登录/注册

广告一 广告二 广告三 广告四 广告五
首页 文章 国内外区块链网络安全现状及发展趋势

国内外区块链网络安全现状及发展趋势

文章来源:梆梆安全

区块链安全,区块链发展趋势,

2018/12/07 01:35

4430

文章页2
本文来源:梆梆安全研究院发布的《区块链安全白皮书》

2008年,中本聪( Satoshi Nakamoto)在论文《比特币:一种 P2P电子现:金系统》(Bitcoin:A Peer- to-Peer Electronic Cash System) 中详细描述了如何创建一套去中心化的电子交易体系,该体系在不涉及任何金融机构的情况下和不需要交易双方相互信任的基础上允许个人发送和接收支付,首次通过技术手段实现了交易主体间共识机制的建立。区块链(Blockchain)技术正是构成这种电子交易体系的基础技术。

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式,是一种全新的分布式基础架构。 人们可以利用区块链式数据结构来验证与存储数据,利用分布式节点共识算法来生成和更新数据,利用密码学的方式保证数据传输和访问的安全,利用由自动化脚本代码组成的智能合约来编程和操作数据。

区块链技术是一系列已有技术组合体,包括:分布式网络、密码技术(数字签名、安全摘要算法)、Merkle 树、工作量证明、拜占庭容错协议等,这些技术已经历了十几年甚至几十年的发展演变过程,在已有技术组合体的基础上融入新技术并且业务不断创新,产生了区块链1.0、区块链2.0及区块链3.0,如图1-1所示。

图1-1区块链发展历程

区块链1.0主要应用是数字货币,典型代表是Bitcoin;区块链2.0区别于区块链1.0的本质是智能合约的应用,主要应用在金融行业,典型代表是以太坊Ethereum;区块链3.0超越金融领域,进入社会公证、智能化领域,分布式应用DApp,区块链3.0能够对每一个互联网中代表价值的信息和字节进行产权确认、计量和存储,从而实现资产在区块链上可被追踪、控制和交易,典型的底层设施开发项目有EOS。

1.区块链关键技术组成要素

通常,区块链生态系统由多个节点(节点可以是个人、组织、企业等)组成,包括密码学、智能合约、共识协议以及对外提供服务的移动数字钱包App、网站等,如图1-2所示。

图1-2区块链生态系统
区块链生态系统特点为:

· 所有参与者共享数据,账本的所有副本在任何时候都与其它副本一一致,没有中央服务器,部分参加者可能没有完整的副本;
· 节点的网络连接对等;
· 参加者必须遵守规则,其中公有链是任何人都可以加入,而联盟链中的参与者受会员规则约束;
· 使用共识协议,对给定事务的有效性达成共识;
· 交易可以是金融、资产或服务的交换,交易规则编码为智能合约。
· 使用数字签名(私钥/公钥)签署和/或加密分类帐上的交易,并且签名与身份关联。

区块链技术架构如图1-3 所示,从中我们可以看到,区块链在利用基础服务设施进行系统核心设计;系统的核心设计包括合约层、共识层以及数据层;通过浏览器、App等方式提供溯源、征信、数字票据、能源交易等业务形成相应的应用生态。在此架构中区块链以基础组件完成了数据的交换、验证、传播以及不同节点和组件之间的消息通知,其中密码库则可为上层组件提供基本的密码学算法支持,包括各种常用的加密算法、哈希算法、签名算法、隐私保护算法等,这些算法在区块链系统中的多个环节被予以使用。
图1-3区块链技术架构
当前主流的开源区块链平台都是基于以上技术的实践,从数据层、共识层、合约层对这些主流的开源区块链平台进行比较可以发现,这些平台主要使用了密码学、共识机制、智能合约等技术,如图1-4 所示。

如图1-4 当前各种主流区块链平台技术对比

1)密码学

在区块链中,大量使用了现代信息安全和密码学的技术成果,主要包括:哈希算法SHA-256、对称加密、椭圆曲线数字签名、数字证书等,同时也有许多研究人员在研究同态加密、零知识证明等技术在区块链中的应用。

