近年来,我国数字经济发展迅速、成效显著,以区块链为代表的新兴数字技术日益融入经济社会发展各领域全过程,实现了数字技术与实体经济的深度融合,推动了数字经济的高质量发展。
区块链技术作为“新基建”基础设施之一,已在金融经济、社会民生、政务治理、商业贸易等重点领域进行了广泛应用。这些应用领域对网络安全、风险管理的高要求、高标准使得区块链技术的安全性与区块链应用的隐私性成为了各方关注的焦点。尽管区块链技术本身具有去中心化、分布式存储、防篡改、可追溯等特性使其安全性远高于传统网络体系,但区块链技术在应用过程中仍会存在一些安全风险。
《区块链技术与金融应用安全白皮书》聚焦于分析区块链技术体系安全问题以及区块链在金融重点领域应用中的安全问题,并针对各个安全问题提出了风险应对框架,使读者对区块链技术与应用潜在的安全问题及其应对方式有清晰的认知。
1. 内容安全
建立基于国产自主可控区块链平台的区块链应用监管系统,实现监管分级模型与评价体系的建设,形成区块链信息安全或监管标准,助力境内区块链行业的可持续发展,针对区块链的内容监管需求,大力推进区块链监管架构创新、区块链监管技术创新,需要利用以下几点关键技术:
(1)层次化跨链监管技术
针对目前区块链监管中存在的监管内容复杂、范围广、难以下探等问题,提出层次化的三层监管架构:主监管链、从监管链和业务链。结合中继链来维护骨干网的高效安全运行,承载多种异构跨链信息;采取直连跨链模式,使得平行链网关能够一对一直连通信;实现异构数据可信协同,促进异构业务链与监管链之间达成数据共识,实现不同链之间的监管信息能够做到互联互通。
(2)基于智能合约的跨监管机构协同技术
结合区块链智能合约技术来促监管指令高效路由,促进主从监管链之间的监管规则的高效下发与上传;同时实现监管指令智能协调,完善跨链合约的调用,促进跨机构监管自动化;建立监管权限访问控制体系,健全智能合约之间的权限控制,做到统一管理与多链协同。最终实现不同监管部门之间的信息畅通、统一管理,监管指令的高效下达,对不同监管机构的管理级别、监管权限进行管理。
(3)基于多重签名技术的分布式联盟自治框架
多重签名可以理解为对一个重要标的的多个签名,针对当下对监管的高安全、可审计的要求,通过多重签名技术可以有效提高裁决效率,同时保证其有效性。
(4)面向大规模监管的区块链核心技术
针对复杂监管网络,提出高鲁棒性高性能共识机制,研究复杂监管网络下的交易快速验证机制,针对数据流式指定动态分发策略;针对监管友好的异构大规模分层组网机制,研究大规模节点网络动态转发模型与异构多类型节点动态组织策略;针对基于监管链数据的混合高效存储模型,设计多级缓存机制,实现监管数据的高效存取,设计链上非结构化大文件存储模型,实现 PB 级监管链大文件数据的可信存储、安全共享与高效查询。
(5)监管友好的新型账本结构
针对隐私保护的交易模式,研究在监管权限管理机制下的隐私数据监管方法,以及在监管规则下的合规性内容监管。建立多级角色监管权限管理机制,保证授权与鉴权的一致性并保障其效率;研究高效可靠隐私数据监管技术,研究可追溯可还原的数据屏蔽方法,实现安全、有效、合规的可信审查。
(6)敏感词过滤技术
在区块链中实现基于确定有穷自动机(Deterministic Finite Automaton)算法的敏感数据过滤,从而有效监督、限制敏感词上链的行为,提升应急处置效率,保障区块链业务安全运行。
2. 治理安全
要解决区块链资源分配与治理中心化、存在着单点失败风险的问题,实现区块链治理决策的“透明化”,可以从分布式区块链资源分配与决策治理框架等方向重点突破,开展理论与实践研究,构建分布式的治理决策机制,完善公平的资源分配和有效决策治理,实现区块链风控智能化、监管精准化、治理透明化,支撑区块链生态的长期平稳发展。
