区块链安全白皮书——技术应用篇.pdf
区 块 链 安 全 白 皮 书 技术应用 篇 (2018 年) 中国信息通信研究院 中国通信标准化协会 2018 年9 月 版 权 声 明 本白皮书 版 权 属于 中 国 信 息 通 信研 究 院 和 中 国 通信 标 准化协会 , 并 受法 律 保 护 。 转 载、 摘 编 或 利 用 其它 方 式 使 用 本 白 皮 书 文 字或 者 观 点 的 , 应 注明 “ 来源 中国 信 息 通 信研究院 、 中 国通 信 标 准 化 协 会 ” 。 违 反 上 述 声明 者 , 本 院 将 追 究 其 相 关法 律 责 任 。 前 言 区块链 已 成 为 近 年 来 技 术 创 新 的 热 点 名 词 和 市 场 追 捧 的 热门对 象 。 从最初 应用 于数字货币 到如 今 在 多领 域的广 泛 应用,区块 链 作 为 一 种 全 新 的 信息 存 储 、 传 播 和 管 理 机 制 , 实 现了数 据和价值 的可靠 转移 。 世 界主要 发达国家 也纷纷 加 快 该领域 的技术研 发、 战 略部署和 推广应 用 。 作为 网络时 代 的 新一轮 变革力量 , 在 与现有 技术 结合催 生新业态 新模式 的 同时 , 区块链 技 术 发 展 和 深 入 应 用 仍 需 要 漫 长 的 整 合 过 程 , 其 核心机 制、 应用 场景中 存在的潜 在风险 也给技术 应用和 现 有 网络安 全监管政 策 带来 新的挑战 。 因此 , 理 性看 待 区块 链 的 技术优 势, 强化 应对潜 在风险已 成为保障 区块链 技术的健 康 、有序 发展 的当 务之急 。 中 国信息 通信研究 院 与 中 国通信标 准化协 会 牵头 , 联合 以 下 单 位 共 同 研 究 编 制 区 块 链 安 全 白 皮 书 技 术 应 用 篇 (2018 版) 中 国移动 通信集团 公司信 息安全管 理 与运 行 中心 、 中 国移动通 信 集团 公司 研究 院 、 国 家计算机 网络应 急 技 术处理 协调中心 、 科大 国盾量子 技术股 份有限公 司、 中 兴 通 讯股份 有限公司 、 广州 大学网络 空间先 进技术研 究院、 上 海 观安信 息技术股 份有限 公司、 平 安科技 有限公司 、 三六 零 科 技有限 公司 、 深 圳市腾 讯计算机 系统有 限公司 安 全管理 部 、 北 京京东 尚科信息 技术有 限公司 。 本白 皮书从 网络 安全的 视 角 , 客观 审视区块 链技术 发展和应 用情况 , 分析探 讨 区块 链 技 术应用 分层架构 、 安全 风险和应 对框架 , 给出关 于促进 区 块 链技术 安全应用 的若干 建议, 希 望 与业 界分享, 切实提 升 区 块链技 术发展应 用安全 性。 目 录 一、从安 全视角 看 区块链技 术发展 和 应用态势 . 1 (一)全 球情况 总 观 1 1 、区块链技 术 生态 基本成型 ,网络 安 全应用开 始落地 1 2 、区块链安 全问题 逐渐浮出 水面, 引 发各界安 全思考 5 3 、 持续推进区 块 链安全标 准化, 助 力技术安 全发展 . 8 (二)我 国发展 应 用. 11 1 、技术生态 结构与 国外基本 一致, 安 全服务前 景可期 . 11 2 、政策聚焦 技术发 展和应用 落地, 安 全指导初 见雏形 . 13 3 、加快布局 区块链 安全标准 工作, 强 化技术风 险防范 . 15 (三)小 结 16 二、区块 链技术 应 用分层架 构及安 全 风险分析 16 (一)区 块链技 术 典型应用 架构逐 渐 趋于共识 . 16 1 、存储层[S]存 储上层应 用所需 及 产生的数 据文件 17 2 、协议层[P]构 建分布式 、去信 任 的共识网 络 18 3 、扩展层[E]作 为区块链 应用方 向 延伸的支 撑平台 19 4 、应用层[A]技 术在各行 业领域 应 用落地的 直接体 现 19 (二)区 块链技 术 典型应用 架构对 应 的安全风 险 . 