区块链技术原理与应用 课件 项目6、7 新一代区块链的安全技术、共识机制

项目6：新一代区块链安全技术项目6任务16：体验新一代区块链安全技术1数字签名2数字加解密3文件加解密目录CONTENTS新一代区块链网站54上链知识导图知识目标教学目标掌握新一代区块链的数字签名方法掌握新一代区块链数字及文件加解密方法掌握新一代区块链数据及文件上链的方法了解新一代区块链的网闸能力目标素质目标认真的学习态度追根溯源的学习精神刻苦钻研的精神教学目标能够使用函数进行数字签名能够使用函数对文件进行加解密能够完成数据、文件的数据上链1数字签名2数字加解密3文件加解密目录CONTENTS新一代区块链网站54上链1.数字签名数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，用来保证信息传输的完整性、认证发送者的身份以及防止发送者对消息进行抵赖。具体来说，数字签名技术是将摘要信息用发送者的私钥加密，加上接收者的公钥，与原文一起传送给接收者，接收者通过自己的私钥解密被加密的摘要信息，再通过发送者的公钥验证消息的来源，数字签名流程如图所示。1.数字签名采用哈希函数对收到的原文产生一个摘要信息与解密的摘要信息对比，如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名与验证基于公钥密码体制，公钥密码体制中包含一对公私钥，私钥作为签名密钥，公钥作为验证密钥。签名验证算法通常包含三个具体的算法函数，即密钥生成算法（KeyGen）、签名算法（Sign）和验证算法（Verify）。1.数字签名新一代区块链系统提供信息签名函数，用来实现数字签名功能，该函数能够对文本信息进行数字签名，只有一个参数，返回签名密文，语法格式如下：信息签名（需要签名的文本信息）若需要查看已签名的信息密文，可以用阅读公开信息函数进行解密，参数为信息签名者的公钥和信息密文，结果返回明文，语法格式如下：阅读公开信息（签名者的公钥，信息密文）若需要将某条信息指定给某个用户，可以使用信息指定函数，用来对指定用户进行文本信息加密，参数为目标用户名称、需要加密的文本信息，结果返回密文，语法格式如下：信息指定（用户名，需要加密的文本信息）1数字签名2数字加解密3文件加解密目录CONTENTS新一代区块链网站54上链2.数字加解密数字加密数字加密是指使用自定义密码加密文本信息。新一代区块链中提供加密信息函数，参数为密码和需要加密的文本信息，结果返回密文，语法格式如下：加密信息（密码，要加密的文本信息）2.1数字加解密数字解密数字加密是指使用指定密码解密密文。新一代区块链中提供解密信息函数，参数为密码和需要解密的密文，结果返回明文，语法格式如下：解密信息（密码，密文）1数字签名2数字加解密3文件加解密目录CONTENTS新一代区块链网站54上链3.文件加解密加密文件加密文件函数能够使用自定义密码加密指定的本地文件，参数为密码、文件源路径和文件目标路径，需要注意的是，加密前需确保预言合约服务器上存在对应的文件，且文件路径不能指向C盘根目录，因此，需要读者部署预言合约服务器到本机，通过本机预言合约服务器连接到主链，加密文件函数语法格式如下：加密文件（密码，源文件路径，目标文件路径）3.1文件加密3.文件加解密解密文件解密文件函数能够使用指定密码解密被加密的本地文件，参数为密码、文件源路径、文件目标路径，源文件指需要解密的文件，目标文件指解密之后的文件，文件路径不能指向C盘根目录，语法格式如下：解密文件（密码，源文件路径，目标文件路径）3.2文件解密1数字签名2数字加解密3文件加解密目录CONTENTS新一代区块链网站54上链4.上链上链是指让信息进入到区块链上，新一代区块链系统信息上链会将上链信息进行加密，通过准备和上链两个阶段完成，包括数据上链和文件上链两种类型。数据上链数据上链是指文本信息上链，将需要上链的文本信息放入准备数据函数中，然后再调用数据上链函数即可完成数据的上链，需要注意的是不能上链一个空数据。4.1数据上链准备数据（上链数据）数据上链（）上链成功之后，会返回哈希值、区块高度和业务名称（如果有），上述信息可以通过显示信息函数打印到控制台。4.上链上链是指让信息进入到区块链上，新一代区块链系统信息上链会将上链信息进行加密，通过准备和上链两个阶段完成，包括数据上链和文件上链两种类型。