区块链安全正当时|《Hyperledger Fabric2.0架构安全报告》解读

2021年，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》将区块链纳入数字产业，对其发展作出了重要部署。同年6月中央网信办和工信部联合印发了《关于加快推动区块链技术应用和产业发展的指导意见》，提出加快区块链技术应用规模化，实现跨越式发展。

 

国际云安全联盟CSA发布报告《Hyperledger Fabric2.0架构安全报告》（以下称报告），本报告聚焦贸易金融工作流程在Fabric中的落地实现，分析了Fabric体系架构在贸易金融工作流程运行时所面临的安全威胁，阐述了在云计算环境下，针对运行Hyperledger Fabric 2.0的许可链网络，如何通过“六步走”的策略，精准、有效地开展安全风险评估，最后从实战经验出发，提出了威胁缓解、安全事件响应准备的相关对策建议。

微信搜索“国际云安全联盟”公众号，回复关键词“区块链”即可获取报告完整版

 

如何评估

Hyperledger Fabric 2.0架构安全风险

识别Fabric 2.0许可链网络的子系统

在IaaS云环境中，典型的Hyperledger Fabric 2.0架构由三个不同层面组成。

 

分解/标识Fabric 2.0许可链的网络信任边界

1、物理网络信任边界

在IaaS云环境下，Hyperledger Fabric可信任的物理网络边界由以下几部分组成：

• 可信任边界-Fabric客户端

• 可信任边界-云服务提供商

• 可信任边界-共识服务

• 可信任边界-账户服务

• 可信任边界-同一组织的对等节点

2、逻辑网络信任边界

Fabric的逻辑网络主要功能是为应用构建通信的渠道，包括对等节点之间、对等节点与身份认证服务之间、对等节点与会员服务之间等逻辑网络。

详细分析运行在Fabric 2.0 许可链网络上的

贸易金融工作流程

Fabric 2.0中的私人贸易融资交易流程解构

在Fabic2.0网络中，含有个人身份信息（PII）的交易从开始到结束的流程如上图所示，进口商组织客户调用智能合约（步骤1）到被确认的结果通过智能合约提示给进口商组织客户（步骤8），包括了从工作请求开始到工作请求结束的全部网络过程。

基于STRIDE威胁模型识别贸易金融工作

流程中的漏洞

STRIDE威胁模型是由微软提出的⼀种威胁建模⽅法，该⽅法将威胁类型分为Spoofing（仿冒）、Tampering（篡改）、Repudiation（抵赖）、Information Disclosure（信息泄漏）、Denial of Service（拒绝服务）和 Elevation of Privilege（权限提升）。STRIDE威胁建模的流程：1、绘制数据流图；2、识别威胁；3、提出缓解措施；4、安全验证。

示例：STRIDE威胁模型的应用-从进口商组织传输交易协议到对等节

 

通过评估漏洞的可能性和影响范围来确定

风险程度

对使用 STRIDE 识别的漏洞可能性和影响进行评级，并确定 Fabric 2.0 网络的风险程度。

示例：风险列表以及其对应的风险等级

根据网络安全功能域对漏洞进行分组、分类

为了使“控制措施清单”可交付给企业以帮助企业准备就绪，需要将Fabric网络中已识别的漏洞按网络安全功能区域进行分组、分类，这些功能区域可以与企业现有的网络安全能力无缝集成，从而明确角色、责任和问责的界限，从而可以更轻松地跟踪、管理和报告关键漏洞。

总结

当前，Hyperledger Fabric架构广泛应用于国内金融领域的区块链项目，如中国银行、民生银行、邮储银行、工商银行、建设银行等均曾推出过使用Hyperledger Fabric架构的金融区块链项目。

在当前区块链广泛创新应用阶段，报告值得金融行业安全从业者、风险控制管理者和金融行业监管机构参考。国际云安全联盟大中华区(CSA GCR)给出以下两点建议：

1、Fabric系统和证书颁发机构的分散管理，再加上缺乏强有力的治理政策来保护管理渠道和凭证免受入侵，可能会扩大攻击面。建议在云环境中选择单个服务提供商(最好是中立方)与联合证书颁发机构一起管理Fabric网络，将有助于减少由于去中心化Fabric管理而造成的攻击面。

2、与任何区块链一样，Hyperledger Fabric 2.0 的运行以密码学原理为核心。建议在Fabric中加入对于国密算法的支持，以便切实有效地限制漏洞。