區塊鏈的六大典型安全應用

文章來源： 騰訊網絡安全與犯罪研究基地
作者：nana

區塊鏈是去中心化的分佈式賬本，建立在提供絕對的安全與信任的模型上。運用加密技術，每筆交易都會被公開記錄下來，帶有唯一的時間戳，且鏈向其前一個區塊。最關鍵的是，這些數字‘區塊’只能經由所有參與者同意才能更新，也就幾乎不可能發生數據竊取、篡改和刪除等情況了。

因此，自 2016 年達到 Gartner「炒作週期峯值」以來，區塊鏈一直是行業領袖的關注重點，尤其是金融業、能源行業和製造業。比特幣支付驗證或許是最常被提及的區塊鏈應用案例了，但該技術的應用不侷限於比特幣，還可擴展到內容交付網絡和智能電網系統之類的應用上。

區塊鏈如何應用於網絡安全

從改善數據完整性和數字身份到防護 IoT 設備安全以防止 DDoS 攻擊，區塊鏈的應用潛力很大。事實上，區塊鏈在機密性、完整性和可用性這三個方面都能有所作爲，可提高系統彈性，改善加密、審計，提高透明度。

區塊鏈堵上了我們因安全實現不良和缺乏可信度而留下的漏洞。2018 年，我們必須處處加密，時時加密。目前，我們無法驗證收到的電子郵件是否已經被他人讀取或修改過。我們甚至驗證不了發家身份。

而應用區塊鏈方法，我們可以合理驗證並簽署交易。雖然在加密貨幣問題上還有些炒作現象，但區塊鏈方法的實現確實能爲我們的數字服務打造更可信的基礎設施。其中最佳應用就是我們公共事業部門的轉型和創建以市民爲中心的基礎設施了。這將使市民能夠擁有自己的身份，每一筆交易都可驗證。我們可以使用智慧合約和經簽名的斷言來制定公共服務的要素，比如待遇給付等等。

下面列出的就是現實世界中區塊鏈在安全方面的幾個應用。

一、以身份驗證保護邊界設備安全

正如 IT 關注數據和連接向“智慧”邊界設備的遷移，安全同樣關心這種轉變。畢竟，網絡的擴展可能會提升 IT 效率、生產力並降低耗電量，但也給 CISO、CIO 和整個公司帶來了安全挑戰。很多公司因而尋求應用區塊鏈來保護 IoT 及工業 IoT(IIoT) 設備安全的方法——因爲區塊鏈技術可增強身份驗證，改善數據溯源和流動性，並輔助記錄管理。

比如說，2017 年末創建的 XageSecurity 公司就宣稱，其“篡改驗證”區塊鏈技術平臺可在設備網絡中批量分發隱私數據並進行身份驗證。該公司還宣稱支持任意通信協議， 適應不規則連接的邊界設備，可防護大量異構工業系統。

該公司稱其已與 ABB Wireless 合作，共建要求分佈式安全的能源與自動化項目；還與戴爾攜手，在 Dell IoT Gateways 及其 EdgeX 平臺上爲能源行業交付安全服務。

同時，作爲現實世界區塊鏈應用的另一個例子，英屬馬恩島政府採取了不同路線：測試區塊鏈技術以驗證其能否防止 IoT 設備被黑 (爲物理設備賦予唯一身份以確認真實性)。

這些改善還被嵌入到了芯片級。初創公司 Filament 最近推出了一款新芯片，可使 IIoT 設備應用上多種區塊鏈技術。其 Blocklet 芯片的主導思想是要讓 IoT 傳感器數據被直接編碼進區塊鏈中，爲去中心化的迭代和交換提供安全基礎。

二、提升機密性和數據完整性

儘管區塊鏈最初創建時是沒有特定的訪問控制機制的 (源於其公開分發的屬性)，有些區塊鏈實現如今卻在解決數據機密性和訪問控制問題。在當今數據極易被篡改或僞造的時代，確保數據機密性和完整性問題無疑是巨大的挑戰。但區塊鏈數據的完全加密特質確保了這些數據不會被非授權方染指，但又仍具有流動性（中間人攻擊幾乎沒有成功的可能）。

這種數據完整性也擴展到了 IoT 和 IIoT。比如說，IBM 就在其 Watson IoT 平臺上提供了以私有區塊鏈賬本管理 IoT 數據的選項，該功能已集成到了 IBM 的雲服務中。愛立信的區塊鏈數據完整性服務，可爲在通用電氣公司 Predix PaaS 平臺上工作的 App 開發人員提供完全可審計、符合規定且可信的數據。

三、保護隱私消息

Obsidian 這樣的初創公司正用區塊鏈保護即時聊天工具和社交媒體上流轉的隱私信息。與 WhatsApp 和 iMessage 之類 App 所用端到端加密不同，Obsidian 使用區塊鏈來保護用戶的元數據。因爲元數據是賬本中隨機分發，不存在單一的收集點，所以不會被黑。

