深度 | 区块链的安全基础架构及构想（附下载）

最新推荐文章于 2024-08-07 20:30:00 发布

Jawin 王俊杰

最新推荐文章于 2024-08-07 20:30:00 发布

阅读量1.7k

点赞数

文章标签：区块链比特币人工智能 eos 分布式

【解码区块链】专题文章三

区块链的安全基础架构及构想

近期，国家发改委明确“区块链”被纳入新基建定义和范围。作为一项能够打通各个技术及领域的基础技术，区块链被认为将在各行业深度融合、新领域拓展、新场景新应用开发等方面潜力无限。《解码区块链》内容专题，希望借此揭开区块链技术发展的神秘面纱。

本文共5544字

阅读约11分钟

从2009年中本聪提出比特币到现在，区块链已经经历10年发展.。从数字货币的基础协议（区块链1.0）到下一代互联网协议（区块链3.0），无数技术创新和积累，让区块链逐步构建起价值互联网的基础设施。

目前，不少行业、公司都开始投入大量人力、财力参与到区块链的研究中来，积极探索区块链技术在行业中的创新应用。但在更为广泛的社会行业发展中，区块链仍是新鲜事物，基本认识和应用探索的不足，影响区块链技术的改进和作用发挥。

《区块链的安全基础架构及构想》的作者吴万港，基于对区块链现有技术及安全基础架构认识，通过下文，展开了对区块链未来发展的深度构想。

回复公众号“区块链构想”

下载阅读完整文章

一、区块链的核心技术概述

1、分布式账本。在区块链中，账本是用来提供参与者交易记账并记录的地方。完成交易记账，由分布在不同地方的多个节点共同完成，每个节点记录的账目都是独立完整的。因此，它们都可以参与监督交易的合法性，共同为其作证。理论上，由于有足够多的节点实现记账，除非过半节点都被控制或作恶，否则账目不会丢失，因此保证了账目数据的安全性。

2、非对称加密技术。区块链中，信息的传播，按照公钥、私钥这种非对称数字加密技术实现交易多方的相互信任，该技术是区块链技术体系的核心之一。区块链上存储的信息虽然是公开的，但账户身份信息是高度保密的，只有在数据拥有者授权下才能访问，从而保护个人隐私和数据安全。

3、共识机制。著名的“拜占庭将军问题”理论，即莱斯利•兰伯特提出的点对点通信中的基本问题，主要用于分析在分布式节点传输信息如何保持数据的一致，即是共识问题。分布式计算中，不同计算机通过通讯交换信息，达成共识，按照一套协作策略行动。但有时候，系统中的成员计算机，可能出错，发送错误信息，用于传递信息的通讯网络也可能导致信息损坏，使网络中不同成员对协作策略得出不同结论，从而破坏系统的一致性。所以，在目前的区块链技术中，出现了很多解决共识的技术，如比特币的PoW、、PoS、DpoS 等共识技术。

4、智能合约。智能合约是一套以数字形式定义的承诺，合约参与方可以在上面执行这些承诺的协议。合约是存在于区块链里的程序，是合约的参与方，将达成的协议提前安装到区块链系统中，双方约定完成后，开始执行合约，不能修改。智能合约可以解决常见的违约问题，应用到各个行业中，可以避免违约的信用问题。

二、区块链技术还存在哪些问题？

1、缺乏安全入口的网络匿名隐患

区块链世界的唯一身份标识，是一串哈希值的公钥和私钥系统，身份标识系统其实是薄弱的。因此，就存在网络匿名作恶的系统级风险。

例如，IPFS等分布式存储以及分布式内容平台，由于用户匿名，存在大量不健康的内容。区块链不可篡改的特性，也无法删除这些内容。目前的解决方案，是由网络选举出理事会进行审核，但这只是折衷方案，仍无法完全解决网络自我审查的问题。

甚至区块链的可追溯性也面临挑战。一个名为“ZCASH”的匿名加密货币，可以产生交易但不暴露公钥，其原理是基于“零知识证明”。而无需暴露任何信息，即可证明该信息的可信度，由“零知识证明”加密的区块链技术，能让网络更加匿名，作恶手段也越多。

当然，技术是中立的。“零知识证明”可以用在匿名上，也可以用在隐私保护上。不少区块链团队，将该加密原理应用于数据隐私保护，让第三方使用数据进行科研分析，但无法复制和获取，保护了用户的数据隐私。

2、缺乏数字世界与现实世界的联通

由于区块链的账户体系薄弱，缺乏与现实的对应身份，无法验证其数字世界的资产属于现实中的个人，难以与现实社会服务网络对接，所以阻碍了区块链的落地和现实应用。金融、教育、医疗等需要强身份验证的行业，如果没有用户验证，整个系统将无法健康运行。可以说，区块链要与世界联通的节点，就是用户身份验证。

