王懷伯

（上海物盾信息科技有限公司，上海 201106）

0 引 言

區(qū)塊鏈技術(shù)引起了學(xué)術(shù)與商業(yè)團(tuán)體的廣泛興趣。區(qū)塊鏈具有不可更改的特點(diǎn)，其用于供應(yīng)鏈應(yīng)用中產(chǎn)品追蹤，在物聯(lián)網(wǎng)、能源、醫(yī)療、政務(wù)等領(lǐng)域也得到應(yīng)用[1,2]。

區(qū)塊鏈產(chǎn)生的應(yīng)用場景是一群互不相相識(shí)的人通過網(wǎng)絡(luò)做交易，需要網(wǎng)絡(luò)不做假設(shè)有信任的前提下建立應(yīng)用需要的信任。區(qū)塊鏈應(yīng)用稱是無信任的，區(qū)塊鏈也稱為無信任網(wǎng)絡(luò)[3]。

在同一時(shí)期，安全領(lǐng)域有了新的發(fā)展，零信任網(wǎng)絡(luò)被提出[4]。

隨著企業(yè)傳統(tǒng)網(wǎng)絡(luò)與數(shù)據(jù)中心向承載動(dòng)態(tài)工作負(fù)荷的云計(jì)算環(huán)境轉(zhuǎn)移，企業(yè)網(wǎng)絡(luò)正經(jīng)歷最顯著的安全轉(zhuǎn)型。企業(yè)網(wǎng)絡(luò)不再是設(shè)備物理上都在辦公室墻內(nèi)，跟互聯(lián)網(wǎng)也不再是一（防火）墻之隔，企業(yè)很難定義安全邊界。它突出了企業(yè)網(wǎng)絡(luò)的安全問題，在概念上區(qū)別于局域網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)。

無信任與零信任，不論字面上差異如何，都是從信任角度設(shè)計(jì)技術(shù)體系。技術(shù)思想有沒有互通性是很自然的問題，也得到學(xué)者研究[5,6]。

本文先對(duì)二者的技術(shù)體系進(jìn)行了概括，通過對(duì)二者的比較，得出零信任的目標(biāo)高于區(qū)塊鏈。通過對(duì)區(qū)塊鏈技術(shù)特色的發(fā)掘，發(fā)現(xiàn)區(qū)塊鏈的技術(shù)思想能給零信任網(wǎng)絡(luò)啟發(fā)。

1 區(qū)塊鏈的信任及技術(shù)體系

1.1 無信任網(wǎng)絡(luò)的內(nèi)涵

區(qū)塊鏈?zhǔn)且蝗航灰渍吲c證人的網(wǎng)絡(luò)，互不信任客觀的存在，不是不信任，是沒有根據(jù)去信任，不能也不敢信任，這是心理。理論上只要資源足夠，能做到數(shù)據(jù)庫被篡改了卻查不出來 。不信任是出于猜忌，數(shù)據(jù)庫可更改是猜忌的理論基礎(chǔ)，在博彩系統(tǒng)猜忌消除不了。

1.2 區(qū)塊鏈的技術(shù)體系

通過簽名驗(yàn)證來建立對(duì)交易信息由發(fā)出者發(fā)出這一事實(shí)的信任。在客觀互不信任的場景下，區(qū)塊鏈通過以帳本形式公開交易，并由多方見證來建立最終信任。以帳本為中心形成如下技術(shù)體系。

（1）多見證人。帳本由多人見證，是大家共同認(rèn)可的事實(shí)。就跟法庭認(rèn)定法律事實(shí)一樣，不論客觀事實(shí)如何，帳本上的就是事實(shí)。通過多方見證建立對(duì)“法律事實(shí)”的信任，防范舞弊，目標(biāo)是防止欺詐。

（2）不可更改。不可更改是共知的區(qū)塊鏈特點(diǎn)，每個(gè)塊由一個(gè)見證人簽名，后一塊引用前一塊，這樣形成對(duì)帳本的共同簽名。這也是一種多重簽名的形式。

密碼學(xué)本來就能發(fā)現(xiàn)篡改。區(qū)塊鏈的價(jià)值在于加強(qiáng)了篡改的難度。沒有區(qū)塊鏈盜用一把私鑰就能解決問題，有區(qū)塊鏈要盜用所涉及的所有私鑰才能篡改。

1.3 區(qū)塊鏈的技術(shù)特色

區(qū)塊鏈對(duì)帳本的信任建立在多見證人多重簽名基礎(chǔ)上，通過多方參與形成去中心化結(jié)構(gòu)，防止欺詐。區(qū)塊鏈天然能防范內(nèi)部攻擊者，而內(nèi)部攻擊長期是一個(gè)待解決的安全問題[7]。

多方參與在區(qū)塊鏈應(yīng)用中也得到應(yīng)用。多重簽名能實(shí)現(xiàn)多人共同管理一個(gè)帳號(hào)。在常規(guī)應(yīng)用中，這樣的場景也并不鮮見，如辦公自動(dòng)化中，申請(qǐng)需要多人簽字批準(zhǔn)。

