应用区块链重塑网络安全的未来

    传统风险不断，新的威胁一直出现。网络和数据安全的未来，无论是否基于区块链作为重要工具，都必须拥有整体安全理念。区块链虽然不是修复所有互联网问题的灵丹妙药，但他可以成为专家和工程师的强大工具，开发出变革性的安全应用，赋予互联网更丰富的价值和更美好的未来。

    为什么有人说互联网时代将要结束，区块链时代即将来临?因为互联网是分散而破碎的，导致信息私有化和信用成本高，如何让网民高效有效地证明“我就是我，你就是你”，是影响互联网普及发展的瓶颈问题。而区块链技术就保证了数据的真实可靠和公开透明，做到了不用到银行开财产证明，不用到警局开犯罪证明，不用到用人单位开在职证明就能完成各项工作，成为颠覆互联网应用的创新技术之一。

    区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算范式。麦肯锡的研究表明，区块链技术,是继蒸汽机、电力、信息和互联网科技之后,目前最有潜力触发第五轮颠覆性革命浪潮的核心技术。

    区块链技术因为其解决了信息通信中的一个基础问题（拜占庭将军问题）而得到极大的关注和应用，将其对应到通信世界中，可有效解决分布式系统中进行信息交互时面临的难题，即在整个网络中的任意节点都无法信任与之通信的对方时，如何能够达成共识来进行安全的信息交互而无须担心数据被篡改。区块链的出现，让这个问题迎刃而解，当有一个公开、透明的账本存在的情况下，整个系统中的所有节点都能够在信任的环境下进行自动安全的数据交换。因而区块链技术具有重塑网络安全的潜质。

    首先，区块链技术先天具有网络安全的基因。如以下一些区块链的关键技术都为解决某个网络安全问题而生，进而形成了区块链的支撑技术：

    （1）Hashcash是1997年提出的限制和禁止电子邮件垃圾邮件和拒绝服务攻击的系统。Hashcash是一种需要牺牲处理能力作为安全机制的算法。这种工作证明创建了激励结构和网络验证，现在为加密货币提供支持。

    （2）20世纪70年代的Merkle树的密码学突破和20世纪90年代的分布式哈希表结合起来，为分布式系统创造自主性，容错性和可扩展性。

    （3）1993年NickSzabo创造的智能合约算法是一种自执行代码。可以将合约写入到区块链中，无论何时，合约都能够可靠地监控合约中参与方的执行情况，参与方是无法进行欺骗的。

    如今，网络攻击技术不断进步，互联网的中心化发展模式已成为黑客攻击的软肋。要想彻底解决这个问题，必须实现去中心化的网络。区块链技术可以为网络安全提供新的变革思路。透过目前的发展，区块链技术已在如下方面展示出优越性：

    （1）数字身份认证

    数字身份被广泛地定义为计算机系统用于表示某个实体（个人，组织，应用或设备）的任何一组信息。数字身份的常见形式是基于密码的访问凭据和用户档案，其可以包括用于验证实体被授权从事事务的各种身份凭证。

    数字身份的三个基本方面：身份创建（创建有效的身份凭证），身份验证（这些凭据的验证）和授权（由这些凭证提供的权限的验证）。

    目前的数字身份模型通常涉及具有不同提供商存储的单独身份凭证的用户。然而，区块链技术的分布式性质提供了关于数字身份的基本范式转变，其中身份凭证由个体用户而不是提供者来控制。美国非营利组织Sovrin基金会最近提出了一个“自主”身份的模式，用户管理和控制自己的身份证件。个人在由Sovrin管理的公共许可块上创建具有各种身份证件的数字身份。这些凭据随后由服务提供商根据需要被全球服务提供者访问和验证，但个人的个人信息仍然保留在个人控制之下。

    （2）数据真实性保证

    通常我们用数字签名来证明数据来源的真实性，然后我们需要费力地证明其对应的公钥的真实性，但这是个很难的事情。

    区块链技术为我们提供了新的思路，用区块链存储文件签名信息，通过区块链节点的透明、分布式证明代替私钥的保密性，保证数据不被操控。

    数据安全初创公司Guardtime的安全解决方案运行在私有链上，具有替代RSA数字签名的垂直解决方案：其KSI（无钥匙签名基础架构），其仅使用哈希函数加密来进行签名。KSI在区块链上存储数据和文件原件的哈希值，通过哈希算法验证其他备份，并对比区块链存储的信息。任何数据修改痕迹可以很快被发现，因为原件的哈希值存储在几百万个节点上。

    （3）消除单点故障

    分布式拒绝服务攻击（DDoS）给我们的教训可谓深刻，黑客只需攻击域名服务（DNS）供应商，就可以切断Twitter、Netflix、PayPal等服务的登录入口，这也证明了中心化模式的脆弱性。

    业内专家认为，用区块链技术构建DNS系统可以有效改善安全形势，消除单点故障。Nebulis是探索分布式DNS概念的项目，Nebu⁃lis采用以太坊区块链和IPFS替代中心化的HTTP，用来注册和解析域名。这样即使服务请求太多也不会导致网络崩溃。而且还可以省去与DNS解析等有关的费用。透明的分布式DNS将域名置于所有者控制之下，使得任何单个机构（包括政府）都无法操控。

    （4）物联网访问控制

    物联网正在飞速发展，随着连接设备的数量继续呈指数级增长，至关重要的是对这些设备的基础安全性的保证以及它们对互联网的安全性和稳定性造成的威胁的应对措施。

    分布式IoT的概念是一种很有希望的方法。随着设备计算能力的提高，设备本身的智能也不断提高。利用这种边缘智能原理，用户对其生成的数据的粒度可以实施更多的控制。然而，由于这种方法的副作用，终端用户不应该成为使用安全机制的专家。一个简单的错误或错误配置可能会导致他们隐私的巨大破坏。因此，主要是在分散办法下的访问控制必须足够用于普通人。此外，分散式方案面临以下挑战：在设备方面实施当前的安全标准和访问控制解决方案更为复杂。它需要集中和计算能力，并不总是可用的，特别是在像传感器，执行器或RFID标签等设备上。而且，通过将这些功能外包给强大的功能，可以减轻处理大量访问控制相关信息的负担。实体防止端到端的安全性得到实现。此外，将授权逻辑委派给外部服务需要委托实体与设备之间的强信任关系。此外，它们之间的所有通信必须被保护和相互认证，以便被委托的实体安全级别至少与内部实施授权逻辑一样高。因此，我们认为，物联网需要一种适合其分布式性质的新的访问控制框架，用户可以控制自己的隐私，而不是由中央管理机构控制，同时也需要集中的实体处理授权功能难以约束IoT设备。利用块链技术解决上述集中式和分散式访问控制管理挑战的困境。

    综上所述，区块链技术确实能够为我们提供一种全面的网络安全解决方案。实现端到端安全性，包括事务安全性，防范疏忽或恶意内部人员，通信基础设施安全和服务器故障等。

    传统风险不断，新的威胁一直出现。网络和数据安全的未来，无论是否基于区块链作为重要工具，都必须拥有整体安全理念。区块链虽然不是修复所有互联网问题的灵丹妙药，但他可以成为专家和工程师的强大工具，开发出变革性的安全应用，赋予互联网更丰富的价值和更美好的未来。

    （本文作者系中国指挥与控制学会认知与行为专委会副主任委员，中国计算机学会高级会员、中国计算机学会安全专委会常务委员；十一届、十二届全国青联委员，中国互联网协会特聘网络安全青年专家）