XDef2014-基于全同态加密的可信云数据库管理系统

第４４卷　第１期２０２１年１月计 算 机 学 报ＣＨＩＮＥＳＥＪＯＵＲＮＡＬＯＦＣＯＭＰＵＴＥＲＳＶｏｌ．４４Ｎｏ．１Ｊａｎ．２０２１收稿日期：２０１９ ０３ ２２；在线发布日期：２０１９ １０ ３１．本课题得到国家重点研发计划项目（２０１８ＹＦＢ１００３４０４）、国家自然科学基金（Ｕ１８１１２６１，６１６７２１４２）、辽宁省科学技术基金（２０１８０５５０３２１）资助．于　戈，博士，教授，中国计算机学会（ＣＣＦ）会员，主要研究领域为分布式数据库、分布与并行计算、区块链．Ｅ ｍａｉｌ：ｙｕｇｅ＠ｍａｉｌ．ｎｅｕ．ｅｄｕ．ｃｎ．聂铁铮（通信作者），博士，副教授，中国计算机学会（ＣＣＦ）会员，主要研究方向为数据库、数据集成、区块链．Ｅ ｍａｉｌ：ｎｉｅｔｉｅｚｈｅｎｇ＠ｍａｉｌ．ｎｅｕ．ｅｄｕ．ｃｎ．李晓华，博士，讲师，中国计算机学会（ＣＣＦ）会员，主要研究方向为信息安全、区块链．张岩峰，博士，教授，中国计算机学会（ＣＣＦ）高级会员，主要研究领域为分布式数据处理、云计算．申德荣，博士，教授，中国计算机学会（ＣＣＦ）高级会员，主要研究领域为分布式数据库、数据集成．鲍玉斌，博士，教授，中国计算机学会（ＣＣＦ）高级会员，主要研究领域为数据仓库、ＯＬＡＰ．区块链系统中的分布式数据管理技术———挑战与展望于　戈　聂铁铮　李晓华　张岩峰　申德荣　鲍玉斌（东北大学计算机科学与工程学院　沈阳　１１０１６９）摘　要　区块链是在数字加密货币的应用基础之上发展起来的一种分布式数据库技术．区块链系统具有去中心化、不可篡改、分布共识、可溯源和最终一致性等特点，这使其可以用于解决不可信环境下数据管理问题．区块链独特的数据管理功能已经成为各领域应用中发挥区块链价值的关键．本文基于对比特币、以太坊、超级账本等代表性区块链系统的研究分析，阐述区块链系统中分布式数据管理技术．首先，深入讨论区块链系统与传统分布式数据库系统之间的异同点，从分布式部署模式、节点角色、链拓扑结构等多个方面给出区块链的分类．然后，详细分析各类区块链系统所使用的数据存储结构、分布式查询处理与优化技术及其优缺点．最后，总结区块链系统的分布式数据管理技术在各专门领域应用中所面临的挑战和发展趋势．关键词　区块链；分布式数据管理；数据存储；查询处理中图法分类号ＴＰ３１１ 犇犗犐号１０．１１８９７／ＳＰ．Ｊ．１０１６．２０２１．０００２８犜犺犲犆犺犪犾犾犲狀犵犲犪狀犱犘狉狅狊狆犲犮狋狅犳犇犻狊狋狉犻犫狌狋犲犱犇犪狋犪犕犪狀犪犵犲犿犲狀狋犜犲犮犺狀犻狇狌犲狊犻狀犅犾狅犮犽犮犺犪犻狀犛狔狊狋犲犿狊ＹＵＧｅ　ＮＩＥＴｉｅ Ｚｈｅｎｇ　ＬＩＸｉａｏ Ｈｕａ　ＺＨＡＮＧＹａｎ Ｆｅｎｇ　ＳＨＥＮＤｅ Ｒｏｎｇ　ＢＡＯＹｕ Ｂｉｎ（犛犮犺狅狅犾狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲犪狀犱犈狀犵犻狀犲犲狉犻狀犵，犖狅狉狋犺犲犪狊狋犲狉狀犝狀犻狏犲狉狊犻狋狔，犛犺犲狀狔犪狀犵　１１０１６９）犃犫狊狋狉犪犮狋　Ｂｌｏｃｋｃｈａｉｎｉｓａｔｅｃｈｎｉｑｕｅｏｆｄｉｓｔｒｉｂｕｔｅｄｄａｔａｂａｓｅｗｈｉｃｈｉｓｄｅｖｅｌｏｐｅｄｗｉｔｈｔｈｅａｐｐｌｉｃａｔｉｏｎｓｏｆｄｉｇｉｔａｌｅｎｃｒｙｐｔｅｄｃｕｒｒｅｎｃｙ．Ａｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｈａｓｔｈｅｃｈａｒａｃｔｅｒｉｓｔｉｃｓｏｆｄｅｃｅｎｔｒａｌｉｚａｔｉｏｎ，ｎｏｎ ｔａｍｐｅｒｉｎｇ，ｄｉｓｔｒｉｂｕｔｅｄｃｏｎｓｅｎｓｕｓ，ｐｒｏｖｅｎａｎｃｅａｎｄｅｖｅｎｔｕａｌｃｏｎｓｉｓｔｅｎｃｙ，ｗｈｉｃｈｍａｋｅｓｉｔｂｅａｐｐｌｉｅｄｔｏｓｏｌｖｅｄａｔａｍａｎａｇｅｍｅｎｔｐｒｏｂｌｅｍｓｏｆｔｈｅｕｎｔｒｕｓｔｅｄｅｎｖｉｒｏｎｍｅｎｔｓ．Ｔｈｅｄａｔａｍａｎａｇｅｍｅｎｔｆｕｎｃｔｉｏｎｏｆａｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｈａｓａｌｒｅａｄｙｂｅｃｏｍｅｔｈｅｉｍｐｏｒｔａｎｔｆｅａｔｕｒｅｆｏｒｐｌａｙｉｎｇｉｔｓｖａｌｕｅｉｎｔｈｅａｐｐｌｉｃａｔｉｏｎｓｏｆｄｉｆｆｅｒｅｎｔｄｏｍａｉｎｓ．Ｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓｍａｋｅｅｖｅｒｙｎｏｄｅｃｏｎｔａｉｎａｃｏｍｐｌｅｔｅｃｏｐｙｏｆｌｅｄｇｅｒｄａｔａ，ａｎｄｕｓｅｄｉｓｔｒｉｂｕｔｅｄｃｏｎｓｅｎｓｕｓａｌｇｏｒｉｔｈｍｓｔｏｅｎｓｕｒｅｔｈｅｃｏｎｓｉｓｔｅｎｃｙｏｆｄａｔａ．Ｔｈｅｒｅｆｏｒｅ，ａｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｉｓａｎｅｗｋｉｎｄｏｆｄｉｓｔｒｉｂｕｔｅｄｄａｔａｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍｓｃｏｍｐａｒｅｄｗｉｔｈｔｒａｄｉｔｉｏｎａｌｄｉｓｔｒｉｂｕｔｅｄｄａｔａｂａｓｅｓｙｓｔｅｍｓ．ＷｉｔｈａｎａｌｙｚｉｎｇｔｈｅｒｅｐｒｅｓｅｎｔａｔｉｖｅｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓｉｎｃｌｕｄｉｎｇＢｉｔｃｏｉｎ，ＥｔｈｅｒｅｕｍａｎｄＨｙｐｅｒｌｅｄｇｅｒＦａｂｒｉｃ，ｔｈｉｓｐａｐｅｒｆｏｃｕｓｅｓｏｎｔｈｅｄｉｓｔｒｉｂｕｔｅｄｄａｔａｍａｎａｇｅｍｅｎｔｔｅｃｈｎｉｑｕｅｓｉｎｅｘｉｓｔｉｎｇｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓ，ｗｈｉｃｈｃｏｖｅｒｓｑｕｅｒｙｐｒｏｃｅｓｓｉｎｇ，ｓｍａｒｔｃｏｎｔｒａｃｔ，ｎｅｔｗｏｒｋｃｏｍｍｕｎｉｃａｔｉｏｎ，ａｎｄｄａｔａｓｔｏｒａｇｅｌａｙｅｒｓｉｎｔｈｅａｒｃｈｉｔｅｃｔｕｒｅｏｆｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓ．Ｔｈｉｓｐａｐｅｒｆｉｒｓｔｄｉｓｃｕｓｓｅｓｔｈｅｍａｉｎｄｉｆｆｅｒｅｎｃｅｓａｎｄｓｉｍｉｌａｒｉｔｉｅｓｂｅｔｗｅｅｎａｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍａｎｄａｔｒａｄｉｔｉｏｎａｌｄｉｓｔｒｉｂｕｔｅｄｄａｔａｂａｓｅｓｙｓｔｅｍ．