區塊鏈典型應用架構安全風險和應對分析

戴方芳 樊曉賀 崔梟飛 孟 楠

中國信息通信研究院 北京 100191

引言

區塊鏈最初作為構建比特幣的基礎技術被提出[1]，盡管由于其價值波動過高和監管困難等原因，比特幣在中國、俄羅斯、歐盟曾一度被叫停[2-4]。但區塊鏈技術卻憑借其在推動數據存儲方式轉型和信任機制重塑方面的技術優勢，在金融、醫療、能源、通信等各行業領域得到了大量的探索應用。區塊鏈技術以犧牲適量的計算力、帶寬或存儲資源的方式換取了安全性，但其分布式、自組織等顛覆性本質也引發了一些不容忽視的安全影響，如隱匿性強導致網絡安全事件難以追溯、無中心化特性擴大威脅面、數據安全責任邊界模糊等。目前，國內外學者已對區塊鏈的技術局限性和潛在風險進行了多方面的研究。文獻[5]指出一旦一個或一群節點控制了整個區塊鏈網絡51%以上的算力，并聯合起來攻擊整個系統，則可能篡改生成的區塊內容，甚至開展拒絕服務攻擊影響整個區塊鏈系統的運行；文獻[6-7]分析了區塊容量限制對區塊鏈大量增長的業務存儲需求的制約；文獻[8]指出了交易延遲可能引發區塊鏈中的業務欺騙攻擊；文獻[9]分析了區塊鏈的強隱匿性給網絡安全事件和網絡犯罪追蹤溯源帶來的挑戰，指出基于區塊鏈技術的加密貨幣已成為不法分子勒索贖金、實施暗網交易的主要手段。

因此，為研究區塊鏈技術本身的安全缺陷和應用過程中可能面臨的安全問題，本文對區塊鏈的典型架構及其安全風險框架進行了分析，并提出了應對舉措。具體如下：第1部分梳理了區塊鏈技術的典型應用架構，第2部分分析了區塊鏈典型應用架構對應的安全風險框架，第3部分提出了風險應對舉措，第4部分對文章進行了總結。

1 區塊鏈典型應用架構

作為一種全新的數據存儲、傳播和管理機制，區塊鏈通過讓用戶共同參與數據的計算和存儲，并互相驗證數據的真實性，以一種去中心和去信任的方式實現了數據和價值的可靠轉移。隨著區塊鏈技術在各行業領域的不斷探索應用，其應用模式日趨成熟，由存儲層、協議層、擴展層和應用層構成的區塊鏈技術典型應用架構逐漸趨于共識，如圖1所示。

圖1 區塊鏈技術典型應用架構

1.1 存儲層

區塊鏈的存儲層負責存儲上層應用所需及產生的各類數據文件，存儲方式較為靈活，多結合文件系統、關系數據庫、鍵值數據庫等方式，在各參與節點側實現區塊鏈中數據的存儲和檢索，如依托鍵值數據庫等非關系型數據庫，實現“區塊+鏈”的數據結構的存儲和檢索；或是采用傳統文件系統存儲區塊數據，只是在檢索時使用“Key+Value”的鍵值數據庫檢索區塊數據等，如圖2所示。

圖2 典型區塊鏈底層數據存儲方式

1.2 協議層

區塊鏈協議層通常采用P2P網絡組網，結合各類密碼學安全機制和共識機制，為上層應用構建對等、安全、信任的網絡和通信基礎，具體包括以下三點。

1)P2P機制構建對等通信網絡：區別于傳統C/S結構的服務型網絡，區塊鏈的每個參與者都將作為P2P網絡的節點，可同時充當客戶端和服務端，參與到校驗區塊信息、廣播交易、新節點識別等。

2)非對稱加密機制提供安全屬性保障：在區塊鏈中，數據的加密解密、簽名驗簽、認證校驗等均以非對稱加密機制實現，為數據的機密性、完整性、不可偽造性和隱私保護提供不同程度的安全保障。

3)共識機制維持區塊鏈有序運行：通過共識機制，相互間未建立信任關系的區塊鏈節點可共同對數據寫入等行為進行驗證，以大多數節點達成一致的信任構建方式，擺脫對傳統中心化網絡中信任中心的依賴。

