区块链网站sql注入_什么是区块链

A. 如何用最简单的方式解读区块链

大家最近天天都能听到区块链这个词，那什么是区块链呢？“分布式、难以篡改、一致存储”等解释太技术化且较为干涩。我这里来通俗的科普下：区块链主要为了解决互不信任的个体之间的信任问题。

举个通俗的例子：话说老李和老王一个村，老李最近手头有点紧，想向老王借点钱。老王呢，担心借了老李后他赖账怎么办，于是找来“德高望重”的村长，不过想想，村长也不可信，以前村长还偷过别人家的地瓜啊！怎么办？

区块链的方法是：老王借了1000块钱给老李后，然后用大喇叭在村里大喊“我老王今天借了老李1000元钱，大家都赶紧记录下”，于是村里的所有人都记录在了自己家里的账本上，谨慎的保管了起来。这下可好，老李再也赖不过了，村里即便有不守信的人，那还是好人多呀，老李也不可能找村里全部的人偷偷抹掉自己的借钱记录的。就这样，区块链解决了互不信任的老王和老李之间的借钱的信任问题。

在没有出现区块链之前，我们是如何解决互不信任个体间的信任问题呢？简单啊，找两者都信任的“德高望重”的“见证人”就好了，例如故事里的村长，例如买卖双方之间的支付宝，例如公证处等等。不过可能这类“见证人”也不一定一直诚信下去，所以区块链干脆就让大家都作为见证人。

老王放心了，但老李头疼啊！老李要等村里人都记录好了才能拿到借给他的钱，谁家还没个大爷大妈手脚慢一些的。所以目前区块链距离应用还有一定的距离，效率问题需要得到大幅提升才可以。

回想一下，你平时是怎么和别人交易的：一件漂亮的衣服，你可以在实体店挑好，确认好了对方衣服质量不错，对方确认你的钱是真钱，那么我们面对面一手交钱一手拿货。

要是我们隔着十万八千里，彼此既不认识也不信任还是想交易呢？那就要有我们都信任的第三方了，也就是达成所谓的共识机制。比如：你可以在淘宝通过第三方见证担保完成交易，钱先给支付宝——支付宝收款让卖家发货——卖家发货——你确认收货——支付宝再把钱给卖家。

但是，倘若这个中心化的机构作恶了，马爸爸撕了账本，不承认你给了钱，或者和卖家联合起来骗你钱，那可怎么办？

又或者政府借了你一100万，最后用超发货币的方式还给你钱，100万缩水到1万，由你来承受通货膨胀的损失，你又怎么办？

有没有不被任何政府、组织机构控制，能公开透明的完成仲裁，记录了就不被篡改，没有跑路风险的第三方呢？

别着急，我们的主角区块链技术解决就是这样的问题——你们之间的交易可以被所有在这个区块链系统的人见证，大家的小账本里头都会记录你们的交易。B如果否认收了A的钱，或者A说自己借了300块钱，都会被路人甲乙丙丁质疑。具体是如何做到的呢？

1）系统给每个人都发了个小账本，让每个人都有记账的权利，咱们称之为分布式记账。

2）为了鼓励大家帮别人记账，系统代码设定将比特币这样的代币奖励给记账者，为了防止一堆人记账堵死，还将代币设为有限个，甲乙丙丁需要通过系统规定的机制进行计算，算的最快最好的才能获得记账的权利，记录之后通过系统广播给大家，所有人复制一份相同的账本，这个通过计算获得奖励的过程就叫挖矿，记账的路人甲乙丙丁就是矿工。

3）有一天，最初记录这笔交易的甲Game Over了，这个账本却还是存在在其他人的账本里，A和B谁想否认都不行。我们把通过代码写好了如何仲裁和分配，无需银行、政府、企业等中心化组织机构作为第三方见证（去中心化），直接点对点（P2P）交易的方式，称为去中心化。

4）系统把多个交易打包成区块，按时间顺序链接起来成为最后人手一本的账本，这就是区块链技术

其实把区块链简单理解为账本不过是最浅显的解读了，把它的每个特点拆分开来，所能应用的领域很多很多。

现在传统金融行业、券商、投资机构正在跑步入场，物联网，游戏，储存，版权，防伪，征信，支付，预测市场（赌博之类）、社区等众多领域已经开始了区块链的探索应用。

互联网让万物皆可连，区块链能否让所连皆可信呢？

我用天地自然运化的奇石解读一下区块链：

所有科学、哲学、道义⋯⋯天地都包涵着。任何一个事物、任何一种文化都与天地道化有关。

区块链自然逃不脱天地运化法：即顺然、随然、无穷、无常。

它就是这块奇石，其表面整体上的数据运化，一是，整体向着无形无象。二是线点守着一个规律：即无常之道。就是说它们每条线，每个点，追求的都不是一个闭合的目标和一个局限的目的。这样说大家我好理解了：一个画家要画一只鸡，是有目的的，有终结相的，而奇石，大自然造化时，是没有终结相的。所以相不闭合，线、点数据也不终结。区块连接之技术，就是这个天运之道。无常运化无形无象，永无终结。(无中心化，就是无形无相，形式不封闭，结构不封闭，思想不封闭⋯⋯如“石”办事就行)。

山东曲阜孔子灵石馆

大家好，我是皮皮，我在这里用几个生活小例子给大家解读一下什么叫区块链？

去中心化，不可篡改级，分布式存贮的，以加密信息做链接地址的数据区块链接系统，叫区块链

这玩意本来就是许多高科技的复合品，没法简单，再简单也是一大段话，而且未必能说清楚

区块链（Blockchain）严格的定义是指通过基于密码学技术设计的共识机制方式，在对等网络中多个节点共同维护一个持续增长，由时间戳和有序记录数据块所构建的链式列表账本的分布式数据库技术。该技术方案让参与系统中的任意多个节点，把一段时间系统内全部信息交流的数据，通过密码学算法计算和记录到一个数据块（block），并且生成该数据块的指纹用于链接（chain）下个数据块和校验，系统所有参与节点来共同认定记录是否为真。

