信息化项目可研报告模板(第四章)
- 项目总体设计
- 设计思路
依托省数字政府,进行不动产统一登记信息平台顶层设计和统筹建设,通过对全省不动产存量数据和增量数据的梳理整合,建设全省统一的不动产登记数据库,实现对不动产数据的统一存储与管理;通过对全省各类不动产登记业务流程的规范统一,打造全省统一的内外网一体化不动产登记体系,建设省不动产统一登记信息平台,支撑省、市、县各级不动产业务办理人员使用,满足申请人跨省通办、省内通办、“一网通办、一网通管”、随时可办的不动产登记办理需求,全面提升不动产登记便民利民服务。
1. 设计原则1、遵循标准与规范的原则
本项目的实施,必须满足国家、省相关技术标准与业务规范的要求,结合目前和潜在的业务需求,进行项目实施。
2、充分利用现有资源的原则
本项目建设依托省数字政府,充分利用数字政府提供的网络、硬件环境进行实施,同时结合当前系统的信息数据、业务流程和人员操作习惯等,本着不重复建设、符合实际情况的原则进行平台建设。
3、先进性和适用性相结合
在系统设计上具有前瞻性。在保证系统经济性的前提下考虑系统的适度超前性,以确保在较长的时间内保持现有系统的先进性,保持良好的政府形象,使投资充分发挥效率。与此同时,还应当结合政务服务发展的实际情况,在保证实现系统建设目标的前提下,选择较高性能价格比技术和产品。
4、合理性和实用性相结合
结合实际的登记服务以及业务管理工作流程进行需求的分析,设计结构合理、功能实用、符合实际业务需要的系统。系统的设计以实用为主,以方便用户使用和维护为出发点。
5、开放性与标准性相结合
从系统架构到软件体系结构,都充分考虑系统的开放性。系统建设采用的软件平台、数据标准、开发技术应符合国家、地方和行业的有关标准与规范,并尽可能采用国际主流产品,采取开放路线,确保系统集成的可行性、良好的可扩充性。采用标准的数据描述语言以及标准的通信协议,适应以后的数据交换标准以及系统间互连的标准协议等。
6、易维护性和扩展性原则
可根据实际情况对系统软件进行灵活地配置和组合,能方便地进行功能的调整以及系统的升级、扩展,以适应业务的不断发展和更新。同时系统建设要充分考虑与现有其它应用系统的数据接口问题,尽可能保证系统的延展性。
7、安全性和可靠性原则
响应国家安可工程,结合国家政策文件及本地需求情况,满足今后不动产登记信息系统功能需求,实现国产化终端适配。能够支持跨平台操作系统,如LINUX操作系统等,能够兼容国产化浏览器,与国产化数据库能够实现无损转换,为后续安可工程实施提供基础条件。
1. 总体架构为满足全省不动产登记内外网一体化服务体系建设需求,依托省“数字政府”,建设全省不动产登记统一平台和统一数据库,基于“统一规划、统一标准、统一开发、统一使用”原则,进行平台总体架构设计,具体如图4-1所示:
图4-1 总体架构图
1. 逻辑架构全省不动产统一登记信息平台包括多个子系统,各系统之间的逻辑关系由不动产登记的业务流程串联,从业务申请到审核、再到发证归档,形成线上线下一体化的不动产登记业务办理流程。
不动产登记入口:通过“互联网+不动产登记”信息平台、不动产登记办理窗口,支持申请人进行登记申请、信息查询、纳税缴费等业务办理。
不动产业务审核:推送不动产登记申请信息至不动产登记业务办理系统,基于“数字政府”,获取不动产登记审核过程所需的其他部门共享数据,完成不动产登记业务的协同审批。
不动产数据管理:基于不动产档案管理系统、不动产查询与统计分析系统、二三维一体化管理系统,实现不动产数据管理。
不动产数据共享:基于“数字政府”,实现不动产登记数据与其他部门数据的共享交换,并充分利用区块链技术的可信、防篡改、可追溯技术优势,实现数据链上链下交互,保证数据安全,提高共享效率。
详细的逻辑架构如图4-2所示:
图4-2 逻辑架构图
1. 数据架构本系统采用面向对象的数据模型,全省不动产数据整合后,形成以权籍库、业务库、共享查询库、数据分析库为主的数据库基础体系,同时按照统一数据目录体系抽取为基础数据体系、监测数据体系、服务数据体系和业务数据体系,将数据库基础体系与数据目录体系相结合,以业务应用为驱动,通过数据仓库和数据集市技术抽取形成逻辑数据库,打造全省统一的不动产登记数据库服务体系,为省不动产登记提供统一的数据服务。
具体的数据架构如图4-3所示:
图4-3 数据架构图
1. 网络架构互联网与政务外网逻辑隔离,可通过双向网闸实现数据传输;政务外网与国土资源业务网物理隔离,可通过单向网闸实现政务外网至国土资源业务网的数据传输,通过离线摆渡方式实现国土资源业务网到政务外网的数据传输。
互联网:支持权利人进行登记申请、信息查询、纳税缴费等业务办理。通过“数字政府”系统,完成公安、民政、税务、司法等部门不动产登记信息共享。
政务外网:支撑全省不动产登记业务的审核、登簿、发证,与横向部门之间的协同共享,部署不动产登记业务办理系统、不动产档案管理系统、不动产查询与统计分析系统、不动产区块链系统、不动产登记数据共享系统、不动产运维管理系统。
国土资源业务网:支撑全省不动产权属调查、不动产测绘、基础地理等空间图形数据及审核业务,部署不动产权籍调查成果管理系统。
具体的网络架构如图4-3所示:
图4-3 网络架构图
1. 安全设计对照《中华人民共和国网络安全法》和《信息安全技术网络信息安全等级保护基本要求》的要求,本项目需要满足国家信息安全等级保护三级要求,在项目实施完成后需要由第三方安全测评机构进行独立测评,并出具测评报告。由于省不动产统一登记信息平台依托省数字政府建设,并且由数字政府统一提供的基础设施环境,因此物理安全、主机安全、网络安全由云平台提供,本项目只需要负责应用安全、数据安全。
1. 数据安全设计
根据数据的生命周期和虚拟化技术特点,构建从数据访问、数据传输、数据存储到数据销毁各环节的云端数据安全框架,保证云平台数据的安全性。
1、数据完整性:在互联网服务区部署应用防火墙,通过防火墙提供的Web防护功能,实现网页防篡改,以确保应用数据页面的完整性;通过使用可控的校验方法确保数据的完整性;传输过程的完整性受到损坏则采取数据重传的机制;对于存储的数据则应采取多个备份的方式,防止单一数据损坏造成的损失。
2、数据保密性:系统提供对重要数据的加密存储的功能,通过加密的手段将数据存储于数据库的表中,对于文件数据则通过文件加密的方式存储,防止信息泄露。
3、数据可用性:建立容灾备份机制,确保系统数据在本地和异地都进行备份,一旦发生灾难或重大安全事故,能够快速有效的对系统进行恢复,并保障数据的可用性。
1.
