區塊鏈面臨六大安全問題 安全測試方案研究迫在眉睫

瀏覽數

99+

通信世界網消息(CWW)近年來,區塊鏈技術逐漸成爲熱門話題,其應用前景受到各國政府、科研機構和企業公司的高度重視與廣泛關注。隨著技術的發展,區塊鏈應用與項目層出不窮,但其安全問題不容忽視。近年來,區塊鏈安全事件日益增多,引發的後果較爲嚴重,造成的經濟損失數以億計。

區塊鏈技術可分爲三個層次

狹義上講,區塊鏈是一種按照時間順序將數據區塊順序相連組成鏈式數據結構,並以密碼學方式保證不可篡改和不可僞造的分布式賬本。廣義上講,區塊鏈技術是利用塊鏈式數據結構驗證與存儲數據、利用分布式節點共識算法生成和更新數據、利用密碼學方式保證數據傳輸和訪問的安全、利用自動化腳本代碼組成的智能合約來編程和操作數據的一種全新分布式基礎架構與計算範式。

區塊鏈主要分爲公有鏈、聯盟鏈與私有鏈。公有鏈對外公開,用戶無需授權即可訪問區塊鏈信息,節點可自由出入網絡聯盟鏈僅限于聯盟成員參與,區塊鏈上的讀寫權限、參與記賬權限按照聯盟規則制定,共識過程由預先選好的節點控制私有鏈則僅在私有組織使用,區塊鏈上的讀寫權限、參與記賬權限按私有組織規則制定

此外,美國區塊鏈科學家梅蘭妮·斯萬按照應用範圍和發展階段將區塊鏈分爲3個層次,分別爲區塊鏈1.0、2.0、3.0。

區塊鏈1.0—數字貨幣:區塊鏈1.0解決貨幣和支付去中心化問題,典型代表是比特幣。

區塊鏈2.0—智能合約:區塊鏈2.0是區塊鏈1.0的發展,支撐智能合約應用,解決市場去中心化問題,將區塊鏈拓展到股票、債券、期貨等金融領域,典型代表是以太坊平台。

區塊鏈3.0—區塊鏈應用延伸:區塊鏈3.0涵蓋了智能化物聯網未來的各種應用場景,支持廣義資産、廣義交換,支持行業應用,由此構建一個大規模協作社會,其典型代表是EOS項目。但目前業界還沒有一個成熟的區塊鏈3.0平台。

隨著技術的發展,也有公司率先探索區塊鏈4.0的概念。

區塊鏈4.0—完善生態體系:區塊鏈4.0將區塊鏈作爲某個行業的基礎設施,形成基于區塊鏈的完善生態體系,從而構建全球價值互聯網。但區塊鏈4.0尚未在業界達成一致共識。

區塊鏈安全問題不容忽視

目前區塊鏈技術本身仍存在一些安全風險,應用過程中可能會引發一定的安全問題。近年來,區塊鏈安全事件頻發(如圖1所示),造成重大經濟損失。據統計,自2011年到2018年10月,全球範圍內因區塊鏈安全事件造成的損失近36億美元(如圖1所示)。可見,區塊鏈安全問題不容忽視。

 

基于業界已有研究報告,本文將區塊鏈面臨的風險與挑戰分爲六大方面:基礎設施安全、密碼算法安全、協議安全、實現安全、使用安全和系統安全

基礎設施安全:基礎設施主要包括交換機和路由器等網絡資源、硬盤和雲盤等存儲資源以及CPU和GPU等計算資源。面臨的問題主要有物理安全風險、網絡攻擊威脅以及數據丟失和泄露等安全風險。

密碼算法安全:區塊鏈使用了大量密碼算法以保證安全性。但現有的一些密碼算法存在一定缺陷,使用有缺陷的密碼算法會大大影響安全性。另外,隨著量子技術的發展,使用不能夠抵抗量子攻擊的密碼算法都有較大風險。

