当前位置: 首页 >  养生

复旦大学教授斯雪明教授谈“区块链与系统安全”:安全性是区块链应用落地的软肋!

发表时间:2019-09-05
九个亿财经报道——也许从技术发展的本身来看,区块链技术在过去的一年中,并没有特别显著的发展,但是资本圈和公众的关注热度仍然成为该技术继续成长的助力。

当前的网络犯罪行为日益复杂,金融交易数据、健康医疗记录、个人身份信息和信息资产,都是黑客能够通过相应的攻击(DDoS,勒索等)进行获利的重要资产来源。而这项全新的区块链技术是否会成为网络安全的助力还是障碍?去中心化的、数字化的公开账本,这可能帮助增强平台的网络防御能力吗?应用共识机制是够能够阻止欺诈活动?

在日前召开的全球区块链应用(DApp)上海站研讨会上,中国科学数据处理(SDP)联盟执行委员会主任、上海市数据科学重点实验室副主任、解放军信息工程大学斯雪明教授受邀作了题为《区块链与系统安全》报告。报告总共分成三部分:区块链的安全挑战、系统安全性分析、安全性威胁应对方法。



斯雪明教授具体介绍了区块链五大安全性分析方法,分别是综合安全性分析、算法安全性分析、使用安全性分析、实现安全性分析以及协议安全性分析。并针对各安全问题,提出了相应的应对方法。以下是演讲原文:


斯雪明:尊敬的各位领导、来宾,大家下午好,我报告的题目是《区块链与系统安全》。我今天讲的题目叫《区块链与系统安全》,我今天的报告的题目,从四个方面讲区块链与系统安全,首先是这个区块链的简介,区块链的安全挑战,区块链的系统安全性分析。我们知道前两天的日本的一家数字交易所遭到黑客攻击,遭受580亿日元损失。所以,区块链的安全问题,在整个区块链应用落地中间,无疑是非常重要的,我今天首先讲讲,对区块链做一个简介,前面我们已经有很多的演讲嘉宾提到,我就不展开讲了,我就谈一点,我对区块链的认识,我觉得区块链不仅仅是是一项技术,区块链更重要它是一种伟大的思想和方法,我们要关注区块链的它的思想,那么第二点呢,在什么场景下能够应用区块链,我认为凡是在有价值的数据的共享都可以应用区块链。那么,第三点区块链作为一种新生事物,政府和监管部门积极支持区块链的创新,我们非常高兴上海市科创委作为我们大会的重要的支持单位,应该对区块链的技术是非常的支持。

   

我现在讲第二个,从区块链的安全挑战,那么区块链现在面临哪些主要安全问题,我能看到这里面列举一些安全问题,第一个私钥的生成与保护,共识过程的中心化,智能合约代码漏洞等等。2016年6月17日黑客偷取众筹过1.5亿美元的发布时自治组织以太币,导致项目失败。2016年8月2日因为多重签名漏洞,香港的比特币交易所大约价值7000万美元的比特币被盗。2016年8月份Krypton受到了51%算力的攻击,导致Bittrex的钱包中共21465个KR(代币)被盗。2017年12月18日上午消息,朝鲜黑客今年攻击了韩国的加密货币交织所,导致价值76亿韩元的加密货币被盗。比特币的在市面上大概的价值会超过400亿人民币,做51%算力攻击,不是黑客攻击有内部人攻击,就会超过200个亿,这种情况下,你是不可能有200亿去做这样一个51%算力的攻击。我们知道前段时间流行的病毒,有消息说攻击者也是来自朝鲜。

  

所以我们看到呢这样区块链系统面临的安全威胁是实在的,并不是危言耸听,下面对区块链系统安全做了分析。

  

我们知道,任何的信息系统安全的包括保密性、完整性、可用性,区块链系统必须有三种属性,对于这些安全性来说,有什么作用,我们从保密性来说,以共钥的变形作为交易地址,对用户提供了保密性,零知识证明、环签名等,对交易提供了保密性,区块链系统大量应用了密码的前沿技术。

