區塊鏈安全測評指標體系

⑴ 區塊鏈使用安全如何來保證呢

區塊鏈本身解決的就是陌生人之間大規模協作問題，即陌生人在不需要彼此信任的情況下就可以相互協作。那麼如何保證陌生人之間的信任來實現彼此的共識機制呢？中心化的系統利用的是可信的第三方背書，比如銀行，銀行在老百姓看來是可靠的值得信任的機構，老百姓可以信賴銀行，由銀行解決現實中的糾紛問題。但是，去中心化的區塊鏈是如何保證信任的呢？
實際上，區塊鏈是利用現代密碼學的基礎原理來確保其安全機制的。密碼學和安全領域所涉及的知識體系十分繁雜，我這里只介紹與區塊鏈相關的密碼學基礎知識，包括Hash演算法、加密演算法、信息摘要和數字簽名、零知識證明、量子密碼學等。您可以通過這節課來了解運用密碼學技術下的區塊鏈如何保證其機密性、完整性、認證性和不可抵賴性。
基礎課程第七課 區塊鏈安全基礎知識
一、哈希演算法（Hash演算法）
哈希函數（Hash），又稱為散列函數。哈希函數：Hash(原始信息) = 摘要信息，哈希函數能將任意長度的二進制明文串映射為較短的（一般是固定長度的）二進制串（Hash值）。
一個好的哈希演算法具備以下4個特點:
1、 一一對應：同樣的明文輸入和哈希演算法，總能得到相同的摘要信息輸出。
2、 輸入敏感：明文輸入哪怕發生任何最微小的變化，新產生的摘要信息都會發生較大變化，與原來的輸出差異巨大。
3、 易於驗證：明文輸入和哈希演算法都是公開的，任何人都可以自行計算，輸出的哈希值是否正確。
4、 不可逆：如果只有輸出的哈希值，由哈希演算法是絕對無法反推出明文的。
5、 沖突避免：很難找到兩段內容不同的明文，而它們的Hash值一致（發生碰撞）。
舉例說明：
Hash(張三借給李四10萬，借期6個月) = 123456789012
賬本上記錄了123456789012這樣一條記錄。
可以看出哈希函數有4個作用：
簡化信息
很好理解，哈希後的信息變短了。
標識信息
可以使用123456789012來標識原始信息，摘要信息也稱為原始信息的id。
隱匿信息
賬本是123456789012這樣一條記錄，原始信息被隱匿。
驗證信息
假如李四在還款時欺騙說，張三隻借給李四5萬，雙方可以用哈希取值後與之前記錄的哈希值123456789012來驗證原始信息
Hash（張三借給李四5萬，借期6個月）=987654321098
987654321098與123456789012完全不同，則證明李四說謊了，則成功的保證了信息的不可篡改性。
常見的Hash演算法包括MD4、MD5、SHA系列演算法，現在主流領域使用的基本都是SHA系列演算法。SHA（Secure Hash Algorithm）並非一個演算法，而是一組hash演算法。最初是SHA-1系列，現在主流應用的是SHA-224、SHA-256、SHA-384、SHA-512演算法（通稱SHA-2），最近也提出了SHA-3相關演算法，如以太坊所使用的KECCAK-256就是屬於這種演算法。
MD5是一個非常經典的Hash演算法，不過可惜的是它和SHA-1演算法都已經被破解，被業內認為其安全性不足以應用於商業場景，一般推薦至少是SHA2-256或者更安全的演算法。
哈希演算法在區塊鏈中得到廣泛使用，例如區塊中，後一個區塊均會包含前一個區塊的哈希值，並且以後一個區塊的內容+前一個區塊的哈希值共同計算後一個區塊的哈希值，保證了鏈的連續性和不可篡改性。
二、加解密演算法
加解密演算法是密碼學的核心技術，從設計理念上可以分為兩大基礎類型：對稱加密演算法與非對稱加密演算法。根據加解密過程中所使用的密鑰是否相同來加以區分，兩種模式適用於不同的需求，恰好形成互補關系，有時也可以組合使用，形成混合加密機制。
對稱加密演算法（symmetric cryptography,又稱公共密鑰加密，common-key cryptography），加解密的密鑰都是相同的，其優勢是計算效率高，加密強度高；其缺點是需要提前共享密鑰，容易泄露丟失密鑰。常見的演算法有DES、3DES、AES等。
非對稱加密演算法（asymmetric cryptography，又稱公鑰加密，public-key cryptography），與加解密的密鑰是不同的，其優勢是無需提前共享密鑰；其缺點在於計算效率低，只能加密篇幅較短的內容。常見的演算法有RSA、SM2、ElGamal和橢圓曲線系列演算法等。 對稱加密演算法，適用於大量數據的加解密過程；不能用於簽名場景：並且往往需要提前分發好密鑰。非對稱加密演算法一般適用於簽名場景或密鑰協商，但是不適於大量數據的加解密。
三、信息摘要和數字簽名
顧名思義，信息摘要是對信息內容進行Hash運算，獲取唯一的摘要值來替代原始完整的信息內容。信息摘要是Hash演算法最重要的一個用途。利用Hash函數的抗碰撞性特點，信息摘要可以解決內容未被篡改過的問題。
數字簽名與在紙質合同上簽名確認合同內容和證明身份類似，數字簽名基於非對稱加密，既可以用於證明某數字內容的完整性，同時又可以確認來源（或不可抵賴）。
我們對數字簽名有兩個特性要求，使其與我們對手寫簽名的預期一致。第一，只有你自己可以製作本人的簽名，但是任何看到它的人都可以驗證其有效性；第二，我們希望簽名只與某一特定文件有關，而不支持其他文件。這些都可以通過我們上面的非對稱加密演算法來實現數字簽名。
在實踐中，我們一般都是對信息的哈希值進行簽名，而不是對信息本身進行簽名，這是由非對稱加密演算法的效率所決定的。相對應於區塊鏈中，則是對哈希指針進行簽名，如果用這種方式，前面的是整個結構，而非僅僅哈希指針本身。
四 、零知識證明（Zero Knowledge proof）
零知識證明是指證明者在不向驗證者提供任何額外信息的前提下，使驗證者相信某個論斷是正確的。
零知識證明一般滿足三個條件：
1、 完整性（Complteness）：真實的證明可以讓驗證者成功驗證；
2、 可靠性（Soundness）：虛假的證明無法讓驗證者通過驗證；
3、 零知識（Zero-Knowledge）：如果得到證明，無法從證明過程中獲知證明信息之外的任何信息。
五、量子密碼學（Quantum cryptography）
隨著量子計算和量子通信的研究受到越來越多的關注，未來量子密碼學將對密碼學信息安全產生巨大沖擊。
量子計算的核心原理就是利用量子比特可以同時處於多個相干疊加態，理論上可以通過少量量子比特來表達大量信息，同時進行處理，大大提高計算速度。
這樣的話，目前的大量加密演算法，從理論上來說都是不可靠的，是可被破解的，那麼使得加密演算法不得不升級換代，否則就會被量子計算所攻破。
眾所周知，量子計算現在還僅停留在理論階段，距離大規模商用還有較遠的距離。不過新一代的加密演算法，都要考慮到這種情況存在的可能性。

