發布時間:2020-01-17所屬分類:科技論文瀏覽:1次
摘 要: 摘 要:隨著移動互聯網與物聯網技術的發展,網絡空間承載了海量數據,必須保證其安全性和隱私性。基于區塊鏈的網絡安全機制具有去中心化、不可篡改、可追溯、高可信和高可用的特性,有利于提升網絡安全性。探討了區塊鏈在網絡安全方面的應用方案,分析了基于
摘 要:隨著移動互聯網與物聯網技術的發展,網絡空間承載了海量數據,必須保證其安全性和隱私性。基于區塊鏈的網絡安全機制具有去中心化、不可篡改、可追溯、高可信和高可用的特性,有利于提升網絡安全性。探討了區塊鏈在網絡安全方面的應用方案,分析了基于區塊鏈的網絡安全機制的主要技術特點和方法以及未來研究方向。首先探討了數據管理體系應用區塊鏈進行數據管理的方法,利用區塊鏈不可篡改的特性提高數據的真實性和可靠性。其次分析了物聯網應用區塊鏈進行設備管理的方案,通過區塊鏈記錄和執行設備控制指令,強化物聯網設備權限和通信管理。最后研究了域名系統應用區塊鏈的部署方案,利用區塊鏈的去中心化結構抵抗針對中心節點的分布式拒絕服務攻擊。
關鍵詞:網絡安全;隱私;區塊鏈
1 引言
隨著互聯網與物聯網技術的發展,部分應用程序為了向用戶提供更精準的服務,需要采集各種用戶數據[1]。海量數據呈碎片化,由不同服務提供商的數據中心進行管理。例如公民醫療信息和存儲于電子設備的數據,隱私程度較高,總量龐大且碎片化。傳統的數據存儲和控制管理通常依賴于可信任的中央機構,中心節點的管理缺陷或遭到攻擊可能導致隱私數據泄露甚至網絡癱瘓[2-4]。因此去中心化的系統結構能夠消除中心節點的安全風險。網絡安全可以采用區塊鏈(blockchain)技術,建立一個去中心化的、由各節點共同參與運行的分布式系統架構進行數據的管理,避免中心節點故障引起的網絡安全事故[5]。
區塊鏈是比特幣(Bitcoin)的底層技術[6]。 2013 年 12 月,以太坊的創始人 Vitalik Buterin 提出以太坊區塊鏈平臺,將智能合約(smart contract)應用到了區塊鏈,使區塊鏈在數字貨幣交易之外的領域發揮作用[7]。區塊鏈不依賴可信任的中心節點進行信息的存儲和更新,而是由系統中的所有用戶各自保存一個“賬本”,同時進行賬本的記錄和更新。因此區塊鏈的結構和特點為其帶來了不可篡改、可追溯、高可信和高可用的特性[8],并開始應用于網絡安全領域,見表 1。本文從數據管理和隱私保護、物聯網設備的權限和通信管理、抵抗 DDoS(distributed denial of service,分布式拒絕服務)攻擊的 3 個方面,介紹區塊鏈技術在安全領域的應用。
傳統的中心節點數據管理體系中,數據存儲于中央機構,中央機構的管理缺失或設備故障可能造成數據的丟失或泄露[9]。基于區塊鏈的數據管理體系采用去中心化的系統結構,并且將數據與數據存取權限分離。基于區塊鏈的系統消除了中央機構存在的安全風險,同時應用程序對數據的一切操作過程均被記錄,確保了數據的安全性[18]。
傳統的物聯網設備管理系統采用中心化結構,設備的數據和控制信息都由中心節點控制和維護,增加了中心節點的計算負載和安全問題[14,15]。引入區塊鏈,能夠構建去中心化的物聯網設備管理系統,進行設備的權限設置與通信控制。管理系統在區塊鏈的記錄之下,能夠確保設備的權限與控制記錄的完整和不可篡改[16,19]。
DDoS 攻擊者通過一系列手段,向目標系統的中心節點發起大量請求,造成目標節點或網絡的癱瘓[20,21]。基于區塊鏈的系統能夠將系統數據分布完整存儲于多臺設備。部分節點遭到攻擊時,其余節點依然可以依靠完整的系統數據維持系統的運行。因此利用區塊鏈的分布式特點,能夠打造一個抵抗 DDoS 攻擊的數據庫系統[17,22]。
2 網絡數據安全和隱私保護
傳統的中心節點數據管理體系中,數據由中央機構進行存儲和管理。中央機構的管理缺失或設備故障可能造成數據的丟失或泄露。基于區塊鏈的數據管理體系采用去中心化的系統結構,能夠消除中央機構的安全風險。區塊鏈技術的不可篡改、可追溯的安全特性能夠應用于大量隱私數據的管理,對數據真實性提供保證[23]。
