區(qū)塊鏈技術(shù)原理與應(yīng)用 課件 項(xiàng)目6、7 新一代區(qū)塊鏈的安全技術(shù)、共識(shí)機(jī)制

項(xiàng)目6：新一代區(qū)塊鏈安全技術(shù)項(xiàng)目6任務(wù)16：體驗(yàn)新一代區(qū)塊鏈安全技術(shù)1數(shù)字簽名2數(shù)字加解密3文件加解密目錄CONTENTS新一代區(qū)塊鏈網(wǎng)站54上鏈知識(shí)導(dǎo)圖知識(shí)目標(biāo)教學(xué)目標(biāo)掌握新一代區(qū)塊鏈的數(shù)字簽名方法掌握新一代區(qū)塊鏈數(shù)字及文件加解密方法掌握新一代區(qū)塊鏈數(shù)據(jù)及文件上鏈的方法了解新一代區(qū)塊鏈的網(wǎng)閘能力目標(biāo)素質(zhì)目標(biāo)認(rèn)真的學(xué)習(xí)態(tài)度追根溯源的學(xué)習(xí)精神刻苦鉆研的精神教學(xué)目標(biāo)能夠使用函數(shù)進(jìn)行數(shù)字簽名能夠使用函數(shù)對(duì)文件進(jìn)行加解密能夠完成數(shù)據(jù)、文件的數(shù)據(jù)上鏈1數(shù)字簽名2數(shù)字加解密3文件加解密目錄CONTENTS新一代區(qū)塊鏈網(wǎng)站54上鏈1.數(shù)字簽名數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換，用來保證信息傳輸?shù)耐暾?、認(rèn)證發(fā)送者的身份以及防止發(fā)送者對(duì)消息進(jìn)行抵賴。具體來說，數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，加上接收者的公鑰，與原文一起傳送給接收者，接收者通過自己的私鑰解密被加密的摘要信息，再通過發(fā)送者的公鑰驗(yàn)證消息的來源，數(shù)字簽名流程如圖所示。1.數(shù)字簽名采用哈希函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要信息與解密的摘要信息對(duì)比，如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗(yàn)證信息的完整性。數(shù)字簽名與驗(yàn)證基于公鑰密碼體制，公鑰密碼體制中包含一對(duì)公私鑰，私鑰作為簽名密鑰，公鑰作為驗(yàn)證密鑰。簽名驗(yàn)證算法通常包含三個(gè)具體的算法函數(shù)，即密鑰生成算法（KeyGen）、簽名算法（Sign）和驗(yàn)證算法（Verify）。1.數(shù)字簽名新一代區(qū)塊鏈系統(tǒng)提供信息簽名函數(shù)，用來實(shí)現(xiàn)數(shù)字簽名功能，該函數(shù)能夠?qū)ξ谋拘畔⑦M(jìn)行數(shù)字簽名，只有一個(gè)參數(shù)，返回簽名密文，語法格式如下：信息簽名（需要簽名的文本信息）若需要查看已簽名的信息密文，可以用閱讀公開信息函數(shù)進(jìn)行解密，參數(shù)為信息簽名者的公鑰和信息密文，結(jié)果返回明文，語法格式如下：閱讀公開信息（簽名者的公鑰，信息密文）若需要將某條信息指定給某個(gè)用戶，可以使用信息指定函數(shù)，用來對(duì)指定用戶進(jìn)行文本信息加密，參數(shù)為目標(biāo)用戶名稱、需要加密的文本信息，結(jié)果返回密文，語法格式如下：信息指定（用戶名，需要加密的文本信息）1數(shù)字簽名2數(shù)字加解密3文件加解密目錄CONTENTS新一代區(qū)塊鏈網(wǎng)站54上鏈2.