区块链理论与方法-第8章-区块链安全

第八章区块链安全目录区块链概述区块链的安全现状和常见攻击共识协议安全性隐私保护开放性问题23一、区块链概述区块链基础架构区块链是一种集成了密码学算法、分布式网络、共识机制、博弈论等技术的分布式账本技术。分布式账本链式结构动态组网共识机制激励机制智能合约安全隐私应用层合约层激励层共识层网络层数据层APIs接口跨链异构监管机制以智能合约为核心的可编程区块链组件编写语言运行机制沙盒环境测试网络数字资产管理、身份认证、供应链等区块链应用激励实体分配方式激励相容的激励机制设计驱动区块链运行维护PoWBFTPoS分片技术可信硬件适用于下层组网模式的共识协议/算法组网模式扩展网络通讯模式匿名网络通讯以P2P网络和TCP/IP为基础的分布式动态组网结构区块链数据库密码学算法4区块链底层数据结构和基本密码学算法比特币的一般构成5…上一区块的hash值难度随机数Merkle树的根区块头部交易信息hashhashhashhashhashhash……hashhash交易交易交易交易上一区块的hash值难度随机数时间戳Mercle树的根区块头部交易信息hashhashhashhashhashhash……hashhash交易交易交易交易填充字段区块链的安全特性6去中心化不依赖可信第三方，允许节点自由加入和退出，无须通过中心节点注册、认证和授权可追溯性数据的每次变更都会按照时间序列化，可以查询数据从发布源头到最新状态间的完整记录流程不可篡改、不可伪造、不可否认利用双向hash链接、数字签名和分布式共识，极大增加了恶意篡改、伪造和否认数据操作的攻击难度可编程性和自治性自动化脚本代码实现区块链的可编程性和自治性，是实现智能合约的有效技术

所有跟信息、价值（包括货币、证券、专利、版权、数字商品、实际物品等）、信用相关的交换过程（或商业模式），都将可能从区块链技术中得到启发或直接受益。数字货币金融支付与清算数字资产管理去中心化交易征信和权属管理资源共享物联网与供应链数字身份数字公证……可信任性提供天然可信的分布式账本平台，不需要额外的第三方中介机构（高成本+失信风险）降低成本与传统技术相比，可降低时间成本、人力成本和维护成本增加安全提供安全可靠的审计管理和账目清算，减少犯罪可能性，抵御各种风险区块链价值潜力及适用场景7业务特性价值潜力适用场景区块链信息价值信用8二、区块链的安全现状和常见攻击区块链的安全现状9区块链开源软件项目中的高危漏洞情况：高危746；中危3497区块链的安全现状10常见攻击介绍——数据层11底层密码算法密码学是保证区块链的安全性和不可篡改性的关键；高安全性强度密码算法经长时间的实践论证被大家认可，仍然可能存在漏洞。以SHA256算法为例ASIC矿机的出现违背了最初“一CPU一票”的比特币共识理念数字假名不能实现匿名性量子攻击大规模量子计算机的出新将极大降低对密码算法进行暴力破解的时间复杂度。交易延展性攻击(TransactionMalleabilityAttack）针对数据层代码漏洞实施的攻击，利用比特币使用数字签名构造的交易在编译过程中的延展性，常被用于针对比特币交易平台进行攻击。TXID1签名消息TXID2签名消息密码算法类型功能安全性影响AES对称密码加密攻击难度减半SHA2,SHA3哈希函数哈希函数攻击难度减半RSA公钥密码加密攻破ECDSA,ECDH公钥密码签名，密钥交换攻破DSA公钥密码签名，密钥交换攻破常见攻击介绍——网络层12传统网络攻击窃听攻击边界网关协议BGP劫持分割网络延迟攻击拒绝服务DoS攻击日蚀攻击攻击者利用节点间的拓扑关系实现网络隔离的一种典型攻击方式。其基本思想是攻击者通过网络拓扑控制目标节点的数据传入传出节点，限制目标节点与外界的数据交互，甚至将目标节点与区块链主网络隔离，使目标节点仅能接收到攻击者传输的消息，导致目标节点保存的区块链视图与主网区块链视图不一致，破坏局部的一致性。常见攻击介绍——共识层13双重支付攻击种族攻击芬尼攻击单一确认攻击替代历史攻击51%攻击验证绕过节点为了在竞争区块链记账权的过程中尽可能快地生成并发布区块，而不对所包含的交易进行验证。时间

