李陽陽,江艷梅,劉明生,3,彭 浩

(1.中國電子科技集團公司電子科學研究院 社會安全風險感知與防控大數(shù)據(jù)應用國家工程實驗室，北京 100000；2.河北工業(yè)大學 省部共建電工裝備可靠性與智能化國家重點實驗室，天津 300000；3.石家莊鐵路職業(yè)技術學院，河北 石家莊 050081；4.北京航空航天大學 網絡空間安全學院，北京 100000)

0 引言

2009年中本聰(SATOSHI NAKAMOTO)第一次提到了區(qū)塊鏈的概念[1]，也是區(qū)塊鏈出現(xiàn)的最早的時間。他把區(qū)塊鏈定義為比特幣的底層技術，提出利用“工作量證明機制”來使區(qū)塊鏈中的每個參與者獲得參與計算的資格；隨著區(qū)塊鏈中參與者計算量的增多，區(qū)塊鏈的規(guī)模也不斷增長，同時也達到分布式的一致性。第一代區(qū)塊鏈隨著比特幣的出現(xiàn)而誕生，早期的區(qū)塊鏈技術主要以數(shù)字貨幣為主題，其應用集中于貨幣轉移、兌換和支付等[2]。2013年，隨著以太坊白皮書[3]問世，新一代的區(qū)塊鏈技術架構被提出。2015年7月，以太坊FRONTIER版本發(fā)布提供智能合約服務，并且引導第二代區(qū)塊鏈誕生，該架構具有接收、處理、存儲以及傳輸數(shù)據(jù)的功能，能夠對區(qū)塊鏈上多種資產進行智能化操作和高效率的管控[4]。2015年，英國央行提出了央行數(shù)字貨幣的理念、構想和模型，并明確表示要發(fā)行央行數(shù)字貨幣[5]，并于2016年，央行提出了RSCOIN模型，該模型成為世界上第一個央行數(shù)字貨幣，而這種貨幣的供應和發(fā)行僅受到中央銀行或其他被授權機構的控制[6]。2015年12月，由DHA、IBM等公司和LINUX基金會共同組成的研究團隊，提出了一個新的區(qū)塊鏈項目超級賬本(HYPERLEDGER)的概念。至2017年，超級賬本的核心架構 FABRIC 從實驗階段已經發(fā)展到了發(fā)布階段，該架構所提供的多種功能和標準中，主要體現(xiàn)了支持快速開發(fā)和模塊化的體系結構，以及構建實現(xiàn)私有許可的區(qū)塊鏈的工具[8]。2019年，F(xiàn)ACEBOOK發(fā)布了LIBRA白皮書。LIBRA作為一種相對穩(wěn)定的加密數(shù)字貨幣[9]，它的共識協(xié)議主要是基于LIBRABFT的BFT機制，通過確保所有驗證節(jié)點對是否執(zhí)行交易和交易執(zhí)行的順序實現(xiàn)共識。與其他共識算法相比，該協(xié)議具有更高吞吐量和更低延遲的特點[10]。

