3dwoo大學簡體電腦書店
區塊鏈安全技術指南
( 簡體 字)
作者:黃連金 吳思進 曹鋒 季宙棟 馬臣云 達 摩 李恩典 徐浩銘 翁俊杰 編著類別:1. -> 程式設計 -> 區塊鏈
出版社:機械工業出版社區塊鏈安全技術指南 3dWoo書號: 49182
詢問書籍請說出此書號!
有庫存
NT售價: 345
出版日:6/1/2018
頁數:226
光碟數:0
站長推薦:
印刷:黑白印刷語系: ( 簡體 字 )
ISBN:9787111600367 加入購物車加到我的最愛 (請先登入會員)
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證, 繁體書的下載亦請直接連絡出版社)
作者簡介
序一 多邊界的區塊鏈安全防守
序二 區塊鏈安全觀之我見
序三 安全是區塊鏈發展和應用的基石
前言
第1章 詳解區塊鏈的安全屬性 1
1.1 保密性 2
1.1.1 比特幣的半匿名性 3
1.1.2 Hyperledger Fabric CA的動態交易證書 6
1.1.3 用零知識證明做數據加密 7
1.1.4 使用狀態通道讓數據不可見 10
1.1.5 同態加密 16
1.2 數據完整性分析 17
1.2.1 簽名與驗證 17
1.2.2 共識機制 17
1.2.3 數據上鏈 18
1.2.4 時間戳 18
1.2.5 開源 19
1.3 可用性 19
1.4 物理安全性 20
1.4.1 物聯網和安全性 20
1.4.2 區塊鏈和物聯網 21
1.5 本章小結 22
第2章 主流區塊鏈安全屬性分析 23
2.1 比特幣 23
2.2 以太幣 31
2.3 Zcash 34
2.4 本章小結 37
第3章 應用與智能合約層的安全控制 39
3.1 Web與移動客戶端應用安全 39
3.1.1 注入 39
3.1.2 失效的身份認證與會話管理 41
3.1.3 跨站腳本漏洞 42
3.1.4 不安全的直接對象引用 43
3.1.5 安全配置錯誤 45
3.1.6 敏感數據泄漏 46
3.1.7 功能級訪問控制缺失 47
3.1.8 跨站請求偽造 48
3.1.9 使用已知易受攻擊組件 49
3.1.10 未驗證的重定向和轉發 51
3.2 智能合約的安全 52
3.2.1 智能合約簡介 52
3.2.2 智能合約安全編碼的最佳實踐 54
3.2.3 智能合約的幾個安全漏洞 79
3.2.4 智能合約安全的開源工具 82
3.2.5 智能合約的形式化驗證 85
3.2.6 智能合約的虛擬機安全 86
3.2.7 智能合約的安全開發過程建議 90
3.2.8 從DevOps到DevSecOps:智能合約開發須知 91
3.3 智能合約中的身份管理與訪問控制 94
3.3.1 傳統身份管理與訪問控制系統的問題 94
3.3.2 智能合約的身份管理 95
3.3.3 身份鏈的定義和國外典型身份鏈的分析 97
3.3.4 身份鏈的生態系統 98
3.3.5 身份智能合約 99
3.3.6 區塊鏈落地的身份管理與訪問控制考慮 100
3.4 本章小結 101
第4章 激勵層安全機制設計 103
4.1 激勵的產生和分配 103
4.1.1 激勵機制價值 103
4.1.2 比特幣激勵 104
4.1.3 以太幣激勵 106
4.1.4 其他通證激勵 108
4.2 激勵層安全分析 111
4.2.1 通證激勵模式的安全隱患 111
4.2.2 通證激勵安全事件分析 112
4.2.3 通證激勵安全事件反思 115
4.2.4 通證激勵的法律風險 116
4.2.5 通證激勵的安全措施 118
4.3 本章小結 119
第5章 網絡層安全與控制 121
5.1 P2P加密 121
5.1.1 區塊鏈與P2P網絡的關系 121
5.1.2 區塊鏈上的P2P應用與加密 122
5.2 客戶端與節點通信加密(聯盟鏈) 126
5.2.1 惡意客戶端作惡方式及后果 126
5.2.2 P2P網絡安全機制 128
5.2.3 聯盟鏈如何確保客戶端和節點的可信任 129
5.2.4 主流聯盟鏈通信安全實現剖析 133
5.3 防御DDoS攻擊 138
5.3.1 例說DDoS攻擊危害與處理 139
5.3.2 區塊鏈網絡如何防御DDoS攻擊 142
5.4 本章小結 144
第6章 數據層與共識安全 145
6.1 區塊鏈數據加密技術的應用 145
6.1.1 如何使用這些加密技術形成區塊鏈 145
6.1.2 安全性闡述 149
6.2 數據傳輸 151
6.2.1 加密數據傳輸 151
6.2.2 數字證書的定義 152
6.2.3 超級賬本中CA的實現 152
6.3 區塊鏈交易簽名 163
6.3.1 數字簽名與交易安全 163
6.3.2 典型的數字簽名技術剖析 166
6.4 共識攻擊 168
6.5 區塊鏈安全性考慮 174
6.6 本章小結 175
第7章 私鑰的安全 177
7.1 私鑰安全的重要性 177
7.2 主流區塊鏈私鑰的使用方法和問題分析 178
7.3 私鑰保護的正確“姿勢” 184
7.4 硬件錢包介紹 185
7.5 移動錢包如何提升安全性 187
7.6 淺析私鑰更新、找回與吊銷 192
7.7 本章小結 194
附錄A 區塊鏈安全基礎概念、原理與分析方法 195
附錄B 區塊鏈的DAG技術和安全分析 211
附錄C 企業級數字資產保護 219
重量級區塊鏈安全專家聯合撰寫,知名專家聯袂推薦,條分縷析,透視應用層(智能合約)、激勵層、網絡層、數據層與共識、私鑰等維度的安全問題與防御。