數(shù)字加解密數(shù)字加密數(shù)字加密是指使用自定義密碼加密文本信息。新一代區(qū)塊鏈中提供加密信息函數(shù)，參數(shù)為密碼和需要加密的文本信息，結(jié)果返回密文，語法格式如下：加密信息（密碼，要加密的文本信息）2.1數(shù)字加解密數(shù)字解密數(shù)字加密是指使用指定密碼解密密文。新一代區(qū)塊鏈中提供解密信息函數(shù)，參數(shù)為密碼和需要解密的密文，結(jié)果返回明文，語法格式如下：解密信息（密碼，密文）1數(shù)字簽名2數(shù)字加解密3文件加解密目錄CONTENTS新一代區(qū)塊鏈網(wǎng)站54上鏈3.文件加解密加密文件加密文件函數(shù)能夠使用自定義密碼加密指定的本地文件，參數(shù)為密碼、文件源路徑和文件目標(biāo)路徑，需要注意的是，加密前需確保預(yù)言合約服務(wù)器上存在對(duì)應(yīng)的文件，且文件路徑不能指向C盤根目錄，因此，需要讀者部署預(yù)言合約服務(wù)器到本機(jī)，通過本機(jī)預(yù)言合約服務(wù)器連接到主鏈，加密文件函數(shù)語法格式如下：加密文件（密碼，源文件路徑，目標(biāo)文件路徑）3.1文件加密3.文件加解密解密文件解密文件函數(shù)能夠使用指定密碼解密被加密的本地文件，參數(shù)為密碼、文件源路徑、文件目標(biāo)路徑，源文件指需要解密的文件，目標(biāo)文件指解密之后的文件，文件路徑不能指向C盤根目錄，語法格式如下：解密文件（密碼，源文件路徑，目標(biāo)文件路徑）3.2文件解密1數(shù)字簽名2數(shù)字加解密3文件加解密目錄CONTENTS新一代區(qū)塊鏈網(wǎng)站54上鏈4.上鏈上鏈?zhǔn)侵缸屝畔⑦M(jìn)入到區(qū)塊鏈上，新一代區(qū)塊鏈系統(tǒng)信息上鏈會(huì)將上鏈信息進(jìn)行加密，通過準(zhǔn)備和上鏈兩個(gè)階段完成，包括數(shù)據(jù)上鏈和文件上鏈兩種類型。數(shù)據(jù)上鏈數(shù)據(jù)上鏈?zhǔn)侵肝谋拘畔⑸湘?，將需要上鏈的文本信息放入?zhǔn)備數(shù)據(jù)函數(shù)中，然后再調(diào)用數(shù)據(jù)上鏈函數(shù)即可完成數(shù)據(jù)的上鏈，需要注意的是不能上鏈一個(gè)空數(shù)據(jù)。4.1數(shù)據(jù)上鏈準(zhǔn)備數(shù)據(jù)（上鏈數(shù)據(jù)）數(shù)據(jù)上鏈（）上鏈成功之后，會(huì)返回哈希值、區(qū)塊高度和業(yè)務(wù)名稱（如果有），上述信息可以通過顯示信息函數(shù)打印到控制臺(tái)。4.上鏈上鏈?zhǔn)侵缸屝畔⑦M(jìn)入到區(qū)塊鏈上，新一代區(qū)塊鏈系統(tǒng)信息上鏈會(huì)將上鏈信息進(jìn)行加密，通過準(zhǔn)備和上鏈兩個(gè)階段完成，包括數(shù)據(jù)上鏈和文件上鏈兩種類型。文件上鏈文件上鏈指將文件上鏈，將需要上鏈的文件路徑放入準(zhǔn)備文件函數(shù)中，然后再調(diào)用文件上鏈函數(shù)即可完成文件的上鏈。4.1數(shù)據(jù)上鏈準(zhǔn)備數(shù)據(jù)（上鏈文件）文件上鏈（）上鏈成功之后，如果區(qū)塊鏈存在哈希值、區(qū)塊高度或業(yè)務(wù)名稱（如果有）等信息，可以通過顯示信息函數(shù)打印到控制臺(tái)。