柳葉

摘 要：區(qū)塊鏈技術(shù)是近些年來(lái)興起的熱門(mén)技術(shù)，是一種典型的分布式計(jì)算架構(gòu)，其本身具有去中心化、冗余度高、時(shí)序數(shù)據(jù)且不可篡改與偽造等特點(diǎn)。區(qū)塊鏈技術(shù)在金融系統(tǒng)、政府部門(mén)、相關(guān)科技企業(yè)中迅速應(yīng)用并普及開(kāi)來(lái)。隨著其廣泛的應(yīng)用于各個(gè)部門(mén)，區(qū)塊鏈技術(shù)的安全性以及風(fēng)險(xiǎn)問(wèn)題也越來(lái)越受到人們的重視。文章首先對(duì)區(qū)塊鏈技術(shù)的發(fā)展進(jìn)行概述；其次結(jié)合具體應(yīng)用場(chǎng)景，對(duì)區(qū)塊鏈技術(shù)的應(yīng)用現(xiàn)狀進(jìn)行介紹；最后對(duì)現(xiàn)如今出現(xiàn)的區(qū)塊鏈的典型安全事件進(jìn)行分析，對(duì)其安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行研究，并提出切實(shí)可行的改進(jìn)意見(jiàn)。

關(guān)鍵詞：區(qū)塊鏈技術(shù)；去中心化；分布式；安全風(fēng)險(xiǎn)

中圖分類號(hào)：F831.2 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2018）30-0023-02

Abstract： Block chain technology is a popular technology in recent years， is a typical distributed computing architecture， with its own decentralization， high redundancy， timing data and impossibility of being tampered with and forged. Blockchain technology is rapidly applied and popularized in the financial system， government departments， and related science and technology enterprises. With its wide application in various departments， the safety and risk of blockchain technology has been paid more and more attention. Firstly， the paper summarizes the development of blockchain technology； secondly， it introduces the application status of blockchain technology Based on the specific application scene； finally， it analyzes the typical security incidents of blockchain technology， studies the safety risk problems， and puts forward the feasible improvement suggestion.

Keywords： blockchain technology； decentralization； distributed； security risk

引言

區(qū)塊鏈技術(shù)的發(fā)展要?dú)w功于比特幣為代表的數(shù)字貨幣體系。區(qū)塊鏈技術(shù)是這些數(shù)字貨幣體系的核心和支撐技術(shù)，其最典型的幾個(gè)特點(diǎn)就是去中心化、去信任化、分布式存儲(chǔ)、數(shù)據(jù)加密等，各個(gè)節(jié)點(diǎn)之間無(wú)需建立信任關(guān)系即可進(jìn)行相互之間的對(duì)話交易、協(xié)同工作等操作[1]。區(qū)塊鏈技術(shù)的應(yīng)用和發(fā)展對(duì)于傳統(tǒng)技術(shù)領(lǐng)域中心節(jié)點(diǎn)的高成本、低工作效率的方式帶來(lái)了沖擊和解決方案。區(qū)塊鏈技術(shù)或許將成為人類計(jì)算機(jī)發(fā)展史上又一次技術(shù)的革命，也是信用發(fā)展史上一次新的里程碑。區(qū)塊鏈技術(shù)的發(fā)展和應(yīng)用仍然處于起步階段，相關(guān)的安全監(jiān)管、風(fēng)險(xiǎn)問(wèn)題并沒(méi)有得到很好地重視和解決，頻繁出現(xiàn)的安全事件也在給人們敲醒警鐘。

1 區(qū)塊鏈技術(shù)概述

比特幣技術(shù)最早是由一個(gè)化名為“中本聰”的人提出來(lái)的，比特幣本身不依賴于任何的貨幣發(fā)行機(jī)構(gòu)，它依靠特定的算法控制使得可以通過(guò)任何一臺(tái)接入互聯(lián)網(wǎng)的電腦通過(guò)計(jì)算獲取，這種去中心化的支付手段，通過(guò)密碼學(xué)等原理保證貨幣流通的公開(kāi)、透明[2]。

1.1 區(qū)塊鏈的本質(zhì)

