《区块链安全白皮书-技术应用篇》2018.pdf-得力文库

资源描述

《《区块链安全白皮书-技术应用篇》2018.pdf》由会员分享，可在线阅读，更多相关《《区块链安全白皮书-技术应用篇》2018.pdf（70页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、区块链安全区块链安全白皮书白皮书技术应用篇（2012018 8 年）年）中国信息通信研究院中国信息通信研究院中国通信标准化协会中国通信标准化协会 2012018 8年年9 9月月版权声明版权声明本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院和中国通信标和中国通信标准化协会准化协会，并受法律保护，并受法律保护。转载、摘编或利用其它方式使转载、摘编或利用其它方式使用用本白皮书文字或者观点的，应本白皮书文字或者观点的，应注明注明“来源：来源：中国信息通中国信息通信研究院信研究院、中国通信标准化协会、中国通信标准化协会”。违反上述声明者，本。违反上述声明者，本院院将

2、追究其相关法律责任。将追究其相关法律责任。前前言言区块链已成为近年来技术创新的热点名词和市场追捧的热门对象。从最初应用于数字货币到如今在多领域的广泛应用，区块链作为一种全新的信息存储、传播和管理机制，实现了数据和价值的可靠转移。世界主要发达国家也纷纷加快该领域的技术研发、战略部署和推广应用。作为网络时代的新一轮变革力量，在与现有技术结合催生新业态新模式的同时，区块链技术发展和深入应用仍需要漫长的整合过程，其核心机制、应用场景中存在的潜在风险也给技术应用和现有网络安全监管政策带来新的挑战。因此，理性看待区块链的技术优势，强化应对潜在风险已成为保障区块链技术的健康、有序发展的当务之急。中国

3、信息通信研究院与中国通信标准化协会牵头，联合以下单位共同研究编制区块链安全白皮书技术应用篇（2018 版）：中国移动通信集团公司信息安全管理与运行中心、中国移动通信集团公司研究院、国家计算机网络应急技术处理协调中心、科大国盾量子技术股份有限公司、中兴通讯股份有限公司、广州大学网络空间先进技术研究院、上海观安信息技术股份有限公司、平安科技有限公司、三六零科技有限公司、深圳市腾讯计算机系统有限公司安全管理部、北京京东尚科信息技术有限公司。本白皮书从网络安全的视角，客观审视区块链技术发展和应用情况，分析探讨区块链技术应用分层架构、安全风险和应对框架，给出关于促进区块链技术安全应用的若干建议，希望与业

4、界分享，切实提升区块链技术发展应用安全性。目目录录一、从安全视角看区块链技术发展和应用态势 . 1 （一）全球情况总观. 1 1、区块链技术生态基本成型，网络安全应用开始落地 . 1 2、区块链安全问题逐渐浮出水面，引发各界安全思考 . 5 3、持续推进区块链安全标准化，助力技术安全发展 . 8 （二）我国发展应用. 11 1、技术生态结构与国外基本一致，安全服务前景可期 . 11 2、政策聚焦技术发展和应用落地，安全指导初见雏形 . 13 3、加快布局区块链安全标准工作，强化技术风险防范 . 15 （三）小结 . 16 二、区块链技术应用分层架构及安全风险分析 . 16 （一）区块链

5、技术典型应用架构逐渐趋于共识 . 16 1、存储层S：存储上层应用所需及产生的数据文件 . 17 2、协议层P：构建分布式、去信任的共识网络 . 18 3、扩展层E：作为区块链应用方向延伸的支撑平台 . 19 4、应用层A：技术在各行业领域应用落地的直接体现 . 19 （二）区块链技术典型应用架构对应的安全风险 . 20 1、存储层S：来源于环境的安全威胁 . 20 2、协议层P：核心机制的安全缺陷 . 21 3、扩展层E：成熟度不高的代码实现漏洞 . 22 4、应用层A：各类传统安全隐患集中显现 . 23 （三）区块链技术给安全监管带来的挑战 . 25 三、风险应对框架 . 27 四、促进区

