面向智能共享的內(nèi)生可信網(wǎng)絡(luò)體系架構(gòu)

（北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，北京 100876）

1 引言

隨著新一代信息通信基礎(chǔ)設(shè)施的建設(shè)發(fā)展，終端、邊緣、網(wǎng)絡(luò)、云通過共享釋放富裕的通信、計(jì)算和存儲等網(wǎng)絡(luò)資源，支撐網(wǎng)絡(luò)數(shù)據(jù)分發(fā)，提升網(wǎng)絡(luò)服務(wù)能力，共享資源、數(shù)據(jù)和服務(wù)等網(wǎng)絡(luò)資產(chǎn)，逐步構(gòu)建價值交換互聯(lián)網(wǎng)，成為網(wǎng)絡(luò)發(fā)展的重要方向。但是對于以共享為核心驅(qū)動的融合網(wǎng)絡(luò)，信任成為制約網(wǎng)絡(luò)演進(jìn)的關(guān)鍵問題，極大地限制了異構(gòu)資源聚合、數(shù)據(jù)分發(fā)與服務(wù)提供的能力，阻礙了網(wǎng)絡(luò)空間的健康有序發(fā)展。

區(qū)塊鏈技術(shù)作為一種多方備份的分布式賬本技術(shù)，通過共識約束的技術(shù)手段，可在一定程度上解決異構(gòu)網(wǎng)絡(luò)共享時的不信任與利益分配不公平等問題[1-2]。為此，許多學(xué)者將區(qū)塊鏈應(yīng)用于網(wǎng)絡(luò)共享以解決信任問題，主要聚焦于融合架構(gòu)、資源可信管理、數(shù)據(jù)共享訪問、跨域服務(wù)協(xié)同等方面。Rosa等[3]提出了基于區(qū)塊鏈的跨域網(wǎng)絡(luò)可信共享運(yùn)營的框架，支持跨域資源對外提供統(tǒng)一的可信共享服務(wù)，推動新網(wǎng)絡(luò)運(yùn)營模式的建設(shè)。Yin 等[4]提出了一種去中心化的可信“超鏈接網(wǎng)絡(luò)”架構(gòu)，用于實(shí)現(xiàn)未來網(wǎng)絡(luò)數(shù)據(jù)的可信共享與分發(fā)。Sharma 等[5-6]提出了基于區(qū)塊鏈的“云?邊?端”軟件定義三層可信融合架構(gòu)，實(shí)現(xiàn)資源安全可信管理，減輕安全攻擊并提供實(shí)時分析服務(wù)，支撐網(wǎng)絡(luò)服務(wù)提供商和消費(fèi)者之間的可信交易。曾詩欽等[7]概述了區(qū)塊鏈技術(shù)的特點(diǎn)，探討了區(qū)塊鏈與智慧城市、工業(yè)互聯(lián)網(wǎng)融合應(yīng)用。Wu 等[8]提出了一種軟件定義的區(qū)塊鏈網(wǎng)絡(luò)構(gòu)建方式，通過動態(tài)管理區(qū)塊鏈節(jié)點(diǎn)來適應(yīng)性大規(guī)模網(wǎng)絡(luò)，提升網(wǎng)絡(luò)的可信服務(wù)水平。Xu 等[9]提出了一種基于區(qū)塊鏈得到分散式資源的管理方法，通過請求在數(shù)據(jù)中心之間的遷移和調(diào)度來降低能耗成本。Rawat 等[10]提出了一種融合軟件定義、邊緣計(jì)算、區(qū)塊鏈技術(shù)的無線網(wǎng)絡(luò)虛擬化管理機(jī)制，用于防止無線側(cè)由于雙花攻擊等不可信行為造成的異構(gòu)無線資源分配不公平性現(xiàn)象的發(fā)生。Feng 等[11]提出了基于區(qū)塊鏈的移動邊緣計(jì)算卸載和資源分配策略，構(gòu)建了基于深度強(qiáng)化學(xué)習(xí)的協(xié)作計(jì)算卸載和資源分配算法來解決馬爾可夫決策進(jìn)程問題，但忽略了跨域資源動態(tài)預(yù)測與調(diào)整帶來的安全可信的問題。Abbas 等[12]提出了基于區(qū)塊鏈技術(shù)的軟件定義架構(gòu)，采用公有鏈和私有鏈來實(shí)現(xiàn)網(wǎng)絡(luò)安全性與物聯(lián)網(wǎng)效益的兼容，但區(qū)塊鏈的效率成為制約該架構(gòu)的可用性和可擴(kuò)展性。Nicolas 等[13]提出了基于區(qū)塊鏈的內(nèi)容可信分發(fā)服務(wù)機(jī)制，利用可信中介通過網(wǎng)絡(luò)功能服務(wù)鏈實(shí)現(xiàn)內(nèi)容提供者與請求者共享，但難以滿足異構(gòu)網(wǎng)絡(luò)共享的需求。

本文將區(qū)塊鏈、人工智能等技術(shù)與網(wǎng)絡(luò)融合，提出面向智能共享的內(nèi)生可信網(wǎng)絡(luò)體系架構(gòu)，構(gòu)建全節(jié)點(diǎn)、輕節(jié)點(diǎn)協(xié)同的聯(lián)盟鏈，提出鏈上標(biāo)識、鏈下信息關(guān)聯(lián)的融合機(jī)制，設(shè)計(jì)數(shù)據(jù)安全可信的共享交換協(xié)議，基于智能合約，提出網(wǎng)絡(luò)資源智能調(diào)度和服務(wù)組合方法，提供支持多方互信兼具公平性的網(wǎng)絡(luò)共享服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)智能共享。

2 網(wǎng)絡(luò)共享需求與挑戰(zhàn)

以公共/私有的終端、邊緣、網(wǎng)絡(luò)、云構(gòu)成的異構(gòu)網(wǎng)絡(luò)，其共享包含資源、數(shù)據(jù)與服務(wù)3 個層面的網(wǎng)絡(luò)資產(chǎn)，具體需求和挑戰(zhàn)如下。

1)異構(gòu)網(wǎng)絡(luò)資源共享。旨在釋放廣分布且閑散的通信、計(jì)算與存儲資源，聚合形成巨大的網(wǎng)絡(luò)資源能力，為豐富與拓展業(yè)務(wù)模式奠定基礎(chǔ)。傳統(tǒng)共享模式往往采用集中管理實(shí)現(xiàn)異構(gòu)資源共享，該方式常常受到多方主體間的信任危機(jī)，難以支撐大規(guī)模異構(gòu)網(wǎng)絡(luò)資源的共享[14]。將區(qū)塊鏈技術(shù)與異構(gòu)網(wǎng)絡(luò)資源相融合，成為當(dāng)前許多學(xué)者和機(jī)構(gòu)解決異構(gòu)網(wǎng)絡(luò)資源間信任問題關(guān)注的焦點(diǎn)，通常采用異構(gòu)網(wǎng)絡(luò)資源信息全量上鏈的方式，但區(qū)塊鏈系統(tǒng)性能低下，難以滿足大規(guī)模異構(gòu)網(wǎng)絡(luò)資源的海量信息共享的效率要求，限制了基于區(qū)塊鏈的異構(gòu)網(wǎng)絡(luò)資源可信共享環(huán)境的可用性。如何利用區(qū)塊鏈技術(shù)，實(shí)現(xiàn)鏈上、鏈下網(wǎng)絡(luò)資源信息的融合成為研究熱點(diǎn)。

