区块链安全技术指南.pdf

农夫三拳

289

131页

0次

2023-12-20

10墨值下载

作者简介

黄连金　硅谷Dynamic Fintech Group管理合伙人、联合国旗下世界区块链组织（WBO）首席技术官、美国ACM Practitioner Board委员、美国分布式商业应用公司CEO和创始人、中国电子学会

区块链专家委员、中国人大特聘研究员与讲师、美国CISSP专家、CyberVein总顾问，多个成功区块链项目技术顾问。曾就职于美国CGI公司18年，任CGI安全技术总监、CGI云安全主管和首席安全架构

师等职务，创建了CGI联邦身份管理和网络安全能力中心。在CGI工作时，曾经为美国联邦政府、金融机构和公用事业公司提供金融、人工智能、区块链、安全等方面的专家咨询。曾多次在国内外大型区

块链峰会担任嘉宾、评委、培训专家。

吴思进　33复杂美创始人及CEO，浙大本科硕士毕业，金融数据专家，精通量化交易及区块链，主导多家世界500强区块链项目落地。2014年申请区块链发明专利，2项已授权，目前累计申请专利

50多项，全球区块链专利排名前十，主要区块链项目有供应链金融、供应链管理、积分、钱包、交易所。

曹锋　PCHAIN发起人，中物联区块链协会首席科学家。中国早期区块链国际专利发明人，ChinaLedger共同发起人，2016年完成全球区块链资产收益权转让暨中国区块链金融真实交易。曾担任

IBM全球下一代人机大战中国区负责人、互联网金融首席科学家、专利评审委员会联合主席；3次获得IBM全球杰出技术成就奖，发表22篇国际顶级论文，30余项美国专利，并担任多个ACM IEEE顶级国

际会议论坛主席。

季宙栋　Onchain分布科技首席战略官，本体联合创始人，（工信部）中国区块链技术与产业发展论坛副秘书长，中国电子学会区块链专委会委员，ISO/IEC TC307中国代表团成员，参与本体论、

身份和隐私保护等标准组。作为区块链行业的资深专家，参与了工信部区块链白皮书及相关标准编制工作。

马臣云　北京信任度科技CEO、信息安全专家、产品管理专家，电子认证与签名行业15年从业经验。主要方向是密码学、区块链、身份认证、电子签名。曾获得省部级科技进步二等奖（国家密码

局）、首都五一劳动奖章、全国五一劳动奖章等，是电子签章技术、基于人脸识别的身份认证安全技术、互联网金融个人借贷电子合同安全技术等标准的起草人。著有《精通PKI网络安全认证技术与编程

实现》。网络ID：非著名信息安全砖家。

达摩　BOX.LA项目发起人，原唯链COO，参与了众多知名区块链项目的早期投资。

李恩典　美国分布式商业应用公司董事与中国区总裁、深圳市微风智联科技有限公司董事长、区块链软件和金融行业应用研发专家。15年以上金融安全研发经验，在区块链存储、大数据平台、物联

网平台和金融系统核心等领域均有领先的技术成果和丰富的产品技术实战经验，并拥有近10项相关领域发明专利。

徐浩铭　CyberVein数脉链项目技术负责人，负责区块链平台架构和搭建。曾就职于欧洲微软研发中心，负责Office项目开发。毕业于英国剑桥大学，主要研究方向为机器学习在生物信息学领域的应

用；曾在美国卡内基-梅隆大学访学，主要研究方向为机器视觉在无人驾驶中的应用；曾在美国杜克大学访学，研究领域为深度学习在生物医学工程中的应用。在SCI和EI检索杂志上发表多篇文章。

翁俊杰　IBM 10余年开发及解决方案经验，第一批Fabric应用开发者，NEO核心开发者之一，Onchain DNA联盟链的架构设计与核心开发人员，Ontology（本体）区块链开发团队负责人。在票

据、供应链、积分、征信、数据交易、共享金融等多个领域有区块链应用经验。

序一　多边界的区块链安全防守

2018年是区块链技术（或称分布式账本技术）诞生的第十个年头，人们对它所寄予的厚望正与日俱增。很多人认为区块链技术不仅会对现有的产品、服务、操作系统、商业模式、最佳实践，乃至各

行各业带来巨大冲击，甚至可能带来经济运行以及社会组织和治理的大变革。这是因为区块链技术促进了加密技术等方面的科技进步，实现了低成本和实时条件下的超强处理能力，同时为金融服务、医