6、块链技术安全应用的建议 . 32 （一）强化应用领域引导，鼓励区块链自主可控开发 . 32 （二）创新监管手段，强化区块链平台和应用监管力度 . 33 （三）强化技术风险研究，夯实安全风险应对技术基础 . 34 （四）加强区块链网络犯罪风险防范，促进国际合作治理 . 34 附录 1 针对区块链技术核心机制的典型攻击 . 36 （一）以共识机制为目标的针对性攻击 . 36 （二）地址不具名机制对攻击者身份追溯的挑战 . 37 （三）分布式存储机制对攻击威胁面的扩大 . 37 （四）针对密码学机制固有安全风险的各类攻击 . 38 附录 2 国外区块链网络安全相关实践 . 40 附录 3 我国企业区

7、块链网络安全相关实践 . 43 （一）中国移动研究院：基于区块链管理 PKI 数字证书 . 43 （二）360：EOSIO-BP 节点和钱包 APP 安全审核方案 . 45 （三）腾讯：区块链安全应用及应对实践 . 49 （四）平安科技：基于国产密码的自主可控联盟链实践 . 52 （五）观安：区块链移动用户数据资产安全管理实践 . 53 （六）京东：区块链防伪追溯平台 . 56 附录 4 区块链安全监管技术平台 . 58 中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 1 一、从安全视角看区块链技术发展和应用态势（一）全球（一）全球情况总观情况总观 1 1、区块链、区块链技术

8、生态基本成型，网络安全应用开始落地技术生态基本成型，网络安全应用开始落地区块链作为一种全新的信息存储、传播和管理机制，通过让用户共同参与数据的计算和存储，并互相验证数据的真实性，以 “去中心”和“去信任”的方式实现数据和价值的可靠转移。近年来，区块链技术受到各界的广泛关注，搜索指数1持续上升，成为近年来炙手可热的新兴互联网技术之一，如图 1.1 所示。数据来源：中国信通院整理自 2010-2018 年 Google 全球搜索趋势图图 1 1.1.1 2010201020182018 年年 GoogleGoogle 全球搜索趋势四类全球搜索趋势四类热点热点技术搜索技术搜索指数指数对

9、比对比自 2008 年中本聪首次提出区块链概念以来，区块链技术架构经过十余年的发展已趋于成熟，因此，更多企业把发展重心放在探索区块链在各行业领域的应用模式上。据 Gartner 预测，到 2025 年，区块链技术将在以制造业为首的多个行业制造高达 1760 亿美元的商业1 搜索指数：谷歌趋势（Google Trends）在给定时间段内的关键词搜索量统计，以百分制衡量关键词搜索热度区块链：100大数据：20云计算：9人工智能：17020406080100区块链大数据云计算人工智能2017年12月搜索热度区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 2 价值2。目前，区块

10、链技术应用以金融领域为典型代表，向医疗健康、物流、工业互联网等经济社会诸多领域逐渐扩展延伸，得到了普遍的关注和全球性的探索，如图 1.2 所示。图图 1.1.2 2 全球区块链技术发展应用情况全球区块链技术发展应用情况根据信通院对 1121 项全球范围内较活跃区块链项目的统计，从项目数量上看，亚洲地区以 593 项居首，其中，新加坡、日本、中国香港等国家和地区依托其传统金融优势，发展了一批成熟的区块链金融应用；北美地区的区块链项目以美国和加拿大为主，已有大量成熟高的项目和技术应用落地，其中不乏 IBM、Microsoft、Amazon 等科技巨头；欧洲地区以英国和瑞士为首，在发展区块

11、链金融应用的同时，着重与传统行业结合，尤其是在爱沙尼亚、马耳他等国，在国家层面大力支持和主导，给区块链提供了大量的发展应用空间；非洲地区由于监管政策宽松、挖矿成本低等原因，虽然在区块链应用方面较为单一，基本集中在数字货币、交易所上，但也形成了一定的应用规模；2 数据来源：Gartner Forecast: Blockchain Business Value, Worldwide, 2017-2030 中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 3 大洋洲地区的区块链应用大多集中在澳大利亚和新西兰两国，但受限于当地严格的金融监管政策和高额的挖矿成本，发展规模和发展速度有限

