115
一、引言omap4460
区块链的概念于2008年由中本聪提出。区块链技术是为了支持比特币而产生的数字加密货币体系的核心技术[1]。去中心化是区块链技术的核心优势。通过数据加密、分布式共识、时间戳等技术手段,在各节点无需互相信任的分布式系统中实现基于去中心化信用的点对点交易、协调与协作,为解决传统中心化机构普遍存在的高成本、低效率和数据存储不安全等问题提供了解决方案。随着比特币等虚拟货币的快速发展,区块链技术的研究与应用受到广泛关注,逐渐从加密的核心技术发展为一种提供可信区块链即服务的平台的相关技术。近年来,诸多行业对区块链的研究呈现爆发式增长,研究者积极探索与区块链技术相结合的行业应用创新模式[2]。目前已经出现了区块链技术应用于数字医疗、物联网、金融、计算机科学、电子商务、环境科学等领域的研究。 信息安全是现代互联网技术发展的关键。区块链的分布式机制、分散机制、密码机制和脚本机制为互联网信息安全技术的发展提供了全新视角,重新定义了网络中信息的存储和传播方式。参与者不需相互了解,也不需第三方认证机构参与。区块链通过分布式技术记录、传输和存储信息,确保加密的数据不被篡改和伪造,使所有参与者能就区块链数据信息的状态达成共识。区块链技术将成为信息安全技术变革 过程中的巨大推动力,并对其发展产生深远影响。
本文对区块链技术的相关概念、原理及研究现状进行介绍,对区块链和信息安全结合的发展加以展望。首先介绍区块链平台的基础框架、区块链结构、共识机制、应用模式和技术特点。其次综述了区块链技术在信息安全领域的研究,阐述了区块链技术在身份认证、数据保护和网络安全方面的应用。最后分析区块
吴则平(2001.07-),男,汉族,河南洛阳,新疆大学信息安全2019级学生,研究方向:网络信息安全。
基于区块链的信息安全技术研究
摘要:区块链是一种源于数字加密货币比特币的分布式总账技术,其发展引起了产业界与学术界的广泛关注。信息安全是现代互联网技术发展的关键。区块链的分布式机制、分散机制、密码机制和脚本机制为互联网信息安全技术的发展提供了全新视角。本文梳理了区块链技术在信息安全领域的研究现状和进展,从区块链的基础框架、区块链结构、共识机制、技术特点方面介绍了区块链的基本原理与理论,从身份认证技术、保护基础设施、数据安全领域介绍了基于区块链的信息安全技术研究,分析了区块链技术面临的安全问题与挑战,对区块链在信息安全领域的发展进行了总结与展望。
关键词:区块链;信息安全;身份认证;数据安全
链技术应用于信息安全领域未来研究的挑战和展望。
二、区块链概述
(一)区块链平台基础框架
区块链是按照时间顺序将数据区块以链的方式组合形成的数据结构,是通过对数据进行加密来保证其不可篡改和不可伪造的去中心化、去信任的分布式共享总账系统。从数据角度看,区块链是一种不可能被更改的分布式数据库,数据由所有节点共同参与记录和维护,篡改数据成本巨大。单一节点的数据被篡改或被破坏不会对区块链所存储的数据产生影响,数据的完整性不易被破坏。实现了数据的安全存储。从协议角度看,区块链是一种解决数据信任的互联网协议。从使用技术角度看,区块链技术并非单一的技术创新,而是分布式存储、非对称加密技术[3]、共识机制、链上脚本、点对点网络技术[4]、拜占庭容错[5]等多种技术整合利用后实现的分布式账本技术。区块链的基础框架由数据层、网络层、共识层、智能合约层以及应用层组成,如图1所示。
图1 区块链基础框架
(二)区块链结构
区块链的数据结构如图2所示,每个区块存储
前一区块的哈希值与前一区块相连,形成一种链式结构。区块头包括前一区块的哈希值、时间戳、Merkle 树根值等信息。一段时间内的交易被组织成为Merkle 树[1],每笔交易完成后,将交易记录存储在Merkle树的叶子节点上,每两个叶子节点合并哈希到根节点,最后生成完整Merkle树。Merkle 树根节点的哈希值存储在该区块的区块头,其中包含了全部交易数据。Merkle树可以快速查询和检验交易数据,并可大幅减少存储交易信息的存储空间。同时,在生成区块时,区块都会被记账者加盖时间戳,标明区块产生的时间。随着时间的变化,区块不断延长逐渐形成了一个拥有时间维度的链条,区块链上数据能够按时间进行追溯,使得区块链上的数据具有可追溯性。在某些特定的区块链系统中,区块头还包含其他信息,如在比特币系统中,区块头还包含Nonce值。Nonce是比特币矿工完成工作量证明算法后的数据,可看作矿工获取奖励的凭证。
(三)共识机制
基于区块链去中心化的特点。区块链系统中,没有第三方可信机构。区块链采用共识机制来保证每个分布式节点的数据和交易的可靠性和一致性。共识机制是一个规则,每个节点都按照规则确认各自数据。
在目前常见的公有链中,常用的共识机制有PoW (Proof of Work) 、PoS(Proof of Stake)[6],此外还有PBFT[7],DPoS等共识机制。比特币和以太坊,都使用PoW机制。以太坊还集成了PoS机制。