第1章 從保密性、數據完整性、可用性、物理安全性方面對區塊鏈的安全屬性進行分析,穿插實例,以對區塊鏈的安全性有更深層次了解。

第2章 對比特幣、以太幣和Zcash的安全進行分析,以更具象化,對主流數字貨幣的代碼、密碼學算法有具體認識。

第3章 主要從Web/客戶端應用程序,智能合約,身份與訪問控制進行分析,有助于幫助讀者在開發相關內容方面提供參考。

第4章 分析激勵層安全機制設計,從激勵產生、分配、安全視角分析,避免區塊鏈激勵層安全事件的發生。

第5章 主要從P2P加密、客戶端與節點通信加密、防御DDoS攻擊進行分析,守住網絡安全。

第6章 詳解區塊鏈數據加密技術、數據傳輸、區塊鏈交易簽名、共識攻擊等,守住數據安全。

第7章 從私鑰使用方法、問題等方面分析,有效解決私鑰丟失、更新、找回與吊銷等問題,并對私鑰保護、硬件錢包等有所介紹。

附錄A分析區塊鏈安全基礎概念、原理與安全分析方法;附錄B介紹DAG概念、原理與主流項目;附錄C介紹區塊鏈企業級私鑰管理方法。
為什么要寫這本書

這本書的初衷是希望給區塊鏈項目提供一些安全方面的指導來改變目前區塊鏈項目匆匆上線,安全系數不高,安全問題層出不窮的現狀,也希望正在開發或將來需要開發的區塊鏈項目在安全方面給予足夠的重視。我們認為安全問題會是區塊鏈項目落地的主要絆腳石。一個不注意安全的區塊鏈項目,成功系數不會很高。區塊鏈有很好的安全屬性,比如數據不可篡改、數據不會丟失、可利用一些加密技術對數據進行加密等。但是從許多與區塊鏈有關的安全事件可以看出,區塊鏈的安全屬性不能保證區塊鏈項目百分之百安全。本書盡量從多個不同的方面,比較系統地對區塊鏈的安全進行分析,并且對區塊鏈項目落地所需要考慮的因素,提供一些建議。

