2019-06-25 11:12

网络安全专家:如何用区块链技术构建新的防御体系?

造就第437位讲者:严挺(北京众享比特科技有限公司CEO)

封面:视觉中国


现在关于区块链的新闻非常多,有各种各样的公有链,各种各样的币,各种各样的系统,各种各样的组织,各种各样的政策,但是大家要要清楚三件事情——


  • 区块链到底是一种什么样的技术?

  • 为什么这么多风投去投它?

  • 为什么这么多人会进入到区块链领域呢?


我是众享比特的CEO和创始人严挺,我今天要分享的是如何使用区块链技术进行网络安全防御。



“时间烙印”是区块链与众不同的原因?


用一个做安全的朋友的话来说,区块链与安全是分不开的。如果没有加密技术,没有安全系统的运用,就没有区块链这样一个技术。所以区块链技术一开始就与安全、加密等系统的知识、学科分不开。


目前,区块链在技术上面来说,它只是在应用层,还完全没有到内核层、网络层之下。但是为什么很多人如此看重区块链技术?就是因为区块链用一种新的思路来看待数据本身。


我们每时每刻都在生成数据,比如我们站在这的时候,每个人身上的设备都在产生新的输出数据。


在互联网最开始的时候,它也产生各种各样的数据,已经持续30年,甚至40年这个时间。但大家想想看,这个数据有什么问题?数据实际上并没有打上时间的烙印。


现在拿九十年代互联网刚刚诞生时的数据来看,这个数据跟现在产生的数据是一样的。你再看几年前拍的照片,你不处理的话还是跟现在产生的数据是一样的。


如果我们对互联网上的数据进行处理,比如做索引的技术,像搜索引擎,就会产生很大的商业价值。



那区块链是什么?关键是它有个最大特点——区块链是第一种把数据与时间结合在一起的技术


时间这个东西很有意思,目前地球上还没有一个人,或者一个组织能够轻易改变时间,即使像太阳的引力要改变时间也非常困难。


那么,区块链与时间在一起有什么意义?它用了一种很奇妙,很简单的方式来记录数据——


在这个“点”产生的数据必须让其它的“点”一起来承认,当承认它的“点”越来越多的情况下,这个数据的篡改将非常困难。你总不能有本事把全世界几千个点同时更改吧?



我为什么创业?就是因为我觉得这个技术一定会改变安全,改变数据,改变未来。


这也是为什么全世界有大量资金,大量人员投入到这个领域里面,就是因为它的数据的保真性、数据产生的合理性。


经过黑客洗礼的区块链是绝对安全的吗?


我们看区块链最原始的数据结构,首先区块链上的代码都是开源的,任何一个人只要有计算机基础,到GitHub上面下载,它都有代码。我们分析了好多种代码,最基本的代码分为三层——


  • 最底层数据怎么放,格式与传统的数据库是一样的;

  • 这个数据如何与另一个数据点同步?要用到所谓共识算法,它是一种同步的方法;

  • 再往上面,像应用程序一样的,怎么去访问。


这样被格式化的,被严格保护的数据,它的结构非常简单。那么,在我们在传统的安全领域来看,区块链本身很安全吗?这要一分为二来看——


首先,它的协议本身是很有意思的,如果要进攻单点的时候,它很安全,因为你不可能进攻很多点。


如果你的网络里面有5000个甚至10000个点都跑在一个区块链的数据库系统上,干掉几个点是没用的,因为它整个系统表现出来是集体共识,共识出来每个点应该是什么样,它就是什么样,改掉几个点没有意义,因为大家都不会认。



