尊敬的各位领导，各位专家，各位老总，非常高兴到今天这个会议讲区块链系统安全与自主可控，非常高兴受陈意斌会长的邀请参加这个会。每次陈会长的会，我都要盛装出席，我的西装大概一年穿不了两次。同时，也非常感谢高新区。我是福州市人民政府区块链首席专家，是黄书记在2017年推荐。因为2017年的时候很多政府不知道区块链是怎么回事，所以要设区块链的首席专家在全国还是首创。

今天报告分为三部分，第一个是区块链面临的安全威胁，第二个区块链安全性分析与解决之道，最后一部分对区块链自主可控的思考以及福州区块链产业发展的建议。一方面是中国计算机学会区块链专委会主任，一方面是福州市区块链首席专家，当然专家好像当得也不是很好，福州区块链产业发展我觉得还需要加速。

先说一下2020年10月15日，美国白宫发布《关键与新兴技术国家战略》，在这个国家战略里面，区块链技术被列为美国的国家安全技术。列为美国国家安全技术这说明哪一天美国在区块链领域，想对中国采取限制措施、封锁措施随时都可以采用，就跟他今天对华为采取的这种打压措施一样。像安卓，传统安卓就是一个开源的操作系统，但是我们知道开源这个操作系统商用的时候，有部分是知识产权。谷歌在美国政府的压力之下，不让华为弄安卓，华为就没有办法。未来我们知道在联盟链里面，未来美国不让中国一些企业商用的时候用（F英文），这个事就会对中国区块链的产业带来极大影响。这个意义下，提倡区块链的技术和产品自主可控，不仅具有非常重要的意义，最重要有紧迫性。我自从担任中国计算机学会区块链专委会主任以后，一直在提倡要发展自主可控的区块链技术，但是也没有想到美国会这么快把区块链技术列为美国的国家安全技术。

第一个部分讲讲区块链面临的安全威胁。这里面看到很大的数字，大概135亿美元，这是到今年10月26日慢雾科技的报告，慢雾科技在厦门，在区块链安全方面在国内做得很好。已经发生的安全事件超过了330次。这是从2011年到2019年，由于安全事件造成的经济损失，数字到2019年是这个数字，我们看到在不断的增长。到2017年，特别是2018年到了一个高峰，我们知道数字货币的价格，特别比特币的价格与2017年相比，达到当时历史最高峰，最近远远超过2017年的价格。总体来说，这个数量在逐年上升。这是发生区块链的安全事件，安全事件里面，EOS出的问题比较多，2019年6月11日也是EOS游戏的问题。还有一个是2019年6月12日Roulette事件，实际上也是对区块链的游戏发起攻击。还有是交易所，2019年3月30日，韩国知名交易所Bithumb遭到“内鬼”洗劫。还有智能合约安全问题，真正安全事件在智能合约这一块出的问题是比较多，刚才前面讲到了一些事件，有几十个基于以太坊和竞猜类游戏都遭受到了黑客的攻击。

从区块链领域来说，实际上面临很大的威胁，我们叫做51%攻击，攻击者通过掌握网络50%以上的算力，当然有的不一定是算力，有50%以上或者说这样一个份额来“主导”公链交易数据，从而使得这个出现问题。比较典型就是2018年5月18日，比特币黄金BTG遭受51%的算力攻击，实际上最后攻击成功，窃取超过388200个BTG，当时的价格高达1860万美元。在2018年有4个数字货币的系统遭受50%算力的攻击。

