区块链私钥管理方案
❶ 区块链里数字身份的意义(附一篇引发思考的优秀区块链文章)
微信作为当前互联网的基础设施和连接器,所有的价值都基于“连接”,人与人的连接,人与财的连接,人与事的连接,现在也可以人与物的连接(摩拜小程序扫码骑车),但所有的“连接”都有一个前提就是 我信任微信,信任腾讯,信任法制对互联网的规范,信任 周围的人都在用微信,这种信任追根溯源是对中心化的信任,对名誉好的企业信任,对机构,法制,社群的信任。
而如今区块链似乎可以实现区块链网络里的每个节点变成“微信”,为了形成这种去中心化的信任,我们需要给节点“微信”定义唯一可信的数字身份, 这个数字身份不仅仅是你有了区块链网络里管理你自己数字资产的私钥,还要让这个数字身份最终服务于现实生活,应用场景落地,因此还需要赋予之前提到的法制,机构,社群的信用标签。
未来的世界是分布的,并且每个节点都是可验证,可信任的,无论放在区块链还是现实世界,每个节点都变成我们大家信任的“微信”,同时我们自己也可以成为被别人信任的“微信”。
附:数字身份对于区块链的意义-刘永新(NEL)
1.特修斯之船-如何定义你自己
生活中,我们经常使用身份,我们经常会向别人介绍自己,有时会发自己的名片,有时会出示自己的身份证,可是身份的内涵究竟是什么,如何定义身份,可能很多人并不清楚。
有一个著名的思想实验叫做“特修斯之船”,特修斯之船可以在海上长久不间断航行数百年,一块木板腐烂了,就换一块新的木板,直到有一天,船上所有的木板都不是原来的木板,那么这艘船还是原来的特修斯之船吗?
人体就像是特修斯之船,细胞一直在做着新陈代谢,那么所有的细胞都更新了一遍,你还是不是原来的你?如果你的思想、性格也改变了呢?
所以,如何定义你自己好像并不是一件简单的事情。
2.生活中的身份
在生活中,我们有很多种身份,例如在公司里,你有自己的职位,在家庭里,可能是丈夫、妻子或者孩子,对于银行来说,你是他的客户,对于你的房子来说,你是他的主人,是租客的房东,对于你的车子来说,你是车主。
所以我们发现,在不同的场景中,你有不同的身份,不同的身份通常对应了不同的客体。对于银行来说,它在意的是你是不是他的客户,你在家庭里承担什么样的角色并不重要,对于车子来说,只要你有它的钥匙就可以启动它,你是不是房东它并不关心。
3.定义身份
根据前面的探讨,我尝试定义身份:
身份是关系的标识,
关系是双向的,
关系代表了双方之间的权利和义务。
所以对于不同的客体,你们有着不同的关系,你有着不同的权利和义务,有着不同的身份。
对于国家来说,你有着公民身份,通常用身份证代表,公民身份代表了你有着纳税的义务,代表着你有选举投票的权利。对于银行来说,你是他的客户,代表了你在它那里的存款和负债。对于区块链来说,你掌握了私钥,代表你拥有私钥控制的资产,私钥就是你的身份。
所以,我们不应该放弃客体而去探讨身份,重要的不是你是谁,重要的是你在别人眼里是谁。
在身份使用的过程中,包含认证和验证两个过程,例如中国人出生之后要到派出所上户口,这就是认证过程,此后出示身份证,就是验证过程。在网络上账号的注册和登录就是身份认证和验证过程。而区块链对资产所有权的认证和验证是通过共识算法达成的,可以简单的认为是51%的投票认可。
4.可信数据
中本聪在比特币的创世块中写入了一句话:“The Times 03/Jan/2009 Chancellor on brink of second lout for banks”,这句话是当天泰晤士报的头版头条,意思是“总理大臣第二次拯救银行于危险边缘”。
很多人认为,这句话体证明了泰晤士报当天一定发表了这篇文章,体现了区块链具备的存在性证明的能力。
然而,区块链只能保证写入数据的不可篡改,无法保证数据的真实性。我们之所以认为这篇报纸文章一定存在,是因为写入区块链的是中本聪,数据的真实性是由中本聪的信誉保证的 。
