系列研究成果：基于双链融合的可信数据空间安全传输研究

一、研究背景

数据作为数字经济核心生产要素，其跨域传输的可信性、安全性与可追溯性是保障数字生态稳定运行的关键。传统网络传输存在链路设计单一、安全防护碎片化、全生命周期溯源能力缺失等问题，数据泄露、非法篡改、分发失控等安全风险频发，难以满足金融、医疗、教育、科研等多领域对数据传输的高安全需求。

同时，区块链、人工智能、软件定义网络等前沿技术与网络通信的融合应用，为优化数据安全传输方法提供了新路径。在此背景下，本研究立足数据安全传输核心需求，最初设计存证链与传输链双链融合的技术架构，聚焦数据传输的安全性与基本可追溯性；后续研究中发现，数据存储环节是实现全生命周期溯源的关键支撑，缺少专门的存储链路会导致数据追溯不完整、可检索性不足，因此进一步优化架构，增设存储链，最终提出传输-存储-存证三链融合的技术理念，开展技术攻关与多场景落地验证，旨在构建一套兼具传输高效性、安全防篡改性、操作可审计性、流向可追溯性的可信安全传输技术方法。

二、研究重点

本研究结合数据全生命周期追溯需求，在原有双链融合架构基础上增设存储链，最终构建了传输链-存储链-存证链深度融合的可信安全传输技术方法，重点强化数据追溯的完整性与可检索性，同步推动技术成果向国际标准转化，并在多场景开展技术验证。

（一）三链融合核心架构

优化传统传输技术架构，构建三链融合的可信安全传输技术方法（见图1），明确各链路核心功能与协同机制，实现数据从产生、传输、存储到应用全生命周期的可信闭环保障：

1.传输链：作为基础物理通信路径，采用认证验证机制构建安全可信的数据流动通道，基于IPv6协议实现精细化路由控制，结合路由起源授权（ROA）、路由起源验证（ROV）实现节点可信性校验，确保数据传输过程中的机密性与完整性；

2.存储链：依托高可用性服务器对关键数据及其状态信息进行存档，结合Hash技术生成唯一数据标识符，提升传输数据抗篡改能力与恢复效率，同时将数据标识、路由信息、时间戳、存储路径等关键信息统一记录，实现数据存储的可检索、可溯源；

3.存证链：基于区块链技术构建轻量化存证机制，采用关键信息上链策略，兼顾传输效率与区块链容量管理，对数据访问、传输、修改等关键操作的日志进行不可篡改记录，为后续安全审计与责任追溯提供核心技术支撑。

图1 基于三链融合的可信数据空间传输体系流程图

（二）核心技术流程与创新点

围绕三链融合架构，设计了全流程可信安全传输技术流程，实现数据传输的精细化管理、强校验保障、全操作存证：

1.可信节点准入：所有参与传输的节点需通过权威认证机构的ROA审核，仅验证通过的节点可加入安全传输链路，从源头保障传输路径可信；

2.数据唯一标识：对原始数据进行加工后生成唯一标识符，作为传输链路接口标识、存储链路索引、存证链路键值，实现数据全链路唯一可追溯；

3.数据分级分类：依据《数据安全法》及行业规范，将数据划分为一般、敏感、重要三个级别，映射至专属子网ID并融入IPv6地址设计，实现数据精细化访问控制；

4.双向校验防篡改：传输末端节点通过重新计算数据Hash值，与源地址中的接口标识符比对，一致则校验通过，不一致则触发重传策略，有效防范并降低数据篡改风险；

5.轻量化区块链存证：将数据标识、链路路由信息、存储标识及时间戳一同上链，实现关键操作的不可篡改存证，支撑后续审计与追溯；

6.智能数据校验网关：在主机与传输链路间部署合规网关，基于智能合约实现数据合规性自动校验，结合AI智能脱敏、数据加密、多因素认证等技术，实现不同级别数据的差异化安全防护。

三、场景落地

基于三链融合技术，针对网络基础设施安全、人工智能网络调度、教育数字化三大典型场景开展专项技术研发与落地验证，形成可复制、可推广的场景化解决方案，相关成果均发表于国际顶级学术会议/期刊，实现了技术方法的场景化适配与理论、实践双重验证。

（一）DNS层安全防护——DNS-Sensor检测系统研发

针对DNS作为互联网基础设施面临的缓存投毒、碎片组装攻击等安全威胁，基于三链融合的存证溯源、校验防篡改核心思想，研发DNS-Sensor分布式传感器检测系统。

1.核心技术思路：借鉴三链融合的校验与存证逻辑，构建“缓存监测-权威比对-异常告警-灾备切换”的闭环防御方法，通过持续扫描DNS缓存记录并与权威数据交叉比对，实现投毒攻击的传感器级精准检测；