12、；南美洲地区的现有项目则主要活跃在加密货币交易领域。从现有区块链相关项目、产品和服务内容上看，目前全球区块链技术的应用已初步形成了包含硬件和基础设施、底层技术、上层应用和安全服务在内的技术生态格局，如图 1.3 所示。图图 1.1.3 3 区块链技术区块链技术生态格局生态格局其中，硬件和基础设施主要为区块链运行提供矿机3等算力和硬件支持，包括矿机生产、矿池服务、矿机芯片生产，以及为区块链提供云基础设施等。底层技术一方面为各类区块链应用提供底层架构和开发平台等，起到类基础操作系统的作用，包括公有链、联盟链、私有链等；另一方面针对上层应用中的共通需求，提供分布式数据交易等区块链相关技术，旨

13、在降低区块链应用开发门槛，加快应用落地进程。上层应用服务最终用户，形成不同行业和场景的应用解决方案。安全服务则为区块链提供代码审计、安全监测、安全管理等安全性增3 目前，专业矿机多使用 ASIC 芯片，由矿机厂商设计架构，传统芯片厂商研发和代工生产区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 4 强服务。众所周知，区块链分布式、点对点的通信具有易连接、大协作的特点，基于哈希加密的匿名性能够很好保护用户隐私和证明唯一性，依托公私钥的权限控制赋予数字资产丰富的管理权限。这些技术优势在为其发展应用提供大量创新空间的同时，也使得区块链逐渐成为解决网络和数据安全存储、传播和管

14、理问题的有效手段，在攻击发现和防御、安全认证、安全域名、信任基础设施建立、安全通信和数据安全存储等方面得到了积极的探索，如图 1.4 所示。图图 1.1.4 4 区块链区块链在网络安全领域的典型应用在网络安全领域的典型应用例如，在国家层面，美国土安全部早在 2015 年已开展与 Factom4等区块链企业的合作，支持区块链在身份管理、国土安全分析等领域的应用项目研发；俄罗斯联邦国防部于 2018 年在其军事技术加速器（the ERA）技术园区建设了区块链研究实验室，研究将区块链技术应用于识别网络攻击和保护关键基础设施等。在产业层面，LaunchKey5、 Blockstack6、 Gu

15、ardtime7等企业均在各自领域推出了 “区4 Factom，公证通，成立于 2015 年，德克萨斯州奥斯汀区块链公司，产品包括区块链数据保护工具、企业身份解决方案和分布式数据存储产品等 5 Launchkey，去中心化认证平台 6 Blockstack，总部位于旧金山，开发基于区块链技术的 DNS 7 Guardtime，爱沙尼亚安全公司，开发基于区块链的安全解决方案中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 5 块链+网络安全”产品和解决方案。目前国际上区块链在网络安全领域的应用探索详见附录 2。 2 2、区块链安全问题逐渐区块链安全问题逐渐浮出水面浮出水面，引发，

16、引发各界各界安全思考安全思考随着区块链技术在各行业领域的不断应用，一方面，其共识机制、私钥管理、智能合约等存在的技术局限性和面临的安全问题逐渐显现，区块链平台应用等安全事件层出不穷。例如， 2018年3月，Binance 交易所遭到网络攻击，造成约4.2亿元的损失；2018年5月，EOS智能合约曝出严重安全漏洞，攻击者可利用漏洞控制和接管其上运行的所有节点等。据统计，2011年到2018年4月，全球范围内因区块链安全事件造成的损失高达28.64亿美元（约合人民币196.06亿元）8。另一方面，区块链去中心、自治化的特点给现有网络和数据安全监管手段带来了新的挑战（如GDPR9中

17、关于数据主体、数据删除权的要求）。各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟，区块链安全问题也引发了政产学研等各界的广泛重视。全球主要国家和地区纷纷聚焦区块链安全，从政策引导、加强监管、技术应对等多方面开展应对，具体表现在：英国：英国：推动推动政政产产学研学研各界各界合作，合作，提出“技术提出“技术+ +法律”的区块链法律”的区块链监监管管新模式新模式英国政府和央行一直积极响应区块链技术，希望凭借占领区块链技术发展先机，重夺其国际金融中心地位。早在2016年1月，英国政8 数据来源：白帽汇 9 GDPR：General Data Protection Regula

