信通院区块链安全白皮书技术应用篇20182018970页

区块链安全白皮书——技术应用篇（2018年）中国信息通信研究院中国通信标准化协会2018年9月版权声明本白皮书版权属于中国信息通信研究院和中国通信标准化协会，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：中国信息通信研究院、中国通信标准化协会”。违反上述声明者，本院将追究其相关法律责任。前言区块链已成为近年来技术创新的热点名词和市场追捧的热门对象。从最初应用于数字货币到如今在多领域的广泛应用，区块链作为一种全新的信息存储、传播和管理机制，实现了数据和价值的可靠转移。世界主要发达国家也纷纷加快该领域的技术研发、战略部署和推广应用。作为网络时代的新一轮变革力量，在与现有技术结合催生新业态新模式的同时，区块链技术发展和深入应用仍需要漫长的整合过程，其核心机制、应用场景中存在的潜在风险也给技术应用和现有网络安全监管政策带来新的挑战。因此，理性看待区块链的技术优势，强化应对潜在风险已成为保障区块链技术的健康、有序发展的当务之急。中国信息通信研究院与中国通信标准化协会牵头，联合以下单位共同研究编制《区块链安全白皮书—技术应用篇（2018版）》：中国移动通信集团公司信息安全管理与运行中心、中国移动通信集团公司研究院、国家计算机网络应急技术处理协调中心、科大国盾量子技术股份有限公司、中兴通讯股份有限公司、广州大学网络空间先进技术研究院、上海观安信息技术股份有限公司、平安科技有限公司、三六零科技有限公司、深圳市腾讯计算机系统有限公司安全管理部、北京京东尚科信息技术有限公司。本白皮书从网络安全的视角，客观审视区块链技术发展和应用情况，分析探讨区块链技术应用分层架构、安全风险和应对框架，给出关于促进区块链技术安全应用的若干建议，希望与业界分享，切实提升区块链技术发展应用安全性。目录一、从安全视角看区块链技术发展和应用态势.................1（一）全球情况总观......................................11、区块链技术生态基本成型，网络安全应用开始落地....12、区块链安全问题逐渐浮出水面，引发各界安全思考....53、持续推进区块链安全标准化，助力技术安全发展.....8（二）我国发展应用.....................................111、技术生态结构与国外基本一致，安全服务前景可期...112、政策聚焦技术发展和应用落地，安全指导初见雏形...133、加快布局区块链安全标准工作，强化技术风险防范...15（三）小结............................................16二、区块链技术应用分层架构及安全风险分析................16（一）区块链技术典型应用架构逐渐趋于共识...............161、存储层[S]：存储上层应用所需及产生的数据文件....172、协议层[P]：构建分布式、去信任的共识网络........183、扩展层[E]：作为区块链应用方向延伸的支撑平台....194、应用层[A]：技术在各行业领域应用落地的直接体现..19（二）区块链技术典型应用架构对应的安全风险.............201、存储层[S]：来源于环境的安全威胁................202、协议层[P]：核心机制的安全缺陷..................213、扩展层[E]：成熟度不高的代码实现漏洞............224、应用层[A]：各类传统安全隐患集中显现............23（三）区块链技术给安全监管带来的挑战...................25三、风险应对框架........................................27四、促进区块链技术安全应用的建议........................32（一）强化应用领域引导，鼓励区块链自主可控开发.........32（二）创新监管手段，强化区块链平台和应用监管力度.......33（三）强化技术风险研究，夯实安全风险应对技术基础.......34（四）加强区块链网络犯罪风险防范，促进国际合作治理.....34附录1针对区块链技术核心机制的典型攻击.................36（一）以共识机制为目标的针对性攻击.....................36（二）地址不具名机制对攻击者身份追溯的挑战.............37（三）分布式存储机制对攻击威胁面的扩大.................37（四）针对密码学机制固有安全风险的各类攻击.............38附录2国外区块链网络安全相关实践.......................40附录3我国企业区块链网络安全相关实践...................43（一）中国移动研究院：基于区块链管理PKI数字证书.......43（二）360：EOSIO-BP节点和钱包APP安全审核方案.........45（三）腾讯：区块链安全应用及应对实践...................49（四）平安科技：基于国产密码的自主可控联盟链实践.......52（五）观安：区块链移动用户数据资产安全管理实践.........53（六）京东：区块链防伪追溯平台.........................56附录4区块链安全监管技术平台...........................58中国信息通信研究院区块链安全白皮书—技术应用篇（2018年）1一、从安全视角看区块链技术发展和应用态势（一）全球情况总观1、区块链技术生态基本成型，网络安全应用开始落地区块链作为一种全新的信息存储、传播和管理机制，通过让用户共同参与数据的计算和存储，并互相验证数据的真实性，以“去中心”和“去信任”的方式实现数据和价值的可靠转移。近年来，区块链技术受到各界的广泛关注，搜索指数1持续上升，成为近年来炙手可热的新兴互联网技术之一，如图1.1所示。