2.关键创新：采用Hash验证+记录比对的双重校验方法，搭建本地顶级域权威镜像查询系统，提升缓存与权威数据的比对效率，同时设计灾备解析系统，检测到攻击后立即切换至应急缓存查询系统，保障DNS解析的连续性；

3.应用效果：实验验证表明，该系统可实现DNS缓存投毒攻击的亚秒级检测，有效防御碎片组装、侧信道攻击等新型DNS攻击手段，NXDOMAIN域名比例得到有效降低（如图2所示），兼顾了DNS解析的安全性与高效性。

图2 NXDOMAIN域名占比对比图

（二）网络智能调度——AINA人工智能网络架构研发

针对传统网络调度面临的动态性差、适配能力弱等问题，将三链融合的全链路数据感知与人工智能技术深度融合，提出人工智能网络架构（AINA）（如图3所示）。

1.核心技术思路：基于三链融合方法的全链路数据采集能力，构建“数据采集-数据分析-智能应用”三层AINA架构，实现网络状态的全维度感知、动态分析与智能调度；

2.关键创新：针对机器学习在网络应用中的数据偏差、过拟合、可解释性差等痛点，优化ML模型在网络场景的适配方法，将监督学习、无监督学习、强化学习与网络配置、流量调度、安全防护等具体任务精准匹配；

3.应用效果：该架构已在Wi-Fi智能配置、数据中心网络调度、车联网自组织等场景验证，可实现网络资源的动态优化分配、故障的自主感知与处理，相比传统规则化网络架构，网络闭环问题解决时间缩短，为三链融合技术赋予智能化调度能力。

图3 人工智能网络架构（AINA）

（三）教育数字化——区块链赋能智慧教室评价系统

针对智慧教室教学评价面临的数据安全低、结果不可追溯、公平性难保障等问题，将三链融合的区块链存证、数据防篡改核心技术应用于教育数字化场景，研发基于区块链+PBFT的智慧教室教学评价系统（如图4所示）。

1.核心技术思路：依托三链融合的存证链技术，构建“云-网-边-端”协同的智慧教室数据采集与传输方法，将教学过程、评价数据、互动行为等关键信息上链存证，实现评价数据的不可篡改与全流程追溯；

2.关键创新：采用实用拜占庭容错（PBFT）共识算法，保障联盟链的高效与安全，设计多维度教学评价指标体系，覆盖教师教学、学生参与、课堂环境等全维度，实现评价结果的科学、客观、可信；

3.应用效果：该系统在大连交通大学落地验证，相比传统教室，教学质量与学生满意度提升，可有效解决教学评价中的数据造假、结果不公等问题，为教育数字化提供了高可信的数据传输与管理解决方案，同时也验证了三链融合技术在教育领域的适配性与落地性。

图4 基于区块链的教学评价系统流程图

四、研究结论

本研究通过基础理论研究、技术架构创新、多场景落地验证、成果全维度转化，在最初设计的存证链与传输链双链融合基础上，结合数据追溯需求增设存储链，成功构建了传输-存储-存证三链融合的可信安全传输技术方法，优化了传统网络传输的安全技术短板。

研究明确了三链融合的技术架构、协同机制与实现路径，验证了技术方法在网络基础设施安全、人工智能网络调度、教育数字化等多场景的适配性与有效性，解决了传统数据传输中易篡改、难溯源、安全防护碎片化的核心问题，为数据安全传输领域提供了新的技术思路与实践方案。

作者简介：

喻海生，中国互联网络信息中心高级工程师，主要研究方向为计算机网络与区块链及人工智能的交叉应用。

沈志，中国互联网络信息中心高级工程师，主要研究方向为IPv6地址分配、备案和创新应用。

王少帅，中国互联网络信息中心工程师，主要研究方向为IPv6部署和地址分配等。

袁亮亮，中国互联网络信息中心工程师，主要研究方向为IPv6地址分配与应用。

禹桢，中国互联网络信息中心工程师，主要研究方向为IPv6地址分配与应用。

王欣，中国互联网络信息中心工程师，主要研究方向为IPv6地址分配与应用。

徐冬璐，中国互联网络信息中心工程师，主要研究方向为IPv6地址分配与应用。

康亮，中国互联网络信息中心工程师，主要研究方向为IPv6地址分配与应用。