區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全保護中的應(yīng)用

董嘉成

（杭州電子科技大學(xué)信息工程學(xué)院 浙江 杭州 311305）

0 引言

網(wǎng)絡(luò)安全旨在保護網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不受外來因素和內(nèi)部因素的破壞、更改、泄露。在信息技術(shù)爆發(fā)式發(fā)展的時代下，網(wǎng)絡(luò)安全與全球網(wǎng)民休戚相關(guān)，根據(jù)中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告顯示，現(xiàn)如今我國網(wǎng)民總數(shù)超過九億人，保障信息安全顯得尤為重要。區(qū)塊鏈技術(shù)作為最新出現(xiàn)的綜合性信息技術(shù)，有著很大的發(fā)展前景，并且區(qū)塊鏈技術(shù)的發(fā)展，為數(shù)據(jù)保護、防篡改、保護隱私信息提供了新思路[1]。

1 網(wǎng)絡(luò)安全問題

信息化時代背景下，因系統(tǒng)自身的漏洞、病毒及黑客攻擊等因素的影響，使得計算機網(wǎng)絡(luò)安全受到了潛在威脅，對網(wǎng)絡(luò)安全沒有足夠重視則會導(dǎo)致數(shù)據(jù)信息泄露、網(wǎng)絡(luò)癱瘓等現(xiàn)象的出現(xiàn)，不僅影響著用戶的體驗效果甚至?xí){到個人信息安全等?，F(xiàn)階段隨著計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛，各層面的網(wǎng)絡(luò)安全威脅和風(fēng)險迅速增加，其中最常見的是網(wǎng)絡(luò)黑客的入侵。黑客利用各種渠道偽裝木馬、病毒等程序，誘導(dǎo)網(wǎng)絡(luò)用戶點擊鏈接、下載軟件，進而控制計算機[2]，嚴(yán)重情況下，被黑客掌控計算機內(nèi)的信息和隱私數(shù)據(jù)，泄露用戶信息，影響用戶生活。網(wǎng)絡(luò)病毒更會快速進行復(fù)制和傳播，導(dǎo)致更多的計算機感染病毒。又如基礎(chǔ)設(shè)施被木馬入侵將導(dǎo)致設(shè)施失控、停止服務(wù)甚至造成更大的損失。

除了對網(wǎng)絡(luò)、計算機的入侵還有對網(wǎng)絡(luò)服務(wù)器的破壞，最常見的為DDoS 攻擊。DDoS 攻擊通過僵尸網(wǎng)絡(luò)對服務(wù)器發(fā)送垃圾信息、網(wǎng)絡(luò)掃描等方法占用網(wǎng)絡(luò)寬帶資源、降低網(wǎng)絡(luò)運行效率，導(dǎo)致普通用戶無法正常訪問。而且一款軟件或多或少帶有漏洞，這些漏洞就是黑客們重點進攻目標(biāo)。電腦漏洞被黑客們利用后極有可能會被植入后門甚至間諜程序，對人民和國家造成極大的威脅。

一般來說，數(shù)據(jù)的訪問需要設(shè)置一定的權(quán)限，避免任何人都可以無條件地瀏覽、修改數(shù)據(jù)，導(dǎo)致信息泄露。然而大多數(shù)權(quán)限管理員對權(quán)限管理的工作沒有引起足夠的重視，導(dǎo)致黑客利用權(quán)限漏洞對數(shù)據(jù)進行破壞，對數(shù)據(jù)的安全性造成了影響。

2 區(qū)塊鏈核心技術(shù)

區(qū)塊鏈起源于比特幣，最早在《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》一文，闡述了基于P2P 網(wǎng)絡(luò)技術(shù)、非對稱加密技術(shù)、時間戳技術(shù)、區(qū)塊鏈技術(shù)等電子現(xiàn)金系統(tǒng)的構(gòu)架理念。文章發(fā)表兩個月后第一個創(chuàng)世區(qū)塊誕生，幾天后出現(xiàn)新的區(qū)塊與前一個區(qū)塊相連接形成了鏈，標(biāo)志著區(qū)塊鏈的誕生。區(qū)塊鏈技術(shù)是一種新型的分布式基礎(chǔ)數(shù)據(jù)庫架構(gòu)，它利用加密鏈?zhǔn)絽^(qū)塊結(jié)構(gòu)來驗證與存儲數(shù)據(jù)，利用分布式節(jié)點以及共識算法來生成和更新數(shù)據(jù)，利用自動化腳本代碼（即智能合約）來編程和操作數(shù)據(jù)[3]。區(qū)塊鏈技術(shù)具有以下幾個核心技術(shù)。

