基于區(qū)塊鏈的零信任網(wǎng)絡(luò)安全架構(gòu)

網(wǎng)絡(luò)安全問題是一個(gè)持續(xù)的、值得深入研究的問題，近二十年來，每年在國內(nèi)外都會(huì)出現(xiàn)不同頻次的網(wǎng)絡(luò)安全事件，并且在各個(gè)領(lǐng)域都出現(xiàn)的是事先不可預(yù)知和不可控的網(wǎng)絡(luò)安全事件，在國家和社會(huì)層面都形成較大的負(fù)面影響。隨著一些新興領(lǐng)域的興起，新興產(chǎn)品自身存在的安全問題，造成互聯(lián)網(wǎng)安全因素缺乏，可能給整個(gè)網(wǎng)絡(luò)帶來不安全性，從而引發(fā)各種網(wǎng)絡(luò)安全問題和事件，因此在互聯(lián)網(wǎng)開放領(lǐng)域已經(jīng)沒有絕對(duì)的網(wǎng)絡(luò)安全，隨時(shí)都有可能面臨已知和未知的網(wǎng)絡(luò)安全攻擊，從而導(dǎo)致網(wǎng)絡(luò)癱瘓、信息泄露甚至導(dǎo)致硬件故障等。

在很長一段時(shí)間國內(nèi)外都在探究如何實(shí)現(xiàn)絕對(duì)的網(wǎng)絡(luò)安全，當(dāng)很多大型的網(wǎng)絡(luò)安全企業(yè)在面臨不能絕對(duì)的保障網(wǎng)絡(luò)安全情況下，探究一種通過誠信上網(wǎng)，即從道德層面來約束上網(wǎng)者的上網(wǎng)行為，將人性放到了最高境界，這屬于一種理想境界，靠人性的約束是無法改變和解決技術(shù)層面的東西的。網(wǎng)絡(luò)安全問題它是一個(gè)技術(shù)層面的問題，解決其存在的根本問題最終還得從技術(shù)層面來處理。構(gòu)建基于區(qū)塊鏈的零信任網(wǎng)絡(luò)安全架構(gòu)，探索遺傳基因加密技術(shù)，從技術(shù)底層上進(jìn)行身份認(rèn)證和數(shù)據(jù)加密，保證數(shù)據(jù)的唯一性和安全性，從而實(shí)現(xiàn)鏈上數(shù)據(jù)的絕對(duì)安全。

一、零信任網(wǎng)絡(luò)安全架構(gòu)關(guān)鍵技術(shù)

區(qū)塊鏈。具有共識(shí)機(jī)制、智能合約和身份校驗(yàn)，對(duì)鏈上的結(jié)點(diǎn)數(shù)據(jù)不研究其是可信不可信，接入結(jié)點(diǎn)都按照不信任結(jié)點(diǎn)自動(dòng)進(jìn)行校驗(yàn)，即不管接入結(jié)點(diǎn)用戶的身份背景，本人是否誠信，由鏈上所有結(jié)點(diǎn)對(duì)其資料、數(shù)據(jù)的真實(shí)性和準(zhǔn)確性進(jìn)行校驗(yàn)，并對(duì)結(jié)點(diǎn)數(shù)據(jù)應(yīng)用獨(dú)有的加密技術(shù)進(jìn)行加密，保障其獨(dú)有的身份，校驗(yàn)通過的用戶結(jié)點(diǎn)，將其放置到區(qū)塊鏈上，保障了結(jié)點(diǎn)數(shù)據(jù)的唯一性、共識(shí)性、安全性和溯源性，并具有防篡改性；

零信任。對(duì)任何輸入、輸出都不信任，即不管接入鏈上的用戶是否可信，一律按照不信任校驗(yàn)，區(qū)塊鏈本身具有該特征，區(qū)塊鏈對(duì)接入的任何結(jié)點(diǎn)都會(huì)進(jìn)行身份驗(yàn)證，同時(shí)對(duì)結(jié)點(diǎn)的輸入進(jìn)行身份驗(yàn)證和密碼校驗(yàn)，輸出進(jìn)行身份印記，鏈上結(jié)點(diǎn)的數(shù)據(jù)，除了具有結(jié)點(diǎn)身份的人，其他的人不具有任何輸入權(quán)限，任何人不具有輸出數(shù)據(jù)的破解權(quán)限；

加密技術(shù)。要保障數(shù)據(jù)的安全，必須使用強(qiáng)悍的加密技術(shù)對(duì)數(shù)據(jù)結(jié)點(diǎn)及核心數(shù)據(jù)進(jìn)行加密，量子計(jì)算機(jī)一旦出現(xiàn)，現(xiàn)有的對(duì)稱加密算法、非對(duì)稱加密算法，其密碼可以在有限的時(shí)間內(nèi)破解的，因此需要尋求一種新型加密算法，來保障鏈上數(shù)據(jù)的安全性。遺傳基因加密算法技術(shù)，是基于人體的DNA進(jìn)行校驗(yàn)的一種安全機(jī)制，人體的DNA是無法復(fù)制與再造，也是無法改變的，用其唯一性來保證結(jié)點(diǎn)的唯一性，并對(duì)數(shù)據(jù)進(jìn)行加密身份認(rèn)證。

