基于区块链的零信任网络安全架构

网络安全问题是一个持续的、值得深入研究的问题，近二十年来，每年在国内外都会出现不同频次的网络安全事件，并且在各个领域都出现的是事先不可预知和不可控的网络安全事件，在国家和社会层面都形成较大的负面影响。随着一些新兴领域的兴起，新兴产品自身存在的安全问题，造成互联网安全因素缺乏，可能给整个网络带来不安全性，从而引发各种网络安全问题和事件，因此在互联网开放领域已经没有绝对的网络安全，随时都有可能面临已知和未知的网络安全攻击，从而导致网络瘫痪、信息泄露甚至导致硬件故障等。

在很长一段时间国内外都在探究如何实现绝对的网络安全，当很多大型的网络安全企业在面临不能绝对的保障网络安全情况下，探究一种通过诚信上网，即从道德层面来约束上网者的上网行为，将人性放到了最高境界，这属于一种理想境界，靠人性的约束是无法改变和解决技术层面的东西的。网络安全问题它是一个技术层面的问题，解决其存在的根本问题最终还得从技术层面来处理。构建基于区块链的零信任网络安全架构，探索遗传基因加密技术，从技术底层上进行身份认证和数据加密，保证数据的唯一性和安全性，从而实现链上数据的绝对安全。

一、零信任网络安全架构关键技术

区块链。具有共识机制、智能合约和身份校验，对链上的结点数据不研究其是可信不可信，接入结点都按照不信任结点自动进行校验，即不管接入结点用户的身份背景，本人是否诚信，由链上所有结点对其资料、数据的真实性和准确性进行校验，并对结点数据应用独有的加密技术进行加密，保障其独有的身份，校验通过的用户结点，将其放置到区块链上，保障了结点数据的唯一性、共识性、安全性和溯源性，并具有防篡改性；

零信任。对任何输入、输出都不信任，即不管接入链上的用户是否可信，一律按照不信任校验，区块链本身具有该特征，区块链对接入的任何结点都会进行身份验证，同时对结点的输入进行身份验证和密码校验，输出进行身份印记，链上结点的数据，除了具有结点身份的人，其他的人不具有任何输入权限，任何人不具有输出数据的破解权限；

加密技术。要保障数据的安全，必须使用强悍的加密技术对数据结点及核心数据进行加密，量子计算机一旦出现，现有的对称加密算法、非对称加密算法，其密码可以在有限的时间内破解的，因此需要寻求一种新型加密算法，来保障链上数据的安全性。遗传基因加密算法技术，是基于人体的DNA进行校验的一种安全机制，人体的DNA是无法复制与再造，也是无法改变的，用其唯一性来保证结点的唯一性，并对数据进行加密身份认证。

二、人体DNA遗传基因密码技术

遗传基因加密技术作为一种新兴的加密技术，利用了人体的基因序列唯一性、不可复制性和防伪性，自动提取人体基因序列，对链上结点数据进行加密，保证个体数据的安全性和防篡改性。

目前，提取人体DNA基因序列，在医学上已经实现，在计算机科学、电子芯片领域也不再是什么难题，组建链上每个结点的基因序列，加密链上数据，从而保障链上数据的安全性、可靠性、唯一性、防篡改性和可溯源性。

（一）遗传基因具有不可变性

人体的遗传基因是不可变的，基因的分子结构稳定，不容易发生改变。基因的稳定性来源于基因的精确自我复制,并随细胞分裂而分配给子细胞,或通过性细胞传给子代，从而保证了遗传的稳定。

