摘要:隨著網絡應用的蓬勃發展,網絡信任問題日益突出,網絡信任體系的建立迫在眉睫。通過分析網絡信任體系的現狀和區塊鏈技術的應用情況,指出現有網絡信任體系中存在的問題,提出了利用區塊鏈安全可信、分布共享、去中心化等特點解決信任體系有中心認證架構的弊端以及實現網絡實體信用評價,為信任評估和動態授權提供了有力支撐。通過區塊鏈技術在網絡信任中的綜合應用,改進完善現有網絡信任運行規則,促進新的網絡信任體系建立。
圖片
0 引 言
網絡信任問題是信息安全的核心問題。信息共享、電子商務、網絡辦公等網絡應用的日益廣泛,對各種實體間建立信任的需求越來越迫切,需要通過建立網絡信任體系來維護網絡空間的社會秩序。近年來,針對網絡信任體系的研究日益深入。圍繞認證、授權、責任認定三大主體功能,網絡信任的內容得到一定程度的豐富和完善,應用范圍涉及黨政、軍隊以及互聯網的部分應用。隨著網絡和信息安全新技術、新規則的不斷涌現,網絡信任體系將融入更多先進的技術、理念和架構,滿足不同環境和條件下構建靈活、穩固、可發展的網絡信任系統的需要。
區塊鏈技術是隨著比特幣的興起而發展起來的一項新興技術和協議體系,具備公開透明、安全可信、分布共享、去中心化、可定制和封裝等特性,能夠為構建無中心的網絡認證系統和信任評估系統提供有力支撐。
1 網絡信任體系的現狀與不足
網絡信任體系的定義有很多,但迄今為止還沒有一個統一的定義。目前,比較認同的一種觀點是:網絡信任體系以密碼技術為基礎,包含網絡實體身份管理、網絡身份認證、網絡授權管理、全網責任認定和網絡信任服務等系列分體系的集合,能夠解決網絡空間中人、物、信息、軟件等實體的身份鑒別、權限控制、行為審計、事件追查與責任認定等系列信任問題。
就網絡身份認證而言,目前的認證體系和認證系統實現方式主要存在兩方面問題。一方面,對認證方式多樣化的支持不足。一個系統往往只能使用特定的認證方式,不具備認證方式的可擴展性,易用性和用戶操作體驗不佳。另一方面,目前認證系統大多具有中心化管理機構,主要起到各認證節點管理、系統內部工作調度等作用。這種方式的弊端是中心節點容易造成瓶頸,且中心節點容易遭到攻擊,一旦癱瘓或連接不上,可能導致整個認證系統的認證服務功能不正常。因此,需要對現有的網絡認證體系進行改良,使之適應現實網絡應用需求和滿足自身健壯性、可擴展性的要求。
在網絡授權管理領域,傳統的授權管理方式是基于用戶的身份、屬性以及權限范圍來制定靜態的訪問控制規則,并建立用戶與對應訪問資源的一一映射關系。然而,由于網絡環境的多變性和不確定性,需要補充一種相對的方法對安全信息進行度量和評估,確保用戶訪問資源的全程可信。特別是在訪問重要涉密數據的情況下,這種基于信任評估的動態授權顯得尤為需要。
2 區塊鏈
狹義來講,區塊鏈是一種按照時間順序將數據區塊以順序相連的方式組合的一種鏈式數據結構,并以密碼學方式保證不可篡改和不可偽造的分布式賬本。廣義來講,區塊鏈技術是利用塊鏈式數據結構來驗證與存儲數據、利用分布式節點共識算法來生產和更新數據、利用密碼學的方式保證數據傳輸和訪問的安全、利用自動化腳本代碼組成的智能合約來編程和操作數據的一種全新的分布式基礎架構和計算范式[1]。目前,對于區塊鏈的研究主要集中在底層技術實現和應用普及方面。
在信任應用方面,區塊鏈在金融服務行業的應用相對成熟。它利用已經被驗證的有效信息構建可信協議,通過全網節點分布式透明化記賬來確認有效信息,從而構建金融交易的基礎[2]。目前,很多關于區塊鏈能夠解決網絡信任問題的說法,其實是依賴區塊鏈無需映射到真實物理社會的特性,僅通過歷史信息驗證便能達成網絡虛擬實體之間進行交易的相互信賴,實則為網絡信用的產生與發揮作用的過程。嚴格來說,區塊鏈解決的是網絡中的信用問題,而非真正意義上的網絡信任。
3 區塊鏈在網絡身份認證中的應用