1數(shù)字簽名2數(shù)字加解密3文件加解密目錄CONTENTS新一代區(qū)塊鏈網(wǎng)站54上鏈6.新一代區(qū)塊鏈網(wǎng)閘網(wǎng)閘全稱是安全隔離網(wǎng)閘，是一種由帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，由軟件與硬件共同組成，包括外部處理單元、內(nèi)部處理單元和隔離硬件，能夠保證網(wǎng)絡(luò)間數(shù)據(jù)交換的高安全性。網(wǎng)閘主要解決目前網(wǎng)絡(luò)安全中存在的對(duì)操作系統(tǒng)的依賴和對(duì)TCP/IP協(xié)議的依賴問題，以及通信連接問題和應(yīng)用協(xié)議漏洞。與普通的防火墻不同的是，網(wǎng)閘是在保證必須安全的前提下，盡可能互聯(lián)互通，若不安全則隔離斷開。網(wǎng)閘結(jié)構(gòu)如圖所示。6.1網(wǎng)閘結(jié)構(gòu)6.新一代區(qū)塊鏈網(wǎng)閘新一代區(qū)塊鏈系統(tǒng)的網(wǎng)閘集成在系統(tǒng)安全模塊中，由防火墻進(jìn)程、web服務(wù)器數(shù)據(jù)緩沖區(qū)、行為識(shí)別區(qū)域和區(qū)塊鏈節(jié)點(diǎn)服務(wù)器數(shù)據(jù)緩沖區(qū)四部分組成。網(wǎng)閘在系統(tǒng)中的位置如圖所示6.2網(wǎng)閘在系統(tǒng)中的位置6.新一代區(qū)塊鏈網(wǎng)閘新一代區(qū)塊鏈系統(tǒng)利用存儲(chǔ)轉(zhuǎn)發(fā)的方法對(duì)通過網(wǎng)閘的應(yīng)用數(shù)據(jù)進(jìn)行安全管理和交換轉(zhuǎn)發(fā)。由于大部分木馬程序都是基于TCP進(jìn)行攻擊和傳播的，而新一代區(qū)塊鏈的網(wǎng)閘無需傳輸層即可進(jìn)行數(shù)據(jù)交換和轉(zhuǎn)發(fā)，因此能夠很好地防止絕大多數(shù)木馬的攻擊和病毒的感染，從而顯著地提高區(qū)塊鏈系統(tǒng)整體的安全性。6.2網(wǎng)閘在系統(tǒng)中的位置任務(wù)實(shí)施LOGO詳細(xì)步驟請(qǐng)參考教材任務(wù)14的任務(wù)實(shí)施部分謝謝觀看項(xiàng)目7：共識(shí)機(jī)制項(xiàng)目7任務(wù)15：體驗(yàn)百分百共識(shí)機(jī)制任務(wù)16：體驗(yàn)基于通道的高可伸縮百分百共識(shí)機(jī)制1共識(shí)機(jī)制概述2常用共識(shí)機(jī)制3百分百共識(shí)機(jī)制目錄CONTENTS新一代區(qū)塊鏈系統(tǒng)搭建通道54基于通道的高可伸縮共識(shí)機(jī)制知識(shí)導(dǎo)圖知識(shí)目標(biāo)教學(xué)目標(biāo)了解共識(shí)機(jī)制的概念和作用掌握百分百共識(shí)機(jī)制原理掌握自定義基于通道的百分百共識(shí)機(jī)制方法能力目標(biāo)素質(zhì)目標(biāo)認(rèn)真的學(xué)習(xí)態(tài)度追根溯源的學(xué)習(xí)精神刻苦鉆研的精神教學(xué)目標(biāo)能夠使用百分百共識(shí)機(jī)制能夠搭建通道1共識(shí)機(jī)制概述2常用共識(shí)機(jī)制3百分百共識(shí)機(jī)制目錄CONTENTS新一代區(qū)塊鏈系統(tǒng)搭建通道54基于通道的高可伸縮共識(shí)機(jī)制1.