BOX发行时间:2017-12-26
BOX(企业级数字资产保险箱)是一套基于区块技术的企业级数字资产安全解决方案。它以区块链、密码学、通信安全等领域的公理性技术为依托,实现技术间的无缝衔接,从根本上解决了私钥被盗取和指令被篡改的行业痛疾。现阶段,BOX主要服务于数字资产交易所,数字资产投资机构以及相关创业团队。
项目介绍
BOX(EnterpriseTokenSafeBox)是一个企业级数字资产保险柜应用,它利用区块链、密码学、通信安全等领域的公理性技术对各类数字资产的私钥、操作指令进行保护,从原理上解决了私钥、指令的盗取、篡改等问题。
项目亮点
设计思想BOX是一套企业自主拥有的数字资产银行系统。通过BOX系统统一管理企业所拥有的各类数字资产钱包做到集中管理,通过将私钥加密运行在内存中的方式让其永不暴露,通过企业自主拥有的私有区块链网络保证操作指令和资产数据的存证和验真,通过顺序性私钥签名方式构建企业订制化资产管理业务流,通过SSL/TLS加密保证通信通道的绝对安全。BOX从原理上做到了防范外部黑客、内部黑客、单人误操作等当前个人钱包普遍存在的漏洞,同时,BOX具有入侵锁死、系统重置等安全机制,以此保证企业数字资产的高安全性。私钥安全机制私钥储存在签名机的内存中,不会做持久化存储。在极端情况签名机被入侵之后,入侵者很难在短时间内寻找到私钥,大大降低私钥暴露的风险。为了防止私钥的生成被模拟,我们采用RFC6979协议的变形形式:k=SHA256(d+SHA256(m1)+SHA256(m2)+SHA256(m3)+…),d为服务器随机数,m为私钥APP输入的关键句。私钥的生成由三个私钥APP分别输入关键句的方式生成,关键句是由任意的字母和数字组合而成的字符串。三个或多个私钥APP依次输入关键句后,由三个关键句生成的私钥即被存放在签名机的内存中,同时由此私钥生成的公钥地址将被注册在公链上,即生成公链热钱包。私钥APP不会存储该关键句,该私钥APP的源代码也将同步开源。由于签名机一旦停机,内存中的私钥会立即消失,所以当签名机需要重启时,需要所有私钥APP重新输入正确的关键句。如果某个私钥APP持有人无法输入正确的关键句,此时需要启用私钥关键句的冷备份,由于此流程属于实际企业管理流程,本文仅给出冷备份的建议方案私链私链在整个BOX系统中起到存证和验真的作用。利用区块链的不可篡改的特性,将审批流程和转账审批流程上链保存,为程序实现转账自动化提供可靠依据。BOX系统首次发行版本采用以太坊搭建私链,未来计划支持更多的搭建私链的方案。伴生程序就是以太坊DAPP。每个私链节点都会配备同一个伴生程序,被用于处理传统的CS(客户端-服务器)应用程序请求、处理数据上传私链、执行智能合约、监听智能合约事件、发送状态通知、协调上层应用和授权服务之间的交互等功能。上链存证的数据存放在智能合约内。智能合约采取投票的方式来确认一笔上链存证的数据,每一笔数据都必须通过51%的私链节点投票,且每次投票的内容一致才被确认为有效存证。每个节点分别对应一个操作同一合约的账户,除非超过50%的节点被全部攻陷,否则上链存证的数据是可以被保证有效的。接入层接入层采用权力离散式的构架方式。整个系统的权力被离散在了各个APP端,接入层服务器虽然承担了各种业务的转承并合,但是却对信息所行使的权利无法修改和执行。权力离散式的实现,依赖于基础算法ECDSA(EllipticCurveDigitalSignatureAlgorithm)。算法中ECC(Ellipticcurvecryptography)则采用比特币经典曲线secp256K1。转账过程为:由员工APP和管理APP产生签名,然后在接入层完成转移,并在私链层得到确认,最后签名机在公链上进行实施。接入层业务分为两大部分:1、审批流的构建和修改。2、审批流的执行。审批流安全机制自动化转账的安全有两个重要部分,其一是私钥本身的安全(已在私钥安全性章节中阐述),其二是使用权(审批流)的安全。通信安全机制签名机即授权层中的服务所在的服务器。签名机与私链的通信即授权层的服务与私链层服务之间的通信。服务与服务之间的通信使用gRPC+SSL/TLS双向证书认证。gRPC是一个高性能RPC框架,基于HTTP/2协议标准设计,基于ProtoBuf(ProtocolBuffers)序列化协议开发,HTTP/2协议标准本身要求对数据进行加密传输(SSL/TLS)。BOX系统将针对所有公链开发授权服务模块。由于SSL/TLS双向认证证书的存在,将极大程度保证信息安全,服务器之间一旦有异常连接就会立即拒绝请求,可以防止中间人攻击的风险。所有与接入层通信的APP,都采用HTTPS的方式。