基于區塊鏈的信息安全技術研究

摘要：區塊鏈是一種源于數字加密貨幣比特幣的分布式總賬技術，其發展引起了產業界與學術界的廣泛關注。信息安全是現代互聯網技術發展的關鍵。區塊鏈的分布式機制、分散機制、密碼機制和腳本機制為互聯網信息安全技術的發展提供了全新視角。本文梳理了區塊鏈技術在信息安全領域的研究現狀和進展，從區塊鏈的基礎框架、區塊鏈結構、共識機制、技術特點方面介紹了區塊鏈的基本原理與理論，從身份認證技術、保護基礎設施、數據安全領域介紹了基于區塊鏈的信息安全技術研究，分析了區塊鏈技術面臨的安全問題與挑戰，對區塊鏈在信息安全領域的發展進行了總結與展望。

關鍵詞：區塊鏈;信息安全;身份認證;數據安全

一、引言

區塊鏈的概念于2008年由中本聰提出。區塊鏈技術是為了支持比特幣而產生的數字加密貨幣體系的核心技術[1]。去中心化是區塊鏈技術的核心優勢。通過數據加密、分布式共識、時間戳等技術手段，在各節點無需互相信任的分布式系統中實現基于去中心化信用的點對點交易、協調與協作，為解決傳統中心化機構普遍存在的高成本、低效率和數據存儲不安全等問題提供了解決方案。隨著比特幣等虛擬貨幣的快速發展，區塊鏈技術的研究與應用受到廣泛關注，逐漸從加密數字貨幣的核心技術發展為一種提供可信區塊鏈即服務的平臺的相關技術。近年來，諸多行業對區塊鏈的研究呈現爆發式增長，研究者積極探索與區塊鏈技術相結合的行業應用創新模式[2]。目前已經出現了區塊鏈技術應用于數字醫療、物聯網、金融、計算機科學、電子商務、環境科學等領域的研究。

信息安全是現代互聯網技術發展的關鍵。區塊鏈的分布式機制、分散機制、密碼機制和腳本機制為互聯網信息安全技術的發展提供了全新視角，重新定義了網絡中信息的存儲和傳播方式。參與者不需相互了解，也不需第三方認證機構參與。區塊鏈通過分布式技術記錄、傳輸和存儲信息，確保加密的數據不被篡改和偽造，使所有參與者能就區塊鏈數據信息的狀態達成共識。區塊鏈技術將成為信息安全技術變革過程中的巨大推動力，并對其發展產生深遠影響。

本文對區塊鏈技術的相關概念、原理及研究現狀進行介紹，對區塊鏈和信息安全結合的發展加以展望。首先介紹區塊鏈平臺的基礎框架、區塊鏈結構、共識機制、應用模式和技術特點。其次綜述了區塊鏈技術在信息安全領域的研究，闡述了區塊鏈技術在身份認證、數據保護和網絡安全方面的應用。最后分析區塊鏈技術應用于信息安全領域未來研究的挑戰和展望。

二、區塊鏈概述

（一）區塊鏈平臺基礎框架

區塊鏈是按照時間順序將數據區塊以鏈的方式組合形成的數據結構，是通過對數據進行加密來保證其不可篡改和不可偽造的去中心化、去信任的分布式共享總賬系統。從數據角度看，區塊鏈是一種不可能被更改的分布式數據庫，數據由所有節點共同參與記錄和維護，篡改數據成本巨大。單一節點的數據被篡改或被破壞不會對區塊鏈所存儲的數據產生影響，數據的完整性不易被破壞。實現了數據的安全存儲。從協議角度看，區塊鏈是一種解決數據信任的互聯網協議。從使用技術角度看，區塊鏈技術并非單一的技術創新，而是分布式存儲、非對稱加密技術[3]、共識機制、鏈上腳本、點對點網絡技術[4]、拜占庭容錯[5]等多種技術整合利用后實現的分布式賬本技術。區塊鏈的基礎框架由數據層、網絡層、共識層、智能合約層以及應用層組成，如圖1所示。