2)異構(gòu)網(wǎng)絡(luò)數(shù)據(jù)共享。旨在突破孤立、分散分布的網(wǎng)絡(luò)數(shù)據(jù)共享瓶頸，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的融合治理、知識學(xué)習(xí)與規(guī)律演化，衍生出網(wǎng)絡(luò)共享數(shù)據(jù)的新價值。傳統(tǒng)跨域封閉的網(wǎng)絡(luò)數(shù)據(jù)由于行業(yè)、用戶等自私行為，易造成網(wǎng)絡(luò)數(shù)據(jù)隱私泄露與篡改不可信等現(xiàn)象，出現(xiàn)大量網(wǎng)絡(luò)數(shù)據(jù)孤島問題[15]。目前，將區(qū)塊鏈與網(wǎng)絡(luò)數(shù)據(jù)共享融合，已成為許多學(xué)者或機(jī)構(gòu)解決網(wǎng)絡(luò)數(shù)據(jù)孤島問題的共識。通常是將區(qū)塊鏈作為數(shù)據(jù)存儲的介質(zhì)[16-17]，但該方式存在區(qū)塊鏈系統(tǒng)效率與增量數(shù)據(jù)管理、區(qū)塊格式與網(wǎng)絡(luò)數(shù)據(jù)適配等矛盾。如何保障區(qū)塊鏈網(wǎng)絡(luò)與網(wǎng)絡(luò)數(shù)據(jù)的管理、存儲與共享等兼容性和適應(yīng)性成為研究焦點(diǎn)。

3)異構(gòu)網(wǎng)絡(luò)服務(wù)共享。旨在聚合跨域分布的網(wǎng)絡(luò)服務(wù)，提升網(wǎng)絡(luò)服務(wù)能力，實(shí)現(xiàn)服務(wù)收益自動化分配，豐富與拓展未來網(wǎng)絡(luò)業(yè)務(wù)模式。傳統(tǒng)異構(gòu)網(wǎng)絡(luò)服務(wù)共享通常借鑒“市場模式”，建立統(tǒng)一服務(wù)平臺，采用統(tǒng)一定價或者多輪協(xié)商機(jī)制，制定共享服務(wù)收益的分配模型。但是中心化網(wǎng)絡(luò)服務(wù)共享缺乏監(jiān)督技術(shù)手段，造成用戶隱私易被泄露且收益分配不透明的現(xiàn)象，阻礙了網(wǎng)絡(luò)服務(wù)的開放與發(fā)展[18]。已有學(xué)者通過引入?yún)^(qū)塊鏈技術(shù)，建立眾籌的共享服務(wù)機(jī)制，但該研究尚在初期。如何利用區(qū)塊鏈技術(shù)，在兼顧網(wǎng)絡(luò)服務(wù)提供者與使用者之間的隱私保護(hù)的同時，保障共享服務(wù)收益分配的公平性，成為研究趨勢[19-20]。

3 內(nèi)生可信網(wǎng)絡(luò)體系架構(gòu)

在區(qū)塊鏈與網(wǎng)絡(luò)共享的融合過程中，將資源、數(shù)據(jù)與服務(wù)等網(wǎng)絡(luò)資產(chǎn)信息全部注冊到區(qū)塊鏈上進(jìn)行管理，會由于區(qū)塊鏈鏈上資產(chǎn)信息管理與共識效率的限制，造成基于區(qū)塊鏈的異構(gòu)網(wǎng)絡(luò)資源可信共享環(huán)境的不可用。為此，引入網(wǎng)絡(luò)標(biāo)識體系，用于資源、數(shù)據(jù)與服務(wù)等網(wǎng)絡(luò)資產(chǎn)的識別與發(fā)現(xiàn)、數(shù)據(jù)的可信共享、兼具隱私保護(hù)的服務(wù)組合等，如圖1所示。將資源、數(shù)據(jù)與服務(wù)作為網(wǎng)絡(luò)資產(chǎn)進(jìn)行描述建模，并抽取關(guān)鍵資產(chǎn)信息與標(biāo)識映射，構(gòu)建基于標(biāo)識的網(wǎng)絡(luò)資產(chǎn)管理機(jī)制，通過標(biāo)識與關(guān)鍵資產(chǎn)信息的鏈上注冊與管理，支持標(biāo)識解析映射與定位到鏈下網(wǎng)絡(luò)資產(chǎn)，實(shí)現(xiàn)鏈上標(biāo)識、鏈下資產(chǎn)信息的融合管理模式。

基于網(wǎng)絡(luò)標(biāo)識，進(jìn)一步構(gòu)建基于區(qū)塊鏈的內(nèi)生可信網(wǎng)絡(luò)架構(gòu)，如圖2 所示。它由五層組成，分別是終端設(shè)備層、網(wǎng)絡(luò)層、區(qū)塊鏈層、平臺層和應(yīng)用層。此架構(gòu)在邏輯上通過將聯(lián)盟鏈與終端設(shè)備、網(wǎng)絡(luò)設(shè)備集成，實(shí)現(xiàn)異構(gòu)云網(wǎng)資源可信共享，利用軟件定義技術(shù)，構(gòu)建可信的虛擬網(wǎng)絡(luò)運(yùn)行環(huán)境，形成網(wǎng)絡(luò)資源、數(shù)據(jù)與服務(wù)等資產(chǎn)對外可信共享的服務(wù)平臺，通過按需服務(wù)提供共享資產(chǎn)，滿足差異化的應(yīng)用需求。

圖1 基于標(biāo)識的網(wǎng)絡(luò)共享模型

圖2 面向智能共享的內(nèi)生可信網(wǎng)絡(luò)體系架構(gòu)

該內(nèi)生可信共享網(wǎng)絡(luò)構(gòu)建的核心思想是：在異構(gòu)網(wǎng)絡(luò)中利用計(jì)算與通信能力較強(qiáng)的終端、網(wǎng)關(guān)或云服務(wù)器節(jié)點(diǎn)組成聯(lián)盟鏈的全節(jié)點(diǎn)，其他節(jié)點(diǎn)作為輕節(jié)點(diǎn)，將異構(gòu)網(wǎng)絡(luò)資產(chǎn)連接成對等多方互信的聯(lián)盟，將網(wǎng)絡(luò)資源、數(shù)據(jù)與服務(wù)等關(guān)鍵信息映射到標(biāo)識并進(jìn)行鏈上管理，通過改進(jìn)實(shí)用拜占庭容錯（PBFT,practical Byzantine fault tolerance）共識算法實(shí)現(xiàn)全節(jié)點(diǎn)間的快速共識達(dá)成，而輕節(jié)點(diǎn)僅部署區(qū)塊鏈客戶端，參與聯(lián)盟鏈上標(biāo)識與關(guān)鍵資產(chǎn)信息的緩存和可信校驗(yàn)。

