今天给各位分享区块链安全管理方案设计的知识,其中也会对区块链系统安全进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
课题研究的背景:
随着现代科技与信息产业的发展,现阶段,第四次工业革命初见端倪,全球即将进入一个以互联网、人工智能等新技术为核心的科技时代,同时,区块链技术应运而生,成为国际众多政府与行业关注的热点对象。区块链技术已经被视为继蒸汽机、电力、信息和互联网科技之后,最有潜力触发第五轮颠覆性革命浪潮的核心技术。过去10年,在政府与政策的大力支持下,我国公益慈善事业的发展形势较为乐观。然而随着慈善规模不断发展扩大,我国公益事业逐渐显露了一些弊端。传统的公益事业存在的最大问题是公信力不足,存在慈善组织内部管理不健全、成本高等问题,但目前许多互联网公益服务公司正积极利用区块链这一新技术解决该问题。区块链技术具有去中心化、信息可追溯且不可篡改、公开透明、智能合约等特点,能够弥补传统公益事业中存在的信息不透明、管理效率低等不足, 区块链技术进入公益事业,将为慈善行业带来新的发展契机。
课题研究的主要内容: 本课题主要包括以下三个方面的内容:
[if !supportLists]一、[endif]区块链技术与公益结合会出现的问题并解决。
[if !supportLists]二、[endif]基于区块链技术做一个公益查询网页
[if !supportLists]三、[endif]对该查询系统应用问题及阐述
课题研究的目的:
我国公益规模不断的发展扩大,随之而来我们的弊端也被显露出来,公信力不足,慈善组织缺乏管理,而利用区块链技术可以达到解决这问题的效果。该技术会在捐赠流程中实行数据和行为的全程跟踪,存证,实现公益链的完整公开,使捐赠者进行有效监督,避免了效率低,资金流向明确等缺点,为公益项目控股风险,提升公信力和公益项目的透明度,促进公益项目的发展与进步,增强了人与人的信任。公益性企业根据区块链系统的属性与特点,可以在公益流程中实行数据与行为的全周期跟踪、存证与审计,使公益项目参与各方能够对该项目进行全程跟踪及有效监督, 避免公益中因人为降低效率的缺点,从而为公益项目提供控制风险、判断效果的理性方法, 提升公益事业的透明度,促进公益发展。
课题研究的意义: 本课题拟在区块链技术的基础上,结合我国公益事业发展实际,做出关于公益事业捐赠的追踪,公开透明的系统。通过对区块链技术和慈善事业业务的深入分析, 我们发现区块链技术对解决公益透明性问题有着天然优势。区块链技术可理解为是一种分布式的记账方式,可记录所有交易信息并确保无法篡改,这就决定了凡需要公正、公平、诚信的地方,区块链都有很大的技术发挥空间。同时,智能合约的加入直接解决了专款专用这一业务难题。
最终将会实现公民之间信任增强,捐赠渠道速度加快,推动社会捐助事业的发展
二、文献综述 (国内外相关研究现况和发展趋向)
[if !supportLists] (一) [endif] 国外区块链相关产业现状
中欧在区块链产业政策中逐渐占领全球,欧盟在2018年2月已成立欧洲区块链观察论坛,主要职责包括:政策确定,产学研联动,跨国境BaaS
(Blockchain as a Service)服务构建,标准开源制定等,组在Horizon2020投入 500万欧作为区块链研发基金(在2018年12月19日前),预计三年内(2018-2020) 区块链方面投资将达到3.4亿欧元。美国则由于各州之间政策不一,虽然区块链在美国初创企业中仍然是热潮,产业政策推动-直较慢。中东地区以迪湃为首在引|领区块链的潮流,由政府牵头,企业配合以探索区块链的新技术应用。亚太区域日韩也相对活跃,日本以NTT为主,政府背后提供支撑,韩国以金融为切入点探索区块链应用。主义也时刻在威胁着中国社会的各个领域。综观国外主要发达国家新媒体文化的发展现状,总结经验,吸取教训,对中国新媒体文化发展有一定的启示。
[if !supportLists] (二) [endif] 国内新媒体研究现状
中国国务院印发《“十三五”国家信息化规划》,区块链与大数据、人工智能、机器深度学习等新技术,成为国家布局重点。中国人民银行印发了《中国金融业信息技术"十三五”发展规划》,明确提出积极推进区块链、人工智能等新技术应用研究,并组织进行国家数字货币的试点。在2017年10月,工信部发布《中国区块链技术和应用发展白皮书》,这是首个落地的区块链官方指导文件。
