2019年3月5日,跨国计算机巨头IBM公司提交了两项新的区块链专利申请,一项专利是IBM目前正寻求通过区块链技术维护网络安全,另一项专利则专注于使用该技术的数据库管理功能。从网络安全的角度来讲,近几年,各个领域都成为黑客攻击的重点。同时,各国也都在重视区块链技术在网络安全中的运用,仅仅2018年,75%的CEO和董事会成员都将网络安全和技术收购视为他们的首要任务。除了商界巨头之外,不少平民大众也在考虑采用基于区块链的网络安全解决方案。
一、各国尝试将区块链技术用于网络安全领域
在经历了区块链技术的概念爆发期和炒作期之后,全球对区块链技术的关注程度仍然居高不下,世界各主要国家和地区竞相布局区块链发展和应用探索,以美国、加拿大、以色列为代表,各国积极鼓励探索区块链技术在网络安全领域的应用,并逐渐显现成效。
(一)美国
2018年,美国国会发布《2018年联合经济报告》,提出区块链技术可以作为打击网络犯罪和保护国家经济和基础设施的潜在工具,指出这一领域的应用应成为立法者和监管者的首要任务。美国DARPA也正在大力投资区块链项目,旨在安全储存国防部内部高度机密项目数据。2017年,总统特朗普签署了一份7000亿美元的军费开支法案,其中包括授权一项区块链安全性研究,呼吁“调查区块链技术和其他分布式数据库技术的潜在攻击和防御网络应用”,支持美国DHS开展的加密货币跟踪、取证和分析工具开发项目。
(二)俄罗斯
2018年,俄罗斯军方用区块链技术加强国防网络安全。俄罗斯联邦国防部在ERA技术园区建立一个独特的研究实验室,以开发区块链技术,并将技术应用于加强网络安全和打击针对关键信息基础设施的网络攻击。专家认为,区块链将帮助军队追踪黑客攻击的来源,并提高其数据库的安全性。
(三)以色列
2018年10月,以色列证券管理局已经开始使用区块链技术来改善网络安全,以及应对网络安全挑战问题。据称,这款区块链软件系统是由信息公司塔尔多历时3个月开发出来的。此次,据以色列证券管理局表示,将区块链技术植入一个名为Yael的系统,政府机构就可以利用该系统向其管辖的机构发送消息和下达通知。不仅仅是当前这个应用,以色列证券管理局还表示,在不远的未来,还会有两个系统也将嵌入区块链技术。一个是在线投票系统,运用了区块链技术,这个系统就可以让投资者在任何地方参与会议;二是麦格纳系统,其用于管理局监管下的机构记录所有报告。以色列证券管理局方面认为,利用区块链技术无法篡改的优势,防止信息被编辑或删除,可以让传递给监管机构的信息多一层保护,以防信息泄露,增加了信息传递的可信度。不仅如此,只要信息上链了,区块链技术就可以查看信息在传送过程中的具体情形,以便验证其真实性。
二、区块链技术网络安全领域应用浅析
从改善数据完整性和数字身份到防护物联网设备安全以防止拒绝服务攻击,区块链在网络安全领域应用潜力很大。事实上,区块链在机密性、完整性和可用性这三个方面都能有所作为,可提高系统弹性,改善加密、审计,提高透明度。近几年,国外区块链技术网络安全领域相关实践应用也在蓬勃发展。
表1 区块链技术在网络安全领域的典型应用
作为网络时代的新一轮变革力量,区块链作为一种全新的信息存储、传播和管理机制,通过让用户共同参与数据的计算和存储,并互相验证数据的真实性,以“去中心”和“去信任”的方式实现数据和价值的可靠转移。目前,区块链技术应用以网络安全领域为典型代表,向社会诸多领域逐渐扩展延伸,得到了普遍的关注和全球性的探索。
区块链技术在与现有技术结合催生新业态、新模式的同时,区块链技术发展和网络安全领域的深入应用仍需要漫长的整合过程,其核心机制、应用场景中存在的潜在网络风险也给技术应用和现有网络安全监管政策带来新的挑战。因此,我们理性看待区块链的技术优势和网络安全领域应用的同时,要强化应对潜在网络安全风险已成为保障区块链技术的健康、有序发展的当务之急。
