马兆丰:区块链安全领域问题与机会并存

2018年11月13日,2018中国数字资产安全高峰论坛在京召开,会上,业内众多专家学者、企业、投资人各抒己见。北京邮电大学区块链实验室主任马兆丰发表了以《区块链安全技术挑战与机遇》为标题的主题演讲。以下为演讲内容,经金色财经整理。

2018年11月13日,2018中国数字资产安全高峰论坛在京召开,会上,业内众多专家学者、企业、投资人各抒己见。北京邮电大学区块链实验室主任马兆丰发表了以《区块链安全技术挑战与机遇》为标题的主题演讲。以下为演讲内容,经金色财经整理。

区块链发展背景

各位嘉宾,下午好!我是北京邮电大学马兆丰。我今天给大家带来的演讲主题是《区块链安全技术挑战及机遇》,我简单从几个方面来做一个说明。

我们在北京邮电大学,我现在是在网络空间安全学院。报告从这么几个方面,区块链基本应用背景、面临的安全挑战、区块链关键的安全需求、区块链安全分层架构、区块链核心保障技术、区块链技术安全发展机遇。

区块链技术本身,在座的各位我想都非常了解区块链这个概念,但是从技术本身来讲和大家再次回顾一下区块链的基本背景。

其实区块链的背景,2008年一些年轻人不太了解,在国际上金融领域发生了什么事情,2008年那时候是朱熔基总理,东南亚,包括印度、俄罗斯、中国,东南亚金融危机爆发,索罗斯发起了一些监管金融的对手交易,使得全球化金融风险剧增,出现了金融挤兑等等问题,在跨境结算以及相关的数字,包括不同币种法币的兑换之间存在了一些问题,2008中本聪发表了点对点的系统。

传统的计算方式,中心化处理的方式,处理过程是完全依赖于中心化单点失效的问题。主要存在三方面可能的问题,中心化业务处理过程当中,业务处理过于集中,新的中心往往不总是可靠的,同时跨境结算处理方式当中增加了交易的成本和代价。

比特币是基于共识机制,工作量证明的机制,由中心化处理方式转变为由6个以上的节点或者区块进行确认,使得做一种交易,这种交易是两种,挖矿和转帐,比特币核心功能是货币。这张图右边,做一次交易往往是6个以上的区块或者6个以上的节点,要确认,确认以后所有相关的数据同步到区块链不同的帐号当中,最后形成永久性的交易,当然这个交易关系是非最终确定的,包括BCH最近的分杈也是这样发生的。

在座的媒体朋友可以看一下这张图,我自己总结的,这是中心化处理方式,中心化处理过程当中,用户不管是后台管理员还是双11的用户,还是阿里、京东的后台,实际都面临中心化处理的方式,一旦中心化处理方式中心节点出现宕机,前段说腾讯一个中心化主机出了一些问题,如果中心化服务器出现宕机,用户的访问就会被拒绝。

区块链从从业专业层面有两个误区,要么说是草根,要么是骗人,为什么很多中国人把好的技术做歪了。区块链解决什么问题?希望各位媒体跟我一起看一看这个图,区块链一般涉及三个层次,核心层,包括共识算法,准入层,就是用户比如通过地址或者账户进入,客户端就是代理或者钱包等等工具。用户使用区块链的时候可以看到,比如交易或者挖矿,这个工作一旦开始会广播一个消息过来,这个时候可以看一下转动的齿轮,往后退一下大家看一下,这个转动的齿轮实际是在做共识,这个工作过程当中可以看到接下来的问题,工作过程当中如果通过共识产生区块,这个区块一旦产生将被多个节点验证的,比如某个节点拥有了区块的情况,这个时候可以进一步看,这个时候会把下面产生的区块广播和同步到其他节点当中去,这个过程就可以看到和传统的计算方式不同的地方在于,传统的方式是中心化方式处理,区块链是以非中心化的方式进行工作,有以下的特点,它是没有中心的平台,这个过程当中通过共识机制达成工作一致性的结果。

