徐恪等:基于区块链的网络安全体系结构与关键技术研究进展 露°,各种网络安全事件都表明,一旦网络遭受攻的前期工作同样也只是集中在物联网安全领域, 击,将对人们的生活造成极其严重的影响。因此,对基于区块链的应用前景进行了描述,认为区块链 如何确保网络安全是网络发展的重点研究对象。去中心化的特点与物联网( Internet of Thing,oT) 直以来,研究者们在网络安全领域开展了大分布式的特点相适应,且区块链强大的算力储备能 量的研究工作,但是随着网络规模的扩大以及恶意弥补loT设备资源受限的窘境。Chen等人的工作 攻击行为的多样化复杂化,传统网络安全体系结构则主要是对区块链在域间路由安全的应用研究进 与关键技术己经暴露出诸多弊端。首先,如今的大行介绍,Tara等人的工作虽然对基于区块链的安 部分网络安全基础设施都是基于中心化的体系架全服务进行介绍,但并不是主要针对网络安全领 构,例如公钥基础设施( Public Key Infrastructure,域,其中主要涉及PKI、数据隐私、溯源三个方面。 PKⅠ)和资源公钥基础设施( Resource pkl,RPKⅠ)。与本文最相似的一篇综述则是来自于2018年陈烨 然而,作为许多现有网络安全技术的信任中心,这等人的工作国,该文章主要介绍了区块链在网络数 些网络安全基础设施却暴露出了严重的单点信任据安全和隐私保护、物联网设备的权限管理以及 问题(如单点作恶、操作失误等)。荷兰CA安全DDoS防御三方面的应用,然而该文章所涉及的区 证书提供商 Diginotar遭受入侵为超过500个冈站块链应用场景较少,且并没有对这些应用研究进行 发布恶意证书,以及证书颁发机构赛门铁克误发分类梳理,也没能对区块链应用于网络安全所要注 超过三万个证书扩展凭证等事件都表明,一旦这意的问题进行分析。本文对近几年基于区块链的网 些信任中心发生事故,将对整个互联网造成严重的络安全体系结构与关键技术研究进行梳理,以 影响。其次,由于网络架构的早期设计并没有详细TCP/P网络体系架构为基准,从网络层安全、应用 考虑安全问题,而许多后来提出的安全机制(例如层安全以及PKI安全三个方面介绍了基于区块链的 DNSsec和 BGPsecl)不仅需要对现有网络协议进网络安全体系结构与关键技术研究的最新进展;然 行改动,而且还会严重影响网络的运行效率,从而后对区块链引入的隐私问题、可扩展性问题、安全 造成这些机制实际部署上的困境;此外,随着万物问题以及区块链结构演进的方向进行了分析,并结 互联时代的到来,网络的复杂度将持续扩大,网络合现有的解决思路对未来应用研究进行了展望。 安全建设应该由现阶段的不同组织独立参与发展 本文后续组织如下:第二节对区块链体系结构 为多组织协同参与甚至全民参与,然而目前还缺乏与原理进行了介绍;第三节对区块链在网络安全的 套可信的激励机制来协调不同组织之间的合作应用进行了概述;第四节对区块链在网络层安全的 并调动大家参与网络安全建设的积极性。针对这些应用具体展开了介绍:第五节对区块链在应用层安 问题,区块链技术的出现提供了新的解决思路。 全的应用具体展开了介绍;第六节对区块链在PKI 块链是一种集成了P2P技术、密码学、共识安全的应用具体展开了介绍;第七节针对区块链应 机制以及分布式存储技术的可信分布式数据库,并用在网络安全过程中所需要注意的隐私问题、可扩 且具有可审计、去中心化、不可篡改等特点。正展性问题、安全问题以及区块链结构演进方向进行 是这些特点促使大量研究人员在基于区块链的网了分析与展望;最后对全文进行了总结 络安全体系结构与关键技术方面开展研究工作。然 而,现阶段却缺乏对这些研究进行系统性梳理的工2区块链体系结构 作,最早的一篇相关工作来自2017年赵阔等人向 但该文章主要针对物联网安全领域,因此没能对区 区块链这一概念最早起源于2008年中本聪发 块链在网络安全领域的应用进行系统性介绍;我们布的比特币白皮书9,之后分别经历了以太坊为 代表的智能合约时代和 Hyperledger为代表的联 ①史上规模最大!万豪旗下酒店发生5亿客户信息被泄露.htp 盟链时代的发展,如今区块链已经应用到了数字货 币、供应链管理、云游戏等各个领域,其体系结构 l2018,12,1 也呈现出了一种多元化的趋势,但总体上可以概括 2Diginotar.https:/en.wikipediaorg/wiki/diginotar 为数据层、网络层、共识层、智能合约层、应用层 3 Google takes Symantec to the woodshed for mis-issuing,0 Httpscertshttps://arstechnica.com/information-technolog 以及激励机制六个部分 v/2017/03/gooele-takes-symantec-to-the-woodshed-for-mis-issui (1)数据层是区块链可审计性的来源,其主?期 徐 恪等：基于区块链的网络安全体系结构与关键技术研究进展 3 露 ①，各种网络安全事件都表明，一旦网络遭受攻 击，将对人们的生活造成极其严重的影响。因此， 如何确保网络安全是网络发展的重点研究对象。 