实际上,数据的真实性是通过两种方式产生的:
去中心化方式,或者说51%民主投票,例如比特币交易数据的真实性实际上是通过51%算力投票的方式保证的,对于链外数据上链时,也可以通过人工投票的方式保证数据的真实性,例如去中心化预测平台Augur。
但是,不是所有的共识都能通过少数服从多数的方式达成。
例如一个艺术品究竟是真还是假,是通过专家鉴定的,而无法通过少数服从多数,鉴定结果的可信度是通过专家的信用保证的。对于一个人是不是中国人,是在上户口的时候,由派出所认证的,而不是由全体中国人投票认证的。所以对于特定的场景,有时候不得不通过公认的权威来确认事件的真实性。
通常,链上原生的数据,例如代币的分发、交易等数据可以非常方便的通过少数服从多数的投票机制来达成共识,但是对于链下数据上链时,其数据真实性需要依赖上链者的身份信誉背书,有时候也需要法律手段通过问责机制来威慑造假行为。
5.可信数据上链
所以对于链下数据的上链,数据的真实性可以通过少数服从多数的投票或者权威身份的信誉背书完成。
可信数据上链的基本流程应该是这样的:
首先,你要有个数字身份,这个身份的认证有可能是通过51%的投票产生,也有可能是通过权威认证。
然后在数据上链的时候,需要附加上身份信息。
数据使用者获取到数据后,对身份信息进行验证,然后根据验证结果决定数据的可信度。
6.身份管理
当我们使用网络应用时,需要注册、登录账号,有时候,为了方便,我们会使用第三方应用来注册及登录,这种身份托管方式虽然提供了便利性,但是第三方应用其实可以在未经我们授权的情况下登录应用,并进行操作以及获取个人数据。
所以理想情况下,我们希望能够兼顾便利性和安全性,我们希望能够通过同一个账号登录不同应用,并且完全是由自己控制。
数字身份大体可以分为三类:
数字主权身份,在中国表现形式是CA证书、EID等方案,要满足政府监管,兼容国家法律,必须知道主权身份。
数字网络身份,即各种APP的登录账号
数字资产身份,即各种区块链资产的地址及私钥
数字身份管理应用应当能兼容这几种身份,能够实现身份的认证、验证、注销、丢失找回等。
还应当有一个数据管理平台,实现数据的存储及权限管理。
区块链平台可以作为数据存证平台,将数据的指纹、读写记录等进行存证,智能合约可以实现身份的验证,通过加密技术避免多余信息泄露,也可以通过多重签名实现密钥找回。同时,区块链也是数字资产的登记平台。
在此基础上,可以实现丰富的应用场景,例如:APP登录,电子合同签署,供应链,版权保护,资产数字化。
当数字身份和区块链结合之后,再加上数据管理平台,就可以实现联盟链的需求,例如银行间的KYC联盟。联盟链的本质是基于身份的数据互信,是不是一条单独的链并不重要。
而区块链资产和主权身份关联起来后,就可以满足政府监管需求,可以在应用层增加满足监管需求的监管策略。
因此,未来区块链要想大规模应用,必须要解决数字身份问题,数字身份是链上和链下的桥梁,是区块链走向合规监管的桥梁。
而随着构建在区块链上的应用和资产越来越多,因为有统一的身份标识,大数据分析也成为可能,因此,大数据和区块链的结合,也离不开数字身份。
❷ 2018-09-19小白学区块链——分布式私钥控制
一,什么是分布式私钥控制
私密资产通过分布式私钥生成与控制技术被映射到基于协议的内置资产模板的区块链上,根据跨链交易信息部署新的智能合约的创建新的资产。当一种已注册资产由原有链转移到跨链上时,跨链节点会为用户在已有合约中发放相应等值代币。为确保原有链资产在跨链上仍然可以相互交易流通,实现和解除分布式控制权管理的操作称为:锁入(Lock-in)和解锁(Lock-out)。锁入是对所有通过密钥控制的数字资产实现分布式控制权管理和资产映射的过程。这时需要委托去中心化的网络掌管用户的私钥,用户自己掌握跨链上那部分代理资产的私钥。当解锁时再将数字资产的控制权交还给所有者。