区块链采用密码学哈希算法技术来保证区块链账本的完整性不被破坏,其利用哈希算法的输入敏感和冲突避免特性,在每个区块内生成包含上一个区块的哈希值,并在区块内生成验证过的交易的Merkle根哈希值。

对于联盟链一般是引入数字证书机制,数字证书大多由权威机构进行签发,用来验证通信对等点身份,进而保证对等点公钥的正确性。通信的一侧持有权威机构根CA(Certification Authority)的公钥,用来验证通信对等点证书是否被自己信任(即证书是否由自己颁发),并根据证书内容确认对等身份。Fabric、Corda均支持证书的身份认证形式。

2)共识机制

共识机制是区块链系统中各个节点对时间窗口内事务达成一一致的策略和方法。目前主流的共识机制有工作量证明( Proof of Work, PoW)、权益证明( Proof ofStake, PoS) 机制、股份授权证明(Delegated Proofof Stake, DPoS) 机制、Raft、 拜占庭容错算法( Practical ByzantineFault-Tolerant, PBFT), 各共识机制的对比如表1-1所示。

表1-1不同的共识机制对比

根据准入机制不同,区块链被分为公有链、联盟链、私有链,公有链向所有人开放,无用户授权机制;联盟链允许授权的节点加入网络,可根据权限查看信息,往往用于机构间的区块链;私有链则是将所有网络中的节点都掌握在一家机构手中。其中联盟链和私有链的节点、用户需要有许可才能进入网络,因此也称为许可链。不同的准入机制会使用不同的共识机制:比特币等公有链使用PoW共识机制;许可链节点信任度高,算法只需支持崩溃容错( Crash Fault-Tolerant,CFT),去中心化的区块链由多方共同管理维护,而且通常有高效共识的需求,因此传统的一致性算法成为首选,如PBFT共识机制、Raft共识机制等。

公有链的比特币应用了PoW共识机制,其具体运作原理是:每个网络节点会利用自身计算资源进行哈希运算以竞争区块记账权,只有完成一定计算工作量并可供证明的节点才会拥有记账权并生成区块,当全网可信节点所控制的计算资源高于51%时,即可证明整个网络是安全的。为了避免高度依赖节点算力所带来的电能消耗,研究者还提出了一些不依赖算力而能够达成共识的机制。例如,点点币(Peercoin)应用了区块生成难度与节点所占股权成反比的PoS机制;比特股   (Bitshares)应用了获股东投票数最多的几位代表按既定时间段轮流产生区块股份授权证明的DPoS机制。

3)智能合约

第二代区块链技术与第一代的显著区别是智能合约(Smartcon-tract)的使用,智能合约这个术语在区块链之前就已出现,至少可以追溯到1995年,由多产的跨领域法律学者、受到广泛赞誉的密码学家尼克。萨博(Nick Szabo)所提出,他在发表于自己网站的几篇文章中提到了智能合约理念,定义如下:

“一个智能合约是- -套以数字形式定义的承诺(promises),包括合约参与方可以在上面执行这些承诺的协议。”

智能合约理念几乎与互联网(World Wide Web)同时出现,从本质上讲,这些自动合约的工作原理类似于其它计算机程序的if-then 语句,是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。当一个预先编好的条件被触发时,智能合约则执行相应的合同条款。

