引用本文

韩璇, 袁勇, 王飞跃. 区块链安全问题:研究现状与展望. 自动化学报, 2019, 45(1): 206-225. doi: 10.16383/j.aas.c180710

HAN Xuan, YUAN Yong, WANG Fei-Yue. Security Problems on Blockchain: The State of the Art and Future Trends. ACTA AUTOMATICA SINICA, 2019, 45(1): 206-225. doi: 10.16383/j.aas.c180710

http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.c180710

关键词

区块链，可证明安全，隐私保护，安全威胁，监管 

摘要

区块链是比特币底层的核心技术，展示了在自组织模式下实现大规模协作的巨大潜力，为解决分布式网络中的一致性问题提供了全新的方法.随着比特币的广泛流通和去中心化区块链平台的蓬勃发展，区块链应用也逐渐延伸至金融、物联网等领域，全球掀起了区块链的研究热潮.然而，区块链为无信任的网络环境提供安全保障的同时，也面临安全和隐私方面的严峻挑战.本文定义了区块链系统设计追求的安全目标，从机制漏洞、攻击手段和安全措施三方面对区块链各层级的安全问题进行全面分析，提出了区块链的平行安全概念框架，并总结未来区块链安全问题的研究重点.本文致力于为区块链研究提供有益的安全技术理论支撑与借鉴.

文章导读

区块链技术起源于比特币[1], 是以比特币为代表的众多数字货币方案的底层核心技术, 最初设计目的是解决电子支付中过度依赖可信第三方的问题.区块链将哈希函数、Merkle树、工作量证明(Proof of work, PoW) [2]等成熟的技术进行重组, 结合公钥加密、数字签名和零知识证明等密码学技术, 成为一种全新的分布式基础架构和计算范式[3].

区块链极具潜力, 其应用已从最初的数字货币延伸至金融、物联网、智能制造等多个领域, 引起了产业界和政府的广泛关注.为了推进区块链技术的研究和应用, 国内外先后成立了R3 CEV、超级账本项目(Hyperledger)和中国分布式总账基础协议联盟等区块链联盟, 关注区块链技术的理论创新和应用推广.各国政府机构也高度关注区块链的发展, 加紧部署区块链发展战略与政策. 2015年12月, 英国政府发布了《分布式账本技术:超越区块链》 [4], 预测区块链将引起新一轮技术变革, 建议加快区块链理论推广与应用开发进程.我国工信部于2016年10月发布了《中国区块链技术与应用发展白皮书(2016)》 [5].国务院在《"十三五"国家信息化规划》中将区块链列入战略性前沿科技之一.同年, 世界经济论坛也对区块链在金融场景下的应用进行预测分析, 认为区块链将在跨境支付、保险、贷款等多方面重塑金融市场基础设施[6].

随着理论研究的深入, 区块链展现出蓬勃生命力的同时, 自身的安全性问题逐渐显露.针对区块链数字货币应用的安全威胁也呈现高发态势.各大交易平台被盗事件频发、智能合约漏洞凸显、匿名交易实施犯罪等安全事件更加引发公众对区块链安全性的质疑和对其发展前景的忧虑. 2014年2月28日, 曾经世界规模最大的比特币交易平台Mt.Gox声称遭受交易延展性攻击(Transaction malleability attack) [7], 85万个比特币被盗, 损失估计约4.67亿美元, Mt.Gox最终破产. 2016年6月17日, 黑客利用以太坊智能合约漏洞攻击去中心自治组织(Decentralized autonomous organization, DAO)的众筹项目The DAO, 导致300多万以太币资产被分离出The DAO资金池, 以太坊被迫进行硬分叉弥补损失. 2017年5月12日, 比特币勒索病毒WannaCry在全球范围内爆发, 百余国家遭到袭击, 其中包括我国部分高校和政府机构网络.

区块链的应用发展迫切地需要系统的安全性研究作为指南.各国权威机构也将研究重点转向区块链的安全性. 2016年12月, 欧盟网络与信息安全局ENISA发布《分布式账本技术与网络安全:加强金融领域的信息安全》 [8], 结合传统网络空间安全问题, 分析了区块链面临的安全技术挑战. 2018年1月, 美国国家标准与技术研究院NIST发布了《区块链技术总览》 [9], 总结了区块链应用在区块链控制、恶意用户、无信任和用户身份等方面的局限性和概念误区.