一直以来，研究者们在网络安全领域开展了大 量的研究工作，但是随着网络规模的扩大以及恶意 攻击行为的多样化复杂化，传统网络安全体系结构 与关键技术已经暴露出诸多弊端。首先，如今的大 部分网络安全基础设施都是基于中心化的体系架 构，例如公钥基础设施（Public Key Infrastructure， PKI）和资源公钥基础设施（Resource PKI，RPKI）。 然而，作为许多现有网络安全技术的信任中心，这 些网络安全基础设施却暴露出了严重的单点信任 问题（如单点作恶、操作失误等）。荷兰 CA 安全 证书提供商 DigiNotar 遭受入侵为超过 500 个网站 发布恶意证书②，以及证书颁发机构赛门铁克误发 超过三万个证书扩展凭证③等事件都表明，一旦这 些信任中心发生事故，将对整个互联网造成严重的 影响。其次，由于网络架构的早期设计并没有详细 考虑安全问题，而许多后来提出的安全机制（例如 DNSsec [1]和 BGPsec [2]）不仅需要对现有网络协议进 行改动，而且还会严重影响网络的运行效率，从而 造成这些机制实际部署上的困境；此外，随着万物 互联时代的到来，网络的复杂度将持续扩大，网络 安全建设应该由现阶段的不同组织独立参与发展 为多组织协同参与甚至全民参与，然而目前还缺乏 一套可信的激励机制来协调不同组织之间的合作 并调动大家参与网络安全建设的积极性。针对这些 问题，区块链技术的出现提供了新的解决思路。 区块链是一种集成了 P2P 技术、密码学、共识 机制以及分布式存储技术的可信分布式数据库，并 且具有可审计、去中心化、不可篡改等特点[3]。正 是这些特点促使大量研究人员在基于区块链的网 络安全体系结构与关键技术方面开展研究工作。然 而，现阶段却缺乏对这些研究进行系统性梳理的工 作，最早的一篇相关工作来自 2017 年赵阔等人[4]， 但该文章主要针对物联网安全领域，因此没能对区 块链在网络安全领域的应用进行系统性介绍；我们 ① 史上规模最大！万豪旗下酒店发生 5 亿客户信息被泄露. http s://tech.sina.com.cn/roll/2018-12-01/doc-ihpevhcm5918790.shtm l 2018,12,1 ② DigiNotar. https://en.wikipedia.org/wiki/DigiNotar ③ Google takes Symantec to the woodshed for mis-issuing30,0 00 HTTPS certs. https://arstechnica.com/information-technolog y/2017/03/google-takes-symantec-to-the-woodshed-for-mis-issui ng-30000-https-certs/ 2017,3,24 的前期工作[5]同样也只是集中在物联网安全领域， 对基于区块链的应用前景进行了描述，认为区块链 去中心化的特点与物联网（Internet of Thing，IoT） 分布式的特点相适应，且区块链强大的算力储备能 弥补 IoT 设备资源受限的窘境。Chen 等人[6]的工作 则主要是对区块链在域间路由安全的应用研究进 行介绍，Tara [7]等人的工作虽然对基于区块链的安 全服务进行介绍，但并不是主要针对网络安全领 域，其中主要涉及 PKI、数据隐私、溯源三个方面。 与本文最相似的一篇综述则是来自于 2018 年陈烨 等人的工作[8]，该文章主要介绍了区块链在网络数 据安全和隐私保护、物联网设备的权限管理以及 DDoS 防御三方面的应用，然而该文章所涉及的区 块链应用场景较少，且并没有对这些应用研究进行 分类梳理，也没能对区块链应用于网络安全所要注 意的问题进行分析。本文对近几年基于区块链的网 络安全体系结构与关键技术研究进行梳理，以 TCP/IP 网络体系架构为基准，从网络层安全、应用 层安全以及PKI安全三个方面介绍了基于区块链的 网络安全体系结构与关键技术研究的最新进展；然 后对区块链引入的隐私问题、可扩展性问题、安全 问题以及区块链结构演进的方向进行了分析，并结 合现有的解决思路对未来应用研究进行了展望。 本文后续组织如下：第二节对区块链体系结构 与原理进行了介绍；第三节对区块链在网络安全的 应用进行了概述；第四节对区块链在网络层安全的 应用具体展开了介绍；第五节对区块链在应用层安 全的应用具体展开了介绍；第六节对区块链在 PKI 安全的应用具体展开了介绍；第七节针对区块链应 用在网络安全过程中所需要注意的隐私问题、可扩 展性问题、安全问题以及区块链结构演进方向进行 了分析与展望；最后对全文进行了总结。 2 区块链体系结构 区块链这一概念最早起源于 2008 年中本聪发 布的比特币白皮书[9]，之后分别经历了以太坊[10]为 代表的智能合约时代和 Hyperledger[11]为代表的联 盟链时代的发展，如今区块链已经应用到了数字货 币、供应链管理、云游戏等各个领域，其体系结构 也呈现出了一种多元化的趋势，但总体上可以概括 为数据层、网络层、共识层、智能合约层、应用层 以及激励机制六个部分。 （1）数据层是区块链可审计性的来源，其主