⑵ 區塊鏈項目選擇需要注意什麼

在區塊鏈熊市下，如何找到真正有價值的區塊鏈項目呢？小編就從以下幾個方面進行說明：

1.用區塊鏈安全技術檢測中心看一下是不是傳銷幣、空氣幣

任何項目不論理念吹噓的如何先進，宣傳標語渲染的多麼誇張，回歸到本質還是要靠技術說話，沒有技術的區塊鏈項目就如同皇帝的新衣一樣，需要一款照射出皇帝的新衣的鏡子——區塊鏈安全技術檢測中心。

Ulord公鏈技術提供方天河國雲作為區塊鏈安全技術檢測中心的重要發起單位之一，其提供的代碼審計職能是區塊鏈安全技術檢測中心辨別區塊鏈項目好壞的利器。代碼審計是藉助機器學習和人工智慧建立區塊鏈代碼自動審計的知識庫，它可以提高代碼審計效率，解決智能合約的安全問題。區塊鏈代碼審計業務通過對區塊鏈項目、交易所、錢包和智能合約代碼進行質量評測，防範數字資產安全事故，提供代碼修訂措施、安全防護部署等服務。據悉，天河國雲區塊鏈代碼審計除了自動審計以外，還可以定製專家團隊項目進行全方面審計，幫助投資者更大程度辨別出「假項目」。

2.看區塊鏈項目的團隊

區塊鏈領域可以算是是一個綜合領域，涉及到密碼學、數學、經濟學甚至社會經營學等多個學科。我們有一個靠譜的團隊，上面我也有介紹Ulord項目匯聚了大批高層次研發及運營人員。

