北京天融信科技有限公司
免費(fèi)會(huì)員
在日趨緊張的地緣沖突中,似乎一切均可能淪為戰(zhàn)場:從衛(wèi)星到鋼鐵廠、從貨幣到小麥、從軍事資源到網(wǎng)絡(luò)信息系統(tǒng)等。由于區(qū)塊鏈技術(shù)性潛力使得其在網(wǎng)絡(luò)防御、安全信息傳遞、彈性通信、后勤支持和物聯(lián)網(wǎng)等眾多領(lǐng)域具有廣泛應(yīng)用前景,同時(shí)也面臨巨大的網(wǎng)絡(luò)安全威脅,在未來的沖突中將會(huì)成為主戰(zhàn)場和主要攻擊目標(biāo)之一。
隨著2019年中共第十八次集體學(xué)習(xí)以及2021年國家《十四五規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》將區(qū)塊鏈列為數(shù)字經(jīng)濟(jì)重點(diǎn)產(chǎn)業(yè)之后,區(qū)塊鏈技術(shù)上升到國家戰(zhàn)略高度,迎來一輪區(qū)塊鏈建設(shè)高潮,隨之而來的區(qū)塊鏈安全問題更加突出。
區(qū)塊鏈因其的設(shè)計(jì)思想而面臨特定的安全風(fēng)險(xiǎn),了解其核心技術(shù)架構(gòu)有利于分析其常見安全風(fēng)險(xiǎn)并進(jìn)一步采取適當(dāng)?shù)陌踩夹g(shù)措施。
01 區(qū)塊鏈核心技術(shù)架構(gòu)
不同的區(qū)塊鏈框架實(shí)現(xiàn)方法不盡相同,但其核心技術(shù)架構(gòu)自下而上一般都包括數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、合約層、應(yīng)用層:
-
數(shù)據(jù)層是區(qū)塊鏈平臺(tái)的層,通過封裝的鏈?zhǔn)浇Y(jié)構(gòu)、加密技術(shù)等技術(shù)完成數(shù)據(jù)存儲(chǔ)和交易的安全實(shí)現(xiàn),采用密碼技術(shù)確保區(qū)塊鏈數(shù)據(jù)構(gòu)造、傳輸、存儲(chǔ)的完整和安全,確保交易可審計(jì)追溯;
-
網(wǎng)絡(luò)層采用P2P協(xié)議作為傳輸協(xié)議完成組網(wǎng),支持各節(jié)點(diǎn)無需經(jīng)過中間實(shí)體直接相互訪問,共享各自存儲(chǔ)能力、處理能力等資源;
-
共識(shí)層中相互獨(dú)立的節(jié)點(diǎn)通過共識(shí)機(jī)制在短時(shí)間內(nèi)排除惡意節(jié)點(diǎn)的干擾保證賬本數(shù)據(jù)一致、不可篡改;
-
智能合約層通過算法、程序編碼等技術(shù)手段形成在鏈上自動(dòng)執(zhí)行的智能合約,也就是可以在區(qū)塊鏈上自動(dòng)執(zhí)行的程序;
-
應(yīng)用層提供靈活的業(yè)務(wù)開發(fā)平臺(tái),調(diào)用區(qū)塊鏈智能合約服務(wù)應(yīng)用于金融、政務(wù)等領(lǐng)域。
區(qū)塊鏈核心技術(shù)架構(gòu)
區(qū)塊鏈每一層的協(xié)議、模型、算法、實(shí)現(xiàn)等均面臨來自網(wǎng)絡(luò)的安全威脅,并且源自于虛擬貨幣的區(qū)塊鏈多數(shù)應(yīng)用場景部署于開放、多主體的環(huán)境,使得其安全環(huán)境更加復(fù)雜。
02 常見安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施
在理解區(qū)塊鏈核心技術(shù)架構(gòu)的基礎(chǔ)之上,我們分析了區(qū)塊鏈核心技術(shù)架構(gòu)面臨的常見安全風(fēng)險(xiǎn),結(jié)合通信行業(yè)YDT 3747-2020《區(qū)塊鏈技術(shù)架構(gòu)安全要求》、金融行業(yè)JR∕T 0184-2020《金融分布式賬本技術(shù)安全規(guī)范》等標(biāo)準(zhǔn)要求,參考業(yè)界眾多具有代表性的區(qū)塊鏈安全研究成果,總結(jié)出針對(duì)區(qū)塊鏈面臨的安全風(fēng)險(xiǎn)的應(yīng)對(duì)措施,如下表所示。
