在当今信息大爆炸的时代,时刻产生海量数据难以安全可靠传输,数据安全已严重影响人们的生活,如何有效保证系统数据安全成了如今迫在眉睫的问题之一。每个人都是数据的生产者和使用者,但企业往往为保护隐私导致数据共享性差,甚至出现数据孤岛等问题。虽然数据共享技术不仅可解决信息的封闭性和单一性问题,也有效实现数据增值,但同时存在上述数据安全和隐私泄漏的缺陷。2018年Facebook遭黑客攻击,8000余万条用户信息被泄漏;2019年多个公司大量用户数据被盗,黑客私下交易8.7亿条个人数据;2020年万豪国际集团520万客人信息被泄漏等,这些被泄漏的身份信息常被不法分子用于非法活动。因此,研究新一代技术防止黑客攻击,确保数据安全具有重要的现实意义。
区块链是一种在密码学、统计学、经济学和计算机科学等多学科交叉基础上发展起来的新技术,以其去中分布式存储、匿名性高、数据一致性等优点被广泛应用于信息安全、金融、证券、数字确权、溯源等领域,实现数据的分布式存储和有效利用。区块链与隐私保护的结合可以降低第三方监管不严的风险,在一定程度上保证数据安全有效,具有更广阔的应用价值。区块链系统的安全性对系统本身意义重大,为了避免恶意节点的攻击,使交易有序进行,区块链工作者改进共识机制、优化智能合约,对网络监管进行加强,让区块链能应用到各个领域。但由于区块链技术还处在发展阶段,其在核心技术领域并不完善,导致区块链系统本身存在一些缺陷,甚至在改善的过程中产生了一些新的技术漏洞,因此本文在分析区块链关键技术的基础上,主要针对区块链现存的一些问题进行分析总结,概括了目前区块链的几项关键技术,旨在总结出区块链系统现阶段存在的问题,并给出了基于这些关键技术存在的安全问题。通过详细阐述区块链系统现存问题:(1)可以作为区块链系统开发者的参考,了解和避免常见的陷阱;(2)可以作为研究人员的指导,以促进区块链技术的分析和验证技术的发展。以期为未来的区块链发展提供更强有力的理论和现实支撑,为能更快地发现问题解决问题。因此,本文对区块链系统现存问题和安全漏洞的分析对区块链技术的发展具有极为重要的意义。
一、研究背景
1.1 区块链研究背景
“区块链”概念于2008年在《比特币:一种点对点电子现金系统》中被首次提出[2],并在比特币系统的数据加密货币体系成功应用,已成为政府、企业和学者等重点关注和研究热点。英国政府于2016年1月发布了《分布式账本技术:超越区块链》报告,指出英国政府正积极地评估区块链技术潜力,并旨在更好地用来处理领导、协作和治理之间的关系;同年11月,微软发布Azure区块链。我国于2016年10月发布了《中国区块链技术和应用发展白皮书(2016)》,预示着我国正式进入了前所未有的区块链高速发展时代;同年2月IBM公司正式推出区块链应用平台;2019年10月,习近平总书记指出区块链作为自主创新的新兴技术,将成为国家级战略部署关键技术之一。截止到2019年底,我国已经发布了25项与密码模块相关的国家标准,阿里、腾讯、京东及百度等大型互联网公司陆续推出自己的区块链服务平台;Facebook公司成立Libra协会,美国已有28个州推出区块链的相关政策,且其政府部门共提出了22项区块链相关法案。2020年我国成立区块链专委会,招商银行、农业银行和工商银行等国内金融机构纷纷推出区块链金融项目,为促进区块链快速发展奠定坚实基础。区块链技术具有去中心化存储、隐私保护、防篡改等特点,提供了开放、分散和容错的事务机制,成为新一代匿名在线支付、汇款和数字资产交易的核心,被广泛应用于各大交易平台。同时也给金融、监管机构、科技创新、农业以及政治等领域都带来了深刻的变革。以可编程社会为目标,区块链技术将同20世纪互联网技术一样,创造21世纪技术革新的新纪元。
1.2 安全漏洞研究背景
据国家信息安全漏洞共享平台统计,自2016年到2020 年的低危、中危和高危漏洞分布对比,如图 1 所示。中危漏洞发生频率最高,虽然在 2018年有所减少,但是总体处于增长状态;高危漏洞的发生频率仅次于中危漏洞,2017年下降明显,但随后几年又呈快速增长趋势;低危漏洞发生率最低,但逐年不断增长。总体来看,漏洞总量仍然处于不断上升的势态,应用程序、操作系统及数据库的安全性依然存在极大威胁。
