网络安全知识:什么是区块链安全?
什么是区块链安全?
区块链安全是区块链网络的综合风险管理系统,使用网络安全框架、保证服务和最佳实践来降低攻击和欺诈风险。
基本的区块链安全
区块链技术产生了一种具有内在安全特性的数据结构。它基于密码学、去中心化和共识原则,确保交易的可信度。在大多数区块链或分布式账本技术 (DLT) 中,数据被构造成块,每个块包含一个事务或一组事务。每个新块都以几乎不可能篡改的方式连接到密码链中它之前的所有块。区块内的所有交易都通过共识机制进行验证和同意,确保每笔交易都是真实和正确的。
区块链技术通过分布式网络中成员的参与实现去中心化。没有单点故障,单个用户无法更改交易记录。然而,区块链技术在一些关键的安全方面有所不同。
区块链类型的安全性有何不同
区块链网络在谁可以参与以及谁可以访问数据方面可能有所不同。网络通常被标记为公共或私有(描述允许谁参与)和许可或非许可(描述参与者如何访问网络)。
公共和私有区块链
公共区块链网络通常允许任何人加入并让参与者保持匿名。公共区块链使用联网计算机来验证交易并达成共识。比特币可能是公链最著名的例子,它通过“比特币挖矿”达成共识。比特币网络上的计算机或“矿工”试图解决复杂的密码问题以创建工作证明,从而验证交易。除了公钥之外,这种类型的网络几乎没有身份和访问控制。
私有区块链使用身份来确认成员资格和访问权限,并且通常只允许已知组织加入。这些组织一起形成了一个私人的、仅限会员的“商业网络”。许可网络中的私有区块链通过称为“选择性背书”的过程达成共识,已知用户在该过程中验证交易。只有具有特殊访问权限的成员才能维护交易分类帐。这种网络类型需要更多的身份和访问控制。
在构建区块链应用程序时,评估哪种类型的网络最适合您的业务目标至关重要。出于合规性和监管原因,可以严格控制和优先使用私有和许可网络。然而,公共和无需许可的网络可以实现更大的去中心化和分布。
公共区块链是公开的,任何人都可以加入它们并验证交易。
私有区块链受到限制,通常仅限于商业网络。单个实体或财团控制成员资格。
无许可区块链对处理器没有限制。
许可的区块链仅限于使用证书授予身份的一组选定用户。
网络攻击和欺诈
虽然区块链技术产生了防篡改的交易分类账,但区块链网络也不能免受网络攻击和欺诈。那些怀有恶意的人可以操纵区块链基础设施中的已知漏洞,多年来已经成功进行了各种黑客攻击和欺诈。这里有一些例子:
代码利用
去中心化自治组织 (DAO) 是一家受比特币启发、通过去中心化区块链运营的风险投资基金,通过代码利用被盗取了价值超过 6000 万美元的以太数字货币——约占其价值的三分之一。
秘钥失窃
全球最大的加密货币交易所之一、总部位于香港的 Bitfinex 价值近 7300 万美元的客户比特币被盗,表明该货币仍然存在很大风险。可能的原因是私钥被盗,这是个人数字签名。
电脑被黑
当最大的以太坊和比特币加密货币交易所之一 Bithumb 最近遭到黑客攻击时,黑客泄露了 30,000 名用户的数据并窃取了价值 870,000 美元的比特币。尽管被黑客入侵的是员工的计算机——而不是核心服务器——但这一事件引发了对整体安全性的质疑。
欺诈者如何攻击区块链技术
黑客和欺诈者主要通过四种方式威胁区块链:网络钓鱼、路由、Sybil 和 51% 攻击。
网络钓鱼攻击
网络钓鱼是一种试图获取用户凭据的诈骗行为。欺诈者向钱包密钥所有者发送电子邮件,这些电子邮件看起来好像来自合法来源。这些电子邮件使用伪造的超链接要求用户提供凭据。访问用户的凭据和其他敏感信息可能会给用户和区块链网络造成损失。
路由攻击
区块链依赖于实时的大数据传输。黑客可以在数据传输到互联网服务提供商时拦截数据。在路由攻击中,区块链参与者通常看不到威胁,因此一切看起来都很正常。然而,在幕后,欺诈者已经提取了机密数据或货币。
Sybil攻击
在 Sybil 攻击中,黑客创建并使用许多虚假的网络身份来充斥网络并使系统崩溃。Sybil 指的是被诊断出患有多重身份障碍的著名书中人物。
51% 攻击
挖矿需要海量的算力,尤其是对于大规模的公有链。但是,如果一个矿工或一组矿工能够聚集足够的资源,他们可以获得超过 50% 的区块链网络挖矿算力。拥有超过 50% 的权力意味着拥有对账本的控制权和操纵权。
注意:私有区块链不容易受到 51% 攻击。
在当今的数字世界中,必须采取措施确保区块链设计和环境的安全。
企业的区块链安全
在构建企业区块链应用程序时,重要的是要考虑技术堆栈所有层的安全性,以及如何管理网络的治理和权限。企业区块链解决方案的综合安全策略包括使用传统安全控制和技术独特的控制。一些特定于企业区块链解决方案的安全控制措施包括:
- 身份和访问管理
- 密钥管理
- 数据隐私
- 安全通信
- 智能合约安全
- 交易背书
聘请专家帮助设计合规且安全的解决方案,并帮助您实现业务目标。寻找一个生产级平台来构建可以部署在您选择的技术环境中的区块链解决方案,无论是本地还是首选的云供应商。
区块链安全提示和最佳实践
在设计区块链解决方案时,请考虑以下关键问题:
- 参与组织或成员的治理模式是什么?
- 每个块中将捕获哪些数据?
- 相关监管要求是什么,如何满足?
- 如何管理身份的详细信息?块有效载荷是否加密?如何管理和撤销密钥?
- 区块链参与者的灾难恢复计划是什么?
- 区块链客户参与的最低安全状况是什么?
- 解决区块链区块碰撞的逻辑是什么?
建立私有区块链时,确保将其部署在安全、有弹性的基础设施中。针对业务需求和流程的底层技术选择不当可能会通过其漏洞导致数据安全风险。
考虑业务和治理风险。商业风险包括财务影响、声誉因素和合规风险。治理风险主要来自区块链解决方案的去中心化性质,它们需要对决策标准、治理策略、身份和访问管理进行强有力的控制。
区块链安全是关于了解区块链网络风险并对其进行管理。对这些控制实施安全的计划构成了区块链安全模型。创建区块链安全模型以确保所有措施都到位以充分保护您的区块链解决方案。
要实施区块链解决方案安全模型,管理员必须开发一个可以解决所有业务、治理、技术和流程风险的风险模型。接下来,他们必须评估对区块链解决方案的威胁并创建威胁模型。然后,管理员必须根据以下三个类别定义减轻风险和威胁的安全控制:
- 实施区块链独有的安全控制
- 应用常规安全控制
- 对区块链实施业务控制