二、人體DNA遺傳基因密碼技術(shù)

遺傳基因加密技術(shù)作為一種新興的加密技術(shù)，利用了人體的基因序列唯一性、不可復(fù)制性和防偽性，自動(dòng)提取人體基因序列，對(duì)鏈上結(jié)點(diǎn)數(shù)據(jù)進(jìn)行加密，保證個(gè)體數(shù)據(jù)的安全性和防篡改性。

目前，提取人體DNA基因序列，在醫(yī)學(xué)上已經(jīng)實(shí)現(xiàn)，在計(jì)算機(jī)科學(xué)、電子芯片領(lǐng)域也不再是什么難題，組建鏈上每個(gè)結(jié)點(diǎn)的基因序列，加密鏈上數(shù)據(jù)，從而保障鏈上數(shù)據(jù)的安全性、可靠性、唯一性、防篡改性和可溯源性。

（一）遺傳基因具有不可變性

人體的遺傳基因是不可變的，基因的分子結(jié)構(gòu)穩(wěn)定，不容易發(fā)生改變。基因的穩(wěn)定性來源于基因的精確自我復(fù)制,并隨細(xì)胞分裂而分配給子細(xì)胞,或通過性細(xì)胞傳給子代，從而保證了遺傳的穩(wěn)定。

（二）遺傳基因的相似性沖突區(qū)分度

    一胞多胎，DNA基本是相似的，但是它們之間肯定是需要有區(qū)分度的，通過參雜度技術(shù)手段，或者基因疊加的方式，解決相似性的沖突。

（三）遺傳基因DNA提取的唯一性、可靠性和即時(shí)性

區(qū)塊鏈上獲取DNA需要即時(shí)性、可視性、時(shí)效性，以提升DNA密碼的安全性。

即時(shí)性，DNA數(shù)據(jù)有時(shí)間戳的時(shí)時(shí)動(dòng)態(tài)數(shù)據(jù)，并使用HASH函數(shù)輸出，作為影子數(shù)據(jù)存儲(chǔ)，以身份標(biāo)記輸出數(shù)據(jù)的唯一性；

可視性，DNA數(shù)據(jù)獲取系統(tǒng)與用戶交互是可見的，需要一種細(xì)胞粒子或其他與人體DNA相關(guān)的立體細(xì)胞獲取技術(shù)，采集人體DNA；

時(shí)效性，DNA密碼存在時(shí)長需要較短，一旦通過短時(shí)間驗(yàn)證后立即擦除。

三、基于區(qū)塊鏈的零信任網(wǎng)絡(luò)安全架構(gòu)

基于區(qū)塊鏈的網(wǎng)絡(luò)安全架構(gòu)。建立在區(qū)塊鏈上的結(jié)點(diǎn)本來就具有獨(dú)立性、高安全性、防篡改性和溯源性，接入互聯(lián)網(wǎng)中的任何一個(gè)結(jié)點(diǎn)出現(xiàn)安全問題都可以溯源，并且各自獨(dú)立存在，互不影響，它們的存在與丟失都不影響整個(gè)網(wǎng)絡(luò)安全運(yùn)行，鏈上結(jié)點(diǎn)彼此之間是不信任的，它們之間的信任是通過技術(shù)逐層校驗(yàn)來實(shí)現(xiàn)的，區(qū)塊鏈本身就是一個(gè)零信任的網(wǎng)絡(luò)安全架構(gòu)。

共識(shí)機(jī)制。如果利益不相干的若干個(gè)節(jié)點(diǎn)能夠達(dá)成共識(shí)，我們就可以認(rèn)為全網(wǎng)對(duì)此也能夠達(dá)成共識(shí)。如某個(gè)結(jié)點(diǎn)需要加入鏈中或者某個(gè)鏈需要發(fā)布消息，由鏈上不相干的結(jié)點(diǎn)一起來驗(yàn)證該新加入的結(jié)點(diǎn)是否符合要求或者發(fā)布的消息的真實(shí)性，一旦驗(yàn)證通過將無法改變。即對(duì)加入鏈上的結(jié)點(diǎn)不管是什么身份，鏈上只要大部分人驗(yàn)證你是一個(gè)誠實(shí)守信的人，你基本上就是一個(gè)守信的人。例如，鏈上某用戶結(jié)點(diǎn)向另外一個(gè)用戶借了1000元錢，一旦鏈上不相關(guān)結(jié)點(diǎn)驗(yàn)證該用戶確實(shí)借了1000元，那這個(gè)人的借賬記錄就保留在鏈上用戶結(jié)點(diǎn)中，該借款用戶將無法賴賬。