2.1 分布式賬本

分布式賬本是指由不同位置的多個節(jié)點注冊的交易，幾乎所有的節(jié)點都要參與，每個節(jié)點記錄一個完整的賬戶，即使其中少量節(jié)點出現(xiàn)問題，賬戶仍然不會被篡改，且監(jiān)控交易具有合法性，也可以共同為它們作證[4]。與傳統(tǒng)分布式存儲不同，區(qū)塊鏈分布式存儲的獨特性主要有兩個方面：（1）區(qū)塊鏈的每個節(jié)點按照區(qū)塊鏈結(jié)構(gòu)存儲所有數(shù)據(jù)，建立新的區(qū)塊需要將舊的區(qū)塊信息全部備份后加入新的信息、數(shù)據(jù)。在傳統(tǒng)的分布式存儲中，計算機把數(shù)據(jù)按照一定的規(guī)則分成多個部分進行存儲。（2）區(qū)塊鏈的每個節(jié)點存儲都是獨立的，具有相同的地位，依靠共識機制來保證存儲的一致性，而傳統(tǒng)的分布式存儲一般通過中心節(jié)點將數(shù)據(jù)同步到其他備份節(jié)點。沒有單個節(jié)點可以單獨記錄賬簿數(shù)據(jù)，從而避免了單個簿記員被控制或賄賂篡改賬簿的可能性。也因為有足夠多的記賬節(jié)點，理論上來說，除非所有節(jié)點都被銷毀，否則賬戶不會丟失，從而保證了賬戶數(shù)據(jù)的安全[4]。在網(wǎng)絡(luò)安全的應(yīng)用中，主要利用了分布式賬本的不可變/可信記錄。賬本中的每條記錄都有一個時間戳和一個唯一的數(shù)字簽名，這使得賬本成為網(wǎng)絡(luò)中所有交易的可審計歷史記錄。黑客對記錄進行修改會破壞時間戳，并且無法進行正確的簽名，使得系統(tǒng)安全員更容易排除問題。

2.2 非對稱加密

在區(qū)塊鏈系統(tǒng)中，加密技術(shù)是保證交易信息安全的基礎(chǔ)。非對稱加密算法使用公鑰（public key）和私鑰（private key）來解決區(qū)塊鏈網(wǎng)絡(luò)中用戶信息的安全問題。如果用公鑰對數(shù)據(jù)進行加密，那么只有對應(yīng)的私鑰可以進行解密。如果用私鑰對數(shù)據(jù)加密，只能用對應(yīng)的公鑰進行解密。因為加密和解密用的是不同的密鑰，所以稱之為非對稱加密。公鑰和私鑰同時生成，每個人都可以使用公鑰對信息進行加密，確保信息的真實性；私鑰是嚴(yán)格保密的，只有信息的所有者才能使用相應(yīng)的私鑰對信息進行解密，這樣就不用像對稱加密一樣傳輸對方的密鑰，提高了安全性。公鑰由私鑰通過特殊的加密算法生成，交易信息中必須要有正確的數(shù)字簽名才能進行，否則交易不能成立，因此用來判斷交易是否有效。

在區(qū)塊鏈的加密技術(shù)中，先產(chǎn)生私鑰，私鑰通過不可逆的函數(shù)橢圓曲線算法來產(chǎn)生公鑰，公鑰經(jīng)過一系列不可逆的運算對明文進行加密。公鑰用于接收明文并加密，私鑰用于生成其對應(yīng)的簽名，以唯一確定這些信息的所有權(quán)。私鑰持有者才是信息的擁有者。

