◆吳剛

基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)安全應(yīng)用技術(shù)研究

◆吳剛

（國家移民管理局信息科技司 北京 100741）

互聯(lián)網(wǎng)已經(jīng)成為現(xiàn)代社會(huì)人們?nèi)粘Ｉ詈凸ぷ鞯谋匾A(chǔ)，人們?cè)絹碓街匾晹?shù)據(jù)信息的保密性和安全性。然而，傳統(tǒng)的網(wǎng)絡(luò)安全模式已經(jīng)不能滿足新時(shí)代的發(fā)展需要，不能很好的實(shí)現(xiàn)對(duì)數(shù)據(jù)和信息的合理保護(hù)。傳統(tǒng)的網(wǎng)絡(luò)安全模式已經(jīng)不能適應(yīng)現(xiàn)代互聯(lián)網(wǎng)的快速發(fā)展。區(qū)塊鏈技術(shù)的廣泛使用不單大幅提高了計(jì)算機(jī)信息的交換能力，還能有效保護(hù)網(wǎng)絡(luò)信息的私密性。因此，利用區(qū)塊鏈技術(shù)保護(hù)網(wǎng)絡(luò)安全具有很高的應(yīng)用價(jià)值。

區(qū)塊鏈技術(shù)；網(wǎng)絡(luò)安全應(yīng)用；技術(shù)研究

區(qū)塊鏈技術(shù)主要是一種分布式的去中心化的總賬技術(shù)，此技術(shù)不但可以安全有效解決網(wǎng)絡(luò)信任的問題，還可以在網(wǎng)絡(luò)安全方面建立一個(gè)由所有節(jié)點(diǎn)運(yùn)行的分散分布式系統(tǒng)架構(gòu)來管理數(shù)據(jù)，從而避免由于中心節(jié)點(diǎn)故障造成的網(wǎng)絡(luò)安全事故。保證了數(shù)據(jù)的隱私性，也保證了數(shù)據(jù)記錄的公平性和準(zhǔn)確性[1]。

1 網(wǎng)絡(luò)安全的主要風(fēng)險(xiǎn)

隨著網(wǎng)絡(luò)信息技術(shù)的不斷更新和數(shù)據(jù)量的不斷增加，網(wǎng)絡(luò)信息風(fēng)險(xiǎn)也越來越大。雖然網(wǎng)絡(luò)系統(tǒng)具有巨大的功能，但它相對(duì)脆弱。表現(xiàn)為惡意攻擊往往會(huì)引發(fā)較多的安全問題，一旦這些用戶受到網(wǎng)絡(luò)攻擊，就會(huì)引發(fā)一系列的網(wǎng)絡(luò)安全事件。此外，在過去的兩年里，物聯(lián)網(wǎng)逐漸出現(xiàn)，將原來的虛擬互聯(lián)網(wǎng)與物理對(duì)象聯(lián)系起來，雖然擴(kuò)展了網(wǎng)絡(luò)空間，但也增加了安全風(fēng)險(xiǎn)，嚴(yán)重時(shí)甚至?xí)?dǎo)致系統(tǒng)癱瘓[2]。此外，一些系統(tǒng)的功能設(shè)置不完善，存在設(shè)置漏洞，增加了計(jì)算機(jī)使用的風(fēng)險(xiǎn)。雖然采取了相應(yīng)的安全措施，但效果并不明顯，網(wǎng)絡(luò)安全問題無法從根本上解決。