共識(shí)機(jī)制概述所謂的共識(shí)機(jī)制是指在多個(gè)互不信任的節(jié)點(diǎn)之間對(duì)某個(gè)狀態(tài)達(dá)成一致結(jié)果所依賴的機(jī)制，主要用來選擇采用哪個(gè)節(jié)點(diǎn)進(jìn)行記賬并確保交易完成的技術(shù)手段。共識(shí)機(jī)制是區(qū)塊鏈技術(shù)的核心，由于區(qū)塊鏈中所有節(jié)點(diǎn)共同參與記賬，共識(shí)機(jī)制使得區(qū)塊鏈這樣一個(gè)去中心化的賬本系統(tǒng)成為可能。1共識(shí)機(jī)制概述2常用共識(shí)機(jī)制3百分百共識(shí)機(jī)制目錄CONTENTS新一代區(qū)塊鏈系統(tǒng)搭建通道54基于通道的高可伸縮共識(shí)機(jī)制2.常用共識(shí)機(jī)制工作量證明共識(shí)機(jī)制PoW機(jī)制由MarkusJakobssonheAriJuelstzai1993年的學(xué)術(shù)論文中首次提出，可以簡(jiǎn)單理解為一份用來確認(rèn)你做了一定量的工作的證明。PoW機(jī)制是比特幣、萊特幣等所采用的共識(shí)機(jī)制，礦工通過付出一定的算力來挖礦進(jìn)而獲得相應(yīng)的區(qū)塊獎(jiǎng)勵(lì)。在數(shù)字貨幣系統(tǒng)中，采用工作量證明機(jī)制原理設(shè)計(jì)出一種通過解數(shù)學(xué)題的方式來證明完成了一定的工作量的模式，主要通過計(jì)算來猜測(cè)一個(gè)隨機(jī)數(shù)，使它拼湊交易數(shù)據(jù)后的內(nèi)容的哈希（Hash）值滿足一個(gè)規(guī)定的上限。2.常用共識(shí)機(jī)制權(quán)益證明共識(shí)機(jī)制PoS機(jī)制由QuantumMechanic于2011年在bitcointalk首次提出，主要是針對(duì)工作量證明機(jī)制存在的不足而設(shè)計(jì)出來的一種改進(jìn)型共識(shí)機(jī)制。與工作量證明機(jī)制要求節(jié)點(diǎn)不斷進(jìn)行哈希計(jì)算來驗(yàn)證交易有效性的機(jī)制不同，不需要證明你在記賬前做了多少工作，而是證明你自己擁有一定數(shù)量的數(shù)字貨幣的所有權(quán)，即“權(quán)益”，誰的權(quán)益大，誰的記賬概率就越大，其算法公式為：hash(block_header)<=target*coinage優(yōu)點(diǎn)：節(jié)能環(huán)保、性能高、安全性高，不用擔(dān)心算力集中導(dǎo)致中心化出現(xiàn)，也能夠避免貨幣緊縮。2.常用共識(shí)機(jī)制授權(quán)權(quán)益證明機(jī)制DPoS機(jī)制由DanielLarimer于2014年提出，能夠進(jìn)一步加快交易速度、同時(shí)解決PoS中節(jié)點(diǎn)離線也能累積幣齡的安全問題，是一種全新的保障加密貨幣網(wǎng)絡(luò)安全的算法。優(yōu)點(diǎn)：能耗低、去中心化程度強(qiáng)、確認(rèn)速度更快。缺點(diǎn)：投票需要時(shí)間、精力及技能的投入，投票的積極性比較低。對(duì)于壞節(jié)點(diǎn)，社區(qū)的選舉不能實(shí)時(shí)的有效阻止，容易造成網(wǎng)絡(luò)的安全隱患。2.