区块链是一种类似于NoSQL（非关系型数据库）这样的技术解决方案统称，并不是某种特定技术，能够通过很多编程语言和架构来实现区块链技术。并且实现区块链的方式种类也有很多，目前常见的包括POW（Proof of Work，工作量证明），POS（Proof of Stake，权益证明），DPOS（Delegate Proof of Stake，股份授权证明机制）等。

区块链的概念首次在论文《比特币：一种点对点的电子现金系统（Bitcoin: A Peer-to-Peer Electronic Cash System）》中提出，作者为自称中本聪（Satoshi Nakamoto）的个人（或团体）。因此可以把比特币看成区块链的首个在金融支付领域中的应用。

【通俗解释】

无论多大的系统或者多小的网站，一般在它背后都有数据库。那么这个数据库由谁来维护？在一般情况下，谁负责运营这个网络或者系统，那么就由谁来进行维护。如果是微信数据库肯定是腾讯团队维护，淘宝的数据库就是阿里的团队在维护。大家一定认为这种方式是天经地义的，但是区块链技术却不是这样。

如果我们把数据库想象成是一个账本：比如支付宝就是很典型的账本，任何数据的改变就是记账型的。数据库的维护我们可以认为是很简单的记账方式。在区块链的世界也是这样，区块链系统中的每一个人都有机会参与记账。系统会在一段时间内，可能选择十秒钟内，也可能十分钟，选出这段时间记账最快最好的人，由这个人来记账，他会把这段时间数据库的变化和账本的变化记在一个区块（block）中，我们可以把这个区块想象成一页纸上，系统在确认记录正确后，会把过去账本的数据指纹链接（chain）这张纸上，然后把这张纸发给整个系统里面其他的所有人。然后周而复始，系统会寻找下一个记账又快又好的人，而系统中的其他所有人都会获得整个账本的副本。这也就意味着这个系统每一个人都有一模一样的账本，这种技术，我们就称之为区块链技术（Blockchain），也称为分布式账本技术。

由于每个人（计算机）都有一模一样的账本，并且每个人（计算机）都有着完全相等的权利，因此不会由于单个人（计算机）失去联系或宕机，而导致整个系统崩溃。既然有一模一样的账本，就意味着所有的数据都是公开透明的，每一个人可以看到每一个账户上到底有什么数字变化。它非常有趣的特性就是，其中的数据无法篡改。因为系统会自动比较，会认为相同数量最多的账本是真的账本，少部分和别人数量不一样的账本是虚假的账本。在这种情况下，任何人篡改自己的账本是没有任何意义的，因为除非你能够篡改整个系统里面大部分节点。如果整个系统节点只有五个、十个节点也许还容易做到，但是如果有上万个甚至上十万个，并且还分布在互联网上的任何角落，除非某个人能控制世界上大多数的电脑，否则不太可能篡改这样大型的区块链。

【要素】

结合区块链的定义，我们认为必须具有如下四点要素才能被称为公开区块链技术，如果只具有前3点要素，我们将认为其为私有区块链技术（私有链）。

1、点对点的对等网络（权力对等、物理点对点连接）

2、可验证的数据结构（可验证的PKC体系，不可篡改数据库）

3、分布式的共识机制（解决拜占庭将军问题，解决双重支付）

4、纳什均衡的博弈设计（合作是演化稳定的策略）

【特性】

结合定义区块链的定义，区块链会现实出四个主要的特性：去中心化（Decentralized）、去信任（Trustless）、集体维护（Collectively maintain）、可靠数据库（Reliable Database）。并且由四个特性会引申出另外2个特性：开源（Open Source）、隐私保护（Anonymity）。如果一个系统不具备这些特征，将不能视其为基于区块链技术的应用。

去中心化（Decentralized）：整个网络没有中心化的硬件或者管理机构，任意节点之间的权利和义务都是均等的，且任一节点的损坏或者失去都会不影响整个系统的运作。因此也可以认为区块链系统具有极好的健壮性。

去信任（Trustless）：参与整个系统中的每个节点之间进行数据交换是无需互相信任的，整个系统的运作规则是公开透明的，所有的数据内容也是公开的，因此在系统指定的规则范围和时间范围内，节点之间是不能也无法欺骗其它节点。

集体维护（Collectively maintain）：系统中的数据块由整个系统中所有具有维护功能的节点来共同维护的，而这些具有维护功能的节点是任何人都可以参与的。

可靠数据库（Reliable Database）：整个系统将通过分数据库的形式，让每个参与节点都能获得一份完整数据库的拷贝。除非能够同时控制整个系统中超过51%的节点，否则单个节点上对数据库的修改是无效的，也无法影响其他节点上的数据内容。因此参与系统中的节点越多和计算能力越强，该系统中的数据安全性越高。

开源（Open Source）：由于整个系统的运作规则必须是公开透明的，所以对于程序而言，整个系统必定会是开源的。

隐私保护（Anonymity）：由于节点和节点之间是无需互相信任的，因此节点和节点之间无需公开身份，在系统中的每个参与的节点的隐私都是受到保护的。

【区块链意义之一：解决拜占庭将军问题】

区块链解决的核心问题不是“数字货币”，而是在信息不对称、不确定的环境下，如何建立满足经济活动赖以发生、发展的“信任”生态体系。而这个问题称之为“拜占庭将军问题”，也可称为“拜占庭容错”或者“两军问题”，这是一个分布式系统中进行信息机交互时面临的难题，即在整个网络中的任意节点都无法信任与之通信的对方时，如何能创建出共识基础来进行安全的信息交互而无需担心数据被篡改。区块链使用算法证明机制来保证整个网络的安全，借助它，整个系统中的所有节点能够在去信任的环境下自动安全的交换数据。更多介绍请参见《比特币与拜占庭将军问题》。

