區塊鏈鏈碼
1. 區塊鏈技術如何為實體產業賦能
現在國內已經有企業將區塊鏈技術落地到了實際的產業中,如旺鏈科技就將區塊鏈應用到金融服務,醫療健康,IP版權,物聯網,共享經濟,通信,教育,
社會管理,慈善公益,文化娛樂等領域
2. 有對IBM Hyperledger fabric架構有更深入了解的嗎
Hyperledger fabric和公有鏈的區別見我在這里的回答。 區塊鏈是什麼,如何簡單易懂地介紹區塊鏈? - 知乎 Hyperledger-fabric算是目前在聯盟鏈(私有鏈)這領域做得最成熟的了。新版本(v1)的整個結構大概是這樣: 首先,鏈上有些chaincode(鏈碼),可以理解為智能合約,總之是已經同意的邏輯。 然後一筆交易可以指向並觸發這些合約,然後得到一個輸出,這個輸出也會被寫在交易里。 此外,新版本相比於舊版本的變化是,整個網路的節點被分為兩種(client我不認為是網路中的節點,因為不參與共識)。一種叫endorser(批准者),一種就是普通節點(peer)。此外還有某個叫做orderer(排序)的功能模塊,有些節點可以身兼orderer,這個模塊的主要功能是負責給交易排序和打包成區塊。 交易的過程是這樣: 1,首先,每個鏈碼都有規定的批准者,假設我們考慮一個用於汽車交易的鏈碼,它規定的批准者有A,B,C三個節點,比如說,這個鏈碼規定了如下邏輯:這個交易生效的前提是A,B,C中的兩個批准了這筆交易。 2,這個時候,假設用戶小明要買車,他生成一筆交易請求用於觸發這個用於交易的鏈碼,他把這個請求發給A,B,C三個節點等待批准。 3,如果請求無誤可信,A,B,C三個節點認可了這個請求,他們會直接進行運算生成結果然後寫成交易反饋給用戶(這個時候並不寫入區塊鏈,或者他們管這個叫賬本)。 4,用戶收到返回的交易之後,如果確認返回的交易結果一致,則把交易發給排序模塊,然後排序模塊將所有收到的交易根據時間排序,打包形成區塊,然後發給所有節點。注意,這里排序模塊不對交易進行任何驗證,也就是不管他們收到的交易是不是得到了足夠的批准,只要格式對,他們都打包進區塊。 5,所有節點驗證每筆交易是不是得到了足夠的批准,如果是,則註明有效交易,否則著名無效交易,但不論結果如何,所有交易都會被寫進賬本。 6,最後,如果交易成功,節點通知用戶交易已經加入賬本。 相比於之前的版本,v1多了這些東西: 1,排序模塊從邏輯上被拆了出來,然而實際上節點可以兼職排序。 2,多了批准者這個東西,也就是說,只有批准者會知道你的交易的詳情,而其他節點在驗證的時候只驗證是不是得到了規定的批准者的批准。 3,我這里沒寫,但是多了一個叫通道的東西,不同的通道本質上就是不同的獨立的區塊鏈。 註:我不是這個項目的參與者,所以以上的介紹完全基於個人看他們說明文件的理解,他們文檔里對於區塊鏈的一個核心問題——存在惡意節點的情況所言甚少,所以我也不清楚他們對於惡意節點有多高的容忍度。 但是,光從這個結構本身看,的確,v1增加了很多功能,結構也很清晰,很靈活,可以支持不同的應用場景。然而,從理論的角度講,並沒有多少創新性可言,區塊鏈技術的目前的兩個主要問題——scalability(可擴展性)和私密性,它都沒有解決。盡管它號稱解決了這兩個問題,實際上還是建立在犧牲可靠性和安全性的基礎之上的。
3. 如何創建屬於自己的 fabric 區塊鏈
這個是需要藉助平台進行創建。
IBM中國研究院開發的超能雲(SuperVessel)平台提供了給區塊鏈愛好者、開發者的區塊鏈開發測試環境。通過該平台,用戶能夠免費、超快速創建基於Hyperledger Fabric的多節點區塊鏈、並在自己的鏈上花式玩轉智能合約。
