區塊鏈技術在信息安全領域應用思考

王利濤　邢宇航

摘??????? 要：隨著區塊鏈技術的推廣應用，其去中心化、不可篡改、可追溯、高可信和高可用等特性對信息安全產生了重大影響。本文在 分析區塊鏈技術特點基礎上，剖析了區塊鏈技術在信息安全領域的應 用及其安全性問題，為公開信道保證信息安全提供了新的思路和方法。

關鍵詞：區塊鏈技術;信息安全;分布式;加密算法

1.引言

區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型應用模式，是一種全新的分布式基礎架構，具有去中心化、不可篡改、可追溯、高可信和高可用等特性?；趨^塊鏈技術，可以利用區塊鏈數據結構來驗證與存儲數據，利用共識算法來生成和更新數據，利用密碼學保證數據傳輸和訪問的安全，利用由自動執行的智能合約來兌現以數字形式定義的承諾與合約。

大數據時代的今天，信息安全應用和服務主要包括保密性、完整性、身份驗證、訪問控制以及信息溯源等。保密性保證了數據不能被未經授權的用戶讀取;完整性有助于驗證數據沒有被修改或更改;身份驗證確保用戶是其所聲稱的人;訪問控制為用戶提供了控制誰可以訪問其數據的能力;信息溯源允許在網絡上高效地跟蹤數據和資源及其所有權和使利用情況。這些安全應用和服務對于傳輸的信息業務很重要，對于當前分布式的網絡環境更是至關重要，特別是在網絡上大量數據處理以及云計算方面。

上述安全應用和服務目前由一個集中控制器來管理，例如證書中心（CA），這樣的集中控制器容易受到關注和攻擊，從而造成更多的安全危害。區塊鏈是一個安全的、共享的和分布式的分類賬本系統，可用于記錄和跟蹤資源的過程，而不需要集中的可信權威。它允許雙方在對等網絡中交流和交換資源，在這種網絡中，分布式決策是由多數而不是由單一的集中式權威機構作出的，因此可利用區塊鏈技術可以幫助解決中心化的許多安全問題。下面針對已經出現的一些基于區塊鏈的安全應用與服務進行分析，并思考其應用于信息安全領域的一般規律和基本特點。

區塊鏈在具體應用的過程中根據參與實體的不同可以分類為私有鏈、公有鏈以及聯盟鏈。其中私有鏈的參與方通常都屬于一個組織;公有鏈的參與方則是任何實體;聯盟鏈的參與方則是加人聯盟的成員。目前取得廣泛應用的區塊鏈類型都屬于公有鏈或聯盟鏈，這兩類區塊鏈作為一個分布式可信賬本都涉及不同利益體之間的交互，主要用于解決不同利益體之間的信任問題，或者作為一個第三方可信平臺用來解決用戶對平臺的信任問題。因此，區塊鏈主要在涉及多個平等利益體交互的場景，或者需要引人可信第三方的場景中發揮作用

2.區塊鏈的信息安全應用

2.1基于區塊鏈的 PKI

加密和身份認證是任何網絡系統中必須提供的兩個最重要的安全服務。通常，可以使用公鑰加密實現這些服務。公鑰加密技術要求實體具有私有和公共信息，需要基礎設施來創建、撤消、管理、分發、使用和存儲所生成的密鑰等信息，也就是公鑰基礎設施（PKI）。

采用傳統 PKI 技術時，CA 機構依據證書用戶提交的申請信息（主要包括設備公鑰、設備標識等），基于對證書用戶的信任（如根據聯系人、公文函等確立信任關系）簽發證書，在使用時，證書依賴方（即需要驗證證書狀態的認證方） 需要向集中式 CA 進行查詢。

區塊鏈技術的分布式、事件記錄和不可重現功能使其成為多種應用程序的理想技術。特別是，這些屬性證明了區塊鏈適用于 PKI 和域名服務?；趨^塊鏈的PKI 解決方案是分布式的，沒有集中的故障點。信任是基于對礦工的多數票，因此，沒有單個受信任的第三方，不需要系統中的先前信任度。更重要的是，區塊鏈技術具有多種開源實現，有助于構建低成本和高效率的解決方案。

基于區塊鏈的 PKI 系統具有去中心化信任的特點，在設備商、運營商之間建立信任關系，證書發放方式變為自動化、分布式實現，由設備自行簽發證書、由授權節點驗證和寫入證書。在證書使用時，基于區塊鏈的 PKI 系統中，證書依賴方可以向多個節點的任何一個進行查詢。在基于區塊鏈的 PKI 系統中，證書用戶可自行生成自簽名數字證書并提交給區塊鏈系統。通過驗證和共識之后，該數字證書就可以記錄到區塊鏈系統中。在證書使用過程中（例如 TLS、IPSec 等安全協議），證書用戶需要將證書提交給認證方，認證方接收到證書后，通過區塊鏈系統檢查證書的正確性和有效性。

2.2數據的完整性保護

技術是需要不斷發展與創新的。與傳統網絡安全技術相比，區塊鏈技術有著自身的獨特性，并不依靠加密技術和信任機制，而是使用共識機制和反向鏈接數據機制進行工作。在保證存儲數據的完整和有效性方面，區塊鏈技術發揮著更加重要的作用。

