首份地方區(qū)塊鏈技術(shù)安全標(biāo)準(zhǔn)出爐,側(cè)重個(gè)人信息保護(hù)

2020-09-09 18:21:39 21世紀(jì)經(jīng)濟(jì)報(bào)道  周炎炎

  9月9日,上海網(wǎng)信官方公眾號(hào)發(fā)布消息稱,為加強(qiáng)對(duì)區(qū)塊鏈技術(shù)的引導(dǎo)和規(guī)范,推動(dòng)區(qū)塊鏈技術(shù)應(yīng)用安全有序發(fā)展,上海市地方標(biāo)準(zhǔn)《區(qū)塊鏈技術(shù)安全通用規(guī)范(征求意見稿)》現(xiàn)已形成,向社會(huì)公開征求意見。

  征求意見稿表示,我國(guó)已明確要求把區(qū)塊鏈作為核心技術(shù)和自主創(chuàng)新的重要突破口,加快推動(dòng)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展。在區(qū)塊鏈技術(shù)和產(chǎn)業(yè)應(yīng)用快速發(fā)展階段,迫切需要關(guān)注區(qū)塊鏈技術(shù)應(yīng)用中存在的、潛在的安全隱患。本規(guī)范在T/SSIA 0002-2018的基礎(chǔ)上,進(jìn)一步聚焦、細(xì)化區(qū)塊鏈技術(shù)的共性技術(shù)風(fēng)險(xiǎn),提出對(duì)應(yīng)的安全通用要求,對(duì)于促進(jìn)區(qū)塊鏈技術(shù)健康發(fā)展和保障區(qū)塊鏈技術(shù)的安全應(yīng)用具有十分重要的意義。

  征求意見稿分為9個(gè)章節(jié),分別分析了基礎(chǔ)設(shè)施層、協(xié)議層、擴(kuò)展層的安全風(fēng)險(xiǎn)及安全措施并提出安全要求。

  征求意見稿指出,共識(shí)機(jī)制是區(qū)塊鏈技術(shù)框架的核心,共識(shí)算法的作用是使數(shù)據(jù)保持一致性。共識(shí)機(jī)制的安全風(fēng)險(xiǎn)包括由共識(shí)機(jī)制自身設(shè)計(jì)漏洞導(dǎo)致的安全風(fēng)險(xiǎn)和實(shí)際應(yīng)用場(chǎng)景下的共識(shí)安全風(fēng)險(xiǎn),包括但不限于:

  當(dāng)攻擊者算力或比例達(dá)到一定比例時(shí),存在惡意節(jié)點(diǎn)控制共識(shí)進(jìn)程的安全風(fēng)險(xiǎn);

  在聯(lián)盟鏈的場(chǎng)景下,聯(lián)盟參與者和節(jié)點(diǎn)數(shù)較少,聯(lián)盟成員可進(jìn)行密謀,從而繞過(guò)共識(shí)機(jī)制的限制,任意修改鏈上數(shù)據(jù);

  攻擊者采用雙花攻擊、自私挖礦攻擊、短程攻擊、長(zhǎng)程攻擊、幣齡堆積、預(yù)計(jì)算攻擊、女巫攻擊等攻擊方式,達(dá)到雙重支付、回滾記錄、獲得網(wǎng)絡(luò)控制權(quán)等攻擊目的。

  同時(shí),密碼學(xué)機(jī)制也存在一定的安全風(fēng)險(xiǎn)。比如,密鑰生成、分發(fā)、存儲(chǔ)過(guò)程中因人員操作或管理不當(dāng)帶來(lái)的安全風(fēng)險(xiǎn),包括密鑰丟失被盜等。

  此外,隨著量子計(jì)算技術(shù)的發(fā)展,非對(duì)稱加密算法中的大數(shù)因子分解問(wèn)題存在秒級(jí)時(shí)間內(nèi)被破解的風(fēng)險(xiǎn)。

  在個(gè)人信息保護(hù)方面,面臨的風(fēng)險(xiǎn)包括用戶的身份信息、物理地址、IP地址與區(qū)塊鏈上的用戶公鑰、地址等公開信息之間存在關(guān)聯(lián)關(guān)系;攻擊者通過(guò)關(guān)聯(lián)分析,可以推測(cè)出交易數(shù)據(jù)背后有價(jià)值的敏感信息等。

  對(duì)此,征求意見稿要求做到三方面工作:

  1. 應(yīng)使用主流的簽名方式來(lái)保證消息的隱私,包括但不限于盲簽名、環(huán)簽名、群簽名等;

  2. 應(yīng)提供數(shù)據(jù)變換技術(shù),如數(shù)據(jù)加密、敏感數(shù)據(jù)脫敏等手段,可將敏感數(shù)據(jù)進(jìn)行變換;

  3. 宜采用側(cè)鏈技術(shù)實(shí)現(xiàn)個(gè)人信息保護(hù)功能,將用戶業(yè)務(wù)敏感數(shù)據(jù)放到側(cè)鏈上,而不存儲(chǔ)在公開的主鏈上等。

  7月,人民銀行印發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)推動(dòng)區(qū)塊鏈技術(shù)規(guī)范應(yīng)用的通知》(以下簡(jiǎn)稱《通知》),《通知》要求各類金融機(jī)構(gòu)定期開展外部安全評(píng)估、開展區(qū)塊鏈技術(shù)應(yīng)用的備案工作。

  同時(shí),新的區(qū)塊鏈標(biāo)準(zhǔn)正在不斷出爐。全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)官網(wǎng)9月4日消息,2020年6月22日至7月3日,國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門第十六研究組全會(huì)(ITU-T SG16)在線上召開。會(huì)上,由中國(guó)人民銀行數(shù)字貨幣研究所與中國(guó)信息通信研究院、華為等單位聯(lián)合發(fā)起的國(guó)際標(biāo)準(zhǔn)《金融分布式賬本技術(shù)應(yīng)用指南》成功立項(xiàng),這是我國(guó)牽頭的首個(gè)金融區(qū)塊鏈國(guó)際標(biāo)準(zhǔn)。

(責(zé)任編輯:李悅 )
看全文
寫評(píng)論已有條評(píng)論跟帖用戶自律公約
提 交還可輸入500

最新評(píng)論

查看剩下100條評(píng)論

熱門閱讀

    和訊特稿

      推薦閱讀

        和訊熱銷金融證券產(chǎn)品