董嘉成

（杭州電子科技大學(xué)信息工程學(xué)院 浙江 杭州 311305）

0 引言

網(wǎng)絡(luò)安全旨在保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不受外來因素和內(nèi)部因素的破壞、更改、泄露。在信息技術(shù)爆發(fā)式發(fā)展的時(shí)代下，網(wǎng)絡(luò)安全與全球網(wǎng)民休戚相關(guān)，根據(jù)中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示，現(xiàn)如今我國網(wǎng)民總數(shù)超過九億人，保障信息安全顯得尤為重要。區(qū)塊鏈技術(shù)作為最新出現(xiàn)的綜合性信息技術(shù)，有著很大的發(fā)展前景，并且區(qū)塊鏈技術(shù)的發(fā)展，為數(shù)據(jù)保護(hù)、防篡改、保護(hù)隱私信息提供了新思路[1]。

1 網(wǎng)絡(luò)安全問題

信息化時(shí)代背景下，因系統(tǒng)自身的漏洞、病毒及黑客攻擊等因素的影響，使得計(jì)算機(jī)網(wǎng)絡(luò)安全受到了潛在威脅，對網(wǎng)絡(luò)安全沒有足夠重視則會導(dǎo)致數(shù)據(jù)信息泄露、網(wǎng)絡(luò)癱瘓等現(xiàn)象的出現(xiàn)，不僅影響著用戶的體驗(yàn)效果甚至?xí){到個(gè)人信息安全等?，F(xiàn)階段隨著計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛，各層面的網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)迅速增加，其中最常見的是網(wǎng)絡(luò)黑客的入侵。黑客利用各種渠道偽裝木馬、病毒等程序，誘導(dǎo)網(wǎng)絡(luò)用戶點(diǎn)擊鏈接、下載軟件，進(jìn)而控制計(jì)算機(jī)[2]，嚴(yán)重情況下，被黑客掌控計(jì)算機(jī)內(nèi)的信息和隱私數(shù)據(jù)，泄露用戶信息，影響用戶生活。網(wǎng)絡(luò)病毒更會快速進(jìn)行復(fù)制和傳播，導(dǎo)致更多的計(jì)算機(jī)感染病毒。又如基礎(chǔ)設(shè)施被木馬入侵將導(dǎo)致設(shè)施失控、停止服務(wù)甚至造成更大的損失。

除了對網(wǎng)絡(luò)、計(jì)算機(jī)的入侵還有對網(wǎng)絡(luò)服務(wù)器的破壞，最常見的為DDoS 攻擊。DDoS 攻擊通過僵尸網(wǎng)絡(luò)對服務(wù)器發(fā)送垃圾信息、網(wǎng)絡(luò)掃描等方法占用網(wǎng)絡(luò)寬帶資源、降低網(wǎng)絡(luò)運(yùn)行效率，導(dǎo)致普通用戶無法正常訪問。而且一款軟件或多或少帶有漏洞，這些漏洞就是黑客們重點(diǎn)進(jìn)攻目標(biāo)。電腦漏洞被黑客們利用后極有可能會被植入后門甚至間諜程序，對人民和國家造成極大的威脅。

一般來說，數(shù)據(jù)的訪問需要設(shè)置一定的權(quán)限，避免任何人都可以無條件地瀏覽、修改數(shù)據(jù)，導(dǎo)致信息泄露。然而大多數(shù)權(quán)限管理員對權(quán)限管理的工作沒有引起足夠的重視，導(dǎo)致黑客利用權(quán)限漏洞對數(shù)據(jù)進(jìn)行破壞，對數(shù)據(jù)的安全性造成了影響。

2 區(qū)塊鏈核心技術(shù)