（二）遗传基因的相似性冲突区分度

    一胞多胎，DNA基本是相似的，但是它们之间肯定是需要有区分度的，通过参杂度技术手段，或者基因叠加的方式，解决相似性的冲突。

（三）遗传基因DNA提取的唯一性、可靠性和即时性

区块链上获取DNA需要即时性、可视性、时效性，以提升DNA密码的安全性。

即时性，DNA数据有时间戳的时时动态数据，并使用HASH函数输出，作为影子数据存储，以身份标记输出数据的唯一性；

可视性，DNA数据获取系统与用户交互是可见的，需要一种细胞粒子或其他与人体DNA相关的立体细胞获取技术，采集人体DNA；

时效性，DNA密码存在时长需要较短，一旦通过短时间验证后立即擦除。

三、基于区块链的零信任网络安全架构

基于区块链的网络安全架构。建立在区块链上的结点本来就具有独立性、高安全性、防篡改性和溯源性，接入互联网中的任何一个结点出现安全问题都可以溯源，并且各自独立存在，互不影响，它们的存在与丢失都不影响整个网络安全运行，链上结点彼此之间是不信任的，它们之间的信任是通过技术逐层校验来实现的，区块链本身就是一个零信任的网络安全架构。

共识机制。如果利益不相干的若干个节点能够达成共识，我们就可以认为全网对此也能够达成共识。如某个结点需要加入链中或者某个链需要发布消息，由链上不相干的结点一起来验证该新加入的结点是否符合要求或者发布的消息的真实性，一旦验证通过将无法改变。即对加入链上的结点不管是什么身份，链上只要大部分人验证你是一个诚实守信的人，你基本上就是一个守信的人。例如，链上某用户结点向另外一个用户借了1000元钱，一旦链上不相关结点验证该用户确实借了1000元，那这个人的借账记录就保留在链上用户结点中，该借款用户将无法赖账。

记账结点。共识机制中有一个重要的环节是选取符合要求的记账结点，完成新加入结点的所有操作环节，包括对新加入的结点信息打包、链上广播、身份验证等的处理，记账结点的选取需要遵循零信任的条件，并且该结点在链上是绝对可信和可靠的，即使记账结点是安全可靠的，但是加入链上的结点数据依然不信任记账结点，记账结点需要采用自动化技术识别、认证、打包新加入的结点，广播出去的数据结点，记账结点不能有任何的渲染。

选取记账结点。创建记账结点选取的智能合约，一旦有新的结点申请加入，自动触发并选取记账结点，对新加入结点，记账结点按照既有的规则，完成新加入结点信息的采集打包、广播、认证，最后完成新结点的加入。

智能合约。一段能够自动执行的代码，经过共识机制确认的规则，规则一旦确认便不能够修改。在零信任的区块链上，重要的是规则代码的健壮性及安全性，是否会给链带来不安全因素，以及上链路径（编译、部署、上链、调用和执行）的安全性因素，谁来上链，上链结点的要求。为了保障代码的安全性，智能合约代码在上链之前是必须要进行安全性校验，必要时候可以将合约代码植入到给定地址的沙箱中，做进一步的隔离保护。

加密技术。互联网是完全对外开放的，身份认证是必须且不可少的，在零信任的技术平台中，需要高强度的加密技术，人体基因DNA的加密技术具有唯一性、不可篡改性，是一种新型的、安全性较高的身份验证技术。接入区块链中的人体DNA，其采集和保密，需要研究一种新型的电子产品采集技术以及密封性的沙箱保护技术。

通信协议。互联网上的区块链，必须遵守互联网通信协议，新兴的技术要能够完全兼容已有的网络架构和设备，基于区块链的新型网络安全架构，完全适合现有的互联网通信协议，也适合新兴的国际区块链通用标准。

物理结构。不改变任何现有网络资产，只改变现有的网络安全架构，转接的网络产品在进链时，需要进行身份验证，可以采用所有者人体DNA和设备“基因”联合验证，符合区块链国际通用规则的产品均可通过一定技术处理或者接口可以接入到链中。

区块链技术，本身具有零信任特征，应用唯一的身份验证和共识验证机制，保证链上结点的安全性、不可篡改性和可溯源性，将PC（手机、笔记本等）、网络设备和网络安全设备等建在区块链上，是一种安全、独立、可靠和可信的网络安全架构，是断网黏网的一种可靠技术。

文章来源：  《河南经济报》   https://www.zzqklm.com/w/qt/34236.html