1. 数据访问控制用户访问云端资源需通过控制台进行日常操作和运维,用户与云产品对应关系采用加密算法对实现身份抗抵赖。管理人员的平台运维操作权限经过多层安全审批并进行命令级规则固化,违规操作实时审计报警。
1.
1. 数据安全传输针对用户个人账户数据和云端生产数据两种不同的数据对象,分别从客户端到云端、云端各服务间、云服务到云服务控制系统三个层次进行传输控制。云端存储支持服务器端加密并支持客户端密钥加密数据后云端存储。
1.
1. 数据安全存储云服务控制系统依据不同用户ID隔离其云端数据,云存储依据客户对称加密对进行云端存储空间访问权限控制,保证云端存储数据的最小授权访问。系统提供对重要数据的加密存储的功能,通过数据加密存储,防止数据被他人非法窥探。加密算法采用国产自主可控的加密算法,保障数据信息的安全性。
在加密密钥管理方面,应采用集中化的用户密钥管理与分发机制,实现对用户信息存储的高效安全管理与维护。同时,为防止系统管理员非授权访问用户数据,需要规范管理,将系统管理员和密钥管理员权限分离:
1、密钥管理员仅具有管理用户密钥的权限,不具备访问系统的权限,无法基于密钥进行数据访问;
2、系统管理员可以访问系统,但不具备密钥管理功能,无法获得密钥,从而无法进行非授权访问。
1.
1. 数据库安全审计数据库安全审计系统采用在数据库服务器商安装数据库代理的方式,对访问业务系统数据库,运维操作数据库,虚拟机间、云租户间访问数据库等所有数据访问行为进行安全审计,对数据查询、修改、删除和下载数量进行实时监控,并结合敏感数据访问的用户、来源、工具和时间等进行监控和及时告警。审计数据通过网络传输至安全资源池中的数据库审计系统,完成对数据库访问行为的详细审计过程。租户可根据自身应用系统的实际情况,选择数据库安全审计服务。
1.
1. 数据备份
1. 存储备份目标1、计算机数据的全自动备份
(1)使数据备份工作形成制度化、科学化。
(2)增加备份效率,压缩备份时间。
(3)减少系统管理员的工作量。
(4)消除备份工程中因操作不当导致的严重损失。
(5)实现数据库数据的高效在线备份。
在当前计算机环境下,一些支撑企业运作的计算机应用系统数据库已经无法关闭,而需要24小时工作,因此如何在数据库开启状态下进行高效的在线备份是计算机数据管理的一个难点。
2、对介质的有效管理
(1)增加软件限制,防止读写操作错误。
(2)保留介质内容的电子记录。
(3)对数据形成分门别类的介质存储,使数据管理更加细致、科学。
(4)自动校验介质,确保介质上的数据安全无误。
3、实现数据的集中管理
按备份服务器形成数据中心,对各种应用系统及其它信心数据形成集中备份,减少每个应用业务人员负担,免除客户端备份的投资。形成数据管理策略,保证全系统一致的数据安全性。业务人员可容易地自动恢复文件的误删除。维护人员可以自动恢复损坏的整个文件系统。
4、建立历史数据归档
(1)留大量历史数据的电子介质。这些资料可能往往被认为近期无用而随意处理甚至丢失,而数年后可能成为单位最宝贵的资源。
(2)有规律的归档还将清楚系统中被占用的空间,以保证主机处于常运行状态,防止硬盘过满带来处理效率降低甚至主机死机的灾难。
(3)保留必须长期保留的重要数据。
(4)支持灾难恢复计划
(5)小到数据库破坏,大到火灾、地震等灾难发生时,进行有效处理。
(6)有效保护用于灾难恢复的数据。
1.
1.
1. 备份与恢复策略1、备份策略的制定
每日备份数据库系统的数据部分,在周一到周五对数据库作差量备份,在周六对数据库作全备份;在差量备份之间作一次或者多次的LOG备份。这样就可以在发生故障的时候快速有效的进行恢复。
2、恢复策略的制定
当服务器发生系统或者是硬件故障时,可以通过这个功能快速地恢复服务器的系统及相关的应用。当数据库发生故障时,可以通过最近的备份进行恢复,使数据恢复到最近的状态,如全备份增量备份等。
1.
1. 数据安全销毁云平台采用清零手段在用户要求删除数据或设备在弃置前将其所有数据彻底删除。针对云计算环境下因大量硬盘委外维修或服务器报废可能导致的数据失窃风险,数据中心应全面贯彻替换磁盘每盘必消、消磁记录每盘可查、消磁过程每天可溯的标准作业流程,强化磁盘消磁作业视频监控策略,聚焦监控操作的防抵赖性和视频监控记录保存的完整性。
1. 应用安全设计
1. 应用安全功能设计
为保障系统的应用安全,不仅需要通过平台所提供的应用层安全防护措施,还应在系统开发设计过程中,完善系统自身的安全功能,提升系统自身的安全防护能力。系统在开发过程中,将实现身份鉴别、权限控制、输入输出校验、日子记录等安全功能,确保系统能够更好的防范SQL注入、XSS、跨站请求伪造等常见应用层安全攻击。
1.
1.
1. 身份鉴别对系统用户进行身份鉴别是保障应用系统安全的重要手段,也是防止非授权访问的一道重要防线。应用系统的身份鉴别模块在设计过程中充分考虑自身的安全需求和国家相关的合规监管要求,通过采用统一身份认证系统实现以下安全功能:
1、密码复杂度
制定了密码复杂度策略,对用户登录密码的长度、密码元素组成进行严格要求。并且,对使用默认密码初次登录系统的用户,强制要求登录后修改密码。
2、登录失败处理
为防止对用户账户的暴力破解,系统将在身份鉴别模块中采取登录失败锁定的措施,对多次登录失败的账户进行一定时间的锁定。
3、验证码
系统身份鉴别模块通过提供验证码功能,防范系统被撞库、恶意注册之类的安全风险,同时,为了保障验证码自身的安全,对验证码设置了有效期、错误次数的限制。
4、错误提示
系统在用户输入错误的用户名或密码时,将使用一致的错误返回信息,如:“错误的用户名或密码”。
5、双因素认证
对于系统后台管理的用户,在登录时还要求采用双因素认证,用来进一步保障系统的安全。
1.
