區塊鏈安全與應用
⑴ 區塊鏈技術主要應用領域有哪些
答:區塊鏈技術主要應用領域有金融領域、物聯網和物流領域、公共服務領域、數字版權領域、保險領域和公益領域。
一、金融領域
區塊鏈在國際匯兌、信用證、股權登記和證券交易所等金融領域有著潛在的巨大應用價值。
二、物聯網和物流領域
區塊鏈在物聯網和物流領域也可以天然結合。通過區塊鏈可以降低物流成本,追溯物品的生產和運送過程,並且提高供應鏈管理的效率。
三、公共服務領域
區塊鏈在公共管理、能源、交通等領域都與民眾的生產生活息息相關,但是這些領域的中心化特質也帶來了一些問題,可以用區塊鏈來改造。
四、數字版權領域
通過區塊鏈技術,可以對作品進行鑒權,證明文字、視頻、音頻等作品的存在,保證權屬的真實、唯一性。
五、保險領域
在保險理賠方面,保險機構負責資金歸集、投資、理賠,往往管理和運營成本較高。
六、公益領域
區塊鏈上存儲的數據,高可靠且不可篡改,天然適合用在社會公益場景。公益流程中的相關信息,如捐贈項目、募集明細、資金流向、受助人反饋等,均可以存放於區塊鏈上,並且有條件地進行透明公開公示,方便社會監督 。
⑵ 區塊鏈使用安全如何來保證呢
區塊鏈本身解決的就是陌生人之間大規模協作問題,即陌生人在不需要彼此信任的情況下就可以相互協作。那麼如何保證陌生人之間的信任來實現彼此的共識機制呢?中心化的系統利用的是可信的第三方背書,比如銀行,銀行在老百姓看來是可靠的值得信任的機構,老百姓可以信賴銀行,由銀行解決現實中的糾紛問題。但是,去中心化的區塊鏈是如何保證信任的呢?
實際上,區塊鏈是利用現代密碼學的基礎原理來確保其安全機制的。密碼學和安全領域所涉及的知識體系十分繁雜,我這里只介紹與區塊鏈相關的密碼學基礎知識,包括Hash演算法、加密演算法、信息摘要和數字簽名、零知識證明、量子密碼學等。您可以通過這節課來了解運用密碼學技術下的區塊鏈如何保證其機密性、完整性、認證性和不可抵賴性。
基礎課程第七課 區塊鏈安全基礎知識
一、哈希演算法(Hash演算法)
哈希函數(Hash),又稱為散列函數。哈希函數:Hash(原始信息) = 摘要信息,哈希函數能將任意長度的二進制明文串映射為較短的(一般是固定長度的)二進制串(Hash值)。
一個好的哈希演算法具備以下4個特點:
1、 一一對應:同樣的明文輸入和哈希演算法,總能得到相同的摘要信息輸出。
2、 輸入敏感:明文輸入哪怕發生任何最微小的變化,新產生的摘要信息都會發生較大變化,與原來的輸出差異巨大。
3、 易於驗證:明文輸入和哈希演算法都是公開的,任何人都可以自行計算,輸出的哈希值是否正確。
4、 不可逆:如果只有輸出的哈希值,由哈希演算法是絕對無法反推出明文的。
5、 沖突避免:很難找到兩段內容不同的明文,而它們的Hash值一致(發生碰撞)。
舉例說明:
Hash(張三借給李四10萬,借期6個月) = 123456789012
賬本上記錄了123456789012這樣一條記錄。
可以看出哈希函數有4個作用:
簡化信息
很好理解,哈希後的信息變短了。
標識信息
可以使用123456789012來標識原始信息,摘要信息也稱為原始信息的id。
隱匿信息
賬本是123456789012這樣一條記錄,原始信息被隱匿。
驗證信息
假如李四在還款時欺騙說,張三隻借給李四5萬,雙方可以用哈希取值後與之前記錄的哈希值123456789012來驗證原始信息
Hash(張三借給李四5萬,借期6個月)=987654321098
