浙商银行浙江大学区块链技术与金融应用安全白皮书.docx

《浙商银行浙江大学区块链技术与金融应用安全白皮书.docx》由会员分享，可在线阅读，更多相关《浙商银行浙江大学区块链技术与金融应用安全白皮书.docx（67页珍藏版）》请在第一文库网上搜索。

1、区块链技术与金融应用安全白皮书易 于 链 接共 赢 未 来版权声明本白皮书为浙商银行-浙江大学联合研究中心成果，知识产权属于浙商 银行股份有限公司和浙江大学，转载、摘编或利用其它方式使用本白皮书文 字或者观点的，应注明“来源：浙商银行-浙江大学联合研究中心区块链 技术与金融应用安全白皮书”。编委会主 编（按姓氏笔画排序）任奎杨国正编制单位浙商银行股份有限公司 浙江大学编写成员（按姓氏笔画排序）刘健张文翰张秉晟陈嘉俊黄蓉臧钺设 计汪忆目录Ol010306060711151616171819212223252627Z , 刖百第一章区块链技术与应用1.1 .国内政策框架1.2 区块链安全机制La区

2、块链应用概况i.ai.区块链基础应用1.3 2区块链金融应用1.33 区块链其他垂直领域应用第二章区块链安全态势21区块链体系安全问题2.1.1底层代码安全2 1.2加密算法安全2L3网络协议安全2.1.4.共识协议安全2 1.5密码协议安全2 1.6智能合约安全2 1.7链上链下协同安全2 1.8跨链安全2 1.9客户端安全22金融应用安全问题2.21区块链内容安全2 2 2区块链治理安全42 7预言机安全5433区块链安全问题应对实践55第四章区块链安全展望574 1自主可控5742加强规范594 3打造产业示范区块链基础设施6044加强多学科交叉融合612 23区块链数据融合292 24

3、区块链数据隐私312 2 5区块链实名认证322 26数字挛生332 27预言机安全34第三章区块链安全风险应对框架363.1区块链体系安全问题应对框架37区Ll代码安全-形式化373. L 2加密算法安全-国密、抗后门38区L 3网络协议安全39区L4共识协议安全40区1.5密码协议-修识证明、多方安全计算41RL 6智能合约安全-漏洞挖掘41区L 7链上链下协同安全43区L 8跨链安全-跨链身份认证、交易确认44区L 9客户端安全453.2金融应用安全问题应对框架4632 1区块链内容安全46区2 2区块链治理安全48区2 3区块链数据融合493. 2 4区块链数据隐私-密码学、数据脱敏5

4、1区2 5区块链实名认证523.26数字挛生53刖百近年来，我国数字经济发展迅速、成效显著，以区块链为代表的新兴数 字技术日益融入经济社会发展各领域全过程，实现了数字技术与实体经济的 深度融合，推动了数字经济的高质量发展。区块链技术作为“新基建”基础设施之一，已在金融经济、社会民生、 政务治理、商业贸易等重 点领域进行了广泛应用。这些应用领域对网络安全、 风险管理的高要求、高标准使得区块链技术的安全性与区块链应用的隐私性 成为了各方关注的焦点。尽管区块鞋技术本身具有去中心化、分布式存储、 防篡改、可追溯等特性使其安全性远高于传统网络体系，但区块链技术在应 用过程中仍会存在一些安全风险。本白皮书

5、聚焦于分析区块链技术体系安全问题以及区块链在金融重点领 域应用中的安全问题，并针对各个安全问题提出了风险应对框架.使读者对 区块链技术与应用潜在的安全问题及其应对方式有清晰的认知，最后，本白 皮书对我国区块链安全的发展进行了展望，期望能够从加强自主可控、深化 标准建设、打造基础设施、强化技术融合等方面进一步提升区块链技术与应 用的安全性，推动我国区块链产业安全、健康发展。MMa史W, li= = S J=s=- iiHwnChapterone区块链技术与应用 “十三五”以来，新一代信息技术的高速发展推动了数字经济与实体经济 的深度融合，为我国全面开启数字经济新时代奠定了坚实基础；“十四五” 规