當然,國外的去中心化內容分享平台DECENT也是可以創建的。
4. 學習區塊鏈開發是學習go語言、hyper ledger fabric比較好、還是以太坊智能合約比較好或者公鏈開發
Go全棧+區塊鏈課程:
一共22周,分為5個階段,
第一階段4周 go語言基礎與網路並發 ,學完入門go語言,
第二階段 4周 go語言實戰web開發,爬蟲開發,密碼學,共識演算法,實現輕量級公鏈,學完可以開發golang的網站,爬蟲,實現輕量級區塊鏈
第三階段 4周 以太坊源碼分析與智能合約Dapp開發,學完掌握以太坊核心與開發智能合約,以及區塊鏈,
第四階段 4周 超級賬本,比特幣 EOS,源碼分析與智能合約實戰,學完以後掌握超級賬本開發,山寨比特幣,分叉EOS,以及智能合約Dapp開發
第五階段 6周 項目實戰 ,實戰5個企業級項目,學完可以擁有1年區塊鏈項目經驗
從語言本身特點來看,Go 是一種非常高效的語言,高度支持並發性,Go 語言的本身,它更注重的是分布式系統,並發處理相對還是不錯的,比如廣告和搜索,那種高並發的伺服器。
Go語言優點:
性能優秀,可直接編譯成機器碼,不依賴其他庫,Go 極其地快。其性能與 Java 或 C++相似。
語言層面支持並發,這個就是Go最大的特色,天生的支持並發,Go就是基因裡面支持的並發,可以充分的利用多核,很容易的使用並發。
內置runtime,支持垃圾回收,這屬於動態語言的特性之一吧,雖然目前來說GC不算完美,但是足以應付我們所能遇到的大多數情況,特別是Go1.1之後的GC。
簡單易學,Go語言的作者都有C的基因,那麼Go自然而然就有了C的基因,那麼Go關鍵字是25個,但是表達能力很強大,幾乎支持大多數你在其他語言見過的特性:繼承、重載、對象等。
豐富的標准庫,Go目前已經內置了大量的庫,特別是網路庫非常強大,我最愛的也是這部分。
內置強大的工具,Go語言裡面內置了很多工具鏈,最好的應該是gofmt工具,自動化格式化代碼,能夠讓團隊review變得如此的簡單,代碼格式一模一樣,想不一樣都很困難。
跨平台編譯,快速編譯,相較於 Java 和 C++呆滯的編譯速度,Go 的快速編譯時間是一個主要的效率優勢
Go語言缺點:
軟體包管理:Go 語言的軟體包管理絕對不是完美的。默認情況下,它沒有辦法制定特定版本的依賴庫,也無法創建可復寫的 builds。相比之下 Python、Node 和 Ruby 都有更好的軟體包管理系統。然而通過正確的工具,Go 語言的軟體包管理也可以表現得不錯。
缺少開發框架:Go 語言沒有一個主要的框架,如 Ruby 的 Rails 框架、Python 的 Django 框架或 PHP 的 Laravel。這是 Go 語言社區激烈討論的問題,因為許多人認為我們不應該從使用框架開始。在很多案例情況中確實如此,但如果只是希望構建一個簡單的 CRUD API,那麼使用 Django/DJRF、Rails Laravel 或 Phoenix 將簡單地多。
異常錯誤處理:Go 語言通過函數和預期的調用代碼簡單地返回錯誤(或返回調用堆棧)而幫助開發者處理編譯報錯。雖然這種方法是有效的,但很容易丟失錯誤發生的范圍,因此我們也很難向用戶提供有意義的錯誤信息。錯誤包(errors package)可以允許我們添加返回錯誤的上下文和堆棧追蹤而解決該問題。
另一個問題是我們可能會忘記處理報錯。諸如 errcheck 和 megacheck 等靜態分析工具可以避免出現這些失誤。雖然這些解決方案十分有效,但可能並不是那麼正確的方法。
5. 區塊鏈作業!看看哪位大神會謝謝!