1.
1. 授权应用系统通过开发用户授权模块防止越权访问的风险,系统权限在保证系统管理员、系统审计员、系统普通用户三权分立的基础上,还能够根据不同的用户岗位、职责授予不同的用户权限,用户的授权满足以下原则:
1、按岗分配原则
系统按实际业务需求或操作需要设置岗位和岗位组合(或用户组)。具体设置时,在满足业务需求和风险控制前提下,设置最少数量的岗位。用户分配根据其业务或操作需求,分别属于一个或多个岗位(用户组)。
2、最小化原则
根据岗位定义,以满足业务需要为前提,赋予每个岗位完成所需工作的最小权限或权限组合。系统权限的分配可基于组、角色、用户、文件等不同颗粒度。
3、权限制约原则
相互排斥的权限不应赋予同一组、角色、用户等。
4、权限抽象原则
除了传统系统权限中的“读”、“写”、“执行”以外还支持抽象权限,如:定义角色、定义权限等,使设置角色的最小权限集和互斥权限更加灵活。
1.
1.
1. 输入输出校验系统通过采取输入输出校验的措施尽可能降低系统存在注入类漏洞的风险,具体措施如下:
1、验证来源不可信的输入数据
对所有来源不在可信范围内的输入数据进行验证,包括HTTP请求消息的全部字段,包括 GET数据、POST数据、COOKIE和 Header数据、不可信来源的文件、第三方接口数据、数据库数据等。
2、设计多种输入验证方法,输入验证的方法包括如下:
检查数据是否符合期望的类型;
检查数据是否符合期望的长度;
检查数值数据是否符合期望的数值范围;
检查数据是否包含特殊字符,如: <、>、 "、 '、%、(、)、&、+、\、'、"等;
使用正则表达式进行白名单检查。
3、服务器端和客户端输入校验
建立统一的输入验证接口,为整个信息系统提供一致的验证方法。
(1)规范化处理
对输入内容进行规范化处理后再进行验证,如文件路径、 URL地址等,需要规范化为标准的格式后再进行验证。
(2)关键参数
关键参数均从服务器端获取,禁止从客户端输入。
(3)输出数据处理
根据输出目标的不同,对输出数据进行相应的格式化处理:向客户端回写数据时,对用户输入的数据进行 HTML编码和 URL编码检查,过滤特殊字符(包括 HTML关键字以及 &,\r\n,两个\n等字符)。
(4)注入防范
进行数据库操作的时候,对用户提交的数据过滤’;—等特殊字符;
当使用XML文件格式存储数据时,若使用Xpath和XSLT功能,过滤用户提交数据中的<> / ' = " 等字符。
(5)信息泄露防范
向用户返回的信息应为其职责范围所需掌握的信息,防止非必须要信息的泄露。
1.
1.
1. 会话管理在web应用里面,会话管理的安全性始终是最重要的安全问题之一,其对用户的影响极大。系统为保障会话管理的安全,采取了一下措施:
1、认证后新建会话
在用户认证成功后,为用户创建新的会话并释放原有会话,创建的会话凭证应满足随机性和长度要求避免被攻击者猜测。
2、会话数据存储安全
用户登录成功后所生成的会话数据均存储在服务器端,并确保会话数据不能被非法访问。更新会话数据时,对数据进行严格的输入验证,避免会话数据被非法篡改。
3、会话数据传输安全
用户登录信息及身份凭证均加密后进行传输。如采用 COOKIE携带会话凭证,必须合理设置 COOKIE的Secure、Domain、Path和 Expires属性。如采用HTTP GET方式传输会话凭证,禁止设置过于宽泛的 Domain属性。
4、会话终止
当用户登录成功并成功创建会话后,在信息系统的各个页面提供用户退出功能,并在用户退出时注销服务器端的会话数据。当处于登录状态的用户关闭浏览器时,提示用户执行安全退出或者自动为用户完成退出过程。
5、会话存活时间
设计合理的会话存活时间,超时后自动销毁会话,并清除会话的信息。
6、跨站请求伪造(CSRF)防护
在涉及到关键业务操作的页面时,为当前页面生成一次性随机令牌,作为主会话凭证的补充,并在执行关键业务前,检查用户提交的一次性随机令牌。
7、会话加密
通过使用SSL/TLS加密的传输信道来保障会话数据的传输安全,加密算法采用国密算法或强度足够的国际加密算法,并保障好秘钥的安全。
1.
1.
1. 参数操作针对操作参数的攻击是通过更改在客户端和 Web应用程序之间发送的参数数据实现,包括查询字符串、form字段、 cookie和 HTTP标头。主要的操作参数威胁包括:操作查询字符串、操作窗体字段、操作 cookie和操作 HTTP标头。因此,为防范操作参数攻击,系统采取了以下安全措施:
1.避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数;
2.使用会话标识符来标识客户端,并将敏感项存储在服务器上的会话存储区中;
3.采用HTTP POST的方式提交数据;
4.加密查询字符串参数;
5.不信任http头部信息;
1.
1.
1. 异常管理异常信息一般包含了针对开发和维护人员调试使用的系统信息,这些信息将增加攻击者发现潜在缺陷并进行攻击的机会。因此,系统在异常管理方面采取了以下安全措施:
使用结构化异常处理机制;
使用通用的错误信息,程序发生异常时,向外部服务或应用程序的用户发送通用的信息或重定向到特定应用网页,并向客户端返回一般性错误消息;
通信双方中一方在一段时间内未作反应,另一方自动结束回话;
程序发生异常时,在日志中记录详细的错误消息。
1.
1.
1. 配置管理应用系统配置文件的安全是保障系统安全的基础之一,采取以下措施保障系统的配置文件安全:
对服务器进行安全加固,防止web目录的配置文件因服务器漏洞导致泄露;
避免以纯文本形式存储重要配置,如数据库连接字符串或账户凭据等;
通过加密确保配置的安全,并限制对包含加密数据的注册表项、文件或表的访问权限;
对配置文件的修改、删除和访问等权限的变更,均须通过验证授权并且详细记录;
避免授权账号具备更改自身配置信息的权限。
1.