【区块链意义之二：实现跨国价值转移】

互联网诞生最初，最早核心解决的问题是信息制造和传输，我们可以通过互联网将信息快速生成并且复制到全世界每一个有着网络的角落，但是它尚始终不能解决价值转移和信用转移。这里所谓的价值转移是指，在网络中每个人都能够认可和确认的方式，将某一部分价值精确的从某一个地址转移到另一个地址，而且必须确保当价值转移后，原来的地址减少了被转移的部分，而新的地址增加了所转移的价值。这里说的价值可以是货币资产，也可以是某种实体资产或者虚拟资产（包括有价证券、金融衍生品等）。而这操作的结果必须获得所有参与方的认可，且其结果不能受到任何某一方的操纵。

在目前的互联网中也有各种各样的金融体系，也有许多政府银行提供或者第三方提供的支付系统，但是它还是依靠中心化的方案来解决。所谓中心化的方案，就是通过某个公司或者政府信用作为背书，将所有的价值转移计算放在一个中心服务器（集群）中，尽管所有的计算也是由程序自动完成，但是却必须信任这个中心化的人或者机构。事实上通过中心化的信用背书来解决，也只能将信用局限在一定的机构、地区或者国家的范围之内。由此可以看出，必须要解决的这个根本问题，那就是信用。所以价值转移的核心问题是跨国信用共识。

在如此纷繁复杂的全球体系中，要凭空建立一个全球性的信用共识体系是很难的，由于每个国家的政治、经济和文化情况不同，对于两个国家的企业和政府完全互信是几乎做不到的，这也就意味着无论是以个人抑或企业政府的信用进行背书，对于跨国之间的价值交换即使可以完成，也有着巨大的时间和经济成本。但是在漫长的人类历史中，无论每个国家的宗教、政治和文化是如何的不同，唯一能取得共识的是数学（基础科学）。因此，可以毫不夸张的说，数学（算法）是全球文明的最大公约数，也是全球人类获得最多共识的基础。如果我们以数学算法（程序）作为背书，所有的规则都建立一个公开透明的数学算法（程序）之上，能够让所有不同政治文化背景的人群获得共识。

【未来的发展】

互联网将使得全球之间的互动越来越紧密，伴随而来的就是巨大的信任鸿沟。目前现有的主流数据库技术架构都是私密且中心化的，在这个架构上是永远无法解决价值转移和互信问题。所以区块链技术有可能将成为下一代数据库架构。通过去中心化技术，将能够在大数据的基础上完成数学（算法）背书、全球互信这个巨大的进步。

区块链技术作为一种特定分布式存取数据技术，它通过网络中多个参与计算的节点开共同参与数据的计算和记录，并且互相验证其信息的有效性（防伪）。从这一点来，区块链技术也是一种特定的数据库技术。互联网刚刚进入大数据时代，但是从目前来看，大数据还处于非常基础的阶段。但是当进入到区块链数据库阶段，将进入到真正的强信任背书的大数据时代。这里面的所有数据都获得坚不可摧的质量，任何人都没有能力也没有必要去质疑。

也许我们现在正处在一个重大的转折点之上——和工业革命所带来的深刻变革几乎相同的重大转折的早期阶段。不仅仅是新技术指数级、数字化和组合式的进步与变革，更多的惊喜也许还会在我们前面。在未来的24个月里，这个星球所增长的计算机算力和记录的数据将会超过所有历史阶段的总和。在过去的24个月里，这个增值可能已经超过了1000倍。这些数字化的数据信息还在以比摩尔定律更快的速度增长。区块链技术将不仅仅应用在金融支付领域，而是将会扩展到目前所有应用范围，诸如去中心化的微博、微信、搜索、租房，甚至是打车软件都有可能会出现。因为区块链将可以让人类无地域限制的、去信任的方式来进行大规模协作。

区块链是一种技术，基于这项技术产生很多应用，包括与数据和信息相关的一切行业业务，比特币就是其中最为人熟知的一种应用。对于区块链的通俗解释就是，假如在网上买一只口红，首先找到心仪的产品和卖家下单，先把钱给中间平台，等到卖家发货买家确认收货以后，中间平台再把钱转给卖家，因为信任问题买卖家之间都依赖于中间平台，而区块链作为去中心化的分布式账本数据库，则着力于去掉这个中间平台但同时又解决信任问题。在区块链中每个人拥有自己的记账本，用来记录发生的每一件事，假如在交易中出现卖家拿钱不发货的行为，这一条记录将永久存在不可修改，不需要互相交换信息，区块链的世界会选择在同一个时间节点记录最快质量最好的那个人的记账本进行复制发送并串联，最后越叠越厚形成区块。

大家在谈论虚拟货币时，往往离不开区块链这个概念，那么区块链到底是个神马玩意呢？

区块链是一种底层技术，本质上是一个去中心化的分布式账本数据库。听起来好像十分高端，遥不可及，其实是很容易理解的。

举个例子，假如要在淘宝上购买商品，那么一般首先要做的就是打开淘宝，找到想要的商品并下单将钱支付给作为交易中介的淘宝。等收到商品并确认收货后淘宝便会将货款打给卖家。这本来只是我和卖家的交易，但却多了个“中心”，即淘宝。

在交易进行的过程中，这个“中心”拥有无限大的权力，甚至随意修改账单。因此，“中心”往往需要强大的后台为其背书。

于是，有一个名叫中本聪的男人想要干掉这个权力无穷大的中心，他想创造一个去中心化的系统，在这个系统里，每个人都是中心，都有记账的权力。于是，他创造了比特币。

在比特币的系统中，每个人都有一个小账本用以记录发生的每一笔交易。一笔交易只有经过大部分人确认后才有效。如果卖家不发货，那么每个人的小账本都会将这件事记录下来，让他无处可逃。

