首份地方区块链技术安全标准出炉,侧重个人信息保护
网信上海2020/9/10 9:18:43

9月9日,上海网信官方公众号发布消息称,为加强对区块链技术的引导和规范,推动区块链技术应用安全有序发展,上海市地方标准《区块链技术安全通用规范(征求意见稿)》现已形成,向社会公开征求意见。

征求意见稿表示,我国已明确要求把区块链作为核心技术和自主创新的重要突破口,加快推动区块链技术和产业创新发展。在区块链技术和产业应用快速发展阶段,迫切需要关注区块链技术应用中存在的、潜在的安全隐患。本规范在T/SSIA 0002-2018的基础上,进一步聚焦、细化区块链技术的共性技术风险,提出对应的安全通用要求,对于促进区块链技术健康发展和保障区块链技术的安全应用具有十分重要的意义。

征求意见稿分为9个章节,分别分析了基础设施层、协议层、扩展层的安全风险及安全措施并提出安全要求。

征求意见稿指出,共识机制是区块链技术框架的核心,共识算法的作用是使数据保持一致性。共识机制的安全风险包括由共识机制自身设计漏洞导致的安全风险和实际应用场景下的共识安全风险,包括但不限于:

当攻击者算力或比例达到一定比例时,存在恶意节点控制共识进程的安全风险;

在联盟链的场景下,联盟参与者和节点数较少,联盟成员可进行密谋,从而绕过共识机制的限制,任意修改链上数据;

攻击者采用双花攻击、自私挖矿攻击、短程攻击、长程攻击、币龄堆积、预计算攻击、女巫攻击等攻击方式,达到双重支付、回滚记录、获得网络控制权等攻击目的。

同时,密码学机制也存在一定的安全风险。比如,密钥生成、分发、存储过程中因人员操作或管理不当带来的安全风险,包括密钥丢失被盗等。

此外,随着量子计算技术的发展,非对称加密算法中的大数因子分解问题存在秒级时间内被破解的风险。

在个人信息保护方面,面临的风险包括用户的身份信息、物理地址、IP地址与区块链上的用户公钥、地址等公开信息之间存在关联关系;攻击者通过关联分析,可以推测出交易数据背后有价值的敏感信息等。

对此,征求意见稿要求做到三方面工作:

1.应使用主流的签名方式来保证消息的隐私,包括但不限于盲签名、环签名、群签名等;

2.应提供数据变换技术,如数据加密、敏感数据脱敏等手段,可将敏感数据进行变换;

3.宜采用侧链技术实现个人信息保护功能,将用户业务敏感数据放到侧链上,而不存储在公开的主链上等。

7月,人民银行印发《关于发布金融行业标准推动区块链技术规范应用的通知》(以下简称《通知》),《通知》要求各类金融机构定期开展外部安全评估、开展区块链技术应用的备案工作。

同时,新的区块链标准正在不断出炉。全国金融标准化技术委员会官网9月4日消息,2020年6月22日至7月3日,国际电信联盟电信标准化部门第十六研究组全会(ITU-T SG16)在线上召开。会上,由中国人民银行数字货币研究所与中国信息通信研究院、华为等单位联合发起的国际标准《金融分布式账本技术应用指南》成功立项,这是我国牵头的首个金融区块链国际标准。

点击下载:区块链技术安全通用规范(征求意见稿)


展开全文
相关阅读
资讯查询取消