區(qū)塊鏈技術(shù)可以被用作安全工具,如果你還沒有計(jì)劃去使用它,現(xiàn)在你可能需要重新考慮一下了!
背景介紹
如今,區(qū)塊鏈的分布式分類賬已經(jīng)在從加密貨幣到供應(yīng)鏈等許多領(lǐng)域得到了應(yīng)用。區(qū)塊鏈的主要應(yīng)用歸功于它作為一種固有安全技術(shù)的聲譽(yù)。但是,這種固有的安全性是否可以應(yīng)用于安全領(lǐng)域呢?
在越來越多的案例中,其答案是肯定的。安全專業(yè)人員發(fā)現(xiàn),區(qū)塊鏈所帶來的質(zhì)量解決方案可以有效地保護(hù)數(shù)據(jù)、網(wǎng)絡(luò)、身份以及關(guān)鍵基礎(chǔ)設(shè)施等。與其他新興技術(shù)一樣,最大的問題不在于區(qū)塊鏈?zhǔn)欠窨捎糜诎踩I(lǐng)域,而是在哪些應(yīng)用程序中最適合使用。
如今,區(qū)塊鏈技術(shù)已被用于許多安全應(yīng)用程序,從記錄保存到作為活動數(shù)據(jù)基礎(chǔ)設(shè)施的一部分,未來還可能會有更多發(fā)展的選擇。
不過,盡管市場對區(qū)塊鏈潛力所表現(xiàn)出的興奮度還在持續(xù)增長,但重要的是要區(qū)塊鏈技術(shù)還需要保持這種潛力。
關(guān)于區(qū)塊鏈技術(shù)最常見的一種說法是,它是一種“不可攻破”的技術(shù)。雖然目前還沒有演示過任何針對區(qū)塊鏈的侵入式攻擊,但是說區(qū)塊鏈不能被黑客攻擊顯然是一種錯(cuò)誤的觀點(diǎn)。2018年初,在一場51%攻擊活動中(51% Attack)當(dāng)一個(gè)單一個(gè)體或者一個(gè)組超過一半的計(jì)算能力時(shí),這個(gè)個(gè)體或組就可以控制整個(gè)加密貨幣網(wǎng)絡(luò),如果他們有一些惡意的想法,他們就有可能發(fā)出一些沖突的交易來損壞整個(gè)網(wǎng)絡(luò),惡意行為者設(shè)法控制了超過一半的區(qū)塊鏈計(jì)算能力,并破壞了分類帳本的完整性,這表明針對區(qū)塊鏈的攻擊技術(shù)是有效的。雖然這種特殊的攻擊既昂貴又困難,但它確實(shí)有效的事實(shí)說明安全專業(yè)人員應(yīng)該將區(qū)塊鏈視為一種有用的技術(shù),而不是應(yīng)對所有問題的靈丹妙藥。
7種方式介紹
以下是區(qū)塊鏈技術(shù)可以應(yīng)用于安全領(lǐng)域的7種方式:
1.分布式身份
網(wǎng)絡(luò)上的身份有兩種形式:一種是用戶的身份;另一種是設(shè)備的身份。在物聯(lián)網(wǎng)的環(huán)境下,沒有傳統(tǒng)意義上的用戶,因此認(rèn)證設(shè)備本身是至關(guān)重要的,可以通過引入?yún)^(qū)塊鏈技術(shù)來建立和維護(hù)這些設(shè)備身份。
目前做區(qū)塊鏈物聯(lián)網(wǎng)應(yīng)用的方式,大致有兩條路。一是直接基于現(xiàn)成的區(qū)塊鏈開發(fā)平臺(主要是以太坊和超級賬本)開發(fā);二是自己從基礎(chǔ)開始造區(qū)塊鏈。對于區(qū)塊鏈在物聯(lián)網(wǎng)領(lǐng)域的應(yīng)用來說,由于解決物聯(lián)網(wǎng)行業(yè)的實(shí)際痛點(diǎn)是初衷,第一種方式比較切實(shí)可行。
但幾種主要的區(qū)塊鏈技術(shù),都存在不同程度的問題,比如可擴(kuò)展性問題、處理能力和時(shí)間等效率問題、存儲的缺陷問題、缺乏專業(yè)技術(shù)問題…難以讓企業(yè)下定決心投入。于是有很多人質(zhì)疑:現(xiàn)有的區(qū)塊鏈設(shè)計(jì)是否足以滿足物聯(lián)網(wǎng)行業(yè)的需求?還是需要專門對區(qū)塊鏈進(jìn)行改造,來解決應(yīng)用于物聯(lián)網(wǎng)的瓶頸?
