買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > Filecoin > Info

HAI:信通院論文:如何評估區塊鏈基礎設施的安全性?認準這14類評估指標_HINT Chain

Author:

Time:1900/1/1 0:00:00

作者:魏亮?查選

來源:中國電子銀行網

編者注:原標題為《區塊鏈基礎設施安全風險及評估探索》

摘要:區塊鏈技術憑借抗篡改、透明化、分布式的安全特性已成為近年來全球科技和經濟發展新熱點。區塊鏈基礎設施作為對上承載各類區塊鏈應用、對下銜接網絡基礎設施的核心樞紐,其安全保障能力是確保區塊鏈健康高質量發展中不可或缺的一環。概述了當前國內外政府、行業和標準化機構在區塊鏈基礎設施安全領域的發展現狀,分析了區塊鏈基礎設施面臨的安全風險,并提出了相應的安全評估指標以綜合性評估區塊鏈基礎設施應對安全風險的能力。

關鍵詞:區塊鏈基礎設施;安全風險;評估指標

1、引言

作為一種全新的數據存儲、傳輸和管理技術,區塊鏈及其應用在新的技術和產業變革中發揮著重要作用。2019年10月,習近平總書記在中共中央局第十八次集體學習中強調,“要把區塊鏈作為核心技術自主創新的重要突破口”“要加強對區塊鏈安全風險的研究和分析”“探索建立適應區塊鏈技術機制的安全保障體系”。區塊鏈基礎設施作為對上承載各類區塊鏈應用、對下銜接網絡基礎設施的核心樞紐,為區塊鏈應用落地提供必需的存儲、傳輸、計算、開發和測試等底層核心能力、資源和服務,同時其所面臨的安全威脅也將對其上的區塊鏈應用乃至整個生態帶來極大的安全影響,因此區塊鏈基礎設施安全能力將成為確保區塊鏈安全健康發展的關鍵所在。

2、區塊鏈基礎設施及其安全發展現狀

當前,各國政府、行業和標準化組織紛紛聚力區塊鏈基礎設施能力及安全建設,助力區塊鏈技術和應用在通信、金融、醫療等關乎國計民生的各大行業領域的平穩落地。

中國信通院發布“區塊鏈白皮書”:我國區塊鏈企業超1400家,處于第一梯隊:金色財經報道,12月29日,由中國信息通信研究院、中國通信標準化協會和中國互聯網協會指導,可信區塊鏈推進計劃、中國互聯網協會區塊鏈技術應用工作委員會、中國通信標準化協會可信區塊鏈標準推進委員會和大數據技術標準推進委員會聯合主辦的第六屆可信區塊鏈峰會正式開幕。

會上發布《區塊鏈白皮書(2022年)》,白皮書顯示,中美兩國區塊鏈企業數量仍處于全球領先地位,合計占比達52%,數字資產正成為下一個全球必爭之地。據統計,我國區塊鏈企業超過了1400家,產業園區超40個。[2022/12/29 22:15:13]

2.1??政府層面

2017年,歐盟推出研究項目以評估區塊鏈基礎設施提供覆蓋歐盟全境的可靠透明數據交易環境的潛力;2018年,歐盟多國簽署合作協議,共建歐洲區塊鏈服務基礎設施;2019年,德國政府發布《區塊鏈戰略》,指出德國將加強對區塊鏈基礎性技術的安全研究,包括推動后量子密碼領域算法的研發、建立測試環境使企業能夠開發安全的智能合約并對其進行全面評測等。

2.2?行業領域

IBM、微軟、亞馬遜、阿里云等國內外行業巨頭作為區塊鏈基礎設施服務商,陸續推出以區塊鏈即服務(Blockchain-as-a-service,BaaS)為代表的區塊鏈基礎設施服務,以推動區塊鏈進一步業務主流化。2018年,瑞士郵政和瑞士電信宣布合作建設“100%瑞士”國家級區塊鏈網絡基礎設施,為瑞士公民和企業提供區塊鏈基礎設施和區塊鏈即服務等區塊鏈基礎性服務;2019年,中國國家信息中心、中國移動、中國銀聯等機構正式發布并啟動區塊鏈服務網絡公測,以全國性區塊鏈服務基礎設施平臺形式為開發者提供公共區塊鏈資源環境。

中國信通院舉辦元宇宙安全研討會:2022年1月20日,在工業和信息化部網絡安全管理局指導下,中國信息通信研究院安全研究所組織召開元宇宙安全研討會。與會專家普遍認為:一是元宇宙是一種全新的互聯網交互模式,將帶來開放協作的經濟形態和商業模式;二是元宇宙是一種極度復雜、高度數字化、虛實結合的互聯網形態,既面臨傳統的數據安全、網絡安全和內容安全等風險,也面臨新型網絡攻擊和倫理風險等挑戰。三是元宇宙仍處于行業發展的初級階段,但發展空間巨大,應當提前部署風險應對措施。(金十)[2022/1/26 9:15:09]