Ｊｕｓｔｌｉｋｅａｄｉｓｔｒｉｂｕｔｅｄｄａｔａｂａｓｅｓｙｓｔｅｍ，ａｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｈａｓｆｅａｔｕｒｅｓｏｆｄｉｓｔｒｉｂｕｔｉｏｎ，ｔｒａｎｓｐａｒｅｎｃｙ，ａｕｔｏｎｏｍｙａｎｄｓｃａｌａｂｉｌｉｔｙｏｎｍａｎａｇｉｎｇｄａｔａ，ｂｕｔｉｔｉｓａｌｓｏｄｉｆｆｅｒｅｎｔｆｒｏｍｍｏｓｔｏｆｄｉｓｔｒｉｂｕｔｅｄｄａｔａｂａｓｅｓｙｓｔｅｍｓｏｎｔｏｐｏｌｏｇｉｃ，ｄａｔａｄｉｓｔｒｉｂｕｔｉｏｎ，ｑｕｅｒｙｐｒｏｃｅｓｓｉｎｇ，ｃｏｎｓｉｓｔｅｎｃｙａｎｄｓｅｃｕｒｉｔｙｍｅｃｈａｎｉｓｍ．Ｔｈｅｎ，ｔｈｉｓｐａｐｅｒｐｒｅｓｅｎｔｓｔｈｅｃｌａｓｓｉｆｉｃａｔｉｏｎｏｆｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓｏｎｄｉｆｆｅｒｅｎｔａｓｐｅｃｔｓｏｆｄｉｓｔｒｉｂｕｔｅｄｄｅｐｌｏｙｍｅｎｔｓｔｙｌｅｓ，ｎｏｄｅｒｏｌｅｓａｎｄｔｏｐｏｌｏｇｉｃａｌｓｔｒｕｃｔｕｒｅｓ．Ｗｉｔｈｔｈｅｄｅｖｅｌｏｐｍｅｎｔｏｆｂｌｏｃｋｃｈａｉｎｔｅｃｈｎｏｌｏｇｙ，ｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓａｒｅｄｅｓｉｇｎｅｄｔｏａｄａｐｔｂｌｏｃｋｃｈａｉｎａｐｐｌｉｃａｔｉｏｎｅｎｖｉｒｏｎｍｅｎｔｓ．Ｔｈｅｍｏｄｅｌｓｏｆｐｕｂｌｉｃｂｌｏｃｋｃｈａｉｎ，ｃｏｎｓｏｒｔｉｕｍｂｌｏｃｋｃｈａｉｎａｎｄｐｒｉｖａｔｅｂｌｏｃｋｃｈａｉｎａｒｅｐｒｏｐｏｓｅｄ，ａｎｄｆｕｎｃｔｉｏｎｓｏｆｂｌｏｃｋｃｈａｉｎａｒｅｒｅｇｒｏｕｐｅｄａｎｄｄｅｐｌｏｙｅｄｔｏｍａｋｅｎｏｄｅｓｐｌａｙｄｉｆｆｅｒｅｎｔｒｏｌｅｓｉｎａｓｙｓｔｅｍ．Ｍｏｒｅｏｖｅｒ，ｔｈｅｍｕｌｔｉｐｌｅｔｏｐｏｌｏｇｉｃｓｔｒｕｃｔｕｒｅｓｏｆｂｌｏｃｋｃｈａｉｎａｒｅｐｒｏｐｏｓｅｄ．Ｂｅｓｉｄｅｓｔｈｅｃｈａｉｎｓｔｒｕｃｔｕｒｅｏｆｔｒａｄｉｔｉｏｎａｌｂｌｏｃｋｃｈａｉｎ，ｔｈｅＤＡＧｓｔｒｕｃｔｕｒｅｓ，ｓｕｃｈａｓＴａｎｇｌｅａｎｄＬａｔｔｉｃｅ，ａｒｅａｐｐｌｉｅｄｔｏｉｍｐｒｏｖｅｔｈｅｅｆｆｉｃｉｅｎｃｙｏｆｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓ．Ｔｈｉｒｄｌｙ，ｔｈｉｓｐａｐｅｒａｎａｌｙｚｅｓｔｈｅｔｅｃｈｎｉｑｕｅｓｏｆｄｉｓｔｒｉｂｕｔｅｄｄａｔａｓｔｏｒａｇｅｍａｎａｇｅｍｅｎｔ，ｄｉｓｔｒｉｂｕｔｅｄｑｕｅｒｙｐｒｏｃｅｓｓｉｎｇａｎｄｏｐｔｉｍｉｚａｔｉｏｎｕｓｅｄｉｎｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓａｎｄｄｉｓｃｕｓｓｅｓｔｈｅｉｒａｄｖａｎｔａｇｅｓａｎｄｄｉｓａｄｖａｎｔａｇｅｓ．Ｓｐｅｃｉｆｉｃａｌｌｙ，ｔｈｅｄａｔａｓｔｏｒａｇｅｔｅｃｈｎｉｑｕｅｓｏｆｅｘｉｓｔｉｎｇｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓａｒｅｄｅｅｐｌｙａｎａｌｙｚｅｄ，ｉｎｃｌｕｄｉｎｇｔｈｅｄａｔａｓｔｒｕｃｔｕｒｅｓｏｆｓｔｏｒａｇｅ，ａｓｗｅｌｌａｓｔｈｅｏｒｇａｎｉｚａｔｉｏｎｏｆｄａｔａｆｉｌｅｓａｎｄｏｐｔｉｍｉｚａｔｉｏｎｔｅｃｈｎｉｑｕｅｓ．Ｋｅｙ ＶａｌｕｅｄａｔａｂａｓｅｓｓｕｃｈａｓＬｅｖｅｌＤＢａｒｅｕｓｕａｌｌｙｕｓｅｄｉｎｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓｔｏｉｍｐｒｏｖｅｔｈｅｅｆｆｉｃｉｅｎｃｙｏｆａｃｃｅｓｓｉｎｇｌｅｄｇｅｒｄａｔａａｎｄｓｔａｔｅｄａｔａ．Ｃｕｒｒｅｎｔｌｙ，ｍｏｒｅｒｅｓｅａｒｃｈｗｏｒｋｓｆｏｃｕｓｏｎｕｓｉｎｇｄｉｆｆｅｒｅｎｔｍｅｔｈｏｄｓ，ｉｎｃｌｕｄｉｎｇｄａｔａｂａｓｅ，ｉｎｄｅｘａｎｄｄｉｓｔｒｉｂｕｔｅｄｓｔｏｒａｇｅ，ｔｏｏｐｔｉｍｉｚｅｔｈｅｓｔｏｒａｇｅｏｆｂｌｏｃｋｃｈａｉｎ．Ｔｈｉｓｐａｐｅｒａｌｓｏａｎａｌｙｚｅｓｖａｒｉｏｕｓｑｕｅｒｉｅｓｉｎｔｈｅｅｘｉｓｔｉｎｇｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓａｎｄｃｌａｓｓｉｆｉｅｓｔｈｅｍｉｎｔｏｔｈｒｅｅｔｙｐｅｓ：ａｃｃｏｕｎｔｑｕｅｒｙ，ｔｒａｎｓａｃｔｉｏｎｑｕｅｒｙａｎｄｃｏｎｔｒａｃｔｑｕｅｒｙ．Ｔｈｅｄｉｓｔｒｉｂｕｔｅｄｑｕｅｒｙｐｒｏｃｅｓｓｉｎｇｔｅｃｈｎｉｑｕｅｓｕｓｅｄｉｎｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓａｒｅｄｉｓｃｕｓｓｅｄ．Ｆｏｕｒｔｈｌｙ，ｔｈｉｓｐａｐｅｒｐｏｉｎｔｓｏｕｔｔｈｅｃｈａｌｌｅｎｇｅｓａｎｄｄｅｖｅｌｏｐｍｅｎｔｔｒｅｎｄｓｏｆｄｉｓｔｒｉｂｕｔｅｄｄａｔａｍａｎａｇｅｍｅｎｔｔｅｃｈｎｉｑｕｅｓｆｏｒｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓ，ｉｎｃｌｕｄｉｎｇｄｉｓｔｒｉｂｕｔｅｄｓｔｏｒａｇｅｆｏｒｂｌｏｃｋｃｈａｉｎｄａｔａ，ｅｆｆｉｃｉｅｎｔａｎｄｓｅｃｕｒｅｃｏｎｓｅｎｓｕｓｍｅｃｈａｎｉｓｍｆｏｒｂｌｏｃｋｃｈａｉｎｔｒａｎｓａｃｔｉｏｎｓ，ｈｉｇｈａｖａｉｌａｂｌｅｑｕｅｒｙｐｒｏｃｅｓｓｉｎｇ，ｄｉｓｔｒｉｂｕｔｅｄｍａｎａｇｅｍｅｎｔｏｆｓｍａｒｔｃｏｎｔｒａｃｔｓ，ｐｒｉｖａｃｙｐｒｏｔｅｃｔｉｏｎｆｏｒｂｌｏｃｋｃｈａｉｎｄａｔａ，ｄａｔａａｕｄｉｔａｎｄｍｏｎｉｔｏｒｉｎｇｉｎｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍ．Ｆｉｎａｌｌｙ，ｔｈｉｓｐａｐｅｒｓｈｏｗｓｔｈｅｄｉｓｔｒｉｂｕｔｅｄｄａｔａｍａｎａｇｅｍｅｎｔｏｆｂｌｏｃｋｃｈａｉｎｓｙｓｔｅｍｓｉｎｖａｒｉｏｕｓｄｏｍａｉｎ ｓｐｅｃｉｆｉｃａｐｐｌｉｃａｔｉｏｎｓ，ｓｕｃｈａｓｆｉｎａｎｃｅ，ｍａｎｕｆａｃｔｕｒｅ，ｎｅｔｗｏｒｋｓｔｏｒａｇｅ，ｃｒｅｄｉｔａｎｄｏｔｈｅｒｆｉｅｌｄｓ．犓犲狔狑狅狉犱狊　ｂｌｏｃｋｃｈａｉｎ；ｄｉｓｔｒｉｂｕｔｅｄｄａｔａｍａｎａｇｅｍｅｎｔ；ｄａｔａｓｔｏｒａｇｅ；ｑｕｅｒｙｐｒｏｃｅｓｓｉｎｇ１　引　言在“互联网＋”应用日益普及的大环境下，大量应用需要将发生的事件、行为、状态持久地记录在分布式环境中以用于日后的查询，即进行分布式记账．分布式记账已经逐渐成为互联网应用中的一项重要功能．以电子商务交易系统为例，客户需要执行提交订单、通过电子银行向商家支付货款、从物流公司收货等操作，商家需要执行接受订单、通过物流公司发货、通过电子银行收款等操作，电子银行方需要执行从客户收款、向商家付款等操作，物流公司需要执行从商家收货、收取物流款、向客户发货等操作．