随着网络攻击的复杂性和网络功能的多样化,传统的入侵检测技术存在误报率高、适应性差和检测率低的问题。因此,我们需要研究新的入侵检测技术来提高入侵检测系统的安全检测能力。近年来,深度学习[1] 在图像识别、语音识别、自然语言处理等方面取得了惊人的成绩。深度学习技术在处理复杂的大规模数据方面具有出色的性能,这也为处理多特征入侵数据带来了新的思路。深度学习在网络入侵检测领域的灵活应用可以有效提高检测率,降低误报率和漏报率。
三、区块链技术面临网络安全威胁
区块链不是万能的,不可迷信更不能神话区块链技术。随着大数据、物联网、人工智能等新技术的广泛应用,不断出现的数据泄露和信息安全事件也给个人隐私保护、企业安全生产、社会公共服务等带来新的挑战。基于分布式账本技术的区块链,在确保数据安全和信息完整性方面具有天然的优势,而被很多人给予“厚望”。
然而,区块链并非万灵药,从技术复杂度和系统数量到其实现,区块链都不能保证100%安全。交易速率上的限制,还有关于信息是否应保存在区块链中的争论,都是该技术在网络安全应用方面的顾虑。
目前区块链技术本身仍存在一些网络安全风险,应用过程中可能会引发一定的安全问题。近年来,区块链网络安全事件频发造成重大经济损失。据统计,自2011年到2018年10月,全球范围内因区块链网络安全事件造成的损失近36亿美元。可见,区块链网络安全问题不容忽视。基于业界已有研究报告,将区块链面临的网络风险与挑战分为六大方面:基础设施安全、密码算法安全、协议安全、实现安全、使用安全和系统安全。
(一)基础设施安全
区块链的发展,基础设施是关键。区块链的基础设施主要包括交换机和路由器等网络资源、硬盘和云盘等存储资源以及CPU和图形处理器(GPU)等计算资源。当前面临的主要有物理安全风险、以及数据丢失和泄露等安全风险。
物理安全风险主要指区块链存储设备自身以及所处环境的安全风险,如LevelDB、Redis 等数据库中可能存在未及时修复的安全漏洞,导致未经授权的区块链存储设备访问和入侵,或者存放存储设备的物理运行、访问环境中存在的安全风险。
数据丢失和泄露主要针对区块数据和数据文件的窃取、破坏,或因误操作、系统故障、管理不善等问题导致的数据丢失和泄露,线上和线下数据存储的一致性问题等。例如,EOS的IO节点可通过原生插件,将不可逆的交易历史数据同步到外部数据库中,外联数据库数据为开发者和用户提供了便利的同时,也可能引发更多的数据丢失和泄露风险。
(二)密码算法安全
区块链使用了大量密码算法以保证安全性。但现有的一些密码算法存在一定缺陷,使用有缺陷的密码算法会大大影响安全性。另外,随着量子技术的发展,使用不能够抵抗量子攻击的密码算法都有较大风险。目前密码货币的算法是相对安全的,但是随着数学、密码学和计算技术的发展会变得越来越脆弱,况且区块链中的密码算法在使用过程中也存在问题。另外,量子计算对现有公钥密码带来的影响是颠覆性的,2017年IBM宣布成功搭建和测试了两种新机器。当然,算法方面也曾出现过随机数漏洞事件,比如2014年12月,blockchain.info爆出随机数问题。
(三)协议安全
区块链是一个新的协议层,是一项去中心化的协议,分布在Web2.0之上,支持点对点传输,基于分布式的特性,无需任何中介,美国人都可以直接发送和存储数据和参与金融交易。协议安全主要指共识机制、P2P网络等存在的安全隐患,主要面临共识算法漏洞、流量攻击以及恶意节点等威胁。
(四)实现安全
智能合约运行环境的安全性是区块链安全的关键环节,智能合约起步较晚,其风险主要来源于代码实现中的安全漏洞。目前,部分区块链项目会设计并使用自己的虚拟机环境,如以太坊的EVM,而Hyper Ledger Fabric等则直接使用成熟的Docker等技术作为智能合约的处理环境,一旦在运行环境中存在虚拟机自身安全漏洞,或验证、控制等机制不完善等,攻击者可通过部署恶意智能合约代码,扰乱正常业务秩序,消耗整个系统中的网络、存储和计算资源,进而引发各类安全威胁。
(五)使用安全
