1、基于区块链的网络安全应用框基于区块链的网络安全应用框架架目目 录录C O N T E N T S三、小三、小结结二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架一、背一、背景景2 21 1C O N T E N T S背背景景3 3区块链定区块链定义义一、背景一、背景通过去中心化和去信任的方式集体维护的一种通过去中心化和去信任的方式集体维护的一种不可篡改的分布式账本不可篡改的分布式账本Immutable Programmable Distributed Ledger4 4区块链核心内区块链核心内涵涵分布式分布式共识共识总账总账多点部署多点部署,分布式冗余存储,分布式冗余存储,
2、去中心化,安全可靠,抗毁顽去中心化,安全可靠,抗毁顽存存一账式管理一账式管理,多方数据实时同步,多方数据实时同步, 降低管理成本,提高管理效能降低管理成本,提高管理效能多方协作多方协作,共同维护,公正记录,数据,共同维护,公正记录,数据不不 可篡改,降低信任成本,提高协同效可篡改,降低信任成本,提高协同效能能一、背景一、背景5 5国内区块链政国内区块链政策策 2016年年12月,月,国务院国务院将区块链列入将区块链列入“十三五十三五”国家信息化规划;国家信息化规划; 2018年年5月,月,工信部工信部信息中心发布信息中心发布2018中国区块链产业白皮书;中国区块链产业白皮书; 2018年年5月
3、月28日,日,习近平总书记习近平总书记在两院院士大会上的讲话指出:在两院院士大会上的讲话指出:“以人工智能、以人工智能、 量子信息、移动通信、物联量子信息、移动通信、物联网、网、区块链区块链为代表的新一代信息技术加速突破应用为代表的新一代信息技术加速突破应用”; 2018年年6月,工信部印发工业互联网发展行动计划月,工信部印发工业互联网发展行动计划(2018-2020年),鼓年),鼓 励推进边缘计算、深度学习、励推进边缘计算、深度学习、区块链区块链等新兴前沿技术在工业互联网的应用研究;等新兴前沿技术在工业互联网的应用研究; 2018年年8月,月,人民日报人民日报社出版区块链社出版区块链领导干部
4、读本;领导干部读本; 2018年年9月,中国月,中国信通院信通院发布区块链白皮书;发布区块链白皮书; 中办中办2018xx号文,号文,“掌握运用大数据、人工智能、掌握运用大数据、人工智能、区块链区块链等新技术的主动权等新技术的主动权”; 截至截至2019年年7月,北京、上海、广东、浙江、河北(雄安)、江苏、山东、重庆、贵州、甘肃、海南、云南月,北京、上海、广东、浙江、河北(雄安)、江苏、山东、重庆、贵州、甘肃、海南、云南等等20多个省市或地区发布了多个省市或地区发布了区块链政策及指导意见区块链政策及指导意见,多个省份将区块链列入本省,多个省份将区块链列入本省“十三五十三五”战略发展规划,积战略
5、发展规划,积极极 开展开展区块链产业布局区块链产业布局。6 6一、背景一、背景区块链在各行业应用情区块链在各行业应用情况况区块链应用区块链应用“百花齐放百花齐放”, 体现出极强的体现出极强的创新驱动创新驱动的发展的发展活力。活力。被视为改变未来网络形态被视为改变未来网络形态 的的颠覆性技术之一,是未来颠覆性技术之一,是未来“价值互联网价值互联网”的基石的基石。一、背景一、背景7 7网络安全技术研究现网络安全技术研究现状状(1)被动防御技术)被动防御技术(2)主动防御技术)主动防御技术(3)策略性防御技术)策略性防御技术 网络隔离 入侵防御 移动目标防御 防火墙 蜜罐诱骗防御 智能动态防御 入侵
6、检测 拟态防御 人工智能网络防御 安全扫描 联动协同技术 数据加密 最优策略防御 入侵容忍防御 DDoS攻击防御一、背景一、背景8 8网络安全区块链应用现网络安全区块链应用现状状保护工业物联网设备安保护工业物联网设备安全全Xage Security公司宣布使用区块链技术保障工业物联网内设备的私有数据 分发及认证安全;跟ABB无线家居合作;并将区块链安全技术部署到戴尔IoT网关以及EdgeX平台身份认证与信任基础设身份认证与信任基础设施施REMME公司基于区块链技术给设备提供专属SSL证书;CertCoin公司是第 一批基于区块链实现PKI的公司之一;Guardtime公司使用区块链创建无钥 签
