区块链是一个建立在提供绝对安全和信任的模型上的、分散的、分布式的电子分类记账方式。使用加密技术,按时间顺序和公开记录记录交易,每一个块都有时间标记并与前一个链接。重要的是,这些数字“块”只能通过所有参与者的共识来更新,数据拦截、修改和删除几乎是不可能的。
因此,自2016年Gartner将其加入新兴技术“炒作周期高峰”以来,区块链已经成为一些行业领导者的关注重点,特别是在金融服务、能源和制造业领域。比特币付款已经成为被应用最多的案例,但是这种技术也可以扩展到内容交付网络和智能电网系统等应用。
区块链如何应用于网络安全?
区块链有可能从提高数据完整性、更安全的数字身份认证等方面改善物联网设备的安全,以防止DDoS攻击。事实上,区块链可能会发挥保密性、完整性和可用性的“CIA三原则”作用,从而提高应变能力,加密、审计和透明度。
英国爱丁堡内皮尔大学计算机科学家兼计算机学院教授比尔•布坎南(Bill Buchanan)表示:“区块链填补了我们在安全性、可靠性方面的不足。“在2018年,我们必须默认加密。目前,您无法验证没有人阅读过发送给您的电子邮件,而且该电子邮件未被修改,甚至经常无法验证发件人。“
布坎南说:“通过区块链方法,我们可以正确地验证和签署我们的交易。“虽然围绕加密货币有一些炒作,但区块链方法的实施实际上将为我们的数字服务建立更可靠的基础设施。最大的应用将是我们公共部门的转型,并创建一个更加以公民为中心的基础设施。这样可以让公民拥有自己的身份,然后对每笔交易进行核实。我们可以制定公共服务的要素,例如支付利益,使用智能合约,并根据已签署的声明。“
以下是区块链在网络安全领域的真实使用案例。
1. 通过认证保护边缘设备
随着IT技术焦点转移到所谓的具有数据和连接性的“智能”边缘设备,安全性也随之提高。毕竟,网络的扩展可能对于IT效率、生产力和功耗(即对云计算和数据中心资源有利)而言是有利的,但这对CISO、CIO和更广泛的业务来说是一个安全挑战。随后许多公司正在寻求利用区块链来保护物联网和工业物联网(IoT)设备的方法,因为该技术能够加强认证,改善数据归属和流量,并有助于记录管理。
例如,创业公司Xage安全公司在2017年下半年推出,声称其“防篡改”区块链技术平台通过设备网络大规模分发私人数据和身份验证。此外,该公司表示支持任何沟通,可以在不规则连接的边缘工作,并确保各种不同的工业系统。
该公司表示,已经与ABB无线公司合作开展需要分布式安全的电力和自动化项目,以及与戴尔合作为戴尔IoT网关及其EdgeX平台上的能源行业提供安全服务。
同时,作为另一个现实世界的例子,英国马恩岛政府采取了不同的路线。它正在测试区块链技术,看它是否可以防止物联网设备的妥协(将唯一身份签名到物理项目以确认真实性)。
这些改进也正在嵌入芯片组层面。Startup Filament最近宣布推出一款旨在使工业物联网设备能够使用多种区块链技术的新型芯片。Blocklet芯片背后的理念是让物联网传感器数据直接编码到区块链中,目标是“ 为分散交互和交换提供安全的基础 ”。
2. 改进机密性和数据完整性
虽然区块链最初是在没有特定访问控制(由于其公开发行)的情况下创建的,但现在一些区块链实现解决了数据机密性和访问控制难题。在数据容易被操纵或欺骗的时代,这显然是一个严峻的挑战,但区块链数据的完全加密可以确保这些数据在运输过程中不会被未授权的用户访问(很少或根本没有机会成功的人工进入中间[MiTM]攻击)。
这种数据完整性可扩展到IoT和IIoT设备。例如,IBM为Watson IoT平台提供了一个选项,用于管理整合到蓝色巨人云服务中的私有区块链分类账中的物联网数据。爱立信的区块链数据完整性服务为在GE的Predix PaaS平台中工作的应用程序开发人员提供完全可审计,合规和值得信赖的数据。
3. 保护私人消息
像Obsidian这样的创业公司正在使用区块链来保护在聊天,短信应用和社交媒体中交换的私人信息。与WhatsApp和iMessage采用的端到端加密不同,Obsidian的Messenger使用区块链来保护用户的元数据。用户不必使用电子邮件或任何其他身份验证方法来使用信使。元数据随机分布在整个分类账中,因此不能用于收集在一个单一的点,从而可能会受到损害。
