基于區(qū)塊鏈的訪問控制在網(wǎng)絡(luò)靶場中的應(yīng)用研究

姚保明，彭秋英，寧 鵬

（國網(wǎng)江西省電力有限公司鷹潭供電分公司，江西鷹潭 335000）

0 引言

各國的網(wǎng)絡(luò)攻防對抗已經(jīng)成為主要內(nèi)容，網(wǎng)絡(luò)空間對抗的形勢越來越嚴(yán)峻。網(wǎng)絡(luò)靶場[1]是一項(xiàng)重要的基礎(chǔ)設(shè)施，用于網(wǎng)絡(luò)攻防演練和網(wǎng)絡(luò)新技術(shù)評估。作為支持網(wǎng)絡(luò)空間安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)武器試驗(yàn)、攻防對抗演練和網(wǎng)絡(luò)風(fēng)險(xiǎn)評估的重要手段，世界各國對網(wǎng)絡(luò)靶場建設(shè)都給予了高度重視。目前，網(wǎng)絡(luò)靶場已成為各國必不可少的網(wǎng)絡(luò)空間安全核心基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)空間安全的研究、學(xué)習(xí)、測試、驗(yàn)證和演練等方面都得到了應(yīng)用。中國網(wǎng)絡(luò)安全問題嚴(yán)重，每年經(jīng)濟(jì)損失高達(dá)數(shù)百億美元，能使與網(wǎng)絡(luò)安全相關(guān)的企業(yè)和互聯(lián)網(wǎng)用戶普遍受益，能提高企業(yè)核心競爭力和互聯(lián)網(wǎng)用戶安全意識和能力的網(wǎng)絡(luò)靶場研究成果得到持續(xù)推廣，經(jīng)濟(jì)損失大大降低。因此，網(wǎng)絡(luò)靶場無論從保障國家安全、維護(hù)社會穩(wěn)定，還是從產(chǎn)業(yè)不斷發(fā)展、減少經(jīng)濟(jì)損失、社會經(jīng)濟(jì)效益提高等方面來看，其應(yīng)用前景都十分廣闊。

區(qū)塊鏈作為加密數(shù)字貨幣領(lǐng)域的新技術(shù)，它所具備的不可更改性、去中心化和可追溯性的特點(diǎn)，為訪問控制策略的安全存儲提供了一個新的思路。利用區(qū)塊鏈可以對訪問控制策略進(jìn)行分布式管理，從而實(shí)現(xiàn)靈活管控訪問控制的策略數(shù)據(jù)。文中通過分析區(qū)塊鏈的訪問控制并將其運(yùn)用在網(wǎng)絡(luò)靶場中，提出基于區(qū)塊鏈的訪問控制的網(wǎng)絡(luò)靶場系統(tǒng)建設(shè)新框架。能夠有效監(jiān)測靶場中的各類網(wǎng)絡(luò)訪問行為，對提升工控設(shè)備信息安全防護(hù)能力，保障電網(wǎng)安全穩(wěn)定運(yùn)行具有重要意義。

1 區(qū)塊鏈體系架構(gòu)

區(qū)塊鏈[2]是一種具有特殊數(shù)據(jù)結(jié)構(gòu)的分布式數(shù)據(jù)庫。它是按時(shí)間順序排列的數(shù)據(jù)鏈表，每個塊都像項(xiàng)鏈一樣連著前面的塊。區(qū)塊鏈這種獨(dú)特的數(shù)據(jù)結(jié)構(gòu)，對快速準(zhǔn)確獲得新生成區(qū)塊的數(shù)據(jù)信息較為便利，并且通過每個區(qū)塊的唯一哈希值還能精準(zhǔn)查詢某一個具體的區(qū)塊信息?？蓪^(qū)塊鏈系統(tǒng)從下到上分解成數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、激勵層、合約層等不同的層次。數(shù)據(jù)層、網(wǎng)絡(luò)層和共識層組成了區(qū)塊鏈的最基本結(jié)構(gòu)，在此基礎(chǔ)上可以根據(jù)需要增加激勵層、合約層和應(yīng)用層，如圖1所示。