客户、商家、物流公司、电子银行共四方处于一个分布式环境中，在每一个环节都需要记录相关的操作和信息．由于各方之间并不存在完全信任关系，最终以哪一方记录的账目为确认信息是一个重要的问题．传统的方法采用由电子商务交易服务平台作为公正的第三方进行统一记账，所有的交易信息的查询操作全部在这个平台上进行处理，物流公司和银行的部分数据也以接入的方式添加至交易服务平台．在这种传统集中式记账方式里，主要的交易信息存储在单一的记账方，这是一种“逻辑”上的集中式存储模式，即交易数据存储在唯一的某业务参与方并由其负责管理．集中式记账方式存在的问题包括：（１）记账方为了保证可靠性需要存储数据的多个副本，从而造成了数据存储的性能瓶颈；（２）交易数据可能被记账方篡改且无法验证，因此各参与方需要完全信任记账方；（３）记账方受到攻击后数据难以恢复．因此，传统集中式记账方式存在着存储效率低、可信性差、易受攻击等弊端．为了解决以上难题，采用分布式记账方式的比９２１期于　戈等：区块链系统中的分布式数据管理技术———挑战与展望特币系统（Ｂｉｔｃｏｉｎ）［１］在２００８年被首次提出，并受到广泛关注．随后，区块链技术作为比特币系统所采用的底层技术逐渐引起工业界与学术界的重视，比特币系统所具有的分布共享性、共识性、不可篡改性、可溯源性和最终一致性等特点均来源于区块链技术．在基于区块链技术的分布式记账方式中，所有参与方都可以保存一份相同的完全账本，新加入的参与方可以下载完全账本并验证账本的正确性．这种方式降低了传统集中式记账方式中记账方的多副本数据维护成本，同时参与方也可以通过访问本地数据提高访问效率．此外，在区块链系统中，交易的账目采用数字签名和加密算法处理，从而提高了系统中数据的安全性，而区块之间通过哈希值串联的数据关联方式和基于共识算法确认区块的数据写入机制也使得区块链上的数据极难被篡改．起初，区块链技术所支撑的比特币系统仅是一个专用的交易系统，并不支持虚拟货币交易以外的其他功能，这严重限制了区块链技术在分布式数据管理上的应用．随着区块链技术的发展，产生了大量新型区块链系统．２０１４年由Ｂｕｔｅｒｉｎ基于区块链技术推出了以太坊（Ｅｔｈｅｒｕｍ）平台［２］．以太坊提供了基于智能合约的编程功能，支持区块链应用的二次开发，这标志着区块链２．０时代的诞生．超级账本（ＨｙｐｅｒｌｅｄｇｅｒＦａｂｒｉｃ）［３］则是基于ＩＢＭ早期贡献出的ＯｐｅｎＢｌｏｃｋｃｈａｉｎ为主体搭建而成的Ｌｉｎｕｘ基金会的区块链项目，其主要目的是发展跨行业的商用区块链平台技术．在超级账本框架中，包括了ＨｙｐｅｒｌｅｄｇｅｒＦａｂｒｉｃ①、ＨｙｐｅｒｌｅｄｇｅｒＢｕｒｒｏｗ②、ＨｙｐｅｒｌｅｄｇｅｒＳａｗｔｏｏｔｈ③和ＨｙｐｅｒｌｅｄｇｅｒＩｒｏｈａ等多个项目，构成了完整的生态环境．区块链３．０时代［４］则是将区块链技术的应用范围扩展到各类应用之中，服务领域除金融、经济之外，还包括政府、健康、科学、文化等领域．区块链技术将支持各类资产交易与登记的去中心化可信处理，并与物联网等技术融合．未来，区块链技术将会与其他新兴技术相结合用于各类应用之中，诸如区块链＋科学、区块链＋医疗、区块链＋教育、区块链＋能源等应用将会迅速发展．目前，区块链技术已应用于多个领域之中．在数字货币服务领域，支持支付、兑换、汇款、交易功能；在金融服务领域，支持清算、结算、安全监管、反洗钱等功能；在Ｂ２Ｃ服务领域，支持无人管理的商亭等新业务；在Ｐ２Ｐ租赁管理领域，支持无需中介的货物交换、租赁等共享经济新业务；在供应链管理领域，支持物理资产签名、物流跟踪和交付等功能；在知识产权保护领域，用于建立不可篡改的权利和拥有权；在征信管理领域，支持身份认证、日志审计和监管等；在溯源管理领域，支持数据鉴别与存证、防伪溯源等功能．区块链技术是一种建立在多种技术之上的分布式共享账本技术，而区块链本质上是一种多方参与共同维护的分布式数据库．相对于集中式数据库管理系统，区块链系统采用去中心化或者弱中心化的数据管理模式，没有中心节点，所有参与节点均可以存储数据，而事务的持久性则依靠参与节点共同维护的不断增长的数据链和非集中式的共识机制予以实现，保证了数据在基于验证基础上的可信性．此外，相比于传统的分布式数据库和分布式数据存储系统，区块链系统的参与节点可以获得完整的数据副本，而非部分数据的副本．区块链系统的特殊数据存储机制和一致性共识机制是其不同于传统分布式数据库系统的主要原因．区块链的数据存储结构和数据组织方式不同于其他数据存储系统．区块链将数据记录组织成区块（Ｂｌｏｃｋ），并在每个区块的区块头中通过记录前一区块的哈希值将区块组织成链式结构．这种结构使区块链的数据存储具有不易篡改性、可溯源性和可验证性．然而，区块链的存储结构和基于密码学算法的共识机制也为数据管理带来了交易确认效率低和查询不便等诸多弊端．例如在记录交易的吞吐量方面，使用区块链技术的比特币系统仅支持每秒处理７笔交易数，并且还需要经过１小时以上时间才可以确认写到区块（相关研究表明４３％的比特币交易未能在一小时内得到处理④）．此外，区块链的数据记录按时间顺序存储在区块中，这为交易数据的查询处理带来了挑战，当前很多数字货币系统的查询处理都要依赖于某种键值数据库系统．其次，区块链的共识机制也不同于分布式数据库系统．区块链系统为了在Ｐ２Ｐ网络环境下保证交易操作符合事务特性，需要维护数据一致性，并避免“双重支付”（ＤｏｕｂｌｅＳｐｅｎｄｓ）的发生，这是区块链共０３计 算 机 学 报２０２１年①②③④ＨｙｐｅｒｌｅｄｇｅｒＦａｂｒｉｃ．ｈｔｔｐｓ：／／ｗｗｗ．ｈｙｐｅｒｌｅｄｇｅｒ．ｏｒｇ／ｐｒｏｊｅｃｔｓ／ｆａｂｒｉｃＨｙｐｅｒｌｅｄｇｅｒＢｕｒｒｏｗ．ｈｔｔｐｓ：／／ｗｗｗ．ｈｙｐｅｒｌｅｄｇｅｒ．ｏｒｇ／ｐｒｏｊｅｃｔｓ／ｈｙｐｅｒｌｅｄｇｅｒ ｂｕｒｒｏｗＨｙｐｅｒｌｅｄｇｅｒＳａｗｔｏｏｔｈ．ｈｔｔｐｓ：／／ｗｗｗ．ｈｙｐｅｒｌｅｄｇｅｒ．ｏｒｇ／ｐｒｏｊｅｃｔｓ／ｓａｗｔｏｏｔｈＳｔｕｄｙ：４３％ｏｆＢｉｔｃｏｉｎＴｒａｎｓａｃｔｉｏｎｓＡｒｅｎ’ｔＰｒｏｃｅｓｓｅｄａｆｔｅｒＦｉｒｓｔＨｏｕｒ．２０１７．ｈｔｔｐｓ：／／ｗｗｗ．ｃｃｎ．ｃｏｍ／４３ ｂｉｔｃｏｉｎ ｔｒａｎｓａｃｔｉｏｎｓ ｎｏｔ ｐｒｏｃｅｓｓｅｄ ｏｎｅ ｈｏｕｒ ｓｔｕｄｙ ｓａｙｓ识机制的主要考虑的问题．同时，由于区块链网络本身是一个去中心化的网络，参与节点完全自治，并没有统一的节点负责管理和维护，为此区块链节点之间需要使用Ｐ２Ｐ技术实现数据广播以更新节点的状态信息和账本信息．区块链系统公认的基础架构模型［５］主要分为６层，本文在其基础上增加了查询层，以便对区块链系统的查询处理机制进行分析．这样，区块链系统架构扩展为７层，如图１所示，主要包括：（１）应用层．