各地政府,特别是沿海地区纷纷成立区块链实验地、研究院。前,深圳、杭州、广州、贵阳等地政府都在积极建立区块链发展专区,给予特别扶植政策。中广州在2017年12月正式发布广州区块链10条策略,在黄浦区和开发区打造区块链企业技术创新区。深圳在2018年3月由深圳市经济贸易和信息化委员会发布《市经贸信息委关于组织实施深圳市战略性新兴产业新一代信息技术信息安全转型201 8年第二批扶持计划的通知》,区块链在扶持方向之列,这是继广州、贵阳、鸽杭州之后,国内第5个地方政府,出台的关于区块链的扶持政策。
( 三)区块链在开源领域的现状
超级账本(Hyperledger)
超级账本(Hyperledger)是由Linux基会于2015年发起的推进区块链数字技术和交易验证的开源项目,吸引了包括IBM,英特尔,Fujitsu,UPS,Cisco,华为,Redhat,Oracle,三星,腾讯云,百度金融等众多公司参与,目前已经有超过200家会员单位,Aache基金会创始人BranBehlendorf担任账本项目的执行董事。
超级账本项目的目标是让成员共同合作,共建开放平台,满足来自多个不同行业的用户案例并简化业务流程。流程账本旗下有多个区块链平台项目,包括BIM贡献的Fabric项目,Intel贡献的Sawtooth项目,以及Iroha,Burrow,Indy等。
区块链在标准领域的发展现状
ITU-T
ITU-T (国际电信联盟标准化组织)于2016至2017年初,SG16 (Study Group)、SG17和SG20分别启动了分布式账本的总体需求、安全,以吸在物联网中的应用研究。成立三个焦点组Focus Group (分布式账本焦点组(FG DLT)、数据处理与管理焦点组(FG DPM) )、法定数字货币焦点组(FG DFC) ), 分别针对区块链与分布式账本技术应用与服务研究,基于区块链建立可信任的物联网和智慧城市数据管理框架,基于数字货币的区块链应用展开标准化工作。华为担任分布式账本焦点组(FG DLT)架构组主席和数据处理与管理焦点组(FGDPM)区块链组主席。
CCSA (中国通信标准化协会)两个委员会分别成立了子组和项目:
CCSA TC10 (物联网技术工作委员会) 2017年10月成立物联网区块链子组:负责区块链技术在物联网及其涵盖的智慧城市、车联网、边缘计算、物联网大数据、物联网行业应用、物流和智能制造等领域的应用研究与标准化,由中国联通技术专家担任组长,华为技术专家担任副组长。
CCSA TC1 (互联网与应用技术工作委员会)下区块链与大数据工作组完成两个区块链行业标准:《区块链: 第1部分区块链总体技术要求》和《区块链:第2部分评价指标和评测方法》,华为积极参与其中。
JPEG
201 8年2月第78届JPEG会议期间,JPEG委员会组织了关于区块链和分布式账本技术及其对JPEG标准影响的特别会议。考虑到区块链和分布式账本等技术对未来多媒体的潜在影响,委员会决定成立一个特设小组在多媒体环境下探索与区块链技术相关的用例和标准化需求,歧持专注于图像和多媒体应用的标准化工作。
IETF
在2017年6月lETF99会议上成立"Decentralized Internet Infrastructure ProposedRG
(Research Group),计划研究区块链架构和相应的标准,201 8年IETF在区块链上将可能更多的关注区块链的互联互通的标准的落地发展。
三、拟采取的研究方法(方案、技术路线等)和可行性论证
本课题主要研究区块链技术的应用于慈善捐赠的结合采取的研究方法:
1、以文献资料法收集相关理论,以信息检索、筛选等方法收集文献资料及其相关理论,来了区块链技术的现状,掌握区块链去中心化技术。
2、以理论与实际相结合的方法,将该技术与公益事业结合起来。完成对系统的改进。
3、采用对比分析的方法,从国内外两个方面讨论新媒体运营发展现状,以及我国新媒体运营模式发展的现存问题,并展望该技术领域的发展前景。
可行性论证:
1、技术可行性,本课题所涉及的研究目标,在国内外已经有相当多的理论基础。通过文献调查,可以了解到实际的、可靠的、有用的信息数据,实际要求的难度不大。
2、经济可行性,本课题的研究,可以通过网络和图书馆查阅文献资料,方便可行,不需要很多的经济消耗,所以,从经济的角度,完全可行。