圖1? ? 區塊鏈基礎框架

（二）區塊鏈結構

區塊鏈的數據結構如圖2所示，每個區塊存儲前一區塊的哈希值與前一區塊相連，形成一種鏈式結構。區塊頭包括前一區塊的哈希值、時間戳、Merkle樹根值等信息。一段時間內的交易被組織成為Merkle樹[1]，每筆交易完成后，將交易記錄存儲在Merkle樹的葉子節點上，每兩個葉子節點合并哈希到根節點，最后生成完整Merkle樹。Merkle 樹根節點的哈希值存儲在該區塊的區塊頭，其中包含了全部交易數據。Merkle樹可以快速查詢和檢驗交易數據，并可大幅減少存儲交易信息的存儲空間。同時，在生成區塊時，區塊都會被記賬者加蓋時間戳，標明區塊產生的時間。隨著時間的變化，區塊不斷延長逐漸形成了一個擁有時間維度的鏈條，區塊鏈上數據能夠按時間進行追溯，使得區塊鏈上的數據具有可追溯性。在某些特定的區塊鏈系統中，區塊頭還包含其他信息，如在比特幣系統中，區塊頭還包含Nonce值。Nonce是比特幣礦工完成工作量證明算法后的數據，可看作礦工獲取獎勵的憑證。

（三）共識機制

基于區塊鏈去中心化的特點。區塊鏈系統中，沒有第三方可信機構。區塊鏈采用共識機制來保證每個分布式節點的數據和交易的可靠性和一致性。共識機制是一個規則，每個節點都按照規則確認各自數據。

在目前常見的公有鏈中，常用的共識機制有PoW（Proof of Work） 、PoS（Proof of Stake）[6]，此外還有PBFT[7]，DPoS等共識機制。比特幣和以太坊，都使用PoW機制。以太坊還集成了PoS機制。

PoW引入分布式節點算力競爭來保證數據的一致性和共識安全性，節點需要計算SHA256的數學難題，這個難題在計算上很困難，但正確性很容易驗證。難題解決后，將其廣播到其他節點，以達成共識目的。解決出該難題的節點會獲得若干比特幣和打包記賬權獎勵。

PoS機制通過證明加密貨幣的所有權來證明數據的可信性，系統中具有最高權益的節點擁有打包記賬權。在以太坊中，在創建區塊或交易的過程中，礦工需要支付一定數量的以太幣（以太坊中的加密貨幣）。如果創建的塊或事務最終可驗證，以太將作為獎勵返回到原始節點，否則將被罰款。在PoW機制中，節點需要大量計算。PoS機制可大大減少計算量，提高整個區塊鏈系統的吞吐量。

（四）應用模式

區塊鏈技術的應用模式主要包括公有鏈、私有鏈、聯盟鏈這3種類型[8]。其在以下方面有所不同：

1.共識機制。像比特幣這樣的公共區塊鏈，所有節點都可參與共識過程。而在聯盟鏈中只有少部分被選定的節點可以參與。在私有鏈中，中央機構將決定可以確定系統的共識機制。

2. 讀寫權限。公共鏈中用戶讀寫權限不受限制。私有鏈和聯盟鏈可以限制用戶訪問分布式賬本，用戶的讀寫權限是有限制的。

3.不可篡改性。在去中心化的區塊鏈網絡中，交易存儲在分布式賬本中并由所有用戶驗證，這使得在交易記錄公共鏈中不可被篡改。相比之下，聯盟鏈和私有鏈的分布式賬本可能被中央機構主導篡改。

4.效率。在公共鏈中，任何節點都可以隨意加入或離開網絡，其具有高度的可擴展性。由于挖掘數據復雜性的增長和新節點的不斷增多，公有鏈吞吐量相對比較有限并且延遲較高。因為參與者和共識協議較少，私有鏈和聯盟鏈的性能和效率更高[9]。

5. 去中心化。這三類區塊鏈地顯著區別在于公有區塊鏈是去中心化的，聯盟鏈是部分中心化的，私有鏈則由一個核心機構控制。

（五）技術特點

區塊鏈技術（主要指公有鏈）技術特點如下：

1.去中心化。區塊鏈基于分布式存儲數據，依靠網絡中各個節點共同實現系統的維護和信息傳遞的真實性，不需要中心管理機構對區塊鏈進行管理和維護。因此某一個或某幾個節點受到攻擊或區塊信息被篡改并不會影響整個網絡的運作，也不會破壞系統信息的完整性。