攻击者𝒜

经矿工网络达成共识合谋节点商家𝒱时间差时间差提供商品常见攻击介绍——激励层14自私挖矿攻击节点可能会在自己成功完成PoW产生区块后,有策略地广播自己的区块,以获得高于自己所拥有的计算资源比例的奖励收益,即实施自私挖矿攻击NothingatStake攻击由于PoS中节点生成区块的成本较低,当出现区块链分叉时,为了利益最大化,矿工的最佳策略是在两个区块链分叉后均进行挖矿.这就使得发起区块链分叉的恶意攻击极容易成功,增加了区块链分叉和双重支付的概率.扣块攻击（BlockWithholdingAttack）一些矿池为了获得更高的奖励会利用目标矿池的奖励分配策略来实施扣块攻击,通过委派部分矿工加入到目标矿池贡献无效的工作量,分得目标矿池的奖励,追求矿池整体获得更高的奖励常见攻击介绍——合约层15合约虚拟机逃逸漏洞逻辑漏洞堆栈溢出漏洞资源滥用漏洞智能合约可重入攻击调用深度攻击交易顺序依赖攻击时间戳依赖攻击误操作异常整数溢出攻击常见攻击介绍——应用层16交易平台拒绝服务攻击撞库攻击穷举攻击中间人劫持支付漏洞业务逻辑漏洞矿工系统0day漏洞攻击渗透攻击弱口令攻击奖励接收地址篡改算力伪造攻击挖矿傀儡钱包钱包客户端RPCAPI风险钓鱼攻击私钥窃取钱包软硬件漏洞攻击在线钱包账号窃取17三、区块链的安全机制什么是共识？18

共识是解决分布式系统中一致性问题的过程。具体地说，在分布式网络中，节点对某一问题的不同响应经过共识协议后，可得到一致的输出结果。<insert,b1><insert,b2><insert,bn>共识协议bbb所有参与者都输出相同的结果Agreement如果所有诚实参与者的输入相同，那么必输出与之对应的结果Validity所有操作是有限的Termination区块链的共识协议抽象19共识协议的可证明安全系统20目标资源威胁模型解决方案安全假设安全证明资源是否可用模型是否实际方案是否有效假设是否合理解决方案安全假设安全证明解决方案安全假设安全证明解决方案安全假设安全证明一种目标可对应多种方案和证明比特币共识协议的可证明安全系统21目标资源威胁模型解决方案安全假设安全证明提供可靠的交易记录服务？不可信、非授权广播信道敌手的算力限制？比特币的区块链协议耐碰撞性PoW？？区块链的共识协议的安全性目标22持续性（Persistence）若某个诚实节点将一笔交易记录在自己区块链中，并且该交易所在区块后链接了多个确认区块，则该交易将被其他所有诚实节点记录在区块链的相同位置中。活性（Liveness）诚实节点提交的合法交易将在有限时间内被所有诚实节点验证通过后记录在区块链上。两个节点保存的区块链删除最新产生的若干个区块后的前缀部分是相同的。

用于刻画区块链的一致性。公共前缀用于描述诚实节点区块链的任意连续区块中，诚实节点产生的区块比例。链质量任意诚实节点保存的区块链的增长速率的最小值。链增长区块链的安全机制——共识机制23共识协议分类对比

区块链是一种集成了密码学算法、分布式网络、共识机制、博弈论等技术的分布式账本技术。基础协议核心思想优点缺点适用场景PoW利用求解计算困难问题来竞争记账权；基于博弈论思想，增加攻击者的经济利益损失，通过概率模型保证“最长链”为“合法链”1.算法简单，易于实现2.容错性好3.节点之间无需交换额外信息1.算力消耗、能源浪费2.区块时间难以缩短易分叉，需要等待多个后续区块确认公有链PoS类似于股东机制，提供证明的股权越多，获得记账权的概率就越大；安全性建立在股权占比多的节点不会实施攻击的理性假设1.节约资源2.收敛速度快，达成共识时间短1.中心化问题，“富者更富”2.安全性存疑3.没有最终一致性公有链或联盟链PBFT基于状态机副本机制，利用通信次数换取信用，每个命令的执行都需要节点间两两交互去核验消息1.节省资源2.收敛速度快，达成共识时间短3.具有理论上的容错率1.通讯代价高，扩展性差2.容错率较低联盟链区块链的共识协议设计目标24强一致性新区块一经发布，即可判断是否在该区块上达成一致，不会出现区块链分叉甚至账本历史复写的情况。交易即时性实现对交易的实时验证和确认；特别是对跨分片、跨区块链的交易验证的即时性。低能耗、高扩展降低共识协议的资源消耗和通讯代价，追求共识效率随节点数量线性增长的高扩展性。更优的安全性从理论安全性分析和实际网络安全两方面研究共识协议安全性，追求更高的容错率。共识协议安全性P2P网络安全可证明安全25四、区块链的隐私保护区块链的隐私保护目标26身份的隐私保护主要指对用户身份信息和区块链地址之间的关联关系的保护身份信息与地址之间的不可关联性交易的隐私保护主要指对区块链中存储的交易记录和交易纪录背后的知识的保护比特币的数字假名27比特币真的匿名吗？28比特币真的具有匿名性吗？29比特币交易图谱分析通过分析交易网络的某些统计参数，可以发现一些典型的用户行为特点区块链的隐私保护现状30P2P网络难以窃听区块链网络是一种P2P网络，节点之间采用中继转发的模式进行通信，传统网络中通过窃听网络流量发现用户之间通信关系的方法不适用。匿名交易区块链交易中使用的地址通常由用户自行创建和保存，不需要第三方参与，地址本身和用户身份信息无关。此外，区块链地址通常具有非常大的地址空间，出现碰撞的概率非常低，这使得用户可以为每次交易生成不同的地址，增强交易的匿名性。去中心化架构采用区块链技术的应用程序通常是去中心化架构，不需要在中心服务器上存储账户、密码等敏感信息，能够避免传统服务器被攻击而导致的数据泄露风险节点易受攻击区块链网络中的节点和传统网络架构中的专用服务器相比性能低、抗攻击能力差。所有节点地位平等，很难对地理位置分散的众多节点采用相同的安全措施。攻击者可以寻找安全薄弱的节点入侵区块链网络交易关联性易被利用区块链中所有交易都存储在公开的全局账本中，攻击者很容易获得所有交易信息。通过分析交易中的关联关系，攻击者能够逐步降低区块链地址的匿名性，甚至发现匿名地址对应用户的真实身份信息。不当应用的安全威胁区块链技术仍处于发展初期，存在多种安全缺陷，有可能对区块链应用造成安全威胁。优势不足隐私保护技术31匿名网络通信技术Tor网络密码学技术零知识证明同态加密环签名数字货币的混币技术中心化混币协议去中心化混币协议基于限制性发布的方案闪电网络联盟链私有链Tor网络32