1.4 區(qū)塊鏈的技術(shù)盲區(qū)

區(qū)塊鏈著眼人，但交易的過程由計(jì)算機(jī)系統(tǒng)完成，其技術(shù)體系沒有涉及計(jì)算機(jī)系統(tǒng)的保護(hù)。

區(qū)塊鏈也不是沒有技術(shù)上限，不做信任假設(shè)卻不能假設(shè)私鑰被盜與見證人集體一邊倒舞弊只是假設(shè)。而且能做到的信任， 也是對(duì)“法律”事實(shí)的信任。

2 零信任網(wǎng)絡(luò)的信任及技術(shù)體系

2.1 零信任的內(nèi)涵

零信任網(wǎng)絡(luò)的思想精髓是“未曾信任，一直驗(yàn)證 ”[4]?！拔丛倍质钦f過去沒信任過，所以現(xiàn)在不能信任，需要通過驗(yàn)證。但下次來，這次已成過去，在下次仍是沒有信任過。不是不信任，只是每次要接受驗(yàn)證。 因?yàn)椤拔丛保?所以每次要重新驗(yàn)證。

零信任網(wǎng)絡(luò)不僅要驗(yàn)證人，移動(dòng)設(shè)備也需要通過驗(yàn)證，而且網(wǎng)絡(luò)連接的建立也要經(jīng)過驗(yàn)證,所以零信任網(wǎng)絡(luò)要建立更為廣泛的信任[4,8]。

2.2 零信任的技術(shù)體系

基礎(chǔ)設(shè)施（指在場服務(wù)器、云里虛擬機(jī)、容器、與微服務(wù)等）是企業(yè)網(wǎng)絡(luò)安全涉及的主要對(duì)象。安全團(tuán)隊(duì)最終目標(biāo)是要保護(hù)數(shù)據(jù)。為此要防止入侵，數(shù)據(jù)不能泄密、不能讓任何人能隨意訪問。針對(duì)企業(yè)網(wǎng)絡(luò)的實(shí)際情況零信任網(wǎng)絡(luò)提出了7個(gè)理念[8]。

零信任網(wǎng)絡(luò)理念的核心是人與設(shè)備、資源、規(guī)則。由一直驗(yàn)證、規(guī)則動(dòng)態(tài)變化的身份與訪問管理（Identity and Access Management，IAM）、受保護(hù)的通信與系統(tǒng)一起構(gòu)成如下技術(shù)體系。

2.2.1 驗(yàn) 證

沒有隱式信任[4]。資源需要知道是誰在訪問它。驗(yàn)證是動(dòng)態(tài)的。訪問授權(quán)受動(dòng)態(tài)規(guī)則控制。

對(duì)訪問請(qǐng)求者身份的驗(yàn)證是訪問控制的基礎(chǔ)。多因子身份驗(yàn)證需要受驗(yàn)證者提供多個(gè)驗(yàn)證因子。這個(gè)在互聯(lián)網(wǎng)應(yīng)用已經(jīng)廣泛使用，如口令加手機(jī)驗(yàn)證碼。

零信任網(wǎng)絡(luò)的微隔離需要把驗(yàn)證下移到單個(gè)包，對(duì)網(wǎng)絡(luò)連接進(jìn)行驗(yàn)證。首包認(rèn)證是一個(gè)包級(jí)認(rèn)證的例子[8]。

2.2.2 系統(tǒng)安全

零信任網(wǎng)絡(luò)的終極目標(biāo)是保護(hù)資源，而資源由系統(tǒng)支撐。系統(tǒng)能隨便被入侵，資源就沒有了安全。企業(yè)需要保證系統(tǒng)能在最安全的狀態(tài)，并監(jiān)視保證他們能在最安全的狀態(tài)。

系統(tǒng)安全并不是一個(gè)新問題。入侵檢測系統(tǒng)監(jiān)控網(wǎng)絡(luò)中發(fā)生的事件并對(duì)它們進(jìn)行分析，以確定是否存在與安全策略不符、可能引發(fā)事故、違規(guī)或迫在眉睫的威脅跡象。入侵防御系統(tǒng)執(zhí)行入侵檢測，然后阻止檢測到的事故。

2.2.3 通信安全

對(duì)所有的通信進(jìn)行保護(hù)，保證敏感信息在網(wǎng)絡(luò)傳輸中沒有被竊取。零信任網(wǎng)絡(luò)的目標(biāo)是保護(hù)資源。但對(duì)網(wǎng)絡(luò)消息的保密是綜合的。即使是非商業(yè)信息，不加保護(hù)，也可能被攻擊者收集用于分析計(jì)算機(jī)系統(tǒng)的漏洞從而發(fā)起網(wǎng)絡(luò)攻擊，危及系統(tǒng)安全。

