投资有风险 入市需谨慎
APP
下载火星财经客户端

扫描下载APP

微信公众号
火星财经二维码 火星财经

BTA峰会 | 相里朋:安全问题或是区块链应用落地的最大障碍

火星财经 ·

03月31日

热度: 167565

3月31日,由CSDN、火星财经主办的2018区块链技术及应用峰会中国(BTA)的第二天。在“区块链核心技术”的分会场,工信部电子五所高级工程师相里朋发表了以“区块链安全质量保障实践”为题的主题演讲。

666666.jpg

嘉宾介绍:

相里朋,工信部电子五所高级工程师,从事政策咨询、产业规划、区块链技术研究。牵头制定行业领先的区块链测评体系,辨别区块链真伪及技术特性,为部委、重庆、贵州、广东等地方推进区块链产业发展及应用落地提供技术支撑。完成地方课题2项,省级标准5项,发布论文3篇。

演讲实录:

我们是国家最早从事管理实验和可靠性研究的,是国家一级权威的实验室,也是相关的建议机构,我们主要做的软件评测和信息安全相关的。重点为支撑国家各部委央行发改委,各个地方政府,开展一些政策支撑,产业咨询。

从2016年到2017年支撑贵阳市,推动贵阳市的。我们有认证检测相关的授权,可以建立很好的合作关系,以及相关的行政法规,目前正代表中国进行标准制定。

我今天分享三个方向,简单介绍一下区块链,我认为它是数字化时代发展的一个新引擎,再讲一下区块链面临的挑战,以及我们作为质量安全的保障实践。

第一部分会讲的比较快,区块链2008年诞生,2015年相关名词正式提出来,当时我们认为区块链技术有3个核心的标签,革命性、颠覆性、普惠性。它不是狭隘的技术,是一种信任机制、一种共识协作和价值交互相关的平台,它也是由多种相关的技术组成,账本结构、点对点,密码算法,签名验签算法CA认证,价值传递的底层软件基础架构。

当前政府各个方向,可以看到区块链现在基于互联网正在重构整个价值传递。虽然它这个技术确实有很多不完美的地方,性能安全可靠等等的问题。通过引入共识机制,激励相关的机制,有可能创造新动能、新经济、甚至一个新体制,未来应用场景比较广。

在政府监管和社会治理,像精准扶贫,政府数据的共享开发、供应链管理和金融,信用认证等各个方向,都有很不错的应用,我们在贵阳有12家应用场景。我们正在推进的,包括数据的铁笼子监管,行政执法人员所有的行政执法数据进行监管。从国家层面来看的话,十三五规划当中有两处区块链相关的技术,区块链基础研发和前沿布局,研发处主导优势。还有区块链相关的白皮书,2016年发布的区块链标准,包括最近刚成立的区块链标委会。很多地方现在都已经在积极探索,比如说重庆渝中雄安新区、贵州贵阳、浙江杭州、江苏无锡、山东青岛,不管是创新联盟还是产业联盟都有很多。

在前段时间,人民日报三处提到区块链,发改委试点相关的工作,工信部正式筹备区块链标委会,一切表明各项推进区块链产业健康发展、共同来促进区块链技术与传统产业的融合创新。

区块链现在确实存在一定的误区,典型的认知误区,区块链并不是比特币,也不是一个ICO,是过去二三十年技术的一个有机的整合,或者更确切的说是一个新的应用模式,或者叫新的玩法。

区块链不是万金油,任何东西都想往上靠,它只是底层相关的协议,不适用于所有的场景,仅强调区块链一点用没有,跟人工智能相关技术进行融合,在真正的场景下应用才具备解决问题的能力。

区块链虽然是说去中心,并不会真的去中心,它在网络节点架构上看起来是相互平等的,但是它不是没有中心,它是会形成分工明确,具备权限管理,规则制定分布式的中心,我们认为它是去中介会更合适,去除网络当中非必要存在的环节。

区块链当前并不成熟,虽然现在行业内圈子内确实很多,我第一次演讲的时候,下面十多个人,后来发展到一百人,发展到上千人,但仍处于比较早期的阶段。区块链现在看到在各领域有比较大的发展空间,比较好的美好前景,但也存在相关的一些问题,所以还希望大家继续跟进,观望探索。

从整个网络架构来看,单中心的信息架构,逐步朝向网络平等,去中心架构演化。在确保价值传递基础上,满足多方面不同层次知情权和监督权的需要。区块链第一步,在政府和央国企可控领域探索应用。第二步,精准扶贫,智能制造进行推进,在民生商业领域探索应用健康医疗数据服务。第三步,在银行金融行业领域,区块链票据,金融监管供应链金融。