6、划更是进一步明确提出要加快数字化发展、建设数字中国。建设数字经济、 以数字化转型整体驱动生产方式、生活方式和治理方式变革已成为了我国 国家战略。随着经济社会全面数字化转型的推进.区块链技术被逐步应用于金融经济、 政务治理、社会民生等各方各面，区块链的应用场景也越来越丰富。区块 链不可篡改、可追溯、多中心化等特点使得区块链成为了新一代的信任传 递工具。但是区块链技术发展至今，其技术本身的内部、外部仍存在一些 安全风险*因此，在应用区块链技术的同时，大量机构与高校针对区块链 的技术与应用安全展开了大量探索，各监管部门从顶层设计出发也出台了 一系列与区块链网络安全相关的政策、标准。部分重要政策汇总如

7、表I-IoB 区块链安全机制众所周知，区块链具有天然的高安全性，其安全机制主要包括共识机制、 加密算法、隐私保护、多级签名等。1 .共识机制区块链作为一种去中心化的分布式系统，需要通过节点之间的底层共识协 议来保证其账本的数据一致性，因此共识机制是区块链技术的基础.是区 块链核心价值的体现。一般来讲，我们将区块链分为许可链(联盟链、私 有连)和非许可链(公有链)，由于实际应用场景和系统架构不同，不同 种类的链所使用的共识算法也不同。常见的共识机制包括：工作量证明/ POW (Proofof Work)、权益证明/POS (Proofof Stake)、股份授权证 明/DPOS (Delegat

8、ed ProofoFStake)、拜占庭容错(PBFT/RBFT)、类 BFT共识协议、RAFT共识协议等。2加密算法为了实现区块链系统整体的安全性和可靠性,区块链引入了包括哈希算法、 数字签名、密钥协商、对称加密的综合加密机制。*杂凑算法哈希是一种散列函数，把任意长度的输入原文通过哈希算法.变换成固定 长度的输出(哈希值)，哈希值的空间通常远小于输入原文的空间，哈希函 数具有不可逆性，根据哈希值无法反推输入原文的内容，保障原文的安全 及隐私。在区块链平台中交易的信息摘要、合约地址、用户地址、账本指 纹等都运用了哈希算法，实现了账本数据的快速验证与查找、隐私保护以 及数字签名的高效性。数字签名

9、在区块链中，交易发起方对交易内容进行数字签名，发送给区块链节点，表1-1区块链安全相关重要政策汇总发布时间发布单位政策或标准主要内容2016年11月7日全国人大中华人民共和国网络安全法网络安全法是网络安全领域的“根本大法”. 对网络安全支持与促进、网络运行安全、网络 信息安全、监测预警与应急处置等做了规定.确立了网络安全的基本法律遵循：2019年10月26日全国人大中华人民共和国密码法密码法的推出是为了规范密码应用和管理. 促进密码事业发展,保障网络与信息安全,维 护国家安全和社会公共利益,保护公民、法人 和其他组织的合法权益.而加密技术是区块链 的关键技术.密码法对于区块链技术与应 用安全规

10、范发展具有重大意，2019 年 I 月 10 B国家互联网 信息办公室区块镂信息服务管理规定区块链信息服务管理双定旨在明确区块链 信息服务提供者的信息安全管理责任，规范和 促进区块链技术及相关服务健康发展.规避区 块链信息服务安全风险.为区块链信息胀务的 提供、使用、管理等提供有效的法律依据.2020年8月31日工业和 信息化部区块疑技术架构安全要求区块粮技术架构安全要求） 面向区块链平台， 规定了区块链技术架构应满足的安全要求.包 括共识机制安全、智能合驹安全、账本安全等. 为区块链系统的设计开发提供参考。2020年2月5日中国人民根行金魁分布式账本 技术安全规范标准规定了金融分布式账本技术