3、操作可行性,本课题要求对区块链技术与公益的结合特别是追溯这些方面应用,对关于此课题的毕业设计的系统的全面解析,能够通过对既有文献的学习和既有资料文档的研习,利用自己搜集的数据,进行整理和分析,学以致用,完整的完成本次课题。从可操作性的角度来讲,完全可行。
四、预期结果(或预计成果)
1、通过对资料的研究,明确区块链技术的相关概念,熟练运用dapp,制作出网页。
2、通过对分布式应用,制作出可以使大众快速浏览与了解公益进程的系统为我国公益事业进一步发展增加便利。
3、希望我能够从这次论文的撰写的过程中不断学习,不断进步。能够掌握区块链的相关的知识,对自己以后的事业能有所帮助。
区块链项目(尤其是公有链)的一个特点是开源。通过开放源代码,来提高项目的可信性,也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件,近日就有匿名币Verge(XVG)再次遭到攻击,攻击者锁定了XVG代码中的某个漏洞,该漏洞允许恶意矿工在区块上添加虚假的时间戳,随后快速挖出新块,短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止,然而没人能够保证未来攻击者是否会再次出击。
当然,区块链开发者们也可以采取一些措施
一是使用专业的代码审计服务,
二是了解安全编码规范,防患于未然。
密码算法的安全性
随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易,目前最常用的ECDSA、RSA、DSA 等在理论上都不能承受量子攻击,将会存在较大的风险,越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。
当然,除了改变算法,还有一个方法可以提升一定的安全性:
参考比特币对于公钥地址的处理方式,降低公钥泄露所带来的潜在的风险。作为用户,尤其是比特币用户,每次交易后的余额都采用新的地址进行存储,确保有比特币资金存储的地址的公钥不外泄。
共识机制的安全性
当前的共识机制有工作量证明(Proof of Work,PoW)、权益证明(Proof of Stake,PoS)、授权权益证明(Delegated Proof of Stake,DPoS)、实用拜占庭容错(Practical Byzantine Fault Tolerance,PBFT)等。
PoW 面临51%攻击问题。由于PoW 依赖于算力,当攻击者具备算力优势时,找到新的区块的概率将会大于其他节点,这时其具备了撤销已经发生的交易的能力。需要说明的是,即便在这种情况下,攻击者也只能修改自己的交易而不能修改其他用户的交易(攻击者没有其他用户的私钥)。
在PoS 中,攻击者在持有超过51%的Token 量时才能够攻击成功,这相对于PoW 中的51%算力来说,更加困难。
在PBFT 中,恶意节点小于总节点的1/3 时系统是安全的。总的来说,任何共识机制都有其成立的条件,作为攻击者,还需要考虑的是,一旦攻击成功,将会造成该系统的价值归零,这时攻击者除了破坏之外,并没有得到其他有价值的回报。
对于区块链项目的设计者而言,应该了解清楚各个共识机制的优劣,从而选择出合适的共识机制或者根据场景需要,设计新的共识机制。
智能合约的安全性
智能合约具备运行成本低、人为干预风险小等优势,但如果智能合约的设计存在问题,将有可能带来较大的损失。2016 年6 月,以太坊最大众筹项目The DAO 被攻击,黑客获得超过350 万个以太币,后来导致以太坊分叉为ETH 和ETC。
对此提出的措施有两个方面:
一是对智能合约进行安全审计,
二是遵循智能合约安全开发原则。
智能合约的安全开发原则有:对可能的错误有所准备,确保代码能够正确的处理出现的bug 和漏洞;谨慎发布智能合约,做好功能测试与安全测试,充分考虑边界;保持智能合约的简洁;关注区块链威胁情报,并及时检查更新;清楚区块链的特性,如谨慎调用外部合约等。
数字钱包的安全性
数字钱包主要存在三方面的安全隐患:第一,设计缺陷。2014 年底,某签报因一个严重的随机数问题(R 值重复)造成用户丢失数百枚数字资产。第二,数字钱包中包含恶意代码。第三,电脑、手机丢失或损坏导致的丢失资产。
应对措施主要有四个方面:
一是确保私钥的随机性;
二是在软件安装前进行散列值校验,确保数字钱包软件没有被篡改过;
三是使用冷钱包;
四是对私钥进行备份。
