區塊鏈安全技術指南 区块链安全技术指南

黃連金, 吳思進, 曹鋒, 季宙棟, 等

買這商品的人也買了...

商品描述

本書根據工信部五層架構來逐層分析區塊鏈各層安全問題,並結合經典案例,講解區塊鏈安全中的理論、技術與實踐。從總體上講解區塊鏈的定義,安全屬性等。第2章從技術角度分析主流區塊鏈的安全屬性。第3~7章從應用層與智能合約、激勵層、網絡層、數據層與共識、私鑰安全層面剖析安全隱患與防範措施。

作者簡介

黃連金矽谷Dynamic Fintech Group管理合夥人、聯合國旗下世界區塊鏈組織(WBO)技術官、美國ACM Practitioner Board委員、美國分佈式商業應用公司CEO和創始人、中國電子學會區塊鏈專家委員、美國CISSP專家、Cyber​​Vein總顧問,多個成功區塊鏈項目技術顧問。曾就職於美國CGI公司18年,任CGI安全技術總監、CGI雲安全主管和安全架構師等職務,創建了CGI聯邦身份管理和網絡安全能力中心。在CGI工作時,曾經為美國聯邦政府、金融機構和公用事業公司提供金融、人工智能、區塊鏈、安全等方面的專家諮詢。曾多次在國內外大型區塊鏈峰會擔任嘉賓、評委、培訓專家。

吳思進33複雜美創始人及CEO,浙大本科碩士畢業,金融數據專家,精通量化交易及區塊鏈,主導多家世界500強區塊鏈項目落地。2014年申請區塊鏈發明專利,目前累計申請專利50多項,全球區塊鏈專利排名前十,主要區塊鏈項目有供應鏈金融、供應鏈管理、積分、錢包、交易所。
曹鋒PCHAIN發起人,中物聯區塊鏈協會科學家。中國早期區塊鏈國際專利發明人,ChinaLedger共同發起人,2016年完成全球區塊鏈資產收益權轉讓暨中國區塊鏈金融真實交易。曾擔任IBM全球下一代人機大戰中國區負責人、互聯網金融科學家;3次獲得IBM全球傑出技術成就獎,發表22篇國際論文,30餘項美國專利。

季宙棟Onchain分佈科技戰略官,本體聯合創始人,(工信部)中國區塊鏈技術與產業發展論壇副秘書長,中國電子學會區塊鏈專委會委員,ISO/IEC TC307中國代表團成員,參與本體論、身份和隱私保護等標準組。作為區塊鏈行業的專家,參與了工信部區塊鏈白皮書及相關標準編制工作。
馬臣雲北京信任度科技CEO、信息安全專家、產品管理專家,電子認證與簽名行業15年從業經驗。主要方向是密碼學、區塊鏈、身份認證、電子簽名。曾獲得省部級科技進步二等獎(國家密碼局)、首都五一勞動獎章、全國五一勞動獎章等,是電子簽章技術、基於人臉識別的身份認證安全技術、互聯網金融個人借貸電子合同安全技術等標準的起草人。著有《精通PKI網絡安全認證技術與編程實現》。網絡ID:非信息安全磚家。
達摩BOX.LA項目發起人,原唯鏈COO,參與了眾多知名區塊鏈項目的早期投資。

李恩典美國分佈式商業應用公司董事與中國區總裁、深圳市微風智聯科技有限公司董事長、區塊鏈軟件和金融行業應用研發專家。15年以上金融安全研發經驗,在區塊鏈存儲、大數據平台、物聯網平台和金融系統核心等領域均有領先的技術成果和豐富的產品技術實戰經驗,並擁有近10項相關領域發明專利。
徐浩銘Cyber​​Vein數脈鏈項目技術負責人,負責區塊鏈平台架構和搭建。曾就職於歐洲微軟研發中心,負責Office項目開發。畢業於英國劍橋大學,主要研究方向為機器學習在生物信息學領域的應用;曾在美國卡內基-梅隆大學訪學,主要研究方向為機器視覺在無人駕駛中的應用;曾在美國杜克大學訪學,研究領域為深度學習在生物醫學工程中的應用。在SCI和EI檢索雜誌上發表多篇文章。

翁俊傑IBM 10餘年開發及解決方案經驗,批Fabric應用開發者,NEO核心開發者之一,Onchain DNA聯盟鏈的架構設計與核心開發人員,Ontology(本體)區塊鏈開發團隊負責人。在票據、供應鏈、積分、徵信、數據交易、共享金融等多個領域有區塊鏈應用經驗。

