文│ 北京航空航天大学网络空间安全学院 伍前红 李大伟 郑海彬

2020年4月20日,国家发改委将区块链与人工智能、云计算等并列作为“新基建”信息基础设施类别中的新技术基础设施,标志着我国区块链技术及其相关产业的发展迈上了新的台阶。区块链技术所固有的去中心化、永久记录、算法透明、共识机制、可追溯性、不可篡改、交易可匿名等特性,能够更好地建立起不同节点之间互信的桥梁,为打通数据孤岛、消除信息不对称等生产服务难题提供了重要的解决方案。然而在实际应用中,区块链的特性往往是把“双刃剑”,在“新基建”的浪潮下很可能带来新的安全威胁。

一、“新基建”中区块链安全态势分析

当前,区块链技术应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域,随着“新基建”的发展,区块链技术仍然面临哪些安全风险、我们应如何安全、可靠地应用和发展区块链技术,是当前值得注意的问题。

1.区块链基础架构及算法的潜在风险

随着比特币、以太坊、EOS等公有链系统和IBM主导研发的超级账本Fabric等联盟链系统的陆续诞生,当前的区块链应用大多在此基础上衍生而来。尽管新型的区块链架构、共识机制层出不穷,但仍然难以突破区块链扩展性、安全性、去中心的“不可能三角”瓶颈。此外,以“代币”为激励的区块链共识机制往往可能导致非理性、难管控的金融行为,而在无“代币”条件下,如何保持区块链稳定、可信地服务各类应用需求仍需深入研究。

现有区块链系统大多采用国际标准密码算法,对国产密码算法的采用度较低,尤其在电子政务、数字金融等领域,掌握自主可控尤为重要。在区块链应用部署方面,现有的各类信息系统与区块链直接结合仍有困难,简单地用区块链替代广泛部署的信息系统势必带来极大的消耗,如何将区块链与现有信息系统相结合还需进一步探讨。

2.链上数据不可篡改带来的问题

区块链数据不可篡改的特性为公众对区块链的信任提供了有效保障,然而在大规模实际应用中,用户误操作、系统故障、漏洞攻击等情况一旦发生,区块链是否需要支持数据修改或区块回滚仍然具有争议。此外,不法分子利用区块链永久记录的特性将非法信息记录在区块中进行传播,也为舆论监管带来难题。

3.用户隐私与政府监管之间的矛盾

为了保护用户的物理身份,区块链应用系统必须实施增强的隐私保护;但为了社会安全和有效打击违法犯罪,同时也必须对区块链应用系统的运行实施严格的监管,这是一对显然的矛盾。目前技术上对区块链系统的监管策略未能顺利实施的主要原因就是无法解决这二者之间的冲突,也就是无法在保护隐私的前提下,实现对区块链系统的有效监管,从而使得区块链平台容易滋生欺诈、非法集资、洗钱和毒品走私等违法犯罪行为。因此,提出隐私保护与高效监管的密码学方法,突破监管友好的隐私交易技术,解决区块链交易隐私保护与监管冲突问题,确保链上行为的可监管是保障区块链技术在应用过程中合法合规的重要途径。

4.数据孤岛成为大规模应用的瓶颈

在个体层面上,打通各个独立主体间信息的互联互通是大力发展区块链的初衷之一。但在实际应用中,如何发挥各个主体数据共享的能动性、以何驱动主体共享数据仍待思考。

在区块链层面上,现有的区块链项目在应用场景和设计初衷上都各不相同,提供的服务以及所使用的底层技术也都各有侧重,从而形成了多样化的区块链生态。现阶段的区块链还是一个个价值和数据孤岛,各个区块链之间互不相通,链间的信息和价值交换存在障碍,这与区块链技术本身的开放性形成了鲜明对比。在区块链应用中,不同区块链系统相互孤立的原因主要在于各自的区块链数据结构、共识机制、通信协议、密码学算法等方面存在不同,各个系统是独立垂直的封闭技术体系,因而难以与其他区块链系统进行直接互联互通。随着越来越多区块链应用的部署及发展,区块链的孤岛效应正在成为大规模应用的主要瓶颈。

