2019年3月5日,跨国计算机巨头IBM公司提交了两项新的区块链专利申请,一项专利是IBM目前正寻求通过区块链技术维护网络安全,另一项专利则专注于使用该技术的数据库管理功能。从网络安全的角度来讲,近几年,各个领域都成为黑客攻击的重点。同时,各国也都在重视区块链技术在网络安全中的运用,仅仅2018年,75%的CEO和董事会成员都将网络安全和技术收购视为他们的首要任务。除了商界巨头之外,不少平民大众也在考虑采用基于区块链的网络安全解决方案。
一、各国尝试将区块链技术用于网络安全领域
在经历了区块链技术的概念爆发期和炒作期之后,全球对区块链技术的关注程度仍然居高不下,世界各主要国家和地区竞相布局区块链发展和应用探索,以美国、加拿大、以色列为代表,各国积极鼓励探索区块链技术在网络安全领域的应用,并逐渐显现成效。
(一)美国
2018年,美国国会发布《2018年联合经济报告》,提出区块链技术可以作为打击网络犯罪和保护国家经济和基础设施的潜在工具,指出这一领域的应用应成为立法者和监管者的首要任务。美国DARPA也正在大力投资区块链项目,旨在安全储存国防部内部高度机密项目数据。2017年,总统特朗普签署了一份7000亿美元的军费开支法案,其中包括授权一项区块链安全性研究,呼吁“调查区块链技术和其他分布式数据库技术的潜在攻击和防御网络应用”,支持美国DHS开展的加密货币跟踪、取证和分析工具开发项目。
(二)俄罗斯
2018年,俄罗斯军方用区块链技术加强国防网络安全。俄罗斯联邦国防部在ERA技术园区建立一个独特的研究实验室,以开发区块链技术,并将技术应用于加强网络安全和打击针对关键信息基础设施的网络攻击。专家认为,区块链将帮助军队追踪黑客攻击的来源,并提高其数据库的安全性。
(三)以色列
2018年10月,以色列证券管理局已经开始使用区块链技术来改善网络安全,以及应对网络安全挑战问题。据称,这款区块链软件系统是由信息公司塔尔多历时3个月开发出来的。此次,据以色列证券管理局表示,将区块链技术植入一个名为Yael的系统,政府机构就可以利用该系统向其管辖的机构发送消息和下达通知。不仅仅是当前这个应用,以色列证券管理局还表示,在不远的未来,还会有两个系统也将嵌入区块链技术。一个是在线投票系统,运用了区块链技术,这个系统就可以让投资者在任何地方参与会议;二是麦格纳系统,其用于管理局监管下的机构记录所有报告。以色列证券管理局方面认为,利用区块链技术无法篡改的优势,防止信息被编辑或删除,可以让传递给监管机构的信息多一层保护,以防信息泄露,增加了信息传递的可信度。不仅如此,只要信息上链了,区块链技术就可以查看信息在传送过程中的具体情形,以便验证其真实性。
二、区块链技术网络安全领域应用浅析
从改善数据完整性和数字身份到防护物联网设备安全以防止拒绝服务攻击,区块链在网络安全领域应用潜力很大。事实上,区块链在机密性、完整性和可用性这三个方面都能有所作为,可提高系统弹性,改善加密、审计,提高透明度。近几年,国外区块链技术网络安全领域相关实践应用也在蓬勃发展。
表1 区块链技术在网络安全领域的典型应用
序号 | 应用简介 | 应用实例 |
1 | Guardtime实时监测以减少网络攻击 | 由爱沙尼亚加密技术专家Ahto Buldas创立的Guardtime是一家数据安全公司,自2007年以来运行至今。目前,该公司已经使用了区块链技术创建了一个无密钥的签名基础设施(KSI),它是传统的公共密钥基础设施(PKI)的升级,它使用非对称加密和由中央认证机构(CA)维护的公共密钥缓存。2016年,该公司用区块链技术记录和保护了爱沙尼亚全国100万人口的健康记录,成为了全球区块链技术应用的里程碑事件。 |