區(qū)塊鏈的本質(zhì)其實(shí)就是一個(gè)分布式的賬本體系，在整個(gè)體系內(nèi)每一個(gè)節(jié)點(diǎn)都可以對(duì)賬本進(jìn)行修改和核查。舉一個(gè)最簡(jiǎn)單的例子來(lái)說(shuō)，比如小鄧借了小于1000元錢(qián)，這時(shí)小鄧對(duì)著所有人大喊：“我是小鄧，我借給了小于1000元錢(qián)！”，而小于也對(duì)人群大喊：“我是小于，我向小鄧借了1000元錢(qián)！”。由于每個(gè)人都聽(tīng)到了小鄧和小于的吶喊，所以大家都會(huì)在共同的賬本上看到這筆交易關(guān)系，就算有一天倆人發(fā)生任何糾紛都可以通過(guò)公共賬本來(lái)核實(shí)。對(duì)于這個(gè)公共賬本任何人都可對(duì)這個(gè)賬本進(jìn)行核查，但不存在單一的用戶可以對(duì)它控制。在區(qū)塊鏈系統(tǒng)中的參與者共同維持賬本的更新，它只能按照嚴(yán)格的規(guī)則和共識(shí)進(jìn)行修改。

1.2 區(qū)塊鏈技術(shù)的特點(diǎn)

用專業(yè)化的術(shù)語(yǔ)來(lái)解釋區(qū)塊鏈可以把其比作一個(gè)狀態(tài)機(jī)，每一次區(qū)塊的生成或是交易信息的變化都是一次狀態(tài)的變更[3]。區(qū)塊鏈技術(shù)主要有以下幾個(gè)顯著的特點(diǎn)：（1）去中心化。任何區(qū)塊節(jié)點(diǎn)的地位都是平等的，沒(méi)有中心節(jié)點(diǎn)的概念，分布式的存儲(chǔ)。（2）開(kāi)放性。區(qū)塊鏈的加入沒(méi)有任何限制，代碼公開(kāi)、程序公開(kāi)、交易數(shù)據(jù)公開(kāi)。（3）去信任機(jī)制。彼此節(jié)點(diǎn)之間的通信不需要建立信任，唯一值得信任的就是對(duì)于接入互聯(lián)網(wǎng)機(jī)器的信任。（4）可靠的數(shù)據(jù)庫(kù)。數(shù)據(jù)的可靠性是區(qū)塊鏈技術(shù)應(yīng)用的一個(gè)很大特征，整個(gè)數(shù)據(jù)沒(méi)有所謂的數(shù)據(jù)管理員，數(shù)據(jù)庫(kù)不可更改，永遠(yuǎn)可訪問(wèn)。（5）匿名性，隱私保護(hù)。區(qū)塊鏈技術(shù)有著匿名的特點(diǎn)，任何接入互聯(lián)網(wǎng)的電腦只要安裝軟件后就可以進(jìn)行比特幣的“挖掘”，而且通過(guò)特殊的Hash算法還有隱私保護(hù)的特點(diǎn)。這種帶有時(shí)間戳的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，能夠保證數(shù)據(jù)的可追溯性。

2 區(qū)塊鏈技術(shù)應(yīng)用平臺(tái)現(xiàn)狀

現(xiàn)如今基于區(qū)塊鏈技術(shù)應(yīng)用的平臺(tái)全球應(yīng)該有許多家，但是最著名的幾家當(dāng)屬比特幣、以太坊、超級(jí)賬本三家平臺(tái)。

2.1 比特幣

比特幣可以說(shuō)是最早應(yīng)用區(qū)塊鏈技術(shù)的平臺(tái)，比特幣是基于數(shù)字貨幣的系統(tǒng)。比特幣的支付和使用都不要通過(guò)第三方或是任何中介機(jī)構(gòu)。比特幣設(shè)定的初衷是為了建立一個(gè)沒(méi)有信任機(jī)制的點(diǎn)對(duì)點(diǎn)交易系統(tǒng)。比特幣的獲取方式基于“挖礦”算法，交易方式采用全局記賬，數(shù)字貨幣的有效性可以追溯驗(yàn)證[3]。比特幣從發(fā)行的初期不受人們重視，到現(xiàn)在平穩(wěn)的運(yùn)行，說(shuō)明區(qū)塊鏈技術(shù)的可行性，對(duì)此許多國(guó)家都開(kāi)始對(duì)比特幣合法性的認(rèn)可。

