王煜荷，王勁松*，李 懿，張洪瑋，張洪豪

（天津理工大學(xué)a.天津市智能計(jì)算及軟件新技術(shù)重點(diǎn)實(shí)驗(yàn)室，b.計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室，c.計(jì)算機(jī)科學(xué)與工程學(xué)院，天津 300384）

隨著新一輪科技革命和產(chǎn)業(yè)變革的蓬勃興起，數(shù)據(jù)已成為繼土地、勞動(dòng)力、資本和技術(shù)之后最為活躍的關(guān)鍵生產(chǎn)要素。網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大使得信息系統(tǒng)內(nèi)的數(shù)據(jù)內(nèi)容日漸增多，信息數(shù)據(jù)逐漸成為各企事業(yè)單位的核心資產(chǎn)，數(shù)據(jù)安全保護(hù)越來越重要。而企業(yè)數(shù)據(jù)安全面臨的最大威脅，源自內(nèi)部人員對(duì)于內(nèi)部網(wǎng)絡(luò)資源設(shè)備的攻擊。國際數(shù)據(jù)公司（international data corporation，IDC）的一份調(diào)查統(tǒng)計(jì)表明，全球約有80%的企業(yè)存在內(nèi)網(wǎng)信息安全或信息風(fēng)險(xiǎn)問題，在所有被調(diào)查的公司曾經(jīng)產(chǎn)生過的安全隱患和事件中，超過60%的比例來自內(nèi)部人員[1]。在利益的驅(qū)使下，內(nèi)部人員的各種泄密和攻擊事件層出不窮。

同時(shí)，網(wǎng)絡(luò)設(shè)備所能支持的功能越來越多，導(dǎo)致網(wǎng)絡(luò)配置錯(cuò)誤經(jīng)常出現(xiàn)。在網(wǎng)絡(luò)設(shè)備的運(yùn)行維護(hù)過程中，管理員通常依賴遠(yuǎn)程通信網(wǎng)絡(luò)協(xié)議（teletype network，Telnet）、安全外殼協(xié)議（secure shell，SSH）、文件傳輸協(xié)議（file transfer protocol，F(xiàn)TP）、遠(yuǎn) 程 顯 示 協(xié) 議（remote display protocol，RDP）等協(xié)議對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理，這就使網(wǎng)絡(luò)配置管理中出現(xiàn)一些問題：賬號(hào)管理混亂、權(quán)限管理粗放、訪問控制策略不嚴(yán)格、無法有效審計(jì)用戶操作等[2]。錯(cuò)誤配置不僅會(huì)引發(fā)網(wǎng)絡(luò)故障，還會(huì)影響到網(wǎng)絡(luò)的安全運(yùn)行。為了實(shí)現(xiàn)安全策略，管理員往往需要人工將其轉(zhuǎn)化成底層的配置命令，不可避免地會(huì)出現(xiàn)一些非預(yù)期的配置狀態(tài)，從而造成安全漏洞，成為網(wǎng)絡(luò)安全運(yùn)行的隱患[3]。

在這種嚴(yán)峻的情況下，如何保護(hù)好存儲(chǔ)了企業(yè)全部核心機(jī)密的后臺(tái)設(shè)備，尤其是如何更好地防范與審計(jì)內(nèi)部管理人員對(duì)這些設(shè)備的訪問和操作，成為保障網(wǎng)絡(luò)數(shù)據(jù)信息安全最根本的環(huán)節(jié)。

目前主要的網(wǎng)絡(luò)設(shè)備配置管理有2種。第1種是分散式管理，即每個(gè)管理員都直接掌握設(shè)備賬號(hào)密碼，可直接登錄設(shè)備進(jìn)行配置，這種管理方案的弊端是無法具體掌握管理員的相應(yīng)操作，且管理員持有設(shè)備密碼，存在泄露隱患。第2種是統(tǒng)一配置管理，設(shè)置一個(gè)中間服務(wù)器，所有管理員統(tǒng)一登錄到該服務(wù)器，由該服務(wù)器代理登錄設(shè)備，接管終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問。這種方法可以規(guī)避管理員持有密碼帶來的風(fēng)險(xiǎn)，也可以由該服務(wù)器作配置歸檔和審計(jì)，但這種方法也存在問題：1）由于設(shè)置了中間服務(wù)器，那么中間服務(wù)器的安全尤為重要，一旦中間服務(wù)器出現(xiàn)故障或被攻擊，則整個(gè)網(wǎng)絡(luò)會(huì)癱瘓，而且配置記錄將會(huì)完全泄露；2）操作記錄不公開，可信證據(jù)由一方掌握，那么在多方協(xié)同工作的過程中，運(yùn)維人員相對(duì)處于弱勢地位。