987654321098與123456789012完全不同,則證明李四說謊了,則成功的保證了信息的不可篡改性。
常見的Hash演算法包括MD4、MD5、SHA系列演算法,現在主流領域使用的基本都是SHA系列演算法。SHA(Secure Hash Algorithm)並非一個演算法,而是一組hash演算法。最初是SHA-1系列,現在主流應用的是SHA-224、SHA-256、SHA-384、SHA-512演算法(通稱SHA-2),最近也提出了SHA-3相關演算法,如以太坊所使用的KECCAK-256就是屬於這種演算法。
MD5是一個非常經典的Hash演算法,不過可惜的是它和SHA-1演算法都已經被破解,被業內認為其安全性不足以應用於商業場景,一般推薦至少是SHA2-256或者更安全的演算法。
哈希演算法在區塊鏈中得到廣泛使用,例如區塊中,後一個區塊均會包含前一個區塊的哈希值,並且以後一個區塊的內容+前一個區塊的哈希值共同計算後一個區塊的哈希值,保證了鏈的連續性和不可篡改性。
二、加解密演算法
加解密演算法是密碼學的核心技術,從設計理念上可以分為兩大基礎類型:對稱加密演算法與非對稱加密演算法。根據加解密過程中所使用的密鑰是否相同來加以區分,兩種模式適用於不同的需求,恰好形成互補關系,有時也可以組合使用,形成混合加密機制。
對稱加密演算法(symmetric cryptography,又稱公共密鑰加密,common-key cryptography),加解密的密鑰都是相同的,其優勢是計算效率高,加密強度高;其缺點是需要提前共享密鑰,容易泄露丟失密鑰。常見的演算法有DES、3DES、AES等。
非對稱加密演算法(asymmetric cryptography,又稱公鑰加密,public-key cryptography),與加解密的密鑰是不同的,其優勢是無需提前共享密鑰;其缺點在於計算效率低,只能加密篇幅較短的內容。常見的演算法有RSA、SM2、ElGamal和橢圓曲線系列演算法等。 對稱加密演算法,適用於大量數據的加解密過程;不能用於簽名場景:並且往往需要提前分發好密鑰。非對稱加密演算法一般適用於簽名場景或密鑰協商,但是不適於大量數據的加解密。
三、信息摘要和數字簽名
顧名思義,信息摘要是對信息內容進行Hash運算,獲取唯一的摘要值來替代原始完整的信息內容。信息摘要是Hash演算法最重要的一個用途。利用Hash函數的抗碰撞性特點,信息摘要可以解決內容未被篡改過的問題。
數字簽名與在紙質合同上簽名確認合同內容和證明身份類似,數字簽名基於非對稱加密,既可以用於證明某數字內容的完整性,同時又可以確認來源(或不可抵賴)。
我們對數字簽名有兩個特性要求,使其與我們對手寫簽名的預期一致。第一,只有你自己可以製作本人的簽名,但是任何看到它的人都可以驗證其有效性;第二,我們希望簽名只與某一特定文件有關,而不支持其他文件。這些都可以通過我們上面的非對稱加密演算法來實現數字簽名。
在實踐中,我們一般都是對信息的哈希值進行簽名,而不是對信息本身進行簽名,這是由非對稱加密演算法的效率所決定的。相對應於區塊鏈中,則是對哈希指針進行簽名,如果用這種方式,前面的是整個結構,而非僅僅哈希指針本身。
四 、零知識證明(Zero Knowledge proof)
零知識證明是指證明者在不向驗證者提供任何額外信息的前提下,使驗證者相信某個論斷是正確的。
零知識證明一般滿足三個條件:
