1. 引言
随着信息技术的快速发展和企业信息化进程的不断推进,企业在生产、经营以及管理过程中积累的具有一定价值的数字化内容和信息 [1] ,形成了种类繁多、数量巨大的企业数字资产。对企业数字资产的科学管理和有效利用,是目前企业加强产业结构调整、加快新旧动能转换、提高企业经济效益的重要举措。然而,传统的数字资产管理模式存在着数据中心化程度过高、数据安全风险大、数据存储成本高、数据传输效率低、数据价值利用不充分等问题。目前大多数企业选择把数字资产备份在光盘或硬盘等介质中,这种中心化的管理模式存在无法大规模地管理资产、资产存储处于孤立的状态、版本控制不佳以及数字权限限制等弊端,对数字资产的存储、共享、保护、价值挖掘等带来极大的挑战。
目前引起广泛关注的区块链技术对企业数字资产管理提供了一种全新的思路,有助于解决企业数字资产管理存在的一些痛点。区块链技术是分布式数据存储、P2P网络、共识机制、加密算法等技术的综合集成创新,其特有的去中心化、不可篡改、历史数据可回溯、去信任化等一系列特性,构建了一个点对点信任的价值传递网络,推动着社会信用体系迈向新的台阶。目前区块链除了在加密货币和金融领域应用比较广泛以外,还与教育、医疗、保险、供应链、社会治理等领域进行广泛融合,为解决各行业相关的痛点问题提供了新的方法和模式。传统的中心化的数据管理模式促使企业把拥有的数字资产以一个整体的形式存储在某一城市的某个数据中心,不利于资产分享和流通,一旦数据中心被黑客攻破,就会面临数据整体丢失的风险。基于区块链的数字资产管理系统,其分布式存储冗余性、去中心化、高安全性和隐私保护等特点特别适合存储像图片、音视频、电子合同和电子邮件等重要数据,以避免关键信息因中心化设施遭受攻击或权限管理不当而造成的大规模数据丢失或泄露 [2]。
本文设计了一种基于区块链的数字资产管理系统,从系统底层架构、安全认证、分布式存储、激励机制等几个方面进行了设计与分析,借鉴了EOS区块链平台 [3] 的底层存储方式,将星际文件系统(IPFS) [4] 引入数字资产管理系统,实现数字资产内容的分布式存储与检索,而不过多消耗区块链系统本身太多的计算资源,只需把关键信息记录到区块中,即可有效解决区块链的存储问题。
本文余下内容组织如下:第2节介绍了区块链技术、IPFS和数字资产管理的相关概念以及融合现状;第3节设计了基于区块链的高校数字资产管理系统架构,并在第4节中对其进行了详细地分析。最后一节对本文做了简要总结。
2. 相关概念与现状分析
2.1. 区块链技术
区块链技术即分布式账本技术,它能够使参与各方在技术层面达成共识,有潜力成为构建未来价值自由流通网络的基础设施,即形成价值互联网(Internet of Value) [5]。区块链的核心价值在于构建可信任的多中心化体系,将分散独立的各自单中心,提升为多方参与的统一多中心,从而提高信任传递效率,降低交易成本。区块链不仅仅是一次计算机技术、网络技术、密码算法、共识算法等多种技术的集成创新,同时更是一种经济与社会发展的模式创新,对于行业的转型升级、新旧动能转换将起到深刻的影响。同时,区块链思维将深入人心,为人们分析和解决问题提供了一种新的思路。
区块链由两部分组成,分别是区块和链式结构,如图1所示。区块又包括区块头和区块体,区块头中包含有本区块哈希、时间戳、前一区块哈希(父哈希)、随机数(nounce)、Merkle树等信息,这些都是区块的关键数据,用于验证区块签名是否符合验证要求,并对验证通过的区块进行上链操作。区块体是交易数据存放的地方,这些交易数据会被Merkle树组织到一起,从叶子节点开始层层往上散列,并最终形成Merkle根用于对整棵树进行签名,通过这种特性,可有效鉴别数据真伪。