與大多數(shù)公司使用的標(biāo)準(zhǔn)區(qū)塊鏈技術(shù)不同,IOTA(一種輕量級和可擴(kuò)展的分布式賬本)所依賴的是一種叫做纏結(jié)(Tangle)的方法。IOTA的最新探索指向了一個(gè)答案:物聯(lián)網(wǎng)行業(yè)的確需要專門的“區(qū)塊鏈”技術(shù),而且是“去區(qū)塊鏈”的技術(shù),也就是既沒有區(qū)塊,又沒有鏈的分布式賬本技術(shù)。
作為一種新型的數(shù)字加密貨幣,IOTA在區(qū)塊鏈?zhǔn)澜缋铮h(yuǎn)沒有比特幣、以太坊矚目,但它也是不可小覷的存在,一是它給早期投資人帶來了5000多倍的回報(bào),在競爭激烈的數(shù)字資產(chǎn)世界中,表現(xiàn)出色;二是它采用的技術(shù)跟普通的區(qū)塊鏈不同,是纏結(jié)(Tangle)而非區(qū)塊鏈架構(gòu),基于DAG(有向無環(huán)圖)結(jié)構(gòu),說它是區(qū)塊鏈,卻沒有區(qū)塊又沒有鏈,因此IOTA是“物聯(lián)網(wǎng)x纏結(jié)”而不是“物聯(lián)網(wǎng)x區(qū)塊鏈”。甚至IOTA聲稱纏結(jié)(Tangle)改進(jìn)了區(qū)塊鏈的諸多問題,因此是下一代的分布式賬本技術(shù)。
IOTA誕生于2015年,一開始的目標(biāo)是給物聯(lián)網(wǎng)應(yīng)用賦能,可以讓機(jī)器之間直接進(jìn)行交易,尤其是解決小額交易的問題。隨著物聯(lián)網(wǎng)的持續(xù)發(fā)展,智能設(shè)備之間的互操作性和資源共享需求越來越強(qiáng)烈,IOTA目標(biāo)是可以讓公司之間探索出新的模式,將技術(shù)資源轉(zhuǎn)化為潛在服務(wù),并在公開市場上實(shí)時(shí)交易。
數(shù)字貨幣IOTA和纏結(jié)(Tangle)之間的關(guān)系,就如同比特幣和區(qū)塊鏈一樣。IOTA一舉改良了區(qū)塊鏈必須支付手續(xù)費(fèi)給礦工的設(shè)計(jì),推出沒有區(qū)塊、沒有鏈也沒有礦工的新技術(shù)纏結(jié)(Tangle)。纏結(jié)(Tangle)沒有礦工驗(yàn)證交易,而是每一個(gè)發(fā)起交易的人都得負(fù)責(zé)驗(yàn)證其他兩筆交易。既然纏結(jié)(Tangle)沒有礦工,發(fā)出交易的人就不需要支付交易手續(xù)費(fèi)。
2. 分布式存儲
惡意行為者尤為喜歡大型數(shù)據(jù)庫。包含數(shù)TB信息的單個(gè)實(shí)體就意味著一次成功的入侵就可能導(dǎo)致數(shù)以千計(jì)乃至數(shù)百萬或數(shù)千萬條記錄被泄露。通過使用區(qū)塊鏈技術(shù),數(shù)據(jù)可以存儲在各種系統(tǒng)中,每個(gè)節(jié)點(diǎn)以及整個(gè)數(shù)據(jù)庫的完整性,都可以通過分布式記賬得到保證。
使用區(qū)塊鏈實(shí)現(xiàn)的分布式存儲的一個(gè)重要特性是數(shù)據(jù)的完整性。無論何時(shí)由何人進(jìn)行數(shù)據(jù)更改操作,編輯都必須由區(qū)塊鏈進(jìn)行驗(yàn)證。當(dāng)更改數(shù)據(jù)變得更加困難時(shí),存儲安全性就得到了保證。