7、名基础设施(KSI)并尝试取代PKI数据完整性保护数据完整性保护IBM在Watson IoT平台中允许用户在私有区块链网络中管理IoT数据,并已 整合进Big Blue云服务中;爱立信公司的区块链数据完整性服务提供全面的 审计、兼容和可信赖数据服务,允许利用Predix PaaS平台进行技术实现更安全的更安全的DNS目前基于区块链的DNS有Namecoin、Blockstack和Nebulis等,Nebulis 使用了以太坊区块链和IPFS文件系统来注册和解析域名,在区块链技术的帮 助下,Nebulis可以构建一种更加安全且受信任的DNS基础设施Gladius公司的去中心化记账系统可以抵御流量
8、超过100Gbps的DDoS攻击, 将带宽访问权限提交到区块链分布式节点,当网站遭受DDoS攻击时,网站 可以利用这些出租带宽来缓解DDoS攻击9 9DDoS攻击防御攻击防御一、背景一、背景国内外主要差国内外主要差距距1.国外基于区块链的网络安全技术国外基于区块链的网络安全技术研究涉及研究涉及方方 向相对国内更加广泛深入向相对国内更加广泛深入2.国外基于区块链的安全产品已经国外基于区块链的安全产品已经呈现出广呈现出广泛泛 部署和产业化的趋势部署和产业化的趋势一、背景一、背景10102 2C O N T E N T S基于区块链的网络安全应用框基于区块链的网络安全应用框架架1111二、基于区块链
9、的网络安全应用框架二、基于区块链的网络安全应用框架问问题题1. 中心化的信任基础设施中心化的信任基础设施信任源采用中心化管理具有潜在安全风险,易遭受网络攻击和内部人攻击2. 数据防篡改数据防篡改/伪造与可追溯能力不完备伪造与可追溯能力不完备网络上数据共享的安全可控与追溯问题、网络安全情报数据共享与协同利用问题、网络行为追踪 溯源与审计的安全可信问题3. 协同防御激励机制欠缺协同防御激励机制欠缺目前网络防御中管理机构分散,防御资源共享壁垒多、协同协作不畅4. 态势感知与呈现数据管控不强态势感知与呈现数据管控不强网络安全态势感知的数据可信度问题、跨系统态势数据融合与统一呈现问题1212四个应用方四
10、个应用方向向1. 区块链在网络安全中的区块链在网络安全中的信任基础构建信任基础构建类应类应用用2. 区块链在网络安全中的区块链在网络安全中的数据可信数据可信类应类应用用3. 区块链在网络安全中的区块链在网络安全中的协同激励协同激励类应类应用用4. 区块链在网络安全中的区块链在网络安全中的态势感知态势感知类应类应用用l跨域协同信任服务l分布式PKI技术l可信DNS管理1313l数据安全共享服务l网络安全情报共享与利用l网络行为追踪溯源l基于区块链的DDoS协同防御l基于区块链的众包漏洞挖掘l网络安全态势可信感知l态势数据融合与统一呈现二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架
11、架四个应用方四个应用方向向多信任源安全基础多信任源安全基础 设施构建设施构建多信任源多信任源 跨域协同信任服跨域协同信任服务务 分布式分布式PKI 可信可信DNS管管理理网络安全数据可信网络安全数据可信 管理管理数据可信数据可信 数据安全共享服数据安全共享服务务 网络安全情报共享与利网络安全情报共享与利用用 网络行为追踪溯网络行为追踪溯源源网络防御协同激励网络防御协同激励 基于区块链的基于区块链的DDoS协同防协同防御御 基于区块链的众包漏洞挖基于区块链的众包漏洞挖掘掘协同激励协同激励网络安全态势可信网络安全态势可信 感知与呈现感知与呈现态势感知态势感知1414 网络安全态势可信感网络安全态势
12、可信感知知 态势数据融合与统一呈态势数据融合与统一呈现现二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架l提供全局统一的信任服务l支持跨层级跨身份管理域的身份可信互通l支持实体的跨域认证l支持证书、指纹等多种认证机制和多因素 认证方式,可动态扩展影响服务提供多信任源安全基础设施构多信任源安全基础设施构建建1. 基于区块链的跨域协同信任服务二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架数字证书系数字证书系统统系统系统1 系统系统2系统系统1系统系统2其他证书其他证书/认证系统认证系统政务政务商务商务办公办公网络应用网络应用后勤后勤区块链信任服务平台区块链信任服务
