面對(duì)日漸脆弱的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,有一個(gè)新型的但被忽視了的解決方案值得考慮,即比特幣、Ethereum和Zcash之類的開放區(qū)塊鏈網(wǎng)絡(luò)。
某種程度上,開放區(qū)塊鏈網(wǎng)絡(luò)與域名服務(wù)商等傳統(tǒng)基礎(chǔ)設(shè)施提供商所用的技術(shù)很像。如同中心化的DNS服務(wù)器,開放區(qū)塊鏈網(wǎng)絡(luò)記錄重要數(shù)據(jù),并保護(hù)數(shù)據(jù)不受惡意或欺騙性干擾。對(duì)于密碼貨幣,比如比特幣,這些數(shù)據(jù)就是比特幣用戶之間的類現(xiàn)金交易列表。但開放區(qū)塊鏈網(wǎng)絡(luò)也可以用于安全記錄所有類型的信息,從DNS記錄到智能設(shè)備實(shí)體,到物聯(lián)網(wǎng)用戶訪問(wèn)權(quán)等等等等。這些網(wǎng)絡(luò)與遺留系統(tǒng)的最根本區(qū)別,在于保障這些記錄安全所用的方法。
網(wǎng)絡(luò)安全的老套路被稱為邊界安全。有什么東西需要保護(hù)?有外部威脅?弄個(gè)邊界(墻)不放進(jìn)任何一個(gè)壞蛋。然而,該方法效果并不十分好,因?yàn)?strong>邊界總會(huì)被侵入。而一旦進(jìn)入內(nèi)部,攻擊者可以取得完全控制權(quán),盜取敏感數(shù)據(jù)(如信用卡黑客事件和勒索軟件攻擊中表現(xiàn)出的那樣),或者接管強(qiáng)力控制(比如核反應(yīng)系統(tǒng))。
開放區(qū)塊鏈網(wǎng)絡(luò)采取的安全方法,完全不同于此類邊界模型。比特幣協(xié)議中沒(méi)有邊界概念。驅(qū)動(dòng)比特幣的軟件是開源的,可以被任何人審計(jì)。比特幣交易消息在IP層明文傳輸,任何人可見(jiàn),而網(wǎng)絡(luò)是點(diǎn)對(duì)點(diǎn)的:建立在陌生人的電腦組成的網(wǎng)絡(luò)上。
盡管如此公開,所有比特幣交易記錄——也就是傳說(shuō)中的區(qū)塊鏈,卻從未被黑。但區(qū)塊鏈只是個(gè)數(shù)據(jù)結(jié)構(gòu),只是些0和1的組合。真正革命性的,是其中的共識(shí)機(jī)制,可以幫助網(wǎng)絡(luò)中的所有計(jì)算機(jī)對(duì)新數(shù)據(jù)入鏈與否達(dá)成共識(shí)。
各大銀行在測(cè)試的經(jīng)認(rèn)可區(qū)塊鏈?zhǔn)褂昧艘环N直接的共識(shí)機(jī)制:只允許確定用戶添加新數(shù)據(jù)。這基本上只是依然留有同樣弱點(diǎn)的另一種安全邊界而已。只要偷到了成員銀行的憑證,共識(shí)數(shù)據(jù)任由更改。
比特幣、Ethereum和Zcash,則做了完全不同的革新。它們允許任何人添加數(shù)據(jù)到區(qū)塊鏈中,只要為網(wǎng)絡(luò)做出夠大犧牲即可。聽(tīng)起來(lái)有點(diǎn)像巫術(shù),但真的僅僅是經(jīng)濟(jì)學(xué)而已:通過(guò)解決計(jì)算密集方程(計(jì)算機(jī)科學(xué)家稱之為“工作證明”)來(lái)證明你是網(wǎng)絡(luò)的忠實(shí)成員,然后你就被允許向鏈中添加新區(qū)塊。
開放共識(shí)機(jī)制不區(qū)別身份、憑證或地理位置,它們只是想共擔(dān)風(fēng)險(xiǎn)。因此,攻擊開放區(qū)塊鏈網(wǎng)絡(luò)的唯一方式就是在里面投資,到這份兒上,攻擊只會(huì)傷害到自身利益。正是這種“工作證明”共識(shí)機(jī)制,讓比特幣面對(duì)網(wǎng)絡(luò)攻擊如此堅(jiān)挺,同時(shí)也將傳統(tǒng)邊界安全模式的網(wǎng)絡(luò)防御拉到了審判臺(tái)上。
可以想象一下,若實(shí)現(xiàn)了這種無(wú)邊界的網(wǎng)絡(luò)安全模型,今年10月份發(fā)生的對(duì)Dyn的攻擊或許就會(huì)被阻止。Dyn是DNS提供商,意味著它保存有域名和IP地址的映射表。當(dāng)Dyn被攻擊,映射記錄丟失,瀏覽器地址欄輸入的網(wǎng)址便不能被翻譯成IP地址,網(wǎng)站也就不能被加載。
正如其他每一個(gè)DNS提供商(基本上大多數(shù)Web服務(wù)也如此),Dyn的安全模型是邊界安全。在敏感數(shù)據(jù)(Dyn案例中就是DNS記錄)周圍砌起一座高墻,祈禱這墻能擋住攻擊。然而,黑客利用消息洪水(DDoS攻擊)突破了這堵墻,結(jié)果就是關(guān)鍵互聯(lián)網(wǎng)數(shù)據(jù)的暫時(shí)性丟失。DNS記錄并不比比特幣交易復(fù)雜:我們想知道誰(shuí)有什么域名,我們只希望當(dāng)前擁有域名的人能夠?qū)⒂蛎D(zhuǎn)交別人。
在開放區(qū)塊鏈網(wǎng)絡(luò)上,這一關(guān)鍵系統(tǒng)很容易就會(huì)跑到安全邊界外面。計(jì)算機(jī)用戶組成的開放社區(qū)會(huì)共同協(xié)作以組成去中心化的DNS服務(wù)。愿意幫助存儲(chǔ)和確認(rèn)DNS數(shù)據(jù)的任何人,都可以運(yùn)行相關(guān)軟件,連接到該點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)中,下載該網(wǎng)絡(luò)自治維護(hù)的DNS區(qū)塊鏈副本,確認(rèn)并傳遞新的記錄修改請(qǐng)求,然后因提供這項(xiàng)公益而收獲些許數(shù)字貨幣獎(jiǎng)勵(lì)。
主張一個(gè)無(wú)人認(rèn)領(lǐng)的域名很簡(jiǎn)單:請(qǐng)求網(wǎng)絡(luò)將你的域名添加到DNS即可,而買賣現(xiàn)有域名是點(diǎn)對(duì)點(diǎn)的。對(duì)記錄的任何修改可能會(huì)產(chǎn)生費(fèi)用,就像我們今天要為域名注冊(cè)付費(fèi)一樣。不過(guò),這一費(fèi)用會(huì)流到整個(gè)網(wǎng)絡(luò)參與者的開放社區(qū)中,而不是落入某個(gè)特定公司的錢袋。因?yàn)闆](méi)有中心失敗點(diǎn),開放區(qū)塊鏈網(wǎng)絡(luò)可以抵御Dyn類型的黑客事件,每個(gè)參與者都有域名映射記錄的副本。從而令域名服務(wù)免于被攻擊的恐懼。