將異構(gòu)網(wǎng)絡(luò)的資源、數(shù)據(jù)與服務(wù)等資產(chǎn)信息，通過在區(qū)塊鏈平臺注冊、溯源與行為審計(jì)，實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)資源、數(shù)據(jù)、服務(wù)等資產(chǎn)接入、運(yùn)行、退出全生命周期的信任管理，使共享網(wǎng)絡(luò)資產(chǎn)具有內(nèi)在信任管理機(jī)制，本文稱之為內(nèi)生可信。同時，在內(nèi)生可信共享網(wǎng)絡(luò)中，支持面向應(yīng)用需求提供網(wǎng)絡(luò)資源、數(shù)據(jù)與服務(wù)等共享資產(chǎn)的智能分配與優(yōu)化，確保內(nèi)生可信網(wǎng)絡(luò)的智能共享能力，解決應(yīng)用場景的適配性問題。

本文所提架構(gòu)的關(guān)鍵技術(shù)包括分布式聯(lián)盟鏈構(gòu)建、網(wǎng)絡(luò)資產(chǎn)共享模型、網(wǎng)絡(luò)數(shù)據(jù)可信共享協(xié)議、共享資源智能調(diào)度、共享服務(wù)組合等，這些將在第4 節(jié)展開詳細(xì)介紹。

4 關(guān)鍵技術(shù)

4.1 支撐內(nèi)生可信的分布式聯(lián)盟鏈構(gòu)建

為了有效支撐面向智能共享的內(nèi)生可信網(wǎng)絡(luò)的構(gòu)建，需先建立相適配的高效區(qū)塊鏈平臺。制約區(qū)塊鏈與網(wǎng)絡(luò)共享融合的性能瓶頸主要體現(xiàn)在聯(lián)盟鏈結(jié)構(gòu)、節(jié)點(diǎn)規(guī)模與部署、共識機(jī)制與通信協(xié)議等[21]。為此本文采用了全節(jié)點(diǎn)與輕節(jié)點(diǎn)的方式形成聯(lián)盟鏈結(jié)構(gòu)[22]，但是要控制全節(jié)點(diǎn)的數(shù)量與規(guī)模，防止由于聯(lián)盟節(jié)點(diǎn)過多而帶來性能下降的問題。

同時，考慮到網(wǎng)絡(luò)規(guī)模，也可以進(jìn)一步設(shè)計(jì)主從鏈的架構(gòu)，如圖3 所示。主鏈和從鏈本質(zhì)上是聯(lián)盟區(qū)塊鏈。主鏈?zhǔn)枪尚诺模梢源_保異構(gòu)網(wǎng)絡(luò)跨域共享時，通過跨鏈技術(shù)確保資源、數(shù)據(jù)與服務(wù)等網(wǎng)絡(luò)資產(chǎn)提供源是可信的。每個從鏈代表一個獨(dú)立的網(wǎng)絡(luò)共享域，連接設(shè)備可以在從鏈上進(jìn)行身份的可信驗(yàn)證。

主鏈?zhǔn)前磿r間順序線性排列的節(jié)點(diǎn)鏈，用于解析跨鏈資產(chǎn)認(rèn)證請求，作為實(shí)現(xiàn)跨鏈可信認(rèn)證和交互的可信共享。主鏈的聯(lián)盟鏈節(jié)點(diǎn)一般由政府、運(yùn)營商、銀行、大型國企或央企、互聯(lián)網(wǎng)企業(yè)等公共受信任的組織構(gòu)建和維護(hù)。

為了實(shí)現(xiàn)區(qū)域性的異構(gòu)網(wǎng)絡(luò)共享，原則上可以根據(jù)區(qū)域性需求開發(fā)從鏈，這需要標(biāo)準(zhǔn)化跨鏈協(xié)議和資產(chǎn)管理模式。網(wǎng)絡(luò)共享域中的所有成員都可以通過從鏈將所有網(wǎng)絡(luò)資產(chǎn)直接共享。由于從鏈代表獨(dú)立的網(wǎng)絡(luò)共享域，存在網(wǎng)絡(luò)拓?fù)洚悩?gòu)的現(xiàn)象，因此提供的跨鏈協(xié)議中應(yīng)包含跨鏈合約模板。從鏈節(jié)點(diǎn)只需實(shí)現(xiàn)模板中的函數(shù)接口，即可與主鏈進(jìn)行通信，實(shí)現(xiàn)資產(chǎn)共享。從鏈節(jié)點(diǎn)由一些靜態(tài)網(wǎng)絡(luò)設(shè)備和服務(wù)器維護(hù)。塊頭保存塊的哈希值以及上一個塊、Merkle 樹的根、塊構(gòu)造函數(shù)的簽名和時間戳，塊主體記錄此域和其他域中網(wǎng)絡(luò)資產(chǎn)可信身份驗(yàn)證信息。

圖3 支撐內(nèi)生可信的分布式聯(lián)盟鏈構(gòu)建

區(qū)塊鏈網(wǎng)絡(luò)依靠節(jié)點(diǎn)相互協(xié)作來保證網(wǎng)絡(luò)安全，這需要限制其中惡意節(jié)點(diǎn)的數(shù)量。惡意節(jié)點(diǎn)可能向網(wǎng)絡(luò)發(fā)起攻擊，導(dǎo)致交易回退（失敗），阻止新的交易，甚至重復(fù)使用加密貨幣。為抵御以上攻擊，保證區(qū)塊鏈網(wǎng)絡(luò)的安全穩(wěn)定，通常存在3 種區(qū)塊鏈節(jié)點(diǎn)安全管理方法。1)基于信譽(yù)的節(jié)點(diǎn)管理方法。區(qū)塊鏈網(wǎng)絡(luò)對每一個參與網(wǎng)絡(luò)的節(jié)點(diǎn)進(jìn)行行為評估，形成節(jié)點(diǎn)信譽(yù)體系，并對信譽(yù)值低于系統(tǒng)閾值的節(jié)點(diǎn)進(jìn)行相應(yīng)處罰。2)權(quán)威節(jié)點(diǎn)為主的節(jié)點(diǎn)管理方法。網(wǎng)絡(luò)中接入多個權(quán)威資源節(jié)點(diǎn)，保證共識過程中的礦工節(jié)點(diǎn)大多數(shù)（例如51%、2/3 等）為權(quán)威節(jié)點(diǎn)。3)基于可信計(jì)算的節(jié)點(diǎn)管理方法。通過運(yùn)用可信計(jì)算技術(shù)，保證接入設(shè)備行為的安全性。考慮到提出支撐內(nèi)生可信的分布式聯(lián)盟鏈接入節(jié)點(diǎn)類型多樣、網(wǎng)絡(luò)環(huán)境復(fù)雜等特性，本文采用基于信譽(yù)的區(qū)塊鏈節(jié)點(diǎn)管理方法，設(shè)計(jì)基于信譽(yù)的獨(dú)立拜占庭容錯共識算法，保證區(qū)塊鏈網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

從鏈節(jié)點(diǎn)主要用于生成從鏈塊、維護(hù)從鏈，并與主鏈和網(wǎng)絡(luò)設(shè)備通信。為了提高可信認(rèn)證的效率，將節(jié)點(diǎn)分為3 類：通信節(jié)點(diǎn)、驗(yàn)證節(jié)點(diǎn)和候選節(jié)點(diǎn)。建立信譽(yù)值選擇機(jī)制以對節(jié)點(diǎn)進(jìn)行分類，因?yàn)椴煌墓?jié)點(diǎn)具有不同的信譽(yù)值。每類節(jié)點(diǎn)的功能介紹如下。