任務幫已被國家查封 是貼著區塊鏈標簽 以個人發行的數字貨幣 屬於傳銷幣
6. 公有鏈的安全主要由什麼等方式負責維護
公有鏈:是指全世界任何人都可以隨時進入到系統中讀取數據、發送可確認交易、競爭記賬的區塊鏈。例如:比特幣、以太坊。
私有鏈:是指其寫入許可權由某個組織和機構控制的區塊鏈,參與節點的資格會被嚴格限制。
聯盟鏈:是指有若干個機構共同參與管理的區塊鏈,每個機構都運行著一個或多個節點,其中的數據只允許系統內不同的機構進行讀寫和發送交易,並且共同來記錄交易數據。
聯盟鏈是一種將區塊鏈技術應用於企業的相對較新的方式。公有鏈向所有人都開放,而私有鏈通常只為一個企業提供服務,聯盟鏈相對公鏈來說有更多限制,通常為多個企業之間的共同協作提供服務。
聯盟鏈與公有鏈的不同之處在於,它是需要獲得事先許可的。因此並不是所有擁有互聯網連接的任何人都可以訪問聯盟區塊鏈的。聯盟鏈也可以描述為半去中心化的,對聯盟鏈的控制權不授予單個實體,而是多個組織或個人。
對於聯盟鏈,共識過程可能與公有鏈不同。聯盟鏈的共識參與者可能是網路上的一組預先批準的節點,而不是任何人都可以參與該過程。聯盟鏈允許對網路進行更大程度的控制。
那說到聯盟鏈的優點:
首先,聯盟鏈受一個特定群體的完全控制,但並不是壟斷。當每個成員都同意時,這種控制可以建立自己的規則。
其次,具有更大的隱私性,因為來驗證區塊的信息不會向公眾公開,只有聯盟成員可以進行處理這些信息。它為平台客戶創造了更大的信任度和信心。
最後,與公共區塊鏈相比,聯盟鏈沒有交易費用,更靈活一些。公共區塊鏈中大量的驗證器導致同步和相互協議的麻煩。通常這種分歧會導致分叉,但聯盟鏈不會出現這種狀況。
聯盟鏈技術可以用來優化大多數傳統信息化系統的業務流程,特別適用於沒有強力中心、多方協作、風險可控的業務場景。聯盟鏈的共享賬本機制可以極大降低該類場景下的對賬成本、提高數據獲取效率、增加容錯能力、鞏固信任基礎、以及避免惡意造假。
隨著區塊鏈技術的不斷發展,越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言,聯盟鏈具有更好的落地性,受到了許多企業與政府的支持。
聯盟鏈可以理解為是為了滿足特定行業需求,內部機構建立起來的一種分布式賬本。這個賬本對內部機構是公開透明的,但如果有相關業務需求,對該賬本的數據進行修改,則還是是需要智能合約的加入。
智能合約(Smart contract )是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議。智能合約允許在沒有第三方的情況下進行可信交易,這些交易可追蹤且不可逆轉。
總體來說,目前聯盟鏈智能合約的主流架構是:系統合約 + 業務合約。
系統合約:在節點啟動前配置完成,一般用於系統管理(如BCOS的預編譯合約(許可權管理、命名管理等),由項目方編寫,安全性較高。
業務合約:根據實際業務編寫而成,需要部署,類似公鏈智能合約,由一般內部機構參與方編寫,需遵守一定的要求,安全性一般。
聯盟鏈合約相較於常規公鏈在規范性、和安全性都有一定的提升,但在以下幾個方面的安全性問題,仍可能存在安全風險:
(1)、代碼語言安全特性
