馮海濱 劉紅

一、前言

航空工業(yè)網(wǎng)絡(luò)中心作為行業(yè)內(nèi)信息共享的公共平臺，與其互聯(lián)的網(wǎng)絡(luò)越來越多，帶來了很大的邊界安全管理風(fēng)險(xiǎn)。在實(shí)際管理中，由于網(wǎng)絡(luò)邊界的行政管理職責(zé)劃分要求，航空工業(yè)網(wǎng)絡(luò)中心不能真實(shí)了解到接入網(wǎng)絡(luò)內(nèi)部的具體安全情況，因此存在接入網(wǎng)絡(luò)為了避免因安全問題遭到網(wǎng)絡(luò)中心斷網(wǎng)，假意宣稱本接入網(wǎng)絡(luò)是安全的等不信任現(xiàn)象。再者，網(wǎng)絡(luò)中心要對接入網(wǎng)絡(luò)實(shí)行斷網(wǎng)等操作沒有切實(shí)有力的數(shù)據(jù)依據(jù)，多網(wǎng)路連接的環(huán)境下，如發(fā)生安全事件，各網(wǎng)絡(luò)為維護(hù)自身利益，各執(zhí)己見，難以追蹤事件發(fā)生的源頭等情況均存在。

本文基于比特幣區(qū)塊鏈的技術(shù)特點(diǎn)和實(shí)現(xiàn)方式，主要借鑒區(qū)塊鏈共享式存儲、去中心化、數(shù)據(jù)不可篡改等特點(diǎn)，分析研究其對上述問題的解決方案，以期提升系統(tǒng)安全性的目標(biāo)。

二、區(qū)塊鏈技術(shù)簡介

區(qū)塊鏈?zhǔn)欠植际綌?shù)據(jù)存儲、共識機(jī)制、加密算法等計(jì)算機(jī)技術(shù)的新型應(yīng)用模式。區(qū)塊鏈的本質(zhì)是一個(gè)分布式的公共賬本，使用分布式集體運(yùn)作的方式，實(shí)現(xiàn)一套不可篡改的，可信任的數(shù)據(jù)庫技術(shù)方案。任何人都可以對這個(gè)超級賬本進(jìn)行核查，但不存在一個(gè)單一的用戶可以對它進(jìn)行控制。在區(qū)塊鏈系統(tǒng)中的參與者們，會共同維持賬本的更新，且只能按照嚴(yán)格的規(guī)則和共識來進(jìn)行修改。

三、基于區(qū)塊鏈的多網(wǎng)絡(luò)安全管理方案設(shè)計(jì)

（一）總體思路

針對本文提出的問題，結(jié)合問題場景，采用私有鏈的解決思路，以下對本次設(shè)計(jì)的多網(wǎng)絡(luò)安全管理方案統(tǒng)一稱為“安全值區(qū)塊鏈”。

該方案通過在每個(gè)接入航空網(wǎng)絡(luò)中心的節(jié)點(diǎn)上安裝客戶端程序，讀取每個(gè)節(jié)點(diǎn)當(dāng)前的運(yùn)行狀態(tài)（預(yù)先進(jìn)行定義，比如是否安裝殺毒軟件，殺毒軟件是否啟用等等），并對狀態(tài)進(jìn)行自動(dòng)檢查打分，然后將該節(jié)點(diǎn)（以下簡稱發(fā)送方）的運(yùn)行狀態(tài)廣播到其他節(jié)點(diǎn)（以下簡稱接收方），接收方經(jīng)過驗(yàn)證，確認(rèn)該廣播信息有效后，對發(fā)送方節(jié)點(diǎn)的運(yùn)行狀態(tài)信息以一定的格式添加到“安全值區(qū)塊鏈”中，保證該節(jié)點(diǎn)安全運(yùn)行狀態(tài)的原始數(shù)據(jù)真實(shí)有效，且不可被篡改。另外借鑒比特幣中“錢包”功能對完整安全值區(qū)塊鏈的數(shù)據(jù)進(jìn)行提取和計(jì)算，獲取每個(gè)節(jié)點(diǎn)在某一個(gè)周期內(nèi)的安全得分值，從而為航空網(wǎng)絡(luò)中心管理員采取安全措施（比如斷網(wǎng)等操作）提供客觀依據(jù)。最后還有一個(gè)運(yùn)行在服務(wù)端的程序主要用于對客戶端節(jié)點(diǎn)運(yùn)行狀態(tài)進(jìn)行監(jiān)控以及對安全值計(jì)分表模板的更新等。

（二）功能設(shè)計(jì)

該系統(tǒng)的實(shí)現(xiàn)需要設(shè)計(jì)一套分布式的計(jì)分系統(tǒng)，由服務(wù)器端和客戶端構(gòu)成。客戶端程序主要有四個(gè)功能：

