融入區塊鏈即服務的科技服務數據共享機制

徐尚英，王 倩，陳冬林，唐藝倩

（1.武漢理工大學經濟學院，湖北武漢 430070；2.湖北省電子商務大數據工程技術研究中心，湖北武漢 430070）

1 研究背景

大數據、云計算和區塊鏈等技術的出現，大大提升了科技服務業的專業化水平，推動了新的科技服務創新模式的形成［1］。行業數據的整合與共享是科技服務業發展的基礎，是支持科技服務業戰略決策的首要條件［2］。對此，中國《“十三五”國家信息化規劃》明確指出，要構建統一的數據共享交換平臺，推進數據資源共享共用。

隨著現代技術的高速發展，人們大規模地運用數字化手段來提升科技服務數據存儲和處理效率。現有的科技服務數據共享平臺為科技服務業工作帶來便利的同時，仍然存在以下主要問題：（1）以服務機構為中心進行的數據管理使得科技服務業數據缺乏統一的規劃、數據標準存在多樣性，導致了多源異構數據的產生，給科技服務數據的整合帶來了挑戰［3-4］；（2）不同的中心機構各自管理自己的數據，不可避免地會面臨“信息孤島”問題，缺乏安全有效的數據共享渠道，不利于數據的共享［5-6］；（3）科技服務數據的真實性和原始性主要依賴于對系統中心或第三方實體的信任，一旦系統中心不再可信，數據的真實性和安全性便難以得到保障［7］。

由日本學者中本聰提出的區塊鏈技術，作為大數據時代一種新興的去中心化、安全可信的技術［8］，已經受到國家、企業以及科研單位的高度重視。區塊鏈技術在物聯網、能源、政務以及供應鏈等眾多領域已經有了較為成熟的應用。此外，還有企業將區塊鏈作為服務提供給用戶，由用戶自己運營區塊鏈，搭建出一種新型的云服務模式，即區塊鏈即服務(blockchain as a service，BaaS)［9］，既具有區塊鏈技術去中心化的特點，也具有云計算技術所帶來的巨大算力。BaaS 技術的出現，為科技服務大數據的整合共享以及數據流通提供了新的機遇，有望解決現有科技服務數據共享中普遍存在的信息壁壘、“信息孤島”、安全性低和共享性差的問題。

本研究嘗試將區塊鏈即服務的相關思想融入到科技服務數據共享中，基于BaaS 以及智能合約、混合加密等技術提出以下設計思路：（1）科技服務業各機構之間構建數據聯盟，并通過聯盟鏈鞏固聯盟的聯合性和穩定性，共同管理和維護區塊鏈節點，在解決數據壁壘問題的同時保證數據的安全性；（2）通過科技服務數據平臺，將區塊鏈作為服務提供給用戶和數據所有者，由數據所有者自己掌控數據，用戶依據訪問權限自動獲取數據，并提供相應接口保證可擴展性；（3）通過數據源分類存儲科技服務原始數據、數據區塊存儲索引數據，配合鏈上智能合約存儲數據源條目索引文件，實現對科技服務數據的整合與存儲；（4）采用數據分類結構和Merkle樹對科技服務數據進行排序和分類，實現對數據的整合以及數據所有權的確定；（5）利用鏈上智能合約和數據區塊中存儲的文件索引號信息，實現對數據的有效檢索和安全共享。

