基本信息
内容简介
书籍
计算机书籍
本书第1章介绍了信息安全人员做安全评估、渗透测试常用的系统环境与网络环境配置。第2章介绍了黑客入门基础——社会工程学。第3章介绍了密码学理论和开源工具GnuPG与OpenSSL的配置与使用。第4章介绍了一些常用的黑客手法,然后引出相对应的防护策略,并且介绍了一款开源漏洞扫描工具。第5章介绍了三种常见的Web安全问题:欺骗攻击、数据库注入与XSS跨站攻击。第6章介绍了入侵检测工具Snort和开源蜜罐体系Honeyd。第7章介绍了WiFi中WEP和WPA/WPA2的破解方法以及无线路由中常见的UPnP带来的安全隐患。第8章介绍了国家推动信息安全战略的依据及测评流程,并针对与真实测评一致的部分内容进行模拟测评。
本书既可作为面向计算机工程、软件工程、信息工程等IT相关学科的信息安全实训教材,还可作为信息安全相关人员的培训教材。
计算机书籍
本书第1章介绍了信息安全人员做安全评估、渗透测试常用的系统环境与网络环境配置。第2章介绍了黑客入门基础——社会工程学。第3章介绍了密码学理论和开源工具GnuPG与OpenSSL的配置与使用。第4章介绍了一些常用的黑客手法,然后引出相对应的防护策略,并且介绍了一款开源漏洞扫描工具。第5章介绍了三种常见的Web安全问题:欺骗攻击、数据库注入与XSS跨站攻击。第6章介绍了入侵检测工具Snort和开源蜜罐体系Honeyd。第7章介绍了WiFi中WEP和WPA/WPA2的破解方法以及无线路由中常见的UPnP带来的安全隐患。第8章介绍了国家推动信息安全战略的依据及测评流程,并针对与真实测评一致的部分内容进行模拟测评。
本书既可作为面向计算机工程、软件工程、信息工程等IT相关学科的信息安全实训教材,还可作为信息安全相关人员的培训教材。
作译者
黄连金 硅谷Dynamic Fintech Group管理合伙人、联合国旗下世界区块链组织(WBO)首席技术官、美国 ACM Practitioner Board 委员、美国分布式商业应用公司CEO和创始人、中国电子学会区块链专家委员、中国人大特聘研究员与讲师、美国CISSP专家、CyberVein 总顾问,多个成功区块链项目技术顾问。曾就职于美国CGI公司18年,任CGI安全技术总监、CGI云安全主管和首席安全架构师等职务,创建了CGI联邦身份管理和网络安全能力中心。在CGI工作时,曾经为美国联邦政府、金融机构和公用事业公司提供金融、人工智能、区块链、安全等方面的专家咨询。曾多次在国内外大型区块链峰会担任嘉宾、评委、培训专家。
吴思进 33复杂美创始人及CEO,浙大本科硕士毕业,金融数据专家,精通量化交易及区块链,主导多家世界500强区块链项目落地。2014年申请区块链发明专利,2项已授权,目前累计申请专利50多项,全球区块链专利排名前十,主要区块链项目有供应链金融、供应链管理、积分、钱包、交易所。
曹锋 PCHAIN发起人,中物联区块链协会首席科学家。中国早期区块链国际专利发明人,ChinaLedger共同发起人,2016年完成全球区块链资产收益权转让暨中国区块链金融真实交易。曾担任IBM全球下一代人机大战中国区负责人、互联网金融首席科学家、专利评审委员会联合主席;3次获得IBM全球杰出技术成就奖,发表22篇国际顶级论文,30余项美国专利,并担任多个ACM IEEE顶级国际会议论坛主席。
季宙栋 Onchain分布科技首席战略官,本体联合创始人,(工信部)中国区块链技术与产业发展论坛副秘书长,中国电子学会区块链专委会委员,ISO/IEC TC307中国代表团成员,参与本体论、身份和隐私保护等标准组。作为区块链行业的资深专家,参与了工信部区块链白皮书及相关标准编制工作。
马臣云 北京信任度科技CEO、信息安全专家、产品管理专家,电子认证与签名行业15年从业经验。主要方向是密码学、区块链、身份认证、电子签名。曾获得省部级科技进步二等奖(国家密码局)、首都五一劳动奖章、全国五一劳动奖章等,是电子签章技术、基于人脸识别的身份认证安全技术、互联网金融个人借贷电子合同安全技术等标准的起草人。著有《精通PKI网络安全认证技术与编程实现》。网络ID:非著名信息安全砖家。
