摘 要: 区块链是一种源于数字加密货币比特币的分布式总账技术,其发展引起了产业界与学术界的广泛关注. 区块链具有去中心化、去信任、匿名、数据不可篡改等优势,突破了传统基于中心式技术的局限,具有广阔的发展前景.介绍了区块链技术在信息安全领域的研究现状和进展.首先,从区块链的基础框架、关键技术、技术特点、应用模式、应用领域这 5 个方面介绍了区块链的基本理论与模型;然后,从区块链在当前信息安全领域研究现状的角度出发,综述了区块链应用于认证技术、访问控制技术、数据保护技术的研究进展,并对比了各类研究的特点;最后,分析了区块链技术的应用挑战,对区块链在信息安全领域的发展进行了总结与展望,希望对未来进一步的研究工作有一定的参考价值.
关键词: 区块链;信息安全;认证技术;访问控制;数据保护
区块链技术[1]作为比特币、以太坊等数字加密货币[2]的核心技术,能够有效解决数字货币长期所面临的拜占庭将军问题[3,4]和双重支付问题[5,6].近年来,得到了各领域研究人员的广泛关注.传统社会的信任是建立在可信第三方、基于信用“背书”的信任机制下,由权威的第三方机构(如银行)来提供社会的信任支撑.因此,在没有第三方中心的条件下,直接在两个陌生实体间建立信任是很困难的事情,而区块链能够通过分布式节点的验证和共识机制解决去中心化系统节点间信任建立的问题,实现了去中心化、分布式的信任建立机制.从而在信息传输的同时完成价值的转移,能够实现当前网络架构由“信息互联网”向“价值互联网“的重大转变.基于区块链技术,比特币是人类第一次实现在没有任何中介机构参与下,完成了双方可以互信的转账行为,这是对传统信任领域的一次重大突破.
区块链技术最早于 2008 年中本聪发表的论文《Bitcoin: A peer-to-peer electronic cash system》[7]中有所阐述.在比特币被提出的早期并没有引起人们足够的重视,但是随着比特币网络多年来的稳定运行与发展,使得比特币在全球流行起来.并且,使得比特币的底层技术区块链逐渐引起了产业界的广泛关注.国际权威杂志《经济学人》、《哈佛商业周刊》、《福克斯杂志》等相继报道区块链技术将改变世界.麦肯锡研究报告指出,区块链技术是继蒸汽机、电力、信息和互联网科技之后,目前最有潜力触发第 5 轮颠覆性革命浪潮的核心技术.创业公司 R3 联合全球 42 家顶级银行成立区块链联盟从事相关领域技术研究.2016 年 7 月,区块链技术到达 Gartner 技术成熟度曲线的顶端,即过高期望峰值期.2017 年 9 月,澳大利亚、英国等多国将区块链纳入国家数字经济战略.剑桥大学同期研究表明:67%的国家中央银行及 86%的其他公共部门机构正在对区块链相关技术进行直接试验.2017 年 9 月,国务院印发《国家技术转移体系建设方案》中指出要加快区块链科技成果的转移转化.2017 年 10 月,Gartner 公司将区块链技术列为 2018 年十大重大战略科技之一,并预测到 2020 年,银行产业将因使用基于区块链的数字加密货币获得超过 10 亿美元的价值.
早期,人们更关注于比特币等数字加密货币自身的金融功能,将更多的研究精力放到应用区块链技术在金融领域产生突破性变革上.但是,随着人们对区块链技术本质和特点的深入认识,发现区块链技术不单适用于比特币等数字加密货币领域,作为一种创新的技术框架,更能在任何需要建立分布式、点对点信任关系的领域有所作为,实现颠覆性的技术效果,应用于社会、生活的多个方面,改变人们传统的工作、生活习惯.区块链作为一项技术手段最早由产业界推动其研究与发展,近几年才真正引起学术界的广泛关注.如图 1 所示,在 Web of Science 数据库中,以 blockchain 为主题进行检索,截止到 2017 年 10 月共有 235 项检索结果,可以看出近 5 年来关于区块链技术的研究论文数量增长迅速,相关领域涵盖计算机科学、电子商务、数字医疗、环境科学等多个学科.可以预见,区块链作为一项解决信任问题的普适性技术框架,随着网络信息技术的发展,将被扩展到更多新的应用领域,将来必定会产生更加丰硕的研究成果.
