區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究

邱璐

關(guān)鍵詞：區(qū)塊鏈技術(shù)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全技術(shù)；局限性

為保障網(wǎng)絡(luò)系統(tǒng)的安全，目前主要采用認(rèn)證、授權(quán)、訪問控制、校驗(yàn)、加密、檢測(cè)、備份等方法。但由于某些網(wǎng)絡(luò)安全技術(shù)受依賴中心化、PKI技術(shù)、簽名方式單一的限制，黑客利用網(wǎng)絡(luò)安全漏洞進(jìn)行攻擊，往往還是會(huì)出現(xiàn)網(wǎng)絡(luò)安全問題。區(qū)塊鏈技術(shù)由于具有去中心化、可追溯性、不可篡改性等特點(diǎn)，應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域可以明顯提升網(wǎng)絡(luò)系統(tǒng)的安全性。

1區(qū)塊鏈概述

1.1區(qū)塊鏈的概念

2009年1月，比特幣發(fā)布第一個(gè)創(chuàng)世塊，標(biāo)志著基于區(qū)塊鏈技術(shù)應(yīng)用的誕生。區(qū)塊鏈?zhǔn)且环N典型的分布式賬本技術(shù)，利用共同識(shí)別等多邊技術(shù)手段，支持?jǐn)?shù)據(jù)的驗(yàn)證、共享、計(jì)算、存儲(chǔ)等功能。

1.2區(qū)塊鏈的主要技術(shù)特點(diǎn)

歷經(jīng)十幾年的發(fā)展，區(qū)塊鏈逐漸具備了去中心化、不可篡改性、可追溯性、不可否認(rèn)性、不可偽造性和可編程性等特點(diǎn)。

1.2.1去中心化

相較于傳統(tǒng)分布式一致性的協(xié)議，去中心化是區(qū)塊鏈最顯著的優(yōu)勢(shì)。區(qū)塊鏈主要建立在開放網(wǎng)絡(luò)中，去中心化可以根據(jù)節(jié)點(diǎn)進(jìn)行備份，多一個(gè)節(jié)點(diǎn)也就多一個(gè)備份。以比特幣為例，全球大約有一萬個(gè)節(jié)點(diǎn)，自比特幣誕生以來一直穩(wěn)定運(yùn)行，不會(huì)因某個(gè)節(jié)點(diǎn)不工作而停擺，即使有九千個(gè)節(jié)點(diǎn)停止工作，只要有一千個(gè)節(jié)點(diǎn)工作，整個(gè)系統(tǒng)依然能夠正常運(yùn)轉(zhuǎn)。最極端的情況，即使只有幾個(gè)節(jié)點(diǎn)在繼續(xù)工作，整個(gè)系統(tǒng)仍然可以正常工作。

系統(tǒng)能夠穩(wěn)定的運(yùn)行，不是依賴某個(gè)數(shù)據(jù)庫或某個(gè)操作系統(tǒng)，而是依賴其區(qū)塊數(shù)據(jù)結(jié)構(gòu)，即便部分節(jié)點(diǎn)失陷，也不影響總體系統(tǒng)的運(yùn)行。由于其具有去中心化的特點(diǎn)，大大增強(qiáng)了系統(tǒng)的可用性。

1.2.2使用密碼技術(shù)

區(qū)塊鏈?zhǔn)褂妹艽a技術(shù)，保證了所有交易的可追溯、不可篡改、不可否認(rèn)和不可偽造，在保證數(shù)據(jù)共享安全和協(xié)同計(jì)算的同時(shí)，也可實(shí)現(xiàn)用戶信息和敏感數(shù)據(jù)的保護(hù)。在保證區(qū)塊數(shù)據(jù)的完整性方面，由于通過hash連接，所有的區(qū)塊是否正確很容易被驗(yàn)證：偽造區(qū)塊鏈hash的難點(diǎn)在于，需要通過大量的計(jì)算，付出大量的時(shí)間和精力，只有這樣才會(huì)被系統(tǒng)認(rèn)可，因此偽造對(duì)于網(wǎng)絡(luò)攻擊者來說成本太高。

區(qū)塊鏈的用戶體系建立在公鑰基礎(chǔ)上，每個(gè)用戶的私鑰對(duì)應(yīng)一把公鑰，攻擊者無法進(jìn)行暴力破解。區(qū)塊鏈中的每一項(xiàng)交易需要通過簽名才能完成。攻擊者無法獲取私鑰，就無法完成簽名并偽造交易；同時(shí)，有了簽名的記錄，用戶必須承認(rèn)有過交易。可見，區(qū)塊鏈采用hash和公鑰內(nèi)置的機(jī)制，增強(qiáng)了用戶身份和敏感數(shù)據(jù)的完整性、保密性。