區(qū)塊鏈起源于比特幣，最早在《比特幣：一種點(diǎn)對點(diǎn)的電子現(xiàn)金系統(tǒng)》一文，闡述了基于P2P 網(wǎng)絡(luò)技術(shù)、非對稱加密技術(shù)、時(shí)間戳技術(shù)、區(qū)塊鏈技術(shù)等電子現(xiàn)金系統(tǒng)的構(gòu)架理念。文章發(fā)表兩個(gè)月后第一個(gè)創(chuàng)世區(qū)塊誕生，幾天后出現(xiàn)新的區(qū)塊與前一個(gè)區(qū)塊相連接形成了鏈，標(biāo)志著區(qū)塊鏈的誕生。區(qū)塊鏈技術(shù)是一種新型的分布式基礎(chǔ)數(shù)據(jù)庫架構(gòu)，它利用加密鏈?zhǔn)絽^(qū)塊結(jié)構(gòu)來驗(yàn)證與存儲數(shù)據(jù)，利用分布式節(jié)點(diǎn)以及共識算法來生成和更新數(shù)據(jù)，利用自動化腳本代碼（即智能合約）來編程和操作數(shù)據(jù)[3]。區(qū)塊鏈技術(shù)具有以下幾個(gè)核心技術(shù)。

2.1 分布式賬本

分布式賬本是指由不同位置的多個(gè)節(jié)點(diǎn)注冊的交易，幾乎所有的節(jié)點(diǎn)都要參與，每個(gè)節(jié)點(diǎn)記錄一個(gè)完整的賬戶，即使其中少量節(jié)點(diǎn)出現(xiàn)問題，賬戶仍然不會被篡改，且監(jiān)控交易具有合法性，也可以共同為它們作證[4]。與傳統(tǒng)分布式存儲不同，區(qū)塊鏈分布式存儲的獨(dú)特性主要有兩個(gè)方面：（1）區(qū)塊鏈的每個(gè)節(jié)點(diǎn)按照區(qū)塊鏈結(jié)構(gòu)存儲所有數(shù)據(jù)，建立新的區(qū)塊需要將舊的區(qū)塊信息全部備份后加入新的信息、數(shù)據(jù)。在傳統(tǒng)的分布式存儲中，計(jì)算機(jī)把數(shù)據(jù)按照一定的規(guī)則分成多個(gè)部分進(jìn)行存儲。（2）區(qū)塊鏈的每個(gè)節(jié)點(diǎn)存儲都是獨(dú)立的，具有相同的地位，依靠共識機(jī)制來保證存儲的一致性，而傳統(tǒng)的分布式存儲一般通過中心節(jié)點(diǎn)將數(shù)據(jù)同步到其他備份節(jié)點(diǎn)。沒有單個(gè)節(jié)點(diǎn)可以單獨(dú)記錄賬簿數(shù)據(jù)，從而避免了單個(gè)簿記員被控制或賄賂篡改賬簿的可能性。也因?yàn)橛凶銐蚨嗟挠涃~節(jié)點(diǎn)，理論上來說，除非所有節(jié)點(diǎn)都被銷毀，否則賬戶不會丟失，從而保證了賬戶數(shù)據(jù)的安全[4]。在網(wǎng)絡(luò)安全的應(yīng)用中，主要利用了分布式賬本的不可變/可信記錄。賬本中的每條記錄都有一個(gè)時(shí)間戳和一個(gè)唯一的數(shù)字簽名，這使得賬本成為網(wǎng)絡(luò)中所有交易的可審計(jì)歷史記錄。黑客對記錄進(jìn)行修改會破壞時(shí)間戳，并且無法進(jìn)行正確的簽名，使得系統(tǒng)安全員更容易排除問題。