基于区块链的各类应用，如数字货币、区块链金融、区块链征信等；（２）查询层．实现对交易账本数据的访问和验证，以及对账号状态的查询；（３）合约层．由脚本、算法机制和智能合约所构成的可编程基础框架；（４）激励层．负责为奖励记帐工作而进行货币发行、交易费用分配任务；（５）共识层．封装网络节点的ＰｏＷ、ＰｏＳ、ＤＰｏＳ和ＰＢＦＴ等各类共识算法，实现分布式共识机制；（６）网络层．封装Ｐ２Ｐ组网机制，数据传播机制和数据验证机制；（７）数据层．封装底层数据区块的数据结构和加密机制．当前的区块链系统大多基于该系统架构进行实现，其中数据层、网络层、共识层和查询层是区块链系统的必要元素．现有相关工作针对区块链系统不同层次的技术和区块链在各领域上的应用进行了大量研究与综述．对于区块链系统所包含的关键技术和研究现状，以及未来的发展趋势，袁勇等人［５］在区块链的基础架构模型方面对比特币的原理和技术进行了系统的阐述，何蒲等人［６］结合比特币系统介绍了区块链的概念和技术，并对前景进行了展望，邵奇峰等人［７］对比特币、以太坊和超级账本等多个区块链平台进行分析，总结了区块链的优势、劣势和发展趋势．在应用层方面，文献［８］对区块链在数字货币上的应用进行了全面的综述，刘敖迪等人［９］介绍了区块链技术在信息安全领域的研究现状和进展．由于区块链具有健壮的数据存储能力，因此相关研究工作在数据存储系统上进行区块链技术的应用［１０ １１］．对于合约层，贺海武等人［１２］结合多个领域应用场景对智能合约技术的概念、关键技术和面临的问题进行了阐述．此外，对于共识层、网络层和数据层，已有研究分别对区块链系统的共识机制［１３ １４］、安全机制［１５ １６］、网络协议［１７］、可信数据管理［１８］和查询处理［１９］进行了整理和综述．区块链在设计之初就是以进行防篡改的数据存储和管理为目的，分布式数据管理是区块链系统的主要功能之一．区块链技术中涉及分布式数据管理的部分主要集中在区块链架构的查询层、合约层、网络层和数据层，其中查询层和合约层在区块链系统中负责实现对数据的处理操作，如图１所示．本文主要以分布式数据管理为视角，基于对当前主流的区块链系统分析，对比不同区块链系统在数据管理上的差异，对其中分布式数据管理所涉及的数据存储技术、查询处理机制和算法进行阐述和分析，并对区块链研究中涉及分布式数据管理的挑战进行探讨，对各领域的应用进行展望．本文第２节对区块链系统的分布式数据管理机制进行分析，对比区块链系统和传统分布式数据管１３１期于　戈等：区块链系统中的分布式数据管理技术———挑战与展望理系统的异同；第３节介绍区块链系统的分类；第４节介绍区块链系统中的数据存储技术，包括物理存储结构，对比不同区块链系统在物理存储机制上的差异，以及区块链系统所采用的数据存储优化技术；第５节介绍区块链系统的数据查询处理技术；第６节探讨区块链系统在分布式数据管理方面所面临的研究挑战和发展方向；第７节展望区块链所支持领域应用的场景和待解决的问题；第８节总结全文．２　区块链系统的分布式数据管理区块链系统作为一种分布式数据库管理系统，主要以解决数字货币的货币转移、兑换和支付功能而被提出．区块链的特征主要体现在数据的公开透明、不可篡改和网络结构的去中心化等几个方面．由于区块链主要面向的是不可信数据存储环境下的记账应用，因此在数据存储上采用了去中心化、全副本的分布式方式，即所有参与方均通过Ｐ２Ｐ网络结构连接，并可以存储完整的共享账本．由此可见，区块链系统在管理交易记账上虽然使用了分布式数据管理方式，但与传统的集中式数据管理和分布式数据库系统管理数据的方式均有所差别．本节主要将区块链系统与传统数据管理方式进行对比和分析，并阐述彼此间的共同点和差异性．图２　记账业务流程对比２ １　区块链与传统分布式数据库的共同点区块链技术主要是针对现有金融机构的集中式记账系统的信任问题而被提出的，其本身是由分布式存储、Ｐ２Ｐ网络、加密算法、共识机制等多种技术所构成的．中本聪基于区块链技术设计并发行了数字货币“比特币”，用以解决美国次贷危机中所展现的金融机构信任问题．相比于金融机构的集中式记账系统，基于区块链技术的交易记账系统具有公开透明、去中心化、可溯源查询和不可篡改等诸多的优势，从而避免了集中式记账方式中账本的真实性高度依赖于对记账方信任的弊端．这里以电子商务的交易记账应用为例，对传统基于清算中心的集中式记账方式和基于区块链的分布式记账方式的记账业务流程进行对比．传统集中式记账方式如图２（ａ）所示，交易相关的账目数据集中存储在清算中心的数据库中，交易的参与各方如果需要调用完整的交易信息需要访问清算中心，其弊端主要体现在完全依赖于对清算中心记账方的信任，一旦记账方失信或遭受攻击，其保存的数据也随之失去可信性．区块链的分布式记账方式如图２（ｂ）所示，其中账本数据是整体共享的，以区块为单位通过密码学算法链接在一起，且网络中任何一个参与方均可以存储完整的共享账本副本，而数据的安全性则也是基于密码学算法予以保证．由于所有参与方均保存有共识后的共享账本，因此任何一个参与方进行双重支付或篡改账本数据的难度变得极大，从而保证账本数据在不可信环境中的可信性．区块链系统的分布式记账方式使其在数据存储管理的方式上与分布式数据库相同，即存储结构化的数据集合，这些数据逻辑上属于同一系统，物理上分布在计算机网络的各个不同场地上［１７］．区块链系统同样具有分布式数据库所具有的诸多特性：（１）分布性区块链系统与分布式数据库系统在数据的存储方面都是物理上分散、逻辑上统一的系统．区块链系统中具有全局统一的数据模式，数据以副本形式存储在参与节点中，每个参与节点存储的是数据模式相同且数据一致的共享账本．（２）透明性区块链系统在数据访问上具有透明性，用户看到的共享账本是全局数据模型的描述，就如同使用集中式数据库一样，在记录交易数据时也不需要考虑共享账本的存储场地和操作的执行场地．在数据复制方面，区块链系统的共享账本存储在各个参与节点上，并通过共识机制自动维护数据的一致性．２３计 算 机 学 报２０２１年（３）自治性区块链系统的参与节点具有高度的自治性．在通信方面，参与节点可以独立地决定如何与其他参与者进行通信；在查询方面，参与节点本地就保存了完整的共享账本，可以在本地执行对账本数据的访问．（４）可伸缩性区块链系统支持参与节点规模的任意扩展．区块链系统允许参与节点在任意时刻加入和退出系统．而且，由于区块链的参与节点保存的是完整共享账本，因此对于参与节点重新加入区块链系统后，仅需要从其他节点更新缺失的区块数据即可完成数据的重新分布，不会影响整体的系统性能．２ ２　区块链与传统分布式数据库的差异区块链系统原始的设计目的之一是解决非信任环境下数据的可信性问题．所谓的非信任环境是指负责数据存储的节点可能随意篡改数据而其他参与节点又无法识别，这将造成参与节点之间的互不信任问题．