2 相關研究

科技服務業是第三產業（服務業）的范疇，具體是指服務者運用科學知識、技術以及信息數據為服務對象提供高效智力的服務［10］。科技服務數據的整合與共享是推動科技服務模式創新的基礎。在大數據時代到來之前，針對傳統科技服務數據的融通共享問題，出現了數據集成、數據交換等技術［11］；在多源異構的科技服務數據整合與存儲上，目前主要有數據倉庫和云存儲的方法［12］；大數據、云計算、物聯網等新技術正逐步應用到科技服務數據管理中，基于大數據分析和云計算等技術，可以解決數據分散各地的孤島效應問題，有利于提升數據共享、管理和存儲的效率。但以上技術和方法都受限于中心化的存儲技術與管理方式，容易導致數據信任問題，數據鏈也未得到有效整合，數據在共享交互過程無法做到公開透明，且擴展性（吞吐量、運行速度、容量）不夠強。例如云計算技術，雖然可以解決海量數據的存儲和計算問題，但傳統的云方案也需要中心化的云服務、大規模的服務器集群和網絡設備來提供支撐，而不同云服務提供商支持的云服務架構之間通信十分困難，因此不同云服務商提供的數據也具有異構性，在數據整合與共享方面不能保證數據之間的互操作性和兼容性［13］。

BaaS 是由微軟公司、IBM 公司兩個科技巨頭提出的概念［14-15］，本質上是一種結合區塊鏈技術的新型的云服務模式。在BaaS 模式下，區塊鏈協議被用于維護完全去中心化的分布式存儲機制記錄在線數據，并且保證數據的不可篡改、不可偽造和可驗證性。BaaS 與其他技術的對比如表1 所示。BaaS 以云平臺為依托，為用戶提供更加便捷和高性能的區塊鏈服務，可支持開發者的運營與業務拓展［16］。“區塊鏈+云計算”借助區塊鏈的分布式技術，將多個分散的計算機節點連接起來，提供分布式云存儲服務。

表1 4 種主要數據技術性能對比

近年來，國內外許多研究人員和機構運用區塊鏈即服務在數據共享領域進行了探索和實踐，如，在存證型應用方面，Milutinovic 等［17］通過融入BaaS來創造新的分類總賬，引入了有數學法則保證的分類賬本技術，革新了商業社會和政府部門的數據管理和數據記錄方式；Azaria 等［18］利用智能合約構建了去中心化的醫療數據訪問與權限管理系統，使患者自主地對醫療記錄進行分享與管理；Zyskind 等［19］使用區塊鏈構建了個人數據管理系統，確保用戶以分散的方式擁有和控制數據；ProvChain 支持基于云計算的數據分析、數據驗證的區塊鏈服務［20］。

然而，與其他領域相比，BaaS 在科技服務數據共享方面的應用尚不豐富，現有文獻大多從科學數據平臺的角度去探討系統架構的構建，沒有考慮到后續的科技服務數據共享的過程和實現，也沒有深入技術層面探討區塊鏈智能合約和混合加密技術在科技服務數據共享中的作用。BaaS 作為多種技術的融合，具備集中式數據管理技術無法比擬的優勢，對解決科技服務數據共享中存在的問題具有可行性。綜合BaaS 技術和科技服務數據共享現狀，本研究提出了融入BaaS 的科技服務數據共享的系統結構和實現機制，基于此機制可實現各種輔助功能，以便對外提供各種各樣的云服務，比如分布式存儲可以幫助整合數據和持久化記錄，混合加密算法可以幫助保護和共享數據，智能合約可以幫助實現自動化的認證和服務等。

3 融入BaaS 的科技服務數據共享的系統結構

3.1 系統設計

本研究以區塊鏈技術為底層技術支撐，鏈接科技服務數據聯盟、政府監管部門，構建自治化的科技服務數據云平臺，為科技服務業提供數據服務。如圖1 所示，科技服務數據共享機制由基礎設施層、控制管理層和應用服務層組成，主要包含科技服務數據資源聯盟鏈、科技服務數據平臺、數據請求者、數據源和數據擁有者五部分。

科技服務數據共享機制中，基礎設施層封裝了數據存儲的底層細節，主要負責數據存儲、修改、刪除和查詢，將傳統的數據存儲分為數據源存儲和數據區塊存儲，并對外提供統一的應用程序編程接口（API）；控制管理層在基礎設施層之上擴展了更多協議，利用智能合約的可編程特性，封裝數據整合與共享相關的所有業務邏輯，使用聯盟鏈實現點對點的直接通信協議，并且實現了區塊鏈與外界的交互；應用服務層將控制管理層提供的功能接口包裝為不同的數據服務，結合用戶需求抽象出用戶需要的相關服務，并提供相應接口簡化未來的開發擴展工作。