13、平台人员人员身份服身份服务务& &隐隐私保私保护护可监管的大可监管的大 数据网络行数据网络行 为分析取证为分析取证保障卡保障卡/数字身份证数字身份证保障卡保障卡数字身份证数字身份证 l 具备强抗毁容灾能力,单点故障和失效不设备设备1515l 信任根被多个信任主体进行分布式管理,不会 因部分信任系统的信息泄露导致信任根不安全l 证书的签发和管理也由多个信任主体完成,对 于使用用户将更加安全可信l 如图,系统公钥只有一个,用于基本的证书验 证,而对应的签名私钥则被分割为三个部分, 由三个不同的信任源进行管理,实现多个信任 源的共识签发管理,最终签发的数字证书符合 当前公钥PKI的管理使用流程二、基
14、于区块链的网络安全应用框二、基于区块链的网络安全应用框架架多信任源安全基础设施构多信任源安全基础设施构建建2. 分布式PKI1616l 基于区块链的DNS服务将域名数据通过共识验 证记入区块链,利用防篡改机制保证链上信息 的可信,通过同步机制实现DNS服务器域名数 据逻辑视图的全网一致性,DNS服务器和请求 方可利用区块链公开验证域名解析结果的可信l 域名数据不可篡改并可公开可验证,可有效防 止DNS劫持、DNS污染等攻击l 可由任意节点提供可信DNS服务,可有效防御 针对DNS的DDoS攻击二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架多信任源安全基础设施构多信任源安全基础
15、设施构建建3. 可信DNS等网络基础设施安全应用1717l 采用区块链技术结合数据指纹、 数据标签水印等技术,对数据资 产形成唯一的身份标识,实现数 据资源的实例化l 通过区块链对数据资产实现登记 与确权,依托其多方共识和不可 篡改特性对数据共享全过程进行 公正记录与安全管控,同时便于 对数据泄露和违规使用实施确责 与追溯l 依托基于区块链的数据安全共享平台,建立起多方之间 安全可控的数据共享生态,激励数据共享行为,确保数 据共享安全,发挥数据价值二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架网络安全数据可信管网络安全数据可信管理理1. 基于区块链的数据安全共享服务1818l
16、威胁情报的生产、录用、分享、反馈都受区块 链的约束和监督,对情报的质量进行量化评价, 构建中立、可信任的新型安全情报分享平台l支持构建对等的多方协同的安全情报社区l具备工作量、贡献度公证记录机制l保障情报数据不可篡改和可信,具备追溯机制l可建立基于共识的激励机制,激发社区活力2. 基于区块链的网络安全威胁情报共享与利用二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架网络安全数据可信管网络安全数据可信管理理1919l 利用区块链分布式、不可篡改和不可否认的特 性,将人员、应用、设备、数据的行为记录在 区块链中形成不可篡改的行为记录l 提供全域全时追踪溯源数据的可信采集、记录 和查
17、验l 支持利用大数据行为分析技术将各实体的行为 进行关联分析,从而形成全局视角的行为审计 与责任认定机制二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架网络安全数据可信管网络安全数据可信管理理3. 基于区块链的网络行为追踪溯源2020l服务能力聚合和流量分流,充分利用 内外部闲置带宽和处理能力l单点故障不影响系统服务l支持节点贡献的公证记录与激励二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架网络防御协同激网络防御协同激励励1. 基于区块链的DDoS协同防御2121l 利用区块链提供参与各方共同见证的不可篡改 的贡献记录与权益记录,为构建自驱、协同、 安全、可信