本書特色

本書是為數不多系統性地闡述區塊鏈安全的書。

本書的主要特色是以深入淺出的形式講解區塊鏈的安全,便于讀者更好地理解為什么區塊鏈安全是一個重要的課題,以及如何解決某些區塊鏈的安全問題。

讀者對象

本書的讀者對象包括:

區塊鏈的開發者

區塊鏈安全的架構師

區塊鏈項目的主要技術負責人

其他對區塊鏈安全感興趣的人

如何閱讀本書

在閱讀過程中,讀者可以根據工作需要將某些章節多讀幾遍。因為章節與章節之間的依賴性不強,完全可以根據工作需要抽出重點來讀。

第1章詳解區塊鏈的安全屬性,主要從保密性、數據完整性、可用性、物理安全性4個方面對區塊鏈的安全屬性進行詳解。在分析過程中,本章穿插了一些實例,使得內容講解更為直觀、易懂。本章所介紹的內容,可以使讀者對區塊鏈的安全屬性有更深層次的了解,對做好區塊鏈的安全工作具有非常重要的參考價值。

由于區塊鏈的安全性分析極具抽象性,所以第2章特意挑選了一些主流數字貨幣(包括比特幣、以太幣和Zcash),對其安全屬性進行分析。通過本章的學習,讀者可以了解主流數字貨幣的代碼、密碼學算法以及“錢包”等,進一步加深對區塊鏈相關安全技術的認識。

第3章為應用與智能合約層的安全控制。本章主要從Web或者移動客戶端應用程序、智能合約,以及身份與訪問控制3個方面對安全問題進行分析。在當前信息技術快速發展的背景下,移動設備已經成為很多人上網的主要工具。為此,本章從一開始就對Web或者移動客戶端應用程序的安全性進行了分析,讓讀者對相關的危險因素有所了解。在智能合約的安全方面,主要從智能合約的概念、安全編碼、漏洞、開源工具等幾個方面進行了分析,為讀者在開發相關內容方面提供了重要的參考。在本章的最后,從多個方面對區塊鏈的身份管理與訪問控制進行了分析。通過對這部分內容的學習,讀者可以了解在開發區塊鏈的過程中,如何高效、安全地做好身份管理與訪問控制等工作。

第4章為激勵層安全機制設計。本章主要從激勵的產生和分配以及激勵層安全兩方面進行了分析。首先,分別借助比特幣、以太幣的激勵模式對激勵的產生和分配進行了分析,可以讓讀者對區塊鏈激勵層的存在有較為直觀的認識。在此基礎上,本章又從激勵模式的安全隱患、安全事件、法律風險以及安全措施等方面,對激勵層安全進行了分析,讓讀者了解安全對激勵層的重要性,以及如何設計才能有效避免區塊鏈激勵層安全事件的發生。

第5章為網絡層安全與控制。網絡層是區塊鏈的重要組成部分,能否做好安全與控制直接影響區塊鏈的價值。本章主要從P2P加密、客戶端與節點通信加密、防御DDoS攻擊3個方面進行了分析。通過對本章的學習,讀者可以對網絡層安全與控制的相關內容有全面的了解。這對開發過程中提高區塊鏈的安全性具有重要指導作用。

第6章為數據層與共識安全。數據層是區塊鏈設計的基礎部分,是影響區塊鏈能否正常運行的關鍵。本章主要從區塊鏈數據加密技術、數據傳輸、區塊鏈交易簽名、共識攻擊、區塊鏈安全性考慮5個方面進行分析。通過本章的學習,讀者可以了解關于數據層安全更多的知識。這對于提高區塊鏈的安全,保障區塊鏈的正常運行具有重要的參考價值。

