摘要:随着科学技术的发展,区块链这一安全技术,在众多领域得到了广泛的应用。尽管我国的互联网技术和水平得到了飞速的发展,但是在网络安全这一部分,依然处于被忽视的地位,具体表现为公众对这一部分的研究成果关注较低,这就导致很少有学者去研究、去发表,造成我国网络安全研究成果欠缺的现状。
关键词:区块链;网络安全;威胁与对策;安全攻击
随着互联网及区块链的技术迅猛发展,网络安全问题逐渐浮上水面。近年来,全球区块链技术发展迅猛,新的技术概念开始耳熟能详,大量资金涌入的同时,也吸引地下黑客的不断关注。因此,了解区块链目前面临的危险,采取相应的解决措施,对于网络环境的安全十分重要。
1概述
1.1什么是区块链。中本聪在《Bitcoin:APeerto-PeerElectronicCashSystem》一文中最早提出区块链概念,虽然当时还没有正式命名,但已形成了基本的定义:用作记录交易的分布式账本。其最初用在比特币中,此后运用范围日益扩大,并越来越受到人们关注。从数据角度而言,区块链属于不可能遭受更改的分布式数据库。本文所阐述的“分布式”不仅体现在数据存储方式的方面,同时亦体现了数据的记录性,由系统参与者为其提供维护。从技术层面而言,区块链并非单一式的技术,而是各类技术的整合。其通过新结构进行组合,产生了全新的数据记录、存储及表达形式。发展至今,区块链已经形成了完整化的技术栈。区块链开始取得广泛关注和研究,主要的研究要点包括:透明性、开放性、匿名性等。
1.2区块链技术发展的三个阶段。区块链1.0的产生是基于比特币的出现和需求,彼时的作用主要是为了加密货币。此时期的区块链运用加强了数字货币的具像化,产生了新型数据表征形式。区块链主要是通过电子数据传输和交易,实现了交易介质、价值存储等作用,帮助比特币实现了加密要求。此后区块链2.0主要用作金融服务,该时期,金融市场引进了智能合约,其中最简单的形式为:由创建者编写任务执行的程序。尽管智能合约可以在任意的区块链中实现编码要求,但这其中仍然以太坊最受欢迎,这是由于以太坊具备了高效化、可扩展能力。智能合约的引进,让区块链可以分析复杂逻辑,促进其功能的提升。区块链3.0进一步拓展了区块链的范畴,不再局限在金融领域,而是朝向多行业拓展,如政府部门、食安管理、舆论媒体、司法取证等。此时人们对于区块链亦产生了更深层理解,进而更深度地认可区块链之社会价值。超级账本项目实现了权限控制、安全防护的区块链架构,该技术为这个阶段的一项代表性技术。
1.3区块链的工作过程。发送节点将生成的事务广播到整个网络,并且当接收节点确认时,它将事务打包到一个区块中。块头包含Nonce,时间戳,哈希值和上一个区块等。Nonce证明矿工已完成相应的工作量,且包含了前一区块之哈希值,以此形成链式存储结构。接收点采取共识机制对这一块予以验证。通过验证的,则将其作为一个区块添加为完成任务的区块。
2目前面临的威胁
2.1网络攻击的门槛被降低。为了提高业内的安全技术,网络相关的从业人员从安全意识的角度出发,积极地具有提示性的安全威胁信息和预警,但是这样的行为却被不法分子利用,直接降低了网络攻击的门槛,使得网络攻击泛滥,网络安全因此受到了严重的威胁。比如,在平台上源代码和恶意程序的制作办法,及相关攻击的流程和细节;或是公开程序设计、程序结构、编码等易被攻击的关键信息;或是因信息错位而发表的某些误导性舆论;或是为了达到宣传目的,进行威胁和隐患的夸大处理。这些恶意的手段对我国的网络环境造成了直接的威胁。
2.2双重花费攻击。其中包括双重花费攻击,也可叫作双花攻击。可以理解为正对比特币系统的一种特有的攻击方式。双花攻击的原因是一种验证机制。创建一个新分支来回滚交易,控制51%的计算能力,通过两次使用相同资产以取得首笔交易资产,以此对区块链性能产生影响,出现双花攻击的现象。如2018年5月,某矿工取得超过51%的计算能力,对比特币黄金网络作出了2次攻击,共窃取388200比特币黄金,让公司蒙受损失1860万美元。51%计算能力攻击的根本原因是共识机制,因为比特币将计算能力用作竞争条件;51%计算能力攻击终止了新的交易,因为攻击者通过控制超过51%的资源来让新交易不能完成。交易验证也可以快速完成,从而使攻击者的交易信息与区块链的联系更加紧密,并在区块链中造成安全隐患。