科技服務數據平臺是基于科技服務業數據資源聯盟鏈建立的，為數據請求者提供科技服務數據的云平臺，也是連接數據擁有者和數據請求者的橋梁，它為用戶提供用戶注冊、數據訪問、可視化分析等服務。該平臺系統中的區塊鏈選用聯盟鏈，由政府相關機構建立科技服務業數據資源聯盟，管理科技服務數據資源基礎設施并行使相應的監管審查職能，聯盟成員包括技術交易所、科技成果轉化中心等。在聯盟鏈中，聯盟成員遵守聯盟規則，經過監管方審核和身份認證之后進入聯盟，聯盟會為其頒發身份證書。聯盟成員負責聯盟鏈中一個或多個節點的運行，各節點間互相監督、共同維護，并通過數據區塊存儲索引數據；同時大型交易平臺和機構也有較好的服務器和網絡設備等硬件基礎設施，為數據的穩定性和安全性提供了保障。數據請求者具體指對數據有需求的個人、企業或研究機構等，其在科技服務業數據平臺注冊登錄之后，提交自己的身份信息完成與聯盟鏈的信息交互，由聯盟鏈進行身份驗證。數據擁有者指擁有數據所有管理權限的個體或機構，如科研機構、高校、政府機構或個人等，其發布數據信息，生成數據完整性驗證標識，寫入區塊鏈中進行公開、不可篡改地存儲。數據源由各科技服務機構數據中心、高校數據庫、科研機構數據庫以及個人存儲設備構成，且能夠連接遠程數據訪問的計算機、中心服務器或云服務器。

科技服務數據平臺系統將科技服務數據的存儲、請求、管理三者分開，由各企業與個人進行分布式存儲和管控數據，因此不再存在第三方數據管理機構；并且將科技服務數據進行分類整合，可提供供需對接的交互式數據共享服務，形成數據權限可信、透明、平等的數據交互機制。

圖1 融入BaaS 的科技服務數據整合與共享機制的系統結構

3.2 智能合約設計

科技服務數據平臺中的智能合約，是可以在區塊鏈上自動執行的特殊程序，其程序代碼以及數據均存儲于區塊鏈上，具有防篡改性強、去中心化程度高等特點［21］。本研究在聯盟鏈中部署的智能合約（如圖2 所示）包括身份管理合約（identity manage contract，TS-IMC）、數據整合合約（data integration contract，TS-DIC）、數據共享合約（data sharing contract，TS-DSC）。

圖2 科技服務數據平臺的智能合約設計

TS-IMC 合約作為全局合約來管理用戶的身份證書，并進行身份認證，記錄內容主要有用戶屬性集role、用戶ID 和與其相關聯的TS-DIC 合約和TSDSC 合約。TS-DIC 合約用于實現科技服務數據收集和存儲的業務邏輯，包括科技服務數據收集合約（data collection contract，DCC）和科技服務數據存儲合約（data storage contract，DSC）。其中，DCC合約用于數據的分類和上傳；DSC 合約用于存儲數據的源條目索引文件map，如表2 所示，主要包括記錄號（RecordID）、哈希值（BlockHash）、用戶信息（UserName）、文件索引號（SEQ）和文件指針（P）等。TS-DSC 合約用于實現科技服務數據訪問和檢索的業務邏輯，包括數據權限控制合約（data authority control contract，DACC）和數據檢索合約（data retrieval contract，DRC）。其中，DACC 合約用于數據訪問申請的權限控制；DRC 合約用于實現數據的下載和引用。