2.去信任化。任意兩個節點之間建立連接不需要信任彼此的身份也不需要認證機構提供認證，雙方之間進行數據交換無需互相信任的基礎，無需依賴可信第三方事先建立信任關系。網絡中的所有節點都是交易的見證人和監管者，不存在欺詐問題。

3.可擴展。區塊鏈是一種底層開源技術，在此基礎上可實現各類擴展和去中心化、去信任化的應用。

4.匿名化。在區塊鏈網絡中，數據交換的雙方可以是匿名的，網絡中的節點進行數據交換過程中無需知道彼此的身份和個人信息。

5.可追溯性。區塊鏈存儲數據時會將時間戳存入區塊頭中，每個區塊的生成時間都可查，而且每個區塊與前后的區塊相連接，任何一筆交易都可追溯。

6.可編程性。區塊鏈可通過鏈上腳本對應用層服務進行開發，用戶還可構建自定義的智能合約實現滿足需求的去中心化應用。

三、區塊鏈技術在信息安全領域的應用

（一）身份認證

認證是計算機系統及網絡環境中核驗用戶身份的過程，提供識別和確認用戶身份的機制，并確定用戶是否有權訪問和管理系統資源[10]。其實質是確認用戶的身份，保護正常合法用戶，保護系統安全。‘“認證技術是訪問控制、入侵檢測、安全審計等安全機制的基礎，是網絡信息安全的關鍵。目前的認證技術主要包括基于口令的認證技術、基于PKI的認證技術、基于智能卡的認證技術和基于生物特征的認證技術[11]。傳統的認證技術采用集中式認證方式。第三方證書認證機構（certification authority，簡稱 CA）是認證技術的核心，實現了證書的頒發、更新、撤銷和驗證等功能。目前，大多數web應用系統，如電子郵件系統、消息傳遞應用系統和門戶網站，都基于CA模式，由CA發布、激活和存儲，CA是一個集中的可信第三方認證機構，為用戶提供認證服務。但是這種認證方式存在安全風險[12]，非法用戶或黑客可以攻擊CA中心并偽造用戶身份或破解加密信息。然后，通過獲取用戶的正常身份對系統進行攻擊。2017年，WhatsApp的密鑰重協商機制漏洞被破解，非法用戶和黑客可以利用該漏洞發送假密鑰，并實施中間人攻擊以獲取數據。基于區塊鏈技術的身份認證具有分散認證的特點，不存在對CA等中央機構的潛在威脅，而在區塊鏈上釋放密鑰可以防止假密鑰的傳播，應用系統還可識別通信對方的真實身份。麻省理工學院的CertCoin[13-14]項目是第一個基于區塊鏈技術的PKI系統。CertCoin刪除了集中式CA，并將其替換為使用區塊鏈作為域名和公鑰的分布式賬戶，實現了身份認證的去中心化。此外，Pomcor公司發布了一個基于區塊鏈技術的PKI系統，該系統保留了CA，但使用區塊鏈存儲已發布和激活的CA的哈希值。這種方法允許用戶通過分散和透明的用戶源對證書進行身份驗證，同時通過基于區塊鏈副本對密鑰和簽名進行本地身份驗證來提高網絡訪問性能。另外一個身份保護技術項目IOTA也值得注意。該項目利用輕量級、可擴展和無區塊的分布式賬戶Tangle，作為數百萬物聯網設備交互和點對點身份驗證的主干，不依賴第三方CA。該項目將能夠重建一個全新的身份認證管理系統，在該系統中，黑客和攻擊者無法通過偽造用戶身份來攻擊系統。