2.3 共識機制

結(jié)合當(dāng)前的形勢變化，區(qū)塊鏈系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用過程中，為了實現(xiàn)對虛假信息的有效識別，需要考慮共識機制的應(yīng)用。共識機制是所有記賬節(jié)點如何達(dá)成共識來確定記錄的有效性。它不僅是一種身份識別手段，也是一種防止篡改和消除欺詐可能性的手段。在共識機制的作用下，可實現(xiàn)對少數(shù)惡意節(jié)點的有效處理，從而獲得良好的成效，增強網(wǎng)絡(luò)運行安全性。因此，區(qū)塊鏈網(wǎng)絡(luò)規(guī)模越大越不容易受到惡意的攻擊。區(qū)塊鏈提出了適用于不同應(yīng)用場景的4 種不同的共識機制，包括權(quán)益證明機制（PoS）、股份授權(quán)證明機制（DPoS）、工作量證明機制（PoW）以及分布式一致算法等，在效率和安全性之間取得了平衡，能夠以工作量及權(quán)益證明等不同的形式，維護好系統(tǒng)網(wǎng)絡(luò)運行安全，使得區(qū)塊鏈網(wǎng)絡(luò)能夠處于良好的工作狀態(tài)。

2.4 智能合約

智能合約被認(rèn)為是以數(shù)字定義的并能自動執(zhí)行的條約，在區(qū)塊鏈中智能合約是一種計算機程序，它基于預(yù)先確定的事件自動執(zhí)行程序。智能合約基于這些可信任、未篡改的數(shù)據(jù)，自動執(zhí)行預(yù)定的行為。智能合約本質(zhì)上是自動化腳本代碼即算法以及底層的業(yè)務(wù)邏輯同時發(fā)揮作用，可以根據(jù)預(yù)先編寫好的代碼執(zhí)行特定的程序，即滿足智能合約的特定條款程序?qū)⒆詣訄?zhí)行，無需人為操作。智能合約擁有非常多的優(yōu)點：準(zhǔn)確執(zhí)行、高效實時更新、較低的人為干預(yù)風(fēng)險、去中心化的權(quán)威以及低成本。在區(qū)塊鏈網(wǎng)絡(luò)運行過程中，智能合約實際作用的發(fā)揮也能使網(wǎng)絡(luò)應(yīng)用更具安全性，它為數(shù)據(jù)層的數(shù)據(jù)賦予了可靈活編程的機會，降低了實現(xiàn)業(yè)務(wù)的難度。

3 區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全保護中的應(yīng)用

了解區(qū)塊鏈技術(shù)后，分析網(wǎng)絡(luò)安全存在的威脅，可以將區(qū)塊鏈技術(shù)應(yīng)用到維護網(wǎng)絡(luò)數(shù)據(jù)、確保服務(wù)器安全等領(lǐng)域。

3.1 保護數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改

數(shù)據(jù)的完整性指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。在數(shù)據(jù)存儲中，采用區(qū)塊鏈技術(shù)之一的分布式賬本技術(shù)，讓各個節(jié)點存儲所有的數(shù)據(jù)，并依靠共識機制來保證數(shù)據(jù)的一致性。每個節(jié)點參與監(jiān)督數(shù)據(jù)的存儲過程，保證了存儲的數(shù)據(jù)不會被黑客篡改。因為每個節(jié)點都不能單獨記錄賬本數(shù)據(jù)，因此能夠避免單一節(jié)點被惡意控制。采用區(qū)塊鏈技術(shù)后，數(shù)據(jù)的存儲采用單一鏈?zhǔn)浇Y(jié)構(gòu)，想要修改某個區(qū)塊內(nèi)容，必須將所有區(qū)塊的指針改變，保證數(shù)據(jù)無法被任意更改[5]。而由于采用的是分布式存儲，每個節(jié)點都保存有一份數(shù)據(jù)副本，避免了集中化存儲的單點故障問題。而區(qū)塊鏈的共識機制可以應(yīng)用到數(shù)據(jù)的驗證中，共識機制增加了惡意攻擊的成本，惡意攻擊想要篡改數(shù)據(jù)就要對全部節(jié)點發(fā)起攻擊，只要區(qū)塊鏈網(wǎng)絡(luò)規(guī)模超過黑客即可防止數(shù)據(jù)被篡改。另外，非對稱加密可以對信息摘要進行加密，即進行數(shù)字簽名，信息擁有者利用私鑰對產(chǎn)生的信息摘要進行加密獲得簽名，簽名附在信息原文后面表明信息沒有收到偽造，如同手寫簽名一樣具有不可抵賴性。