區(qū)塊鏈?zhǔn)抢眉用苕準(zhǔn)絽^(qū)塊結(jié)構(gòu)來驗(yàn)證與存儲(chǔ)數(shù)據(jù)、利用分布式節(jié)點(diǎn)共識(shí)算法來生成和更新數(shù)據(jù)、利用智能合約來編程和操作數(shù)據(jù)的一種去中心化基礎(chǔ)架構(gòu)與分布式計(jì)算范式，具有去中心化、時(shí)序數(shù)據(jù)、集體維護(hù)、可編程和安全可信等特點(diǎn)[4]。本文利用區(qū)塊鏈去中心化的特性，提出了一種基于區(qū)塊鏈的網(wǎng)絡(luò)配置管理模型，避免了可能出現(xiàn)的單點(diǎn)故障問題，增加攻擊成本，提高整個(gè)系統(tǒng)的可靠性和安全性。

1 相關(guān)研究

在網(wǎng)絡(luò)設(shè)備的配置方面，一些學(xué)者對(duì)提高網(wǎng)絡(luò)配置效率和配置自動(dòng)化的實(shí)現(xiàn)進(jìn)行了研究。唐啟濤[5]提出一種基于信息熵的網(wǎng)絡(luò)設(shè)備配置命令分類算法，應(yīng)用在網(wǎng)絡(luò)設(shè)備配置命令的智能修復(fù)系統(tǒng)中，提高了配置命令分類的效率和精度。袁曉飛[6]設(shè)計(jì)與實(shí)現(xiàn)了基于Web的網(wǎng)絡(luò)設(shè)備監(jiān)測管理系統(tǒng)，與可視化相結(jié)合，提供簡單、便捷和高效的網(wǎng)絡(luò)管理服務(wù)。文獻(xiàn)[7]編制了基于Visual Basic腳本語言（visual basic script，VBScript）的程序，實(shí)現(xiàn)交換機(jī)的批量維護(hù)。

在統(tǒng)一的配置管理系統(tǒng)的研究方面，陳躍斌[8]提出了基于可擴(kuò)展標(biāo)記語言（extensible markup language，XML）的配置策略統(tǒng)一描述方法，屏蔽了設(shè)備廠商配置命令不一致的問題，在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了數(shù)據(jù)中心網(wǎng)絡(luò)配置管理系統(tǒng)（configuration management system，CMS）。網(wǎng)絡(luò)配置協(xié)議（network configuration protocol，NETCONF）是一種基于XML的網(wǎng)絡(luò)管理協(xié)議，它提供了一種對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置和管理的可編程的方法。賴楊燈[9]基于NETCONF協(xié)議標(biāo)準(zhǔn)，對(duì)策略路由配置管理進(jìn)行二次開發(fā)，設(shè)計(jì)了一種策略路由網(wǎng)絡(luò)配置管理系統(tǒng)。文獻(xiàn)[10]使用網(wǎng)絡(luò)本體語言（web ontology language，OWL），基于本體信息抽取，實(shí)現(xiàn)對(duì)不同供應(yīng)商的異構(gòu)設(shè)備的網(wǎng)絡(luò)配置管理。文獻(xiàn)[11]提出了一種基于區(qū)塊鏈的網(wǎng)絡(luò)功能虛擬化（network functions virtualization，NFV）安全管理、配置和遷移體系結(jié)構(gòu)，保證了網(wǎng)絡(luò)核心配置的安全更新和遷移。文獻(xiàn)[12]對(duì)軟件定義網(wǎng)絡(luò)（software-defined networking，SDN）的自動(dòng)化配置管理進(jìn)行了系統(tǒng)研究，設(shè)計(jì)并實(shí)現(xiàn)了基于SDN的配置管理軟件。