2 區(qū)塊鏈簡(jiǎn)介

區(qū)塊鏈屬于一種應(yīng)用模型，它可以實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信和數(shù)據(jù)加密的基本功能，同一時(shí)間在各不相同網(wǎng)絡(luò)節(jié)點(diǎn)之間建立信任協(xié)議，進(jìn)而獲取相關(guān)的操作權(quán)限，這也可以解釋為一種數(shù)學(xué)算法。廣義來講，區(qū)塊鏈技術(shù)使用區(qū)塊鏈算法設(shè)計(jì)來查驗(yàn)和傳送相關(guān)的數(shù)據(jù)信息，同一時(shí)間使用由自動(dòng)化腳本代碼組合而成的區(qū)塊鏈智能合約來實(shí)現(xiàn)操作步驟。從狹義上講，區(qū)塊鏈技術(shù)應(yīng)屬于一種鏈?zhǔn)剿惴ㄔO(shè)計(jì)，它是由按先后順序聯(lián)接的數(shù)據(jù)信息塊組合而成的。區(qū)塊鏈技術(shù)的顯著特點(diǎn)主要包括以下幾個(gè)方面：第一，匿名性。應(yīng)用于不同網(wǎng)絡(luò)節(jié)點(diǎn)之間信息交換指定的數(shù)據(jù)算法，以及多個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)交換不需要基于信任。從這個(gè)角度來看，一個(gè)交易方不需要通過公開身份獲得另一方的信任。第二，開放性。系統(tǒng)本身是開放的。除去數(shù)據(jù)加密雙方的用戶信息外，區(qū)塊鏈技術(shù)的數(shù)據(jù)信息是公開透明的，所有的使用者都是可以通過相對(duì)應(yīng)的數(shù)據(jù)接口查閱區(qū)塊鏈的數(shù)據(jù)信息。第三，相關(guān)信息無法被篡改。一旦相關(guān)信息被查驗(yàn)并增添到區(qū)塊鏈，它將被無限期儲(chǔ)存，而且唯有當(dāng)超出51%的網(wǎng)絡(luò)節(jié)點(diǎn)被同時(shí)有效控制時(shí)，它才能夠被篡改，換句話說，區(qū)塊鏈數(shù)據(jù)信息擁有高穩(wěn)定性能和可信性。第四，自治性。區(qū)塊鏈技術(shù)是依托于相關(guān)的網(wǎng)絡(luò)協(xié)議來控制系統(tǒng)的技術(shù)規(guī)范，這使得控制系統(tǒng)中的每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)在可信任的網(wǎng)絡(luò)環(huán)境中安全可靠地互相交換數(shù)據(jù)信息，或者說，原先對(duì)人的信任協(xié)議被有效轉(zhuǎn)化為對(duì)網(wǎng)絡(luò)機(jī)器的信任協(xié)議，而所有的人為干預(yù)都不會(huì)影響區(qū)塊鏈的數(shù)據(jù)穩(wěn)定性。

3 區(qū)塊鏈的特點(diǎn)和優(yōu)勢(shì)

3.1 區(qū)塊鏈的特點(diǎn)

首先，區(qū)塊鏈技術(shù)主要采用分布式架構(gòu)和自治管理機(jī)制，網(wǎng)絡(luò)空間中的所有的網(wǎng)絡(luò)節(jié)點(diǎn)都具有安全風(fēng)險(xiǎn)管理功能模塊。網(wǎng)絡(luò)節(jié)點(diǎn)達(dá)到自治后，就可以獨(dú)立自主運(yùn)行相關(guān)的網(wǎng)絡(luò)協(xié)議，達(dá)到對(duì)惡意攻擊的自我防御。從這個(gè)角度來看，區(qū)塊鏈可以在不安全的環(huán)境中運(yùn)行，并且可以同時(shí)防止和控制內(nèi)部和外部入侵。其次，區(qū)塊鏈采用了一致安全機(jī)制，可以在整個(gè)網(wǎng)絡(luò)中分配資源來預(yù)防和控制入侵，并通過多個(gè)信任節(jié)點(diǎn)一致的來預(yù)防和控制小節(jié)點(diǎn)的入侵，從而大大提高了安全防控效果。每個(gè)節(jié)點(diǎn)都可以逐個(gè)入侵外部或內(nèi)部的入侵，但在每個(gè)節(jié)點(diǎn)實(shí)現(xiàn)獨(dú)立防控并形成一個(gè)整體控制的環(huán)境下，這種不良的入侵行為一定也會(huì)被快速地控制住。最后，區(qū)塊鏈應(yīng)用的安全機(jī)制可以無限擴(kuò)展，通過相關(guān)技術(shù)，可與其他安全技術(shù)相融合，形成具有行業(yè)特色的靈活安全機(jī)制?；谶@一性能，區(qū)塊鏈可以在開放的網(wǎng)絡(luò)環(huán)境中安全運(yùn)行，為網(wǎng)絡(luò)安全管理提供了重要的基礎(chǔ)。

