基于區(qū)塊鏈的數(shù)據(jù)驗證和網(wǎng)絡(luò)安全研究

羅淏文　王小瓊

摘 要

區(qū)塊鏈技術(shù)通過構(gòu)建完整的驗證過程進行責任認定，故區(qū)塊鏈數(shù)據(jù)的完整性、正確性檢測技術(shù)極為重要。除眾所周知的比特幣以外，區(qū)塊鏈技術(shù)還應(yīng)用在其他各個行業(yè)、各個領(lǐng)域，如金融、物流、保險、數(shù)字版權(quán)等。涉及的領(lǐng)域越多，區(qū)塊鏈的網(wǎng)絡(luò)安全研究就越重要。本文從算法、協(xié)議方面對區(qū)塊鏈安全風險進行評估，對區(qū)塊鏈數(shù)據(jù)正確性提供科學的驗證方法，并從技術(shù)層面提出了區(qū)塊鏈安全應(yīng)對策略。

關(guān)鍵詞

區(qū)塊鏈;數(shù)據(jù)攻擊;網(wǎng)絡(luò)安全

中圖分類號： R-05;TP311.13;TP309 ? ? ? ? 文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.11.010

1 區(qū)塊鏈技術(shù)概念與框架

1.1 區(qū)塊鏈的誕生

區(qū)塊鏈起源于一位自稱中本聰（Satoshi Nakamoto）的學者發(fā)表了的論文《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》。

比特幣作為第一個成功的虛擬貨幣，是數(shù)字貨幣生態(tài)系統(tǒng)概念和技術(shù)的組合，其原理包括P2P分布式網(wǎng)絡(luò)、哈希與Merkle樹、非對稱加密算法、共識機制、時間戳等。區(qū)塊鏈技術(shù)作為比特幣底層的關(guān)鍵技術(shù)，有著去中心化、公開透明的特點，讓每個人都參與到數(shù)據(jù)庫的建立。通過比特幣系統(tǒng)轉(zhuǎn)賬，信息公開透明，每一筆轉(zhuǎn)賬信息都會被全網(wǎng)記錄，因此比特幣的問世，代表著區(qū)塊鏈的1.0時代的到來。

1.2 區(qū)塊鏈框架

區(qū)塊鏈是一種按照時間順序?qū)?shù)據(jù)區(qū)塊以鏈條的方式組合形成的特定數(shù)據(jù)結(jié)構(gòu)。運用密碼學，保證其數(shù)據(jù)的不可篡改的去中心化。區(qū)塊鏈技術(shù)利用加密的鏈式區(qū)塊來驗證和存儲數(shù)據(jù)，利用P2P分布式網(wǎng)絡(luò)、共識機制將各個節(jié)點連接起來，并實現(xiàn)驗證、通信以及信任關(guān)系的建立，利用腳本代碼將技術(shù)與業(yè)務(wù)結(jié)合在一起，保證其具有復雜的業(yè)務(wù)邏輯功能;同時可以對數(shù)據(jù)進行自動化的操作，形成新的共同參與建立新的數(shù)據(jù)記錄、存儲形式。區(qū)塊鏈的基礎(chǔ)框架如表1所示。

1.3 共識算法

1.3.1 PoW工作量證明

PoW（Proof of work）是最早的共識機制。也是比特幣系統(tǒng)運行的重要算法之一。該算法通過工作量來獲得相應(yīng)的獎勵，簡而言之就是“多勞多得”。通過運算計算出滿足規(guī)則的隨機數(shù)，即可獲得本次記賬權(quán)，發(fā)出本輪需要記錄的數(shù)據(jù)，全網(wǎng)其他節(jié)點驗證后一起存儲。

1.3.2 PoS權(quán)益證明

POS（Proof of stake）通過你所占代幣的比例和時間來給你相應(yīng)的利息。通過降低挖坑的難度，提高找隨機數(shù)的速度。參與權(quán)益證明過程中要求所有參與者抵押一部分token驗證交易，該token會被鎖定，若驗證著存在欺詐行為，則抵押token會減少。

1.3.3 DPos股份授權(quán)證明

DPos（Delegated proof of stake）通過不同策略在不同時間通過投票產(chǎn)生一小群節(jié)點，由這些節(jié)點來負責新區(qū)塊的創(chuàng)建、驗證和監(jiān)督。

2 區(qū)塊鏈安全風險

2.1 算法安全風險

2.1.1 隨機數(shù)算法漏洞

對于區(qū)塊鏈而言，隨機算法十分重要，通常使用真隨機數(shù)或偽隨機數(shù)作為用戶資產(chǎn)的私鑰。比特幣私鑰使用的是SHA-256生成的256位隨機數(shù)。以現(xiàn)有的計算能力，幾乎不可能暴力破解。但如果隨機數(shù)生成器被操控，生成的隨機數(shù)就可以被預測，則私鑰可能被解密。

不同用戶在不同區(qū)域交易不同幣種時實現(xiàn)各自隨機算法的過程不同。有的使用瀏覽器服務(wù)端隨機數(shù)函數(shù)Random，有的使用高級語言庫函數(shù)Random生成隨機數(shù)，從而導致隨機數(shù)算法漏洞，發(fā)生被攻擊事件。同時，所有以用戶輸入作為隨機源的隨機數(shù)，都是有漏洞的。利用手動輸入可以被修改，輸入的數(shù)量和組合可以被節(jié)點控制，節(jié)點完全有動機和能力將隨機數(shù)改為適合自己的組合。