数据来源：中国信通院整理自2010-2018年Google全球搜索趋势图1.12010—2018年Google全球搜索趋势四类热点技术搜索指数对比自2008年中本聪首次提出区块链概念以来，区块链技术架构经过十余年的发展已趋于成熟，因此，更多企业把发展重心放在探索区块链在各行业领域的应用模式上。据Gartner预测，到2025年，区块链技术将在以制造业为首的多个行业制造高达1760亿美元的商业1搜索指数：谷歌趋势（GoogleTrends）在给定时间段内的关键词搜索量统计，以百分制衡量关键词搜索热度区块链：100大数据：20云计算：9人工智能：17020406080100区块链大数据云计算人工智能2017年12月搜索热度区块链安全白皮书-技术应用篇（2018年）中国信息通信研究院2价值2。目前，区块链技术应用以金融领域为典型代表，向医疗健康、物流、工业互联网等经济社会诸多领域逐渐扩展延伸，得到了普遍的关注和全球性的探索，如图1.2所示。图1.2全球区块链技术发展应用情况根据信通院对1121项全球范围内较活跃区块链项目的统计，从项目数量上看，亚洲地区以593项居首，其中，新加坡、日本、中国香港等国家和地区依托其传统金融优势，发展了一批成熟的区块链金融应用；北美地区的区块链项目以美国和加拿大为主，已有大量成熟高的项目和技术应用落地，其中不乏IBM、Microsoft、Amazon等科技巨头；欧洲地区以英国和瑞士为首，在发展区块链金融应用的同时，着重与传统行业结合，尤其是在爱沙尼亚、马耳他等国，在国家层面大力支持和主导，给区块链提供了大量的发展应用空间；非洲地区由于监管政策宽松、挖矿成本低等原因，虽然在区块链应用方面较为单一，基本集中在数字货币、交易所上，但也形成了一定的应用规模；2数据来源：Gartner‘Forecast:BlockchainBusinessValue,Worldwide,2017-2030’中国信息通信研究院区块链安全白皮书—技术应用篇（2018年）3大洋洲地区的区块链应用大多集中在澳大利亚和新西兰两国，但受限于当地严格的金融监管政策和高额的挖矿成本，发展规模和发展速度有限；南美洲地区的现有项目则主要活跃在加密货币交易领域。从现有区块链相关项目、产品和服务内容上看，目前全球区块链技术的应用已初步形成了包含硬件和基础设施、底层技术、上层应用和安全服务在内的技术生态格局，如图1.3所示。图1.3区块链技术生态格局其中，硬件和基础设施主要为区块链运行提供矿机3等算力和硬件支持，包括矿机生产、矿池服务、矿机芯片生产，以及为区块链提供云基础设施等。底层技术一方面为各类区块链应用提供底层架构和开发平台等，起到类基础操作系统的作用，包括公有链、联盟链、私有链等；另一方面针对上层应用中的共通需求，提供分布式数据交易等区块链相关技术，旨在降低区块链应用开发门槛，加快应用落地进程。上层应用服务最终用户，形成不同行业和场景的应用解决方案。安全服务则为区块链提供代码审计、安全监测、安全管理等安全性增3目前，专业矿机多使用ASIC芯片，由矿机厂商设计架构，传统芯片厂商研发和代工生产区块链安全白皮书-技术应用篇（2018年）中国信息通信研究院4强服务。众所周知，区块链分布式、点对点的通信具有易连接、大协作的特点，基于哈希加密的匿名性能够很好保护用户隐私和证明唯一性，依托公私钥的权限控制赋予数字资产丰富的管理权限。这些技术优势在为其发展应用提供大量创新空间的同时，也使得区块链逐渐成为解决网络和数据安全存储、传播和管理问题的有效手段，在攻击发现和防御、安全认证、安全域名、信任基础设施建立、安全通信和数据安全存储等方面得到了积极的探索，如图1.4所示。图1.4区块链在网络安全领域的典型应用例如，在国家层面，美国土安全部早在2015年已开展与Factom4等区块链企业的合作，支持区块链在身份管理、国土安全分析等领域的应用项目研发；俄罗斯联邦国防部于2018年在其军事技术加速器（theERA）技术园区建设了区块链研究实验室，研究将区块链技术应用于识别网络攻击和保护关键基础设施等。在产业层面，LaunchKey5、Blockstack6、Guardtime7等企业均在各自领域推出了“区4Factom，公证通，成立于2015年，德克萨斯州奥斯汀区块链公司，产品包括区块链数据保护工具、企业身份解决方案和分布式数据存储产品等5Launchkey，去中心化认证平台6Blockstack，总部位于旧金山，开发基于区块链技术的DNS7Guardtime，爱沙尼亚安全公司，开发基于区块链的安全解决方案中国信息通信研究院区块链安全白皮书—技术应用篇（2018年）5块链+网络安全”产品和解决方案。目前国际上区块链在网络安全领域的应用探索详见附录2。2、区块链安全问题逐渐浮出水面，引发各界安全思考随着区块链技术在各行业领域的不断应用，一方面，其共识机制、私钥管理、智能合约等存在的技术局限性和面临的安全问题逐渐显现，区块链平台应用等安全事件层出不穷。例如，2018年3月，Binance交易所遭到网络攻击，造成约4.2亿元的损失；2018年5月，EOS智能合约曝出严重安全漏洞，攻击者可利用漏洞控制和接管其上运行的所有节点等。据统计，2011年到2018年4月，全球范围内因区块链安全事件造成的损失高达28.64亿美元（约合人民币196.06亿元）8。另一方面，区块链去中心、自治化的特点给现有网络和数据安全监管手段带来了新的挑战（如GDPR9中关于数据主体、数据删除权的要求）。各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟，区块链安全问题也引发了政产学研等各界的广泛重视。全球主要国家和地区纷纷聚焦区块链安全，从政策引导、加强监管、技术应对等多方面开展应对，具体表现在：英国：推动政产学研各界合作，提出“技术+法律”的区块链监管新模式英国政府和央行一直积极响应区块链技术，希望凭借占领区块链技术发展先机，重夺其国际金融