5.区块链相关标准及法律的滞后

目前国内关于区块链安全相关标准尚处于起步阶段,信安标委已经开展了相关研究工作,部分行业标准组织和团体组织开展了一些工作,但没有形成较为完整的区块链安全标准体系。国外主要有国际标准化组织ISO、国际电联电信标准化部门(ITU-T)、美国国家标准技术研究所NIST启动了区块链安全相关标准工作。ISO和ITU-T分别启动了“TC307 SG3- Security & Privacy”和 “ITU-T SG17- Security architecture for Distributed Ledger Technology”的标准研究。虽然上述两项标准致力于区块链安全体系层面的研究工作,但是更注重研究隐私保护和分布式账本技术,而非安全体系架构的标准研究。因此,从应用需求提炼出区块链相关标准,有助于为区块链系统的结构设计提供参考,为区块链行业应用提供统一的安全标准,也有助于规范今后区块链产品的开发、研制和测试,对我国区块链技术的发展建设具有重要意义。

二、区块链“新基建”发展建议

1.发展自主可控的区块链基础平台

针对当前区块链自主创新乏力的问题,我国需要继续强化区块链基础研究,提升原始创新能力,需要大力推动依托国产密码算法、自主可控的区块链系统研发与应用,推动国产区块链在国内的开源与应用,丰富国产区块链的应用生态,确立生态优势,才可与国际上的知名区块链系统直接竞争。

2.建立面向业务需求的区块链体制

针对不同业务、不同信息系统对区块链性能、功能、安全性的需求,需要进一步解决区块链结构僵化、功能单一、兼容性差的问题,建立面向业务需求的区块链体制,加快区块链和人工智能、大数据、物联网等前沿信息技术的深度融合,发展功能可定义、结构可插拔、应用能兼容的区块链技术,提高区块链在实际部署中的灵活性和可用性。

3.完善兼顾隐私与监管的区块链技术

隐私和监管是硬币的两面,对立统一。区块链系统在保证交易隐私的条件下,必须实现对数据和用户行为的高效监管。通过采用可追踪零知识证明、陷门可提取承诺、安全多方计算等多项关键技术,实现兼具隐私保护与监管功能的区块链系统,实现面向监管角色开放访问权限的不特定内容隐私交易机制。从而使得在各种不同区块链应用场景中,在保证用户隐私的前提下,发现和追踪异常交易,为进一步监管措施提供技术支持和司法证据。

4.发展面向多链融合的跨链技术

面向融合应用的跨链技术是打通不同区块链系统信息通道的关键,是把区块链从分散的孤岛中拯救出来的良药,是区块链向外拓展和连接的桥梁,也是区块链合规应用的保障。针对多源、异构区块链系统链际数据传输、识别、存储、操作和验证的融合应用需求,开展面向多链融合的区块链跨链互操作与可扩展关键技术研究,重点包括区块链链间协同理论、跨链共识模型、威胁阻隔机制、隐私保护方法、跨域审计与监管技术等方面,进而打造新一代可管控区块链融合应用创新平台,解决不同区块链分割孤立、互操作性缺失、隐私保护不足、跨链安全保障难、违规行为监管难等问题,极大拓展区块链应用的边界。并进一步把区块链跨链技术作为自主创新重要突破口,研究新的跨链方法,确保区块链之间安全地进行数据获取、传递、识别、验证与互操作,为区块链的应用落地提供技术支持,促进我国区块链产业发展。

5.推动区块链标准制定及立法工作

在区块链标准化工作方面,加强区块链标准化研究,积极参与国际区块链相关标准化工作,提升国际话语权和规则制定权。加强区块链标准制定工作,有助于为区块链行业应用提供统一的安全标准,为我国区块链标准建设提供坚实的理论基础与技术支撑,为区块链规划、设计、实施人员开发具体的区块链解决方案提供指导。同时,适时成立区块链立法、执法机制,推动与国际区块链技术和标准组织开展交流与合作,促进我国区块链技术和标准国际化发展进程。

6.加快区块链高水平人才培养

区块链技术带动了相关产业的高速发展,势必带来区块链专业人才的短缺。现有的区块链技术研究人员大多从事数学、密码学、计算机、网络安全、通信等领域的研究,仍然缺少面向区块链体系化研究的专业人才。我国仍需建立完善区块链相关人才的培养体系,推动区块链教学实验平台建设,进一步打造区块链高层次人才培养平台,加大区块链领军人物和高水平创新团队的培养力度。

三、结语

区块链技术以其独有的特性,将数字世界与现实世界相联,依托虚拟网络空间的信任机制重塑社会人之间的信任关系,引领步入“价值互联网”时代。同时我们也应注意到区块链不是“灵丹妙药”,在现实中仍然存在安全风险,我们仍需理性看待,对症下药。相信在“新基建”的引领下,区块链的发展必将为我国建设网络强国、发展数字经济、助力经济社会发展发挥巨大作用。

(本文刊登于《中国信息安全》杂志2020年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。