協議安全主要指共識機制、P2P網絡等存在的安全隱患,主要面臨共識算法漏洞、流量攻擊以及惡意節點等威脅。

實現安全智能合約起步較晚,其風險主要來源于代碼實現中的安全漏洞。此外,智能合約運行環境的安全性也是區塊鏈安全的重要環節。

使用安全:主要指使用的智能合約、數字錢包、交易所以及應用軟件等存在的安全問題。另外,區塊鏈應用所在服務器上的惡意軟件、系統的安全漏洞等都可能成爲攻擊者攻破區塊鏈應用的脆弱點。

系統安全:上述基礎設施、密碼算法、協議、實現、使用安全漏洞與黑客攻擊結合,可使區塊鏈受到致命打擊。社會工程學手段與傳統攻擊方法結合使區塊鏈變得更加脆弱,有組織的攻擊行爲將對區塊鏈安全造成極大危害。

區塊鏈安全測試方案研究

各國政府、金融機構以及衆多企業等紛紛進行區塊鏈的研究和開發。各種區塊鏈聯盟、區塊鏈協會以及各種區塊鏈實驗室也紛紛成立。區塊鏈相關測試也愈來愈多。

2017年5月,區塊鏈技術和應用峰會暨中國區塊鏈開發大賽成果發布會在杭州舉行,發布首個區塊鏈標准《區塊鏈參考架構》,並公布了參考架構的首次測試結果。同時,貴陽區塊鏈測試中心正式挂牌並開展試運行區塊鏈測試工作。另外,中國信息通信研究院也對太一雲的區塊鏈超導交易網絡進行了性能與功能測試。2017年9月,可信區塊鏈峰會在北京召開,公布了可信區塊鏈標准和測評結果。2018年6月,可信區塊鏈評測方案討論會在北京召開,會議確定了可信區塊鏈的測試方法與性能測試規範,並討論了開源基准測試工作組的任務安排。

區塊鏈測評內容可分爲功能測試、性能測試、可靠性測試與安全性測試。已有測試多偏重于功能測試、性能測試與可靠性測試,本文著重討論安全性測試,建議從以下幾方面著手。

共識機制安全測試:主要測試采用的共識機制能否抵禦雙花攻擊(同一數字貨幣重複使用多次)、重放攻擊等常見的攻擊手段,以及是否有良好的容錯能力。

智能合約安全測試:主要檢查智能合約是否存在常見的安全漏洞、是否可信以及是否符合規範和流程。此外,還可進行代碼審計工作,在代碼層次尋找可能存在的漏洞。

Web與移動客戶端應用安全測試:面向終端用戶的區塊鏈項目一般都有Web或移動客戶端應用程序。可檢查其是否存在注入、XSS等常見Web漏洞。還可進行滲透評估測試,發現潛在的安全威脅。

身份認證與鑒別測試:對于聯盟鏈與私有鏈平台,應測試身份認證與鑒別、成員管理以及審計記錄等功能,防止出現越權等漏洞。

此外,還可以對激勵機制及其他自有協議進行測試,盡量保證其安全性。

小結

區塊鏈技術可有效解決傳統交易模式中數據流造假行爲,可被應用到金融、物聯網、供應鏈管理等多個領域,可實現從信息互聯網到價值互聯網的轉變。但區塊鏈安全問題亦不可忽視,本文從技術角度分析區塊鏈技術面臨的安全風險,並探索區塊鏈技術安全測試方案,希望爲以後區塊鏈安全測試的工作帶來一定的參考意義。

作者簡介

付凱:中國信息通信研究院工程師,主要從事網絡設備安全研究工作。

倪平:中國信息通信研究院工程師,從事網絡安全標准研究、漏洞挖掘和安全評估工作。

曹元:中國信息通信研究院工程師,主要從事網絡設備安全研究與漏洞挖掘工作。

熱門搜尋關鍵字: