斯雪明教授:如何应对高发的区块链安全问题?

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 解放军信息工程大学斯雪明教授受邀作了题为《区块链与系统安全》报告。报告总共分成三部分:区块链的安全挑战、系统安全性分析、安全性威胁应对方法。

5


在近日上海召开的区块链应用(DApp)研讨会上,中国科学数据处理(SDP)联盟执行委员会主任、上海市数据科学重点实验室副主任、解放军信息工程大学斯雪明教授受邀作了题为《区块链与系统安全》报告。报告总共分成三部分:区块链的安全挑战、系统安全性分析、安全性威胁应对方法。

他指出,目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。例如,据雷锋网了解,2016年6月17日,黑客攻击了众筹超过1.5亿美元的分布式自治组织 THE DAO,导致项目失败。2016年8月2日因为多重签名漏洞,香港比特币交易所bitfines大约价值7000万美元的比特币被盗。“交易所的安全性尚且不能保障,个人私钥的安全性也存在较高风险。”

斯雪明教授具体介绍了区块链五大安全性分析方法,分别是综合安全性分析、算法安全性分析、使用安全性分析、实现安全性分析以及协议安全性分析。并针对各安全问题,提出了相应的应对方法。

以下是演讲原文:

区块链的安全挑战

目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。

信心系统安全有三要素,分别是保密性、完整性、可用性,区块链系统也必须有三种属性。

从保密性来说,以公钥的变型作为交易地址,为用户提供了保密性;零知识证明、环签名等为交易提供了保密性,比如Zcash和门罗币;同态加密对数据提供了保密性;属性基家解密,实现对系统的保密性、分权处理。总的来说,区块链系统大量应用了密码学前沿技术。

第二,从可用性来说,每个副本节点保存相同的数据,保证了数据的可用性,多方共识机制保证了交易信息的可用性。

第三,从完整性来说,签名验证算法保证了交易的完整性,链式结构保证了数据的完整性,高度同构冗余结构,保证了系统的完整性。

系统安全性分析

分析区块链安全性,需要从综合安全性、算法安全性、使用安全性、实现安全性以及协议安全性五方面进行分析。

首先是算法安全性。目前密码货币的算法是相对安全的。但是随着数学、密码学和计算基数的发展会变得越来越脆弱,况且区块链中的密码算法在使用过程中也存在问题。另外,量子计算对现有公钥密码带来的影响是颠覆性的,2017年IBM宣布成功搭建和测试了两种新机器。当然,算法方面也曾出现过随机数漏洞事件,比如2014年12月,blockchain.info爆出随机数问题。

第二个是使用安全性分析。目前存在以下问题,比如私钥托管容易造成监守自盗以及黑客盗取;区块链钱包的口令存在被恢复的危险;私钥一旦丢失,便无法对账户的资产做任何操作。最重要的是所有的数字货币系统,比如2017年12月,朝鲜黑客攻击了韩国加密货币交易所,导致价值76亿韩元(约合699万美元)的加密货币被盗。

第三从实现安全性分析。国家互联网应急中心在2016年10月曾选取了25款具有代表性的区块链软件进行检测,在代码层面发现高危安全漏洞和安全隐患共746个,所以区块链的代码安全性是非常令人担忧的。此外,还有去年11月的parity钱包事件,就是由于误操作,库代码被抹掉掉,导致多重签名智能合约无法使用。

最后一个是综合安全性,或称系统安全性。综合运用算法/协议/使用/实现漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击,会对密码系统造成极大的危害。美国已经高度重视区块链的安全问题了,在去年9月通过一项7000亿美元的国防法案。

安全性威胁应对方法

那么,我们应该如何面对这些安全问题?

针对算法安全性,可以采用抗量子算法,如基于格的签名算法,或者采用盲签名、环签名、聚合签名、多重签名侧、门限签名策略,总之是要采用新的、本身经得起考验的密码技术。

针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。

针对实现安全性,需要对关键代码进行严格、完整测试,以及采用更加安全的智能合约。

针对使用安全性,主要是对私钥生成、存储、使用进行保护,使用有效的魂币模式,对敏感数据进行加密保护。另外,我们也要选择安全的交易所,因为交易所聚集了大量的数字货币,所以很容易成为黑客或者一些敌对、恐怖组织的针对目标。

6


最后针对黑客的攻击,我们在终端提出了拟态防御的方法。上图为拟态防御的架构模型,拟态防御是一项技术,在上海政府的支持下,由信息工程机械大学团队联合上海高校和科研机构取得了重大的突破。利用拟态防御技术,我认为对于提高区块链系统安全性会起到非常好的作用。

