區塊鏈安全技術(shù)指南簡(jiǎn)介，目錄書(shū)摘

內容簡(jiǎn)介:本書(shū)根據工信部五層架構來(lái)逐層分析區塊鏈各層安全問(wèn)題，并結合經(jīng)典案例，講解區塊鏈安全中的理論、技術(shù)與實(shí)踐。從總體上講解區塊鏈的定義，安全屬性等。第2章從技術(shù)角度分析主流區塊鏈的安全屬性。第3～7章從應用層與智能合約、激勵層、網(wǎng)絡(luò )層、數據層與共識、私鑰安全層面剖析安全隱患與防范措施。

作者簡(jiǎn)介:黃連金　硅谷Dynamic Fintech Group管理合伙人、聯(lián)合國旗下世界區塊鏈組織（WBO）首席技術(shù)官、美國 ACM Practitioner Board 委員、美國分布式商業(yè)應用公司CEO和創(chuàng )始人、中國電子學(xué)會(huì )區塊鏈專(zhuān)家委員、中國人大特聘研究員與講師、美國CISSP專(zhuān)家、CyberVein 總顧問(wèn)，多個(gè)成功區塊鏈項目技術(shù)顧問(wèn)。曾就職于美國CGI公司18年，任CGI安全技術(shù)總監、CGI云安全主管和首席安全架構師等職務(wù)，創(chuàng )建了CGI聯(lián)邦身份管理和網(wǎng)絡(luò )安全能力中心。在CGI工作時(shí)，曾經(jīng)為美國聯(lián)邦政府、金融機構和公用事業(yè)公司提供金融、人工智能、區塊鏈、安全等方面的專(zhuān)家咨詢(xún)。曾多次在國內外大型區塊鏈峰會(huì )擔任嘉賓、評委、培訓專(zhuān)家。

吳思進(jìn)　33復雜美創(chuàng )始人及CEO，浙大本科碩士畢業(yè)，金融數據專(zhuān)家，精通量化交易及區塊鏈，主導多家世界500強區塊鏈項目落地。2014年申請區塊鏈發(fā)明專(zhuān)利，2項已授權，目前累計申請專(zhuān)利50多項，全球區塊鏈專(zhuān)利排名前十，主要區塊鏈項目有供應鏈金融、供應鏈管理、積分、錢(qián)包、交易所。

曹鋒　PCHAIN發(fā)起人，中物聯(lián)區塊鏈協(xié)會(huì )首席科學(xué)家。中國早期區塊鏈國際專(zhuān)利發(fā)明人，ChinaLedger共同發(fā)起人，2016年完成全球區塊鏈資產(chǎn)收益權轉讓暨中國區塊鏈金融真實(shí)交易。曾擔任IBM全球下一代人機大戰中國區負責人、互聯(lián)網(wǎng)金融首席科學(xué)家、專(zhuān)利評審委員會(huì )聯(lián)合主席；3次獲得IBM全球杰出技術(shù)成就獎，發(fā)表22篇國際論文，30余項美國專(zhuān)利，并擔任多個(gè)ACM IEEE國際會(huì )議論壇主席。

季宙棟　Onchain分布科技首席戰略官，本體聯(lián)合創(chuàng )始人，（工信部）中國區塊鏈技術(shù)與產(chǎn)業(yè)發(fā)展論壇副秘書(shū)長(cháng)，中國電子學(xué)會(huì )區塊鏈專(zhuān)委會(huì )委員，ISO/IEC TC307中國代表團成員，參與本體論、身份和隱私保護等標準組。作為區塊鏈行業(yè)的專(zhuān)家，參與了工信部區塊鏈白皮書(shū)及相關(guān)標準編制工作。

馬臣云　北京信任度科技CEO、信息安全專(zhuān)家、產(chǎn)品管理專(zhuān)家，電子認證與簽名行業(yè)15年從業(yè)經(jīng)驗。主要方向是密碼學(xué)、區塊鏈、身份認證、電子簽名。曾獲得省部級科技進(jìn)步二等獎（國家密碼局）、首都五一勞動(dòng)獎?wù)?、全國五一勞?dòng)獎?wù)碌?，是電子簽章技術(shù)、基于人臉識別的身份認證安全技術(shù)、互聯(lián)網(wǎng)金融個(gè)人借貸電子合同安全技術(shù)等標準的起草人。著(zhù)有《精通PKI網(wǎng)絡(luò )安全認證技術(shù)與編程實(shí)現》。網(wǎng)絡(luò )ID：非信息安全磚家。
達摩　BOX.LA項目發(fā)起人，原唯鏈COO，參與了眾多知名區塊鏈項目的早期投資。

