區(qū)塊鏈技術在網絡安全中的應用研究

邱璐

關鍵詞：區(qū)塊鏈技術；網絡安全；網絡安全技術；局限性

為保障網絡系統(tǒng)的安全，目前主要采用認證、授權、訪問控制、校驗、加密、檢測、備份等方法。但由于某些網絡安全技術受依賴中心化、PKI技術、簽名方式單一的限制，黑客利用網絡安全漏洞進行攻擊，往往還是會出現網絡安全問題。區(qū)塊鏈技術由于具有去中心化、可追溯性、不可篡改性等特點，應用于網絡安全領域可以明顯提升網絡系統(tǒng)的安全性。

1區(qū)塊鏈概述

1.1區(qū)塊鏈的概念

2009年1月，比特幣發(fā)布第一個創(chuàng)世塊，標志著基于區(qū)塊鏈技術應用的誕生。區(qū)塊鏈是一種典型的分布式賬本技術，利用共同識別等多邊技術手段，支持數據的驗證、共享、計算、存儲等功能。

1.2區(qū)塊鏈的主要技術特點

歷經十幾年的發(fā)展，區(qū)塊鏈逐漸具備了去中心化、不可篡改性、可追溯性、不可否認性、不可偽造性和可編程性等特點。

1.2.1去中心化

相較于傳統(tǒng)分布式一致性的協(xié)議，去中心化是區(qū)塊鏈最顯著的優(yōu)勢。區(qū)塊鏈主要建立在開放網絡中，去中心化可以根據節(jié)點進行備份，多一個節(jié)點也就多一個備份。以比特幣為例，全球大約有一萬個節(jié)點，自比特幣誕生以來一直穩(wěn)定運行，不會因某個節(jié)點不工作而停擺，即使有九千個節(jié)點停止工作，只要有一千個節(jié)點工作，整個系統(tǒng)依然能夠正常運轉。最極端的情況，即使只有幾個節(jié)點在繼續(xù)工作，整個系統(tǒng)仍然可以正常工作。

系統(tǒng)能夠穩(wěn)定的運行，不是依賴某個數據庫或某個操作系統(tǒng)，而是依賴其區(qū)塊數據結構，即便部分節(jié)點失陷，也不影響總體系統(tǒng)的運行。由于其具有去中心化的特點，大大增強了系統(tǒng)的可用性。

1.2.2使用密碼技術

區(qū)塊鏈使用密碼技術，保證了所有交易的可追溯、不可篡改、不可否認和不可偽造，在保證數據共享安全和協(xié)同計算的同時，也可實現用戶信息和敏感數據的保護。在保證區(qū)塊數據的完整性方面，由于通過hash連接，所有的區(qū)塊是否正確很容易被驗證：偽造區(qū)塊鏈hash的難點在于，需要通過大量的計算，付出大量的時間和精力，只有這樣才會被系統(tǒng)認可，因此偽造對于網絡攻擊者來說成本太高。

區(qū)塊鏈的用戶體系建立在公鑰基礎上，每個用戶的私鑰對應一把公鑰，攻擊者無法進行暴力破解。區(qū)塊鏈中的每一項交易需要通過簽名才能完成。攻擊者無法獲取私鑰，就無法完成簽名并偽造交易；同時，有了簽名的記錄，用戶必須承認有過交易。可見，區(qū)塊鏈采用hash和公鑰內置的機制，增強了用戶身份和敏感數據的完整性、保密性。

1.2.3去信任

以太坊（Ethereum）支持的智能合約把區(qū)塊鏈變成了一個可編程的公共數據區(qū)塊?？删幊绦钥梢宰尳灰渍卟灰蕾嚨谌街薪?，從而降低了合同執(zhí)行的成本。當事人不需要通過第三方中介建立信任關系，只需要按照系統(tǒng)既定的規(guī)則和程序就可以自行建立可信的聯(lián)系。同時，節(jié)點之間的數據都是公開的，任何要建立節(jié)點間信任的當事人都可以看到，無法欺騙對方。

2網絡安全與網絡安全技術概述

2.1網絡安全的概念

網絡安全是指信息網絡中的軟硬件和數據不因偶發(fā)或人為的事件遭到破壞、修改與泄露，能夠持續(xù)、穩(wěn)定地運行，信息服務不間斷[1-2]。

網絡安全實際上就是通過對網絡系統(tǒng)中各種硬件、軟件進行維護，并按照一定的方法，使其免受網絡攻擊，或者發(fā)現攻擊后能夠迅速補救，從而保證信息的安全。對于網絡系統(tǒng)而言，3個安全的中心目標是保密性（Confidentiality）、完整性（Integrity）、有效性（Avilability），即CIA。