18、tion，通用数据保护条例区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 6 府科学办公室10就发布了分布式记账技术：超越区块链11研究报告，将发展区块链技术上升到英国国家战略高度，同时指出，区块链技术中存在的硬件漏洞和软件缺陷可能带来网络安全和保密风险。报告建议英国政府加强与学术界、产业界的合作，加快区块链标准制定，正视发展区块链技术面临的来自技术本身以及应用部署方面的双重问题，以技术监管为核心，法律监管为辅助，双措并举打造区块链监管以技术监管为核心，法律监管为辅助，双措并举打造区块链监管新模式。新模式。2018年，英国政府宣布将启动新的加密货币研究工作，与金融市场

19、行为监管局（FCA）和英格兰银行合作，探索比特币等加密货币带来的潜在风险。同时，英国企业也在积极探索区块链安全相关技术。英国最大的电信公司英国电信于2016年7月提交了“减轻区块链攻击”的专利申请，旨在建设能防止对区块链进行恶意攻击的安全系统。美国：美国：鼓励探索区块链在安全领域的应用，鼓励探索区块链在安全领域的应用，注重注重区块链区块链安全安全风险风险技术应对技术应对美国在监管方面多方听证、谨慎立法，对区块链技术发展保持着警惕而友好的态度。 2018年，美国国会发布 2018年联合经济报告，提出区块链技术可以作为打击网络犯罪和保护国家经济和基础设施的潜在工具，指出这一领域的

20、应用应成为立法者和监管者的首要任务。美国国防高级研究计划局（DARPA）也正在大力投资区块链项目，旨在安全储存国防部内部高度机密项目数据。在区块链安全应对方面，2017年，美总统特朗普签署了一份7000亿美元的军费开支法案，其中10 英国政府科学办公室：Government Office for Science，为英国总理和内阁成员提供建议，确保政府决策具有科学性和远见性。 11分布式记账技术：超越区块链： Distributed Ledger Technology：beyond block chain ，来自https:/www.gov.uk/government/publicati

21、ons/distributed-ledger-technology-blackett-review。中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 7 包括授权一项区块链安全性研究，呼吁“调查区块链技术和其他分布式数据库技术的潜在攻击和防御网络应用” ，支持美国国土安全部（DHS）开展的加密货币跟踪、取证和分析工具开发项目。美国国家安全局（NSA）开发了名为MONKEYROCKET的比特币用户追踪和识别工具，通过与企业合作，从互联网的光纤连接中获取数据，监控通信内容并识别加密货币用户。除此之外，美国各大企业也积极投入提升区块链安全的技术研发中，埃森哲、 Linux基金会

22、、 IBM等都在区块链硬件安全模块、区块链云环境安全等方面推出了各自的产品和解决方案（详见附录2）。根据IDC全球区块链支出半年度指南报告预测12，美国在区块链平台软件和安全软件方面的支出将成为服务类别以外最大的支出类别，是整体增长最快的类别之一。欧洲：指出欧洲：指出区块链区块链监管监管机制机制不成熟，呼吁正视不成熟，呼吁正视区块链安全区块链安全风险风险欧洲各国对待区块链和加密货币技术的态度不一，如法国政府对区块链技术表现出兴趣，但尚未在区块链领域实施重大举措，而瑞士、德国则积极发展区块链技术和应用，并先后开启区块链在本国的规范化应用进程。2016年3月，欧洲央行在欧元体系

23、的愿景欧洲金融市场基础设施的未来13报告中提出，欧洲央行正在探索如何使区块链技术为己所用。欧洲证券和市场管理局（ESMA）成立了“特殊小组” ，进一步研究区块链技术，于2016年6月发布了一份关于应用于证券市场分布式记账技术的报告并指出，现阶段区块链技术应用的数现阶段区块链技术应用的数12 IDC，Worldwide Semiannual Blockchain Spending Guide 13 Eurosystems vision for the future of Europes financial market infrastructure 区块链安全白皮书-技术应用篇（2018 年）