1.
1. 日志审计日志审计是用户访问信息系统时,对用户登录行为、业务操作以及系统运行状态进行记录与保存,以保证操作过程可追溯、可审计的一项措施。同时,日志审计也是保障系统安全的一项重要措施,综合系统自身的安全需求和国家安全合规监管要求,系统日志审计将采取以下保障措施:
事件记录
系统日志将对以下事件进行记录:
审计功能的启动和关闭;
信息系统的启动和停止;
系统配置变更;
访问控制信息,比如:由于超出尝试次数的限制而引起的拒绝登录,成功或失败的登录;
用户权限的变更;
用户密码的变更;
用户试图执行角色中没有明确授权的功能;
用户账户的创建、注销、锁定、解锁;
用户对数据的异常操作事件,包括:不成功的存取数据尝试、数据标志或标识被强制覆盖或修改、对只读数据的强制修改、来自非授权用户的数据操作、特别权限用户的活动。
1.
1. 应用接口API安全设计本系统建设包含了多个API接口来实现不同应用间的交互,在API的设计过程中,为了防止接口被大规模调用消耗系统资源,影响系统的正常访问,甚至系统瘫痪,数据泄露、数据被篡改等安全风险,在API 设计时将采取以下的安全措施。
1.
1.
1. API鉴权同一个接口被多个系统调用时,对调用者进行鉴权;
当连续多次鉴权失败后,强制锁定用户ID或APP_KEY;
通过一定时长的账户锁定防止暴力破解猜测鉴权信息;
1.
1.
1. 访问控制使用特定的标识进行访问控制,如:APP_KEY;
在不可信的网络环境使用安全的通讯方式调用接口。
1.
1.
1. http安全只使用HTTP POST请求传输鉴权的凭据信息。
1.
1.
1. 安全配置接口支持设定哪些ID允许调用;
接口支持设定允许哪些IP地址调用,支持黑白名单;
接口支持设定在哪些时间段内允许调用。
1.
1.
1. 权限控制对API访问进行权限控制,防止越权访问数据,例如:A用户访问到B用户数据;
对API调用者进行类别或组权限控制,禁止出现A业务的用户访问B业务的数据;
控制API调用频率,如对每个ID一小时最多请求次数进行限制。
1.
1.
1. 凭证安全基于应用场景设置凭证的有效期;
对API采用签名或摘要等方式实现接口安全;
不允许同一用户ID的并发登录;
为服务器端的操作执行标准的凭证管理,如通过在每个凭证中使用强随机数或参数来进行管理。
1.
1.
1. 输入校验接口对提交的参数进行严格校验,如:数据类型、字符范围、字符长度等;
接口将限制未经处理的参数直接带入SQL查询语句或系统命令。
1.
1.
1. 输出编码或转义当返回数据可能用于客户端浏览器时,API将对输出数据进行编码或转义,防止出现跨站脚本攻击漏洞;
请求数据与返回数据保持同一种字符编码,如:UTF-8,GB2312等。
1.
1.
1. 数据通讯与加密API传递数据过程中,对传递的数据加密,防止非授权的访问;
传输数据时使用ssl等加密措施;
为防范对随机数据的猜测攻击,接口将使用加密模块中已验证的随机数生成器生成所有的随机数、随机文件名、随机GUID和随机字符串。
1.
1.
1. 错误处理通过严格的权限控制,防止应用接口返回非业务范围内的信息;
防止在错误响应中泄露敏感信息,包括:系统的详细信息、标识符或者账号信息;
使用通用的错误消息并使用定制的错误页面,以避免显示调试或堆栈跟踪信息,如:语法错误、组件调用失败或数据库连接状态等。
1.
1.
1. 日志审计对系统的API应开启审计,审计内容应包含如下信息:时间、API名称、请求来源IP、请求用户的ID、请求行为、结果状态码(成功/失败)、严重度等;
记录连接无效或者已过期的令牌尝试;
在日志记录中,为防止因日志记录导致的系统敏感信息泄露,将避免在日志信息记录敏感信息,如因个别业务开展必须记录的,将对敏感信息进行脱敏展示;
通过加密哈希功能以验证日志记录的完整性。
1.
1. 应用安全防护措施应用安全防护措施主要体现在Web安全上。Web 安全包括两个方面:一是Web应用本身的安全,即利用Web应用漏洞(如SQL 注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞)获取用户信息、损害应用程序,以及得到Web 服务器的控制权限等;二是内容安全,即利用漏洞篡改网页内容,植入恶意代码,传播不正当内容等一系列问题。因此,在设计系统应用层的安全防护措施时,既要考虑对保障应用系统正常运行、防止信息泄露等提供防护,也要考虑防止系统网页出现不当的政治言论、淫秽信息等。
Web 应用形式多种多样,其防护也是一个复杂问题,可采取网页过滤、反间谍软件、网页防篡改、Web 应用防火墙等防护措施,同时加强安全配置,如定期检查中间件版本及补丁安装情况,账户及口令策略设置,定期检查系统日志和异常安全事件等等,解决Web 应用的主要隐患和问题。
1.
1.
1. Web防篡改Web防篡改为主机版WEB应用防护系统,能够确保支持所有主流的操作系统(包括Windows、Linux、FreeBSD、Unix(Solaris、HP-UX、AIX、SGI))以及常用的WEB系统(包括IIS、Apache、SunONE、J2EE(Weblogic、WebSphere、Tomcat、Resin)等)。
采用WEB服务器核心内嵌技术,基于智能特征分析技术,对网页篡改所采用的主要攻击手段(如WEB Shell、非法上传、SQL注入及XSS)进行检测并做有效阻断,有效防护对动态内容的篡改,设置第一道防线;应用增强型内核层文件保护技术,保护策略设置的目标文件不被非法进程修改,提供第二道防线。
事后,Web应用防护系统提供事后补偿机制,确保WEB网站不响应被篡改内容并进行文件自动恢复。
1.
1.