20 1 、存储层[S]来 源于环境 的安全 威 胁 20 2 、协议层[P]核 心机制的 安全缺 陷 21 3 、扩展层[E]成 熟度不高 的代码 实 现漏洞 22 4 、应用层[A]各 类传统安 全隐患 集 中显现 23 (三)区 块链技 术 给安全监 管带来 的 挑战 . 25 三、风险 应对框 架 27 四、促进 区块链 技 术安全应 用的建 议 32 (一)强 化应用 领 域引导, 鼓励区 块 链自主可 控开发 . 32 (二)创 新监管 手 段,强化 区块链 平 台和应用 监管力 度 . 33 (三)强 化技术 风 险研究, 夯实安 全 风险应对 技术基 础 . 34 (四)加 强区块 链 网络犯罪 风险防 范 ,促进国 际合作 治 理 . 34 附录 1 针对区块链 技术核心 机制的 典 型攻击 . 36 (一)以 共识机 制 为目标的 针对性 攻 击 . 36 (二)地 址不具 名 机制对攻 击者身 份 追溯的挑 战 . 37 (三)分 布式存 储 机制对攻 击威胁 面 的扩大 . 37 (四)针 对密码 学 机制固有 安全风 险 的各类攻 击 . 38 附录 2 国外区块链 网络安全 相关实 践 . 40 附录 3 我国企业区 块链网络 安全相 关 实践 . 43 (一)中 国移动 研 究院基 于区块 链 管理 PKI 数字证 书 . 43 (二)360EOSIO-BP 节点和钱 包APP 安全审核 方案 . 45 (三)腾 讯区 块 链安全 应 用及应 对 实践 . 49 (四)平 安科技 基于国产 密码的 自 主可控联 盟链实 践 . 52 (五)观 安区 块 链移动用 户数据 资 产安全管 理实践 . 53 (六)京 东区 块 链防伪追 溯平台 . 56 附录 4 区块链安全 监管技术 平台 . 58 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 1 一、 从安 全视角看 区块链 技术发展 和应用 态势 (一)全球 情 况总 观 1、区块链 技 术 生态 基 本 成 型 , 网络 安 全 应 用 开 始落 地 区块链作 为一种 全 新的 信息 存储、 传 播和管理 机制, 通 过让用户 共同参与 数据的 计 算和存储 , 并互 相验 证数据的 真实性 , 以 “去中心 ” 和 “去信任 ” 的方 式实现数 据和价 值 的可靠转 移 。 近年 来, 区块链 技 术受到各 界的广 泛 关注, 搜 索指数 1 持续 上升, 成 为 近年 来炙 手可热的 新兴 互联 网技术 之 一 ,如图1.1 所示 。 数据来 源 中国 信通 院整 理 自 2010-2018 年Google 全球搜 索趋 势 图 1.1 2010 2018 年Google 全球 搜索趋 势四 类热点 技术 搜索 指数对比 自 2008 年中本 聪首 次提出区 块链概 念 以来, 区 块链技 术 架构 经 过十余年 的发展 已 趋于成熟 , 因此, 更多 企业把 发展重 心 放在 探索 区 块链 在各 行业领 域 的 应用模 式 上 。 据 Gartner 预测, 到 2025 年,区 块链技术 将在以 制 造 业为首 的多个 行 业制造高 达 1760 亿美元的商 业1搜索指数谷歌趋势(Google Trends)在给定时间段内的关键词搜索量统计,以百分制衡量关键词搜索 热度 区块链100 大数据20 云计算9 人工智能17 0 20 40 60 80 100 区块链 大数据 云计算 人工智能 2017 年12 月 搜索热 度 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 2 价值 2 。 目前, 区块链 技术应用 以金融 领 域为典型 代表, 向 医疗健康 、 物流、 工业 互联网 等经济社 会诸多 领 域 逐渐扩 展延伸 , 得到了普 遍的 关注和全 球性的 探 索, 如图1.2 所示 。 