达摩 BOX.LA项目发起人,原唯链COO,参与了众多知名区块链项目的早期投资。
李恩典 美国分布式商业应用公司董事与中国区总裁、深圳市微风智联科技有限公司董事长、区块链软件和金融行业应用研发专家。15年以上金融安全研发经验,在区块链存储、大数据平台、物联网平台和金融系统核心等领域均有领先的技术成果和丰富的产品技术实战经验,并拥有近10项相关领域发明专利。
徐浩铭 CyberVein数脉链项目技术负责人,负责区块链平台架构和搭建。曾就职于欧洲微软研发中心,负责Office项目开发。毕业于英国剑桥大学,主要研究方向为机器学习在生物信息学领域的应用;曾在美国卡内基-梅隆大学访学,主要研究方向为机器视觉在无人驾驶中的应用;曾在美国杜克大学访学,研究领域为深度学习在生物医学工程中的应用。在SCI和EI检索杂志上发表多篇文章。
翁俊杰 IBM 10余年开发及解决方案经验,第一批Fabric应用开发者,NEO核心开发者之一,Onchain DNA联盟链的架构设计与核心开发人员,Ontology(本体)区块链开发团队负责人。在票据、供应链、积分、征信、数据交易、共享金融等多个领域有区块链应用经验。
吴思进 33复杂美创始人及CEO,浙大本科硕士毕业,金融数据专家,精通量化交易及区块链,主导多家世界500强区块链项目落地。2014年申请区块链发明专利,2项已授权,目前累计申请专利50多项,全球区块链专利排名前十,主要区块链项目有供应链金融、供应链管理、积分、钱包、交易所。
曹锋 PCHAIN发起人,中物联区块链协会首席科学家。中国早期区块链国际专利发明人,ChinaLedger共同发起人,2016年完成全球区块链资产收益权转让暨中国区块链金融真实交易。曾担任IBM全球下一代人机大战中国区负责人、互联网金融首席科学家、专利评审委员会联合主席;3次获得IBM全球杰出技术成就奖,发表22篇国际顶级论文,30余项美国专利,并担任多个ACM IEEE顶级国际会议论坛主席。
季宙栋 Onchain分布科技首席战略官,本体联合创始人,(工信部)中国区块链技术与产业发展论坛副秘书长,中国电子学会区块链专委会委员,ISO/IEC TC307中国代表团成员,参与本体论、身份和隐私保护等标准组。作为区块链行业的资深专家,参与了工信部区块链白皮书及相关标准编制工作。
马臣云 北京信任度科技CEO、信息安全专家、产品管理专家,电子认证与签名行业15年从业经验。主要方向是密码学、区块链、身份认证、电子签名。曾获得省部级科技进步二等奖(国家密码局)、首都五一劳动奖章、全国五一劳动奖章等,是电子签章技术、基于人脸识别的身份认证安全技术、互联网金融个人借贷电子合同安全技术等标准的起草人。著有《精通PKI网络安全认证技术与编程实现》。网络ID:非著名信息安全砖家。
达摩 BOX.LA项目发起人,原唯链COO,参与了众多知名区块链项目的早期投资。
李恩典 美国分布式商业应用公司董事与中国区总裁、深圳市微风智联科技有限公司董事长、区块链软件和金融行业应用研发专家。15年以上金融安全研发经验,在区块链存储、大数据平台、物联网平台和金融系统核心等领域均有领先的技术成果和丰富的产品技术实战经验,并拥有近10项相关领域发明专利。
徐浩铭 CyberVein数脉链项目技术负责人,负责区块链平台架构和搭建。曾就职于欧洲微软研发中心,负责Office项目开发。毕业于英国剑桥大学,主要研究方向为机器学习在生物信息学领域的应用;曾在美国卡内基-梅隆大学访学,主要研究方向为机器视觉在无人驾驶中的应用;曾在美国杜克大学访学,研究领域为深度学习在生物医学工程中的应用。在SCI和EI检索杂志上发表多篇文章。
翁俊杰 IBM 10余年开发及解决方案经验,第一批Fabric应用开发者,NEO核心开发者之一,Onchain DNA联盟链的架构设计与核心开发人员,Ontology(本体)区块链开发团队负责人。在票据、供应链、积分、征信、数据交易、共享金融等多个领域有区块链应用经验。