文件上链文件上链指将文件上链，将需要上链的文件路径放入准备文件函数中，然后再调用文件上链函数即可完成文件的上链。4.1数据上链准备数据（上链文件）文件上链（）上链成功之后，如果区块链存在哈希值、区块高度或业务名称（如果有）等信息，可以通过显示信息函数打印到控制台。1数字签名2数字加解密3文件加解密目录CONTENTS新一代区块链网站54上链6.新一代区块链网闸网闸全称是安全隔离网闸，是一种由带有多种控制功能的固态开关读写介质在电路上切断网络之间的链路层连接，由软件与硬件共同组成，包括外部处理单元、内部处理单元和隔离硬件，能够保证网络间数据交换的高安全性。网闸主要解决目前网络安全中存在的对操作系统的依赖和对TCP/IP协议的依赖问题，以及通信连接问题和应用协议漏洞。与普通的防火墙不同的是，网闸是在保证必须安全的前提下，尽可能互联互通，若不安全则隔离断开。网闸结构如图所示。6.1网闸结构6.新一代区块链网闸新一代区块链系统的网闸集成在系统安全模块中，由防火墙进程、web服务器数据缓冲区、行为识别区域和区块链节点服务器数据缓冲区四部分组成。网闸在系统中的位置如图所示6.2网闸在系统中的位置6.新一代区块链网闸新一代区块链系统利用存储转发的方法对通过网闸的应用数据进行安全管理和交换转发。由于大部分木马程序都是基于TCP进行攻击和传播的，而新一代区块链的网闸无需传输层即可进行数据交换和转发，因此能够很好地防止绝大多数木马的攻击和病毒的感染，从而显著地提高区块链系统整体的安全性。6.2网闸在系统中的位置任务实施LOGO详细步骤请参考教材任务14的任务实施部分谢谢观看项目7：共识机制项目7任务15：体验百分百共识机制任务16：体验基于通道的高可伸缩百分百共识机制1共识机制概述2常用共识机制3百分百共识机制目录CONTENTS新一代区块链系统搭建通道54基于通道的高可伸缩共识机制知识导图知识目标教学目标了解共识机制的概念和作用掌握百分百共识机制原理掌握自定义基于通道的百分百共识机制方法能力目标素质目标认真的学习态度追根溯源的学习精神刻苦钻研的精神教学目标能够使用百分百共识机制能够搭建通道1共识机制概述2常用共识机制3百分百共识机制目录CONTENTS新一代区块链系统搭建通道54基于通道的高可伸缩共识机制1.共识机制概述所谓的共识机制是指在多个互不信任的节点之间对某个状态达成一致结果所依赖的机制，主要用来选择采用哪个节点进行记账并确保交易完成的技术手段。共识机制是区块链技术的核心，由于区块链中所有节点共同参与记账，共识机制使得区块链这样一个去中心化的账本系统成为可能。1共识机制概述2常用共识机制3百分百共识机制目录CONTENTS新一代区块链系统搭建通道54基于通道的高可伸缩共识机制2.常用共识机制工作量证明共识机制PoW机制由MarkusJakobssonheAriJuelstzai1993年的学术论文中首次提出，可以简单理解为一份用来确认你做了一定量的工作的证明。PoW机制是比特币、莱特币等所采用的共识机制，矿工通过付出一定的算力来挖矿进而获得相应的区块奖励。在数字货币系统中，采用工作量证明机制原理设计出一种通过解数学题的方式来证明完成了一定的工作量的模式，主要通过计算来猜测一个随机数，使它拼凑交易数据后的内容的哈希（Hash）值满足一个规定的上限。2.常用共识机制权益证明共识机制PoS机制由QuantumMechanic于2011年在bitcointalk首次提出，主要是针对工作量证明机制存在的不足而设计出来的一种改进型共识机制。与工作量证明机制要求节点不断进行哈希计算来验证交易有效性的机制不同，不需要证明你在记账前做了多少工作，而是证明你自己拥有一定数量的数字货币的所有权，即“权益”，谁的权益大，谁的记账概率就越大，其算法公式为：hash(block_header)<=target*coinage优点：节能环保、性能高、安全性高，不用担心算力集中导致中心化出现，也能够避免货币紧缩。2.常用共识机制授权权益证明机制DPoS机制由DanielLarimer于2014年提出，能够进一步加快交易速度、同时解决PoS中节点离线也能累积币龄的安全问题，是一种全新的保障加密货币网络安全的算法。优点：能耗低、去中心化程度强、确认速度更快。