区块链发展还处于初级探索阶段, 研究区块链的安全性问题具有多方面的意义.第一, 研究区块链的安全性有助于促进科学创新.区块链不是独立而生的技术, 其安全性涉及底层加密方案、分布式一致性、网络系统安全以及经济学激励机制等诸多层面.区块链的安全性研究给多学科提出了更高的技术要求, 必将促进密码学、分布式、网络安全、博弈论等学科的创新发展.第二, 研究区块链的安全性有助于加速技术推广.目前, 理论安全性分析不完备、缺乏代码评估、安全事件频发等不安全因素限制了区块链的发展.研究安全高效的区块链方案可适用于更多的应用场景, 逐步拓宽的应用实例也将在实践中更好地检验区块链的安全性.第三, 研究区块链安全性有助于实现可信的可编程社会.区块链支持的智能合约具有可编程性和自动执行性, 呈现出一定的智能化特征.研究区块链的安全性, 有助于提高智能合约的安全性和模块化, 简化开发过程, 增强互操作性.安全的区块链架构和自动执行的智能合约可以从技术上强制合约的执行, 降低违约风险, 构建可信的可编程社会.第四, 研究区块链的安全性有助于实现可控监管.区块链的不可篡改性和匿名性为实现监管带来了挑战.监管机制可以预防、检测系统中的不法行为, 是系统受攻击后的安全修复手段.分析现有区块链漏洞、潜在攻击和隐私保护机制有利于制定网络监测策略, 设计更高效、安全的监管机制.

本文着眼于区块链技术中的安全问题, 定义了区块链系统设计的安全目标, 梳理了区块链各层级存在的安全隐患, 对现有的安全措施进行对比分析, 提出了用于评估区块链网络攻防策略的平行安全概念框架, 并对未来区块链安全方向的研究重点进行展望, 以期对未来区块链技术的理论研究和应用发展有所助益.

本文的组织结构为:第1节简要介绍区块链的基本概念, 包括比特币区块链的运行原理、区块链的一般定义、特点、分类和面临的安全技术挑战; 第2节从安全性和隐私保护两方面给出了区块链的系统级安全性目标; 第3节从安全角度剖析区块链的体系架构, 分析区块链各层次存在的安全隐患、潜在的攻击和现有的安全措施; 第4节提出区块链上的平行安全概念框架; 第5节提出未来区块链在安全方面的重点研究方向; 第6节总结全文.

图 1  比特币区块链结构

图 2  区块链安全目标

图 3  区块链体系架构

区块链解决了分布式网络中的一致性问题, 颠覆了依赖可信第三方实现大规模组织管理控制的传统技术架构, 应用逐渐延伸至金融、物联网、智能制造等众多领域, 成为全球学术界的研究热点.区块链行业风风火火发展的同时, 技术本身存在的共识安全薄弱、隐私泄露、系统漏洞、监管缺失、扩展性差等问题正阻碍区块链的发展.区块链安全是系统稳定发展的基石, 包括数据、共识、内容、智能合约和隐私保护等, 自下而上贯穿区块链整个体系架构, 需要依赖密码学组件、一致性共识算法、网络安全技术等多方支撑.利用平行智能理论和ACP方法构建的区块链平行安全理论是指导区块链安全决策的新型理论范式.区块链安全方面的未来发展也将围绕去中心化高阈值容错的可扩展共识机制设计、隐私保护与可控监管机制之间的平衡、区块链可信互联的实现和完善的安全体系的构建等方向, 促进区块链应用的健康发展.

作者简介

韩璇

中国科学院自动化研究所复杂系统管理与控制国家重点实验室助理工程师.2018年获得中国科学院大学软件工程硕士学位.主要研究方向为理论密码与区块链技术.E-mail:xuan.han@ia.ac.cn

王飞跃   

中国科学院自动化研究所复杂系统管理与控制国家重点实验室主任, 国防科技大学军事计算实验与平行系统技术研究中心主任, 中国科学院大学中国经济与社会安全研究中心主任, 青岛智能产业技术研究院院长.主要研究方向为平行系统的方法与应用, 社会计算, 平行智能以及知识自动化.E-mail:feiyue.wang@ia.ac.cn

袁勇  

中国科学院自动化研究所复杂系统管理与控制国家重点实验室副研究员.青岛智能产业技术研究院副院长.2008年获得山东科技大学计算机软件与理论专业博士学位.主要研究方向为社会计算, 计算广告学, 区块链技术.本文通信作者.E-mail:yong.yuan@ia.ac.cn