3、区块链仍然存在技术缺陷

虽然区块链技术发展迅猛，众多企业、科研单位投入大量人力、物力、财力研发区块链技术，探讨在不同场景中的应用，从而提升区块链技术的并发能力、稳定性。即便如此，区块链技术仍存在缺陷，使其在商业场景中的应用受到较大限制。

从交易性能看，共识技术和共识策略仍然受限，无法满足未来更丰富的商业场景。比如，目前区块链应用中最火的比特币项目，每次交易必须经过6次确认才能得到比特币网络确认，用时近1小时，按此并发效率，显然无法满足高频的交易场景。

从隐私保护看，每个参与者，都有完整的数据备份，所有交易数据在网络内部都是公开透明的。这是区块链的优势。但对很多区块链的应用方来说，这个特点又是致命的，不仅是用户希望账户隐私和交易信息被保护，对商业机构来说，这些信息更是重要的资产和机密，或者基于监管需要，不希望或不能公开数据。

区块链通过交易地址，和地址真实持有人的真实身份的阻隔达到隐私保护的目的，实际效果非常弱，通过观察和跟踪区块信息，通过ID和IP信息等，还是可以还原追查账户和交易的关联性。另外，区块链技术中的分布式账本，在容量上也相对有限，无法满足对存储需求很大的应用场景。

三、区块链安全的技术架构

回复公众号“区块链构想”

下载阅读完整文章

区块链一般通过分布式账本、身份管理、共识机制、密码等方面的核心技术，提供安全基础技术架构。

1、分布式账本

核心技术是分布式账本。分布式账本，用来给区块链网络中参与的各个节点，在交易时进行记账和记录的地方，形成区块，通过将块的Hash值将前块和后块链接起来，形成块链式文件。值得一提的是，参与区块链网络的所有节点，在记录交易形成区块文件的过程中，都是完全对等且独立的。

那么，如何将区块连接并保证区块链文件的安全呢？

之所以叫区块链，与通过区块形成块状的链式文件有关。区块链平台，通过Hash技术，将前后相连的区块文件中的数据计算出Hash值，并将其写入到每个区块中，使一个区块中，有前一个区块的Hash值，以此形成Hash值的链条，这样就能保证，任何节点记录到区块中的交易记录不可篡改。进而，通过Merkle Tree算法生成Merkle Root Hash，形成树状结构的Merkle树。通过区块中的Hash值和Merkle树，可以轻松地追溯到任何区块、任何一笔交易，所以解决了区块链的可追溯性。

区块结构

交易是如何记录到帐本中的呢？

区块链中的区块，是用来记录交易的载体。区块链网络中，任意一笔交易都将通过P2P网络，传输到区块链网络中的各个节点，所有节点，都会将自己本地的交易记录，打包成区块，发布到网络中。

决定哪个节点将获得机会，使自己的区块获得所有节点的认可，从而最终写入到账本中的过程，叫做共识。所谓共识，是区块链网络中，不同节点对用来记录交易的数据的区块记账权的争夺。目前，主流的区块链网络一般使用PoW、PoS、DPoS等共识机制。

交易记账流程

2、身份管理

前文提到，区块链网络存在安全入口的网络匿名隐患，以及缺乏数字世界与现实世界锚定的机制，究其原因是因为：

首先，目前大部分知名区块链网络或项目，只需要注册一个地址即可参与。无论是区块链还是以太坊，通过Hash算法和公私钥密码机制，为参与区块链的用户分配一个不可逆的地址，用户以该地址表明自己参与区块链网络，同时也通过该地址获得区块链上的资产，这种身份识别的方式系统非常薄弱。

其次，由于缺乏账户体系，无法验证基于Hash的唯一地址标识的资产和现实世界个人的对应，因此，区块链世界中，无法实现虚拟与现实参与者之间的锚定关系。

从区块链发展趋势和监管要求看，未来的区块链项目，将以联盟链为核心，解决行业级的痛点，为行业赋能，提高行业效率。

3、共识机制

A. PoW，工作量证明，用来证明曾经做过一定量的工作。工作量证明系统，可以定义为一种系统或协议，是应对拒绝服务攻击和其他服务滥用的经济对策。它要求发起者进行一定量的运算，意味着需要消耗计算机一定的时间。

工作量证明的主要特征，是客户端需要做一定难度的工作，得出一个结果，验证方可以很容易通过结果，检查客户端是否做了相应工作。这种方案的核心特征，是不对称性。工作对于请求方来说是适中的，对验证方则是易于验证的。与验证码不同，验证码是易于被人类解决，但不易被计算解决。