1.3 擴展層

作為區塊鏈應用方向延伸的支撐平臺，在上層應用和底層技術機制之間，以可執行代碼的方式，為用戶實現復雜業務流程的自動化；或是通過設置激勵/懲罰機制，規范區塊鏈節點貢獻自身存儲和計算資源，共同推動網絡和業務的高效運行。目前，擴展層的實現主要以在以太坊之上開發和運行的智能合約為主，實現在各類交易場景中，交易雙方或多方間協議在滿足條件時的自動執行。

1.4 應用層

應用層是區塊鏈技術在不同行業領域的各類應用場景和案例最直接體現。在支付結算、證券、票據、醫療健康、供應鏈等應用方向上通過App、Web平臺等不同形式服務于最終用戶。與區塊鏈技術架構的其他層次相比，應用層最直觀地體現了區塊鏈技術的應用價值，因此，目前在國內外區塊鏈技術生態中，對區塊鏈技術應用方向的探索尤為活躍，覆蓋加密貨幣、交易清算、能源交易、商品溯源等金融和實體領域。

2 安全風險

盡管區塊鏈的防篡改、分布式存儲、用戶匿名等技術優勢為其發展應用提供了大量的創新空間，但目前區塊鏈技術在各領域的應用模式仍處于大量探索階段，其深入應用仍需漫長的整合和發展過程。區塊鏈技術本身仍存在一些內在安全風險，去中心化、自組織的顛覆性本質也可能在技術應用過程中引發一些不容忽視的安全問題，如圖3所示。

圖3 區塊鏈安全風險框架

2.1 存儲層：來源于環境的安全威脅

如前所述，區塊鏈存儲層通常結合分布式數據庫、關系/非關系型數據庫、文件系統等存儲形式，存儲上層應用運行過程中產生的交易信息等各類數據，可能面臨基礎設施安全風險、網絡攻擊威脅、數據丟失和泄露等，威脅區塊鏈數據文件的可靠性、完整性及存儲數據的安全性，具體包括以下三點。

1)基礎設施安全風險：主要為來自區塊鏈存儲設備自身以及所處環境的安全風險，如LevelDB、Redis等數據庫中可能存在未及時修復的安全漏洞，導致未經授權的區塊鏈存儲設備訪問和入侵，或者存放存儲設備的物理運行、訪問環境中存在的安全風險；

2)網絡攻擊威脅：包括DDoS攻擊、利用設備軟硬件漏洞進行的攻擊、病毒木馬攻擊、DNS污染、路由廣播劫持等傳統網絡安全風險。

3)數據丟失和泄露：針對區塊數據和數據文件的竊取、破壞，或因誤操作、系統故障、管理不善等問題導致的數據丟失和泄露，以及線上和線下數據存儲的一致性問題等。例如，EOS的IO節點可通過原生插件，將不可逆的交易歷史數據同步到外部數據庫中，外聯數據庫數據在為開發者和用戶提供了便利的同時，也可能引發更多的數據丟失和泄露風險。

2.2 協議層：核心機制的安全缺陷

協議層結合共識機制、P2P網絡、密碼機制等，實現區塊鏈用戶網絡的構建和安全機制的形成。該層安全風險主要由區塊鏈技術核心機制中存在的潛在安全缺陷引發，包括來自協議漏洞、流量攻擊以及惡意節點的威脅等。

1)協議漏洞：容易引發算力攻擊、分叉攻擊、女巫攻擊的共識機制漏洞 ，以及引發DDoS攻擊的P2P協議缺陷等。不安全的協議以及協議的不安全實現，給攻擊者提供了大量的可乘之機，不僅影響整個區塊鏈系統的一致性，也可能違背區塊鏈的防篡改性。

2)流量攻擊：攻擊者可通過BGP劫持、竊聽、TCP Flood攻擊等多種手段，接管區塊鏈網絡中一個或多個節點的流量，達到迫使區塊鏈網絡分割、交易延遲、用戶隔離、交易欺詐等攻擊目的。盡管目前并未有此類攻擊案例被披露，但相關攻擊代碼已在部分網絡開發社區上公開。

3)惡意節點：完全公開透明的區塊鏈——公有鏈對加入其中的用戶不設任何訪問授權機制，惡意節點可在加入后刻意擾亂區塊鏈運行秩序、破壞正常業務；而私有鏈、聯盟鏈中盡管設置了不同等級的訪問權限控制機制，也可能有惡意節點通過仿冒、漏洞利用等手段非法獲取或提升權限進而開展攻擊，或節點間聯合作惡的情況發生。