1.2.3去信任

以太坊（Ethereum）支持的智能合約把區(qū)塊鏈變成了一個(gè)可編程的公共數(shù)據(jù)區(qū)塊?？删幊绦钥梢宰尳灰渍卟灰蕾嚨谌街薪?，從而降低了合同執(zhí)行的成本。當(dāng)事人不需要通過第三方中介建立信任關(guān)系，只需要按照系統(tǒng)既定的規(guī)則和程序就可以自行建立可信的聯(lián)系。同時(shí)，節(jié)點(diǎn)之間的數(shù)據(jù)都是公開的，任何要建立節(jié)點(diǎn)間信任的當(dāng)事人都可以看到，無法欺騙對(duì)方。

2網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全技術(shù)概述

2.1網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是指信息網(wǎng)絡(luò)中的軟硬件和數(shù)據(jù)不因偶發(fā)或人為的事件遭到破壞、修改與泄露，能夠持續(xù)、穩(wěn)定地運(yùn)行，信息服務(wù)不間斷[1-2]。

網(wǎng)絡(luò)安全實(shí)際上就是通過對(duì)網(wǎng)絡(luò)系統(tǒng)中各種硬件、軟件進(jìn)行維護(hù)，并按照一定的方法，使其免受網(wǎng)絡(luò)攻擊，或者發(fā)現(xiàn)攻擊后能夠迅速補(bǔ)救，從而保證信息的安全。對(duì)于網(wǎng)絡(luò)系統(tǒng)而言，3個(gè)安全的中心目標(biāo)是保密性（Confidentiality）、完整性（Integrity）、有效性（Avilability），即CIA。

2.2網(wǎng)絡(luò)安全技術(shù)

通常用來保障保密性、完整性、有效性（ CIA）的做法就是授權(quán)、認(rèn)證、加密、訪問控制、檢測(cè)、備份等，實(shí)現(xiàn)這些方法的網(wǎng)絡(luò)安全技術(shù)有很多，以下對(duì)常用網(wǎng)絡(luò)安全技術(shù)進(jìn)行介紹。

2.2.1安全郵件

安全郵件是指對(duì)電子郵件進(jìn)行加密和解密，以確保郵件的信息不被其他人獲取。目前，主要有2種技術(shù)方案，即PGP和S/MIME。PGP（Pretty GoodPrivacy）是Phil Zimmermann在1991年提出為電子郵件加密的方案，目前已成為郵件加密的標(biāo)準(zhǔn)。PGP通過公鑰加密為電子郵件提供安全保障。

2.2.2Web安全

互聯(lián)網(wǎng)站點(diǎn)上存儲(chǔ)著大量的信息，網(wǎng)絡(luò)安全的一個(gè)重要內(nèi)容是保護(hù)互聯(lián)網(wǎng)站點(diǎn)上的信息安全。互聯(lián)網(wǎng)安全主要包括3個(gè)層面，即服務(wù)器、瀏覽器以及服務(wù)器和瀏覽器之間的通信安全?；ヂ?lián)網(wǎng)安全技術(shù)分為網(wǎng)絡(luò)層、傳輸層、應(yīng)用層3個(gè)層次。網(wǎng)絡(luò)層可以使用IPSec協(xié)議過濾流量。傳輸層通過在TCP上實(shí)現(xiàn)網(wǎng)絡(luò)安全，使用這種方法的例子有InternetSSL標(biāo)準(zhǔn)。應(yīng)用層將安全服務(wù)嵌入到應(yīng)用程序中實(shí)現(xiàn)網(wǎng)絡(luò)安全。

2.2.3防火墻

防火墻是一種把內(nèi)網(wǎng)和公共網(wǎng)絡(luò)隔離的技術(shù)。防火墻設(shè)置在被保護(hù)網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間，以防止數(shù)據(jù)被破壞、篡改、盜取等。防火墻是在2個(gè)網(wǎng)絡(luò)之間實(shí)現(xiàn)通信的一種授權(quán)控制，只有通過授權(quán)才能訪問數(shù)據(jù)，可以最大限度地避免黑客未經(jīng)允許訪問內(nèi)部網(wǎng)絡(luò)。防火墻的類型主要有數(shù)據(jù)包過濾防火墻、代理服務(wù)器防火墻和混合型防火墻。

2.2.4入侵檢測(cè)

