广州市汇源通信建设监理有限公司 广东广州 510620
摘要:随着时代不断发展,人们对通信质量要求越来越高,通信质量好、安全性能高的通信网络连接结构相关研究倍受到业界广泛关注。本文提出区块链的分布式可信网络连接架构设计,分析其性能,最终确认该架构具备可追溯、匿名、去中心化、不可篡改等安全特性,特别在效率、对抗常见攻击方面表现优越。
关键词:区块链;分布式网络;可信网络连接
前言
受新型计算模式兴起影响,如云计算、大数据等技术,网络空间安全威胁日渐复杂化,CPU级和基础网络设备的安全漏洞属于其中代表。结合相关研究可以发现,TCA架构和TNC架构均存在信任模型局限、访问控制单点化、策略决策中心化等不足,这类不足均可通过基于区块链的分布式可信网络连接架构化解,由此可见本文研究具有现实意义。
1. 基于区块链的分布式可信网络连接架构设计
1.1基础框架设计
在基于区块链的分布式可信网络连接的基础框架设计中,需结合终端可信和网络可信两种信任关系,以此围绕可信网络环境、外部网络环境、分布式可信第三方开展设计。可信网络环境指的是架构需要保护的网络环境,需对应信任关系,终端只有具备信任根TPM/TCM,方可加入可信网络环境,信任根同时负责计算节点的强身份认证和计算终端安全可信支撑的提供。依托区块链系统,可信网络环境属于一种逻辑环境,以此在网络中维护区块链系统并保证其面向可信网络连接,即可提供远程证明、日志审计、访问控制等服务功能。可信计算节点和非可信节点属于可信网络环境中存在的两种节点,二者分别属于实际安全的节点和安全隐患可能存在的节点,可信计算节点必然拥有合法的TPM,但非可信节点并不一定属于恶意节点;外部网络环境可细分为恶意用户和诚实用户,这一划分从用户角度进行,也可以基于终端可信角度分为未知终端、恶意终端、可信终端,外部网络存在恶意节点,其与可信网络环境之间存在访问控制、可信连接、远程证明,外部网络环境和可信第三方与可信网络环境存在相同的关系,均为获取证书服务、零知识证明服务、可信验证;分布式的可信第三方面临着较大的攻击威胁,更加安全高效的公钥基础设施属于近年来可信第三方构建的主要措施,除这种措施外,可信网络连接架构需要两种第三方服务,包括零知识证明和可信验证[1]。
1.2总体架构设计
图1为基于区块链的分布式可信网络连接总体架构,包括实体4个、区块链系统3个、层次5个、接口组件若干,由此即可较好满足各类应用场景需要。
.png)
图1基于区块链的分布式可信网络连接总体架构
分析图1可以发现,该总体架构设计将区块链系统增加于传统可信网络连接层次上,而基于由中心转移到各实体的策略执行,新型的可信网络连接架构得以由此形成。架构的4个实体分别包括策略执行点、策略决策点、访问接收者、访问请求者,位于外部网络的访问请求者负责发出访问请求、申请建立网络连接、收集平台完整性可信信息;位于可信网络环境的访问接收者负责处理访问请求,同时能够向区块链系统转发平台完整性信息进行可信验证;作为由全网共同组成的逻辑实体,策略决策点的维系需得到共识协议和区块链数据库系统支持,基于各计算节点的安全策略,策略决策点可基于完整性状态信息和身份进行决策判定,并向区块链系统中写入判断结果;策略执行点负责访问控制策略的执行,其布置于访问请求者和访问接收者处[2]。
3个区块链系统分别为访问控制系统、日志审计系统、分布式的可信第三方。在具体研究中,可信网络连接支撑由3个区块链系统负责,访问控制系统负责访问控制策略记录,采用身份密钥作为可信网络环境计算节点参与的标识,访问控制系统需写入计算节点的基本信息,加入网络的时间和有效期也需要同时设置;通过记录可信网络运行的日志数据,日志审计系统能够为审计和追溯提供证据,区块链防篡改特性可在这一过程中得到有效利用;分布式的可信第三方由区块链技术构建,可提供零知识证明、完整性验证、证书服务共3种服务。
基于区块链的分布式可信网络连接总体架构的5个层次由验证审计层、区块链引擎层、度量评估层、基础网络层、访问控制层组成。验证审计层由分布式的可信第三方和日志审计系统组成,可提供审计和验证支持;区块链引擎层负责提供区块链服务,能够与其他部件交互;度量评估层可负责决策,判定可信网络是否可以加入计算节点,以此完成平台的度量认证;基础网络层支持VPN、Gossip协议、P2P等传统网络连接通信技术;访问控制层负责访问控制系统运行。
2. 基于区块链的分布式可信网络连接架构性能分析
2.1安全性
采用威胁模型围绕基于区块链的分布式可信网络连接架构进行安全分析,即可对连接架构的安全性进行具体判断,架构具备的不可篡改、不可伪造、可追溯、中心化、匿名性可由此得到保障。基于区块链的分布式可信网络连接架构的去中心化体现在可信第三方、审计追溯、策略决策、访问控制的去中心共四个方面,实际应用需进行威胁场景的假设,主要考虑MN攻击可信第三方、MN属于可信/不可信网络共三种攻击场景,以此开展假设模拟,分析异常判定结果,即可保证被攻击的节点能够及时发现,架构的安全性可由此得到证明。
2.2高效性
区块链系统的引入使得基于区块链的分布式可信网络连接架构拥有更高的运行成本,为获取更大的安全收益,必须针对性分析连接架构效率。具体分析需对应用场景进行模拟,具体的网络配置也需要随之确定,结合实际数据存储情况,即可完成预算频率的最终确定。基于针对性构建的大型科研系统进行验证,可确定基于区块链的分布式可信网络连接架构能够较好满足高效性需求。
2.3运行成本
存储开销、网络开销、算力开销均属于实际应用中涉及的运行成本,对于源自于比特币系统的区块链来说,过多的计算能力并不会在实际应用中消耗,目标可基于计算平台完成,较小的算力开销使得网络扩容可通过增加计算平台实现。为分析基于区块链的分布式可信网络连接架构的网络开销,需从交易规模频率、区块数据大小两个方面入手,由此可确定带宽相对较大情况下,存在可以容忍的网络开销。进一步分析存储开销可以确定,虽然存在相对较大的存储量,但对于各类数据中心来说,这种存储量的难度并不高,消耗成本也不大。
结论
本文提出了基础框架设计、总体架构设计,通过分析测试,架构具有安全性,高效性,运行成本低廉等功能,对通信质量提升具有现实意义。为更好开展相关探索,可信网络架构基础的细化设置完善、信任模型特征及要求的充分结合同样需要引起重视。
参考文献
[1]饶绪黎,林晖,田有亮.分布式认知无线电网络中的一种可信协作次用户选取策略研究[J].信息网络安全,2018(10):37-44.
[2]董颖娣,彭晓天,宋扬.基于轨道角动量的多用户量子身份认证协议[J].量子光学学报,2019,25(02):152-157.