區(qū)塊鏈是一個建立在提供絕對安全和信任的模型上的、分散的、分布式的電子分類記賬方式。使用加密技術(shù)，按時間順序和公開記錄記錄交易，每一個塊都有時間標記并與前一個鏈接。重要的是，這些數(shù)字“塊”只能通過所有參與者的共識來更新，數(shù)據(jù)攔截、修改和刪除幾乎是不可能的。

因此，自2016年Gartner將其加入新興技術(shù)“炒作周期高峰”以來，區(qū)塊鏈已經(jīng)成為一些行業(yè)領(lǐng)導(dǎo)者的關(guān)注重點，特別是在金融服務(wù)、能源和制造業(yè)領(lǐng)域。比特幣付款已經(jīng)成為被應(yīng)用最多的案例，但是這種技術(shù)也可以擴展到內(nèi)容交付網(wǎng)絡(luò)和智能電網(wǎng)系統(tǒng)等應(yīng)用。

[[247488]]

區(qū)塊鏈如何應(yīng)用于網(wǎng)絡(luò)安全?

區(qū)塊鏈有可能從提高數(shù)據(jù)完整性、更安全的數(shù)字身份認證等方面改善物聯(lián)網(wǎng)設(shè)備的安全，以防止DDoS攻擊。事實上，區(qū)塊鏈可能會發(fā)揮保密性、完整性和可用性的“CIA三原則”作用，從而提高應(yīng)變能力，加密、審計和透明度。

英國愛丁堡內(nèi)皮爾大學(xué)計算機科學(xué)家兼計算機學(xué)院教授比爾•布坎南(Bill Buchanan)表示：“區(qū)塊鏈填補了我們在安全性、可靠性方面的不足。“在2018年，我們必須默認加密。目前，您無法驗證沒有人閱讀過發(fā)送給您的電子郵件，而且該電子郵件未被修改，甚至經(jīng)常無法驗證發(fā)件人。“

布坎南說：“通過區(qū)塊鏈方法，我們可以正確地驗證和簽署我們的交易。“雖然圍繞加密貨幣有一些炒作，但區(qū)塊鏈方法的實施實際上將為我們的數(shù)字服務(wù)建立更可靠的基礎(chǔ)設(shè)施。最大的應(yīng)用將是我們公共部門的轉(zhuǎn)型，并創(chuàng)建一個更加以公民為中心的基礎(chǔ)設(shè)施。這樣可以讓公民擁有自己的身份，然后對每筆交易進行核實。我們可以制定公共服務(wù)的要素，例如支付利益，使用智能合約，并根據(jù)已簽署的聲明。“

以下是區(qū)塊鏈在網(wǎng)絡(luò)安全領(lǐng)域的真實使用案例。

1. 通過認證保護邊緣設(shè)備

隨著IT技術(shù)焦點轉(zhuǎn)移到所謂的具有數(shù)據(jù)和連接性的“智能”邊緣設(shè)備，安全性也隨之提高。畢竟，網(wǎng)絡(luò)的擴展可能對于IT效率、生產(chǎn)力和功耗(即對云計算和數(shù)據(jù)中心資源有利)而言是有利的，但這對CISO、CIO和更廣泛的業(yè)務(wù)來說是一個安全挑戰(zhàn)。隨后許多公司正在尋求利用區(qū)塊鏈來保護物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)(IoT)設(shè)備的方法，因為該技術(shù)能夠加強認證，改善數(shù)據(jù)歸屬和流量，并有助于記錄管理。

例如，創(chuàng)業(yè)公司Xage安全公司在2017年下半年推出，聲稱其“防篡改”區(qū)塊鏈技術(shù)平臺通過設(shè)備網(wǎng)絡(luò)大規(guī)模分發(fā)私人數(shù)據(jù)和身份驗證。此外，該公司表示支持任何溝通，可以在不規(guī)則連接的邊緣工作，并確保各種不同的工業(yè)系統(tǒng)。

該公司表示，已經(jīng)與ABB無線公司合作開展需要分布式安全的電力和自動化項目，以及與戴爾合作為戴爾IoT網(wǎng)關(guān)及其EdgeX平臺上的能源行業(yè)提供安全服務(wù)。

