DxChain中文博客

Allan Zhang:区块链给安全防护带来去中心化挑战


Allan Zhang在数据安全领域有接近20年的经验,他看得到这个行业由分散化向集中化发展,而在区块链技术兴起之后,安全防护再次向分散化发展。

行业趋势如同一个摆钟,从分散化到集中化再次到分散化,而区块链技术作为一个崭新的领域,对行业提出了全新的要求。

1. 技术摆钟:分散集中再分散

在2008年左右,安全行业的变化就在发生。

“安全检测工作最早的时候是基于一个设备远端探测漏洞的存在,后来用户越来越多的应用不再是在企业里面,而是向云端迁移,就是‘SaaS化’”,DxChain合伙人Allan Zhang介绍说。

SaaS,Software-as-a-Service(软件即服务),软件厂商将软件部署在云端,客户每次按需求向云端请求服务,有别于传统安装式软件。

这种变化给安全防护提出了新的挑战。如果按照此前在终端机或者是在公司内部网络上设置安全防护的做法,用户需要来回穿越VPN,带来较大的使用障碍。显然,更好的路径是将防护边界跟着用户从企业这个边界转移到云端,一个比方就是从以前在企业周围建“围墙”到在云周围建“围墙”。

“防护的边界就发生了变化,从在单个终端机上做安全防护,到围绕云做防火墙”,Allan解释说,这就是当时从业者希望打造的新一代防火墙。

Allan亲经了这个变化。2004年时,Allan加入了一家名为nCircle Network Security安全公司,这家公司致力于漏洞检测,为企业和政府提供安全解决方案,2013年被Triplewire收购。

到了2008年左右,Allan清晰地看到安全行业的新的趋势是防火墙。“当时我们已经在策划新一代的防火墙,这种产品是完全颠覆掉以前基于设备端的安全防护模式,不是像以往那样基于基于IP和端口号,而是完全以我们用户使用的一个个的应用去做防御”,Allan说。

Allan随着这个新的趋势选择了新的公司,加入了Palo Alto Networks,成了这家网络安全公司前几名名安全工程师。2012 年这家公司上市,市值两百多亿美元,证明了这家公司的市场价值和Allan这群人对于安全趋势判断的正确性。

在公司上市时,他就准备离开了,这个时候也有其他的安全公司邀请他加入,这些公司分别代表了当时不通的安全防护路径:比如网络安全公司 FireEye和云安全公司 Zscaler networks 但他看好了移动互联网安全的创业方向,创办了自己的公司Trustlook。

2012 年时,安卓在安全领域非常需要安全产品的防护,而做企业安全出身的他,也看到安卓安全防护的脆弱也影响到企业的安全防护。“企业安全服务针对的终端大多数时候都是固定的,但移动设备在各种网络里面穿梭,非常容易被攻击,如果这种被攻击过的终端又回到企业网络,会带来较大的安全隐患“,Allan说,在这种情况下,他的做法是从终端这一侧重新去审视安全。

他的思路是让每个移动设备里具备更先进的安全防护功能,包括不被恶意地监听、恶意拍照,几年时间里,Trustlook的产品扎根于每一部华为手机里,根植于高通芯片中,也为OPPO手机和亚马逊商店提供安全服务。

而这种分散化的趋势在区块链出现之后又出现了新的特征:一面是代码完全开源,一面是数据在链上完全公开公示,对于安全和隐私都提出新的挑战。

2. 新挑战:更公开更脆弱

在Allan看来,安全的发展一直在围绕数据防护这条线,数据延伸到了哪里,安全防护就会跟到哪里,当区块链以前所未有分布式形式存在时,安全防护的趋势也再一次走向分散。

而正是因为目前区块链拥有的数据量非常小,区块链相比传统互联网来说,安全防护现状还非常初级,“目前区块链数据主要是帐本数据,比特币有200G,而以太网有700G,跟传统互联网相比不在一个数量级“,他说。

目前来看,区块链安全主要在两个领域一是秘钥和智能合约安全,其次是数据安全,从来没有哪个领域的安全像区块链这个领域这样直接货币化。

以比特币为例,是由一个主私钥通过协议生成若干个钱包地址,如果有人盗取了用户的主私钥,也就意味着能够盗走在比特币链上的所有资产,因此,主私钥的安全防护就变得非常关键。

“目前密钥防护的安全我们做得比较好了,比如有很多软、硬件钱包来保证了秘钥的安全,但现实是,只有一些安全意识比较强的用户在买币后会把币从交易所转到自己的硬件钱包里,大多数用户仍然直接把币放在交易所钱包里,这样就是把安全风险转嫁给了交易所”,Allan说,因此,密钥的安全防护公司也是目前许多交易所面临的主要问题和挑战。

而以太坊诞生之后,将智能合约引入区块链世界,为这个世界带来了各种各样的功能,也带来了各种各样的风险。

在以太坊中,代码是公开公示的,从开源社区角度来说,能集众人之力来完善程序、修复漏洞,从另一个角度来说,也更容易被攻击。同时,开发语言是灵活的,每个程序员的写法都是多样的,很多时候漏洞难以避免,对比在传统互联网世界中,这种程序漏洞很可能导致程序崩溃,而现在则直接导致资产的丢失 — — Fomo3D的一款游戏最近导致一万多个以太币被人盗走,即便按照300美元的单价计算,也是300多万美元。