区块链面临安全的挑战。区块链有效的防御中间人攻击、身份窃取、数据篡改和ddos安全威胁。

区块链各领域应用比较大的发展空间,存在一些问题风险,既有内在技术不成熟引发一相关的风险,也有外在不当使用导致的风险,我们更关注的是后者,区块链使用共识机制、公私钥加密、签名验证算法、数据证书,国密算法存在的安全风险,秘钥安全风险,协议攻击风险,传输安全风险等等。

我们前期也梳理开源区块链存在的问题,我们也参考了一下国家互联网信息中心2016年发布的区块链软件的报告。我拿到一批区块链相关的软件,然后进行了一个内测试,然后我们发现其实当前主流的应用,绝大部分还是以太坊,在代码上进行优化,修改了共识,加密智能合约发电等等。但也存在一些问题,在共识算法上安全相关的问题,包括智能合约,问题还是比较多的。我们认为安全问题其实在整个信息社会始终是个主流,安全也是区块链应用或者落地最大的障碍。例如近些年DAO的攻击,多重签名交易所的协议被攻击,币安黑客的事件。

现在讲一下我们单位在区块链安全保障方面是如何做的。

区块链作为一种集成应用,也是一种价值传递的基础协议,它的最终载体仍是基于区块链为主的各种各样的应用技系统。对于区块链应用技系统而言,其技术特性、应用质量、安全可靠、隐私保护等都是无法回避的问题,影响其相关应用和行业发展的重要问题。当前研制的人员能力还是不足,包括协调系统、架构业务等等。

区块链安全质量保障: 软件工程方法、正式技术评审,度量与控制方法等等。我们通过测试发现一些安全漏洞,比如说像身份认证安全,跨站点脚本供给,跨站请求伪造,安全配置错误等等。在区块链安全机制方面做几项工作,对整个安全设计文档审查,原代码安全测试,密码学应用测试,密钥测试等等。

智能合约相关的问题,可以看做部署在区块链上的程序,涵盖一些辩证语言,确实有风险,它存在出错的可能,甚至会引发比较严重的漏洞,或者连环反应。钱包被锁死了,通过系统化的手段,结合运行环境的隔离确保合约有限时间内可以执行,我们在实际的测试当中,当时挑了相关的区块链应用,我们对它智能合约的代码进行测试,最后发现它存在内存问题,最终导致整个系统死掉,整个链全崩了,所有的数据全丢了。

在这个情况下,在边界提问题,会存在边界问题,允许有相关的孔值。我们的解决方法是重点观察好三步,区块链的原代码安全审查,以及对整个原代码走查,最后开展相关的漏洞扫描。我们给它的建议是,可以重点控制相关的步骤,控制相关的时间进行合理的收费。

跨链是实现核心的关键,从单独的孤岛当中拯救出来,是区块链向外拓展和连接的桥梁。我们对整个跨链相关的工作,包括身份验证、权限控制、安全审查、跨链传输安全性、双花、代码相关安全。在整个相关区块链产品,我们建议四点:

第一,因为国家的需要,建议采用高性能优化的国密算法,满足高并发业务场景,核心算法单纯采用国外的算法,这个安全没办法保障。

第二,建议大家基于密码技术,对链上数据进行相关的隐私保护。搭建平台,形成完善的体系,搭建测试平台,对各领域的区块链系统进行测评。

第三,在整个平台之上,最底层基础层,面向国内外的基础软硬件设备开展测试,支撑层做区块链平台、大数据平台、人工智能平台、技术层、国密算法、CA、大数据供应链、机器人以及对各方面提供相关的解决方案。

最后,软硬件的基础体系、操作系统、数据库和中间件。区块链测评,加密算法大数据计算的性能,数据的接口,负载均衡,分布式调度。对于整个算法框架,交叉检验,偏差测试,技术模型,包括合理性,正确性,可靠性。在这基础之上,我们构建了各个行业的解决方案和测试体系。

谢谢大家。


本文为火星财经原创稿件,版权归火星财经所有,未经授权不得转载,转载须在文章标题后注明“文章来源:火星财经”,若违规转载,火星财经有权追究法律责任。

关键字: BTA 区块链安全

推广
相关新闻

涨幅榜

你可能感兴趣的内容
下一篇

BTA峰会 | 沈杰:区块链+物联网,推动数字经济和实体社会共融共生的发展