徐恪等:基于区块链的网络安全体系结构与关键技术研究进展 2020年 要出现在网络层、传输层、应用层、PKI四个部分。块链构建的分布式真实存储可以稳定运行,并且有 络层安全主要涉及数据平面安全和控制平效避免中心服务器宕机、恶意篡改、隐瞒数据,或 面安全,基于区块链的关键技术则体现在协同式网者对不同用户提供不一致的访问结果等问题 络入侵检测和域间路由安全两个方面,其中协同式 在基于区块链真实存储所构建的网络安全应 网络入侵检测是为了检测数据平面流量异常并及用中,存在着数据可验证与不可验证两种情况。数 时对异常流量报警过滤;域间路由安全则是为了确据可验证是指用户所上传数据的有效性存在清晰 保控制平面域间路由信息的正确性,从而有效指导的判断标准,因此其它用户在获取该数据时可以准 数据平面的流量转发。传输层安全主要涉及端到端确判断其可用性,并基于该数据完成后续的计算工 的通信安全,从而确保通信数据的机密性、完整性,作,例如域间路由安全中的路由宣告信息、访问控 现阶段这样一种安全机制是基于PKI所建立,因此制机制中的授权策略信息,PKI中的证书信息;数 区块链在传输层安全的应用主要通过在PKI安全中据不可验证则是指用户所上传数据的可用性无法 的应用来体现。应用层安全主要涉及应用软件自身显性判断,因此往往需要引入信用评分、用户评价 实现逻辑的安全性以及运行过程中面临潜在恶意等机制来辅助用户对数据的可用性进行预判,例如 用户访问时的安全性,基于区块链的关键技术则主协同式入侵检测中各系统上传的报警信息、检测模 要体现在漏洞检测众包以及访问控制机制两个方型信息等。 面,其中漏洞检测众包的目的是将漏洞检测任务众 (2)真实计算是在真实存储的基础之上,引 包出去,从而尽早发现漏洞并及时修补,确保应用入智能合约,进一步构建一个真实计算平台,确保 本身的安全;访问控制机制则是对资源的访问设置计算流程的公开、透明、可验证,以及计算结果的 规则,以防止用户资源被非法访问。PKI即公钥管真实、可信、不可篡改。在该计算平台中,计算逻 理设施,负责公钥的分发、撤销等一系列工作,并辑被编码进智能合约中并部署在区块链上,用户可 对公钥持有者的身份进行背书,从而确保网络中通以通过发布交易来触发智能合约的执行,调用智能 信双方可以互相认证身份。由于现有PKI主要是采合约的交易以及智能合约的执行结果都被真实存 用中心化架构,因此区块链在PKI安全方面的应用储在区块链中。因此相比于传统中心化、分布式计 主要体现在加强中心化PKI安全和构建去中心化的算平台,基于区块链构建的分布式真实计算平台能 PKI两个方面,前者主要目的是在保留原有中心化在承担用户计算开销的同时,有效解决传统中心化 PKI不变的基础上,引入区块链技术使其更安全高计算平台计算流程不透明,计算结果不可验证,无 效;后者则是用区块链构建一个完全去中心化的法确保真实性等问题。 PKI来取代现有的中心化架构。 在基于区块链真实计算平台所构建的网络安 在基于区块链构建上述网络安全相关技术的全应用中,根据计算时机的不同可以分为预先计算 过程中,区块链的主要作用可以总结为真实存储 和实时计算两种情况。 真实计算、真实激励三个方面 预先计算是指提前将要计算的任务交由区块 (1)真实存储是将区块链作为一个真实存储链执行,并将执行结果保存在区块链中,用户则可 平台,确保用户所存储的数据真实存在,不会被恶以按需直接对计算结果进行访问。预先计算通常在 意篡改,并且面对用户的数据访问请求也能做出真计算任务针对不同用户都一致时使用,因此可以提 实的回应。在基于区块链所构建的真实存储平台前计算好对所有用户都适用的结果,例如PKI中证 中,用户以交易的形式请求数据的增加、修改、撤书的验证工作,针对同一证书,所有用户对其验证 销等操作,其它用户则可以按需对数据库的内容进流程都是一致的。在预先计算场景下,由于用户在 行读取,并基于这些数据完成后续的计算工作。在査询计算结果时只需要进行哈希计算即可验证该 对数据存取的整个流程中,区块链数据层提供的可结果的完整性,因此当计算任务繁重时,预先计算 审计性确保用户在访问数据时可以对其完整性进的方式能显著减小用户获取计算结果的时间开销 行验证;区块链网络层提供的去中心化特性则可以 实时计算则是指用户在有计算任务需求时,通 有效避免单点失效问题;区块链共识层提供的一致过交易调用智能合约,等待交易被打包执行,并获 性和不可篡改性则确保用户访问所获取数据的真取执行结果。实时计算所涉及的中间数据通常都随 实性。因此相比于传统中心化的存储平台,基于区着调用者的不同而不同,因此无法像预先计算那样6 徐 恪等：基于区块链的网络安全体系结构与关键技术研究进展 2020 年 要出现在网络层、传输层、应用层、PKI 四个部分。 