【摘 要】：S省监狱被司法部确定为全国第一批开展区块链应用的试点单位，按照司法部提出的试点研究方向，本文研究基于区块链实时监督和非对称加密身份识别两大技术，通过对区块链技术特点和监狱实际业务分析，提出监狱执法监督和罪犯计分考核、日常消费核实的公开公正的解决方案，利用区块链的多节点分布式存储确保监狱业务的过程数据和最终结果数据存储的安全、可靠、可追溯。

【关键词】：区块链；数字法治；智慧监狱；业务融合

2018年10月，司法部印发《“数字法治、智慧司法”信息化体系建设指导意见》。2019年12月,司法部监狱管理局印发《关于积极探索区块链技术应用于监狱工作的实施意见》，探索区块链技术在监狱的应用是贯彻落实总书记重要讲话精神的实际行动,也是进一步推进刑罚执行工作公平公正公开、提升监狱业务数据的安全性、实现监狱与政法各部门跨部门业务协同的迫切需求。

一、S省监狱业务信息化现状与数据风险

2015年, S省监狱完成信息化一期工程。当时，全省各监狱分散部署了狱政管理和生活卫生管理系统，其中计分考核作为狱政系统的主要功能在年底开始全面运用。2018年后期，建设监狱信息化二期工程（一体化业务平台），实现了全流程监狱业务应用。一体化平台采用了集中式部署方式，将云平台超融合服务器托管于运营商机房，全省各监狱使用浏览器登录系统办理业务，并采用了双链路网络备份和异地灾备系统提高数据的安全性。三期工程以“1+1+1+2+N”信息化基础架构，部署两级应急指挥平台、完成监控体系升级，全系统高清监控视频点位全面覆盖罪犯改造“三大现场”，初步建成“智能防范全覆盖、指挥平台全集成、数据协同全共享、科技强警全运用”的信息化体系，四期又实施了监狱综合业务一体化管理平台重构升级，项目融合了监狱各业务，实现了监狱业务的集中管理，但仍然存在下列风险：

（一）数据存储风险

S省是自然灾害多发省份，运营商虽然采用了异地灾备等手段提高了系统可靠性，但全省监狱所有业务数据都存储在超融合服务器云平台上，异地灾备系统无法做到实时数据备份，数据完整性、安全性上还存在一定的风险。

（二）数据篡改风险

罪犯计分考核数据是罪犯在监狱监管改造中的核心数据，直接影响罪犯的分级处遇和减刑假释。当前情况下，误操作和有目的的恶意篡改无法绝对避免。单纯依靠系统留痕日志很难主动防御非法篡改数据。破坏者可以采用sql注入、服务器攻击等方式对数据进行篡改。

（三）数据追溯风险

监狱刑罚执行工作中，对数据追溯性的要求很高，特别是对一些关押时间长的罪犯在减刑假释和暂予监外执行业务办理过程出现的异议问题，监狱应该提供完整、准确、可追溯的数据佐证。由于条件限制，系统缺少健全的数据跟踪体系，因此需要对业务数据进行追溯时，很难找到完整的数据变更记录，有些业务可能只记录最终结果，没有历史版本或过程数据，而且也不敢保证这些记录是否被人修改过，缺少可信度，一定程度上会引起罪犯和罪犯家属对监狱工作的不满，甚至引起纠纷和诉讼。 

二、区块链技术在监狱信息化中的改革探索

（一）以区块链技术为抓手，融合监狱业务，搭建试点平台

根据区块链的技术特点以及S省监狱管理局一体化平台的建设现状，选取罪犯计分考核以及网络超市的相关功能作为此次区块链技术应用的试点。通过试点项目的建设，探索区块链技术和监狱相关应用进行融合，提高监狱执法工作效率，实现监管部门精准、及时和多维度的监管，保护服刑人员的合法权益，全面促进监狱监管安全性的提升。试点项目建设内容如下：

1.建设区块链平台，以罪犯计分考核和网络超市为试点，探索对监狱重要数据进行读取及区块链技术的应用；区块链平台支持对相关数据服务进行统一管理，包括配置、管理、监控、运维等，并对区块链进行集中式管理，提供标准的业务开发接口和SDK，使得业务应用与区块链的集成简单高效。

