原创 | 区块链+时代行业面临的机遇与挑战

■中国信息安全测评中心 刘晓南 王永涛 白云波

2016年10月18日发布的《中国区块链技术与应用发展白皮书》指出，区块链作为分布式数据存储、点对点传输、共识机制、加密算法等技术的综合应用，已成为联合国近年来。 、国际货币基金组织等国际组织，以及许多国家政府研究和讨论的热点，行业也加大了投入。 目前，区块链的应用已经扩展到物联网、智能制造、供应链管理、数字资产交易等诸多领域，将为云计算、大数据、移动互联网。 ，有能力引发新一轮科技创新和产业变革。 区块链+时代来临。

架构创新是IT发展的动力

回顾IT架构的发展，大致可以分为传统集中式大中型计算机时代、基于PC的客户端/服务器（Client/Server）时代、互联网时代、云计算时代，大数据时代。 现在是互联网技术与传统行业深度融合的互联网+时代。

《区块链技术指南》一书指出，云计算是企业数字化的框架和平台基础。 大数据的处理能力需要云计算来支撑。 大数据的分析需要结合行业知识，建立相应的行业大数据。 数据分析模型。 因此，互联网+时代是云计算和大数据时代的延伸，是云计算、大数据技术与产业深度融合的阶段。 创新商业模式，利用互联网和大数据技术将线上线下紧密结合，产生多种互联网技术和产业融合模式，如：互联网+金融、互联网+教育、互联网+交通、互联网+医疗、护理网+能量等

比特币的发明者中本聪于 2009 年 1 月 3 日挖出比特币的第一个创世区块。比特币自 2009 年推出以来，一直不间断地运行至今。 比特币的测试证明，比特币底层区块链架构采用去中心化的分布式架构，通过合适的经济模型（挖矿机制）和共识算法在陌生环境中形成信任，解决了互联网中心化分布的问题。 传统架构下一个无法解决的问题是信任建立和维护成本高。 未来，互联网+与区块链+的结合，将弥补互联网在信任的建立、维护、安全等方面的缺陷，成为下一代互联网颠覆性技术的结合体。

区块链+时代的到来为多行业业务发展带来机遇

区块链是P2P动态网络、基于密码学的共享账本、共识机制（拜占庭通用问题，即分布式场景下的共识问题）、智能合约等技术的结合，并在此基础上引入完善的激励机制。 这种技术组合架构的独特之处在于去中心化、公平透明、防伪防篡改、准匿名、全网共识机制、交易溯源、全州记录、安全、合约自动执行、低成本和高效率。 近年来，随着比特币的快速发展和普及，区块链技术的研究和应用受到了政府部门、金融机构、科研企业和资本市场的广泛关注。

●区块链+金融

区块链可应用于金融行业支付、交易清算结算、贸易融资、股权（私募股权、公募股权）、债券、金融衍生品（期货、期权、次贷、票据）、众筹、信贷、风控、征信， ETC。

●区块链+医疗

区块链可应用于医疗行业的医生预约、数字化病历（体检记录、病历、诊断记录、患者病历等）、隐私保护、健康管理等。此外，它还有很好的应用药品、医疗器械及配件溯源稽核等场景。

●区块链+政府

区块链的防伪、防篡改特性可广泛应用于土地契约、不动产权属等产权、产权、使用权、知识产权以及政府监管的各种权益登记。证书、车辆登记证、营业执照、专利、版权、商标保护、软件许可、游戏许可、音频许可、视频许可、书籍许可、建筑许可、艺术品认证、文件管理、继承、个人社会信用、电子护照、合同、证书、学位、等级、帐号等公共记录登记处。

●区块链+物联网

利用区块链的智能合约，可以通过接口与物理世界进行程序对接，实现物品的溯源、防伪、认证，提高网络的安全性、可用性、可靠性，以及实现区块链上单手支付，实物世界一手交付的交易效果。

●区块链+能源

在能源行业的发电、输电、用电、储能和金融交易中，可以充分利用区块链技术。 例如，可以提供公平透明的能源交易多边市场和碳交易市场，降低交易对手信用风险，降低支付结算成本，提高效率。 同时，基于发电、配电、输电、调度、用电、售电等信息，提供公正、可追溯、透明的审计监督记录。

《区块链技术指南》一书也指出，区块链在教育、保险、慈善、交通、文化娱乐、工业制造等行业也有广泛的应用场景。 凡是需要数据防篡改和审计的行业，涉及交易、结算、清算、仲裁的业务，都是区块链+的潜在应用对象。

