2018年区块链安全白皮书——技术应用篇.pdf

区块链安全 白皮书 技术应用篇 （ 2018 年） 中国信息通信研究院 中国通信标准化协会 2018年 9月 版权声明 本白皮书 版权属于 中国信息通信研究院 和中国通信标准化协会 ，并受法律保护 。 转载、摘编或利用其它方式使用 本白皮书文字或者观点的，应 注明 “ 来源： 中国信息通信研究院 、中国通信标准化协会 ” 。违反上述声明者，本院 将追究其相关法律责任。 前 言 区块链 已成为近年来技术创新的热点名词和市场追捧的热门对象 。 从 最初 应用于数字 货币 到如今 在 多 领域的广泛应用 ，区块 链 作为一种全新的 信息 存储、传播和管理机制，实现了数据和价值的可靠转移。 世界主要 发达国家也纷纷加快该领域的技术研发、战略部署和推广应用 。 作为 网络时代的 新一轮 变革力量 ， 在 与现有技术结合催生新业态新模式的同时 ， 区块链 技术发展和 深入应用仍需要漫长的整合过程 ，其 核心机制、应用场景中存在的潜在风险也给技术应用和 现有 网络安全监管政策 带来 新的挑战 。因此， 理性看待 区块链的 技术优势， 强化应对潜在风险已成为 保障 区块链技术 的健康 、 有序发展 的当务之急 。 中国信息通信研究院 与 中国通信标准化协会 牵头 ，联合以下单位共同研究编制 区块链安全白皮书 技术应用篇（ 2018 版） ： 中国移动通信集团公司信息安全管理 与运行中心 、 中国移动通信 集团公司 研究院 、 国家计算机网络应急技术处理协调中心、科大国盾量子技术股份有限公司、中兴通讯股份有限公司 、 广州 大学网络空间先进技术研究院、 上海观安信息技术股份有限公司、 平安科技有限公司、 三六零科技有限公司、 深圳市腾讯计算机系统有限公司 安全管理部 、北京京东尚科信息技术有限公司 。本白皮书从网络安全的视角，客观审视区块链技术发展和应用情况，分析探讨 区块链技术应用分层架构、安全风险和应对框架，给出关于促进区块链技术安全应用的若干建议，希望 与业界分享，切实提升区块链技术发展应用安全性。 目 录 一、从安全视角看区块链技术发展和应用态势 . 1 （一）全球情况总观 . 1 1、区块链技术 生态基本成型，网络安全应用开始落地 . 1 2、区块链安全问题逐渐浮出水面，引发各界安全思考 . 5 3、 持续推进区块链安全标准化，助力技术安全发展 . 8 （二）我国发展应用 . 11 1、技术生态结构与国外基本一致，安全服务前景可期 . 11 2、政策聚焦技术发展和应用落地，安全指导初见雏形 . 13 3、加快布局区块链安全标准工作，强化技术风险防范 . 15 （三）小结 . 16 二、区块链技术应用分层架构及安全风险分析 . 16 （一）区块链技术典型应用架构逐渐趋于共识 . 16 1、存储层 S：存储上层应用所需及产生的数据文件 . 17 2、协议层 P：构建分布式、去信任的共识网络 . 18 3、扩展层 E：作为区块链应用方向延伸的支撑平台 . 19 4、应用层 A：技术在各行业领域应用落地的直接体现 . 19 （二）区块链技术典型应用架构对应的安全风险 . 20 1、存储层 S：来源于环境的安全威胁 . 20 2、协议层 P：核心机制的安全缺陷 . 21 3、扩展层 E：成熟度不高的代码实现漏洞 . 22 4、应用层 A：各类传统安全隐患集中显现 . 23 （三）区块链技术给安全监管带来的挑战 . 25 三、风险应对框架 . 27 四、促进区块链技术安全应用的建议 . 32 （一）强化应用领域引导，鼓励区块链自主可控开发 . 32 （二）创新监管手段，强化区块链平台和应用监管力度 . 33 （三）强化技术风险研究，夯实安全风险应对技术基础 . 34 （四）加强区块链网络犯罪风险防范，促进国际合作治理 . 