图 1.2 全 球区块 链技术 发展 应用情 况 根据信通 院对 1121 项全球范 围内 较 活 跃区块链 项目 的 统 计, 从 项目数量 上看, 亚 洲地区 以593 项居 首, 其中, 新加坡 、 日本、 中 国 香港等国 家和地 区 依托其传 统金融 优 势, 发展 了一批 成熟 的区块链 金 融应用; 北 美地区 的 区块链 项目 以 美 国和加拿 大为主, 已 有大量 成熟 高的 项目 和技术 应 用落地, 其 中不 乏 IBM 、Microsoft 、Amazon 等科 技巨头; 欧 洲地区 以 英国和瑞 士为首, 在 发展区块 链金融 应 用的同时 , 着重 与传 统行业 结 合, 尤其 是在爱 沙 尼亚、 马 耳他等 国 , 在国家 层面 大力支持 和主导, 给区块链 提供了 大 量的发展 应用空 间 ; 非洲地区 由 于监管政 策宽松、 挖矿成本 低等原 因 , 虽然在区 块链应 用方面较 为单 一 ,基本 集中在 数字 货币、 交易所 上, 但也形 成了一 定的 应用规 模;2数据来源Gartner ‘Forecast Blockchain Business Value, Worldwide, 2017-2030 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 3 大洋洲地区 的区 块 链应用大 多 集中 在 澳大利亚 和新西 兰 两国, 但 受限 于 当地严 格的金 融 监管政策 和高额 的 挖矿成本 , 发展 规模 和发展速 度 有限 ;南 美洲地区的现有项 目则主 要 活跃在加 密货币 交 易领域 。 从现有区 块链相 关 项目、 产品 和服务 内容上看, 目前全 球区块链 技术的应 用已初 步 形成了包 含 硬件 和 基础设施、 底层技术 、 上层应 用 和安全服 务在内 的 技术生态 格局 , 如图 1.3 所示。 图 1.3 区 块链技 术 生态 格局 其 中 , 硬 件 和 基 础 设 施 主要 为 区 块 链 运 行 提供矿机 3 等 算 力 和 硬 件支持 , 包 括矿机 生产、 矿池 服务、 矿机芯片 生产 , 以 及为区块 链提 供 云基础 设施 等 。 底层 技术一 方面为 各 类 区块链 应用提 供 底层架构 和 开发平台 等 , 起到 类基础操 作系统 的 作用, 包括 公有链 、 联盟链、 私 有链等; 另 一方面 针对上层 应用中 的 共通需求, 提供 分 布式数据 交易 等区块链 相关 技 术 , 旨在 降低 区块链 应用开发 门槛, 加 快应用落 地进 程 。上层 应用 服 务最 终用 户 ,形成 不同 行业和 场景的 应用 解决方 案 。 安全服务 则 为区 块 链提供代 码审计、 安全监测、 安全管 理等安全 性增3目前,专业矿机多使用 ASIC芯片,由矿机厂商设计架构,传统芯片厂商研发和代工生产 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 4 强 服务。 众所周知 , 区块 链 分布式、 点对点 的 通信具有 易连接 、 大协作的 特 点,基 于哈希 加密 的匿名 性能够 很好 保护用 户隐私 和证 明唯一 性, 依托公私 钥的权 限 控制赋予 数字资 产 丰富的管 理权限 。 这 些技术优 势 在为 其发 展应用 提 供大量创 新空间 的 同时, 也 使得 区 块链 逐渐成为 解 决网络和 数据安 全 存储、 传播 和管理 问题的有 效手段,在 攻击发 现 和 防御 、 安全 认证、 安全域名、 信任基 础设施建 立 、 安全 通信和数 据安 全存储 等 方面得 到 了 积极的 探索, 如图 1.4 所示 。 图 1.4 区 块链 在 网络安 全领 域的典 型应 用 例如, 在国 家层面 , 美国土安 全部 早在2015 年已开展与 Factom 4 等 区块链 企业的 合 作 , 支持区 块链在 身份管理、 国土安 全分析等 领域 的应用项 目研发 ; 俄罗斯 联 邦国防 部 于 2018 年在 其 军事 技术加速 器 (the ERA)技术园 区 建设了 区块链 研 究实验室 , 研究 将 区块链技 术 应用于 识 别 网 络 攻 击 和 保 护 关 键 基 础 设 施 等 。 