当前位置:区块链行业动态 → 正文

区块链安全探析

责任编辑:cdeng 作者:shania |来源:企业网D1Net  2019-01-21 08:58:04 原创文章 企业网D1Net

过去一段时间,区块链在各个行业迅猛发展,网络虚拟货币、公证、存证类应用,包括证券市场、支付系统甚至是音乐、游戏等数字化产品都能看到区块链的身影。随着信息交互流速加快,区块链也逐渐从数字货币等概念向外延伸,安全问题必然需要提升日程。

区块链,安全并不简单

区块链本质上是一个分布式数据库,也成为一个分布式公共账本,可通过去中心化、去信任机制,使得链上信息不可篡改,集体维护的可靠数据库。

南京邮电大学教授孙国梓曾在第七届全国网络与信息安全防护峰会上指出,作为分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新兴应用模式,区块链具备以下五个特点:

1. 通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案;

2. 让参与系统中的任意多个节点,通过使用密码学方法相关联产生一串数据块;

3. 每个数据块中包含了一定时间内的系统全部信息交流数据;

4. 生成数据指纹,用于验证其信息的有效性和链接下一个数据库块;

5. 用区块链所串接的分布式账本能让两方有效率的记录交易,且此交易可永久被查验;

尽管区块链看似不可伪造不可篡改,且支持追踪溯源、公开透明可验证,但区块链依旧是安全事故的重灾区。相关报告显示,2011年至2018年期间,重大安全事件在系统各个层级都有出现,但超过90%的安全事件集中在智能合约和业务应用中,且造成了超过98%的损失。从以前的币安受到攻击,到因为智能合约漏洞导致巨额经济损失,和EOS爆发高危漏洞,无一不证明区块链安全绝不像表面那样看似简单。

区块链的安全基础保障

1976年,Bailey W.Diffie、Martin E.Hellman两位密码学大师发表了论文《密码学的新方向》,论文覆盖了未来几十年密码学所有的新的进展领域,包括非对称加密、椭圆曲线算法、哈希等手段,奠定了迄今为止整个密码学的发展方向,也对区块链的技术和比特币的诞生起到了决定性作用。孙国梓认为,现今区块链的安全保证在于:Hash的唯一性(保障每一个区块和Hash都是一一对应的);非对称密码安全性(确保所有的数据存储和记录都有数字签名作为凭据);身份验证(交易过程中的数据转移都会对其进行验证);去中心化的分布式设计(账本数据多副本存在,不存在数据丢失的风险);传输安全性(采用Http+SSL或WebSocket+websockets)几个方面。

从源头解决安全事件

在各类安全威胁事件频发的时段,防护显得尤为可贵。要想彻底解决安全问题,就应该从源头上解决这一事件。当前的安全威胁主要集中在智能合约、节点系统、密码学、低沉共识机制和钱包安全上,其中尤以智能合约安全最甚。对此,孙国梓总结了市面上几大安全威胁类别:

1. 平台可用性安全威胁:通过DDoS攻击、cc攻击、跨站脚本攻击等方式,降低平台可用性,使平台在一定时间内无法向用户提供服务。

2. 平台业务安全威胁:利用平台的系统漏洞、源代码漏洞、业务逻辑漏洞等,通过社工、跨站脚本、恶意扫描等方式进行攻击。

3. 数字钱包的安全威胁:由于许多用户习惯于将自己数字钱包的私钥以及助记词存放在电脑中,因此黑客可以利用渗透技术窃取数字钱包所登录需要的私钥以及助记词。

4. 量子计算机发展迅速,一旦量子计算机进入日常运用阶段,其强大算力能很容易解决当今的数字难题,因此现有的常见密码学算法(ECDSA/RSA/DSA等)鲜有能抵御量子攻击的密码学算法。

5. 智能合约的安全威胁:处理交易顺序不同引起合约执行产生差异;当前区块时间戳的不同引起合约执行产生差异;合约未设定返回值来检验合约是否正确被执行等方面。

6. 共识机制中的安全威胁:当前的共识机制有工作量证明PoW、权益证明PoS、授权权益证明DPoS、使用拜占庭容错PBFT等,然而PoW算法和POS算法在当今的主流区块链平台中应用广泛,这种基于算力的共识算法,总归收到数据完整性威胁。例如,比特币的51%攻击就是一种典型的威胁。

7. 区块链数据完整性威胁:当今对于区块链数据完整性的威胁有很多,最为常见的有双花攻击、日蚀攻击、扣块攻击、贿赂攻击等。

要想实现信息安全要求,抗击攻击者的攻击,区块链就必须增加自身的安全能力。市面上大多以云防护、智能合约审计、智能钱包安全、算力安全监控、安全服务、业务反欺诈等六个环节进行安全防护。

