數據安全領域28項專利（中）

導語

我們邀請到了數據盾產品總架構師陳傑（化名），對整個數據安全行業和數據盾項目以及目前基於區塊鏈技術的安全存儲進行權威解讀。

專家簡介

陳傑（化名），工信部標準化研究院特聘資深安全專家，是科技部 863「終端數據安全」項目申報者和負責人，珊瑚靈御聯合創始人，中關村科技園區科技移動安全領域帶頭人，在訪問身份安全鑒別方向、敏感數據加密和保護方向、關鍵數據備份與恢復方向、移動系統與應用安全領域，共申請並獲得國內24項、國外4項相關專利。

聲明

網路安全如同卧底刑偵，這個非黑即白的領域中普遍存在對抗性，為了保護網路安全技術以及相關從業人員的隱私及安全，本平台不便透露其真實姓名。介紹相關人員均用化名。

數據盾產品總架構師陳傑，在研究生時代就踏入了信息安全行業。今年是陳傑入行的第十五年，這個初出茅廬的數據安全領域學生，已經成長為工信部標準化研究院特聘資深安全專家。

在數據安全領域工作的十五年中，陳傑共申請和獲得了國內24項和國外4項專利，針對訪問身份安全鑒別、敏感數據加密和保護、關鍵數據備份與恢復、移動系統與應用安全等不同方向和領域。因為這28項專利，陳傑在數據安全領域被稱為「二八哥」。

數字貨幣業暗藏危機，私鑰管理成難題

在陳傑看來，數字貨幣行業最重要的是錢包私鑰管理。現階段的私鑰保存體制，事實上存在很大風險。

陳傑介紹：「舉個例子，把私鑰放在手機裡面你可能覺得很安全，但是手機一旦被root了，相當於手機所有許可權對黑客開放。或者當你下載不知道來源的應用並安裝了，黑客就會在後台把手機許可權弄到最高。這相當於加鉤子，當你打開應用時，鉤子就掛上了，一旦勾上，你察覺不到，但鉤子就跟著你走。你輸私鑰信息時，整個操作過程都能（被黑客）勾到。黑客還原時就通過後台把私鑰發到指定郵箱或者地址。還有一種方式是黑客在你轉賬時在後台把私鑰改掉，當你發生轉賬那一刻，使轉賬失敗。」

錢包私鑰管理的風險是存在的，雖然現在受眾群體不是很大，但由於數字貨幣正在迅速發展，隨著技術的成熟，使用數字貨幣的人必將不斷增加，面臨的風險也就更大。

問題在於，大部分手機用戶沒有錢包私鑰的風險觀念。陳傑說：「很多人沒有這個意識，當你的手機被控，一打開應用，就觸發事件，告訴黑客你在支付目前現狀數字貨幣受眾面還處在早期較為集中階段，黑客為了避免偷盜行為被監測發現，所以會從小額支付方面盯上目標，並通過小額轉賬過程持續過程從而非法盜取。」

私鑰保存的另一個問題是身份信息確認仍採用用戶名、密碼等傳統方式。在陳傑看來，這將成為數字貨幣發展的一個致命問題。

「大部分人為了便於方便而設置信息安全上的「弱口令」，從而在最初就引入風險引爆點，隨著用戶基數增加，勢必安全風險會從線性向指數級迅速放大。相當於通過一個自動應用演算法，就可以把所有的用戶和密碼盜走，因為用戶名是隨機組合過程，密碼同樣是這樣一個過程。記住越多風險越大，所以我們不鼓勵這種用戶名密碼這種方式。」

創新零知識證明機制，打破傳統認證方式

數據盾團隊的目標是拋棄傳統的用戶名和密碼認證方式，通過零知識證明保證登錄過程的安全。

數據盾可以把私鑰在系統里存儲，而不是保存在本地。數據盾將私鑰智能粉碎後放在去中心化的存儲系統里，當用戶需要時，不需要使用用戶名和密碼，只要通過零知識證明機制認證後，向系統發出請求，就可以拿到私鑰的碎片，在本地組裝。陳傑說：「這個過程不落地，不放在磁碟上。落在磁碟上，就是關機後還有。只在內存里，一旦應用退出不在磁碟保留，不會留下任何痕迹。」

陳傑表示：「這個就保證過程是動態、一次性、非落地的。只有證明我是我，重組以後才能完成交易過程。而一旦APP關閉，所有動態數據隨之焚毀，即使手機被黑了，黑客什麼也拿不到，沒法啟動應用；即使黑客能啟動應用，也無法證明「他」是「我」；即使黑客能證明，如果沒有演算法，拿不到分片就不能重組，相當於從三個方面來保護私鑰。」

數據盾是一個完備的系統，從系統端到客戶端的每個方面都有涉及，比較完善。數據盾的防護不光涉及私鑰信息，還涉及業務信息，如轉賬記錄。陳傑舉例介紹：「有些東西放在本地，操作後在手機上有記錄，沒有被清理cash作緩存，緩存能加快啟動速度，但是這個存在風險，業務數據的風險性加大。」

獨創分片演算法，提升核心競爭力

數據盾相對於其他安全防護產品，其核心競爭力就是獨創的分片演算法。市面上的傳統安全產品一般從資料庫方面入手，但資料庫存在一個致命弱點——中心伺服器點。而數據盾的技術能做到使分片足夠小，足夠合理，完成了去中心化。

數據盾的分片技術能根據不同的情況做出智能的調整。陳傑說：「有兩個要素，效率要素和安全要素。根據不同的業務場景，比如說有一些大的企業客戶，對一些業務頻率不是那麼高，我們可以分到足夠小，相對細分。但如果是高頻用戶，要求效率高，我們分片就大一點，安全性那塊做一個加密。」

分片演算法的核心是：當分片足夠小，小到每個片段都沒有意義，就沒必要加密，也就擺脫了加密的限制。「當分片是一個單獨的數字，沒有意義，不包含信息時，我們就可以避免加密過程，將操作效率提高。而當分片大的時候具備信息，我們就不能讓分片被看出意義。很關鍵的一個點就是使分片足夠合理，使黑客拿了分片也沒有意義。」

在整個數據盾體系中，存在針對所有分片的健康度監測機制。當分片外放時，並不是單片形式，而是複製後的多片。在健康度運營體系中，大家都可以看到一些區塊信息，包括整個平台中大概存了多少分片、活躍度、有多少節點加入等。陳傑說：「這些我們可以對外公開的，這樣大家可以充分看到分片在整個體系中流動的一個過程。」

陳傑介紹：「當系統健康度降低到一定閥值時，比如說所有的節點超過70%不活躍時，系統會進行全網公告，告訴大家可能出問題了。這樣可以讓大家參與這個項目，我們會讓分片再自我複製，即使健康度低到一定閥值，也能保持健壯性。」即使系統全部崩潰，數據盾也能將數據遷移出來。數據盾的分片過程與多副本恢復技術一脈相承，形成了一個完整的體系。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！