区块链是一个去中心化的分布式账本,基于一个提供绝对安全和信任的模型。使用加密技术,每笔交易都将被公开记录,带有唯一的时间戳,并与之前的数据块相关联。至关重要的是,这些数字“块”只有在所有参与者同意的情况下才能更新,因此数据几乎不可能被窃取、篡改和删除。
因此,自2016年达到Gartner“炒作周期”的顶峰以来,区块链一直是行业领导者的焦点,尤其是金融业、能源业和制造业。比特币支付验证可能是最常被提及的区块链应用案例,但该技术的应用不仅限于比特币,还可以扩展到内容交付网络和智能电网系统等应用。
如何将区块链应用于网络安全
从提高数据完整性和数字身份到保护物联网设备的安全以防止DDoS攻击,区块链具有巨大的应用潜力。事实上,区块链可以在保密性、完整性和可用性方面有所作为,这可以提高系统的灵活性、加密、审计和透明度。
区块链堵住了我们安全执行不力,缺乏可信度留下的漏洞。2018年,我们必须处处加密,永远加密。目前我们无法核实收到的邮件是否被他人阅读或修改过。我们甚至无法核实富人的身份。
使用区块链方法,我们可以合理地验证和签署交易。尽管加密货币仍有一些炒作,但区块链方法的实现确实可以为我们的数字服务创建一个更可信的基础设施。最好的应用之一是我们公共部门的转型和以公民为中心的基础设施的创建。这将使公民拥有自己的身份,每一笔交易都可以得到验证。我们可以使用智能合同和签署的断言来制定公共服务的元素,如治疗支付等。
下面列出了区块链在现实世界中的几种安全应用。
第一,通过认证保护边境设备的安全。
正如IT部门担心数据和连接迁移到“智能”边界设备一样,安全部门也担心这种转变。毕竟,网络的扩展可能会提高IT效率、生产力和降低功耗,但它也给CISO、首席信息官和整个公司带来了安全挑战。因此,许多公司寻求应用区块链来保护物联网和工业物联网(IIoT)设备的安全,因为区块链技术可以增强认证,提高数据的可追溯性和流动性,并辅助记录管理。
例如,2017年底成立的Xage Security宣称,其“篡改验证”区块链技术平台可以在设备网络中批量分发私有数据,并进行认证。该公司还声称支持任何通信协议,适应不规则连接的边界设备,并保护大量异构工业系统。
该公司表示,已与ABB无线合作建设一个需要分布式安全的能源和自动化项目;我们还与戴尔携手合作,在戴尔物联网网关及其EdgeX平台上为能源行业提供安全服务。
与此同时,作为区块链在现实世界中应用的另一个例子,英国马恩岛政府走了一条不同的路线:测试区块链技术,以验证其是否可以防止物联网设备被黑客攻击(赋予物理设备唯一的身份以确认真实性)。
这些改进也嵌入在芯片级。初创公司Filament最近推出了一种新芯片,可以让IIoT设备应用各种区块链技术。其Blocklet芯片的主要思想是将物联网传感器数据直接编码到区块链中,为去中心化迭代和交换提供了安全的基础。
第二,提高保密性和数据完整性
尽管区块链最初是在没有特定访问控制机制的情况下创建的(由于其公开分布的性质),但一些区块链实现现在正在解决数据机密性和访问控制的问题。在当今这个数据容易被篡改或伪造的时代,保证数据的机密性和完整性无疑是一个巨大的挑战。然而,区块链数据的完全加密性质确保了这些数据不会被未授权方接触,但它们仍然是可移动的(中间人攻击几乎不可能成功)。
这种数据完整性也延伸到IoT和IIoT。例如,在其Watson物联网平台上,IBM提供了使用私有区块链账本管理物联网数据的选项,该账本已集成到IBM的云服务中。爱立信的区块链数据完整性服务可以为在通用电气公司的Predix PaaS平台上工作的应用程序开发人员提供完全可审计、合规和可信的数据。
第三,保护私人信息
像黑曜石这样的初创公司正在使用区块链来保护即时通讯工具和社交媒体上的私人信息。与WhatsApp和iMessage等应用程序使用的端到端加密不同,Obsidian使用区块链来保护用户的元数据。因为元数据是随机分布在账本里的,没有单一的采集点,所以不会被黑。
