星期

2020年06月29日

浅谈“无钥签名区块链技术”在网络安全领域的价值

2020-06-29 09:02:19 来源:互联网 阅读:-

     关于区块链的话题最近又火起来了,不了解区块链基本原理的朋友可以参考我在2018年元旦的文章(小顾白话区块链https://mp.weixin.qq.com/s/734T6iAS_hPPvAOslIYiKA)。通过各种火爆网币,人们认识到区块链不可篡改可溯源的优秀特性,但也固化了人们对区块链的认识:公链架构是唯一架构,多用于金融、信用、网币相关领域。实际上,区块链技术不仅仅可以被用在金融领域、智能合约等方面,还可以在企业网络安全方面发挥巨大作用,不过其原理与架构,与人们所了解的公链有所不同。

      新一代SASE(Secure Access Service Edge 安全接入边缘)网络性能与安全融合架构,以身份认证为核心,集成SD-WAN与安全功能的广域网接入方案,无缝适配云环境(包括容器),以软件虚拟化形态提供微服务,适应绝大多数物理或虚拟接入端。近些年,黑客攻击重点已经从网站、数据中心转移到工业平台,如电力、水利、能源、制造等等,早期的伊朗核能工厂、近期以色列水利系统、日本本田汽车制造公司。这些案例,都是典型的APT强针对性定向攻击。而黑客也无一例外,利用各种办法或破解、或欺骗接入端的安全认证,进入系统后篡改操作指令,导致整个系统紊乱,出现事故。因此,身份认证安全,非常重要,是所有企业或组织单位都应该关注的。数字化场景,无论是工业互联网,又或物联网,都是融合型平台。接入平台的子集包括其他工业或物联平台、软件、工业设备、人为控制终端、非人控制终端等等,所有这些软硬件都可以称之为IT资产。数字经济的身份认证,其含义不再简单是人员的身份,而是所有IT资产的身份。随着社会数字化与工业互联网的不断发展,IT资产身份认证,必然会受到前所未有的重视。 

      IT资产的身份认证,至少需要确认三件事:登录时间、登录身份、身份本身信息的完整性(未被篡改过)。凌锐蓝信,利用无钥签名区块链技术,符合Gartner 对于SASE的定义,根据区块链不可篡改但可追源的特性,起到保护IT资产安全的作用。该技术形成的产品方案,我们称之为区块链SASE,使用密码学常用的默克尔树与哈希值算法,与时间轴形成比对函数,来确保每一个IT资产的唯一合法性。这与我们熟知的安全技术不同(如防火墙、态势感知、token认证等),但可以配套使用。

      安全认证过程要保证快速实时性,且持续性。而区块链被认为是低效率的分布式数据存储,持续认证过程还比较容易理解,但相互认证的过程比较久,如何确保快速实时认证?原来,为了确保持续且实时性认证,与网币型公链不同,区块链SASE为用户分布式部署私有区块链所有区块不存储任何业务数据。重要的事情说三遍:区块不存储任何业务数据,不存储任何业务数据,不存储任何业务数据。只存储授权IT资产的唯一数字ID与唯一哈希值对应的区块链签名,近乎于空区块。如此,访问每个区块的速度就会非常快。下图举例说明,不同IT资产对应的唯一哈希值。

      图1,2M word文件


      图2,336字节的Log日志         

  

 

      图3,虚机镜像  

  

      此外,为了保证各区块相互认证的高效性,此区块链架构,不同于普通架构。普通架构是所有区块相互认证,而我们所介绍的区块链SASE架构,是联邦区块链分布式认证。请见下图:

图4,普通公链的架构(摘自网络),所有区块相互认证

      图5,联邦链的架构

      企业应用场景

      作为特种轴承制造的龙头企业F,在使用SD-WAN搭建企业内网的同时,要求确保企业内部研发文档、图纸、视频等敏感资料的安全性。企业并进一步要求:首先只有公司内外的授权用户才可以接触这些资料,所有访问都必须记录在案,某些低级别授权用户只可阅览,不可修改;非授权用户,零机会接触敏感资料。

      使用区块链SASE架构,做好安全部署,为受保护的数字资产,包括软件、数据、存储、服务器等,以及所有授权接触这些资料的接入端(电脑、手机、Pad、虚机等),做好数字资产认证安全。受保护的IT资产接入SD-WAN网络时,同时被授权接入私有区块链,俗称上链。私有部署的区块链通过算法为IT资产提供唯一区块链身份数字ID,并注册登记在案。同时,在毫秒级的时间内将IT资产上链的唯一哈希值记入下一区块根植,并产生该资产的唯一区块链验证签名。此区块链验证签名可以通过独立算法来推算至相对应的区块根值,达到随时验证目的。此后,每一次受保护资产接入SD-WAN网络时,都会同时接受三个唯一安全认证区块链身份数字ID,区块链验证签名,时间轴函数比对系统不需要通过去读取与分析日志来确保IT资产安全。在IT资产内,一旦受保护数据产生变化,区块链及其运算系统会及时发现并指出具体变化所在,节省很多时间与资源。而如果有内部人利用授权IT资产,接入网络,做了一些非授权动作,该私有区块链就会留下记录,同时做两个动作:告警,并调度IT资产自动修复功能(如果提前设置好)。

      图6,区块链SASE架构

      签名相当于藏宝图,但是只给出了向左或向右的指示,如果进入迷宫的“人”,也就是资产哈希值不对,是不能到达宝藏地的

      受保护数据通过SD-WAN传输时,SD-WAN会识别出该数据特征,然后根据安全策略,调度事先制定的私有虚拟隧道(VxLan),将受保护数据传输到授权用户端,非授权用户无法知晓SD-WAN的传输路径,也就无法通过网络接触到该业务数据。通过接入端IT资产身份保护与安全传输路径的双重保护,大大提高受保护数据的安全等级,非授权用户非常难以接触受保护IT资产。        

      图7,SD-WAN + 区块链SASE部署拓扑

      简而言之,区块链SASE有以下独特优势:

      1. 不可篡改,但可追溯

      2. 完全适合零信任环境

      3. IT资产的三重唯一认证

      · 唯一上链身份ID

      · 唯一哈希值产生唯一区块链验证签名,确保IT资产与哈希根值记录唯一对应

      · 根哈希植与时间轴形成函数比对

      4. 分布式部署

      5. 可持续且实时验证比对,无需读取日志

      6. 业务数据流通过正常的VxLan直接传输到对端,不存储在区块中,也不会被分流到某个服务器被解密安全扫描后再加密传出

      7. 可通过传统IT手段扩展,并能保证毫秒级运行速度,不影响业务数据传输

      8. 与防火墙、态势感知等其他安全技术原理完全不同,但可以配套使用,大幅提升企业的安全性。

       高效能的网络性能与安全等级,在数字化场景中密不可分。凌锐蓝信,深刻理解数字化业务,我们的 SD-WAN产品 ”睿智通iCONNECT” 正在升级至SASE架构,本年度将提供高价值的网络与安全综合服务。


推荐阅读:oppo与vivo什么关系