與2018年涌現(xiàn)的大量計(jì)算技術(shù)一樣,這種分布式數(shù)據(jù)模型在物聯(lián)網(wǎng)中也具有其特殊的應(yīng)用,其中傳感器和控制器可以生成千兆字節(jié)的數(shù)據(jù)。如果數(shù)據(jù)可以存儲在本地,直到需要用于特定目的時(shí)才去調(diào)用(而不是不斷地推送到集中式服務(wù)器和數(shù)據(jù)農(nóng)場中),那么對網(wǎng)絡(luò)的需求就會隨之減少。
3. 強(qiáng)制實(shí)施問責(zé)制
每個(gè)人都習(xí)慣對安全要求提供口頭服務(wù),但投資者和監(jiān)管機(jī)構(gòu)需要的不僅僅是停留在口頭上的虛假安全感。他們希望通過可證實(shí)的證據(jù)證明數(shù)據(jù)安全防護(hù)措施的有效性。區(qū)塊鏈技術(shù)就可以成為提供證據(jù)的有用工具。
Xage是一家提供基于區(qū)塊鏈的問責(zé)制,并為組織驗(yàn)證合規(guī)性的公司。Xage公司首席執(zhí)行官Duncan Greatwood描述了區(qū)塊鏈為問責(zé)制帶來的一個(gè)關(guān)鍵好處:由于區(qū)塊鏈記錄和驗(yàn)證發(fā)生的每一項(xiàng)變化的本質(zhì),因此區(qū)塊鏈允許您在出現(xiàn)問題時(shí)有能力進(jìn)行審計(jì)或取證調(diào)查。
區(qū)塊鏈的分類帳本架構(gòu)很適合那些希望獲得安全基礎(chǔ)架構(gòu)和管理審計(jì)支持的人。雖然欺騙區(qū)塊鏈驗(yàn)證并非不可能,但在大多數(shù)情況下,完成這項(xiàng)任務(wù)所需的工作量和成本就會讓人望而卻步。
4. 數(shù)據(jù)完整性
區(qū)塊鏈技術(shù)的問責(zé)制,以及為組織驗(yàn)證合規(guī)性的特質(zhì),使其成為保護(hù)數(shù)據(jù)完整性的有效工具。Greatwood解釋稱:
”區(qū)塊鏈?zhǔn)且环N分散的、防篡改的機(jī)制。它包含系統(tǒng)運(yùn)行所需的所有信息——從密碼到策略。沒有一個(gè)節(jié)點(diǎn)能無視其他節(jié)點(diǎn),而做任何更改。”
其他供應(yīng)商就是使用區(qū)塊鏈的特性,如鏈接時(shí)間戳技術(shù)(這是比特幣的一個(gè)關(guān)鍵部分),用于驗(yàn)證區(qū)塊鏈中數(shù)據(jù)的完整性。Guardtime最初負(fù)責(zé)為愛沙尼亞政府建立一個(gè)可正式驗(yàn)證的安全系統(tǒng),目前它已進(jìn)一步擴(kuò)展其產(chǎn)品范圍,包括商業(yè)和政府客戶的完整性驗(yàn)證。
因?yàn)閰^(qū)塊鏈會記錄并驗(yàn)證對數(shù)據(jù)的任何更改操作,因此它是保護(hù)和驗(yàn)證數(shù)據(jù)集完整性的最佳工具。
5. 關(guān)鍵基礎(chǔ)設(shè)施保護(hù)
關(guān)鍵基礎(chǔ)設(shè)施,無論是網(wǎng)絡(luò)基礎(chǔ)設(shè)施還是能源傳輸系統(tǒng),都面臨著嚴(yán)峻的安全挑戰(zhàn)。
Greatwood表示:
“俄羅斯黑客在電網(wǎng)中留下了RAT (遠(yuǎn)程訪問木馬),此舉著實(shí)令人大開眼界。這是工業(yè)互聯(lián)網(wǎng)運(yùn)營商正在努力解決的一個(gè)新問題。”