疗保健、物流，以及环境保护等产业的可持续发展提供了无限可能。但更重要的是，区块链技术建立在去中心化共识、开源、透明和社区参与这些原则之上。这些基本原则才是这一技术具有革新性潜能

的根本所在。

[1]

包括联合国和世界银行集团（世行）在内的多边组织已经意识到区块链技术将会对各发展机构及其工作产生深远的影响。这是因为区块链技术能够帮助发展机构减轻对传统银行及其他中介机构的依

赖，从而大大降低交易成本；确保援助资金直接转给援助对象，保证专款专用，使整个环节更加透明。鉴于此，世行于2017年6月建立了区块链实验室，专注研究区块链领域的创新技术，以求更好地服

务世行的发展项目。

虽然区块链技术拥有巨大的潜力，但它目前仍面临很多挑战。对于这样一个自动化、去中心化和不断扩展的系统来说，安全性是不容回避的问题。区块链技术在安全性方面面临的挑战包括三方面。

首先，虽然区块链技术能够为交易提供高度的完整性（integrity）和透明度（transparency），但是系统设计方面仍亟待加强，才能保证区块链基础设施和平台的机密性（confidentiality）和弹性

（resiliency）。其次，不论是共识机制还是“智能合约”，区块链技术都需要依靠开发各种应用软件来实现。因此，软件开发安全方面的最佳实践仍应继续遵守。最后，区块链技术需要相应的生态系统

来为实践提供完整解决方案。这个生态系统可能会运用包括物联网（IoT）、人工智能和云计算在内的其他新技术。这意味着，所有这些构成区块链生态系统的技术本身的安全问题也需一并考量。

我在世行区块链实验室举办的一次活动中结识了黄连金先生。黄先生是那次活动的特约嘉宾，也是本书的第一作者。当时黄先生在华为技术有限公司担任首席区块链专家，他也是中国区块链安全领

域的领军人物。从他那里我了解到，虽然区块链技术还在发展阶段，但在中国已经有一批安全专家开始合作编写一本关于区块链安全问题的著作。这让我惊喜不已，因为一直以来，人们总在创新技术产

生之后才亡羊补牢，考虑安全问题。我相信，这本强调安全先行的著作，对确保未来区块链解决方案的可靠性和实用性大有裨益。

本书对区块链技术潜在风险的分析可谓详尽、完备：不仅包括区块链技术本身带来的风险（比如加密技术、身份管理技术、共识技术，以及“智能合约”技术可能涉及的风险），还包括区块链应用

方面的风险（例如激励机制、数据安全和网络安全等方面可能面临的风险）。书中不但有对区块链技术各种安全机制的深度解剖，而且有区块链应用遭受攻击的案例分析。这样理论与实际结合，有助于

读者学以致用，将对潜在风险的预期和评估置于现实背景之下。

为本书作序，我备感欣慰。据我所知，本书是全球为数不多关注区块链安全问题的专著。借着这则序言，我期待能够让更多的人在区块链及其他革命性技术创新的初期就开始考虑安全问题的重要

性。愿更多的研发人员、商业人士以及政策制定者都关注安全问题。我们会因此而更有信心应对未来技术应用（Technology Adoption）过程中的各种挑战。

林儒明

世界银行集团首席信息安全官、区块链实验室负责人

[1] 英国政府首席科学顾问报告：《分布式账本技术：超越“区块”和“链”》（Distributed Ledger Technology: Beyond Block Chain）。

序二　区块链安全观之我见

区块链安全观可以从两方面来讨论。技术方面的安全观是本书的主题，遑遑高论，各位看官自可体会；我想从区块链经济模式的安全观方面，谈一些自己的学习体会，以就教于各位作者和读者。

从经济模式来看区块链，我把它分为4个层次。

·最底层是区块链数字身份体系。数字身份包括了身份ID、社交关系、职业声誉、生活状态等，远比一串身份证号码要更全面、更传神。

·第二层是密码学账户体系。基于非对称加密算法的分布式账本，非许可、无须KYC，支持点对点交易，靠算法保证交易安全可靠，坏人无法作恶。

·第三层是区块链数字货币体系。公有区块链靠算法发行数字货币的一个最主要的目的是为自组织建立一种去中心化的经济激励机制。

·第四层是商业应用体系。有了前3层，任何分布式商业应用项目就有了生存的基础和无限的发展空间。

区块链技术层面的安全，都是为其经济模式的安全运行服务的。无论是保证数据一致性的哈希函数，还是保护隐私的零知识证明；不管是维护账户安全的椭圆曲线加密算法，还是保护数据主权的多