这时候大家可能会有疑问，既然只是一个公开的账本，那么为什么又要叫区块链呢？这就涉及到了共识问题，区块链系统是一个由众多“中心”组成的系统，整个区块链是属于所有参与记账的个体的。这时候就产生了新的问题，一个系统必须要有秩序才能长远的存在。假如记账者可以不计成本地胡作非为，那就可能出现本来只是购买一台手机，但收到的却是一台特斯拉的情况。

于是，中本聪发明了一种名为PoW的共识方式。这种方式提高了记账者记账的成本，让其不能轻易作恶。PoW通过密码学的方式要求记账者需要通过竞争计算能力来获取记账权，第一个计算出结果的记账者即可获得一个由若干笔交易打包而来的区块的记账权，同时获得一定的代币作为奖励。这就是我们俗称的“挖矿”。

既然记账者已经将一个包含了若干笔交易的区块记录了下来，那么系统就需要进行整理排序，不可能让无数的区块杂乱无章地分布在系统中。于是就需要把所有区块按照时间顺序首尾相连链接链接起来，这时，区块链便诞生了。区块链的核心是技术。

B. SQL数据链将会是第二个比特币吗

比特币是虚拟货币，SQL数据链也就是区块链，是一种算法。一种算法不等于一种虚拟货币。所以肯定不会是第二个比特币。但是SQL数据链可以作为生成虚拟货币的算法就是了。

C. 区块链目前用到哪些共识机制它们各自的优缺点和适用范围是什么

1、区块链的技术是什么?

如果我们把数据库假设成一本账本，读写数据库就可以看做一种记账的行为，区块链技术的原理就是在一段时间内找出记账最快最好的人，由这个人来记账，然后将账本的这一页信息发给整个系统里的其他所有人。这也就相当于改变数据库所有的记录，发给全网的其他每个节点，所以区块链技术也称为分布式账本（distributed ledger）。

区块链（Blockchain）是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。该技术方案主要让参与系统中的任意多个节点，通过一串使用密码学方法相关联产生的数据块（block），每个数据块中包含了一定时间内的系统全部信息交流数据，并且生成数据指纹用于验证其信息的有效性和链接（chain）下一个数据库块。区块链是一种类似于NoSQL（非关系型数据库）这样的技术解决方案统称，并不是某种特定技术，能够通过很多编程语言和架构来实现区块链技术。并且实现区块链的方式种类也有很多，目前常见的包括POW（Proof of Work，工作量证明），POS（Proof of Stake，权益证明），DPOS（Delegate Proof of Stake，股份授权证明机制）等。区块链的概念首次在论文《比特币：一种点对点的电子现金系统（Bitcoin: A Peer-to-Peer Electronic Cash System）》中提出，作者为自称中本聪（Satoshi Nakamoto）的个人（或团体）。因此可以把比特币看成区块链的首个在金融支付领域中的应用。

2、区块链的原理是什么?

结合定义区块链的定义，需要有这四个特征我们才能认为：去中心化（Decentralized）、去信任（Trustless）、集体维护（Collectively maintain）、可靠数据库（Reliable Database）。并且由四个特征会引申出另外2个特征：

开源（Open Source）、匿名性（Anonymity）。如果一个系统不具备这些特征，将不能视其为基于区块链技术的应用。去中心化（Decentralized）：整个网络没有中心化的硬件或者管理机构，任意节点之间的权利和义务都是均等的，且任一节点的损坏或者失去都会不影响整个系统的运作。因此也可以认为区块链系统具有极好的健壮性。去信任（Trustless）：参与整个系统中的每个节点之间进行数据交换是无需互相信任的，整个系统的运作规则是公开透明的，所有的数据内容也是公开的，因此在系统指定的规则范围和时间范围内，节点之间是不能也无法欺骗其它节点。集体维护（Collectively maintain）：系统中的数据块由整个系统中所有具有维护功能的节点来共同维护的，而这些具有维护功能的节点是任何人都可以参与的。可靠数据库（Reliable Database）：整个系统将通过分数据库的形式，让每个参与节点都能获得一份完整数据库的拷贝。除非能够同时控制整个系统中超过51%的节点，否则单个节点上对数据库的修改是无效的，也无法影响其他节点上的数据内容。因此参与系统中的节点越多和计算能力越强，该系统中的数据安全性越高。开源（Open Source）：由于整个系统的运作规则必须是公开透明的，所以对于程序而言，整个系统必定会是开源的。匿名性（Anonymity）：由于节点和节点之间是无需互相信任的，因此节点和节点之间无需公开身份，在系统中的每个参与的节点都是匿名的。

3、区块链金融是什么?

2016年，革新者将被革新。新一轮技术革命将一边应对共享经济的陌生人之间信任的挑战，一边破坏此类平台赚钱的基础。

传统的中介

共享经济虽然有效地挑战了现状，并且带有强烈创新属性，但是，它采用的依然是非常传统的商业模式。

最常见的对交易收取佣金的方式已经沿用了数个世纪。今天，技术已经让很多事成为可能，但是仍无法完全取代中介。

P2P 平台与其他在线市场刚兴起时，人们纷纷谈论去中介（disintermediation），这种绕过传统中介，通过网络直接将人们连接起来的新方式。事实上，尽管我们已经体会到新型市场便捷得多，并看到与各种供应商进行交易的可能性，但是，我们今天仍然在很大程度上依赖中介。事实是如今最大的新型企业正是巨型中介，其规模超乎想象，像阿里巴巴、Amazon、eBay 和 Uber。

有没有一种技术解决方案，能够完全去除各交易方之间的中介？是否存在一个系统，在其中你能够与任何人直接交易，并免于受到欺骗，同时无人拥有该系统，因此没有佣金收取方。

区块链技术使之成为可能。区块链是比特币的核心技术，极具创新性，可以用于建成完全透明、无主、分散的系统，能在没有任何形式中介的情况下，保证各种交易方安全进行交易，这些交易方包括人、企业。