(1)构建可证明安全的分布式区块链资源分配与决策治理框架。分布式区块链资源分配与决策治理中的核心问题是区块链上的用户的可验证投票问题,可以通过可验证 MPC 来解决,即将区块链中的权益持有者进行角色划分,引入专家支持方案,构建一个包括选民、专家和选举委员会的三方交互式治理框架。其中选民是指一组拥有固定数目权益数量的权益持有者,而专家则是一类特殊的投票者,他们在某个领域拥有专业知识和专长。在基于权益的投票机制中,选民和专家需对任何一项区块链中的提案进行投票表决,保证区块链社区中所有的用户都拥有参与区块链决策过程的权力。
普通用户的投票权益可以合法授权给可信专家,由其进行代理投票。在此过程中,无法判断用户是作为选民亲自进行投票还是将权益授信给了专家,因此用户的隐私能够获得一定程度的保护。该方案可以有效解决区块链中关于软件更新等操作引起的硬分叉问题,保障区块链生态的长期稳定发展。
(2)搭建基于陷门的可主动干预机制与自纠错分布式治理框架。引入基于陷门的可主动干预公链共识协议,结合一类新的证明者 – 验证者协议PoWorK,验证者无法辨别证明者投入的计算量或者是否拥有陷门。引入基于权益的自纠错分布式区块链审查机制,结合 Ouroboros 和 Algorand,通过构造门限可验证伪随机函数 VRF 来实现审计委员会的遴选,并进行审查,并进一步结合如 Redactable Blockchain 等可修订(或可重写)区块链技术,对审查有问题的区块进行自纠错。
3. 数据融合
尽管联邦学习使用户拥有了个人数据的控制权,但并不能完全防御潜在的隐私攻击。比如对于结构简单的机器学习模型 , 采用动态分析或计算记录间的相似度等方法便可推测出训练数据中个体的敏感信息。全球范围内对数据隐私的重视加剧了数据孤岛的产生,欧盟出台了首个关于数据隐私保护 的 法 案《 通 用 数 据 保 护 条 例》(General Data Protection Regulation, GDPR),明确了对数据隐私保护的若干规定。我国在 2017 年起实施的《中华人民共和国网络安全法》和《中华人民共和国民法总则》中也指出“网络运营者不得泄露、篡改、毁坏其收集的个人信息,并且与第三方进行数据交易时需确保拟定的合同明确约定拟交易数据的范围和数据保护义务。”
这意味着对于用户数据的收集必须公开、透明,企业、机构之间在没有用户授权的情况下不能交换数据。这成为联邦学习进一步推广的巨大挑战,如何在保证数据隐私的前提下进行联邦学习也成为国内外学术界、工业界广泛关注的课题。
另外,联邦学习也为 AI 模型的安全性带来了新的挑战,在联邦学习中,攻击者可以更轻松的实施毒化攻击。毒化攻击是指攻击者通过攻击训练集来误导学习过程的攻击方法。由于机器学习的主要学习内容来自训练集,因此,即使训练集只有一小部分遭受毒化攻击,仍会使得学习的效果大幅下降。如何抵御毒化攻击是对抗性环境下安全的联邦学习的重要研究领域。在联邦学习中,攻击者能够通过更改训局部模型的方式来改变全局模型的行为,即为模型添加后门。该攻击可以在攻击者选择的输入上改变模型的行为而不影响其在其他任务上的精度。该攻击迄今为止没有得到很好的解决。
在实际应用中,因为孤岛数据具有不同的分布特点,所以联邦学习也可分为横向联邦学习(参与者的数据服从水平分布)和纵向联邦学习(参与者的数据服从垂直分布)。
在横向联邦学习中,每个参与者都拥有完整的特征空间,因此每个参与者可以在本地独立的训练模型。横向联邦学习的过程中,各个参与者在获得中心节点的副本后独立训练,并将训练后更新的模型参数上传至中心节点;中心节点将所有上传的参数整合至中心模型,并再次将模型分发出去;如此迭代,直至中心模型收敛。横向联邦学习能够让各节点的数据保留在本地,以降低带宽占用和隐私泄露的风险。在海内外专家的广泛关注下,横向联邦学习的安全隐私问题已基本解决。比如参与者上传的模型参数会泄漏它本地的信息,通常的做法是用安全合并的方法对新的模型参数进行保护,即参与者在本地用一次性密码本的方法对梯度进行加密,所有参与者两两协调生成一次性密码,合并后的一次性密码会自然消除,另外中心节点生成的中心模型也会泄漏参与者的信息,这一问题通常通过差分隐私来解决。