一種是繼續沿用主流公鏈編程語言,並在其基礎上改進(如:BCOS使用的solidity),另一種則是以通用編程語言為基礎,指定對應的智能合約模塊(如:fabric的Go/Java/Node.js),不管使用什麼語言對智能合約進行編程,都存在其對應的語言以及相關合約標準的安全性問題。
(2)、合約執行所帶來的安全性問題
整型溢出:不管使用的何種虛擬機執行合約,各類整數類型都存在對應的存儲寬度,當試圖保存超過該范圍的數據時,有符號數就會發生整數溢出。
堆棧溢出:當定義方法參數和局部變數過多,位元組過大,可能使程序出現錯誤。
拒絕服務攻擊:主要涉及到的是執行合約需要消耗資源的聯盟鏈,因資源耗盡而無法完成對應的交易。
(3)、系統機制導致的合約安全問題
這里主要是指多鏈架構的聯盟鏈:
合約變數的生成如果依賴於不確定因素(如:本節點時間戳)或者某個未在賬本中持久化的變數,那麼可能會因為各節點該變數的讀寫集不一樣,導致交易驗證不通過。
全局變數不會保存在資料庫中,而是存儲於單個節點。因此,如果此類節點發生故障或重啟時,可能會導致該全局變數值不再與其他節點保持一致,影響節點交易。因此,從資料庫讀取、寫入或從合約返回的數據不應依賴於全局狀態變數。
在多鏈結構下進行外部鏈的合約調用時,可能僅會得到被調用鏈碼函數的返回結果,而不會在外部通道進行任何形式的交易提交。
合約訪問外部資源時,可能會暴露合約未預期的安全隱患,影響鏈碼業務邏輯。
(4)、業務安全問題
聯盟鏈的智能合約是為了完成某項業務需求執行某項業務,因此在業務邏輯和業務實現上仍是可能存在安全風險的,如:函數許可權失配、輸入參數不合理、異常處理不到位。
我們對聯盟鏈安全的建議:
(1)、簡化智能合約的設計,做到功能與安全的平衡
(2)、嚴格執行智能合約代碼審計(自評/項目組review/三方審計)
(3)、強化對智能合約開發者的安全培訓
(4)、在區塊鏈應用落地上,需要逐步推進,從簡單到復雜,在此過程中不斷梳理合約與平台相關功能/安全屬性
(5)、考慮DevSecOps(Development+Security+Operations)的思想
鏈平台安全包括:交易安全、共識安全、賬戶安全、合規性、RPC安全、端點安全、P2P安全等。
黑客攻擊聯盟鏈的手法包括:內部威脅、DNS攻擊、MSP攻擊、51%的攻擊等。
以MSP攻擊為例:MSP是Fabric聯盟鏈中的成員服務提供商(Membership Service Provider)的簡稱,是一個提供抽象化成員操作框架的組件,MSP將頒發與校驗證書,以及用戶認證背後的所有密碼學機制與協議都抽象了出來。一個MSP可以自己定義身份,以及身份的管理(身份驗證)與認證(生成與驗證簽名)規則。
針對MSP的攻擊,一般來說,可能存在如下幾個方面:
(1)、內部威脅:a)當前版本的MSP允許單個證書控制,也就是說,如果某個內部人員持有了可以管理MSP的證書,他將可以對Fabric網路進行配置,比如添加或撤消訪問許可權,向CRL添加身份(本質上是列入黑名單的身份),過於中心化的管理可能導致安全隱患。 b)如果有感測器等物聯網設備接入聯盟鏈,其可能傳播虛假信息到鏈上,並且因為感測器自身可能不支持完善的安全防護,可能導致進一步的攻擊。
(2)、私鑰泄露,節點或者感測器的證書文件一般存儲在本地,可能導致私鑰泄漏,進而導致女巫攻擊、雲中間人攻擊(Man-in-the-Cloud attack)等