除了自身技術(shù)架構(gòu)面臨的安全風(fēng)險(xiǎn)之外,區(qū)塊鏈部署運(yùn)行的平臺(tái)環(huán)境、網(wǎng)絡(luò)環(huán)境也會(huì)有各種安全風(fēng)險(xiǎn),進(jìn)而影響到區(qū)塊鏈的正常運(yùn)行。因此區(qū)塊鏈的安全應(yīng)對(duì)措施也要充分考慮這些因素。
03 區(qū)塊鏈安全技術(shù)體系
Gartner提出的區(qū)塊鏈安全技術(shù)體系綜合考慮了區(qū)塊鏈的自身技術(shù)架構(gòu)以及平臺(tái)、網(wǎng)絡(luò)環(huán)境等風(fēng)險(xiǎn)因素,提出了一個(gè)相對(duì)完整的安全技術(shù)體系。該安全技術(shù)體系包括4個(gè)安全技術(shù)對(duì)象,自上而下分為業(yè)務(wù)邏輯層安全、數(shù)據(jù)層安全、平臺(tái)層安全、IT與技術(shù)層安全,涵蓋了從區(qū)塊鏈上層應(yīng)用到區(qū)塊鏈部署的基礎(chǔ)環(huán)境,較為全面。可以作為區(qū)塊鏈安全防護(hù)的參考依據(jù),并在實(shí)踐中進(jìn)一步豐富完善:
業(yè)務(wù)邏輯層安全
主要涉及區(qū)塊鏈核心技術(shù)架構(gòu)的應(yīng)用層和智能合約層,包括:基于區(qū)塊鏈服務(wù)的業(yè)務(wù)系統(tǒng)安全,如Web安全、業(yè)務(wù)安全、API安全、APP安全等;智能合約代碼的漏洞發(fā)現(xiàn)、智能合約代碼的邏輯安全等,這些是因區(qū)塊鏈的新技術(shù)架構(gòu)帶來的新安全需求,需要采取包括代碼審計(jì)、漏洞掃描等手段解決。
數(shù)據(jù)層安全
涵蓋數(shù)據(jù)的生成、傳輸、存儲(chǔ)、使用安全,涉及區(qū)塊鏈核心技術(shù)架構(gòu)的共識(shí)層、網(wǎng)絡(luò)層、數(shù)據(jù)層,主要是區(qū)塊鏈技術(shù)架構(gòu)自身安全。包括鏈上存儲(chǔ)、密碼、P2P、共識(shí)機(jī)制、智能合約環(huán)境等。其中如密碼安全、智能合約環(huán)境的漏洞發(fā)現(xiàn)等是傳統(tǒng)安全技術(shù)可以涵蓋的,而共識(shí)協(xié)議、鏈上存儲(chǔ)安全、鏈上數(shù)據(jù)治理等則是因區(qū)塊鏈的核心技術(shù)架構(gòu)帶來的新安全需求,需要通過區(qū)塊鏈自身的設(shè)計(jì)改進(jìn)來解決。
平臺(tái)層安全
重點(diǎn)考慮區(qū)塊鏈部署的平臺(tái)安全。區(qū)塊鏈作為一個(gè)信息系統(tǒng)可以部署于云、服務(wù)器、超融合等平臺(tái)上,需要充分考慮平臺(tái)安全、系統(tǒng)安全、環(huán)境和物理安全等。
IT與技術(shù)層安全
主要涉及區(qū)塊鏈部署的多共識(shí)節(jié)點(diǎn)的開放網(wǎng)絡(luò)環(huán)境,P2P協(xié)議、共識(shí)協(xié)議、智能合約一般運(yùn)行于開放環(huán)境,需要重點(diǎn)考慮節(jié)點(diǎn)及節(jié)點(diǎn)間鏈路的防篡改、防DDoS、冗余可靠和實(shí)時(shí)性等。
天融信長期根植于政府、金融、運(yùn)營商、能源、交通、公共行業(yè)等重要基礎(chǔ)設(shè)施行業(yè),對(duì)于行業(yè)場景下的區(qū)塊鏈應(yīng)用及安全防護(hù)需求有深入理解,以深厚的技術(shù)積累為客戶提供場景化的解決方案。
區(qū)塊鏈?zhǔn)且环N新興的互聯(lián)網(wǎng)技術(shù),忽視它的安全性問題將無法保障業(yè)務(wù)的可持續(xù)發(fā)展。區(qū)塊鏈安全性問題會(huì)造成鏈上數(shù)據(jù)不可信、智能合約無法按照預(yù)期執(zhí)行等,從而導(dǎo)致鏈的“失信”,失去其最核心的價(jià)值。隨著區(qū)塊鏈技術(shù)的迅猛發(fā)展,其所面臨的網(wǎng)絡(luò)安全問題和應(yīng)當(dāng)采取的防范措施也在逐步被人們所認(rèn)識(shí),天融信將持續(xù)研究跟進(jìn)區(qū)塊鏈的安全防護(hù)技術(shù),助力區(qū)塊鏈實(shí)現(xiàn)“價(jià)值”傳遞。