圖1 區(qū)塊鏈架構(gòu)

數(shù)據(jù)層封裝了區(qū)塊鏈的鏈?zhǔn)浇Y(jié)構(gòu)、區(qū)塊數(shù)據(jù)以及非對稱加密等區(qū)塊鏈核心技術(shù)，每塊一般由兩部分組成，分別為塊頭和塊身。該區(qū)塊的Hash 值、時(shí)間戳、Merkle根等信息均包含在該區(qū)塊中，而該區(qū)塊的交易信息則全部包含在該區(qū)塊中。每一個區(qū)塊都會有一個區(qū)塊Hash 值，這是一個數(shù)字指紋的32 字節(jié)，通過SHA256 算法對區(qū)塊進(jìn)行二次Hash 計(jì)算得到。除了通過頭哈希值來識別，還可以通過區(qū)塊的高度來識別區(qū)塊。在一個區(qū)塊中存儲交易信息，在一個包含分享數(shù)據(jù)相應(yīng)策略信息、智能合約、門禁執(zhí)行結(jié)果等信息的Merkle 樹的數(shù)據(jù)結(jié)構(gòu)中存儲，而Merkle 樹則是一個數(shù)據(jù)結(jié)構(gòu)，用來對區(qū)塊中的所有交易進(jìn)行有效總結(jié)。非對稱加密（Non-對稱加密）是一種用于安全需求和所有權(quán)認(rèn)證的區(qū)塊鏈技術(shù)中的加密技術(shù)，如圖2所示。

圖2 區(qū)塊數(shù)據(jù)格式

網(wǎng)絡(luò)層實(shí)現(xiàn)各個網(wǎng)絡(luò)節(jié)點(diǎn)的通信，維護(hù)協(xié)同協(xié)議版本號、通信節(jié)點(diǎn)等信息，提供點(diǎn)對點(diǎn)的數(shù)據(jù)通信傳播以及驗(yàn)證機(jī)制；區(qū)塊鏈網(wǎng)絡(luò)采用基于Internet 的P2P 架構(gòu)。每臺電腦的每一個節(jié)點(diǎn)都是對等的，共同為整個網(wǎng)絡(luò)提供服務(wù)，同時(shí)每臺主機(jī)都可以作為服務(wù)端的相應(yīng)請求，或者使用其他節(jié)點(diǎn)提供的服務(wù)作為客戶端，不需要任何中心化的服務(wù)端。P2P 通訊無需從其他實(shí)體或CA 獲取地址驗(yàn)證，有效杜絕了第三方篡改和欺騙的可能。生成該數(shù)據(jù)的節(jié)點(diǎn)會在新的區(qū)塊數(shù)據(jù)生成后，向全網(wǎng)其他節(jié)點(diǎn)進(jìn)行廣播，以供驗(yàn)證。在區(qū)塊鏈網(wǎng)絡(luò)中，網(wǎng)絡(luò)中廣播的交易數(shù)據(jù)和新產(chǎn)生的區(qū)塊將時(shí)刻被所有節(jié)點(diǎn)監(jiān)控。

激勵層負(fù)責(zé)發(fā)放獎勵給區(qū)塊鏈節(jié)點(diǎn)，以促使每個節(jié)點(diǎn)積極并誠實(shí)維護(hù)區(qū)塊鏈，并對發(fā)起交易請求的用戶收取相應(yīng)手續(xù)費(fèi)，以避免用戶發(fā)送惡意請求信息。

共識層通過工作證明算法、股權(quán)證明算法、實(shí)用拜占庭容錯算法等共識機(jī)制實(shí)現(xiàn)協(xié)商一致，確保交易請求信息、訪問控制策略、策略判決結(jié)果等數(shù)據(jù)信息的正確性，主要是各種共識算法在網(wǎng)絡(luò)節(jié)點(diǎn)之間達(dá)成共識；比特幣區(qū)塊鏈最初選擇了一種工作量證明共識機(jī)制（PoW），該機(jī)制依賴節(jié)點(diǎn)算力，以確保比特幣網(wǎng)絡(luò)分布式記賬的一致性。之后隨著區(qū)塊鏈技術(shù)的不斷演進(jìn)和改進(jìn)，一些能夠達(dá)到全網(wǎng)一致的算法并不過分依賴算力，例如權(quán)益證明共識機(jī)制（PoS）、授權(quán)股份證明共識機(jī)制（DepoS）等。

