 4.5 平 块 4.0 区 3.5 3.0 01000 总区块数/个 图5区块生成效率图 表1从五个角度将本文的算法与几种研究成果进 行了对比,可以看出本模型整体上具有一定优势。 表1算法对比分析 算法 基于区共识减轻主 块链机制链压力 私有链 区块生 成效率 Factom [15] 否—是否良 MedRec [16] 是 POW 否否低 ModelChain [17] 是 POI 否是中 本文算法是 DPOS 是是优 翁晓泳:基于区块链的云计算数据共享系统研究 2021,57(3) 123 4应用案例 随着经济的发展,银行基于存量信贷业务的征信数 基于本文提出的区块链云数据共享模型,课题组以 区块链构建普惠金融网络,实现政府与各金融、保险、医 疗等机构之间数据的共享与协作,并应用于“我的南京” APP中的“金融超市”栏目。其中,政务公共服务提供个 人职业、收入、资产、信用等数据,企业相关的公司结构、 经营状况、固定资产、公司资质等数据,金融机构借助政 务公开数据利用智能合约的支撑,实现对个人与企业的 创新金融服务,并通过区块链网络公开业务办理关键节 点的流转状态。区块链普惠金融网络将承担政府部门 与金融机构间所有数据交互的安全、高效、便利的通道, 具体如图7所示。 “金融超市”栏目以“我的南京”APP应用门户为入 口,以区块链普惠金融底层网络为依托,实现对个人/企 业提供个人信用贷、企业主经营贷、房产按揭等在线金 融服务,系统界面如图8所示。 自试点应用以来,已经有工商银行、中国银行、江苏 银行、南京银行等13家银行加入本栏目提供金融服务, 为个人和企业提供房产按揭贷、个人信用贷、企业主信 用贷等精准、便捷的金融服务。截至2019年9月,个人 消费信用贷累计放款98.87亿;房产按揭贷款累计发放 按揭贷款1.06亿元;企业主贷款预评估总共1729笔,评 估总金额2.47亿;通过运营效果分析,每亿贷款为银行 节省340人/d的人工成本,用户从申请到下款不超过 10min,大幅提高市民、中小企业贷款申请效率,下一步 计划加快推进更多银行接入,丰富个人/企业金融产品, 优化金融超市栏目的用户体验。 区块链网络 链代码和 公共账本 智能合约 公共账本 SDK 自然人、法人、 电子证照库 目录体系和 数据规范 管理节点 节点服务器 和基础程序 业务部门 据远不足以支撑普惠金融的需求,诚信数据的来源和成 本成为银行普惠金融相关产品落地的最大障碍。普惠 金融平台是典型的基于云计算的数据共享应用场景。 受信息安全与隐私保障的限制,政府部门拥有大量 权威的个人与企业的数据而不能发挥最大价值,而社会 运行过程中各商业机构为了采集与验证这些数据需要 付出大量重复的工作,造成商业活动的低效运行与极大 的成本浪费。 本文设计的数据共享系统,可为普惠金融提供高适 配性的解决方案。一方面,金融机构通过元数据查询和 解析数据,实现对客户的精准画像,数据完整可靠,具有 公信力。另一方面,客户数据在私链中存储,公链中存 储私链块头,计算通过智能合约进行,只返回数据结果, 敏感数据不会泄露。基于区块链技术的普惠金融平台, 实现了多方安全数据共享,通过政务数据开放优化金融 资源配置,突破传统的普惠金融信息因素导致的成本高 和效率低问题。根据基本云计算业务需求分析,系统分 为管理应用层、区块链网络、接入层和业务部门四个组 成部分,其逻辑结构如图6所示。 管理应用层包括平台管理、目录和权限管理以及各 种查询应用,实现各种应用的人机接口。区块链网络模 块包含区块链公共账本、智能合约和各个对等节点,实 现区块链的数据管理功能。接入层通过SDK实现业务 部门中的数据集和区块链数据的互动。 管理应用层 平台管理 节点服务器 管理与监控 智能合约 管理 合约接口 授权 部门接入 管理 CA证书 发放管理 账本浏览 器 接入层 SDK 目录体系及权限管理 目录分类 编目查询 数据质量 评估 资源编目 目录授权 文件附件 管理 SDK 查询应用 自然人查询 信用查询 办件查询 法人查询 事项查询 其他查询 容灾备份库 目录体系 权限库 解密中点 主体ID 私钥库 解密机 图6区块链普惠金融数据共享系统逻辑架构 1242021,57(3) ComputerEngineeringandApplications计算机工程与应用 信息中心节点: 1.牵头实现E贷区块链共享组网 2.牵头制定政务公开目录体系 3.牵头制定金融服务业务标准 4.机构节点加入的审核与授权 5.智能合约的审核与发布 6.我的南京金融超市应用建设 信息 中心 银行1银行2 银行/小贷公司节点 1.获得全量政务公开数据调用权限 2.设计开发智能合约进行业务评估 3.通知我的南京门户获客 4.金融服务产品提供 共享账本: 1.公民全量信息 2.企业全量信息 3.第三方数据 4.金融服务数据 调查 公司 智能合约: 1.政务公开数据标准 2.机构合约访问授权 3.机构评估合约 4.业务联动 担保 公司 小贷 公司 区块链共识组网: 1.每个节点具有全量公民与法人的数据 2.节点数据规模30~50TB 3.根据部门的目标体系归集内容 4.获取主体数据与证照进行评估 5.