2.2 以太坊

說(shuō)到區(qū)塊鏈技術(shù)在以太坊平臺(tái)的應(yīng)用就一定要提到智能合約的概念，智能合約是指的在用戶交易過(guò)程中，交易會(huì)發(fā)送到用戶對(duì)應(yīng)賬戶的程序中，用戶也可以通過(guò)在區(qū)塊鏈中部署代碼來(lái)制定合約。以太坊平臺(tái)致力于構(gòu)建一個(gè)通用的數(shù)字貨幣平臺(tái)，它基于一套圖靈腳本語(yǔ)言構(gòu)成。智能合約在以太坊平臺(tái)中就是一個(gè)代理，它本身也有一個(gè)地址，當(dāng)用戶向該地址發(fā)送一筆交易時(shí)，智能合約就會(huì)被激活。以太坊借鑒了比特幣平臺(tái)的特點(diǎn)，在此基礎(chǔ)上定義了賬戶的概念，在以太坊的區(qū)塊鏈之間進(jìn)行交易都是賬戶的轉(zhuǎn)移。

2.3 超級(jí)賬本

超級(jí)賬本是Linux基金會(huì)研發(fā)和推廣的區(qū)塊鏈項(xiàng)目，也是致力于推廣和發(fā)展區(qū)塊鏈技術(shù)與商用聯(lián)合的典范。超級(jí)賬本推行伊始，就受到了許多商業(yè)大咖的關(guān)注，并成為其會(huì)員。超級(jí)賬本基于區(qū)塊鏈、智能合約等技術(shù)，力圖發(fā)展一個(gè)分布式賬本交易應(yīng)用平臺(tái)，建立商業(yè)交易中的公開(kāi)透明機(jī)制和信任機(jī)制。每一個(gè)超級(jí)賬本的用戶都可以輕松地構(gòu)建區(qū)塊網(wǎng)絡(luò)，并且能夠?qū)崟r(shí)的查詢賬本，這也為審計(jì)提供了便捷。

3 區(qū)塊鏈安全風(fēng)險(xiǎn)研究

信息安全是互聯(lián)網(wǎng)發(fā)展以來(lái)最值得關(guān)注的問(wèn)題之一，特別是區(qū)塊鏈技術(shù)這種去中心化的架構(gòu)模式，信息安全以及數(shù)據(jù)問(wèn)題是最核心的問(wèn)題。對(duì)于數(shù)據(jù)安全來(lái)說(shuō)，要求要做到數(shù)據(jù)的不可篡改、隱私保護(hù)、身份認(rèn)證等，區(qū)塊鏈技術(shù)的數(shù)據(jù)安全算法是基于密碼學(xué)基礎(chǔ)。區(qū)塊鏈?zhǔn)褂肏ASH算法以及非對(duì)稱的加密及簽名技術(shù)，通常使用橢圓曲線算法生成密鑰對(duì)[4]。但是這些密碼學(xué)的原理和算法都是前幾年的學(xué)術(shù)成果，現(xiàn)有的區(qū)塊鏈的加密技術(shù)的應(yīng)用和擴(kuò)展仍然需要多方的驗(yàn)證，而仍然要不斷更新自己的加密算法。比如多方保密計(jì)算技術(shù)、群簽名、全動(dòng)態(tài)密碼學(xué)等最新的前沿的密碼學(xué)技術(shù)以保證區(qū)塊鏈的信息安全[5]。在對(duì)數(shù)據(jù)的訪問(wèn)上，成員身份的認(rèn)證是最重要的一步。在身份認(rèn)證的時(shí)候，數(shù)字證書(shū)的驗(yàn)證是保證訪問(wèn)安全的前提。在對(duì)區(qū)塊鏈的安全風(fēng)險(xiǎn)研究中，應(yīng)該通過(guò)以下幾個(gè)方面進(jìn)行。

3.1 區(qū)塊鏈底層機(jī)制存在的安全風(fēng)險(xiǎn)

區(qū)塊鏈技術(shù)在邏輯層面是基于去中心化、去信任化的機(jī)制，但是其底層的技術(shù)中包含的數(shù)據(jù)存儲(chǔ)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)燃夹g(shù)的可靠性仍然值得去改進(jìn)和優(yōu)化。前不久著名的比特幣交易平臺(tái)Mt.Gox出現(xiàn)的事件，正是因?yàn)閰^(qū)塊鏈技術(shù)底層機(jī)制中存在漏洞導(dǎo)致的。Mt.Gox平臺(tái)的攻擊者通過(guò)底層漏洞反復(fù)提現(xiàn)，最終導(dǎo)致平臺(tái)的比特幣價(jià)格持續(xù)走低，最后平臺(tái)走向破產(chǎn)。通過(guò)這次事件我們也能看出，區(qū)塊鏈技術(shù)的底層機(jī)制仍然存在很多的安全風(fēng)險(xiǎn)，因?yàn)槠渖婕暗沫h(huán)節(jié)很多，對(duì)于每一環(huán)節(jié)中所應(yīng)用到的技術(shù)都應(yīng)該嚴(yán)格把控和風(fēng)險(xiǎn)防范才能做到真正的安全。

