区块链安全白皮书 ——技术应用篇 （2018 年） 中国信息通信研究院 中国通信标准化协会 2018年9月 版权声明 本白皮书版权属于中国信息通信研究院和中国通信标 准化协会，并受法律保护。转载、摘编或利用其它方式使 用本白皮书文字或者观点的，应注明“来源：中国信息通 信研究院、中国通信标准化协会”。违反上述声明者，本 院将追究其相关法律责任。 前 言 区块链已成为近年来技术创新的热点名词和市场追捧 的热门对象。从最初应用于数字货币到如今在多领域的广泛 应用，区块链作为一种全新的信息存储、传播和管理机制， 实现了数据和价值的可靠转移。世界主要发达国家也纷纷加 快该领域的技术研发、战略部署和推广应用。作为网络时代 的新一轮变革力量，在与现有技术结合催生新业态新模式的 同时，区块链技术发展和深入应用仍需要漫长的整合过程， 其核心机制、应用场景中存在的潜在风险也给技术应用和现 有网络安全监管政策带来新的挑战。因此，理性看待区块链 的技术优势，强化应对潜在风险已成为保障区块链技术的健 康、有序发展的当务之急。 中国信息通信研究院与中国通信标准化协会牵头，联合 以下单位共同研究编制《区块链安全白皮书—技术应用篇 （2018 版）》：中国移动通信集团公司信息安全管理与运行 中心、中国移动通信集团公司研究院、国家计算机网络应急 技术处理协调中心、科大国盾量子技术股份有限公司、中兴 通讯股份有限公司、广州大学网络空间先进技术研究院、上 海观安信息技术股份有限公司、平安科技有限公司、三六零 科技有限公司、深圳市腾讯计算机系统有限公司安全管理部、 北京京东尚科信息技术有限公司。本白皮书从网络安全的视 角，客观审视区块链技术发展和应用情况，分析探讨区块链 技术应用分层架构、安全风险和应对框架，给出关于促进区 块链技术安全应用的若干建议，希望与业界分享，切实提升 区块链技术发展应用安全性。 目 录 一、从安全视角看区块链技术发展和应用态势 ................. 1 （一）全球情况总观...................................... 1 1、区块链技术生态基本成型，网络安全应用开始落地 .... 1 2、区块链安全问题逐渐浮出水面，引发各界安全思考 .... 5 3、 持续推进区块链安全标准化，助力技术安全发展 ..... 8 （二）我国发展应用..................................... 11 1、技术生态结构与国外基本一致，安全服务前景可期 ... 11 2、政策聚焦技术发展和应用落地，安全指导初见雏形 ... 13 3、加快布局区块链安全标准工作，强化技术风险防范 ... 15 （三）小结 ............................................ 16 二、区块链技术应用分层架构及安全风险分析 ................ 16 （一）区块链技术典型应用架构逐渐趋于共识 ............... 16 1、存储层[S]：存储上层应用所需及产生的数据文件 .... 17 2、协议层[P]：构建分布式、去信任的共识网络 ........ 18 3、扩展层[E]：作为区块链应用方向延伸的支撑平台 .... 19 4、应用层[A]：技术在各行业领域应用落地的直接体现 .. 19 （二）区块链技术典型应用架构对应的安全风险 ............. 20 1、存储层[S]：来源于环境的安全威胁 ................ 20 2、协议层[P]：核心机制的安全缺陷 .................. 21 3、扩展层[E]：成熟度不高的代码实现漏洞 ............ 22 4、应用层[A]：各类传统安全隐患集中显现 ............ 23 （三）区块链技术给安全监管带来的挑战 ................... 25 三、风险应对框架 ........................................ 27 四、促进区块链技术安全应用的建议 ........................ 32 （一）强化应用领域引导，鼓励区块链自主可控开发 ......... 32 （二）创新监管手段，强化区块链平台和应用监管力度 ....... 33 （三）强化技术风险研究，夯实安全风险应对技术基础 ....... 34 （四）加强区块链网络犯罪风险防范，促进国际合作治理 ..... 34 附录 1 针对区块链技术核心机制的典型攻击 ................. 36 （一）以共识机制为目标的针对性攻击 ..................... 36 （二）地址不具名机制对攻击者身份追溯的挑战 ............. 37 （三）分布式存储机制对攻击威胁面的扩大 ................. 37 （四）针对密码学机制固有安全风险的各类攻击 ............. 38 附录 2 国外区块链网络安全相关实践 ....................... 40 附录 3 我国企业区块链网络安全相关实践 ................... 43 （一）中国移动研究院：基于区块链管理 PKI 数字证书 ....... 