34 附录 1 针对区块链技术核心机制的典型攻击 . 36 （一）以共识机制为目标的针对性攻击 . 36 （二）地址不具名机制对攻击者身份追溯的挑战 . 37 （三）分布式存储机制对攻击威胁面的扩大 . 37 （四）针对密码学机制固有安全风险的各类攻击 . 38 附录 2 国外区块链网络安全相关实践 . 40 附录 3 我国企业区块链网络安全相关实践 . 43 （一）中国移动研究院：基于区块链管理 PKI 数字证书 . 43 （二） 360： EOSIO-BP 节点和钱包 APP 安全审核方案 . 45 （三）腾讯：区块链安全 应用及应对实践 . 49 （四）平安科技：基于国产密码的自主可控联盟链实践 . 52 （五）观安：区块链移动用户数据资产安全管理实践 . 53 （ 六）京东：区块链防伪追溯平台 . 56 附录 4 区块链安全监管技术平台 . 58 中国信息通信研究院 区块链安全白皮书 技术应用篇（ 2018 年） 1 一、 从安全视角看 区块链 技术 发展和应用 态势 （一）全球 情况总观 1、区块链 技术生态基本成型，网络安全应用开始落地 区块链作为一种全新的 信息 存储、传播和管理机制，通过让用户共同参与数据的计算和存储，并互相验证数据的真实性，以 “ 去中心 ”和 “ 去信任 ” 的方式实现数据和价值的可靠转移 。近年来，区块链技术受到各界的广泛关注， 搜索指数 1持续 上升，成为 近年来炙手可热的新兴 互联网技术之一 ，如图 1.1 所示 。 数据来源： 中国信通院整理 自 2010-2018 年 Google 全球搜索趋势 图 1.1 2010 2018 年 Google 全球搜索趋势四类 热点 技术搜索 指数 对比 自 2008 年中本聪首次提出区块链概念以来， 区块链技术架构 经过十余年的发展已 趋于 成熟 ， 因此， 更多 企业 把发展重心放在 探索 区块链 在各行业领域的 应用模式 上 。 据 Gartner 预测， 到 2025 年，区块链技术将在以制造 业为首的多个行业制造高达 1760 亿美元的商业1 搜索 指数：谷歌趋势（ Google Trends）在 给定 时间 段 内的关键词 搜索 量统计 ，以百分制衡量关键词搜索热度 区块链： 100大数据： 20云计算： 9人工智能： 17020406080100区块链 大数据 云计算 人工智能2017年 12月搜索热度 区块链安全白 皮书 -技术应用篇（ 2018 年 ） 中国信息通信研究院 2 价值 2。 目前， 区块链技术应用 以金融领域为典型代表， 向 医疗健康、物流、工业互联网等经济社会诸多领域 逐渐 扩展延伸 ，得到了普遍的关注和全球性的探索， 如图 1.2 所示。 图 1.2 全球区块链技术发展应用情况 根据信通院对 1121 项 全球范围内 较 活跃区块链项目 的 统计， 从项目数量上看， 亚洲地区 以 593 项居首，其中，新加坡、日本、中国香港等国家和地区依托其传统金融优势，发展了一批成熟的区块链金融应用； 北美地区 的 区块链 项目 以美国和加拿大为主， 已 有大量成熟高的 项目和技术应用落地，其 中不乏 IBM、 Microsoft、 Amazon 等科技巨头； 欧洲地区 以英国和瑞士为首，在发展区块链金融应用的同时，着重 与 传统行业结合，尤其是在爱沙尼亚、马耳他等国，在国家层面大力支持和主导，给区块链提供了大量的发展应用空间； 非洲地区 由于监管政策宽松、挖矿成本低等原因，虽然在区块链应用方面较为单一，基本集中在数字货币、交易所上，但也形成了一定的应用规模；2 数据来源： Gartner Forecast: Blockchain Business Value, Worldwide, 2017 -2030