目前一些价值局域网已经在逐步形成,主流的区块链平台如比特币、以太坊、Fabric等 [6] [7] [8] ,已应用于数字资产、贸易金融、股权债券、供应链溯源、联合征信、公示公证、物联网共享、数据安全等领域,并形成各自的公有链、联盟链或私有链,构建了相关行业的信用价值网络。以比特币为主的加密货币是区块链技术应用的原型,也是基于区块链的第一个应用,更是目前为止最成功的一个应用。但因其只能实现简单的挖矿、转账和查询操作,因此应用领域有限。以太坊挣脱了加密货币的枷锁,它在原有区块链的基础上又新添加了一个虚拟机,为编译好的智能合约提供运行环境,以完成更复杂的指令,延伸区块链的功能。Fabric是Hyperledger的一个分支项目,也是企业级联盟链的代表。
可以预见,随着区块链系统的不断完善,与之关联的各类数据也会不断增多。但目前的区块链存储方案不足以支撑海量数据的存储。如何结合区块链的分布式特性设计一种更安全可靠的区块链关联数据的存储方案,是本系统设计的重点。
2.2. IPFS
星际文件系统(IPFS)是一种永久的、去中心化保存和共享文件的方法,旨在补充乃至颠覆统治互联网多年的HTTP模式,为用户提供比现有网络环境更佳的上网体验 [9]。IPFS与区块链在分布式存储、数据加密等方面具有相似的原理,因此将其引入区块链存储架构中是合理的。
传统HTTP协议采用基于域名的寻址方式 [10]。即当我们上网访问文件的时候,首先要在本地浏览器中输入URL,由DNS根据URL解析出相应的IP地址,也就是服务器的位置,找到文件路径和文件名,服务器响应之后才会把超文本文件返回给用户。在这种体系下会衍生出以下问题:1) 用户过度依赖Internet骨干网络,一旦出现单点故障(SPOF) [11] ,会造成网站宕机的危险,例如发生在2018年年初的亚马逊停机事件;2) 有些网页打开之后显示无法找到页面(403 Forbidden),这是因为Web文件的存储成本太高,每隔一段时间就会被删除,不能永久保存;3) 所有人都去下载相同的文件,会导致大量的带宽被占用,从而造成资源的浪费。IPFS协议的出现能够应对以上问题的发生,IPFS系统由IPFS网络中的节点通过协议连接而成。用户在访问文件时,不在像HTTP模式一样基于域名寻址,而是基于文件内容的唯一Hash值进行寻址。IPFS系统会把文件分割存储在不同的节点,当某个节点需要访问这些文件的时候,IPFS网络会自动索引哈希列表,找到存储文件的节点,把文件内容重新组织到一块快速呈现给客户端。IPFS协议具有以下优势:1) 不受中心机构的控制,可以抵御DDoS攻击,以防网络拥堵;2) 所有访问都会被分散到不同的节点,提高了文件访问和下载的速度;3) 能够自动删除重复文件,节省了网络的存储空间;4) 可以根据文件的历史版本来查看数据。
IPFS与区块链在技术层面上具有异曲同工之处,二者的结合可以更好的发挥区块链在数字资产管理中的作用。
2.3. 数字资产管理
数字资产管理是企业信息化系统和流程的集合,用于研究数字资产从创建、加工、存储、检索到使用的整个生命周期,并给出每一步的优化方案。例如:1) 采用元数据功能来对资产信息进行描述,方便用户检索和查询;2) 将资产内容和资产信息备份存储在异构数据库中,保障数据的存储安全;3) 使第三方用户可快速预览或访问资产内容。图2展示了传统的数字资产管理框架,该框架解决了一直以来困扰企业多年的“信息孤岛 [12] ”问题,使纸质化的办公方式退出历史舞台,节省了大量的资源,大幅度提高了员工的工作效率,促使企业逐步向科学化、规范化的方向发展。以上数字资产管理方式虽然可以帮助企业实现办公流程的信息化和自动化,但也存在明显的不足,具体表现在以下几点:1) 企业内部人员为了谋取利益,有可能会修改、兜售或删除一些重要数据;2) 因人工操作失误或相关人员安全责任意识淡薄,致使数据在流动的过程中造成失真,影响数据的完整性和有效性;3) 企业之间常因版权问题对簿公堂;4) 缺乏一种激励机制使所有节点共同维护数据的真实性和一致性。

