區(qū)塊鏈?zhǔn)侨ブ行幕姆植际劫~本，建立在提供絕對(duì)的安全與信任的模型上。運(yùn)用加密技術(shù)，每筆交易都會(huì)被公開記錄下來(lái)，帶有唯一的時(shí)間戳，且鏈向其前一個(gè)區(qū)塊。最關(guān)鍵的是，這些數(shù)字‘區(qū)塊’只能經(jīng)由所有參與者同意才能更新，也就幾乎不可能發(fā)生數(shù)據(jù)竊取、篡改和刪除等情況了。

因此，自2016年達(dá)到Gartner“炒作周期峰值”以來(lái)，區(qū)塊鏈一直是行業(yè)領(lǐng)袖的關(guān)注重點(diǎn)，尤其是金融業(yè)、能源行業(yè)和制造業(yè)。比特幣支付驗(yàn)證或許是最常被提及的區(qū)塊鏈應(yīng)用案例了，但該技術(shù)的應(yīng)用不局限于比特幣，還可擴(kuò)展到內(nèi)容交付網(wǎng)絡(luò)和智能電網(wǎng)系統(tǒng)之類的應(yīng)用上。
區(qū)塊鏈如何應(yīng)用于網(wǎng)絡(luò)安全
從改善數(shù)據(jù)完整性和數(shù)字身份到防護(hù)IoT設(shè)備安全以防止DDoS攻擊，區(qū)塊鏈的應(yīng)用潛力很大。事實(shí)上，區(qū)塊鏈在機(jī)密性、完整性和可用性這三個(gè)方面都能有所作為，可提高系統(tǒng)彈性，改善加密、審計(jì)，提高透明度。
區(qū)塊鏈堵上了我們因安全實(shí)現(xiàn)不良和缺乏可信度而留下的漏洞。2018年，我們必須處處加密，時(shí)時(shí)加密。目前，我們無(wú)法驗(yàn)證收到的電子郵件是否已經(jīng)被他人讀取或修改過(guò)。我們甚至驗(yàn)證不了發(fā)家身份。
而應(yīng)用區(qū)塊鏈方法，我們可以合理驗(yàn)證并簽署交易。雖然在加密貨幣問(wèn)題上還有些炒作現(xiàn)象，但區(qū)塊鏈方法的實(shí)現(xiàn)確實(shí)能為我們的數(shù)字服務(wù)打造更可信的基礎(chǔ)設(shè)施。其中最佳應(yīng)用就是我們公共事業(yè)部門的轉(zhuǎn)型和創(chuàng)建以市民為中心的基礎(chǔ)設(shè)施了。這將使市民能夠擁有自己的身份，每一筆交易都可驗(yàn)證。我們可以使用智慧合約和經(jīng)簽名的斷言來(lái)制定公共服務(wù)的要素，比如待遇給付等等。
下面列出的就是現(xiàn)實(shí)世界中區(qū)塊鏈在安全方面的幾個(gè)應(yīng)用。
一、以身份驗(yàn)證保護(hù)邊界設(shè)備安全
正如IT關(guān)注數(shù)據(jù)和連接向“智慧”邊界設(shè)備的遷移，安全同樣關(guān)心這種轉(zhuǎn)變。畢竟，網(wǎng)絡(luò)的擴(kuò)展可能會(huì)提升IT效率、生產(chǎn)力并降低耗電量，但也給CISO、CIO和整個(gè)公司帶來(lái)了安全挑戰(zhàn)。很多公司因而尋求應(yīng)用區(qū)塊鏈來(lái)保護(hù)IoT及工業(yè)IoT(IIoT)設(shè)備安全的方法——因?yàn)閰^(qū)塊鏈技術(shù)可增強(qiáng)身份驗(yàn)證，改善數(shù)據(jù)溯源和流動(dòng)性，并輔助記錄管理。
比如說(shuō)，2017年末創(chuàng)建的 Xage Security 公司就宣稱，其“篡改驗(yàn)證”區(qū)塊鏈技術(shù)平臺(tái)可在設(shè)備網(wǎng)絡(luò)中批量分發(fā)隱私數(shù)據(jù)并進(jìn)行身份驗(yàn)證。該公司還宣稱支持任意通信協(xié)議， 適應(yīng)不規(guī)則連接的邊界設(shè)備，可防護(hù)大量異構(gòu)工業(yè)系統(tǒng)。
該公司稱其已與 ABB Wireless 合作，共建要求分布式安全的能源與自動(dòng)化項(xiàng)目;還與戴爾攜手，在 Dell IoT Gateways 及其EdgeX平臺(tái)上為能源行業(yè)交付安全服務(wù)。
