工信部电子第五研究所主任宾建伟：区块链安全质量保障实践

2月10日，由中国信息通信研究院和贵阳区块链发展和应用推进工作指挥部主办，蓝石区块链实验室、贵州蓝石科技有限公司和数据观（北京）传媒科技有限公司共同承办，全球区块链技术发展论坛（GBF）联合数据观布络客区块链沙龙推出的专场活动——全球区块链技术发展论坛“区块链与智能安全专场暨蓝石区块链实验室成立仪式”在北京举办。

会上，工业和信息化部电子第五研究所主任 宾建伟 发表了《区块链安全质量保障实践》的主题演讲，宾建伟认为，保障区块链实践的安全质量是数字化时代亟须解决的问题，并以在贵阳构建的区块链测试体系和区块链测试服务平台为案例，分享了区块链产品安全测试方面的实践。

工业和信息化部电子第五研究所（中国赛宝实验室），又名中国电子产品可靠性与环境试验研究所，是工信部直属事业单位，业务范围可用六个字简要概括：监测、计量、认证，目前与区块链相关的是软件测评和信息安全服务。宾建伟分享的内容，包含了对区块链的理解、区块链面临的安全挑战、区块链安全质量保障实践三大部分。

首先，从对区块链的理解来说，作为数字化时代发展的新引擎，区块链是一种多技术组成的一个基础架构，应该是一个革命性的、颠覆性的和创新性的技术。从数字货币，到金融领域，再到各个应用领域，宾建伟表示，在现有情况下，由于我国政策限制，或者说政策还未达到那个程度，我们理解区块链的应用，应该会先在其它行业应用，如：政用、商用、民用前期的开展，政策成熟后，可能才会更多往金融领域甚至是货币领域前进。

由于区块链的特点，可能形成的区块链应用生态圈领域众多，但就目前来看，生态圈应该说是尚不成熟。经常有人会问，区块链这么火，应该在什么地方应用？比特币的应用在数字货币，金融领域是ICO的应用，其它领域还包括共享经济中的信用系统、房地产交易、优化反洗钱监控流程、优化证券交易清算结算流程、供应链管理、文化娱乐等领域。

关于区块链的应用现状，宾建伟还介绍了贵阳开展区块链工作的案例，据《贵阳区块链发展和应用》白皮书看来，里面就提到了12个应用场景，包括了3个政用场景、4个民用场景、5个商用场景。

安全性将是区块链应用的最大障碍，关于区块链面临的安全挑战，宾建伟表示，区块链目前实际面临很多安全问题，区块链是在网络层之上架构了一个信任层，解决了安全问题，提供了信任机制。但这种信任和安全，实际上来说并不是一劳永逸，并非完全解决了安全问题，里面利用了很多安全方法，如非对称加密技术、CA技术等安全技术。

宾建伟介绍，据目前了解，区块链在安全领域的应用，可以抵御中间人攻击、数据篡改、DDoS攻击问题，但它的安全同样并不是坚不可摧。如：密钥安全风险，密钥使用、存储、传输过程中存在风险，而且私钥一旦丢失则无法找回。银行卡丢失可以使用身份证到柜台重设，但私钥丢失了再也找不回来了，那也就意味着数字虚拟资产也就没有了，这个问题到目前为止同样没有解决。隐私保护风险，区块链是分布式、公开透明的，所以交易信息在区块链上是公开的，任何技术都是双刃剑，越公开实际上隐私越没有保护。有时可能不需要许可就可查询账户信息，通过非对称加密，也存在解密风险；拒绝服务风险，当一个结点遭受攻击时，虽不会影响整个系统，但该结点用户同样无法进行相应操作；错误的技术实现风险，即便是理论上很完备的算法，也会有各种实现上的错误。还有协议被攻击风险、高危漏洞分布，代码数量问题，安全性、特性等等。目前已知的国外区块链应用上，近期也发生了攻击事件，如DAO被攻击、平台遭受协议攻击等。

宾建伟表示，贵阳做区块链应用时需要用到区块链底层产品，受贵阳市政府委托，对国内五款区块链底层产品进行测试，“针对贵阳区块链应用特点，我们增加了CA支持、合约语言方面的内容，可以看到当时测试的结果，技术架构基本上还是借鉴类似国际主流的区块链开源社区的技术架构，有密码学方面的应用。CA支持有一部分支持，共识机制和合约语言方面有一些创新。”宾建伟如是说。

如今，区块链处于快速成长阶段，政用、民生、商业领域已开展大量研究。但这些应用目前实质应用仍处在概念性验证阶段或原型阶段。宾建伟指出，一些产品其实是一种开源代码的优化，更多只是对某些算法上的优化改造。主流的则是基于以太坊的底层技术实现，主要是对于联盟链来说的。修改的共识算法、加密算法、智能合约、跨链技术，目前实际应用场景的落地和大规模应用还很少，仍在探索阶段。

宾建伟还指出，目前区块链的五大问题包括安全问题、性能问题、监管问题、能耗问题和运维问题，区块链是希望自治的、去中心化的，但完全去中心化，很多政策上是不被允许的。

据宾建伟介绍，目前已构建了区块链产品测试平台，它的场景测试和砂箱测试平台正在建设中，对于产品测试，在分布式帐本、网络结构、密码学应用、共识机制、智能合约、跨链机制六大特性方面，已构建20余个子特性。最后宾建伟还展示了关于整个区块链测试体系的思考架构图！

注：本文来源数据观，整理编辑：Fynlch王培（微信号：WP1306020480），本文系数据观据全球区块链技术发展论坛“区块链与智能安全专场”演讲实录整理。数据观微信公众号（ID:cbdioreview） ，欲了解更多大数据行业相关资讯，可搜索数据观（中国大数据产业观察网www.cbdio.com）进入查看。

责任编辑：王培