區(qū)塊鏈?zhǔn)且粋€(gè)建立在提供絕對(duì)安全和信任的模型上的、分散的、分布式的電子分類記賬方式。使用加密技術(shù)，按時(shí)間順序和公開記錄記錄交易，每一個(gè)塊都有時(shí)間標(biāo)記并與前一個(gè)鏈接。重要的是，這些數(shù)字“塊”只能通過所有參與者的共識(shí)來(lái)更新，數(shù)據(jù)攔截、修改和刪除幾乎是不可能的。

因此，自2016年Gartner將其加入新興技術(shù)“炒作周期高峰”以來(lái)，區(qū)塊鏈已經(jīng)成為一些行業(yè)領(lǐng)導(dǎo)者的關(guān)注重點(diǎn)，特別是在金融服務(wù)、能源和制造業(yè)領(lǐng)域。比特幣付款已經(jīng)成為被應(yīng)用最多的案例，但是這種技術(shù)也可以擴(kuò)展到內(nèi)容交付網(wǎng)絡(luò)和智能電網(wǎng)系統(tǒng)等應(yīng)用。

[[247488]]

區(qū)塊鏈如何應(yīng)用于網(wǎng)絡(luò)安全?

區(qū)塊鏈有可能從提高數(shù)據(jù)完整性、更安全的數(shù)字身份認(rèn)證等方面改善物聯(lián)網(wǎng)設(shè)備的安全，以防止DDoS攻擊。事實(shí)上，區(qū)塊鏈可能會(huì)發(fā)揮保密性、完整性和可用性的“CIA三原則”作用，從而提高應(yīng)變能力，加密、審計(jì)和透明度。

英國(guó)愛丁堡內(nèi)皮爾大學(xué)計(jì)算機(jī)科學(xué)家兼計(jì)算機(jī)學(xué)院教授比爾•布坎南(Bill Buchanan)表示：“區(qū)塊鏈填補(bǔ)了我們?cè)诎踩?、可靠性方面的不足?ldquo;在2018年，我們必須默認(rèn)加密。目前，您無(wú)法驗(yàn)證沒有人閱讀過發(fā)送給您的電子郵件，而且該電子郵件未被修改，甚至經(jīng)常無(wú)法驗(yàn)證發(fā)件人。“

布坎南說：“通過區(qū)塊鏈方法，我們可以正確地驗(yàn)證和簽署我們的交易。“雖然圍繞加密貨幣有一些炒作，但區(qū)塊鏈方法的實(shí)施實(shí)際上將為我們的數(shù)字服務(wù)建立更可靠的基礎(chǔ)設(shè)施。最大的應(yīng)用將是我們公共部門的轉(zhuǎn)型，并創(chuàng)建一個(gè)更加以公民為中心的基礎(chǔ)設(shè)施。這樣可以讓公民擁有自己的身份，然后對(duì)每筆交易進(jìn)行核實(shí)。我們可以制定公共服務(wù)的要素，例如支付利益，使用智能合約，并根據(jù)已簽署的聲明。“

以下是區(qū)塊鏈在網(wǎng)絡(luò)安全領(lǐng)域的真實(shí)使用案例。

1. 通過認(rèn)證保護(hù)邊緣設(shè)備

隨著IT技術(shù)焦點(diǎn)轉(zhuǎn)移到所謂的具有數(shù)據(jù)和連接性的“智能”邊緣設(shè)備，安全性也隨之提高。畢竟，網(wǎng)絡(luò)的擴(kuò)展可能對(duì)于IT效率、生產(chǎn)力和功耗(即對(duì)云計(jì)算和數(shù)據(jù)中心資源有利)而言是有利的，但這對(duì)CISO、CIO和更廣泛的業(yè)務(wù)來(lái)說是一個(gè)安全挑戰(zhàn)。隨后許多公司正在尋求利用區(qū)塊鏈來(lái)保護(hù)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)(IoT)設(shè)備的方法，因?yàn)樵摷夹g(shù)能夠加強(qiáng)認(rèn)證，改善數(shù)據(jù)歸屬和流量，并有助于記錄管理。

例如，創(chuàng)業(yè)公司Xage安全公司在2017年下半年推出，聲稱其“防篡改”區(qū)塊鏈技術(shù)平臺(tái)通過設(shè)備網(wǎng)絡(luò)大規(guī)模分發(fā)私人數(shù)據(jù)和身份驗(yàn)證。此外，該公司表示支持任何溝通，可以在不規(guī)則連接的邊緣工作，并確保各種不同的工業(yè)系統(tǒng)。

該公司表示，已經(jīng)與ABB無(wú)線公司合作開展需要分布式安全的電力和自動(dòng)化項(xiàng)目，以及與戴爾合作為戴爾IoT網(wǎng)關(guān)及其EdgeX平臺(tái)上的能源行業(yè)提供安全服務(wù)。