(3)、DNS攻擊:當創建新參與者的身份並將其添加到MSP時,在任何情況下都可能發生DNS攻擊。向區塊鏈成員創建證書的過程在許多地方都可能發生攻擊,例如中間人攻擊,緩存中毒,DDOS。攻擊者可以將簡單的DNS查詢轉換為更大的有效載荷,從而引起DDoS攻擊。與CA攻擊類似,這種攻擊導致證書篡改和/或竊取,例如某些區塊鏈成員將擁有的許可權和訪問許可權。感測器網路特別容易受到DDOS攻擊。智慧城市不僅面臨著實施針對DDOS攻擊的弱點的感測器網路,而且面臨著弱點的伴隨的區塊鏈系統的挑戰。
(4)、CA攻擊:數字證書和身份對於MSP的運行至關重要。Hyperledger Fabric允許用戶選擇如何運行證書頒發機構並生成加密材料。選項包括Fabric CA,由Hyperledger Fabric,Cryptogen的貢獻者構建的過程,以及自己的/第三方CA。這些CA本身的實現都有其自身的缺陷。 Cryptogen在一個集中的位置生成所有私鑰,然後由用戶將其充分安全地復制到適當的主機和容器中。通過在一個地方提供所有私鑰,這有助於私鑰泄露攻擊。除了實現方面的弱點之外,MSP的整體以及因此區塊鏈的成員資格都在CA上運行,並且具有信任證書有效的能力,並且證書所有者就是他們所說的身份。對知名第三方CA的攻擊如果成功執行,則可能會損害MSP的安全性,從而導致偽造的身份。Hyperledger Fabric中CA的另一個弱點是它們在MSP中的實現方式。 MSP至少需要一個根CA,並且可以根據需要支持作為根CA和中間CA。如果根CA證書被攻擊,則會影響所有根證書簽發的證書。
成都鏈安已經推出了聯盟鏈安全解決方案,隨著聯盟鏈生態的發展,2020年成都鏈安已配合多省網信辦對當地政企事業單位的聯盟鏈系統進行了從鏈底層到應用層多級安全審計,發現多場景多應用多形態的聯盟鏈系統及其配套系統的漏洞和脆弱點。
並且,成都鏈安已與螞蟻區塊鏈開展了合作,作為螞蟻區塊鏈優選的首批節點加入開放聯盟鏈,我們將發揮安全技術、服務、市場優勢,與開放聯盟鏈共拓市場、共建生態、並為生態做好安全保駕護航。
一方面我們的智能合約形式化驗證產品VaaS將持續為開放聯盟鏈應用提供『軍事級』的安全檢測服務,為應用上線前做好安全檢測,預防其發生安全和邏輯錯誤;我們的『鷹眼』安全態勢感知系統採用AI+大數據技術,為開放聯盟鏈及其應用提供全面及時的『安全+運營』態勢感知、鏈上合約風險監測、安全預警、報警、防火牆阻斷及實時響應處理能力。
另一方面,我們的安全產品已經積累了數十萬的客戶群體,我們將發揮我們的全球客戶資源和市場優勢,與開放聯盟鏈共拓市場。
在聯盟鏈平台上,我們能提供全生命周期的整體安全解決方案,成都鏈安以網路安全、形式化驗證、人工智慧和大數據分析四大技術為核心,打造了面向區塊鏈全生態安全的『Beosin一站式區塊鏈安全服務平台』。
『Beosin一站式區塊鏈安全服務平台』包含四大核心安全產品和八大明星安全服務,為區塊鏈企業提供安全審計、虛擬資產追溯與AML反洗錢、安全防護、威脅情報、安全咨詢和應急等全方位的安全服務與支持,實現區塊鏈系統『研發→運行→監管』全生命周期的安全解決方案。
我們會積極發揮區塊鏈安全頭部企業優勢,共同構建安全的區塊鏈商業網路,推動區塊鏈產業健康、安全的發展,探索區塊鏈未來的無限可能。