同时这个过程当中具有同步数据分散存储的特性,安全机制决定于算法和共识,而不决定于中心化的平台。这个区块里的数据和所有节点区块的数据是一致的,在正常情况下。

从本质理解区块链应用

区块链的基本概念,本质上是分布式的信任基础设施。它本质上是不可篡改的可信帐本,无需新的中心构建可信任的业务处理,在上一张图大家可以看到,在产生区块的时候获得了区块的权利,这个区块权利可能是数字资产,可能是交易,可能是挖矿的结果,也可能是不同节点下不同数据的分布式的存储,可信的安全管理。区块链具有五个特征,去中心化、高度透明、集体维护、不可篡篡改、安全可信性。

区块链有公有链、联盟链、私有链,公有链从2008的比特币、到以太坊到对于发布的联盟链,其中联盟链在这里面不涉及数字资产,但是要知道联盟链也有具备数字资产转移管理的能力,只不过要有许可才可以进入的,通过深耕、节点、排序、验证代码的管理。

在区块链这个领域的应用也非常广泛,从供应链金融、移动电商、文化娱乐、智能制造、慈善公益、征信体系,在很多领域都有应用,数字资产是区块链的第一代,比特币主要的目标是用于数字资产的挖矿、交易、转帐,它的核心就是数字资产。

先到了以太坊以后,创造的一种机制,ETH作为生态的血液,由此可以看到,在这个过程中区块链经历了四个环节,白皮书、募资、开发、交易所交易,在这个过程当中交易所进行交易流通,在过程当中ETH创造了智能合约开放式的区块链平台,我们科研团队做了基于比特币原始代码全部内容的开发,你需要在源码级,以太坊通过智能合约,发布一个智能合约,在这里实现短暂交易,3分钟就可以创建你的资产,在这个过程当中还可以实现转帐、交易、锁定,以太坊提供了以ETH为血液的平台币。

在这个过程当中出现了联盟链,我们把从比特币、以太坊全部源码编辑过了,我们也发现了不同的特点。国际上区块链相关技术发展,包括中国人民银行、中国银行做了很多研究。区块链面临的技术优势也很明确,比如数据的完整性不可篡改性以及抗DDS攻击。

区块链面临安全问题综述

从安全风险角度来讲存在什么问题呢?我们现在的问题在于,在传统的图灵计算模式之下,都是基于数学难题的,是安全的,未来不一定安全,未来如果有了量子计算机可能是巨大挑战,如果量子计算成为现实常态化生活时,我觉得区块链时代体系要发生改变。

因此,未来在算法安全性、数据安全性、使用安全、系统安全方面都需要进一步考虑。

安全需求我们认为是五个层面,一个是数据层面的安全,另外是网络层面安全性,像门头沟事件某种程度是社交工程安全的问题,一定程度上涉及到双花问题,这涉及到共识层面安全的问题,还有激励层面、合约层面的,现在以太坊智能合约有48种典型安全问题,我们实验室把48种问题做了分析,这48种安全发现的现象、原因、后果是什么,在此基础上,我们做了正确安全的合约怎么编写,合约安全每列一条代码损失60多亿人民币,当地址越界以后数值转变为0。

数据层面安全涉及恶意信息攻击、滥用攻击、生日攻击、查分攻击。网络层次的供给,像日食攻击、拒绝服务攻击,比如交易所这个模式面临的是传统的中心化的数据库的问题。共识层面的问题,像工作量证明、权益证明、Dpos权益证明,以及PFBT拜占廷容错。

激励层面也有安全问题,避免中心化的问题,21个超级节点中的15个节点联合起来,就可能对用户资产、交易安全造成威胁,同时吸引数据的节点,这里BT的模式在超级节点可能就会出现问题。

合约层面的问题,典型的有48种,但是主要问题是六个层面,一个是整数的益处、信息泄露、越权访问、逻辑措施、函数误用、拒绝服务。这些里面并不以为这有这样的协议就一定安全。

交易所的安全就是DDOS攻击、支付漏洞、恶意程序的感染,以及认为内部访问权限的控制等等,都可能造成这样的事件,比如mtgo事件,7000个币丢失,宣称65万,另外的比特币去哪儿了?所以资产管理、自身数据安全管理方面非常重要,神鱼今天讲完以后我也在仔细听每个嘉宾的内容,很大程度是满足区块链核心的需求,就是数字资产的管理要求。