合約層是智能合約集合，是一種在區(qū)塊鏈中存儲，并能夠在區(qū)塊鏈網(wǎng)絡(luò)各節(jié)點(diǎn)上自動執(zhí)行的計(jì)算機(jī)腳本，在基于區(qū)塊鏈的數(shù)據(jù)共享架構(gòu)中，智能合約用于執(zhí)行共享數(shù)據(jù)的訪問控制策略，展示了區(qū)塊鏈系統(tǒng)的可編程性，各種劇本，智能合約，算法封裝；作為區(qū)塊鏈技術(shù)的關(guān)鍵特征之一，智能合約是模塊化的、可重復(fù)使用的、自動執(zhí)行的腳本，在區(qū)塊鏈上運(yùn)行，可以實(shí)現(xiàn)數(shù)據(jù)處理、價(jià)值轉(zhuǎn)移、資產(chǎn)管理等一系列功能。智能合約[3]與區(qū)塊鏈的結(jié)合豐富了區(qū)塊鏈本身的價(jià)值內(nèi)涵，其特性有以下三點(diǎn)：1）實(shí)現(xiàn)了不信任方之間的公平交換，避免了惡意方中斷協(xié)議等可能性；2）利用程序邏輯中豐富的合約規(guī)則表達(dá)能力，使交易方之間的互動最小化，避免計(jì)劃外監(jiān)控追蹤的可能；3）使交易和外部狀態(tài)的互動更加豐富。應(yīng)用層區(qū)塊鏈平臺和數(shù)據(jù)擁有者、數(shù)據(jù)訪問者、云存儲服務(wù)交互的接口，它封裝了區(qū)塊鏈技術(shù)的應(yīng)用場景和案例。文中將區(qū)塊鏈應(yīng)用到網(wǎng)絡(luò)靶場環(huán)境下，使得區(qū)塊鏈的安全性得到充分利用。

2 基于區(qū)塊鏈的訪問控制在網(wǎng)絡(luò)靶場中的設(shè)計(jì)實(shí)現(xiàn)

網(wǎng)絡(luò)靶場主要由兩大子系統(tǒng)構(gòu)成，即靶場網(wǎng)分子系統(tǒng)以及靶場區(qū)塊鏈子系統(tǒng)。其中靶場網(wǎng)分子系統(tǒng)主要負(fù)責(zé)網(wǎng)絡(luò)流量的抓取、訪問控制、攻擊行為記錄、被攻擊效果記錄、數(shù)據(jù)統(tǒng)計(jì)、網(wǎng)絡(luò)流量核算、網(wǎng)絡(luò)溯源、網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)存儲、網(wǎng)絡(luò)異常偵測等功能，而區(qū)塊鏈子系統(tǒng)主要負(fù)責(zé)實(shí)現(xiàn)數(shù)據(jù)層封裝區(qū)塊鏈的鏈?zhǔn)浇Y(jié)構(gòu)以及區(qū)塊數(shù)據(jù)存儲、行為檢測、行為控制、非對稱加密、網(wǎng)絡(luò)層提供點(diǎn)對點(diǎn)數(shù)據(jù)通信等區(qū)塊鏈核心機(jī)制，如圖3所示。