对于传统分布式数据库管理系统而言，系统建立在信任环境，其中参与节点采用统一管理的方式，节点之间具备完全相互信任的关系．因此区块链与传统的分布式数据库在数据管理方式上又具有显著的差异，如图３所示，具体体现在以下几个方面：（１）去中心化拓扑结构在参与节点的网络拓扑结构方面，区块链系统的去中心化结构采用了基于Ｐ２Ｐ的分布式模式，这种结构与基于Ｐ２Ｐ网络结构［２０］的数据库系统（Ｐ２ＰＤＢＳ）［２１ ２２］相似．如图３（ｂ）所示，区块链节点通过通信控制器（ＣＭ）仅基于邻居地址进行通信，其加入和退出都是随意和动态的．传统分布式数据库虽然数据分布在不同的场地，但是通常采用中心化的主从结构，由全局的网络管理层存储各个局部数据库节点的地址和局部数据的模式信息，以用于查询处理时进行全局优化和调度，如图３（ａ）所示．（２）数据分布方式分布式数据管理的数据存储方式，通常分为两类［２３］：①分割式．数据被划分成若干个不相交的分片，分别保存在不同的节点上，数据的划分方法分为水平分片和垂直分片；②复制式．同一个数据分片保存在一个以上的节点上，复制方式分为部分复制和全复制．分割式能够节省数据的存储空间，查询时需要在节点间传输数据，虽然使用半连接等算法可进行优化，但效率依然较低．复制式通过多节点的数据冗余存储可提高查询效率，但耗费存储空间且需要维护数据一致性．区块链系统的数据分布采用的是全复制式，即每个参与节点都在本地复制了具有全局模式的全部数据．因此，数据在区块链系统中是全局共享的，如图３（ｂ）所示．相比于区块链系统，传统分布式数据库的分布方式主要基于在全局模式创建局部模式，再对数据进行垂直分片和水平分片，如图３（ａ）所示，每个节点存储的是全局数据分片的副本，再通过数据分片的元信息管理实现全局数据的访问和查询处理．当前很多基于分布式数据库技术的大数据存储系统，如ＨＢａｓｅ①等，均采用集中式的元信息管理节点管理数据副本的分布信息．图３　区块链系统与传统分布式数据库系统对比（３）数据查询处理区块链系统中对账本信息的查询处理通常在存３３１期于　戈等：区块链系统中的分布式数据管理技术———挑战与展望①ＡｐａｃｈｅＨＢａｓｅＲｅｆｅｒｅｎｃｅＧｕｉｄｅ．ｈｔｔｐ：／／ｈｂａｓｅ．ａｐａｃｈｅ．ｏｒｇ／ｂｏｏｋ．ｈｔｍｌ储了完整共享数据的参与节点本地执行．由于区块数据采用基于文件的存储方式且本身缺少索引结构，因此在区块链上直接执行对账本查询只能使用顺序扫描的方式访问所有区块数据．目前区块链系统常用的查询优化方式是将账本记录存储在Ｋｅｙ Ｖａｌｕｅ数据库中，以提高数据的访问效率．当前，比特币和以太坊等系统都使用了ＬｅｖｅｌＤＢ①存储和检索数据．需要说明的是，在以太坊这类支持智能合约的第二代区块链系统中，智能合约代码的执行处理是嵌入在区块链记账功能中的．因此，对智能合约代码的调用是在所有参与进行共识验证的节点上执行．传统分布式数据库的查询处理主要基于数据副本的大小和分布场地进行优化［２４］，而在面向大数据的分布式数据库上则采用基于并行计算思想的查询优化方法［２５］．（４）数据一致性维护数据一致性是保证数据正确性和可信性的关键，区块链系统采用共识机制来保证各节点上数据的一致性．在数字货币的应用中通常采用工作量证明机制（ＰｏＷ）通过算力竞争保证分布式的一致性［２６］，如解决基于ＳＨＡ２５６、Ｅｔｈａｓｈ②等算法的数学难题，而从节约能耗的角度，则会采用权益证明机制（Ｐｒｏｏｆ ｏｆ Ｓｔａｋｅ，ＰｏＳ）和授权权益证明机制（ＤｅｌｅｇａｔｅｄＰｒｏｏｆ ｏｆ Ｓｔａｋｅ，ＤＰｏＳ）等③方法．其中，使用工作量证明机制进行一致性维护的最大问题在于共识的效率过低，一个区块的一致性需要在其后生成一定长度的后续区块之后才能够被确认．分布式数据库系统通常采用包括实用拜占庭容错ＰＢＦＴ［２７］、Ｐａｘｏｓ［２８］、Ｇｏｓｓｉｐ［２９］、ＲＡＦＴ［３０］等高效的算法维护数据的一致性，而这些算法也被一些面向联盟链应用的区块链系统所采用．（５）数据安全性机制区块链系统在安全性方面主要为用户提供了数据篡改验证、数据溯源和加密安全机制．数据的篡改可以通过校验前后区块的哈希值进行验证，因此要篡改数据并被所有参与者认可就需要在算力上付出高昂代价以重新生成区块，其难度相比传统的集中式和分布式数据库都要大很多．但是在数据的可访问性上，由于区块链的共享性，所有用户均可访问完整数据，而传统数据库管理系统则基于用户身份验证方式控制数据的访问．为了解决共享数据上的隐私安全性问题，区块链采用了基于非对称加密的交易方式实现匿名交易，其优点是很好地保护了用户隐私，缺点是一旦密钥丢失，用户的账号信息将无法恢复．综上所述，区块链系统相比传统分布式数据库系统，在记账方式上提供了更好的分布性、透明性和可信性，在功能上提供了防篡改验证机制和智能合约机制，因此更加适合在非可信环境下的匿名使用．另一方面，相比传统的分布式数据库系统，区块链系统在网络结构、数据存储和访问方式上也具有显著的差异．３　区块链系统的分类３ １　区块链系统部署方式的分类区块链系统根据其分布式部署方式和开放对象被划分为三种：“公有链”（ＰｕｂｌｉｃＢｌｏｃｋｃｈａｉｎ）、“联盟链”（ＣｏｎｓｏｒｔｉｕｍＢｌｏｃｋｃｈａｉｎ）和“私有链”（ＰｒｉｖａｔｅＢｌｏｃｋｃｈａｉｎ）．三类区块链系统的对比如表１所示．表１　各区块链系统类型对比公有链联盟链私有链网络结构完全去中心化部分去中心化（多）可信中心节点规模无控制可控有限加入机制随时可以参加特定群体或有限第三方机构内部节点记账方任意参与节点预选节点机构内部节点数据读取任意读取受限读取受限读取共识机制容错性高、交易效率低（ＰｏＷ或ＰｏＳ等）容错性和交易效率适中（ＰＢＦＴ，ＲＡＦＴ）容错性低、交易效率高（Ｐａｘｏｓ，ＲＡＦＴ）激励机制有代币激励无代币激励无代币激励代码开放完全开源部分开源或定向开源不开源（１）公有链公有链是对所有人开放的，任何互联网用户都能够随时加入并任意读取数据，能够发送交易和参与区块的共识过程．比特币和以太坊等虚拟货币系统就是典型的公有链系统．公有链是完全去中心化的结构，其共识机制主要采用ＰｏＷ、ＰｏＳ或ＤＰｏＳ等方式，将经济奖励和加密算法验证相结合，以保证经济奖励和共识过程贡献成正比．此外，公有链中程序开发者对系统的代码是完全开源的，而且开发者无权干涉用户．在分布式数据管理方面，公有链系统的优势和缺陷主要包括以下几个方面：４３计 算 机 学 报２０２１年①②③ＬｅｖｅｌＤＢ．ｈｔｔｐ：／／ｌｅｖｅｌｄｂ．ｏｒｇ／ＲａｙＪ．Ｅｔｈａｓｈ．ｈｔｔｐｓ：／／ｇｉｔｈｕｂ．ｃｏｍ／ｅｔｈｅｒｅｕｍ／ｗｉｋｉ／ｗｉｋｉ／ＥｔｈａｓｈＢｉｔｓｈａｒｅｓ．ＤｅｌｅｇａｔｅｄＰｒｏｏｆｏｆＳｔａｋｅ．ｈｔｔｐ：／／ｄｏｃｓ．ｂｉｔｓ ｈａｒｅｓ．ｏｒｇ／ｂｉｔｓｈａｒｅｓ／ｄｐｏｓ．ｈｔｍｌ。

