区块链技术安全与应用安全(区块链技术及应用)

你知道区块链技术安全与应用安全吗？今天小编就给大家整理一些相关信息，希望对大家有所帮助哦！

近日，《区块链应用蓝皮书：中国区块链应用发展研究报告（2019）》（下称“蓝皮书”）出版发行。

蓝皮书通过大量一线调研和数据分析，系统深入地对我国区块链的核心技术创新进展、行业应用发展状况以及产业与市场的基本发展情况进行了全面梳理，总结出区块链的应用发展特点、产业发展特征以及我国区块链技术及应用的挑战与发展机遇。

技术篇中，中钞区块链技术研究院院长张一锋、上海证券交易所技术有限责任公司执行经理朱立、中钞区块链技术研究院研究员练娜联合撰文《区块链技术与应用安全分析报告》。

以下为文章全文。

摘要：区块链技术近年来快速发展，其价值得到越来越多认可的同时，技术与应用方面的安全挑战也逐渐凸显。

本文研究了针对区块链技术与应用的攻击方式及安全事件，提出了包括基础设施层、密码算法层、节点通讯层、共识协议层、运行平台层、智能合约层和系统应用层的七层安全模型，并针对模型各层对应的具体风险点，提出了解决方案。

此外还探讨了区块链数据隐私问题。

研究结果表明，区块链安全是一个系统性工程，需要围绕不同层级进行全面的安全体系建设，实现区块链系统的整体安全，才能确保区块链技术应用实践的安全。

关键词：区块链 安全密码算法 共识协议 智能合约//一 区块链安全问题//区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式，是一种全新的分布式基础架构。

人们利用区块链式数据结构来验证与存储数据，利用共识算法来生成和更新数据,利用密码学保证数据传输和访问的安全，利用由自动执行的智能合约来兑现以数字形式定义的承诺。

所以，《经济学人》杂志把区块链技术称为“信任的机器”，认为区块链技术可以构建一种全新的基于网络和算法的可信数据处理方式和多方协作机制。

一直以来，安全问题都是信息产业发展要处理的核心问题。

随着科学技术的演变和复杂化，信息安全问题的需求日益迫切，同时也被赋予了新的内涵外延。

近年来区块链技术被广泛应用到各个行业领域，作为新兴信息技术的集合，它所面临的安全问题也日趋增长。

信息安全工作通常强调所谓CIA三要素，即保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

区块链安全工作同样存在这三方面的要求：机密性（应对泄露）：确保在数据处理的每个交叉点上都实施了必要级别的安全保护措施以防止未经授权的访问和信息披露。

在数据的内部存储、相互传输、访问授权等场景中，这种级别的保护措施都应该发挥作用。

完整性（应对篡改和破坏）：保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改。

软硬件和通信机制必须协同工作，才能正确地维护和处理数据，并确保数据在被传输时不被意外更改和蓄意破坏。

可用性（应对失效）：确保授权的用户能够及时、可靠地访问数据和资源。

系统应能够在可以接受的性能级别以可预计的方式运行，并以安全且快速的方式从崩溃中恢复。

为此，应采取必要的保护措施消除来自内外部的威胁。

本文结合近年来区块链技术与应用发展过程中出现的主流攻击事件展开分析和探讨，并尝试给出解决方案或建议。

//二 区块链安全模型与分析//根据区块链的技术特征，其安全模型可以由七层架构组成，自下而上分别包括基础设施层、密码算法层、节点通讯层、共识协议层、运行平台层、智能合约层和系统应用层。

各层分别从各自层面应对相应的安全风险，实现区块链系统的整体安全。

图1 区块链安全模型其中，基础设施层包含了区块链在其上运行所需的基础软硬件，如操作系统:密码算法层包含了区块链实现中所需要的密码学技术，如非对称加密算法、数据摘要算法等:节点通信层包含了节点之间的通讯传输机制:共识协议层主要包含了各类共识协议:运行平台层包含了智能合约运行环境，如EVM虚拟机:智能合约层主要包含各类部署在区块链上的业务合约:系统应用层指基于智能合约，结合传统IT技术构建的可被最终用户访问的各类应用。

各层之间面临着不同的安全风险：基础设施层主要面临黑客通过传统安全漏洞进行攻击的风险:密码算法层主要面临密码学算法本身在加密强度、前提假设等方面存在的问题，以及其代码实现过程中存在漏洞的风险:节点通讯层主要面临节点传播与验证机制的风险，以及因为点对点组网（主要在公链中使用）而形成的网络拓扑特征、消息传送时间不确定、网络分裂等因素带来的攻击:共识协议层因共识和激励机制的不同而面临不同类型的攻击风险:运行平台层主要面临区块链运行平台本身实现过程中存在的漏洞带来的风险，比如虚拟机逃逸等:智能合约层主要面临的多种攻击风险有：Solidity语言漏洞、时间戳依赖攻击等:系统应用层安全风险主要集中在用户节点、数字资产钱包以及交易平台上。

据统计2011-2018年9月，智能合约层和系统应用层安全事件所占整体安全事件比重一直稳定在90%以上。

进入2018年以后，由于智能合约快速应用，其对应的安全事件所占比重呈现出一定的上涨。

2018年区块链安全事件同比增长近400%，安全攻击主要集中在系统应用层和智能合约层，分别占60%与30%左右。

01基础设施层区块链节点服务器仍存在被黑客植入木马、窃听网络通信、DDOS攻击等安全风险。

虽然区块链技术本身能够在一定程度上抵御少数节点被恶意控制所造成的破坏，但如果因为底层系统漏洞使得黑客可以轻易控制大部分节点，整个区块链网络仍会面临较大危险。

这方面因为与传统IT系统的安全攻击与防护没有太大的差异，所以本文不展开做详细的阐述。

02密码算法层加密算法是保证区块链的安全性和不可篡改性的关键，为区块链的信息完整性、认证性和不可抵赖性提供了关键保障。

根据被破译的难易程度，不同的密码算法具有不同的安全等级。

不存在绝对的安全，如果破译密文的代价大于加密数据的价值，那么可以认为“安全的”:如果破译密文所需的时间比加密数据的时间更长，那也可以认为是“安全的”。

区块链技术大量依赖了密码学的研究成果，如非对称算法和哈希（Hash）算法。

这些密码算法目前是相对安全的，但并非绝对安全。

一是存在对密码学算法的攻击方法，如作用于散列函数的穷举攻击、碰撞攻击、长度扩展攻击。

穷举攻击是指是对截获到的密文尝试遍历所有可能的密钥，直到获得了一种从密文到明文的可理解的转换:或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一致为止。

碰撞攻击是指攻击者找到算法的弱点，瓦解它的强抗碰撞性，使攻击者能在较短的时间能寻找到值不同但hash相同的两个值。

长度扩展攻击是指针对某些允许包含额外信息的加密散列函数的攻击手段。

在已知密文hash和密文长度的情况下，推导出密文与另一消息拼接后计算出来的hash。

二是算法实现过程中可能存在后门和漏洞，威胁到区块链系统的安全性。