此外,据报道,美国国防部高级研究计划局(DARPA)正试图利用区块链创建一个外国攻击无法渗透的安全消息服务。由于区块链植根于可靠的安全通信,私有消息安全领域将变得越来越成熟。
第四,升级甚至取代PKI
公钥基础设施(PKI)是公钥加密系统,用于保护电子邮件、消息应用程序、网站和其他形式的通信。然而,大多数PKI实施依赖于集中式第三方认证机构(CA)来发布、撤销和存储密钥对,这给网络罪犯留下了窥探加密通信和假冒身份的机会。理论上,在区块链上发布密钥可以防止假密钥的传播,使应用程序具有验证通信对象身份的功能。
CertCoin是第一个基于区块链的PKI实现。该项目整体放弃了中央认证中心,使用区块链作为域名及其公钥的分发账本。此外,CertCoin还提供了一个没有单点故障的可审计的公共PKI。
REMME是一家初创公司,它为每台设备提供一个基于区块链的唯一SSL证书,这消除了入侵者伪造证书的可能性。技术研究公司Pomcor公布了一个基于区块链的PKI蓝图,其中使用区块链来存储颁发和撤销证书的哈希值(尽管这种情况下仍然需要CA)。
如果爱沙尼亚数据安全初创公司Guardtime可靠,也许PKI会被完全取代。该公司正在使用区块链创建无钥匙签名基础设施(KSI)——PKI的替代品。Guardtime已经发展成为全球利润最高、员工最多、产品部署最广的区块链公司。2016年,它还吃掉了爱沙尼亚所有100万人的健康记录。
目前,我们依靠PKI来创建信任基础设施,但这通常是有缺陷的,尤其是当网络罪犯现在正在创建他们自己的数字证书时。依靠区块链技术,我们可以用公民生成的身份签署交易。
动词(verb的缩写)更安全的DNS
Mirai未来组合僵尸网络证明,网络罪犯可以轻松摧毁关键的互联网基础设施。攻击者只需与大型网站的域名系统(DNS)服务提供商打交道,就可以切断Twitter、网飞、PayPal等服务的网络访问。如果区块链用于存储DNS记录,理论上,可以通过移除可能被攻击的单个目标来提高DNS安全性。
Nebulis是一个探索分布式DNS概念的新项目。理论上,分布式DNS可以处理大量的访问请求,而不会因为响应过载而停机。Nebulis使用以太坊区块链和星际文件系统(IPFS)以及分布式替代协议HTTP来注册和解析域名。DNS等关键互联网服务可以被黑客用来制造大规模的断网,攻击公司和企业,因此一个采用区块链方法的可信DNS基础设施将大大增强互联网的核心信任基础设施。
第六,减少DDoS攻击
区块链初创公司Gladius声称,其分散式账本系统有助于抵御DDoS攻击。现在DDoS攻击峰值已经超过100Gbps,这个论断还是很惊人的。该公司声称,其分散式解决方案可以提供更好的保护,并通过使客户能够访问附近的保护资源池来加速客户内容,从而抵御DDoS攻击。
有趣的是,Gladius声称,去中心化的网络允许用户租用闲置的带宽来赚一点钱,而这些额外的带宽被分配给被DDoS攻击的网站节点,以确保它们能够在攻击中存活下来。在非繁忙时间(没有DDoS攻击的时候),Gladius network会扮演内容交付网络的角色,加快上网速度。
区块链安全不是万能的。
然而,区块链不是万能的。从技术复杂性和系统数量到实施,区块链无法保证100%的安全性。交易速率的限制和信息是否应该保存在区块链的争论都是对该技术安全应用的担忧。
2018年应该是数据加密全面应用的一年,区块链将为加密推广提供基础。关键的挑战是如何剥离现有的传统IT基础架构,并用区块链技术进行重建。核心要素将是公钥-私钥对的创建,这是身份识别的基础。然而,不幸的是,我们的司法仍然侧重于传统的信息技术方法,推广区块链方法将导致隐私和社会保护之间的紧张关系。