针对现有区块链技术的安全特性和缺点,需要围绕物理、数据、应用系统、加密、风控等方面构建安全体系,整体提升区块链系统的安全性能。
1、物理安全
运行区块链系统的网络和主机应处于受保护的环境,其保护措施根据具体业务的监管要求不同,可采用不限于VPN专网、防火墙、物理隔离等方法,对物理网络和主机进行保护。
2、数据安全
区块链的节点和节点之间的数据交换,原则上不应明文传输,例如可采用非对称加密协商密钥,用对称加密算法进行数据的加密和解密。数据提供方也应严格评估数据的敏感程度、安全级别,决定数据是否发送到区块链,是否进行数据脱敏,并采用严格的访问权限控制措施。
3、应用系统安全
应用系统的安全需要从身份认证、权限体系、交易规则、防欺诈策
略等方面着手,参与应用运行的相关人员、交易节点、交易数据应事前受控、事后可审计。以金融区块链为例,可采用容错能力更强、抗欺诈性和性能更高的共识算法,避免部分节点联合造假。
4、密钥安全
对区块链节点之间的通信数据加密,以及对区块链节点上存储数据加密的密钥,不应明文存在同一个节点上,应通过加密机将私钥妥善保存。在密钥遗失或泄漏时,系统可识别原密钥的相关记录,如帐号控制、通信加密、数据存储加密等,并实施响应措施使原密钥失效。密钥还应进行严格的生命周期管理,不应为永久有效,到达一定的时间周期后需进行更换。
5、风控机制
对系统的网络层、主机操作、应用系统的数据访问、交易频度等维度,应有周密的检测措施,对任何可疑的操作,应进行告警、记录、核查,如发现非法操作,应进行损失评估,在技术和业务层面进行补救,加固安全措施,并追查非法操作的来源,杜绝再次攻击。
文章来源:中国区块链技术和应用发展白皮书
到目前为止,区块链安全管理方案设计我们的团队所学到的——关于区块链特定的业务和用户需求——为我们的设计工作提供了信息。
目前,IBM 区块链设计团队正在设计从 供应链流程 到 文档 、从 开源开发人员工具 到 区块链即服务的任何 内容。这是该行业的本质:疯狂地探索一项技术的所有 可能应用,该技术 有可能在金融、医疗保健和政府等领域大幅降低成本和效率低下。
尽管设计有很多不同的方向,但我们用户的需求中有一些共同的主题,这些主题已经影响了我们作为一个团队的设计原则。这是 IBM 区块链设计团队对这些原则的第一次迭代——我们在批评工作和确定设计决策优先级时所关注的内容。
“仅仅因为区块链技术旨在消除对信任的依赖,并不意味着用户会信任机器或网络。”— Jonny Howle ,UX/UI 设计师
我们的许多用户都在处理高度敏感信息的行业,保持他们的信任对我们的业务至关重要。 几乎每个人都是区块链 的“新手” ,理解和信心程度各不相同。用户必须认为我们的产品(及其背后的人)是可靠、值得信赖和稳定的。我们通过仔细的数据公开、一致性、反馈、预测错误和积极指导来实现这一目标。
一些用户需要比其他用户更多地接触区块链数据——许多用户需要了解区块链技术如何取代他们以前的流程,才能觉得它是值得信赖的。数据的暴露会影响用户对应用程序如何工作的理解。例如,数据表明发生了函数调用,或者它可以证明某些东西在密码学上是安全的。
在决定是否包含数据元素时,我们使用以下层次结构:
1.数据必须是 可操作的。
2.如果数据不可操作,则它必须用于建立 信任和/或教育 目的。
“老派”区块链工具向您展示了许多长加密哈希。它们不是人类可读的。它们对用户毫无用处……但人们却 喜欢 它们!为什么区块链安全管理方案设计?这是一种舒适的感觉:“我可以看到一个非人类可读的链码 ID,所以我相信我正在查看的这个东西是安全的。— Ed Moffat ,设计主管
在产品和客户体验之间建立 视觉一致性 对于感知可信度至关重要。我们使用基于网格的布局(具有有意义且成比例的负空间)、强大的排版层次结构,并应用有意义的颜色。
拥有一致的用户体验可以让我们的用户感到轻松,这对于新的区块链技术尤为重要,因为这可以促进采用和学习。— Tobias Hunter ,用户体验设计师
由于区块链的视觉语言仍在编纂中,我们在使用图像来阐明概念时要小心。虽然我们创建与熟悉元素的关联以帮助用户保留信息,但我们对视觉隐喻持谨慎态度——简化某些概念实际上可能会误导或在以后造成混淆。
我们尽一切努力使用行话少、 一致的术语 。语言应该简洁、清晰,并符合我们用户的自然交流模式。我们保持对话的语气,但不会过于随意或轻率。我们的团队特别关注像 identity 、 update 和 network 等带有含义的词:虽然许多区块链概念与通常理解的含义相似,但它们可能有很大的不同和混淆。