Figure 2. Traditional digital asset management framework
图2. 传统数字资产管理框架
区块链作为一种分布式账本,将其融入到企业数字资产管理中不失为一种有效的方案。目前基于区块链的数字资产管理平台主要应用于版权保护、防伪溯源、数据存证、金融服务等场景。张、吴、俞提出利用区块链技术解决传统电网大数据在采集、存储和分享过程中遇到的问题 [13] [14] [15]。余、刘探索区块链在图书馆数字资产管理中的应用 [16] [17] ,以期解决图书馆面临的信任问题和版权问题。张,梅选择利用区块链来存储个人健康数据,如电子病历、基因数据等 [18] [19]。Verma研究了可以使联盟成员动态分享资产信息的新架构 [20]。已有案例从不同角度为我们展示了区块链在数字资产管理中的应用,但并未提及区块链在存储方面的解决方案,也未对系统功能进行深入分析。本文希望在此基础之上详细介绍基于区块链的数字资产管理系统设计方案,并结合IPFS系统的优势,为企业的数字资产管理提供了一种思路,通过数据的上链存储和操作,提高企业数据的利用率,杜绝数据安全、隐私泄露等类似事件的发生。
3. 基于区块链的数字资产管理系统框架设计
3.1. 系统底层架构
图3展示了基于区块链的数字资产管理系统底层架构。该底层架构由六层组成,自下而上分别是数据层、网络层、共识层、激励层、合约层、应用层。第一层是数据层。数据层封装了和数字资产相关的一些关键信息,包括区块信息、资产信息、账户信息、交易信息以及指纹信息等。第二层是网络层。网络层封装了P2P组网机制、数据传播机制和数据验证机制等,以实现不同节点之间区块数据的同步与验证。第三层是共识层。本文选择RAFT [21] 共识机制,因为它特别适合私有链环境。基于区块链的数字资产管理系统本质上是一种由多个节点同时运行的分布式应用程序(DApp),上传节点所有的事务请求需要经过至少(n/2 + 1)节点的确认才会被记账节点接受。第四层是激励层,激励层包括Token发行机制和Token分配机制,通过奖励那些参与记账的节点,维持整个区块链网络的稳定运行。第五层是合约层,该层封装了预设逻辑时钟和智能合约,记账节点需要按照共同的合约规定完成相应的数据记录和打包任务。最后一层是应用层,这一层被用于对外提供操纵链上数据的接口,以供账户管理、审计追踪、资产交易以及资产信息的检索和查询等。
3.2. 基于区块链的数字资产管理系统架构
基于区块链的数字资产管理系统采用如图4所示的总体架构。该架构主要由区块链、IPFS系统、上传节点、管理员、记账节点、Token激励机制以及第三方用户等组成。其中,区块链用于对交易数据进行安全存储;IPFS系统用于弥补区块链在存储图片、视频等大文件上的天然缺陷;上传节点代表普通的企业员工,对工作状态下产生的数字资产进行上传操作;管理员的主要职责是对企业数字资产进行管理,包括数据的分享和检验;记账节点是通过共识机制挑选出的用于打包数据块的节点;Token激励机制是区块链的创新所在,旨在通过经济激励机制奖励参与记账的节点;第三方用户可以是企业,也可以是个人。系统的基本运作原理如下:
1) 上传节点把企业数据中心的数字资产上传至IPFS系统,由其做碎片化分割处理操作并存放在多个参与节点中,上传节点只需保存生成的数据指纹,管理员通过这个唯一的哈希值可快速访问和下载所需要的文件;
2) 交易经过共识之后通过共识机制选出记账节点,由他负责对资产信息、区块信息、用户信息、指纹信息以及交易信息等关键信息进行打包和上链操作,经过最终确认的区块会被同步到其他参与节点,并以区块链副本的形式存放在本地中以作备用,避免数据丢失事件的发生;