3.2 保護隱私信息，避免數(shù)據(jù)泄露

在網(wǎng)絡(luò)中，用戶的隱私信息非常重要，有許多黑客入侵互聯(lián)網(wǎng)企業(yè)服務(wù)器，通常會將其用戶信息掃描下載，用來威脅被入侵企業(yè)。比如2019 年Facebook 信息泄露事件，近5.33 億賬戶信息被盜，影響巨大。黑客甚至?xí)⒁恍┟舾行畔⒃诎稻W(wǎng)上出售，因此更加安全的加密算法顯得極其重要。而將區(qū)塊鏈的非對稱加密技術(shù)應(yīng)用到數(shù)據(jù)存儲中，將用戶的數(shù)據(jù)進行加密，即便黑客拿到了敏感數(shù)據(jù)也無法對其解密。因為收信者是唯一能夠解開加密信息的人，收信者手中掌握著私鑰，利用對應(yīng)的公鑰加密的信息只能用此密鑰解密。將非對稱加密應(yīng)用到數(shù)據(jù)存儲的過程中，那么可以使得數(shù)據(jù)無法被非法獲取以及解密。

或者構(gòu)建聯(lián)盟鏈，只有可信的聯(lián)盟成員可以加入聯(lián)盟鏈網(wǎng)絡(luò)，未通過可信審計的成員無法加入網(wǎng)絡(luò)，斷絕了黑客通過外部途徑進行入侵的可能。

3.3 自我審計防護

一般服務(wù)器都會有日志（log）文件，安全人員根據(jù)檢查日志中記錄的操作來確定是否有黑客入侵服務(wù)器，但是大部分黑客入侵服務(wù)器獲取權(quán)限后會將日志文件修改或者刪除，導(dǎo)致安全人員無法及時確認(rèn)服務(wù)器被入侵。為了能夠及時判斷，可以將區(qū)塊鏈的智能合約技術(shù)應(yīng)用到日志的審查中，通過提前編寫好自動化審查腳本，讓系統(tǒng)無時無刻都在執(zhí)行日志審查工作。一旦檢查出日志被改動、刪除，及時向安全人員發(fā)送警告，提高了系統(tǒng)對外防御的性能。除了對日志文件的審查，也可以編寫程序?qū)Ψ阑饓M行自動化智能識別惡意攻擊。

3.4 抵抗DDoS，減輕服務(wù)器壓力

DDoS 攻擊指分布式拒絕服務(wù)攻擊，通過聯(lián)合不同的計算機對服務(wù)器發(fā)動拒絕服務(wù)攻擊，使得正常用戶無法正常訪問網(wǎng)站。隨著信息技術(shù)的發(fā)展，黑客們擁有龐大的僵尸網(wǎng)絡(luò)，使得抵抗DDoS 的代價增加。應(yīng)用區(qū)塊鏈技術(shù)將DNS服務(wù)器分布式設(shè)計存儲點不僅可以有效應(yīng)對，還可以利用集體社區(qū)的方法應(yīng)對DDoS 攻擊[5]。將DNS 服務(wù)器分布式存儲可以減輕單個DNS 服務(wù)器壓力，給安全人員足夠的時間進行反應(yīng)和攔截。另外，可以部署智能合約對網(wǎng)絡(luò)流量進行監(jiān)控，一旦發(fā)現(xiàn)問題流量就進行溯源和封鎖，確保傳輸?shù)臄?shù)據(jù)沒有被篡改。同時可以監(jiān)控軟件的狀態(tài)和完整性，及時發(fā)現(xiàn)惡意篡改。

3.5 防范來自內(nèi)部或外部的攻擊

區(qū)塊鏈擁有不同的類型，不同類型具有不同的效果。其中私有鏈能夠有效保護企業(yè)內(nèi)部私有應(yīng)用，例如數(shù)據(jù)庫的管理和審計。私有鏈在特有組織內(nèi)部采用，按照組織私人制定的策略組規(guī)定用戶的讀、寫權(quán)限和記賬權(quán)限。私有鏈網(wǎng)絡(luò)采用私有組織個體管理，信息不對外開放，僅有內(nèi)部成員可以訪問，可以防范來自外部甚至內(nèi)部對數(shù)據(jù)的攻擊。

4 區(qū)塊鏈技術(shù)應(yīng)用中存在的問題及應(yīng)對方法

4.1 存在的問題

將區(qū)塊鏈技術(shù)應(yīng)用到網(wǎng)絡(luò)安全管理中，能夠提高網(wǎng)絡(luò)的安全性，但是區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用仍然存在一定問題。