二,分布式私钥控制的优缺点
优点:虽然中心化的网络掌握用户部分私钥,但用户并没有失去对这笔资产的控制权,拥有私钥才是拥有对这笔资产的控制权。
缺点:智能合约还需要更多方面实现。
❸ 像诚信币这样基于区块链的数字货币中,私钥,公钥,地址到底是怎么回事
很多小白刚入场时,就被私钥,公钥,地址,等等关系弄晕头。有的甚至把自己私钥搞丢了,地址上特别有钱,可偏偏就是取不出来,今天小白就把私钥,公钥,还有地址之间的关系跟大家捋一捋。
私钥、公钥和地址这三者的关系是:
私钥转换成(生成)公钥,再转换成地址,如果某个地址上有比特币或诚信币,就可以使用转换成这个地址的私钥花费上面的诚信币。公钥和地址的生成都依赖于私钥,所以私钥才最重要。
手机钱包也是同样,但因为手机的文件管理方式不像计算机那么方便。所以一般手机钱包会提供一个名为或类似“导出私钥”的功能,通过这个功能,就可以将私钥用各种形式导出来。
比如比特币手机钱包可以导出为二维码,可以打印或者扫描到纸上。更换手机时,装好比特币钱包扫描一下这个二维码,就可以实现迁移比特币。比特币手机钱包和诚信币手机钱包可以导出为一份明文字符串,打印到纸上——这就是纸钱包。
纸钱包让用户可以到任何有比特币或诚信币钱包的终端来花费你的比特币或诚信币。
由于钱包丢失或损坏会导致失去私钥,从而彻底失去该数字货币的转账权。要防止出现这样的悲剧,就要记得经常备份钱包里的数据。除了地址外,备份时也保存了所有的私钥。
总结
私钥要保护好,防止丢失,防止忘记,在手机清信息时方式被清除,最好手抄一份,但不要泄露。
要防止自己钱包丢失或损坏,导致丢失私钥,丧失数字货币的转账权,否则你顿再多币取不出来,还不是没用。
❹ Ystar的Bingoo钱包安全吗
这个放心,以安全易用的密钥基础设施为核心,资金放在Bingoo钱包还有什么不放心呢!“一键登录”的安全、隐私定制化数字世界服务,都能提供呢。还有什么不明白的可以接着问
❺ 区块链钱包的私钥如何备份有哪几种方法
当你在创建一个区块链钱包的时候,创建成功之后,系统会自动生成钱包地址、公钥、私钥,然而这些需要你自己去备份,钱包不会帮你保存,那么大家应该如何备份这些信息呢?又有几种方法?
第一,具备双倍安全性的钱包,并把私钥导入到Armory客户端(1)进行冷储存(2) ,用户可以在客户端中快速从冷储存中找到所需私钥,还有一个优点就是方便离线交易转账,不必每次都重新导入私钥。同时电脑的操作系统需要设置密码。
第二,可以把钱包的私钥和公钥制作成电子版备份,同步到云端。 你可以把它们复制粘贴为一个文档,标记好名字,文档可以以拼音的形式命名,可以乱码,但是要额外的保存在另一个文档里注明该文件是干什么用的。但是这样做的结果就是可能会忘记储存的文件是哪个,因此你需要在手机备注好信息,同时需要把复习私钥这件事安排为按时间重复的(如2个月复习一次)日程事件,时间到了手机或电脑提醒复习。而且不仅仅是回忆几遍就可以了,是要到备份上打开那个生成私钥的钱包中,重新登录一遍,看看私钥(和地址)是否正确。
第三,用户可以在文档上写下钱包的私钥和公钥以及地址, 命名的话,你自己看得懂就好,接着就把后缀名为jpg图片格式,使其看起来就像一个坏掉的打不开的图片,或者更甚,我们可以把这打不开的假图片压缩为zip格式并伪装为一个真正的图片,需要的时候再还原出来。具体更改方法可以上网络查找。
第四,以上三种方法都是电子版的备份方法,还有一种简单粗暴的方法就是在 日记本手抄私钥公钥, 使其看起来不那么刻意、唐突,不过大家需要注意的是,抄写的时候记得要写得字体清晰、工整,避免字迹潦草而导致输入私钥错误。同时,保存的地方也是需要注意的,可以藏在家里隐私的地方(有条件可以存银行保险柜)。
