您好, 访客   登录/注册

基于区块链的分布式可信网络连接架构研究

来源:用户上传      作者:任骏菲

  [摘要]人们通信需求的变化及对通信质量要求的升高使得通信网络连接结构逐渐引起人们的重视。文章针对传统可信计算组织可信连接结构的访问控制问题、信任模型问题进行分析;并以改善通信质量为目标,从基础框架设置方面、区块链系统方面、接口与层次方面,阐述基于区块链的分布式可信网络连接架构,以期为分布式可信网络连接架构的建设提供良好的理论支持。
  [关键词]区块链;分布式可信网络连接架构;通信安全
  [DOI]1013939/jcnkizgsc201930194
  随着人们对通信网络依赖性水平的提高,通信网络在通信质量、通信安全等方面所面临的要求也随之升高。由于区块链在改善通信安全方面具有一定优势,因此,分析以区块链为基础的分布式可信网络连接架构具有一定的必要性。
  1传统可信计算组织的可信连接结构问题分析
  (1)访问控制问题。从可信计算组织可信连接结构的访问控制流程来看:在有中心网络环境条件下,网络主要由访问控制部件预设的访问控制策略进行控制。在网络运行过程中,防火墙、基础设备等访问控制部件可通信请求是否符合安全要求,如与其访问控制策略不符,则各节点间无法建立连接。这种单点性访问控制的问题表现为:在网络运行条件下,一旦防火墙等安全网关或基础设备被攻破,整个网络系统均会被操控。
  (2)信任模型问题。传统可信计算组织的可信连接结构在信任模型方面也存在一定的问题,具体表现为:该结构以信任链为信任基础,而网络空间的安全状态复杂性水平较高,这种信任模型在运用二值化原理判断网络可信(安全)状态时,难以获得准确的结果,其信任关系难以顺利传递到网络环境中。[1]根据上述分析,建立一种更加可信、完善的网络连接架构具有一定的必要性。
  2基于区块链的分布式可信网络连接架构分析
  (1)基础框架设置方面。根据区块链分布式可信网络连接架构的通信应用要求,可将其基础框架设置为:第一,外部网络环境。与可信网络环境类似,外部网络环境与第三方之间的关系均为:零知识证明服务、证书服务以及可信验证等。但从用户角度来看,外部网络环境中同时存在着恶意用户、诚实用户,如恶意用户可经外部网络中的恶意节点入网,网络中的通信安全将面临一定的威胁。第二,可信网络环境。在基于区块链的分布式可信网络连接架构中,可信网络环境的典型特征为:其具备典型的需要保护特征。在通信过程中,所有被允许加入可信网络环境中的终端均需达到信任根的合法标准要求。[2]从这一环节来看,信任根的主要作用为:一方面为整个通信网络中的计算机终端提供良好的可信支撑,另一方面也可为相关计算节点提供可靠的强身份认证。第三,可信第三方(分布式)。这一构成要素是奠定区块链网络呈典型分布式特征的关键所在。相对于传统中心化信任背书信任模型而言,基于区块链技术的信任模型可充分保障通信过程的安全性。这一信任模型的原理为:由零知识证明、完整性证据等作为信任基础,当符合零知识证明要求时,该模式可允许直接匿名证明;而完整性证据的作用则体现为:同时面向通信双方,为其提供可靠的可信判断服务。在此基础上,通信双方可借助完整性证据提供的评估依据,做出决策。
  (2)区块链系统方面。区块链系统无疑是基于区块链的分布式可信网络连接架构的核心。这一连接架构的区块链系统主要由分布式可信第三方、区块链访问控制系统以及区块链日志审计系统三个部分构成。在分布式可信网络运行状态下,上述三部分区块链构成要素分别发挥不同的功能:分布式可信第三方主要以提供零知识证明及证书服务等形式,保障通信的可信性与安全性;而区块链访问控制系统则主要负责记录、管理访问控制,其可提供良好的访问控制决策;区块链日志审计系统则具备为通信追溯、审计流程提供准确证据信息支持的功能。上述三部分相互配合,可為区块链分布式可信网络的通信安全以及可靠性提供良好的保障。