2.实现罪犯计分考核中的日常加扣分以及月考核分数上链存储；实现网络超市中的订单管理和结算管理数据上链存储。建设区块链应用功能，支持应用系统的实时上链数据展现，包括但是不限于上链交易明细，数据流向，数据溯源，分布式多节点存储拓扑，不可篡改行验证等。

3.提供区块链存储过程可视化展示，包含重点上链数据KPI以及实时监测数据。通过非对称加密技术，能够有效的保证计分民警的身份隐私及身份识别。

（二）平台总体框架

区块链不可篡改和可溯源的特点，使罪犯计分考核和网络超市相关的重要数据存储到区块链以保证相关数据不能被篡改，且利用区块链的可溯源特性，进行相关重要数据的区块链存储的同时，系统可以随时对罪犯的计分，超市消费审批数据进行历史追溯。区块链平台总体架构如图所示。

区块链平台总体分为4个层面：

1.一体化应用平台：架构第一个层面，通过标准接口调用业务平台数据传输到区块链平台。

2.区块链平台：对区块链的服务进行统一管理，包括配置、管理、监控、运维等，并对区块链进行集中式管理，提供标准的接口和SDK，提高相关应用与区块链的集成效率。

3.区块链协议层：封装多种异构区块链，直接与区块链底层打交道，并向上层提供统一API接口。通过融合底层区块链技术，使得应用对于区块链的调用变得透明，只需调用标准API接口即可，后续可随时根据需要切换或集成更多的区块链底层技术，无需考虑其中的实现细节。

4.区块链物理层：真正承载区块链数据存储的网络节点，实现数据分布式存储。

（三）平台网络框架

区块链平台采用集中式部署，实现对区块链的统一管理，并提供统一服务。利用区块链去中心化特点，在省局虚拟化节点和各个监狱进行散点部署区块链存储节点，通过多中心提供存储和服务，可跨区域提供高效的管理和服务。区块链技术对所有信息分时间区块存储，采用加密验证方式将前后区块链接，从而实现不可篡改的区块链数据存储，并将链式数据及时共享至各节点服务器，有效防止单个节点数据遭到篡改或遗失。区块链平台网络架构如图2所示。

图2 区块链平台网络架构图       图3 存储监督管理平台功能架构

三、监狱区块链平台的技术实现及特色亮点

区块链应用可以读取、存储平台数据库，同时可以将关键信息，通过调用区块链平台API存储到区块链，使得该信息被存入区块链中。新生成的业务数据将抽取主体信息、关键信息调用区块链平台进行存储，业务库也将创建唯一标识与区块链数据建立对应。

一体化业务先从区块链平台读取，再读取业务库的明细信息，利用区块链的不可篡改性，给重要数据加了一把牢固的锁，破坏者很难通过其他途径对数据进行随意破坏。基于监狱应用数据开发的存储监督管理平台功能架构如图3所示。

（一）身份认证

区块链可将数字证书应用于区块链网络中，用户需持有CA颁发的数字证书才可以操作区块链，机构节点持有数字证书才可接入区块链网络中，通过结合现有的PKI基础设施完成区块链网络的身份认证功能，所有认证信息均映射至区块链账户，并支持链上查验。

通过实名身份认证后，所有基于区块链操作的人员在区块链网络上的任何操作都需要接入硬件U key才可以操作。也就是说，用户的所有操作最终都是要有硬件签名作为依据的，任何操作的确认来往都是有U key签名作为依据。

区块链平台通过将区块链地址与U key中的公钥绑定，实现区块链地址与用户公私钥的唯一映射，确保区块链上所有的数据都与用户行为一一对应。

（二）智能合约

本方案提供一套安全轻量、支持智能合约编译和运行的基础镜像环境，各个应用场景使用的安全容器相互隔离，并以独立进程的方式运行在宿主机内。

（三）共识算法

在分布式系统中，节点故障、网络故障、恶意攻击很常见，由此造成消息没有发送、发送不及时、甚至发送错误，使得不同节点执行不同操作，从而破坏系统的一致性。

本方案选用PBFT算法。在预准备阶段，主节点把获取的一笔或多笔交易进行签名和验签后，预打包发送给所有副节点。在准备阶段，所有副节点收到主节点的交易集合进行读写集校验，待校验通过后发送给其它节点，同时自己也会收到其它节点的校验结果，然后判断拜占庭数量是否超过2f+1（f代表作恶节点数,为1/3的总数），满足即进入确认提交阶段。在提交阶段，判断所有接收到提交结果为确认的消息总数是否满足2f+1，满足则打包条件后执行打包区块，然后再广播给其它记账节点。