自然而然地，很多资源流向了区块链，区块链也给金融与法律行业带来了相当的影响，并最终将在这两个行业肆虐横行，或者提供最佳机会，这全在于你怎么看待它。

去中心化金融

2015年，可能是出于对另类金融（alternative finance）市场增长的高度敏感，九家投资银行针对区块链技术金融服务联合开发了开放标准。去年，不断有各种活动讨论区块链技术的未来，还推出了Slock.it，这是去中心化共享经济的第一批技术堆栈之一。

区块链下的共享经济是什么样的？

如果你想在共享经济中继续赚取佣金，那就要创造新的商业模式。

当然，区块链市场仍将需要一些投资。开发者可能乐于花费时间，解决困扰系统的代码。但是，我至今还没遇到早该出现的有类似想法或乐于投资的品牌顾问、设计师或商人。单单依靠代码无法帮助区块链市场进入主流。

但是区块链将会蓬勃发展，加之摆脱了烦人的中介，几乎可以预测它肯定会比现有的共享经济更加便宜，到那时，巨头们就会被迫着手应对。

老牌共享经济将重复历史，因坚信本身坚不可摧而走向没落，被更灵活、有科技助力的竞争对手迅速取代？还是将进行实验，在共享经济 2.0 中找到有利可图的市场，并在游戏中胜出？

那么信用呢？

信用，是共享经济相关所有讨论中的最高频词，相当复杂棘手。目前的协作平台们表达地非常清晰：我们能提高共享经济中的信任水平；我们能采取最优措施，保证用户信任我们的平台并在上面交易，但是，我们无法保证人与人的交易值得信任。区块链解则解决了上述问题。

区块链中交易系统不可改变，并且可以在已分配分类账内跟踪每笔交易，智能合同为所有双方交易充分设定参数与条件，因此区块链不再需要任何的 “可信中介” 或者陌生人之间信用的担保方。

到 2017年，监管机构将意识到他们需要彻底反思共享经济领域的规章制度。那时，各交易方将在区块链中达成数亿的独立合同，一种解决方案是向系统中敲进规则代码。

2008年左右共享经济首次出现时，很多人欢呼不已，认为是将带领我们进入一种新的包容、可持续经济的现象，是未来带我们进入后资本范式的一种民主化力量。但是，（到目前为止）事实并非如此。互联网刚出现时也是这样，在最初阶段曾被乌托邦式理想化，所以，对区块链持有同样变革性期待的人很可能会失望。即便如此，区块链将动摇共享经济巨头，这丝毫不会受到影响。

4、区块链社区

布比区块链专注于区块链技术和产品的创新，已拥有多项核心技术，开发了自有的区块链服务平台。以去中心化信任为核心，致力于打造开放式价值流通网络，让数字资产都自由流动起来。

特色与优势

已取得多项核心技术创新，开发了自有的区块链基础服务平台，已在股权、供应链、积分、信用等领域开展应用。

快速交易验证

通过对签名算法、共识机制、账本存储等关键交易环节的优化，布比区块链可以实现秒级的快速交易验证。

高效账本存取

布比区块链对账本存储结构的调整，可以节省90%的储存空间，降低系统长时间运行，导致账本存取性能下降的风险。

多种资产发行

布比区块链支持不同用户、多种资产的发行与交易，每种资产可跟踪记录发行商、发行数量、交易流通等详情。

联合签名控制

允许同一账户下设置多个使用用户，并针对不同的操作设置相应的权限，以满足多方签名控制的使用场景。

内置智能合约

智能合约是一套以数字形式定义的承诺，区块链变身合约的参与方，负责维护保存合约，并自动执行。

链上交易所

与传统中心化交易所相比，用区块链构建的交易平台，所有交易都在链上验证、完成和保存，保障用户交易安全性。

布比区块链要做的是一项新的技术和产品——实现真正的价值流通，使得互联网到达一个新的高度。如果有了这个技术的应用，在转移资产的时候就可以没有中心机构了，可以实现我们之间资产的直接转移。将来如果网络本身可以结账，我们就可以直接转移了，就不需要通过中间机构。

D. 软件供应链安全及防护工具研究

文中国信息通信研究院云计算与大数据研究所云计算部工程师吴江伟

随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异，数字化转型进程逐步推进，软件已经成为日常生产生活必备要素之一，渗透到各个行业和领域。容器、中间件、微服务等技术的演进推动软件行业快速发展，同时带来软件设计开发复杂度不断提升，软件供应链也愈发复杂，全链路安全防护难度不断加大。近年来，软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁，自动化安全工具是进行软件供应链安全防御的必要方式之一，针对软件供应链安全及工具进行研究意义重大，对于维护国家网络空间安全，保护用户隐私、财产安全作用深远。

一、软件供应链安全综述

软件供应链定义由传统供应链的概念延伸扩展而来。业界普遍认为，软件供应链指一个通过一级或多级软件设计、开发阶段编写软件，并通过软件交付渠道将软件从软件供应商送往软件用户的系统。软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道安全的总和。软件供应链攻击具有低成本、高效率的特点，根据其定义可知，相比传统针对软件自身安全漏洞的攻击，针对软件供应链，受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备，显着降低了攻击者的攻击难度。同时，软件设计和开发所产生的任何安全问题都会直接影响供应链中所有下游软件的安全，扩大了攻击所造成的影响。

近年来，软件自身安全防御力度不断加大，攻击者把攻击目标由目标软件转移到软件供应链最薄弱的环节，软件供应链安全事件频发，对用户隐私及财产安全乃至国家安全造成重大威胁。最典型的如 2020 年 12 月，美国网络安全管理软件供应商“太阳风”公司（SolarWinds）遭遇国家级 APT 组织高度复杂的供应链攻击，直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响，可任由攻击者完全操控。