缺点：投票需要时间、精力及技能的投入，投票的积极性比较低。对于坏节点，社区的选举不能实时的有效阻止，容易造成网络的安全隐患。2.常用共识机制验证池共识机制Pool验证池基于传统的分布式一致性技术建立，并辅之以数据验证机制，也是区块链中广泛使用的一种共识机制。Pool验证池不需要依赖代币就可以工作，在成熟的分布式一致性算法例如Pasox、Raft基础之上，可以实现秒级共识验证，更适合有多方参与的多中心商业模式。不过，Pool验证池也存在一些不足，例如该共识机制能够实现的分布式程度不如PoW机制等。1共识机制概述2常用共识机制3百分百共识机制目录CONTENTS新一代区块链系统搭建通道54基于通道的高可伸缩共识机制3.百分百共识机制百分百共识机制由辰宜科技公司于2018年提出，公司推出新一代区块链系统之际，同时也对区块链中的共识算法进行了颠覆式变革。百分百共识机制既能消除PoW中算力攻击的风险，同时又将算力冗余大幅度降下来。同时，随着节点数量越多，冗余降低的幅度越大。其原理如图所示。3.百分百共识机制CA服务器会为每个通道和每个用户颁发CA证书，且每个节点服务器均有自动验算机制。通过CA验证之后，以超级账本即通道入口的第一个节点的最新哈希值作为区块的前置哈希，结合随机数生成新的区块，同时通道将用户与节点的CA证书公钥与新区块打包成数据块进行全网广播。当其他节点接收到该区块时，首先比较区块的前置哈希与节点账本中的最新哈希是否一致，若不一致则向网络请求寻找新的账本提供者，并将该错误账本源节点列入黑名单，使之失去可信任性。若前置区块与当前账本的最新区块一致，则计算该区块数据与随机数的哈希值。验算所得哈希值与通道广播的哈希值是否一致，若一致则继续验算用户与节点的数字签名是否一致，若一致则将该区块写入当前节点的账本中。若不一致则重新向通道申请账本数据。每个节点在记账时都需要经过以上步骤，从而得到全员一致认可，达到百分百共识的目的。3.百分百共识机制优点：1、通过CA保证账本的来源。2、全面弃用51%、70%等共识算法机制，必须得到全员的认可，区块通过递归认证、递归算法保障账本正确性。3、只要一个账本节点是正确的，其他节点的账本就是正确的。任务实施LOGO详细步骤请参考教材任务15的任务实施部分1共识机制概述2常用共识机制3百分百共识机制目录CONTENTS新一代区块链系统搭建通道54基于通道的高可伸缩共识机制4.基于通道的高可伸缩百分百共识机制原理基于通道的高可伸缩百分百共识机制是在百分百共识机制的基础上，结合区块链通道技术，将同一个区块在若干个通道进行上链，使得通道间再次达到百分百共识的机制。其中，通道的个数根据数据安全要求的级别进行自定义，设置的通道数越多安全性越高。但也不可盲目无限增加通道的数量，造成不必要的资源浪费。新一代区块链系统中基于通道的高可伸缩百分百共识机制原理如图所示。4.基于通道的高可伸缩百分百共识机制原理基于通道的高可伸缩百分百共识机制在百分百共识机制的基础上进一步提升了数据的安全级别，保证数据的绝对安全性、完整性及不可篡改性。账本校验可对通道的账本进行统一校验，比如比较哈希值是否一致，因为每一个节点均采用了百分百递归共识机制，所以只需校验哈希值即可，适用于对共识与一致性要求特别高的场景，例如公安局数据、军队数据、国家政府机密数据等。其主要包括数据安全级别高、通道数量可根据需要自定义，可伸缩性强等优势。1共识机制概述2常用共识机制3百分百共识机制目录CONTENTS新一代区块链系统搭建通道54基于通道的高可伸缩共识机制5.新一代区块链系统搭建通道的方法新一代区块链系统通过向预言合约服务器发送指令到主链搭建通道，采用中文编程预言在预言合约服务器中进行上链服务器设置，每进行一次上链服务器的设置，便成功搭建一个通道。以搭建名称为“电子专业1班”的通道1为例，这里为了方便后续任务实施的进行，采用本地服务器部署区块链系统，因此服务器IP为“127.0.0.1”，上链服务器和智能合约服务器的端口分别设置为“7007”和“7006”，使用张三用户登录系统，假设他的登录密码为“123456”，代码如下：清空预言机（）显示信息（上链服务器设置("广东辰宜","127.0.0.1","7007"))显示信息(合约服务器设置("广东辰宜","127.0.0.1","7006")) 显示信息(登录系统（"