网络层安全主要涉及数据平面安全和控制平 面安全，基于区块链的关键技术则体现在协同式网 络入侵检测和域间路由安全两个方面，其中协同式 网络入侵检测是为了检测数据平面流量异常并及 时对异常流量报警过滤；域间路由安全则是为了确 保控制平面域间路由信息的正确性，从而有效指导 数据平面的流量转发。传输层安全主要涉及端到端 的通信安全，从而确保通信数据的机密性、完整性， 现阶段这样一种安全机制是基于 PKI 所建立，因此 区块链在传输层安全的应用主要通过在PKI安全中 的应用来体现。应用层安全主要涉及应用软件自身 实现逻辑的安全性以及运行过程中面临潜在恶意 用户访问时的安全性，基于区块链的关键技术则主 要体现在漏洞检测众包以及访问控制机制两个方 面，其中漏洞检测众包的目的是将漏洞检测任务众 包出去，从而尽早发现漏洞并及时修补，确保应用 本身的安全；访问控制机制则是对资源的访问设置 规则，以防止用户资源被非法访问。PKI 即公钥管 理设施，负责公钥的分发、撤销等一系列工作，并 对公钥持有者的身份进行背书，从而确保网络中通 信双方可以互相认证身份。由于现有 PKI 主要是采 用中心化架构，因此区块链在 PKI 安全方面的应用 主要体现在加强中心化PKI安全和构建去中心化的 PKI 两个方面，前者主要目的是在保留原有中心化 PKI 不变的基础上，引入区块链技术使其更安全高 效；后者则是用区块链构建一个完全去中心化的 PKI 来取代现有的中心化架构。 在基于区块链构建上述网络安全相关技术的 过程中，区块链的主要作用可以总结为真实存储、 真实计算、真实激励三个方面： （1）真实存储是将区块链作为一个真实存储 平台，确保用户所存储的数据真实存在，不会被恶 意篡改，并且面对用户的数据访问请求也能做出真 实的回应。在基于区块链所构建的真实存储平台 中，用户以交易的形式请求数据的增加、修改、撤 销等操作，其它用户则可以按需对数据库的内容进 行读取，并基于这些数据完成后续的计算工作。在 对数据存取的整个流程中，区块链数据层提供的可 审计性确保用户在访问数据时可以对其完整性进 行验证；区块链网络层提供的去中心化特性则可以 有效避免单点失效问题；区块链共识层提供的一致 性和不可篡改性则确保用户访问所获取数据的真 实性。因此相比于传统中心化的存储平台，基于区 块链构建的分布式真实存储可以稳定运行，并且有 效避免中心服务器宕机、恶意篡改、隐瞒数据，或 者对不同用户提供不一致的访问结果等问题。 在基于区块链真实存储所构建的网络安全应 用中，存在着数据可验证与不可验证两种情况。数 据可验证是指用户所上传数据的有效性存在清晰 的判断标准，因此其它用户在获取该数据时可以准 确判断其可用性，并基于该数据完成后续的计算工 作，例如域间路由安全中的路由宣告信息、访问控 制机制中的授权策略信息，PKI 中的证书信息；数 据不可验证则是指用户所上传数据的可用性无法 显性判断，因此往往需要引入信用评分、用户评价 等机制来辅助用户对数据的可用性进行预判，例如 协同式入侵检测中各系统上传的报警信息、检测模 型信息等。 （2）真实计算是在真实存储的基础之上，引 入智能合约，进一步构建一个真实计算平台，确保 计算流程的公开、透明、可验证，以及计算结果的 真实、可信、不可篡改。在该计算平台中，计算逻 辑被编码进智能合约中并部署在区块链上，用户可 以通过发布交易来触发智能合约的执行，调用智能 合约的交易以及智能合约的执行结果都被真实存 储在区块链中。因此相比于传统中心化、分布式计 算平台，基于区块链构建的分布式真实计算平台能 在承担用户计算开销的同时，有效解决传统中心化 计算平台计算流程不透明，计算结果不可验证，无 法确保真实性等问题。 在基于区块链真实计算平台所构建的网络安 全应用中，根据计算时机的不同可以分为预先计算 和实时计算两种情况。 预先计算是指提前将要计算的任务交由区块 链执行，并将执行结果保存在区块链中，用户则可 以按需直接对计算结果进行访问。预先计算通常在 计算任务针对不同用户都一致时使用，因此可以提 前计算好对所有用户都适用的结果，例如 PKI 中证 书的验证工作，针对同一证书，所有用户对其验证 流程都是一致的。在预先计算场景下，由于用户在 查询计算结果时只需要进行哈希计算即可验证该 结果的完整性，因此当计算任务繁重时，预先计算 的方式能显著减小用户获取计算结果的时间开销。 实时计算则是指用户在有计算任务需求时，通 过交易调用智能合约，等待交易被打包执行，并获 取执行结果。实时计算所涉及的中间数据通常都随 着调用者的不同而不同，因此无法像预先计算那样