备份区块链钱包私钥的方法有以上4种方法,当然如果你有更好的备份方法,也可以分享出来,不必按部就班地使用上述备份方法的哦。最后,给一个备份建议:可以结合上述2到4种方法来备份私钥,避免遗忘。
注释:
(1)Armory客户端:Armory 是一个功能齐全的比特币客户端,提供了许多其他客户端软件所没有的创新功能!管理多个钱包(确定性和仅观看)、打印永久工作的纸张备份、导入或删除私钥等。
(2)冷储存:即比特币钱包的冷储存(Cold storage)。是指将钱包进行离线保存的一种方法。
❻ B站攻入区块链,它能诞生年轻人的新世界吗
元宇宙热潮下,又一位重磅玩家杀入。
自2021年元宇宙概念火热后,AR、AI、大数据、云计算、 游戏 、社交等领域成为了通向元宇宙的路口,而B站选择了区块链。
12月6日,界面新闻获悉,B站正在内测元宇宙相关业务“高能链”,并已上线区块浏览器工具,可查询链上信息。B站方面认为“高能链“是为新应用、文化、 游戏 以及数字资产构建的数字原生社区,未来还会支持社区治理。
而关于更具体的“高能链底层技术是公有链还是联盟链?”以及“何时上线”等问题,B站方面表示目前没有更多内容可以透露。
但据Tech星球,B站“高能链”内测时放出的截图中提供了丰富信息。
首先,“高能链”的中文名称很容易让人联想到B站的经典弹幕“前方高能”。但其英文名称并不与之对应,而是一个新的词汇“Upowerchain”,明显强调了“赋权”理念。
这也在高能链的愿景中有体现,根据截图,高能链的愿景是“提供数字资产上链渠道,欢迎多元化应用加入生态,实现数字资产跨应用流通,为用户提供多样化使用场景和展示舞台。成为组织或个人的‘主权身份认证’+‘资产库’。“
对应到元宇宙概念中,高能链的核心逻辑就是技术上为元宇宙居民“赋权”,生态上提供展示平台。即利用区块链技术提供未来数字居民(元宇宙中的居民)所需要的身份认证以及资产账户,类似于现实世界的身份证和银行账户。同时提供展示平台,对应现实世界中的“朋友圈”和“脸书主页”。
其次,根据截图,B站高能链的应用场景有三个,分别是“数字藏品”,“数字身份”,“数字世界”。
“数字藏品”即时下火热的“NFT”,一种非同质化的数字凭证,可以从技术上证明数字类的内容与资产的所有权。阿里与腾讯旗下的区块链都于今年上线了该功能。“数字身份”则与区块链的地址有关,这是每个人使用区块链的前提,即需要一个代表自己的身份证明和账户地址。而通过区块链技术为用户创建的数字身份,身份信息等数据永久保存在链上,数据的所有权完全归用户所有。
在数字身份上,目前国内的联盟链生态的主流技术方案是根据用户提交的实名信息生成一串独有的区块链哈希数值,从而代表用户的唯一地址,但用户自身并不掌管账户的“私钥”(私钥是区块链地址的所有权证明)。据悉,B站高能链也采用了相同方案,将代替用户集中管理私钥。
而“数字世界”,是用户最能直接体验“元宇宙”魅力的空间,B站将其定义为“新一代”的数字世界,并标注“即将上线”。这也意味着这个“数字世界”并不是《头号玩家》中的虚拟空间,因为目前的硬件技术还无法大规模实现这样的科幻与电影场景。
而包括虚拟猫咪、数字身份都是目前已经成熟的技术场景。值得注意的是,高能链的示范场景还有一条是支持用户和偶像互动,是否会是 游戏 《我的世界》一样的虚拟空间,目前还并不清楚。
当下B站高能链作为区块链平台已知的技术信息如上,从B站的回应中也可以预见大家较为熟悉的NFT将会是核心的落地场景。
其实大型 科技 平台布局区块链并非新鲜事。自2015年起,包括阿里旗下的蚂蚁链、腾讯旗下的至信链,京东的智臻链等等都已经陆续推出了自己的应用场景。但目前这么多玩家中,B站可能是最值得注意的之一。
首先,B站是从元宇宙角度布局了区块链业务“高能链”,不管是迎合资本需求还是媒体热点,在目前硬件技术还无法大规模实现”拟真“的元宇宙场景时,区块链中已经落地的部分生态场景如NFT(非同质化代币)、DeFi(去中心化金融)、DAO(去中心化自治组织)可能是目前最接近元宇宙底层概念的场景。