2.3??標準化組織

在國際標準領域,ITU-TQ17/SG13已經啟動“Y.BaaS-reqts:Cloudcomputing–functionalrequirementsforblockchainasaservice”技術標準的研制;ITU-TQ8/SG17同步推動BaaS相關安全標準研制,覆蓋BaaS安全威脅分析和安全保障等領域;Q14/SG17則聚焦分布式賬本技術DLT安全性展開標準研制。在行業標準領域,中國通信標準化協會安全防護特設組已啟動制定區塊鏈基礎設安全防護和檢測相關標準,明確區塊鏈基礎設施在業務層、網絡層、設備層、物理層和管理層的安全防護要求及檢測方法。

3、區塊鏈基礎設施安全風險分析

分布式數據存儲、密碼協議機制、分布式組網機制、智能合約及開發接口作為區塊鏈基礎設施核心技術和功能,不僅面臨愈發嚴峻的傳統安全風險,還面臨因其特有設計而引入的全新安全風險。

3.1??數據存儲安全風險

區塊鏈基礎設施系統可采用鏈上分布式數據賬簿存儲和鏈下數據存儲相結合的方式,存儲區塊鏈基礎設施平臺系統產生和運行所需的數據。區塊鏈基礎設施數據存儲一方面面臨著傳統存儲設備及環境里的數據非法訪問、泄露等傳統安全風險,如LevelDB、Redis等數據庫中可能存在未及時修復的安全漏洞導致對存儲設備未經授權的訪問和入侵;另一方面還面臨分布式、抗篡改等安全特性帶來的新安全風險,包括因網絡斷裂或惡意數據攻擊導致的鏈上與鏈下分布式存儲數據不一致風險、因區塊鏈技術抗篡改特性導致內容非法或威脅用戶隱私的上鏈數據難以刪除和修改的安全風險等。

聲音 | 中國信通院:區塊鏈可在一定程度上解決數據確權難等“先天病”:12月10日,中國信通院發布了《大數據白皮書(2019)》。白皮書指出,大數據與 5G、人工智能、區塊鏈等新一代信息技術的融合發展日益緊密。特別是區塊鏈技術,一方面區塊鏈可以在一定程度上解決數據確權難、數據孤島嚴重、數據壟斷等“先天病”,另一方面隱私計算技術等大數據技術也反過來促進了區塊鏈技術的完善。在新一代信息技術的共同作用下,我國的數字經濟正向著更加互信、共享、均衡的方向發展,數據的“生產關系”正在進一步重塑。[2019/12/12]

3.2??密碼機制安全風險

哈希算法、非對稱簽名算法、對稱加密算法、梅克爾樹等密碼學機制為構建鏈式數據結構、確認交易和區塊不可否認性等提供安全基本元素。密碼機制面臨的安全風險可分為3方面:一是密鑰生成、分發、存儲過程中因人員操作或管理不當帶來的安全風險,包括密鑰丟失被盜等;二是密碼算法自身設計存在的安全風險,包括哈希算法面臨的碰撞威脅、量子計算技術飛速發展對非對稱密碼算法的大數因子分解問題等安全前提的威脅等;三是密碼算法開發實現中的后門和漏洞,如2017年以太坊瀏覽器Mist底層軟件框架Electron中存在的安全漏洞可能會暴露密鑰。

3.3??分布式組網安全風險

區塊鏈基礎設施中分布式節點基于點對點組網協議構建形成分布式網絡,并遵循共識協議中定義的公開、無歧義的規則以確保互不信任的分布式節點可就數據和系統狀態達成統一共識。區塊鏈基礎設施分布式組網機制不僅面臨著DDoS攻擊、病木馬攻擊、DNS污染等傳統網絡安全風險,其共識協議和點對點組網協議還面臨節點失效、鏈路失效、虛假路由或身份信息、惡意節點合謀等行為帶來的全新安全威脅。一是節點和鏈路失效可能會造成網絡分區,導致全網共識無法收斂、收斂時間較長超出可用范圍、被分區的節點記錄不一致等情況;二是攻擊者可利用共識協議算法脆弱性進行算力攻擊、分叉攻擊、女巫攻擊等新型攻擊,控制網絡中一定比例的算力、節點或貨幣數量,實現對共識過程和結果的控制;三是攻擊者利用點對點協議脆弱性控制目標節點的網絡連接和數據傳輸,如日蝕攻擊使得目標節點只能收到來自攻擊者選擇性轉發的信息,實現對攻擊目標的算力等共識資源的控制。