  (3)接口与层次方面。为了确保基于区块链的分布式可信网络连接架构,可将该架构的基本层次分布设置由验证审计层、访问控制层、区块链引擎层、基础网络层以及度量评估层共5个部分构成。在运行这一区块链架构网络时,这种层次设计模式可重现体现出该架构在通信方面的优势:基础层可同时支持VPN、P2P等多种通信技术,区块链引擎层则可与其他部件保持交互,为整个通信系统提供良好的区块链服务;而度量评估层则借助其度量评估功能,动态计算节点是否加入可信网络,进而为整个架构的通信提供高可信度的决策支持。
  而就接口方面而言,基于区块链的分布式可信网络连接架构的接口设计主要需要考虑通信时各节点、层次之间等的通信需求。例如,该可信网络连接架构可运用IF-AR满足ARC、ARQ这两种接口之间需求。由于该连接架构的通信功能较多,且对网络安全状态的要求较高,因此,在处理接口部分时,应充分考虑接口协议、相关通信要求等信息。
  3基于区块链的分布式可信网络连接架构性能
  (1)安全性。利用威胁模型进行安全分析,具体判断基于区块链的分布式可信网络连接架构的安全性,确保架构具有中心化、可追溯、不可伪造、不可篡改以及匿名性。架构的去中心化主要体现在四个方面,分别为:访问控制去中心、策略决策去中心、审计追溯去中心、可信第三方去中心,在实际应用的过程中,首先要假设威胁场景,主要考虑了三种攻击场景,分别为:MN属于可信网络、MN不属于可信网络、MN对可信第三方开展攻击,通过这三个场景的假设模拟,验证了节点之间能够根据异常判定结果,及时发现被攻击的节点,安全性较强。
  (2)高效性。建立基于区块链的分布式可信网络连接架构,引入了区块链系统,但是在实际上会增加网络系统的运行成本,想要获取到更大的安全收益,就要对连接架构的效率进行分析。首先模拟了应用场景,然后确定具体的网络配置,在实际应用的过程中,确定数据存储情况,最终确定预算频率。本文构建了一个大型科研系统,设置了五个研究所,五十个研究室,一共涉及6000台计算机终端。在设计网络配置的过程中,五个研究所各贡献一台服务器,组成分布式的CA系统和分布式的可信验证者,所有接入到计算终端安装了区块链客户端软件。假设入网有效期为4天,经过实际计算,平均每1分钟有1台终端需要进行可信证明公式如下:6000/(4d×24h×60min)≈1。由此可以看出,本文设计出来的分布式可信网络连接架构满足高效性需求。
  (3)运行成本。运行成本涉及的内容较多,在实际应用中主要包括:算力开销、网络开销、存储开销三种。因为区块链源自于比特币系统,在实际应用中,并不会消耗过多的计算能力,只需要通过计算平台就可以完成目标,因此算力开销较少,只需要增加计算平台就可以实现网络扩容。而网络开销则要从区块数据大小、交易规模频率两个方面进行分析,针对具体计算公式可知,虽然科研内网下,网络带宽相对较大,但是网络开销可以容忍。最后是存储开销分析,根据网络开销的分析可知,访问控制链一年大约会增加513GB,存储量相对较大,但是对于一个研究部门的数据中心而言,这并不存在较大难度。
  4结论
  综上所述,建立基于区块链的分布式可信网络连接架构具有一定的必要性。为了实现上述目的,可结合信任模型的特征及要求,以保障通信质量及安全为基本目标,细化设置完善的可信网络架构基础,进而为人们提供良好的通信服务。
  参考文献:
  [1]刘明达,拾以娟,陈左宁基于区块链的分布式可信网络连接架构[J/OL].软件学报,2019,3(10):1-23
  [2]吴振强 无线局域网安全体系结构及关键技术[D].西安:西安电子科技大学,2016
转载注明来源:https://www.xzbu.com/2/view-15060317.htm