在 产 业 层 面 , LaunchKey 5 、 Blockstack 6 、 Guardtime 7 等企 业均在各 自领域 推 出了 “ 区4Factom,公证通,成立于 2015 年,德克萨斯州奥斯汀区块链公司,产品包括区块链数据保护工具、企 业身份解决方案和分布式数据存储产品等 5Launchkey,去中心化认证平台 6Blockstack,总部位于旧金山,开发基于区块链技术的 DNS 7Guardtime,爱沙尼亚安全公司,开发基于区块链的安全解决方案 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 5 块链 网络 安全” 产品 和解决 方案。 目前 国际上 区块链 在 网 络安全 领 域的应用 探索详 见 附录 2 。 2 、 区 块 链 安 全 问题 逐 渐 浮出水面 ,引发各界 安 全思 考 随着区块 链 技术 在 各行业领 域的不 断 应用 , 一方 面, 其共 识机制 、 私钥管理 、 智能 合约 等存在的 技术局 限 性 和面临 的 安全 问题 逐渐显现 , 区块链平 台应用 等 安全事件 层出不 穷 。 例如, 年 月, 交 易所遭到 网络 攻击 ,造成约 亿元的 损失 ; 年 月, 智能合 约 曝出严 重 安全 漏 洞, 攻击 者可利 用漏 洞控制和 接管 其 上 运行的所 有 节点 等。 据统 计, 年到 年 月, 全 球范 围内 因区块 链 安全 事 件造成的 损失 高 达 亿美元 (约 合人 民币 亿元) 8 。 另一方面 , 区块链 去 中心、 自治 化的特点 给现有 网 络和数据 安全 监 管 手段带来 了 新 的挑 战 (如 9 中 关于数 据主 体、数 据删 除权的 要求 ) 。 各类 安 全事件的 频繁发 生 给 区块链 在新模 式 下的应用 管理敲 响 了警钟, 区块 链 安全问 题 也引发了政产学 研等各 界 的广泛重视 。 全球 主要 国家和地 区 纷纷聚 焦 区块 链 安全 , 从 政策引 导 、 加强监 管、 技 术 应对等多 方面 开展应对 ,具体 表 现在 英 国推动 政产 学研 各界合 作, 提 出“ 技术 法 律”的 区块 链 监 管 新模 式 英国政府 和央行 一 直积极响 应区块 链 技术, 希 望 凭借 占领 区块链 技 术发展 先机 ,重夺 其国际 金融 中心地 位。早 在 年 月 ,英国 政8数据来源白帽汇 9GDPRGeneral Data Protection Regulation,通用数据保护条例 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 6 府科学办 公室 10 就 发 布了 分布 式 记账 技 术 超越区 块链 11 研究报告 , 将 发展区 块链技 术 上升到英国 国家 战 略高度 , 同 时 指出, 区块链技 术 中存在的 硬件漏 洞 和软件缺 陷可能 带 来网络安 全和保 密 风险。 报 告建 议 英国政 府加强 与 学术界、 产业界 的 合作, 加 快区块 链 标准制定 , 正 视 发 展 区 块 链 技 术 面 临 的 来 自 技 术 本 身 以 及 应 用 部 署 方 面 的 双 重 问 题, 以技术 监管为核心, 法律监 管为辅助, 双措并 举打造区块 链监管 新模式 。 年, 英国政府 宣布将 启 动 新的加 密货币 研 究工作, 与金 融市场行 为监管 局 ( ) 和英格兰银 行合作, 探索比 特 币等加密 货 币带来的 潜在风 险 。 同时, 英国企 业也 在积极探 索区块 链 安全相关 技 术 。 英国最 大的电 信 公司英国 电信 于 年 月提交了 减轻 区块链攻 击 的专利申请 , 旨 在建设 能 防止对 区 块链进行 恶意攻 击 的安全系 统 。 美国 鼓励探 索区块链在 安全领域的应用, 注重 区 块链 安全风险 技术应 对 美国在监 管方面 多 方听证、 谨 慎立法, 对区块链 技术发 展 保持着 警惕而友 好的态 度。 年, 美国国会发 布 年联合经济 报告 , 提 出 区 块 链 技 术 可 以 作 为 打 击 网 络 犯 罪 和 保 护 国 家 经 济 和 基 础 设 施 的潜在工 具 , 指 出这 一领域的 应用应 成 为立法者 和监管 者 的首要任 务。 