區塊鏈的六大典型安全應用

微信號

功能介紹

區塊鏈是去中心化的分布式賬本，建立在提供絕對的安全與信任的模型上。運用加密技術，每筆交易都會被公開記錄下來，帶有唯一的時間戳，且鏈向其前一個區塊。最關鍵的是，這些數字‘區塊’只能經由所有參與者同意才能更新，也就幾乎不可能發生數據竊取、篡改和刪除等情況了。

因此，自2016年達到Gartner“炒作周期峰值”以來，區塊鏈一直是行業領袖的關注重點，尤其是金融業、能源行業和制造業。比特幣支付驗證或許是最常被提及的區塊鏈應用案例了，但該技術的應用不局限于比特幣，還可擴展到內容交付網絡和智能電網系統之類的應用上。

       區塊鏈如何應用于網絡安全

從改善數據完整性和數字身份到防護IoT設備安全以防止DDoS攻擊，區塊鏈的應用潛力很大。事實上，區塊鏈在機密性、完整性和可用性這三個方面都能有所作為，可提高系統彈性，改善加密、審計，提高透明度。


       區塊鏈堵上了我們因安全實現不良和缺乏可信度而留下的漏洞。2018年，我們必須處處加密，時時加密。目前，我們無法驗證收到的電子郵件是否已經被他人讀取或修改過。我們甚至驗證不了發家身份。

       而應用區塊鏈方法，我們可以合理驗證并簽署交易。雖然在加密貨幣問題上還有些炒作現象，但區塊鏈方法的實現確實能為我們的數字服務打造更可信的基礎設施。其中最佳應用就是我們公共事業部門的轉型和創建以市民為中心的基礎設施了。這將使市民能夠擁有自己的身份，每一筆交易都可驗證。我們可以使用智慧合約和經簽名的斷言來制定公共服務的要素，比如待遇給付等等。

下面列出的就是現實世界中區塊鏈在安全方面的幾個應用。

 一、以身份驗證保護邊界設備安全

        正如IT關注數據和連接向“智慧”邊界設備的遷移，安全同樣關心這種轉變。畢竟，網絡的擴展可能會提升IT效率、生產力并降低耗電量，但也給CISO、CIO和整個公司帶來了安全挑戰。很多公司因而尋求應用區塊鏈來保護IoT及工業IoT(IIoT)設備安全的方法——因為區塊鏈技術可增強身份驗證，改善數據溯源和流動性，并輔助記錄管理。

       比如說，2017年末創建的 Xage Security 公司就宣稱，其“篡改驗證”區塊鏈技術平臺可在設備網絡中批量分發隱私數據并進行身份驗證。該公司還宣稱支持任意通信協議，  適應不規則連接的邊界設備，可防護大量異構工業系統。

       該公司稱其已與 ABB Wireless 合作，共建要求分布式安全的能源與自動化項目；還與戴爾攜手，在  Dell IoT Gateways 及其EdgeX平臺上為能源行業交付安全服務。

       同時，作為現實世界區塊鏈應用的另一個例子，英屬馬恩島政府采取了不同路線：測試區塊鏈技術以驗證其能否防止IoT設備被黑(為物理設備賦予唯一身份以確認真實性)。

       這些改善還被嵌入到了芯片級。初創公司Filament最近推出了一款新芯片，可使IIoT設備應用上多種區塊鏈技術。其Blocklet芯片的主導思想是要讓IoT傳感器數據被直接編碼進區塊鏈中，為去中心化的迭代和交換提供安全基礎。

       二、提升機密性和數據完整性

       盡管區塊鏈最初創建時是沒有特定的訪問控制機制的(源于其公開分發的屬性)，有些區塊鏈實現如今卻在解決數據機密性和訪問控制問題。在當今數據極易被篡改或偽造的時代，確保數據機密性和完整性問題無疑是巨大的挑戰。但區塊鏈數據的完全加密特質確保了這些數據不會被非授權方染指，但又仍具有流動性（中間人攻擊幾乎沒有成功的可能）。

       這種數據完整性也擴展到了IoT和IIoT。比如說，IBM就在其 Watson IoT 平臺上提供了以私有區塊鏈賬本管理IoT數據的選項，該功能已集成到了IBM的云服務中。愛立信的區塊鏈數據完整性服務，可為在通用電氣公司 Predix PaaS 平臺上工作的App開發人員提供完全可審計、符合規定且可信的數據。

