面对日渐脆弱的网络安全基础设施,有一个新型的但被忽视了的解决方案值得考虑,即比特币、Ethereum和Zcash之类的开放区块链网络。 某种程度上,开放区块链网络与域名服务商等传统基础设施提供商所用的技术很像。如同中心化的DNS服务器,开放区块链网络记录重要数据,并保护数据不受恶意或欺骗性干扰。对于密码货币,比如比特币,这些数据就是比特币用户之间的类现金交易列表。但开放区块链网络也可以用于安全记录所有类型的信息,从DNS记录到智能设备实体,到物联网用户访问权等等等等。这些网络与遗留系统的最根本区别,在于保障这些记录安全所用的方法。 网络安全的老套路被称为边界安全。有什么东西需要保护?有外部威胁?弄个边界(墙)不放进任何一个坏蛋。然而,该方法效果并不十分好,因为边界总会被侵入。而一旦进入内部,攻击者可以取得完全控制权,盗取敏感数据(如信用卡黑客事件和勒索软件攻击中表现出的那样),或者接管强力控制(比如核反应系统)。 开放区块链网络采取的安全方法,完全不同于此类边界模型。比特币协议中没有边界概念。驱动比特币的软件是开源的,可以被任何人审计。比特币交易消息在IP层明文传输,任何人可见,而网络是点对点的:建立在陌生人的电脑组成的网络上。 尽管如此公开,所有比特币交易记录——也就是传说中的区块链,却从未被黑。但区块链只是个数据结构,只是些0和1的组合。真正革命性的,是其中的共识机制,可以帮助网络中的所有计算机对新数据入链与否达成共识。 各大银行在测试的经认可区块链使用了一种直接的共识机制:只允许确定用户添加新数据。这基本上只是依然留有同样弱点的另一种安全边界而已。只要偷到了成员银行的凭证,共识数据任由更改。 比特币、Ethereum和Zcash,则做了完全不同的革新。它们允许任何人添加数据到区块链中,只要为网络做出够大牺牲即可。听起来有点像巫术,但真的仅仅是经济学而已:通过解决计算密集方程(计算机科学家称之为“工作证明”)来证明你是网络的忠实成员,然后你就被允许向链中添加新区块。 开放共识机制不区别身份、凭证或地理位置,它们只是想共担风险。因此,攻击开放区块链网络的唯一方式就是在里面投资,到这份儿上,攻击只会伤害到自身利益。正是这种“工作证明”共识机制,让比特币面对网络攻击如此坚挺,同时也将传统边界安全模式的网络防御拉到了审判台上。 可以想象一下,若实现了这种无边界的网络安全模型,今年10月份发生的对Dyn的攻击或许就会被阻止。Dyn是DNS提供商,意味着它保存有域名和IP地址的映射表。当Dyn被攻击,映射记录丢失,浏览器地址栏输入的网址便不能被翻译成IP地址,网站也就不能被加载。 正如其他每一个DNS提供商(基本上大多数Web服务也如此),Dyn的安全模型是边界安全。在敏感数据(Dyn案例中就是DNS记录)周围砌起一座高墙,祈祷这墙能挡住攻击。然而,黑客利用消息洪水(DDoS攻击)突破了这堵墙,结果就是关键互联网数据的暂时性丢失。DNS记录并不比比特币交易复杂:我们想知道谁有什么域名,我们只希望当前拥有域名的人能够将域名转交别人。 在开放区块链网络上,这一关键系统很容易就会跑到安全边界外面。计算机用户组成的开放社区会共同协作以组成去中心化的DNS服务。愿意帮助存储和确认DNS数据的任何人,都可以运行相关软件,连接到该点对点网络中,下载该网络自治维护的DNS区块链副本,确认并传递新的记录修改请求,然后因提供这项公益而收获些许数字货币奖励。 主张一个无人认领的域名很简单:请求网络将你的域名添加到DNS即可,而买卖现有域名是点对点的。对记录的任何修改可能会产生费用,就像我们今天要为域名注册付费一样。不过,这一费用会流到整个网络参与者的开放社区中,而不是落入某个特定公司的钱袋。因为没有中心失败点,开放区块链网络可以抵御Dyn类型的黑客事件,每个参与者都有域名映射记录的副本。从而令域名服务免于被攻击的恐惧。 |