分层体系,这个体系涉及算法的共识、验证机制,以及对应的钱包的安全,中心化钱包、多种类钱包、网络钱包、本地钱包、硬件钱包的问题,从分层体系架构来讲涉及五个层面,交易层面、账户层面、分布式组织层次、网络层次、账户层次的。

从保障技术来讲,从增强系统安全性进行网络的隔离、选择优质的服务商、完善治理机制、完善应急机制、提高安全意识都是非常重要的。

 从安全的维度涉及算法的安全、协议的安全、实现安全、使用安全、综合安全性,这是我们认为重要的层面。特别是使用安全方面,我记得在很多人中,我们数字钱包很多人不备份,我曾经做了这样的一个事情。数字资产的安全性方面,密钥的保存、钱包的备份,Keystore的导出以及转帐过程的安全、策略制定都是非常重要的事情。

从用户隐私的角度,我们认为区块链使用当中,比如数字资产或者交易所,用户的保护性、数字保护性、交易保密性、系统的保密、安全防护都是核心的安全因素。

钱包安全

对于Cobo钱包,国内还有其他钱包,都是重要的硬件设施,国际上对标哪一些?trezor  keepkey  Ledger、bitgo,这些钱包我用过三个,今天在座的各位嘉宾,特别是Cobo,我觉得是典型的机遇,Cobo融资了接近两千万美元,大家可以做一些借鉴。区块链发展角度来讲,加密机制问题、效率问题、博弈都是关键的问题,在外延和内涵,从安全角度来讲问题非常多,机遇也如此巨大。

未来做区块链的角度来讲,区块链数字资产的安全管理、区块链数字资产安全的使用、区块链数字资产安全的保护,这个为未来的商业生产生活提供了很大的机遇。去中心化的应用,从DApp开发,DApp+ABCD,人工智能、云计算、大数据这些结合起来,区块链更有广阔的前景,应用在银行、保险、供应链、医疗保障、投票和身份证明,包括公安部一所我也注意到。

未来区块链的应用,区块链的核心从数字代币到记录保全、存证、智能合约,还有拓展的应用,从区块链的底层到交易所、钱包,比如供应链金融、版权管理、核心身份认证等等具有广阔而重要的应用前景。

生成图片
5

发表评论

马兆丰:区块链安全领域问题与机会并存

星期四 2018-11-15 20:21:59

2018年11月13日,2018中国数字资产安全高峰论坛在京召开,会上,业内众多专家学者、企业、投资人各抒己见。北京邮电大学区块链实验室主任马兆丰发表了以《区块链安全技术挑战与机遇》为标题的主题演讲。以下为演讲内容,经金色财经整理。

区块链发展背景

各位嘉宾,下午好!我是北京邮电大学马兆丰。我今天给大家带来的演讲主题是《区块链安全技术挑战及机遇》,我简单从几个方面来做一个说明。

我们在北京邮电大学,我现在是在网络空间安全学院。报告从这么几个方面,区块链基本应用背景、面临的安全挑战、区块链关键的安全需求、区块链安全分层架构、区块链核心保障技术、区块链技术安全发展机遇。

区块链技术本身,在座的各位我想都非常了解区块链这个概念,但是从技术本身来讲和大家再次回顾一下区块链的基本背景。

其实区块链的背景,2008年一些年轻人不太了解,在国际上金融领域发生了什么事情,2008年那时候是朱熔基总理,东南亚,包括印度、俄罗斯、中国,东南亚金融危机爆发,索罗斯发起了一些监管金融的对手交易,使得全球化金融风险剧增,出现了金融挤兑等等问题,在跨境结算以及相关的数字,包括不同币种法币的兑换之间存在了一些问题,2008中本聪发表了点对点的系统。

传统的计算方式,中心化处理的方式,处理过程是完全依赖于中心化单点失效的问题。主要存在三方面可能的问题,中心化业务处理过程当中,业务处理过于集中,新的中心往往不总是可靠的,同时跨境结算处理方式当中增加了交易的成本和代价。

