區塊鏈安全白皮書——技術應用篇.pdf

區 塊 鏈 安 全 白 皮 書 技術應用 篇 （2018 年） 中國信息通信研究院 中國通信標準化協會 2018 年9 月 版 權 聲 明 本白皮書 版 權 屬于 中 國 信 息 通 信研 究 院 和 中 國 通信 標 準化協會 ， 并 受法 律 保 護 。 轉 載、 摘 編 或 利 用 其它 方 式 使 用 本 白 皮 書 文 字或 者 觀 點 的 ， 應 注明 “ 來源 中國 信 息 通 信研究院 、 中 國通 信 標 準 化 協 會 ” 。 違 反 上 述 聲明 者 ， 本 院 將 追 究 其 相 關法 律 責 任 。 前 言 區塊鏈 已 成 為 近 年 來 技 術 創 新 的 熱 點 名 詞 和 市 場 追 捧 的 熱門對 象 。 從最初 應用 于數字貨幣 到如 今 在 多領 域的廣 泛 應用，區塊 鏈 作 為 一 種 全 新 的 信息 存 儲 、 傳 播 和 管 理 機 制 ， 實 現了數 據和價值 的可靠 轉移 。 世 界主要 發達國家 也紛紛 加 快 該領域 的技術研 發、 戰 略部署和 推廣應 用 。 作為 網絡時 代 的 新一輪 變革力量 ， 在 與現有 技術 結合催 生新業態 新模式 的 同時 ， 區塊鏈 技 術 發 展 和 深 入 應 用 仍 需 要 漫 長 的 整 合 過 程 ， 其 核心機 制、 應用 場景中 存在的潛 在風險 也給技術 應用和 現 有 網絡安 全監管政 策 帶來 新的挑戰 。 因此 ， 理 性看 待 區塊 鏈 的 技術優 勢， 強化 應對潛 在風險已 成為保障 區塊鏈 技術的健 康 、有序 發展 的當 務之急 。 中 國信息 通信研究 院 與 中 國通信標 準化協 會 牽頭 ， 聯合 以 下 單 位 共 同 研 究 編 制 區 塊 鏈 安 全 白 皮 書 技 術 應 用 篇 （2018 版） 中 國移動 通信集團 公司信 息安全管 理 與運 行 中心 、 中 國移動通 信 集團 公司 研究 院 、 國 家計算機 網絡應 急 技 術處理 協調中心 、 科大 國盾量子 技術股 份有限公 司、 中 興 通 訊股份 有限公司 、 廣州 大學網絡 空間先 進技術研 究院、 上 海 觀安信 息技術股 份有限 公司、 平 安科技 有限公司 、 三六 零 科 技有限 公司 、 深 圳市騰 訊計算機 系統有 限公司 安 全管理 部 、 北 京京東 尚科信息 技術有 限公司 。 本白 皮書從 網絡 安全的 視 角 ， 客觀 審視區塊 鏈技術 發展和應 用情況 ， 分析探 討 區塊 鏈 技 術應用 分層架構 、 安全 風險和應 對框架 ， 給出關 于促進 區 塊 鏈技術 安全應用 的若干 建議， 希 望 與業 界分享， 切實提 升 區 塊鏈技 術發展應 用安全 性。 目 錄 一、從安 全視角 看 區塊鏈技 術發展 和 應用態勢 . 1 （一）全 球情況 總 觀 1 1 、區塊鏈技 術 生態 基本成型 ，網絡 安 全應用開 始落地 1 2 、區塊鏈安 全問題 逐漸浮出 水面， 引 發各界安 全思考 5 3 、 持續推進區 塊 鏈安全標 準化， 助 力技術安 全發展 . 8 （二）我 國發展 應 用. 11 1 、技術生態 結構與 國外基本 一致， 安 全服務前 景可期 . 11 2 、政策聚焦 技術發 展和應用 落地， 安 全指導初 見雛形 . 13 3 、加快布局 區塊鏈 安全標準 工作， 強 化技術風 險防范 . 15 （三）小 結 16 二、區塊 鏈技術 應 用分層架 構及安 全 風險分析 16 （一）區 塊鏈技 術 典型應用 架構逐 漸 趨于共識 . 16 1 、存儲層[S]存 儲上層應 用所需 及 產生的數 據文件 17 2 、協議層[P]構 建分布式 、去信 任 的共識網 絡 18 3 、擴展層[E]作 為區塊鏈 應用方 向 延伸的支 撐平臺 19 4 、應用層[A]技 術在各行 業領域 應 用落地的 直接體 現 19 （二）區 塊鏈技 術 典型應用 架構對 應 的安全風 險 . 20 1 、存儲層[S]來 源于環境 的安全 威 脅 20 2 、協議層[P]核 心機制的 安全缺 陷 21 3 、擴展層[E]成 熟度不高 的代碼 實 現漏洞 22 4 、應用層[A]各 類傳統安 全隱患 集 中顯現 23 （三）區 塊鏈技 術 給安全監 管帶來 的 挑戰 . 25 三、風險 應對框 架 27 四、促進 區塊鏈 技 術安全應 用的建 議 32 （一）強 化應用 領 域引導， 鼓勵區 塊 鏈自主可 控開發 . 