中安威士数据库安全加固方案之公有云解决方案一、背景当前，云计算成为流行的IT系统解决方案。

它的可扩展、可伸缩的弹性计算能力，极大的减小了IT建设和管理的难度。

并且其以租代购的方式极大的减少了投资。

公有云是最重要的一种云计算方式，可以为全球的用户建立起应用系统。

但是在公有云中，应用系统和支撑其运转的数据库都迁移到云端，数据的安全是十分重要的问题。

越来越多的云端数据泄漏事件，比如最近的部署于云端的某游戏160多万用户数据的泄漏,给云中数据库的安全拉响警钟。

相比于传统计算环境，云计算的开放性和虚拟化的特性，传统的数据安全方案变得复杂甚至无能为力,给云端的数据库的防护带来了更大的挑战。

二、中安威士简介中安威士是北京中安比特科技有限公司专属品牌和注册商标。

中安比特专注于数据安全管理领域，经过十余年技术积累,已拥有国内最全面的数据库安全加固产品线-—中安威士数据库安全加固系列产品，包括数据库审计、数据库防火墙、数据库加密、数据库脱敏等，能帮助客户降低数据安全风险并轻松满足合规要求。

中安威士面向云计算的数据安全管理方案可为云计算和大数据环境中的数据资产提供全面的安全保护。

三、技术方案1、传统技术方案的限制为解决数据的安全管理,中安威士提供数据库审计、防火墙、透明加密、脱敏等产品，形成数据在其生命周期中的产生、使用、存储、备份等阶段的安全解决方案。

其中，对数据库系统部署数据库审计和防火墙，实现对数据的访问状况的监控和访问控制,是最基本的安全需求.在传统网络环境中，通常采用旁路镜像、直连、OS代理等方式实现。

在公有云环境中，仍然有必要部署数据库安全加固产品，对数据生命周期中的各个阶段的安全加固。

并且部署数据库审计和防火墙仍然是最基础和最必要的防护手段。

在公有云环境中，数据库审计和防火墙的旁路镜像、直连、OS代理等实现方式理论上都是可行的，但是在实际的场景中会受到具有各种限制.1）镜像方式。

在传统环境中，在交换机上配置端口镜像，将数据库访问流量镜像到数据库审计设备即可。

傲盾IDC/ISP信息安全管理系统功能介绍文档版本 V1.0发布日期 2012-09-20北京傲盾软件有限责任公司承诺为客户提供全方位的技术支持用户可与当地傲盾办事处联系，或直接与公司总部联系。

北京傲盾软件有限责任公司地址：中国北京市海淀区上地东路9号得实大厦五层南区邮编：100085网址：客户服务电话：（8610）-82728630，82728653，82729355，82728052 （881-884 技术支持中心ATC 20线）客户服务传真：（8610）-82728630-835客户服务邮箱：support@版权所有©北京傲盾软件有限公司。

傲盾公司保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档的部分或全部内容，并不得以任何形式传播。

商标声明以及其他傲盾商标均为北京傲盾软件有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

版本记录：前言版本说明本手册适用于傲盾IDC/ISP信息安全管理系统管理操作。

内容介绍本手册主要介绍了傲盾IDC/ISP信息安全管理系统的功能特性、使用方式方法等。

在使用傲盾IDC/ISP信息安全管理系统之前，请仔细阅读本手册。

1、概述 (5)1.1 背景概述 (5)1.2 产品概述 (6)1.3 术语与定义 (6)2、系统介绍 (8)2.1 系统总结构 (8)2.2 产品形态 (9)2.3 系统内部结构 (11)3、系统功能 (11)3.1 总体功能介绍 (11)3.2 基础数据上报 (12)3.3 基础数据检测 (14)3.4 访问日志管理 (15)3.5 信息安全管理 (16)3.6 权限管理 (17)3.7 综合数据管理 (18)3.8 运行维护 (18)3.9 系统管理 (19)4产品特点 (19)4. 1 性能 (19)4.2 易安装 (20)4.3 灵活组网 (20)4.4 操作维护方便 (20)4.5 标准的通信接口 (21)1、概述1.1 背景概述近年来，随着宽带接入技术、以及网络通信技术演进，互联网业务应用迅速扩张，其中互联网的网络和业务发展更为迅猛。

全同态加密技术的研究现状及发展路线综述
戴怡然;张江;向斌武;邓燚
【期刊名称】《电子与信息学报》
【年(卷),期】2024(46)5
【摘要】随着物联网、云计算、人工智能的应用与普及,数据安全与隐私保护成为人们关注的焦点。