同時，作為另一個現(xiàn)實世界的例子，英國馬恩島政府采取了不同的路線。它正在測試區(qū)塊鏈技術(shù)，看它是否可以防止物聯(lián)網(wǎng)設(shè)備的妥協(xié)(將唯一身份簽名到物理項目以確認真實性)。

這些改進也正在嵌入芯片組層面。Startup Filament最近宣布推出一款旨在使工業(yè)物聯(lián)網(wǎng)設(shè)備能夠使用多種區(qū)塊鏈技術(shù)的新型芯片。Blocklet芯片背后的理念是讓物聯(lián)網(wǎng)傳感器數(shù)據(jù)直接編碼到區(qū)塊鏈中，目標是“ 為分散交互和交換提供安全的基礎(chǔ) ”。

2. 改進機密性和數(shù)據(jù)完整性

雖然區(qū)塊鏈最初是在沒有特定訪問控制(由于其公開發(fā)行)的情況下創(chuàng)建的，但現(xiàn)在一些區(qū)塊鏈實現(xiàn)解決了數(shù)據(jù)機密性和訪問控制難題。在數(shù)據(jù)容易被操縱或欺騙的時代，這顯然是一個嚴峻的挑戰(zhàn)，但區(qū)塊鏈數(shù)據(jù)的完全加密可以確保這些數(shù)據(jù)在運輸過程中不會被未授權(quán)的用戶訪問(很少或根本沒有機會成功的人工進入中間[MiTM]攻擊)。

這種數(shù)據(jù)完整性可擴展到IoT和IIoT設(shè)備。例如，IBM為Watson IoT平臺提供了一個選項，用于管理整合到藍色巨人云服務(wù)中的私有區(qū)塊鏈分類賬中的物聯(lián)網(wǎng)數(shù)據(jù)。愛立信的區(qū)塊鏈數(shù)據(jù)完整性服務(wù)為在GE的Predix PaaS平臺中工作的應(yīng)用程序開發(fā)人員提供完全可審計，合規(guī)和值得信賴的數(shù)據(jù)。

3. 保護私人消息

像Obsidian這樣的創(chuàng)業(yè)公司正在使用區(qū)塊鏈來保護在聊天，短信應(yīng)用和社交媒體中交換的私人信息。與WhatsApp和iMessage采用的端到端加密不同，Obsidian的Messenger使用區(qū)塊鏈來保護用戶的元數(shù)據(jù)。用戶不必使用電子郵件或任何其他身份驗證方法來使用信使。元數(shù)據(jù)隨機分布在整個分類賬中，因此不能用于收集在一個單一的點，從而可能會受到損害。

另外據(jù)報道，美國國防部高級研究計劃局(DARPA)的工程師正在嘗試使用區(qū)塊鏈來創(chuàng)建一個安全且無法通過外部攻擊的消息服務(wù)。隨著區(qū)塊鏈植逐步應(yīng)用于安全認證的通信，預(yù)計這個領(lǐng)域在不久的將來成熟。

4. 提升甚至取代PKI

公鑰基礎(chǔ)設(shè)施(PKI)是保護電子郵件，消息應(yīng)用，網(wǎng)站和其他形式的通信的公鑰密碼術(shù)。但是，大多數(shù)實現(xiàn)都依賴于集中的第三方證書頒發(fā)機構(gòu)(CA)來頒發(fā)，撤銷和存儲密鑰對，這些密鑰對可能會危及加密通信并欺騙身份。而是在區(qū)塊鏈上發(fā)布密鑰，理論上將消除錯誤密鑰傳播的風(fēng)險，并使應(yīng)用程序能夠驗證與之通信的人的身份。

CertCoin是基于區(qū)塊鏈的PKI的首批實施之一。該項目完全取消了中央政府，將區(qū)塊鏈用作域名和公鑰的分布式賬本。另外，CertCoin提供了公共和可審計的PKI，也沒有單點故障。

啟動REMME為每個設(shè)備提供基于區(qū)塊鏈的特定SSL證書，防止入侵者偽造證書，而技術(shù)研究公司Pomcor發(fā)布了基于區(qū)塊鏈的PKI的藍圖，該區(qū)塊鏈使用區(qū)塊鏈來存儲頒發(fā)和吊銷證書的散列(盡管在這個例子中，仍然需要CA)。

