区块链（一）基于区块链的网络安全技术

一.浅层对区块链的认识

1.基于区块链的网络安全机制具有去中心化、不可篡改、可追溯、高可信和高可用的特性，有利于提升网络安全性。
2.网络安全可以采用区块链（blockchain）技术，建立一个去中心化的、由各节点共同参与运行的分布式系统架构进行数据的管理，避免中心节点故障引起的网络安全事故。

3.区块链是比特币（Bitcoin）的底层技术。
4.基于区块链的数据管理体系采用去中心化的系统结构，并且将数据与数据存取权限分离。
基于区块链的系统消除了中央机构存在的安全风险，同时应用程序对数据的一切操作过程均被记录，确保了数据的安全性。
5.引入区块链，能够构建去中心化的物联网设备管理系统，进行设备的权限设置与通信控制。管理系统在区块链的记录之下，能够确保设备的权限与控制记录的完整和不可篡改。
6.基于区块链的系统能够将系统数据分布完整存储于多台设备。部分节点遭到攻击时，其余节点依然可以依靠完整的系统数据维持系统的运行。因此利用区块链的分布式特点，能够打造一个抵抗 DDoS 攻击的数据库系统。

二.网络数据安全和隐私保护

1.将区块链技术和链外数据库结合，分离数据和数据权限，能够实现去中心化的个人数据管理系统，进行数据和权限的管理。应用程序访问用户数据之前，需要得到用户的访问授权。
例如，用户授权指令、信息存储和查询指令等。用户数据被加密后存放于区块链之外的分布式数据库。当用户希望改变某个应用程序对某项数据的授权时，进行权限设置，将所授予的权限和数据指针记录到区块链上。应用程序需要访问某项数据时，发出数据访问请求并记录至区块链。系统对签名以及区块链的记录进行检查，确认该应用程序是否拥有对应数据的访问权限。若检查通过，则将该操作记录在区块链，并由数据库将数据返回给应用程序。由于区块链对应用程序的行为进行了完整的记录，该系统中用户可以随时更改数据的访问权限。
2.数字签名是一项用于证实某个文件或数据的完整性和来源的技术，确保文件或数据未被修改和不可抵赖。
现阶段广泛使用的签名技术基于PKI 。PKI 体系中，用户使用公钥—私钥对进行文件的 签名和验证，同时需要一个可信的 CA（certificate authority，数字证书认证机构）进行密钥管理。

基于 KSI（keyless signatures’ infrastructure， 无密钥签名架构）的签名体系是一种基于区块链 技术的无密钥签名认证体系。KSI 是一种多签 名的体系，即每个时隙能够一次性签名多个文件。每个时隙内，系统收集当前需要签名的所有文件各自的散列值。系统将散列值作为叶节点，构建 Merkle 树并计算获得根节点值。系统将每个时隙计算得到的根节点值进行公开，记录于区块链，分布式存储在每个节点上。区块链确保所记录的根节点值的不可篡改性。系统发布了记录着根节点值的区块之后，文件发送者将对应的根节点值和时间戳等信息构造成对应文件的签名。发送文件时，文件发送者需要将文件与对应的签名同时发送给文件接收者。接收者收到文件和对应的签名后，需要对文件签名进行验证。接收者提取出 签名中的节点信息，运行散列算法，构建 Merkle 树并计算根节点值。接收者计算出根节点值之后，将其与区块链上存储的数据进行对比，若二者相 等则可验证文件的完整性。

三.物联网设备的权限与通信管理

1.设备之间能够进行相互通信或相互控制，例如存取数据等。指令只有在设备拥有权限的情况下才能被执行。区块链上记录设备间的通信或控制指令以及权限情况。系统运行的初始阶段，系统生成所需要的密钥以及初始区块。由用户定义
系统所需的策略后，将其记录至初始区块。系统运行期间，设备之间需要进行相互通信或控制。设备需要先得到用户授权，才能得到系统分发的密钥进行通信或控制，确保权限安全和通信隐私。设备间的通信以及控制指令依照时间顺序，记录至区块链。区块链系统发布了记录着指令的区块后，设备身份和权限得到确认，指令才能执行。

四.抵抗 DDoS 攻击

1.基于区块链的系统能够提供分布式、无中心节点的系统结构，系统所需的数据完整存储于多台设备。区块链的每个节点都具备完整的数据，并且能够对其他节点的数据有效性进行验证。即使某个节点被攻破，整个系统也不会完全瘫痪。
依靠剩余的节点依然可以维持整个区块链系统的正常运转，并能够恢复被破坏的节点的数据和功 能。因此区块链技术能够用于打造一个抵抗 DDoS攻击的数据库系统。
2.将区块链应用于 DNS（domain name system，域名系统），能够消除单点失败，有效抵抗 DDoS 攻击，保障系统的整体安全。目前已经提出的 基于区块链的 DNS 有 Namecoin、Blockstack 和 Nebulis 等。
以Blockstack为例,其主要组成部分是区块链、本地数据库和云存储。系统由多个逻辑层构成。底层为区块链，记录用户对系统的操作,例如注册和更新域名等，并记录着区域文件的散列值。系统的安全性和可靠性依赖于底层区块链。路由层的功能是提供区域文件散列值到区域文件路径的映射。用户得到底层返回的区域文件散列值后，路由层根据散列值在数据库中查找对应的区域文件。存储层存放着加密的用户数据。用户得到区域文件后，提取出其中的目标数据存储路径，存
储层根据路径将目标数据返回给用户。