圖3 網(wǎng)絡(luò)靶場構(gòu)成

2.1 靶場網(wǎng)分模塊

靶場網(wǎng)分模塊采用網(wǎng)分協(xié)議將網(wǎng)絡(luò)流量記錄到設(shè)備的高速緩存中以及流量監(jiān)管服務(wù)平臺上，從而提供非常精準(zhǔn)的流量測量、分析等功能。由于網(wǎng)絡(luò)通信具有流動性，所以緩存中記錄的統(tǒng)計(jì)數(shù)據(jù)通常包含轉(zhuǎn)發(fā)的IP信息，可以進(jìn)行網(wǎng)絡(luò)異常偵測、行為檢測、攻擊行為記錄、網(wǎng)絡(luò)流量核算、網(wǎng)絡(luò)溯源等功能。這些數(shù)據(jù)流中包含來源和目的的相關(guān)信息，以及端到端會話使用的協(xié)議和端口。

靶場網(wǎng)分主要包括三個主要部分：探測器、采集器和報(bào)告系統(tǒng)，其中探測器用于監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，采集器用于收集探測器傳來的數(shù)據(jù)，報(bào)告系統(tǒng)用于從采集器收集到的數(shù)據(jù)中產(chǎn)生易讀的報(bào)告。

2.2 靶場區(qū)塊鏈模塊

靶場區(qū)塊鏈由多個協(xié)調(diào)一致、共同完成測試、控制任務(wù)的子系統(tǒng)組成；子系統(tǒng)級是對系統(tǒng)中各功能模塊的抽象描述，每個子系統(tǒng)代表一個功能模塊，而具體的功能則由相應(yīng)的小功能模塊來完成，其中邏輯描述包括系統(tǒng)的組成、各模塊之間的通信關(guān)系、需要傳遞的參數(shù)等，然后將這些信息生成對應(yīng)的數(shù)據(jù)按一定的通信協(xié)議傳遞給相應(yīng)的工作模塊，由系統(tǒng)的組成、各模塊之間的通信關(guān)系物理描述（Physical Production）是把這些信息按照相同的協(xié)議解釋成功能模塊能夠執(zhí)行的內(nèi)容，而這一過程是由系統(tǒng)的管理模塊自動完成的。這樣，用戶只需按照規(guī)定的格式配置參數(shù)，就可以生成所需的測試記錄系統(tǒng)，而無需了解系統(tǒng)的具體結(jié)構(gòu)，其功能模塊如圖4所示。

圖4 系統(tǒng)功能模塊圖

數(shù)據(jù)存儲區(qū)塊子系統(tǒng)：通過對攻擊數(shù)據(jù)與被攻擊數(shù)據(jù)的采集，通過區(qū)塊鏈的數(shù)字加密技術(shù)，存儲至數(shù)據(jù)區(qū)塊內(nèi)。

P2P 網(wǎng)絡(luò)管理子系統(tǒng)：管理系統(tǒng)內(nèi)部網(wǎng)絡(luò)與其他外部網(wǎng)絡(luò)的通信。它由連接各子系統(tǒng)的網(wǎng)絡(luò)及其通信協(xié)議組成。

數(shù)據(jù)分析處理子系統(tǒng)：完成傳輸數(shù)據(jù)的實(shí)時(shí)存取和顯示，應(yīng)用函數(shù)庫處理試驗(yàn)數(shù)據(jù)。整個系統(tǒng)也包含日志反饋記錄的子模塊，并對整個系統(tǒng)的運(yùn)轉(zhuǎn)作出及時(shí)的反饋與記錄。

2.3 基于區(qū)塊鏈的訪問控制

現(xiàn)有基于區(qū)塊鏈的訪問控制[4]研究主要包括基于交易進(jìn)行策略、權(quán)限管理和基于智能合約進(jìn)行訪問控制兩個方面，主流解決方案對應(yīng)策略存儲區(qū)塊和策略直接寫入智能合約兩類。策略存儲區(qū)塊的工作把區(qū)塊鏈當(dāng)成訪問控制中策略管理的數(shù)據(jù)庫，同時(shí)引入一個可信的策略執(zhí)行點(diǎn)和借助智能合約實(shí)現(xiàn)屬性權(quán)威、策略管理點(diǎn)和策略決策點(diǎn)功能，使得用戶可隨時(shí)查看策略并利用智能合約保證策略決策被自動執(zhí)行，可避免任何一方通過篡改策略實(shí)現(xiàn)未授權(quán)數(shù)據(jù)訪問等欺詐行為。策略直接寫入智能合約的工作借助智能合約自動執(zhí)行的特性使得合約中的訪問控制策略自動實(shí)施，同時(shí)利用區(qū)塊鏈的不可篡改性、透明性和協(xié)商一致性原則，保證智能合約下策略決策的正確性、透明性和可審計(jì)性，如圖5所示。

