《区块链安全白皮书-技术应用篇》2018.pdf
《《区块链安全白皮书-技术应用篇》2018.pdf》由会员分享,可在线阅读,更多相关《《区块链安全白皮书-技术应用篇》2018.pdf(70页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 区块链安全区块链安全白皮书白皮书 技术应用篇 (2012018 8 年)年) 中国信息通信研究院中国信息通信研究院 中国通信标准化协会中国通信标准化协会 2012018 8年年9 9月月 版权声明版权声明 本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院和中国通信标和中国通信标准化协会准化协会,并受法律保护,并受法律保护。转载、摘编或利用其它方式使转载、摘编或利用其它方式使用用本白皮书文字或者观点的,应本白皮书文字或者观点的,应注明注明“来源:来源:中国信息通中国信息通信研究院信研究院、中国通信标准化协会、中国通信标准化协会”。违反上述声明者,本。违反上述声明者,本院院将
2、追究其相关法律责任。将追究其相关法律责任。 前前 言言 区块链已成为近年来技术创新的热点名词和市场追捧的热门对象。从最初应用于数字货币到如今在多领域的广泛应用,区块链作为一种全新的信息存储、传播和管理机制,实现了数据和价值的可靠转移。世界主要发达国家也纷纷加快该领域的技术研发、战略部署和推广应用。作为网络时代的新一轮变革力量,在与现有技术结合催生新业态新模式的同时,区块链技术发展和深入应用仍需要漫长的整合过程,其核心机制、应用场景中存在的潜在风险也给技术应用和现有网络安全监管政策带来新的挑战。因此,理性看待区块链的技术优势,强化应对潜在风险已成为保障区块链技术的健康、有序发展的当务之急。 中国
3、信息通信研究院与中国通信标准化协会牵头,联合以下单位共同研究编制区块链安全白皮书技术应用篇(2018 版):中国移动通信集团公司信息安全管理与运行中心、中国移动通信集团公司研究院、国家计算机网络应急技术处理协调中心、科大国盾量子技术股份有限公司、中兴通讯股份有限公司、广州大学网络空间先进技术研究院、上海观安信息技术股份有限公司、平安科技有限公司、三六零科技有限公司、深圳市腾讯计算机系统有限公司安全管理部、北京京东尚科信息技术有限公司。本白皮书从网络安全的视角,客观审视区块链技术发展和应用情况,分析探讨区块链技术应用分层架构、安全风险和应对框架,给出关于促进区块链技术安全应用的若干建议,希望与业
4、界分享,切实提升区块链技术发展应用安全性。 目目 录录 一、从安全视角看区块链技术发展和应用态势 . 1 (一)全球情况总观. 1 1、区块链技术生态基本成型,网络安全应用开始落地 . 1 2、区块链安全问题逐渐浮出水面,引发各界安全思考 . 5 3、 持续推进区块链安全标准化,助力技术安全发展 . 8 (二)我国发展应用. 11 1、技术生态结构与国外基本一致,安全服务前景可期 . 11 2、政策聚焦技术发展和应用落地,安全指导初见雏形 . 13 3、加快布局区块链安全标准工作,强化技术风险防范 . 15 (三)小结 . 16 二、区块链技术应用分层架构及安全风险分析 . 16 (一)区块链
5、技术典型应用架构逐渐趋于共识 . 16 1、存储层S:存储上层应用所需及产生的数据文件 . 17 2、协议层P:构建分布式、去信任的共识网络 . 18 3、扩展层E:作为区块链应用方向延伸的支撑平台 . 19 4、应用层A:技术在各行业领域应用落地的直接体现 . 19 (二)区块链技术典型应用架构对应的安全风险 . 20 1、存储层S:来源于环境的安全威胁 . 20 2、协议层P:核心机制的安全缺陷 . 21 3、扩展层E:成熟度不高的代码实现漏洞 . 22 4、应用层A:各类传统安全隐患集中显现 . 23 (三)区块链技术给安全监管带来的挑战 . 25 三、风险应对框架 . 27 四、促进区