美国国防 高级研 究 计划局 ( ) 也正在大 力投资 区 块链项目, 旨 在 安全储 存国防 部内 部 高度 机密项 目数 据。在 区块链 安全 应对方 面, 年, 美总统特 朗普签署 了一份 亿美元的军 费开支 法案, 其中10英国政府科学办公室Government Office for Science,为英国总理和内阁成员提供建议,确保政府决 策具有科学性和远见性。 11 分布式记账技术超越区块链 Distributed Ledger Technologybeyond block chain ,来自 https//www.gov.uk/government/publications/distributed-ledger-technology-blackett-review。 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 7 包括 授权 一项区 块 链安全性 研究, 呼 吁 “调查区 块链技 术和其他 分布 式 数 据 库 技 术 的 潜 在 攻 击 和 防 御 网 络 应 用 ” , 支 持 美 国 国 土 安 全 部 ( ) 开展 的 加 密货币跟 踪、 取 证 和分析工 具开发 项 目 。 美国 国家 安全局 ( ) 开发 了 名 为 的比特币用 户 追踪和 识 别工具, 通过 与 企 业合作, 从 互联 网 的光纤连 接中获 取 数据 , 监 控通 信 内容并 识别加 密 货币用户 。 除此之 外, 美国各 大企业 也积极投 入提 升区块链 安全的 技 术研发中, 埃森哲 、 基金会、 等都在区 块 链硬件安 全模块 、 区 块链云环 境安全 等 方面推出 了各自 的 产品和解 决 方案 (详见 附录 ) 。 根据 全球区块链 支出半年 度指南 报 告预测 12 , 美 国 在 区 块 链 平 台 软 件 和 安 全 软 件 方 面 的 支 出 将 成 为 服 务 类 别 以 外 最大的支 出类别 , 是整体增 长最快 的 类别之一 。 欧洲 指出 区块链 监管机制 不成熟,呼吁正 视 区块链安全 风险 欧洲各国 对待区 块 链和加密 货币技 术 的态度不 一, 如 法国 政府对 区块链技 术表现 出 兴趣, 但尚 未在区 块 链领域实 施重大 举 措, 而瑞士 、 德国则积 极发展 区 块链技术 和应用 , 并 先后开启 区块链 在 本国的规 范 化 应用 进程 。 年 月, 欧洲央 行在 欧元 体系的 愿景 欧洲金 融市场基础设 施的 未来 13 报告中 提出 ,欧洲央行 正 在探 索如何使区 块链技术 为己所 用 。 欧洲 证券和 市场 管理局 ( ) 成立了 “ 特殊 小组”, 进一步 研究 区块链技术 , 于 年 月发布了一 份 关于应用 于 证券市场 分布式 记账 技术的 报告 并 指 出, 现阶段区块 链技术应用 的数12IDC,Worldwide Semiannual Blockchain Spending Guide 13Eurosystem’s vision for the future of Europe’s financial market infrastructure 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 8 量和范 围有限,监管机制 并不成熟。 此 外, 新加坡 、俄罗 斯 、 加拿大 等国也 相继 通过发 布政策 文件、 成立区块 链技术 研 究机构等 不同举 措 , 积极开展 区块链 技术研究, 尤 其是在金 融等领 域 探索区块 链应用 新 模式 。 随 着区块 链技 术的不断 发 展和安全 事件的 频 频发生, 各 国对区 块链的态 度也逐 渐 趋于理性, 在 鼓励技术 创新和 应 用发展的 同时, 也 在积极推 动 区块 链 安全风险、 安 全问题 的 发现和 应 对 。 