2.2 協(xié)議安全風險

2.2.1 共識機制協(xié)議漏洞

針對PoW共識機制，能源消耗大，可監(jiān)管性弱，如果有人能控制51%的算力，就會有被攻擊的風險。

針對PoS共識機制，放棄了完整的去中心化，權(quán)益人可以獲得大量成本極低的加密貨幣，信用基礎(chǔ)不夠牢固。PoS對分叉沒有成本上的壁壘，也沒有經(jīng)濟上的懲罰，幾乎可以說毫無抵抗硬分叉原鏈存活的能力。

2.2.2 共識機制安全性

共識機制的種類很多，也有部分根據(jù)需要自發(fā)研發(fā)的共識機制。因此，共識機制能否被絕對信任還需要更長時間的考驗和證明。

3 如何驗證區(qū)塊鏈數(shù)據(jù)完整性和真實性

3.1 哈希算法

哈希算法是一種可以將任意長度的二進制數(shù)映射為較短的固定長度的二進制值，此二進制值稱為哈希值。哈希值具有單向性及唯一性的特點，進而保證了其極強的抗篡改能力，對于任一數(shù)據(jù)塊，改動一個比特位，其哈希值截然不同。作為一個單向非對稱的加密函數(shù)，只有加密過程，沒有解密過程，區(qū)塊鏈技術(shù)將其特點應(yīng)用到節(jié)點與節(jié)點之間的數(shù)據(jù)交換中，保證了數(shù)據(jù)的完整性和真實性。

3.2 區(qū)塊鏈節(jié)點間的數(shù)據(jù)驗證

以比特幣網(wǎng)絡(luò)中的一筆交易為例。在這筆交易中分為記錄交易節(jié)點1和驗證交易節(jié)點2。

假設(shè)交易A在節(jié)點1處發(fā)出交易申請，節(jié)點1則負責記錄交易A中的具體數(shù)據(jù)。前提是此交易為合理合法的（在虛擬貨幣交易中，主要體現(xiàn)在買家是否有足夠余額支付）。節(jié)點1對交易A的數(shù)據(jù)進行哈希運算，生成交易哈希值1，再用自己的私鑰對哈希值進行簽名加密，生成簽名信息。之后對外廣播，廣播內(nèi)容=交易信息A+簽名信息。

假設(shè)節(jié)點2收到節(jié)點1的廣播內(nèi)容，節(jié)點2通過節(jié)點1的公鑰對簽名信息進行逆運算，即解密過程，即可證明此簽名信息是否屬于節(jié)點1。同時，節(jié)點2會對交易信息A進行哈希運算得到哈希值2，通過對比判斷哈希值1與哈希值2是否一致。如果一致則說明數(shù)據(jù)傳輸無誤，如果不一致，則說明數(shù)據(jù)發(fā)送了更改，無法驗證成功，交易失敗。

4 區(qū)塊鏈安全應(yīng)對策略

區(qū)塊鏈技術(shù)在各個行業(yè)應(yīng)用廣泛，也從各個角度暴露了較多的安全威脅，針對這些安全威脅，可以通過一些科學的方法進行預防和解決。

4.1 算法安全策略

盡可能用較高級的密碼學隨機數(shù)生成器來生成隨機數(shù)。對于隨機數(shù)的生成，從安全級別的方面講：內(nèi)核態(tài)（dev/urandom）優(yōu)于應(yīng)用態(tài)（各種高級語言庫中自動生成的Random隨機數(shù)），更優(yōu)于各種瀏覽器自行封裝的Random解決方案;選用RFC6979規(guī)范生成隨機數(shù);加強對哈希函數(shù)本身的復雜度和抗攻擊性研究;盡可能研究能夠抵御量子攻擊的密碼學算法。

4.2 使用安全策略

區(qū)塊鏈用戶要保管好自己的私鑰。通常用戶會將私鑰存放在電子設(shè)備或者網(wǎng)盤中，因此成為黑客的攻擊目標，利用漏洞盜取私鑰，轉(zhuǎn)移客戶的數(shù)字資產(chǎn)。為了確保用戶的私鑰時刻保持安全狀態(tài)，最好的辦法就是記在腦中或記錄在非聯(lián)網(wǎng)介質(zhì)上。

4.3 網(wǎng)絡(luò)安全策略

對網(wǎng)絡(luò)傳輸過程要進行加密。開啟Jsonrpc節(jié)點強制使用https傳輸，而不是HTTP協(xié)議進行傳輸;定期對使用的網(wǎng)絡(luò)環(huán)境安全性進行評測;對于重要的步驟要有更強的驗證手段。

參考文獻

[1]房衛(wèi)東，張武雄，潘濤，陳偉，楊旸. 區(qū)塊鏈的網(wǎng)絡(luò)安全：威脅與對策[J].信息安全學報，2018，3（02）：87-104.

[2]劉敖迪，杜學繪，王娜，李少卓.區(qū)塊鏈技術(shù)及其在信息安全領(lǐng)域的研究進展[J]. 軟件學報，2018，29（07）：2092-2115.

[3]程葉霞，付俊，彭晉，杜躍進.區(qū)塊鏈安全風險分析及應(yīng)對策略研究[J].信息通信技術(shù)與政策，2018（09）：85-88.

[4]張成成.區(qū)塊鏈安全技術(shù)的研究與應(yīng)用[D].西華大學，2018.

[5]朱巖，甘國華，鄧迪，姬菲菲，陳愛平.區(qū)塊鏈關(guān)鍵技術(shù)中的安全性研究[J].信息安全研究，2016，2（12）：1090-1097.