目录
作者简介
序一 多边界的区块链安全防守
序二 区块链安全观之我见
序三 安全是区块链发展和应用的基石
前言
第1章 详解区块链的安全属性 1
1.1 保密性 2
1.1.1 比特币的半匿名性 3
1.1.2 Hyperledger Fabric CA的动态交易证书 6
1.1.3 用零知识证明做数据加密 7
1.1.4 使用状态通道让数据不可见 10
1.1.5 同态加密 16
1.2 数据完整性分析 17
1.2.1 签名与验证 17
1.2.2 共识机制 17
1.2.3 数据上链 18
1.2.4 时间戳 18
1.2.5 开源 19
1.3 可用性 19
1.4 物理安全性 20
序一 多边界的区块链安全防守
序二 区块链安全观之我见
序三 安全是区块链发展和应用的基石
前言
第1章 详解区块链的安全属性 1
1.1 保密性 2
1.1.1 比特币的半匿名性 3
1.1.2 Hyperledger Fabric CA的动态交易证书 6
1.1.3 用零知识证明做数据加密 7
1.1.4 使用状态通道让数据不可见 10
1.1.5 同态加密 16
1.2 数据完整性分析 17
1.2.1 签名与验证 17
1.2.2 共识机制 17
1.2.3 数据上链 18
1.2.4 时间戳 18
1.2.5 开源 19
1.3 可用性 19
1.4 物理安全性 20
前言
为什么要写这本书
这本书的初衷是希望给区块链项目提供一些安全方面的指导来改变目前区块链项目匆匆上线,安全系数不高,安全问题层出不穷的现状,也希望正在开发或将来需要开发的区块链项目在安全方面给予足够的重视。我们认为安全问题会是区块链项目落地的主要绊脚石。一个不注意安全的区块链项目,成功系数不会很高。区块链有很好的安全属性,比如数据不可篡改、数据不会丢失、可利用一些加密技术对数据进行加密等。但是从许多与区块链有关的安全事件可以看出,区块链的安全属性不能保证区块链项目百分之百安全。本书尽量从多个不同的方面,比较系统地对区块链的安全进行分析,并且对区块链项目落地所需要考虑的因素,提供一些建议。
本书特色
本书是为数不多系统性地阐述区块链安全的书。
本书的主要特色是以深入浅出的形式讲解区块链的安全,便于读者更好地理解为什么区块链安全是一个重要的课题,以及如何解决某些区块链的安全问题。
读者对象
本书的读者对象包括:
区块链的开发者
区块链安全的架构师
区块链项目的主要技术负责人
其他对区块链安全感兴趣的人
如何阅读本书
在阅读过程中,读者可以根据工作需要将某些章节多读几遍。因为章节与章节之间的依赖性不强,完全可以根据工作需要抽出重点来读。
第1章详解区块链的安全属性,主要从保密性、数据完整性、可用性、物理安全性4个方面对区块链的安全属性进行详解。在分析过程中,本章穿插了一些实例,使得内容讲解更为直观、易懂。本章所介绍的内容,可以使读者对区块链的安全属性有更深层次的了解,对做好区块链的安全工作具有非常重要的参考价值。
由于区块链的安全性分析极具抽象性,所以第2章特意挑选了一些主流数字货币(包括比特币、以太币和Zcash),对其安全属性进行分析。通过本章的学习,读者可以了解主流数字货币的代码、密码学算法以及“钱包”等,进一步加深对区块链相关安全技术的认识。
第3章为应用与智能合约层的安全控制。本章主要从Web或者移动客户端应用程序、智能合约,以及身份与访问控制3个方面对安全问题进行分析。在当前信息技术快速发展的背景下,移动设备已经成为很多人上网的主要工具。为此,本章从一开始就对Web或者移动客户端应用程序的安全性进行了分析,让读者对相关的危险因素有所了解。在智能合约的安全方面,主要从智能合约的概念、安全编码、漏洞、开源工具等几个方面进行了分析,为读者在开发相关内容方面提供了重要的参考。在本章的最后,从多个方面对区块链的身份管理与访问控制进行了分析。通过对这部分内容的学习,读者可以了解在开发区块链的过程中,如何高效、安全地做好身份管理与访问控制等工作。
