以太坊节点增加网络安全的一些方法

最新推荐文章于 2020-06-11 12:53:15 发布
最新推荐文章于 2020-06-11 12:53:15 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 区块链 文章标签: 以太坊 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuzhijun301/article/details/84063950
版权

这里主要以以太坊平台来讲解。对于其它平台,基本原理是差不多的。以太坊对外暴露了RPC接口,外部应用一般是通过RPC对区块链发起访问。最普遍的是采用Http的方式来发起请求。所以许多通用的增进Http安全的方式都能在这里派上用场。

1 Http鉴权

通过安装nginx,然后再通过nginx配置Basic HTTP Authentication的方式,通过用户名和密码组合来对Http通信进行加密保护。具体实现方法见文章https://blog.csdn.net/liuzhijun301/article/details/81085765

2 Http头部增加签名字段

基本思路外部应用在发起Http请求的时候在Http的header增加一个数字签名。签名字段可以用加密或者哈希运算来生成。以太坊客户端对这个数字签名进行验证。这里需要修改以太坊源码。若应用端采用java的web3j来与go-ehereum通信。对于web3j端,在头部增加签名的方法如下。

Web3j

protected static OkHttpClient buildHttpClient() {
        return new OkHttpClient.Builder().addInterceptor(new Interceptor() {
            @Override
            public Response intercept(Chain chain) throws IOException {
                Request request = chain.request();
                RequestBody body = request.body();
                Buffer buffer = new Buffer();
                body.writeTo(buffer);
                String bodyString = buffer.readUtf8();
                String str = bodyString+"abCD#123";
                String encodeStr="";
                try{
                    MessageDigest messageDigest = MessageDigest.getInstance("SHA-256");
                    messageDigest.update(str.getBytes("UTF-8"));
                    encodeStr = Utils.byte2Hex(messageDigest.digest());
                }catch (Exception e){
                    e.printStackTrace();
                }

                Request rq = request.newBuilder().addHeader("token",encodeStr).build();
                return chain.proceed(rq);
            }
        }).build();
    }

Admin ethClient = Admin.build(new HttpService(url,buildHttpClient(),false));

这里使用了Http拦截器,在拦截器里面读出请求的body,将body转成字符串,然后叠加了一个字符串abCD#123到末尾,后对字符串用SHA-256的方式求取哈希值。最后给Http请求添加了一个头部字段token。

go-ethereum

以太坊端接收到Java应用端发过来的Http请求,会在rpc/http.go的ServeHTTP方法中对这个Http进行验证:

func (srv *Server) ServeHTTP(w http.ResponseWriter, r *http.Request) {
	// Permit dumb empty requests for remote health-checks (AWS)
	if r.Method == http.MethodGet && r.ContentLength == 0 && r.URL.RawQuery == "" {
		return
	}
	if code, err := validateRequest(r); err != nil {
		http.Error(w, err.Error(), code)
		return
	}
    .......
}

验证函数是validateRequest。进去这个函数:

func validateRequest(r *http.Request) (int, error) {
	if r.Method == http.MethodPut || r.Method == http.MethodDelete {
		return http.StatusMethodNotAllowed, errors.New("method not allowed")
	}
	if r.ContentLength > maxRequestContentLength {
		err := fmt.Errorf("content length too large (%d>%d)", r.ContentLength, maxRequestContentLength)
		return http.StatusRequestEntityTooLarge, err
	}
	mt, _, err := mime.ParseMediaType(r.Header.Get("content-type"))
	if r.Method != http.MethodOptions && (err != nil || mt != contentType) {
		err := fmt.Errorf("invalid content type, only %s is supported", contentType)
		return http.StatusUnsupportedMediaType, err
	}
}

在这个函数末尾添加对Http签名的验证:

    //这是go中读取Http请求body的正确姿势,先读,再关闭,然后再重写读取内容
    bodyBytes, _ := ioutil.ReadAll(r.Body)
	r.Body.Close()  //  must close
	r.Body = ioutil.NopCloser(bytes.NewBuffer(bodyBytes))
	
    token := r.Header.Get("token")//接收Java端发过来的token字段
	
    //根据body计算哈希
    str := string(bodyBytes)+"abCD#1234"
	h := sha256.New()
	h.Write([]byte(str))
	bs := h.Sum(nil)
	ret := hex.EncodeToString(bs)
    
    //比较计算出的哈希和token字段是否相等
	if ret != token{
		err := fmt.Errorf("http token verify failed")
		return http.StatusForbidden,err
	}

3 配置带证书保护的Https

Http协议的传输过程是明文,因此使用HTTP协议传输隐私信息非常不安全。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。,它能够对传输内容进行加密。HTTPS需要申请一个CA证书,阿里云上面可以申请免费的Symantec证书。阿里云证书需要先有一个可用的域名,该域名映射到节点的ip。申请证书后再下载到节点中,然后在nginx的配置文件中进行配置。

nginx配置HTTPS

以ubuntu16.04为例,打开配置文件/etc/nginx/sites-enabled/default文件:

server {
	listen 80 default_server;
	listen [::]:80 default_server;