PoW引入分布式节点算力竞争来保证数据的一致性和共识安全性,节点需要计算SHA256的数学难题,这个难题在计算上很困难,但正确性很容易验证。难题解决后,将其广播到其他节点,以达成共识目的。解决出该难题的节点会获得若干比特币和打包记账权奖励。
PoS机制通过证明加密货币的所有权来证明数据的可信性,系统中具有最高权益的节点拥有打包记账权。在以太坊中,在创建区块或交易的过程中,矿工需要支付一定数量的以太币(以太坊中的加密货币)。如果创建的块或事务最终可验证,以太将作为奖励返回到原始节点,否则将被。在PoW机制中,节点需要大量计算。PoS机制可大大减少计算量,提高整个区块链系统的吞吐量。
(四)应用模式
区块链技术的应用模式
主要包括公有链、私有链、联
图2 区块链数据结构
盟链这3种类型[8]。其在以下方面有所不同:
线内钩子
1.共识机制。像比特币这样的公共区块链,所有
节点都可参与共识过程。而在联盟链中只有少部分被
选定的节点可以参与。在私有链中,中央机构将决定
可以确定系统的共识机制。
私有链和联盟链可以限制用户访问分布式账本,用户
的读写权限是有限制的。
3.不可篡改性。在去中心化的区块链网络中,交
易存储在分布式账本中并由所有用户验证,这使得在
交易记录公共链中不可被篡改。相比之下,联盟链和
私有链的分布式账本可能被中央机构主导篡改。
4.效率。在公共链中,任何节点都可以随意加入
或离开网络,其具有高度的可扩展性。由于挖掘数据
复杂性的增长和新节点的不断增多,公有链吞吐量相
对比较有限并且延迟较高。因为参与者和共识协议较
少,私有链和联盟链的性能和效率更高[9]。
5. 去中心化。这三类区块链地显著区别在于公有
区块链是去中心化的,联盟链是部分中心化的,私有
链则由一个核心机构控制。
(五)技术特点
区块链技术(主要指公有链)技术特点如下:
1.去中心化。区块链基于分布式存储数据,依靠
智慧珠拼盘
网络中各个节点共同实现系统的维护和信息传递的真高温熔化炉
实性,不需要中心管理机构对区块链进行管理和维护。
因此某一个或某几个节点受到攻击或区块信息被篡改
并不会影响整个网络的运作,也不会破坏系统信息的
完整性。
2.去信任化。任意两个节点之间建立连接不需要
信任彼此的身份也不需要认证机构提供认证,双方之
间进行数据交换无需互相信任的基础,无需依赖可信
第三方事先建立信任关系。网络中的所有节点都是交
泄洪闸易的见证人和监管者,不存在欺诈问题。
3.可扩展。区块链是一种底层开源技术,在此基
础上可实现各类扩展和去中心化、去信任化的应用。
116
4.匿名化。在区块链网络中,数据交换的双方可以是匿名的,网络中的节点进行数据交换过程中无需知道彼此的身份和个人信息。
5.可追溯性。区块链存储数据时会将时间戳存入区块头中,每个区块的生成时间都可查,而且每个区块与前后的区块相连接,任何一笔交易都可追溯。
6.可编程性。区块链可通过链上脚本对应用层服务进行开发,用户还可构建自定义的智能合约实现满足需求的去中心化应用。
三、区块链技术在信息安全领域的应用
(一)身份认证
认证是计算机系统及网络环境中核验用户身份的过程,提供识别和确认用户身份的机制,并确定用户是否有权访问和管理系统资源[10]。其实质是确认用户的身份,保护正常合法用户,保护系统安全。‘“认证技术是访问控制、入侵检测、安全审计等安全机制的基础,是网络信息安全的关键。目前的认证技术主要包括基于口令的认证技术、基于PKI的认证技术、基于智能卡的认证技术和基于生物特征的认证技术[11]。传统的认证技术采用集中式认证方式。第三方证书认证机构(certification authority,简称 CA)是认证技术的核心,实现了证书的颁发、更新、撤销和验证等功能。目前,大多数web应用系统,如系统、消息传递应用系统和门户网站,都基于CA模式,由CA发布、激活和存储,CA是一个集中的可信第三方认证机构,为用户提供认证服务。但是这种认证方式存在安全风险[12],非法用户或黑客可以攻击CA中心并伪造用户身份或破解加密信息。然后,通过获取用户的正常身份对系统进行攻击。2017年,WhatsApp 的密钥重协商机制漏洞被破解,非法用户和黑客可以利用该漏洞发送假密钥,并实施中间人攻击以获取数据。基于区块链技术的身份认证具有分散认证的特点,不存在对CA等中央机构的潜在威胁,而在区块链上释放密钥可以防止假密钥的传播,应用系统还可识别通信对方的真实身份。麻省理工学院的CertCoin[13-14]项目是第一个基于区块链技术的PKI系统。CertCoin 删除了集中式CA,并将其替换为使用区块链作为域名和公钥的分布式账户,实现了身份认证的去中心化。此外,Pomcor公司发布了一个基于区块链技术的PKI 系统,该系统保留了CA,