但是在Allan看来,区块链安全真正的挑战还在于未来数据上链之后,也就是当区块链所拥有的数据体量和传统互联网相匹配时。

Allan相信这种阶段一定会到来,“目前实际工业应用的场景并没有出现,但是我相信不可能长期这样的,未来一定是区块链和工业场景结合,就是在区块链上面可以建造出来类似于像互联网这样的生态”,Allan Zhang说,这就需要将区块链和大数据结合,也就是DxChain被创办的原因。

“区块链设计的特点就是写在上面的所有的数据都是公开公示的,但是这里面没有任何隐私可言”,Allan说,这才是未来区块链安全要面临的下一个挑战。

3. 安全和隐私:数据上链的基础

DxChain是一个分布式的存储和计算网络,同时为有价值的数据交易提供有效的隐私保护,Allan认为,许多数据上链都是有重要意义的,而要支持数据上链,存储和计算功能必不可少。

“个人数据上链,实现去中心化存储下,没有哪个中心可以控制它,个人才是数据真正的拥有者”,Allan Zhang描述了DxChain设计的数据交易模型,“任何人要使用数据,都要通过智能合约的托管向数据提供者支付代币”。

相比之下,目前用户数据都存储在中心化的数据中心,这样的中心对于用户而言是一个黑盒子,“用户不能知道他们用的什么加密算法,也不知道他们加密没有,理论上来说他们交易交换用户的数据要通知用户,但是我们无从得知他们到底交易交换了没有”,Allan说,这种传统模型是不公平的。

事实如大家所见,Facebook这些巨头因为拥有用户数据而获得巨大收入,又比如一年前,美国著名基因数据创业企业23&me以6000万美元价格出售3000个病人的基因数据,平均单个病人数据达到2万美元,但用户没有得到任何收益。

Allan希望用一条链让数据实现去中心化存储,打破以往数据垄断权,让数据所有权回归用户,颠覆了数据巨头的利润垄断。

于个人于社会,这种数据上链都能带来积极的意义。比如一个乳腺癌病人的患者所持有的个人数据,一种或者几种药在他们身上的治疗效果数据,这些数据如果能够流通到做靶向药以及其它癌症治疗药物的机构,则能够使这些机构的研究产业化提前十年二十年。在DxChain设计的模式中,这些机构支付一定的代币可以从病人那里获得这些数据。

在Allan描述的去中心化存储计算以及交易模式中,数据的安全和隐私保护尤为重要,DxChain作为这样一个平台,对此有专门的设计。

DxChain首先会对数据加密来保证安全。这种加密算法能够正向加密,但是没有人能够反向解密,除非他拥有密钥,在这种情况下,用户可以大胆地把数据上链,而不是存在自家硬盘里。也就是说,用户能够放心地把医疗等数据上传,只是确保密钥不会丢失,就能够保证自己是数据唯一的拥有者。

DxChain的用户数据在上传时会先加密。传统的AWS文件存储并不会把文件加密,但是DxChain这样的中心化的文件存储则会加密,从这个角度来说,隐私安全保护是更强的。

其次是备份。相比传统的中心化的数据存储,比如AWS,去中心化的数据存储有更高的安全性。

DxChain在加密文件后,会将这些文件划分成若干份,每份之间存在重复和冗余,举个例子,比如把文件分成30份,10份文件就包含了全部的原文件。也就是说,只要其中10份存在,就能够保证原文件的安全不被丢失。

在文件安全复制上有多种方案,同为区块链存储解决方案的创业公司Filecoin就是把文件先达成小块,然后复制,再随机分布在矿机上。

对于DxChain来说,加密和复制都是链的存储部分,DxChain认为要实现数据有价值的交易不仅仅是存储,计算功能也十分重要。

对于隐私问题,目前区块链业界采用了几种形式,比如同态加密(Homomorphic encryption),还有多方计算(Multi-Party Computation),这两种都是通过计算去加密保护隐私,目前常见的还有SGX ——通过硬件去加密。在DxChain看来,同态加密和多方计算从理论上来效果并不够好,到实际中会更加难以落地,而SGX对硬件要求特别高。

DxChain的隐私保护是基于这样一种认识——人们其实愿意交易一些数据,即便这些数据非常私人,但人们唯一的顾虑是隐私。隐私的核心在于不能够让这些数据反推出具体个人身份,不会因为出售了这部分数据影响到医疗保险的购买或者其它生活和社交。

DxChain在隐私保护中采用的是一种更实际的解决方案,DxChain将其称为“脱敏”,即把涉及到隐私的关键数据覆盖掉,比如覆盖掉用户的姓名、家庭住址这些和个人身份密切相关的数据。

”这种操作听起来很简单,实际上并非如此,对于链的计算能够提出了较高的要求”,Allan说,由于DxChain有计算能力,能够做到对数据细密度的操作,能对数据实现结构化,从而能够找到关键信息从而加密。

而DxChain的另一层隐私保护能力也是由链的计算能力赋予的,DxChain正是具有计算功能的平台,通过计算链负责运行并行计算,当用户把数据提供给DxChain平台时,DxChain能够向直接向客户提供有价值的结果。

而从隐私保护的角度来说,通过DxChain提供给数据需求方的是有价值的结果,而不是原始数据,则能够避免数据的二次售卖,则能够保证用户数据的隐私安全。

数据安全和隐私是数据上链的基础,是打造价值互联网的前提和基础,只有在这之上,才有可能诞生出真正对社会有价值的新的区块链生态。

DxChain在打造新的价值互联网平台时,已经在安全和隐私保护上做好了准备。

Author image

About DxChain

DxChain is the world’s first decentralized big data and machine learning network powered by a computing-centric blockchain.