11、的安全体系.包括基础硬件、基础软件、密码算法、节点通 信、账本数据、共识协议、智能合约, 身份管理、 隐私保护、监管支撑、运维要求和治理机制等 方面。标准适用于在金融领域从事分布式张本 系统建设或服务运营的机构.征求意见稿.尚未正式发布全国信息安 全标准化技 术委员会信息安全技术区块链信息服务安全规范标准规定了区块链信息服务的安全要求.包括 安全技术要求和安全保障要求,以及相应的测 试评怙方法。3 .隐私保护区块链公有链的匿名性很好地保护了用户的隐私，但在联盟链的模式下， 交易数据在所有节点进行共识，数据被完整的保存在每个节点,虽然通过 密码学机制进行了相应的数据加密，但随着量子计算的不断发展

12、，数据被 破解的概率也会随之上升。针对该种情 况，可通过采用合约访问控制、分 区共识、隐私交易三种机制提供隐私保护。* 合约访问控制在智能合约编码阶段定制合约方法的访问权限,通过合约设置用户公钥操 作权限.在查询时验证查询方公钥，保证区块链数据持有方才具有查询权限. 实现业务数据的隐私保护。* 分区共识通过设计分片机制实现区块链网络内部交易的分区共识，每个分片通过业 务的交易共识、分发以及存储的逻辑级别隔离实现业务级别的隐私保护。* 隐私交易支持交易粒度的隐私保护，发送交易时指定该笔交易的相关方，该交易明 细只在相关方存储，隐私交易的哈希在全网共识后存储，既保证了隐私数 据的有效隔离，又可验证

13、该隐私交易的真实性。4 .多级签名通过叠加客户在交易平台采用的Ukey或文件证书的数字签名、应用服务 器采用的C机构颁发的数字证书的数字签名、应用服务器采用的区块链 平台颁发的公私钥的数字签名以及区块链节点间的非对称密钥数字签名， 构建从交易指令到区块链记账的全过程数字签名证据链，形成端到端的验 证体系，确保用户通过应用平台访问区块链系统过程中的可追溯性。区块链节点接受交易后验证发起方身份及签名是否对应，保证交易内容不 篡改及可定向追溯。基于非对称的密钥协商密钥协商是指两个或多个实体在不可信环境下通过非对称加密算法交换双 方公钥，安全地协商出一个只有双方可知的密钥的协议。在区块链节点组 网的过

14、程中，需要各区块链节点之间通过密钥协商构建一种支持快速加解 密的对称密钥，用于后续节点之间的数据加密及信息交换。基于对称的数据加密通信双方基于非对称的密钥协商得到一个对称密钥后，再基于对称加密算 法对数据进行快速加密，使得通信双方之间数据不能被窃听，保证区块链 节点之间信道的通信安全。目前国外主流开源区块链平台（包括以太坊、IBM HyPerLedgerFabriC等） 使用的是RSA和ECC等算法。为满足我国金融安全和监管要求，国内区块 链平台应支持国家密码管理局所公布的SM2、SM3等国密算法。经过国密 算法改造之后，原有ECC椭圆曲线算法、SHA2算法可替代为SM2非对称 算法、SM3杂

15、凑算法，交易数据的哈希通过SM3算法生成，签名验签涉及 的公私钥对通过SM2算法实现，保持对底层透明，提升系统安全性和合规 性。杭州趣链 科技有限公司2016年10月,趣链科技发布了国产自主可控的区块链 底层技术平台Hyperchain,可面向企业、政府机构和产 业联盟的区块鞋技术帚求,提供企业级的区块链网络解 决方索，（来源趣链科技宜网）是国网区块链 科技公司国网旌是国网区块链科技公司在国家电网公司的统一指 导下麓设的行业级能源区块链公共服务平台，面向国家 电网公司直属单位、20多家省公司以及上下游企业来共 同提供服务,实现与政府、高校、科研院所等单位互联 互通.构建“共建、共享、共赢”协作模式。（来源： 电网头条徵信公众号）是2.