“特權(quán)用戶”被認(rèn)為是擁有訪問敏感網(wǎng)絡(luò)、機(jī)器和應(yīng)用程序的權(quán)限，以執(zhí)行普通任務(wù)的人（即網(wǎng)絡(luò)管理員）。特權(quán)訪問管理（privilege access management，PAM）指一類幫助保護(hù)、控制、管理和監(jiān)控對(duì)關(guān)鍵資產(chǎn)的特權(quán)訪問的解決方案。在特權(quán)用戶管理方面，文獻(xiàn)[13]總結(jié)了云計(jì)算中不穩(wěn)定的特權(quán)管理因素和威脅，對(duì)這一問題進(jìn)行了全面地調(diào)查整理。文獻(xiàn)[14]針對(duì)細(xì)粒度特權(quán)管理和執(zhí)行問題，開發(fā)了特權(quán)管理系統(tǒng)（privilege management model，PRIMA），提供網(wǎng)格層特權(quán)管理、動(dòng)態(tài)賬戶創(chuàng)建和授權(quán)策略，支持臨時(shí)和動(dòng)態(tài)協(xié)作場景。

區(qū)塊鏈上記錄的數(shù)據(jù)對(duì)所有用戶可見且不可篡改，因此可以用區(qū)塊鏈對(duì)訪問控制的策略/權(quán)限進(jìn)行管理，從而實(shí)現(xiàn)公開透明的訪問控制。文獻(xiàn)[15]利用區(qū)塊鏈技術(shù)來定義訪問控制系統(tǒng)，將訪問控制策略編寫成智能合約部署在區(qū)塊鏈上，以保證訪問控制策略評(píng)估的可審核性。文獻(xiàn)[16]提供了對(duì)存儲(chǔ)在云中服務(wù)器的數(shù)據(jù)訪問控制，用基于密文-策略屬性的動(dòng)態(tài)屬性加密方案來實(shí)現(xiàn)訪問控制，而無需云服務(wù)提供方的參與。文獻(xiàn)[17]基于以太坊平臺(tái)使用智能合約實(shí)現(xiàn)對(duì)醫(yī)療數(shù)據(jù)的訪問控制，將智能合約與訪問控制相結(jié)合進(jìn)行自動(dòng)化的權(quán)限管理，實(shí)現(xiàn)了對(duì)不同組織的分布式醫(yī)療數(shù)據(jù)的整合和權(quán)限管理。

綜上所述，對(duì)網(wǎng)絡(luò)配置管理的研究大多基于中心化的架構(gòu)，鮮有將區(qū)塊鏈技術(shù)與配置管理相結(jié)合的研究。區(qū)塊鏈公開透明的特點(diǎn)使權(quán)限管理過程公開可審計(jì)，能夠防止越權(quán)行為，在訪問控制領(lǐng)域有一定優(yōu)勢。

2 基于區(qū)塊鏈的網(wǎng)絡(luò)配置管理模型

2.1 模型架構(gòu)

基于區(qū)塊鏈的網(wǎng)絡(luò)配置管理模型包含2個(gè)實(shí)體：運(yùn)維人員和運(yùn)維對(duì)象。

1）運(yùn)維人員（管理員）：對(duì)運(yùn)維對(duì)象進(jìn)行運(yùn)行管理和維護(hù)的人員。

2）運(yùn)維對(duì)象（網(wǎng)絡(luò)設(shè)備）：是運(yùn)維操作的對(duì)象，包括交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備和各種服務(wù)器。

系統(tǒng)架構(gòu)如圖1所示，運(yùn)維人員通過點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)（peer-to-peer，P2P）互相連接，組成區(qū)塊鏈網(wǎng)絡(luò)，每個(gè)運(yùn)維人員運(yùn)行區(qū)塊鏈的一個(gè)節(jié)點(diǎn)，由區(qū)塊鏈網(wǎng)絡(luò)作為一個(gè)整體與網(wǎng)絡(luò)設(shè)備進(jìn)行交互。其中，代理節(jié)點(diǎn)作為整個(gè)網(wǎng)絡(luò)的代表，負(fù)責(zé)某一輪對(duì)網(wǎng)絡(luò)設(shè)備的具體操作過程，代理節(jié)點(diǎn)由全網(wǎng)節(jié)點(diǎn)依據(jù)算法選出，各節(jié)點(diǎn)地位平等，公平競爭代理資格，沒有中心節(jié)點(diǎn)存在。

圖1 系統(tǒng)架構(gòu)Fig.1 System architecture

2.2 主要功能

1）單點(diǎn)登錄。管理員只需要經(jīng)過一次身份認(rèn)證，就可以訪問多種目標(biāo)設(shè)備，實(shí)現(xiàn)單點(diǎn)登錄。