   

那么第二个从可用性来说,每个副本节点保存相同的数据,保证了数据的可用性,多方共识机制保证了交易信息的可用性。第三个呢从完整性来说,签名验证算法保证了交易的完整性,链式结构保证了数据的完整性,高度同构结构,保证了系统的完整性。所以我们看到区块链系统凑传统的这些来说,是非常的从安全来说,是对产生的信息系统从三个方面提供了属性,我们一般来说,从安全性来说,我们首先来看一下算法的安全性,目前的算法基本上是安全的,但是现有的算法在这个量子,来自计算机它的计算能力达到一定的规模现在的算法都会受到量子计算的影响,所以说,这样的一个算法的安全性它就是相对的,这里面我们看到的算法安全性的一些例子。

   

接下来是协议的安全性,这个是协议本身就有的,第二个就是像黑客攻击以及共识的机制,这个呢其实都是从协议上来说是存在安全的一些问题,第三个方面,使用的安全性的分析,最重要的是所有的数字货币系统,数字货币本身以来私钥,这种情况呢,其实对整个区块链系统影响非常大,第四个从实现安全性分析,这里面有一些数据,国家互联网应急中心做的检测对20多款软件发现了的安全隐患,所以区块链这些软件从代码的安全性来说,是非常令人担忧的。

  

那么还有一个就是智能合约的威胁实例,DAO最后导致三分之一的被黑客盗取,导致项目失败。这是多重签名漏洞的代码。那么2017年11月6日由于误操作,库代码被末掉,导致多重签名智能合约无法使用。最后一个综合安全性,或者系统安全性,从那个落说,综合运动算法协议使用漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击可对密码系统,造成极大的危害,美国已经高度重视区块链的安全问题了。

   

那么最后,我讲讲面对这些安全问题怎么办?我们针对这个算法安全性,一个就是采抗量子的算法,采用盲签名策略、多重签名侧、门限签名策略,走之要采用新的密码技术,密码技术本身要经得起考验的。针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。实现安全性应对方法,对关键代码进行严格完整测试,以及采用更加安全的智能合约。

  

针对这个使用安全,主要是对私钥存储、使用这方面进行保护,特别是刚才我们讲到好多交易所,因为交易所聚集了大量的数字货币所以黑客或者一些敌对的组织,或者一些恐怖组织针对的重要的目标,所以选择安全交易所非常重要。

   

最后一个讲讲,针对黑客的攻击,我们对终端采用什么方法,我们提出一个叫拟态防御的方法,这是拟态防御的架构模型,拟态防御是一项技术,上海政府的支持下,由信息工程机械大学团队联合上海高校和科研机构取得了重大的突破,这方面呢,利用拟态防御技术,我认为对于提高区块链系统安全性,会起到非常好的作用。

  

最后我想讲的是区块链系统安全十分重要,目前区块链系统安全面临着巨大的挑战,所以需要我们积极应对,我也相信我们一定会有解决的办法,我的报告完了,谢谢大家。


2016 和 2017 年,区块链技术都吸引了大量金融和科技企业进行投资,许多投资者认为这项技术具备改变多个行业的能力(如医疗,公共事务,能源,工业,直击金融行业),但现状是各大企业仍然不了解这项技术及其成熟度,对区块链抱有的知识一种不切实际的幻想--他们希望部署区块链来获取利益,但对区块链的核心能力并不充分了解。

不管怎样,关于区块链安全性的更广泛的讨论才刚刚开始。有人说,区块链可以彻底改变我们追踪资产的方式,而且不仅仅是金钱,还可能是土地所有权。未来使用的网络系统可能与当前运行数字货币的区块链网络有所不同,但它仍然可能“误入”数字密钥的“迷途”。我们未来采用的技术和流程,必须是将黑客“拒之门外”的,这将是至关重要的。

因此,在建设网络强国的指导思想下,我国大力发展区块链大数据,既要注重经济效益,也要注重安全问题,二者缺一不可!