2.2網絡安全技術

通常用來保障保密性、完整性、有效性（ CIA）的做法就是授權、認證、加密、訪問控制、檢測、備份等，實現這些方法的網絡安全技術有很多，以下對常用網絡安全技術進行介紹。

2.2.1安全郵件

安全郵件是指對電子郵件進行加密和解密，以確保郵件的信息不被其他人獲取。目前，主要有2種技術方案，即PGP和S/MIME。PGP（Pretty GoodPrivacy）是Phil Zimmermann在1991年提出為電子郵件加密的方案，目前已成為郵件加密的標準。PGP通過公鑰加密為電子郵件提供安全保障。

2.2.2Web安全

互聯(lián)網站點上存儲著大量的信息，網絡安全的一個重要內容是保護互聯(lián)網站點上的信息安全?；ヂ?lián)網安全主要包括3個層面，即服務器、瀏覽器以及服務器和瀏覽器之間的通信安全。互聯(lián)網安全技術分為網絡層、傳輸層、應用層3個層次。網絡層可以使用IPSec協(xié)議過濾流量。傳輸層通過在TCP上實現網絡安全，使用這種方法的例子有InternetSSL標準。應用層將安全服務嵌入到應用程序中實現網絡安全。

2.2.3防火墻

防火墻是一種把內網和公共網絡隔離的技術。防火墻設置在被保護網絡和公共網絡之間，以防止數據被破壞、篡改、盜取等。防火墻是在2個網絡之間實現通信的一種授權控制，只有通過授權才能訪問數據，可以最大限度地避免黑客未經允許訪問內部網絡。防火墻的類型主要有數據包過濾防火墻、代理服務器防火墻和混合型防火墻。

2.2.4入侵檢測

入侵檢測（Intrusion Detection）是預判是否存在入侵行為的測試。它通過分析訪問者的行為、安全日志和計算機關鍵節(jié)點信息，來判斷訪問者是否存在違反安全策略的活動。入侵檢測是一種主動的防御技術，在網絡攻擊發(fā)動之前提前預判是否可能會發(fā)動網絡入侵行為?？梢苑譃榻y(tǒng)計異常檢測和基于規(guī)則的檢測。

2.2.5木馬和病毒檢測

計算機病毒是指一組能夠破壞計算機功能和數據、可自行復制的程序編碼。病毒對計算機軟硬件都會造成一定程度的影響。

3常見的網絡漏洞

網絡安全技術是用來修復網絡安全漏洞的。漏洞實際上就是網絡安全方面的一些弱點，是在網絡的設計和實施中的缺陷、弱點或特性[3-5]。利用漏洞發(fā)起網絡攻擊，進而威脅網絡安全。網絡安全漏洞有很多種，以下簡單介紹幾種常見的類型。

3.1SQL注入

所謂SQL注入，是指黑客在地址欄中或者在URL等處輸入了夾雜SQL語句的參數，程序在處理數據時，誤將輸入內容作為SQL語句的參數。因此，程序執(zhí)行了黑客摻雜的SQL內容。黑客寫入的預期外的數據，破壞了系統(tǒng)的完整性。

3.2緩沖區(qū)溢出漏洞

緩沖區(qū)存在的數據一般都有一個預設的大小，如果用戶將數據存人緩沖區(qū)時未做好檢查，數據大于緩沖區(qū)的預設值，就會造成緩沖區(qū)溢出。黑客可以利用溢出的數據覆蓋原來的代碼，使計算機執(zhí)行黑客的程序，以破壞系統(tǒng)的完整性。

3.3文件上傳漏洞

文件上傳漏洞是指上傳了能夠被服務器解析的Web腳本。例如，用戶在一個網站上傳jpg格式的照片時，由于未做檢查，黑客同時上傳了JSP文件，找到該文件的URL后，就可以執(zhí)行腳本，這個腳本可以說就是一個木馬程序，利用木馬程序黑客就能控制服務器。

3.4中間人劫持漏洞

劫持分為TCP劫持、DNS劫持、HTTP劫持、密鑰協(xié)商劫持、證書劫持等。它們共同的特征是，網絡中2個通信方都以為是與對方通信，但實際上通信都要通過中間人。換言之，通信方的對話信息都被第三方看到了，而且第三方可以修改通信方的對話信息。這破壞了通信的保密性，如果第三方還修改了數據，就破壞了通信的完整性。