第4章为激励层安全机制设计。本章主要从激励的产生和分配以及激励层安全两方面进行了分析。首先,分别借助比特币、以太币的激励模式对激励的产生和分配进行了分析,可以让读者对区块链激励层的存在有较为直观的认识。在此基础上,本章又从激励模式的安全隐患、安全事件、法律风险以及安全措施等方面,对激励层安全进行了分析,让读者了解安全对激励层的重要性,以及如何设计才能有效避免区块链激励层安全事件的发生。
第5章为网络层安全与控制。网络层是区块链的重要组成部分,能否做好安全与控制直接影响区块链的价值。本章主要从P2P加密、客户端与节点通信加密、防御DDoS攻击3个方面进行了分析。通过对本章的学习,读者可以对网络层安全与控制的相关内容有全面的了解。这对开发过程中提高区块链的安全性具有重要指导作用。
第6章为数据层与共识安全。数据层是区块链设计的基础部分,是影响区块链能否正常运行的关键。本章主要从区块链数据加密技术、数据传输、区块链交易签名、共识攻击、区块链安全性考虑5个方面进行分析。通过本章的学习,读者可以了解关于数据层安全更多的知识。这对于提高区块链的安全,保障区块链的正常运行具有重要的参考价值。
第7章为私钥的安全。本章从私钥的重要性、使用方法、存在的问题等多个方面对私钥的安全进行了全面的分析。通过对本章的学习,读者可以对私钥安全性在区块链技术中的重要性有更深层次的认识,了解如何使用私钥才能有效避免安全问题的出现以及私钥的更新、找回与吊销等。除此之外,本章还对私钥保护的正确“姿势”、硬件钱包等内容做了分析。有了这些内容的指导,读者可以参考、拓展关于保障硬件钱包、移动钱包方面的设计思路,提高区块链的安全性。
这本书的初衷是希望给区块链项目提供一些安全方面的指导来改变目前区块链项目匆匆上线,安全系数不高,安全问题层出不穷的现状,也希望正在开发或将来需要开发的区块链项目在安全方面给予足够的重视。我们认为安全问题会是区块链项目落地的主要绊脚石。一个不注意安全的区块链项目,成功系数不会很高。区块链有很好的安全属性,比如数据不可篡改、数据不会丢失、可利用一些加密技术对数据进行加密等。但是从许多与区块链有关的安全事件可以看出,区块链的安全属性不能保证区块链项目百分之百安全。本书尽量从多个不同的方面,比较系统地对区块链的安全进行分析,并且对区块链项目落地所需要考虑的因素,提供一些建议。
本书特色
本书是为数不多系统性地阐述区块链安全的书。
本书的主要特色是以深入浅出的形式讲解区块链的安全,便于读者更好地理解为什么区块链安全是一个重要的课题,以及如何解决某些区块链的安全问题。
读者对象
本书的读者对象包括:
区块链的开发者
区块链安全的架构师
区块链项目的主要技术负责人
其他对区块链安全感兴趣的人
如何阅读本书
在阅读过程中,读者可以根据工作需要将某些章节多读几遍。因为章节与章节之间的依赖性不强,完全可以根据工作需要抽出重点来读。
第1章详解区块链的安全属性,主要从保密性、数据完整性、可用性、物理安全性4个方面对区块链的安全属性进行详解。在分析过程中,本章穿插了一些实例,使得内容讲解更为直观、易懂。本章所介绍的内容,可以使读者对区块链的安全属性有更深层次的了解,对做好区块链的安全工作具有非常重要的参考价值。
由于区块链的安全性分析极具抽象性,所以第2章特意挑选了一些主流数字货币(包括比特币、以太币和Zcash),对其安全属性进行分析。通过本章的学习,读者可以了解主流数字货币的代码、密码学算法以及“钱包”等,进一步加深对区块链相关安全技术的认识。