動態 | 中國信通院刊文:美國區塊鏈技術監管和立法進展及思考:據中國信通院官網消息,4月1日,中國信通院官網刊文《美國區塊鏈技術監管和立法進展及思考》。文章指出,美國政府近年來一直在密切觀望區塊鏈技術的發展,并在多個政府部門開展了試點項目和概念證明。美國經驗給我國帶來一些有益啟示:一是重視和加強對區塊鏈問題的預研,應提早對政策、技術特征、應用、適用性等問題開展預研究,并在重點領域開展試點項目和概念證明;二是引導產業理性發展,有必要在開展相關研究基礎上,制定指導意見;三是重視區塊鏈安全風險,加強預評估,應及早對重點安全領域開展預評估,提做好防范應對措施部署。[2019/4/1]

3.4??智能合約及接口安全風險

區塊鏈基礎設施提供智能合約、API、SDK等,以實現區塊鏈上層應用與區塊鏈基礎資源的高效連接,其主要面臨成熟度不高的代碼實現帶來的安全風險。如利用智能合約邏輯、開發中存在的安全漏洞和后門,或智能合約運行環境中的虛擬機自身安全漏洞,或不完善的訪問驗證、控制等機制,攻擊者可部署惡意智能合約代碼以實施逃逸漏洞攻擊、邏輯漏洞攻擊、堆棧溢出漏洞攻擊、資源濫用漏洞攻擊等,實現不符合智能合約約定的操作。

4、區塊鏈基礎設施安全評估指標

針對區塊鏈基礎設施面臨的安全風險,在區塊鏈基礎設施核心機制、傳統認證加密、安全運維管理3個領域形成14類安全評估指標,以綜合性評估區塊鏈基礎設施系統和平臺應對安全風險的能力。安全評估指標和安全風險對應關系如表1所示。

表1?區塊鏈基礎設施安全評估指標

動態 | 超級賬本Hyperledger董事到訪中國信通院:據中國信息通信研究院消息,昨日超級賬本Hyperledger執行董事Brian Behlendorf一行4人到訪中國信息通信研究院,與可信區塊鏈推進計劃秘書處就區塊鏈方面合作事宜進行交流。[2019/2/23]

4.1??核心機制安全能力評估指標

密碼機制安全:密碼算法的設計應滿足密碼相關國家要求;密碼機制實現過程應具備必要的代碼混淆和檢測,確保密鑰信息的安全性。

點對點組網安全:提供核心節點和節點聯通度冗余性,確保在一定數量和不同類型節點斷網時的網絡可用性;應提供同步機制確保節點斷線重連后,可在一定時間內同步系統最新狀態;可實時反饋網絡拓撲連接情況,實現對節點失聯、連接壟斷等異常情況的檢測和應對。

共識機制安全:應具備并明確容錯能力,即可容忍特定范圍內的節點失效或網絡連接故障;應可抵御一定范圍內的惡意節點合謀攻擊、女巫攻擊等惡意攻擊行為。

智能合約安全:提供對訪問智能合約用戶的身份鑒別和訪問控制機制;明確在運行安全、接口安全、安全配置等方面的智能合約開發規范;提供智能合約基線安全檢測、框架性安全檢測等必要的代碼安全檢查。

4.2??傳統認證加密安全能力評估指標

身份鑒別:對訪問區塊鏈基礎設施系統、網絡和數據的用戶進行身份標識和鑒別,并對身份鑒別信息進行保護。

訪問控制:配置訪問控制策略,嚴格限制不同類型用戶訪問權限。

數據保護:采用密碼學方法確保重要數據在傳輸和存儲中的機密性和完整性;提供對用戶個人信息的授權訪問和合法使用。

密鑰管理:提供對密鑰的全生命周期管理,包括密鑰的安全生成、使用、存儲、備份、替換等。

4.3??安全運維管理能力評估指標

資源監控:監控網絡資源的使用情況,并能對資源使用行為進行必要的限制。

入侵防范:應在關鍵節點處設置入侵防范機制,確保入侵防范機制的升級和更新維護,可記錄攻擊行為信息并提供報警。

惡意代碼防范:應安裝防惡意代碼軟件,并定期進行軟件版本升級和惡意代碼庫更新;可及時發現并修補存在的已知漏洞。

安全審計:確保安全審計范圍和記錄的覆蓋面;對審計記錄提供安全保護;提供審計記錄的統計、分析、查詢等操作。

物理環境安全:確保區塊鏈基礎設施在機房位置、電力供應、防火、防水、防靜電、溫濕度控制等物理環境方面的安全。

業務管理安全:確保在管理制度、人員和技術支持能力、運行維護管理能力、災難恢復預案等管理領域的安全。

5、結束語

基于區塊鏈基礎設施所面臨的傳統和新技術安全風險相融合的復雜安全局面,對其進行針對性的全面安全評估可助力應對和識別區塊鏈基礎設施系統存在的安全風險,提升區塊鏈基礎設施安全水平,保障其上承載的區塊鏈應用乃至整個區塊鏈生態安全,對推動區塊鏈健康高質量發展具有重大意義。

參考文獻

中國信息通信研究院.區塊鏈安全白皮書—技術應用篇(2018版).(2018-09).http://www.caict.ac.cn/kxyj/qwfb/bps/201809/P020180919411826104153.pdf.