2.3 擴展層：成熟度不高的代碼實現

目前，在區塊鏈擴展層較典型的實現是智能合約或稱可編程合約，由于智能合約的應用起步較晚，大量開發人員尚缺乏對智能合約的安全編碼能力，其風險主要來源于代碼實現中的安全漏洞。

1)合約開發漏洞：合約處理邏輯的正確性、完備性是智能合約的基本要求，由于智能合約的開發者能力、安全編碼水平良莠不齊，或是出于利益原因，智能合約的開發中可能存在安全漏洞和后門，使區塊鏈錢包、眾籌、代幣發行等智能合約典型應用中出現不安全的代碼實現，可能引發合約控制流劫持、未授權訪問、拒絕服務等后果。

2)合約運行安全：作為區塊鏈2.0的核心，智能合約運行環境的安全性是區塊鏈安全的關鍵環節，目前，部分區塊鏈項目會設計并使用自己的虛擬機環境，一旦在運行環境中存在虛擬機自身安全漏洞，或驗證、控制等機制不完善等，攻擊者可通過部署惡意智能合約代碼，擾亂正常業務秩序，消耗整個系統中的網絡、存儲和計算資源，進而引發各類安全威脅。

2.4 應用層：各類傳統安全隱患集中

應用層直接面向用戶，涉及不同行業領域的應用場景和用戶交互，該層業務類別多樣、交互頻繁等特征也導致各類傳統安全隱患集中，成為攻擊者實施攻擊、突破區塊鏈系統的首選目標。應用層安全風險涉及私鑰管理安全、賬戶竊取、應用軟件漏洞、DDoS攻擊、環境漏洞等。

1)私鑰管理安全：私鑰的安全性是區塊鏈中信息不可偽造的前提 ，區塊鏈中用戶負責生成并保管自己的私鑰于本地，并可能根據使用需求在單點或多點進行私鑰文件備份，該環節不安全的存儲可導致私鑰文件泄露或被竊取，威脅用戶數字資產安全。

2)賬戶竊取：攻擊者可利用病毒、木馬、釣魚等傳統攻擊手段竊取用戶賬號，進而利用合法用戶賬號登錄系統進行一系列非法操作。

3)應用軟件漏洞：應用層的開源區塊鏈軟件中存在大量因開發問題而引發的輸入驗證、API誤用、內存管理等安全漏洞。

4)DDoS攻擊：除對底層協議缺陷的DDoS攻擊外，攻擊者也可在應用層發起針對性的DDoS攻擊，影響各類應用業務的可用性。

5)環境漏洞：區塊鏈應用所在服務器上的惡意軟件、系統的安全漏洞、配置不當的安全管理策略等都可能成為攻擊者攻破區塊鏈應用的脆弱點。

3 風險應對框架

圖4 區塊鏈安全風險應對框架

區塊鏈技術的安全應用需綜合考慮其技術架構本身，以及應用在不同場景中可能面臨的各類安全風險。基于區塊鏈技術的系統應用普遍擁有較高的復雜度，需要根據存儲層、協議層、擴展層、應用層等不同層面的風險來源和成因，從編碼、部署、管理等環節實施針對性的應對措施以降低風險。因此，本文基于區塊鏈安全風險應對四要素，構建風險應對框架，具體包括以下四點。

1)要素1：安全風險，包括從技術架構各層次梳理的4大類13小類安全風險；

2)要素2：應對措施，應對各類安全風險應實施的安全措施；

3)要素3：映射，風險和應對的映射關系；

4)要素4：責任主體，包括區塊鏈開發者、區塊鏈用戶和區塊鏈平臺運行者。

區塊鏈安全風險應對框架如圖4所示。

1)安全開發：包括區塊鏈應用開發者、智能合約開發者、區塊鏈平臺開發者等在內的各類區塊鏈開發者，應實施規范的開發流程，使用規范的開發和編譯工具，預留充分的上線試運營周期等，降低編碼過程中引入安全風險的幾率。

2)代碼審計：區塊鏈開源的特性使得攻擊者可以便捷地獲得代碼，通過分析代碼的邏輯缺陷找到攻擊突破口。因此，區塊鏈開發者應在產品上線發布前，采用自動化或人工的方式，對代碼架構、邏輯流程、關鍵功能模塊開展足夠的靜態代碼分析、交互式代碼審計等源代碼安全檢查工作，以檢查代碼中的安全缺陷和安全隱患。

