柳葉

摘 要：區(qū)塊鏈技術(shù)是近些年來興起的熱門技術(shù)，是一種典型的分布式計算架構(gòu)，其本身具有去中心化、冗余度高、時序數(shù)據(jù)且不可篡改與偽造等特點。區(qū)塊鏈技術(shù)在金融系統(tǒng)、政府部門、相關(guān)科技企業(yè)中迅速應(yīng)用并普及開來。隨著其廣泛的應(yīng)用于各個部門，區(qū)塊鏈技術(shù)的安全性以及風(fēng)險問題也越來越受到人們的重視。文章首先對區(qū)塊鏈技術(shù)的發(fā)展進行概述；其次結(jié)合具體應(yīng)用場景，對區(qū)塊鏈技術(shù)的應(yīng)用現(xiàn)狀進行介紹；最后對現(xiàn)如今出現(xiàn)的區(qū)塊鏈的典型安全事件進行分析，對其安全風(fēng)險問題進行研究，并提出切實可行的改進意見。

關(guān)鍵詞：區(qū)塊鏈技術(shù)；去中心化；分布式；安全風(fēng)險

中圖分類號：F831.2 文獻標(biāo)志碼：A 文章編號：2095-2945（2018）30-0023-02

Abstract： Block chain technology is a popular technology in recent years， is a typical distributed computing architecture， with its own decentralization， high redundancy， timing data and impossibility of being tampered with and forged. Blockchain technology is rapidly applied and popularized in the financial system， government departments， and related science and technology enterprises. With its wide application in various departments， the safety and risk of blockchain technology has been paid more and more attention. Firstly， the paper summarizes the development of blockchain technology； secondly， it introduces the application status of blockchain technology Based on the specific application scene； finally， it analyzes the typical security incidents of blockchain technology， studies the safety risk problems， and puts forward the feasible improvement suggestion.

Keywords： blockchain technology； decentralization； distributed； security risk

引言

區(qū)塊鏈技術(shù)的發(fā)展要歸功于比特幣為代表的數(shù)字貨幣體系。區(qū)塊鏈技術(shù)是這些數(shù)字貨幣體系的核心和支撐技術(shù)，其最典型的幾個特點就是去中心化、去信任化、分布式存儲、數(shù)據(jù)加密等，各個節(jié)點之間無需建立信任關(guān)系即可進行相互之間的對話交易、協(xié)同工作等操作[1]。區(qū)塊鏈技術(shù)的應(yīng)用和發(fā)展對于傳統(tǒng)技術(shù)領(lǐng)域中心節(jié)點的高成本、低工作效率的方式帶來了沖擊和解決方案。區(qū)塊鏈技術(shù)或許將成為人類計算機發(fā)展史上又一次技術(shù)的革命，也是信用發(fā)展史上一次新的里程碑。區(qū)塊鏈技術(shù)的發(fā)展和應(yīng)用仍然處于起步階段，相關(guān)的安全監(jiān)管、風(fēng)險問題并沒有得到很好地重視和解決，頻繁出現(xiàn)的安全事件也在給人們敲醒警鐘。

1 區(qū)塊鏈技術(shù)概述

比特幣技術(shù)最早是由一個化名為“中本聰”的人提出來的，比特幣本身不依賴于任何的貨幣發(fā)行機構(gòu)，它依靠特定的算法控制使得可以通過任何一臺接入互聯(lián)網(wǎng)的電腦通過計算獲取，這種去中心化的支付手段，通過密碼學(xué)等原理保證貨幣流通的公開、透明[2]。

1.1 區(qū)塊鏈的本質(zhì)

區(qū)塊鏈的本質(zhì)其實就是一個分布式的賬本體系，在整個體系內(nèi)每一個節(jié)點都可以對賬本進行修改和核查。舉一個最簡單的例子來說，比如小鄧借了小于1000元錢，這時小鄧對著所有人大喊：“我是小鄧，我借給了小于1000元錢！”，而小于也對人群大喊：“我是小于，我向小鄧借了1000元錢！”。由于每個人都聽到了小鄧和小于的吶喊，所以大家都會在共同的賬本上看到這筆交易關(guān)系，就算有一天倆人發(fā)生任何糾紛都可以通過公共賬本來核實。對于這個公共賬本任何人都可對這個賬本進行核查，但不存在單一的用戶可以對它控制。在區(qū)塊鏈系統(tǒng)中的參與者共同維持賬本的更新，它只能按照嚴(yán)格的規(guī)則和共識進行修改。