同時(shí)，作為現(xiàn)實(shí)世界區(qū)塊鏈應(yīng)用的另一個(gè)例子，英屬馬恩島政府采取了不同路線：測(cè)試區(qū)塊鏈技術(shù)以驗(yàn)證其能否防止IoT設(shè)備被黑(為物理設(shè)備賦予唯一身份以確認(rèn)真實(shí)性)。
這些改善還被嵌入到了芯片級(jí)。初創(chuàng)公司Filament最近推出了一款新芯片，可使IIoT設(shè)備應(yīng)用上多種區(qū)塊鏈技術(shù)。其Blocklet芯片的主導(dǎo)思想是要讓IoT傳感器數(shù)據(jù)被直接編碼進(jìn)區(qū)塊鏈中，為去中心化的迭代和交換提供安全基礎(chǔ)。
二、提升機(jī)密性和數(shù)據(jù)完整性
盡管區(qū)塊鏈最初創(chuàng)建時(shí)是沒(méi)有特定的訪問(wèn)控制機(jī)制的(源于其公開分發(fā)的屬性)，有些區(qū)塊鏈實(shí)現(xiàn)如今卻在解決數(shù)據(jù)機(jī)密性和訪問(wèn)控制問(wèn)題。在當(dāng)今數(shù)據(jù)極易被篡改或偽造的時(shí)代，確保數(shù)據(jù)機(jī)密性和完整性問(wèn)題無(wú)疑是巨大的挑戰(zhàn)。但區(qū)塊鏈數(shù)據(jù)的完全加密特質(zhì)確保了這些數(shù)據(jù)不會(huì)被非授權(quán)方染指，但又仍具有流動(dòng)性(中間人攻擊幾乎沒(méi)有成功的可能)。
這種數(shù)據(jù)完整性也擴(kuò)展到了IoT和IIoT。比如說(shuō)，IBM就在其 Watson IoT 平臺(tái)上提供了以私有區(qū)塊鏈賬本管理IoT數(shù)據(jù)的選項(xiàng)，該功能已集成到了IBM的云服務(wù)中。愛(ài)立信的區(qū)塊鏈數(shù)據(jù)完整性服務(wù)，可為在通用電氣公司 Predix PaaS 平臺(tái)上工作的App開發(fā)人員提供完全可審計(jì)、符合規(guī)定且可信的數(shù)據(jù)。
三、保護(hù)隱私消息
Obsidian這樣的初創(chuàng)公司正用區(qū)塊鏈保護(hù)即時(shí)聊天工具和社交媒體上流轉(zhuǎn)的隱私信息。與WhatsApp和iMessage之類App所用端到端加密不同，Obsidian使用區(qū)塊鏈來(lái)保護(hù)用戶的元數(shù)據(jù)。因?yàn)樵獢?shù)據(jù)是賬本中隨機(jī)分發(fā)，不存在單一的收集點(diǎn)，所以不會(huì)被黑。
另外，據(jù)報(bào)道，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)正在嘗試?yán)脜^(qū)塊鏈創(chuàng)建外來(lái)攻擊無(wú)法滲透的安全消息服務(wù)。隨著區(qū)塊鏈植根于經(jīng)驗(yàn)證的安全通信，隱私消息安全領(lǐng)域?qū)?huì)愈加成熟。
四、提升甚至替代PKI
公鑰基礎(chǔ)設(shè)施(PKI)是保護(hù)電子郵件、消息應(yīng)用、網(wǎng)站和其他通信形式的公鑰加密體制。然而，大多數(shù)PKI實(shí)現(xiàn)依賴中心化的第三方證書頒發(fā)機(jī)構(gòu)(CA)來(lái)頒發(fā)、撤銷和存儲(chǔ)密鑰對(duì)，這就給網(wǎng)絡(luò)罪犯留下了窺探加密通信和假冒身份的機(jī)會(huì)。而在區(qū)塊鏈上發(fā)布密鑰則在理論上可杜絕虛假密鑰傳播，并可令應(yīng)用具備驗(yàn)證通信對(duì)象身份的功能。
CertCoin是首個(gè)基于區(qū)塊鏈的PKI實(shí)現(xiàn)。該項(xiàng)目整體摒棄了中心證書頒發(fā)機(jī)構(gòu)，使用區(qū)塊鏈作為域名及其公鑰的分發(fā)賬本。另外，CertCoin還提供不帶單點(diǎn)故障的，可審計(jì)的公開PKI。
初創(chuàng)公司REMME則基于區(qū)塊鏈為每個(gè)設(shè)備賦予其獨(dú)有的SSL證書，杜絕了入侵者偽造證書的可能性。科技研究公司Pomcor公布了基于區(qū)塊鏈的PKI藍(lán)圖，其中采用區(qū)塊鏈來(lái)存儲(chǔ)已頒發(fā)及已撤銷證書的散列值(雖然該案例中仍然要用到CA)。