入侵檢測(cè)（Intrusion Detection）是預(yù)判是否存在入侵行為的測(cè)試。它通過分析訪問者的行為、安全日志和計(jì)算機(jī)關(guān)鍵節(jié)點(diǎn)信息，來判斷訪問者是否存在違反安全策略的活動(dòng)。入侵檢測(cè)是一種主動(dòng)的防御技術(shù)，在網(wǎng)絡(luò)攻擊發(fā)動(dòng)之前提前預(yù)判是否可能會(huì)發(fā)動(dòng)網(wǎng)絡(luò)入侵行為。可以分為統(tǒng)計(jì)異常檢測(cè)和基于規(guī)則的檢測(cè)。

2.2.5木馬和病毒檢測(cè)

計(jì)算機(jī)病毒是指一組能夠破壞計(jì)算機(jī)功能和數(shù)據(jù)、可自行復(fù)制的程序編碼。病毒對(duì)計(jì)算機(jī)軟硬件都會(huì)造成一定程度的影響。

3常見的網(wǎng)絡(luò)漏洞

網(wǎng)絡(luò)安全技術(shù)是用來修復(fù)網(wǎng)絡(luò)安全漏洞的。漏洞實(shí)際上就是網(wǎng)絡(luò)安全方面的一些弱點(diǎn)，是在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)施中的缺陷、弱點(diǎn)或特性[3-5]。利用漏洞發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)而威脅網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全漏洞有很多種，以下簡(jiǎn)單介紹幾種常見的類型。

3.1SQL注入

所謂SQL注入，是指黑客在地址欄中或者在URL等處輸入了夾雜SQL語句的參數(shù)，程序在處理數(shù)據(jù)時(shí)，誤將輸入內(nèi)容作為SQL語句的參數(shù)。因此，程序執(zhí)行了黑客摻雜的SQL內(nèi)容。黑客寫入的預(yù)期外的數(shù)據(jù)，破壞了系統(tǒng)的完整性。

3.2緩沖區(qū)溢出漏洞

緩沖區(qū)存在的數(shù)據(jù)一般都有一個(gè)預(yù)設(shè)的大小，如果用戶將數(shù)據(jù)存人緩沖區(qū)時(shí)未做好檢查，數(shù)據(jù)大于緩沖區(qū)的預(yù)設(shè)值，就會(huì)造成緩沖區(qū)溢出。黑客可以利用溢出的數(shù)據(jù)覆蓋原來的代碼，使計(jì)算機(jī)執(zhí)行黑客的程序，以破壞系統(tǒng)的完整性。

3.3文件上傳漏洞

文件上傳漏洞是指上傳了能夠被服務(wù)器解析的Web腳本。例如，用戶在一個(gè)網(wǎng)站上傳jpg格式的照片時(shí)，由于未做檢查，黑客同時(shí)上傳了JSP文件，找到該文件的URL后，就可以執(zhí)行腳本，這個(gè)腳本可以說就是一個(gè)木馬程序，利用木馬程序黑客就能控制服務(wù)器。

3.4中間人劫持漏洞

劫持分為TCP劫持、DNS劫持、HTTP劫持、密鑰協(xié)商劫持、證書劫持等。它們共同的特征是，網(wǎng)絡(luò)中2個(gè)通信方都以為是與對(duì)方通信，但實(shí)際上通信都要通過中間人。換言之，通信方的對(duì)話信息都被第三方看到了，而且第三方可以修改通信方的對(duì)話信息。這破壞了通信的保密性，如果第三方還修改了數(shù)據(jù)，就破壞了通信的完整性。

3.5口令暴力破解

暴力破解就是通過不斷重復(fù)來猜測(cè)密碼。如果用戶密碼簡(jiǎn)單，黑客多次重試后，就有可能破解密碼，然后進(jìn)入系統(tǒng)。黑客一旦進(jìn)入系統(tǒng)，系統(tǒng)的完整性和保密性就會(huì)被破壞。

3.6越權(quán)漏洞

越權(quán)漏洞是指應(yīng)用程序在檢驗(yàn)授權(quán)時(shí)存在漏洞，可以使攻擊者利用低權(quán)限用戶賬號(hào)繞開檢查以獲得高級(jí)別用戶賬號(hào)的權(quán)限。例如，用戶A和B是某個(gè)網(wǎng)站的普通用戶，只能按照自己的權(quán)限操作，但A如果利用一些方法做出了B可以實(shí)現(xiàn)的操作，這就造成了平行越權(quán)；如果A是網(wǎng)站的普通用戶，B是網(wǎng)站管理員，A通過某種方法執(zhí)行B權(quán)限才能做的操作，這就造成了垂直越權(quán)。越權(quán)漏洞一般是校驗(yàn)權(quán)限的邏輯不夠嚴(yán)謹(jǐn)造成的。

