如何用區塊鏈技術提升網路安全？

當黑客潛入你的伺服器，計算機的日誌系統雖然會記錄下其所有行為，但有經驗的黑客往往能精確發現並改掉這些日誌，悄然離去不留下一絲蛛絲馬跡。那是否存在一個無法篡改的日誌系統？區塊鏈技術的出現，就完美的解決了這個問題。

說到區塊鏈，也許有的人還熱衷於追漲比特幣，因為區塊鏈就是比特幣的底層技術，但隨著區塊鏈技術的進一步發展，其“去中心化”功能及“資料防偽”功能在其他領域逐步受到重視。人們開始認識到，區塊鏈的應用也許不僅侷限在金融領域，而是可以擴充套件到任何有需求的領域中去，支付、雲端計算、大資料、物聯網等其他領域中來，毫無例外，區塊鏈的技術也讓網路安全看到了新的希望。

簡單來說區塊鏈具有以下特點：

1.分散式也就是去中心化，就是說所有的交易都是點對點發生的，無需任何的信用中介或集中式清算機構

2.匿名性也就是任意兩個節點間的資料交換無需互相信任，完全依靠區塊鏈中的交易歷史和資料的可追溯，以及共識機制來保證資料交換的正確且不可逆的執行

3.開放性，整個區塊鏈網路中的資料是公開透明的，每個節點都可自由加入該網路中，下載到所有的資料

4.加密資訊不可篡改性，區塊鏈的資料結構和交易流程中大量的使用了公私鑰來加解密，保證資料的安全性。基於該技術基礎，甚至可以應用群組簽名來保證共有資料的安全性。另外區塊鏈採取單向雜湊演算法，每個新產生的區塊嚴格按照時間線形順序推進，時間的不可逆性導致任何試圖入侵篡改區塊鏈內資料資訊的行為都很容易被追溯，導致被其他節點的排斥，從而可以限制相關不法行為。

鑑於區塊鏈的這4個特點，目前可以從以下三方面來增加網路安全性。

一、保護使用者網路身份

公鑰基礎設施（PKI，Public Key Infrastructure）是建立在公鑰加密技術之上的一種保護技術，可以保護郵件、通訊軟體、網路等所有型別的通訊安全。然而由於大多數PKI的實現都依賴於中心化、受信任的第三方認證中心生成、撤銷、儲存金鑰對，假如有黑客攻擊了這些第三方認證機構，就可以偽造成CA欺騙使用者身份並破解加密後的通訊資訊。

例如，即時通訊類工具WhatsApp，被指責有可能被黑客利用，冒充中間人來發起攻擊。而通過區塊鏈釋出公鑰資訊可減少中間人攻擊的風險，並且能準確驗證與您通訊好友的身份。這裡就用到了區塊鏈的加密性，非對稱加密演算法需要兩個金鑰：公開金鑰（public key）和私有金鑰（private key）。公開金鑰與私有金鑰是一對，如果用公開金鑰對資料進行加密，只有用對應的私有金鑰才能解密；如果用私有金鑰對資料進行加密，那麼只有用對應的公開金鑰才能解密。

二、保護資料的完整性

區塊鏈使用分散式賬本技術對檔案進行簽名，來代替傳統的檔案簽名方式，使得黑客們幾乎不可能偽造和竊取資料。基於區塊鏈技術研製的 KSI（Keyless Signature Infrastructure，無金鑰簽名基礎架構）系統是一個由資料安全公司GuardTime開發的，旨在取代基於金鑰的資料認證方式。KSI系統主要目標是網路中的APT攻擊，因為KSI 系統能夠將網路中的證據儲存下來。即便黑客能夠突破漏洞、修改系統日誌檔案、甚至是調整安全軟體的白名單，但是隻要留有蹤跡，就能將其繩之於法。

簡單點說，區塊鏈可以被視為一條長長的“鏈條”，資料存放在鏈條當中，同時鏈條每個“下一節”都是將“上一節”、所需儲存資訊結合之後，再次整體不可逆加密之後得到，只要這一節能夠與上下兩節特徵對應，那麼就可以肯定這一節是原始資訊、沒被他人修改。所以KSI系統最初是由美國國防高階研究計劃局用來保護高度敏感的軍事資料的。

醫院是資訊儲存最大的地方，也是敏感資訊最集中的地方，因此更要做好對資訊的保護。然而，絕大多數醫院都無法真正做到這點，還必須依靠法律的強制保護。區塊鏈的出現終於讓患者隱私資訊保護問題有了可靠的解決方案，在安全隱私的前提下，還能做到公開透明，未來患者不僅不用擔心自己的隱私被洩露，還能自己掌握自己的病歷記錄，醫生在得到患者授權後，才能檢視患者的醫療資訊。

三、保護關鍵基礎設施

2016年10月美國遭遇了史上最大規模的DDoS攻擊，整個東海岸網路癱瘓，Twitter,Netflix,paypal這些網站的集體失聯，不僅讓我們意識到黑客獲取攻擊目標關鍵服務是多麼容易，也讓我們認識到了保護最基礎的網路設施是多麼的重要。本次事故中，黑客只是攻擊了域名服務（DNS）供應商，就切斷了Twitter、Netflix、PayPal等服務的登入入口，也證明了集中式關鍵基礎設施的另外一個大漏洞。

Coin Center的Peter Van Valkenburgh提出,使用區塊鏈技術來儲存DNS域名可以提升安全網路安全防護水平，減少單點故障的風險，使黑客無法對整個網路進行攻擊。

Nebulis是一個探索如何構建分散式DNS的概念專案，即使服務請求太多網路也不會崩潰。Nebulis使用以太坊區塊鏈和分散式檔案系統(ipfs)替代中心化的http協議，來登記和解決域名問題。

Nebulis創始人PhilipSaunders就說：“當前DNS系統的被攻擊的致命弱點是因為它過於依賴快取，讓DDoS變得更加容易。”

而採用了區塊鏈的DNS域名解析系統將會變得更加透明、分佈，因為透明的、分散式的DNS域名解析系統是不可能由單一節點進行控制的，包括任何政府機構、中心機構也都無法控制，也就不會出現像 2016年10月美國那樣的嚴重事故。

未來網路安全還會出現很多新式的、意想不到的威脅，而且還會一直存在。區塊鏈只是為網路安全提供了一個解決的思路，並不能包治百病。但利用區塊鏈強化系統，來減少對集中式機構或單點系統的依賴，還是能夠讓網路安全得到一些改善的。