（1） 網(wǎng)絡(luò)路由：統(tǒng)計(jì)節(jié)點(diǎn)安全運(yùn)行狀態(tài)信息，基于最新《安全值計(jì)分表》對節(jié)點(diǎn)當(dāng)前運(yùn)行狀態(tài)進(jìn)行計(jì)分從而形成多條記錄，并將這些記錄打包，連同本節(jié)點(diǎn)的數(shù)字簽名信息廣播給其他節(jié)點(diǎn)。

（2）驗(yàn)證：類比于比特幣節(jié)點(diǎn)的“挖礦”功能，接收方對廣播信息進(jìn)行驗(yàn)證和判斷，如果確認(rèn)信息由發(fā)送方發(fā)出，則將該節(jié)點(diǎn)的安全運(yùn)行狀態(tài)信息裝入?yún)^(qū)塊，并連接到區(qū)塊鏈中，否則丟棄該節(jié)點(diǎn)的發(fā)包信息。

（3）完整區(qū)塊鏈：接收方對經(jīng)過驗(yàn)證的數(shù)據(jù)包進(jìn)行封裝形成區(qū)塊，并連接到本地管理的完整區(qū)塊鏈中，如果遇到分叉，則以最長的區(qū)塊鏈為準(zhǔn)。

（4）查分：類比于比特幣區(qū)塊鏈中的“錢包”功能，能夠基于本地的完整區(qū)塊鏈記錄，實(shí)現(xiàn)某一周期內(nèi)全網(wǎng)任意節(jié)點(diǎn)的安全值得分查詢。

服務(wù)端程序主要有五個(gè)功能：

（1）對客戶端程序和《安全值計(jì)分表》模板等進(jìn)行更新和維護(hù)。

（2）監(jiān)控全網(wǎng)中所有客戶端程序的運(yùn)行狀態(tài)。

（3）維護(hù)全網(wǎng)中所有節(jié)點(diǎn)編號、主機(jī)名、IP地址、MAC地址的對應(yīng)關(guān)系。

（4）控制客戶端程序功能的啟用或關(guān)閉。

（5）為所有終端、服務(wù)器提供客戶端程序web下載服務(wù)。

（三）詳細(xì)設(shè)計(jì)

1、安全值區(qū)塊鏈網(wǎng)絡(luò)

全網(wǎng)絡(luò)中所有客戶端、服務(wù)器等設(shè)備安裝的客戶端程序都應(yīng)啟用網(wǎng)絡(luò)路由功能，僅啟用該功能的節(jié)點(diǎn)稱為輕節(jié)點(diǎn)。查分、完整區(qū)塊鏈、驗(yàn)證功能應(yīng)當(dāng)依據(jù)設(shè)備負(fù)載情況適當(dāng)開啟，四個(gè)功能都啟用的節(jié)點(diǎn)成為全節(jié)點(diǎn)。輕節(jié)點(diǎn)應(yīng)至少與周圍1～2個(gè)全節(jié)點(diǎn)連通，所有全節(jié)點(diǎn)應(yīng)當(dāng)連通，服務(wù)器節(jié)點(diǎn)應(yīng)當(dāng)與所有輕節(jié)點(diǎn)、全節(jié)點(diǎn)保持連通。安全值區(qū)塊鏈網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和節(jié)點(diǎn)功能示意圖，如圖1所示。

圖1 安全值區(qū)塊鏈網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和節(jié)點(diǎn)功能示意圖

2、安全值計(jì)分表

《安全值計(jì)分表》是各個(gè)節(jié)點(diǎn)進(jìn)行安全狀態(tài)檢查并進(jìn)行打分的的依據(jù)，主要由各種安全運(yùn)行狀態(tài)條目組成。其中常見的主機(jī)審計(jì)、瑞星、三合一等安全軟件的運(yùn)行狀態(tài)是重要評分標(biāo)準(zhǔn)。具體模板如表1（取名aqzjf_ v1）所示。

該表中的條目、分值等內(nèi)容可以在服務(wù)端進(jìn)行增加、刪除和修改，每次變更后應(yīng)更新表名稱后的版本號，并及時(shí)推送給客戶端節(jié)點(diǎn)。

3、節(jié)點(diǎn)安全運(yùn)行狀態(tài)記錄

客戶端程序應(yīng)及時(shí)從服務(wù)端下載最新版本的《安全值計(jì)分表》，以確保本節(jié)點(diǎn)收集到的安全運(yùn)行狀態(tài)計(jì)分值正確有效。節(jié)點(diǎn)安全運(yùn)行狀態(tài)記錄格式如表2所示。

各節(jié)點(diǎn)應(yīng)當(dāng)按照最新《安全值計(jì)分表》中的每個(gè)安全運(yùn)行狀態(tài)條目進(jìn)行信息收集并計(jì)分，所有的條目得分信息收集完畢后，該節(jié)點(diǎn)通過客戶端程序?qū)⑦@些記錄加密處理然后廣播給其他具有驗(yàn)證功能的節(jié)點(diǎn)，所有節(jié)點(diǎn)都需發(fā)送給本網(wǎng)絡(luò)中的全節(jié)點(diǎn)，全節(jié)點(diǎn)自身首先發(fā)送給自己。