1)通信節(jié)點(diǎn)。通信節(jié)點(diǎn)用于與主鏈進(jìn)行通信，信譽(yù)度最高。當(dāng)需要選擇新的通信節(jié)點(diǎn)時，選擇信譽(yù)值最高的驗(yàn)證節(jié)點(diǎn)作為新的通信節(jié)點(diǎn)。

2)驗(yàn)證節(jié)點(diǎn)。驗(yàn)證節(jié)點(diǎn)用于達(dá)成共識并構(gòu)建從屬鏈的塊。當(dāng)驗(yàn)證節(jié)點(diǎn)的信譽(yù)值低于某個候選節(jié)點(diǎn)的信譽(yù)值時，它將轉(zhuǎn)向候選節(jié)點(diǎn)，并選擇該候選節(jié)點(diǎn)作為驗(yàn)證節(jié)點(diǎn)。

3)候選節(jié)點(diǎn)。候選節(jié)點(diǎn)主要負(fù)責(zé)傳輸數(shù)據(jù)。剛加入從屬鏈網(wǎng)絡(luò)的所有節(jié)點(diǎn)都是候選節(jié)點(diǎn)，可以通過增加信譽(yù)值來轉(zhuǎn)向驗(yàn)證節(jié)點(diǎn)。本文架構(gòu)中主鏈和從鏈都采用聯(lián)盟鏈。

在共識過程中，聯(lián)盟鏈不能保證沒有故障節(jié)點(diǎn)（拜占庭節(jié)點(diǎn)），因此仍然使用傳統(tǒng)的PBFT 共識算法[23-25]。但是由于節(jié)點(diǎn)數(shù)量眾多且共識頻繁，使用傳統(tǒng)的PBFT 共識算法無疑會增加通信開銷和網(wǎng)絡(luò)時延。因此，基于PBFT 共識算法，本文針對從鏈設(shè)計(jì)了一種新的基于信譽(yù)值的獨(dú)立拜占庭容錯共識算法（RIBFT,independent Byzantine fault tolerance algorithm based on reputation）。與傳統(tǒng)的PBFT算法相比，RIBFT 的改進(jìn)如下。

1) PBFT 是C/S 模式，而RIBFT 不需要客戶端充當(dāng)請求的發(fā)起者，因此將其更改為P2P 網(wǎng)絡(luò)拓?fù)漤憫?yīng)模式。該請求直接由主節(jié)點(diǎn)（構(gòu)成塊的節(jié)點(diǎn)）發(fā)起，要求每個共識節(jié)點(diǎn)獨(dú)立偵聽區(qū)塊鏈中的交易，并確保塊信息和每個節(jié)點(diǎn)的視圖數(shù)一致。其中，智能合約通過在驗(yàn)證節(jié)點(diǎn)中隨機(jī)選擇主節(jié)點(diǎn)，信譽(yù)值較高的驗(yàn)證節(jié)點(diǎn)更有可能被選作主節(jié)點(diǎn)。

2) PBFT 共識需要整個網(wǎng)絡(luò)參與。隨著節(jié)點(diǎn)的增加，時間復(fù)雜度越來越高，而RIBFT 僅需完成驗(yàn)證節(jié)點(diǎn)的共識。由于共識節(jié)點(diǎn)為信譽(yù)度較高的驗(yàn)證節(jié)點(diǎn)，大大降低了拜占庭節(jié)點(diǎn)的發(fā)生概率，減少了等待時間，提高了共識效率。

由于共識節(jié)點(diǎn)由智能合約自動選擇，確保了投票過程的透明性和無損修改，進(jìn)而確保共識節(jié)點(diǎn)的有效性。信譽(yù)值越高，該節(jié)點(diǎn)被選為主節(jié)點(diǎn)的可能性就越大。與傳統(tǒng)的 PBFT 算法相比，RIBFT 的主節(jié)點(diǎn)成為拜占庭節(jié)點(diǎn)的概率大大降低，共識效率提高。

4.2 基于標(biāo)識的異構(gòu)網(wǎng)絡(luò)資產(chǎn)共享模型

面向智能共享的內(nèi)生可信網(wǎng)絡(luò)需要一種輕量級的網(wǎng)絡(luò)資產(chǎn)管理機(jī)制，支持跨域異構(gòu)網(wǎng)絡(luò)資產(chǎn)的安全高效可信共享。為此，提出一種基于標(biāo)識的異構(gòu)網(wǎng)絡(luò)資產(chǎn)共享模型，將網(wǎng)絡(luò)資產(chǎn)信息映射到標(biāo)識中，實(shí)現(xiàn)標(biāo)識和網(wǎng)絡(luò)資產(chǎn)信息分離，構(gòu)建鏈上標(biāo)識、鏈下信息的應(yīng)用模式，實(shí)現(xiàn)管理域內(nèi)及域間的資產(chǎn)高效可信共享，如圖4 所示。

考慮資產(chǎn)標(biāo)識需要的唯一性、有效性、隱私保護(hù)及可識別性等特性，設(shè)計(jì)資產(chǎn)標(biāo)識包括兩部分：區(qū)塊鏈域和資產(chǎn)域。區(qū)塊鏈域由資產(chǎn)注冊時其信息存儲的區(qū)塊鏈號、鏈內(nèi)塊號及塊內(nèi)序號構(gòu)成。區(qū)塊鏈號為可選字段，表示資產(chǎn)注冊信息所在的區(qū)塊鏈，當(dāng)用戶所請求資產(chǎn)處于同一管理域內(nèi)時，可省略該部分；鏈內(nèi)塊號表示改標(biāo)編碼所對應(yīng)的區(qū)塊的編號；塊內(nèi)序號表示該資產(chǎn)信息所在的塊內(nèi)條目的位置。通過解析[鏈號].[鏈內(nèi)塊號].[塊內(nèi)序號]，可獲得處理后的資產(chǎn)信息。資產(chǎn)域與區(qū)塊鏈域用“/”分割，包括標(biāo)準(zhǔn)標(biāo)識、資產(chǎn)標(biāo)識和資產(chǎn)版本標(biāo)識。標(biāo)準(zhǔn)標(biāo)識表示某種已存在的資產(chǎn)標(biāo)識方法，資產(chǎn)標(biāo)識表示在該類標(biāo)識方法下對資產(chǎn)的編碼，資產(chǎn)版本標(biāo)識表示當(dāng)前資產(chǎn)較上一次注冊后發(fā)生的更新變化。通過解析[標(biāo)準(zhǔn)標(biāo)識].[資產(chǎn)標(biāo)識].[資產(chǎn)版本標(biāo)識]，可得到唯一網(wǎng)絡(luò)資產(chǎn)。

圖4 基于區(qū)塊鏈的異構(gòu)網(wǎng)絡(luò)資產(chǎn)標(biāo)識

基于標(biāo)識的異構(gòu)網(wǎng)絡(luò)資產(chǎn)共享模型的資產(chǎn)共享過程主要包括3 個部分：資產(chǎn)注冊、資產(chǎn)匹配、資產(chǎn)共享。其中存在5 種參與實(shí)體，即資產(chǎn)請求者、認(rèn)證機(jī)構(gòu)、內(nèi)生資產(chǎn)區(qū)塊鏈、異構(gòu)網(wǎng)絡(luò)資產(chǎn)和資產(chǎn)提供者。