同時(shí)，作為另一個(gè)現(xiàn)實(shí)世界的例子，英國(guó)馬恩島政府采取了不同的路線。它正在測(cè)試區(qū)塊鏈技術(shù)，看它是否可以防止物聯(lián)網(wǎng)設(shè)備的妥協(xié)(將唯一身份簽名到物理項(xiàng)目以確認(rèn)真實(shí)性)。

這些改進(jìn)也正在嵌入芯片組層面。Startup Filament最近宣布推出一款旨在使工業(yè)物聯(lián)網(wǎng)設(shè)備能夠使用多種區(qū)塊鏈技術(shù)的新型芯片。Blocklet芯片背后的理念是讓物聯(lián)網(wǎng)傳感器數(shù)據(jù)直接編碼到區(qū)塊鏈中，目標(biāo)是“ 為分散交互和交換提供安全的基礎(chǔ) ”。

2. 改進(jìn)機(jī)密性和數(shù)據(jù)完整性

雖然區(qū)塊鏈最初是在沒有特定訪問控制(由于其公開發(fā)行)的情況下創(chuàng)建的，但現(xiàn)在一些區(qū)塊鏈實(shí)現(xiàn)解決了數(shù)據(jù)機(jī)密性和訪問控制難題。在數(shù)據(jù)容易被操縱或欺騙的時(shí)代，這顯然是一個(gè)嚴(yán)峻的挑戰(zhàn)，但區(qū)塊鏈數(shù)據(jù)的完全加密可以確保這些數(shù)據(jù)在運(yùn)輸過程中不會(huì)被未授權(quán)的用戶訪問(很少或根本沒有機(jī)會(huì)成功的人工進(jìn)入中間[MiTM]攻擊)。

這種數(shù)據(jù)完整性可擴(kuò)展到IoT和IIoT設(shè)備。例如，IBM為Watson IoT平臺(tái)提供了一個(gè)選項(xiàng)，用于管理整合到藍(lán)色巨人云服務(wù)中的私有區(qū)塊鏈分類賬中的物聯(lián)網(wǎng)數(shù)據(jù)。愛立信的區(qū)塊鏈數(shù)據(jù)完整性服務(wù)為在GE的Predix PaaS平臺(tái)中工作的應(yīng)用程序開發(fā)人員提供完全可審計(jì)，合規(guī)和值得信賴的數(shù)據(jù)。

3. 保護(hù)私人消息

像Obsidian這樣的創(chuàng)業(yè)公司正在使用區(qū)塊鏈來(lái)保護(hù)在聊天，短信應(yīng)用和社交媒體中交換的私人信息。與WhatsApp和iMessage采用的端到端加密不同，Obsidian的Messenger使用區(qū)塊鏈來(lái)保護(hù)用戶的元數(shù)據(jù)。用戶不必使用電子郵件或任何其他身份驗(yàn)證方法來(lái)使用信使。元數(shù)據(jù)隨機(jī)分布在整個(gè)分類賬中，因此不能用于收集在一個(gè)單一的點(diǎn)，從而可能會(huì)受到損害。

另外據(jù)報(bào)道，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)的工程師正在嘗試使用區(qū)塊鏈來(lái)創(chuàng)建一個(gè)安全且無(wú)法通過外部攻擊的消息服務(wù)。隨著區(qū)塊鏈植逐步應(yīng)用于安全認(rèn)證的通信，預(yù)計(jì)這個(gè)領(lǐng)域在不久的將來(lái)成熟。

4. 提升甚至取代PKI

公鑰基礎(chǔ)設(shè)施(PKI)是保護(hù)電子郵件，消息應(yīng)用，網(wǎng)站和其他形式的通信的公鑰密碼術(shù)。但是，大多數(shù)實(shí)現(xiàn)都依賴于集中的第三方證書頒發(fā)機(jī)構(gòu)(CA)來(lái)頒發(fā)，撤銷和存儲(chǔ)密鑰對(duì)，這些密鑰對(duì)可能會(huì)危及加密通信并欺騙身份。而是在區(qū)塊鏈上發(fā)布密鑰，理論上將消除錯(cuò)誤密鑰傳播的風(fēng)險(xiǎn)，并使應(yīng)用程序能夠驗(yàn)證與之通信的人的身份。

CertCoin是基于區(qū)塊鏈的PKI的首批實(shí)施之一。該項(xiàng)目完全取消了中央政府，將區(qū)塊鏈用作域名和公鑰的分布式賬本。另外，CertCoin提供了公共和可審計(jì)的PKI，也沒有單點(diǎn)故障。

啟動(dòng)REMME為每個(gè)設(shè)備提供基于區(qū)塊鏈的特定SSL證書，防止入侵者偽造證書，而技術(shù)研究公司Pomcor發(fā)布了基于區(qū)塊鏈的PKI的藍(lán)圖，該區(qū)塊鏈?zhǔn)褂脜^(qū)塊鏈來(lái)存儲(chǔ)頒發(fā)和吊銷證書的散列(盡管在這個(gè)例子中，仍然需要CA)。

