本书根据工信部五层架构来讲解逐层分析区块链各层安全问题,并剖析经典案例,以及区块链安全中的前沿思想和技术。
第1章,从总体讲解区块链的定义,安全属性等。第2章,分析从技术角度分析主流区块链的安全属性。第3~7章,从智能合约、激励层、网络层、数据层、私钥安全剖析安全隐患与防范措施。附录,考虑有些读者的安全基础不好,对一些加密算法不甚了解,补充这部分内容。
重量级区块链安全专家联合撰写,知名专家联袂推荐,权威性与实用性毋庸置疑
条分缕析,透视应用层(智能合约)、激励层、网络层、数据层与共识、私钥等维度的安全问题与防御
为什么要写这本书
这本书的初衷是希望给区块链项目提供一些安全方面的指导来改变目前区块链项目匆匆上线,安全系数不高,安全问题层出不穷的现状,也希望正在开发或将来需要开发的区块链项目在安全方面给予足够的重视。我们认为安全问题会是区块链项目落地的主要绊脚石。一个不注意安全的区块链项目,成功系数不会很高。区块链有很好的安全属性,比如数据不可篡改、数据不会丢失、可利用一些加密技术对数据进行加密等。但是从许多与区块链有关的安全事件可以看出,区块链的安全属性不能保证区块链项目百分之百安全。本书尽量从多个不同的方面,比较系统地对区块链的安全进行分析,并且对区块链项目落地所需要考虑的因素,提供一些建议。
本书特色
本书是为数不多系统性地阐述区块链安全的书。
本书的主要特色是以深入浅出的形式讲解区块链的安全,便于读者更好地理解为什么区块链安全是一个重要的课题,以及如何解决某些区块链的安全问题。
读者对象
本书的读者对象包括:
区块链的开发者
区块链安全的架构师
区块链项目的主要技术负责人
其他对区块链安全感兴趣的人
如何阅读本书
在阅读过程中,读者可以根据工作需要将某些章节多读几遍。因为章节与章节之间的依赖性不强,完全可以根据工作需要抽出重点来读。
第1章详解区块链的安全属性,主要从保密性、数据完整性、可用性、物理安全性4个方面对区块链的安全属性进行详解。在分析过程中,本章穿插了一些实例,使得内容讲解更为直观、易懂。本章所介绍的内容,可以使读者对区块链的安全属性有更深层次的了解,对做好区块链的安全工作具有非常重要的参考价值。
由于区块链的安全性分析极具抽象性,所以第2章特意挑选了一些主流数字货币(包括比特币、以太币和Zcash),对其安全属性进行分析。通过本章的学习,读者可以了解主流数字货币的代码、密码学算法以及“钱包”等,进一步加深对区块链相关安全技术的认识。
第3章为应用与智能合约层的安全控制。本章主要从Web或者移动客户端应用程序、智能合约,以及身份与访问控制3个方面对安全问题进行分析。在当前信息技术快速发展的背景下,移动设备已经成为很多人上网的主要工具。为此,本章从一开始就对Web或者移动客户端应用程序的安全性进行了分析,让读者对相关的危险因素有所了解。在智能合约的安全方面,主要从智能合约的概念、安全编码、漏洞、开源工具等几个方面进行了分析,为读者在开发相关内容方面提供了重要的参考。在本章的最后,从多个方面对区块链的身份管理与访问控制进行了分析。通过对这部分内容的学习,读者可以了解在开发区块链的过程中,如何高效、安全地做好身份管理与访问控制等工作。
第4章为激励层安全机制设计。本章主要从激励的产生和分配以及激励层安全两方面进行了分析。首先,分别借助比特币、以太币的激励模式对激励的产生和分配进行了分析,可以让读者对区块链激励层的存在有较为直观的认识。在此基础上,本章又从激励模式的安全隐患、安全事件、法律风险以及安全措施等方面,对激励层安全进行了分析,让读者了解安全对激励层的重要性,以及如何设计才能有效避免区块链激励层安全事件的发生。
第5章为网络层安全与控制。网络层是区块链的重要组成部分,能否做好安全与控制直接影响区块链的价值。本章主要从P2P加密、客户端与节点通信加密、防御DDoS攻击3个方面进行了分析。通过对本章的学习,读者可以对网络层安全与控制的相关内容有全面的了解。这对开发过程中提高区块链的安全性具有重要指导作用。
