各國重視區塊鏈技術在網絡安全中的應用
2019年3月5日,跨國計算機巨頭IBM公司提交了兩項新的區塊鏈專利申請,一項專利是IBM目前正尋求通過區塊鏈技術維護網絡安全,另一項專利則專注于使用該技術的數據庫管理功能。從網絡安全的角度來講,近幾年,各個領域都成為黑客攻擊的重點。同時,各國也都在重視區塊鏈技術在網絡安全中的運用,僅僅2018年,75%的CEO和董事會成員都將網絡安全和技術收購視為他們的首要任務。除了商界巨頭之外,不少平民大眾也在考慮采用基于區塊鏈的網絡安全解決方案。
一、各國嘗試將區塊鏈技術用于網絡安全領域
在經歷了區塊鏈技術的概念爆發期和炒作期之后,全球對區塊鏈技術的關注程度仍然居高不下,世界各主要國家和地區競相布局區塊鏈發展和應用探索,以美國、加拿大、以色列為代表,各國積極鼓勵探索區塊鏈技術在網絡安全領域的應用,并逐漸顯現成效。
(一)美國
2018年,美國國會發布《2018年聯合經濟報告》,提出區塊鏈技術可以作為打擊網絡犯罪和保護國家經濟和基礎設施的潛在工具,指出這一領域的應用應成為立法者和監管者的首要任務。美國DARPA也正在大力投資區塊鏈項目,旨在安全儲存國防部內部高度機密項目數據。2017年,總統特朗普簽署了一份7000億美元的軍費開支法案,其中包括授權一項區塊鏈安全性研究,呼吁“調查區塊鏈技術和其他分布式數據庫技術的潛在攻擊和防御網絡應用”,支持美國DHS開展的加密貨幣跟蹤、取證和分析工具開發項目。
(二)俄羅斯
2018年,俄羅斯軍方用區塊鏈技術加強國防網絡安全。俄羅斯聯邦國防部在ERA技術園區建立一個獨特的研究實驗室,以開發區塊鏈技術,并將技術應用于加強網絡安全和打擊針對關鍵信息基礎設施的網絡攻擊。專家認為,區塊鏈將幫助軍隊追蹤黑客攻擊的來源,并提高其數據庫的安全性。
(三)以色列
2018年10月,以色列證券管理局已經開始使用區塊鏈技術來改善網絡安全,以及應對網絡安全挑戰問題。據稱,這款區塊鏈軟件系統是由信息公司塔爾多歷時3個月開發出來的。此次,據以色列證券管理局表示,將區塊鏈技術植入一個名為Yael的系統,政府機構就可以利用該系統向其管轄的機構發送消息和下達通知。不僅僅是當前這個應用,以色列證券管理局還表示,在不遠的未來,還會有兩個系統也將嵌入區塊鏈技術。一個是在線投票系統,運用了區塊鏈技術,這個系統就可以讓投資者在任何地方參與會議;二是麥格納系統,其用于管理局監管下的機構記錄所有報告。以色列證券管理局方面認為,利用區塊鏈技術無法篡改的優勢,防止信息被編輯或刪除,可以讓傳遞給監管機構的信息多一層保護,以防信息泄露,增加了信息傳遞的可信度。不僅如此,只要信息上鏈了,區塊鏈技術就可以查看信息在傳送過程中的具體情形,以便驗證其真實性。
二、區塊鏈技術網絡安全領域應用淺析
從改善數據完整性和數字身份到防護物聯網設備安全以防止拒絕服務攻擊,區塊鏈在網絡安全領域應用潛力很大。事實上,區塊鏈在機密性、完整性和可用性這三個方面都能有所作為,可提高系統彈性,改善加密、審計,提高透明度。近幾年,國外區塊鏈技術網絡安全領域相關實踐應用也在蓬勃發展。
表1 區塊鏈技術在網絡安全領域的典型應用
作為網絡時代的新一輪變革力量,區塊鏈作為一種全新的信息存儲、傳播和管理機制,通過讓用戶共同參與數據的計算和存儲,并互相驗證數據的真實性,以“去中心”和“去信任”的方式實現數據和價值的可靠轉移。目前,區塊鏈技術應用以網絡安全領域為典型代表,向社會諸多領域逐漸擴展延伸,得到了普遍的關注和全球性的探索。
區塊鏈技術在與現有技術結合催生新業態、新模式的同時,區塊鏈技術發展和網絡安全領域的深入應用仍需要漫長的整合過程,其核心機制、應用場景中存在的潛在網絡風險也給技術應用和現有網絡安全監管政策帶來新的挑戰。因此,我們理性看待區塊鏈的技術優勢和網絡安全領域應用的同時,要強化應對潛在網絡安全風險已成為保障區塊鏈技術的健康、有序發展的當務之急。