1、 完整性(Complteness):真實的證明可以讓驗證者成功驗證;
2、 可靠性(Soundness):虛假的證明無法讓驗證者通過驗證;
3、 零知識(Zero-Knowledge):如果得到證明,無法從證明過程中獲知證明信息之外的任何信息。
五、量子密碼學(Quantum cryptography)
隨著量子計算和量子通信的研究受到越來越多的關注,未來量子密碼學將對密碼學信息安全產生巨大沖擊。
量子計算的核心原理就是利用量子比特可以同時處於多個相干疊加態,理論上可以通過少量量子比特來表達大量信息,同時進行處理,大大提高計算速度。
這樣的話,目前的大量加密演算法,從理論上來說都是不可靠的,是可被破解的,那麼使得加密演算法不得不升級換代,否則就會被量子計算所攻破。
眾所周知,量子計算現在還僅停留在理論階段,距離大規模商用還有較遠的距離。不過新一代的加密演算法,都要考慮到這種情況存在的可能性。
⑶ 區塊鏈有哪些應用
簡單介紹一下區塊鏈技術在金融領域的應用
1、區塊鏈技術在銀行業中的應用
區塊鏈技術最大的特徵就是去中心化, 而這一特徵將為銀行業降低大量成本。
首先,去中心化意味著銀行體系之間建立信任機制不再需要中介,節約了中介的費用。
其次,數字貨幣的發展將可能實現銀行實時的數字化交易。例如,在票據交易中,一直以來銀行的票據交易都要依靠第三方實現有價憑證的傳遞,即使是電子票據的交易,也需要通過央行 ECDS 系統的信息進行交互認證。而區塊鏈技術可以實現點對點的價值的傳遞,不再需要中心化的系統進行控制,這不僅僅加快了票據傳遞的速度,更重要的是,可以減少人為因素造成的失誤,流程方面的減少自然會降低銀行對於人員的需求量,節約了銀行的人工成本。
最後,在清算、結算方面也會有所影響。 銀行的清算、結算業務一直以來都是由中央結算來完成的,效率較低。通過區塊鏈技術進行結算將大幅度提高銀行的效率。
區塊鏈技術在銀行的跨境支付業務中也發揮著較大的作用。在全球化貿易高度發達的今天,跨境支付越來越頻繁,銀行在跨境貿易中往往充當著第三方服務的職能,例如進行電子轉賬、資產託管等。但跨境支付一般需要耗時 2 天左右才能到賬,效率很低,也降低了在途資金的利用率。而在區塊鏈技術中,跨境支付的雙方可以通過點到點的方式完成,實現全天候支付、實時到賬、從而加快了清算、結算的速度,進而提高銀行處理業務的效率。
區塊鏈技術的另一特徵就是去風險化,銀行可以建立自己的區塊鏈,這樣就能保證銀行客戶的交易信息和交易記錄是真實有效的, 是不會被任意篡改的,銀行可以有效地辨別客戶的信息,了解客戶的各方面情況,識別客戶的異常交易,防止被客戶所欺騙,也可以及時發現非法洗錢、轉移資金等犯罪行為,從而降低銀行的監管成本。
2、區塊鏈技術在保險業中的應用
區塊鏈技術在保險業中也具有無可比擬的優勢。從數據管理角度來看,保險公司應用區塊鏈技術可以有效提高風險管控能力, 包括保險公司的風險監督與投保人的風險管理兩個方面。
區塊鏈技術在保險業中的應用,可以加強保險公司內部的風險監督。 區塊鏈技術可以將保險公司的日常運營流程記錄在節點上,可以實現對公司資金流向、投資情況、賠付多少等業務進行事中控制,提高公司風險管控能力。
此外,區塊鏈技術安全、可靠、無法隨意篡改,保證投保人得到的信息真實有效,使得投保人的風險管理能力增強。
3、區塊鏈技術在證券行業的應用