金融服务机构间的安全业务联动 公共账本: 1.参与方身份与权限管控信息 2.建立所有法人、公民信息的目录体系 3.记录信息归集的过程与数据内容 4.多方共识的智能合约代码并执行 调查公司、担保公司节点: 1.获得全量政务公开数据调用权限 2.第三方调查、担保金融服务提供 3.提供专业调查、担保报告丰富全网数据 4.为主体增加贷款额度的运营业务 图7区块链普惠金融数据共享系统架构 [6]杨豪璞,刘继光,沈斌.私有云环境下基于加密体制的访问 控制应用研究[J].电子技术应用,2019,45(7):81-84. [7]张曙光,咸鹤群,王利明,等.云计算中高效加密数据重复 删除方法[J].通信学报,2018,39(S1):251-262. [8]孟倩,马建峰,陈克非,等.基于云计算平台的物联网加密 数据比较方案[J].通信学报,2018,39(4):167-175. [9]狄辉.云计算平台下数据加密研究[J].长春师范大学学报, 2017,36(6):55-58. [10]ZYSKINDG,ralizingprivacy:using blockchaintoprotectpersonaldata[C]//2015IEEE SecurityandPrivacyWorkshops(SPW),2015:180-184. [11]KOSBAA,MILLERA,SHIE,:theblock- chainmodelofcryptographyandprivacy-preserving smartcontracts[C]//2016IEEESymposiumonSecurity andPrivacy(SP),2016:839-858. [12]tioncontractenforcementtool(DE- CENT):apracticalalternativetogovernmentdecryption backdoors[J].IACRCryptologyePrintArchive,2016,245. [13]薛腾飞,傅群超,王枞,等.基于区块链的医疗数据共享模 型研究[J].自动化学报,2017,43(9):1555-1562. [14]XIAQ,SIFAHE,SMAHIA,:blockchain- baseddatasharingforelectronicmedicalrecordsin cloudenvironments[J].Information,2017,8(2):44. [15]SNOWP,DEERYB,LUJ,:businesspro- cessessecuredbyimmutableaudittrailsontheblock- chain[EB/OL].[2014-11-17].http:///assets/ Whitepapers/. [16]EKBLAWA,AZARIAA,HALAMKAJD, studyforblockchaininhealthcare:“MedRec”prototype forelectronichealthrecordsandmedicalresearchdata[C]// Proceedingsofthe2016IEEEofInternationalConfer- enceonOpenandBigData,2016:25-30. [17]KUOTT,HSUCN,hain: decentralizedprivacypreservinghealthcarepredictive modelingframeworkonprivateblockchainnetworks[EB/OL]. [2016-01-22].https:///sites/default/files/ . 图8试点应用系统界面 5结束语 本文针对云计算环境下数据拥有方对上传至云上 数据的不可控问题,基于双链结构提出了安全的数据共 享模型和算法,所提方案中,除了本身放在云服务器上 的数据是加密的,还通过智能合约进行规定的规则运 算,返回运算的结果,而不直接给访问者提供源数据,从 而可以在保障安全的同时将云数据进行对外开放。通 过仿真分析和试点应用效果来看,基于区块链的云计算 数据共享系统可实现高效安全的多方数据共享与协同。 参考文献: [1]郭乃网,倪玮栋.基于区块链的隐私保护数据共享[J].通信 技术,2019,52(8):1982-1986. [2]佘维,陈建森,刘琦,等.一种面向医疗大数据安全共享的 新型区块链技术[J].小型微型计算机系统,2019,40(7): 1449-1454. [3]金泳,徐雪松,王刚,等.基于区块链的电子政务大数据安 全共享研究[J].信息安全研究,2018,4(11):1029-1033. [4]郝世博,徐文哲,唐正韵.科学数据共享区块链模型及实现 机理研究[J].情报理论与实践,2018,41(11):57-62. [5]苏雄业.基于区块链的大数据共享模型与关键机制研究与 实现[D].北京:北京工业大学,2018.
发布者:admin,转转请注明出处:http://www.yc00.com/web/1714466041a2451902.html
评论列表(0条)