第3章为应用与智能合约层的安全控制。本章主要从Web或者移动客户端应用程序、智能合约,以及身份与访问控制3个方面对安全问题进行分析。在当前信息技术快速发展的背景下,移动设备已经成为很多人上网的主要工具。为此,本章从一开始就对Web或者移动客户端应用程序的安全性进行了分析,让读者对相关的危险因素有所了解。在智能合约的安全方面,主要从智能合约的概念、安全编码、漏洞、开源工具等几个方面进行了分析,为读者在开发相关内容方面提供了重要的参考。在本章的最后,从多个方面对区块链的身份管理与访问控制进行了分析。通过对这部分内容的学习,读者可以了解在开发区块链的过程中,如何高效、安全地做好身份管理与访问控制等工作。
第4章为激励层安全机制设计。本章主要从激励的产生和分配以及激励层安全两方面进行了分析。首先,分别借助比特币、以太币的激励模式对激励的产生和分配进行了分析,可以让读者对区块链激励层的存在有较为直观的认识。在此基础上,本章又从激励模式的安全隐患、安全事件、法律风险以及安全措施等方面,对激励层安全进行了分析,让读者了解安全对激励层的重要性,以及如何设计才能有效避免区块链激励层安全事件的发生。
第5章为网络层安全与控制。网络层是区块链的重要组成部分,能否做好安全与控制直接影响区块链的价值。本章主要从P2P加密、客户端与节点通信加密、防御DDoS攻击3个方面进行了分析。通过对本章的学习,读者可以对网络层安全与控制的相关内容有全面的了解。这对开发过程中提高区块链的安全性具有重要指导作用。
第6章为数据层与共识安全。数据层是区块链设计的基础部分,是影响区块链能否正常运行的关键。本章主要从区块链数据加密技术、数据传输、区块链交易签名、共识攻击、区块链安全性考虑5个方面进行分析。通过本章的学习,读者可以了解关于数据层安全更多的知识。这对于提高区块链的安全,保障区块链的正常运行具有重要的参考价值。
第7章为私钥的安全。本章从私钥的重要性、使用方法、存在的问题等多个方面对私钥的安全进行了全面的分析。通过对本章的学习,读者可以对私钥安全性在区块链技术中的重要性有更深层次的认识,了解如何使用私钥才能有效避免安全问题的出现以及私钥的更新、找回与吊销等。除此之外,本章还对私钥保护的正确“姿势”、硬件钱包等内容做了分析。有了这些内容的指导,读者可以参考、拓展关于保障硬件钱包、移动钱包方面的设计思路,提高区块链的安全性。
序言
序一
多边界的区块链安全防守
2018年是区块链技术(或称分布式账本技术)诞生的第十个年头,人们对它所寄予的厚望正与日俱增。很多人认为区块链技术不仅会对现有的产品、服务、操作系统、商业模式、最佳实践,乃至各行各业带来巨大冲击,甚至可能带来经济运行以及社会组织和治理的大变革。这是因为区块链技术促进了加密技术等方面的科技进步,实现了低成本和实时条件下的超强处理能力,同时为金融服务、医疗保健、物流,以及环境保护等产业的可持续发展提供了无限可能。但更重要的是,区块链技术建立在去中心化共识、开源、透明和社区参与这些原则之上。这些基本原则才是这一技术具有革新性潜能的根本所在。
包括联合国和世界银行集团(世行)在内的多边组织已经意识到区块链技术将会对各发展机构及其工作产生深远的影响。这是因为区块链技术能够帮助发展机构减轻对传统银行及其他中介机构的依赖,从而大大降低交易成本;确保援助资金直接转给援助对象,保证专款专用,使整个环节更加透明。鉴于此,世行于2017年6月建立了区块链实验室,专注研究区块链领域的创新技术,以求更好地服务世行的发展项目。
虽然区块链技术拥有巨大的潜力,但它目前仍面临很多挑战。对于这样一个自动化、去中心化和不断扩展的系统来说,安全性是不容回避的问题。区块链技术在安全性方面面临的挑战包括三方面。首先,虽然区块链技术能够为交易提供高度的完整性(integrity)和透明度(transparency),但是系统设计方面仍亟待加强,才能保证区块链基础设施和平台的机密性(confidentiality)和弹性(resiliency)。其次,不论是共识机制还是“智能合约”,区块链技术都需要依靠开发各种应用软件来实现。因此,软件开发安全方面的最佳实践仍应继续遵守。最后,区块链技术需要相应的生态系统来为实践提供完整解决方案。这个生态系统可能会运用包括物联网(IoT)、人工智能和云计算在内的其他新技术。这意味着,所有这些构成区块链生态系统的技术本身的安全问题也需一并考量。