（四）数据安全和加密

数据传输采用非对称加密方式，并采用SSL加密和认证对接入消息的客户端进行认证。

（五）数据多方签名上链

对涉及减刑、假释等需要按照流程由多方进行签名确认的时候，可由区块链智能合约完成。将操作流程通过智能合约代码编写并部署到区块链上，每步操作都需要一个或多个相关负责人通过U key进行签名确认。涉及到多方签名确认时，可设置签名数量，如需要4个负责人签名时，必须大于等于3个签名才能通过，转到下一流程。

区块链通过智能合约编码完成后，可自动对签名进行验签，整个过程无法由单个的某一参与方或者系统运营方控制执行，在不满足流程条件时，无法进入下一流程，也无法将最终数据结果记录到区块链上。并且，所有执行过程都是自动完成的，不受外在人为干预，一旦数据通过智能合约记录到区块链上，会由多个区块链节点记录执行数据和结果，单一的某一方无法自行篡改执行后的数据。

另外，当智能合约没有达到希望的签名数量时，智能合约无法通过，并抛出异常告警或通知。这些信息也作为合约结果记录到区块链上，不可篡改，并供后续链上数据分析溯源。

（六）数据匿名审核上链

区块链的链上用户唯一标识为区块链地址，区块链地址由一段字符串组成，是由用户私钥经过算法计算得出公钥再由公钥计算得出。因此，区块链地址不具有自然属性，无法从区块链地址推算出用户的具体自然属性和信息。

在涉及关键材料审核需要匿名评审时，可由区块链地址代替具体被审核人的姓名、年龄等敏感信息，真正做到匿名审核。同时，在链上操作也可以利用隐私保护技术将区块链地址进行隐藏，区块链网络通过非交互式的隐私保护技术生成致盲因子，只有特定许可人还原，而其他第三方没有事件相关方的私钥无法还原该致盲因子。从而实现没有特殊权限的情况下，所有关键流程的审核都是在匿名的情况下进行审核。

四、区块链技术在智慧监狱建设的未来展望

（一）加强政策引领和顶层设计

从宏观层面，明确区块链技术在智慧监狱建设中的应用方向和发展目标，同时紧密结合监狱管理业务，制定全面的区块链技术应用规划，确保其与监狱现有信息化系统有效融合。积极开展区块链技术的研究与试点项目探索，选择一到两个具备条件的监狱作为试点，集中力量在罪犯计分、网络超市、供应链管理等关键领域实施区块链技术，通过实践探索出适合智慧监狱建设的区块链应用模式，并逐步推广到其他监狱。

（二）加强技术研发与创新

坚持需求为导向，积极鼓励监狱与科研机构、高校、企业等合作，共同开展区块链技术在智慧监狱应用的深入研究与创新，推动区块链技术与人工智能、大数据等其他信息技术深度融合，不断提升智慧监狱建设的智能化水平。

（三）加强信息化专业人才队伍建设

为确保区块链技术在智慧监狱建设中顺利落地，需要拥有一只素质过硬的信息化人才队伍，这就需要健全信息化人才保障机制。一方面，大力强化监狱信息人员的专业素养培训，包括集中学习、参与区块链项目、在线资源等，切实提高其对区块链技术的理解和应用能力。此外，积极引进区块链技术专业人才，为智慧监狱建设注入新鲜血液，提供人才支撑。

智慧监狱完美融合了现代信息技术与监狱管理各自特点，为监狱管理变革创新指明了方向。尽管当前区块链技术在智慧监狱领域的应用仍处于探索阶段，需要在实践中不断完善，确保技术应用的合法性和有效性。但区块链技术仍凭借其去中心化、不可篡改、透明公开等得天独厚的优势，能有效解决信息孤岛、数据安全、透明度不足等问题，为监狱管理工作提供了一种高效、安全、可靠的解决方案，注定其在智慧监狱建设中大有可为。 

责任编辑：广汉