2）權(quán)限控制。管理員只能訪問自己已獲得授權(quán)的目標(biāo)設(shè)備，以“交易”作為請求信息的載體，由區(qū)塊鏈網(wǎng)絡(luò)所有節(jié)點(diǎn)共同執(zhí)行判斷，驗(yàn)證請求是否符合相應(yīng)的授權(quán)規(guī)則。

3）賬號(hào)管理。對(duì)賬號(hào)整個(gè)生命周期進(jìn)行監(jiān)控和管理，賬號(hào)信息記錄在鏈下，并隨著代理節(jié)點(diǎn)的每次操作而不斷更新，實(shí)現(xiàn)賬號(hào)動(dòng)態(tài)管理。

4）配置管理。管理員把配置操作、配置前后設(shè)備狀態(tài)等信息寫入?yún)^(qū)塊鏈，公開透明可追溯，以備日后審計(jì)。

2.3 設(shè)計(jì)方案

2.3.1 初始化

1）確定每個(gè)管理員能夠訪問和操作的設(shè)備，制定網(wǎng)絡(luò)設(shè)備的權(quán)限控制列表。

2）將所有管理員節(jié)點(diǎn)通過P2P網(wǎng)絡(luò)配置成區(qū)塊鏈網(wǎng)絡(luò)，把權(quán)限控制列表分發(fā)給每個(gè)節(jié)點(diǎn)，各節(jié)點(diǎn)生成公私鑰對(duì)并且公布公鑰作為自己的身份標(biāo)識(shí)符。

3）對(duì)所有設(shè)備進(jìn)行編號(hào)，稱為設(shè)備號(hào)（identity document，ID），記錄網(wǎng)絡(luò)設(shè)備初始狀態(tài)（如互聯(lián)網(wǎng)協(xié)議地址（internet protocol address，IP地址）、端口號(hào)、協(xié)議等能夠反映該設(shè)備工作狀態(tài)的字段值），把設(shè)備ID及初始狀態(tài)打包寫入創(chuàng)世區(qū)塊（第1個(gè)被創(chuàng)建的區(qū)塊）。

4）將設(shè)備的賬號(hào)密碼隨機(jī)分發(fā)給各管理員節(jié)點(diǎn)，設(shè)備的初始密碼由各節(jié)點(diǎn)各自掌握，使得設(shè)備的賬號(hào)密碼由全網(wǎng)的管理員節(jié)點(diǎn)共同保存，各節(jié)點(diǎn)只對(duì)自己保管的賬號(hào)負(fù)責(zé)，不知曉其他節(jié)點(diǎn)情況。

2.3.2 執(zhí)行過程

假設(shè)區(qū)塊鏈中某一節(jié)點(diǎn)，也就是某一網(wǎng)絡(luò)管理員想要對(duì)某一設(shè)備進(jìn)行操作，那么一個(gè)完整的運(yùn)維審計(jì)執(zhí)行方案包含以下3個(gè)階段：權(quán)限控制，代理節(jié)點(diǎn)操作和上鏈（即記賬），核心是“代理節(jié)點(diǎn)操作”部分?；趨^(qū)塊鏈的配置管理方案如圖2所示，3個(gè)階段循環(huán)往復(fù)執(zhí)行，每執(zhí)行一輪將會(huì)進(jìn)行一次運(yùn)維操作，記錄操作信息并打包生成新區(qū)塊，更新區(qū)塊鏈。各個(gè)階段的詳細(xì)說明如下。

圖2 基于區(qū)塊鏈的配置管理方案Fig.2 Blockchain-based configuration management scheme

1）第1階段：權(quán)限控制。這一階段是對(duì)傳統(tǒng)網(wǎng)絡(luò)設(shè)備配置過程中的權(quán)限管理的分布式實(shí)現(xiàn)。

①想要進(jìn)行設(shè)備配置操作的管理員會(huì)向區(qū)塊鏈網(wǎng)絡(luò)發(fā)起交易，以交易的形式將請求信息發(fā)布至區(qū)塊鏈網(wǎng)絡(luò)，交易數(shù)據(jù)包括以下幾部分：目標(biāo)設(shè)備ID，管理員數(shù)字簽名，請求進(jìn)行的操作。