我们为用户所在的任何地方设计。因为区块链的定义是分布式的,所以我们必须在默认情况下跨界设计:UI扩展、图标含义和翻译等必须始终考虑在内。此外,区块链的许多用途本质上是移动的——我们维护一个无论使用何种设备,都能获得 一致的体验。
我们通过设计持续的反馈来帮助我们的用户了解正在发生的事情并减少焦虑。谨慎使用的运动和动画有助于理解正在发生的事情。
当你学习一门外语时,你是通过练习和玩耍来学习的,而不是通过阅读字典。我们正在制作工具和文档,让我们的用户可以玩耍并尝试学习这项新技术。— Sam Winslet ,视觉设计师
用户应该始终知道正在发生什么、刚刚发生了什么以及接下来会发生什么。时间是区块链应用程序中的一个重要元素,很多时候简单的加载器是不够的。
高吞吐量分布式系统本质上是异步的,系统的多个组件依赖于超时或轮询间隔。在等待达到最佳块大小时,可以配置事务(通常持续几秒钟)。SDK 将轮询、等待并重试创建新频道。— Jason Yellick ,软件开发人员
我们确保我们已经考虑(并在发布后测试)活动或功能将花费 的时间并通知用户。 这也适用于界面中的任何指标——用户看到了多少类别,有多少没有显示,等等。
我们的用户喜欢动手实践的 交互式学习, 因此他们可以在创造有形的东西的同时学习。— Raissa Xie ,用户体验研究员
因为区块链实际上是不可变的,所以我们特别关注不可逆的用户行为。如果发生错误,我们会增加摩擦或确认级别以减少错误并直接进行下一步。
零状态在我们的许多产品中都很常见,因此我们确保提供自然的下一步。用户必须有清晰、持久的导航——他们应该很容易知道如何回到之前的状态以及下一步是什么。
我们的用户希望看到简单的说明,以便尽快 进行设置和运行。
— Lucie Wu ,用户体验设计师
由于对可见性的控制是一项业务需求,因此我们确保根据角色考虑界面的不同视图。如果用户无权访问某些数据,我们不会在界面上留下漏洞。
区块链技术相对较新,大多数用户不一定知道他们需要什么。一个好的设计师应该知道如何过滤他们的意见并提出最佳解决方案。设计师通过指导他们完成整个过程,帮助他们了解这项技术可以为他们的生活带来的好处和可能性。
— Andrea Lee ,UI 设计师
我们的团队预计需要进一步的帮助并试图减少它,同时认识到 我们 的角色最有可能去哪里寻求帮助。我们提出见解以创造透明度并消除不确定性,并为用户不记得的事情提供建议。
通过工具提示和进度条向用户展示他们的新词汇,让原本令人生畏的学习任务看起来更轻松。
— Kayla White ,UI 设计师
无论上下文如何,我们都不包含会使界面混乱或使用户感到困惑的元素——每个元素都有一个目的,没有什么是为了装饰。我们利用常见的设计模式并减少用户必须做的学习量。
在许多情况下,我们的多个角色将成为流程的一部分。为了促进协作,我们设计了用户给定任务 之前和之后的步骤。 团队采用我们的技术对我们的业务模式至关重要,因此我们重视包容性、可访问的设计是理所当然的。
为复杂性而设计并不意味着让事情变得简单。使任务更容易,但不要剥夺他们的控制权。
— Dante Guintu ,UI 设计师
对区块链技术的兴奋增加了关注机器需求而不是人类需求的趋势。作为设计师,我们必须不断地重新集中精力解决问题并 为人类 创造愉快的体验。我们必须平衡区块链的本质和以人为本的设计之间的张力。
即使对于非技术用户感兴趣,区块链的技术概念似乎也异常诱人。-
Ed Moffat
因为区块链的许多应用程序都具有非常强大的潜力,所以我们必须注意以合乎道德的方式行事和设计。这意味着确保多样性融入我们的设计——从用户研究参与者到我们的团队本身。
我们的设计团队保持持续协作的状态:研究、测试和警惕不断变化的用户需求和设计模式。我们致力于保护和倡导我们的用户,考虑极端情况和异常值,并考虑用户的情绪。我们努力改善用户的生活,同时不给他们制造新的问题。
设计不是一成不变的。这个群体的主要口头禅是我们追求卓越,而不是完美。
—— 肖恩·巴克莱 ,创意总监
转自:
区块链安全管理方案设计的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于区块链系统安全、区块链安全管理方案设计的信息别忘了在本站进行查找喔。
评论