3.2 區(qū)塊鏈的優(yōu)勢(shì)

區(qū)塊鏈技術(shù)最初并不應(yīng)用于計(jì)算機(jī)安全，而是應(yīng)用于比特幣，這是一個(gè)去中心化的數(shù)據(jù)庫，它采用點(diǎn)對(duì)點(diǎn)的方式完成數(shù)據(jù)傳輸，然后通過由特殊密碼組成的模塊連接形成一個(gè)數(shù)據(jù)網(wǎng)絡(luò)。因此，區(qū)塊鏈技術(shù)的安全性能普遍較高，這使得系統(tǒng)更加獨(dú)立，不易受其他因素的影響。此外，區(qū)塊鏈技術(shù)還具有數(shù)據(jù)庫功能，可以實(shí)現(xiàn)數(shù)據(jù)共享，具有一定的開放性。當(dāng)用戶使用它時(shí)，他們只需要獲得一個(gè)端口，為了保證用戶數(shù)據(jù)使用的安全性，信任主要給予第三方機(jī)器系統(tǒng)，因此，利用區(qū)塊鏈地區(qū)的分布式特點(diǎn)，完全可以重新建立一個(gè)可以有效抵抗服務(wù)攻擊的程序系統(tǒng)，但它仍然存在一些缺陷[3]。區(qū)塊鏈技術(shù)的缺陷也會(huì)影響網(wǎng)絡(luò)安全防護(hù)的性能。因此，在具體應(yīng)用中，應(yīng)最大限度地避免缺陷對(duì)區(qū)塊鏈技術(shù)應(yīng)用性能的影響，從而保證網(wǎng)絡(luò)被高效保護(hù)。

4 區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

4.1 實(shí)現(xiàn)網(wǎng)絡(luò)上的可靠通信

區(qū)域塊鏈技術(shù)的應(yīng)用可以實(shí)現(xiàn)任何網(wǎng)絡(luò)環(huán)境下的安全數(shù)據(jù)交換。采用的信息傳輸技術(shù)可以在極短的時(shí)間內(nèi)就可以將相關(guān)數(shù)據(jù)發(fā)送至全球任何一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)。所以在網(wǎng)絡(luò)全球化中，所有節(jié)點(diǎn)都可以提供這種服務(wù)。如果地面或無線網(wǎng)絡(luò)服務(wù)器出現(xiàn)故障，傳遞可以通過傳真等其他渠道進(jìn)行。就區(qū)塊鏈而言，任何重要的集中式節(jié)點(diǎn)都不能被中斷。因此，即使大多數(shù)節(jié)點(diǎn)的連接中斷，區(qū)域網(wǎng)絡(luò)仍然可以保持正常運(yùn)行。

4.2 網(wǎng)絡(luò)隱私保護(hù)

將區(qū)塊鏈技術(shù)結(jié)合離線數(shù)據(jù)庫將數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)查看權(quán)限分開，當(dāng)某個(gè)程序需要訪問讀取相關(guān)的數(shù)據(jù)時(shí)，首先發(fā)出數(shù)據(jù)訪問請(qǐng)求并將其記錄到區(qū)塊鏈。安全保護(hù)系統(tǒng)檢查區(qū)塊鏈的訪問指定和訪問權(quán)限，以確認(rèn)應(yīng)用程序是否可以訪問相應(yīng)的數(shù)據(jù)權(quán)限。如果檢查通過，操作將記錄在區(qū)塊鏈，數(shù)據(jù)將通過數(shù)據(jù)庫返回到應(yīng)用程序。因?yàn)閰^(qū)塊鏈已經(jīng)完全記錄了應(yīng)用程序的行為，這個(gè)系統(tǒng)中的用戶可以隨時(shí)改變對(duì)數(shù)據(jù)的訪問權(quán)限。