②區(qū)塊鏈網(wǎng)絡(luò)中的其他節(jié)點(diǎn)收到交易請求后首先進(jìn)行身份認(rèn)證，驗(yàn)證交易的簽名，確認(rèn)該筆交易是由合法用戶發(fā)起的，且沒有被篡改。

③身份認(rèn)證無誤后通過訪問控制列表驗(yàn)證用戶是否有相應(yīng)權(quán)限，若驗(yàn)證通過則向代理節(jié)點(diǎn)集中的首位節(jié)點(diǎn)發(fā)送信號(hào)，否則不發(fā)送。與傳統(tǒng)權(quán)限管理不同的是，本方案的驗(yàn)證過程由全網(wǎng)所有節(jié)點(diǎn)完成，而不是單個(gè)節(jié)點(diǎn)或某幾個(gè)節(jié)點(diǎn)，通過這種方式可以避免串通作惡、單點(diǎn)故障等問題。

2）第2階段：代理節(jié)點(diǎn)操作。在本模型中，代理節(jié)點(diǎn)負(fù)責(zé)代理用戶完成配置操作，并在操作結(jié)束后將操作記錄打包送進(jìn)區(qū)塊中，即區(qū)塊是由代理節(jié)點(diǎn)生成并廣播的，代理節(jié)點(diǎn)要先后完成代理操作和記賬兩項(xiàng)工作，因此代理節(jié)點(diǎn)的選擇尤為重要。本方案擬采用改進(jìn)的權(quán)益證明（proof of stake，PoS）算法對(duì)所有節(jié)點(diǎn)（除去發(fā)起請求的節(jié)點(diǎn)）進(jìn)行選舉產(chǎn)生代理節(jié)點(diǎn)。PoS算法是為解決工作量證明（proof of work，PoW）算法大量浪費(fèi)資源問題而提出的一種替代算法，該算法與PoW算法的最大不同點(diǎn)在于區(qū)塊的記賬權(quán)由權(quán)益最高的節(jié)點(diǎn)獲得，而不是算力最高的節(jié)點(diǎn)。為了避免傳統(tǒng)的PoS算法選舉周期長、選舉機(jī)制復(fù)雜等缺點(diǎn)，本方案對(duì)PoS進(jìn)行了如下改進(jìn)。

①改進(jìn)的PoS算法中權(quán)益根據(jù)節(jié)點(diǎn)積分確定，積分與節(jié)點(diǎn)的連續(xù)在線時(shí)長有關(guān)，節(jié)點(diǎn)的積分越高，被選為代理節(jié)點(diǎn)的概率就越大。每次選出積分最高的3個(gè)節(jié)點(diǎn)作為代理節(jié)點(diǎn)集，其中積分最高的為首位節(jié)點(diǎn)，其余2個(gè)為替補(bǔ)節(jié)點(diǎn)。首先令首位節(jié)點(diǎn)為代理節(jié)點(diǎn)，若首位節(jié)點(diǎn)不能勝任代理操作，則再從代理節(jié)點(diǎn)集中選取，一旦當(dāng)選為代理節(jié)點(diǎn)，節(jié)點(diǎn)積分將清零。代理節(jié)點(diǎn)集的設(shè)置降低了節(jié)點(diǎn)不在線從而影響網(wǎng)絡(luò)運(yùn)轉(zhuǎn)的風(fēng)險(xiǎn)。

②每個(gè)被選出的代理節(jié)點(diǎn)負(fù)責(zé)連續(xù)的5個(gè)塊，也就是負(fù)責(zé)處理5筆請求操作，避免頻繁地進(jìn)行選舉，提高系統(tǒng)運(yùn)行效率和出塊速度。

③引入懲罰機(jī)制，為更好地鼓勵(lì)誠實(shí)節(jié)點(diǎn)。節(jié)點(diǎn)作惡被舉報(bào)將會(huì)扣減積分，只有遵守協(xié)議的節(jié)點(diǎn)才能累積更高的積分，進(jìn)而成為候選代理節(jié)點(diǎn)。

假設(shè)區(qū)塊鏈中有n個(gè)候選節(jié)點(diǎn)，每個(gè)候選節(jié)點(diǎn)標(biāo)號(hào)為1，2，…，i，…，n，這n個(gè)候選節(jié)點(diǎn)可以構(gòu)成一個(gè)大的集合：N={1，2，…，i，…，n}，則節(jié)點(diǎn)積分D的計(jì)算公式為：

