文章来源： 腾讯网络安全与犯罪研究基地
作者：nana

区块链是去中心化的分布式账本，建立在提供绝对的安全与信任的模型上。运用加密技术，每笔交易都会被公开记录下来，带有唯一的时间戳，且链向其前一个区块。最关键的是，这些数字‘区块’只能经由所有参与者同意才能更新，也就几乎不可能发生数据窃取、篡改和删除等情况了。

因此，自 2016 年达到 Gartner「炒作周期峰值」以来，区块链一直是行业领袖的关注重点，尤其是金融业、能源行业和制造业。比特币支付验证或许是最常被提及的区块链应用案例了，但该技术的应用不局限于比特币，还可扩展到内容交付网络和智能电网系统之类的应用上。

区块链如何应用于网络安全

从改善数据完整性和数字身份到防护 IoT 设备安全以防止 DDoS 攻击，区块链的应用潜力很大。事实上，区块链在机密性、完整性和可用性这三个方面都能有所作为，可提高系统弹性，改善加密、审计，提高透明度。

区块链堵上了我们因安全实现不良和缺乏可信度而留下的漏洞。2018 年，我们必须处处加密，时时加密。目前，我们无法验证收到的电子邮件是否已经被他人读取或修改过。我们甚至验证不了发家身份。

而应用区块链方法，我们可以合理验证并签署交易。虽然在加密货币问题上还有些炒作现象，但区块链方法的实现确实能为我们的数字服务打造更可信的基础设施。其中最佳应用就是我们公共事业部门的转型和创建以市民为中心的基础设施了。这将使市民能够拥有自己的身份，每一笔交易都可验证。我们可以使用智慧合约和经签名的断言来制定公共服务的要素，比如待遇给付等等。

下面列出的就是现实世界中区块链在安全方面的几个应用。

一、以身份验证保护边界设备安全

正如 IT 关注数据和连接向“智慧”边界设备的迁移，安全同样关心这种转变。毕竟，网络的扩展可能会提升 IT 效率、生产力并降低耗电量，但也给 CISO、CIO 和整个公司带来了安全挑战。很多公司因而寻求应用区块链来保护 IoT 及工业 IoT(IIoT) 设备安全的方法——因为区块链技术可增强身份验证，改善数据溯源和流动性，并辅助记录管理。

比如说，2017 年末创建的 XageSecurity 公司就宣称，其“篡改验证”区块链技术平台可在设备网络中批量分发隐私数据并进行身份验证。该公司还宣称支持任意通信协议， 适应不规则连接的边界设备，可防护大量异构工业系统。

该公司称其已与 ABB Wireless 合作，共建要求分布式安全的能源与自动化项目；还与戴尔携手，在 Dell IoT Gateways 及其 EdgeX 平台上为能源行业交付安全服务。

同时，作为现实世界区块链应用的另一个例子，英属马恩岛政府采取了不同路线：测试区块链技术以验证其能否防止 IoT 设备被黑 (为物理设备赋予唯一身份以确认真实性)。

这些改善还被嵌入到了芯片级。初创公司 Filament 最近推出了一款新芯片，可使 IIoT 设备应用上多种区块链技术。其 Blocklet 芯片的主导思想是要让 IoT 传感器数据被直接编码进区块链中，为去中心化的迭代和交换提供安全基础。

二、提升机密性和数据完整性

尽管区块链最初创建时是没有特定的访问控制机制的 (源于其公开分发的属性)，有些区块链实现如今却在解决数据机密性和访问控制问题。在当今数据极易被篡改或伪造的时代，确保数据机密性和完整性问题无疑是巨大的挑战。但区块链数据的完全加密特质确保了这些数据不会被非授权方染指，但又仍具有流动性（中间人攻击几乎没有成功的可能）。

这种数据完整性也扩展到了 IoT 和 IIoT。比如说，IBM 就在其 Watson IoT 平台上提供了以私有区块链账本管理 IoT 数据的选项，该功能已集成到了 IBM 的云服务中。爱立信的区块链数据完整性服务，可为在通用电气公司 Predix PaaS 平台上工作的 App 开发人员提供完全可审计、符合规定且可信的数据。

三、保护隐私消息

Obsidian 这样的初创公司正用区块链保护即时聊天工具和社交媒体上流转的隐私信息。与 WhatsApp 和 iMessage 之类 App 所用端到端加密不同，Obsidian 使用区块链来保护用户的元数据。因为元数据是账本中随机分发，不存在单一的收集点，所以不会被黑。