將區塊鏈技術和鏈外數據庫結合,分離數據和數據權限,能夠實現去中心化的個人數據管理系統[10,11],進行數據和權限的管理。應用程序訪問用戶數據之前,需要得到用戶的訪問授權。區塊鏈上記錄用戶和應用程序對數據的操作指令如圖 1 所示,例如用戶授權指令、信息存儲和查詢指令等。用戶數據被加密后存放于區塊鏈之外的分布式數據庫。當用戶希望改變某個應用程序對某項數據的授權時,進行權限設置,將所授予的權限和數據指針記錄到區塊鏈上。應用程序需要訪問某項數據時,發出數據訪問請求并記錄至區塊鏈。系統對簽名以及區塊鏈的記錄進行檢查,確認該應用程序是否擁有對應數據的訪問權限。若檢查通過,則將該操作記錄在區塊鏈,并由數據庫將數據返回給應用程序。由于區塊鏈對應用程序的行為進行了完整的記錄,該系統中用戶可以隨時更改數據的訪問權限。數據操作過程對用戶是透明的、可審計的。用戶能夠追蹤數據,得知何種數據在何時被何種應用通過何種方式獲取,確保數據的安全性。
數字簽名是一項用于證實某個文件或數據的完整性和來源的技術,確保文件或數據未被修改和不可抵賴。現階段廣泛使用的簽名技術基于PKI (public key infrastructure,公開密鑰基礎設施)。 PKI 體系中,用戶使用公鑰—私鑰對進行文件的簽名和驗證,同時需要一個可信的 CA(certificate authority,數字證書認證機構)進行密鑰管理[12]。若 CA 密鑰管理出現缺陷,失去可信度,將導致簽名失效,文件完整性難以保證。因此能夠利用區塊鏈不可篡改的性質,構造基于區塊鏈的文件簽名體系。
基于 KSI(keyless signatures’ infrastructure,無密鑰簽名架構)的簽名體系是一種基于區塊鏈技術的無密鑰簽名認證體系[13]。KSI 是一種多簽名的體系,即每個時隙能夠一次性簽名多個文件。每個時隙內,系統收集當前需要簽名的所有文件各自的散列值。系統將散列值作為葉節點,構建 Merkle 樹并計算獲得根節點值。系統將每個時隙計算得到的根節點值進行公開,記錄于區塊鏈,分布式存儲在每個節點上。區塊鏈確保所記錄的根節點值的不可篡改性。系統發布了記錄著根節點值的區塊之后,文件發送者將對應的根節點值和時間戳等信息構造成對應文件的簽名。發送文件時,文件發送者需要將文件與對應的簽名同時發送給文件接收者。接收者收到文件和對應的簽名后,需要對文件簽名進行驗證。接收者提取出簽名中的節點信息,運行散列算法,構建 Merkle 樹并計算根節點值。接收者計算出根節點值之后,將其與區塊鏈上存儲的數據進行對比,若二者相等則可驗證文件的完整性。KSI 體系中,散列函數的單向性以及區塊鏈的不可篡改性確保了簽名的可靠性。通過 KSI 進行簽名的文件難以被黑客篡改,以此保證文件的完整性。
3 物聯網設備的權限與通信管理
傳統的物聯網設備管理系統采用中心化結構,設備的數據和控制信息都由中心節點控制和維護,增加了中心節點的計算負載和安全問題[24,25]。區塊鏈技術能夠應用于物聯網,構建去中心化的物聯網設備管理系統,消除中心節點的安全風險,對物聯網設備的權限和設備間通信進行有效管理[14,15]。
圖 2 是基于區塊鏈技術的物聯網設備管理體系。設備之間能夠進行相互通信或相互控制,例如存取數據等。指令只有在設備擁有權限的情況下才能被執行。區塊鏈上記錄設備間的通信或控制指令以及權限情況。系統運行的初始階段,系統生成所需要的密鑰以及初始區塊。由用戶定義系統所需的策略后,將其記錄至初始區塊。系統運行期間,設備之間需要進行相互通信或控制。設備需要先得到用戶授權,才能得到系統分發的密鑰進行通信或控制,確保權限安全和通信隱私。設備間的通信以及控制指令依照時間順序,記錄至區塊鏈。區塊鏈系統發布了記錄著指令的區塊后,設備身份和權限得到確認,指令才能執行。因此設備的安全性和數據的機密性、完整性、可用性能夠得到保障。該系統不需要中心節點進行設備的統一管理,消除了中心節點的安全風險,能夠有效抵抗 DDoS 攻擊和鏈接攻擊[26]。設備運行記錄真實有效,完整可靠,可追溯。
基于區塊鏈的模型對比基于中心的模型,訪問指令的執行時間比增加約 50.0%,能量損耗增加約 20.6%。存儲—查詢指令的執行時間增加約 46.8%,能量損耗增加約 19.2%。存儲周期增加約 43.5%,能量損耗增加約 14.7%[15]。引入區塊鏈會帶來額外的信息加密和散列計算的開銷,因此系統開銷增大,但是區塊鏈的引入消除了中心節點的安全風險,保障了設備權限和通信的安全性[15]。