信息安全技术要解决的关键科学问题之一就是实体间信任建立问题.目前常采用基于可信第三方的信任机制.例如,基于第三方证书认证机构(certification authority,简称 CA)建立起交互实体间的信任关系,基于第三方属性权威(attribute authority,简称 AA)实现对用户的权限管理,用户信赖第三方机构将数据集中存储等.但是,鉴于互联网的分布式本质,这种基于第三方的信任机制难以满足分布式条件下大规模 PKI 系统的构建、跨域访问的身份交叉认证、安全可信透明的访问控制、用户高敏感隐私数据保护等更高需求,而且还面临着严重的安全挑战,导致安全事故频发.如 2013 年 12 月,TurkTrust CA 公司曝出发布虚假证书事件;2016 年 5 月,Aesthetic Dentistry 等诊所 18 万份患者病历被恶意攻击者盗取;2017 年 9 月,美国老牌征信公司 Equifax 遭到黑客攻击,1.4 亿用户个人信息遭到泄露等.同时,随着云计算、物联网等分布式计算模式的出现和日益广泛的应用,如何建立用户与云计算平台、分布式计算节点间的信任关系也成为信息安全技术面临的一大挑战.如在云计算环境下, 用户的数据存储在云平台、用户的服务外包给云平台,而云平台可能存在用户不可知的越权行为,导致信任透明度的问题;在云计算、物联网环境下,用户、资源、服务、终端存在不限时间、不限地点、不限方式的泛在接入特点,实体自由进出网络,带来实体间直接信任关系的建立难题等.区块链技术的出现为分布式环境下实体间信任建立问题的解决提供了新的思路和方法.本文将对区块链技术的相关概念、原理及研究现状进行详细的介绍与分析,着重对区块链技术在信息安全领域的研究进展进行总结并对其发展加以展望,希望能给当前及未来的相关研究提供一定的参考与帮助.
本文第 1 节从基础框架、关键技术、技术特点、应用模式、应用领域这 5 个角度对区块链技术进行总结. 第 2 节对区块链在信息安全领域的研究现状进行综述,主要包括认证技术、访问控制技术和数据保护技术这 3 个方面.第 3 节分析区块链技术应用于信息安全领域未来研究的挑战并提出展望.
1 区块链概述
1.1 基础框架
学术界对区块链技术并没有统一的定义,但一般认为,区块链是一种按照时间顺序将数据区块以链条的方式组合形成的特定数据结构,并以密码学方式保证其不可篡改和不可伪造的去中心化、去信任的分布式共享总账系统.从数据的角度来看,区块链是一种实际不可能被更改的分布式数据库.传统的分布式数据库仅由一个中心服务器节点对数据进行维护,其他节点存储的只是数据的备份.而区块链的“分布式”不仅体现为数据备份存储的分布式,也体现在数据记录的分布式,即由所有节点共同参与数据维护.单一节点的数据被篡改或被破坏不会对区块链所存储的数据产生影响,以此实现对数据的安全存储.从技术的角度来看,区块链并不是一项单一的技术创新,而是 P2P 网络技术[8]、非对称加密技术[9]、共识机制[10]、链上脚本[1113]等多种技术深度整合后实现的分布式账本技术[14].区块链技术利用加密的链式区块结构来验证和存储数据,利用 P2P 网络技术、共识机制实现分布式节点的验证、通信以及信任关系的建立,利用链上脚本能够实现复杂的业务逻辑功能以对数据进行自动化的操作,从而形成的一种新的数据记录、存储和表达的方法.区块链的基础框架如图 2 所示,主要由数据层、网络层、共识层以及应用层组成.