在计算机上进行智能合约实际应用时,需要控制实物资产保证其有效地执行合约,同时要做到,执行合约条款时能获取到第三方审核的合约方信息,即需要解决信息传递与信任问题。

在无法建立信任关系的互联网上,区块链技术依靠密码学和巧妙的分布式算法,无需借助任何第三方中心机构的介入,用数学的方法使参与者达成共识,保证交易记录的存在性、合约的有效性以及身份的不可抵赖性,由此解决了互联网上的信任和价值传递问题,为智能合约的广泛应用提供了绝佳的温床。第二代区块链开源项目一一以太坊(Ethereum)即使用了智能合约,以太坊提供了图灵完备的脚本语言Solidity、Serpent 与沙盒环境Ethereum Vitual Machine (EVM),以供用户编写和运行智能合约。一个旨在推动区块链跨行业应用开源项目一Hyperledge,由Linux基金会在2015年12月主导发起,它也支持智能合约,Hyperledger Fabric 的智能合约被称为Chaincode,其选用Docker容器作为沙盒环境,Docker容器中带有-组经过签名的基础磁盘映像及Go与Java语言运行所需的SDK,以运行Go与Java语言编写的Chaincode。智能合约使很多不同类型的程序和操作得以自动化,最明显的体现之处在于支付环节及付款时的步骤操作。2016年底由智能合约联盟(SCA)与数字商务商会(CDC)联合发布的《Smart Contracts:12 Use Cases for Business & Beyond ( 智能合约: 12 种商业及其他使用案例)》白皮书介绍了数字身份、抵押、供应链、癌症研究等12项智能合约商业使用案例,而目前智能合约已在金融、医疗等多个领域得以实际应用。

2. 区块链技术发展趋势

相比当前的区块链技术,“未来的区块链技术”会在更多的方面发挥其作用。区块链技术成熟度曲线展示了该技术的未来发展情况,“未来的区块链技术”发展方向主要在突破不可能三角(区块链无法同时兼顾可扩展性、安全性、去中心化)、隐私保护和安全、智能合约等方面,如图1-5所示。

图1-5区块链技术成熟度曲线(来自Gartner,2018)
隐私保护重点研究同态加密、零知识证明、多方计算等技术,在区块链分布式账本公开的情况下,最大限度地提供隐私保护能力。同态加密在保证信息不解密的情况下进行运算。零知识证明即证明者能够在不向验证者提供信息本身内容的情况下,使验证者相信某个论断真实可信,保证身份的匿名性,如ZCash。在实现匿名性过程中,需要的证明信息所花费的计算资源非常多,会带来大量的资源浪费,导致了其可扩展性受限,同时将会给追踪与监管带来非常大的挑战,造成一系列社会问题。安全多方计算是解决一组互不信任的参与方之间隐私保护的协同计算问题。如何在保护用户隐私的情况下与交易性能进行平衡是隐私保护技术下一步的研究重点。

跨链技术可以理解为连接各区块链的桥梁,满足不同区块链间的资产流转、信息互通、应用协同。当下区块链技术纷繁芜杂,各成一派,彼此之间还无法进行价值和数据的交换。随着行业发展,链与链之间的互操作越来越重要。区块链的互操作性是区块链平台使用不同的分布式帐簿在区块链网络上无缝地交互、转移资产和其他信息的能力,是区块链系统的关键需求,能在跨行业网络、合作伙伴生态系统和许多其他B2B、B2C数字市场中进行事务流转换和资产交换。随着区块链网络、标准、协议的增长,互操作需求将增加。例如智能合约和分布式应用(DApps)就可能需要跨不同区块链网络进行互操作,如果跨链技术没有解决,各大区块链都将成为孤岛,势必会降低区块链社区的活力,从而限制整个区块链网络和生态系统的发展。

智能合约的未来是要替代复杂的法律文件,目前智能合约的脚本语言、工具、框架和方法都处于早期阶段。当前业界还有两个尚未解决的智能合约技术问题,分别是“图灵完备”的安全脚本语言和支持可证明正确的简单智能合约的创建。除此之外,在不可信的运行环境下和复杂情况下,提供确定性编程语言实现自动化共识能力是智能合约面临的最大挑战。

区块链产业发展态势

自2008年基于区块链的数字货币系统诞生以来,随着区块链架构和技术的发展,区块链技术已在多个行业应用进行了探索和实践。区块链应用能够消除可信中介机构,撼动传统金融服务业的根基,面对这场突如其来的变革,金融机构选择积极拥抱区块链。也正因此,区块链得以最先正式应用于金融领域,目前已出现供应链金融、交易清算、积分共享等区块链系统。区块链应用减少了商业生态系统的交易摩擦,降低了成本和结算时间,改善了现金流。而资产可被追溯,则大大减少了假冒伪劣商品。目前,区块链技术应用以金融领域为典型代表,并在向医疗健康、物流、能源、智能制造、物联网、信息安全等经济社会诸多领域逐渐扩展延伸。