随着区块链技术的演进和应用的发展，形成了多个行业联盟，如Hyper Ledger（超级账本）、R3（全球银行业区块链联盟）、R3i（全球保险业区块链联盟）、China Ledger（中国区块链联盟）和企业以太坊项目。 R3CEV是一家2015年成立于纽约的金融科技初创公司，专注于研究基于区块链的金融科技解决方案。 目前已成立了40多家国际银行机构集团，旨在建立定制化的基于区块链的以太坊跨境区块链解决方案，中国平安保险集团是中国第一家加入R3的金融企业，其业务包括保险、银行和个人财富管理。 2015年10月，微软推出了基于Azure云计算平台的BaaS（Blockchain as a service，区块链即服务）服务，并新增了一系列合作伙伴，合作伙伴可以在低风险的环境下与不同的技术进行交互，开展服务从智能合约到基于区块链的税务报告。 2016年1月，英国政府发布区块链专题研究报告，积极推动区块链在金融和政务领域的应用； 中国人民银行召开数字货币研讨会，探讨利用区块链技术发行虚拟货币的可行性，以提高金融活动的效率、便利性和透明度。 2016年5月，亚马逊网络服务（Amazon Web Services (AWS)）宣布与纽约数字货币集团（DCG，最大的区块链公司投资者之一）合作并提供服务。 DCG 投资组合区块链提供商中的地区将能够在安全的环境中与他们的客户（金融机构、保险公司、企业技术公司等）进行研究和合作。

区块链+时代的到来也给多个行业的信息安全带来挑战

在区块链应用范围不断扩大的同时，区块链本身也在进行着不断的技术革新。 除了以比特币为代表的公链外，还有联盟共享的联盟链和企业内部的私有链。 为了减轻主链的存储负担，提高交易处理效率，研究人员提出了侧链技术和闪电网络技术。 比特币经过近8年的实际运行，其安全机制经受住了理论和时间的考验。 但是，为了提高效率和适应特定行业的需求，很多区块链应用在底层结构和算法上做了很多改变。 于是，安全隐患也随之而来。

2004年12月8日，blockchain.info爆出随机数问题； 全球知名交易所Bitfinex因多重签名缺陷造成12万比特币和6800万美元的损失； 2016年6月17日，最大众筹（1.5亿美元）项目The DAO遭到攻击，损失超过6000万美元的数字货币； 2016 年 8 月，以太坊的复制品 Krypton 遭到 51% 算力攻击，导致 Bittrex 钱包共计 21,465 KR 被盗。 价值约3000美元。

区块链应用中的安全问题无疑给区块链+各行各业一个重要警示。 安全威胁将是区块链+时代面临的最重要问题之一。 从安全的角度来看，区块链面临以下挑战：

区块链真的能做到完全去中心化吗？

由于智能合约中的代码漏洞，The DAO 遭到黑客攻击，价值 6000 万美元的数字货币被转移。 在挽回损失的过程中，去中心化机制未能解决问题，因为智能合约的代码一旦发布，就无法更改，所以锁定账户的唯一方法是使用“软分叉” “集中”方式。 然后使用“硬分叉”转移以太坊来解决这个问题。 但这也导致了以太坊社区的分裂，产生了ETH和ETC两种同源不同价的数字货币，给以太坊生态带来了严重的负面影响。 这件事值得所有业内人士反思区块链的“去中心化”。

矿池算力集中，51%攻击问题不容忽视

基于公共区块链分布式账本的加密货币，如比特币和以太坊，需要分布在世界各地的矿工持续运行以维持系统功能。 随着全网算力的不断提升，单打独斗的小矿工不再具备规模优势。 为了让收益更稳定，矿工可以组建矿池。 矿池可以为矿工带来稳定的收益，但也带来了新的问题。 矿池将分散的算力集中管理。 随着矿池的不断扩大，当总算力达到或超过全网的51%时，理论上就可以控制区块链的记账权。 攻击者将能够修改账本，阻止他人挖矿，从而威胁到整个系统的安全。