6、块链技术安全应用的建议 . 32 (一)强化应用领域引导,鼓励区块链自主可控开发 . 32 (二)创新监管手段,强化区块链平台和应用监管力度 . 33 (三)强化技术风险研究,夯实安全风险应对技术基础 . 34 (四)加强区块链网络犯罪风险防范,促进国际合作治理 . 34 附录 1 针对区块链技术核心机制的典型攻击 . 36 (一)以共识机制为目标的针对性攻击 . 36 (二)地址不具名机制对攻击者身份追溯的挑战 . 37 (三)分布式存储机制对攻击威胁面的扩大 . 37 (四)针对密码学机制固有安全风险的各类攻击 . 38 附录 2 国外区块链网络安全相关实践 . 40 附录 3 我国企业区
7、块链网络安全相关实践 . 43 (一)中国移动研究院:基于区块链管理 PKI 数字证书 . 43 (二)360:EOSIO-BP 节点和钱包 APP 安全审核方案 . 45 (三)腾讯:区块链安全应用及应对实践 . 49 (四)平安科技:基于国产密码的自主可控联盟链实践 . 52 (五)观安:区块链移动用户数据资产安全管理实践 . 53 (六)京东:区块链防伪追溯平台 . 56 附录 4 区块链安全监管技术平台 . 58 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 1 一、从安全视角看区块链技术发展和应用态势 (一)全球(一)全球情况总观情况总观 1 1、区块链、区块链技术
8、生态基本成型,网络安全应用开始落地技术生态基本成型,网络安全应用开始落地 区块链作为一种全新的信息存储、传播和管理机制,通过让用户共同参与数据的计算和存储, 并互相验证数据的真实性, 以 “去中心”和“去信任”的方式实现数据和价值的可靠转移。近年来,区块链技术受到各界的广泛关注, 搜索指数1持续上升, 成为近年来炙手可热的新兴互联网技术之一,如图 1.1 所示。 数据来源:中国信通院整理自 2010-2018 年 Google 全球搜索趋势 图图 1 1.1.1 2010201020182018 年年 GoogleGoogle 全球搜索趋势四类全球搜索趋势四类热点热点技术搜索技术搜索指数指数对
9、比对比 自 2008 年中本聪首次提出区块链概念以来,区块链技术架构经过十余年的发展已趋于成熟,因此,更多企业把发展重心放在探索区块链在各行业领域的应用模式上。据 Gartner 预测,到 2025 年,区块链技术将在以制造业为首的多个行业制造高达 1760 亿美元的商业1 搜索指数:谷歌趋势(Google Trends)在给定时间段内的关键词搜索量统计,以百分制衡量关键词搜索热度 区块链:100大数据:20云计算:9人工智能:17020406080100区块链大数据云计算人工智能2017年12月搜索热度 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 2 价值2。目前,区块
10、链技术应用以金融领域为典型代表,向医疗健康、物流、工业互联网等经济社会诸多领域逐渐扩展延伸,得到了普遍的关注和全球性的探索,如图 1.2 所示。 图图 1.1.2 2 全球区块链技术发展应用情况全球区块链技术发展应用情况 根据信通院对 1121 项全球范围内较活跃区块链项目的统计,从项目数量上看,亚洲地区以 593 项居首,其中,新加坡、日本、中国香港等国家和地区依托其传统金融优势, 发展了一批成熟的区块链金融应用;北美地区的区块链项目以美国和加拿大为主,已有大量成熟高的项目和技术应用落地,其中不乏 IBM、Microsoft、Amazon 等科技巨头; 欧洲地区以英国和瑞士为首, 在发展区块
11、链金融应用的同时,着重与传统行业结合,尤其是在爱沙尼亚、马耳他等国,在国家层面大力支持和主导,给区块链提供了大量的发展应用空间;非洲地区由于监管政策宽松、挖矿成本低等原因,虽然在区块链应用方面较为单一,基本集中在数字货币、交易所上,但也形成了一定的应用规模;2 数据来源:Gartner Forecast: Blockchain Business Value, Worldwide, 2017-2030 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 3 大洋洲地区的区块链应用大多集中在澳大利亚和新西兰两国, 但受限于当地严格的金融监管政策和高额的挖矿成本, 发展规模和发展速度有限