1.2 區(qū)塊鏈技術(shù)的特點

用專業(yè)化的術(shù)語來解釋區(qū)塊鏈可以把其比作一個狀態(tài)機，每一次區(qū)塊的生成或是交易信息的變化都是一次狀態(tài)的變更[3]。區(qū)塊鏈技術(shù)主要有以下幾個顯著的特點：（1）去中心化。任何區(qū)塊節(jié)點的地位都是平等的，沒有中心節(jié)點的概念，分布式的存儲。（2）開放性。區(qū)塊鏈的加入沒有任何限制，代碼公開、程序公開、交易數(shù)據(jù)公開。（3）去信任機制。彼此節(jié)點之間的通信不需要建立信任，唯一值得信任的就是對于接入互聯(lián)網(wǎng)機器的信任。（4）可靠的數(shù)據(jù)庫。數(shù)據(jù)的可靠性是區(qū)塊鏈技術(shù)應(yīng)用的一個很大特征，整個數(shù)據(jù)沒有所謂的數(shù)據(jù)管理員，數(shù)據(jù)庫不可更改，永遠可訪問。（5）匿名性，隱私保護。區(qū)塊鏈技術(shù)有著匿名的特點，任何接入互聯(lián)網(wǎng)的電腦只要安裝軟件后就可以進行比特幣的“挖掘”，而且通過特殊的Hash算法還有隱私保護的特點。這種帶有時間戳的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，能夠保證數(shù)據(jù)的可追溯性。

2 區(qū)塊鏈技術(shù)應(yīng)用平臺現(xiàn)狀

現(xiàn)如今基于區(qū)塊鏈技術(shù)應(yīng)用的平臺全球應(yīng)該有許多家，但是最著名的幾家當(dāng)屬比特幣、以太坊、超級賬本三家平臺。

2.1 比特幣

比特幣可以說是最早應(yīng)用區(qū)塊鏈技術(shù)的平臺，比特幣是基于數(shù)字貨幣的系統(tǒng)。比特幣的支付和使用都不要通過第三方或是任何中介機構(gòu)。比特幣設(shè)定的初衷是為了建立一個沒有信任機制的點對點交易系統(tǒng)。比特幣的獲取方式基于“挖礦”算法，交易方式采用全局記賬，數(shù)字貨幣的有效性可以追溯驗證[3]。比特幣從發(fā)行的初期不受人們重視，到現(xiàn)在平穩(wěn)的運行，說明區(qū)塊鏈技術(shù)的可行性，對此許多國家都開始對比特幣合法性的認(rèn)可。

2.2 以太坊

說到區(qū)塊鏈技術(shù)在以太坊平臺的應(yīng)用就一定要提到智能合約的概念，智能合約是指的在用戶交易過程中，交易會發(fā)送到用戶對應(yīng)賬戶的程序中，用戶也可以通過在區(qū)塊鏈中部署代碼來制定合約。以太坊平臺致力于構(gòu)建一個通用的數(shù)字貨幣平臺，它基于一套圖靈腳本語言構(gòu)成。智能合約在以太坊平臺中就是一個代理，它本身也有一個地址，當(dāng)用戶向該地址發(fā)送一筆交易時，智能合約就會被激活。以太坊借鑒了比特幣平臺的特點，在此基礎(chǔ)上定義了賬戶的概念，在以太坊的區(qū)塊鏈之間進行交易都是賬戶的轉(zhuǎn)移。

2.3 超級賬本

超級賬本是Linux基金會研發(fā)和推廣的區(qū)塊鏈項目，也是致力于推廣和發(fā)展區(qū)塊鏈技術(shù)與商用聯(lián)合的典范。超級賬本推行伊始，就受到了許多商業(yè)大咖的關(guān)注，并成為其會員。超級賬本基于區(qū)塊鏈、智能合約等技術(shù)，力圖發(fā)展一個分布式賬本交易應(yīng)用平臺，建立商業(yè)交易中的公開透明機制和信任機制。每一個超級賬本的用戶都可以輕松地構(gòu)建區(qū)塊網(wǎng)絡(luò)，并且能夠?qū)崟r的查詢賬本，這也為審計提供了便捷。

3 區(qū)塊鏈安全風(fēng)險研究

信息安全是互聯(lián)網(wǎng)發(fā)展以來最值得關(guān)注的問題之一，特別是區(qū)塊鏈技術(shù)這種去中心化的架構(gòu)模式，信息安全以及數(shù)據(jù)問題是最核心的問題。對于數(shù)據(jù)安全來說，要求要做到數(shù)據(jù)的不可篡改、隱私保護、身份認(rèn)證等，區(qū)塊鏈技術(shù)的數(shù)據(jù)安全算法是基于密碼學(xué)基礎(chǔ)。區(qū)塊鏈?zhǔn)褂肏ASH算法以及非對稱的加密及簽名技術(shù)，通常使用橢圓曲線算法生成密鑰對[4]。但是這些密碼學(xué)的原理和算法都是前幾年的學(xué)術(shù)成果，現(xiàn)有的區(qū)塊鏈的加密技術(shù)的應(yīng)用和擴展仍然需要多方的驗證，而仍然要不斷更新自己的加密算法。比如多方保密計算技術(shù)、群簽名、全動態(tài)密碼學(xué)等最新的前沿的密碼學(xué)技術(shù)以保證區(qū)塊鏈的信息安全[5]。在對數(shù)據(jù)的訪問上，成員身份的認(rèn)證是最重要的一步。在身份認(rèn)證的時候，數(shù)字證書的驗證是保證訪問安全的前提。在對區(qū)塊鏈的安全風(fēng)險研究中，應(yīng)該通過以下幾個方面進行。