而B站的部分特性决定了它是中国最适合做元宇宙的 科技 平台之一。而这一点,B站董事长兼CEO陈睿有清楚的认知。
在不久前B站发布2021年第三季度财报后的电话会上,陈睿强调了一个观点,“我认为在元宇宙这个概念里面有一个非常重要的东西,那就是它需要有一个自循环的内容生态。我觉得元宇宙这个概念,它讲的这个产品不是一家公司就能做完的,因为没有任何一家公司有这样的内容产能,它能够产生出一个世界出来。所以,在这个产品体系里面,必须得有一大群人深入创造内容,并且自身能够通过他在这个体系里创造的内容获利。”陈睿称。
而符合陈睿所称的自循环内容生态平台标准的国内超大型 科技 平台只有B站、抖音、微信寥寥数个。
首先从B站用户规模和构成来看,根据最新季度B站财报,2021年第三季度,B站月活用户达2.67亿,日活用户达到了7200万。而如此庞大规模的用户的主力成员都来自”Z世代“,B站董事长兼CEO陈睿曾表示,B站用户平均年龄在21岁左右,新增用户的平均年龄在20岁左右,代表00后大批涌入。
那么如此大规模的年轻人群是否意味着巨大潜力的“消费能力”?或许更重要的不是消费潜力,而是驻留时间,也就是大家熟知的“注意力经济”。不管是什么样的元宇宙形态,作为新的虚拟空间,它与现实世界最通用的地方就是时间,即每个人每天只有24小时,在元宇宙生活的时间越长,意味着现实生活的时间越短,时间是固定的不可再生资源。这一点,元宇宙和现实世界存在资源冲突问题。
而“Z世代”可能是目前所有世代中,线上生活时间最长的一代人。根据B站最新公开的数据,目前B站用户的日均在线时间达到了88分钟,创 历史 新高。显然,只有用户愿意投入更多的时间,元宇宙概念才得以成立。
其次,B站的内容创作体系是NFT最好的落地场景之一。
根据易凯资本的《元宇宙报告》 ,NFT是区块链在元宇宙世界中的主要应用之一,可以有效支撑元宇宙的经济系统。最新数据显示,当前NFT市场规模已经超过400亿等值美元,仅OpenSea上就有60万用户。易凯资本认为NFT市场规模不可限量,现实世界的泛数字化已初步显形。
而目前,腾讯和阿里是国内最大NFT发行平台之一,今年来,阿里旗下支付宝推出了小程序蚂蚁链粉丝粒,腾讯上线了NFT交易平台幻核。但阿里主营业务是电商,腾讯核心业务是社交+ 游戏 。而NFT的三个核心要素分别是是创作者及文化IP、技术支持及平台发行方、社区传播和收藏家。
但从实际发展来看,阿里与腾讯目前都是从中间的技术支持方做起,依托其社区及用户提供藏家和展示平台。但最核心的创作者和IP都是与外部合作而来,蚂蚁链第一期NFT与敦煌研究院合作而来,腾讯第一期是与《十三邀》合作。近期对外公开介绍NFT发展时,蚂蚁链明显加快了签约创作者并收购IP的步伐。
而B站的最主要应用场景是视频内容平台,而短视频天然就可以制作成NFT,这是腾讯、阿里旗下NFT发行平台所不具有的特点。
NFT需要的核心元素中,B站本身拥有大量创作者和喜爱文创的用户,又拥有大量二次元文化独有的IP形象,例如B站本身的虚拟形象人物“22”与“33”。而B站社区本身就是国内活跃度最高的二次元社区。NFT三大核心要素中,B站只缺少区块链技术支持。
2021年三季度,B站的PUGV(Professional User Generated Video,即专业用户创作视频)播放量占平台总播放量的93%。月均活跃UP主数量达270万,同月均视频投稿量突破1000万。而这些用户的每一次视频投稿理论上都可以做成NFT,而NFT本身也可以为创作者带来额外的经济收益,玩家们也能解锁新的消费场景和参与社交传播,这与陈睿强调的激励创作者生产不谋而合。
抛开加密艺术,国内天然拥有如此大规模NFT视频制作资源和创作者平台的产品只有抖音、快手和B站。