Gartner预测到2030年,区块链的商业价值将达到3.1万亿美元。据2018年麦肯锡的预测,到2027年全球GDP的10%将被存储到区块 链上。全球数字货币总市值在2018年初达到了7000 亿美金,后经历了较大波动,2018年六月份其总市值约为3000 亿美元。即便是经历了较大的起伏,数字货币的价值依然超过了世界上过半国家的GDP和大量世界级大公司的市值。根据国际数据公司(IDC)2017年发布的其全球半年度区块链支出指南,到2022年,全球区块链解决方案支出将达到117亿美元。

1. 国内外区块链产业发展态势

根据中国工业和信息化部信息中心发布的《2018中国区块链产业白皮书》中的调研结果,目前我国区块链产业处于高速发展早期阶段,产业链条已经初步形成,从上游的矿机、硬件钱包等硬件制造、云平台服务、安全服务,到下游的产业技术应用服务,到保障产业发展的行业投融资、媒体、人才服务,各领域的公司已经基本完备,协同有序,共同推动着区块链产业的不断前行。区块链地域分布相对集中,国内超八成区块链创业公司集中在北京、上海、 广东、浙江四地。

从区块链产业细分领域分布状况来看,截止到2018年3月底,区块链领域的行业应用服务类公司数量最多,其中主要为金融行业应用服务的公司数量达到86家,主要为实体产业应用服务的公司数量达到109家。此外,区块链解决方案、底层平台、区块链媒体及社区领域的相关公司数量均在40家以上。同时,很多企业、机构等组成了区块链联盟,共享区块链技术研究成果,寻求区块链技术更广泛的应用。近两年,区块链联盟不断涌现,全国各类区块链联盟数量超过30家。

在产业技术应用场景方面,腾讯、蚂蚁金服、百度、京东等互联网行业巨头纷纷加入了区块链技术研究与场景应用实践化的行列中。目前,腾讯区块链TrustSQL能够提供企业级区块链基础服务平台,为合作企业提供一站式构建区块链行业应用的整体解决方案,其已经落地供应链金融、医疗、数字资产、物流信息、法务存证、公益寻人等多个场景。蚂蚁金服的蚂蚁区块链基于区块链技术去中心化、分布式存储及防篡改的特性,已落地公益募捐等场景。百度推出的区块链开放平台“BaaS” 是一个商业级区块链云计算平台,主要是帮助企业联盟构建属于自己的区块链网络平台,同时也推出了区块链游戏产品,且旗下成立了区块链技术研发公司“度链”。京东运用区块链技术搭建的“京东区块链防伪追溯平台”,从解决商品的信任痛点出发,精准追溯商品的存在性证明特质,让所有生产、物流、销售和售后信息分享进来,共同铸建完整且流畅的信息流。

在国家政策方面,自从2016年12月区块链首次被作为战略性前沿技术、颠覆性技术写入国务院发布的《国务院关于印发“十三五”国家信息化规划的通知》以来,区块链日益受到我国政府的重视和关注。习近平总书记在2018年5月28日中国科学院第十九次院士大会、中国工程院第十四次院士大会上提出,将区块链与人工智能、量子信息、物联网等并列为新一代信息技术代表。随着区块链技术被列入国家战略,-批具有战略前瞻性的大型央企、国企也开始也加大对区块链的研发投入,重视运用新兴技术提高生产效率、加快产业转型升级。目前,中国核工业集团有限公司、中国中化集团有限公司等大型央企正在展开区块链技术与应用的探索和研究,区块链的应用空间将被进一步打开。

