9月9日,上海網(wǎng)信官方公眾號(hào)發(fā)布消息稱�,為加強(qiáng)對(duì)區(qū)塊鏈技術(shù)的引導(dǎo)和規(guī)范��,推動(dòng)區(qū)塊鏈技術(shù)應(yīng)用安全有序發(fā)展�����,上海市地方標(biāo)準(zhǔn)《區(qū)塊鏈技術(shù)安全通用規(guī)范(征求意見(jiàn)稿)》現(xiàn)已形成����,向社會(huì)公開(kāi)征求意見(jiàn)。
征求意見(jiàn)稿表示�����,我國(guó)已明確要求把區(qū)塊鏈作為核心技術(shù)和自主創(chuàng)新的重要突破口���,加快推動(dòng)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展�����。在區(qū)塊鏈技術(shù)和產(chǎn)業(yè)應(yīng)用快速發(fā)展階段�����,迫切需要關(guān)注區(qū)塊鏈技術(shù)應(yīng)用中存在的�����、潛在的安全隱患���。本規(guī)范在T/SSIA 0002-2018的基礎(chǔ)上�����,進(jìn)一步聚焦���、細(xì)化區(qū)塊鏈技術(shù)的共性技術(shù)風(fēng)險(xiǎn),提出對(duì)應(yīng)的安全通用要求���,對(duì)于促進(jìn)區(qū)塊鏈技術(shù)健康發(fā)展和保障區(qū)塊鏈技術(shù)的安全應(yīng)用具有十分重要的意義。
征求意見(jiàn)稿分為9個(gè)章節(jié)���,分別分析了基礎(chǔ)設(shè)施層��、協(xié)議層�����、擴(kuò)展層的安全風(fēng)險(xiǎn)及安全措施并提出安全要求�。
征求意見(jiàn)稿指出,共識(shí)機(jī)制是區(qū)塊鏈技術(shù)框架的核心�����,共識(shí)算法的作用是使數(shù)據(jù)保持一致性�����。共識(shí)機(jī)制的安全風(fēng)險(xiǎn)包括由共識(shí)機(jī)制自身設(shè)計(jì)漏洞導(dǎo)致的安全風(fēng)險(xiǎn)和實(shí)際應(yīng)用場(chǎng)景下的共識(shí)安全風(fēng)險(xiǎn)���,包括但不限于:
當(dāng)攻擊者算力或比例達(dá)到一定比例時(shí)����,存在惡意節(jié)點(diǎn)控制共識(shí)進(jìn)程的安全風(fēng)險(xiǎn)�;
在聯(lián)盟鏈的場(chǎng)景下,聯(lián)盟參與者和節(jié)點(diǎn)數(shù)較少���,聯(lián)盟成員可進(jìn)行密謀�,從而繞過(guò)共識(shí)機(jī)制的限制,任意修改鏈上數(shù)據(jù)�����;
攻擊者采用雙花攻擊��、自私挖礦攻擊���、短程攻擊�、長(zhǎng)程攻擊�����、幣齡堆積����、預(yù)計(jì)算攻擊、女巫攻擊等攻擊方式����,達(dá)到雙重支付、回滾記錄����、獲得網(wǎng)絡(luò)控制權(quán)等攻擊目的。
同時(shí)�,密碼學(xué)機(jī)制也存在一定的安全風(fēng)險(xiǎn)。比如�,密鑰生成、分發(fā)��、存儲(chǔ)過(guò)程中因人員操作或管理不當(dāng)帶來(lái)的安全風(fēng)險(xiǎn)���,包括密鑰丟失被盜等�����。
此外��,隨著量子計(jì)算技術(shù)的發(fā)展����,非對(duì)稱加密算法中的大數(shù)因子分解問(wèn)題存在秒級(jí)時(shí)間內(nèi)被破解的風(fēng)險(xiǎn)����。
在個(gè)人信息保護(hù)方面,面臨的風(fēng)險(xiǎn)包括用戶的身份信息����、物理地址��、IP地址與區(qū)塊鏈上的用戶公鑰���、地址等公開(kāi)信息之間存在關(guān)聯(lián)關(guān)系;攻擊者通過(guò)關(guān)聯(lián)分析����,可以推測(cè)出交易數(shù)據(jù)背后有價(jià)值的敏感信息等。
對(duì)此��,征求意見(jiàn)稿要求做到三方面工作:
1. 應(yīng)使用主流的簽名方式來(lái)保證消息的隱私���,包括但不限于盲簽名���、環(huán)簽名、群簽名等�;
2. 應(yīng)提供數(shù)據(jù)變換技術(shù),如數(shù)據(jù)加密����、敏感數(shù)據(jù)脫敏等手段,可將敏感數(shù)據(jù)進(jìn)行變換��;
3. 宜采用側(cè)鏈技術(shù)實(shí)現(xiàn)個(gè)人信息保護(hù)功能,將用戶業(yè)務(wù)敏感數(shù)據(jù)放到側(cè)鏈上�����,而不存儲(chǔ)在公開(kāi)的主鏈上等�。
7月���,人民銀行印發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)推動(dòng)區(qū)塊鏈技術(shù)規(guī)范應(yīng)用的通知》(以下簡(jiǎn)稱《通知》),《通知》要求各類(lèi)金融機(jī)構(gòu)定期開(kāi)展外部安全評(píng)估���、開(kāi)展區(qū)塊鏈技術(shù)應(yīng)用的備案工作�����。
同時(shí)���,新的區(qū)塊鏈標(biāo)準(zhǔn)正在不斷出爐。全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)官網(wǎng)9月4日消息�,2020年6月22日至7月3日,國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門(mén)第十六研究組全會(huì)(ITU-T SG16)在線上召開(kāi)�����。會(huì)上,由中國(guó)人民銀行數(shù)字貨幣研究所與中國(guó)信息通信研究院����、華為等單位聯(lián)合發(fā)起的國(guó)際標(biāo)準(zhǔn)《金融分布式賬本技術(shù)應(yīng)用指南》成功立項(xiàng),這是我國(guó)牽頭的首個(gè)金融區(qū)塊鏈國(guó)際標(biāo)準(zhǔn)�。
(責(zé)任編輯:李?lèi)?)
最新評(píng)論