3 、 持续推进区块链 安全 标 准 化 , 助力 技术安全发展 在区块链 技术的 发 展过程中 , 区块 链各 技术分支 和应用 领 域发展 程度不均 衡, 缺 乏 统一的概 念术语 、 架构及测 评标准 , 技术和机 制特 性 给 法 律 和 监 管 带 来 挑 战 等 问 题 在 不 同 程 度 上 对 技 术 的 发 展 应 用和 产业化形 成了阻 碍 。 围绕技 术架构 规 范、 开发 规范、 身 份认证等 相关 标准化、 合 规化问 题, 国际标 准化组 织 和开源 组织已 开 始启动 区 块链 安全标准 化工作 , 规范区块 链技术 应 用发展 。 如图 所示。 图 国际区块链安全 标准化相关工作 如图所示 , 、 、 、 、 等国际标 准化中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 9 组织已在 区块链 技 术参考架 构、 智 能合 约安全等 相关方 面 开展了大 量 的标准化 工作, 其 中 ITU同步推进区块链技术 安全和场景安全分 析相关议题 在区块链 安 全议题上 表现活 跃 , 参与 方众多 , 研 究范围较 广, 推进路 线明确 。 截至目前, 成立了三 个焦点 组 、 一个问题 小组 , 设 立 多个 标准 研究 项目 , 围绕 区块 链整体发 展、 安 全及 物联网、 下 一 代 网 络 演 进 、 数 据 管 理 应 用 等 开 展 标 准 化 工 作 。 在 安 全 方 面 , 聚焦 分布 式 记账技 术安全 问 题 , 围绕 基于区 块 链的应用 和 服务, 识别 安全问 题和威胁, 研究安 全机制、 协 议和技 术, 研究个 人 信息保护 、 安全 管 理和互联 互通安 全 , 制定安 全方案 建 议等 。 目 前已 开 展了 分布式 记账技 术的 安全能 力和威 胁 等 项区 块链安 全标 准制 定工作 , 分 别围绕 区块链技 术的安 全 威胁 、 安全 架构、 安全保障、 安 全服务以 及具体 场 景 ( 如身 份管理 、 在 线投票 、 电子支 付、 软件分发 ) 下的安全 分析 。 ISO 设立多个研究组和工 作组,推进区块链 安全标准研究 于 年 月 成立了区 块链 及 电 子化的 分 布式 账 本 技术 委 员会 , 其下 设立了多 个研究 组 和工作组 , 开展 区 块链术语 、 用 例、 安全 和隐私、 身 份认证、 智能合 约等 重点方向 的标准 化 研究工作 。 目前共有 包括区 块 链和分布 式 账本 技 术 参考架 构( )、 区块链和 分布式 账 本技术 安 全风险 和 漏洞 ( ) 、 区块链 和分布式 账本 技术 隐私和个人可 识别 信息 保护概述 ( )等在内的 项 区块链 安全 标 准 研制 中 。 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 10 W3C 聚焦从细分技术层面 创建安全规范的区 块链标准 W3C 于 2016 年 7 月 召开了区 块链专题研讨会, 探讨 在 中应 用及支持 分布式 账 本技术 , 明 确提出 区块链需 要标准 来 消除冗余 , 同 时促进竞 争 。 提出了区 块链的 三 大 标准化 工作目 标 一是 和关键的 数据格 式 标准, 二是 身份识 别和授权 标准, 三 是软件许 可和 来源标准 ; 并呼吁 创建区块 链技术 公 共标准, 为 区块链 安全发展 和应 用提供参 考 , 其 所 成立的区 块链社 区 组 目前暂无 成果 报 告输出 。 GSMA 关 注区块链技术在 通信和安全领域应 用 于 年 月份在 ( ) 中启动了 区 块链 技术 研究报告 14 ,分 析区块链技术 特点 、在运营商的 应用 场景、商业 机会、 投资 分析和 建 议 , 其它工 作组也 在 各自领域 探讨区 块 链的应用 。 其中, ( ) 重点探讨 使用区 块链技术 防 诈骗、增 强网络 安 全、用户 身份认 证 及通信安 全 。 