第6章为数据层与共识安全。数据层是区块链设计的基础部分,是影响区块链能否正常运行的关键。本章主要从区块链数据加密技术、数据传输、区块链交易签名、共识攻击、区块链安全性考虑5个方面进行分析。通过本章的学习,读者可以了解关于数据层安全更多的知识。这对于提高区块链的安全,保障区块链的正常运行具有重要的参考价值。
第7章为私钥的安全。本章从私钥的重要性、使用方法、存在的问题等多个方面对私钥的安全进行了全面的分析。通过对本章的学习,读者可以对私钥安全性在区块链技术中的重要性有更深层次的认识,了解如何使用私钥才能有效避免安全问题的出现以及私钥的更新、找回与吊销等。除此之外,本章还对私钥保护的正确“姿势”、硬件钱包等内容做了分析。有了这些内容的指导,读者可以参考、拓展关于保障硬件钱包、移动钱包方面的设计思路,提高区块链的安全性。
除了上述内容,本书还包括3个附录。附录A介绍的是区块链安全基础概念、原理与分析方法,可以更好地理解区块链。当制定区块链安全性测试标准时,可以适当地参考、借鉴。附录B主要介绍DAG的基本概念、原理与主流项目,从中可以了解DAG给区块链安全带来的价值和影响。附录C介绍区块链私钥管理的一种方法,主要用于企业级数字资产的安全。
勘误和支持
本书从不同的角度来阐述区块链安全,抛砖引玉。我们不能说这本书包含了区块链项目落地需要考虑的所有安全因素,因为不可能面面俱到。区块链目前尚处于初级的技术发展阶段,新的安全隐患和新的安全措施会在发展的过程之中不断涌现。我们希望这本书是“活着”的书,通过不断地修订,尽量把新的内容添加到这本书,也欢迎区块链安全专家在这方面给我们多提一些意见。
本书不是从空中楼阁造出来的,我们参阅了大量网络公开的内容,并且引用了很多区块链安全专家在不同新闻媒体或者网络所刊登的内容以及个别面对面的交流信息。对于被引用的内容或者面对面交流的信息,我们尽量与各位专家进行了沟通,并且获得了同意,比如NEO创始人、OnChain创始人及CEO达鸿飞,NEO创始人兼核心开发者张铮文,上交所技术有限责任公司架构师朱立,复杂美CTO王志文,元界CEO顾颖(初夏虎),元界CTO陈浩,公信宝CEO黄敏强,Dfinity CEO丁磊(Tom Ding)等。不过,仍有可能某些内容与网上公开的内容存在类似或雷同之处,在所难免,敬请谅解。如果在阅读本书的过程中发现有类似的内容,请及时与我们联系,我们会在修订版中增加引用的出处。
致谢
在这里,首先要感谢高婧雅编辑,她从一开始便对本书高度重视,在写作过程中不断鼓励我们。在北京的一次会议上,高编辑和我基本上拟订了这本书的架构和一些基本内容,并且以后又经过几次优化,才有现在这本书的框架。
非常感谢本书所有的作者,他们在百忙之中抽出时间写了这本书,并且经过多次修改。应该说没有这些作者的贡献,就不会有这本书。
感谢深圳市微风智联科技有限公司的李恩典和梁福彬,他们非常有启发意义的讨论和对我负责写作的内容的多次修改,是我完成写作的最大助力。
非常感谢世界银行集团首席信息安全官、区块链实验室负责人林儒明先生,他不仅为本书做序,还在写作过程中不断鼓励我们,多次提供良好的建议。
中国万向控股有限公司副董事长、万向区块链实验室董事长兼总经理肖风博士对本书的构思和一开始的概念提出了很多宝贵意见,给予我们很大的帮助,同时还为本书作序,在此也表示感谢。
北京理工大学计算机学院副院长、网络与信息安全学科方向责任教授祝烈煌也为本书作序,在这里表示诚挚的感谢。
中国电子技术标准化研究院区块链研究室主任李鸣为本书写了推荐语,在此也表示感谢。
本书一共有9位作者,在著作委托书的联合签名上,我们第一次使用了区块链技术。感谢北京信任度科技有限公司CEO马臣云(也是本书的作者)的大力支持,我们利用该公司的信签电子合同签署平台非常快捷地完成了多人的电子签名。签署后的文档存储在由第三方CA机构、司法鉴定中心等组建的可信联盟链上。存证验证地址:http://bc.trustdo.cn/result.ht-ml?evidenceId=0x992c316f99baa714006424b6e86a87826dfd6d4cf4af3dbf9a75e3ebb5af6496。