4.3 數(shù)字簽名

數(shù)字簽名是一種用于驗(yàn)證文件或數(shù)據(jù)的完整性和來源的技術(shù)，確保文件或數(shù)據(jù)未被修改且不能被拒絕。

基于KSI（無鑰匙簽名基礎(chǔ)設(shè)施）的簽名系統(tǒng)是基于區(qū)塊鏈技術(shù)的無鑰匙簽名認(rèn)證系統(tǒng)。KSI是一個(gè)多重簽名系統(tǒng)，也就是說，每個(gè)時(shí)隙可以同時(shí)簽署多個(gè)文件。在每個(gè)時(shí)隙，系統(tǒng)收集當(dāng)前需要簽名的所有文件的哈希值。該系統(tǒng)以哈希值作為節(jié)點(diǎn)，將其記錄在區(qū)塊鏈，并以分布式方式存儲(chǔ)在每個(gè)節(jié)點(diǎn)上。區(qū)塊鏈確保記錄的根節(jié)點(diǎn)值不會(huì)被篡改。在系統(tǒng)發(fā)布記錄根節(jié)點(diǎn)值的塊之后，文件發(fā)送方將相應(yīng)的根節(jié)點(diǎn)值、時(shí)間戳和其他信息構(gòu)建到相應(yīng)文件的簽名中。發(fā)送文件時(shí)，文件發(fā)送者需要同時(shí)將文件和相應(yīng)的簽名發(fā)送給文件接收者。在接收到文件和相應(yīng)的簽名后，接收者需要驗(yàn)證文件簽名。接收者提取簽名中的節(jié)點(diǎn)信息，運(yùn)行哈希算法，建立Merkle樹并計(jì)算根節(jié)點(diǎn)值。接收器計(jì)算根節(jié)點(diǎn)值后，將其與存儲(chǔ)在區(qū)塊鏈的數(shù)據(jù)進(jìn)行比較。如果二者相等，則可以驗(yàn)證文件的完整性。

4.4 物聯(lián)網(wǎng)設(shè)備權(quán)限

設(shè)備可以相互通信或相互控制，例如訪問數(shù)據(jù)。只有當(dāng)設(shè)備擁有權(quán)限時(shí)，才能執(zhí)行相關(guān)的指令。然后相關(guān)的通信數(shù)據(jù)或指令記錄在區(qū)塊鏈上。在系統(tǒng)運(yùn)行期間，設(shè)備需要相互通信或控制。在獲得系統(tǒng)分發(fā)的密鑰進(jìn)行通信或控制之前，設(shè)備需要得到用戶的授權(quán)，從而確保權(quán)限安全性和通信隱私。設(shè)備之間的通信和控制指令按照時(shí)間順序記錄到區(qū)塊鏈。在記錄指令的塊被地區(qū)塊鏈系統(tǒng)釋放之后，在指令可以被執(zhí)行之前，設(shè)備標(biāo)識(shí)和權(quán)限被確認(rèn)。

4.5 抵制DDoS攻擊

基于區(qū)塊鏈的系統(tǒng)可以提供一個(gè)沒有中心節(jié)點(diǎn)的分布式系統(tǒng)結(jié)構(gòu)，并且系統(tǒng)所需的數(shù)據(jù)完全存儲(chǔ)在多個(gè)設(shè)備中。區(qū)塊鏈的每個(gè)節(jié)點(diǎn)都有完整的數(shù)據(jù)，并且可以驗(yàn)證其他節(jié)點(diǎn)數(shù)據(jù)的有效性。即使一個(gè)節(jié)點(diǎn)被攻破，整個(gè)系統(tǒng)也不會(huì)完全癱瘓。其余節(jié)點(diǎn)仍能維持整個(gè)區(qū)塊鏈系統(tǒng)的正常運(yùn)行，并且還可以智能修復(fù)受損節(jié)點(diǎn)的損壞的數(shù)據(jù)和功能。因此，區(qū)塊鏈技術(shù)完全可以有效地抵御DDoS攻擊。

