淺析區(qū)塊鏈平台信息安全及威脅

相(xiàng)對(duì)于中心化(huà)的(de)應用γ☆ π(yòng)，區(qū)塊鏈在信息安全上(shàng)φγ的(de)的(de)優勢非常明(míng)顯→σ，主要(yào)在于以下(xià)三個(gè)方面¶¶ ： 1、數(shù)據完整性

在共識機(jī)制(zhì)的(de)作​₽(zuò)用(yòng)下(xià)，隻有(y<≈®ǒu)當全網大(dà)部分(fēn)節點都(dōu)同時(shπ≤í)認為(wèi)這(zhè)個(gè)記錄正确時(shí)，記錄的(<≥de)真實性才能(néng)得(de)到(dào)全網認可(kě)，§₹ 記錄的(de)數(shù)據才允許被寫入區(qū)塊中，保障了(le)信←β息的(de)數(shù)據完整性。

2、不(bù)可(kě)篡改性

區(qū)塊鏈是(shì)一(yī)種無須中  介參與，亦能(néng)在互不(bù)信任或↑≠≠弱信任的(de)參與者之間(jiān)維系一(yī)套不(b₩£ù)可(kě)篡改的(de)賬本記錄的(de)技(jì)術(shù)•φ ©。每一(yī)個(gè)區(qū)塊都(d≈↑ōu)是(shì)與前續區(qū)塊通(tōng)過密碼"βπ₹學證明(míng)的(de)方式鏈接在一(÷δ☆¥yī)起的(de)，要(yào)修改某個(gè)曆史區(qū)塊中的(de)'↓交易內(nèi)容，就(jiù)必須将該區(qū)塊之前的(de)所有(yǒu↓≥)區(qū)塊的(de)交易記錄及密碼學"λ↔≤證明(míng)進行(xíng)重構，有(yǒu)效實現(xiàn₽→∏)了(le)數(shù)據防篡改。

3、抵抗DDoS攻擊

區(qū)塊鏈應對(duì)DDoS攻擊的(de)方式比中心化(huà)系統要(yσ©₽αào)靈活的(de)多(duō)，由于其點對(duì)點、多(±£λduō)冗餘的(de)特性，不(bù)存在單點失效的(de)問(wèn)題≥©♠≈。即使某個(gè)節點失效，并不(bù)影(yǐng)響其他(tā)節點。

區(qū)塊鏈面臨的(de)安全挑戰

盡量如(rú)此，但(dàn)随著(zhe)互聯網與信息技(jì)術(​"‌γshù)的(de)快(kuài)速發展，區(qū)塊鏈技(jì)術(φ•♥shù)給我們帶來(lái)了(le)新的(de)可(kě)能(né≈→∑ng)的(de)同時(shí)也(yě)提出了(∞™le)新的(de)安全挑戰。 1、協議(yì)安全風(fēng)險

區(qū)塊鏈無論使用(yòng)何種共識機(jī)制(‌γεzhì)，都(dōu)面臨著(zhe)一(yī)定程度的(de≥↑÷↕)協議(yì)攻擊問(wèn)題。當區(qū)塊鏈的(de)底層協議(yì)εφ需要(yào)更新時(shí)，會(huì)出現(xiàn)某些(x£↕$iē)節點無法獲取新版本或無法及時(shí)獲取新版本的(de)我呢÷↔₩(ne)提，導緻不(bù)同節點運行(xíng)的(d♥✘e)協議(yì)版本不(bù)一(yī)緻，進而帶來(lái)硬σ‌↓‍分(fēn)叉與軟分(fēn)叉的(de)問(wèn)題。分(fēn)叉可∑♣™≈(kě)能(néng)會(huì)影(yǐng)響整≈&÷個(gè)區(qū)塊鏈系統的(de)一(yī)緻性，違背β÷λ•區(qū)塊鏈的(de)防篡改性。

2、數(shù)據安全風(fēng)險

目前區(qū)塊鏈上(shàng)傳輸和(hé)存儲的(★↑€₩de)交易數(shù)據都(dōu)是(shì)公開(k↑♦≤✔āi)透明(míng)的(de)。比特币通(tōng)過分(fē≠♠♥n)隔開(kāi)交易地(dì)址和(hé)地(dì)址持有(yǒu)人(ré∞π₩n)真實身(shēn)份的(de)關聯這(zhè)種“僞匿名&↓☆☆‌rdquo;方式對(duì)交易雙方的(de)身Ωδ₹(shēn)份信息進行(xíng)了(le)一(y$♦ī)定的(de)隐私保護。然而随著(zhe)∑↕反匿名身(shēn)份甄别技(jì)術(shù)和(hé)大(∑♦§φdà)數(shù)據技(jì)術(shù)λ≠σ的(de)發展，通(tōng)過數(shù)據整合分(fēn)析仍然可 &'♣(kě)以發現(xiàn)賬戶與交易的(de)關聯性，造成用(yòng)戶隐私÷§↔洩露。另外(wài)，在公有(yǒu)鏈中，所有δ≈(yǒu)交易數(shù)據公開(kāi)透明(mín•♠g)，如(rú)果私人(rén)信息被不(bù)法分(fēn)子(zǐ)獲Ω✔ β取，可(kě)能(néng)會(huì)出現(xià≤'Ω♠n)詐騙。