存证有关信息如下。
存证地址:0x992c316f99baa714006424b6e86a87826dfd6d4cf4af3dbf9a75e3ebb5af6496。
存证时间:2018-03-25 07:47:04。
存证内容:fileHash:81e4324b2c842dd05ee977670fba5d6a,fileName:黄连金-吴思进-曹锋-季宙栋-马臣云-尚维斯-李恩典-徐浩铭-翁俊杰委托书.pdf。
黄连金
计算机\安全
本书是全球为数不多关注区块链安全问题的专著。我期待更多的人在区块链及其他革命性技术创新初期就意识到安全问题的重要性。愿更多的研发人员、商业人士,以及政策制定者都来关注安全问题。我们会因此而更有信心应对未来技术应用过程中的各种挑战。
——林儒明 世界银行集团首席信息安全官、区块链实验室负责人
作为一名非技术背景的区块链信徒,阅读这样一本洋溢着精深技术见解的区块链安全著作,仍然从中学到很多,悟到更多。诚所谓见仁见智,乐山乐水是也!故不论“币圈”“链圈”,无论专业背景,特推荐之,必有收获焉!
——肖风 中国万向控股有限公司副董事长、万向区块链实验室董事长兼总经理
阅读时,我感受到本书行文流畅,在学习前沿、有价值研究成果的同时,体会到阅读的快乐,释放创新的热情。希望更多的人了解区块链,在未来的区块链模式中夯实区块链安全的基石,从而使区块链及其应用更加坚不可摧,更具魅力。
——祝烈煌 北京理工大学计算机学院副院长、教授
创新和安全永远是新技术发展的双刃剑,本书是较早系统阐述区块链安全的专业资料,具有非常高的实用价值,必将为区块链的发展起到抛砖引玉的作用。
——李鸣 中国电子技术标准化研究院区块链研究室主任
封面署名:黄连金 吴思进 曹锋 季宙栋 等编著扉页署名:黄连金 吴思进 曹锋 季宙栋 马臣云 达摩 李恩典 徐浩铭 翁俊杰 编著:黄连金 Dynamic Fintech Group管理合伙人、世界区块链组织(WBO)首席技术官、分布式商业应用公司CEO和创始人、Cybervein 总顾问,多次在国内外大型区块链峰会分享。
吴思进 33复杂美创始人及CEO,金融数据专家,精通量化交易及区块链,主导多家世界500强区块链项目落地,申请专利50余项,全球区块链专利排名前十,行业经验丰富。
曹锋 PCHAIN发起人,中物联区块链协会首席科学家。中国早期区块链国际专利发明人,ChinaLedger共同发起人,曾担任IBM全球下一代人机大战中国区负责人等重要职务。
季宙栋 Onchain分布科技首席战略官,本体联合创始人,(工信部)中国区块链技术与产业发展论坛副秘书长,参与工信部区块链白皮书、标准编制工作。
马臣云 北京信任度科技CEO、信息安全与产品管理专家。曾获科技进步二等奖(国家密码局)、全国五一劳动奖章等,对密码技术、电子签章与合同、身份认证等有深刻认知与经验。
达摩 BOX.LA项目发起人,原唯链COO,参与众多知名区块链项目的早期投资。
李恩典 分布式商业应用公司董事与中国区总裁、微风智联科技有限公司董事长。在区块链、大数据、物联网等领域均有丰富实战经验,以及多项发明专利。
徐浩铭 CyberVein数脉链项目技术负责人。毕业于剑桥大学,曾在卡内基-梅隆大学、杜克大学访学,对区块链、机器视觉与深度学习工程化有独到见解。
翁俊杰 第一批Fabric应用开发者,NEO、Onchain与Ontology区块链核心开发人员。在票据、供应链、积分、征信、数据交易、共享金融等多个领域有区块链应用经验。
作者简介
序一 多边界的区块链安全防守
序二 区块链安全观之我见
序三 安全是区块链发展和应用的基石
前言
第1章 详解区块链的安全属性 1
1.1 保密性 2
1.1.1 比特币的半匿名性 3
1.1.2 Hyperledger Fabric CA的动态交易证书 6
1.1.3 用零知识证明做数据加密 7
1.1.4 使用状态通道让数据不可见 10
1.1.5 同态加密 16
1.2 数据完整性分析 17
1.2.1 签名与验证 17
1.2.2 共识机制 17
1.2.3 数据上链 18
