徐恪等:基于区块链的网络安全体系结构与关键技术研究进展 提前计算一个对所有用户都适用的结果。例如访问为两类,其一是将激励机制与智能合约层结合,该 控制机制中,针对同一资源,不同用户的访问控制方式主要是利用区块链真实计算的特点实现激励 策略是不一致的,因此需要在用户请求访问时根据发放、惩罚实施的公开透明性,例如漏洞检测众包 用户的身份实时判定用户的访问权限。在基于实时中漏洞赏金的的发放,PKI中恶意证书的举报奖励 计算所构建的的网络安全技术中,用户每次调用智以及CA发布恶意证书的惩罚措施;其二是将激励 能合约都需要等待交易的打包执行,从而造成一定机制与应用层结合,该方法主要是根据区块链记录 的时间等待开销,为了有效缓解时间等待开销带来的用户历史行为以及被举报、评价历史等计算用户 的影响,针对时间敏感型的应用,通常可以采用联的信用评分,从而对用户进行区别化服务,例如协 盟链来增加回应速度, 同式网络入侵检测中根据信用评分选择信息来源 (3)真实激励是在区块链真实可信的基础上 本文主要内容可以总结为图3所示,区块链以 引入激励机制,实现公开透明的奖惩措施,在如今真实存储、真实计算和真实激励三种形式支撑着网 面临网络复杂度持续扩大的情形下,真实激励是调络安全体系架构及关键技术,但在区块链的具体应 动大家参与网络安全建设积极性的重要手段。现阶用过程中也应该注意区块链隐私性、可扩展性、安 段利用区块链真实激励的网络安全应主要可以分全性等问题,本文后续将围绕图3具体展开介绍。 1、漏洞检测众包 <心应用层安全 2、访问控制机制 中心化PI安全 传输层安全安 PKI< 2、构建去中心化PKI 1、协同式网络入侵检测 网络层安全 2、域间路由安全 block i+1 K+- 1、真实存储 1、隐私问题 2、真实计算< 2、可扩展性问题 3、真实激励 3、安全问题 4、结构演进方向 区块链网络 图3基于区块链的网络安全体系结构与关键技术研究概括图 4.1协同式网络入侵检测 区块链在网络层安全的应用 网络入侵检测系统( Network Intrusion Detection System,NIDS)通常是部署在网络重要链 在TCPP协议体系中,网络层主要是确保数路旁监听网络流量,当发现异常时及时发出警报并 据包点到点的传输,其中控制平面负责路由策略的对异常流量进行过滤,从而确保网络数据平面的安 协商,从而指导数据平面的流量转发。因此,网络全。协同式网络入侵检测系统( Collaborative nids 层安全相应的可以分为控制平面安全和数据平面 CNIDS)则是指分布在多个区域的网络入侵检测系 安全,控制平面安全主要是指路由安全,数据平面统互相协作检测大规模的复杂攻击,从而及时做出 安全则是指数据转发平面的流量安全。现阶段区块反应并过滤攻击流量,避免网络遭受更大的损失。 链在网络层数据平面安全应用主要涉及协同式网4.1.1协同式网络入侵检测现状 络入侵检测领域,在控制平面安全应用则主要涉及 CNIDS根据交互信息的流向主要分为集中式、 域间路由安全领域。本节将从这两个领域详细介绍分层式以及分布式三种组织架构,其中集中式架构 区块链在网络层安全方面的应用。 和分层式架构中都引入了中心服务器,不仅会造成 单点故障问题,还会因为涉及不同组织之间的合作?期 徐 恪等：基于区块链的网络安全体系结构与关键技术研究进展 7 提前计算一个对所有用户都适用的结果。例如访问 控制机制中，针对同一资源，不同用户的访问控制 策略是不一致的，因此需要在用户请求访问时根据 用户的身份实时判定用户的访问权限。在基于实时 计算所构建的的网络安全技术中，用户每次调用智 能合约都需要等待交易的打包执行，从而造成一定 的时间等待开销，为了有效缓解时间等待开销带来 的影响，针对时间敏感型的应用，通常可以采用联 盟链来增加回应速度， （3）真实激励是在区块链真实可信的基础上 引入激励机制，实现公开透明的奖惩措施，在如今 面临网络复杂度持续扩大的情形下，真实激励是调 动大家参与网络安全建设积极性的重要手段。现阶 段利用区块链真实激励的网络安全应主要可以分 为两类，其一是将激励机制与智能合约层结合，该 方式主要是利用区块链真实计算的特点实现激励 发放、惩罚实施的公开透明性，例如漏洞检测众包 中漏洞赏金的的发放，PKI 中恶意证书的举报奖励 以及 CA 发布恶意证书的惩罚措施；其二是将激励 机制与应用层结合，该方法主要是根据区块链记录 的用户历史行为以及被举报、评价历史等计算用户 的信用评分，从而对用户进行区别化服务，例如协 同式网络入侵检测中根据信用评分选择信息来源。 本文主要内容可以总结为图 3 所示，区块链以 真实存储、真实计算和真实激励三种形式支撑着网 络安全体系架构及关键技术，但在区块链的具体应 用过程中也应该注意区块链隐私性、可扩展性、安 全性等问题，本文后续将围绕图 3 具体展开介绍。 网络层安全 传输层安全 应用层安全 PKI 安 全 支撑 1、漏洞检测众包 2、访问控制机制 1、隐私问题 2、可扩展性问题 3、安全问题 4、结构演进方向 block i-1 block i block i+1 区块链网络 1、真实存储 2、真实计算 3、真实激励 1、协同式网络入侵检测 2、域间路由安全 1、中心化PKI安全 2、构建去中心化PKI 图 3 基于区块链的网络安全体系结构与关键技术研究概括图 4 区块链在网络层安全的应用 在 TCP/IP 协议体系中，网络层主要是确保数 据包点到点的传输，其中控制平面负责路由策略的 协商，从而指导数据平面的流量转发。因此，网络 层安全相应的可以分为控制平面安全和数据平面 安全，控制平面安全主要是指路由安全，数据平面 安全则是指数据转发平面的流量安全。现阶段区块 链在网络层数据平面安全应用主要涉及协同式网 络入侵检测领域，在控制平面安全应用则主要涉及 域间路由安全领域。本节将从这两个领域详细介绍 区块链在网络层安全方面的应用。 4.1 协同式网络入侵检测 网 络 入 侵 检 测 系 统 （ Network Intrusion Detection System，NIDS）通常是部署在网络重要链 路旁监听网络流量，当发现异常时及时发出警报并 对异常流量进行过滤，从而确保网络数据平面的安 全。协同式网络入侵检测系统（Collaborative NIDS， CNIDS）则是指分布在多个区域的网络入侵检测系 统互相协作检测大规模的复杂攻击，从而及时做出 反应并过滤攻击流量，避免网络遭受更大的损失。 4.1.1 协同式网络入侵检测现状 CNIDS 根据交互信息的流向主要分为集中式、 分层式以及分布式三种组织架构，其中集中式架构 和分层式架构中都引入了中心服务器，不仅会造成 单点故障问题，还会因为涉及不同组织之间的合作