（二）保護基礎設施

分布式拒絕服務攻擊（Distributed Denial of Service，簡稱DDoS）將多臺計算機作為攻擊平臺，借助C/S（Client/Server）技術，對一個或多個目標發起DDoS攻擊，從而使拒絕服務攻擊的威力加倍。拒絕服務攻擊（Denial of Service，簡稱DDoS）是針對信息安全的三個要素中可用性的攻擊。攻擊者利用目標系統網絡服務功能缺陷或直接消耗其系統資源，使目標系統無法向用戶提供正常服務。DDoS攻擊的方式多種多樣。最基本的DoS攻擊使用大量且密集的服務請求占用巨額的服務資源，使合法用戶無法獲得服務響應，破壞系統的可用性。當攻擊目標CPU、內存、帶寬等性能指標不高時，單次DoS攻擊在一對一的基礎上，能造成巨大的破壞。隨著計算機和網絡技術的發展，DoS攻擊的破壞性因計算機計算處理能力的快速增長、內存的增加和網絡帶寬的增加而降低。然而，分布式拒絕服務（DDoS）攻擊通過使用更多的傀儡對受害者進行更大規模的攻擊。DNS服務是黑客利用DDoS大規模攻擊的主要目標。2018年，多個DDoS攻擊記錄宣布DDoS已進入TB時代。區塊鏈技術的使用有望從根本上解決互聯網的“致命缺陷”——DNS。目前，DNS最大的弱點是緩存，這使得DDoS攻擊成為可能。基于區塊鏈的DNS系統使用以太坊區塊鏈和IPFS（InterPlanetary File System）注冊和解析域名，IPFS旨在取代HTTP并為所有人構建更好的網絡。IPFS使用了分布式存儲技術，可以讓黑客失去攻擊的重點，而且一個高度透明的分布式DNS系統可有效消除實體對數據的操控。諾基亞貝爾實驗室在研究中實現了 DNS 映射中可信節點的認證，以防止攻擊者惡意攻擊節點。

（三）數據安全

數據是應用系統的基礎，其完整性是數據價值的體現和數據安全技術保護目標的關鍵。根據密碼學方法，數字簽名生成一組表示簽名者身份和數據完整性的數據信息，一般附加到數據文件中[18]。用戶通過簽名人的公鑰確認數字簽名，以驗證數據信息的真實性和完整性。通常使用基于私鑰的數字簽名技術的目的是讓接收者或用戶可以驗證數據信息的來源。但是用于數字簽名的私鑰需要驗證其未被篡改，這與私鑰的機密性相矛盾。因此數字簽名只能在私鑰未被篡改的情況下使用。隨著區塊鏈技術的發展，利用區塊鏈技術取代數據信息的數字簽名可用透明代替秘密，將證據分發到大量區塊鏈節點，增加篡改數據成本。

數據安全公司GuardTime基于區塊鏈技術的KSI（（Keyless Signature Infrastructure）項目旨在取代基于密鑰的數字簽名技術。KSI將原始數據和文件的哈希表存儲在區塊鏈上，通過運行哈希算法驗證其他副本，比較存儲在區塊鏈中的數據，快速檢查出數據是否被篡改。區塊鏈技術在確保數據透明度、變更升級和數據信息的細粒度可訪問性方面發揮著重要作用，對于處理大量敏感數據并遭受頻繁黑客攻擊的數據運營組織來說意義重大。

四、挑戰與展望

（一）區塊鏈技術面臨的挑戰

1.存在安全問題

區塊鏈的安全性依靠共識機制進行支撐，目前主流的公有鏈平臺如比特幣、以太坊等都采用了PoW共識機制。這些平臺需要礦工不斷“挖礦”來維持平臺的運行，在比特幣和以太坊等平臺的工作量證明機制中，節點算力越大，就能更快的計算出哈希值，就越容易獲得打包記賬權。如果某個礦池的算力超過了整個區塊鏈網絡計算力的51%，就能通過算力優勢，來破壞和操縱區塊鏈系統，甚至篡改數據。為了解決此類安全問題，需要提出更加安全且高效的共識機制。

2.匿名和隱私

區塊鏈通常被認為可為數據提供隱私和保護，用戶使用生成的地址而不是使用真實身份進行交易。但一些研究人員認為，區塊鏈在交易隱私方面可能受到攻擊，因為發起交易的公鑰對網絡對等方是可見的 [19]。盡管在區塊鏈網絡中對等點可以是匿名的，但對比特幣平臺的一些研究表明，可以鏈接交易歷史以揭示成員的真實身份。此外，Biryukov等研究者提出了一種方法，可在防火墻或網絡地址轉換協議之后將用戶的假名鏈接到其IP 地址上。區塊鏈易受信息泄露影響的主要原因是所有公鑰的細節和余額對網絡中的每個人都是可見的。因此，應在區塊鏈應用的初始階段定義隱私和安全要求。

