m o c . 5 b u h t i g ©2020 云安全联盟大中华区-版权所有 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及, 或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下: (a)本文只可作个人、 信息获取、非商业用途;(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得 删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云 安全联盟大中华区。 ©2020 云安全联盟大中华区-版权所有 2 致谢 云安全联盟大中华区(简称:CSA GCR)区块链安全工作组在 2020 年 2 月份成立。 由黄连金担任工作组组长,9 位领军人分别担任工作组下的 9 个项目小组组长,分别有: 知道创宇创始人&CEO 赵伟领衔数字钱包安全小组,北大信息科学技术学院区块链研究 中心主任陈钟领衔共识算法安全小组,赛博英杰创始人&董事长谭晓生领衔交易所安全 小组,安比实验室创始人郭宇领衔智能合约安全小组,世界银行首席信息安全架构师张 志军领衔 Dapp 安全小组,元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小 组,北理工教授祝烈煌领衔网络层安全小组,武汉大学教授陈晶领衔数据层安全小组, m o c . 5 零时科技 CEO 邓永凯领衔 AML 技术与安全小组。 区块链安全工作组现有 100 多位安全专家们,分别来自中国电子学会、耶鲁大学、 北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢 b u 雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六 十多家单位。 h t i g 本白皮书主要由数字钱包安全小组专家撰写,感谢以下专家的贡献: 原创作者:黄连金、肖龙、姚昌林、赵伟(按照字母排序) 审核专家:陈钟、徐正伟、杨士田、姚晓宇、余弦、赵淦森(按照字母排序) 贡献单位:北京大学、知道创宇(按照字母排序) 关于研究工作组的更多介绍,请在 CSA 大中华区官网(https://c-csa.cn/research/) 上查看。 如本白皮书有不妥当之处,敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱:
[email protected]; 云安全联盟 CSA 公众号: ©2020 云安全联盟大中华区-版权所有 3 序言 随着数字经济的发展,伴随着区块链技术而来的数字钱包形成对数字资产管理方式 的冲击,对于大部分区块链的用户来说,数字钱包是他们首先接触的用户界面。数字钱 包有各种不同的形式,但是都会直接或间接地对数字资产进行控制,或者说直接或间接 地存储了可以控制数字资产所需要的私钥。 《数字钱包安全开发与应用实践》白皮书分析各种不同的数字资产钱包,和可能的 m o c . 5 风险和案例,对于如何开发和使用数字钱包提出了中肯的意见和最佳实践,并且提出了 数字钱包安全测试标准。数字钱包的技术和安全随着区块链技术的发展,也在不断的发 展,本文档对数字钱包安全进行的系统性分析和建议,希望对终端用户和钱包开发者有 借鉴作用。 b u h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录 致谢............................................................................................................................................ 3 序言............................................................................................................................................ 4 1 数字货币钱包分类使用场景................................................................................................ 6 2 数字钱包安全风险分析........................................................................................................ 8 2.1 数字钱包使用过程安全分析...................................................................................... 9 2.2 数字钱包开发&应用技术安全分析.........................................................................10 3.数字钱包安全案例分析......................................................................................................13 m o c . 5 3.1 数字钱包安全事件回溯............................................................................................13 3.2 用户安全使用引导....................................................................................................13 3.3 数字钱包安全设计....................................................................................................14 4 数字钱包安全设计应用实践...............................................................................................15 b u 4.1 无私钥钱包用户需求分析........................................................................................15 4.2 企业级数字资产钱包需求分析................................................................................20 h t i g 5. 数字钱包安全测试标准....................................................................................................25 参考文献..................................................................................................................................37 关于云安全联盟大中华区......................................................................................................38 ©2020 云安全联盟大中华区-版权所有 5 1 数字货币钱包分类使用场景 数字货币钱包是用来帮助你存储、管理、交易数字货币的工具,利用钱包中生成的 数字货币收款地址(公钥),可以接受他人给你转账的数字货币,也可以把你钱包中所 拥有的数字货币资产转账给他人。 从私钥存储方式、存储数据量和使用主体三个维度将钱包进行分类介绍: 按照私钥存储方式分类,可以将钱包分类冷钱包和热钱包两大类。 (1)冷钱包: m o c . 5 是指使用时不需私钥接触网络的钱包,网络无法访问私钥,比如专业的硬件设备, 也称硬件钱包或离线钱包,一般通过 USB 接口、蓝牙、二维码等方式完成私钥签名。 优点:安全等级最高,避免了被黑客盗取私钥的风险;自己真正拥有私钥,不受他 b u 人监管。 缺点:硬件相对较贵;创建钱包和交易相对复杂,效率偏低;只支持主流币种,一 h t i g 般新的小币种不支持;存在硬件丢失或损坏的物理安全风险。 适用场景:交易所、企业、银行、机构、大额持币用户等资产管理安全性较高的场 景。 (2)热钱包: 使用时需要接触网络的钱包,包含电脑客户端钱包、手机 APP 钱包、网页钱包等, 也称在线钱包。 优点:创建钱包和交易均简单,使用方便,转账效率高。 缺点:安全性不足,私钥容易被黑客盗取;手机或电脑丢失,私钥容易被专业人士 破解。 适用场景:新手、持币数量较少者、频繁交易者用于个人用户数字资产便捷交易(客 户端钱包,浏览器钱包,网页版钱包)。 ©2020 云安全联盟大中华区-版权所有 6 按照数字货币是否中心化管理分类,可以将钱包分为去中心化钱包和中心化钱包, 按照存储区块链数据方式,去中心化钱包又分为全节点钱包(重钱包)和轻钱包。 (1)全节点钱包:是指需要同步所有区块链数据的钱包。 优点:可以实现去中心化,更好的隐私性;可以在本地验证交易数据的有效性。 缺点:占用很大的硬盘空间,每次使用前需要同步数据;多币种数字资产支持不好, 用户体验欠佳。 适宜人群:企业、专业人士主要代表 m o c . 5 (2)轻钱包,指依赖区块链网络上其他全节点,仅保存和同步与自己相关的数据。 优点:占用硬盘空间较小,使用时不需同步数据;可以支持多币种数字资产,设计 功能简单,用户体验好。 b u 缺点:实现去中心化不足,交易验证相对较慢。 适宜人群:个人、小白用户主要代表 h t i g (3)中心化钱包,是指不依赖区块链网络,所有的数据均从自己的中心化服务器 中获得,也称链下钱包。 优点:平台负责私钥的安全管理,私钥(密码)忘记或丢失可以找回;交易效率很 高,可以实时到账,可以支持多币种;钱包被盗,大型交易所一般会给予等值赔偿。
CSA 数字钱包安全开发与应用实践
文档预览
中文文档
39 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共39页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-06 02:52:35上传分享