比特币是基于共识机制,工作量证明的机制,由中心化处理方式转变为由6个以上的节点或者区块进行确认,使得做一种交易,这种交易是两种,挖矿和转帐,比特币核心功能是货币。这张图右边,做一次交易往往是6个以上的区块或者6个以上的节点,要确认,确认以后所有相关的数据同步到区块链不同的帐号当中,最后形成永久性的交易,当然这个交易关系是非最终确定的,包括BCH最近的分杈也是这样发生的。

在座的媒体朋友可以看一下这张图,我自己总结的,这是中心化处理方式,中心化处理过程当中,用户不管是后台管理员还是双11的用户,还是阿里、京东的后台,实际都面临中心化处理的方式,一旦中心化处理方式中心节点出现宕机,前段说腾讯一个中心化主机出了一些问题,如果中心化服务器出现宕机,用户的访问就会被拒绝。

区块链从从业专业层面有两个误区,要么说是草根,要么是骗人,为什么很多中国人把好的技术做歪了。区块链解决什么问题?希望各位媒体跟我一起看一看这个图,区块链一般涉及三个层次,核心层,包括共识算法,准入层,就是用户比如通过地址或者账户进入,客户端就是代理或者钱包等等工具。用户使用区块链的时候可以看到,比如交易或者挖矿,这个工作一旦开始会广播一个消息过来,这个时候可以看一下转动的齿轮,往后退一下大家看一下,这个转动的齿轮实际是在做共识,这个工作过程当中可以看到接下来的问题,工作过程当中如果通过共识产生区块,这个区块一旦产生将被多个节点验证的,比如某个节点拥有了区块的情况,这个时候可以进一步看,这个时候会把下面产生的区块广播和同步到其他节点当中去,这个过程就可以看到和传统的计算方式不同的地方在于,传统的方式是中心化方式处理,区块链是以非中心化的方式进行工作,有以下的特点,它是没有中心的平台,这个过程当中通过共识机制达成工作一致性的结果。

同时这个过程当中具有同步数据分散存储的特性,安全机制决定于算法和共识,而不决定于中心化的平台。这个区块里的数据和所有节点区块的数据是一致的,在正常情况下。

从本质理解区块链应用

区块链的基本概念,本质上是分布式的信任基础设施。它本质上是不可篡改的可信帐本,无需新的中心构建可信任的业务处理,在上一张图大家可以看到,在产生区块的时候获得了区块的权利,这个区块权利可能是数字资产,可能是交易,可能是挖矿的结果,也可能是不同节点下不同数据的分布式的存储,可信的安全管理。区块链具有五个特征,去中心化、高度透明、集体维护、不可篡篡改、安全可信性。

区块链有公有链、联盟链、私有链,公有链从2008的比特币、到以太坊到对于发布的联盟链,其中联盟链在这里面不涉及数字资产,但是要知道联盟链也有具备数字资产转移管理的能力,只不过要有许可才可以进入的,通过深耕、节点、排序、验证代码的管理。

在区块链这个领域的应用也非常广泛,从供应链金融、移动电商、文化娱乐、智能制造、慈善公益、征信体系,在很多领域都有应用,数字资产是区块链的第一代,比特币主要的目标是用于数字资产的挖矿、交易、转帐,它的核心就是数字资产。

先到了以太坊以后,创造的一种机制,ETH作为生态的血液,由此可以看到,在这个过程中区块链经历了四个环节,白皮书、募资、开发、交易所交易,在这个过程当中交易所进行交易流通,在过程当中ETH创造了智能合约开放式的区块链平台,我们科研团队做了基于比特币原始代码全部内容的开发,你需要在源码级,以太坊通过智能合约,发布一个智能合约,在这里实现短暂交易,3分钟就可以创建你的资产,在这个过程当中还可以实现转帐、交易、锁定,以太坊提供了以ETH为血液的平台币。

在这个过程当中出现了联盟链,我们把从比特币、以太坊全部源码编辑过了,我们也发现了不同的特点。国际上区块链相关技术发展,包括中国人民银行、中国银行做了很多研究。区块链面临的技术优势也很明确,比如数据的完整性不可篡改性以及抗DDS攻击。

区块链面临安全问题综述

从安全风险角度来讲存在什么问题呢?我们现在的问题在于,在传统的图灵计算模式之下,都是基于数学难题的,是安全的,未来不一定安全,未来如果有了量子计算机可能是巨大挑战,如果量子计算成为现实常态化生活时,我觉得区块链时代体系要发生改变。