1)資產(chǎn)注冊

基于標(biāo)識的異構(gòu)網(wǎng)絡(luò)資產(chǎn)共享模型中，內(nèi)生資產(chǎn)區(qū)塊鏈網(wǎng)絡(luò)拓?fù)淙ブ行幕骶W(wǎng)絡(luò)資產(chǎn)配置區(qū)塊鏈應(yīng)用共同維護(hù)該資產(chǎn)鏈。異構(gòu)網(wǎng)絡(luò)資產(chǎn)在實(shí)現(xiàn)資產(chǎn)共享前需由資產(chǎn)提供者向內(nèi)生資產(chǎn)區(qū)塊鏈提交資產(chǎn)注冊，申請完成資產(chǎn)注冊。

完成資產(chǎn)注冊的網(wǎng)絡(luò)資產(chǎn)獲得全網(wǎng)唯一的資產(chǎn)標(biāo)識，其格式為管理機(jī)構(gòu)標(biāo)識://鏈號.鏈內(nèi)塊號.塊內(nèi)序號/標(biāo)準(zhǔn)標(biāo)識.資產(chǎn)標(biāo)識.資產(chǎn)版本標(biāo)識。該標(biāo)識及相關(guān)資產(chǎn)信息被存儲在內(nèi)生資產(chǎn)區(qū)塊鏈上，標(biāo)識將體現(xiàn)該資產(chǎn)所屬管理域、資產(chǎn)信息塊內(nèi)位置等，相關(guān)信息指明資產(chǎn)價格、資產(chǎn)大小及資產(chǎn)類型等相關(guān)屬性。資產(chǎn)請求者在進(jìn)行資產(chǎn)請求時可以從維護(hù)的內(nèi)生資產(chǎn)區(qū)塊鏈中獲得資產(chǎn)信息，通過匹配算法選擇自身所需資產(chǎn)，并通過P2P 方式完成資產(chǎn)協(xié)商與資產(chǎn)交易。

2)資產(chǎn)匹配

服務(wù)請求者在向內(nèi)生資產(chǎn)區(qū)塊鏈提交服務(wù)請求交易，該交易將觸發(fā)智能合約，內(nèi)生鏈通過資產(chǎn)匹配算法獲得與服務(wù)請求者需求相適應(yīng)的服務(wù)資產(chǎn)列表，資產(chǎn)共享雙方通過網(wǎng)絡(luò)數(shù)據(jù)安全可信共享交互協(xié)議（4.3 節(jié)）完成資產(chǎn)共享協(xié)商。

3)資產(chǎn)共享

完成資產(chǎn)共享協(xié)商的交易雙方將簽訂資產(chǎn)共享協(xié)議，該協(xié)議以交易的形式被記錄至區(qū)塊鏈上。完成簽訂后，開始正式資產(chǎn)共享。資產(chǎn)共享過程中，通過網(wǎng)絡(luò)數(shù)據(jù)安全可信共享交互協(xié)議（4.3 節(jié)）完成數(shù)據(jù)交互。此外，資產(chǎn)共享雙方可依據(jù)區(qū)塊鏈數(shù)據(jù)進(jìn)行相互監(jiān)督，一旦某一方出現(xiàn)違反協(xié)議的行為，另一方可對其進(jìn)行追責(zé)。

4.3 網(wǎng)絡(luò)數(shù)據(jù)可信共享協(xié)議

網(wǎng)絡(luò)數(shù)據(jù)可信共享協(xié)議旨在實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的安全交換，為面向智能共享的內(nèi)生可信網(wǎng)絡(luò)提供數(shù)據(jù)可信共享保障。

交換協(xié)議在設(shè)計(jì)上依賴全網(wǎng)唯一的資產(chǎn)標(biāo)識（同4.2 節(jié)）。網(wǎng)絡(luò)資產(chǎn)完成資產(chǎn)注冊時獲得該標(biāo)識，并一直擁有該標(biāo)識，直到資產(chǎn)退出該資產(chǎn)共享網(wǎng)絡(luò)。在該標(biāo)識對應(yīng)的區(qū)塊鏈中，將存儲數(shù)據(jù)交換時的公鑰用于數(shù)據(jù)認(rèn)證與數(shù)據(jù)解密。當(dāng)資產(chǎn)交易雙方有交互需求時，發(fā)起方將以目標(biāo)方的加密公鑰完成數(shù)據(jù)的加密，并以自身私鑰實(shí)現(xiàn)數(shù)據(jù)的簽名，將目標(biāo)方標(biāo)識與處理后數(shù)據(jù)打包為傳輸數(shù)據(jù)分組，保證交互內(nèi)容不被篡改、偽造。發(fā)起方或數(shù)據(jù)中繼以標(biāo)識為尋址目標(biāo)，將標(biāo)識解析請求打包為區(qū)塊鏈交易，發(fā)送至區(qū)塊鏈網(wǎng)絡(luò)，觸發(fā)標(biāo)識解析智能合約。合約根據(jù)交易內(nèi)容獲得資產(chǎn)標(biāo)識，驗(yàn)證交互資產(chǎn)是否處于當(dāng)前管理域。若是，則查找標(biāo)識內(nèi)區(qū)塊及塊內(nèi)序號字段對應(yīng)的區(qū)塊數(shù)據(jù)，獲得資產(chǎn)轉(zhuǎn)發(fā)端口或資產(chǎn)網(wǎng)絡(luò)地址（依賴具體互聯(lián)網(wǎng)傳輸協(xié)議），并將其返回至請求發(fā)起者。請求發(fā)起者依據(jù)該返回信息，轉(zhuǎn)發(fā)簽名加密后的數(shù)據(jù)分組。若交互資產(chǎn)不存在于當(dāng)前管理域，需實(shí)現(xiàn)跨管理域信息交互，將重新打包標(biāo)識解析請求為全網(wǎng)區(qū)塊鏈交易，獲得域外資產(chǎn)訪問方式及相關(guān)數(shù)據(jù)驗(yàn)證信息（用于實(shí)現(xiàn)數(shù)據(jù)交互過程中的數(shù)據(jù)鑒權(quán)及數(shù)據(jù)安全保障）。完成數(shù)據(jù)傳輸后，目標(biāo)方將以區(qū)塊鏈上相應(yīng)信息完成對數(shù)據(jù)的解密及認(rèn)證，實(shí)現(xiàn)安全可信數(shù)據(jù)交互。

以下一代新興網(wǎng)絡(luò)——信息中心網(wǎng)絡(luò)（ICN,information-centric networking）為例，結(jié)合基于區(qū)塊鏈的標(biāo)識，可實(shí)現(xiàn)安全可信的網(wǎng)絡(luò)數(shù)據(jù)共享交互。網(wǎng)絡(luò)中每個實(shí)體及數(shù)據(jù)都擁有一個全網(wǎng)唯一的基于區(qū)塊鏈的標(biāo)識，網(wǎng)絡(luò)中繼作為數(shù)據(jù)分組轉(zhuǎn)發(fā)節(jié)點(diǎn)配置區(qū)塊鏈客戶端，實(shí)現(xiàn)區(qū)塊鏈實(shí)體及數(shù)據(jù)標(biāo)識信息的緩存。當(dāng)交互數(shù)據(jù)分組以興趣分組形式到達(dá)目標(biāo)方時，根據(jù)中繼緩存的數(shù)據(jù)標(biāo)識信息是否一致，判斷該興趣分組是否應(yīng)安全可信，是否該被轉(zhuǎn)發(fā)或是否已查詢到響應(yīng)內(nèi)容應(yīng)該按原路返回經(jīng)加密簽名處理的數(shù)據(jù)分組。