最后,从社区经济的角度来看,B站也拥有元宇宙的雏形之一。由于我国对于虚拟货币挖矿和交易的禁止,大部分国内区块链屏蔽了区块链技术中关于“Token”的经济体系。但B站此次高能链内测明确提及了“数字资产”和“个人资产库”的字样。
提起这部分,很多人会注意到以比特币为首的加密货币的炒作热点,但其实在区块链系统中,“Token”也就是“代币”,不光是一个经济系统,还是一个治理系统。在一个线上世界,每个人的身份数字化后,如何从技术角度保证每一个人都有表达个人意见的权力呢?“Token”就是一种意见表达工具,每一枚代币都意味着一次投票的权利。用户可以凭此表达自己的喜好,自己的意见,并参与元宇宙本身的建设之中。
“硬币”是目前B站最重要的虚拟物品之一,可用于对优秀的视频作品进行投币支持,这是对UP主的一种肯定。而UP主获得的硬币越多,则可以获得B站的内容创作者激励,这是直接的经济收益,并且得到流量扶持,这部分属于创作激励。所以硬币成了B站创造者最渴求的物品之一,而获得它的方式就是制造更好的内容吸引观看者投币。
而“硬币”的生产方式则由观看者参与B站内部的生态,如每天登录,购买B站会员,参与社区活动等等,而B币则只能直接购买,可用于购买需要付费的番剧和打赏喜欢的UP主。
不难看出,B站的“Token”体系已经有了元宇宙的雏形,即在满足一定经济需求的基础上,同时发挥作为治理工具的作用,用户用它来表达自己的喜好,创作者由此制作出更好的作品。而区块链技术可以让这个部分完全由代码完成,如B站的“高能链”技术上完全可以让B站硬币的社区治理功能最大化。
当然,当下元宇宙概念包含的概念太过于广泛,用什么样的方式接近这个概念每一个平台都有不同理念,Facebook折戟加密货币后选择改名“Meta”,微软选择“企业版元宇宙”,迪士尼则更加强调打造自己的线下+线上的超级乐园,B站则选择了从区块链入手。伴随着资本过热的炒作,它到底是人类的未来,还是终将被刺破的“泡沫”,目前无人知晓。
❼ 区块链中的私钥和公钥
公开密钥(public key,简称公钥)、私有密钥(private key,简称私钥)是密码学里非对称加密算法的内容。顾名思义,公钥是可以公开的,而私钥则要进行安全保管。
私钥是由随机种子生成的,公钥是将私钥通过算法推导出来。 由于公钥太长,为了简便实用,就出现了“地址”,地址是公钥推导出来的。这些推导过程是单向不可逆的。也就是地址不能推出公钥,公钥不能推出私钥。
从中我们可以看出,公钥与私钥是成对存在的。它们的用处用16个字来概括: 公钥加密,私钥解密;私钥签名,公钥验签。
公钥加密,私钥解密。也就是用公钥加密原数据,只有对应的私钥才能解开原数据。这样能使得原数据在网络中传播不被窃取,保护隐私。
私钥签名,公钥验签。用私钥对原数据进行签名,只有对应的公钥才能验证签名串与原数据是匹配的。
可以用锁头,钥匙来比喻公钥,私钥。锁头用来锁定某物品,钥匙来解锁该物品。钥匙所有者是物品的所有者。事实上就是这样,公私钥对奠定了区块链的账户体系及资产(Token等)的所有权,区块链的资产是锁定在公钥上的,私钥是用来解锁该资产然后使用。比如说我要转让资产给你,就是我用我的私钥签名了一笔我转让资产给你的交易(含资产,数量等等)提交到区块链网络里,节点会验证该签名,正确则从我的公钥上解锁资产锁定到你的公钥上。
我们看到了私钥的作用了吧,跟中心化记账系统(支付宝、微信支付等)的密码一样重要,拥有私钥就拥有了资产所有权,所以我们千万要保管好私钥,不能泄露。
❽ 2018-07-13小白学区块链——私钥·公钥
在生活中移动支付和无现金支付已经相对普及了,它方便了我们的日常生活,也降低了我们随身携带现金的风险。无论是移动端支付还是银行卡类支付,我们都要绑定或输入银行卡号和支付密码才能支付,那么在比特币的交易中是如何达成支付的呢?