區(qū)塊鏈技術具有不易篡改、很難偽造、可追溯等特點，因此研究基于區(qū)塊鏈的網絡安全關鍵技術具有重要意義，主要體現(xiàn)在以下三個方面：(1)從底層技術層面加強網絡安全維護。該方面利用信息采集系統(tǒng)可將數(shù)據(jù)實時上傳至區(qū)塊鏈系統(tǒng)，并利用區(qū)塊鏈不易篡改、很難偽造、可追溯的特點，對網絡傳輸中各環(huán)節(jié)進行有效記錄；利用區(qū)塊鏈的智能合約，實現(xiàn)網絡管理服務自動化、智能化，同時可提高管理效率。(2)有利于優(yōu)化網絡治理方案：網絡空間安全治理涉及到網絡空間管理、運營商和用戶等多方面，而傳統(tǒng)管理方式因為受用戶不均、流量分布和產業(yè)布局等因素的影響，網絡供應商與用戶沒有實現(xiàn)同步信息的真正共享，使得網絡分布極為不合理、產業(yè)沒有形成規(guī)?；?；區(qū)塊鏈技術可以實現(xiàn)信息的真正共享，能夠提高網絡治理上下游協(xié)作的效率，形成產業(yè)規(guī)模化，優(yōu)化網絡布局和降低成本。(3)有利于發(fā)展智能化網絡安全管理：使用大數(shù)據(jù)、數(shù)據(jù)挖掘、機器學習等技術實現(xiàn)網絡智能化調度。該方面主要實現(xiàn)網絡信息實時上傳至區(qū)塊鏈系統(tǒng)，建立網絡安全信息平臺；使用機器學習技術實現(xiàn)各個環(huán)節(jié)協(xié)作，動態(tài)規(guī)劃網絡傳輸方式；為服務器端及用戶端提供智能化調度和信息的集中處理；合理配置網絡流量，提高流量的利用率，降低網絡維護成本。

本文以基于區(qū)塊鏈技術的網絡安全治理的需求為主要研究背景，深入分析了基于區(qū)塊鏈的網絡空間安全的關鍵技術以及未來的發(fā)展方向問題。針對當前區(qū)塊鏈技術存在的性能低下、可擴展性差和跨鏈難的問題進行分析，并提出有效的解決現(xiàn)存問題的思路和方法；針對現(xiàn)存網絡空間的信息存儲需求問題，提出通過研究高性能、可擴展的聯(lián)盟區(qū)塊鏈技術來解決；針對網絡空間智能交易和支付問題，通過研究現(xiàn)有的發(fā)票系統(tǒng)和支付系統(tǒng)，提出利用區(qū)塊鏈的智能合約生成技術來實現(xiàn)網絡空間交易和支付的智能化操作，即利用合約立即結算功能，促使交易更加自動化、便捷化，并且保障交易的合理性、規(guī)范性、一致性和正確性；針對網絡空間安全治理信息化程度要求高及目前技術無法進一步提高效率等問題，提出使用物聯(lián)網技術、區(qū)塊鏈技術和人工智能技術，實現(xiàn)網絡實時數(shù)據(jù)分析和預測功能；針對網絡空間治理業(yè)務應用的需求，構建了基于區(qū)塊鏈技術的網絡安全綜合應用示范并制定了相應的行業(yè)通用標準，該標準可以作為聯(lián)盟區(qū)塊鏈的實踐技術進行推廣時使用。

1 基于區(qū)塊鏈的網絡空間安全關鍵技術

針對傳統(tǒng)的網絡空間表現(xiàn)出的易被攻擊性，目前的網絡安全技術難以實現(xiàn)網絡空間的全面保障以及有效的應對越來越復雜的網絡威脅等問題，本文提出了利用基于區(qū)塊鏈的網絡空間安全關鍵技術。區(qū)塊鏈技術具有分布式存儲、共識機制、智能合約和密碼學等特點，可以有效的應對網絡空間的安全威脅。區(qū)塊鏈核心的技術特征是能夠實現(xiàn)信息在去信任的網絡空間上的可靠交換，該特征使區(qū)塊鏈技術在網絡空間安全領域具有更大的發(fā)展?jié)摿Α?/p>

1.1 聯(lián)盟區(qū)塊鏈技術研究

區(qū)塊鏈通常分為公有鏈、聯(lián)盟鏈和私有鏈。聯(lián)盟鏈中各節(jié)點需要通過驗證授權后才可以加入和退出網絡，這些節(jié)點有相對應的機構組織；每個機構組織都根據(jù)相關利益組成聯(lián)盟，一起維護區(qū)塊鏈網絡。本節(jié)主要研究了高性能、可擴展的聯(lián)盟區(qū)塊鏈技術，研究內容包括高效安全的聯(lián)盟鏈共識機制、系統(tǒng)架構和跨鏈通訊協(xié)議。

