前言

区块链安全入门系列将大体依据余弦的慢雾框架，同时经过个人理解并将区块链和数字货币等相结合进行。

image.png

区块链中的专属名词认识与解释

一、钱包（Wallet）

钱包在区块链中是一个密钥管理工具，其实就是一个用户的终端软（类似于支付宝手机APP），用户能够通过登录钱包进行检查、存储、交易数字货币。

冷钱包（Cold Wallet）

冷钱包就是离线状态下的钱包（无网），冷钱包可以不依赖于网络，用户依然能够使用冷钱包生成数字货币的地址和私钥，并进行数字货币交易，官方宣称我国即将发行的数字货币DCEP能够支持无网条件下的支付交易，将几乎取代人民币交易支付的功能手段。

虽然冷钱包不依赖与网络，黑客很难利用网络攻击进入冷钱包中获得私钥，但冷钱包并不是绝对安全的，其存在的安全隐患可能有以下几点：

1、用户密钥的丢失或者手机、手环等移动设备的丢失，造成私钥被匿名盗用，被伪造
2、移动硬件设备的近场通讯安全

（补充：支持冷钱包的无网环境交易的手段极有可能是近场通讯技术，如手机、手环的NFC，蓝牙等短距离通讯协议，近场通讯也存在着的安全问题，故基于近场通讯的IOT设备、移动设备的网络攻击渗透入侵等即将大规模兴起）

因此，数字货币的冷钱包安全更要求用户对自身的移动设备、IOT设备、可穿戴设备以及密钥等妥善保管。

热钱包 （Hot Wallet）

与冷钱包相反的就是热钱包，热钱包是一种基于网络连接的在线钱包客户端，近乎于大家习以为常的支付宝APP，因此在使用热钱包进行线上交易时，更需要关注网络安全问题：

1、钓鱼Wifi
2、中间人MIMT攻击截获密钥
3、简单密钥破解

因此，预计未来的数字货币线上热钱包应该会采用动态口令等来强化钱包的安全性。

二、密钥

和传统的用户名、密码的口令的形式不同，使用基于非对称加密的公私钥提高了数据传递的安全性和完整性，私钥和公钥一一对应，黑客无法实现破解，同时也不必担心数据传递中被黑客篡改。

私钥（Private Key）

私钥是一串由算法生成的数据，在区块链中，所有者实际上只拥有私钥，并通过私钥对区块链的资产拥有绝对的控制权，私钥通过非对称加密算法生成公钥。

因此，区块链安全的核心问题在于私钥的存储，用户在终端必须保管好自己的私钥。

公钥（Public Key）

公钥和私钥是成对存在的，并且公钥是由私钥生成的，但无法通过公钥逆推得到公钥（单向不可解）。可以通过公钥进行一系列算法运算得到用户钱包的地址，因此可以作为拥有这个钱包地址的凭证。

三、助记词 (Mnemonic)

私钥是一串由算法生成的无规律字符串，一般人不会刻意去记忆，因此便出现了助记词。为了方便用户能记住自身的私钥，利用算法将私钥转化成若干个自定义的常见的词汇，即生成助记词后，用户在自身钱包进行交易时便用助记词为私钥进行交易。因此将助记词作为区块链数字货币钱包的友好格式，方便理解起来就是：“在用户终端，你的私钥就是助记词”。但助记词是明文存在，因此建议用户将助记词只记在自己的心中。

四、KeyStore

KeyStore主要在以太坊钱包APP中比较常见，是把私钥通过钱包密码再进行加密得来的，与上述的助记词不同，因为KeyStore是密文，可保存为文本或者是JSON格式存储。也就是说，KeyStore需要用钱包的密码解密后才能得到你的私钥。因此KeyStore需要通过钱包密码才能进行交易。

但是黑客在获取到KeyStore后，便可通过爆破钱包密码来获得私钥。

因此，在设置钱包登录密码时，需设置强口令。

小结

区块链的安全核心还是围绕在私钥上，因此私钥的安全极大威胁区块链数字货币的安全，最后需要注意以下的“原则”：

1、定期修改钱包口令，备份私钥
2、不使用未备份的钱包
3、不使用邮件传输或存储私钥
4、不要使用微信收藏私钥
5、不要使用通讯工具传输私钥
6、不要将私钥告诉他人
7、不要使用非官方的数字货币钱包APP
8、不要随意连接附件的wifi
9、不要私钥存储到云端或者个人移动设备中
10、不要随意丢手机