IRTF/IETF 研 究区块链安 全和隐私保护技术 方案 互 联 网 架 构 委 员 会 下属的 于 年 月 设 立 了 研究项目, 讨论数据 分布式共 享数据 模 型、 通信 协议、 信 息安全和 隐私保 护 技术方案 , 并 逐步推动 制定流 程、 机制和协 议标准 , 并 于 年 月更名 为 ( ) 工作 组 , 研究内 容为分布 式基础 设 施服务中 的关键 问 题 (如信 任管理 、 标识管理 、 名 字解析、 资源 财产 所有权管 理、资 源 发现等 ) 。 14报告名为 Blockchain Opportunities for enhanced operators’ propositions 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 11 除国际标 准化组 织 外, 开源组织 和联 盟 也对区 块链开 源 框架、 开 发规范等 作出了 积 极的探索 。 年 月, 企 业以太 坊联 盟 ( ) 15 发 布了以 太坊客 户规 范,旨 在提高 以太 坊区块 链应用 程序 的隐私 性、 可伸缩性 和安全 性 。 此外, 以太 坊、 、 等国 际开源平 台和联 盟 也相继发 布了以 太 坊开发指 南、 协议规范 等, 提出区块 链开源 框 架、 开发规 范等, 指 导用户安 全开发 区 块链相关 程 序,推动 区块链 技 术安全发 展和应 用 。 (二)我国 发 展应 用 1 、 技 术 生 态 结 构与 国 外 基 本 一 致, 安 全 服 务 前 景可 期 相比于国 外, 我国 在 区块链 技术发 展 、 政策引导 等方面 的工作起 步较晚, 但近 几 年 来, 各行 各业对 区 块链关注 程度较 高 , 在 充分 汲取 国外 发展 经验的 同时 ,积极 开展自 身领 域与区 块链技 术结 合的探 索, 区块链相 关产业 发 展迅速 。 从 数量上 看 , 我国活跃 的区块 链 项目 众多 , 占亚洲地 区 总量 的 85.5 , 与全球各 国 相比也高 居首位 ; 从技术生 态 格局 上 看, 在 我国的 区块 链项目 中,55.4 的 项目 聚焦探索 区块 链行 业应用, 其次是 区 块链底层 技术项 目 占 31.6 , 硬件 和基 础设施类 项 目占 8.5 ,而安全 服务类项 目仅 占 4.5 ,总体 看来, 与 全球 技术 生 态 格局基 本一致 , 如图 1.6 所示。 15企业以太坊联盟2017 年3月,由摩根大通、微软、英特尔等 30 余家企业联合成立,旨在合作开发标 准和技术来使企业更加容易使用以太坊区块链代码。 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 12 数据来 源 中国 信息 通信 研究院 根据 公开 信息 统计 图 1.6 我 国区块 链 技术 生态 结构 尽管我国 目前区 块 链企 业数 量众多 , 尤 其是 多数 企业 在 行 业应用 方面积极 布局 , 不断 探索现 有业务 与 区块链技 术结合 和 应用模式,但 其中不乏 “ 区块链 传销” 、 “山 寨币 ” 、 “空气币” 等行业 骗局, 以及 虚 假、 夸大 宣 传区块 链 产品功 能作用 等 行业乱象, 从长期 的 市场规 范化 发展 来看 , 相关 问 题 亟待解 决和优 化 。 此外 , 由于目前我国 区块 链发 展多集中 于 行业 应 用模式的 探索, 多 数区块链 技术开 发 者、 平台运 维 者 、 用户等 安全意 识 普遍不 高, 区块 链安全产 品和服 务 的 需求驱 动 尚 不 明显 ; 尤其是 在中 小企业 、创业 团队 中,受 人财物 等资 源的限 制, 开发和项 目管理 人 员往往不 具备专 业 的区块链 安全知 识, 更 鲜少设 置 专门的 区 块链安 全 管理和技 术人员, 专门从事 安全开 发 控制、 安全 测 试和安全 管理相 关 工作, 多 种因素 导致 我国区块 链安全 产 品和 服务 市 场 尚未形 成规模 。 