相比之下,纵向联邦学习受到的关注相对较少。现有纵向联邦学习隐私保护的解决方案是通过密码学技术(同态加密或多方安全计算)达到数据可用不可见的目的。Facebook 人工智能团队正在开发名为 CrypTen 的开源项目,这是一个基于 PyTorch 并且提供隐私保护的机器学习框架,可以在加密数据上完成联合建模。TFEncrypted 是另一个提供隐私保护的联合建模框架,它基于 TensorFlow 并且集成了多方安全计算等密码学技术。国内企业也开始了在该方向上的投入,微众银行提出 FATE 联合建模框架,可以让企业和机构在保护数据安全和数据隐私的前提下进行 AI 协作。蚂蚁金服也推出了摩斯安全计算平台能够在本地数据不泄露、原始数据不出域的前提下,通过密码学算法,分布式执行既定逻辑的运算并获得预期结果,从而完成数据合作。然而上述方法引入大量的带宽和计算开销,无法在实际应用中广泛部署。
4. 数据隐私 – 密码学、数据脱敏
区块链中防止隐私数据泄露的手段主要有现代密码学方法和数据脱敏。
现代密码学方法即利用哈希算法与加密解密算法对数据、用户身份、传输信道等进行加密保护,保障相关数据的隐私安全。
数据脱敏技术也叫数据的去隐私化,指的是通过给定的脱敏规则和策略,将一些区块链上的用户敏感信息数据进行转换或者修改,从而达到保护数据隐私的目的的一种技术手段。脱敏后的数据可以安全便捷的在开发、测试、外包或者其它非生产环境中进行使用,能够有效防止敏感数据直接暴露于不可信的区块链网络环境中。基于区块链的数据脱敏技术能保证数据私密性,为隐私保护下的数据开放提供了解决方案。
- 数据脱敏技术主要包括了以下几点主要方法。
- 数据替换,使用固定的虚构值来替换真实值;
- 数据无效化,对数据进行截断、隐藏等方式,剥离它的实际价值;
- 数据随机化,使用随机数据代替真实值,能够模拟样本的真实性;
- 数据偏移和取整,通过随机位移来改变数据,保持了数据的范围真实性,同时也对区块链大数据应用具有重大价值;
- 数据掩码屏蔽,掩码隐蔽主要针对区块链中的账户类数据信息,通常做法是将账户的中间部分进行掩盖;
- 数据灵活编码,通常根据区块链中数据保护的具体情况来利用一些特殊的编码规则。
5. 实名认证
区块链系统身份认证包括实名认证和可控匿名认证,主要采用的方法为KYC(Know Your Customer) 认证方案。
身份认证是指在区块链系统中用于确认交易者身份的过程,实名认证要求在用户身份标识的建立和认证过程中直接或间接地确定交易者的真实身份。进一步的,区块链还可以做到可控匿名认证,即在用户身份标识的建立和认证过程中,除监管方以外的参与者不允许直接或间接确定交易者的真实身份。在必要时,监管方可复原出匿名化后交易方的真实身份。
KYC 认证是一种被当前区块链项目普遍采用的实名认证机制。为了实现用户的准入控制并满足交易监管要求,Fabric、Corda、趣链区块链平台、微众银行 FISCO BCOS 等区块链项目都采用了 KYC 认证,在身份管理中采用基于数字证书的实名认证。它们在系统中部署公钥基础结构 (Public Key Infrastructure, 简称 PKI) 和证书认证中心 (Certificates Authority, 简称 CA)来管理身份,用户基于非对称密码算法通过 CA 生成和管理数字身份,用户实名认证获得数字证书身份标识的过程主要如下:
- (1)用户发送实名注册信息给 CA 申请数字证书;
- (2)CA 核实用户实名信息,如果有误,则终止申请过程;