如圖5 所示，數(shù)據(jù)消費(fèi)者希望向數(shù)據(jù)提供者請求數(shù)據(jù)，他們將進(jìn)行相互的通信。考慮ICN“發(fā)布/訂閱”式的數(shù)據(jù)獲取方式，數(shù)據(jù)消費(fèi)者B 形成興趣分組，通過標(biāo)識服務(wù)同步區(qū)塊鏈網(wǎng)絡(luò)中數(shù)據(jù)提供者C 的相關(guān)信息，包括其公鑰及對應(yīng)訪問地址。為保證該興趣分組的安全可信，利用C 的公鑰加密數(shù)據(jù)分組，并利用B 的公鑰簽名數(shù)據(jù)分組。完成加密簽名的數(shù)據(jù)分組將依據(jù)ICN 傳輸規(guī)則，轉(zhuǎn)發(fā)至下一個中繼節(jié)點(diǎn)，其中每個中繼節(jié)點(diǎn)將不定時同步區(qū)塊鏈中各資產(chǎn)位置，作為其轉(zhuǎn)發(fā)依據(jù)。當(dāng)興趣分組傳輸至數(shù)據(jù)提供者C 后，同樣獲取區(qū)塊鏈網(wǎng)絡(luò)中消費(fèi)者B 的對應(yīng)公鑰，對數(shù)據(jù)分組實(shí)現(xiàn)加密簽名并根據(jù)ICN 規(guī)則回傳數(shù)據(jù)分組。消費(fèi)者B 接收數(shù)據(jù)分組驗(yàn)簽并解密，獲得數(shù)據(jù)。

4.4 基于智能合約的網(wǎng)絡(luò)資源智能調(diào)度方法

基于智能合約的網(wǎng)絡(luò)資源智能調(diào)度方法對注冊到聯(lián)盟鏈中的異構(gòu)網(wǎng)絡(luò)資源，以“資源共享池”的形式，實(shí)現(xiàn)可信管理與智能分配。

資源請求用戶向可信的“資源共享池”以區(qū)塊鏈交易形式提出資源請求，該請求首先被分配到最近的資源服務(wù)節(jié)點(diǎn)，通過區(qū)塊鏈節(jié)點(diǎn)完成請求者身份的認(rèn)證。資源請求者在服務(wù)請求中將對資源需求、本身地理位置等信息進(jìn)行描述，完成身份認(rèn)證的用戶服務(wù)請求將被發(fā)送至深度強(qiáng)化學(xué)習(xí)（DRL,deep reinforcement learning）驅(qū)動的網(wǎng)絡(luò)最優(yōu)化引擎，該引擎基于智能合約技術(shù)，調(diào)用資源智能調(diào)度方法，計(jì)算最優(yōu)化服務(wù)編排[26-29]。該智能調(diào)度方法首先判定用戶附近資源能否滿足服務(wù)需求，若能，完成分配；若不能，則將該請求發(fā)送至遠(yuǎn)端云服務(wù)層，依據(jù)全網(wǎng)信息再次計(jì)算最優(yōu)化資源分配。

圖5 ICN 網(wǎng)絡(luò)數(shù)據(jù)安全可信交互

如圖6 所示，基于智能合約的資源智能調(diào)度主要包括接收服務(wù)/資源請求、完成用戶認(rèn)證、執(zhí)行資源智能調(diào)度算法、得出最優(yōu)化資源組合方案、完成業(yè)務(wù)部署、對外可信服務(wù)、自動分配收益、注冊服務(wù)交易。用戶獲得資源/服務(wù)提供主要包括5 個步驟，即用戶注冊認(rèn)證、服務(wù)資源調(diào)度、最優(yōu)化服務(wù)調(diào)度、服務(wù)提供、服務(wù)交易注冊。在用戶注冊認(rèn)證過程中，通過登錄控制智能合約請求服務(wù)之前，需要在區(qū)塊鏈模塊上注冊用戶信息（包括用戶的設(shè)備ID、加密數(shù)據(jù)的密鑰和設(shè)備屬性）。這些信息將在用戶每次請求服務(wù)時進(jìn)行身份驗(yàn)證。在服務(wù)資源調(diào)度中，調(diào)用DRL 驅(qū)動的網(wǎng)絡(luò)最優(yōu)化引擎，實(shí)現(xiàn)基于智能合約的最優(yōu)化資源調(diào)度分配。在服務(wù)提供過程中，根據(jù)上一步分配結(jié)果，完成服務(wù)功能虛擬部署，為用戶提供服務(wù)。服務(wù)完成后，將觸發(fā)區(qū)塊鏈智能合約自動進(jìn)行收益分配，避免人為主觀干預(yù)，確保收益分配公平。最后，服務(wù)結(jié)束通過智能合約，將服務(wù)交易記錄到區(qū)塊鏈上。

圖6 基于智能合約的資源智能調(diào)度流程

4.5 基于智能合約的共享服務(wù)組合方法

智能合約根據(jù)鏈上的資產(chǎn)及資產(chǎn)間交易，對發(fā)生在鏈上的業(yè)務(wù)邏輯進(jìn)行實(shí)現(xiàn)，并對外提供接口。為了簡化用戶的操作，用戶通過區(qū)塊鏈的客戶端應(yīng)用程序提交方法及參數(shù)后完成合約封裝，然后合約將自動生成并部署到鏈上。其過程如圖7 所示。

圖7 基于智能合約的共享服務(wù)組合方法

由于智能合約結(jié)構(gòu)簡單，功能單一，難以滿足復(fù)雜的業(yè)務(wù)需求[30-31]，因此可以引入服務(wù)組合的思想，對合約提供的服務(wù)進(jìn)行組合，以提供更加強(qiáng)大而豐富的服務(wù)。在該過程中，需對智能合約的服務(wù)自動生成、自主封裝、自適應(yīng)集成等關(guān)鍵技術(shù)展開研究。

針對網(wǎng)絡(luò)服務(wù)自動生成，可借鑒傳統(tǒng)Web 服務(wù)的網(wǎng)絡(luò)服務(wù)描述語言（WSDL,Web service description language）等形式化描述技術(shù)[32-34]展開針對智能合約的進(jìn)一步深入，達(dá)成對智能合約服務(wù)的規(guī)范化描述，結(jié)合對應(yīng)的業(yè)務(wù)服務(wù)模型，形成具體的合約模型。

在服務(wù)可信發(fā)布過程中，需設(shè)計(jì)嚴(yán)格的校驗(yàn)環(huán)節(jié)，避免錯誤合約發(fā)布對鏈造成的破壞。首先需對合約內(nèi)容進(jìn)行理論證明及模型檢測，通過后執(zhí)行一致性測試，確保合約的文本與代碼效力一致。

