網絡安全專家：如何用區塊鏈技術構建新的防禦體系？_風聞

造就第437位講者 嚴挺

北京眾享比特科技有限公司CEO

現在關於區塊鏈的新聞非常多，有各種各樣的公有鏈，各種各樣的幣，各種各樣的系統，各種各樣的組織，各種各樣的政策，但是大家要要清楚三件事情——

區塊鏈到底是一種什麼樣的技術？

為什麼這麼多風投去投它？

為什麼這麼多人會進入到區塊鏈領域呢？

我是眾享比特的CEO和創始人嚴挺，我今天要分享的是如何使用區塊鏈技術進行網絡安全防禦。

“時間烙印”是區塊鏈與眾不同的原因？

用一個做安全的朋友的話來説，區塊鏈與安全是分不開的。如果沒有加密技術，沒有安全系統的運用，就沒有區塊鏈這樣一個技術。所以區塊鏈技術一開始就與安全、加密等系統的知識、學科分不開。

目前，區塊鏈在技術上面來説，它只是在應用層，還完全沒有到內核層、網絡層之下。但是為什麼很多人如此看重區塊鏈技術？就是因為區塊鏈用一種新的思路來看待數據本身。

我們每時每刻都在生成數據，比如我們站在這的時候，每個人身上的設備都在產生新的輸出數據。

在互聯網最開始的時候，它也產生各種各樣的數據，已經持續30年，甚至40年這個時間。但大家想想看，這個數據有什麼問題？數據實際上並沒有打上時間的烙印。

現在拿九十年代互聯網剛剛誕生時的數據來看，這個數據跟現在產生的數據是一樣的。你再看幾年前拍的照片，你不處理的話還是跟現在產生的數據是一樣的。

如果我們對互聯網上的數據進行處理，比如做索引的技術，像搜索引擎，就會產生很大的商業價值。

那區塊鏈是什麼？關鍵是它有個最大特點——區塊鏈是第一種把數據與時間結合在一起的技術。

時間這個東西很有意思，目前地球上還沒有一個人，或者一個組織能夠輕易改變時間，即使像太陽的引力要改變時間也非常困難。

那麼，區塊鏈與時間在一起有什麼意義？它用了一種很奇妙，很簡單的方式來記錄數據——

在這個“點”產生的數據必須讓其它的“點”一起來承認，當承認它的“點”越來越多的情況下，這個數據的篡改將非常困難。你總不能有本事把全世界幾千個點同時更改吧？

我為什麼創業？就是因為我覺得這個技術一定會改變安全，改變數據，改變未來。

這也是為什麼全世界有大量資金，大量人員投入到這個領域裏面，就是因為它的數據的保真性、數據產生的合理性。

經過黑客洗禮的區塊鏈是絕對安全的嗎？

我們看區塊鏈最原始的數據結構，首先區塊鏈上的代碼都是開源的，任何一個人只要有計算機基礎，到GitHub上面下載，它都有代碼。我們分析了好多種代碼，最基本的代碼分為三層——

最底層數據怎麼放，格式與傳統的數據庫是一樣的；

這個數據如何與另一個數據點同步？要用到所謂共識算法，它是一種同步的方法；

再往上面，像應用程序一樣的，怎麼去訪問。

這樣被格式化的，被嚴格保護的數據，它的結構非常簡單。那麼，在我們在傳統的安全領域來看，區塊鏈本身很安全嗎？這要一分為二來看——

首先，它的協議本身是很有意思的，如果要進攻單點的時候，它很安全，因為你不可能進攻很多點。

如果你的網絡裏面有5000個甚至10000個點都跑在一個區塊鏈的數據庫系統上，幹掉幾個點是沒用的，因為它整個系統表現出來是集體共識，共識出來每個點應該是什麼樣，它就是什麼樣，改掉幾個點沒有意義，因為大家都不會認。