1. Web漏洞检测应用漏洞扫描系统功能如下:
1、全方位多层次检测
从设计网站安全的各个方面来对网站安全状况做出最全面的评估,包括:系统补丁、危险插件、代码审计、恶意网站、SQL注入、跨站注入、管理入口以及敏感信息等等。
2、本地安全检查
如果说远程SQL注入扫描、跨站漏洞扫描等是针对网站代码进行外部的黑盒测试的话,那么网站代码的安全检查就是针对网站代码进行全面直接的检查,WEB扫描可针对网站代码进行本地安全检查,找到SQL注入、跨站漏洞、网马等一系列安全问题。
3、覆盖面最广的漏洞库
扫描系统可扫描的漏洞覆盖了当前网络环境中重要的、流行的系统和数据库漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。
4、漏洞信息的准确识别和判断
扫描系统采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。
5、强有力的扫描效率保证
扫描系统综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成
1.
1.
1. Web安全监控近些年来,超过70%的攻击都来自于Web攻击,Web安全类事件也呈现出逐年增加的趋势。一系列的数据显示,传统的Web安全防护与监测已经难以应对当前形势,Web安全的常态化监测、预警与态势分析已经是Web安全的当务之急。
基于Web的管理方式,用户使用浏览器通过SSL加密通道和系统进行交互,方便用户管理。采用模块化设计,整个系统可分为:基础数据挖掘层、监测能力层、集群调度层、UI交互界面。
系统24小时不间断进行Web系统安全监测,不会放过任何一个被黑站点,实时发现高危漏洞,具有大数据集中可视化展示能力,智能分析,及时高效。
1.
1.
1. Web安全防护由于省数字政府涉及单位多,原业务应用开发商技术水平不一,必然会存在Web应用安全漏洞,极易导致Web安全攻击事件的发生,而Web攻击可导致的后果极为严重,通过常见的Web攻击手段将一个合法正常网站攻陷,利用获取到的相应权限在网页中嵌入恶意代码,将恶意程序下载到存在客户端漏洞的主机上,从而实现攻击目的。而现有的防火墙、IPS等防护措施无法做到精准的Web应用防护,因此,云平台有必要部署专业的Web应用防护措施。
WAF通过对进出Web服务器的http流量相关内容的实时分析检测、过滤,来精确判定并阻止各种Web应用攻击行为,阻断对Web服务器的恶意访问与非法操作,如SQL注入、XSS、Cookie篡改以及应用层DoS攻击等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题。
1. 关键技术 互联网公安部身份验证
通过互联网直接接入公安部信息系统,采用公安部为不动产登记行业提供的全方位、最具权威的公民身份安全验证服务,为不动产查询、登记、全流程信息安全、财产安全保驾护航。
1. 数据加密技术
信息系统采用数据加密技术实现计费、用户身份和鉴权口令、用户资源等关键信息的加密传输或加密存储。
数据加密与传输加密主要有两个方面的要求,分别是:
1、网络传输加密:网络传输加密可以选择在链路层、IP层、传输层实现,采用网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性,以实现安全目标。
2、数据安全加密:根据系统的安全需求和具体的安全策略,遵循安全协议,逐步采用安全加密技术提供的安全服务,构建安全保密系统,保证核心数据的保密性、完整性和可信性。
1. 应用工作流技术实现流程再造
工作流技术主要是面向具有特定流程性特点的业务提出的一个自动化实现模型,实现业务流程自动化、创建无纸化办公环境、快速进行流程再造提供了崭新的思路,其目的是提高业务的处理效率、降低成本、控制业务处理的进程和质量。省不动产统一登记信息平台具有典型的流程性特点,而且在不同的地区具有多样化特点,在办理不动产登记业务时需要应用工作流技术进行流程再造。
1. HTTS保密协议技术
即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL,该技术使用SSL加密后的超文本传送协议,通过提供安全证书,浏览器都可以支持这种协议下的网络文档,对通过网络传输的原始数据进行安全保护,防止数据在传输过程中被截获,造成敏感信息泄密或者被窃取。
1. Webservice技术
Web service是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的互操作的应用程序。
Web Service技术,能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件,就可相互交换数据或集成。依据Web Service规范实施的应用之间,无论它们所使用的语言、平台或内部协议是什么,都可以相互交换数据。Web Service是自描述、自包含的可用网络模块,可以执行具体的业务功能。Web Service也很容易部署,因为它们基于一些常规的产业标准以及已有的一些技术,诸如标准通用标记语言下的子集XML、HTTP。Web Service减少了应用接口的花费。Web Service为整个企业甚至多个组织之间的业务流程的集成提供了一个通用机制。
1. 可扩展性技术
省不动产统一登记信息平台可扩展性设计从三个方面开展,首先基于微服务,建设高扩展性GIS服务架构;其次利用先进的技术,建设易扩展的不动产数据中心;最后,利用共享交换技术,实现不动产登记并联办理的易扩展性。
1、基于微服务,建设高扩展性GIS服务架构
微服务架构是一种架构模式,其基本思想可以概括为:将应用封装为多个服务,服务按进程隔离。服务各自独立部署在不同的进程中,那么其横向扩展就可以通过直接在其他服务器或计算资源上按需部署服务来实现。如果某一不动产登记业务服务有高并发需求,则直接将该服务分发至其他服务器。这种服务独立部署、基于服务的横向伸缩特点,更加集约地利用了资源,在同样的计算环境下,可实现更高的可用性。
微服务在框架层面解决了自动化弹性部署、负载均衡、服务发现、服务容错、监控报警、进程通信等问题,确保不动产登记业务稳定运行。微服务框架如图4-4所示:
图4-4 微服务总体框架
如图所示,相对单体架构微服务架构更适合用于计算密集的GIS服务,且更容易实现动态伸缩。
在省不动产登记内外网一体化平台中,平台层与层之间的调用,各层对外提供访问接口,均以服务的方式实现,涉及的服务及功能种类众多。本项目采用微服务思想构建相关服务及应用,并基于内核虚拟化技术进行独立分布式部署。通过微服务框架的各个组件协同配合实现服务治理。
在服务的划分方面,按照不动产业务应用场景分类,GIS信息支撑服务包含标准OGC服务、空间基础信息服务、GIS数据通用分析服务和GIS数据专题分析服务等几大类服务。因此在该平台中,微服务按照功能纵向划分和按照服务实例横向划分两种结合使用。
按照服务功能纵向划分,即直接将不同功能封装为不同服务,然后按进程隔离服务,如数据服务、地图服务,并分别部署在不同的进程中。
按照服务实例应用范围、方式横向划分,即根据对某个功能模块按照使用者的不同部门划分为不同的服务,然后进行隔离部署。
2、利用共享交换技术,实现不动产登记并联办理的易扩展性