記賬結(jié)點(diǎn)。共識(shí)機(jī)制中有一個(gè)重要的環(huán)節(jié)是選取符合要求的記賬結(jié)點(diǎn)，完成新加入結(jié)點(diǎn)的所有操作環(huán)節(jié)，包括對(duì)新加入的結(jié)點(diǎn)信息打包、鏈上廣播、身份驗(yàn)證等的處理，記賬結(jié)點(diǎn)的選取需要遵循零信任的條件，并且該結(jié)點(diǎn)在鏈上是絕對(duì)可信和可靠的，即使記賬結(jié)點(diǎn)是安全可靠的，但是加入鏈上的結(jié)點(diǎn)數(shù)據(jù)依然不信任記賬結(jié)點(diǎn)，記賬結(jié)點(diǎn)需要采用自動(dòng)化技術(shù)識(shí)別、認(rèn)證、打包新加入的結(jié)點(diǎn)，廣播出去的數(shù)據(jù)結(jié)點(diǎn)，記賬結(jié)點(diǎn)不能有任何的渲染。

選取記賬結(jié)點(diǎn)。創(chuàng)建記賬結(jié)點(diǎn)選取的智能合約，一旦有新的結(jié)點(diǎn)申請(qǐng)加入，自動(dòng)觸發(fā)并選取記賬結(jié)點(diǎn)，對(duì)新加入結(jié)點(diǎn)，記賬結(jié)點(diǎn)按照既有的規(guī)則，完成新加入結(jié)點(diǎn)信息的采集打包、廣播、認(rèn)證，最后完成新結(jié)點(diǎn)的加入。

智能合約。一段能夠自動(dòng)執(zhí)行的代碼，經(jīng)過共識(shí)機(jī)制確認(rèn)的規(guī)則，規(guī)則一旦確認(rèn)便不能夠修改。在零信任的區(qū)塊鏈上，重要的是規(guī)則代碼的健壯性及安全性，是否會(huì)給鏈帶來不安全因素，以及上鏈路徑（編譯、部署、上鏈、調(diào)用和執(zhí)行）的安全性因素，誰來上鏈，上鏈結(jié)點(diǎn)的要求。為了保障代碼的安全性，智能合約代碼在上鏈之前是必須要進(jìn)行安全性校驗(yàn)，必要時(shí)候可以將合約代碼植入到給定地址的沙箱中，做進(jìn)一步的隔離保護(hù)。

加密技術(shù)?；ヂ?lián)網(wǎng)是完全對(duì)外開放的，身份認(rèn)證是必須且不可少的，在零信任的技術(shù)平臺(tái)中，需要高強(qiáng)度的加密技術(shù)，人體基因DNA的加密技術(shù)具有唯一性、不可篡改性，是一種新型的、安全性較高的身份驗(yàn)證技術(shù)。接入?yún)^(qū)塊鏈中的人體DNA，其采集和保密，需要研究一種新型的電子產(chǎn)品采集技術(shù)以及密封性的沙箱保護(hù)技術(shù)。

通信協(xié)議?；ヂ?lián)網(wǎng)上的區(qū)塊鏈，必須遵守互聯(lián)網(wǎng)通信協(xié)議，新興的技術(shù)要能夠完全兼容已有的網(wǎng)絡(luò)架構(gòu)和設(shè)備，基于區(qū)塊鏈的新型網(wǎng)絡(luò)安全架構(gòu)，完全適合現(xiàn)有的互聯(lián)網(wǎng)通信協(xié)議，也適合新興的國際區(qū)塊鏈通用標(biāo)準(zhǔn)。

物理結(jié)構(gòu)。不改變?nèi)魏维F(xiàn)有網(wǎng)絡(luò)資產(chǎn)，只改變現(xiàn)有的網(wǎng)絡(luò)安全架構(gòu)，轉(zhuǎn)接的網(wǎng)絡(luò)產(chǎn)品在進(jìn)鏈時(shí)，需要進(jìn)行身份驗(yàn)證，可以采用所有者人體DNA和設(shè)備“基因”聯(lián)合驗(yàn)證，符合區(qū)塊鏈國際通用規(guī)則的產(chǎn)品均可通過一定技術(shù)處理或者接口可以接入到鏈中。

區(qū)塊鏈技術(shù)，本身具有零信任特征，應(yīng)用唯一的身份驗(yàn)證和共識(shí)驗(yàn)證機(jī)制，保證鏈上結(jié)點(diǎn)的安全性、不可篡改性和可溯源性，將PC（手機(jī)、筆記本等）、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備等建在區(qū)塊鏈上，是一種安全、獨(dú)立、可靠和可信的網(wǎng)絡(luò)安全架構(gòu)，是斷網(wǎng)黏網(wǎng)的一種可靠技術(shù)。

文章來源：  《河南經(jīng)濟(jì)報(bào)》   http://www.k2057.cn/w/qt/34236.html