●密码算法的使用和密码协议的引入存在隐患

区块链技术目前涉及随机数生成算法、哈希算法、数字签名算法等，算法本身的漏洞或存在的后门对区块链系统的影响是不可估量的。 现在设计的密码算法主要是可证明安全和计算安全的算法，而不是绝对安全的算法。 随着密码分析技术的进步和人类计算能力的逐步提高，许多密码算法都会暴露出它们的弱点。 2004年，中国密码学家王小云破解MD5等闪电网络主要能解决比特币的挑战有，揭示哈希函数的碰撞被破解只是时间问题； 2016 年，NIST 在标准随机数生成器算法中内置了一个后门。 同时，零知识证明、承诺协议、安全多问题计算等密码学协议的引入，将使协议安全成为区块链中不容小觑的风险点。

●没有真正的匿名性，隐私无法保障

苏黎世瑞士联邦理工学院和德国 NEC 欧洲实验室的学者发现，即使采取隐私保护措施，仍有 40% 的比特币用户身份可以被识别。 因为比特币的每一笔交易都会公布在区块链账本上，通过各种数据挖掘技术，分析每个地址发生的交易，我们可以发现很多账户之间的关系。 积极的一面是，政府监管部门可以发现洗钱、贿赂等犯罪行为； 然而，不利的一面是，用户的隐私无法得到保障。 一旦真实身份泄露，所有交易都将暴露在公众面前。 在大数据时代，各行业在使用区块链技术时采取什么样的隐私保护策略将是研究的主要问题之一。

●“钱包”的安全保护值得深思

私钥是比特币用户需要保管和保密的账户信息，因此“钱包”的安全至关重要。 一旦私钥丢失，基于比特币的去中心化机制闪电网络主要能解决比特币的挑战有，用户无法重置私钥。 设置，这意味着账户中的比特币将无法被取走。 目前可以通过在线钱包、冷钱包、硬件存储（USB）、门槛秘密共享存储、纸质媒体、人类记忆等方式保护私钥。随着云计算的普及，SaaS（Software as a Service）云服务出现了在线钱包，相当于将密钥委托给一个可信的组织，但这违背了区块链的去中心化思想； 虽然硬件存储相对安全，但存在硬件丢失或毁坏的风险； 虽然纸质存储和保险箱是可行的，但不适合频繁交易的资产。 因此，根据区块链的应用需求和资产状况，安全便捷的“钱包”保护机制显得尤为重要。

● 新技术新应用带来新问题

为了进一步提高比特币特殊机制下的交易效率，研究人员提出了很多安全机制，如POS（Proof of Stake）机制、DPOS（Authorized Proof of Share）机制、PBFT（Practical Byzantine Fault Tolerance Algorithm）机制等其中，为了解决POW（Proof of Work）机制浪费算力的问题，研究人员提出了POS机制，但是POS机制带来了一个新的问题，即“无抵押”N@ S 当块被分叉时。 (Nothing at Stake)攻击问题。

为了适应多行业的业务发展，联盟链和私有链成为更好的选择。 公链的安全由所有网络节点共同维护。 这种结构允许所有用户检测到任何交易。 因此，公链的特性是银行等企业无法接受的。 为此，可以通过联盟链或私有链在企业之间或企业内部构建一个共享高效的交易系统或数据共享系统。 不管是联盟链还是私有链，对于企业来说，安全运营是第一位的，但是目前国内外都没有很好的安全检测手段。

未来与展望

区块链的发明建立在互联网之上，被视为下一代云计算的雏形。 其与各行业大数据的融合应用是未来的研究趋势。 从功能上来说，互联网实现信息的传播，区块链实现价值的传递。 从机制上来说，TCP/IP是机器之间的通信协议，而区块链是机器之间的信任机制和合作协议。 区块链可以说是连接虚拟世界和现实世界最好的桥梁。 如何利用这座桥梁在保证私钥访问权限后促进数据的海量增长，在保证数据脱敏后实现数据开放共享，在保证全网共识后实现数据存储，在保证个人隐私和核心后实现数据分析数据，在确保数据资产的来源、所有权、使用权、流通路径后，实现数据资产交易。 首先，区块链标准化的制定迫在眉睫。 《区块链标准化现状与发展趋势研究》一文指出，区块链标准化可以统一行业和公众对区块链概念、特性、关键技术的认识； 有利于规范和引导区块链在各行业的发展。 应用，实现集成开发； 通过统一、规范的标识保障区块链的隐私和安全，促进安全、可靠、优质的区块链产品和服务的发展。 其次，潜在的区块链风险预留措施的设置，以及安全性、可靠性和互操作性的评估方法的开发更为重要。 （本文发表于《中国信息安全》杂志2017年第8期）

更多信息安全专家文章