全同态加密,作为隐私安全问题的有效解决办法,允许对加密数据执行任意同态计算,是一种强大的加密工具,具有广泛的潜在应用。

该文总结了自2009年以来提出全同态加密方案,并根据方案的核心技术划分成4条技术路线,分析讨论了各类方案的关键构造,算法优化进程和未来发展方向。

首先,全面介绍了全同态加密相关的数学原理,涵盖了全同态加密方案的基础假设和安全特性。

随后,按照4条全同态加密方案的技术路线,归纳了加密方案的结构通式,总结了自举算法的核心步骤,讨论了最新研究进展,并在此基础上综合分析比较了各类方案的存储效率及运算速度。

最后,展示了同态算法库对每条技术路线下加密方案的应用实现情况,分析了在当前时代背景下全同态加密方案的机遇与挑战,并对未来的研究前景做出了展望。

【总页数】16页(P1774-1789)
【作者】戴怡然;张江;向斌武;邓燚
【作者单位】中国科学院信息工程研究所信息安全国家重点实验室;密码科学技术全国重点实验室;中国科学院大学网络空间安全学院
【正文语种】中文
【中图分类】TN918.4;TP309
【相关文献】
1.车辆路线问题研究现状及发展方向
2.我国产业创新发展路线图研究综述
3.全同态加密自举技术的研究现状及发展趋势
4.低碳技术发展路线图及优选模型研究综述
5.多密钥全同态加密的研究现状与发展趋势
因版权原因，仅展示原文概要，查看原文内容请购买。

decde技术方案一、引言在当今数字化时代，数据加密与解密已经成为信息安全领域的核心问题。

decde技术方案旨在提供一种高效、安全、可靠的数据加密解密解决方案，以满足用户的隐私和安全需求。

二、技术原理decde技术方案基于现代密码学理论与算法，采用对称密钥加密算法来保护用户的数据。

其核心技术包括以下几个方面：1. 对称密钥生成与管理：decde技术方案使用安全的密钥生成算法生成随机的对称密钥，并通过密钥管理系统进行有效管理，确保密钥的安全性和可靠性。

2. 数据加密与解密：通过先进的对称加密算法，decde技术方案可以对用户的数据进行高强度加密，有效保护数据的机密性。

同时，通过密钥解密算法，用户可以快速解密加密数据，保证数据的完整性和可用性。

3. 安全传输与存储：decde技术方案支持对加密数据的安全传输和存储。

在数据传输过程中，通过采用SSL/TLS协议等安全传输机制，保证数据在传输过程中不被窃取或篡改。

在数据存储方面，通过数据分片和加密存储技术，将数据分散存储在多个物理介质上，增加数据的安全性和抗攻击能力。

4. 密钥更新与注销：decde技术方案还支持对密钥的定期更新和注销。

通过定期更新密钥可以有效降低密钥泄露的风险，保证数据的长期安全。

同时，在用户注销或密钥失效时，及时撤销相关密钥，防止数据被未经授权的用户恶意使用。

三、方案优势decde技术方案具有以下几个显著优势：1. 高效性：decde技术方案采用的对称密钥加密算法在保证安全性的同时，具有较高的加解密速度，可以满足用户对数据处理的实时性要求。

2. 安全性：decde技术方案采用先进的密码学算法，保证了数据的机密性和完整性。

同时，通过密钥管理和更新机制，有效降低了密钥泄露的风险。

3. 可靠性：decde技术方案在设计中充分考虑了系统可用性和容错性，通过数据备份和分布式存储等措施，减少了数据丢失和系统故障的风险。

4. 可扩展性：decde技术方案支持分布式部署和横向扩展，用户可以根据实际需求动态增加服务器和存储资源，灵活应对数据量的增长和用户规模的变化。

明御®数据库审计与风险控制系统业界首创细粒度审计、双向审计、全方位风险控制系统1. 产品概述明御®数据库审计与风险控制系统（简称：DAS-DBAuditor）作为国内数据库审计产品领域第一品牌，是安恒信息结合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规（如SOX、PCI、企业内控管理、等级保护等）对数据库审计的要求，自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。

明御®数据库审计与风险控制系统可以帮助您解决以下问题:识别越权使用、权限滥用，管理数据库帐号权限跟踪敏感数据访问行为，及时发现敏感数据泄漏检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议为数据库管理与优化提供决策依据满足法律、法规要求，提供符合性报告低成本且有效推行IT管理制度DAS-DBAuditor以独立硬件审计的工作模式，灵活的审计策略配置，解决企事业单位核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对数据库审计的要求，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。

DAS-DBAuditor支持Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix、CACHÉ、teradata、神通（原OSCAR）、达梦、人大金仓（kingbase）等业界主流数据库以及TELNET、FTP、HTTP、POP3、SMTP等，可以帮助用户提升数据库运行监控的透明度，降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

2. 技术优势技术优势功能价值超高的性能多核、多线程处理：采用多核处理技术，结合自主研发的多线程应用系统，单台最大可以达到50000条/秒的处理能力，支持多台数据库服务器，降低用户成本；分布式部署：支持分布式部署，并行处理，成倍提升业务处理能力，满足大型业务环境需求，兼顾未来扩容计划；丰富规则和报表通过对大量项目实施经验总结，已经形成了丰富的行业规则包和合规报表，包括合规性要求、帐号管理、权限管理、认证管理、敏感数据安全等多个维度的规则，系统默认配置60多种报表，解决普通审计产品规则设置困难、审计分析无从下手、报表过于简单且无实际分析价值等问题。

虚拟化安全系统清单：虚拟化安全系统竞价资质要求：1、供应商须是在中华人民共和国境内合法注册并具有独立法人资格，其注册资金不少于50万元人民币（开标时提供营业执照副本原件或复印件加盖公章）；2、供应商必须提供针对所投产品的原厂售后服务承诺函（原件）；3、投标人是趋势科技网络安全金牌服务商TMSN4、供应商必须具有完善的本地化售前和售后服务能力；1．项目需求1、所购虚拟化防病毒软件授权数量必须满足部署在10颗物理CPU）之上；2、控制管理中心1套：至少可以管理12颗CPU，且与Vmware VCenter集成3、服务期期限：一年1.3系统功能1.4其他要求1、投标方投标时需提供详细的软件部署实施方案和服务保障方案，实施团队中至少两名工程师（其中一名必须是原厂商认证工程师）。

2、合同签订后30个工作日内完成系统部署和实施工作。

项目验收完毕后，在服务期内对整个系统提供免费维护和技术支持服务。

3、巡检维护：投标方每季度在总部进行统一维护检测一次，检查虚拟化防病毒系统的运行状况，解决发现的问题，提出有关防病毒及数据安全方面的改进措施，提早消除故障隐患，确保系统安全稳定的运行，最后给出客户安全评估报告。

每季度、半年及全年并应出具巡检报告。

4、投标方向招标方提供一份详细的技术咨询联系办法，在整个服务期内，招标方可以随时通过电话、传真、书函以及电子邮件等各种灵活的通讯手段进行技术咨询，投标方应免费提供及时、完善的服务。

5、防病毒原厂商必须通过ISO20000（IT服务管理体系）；中国信息安全评测认证中心的信息安全服务资质认证；在国内必须具有产品研发中心，满足因个性化需求而进行的二次开发；防病毒原厂商在国内必须具备病毒处理中心，能够根据中国地区的新病毒以及全球性病毒，在48小时内提供病毒专杀工具和病毒码；。

报告编号：（-16-1303-01）信息系统安全等级测评报告说明：一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。