2.2 非對稱加密

在區(qū)塊鏈系統(tǒng)中，加密技術(shù)是保證交易信息安全的基礎(chǔ)。非對稱加密算法使用公鑰（public key）和私鑰（private key）來解決區(qū)塊鏈網(wǎng)絡(luò)中用戶信息的安全問題。如果用公鑰對數(shù)據(jù)進(jìn)行加密，那么只有對應(yīng)的私鑰可以進(jìn)行解密。如果用私鑰對數(shù)據(jù)加密，只能用對應(yīng)的公鑰進(jìn)行解密。因?yàn)榧用芎徒饷苡玫氖遣煌拿荑€，所以稱之為非對稱加密。公鑰和私鑰同時(shí)生成，每個(gè)人都可以使用公鑰對信息進(jìn)行加密，確保信息的真實(shí)性；私鑰是嚴(yán)格保密的，只有信息的所有者才能使用相應(yīng)的私鑰對信息進(jìn)行解密，這樣就不用像對稱加密一樣傳輸對方的密鑰，提高了安全性。公鑰由私鑰通過特殊的加密算法生成，交易信息中必須要有正確的數(shù)字簽名才能進(jìn)行，否則交易不能成立，因此用來判斷交易是否有效。

在區(qū)塊鏈的加密技術(shù)中，先產(chǎn)生私鑰，私鑰通過不可逆的函數(shù)橢圓曲線算法來產(chǎn)生公鑰，公鑰經(jīng)過一系列不可逆的運(yùn)算對明文進(jìn)行加密。公鑰用于接收明文并加密，私鑰用于生成其對應(yīng)的簽名，以唯一確定這些信息的所有權(quán)。私鑰持有者才是信息的擁有者。

2.3 共識機(jī)制

結(jié)合當(dāng)前的形勢變化，區(qū)塊鏈系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用過程中，為了實(shí)現(xiàn)對虛假信息的有效識別，需要考慮共識機(jī)制的應(yīng)用。共識機(jī)制是所有記賬節(jié)點(diǎn)如何達(dá)成共識來確定記錄的有效性。它不僅是一種身份識別手段，也是一種防止篡改和消除欺詐可能性的手段。在共識機(jī)制的作用下，可實(shí)現(xiàn)對少數(shù)惡意節(jié)點(diǎn)的有效處理，從而獲得良好的成效，增強(qiáng)網(wǎng)絡(luò)運(yùn)行安全性。因此，區(qū)塊鏈網(wǎng)絡(luò)規(guī)模越大越不容易受到惡意的攻擊。區(qū)塊鏈提出了適用于不同應(yīng)用場景的4 種不同的共識機(jī)制，包括權(quán)益證明機(jī)制（PoS）、股份授權(quán)證明機(jī)制（DPoS）、工作量證明機(jī)制（PoW）以及分布式一致算法等，在效率和安全性之間取得了平衡，能夠以工作量及權(quán)益證明等不同的形式，維護(hù)好系統(tǒng)網(wǎng)絡(luò)運(yùn)行安全，使得區(qū)塊鏈網(wǎng)絡(luò)能夠處于良好的工作狀態(tài)。

2.4 智能合約

智能合約被認(rèn)為是以數(shù)字定義的并能自動執(zhí)行的條約，在區(qū)塊鏈中智能合約是一種計(jì)算機(jī)程序，它基于預(yù)先確定的事件自動執(zhí)行程序。智能合約基于這些可信任、未篡改的數(shù)據(jù)，自動執(zhí)行預(yù)定的行為。智能合約本質(zhì)上是自動化腳本代碼即算法以及底層的業(yè)務(wù)邏輯同時(shí)發(fā)揮作用，可以根據(jù)預(yù)先編寫好的代碼執(zhí)行特定的程序，即滿足智能合約的特定條款程序?qū)⒆詣訄?zhí)行，無需人為操作。智能合約擁有非常多的優(yōu)點(diǎn)：準(zhǔn)確執(zhí)行、高效實(shí)時(shí)更新、較低的人為干預(yù)風(fēng)險(xiǎn)、去中心化的權(quán)威以及低成本。在區(qū)塊鏈網(wǎng)絡(luò)運(yùn)行過程中，智能合約實(shí)際作用的發(fā)揮也能使網(wǎng)絡(luò)應(yīng)用更具安全性，它為數(shù)據(jù)層的數(shù)據(jù)賦予了可靈活編程的機(jī)會，降低了實(shí)現(xiàn)業(yè)務(wù)的難度。