區塊鏈技術的工作機理采用監視的方式，監視區域內的所有網絡數據行為，這樣有利于其分析數據，清除虛假數據，同時還可以有效的控制攻擊區塊鏈數據的行為。

2.3訪問控制應用

區塊鏈具有分布式、交易透明、難以篡改的特點以及無須第三方背書的可信機制，與大數據環境下訪問控制需要解決的分布式部署、審計機制、信任機制的需求不謀而合，區塊鏈技術與訪問控制技術結合有以下優勢。

（1）策略和權限可信任。由于區塊鏈難以篡改的特點，訪問權限數據以及部署的智能合約在經過共識機制存儲到區塊之后將無法刪除和更改，這避免了針對性的權限篡改、刪除等惡意攻擊，為權限管理機制提供了安全保障。

（2）策略和權限可核查。區塊鏈上的數據公開可查詢，這在多方信息共享系統中有著重要作用。策略的透明建立起了參與方對系統安全的信任，避免“后門”問題。權限透明且難以篡改，使通信雙方可以在無須第三方背書的情況下建立起信任機制，簡化了交易流程，降低了信任成本。

（3）分布式賬本。區塊鏈去中心化的思想與大數據時代的分布式環境相符合，區塊鏈中的 P2P 網絡、共識算法和分布式數據庫等機制適合應用于分布式架構的系統。同時區塊鏈中的賬本分布式地存儲各個節點上，增強了系統的健壯性，網絡中部分節點出現故障不會影響系統的運行或者造成數據的丟失，也避免了集中式管理帶來的針對性攻擊問題。

（4）訪問策略自動化實現。用戶可以根據需求，自定義智能合約并將其部署在區塊鏈上，當有訪問請求時，系統會根據智能合約的邏輯策并依據請求者的屬性、角色等信息自動化判決，且無人工干預。

（5）細粒度訪問控制。用戶個人數據的訪問權限可以通過主體?客體對的形式存儲在區塊鏈上，具備對用戶數據進行細粒度劃分的能力，訪問者被局限在規定的訪問邊界內，防止了服務商對用戶數據的過度收集。鏈上的信息公開、客體的所有權明確，方便服務商直接對主權方發出請求，同時服務商的操作信息能夠以只增不減的方式記錄在區塊鏈上，越權訪問、泄露數據等行為能夠經過日志分析發現，實現安全、透明、高效的數據資源共享。

（6）數據流通可溯源。現有的針對區塊鏈溯源的研究，主要是面對商品或代幣的全周期追蹤記錄?？梢越梃b這種思想，將用戶的數據看作商品，利用鏈上訪問權限和鏈下的訪問日志，結合時間戳和簽名信息，分析用戶數據的全周期流通過程，掌握數據的演變歷程，從而溯源越權訪問等違規操作。

3.區塊鏈安全應用分析

基于區塊鏈的信息安全技術，其主要采用的是分布自治的數據管理體系。在這個體系中，每一個節點都發揮著自己的作用，同時每一個節點都可以進行安全防護，節點具有很強的獨立性，可以按照相關要求進行獨立操作。面對一些網絡的惡意攻擊行為，這些節點也能夠步步為營，抵御相關攻擊。區塊鏈技術是十分強大的，不止在安全的網絡環境，在非安全的網絡環境下，區塊鏈也能阻斷內外部的威脅，從而保證網絡空間安全。

區塊鏈安全技術具有較少的局限性，具有較強的可拓展性，可以與其他的安全技術進行結合，構建更加安全的網絡環境。同時，通過融合相關技術，可以更好滿足各行業的網絡需求，從而促進信息安全機制的構建與完善。不可否認的是，區塊鏈技術的優勢是十分突出的，同時因為這個優勢，導致了在開放式網絡環境下，區塊鏈技術是十分受重視的。將其運用在網絡中，使其成為網絡空間安全的基礎性知識，從而促進開放網絡環境的安全發展。

區塊鏈解決了傳統網絡安全的一些重要缺陷問題，通過分布式節點的參與，大大降低了人為因素造成的影響，而人為因素通常是最薄弱的環節。通過使用區塊鏈技術，可以消除單點故障的風險，區塊鏈技術提供了端到端的隱私和加密，同時確保用戶的便利。

區塊鏈技術將會幫助我們保護個人、公司和政府，甚至可以作為網絡安全的屏障。比特幣的應用已經表明了區塊鏈的巨大潛力，區塊鏈技術在可擴展性和互操作性方面仍有很大的發展空間，而融合了區塊鏈技術的網絡安全領域，仍有非常多的應用場景有待發掘。

4.結論

在保密性、完整性和可用性三要素中，區塊鏈在確保完整性和可用性方面天然具有某種優勢，但在確保機密性方面尚存在較大挑戰。同時在分析研究中也可以發現，區塊鏈并沒有取代傳統信息安全技術的趨勢，而只是提供了一種解決傳輸安全問題的新的思路和方法，即利用其無中心和分布式的特點，解決物聯網、無中心應用等新的場景的中許多安全問題。

作者簡介：

邢宇航，1979.8，男，河南南陽，博士研究生，副教授，研究方向：信息安全。

王利濤，1983.3男，河南許昌，博士研究生，講師，研究方向：信息安全。