但使用区块链存储已发布和激活的CA的哈希值。这种方法允许用户通过分散和透明的用户源对证书进行身份验证,同时通过基于区块链副本对密钥和签名进行本地身份验证来提高网络访问性能。另外一个身份保护技术项目IOTA也值得注意。该项目利用轻量级、可扩展和无区块的分布式账户Tangle,作为数百万物联网设备交互和点对点身份验证的主干,不依赖第三方CA。该项目将能够重建一个全新的身份认证管理系统,在该系统中,黑客和攻击者无法通过伪造用户身份来攻击系统。
(二)保护基础设施
分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)将多台计算机作为攻击平台,借助C/S(Client/Server)技术,对一个或多个目标发起DDoS攻击,从而使拒绝服务攻击的威力加倍。拒绝服务攻击(Denial of Service,简称DDoS)是针对信息安全的三个要素中可用性的攻击。攻击者利用目标系统网络服务功能缺陷或直接消耗其系统资源,使目标系统无法向用户提供正常服务。DDoS攻击的方式多种多样。最基本的DoS攻击使用大量且密集的服务请求占用巨额的服务资源,使合法用户无法获得服务响应,破坏系统的可用性。当攻击目标CPU、内存、带宽等性能指标不高时,单次DoS攻击在一对一的基础上,能造成巨大的破坏。随着计算机和网络技术的发展,DoS攻击的破坏性因计算机计算处理能力的快速增长、内存的增加和网络带宽的增加而降低。然而,分布式拒绝服务(DDoS)攻击通过使用更多的傀儡对受害者进行更大规模的攻击。DNS服务是黑客利用DDoS大规模攻击的主要目标。2018年,多个DDoS 攻击记录宣布DDoS已进入TB时代。区块链技术的使用有望从
根本上解决互联网的“致命缺陷”——DNS。目前,DNS最大的弱点是缓存,这使得DDoS 攻击成为可能。基于区块链的DNS系统使用以太坊区块链和IPFS(InterPlanetary File System)注册和解析域名,IPFS旨在取代HTTP并为所有人构建更好的网络。IPFS使用了分布式存储技术,可以让黑客失去攻击的重点,而且一个高度透明的分布式DNS系统可有效消除实体对数据的操控。诺基亚贝尔实验室在研究中实现了 DNS 映射中可信节点的认证,以防止攻击者恶意攻击节点。
(三)数据安全
数据是应用系统的基础,其完整性是数据价值的体现和数据安全技术保护目标的关键。根据密码学方法,数字签名生成一组表示签名者身份和数据完整性的数据信息,一般附加到数据文件中[18]。用户通过签名人的公钥确认数字签名,以验证数据信息的真实性和完整性。通常使用基于私钥的数字签名技术的目的是让接收者或用户可以验证数据信息的来源。但是用于数字签名的私钥需要验证其未被篡改,这与私钥的机密性相矛盾。因此数字签名只能在私钥未被篡改的情况下使用。随着区块链技术的发展,利用区块链技术取代数据信息的数字签名可用透明代替秘密,将证据分发到大量区块链节点,增加篡改数据成本。
数据安全公司GuardTime基于区块链技术的KSI ((Keyless Signature Infrastructure)项目旨在取代基于
117
密钥的数字签名技术。KSI将原始数据和文件的哈希表存储在区块链上,通过运行哈希算法验证其他副本,比较存储在区块链中的数据,快速检查出数据是否被篡改。区块链技术在确保数据透明度、变更升级和数据信息的细粒度可访问性方面发挥着重要作用,对于处理大量敏感数据并遭受频繁黑客攻击的数据运营组织来说意义重大。
四、挑战与展望
(一)区块链技术面临的挑战
1.存在安全问题
区块链的安全性依靠共识机制进行支撑,目前主流的公有链平台如比特币、以太坊等都采用了PoW共识机制。这些平台需要矿工不断“挖矿”来维持平台的运行,在比特币和以太坊等平台的工作量证明机制中,节点算力越大,就能更快的计算出哈希值,就越容易获得打包记账权。如果某个矿池的算力超过了整个区块链网络计算力的51%,就能通过算力优势,来破坏和操纵区块链系统,甚至篡改数据。为了解决此类安全问题,需要提出更加安全且高效的共识机制。
2.匿名和隐私
区块链通常被认为可为数据提供隐私和保护,用户使用生成的地址而不是使用真实身份进行交易。但一些研究人员认为,区块链在交易隐私方面可能受到攻击,因为发起交易的公钥对网络对等方是可见的 [19]。尽管在区块链网络中对等点可以是匿名的,但对比特币平台的一些研究表明,可以链接交易历史以揭示成员的真实身份。此外,Biryukov等研究者提出了一种方法,可在防火墙或网络地址转换协议之后将用户的假名链接到其IP 地址上。区块链易受信息泄露影响的主要原因是所有公钥的细节和余额对网络中的每个人都是可见的。因此,应在区块链应用的初始阶段定义隐私和安全要求。
3.用户账户不易回
