区块链SASE应用于数据安全流通的探讨

Posted 2021-04-26 数博智云信息技术有限公司

大数据分析，已经被认为是在各行各业不可忽略的IT支撑手段。而数据在各个环节的流通，形成高效数据链，是大数据分析场景中不可或缺的重要环节！数据如果不能有效流通，数据分析毫无意义，所谓巧妇难为无米之炊。

根据中国信通院专家（闫树, 卿苏德, 魏凯）论文，数据流通，是指在数据提供方和数据需求方之间按照一定流通规则进行的以数据为对象的行为。根据数据使用的不同需求，流通的数据通常包括原始数据和加工处理后的衍生数据，涉及数据应用程序编程接口、数据报告、原始数据分组、技术算法、数据应用等不同类型的数据资源商品。结合不同的数据使用需求，数据流通服务提供者通常采用不同的流通模式，在这些流通模式下数据提供方和数据需求方通常不是同一实体。

而处于对数据隐私保护、数据权属问题需要得到准确界定、数据流通各环节标准缺乏统一共识、非法数据交易猖獗等问题，许多企业为了规避风险，纷纷暂缓或缩小了数据流通产业规模，数据流通仍然困难重重。数据流通产业面临近年来最大的挑战，亟须通过新的技术提供保障。

一

区块链SASE安全解决方案简介

SASE与SD-WAN关系紧密，因此我们首先介绍什么是SD-WAN。SD-WAN是近6、7年在数据通讯领域流行的新技术。SD-WAN，Software Defined Wide Area Network，全称软件定义广域网，旨在以业务与应用为核心，利用成熟软件模块与传统网络资源精致融合的网络解决方案。通过软件较大限度开发网络硬件资源，提高平台使用效率，优化性能，降低成本，提升客户体验。SD-WAN，是网络领域上一种拥有对业务与应用层优化能力的网络方案。未来，随着软件能力的提升，SD-WAN 将起到网络中台，承上启下的功能。在工业互联网、物联网、5G/6G时代，能够发挥巨大作用。

SASE，Secure Access Service Edge 具备安全接入服务的边缘终端，根据全球最具影响力的IT研究机构Gartner，被认为是SD-WAN技术面向全互联整体安全的升阶技术，卓越的网络性能与安全能力融合架构，以数字资产身份认证为核心，是集成SD-WAN（软件定义广域网）与安全防护的广域网接入方案，无缝适配云环境（包括容器），以软件虚拟化形态提供微服务，适应绝大多数物理或虚拟接入端。

而数字资产的身份认证，至少需要确认三件事：登录身份、身份本身信息的完整性（未被篡改过）、资产登录时间。凌锐蓝信，利用无钥签名区块链技术，利用区块链的不可篡改但可追源的特性，起到保护IT资产安全的作用。该技术形成的产品方案，我们称之为区块链SASE，使用密码学常用的默克尔树与哈希值算法，与时间轴形成比对函数，来确保每一个数字资产的唯一合法性。这与我们熟知的安全技术不同（如防火墙、态势感知、token认证等），但可以配套使用。

区块链SASE架构

签名相当于藏宝图，但是只给出了向左或向右的指示，如果进入迷宫的“人”，也就是资产哈希值不对，是不能到达宝藏地的

安全认证过程要保证快速实时性，且持续性。而区块链是被认为低效率的分布式数据存储，持续认证过程还比较容易理解，但相互认证的过程比较久，如何确保快速实时认证？原来，为了确保持续且实时性认证，与网币型公链不同，区块链SASE使用联邦链架构，认证关键节点，为用户分布式部署私有区块链，所有区块不存储任何业务数据。重要的事情说三遍，区块不存储任何业务数据，不存储任何业务数据，不存储任何业务数据，只存储授权数字资产的唯一数字ID与唯一哈希值对应的区块链签名。近乎于空区块，如此，访问每个区块的速度就会非常快。下图举例说明，不同数字资产对应的唯一哈希值。