- (3)CA 基于用户实名信息为用户生成公私钥并签发实名数字证书,确保数字证书与用户身份的一一绑定;
- (4)CA 将生成的数字证书和私钥发送给用户;
- (5)在区块链交易过程中用户使用数字证书作为身份标识符,通过私钥签名实现身份认证,身份管理的全周期过程中用户都是实名的。
基于数字证书的实名认证方案适用于中心化系统中账本保密的应用场景。
KYC 认证一般验证的三要素是姓名、身份证和手机验证,目前的 KYC 实名认证机制已经被广泛用于预防洗钱、身份盗窃、金融诈骗等犯罪行为。
6. 数字孪生
目前有很多成熟的网络安全解决方案,可以为数字孪生提供安全保证。例如入侵检测系统(IDS)可以检测和拦截来自外部的恶意请求和连接,防止包含病毒代码的片段进入系统,同时实现接入设备的管控,限制陌生设备的一切行为,要求设备必须经过认证;在网关部署的深度流量检测(DPI)可以审查系统所有内部外部信息交换,识别并拦截包含敏感信息的流量,防止机密数据外泄,同时检查从外界进入系统内部的流量信息,精准识别出恶意流量并拦截。
数字孪生对数据可信度和计算基础设施可信性都具有很高的要求,而区块链技术结构包含一整套行动协议与思维模式,通过链上参与方公认的规则、协议、流程和方法,能够使区块链系统的计算运行顺利进行,解决数据的可信度问题,为数字孪生构造一个可信的计算平台。物联网设备从物理世界收集数据并传输到电子空间,可以使用区块链技术进行保护。通过保证源认证和数据传输机制,利用区块链的密码学特性,使得数据孪生系统收集到的数据真实可信、不可篡改且可溯源,进而阻止恶意篡改和干扰基础设施影响正常计算结果。区块链系统采用通证(Token)的形式管理有价值的事物,通过 Token 实现资产上链,实现物理实体与数字体之间的一对一关系,可以防止有价值的实体经过数字化后被无限复制。
7. 预言机安全
预言机的最终目标是给区块链输送持续安全可靠的外部数据,因此保障预言机安全对维护区块链安全具有重大意义。去中心化是解决预言机安全问题的一种重要方法。中心化预言机往往面临着单点失败、数据泄露、数据被篡改等安全问题,将预言机进行离散化是保障预言机安全的重要举措。
去中心化包括外部数据源的去中心化和预言机节点的去中心化。预言机可以通过从多种渠道收集数据,来避免因单一数据源出错、停机或被黑客占领而导致的安全问题。预言机本身也需采取多节点汇总合约的方法,来防止部分预言机存在错误,从而得出更可靠的响应。除此之外,可以使用基于门限签名的分布式协议来防止节点“搭便车问题”的发生。
仅仅依靠去中心化的方式,还无法实现全面的预言机安全,为进一步提高可信度,还需要考虑更多其它的安全性措施。例如使用可信硬件为高质量的预言机提供信用背书;对源数据进行数字签名,防止恶意篡改,提升预言机抗干扰能力;对数据预留处理机制,对齐时间戳,保证数据合法可靠;监控预言机的行为,并统计其可用性与正确性,得出准确率与响应时间,并计算节点犯错成本,为节点做出声誉评判标准,来合理规划各节点的信息权重;形成举报机制,对揭发恶意节点的节点进行一定的奖励;对高价值交易的响应进行审计,形成验证机制、异常报警机制,拦截黑客对数据的恶意篡改,削弱套利空间;加强对预言机的针对性测试,提高预言机的抗攻击能力等。
本文摘自:《区块链技术与金融应用安全白皮书》
本白皮书聚焦于分析区块链技术体系安全问题以及区块链在金融重点领域应用中的安全问题,并针对各个安全问题提出了风险应对框架,使读者对区块链技术与应用潜在的安全问题及其应对方式有清晰的认知。最后,本白皮书对我国区块链安全的发展进行了展望,期望能够从加强自主可控、深化标准建设、打造基础设施、强化技术融合等方面进一步提升区块链技术与应用的安全性,推动我国区块链产业安全、健康发展。
白皮书下载:
区块链技术与金融应用安全白皮书
来源:浙商银行 – 浙江大学联合研究中心
一条评论