區(qū)塊鏈已成為數(shù)字中國建設和科技深度融合的重要方向,其應用已經延伸到數(shù)字金融、物聯(lián)網、智能制造、供應鏈管理、數(shù)字資產交易等多個領域,對探索共享經濟新模式新業(yè)態(tài),重構數(shù)字經濟產業(yè)生態(tài),提升智慧城市的政府治理和公共服務水平具有重要意義。與此同時,區(qū)塊鏈與可信數(shù)字身份的創(chuàng)新應用是國家的重要研究方向之一。可信數(shù)字身份作為各行業(yè)和各應用的底層基礎,有利于促進各種應用和服務的融合,并能提高信息流轉、匯聚和治理效率,降低企業(yè)的建設成本。
在區(qū)塊鏈安全日益重要的大背景下,綠盟科技與公安部第一研究所、中國信息通信研究院經過數(shù)月的市場調研和需求分析,聯(lián)合發(fā)布了《基于可信數(shù)字身份的區(qū)塊鏈應用服務白皮書》(1.0版)。綠盟科技作為編制小組中唯一的安全廠商,特將報告精華節(jié)選于此,以饗讀者。
綠盟科技以可信數(shù)字身份為基礎,為各行業(yè)區(qū)塊鏈應用保駕護航,提供核心的身份認證及相關安全能力支撐;再由各行業(yè)區(qū)塊鏈發(fā)揮面向用戶的優(yōu)勢,向平臺端匯聚數(shù)據(jù),形成上下聯(lián)動的循環(huán)體系。可信數(shù)字身份是鏈上和鏈下的橋梁,是區(qū)塊鏈走向合規(guī)監(jiān)管的橋梁。
1.區(qū)塊鏈對數(shù)字身份安全的積極影響
區(qū)塊鏈技術保證數(shù)字身份不被竊取;區(qū)塊鏈數(shù)字身份防篡改;區(qū)塊鏈保證去中心化或弱中心化的可信數(shù)字身份,對數(shù)據(jù)保護有促進作用;區(qū)塊鏈技術保證數(shù)字身份可溯源等。
2.區(qū)塊鏈數(shù)字身份的安全挑戰(zhàn)
區(qū)塊數(shù)據(jù)風險:惡意信息攻擊、資源濫用攻擊。
加密數(shù)據(jù)風險:窮舉攻擊、撞庫攻擊、長度擴展攻擊、后門攻擊、量子攻擊;數(shù)據(jù)傳輸過程安全風險;智能合約安全風險等。
3.區(qū)塊鏈數(shù)字身份的安全防御方案
密碼算法安全性、P2P加密、智能合約編碼安全等;上鏈數(shù)據(jù)多方(權威)認證,保證數(shù)據(jù)初始信息準確性;相關標準制定實施保障區(qū)塊鏈數(shù)字身份安全等。
圖1.可信數(shù)字身份對區(qū)塊鏈應用的支撐
《基于可信數(shù)字身份的區(qū)塊鏈應用服務白皮書》(1.0版)提出了未來區(qū)塊鏈安全的幾個重要趨勢:
第一階段:可信數(shù)字身份賦能區(qū)塊鏈。通過可信數(shù)字身份為區(qū)塊鏈的前端應用做好底層支撐。
第二階段:區(qū)塊鏈賦能可信數(shù)字身份。利用區(qū)塊鏈技術促進可信數(shù)字身份在多領域多維度的應用創(chuàng)新。
基于此,綠盟科技發(fā)布的基于可信數(shù)字身份的區(qū)塊鏈安全解決方案,其基本理念是在可信數(shù)字身份場景下,從底鏈、私有鏈和聯(lián)盟鏈的視角出發(fā),提供更安全的區(qū)塊鏈應用解決方案和安全服務,支撐各個生態(tài)鏈的安全可信體系:
一、從2017年投入研發(fā)力量開始,“綠盟統(tǒng)一身份認證平臺(UIP)”橫空出世,集應用、賬戶、認證、授權和審計為一體的安全系統(tǒng),在傳統(tǒng)的賬戶、認證、授權、審計的4A基礎之上,增加了應用管控,形成5A平臺。
二、憑借在數(shù)字身份認證安全領域的經驗積累,提出了金融行業(yè)身份認證解決方案,包括密碼安全控件(SM2)、云加密機、多因素認證(MFA)、企業(yè)內控統(tǒng)一身份認證平臺(5A平臺)等,解決方案的實施能夠促進國家相關政策的實現(xiàn),滿足金融機構、醫(yī)療、公安等監(jiān)管合規(guī)需求。
綠盟科技在區(qū)塊鏈數(shù)字身份技術的部分成功案例有:某某幣錢包、某SD智能合約審計、某COS平臺底層鏈審計、某MATR底層鏈審計等。結合數(shù)據(jù)身份認證相關項目經驗,為綠盟科技對數(shù)字身份本身安全研究奠定了堅實的基礎。
同時,結合豐富的區(qū)塊鏈項目安全服務經驗,以及綠盟科技研究院區(qū)塊鏈安全研究小組的研究積累,綠盟科技在區(qū)塊鏈安全方面已形成相關標準,為移動及某政府客戶提供體系化的區(qū)塊鏈安全課程培訓,并于18年為工信部主辦的CTF比賽提供區(qū)塊鏈安全考題。于2019年和北航、移動研究院發(fā)了企業(yè)級區(qū)塊鏈安全白皮書。