信息來源:企業(yè)網(wǎng)
自2016年開始�����,區(qū)塊鏈一直是行業(yè)領(lǐng)袖的關(guān)注重點,尤其是在金融�����、能源與制造業(yè)�。有了比特幣這一成功應(yīng)用案例,也讓業(yè)內(nèi)看到了將其擴展至內(nèi)容交付��、智能電網(wǎng)以及網(wǎng)絡(luò)安全等領(lǐng)域的可行性���,而區(qū)塊鏈技術(shù)本身也正在推動信息安全技術(shù)的新變革。
減少DDoS只是其一 淺談區(qū)塊鏈的典型安全應(yīng)用
對此�����,DimensionData公司的首席技術(shù)官EttienneReinecke表示��,在金融服務(wù)行業(yè)��,美國和歐洲資本市場正在使用區(qū)塊鏈平臺��,日本等市場也出現(xiàn)該趨勢。鑒于該行業(yè)的保守性和高度管制性�,區(qū)塊鏈完全有可能重塑網(wǎng)絡(luò)安全。今年��,區(qū)塊鏈還將推動物聯(lián)網(wǎng)發(fā)展��,而網(wǎng)絡(luò)安全行業(yè)也將涌現(xiàn)有意思的區(qū)塊鏈和物聯(lián)網(wǎng)應(yīng)用程序�。
眾所周知,區(qū)塊鏈技術(shù)融合了分布式架構(gòu)�、P2P網(wǎng)絡(luò)協(xié)議、加密算法����、數(shù)據(jù)驗證、共識算法��、身份認(rèn)證�����、智能合約等技術(shù)���,解決了中心化模式存在的安全性低���、可靠性差���、成本高等問題。除了這些優(yōu)點��,區(qū)塊鏈技術(shù)憑其自身優(yōu)越的安全特性��,在不可靠的網(wǎng)絡(luò)上進行安全傳輸����。
如何提升網(wǎng)絡(luò)安全?
基于區(qū)塊鏈特殊的數(shù)學(xué)算法和數(shù)據(jù)結(jié)構(gòu),其用共識機制代替中心認(rèn)證機制����。我們說,一旦傳統(tǒng)網(wǎng)絡(luò)的用戶認(rèn)證采用中央認(rèn)證中心(CA)被攻擊��,則所有用戶的數(shù)據(jù)可能被竊取或修改�����,而在區(qū)塊鏈節(jié)點共識機制下�,無需第三方信任平臺����,且寫入的數(shù)據(jù)需網(wǎng)絡(luò)大部分節(jié)點的認(rèn)可才能被記錄��,因此�����,攻擊者至少要控制全網(wǎng)絡(luò)51%的節(jié)點才能偽造或篡改數(shù)據(jù)�����,大大增加了攻擊的成本和難度��。
此外�,區(qū)塊鏈采用的是帶有時間戳的鏈?zhǔn)絽^(qū)塊結(jié)構(gòu)存儲數(shù)據(jù)��,為數(shù)據(jù)的記錄增加了時間維度�,具有可驗證性和可追溯性。因此��,當(dāng)其中一個區(qū)塊中的任何一個信息改變后�,都會導(dǎo)致從該區(qū)塊往后所有區(qū)塊數(shù)據(jù)的內(nèi)容修改,從而極大增加數(shù)據(jù)篡改的難度���,如果數(shù)據(jù)被篡改將是“牽一發(fā)而動全身”�。 不僅如此���,由于區(qū)塊鏈的節(jié)點是分散的��,且每個節(jié)點都具備完整的區(qū)塊鏈信息�,并能對其他節(jié)點的數(shù)據(jù)有效性進行驗證�,因此,針對區(qū)塊鏈的DDoS攻擊將會難上加難����。即便攻擊者攻破某個節(jié)點,剩余節(jié)點也可以正常維持整個區(qū)塊鏈系統(tǒng)����,可以有效抵抗分布式拒絕服務(wù)(DDoS)。
區(qū)塊鏈在安全領(lǐng)域的幾個典型應(yīng)用
基于上述幾點��,毫無疑問區(qū)塊鏈技術(shù)可以在網(wǎng)絡(luò)安全領(lǐng)域大展身手��。網(wǎng)絡(luò)的擴展���,帶動了數(shù)據(jù)和連接向“智慧”邊界設(shè)備的遷移,在提升IT效率�、生產(chǎn)力并降低耗電量的同時����,也給CISO�����、CIO和整個公司帶來了安全挑戰(zhàn)��。因此�����,很多公司都在尋求用區(qū)塊鏈來保護IoT及工業(yè)IoT設(shè)備安全的方法�����,因為區(qū)塊鏈技術(shù)可增強身份驗證�,改善數(shù)據(jù)溯源和流動性并輔助記錄管理,能以身份驗證保護邊界設(shè)備安全�。