1.1.1 高效安全的聯(lián)盟鏈共識機制

聯(lián)盟鏈主流共識機制包括 PBFT和RAFT算法，但是這兩種算法的共同缺點是性能會隨著節(jié)點數(shù)量的增加而變差，而且缺乏可擴展性。為此，本文針對PBFT和RAFT算法的不足，提出了一種改進的算法，即使用動態(tài)授權和異步的機制改進PBFT和RAFT算法。該算法能降低區(qū)塊鏈的交易處理時間和時延，在保證區(qū)塊鏈的安全性能的前提下，實現(xiàn)了聯(lián)盟鏈共識機制的高吞吐量。

1.1.2 聯(lián)盟鏈系統(tǒng)架構

針對目前聯(lián)盟鏈模型通用性不強，交易處理及可擴展性較差等問題，本研究利用多分片的聯(lián)盟鏈架構技術，每個分片都是一條單獨的區(qū)塊鏈，具有各自的狀態(tài)(賬戶余額、智能合約)和交易歷史記錄；該結構采用分組模式支持，根據(jù)節(jié)點數(shù)量進行水平擴容，節(jié)點數(shù)量不受限制，同時支持共識擴展、單多鏈模式。在保證多分片的聯(lián)盟鏈的安全性能的前提下，使得許可區(qū)塊鏈具備高吞吐量及可擴展性。

1.1.3 聯(lián)盟鏈的跨鏈通訊協(xié)議

該協(xié)議在聯(lián)盟鏈中實現(xiàn)了身份許可和權限管理機制，并且實現(xiàn)了參與共識的節(jié)點都具有唯一公開的鏈上身份和可追溯的鏈下身份，目前現(xiàn)有的跨鏈通訊協(xié)議，如公證人機制、哈希鎖定、中繼鏈、分布式私鑰控制等，都存在一些缺點，本文提出一種能夠支持同構聯(lián)盟鏈的新型通訊協(xié)議，支持實現(xiàn)同構聯(lián)盟鏈跨鏈交易，保障事務的一致性。

1.2 保障網絡信息安全的智能合約生成技術

主要研究保證發(fā)票和支付系統(tǒng)安全的智能合約生成技術，包括區(qū)塊鏈上智能合約構造方法以及區(qū)塊鏈上智能合約常見代碼缺陷識別。

1.2.1 區(qū)塊鏈上智能合約構造方法

智能合約即服務的智能化服務模型，主要研究智能合約運行機制、生命周期、自動部署機制和實時監(jiān)管機制?；谖⒎栈A構架的智能合約構造，實現(xiàn)了智能合約持續(xù)交付和快速部署技術。智能合約自動生成技術，實現(xiàn)智能合約的自動生成、組合、定制和執(zhí)行，以及根據(jù)實際場景和應用生成相關智能合約，實現(xiàn)提高智能合約服務部署效率。

1.2.2 區(qū)塊鏈智能合約常見代碼缺陷識別

對智能合約代碼常見的缺陷進行分析，使用機器學習方法建立智能合約的代碼缺陷判別模型。通過人工標注和特征提取的方法提取常見代碼缺陷的特征，常見代碼缺陷，如整數(shù)溢出、變量覆蓋、邏輯錯誤、偽隨機數(shù)等，使用機器學習方法對智能合約常見代碼缺陷進行建模，分析智能合約代碼常見代碼缺陷的特征，分析智能合約中引起缺陷的編碼模式，實現(xiàn)智能合約的代碼缺陷識別。