18、的众包漏洞挖掘生态奠定技术基础l 通过数据指纹技术为漏洞资源建立身份,并在 区块链系统中进行漏洞资源登记,实现漏洞资 源的权属确认和可追溯l 漏洞挖掘协作过程通过智能合约管控执行,漏 洞挖掘行为以及使用的数据权属均通过区块链 形成不可篡改记录,继而根据系统记录建立贡 献度评价并实施奖励激励二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架网络防御协同激网络防御协同激励励2. 基于区块链的众包漏洞挖掘2222l 网络安全态势感知系统在融合处理层、威胁分 析层、态势评估与态势呈现层的关键数据操作 均与区块链交互,依托区块链对各个阶段的关 键数据源信息进行可信校验,对数据分析处理 结果
19、进行记链存证l 凭借区块链不可篡改、全程可追溯等特性,确 保态势感知过程关键数据可信二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架网络安全态势可信感知与呈网络安全态势可信感知与呈现现1. 基于区块链的网络安全态势可信感知2323l区块链安全应用数据采集及分析,通过对承载在区块链平台上的安全应用数据进行采集,建立安全 数据模型,通过安全模型进行数据分析l区块链安全应用数据可视化呈现,结合安全模型及数据分析结果,对区块链安全应用数据进行统一 态势呈现,归类重点安全事件进行提示二、基于区块链的网络安全应用框二、基于区块链的网络安全应用框架架网络安全态势可信感知与呈网络安全态势可信感
20、知与呈现现2. 基于区块链的态势数据融合与统一呈现24243 3C O N T E N T S小小结结2525基于区块链的网络安全应用框基于区块链的网络安全应用框架架构建分布式信任、协同激励、安全风险低、系统 管理信息不可篡改的新型网络安全应用框架分布式信任体现网络安全应用通过分布式 多中心共识方式进行维护管理,整个管理过程公 证透明可信任协同激励在多中心共识管理的基础上加入 激励机制,实现多方的网络防御资源共享协同安全风险低分布式共识的系统结构可一定 程度抵抗网络攻击或者内部人攻击系统管理信息不可篡改网络防御过程中形 成的信息通过链式账本进行存储,实现不可篡改三、小结三、小结2626应用拓应
21、用拓展展 信任服务信任服务1. 网络安全网络安全构建多域间的新型跨域信任模式、建立多方参与的实体证书管理等服务,强化网络信任基础设施2. 政务领域政务领域应用于政府对各类电子证照的统一管理与服务,基于区块链构建全局统一、不可篡改的电子证照库3. 民用领域民用领域基于区块链构建对公民身份、属性等信任源的统一管理与服务,融合各类身份属性提供方,提供 统一的可信身份管理以及便捷的身份出示、身份认证等服务4. 金融领域金融领域分布式PKI技术有助于提升银行根证书管理的安全性,也能够支持在多家银行组成的联盟当中由各 方共同构建信任源,从而打造整个联盟的信任生态2727三、小结三、小结应用拓应用拓展展 数
22、据可信数据可信1. 基于区块链的数据安全可信共享基于区块链的数据安全可信共享在政务、信用、医疗、科研、军事等领域实现数据的安全可控共享,通过区块链技术实现数据资 产登记与确权、数据共享交换全程公正记录与安全管控、数据泄露和违规使用的确责与追溯2. 网络行为的可靠追踪溯源网络行为的可靠追踪溯源在政务领域可以用于行政执法信息的不可篡改记录,实现具有公信力的行政执法监管在网络安全领域通过区块链对网络信息系统上的各种关键操作信息、系统安全审计日志等关键的安 全信息进行可信存证,实现“攻击留痕”2828三、小结三、小结应用拓应用拓展展 协同激励协同激励1. 网络防御网络防御区块链技术能够为联合防御、众包协作等分工合作提供支撑,有利于进一步释放网络防御潜力, 提升网络防御资源的利用效率2. 其他各类众包协作其他各类众包协作2929三、小结三、小结应用拓应用拓展展 态势感知态势感知1. 网络安全态势感知网络安全态势感知为网络安全态势信息汇集、可视化呈现、态势研判及网络安全决策提供有力的支持30302. 行业业务合规性监管行业业务合规性监管一方面,区块链能够保证记链信息和最终态势呈现结果的可信;另一方面,也为安全监管与风险 控制提供可信的数据来源三、小结三、小结谢谢聆听!