如果愛沙尼亞的數(shù)據(jù)安全創(chuàng)業(yè)公司Guardtime是可以通過的話，也許PKI可以被直接取代。該公司一直在使用區(qū)塊鏈創(chuàng)建無鑰匙簽名基礎(chǔ)設(shè)施(KSI)，取代PKI。保護時間已經(jīng)成長為“ 按收入、員工人數(shù)和實際客戶部署計算的世界上最大的blockchain公司 ”，而且它已獲得所有的愛沙尼亞百萬健康記錄與該技術(shù)在2016年。

布坎南說：“目前我們依靠PKI來建立我們的信任基礎(chǔ)設(shè)施，但這往往是有缺陷的，尤其是在網(wǎng)絡(luò)犯罪分子現(xiàn)在正在建立他們自己的數(shù)字證書的時候。通過區(qū)塊鏈方法，我們可以使用公民生成的身份來簽署交易。”

5. 更安全的DNS

Mirai 僵尸網(wǎng)絡(luò)表明，犯罪分子是如何輕而易舉地破壞關(guān)鍵的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的。通過減少大多數(shù)主要網(wǎng)站的域名系統(tǒng)(DNS)服務(wù)提供商，攻擊者能夠切斷對Twitter、Netflix、PayPal和其他服務(wù)的訪問。從理論上說，區(qū)塊鏈存儲DNS條目的方法可以通過移除單個可攻擊目標來提高安全性。

Nebulis是一個探索分布式DNS概念的新項目，在大量的訪問請求下，這個概念從來就不會失敗。Nebulis使用Ethereum blockchain和Interplanetary Filesystem(IPFS)(一種分布式的HTTP替代品)來注冊和解析域名。布坎南說：“在互聯(lián)網(wǎng)的核心，我們看到諸如DNS這樣的關(guān)鍵服務(wù)提供了大規(guī)模停機的機會，也是對組織的黑客攻擊。因此，使用區(qū)塊鏈方法的更可信的DNS基礎(chǔ)架構(gòu)將大大地幫助互聯(lián)網(wǎng)的核心信任基礎(chǔ)設(shè)施。“

6. 減少DDoS攻擊

Blockchain初創(chuàng)公司Gladius聲稱，其分散式賬本系統(tǒng)有助于防止分布式拒絕服務(wù)(DDoS)攻擊，這是一個重要的主張，當(dāng)攻擊的速度超過100Gbps。該公司表示，其分散的解決方案可以通過“允許您連接到您附近的保護池來提供更好的保護并加速您的內(nèi)容”來防范此類攻擊。

有趣的是，Gladius聲稱，分散的網(wǎng)絡(luò)允許用戶將額外的帶寬租借出去，這些額外的帶寬“分配給節(jié)點，然后在DDoS攻擊下將帶寬分流到網(wǎng)站，以確保它們保持在最低限度”。繁忙時間(沒有DDoS攻擊)，Gladius說其網(wǎng)絡(luò)“通過充當(dāng)內(nèi)容交付網(wǎng)絡(luò)來加速訪問互聯(lián)網(wǎng)”。

區(qū)塊鏈安全不是萬能的

然而區(qū)塊鏈并不是萬能的，從技術(shù)的復(fù)雜性和無數(shù)的系統(tǒng)到實現(xiàn)它并不能保證100%的安全。布坎南關(guān)心的問題是可以適用的交易速度的限制，以及“信息是否應(yīng)該存儲在區(qū)塊鏈上”。

Buchanan說：“2018年需要將密碼學(xué)應(yīng)用于我們所有的數(shù)據(jù)，而區(qū)塊鏈將為跨組織擴展提供基礎(chǔ)。主要挑戰(zhàn)將是擺脫現(xiàn)有的傳統(tǒng)IT基礎(chǔ)架構(gòu)，并圍繞區(qū)塊鏈構(gòu)建核心架構(gòu)。一個核心元素將是創(chuàng)建密鑰對 – 用公鑰和私鑰 – 來識別個人。不幸的是，我們的執(zhí)法基礎(chǔ)設(shè)施仍然側(cè)重于傳統(tǒng)的信息技術(shù)方法，向區(qū)塊鏈方式轉(zhuǎn)變將涉及隱私權(quán)與社會保護自身權(quán)利之間的緊張關(guān)系。”

本文翻譯自CSOonline