方安全计算；直至协调区块链治理的各种共识算法……在分布式、去中心、自组织的区块链世界里，信任关系和安全机制的建立，完全依赖一整套成体系的数学和密码学算法来保证安全、可靠。

传统金融业界有一句名言：无硬件，不安全。其实这句话也完全适用于区块链经济模式。硬件安全不仅仅涉及数字货币“热钱包”“冷钱包”层面的事情，它还可能涉及区块链上金融交易的报文传

输等方面。

本书是一本从技术角度讨论区块链安全的著作。在区块链“高烧”发热，热到有可能大热倒灶的今天，一群业界同仁愿意埋头沉心，专注区块链的安全问题，实在是难能可贵！

作为一名非技术背景的区块链信徒，阅读这样一本洋溢着精深技术见解的区块链安全著作，仍然从中学到很多，悟到更多。诚所谓见仁见智，乐山乐水是也！故不论“币圈”“链圈”，无论专业背

景，特推荐之，必有收获焉！

肖风

中国万向控股有限公司副董事长、万向区块链实验室董事长兼总经理

序三　安全是区块链发展和应用的基石

2008年，中本聪的论文“比特币：一种点对点的电子现金系统”一经发表，犹如“忽如一夜春风来，千树万树梨花开”。历经十年的迅猛发展，区块链已成为近年来最具革命性的新兴技术之一，并

广泛应用于各种社会场景之中。任何事物取得如此之重要地位，必定有其独特魅力。

区块链的魅力在于，它可以利用自律解决社会中靠他律才能解决的问题；区块链的魅力在于，它使参与者都有知情权，信息对等，脱离了只有少数人掌握信息的不平等状态；区块链的魅力在于，它

能够做到在现实社会中我们始终倡导和追求的诚信，而不需要人们的长期认知才能达到（其模式自身就存在诚信，不可抵赖）；区块链的魅力在于，它需要大多数伙伴的认同，使人们能够为了一个共同

的目标而努力；区块链的魅力在于，它使事物脱离了一成不变的程式化发展趋势，而迎来“百般红紫斗芳菲”的各式发展。其实，区块链的这些魅力并不是其刻意而为之，而是其自身特性决定的。因为

独特，所以灿烂。

区块链的这些特殊魅力吸引了社会各界的广泛关注，但是能否长久保鲜而不受摧残也成为我们担心的关键点。区块链的自律，使职能机构失去控制权；区块链的信息共享，使隐私更易暴露；区块链

的不可篡改，使可能的错误变成“真实”而存在；区块链的共识，使大多数伙伴的观点无论正确与否都变得“正确”；区块链各具特色的发展模式，使漏洞出现的可能性提高，容易导致应用的浩劫。因

此，区块链要真正快速发展和广泛应用，就要不断提高其自身安全性。

黄连金先生作为区块链资深高端专家，经过长年研究积淀，在区块链安全研究成果较少的情况下，他能够领先其他学者研究产出第一批专门的区块链安全著作，可谓独具慧眼。仅从这一点，足以看

出他是具有长远眼光和思想前瞻性的专家。有幸提前拜读他的区块链安全研究成果，使我全面地认识到区块链安全的重要性，对区块链安全有了合理的分类认知，也从中了解到未来区块链安全研究的热

点，学到一些有关区块链安全的有效研究手段。阅读时，我能感受到本书行文流畅；在学习到较新的有价值的研究成果的同时，体会到阅读的快乐，创新的热情。为本书写序，备感荣幸。希望更多的人

了解区块链，在未来的区块链模式中夯实区块链安全的基石，从而使区块链及其应用更加坚不可摧，更具魅力。

祝烈煌

北京理工大学计算机学院副院长、教授

前言

为什么要写这本书

这本书的初衷是希望给区块链项目提供一些安全方面的指导来改变目前区块链项目匆匆上线，安全系数不高，安全问题层出不穷的现状，也希望正在开发或将来需要开发的区块链项目在安全方面给

予足够的重视。我们认为安全问题会是区块链项目落地的主要绊脚石。一个不注意安全的区块链项目，成功系数不会很高。区块链有很好的安全属性，比如数据不可篡改、数据不会丢失、可利用一些加

密技术对数据进行加密等。但是从许多与区块链有关的安全事件可以看出，区块链的安全属性不能保证区块链项目百分之百安全。本书尽量从多个不同的方面，比较系统地对区块链的安全进行分析，并

且对区块链项目落地所需要考虑的因素，提供一些建议。

本书特色

本书是为数不多系统性地阐述区块链安全的书。

of 131

10墨值下载

区块链

关注

评论