表2 科技服務數據平臺的源條目索引文件

3.3 密鑰設計

BaaS 技術需要非對稱加密算法和Hash 算法等多種加密算法共存，進行數據的加密，來保證數據整合與共享過程中的安全性和隱私性。非對稱加密會產生公鑰和私鑰兩把密鑰，公鑰用于對外公開加密數據，私鑰由使用者自己保管、用于數據解密。哈希算法是一個單向函數，它將任意長度的數據作為輸入，被映射為固定長度的字符串作為輸出［22］。本研究在對科技服務數據整合與共享的過程中，參考Nasrulin 等［22］的做法，以某種算法(如SHA Hash)，將任意長度的數據作為輸入，經過計算得出私鑰；然后參考H?lbl 等［23］的做法，采用另一種算法(如 ECC 和 RSA)分解私鑰生成公鑰。此過程是不可逆的，形成的密鑰及其主要功能如表3 所示。

表3 科技服務數據平臺的主要密鑰和作用

4 科技服務數據共享的實現機制

科技服務數據共享的過程是指，對科技成果在產業化進程中形成的數據，通過智能合約和混合加密技術，在聯盟鏈和數據源中實現安全可靠的數據收集、整合與存儲，在科技服務業數據平臺和聯盟鏈之間為數據請求者提供數據的訪問與共享。基于以上科技服務數據共享的系統結構，融合BaaS 的相關原理，本研究將實現特定功能的基本模塊按照工作流程有機整合，提出了整體的數據交互流程。如圖3 所示，步驟1 和步驟2 為科技服務數據收集整合過程，步驟3、步驟4 和步驟5 為科技服務數據共享過程。

圖3 科技服務數據平臺的數據交互流程

4.1 數據整合

科技服務數據平臺內由身份管理合約發放的身份證書，代表著用戶、聯盟成員、數據請求者參與到此系統中，是科技服務數據整合、共享等活動的基礎。用戶注冊流程具體如下：數據請求者或數據擁有者向科技服務業數據平臺提交注冊申請，由身份管理合約TS-IMC 自動審核，通過后發放身份證書SU，再通過混合加密技術生成用戶注冊密鑰對KURprive 和KURpub。數據擁有者除了生成用戶注冊密鑰KUR 之外，還需證明自己擁有數據的所有權，需通過哈希算法將用戶注冊私鑰KURprive 生成所有權驗證密鑰KPV。希望加入聯盟的科技服務機構，需要獲得半數以上聯盟成員的同意，才能在聯盟中完成身份的注冊，由TS-IMC 審核發放SU。

加入聯盟后，在數據上傳前，需按照圖4 所示的科技服務數據分類結構進行排序。在數據源中，不同的層次存儲不同的科技服務數據信息：在根root層存儲用戶信息，中間mid 層記錄服務領域信息和數據集信息，葉子leaf 層存儲數據細節信息。將不同層次數據的索引信息傳入數據區塊中的對應節點，壓縮為SEQ，可以證明在數據源和Merkle 樹中所保存數據的真實性。SEQ 主要由用戶身份ID 及其分類層次loc 構成，命名規則為：SEQ：ID+mid+leaf。如圖4 中的專利信息，其索引號SEQ 為：ID||5211。

圖4 科技服務數據平臺的數據分類結構

數據擁有者上傳數據時，需將請求發送到智能合約，TS-DIC 合約在收到請求之后，先調用DCC合約，通過身份證書對其身份和數據進行驗證，驗證通過后使用混合加密技術對數據進行加密。數據整合上傳的過程如圖5 所示。首先，采用混合加密技術和所有權驗證密鑰KPV 將文件加密，生成文件加密密鑰KDE 和密文文件ASEQ。其次，將分類正確的密文文件ASEQ上傳至數據源中，獲取密文文件ASEQ的下載地址即文件指針PSEQ，并將不同層次數據的索引信息傳入數據區塊中的對應節點，按照科技服務數據分類結構生成SEQ(ID,loc)。最后，調用數據整合合約TS-DIC，將文件指針PSEQ 和文件索引號SEQ 上傳至聯盟鏈。TS-DIC 合約收到新增數據的請求后，調用DSC 合約，并按照源條目索引文件map 格式進行記錄。