软件供应链安全影响重大，各国高度重视，纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日，美国总统拜登签署发布《改善国家网络安全行政令》，明确提出改善软件供应链安全，要求为出售给政府的软件开发建立基线安全标准，不仅提供应用程序，而且还必须提供软件物料清单，提升组成该应用程序组件的透明度，构建更有弹性且安全的软件供应链环境，确保美国的国家安全。同年 7 月，美国国家标准与技术所（NIST）发布《开发者软件验证最低标准指南》，为加强软件供应链安全加码，明确提出关于软件验证的 11 条建议，包括一致性自动化测试，将手动测试最少化，利用静态代码扫描查找重要漏洞，解决被包含代码（库、程序包、服务）等。

我国对软件供应链安全问题也给予了高度重视，2017 年 6 月，我国发布实施《网络产品和服务安全审查办法》，将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容。2019 年12 月 1 日，《信息安全技术网络安全等级保护基本要求》2.0 版本正式实施，在通用要求及云计算扩展部分明确要求服务供应商选择及供应链管理。

二、软件供应链安全挑战

目前，软件供应链安全受到高度重视，但仍面临多重现实挑战，可以总结分为以下五大类。

1. 软件设计开发复杂化成为必然趋势

随着容器、中间件、微服务等新技术的演进，软件行业快速发展，软件功能及性能需求也不断提升，软件设计开发复杂化已经成为必然趋势。这一现状同时带来了软件设计、开发及维护难度陡增，设计与开发过程不可避免的产生安全漏洞，为软件供应链安全埋下隐患。

2. 开源成为主流开发模式

当前，开源已经成为主流开发模式之一，软件的源代码大多数是混源代码，由企业自主开发的源代码和开源代码共同组成。根据新思科技《2021 年开源安全和风险分析》报告显示，近 5 年，开源代码在应用程序中所占比例由 40% 增至超过 70%。开源的引入加快了软件的研发效率，但同时也将开源软件的安全问题引入了软件供应链，导致软件供应链安全问题多元化。

3. 快速交付位于第一优先级

由于业界竞争环境激烈，相较于安全，功能快速实现，软件快速交付仍处于第一优先级，虽然软件通常实现了安全的基本功能需求，如身份认证鉴权、加解密、日志安全审计等，但整体安全防护机制相对滞后，以后期防护为主，前期自身安全性同步建设往往被忽视，软件自身代码安全漏洞前期清除存在短板。

4. 软件交付机制面临安全隐患

软件交付指软件由软件供应商转移到软件用户的过程。传统软件交付以光盘等存储设备为载体，随着互联网等技术的发展，通过网络对于软件进行快速分发已经成为基本模式，不安全的分发渠道同样会对软件供应链安全产生重大影响。

5. 使用时软件补丁网站攻击

针对软件供应链安全防护，软件的生命周期并非结束于软件交付之后，而是直到软件停用下线。软件在设计及开发过程中难免存在安全缺陷，通过补丁下发部署是修复软件缺陷漏洞的最通用方式。软件补丁的下发部署同样受分发渠道影响，受污染的补丁下载站点同样会造成软件供应链安全问题。

三、软件供应链安全防护工具

软件供应链安全涉及众多元素及环节，参考业界常见划分，软件供应链环节可抽象成开发环节、交付环节、使用环节三部分。针对交付环节及使用环节安全防护，主要通过确保分发站点及传输渠道安全。开发环节与软件源代码紧密相关，安全防护较为复杂，囊括编码过程、工具、设备及供应链上游的代码、模块和服务的安全，涉及四类安全工具，包括软件生产过程中的工具和软件供应链管理工具。

1. 静态应用程序安全测试工具

静态应用程序安全测试（SAST）是指不运行被测程序本身，仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性。源代码静态分析技术的发展与编译技术和计算机硬件设备的进步息息相关，源代码安全分析技术多是在编译技术或程序验证技术的基础上提出的，利用此类技术能够自动地发现代码中的安全缺陷和违背安全规则的情况。目前，主流分析技术包括：（1）词法分析技术，只对代码的文本或 Token 流与已知归纳好的缺陷模式进行相似匹配，不深入分析代码的语义和代码上下文。词法分析检测效率较高，但是只能找到简单的缺陷，并且误报率较高。（2）抽象解释技术，用于证明某段代码没有错误，但不保证报告错误的真实性。该技术的基本原理是将程序变量的值映射到更加简单的抽象域上并模拟程序的执行情况。因此，该技术的精度和性能取决于抽象域对真实程序值域的近似情况。（3）程序模拟技术，模拟程序执行得到所有执行状态，分析结果较为精确，主要用于查找逻辑复杂和触发条件苛刻的缺陷，但性能提高难度大。主要包括模型检查和符号执行两种技术，模型检查将软件构造为状态机或者有向图等抽象模型，并使用模态/时序逻辑公式等形式化的表达式来描述安全属性，对模型遍历验证这些属性是否满足；符号执行使用符号值表示程序变量值，并模拟程序的执行来查找满足漏洞检测规则的情况。（4）定理证明技术，将程序错误的前提和程序本身描述成一组逻辑表达式，然后基于可满足性理论并利用约束求解器求得可能导致程序错误的执行路径。该方法较为灵活性，能够使用逻辑公式方便地描述软件缺陷，并可根据分析性能和精度的不同要求调整约束条件，对于大型工业级软件的分析较为有效。（5）数据流分析技术，基于控制流图，按照某种方式扫面控制流图的每一条指令，试图理解指令行为，以此判断程序中存在的威胁漏洞。数据流分析的通用方法是在控制流图上定义一组方程并迭代求解，一般分为正向传播和逆向传播，正向传播就是沿着控制流路径，状态向前传递，前驱块的值传到后继块；逆向传播就是逆着控制流路径，后继块的值反向传给前驱块。