服務(wù)自適應(yīng)集成過程中，可采用關(guān)聯(lián)分析等機(jī)器學(xué)習(xí)技術(shù)，基于關(guān)聯(lián)知識與關(guān)聯(lián)推薦的服務(wù)組合方法，根據(jù)要執(zhí)行的任務(wù)和待解決的問題，動態(tài)地自動選取合適的智能合約進(jìn)行自動組合，使智能合約組合的實(shí)現(xiàn)更加靈活、高效。

5 內(nèi)生可信的共享網(wǎng)絡(luò)應(yīng)用

5.1 可信共享網(wǎng)絡(luò)虛擬運(yùn)營應(yīng)用

在融合區(qū)塊鏈技術(shù)的內(nèi)生可信的共享網(wǎng)絡(luò)中，利用資產(chǎn)標(biāo)識，將虛擬化的網(wǎng)絡(luò)資源注冊到鏈上，構(gòu)建基于聯(lián)盟鏈的可信共享網(wǎng)絡(luò)虛擬運(yùn)營平臺，實(shí)現(xiàn)網(wǎng)絡(luò)資源的虛擬化調(diào)度、運(yùn)行狀態(tài)可信監(jiān)測和質(zhì)量可信評估等虛擬化運(yùn)營。具體是以智能合約作為可信共享網(wǎng)絡(luò)虛擬運(yùn)營平臺的訪問入口，支持網(wǎng)絡(luò)資源注冊、虛擬分配和狀態(tài)監(jiān)測等功能，控制網(wǎng)絡(luò)資源的訪問權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)共享的可信校驗(yàn)，提供共享網(wǎng)絡(luò)資產(chǎn)的按需智能提供，避免全量信息上鏈帶來的效率問題。

可信共享網(wǎng)絡(luò)虛擬運(yùn)營可以應(yīng)用于專用通信網(wǎng)絡(luò)（如能源領(lǐng)域信息通信基礎(chǔ)設(shè)施）的開放共享中，部署結(jié)構(gòu)如圖8 所示，該場景主要是以能源互聯(lián)網(wǎng)信息通信、運(yùn)營商信息通信等基礎(chǔ)設(shè)施的開放共享為目的，支撐區(qū)域性綜合能源服務(wù)等業(yè)務(wù)場景的開展。

以綜合能源服務(wù)為例，在業(yè)務(wù)屬地通信現(xiàn)場部署本平臺的接入裝置，實(shí)現(xiàn)各種業(yè)務(wù)終端的接入，以及屬地化現(xiàn)場通信網(wǎng)絡(luò)資產(chǎn)的接入，通過資產(chǎn)與標(biāo)識解耦，鏈上存儲資產(chǎn)的標(biāo)識、公鑰與簽名，鏈下存儲資產(chǎn)信息，實(shí)現(xiàn)了資產(chǎn)可信標(biāo)識服務(wù)。平臺通過調(diào)用SDN 控制器的北向接口獲取所需的各項(xiàng)資產(chǎn)，并對基礎(chǔ)設(shè)施層資產(chǎn)進(jìn)行編排，維護(hù)網(wǎng)絡(luò)的拓?fù)浜蜖顟B(tài)等信息；并將底層物理網(wǎng)絡(luò)抽象為不同的虛擬SDN 以承載不同業(yè)務(wù)，同時還可以依據(jù)不同的業(yè)務(wù)需求提供區(qū)域化或跨域的、服務(wù)定制化、可信安全的網(wǎng)絡(luò)承載能力。

5.2 去中心的域名解析系統(tǒng)

本文提出的面向智能共享的內(nèi)生可信網(wǎng)絡(luò)，利用標(biāo)識實(shí)現(xiàn)網(wǎng)絡(luò)資源、數(shù)據(jù)、服務(wù)等資產(chǎn)的鏈上管理，可以作為網(wǎng)絡(luò)數(shù)據(jù)與服務(wù)的去中心化的域名解析系統(tǒng)（DNS,domain name system）解決方案。通過標(biāo)識在區(qū)塊鏈平臺內(nèi)的數(shù)據(jù)和服務(wù)共享2 個關(guān)鍵技術(shù)，可以有效提供去中心化的域名解析機(jī)制，解決集中式網(wǎng)絡(luò)架構(gòu)中采取中心制遞歸式域名解析體系中由于斷網(wǎng)導(dǎo)致“解析中心”的“孤立式風(fēng)險(xiǎn)”和“致盲式風(fēng)險(xiǎn)”，以及由于停服導(dǎo)致“發(fā)布中心”的“消失式風(fēng)險(xiǎn)”和“劫持式風(fēng)險(xiǎn)”[35-36]等問題。

在該網(wǎng)絡(luò)架構(gòu)中，利用聯(lián)盟鏈實(shí)現(xiàn)如圖9 所示的域名存儲與解析架構(gòu)，形成支撐內(nèi)生可信網(wǎng)絡(luò)去中心化域名解析的解決方案。利用智能合約腳本，將域名授權(quán)合同與管理流程以軟件定義的方式在共識鏈中智能合約化，合約覆蓋域名授權(quán)/召回、授權(quán)轉(zhuǎn)移/贖回、授權(quán)逾期/續(xù)期、域名爭議解決等全域名生命周期事務(wù)。

為了同時滿足去中心化DNS 高效運(yùn)行、可被監(jiān)管的需求，可以采用基于異構(gòu)節(jié)點(diǎn)的混合式域名共識鏈功能組織結(jié)構(gòu)，其中平衡節(jié)點(diǎn)專注于域名數(shù)據(jù)更新所需的共識計(jì)算，超級節(jié)點(diǎn)在參與域名數(shù)據(jù)更新所需共識計(jì)算的同時，還承擔(dān)巨量域名數(shù)據(jù)存儲、解析服務(wù)、域名安全威脅分析等能力，異構(gòu)節(jié)點(diǎn)協(xié)同工作，提供高效安全可信的解析服務(wù)。遞歸解析器、監(jiān)管機(jī)構(gòu)和域名擁有者通過訪問部署于超級節(jié)點(diǎn)之上的不同功能的智能合約實(shí)現(xiàn)對域名的解析、監(jiān)管和注冊。

圖8 可信共享網(wǎng)絡(luò)虛擬運(yùn)營平臺

圖9 基于聯(lián)盟鏈的域名存儲與解析架構(gòu)

為支持域名可信高效解析，本文設(shè)計(jì)了鏈上存儲域名索引、鏈下存儲完整域名信息的數(shù)據(jù)模型。在此模型中，將域名記錄等查詢頻繁、變更頻率低的少量主數(shù)據(jù)進(jìn)行上鏈存儲；將域名區(qū)文件、日志記錄等大量過程數(shù)據(jù)進(jìn)行鏈下存儲，提升域名解析效率；同時，利用基于哈希算法建立鏈上鏈下數(shù)據(jù)可信關(guān)聯(lián)，確保域名數(shù)據(jù)的完備性、統(tǒng)一性和實(shí)時性。

面向智能共享的內(nèi)生可信網(wǎng)絡(luò)架構(gòu)除了應(yīng)用于去中心化域名解析服務(wù)外，還可以支撐物聯(lián)網(wǎng)標(biāo)識服務(wù)、未來網(wǎng)絡(luò)數(shù)據(jù)尋址服務(wù)、各類碼號資源解析服務(wù)等類似應(yīng)用場景[37-38]。