伴随着区块链技术的不断改进和企业运用区块链需求的急速增长,出现了各类可应用于商业需求的开源区块链技术平台。其中,公有链技术平台代表有比特币、以太坊;联盟链技术平台代表有HyperledgeFabric、R3 Corda、BCOS等,这里的BCOS是我国微众银行联合万向区块链与矩阵元共同推出的企业级联盟链底层平台,这些开源区块链平台为区块链技术的应用起到了一定的推动作用。

世界主要国家对于数字货币有着不同的监管态度,但对于区块链技术的应用态度却趋于一致,基本上都在进行积极的探索。国际上,不管是发达国家还是发展中国家都在开展区块链技术研究和应用落地工作。根据IBM区块链发展报告数据显示,全球9成的政府正在规划区块链投资,并在2018年进入实质性阶段。

· 美国作为区块链技术的前沿阵地,将区块链上升到“变革性技术”,成立国会区块链决策委员会,不断完善与区块链技术相关的公共政策。除了美国央行之外,美国国士安全部支持用于国土安全分析的区块链应用研究,美国国防部高级研究计划局(DAPPA) 则支持区块链用于保护高度敏感数据方面的探索,以及区块链在军用卫星、核武器等数个场景中的应用潜力,美国电信巨头AT&T已开发出将区块链用于服务器的技术,并部署相关专利布局。

· 欧盟在努力把欧洲打造成全球发展和投资区块链技术的领先地区,建立“欧盟区块链观测站及论坛”机制,加快研究国际级“区块链标准”,并为区块链项目提供资金,预计到2020年欧盟为区块链项目提供的资金金额将高达3.4亿欧元。

· 英国将区块链列入了国家战略部署,投入资金研究包括区块链在内的新兴和可用技术领域的相关新产品或新服务

· 俄罗斯在国家层面加快区块链技术研究,实施政府级别的区块链项目。

· 韩国将区块链上升到国家级战略,全力构建区块链生态系统,推出“IHKorea 4.0区块链”战略,计划在物流、能源等核心产业内开展试点项目。

· 发展中国家肯尼亚和坦桑尼亚建立的区块链M-Pesa移动支付系统,彻底改变了传统银行业务的操作形式。

然而,目前区块链在资产上链时,如何将区块链内的数字资产与区块链外的实物或虚拟资产之间建立牢固、可信任的链接绑定关系,并且使这种关系难以伪造和打断,这个难题尚需予以破解。

伴随区块链技术在安全、性能上的提高以及监管等功能的完善,以及区块链技术与人工智能、物联网等新技术的融合,区块链技术将不断拓展出更多可应用新空间。同时,还需让技术和管理相结合,以此来解决资产上链问题,建设相关标准规范,确保链上资产和真实世界资产的一致性。藉此,区块链技术将会带动起新一轮的创业创新浪潮,无论何种规模的公司,在区块链领域都会得到创新和突破的良机。

总体而言,从区块链的技术特点来看,区块链赋能的应用场景主要集中在以下几个方面: (1)交流效率低、信任成本高的领域; (2)对信息可验证性、共识有极大需求的领域; (3) 对大体量数据分享和计算有较大需求的领域。区块链在这些领域的应用效果尚需应用实践的检验。同时应该看到,在区块链风头正盛的背景下,也催生了很多伪需求。区块链技术本身还在不断发展,区块链的应用模式仍在探索中,目前还没有找到真正的“杀手级”应用,区块链的“不可替代”优势还未体现。

2. 国内外区块链信息安全态势

1、区块链安全问题日益突出,引发各界安全思考

《区块链产业安全分析报告》显示,2011 年到2018年4月,全球范围内因区块链安全事件造成的损失多达28.64亿美元。损失额度从2017年开始呈现出指数上升的趋势,仅2018年前四个月,损失金额就高达19亿美元。随着数字货币的价值得到市场的认可以及各种数字货币的出现,大的数字货币交易平台随之出现,从数字货币攻击事件来看,数字货币被盗金额从几百万到几千万美元不等,2018年1月日本一家大型数字货币交易平台甚至发生了超过亿万美元的被盗事件,层出不穷的区块链平台攻击事件也从侧面反映出,随着区块链热度的增加,区块链安全问题也日益突出。