2. 动态应用程序安全测试工具

动态应用程序安全测试（DAST）技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该应用是否易受攻击。以 Web 网站测试为例对动态应用程序安全测试进行介绍，主要包括三个方面的内容：（1）信息收集。测试开始前，收集待测试网站的全部 URL，包括静态资源和动态接口等，每一条 URL 需要包含路径和完整的参数信息。（2）测试过程。测试人员将测试所需的 URL列表导入到测试工具中。测试工具提供“检测风险项”的选择列表，测试人员可根据测试计划选择不同的风险检测项。测试工具在测试过程中，对访问目标网站的速度进行控制，保证目标网站不会因为同一时刻的请求数过高，导致网站响应变慢或崩溃。测试人员在设定测试任务的基本信息时，根据目标网站的性能情况填入“每秒请求数”的最大值。测试工具在测试过程中保证每秒发送请求的总数不超过该数值。（3）测试报告。在安全测试各步骤都完成后，输出测试报告。测试报告一般包含总览页面，内容包括根据测试过程产生的各种数据，输出目标网站安全性的概要性结论；测试过程发现的总漏洞数，以及按照不同安全等级维度进行统计的漏洞数据。

3. 交互式应用程序安全测试工具

交互式应用程序安全测试（IAST）通过插桩技术，基于请求及运行时上下文综合分析，高效、准确地识别安全缺陷及漏洞，确定安全缺陷及漏洞所在的代码位置，主要在三方面做工作：流量采集、Agent监控、交互扫描。（1）流量采集，指采集应用程序测试过程中的 HTTP/HTTPS 请求流量，采集可以通过代理层或者服务端 Agent。采集到的流量是测试人员提交的带有授权信息有效数据，能够最大程度避免传统扫描中因为测试目标权限问题、多步骤问题导致扫描无效；同时，流量采集可以省去爬虫功能，避免测试目标爬虫无法爬取到导致的扫描漏水问题。（2）Agent 监控，指部署在 Web 服务端的 Agent 程序，一般是 Web 服务编程语言的扩展程序，Agent通过扩展程序监控 Web 应用程序性运行时的函数执行，包括 SQL 查询函数、命令执行函数、代码执行函数、反序列化函数、文件操作函数、网络操作函数，以及 XML 解析函数等有可能触发漏洞利用的敏感函数。（3）交互扫描，指 Web 应用漏洞扫描器通过Agent 监控辅助，只需要重放少量采集到的请求流量，且重放时附带扫描器标记，即可完成对 Web 应用程序漏洞的检测。例如，在检测 SQL 注入漏洞时，单个参数检测，知名开源 SQL 注入检测程序 SQLMAP需要发送上千个 HTTP 请求数据包；交互扫描只需要重放一个请求，附带上扫描器标记，Agent 监控SQL 查询函数中的扫描器标记，即可判断是否存在漏洞，大大减少了扫描发包量。

4. 软件组成分析软件组成分析

（SCA）主要针对开源组件，通过扫描识别开源组件，获取组件安全漏洞信息、许可证等信息，避免安全与法律法规风险。现有的开源组成扫描技术分为五种。（1）通过进行源代码片段式比对来识别组件并识别许可证类型。（2）对文件级别提取哈希值，进行文件级哈希值比对，若全部文件哈希值全部匹配成功则开源组件被识别。（3）通过扫描包配置文件读取信息，进行组件识别从而识别组件并识别许可证类型。（4）对开源项目的文件目录和结构进行解析，分析开源组件路径和开源组件依赖。（5）通过编译开源项目并对编译后的开源项目进行依赖分析，这种方式可以识别用在开源项目中的开源组件信息。

四、软件供应链安全研究建议

1. 发展软件安全工具相关技术

软件供应链安全防护的落地离不开安全工具的发展使用。大力发展软件安全工具技术，解决安全开发难点需求，进行安全前置，实现安全保护措施与软件设计、开发同步推进。

2. 提升软件供应链安全事件的防护、检测和响应能力

软件供应链安全防护需要事前、事中、事后的全方位安全防御体系。软件供应链安全攻击事件具有隐蔽性高、传播性强、影响程度深的特点，软件供应链作为一个复杂、庞大的系统，难免存在脆弱节点，应提升对软件供应链安全攻击事件的防护、检测和响应能力，避免安全事件造成重大影响。

3. 构建完善软件供应链安全相关标准体系

通过科研院所及标准机构完善软件供应链安全标准体系，普及软件供应链安全防范意识，提升企业组织对软件供应链安全的重视程度，进行软件供应链安全投入，推进安全建设工作落实。

4. 建立软件供应链安全可信生态

实现软件供应链安全需要各领域企业的共同努力。企业共建安全可信生态将满足不同用户、不同行业、不同场景的安全可信需求，提升业界整体软件供应链安全水平。

（本文刊登于《中国信息安全》杂志2021年第10期）

E. 区块链在供应链金融中怎么使用

在传统供应链金融中，融资难、融资成本高、融资流程繁琐一直是制约中小微企业做大做强的瓶颈之一。银行依赖于核心企业的控货能力和调节销售能力，出于风控的考虑，银行仅愿对核心企业有直接应付账款义务的上游供应商(限于一级供应商)提供保理业务，或对其下游经销商(一级供应商)，提供预付款或者存货融资。这就导致了有巨大融资需求的二级、三级等供应商/经销商的需求得不到满足，供应链金融的业务量受到限制，而中小企业得不到及时的融资易导致产品质量问题，会伤害整个供应链体系。