2.2.4 規(guī) 則

零信任網(wǎng)絡(luò)是由規(guī)則引擎、規(guī)則實(shí)施點(diǎn)、規(guī)則管理員組成的全網(wǎng)絡(luò)統(tǒng)一訪問控制體系。

設(shè)備、數(shù)據(jù)源、應(yīng)用、基礎(chǔ)實(shí)施等全網(wǎng)絡(luò)的安全信號(hào)信息匯集到管理員。安全信號(hào)信息包括用戶、位置、設(shè)備合規(guī)、數(shù)據(jù)敏感性、應(yīng)用敏感性等。管理員不停評(píng)估安全情勢，及時(shí)更新規(guī)則。管理員掌控全網(wǎng)的安全情勢。

全網(wǎng)絡(luò)的安全信號(hào)信息數(shù)量會(huì)很龐大。智能分析威脅的工具會(huì)分析這些安全信號(hào)信息，生成高質(zhì)量的安全評(píng)估報(bào)告，并對(duì)安全威脅進(jìn)行主動(dòng)響應(yīng)。

2.2.5 微隔離

微隔離把企業(yè)與邊緣網(wǎng)絡(luò)分成小微分段，對(duì)要保護(hù)單個(gè)資源設(shè)置安全規(guī)則、進(jìn)行安全控制、驗(yàn)證身份，建立信任。通過微隔離，身份與訪問控制管理對(duì)每個(gè)微區(qū)間進(jìn)行。設(shè)置細(xì)粒度的安全規(guī)則，保證在允許關(guān)鍵服務(wù)與用戶訪問需要的資源的同時(shí)減小不必要與未授權(quán)的訪問。

傳統(tǒng)入侵檢測系統(tǒng)（Intrusion Detection System，IDS）與入侵防御系統(tǒng)（Intrusion Prevention System，IPS）是為檢查與保護(hù)南北向進(jìn)入數(shù)據(jù)中心的流量設(shè)計(jì)的。微隔離使企業(yè)能對(duì)日益增長的東西向流量進(jìn)行更大的控制。這些流量發(fā)生在服務(wù)器間，并且旁通了針對(duì)周邊的安全工具。如果出現(xiàn)缺口，則微隔離能限制黑客伸向橫向的服務(wù)器。

3 比 較

3.1 問題不同

零信任網(wǎng)絡(luò)是解決整個(gè)網(wǎng)絡(luò)的問題，而區(qū)塊鏈?zhǔn)墙鉀Q單一應(yīng)用的問題。

零信任網(wǎng)絡(luò)的驗(yàn)證對(duì)象訪問網(wǎng)絡(luò)的人、網(wǎng)絡(luò)連接的請(qǐng)求者與接入網(wǎng)絡(luò)的移動(dòng)設(shè)備，驗(yàn)證由每個(gè)驗(yàn)證者完成。

3.2 理念不同

雖然都提信任，但解決的問題實(shí)質(zhì)不同，理念自然不同。區(qū)塊鏈?zhǔn)峭ㄟ^多人見證防止舞弊，零信任采用強(qiáng)化訪問控制的綜合安全手段。

4 啟 示

對(duì)比二者還能看到各自的技術(shù)盲目區(qū)正是另一者所長。區(qū)塊鏈在防止內(nèi)部攻擊者方面有明顯的優(yōu)勢。從零信任網(wǎng)絡(luò)的角度，這在技術(shù)思想上的啟示可發(fā)掘。

入侵檢測是保證計(jì)算機(jī)系統(tǒng)處于受保護(hù)狀態(tài)的關(guān)鍵環(huán)節(jié)。一個(gè)系統(tǒng)被侵入就成為內(nèi)部攻擊者。協(xié)同入侵檢測系統(tǒng)正是發(fā)掘了區(qū)塊鏈的這一技術(shù)思想[5,6]。

區(qū)塊鏈多重簽名的思想能用于設(shè)計(jì)更強(qiáng)的訪問控制規(guī)則用于防止內(nèi)部攻擊者，領(lǐng)導(dǎo)簽字批準(zhǔn)是一個(gè)常見的辦公流程。不用領(lǐng)導(dǎo)參與，采用規(guī)則可要求兩人或多人同時(shí)簽字才能訪問資源?，F(xiàn)實(shí)中訪客需要有人陪同。企業(yè)網(wǎng)絡(luò)中也能要求訪客有人“陪同”。

此外，區(qū)塊鏈的不可更改已用在供應(yīng)鏈溯源中。采購網(wǎng)絡(luò)設(shè)備被調(diào)包可通過區(qū)塊鏈溯源。

5 結(jié) 論

二者技術(shù)目標(biāo)不同，零信任網(wǎng)絡(luò)高于區(qū)塊鏈。區(qū)塊鏈對(duì)零信任網(wǎng)絡(luò)防范內(nèi)部攻擊者有借鑒意義。