3.不只是炒熱概念，更要將其應用落地。

區塊鏈領域創業公司眾多，想要成為少數受到廣泛認可的優質項目，光炒概念或者理論上的一套是行不通的。只有具備造血能力以及落地做事的項目才是好項目。

目前基於Ulord公鏈的應用DAPP Ushare優享已於10月15日正式公測。Ushare優享是全球首款去中心化的經驗價值共享平台，基於Ulord公鏈的第一款DAPP。通過去中心化的共識機制，構建公開、公平、公正的內容評價體系，激勵優質經驗生產者和經驗分享傳播者，讓優質經驗價值流動起來。

還有近百個團隊和項目開展與Ulord公鏈的洽談合作。

4.社群都有自治屬性

社群是否有DAO（分布式自治組織）的屬性，這個天然適合區塊鏈，

關於社群的治理。不管是社群的運營模式，還是開發者社群的組織形式，現在其實是在一個量變到質變的過程。大家已經意識到社群的重要作用。

Ulord採用「人人都可以參與，人人都可以為生態貢獻力量」的社區自治模式。

我們會有一些新的社群治理模式，包括一些開發者的協作、大規模的開源社群的協作模式會誕生並蓬勃發展。

激勵體系主要包括三個方面：第一，參與記賬；第二，提供網路資源的貢獻；第三，參與社區的建設。上面也有說到，在我們的整個預算體系裡的記賬的部分，POW+PoS部分佔60%，在參與開源社區代碼貢獻層面佔10%，還有10%是作為社區運營的一種激勵。所以，我們希望更多的人能夠參與到Ulord的建設和推廣中來。我們希望去做一個平台，但是這個平台獲得的紅利，應該是最大范圍的與大家共享，這與互聯網產品也有本質的差別。

⑶ 區塊鏈技術標准體系已經完善了嗎

日前有專家表示，區塊鏈就像是1992年的互聯網，標准化還沒有完全做完，應用和推廣還會受到限制，處在早期的技術儲備階段，一旦有了標准，各種技術研發才能走得下去。

目前中國互聯網金融協會在2018年的工作重點之一就是要積極推進標准化建設，「區塊鏈要有一個新的技術標准體系，特別是還要建立一個權威的第三方認證的系統，這是區塊鏈金融發展的當務之急」。

雖然從目前來看，監管層對區塊鏈相當關注，但主要是集中於金融領域，特別是去年下半年對虛擬貨幣和ICO（首次幣發行）採取了嚴控措，從區塊鏈整個行業的發展來看，法律和監管仍然相對滯後。與海外先進國家相比較，缺乏對區塊鏈進行定義並管理其交易和交易平台的專門法律。

希望區塊鏈的標准可以早日完善。

內容來源：比特110網

⑷ 區塊鏈技術國家標准什麼時候完成

我國已著手建立區塊鏈國家標准，以從頂層設計推動區塊鏈標准體系建設，預計最快將於2019年底完成。

對此，北京華順信安科技有限公司創始人趙武也表示，區塊鏈雖然具備顛覆性的技術潛力，但我們必須認識到，區塊鏈仍處於初期，遠遠沒有達到可以顛覆世界的階段。

俞克群強調，自主可控的區塊鏈網路，意在技術上不能受制於人，同時也可以促進區塊鏈健康發展。安全是區塊鏈未來的生命，只有本身的安全才能使得區塊鏈技術落地。這就要求我們在區塊鏈技術發展的同時，必須並重發展其安全屬性，甚至是超前發展。

對此，李鳴也表示，標准中重要一塊是信息安全的標准，也可以看出安全對於區塊鏈技術的重要性。他同時指出，區塊鏈標準的制定不意味著會快速推進行業發展，而是給行業一定指引。此前，中國在國際知識產權和標准等方面吃過很多虧，在區塊鏈方面，中國目前已經形成了國際化區塊鏈方面的200多項專利，甚至已站在世界技術前列。因此，我們也需要牢牢把握住自己的話語權。