但是从另一面来看,它又不是很安全,为什么?这与其代码质量有关。它遵循的是一种我们黑客很愿意听的话——“Code is Law”,就是代码即法律。


但如果你代码写得不好呢?你写的合约出问题了呢?很有可能你做的这个事情就是一场灾难性的。



在区块链的业务特性里面,目前我们所用到的是三个方面——同步模式、溯源模式和互信模式,基本上所有的区块链应用都是从这三个方面出发的。


那么交易本身的安全问题,不管是比特币,还是以太坊,还是USDT,还有现在新的一些工业互联网,类似问题非常多。


因为它的代码是全开源的,任何一个黑客都能分析它,任何一个合约也都可以分析。我想大家是一样的,有时候自己写东西不注意,写错了,这在我们这个行业中是常见的情况。


还有网络安全本身的问题,如果黑掉节点过多情况下,它是有极大隐患的。有的系统是有超级节点的,如果超节点被黑掉,那影响会变得更大,它遭到的挑战也会更多。



区块链是一个全新的行业,它面临的安全问题,从一开始就很多。这就涉及到区块链技术从何而来?最早在公链上bitcoin是怎么起来的?就是因为在暗网上大家都在用,因为它很隐蔽,只要网络里面有它的账户就可以用了。


说白了它一开始就从草根起来的,一开始就是在各个方面的打击下成长起来的。如果这个技术没有经过黑客领域的洗礼,按照现在的速度,只要上线一个公链,基本上在三天之内就会被干掉了,一点渣滓都不剩下。


在区块链领域中,还有一种我们在传统的安全圈里面很难看到的问题。如果不是攻击一个点,而是攻击其51%,也就是攻击一半以上的点,一旦成功了,那这个人就获得了网络的控制权。


控制这么多的点需要足够的算力啊,怎么才能实现呢?很有意思,在这个世界上有很多地方可以出租算力,只要花钱就能得到。这个人也不需要永远掌握51%的算力,只要获得五到十分钟,就能够造成无法想象的影响。


所以说,谈到区块链技术的安全,我们不能以“绝对的”是与否来看待。


如何用区块链技术构建新的防御体系


我们能不能通过区块链来防御现有的网络攻击呢?是可以的,这也是我们现在公司里面,包括很多同行在做的事情。


因为我一直在强调,区块链不是靠一个点去防护,它是靠一群一群的点,一群系统去防护,靠彼此之间互连接的功能在防护。


传统的网络安全经常会需要防火墙,相关模块,需要信息系统的记录,而在区块链系统中往往是没有的,它是通过里面的共识协议去做防护的。



比如关于区块链身份验证,可以把一个用户在每一个环节里产生的相关数据,把它们连在一起。这个东西真与假不是在一个点上,而是在一条链上面,并且是与时间是有关系的。在一个长达一个月,甚至是几年的情况下,它把所有的事情都记录在上面,然后来佐证这个身份验证系统。它就是很完备的,也是很安全的。


包括它怎样去做CA(电子认证服务),其实从我个人角度上说,区块链未来的发展是要替代掉现在CA系统。因为CA认证是集中式的,有些地方不太好用。



还有区块链如何去做分布存储,现在我们存储都存在一个地方,或者一片云里面。未来,我们可以利用区块链系统把现在分散在各个节点之间的存储混在一起,然后形成一种新的存储模式。在开始记录的时候,它就知道是什么时候产生了这个数据,谁能看过这个数据,我授权谁能看,分享了多少次,它都能记下来。


这样就会解决很多目前传统技术所不能解决的问题,包括分布式授权、共享、隐私等等都有一种新的方式来做,因为区块链系统天生就是一个分布式系统,它的设计理念和哲学思维都是不一样的。


现在无论是我们国家还是全世界,把区块链技术、大数据、人工能智能、IoT、5G等等是连在一起的,多种技术都在不同的领域中在往前走。我们觉得不久的将来这些技术都会碰头的,可能就在这三五年内。



这个就是我今天要讲的,区块链技术在逻辑上的理念与传统的技术是不一样的,它固化了、强化了时间这个绝对值在整个系统中的作用。


最后一点我想说,区块链的安全性,它的协议的安全性,它的合约的安全性,以及它对整个安全领域造成影响现在才刚刚开始。


智力支持:上海市信息化青年人才协会

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com

正在改变与想要改变世界的人,都在虎嗅APP

赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定

读了这篇文章的人还读了...

回顶部
收藏
评论3
点赞2