因此,未来在算法安全性、数据安全性、使用安全、系统安全方面都需要进一步考虑。

安全需求我们认为是五个层面,一个是数据层面的安全,另外是网络层面安全性,像门头沟事件某种程度是社交工程安全的问题,一定程度上涉及到双花问题,这涉及到共识层面安全的问题,还有激励层面、合约层面的,现在以太坊智能合约有48种典型安全问题,我们实验室把48种问题做了分析,这48种安全发现的现象、原因、后果是什么,在此基础上,我们做了正确安全的合约怎么编写,合约安全每列一条代码损失60多亿人民币,当地址越界以后数值转变为0。

数据层面安全涉及恶意信息攻击、滥用攻击、生日攻击、查分攻击。网络层次的供给,像日食攻击、拒绝服务攻击,比如交易所这个模式面临的是传统的中心化的数据库的问题。共识层面的问题,像工作量证明、权益证明、Dpos权益证明,以及PFBT拜占廷容错。

激励层面也有安全问题,避免中心化的问题,21个超级节点中的15个节点联合起来,就可能对用户资产、交易安全造成威胁,同时吸引数据的节点,这里BT的模式在超级节点可能就会出现问题。

合约层面的问题,典型的有48种,但是主要问题是六个层面,一个是整数的益处、信息泄露、越权访问、逻辑措施、函数误用、拒绝服务。这些里面并不以为这有这样的协议就一定安全。

交易所的安全就是DDOS攻击、支付漏洞、恶意程序的感染,以及认为内部访问权限的控制等等,都可能造成这样的事件,比如mtgo事件,7000个币丢失,宣称65万,另外的比特币去哪儿了?所以资产管理、自身数据安全管理方面非常重要,神鱼今天讲完以后我也在仔细听每个嘉宾的内容,很大程度是满足区块链核心的需求,就是数字资产的管理要求。

分层体系,这个体系涉及算法的共识、验证机制,以及对应的钱包的安全,中心化钱包、多种类钱包、网络钱包、本地钱包、硬件钱包的问题,从分层体系架构来讲涉及五个层面,交易层面、账户层面、分布式组织层次、网络层次、账户层次的。

从保障技术来讲,从增强系统安全性进行网络的隔离、选择优质的服务商、完善治理机制、完善应急机制、提高安全意识都是非常重要的。

 从安全的维度涉及算法的安全、协议的安全、实现安全、使用安全、综合安全性,这是我们认为重要的层面。特别是使用安全方面,我记得在很多人中,我们数字钱包很多人不备份,我曾经做了这样的一个事情。数字资产的安全性方面,密钥的保存、钱包的备份,Keystore的导出以及转帐过程的安全、策略制定都是非常重要的事情。

从用户隐私的角度,我们认为区块链使用当中,比如数字资产或者交易所,用户的保护性、数字保护性、交易保密性、系统的保密、安全防护都是核心的安全因素。

钱包安全

对于Cobo钱包,国内还有其他钱包,都是重要的硬件设施,国际上对标哪一些?trezor  keepkey  Ledger、bitgo,这些钱包我用过三个,今天在座的各位嘉宾,特别是Cobo,我觉得是典型的机遇,Cobo融资了接近两千万美元,大家可以做一些借鉴。区块链发展角度来讲,加密机制问题、效率问题、博弈都是关键的问题,在外延和内涵,从安全角度来讲问题非常多,机遇也如此巨大。

未来做区块链的角度来讲,区块链数字资产的安全管理、区块链数字资产安全的使用、区块链数字资产安全的保护,这个为未来的商业生产生活提供了很大的机遇。去中心化的应用,从DApp开发,DApp+ABCD,人工智能、云计算、大数据这些结合起来,区块链更有广阔的前景,应用在银行、保险、供应链、医疗保障、投票和身份证明,包括公安部一所我也注意到。

未来区块链的应用,区块链的核心从数字代币到记录保全、存证、智能合约,还有拓展的应用,从区块链的底层到交易所、钱包,比如供应链金融、版权管理、核心身份认证等等具有广阔而重要的应用前景。