2 | REMME逐步取代密码的地位 | 企业借助REMME公司的区块链技术,可以在不需要密码的情况下对用户和设备进行身份验证。这就消除了身份验证过程中的人为因素,从而避免了它成为潜在的攻击对象。过于单一的登录系统和集中化的架构是传统系统的一大弱点,基于密码体制的系统无论花费了多么高昂的成本,一旦客户和雇员的密码被窃或破解,都有可能付诸东流。区块链网络承担了强大的身份验证职责,同时解决了单点攻击的问题。此外,分布式网络可以帮助各方之间达成共识。 考虑到对集中密码管理器LastPass的大量攻击,这使得数百万个账户有可能受到盗窃的影响,利用分布式公共密钥基础设施来对用户和设备进行身份验证。REMME公司不使用密码,而是为每个设备提供一个特定的SSL证书。证书数据是在区块链上进行管理的,这使得恶意黑客几乎不可能使用假证书。该平台还使用双重认证来进一步增强用户的安全性。 |
3 | Obsidian确保聊天的隐私和安全 | 信息服务是互联网时代下的我们每天都要用到的功能,这些应用程序已经被用于付款,并通过聊天机器人来吸引用户。消息和商业的整合为我们的生活带来了很多便利。然而,社会工程、黑客攻击和其他安全漏洞存在固有的危险,例如,考虑到WhatsApp和Telegram可能面临基于图像元数据的缺陷的风险。Obsidian使用了区块链分布式网络,它不能被任何单一来源审查或控制。此外,通信元数据分散在分布式账本上,不能集中在一个中心点,通过这样的数字指纹来减少监视的风险。用户不需要链接到他们的电子邮件地址或电话号码,因此增加了隐私性。Obsidian Messenger还将实现一个并行网络,用于交换数据和文件等有效负载,而平台还将流通其代币用作解锁平台功能。 像Obsidian这样的初创公司使用区块链来保护社交媒体聊天软件的隐私通信数据。与WhatsApp或iMessage所采用的端到端加密不同,Obsidian的聊天软件使用了区块链技术来保护用户的元数据安全,用户不需要使用电子邮件或其他认证方法来使用聊天软件,而元数据是随机发布在“区块链账本”中的,因此攻击者无法通过入侵单一节点来收集到用户的所有数据。 |
4 | IBM提升数据保密性和完整性 | 虽然区块链最初的设计并没有考虑到具体的访问控制,但是现在某些区块链技术实现已经解决了数据保密以及访问控制的问题了。在这个任何数据都有可能被篡改的时代,这显然是个严重问题,但是完整的数据加密恶意保证数据在传输过程中不被他人通过中间人攻击等形式来访问或篡改。 整个物联网产业都需要数据完整性保障。比如说,IBM在其沃森物联网(Watson IoT)平台中就允许用户在私有区块链网络中管理物联网数据,而这种区块链网络已经整合进了他们Big Blue的云服务中。除此之外,爱立信公司的区块链数据完整性服务又提供了全面的审计、兼容和可信赖数据服务来允许开发人员利用Predix PaaS平台来进行技术实现。 |
作为网络时代的新一轮变革力量,区块链作为一种全新的信息存储、传播和管理机制,通过让用户共同参与数据的计算和存储,并互相验证数据的真实性,以“去中心”和“去信任”的方式实现数据和价值的可靠转移。目前,区块链技术应用以网络安全领域为典型代表,向社会诸多领域逐渐扩展延伸,得到了普遍的关注和全球性的探索。
区块链技术在与现有技术结合催生新业态、新模式的同时,区块链技术发展和网络安全领域的深入应用仍需要漫长的整合过程,其核心机制、应用场景中存在的潜在网络风险也给技术应用和现有网络安全监管政策带来新的挑战。因此,我们理性看待区块链的技术优势和网络安全领域应用的同时,要强化应对潜在网络安全风险已成为保障区块链技术的健康、有序发展的当务之急。
三、区块链技术面临网络安全威胁