1.3 網絡空間實時數(shù)據(jù)分析、預測技術研究

主要對網絡空間的數(shù)據(jù)分析和預測技術進行研究，包括網絡空間數(shù)據(jù)分析、成本優(yōu)化、需求智能匹配和調度、趨勢預測等。

1.3.1 網絡空間數(shù)據(jù)分析

通過匯總分析網絡空間信息數(shù)據(jù)，對信息數(shù)據(jù)進行統(tǒng)計分析研究，實時追蹤信息流向、用戶分布和流量分布情況。

1.3.2 網絡空間治理成本優(yōu)化

通過使用數(shù)據(jù)挖掘技術，對網絡空間客戶、運營商、監(jiān)管部門的各種信息進行分析，采用優(yōu)化的理論方法建立成本模型，對治理方式進行分析，研究智能化管理規(guī)劃算法。使用機器學習和人工智能的方法，對運輸方式和路線進行動態(tài)規(guī)劃，實現(xiàn)優(yōu)化治理成本。

1.3.3 需求智能匹配和調度

將網絡空間安全治理中的客戶需求、監(jiān)管規(guī)則、運營規(guī)則等進行分析和挖掘，采用推薦算法，如協(xié)同過濾算法，對監(jiān)管部門的需求進行智能匹配，自動根據(jù)規(guī)則生成監(jiān)管方案，實現(xiàn)提升安全運行效率。

1.3.4 網絡空間趨勢預測

使用深度學習的時間序列模型LSTM等，對網絡安全的發(fā)展趨勢進行數(shù)據(jù)挖掘與預測分析，包括監(jiān)管規(guī)則、用戶需求、技術手段等多層次因素，對網絡空間發(fā)展趨勢進行預測，進而更新治理方案，為管理決策提供理論和技術支撐。

2 區(qū)塊鏈與網絡安全應用關鍵技術

如圖1所示，目前區(qū)塊鏈技術作為提高網絡安全性能的一種有效的手段被廣泛應用到各領域，如用于抵抗金融風險、用于商業(yè)服務、提供云架構、確保供應鏈安全、物聯(lián)網安全等。

圖1 區(qū)塊鏈技術與網絡安全的技術要點和應用領域

區(qū)塊鏈在降低網絡安全風險方面具有顯著的優(yōu)勢。下面概述了區(qū)塊鏈結構所支持的安全特性：(1)區(qū)塊鏈的分布式體系結構增加了整個網絡的彈性，避免了暴露在單個訪問點或故障點的情況。(2)共識機制的使用提高了共享賬本的整體健壯性和完整性，因為網絡參與節(jié)點之間的共識是驗證新數(shù)據(jù)塊的先決條件，并且降低了第三方的破壞或操縱賬本的可能性。(3)區(qū)塊鏈還為參與者提供了更高的透明度，使得通過惡意軟件破壞區(qū)塊鏈變得更加困難。(4)基于云平臺的區(qū)塊鏈。由于云平臺的訪問控制和許多其他保護措施，區(qū)塊鏈具有更強的網絡安全保護功能。

2.1 區(qū)塊鏈與網絡安全

Scott[11]指出利用區(qū)塊鏈技術，可以建立信任和促進網絡和平。他在文中分析了區(qū)塊鏈技術從提高企業(yè)效率到記錄賬本，再到促成智能合約的發(fā)展都受到眾多組織的青睞，但在很大程度上忽略了區(qū)塊鏈技術在金融、證券和版權領域之外的發(fā)展。也分析了區(qū)塊鏈技術通過對促進跨多個行業(yè)和部門的企業(yè)網絡安全的潛在影響來解決這個問題。為了利用區(qū)塊鏈技術建立信任并加強跨系統(tǒng)、網絡和部門的網絡安全，可以通過制定針對性強的方法和商業(yè)計劃。

Eric[12]指出區(qū)塊鏈目前正在獲得關注，但質疑該技術的可擴展性、安全性和可持續(xù)性的批評者仍然存在。

Kshetri[13]評價了區(qū)塊鏈在加強網絡安全和保護隱私方面的作用，并進一步介紹了與區(qū)塊鏈對物聯(lián)網安全影響相關的關鍵底層機制。從安全和隱私方面考慮，它強調了基于區(qū)塊鏈的解決方案在許多方面可能優(yōu)于當前的物聯(lián)網生態(tài)系統(tǒng)，后者主要依賴于集中式的云服務器。