24、中国信息通信研究院 8 量和范围有限，监管机制并不成熟。量和范围有限，监管机制并不成熟。此外，新加坡、俄罗斯、加拿大等国也相继通过发布政策文件、成立区块链技术研究机构等不同举措，积极开展区块链技术研究，尤其是在金融等领域探索区块链应用新模式。随着区块链技术的不断发展和安全事件的频频发生，各国对区块链的态度也逐渐趋于理性，在鼓励技术创新和应用发展的同时，也在积极推动区块链安全风险、安全问题的发现和应对。 3 3、持续推进持续推进区块链区块链安全安全标准化，助力标准化，助力技术安全技术安全发展发展在区块链技术的发展过程中，区块链各技术分支和应用领域发展程度不均衡，缺乏统一的概念术语、架构

25、及测评标准，技术和机制特性给法律和监管带来挑战等问题在不同程度上对技术的发展应用和产业化形成了阻碍。围绕技术架构规范、开发规范、身份认证等相关标准化、合规化问题，国际标准化组织和开源组织已开始启动区块链安全标准化工作，规范区块链技术应用发展。如图 1.5 所示。图 1.5 国际区块链安全标准化相关工作如图所示，ITU、ISO、W3C、GSMA、IRTF/IETF 等国际标准化中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 9 组织已在区块链技术参考架构、智能合约安全等相关方面开展了大量的标准化工作，其中： ITUITU：同步推进区块链技术安全和场景安全分析相关议题：同步推

26、进区块链技术安全和场景安全分析相关议题 ITU-T 在区块链安全议题上表现活跃，参与方众多，研究范围较广，推进路线明确。截至目前，ITU-T 成立了三个焦点组、一个问题小组，设立多个标准研究项目，围绕区块链整体发展、安全及物联网、下一代网络演进、数据管理应用等开展标准化工作。在安全方面，Q14/SG17 聚焦分布式记账技术安全问题，围绕基于区块链的应用和服务，识别安全问题和威胁，研究安全机制、协议和技术，研究个人信息保护、安全管理和互联互通安全，制定安全方案建议等。目前已开展了分布式记账技术的安全能力和威胁等 9 项区块链安全标准制定工作，分别围绕区块链技术的安全威胁、安全架构、安全保障

27、、安全服务以及具体场景（如身份管理、在线投票、电子支付、软件分发）下的安全分析。 ISOISO：设立多个研究组和工作组，推进区块链安全标准研究设立多个研究组和工作组，推进区块链安全标准研究 ISO 于 2016 年 9 月成立了区块链及电子化的分布式账本技术委员会 TC307，其下设立了多个研究组和工作组，开展区块链术语、用例、安全和隐私、身份认证、智能合约等重点方向的标准化研究工作。目前共有包括区块链和分布式账本技术参考架构（ISO/AWI 22739）、区块链和分布式账本技术安全风险和漏洞（ISO/AWI 23245 ）、区块链和分布式账本技术隐私和个人可识别信息(P

28、II)保护概述（ISO/NP TR 2324）等在内的 8 项区块链安全标准研制中。区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 10 W3CW3C：聚焦从细分技术层面创建安全规范的区块链标准聚焦从细分技术层面创建安全规范的区块链标准 W3C 于 2016 年 7 月召开了区块链专题研讨会，探讨在 Web 中应用及支持分布式账本技术，明确提出区块链需要标准来消除冗余，同时促进竞争。W3C 提出了区块链的三大标准化工作目标：一是 API和关键的数据格式标准，二是身份识别和授权标准，三是软件许可和来源标准；并呼吁创建区块链技术公共标准，为区块链安全发展和应用提供参考，其所成立