第7章為私鑰的安全。本章從私鑰的重要性、使用方法、存在的問題等多個方面對私鑰的安全進行了全面的分析。通過對本章的學習,讀者可以對私鑰安全性在區塊鏈技術中的重要性有更深層次的認識,了解如何使用私鑰才能有效避免安全問題的出現以及私鑰的更新、找回與吊銷等。除此之外,本章還對私鑰保護的正確“姿勢”、硬件錢包等內容做了分析。有了這些內容的指導,讀者可以參考、拓展關于保障硬件錢包、移動錢包方面的設計思路,提高區塊鏈的安全性。

除了上述內容,本書還包括3個附錄。附錄A介紹的是區塊鏈安全基礎概念、原理與分析方法,可以更好地理解區塊鏈。當制定區塊鏈安全性測試標準時,可以適當地參考、借鑒。附錄B主要介紹DAG的基本概念、原理與主流項目,從中可以了解DAG給區塊鏈安全帶來的價值和影響。附錄C介紹區塊鏈私鑰管理的一種方法,主要用于企業級數字資產的安全。

勘誤和支持

本書從不同的角度來闡述區塊鏈安全,拋磚引玉。我們不能說這本書包含了區塊鏈項目落地需要考慮的所有安全因素,因為不可能面面俱到。區塊鏈目前尚處于初級的技術發展階段,新的安全隱患和新的安全措施會在發展的過程之中不斷涌現。我們希望這本書是“活著”的書,通過不斷地修訂,盡量把新的內容添加到這本書,也歡迎區塊鏈安全專家在這方面給我們多提一些意見。

本書不是從空中樓閣造出來的,我們參閱了大量網絡公開的內容,并且引用了很多區塊鏈安全專家在不同新聞媒體或者網絡所刊登的內容以及個別面對面的交流信息。對于被引用的內容或者面對面交流的信息,我們盡量與各位專家進行了溝通,并且獲得了同意,比如NEO創始人、OnChain創始人及CEO達鴻飛,NEO創始人兼核心開發者張錚文,上交所技術有限責任公司架構師朱立,復雜美CTO王志文,元界CEO顧穎(初夏虎),元界CTO陳浩,公信寶CEO黃敏強,Dfinity CEO丁磊(Tom Ding)等。不過,仍有可能某些內容與網上公開的內容存在類似或雷同之處,在所難免,敬請諒解。如果在閱讀本書的過程中發現有類似的內容,請及時與我們聯系,我們會在修訂版中增加引用的出處。

致謝

在這里,首先要感謝高婧雅編輯,她從一開始便對本書高度重視,在寫作過程中不斷鼓勵我們。在北京的一次會議上,高編輯和我基本上擬訂了這本書的架構和一些基本內容,并且以后又經過幾次優化,才有現在這本書的框架。

非常感謝本書所有的作者,他們在百忙之中抽出時間寫了這本書,并且經過多次修改。應該說沒有這些作者的貢獻,就不會有這本書。

感謝深圳市微風智聯科技有限公司的李恩典和梁福彬,他們非常有啟發意義的討論和對我負責寫作的內容的多次修改,是我完成寫作的最大助力。

非常感謝世界銀行集團首席信息安全官、區塊鏈實驗室負責人林儒明先生,他不僅為本書做序,還在寫作過程中不斷鼓勵我們,多次提供良好的建議。

中國萬向控股有限公司副董事長、萬向區塊鏈實驗室董事長兼總經理肖風博士對本書的構思和一開始的概念提出了很多寶貴意見,給予我們很大的幫助,同時還為本書作序,在此也表示感謝。

北京理工大學計算機學院副院長、網絡與信息安全學科方向責任教授祝烈煌也為本書作序,在這里表示誠摯的感謝。

中國電子技術標準化研究院區塊鏈研究室主任李鳴為本書寫了推薦語,在此也表示感謝。

本書一共有9位作者,在著作委托書的聯合簽名上,我們第一次使用了區塊鏈技術。感謝北京信任度科技有限公司CEO馬臣云(也是本書的作者)的大力支持,我們利用該公司的信簽電子合同簽署平臺非常快捷地完成了多人的電子簽名。簽署后的文檔存儲在由第三方CA機構、司法鑒定中心等組建的可信聯盟鏈上。
黃連金
pagetop