區塊鏈技術在證券行業的應用可以增加證券發行的靈活性,發行證券的公司可以採用智能合約,通過設定證券發行的方式、時間,在最理想的狀態下甚至可以 24 小時不間斷地發行證券。
在智能合約的運行下,實現買賣雙方的自動配對,並通過分布式的數字化登記系統,自動完成結算、清算步驟。 區塊鏈上的交易記錄不會被隨便更改,因此錄入的信息在實際上產生了公示的效果,因而證券交易所產生所有權的確權不會有任何爭議。
除此之外,區塊鏈技術讓證券交易流程更加公開、透明。 通過區塊鏈技術,證券行業無需中央機構來運行和管理,也不需要投行來進行承銷,實現真正的點對點的交易,減少證券交易中的暗箱操作與內幕交易等違規行為,並可以實現對證券行業的有效監管。
4、區塊鏈技術與金融基礎設施
區塊鏈技術是以一種分散化的機制進行價值交換,將會導致以中心化為特徵的現有的金融基礎設施發生翻天覆地的變化。
抵押品、 質押品以及股票、債券、 衍生品等資產通常需要一個值得信任的中央機構來進行登記或者保管,而區塊鏈卻能夠用全新的方式來記錄和保存這些產品的數據,將會對這些產品的登記制度產生影響。
區塊鏈通過智能合約,可以對信息和價值進行接收和反應,自動完成價值的轉移,自動地完成交易、清算和結算,將沖擊現有的大額交易系統、中央證券存管、證券結算和場外衍生品交易等現有金融基礎設施。
5、區塊鏈技術在供應鏈中的應用
區塊鏈技術在供應鏈中的應用,首先是提供了信用保障,區塊鏈上記錄著商品的流通信息等,能夠證明商品及其流轉的真實可靠性,從而能夠對鏈上企業的效用情況等進行一個綜合的評價,成為了企業銀行貸款信用、融資信用、交易信用的一個有效的保障。
首先, 區塊鏈可以將供應鏈上所有的交易數據都帶有時間戳,不可隨意篡改,即使能篡改某個節點的交易數據,也無法隻手遮天,所以區塊鏈解決了銀行對企業信息被篡改的疑慮,這對一些微小企業來說,只要信用好,向銀行貸款的可能性將大大提高。
其次,區塊鏈所記載的上下游企業之間的信息,通過有效的整合,既可以為企業在生產、銷售等環節提供支持,也可以供下游企業來分析顧客偏好,從而可以制定具有針對性的服務。
⑷ 區塊鏈如何保證使用安全
區塊鏈項目(尤其是公有鏈)的一個特點是開源。通過開放源代碼,來提高項目的可信性,也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件,近日就有匿名幣Verge(XVG)再次遭到攻擊,攻擊者鎖定了XVG代碼中的某個漏洞,該漏洞允許惡意礦工在區塊上添加虛假的時間戳,隨後快速挖出新塊,短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止,然而沒人能夠保證未來攻擊者是否會再次出擊。
當然,區塊鏈開發者們也可以採取一些措施
一是使用專業的代碼審計服務,
二是了解安全編碼規范,防患於未然。
密碼演算法的安全性
隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易,目前最常用的ECDSA、RSA、DSA 等在理論上都不能承受量子攻擊,將會存在較大的風險,越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。
當然,除了改變演算法,還有一個方法可以提升一定的安全性:
參考比特幣對於公鑰地址的處理方式,降低公鑰泄露所帶來的潛在的風險。作為用戶,尤其是比特幣用戶,每次交易後的余額都採用新的地址進行存儲,確保有比特幣資金存儲的地址的公鑰不外泄。