    SSL configuration
	#
	listen 443 ssl default_server;
	listen [::]:443 ssl default_server;
	ssl                  on;  
    ssl_certificate      /cert/xxx.crt;
	ssl_certificate_key  /cert/xxx.key;
	ssl_session_timeout 5m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
    ssl_prefer_server_ciphers on;
  .......
}

重启一下nginx服务既可以使用https了。

 

阿卡司机
关注
专栏目录
最新版以太坊源码
09-07
通过阅读和分析Geth的源码,开发者可以了解到如何搭建以太坊节点、如何与其他节点交互,以及如何实现智能合约的编译、部署和调用等功能。 总的来说,研究“最新版以太坊源码”不仅有助于理解区块链技术的底层运作,...
第01课:以太坊节点部署及基本命令操作
Forrest Gump · 技术宅
04-25 9646
第01课:以太坊节点部署及基本命令操作区块链诞生自中本聪的比特币,自 2009 年以来,出现了各种各样的类比特币的基于公有区块链的数字货币,目前各个国家及企业机构都对区块链投入巨大的财力和人力来对区块链技术进行研究。官方文档:https://ethereum.gitbooks.io/frontier-guide/content/index.html区块链简介这里引用工信部指导发布的《中国区块链技术...
以太坊加速区块同步方法
程序新视界
09-27 1万+
以太坊加速区块同步方法无论是使用图形界面或geth客户端进行节点数据同步时都会是一个漫长的过程。中间还会因为链接其他节点失败导致迟迟无法同步数据,一直打印错误日志。 主要原因是国内节点数过少,外加国内网络的特殊限制。EthFans发起的星火节点计划,组织国内对以太坊项目感兴趣的组织和个人自愿运行超级节点,星火节点的信息将被打包到node(节点)文件中,让社区成员自由下载,连接到更多超级节点,加快同
《我学区块链》—— 二十、以太坊安全之 区块节点漏洞
xuguangyuansh的博客
08-03 532
二十、以太坊安全之 区块节点漏洞 – 以太坊边召开开发者大会边修复        2016年9月18日,以太坊 Devcon2 全球开发者大会召开前的几个小时,以太坊在其博客上发布了一份关于 DoS 安全警报。这次安全警报产生的根源,很大程度上来自于以太坊区块链上 228
以太坊添加静态节点
皓阳当空-博客
07-29 5490
如果有一个节点,你一直想要和它保持链接,那么你可以把那个节点配置成你的静态节点 即:在你的数据文件存放目录下,添加文件static-nodes.json,并向此文件中写入你要添加的节点的信息 ● 配置方法 ➢ /static-nodes.json 把节点信息写入这个文件,格式如下: [ "enode://f4642fa65af50cfdea8fa7414a5def7bb7991...
以太坊go-ethereum客户端(三)两种全节点启动模式
程序新视界
12-27 1万+
这篇博客介绍一下go-ethereum全节点的两种启动模式:主网络快速启动和测试网络快速启动。这也是客户端所提供的两种启动方式,直接拿来使用即可。下面具体介绍一下使用方法。主网络快速启动其实,我们大多数人再使用节点的时候并不关系之前的历史数据。我们启动一个节点只是为了创建账户、交易资金、部署合约及与合约进行交互。在这种情况下,geth客户端提供了快速同步启动方式,命令如下:$ geth --fast
以太坊中继器 【Go语言】
10-25
这个项目(EthRpcProject)旨在提供一个基础框架,帮助开发者实现与以太坊节点的RPC(远程过程调用)接口交互,进行一系列与以太坊区块链相关的操作。以下是对该项目涉及知识点的详细说明: 1. **Go语言**:Go语言...
以太坊白皮书(中英文)
05-17
以太坊的白皮书首先介绍了区块链的基本概念,这是一种分布式数据库,通过网络上的多台计算机(节点)共同维护和验证数据。与比特币不同,以太坊不仅是一个数字货币系统,它构建了一个通用的计算平台,允许开发者创建...
以太坊java版本demo
07-05
在运行以太坊Java Demo时,你需要设置一些环境变量,比如以太坊节点的URL、私钥等。然后,你可以通过示例代码来理解如何初始化Web3j客户端,如何连接到以太坊网络,如何与智能合约交互。在测试Demo时,可以使用测试...
bee.rar以太坊bee.rar
08-10
运行 Bee Node 需要一定的技术知识,包括但不限于:安装和配置必要的软件环境、设置节点参数、连接到以太坊网络、管理和监控节点性能等。用户还需要了解如何获取和管理加密货币,因为参与 Bee Network 通常涉及到...
以太坊之Downloader同步区块流程
csds319的博客
05-31 6791