4區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用及其局限性

4.1區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

4.1.1有效緩解分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊（ DDOS）是攻擊者利用相關(guān)手段讓目標(biāo)服務(wù)器停止工作，通過大范圍聯(lián)機(jī)的方式來復(fù)制、盜用、損壞信息，服務(wù)器在接收這些信息后，誤認(rèn)為是合法請(qǐng)求，導(dǎo)致目標(biāo)網(wǎng)站中服務(wù)器資源被大量占用，迫使服務(wù)器緩沖區(qū)溢滿，或使服務(wù)器接收非法的用戶接連，從而影響服務(wù)器的正常工作。在分布式網(wǎng)絡(luò)中應(yīng)用區(qū)塊鏈技術(shù)，可以有效緩解DDOS的攻擊，還可以采取出租額外帶寬的方式來降低過流量帶來的負(fù)面影響。

4.1.2提升數(shù)據(jù)保護(hù)效果

基于區(qū)塊鏈技術(shù)的分布式賬本和加密技術(shù)，可以為數(shù)據(jù)的保密性、可用性和完整性提供更好的保護(hù)效果。區(qū)塊鏈?zhǔn)且粋€(gè)聯(lián)系緊密的存儲(chǔ)數(shù)據(jù)鏈條，為了讓新加入的環(huán)節(jié)與相鄰數(shù)據(jù)鏈接起來，需要將原有數(shù)據(jù)中包含的特征值全部復(fù)制到新的環(huán)節(jié)中，這種機(jī)制有效解決了傳統(tǒng)模式下數(shù)據(jù)被篡改的問題。另外，分布式的記賬技術(shù)采用不同信息進(jìn)行不同的簽名的方式，一般情況下攻擊者是無法偽造數(shù)據(jù)的。通過加密技術(shù)，也可以保證數(shù)據(jù)在傳輸過程中不會(huì)被篡改。

4.1.3提升信息安全效果

目前，采用較多的是以PKI為基礎(chǔ)的信息加密技術(shù)，KPI加密技術(shù)對(duì)中心化較為依賴，存儲(chǔ)證書需要通過第三方授權(quán)才能活動(dòng)。若黑客從第三方獲得了用戶的CA，則信息加密技術(shù)就會(huì)失效。區(qū)塊鏈技術(shù)使用了非對(duì)稱的加密技術(shù)，用戶在獲得動(dòng)態(tài)密鑰后才能被授權(quán)，從而增強(qiáng)了信息保密性。另外，通過去中心化的方式，使得各類信息不易被篡改，信息的安全性也會(huì)明顯提升。

4.1.4區(qū)塊鏈技術(shù)在隱私保護(hù)方面的應(yīng)用

區(qū)塊鏈中的數(shù)據(jù)在錄入和傳輸?shù)拳h(huán)節(jié)均有記錄，使得數(shù)據(jù)可追溯，數(shù)據(jù)安全程度明顯提升。區(qū)塊鏈技術(shù)支持以地址的形式進(jìn)行數(shù)據(jù)交換，而不是以用戶身份進(jìn)行，在用戶交易時(shí)以匿名方式進(jìn)行，使個(gè)人的隱私信息得到較好的保護(hù)。

4.2區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中應(yīng)用的局限性

雖然區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全方面提供了較多的技術(shù)保障，但作為技術(shù)本身來說，還是有一定的局限性的。比如，區(qū)塊鏈技術(shù)使用了大量密碼技術(shù)，但若設(shè)計(jì)或編碼不當(dāng)，則會(huì)產(chǎn)生較大的漏洞。又如，智能合約代碼邏輯如果與設(shè)計(jì)的初衷不符，就會(huì)出問題。區(qū)塊鏈所使用的密碼學(xué)技術(shù)可能本身也有漏洞，這使得區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全應(yīng)用方面亦存在諸多挑戰(zhàn)。

5結(jié)束語

區(qū)塊鏈技術(shù)具有中心化、可追溯性、不可篡改性、不可偽造性、不可否認(rèn)性和可編程性等特點(diǎn)。通過應(yīng)用密碼技術(shù)、區(qū)塊鏈技術(shù)和PKI技術(shù)以及采用hash和公鑰內(nèi)置機(jī)制，使網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性、完整性、有效性得到有效加強(qiáng)，為網(wǎng)絡(luò)安全提供了強(qiáng)有力的保障。同時(shí)，對(duì)于區(qū)塊鏈技術(shù)本身，其也存在一定的局限性，這需要我們?cè)诮窈蟮墓ぷ髦屑訌?qiáng)研究，取長補(bǔ)短，利用新技術(shù)不斷優(yōu)化網(wǎng)絡(luò)安全效果。