为深入贯彻落实《国务院办公厅关于压缩不动产登记办理时间的通知》(国办发〔2019〕8号)要求,不动产统一登记工作的最终目标是要实现“一窗受理、并行办理”,这就要求不动产登记信息要在包括公安、自然资源、税务等多个部门与不动产登记有关的所有行业部门之间实时共享交换,从而创新不动产登记工作的管理和服务模式,最终方便群众办事、提升服务效能。共享交换包括数据交换、信息整合、数据共享、实时互通共四个部分。
1. 组件化技术
针对省不动产统一登记信息平台的整个业务模式和IT环境,在充分考虑到系统扩展性的要求基础上,系统架构应设计多层的体系结构模型。层按服务功能粒度大小顺序将系统分解成若干层次,每一层次包含若干功能以及实现这些功能的软件和硬件。某个层次上的任意一个服务,只能使用更低层次的服务或本层次的其它服务,不能使用更高层次的服务。按照这种模型来组织整个工程信息系统,可以降低工程信息系统内各个系统间的依赖关系,使系统以更松散的方式耦合,从而更易于建设、维护和演进。
1. 微服务技术
分布式微服务技术架构主要分为以下几个层次:
1、web服务层
为公众访问提供统一web入口,反向代理路由网关。
2、路由网关集群
通过路由网关提供服务路由、权限控制、身份认证等功能,并对外提供统一REST API。路由网关为微服务架构提供前门保护作用,同时将权限控制这些较重的非业务逻辑内容迁移到服务路由层面,使得服务集群主体能够具备更高的可复用性和可测试性。
3、服务总线
在本系统内部多个微服务之间实现跨服务跨协议的服务能力互通。各个微服务以发布、订阅服务API的形式相互开放,并对服务API进行统一管理和组织,围绕API互动,实现系统内部各微服务之间业务能力的融合、重塑、和创新。
4、业务服务集群
基于流程架构、业务架构、技术架构,分析、识别定义服务,将平台划分为不动产登记业务服务群、其他业务服务群等微服务,每个服务实现多节点部署,实现负载均衡及高可用。
5、服务配置监控
服务配置是微服务架构中最核心最基本的模块。用于实现各个微服务实例的自动化注册与发现。服务注册:在服务治理框架中构建一个注册中心,每个服务单元向注册中心登记自己提供的服务,将主机和端口号、版本号、通信协议等一些附加信息告知注册中心,注册中心按服务名分类组织服务清单。服务注册中心还需要以心跳的方式去监测清单中的服务是否可用,若不可用,需从服务清单中剔除,达到清楚障碍的目的;服务发现:服务的调用通过向服务名发起请求调用实现。调用方向服务注册中心咨询服务,并获取所有服务的实例清单,实现对具体服务实例的访问。
6、接口服务
通过API网关、数据资源共享交换平台对接业务部门系统、网办数据库、网厅公共服务平台、数据资源共享交换平台的系统,获取业务运行所需的业务数据、公共能力等。
7、数据服务层
包括关系型数据库、内存数据库、分布式文件数据库以及消息队列。其中:
(1)关系型数据库:关系型数据库集中存储业务数据,在满足并发性能要求的同时,关系型数据库也充分考虑了事务的一致性。通过索引、表分区等方式,满足高并发的性能要求;
(2)内存数据库:以高并发高性能为目标,在事务性方面没有那么严格的要求。内存数据库主要存储用户需要经常访问且不会频繁更改的数据,通过将这些数据缓存至内存数据库,既提高系统的访问效率,又降低频繁访问关系型数据库带来的瓶颈压力,内存数据库同时与关系型数据库保持数据更改的一致性。
(3)分布式文件数据库:基于分布式文件数据库实现文件的分布式处理,主要用于对业务办理过程中产生的套打文件、附件等大数据文件的存储。
具体如图4-5所示:
图4-5 微服务架构
1. 区块链技术
1. 多链分片
1、多链分片的体系结构
利用多链分片技术根据业务需求对数据做切分,横向提高区块链的吞吐量。多链分片技术是一种“二层扩容技术”,可从一条主链平滑地扩展多条子链,每条子链都负责部分计算和存储业务,即链的数量可以随着业务量和数据的增加而增加。主链负责管理子链,保障链的安全性;子链继承主链的安全性,并且承载业务运行,子链的数据增长不会影响到主链及其他子链的效率,有效实现了资源隔离。具体如图4-6所示:
图4-6 并行多样的多链分片
多链设计了主链与子链双层体系,让区块链更容易扩展。多链将不同业务的交易处理、状态存储、交易下载和广播进行拆分,不同子链的节点处理各自的业务。多链包括两种类型的链,一种是主链Main Chain,负责子链验证节点选取、子链区块提案人选取、子链状态存储、恶意行为惩罚等;一种是子链 Child Chain,可以存在多个子链,根据不同业务特点搭建不同子链。不同类型、不同业务的主链与子链体现出多态特点。
多链还设计了多层体系化安全保证机制:在子链验证节点选举过程中采用混洗等机制,使得验证节点在子链的分布均匀化、随机化;设计了可校验的主链子链关键数据关联机制,在不提取子链全部数据的前提下,即可校验子链数据合法性;设计挑战者机制和子链区块确认机制,有效抵御贿赂攻击、恶意提交等攻击行为。
2、多链分片的防重放攻击
为了防止重放攻击,多链提出了统一账号,只需要一个账号就能在多链之间发送交易以及转移资产。在多链场景下,理论上攻击者可以将同一份交易分别发送给不同的链以获取不当利益,从而形成多链之间的重放攻击。用户去查询账户信息时,仅需一个账号就能看到所有链的资产信息,使得重放攻击无法开展。
具体如图4-7所示:
图4-7 防重放攻击示意
上图展示了防重放攻击的过程:普通用户A 发送交易,比如交易为Tx-1,内容为A转移10个资产给B。A对交易Tx-1进行签名,随后将交易发送给Main Chain。Main Chain通过Unified Identity—0x1000识别出这是发给自己的交易,因为只有Main Chain的id为0x1000,则打包交易Tx-1。
Hacker截取该交易并尝试重放攻击。Hacker 拷贝 Tx-1这笔交易并发送到Chain N,Chain N通过Unified Identity:0x1000识别出Chain N的id不是0x1000,判定该交易是无效交易。
3、挑战者机制设计
在挑战者机制设计中,挑战者对子链进行监督,一旦发现子链提交的区块数据存在问题,即可向主链发送抵押金对子链发起挑战,并提交SPV信息用于演算校验。由于子链验证节点抵押了大量押金,一旦Challenger挑战成功,则恶意节点的验证节点押金将奖励给挑战者。通过这种激励方法鼓励所有节点参与子链监督。
如果恶意节点通过贿赂攻击方式攻击子链,则需收买该子链的所有验证节点或行贿挑战者,下面分别进行分析。首先是收买子链验证节点的情况,假设总的贿赂金为ε,则ε至少为验证节点的质押金之和Pt,否则验证节点没有作恶动机。其次是行贿挑战者情况,恶意节点需要找到所有的挑战者,考虑到任何一个节点都可以充当子链的挑战者角色,并且挑战者的奖励是Pt,挑战者有足够的动力去挑战,因此恶意节点很难对子链发起贿赂攻击。具体如图4-8所示:
图4-8 挑战者机制原理
多链挑战者工作过程如下:
(1)挑战者发现当前同步的区块出现异常,同时发现主链已经收录此次区块信息,挑战者发起对异常区块的挑战。
(2)挑战者将上一个区块的状态数据和此次交易数据打包组成SPV证明数据发送给主链合约去进行校验。
(3)主链验证节点进行轻节点演算过程成功后,重新到子链中下载相关的SPV数据进行比对校验。
(4)校验正确表示挑战成功,之后对该子链的验证节点保证金进行惩罚,并奖励Challenger。
(5)主链确定提交的区块数据无效后,启动取消后续区块确认的过程,子链区块头确认在最后一个安全的区块头位置,直到重新提交正确区块信息,保证子链恢复健康运行。
1.