3.用戶賬戶不易找回

在傳統的身份認證系統中，每個用戶的賬戶由可信的第三方管理者保存和管理，如賬戶丟失，可通過預留的身份認證信息找回。但在區塊鏈中，不存在這樣的第三方管理者，區塊鏈賬號由用戶地址所對應的私鑰對其保護和認證，所有交易都要使用該私鑰。私鑰一旦丟失，無法重置或找回，賬戶內的資產和數據都將丟失，嚴重影響了區塊鏈技術的易用性。

（二）在信息安全領域的展望

區塊鏈具有的開放共識、去中心、去信任、匿名性、不可篡改等特性為保護信息安全提供了新的解決問題思路，其可以應用于多種信息安全領域。區塊鏈技術和信息安全結合的方向還有許多，如可用于訪問控制、身份管理、隱私保護等方向，為這方面的信息安全研究提供新思路和新方法。同時區塊鏈自身存在的安全問題和弊端，也為之后的信息安全研究者提供研究方向。

五、結束語

區塊鏈技術不僅是新一代交易的應用技術，它在簡化業務流程的同時提高了交易的透明度，解決了信任問題。它將徹底改變互聯網交易方式，帶來互聯網信息安全技術的變革。區塊鏈技術獨特的信息存儲和共享方式有望為信息安全行業帶來革命性的解決方案。然而，任何技術的實現和應用，在發展過程中都面臨一些安全風險和技術挑戰。希望未來的研究者能夠解決這些風險和挑戰，促進信息安全行業的發展。

作者單位：吳則平? ? 新疆大學 信息科學與工程學院

參? 考? 文? 獻

[1] Nakamoto S. Bitcoin： A peer-to-peer electronic cash system[J]. Decentralized Business Review，2008： 21260.

[2]張亮，劉百祥，張如意，江斌鑫，劉一江.區塊鏈技術綜述[J].計算機工程，2019，45（05）：1-12.

[3] KING S，NADAL S.PPCoin： peer-to-peer cryptocurrency with proof-of-stake[EB/OL][2018-12-0].http：//www.doc88.com/p-0788912122970.html.

[4] Castro， Miguel， and Barbara Liskov. “Practical byzantine fault tolerance.” [J] OSDI. Vol. 99. No. 1999. 1999. 173–186.

[5] 劉亮. B2B電子商務應用系統中信息安全技術研究[D].北方工業大學，2013.

[6]孔功勝.云計算安全認證與可信接入協議研究進展[J].河南大學學報（自然科學版），2017，47（01）：62-72.

[7]林璟鏘，荊繼武，張瓊露，王展.PKI技術的近年研究綜述[J].密碼學報，2015，2（06）：487-496.

[8] Fromknecht C ，? Velicanu D . CertCoin： A NameCoin Based Decentralized Authentication System 6.857 Class Project.

[9] Fromknecht C， Velicanu D， Yakoubov S. A Decentralized Public Key Infrastructure with Identity Retention[J]. IACR Cryptol. ePrint Arch.， 2014， 2014： 803.

[10] Hari A， Lakshman T V. The internet blockchain： A distributed， tamper-resistant transaction framework for the internet[C]//Proceedings of the 15th ACM workshop on hot topics in networks. 2016： 204-210.

[11]魯榮波. 代理數字簽名和群數字簽名的分析與設計[D].西南交通大學，2007.

[12] Henry R， Herzberg A， Kate A. Blockchain access privacy： Challenges and directions[J]. IEEE Security & Privacy， 2018， 16（4）： 38-45.

[13] Smith S M， Khovratovich D. Identity system essentials[J]. Evemyrn， Mar， 2016， 29： 16.

[14] Biryukov A， Pustogarov I. Bitcoin over Tor isnt a good idea[C]//2015 IEEE Symposium on Security and Privacy. IEEE， 2015： 122-134.