共識機制的安全性
當前的共識機制有工作量證明(Proof of Work,PoW)、權益證明(Proof of Stake,PoS)、授權權益證明(Delegated Proof of Stake,DPoS)、實用拜占庭容錯(Practical Byzantine Fault Tolerance,PBFT)等。
PoW 面臨51%攻擊問題。由於PoW 依賴於算力,當攻擊者具備算力優勢時,找到新的區塊的概率將會大於其他節點,這時其具備了撤銷已經發生的交易的能力。需要說明的是,即便在這種情況下,攻擊者也只能修改自己的交易而不能修改其他用戶的交易(攻擊者沒有其他用戶的私鑰)。
在PoS 中,攻擊者在持有超過51%的Token 量時才能夠攻擊成功,這相對於PoW 中的51%算力來說,更加困難。
在PBFT 中,惡意節點小於總節點的1/3 時系統是安全的。總的來說,任何共識機制都有其成立的條件,作為攻擊者,還需要考慮的是,一旦攻擊成功,將會造成該系統的價值歸零,這時攻擊者除了破壞之外,並沒有得到其他有價值的回報。
對於區塊鏈項目的設計者而言,應該了解清楚各個共識機制的優劣,從而選擇出合適的共識機制或者根據場景需要,設計新的共識機制。
智能合約的安全性
智能合約具備運行成本低、人為干預風險小等優勢,但如果智能合約的設計存在問題,將有可能帶來較大的損失。2016 年6 月,以太坊最大眾籌項目The DAO 被攻擊,黑客獲得超過350 萬個以太幣,後來導致以太坊分叉為ETH 和ETC。
對此提出的措施有兩個方面:
一是對智能合約進行安全審計,
二是遵循智能合約安全開發原則。
智能合約的安全開發原則有:對可能的錯誤有所准備,確保代碼能夠正確的處理出現的bug 和漏洞;謹慎發布智能合約,做好功能測試與安全測試,充分考慮邊界;保持智能合約的簡潔;關注區塊鏈威脅情報,並及時檢查更新;清楚區塊鏈的特性,如謹慎調用外部合約等。
數字錢包的安全性
數字錢包主要存在三方面的安全隱患:第一,設計缺陷。2014 年底,某簽報因一個嚴重的隨機數問題(R 值重復)造成用戶丟失數百枚數字資產。第二,數字錢包中包含惡意代碼。第三,電腦、手機丟失或損壞導致的丟失資產。
應對措施主要有四個方面:
一是確保私鑰的隨機性;
二是在軟體安裝前進行散列值校驗,確保數字錢包軟體沒有被篡改過;
三是使用冷錢包;
四是對私鑰進行備份。
⑸ 區塊鏈項目的分類和應用有哪些
從目前主流的區塊鏈項目來看,區塊鏈項目主要為四類:第一類:幣類;第二類:平台類;第三類:應用類;第四類:資產代幣化。
幣類主要充當區塊鏈資產領域的「交換媒介」,交換媒介指一般等價物,比如以前的黃金、銀票等。(交易區塊鏈資產上「幣匯交易所」)
平台類項目是指建立技術平台,用於滿足各種區塊鏈應用開發,可以降低在區塊鏈上開發應用的門檻。
應用類項目范圍比較廣泛,涵蓋金融、社交、游戲、產權保護等諸多領域,也是目前區塊鏈資產增長最快的領域。
資產代幣化項目是指是實物資產的區塊鏈映射,也就是實物資產上鏈,目前不超過10個品種。
01幣類
第一類是幣類項目,也是最早的區塊鏈項目。幣類項目主要包括比特幣和萊特幣等項目。此外,還有一類資產具有匿名的特點,主要功能包括實現支付的同時可以保護支付雙方的隱私,比較知名的有達世幣(Dash)、門羅幣(Monero)及採用零知識證明的大零幣(Zcash)等。幣類主要充當區塊鏈資產領域的「交換媒介」,交換媒介就是你用來換取商品的一般等價物,比如以前黃金、白銀、銀票可以作為交換媒介。目前全球的數字資產種類超過2100個品種,幣類區塊鏈項目數量近期增長較快,截止2018年6月市值最大的依舊是比特幣。