隨著網絡攻擊的復雜性和網絡功能的多樣化,傳統的入侵檢測技術存在誤報率高、適應性差和檢測率低的問題。因此,我們需要研究新的入侵檢測技術來提高入侵檢測系統的安全檢測能力。近年來,深度學習[1] 在圖像識別、語音識別、自然語言處理等方面取得了驚人的成績。深度學習技術在處理復雜的大規模數據方面具有出色的性能,這也為處理多特征入侵數據帶來了新的思路。深度學習在網絡入侵檢測領域的靈活應用可以有效提高檢測率,降低誤報率和漏報率。
三、區塊鏈技術面臨網絡安全威脅
區塊鏈不是萬能的,不可迷信更不能神話區塊鏈技術。隨著大數據、物聯網、人工智能等新技術的廣泛應用,不斷出現的數據泄露和信息安全事件也給個人隱私保護、企業安全生產、社會公共服務等帶來新的挑戰。基于分布式賬本技術的區塊鏈,在確保數據安全和信息完整性方面具有天然的優勢,而被很多人給予“厚望”。
然而,區塊鏈并非萬靈藥,從技術復雜度和系統數量到其實現,區塊鏈都不能保證100%安全。交易速率上的限制,還有關于信息是否應保存在區塊鏈中的爭論,都是該技術在網絡安全應用方面的顧慮。
目前區塊鏈技術本身仍存在一些網絡安全風險,應用過程中可能會引發一定的安全問題。近年來,區塊鏈網絡安全事件頻發造成重大經濟損失。據統計,自2011年到2018年10月,全球范圍內因區塊鏈網絡安全事件造成的損失近36億美元。可見,區塊鏈網絡安全問題不容忽視。基于業界已有研究報告,將區塊鏈面臨的網絡風險與挑戰分為六大方面:基礎設施安全、密碼算法安全、協議安全、實現安全、使用安全和系統安全。
(一)基礎設施安全
區塊鏈的發展,基礎設施是關鍵。區塊鏈的基礎設施主要包括交換機和路由器等網絡資源、硬盤和云盤等存儲資源以及CPU和圖形處理器(GPU)等計算資源。當前面臨的主要有物理安全風險、以及數據丟失和泄露等安全風險。
物理安全風險主要指區塊鏈存儲設備自身以及所處環境的安全風險,如LevelDB、Redis 等數據庫中可能存在未及時修復的安全漏洞,導致未經授權的區塊鏈存儲設備訪問和入侵,或者存放存儲設備的物理運行、訪問環境中存在的安全風險。
數據丟失和泄露主要針對區塊數據和數據文件的竊取、破壞,或因誤操作、系統故障、管理不善等問題導致的數據丟失和泄露,線上和線下數據存儲的一致性問題等。例如,EOS的IO節點可通過原生插件,將不可逆的交易歷史數據同步到外部數據庫中,外聯數據庫數據為開發者和用戶提供了便利的同時,也可能引發更多的數據丟失和泄露風險。
(二)密碼算法安全
區塊鏈使用了大量密碼算法以保證安全性。但現有的一些密碼算法存在一定缺陷,使用有缺陷的密碼算法會大大影響安全性。另外,隨著量子技術的發展,使用不能夠抵抗量子攻擊的密碼算法都有較大風險。目前密碼貨幣的算法是相對安全的,但是隨著數學、密碼學和計算技術的發展會變得越來越脆弱,況且區塊鏈中的密碼算法在使用過程中也存在問題。另外,量子計算對現有公鑰密碼帶來的影響是顛覆性的,2017年IBM宣布成功搭建和測試了兩種新機器。當然,算法方面也曾出現過隨機數漏洞事件,比如2014年12月,blockchain.info爆出隨機數問題。
(三)協議安全
區塊鏈是一個新的協議層,是一項去中心化的協議,分布在Web2.0之上,支持點對點傳輸,基于分布式的特性,無需任何中介,美國人都可以直接發送和存儲數據和參與金融交易。協議安全主要指共識機制、P2P網絡等存在的安全隱患,主要面臨共識算法漏洞、流量攻擊以及惡意節點等威脅。
(四)實現安全
智能合約運行環境的安全性是區塊鏈安全的關鍵環節,智能合約起步較晚,其風險主要來源于代碼實現中的安全漏洞。目前,部分區塊鏈項目會設計并使用自己的虛擬機環境,如以太坊的EVM,而Hyper Ledger Fabric等則直接使用成熟的Docker等技術作為智能合約的處理環境,一旦在運行環境中存在虛擬機自身安全漏洞,或驗證、控制等機制不完善等,攻擊者可通過部署惡意智能合約代碼,擾亂正常業務秩序,消耗整個系統中的網絡、存儲和計算資源,進而引發各類安全威脅。
(五)使用安全