4、安全運(yùn)行狀態(tài)記錄加密

發(fā)送方首先將本節(jié)點(diǎn)的安全狀態(tài)得分記錄信息通過哈希值加密算法SHA256進(jìn)行哈希運(yùn)算，得到本節(jié)點(diǎn)得分記錄的摘要信息①，然后通過本節(jié)點(diǎn)私鑰（客戶端程序安裝后會為該節(jié)點(diǎn)自動(dòng)生成一個(gè)私鑰）進(jìn)行加密，得到一個(gè)數(shù)字簽名；發(fā)送方客戶端程序?qū)⒌梅钟涗浐蛿?shù)字簽名一同廣播發(fā)送出去。

5、接收方驗(yàn)證

接收方接收到廣播信息后對其進(jìn)行驗(yàn)證。首先將發(fā)送方發(fā)出的得分記錄信息使用同樣的哈希函數(shù)SHA256進(jìn)行計(jì)算，得到摘要信息②，然后接收方使用公鑰對數(shù)字簽名進(jìn)行解密，獲取摘要信息①，最后比對兩個(gè)摘要信息是否相同，如果相同，則證明接收到的得分記錄是發(fā)送方發(fā)出，否則丟棄。

6、安全值區(qū)塊鏈構(gòu)建

接收方驗(yàn)證成功后，即可將發(fā)送方的得分記錄信息進(jìn)行封裝，形成區(qū)塊，并在該區(qū)塊頭部寫入上一個(gè)區(qū)塊的哈希散列值和發(fā)送方節(jié)點(diǎn)設(shè)備編號哈希散列值，這樣一個(gè)新的區(qū)塊完成并且被加入?yún)^(qū)塊鏈（全節(jié)點(diǎn)的驗(yàn)證的區(qū)塊加入完整區(qū)塊鏈，輕節(jié)點(diǎn)驗(yàn)證的區(qū)塊加入?yún)^(qū)塊子鏈中）。如果其他全節(jié)點(diǎn)同時(shí)驗(yàn)證成功一個(gè)區(qū)塊，則會產(chǎn)生分叉。由于分別認(rèn)可兩條分叉區(qū)塊鏈后面的節(jié)點(diǎn)算力不同，所以經(jīng)過一段時(shí)間后，總會產(chǎn)生一長一短兩條鏈，那么擁有較短區(qū)塊鏈的節(jié)點(diǎn)自動(dòng)拋棄當(dāng)前的鏈，把更長的鏈中新的區(qū)塊全部復(fù)制過來，然后在這條鏈的基礎(chǔ)上繼續(xù)驗(yàn)證新的節(jié)點(diǎn)得分記錄信息。

7、節(jié)點(diǎn)得分查詢

基于全節(jié)點(diǎn)中保存的完整區(qū)塊鏈，查分功能可以通過設(shè)備編號查看某一周期內(nèi)各節(jié)點(diǎn)的安全狀態(tài)所得總分情況，根據(jù)得分情況可以對某不符合要求的節(jié)點(diǎn)采取報(bào)警提醒、網(wǎng)絡(luò)切斷等措施。

（四）安裝實(shí)施

每臺終端通過訪問服務(wù)器web服務(wù)下載安裝客戶端程序后，直接安裝即可。安裝完成后客戶端會自動(dòng)生成一個(gè)256位的隨機(jī)數(shù)，該隨機(jī)數(shù)默認(rèn)為該終端或服務(wù)器的私鑰，應(yīng)當(dāng)嚴(yán)格保密，外泄可能會導(dǎo)致客戶端發(fā)出的本地安全狀態(tài)統(tǒng)計(jì)信息被修改。客戶端程序重裝后私鑰會發(fā)生變化，輕節(jié)點(diǎn)無影響，全節(jié)點(diǎn)需要同步完整區(qū)塊鏈記錄和初始化查分功能后方可重新驗(yàn)證區(qū)塊和查分。

四、結(jié)語

本文主要借鑒區(qū)塊鏈共享式存儲、去中心化、數(shù)據(jù)不可篡改等特點(diǎn)，設(shè)計(jì)了一個(gè)基于區(qū)塊鏈的網(wǎng)絡(luò)互聯(lián)安全信任管理方案，通過設(shè)置安全值計(jì)分表規(guī)則，實(shí)施節(jié)點(diǎn)安全運(yùn)行狀態(tài)記錄，并采用秘鑰加密和區(qū)塊鏈的數(shù)據(jù)存儲方式記錄節(jié)點(diǎn)安全運(yùn)行狀態(tài)，達(dá)到數(shù)據(jù)不可篡改、安全事實(shí)客觀可信的目的，從而解決了不同網(wǎng)絡(luò)互聯(lián)后安全管理互不信任的問題。