3.2 區(qū)塊鏈應(yīng)用存在的安全風(fēng)險(xiǎn)

所謂區(qū)塊鏈應(yīng)用存在的安全風(fēng)險(xiǎn)指的是基于區(qū)塊鏈技術(shù)之上的應(yīng)用本身的安全性，即使區(qū)塊鏈技術(shù)本身是安全可靠的，但是也不能保證在此技術(shù)之上的應(yīng)用是安全的。比如最近發(fā)生的The Dao應(yīng)用被攻擊事件，該應(yīng)用就是基于著名的區(qū)塊鏈技術(shù)平臺(tái)以太坊之上的。現(xiàn)如今，區(qū)塊鏈技術(shù)的應(yīng)用領(lǐng)域多與金融、資產(chǎn)管理、貨幣支付等重要領(lǐng)域相關(guān)，這些應(yīng)用一旦出現(xiàn)任何問(wèn)題，都會(huì)損失慘重。

3.3 區(qū)塊鏈應(yīng)用中管理存在的安全風(fēng)險(xiǎn)

區(qū)塊鏈技術(shù)在推行的時(shí)候就是以去中心化、去信任化、完善的協(xié)議以及高效合理的架構(gòu)聞名。但是一系列的用戶私鑰被盜導(dǎo)致比特幣丟失等事件的發(fā)生，映射出“去信任”到底真的能不能值得信任。在整個(gè)區(qū)塊鏈技術(shù)的核心環(huán)節(jié)中，用戶私鑰是十分重要的，防止用戶私鑰的泄露是確保整個(gè)區(qū)塊鏈“去信任化”的前提。一系列的私鑰丟失引發(fā)的安全事件已經(jīng)給人們敲響了警鐘，在相應(yīng)的安全風(fēng)險(xiǎn)防范上應(yīng)該做到對(duì)私鑰流轉(zhuǎn)運(yùn)行的各個(gè)環(huán)節(jié)進(jìn)行充分的測(cè)試。測(cè)試的范圍不僅局限于軟件本身，更應(yīng)該對(duì)包括服務(wù)器、網(wǎng)絡(luò)等多個(gè)環(huán)節(jié)的測(cè)試。

4 結(jié)束語(yǔ)

區(qū)塊鏈技術(shù)被認(rèn)為是計(jì)算機(jī)發(fā)展史上又一次的產(chǎn)業(yè)革命，它將顛覆原有的商業(yè)模式和信任機(jī)制。區(qū)塊鏈在一些國(guó)家已經(jīng)有效的應(yīng)用于政府、金融機(jī)構(gòu)等，雖然區(qū)塊鏈技術(shù)的應(yīng)用已經(jīng)有了一些成果，但是對(duì)于區(qū)塊鏈技術(shù)本身以及其應(yīng)用層面的安全問(wèn)題仍然是不容樂(lè)觀。構(gòu)建安全、可靠地區(qū)塊鏈技術(shù)平臺(tái)及應(yīng)用平臺(tái)是十分重要的，這對(duì)于區(qū)塊鏈技術(shù)的發(fā)展和進(jìn)步是最基本的工作。為此，應(yīng)該加大對(duì)區(qū)塊鏈技術(shù)的安全風(fēng)險(xiǎn)研究，構(gòu)建應(yīng)用安全體系，這樣才能使得區(qū)塊鏈技術(shù)更好的為我們服務(wù)。

參考文獻(xiàn)：

[1]沈鑫，裴慶祺，劉雪峰.區(qū)塊鏈技術(shù)綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016，2（11）.

[2]許可嘉.淺談區(qū)塊鏈技術(shù)的應(yīng)用發(fā)展和安全問(wèn)題[J].數(shù)碼世界，2017（6）：244.

[3]程麗辰，劉吉強(qiáng).區(qū)塊鏈技術(shù)及其安全問(wèn)題[J].信息通信技術(shù)，2017（3）：39-45.

[4]董寧，朱軒彤.區(qū)塊鏈技術(shù)演進(jìn)及產(chǎn)業(yè)應(yīng)用展望[J].信息安全研究，2017，3（3）：200-210.

[5]袁勇，王飛躍.區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望[J].自動(dòng)化學(xué)報(bào)，2016，42（4）：481-494.