更多报告,请扫描二维码进入找报告小程序 添加微信lycj002邀请您进入更多行业分类群 群内每日分享更多深度报告！ 主 编（按姓氏笔画排序） 编委会 版权声明 本白皮书为浙商银行 - 浙江大学联合研究中心成果，知识产权属于浙商 任 奎 杨国正 银行股份有限公司和浙江大学，转载、摘编或利用其它方式使用本白皮书文 字或者观点的，应注明“来源：浙商银行 - 浙江大学联合研究中心《区块链 技术与金融应用安全白皮书》”。 编制单位 浙商银行股份有限公司 浙江大学 编写成员 （按姓氏笔画排序） 刘 健 设 计 汪 忆 张文翰 张秉晟 陈嘉俊 黄 蓉 臧 铖 前言 目录 第一章 区块链技术与应用 01 1.2. 区块链安全机制 03 1.1. 国内政策框架 1.3. 区块链应用概况 1.3.1. 区块链基础应用 1.3.2 区块链金融应用 1.3.3 区块链其他垂直领域应用 第二章 区块链安全态势 2.1 区块链体系安全问题 2.1.1 底层代码安全 2.1.2. 加密算法安全 2.1.3. 网络协议安全 2.1.4. 共识协议安全 2.1.5 密码协议安全 2.1.6 智能合约安全 2.1.7 链上链下协同安全 2.1.8 跨链安全 2.1.9 客户端安全 2.2 金融应用安全问题 2.2.1 区块链内容安全 2.2.2 区块链治理安全 01 06 06 07 11 15 16 16 17 18 19 21 22 23 25 26 27 27 28 2.2.3 区块链数据融合 29 2.2.5 区块链实名认证 32 2.2.4 区块链数据隐私 2.2.6 数字孪生 2.2.7 预言机安全 第三章 区块链安全风险应对框架 3.1 区块链体系安全问题应对框架 3.1.1 代码安全 - 形式化 3.1.2 加密算法安全 - 国密、抗后门 3.1.3 网络协议安全 3.1.4 共识协议安全 3.1.5 密码协议 - 零知识证明、多方安全计算 3.1.6 智能合约安全 - 漏洞挖掘 3.1.7 链上链下协同安全 3.1.8 跨链安全 - 跨链身份认证、交易确认 3.1.9 客户端安全 3.2 金融应用安全问题应对框架 3.2.1 区块链内容安全 3.2.2 区块链治理安全 3.2.3 区块链数据融合 3.2.4 区块链数据隐私 - 密码学、数据脱敏 3.2.5 区块链实名认证 3.2.6 数字孪生 3.2.7 预言机安全 54 31 3.3 区块链安全问题应对实践 33 第四章 区块链安全展望 57 4.2 加强规范 59 34 4.1 自主可控 36 4.3 打造产业示范区块链基础设施 37 37 38 39 40 41 41 43 44 45 46 46 48 49 51 52 53 4.4 加强多学科交叉融合 55 57 60 61 前言 近年来，我国数字经济发展迅速、成效显著，以区块链为代表的新兴数 字技术日益融入经济社会发展各领域全过程，实现了数字技术与实体经济的 深度融合，推动了数字经济的高质量发展。 区块链技术作为“新基建”基础设施之一，已在金融经济、社会民生、 政务治理、商业贸易等重点领域进行了广泛应用。这些应用领域对网络安全、 风险管理的高要求、高标准使得区块链技术的安全性与区块链应用的隐私性 成为了各方关注的焦点。尽管区块链技术本身具有去中心化、分布式存储、 防篡改、可追溯等特性使其安全性远高于传统网络体系，但区块链技术在应 用过程中仍会存在一些安全风险。 本白皮书聚焦于分析区块链技术体系安全问题以及区块链在金融重点领 域应用中的安全问题，并针对各个安全问题提出了风险应对框架，使读者对 区块链技术与应用潜在的安全问题及其应对方式有清晰的认知。最后，本白 皮书对我国区块链安全的发展进行了展望，期望能够从加强自主可控、深化 标准建设、打造基础设施、强化技术融合等方面进一步提升区块链技术与应 用的安全性，推动我国区块链产业安全、健康发展。 1 区块链技术与应用 chapter one 国内政策框架 一 ● “十三五”以来，新一代信息技术的高速发展推动了数字经济与实体经济 的深度融合，为我国全面开启数字经济新时代奠定了坚实基础；“十四五” 规划更是进一步明确提出要加快数字化发展、建设数字中国。建设数字经济、 以数字化转型整体驱动生产方式、生活方式和治理方式变革已成为了我国 国家战略。 ● 随着经济社会全面数字化转型的推进，区块链技术被逐步应用于金融经济、 政务治理、社会民生等各方各面，区块链的应用场景也越来越丰富。区块 链不可篡改、可追溯、多中心化等特点使得区块链成为了新一代的信任传 递工具。但是区块链技术发展至今，其技术本身的内部、外部仍存在一些 安全风险。因此，在应用区块链技术的同时，大量机构与高校针对区块链 的技术与应用安全展开了大量探索，各监管部门从顶层设计出发也出台了 一系列与区块链网络安全相关的政策、标准。部分重要政策汇总如表 1-1。 