與安全性的許多其他方面一樣,區(qū)塊鏈在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的優(yōu)勢來自其“變更驗(yàn)證”和“交易透明度”的雙重特性。當(dāng)分布賬本中存儲著每個(gè)變化的記錄時(shí),想在系統(tǒng)上隱藏任何類型的惡意軟件將變得困難得多;而且當(dāng)必須經(jīng)由分布式系統(tǒng)對變更權(quán)限進(jìn)行驗(yàn)證時(shí),這種非法變更操作將變得更難實(shí)現(xiàn)。
6. 分布式加密
加密系統(tǒng)中最容易受到攻擊的部分在于其加密密鑰的存儲。如果攻擊者能夠訪問密鑰存儲,那么他們就能夠訪問系統(tǒng)中的所有加密消息。并且將這種訪問權(quán)限擴(kuò)展到其他不同級別、權(quán)限的信息系統(tǒng)中。
CertCoin是該技術(shù)的一個(gè)學(xué)術(shù)范例,它是首個(gè)實(shí)現(xiàn)基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施(PKI)的應(yīng)用之一。該項(xiàng)目由麻省理工(MIT)開發(fā),實(shí)現(xiàn)了完全去中心化的認(rèn)證方式,并利用區(qū)塊鏈及公鑰來搭建分布式的域名賬本。CertCoin提供了一個(gè)公開可信的公鑰基礎(chǔ)設(shè)施,同時(shí)也能夠防范單點(diǎn)故障的發(fā)生。據(jù)其開發(fā)者介紹稱:
“Certcoin的核心理念是維護(hù)域名及其相關(guān)公鑰的公共分類賬。”
在許多方面,區(qū)塊鏈PKI的想法與一般的“通過隱藏實(shí)現(xiàn)安全”的模型相反。基礎(chǔ)設(shè)施的安全性取決于區(qū)塊鏈的分布式特性以及用于保護(hù)信息的哈希算法的復(fù)雜性,而不是將密鑰存儲小心地保存在秘密位置。通過這樣做,區(qū)塊鏈消除了攻擊者的許多工具,至少在理論上,它能夠使整個(gè)過程更加安全。
7. 特例:醫(yī)療保健行業(yè)
鑒于存儲其中的數(shù)據(jù)性質(zhì)和數(shù)量等因素,醫(yī)療保健記錄是最敏感的個(gè)人信息存儲之一。出于這個(gè)原因,安全專業(yè)人員正在將區(qū)塊鏈技術(shù)視為保護(hù)這些高度敏感的電子病歷(EMR)和電子健康記錄(EHR)的一種方式。
如今,一家名為MedicalChain的公司已經(jīng)開始使用區(qū)塊鏈作為EHR存儲技術(shù)的試點(diǎn)項(xiàng)目。在MedicalChain模型中,區(qū)塊鏈將服務(wù)器作為健康信息交換的體系結(jié)構(gòu),在這個(gè)體系結(jié)構(gòu)中,病人的記錄可以被存儲一次,并且所有的醫(yī)生都可以訪問。添加記錄的操作也很簡單,因?yàn)橹恍柘蜴溨刑砑右粋(gè)節(jié)點(diǎn),所有訪問都會與其他節(jié)點(diǎn)一起記錄和驗(yàn)證。
今年早些時(shí)候,MedicalChain宣布梅奧診所已經(jīng)開始與該公司一起探索分布式分類帳本項(xiàng)目。如今,事實(shí)證明,隨著梅奧診所等主要參與者不斷向前推動該試點(diǎn)項(xiàng)目,已經(jīng)有越來越多的組織參與進(jìn)來并開始了自己的試點(diǎn)項(xiàng)目,以擴(kuò)大區(qū)塊鏈技術(shù)的使用,來保護(hù)醫(yī)療電子記錄。
| 