電子認證是目前比較典型和應用廣泛的信任支撐機制,依托權威第三方機構為網絡主體提供信任保障。然而,業務應用需求千差萬別,安全防護等級要求各不相同,再加之生物特征識別、二維碼識別、先驗知識認證等新型的身份驗證方式層出不窮,用戶對于身份認證的易用性體驗要求越來越高。僅采用基于PKI的電子認證應對網絡環境中各個應用對實體的身份認證需求是不現實的,必須考慮支持多種不同機制的身份認證。采取的應對措施是通過認證功能服務化將各種認證系統提供的安全功能進行整合和集成,同時將安全認證系統的具體特性屏蔽。認證服務提供的認證功能可以根據下層掛接的認證系統進行切換,不同的認證服務之間能夠進行協同認證[3]。關于協同認證一般的處理方式是構建一個中心節點,負責各認證服務節點的注冊管理以及相互之間的服務調度。這種有中心的認證服務管理方式容易造成瓶頸和成為被攻擊的對象,一旦各認證服務節點與中心節點連接不上,可能導致認證服務功能不正常。因此,引入區塊鏈技術來解決有中心認證架構的弊端。
具體的設計思路:多個認證服務節分布于各地各域,各種不同機制的認證系統就近掛接在認證服務節點上,認證服務節點同時充當區塊鏈的參與節點。當用戶在某個認證服務節點完成身份認證時,該認證結果信息被認證服務節點記錄于區塊鏈中;當用戶進行跨域訪問時,首先在當前所在域的認證服務節點進行身份驗證;若當前認證服務節點不支持該用戶身份的認證,則向區塊鏈查詢該用戶提供的認證方式和認證標識曾在何處認證服務節點完成過認證,并將認證請求轉發至該認證服務節點進行協同認證;認證結束獲得用戶數字身份憑證并返回給請求發起者,完成整個認證過程。
4 區塊鏈在網絡信任評估中的應用
信任關系是可以被評估的,信任程度的高低可以用信任值來表示。信任值的大小隨實體的信用、當前行為活動以及所處環境等因素的影響而進行動態變化,能夠較好地反映出網絡環境的多變性和不確定性。信用評價技術作為信任評估技術的重要組成之一,對實現網絡實體的動態可信度量具有重要意義。信任評估的信息來源比較廣泛,包括用戶當前操作終端的安全防護程度、數據通信線路的保密等級、數據流轉過程的安全防護措施、用戶的歷史信用和用戶當前行為安全性分析等。其中,歷史信用的產生與計算是一個相對獨立的研究內容,是信任評估的重要組成之一。信用是與信任密切聯系的一個概念。Abdul-Rehman對信用的定義是基于可看到的個體過去行為或者該行為的信息對該個體行為的一種期望。信用重點指的是對一個個體的可信賴度的綜合,而信任強調的是一個個體對另一個個體也就是被信任方的主觀信賴性。
區塊鏈提供了去中心化的信用建立模式[4],是公認能夠解決信用問題的技術手段,實現了社會活動及交易活動的信用證明。
信用度與網絡實體歷史操作合法性相關。選擇影響范圍廣、服務穩定、口碑良好的業務應用加入區塊鏈,要求這些業務應用對網絡實體的操作進行評價,并記錄到區塊鏈中。信任評估系統能夠從區塊鏈獲取網絡實體的歷史操作評價,按照預置的分析計算模型,經過運算得到實體當前的綜合信用評價。信任評估系統將該綜合信用評價作為計算信任評估值的一個因子,結合實體身份、當前狀態等,綜合得到網絡實體的動態信任評估值。統一授權管理平臺將動態信任評估值與訪問控制規則結合,并進行綜合評判得到動態鑒權結果。該動態鑒權結果提供給業務應用、應用訪問控制網關和網絡接入控制網關等安全控制類設備,實現對網絡實體訪問網絡或應用的合理、安全的控制。
5 結 語
區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術在互聯網時代的創新應用模式。研究區塊鏈技術在網絡信任方面的應用,并不是全盤接受其框架與協議,而是在構成網絡信任的某些方面,區塊鏈切實能夠發揮其重要作用。因此,需要充分利用區塊鏈去中心化、安全共享、低成本、可定制和封裝的優點,改進完善現有網絡信任運行規則,實現新的網絡信任體系的建立,推動形成良好的網絡空間社會秩序。
