作為一種多技術融合創新的産物,區塊鍊在誕生之初就就引入了密碼技術等多種安全技術來允許其擁有包括多中心、防篡改、抗僞造、可追溯等多種安全功能。随着對區塊鍊技術研究的深入,近年來區塊鍊中越來越多的安全問題逐漸暴露出來,是以一些新的安全技術也被開發和引入到區塊鍊系統設計中,為區塊鍊的未來發展提供了可靠而靈活的安全保障。
下面主要介紹為保證區塊鍊多種安全功能而使用的基本安全技術以及為區塊鍊提供更多安全保障而開發和引入的安全增強技術。
1、混合加密
在實際系統應用中極少僅使用對稱加密或公鑰加密算法來保護資料機密性,而通常會采用融合了對稱和公鑰加密算法兩者優點的混合加密方式。由于區塊鍊系統自身的特點,其計算和存儲能力都是受限制的,是以不可能直接使用運算開銷較大的公鑰加密算法來保護鍊上的資料資訊,區塊鍊上存儲的也僅能是一些非常重要的資料而非使用者資料的全部。由此可見,混合加密方式尤其适用在區塊鍊場景下保護使用者資料機密性。一個混合加密算法可由下圖表示。
2、可搜尋加密
區塊鍊是一種去中心化的、分布式的資料存儲技術,其存儲資訊一般對區塊鍊節點是公開的,在基于區塊鍊的數字貨币系統中,交易記錄的資料通常也是公開的,沒有額外的資料保護方法。為了保護使用者的隐私資料,需要對隐私資料進行加密處理,以減少隐私洩露的風險,要求攻擊者無法從被洩密的加密隐私資料中得出明文資訊;同時,考慮資料的可用性,要求加密後的資料依然可以被其合法使用者所檢索、擷取和解密。為此,需要基于可搜尋加密技術構造區塊鍊資料隐私保護機制。該機制利用可搜尋加密技術實作對存儲在區塊鍊資料庫中的關鍵資料的加密及密文搜尋,提高了區塊鍊資料隐私保護能力,同時也保證了加密資料的可用性。
作為一種新型的密碼原語,可搜尋加密技術允許使用者在密文域上進行關鍵詞搜尋。當資料以密文方式存儲在雲伺服器上時,雲伺服器可以利用其強大計算能力對密文進行關鍵詞的檢索,且雲伺服器無法擷取除了密文是否包含搜素關鍵字以外的其他任何關于密文的資訊。這種方式不僅僅使使用者的隐私得到了有效保護,而且檢索效率也在伺服器的幫助下得到了大幅度提升。
3、安全多方計算
區塊鍊技術發展至今,特别是對于公有鍊而言,面臨着兩大困擾:一是公開資料帶來的隐私問題;二是鍊上無法進行高效計算處理的性能問題。隐私問題不但包括區塊鍊上記錄的交易資訊的隐私,還包括區塊鍊上記錄以及傳遞的其他資料的隐私;高性能的計算一直都是區塊鍊發展的一個瓶頸,在公有網絡中,大量節點需要對計算任務進行處理,以保證計算任務處理結果的準确性和不可修改性,但這樣做造成了嚴重的資源浪費和低效,同時,為了取得去中心化的效果,搭建節點的要求又不能太高,這一點又進一步影響了單個節點處理任務的能力。
4、差分隐私
差分隐私是一種比較強的隐私保護技術,滿足差分隐私的資料集能夠抵抗任何對隐私資料的分析,因為它具有資訊論意義上的安全性。差分隐私的基本思想是對原始資料、原始資料的轉換或是對原始資料的統計結果添加噪音來達到隐私保護效果。相比于傳統的隐私保護模型,差分隐私具有一些獨特的有點。首先,差分隐私不關心攻擊者所具有的背景知識;其次,差分隐私具有嚴謹的統計學模型,能夠提供可量化的隐私保證。
5、同态加密
使用同态加密技術可以允許運作在區塊鍊上的智能合約可以處理密文,而無法獲知真實資料,極大地提高了隐私安全性。對于區塊鍊網絡使用者來說,希望送出到區塊鍊網絡中的資料安全性能得以保證,尤其是重要敏感資料的安全性,應避免惡意的資訊洩露和篡改。同态加密技術能夠使使用者的密文資料在區塊鍊智能合約中密文運算,而非傳統的明文運算。這樣的優點是,使用者将交易資料送出到區塊鍊網絡之前,可使用相應的加密算法對交易資料進行加密,資料以密文的形式存在,即使被攻擊者擷取,也不會洩露使用者的任何隐私資訊,同時密文運算結果與明文運算結果一緻。
6 、通路控制
在區塊鍊系統中,通常是不希望系統資料是可以被所有使用者擷取和使用的,否則可能引發資料濫用問題;其次,如果資料是面向區塊鍊所有節點開放的,資料通路引發的廣播洪泛會對系統自身的資料處理帶來壓力,影響區塊鍊系統整體性能,而通路控制技術的引入恰好可以通過提前過濾不符合系統預設的通路控制政策的通路請求的方法解決上述問題。是以,無論是從資料安全性還是從系統效能的角度出發,通路控制都是必須使用的一種技術。
通路控制是對資訊資源進行保護的一種重要手段。它主要通過對通路行為的主體進行授權來控制主體對客體即資源的可操作屬性。一般情況下通路控制模型由主體、客體(資源〉、權限構成。主體可以是使用者或程式;權限就是對資源的操作;資源就是資訊系統中的網絡、資料。通路控制主要目的是保護資訊或網絡資源不被非授權的進行通路。