金融行業(yè)區(qū)塊鏈技術(shù)的安全問(wèn)題及風(fēng)險(xiǎn)

文/邢瑩瑩，平安銀行股份有限公司

1 區(qū)塊鏈技術(shù)簡(jiǎn)介

1.1 區(qū)塊鏈技術(shù)含義

區(qū)塊鏈技術(shù)是一種基礎(chǔ)密碼學(xué)原理的新型應(yīng)用模式，有著智能賬本技術(shù)，可以進(jìn)行分布式數(shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制和加密算法等功能，包含了五種技術(shù)，分別是P2P 網(wǎng)絡(luò)技術(shù)、分布式賬本技術(shù)、非對(duì)稱加密技術(shù)、共識(shí)機(jī)制及時(shí)和智能合約技術(shù)。對(duì)于金融行業(yè)來(lái)說(shuō)，要保證銀行網(wǎng)絡(luò)系統(tǒng)穩(wěn)定安全基礎(chǔ)外，還需要和大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)等技術(shù)相互結(jié)合，更加穩(wěn)妥的維護(hù)銀行的信息安全。區(qū)塊鏈技術(shù)在銀行信息安全保護(hù)方面起到了很大的作用，比如可以利用冗余繁雜的數(shù)據(jù)庫(kù)保證信息安全完整，利用密碼學(xué)原理對(duì)密碼進(jìn)行保護(hù)，讓密碼不被篡改；利用多層加密的方式進(jìn)行訪問(wèn)權(quán)限的控制。一般區(qū)塊鏈一般由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層和應(yīng)用層組成。

1.2 區(qū)塊鏈技術(shù)特征

通俗的講，區(qū)塊鏈技術(shù)就是通過(guò)改變每一塊區(qū)域的交易信息產(chǎn)生的不同種狀態(tài)的變化。主要特點(diǎn)有：（1）去中心化。分布式的進(jìn)行存儲(chǔ)，沒(méi)有固定的中心節(jié)點(diǎn)，任何區(qū)域塊都可以單獨(dú)執(zhí)行；（2）開(kāi)放性。將區(qū)塊鏈技術(shù)可以沒(méi)有任何限制的加入到系統(tǒng)中，代碼、程序和交易數(shù)據(jù)都是公開(kāi)的；（3）無(wú)信任機(jī)制。連接點(diǎn)之間不需要有信任機(jī)制；（4）可信數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)四區(qū)塊鏈技術(shù)中的一大特征，數(shù)據(jù)中沒(méi)有管理員，數(shù)據(jù)庫(kù)不能被篡改，都可以進(jìn)行訪問(wèn)；（5）隱私性。接入互聯(lián)網(wǎng)的電腦數(shù)據(jù)會(huì)被區(qū)塊鏈技術(shù)成為匿名訪問(wèn)。

2 金融行業(yè)區(qū)塊鏈技術(shù)發(fā)展中的安全問(wèn)題

2.1 治理機(jī)制的安全性

治理機(jī)制的安全性主要表現(xiàn)在區(qū)塊鏈技術(shù)中的網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層和合約層的安全問(wèn)題。網(wǎng)絡(luò)層是不用驗(yàn)證客戶身份就可以自由進(jìn)入網(wǎng)絡(luò)的機(jī)制，但是金融行業(yè)的網(wǎng)絡(luò)要求安全性能要高，對(duì)沒(méi)有登記身份的用戶不可以自由的訪問(wèn)網(wǎng)絡(luò)的。同意不是銀行客戶的人員進(jìn)入網(wǎng)絡(luò)會(huì)盜取用戶的信息，影響用戶的資金安全。共識(shí)層主要是解決區(qū)塊鏈技術(shù)節(jié)點(diǎn)的故障問(wèn)題，為的是讓用戶擁有同等進(jìn)行交易的效率和安全保護(hù)，還有新區(qū)塊鏈技術(shù)更新時(shí)候會(huì)產(chǎn)生不兼容情況出現(xiàn)，新老版本進(jìn)行排斥作用。激勵(lì)層遇到的安全問(wèn)題就是用戶匿名交易，只有節(jié)點(diǎn)自行記錄數(shù)據(jù)，這樣會(huì)導(dǎo)致一些壞賬存在，甚至，還有人會(huì)利用比特幣洗黑錢(qián)，因?yàn)橄到y(tǒng)并不記錄資金的流向和用戶的身份，假使金融行業(yè)使用區(qū)塊鏈技術(shù)，系統(tǒng)不能像銀行系統(tǒng)一樣凍結(jié)賬戶，阻止洗黑錢(qián)的交易發(fā)生。