原文发布时间为:2018-02-04
本文作者:伊莉
本文来源:雷锋网,如需转载请联系原作者。

目录
相关文章
|
12天前
|
存储 供应链 安全
重塑信任:区块链技术如何打造数字世界的全新安全生态
【10月更文挑战第32天】区块链技术自比特币诞生以来,以其去中心化特性吸引了全球关注。本文通过最佳实践探讨区块链如何重塑数字世界的信任体系,包括保障数据真实性、身份验证与隐私保护以及提升投票系统的安全性和透明度。通过智能合约示例,展示了区块链在供应链管理、身份管理和投票系统中的应用。区块链技术正推动各行各业的创新与发展。
40 2
|
2月前
|
人工智能 监控 安全
引领区块链安全新时代,绽放创新光芒
在区块链安全需求不断升级的时代,AI StarTowerChain 以创新安全体系,引领区块链安全新潮流。其分散式架构通过智能设备节点的协作,增强抗攻击能力;安全审计如专业医生,全面审查交易与合约;监控功能实时警报异常;社区参与提升透明度与安全性,共同守护区块链安全。
|
3月前
|
Rust 安全 算法
揭秘Rust语言如何重塑区块链安全:打造坚不可摧的分布式账本新篇章!
【8月更文挑战第31天】自比特币诞生以来,区块链技术凭借其去中心化和不可篡改的特点备受关注。为了应对安全性挑战,Rust 语言凭借其内存安全特性逐渐成为区块链开发的优选。本文探讨了 Rust 如何助力区块链实现更安全的分布式账本。通过示例展示了 Rust 在避免内存泄漏、空指针引用及数据竞争等方面的优势,预示着 Rust 在高性能、高安全性需求的区块链应用中拥有广阔前景。
87 1
|
3月前
|
区块链 C# 存储
链动未来:WPF与区块链的创新融合——从智能合约到去中心化应用,全方位解析开发安全可靠DApp的最佳路径
【8月更文挑战第31天】本文以问答形式详细介绍了区块链技术的特点及其在Windows Presentation Foundation(WPF)中的集成方法。通过示例代码展示了如何选择合适的区块链平台、创建智能合约,并在WPF应用中与其交互,实现安全可靠的消息存储和检索功能。希望这能为WPF开发者提供区块链技术应用的参考与灵感。
62 0
|
5月前
|
安全 算法 定位技术
[Solidity][区块链安全入门]Solidity语言关于密码学知识的运用以及存在漏洞
密码学在区块链中扮演关键角色,确保机密性、完整性、身份认证和不可否认性。对称密钥加密用于快速加密,但不支持不可否认性。非对称加密(如RSA)解决了这一问题,每个用户拥有公钥和私钥。散列函数(如SHA-1、SHA-2)用于数字签名,保证信息来源和完整性。同态加密允许在不解密情况下处理加密数据,增强隐私保护。零知识证明则能验证信息正确性而不泄露额外信息,如ZCash使用该技术隐藏交易详情。环签名技术(如在门罗币中)隐藏签名者身份。区块链隐私保护措施包括混币技术,旨在混淆交易路径。网络和应用层面上也存在隐私挑战,需要综合策略来防御。
|
5月前
|
安全 算法 区块链
量子计算:区块链安全的下一个重大威胁?
量子计算的飞速发展对依赖RSA和ECC加密的区块链安全构成潜在威胁。量子计算机的高效计算能力可破解传统加密,允许恶意攻击者篡改交易或盗取加密货币,影响经济安全。为应对这一威胁,研究人员正在开发抗量子加密算法,区块链平台也在考虑整合这些新算法以防御未来的量子攻击。尽管挑战重重,积极采取措施的区块链技术有望在量子时代保持安全可靠性。
|
安全 Go 区块链
呃哦:区块链可能没有我们想象的那么安全
呃哦:区块链可能没有我们想象的那么安全
|
存储 安全 算法
基于区块链的IoT的安全模型
基于区块链的IoT的安全模型
|
安全 网络安全 区块链
《2016阿里安全峰会-网络安全与区块链》电子版地址
2016阿里安全峰会-网络安全与区块链
76 0
《2016阿里安全峰会-网络安全与区块链》电子版地址
|
安全 算法 Ubuntu
医疗大数据安全——基于区块链的委托量子云架构(三)
智能医疗系统解决了分子可视化、DNA分析和治疗确定等复杂计算问题。这些被认为是当今超级计算机仍然面临的复杂问题。另一方面,量子计算承诺快速、高效和可扩展的计算资源,足以在指数时间内计算大规模和复杂的操作。量子计算将充分创新计算的视角,这是一个事实。然而,它还不是一个可行的解决方案,因为它可能是罕见的和昂贵的生产。本文介绍了量子云即服务,为复杂的智能医疗计算提供高效、可伸缩和安全的解决方案。我们的创新之处在于量子终端机(QTM)和区块链技术的使用,以提高提出的架构的可行性和安全性。实验结果证明了该体系结构的可行性和所实现的Q-OTP封装的绝对安全性
222 0