浅谈“无钥签名区块链技术”在网络安全领域的价值

      关于区块链的话题最近又火起来了，不了解区块链基本原理的朋友可以参考我在2018年元旦的文章（小顾白话区块链https://mp.weixin.qq.com/s/734T6iAS_hPPvAOslIYiKA）。通过各种火爆网币，人们认识到区块链不可篡改可溯源的优秀特性，但也固化了人们对区块链的认识：公链架构是唯一架构，多用于金融、信用、网币相关领域。实际上，区块链技术不仅仅可以被用在金融领域、智能合约等方面，还可以在企业网络安全方面发挥巨大作用，不过其原理与架构，与人们所了解的公链有所不同。

      新一代SASE（Secure Access Service Edge 安全接入边缘）网络性能与安全融合架构，以身份认证为核心，集成SD-WAN与安全功能的广域网接入方案，无缝适配云环境（包括容器），以软件虚拟化形态提供微服务，适应绝大多数物理或虚拟接入端。近些年，黑客攻击重点已经从网站、数据中心转移到工业平台，如电力、水利、能源、制造等等，早期的伊朗核能工厂、近期以色列水利系统、日本本田汽车制造公司。这些案例，都是典型的APT强针对性定向攻击。而黑客也无一例外，利用各种办法或破解、或欺骗接入端的安全认证，进入系统后篡改操作指令，导致整个系统紊乱，出现事故。因此，身份认证安全，非常重要，是所有企业或组织单位都应该关注的。数字化场景，无论是工业互联网，又或物联网，都是融合型平台。接入平台的子集包括其他工业或物联平台、软件、工业设备、人为控制终端、非人控制终端等等，所有这些软硬件都可以称之为IT资产。数字经济的身份认证，其含义不再简单是人员的身份，而是所有IT资产的身份。随着社会数字化与工业互联网的不断发展，IT资产身份认证，必然会受到前所未有的重视。 

      IT资产的身份认证，至少需要确认三件事：登录时间、登录身份、身份本身信息的完整性（未被篡改过）。凌锐蓝信，利用无钥签名区块链技术，符合Gartner 对于SASE的定义，根据区块链不可篡改但可追源的特性，起到保护IT资产安全的作用。该技术形成的产品方案，我们称之为区块链SASE，使用密码学常用的默克尔树与哈希值算法，与时间轴形成比对函数，来确保每一个IT资产的唯一合法性。这与我们熟知的安全技术不同（如防火墙、态势感知、token认证等），但可以配套使用。

      安全认证过程要保证快速实时性，且持续性。而区块链被认为是低效率的分布式数据存储，持续认证过程还比较容易理解，但相互认证的过程比较久，如何确保快速实时认证？原来，为了确保持续且实时性认证，与网币型公链不同，区块链SASE为用户分布式部署私有区块链，所有区块不存储任何业务数据。重要的事情说三遍：区块不存储任何业务数据，不存储任何业务数据，不存储任何业务数据。只存储授权IT资产的唯一数字ID与唯一哈希值对应的区块链签名，近乎于空区块。如此，访问每个区块的速度就会非常快。下图举例说明，不同IT资产对应的唯一哈希值。

      图1，2M word文件

      图2，336字节的Log日志         

      图3，虚机镜像  

      此外，为了保证各区块相互认证的高效性，此区块链架构，不同于普通架构。普通架构是所有区块相互认证，而我们所介绍的区块链SASE架构，是联邦区块链分布式认证。请见下图：

图4，普通公链的架构（摘自网络），所有区块相互认证

      图5，联邦链的架构

      企业应用场景

      作为特种轴承制造的龙头企业F，在使用SD-WAN搭建企业内网的同时，要求确保企业内部研发文档、图纸、视频等敏感资料的安全性。企业并进一步要求：首先只有公司内外的授权用户才可以接触这些资料，所有访问都必须记录在案，某些低级别授权用户只可阅览，不可修改；非授权用户，零机会接触敏感资料。

      使用区块链SASE架构，做好安全部署，为受保护的数字资产，包括软件、数据、存储、服务器等，以及所有授权接触这些资料的接入端（电脑、手机、Pad、虚机等），做好数字资产认证安全。受保护的IT资产接入SD-WAN网络时，同时被授权接入私有区块链，俗称上链。私有部署的区块链通过算法为IT资产提供唯一区块链身份数字ID，并注册登记在案。同时，在毫秒级的时间内将IT资产上链的唯一哈希值记入下一区块根植，并产生该资产的唯一区块链验证签名。此区块链验证签名可以通过独立算法来推算至相对应的区块根值，达到随时验证目的。此后，每一次受保护资产接入SD-WAN网络时，都会同时接受三个唯一安全认证：区块链身份数字ID，区块链验证签名，时间轴函数比对，系统不需要通过去读取与分析日志来确保IT资产安全。在IT资产内，一旦受保护数据产生变化，区块链及其运算系统会及时发现并指出具体变化所在，节省很多时间与资源。而如果有内部人利用授权IT资产，接入网络，做了一些非授权动作，该私有区块链就会留下记录，同时做两个动作：告警，并调度IT资产自动修复功能（如果提前设置好）。

      图6，区块链SASE架构

      签名相当于藏宝图，但是只给出了向左或向右的指示，如果进入迷宫的“人”，也就是资产哈希值不对，是不能到达宝藏地的

      受保护数据通过SD-WAN传输时，SD-WAN会识别出该数据特征，然后根据安全策略，调度事先制定的私有虚拟隧道（VxLan），将受保护数据传输到授权用户端，非授权用户无法知晓SD-WAN的传输路径，也就无法通过网络接触到该业务数据。通过接入端IT资产身份保护与安全传输路径的双重保护，大大提高受保护数据的安全等级，非授权用户非常难以接触受保护IT资产。        

      图7，SD-WAN + 区块链SASE部署拓扑

      简而言之，区块链SASE有以下独特优势：

      1． 不可篡改，但可追溯

      2． 完全适合零信任环境

      3． IT资产的三重唯一认证：

      · 唯一上链身份ID

      · 唯一哈希值产生唯一区块链验证签名，确保IT资产与哈希根值记录唯一对应

      · 根哈希植与时间轴形成函数比对

      4． 分布式部署

      5． 可持续且实时验证比对，无需读取日志

      6． 业务数据流通过正常的VxLan直接传输到对端，不存储在区块中，也不会被分流到某个服务器被解密安全扫描后再加密传出

      7． 可通过传统IT手段扩展，并能保证毫秒级运行速度，不影响业务数据传输

      8． 与防火墙、态势感知等其他安全技术原理完全不同，但可以配套使用，大幅提升企业的安全性。

       高效能的网络性能与安全等级，在数字化场景中密不可分。凌锐蓝信，深刻理解数字化业务，我们的 SD-WAN产品 ”睿智通iCONNECT” 正在升级至SASE架构，本年度将提供高价值的网络与安全综合服务。

推荐阅读：蓝光播放器将退出市场