區(qū)塊鏈可謂2018技術(shù)潮詞。但該分布式數(shù)字賬本還可引領(lǐng)更好的供應(yīng)鏈、更安全的IoT網(wǎng)絡(luò)和更可靠的DNS。

[[237424]]

7月9日，加密貨幣交易所Bancor聲明黑客入侵了該公司數(shù)字錢包，利用所獲密鑰盜取價值約2350萬美元的以太幣及其他數(shù)字貨幣。

這是建立在區(qū)塊鏈技術(shù)上的加密貨幣遭遇的最新一起數(shù)字盜竊案。不過，Bancor案中，該公司設(shè)立了內(nèi)置失效保護措施，成功找回約1000萬美元的自有數(shù)字貨幣BNT，有效限制了損失。

公司聲明中稱：“BNT令牌在竊案發(fā)生時被鎖定。我們堅信該功能是緊急狀態(tài)時保護網(wǎng)絡(luò)及令牌持有者的必備預(yù)防性措施。”

此事件同時彰顯了區(qū)塊鏈技術(shù)的安全風(fēng)險和安全前景。區(qū)塊鏈兼具去中心化和只認令牌不認人的特質(zhì)，意味著一旦被黑就可能導(dǎo)致巨大的損失。

但區(qū)塊鏈的核心功能——分布式數(shù)據(jù)庫、工作/狀態(tài)證明以及防篡改特性，能令采用區(qū)塊鏈技術(shù)的應(yīng)用程序占有安全優(yōu)勢。

人們或許有種區(qū)塊鏈等同于安全的誤解，但區(qū)塊鏈只有用對了才會是安全的，比如下面5種能為應(yīng)用增添安全的區(qū)塊鏈正確用法：

1. 更好的IoT網(wǎng)絡(luò)

聯(lián)網(wǎng)有限計算設(shè)備的數(shù)量成倍激增。在消費領(lǐng)域，這樣的聯(lián)網(wǎng)設(shè)備集群被稱為物聯(lián)網(wǎng)(IoT)，制造商和其他產(chǎn)品運營領(lǐng)域應(yīng)用類似的技術(shù)就被稱為工業(yè)控制網(wǎng)絡(luò)。

為保護此類網(wǎng)絡(luò)，公司企業(yè)需創(chuàng)建納入了所有授權(quán)設(shè)備的中央數(shù)據(jù)庫，持續(xù)更新設(shè)備添加和退出的注冊信息。將注冊功能放到區(qū)塊鏈，可以讓網(wǎng)絡(luò)管理員更便于添加各類可信設(shè)備到網(wǎng)絡(luò)中，比如無線路由器。

區(qū)塊鏈的目錄服務(wù)托管著所有被允許進入網(wǎng)絡(luò)的設(shè)備，沒注冊過的設(shè)備通過不了身份驗證，而準入決策可以發(fā)生在網(wǎng)絡(luò)邊界上。

2. 安全日志數(shù)據(jù)庫

基于區(qū)塊鏈的系統(tǒng)還可以用來跟蹤和驗證網(wǎng)絡(luò)設(shè)備的安全信息。運用區(qū)塊鏈技術(shù)，設(shè)備可以自動添加自身日志信息到區(qū)塊鏈上，且該信息無法被篡改或刪除，更為可信。

此類系統(tǒng)令設(shè)備能夠簡單地將具體事件添加到設(shè)備和系統(tǒng)間共享的自動更新的日志中。

數(shù)據(jù)記錄到區(qū)塊鏈上而不是添加到中心化的數(shù)據(jù)庫中，就可以得到所發(fā)生的事件的不可變記錄。

3. 保護供應(yīng)鏈

今年1月，IBM和航運巨頭馬士基成立了一家合資公司，探索將區(qū)塊鏈技術(shù)應(yīng)用到全球供應(yīng)鏈和航運業(yè)務(wù)上的方法。IBM估測，如果有更高效安全的貨物跟蹤過程，每年4萬億美元的貨運業(yè)能節(jié)省出1800億美元。

與當今貿(mào)易跟蹤生態(tài)環(huán)境中并不協(xié)調(diào)一致的組織相比，基于區(qū)塊鏈的系統(tǒng)可以讓多方機構(gòu)和組織共享同一個供應(yīng)鏈信息源，更好地評估風(fēng)險和產(chǎn)出更可信的信息。

很多其他行業(yè)也在尋求類似的應(yīng)用。比如說，發(fā)往敏感應(yīng)用的計算機和設(shè)備可以附帶收集了每個部件供應(yīng)鏈信息的材料清單。

了解每個部件的來源非常重要，因為牽涉多方，這些記錄必須要能防篡改。

4. 區(qū)塊鏈用以實現(xiàn)應(yīng)急處置

有多種方式可以攻擊依賴工作證明共識來向區(qū)塊鏈中添加交易的加密貨幣和智能合約。最直白的攻擊就是“51%攻擊”——攻擊者控制了網(wǎng)絡(luò)中半數(shù)以上節(jié)點即可發(fā)起拒絕服務(wù)攻擊或?qū)崿F(xiàn)雙重花費操作。

像Bancor一樣添加安全功能以撤回惡意交易，可以阻止攻擊并幫助公司企業(yè)從攻擊中恢復(fù)。但該方法犧牲了很多區(qū)塊鏈技術(shù)根植的去中心化思想。Bancor明顯只會在其3年試行期內(nèi)運用該技術(shù)，但仍堅持所有區(qū)塊鏈都需要此類應(yīng)急切換功能。

Bancor在聲明中稱：“我們希望永遠不要再次用到該安全功能，雖然我們這次被迫啟用該功能，我們?nèi)匀豢吹讲粩喟l(fā)展治理模型以允許不同權(quán)限配置代表社區(qū)行事的需求在上升。我們期望能繼續(xù)探討實現(xiàn)多種監(jiān)管模型以應(yīng)對各種可能出現(xiàn)的情況。”

5. 域名保護

今年4月，攻擊者利用互聯(lián)網(wǎng)系統(tǒng)發(fā)布新的網(wǎng)絡(luò)路由(所謂邊界網(wǎng)關(guān)協(xié)議：BGP)，目的是要竊聽對流行數(shù)字錢包MyEtherWallet.com的DNS請求，以便盜取執(zhí)行以太幣交易所需的信息并重定向這些請求到位于俄羅斯的服務(wù)器上。

互聯(lián)網(wǎng)安全很大程度上依賴DNS系統(tǒng)的正常運行。區(qū)塊鏈有助實現(xiàn)DNS正確運轉(zhuǎn)，與通過注冊機構(gòu) 不同，區(qū)塊鏈技術(shù)可令個人被驗證為某域名的擁有者并得到用以驗證該擁有關(guān)系的私鑰。

區(qū)塊鏈的去中心化本質(zhì)可讓驗證更為可靠，只要沒有私鑰，或者沒有多個私鑰，就無法做出任何篡改。于是，域名系統(tǒng)的安全性就能得到大幅提升了。

總之，通過將數(shù)據(jù)存儲在不可篡改的公共賬本上，區(qū)塊鏈能改善多個應(yīng)用場景的安全。但開發(fā)人員仍需謹慎行事，因為設(shè)計和編碼中很容易混進漏洞。

只要涉及計算機，總會出現(xiàn)漏洞。所以，最好是堵上這些漏洞，并認識到安全是活動靶，不是固定靶，需隨時警惕。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文