3、使用(yòng)安全風(fēng)險

區(qū)塊鏈上(shàng)的(de)≠>  信息具有(yǒu)不(bù)可(kě)篡π©改性，這(zhè)是(shì)以私鑰安全為(wèi)前提的(≠± ↓de)。目前普遍采用(yòng)的(de)私鑰存儲方案是(•Ω→©shì)由區(qū)塊鏈系統中每個(gè)用(yòng)戶自(zì)行(xí<‌ng)将私鑰加密後保管在用(yòng)戶設備上(shàng)，但(d÷¥→ àn)是(shì)無法抵抗攻擊者在獲取用(yòn®εg)戶設備後對(duì)其使用(yòng☆♠)的(de)離(lí)線字典攻擊，因此區(qū)塊鏈面臨私鑰被竊取的(de)☆δ€‌風(fēng)險，私鑰一(yī)旦丢失即無法找回γ✔∏♠，用(yòng)戶将無法對(duì)賬戶資産做(zuò)任何操作(zu€♠'ò)，導緻資産被盜。

4、系統安全風(fēng)險

區(qū)塊鏈技(jì)術(shù)中使用(yòng)了(le)各種密碼學技"↔÷(jì)術(shù)，在實現(xiàn)過程中出現(xià↕ n)錯(cuò)誤是(shì)難以避免的(de)。2↑¶&016年(nián)10月(yuè)，國(guó★¶§α)家(jiā)互聯網應急中心發布《開(kāi)源軟件(jiàn)源代σ 碼安全漏洞分(fēn)析報(bào)告-區(qū)塊鏈專題》中↔×↑☆指出，主流區(qū)塊鏈開(kāi)源軟件(j∑‍♥×iàn)檢測出很(hěn)多(duō)高(gāo)危漏洞，可(kě)能(÷‍néng)會(huì)導緻系統運行(xí&∏‍ng)異常、崩潰、也(yě)可(kě)能(nén♠≤↓g)實現(xiàn)越權訪問(wèn)、竊取隐私信息等。☆γ‌✔同時(shí)，智能(néng)合約語言自(zì)身(shēn)與'βπ✔合約設計(jì)都(dōu)可(kě)能(¶εnéng)存在漏洞，如(rú)關于以太坊，<λ©Ω目前已知(zhī)存在交易順序依賴、時(shí)間(jiān)戳依α™" 賴、可(kě)重入攻擊等漏洞，在調用(yòng)合約時(shí)漏洞可(kě)€γ♠能(néng)被利用(yòng)，而智能(néng)合約部署後難以更新的(de₹δφ)特性也(yě)讓漏洞的(de)影(yǐng)響更持久。

伴随區(qū)塊鏈的(de)漫漫發展長(ch>♥δ÷áng)路(lù)，機(jī)遇與危險并存，↕±≤會(huì)出現(xiàn)諸多(duō)問(★β∞wèn)題。例如(rú)，随時(shí)間(jiān)的(de">)增加存儲成本逐步增大(dà)，因此應關注存儲×Ωβ₹的(de)優化(huà)升級；區(qū)塊'φλ&鏈的(de)數(shù)據安全性依賴密碼學來(l☆<"✘ái)實現(xiàn)，但(dàn)也(yě)帶來(lái)加密算(suàn∑∏₹)法較難升級的(de)問(wèn)題。基于區(qū)塊鏈的(de)數(¶λφshù)據安全性使其被廣泛應用(yòng)于各行★‍α(xíng)各業(yè)，但(dàn)安全威脅問(wèn)題日(rì)益‌$  凸顯。建議(yì)結合當前區(qū)塊鏈發展現(xià ×φn)狀，加大(dà)立法監督，規範區(qū)塊鏈的(de)應用(♥↓♦yòng)；引入先進技(jì)術(shù)積極研發區(qū)塊鏈平α§↓台的(de)監測機(jī)制(zhì)，以實現(xiàn)±↓₽科(kē)學有(yǒu)力的(de)監管；進一(yī)步加大( β↓dà)投入，積極研發區(qū)塊鏈的(de)底層技(jì)術(shù)，實現‌₽'(xiàn)技(jì)術(shù)的(de)自(zì)主創新。