导语:如今,区块链的分布式分类账已经在从加密货币到供应链等许多领域得到了应用。区块链的主要应用归功于它作为一种固有安全技术的声誉。但是,这种固有的安全性是否可以应用于安全领域呢?
区块链技术可以被用作安全工具,如果你还没有计划去使用它,现在你可能需要重新考虑一下了!
背景介绍
如今,区块链的分布式分类账已经在从加密货币到供应链等许多领域得到了应用。区块链的主要应用归功于它作为一种固有安全技术的声誉。但是,这种固有的安全性是否可以应用于安全领域呢?
在越来越多的案例中,其答案是肯定的。安全专业人员发现,区块链所带来的质量解决方案可以有效地保护数据、网络、身份以及关键基础设施等。与其他新兴技术一样,最大的问题不在于区块链是否可用于安全领域,而是在哪些应用程序中最适合使用。
如今,区块链技术已被用于许多安全应用程序,从记录保存到作为活动数据基础设施的一部分,未来还可能会有更多发展的选择。
不过,尽管市场对区块链潜力所表现出的兴奋度还在持续增长,但重要的是要区块链技术还需要保持这种潜力。
关于区块链技术最常见的一种说法是,它是一种“不可攻破”的技术。虽然目前还没有演示过任何针对区块链的侵入式攻击,但是说区块链不能被黑客攻击显然是一种错误的观点。2018年初,在一场51%攻击活动中(51% Attack)当一个单一个体或者一个组超过一半的计算能力时,这个个体或组就可以控制整个加密货币网络,如果他们有一些恶意的想法,他们就有可能发出一些冲突的交易来损坏整个网络,恶意行为者设法控制了超过一半的区块链计算能力,并破坏了分类帐本的完整性,这表明针对区块链的攻击技术是有效的。虽然这种特殊的攻击既昂贵又困难,但它确实有效的事实说明安全专业人员应该将区块链视为一种有用的技术,而不是应对所有问题的灵丹妙药。
7种方式介绍
以下是区块链技术可以应用于安全领域的7种方式:
1.分布式身份
网络上的身份有两种形式:一种是用户的身份;另一种是设备的身份。在物联网的环境下,没有传统意义上的用户,因此认证设备本身是至关重要的,可以通过引入区块链技术来建立和维护这些设备身份。
目前做区块链物联网应用的方式,大致有两条路。一是直接基于现成的区块链开发平台(主要是以太坊和超级账本)开发;二是自己从基础开始造区块链。对于区块链在物联网领域的应用来说,由于解决物联网行业的实际痛点是初衷,第一种方式比较切实可行。
但几种主要的区块链技术,都存在不同程度的问题,比如可扩展性问题、处理能力和时间等效率问题、存储的缺陷问题、缺乏专业技术问题…难以让企业下定决心投入。于是有很多人质疑:现有的区块链设计是否足以满足物联网行业的需求?还是需要专门对区块链进行改造,来解决应用于物联网的瓶颈?
与大多数公司使用的标准区块链技术不同,IOTA(一种轻量级和可扩展的分布式账本)所依赖的是一种叫做缠结(Tangle)的方法。IOTA的最新探索指向了一个答案:物联网行业的确需要专门的“区块链”技术,而且是“去区块链”的技术,也就是既没有区块,又没有链的分布式账本技术。
作为一种新型的数字加密货币,IOTA在区块链世界里,远没有比特币、以太坊瞩目,但它也是不可小觑的存在,一是它给早期投资人带来了5000多倍的回报,在竞争激烈的数字资产世界中,表现出色;二是它采用的技术跟普通的区块链不同,是缠结(Tangle)而非区块链架构,基于DAG(有向无环图)结构,说它是区块链,却没有区块又没有链,因此IOTA是“物联网x缠结”而不是“物联网x区块链”。甚至IOTA声称缠结(Tangle)改进了区块链的诸多问题,因此是下一代的分布式账本技术。
IOTA诞生于2015年,一开始的目标是给物联网应用赋能,可以让机器之间直接进行交易,尤其是解决小额交易的问题。随着物联网的持续发展,智能设备之间的互操作性和资源共享需求越来越强烈,IOTA目标是可以让公司之间探索出新的模式,将技术资源转化为潜在服务,并在公开市场上实时交易。
数字货币IOTA和缠结(Tangle)之间的关系,就如同比特币和区块链一样。IOTA一举改良了区块链必须支付手续费给矿工的设计,推出没有区块、没有链也没有矿工的新技术缠结(Tangle)。缠结(Tangle)没有矿工验证交易,而是每一个发起交易的人都得负责验证其他两笔交易。既然缠结(Tangle)没有矿工,发出交易的人就不需要支付交易手续费。
2. 分布式存储
恶意行为者尤为喜欢大型数据库。包含数TB信息的单个实体就意味着一次成功的入侵就可能导致数以千计乃至数百万或数千万条记录被泄露。通过使用区块链技术,数据可以存储在各种系统中,每个节点以及整个数据库的完整性,都可以通过分布式记账得到保证。