圖5 科技服務數據平臺的數據整合上傳流程

各類數據源由各數據提供方負責管理與維護，只需要將數據詳細描述和共享協議以文件形式放入分布式網絡中，并在聯盟鏈上發布文件索引號和文件指針，綁定數據所有權；用戶在需要數據時，從科技服務業數據平臺上根據數據類型或關鍵字檢索到數據，通過聯盟鏈和分布式網絡定位數據描述，實現數據共享。

4.2 數據共享

科技服務數據平臺的數據共享，支持對數據資源的線上瀏覽、下載和引用，數據共享功能按照共享協議和用戶權限向用戶呈現相關的共享文件。文件下載和引用主要分為兩種情況：一是數據擁有者自己下載和引用文件，利用所有權驗證密鑰KPV 解密文件；二是符合訪問策略的用戶從聯盟鏈獲取數據共享密鑰KDS 解密文件。

用戶在科技服務數據平臺發送訪問數據的申請，提交數據申請基本信息。數據共享合約TS-DSC 在收到請求后，先調用DACC 合約，通過身份證書SU進行身份驗證，若該用戶身份驗證通過且具有訪問權限，則可以得到數據訪問密鑰KDA，再調用DRC合約檢索自己所需要的數據。根據科技服務數據分類結構，調用DRC 合約檢索數據可提供兩種檢索方案：一是通過文件索引號進行精確檢索；二是通過對輸入的科技服務領域等關鍵詞進行模糊檢索。當精確輸入文件索引號SEQ(ID,loc)時，便對照DSC 合約中存儲的源條目索引文件map 對聯盟鏈進行精確檢索，直到檢索到該數據項或其不存在的記錄。當對數據的分類結構不確定時，先在map 中查找分類節點目錄，并輸入中間節點值，然后對照map 中的記錄對聯盟鏈進行模糊檢索。DRC 合約會從中間節點開始檢索，直至鎖定葉子節點范圍，如果map 中的記錄屬于鎖定的葉子節點范圍，則添加該記錄。最后，DRC 合約會將檢索到的數據根據混合加密技術生成數據共享密鑰KDS，連同數據的文件指針P一起發送給請求用戶，用戶可以解密下載或引用密文文件，實現文件共享。限于篇幅，具體流程備索。

4.3 數據安全性

本研究中區塊鏈選用的是聯盟鏈。區別于公有鏈，聯盟鏈具有身份認證以及權限設置的功能，通過智能合約提供的身份認證和云計算技術提供的巨大算力，可以保證聯盟鏈成員為合法成員、用戶為合法用戶，降低系統風險。數據在上傳前，采用混合加密技術加密，上傳的文件在數據源中以密態存儲，在聯盟鏈中通過數據整合合約存儲索引文件，并通過數據訪問合約，使得身份未認證或沒有訪問權限的第三方無法獲取數據存儲的真實存儲地址。數據的整合與共享都是通過數據擁有者和數據請求者的私鑰進行數字簽名，再通過共識上傳至區塊鏈，私鑰的隱秘性也保證了數據共享過程中的安全性和隱私性。

5 結論與展望

本研究對融入BaaS 的科技服務數據共享的系統結構、智能合約和加密密鑰進行了設計，并以此為基礎研究了科技服務數據共享的實現機制。根據科技服務數據交互流程，設計出科技服務數據分類結構，對科技服務數據進行統一排序、分類和存儲，實現了對數據的整合以及數據所有權的確定；利用區塊鏈上智能合約和數據區塊中存儲的文件索引號信息，實現對數據的有效檢索和共享，并保證了數據共享過程中的安全性和隱私性。總的來說，本研究方案綜合考慮了安全性、易用性和可擴展性等問題，可實現對科技服務數據的高效整合與安全共享，為科技服務業的創新發展及其數據管理標準化提供一些有益啟發。

當下科技服務業對于數據的需求越來越高，BaaS 憑借著區塊鏈技術的去中心化特性和云計算所能提供的巨大算力，必然會有出色的表現。在未來工作中，可就科技服務數據共享中的激勵機制開展進一步研究，探討科技服務機構組成聯盟鏈的商業行為。