內容來源新華網

⑸ 區塊鏈如何提高安全性和數據共享

針對現有區塊鏈技術的安全特性和缺點，需要圍繞物理、數據、應用系統、加密、風控等方面構建安全體系，整體提升區塊鏈系統的安全性能。
1、物理安全
運行區塊鏈系統的網路和主機應處於受保護的環境，其保護措施根據具體業務的監管要求不同，可採用不限於VPN專網、防火牆、物理隔離等方法，對物理網路和主機進行保護。
2、數據安全
區塊鏈的節點和節點之間的數據交換，原則上不應明文傳輸，例如可採用非對稱加密協商密鑰，用對稱加密演算法進行數據的加密和解密。數據提供方也應嚴格評估數據的敏感程度、安全級別，決定數據是否發送到區塊鏈，是否進行數據脫敏，並採用嚴格的訪問許可權控制措施。
3、應用系統安全
應用系統的安全需要從身份認證、許可權體系、交易規則、防欺詐策
略等方面著手，參與應用運行的相關人員、交易節點、交易數據應事前受控、事後可審計。以金融區塊鏈為例，可採用容錯能力更強、抗欺詐性和性能更高的共識演算法，避免部分節點聯合造假。
4、密鑰安全
對區塊鏈節點之間的通信數據加密，以及對區塊鏈節點上存儲數據加密的密鑰，不應明文存在同一個節點上，應通過加密機將私鑰妥善保存。在密鑰遺失或泄漏時，系統可識別原密鑰的相關記錄，如帳號控制、通信加密、數據存儲加密等，並實施響應措施使原密鑰失效。密鑰還應進行嚴格的生命周期管理，不應為永久有效，到達一定的時間周期後需進行更換。
5、風控機制
對系統的網路層、主機操作、應用系統的數據訪問、交易頻度等維度，應有周密的檢測措施，對任何可疑的操作，應進行告警、記錄、核查，如發現非法操作，應進行損失評估，在技術和業務層面進行補救，加固安全措施，並追查非法操作的來源，杜絕再次攻擊。

文章來源：中國區塊鏈技術和應用發展白皮書

⑹ 區塊鏈項目的投資判斷標準是什麼

判斷的標准就是是否可以落地，應用到實際的生活中，這個是判斷項目的，另外，你其實也可以看主流項目有哪些，如果要考慮投資記得務必選擇靠譜的老平台，年限6年以上的，口碑一直不錯這種，你可以看下AEX、火幣這2個，如果對幣種不太了解，建議直接在AEX理財超市買穩定幣的理財產品，收益會比較穩定，風險很低

⑺ 基於機器學習的區塊鏈網路異常檢測 作為一個小白，應該從那方面來進行了解那，麻煩大佬指點一下，謝謝

個人覺得區塊鏈開發技術層面講就沒有靠譜之說，無非是你選擇什麼樣的研發技術團，即使你選擇了比較好的研發技術團，也未必能實現你所要求的區塊鏈技術，不同行業和領域有不同的技術指標，更何況這個復雜的新技術。另外一點還要讓研發技術團認同你需要應用的機器行業思維，否則開發出來的產品也不可能符合你的要求。我們專注區塊鏈技術專業領域落地，項目已經進行了一年多的時間，還沒有成功落地。難度在於推翻傳統模式會觸及很大的利益鏈條，所以必須是一個慢慢滲透的過程。

按照你講的：基於機器學習的區塊鏈，可以理解為你在問一個技術問題。

以上回答，希望對你有所幫助。

⑻ 區塊鏈行業什麼時候有個標准或准則什麼的

2016年9月，國際標准化組織(ISO)成立了區塊鏈和分布式記賬技術委員會(ISO/TC 307)，負責制定區塊鏈和分布式記賬技術領域的國際標准。2017年3月，中國電子技術標准化研究院承擔ISO/TC 307國內技術對口單位。2019年12月，工業和信息化部組織籌建全國區塊鏈和分布式記賬技術標准化技術委員會，秘書處承擔單位為中國電子技術標准化研究院。目前，中國電子技術標准化研究院負責對區塊鏈系統進行是否符合區塊鏈標準的軟體測試，測試通過後，頒發相關證書。深圳區塊鏈行業將加快標准化發展。6月11日，第四屆中國區塊鏈開發大賽暨區塊鏈國家標准及系統測試標准廣東研討會在深圳舉行，首個可專業進行國家標准申報測試的區塊鏈標准化測評工作站在深圳率先成立。

⑼ 區塊鏈網路的有哪些指標可以用於異常檢測

指標只要是評分

區塊鏈網早就搬了，李笑來聯合國內大佬花了幾千萬把他們給搞倒了。