12、;南美洲地区的现有项目则主要活跃在加密货币交易领域。 从现有区块链相关项目、产品和服务内容上看,目前全球区块链技术的应用已初步形成了包含硬件和基础设施、底层技术、上层应用和安全服务在内的技术生态格局,如图 1.3 所示。 图图 1.1.3 3 区块链技术区块链技术生态格局生态格局 其中,硬件和基础设施主要为区块链运行提供矿机3等算力和硬件支持,包括矿机生产、矿池服务、矿机芯片生产,以及为区块链提供云基础设施等。 底层技术一方面为各类区块链应用提供底层架构和开发平台等,起到类基础操作系统的作用,包括公有链、联盟链、私有链等;另一方面针对上层应用中的共通需求,提供分布式数据交易等区块链相关技术,旨
13、在降低区块链应用开发门槛,加快应用落地进程。上层应用服务最终用户,形成不同行业和场景的应用解决方案。安全服务则为区块链提供代码审计、安全监测、安全管理等安全性增3 目前,专业矿机多使用 ASIC 芯片,由矿机厂商设计架构,传统芯片厂商研发和代工生产 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 4 强服务。 众所周知,区块链分布式、点对点的通信具有易连接、大协作的特点,基于哈希加密的匿名性能够很好保护用户隐私和证明唯一性,依托公私钥的权限控制赋予数字资产丰富的管理权限。 这些技术优势在为其发展应用提供大量创新空间的同时, 也使得区块链逐渐成为解决网络和数据安全存储、传播和管
14、理问题的有效手段,在攻击发现和防御、安全认证、安全域名、信任基础设施建立、安全通信和数据安全存储等方面得到了积极的探索,如图 1.4 所示。 图图 1.1.4 4 区块链区块链在网络安全领域的典型应用在网络安全领域的典型应用 例如, 在国家层面, 美国土安全部早在 2015 年已开展与 Factom4等区块链企业的合作,支持区块链在身份管理、国土安全分析等领域的应用项目研发;俄罗斯联邦国防部于 2018 年在其军事技术加速器(the ERA)技术园区建设了区块链研究实验室,研究将区块链技术应用于识别网络攻击和保护关键基础设施等。在产业层面,LaunchKey5、 Blockstack6、 Gu
15、ardtime7等企业均在各自领域推出了 “区4 Factom,公证通,成立于 2015 年,德克萨斯州奥斯汀区块链公司,产品包括区块链数据保护工具、企业身份解决方案和分布式数据存储产品等 5 Launchkey,去中心化认证平台 6 Blockstack,总部位于旧金山,开发基于区块链技术的 DNS 7 Guardtime,爱沙尼亚安全公司,开发基于区块链的安全解决方案 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 5 块链+网络安全”产品和解决方案。目前国际上区块链在网络安全领域的应用探索详见附录 2。 2 2、区块链安全问题逐渐区块链安全问题逐渐浮出水面浮出水面,引发,
16、引发各界各界安全思考安全思考 随着区块链技术在各行业领域的不断应用, 一方面, 其共识机制、私钥管理、 智能合约等存在的技术局限性和面临的安全问题逐渐显现,区块链平台应用等安全事件层出不穷。 例如, 2018年3月,Binance 交易所遭到网络攻击,造成约4.2亿元的损失;2018年5月,EOS智能合约曝出严重安全漏洞, 攻击者可利用漏洞控制和接管其上运行的所有节点等。据统计,2011年到2018年4月,全球范围内因区块链安全事件造成的损失高达28.64亿美元 (约合人民币196.06亿元)8。 另一方面,区块链去中心、 自治化的特点给现有网络和数据安全监管手段带来了新的挑战(如GDPR9中
17、关于数据主体、数据删除权的要求) 。各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟, 区块链安全问题也引发了政产学研等各界的广泛重视。 全球主要国家和地区纷纷聚焦区块链安全,从政策引导、加强监管、技术应对等多方面开展应对,具体表现在: 英国:英国:推动推动政政产产学研学研各界各界合作,合作,提出“技术提出“技术+ +法律”的区块链法律”的区块链监监管管新模式新模式 英国政府和央行一直积极响应区块链技术, 希望凭借占领区块链技术发展先机,重夺其国际金融中心地位。早在2016年1月,英国政8 数据来源:白帽汇 9 GDPR:General Data Protection Regula