………………
二、区块链概念
自中本聪提出区块链之后,国内外学者从不同的角度对区块链概念提出了自己的见解。如Sookhak提到区块链是一个分散的、无信任的、防干扰的、分布式的账本。Daniel认为区块链是一种新型的软件开发架构,以一种仅附加的形式使用独特的数据结构将数据连接成链,并将哈希函数作为映射数据的工具以保证数据的安全[16]。王芳将区块链定义为利用加密链式区块结构来验证与存储数据、使用分布式节点共识机制(ConsensusMechanism)来生成和更新数据,并通过智能合约(SmartContracts)来编程和操作数据的一种去中心化的基础架构与分布式计算范式[17]。袁勇、张奥将区块链理解为是一个随着时间序列不断增长的去中心化的分布式数据库,其本质是基于非对称加密算法的分布式账本技术。Yu认为区块链是电子货币帐簿系统的一种点对点技术实现,它是由参与者来维护的,可以在网络系统中没有中心服务器的情况下记录每个比特币交易记录。Halamka解释区块链是由一组不可变的分布式数字账本组成,它们负责跟踪交易并将其记录在数字块上,区块链架构中所有节点相对应地服务且不依赖中心网络服务器,因此区块链中心故障点无懈可击。Yang、魏晓旭认为区块链是采用密码学的方法将数据块连接在一起并可以进行可行性交易的分布式数据库技术,具有防篡改、可追溯、多方维护的功能,它为了实现不同各方之间的信息共享和信息监督,任何一方必须按照约定事先得到其他各方的同意。
………………
三、区块链关键技术分析
区块链技术包括密码学、默克尔树(MerkleTree)、对等节点(peer-to- peer,P2P)、共识机制以及智能合约,其区块链关键技术栈如图2所示。
区块链中密码学原理主要涉及到加密和签名,其中加密是由发送方利用接收方的公钥加密,接收方收到信息后用自己的私钥解密即可得到信息内容;签名是由发送方用自己的私钥签名,接收方用发送方的公钥验证其信息发送者的身份;两种方式皆采用非对称加密算法。默克尔树利用哈希指针构成树形数据结构,将处理后的数据连接汇总为一串哈希值,节点间的算法一致性保证了哈希指针的准确性。对等节点(P2P)组网运行在区块链系统的网络层,用于控制消息和数据之间的传输可以直接在节点之间完成,有利于各个节点监听网络发布区块以及验证信息发布交易的合法性,允许数据以快速和安全的方式存储、维护和分发。共识机制则保证了区块链中所有用户的共同参与,是实现去中心化管理的重要协议,从公知机制提出至今已有一系列的公式算法投入使用。智能合约在区块链基础上得到进一步的完善,由开始的单一堆栈脚本语言到如今可自动控制交易完成度的合约协议。
从结构来看,区块包含区块头(BlockHeader)和区块体(BlockBody)两部分,区块头中的关键信息包括当前版本号(Version)、前区块哈希值(PreviewsHash)、时间戳(Timestamp)、随机数(Nonce)以及默克尔树(MerkleTree)的哈希值(MerkleHash)等信息。前一个区块存储后一个区块的哈希值,并按生成的时间顺序进行连接,物理上是块与块之间的连接,逻辑上是链上信息的关联,构成了一个外表为链内在是数据关联的账本形式,如图3所示。区块链的关键技术加密算法、默克尔树、共识机制、智能合约详细分析如下。
四、存在的问题
区块链顺应潮流发展,同时也存在很多问题制约和阻碍其推进。为了更好地分析区块链技术发展存在问题,本章将从区块链的数据存储与交互、隐私保护、资源分配、漏洞攻击四个方面进行概括总结。
4.1 数据存储与交互