各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟,进入2018年后,以电子存证、电子发票等为代表的行业落地项目逐渐增多,区块链将向垂直行业深入融合,并逐步形成各个行业区块链应用的生态圈。在落地项目快速推进的同时,区块链在节点权限控制、私钥管理、智能合约代码漏洞、共识机制的选择等方面仍有诸多安全隐患。

机构统计发现: 2011 年到2018年9月,智能合约和业务应用的安全事件所占比重一直稳定在90%以上,但进入2018年后,由于智能合约的快速应用,其对应的安全事件所占比重呈现出一定的上涨。当前智能合约的应用还处在初级阶段,合约编写的规范性和严谨性难以保证,智能合约的开发和审计都缺乏行业标准,智能合约在成为区块链安全风险的“重灾区”。

区块链安全风险已引发了政产学研等各界的广泛重视,全球主要国家和地区纷纷聚焦区块链安全,从政策引导、加强监管、技术创新等多方面开展应对,已出现了第三方智能合约安全审计服务公司,以形式化验证为手段的安全审计正在被越来越多的合约开发者所接受。

2、安全标准缺失,加快标准的制定工作

作为一种跨行业、跨领域、基础性的创新应用模式,区块链已经在金融证券、物联网、医疗等诸多领域掀起一股应用浪潮。而随着区块链技术的发展及相关应用的落地,区块链技术的安全性也在面临巨大挑战。2016年12月,欧洲网络信息安全局ENISA发布的《分布式账本技术和网络安全:提升金融领域的信息安全》从传统网络安全和区块链技术金融领域应用独有安全两方面进行了分析,风险分析方面包括密钥管理、隐私、代码安全、一致性劫持、DDoS、智能合约管理、钱包管理、防欺诈等。ISO、ITU、W3C、GSMA、IRTF/IETF 等国际标准化组织已在区块链技术参考架构、智能合约安全等相关方面开展了大量的标准化工作。

国际标准化组织ISO自2016年9月成立区块链和分布式分类账本技术标准化技术委员会TC 307以来,持续开展区块链安全、隐私、身份认证、智能合约等重点方向的标准化工作,目前共有包括区块链和分布式账本技术参考架构(ISO/AWI22739)、区块链和分布式账本技术安全风险和漏洞(ISO/AWI23245)、 区块链和分布式账本技术隐私和个人可识别信息(PII)保护概述(ISO/NP TR 2324)等在内的8项区块链安全标准正在研制中。

我国积极参与国际标准化组织区块链安全标准的制定,已给国际电信联盟通讯标准化组织(ITU-T) SG17 安全工作组会议提交了“分布式账本技术安全框架”、“分布式账本技术安全威胁”、“基于分布式账本技术的移动支付服务的安全威胁和安全需求”、“基于分布式账本技术的在线投票的安全威胁”4项标准贡献文稿,并被写入新的标准文稿中。由国家互联网应急中心(简称: CNCERT)主导的《基于区块链的数字版权管理安全要求》国际标准在国际电信联盟通信标准局安全研究组(ITU-T SG17)成功通过立项,同时CNCERT还参与了《分布式账本技术安全体系架构》《基于分布式账本技术的安全服务》两项ITU-T国际标准的编辑起草工作。

目前,包括中美在内的各个国家都在积极推动区块链安全标准的制定工作,但目前为止尚未有一个统一可信的区块链安全标准问世。制定详细的安全标准,可以对区块链的安全问题进行一定程度的缓解抑制,控制住其安全问题的发生概率,为区块链技术的发展创造一个安全绿色的环境,只有这样,区块链技术才能更加健康、稳健的发展。

更多区块链信息:www.qukuaiwang.com.cn/news
文章下面


比特币多空调查

看涨
盘整
看跌
  • 看涨
  • 盘整
  • 看跌
投票

PC右侧250*250
内页右边3