3) 把新生成的区块挂载到IPFS系统,目的是由IPFS系统完成点对点的通信和数据查询,但不影响区块链网络的功能实现和最终处理结果;
4) 通过Token激励机制,对完成记账任务的节点给予一定数量的Token奖励,并以此作为企业员工效绩认证的凭证,按掌握Token数量的多少划算成一定的比例给予实际工资奖励,通过这种方式不仅可以维持区块链网络的稳定运行,也极大激发了员工的工作热情,为企业创造更多的效益;
5) 管理员通过比对原始数据的Hash值和链上数据指纹是否一致,对资产内容的一致性和完整性进行校验,保障企业重要文件的安全;
6) 管理员通过身份验证和数据加密等技术手段授权第三方用户访问想要的数据,以实现企业之间数据的分享,为后续搭建企业级联盟链奠定基础。
3.3. 安全认证机制
目前有多种举措可以确保数字资产的传输安全和通讯安全,例如我们熟悉的对称加密技术和非对称加密技术等。对称加密只有一个密钥,而且需要把它公开给Server,所以安全系数并不高,但具有更好的效率。非对称加密有两个密钥,一个是公钥,另外一个私钥,公钥加密的信息只有私钥才能解开,而私钥加密的信息也只有公钥才能解开。非对称加密仅向Server公开公钥,私钥掌握在用户手中,从而增加了更多的安全性。本文选择非对称加密在计算机网络中进行身份鉴别。图5展示了资产分享的安全认证流程,为了方便起见,A代表发送端,B代表接收端。认证原理如下:
1) A使用B的公钥对数字资产进行加密,使用自己的私钥对数字资产的摘要进行签名。
2) A把数字签名附加在加密信息之后,一起发送给B。
3) B收到A的消息后,取下数字签名,并通过A的公钥解密,得到数字资产的摘要。
4) B对A发送的数字资产通过指定的Hash函数进行计算,得到的结果与上步解密得到的摘要进行对比,如果两者一致,说明A发送的数字资产未被篡改。
3.4. 数据存储方案
传统企业采用中心化的记账方式,在这种情况下,管理主体有能力对账本数据进行修改,这不利于企业的发展。区块链为企业提供了一种可以共同记账的可信方案。首先,该方案的记账过程是去中心化的,参与记账的节点以预先约定的方式获得某一特定区块的记账权。其次,打包好的区块会被同步到分布式网络的其他节点,以防数据丢失。图6展示了基于区块链的资产记录流程,详细过程如下:
1) 上传节点通过Web前端把存储在本地的数字资产上传至IPFS系统,由IPFS系统负责把文件碎片化分割存放在不同节点,并把数字资产的指纹信息(Hash值)返回给Web前端,以备上链。
2) 记账节点把元数据、交易信息、账户信息以及指纹信息等关键信息记录到区块中,然后把该区块广播给上传节点,使其完成对账本的同步工作。
3) 监督节点对数据一致性进行检验,判断记账的正确性。
3.5. 效绩认证方案
如图7,为了维持区块链网络的稳定运行,需要通过Token激励的方式奖励每一个参与上传和记账的节点。负责打包区块的节点是由上传节点推选出的记账节点,记账节点在任期之内如无重大失职行为,便可继续留任,直至任期结束,重新开始下一轮选举。这就像是企业的每个部门都会有组长或负责人一样,通过他们来创建区块并记录交易,可提高出块的速度,增加交易的吞吐量,避免因竞争记账权对系统性能造成影响。表现好的上传节点不仅可以获得一定数量的Token奖励,在得到同组成员的认可后还可晋升为候选节点。所有候选节点都是平等的,在最终投票结果确认后即可成为新一届的记账节点。所有节点积累的Token都可成为年终奖等级的评判标准。通过这种方式,极大地提高了企业员工的工作热情。
4. 基于区块链的数字资产管理系统分析