各组含义和编码规则如下：第一组为信息系统备案表编号，由2段16位数字组成，可以从公+安机关颁发的信息系统备案证明（或备案回执）上获得。

第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。

第二组为年份，由2位数字组成。

例如09代表2009年。

第三组为测评机构代码，由四位数字组成。

前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。

90为国防科工局，91为电监会，92为教育部。

后两位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数，由两位构成。

例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

声明本报告是票务系统的安全等级测评报告。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。

当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

云计算HCIP题库+答案一、单选题（共52题，每题1分，共52分）1.以下哪项不属于华为桌面云系统的禁用操作？A、禁用 HDP 类服务B、在 FusionCompute 界面上删除虚拟机C、在虚拟机操作系统中更新补丁D、在桌面云中搭建 DHCP 服务器正确答案：C2.关于 AD 备份，下面描述不正确的是？A、需要在FusionAccess“系统管理>初始配置>域/0 U”中，将“是否开启备份”设置为“是”。

B、需要在 AD 服务器上配置备份路径。

C、需要在FusionAccess“告警组件”中配置 AD 信息。

D、需要在 AD 服务器上安装监控代理。

正确答案：A3.FusionCompute 分布式虚拟交换机一方面可以对多台服务器的虚拟交换机统配置、管理和监控。

另一方面也可以保证虚拟机在服务器之间迁移时网络配置的一致性。

A、TRUEB、FALSE正确答案：A4.关于 PCoIP 桌面云协议缺点的描述，不正确的是？A、该协议可以最大程度的利用网络带宽。

B、原生 PCoIP 没有串并口等外设重定向能力。

C、与其他桌面云协议相比，传输可靠性低。

D、该协议属于主机端的渲染协议，兼容性较差正确答案：D5.数据恢复到备份服务器，需要选取对应组件的备份文件，备份文件的原则为？A、先查看相应组件故障告警的时间，选取故障时间之后体积最大的备份文件进行恢复B、先查看相应组件故障告警的时间，选取故障时间之前体积最大的备份文件进行恢复C、先查看相应组件故障告警的时间，选取故障时间之前最接近的备份文件进行恢复D、先查看相应组件故障告警的时间，选取故障时间之后最接近的备份文件进行恢复正确答案：C6.安装 FusionAccess 管理组件时，创建完 Linux 基础架构裸虚拟机后，对设置虚拟机自恢复属性的操作描述，不正确的是？A、只需要对 ITA 组件所在的虚拟机设置虚拟机自恢复属性操作。

B、重启完 VRM 进程后，需要重新登录 FusionCompute 界面。

第13期2021年5月No.13May ，2021大数据平台数据的安全管理体系架构设计摘要：随着数据中心的快速发展，数据的安全管理存在数据传输不可靠、数据丢失、数据泄露等方面的问题。

为解决此问题，文章对大数据平台数据的安全管理体系架构进行设计，该架构包括数据安全采集层、存储层、使用层。

数据安全采集层从数据分类、数据分级、敏感数据识别、数据脱敏、多类型加密机制5个维度保障数据安全。

数据安全存储层从多维度数据安全存储机制、基于网络安全等级保护制度的安全评测两个维度保障数据安全。

数据安全使用层采用细粒度访问控制、基于区块链的数据保护、基于联邦学习的数据共享、全过程安全审计4种技术保障数据使用安全。

通过设计基于区块链的数据保护模型和基于联邦学习的数据共享模型，进一步提升数据安全管理体系架构的可靠性和可用性。

关键词：大数据平台；数据安全；区块链；联邦学习中图分类号：B82-057文献标志码：A胡志达（中国电信股份有限公司天津分公司，天津300385）作者简介：胡志达（1987—），男，天津人，工程师，学士；研究方向：网络安全，数据安全。

江苏科技信息Jiangsu Science &Technology Information0引言随着云计算、5G 、物联网、人工智能等技术的快速发展和应用，产生数据的终端类型越来越多。

这些终端产生的数据类型也越来越多，数据在各行各业的应用价值越来越大。

为了保障数据的安全存储，数据中心逐渐成为数据保存和使用的重要场所。

当数据中心的建设越来越快，数据中心数据的安全管理存在数据传输不可靠性、数据采集途径复杂、数据丢失、数据泄露等方面的问题［1］。

为解决这些问题，科研人员已从多个方面进行了研究和探讨。

例如，为解决隐私信息被泄露的问题，陈天莹等［2］提出智能数据脱敏系统，实现了低耦合和高效率的数据脱敏功能。

为解决数据隐私保护中效率低的问题，黄亮等［3］采用云计算技术对数据安全保护的关键环节进行处理，提升了数据隐私处理的效率。

修正的HARQ加密方案第三方支付系统安全设计
沈荃;赵宇枫
【期刊名称】《科技通报》
【年(卷),期】2014(30)8
【摘要】引入云计算的虚拟化技术,提出一种修正的HARQ加密方案,利用群签名和椭圆曲线算法ECC提高加密协议的执行效率,根据上行CSI信息对重传分组自适应地选择冗余版本数,结合云计算的虚拟化技术建立一种基于修正的HARQ加密方案的可信云平台第三方支付方案,嵌入设计到第三方支付系统中,最后对方案的安全性和效率进行分析。

仿真实验表明,采用该算法进行第三方支付信息加密和支付系统嵌入设计,能够提供安全稳定的隐私保护和远程证明,支付平台通信效率提高,安全保护性较强。

能有效促进电子商务产业的安全发展。

【总页数】3页(P89-91)
【关键词】加密;云计算;第三方支付系统;电子商务
【作者】沈荃;赵宇枫
【作者单位】重庆科技学院工商管理学院;重庆工业职业技术学院
【正文语种】中文
【中图分类】TP393
【相关文献】
1.基于信源选择加密的视频会议系统安全方案设计 [J], 李伟;徐正全;徐彦彦;姚晔
2.全分集协作系统C-HARQ方案的设计及性能 [J], 师晓晔;葛建华;李靖;高洋
3.一种基于加密技术的银行网络系统安全方案 [J], 刘吉成;刘爱勇
4.视频监控系统安全传输复合加密算法设计 [J], 陶槊;王晓芳;陈滨
5.视频监控系统安全传输复合加密算法设计 [J], 陶槊;王晓芳;陈滨
因版权原因，仅展示原文概要，查看原文内容请购买。

得安:数字证书认证系统保障信息安全创新数字证书认证系统伴随着互联网的普及，诸多互联网应用如电子邮件、网上购物等得到了飞速发展。

有关数据显示，截至2014年底，中国网民规模达6.49 亿，互联网普及率为 47.9%，中国已经成为互联网大国。

伴随着互联网的飞速发展，信息安全也正在成为至关重要的关卡。

而今不论是电子邮件还是网上购物，它们都离不开一个重要的安全认证措施――数字证书。

数字证书就是网络通讯中标志各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，类似于司机的驾驶证或日常生活中的身份证，可在网上用于识别对方身份。

数字证书为实现双方安全通信提供了电子认证。

数字证书主要应用于以下五个方面：安全的电子邮件、安全终端保护、可信网站、代码签名保护、授权身份管理，从而保证邮件安全、保护用户终端和数据、鉴别钓鱼网站和假冒网站、验证软件供应商的身份以保护移动端APP安全、管理对实体（用户、程序）的授权。

一般情况下，证书包含一个公开密钥、名称以及证书授权中心的数字签名，证书中还包括密钥的有效时间、发证机关的名称、证书序列号等信息，证书的格式遵循 ITUT X.509国际标准。

可以看出，数字证书的关键作用在于信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。

通过CA这个权威的第三方机构认证后，互联网上可以建立起一种信任机制，信息交互双方都能确认对方/自己拥有合法的身份，并在网上能够有效无误地被数字证书进行验证。

得安数字证书认证系统采用双证书机制，利用PKI技术提供数字证书的签发、验证、注销、更新等功能，将个人信息或单位信息及密钥、密码算法集合在一起，提供在虚拟的互联网世界可用的“网上身份证”，简称CA系统。

数字证书认证系统平台分层设计，构件化开发，各模块可灵活增加或裁减，以便适应用户的不同需求；采用完整性验证、身份验证、权限分割机制、独立日志审计、自主高强度SSL 加密模块等措施来保障自身安全，保证系统内所有构件与构件之间的通讯数据满足数据的机密性（Confidentiality）、数据完整性（Integrity）、身份的真实可用性（Authentication）、授权的合法性（Authorization）和不可抵赖性（Non-repudiation）等要求。