29、的区块链社区组目前暂无成果报告输出。 GSMAGSMA：关注区块链技术在通信和安全领域应用关注区块链技术在通信和安全领域应用 GSMA 于 2017 年 7 月份在 IG（Internet Group）中启动了区块链技术研究报告14，分析区块链技术特点、在运营商的应用场景、商业机会、投资分析和建议，其它工作组也在各自领域探讨区块链的应用。其中，FASG（Fraud and Security Group）重点探讨使用区块链技术防诈骗、增强网络安全、用户身份认证及通信安全。 IRTF/IETFIRTF/IETF：研究区块链安全和隐私保护技术方案研究区块链安全和隐私保护技术方案互联网架构委员会

30、 IAB 下属的 IRTF 于 2016 年 9 月设立了Blockchain, Distributed Data & Service Federation 研究项目，讨论数据分布式共享数据模型、通信协议、信息安全和隐私保护技术方案，并逐步推动制定流程、机制和协议标准，并于 2017年9月更名为 DINRG（Decentralized Internet Infrastructure Research Group）工作组，研究内容为分布式基础设施服务中的关键问题（如信任管理、标识管理、名字解析、资源/财产所有权管理、资源发现等）。 14 报告名为 Blockchain: Opportu

31、nities for enhanced operators propositions 中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 11 除国际标准化组织外，开源组织和联盟也对区块链开源框架、开发规范等作出了积极的探索。2018年5月，企业以太坊联盟（EEA）15发布了以太坊客户规范，旨在提高以太坊区块链应用程序的隐私性、可伸缩性和安全性。此外，以太坊、R3 CEV、Hyperledger-fabric等国际开源平台和联盟也相继发布了以太坊开发指南、fabric协议规范等，提出区块链开源框架、开发规范等，指导用户安全开发区块链相关程序，推动区块链技术安全发展和应用。（二）我

32、国（二）我国发展应用发展应用 1 1、技术生态结构与国外基本一致，安全服务、技术生态结构与国外基本一致，安全服务前景可期前景可期相比于国外，我国在区块链技术发展、政策引导等方面的工作起步较晚，但近几年来，各行各业对区块链关注程度较高，在充分汲取国外发展经验的同时，积极开展自身领域与区块链技术结合的探索，区块链相关产业发展迅速。从数量上看，我国活跃的区块链项目众多，占亚洲地区总量的 85.5%，与全球各国相比也高居首位；从技术生态格局上看，在我国的区块链项目中，55.4%的项目聚焦探索区块链行业应用，其次是区块链底层技术项目占 31.6%，硬件和基础设施类项目占 8.5%，而安全服务类项目

33、仅占 4.5%，总体看来，与全球技术生态格局基本一致，如图 1.6 所示。 15 企业以太坊联盟：2017 年 3 月，由摩根大通、微软、英特尔等 30 余家企业联合成立，旨在合作开发标准和技术来使企业更加容易使用以太坊区块链代码。区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 12 数据来源：中国信息通信研究院根据公开信息统计图图 1.1.6 6 我国区块链我国区块链技术生态结构技术生态结构尽管我国目前区块链企业数量众多，尤其是多数企业在行业应用方面积极布局，不断探索现有业务与区块链技术结合和应用模式，但其中不乏“区块链传销” 、 “山寨币” 、 “空气币”等行业骗

34、局，以及虚假、夸大宣传区块链产品功能作用等行业乱象，从长期的市场规范化发展来看，相关问题亟待解决和优化。此外，由于目前我国区块链发展多集中于行业应用模式的探索，多数区块链技术开发者、平台运维者、用户等安全意识普遍不高，区块链安全产品和服务的需求驱动尚不明显；尤其是在中小企业、创业团队中，受人财物等资源的限制，开发和项目管理人员往往不具备专业的区块链安全知识，更鲜少设置专门的区块链安全管理和技术人员，专门从事安全开发控制、安全测试和安全管理相关工作，多种因素导致我国区块链安全产品和服务市场尚未形成规模。随着近年来区块链平台、应用、智能合约安全事件频发，国内已有企业开始注意到区块链安全问题，