另外，據報道，美國國防部高級研究計劃局 (DARPA) 正在嘗試利用區塊鏈創建外來攻擊無法滲透的安全消息服務。隨着區塊鏈植根於經驗證的安全通信，隱私消息安全領域將會愈加成熟。

四、提升甚至替代 PKI

公鑰基礎設施 (PKI) 是保護電子郵件、消息應用、網站和其他通信形式的公鑰加密體制。然而，大多數 PKI 實現依賴中心化的第三方證書頒發機構 (CA) 來頒發、撤銷和存儲密鑰對，這就給網絡罪犯留下了窺探加密通信和假冒身份的機會。而在區塊鏈上發佈密鑰則在理論上可杜絕虛假密鑰傳播，並可令應用具備驗證通信對象身份的功能。

CertCoin 是首個基於區塊鏈的 PKI 實現。該項目整體摒棄了中心證書頒發機構，使用區塊鏈作爲域名及其公鑰的分發賬本。另外，CertCoin 還提供不帶單點故障的，可審計的公開 PKI。

初創公司 REMME 則基於區塊鏈爲每個設備賦予其獨有的 SSL 證書，杜絕了入侵者僞造證書的可能性。科技研究公司 Pomcor 公佈了基於區塊鏈的 PKI 藍圖，其中採用區塊鏈來存儲已頒發及已撤銷證書的散列值 (雖然該案例中仍然要用到 CA)。

如果愛沙尼亞數據安全初創公司 Guardtime 靠得住的話，沒準兒 PKI 就會被徹底替換掉了。這家公司在用區塊鏈創建無密鑰簽名基礎設施 (KSI)——PKI 的替代品。Guardtime 已成長爲全球盈利最多、員工數最多、產品部署最廣的區塊鏈公司，還在 2016 年的時候就喫下了愛沙尼亞全部 100 萬人的健康記錄。

目前，我們依賴 PKI 創建信任基礎設施，但這往往是有漏洞的，尤其是網絡罪犯如今也在創建自己的數字證書的情況下。依賴區塊鏈技術，我們就可以用公民生成的身份來簽名交易了。

五、更安全的 DNS

Mirai 殭屍網絡證明了網絡罪犯可以很容易地破壞關鍵互聯網基礎設施。攻擊者只需搞定大型網站的域名系統 (DNS) 服務提供商，就可以切斷推特、Netflix、PayPal 和其他服務的網絡訪問。而如果用區塊鏈來存儲 DNS 記錄，理論上是可以通過去除該可攻擊的單一目標而提升 DNS 安全。

Nebulis 是一個探索分佈式 DNS 概念的新項目，理論上分佈式 DNS 可以應付訪問請求洪水，不會因響應過載而宕機。Nebulis 使用以太坊區塊鏈和星際文件系統 (IPFS)，還有 HTTP 的分佈式替代協議，來註冊並解析域名。DNS 之類互聯網關鍵服務可被黑客利用來製造大規模掉線和攻擊公司企業，因此使用區塊鏈方法的可信 DNS 基礎設施，將能大幅增強該互聯網核心信任基礎設施。

六、減少 DDoS 攻擊

區塊鏈初創公司 Gladius 宣稱，其去中心化賬本系統有助抵禦 DDoS 攻擊。在 DDoS 攻擊峯值已超 100Gbps 的現在，這一斷言還是很引人注目的。該公司稱，其去中心化的解決方案可通過使客戶接入附近防護資源池來提供更好的保護並加速客戶內容，從而抵禦 DDoS 攻擊。

有趣的是，Gladius 宣稱，該去中心化的網絡能讓用戶出租空閒帶寬賺點小錢，而這多餘的帶寬就被分配給了遭到 DDoS 攻擊的網站節點以確保其能挺過攻擊。而在不忙的時間裏 (沒有 DDoS 攻擊時)，Gladius 網絡會扮演內容交付網絡的角色，加速互聯網訪問。

區塊鏈安全不是萬靈藥

然而，區塊鏈並非萬靈藥，從技術複雜度和系統數量到其實現，區塊鏈都不能保證 100% 安全。交易速率上的限制，還有關於信息是否應保存在區塊鏈中的爭論，都是該技術在安全應用方面的顧慮。

2018 年應是對數據全面應用加密的一年，而區塊鏈將提供加密推廣的基礎。關鍵挑戰在於如何剝離現有遺留 IT 基礎設施，並以區塊鏈技術加以重建。其中核心元素將是公私密鑰對的創建，這是身份識別的基礎。然而不幸的是，我們的司法機構仍將目光放在傳統 IT 方法上，向區塊鏈方法的推進將會引發隱私和社會保護之間的緊張情緒升溫。