如果愛沙尼亞的數(shù)據(jù)安全創(chuàng)業(yè)公司Guardtime是可以通過的話，也許PKI可以被直接取代。該公司一直在使用區(qū)塊鏈創(chuàng)建無(wú)鑰匙簽名基礎(chǔ)設(shè)施(KSI)，取代PKI。保護(hù)時(shí)間已經(jīng)成長(zhǎng)為“ 按收入、員工人數(shù)和實(shí)際客戶部署計(jì)算的世界上最大的blockchain公司 ”，而且它已獲得所有的愛沙尼亞百萬(wàn)健康記錄與該技術(shù)在2016年。

布坎南說：“目前我們依靠PKI來(lái)建立我們的信任基礎(chǔ)設(shè)施，但這往往是有缺陷的，尤其是在網(wǎng)絡(luò)犯罪分子現(xiàn)在正在建立他們自己的數(shù)字證書的時(shí)候。通過區(qū)塊鏈方法，我們可以使用公民生成的身份來(lái)簽署交易。”

5. 更安全的DNS

Mirai 僵尸網(wǎng)絡(luò)表明，犯罪分子是如何輕而易舉地破壞關(guān)鍵的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的。通過減少大多數(shù)主要網(wǎng)站的域名系統(tǒng)(DNS)服務(wù)提供商，攻擊者能夠切斷對(duì)Twitter、Netflix、PayPal和其他服務(wù)的訪問。從理論上說，區(qū)塊鏈存儲(chǔ)DNS條目的方法可以通過移除單個(gè)可攻擊目標(biāo)來(lái)提高安全性。

Nebulis是一個(gè)探索分布式DNS概念的新項(xiàng)目，在大量的訪問請(qǐng)求下，這個(gè)概念從來(lái)就不會(huì)失敗。Nebulis使用Ethereum blockchain和Interplanetary Filesystem(IPFS)(一種分布式的HTTP替代品)來(lái)注冊(cè)和解析域名。布坎南說：“在互聯(lián)網(wǎng)的核心，我們看到諸如DNS這樣的關(guān)鍵服務(wù)提供了大規(guī)模停機(jī)的機(jī)會(huì)，也是對(duì)組織的黑客攻擊。因此，使用區(qū)塊鏈方法的更可信的DNS基礎(chǔ)架構(gòu)將大大地幫助互聯(lián)網(wǎng)的核心信任基礎(chǔ)設(shè)施。“

6. 減少DDoS攻擊

Blockchain初創(chuàng)公司Gladius聲稱，其分散式賬本系統(tǒng)有助于防止分布式拒絕服務(wù)(DDoS)攻擊，這是一個(gè)重要的主張，當(dāng)攻擊的速度超過100Gbps。該公司表示，其分散的解決方案可以通過“允許您連接到您附近的保護(hù)池來(lái)提供更好的保護(hù)并加速您的內(nèi)容”來(lái)防范此類攻擊。

有趣的是，Gladius聲稱，分散的網(wǎng)絡(luò)允許用戶將額外的帶寬租借出去，這些額外的帶寬“分配給節(jié)點(diǎn)，然后在DDoS攻擊下將帶寬分流到網(wǎng)站，以確保它們保持在最低限度”。繁忙時(shí)間(沒有DDoS攻擊)，Gladius說其網(wǎng)絡(luò)“通過充當(dāng)內(nèi)容交付網(wǎng)絡(luò)來(lái)加速訪問互聯(lián)網(wǎng)”。

區(qū)塊鏈安全不是萬(wàn)能的

然而區(qū)塊鏈并不是萬(wàn)能的，從技術(shù)的復(fù)雜性和無(wú)數(shù)的系統(tǒng)到實(shí)現(xiàn)它并不能保證100%的安全。布坎南關(guān)心的問題是可以適用的交易速度的限制，以及“信息是否應(yīng)該存儲(chǔ)在區(qū)塊鏈上”。

Buchanan說：“2018年需要將密碼學(xué)應(yīng)用于我們所有的數(shù)據(jù)，而區(qū)塊鏈將為跨組織擴(kuò)展提供基礎(chǔ)。主要挑戰(zhàn)將是擺脫現(xiàn)有的傳統(tǒng)IT基礎(chǔ)架構(gòu)，并圍繞區(qū)塊鏈構(gòu)建核心架構(gòu)。一個(gè)核心元素將是創(chuàng)建密鑰對(duì) – 用公鑰和私鑰 – 來(lái)識(shí)別個(gè)人。不幸的是，我們的執(zhí)法基礎(chǔ)設(shè)施仍然側(cè)重于傳統(tǒng)的信息技術(shù)方法，向區(qū)塊鏈方式轉(zhuǎn)變將涉及隱私權(quán)與社會(huì)保護(hù)自身權(quán)利之間的緊張關(guān)系。”

本文翻譯自CSOonline