目錄大綱

前言
第1章詳解區塊鏈的安全屬性1 
1.1保密性2 
1.1.1比特幣的半匿名性3 
1.1.2 Hyperledger Fabric CA的動態交易證書6 
1.1.3用零知識證明做數據加密7 
1.1.4使用狀態通道讓數據不可見10 
1.1.5同態加密16 
1.2數據完整性分析17 
1.2.1簽名與驗證17 
1.2.2共識機制17 
1.2.3數據上鍊18 
1.2.4時間戳18 
1.2.5開源19 
1.3可用性19 
1.4物理安全性20 
1.4.1物聯網和安全性20 
1.4.2區塊鍊和物聯網21 
1.5本章小結22 

第2章主流區塊鏈安全屬性分析23 
2.1比特幣23 
2.2以太幣31 
2.3 Zcash 34 
2.4本章小結37

第3章應用與智能合約層的安全控制39 
3.1 Web與移動客戶端應用安全39 
3.1.1注入39 
3.1.2失效的身份認證與會話管理41 
3.1.3跨站腳本漏洞42 
3.1.4不安全的直接對象引用43 
3.1.5安全配置錯誤45 
3.1.6敏感數據洩漏46 
3.1.7功能級訪問控制缺失47 
3.1.8跨站請求偽造48 
3.1.9使用已知易受攻擊組件49 
3.1.10未驗證的重定向和轉發51 
3.2智能合約的安全52 
3.2.1智能合約簡介52  
3.2.3智能合約的幾個安全漏洞79 
3.2.4智能合約安全的開源工具82 
3.2. 5智能合約的形式化驗證85 
3.2.6智能合約的虛擬機安全86 
3.2.7智能合約的安全開發過程建議90 
3.2.8從DevOps到DevSecOps:智能合約開發須知91 
3.3智能合約中的身份管理與訪問控制94 
3.3.1傳統身份管理與訪問控制系統的問題94 
3.3.2智能合約的身份管理95 
3.3.3身份鏈的定義和國外典型身份鏈的分析97 
3.3.4身份鏈的生態系統98
3.3.5身份智能合約99 
3.3.6區塊鏈落地的身份管理與訪問控制考慮100 
3.4本章小結101 

第4章激勵層安全機制設計103 
4.1激勵的產生和分配103 
4.1.1激勵機制價值103 
4.1 .2比特幣激勵104 
4.1.3以太幣激勵106 
4.1.4其他通證激勵108 
4.2激勵層安全分析111 
4.2.1通證激勵模式的安全隱患111 
4.2.2通證激勵安全事件分析112 
4.2. 3通證激勵安全事件反思115 
4.2.4通證激勵的法律風險116 
4.2.5通證激勵的安全措施118 
4.3本章小結119 

第5章網絡層安全與控制121 
5.1 P2P加密121 
5.1.1區塊鏈與P2P網絡的關係121 
5.1.2區塊鏈上的P2P應用與加密122 
5.2客戶端與節點通信加密(聯盟鏈) 126 
5.2.1惡意客戶端作惡方式及後果126 
5.2.2 P2P網絡安全機制128 
5.2.3聯盟鏈如何確保客戶端和節點的可信任129 
5.2.4主流聯盟鏈通信安全實現剖析133 
5.3防禦DDoS攻擊138
5.3.1例說DDoS攻擊危害與處理139 
5.3.2區塊鍊網絡如何防禦DDoS攻擊142 
5.4本章小結144 

第6章數據層與共識安全145 
6.1區塊鏈數據加密技術的應用145 
6.1.1如何使用這些加密技術形成區塊鏈145 
6.1.2安全性闡述149 
6.2數據傳輸151 
6.2.1加密數據傳輸151 
6.2.2數字證書的定義152 
6.2.3超級賬本中CA的實現152 
6.3區塊鏈交易簽名163 
6.3.1數字簽名與交易安全163 
6.3.2典型的數字簽名技術剖析166 
6.4共識攻擊168 
6.5區塊鏈安全性考慮174 
6.6本章小結175 

第7章私鑰的安全177 
7.1私鑰安全的重要性177 
7.2主流區塊鏈私鑰的使用方法和問題分析178 
7.3私鑰保護的正確“姿勢” 184 
7.4硬件錢包介紹185 
7.5移動錢包如何提升安全性187 
7.6淺析私鑰更新、找回與吊銷192 
7.7本章小結194 
附錄A區塊鏈安全基礎概念、原理與分析方法195 
附錄B區塊鏈的DAG技術和安全分析211
附錄C 企業級數字資產保護219