式中，Oi表示節(jié)點(diǎn)i的連續(xù)在線時(shí)長，Ti表示節(jié)點(diǎn)i執(zhí)行代理操作的累計(jì)時(shí)長。

則n個(gè)候選節(jié)點(diǎn)的總積分可以表示為：

把每個(gè)節(jié)點(diǎn)的積分占總積分的比重看做每個(gè)節(jié)點(diǎn)的權(quán)重，表示為ω1,ω2,ω3,…,ωi,…,ωn，則：

信用系數(shù)是改進(jìn)算法里的一個(gè)百分比系數(shù)，是節(jié)點(diǎn)信用度的一種表現(xiàn)形式。信用系數(shù)能夠在一定程度上左右節(jié)點(diǎn)的最終結(jié)果，保證高信用度的候選節(jié)點(diǎn)具有更大的優(yōu)勢。最終結(jié)果R的計(jì)算公式為：

式中，α是根據(jù)節(jié)點(diǎn)信用度產(chǎn)生的系數(shù)，0＜α≤1，初始數(shù)值所有節(jié)點(diǎn)一致，修改可以根據(jù)全體管理員的投票結(jié)果決定，通過該算法，信用度較低的節(jié)點(diǎn)想成為代理節(jié)點(diǎn)需要更多的在線時(shí)長，而信用度高的節(jié)點(diǎn)只需要維持正常行為，從而降低作惡節(jié)點(diǎn)獲得代理權(quán)的概率。

這一階段執(zhí)行過程的具體步驟如下：

①代理節(jié)點(diǎn)在收到超過半數(shù)節(jié)點(diǎn)的驗(yàn)證通過信號(hào)后，讀取交易數(shù)據(jù)；

②從交易數(shù)據(jù)中得到的信息確定目標(biāo)設(shè)備ID，在區(qū)塊鏈上查找該設(shè)備的上一次操作數(shù)據(jù)，得到上一輪的代理節(jié)點(diǎn)信息，隨后向該設(shè)備的上一輪代理節(jié)點(diǎn)請求設(shè)備賬號(hào)密碼；

③使用獲得的賬號(hào)密碼登錄到目標(biāo)設(shè)備，逐條執(zhí)行交易中的操作；

④操作完畢后修改設(shè)備賬號(hào)密碼，斷開連接，注銷登錄狀態(tài)；

⑤將設(shè)備ID、交易數(shù)據(jù)、設(shè)備結(jié)束狀態(tài)等數(shù)據(jù)打包生成區(qū)塊，并將區(qū)塊數(shù)據(jù)廣播到網(wǎng)絡(luò)中。

3）第3階段：上鏈。全網(wǎng)其他節(jié)點(diǎn)接收到廣播的數(shù)據(jù)，會(huì)對(duì)打包數(shù)據(jù)進(jìn)一步確認(rèn)，驗(yàn)證其簽名，只有通過驗(yàn)證的數(shù)據(jù)才會(huì)被記錄到節(jié)點(diǎn)本地賬本中，區(qū)塊內(nèi)容及說明如表1所示。如果沒有通過驗(yàn)證，那么節(jié)點(diǎn)將拒絕對(duì)其簽名，也不會(huì)將數(shù)據(jù)繼續(xù)廣播到其他節(jié)點(diǎn)。