3 區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全保護(hù)中的應(yīng)用

了解區(qū)塊鏈技術(shù)后，分析網(wǎng)絡(luò)安全存在的威脅，可以將區(qū)塊鏈技術(shù)應(yīng)用到維護(hù)網(wǎng)絡(luò)數(shù)據(jù)、確保服務(wù)器安全等領(lǐng)域。

3.1 保護(hù)數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改

數(shù)據(jù)的完整性指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。在數(shù)據(jù)存儲中，采用區(qū)塊鏈技術(shù)之一的分布式賬本技術(shù)，讓各個(gè)節(jié)點(diǎn)存儲所有的數(shù)據(jù)，并依靠共識機(jī)制來保證數(shù)據(jù)的一致性。每個(gè)節(jié)點(diǎn)參與監(jiān)督數(shù)據(jù)的存儲過程，保證了存儲的數(shù)據(jù)不會被黑客篡改。因?yàn)槊總€(gè)節(jié)點(diǎn)都不能單獨(dú)記錄賬本數(shù)據(jù)，因此能夠避免單一節(jié)點(diǎn)被惡意控制。采用區(qū)塊鏈技術(shù)后，數(shù)據(jù)的存儲采用單一鏈?zhǔn)浇Y(jié)構(gòu)，想要修改某個(gè)區(qū)塊內(nèi)容，必須將所有區(qū)塊的指針改變，保證數(shù)據(jù)無法被任意更改[5]。而由于采用的是分布式存儲，每個(gè)節(jié)點(diǎn)都保存有一份數(shù)據(jù)副本，避免了集中化存儲的單點(diǎn)故障問題。而區(qū)塊鏈的共識機(jī)制可以應(yīng)用到數(shù)據(jù)的驗(yàn)證中，共識機(jī)制增加了惡意攻擊的成本，惡意攻擊想要篡改數(shù)據(jù)就要對全部節(jié)點(diǎn)發(fā)起攻擊，只要區(qū)塊鏈網(wǎng)絡(luò)規(guī)模超過黑客即可防止數(shù)據(jù)被篡改。另外，非對稱加密可以對信息摘要進(jìn)行加密，即進(jìn)行數(shù)字簽名，信息擁有者利用私鑰對產(chǎn)生的信息摘要進(jìn)行加密獲得簽名，簽名附在信息原文后面表明信息沒有收到偽造，如同手寫簽名一樣具有不可抵賴性。

3.2 保護(hù)隱私信息，避免數(shù)據(jù)泄露

在網(wǎng)絡(luò)中，用戶的隱私信息非常重要，有許多黑客入侵互聯(lián)網(wǎng)企業(yè)服務(wù)器，通常會將其用戶信息掃描下載，用來威脅被入侵企業(yè)。比如2019 年Facebook 信息泄露事件，近5.33 億賬戶信息被盜，影響巨大。黑客甚至?xí)⒁恍┟舾行畔⒃诎稻W(wǎng)上出售，因此更加安全的加密算法顯得極其重要。而將區(qū)塊鏈的非對稱加密技術(shù)應(yīng)用到數(shù)據(jù)存儲中，將用戶的數(shù)據(jù)進(jìn)行加密，即便黑客拿到了敏感數(shù)據(jù)也無法對其解密。因?yàn)槭招耪呤俏ㄒ荒軌蚪忾_加密信息的人，收信者手中掌握著私鑰，利用對應(yīng)的公鑰加密的信息只能用此密鑰解密。將非對稱加密應(yīng)用到數(shù)據(jù)存儲的過程中，那么可以使得數(shù)據(jù)無法被非法獲取以及解密。