常用共識(shí)機(jī)制驗(yàn)證池共識(shí)機(jī)制Pool驗(yàn)證池基于傳統(tǒng)的分布式一致性技術(shù)建立，并輔之以數(shù)據(jù)驗(yàn)證機(jī)制，也是區(qū)塊鏈中廣泛使用的一種共識(shí)機(jī)制。Pool驗(yàn)證池不需要依賴代幣就可以工作，在成熟的分布式一致性算法例如Pasox、Raft基礎(chǔ)之上，可以實(shí)現(xiàn)秒級(jí)共識(shí)驗(yàn)證，更適合有多方參與的多中心商業(yè)模式。不過，Pool驗(yàn)證池也存在一些不足，例如該共識(shí)機(jī)制能夠?qū)崿F(xiàn)的分布式程度不如PoW機(jī)制等。1共識(shí)機(jī)制概述2常用共識(shí)機(jī)制3百分百共識(shí)機(jī)制目錄CONTENTS新一代區(qū)塊鏈系統(tǒng)搭建通道54基于通道的高可伸縮共識(shí)機(jī)制3.百分百共識(shí)機(jī)制百分百共識(shí)機(jī)制由辰宜科技公司于2018年提出，公司推出新一代區(qū)塊鏈系統(tǒng)之際，同時(shí)也對(duì)區(qū)塊鏈中的共識(shí)算法進(jìn)行了顛覆式變革。百分百共識(shí)機(jī)制既能消除PoW中算力攻擊的風(fēng)險(xiǎn)，同時(shí)又將算力冗余大幅度降下來。同時(shí)，隨著節(jié)點(diǎn)數(shù)量越多，冗余降低的幅度越大。其原理如圖所示。3.百分百共識(shí)機(jī)制CA服務(wù)器會(huì)為每個(gè)通道和每個(gè)用戶頒發(fā)CA證書，且每個(gè)節(jié)點(diǎn)服務(wù)器均有自動(dòng)驗(yàn)算機(jī)制。通過CA驗(yàn)證之后，以超級(jí)賬本即通道入口的第一個(gè)節(jié)點(diǎn)的最新哈希值作為區(qū)塊的前置哈希，結(jié)合隨機(jī)數(shù)生成新的區(qū)塊，同時(shí)通道將用戶與節(jié)點(diǎn)的CA證書公鑰與新區(qū)塊打包成數(shù)據(jù)塊進(jìn)行全網(wǎng)廣播。當(dāng)其他節(jié)點(diǎn)接收到該區(qū)塊時(shí)，首先比較區(qū)塊的前置哈希與節(jié)點(diǎn)賬本中的最新哈希是否一致，若不一致則向網(wǎng)絡(luò)請(qǐng)求尋找新的賬本提供者，并將該錯(cuò)誤賬本源節(jié)點(diǎn)列入黑名單，使之失去可信任性。若前置區(qū)塊與當(dāng)前賬本的最新區(qū)塊一致，則計(jì)算該區(qū)塊數(shù)據(jù)與隨機(jī)數(shù)的哈希值。驗(yàn)算所得哈希值與通道廣播的哈希值是否一致，若一致則繼續(xù)驗(yàn)算用戶與節(jié)點(diǎn)的數(shù)字簽名是否一致，若一致則將該區(qū)塊寫入當(dāng)前節(jié)點(diǎn)的賬本中。若不一致則重新向通道申請(qǐng)賬本數(shù)據(jù)。每個(gè)節(jié)點(diǎn)在記賬時(shí)都需要經(jīng)過以上步驟，從而得到全員一致認(rèn)可，達(dá)到百分百共識(shí)的目的。3.百分百共識(shí)機(jī)制優(yōu)點(diǎn)：1、通過CA保證賬本的來源。2、全面棄用51%、70%等共識(shí)算法機(jī)制，必須得到全員的認(rèn)可，區(qū)塊通過遞歸認(rèn)證、遞歸算法保障賬本正確性。3、只要一個(gè)賬本節(jié)點(diǎn)是正確的，其他節(jié)點(diǎn)的賬本就是正確的。