查選,孟楠.如何應對區塊鏈基礎設施安全風險?.人民郵電報,2020-01-09(6).

戴方芳,樊曉賀,崔梟飛,等.區塊鏈典型應用架構安全風險和應對分析.信息通信技術,2018,12(06):56-61+68.

RiskanalysisandevaluationofBlockchaininfrastructure

WEILiang,ZHAXuan

(ChinaAcademyofInformationandCommunicationsTechnology,Beijing100191,China)

Abstract:Blockchainhasbecomeahotissueinglobaltechnologyandeconomywithitsanti-tampering,transparencyanddecentralization.Blockchaininfrastructurecarriesvariousblockchainapplicationsonthetopandconnectsnetworkinfrastructureonthebottom,andthereforeitssecurityiskeytothehigh-qualitydevelopmentofblockchain.Thispapersurveystheeffortofglobalgovernments,industriesandstandardizationinstitutionsinblockchaininfrastructuresecurity.Thenitanalyzesthesecurityrisksofblockchaininfrastructureandendsupwiththecorrespondingsecurityevaluationindicatorstoevaluatetheabilityofblockchaininfrastructureintacklingsecurityrisks.

Keywords:Blockchaininfrastructure;securityrisk;evaluationindicator

作者簡介:

魏亮:中國信息通信研究院安全研究所所長,教授級高級工程師,主要從事下一代電信網、網絡架構、下一代互聯網、網絡與信息安全等領域的研究工作;

查選:中國信息通信研究院安全研究所工程師,博士,主要從事區塊鏈安全、物聯網安全、無線網絡安全等領域的研究工作

論文引用格式:魏亮,查選.區塊鏈基礎設施安全風險及評估探索.信息通信技術與政策,2020(2):10-13.

本文刊于《信息通信技術與政策》2020年第2期

Tags:區塊鏈HAILOCKCHA影視幣區塊鏈有哪些HINT ChainQuark Block Chain3X Short Chainlink Token

Filecoin
區塊鏈:科普 | 分布式、去中心化、多中心化是同一回事嗎?_比特幣現在的市值

有一卡車的磚需要高效快速地搬到工地里,工頭喊來一大群工人來搬,每人每趟只需搬幾塊,很快就搬完了。工頭發布的任務就叫做“分布式”任務。有21個工人偷懶,圍在一起玩丟手絹的游戲.

1900/1/1 0:00:00
比特幣價格:觀點:“比特幣減半”的谷歌搜索量今年以來大增,也許減半后什么都不會發生?_btc交易平臺app

來源:LongHash 編者注:原標題為《今年以來,“比特幣減半”的谷歌搜索量大增》根據對挖礦因素的多次預估,約35天后比特幣將發生新一輪區塊獎勵減半.

1900/1/1 0:00:00
DAPP:數據月報 | 新冠疫情持續惡化,通證市場遭受重創_PEOS

截至2020年3月末,全球數字通證總市值為1879.19億美元,相比上月下跌963.05億美元,跌幅為33.9%.

1900/1/1 0:00:00
數字資產:全球區塊鏈產業發展3月報:數字貨幣監管提速,區塊鏈單月融資額破5億美元_數字貨幣

為更好了解全球區塊鏈產業2020年3月份的發展狀況,零壹智庫聯合數字資產研究院,從區塊鏈投融資、主流加密數字貨幣行情、政策導向、國內產業發展動態及全球要聞等維度,“解密”區塊鏈產業的最新趨勢.

1900/1/1 0:00:00
MOV:MOV聯邦節點正式亮相,比原團隊透露銷毀計劃_DEF

精心籌備兩年的MOV于近日正式上線。比原鏈團隊為什么要做MOV?MOV是什么、給誰用、怎么玩?作為下一代去中心跨鏈Layer2價值交換協議,MOV將如何進行資產價值交換協作?又將如何帶領DeFi.

1900/1/1 0:00:00
300:中青寶區塊鏈真面目:無厘頭業務邏輯,實際控制人持續減持_3000代幣多少錢

文:互鏈脈搏 3月27日,中青寶發布了“2019年年度報告”,全文8次提及“區塊鏈”,4次作為云計算的陪襯,4次和一個關聯交易有關,但沒有一次出現在公司的戰略或者核心業務中.

1900/1/1 0:00:00
ads