1.2.4 时间戳 18
1.2.5 开源 19
1.3 可用性 19
1.4 物理安全性 20
1.4.1 物联网和安全性 20
1.4.2 区块链和物联网 21
1.5 本章小结 22
第2章 主流区块链安全属性分析 23
2.1 比特币 23
2.2 以太币 31
2.3 Zcash 34
2.4 本章小结 37
第3章 应用与智能合约层的安全控制 39
3.1 Web与移动客户端应用安全 39
3.1.1 注入 39
3.1.2 失效的身份认证与会话管理 41
3.1.3 跨站脚本漏洞 42
3.1.4 不安全的直接对象引用 43
3.1.5 安全配置错误 45
3.1.6 敏感数据泄漏 46
3.1.7 功能级访问控制缺失 47
3.1.8 跨站请求伪造 48
3.1.9 使用已知易受攻击组件 49
3.1.10 未验证的重定向和转发 51
3.2 智能合约的安全 52
3.2.1 智能合约简介 52
3.2.2 智能合约安全编码的最佳实践 54
3.2.3 智能合约的几个安全漏洞 79
3.2.4 智能合约安全的开源工具 82
3.2.5 智能合约的形式化验证 85
3.2.6 智能合约的虚拟机安全 86
3.2.7 智能合约的安全开发过程建议 90
3.2.8 从DevOps到DevSecOps:智能合约开发须知 91
3.3 智能合约中的身份管理与访问控制 94
3.3.1 传统身份管理与访问控制系统的问题 94
3.3.2 智能合约的身份管理 95
3.3.3 身份链的定义和国外典型身份链的分析 97
3.3.4 身份链的生态系统 98
3.3.5 身份智能合约 99
3.3.6 区块链落地的身份管理与访问控制考虑 100
3.4 本章小结 101
第4章 激励层安全机制设计 103
4.1 激励的产生和分配 103
4.1.1 激励机制价值 103
4.1.2 比特币激励 104
4.1.3 以太币激励 106
4.1.4 其他通证激励 108
4.2 激励层安全分析 111
4.2.1 通证激励模式的安全隐患 111
4.2.2 通证激励安全事件分析 112
4.2.3 通证激励安全事件反思 115
4.2.4 通证激励的法律风险 116
4.2.5 通证激励的安全措施 118
4.3 本章小结 119
第5章 网络层安全与控制 121
5.1 P2P加密 121
5.1.1 区块链与P2P网络的关系 121
5.1.2 区块链上的P2P应用与加密 122
5.2 客户端与节点通信加密(联盟链) 126
5.2.1 恶意客户端作恶方式及后果 126
5.2.2 P2P网络安全机制 128
5.2.3 联盟链如何确保客户端和节点的可信任 129
5.2.4 主流联盟链通信安全实现剖析 133
5.3 防御DDoS攻击 138
5.3.1 例说DDoS攻击危害与处理 139
5.3.2 区块链网络如何防御DDoS攻击 142
5.4 本章小结 144
第6章 数据层与共识安全 145
6.1 区块链数据加密技术的应用 145
6.1.1 如何使用这些加密技术形成区块链 145
6.1.2 安全性阐述 149
6.2 数据传输 151
6.2.1 加密数据传输 151
6.2.2 数字证书的定义 152
6.2.3 超级账本中CA的实现 152
6.3 区块链交易签名 163
6.3.1 数字签名与交易安全 163
6.3.2 典型的数字签名技术剖析 166
6.4 共识攻击 168
6.5 区块链安全性考虑 174
6.6 本章小结 175
第7章 私钥的安全 177
7.1 私钥安全的重要性 177
7.2 主流区块链私钥的使用方法和问题分析 178
7.3 私钥保护的正确“姿势” 184
7.4 硬件钱包介绍 185
7.5 移动钱包如何提升安全性 187
7.6 浅析私钥更新、找回与吊销 192
7.7 本章小结 194
附录A 区块链安全基础概念、原理与分析方法 195
附录B 区块链的DAG技术和安全分析 211
附录C 企业级数字资产保护 219