2.2 隱私和信息安全性

隱私和信息安全性問(wèn)題主要出自于數(shù)據(jù)層的數(shù)據(jù)信息出現(xiàn)了問(wèn)題。因?yàn)閰^(qū)塊鏈技術(shù)相當(dāng)于一個(gè)公開(kāi)的賬本，賬本中有所有參加交易的信息數(shù)據(jù)，面向所有的用戶公開(kāi)。可是應(yīng)用到金融行業(yè)中，銀行要求必須要保護(hù)好客戶的信息數(shù)據(jù)，保護(hù)好數(shù)據(jù)的隱私和完整。另外，在區(qū)塊鏈技術(shù)的交易中，用戶資金的安全依賴于私人秘鑰的保護(hù)，假使秘鑰信息泄露，則會(huì)給用戶帶了很大的經(jīng)濟(jì)損失。可是，一些非法的黑客通過(guò)技術(shù)手段黑進(jìn)客戶的賬戶中，盜取了秘鑰，提取走了賬戶中的比特幣，正是因?yàn)閰^(qū)塊鏈技術(shù)的去信任化使得黑客有機(jī)可乘。

3 金融行業(yè)區(qū)塊鏈技術(shù)中的解決策略

3.1 制定國(guó)際標(biāo)準(zhǔn)治理機(jī)制

面對(duì)區(qū)塊鏈技術(shù)中存在的安全隱患，要專業(yè)的技術(shù)團(tuán)隊(duì)，加強(qiáng)對(duì)區(qū)塊鏈技術(shù)的研究，加強(qiáng)互聯(lián)網(wǎng)金融產(chǎn)品的監(jiān)管力度，增加保護(hù)客戶權(quán)益的工作。在區(qū)塊鏈技術(shù)中，要進(jìn)行集中化的管理，保留部分的去中心化技術(shù)。面對(duì)區(qū)塊鏈技術(shù)中安全性能的種種制約，需要進(jìn)行對(duì)各個(gè)層次進(jìn)行監(jiān)督和管理。尤其對(duì)于金融行業(yè)的應(yīng)用，增加對(duì)區(qū)塊鏈技術(shù)中的層級(jí)實(shí)現(xiàn)電子貨幣的追溯管理，貨幣資金的流向，在交易中留下交易痕跡，對(duì)各個(gè)等級(jí)的交易進(jìn)行額度的限定。建立全國(guó)金融行業(yè)的統(tǒng)一賬本，統(tǒng)一資金的來(lái)源和去向，加大打擊洗黑錢(qián)組織的力度，嚴(yán)防我國(guó)金融市場(chǎng)的安全性交易，使用區(qū)塊鏈技術(shù)可以降低金融行業(yè)的成本控制，監(jiān)管也會(huì)更加安全。

3.2 保護(hù)用戶的信息隱私安全

在這樣去信任化的區(qū)塊鏈技術(shù)模式下，要想降低用戶秘鑰丟失帶來(lái)的經(jīng)濟(jì)損失，需要利用密碼學(xué)原理進(jìn)行對(duì)秘鑰的保護(hù)，比如，零知識(shí)證明、承諾、證據(jù)不可區(qū)分等密碼學(xué)原理。同時(shí)需要對(duì)交易數(shù)據(jù)進(jìn)行身份的驗(yàn)證，對(duì)秘鑰進(jìn)行加密存儲(chǔ)，增加簽名環(huán)節(jié)，增加同態(tài)加密方案，增加秘鑰算法的難度，及時(shí)替換掉簡(jiǎn)單的秘鑰，提高區(qū)塊鏈技術(shù)的安全性能。從而保證區(qū)塊鏈技術(shù)可以公開(kāi)透明的進(jìn)行驗(yàn)證，及時(shí)的發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，阻斷黑客入侵的難度，保障用戶的信息安全。對(duì)于金融行業(yè)的發(fā)展，央行需要加大對(duì)金融行業(yè)的監(jiān)管，要把技術(shù)原則納入到監(jiān)督體系中去，優(yōu)化區(qū)域鏈技術(shù)，企業(yè)加大對(duì)區(qū)域鏈技術(shù)的研究工作，結(jié)合保險(xiǎn)行業(yè)，為金融行業(yè)進(jìn)行擔(dān)保管理，加強(qiáng)對(duì)區(qū)域鏈技術(shù)的風(fēng)險(xiǎn)管理，提高金融行業(yè)的信息透明度，保證區(qū)域鏈技術(shù)在金融行業(yè)順利的發(fā)展。