18、tion,通用数据保护条例 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 6 府科学办公室10就发布了 分布式记账技术: 超越区块链11研究报告,将发展区块链技术上升到英国国家战略高度,同时指出,区块链技术中存在的硬件漏洞和软件缺陷可能带来网络安全和保密风险。 报告建议英国政府加强与学术界、产业界的合作,加快区块链标准制定,正视发展区块链技术面临的来自技术本身以及应用部署方面的双重问题,以技术监管为核心,法律监管为辅助,双措并举打造区块链监管以技术监管为核心,法律监管为辅助,双措并举打造区块链监管新模式。新模式。2018年,英国政府宣布将启动新的加密货币研究工作,与金融市场
19、行为监管局(FCA)和英格兰银行合作,探索比特币等加密货币带来的潜在风险。同时,英国企业也在积极探索区块链安全相关技术。 英国最大的电信公司英国电信于2016年7月提交了“减轻区块链攻击”的专利申请, 旨在建设能防止对区块链进行恶意攻击的安全系统。 美国:美国: 鼓励探索区块链在安全领域的应用,鼓励探索区块链在安全领域的应用, 注重注重区块链区块链安全安全风险风险技术应对技术应对 美国在监管方面多方听证、谨慎立法,对区块链技术发展保持着警惕而友好的态度。 2018年, 美国国会发布 2018年联合经济报告 ,提出区块链技术可以作为打击网络犯罪和保护国家经济和基础设施的潜在工具, 指出这一领域的
20、应用应成为立法者和监管者的首要任务。美国国防高级研究计划局 (DARPA) 也正在大力投资区块链项目, 旨在安全储存国防部内部高度机密项目数据。在区块链安全应对方面,2017年,美总统特朗普签署了一份7000亿美元的军费开支法案,其中10 英国政府科学办公室:Government Office for Science,为英国总理和内阁成员提供建议,确保政府决策具有科学性和远见性。 11分布式记账技术:超越区块链 : Distributed Ledger Technology:beyond block chain ,来自https:/www.gov.uk/government/publicati
21、ons/distributed-ledger-technology-blackett-review。 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 7 包括授权一项区块链安全性研究,呼吁“调查区块链技术和其他分布式数据库技术的潜在攻击和防御网络应用” ,支持美国国土安全部(DHS)开展的加密货币跟踪、取证和分析工具开发项目。美国国家安全局 (NSA) 开发了名为MONKEYROCKET的比特币用户追踪和识别工具,通过与企业合作,从互联网的光纤连接中获取数据,监控通信内容并识别加密货币用户。除此之外,美国各大企业也积极投入提升区块链安全的技术研发中, 埃森哲、 Linux基金会
22、、 IBM等都在区块链硬件安全模块、 区块链云环境安全等方面推出了各自的产品和解决方案 (详见附录2) 。 根据IDC全球区块链支出半年度指南报告预测12,美国在区块链平台软件和安全软件方面的支出将成为服务类别以外最大的支出类别,是整体增长最快的类别之一。 欧洲:指出欧洲:指出区块链区块链监管监管机制机制不成熟,呼吁正视不成熟,呼吁正视区块链安全区块链安全风险风险 欧洲各国对待区块链和加密货币技术的态度不一, 如法国政府对区块链技术表现出兴趣, 但尚未在区块链领域实施重大举措, 而瑞士、德国则积极发展区块链技术和应用, 并先后开启区块链在本国的规范化应用进程。2016年3月,欧洲央行在欧元体系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 区块 安全 白皮书 技术 应用 2018
限制150内