主要指使用的智能合约、数字钱包、交易所以及应用软件等存在的安全问题。另外,区块链应用所在服务器上的恶意软件、系统的安全漏洞等都可能成为攻击者攻破区块链应用的脆弱点。目前存在以下问题,比如私钥托管容易造成监守自盗以及黑客盗取;区块链钱包的口令存在被恢复的危险;私钥一旦丢失,便无法对账户的资产做任何操作。最重要的是所有的数字货币系统都会遭到黑客攻击,比如2017年12月,朝鲜黑客攻击了韩国加密货币交易所,导致价值76亿韩元(约合699万美元)的加密货币被盗。
(六)系统安全
上述基础设施、密码算法、协议、实现、使用安全漏洞与黑客攻击结合,可使区块链受到致命打击。社会工程学手段与传统攻击方法结合使区块链变得更加脆弱,有组织的攻击行为将对区块链安全造成极大危害。综合运用算法/协议/使用/实现漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击,会对密码系统造成极大的危害。
四、安全性威胁应对建议
(一)集中力量攻关区块链安全风险应对技术
针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略;针对实现安全性,需要对关键代码进行严格、完整测试,以及采用更加安全的智能合约;针对使用安全性,主要是对私钥生成、存储、使用进行保护,使用有效的魂币模式,对敏感数据进行加密保护。另外,也要选择安全的交易所,因为交易所聚集了大量的数字货币,所以很容易成为黑客或者一些敌对、恐怖组织的针对目标;针对算法安全性,可以采用抗量子算法,如基于格的签名算法,或者采用盲签名、环签名、聚合签名、多重签名、门限签名策略,总之是要采用新的、本身经得起考验的密码技术;针对黑客的攻击,提出拟态防御的方法。拟态防御是一项技术,利用拟态防御技术,对于提高区块链系统安全性会起到非常好的作用。
(二)探索创新性的区块链监管手段
探索“沙盒监管”、“穿透监管”等区块链监管模式,监管机构可为特定区块链产品、服务和应用模式的测试创新构造“安全沙盒空间”,在满足企业在真实场景中测试其产品方案需求的同时,严防风险外溢;或在区块链节点中设置一个或多个监管机构节点的方式,使监管方可全面及时获取区块链业务流程、用户关系、信息流向等监管信息,以“穿透式”的方式深入区块链业务核心实施监管。
(三)区块链应回归技术本质, 存储安全标准亟待建立
随着信息的交互流动加速,区块链得以脱离数字货币的范畴而走向更广大的权益资产市场,数字资产管理成为目前区块链有望尽快落地的应用之一。然而由于缺乏安全基础设施建设和防护,存储为目标的区块链成为黑客攻击的“重灾区”。
在区块链技术的发展过程中,区块链各技术分支和应用领域发展程度不均衡,缺乏统一的概念术语、架构及测评标准,技术和机制特性给法律和监管带来挑战等问题在不同程度上对技术的发展应用和产业化形成了阻碍。围绕技术架构规范、开发规范、身份认证等相关标准化、合规化问题,国际标准化组织和开源组织已开始启动区块链安全标准化工作,规范区块链技术应用发展。截至目前,国际电信联盟远程通信标准化组织在区块链安全议题上表现活跃,参与方众多,研究范围较广,推进路线明确。国际电信联盟远程通信标准化组织成立了三个焦点组、一个问题小组,设立多个标准研究项目,围绕区块链整体发展、安全及物联网、下一代网络演进、数据管理应用等开展标准化工作。
(四)强化推动区块链安全产品和服务市场发展
鼓励网络安全企业、区块链相关企业等重视区块链技术安全问题,推动智能合约漏洞挖掘、区块链产品代码审计、业务安全监测等相关安全产品和服务的开发应用,提升区块链产品应用安全水平和抗攻击能力,不断优化区块链技术生态结构。
区块链技术正日益成为网络安全领域创新的重要驱动力量,其技术带来的巨大变革不容忽视,技术和应用场景中的潜在网络安全风险也在逐渐显现。全球各个国家在着力把握技术发展先机的同时,也需正视风险,从发展引导、强化监管、风险研判、国际合作等多角度积极应对,有效防范化解新技术网络安全风险,切实保障区块链技术在网络安全领域的健康、有序发展。
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
发表评论