3.1 區(qū)塊鏈底層機制存在的安全風(fēng)險

區(qū)塊鏈技術(shù)在邏輯層面是基于去中心化、去信任化的機制，但是其底層的技術(shù)中包含的數(shù)據(jù)存儲、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)燃夹g(shù)的可靠性仍然值得去改進和優(yōu)化。前不久著名的比特幣交易平臺Mt.Gox出現(xiàn)的事件，正是因為區(qū)塊鏈技術(shù)底層機制中存在漏洞導(dǎo)致的。Mt.Gox平臺的攻擊者通過底層漏洞反復(fù)提現(xiàn)，最終導(dǎo)致平臺的比特幣價格持續(xù)走低，最后平臺走向破產(chǎn)。通過這次事件我們也能看出，區(qū)塊鏈技術(shù)的底層機制仍然存在很多的安全風(fēng)險，因為其涉及的環(huán)節(jié)很多，對于每一環(huán)節(jié)中所應(yīng)用到的技術(shù)都應(yīng)該嚴(yán)格把控和風(fēng)險防范才能做到真正的安全。

3.2 區(qū)塊鏈應(yīng)用存在的安全風(fēng)險

所謂區(qū)塊鏈應(yīng)用存在的安全風(fēng)險指的是基于區(qū)塊鏈技術(shù)之上的應(yīng)用本身的安全性，即使區(qū)塊鏈技術(shù)本身是安全可靠的，但是也不能保證在此技術(shù)之上的應(yīng)用是安全的。比如最近發(fā)生的The Dao應(yīng)用被攻擊事件，該應(yīng)用就是基于著名的區(qū)塊鏈技術(shù)平臺以太坊之上的。現(xiàn)如今，區(qū)塊鏈技術(shù)的應(yīng)用領(lǐng)域多與金融、資產(chǎn)管理、貨幣支付等重要領(lǐng)域相關(guān)，這些應(yīng)用一旦出現(xiàn)任何問題，都會損失慘重。

3.3 區(qū)塊鏈應(yīng)用中管理存在的安全風(fēng)險

區(qū)塊鏈技術(shù)在推行的時候就是以去中心化、去信任化、完善的協(xié)議以及高效合理的架構(gòu)聞名。但是一系列的用戶私鑰被盜導(dǎo)致比特幣丟失等事件的發(fā)生，映射出“去信任”到底真的能不能值得信任。在整個區(qū)塊鏈技術(shù)的核心環(huán)節(jié)中，用戶私鑰是十分重要的，防止用戶私鑰的泄露是確保整個區(qū)塊鏈“去信任化”的前提。一系列的私鑰丟失引發(fā)的安全事件已經(jīng)給人們敲響了警鐘，在相應(yīng)的安全風(fēng)險防范上應(yīng)該做到對私鑰流轉(zhuǎn)運行的各個環(huán)節(jié)進行充分的測試。測試的范圍不僅局限于軟件本身，更應(yīng)該對包括服務(wù)器、網(wǎng)絡(luò)等多個環(huán)節(jié)的測試。

4 結(jié)束語

區(qū)塊鏈技術(shù)被認(rèn)為是計算機發(fā)展史上又一次的產(chǎn)業(yè)革命，它將顛覆原有的商業(yè)模式和信任機制。區(qū)塊鏈在一些國家已經(jīng)有效的應(yīng)用于政府、金融機構(gòu)等，雖然區(qū)塊鏈技術(shù)的應(yīng)用已經(jīng)有了一些成果，但是對于區(qū)塊鏈技術(shù)本身以及其應(yīng)用層面的安全問題仍然是不容樂觀。構(gòu)建安全、可靠地區(qū)塊鏈技術(shù)平臺及應(yīng)用平臺是十分重要的，這對于區(qū)塊鏈技術(shù)的發(fā)展和進步是最基本的工作。為此，應(yīng)該加大對區(qū)塊鏈技術(shù)的安全風(fēng)險研究，構(gòu)建應(yīng)用安全體系，這樣才能使得區(qū)塊鏈技術(shù)更好的為我們服務(wù)。

參考文獻：

[1]沈鑫，裴慶祺，劉雪峰.區(qū)塊鏈技術(shù)綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報，2016，2（11）.

[2]許可嘉.淺談區(qū)塊鏈技術(shù)的應(yīng)用發(fā)展和安全問題[J].數(shù)碼世界，2017（6）：244.

[3]程麗辰，劉吉強.區(qū)塊鏈技術(shù)及其安全問題[J].信息通信技術(shù)，2017（3）：39-45.

[4]董寧，朱軒彤.區(qū)塊鏈技術(shù)演進及產(chǎn)業(yè)應(yīng)用展望[J].信息安全研究，2017，3（3）：200-210.

[5]袁勇，王飛躍.區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望[J].自動化學(xué)報，2016，42（4）：481-494.