1.私钥
在比特币网络中的私钥可以对应我们现实世界银行卡号加支付密码,也就是: 私钥=银行卡号+取款密码。 私钥是比特币网络中根据密码学上的一种伪随机算法生成一种不可预算的一串字符,由于生成的私钥是256位数的二进制密码。因为私钥太长,识别率不高。所以系统又对于原始的随机数进行一定的转换,转换为识别率高的字符串形式的私钥,比如:也可以把私钥转换其他形式,比如以单词的形式(12或者24个单词)的助记词。还有一种是经过加密的私钥Keystore,是以文件形式存在的,导出时需要设置密码,导入也一样的需要输入密码,即使别人知道了你的Keystore,没有你设的密码也是得不到你的私钥的。
2.公钥
公钥也就是我们通常所说的转账地址。公钥是由私钥生成的,通过椭圆曲线算法生成,一个私钥经过椭圆曲线变换之后能够得到公钥,公钥也是一组转换后的字符串,比如:。公钥是用来验证私钥的签名,私钥和公钥是成对出现的,一个私钥签名的数据,只有对应的公钥才能对其进行验证,而地址也是从公钥生成的,这样就可以验证花费的交易是不是属于这个地址。简单理解也就是: 公钥=银行卡账号。
总结
1.是私钥生成公钥也是成对出现的,公钥可以生成对应的唯一地址,验证发送交易的地址是否和该公钥生成的地址一致
2.公钥验证私钥的签名,用来验证该交易是否使用了正确的私钥签名,这样就能确认了该地址发送的交易是否使用了对应的私钥。
❾ 如何检测区块链智能合约的风险等级高低
随着上海城市数字化转型脚步的加快,区块链技术在政务、金融、物流、司法等众多领域得到深入应用。在应用过程中,不仅催生了新的业务形态和商业模式,也产生了很多安全问题,因而安全监管显得尤为重要。安全测评作为监管重要手段之一,成为很多区块链研发厂商和应用企业的关注热点。本文就大家关心的区块链合规性安全测评谈谈我们做的一点探索和实践。
一、区块链技术测评
区块链技术测评一般分为功能测试、性能测试和安全测评。
1、功能测试
功能测试是对底层区块链系统支持的基础功能的测试,目的是衡量底层区块链系统的能力范围。
区块链功能测试主要依据GB/T 25000.10-2016《系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型》、GB/T 25000.51-2016《系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》等标准,验证被测软件是否满足相关测试标准要求。
区块链功能测试具体包括组网方式和通信、数据存储和传输、加密模块可用性、共识功能和容错、智能合约功能、系统管理稳定性、链稳定性、隐私保护、互操作能力、账户和交易类型、私钥管理方案、审计管理等模块。
2、性能测试
性能测试是为描述测试对象与性能相关的特征并对其进行评价而实施和执行的一类测试,大多在项目验收测评中,用来验证既定的技术指标是否完成。
区块链性能测试具体包括高并发压力测试场景、尖峰冲击测试场景、长时间稳定运行测试场景、查询测试场景等模块。
3、安全测评
区块链安全测评主要是对账户数据、密码学机制、共识机制、智能合约等进行安全测试和评价。
区块链安全测评的主要依据是《DB31/T 1331-2021区块链技术安全通用要求》。也可根据实际测试需求参考《JR/T 0193-2020区块链技术金融应用评估规则》、《JR/T 0184—2020金融分布式账本技术安全规范》等标准。
区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。
二、区块链合规性安全测评
区块链合规性安全测评一般包括“区块链信息服务安全评估”、 “网络安全等级保护测评”和“专项资金项目验收测评”三类。
1、区块链信息服务安全评估
区块链信息服务安全评估主要依据国家互联网信息办公室2019年1月10日发布的《区块链信息服务管理规定》(以下简称“《规定》”)和参考区块链国家标准《区块链信息服务安全规范(征求意见稿)》进行。
《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务的健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。《规定》第九条指出:区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。
《区块链信息服务安全规范》是由中国科学院信息工程研究所牵头,浙江大学、中国电子技术标准化研究院、上海市信息安全测评认证中心等单位共同参与编写的一项建设和评估区块链信息服务安全能力的国家标准。《区块链信息服务安全规范》规定了联盟链和私有链的区块链信息服务提供者应满足的安全要求,包括安全技术要求和安全保障要求以及相应的测试评估方法,适用于指导区块链信息服务安全评估和区块链信息服务安全建设。标准提出的安全技术要求、保障要求框架如下:
图1 区块链信息服务安全要求模型
2、网络安全等级保护测评
网络安全等级保护测评的主要依据包括《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》。
区块链作为一种新兴信息技术,构建的应用系统同样属于等级保护对象,需要按照规定开展等级保护测评。等级保护安全测评通用要求适用于评估区块链的基础设施部分,但目前并没有提出区块链特有的安全要求。因此,区块链安全测评扩展要求还有待进一步探索和研究。
3、专项资金项目验收测评