4 抵抗 DDoS 攻擊
DDoS 攻擊者通過一系列手段,向目標系統的中心節點發出大量的請求,占用中心節點的計算資源或網絡資源,引起目標系統或網絡的癱瘓[20]。
傳統的中心化系統依靠中心節點提供服務,難以抵擋 DDoS 攻擊。基于區塊鏈的去中心化系統結構能夠將系統數據分布存儲于多臺設備,不存在可攻擊的系統中心節點。因此,基于區塊鏈的去中心化系統能夠有效抵抗 DDoS 攻擊[27]。
基于區塊鏈的系統能夠提供分布式、無中心節點的系統結構,系統所需的數據完整存儲于多臺設備。區塊鏈的每個節點都具備完整的數據,并且能夠對其他節點的數據有效性進行驗證。即使某個節點被攻破,整個系統也不會完全癱瘓。依靠剩余的節點依然可以維持整個區塊鏈系統的正常運轉,并能夠恢復被破壞的節點的數據和功能。因此區塊鏈技術能夠用于打造一個抵抗 DDoS 攻擊的數據庫系統[27]。
將區塊鏈應用于 DNS(domain name system,域名系統),能夠消除單點失敗,有效抵抗 DDoS 攻擊,保障系統的整體安全[28]。目前已經提出的基于區塊鏈的 DNS 有 Namecoin、Blockstack 和 Nebulis 等。以 Blockstack 為例。圖 3 為 Blockstack 系統的結構,其主要組成部分是區塊鏈、本地數據庫和云存儲。系統由多個邏輯層構成。底層為區塊鏈,記錄用戶對系統的操作,例如注冊和更新域名等,并記錄著區域文件的散列值。系統的安全性和可靠性依賴于底層區塊鏈。路由層的功能是提供區域文件散列值到區域文件路徑的映射。用戶得到底層返回的區域文件散列值后,路由層根據散列值在數據庫中查找對應的區域文件。存儲層存放著加密的用戶數據。用戶得到區域文件后,提取出其中的目標數據存儲路徑,存儲層根據路徑將目標數據返回給用戶。
相關論文可參考:基于區塊鏈的網絡安全技術
摘 要 網絡安全是用戶在使用互聯網時最為關心的問題。區塊鏈技術能夠實現數據安全存儲,從而保護用戶的隱私,幫助用戶解決網絡風險帶來的威脅。本文通過簡述當前網絡安全所面臨的主要威脅,并分析區塊鏈的定義和特性,進而提出基于區塊鏈的網絡安全技術應用策略,從而運用這一技術減少網絡安全事故的發生,提高網絡技術使用時的安全性。為對目前區塊鏈技術在網絡安全中的應用情況做出一個相對全面的了解,本文以基于區塊鏈的網絡安全技術為研究對象,通過對網絡安全所面臨的主要威脅的分析,介紹了區塊鏈的定義和特性,并在以上探究的基礎上對基于區塊鏈的網絡安全技術應用策略進行了詳細的介紹。以此來為促進區塊鏈技術在網絡安全中的應用與推廣貢獻上自身的一份力。
5 結束語
本文討論了區塊鏈在保護網絡數據安全與隱私,物聯網設備管理和 DDoS 防御等網絡安全技術的應用。基于區塊鏈的數據管理系統消除了傳統中央機構易遭受攻擊而導致數據泄露甚至網絡癱瘓的安全風險,防止攻擊者對中心節點的入侵,用戶能夠完全控制網絡數據的權限與使用情況。基于區塊鏈的 KSI 體系用于文件簽名,不依賴可信的 CA 進行密鑰管理,使攻擊者難以篡改文件與簽名。基于區塊鏈的物聯網設備管理系統將區塊鏈用于物聯網設備的權限和通信管理,防止攻擊者對物聯網的中央控制節點進行入侵和破壞,保證設備的權限設置、通信與控制記錄的完整和不可篡改。基于區塊鏈的 DNS 包括 Blockstack 和 Nebulis 等系統,利用區塊鏈的分布式結構特點抵抗 DDoS 攻擊,并提高系統的吞吐量。基于區塊鏈的網絡安全技術尚處于發育初期,存在挑戰急需解決:網絡安全系統中引入區塊鏈引發加解密計算和散列計算等計算開銷,降低了系統的吞吐量,增加系統的能耗。因此必須研究如何降低區塊鏈系統計算開銷。其次,區塊鏈系統一旦在所有節點成功運行,系統協議的更新例如加密算法替換將難以進行。因此系統運行之后,如何快速進行系統更新是未來的一個研究方向。最后,區塊鏈記錄著系統啟動之后所有的記錄信息,存儲成本將隨著時間增長急劇上升,因此未來需要對降低區塊鏈系統存儲成本的問題進行研究。
SCISSCIAHCI