图1，2M word文件

图2，336字节的Log日志

图3，虚机镜像 

二

数据流通应用场景

某大型个人用品制造企业L，需要将大量用户端信息通过大数据分析手段，获得精准用户画像与需求定位，以达到定制化精确制造。这些数据包括联系方式，年龄、职业、收入、职业等多项敏感信息。L公司对数据保护非常重视，绝对避免用户私人信息泄露行为。因此，L公司积极寻求利用技术手段，确保敏感数据直接传输到分析中心，并且不可驻存在分析中心，分析结果直接传回L公司指定数据中心与备份中心，所有授权访问都必须记录在案。而非授权用户，零机会接触这些人敏感数据。

凌锐蓝信，使用区块链SASE方案，为受保护的数字资产，即“用户信息文档”，以及所有有授权接触该文档的接入端（电脑、手机、Pad、虚机、服务器等），做好数字资产认证安全。受保护的数字资产通过SD-WAN传输到分析中心时，同时被授权接入私有区块链，俗称上链。私有部署的区块链通过算法为该文档提供唯一区块链身份数字ID，并注册登记在案。同时，在毫秒级的时间内将上链的唯一哈希值记入下一区块根植，并产生该文档的唯一区块链验证签名。此区块链验证签名可以通过独立算法来推算至相对应的区块根值，达到随时验证目的。此后，每一次受保护资产接入SD-WAN网络时，都会同时接受三个唯一安全认证：区块链身份数字ID，区块链验证签名，时间轴函数比对，系统不需要通过去读取与分析日志来确保IT资产安全。一旦受保护数据产生变化，区块链及其运算系统会及时发现并指出具体变化所在，节省很多时间与资源。而如果有内部人利用授权，针对受保护数据做了非授权动作，区块链SASE就会留下记录，同时做两个动作：告警，并调度IT资产自动修复功能（如果提前设置好）。

下图展现了凌锐蓝信睿智通iCONNECT 产品软件架构，与该场景用到的主要功能。该产品是可以识别业务场景与应用数据的种类，受保护数据通过SD-WAN传输时，会识别出该文档特征，然后根据安全策略，调度事先指定的私有虚拟传输隧道（VxLan），将受保护数据传输直接到授权用户端，非授权用户无法知晓传输路径，也就无法通过网络接触到该业务数据。根据需求，会调度其他安全或性能优化功能，传输受保护的文档。通过接入端数字资产身份保护与安全传输路径的双重保护，大大提高受保护数据的安全等级，非授权用户非常难接触到受保护数字资产。

睿智通iCONNECT 产品架构与该场景特定功能调度

该场景部署拓扑图

简而言之，区块链SASE有以下独特优势：

1．不可篡改，但可追溯

2．完全适合零信任环境

3．IT资产的三重唯一认证：

• 唯一上链身份ID
• 唯一哈希值产生唯一区块链验证签名，确保数字资产与哈希根值记录唯一对应
• 唯一根哈希植与时间轴形成函数比对

4．分布式部署

5．可持续且实时验证比对，无需读取日志

6．业务数据流通过正常的VxLan直接传输到对端，不存储在区块中，也不会被分流到某个服务器被解密安全扫描后再加密传出

7．可通过传统IT手段扩展，并能保证毫秒级运行速度，不影响业务数据传输

8．与防火墙、态势感知等其他安全技术原理完全不同，但可以配套使用，大幅提升企业的安全性。

高效能的网络性能与安全等级，在数字化场景中密不可分。凌锐蓝信，深刻理解数字化业务，解决大数据分析中数据安全流通的难题。

作者 简介

顾玮，作为凌锐蓝信科技（北京）有限公司创始人，硕士学位，专注IT行业20年，深刻理解并实践过IT软硬件、虚拟化、云计算、IDC等业务领域，曾在业界国内外知名公司如IBM，RedHat，华为（北美）等公司任职。

数博智云致力于为我们的客户提供专业的大数据应用软件产品和技术整合服务，从定义大数据项目对客户的价值开始，提供从原始数据采集、清洗、转换，到数据汇聚、数据存储、计算和分析，到提供数据的共享和可视化服务。

更多精彩内容

长按识别二维码，关注我们

数博智云信息技术有限公司

大数据之路，数博智云与您携手前行！