Alex[14]從以下幾個方面詳細講述了區(qū)塊鏈可作用于網絡安全的原因：(1)區(qū)塊鏈上的信息被保存在多個地方，因此不會出現(xiàn)單點故障(即分散存儲)；(2)區(qū)塊鏈上的信息不能更改；(3)用戶認證；(4)可以使用分布式公鑰基礎設施對設備和用戶進行身份驗證，而不是使用密碼。

Chia[15]指出區(qū)塊鏈技術涉及很多安全漏洞，提出通過使用STIX格式構建的數(shù)據(jù)庫解決該問題。針對智能合約和激勵機制，提出在部署之前使用軟件測試的方法來發(fā)現(xiàn)缺陷和漏洞。

2.2 抵抗金融風險

微軟發(fā)布的“推進BLOCKCHAIN網絡安全：金融服務業(yè)的技術和政策考慮”白皮書探討了網絡安全與部署在金融服務行業(yè)的區(qū)塊鏈技術之間的關系[6]。針對如何讓區(qū)塊鏈適合更廣泛的網絡安全目標，以應對現(xiàn)存和正在出現(xiàn)的網絡安全威脅。區(qū)塊鏈和任何新興的金融服務技術一樣，必須從網絡安全風險的角度進行評估，無論是對單個金融機構，還是對更廣泛和相互關聯(lián)的金融服務行業(yè)。網絡安全是政策制定者和金融機構的首要關心的問題。

Singh[17]等人指出區(qū)塊鏈是金融和網絡安全的未來。介紹了區(qū)塊鏈是一個分散的分類賬，用于安全地交換數(shù)字貨幣，執(zhí)行交易和交易。網絡中的每個成員都可以訪問加密賬簿的最新副本，以便驗證新交易。本質上，區(qū)塊鏈可以看成是一個分布式數(shù)據(jù)庫，它維護一個不斷增長的防篡改數(shù)據(jù)結構塊，該數(shù)據(jù)結構塊包含多個獨立事務。完成的塊是按照線性和時間順序添加的。每個塊包含一個時間戳和指向前一個塊的信息鏈接。

分布式賬本技術和網絡安全是加強金融領域信息安全的重要手段。文獻通過詳細的分析分布式賬本技術的基本原理及架構特征，網絡安全存在的必要性，提出加強金融領域信息安全的方法[18]。

2.3 商業(yè)服務

Decusatis[19]等人提出了針對商業(yè)區(qū)塊鏈服務的基于身份的網絡安全解決方案。認為雖然區(qū)塊鏈技術服務有望改善許多不同行業(yè)的信息安全問題，但仍有一些棘手的網絡安全問題需要進一步解決。提出了一種基于“云技術”的區(qū)塊鏈用戶身份管理新方法，該方法能夠有效的解決網絡安全復雜多變的性質，同時該方法具有很好的通用性和借鑒性。

2.4 法律

網絡安全、區(qū)塊鏈和加密貨幣是法律和技術的相互作用的結果[20]。區(qū)塊鏈技術的快速發(fā)展引起了很多行業(yè)的關注，并帶給金融業(yè)的最顯著的表現(xiàn)是它改變了金融行業(yè)的運營模式。區(qū)塊鏈和加密貨幣在全世界共享價值、信息和數(shù)據(jù)方面都發(fā)揮了重要作用，而隨著區(qū)塊鏈技術的成熟，也是法律和技術協(xié)作發(fā)展的結果。