（1）在技術(shù)層中，區(qū)塊鏈沒有突破性進展與成果，并且區(qū)塊鏈技術(shù)具有一定的門檻，區(qū)塊鏈應(yīng)用尚且在實驗室開發(fā)階段，缺少實踐中的應(yīng)用，還需要繼續(xù)探索方向。再有區(qū)塊容量問題有待解決，由于區(qū)塊鏈需要復(fù)制之前區(qū)塊產(chǎn)生的全部信息，下一個區(qū)塊信息量要大于之前區(qū)塊信息量，這樣傳遞下去，區(qū)塊寫入信息會無限增大，會帶來信息存儲、驗證、容量等問題。

（2）受現(xiàn)行制度、觀念約束。區(qū)塊鏈的去中心化淡化了監(jiān)管的地位、對數(shù)據(jù)維護等有著較大的沖擊，現(xiàn)行社會缺少對去中心化制度的討論，即使是技術(shù)成熟的比特幣技術(shù)，不同國家也有著不同的態(tài)度。

（3）應(yīng)用標(biāo)準(zhǔn)問題。數(shù)據(jù)庫有數(shù)據(jù)庫的統(tǒng)一標(biāo)準(zhǔn)，網(wǎng)絡(luò)通信也有統(tǒng)一標(biāo)準(zhǔn)，才使得數(shù)據(jù)交互有規(guī)律可依，而區(qū)塊鏈并沒有統(tǒng)一的應(yīng)用標(biāo)準(zhǔn)，難以實現(xiàn)大規(guī)模推廣與應(yīng)用。

（4）可擴展性差、確認(rèn)交易時間長、算力需求大，很難在規(guī)模、容錯性、性能三者間進行平衡。

（5）競爭激烈。實現(xiàn)安全性的技術(shù)有很多種，哪種技術(shù)更高效、更方便，人們就會使用該技術(shù)。除了區(qū)塊鏈技術(shù)，其他技術(shù)如量子通訊同樣可以對信息進行安全的傳播。

4.2 應(yīng)對方法

根據(jù)當(dāng)前情況來判斷，應(yīng)對方法有以下幾種。

（1）推廣區(qū)塊鏈技術(shù)，讓更多的人了解區(qū)塊鏈技術(shù)，鼓勵研究區(qū)塊鏈核心技術(shù)，將尚在開發(fā)階段的應(yīng)用推廣出去。降低門檻讓更多的人加入?yún)^(qū)塊鏈技術(shù)的開發(fā)、研究，提升競爭力。

（2）解決信息存儲容量大小問題，研究更先進的信息存儲技術(shù)，提高硬盤存儲速度與容量，優(yōu)化信息驗證算法、框架，提高驗證速度。

（3）盡快建立區(qū)塊鏈技術(shù)應(yīng)用統(tǒng)一標(biāo)準(zhǔn)，規(guī)范區(qū)塊鏈技術(shù)應(yīng)用?？梢猿闪㈤_放式社區(qū)，吸引更多的區(qū)塊鏈新手加入社區(qū)。

5 結(jié)語

綜上所述，通過對區(qū)塊鏈技術(shù)應(yīng)用的思考，有利于增強網(wǎng)絡(luò)安全保護效果，豐富其保護目標(biāo)實現(xiàn)過程中的技術(shù)內(nèi)涵，促使系統(tǒng)網(wǎng)絡(luò)安全性能更加可靠，為用戶提供優(yōu)質(zhì)的信息服務(wù)。與此同時，隨著網(wǎng)絡(luò)技術(shù)的深入，區(qū)塊鏈技術(shù)的綜合應(yīng)用也將實現(xiàn)更高層次的網(wǎng)絡(luò)信息安全保障，更好地完善網(wǎng)絡(luò)安全、信息安全。區(qū)塊鏈技術(shù)顛覆了傳統(tǒng)網(wǎng)絡(luò)安全防護的假設(shè)，為網(wǎng)絡(luò)安全提供了全新的防護思路。但是區(qū)塊鏈技術(shù)仍在發(fā)展中，仍然面臨著各種問題，需要對區(qū)塊鏈進行探索、研究。