区块链不是万能的,不可迷信更不能神话区块链技术。随着大数据、物联网、人工智能等新技术的广泛应用,不断出现的数据泄露和信息安全事件也给个人隐私保护、企业安全生产、社会公共服务等带来新的挑战。基于分布式账本技术的区块链,在确保数据安全和信息完整性方面具有天然的优势,而被很多人给予“厚望”。
然而,区块链并非万灵药,从技术复杂度和系统数量到其实现,区块链都不能保证100%安全。交易速率上的限制,还有关于信息是否应保存在区块链中的争论,都是该技术在网络安全应用方面的顾虑。
目前区块链技术本身仍存在一些网络安全风险,应用过程中可能会引发一定的安全问题。近年来,区块链网络安全事件频发造成重大经济损失。据统计,自2011年到2018年10月,全球范围内因区块链网络安全事件造成的损失近36亿美元。可见,区块链网络安全问题不容忽视。基于业界已有研究报告,将区块链面临的网络风险与挑战分为六大方面:基础设施安全、密码算法安全、协议安全、实现安全、使用安全和系统安全。
(一)基础设施安全
区块链的发展,基础设施是关键。区块链的基础设施主要包括交换机和路由器等网络资源、硬盘和云盘等存储资源以及CPU和图形处理器(GPU)等计算资源。当前面临的主要有物理安全风险、以及数据丢失和泄露等安全风险。
物理安全风险主要指区块链存储设备自身以及所处环境的安全风险,如LevelDB、Redis 等数据库中可能存在未及时修复的安全漏洞,导致未经授权的区块链存储设备访问和入侵,或者存放存储设备的物理运行、访问环境中存在的安全风险。
数据丢失和泄露主要针对区块数据和数据文件的窃取、破坏,或因误操作、系统故障、管理不善等问题导致的数据丢失和泄露,线上和线下数据存储的一致性问题等。例如,EOS的IO节点可通过原生插件,将不可逆的交易历史数据同步到外部数据库中,外联数据库数据为开发者和用户提供了便利的同时,也可能引发更多的数据丢失和泄露风险。
(二)密码算法安全
区块链使用了大量密码算法以保证安全性。但现有的一些密码算法存在一定缺陷,使用有缺陷的密码算法会大大影响安全性。另外,随着量子技术的发展,使用不能够抵抗量子攻击的密码算法都有较大风险。目前密码货币的算法是相对安全的,但是随着数学、密码学和计算技术的发展会变得越来越脆弱,况且区块链中的密码算法在使用过程中也存在问题。另外,量子计算对现有公钥密码带来的影响是颠覆性的,2017年IBM宣布成功搭建和测试了两种新机器。当然,算法方面也曾出现过随机数漏洞事件,比如2014年12月,blockchain.info爆出随机数问题。
(三)协议安全
区块链是一个新的协议层,是一项去中心化的协议,分布在Web2.0之上,支持点对点传输,基于分布式的特性,无需任何中介,美国人都可以直接发送和存储数据和参与金融交易。协议安全主要指共识机制、P2P网络等存在的安全隐患,主要面临共识算法漏洞、流量攻击以及恶意节点等威胁。
(四)实现安全
智能合约运行环境的安全性是区块链安全的关键环节,智能合约起步较晚,其风险主要来源于代码实现中的安全漏洞。目前,部分区块链项目会设计并使用自己的虚拟机环境,如以太坊的EVM,而Hyper Ledger Fabric等则直接使用成熟的Docker等技术作为智能合约的处理环境,一旦在运行环境中存在虚拟机自身安全漏洞,或验证、控制等机制不完善等,攻击者可通过部署恶意智能合约代码,扰乱正常业务秩序,消耗整个系统中的网络、存储和计算资源,进而引发各类安全威胁。
(五)使用安全
主要指使用的智能合约、数字钱包、交易所以及应用软件等存在的安全问题。另外,区块链应用所在服务器上的恶意软件、系统的安全漏洞等都可能成为攻击者攻破区块链应用的脆弱点。目前存在以下问题,比如私钥托管容易造成监守自盗以及黑客盗取;区块链钱包的口令存在被恢复的危险;私钥一旦丢失,便无法对账户的资产做任何操作。最重要的是所有的数字货币系统都会遭到黑客攻击,比如2017年12月,朝鲜黑客攻击了韩国加密货币交易所,导致价值76亿韩元(约合699万美元)的加密货币被盗。
