区块链技术安全概述 国家互联网金融安全技术专家委员会 与上海圳链公司联合发布 1 目录 contents 一、 简述 ......................................................................................................... 2 二、 基础网络安全风险 ............................................................................... 3 2.1 数据层:信息攻击与加密算法攻击 ....................................................................... 3 2.2 网络层:节点传播与验证机制风险 ....................................................................... 3 2.3 解决方案与建议 ............................................................................................................. 4 三、 平台层安全风险 .................................................................................... 5 3.1 共识层:常见共识机制安全性对比 ....................................................................... 5 3.2 激励层:发行与分配机制风险 ................................................................................ 5 3.3 合约层相关安全风险 ................................................................................................... 6 3.4 解决方案与建议 ............................................................................................................. 6 四、 应用层安全风险 .................................................................................... 7 4.1 节点常见安全问题 ......................................................................................................... 7 4.2 加密资产钱包安全性对比 ........................................................................................... 9 4.3 加密资产交易平台常见安全问题 ........................................................................... 11 五、 小结 ....................................................................................................... 13 第 1 页 国家互联网金融安全技术专家委员会持续跟踪区块链技术发展,对区块链 安全、区块链+AI、区块链+供应链等领域进行深入调研,将推出系列报告。本 报告聚焦于“区块链技术安全”,联合上海圳链公司共同推出,以期成为行业发 展的研究依据。 一、 简述 区块链技术目前的发展方兴未艾,大多的技术和应用处于试验阶段,目前 发生的安全事件多集中出现于加密资产相关领域,给用户造成了较大的经济损 失,其安全问题日益受到行业关注。 同时区块链智能合约一旦在分布式、去中心化网络中部署,就难以变更, 这种难以变更性一方面防止了数据操纵,建立起基于加密算法的信任机制。但 另一方面,当区块链在面对安全攻击时,也就缺乏了有效的纠正机制,难以逆 转。 图 1 区块链应用架构 本文主要讨论了区块链的安全性问题,以及相应的解决方案和建议。 本文 中,区块链应用从架构上分为三层:基础网络、平台层和应用层。三个层面相 互影响,每一个环节出现的安全问题,都将给下个环节带来更多的安全问题。 第 2 页 因此,在进行区块链项目开发的过程中,从设计到实现,从验证到响应,不仅 仅需要考虑到单个环节的安全性问题,也需要将其放入到整体的层面中去判断 可能出现的风险点。 