区块链作为分布式数据库在数据存储和读取方面有一定的优势,但是随着数据的增多,大部分节点无法高效存储数据,出现多形式数据存储、数据更新以及跨链时延等问题。多形式数据存储:区块链最大的优势之一是对非关系型数据的一次存储多次读取,在密集的点对点网络(P2P)体系中随机部署节点进行数据Hash存储。对于合法用户而言,他们可以查询到自己或他人的交易额、内部系统信息或黑名单信息,但所有的数据都是以字符串的形式呈现,若交易数据是视频、音频或者图片,随着网络需求的增加,网络时延使数据传输失帧,分布式账本无法保证分布式一致特性。数据更新:由于区块链的序列化特性上链的每一条数据都需要进行排序连接,因此区块交易极其缓慢。比特币交易时长平均10min一个区块,每秒约3到4笔交易,以太坊出块时间约为15s,每秒约20笔交易。相比之下,Visa支付平台每秒可处理6.5万笔交易,支付宝每秒处理8.9万笔交易,它们的交易速率是比特币和以太坊的近千倍。缓慢的交易速率极不利于数据快速存取和交互,若缩短出块时间则能最大化减少分叉产生带来的数据更新后的不一致。跨链时延:区块链结合了去中心和匿名等特点,在此基础上的加密数字货币可以在全世界范围内流通。作为一种点对点支付系统,对于跨国交易的操作比传统的支票和汇款更加方便快捷,除去人工的奔波耗时,降低了人为操作带来的失误率,同时提高了不同国家之间汇率的透明度。但随之而来的是手续费的增加,由于各个国家之间地域的跨度,造成数据传输时延大,在传输过程中更容易遭受恶意攻击,且交易确认等待时间长,因此区块链交易账本的分布式存储还需要考虑数据传输的安全性和可扩展性。
4.2 隐私保护
隐私保护指的是通过技术手段对个人或企业的隐私信息进行维护和保护的过程。以下主要将隐私保护分为用户隐私保护和企业隐私保护两大类别。(1)用户隐私保护:对用户来说,隐私保护就是保护用户不愿意被公开的数据信息。匿名化使区块链与现实世界相隔绝,用户在使用区块链时很难做到使自己的身份、IP地址、联系方式、公私钥以及姓名之间没有关联,攻击者对大量的用户交易地址使用流量分析等方式进行网络攻击。倘若所使用的账户地址没有高安全等级防护,私钥一旦泄漏,区块链没有任何更改机制,交易账户只能会遗弃。(2)企业隐私保护:区块链上交易的每一个流程都是开放且透明的,但对企业而言,数据完全透明并不意味全是优势。例如股票交易所,每一笔交易都要求实时的数据操作,所有的用户都能看见其他节点的交易数据,易造成不法分子盗用用户隐私导致财产损失,使得企业失去广大用户的信任。
4.3 资源分配
区块链具有去中心化和防篡改的特性,因此账本上的数据对于系统来说容易存在事务排序依赖、数据高冗余、不可持续发展和算力浪费等问题。事务排序依赖:以太坊中,支付以太币越多,事务排序优先级越高,处理速度越快。即当两个节点同时提交事务,花费以太币较多的节点事务优先得到处理,致使花费较少的节点一直排序等待,并且后续支付较多的节点无需等待就可加入队列优先执行事务,造成进程堵塞,进度拖欠,导致资源分配极度不均。数据高冗余:区块链依赖分布式账本这一优势,对数据进行分布式存储。但随着要记录的数据越来越多,信息呈现爆炸式增长,每个节点为保证账本高度一致,实时复制、同步、更新造成数据高度冗余,且每个节点存储容量有限,这可能在未来面临着如何处置这些数据的困境。不可持续发展:纸币之所以流通是因为它具有重复使用、可交换及市场调节等功能。但是对于虚拟货币而言,币的数量是有限的,不能随着市场经济的变化而调控,由于币的固定性,其本身无法作为货币流通。其次,每次交易过程中都会收取交易费,随着剩下区块的数量越来越少,对应的区块奖励也随之不断减少,未来交易费将成为区块产生的驱动力,无论是对经济发展还是科技进步都是不利的。算力浪费:工作量证明是一种基于计算机算力争夺记账权的共识机制,在比特币中表现为“挖矿”的方式,这是一个天然的“赏金漏洞”——参与的人越多越民主,数据越安全,公众参与度增高,问题在于减少成本的同时被攻击的可能性也随之增加。这极大地暴露了代币机制的弊端,即记账权完全由算力决定,挖矿设备专业化驱使人们花重金购买性能更高的ASIC芯片进行算力争夺,导致芯片的算力越高获得记账权的机率越大,最后争夺记账权和芯片高算力成正比。使用ASIC芯片进行大量哈希计算造成巨大能源消耗,据统计,区块链高速发展时期,每年用来挖矿的电力相当于几个核电站的总电力输出。
………………
区块链概念、背景、关键技术及存在问题分析 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/Gb3vLwC7EGP 提取码: 3j5y