區(qū)塊鏈改變了原有的數(shù)據(jù)和通信方式，對(duì)現(xiàn)有 Internet 架構(gòu)提出了挑戰(zhàn)，或許我們的架構(gòu)正在改變。與傳統(tǒng)的 C/S 模型相比，區(qū)塊鏈?zhǔn)且环N開(kāi)放的、分布式的架構(gòu)。對(duì)大多數(shù)人來(lái)說(shuō)，區(qū)塊鏈就是加密貨幣的代稱。

公有 vs. 私有區(qū)塊鏈

事實(shí)上有兩種形式的區(qū)塊鏈，一種是公有區(qū)塊鏈，一種是私有區(qū)塊鏈。比特幣就屬于公有區(qū)塊鏈，而一些商業(yè)應(yīng)用就屬于私有區(qū)塊鏈。與公有云和私有云類似，區(qū)分公有和私有區(qū)塊鏈的就是誰(shuí)能夠加入到該網(wǎng)絡(luò)中，運(yùn)行一致的協(xié)議和維護(hù)共享的分類賬本（ledger）。

透明性是公有區(qū)塊鏈的另一個(gè)基本屬性。個(gè)體在進(jìn)行交易時(shí)是匿名的，而交易本身是可以被追蹤的。這也就解釋了為什么比特幣注定是 pseudonymous（使用筆名的）而不是 anonymous（匿名的）。透明性意味著可以追蹤可疑的交易并終止洗黑錢這類的服務(wù)，包括惡意代理用比特幣進(jìn)行勒索的活動(dòng)。

相比而言，私有區(qū)塊鏈?zhǔn)切枰總€(gè)實(shí)體去識(shí)別自己的控制網(wǎng)絡(luò)。加入私有區(qū)塊鏈需要邀請(qǐng)，而私有區(qū)塊鏈中的交易也是受管理的。與公有區(qū)塊鏈相比，透明性就下降了。

分類賬簿中的信息不向所有參與者公開(kāi)，也不是所有參與者都可以讀取。許多規(guī)則管理了存儲(chǔ)和達(dá)成一致的過(guò)程，包括決定節(jié)點(diǎn)的角色。私有區(qū)塊鏈有許多參與的節(jié)點(diǎn)，比如設(shè)備和用戶。然而，這些一致性也是區(qū)塊鏈成員進(jìn)行管理和維護(hù)的。

公有區(qū)塊鏈將密碼學(xué)、分布式系統(tǒng)、經(jīng)濟(jì)學(xué)、博弈論、圖論和政治學(xué)結(jié)合在一起，在這些學(xué)科中有一個(gè)微妙的平衡。而私有區(qū)塊鏈對(duì)政治學(xué)的依賴程度比較低，也沒(méi)有確保分類賬簿安全的經(jīng)濟(jì)動(dòng)機(jī)。在私有區(qū)塊鏈中，使用傳統(tǒng)的方法和加密技術(shù)來(lái)提供安全。

公有區(qū)塊鏈的透明性也提供了一定級(jí)別的安全性，網(wǎng)絡(luò)實(shí)際上是通過(guò)工作量證明（Proof of work， POW）來(lái)管理的。為了防止其他人向區(qū)塊鏈中加入?yún)^(qū)塊，攻擊者必須在區(qū)塊鏈中擁有 51% 以上的計(jì)算能力。而 POW 要求參與者解決一個(gè)復(fù)雜的密碼學(xué)難題，才能向鏈中加入新的交易區(qū)塊。

權(quán)益證明（proof of stake， POS）算法是用來(lái)讓公有區(qū)塊鏈在計(jì)算需求上更加高效，也可以減輕對(duì)動(dòng)機(jī)的需求?；?POS 的區(qū)塊鏈以一種決定性的方式選擇誰(shuí)可以添加區(qū)塊。這種方法目前是存有爭(zhēng)議的，一些專家質(zhì)疑在特定情況下解決爭(zhēng)執(zhí)的能力，也有人質(zhì)疑 POS 算法抵抗區(qū)塊鏈攻擊的能力。

區(qū)塊鏈和安全

在一項(xiàng)針對(duì)采用區(qū)塊鏈技術(shù)企業(yè)的調(diào)查中，受訪者最主要的安全挑戰(zhàn)是不理解區(qū)塊鏈的工作原理。

在關(guān)于區(qū)塊鏈如何影響安全的考慮中，Radware 發(fā)現(xiàn)主要有對(duì) DNS 的影響，基于區(qū)塊鏈的控制和防止 DDOS 攻擊的能力。