02平台類
第二類是平台類區塊鏈項目,平台類區塊鏈項目主要功能為建立技術平台,滿足各種區塊鏈應用開發所需的技術要求;簡單的說,平台類應用讓開發者可以在區塊鏈上直接發行數字資產,編寫智能合約等。智能合約就是在區塊鏈資料庫上運行的計算機程序,可以滿足其源代碼設定條件下自動執行。
舉個例子,你在區塊鏈上開發一個基於房屋租金協議的智能合約,當業主收到租金時就會觸發自動執行,並將公寓的安全密鑰給到租戶。
平台類區塊鏈項目的主要功能是建立底層的技術平台,讓開發者在底層技術平台上做應用開發,相當一部分平台尚處於開發狀態當中,截止到2018年6月份,市值最大的是以太坊。
03應用類
第三類是應用類區塊鏈項目,應用類項目就是基於區塊鏈開發平台(例如以太坊)開發的能夠解決實體經濟各個領域諸多問題的區塊鏈項目。
例如基於區塊鏈的預測平台Augur,基於區塊鏈的算力交易平台Golem,基於區塊鏈的奢侈品溯源平台VeChain,基於區塊鏈提供資產兌換及轉移服務的OmiseGo。利用區塊鏈技術,這些項目可以更好地解決信任問題、跨國界流通等問題,同時,利用區塊鏈上的智能合約和代幣,可以更好地實現自動執行,大大提高社會經濟活動的效率。應用類區塊鏈項目范圍比較廣泛,涵蓋金融、社交、游戲、產權保護等諸多領域,也是目前區塊鏈項目市值增值最快的領域。
04資產代幣化
第四類是資產代幣化區塊鏈項目,資產代幣化是指將區塊鏈資產掛鉤黃金和美元等實物資產,是實物資產的區塊鏈映射,截至2018年2月不超過10個品種,比較典型的代表是對標美元的USDT,對標黃金的Digix Dao,DigixDAO每個代幣代表1克由倫敦金銀市場協會認證的黃金。資產代幣化具有方便交易,便於保管等優勢。首先,資產代幣化更方便交易。因為區塊鏈資產可以拆分,具有更好地流動性。
舉個例子,目前房產需要整體轉讓,如果房產可以代幣化,便可以拆分購買,更方便交易。其次,實物資產代幣化更利於保管。黃金等在實物交易中,很容易形成磨損、造成損失,但是實物資產代幣化後並不需要進行實物轉移,更利於實物資產的保管。
⑹ 區塊鏈使用安全的問題該怎麼解決
這里需要提到區塊鏈的基本系統結構有以下幾種
①網路路由 ②密碼演算法 ③腳本系統 ③共識機制
區塊鏈安全問題的話,主要是由腳本系統來完成的腳本系統,在區塊鏈技術,當中是一個相對來說抽象的概念也是極其重要的一個功能,區塊鏈中,之所以能形成一個有價值的網路依靠的就是腳本系統,就像發動機一樣驅動的,區塊鏈,不斷地進行數據的收發所謂腳本就是指一組成規則再確認系統中某些系統的程序,規則是固定的,比如在比特幣系統中只能進行比特幣發送與接收發送與接收,就是通過比特幣的腳本程序來完成的,系統允許用戶自主編程序規則,好了之後就可以部署,到區塊鏈賬本中,這樣就可以擴展整個區塊鏈系統的功能,如以太坊就是通過這一套自定義的腳本系統,從而實現了智能合約的功能,那麼具體的場景應用或者說實際生活案例比如說訂單物流信息供應鏈信息。
⑺ 大家都在應用哪個區塊鏈,安全合規嗎
個人認為騰訊安全領御區塊鏈很合適,助騰訊安全多年安全運營經驗和多維度產品能力,領御區塊鏈技術打造了城市級的區塊鏈基礎服務設施,被廣泛地應用於各個行業、各類場景中。。有不明白的可以再問我