3.5口令暴力破解

暴力破解就是通過不斷重復來猜測密碼。如果用戶密碼簡單，黑客多次重試后，就有可能破解密碼，然后進入系統(tǒng)。黑客一旦進入系統(tǒng)，系統(tǒng)的完整性和保密性就會被破壞。

3.6越權漏洞

越權漏洞是指應用程序在檢驗授權時存在漏洞，可以使攻擊者利用低權限用戶賬號繞開檢查以獲得高級別用戶賬號的權限。例如，用戶A和B是某個網站的普通用戶，只能按照自己的權限操作，但A如果利用一些方法做出了B可以實現的操作，這就造成了平行越權；如果A是網站的普通用戶，B是網站管理員，A通過某種方法執(zhí)行B權限才能做的操作，這就造成了垂直越權。越權漏洞一般是校驗權限的邏輯不夠嚴謹造成的。

4區(qū)塊鏈技術在網絡安全中的應用及其局限性

4.1區(qū)塊鏈技術在網絡安全中的應用

4.1.1有效緩解分布式拒絕服務攻擊

分布式拒絕服務攻擊（ DDOS）是攻擊者利用相關手段讓目標服務器停止工作，通過大范圍聯(lián)機的方式來復制、盜用、損壞信息，服務器在接收這些信息后，誤認為是合法請求，導致目標網站中服務器資源被大量占用，迫使服務器緩沖區(qū)溢滿，或使服務器接收非法的用戶接連，從而影響服務器的正常工作。在分布式網絡中應用區(qū)塊鏈技術，可以有效緩解DDOS的攻擊，還可以采取出租額外帶寬的方式來降低過流量帶來的負面影響。

4.1.2提升數據保護效果

基于區(qū)塊鏈技術的分布式賬本和加密技術，可以為數據的保密性、可用性和完整性提供更好的保護效果。區(qū)塊鏈是一個聯(lián)系緊密的存儲數據鏈條，為了讓新加入的環(huán)節(jié)與相鄰數據鏈接起來，需要將原有數據中包含的特征值全部復制到新的環(huán)節(jié)中，這種機制有效解決了傳統(tǒng)模式下數據被篡改的問題。另外，分布式的記賬技術采用不同信息進行不同的簽名的方式，一般情況下攻擊者是無法偽造數據的。通過加密技術，也可以保證數據在傳輸過程中不會被篡改。

4.1.3提升信息安全效果

目前，采用較多的是以PKI為基礎的信息加密技術，KPI加密技術對中心化較為依賴，存儲證書需要通過第三方授權才能活動。若黑客從第三方獲得了用戶的CA，則信息加密技術就會失效。區(qū)塊鏈技術使用了非對稱的加密技術，用戶在獲得動態(tài)密鑰后才能被授權，從而增強了信息保密性。另外，通過去中心化的方式，使得各類信息不易被篡改，信息的安全性也會明顯提升。

4.1.4區(qū)塊鏈技術在隱私保護方面的應用

區(qū)塊鏈中的數據在錄入和傳輸等環(huán)節(jié)均有記錄，使得數據可追溯，數據安全程度明顯提升。區(qū)塊鏈技術支持以地址的形式進行數據交換，而不是以用戶身份進行，在用戶交易時以匿名方式進行，使個人的隱私信息得到較好的保護。

4.2區(qū)塊鏈技術在網絡安全中應用的局限性

雖然區(qū)塊鏈技術在網絡安全方面提供了較多的技術保障，但作為技術本身來說，還是有一定的局限性的。比如，區(qū)塊鏈技術使用了大量密碼技術，但若設計或編碼不當，則會產生較大的漏洞。又如，智能合約代碼邏輯如果與設計的初衷不符，就會出問題。區(qū)塊鏈所使用的密碼學技術可能本身也有漏洞，這使得區(qū)塊鏈技術在網絡安全應用方面亦存在諸多挑戰(zhàn)。

5結束語

區(qū)塊鏈技術具有中心化、可追溯性、不可篡改性、不可偽造性、不可否認性和可編程性等特點。通過應用密碼技術、區(qū)塊鏈技術和PKI技術以及采用hash和公鑰內置機制，使網絡系統(tǒng)數據的保密性、完整性、有效性得到有效加強，為網絡安全提供了強有力的保障。同時，對于區(qū)塊鏈技術本身，其也存在一定的局限性，這需要我們在今后的工作中加強研究，取長補短，利用新技術不斷優(yōu)化網絡安全效果。