另外，据报道，美国国防部高级研究计划局 (DARPA) 正在尝试利用区块链创建外来攻击无法渗透的安全消息服务。随着区块链植根于经验证的安全通信，隐私消息安全领域将会愈加成熟。

四、提升甚至替代 PKI

公钥基础设施 (PKI) 是保护电子邮件、消息应用、网站和其他通信形式的公钥加密体制。然而，大多数 PKI 实现依赖中心化的第三方证书颁发机构 (CA) 来颁发、撤销和存储密钥对，这就给网络罪犯留下了窥探加密通信和假冒身份的机会。而在区块链上发布密钥则在理论上可杜绝虚假密钥传播，并可令应用具备验证通信对象身份的功能。

CertCoin 是首个基于区块链的 PKI 实现。该项目整体摒弃了中心证书颁发机构，使用区块链作为域名及其公钥的分发账本。另外，CertCoin 还提供不带单点故障的，可审计的公开 PKI。

初创公司 REMME 则基于区块链为每个设备赋予其独有的 SSL 证书，杜绝了入侵者伪造证书的可能性。科技研究公司 Pomcor 公布了基于区块链的 PKI 蓝图，其中采用区块链来存储已颁发及已撤销证书的散列值 (虽然该案例中仍然要用到 CA)。

如果爱沙尼亚数据安全初创公司 Guardtime 靠得住的话，没准儿 PKI 就会被彻底替换掉了。这家公司在用区块链创建无密钥签名基础设施 (KSI)——PKI 的替代品。Guardtime 已成长为全球盈利最多、员工数最多、产品部署最广的区块链公司，还在 2016 年的时候就吃下了爱沙尼亚全部 100 万人的健康记录。

目前，我们依赖 PKI 创建信任基础设施，但这往往是有漏洞的，尤其是网络罪犯如今也在创建自己的数字证书的情况下。依赖区块链技术，我们就可以用公民生成的身份来签名交易了。

五、更安全的 DNS

Mirai 僵尸网络证明了网络罪犯可以很容易地破坏关键互联网基础设施。攻击者只需搞定大型网站的域名系统 (DNS) 服务提供商，就可以切断推特、Netflix、PayPal 和其他服务的网络访问。而如果用区块链来存储 DNS 记录，理论上是可以通过去除该可攻击的单一目标而提升 DNS 安全。

Nebulis 是一个探索分布式 DNS 概念的新项目，理论上分布式 DNS 可以应付访问请求洪水，不会因响应过载而宕机。Nebulis 使用以太坊区块链和星际文件系统 (IPFS)，还有 HTTP 的分布式替代协议，来注册并解析域名。DNS 之类互联网关键服务可被黑客利用来制造大规模掉线和攻击公司企业，因此使用区块链方法的可信 DNS 基础设施，将能大幅增强该互联网核心信任基础设施。

六、减少 DDoS 攻击

区块链初创公司 Gladius 宣称，其去中心化账本系统有助抵御 DDoS 攻击。在 DDoS 攻击峰值已超 100Gbps 的现在，这一断言还是很引人注目的。该公司称，其去中心化的解决方案可通过使客户接入附近防护资源池来提供更好的保护并加速客户内容，从而抵御 DDoS 攻击。

有趣的是，Gladius 宣称，该去中心化的网络能让用户出租空闲带宽赚点小钱，而这多余的带宽就被分配给了遭到 DDoS 攻击的网站节点以确保其能挺过攻击。而在不忙的时间里 (没有 DDoS 攻击时)，Gladius 网络会扮演内容交付网络的角色，加速互联网访问。

区块链安全不是万灵药

然而，区块链并非万灵药，从技术复杂度和系统数量到其实现，区块链都不能保证 100% 安全。交易速率上的限制，还有关于信息是否应保存在区块链中的争论，都是该技术在安全应用方面的顾虑。

2018 年应是对数据全面应用加密的一年，而区块链将提供加密推广的基础。关键挑战在于如何剥离现有遗留 IT 基础设施，并以区块链技术加以重建。其中核心元素将是公私密钥对的创建，这是身份识别的基础。然而不幸的是，我们的司法机构仍将目光放在传统 IT 方法上，向区块链方法的推进将会引发隐私和社会保护之间的紧张情绪升温。