1. 同构/异构跨链互操作提供多种模式的跨链技术。跨链协议支持“基于多公证人机制”和“基于可信硬件机制”的主流模式。开发者可以先建立一条Relay Chain,利用SPV技术适配其他业务链,其次按照业务需求搭建平行链,平行链将按照预设的跨链协议对接到Relay Chain,从而与其他链进行互联互通,这样不仅可降低跨链架构复杂度,而且更灵活、更契合实际业务场景,支持同构及异构跨链,不仅支持数字资产的跨链转账,也支持智能合约、分布式应用之间的跨链操作。具体如图4-9所示:
图4-9 可扩展的同构/异构跨链互操作
从跨链技术架构图可以看出,架构主要包括RelayChain(中继链)、Parallel Chain(平行链)、可插拔组件。中继链由多个验证节点组成,验证节点负责维护整个区块链安全稳定的运行,使用较高TPS的共识算法有效提高跨链的效率,满足平行链跨链对性能的不同要求。平行链是所有参与接入跨链生态的同构/异构区块链,可以是各种公链、联盟链、私链等。可插拔组件是中继链和平行链的桥梁,实现平行链/中继链与平行链互联互通跨链通信。跨链技术是以高性能共识的中继链为核心的跨链网络结构以及平行链动态接入机制,使用可插拔组件作为跨链的桥接器,保证跨链技术的高效性、扩展性和安全性。
中继链跨链平台设计了安全的注册机制,保证注册的平行链是可控有效的。首先任一条想加入跨链平台接入中继链的平行链,都需要通过抵押的方式在中继链的注册合约中发起注册提案,共识完成后会给该平行链分配唯一的链ID标识。中继链也可以通过多个节点投票的方式注销恶意注册的信息,拒绝所有该恶意平行链信息的跨链请求。
可插拔组件使用了两种跨链方式公证人模式和可信硬件模式。两条平行链可以通过公证人组件进行跨链操作,如果需要与更多平行链进行跨链操作使用中继平台是最好的选择。使用可信硬件组件+中继链的跨链组件能最大提高跨链的灵活性、安全性,可信硬件组件包含中继节点程序和SGX部分,负责跨链交易的可信计算签名和链间信息的转发。
1、平行链注册
平行链需要跨链首先必须在中继链里注册。中继链的RMC合约负责平行链注册等管理,平行链的跨链申请者需提供平行链AMC资产管理合约地址、已在中继链部署的平行链SPV合约地址、平行链描述信息等。流程如图4-10所示:
图4-10 平行链注册过程
(1)平行链申请者在中继链中创建平行链的Proof合约,获取合约地址。
(2)申请者在平行链上创建AMC合约用于跨链交易处理。
(3)申请者向中继链的注册合约提交注册信息,包括AMC合约地址信息和Proof合约地址信息等。
(4)中继链共识完成后生成唯一的链ID分配给此平行链。
2、公证人模式
使用公证人模式的可插拔组件可以看到,链间是通过公证人来监听交易的。公证人账户首先需要向平行链的AMC合约进行注册,平行链合约管理员授权公证人的接入承担跨链消息的转发。跨链交易产生之后,所有公证人都会监听并获取相关的跨链信息,分析并验证交易的正确性。之后公证人便将跨链数据进行签名并发送交易到另一条链的相关跨链合约中。多个公证人转发消息后,合约内部使用BFT(Byzantine Fault Tolerance)的算法共识跨链提案信息,只有达到一定公证人签名数量后跨链交易的合法性才会被确认。通过BFT算法保证了提案的正确性,即使少数公证人被攻击或者作恶都不会影响跨链系统的正常运行。具体如图4-11所示:
图4-11 公证人流程图
3、可信硬件模式
跨链技术可插拔组件借助于SGX技术,Software Guard Extensions是一组指令,该组指令增强应用程序代码和数据的安全性,为它们提供更强的保护以防泄漏或修改。开发人员可将敏感信息分区进入Enclave中,Enclave是内存中具有更强安全保护的执行区域。
网关节点-可信硬件模式通过远程认证可以验证发布的软件正常运行在一个SGX平台上,并且保证软件没有经过篡改。如此就可以相信SGX会按照正确的跨链过程执行,犹如一个合约一样。
网关节点需要在平行链的AMC合约中抵押并进行注册,平行链跨链管理审核完网关节点的注册后一旦抵押资产达到开启跨链的阈值要求,网关节点就开始进行跨链工作。
将网关节点分为两个部分:SGX程序和中继程序,SGX程序主要平行链SPV验证和跨链交易的签名。中继程序用于中继链的数据转发和跨链交易转发。具体如图4-12所示:
图4-12 可信硬件流程
4、哈希时间锁模式
跨链的过程必须要保持状态的一致,保持跨链事务的原子性。这是跨链交易的基本要求也是必须解决的问题。跨链技术通过使用哈希时间锁定(HTLC)的方式来保证交易的原子性。具体如图4-13所示:
图4-13 流程图
从上图可以看出跨链流程中,ChainA中发生一笔跨链交易,合约通过计算关键跨链数据生成hash值并保存此次跨链交易,初始化交易状态。通过中继链转发到ChainB链后,会触发ChainB生成一个资产接收的证据,产生一个关键hash存证。网关节点监控到跨链交易成功数据后继续将跨链交易反馈数据,返回到ChainA中,直到跨链交易更新状态为已成功的状态。在一个长固定时间内,若没有受到关键字hash的跨链交易的反馈数据,则用户Alice可以向跨链合约申请退回跨链交易发起的资金(电子证照以及别的内容等),避免产生损失。
1.