35、一方面，传统安全企业、安全团队逐渐开始布局区块链安全，在智能合约漏洞挖掘、区块链产品代码中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 13 审计、业务安全监测等方面不断开展相关实践，致力于提升区块链产品应用安全水平和抗攻击能力；另一方面，部分企业和研究机构也在开始探索“区块链+网络安全”的应用模式，致力于发掘区块链技术在提升数据安全存储、认证安全性等方面的应用价值，详见附录 3。 2 2、政策政策聚焦聚焦技术技术发展发展和应用落地，安全和应用落地，安全指导初见雏形指导初见雏形近年来，我国在政策方面频频发力，在国家层面多次强调区块链技术应用价值，鼓励推动区块链技术发展和应用。

36、2016 年 12 月发布的 “十三五”国家信息化规划中，首次指出强化区块链等战略性前沿技术的基础研发和超前布局；2018 年 5 月，习近平总书记在两院院士大会上明确提出要加强“以人工智能、量子信息、移动通信、物联网、区块链为代表的新一代信息技术加速突破应用” 。随着区块链安全问题的逐渐显现，在推动技术发展和应用落地的同时，我国在政策制定中也开始注意到区块链安全问题，从区块链安全威胁描述、安全体系构建、安全应对建议等方面加强指导。2016 年10 月，工信部信软司发布中国区块链技术和应用发展白皮书，明确指出了区块链技术面临的安全挑战与应对策略，针对当前区块链技术的安全特性和缺点，从

37、物理安全、数据安全、应用系统安全、密钥安全、风控机制等五方面描绘了区块链安全体系的构建，如图 1.7 所示。区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 14 图图 1.7 中国区块链技术和应用发展白皮书中国区块链技术和应用发展白皮书区块链安全体系区块链安全体系 2018 年 5 月，工信部信息中心发布中国区块链产业白皮书，进一步分析了底层的代码安全性、密码算法安全性、共识机制安全性、智能合约安全性、数字钱包安全性等区块链面临的安全问题，梳理了通过技术手段、代码审计等方式提供安全服务的典型企业和实践，并针对性的提出了各项应对举措。在地方性的政策层面，我国各地政府积

38、极响应国家号召，高度重视区块链技术在本地的发展，积极推动应用落地，对区块链安全的重视程度也不断提升，逐渐将区块链安全作为保障区块链发展不可或缺的重要元素强化引导。2016 年 12 月，贵阳发布贵阳区块链发展和应用白皮书，提出通过区块链建立可信安全的数字经济，加强互联网治理，解决传统模式下数据与隐私保护难等问题。北京、深圳、上海、南京等市也相继出台政策，鼓励在金融领域开展对区块链等新兴技术的研究探索，如表 1.1 所示。中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 15 表表1.1 我国我国地方性地方性区块链安全区块链安全相关相关政策政策地区政策文件政策内容北京

39、北京市“十三五”时期金融业发展规划兼顾安全性的同时，鼓励发展区块链技术等互联网金融安全技术深圳深圳市金融业发展“十三五” 规划支持金融机构加强对区块链、数字货币等新兴技术的研究探索贵阳贵阳区块链发展和应用白皮书通过区块链建立可信安全的数字经济，加强互联网治理等南京南京市“十三五”金融业发展规划以区块链技术等为核心，推进金融科技在征信、授信等领域的广泛应用上海互联网金融从业机构区块链技术应用自律规则注重创新与规范、安全的平衡，关注信息安全、防范系统风险等 3 3、加快布局区块链安全标准工作，、加快布局区块链安全标准工作，强化强化技术风险技术风

40、险防范防范为防范区块链技术应用过程面临的一系列安全风险，引导规范区块链平台、系统等相关产品的开发和部署，我国在国家标准、行业标准、产业联盟标准等不同层面全面推进区块链安全标准化工作，致力于促进区块链技术的安全、有序和长效应用，如图 1.8 所示。图图 1 1. .8 8 我国区块链安全标准我国区块链安全标准化化相关工作相关工作目前，我国区块链安全标准化工作主要集中在安全体系架构、应用和平台安全要求等方面。其中，在国家标准方面，TC26016的 WG517致力于规范基于区块链的审计信息基础设施的设计和建设，以应对审计16 TC260：全国信息安全标准化技术委员会 17 WG5：信息安全