表1 區(qū)塊內(nèi)容及說明Tab.1 Block content and description

3 分析與討論

3.1 安全性分析

本節(jié)主要從可用性、防篡改性和數(shù)據(jù)安全幾個(gè)方面分析模型的安全性。

1）可用性。由于區(qū)塊鏈網(wǎng)絡(luò)是一個(gè)分布式的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)，因此能在很大程度上抵抗技術(shù)失誤和惡意攻擊，并且每個(gè)節(jié)點(diǎn)都能夠復(fù)制并儲(chǔ)存一個(gè)數(shù)據(jù)副本，所以該系統(tǒng)避免了單點(diǎn)故障問題，任意一個(gè)單一的節(jié)點(diǎn)離線都不會(huì)對(duì)網(wǎng)絡(luò)整體的可用性及安全性造成任何影響，比傳統(tǒng)方法具有更高的抗風(fēng)險(xiǎn)能力。在權(quán)限控制方面，由區(qū)塊鏈網(wǎng)絡(luò)中的所有節(jié)點(diǎn)共同執(zhí)行判斷，這種設(shè)計(jì)方法避免了只由單一的決策者來判斷，從概率學(xué)的角度提高了整個(gè)驗(yàn)證判斷過程的安全性。這個(gè)問題可以抽象成為經(jīng)典的分布式問題，即拜占庭將軍問題。若系統(tǒng)中有n個(gè)節(jié)點(diǎn)，其中有f個(gè)惡意節(jié)點(diǎn)，f個(gè)故障節(jié)點(diǎn)，那么只要f＜（n-1）/3，整個(gè)系統(tǒng)就能夠?qū)δ硞€(gè)操作的權(quán)限問題達(dá)成一致。若某一驗(yàn)證節(jié)點(diǎn)被攻擊，得出錯(cuò)誤的結(jié)論，也無法對(duì)整體驗(yàn)證結(jié)論形成影響，并且驗(yàn)證結(jié)果在驗(yàn)證點(diǎn)之間是可查、可審、可追溯的，惡意節(jié)點(diǎn)就能夠迅速被發(fā)現(xiàn)清理。

2）防篡改性。區(qū)塊鏈系統(tǒng)具有不可篡改的特性，所有行為均記錄在區(qū)塊鏈上，公開透明，便于審計(jì)追查。對(duì)所有操作信息進(jìn)行記錄，包括輸入命令與輸出結(jié)果，保證在發(fā)生安全事件后，能及時(shí)追溯到具體操作的個(gè)人，實(shí)現(xiàn)配置的可追溯。相比于傳統(tǒng)的系統(tǒng)，日志的寫入都是經(jīng)過全網(wǎng)節(jié)點(diǎn)共識(shí)的，增加了共識(shí)的可信度和不可抵賴性，為事后追責(zé)和系統(tǒng)狀態(tài)恢復(fù)提供了便利。同時(shí)，定期對(duì)記錄信息進(jìn)行審計(jì)，對(duì)所有用戶的操作行為進(jìn)行分析，從源頭杜絕隱患。

3）數(shù)據(jù)安全。為了保證網(wǎng)絡(luò)設(shè)備賬號(hào)和密碼不會(huì)被篡改和泄露，本模型利用區(qū)塊鏈系統(tǒng)去中心化特性的優(yōu)勢，采用了分散管理的方法。與傳統(tǒng)的集中式管理不同，在分散管理方法中，運(yùn)維對(duì)象的賬號(hào)密碼由區(qū)塊鏈網(wǎng)絡(luò)中的節(jié)點(diǎn)共同管理，賬號(hào)的管理權(quán)分散在網(wǎng)絡(luò)中，并隨著運(yùn)維過程動(dòng)態(tài)變化。當(dāng)有節(jié)點(diǎn)退出網(wǎng)絡(luò)時(shí)，撤銷其代理權(quán)限，回收其所管理的賬號(hào)信息，在網(wǎng)絡(luò)中進(jìn)行重新分配。代理節(jié)點(diǎn)在連接到設(shè)備前首先應(yīng)向相應(yīng)節(jié)點(diǎn)請求賬號(hào)密碼，登錄到設(shè)備后修改賬號(hào)密碼，由自己保管，明確賬號(hào)操作者和責(zé)任人，賬號(hào)隨著系統(tǒng)的修改而變化，以此實(shí)現(xiàn)賬號(hào)管理的動(dòng)態(tài)平衡。假設(shè)有非此網(wǎng)絡(luò)的惡意攻擊者E，想要修改某設(shè)備Q1。其每次攻擊成功的概率都是1/n，其中n為節(jié)點(diǎn)數(shù)目。這樣除非E同時(shí)攻擊網(wǎng)絡(luò)中所有的節(jié)點(diǎn)，否則難以拿到某一時(shí)刻設(shè)備的密碼，從而有效地保證了密碼的安全。