2.3矿池攻击。2.3.1自私的采矿恶意矿工在挖出新块并创建了新分叉后,暂时性地阻止了此消息,而其他矿工不了解新块所在,仍在旧块中进行开采。如果恶意配置的分叉比公共链长,则会释放私有分叉。因其最长,故被接受而取代了原本公共链,导致原本节点均过时。2.3.2块扣攻击矿池恶意成员不会向对外公开所开采的区块,导致极大地浪费矿工计算能力,并造成矿池收入大打折扣。2.3.3块丢弃攻击攻击者将多项具有良好网络连接线的节点置于网络内,便于快速地识别新挖掘块并同时予以快速传输。当开采到新块后,不会即时释放这个区块。且当了解到另外一个节点会释放区块时,立即宣布自身所开采块并迅速将其在网上传播,造成丢弃合法节点中的区块。2.4区块链数据隐私受到威胁由于信息是通过网络分布的,因此向应用程序中注入恶意代码可能会导致个人信息和数据的泄漏。如,财务应用程序可能采取交易记录的方式以跟踪该账户内的特定性交易,从而进一步分析财务趋势,以显示公司的敏感数据。
3解决对策
3.1规范网络安全威胁信息的行为。相比于传统互联网,区块链行业因其具备去中心化、公开透明以及匿名性等特点,如果不构建有力的监管系统,暴露和受攻击的风险便会居高不下。首先,区块链的开源代码是处在公开状态,黑客们因此拥有了足够的时间寻找漏洞。其次,区块链要求所有节点共同持有交易信息,这样的方式在增强数据的不可篡改性的同时也将交易信息暴露于各方眼中。这相当于在炒股时,你有可能知道所有的人何时买进何时卖出,想象一下如果这样的事发生了,人们的隐私权将何去何从?区块链技术具备了相对完善的安全体系,但是正因如此,区块链并不像传统行业一样需要对硬性防御下注苦功。很多传统互联网企业拥有防火墙、容灾备份,或者有其他相应安全保护技术措施在保障他们的网络安全,区块链行业却不太重视对信息系统的整体安全防御体系的构建。例如亚马逊利用AWS进行灾难修复,一旦网络被黑客攻击,即可快速恢复数据;2014年美国大型连锁超市Target被攻击,高达4000万张信用卡和借记卡的数据被黑客窃取。幸而Target未雨绸缪购买了保险,因此损失被控制在了一个可接受的范围内。区块链技术因为其不可篡改性,因此很多功能一旦被部署(比如智能合约)便不可更改,一旦合约有漏洞,不仅难以发现,而且更加难以修复。而其匿名性也使得对黑客的来源追踪追溯变得极为困难。而加密货币的去中心化性质也导致了谁掌握了用户的密钥,谁就拥有了对应地址中的货币资产。同样因为区块链不可篡改的特征,一旦密钥丢失,也不可再通过修改区块链记录来寻回资产。这样的特性也导致了当账户被攻击时,盗币无法追回。区块链领先安全公司CertiK认为,此次国家互联网信息办公室拟出台的《网络安全威胁信息管理办法》,对于网络安全进行了规范,有效地降低了互联网领域的安全隐患,同样保护了区块链行业内相对级别较低的企业和个人,加强了现有的安全解决方案,为构建区块链生态系统提供了相当大的助力。这一管理办法直接唤醒了整个互联网行业包括区块链领域的安全意识,也就意味着目前尚处于发展过程中的区块链行业势必将安全技术提为企业前进路途上的重中之重。
3.2数据安全。进行数据挖掘和分析时,其中有80%的时间是用来收集和清理数据。而区块链的运用,则能缩短这个时间,降低成本。有关区块链数据的保护,是通过去中心化的管理系统实现的,详细来讲,即运用区块链、外部数据等来实现。由于区块链具有去中心化、加密及其他特征,使得数据完整性和安全性得到保障。个人数据在区块链上转换为密码,如果需要此类信息,则仅需传输密码,接收者将信息和区块链中加密数据作出对比,不包含实际信息。
3.3自私的采矿攻击防御。新鲜度偏好:矿工采用具最新时间戳的区块作出扩展,导致区块保存技术丧失了保留新区块之优势。ZeroBlock:自私的矿工私下占用一个新开采的区块一定时间或更长的时间,一旦将该区块至网络中,诚实矿工将对它拒绝,以防保留区块出现攻击。随机选择:在一名矿工遭受相同长度的分叉时,将随机挑选一个分叉予以扩展,以达到降低自私池,增加其他矿工扩展分叉的能力。
3.4实施隐私保护。根据信息和通信部2013年所设立《电信和互联网用户个人信息保护规定》,个人信息内容主要包括:用户名,出生日期,地址,身份证号码等信息。区块链的可追溯性能起到降低执法、检测成本并良好保护用户隐私的作用。
4小结
伴随着区块链的日益发展,在其带来机遇的同时,亦存在风险,并且将出现许多问题。为了实现科学、有力的监督,需要通过先进的技术,积极探索开发区块链平台的机制,以此增加投资,从而开发相应的技术,达到技术创新的目的。
参考文献:
[1]房卫东,张武雄,潘涛,陈伟,杨?.区块链的网络安全:威胁与对策[J].信息安全学报,2018,3(02):87-104.
[2]黄福伟.区块链技术在网络安全中的作用分析——评《区块链安全技术指南》[J].中国安全科学学报,2020,30(11):192.
[3]孙国梓,王纪涛,谷宇.区块链技术安全威胁分析[J].南京邮电大学学报(自然科学版),2019,39(05):48-62.
作者:赫巍 尚秋明 王利军 单位:中国互联网络信息中心