主要指使用的智能合約、數字錢包、交易所以及應用軟件等存在的安全問題。另外,區塊鏈應用所在服務器上的惡意軟件、系統的安全漏洞等都可能成為攻擊者攻破區塊鏈應用的脆弱點。目前存在以下問題,比如私鑰托管容易造成監守自盜以及黑客盜取;區塊鏈錢包的口令存在被恢復的危險;私鑰一旦丟失,便無法對賬戶的資產做任何操作。最重要的是所有的數字貨幣系統都會遭到黑客攻擊,比如2017年12月,朝鮮黑客攻擊了韓國加密貨幣交易所,導致價值76億韓元(約合699萬美元)的加密貨幣被盜。
(六)系統安全
上述基礎設施、密碼算法、協議、實現、使用安全漏洞與黑客攻擊結合,可使區塊鏈受到致命打擊。社會工程學手段與傳統攻擊方法結合使區塊鏈變得更加脆弱,有組織的攻擊行為將對區塊鏈安全造成極大危害。綜合運用算法/協議/使用/實現漏洞,與網絡攻擊解密結合,采用技術和社會工程學對密碼貨幣系統進行攻擊,一旦國家或組織采用綜合安全攻擊,會對密碼系統造成極大的危害。
四、安全性威脅應對建議
(一)集中力量攻關區塊鏈安全風險應對技術
針對協議安全性,POW中使用防ASIC雜湊函數,使用更有效的共識算法和策略;針對實現安全性,需要對關鍵代碼進行嚴格、完整測試,以及采用更加安全的智能合約;針對使用安全性,主要是對私鑰生成、存儲、使用進行保護,使用有效的魂幣模式,對敏感數據進行加密保護。另外,也要選擇安全的交易所,因為交易所聚集了大量的數字貨幣,所以很容易成為黑客或者一些敵對、恐怖組織的針對目標;針對算法安全性,可以采用抗量子算法,如基于格的簽名算法,或者采用盲簽名、環簽名、聚合簽名、多重簽名、門限簽名策略,總之是要采用新的、本身經得起考驗的密碼技術;針對黑客的攻擊,提出擬態防御的方法。擬態防御是一項技術,利用擬態防御技術,對于提高區塊鏈系統安全性會起到非常好的作用。
(二)探索創新性的區塊鏈監管手段
探索“沙盒監管”、“穿透監管”等區塊鏈監管模式,監管機構可為特定區塊鏈產品、服務和應用模式的測試創新構造“安全沙盒空間”,在滿足企業在真實場景中測試其產品方案需求的同時,嚴防風險外溢;或在區塊鏈節點中設置一個或多個監管機構節點的方式,使監管方可全面及時獲取區塊鏈業務流程、用戶關系、信息流向等監管信息,以“穿透式”的方式深入區塊鏈業務核心實施監管。
(三)區塊鏈應回歸技術本質, 存儲安全標準亟待建立
隨著信息的交互流動加速,區塊鏈得以脫離數字貨幣的范疇而走向更廣大的權益資產市場,數字資產管理成為目前區塊鏈有望盡快落地的應用之一。然而由于缺乏安全基礎設施建設和防護,存儲為目標的區塊鏈成為黑客攻擊的“重災區”。
在區塊鏈技術的發展過程中,區塊鏈各技術分支和應用領域發展程度不均衡,缺乏統一的概念術語、架構及測評標準,技術和機制特性給法律和監管帶來挑戰等問題在不同程度上對技術的發展應用和產業化形成了阻礙。圍繞技術架構規范、開發規范、身份認證等相關標準化、合規化問題,國際標準化組織和開源組織已開始啟動區塊鏈安全標準化工作,規范區塊鏈技術應用發展。截至目前,國際電信聯盟遠程通信標準化組織在區塊鏈安全議題上表現活躍,參與方眾多,研究范圍較廣,推進路線明確。國際電信聯盟遠程通信標準化組織成立了三個焦點組、一個問題小組,設立多個標準研究項目,圍繞區塊鏈整體發展、安全及物聯網、下一代網絡演進、數據管理應用等開展標準化工作。
(四)強化推動區塊鏈安全產品和服務市場發展
鼓勵網絡安全企業、區塊鏈相關企業等重視區塊鏈技術安全問題,推動智能合約漏洞挖掘、區塊鏈產品代碼審計、業務安全監測等相關安全產品和服務的開發應用,提升區塊鏈產品應用安全水平和抗攻擊能力,不斷優化區塊鏈技術生態結構。
區塊鏈技術正日益成為網絡安全領域創新的重要驅動力量,其技術帶來的巨大變革不容忽視,技術和應用場景中的潛在網絡安全風險也在逐漸顯現。全球各個國家在著力把握技術發展先機的同時,也需正視風險,從發展引導、強化監管、風險研判、國際合作等多角度積極應對,有效防范化解新技術網絡安全風險,切實保障區塊鏈技術在網絡安全領域的健康、有序發展。