43 （二）360：EOSIO-BP 节点和钱包 APP 安全审核方案 ......... 45 （三）腾讯：区块链安全应用及应对实践 ................... 49 （四）平安科技：基于国产密码的自主可控联盟链实践 ....... 52 （五）观安：区块链移动用户数据资产安全管理实践 ......... 53 （六）京东：区块链防伪追溯平台 ......................... 56 附录 4 区块链安全监管技术平台 ........................... 58 中国信息通信研究院 区块链安全白皮书—技术应用篇（2018 年） 一、从安全视角看区块链技术发展和应用态势 （一）全球情况总观 1、区块链技术生态基本成型，网络安全应用开始落地 区块链作为一种全新的信息存储、传播和管理机制，通过让用户 共同参与数据的计算和存储，并互相验证数据的真实性，以“去中心” 和“去信任”的方式实现数据和价值的可靠转移。近年来，区块链技 术受到各界的广泛关注，搜索指数1持续上升，成为近年来炙手可热的 新兴互联网技术之一，如图 1.1 所示。 搜索热度 2017年12月 100 区块链：100 80 60 40 大数据：20 人工智能：17 20 云计算：9 0 区块链 大数据 云计算 人工智能 数据来源：中国信通院整理自 2010-2018 年 Google 全球搜索趋势 图 1.1 2010—2018 年 Google 全球搜索趋势四类热点技术搜索指数对比 自 2008 年中本聪首次提出区块链概念以来，区块链技术架构经 过十余年的发展已趋于成熟，因此，更多企业把发展重心放在探索区 块链在各行业领域的应用模式上。据 Gartner 预测，到 2025 年，区 块链技术将在以制造业为首的多个行业制造高达 1760 亿美元的商业 1 搜索指数：谷歌趋势（Google Trends）在给定时间段内的关键词搜索量统计，以百分制衡量关键词搜索 热度 1 区块链安全白皮书-技术应用篇（2018 年） 中国信息通信研究院 价值2。目前，区块链技术应用以金融领域为典型代表，向医疗健康、 物流、工业互联网等经济社会诸多领域逐渐扩展延伸，得到了普遍的 关注和全球性的探索，如图 1.2 所示。 图 1.2 全球区块链技术发展应用情况 根据信通院对 1121 项全球范围内较活跃区块链项目的统计，从 项目数量上看，亚洲地区以 593 项居首，其中，新加坡、日本、中国 香港等国家和地区依托其传统金融优势，发展了一批成熟的区块链金 融应用；北美地区的区块链项目以美国和加拿大为主，已有大量成熟 高的项目和技术应用落地，其中不乏 IBM、Microsoft、Amazon 等科 技巨头；欧洲地区以英国和瑞士为首，在发展区块链金融应用的同时， 着重与传统行业结合，尤其是在爱沙尼亚、马耳他等国，在国家层面 大力支持和主导，给区块链提供了大量的发展应用空间；非洲地区由 于监管政策宽松、挖矿成本低等原因，虽然在区块链应用方面较为单 一，基本集中在数字货币、交易所上，但也形成了一定的应用规模； 2 数据来源：Gartner ‘Forecast: Blockchain Business Value, Worldwide, 2017-2030’ 2 中国信息通信研究院 区块链安全白皮书—技术应用篇（2018 年） 大洋洲地区的区块链应用大多集中在澳大利亚和新西兰两国，但受限 于当地严格的金融监管政策和高额的挖矿成本，发展规模和发展速度 有限；南美洲地区的现有项目则主要活跃在加密货币交易领域。 从现有区块链相关项目、产品和服务内容上看，目前全球区块链 技术的应用已初步形成了包含硬件和基础设施、底层技术、上层应用 和安全服务在内的技术生态格局，如图 1.3 所示。 图 1.3 区块链技术生态格局 其中，硬件和基础设施主要为区块链运行提供矿机3等算力和硬 件支持，包括矿机生产、矿池服务、矿机芯片生产，以及为区块链提 供云基础设施等。底层技术一方面为各类区块链应用提供底层架构和 开发平台等，起到类基础操作系统的作用，包括公有链、联盟链、私 有链等；另一方面针对上层应用中的共通需求，提供分布式数据交易 等区块链相关技术，旨在降低区块链应用开发门槛，加快应用落地进 程。上层应用服务最终用户，形成不同行业和场景的应用解决方案。 安全服务则为区块链提供代码审计、安全监测、安全管理等安全性增 3 目前，专业矿机多使用 ASIC 芯片，由矿机厂商设计架构，传统芯片厂商研发和代工生产 3 区块链安全白皮书-技术应用篇（2018 年） 中国信息通信研究院 强服务。 众所周知，区块链分布式、点对点的通信具有易连接、大协作的 特点，基于哈希加密的匿名性能够很好保护用户隐私和证明唯一性， 依托公私钥的权限控制赋予数字资产丰富的管理权限。这些技术优势 在为其发展应用提供大量创新空间的同时，也使得区块链逐渐成为解 决网络和数据安全存储、传播和管理问题的有效手段，在攻击发现和 防御、安全认证、安全域名、信任基础设施建立、安全通信和数据安 全存储等方面得到了积极的探索，如图 1.4 所示。 图 1.4 区块链在网络安全领域的典型应用 例如，在国家层面，美国土安全部早在 2015 年已开展与 Factom4 等区块链企业的合