根据市经信委有关规定,信息化专项资金项目在项目验收时需出具安全测评报告。区块链应用项目的验收测评将依据上海市最新发布的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》开展。
三、区块链安全测评探索与实践
1、标准编制
上海测评中心积极参与区块链标准编制工作。由上海测评中心牵头,苏州同济区块链研究院有限公司、上海七印信息科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所等单位参加编写的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》已于2021年12月正式发布,今年3月1日起正式实施。上海测评中心参与编写的区块链国标《区块链信息服务安全规范》正处于征求意见阶段。
同时,测评中心还参与编写了国家人力资源和社会保障部组织,同济大学牵头编写的区块链工程技术人员初级和中级教材,负责编制“测试区块链系统”章节内容。
2、项目实践
近年来,上海测评中心依据相关技术标准进行了大量的区块链安全测评实践,包括等级保护测评、信息服务安全评估、项目安全测评等。在测评实践中,发现的主要安全问题如下:
表1 区块链主要是安全问题
序号
测评项
问题描述
1
共识算法
共识算法采用Kafka或Raft共识,不支持拜占庭容错,不支持容忍节点恶意行为。
2
上链数据
上链敏感信息未进行加密处理,通过查询接口或区块链浏览器可访问链上所有数据。
3
密码算法
密码算法中使用的随机数不符合GB/T 32915-2016对随机性的要求。
4
节点防护
对于联盟链,未能对节点服务器所在区域配置安全防护措施。
5
通信传输
节点间通信、区块链与上层应用之间通信时,未建立安全的信息传输通道。
6
共识算法
系统部署节点数量较少,有时甚至没有达到共识算法要求的容错数量。
7
智能合约
未对智能合约的运行进行监测,无法及时发现、处置智能合约运行过程中出现的问题。
8
服务与访问
上层应用存在未授权、越权等访问控制缺陷,导致业务错乱、数据泄露。
9
智能合约
智能合约编码不规范,当智能合约出现错误时,不提供智能合约冻结功能。
10
智能合约
智能合约的运行环境没有与外部隔离,存在外部攻击的风险。
3、工具应用
测评中心在组织编制《DB31/T 1331-2021 区块链技术安全通用要求》时,已考虑与等级保护测评的衔接需求。DB31/T 1331中的“基础设施层”安全与等级保护的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等相关要求保持一致,“协议层安全”、“扩展层安全”则更多体现区块链特有的安全保护要求。
测评中心依据DB31/T 1331相关安全要求,正在组织编写区块链测评扩展要求,相关成果将应用于网络安全等级保护测评工具——测评能手。届时,使用“测评能手”软件的测评机构就能准确、规范、高效地开展区块链安全测评,发现区块链安全风险,并提出对应的整改建议
❿ 区块链技术如何保障信息主体隐私和权益
隐私保护手段可以分为三类:
一是对交易信息的隐私保护,对交易的发送者、交易接受者以及交易金额的隐私保护,有混币、环签名和机密交易等。
二是对智能合约的隐私保护,针对合约数据的保护方案,包含零知识证明、多方安全计算、同态加密等。
三是对链上数据的隐私保护,主要有账本隔离、私有数据和数据加密授权访问等解决方案。
拓展资料:
一、区块链加密算法隔离身份信息与交易数据
1、区块链上的交易数据,包括交易地址、金额、交易时间等,都公开透明可查询。但是,交易地址对应的所用户身份,是匿名的。通过区块链加密算法,实现用户身份和用户交易数据的分离。在数据保存到区块链上之前,可以将用户的身份信息进行哈希计算,得到的哈希值作为该用户的唯一标识,链上保存用户的哈希值而非真实身份数据信息,用户的交易数据和哈希值进行捆绑,而不是和用户身份信息进行捆绑。
2、由此,用户产生的数据是真实的,而使用这些数据做研究、分析时,由于区块链的不可逆性,所有人不能通过哈希值还原注册用户的姓名、电话、邮箱等隐私数据,起到了保护隐私的作用。
二、区块链“加密存储+分布式存储”
加密存储,意味着访问数据必须提供私钥,相比于普通密码,私钥的安全性更高,几乎无法被暴力破解。分布式存储,去中心化的特性在一定程度上降低了数据全部被泄漏的风险,而中心化的数据库存储,一旦数据库被黑客攻击入侵,数据很容易被全部盗走。通过“加密存储+分布式存储”能够更好地保护用户的数据隐私。
三、区块链共识机制预防个体风险
共识机制是区块链节点就区块信息达成全网一致共识的机制,可以保障最新区块被准确添加至区块链、节点存储的区块链信息一致不分叉,可以抵御恶意攻击。区块链的价值之一在于对数据的共识治理,即所有用户对于上链的数据拥有平等的管理权限,因此首先从操作上杜绝了个体犯错的风险。通过区块链的全网共识解决数据去中心化,并且可以利用零知识证明解决验证的问题,实现在公开的去中心化系统中使用用户隐私数据的场景,在满足互联网平台需求的同时,也使部分数据仍然只掌握在用户手中。
四、区块链零知识证明
零知识证明指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的,即证明者既能充分证明自己是某种权益的合法拥有者,又不把有关的信息泄漏出去,即给外界的“知识”为“零”。应用零知识证明技术,可以在密文情况下实现数据的关联关系验证,在保障数据隐私的同时实现数据共享。