1 引言
作为一种全新的数据存储、传输和管理技术,区块链及其应用在新的技术和产业变革中发挥着重要作用。2019年10月,习近平总书记在中共中央政治局第十八次集体学习中强调,“要把区块链作为核心技术自主创新的重要突破口”“要加强对区块链安全风险的研究和分析”“探索建立适应区块链技术机制的安全保障体系”。区块链基础设施作为对上承载各类区块链应用、对下衔接网络基础设施的核心枢纽,为区块链应用落地提供必需的存储、传输、计算、开发和测试等底层核心能力、资源和服务,同时其所面临的安全威胁也将对其上的区块链应用乃至整个生态带来极大的安全影响,因此区块链基础设施安全能力将成为确保区块链安全健康发展的关键所在。
2 区块链基础设施及其安全发展现状
当前,各国政府、行业和标准化组织纷纷聚力区块链基础设施能力及安全建设,助力区块链技术和应用在通信、金融、医疗等关乎国计民生的各大行业领域的平稳落地。
2.1 政府层面
2017年,欧盟推出研究项目以评估区块链基础设施提供覆盖欧盟全境的可靠透明数据交易环境的潜力;2018年,欧盟多国签署合作协议,共建欧洲区块链服务基础设施;2019年,德国政府发布《区块链战略》,指出德国将加强对区块链基础性技术的安全研究,包括推动后量子密码领域算法的研发、建立测试环境使企业能够开发安全的智能合约并对其进行全面评测等。
2.2 行业领域
IBM、微软、亚马逊、阿里云等国内外行业巨头作为区块链基础设施服务商,陆续推出以区块链即服务(Blockchain-as-a-service, BaaS)为代表的区块链基础设施服务,以推动区块链进一步业务主流化。2018年,瑞士邮政和瑞士电信宣布合作建设“100%瑞士”国家级区块链网络基础设施,为瑞士公民和企业提供区块链基础设施和区块链即服务等区块链基础性服务;2019年,中国国家信息中心、中国移动、中国银联等机构正式发布并启动区块链服务网络公测,以全国性区块链服务基础设施平台形式为开发者提供公共区块链资源环境。
2.3 标准化组织
在国际标准领域,ITU-T Q17/SG13已经启动“Y.BaaS-reqts: Cloud computing – functional requirements for blockchain as a service”技术标准的研制;ITU-T Q8/SG17同步推动BaaS相关安全标准研制,覆盖BaaS安全威胁分析和安全保障等领域;Q14/SG17则聚焦分布式账本技术DLT安全性展开标准研制。在行业标准领域,中国通信标准化协会安全防护特设组已启动制定区块链基础设安全防护和检测相关标准,明确区块链基础设施在业务层、网络层、设备层、物理层和管理层的安全防护要求及检测方法。
3 区块链基础设施安全风险分析
分布式数据存储、密码协议机制、分布式组网机制、智能合约及开发接口作为区块链基础设施核心技术和功能,不仅面临愈发严峻的传统安全风险,还面临因其特有设计而引入的全新安全风险。
3.1 数据存储安全风险
区块链基础设施系统可采用链上分布式数据账簿存储和链下数据存储相结合的方式,存储区块链基础设施平台系统产生和运行所需的数据。区块链基础设施数据存储一方面面临着传统存储设备及环境里的数据非法访问、泄露等传统安全风险,如LevelDB、Redis等数据库中可能存在未及时修复的安全漏洞导致对存储设备未经授权的访问和入侵;另一方面还面临分布式、抗篡改等安全特性带来的新安全风险,包括因网络断裂或恶意数据攻击导致的链上与链下分布式存储数据不一致风险、因区块链技术抗篡改特性导致内容非法或威胁用户隐私的上链数据难以删除和修改的安全风险等。
3.2 密码机制安全风险
哈希算法、非对称签名算法、对称加密算法、梅克尔树等密码学机制为构建链式数据结构、确认交易和区块不可否认性等提供安全基本元素。密码机制面临的安全风险可分为3方面:一是密钥生成、分发、存储过程中因人员操作或管理不当带来的安全风险,包括密钥丢失被盗等;二是密码算法自身设计存在的安全风险,包括哈希算法面临的碰撞威胁、量子计算技术飞速发展对非对称密码算法的大数因子分解问题等安全前提的威胁等;三是密码算法开发实现中的后门和漏洞,如2017年以太坊浏览器Mist底层软件框架Electron中存在的安全漏洞可能会暴露密钥。
郑重声明:本文版权归天网查所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。