但是從另一面來看，它又不是很安全，為什麼？這與其代碼質量有關。它遵循的是一種我們黑客很願意聽的話——“Code is Law”，就是代碼即法律。

但如果你代碼寫得不好呢？你寫的合約出問題了呢？很有可能你做的這個事情就是一場災難性的。

在區塊鏈的業務特性裏面，目前我們所用到的是三個方面——同步模式、溯源模式和互信模式，基本上所有的區塊鏈應用都是從這三個方面出發的。

那麼交易本身的安全問題，不管是比特幣，還是以太坊，還是USDT，還有現在新的一些工業互聯網，類似問題非常多。

因為它的代碼是全開源的，任何一個黑客都能分析它，任何一個合約也都可以分析。我想大家是一樣的，有時候自己寫東西不注意，寫錯了，這在我們這個行業中是常見的情況。

還有網絡安全本身的問題，如果黑掉節點過多情況下，它是有極大隱患的。有的系統是有超級節點的，如果超節點被黑掉，那影響會變得更大，它遭到的挑戰也會更多。

區塊鏈是一個全新的行業，它面臨的安全問題，從一開始就很多。這就涉及到區塊鏈技術從何而來？最早在公鏈上bitcoin是怎麼起來的？就是因為在暗網上大家都在用，因為它很隱蔽，只要網絡裏面有它的賬户就可以用了。

説白了它一開始就從草根起來的，一開始就是在各個方面的打擊下成長起來的。如果這個技術沒有經過黑客領域的洗禮，按照現在的速度，只要上線一個公鏈，基本上在三天之內就會被幹掉了，一點渣滓都不剩下。

在區塊鏈領域中，還有一種我們在傳統的安全圈裏面很難看到的問題。如果不是攻擊一個點，而是攻擊其51%，也就是攻擊一半以上的點，一旦成功了，那這個人就獲得了網絡的控制權。

控制這麼多的點需要足夠的算力啊，怎麼才能實現呢？很有意思，在這個世界上有很多地方可以出租算力，只要花錢就能得到。這個人也不需要永遠掌握51%的算力，只要獲得五到十分鐘，就能夠造成無法想象的影響。

所以説，談到區塊鏈技術的安全，我們不能以“絕對的”是與否來看待。

如何用區塊鏈技術構建新的防禦體系

我們能不能通過區塊鏈來防禦現有的網絡攻擊呢？是可以的，這也是我們現在公司裏面，包括很多同行在做的事情。

因為我一直在強調，區塊鏈不是靠一個點去防護，它是靠一羣一羣的點，一羣系統去防護，靠彼此之間的互連接的功能在防護。

傳統的網絡安全經常會需要防火牆，相關模塊，需要信息系統的記錄，而在區塊鏈系統中往往是沒有的，它是通過裏面的共識協議去做防護的。

比如關於區塊鏈身份驗證，可以把一個用户在每一個環節裏產生的相關數據，把它們連在一起。這個東西真與假不是在一個點上，而是在一條鏈上面，並且是與時間是有關係的。在一個長達一個月，甚至是幾年的情況下，它把所有的事情都記錄在上面，然後來佐證這個身份驗證系統。它就是很完備的，也是很安全的。

包括它怎樣去做CA（電子認證服務），其實從我個人角度上説，區塊鏈未來的發展是要替代掉現在CA系統。因為CA認證是集中式的，有些地方不太好用。

還有區塊鏈如何去做分佈存儲，現在我們存儲都存在一個地方，或者一片雲裏面。未來，我們可以利用區塊鏈系統把現在分散在各個節點之間的存儲混在一起，然後形成一種新的存儲模式。在開始記錄的時候，它就知道是什麼時候產生了這個數據，誰能看過這個數據，我授權誰能看，分享了多少次，它都能記下來。

這樣就會解決很多目前傳統技術所不能解決的問題，包括分佈式授權、共享、隱私等等都有一種新的方式來做，因為區塊鏈系統天生就是一個分佈式系統，它的設計理念和哲學思維都是不一樣的。

現在無論是我們國家還是全世界，把區塊鏈技術、大數據、人工能智能、IoT、5G等等是連在一起的，多種技術都在不同的領域中在往前走。我們覺得不久的將來這些技術都會碰頭的，可能就在這三五年內。

這個就是我今天要講的，區塊鏈技術在邏輯上的理念與傳統的技術是不一樣的，它固化了、強化了時間這個絕對值在整個系統中的作用。

最後一點我想説，區塊鏈的安全性，它的協議的安全性，它的合約的安全性，以及它對整個安全領域造成影響現在才剛剛開始。

互動話題：

你認為區塊鏈會對大家的生活產生什麼影響？