随着近年 来区块 链 平台、 应 用、 智 能 合约安全 事件频 发 , 国内 已 有 企业开始 注意 到 区块链 安 全问题 , 一方面, 传统安 全 企业 、 安 全团 队逐渐 开 始布局 区 块链安全, 在智能 合约漏洞 挖掘、 区 块链产品 代码中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 13 审计、 业务 安全监 测 等方面 不断开 展 相关 实践, 致力于 提升区块 链 产 品应用安 全水平 和 抗攻击能 力 ; 另一 方面, 部分 企业和 研究机构 也在 开 始探索 “区块 链 网 络安全 ”的应 用模 式,致 力于发 掘区 块链技 术 在 提升数 据 安 全存储 、认证 安全 性等方 面的应 用价 值,详 见附 录 3 。 2 、 政策聚焦技术 发展和 应 用 落 地, 安 全 指 导 初 见雏 形 近年来, 我 国 在政 策方面频 频发力, 在国家层 面多次 强 调 区块链 技术 应用 价值, 鼓励 推动区 块链技 术 发展和应 用 。 年 月发布 的 “十三 五”国 家信 息化规 划中 , 首次 指出 强化 区 块链 等战略 性 前沿技术 的基础 研 发和超前 布局; 年 月,习近平 总书记在 两 院 院士大 会上明 确 提 出要加 强 “ 以 人工 智能、 量子信 息、 移动通 信、 物联网、 区块链 为 代表的新 一代信 息 技术加速 突破应 用” 。 随着区块 链安全 问 题的逐渐 显现, 在推 动技术发 展和应 用 落 地的 同时, 我国 在政策 制定中也 开始注 意 到 区块链 安全问 题 , 从区块链 安 全威胁描 述、 安全 体系构建、 安全应 对建议等 方面 加 强 指导。 年 月, 工 信部信软司 发布 中国 区块 链技术和 应用发 展 白皮书 , 明 确指出了 区块链 技 术面临的 安全挑 战 与应对策 略 , 针 对当 前区块链 技 术的安全 特性和 缺 点, 从物理 安全、 数据安全、 应用系 统安全、 密 钥 安全、 风 控机制 等 五方面描 绘了 区 块 链安全体 系的构 建 , 如图 所 示。 区块链安全白皮书-技术应用篇(2018 年) 中国信息通信研究院 14 图 1.7 中国区 块链技术 和应 用发展 白皮 书 区 块链 安全体 系 年 月,工信 部信息中 心发布 中国区块 链产业 白 皮书 , 进一步分 析 了 底 层 的代码安 全性、 密 码 算法安全 性、 共识 机 制安全性 、 智能合约 安全性、 数字钱包 安全性 等 区块链面 临的安 全 问题, 梳理 了 通过技术 手段、 代 码审计等 方式提 供 安全服务 的典型 企 业和实践, 并 针对性的 提出了各项 应对举 措。 在地方性 的 政策 层 面, 我国各 地 政府 积极响应 国家号 召 , 高度重 视区块链 技术在 本 地的发展, 积极推 动应用落 地, 对区 块链安全 的 重 视 程度也 不断提 升 , 逐渐将区 块链安 全 作为 保障 区块链 发 展不可或 缺 的 重要元 素强化 引 导 。 年 月, 贵阳发布 贵 阳区 块链发展 和 应用 白 皮书, 提 出通过区 块链建 立 可信安全 的数字 经 济 , 加强 互联 网治理 , 解 决 传统 模式下 数 据与隐 私 保护难等 问题 。 北 京、 深圳、 上 海、 南京等 市也相 继出台政 策, 鼓励 在金融领 域开展 对 区块链等 新兴 技术的研 究探索 , 如表 所示。 中国信息通信研究院 区块链安全白皮书技术应用篇(2018 年) 15 表1.1 我国 地方 性 区块链 安全 相关政策 地区 政策文件 政策内容 北京 北京市 十三五 时期 金融业 发展规划 兼顾安全性的同时 , 鼓励发展区块链技 术等互联网金融安全技术 深圳 深圳市金融业发展 十三五 规划 支持金融机构加强对区块链、 数字货币 等新兴技术的研究探索 贵阳 贵阳区块链发展和应用 白 皮书 通过区块链建立可信安全的数字经济, 加强互联网治理等 南京 南京市 十三五 金融 业发展 规划 以区块链技术等为核心, 推进金融科技 在征信、授信等领域的广泛应用 上海 互联网金融从业机构区块 链技术应用自律规则 注重创新与规范、 安全的平衡, 关注信 息安全、防范系统风险等 3 、 加 快 布 局 区 块链 安 全 标 准 工 作, 强化技术风险 防范