        三、保護隱私消息

       Obsidian這樣的初創公司正用區塊鏈保護即時聊天工具和社交媒體上流轉的隱私信息。與WhatsApp和iMessage之類App所用端到端加密不同，Obsidian使用區塊鏈來保護用戶的元數據。因為元數據是賬本中隨機分發，不存在單一的收集點，所以不會被黑。

       另外，據報道，美國國防部高級研究計劃局(DARPA)正在嘗試利用區塊鏈創建外來攻擊無法滲透的安全消息服務。隨著區塊鏈植根于經驗證的安全通信，隱私消息安全領域將會愈加成熟。

       四、提升甚至替代PKI

       公鑰基礎設施(PKI)是保護電子郵件、消息應用、網站和其他通信形式的公鑰加密體制。然而，大多數PKI實現依賴中心化的第三方證書頒發機構(CA)來頒發、撤銷和存儲密鑰對，這就給網絡罪犯留下了窺探加密通信和假冒身份的機會。而在區塊鏈上發布密鑰則在理論上可杜絕虛假密鑰傳播，并可令應用具備驗證通信對象身份的功能。

CertCoin是首個基于區塊鏈的PKI實現。該項目整體摒棄了中心證書頒發機構，使用區塊鏈作為域名及其公鑰的分發賬本。另外，CertCoin還提供不帶單點故障的，可審計的公開PKI。

        初創公司REMME則基于區塊鏈為每個設備賦予其獨有的SSL證書，杜絕了入侵者偽造證書的可能性。科技研究公司Pomcor公布了基于區塊鏈的PKI藍圖，其中采用區塊鏈來存儲已頒發及已撤銷證書的散列值(雖然該案例中仍然要用到CA)。

        如果愛沙尼亞數據安全初創公司Guardtime靠得住的話，沒準兒PKI就會被徹底替換掉了。這家公司在用區塊鏈創建無密鑰簽名基礎設施(KSI)——PKI的替代品。Guardtime已成長為全球盈利最多、員工數最多、產品部署最廣的區塊鏈公司，還在2016年的時候就吃下了愛沙尼亞全部100萬人的健康記錄。

       目前，我們依賴PKI創建信任基礎設施，但這往往是有漏洞的，尤其是網絡罪犯如今也在創建自己的數字證書的情況下。依賴區塊鏈技術，我們就可以用公民生成的身份來簽名交易了。

       五、更安全的DNS

       Mirai僵尸網絡證明了網絡罪犯可以很容易地破壞關鍵互聯網基礎設施。攻擊者只需搞定大型網站的域名系統(DNS)服務提供商，就可以切斷推特、Netflix、PayPal和其他服務的網絡訪問。而如果用區塊鏈來存儲DNS記錄，理論上是可以通過去除該可攻擊的單一目標而提升DNS安全。

       Nebulis是一個探索分布式DNS概念的新項目，理論上分布式DNS可以應付訪問請求洪水，不會因響應過載而宕機。Nebulis使用以太坊區塊鏈和星際文件系統(IPFS)，還有HTTP的分布式替代協議，來注冊并解析域名。DNS之類互聯網關鍵服務可被黑客利用來制造大規模掉線和攻擊公司企業，因此使用區塊鏈方法的可信DNS基礎設施，將能大幅增強該互聯網核心信任基礎設施。

        六、減少DDoS攻擊

        區塊鏈初創公司Gladius宣稱，其去中心化賬本系統有助抵御DDoS攻擊。在DDoS攻擊峰值已超100Gbps的現在，這一斷言還是很引人注目的。該公司稱，其去中心化的解決方案可通過使客戶接入附近防護資源池來提供更好的保護并加速客戶內容，從而抵御DDoS攻擊。

       有趣的是，Gladius宣稱，該去中心化的網絡能讓用戶出租空閑帶寬賺點小錢，而這多余的帶寬就被分配給了遭到DDoS攻擊的網站節點以確保其能挺過攻擊。而在不忙的時間里(沒有DDoS攻擊時)，Gladius網絡會扮演內容交付網絡的角色，加速互聯網訪問。

       2018年應是對數據全面應用加密的一年，而區塊鏈將提供加密推廣的基礎。關鍵挑戰在于如何剝離現有遺留IT基礎設施，并以區塊鏈技術加以重建。其中核心元素將是公私密鑰對的創建，這是身份識別的基礎。然而不幸的是，我們的司法機構仍將目光放在傳統IT方法上，向區塊鏈方法的推進將會引發隱私和社會保護之間的緊張情緒升溫。