我们刚才讲的区块链安全出现这些问题，怎么来解决，先对区块链安全问题做一个分析。我们知道区块链包括数据层、网络层、共识层、激励层、应用层。从安全性来说分为六个层次，首先是算法安全性，在最底层。然后是协议安全性、实现安全性、使用安全性、系统安全性、延伸安全性。算法安全性，主要是密码算法和共识算法的安全性。协议安全性，刚才讲的50%算力攻击主要是协议的关系。实现安全性，你的算法也好，你的协议也好，本身没有问题，但是你在代码实现的时候出现了漏洞，使用的安全性这里更多讲比方说密钥，其他方面都没有安全问题，但是密钥有问题，或者你的口令设的很简单。现在像电子钱包有的时候不是口令太简单，有的时候是口令复杂一段时间忘了。这两天在网上说有一个程序员是7500枚比特币，大概3亿美元，放在一个加密硬盘上，结果加密硬盘一段时间塞到角落里面，最近才找出来，但是加密硬盘有密码，如果你10次试不出来就被锁住，就会被毁掉。现在已经试了8次，不敢再试，当然应该有其他的办法。系统安全性是指攻击者综合利用算法漏洞、协议漏洞、实现漏洞等通过网络攻击的手段进行攻击这样一种方法。最后还有的是延伸安全性，因为我们说区块链除了这些东西之外，还有像勒索病毒要求你给他转比特币，有的在挖矿在矿上，或者在密码里面专门把你的计算资源拿去给挖矿用。所以，我们说从六个层面有不同的安全问题。

密码算法的问题，主要在哈希函数、签名算法、随机数生成算法。比较有名的例子2017年7月15日，IOTA收到麻省理工学院学术研究组的邮件，表示IOTA哈希算法Curl-P存在弱点，为研究所提供方法对该系统进行成功的攻击，窃取用户资金。当时对程序组提出来这个有漏洞，我已经实验成功，后来IOTA也做了改进。

随机数的问题，刚才已经讲到像EOS的游戏，黑客利用随机数发生器漏洞进行攻击，我们发现随机数发生器的漏洞导致系统被攻击。

协议安全性分析，在2018年上半年，像Bitcoin Gold、Verge等造成上千万的损失。 实现安全新分析，主要体现在智能合约的安全性。这里面包括我们看到像以太坊DAPP，安全问题包括溢出、权限控制、条件竞争、假充值以及假币这些问题。

使用安全性分析，刚才讲的这些密钥如果说被有人采取像“彩虹”攻击这种方法，“彩虹”攻击主要是要做一个非常巨大的表，哈希值和随机数做对应。像这些方面，你的电子钱包口令简单很容易被攻击者所利用。

系统安全性分析，刚才讲了是综合利用了区块链系统它的算法漏洞、协议漏洞、时间漏洞等来进行攻击。

针对这些问题怎么办，现在有些措施，一个是像算法、协议安全性方面采用了后量子密码算法。我们知道区块链系统，特别是现在一些数字货币系统，现在采用的加密算法一旦量子计算机能够大规模应用，或者量子计算机的能力比较强，现有的加密算法基本上都有问题。在这种情况下，如果加密算法本身就会受到攻击，这个区块链系统或者数字货币系统，比方说像比特币这样，这样的系统随时就有可能被破解。所以，在现在这个阶段，我们要十分重视密码算法的安全问题。同时，在实际应用中间，你要使用经过验证的成熟的密码算法，这一点非常重要。同时要使用安全的随机数发生器，比如量子随机数发生器等等。这样的一个协议设计的时候要同时能够应对内部、外部的攻击，我们要设计新型高安全区块链体系架构。

从使用安全性应对来说，要使用安全的密码货币钱包，使用安全的随机数发生器，选择可靠的交易所，要保护好私钥。

从实现、系统安全性应对来说，要加强区块链中智能合约的安全性炎症，要加强区块链标准制定。在现在一些系统的安全防御，采取传网络防御手段，另外发展新型的区块链系统架构。

怎么样从根本上解决区块链的安全问题，刚才讲到从各个层面来说，我们认为必须进行区块链体系结构的创新。如何构建一个理想的区块链体系结构，从自然界得到启发。第一个是拟态现象，拟态是一种生物在形态、行为等特征上模拟另一种生物或者环境，从而使一方或者双方受益的生态适应现象。拟态生物典型代表就是拟态章鱼，拟态章鱼是1998年科学家在这个海域发现的一种章鱼，比方说海底是沙子，它就可以模拟沙子，不仅可以变颜色，最重要可以变成15种以上的海洋生物，像红鱼、海蛇等等。比方说要变海蛇，章鱼又舞动，颜色和海蛇颜色一样。因为有些海洋生物是章鱼的天敌，但是可能这些海洋生物怕海蛇，变成海蛇以后其他海洋生物不敢靠近它，所以还是为了抵御天敌。