對(duì) DNS 的影響

去中心化的，安全的 DNS 系統(tǒng)是 DNS 的改革方向，這主要源于針對(duì) Dyn 的 DDOS 攻擊以及對(duì)威脅 landscape 的影響。事實(shí)上，基于區(qū)塊鏈的服務(wù)可以解決許多互聯(lián)網(wǎng)目前所面臨的可用性和性能的問(wèn)題。許多前瞻者以及在研究基于區(qū)塊鏈的解決方案來(lái)讓 DNS、Web 站點(diǎn)和其他公共服務(wù)更加去中心化，更加安全。比如，Namecoin 正在嘗試創(chuàng)建一個(gè)基于公有區(qū)塊鏈技術(shù)的可選的 DNS 系統(tǒng)。Namecoin 用大量的比特幣礦機(jī)來(lái)確保它自己可以抵御 51% 的攻擊。Namecoin 背后的思想是一種全分布式的域名事務(wù)賬本，每個(gè)用戶都可以添加域名，但是該域名的維護(hù)也只能由其屬主來(lái)維護(hù)。這個(gè)概念提供一種非監(jiān)管的、開(kāi)放的 DNS 架構(gòu)，這種架構(gòu)也引出一個(gè)新的問(wèn)題。那就是我們?nèi)绾畏乐箰阂庥脩魹E用這種服務(wù)呢？目前，我們所用的方法就是將 C&C 服務(wù)器和其他惡意服務(wù)器列入黑名單，但是對(duì)于開(kāi)放的、非監(jiān)管的系統(tǒng)，這并不是一種可以強(qiáng)制的方法。

市場(chǎng)上的網(wǎng)關(guān)解決方案選擇將惡意域名加入黑名單。但是不同的網(wǎng)關(guān)產(chǎn)品與開(kāi)放系統(tǒng)是不同步的。這也出現(xiàn)一個(gè)問(wèn)題，那就是誰(shuí)來(lái)維護(hù)、執(zhí)行和監(jiān)管這個(gè)黑名單。

控制混亂

那么是誰(shuí)在控制區(qū)塊鏈呢？這是一個(gè)非常重要的問(wèn)題。公有區(qū)塊鏈內(nèi)在的限制就是不能認(rèn)為是安全的，直到能夠吸引大量的參與者加入鏈中。在區(qū)塊鏈的工作量證明 Proof of work 中，抵御攻擊的能力被設(shè)定為 51% 的計(jì)算量閾值。那如果惡意攻擊者在區(qū)塊鏈中獲取了所有權(quán)會(huì)怎么樣呢？所有鏈中計(jì)算量低于攻擊者的都不能低于攻擊。只有當(dāng)所有區(qū)塊鏈的參與者的計(jì)算能力足夠大時(shí)，會(huì)讓攻擊變得成本極高， 也就能抵御攻擊。

要在新的加密貨幣中建立可信度，首先要利用比特幣中的計(jì)算能力。加密貨幣協(xié)作挖礦的邊鏈正在覆蓋出于安全考慮建立的區(qū)塊鏈，但是動(dòng)機(jī)仍然要礦機(jī)同意協(xié)作來(lái)挖取新貨幣。這就是為什么 Namecoin 一部分是 DNS，一部分是可交易的貨幣。

抵御 DDoS

這種新出現(xiàn)的平臺(tái)的主要優(yōu)勢(shì)也是劣勢(shì)。因?yàn)樗麄兪峭耆植际降亩冶旧砭涂梢缘钟?DDOS 攻擊。但是，基于區(qū)塊鏈的 DNS 需要每個(gè)參與者存儲(chǔ)所有的域名目錄和所有的歷史記錄。這對(duì)許多實(shí)體來(lái)說(shuō)，是一種不切實(shí)際的需求。大家可以想象一個(gè)提供 web 服務(wù)的系統(tǒng)能夠很容易的被客戶端和設(shè)備訪問(wèn)，但是客戶端系統(tǒng)和設(shè)備不想或不能存儲(chǔ)區(qū)塊鏈賬本的所有目錄。這樣的 web 服務(wù)將分散的 DNS 服務(wù)聚集在一起。

細(xì)想加密貨幣，許多人都用手機(jī)等移動(dòng)設(shè)備來(lái)進(jìn)行交易。這樣的話，事實(shí)上他們是沒(méi)有加入在區(qū)塊鏈的節(jié)點(diǎn)。他們使用一種提供對(duì)運(yùn)行在后臺(tái)的區(qū)塊鏈的邊界訪問(wèn)。2017 年，許多加密貨幣交易都成為 DDOS 攻擊的受害者，數(shù)據(jù)泄露都集中于這些加密貨幣交易網(wǎng)站的門戶。這些事件說(shuō)明為了做到完全的分布式并擁抱新的基于區(qū)塊鏈的 Internet，每個(gè)設(shè)備都要在本地存儲(chǔ)上存儲(chǔ)全部的 Internet DNS 域名和完全的變更歷史。另外一種選擇就是，基于區(qū)塊鏈的 Internet 必須倒退到依然易被攻擊的大規(guī)模數(shù)據(jù)泄露和 DDoS 攻擊的門戶和網(wǎng)關(guān)。換句話說(shuō)，變化地越多，可能變化越小。

未來(lái)是怎樣？

區(qū)塊鏈?zhǔn)且环N新興的技術(shù)，正在不斷的發(fā)展中?？雌饋?lái)很適合加密貨幣交易和特定的商業(yè)應(yīng)用，但是作為新 Internet 來(lái)說(shuō)，還需要打破一個(gè)全球的標(biāo)準(zhǔn)，仍有很長(zhǎng)一段路要走。

只有時(shí)間能告訴我們區(qū)塊鏈?zhǔn)欠衲軌蛞约澳軌蚨啻蟪潭壬细淖兓ヂ?lián)網(wǎng)。同時(shí)，要在關(guān)于區(qū)塊鏈的樂(lè)觀和懷疑中有一個(gè)平衡，用已有的一些技術(shù)來(lái)保護(hù)自己。