圖5 基于區(qū)塊鏈的訪問控制

文中在構(gòu)建網(wǎng)絡(luò)靶場中利用區(qū)塊鏈共識機(jī)制，讓每個分布式節(jié)點(diǎn)實(shí)現(xiàn)高度一致以抵御外部惡意攻擊，確保鏈上數(shù)據(jù)的有效性和真實(shí)性，實(shí)現(xiàn)局部節(jié)點(diǎn)在無信任的環(huán)境下，構(gòu)建去中心化的可信系統(tǒng)[5]，通過運(yùn)行在區(qū)塊鏈上的訪問控制來完成主控監(jiān)控、網(wǎng)絡(luò)異常偵測機(jī)制、攻擊行為記錄等一系列操作，系統(tǒng)流程圖如圖6所示。

圖6 基于區(qū)塊鏈的網(wǎng)絡(luò)靶場訪問行為控制系統(tǒng)流程圖

主控監(jiān)控對整個系統(tǒng)進(jìn)行監(jiān)控，其中包括對數(shù)據(jù)加密的監(jiān)控，保證數(shù)據(jù)的公開；包括對數(shù)據(jù)存儲區(qū)塊的監(jiān)控，保證存儲的準(zhǔn)確性；包括對P2P網(wǎng)絡(luò)管理實(shí)施監(jiān)控，保證網(wǎng)絡(luò)的正常運(yùn)行；包括對于新數(shù)據(jù)或修改、篡改數(shù)據(jù)進(jìn)行主控監(jiān)聽，一旦發(fā)生上述事件，通過共識機(jī)制算法進(jìn)行記錄，并通過P2P網(wǎng)絡(luò)進(jìn)行廣播至所有的節(jié)點(diǎn)；包括通過對數(shù)據(jù)分析的監(jiān)控，保證分析算法的正常運(yùn)行；包括對日志反饋存儲的監(jiān)控，保證存儲的準(zhǔn)確性。

網(wǎng)絡(luò)異常偵測機(jī)制可以利用已知攻擊行為特征作比對，過濾出網(wǎng)絡(luò)蠕蟲及已知攻擊行為。當(dāng)網(wǎng)絡(luò)發(fā)生異常時(shí)，受感染或遭受入侵之主機(jī)會爆發(fā)大量的網(wǎng)絡(luò)流量及產(chǎn)生對外攻擊聯(lián)機(jī)的特征，利用此特征與正常網(wǎng)絡(luò)做比較找出異常，因此可以先找出網(wǎng)絡(luò)流量或聯(lián)機(jī)異常之主機(jī)，實(shí)時(shí)加以阻擋，避免讓更大量的網(wǎng)絡(luò)異常行為持續(xù)發(fā)生。在穩(wěn)定的網(wǎng)絡(luò)環(huán)境中觀察平時(shí)網(wǎng)絡(luò)狀況，找出正常的網(wǎng)絡(luò)流量及聯(lián)機(jī)數(shù)，作為異常偵測的基準(zhǔn)并觀察出正常的行為模式，定出基準(zhǔn)值及臨界值，然而網(wǎng)絡(luò)流量及聯(lián)機(jī)數(shù)會因?yàn)闀r(shí)間不同，即有不同的呈現(xiàn)，所以本異常偵測機(jī)制的基準(zhǔn)值及臨界值會隨著時(shí)間不同而改變，以動態(tài)方式呈現(xiàn)。當(dāng)網(wǎng)絡(luò)中網(wǎng)絡(luò)流量或會話數(shù)目超出動態(tài)臨界值時(shí)，這可能代表著新的蠕蟲、阻斷服務(wù)攻擊、網(wǎng)絡(luò)掃瞄等的異常發(fā)生，利用此異常所造成網(wǎng)絡(luò)流量或會話數(shù)目增加的偏移值，找出異常發(fā)生的原因及IP 地址，另外，建立已知攻擊行為特征比對系統(tǒng)，利用網(wǎng)絡(luò)攻擊行為會存在著某些可供辨識的特征，例如針對某個特定埠或利用某些特定網(wǎng)絡(luò)的IP地址，過濾出網(wǎng)絡(luò)蠕蟲及已知攻擊行為。