PS:本文根据第七届全国网络与信息安全防护峰会演讲整理而成。

关键字:区块链安全

原创文章 企业网D1Net

x 区块链安全探析 扫一扫
分享本文到朋友圈
当前位置:区块链行业动态 → 正文

区块链安全探析

责任编辑:cdeng 作者:shania |来源:企业网D1Net  2019-01-21 08:58:04 原创文章 企业网D1Net

过去一段时间,区块链在各个行业迅猛发展,网络虚拟货币、公证、存证类应用,包括证券市场、支付系统甚至是音乐、游戏等数字化产品都能看到区块链的身影。随着信息交互流速加快,区块链也逐渐从数字货币等概念向外延伸,安全问题必然需要提升日程。

区块链,安全并不简单

区块链本质上是一个分布式数据库,也成为一个分布式公共账本,可通过去中心化、去信任机制,使得链上信息不可篡改,集体维护的可靠数据库。

南京邮电大学教授孙国梓曾在第七届全国网络与信息安全防护峰会上指出,作为分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新兴应用模式,区块链具备以下五个特点:

1. 通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案;

2. 让参与系统中的任意多个节点,通过使用密码学方法相关联产生一串数据块;

3. 每个数据块中包含了一定时间内的系统全部信息交流数据;

4. 生成数据指纹,用于验证其信息的有效性和链接下一个数据库块;

5. 用区块链所串接的分布式账本能让两方有效率的记录交易,且此交易可永久被查验;

尽管区块链看似不可伪造不可篡改,且支持追踪溯源、公开透明可验证,但区块链依旧是安全事故的重灾区。相关报告显示,2011年至2018年期间,重大安全事件在系统各个层级都有出现,但超过90%的安全事件集中在智能合约和业务应用中,且造成了超过98%的损失。从以前的币安受到攻击,到因为智能合约漏洞导致巨额经济损失,和EOS爆发高危漏洞,无一不证明区块链安全绝不像表面那样看似简单。

区块链的安全基础保障

1976年,Bailey W.Diffie、Martin E.Hellman两位密码学大师发表了论文《密码学的新方向》,论文覆盖了未来几十年密码学所有的新的进展领域,包括非对称加密、椭圆曲线算法、哈希等手段,奠定了迄今为止整个密码学的发展方向,也对区块链的技术和比特币的诞生起到了决定性作用。孙国梓认为,现今区块链的安全保证在于:Hash的唯一性(保障每一个区块和Hash都是一一对应的);非对称密码安全性(确保所有的数据存储和记录都有数字签名作为凭据);身份验证(交易过程中的数据转移都会对其进行验证);去中心化的分布式设计(账本数据多副本存在,不存在数据丢失的风险);传输安全性(采用Http+SSL或WebSocket+websockets)几个方面。

从源头解决安全事件

在各类安全威胁事件频发的时段,防护显得尤为可贵。要想彻底解决安全问题,就应该从源头上解决这一事件。当前的安全威胁主要集中在智能合约、节点系统、密码学、低沉共识机制和钱包安全上,其中尤以智能合约安全最甚。对此,孙国梓总结了市面上几大安全威胁类别:

1. 平台可用性安全威胁:通过DDoS攻击、cc攻击、跨站脚本攻击等方式,降低平台可用性,使平台在一定时间内无法向用户提供服务。

2. 平台业务安全威胁:利用平台的系统漏洞、源代码漏洞、业务逻辑漏洞等,通过社工、跨站脚本、恶意扫描等方式进行攻击。

3. 数字钱包的安全威胁:由于许多用户习惯于将自己数字钱包的私钥以及助记词存放在电脑中,因此黑客可以利用渗透技术窃取数字钱包所登录需要的私钥以及助记词。

4. 量子计算机发展迅速,一旦量子计算机进入日常运用阶段,其强大算力能很容易解决当今的数字难题,因此现有的常见密码学算法(ECDSA/RSA/DSA等)鲜有能抵御量子攻击的密码学算法。

5. 智能合约的安全威胁:处理交易顺序不同引起合约执行产生差异;当前区块时间戳的不同引起合约执行产生差异;合约未设定返回值来检验合约是否正确被执行等方面。

6. 共识机制中的安全威胁:当前的共识机制有工作量证明PoW、权益证明PoS、授权权益证明DPoS、使用拜占庭容错PBFT等,然而PoW算法和POS算法在当今的主流区块链平台中应用广泛,这种基于算力的共识算法,总归收到数据完整性威胁。例如,比特币的51%攻击就是一种典型的威胁。

7. 区块链数据完整性威胁:当今对于区块链数据完整性的威胁有很多,最为常见的有双花攻击、日蚀攻击、扣块攻击、贿赂攻击等。

要想实现信息安全要求,抗击攻击者的攻击,区块链就必须增加自身的安全能力。市面上大多以云防护、智能合约审计、智能钱包安全、算力安全监控、安全服务、业务反欺诈等六个环节进行安全防护。

PS:本文根据第七届全国网络与信息安全防护峰会演讲整理而成。

关键字:区块链安全

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^