对使用PoW作为共识机制的区块链网络中的任一节点，如果想生成新的区块并写入区块链，必须解出网络中工作量证明的谜题。这道题的三个关键要素，是工作量证明函数、区块、难度值。工作量证明函数，是解题的计算方法。区块决定了这道题的输入数据。难度值决定了所需要的计算量。

难度值（Difficulty)，是矿工挖矿的重要参考指标，决定了矿工需要经过多少次Hash计算才能产生一个合法的区块。比特币的区块大约每10分钟生成一个，如果要在不同的全网算力条件下，新区块产生将保持这个速率。难度的调整，是在每个完整节点中自动独立发生的，每2016个区块，所有节点都会按统一公式自动调整难度。

这个公式，是由最新2016个区块花费时长和期望时长的比较得出，再根据实际时长与期望时长的比值，进行相应调整。也就是说，如果区块产生速率比10分钟快，则增加难度，反之，则降低难度。难度值的计算公式为：Difficulty-new =Difficulty-old ×(过去2016个区块花费的时长 / 20160 min)。

工作量证明机制还需要一个目标值。在比特币网络中，目标值为：最大目标值/难度值。其中，最大目标值为恒定的值，目标值大小与难度值成反比。比特币工作量证明的达成，是矿工计算出来的区块的哈希值必须小于目标值。

以上是PoW机制的工作原理。在PoW工作中，需要大量算力计算与目标值比较的Hash值，假若有人控制了区块链中算力的51%，区块链网络就将失去公平地位，这也是PoW的51%缺陷。

B. POS，也称股权证明机制，类似将财产存在银行，会根据持有的数字货币的量和时间，分配给持有者相应利息的制度。在这一模式下，有个名词叫“币天”，每个货产生一个币天。如果用户持有100个币，共持有30天，币天就为3000。这时候，如果用户发现了一个PoS区块，币天就会清空为0，每被清空365个币天，就从区块链获得一定币的利息。

经过PoS1.0到3.0的发展，解决了给每个数字货币设计时间的上线，解决了因币容易造成获得记账权的问题，但仍然无法解决币的流通问题，即币囤积。

所谓共识，是对区块的记账权争夺，PoS应用到区块链的共识中，意味着拥有大量币且持有时间久的人，比币少持有时间短的人，更有机会获得区块的记账权，这显然有失公平。

C. DPoS，被称为股份授权证明，其原理是让每个持币人进行投票，由此产生一定数量的代表（也称为超级节点），再由超级节点，代理持币人验证和记账。超级节点的权利是相等的。DPoS像董事会投票，持币者投出一定数量的节点（董事），按照既定的时间，轮流产生区块。如果代表没能很好的行使权力，就会被除名，网络会选出新的超级节点来取代他们。所有代表将收到平均区块交易费的10%作为报酬。

4、密码技术

密码学是区块链的核心技术。采用非对称加密技术，利用Hash产生全局唯一的地址标识，成为用户参与区块链网络的唯一标识。

当用户将交易提交到网络，可能需要先将交易内容进行加密，确保交易内容的安全，这通常会通过对称加密和非对称加密技术实现。其中，对称加密，应用于内容加密，内容的使用者需要解密之后才能使用。为保障密钥安全，一般对密钥采用非对称的分段式加密策略，可以根据场景和需求"一事一密"。

四、区块链的安全基础架构设想

在中心化应用的时代，用户使用应用产生的所有数据，都会被中心化地存储在各个应用和平台上，数据的所有权和使用权，不完全归属用户。

这样的设计，导致用户数据隐私得不到保障，一旦大规模泄露，将产生灾难后果；用户数据部分归属平台，用户利益得不到有效的保障；数据在不同平台间无法产生连接，数据价值在用户体验上不能达到最大化。

基于区块链安全基础架构的设想，我们构想设计的智能应用档案（ICF）, 能更好实现不同服务商应用平台之间的数据连接和共享。

智能应用档案（ICF）将具备以下技术特征：

1、数据完全归属于用户。数据通过加密方式，存储于去中心化的区块链平台上，除了用户本人，任何机构和个人都无法接触到用户原始数据；

2、数据在用户同意授意下，能被有限地开放。也就是，用户同意授权后，数据在密码学的差分隐私加密下，应用可以对用户的部分数据，进行大数据研究，但无法解析个人数据，更不能查看、复制和篡改数据。

智能应用档案（ICF）将从保障用户隐私性、数据归属用户所有、人脸特征作为通证私钥、无需第三方认证、数据完全可信、聚合用户应用间数据碎片、容器隔离的安全计算环境等层面，解决用户数据的隐私、归属性、安全计算等问题。