区块链采用带有时间戳的链式结构存储数据,为数据的记录增加了时间维度,具有可验证性和可追溯性。所有和数字资产相关的信息都被记录在区块中,并且随着新交易产生,账本也随之更新。账本信息的安全性和准确性都可以通过密码学来保证,每个区块对应一个Hash值,这个Hash值代表了数据的完整性和一致性。区块中的信息稍有变动,就会导致该区块之后的所有区块数据内容的修改,从而极大增加数据篡改的难度。另外,传统网络的用户认证采用中央认证中心(CA) [22] 方式,整个系统的安全性完全依赖于集中部署的认证中心和相应的内部管理人员身上。一旦CA被攻击,所有用户的数据可能被窃取或者篡改。而在区块链节点共识机制下,无需第三方信任平台,写入的数据需要网络大部分节点的认可才可以被记录,因此,攻击者控制全网络51%的节点才能够伪造或者篡改数据,这将大大增加攻击的成本和难度。而且,区块链网络的所有节点都是分散的,每个节点都同步了完整的区块链信息,而且可以对其他节点的数据有效性进行验证,因此针对区块链的分布式拒绝攻击将会更难展开。即便攻击者攻破了某个节点,剩余节点也可以正常维持整个区块链网络的稳定运行。
尽管基于区块链的数字资产管理系统具有很大的优势,但对于企业来说是一项非常具有挑战性的工程,需要前期做大量的准备,例如:制定合理的数字资产管理规范;对企业内部员工进行技术培训;加大系统的研究和投资力度等,这些都将会耗费大量的人力和物力。而且传统的数字资产管理平台已趋于稳定,如果不出现比较严重的事故,用户不会轻易选择其他数字资产管理系统。另外,区块链作为一门新兴技术,理论虽然较为成熟,但还存在很多缺陷:1) 交易速率低,比如比特币系统只有每秒7笔的交易,以太坊最快也不过几十笔每秒,效率低下是区块链所面临的最大缺陷;2) 缺乏对智能合约的安全审计与维护,其存在的漏洞安全问题时有发生;3) 每个区块的容量都是有限的,致使区块链存在存储缺陷;4) 数据完整性威胁,例如双花攻击、日蚀攻击、贿赂攻击、扣块攻击等;5) 随着量子计算机的迅速发展,很有可能攻破密码学算法(ECDSA、RSA、DSA等);6) 用户身份无法监督,业务结合难等。因此,基于区块链的数字资产存证在实现业务的同时,还需要在开源的解决方案之上,对框架本身做适当的修改和改造。
5. 总结
鉴于企业实体经济正在向数字经济转型以及大量数字资产的产生,本文在分析了传统企业数字资产管理存在的问题之后,以区块链去中心化、防篡改、可追溯、公开透明等特点为基础,设计了一种基于区块链的数字资产管理系统框架,该框架为企业在数字资产管理方面存在的数据安全、数据霸权、数据共享等问题提供一种新的思路,并利用区块链的Token激励机制对企业员工进行效绩认证,维护整个区块链网络的稳定运行。结合IPFS系统内容可寻址、版本化、点对点等特点,弥补区块链不能存储大文件的痛点。该系统对于企业高效发掘数字资产的价值具有很大的借鉴意义,然而,区块链技术并不是万能的,将区块链应用到企业的数字资产管理中仍有许多挑战需要面对。区块链在存储数字资产过程中所显现的性能、效率和安全问题也是影响其发展的重要因素。
致谢
最后我要由衷地感谢在论文写作过程中帮忙过我的每一位人。首先,我要感谢的人是临沂大学信息科学与工程学院的张问银教授。在整个过程中他给我的帮忙最大,包括论文题目的制定和撰写,他都给我提了很多宝贵的意见和建议,让我感受到师生情谊的同时,也积累了丰富的写作经验,对以后发表文章大有帮助。在完成初稿后,老师更是不顾工作繁忙,不余遗力地帮我检查文章,指出了我需要改善的很多地方,并教会了我很多实用的写作技巧和方法。其次,要感谢和我一起讨论并解决难题的赵伟同学,正是有了他的陪伴,我才能坚持在枯燥的写作过程中坚持下去。最后要感谢我的家人,他们的支持和关心是我奋发向上的动力,也是我克服困难,勇敢面对挫折的支撑。
基金项目
山东省重点研发计划项目(No.2017CXGC0701, 2016GGX109001),山东省自然科学基金(No. ZR2018LF007, ZR2017MF0, ZR2016YL011),山东省高等学校科学技术计划项目(No. J17KA049)。