01 表 1-1 区块链安全相关重要政策汇总 发布时间 2016 年 11 月 7 日 2019 年 10 月 26 日 2019 年 1 月 10 日 2020 年 8 月 31 日 发布单位 全国人大 全国人大 国家互联网 信息办公室 工业和 信息化部 政策或标准 主要内容 《网络安全法》是网络安全领域的“根本大法”， 对网络安全支持与促进、网络运行安全、网络 《中华人民共和国网络安全法》 信息安全、监测预警与应急处置等做了规定， 确立了网络安全的基本法律遵循。 《中华人民共和国密码法》 《密码法》的推出是为了规范密码应用和管理， 促进密码事业发展，保障网络与信息安全，维 护国家安全和社会公共利益，保护公民、法人 和其他组织的合法权益，而加密技术是区块链 的关键技术，《密码法》对于区块链技术与应 用安全规范发展具有重大意义。 《区块链信息服务管理规定》 《区块链信息服务管理规定》旨在明确区块链 信息服务提供者的信息安全管理责任，规范和 促进区块链技术及相关服务健康发展，规避区 块链信息服务安全风险，为区块链信息服务的 提供、使用、管理等提供有效的法律依据。 《区块链技术架构安全要求》 《区块链技术架构安全要求》面向区块链平台， 规定了区块链技术架构应满足的安全要求，包 括共识机制安全、智能合约安全、账本安全等， 为区块链系统的设计开发提供参考。 2020 年 2 月 5 日 中国人 民银行 《金融分布式账本 技术安全规范》 征求意见稿， 尚未正式发布 全国信息安 全标准化技 术委员会 《信息安全技术 区块链信息服务安全规范》 标准规定了金融分布式账本技术的安全体系， 包括基础硬件、基础软件、密码算法、节点通 信、账本数据、共识协议、智能合约、身份管理、 隐私保护、监管支撑、运维要求和治理机制等 方面。标准适用于在金融领域从事分布式账本 系统建设或服务运营的机构。 区块链安全机制 二 ● 众所周知，区块链具有天然的高安全性，其安全机制主要包括共识机制、 加密算法、隐私保护、多级签名等。 1. 共识机制 区块链作为一种去中心化的分布式系统，需要通过节点之间的底层共识协 议来保证其账本的数据一致性，因此共识机制是区块链技术的基础，是区 块链核心价值的体现。一般来讲，我们将区块链分为许可链（联盟链、私 有连）和非许可链（公有链），由于实际应用场景和系统架构不同，不同 种类的链所使用的共识算法也不同。常见的共识机制包括：工作量证明 / POW（Proof of Work）、权益证明 /POS（Proof of Stake）、股份授权证 明 /DPOS（Delegated Proof-of-Stake）、拜占庭容错（PBFT/RBFT）、类 BFT 共识协议、RAFT 共识协议等。 2. 加密算法 为了实现区块链系统整体的安全性和可靠性，区块链引入了包括哈希算法、 数字签名、密钥协商、对称加密的综合加密机制。 ● 杂凑算法 哈希是一种散列函数，把任意长度的输入原文通过哈希算法，变换成固定 长度的输出 ( 哈希值 )，哈希值的空间通常远小于输入原文的空间，哈希函 数具有不可逆性，根据哈希值无法反推输入原文的内容，保障原文的安全 标准规定了区块链信息服务的安全要求，包括 安全技术要求和安全保障要求，以及相应的测 试评估方法。 及隐私。在区块链平台中交易的信息摘要、合约地址、用户地址、账本指 纹等都运用了哈希算法，实现了账本数据的快速验证与查找、隐私保护以 及数字签名的高效性。 ● 02 数字签名 在区块链中，交易发起方对交易内容进行数字签名，发送给区块链节点， 03 区块链节点接受交易后验证发起方身份及签名是否对应，保证交易内容不 篡改及可定向追溯。 ● 3. 隐私保护 区块链公有链的匿名性很好地保护了用户的隐私，但在联盟链的模式下， 交易数据在所有节点进行共识，数据被完整的保存在每个节点，虽然通过 基于非对称的密钥协商 密码学机制进行了相应的数据加密，但随着量子计算的不断发展，数据被 密钥协商是指两个或多个实体在不可信环境下通过非对称加密算法交换双 破解的概率也会随之上升。针对该种情况，可通过采用合约访问控制、分 方公钥，安全地协商出一个只有双方可知的密钥的协议。在区块链节点组 区共识、隐私交易三种机制提供隐私保护。 网的过程中，需要各区块链节点之间通过密钥协商构建一种支持快速加解 密的对称密钥，用于后续节点之间的数据加密及信息交换。 ● ● 基于对称的数据加密 实现业务数据的隐私保护。 法对数据进行快速加密，使得通信双方之间数据不能被窃听，保证区块链 ● 目前国外主流开源区块链平台（包括以太坊、IBM HyperLedger Fabric 等） 算法改造之后，原有 ECC 椭圆曲线算法、SHA2 算法可替代为 SM2 非对称 算法、SM3 杂凑算法，交易数据的哈希通过 SM3 算法生成，签名验签涉及 的公私钥对通过 SM2 算法实现，保持对底层透明，提升系统安全性和合规 性。 分区共识 通过设计分片机制实现区块链网络内部交易的分区共识，每个分片通过业 务的交易共识、分发以及存储的逻辑级别隔离实现业务级别的隐私保护。 使用的是 RSA 和 ECC 等算法。为满足我国金融安全和监管要求，国内区块 链平台应支持国家密码管理局所公布的 SM2、SM3 等国密算法。经过国密 在智能