第二个自然界的启示就是群飞和群游现象。我们看到这些鸟这些密集不会撞在一起，如果要是无人机不可能4万多个无人机2分钟降落在一个机场，这是很难做得到。还有鱼群的群游现象，也是为了地域天敌，像鲨鱼、鲸鱼。所以我们从这样的群飞、群游现象和拟态现象之间，提出了拟态群体异构体系结构，简称MCH体系结构。它的特点是区块链系统中的部件可以根据应用场景动态条件变化，不同部件的不同实现方式完全统一的目的，系统的部件异构构建最适合应用的区块链系统。所以我们用一句话描述，就是针对特定的应用场景，选择合适的异构物件，构建最优的体系结构，达到理想的应用目标。

这是体系结构的示意图，包括共识算法、密码算法等等。这是整个的主要组成。总体来说，就是根据应用场景的不同来选择不同的物件，构建一个最理想的，就是高性能、高安全的区块链体系结构。

最后，对区块链自主可控的思考及福州区块链产业发展的建议。一个是对区块链技术自主可控的思考，刚才前面讲到区块链的自主可控对中国非常重要，所以我们要高度重区块链原创理论与技术研究。不仅要在技术方面，在理论研究方面，中国一向非常薄弱。但是习总书记在去年10月24日讲话中间，专门指出要使我们国家在区块链领域方面，走在理论的最前沿。所以我们一定要在理论上有突破，要研发具有完全自主知识产权的区块链关键技术与产品。第二点，改进现有区块链体系结构，构建自主可控的新型区块链体系架构。第三点，强化区块链安全测试，促进区块链系统满足安全标准。第四点，加强对区块链行业合规监管和政策引导。如果这个行业不合规，行业很难健康发展。

最后一点，对福州区块链产业发展的建议。

 第一个是高度重视区块链产业、技术与应用的发展。前面领导讲话前面提到了福州是习总书记数字中国思想的重要发源地，习总书记对区块链的发展高度重视，不是讲了一次话，在2018年、2019年、2020年连续三年讲到区块链。

第二个加大区块链产业政策支持力度，积极引进区块链优质企业和高端人才，产业政策既要锦上添花，更要雪中送炭。

第三点很重要，在当前这个阶段要推进“+区块链”战略，充分发挥传统IT企业和制造企业应用区块链的积极性，实现“千企上链、万家用链”。原来一直说“区块链+”，这个阶段重点要推动“+区块链”，就是让传统的IT企业用区块链技术解决现有信息化建设中间的问题。

第四点要积极发挥区块链的激励机制和乘法效应，持续加强区块链与前沿信息技术的融合发展，坚持应用创新，不断开拓新的应用领域，大力发展重量级应用。可以到今天为止区块链的重量级应用看到还很少，“十四五”期间，对中国区块链产业的发展是十分关键的五年，“十四五”如果我们区块链产业做好，特别在区块链领域有重量级的应用，今后“十五五”“十六五”区块链技术还会得到国家支持。如果“十四五”不能产生一些重量级的应用，这方面就会有问题。我目前担任科技部“十四五”区块链重点专项的专家组的负责人，最近我们也在做“十四五”的规划，我们越来越感觉到区块链重量级应用对这个行业的发展是有着非常重要的意义。

第五点要进一步完善区块链产业发展布局，大力发展区块链芯片、模组、服务器等，到今天为止，我们说区块链的产值还是很低，2019年纯区块链链圈的产值是12亿，这是一个非常小的数据，因为区块链现在主要是软件，要研发区块链“软硬件一体化”的试点，积极打造to C的区块链服务新型平台。这个非常重要，如果有基于区块链的新型服务平台能够出现，类似像滴滴、美团这样的服务平台，区块链的产业发展生态就大不一样。

我今天的报告就到这，谢谢大家！