目前,區(qū)塊鏈技術(shù)正快速地從實驗階段邁向企業(yè)應(yīng)用階段�����。像在去年年底�����,Xage Security公司就曾宣稱其“篡改驗證”區(qū)塊鏈技術(shù)平臺可在設(shè)備網(wǎng)絡(luò)中批量分發(fā)隱私數(shù)據(jù)并進行身份驗證,且能夠支持任意通信協(xié)議��,以適應(yīng)不規(guī)則連接的邊界設(shè)備���。此外����,初創(chuàng)公司Filament也于最近推出了一款新芯片��,讓IoT傳感器數(shù)據(jù)被直接編碼進區(qū)塊鏈中����,為去中心化的迭代和交換提供安全基礎(chǔ),旨在讓IIoT(工業(yè)IoT)設(shè)備應(yīng)用上多種區(qū)塊鏈技術(shù)����。
身處數(shù)據(jù)極易被篡改和偽造的時代,確保數(shù)據(jù)機密性和完整性無疑是個巨大的挑戰(zhàn)��,而區(qū)塊鏈技術(shù)則可以提升機密性和數(shù)據(jù)完整性�,利用自己完全加密的特質(zhì),保證了這些數(shù)據(jù)既不會被非授權(quán)方染指�����,同時又具有流動性�����,因此中間人攻擊幾乎沒有成功的可能性��。例如IBM�,就在其Watson IoT平臺上提供了以私有區(qū)塊鏈賬本管理IoT數(shù)據(jù)的選項,并將該功能集成到IBM的云服務(wù)中�。
區(qū)塊鏈的另一個安全應(yīng)用,就是提升甚至替代公鑰基礎(chǔ)設(shè)施(PKI)�����,像我們平時接觸到的電子郵件�����、消息應(yīng)用��、網(wǎng)站以及其他通信形式���,它們都采用的是公鑰加密體制�。實際上,依靠PKI創(chuàng)建的信任基礎(chǔ)設(shè)施往往存有漏洞��,尤其是在攻擊者也在創(chuàng)建自己的數(shù)字證書的當(dāng)下�����。而區(qū)塊鏈技術(shù)��,則可用公民生成的身份來簽名進行交易�。CertCoin就是首個實現(xiàn)基于區(qū)塊鏈的PKI,整體摒棄了中心證書頒發(fā)機構(gòu)���,使用區(qū)塊鏈作為域名及其公鑰的分發(fā)賬本����。
相信現(xiàn)在提起Mirai僵尸網(wǎng)��,各位仍會心有余悸��。攻擊者只需搞定大型網(wǎng)站的域名系統(tǒng)(DNS)服務(wù)提供商�����,就能切斷推特、Netflix和其他服務(wù)的網(wǎng)絡(luò)訪問�����。如果用區(qū)塊鏈存儲DNS記錄����,理論上是可以通過去除該可攻擊的單一目標(biāo)以提升DNS安全的����。Nebulis就是一個探索分布式DNS概念的新項目,理論上分布式DNS可用來應(yīng)付訪問請求洪水�,避免因過載而宕機。據(jù)了解�����,Nebulis使用了以太坊區(qū)塊鏈�、星際文件系統(tǒng)(IPFS)以及HTTP的分布式替代協(xié)議,來注冊并解析域名���。
在黑客眾多攻擊方式中����,DDoS攻擊可以說是其中最常見的一個,通過大量合法的請求占用大量網(wǎng)絡(luò)資源��,使網(wǎng)絡(luò)癱瘓�����,現(xiàn)在利用區(qū)塊鏈技術(shù)�,則可降低DDoS攻擊的發(fā)生頻率。區(qū)塊鏈初創(chuàng)公司Gladius表示�����,其去中心化賬本系統(tǒng)有助抵御DDoS攻擊�����,該解決方案可通過使客戶接入附近防護資源池來提供更好的保護并加速客戶內(nèi)容���,以抵御DDoS攻擊�����。
當(dāng)然����,區(qū)塊鏈并不是萬靈藥。盡管區(qū)塊鏈憑其天然的技術(shù)特點而具有用戶認(rèn)證�����、數(shù)據(jù)保護�����、防DDoS攻擊等安全保證優(yōu)勢����,但就目前而言�,區(qū)塊鏈技術(shù)還不夠成,在實際應(yīng)用中還存在安全風(fēng)險���,例如區(qū)塊數(shù)據(jù)的可靠性會隨時間降低���,配套軟件可能存在漏洞,或是造福于安全領(lǐng)域的同時也可能為犯罪分子帶來福音�,就行人工智能技術(shù)與機器學(xué)習(xí)。因此待技術(shù)成熟之前應(yīng)用時仍需謹(jǐn)慎行事��。