4.6 增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)和共享能力

過去，網(wǎng)絡(luò)空間的安全主要基于邊界保護(hù)，但都以加密和信任為前提。然而，經(jīng)過多年的實(shí)踐，可以看出這種安全保護(hù)模式的可靠性和穩(wěn)定性較差。但是，區(qū)塊鏈不需要基于積木式技術(shù)和信任，采用反向連接數(shù)據(jù)結(jié)構(gòu)和一致性為區(qū)塊鏈的所有數(shù)據(jù)提供安全保護(hù)。

數(shù)據(jù)信息可以為相關(guān)工作提供更好的服務(wù)，不同的工作階段對(duì)數(shù)據(jù)有不同的需求。利用區(qū)塊鏈技術(shù)不僅可以實(shí)現(xiàn)數(shù)據(jù)信息的高層次保護(hù)，還可以實(shí)現(xiàn)數(shù)據(jù)共享，從而為數(shù)據(jù)通信提供便利。因此，相關(guān)部門可以利用區(qū)塊鏈技術(shù)來完成數(shù)據(jù)的監(jiān)督管理。例如，對(duì)于電網(wǎng)企業(yè)來說，數(shù)據(jù)規(guī)模普遍較大，傳統(tǒng)的安全保護(hù)措施仍然相對(duì)較低，導(dǎo)致數(shù)據(jù)資源經(jīng)常被竊取，容易受到網(wǎng)絡(luò)黑客的攻擊。隨著信息技術(shù)的不斷更新和發(fā)展，利用區(qū)塊鏈技術(shù)可以有效實(shí)現(xiàn)對(duì)電網(wǎng)資源的合理保護(hù)，為電力在網(wǎng)絡(luò)中的便捷流通提供便利，減少對(duì)常規(guī)網(wǎng)絡(luò)的依賴，從而降低數(shù)據(jù)和信息被竊取風(fēng)險(xiǎn)，從而有效提高電力企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)。

5 結(jié)論

不斷將區(qū)塊鏈技術(shù)應(yīng)用于網(wǎng)絡(luò)安全保護(hù)，對(duì)于有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，避免網(wǎng)絡(luò)系統(tǒng)癱瘓，有效提高用戶數(shù)據(jù)信息的安全性和隱私性具有至關(guān)重要的作用。因此，我們首先要認(rèn)識(shí)和了解破壞網(wǎng)絡(luò)安全的主要風(fēng)險(xiǎn)和區(qū)塊鏈技術(shù)的特點(diǎn)，然后從增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)和共享能力，同時(shí)，當(dāng)服務(wù)器癱瘓時(shí)，它可以提供一個(gè)備份通道來傳輸數(shù)據(jù)，保證信息傳輸?shù)姆€(wěn)定性。同時(shí)，它還能保證塊網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的完整性，有效防止和控制惡意攻擊。

[1]李槐，章泳.人工智能技術(shù)在網(wǎng)絡(luò)空間安全防御中的應(yīng)用[J/0L]. 電子技術(shù)與軟件工程，2017，05（22）：256.

[2]張長(zhǎng)河.當(dāng)前網(wǎng)絡(luò)空間安全技術(shù)體系的缺陷與突破[J].信息安全研究，2017，03（12）：1141-1144.

[3]李鳳華.信息技術(shù)與網(wǎng)絡(luò)空間安全發(fā)展趨勢(shì)[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2015，01（01）：8-17.