洋葱路由（TheOnionRouter），简称为Tor网络，是一种基于Mix思想开发的匿名通讯网络系统。它将现代加密技术和网络拓扑相结合，使得攻击者无法通过常规攻击手段来推断通信双方的通信关系和IP地址等用户身份信息。

所谓“洋葱”，是通过应用层通信协议栈实现加密，对客户端传输的数据包按照顺序进行逐层加密，形成类似洋葱的加密层结构。Tor网络为客户端发送的数据包，随机地选择若干中间节点，按照一定顺序对数据包进行加密。中间节点需要对加密数据包进行解密，获得下一个IP地址，进行转发，类似洋葱剥皮的过程。经过逐层加密和多次跳转，中间节点仅能知晓数据包传输链路中自己的前一个和后一个IP地址，隐藏了源地址与目标地址之间的路径，使得网络中的节点很难确定通信双方的身份和IP地址，从而实现对用户身份和通讯关系的匿名性。零知识证明33证明者P拥有掌握某些信息，并向验证者V证明自己拥有这些信息的实体，并不泄露关于信息的任何知识。我们就称证明者P实现了零知识证明。完备性：对于每一个真实掌握的信息，证明者P都能给出正确的证明。可靠性：对于每一个错误的信息，任意恶意证明者P都无法（概率可忽略）给出正确的证明。零知识性：无论验证者V采用何种方法，他只能接受证明者P的证明，而无法获得与证明者P掌握的信息的任何知识。零知识证明-zk-SNARK34

zk-SNARKAliceBobCharles

同态加密35

同态加密（HomomorphicEncryption）是一种加密形式，技术的核心思想是在不知道密钥的情况下，对密文进行的计算能够作用到解密后对应的明文上。同态加密除了具有加密功能以外，支持对加密后的数据进行诸如检索、比较等操作，在处理过程中不需要对数据进行解密，就可以得到正确的结果，从根本上解决了将数据委托或保存在第三方时的隐私保护问题。

同态加密要求对密文的计算结果进行解密之后，能够与明文进行计算后的结果相同，在一定程度上保持了代数结构的同态性。环签名36

签名者利用自己的公私钥和若干个用户公钥来生成一个环签名，签名的过程是自发式的，签名者不需要通知被选中的用户，仅需要知晓他们公开的公钥即可生成一个环结构，将自己的身份隐藏在环中。环签名兼顾了认证功能和隐私保护功能，在发布机密、匿名举报、电子支付等应用场景中都发挥巨大的作用。另外，环签名在一些特殊情况下非常有用，例如，即使在RSA被破解的情况下，环签名仍然可以保持匿名性。数字货币的混币技术37

混币技术能在不对数字货币交易内容进行加密处理的情况下有效对抗交易图谱分析，增加了攻击难度。混币技术的核心思想是通过中间人介入或自发式混淆等方式对资金进行混淆中转，使攻击者无法直接将交易中真实的发送方和接收方关联起来