李恩典　美國分布式商業(yè)應用公司董事與中國區總裁、深圳市微風(fēng)智聯(lián)科技有限公司董事長(cháng)、區塊鏈軟件和金融行業(yè)應用研發(fā)專(zhuān)家。15年以上金融安全研發(fā)經(jīng)驗，在區塊鏈存儲、大數據平臺、物聯(lián)網(wǎng)平臺和金融系統核心等領(lǐng)域均有領(lǐng)先的技術(shù)成果和豐富的產(chǎn)品技術(shù)實(shí)戰經(jīng)驗，并擁有近10項相關(guān)領(lǐng)域發(fā)明專(zhuān)利。

徐浩銘　CyberVein數脈鏈項目技術(shù)負責人，負責區塊鏈平臺架構和搭建。曾就職于歐洲微軟研發(fā)中心，負責Office項目開(kāi)發(fā)。畢業(yè)于英國劍橋大學(xué)，主要研究方向為機器學(xué)習在生物信息學(xué)領(lǐng)域的應用；曾在美國卡內基-梅隆大學(xué)訪(fǎng)學(xué)，主要研究方向為機器視覺(jué)在無(wú)人駕駛中的應用；曾在美國杜克大學(xué)訪(fǎng)學(xué)，研究領(lǐng)域為深度學(xué)習在生物醫學(xué)工程中的應用。在SCI和EI檢索雜志上發(fā)表多篇文章。

翁俊杰　IBM 10余年開(kāi)發(fā)及解決方案經(jīng)驗，批Fabric應用開(kāi)發(fā)者，NEO核心開(kāi)發(fā)者之一，Onchain DNA聯(lián)盟鏈的架構設計與核心開(kāi)發(fā)人員，Ontology（本體）區塊鏈開(kāi)發(fā)團隊負責人。在票據、供應鏈、積分、征信、數據交易、共享金融等多個(gè)領(lǐng)域有區塊鏈應用經(jīng)驗。