41、评估工作组区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 16 记录篡改、敏感信息泄露等安全威胁；WG718通过研究区块链应用安全管理的原则、角色、模型，提出区块链应用安全管理的内容，制定区块链应用安全管理基本控制措施； SWG-BDS19已启动区块链安全标准体系研究项目，并制定区块链风险模型，识别区块链关键资产和主要威胁，提出支持规划、设计和实施区块链安全的一致架构，并针对该架构的关键组件明确其具体的安全能力要求。在通信行业标准方面，区块链安全标准化工作主要由 CCSA TC8 WG420负责推进，聚焦区块链安全，开展实施包括区块链开发平台网络与数据安全技术要求、区块链数

42、字资产存储与交互防护技术规范等标准项目，以及基于区块链技术的数字证书管理技术研究、区块链平台安全机制与协议研究等研究项目。（三三）小结小结总体来看，在经历了区块链技术的概念爆发期和炒作期之后，全球对区块链技术的关注程度仍然居高不下，世界各主要国家和地区竞相布局区块链发展和应用探索，区块链技术生态逐渐成型。在享受区块链释放的变革性技术红利的同时，其衍生的安全问题也在逐渐浮出水面。各国已开始在政策、标准、技术等不同层面寻求应对之策。二、区块链技术应用分层架构及安全风险分析（一一）区块链技术）区块链技术典型典型应用架构应用架构逐渐趋于共识逐渐趋于共识随着区块链技术在各行业的不断探索

43、，区块链技术应用模式日趋18 WG7：信息安全管理工作组 19 SWG-BDS：大数据安全特别工作组 20 CCSA TC8 WG4：中国通信标准化协会网络与信息安全安全基础组中国信息通信研究院区块链安全白皮书技术应用篇（2018 年） 17 成熟。如前所述，国际标准化组织、全球各主要国家、行业企业等都从各自的视角对区块链技术的应用架构进行了描述，尽管各方提出的技术架构并非完全一致，但总体看来，在区块链技术应用架构中应包含的关键层次和核心机制上已达到了高度的一致，如图 2.1 所示。图图 2.2.1 1 区块链技术区块链技术典型应用典型应用架构架构从技术架构设计的角度看，区块链技

44、术典型应用架构呈四层的层次化划分，自下而上依次包含存储层、协议层、扩展层和应用层。其中： 1 1、存储层存储层 SS：存储上层应用所需及产生的数据存储上层应用所需及产生的数据文件文件区块链的底层数据存储较为灵活，多结合文件系统、关系数据库、键值数据库等存储方式，在各参与节点侧实现区块链中“区块+链”数据结构的存储和检索，如图 2.2 所示。区块链安全白皮书-技术应用篇（2018 年）中国信息通信研究院 18 存储方式典型应用例区块数据存储数据检索其他运行数据关系数据库关系数据库文件系统 Ripple 币文件系统键值数据库比特币、Hyperledger Fabric

45、键值数据库键值数据库以太坊图图 2.2.2 2 典型典型区块链底层数据存储方式区块链底层数据存储方式如依托键值数据库等非关系型数据库，实现区块链中 “区块+链”的数据结构的存储和检索；或是采用传统文件系统存储区块数据，而只是在检索时使用“Key+Value”的键值数据库检索区块数据等。 2 2、协议、协议层层 PP：构建分布式、去信任的共识网络构建分布式、去信任的共识网络协议层通常采用 P2P 网络组网，结合各类密码学安全机制和共识机制，为上层应用构建对等、安全、信任的网络和通信基础。一是使用 P2P 技术构建对等的通信网络。区别于传统 C/S 结构的服务型网络，区块链的每个参与者都将作为 P2P 网络的一个节点，可同时充当客户端和服务端的角色，参与到校验区块信息、广播交易、新节点识别等活动中。二是依托非对称加密机制提供安全属性保障。在区块链中，数据的加密解密、签名验签、认证校验等均以非对称加密机制实现，为数据的机密性、完整性、不可伪造性和隐私的保护提供不同程度的安全保障。三

展开阅读全文