3.2 性能分析

本設(shè)計(jì)在以太網(wǎng)上做了原型驗(yàn)證實(shí)驗(yàn)，實(shí)驗(yàn)設(shè)備主要分為兩類。一類是組成區(qū)塊鏈網(wǎng)絡(luò)的節(jié)點(diǎn)，包括運(yùn)行在VMware軟件中的6臺(tái)Ubuntu 18.04虛擬機(jī)，這6臺(tái)虛擬機(jī)運(yùn)行在一臺(tái)服務(wù)器上，每個(gè)都配置了千兆網(wǎng)卡和網(wǎng)際協(xié)議版本6（internet protocol version 6，IPv6）地址，能夠保證節(jié)點(diǎn)之間的正常通信。另一類是作為操作對(duì)象的網(wǎng)絡(luò)設(shè)備，采用網(wǎng)絡(luò)設(shè)備模擬軟件eNsp和終端仿真程序SecureCRT對(duì)網(wǎng)絡(luò)設(shè)備的配置進(jìn)行實(shí)驗(yàn)。eNsp運(yùn)行在上述6臺(tái)虛擬主機(jī)中的一臺(tái)主機(jī)上，網(wǎng)絡(luò)設(shè)備硬件環(huán)境如表2所示，AR201為路由器，S3700為交換機(jī)。

表2 網(wǎng)絡(luò)設(shè)備硬件環(huán)境Tab.2 Network device hardware environment

為了比較基于區(qū)塊鏈的方案和傳統(tǒng)方案之間的效率差距，實(shí)驗(yàn)中另設(shè)了一臺(tái)虛擬機(jī)作為傳統(tǒng)方案中的服務(wù)器，來對(duì)比測試傳統(tǒng)方案和基于區(qū)塊鏈的設(shè)計(jì)隨著命令數(shù)量上升處理時(shí)延的變化。由于設(shè)備狀態(tài)不好觀測，所以分別用傳統(tǒng)方案的服務(wù)器和本方案的節(jié)點(diǎn)來配置路由器IP地址，然后通過Ping命令來實(shí)際檢測當(dāng)前IP地址的變化。同命令數(shù)量下處理時(shí)延對(duì)比如圖3所示，測試結(jié)果表明，傳統(tǒng)中心化方案相比于本文方案達(dá)到的時(shí)延較低，但是本文方案也達(dá)到了不錯(cuò)的效果，與傳統(tǒng)方案的差距并未太大，在實(shí)現(xiàn)分布式和去單點(diǎn)故障的優(yōu)點(diǎn)下，本文方案在對(duì)安全性要求較高并對(duì)性能要求較低的場景中，如需要嚴(yán)格日志審計(jì)多中心聯(lián)盟場景具有一定優(yōu)勢。

圖3 同命令數(shù)量下處理時(shí)延對(duì)比Fig.3 Comparison of processing delays with the same number of commands

下面對(duì)本設(shè)計(jì)在節(jié)點(diǎn)數(shù)量和命令數(shù)量方面做一個(gè)性能測試。與上面測試方式相同，配置路由器IP地址，觀察Ping包的情況，但是Ping包有8 ms間隔，所以統(tǒng)一取中值即取Ping包變化的那一個(gè)包的時(shí)間的前4 ms為具體時(shí)延，來測試多節(jié)點(diǎn)固定命令數(shù)量的時(shí)延，測試時(shí)每個(gè)節(jié)點(diǎn)固定發(fā)送10、30、100條操作命令，圖4為多節(jié)點(diǎn)固定命令數(shù)量處理時(shí)延對(duì)比，結(jié)果顯示，操作指令數(shù)量增長會(huì)造成系統(tǒng)時(shí)延的增加，但是節(jié)點(diǎn)數(shù)量增長對(duì)時(shí)延影響不明顯。這表明本模型有良好的拓展性，適合學(xué)校、軍隊(duì)、醫(yī)院等交易數(shù)量不多但是日志審核嚴(yán)格的應(yīng)用場景。

圖4 多節(jié)點(diǎn)固定命令數(shù)量處理時(shí)延對(duì)比Fig.4 Multi-node fixed order quantity processing time delay

4 結(jié)論

本文提出了基于區(qū)塊鏈的網(wǎng)絡(luò)配置管理模型，并進(jìn)一步闡述了基于區(qū)塊鏈的配置管理方案的主要流程。其核心思想是用區(qū)塊鏈對(duì)傳統(tǒng)網(wǎng)絡(luò)配置管理系統(tǒng)中的中心化部分進(jìn)行分布式改造，主要功能包括單點(diǎn)登錄、權(quán)限控制、賬號(hào)管理和配置管理。分析和驗(yàn)證表明，基于區(qū)塊鏈的架構(gòu)能夠有效解決傳統(tǒng)架構(gòu)下面臨的單點(diǎn)化和中心化的問題，將二值化的信任模型擴(kuò)展為網(wǎng)狀的整體信任模型，更符合實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境。