目錄:作者簡(jiǎn)介
序一　多邊界的區塊鏈安全防守
序二　區塊鏈安全觀(guān)之我見(jiàn)
序三　安全是區塊鏈發(fā)展和應用的基石
前言
第1章　詳解區塊鏈的安全屬性 1
1.1　保密性 2
1.1.1　比特幣的半匿名性 3
1.1.2　Hyperledger Fabric CA的動(dòng)態(tài)交易證書(shū) 6
1.1.3　用零知識證明做數據加密 7
1.1.4　使用狀態(tài)通道讓數據不可見(jiàn) 10
1.1.5　同態(tài)加密 16
1.2　數據完整性分析 17
1.2.1　簽名與驗證 17
1.2.2　共識機制 17
1.2.3　數據上鏈 18
1.2.4　時(shí)間戳 18
1.2.5　開(kāi)源 19
1.3　可用性 19
1.4　物理安全性 20
1.4.1　物聯(lián)網(wǎng)和安全性 20
1.4.2　區塊鏈和物聯(lián)網(wǎng) 21
1.5　本章小結 22
第2章　主流區塊鏈安全屬性分析 23
2.1　比特幣 23
2.2　以太幣 31
2.3　Zcash 34
2.4　本章小結 37
第3章　應用與智能合約層的安全控制 39
3.1　Web與移動(dòng)客戶(hù)端應用安全 39
3.1.1　注入 39
3.1.2　失效的身份認證與會(huì )話(huà)管理 41
3.1.3　跨站腳本漏洞 42
3.1.4　不安全的直接對象引用 43
3.1.5　安全配置錯誤 45
3.1.6　敏感數據泄漏 46
3.1.7　功能級訪(fǎng)問(wèn)控制缺失 47
3.1.8　跨站請求偽造 48
3.1.9　使用已知易受攻擊組件 49
3.1.10　未驗證的重定向和轉發(fā) 51
3.2　智能合約的安全 52
3.2.1　智能合約簡(jiǎn)介 52
3.2.2　智能合約安全編碼的最佳實(shí)踐 54
3.2.3　智能合約的幾個(gè)安全漏洞 79
3.2.4　智能合約安全的開(kāi)源工具 82
3.2.5　智能合約的形式化驗證 85
3.2.6　智能合約的虛擬機安全 86
3.2.7　智能合約的安全開(kāi)發(fā)過(guò)程建議 90
3.2.8　從DevOps到DevSecOps：智能合約開(kāi)發(fā)須知 91
3.3　智能合約中的身份管理與訪(fǎng)問(wèn)控制 94
3.3.1　傳統身份管理與訪(fǎng)問(wèn)控制系統的問(wèn)題 94
3.3.2　智能合約的身份管理 95
3.3.3　身份鏈的定義和國外典型身份鏈的分析 97
3.3.4　身份鏈的生態(tài)系統 98
3.3.5　身份智能合約 99
3.3.6　區塊鏈落地的身份管理與訪(fǎng)問(wèn)控制考慮 100
3.4　本章小結 101
第4章　激勵層安全機制設計 103
4.1　激勵的產(chǎn)生和分配 103
4.1.1　激勵機制價(jià)值 103
4.1.2　比特幣激勵 104
4.1.3　以太幣激勵 106
4.1.4　其他通證激勵 108
4.2　激勵層安全分析 111
4.2.1　通證激勵模式的安全隱患 111
4.2.2　通證激勵安全事件分析 112
4.2.3　通證激勵安全事件反思 115
4.2.4　通證激勵的法律風(fēng)險 116
4.2.5　通證激勵的安全措施 118
4.3　本章小結 119
第5章　網(wǎng)絡(luò )層安全與控制 121
5.1　P2P加密 121
5.1.1　區塊鏈與P2P網(wǎng)絡(luò )的關(guān)系 121
5.1.2　區塊鏈上的P2P應用與加密 122
5.2　客戶(hù)端與節點(diǎn)通信加密（聯(lián)盟鏈） 126
5.2.1　惡意客戶(hù)端作惡方式及后果 126
5.2.2　P2P網(wǎng)絡(luò )安全機制 128
5.2.3　聯(lián)盟鏈如何確?？蛻?hù)端和節點(diǎn)的可信任 129
5.2.4　主流聯(lián)盟鏈通信安全實(shí)現剖析 133
5.3　防御DDoS攻擊 138
5.3.1　例說(shuō)DDoS攻擊危害與處理 139
5.3.2　區塊鏈網(wǎng)絡(luò )如何防御DDoS攻擊 142
5.4　本章小結 144
第6章　數據層與共識安全 145
6.1　區塊鏈數據加密技術(shù)的應用 145
6.1.1　如何使用這些加密技術(shù)形成區塊鏈 145
6.1.2　安全性闡述 149
6.2　數據傳輸 151
6.2.1　加密數據傳輸 151
6.2.2　數字證書(shū)的定義 152
6.2.3　超級賬本中CA的實(shí)現 152
6.3　區塊鏈交易簽名 163
6.3.1　數字簽名與交易安全 163
6.3.2　典型的數字簽名技術(shù)剖析 166
6.4　共識攻擊 168
6.5　區塊鏈安全性考慮 174
6.6　本章小結 175
第7章　私鑰的安全 177
7.1　私鑰安全的重要性 177
7.2　主流區塊鏈私鑰的使用方法和問(wèn)題分析 178
7.3　私鑰保護的正確“姿勢” 184
7.4　硬件錢(qián)包介紹 185
7.5　移動(dòng)錢(qián)包如何提升安全性 187
7.6　淺析私鑰更新、找回與吊銷(xiāo) 192
7.7　本章小結 194
附錄A　區塊鏈安全基礎概念、原理與分析方法 195
附錄B　區塊鏈的DAG技術(shù)和安全分析 211
附錄C　企業(yè)級數字資產(chǎn)保護 219