解决这些问题则可以利用区块链技术去中心化、不可篡改、分布式账本的特性打造区块链供应链金融平台。

1. 核心企业签发应收凭证给分销商，分销商签收后表示签订了购销合同，核心企业发货。

2. 分销商因资金紧张需要向金融融资贷款。

3. 金融机构审核同意后把贷款的金额打给核心企业。

4.分销商卖掉货物后归还贷款和利息

F. “区块链”是什么意思，将来对人们的生活有什么作用

区块链（Blockchain）是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。该技术方案主要让参与系统中的任意多个节点，通过一串使用密码学方法相关联产生的数据块（block），每个数据块中包含了一定时间内的系统全部信息交流数据，并且生成数据指纹用于验证其信息的有效性和链接（chain）下一个数据库块。
区块链是一种类似于NoSQL（非关系型数据库）这样的技术解决方案统称，并不是某种特定技术，能够通过很多编程语言和架构来实现区块链技术。并且实现区块链的方式种类也有很多，目前常见的包括POW（Proof of Work，工作量证明），POS（Proof of Stake，权益证明），DPOS（Delegate Proof of Stake，股份授权证明机制）等。
互联网将使得全球之间的互动越来越紧密，伴随而来的就是巨大的信任鸿沟。目前现有的主流数据库技术架构都是私密且中心化的，在这个架构上是永远无法解决价值转移和互信问题。所以区块链技术有可能将成为下一代数据库架构。通过去中心化技术，将能够在大数据的基础上完成数学（算法）背书、全球互信这个巨大的进步。
区块链技术作为一种特定分布式存取数据技术，它通过网络中多个参与计算的节点开共同参与数据的计算和记录，并且互相验证其信息的有效性（防伪）。从这一点来，区块链技术也是一种特定的数据库技术。互联网刚刚进入大数据时代，但是从目前来看，大数据还处于非常基础的阶段。但是当进入到区块链数据库阶段，将进入到真正的强信任背书的大数据时代。这里面的所有数据都获得坚不可摧的质量，任何人都没有能力也没有必要去质疑。

G. 区块链钱包安全吗

近年来，数字钱包安全事件频发。

2019年11月19日，Ars Technica报道称两个加密货币钱包数据遭泄露，220万账户信息被盗。安全研究员Troy Hunt证实，被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。

这已经不是Gatehub第一次遭遇数据泄露了。据报道，去年6月，黑客入侵了大约100 个XRP Ledger钱包，导致近1000万美元的资金被盗。

2019年3月29日，Bithumb失窃事件闹得沸沸扬扬。据猜测，这次事件起因为Bithumb拥有的g4ydomrxhege帐户的私钥被黑客盗取。

随即，黑客将窃取的资金分散到各个交易所，包括火币，HitBTC，WB和EXmo。根据非官方数据和用户估计，Bithumb遭受的损失高达300万个EOS币（约1300万美元）和2000万个XRP币（约600万美元）以上。

由于数字货币的匿名性及去中心化，导致被盗资产在一定程度上难以追回。因此，钱包的安全性至关重要。

CertiK技术团队认为这是减少攻击面和保护用户隐私的方法。

但是，如果应用程序希望为客户提供除了帐户管理和令牌传输之外的更多功能，那么该应用程序可能需要一个带有数据库和服务器端代码的中心化服务器。

服务器端组件要测试的项目高度依赖于应用程序特性。

根据在研究以及与客户接触中发现的服务器端漏洞，我们编写了下文的漏洞检查表。当然，它并不包含所有可能产生的服务器端漏洞。

认证和授权

KYC及其有效性

竞赛条件

云端服务器配置错误

Web服务器配置错误

不安全的直接对象引用(IDOR)

服务端请求伪造(SSRF)

不安全的文件上传

任何类型的注入(SQL，命令，template)漏洞

任意文件读/写

业务逻辑错误

速率限制

拒绝服务

信息泄漏

总结

随着技术的发展，黑客们实施的欺诈和攻击手段也越来越多样化。

CertiK安全技术团队希望通过对加密钱包安全隐患的分享让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕。

现阶段，许多开发团队对于安全的问题重视程度远远低于对于业务的重视程度，对自身的钱包产品并未做到足够的安全防护。通过分享加密钱包的安全审计类目，CertiK期望加密钱包项目方对于产品的安全标准拥有清晰的认知，从而促进产品安全升级，共同保护用户资产的安全性。

数字货币攻击是多技术维度的综合攻击，需要考虑到在数字货币管理流通过程中所有涉及到的应用安全，包括电脑硬件、区块链软件，钱包等区块链服务软件，智能合约等。

加密钱包需要重视对于潜在攻击方式的检测和监视，避免多次受到同一方式的攻击，并且加强数字货币账户安全保护方法，使用物理加密的离线冷存储（cold storage）来保存重要数字货币。除此之外，需要聘请专业的安全团队进行网络层面的测试，并通过远程模拟攻击来寻找漏洞。

H. 什么是区块链

什么是区块链？会对以后的生活带来什么样的改变？

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。

区块链（Blockchain），是比特币的一个重要概念，它本质上是一个去中心化的数据库，同时作为比特币的底层技术，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次比特币网络交易的信息，用于验证其信息的有效性（防伪）和生成下一个区块。

比特币白皮书英文原版其实并未出现 blockchain 一词，而是使用的 chain of blocks。最早的比特币白皮书中文翻译版中，将 chain of blocks 翻译成了区块链。这是“区块链”这一中文词最早的出现时间。

国家互联网信息办公室2019年1月10日发布《区块链信息服务管理规定》，自2019年2月15日起施行。

狭义来讲，区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。

所以终上所述，这无疑是一个改变生活的新技术，未来的整个社会的生产活动都会以区块链作为底层逻辑展开进行，很多事情我们都可以触手可及，加上人工智能和大数据的融入，能让我们轻松搞定现在看来貌似比较繁琐的事情，比如一些证券市场的交易，和理财活动的智能化匹配。

通俗易懂的说区块链是将人财物，人机物、人场货一体化，打包做成一个整体；把它放在一个基础设施上来运行的网络计算中心。

I. 能说一下钱包安全审计是什么吗这阵子都在说时代安全，他们的钱包安全审计好不好用