员工签名用的私钥是通过管理APP颁发的。接入层与私链之间属于内部通信,采用TCP/IP协议连接。此时接入层传递到私链的数据已经经过了签名授权,并产生了信息摘要,私链只需要使用签名校验程序对其验真,如果校验失败,拒绝服务。接入层向所有私链节点发送请求,每个私链节点对应一个帐号,每个帐号将验证后的请求数据以投票机制上链存证,私链上的智能合约被超过50%帐号确认之后,数据上链成功。接入层提供签名和摘要供私链确认,私链通过投票向接入层提供投票结果。以上过程可以归纳为两个公式:signature=sign(hash)publickey==recover(hash,signature)私钥的冷备份为了防止某个私钥APP持有人的意外情况导致私钥无法重置,建议将所有关键词进行物理备份。例如在每个私钥APP持有人输入关键词后,私钥APP所运行的手机可以连接一台不联网的迷你型打印机,采用打印的方式将该关键词自动以二维码的方式打印到纸条上,并且将打印两份,所有关键词纸条将被分为两份,封存在两个信封内,建议企业将此迷你打印机与两份关键词备份件分别存放于两家银行保险箱中,保险箱的其中一把钥匙可以委托给企业律师持有,并约定仅允许在企业董事会决议的同意下才可以启封此备份。相关链接:https://www.qukuaiwang.com.cn/news/12143.html
【P网Poloniex备用域名正式上线】据P网官方消息显示,为了提供更加安全、稳定、快速的网络访问服务,老牌交易所P网Poloniex今日正式上线两个备用域名,分别为pwangcn.com和pwangzh.com, 中国用户可通过上述备用域名无障碍访问P网。 原官网域名Pwang.com和Poloniex.com 仍可正常访问。 P网(Poloniex)成立于2014年,是注册于塞舌尔的一家全球化数字资产交易平台,是全球历史最为悠久的数字资产交易所之一。自Poloniex创立以来,真实交易量长期位列全球TOP3,TrollBox系统让用户获得更有趣的交易体验。
【新加坡WBF交易所将于9月29日正式上线NVT】据官方消息显示,新加坡时间2020年9月29日,WBF交易所将正式上线NVT,并于当日16时在开放区上线NVT/USDT交易对,充值和提现已开放。 NerveNetwork是一个去中心化的数字资产服务网络,它是基于NULS微服务框架,使用NULS造链工具——ChainBox开发搭建的一套区块链跨链交互协议。目前已经支持ETH ERC20 NULS NRC20和NULS平行链资产在多链上流通。目前正在集成BTC和币安链进入跨链生态。基于NerveNetwork搭建的NerveDEX已经上线,支持项目自由创建交易对。
【Bibox量化产品“CTA”实盘收益率达1363%】7月10日,根据Bibox官网数据显示,Bibox最新量化产品“主浪猎杀者(CTA)”上线一日,即占据“量化大咖实盘排行榜”年化收益榜前十位置。最高实盘年化收益率达1363%。 “主浪猎杀者(CTA)”是Bibox量化最新推出的CTA策略,它在设计中采用了多种特殊算法,对参数的敏感度较低,适合捕捉大趋势大行情。历史数据显示其过去一年,实盘月收益达40%以上。
【动态 | Brian Lockhart加入加密托管公司Casa,担任Casa Node和相关产品负责人】据官方消息,加密托管公司Casa官方宣布Brian Lockhart加入Casa团队,以加强产品开发。据悉,Brian Lockhart是一位经验丰富的工程师和产品开发人员,曾在Xbox、MSNBC、MSN和Tableau工作过。Brian将作为Casa Node以及Casa Lightning Explorer、Chrome和Firefox的Sats扩展等相关产品的负责人开展工作。
【兰亭集势宣布于2018年1月5日开始接受比特币支付】兰亭集势(NYSE:LITB)今日宣布,公司网站LightInTheBox.com和旗下电子产品网站miniinthebox.com已于2018年1月5日开始接受比特币支付。兰亭集势表示,这些比特币支付交易将由比特币支付服务公司BitPay负责处理。Bitpay创立于2011年,功能类似于比特币“支付宝”。2014年,BitPay获得李嘉诚的投资。(新浪科技)}
【声音 | 安全研究院:目前发现超过30w的MikroTik路由器被植入挖矿代码】据白帽汇安全研究院消息,目前发现超过30w的MikroTik路由器被植入挖矿代码,攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取(CVE-2018-14847)漏洞。