我在世行区块链实验室举办的一次活动中结识了黄连金先生。黄先生是那次活动的特约嘉宾,也是本书的第一作者。当时黄先生在华为技术有限公司担任首席区块链专家,他也是中国区块链安全领域的领军人物。从他那里我了解到,虽然区块链技术还在发展阶段,但在中国已经有一批安全专家开始合作编写一本关于区块链安全问题的著作。这让我惊喜不已,因为一直以来,人们总在创新技术产生之后才亡羊补牢,考虑安全问题。我相信,这本强调安全先行的著作,对确保未来区块链解决方案的可靠性和实用性大有裨益。
本书对区块链技术潜在风险的分析可谓详尽、完备:不仅包括区块链技术本身带来的风险(比如加密技术、身份管理技术、共识技术,以及“智能合约”技术可能涉及的风险),还包括区块链应用方面的风险(例如激励机制、数据安全和网络安全等方面可能面临的风险)。书中不但有对区块链技术各种安全机制的深度解剖,而且有区块链应用遭受攻击的案例分析。这样理论与实际结合,有助于读者学以致用,将对潜在风险的预期和评估置于现实背景之下。
为本书作序,我备感欣慰。据我所知,本书是全球为数不多关注区块链安全问题的专著。借着这则序言,我期待能够让更多的人在区块链及其他革命性技术创新的初期就开始考虑安全问题的重要性。愿更多的研发人员、商业人士以及政策制定者都关注安全问题。我们会因此而更有信心应对未来技术应用(Technology Adoption)过程中的各种挑战。
林儒明
世界银行集团首席信息安全官、区块链实验室负责人
序二
区块链安全观之我见
区块链安全观可以从两方面来讨论。技术方面的安全观是本书的主题,遑遑高论,各位看官自可体会;我想从区块链经济模式的安全观方面,谈一些自己的学习体会,以就教于各位作者和读者。
从经济模式来看区块链,我把它分为4个层次。
最底层是区块链数字身份体系。数字身份包括了身份ID、社交关系、职业声誉、生活状态等,远比一串身份证号码要更全面、更传神。
第二层是密码学账户体系。基于非对称加密算法的分布式账本,非许可、无须KYC,支持点对点交易,靠算法保证交易安全可靠,坏人无法作恶。
第三层是区块链数字货币体系。公有区块链靠算法发行数字货币的一个最主要的目的是为自组织建立一种去中心化的经济激励机制。
第四层是商业应用体系。有了前3层,任何分布式商业应用项目就有了生存的基础和无限的发展空间。
区块链技术层面的安全,都是为其经济模式的安全运行服务的。无论是保证数据一致性的哈希函数,还是保护隐私的零知识证明;不管是维护账户安全的椭圆曲线加密算法,还是保护数据主权的多方安全计算;直至协调区块链治理的各种共识算法……在分布式、去中心、自组织的区块链世界里,信任关系和安全机制的建立,完全依赖一整套成体系的数学和密码学算法来保证安全、可靠。
传统金融业界有一句名言:无硬件,不安全。其实这句话也完全适用于区块链经济模式。硬件安全不仅仅涉及数字货币“热钱包”“冷钱包”层面的事情,它还可能涉及区块链上金融交易的报文传输等方面。
多边界的区块链安全防守
2018年是区块链技术(或称分布式账本技术)诞生的第十个年头,人们对它所寄予的厚望正与日俱增。很多人认为区块链技术不仅会对现有的产品、服务、操作系统、商业模式、最佳实践,乃至各行各业带来巨大冲击,甚至可能带来经济运行以及社会组织和治理的大变革。这是因为区块链技术促进了加密技术等方面的科技进步,实现了低成本和实时条件下的超强处理能力,同时为金融服务、医疗保健、物流,以及环境保护等产业的可持续发展提供了无限可能。但更重要的是,区块链技术建立在去中心化共识、开源、透明和社区参与这些原则之上。这些基本原则才是这一技术具有革新性潜能的根本所在。
包括联合国和世界银行集团(世行)在内的多边组织已经意识到区块链技术将会对各发展机构及其工作产生深远的影响。这是因为区块链技术能够帮助发展机构减轻对传统银行及其他中介机构的依赖,从而大大降低交易成本;确保援助资金直接转给援助对象,保证专款专用,使整个环节更加透明。鉴于此,世行于2017年6月建立了区块链实验室,专注研究区块链领域的创新技术,以求更好地服务世行的发展项目。