任務(wù)實(shí)施LOGO詳細(xì)步驟請(qǐng)參考教材任務(wù)15的任務(wù)實(shí)施部分1共識(shí)機(jī)制概述2常用共識(shí)機(jī)制3百分百共識(shí)機(jī)制目錄CONTENTS新一代區(qū)塊鏈系統(tǒng)搭建通道54基于通道的高可伸縮共識(shí)機(jī)制4.基于通道的高可伸縮百分百共識(shí)機(jī)制原理基于通道的高可伸縮百分百共識(shí)機(jī)制是在百分百共識(shí)機(jī)制的基礎(chǔ)上，結(jié)合區(qū)塊鏈通道技術(shù)，將同一個(gè)區(qū)塊在若干個(gè)通道進(jìn)行上鏈，使得通道間再次達(dá)到百分百共識(shí)的機(jī)制。其中，通道的個(gè)數(shù)根據(jù)數(shù)據(jù)安全要求的級(jí)別進(jìn)行自定義，設(shè)置的通道數(shù)越多安全性越高。但也不可盲目無限增加通道的數(shù)量，造成不必要的資源浪費(fèi)。新一代區(qū)塊鏈系統(tǒng)中基于通道的高可伸縮百分百共識(shí)機(jī)制原理如圖所示。4.基于通道的高可伸縮百分百共識(shí)機(jī)制原理基于通道的高可伸縮百分百共識(shí)機(jī)制在百分百共識(shí)機(jī)制的基礎(chǔ)上進(jìn)一步提升了數(shù)據(jù)的安全級(jí)別，保證數(shù)據(jù)的絕對(duì)安全性、完整性及不可篡改性。賬本校驗(yàn)可對(duì)通道的賬本進(jìn)行統(tǒng)一校驗(yàn)，比如比較哈希值是否一致，因?yàn)槊恳粋€(gè)節(jié)點(diǎn)均采用了百分百遞歸共識(shí)機(jī)制，所以只需校驗(yàn)哈希值即可，適用于對(duì)共識(shí)與一致性要求特別高的場(chǎng)景，例如公安局?jǐn)?shù)據(jù)、軍隊(duì)數(shù)據(jù)、國(guó)家政府機(jī)密數(shù)據(jù)等。其主要包括數(shù)據(jù)安全級(jí)別高、通道數(shù)量可根據(jù)需要自定義，可伸縮性強(qiáng)等優(yōu)勢(shì)。1共識(shí)機(jī)制概述2常用共識(shí)機(jī)制3百分百共識(shí)機(jī)制目錄CONTENTS新一代區(qū)塊鏈系統(tǒng)搭建通道54基于通道的高可伸縮共識(shí)機(jī)制5.新一代區(qū)塊鏈系統(tǒng)搭建通道的方法新一代區(qū)塊鏈系統(tǒng)通過向預(yù)言合約服務(wù)器發(fā)送指令到主鏈搭建通道，采用中文編程預(yù)言在預(yù)言合約服務(wù)器中進(jìn)行上鏈服務(wù)器設(shè)置，每進(jìn)行一次上鏈服務(wù)器的設(shè)置，便成功搭建一個(gè)通道。以搭建名稱為“電子專業(yè)1班”的通道1為例，這里為了方便后續(xù)任務(wù)實(shí)施的進(jìn)行，采用本地服務(wù)器部署區(qū)塊鏈系統(tǒng)，因此服務(wù)器IP為“127.0.0.1”，上鏈服務(wù)器和智能合約服務(wù)器的端口分別設(shè)置為“7007”和“7006”，使用張三用戶登錄系統(tǒng)，假設(shè)他的登錄密碼為“123456”，代碼如下：清空預(yù)言機(jī)（）顯示信息（上鏈服務(wù)器設(shè)置("廣東辰宜","127.0.0.1","7007"))顯示信息(合約服務(wù)器設(shè)置("廣東辰宜","127.0.0.1","7006")) 顯示信息(登錄系統(tǒng)（"