32 （二）創 新監管 手 段，強化 區塊鏈 平 臺和應用 監管力 度 . 33 （三）強 化技術 風 險研究， 夯實安 全 風險應對 技術基 礎 . 34 （四）加 強區塊 鏈 網絡犯罪 風險防 范 ，促進國 際合作 治 理 . 34 附錄 1 針對區塊鏈 技術核心 機制的 典 型攻擊 . 36 （一）以 共識機 制 為目標的 針對性 攻 擊 . 36 （二）地 址不具 名 機制對攻 擊者身 份 追溯的挑 戰 . 37 （三）分 布式存 儲 機制對攻 擊威脅 面 的擴大 . 37 （四）針 對密碼 學 機制固有 安全風 險 的各類攻 擊 . 38 附錄 2 國外區塊鏈 網絡安全 相關實 踐 . 40 附錄 3 我國企業區 塊鏈網絡 安全相 關 實踐 . 43 （一）中 國移動 研 究院基 于區塊 鏈 管理 PKI 數字證 書 . 43 （二）360EOSIO-BP 節點和錢 包APP 安全審核 方案 . 45 （三）騰 訊區 塊 鏈安全 應 用及應 對 實踐 . 49 （四）平 安科技 基于國產 密碼的 自 主可控聯 盟鏈實 踐 . 52 （五）觀 安區 塊 鏈移動用 戶數據 資 產安全管 理實踐 . 53 （六）京 東區 塊 鏈防偽追 溯平臺 . 56 附錄 4 區塊鏈安全 監管技術 平臺 . 58 中國信息通信研究院 區塊鏈安全白皮書技術應用篇（2018 年） 1 一、 從安 全視角看 區塊鏈 技術發展 和應用 態勢 （一）全球 情 況總 觀 1、區塊鏈 技 術 生態 基 本 成 型 ， 網絡 安 全 應 用 開 始落 地 區塊鏈作 為一種 全 新的 信息 存儲、 傳 播和管理 機制， 通 過讓用戶 共同參與 數據的 計 算和存儲 ， 并互 相驗 證數據的 真實性 ， 以 “去中心 ” 和 “去信任 ” 的方 式實現數 據和價 值 的可靠轉 移 。 近年 來， 區塊鏈 技 術受到各 界的廣 泛 關注， 搜 索指數 1 持續 上升， 成 為 近年 來炙 手可熱的 新興 互聯 網技術 之 一 ，如圖1.1 所示 。 數據來 源 中國 信通 院整 理 自 2010-2018 年Google 全球搜 索趨 勢 圖 1.1 2010 2018 年Google 全球 搜索趨 勢四 類熱點 技術 搜索 指數對比 自 2008 年中本 聰首 次提出區 塊鏈概 念 以來， 區 塊鏈技 術 架構 經 過十余年 的發展 已 趨于成熟 ， 因此， 更多 企業把 發展重 心 放在 探索 區 塊鏈 在各 行業領 域 的 應用模 式 上 。 據 Gartner 預測， 到 2025 年，區 塊鏈技術 將在以 制 造 業為首 的多個 行 業制造高 達 1760 億美元的商 業1搜索指數谷歌趨勢（Google Trends）在給定時間段內的關鍵詞搜索量統計，以百分制衡量關鍵詞搜索 熱度 區塊鏈100 大數據20 云計算9 人工智能17 0 20 40 60 80 100 區塊鏈 大數據 云計算 人工智能 2017 年12 月 搜索熱 度 區塊鏈安全白皮書-技術應用篇（2018 年） 中國信息通信研究院 2 價值 2 。 目前， 區塊鏈 技術應用 以金融 領 域為典型 代表， 向 醫療健康 、 物流、 工業 互聯網 等經濟社 會諸多 領 域 逐漸擴 展延伸 ， 得到了普 遍的 關注和全 球性的 探 索， 如圖1.2 所示 。 圖 1.2 全 球區塊 鏈技術 發展 應用情 況 根據信通 院對 1121 項全球范 圍內 較 活 躍區塊鏈 項目 的 統 計， 從 項目數量 上看， 亞 洲地區 以593 項居 首， 其中， 新加坡 、 日本、 中 國 香港等國 家和地 區 依托其傳 統金融 優 勢， 發展 了一批 成熟 的區塊鏈 金 融應用； 北 美地區 的 區塊鏈 項目 以 美 國和加拿 大為主， 已 有大量 成熟 高的 項目 和技術 應 用落地， 其 中不 乏 IBM 、Microsoft 、Amazon 等科 技巨頭； 歐 洲地區 以 英國和瑞 士為首， 在 發展區塊 鏈金融 應 用的同時 ， 著重 與傳 統行業 結 合， 尤其 是在愛 沙 尼亞、 馬 耳他等 國 ， 在國家 層面 大力支持 和主導， 給區塊鏈 提供了 大 量的發展 應用空 間 ； 非洲地區 由 于監管政 策寬松、 挖礦成本 低等原 因 ， 雖然在區 塊鏈應 用方面較 為單 一 ，基本 集中在 數字 貨幣、 交易所 上， 但也形 成了一 定的 應用規 模；2數據來源Gartner ‘Forecast Blockchain Business Value, Worldwide, 2017-2030 中文无码小说