如果愛(ài)沙尼亞數(shù)據(jù)安全初創(chuàng)公司Guardtime靠得住的話，沒(méi)準(zhǔn)兒PKI就會(huì)被徹底替換掉了。這家公司在用區(qū)塊鏈創(chuàng)建無(wú)密鑰簽名基礎(chǔ)設(shè)施(KSI)——PKI的替代品。Guardtime已成長(zhǎng)為全球盈利最多、員工數(shù)最多、產(chǎn)品部署最廣的區(qū)塊鏈公司，還在2016年的時(shí)候就吃下了愛(ài)沙尼亞全部100萬(wàn)人的健康記錄。
目前，我們依賴PKI創(chuàng)建信任基礎(chǔ)設(shè)施，但這往往是有漏洞的，尤其是網(wǎng)絡(luò)罪犯如今也在創(chuàng)建自己的數(shù)字證書的情況下。依賴區(qū)塊鏈技術(shù)，我們就可以用公民生成的身份來(lái)簽名交易了。
五、更安全的DNS
Mirai僵尸網(wǎng)絡(luò)證明了網(wǎng)絡(luò)罪犯可以很容易地破壞關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。攻擊者只需搞定大型網(wǎng)站的域名系統(tǒng)(DNS)服務(wù)提供商，就可以切斷推特、Netflix、PayPal和其他服務(wù)的網(wǎng)絡(luò)訪問(wèn)。而如果用區(qū)塊鏈來(lái)存儲(chǔ)DNS記錄，理論上是可以通過(guò)去除該可攻擊的單一目標(biāo)而提升DNS安全。
Nebulis是一個(gè)探索分布式DNS概念的新項(xiàng)目，理論上分布式DNS可以應(yīng)付訪問(wèn)請(qǐng)求洪水，不會(huì)因響應(yīng)過(guò)載而宕機(jī)。Nebulis使用以太坊區(qū)塊鏈和星際文件系統(tǒng)(IPFS)，還有HTTP的分布式替代協(xié)議，來(lái)注冊(cè)并解析域名。DNS之類互聯(lián)網(wǎng)關(guān)鍵服務(wù)可被黑客利用來(lái)制造大規(guī)模掉線和攻擊公司企業(yè)，因此使用區(qū)塊鏈方法的可信DNS基礎(chǔ)設(shè)施，將能大幅增強(qiáng)該互聯(lián)網(wǎng)核心信任基礎(chǔ)設(shè)施。
六、減少DDoS攻擊
區(qū)塊鏈初創(chuàng)公司Gladius宣稱，其去中心化賬本系統(tǒng)有助抵御DDoS攻擊。在DDoS攻擊峰值已超100Gbps的現(xiàn)在，這一斷言還是很引人注目的。該公司稱，其去中心化的解決方案可通過(guò)使客戶接入附近防護(hù)資源池來(lái)提供更好的保護(hù)并加速客戶內(nèi)容，從而抵御DDoS攻擊。
有趣的是，Gladius宣稱，該去中心化的網(wǎng)絡(luò)能讓用戶出租空閑帶寬賺點(diǎn)小錢，而這多余的帶寬就被分配給了遭到DDoS攻擊的網(wǎng)站節(jié)點(diǎn)以確保其能挺過(guò)攻擊。而在不忙的時(shí)間里(沒(méi)有DDoS攻擊時(shí))，Gladius網(wǎng)絡(luò)會(huì)扮演內(nèi)容交付網(wǎng)絡(luò)的角色，加速互聯(lián)網(wǎng)訪問(wèn)。
區(qū)塊鏈安全不是萬(wàn)靈藥
然而，區(qū)塊鏈并非萬(wàn)靈藥，從技術(shù)復(fù)雜度和系統(tǒng)數(shù)量到其實(shí)現(xiàn)，區(qū)塊鏈都不能保證100%安全。交易速率上的限制，還有關(guān)于信息是否應(yīng)保存在區(qū)塊鏈中的爭(zhēng)論，都是該技術(shù)在安全應(yīng)用方面的顧慮。
2018年應(yīng)是對(duì)數(shù)據(jù)全面應(yīng)用加密的一年，而區(qū)塊鏈將提供加密推廣的基礎(chǔ)。關(guān)鍵挑戰(zhàn)在于如何剝離現(xiàn)有遺留IT基礎(chǔ)設(shè)施，并以區(qū)塊鏈技術(shù)加以重建。其中核心元素將是公私密鑰對(duì)的創(chuàng)建，這是身份識(shí)別的基礎(chǔ)。然而不幸的是，我們的司法機(jī)構(gòu)仍將目光放在傳統(tǒng)IT方法上，向區(qū)塊鏈方法的推進(jìn)將會(huì)引發(fā)隱私和社會(huì)保護(hù)之間的緊張情緒升溫。