攻擊行為記錄通過數(shù)字簽名加密存儲至數(shù)據(jù)區(qū)塊中，接著攻擊行為觸發(fā)行為偵測模組偵測攻擊，漏洞模塊模擬被攻擊后所產(chǎn)生的效果，并根據(jù)攻擊手段和技術(shù)的不同反饋不同的信息，向攻擊者展示不同的效果，其特點(diǎn)是：在攻擊過程中，攻擊過程中通過反饋模塊控制行為控制模塊，評估攻擊的優(yōu)缺點(diǎn)，設(shè)定門檻，并將效果交互反饋到工坊效果分析模塊，以適應(yīng)不同的網(wǎng)絡(luò)安全防范等級，控制難度；被攻擊效果記錄模塊按照分工協(xié)作的不同，記錄攻擊信息，分類原始信息，跟蹤攻擊信息；DataFusion-Model可將收集到的攻擊行為數(shù)據(jù)與系統(tǒng)接收攻擊后所帶來影響的資訊數(shù)據(jù)整合，并加以分析，以每篇為案例的詳細(xì)攻防報(bào)告，作為之后學(xué)習(xí)的教學(xué)范本，并透過系統(tǒng)所使用的P2P網(wǎng)路傳輸報(bào)告。并最終通過加密算法更新至數(shù)據(jù)日志模塊中。對于數(shù)據(jù)區(qū)塊和數(shù)據(jù)日志區(qū)塊，系統(tǒng)中的主控監(jiān)聽始終都在運(yùn)轉(zhuǎn)，一旦發(fā)生篡改或加入新數(shù)據(jù)時(shí)，數(shù)據(jù)修改便向數(shù)據(jù)區(qū)塊請求驗(yàn)證，并通過節(jié)點(diǎn)廣播至其余的節(jié)點(diǎn)，保證所有的節(jié)點(diǎn)都是公開信息的，除了私密的信息以外，并采用共識機(jī)制算法，對變化的數(shù)據(jù)進(jìn)行記錄，數(shù)據(jù)區(qū)塊內(nèi)容被更新，同時(shí)需要被融合的數(shù)據(jù)也通過P2P傳輸?shù)綌?shù)據(jù)模塊中。

通過將區(qū)塊鏈技術(shù)的加入，保證了原生系統(tǒng)在修改和添加上安全性的提高，同時(shí)，也使得了數(shù)據(jù)具有公開透明的效果，最終保證了系統(tǒng)的完整性。

3 結(jié)語

文中提出基于區(qū)塊鏈的網(wǎng)絡(luò)靶場訪問行為控制系統(tǒng)，能夠有效監(jiān)測靶場中的各類網(wǎng)絡(luò)訪問行為，可有效支撐電力工控設(shè)備信息安全檢測工作，保障測試結(jié)果的加密存儲、不可篡改和不會丟失，對提升工控設(shè)備信息安全防護(hù)能力，保障電網(wǎng)安全穩(wěn)定運(yùn)行具有重要意義。如果將各個仿真環(huán)境進(jìn)行互聯(lián)，待私有鏈升級為聯(lián)盟鏈后，將各個靶場作為聯(lián)盟鏈的節(jié)點(diǎn)，可以實(shí)現(xiàn)靶場網(wǎng)絡(luò)訪問行為的審計(jì)，數(shù)據(jù)的異地存儲，防止敏感信息泄露，進(jìn)一步提升數(shù)據(jù)的安全性。