互联网经过50年的发展,规模不断增大,已发展为人类社会的重要基础设施,网络空间成为继陆、海、空和太空之后的人类第五疆域。从1969年阿帕网(ARPANET)的建立,到1974年TCP/IP协议的诞生,再到如今万维网、移动网络、物联网的出现,互联网的发展呈现出快速和多样化的趋势,这离不开互联网体系结构的支撑。随着网络空间的快速扩张,其安全问题也变得更加严峻,而当前互联网体系结构存在设计缺陷,缺少真实可信的技术基础,导致网络攻击事件频频发生,比如利用假冒地址身份发起攻击、欺骗等。
安全可信是下一代互联网体系结构面临的重大技术挑战,构建一个开放、可信、可知的互联网是未来互联网的发展方向。未来的安全可信互联网将基于真实地址、真实路径、真实身份构建自带安全属性和安全能力的互联网生态系统,提升网络基础设施内生安全防御能力,为用户提供“终端防护-设备验证-云端识别”的全链条全生命期“可信、可靠、可验证”的传输服务,同时确保用户及其行为“可信、可审计、可追溯”。IPv6和区块链技术的发展为此构想提供了支撑,IPv6能提供大量的网络空间地址,而区块链能构建起网络互联的信任基础。建设去中心化的可信网络基础设施是未来互联网发展中必不可少的一环。
1. 去中心化网络基础架构
区块链通过密码学、多方计算、共识机制等技术维护一个一致的全局账本。区块链中的区块结构大同小异,基本包括区块标识、前一个区块的哈希值和打包了交易的默克尔树(Merkle Tree)。区块一旦被打包并被网络确认,那么它将很难被篡改。并且它是透明开放的,任何参与到区块链网络的用户都能简单方便地查看区块数据。根据这种特性,可以利用区块链来构建互联网的信任基础,记录一些网络关键信息,比如地址、自治域(Autonomous Systems,AS)号、身份及其公钥信息、AS邻居关系等,保障其真实可信。
区块链是通过多个参与方共同维护的,不存在单一的服务器,没有宕机的风险,也没有被单点攻击的风险。不同的节点维护者通过一定的共识机制维护整个区块链的增长。常见的共识机制包括工作量证明(Proof-of-Work,PoW)、权益证明(Proof-of-Stake,PoS)等,一个好的共识机制能够保障区块链高效稳定地运行。智能合约的出现赋予了区块链新的活力,它能够使代码运行在区块链上,提供即时的区块链服务,即“区块链即服务”(Blockchain as a Service,BaaS)。目前国内很多互联网公司也构建了相应的BaaS平台,如阿里巴巴构建的蚂蚁区块链、百度搭建的超级链,还有腾讯区块链、华为区块链、京东区块链等。
基于区块链可以为互联网建立信任基础。本文将其作为一种底层网络基础设施,为互联网提供各种可信任的服务。第一层是区块链层,包括点对点通信(P2P)、共识机制、区块结构、智能合约、激励机制等,由不同节点维护。第二层是区块链服务层,将不同的区块链服务进行打包,为上层网络与应用提供简单可用的接口,包括去中心化的密钥管理系统、去中心化的域名管理系统、AS域管理系统、路由管理系统、网络行为可记录与追溯系统、身份验证服务等。除此之外,还可以根据网络的发展和场景的需要构建不同的服务。第三层是网络传输层。为了构建可信任的基础,本文以真实地址与真实身份为基石,通过去中心化的区块链进行注册与验证。用户一经注册,便可以以统一账户在不同服务之间进行验证,不仅保护用户隐私,也便于服务,提高安全性,使数据传输在可信环境下得到保障。终端设备在接入网络时,网络能够对其真实身份进行验证。另外该网络具备网络行为的可记录与溯源能力,对于恶意行为能够快速找到错误源,并进行矫正。数据在不同AS之间转发也是可信的,AS的可信是经过区块链保障的,用户可以对其进行验证。不同的AS之间能够通过区块链进行数据的协同,帮助网络进行自适应。最上层是应用层,包括各种应用。由于是建立在可信网络上的,各应用能够验证用户的身份,用户能够验证服务商的身份,增强端到端的通信安全,保证服务安全可信任。
2. 可信身份认证
近年来,针对公钥基础设施(Public Key Infrastructure,PKI)的攻击频繁发生。例如,被攻击的认证授权中心(Certificate Authority,CA)颁发的恶意域名证书十分普遍,而吊销的证书仍然受客户端的信任。尽管目前有很多关于加强安全套接层/安全传输层(SSL/TLS)连接的安全性的研究,但也有很多问题尚未解决,比如单点故障问题、证书的验证开销问题、证书的撤销更新问题等,都制约了传统PKI的安全性以及性能。为此,需要设计一个去中心化的PKI,一方面利用区块链的公开透明性质,保证公开证书的可验证性;另一方面可以通过区块链的多链分片技术以及高效的同步数据库查询提高去中心化PKI的性能,满足各个场景下的密钥分发及证书验证服务。建立去中心化的安全可信PKI基础设施是解决当前网络安全问题的重要手段,能够杜绝很多网络攻击,为网络提供安全可信的所有权证明、身份认证等能力支撑。例如针对用户身份认证,通过分布式密钥管理和身份验证,实现用户数据保护与行为审计。类似的工作包括陈晶等人提出的一种DPKI架构CertChain。