5.3 分布式可信網(wǎng)絡(luò)認(rèn)證服務(wù)

利用基于標(biāo)識的網(wǎng)絡(luò)數(shù)據(jù)與服務(wù)可信共享技術(shù)，可以形成分布式可信網(wǎng)絡(luò)認(rèn)證服務(wù)的解決方案，用于解決現(xiàn)有的認(rèn)證體系一般針對獨(dú)立的異構(gòu)網(wǎng)絡(luò)體系且存在資源共享效率低、數(shù)據(jù)規(guī)范不統(tǒng)一和物理隔離等問題[39-40]。

在面向智能共享的內(nèi)生可信網(wǎng)絡(luò)中，采用主從鏈方式，構(gòu)建了如圖10 所示的分布式可信認(rèn)證服務(wù)系統(tǒng)，通過鏈上將同一身份不同認(rèn)證數(shù)據(jù)進(jìn)行可信統(tǒng)一映射，利用智能合約提供可信認(rèn)證服務(wù)，即可以兼容原有的CA（certificate authority）身份認(rèn)證機(jī)制，在減小系統(tǒng)升級換代所需的額外工作量的同時，又支持區(qū)塊鏈本地認(rèn)證與跨域跨平臺的身份認(rèn)證信息共享。該方案有效提高了網(wǎng)絡(luò)的認(rèn)證效率，打破了行業(yè)信息壁壘。

圖10 跨域分布式認(rèn)證系統(tǒng)

通過采用面向智能共享的內(nèi)生可信網(wǎng)絡(luò)中一條主鏈以及多個從鏈，構(gòu)建基于主從鏈的分布式可信認(rèn)證解決方案。主鏈上存儲驗(yàn)證區(qū)塊，該區(qū)塊按照時間順序線性鏈接，驗(yàn)證區(qū)塊作為鏈上區(qū)塊的索引；從鏈上存儲實(shí)際業(yè)務(wù)數(shù)據(jù)，多個從鏈鏈接到主鏈構(gòu)成主從鏈模型。驗(yàn)證區(qū)塊存儲從鏈數(shù)據(jù)區(qū)塊摘要信息，保證數(shù)據(jù)的全局一致性。為支持業(yè)務(wù)系統(tǒng)交互的高并發(fā)要求，設(shè)計(jì)靈活的區(qū)塊數(shù)據(jù)索引方法，不同從鏈存儲不同類型的數(shù)字資產(chǎn)，滿足各業(yè)務(wù)系統(tǒng)的不同業(yè)務(wù)特點(diǎn)，保障數(shù)據(jù)的高效共享與不可篡改，確保該區(qū)塊的哈希值總能在主鏈被索引，從而支持身份認(rèn)證信息的跨域查詢與共享。該主從鏈遵從聯(lián)盟鏈架構(gòu)，作為分布式可信網(wǎng)絡(luò)認(rèn)證服務(wù)的基礎(chǔ)，將各業(yè)務(wù)系統(tǒng)管理者作為聯(lián)盟中的成員。聯(lián)盟鏈保證了大量數(shù)據(jù)的統(tǒng)一數(shù)據(jù)共享，且安全性較公有鏈更高，安全可靠。從鏈架構(gòu)擁有一定的獨(dú)立性，可響應(yīng)不同電力業(yè)務(wù)系統(tǒng)的自定義需求。

考慮到大部分現(xiàn)有網(wǎng)絡(luò)系統(tǒng)采用基于CA 的身份認(rèn)證機(jī)制，原認(rèn)證系統(tǒng)的取代耗費(fèi)大量成本，本文系統(tǒng)可基于區(qū)塊鏈主從式架構(gòu)兼容原有CA 認(rèn)證系統(tǒng)。將CA 認(rèn)證系統(tǒng)的根服務(wù)器作為主鏈中的主節(jié)點(diǎn)之一，使原有CA 認(rèn)證系統(tǒng)管理的智能終端通過CA 獲取數(shù)字證書的認(rèn)證方式不變，身份認(rèn)證信息存儲于根服務(wù)器之中。與此同時，作為聯(lián)盟鏈的一部分，根服務(wù)器存儲的認(rèn)證數(shù)據(jù)同樣支持跨域查詢與共享，由此實(shí)現(xiàn)對原有CA 身份認(rèn)證系統(tǒng)的兼容與跨域認(rèn)證信息共享。

以一次跨域認(rèn)證流程為例，假設(shè)A、B 為2 個不同的域，終端已經(jīng)在A 域注冊過，試圖通過B 域的認(rèn)證。在傳統(tǒng)流程中，A 域的認(rèn)證許可位于中心化CA 系統(tǒng)，B 域需經(jīng)過多次解析、重定向校驗(yàn)之后獲取到由A 域CA 簽發(fā)的終端認(rèn)證。在本文設(shè)想的架構(gòu)中，經(jīng)過基于多鏈的認(rèn)證信息共享，可以大幅提高跨域網(wǎng)絡(luò)認(rèn)證的效率。在引入?yún)^(qū)塊鏈的前提下，A 域、B 域均部署有區(qū)塊鏈節(jié)點(diǎn)支撐分布式的網(wǎng)絡(luò)認(rèn)證。當(dāng)終端在A 域認(rèn)證之后，由于認(rèn)證信息已經(jīng)通過共識存儲到鏈上，B 域?qū)K端的認(rèn)證只需請求B 域區(qū)塊鏈節(jié)點(diǎn)查詢終端認(rèn)證狀態(tài)即可，不需要再請求A 域節(jié)點(diǎn)協(xié)作。特別是，本文架構(gòu)對原有的中心化認(rèn)證體系具有充分的兼容性，即原A 域的中心化CA 只需將終端信息寫入鏈上即可。

6 結(jié)束語

本文以實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)共享為目的，融合區(qū)塊鏈、人工智能等技術(shù)，構(gòu)建了面向智能共享的內(nèi)生可信網(wǎng)絡(luò)體系架構(gòu)，提出了基于標(biāo)識的網(wǎng)絡(luò)資產(chǎn)共享理論與模型，基于聯(lián)盟區(qū)塊鏈，利用鏈上標(biāo)識、鏈下資產(chǎn)信息關(guān)聯(lián)的信用融合機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)資源、數(shù)據(jù)與服務(wù)的可信共享，設(shè)計(jì)安全可信共享協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)安全可信實(shí)時交換，利用智能合約聚合可信資源、數(shù)據(jù)與服務(wù)實(shí)現(xiàn)智能調(diào)度和服務(wù)組合，解決網(wǎng)絡(luò)使用者/所有者間不信任與中心化利益分配不公平的問題，并將該體系結(jié)構(gòu)在虛擬運(yùn)營、域名解析、跨域認(rèn)證等場景中進(jìn)行應(yīng)用。未來將進(jìn)一步完善內(nèi)生可信網(wǎng)絡(luò)架構(gòu)的協(xié)議、設(shè)備、系統(tǒng)的設(shè)計(jì)方案，為大規(guī)模試點(diǎn)應(yīng)用奠定理論與工程基礎(chǔ)。