或者構(gòu)建聯(lián)盟鏈，只有可信的聯(lián)盟成員可以加入聯(lián)盟鏈網(wǎng)絡(luò)，未通過可信審計(jì)的成員無法加入網(wǎng)絡(luò)，斷絕了黑客通過外部途徑進(jìn)行入侵的可能。

3.3 自我審計(jì)防護(hù)

一般服務(wù)器都會有日志（log）文件，安全人員根據(jù)檢查日志中記錄的操作來確定是否有黑客入侵服務(wù)器，但是大部分黑客入侵服務(wù)器獲取權(quán)限后會將日志文件修改或者刪除，導(dǎo)致安全人員無法及時(shí)確認(rèn)服務(wù)器被入侵。為了能夠及時(shí)判斷，可以將區(qū)塊鏈的智能合約技術(shù)應(yīng)用到日志的審查中，通過提前編寫好自動化審查腳本，讓系統(tǒng)無時(shí)無刻都在執(zhí)行日志審查工作。一旦檢查出日志被改動、刪除，及時(shí)向安全人員發(fā)送警告，提高了系統(tǒng)對外防御的性能。除了對日志文件的審查，也可以編寫程序?qū)Ψ阑饓M(jìn)行自動化智能識別惡意攻擊。

3.4 抵抗DDoS，減輕服務(wù)器壓力

DDoS 攻擊指分布式拒絕服務(wù)攻擊，通過聯(lián)合不同的計(jì)算機(jī)對服務(wù)器發(fā)動拒絕服務(wù)攻擊，使得正常用戶無法正常訪問網(wǎng)站。隨著信息技術(shù)的發(fā)展，黑客們擁有龐大的僵尸網(wǎng)絡(luò)，使得抵抗DDoS 的代價(jià)增加。應(yīng)用區(qū)塊鏈技術(shù)將DNS服務(wù)器分布式設(shè)計(jì)存儲點(diǎn)不僅可以有效應(yīng)對，還可以利用集體社區(qū)的方法應(yīng)對DDoS 攻擊[5]。將DNS 服務(wù)器分布式存儲可以減輕單個(gè)DNS 服務(wù)器壓力，給安全人員足夠的時(shí)間進(jìn)行反應(yīng)和攔截。另外，可以部署智能合約對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)問題流量就進(jìn)行溯源和封鎖，確保傳輸?shù)臄?shù)據(jù)沒有被篡改。同時(shí)可以監(jiān)控軟件的狀態(tài)和完整性，及時(shí)發(fā)現(xiàn)惡意篡改。

3.5 防范來自內(nèi)部或外部的攻擊

區(qū)塊鏈擁有不同的類型，不同類型具有不同的效果。其中私有鏈能夠有效保護(hù)企業(yè)內(nèi)部私有應(yīng)用，例如數(shù)據(jù)庫的管理和審計(jì)。私有鏈在特有組織內(nèi)部采用，按照組織私人制定的策略組規(guī)定用戶的讀、寫權(quán)限和記賬權(quán)限。私有鏈網(wǎng)絡(luò)采用私有組織個(gè)體管理，信息不對外開放，僅有內(nèi)部成員可以訪問，可以防范來自外部甚至內(nèi)部對數(shù)據(jù)的攻擊。

4 區(qū)塊鏈技術(shù)應(yīng)用中存在的問題及應(yīng)對方法

4.1 存在的問題

將區(qū)塊鏈技術(shù)應(yīng)用到網(wǎng)絡(luò)安全管理中，能夠提高網(wǎng)絡(luò)的安全性，但是區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用仍然存在一定問題。

（1）在技術(shù)層中，區(qū)塊鏈沒有突破性進(jìn)展與成果，并且區(qū)塊鏈技術(shù)具有一定的門檻，區(qū)塊鏈應(yīng)用尚且在實(shí)驗(yàn)室開發(fā)階段，缺少實(shí)踐中的應(yīng)用，還需要繼續(xù)探索方向。再有區(qū)塊容量問題有待解決，由于區(qū)塊鏈需要復(fù)制之前區(qū)塊產(chǎn)生的全部信息，下一個(gè)區(qū)塊信息量要大于之前區(qū)塊信息量，這樣傳遞下去，區(qū)塊寫入信息會無限增大，會帶來信息存儲、驗(yàn)證、容量等問題。