其中,数据层包括底层数据区块及其链式结构,由哈希算法、时间戳、Merkle 树、非对称加密等相关技术进行支撑,从而保护区块数据的完整性和可溯源性;网络层包括数据传播机制及交易验证机制,由 P2P 网络技术进行支撑,完成分布式节点间数据的传递和验证;共识层主要包括共识机制,通过各类共识算法来实现分布式节点间数据的一致性和真实性,一些区块链系统,如比特币中共识层还包括发行机制和激励机制,将经济因素集成到区块链技术,从而在节点间达成稳定的共识;应用层能够实现区块链的各种顶层的应用场景及相关系统的实现与落地,通过区块链支持的各类链上脚本算法及智能合约来进行支撑,提供了区块链可编程特性的基础.在该框架中,基于时间戳的链式区块结构、基于 P2P 网络的数据传输机制、分布式节点的共识机制和灵活可编程的链上脚本是区块链技术最有代表性的创新点.
1.2 关键技术
1.2.1 基于时间戳的区块链式结构
区块链通过数据区块和链式结构来存储数据.每个数据区块包括区块头和区块体两部分,都有唯一的哈希值作为区块地址与之对应,当前区块通过存储前一区块哈希值与前一区块相连,从而形成链式结构,如图 3 所示. 区块头中封装了前一区块链的哈希值、时间戳、Merkle 树根值等信息;区块体存储交易信息,即由区块链记录的数据信息,每笔交易都由交易方对其进行数字签名,从而确保数据未被伪造且不可篡改,每一笔已完成的交易都将被永久性地记录在区块体中,供全体用户查询.全部交易数据基于 Merkle 树的哈希过程生成唯一的 Merkle 树根值存储在该区块的区块头,Merkle 树这种存储结构极大地提高了查询和校验交易信息的运行效率和扩展性.同时,每个区块生成时,都由区块的记账者为区块加盖时间戳,标明区块产生的时间.随着时间戳的增强,区块不断延长从而形成了一个拥有时间维度的链条,使得数据能够按时间进行追溯,从而保证数据的可追溯性.在比特币系统中,区块头还包括随机数、目标哈希值等信息,以为比特币系统中 PoW 共识机制的运行提供数据支撑.
1.2.2 基于 P2P 的数据传输机制
P2P 网络(peer-to-peer network)是一种在对等实体之间分配工作负载和任务的分布式网络架构,是对等计算模型形成的一种组网或网络通信形式.区块链系统建立在 IP 协议和分布式网络基础上,它不依靠传统的电路交换,而是完全通过互联网去交换信息.网络中所有的节点具有相同的地位,不存在占有核心地位的中心节点和层级结构,实现了完全的去中心化.如图 4 所示,每个节点均会承担网络路由任务,把其他节点传递来的交易信息转发给更多的相邻节点,并且节点具有验证区块数据的能力,但不必所有节点都存储完整的区块链数据,节点间可以通过基于 Merkle 树的简易支付验证方式(simplified payment verification,简称 SPV)向相邻节点请求所需数据以验证交易的合法性,并对交易数据进行更新.在比特币系统中,网络中有些节点还具有钱包和挖矿功能.
1.2.3 分布式节点的共识机制
共识机制是分布式节点间根据某一事先协商好的规则来确定分布式账本(即区块)的记账权归属的方法,以此使不同节点对交易数据达成共识,保障分布式账本数据的一致性和真实性.共识机制主要用来解决拜占庭将军问题,文献[15,16]的研究表明,在可靠且可认证的同步通信条件下,拜占庭将军问题能够得到较好的解决,但在分布式异步通信条件下,很难找到一种有效的解决方案.在实际应用背景下,根据不同的限制条件,主要有强一致性共识和最终一致性共识两大类共识算法被提出,如图 5 所示.