为了保护私钥的隐私性,防止泄露问题,在此设计为由客户终端自行按照特定的规则生成公私密钥对,然后向网络提交身份证明、IP地址、公钥和签名。身份证明可以是设备的唯一标识符或者其他一些特定信息,CA对申请的交易进行真实性验证并签名,发送到区块链网络,由节点进行共识验证,然后打包到区块链中。
区块链上记录了与证书相关的所有重要操作,包括更新、撤销等。此外,为了方便查询,在区块链之外同步一个链下数据库,使其与区块链上的信息一致,提供高速查询API和证书认证接口。利用布隆过滤器能够快速地验证证书的有效性,通过哈希表可以快速查找到对应的证书信息。区块链通过不同的节点进行维护和共识,相当于联盟链。一开始由一些权威的CA注册机构进行背书,将它们写入到背书列表,并将其公钥信息写入到创世区块进行公示。
构建去中心化公钥基础设施的系统可以为服务商和客户端提供方便的身份验证。当用户需要请求服务时,服务器判断该请求是否为敏感服务,若不是则直接服务;否则,要求用户进行身份验证。用户收到要求后,发送其身份ID和对应的私钥签名,服务器收到后向区块链服务器获取其数字证书及公钥,对其签名进行验证。如果验证通过,则提供相应的服务。同样地,用户也能对服务器进行双向验证,保证其收到的服务是可信的。
通过这种认证方式不会泄露用户的身份隐私信息。用户用一个统一的区块链ID便可以享受不同的服务,利用区块链的分布式数据库来进行信息的共享。因此,将认证服务作为一种网络基础设施,可以满足各种场景下的身份认证服务,如网站用户的认证、物联网设备的认证等。这种“认证即服务”的构想,旨在构建一个统一的安全基础设施,保证互联网内在的安全。
3. 多链结构
构建去中心化的网络基础设施是解决网络安全可信问题的有效途径,若要进行大规模的部署则必须解决其性能问题。由于区块链需要全网共识,因此提升系统的性能一直非常困难。以比特币系统为例,当前比特币网络能处理的交易量为7笔/秒,显然无法满足互联网安全的需求。由于互联网服务是多样并且异构的,单一的区块链结构已经无法满足解决互联网安全问题的性能需求,为此我们提出“服务隔离及服务可扩展”的设计思想。利用多链技术,主链负责管理子链和跨链的通信。
(1)扩展性:网络的需求在日益增长,需要不断地增加对各种网络服务功能的部署。多链结构可以方便地构建新的子链为新的服务提供安全功能,并且不影响到原有服务的安全性。
(2)安全性:区块链的安全是由大多数的忠诚节点保障的,只要超过一半的节点是忠诚的,那么它便是可信的。区块链的内在安全性决定了去中心化网络基础设施的安全性,并影响上层网络应用的安全。相比传统的单点式互联网结构,基于去中心化的网络安全性可以得到大幅提高。
(3)实时性区块链的处理性能与其共识机制、设备存储能力及网络带宽相关,一般联盟链的性能远远优于公有链。另外,随着网络带宽和设备存储能力的提高,每个区块能容纳的交易数也越来越多。通过多链以及分片技术,能大幅度提高区块链的吞吐量,解决分布式信任的实时性问题。此外,利用链下技术可以为区块链提供短时延、高质量的服务。
4. 可信的万物互联
物联网已经发展成互联网空间的一个重要组成部分,其设备数量将会远远超过普通用户的数量。物联网的安全至关重要,如果关键设备被控制,可能会造成无法估计的危害,所以亟须可信的设备和可信的网络环境。利用区块链对设备身份进行可信记录和访问控制,可以对物联网设备进行有效的管理。通过将设备的相关数据和状态记录在区块链,可以实现对设备的安全管理。通过查看区块链的物联网设备状态,实现设备系统和数据的安全管理和监控,实现一个安全的物联网生态。另外,通过区块链可以加强边缘计算的安全性,对数据实现安全的协同处理,因而提供更安全的数据、计算和存储服务,提升物联网以及边缘计算的价值。利用区块链还可以增强数据处理和服务过程中的安全和隐私。例如,利用区块链可以验证物联网数据及训练得到的机器学习参数的可信度,确保各类万物互联应用执行的安全性。
如果觉得《利用区块链的去中心化特点建设可信互联网基础设施》对你有帮助,请点赞、收藏,并留下你的观点哦!