（2）受現(xiàn)行制度、觀念約束。區(qū)塊鏈的去中心化淡化了監(jiān)管的地位、對數(shù)據(jù)維護(hù)等有著較大的沖擊，現(xiàn)行社會缺少對去中心化制度的討論，即使是技術(shù)成熟的比特幣技術(shù)，不同國家也有著不同的態(tài)度。

（3）應(yīng)用標(biāo)準(zhǔn)問題。數(shù)據(jù)庫有數(shù)據(jù)庫的統(tǒng)一標(biāo)準(zhǔn)，網(wǎng)絡(luò)通信也有統(tǒng)一標(biāo)準(zhǔn)，才使得數(shù)據(jù)交互有規(guī)律可依，而區(qū)塊鏈并沒有統(tǒng)一的應(yīng)用標(biāo)準(zhǔn)，難以實(shí)現(xiàn)大規(guī)模推廣與應(yīng)用。

（4）可擴(kuò)展性差、確認(rèn)交易時(shí)間長、算力需求大，很難在規(guī)模、容錯(cuò)性、性能三者間進(jìn)行平衡。

（5）競爭激烈。實(shí)現(xiàn)安全性的技術(shù)有很多種，哪種技術(shù)更高效、更方便，人們就會使用該技術(shù)。除了區(qū)塊鏈技術(shù)，其他技術(shù)如量子通訊同樣可以對信息進(jìn)行安全的傳播。

4.2 應(yīng)對方法

根據(jù)當(dāng)前情況來判斷，應(yīng)對方法有以下幾種。

（1）推廣區(qū)塊鏈技術(shù)，讓更多的人了解區(qū)塊鏈技術(shù)，鼓勵(lì)研究區(qū)塊鏈核心技術(shù)，將尚在開發(fā)階段的應(yīng)用推廣出去。降低門檻讓更多的人加入?yún)^(qū)塊鏈技術(shù)的開發(fā)、研究，提升競爭力。

（2）解決信息存儲容量大小問題，研究更先進(jìn)的信息存儲技術(shù)，提高硬盤存儲速度與容量，優(yōu)化信息驗(yàn)證算法、框架，提高驗(yàn)證速度。

（3）盡快建立區(qū)塊鏈技術(shù)應(yīng)用統(tǒng)一標(biāo)準(zhǔn)，規(guī)范區(qū)塊鏈技術(shù)應(yīng)用。可以成立開放式社區(qū)，吸引更多的區(qū)塊鏈新手加入社區(qū)。

5 結(jié)語

綜上所述，通過對區(qū)塊鏈技術(shù)應(yīng)用的思考，有利于增強(qiáng)網(wǎng)絡(luò)安全保護(hù)效果，豐富其保護(hù)目標(biāo)實(shí)現(xiàn)過程中的技術(shù)內(nèi)涵，促使系統(tǒng)網(wǎng)絡(luò)安全性能更加可靠，為用戶提供優(yōu)質(zhì)的信息服務(wù)。與此同時(shí)，隨著網(wǎng)絡(luò)技術(shù)的深入，區(qū)塊鏈技術(shù)的綜合應(yīng)用也將實(shí)現(xiàn)更高層次的網(wǎng)絡(luò)信息安全保障，更好地完善網(wǎng)絡(luò)安全、信息安全。區(qū)塊鏈技術(shù)顛覆了傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的假設(shè)，為網(wǎng)絡(luò)安全提供了全新的防護(hù)思路。但是區(qū)塊鏈技術(shù)仍在發(fā)展中，仍然面臨著各種問題，需要對區(qū)塊鏈進(jìn)行探索、研究。