使用区块链实现的分布式存储的一个重要特性是数据的完整性。无论何时由何人进行数据更改操作,编辑都必须由区块链进行验证。当更改数据变得更加困难时,存储安全性就得到了保证。
与2018年涌现的大量计算技术一样,这种分布式数据模型在物联网中也具有其特殊的应用,其中传感器和控制器可以生成千兆字节的数据。如果数据可以存储在本地,直到需要用于特定目的时才去调用(而不是不断地推送到集中式服务器和数据农场中),那么对网络的需求就会随之减少。
3. 强制实施问责制
每个人都习惯对安全要求提供口头服务,但投资者和监管机构需要的不仅仅是停留在口头上的虚假安全感。他们希望通过可证实的证据证明数据安全防护措施的有效性。区块链技术就可以成为提供证据的有用工具。
Xage是一家提供基于区块链的问责制,并为组织验证合规性的公司。Xage公司首席执行官Duncan Greatwood描述了区块链为问责制带来的一个关键好处:由于区块链记录和验证发生的每一项变化的本质,因此区块链允许您在出现问题时有能力进行审计或取证调查。
区块链的分类帐本架构很适合那些希望获得安全基础架构和管理审计支持的人。虽然欺骗区块链验证并非不可能,但在大多数情况下,完成这项任务所需的工作量和成本就会让人望而却步。
4. 数据完整性
区块链技术的问责制,以及为组织验证合规性的特质,使其成为保护数据完整性的有效工具。Greatwood解释称:
”区块链是一种分散的、防篡改的机制。它包含系统运行所需的所有信息——从密码到策略。没有一个节点能无视其他节点,而做任何更改。”
其他供应商就是使用区块链的特性,如链接时间戳技术(这是比特币的一个关键部分),用于验证区块链中数据的完整性。Guardtime最初负责为爱沙尼亚政府建立一个可正式验证的安全系统,目前它已进一步扩展其产品范围,包括商业和政府客户的完整性验证。
因为区块链会记录并验证对数据的任何更改操作,因此它是保护和验证数据集完整性的最佳工具。
5. 关键基础设施保护
关键基础设施,无论是网络基础设施还是能源传输系统,都面临着严峻的安全挑战。
Greatwood表示:
“俄罗斯黑客在电网中留下了RAT (远程访问木马),此举着实令人大开眼界。这是工业互联网运营商正在努力解决的一个新问题。”
与安全性的许多其他方面一样,区块链在关键基础设施保护方面的优势来自其“变更验证”和“交易透明度”的双重特性。当分布账本中存储着每个变化的记录时,想在系统上隐藏任何类型的恶意软件将变得困难得多;而且当必须经由分布式系统对变更权限进行验证时,这种非法变更操作将变得更难实现。
6. 分布式加密
加密系统中最容易受到攻击的部分在于其加密密钥的存储。如果攻击者能够访问密钥存储,那么他们就能够访问系统中的所有加密消息。并且将这种访问权限扩展到其他不同级别、权限的信息系统中。
CertCoin是该技术的一个学术范例,它是首个实现基于区块链的公钥基础设施(PKI)的应用之一。该项目由麻省理工(MIT)开发,实现了完全去中心化的认证方式,并利用区块链及公钥来搭建分布式的域名账本。CertCoin提供了一个公开可信的公钥基础设施,同时也能够防范单点故障的发生。据其开发者介绍称:
“Certcoin的核心理念是维护域名及其相关公钥的公共分类账。”
在许多方面,区块链PKI的想法与一般的“通过隐藏实现安全”的模型相反。基础设施的安全性取决于区块链的分布式特性以及用于保护信息的哈希算法的复杂性,而不是将密钥存储小心地保存在秘密位置。通过这样做,区块链消除了攻击者的许多工具,至少在理论上,它能够使整个过程更加安全。
7. 特例:医疗保健行业
鉴于存储其中的数据性质和数量等因素,医疗保健记录是最敏感的个人信息存储之一。出于这个原因,安全专业人员正在将区块链技术视为保护这些高度敏感的电子病历(EMR)和电子健康记录(EHR)的一种方式。
如今,一家名为MedicalChain的公司已经开始使用区块链作为EHR存储技术的试点项目。在MedicalChain模型中,区块链将服务器作为健康信息交换的体系结构,在这个体系结构中,病人的记录可以被存储一次,并且所有的医生都可以访问。添加记录的操作也很简单,因为只需向链中添加一个节点,所有访问都会与其他节点一起记录和验证。
今年早些时候,MedicalChain宣布梅奥诊所已经开始与该公司一起探索分布式分类帐本项目。如今,事实证明,随着梅奥诊所等主要参与者不断向前推动该试点项目,已经有越来越多的组织参与进来并开始了自己的试点项目,以扩大区块链技术的使用,来保护医疗电子记录。