另外据报道,美国国防部高级研究计划局(DARPA)的工程师正在尝试使用区块链来创建一个安全且无法通过外部攻击的消息服务。随着区块链植逐步应用于安全认证的通信,预计这个领域在不久的将来成熟。
4. 提升甚至取代PKI
公钥基础设施(PKI)是保护电子邮件,消息应用,网站和其他形式的通信的公钥密码术。但是,大多数实现都依赖于集中的第三方证书颁发机构(CA)来颁发,撤销和存储密钥对,这些密钥对可能会危及加密通信并欺骗身份。而是在区块链上发布密钥,理论上将消除错误密钥传播的风险,并使应用程序能够验证与之通信的人的身份。
CertCoin是基于区块链的PKI的首批实施之一。该项目完全取消了中央政府,将区块链用作域名和公钥的分布式账本。另外,CertCoin提供了公共和可审计的PKI,也没有单点故障。
启动REMME为每个设备提供基于区块链的特定SSL证书,防止入侵者伪造证书,而技术研究公司Pomcor发布了基于区块链的PKI的蓝图,该区块链使用区块链来存储颁发和吊销证书的散列(尽管在这个例子中,仍然需要CA)。
如果爱沙尼亚的数据安全创业公司Guardtime是可以通过的话,也许PKI可以被直接取代。该公司一直在使用区块链创建无钥匙签名基础设施(KSI),取代PKI。保护时间已经成长为“ 按收入、员工人数和实际客户部署计算的世界上最大的blockchain公司 ”,而且它已获得所有的爱沙尼亚百万健康记录与该技术在2016年。
布坎南说:“目前我们依靠PKI来建立我们的信任基础设施,但这往往是有缺陷的,尤其是在网络犯罪分子现在正在建立他们自己的数字证书的时候。通过区块链方法,我们可以使用公民生成的身份来签署交易。”
5. 更安全的DNS
Mirai 僵尸网络表明,犯罪分子是如何轻而易举地破坏关键的互联网基础设施的。通过减少大多数主要网站的域名系统(DNS)服务提供商,攻击者能够切断对Twitter、Netflix、PayPal和其他服务的访问。从理论上说,区块链存储DNS条目的方法可以通过移除单个可攻击目标来提高安全性。
Nebulis是一个探索分布式DNS概念的新项目,在大量的访问请求下,这个概念从来就不会失败。Nebulis使用Ethereum blockchain和Interplanetary Filesystem(IPFS)(一种分布式的HTTP替代品)来注册和解析域名。布坎南说:“在互联网的核心,我们看到诸如DNS这样的关键服务提供了大规模停机的机会,也是对组织的黑客攻击。因此,使用区块链方法的更可信的DNS基础架构将大大地帮助互联网的核心信任基础设施。“
6. 减少DDoS攻击
Blockchain初创公司Gladius声称,其分散式账本系统有助于防止分布式拒绝服务(DDoS)攻击,这是一个重要的主张,当攻击的速度超过100Gbps。该公司表示,其分散的解决方案可以通过“允许您连接到您附近的保护池来提供更好的保护并加速您的内容”来防范此类攻击。
有趣的是,Gladius声称,分散的网络允许用户将额外的带宽租借出去,这些额外的带宽“分配给节点,然后在DDoS攻击下将带宽分流到网站,以确保它们保持在最低限度”。繁忙时间(没有DDoS攻击),Gladius说其网络“通过充当内容交付网络来加速访问互联网”。
区块链安全不是万能的
然而区块链并不是万能的,从技术的复杂性和无数的系统到实现它并不能保证100%的安全。布坎南关心的问题是可以适用的交易速度的限制,以及“信息是否应该存储在区块链上”。
Buchanan说:“2018年需要将密码学应用于我们所有的数据,而区块链将为跨组织扩展提供基础。主要挑战将是摆脱现有的传统IT基础架构,并围绕区块链构建核心架构。一个核心元素将是创建密钥对 – 用公钥和私钥 – 来识别个人。不幸的是,我们的执法基础设施仍然侧重于传统的信息技术方法,向区块链方式转变将涉及隐私权与社会保护自身权利之间的紧张关系。”
本文翻译自CSOonline