基于强一致性共识算法的共识机制多用于节点数量相对较少且对一致性和正确性有更强要求的私有链/ 联盟链中,典型机制包括考虑拜占庭故障的传统分布式一致性算法 BFT(Byzantine fault tolerance)机制[15]、 PBFT(practical Byzantine fault tolerance)机制[17]和不考虑拜占庭故障的 Paxos机制及 Raft 机制.最终一致性共识算法多用于节点数量巨大且很难使所有节点达到 100%一致性和正确性的公有链,典型机制包括工作量证明 PoW(proof of work)、权益证明 PoS(proof of stake)和授权股份证明 DPoS(delegated proof of stake).表 1 给出代表性共识机制的对比情况,通过对比可知,强一致共识算法安全性更强,但算法复杂度高,是一种多中心机制.而最终一致性共识算法去中心化程度更高且算法复杂度低,但安全性没有强一致共识算法高.比特币系统采用的是 PoW 共识机制.
1.2.4 灵活可编程的链上脚本
链上脚本是区块链上实现自动验证、可编程、脚本合约自动执行的重要技术.早期比特币的脚本机制相对简单,是一个基于堆栈式、解释相关的 OP 指令引擎,能够解析少量脚本规则,无法实现复杂的业务逻辑.但比特币脚本为区块链可编程能力提供了一个原型设计,在随后的发展过程中,很多区块链项目都深入强化了脚本机制.如第二大区块链平台以太坊[18]设计了一种基于“EVM 虚拟机”的图灵完备脚本语言,能够实现复杂的业务逻辑功能,极大地扩宽了区块链的应用领域,首次实现了区块链技术与智能合约的完美融合.链上脚本技术为区块链提供了应用层的扩展接口,任何开发人员都可基于底层区块链技术通过脚本实现其所要实现的工作,为区块链的应用落地奠定了基础.
1.3 技术特点区块链技术
具有如下技术特点.
(1) 开放共识:任何人都可以参与到区块链网络,每一台设备都能作为一个节点,每个节点都允许获得一份完整的数据库拷贝.
(2) 去中心化:由众多节点共同组成一个端到端的网络,不存在中心化的设备和管理机构.网络的维护依赖网络中所有具有维护功能的节点共同完成,各节点地位平等,一个节点甚至几个节点的损坏不会影响整个系统的运作,网络具备很强的健壮性.
(3) 去信任:节点之间无需依赖可信第三方事先建立信任关系,只要按照系统既定的规则运行即可在分布式节点间完成可信的协作与交互.同时,区块链的运行规则和节点间数据是公开透明的,没有办法欺骗其他节点.
(4) 匿名性:区块链中的用户只与公钥地址相对应,而不与用户的真实身份相关联.用户无需暴露自己的真实身份即可完成交易、参与区块链的使用.
(5) 不可篡改:区块链系统中,由于相连区块间后序区块对前序区块存在验证关系,若要篡改某个区块的数据,就要改变该区块及其所有后序区块数据,并且还须在共识机制的特定时间内改完.因此,参与系统的节点越多,区块链的安全性就越有保证.在比特币系统中,除非能够控制整个系统中超过 51%的节点同时修改,否则很难实现攻击.
(6) 可追溯性:区块链采用带时间戳的链式区块结构存储数据,为数据增加了时间维度,并且区块上每笔交易都通过密码学方法与相邻两个区块相联,因此任何一笔交易都是可追溯的.
(7) 可编程性:区块链支持链上脚本进行应用层服务的开发,并且用户能够通过构建智能合约实现功能复杂的去中心化应用.
相关论文推荐:基于区块链的网络安全技术
摘 要 网络安全是用户在使用互联网时最为关心的问题。区块链技术能够实现数据安全存储,从而保护用户的隐私,帮助用户解决网络风险带来的威胁。本文通过简述当前网络安全所面临的主要威胁,并分析区块链的定义和特性,进而提出基于区块链的网络安全技术应用策略,从而运用这一技术减少网络安全事故的发生,提高网络技术使用时的安全性。为对目前区块链技术在网络安全中的应用情况做出一个相对全面的了解,本文以基于区块链的网络安全技术为研究对象,通过对网络安全所面临的主要威胁的分析,介绍了区块链的定义和特性,并在以上探究的基础上对基于区块链的网络安全技术应用策略进行了详细的介绍。以此来为促进区块链技术在网络安全中的应用与推广贡献上自身的一份力。