2.5 云框架

Malomo[21]提出通過支持區(qū)塊鏈的聯(lián)合云框架實現(xiàn)下一代網絡安全。最大限度地減少網絡攻擊是所有組織和政府關注的重大問題。網絡攻擊有可能在受害者發(fā)現(xiàn)并部署網絡防御系統(tǒng)之前幾天甚至幾年都未被發(fā)現(xiàn)。由此提出了一個支持區(qū)塊鏈的聯(lián)合“云計算”框架，該框架通過對網絡攻擊流量的持續(xù)監(jiān)控和分析來減少BDG。并使用數(shù)值結果來評估所提出的方法，并且所提出的方法優(yōu)于傳統(tǒng)的方法。

Deepak[22]等人提出區(qū)塊鏈正在成為網絡安全領域最有利、最具獨創(chuàng)性的技術之一。區(qū)塊鏈是一個分散的安全框架，在萌芽狀態(tài)下，該技術已經成功地取代了各種組織中的經濟交易系統(tǒng)，并有可能改造不同行業(yè)中的異構業(yè)務模型。盡管它承諾提供一個安全的分布式框架，以促進所有用戶和第三方之間的信息共享、交換和集成，但是對于計劃人員和決策人員來說，深入分析它在其行業(yè)應用程序中的適用性非常重要。概述了這種跨分布式參與方實現(xiàn)安全性的技術。

2.6 物聯(lián)網

Banerjee[23]等人提出了針對物聯(lián)網安全的區(qū)塊鏈的未來發(fā)展方向。物聯(lián)網(IOT)設備越來越多地出現(xiàn)在民用和軍用環(huán)境中，鑒于物聯(lián)網數(shù)據(jù)集的潛在敏感性，有必要制定一個標準，在利益相關者之間共享物聯(lián)網數(shù)據(jù)集。因此，在提出兩種基于區(qū)塊鏈的概念方法之前，假設區(qū)塊鏈技術有促進物聯(lián)網數(shù)據(jù)集的安全共享和保護物聯(lián)網系統(tǒng)方面的潛力。在此基礎上，提出了九個可能的研究問題。

2.7 區(qū)塊鏈在其他領域的應用

隨著區(qū)塊鏈技術的成熟，越來越多的研究人員關注了區(qū)塊鏈技術在各行各業(yè)的應用，主要研究體現(xiàn)在以下幾個方面：(1)在以太坊區(qū)塊鏈上進行網絡安全滲透測試[24]；(2)網絡安全由人工智能和區(qū)塊鏈驅動[25]；(3)從比特幣到網絡安全:區(qū)塊鏈應用與安全問題的比較研究[26](采用基于屬性的加密方法，提出了一種改進的訪問控制策略)；(4)論區(qū)塊鏈的網絡風險管理:一種博弈論方法[27]；(5)通過使用區(qū)塊鏈連接信任解決全球網絡安全問題[28]；(6)安全和信任-網絡空間計算的新挑戰(zhàn)[29]；(7)Ishare:基于區(qū)塊鏈的隱私感知多代理信息共享游戲(用于網絡安全)[30]。

3 結論

本文總結了區(qū)塊鏈的概念、框架結構和特征，深入分析了網絡空間安全所存在的問題，提出區(qū)塊鏈技術可作為當前網絡安全領域的關鍵技術來解決網絡空間現(xiàn)存的一些問題，列舉了區(qū)塊鏈的一些應用案例、前沿發(fā)展方向以及對未來研究的展望。區(qū)塊鏈技術本身就是一種分布式的安全框架，這一特性使得區(qū)塊鏈正在成為網絡安全領域最有利、最具獨創(chuàng)性的技術之一。無論是在區(qū)塊鏈架構上討論安全問題還是將該技術運用到網絡安全領域，都將解決目前各行各業(yè)所面臨的網絡安全問題。雖然目前區(qū)塊鏈技術仍然面臨各種各樣的挑戰(zhàn)，但是隨著人工智能、大數(shù)據(jù)和物聯(lián)網技術的快速發(fā)展以及與區(qū)塊鏈技術的相互融合，這些技術將共同作用于網絡安全領域，并使網絡安全技術能不斷提升。