在传统的身份认证系统中,每个用户的账户由可信的第三方管理者保存和管理,如账户丢失,可通过预留的身份认证信息回。但在区块链中,不存在这样的第三方管理者,区块链账号由用户地址所对应的私钥对其保护和认证,所有交易都要使用该私钥。私钥一旦丢失,无法重置或回,账户内的资产和数据都将丢失,严重影响了区块链技术的易用性。
(二)在信息安全领域的展望natr-241
区块链具有的开放共识、去中心、去信任、匿名性、不可篡改等特性为保护信息安全提供了新的解决问题思路,其可以应用于多种信息安全领域。区块链技术和信息安全结合的方向还有许多,如可用于访问控制、身份管理、隐私保护等方向,为这方面的信息安全研究提供新思路和新方法。同时区块链
自身存在的安全问题和弊端,也为之后的信息安全研究者提供研究方向。
五、结束语
区块链技术不仅是新一代交易的应用技术,它在简化业务流程的同时提高了交易的透明度,解决了信任问题。它将彻底改变互联网交易方式,带来互联网信息安全技术的变革。区块链技术独特的信息存储和共享方式有望为信息安全行业带来革命性的解决方案。然而,任何技术的实现和应用,在发展过程中都面临一些安全风险和技术挑战。希望未来的研究者能够解决这些风险和挑战,促进信息安全行业的发展。 作者单位:吴则平 新疆大学 信息科学与工程学院
参 考 文 献
[1] Nakamoto S. Bitcoin: A peer-to-peer electronic cash system[J]. Decentralized Business Review,2008: 21260.
[2]张亮,刘百祥,张如意,江斌鑫,刘一江.区块链技术综述[J].计算机工程,2019,45(05):1-12.
[3] KING S,NADAL S.PPCoin: peer-to-peer cryptocurrency with proof-of-stake[EB/OL][2018-12-0]./ p-0788912122970.html.
[4] Castro, Miguel, and Barbara Liskov. “Practical byzantine fault tolerance.” [J] OSDI. Vol. 99. No. 1999. 1999. 173–186.
[5] 刘亮. B2B电子商务应用系统中信息安全技术研究[D].北方工业大学,2013.
[6]孔功胜.云计算安全认证与可信接入协议研究进展[J].河南大学学报(自然科学版),2017,47(01):62-72.
[7]林璟锵,荆继武,张琼露,王展.PKI技术的近年研究综述[J].密码学报,2015,2(06):487-496.
[8] Fromknecht C , Velicanu D . CertCoin: A NameCoin Based Decentralized Authentication System 6.857 Class Project.
[9] Fromknecht C, Velicanu D, Yakoubov S. A Decentralized Public Key Infrastructure with Identity Retention[J]. IACR Cryptol. ePrint Arch., 2014, 2014: 803.
[10] Hari A, Lakshman T V. The internet blockchain: A distributed, tamper-resistant transaction framework for the internet[C]//Proceedings of the 15th ACM workshop on hot topics in networks. 2016: 204-210.
[11]鲁荣波. 代理数字签名和数字签名的分析与设计[D].西南交通大学,2007.
[12] Henry R, Herzberg A, Kate A. Blockchain access privacy: Challenges and directions[J]. IEEE Security & Privacy, 2018, 16(4): 38-45.
[13] Smith S M, Khovratovich D. Identity system essentials[J]. Evemyrn, Mar, 2016, 29: 16.
[14] Biryukov A, Pustogarov I. Bitcoin over Tor isn’t a good idea[C]//2015 IEEE Symposium on Security and Privacy. IEEE, 2015: 122-134.
118
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议