虽然区块链技术拥有巨大的潜力,但它目前仍面临很多挑战。对于这样一个自动化、去中心化和不断扩展的系统来说,安全性是不容回避的问题。区块链技术在安全性方面面临的挑战包括三方面。首先,虽然区块链技术能够为交易提供高度的完整性(integrity)和透明度(transparency),但是系统设计方面仍亟待加强,才能保证区块链基础设施和平台的机密性(confidentiality)和弹性(resiliency)。其次,不论是共识机制还是“智能合约”,区块链技术都需要依靠开发各种应用软件来实现。因此,软件开发安全方面的最佳实践仍应继续遵守。最后,区块链技术需要相应的生态系统来为实践提供完整解决方案。这个生态系统可能会运用包括物联网(IoT)、人工智能和云计算在内的其他新技术。这意味着,所有这些构成区块链生态系统的技术本身的安全问题也需一并考量。
我在世行区块链实验室举办的一次活动中结识了黄连金先生。黄先生是那次活动的特约嘉宾,也是本书的第一作者。当时黄先生在华为技术有限公司担任首席区块链专家,他也是中国区块链安全领域的领军人物。从他那里我了解到,虽然区块链技术还在发展阶段,但在中国已经有一批安全专家开始合作编写一本关于区块链安全问题的著作。这让我惊喜不已,因为一直以来,人们总在创新技术产生之后才亡羊补牢,考虑安全问题。我相信,这本强调安全先行的著作,对确保未来区块链解决方案的可靠性和实用性大有裨益。
本书对区块链技术潜在风险的分析可谓详尽、完备:不仅包括区块链技术本身带来的风险(比如加密技术、身份管理技术、共识技术,以及“智能合约”技术可能涉及的风险),还包括区块链应用方面的风险(例如激励机制、数据安全和网络安全等方面可能面临的风险)。书中不但有对区块链技术各种安全机制的深度解剖,而且有区块链应用遭受攻击的案例分析。这样理论与实际结合,有助于读者学以致用,将对潜在风险的预期和评估置于现实背景之下。
为本书作序,我备感欣慰。据我所知,本书是全球为数不多关注区块链安全问题的专著。借着这则序言,我期待能够让更多的人在区块链及其他革命性技术创新的初期就开始考虑安全问题的重要性。愿更多的研发人员、商业人士以及政策制定者都关注安全问题。我们会因此而更有信心应对未来技术应用(Technology Adoption)过程中的各种挑战。
林儒明
世界银行集团首席信息安全官、区块链实验室负责人
序二
区块链安全观之我见
区块链安全观可以从两方面来讨论。技术方面的安全观是本书的主题,遑遑高论,各位看官自可体会;我想从区块链经济模式的安全观方面,谈一些自己的学习体会,以就教于各位作者和读者。
从经济模式来看区块链,我把它分为4个层次。
最底层是区块链数字身份体系。数字身份包括了身份ID、社交关系、职业声誉、生活状态等,远比一串身份证号码要更全面、更传神。
第二层是密码学账户体系。基于非对称加密算法的分布式账本,非许可、无须KYC,支持点对点交易,靠算法保证交易安全可靠,坏人无法作恶。
第三层是区块链数字货币体系。公有区块链靠算法发行数字货币的一个最主要的目的是为自组织建立一种去中心化的经济激励机制。
第四层是商业应用体系。有了前3层,任何分布式商业应用项目就有了生存的基础和无限的发展空间。
区块链技术层面的安全,都是为其经济模式的安全运行服务的。无论是保证数据一致性的哈希函数,还是保护隐私的零知识证明;不管是维护账户安全的椭圆曲线加密算法,还是保护数据主权的多方安全计算;直至协调区块链治理的各种共识算法……在分布式、去中心、自组织的区块链世界里,信任关系和安全机制的建立,完全依赖一整套成体系的数学和密码学算法来保证安全、可靠。
传统金融业界有一句名言:无硬件,不安全。其实这句话也完全适用于区块链经济模式。硬件安全不仅仅涉及数字货币“热钱包”“冷钱包”层面的事情,它还可能涉及区块链上金融交易的报文传输等方面。