3)安全評估和測試：通過對區塊鏈技術架構、應用場景、攻擊模式等開展針對性的安全評估和測試，及時識別運行環境、基礎設施、核心協議、智能合約以及應用軟件等各層面存在的安全漏洞，發現并采取措施應對安全風險；對算力的集中度、節點的分散度以及基礎設施的可靠性和安全性進行評估。一方面，區塊鏈開發者可借助貫穿開發生命周期的安全評估和測試，在相關產品投入市場前及時降低產品安全隱患；另一方面，區塊鏈平臺、系統的運行維護者也可在產品運行過程中定期或不定期地開展安全評估和測試，及時發現和解決安全問題。

4)安全配置：軟件、硬件、協議、系統等層面不安全的配置也可能成為引入安全風險的原因，如開放了不必要的系統服務訪問、設置了不當的權限管理原則等。為此，區塊鏈平臺、系統的運行維護者需要實施安全的配置以限制脆弱性的暴露，從各方面縮小攻擊面，包括關閉和限制不必要的服務和端口，對系統資源、用戶權限等采用“最小特權原則”管理，合理部署智能合約外部調用接口安全參數，為私鑰文件配置硬件冷備份，盡量引入無關聯利益關系的實體以降低節點間聯合作惡的可能性等。

5)輸入校驗：從入口側降低輸入數據對業務邏輯的影響，包括對區塊鏈交易平臺Web端、智能合約輸入變量等參數的合理妥善校驗。鑒于輸入數據與業務邏輯之間曲折復雜的關聯關系，盡管輸入校驗無法完全解決DDoS攻擊、利用漏洞的攻擊等安全問題，但區塊鏈開發者仍應對區塊鏈應用層、擴展層、協議層等不同層面的輸入進行合法性校驗，以降低惡意代碼執行和邏輯錯誤風險。

6)加密存儲/傳輸：一方面，私鑰的安全管理是所有非對稱加密系統中安全保障的重要環節，區塊鏈中也不例外。與明文存儲的私鑰相比，采取加密存儲的方式可大大降低私鑰信息泄露的可能性；亦可將加密存儲應用于重要配置文件、核心數據庫記錄中，以減少各類數據泄露風險。另一方面，在協議層、擴展層等層面可通過部署TLS等可靠的加密傳輸，在一定程度上防止惡意節點攻擊、流量竊取或劫持以及針對合約運行安全的攻擊方式等。

7)節點/數據安全驗證：區塊鏈中各節點根據共識機制共同維護網絡和相關業務的有序進行，試圖向區塊鏈中植入惡意節點也成為攻擊者控制區塊鏈，竊取經濟利益和實施破壞的主要手段，因此，針對區塊鏈網絡中的未授權節點或惡意節點實施必要的節點/數據安全驗證，可有效減弱因惡意節點帶來的安全隱患。

8)身份認證和權限管理：與節點/數據安全驗證類似，必要的身份認證和權限管理也是對區塊鏈用戶、節點和操作進行安全控制的有效手段，可應對協議層可能出現的未授權節點、流量攻擊，以及因驗證控制機制不完善引發的智能合約運行安全問題等。

9)流量清洗：主要針對存儲層、協議層、應用層等不同層面可能面對的流量攻擊威脅，尤其是DoS、DDoS攻擊威脅，通過對流量的實時監控，及時識別和剝離隱藏在網絡流量中的異常攻擊流量，以服務、產品或內嵌安全功能的模式按需在區塊鏈應用場景中部署。

10)必要的安全防護產品/服務：防火墻、入侵檢測、WAF、安全審計等傳統安全的部署盡管未必能解決所有層面的安全問題，但能從各自的角度實施針對性的防護，持續監測發現異常交易、異常節點行為、安全漏洞等，對各類安全事件進行及時處理響應，給區塊鏈系統、平臺等帶來整體安全性的提升，間接提高攻擊者發起攻擊的成本和被發現的可能性。任何技術的安全的落地應用，都離不開必要的安全防護產品或服務的有效部署，區塊鏈也不例外。

4 總結

作為網絡時代的新一輪變革力量，在與現有技術結合催生新業態新模式的同時，區塊鏈技術發展和深入應用仍需要漫長的整合過程，其核心機制、應用場景中存在的潛在風險也給技術應用和現有網絡安全監管政策帶來新的挑戰。未來，需理性看待區塊鏈的技術優勢，強化應對潛在風險，從強化應用領域引導、創新安全監管手段、加強技術風險研究、重視區塊鏈網絡犯罪風險防范等方面加強應對，切實保障區塊鏈技術的健康、有序發展和應用。