(六)系统安全
上述基础设施、密码算法、协议、实现、使用安全漏洞与黑客攻击结合,可使区块链受到致命打击。社会工程学手段与传统攻击方法结合使区块链变得更加脆弱,有组织的攻击行为将对区块链安全造成极大危害。综合运用算法/协议/使用/实现漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击,会对密码系统造成极大的危害。
四、安全性威胁应对建议
(一)集中力量攻关区块链安全风险应对技术
针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略;针对实现安全性,需要对关键代码进行严格、完整测试,以及采用更加安全的智能合约;针对使用安全性,主要是对私钥生成、存储、使用进行保护,使用有效的魂币模式,对敏感数据进行加密保护。另外,也要选择安全的交易所,因为交易所聚集了大量的数字货币,所以很容易成为黑客或者一些敌对、恐怖组织的针对目标;针对算法安全性,可以采用抗量子算法,如基于格的签名算法,或者采用盲签名、环签名、聚合签名、多重签名、门限签名策略,总之是要采用新的、本身经得起考验的密码技术;针对黑客的攻击,提出拟态防御的方法。拟态防御是一项技术,利用拟态防御技术,对于提高区块链系统安全性会起到非常好的作用。
(二)探索创新性的区块链监管手段
探索“沙盒监管”、“穿透监管”等区块链监管模式,监管机构可为特定区块链产品、服务和应用模式的测试创新构造“安全沙盒空间”,在满足企业在真实场景中测试其产品方案需求的同时,严防风险外溢;或在区块链节点中设置一个或多个监管机构节点的方式,使监管方可全面及时获取区块链业务流程、用户关系、信息流向等监管信息,以“穿透式”的方式深入区块链业务核心实施监管。
(三)区块链应回归技术本质,存储安全标准亟待建立
随着信息的交互流动加速,区块链得以脱离数字货币的范畴而走向更广大的权益资产市场,数字资产管理成为目前区块链有望尽快落地的应用之一。然而由于缺乏安全基础设施建设和防护,存储为目标的区块链成为黑客攻击的“重灾区”。
在区块链技术的发展过程中,区块链各技术分支和应用领域发展程度不均衡,缺乏统一的概念术语、架构及测评标准,技术和机制特性给法律和监管带来挑战等问题在不同程度上对技术的发展应用和产业化形成了阻碍。围绕技术架构规范、开发规范、身份认证等相关标准化、合规化问题,国际标准化组织和开源组织已开始启动区块链安全标准化工作,规范区块链技术应用发展。截至目前,国际电信联盟远程通信标准化组织在区块链安全议题上表现活跃,参与方众多,研究范围较广,推进路线明确。国际电信联盟远程通信标准化组织成立了三个焦点组、一个问题小组,设立多个标准研究项目,围绕区块链整体发展、安全及物联网、下一代网络演进、数据管理应用等开展标准化工作。
(四)强化推动区块链安全产品和服务市场发展
鼓励网络安全企业、区块链相关企业等重视区块链技术安全问题,推动智能合约漏洞挖掘、区块链产品代码审计、业务安全监测等相关安全产品和服务的开发应用,提升区块链产品应用安全水平和抗攻击能力,不断优化区块链技术生态结构。
区块链技术正日益成为网络安全领域创新的重要驱动力量,其技术带来的巨大变革不容忽视,技术和应用场景中的潜在网络安全风险也在逐渐显现。全球各个国家在着力把握技术发展先机的同时,也需正视风险,从发展引导、强化监管、风险研判、国际合作等多角度积极应对,有效防范化解新技术网络安全风险,切实保障区块链技术在网络安全领域的健康、有序发展。
声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