二、 基础网络安全风险 基础网络由数据层及网络层组成,是区块链的基础部分,该部分封装了区 块链的底层数据,对区块链的数据采用非对称性加密,利用 P2P 网络并设置了 传播、验证机制等,目前主要面临以下几类安全问题。 2.1 数据层:信息攻击与加密算法攻击 (1)数据区块信息攻击风险:一方面写入区块链后的信息很难删除,不法 分子将某些有害信息、病毒特征码、淫秽信息等写入区块中,影响区块链生态环 境。另一方面,大量的垃圾交易数据攻击会堵塞区块链,使得有效交易和信息迟 迟无法被处理。 (2)加密算法安全风险:早年普遍使用的 SHA-1 于 2005 年 2 月被王小 云、殷益群及于红波等人证明安全性不足,只需少于 2 的 69 次方的计算复杂 度就能找到一组碰撞。此外 SHA-2 算法跟 SHA-1 基本相似,虽目前未出现有 效攻击,但安全性已被严重质疑。其余的 SHA-224、SHA-256、SHA-384、 SHA-512 等加密算法目前没有公开证据表明存在漏洞,但在量子计算高速发展 的情况下,并不是无懈可击。目前针对加密算法进行攻击的方式主要有:穷举 攻击、碰撞攻击、长度扩展攻击、后门攻击、量子攻击等。 2.2 网络层:节点传播与验证机制风险 (1)P2P 网络风险:区块链信息传播采用 P2P 的模式,节点之间的信息 传播,会将包含自身 IP 地址的信息发送给相邻节点。由于节点安全性参差不 第 3 页 齐,较差的节点容易受到攻击,目前可进行攻击的方式有:日食攻击、窃听攻 击、BGP 劫持攻击、节点客户端漏洞、拒绝服务(DDoS)攻击等。例如: 2018 年 3 月以太坊网络爆出的“日食攻击”。 (2)广播机制风险:节点与节点之间相互链接,某节点将信息广播给其他 节点,这些节点确认信息后再向更多的节点进行广播。在广播机制中常见的攻击 方式有双花攻击及交易延展性攻击。双花攻击即同一笔加密资产被多次花费,当 商家接受 0 确认交易付款时或者通过 51%算力攻击时这种情况较容易发生。交 易延展性攻击也被称为可锻性,即同一个东西,本质没有变化,形状发生了改变, 攻击者利用交易签名算法特征修改原交易 input 签名,生成一样的 input 和 output 的新交易,导致原有交易一定概率不被确认形成双花。 (3)验证机制风险:验证机制更新过程易出现验证绕过,一旦出现问题将 导致数据混乱,而且会涉及到分叉问题,需要确保机制的严谨性。 2.3 解决方案与建议 基础网络作为区块链的底层,其安全性尤为重要。 ⚫ 与时俱进,关注技术安全方面的最新进展。在量子计算快速发展的情况 下,加密系统只有不断研发更新才可防范黑客攻击。 ⚫ 接受专业的代码审计,了解相关安全编码规范。大多数区块链项目为了增 加可信度和透明性,对其项目代码进行开源管理,然而这样也使得项目更 易受到攻击,接受专业的代码审计及注重安全编码可以有效规避潜在的风 险。 第 4 页 三、 平台层安全风险 平台层由共识层、激励层及合约层组成,是衔接基础网络与应用服务层的桥 梁。该部分封装了网络节点的共识算法、发行机制、分配机制、脚本及智能合约 等。 3.1 共识层:常见共识机制安全性对比 共识机制是对于一个时间窗口内的事务先后顺序达成共识的算法。区块链可 支持不同的共识机制,目前存有的共识机制有 POW、POS、DPOS、POOl 验证 池机制、BFT 等等。本文将介绍以下三种常见的共识机制攻击方式: 共识机制 内容 攻击方式 POW 节点通过计算随机哈希散列数值 女巫攻击 来争夺记账权 工作量证明机制 POS 根据节点拥有的通证比例及时 short-range 攻击、 Long- 间,依据算法降低挖矿难度,加 range 攻击、币龄累计攻 权益证明机制 快随机数的寻找速度 击、预计算攻击、女巫攻击 DPOS 全体节点投票选举一定数量的节 Long-range 攻击、币龄累 点代表,由他们确认区块,维持 股份授权证明机制 计攻击、女巫攻击 系统秩序 图 2 常见的共识机制攻击方式对比 3.2 激励层:发行与分配机制风险 (1)发行机制风险:目前暂无安全风险事件曝光,但不排除激励层发行机 制中存在安全隐患。 (2)分配机制风险:大量小算力节点易集中加入矿池,对于去中心化趋势 造成威胁。 第 5 页 3.3 合约层相关安全风险 合约层主要封装区块链的各类脚本、算法及智能合约。最初区块链只能用于 交易,合约层的出现使得很多领域可以使用区块链

pdf文档 2018国内区块链技术电子政务调查报告_知豆豆

行业报告 > 人工智能_大数据_云计算_区块链 > 区块链 > 文档预览
15 页 0 下载 256 浏览 0 评论 0 收藏 3.0分
温馨提示:当前文档最多只能预览 5 页,若文档总页数超出了 5 页,请下载原文档以浏览全部内容。
本文档由 贤宁书2019-07-26 10:47:47上传分享
给文档打分
您好可以输入 255 个字符
知豆文库的域名是什么?( 答案:zhidoudou.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言