1. 安全机制与隐私保护1、安全机制
平台的安全特性的保障主要分为网络安全、数据安全、存储安全三个维度。
网络安全,即客户端和节点通过中心CA获取TLS证书,客户端与节点、节点与节点间TLS双向认证,且通信流量经TLS加密,抵御中间人攻击。在客户端与节点、节点与节点之间建立连接过程中会对证书进行认证,认证通过后方能在该可靠信道上继续传送业务消息。目前平台对外提供TLS和HTTPS两种协议供使用方选择,两者均可进行证书的双向认证,HTTPS还可以根据使用方需求配置单向验证,使用更加灵活。节点与节点之间内部除了基本的证书验证功能外,还增加了握手逻辑,通过在握手过程中添加验证对方节点私钥签名的方式来确保节点间通信的可靠。具体如图4-14所示:
图4-14 安全机制
数据安全,即交易使用用户私钥签名,保证交易内容无法篡改。交易一旦上链,hash 机制保证其内容不可改变,并且安全性随着链的增长而提高。通过基于零知识证明的隐私交易隐藏关键信息,第三方无法获取。具体如图4-15所示:
图4-15 数据安全
存储安全,即数据多节点存储,单节点数据丢失不影响整个网络,节点间数据同步机制保障数据的正确复制,提供数据归档工具,可以归档数据并使用传统方式备份。具体如图4-16所示:
图4-16 存储安全
另外,平台提供了两组密码学套件供用户选择,以适应不同的商业环境,具体可以通过生成创世块时进行指定。具体如表4-1所示:
表4-1 密码学套件
2、隐私保护
区块链是一种具有共享属性的分布式账本,这与账户交易信息的私有性存在冲突。随着互联网的发展,用户的隐私意识越来越高,相关法律越来越健全。隐私已经逐渐成为了可用的前提,因此对区块链上的数据进行隐私保护,不仅是出于隐私的需求,更是出于可用的需求。
在实现平台隐私保护的同时,我们也注意到业界关于区块链隐私保护已有的工作。如,使用RingCT技术的门罗币(Monero)和使用了zk-SNARK的零钞(Zcash)等。这些技术各具特色,将UTXO模型的区块链隐私保护技术发展到了一定的高度。
与之相比,平台则侧重保护账户模型下的每个账户及其交易信息的隐私性,包括账户的余额、交易的金额、交易相关方的账户地址、账户和交易的资产类型、交易的数量和频率等。由于账户模型和UTXO模型天然的差异,在账户模型下展开隐私保护工作的难度无疑是更大的。平台的隐私保护方案重点针对账户模型下的隐私保护,不讨论UTXO模型。
此外,出于隐私与监管、共识的协同,对区块链隐私提出了更高的要求:
相关方/有权限的成员可看到信息的明文,比如一个交易的所有参与方可看到该交易的内容,一个成员的监管机构可看到该成员的账户和所有交易的内容;
不相关方从账本上只能看到无意义的加密信息,从而实现密码学隔离;
共识节点能够在加密信息上直接对交易合法性做判断,并对账户做相应操作。
面对更大的挑战,平台以创新的系统设计和可行的方式,利用和优化现有的密码学,隐私保护技术以及可信计算硬件,来实现和逐步强化账户模型下账户和交易的隐私保护。平台提供的隐私保护方案主要涉及基于零知识证明相关技术的信息隐藏及验证方案,以及数据隔离方案两大类别。
3、零知识证明
平台提供的第一种隐私保护方案,是基于零知识证明相关技术的信息隐藏与零知识验证方案。
方案主体流程如下:
首先,用户发送交易到平台时加密需要隐藏的信息,同时生成对应的零知识证据。
然后,交易在区块链网络进行验证,节点以加密信息和零知识证据为输入,验证所加密的信息是否满足条件。若零知识证据验证失败,则拒绝该笔交易;若零知识证据验证通过,则更新账本。
整个过程中,除了用户之外,隐藏内容对整个网络都不可见。具体过程如图4-17所示:
图4-17 隐私包含方案
4、数据隔离
平台提供的第二种隐私保护方案是数据隔离方案。
数据隔离的需求来源于控制交易可见性,满足交易参与方的隐私需求,另外需要满足链路虚拟化,从全局交易到局部交易。相关网络与数据模型如图4-18所示:
图4-18 网络与数据模型
平台通过链路/共识的虚拟化方案,即一主多从,多链路复用共识,以及双向价值锁定,即总价值守恒,主从链之间双向价值流动,来实现数据隔离方案。
平台数据隔离方案包括Group(一个或者多个共识节点组成的一个共识节点子集)、私有数据库(泛指保存非主链数据的其他数据库)、主链(MainChain,所有区块链节点都可见,全局唯一;可以执行所有类型交易)、私链(PrivacyChain、依附于主链,受限制的私有数据库,用以执行(有限类型的)私有交易)、私有交易(与正常交易相同的数据结构,但执行环境不同)、从链(GroupChain、依附于主链进行账户管理和价值交换)等主要概念与组件。
目前支持两种模式,一是加密隔离:私有交易加密后保存在主链(MainChain)上,由接收方监听交易后进行执行;解密后的明文交易在私链(PrivacyChain)上执行和保存。二是存证隔离:私有交易加密后保存在私链(PrivacyChain)上。执行节点通过私有信道,以推拉结合的方式获取交易后进行执行。具体如下图所示4-19所示:
图4-19 数据隔离方案