随着以太坊的数据越来越多,同步也越来越慢,使用full sync mode同步的话恐怕得一两个礼拜也不见得能同步完。以太坊有fast sync mode,找了些文章还不是很明白具体内容,所以尝试着看懂写下来,如有错误之处欢迎指正。关于fast sync mode的算法,是在这篇文章中讲述的,看完了也没看明白为什么同步的数据会少,速度会快,所以看看源代码的实现吧https://github.com/...
以太坊客户端mist和geth加快区块同步速度的方法
热门推荐
李赫的专栏
06-26 5万+
以太坊已经发布了windows下的图形客户端mist和命令行客户端geth,但是中国区发现一个问题,新建一个以太坊账号,目前需要同步170万个区块,速度非常的慢,往往好几天都没有同步完。 主要原因就是国内的节点过少,根据 Ethernodes 统计,国内以太坊节点数量发文时是143个,而且国内特殊的网络原因也会影响到国内用户同步区块数据。为了国内用户更加流畅地同步区块,EthFans 发起星火节点
运行以太坊节点以太坊交易的一些注意事项
猿链 | 猿哥的区块链博客
05-14 7184
几个零散的点,记录下。电脑配置不能太低。猿哥刚开始使用的是阿里云 1 核 CPU、2500 MHz 的 ECS,发现怎么也同步不到最新块, 升级到了4核后同步正常了。第一次同步时使用 –fast 选项,可以更快地同步到最新块。猿哥当时好像花了 2 天多时间才同步到最新块。使用的是 geth,运行时间长了可能会有问题,可以考虑每天重启一次geth。及时更新 geth 到最新版本。硬盘空间要足够大,建...
以太坊客户端mist和geth加快区块同步速度的方法(星火节点计划)
一休哥
06-08 1万+
以太坊已经发布了windows下的图形客户端mist和命令行客户端geth,但是中国区发现一个问题,新建一个以太坊账号,目前需要同步170万个区块,速度非常的慢,往往好几天都没有同步完。主要原因就是国内的节点过少,根据 Ethernodes统计,国内以太坊节点数量发文时是143个,而且国内特殊的网络原因也会影响到国内用户同步区块数据。  为了国内用户更加流畅地同步区块,EthFa
安装geth 搭建以太坊私链
DDFFR的博客
06-26 2万+
1 Ubuntu用户可以选择在线安装geth的方式,在终端中依次执行以下命令即可:$ sudo add-apt-repository -y ppa:ethereum/ethereum $ sudo apt-get update $ sudo apt-get install ethereum安装完成后就用geth help验证是否安装成功ubuntu@i-umw7lzvn:~$ geth help N
通过Nginx用密码保护以太坊JSON-RPC API
rejames的博客
10-29 798
本文面向以太坊智能合约应用程序开发人员,并讨论如何在密码保护后,安全地运行你的以太坊节点,以便通过Internet进行安全输出。 Go Ethereum(geth)是以太坊节点最受欢迎的软件。其他流行的以太坊实现是Parity和cpp-ethereum等。分布式应用程序(Dapps)是JavaScript编码的网页,通过JSON-RPC API协议连接到任何这些以太坊节点软件,该协议是在HTTP...
以太坊节点开放RPC端口容易被攻击及网络安全配置笔记
大IT职男日志
06-11 2990
以太坊支持RPC模式,以太坊账户开启这种模式后,就可以自动化完成某些操作,比如矿池挖出币之后自动向钱包转账。攻击者主要利用RPC开放端口,所以只要限制RPC端口就可以做到防护。 下面主要攻击手段分析: 1.批量扫描8485端口或8100端口等常用开放RPC端口 2.当扫描到开放的端口之后,使用eth.getBlockByNumber(查询区块高度)、eth.accounts(查询钱包地址)、eth.getBalance(查询钱包余额)三个命令来做相应动作。 3.不断尝试发送eth.sendTransacti
搭建以太坊私有链多节点环境
koastal的博客
12-08 1万+
搭建节点00参照:http://blog.csdn.net/koastal/article/details/78737543搭建节点01实验环境中,00节点和01节点运行在同一台服务器,如果节点在不同的服务器,需要使用同样的gensis.json初始化区块,不同服务器的端口并不影响,都可以使用默认的8545和30303端口。初始化创世区块geth --datadir /home/blockChain
以太坊数据同步常见问题集锦
程序新视界
03-17 1万+
以太坊数据同步是新手入门的必经阶段,在技术讨论群中(659809063)经常重复的被提问到。这篇博文就给大家整理一下常见的问题列表,以便大家学习。 常见问题列表 区块差几十块始终同步不完,怎么办? 这是大家同步数据遇到的第一个难题。当大家兴致匆匆的启动程序,看着区块离最新的区块越来越近,难免兴奋起来。但当差十几块或几十块的时候,却是漫长的等待,于是忍不住要问,出什么问题了吗?...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值