工信部發布的將給密碼體系帶來重大安全威脅
新智元推薦
來源:工業和信息化部信息中心
【新智元導讀】5 月 20 日,工業和信息化部信息中心發布《2018 中國區塊鏈產業白皮書》(簡稱《白皮書》),深入分析我國區塊鏈技術在金融領域和實體經濟的應用落地情況,系統闡述中國區塊鏈產業的發展的六大特點和六大趨勢。
「鏈上無限」2018中國區塊鏈產業高峰論壇於5月20日北京市召開。論壇上,工業和信息化部信息中心總工程師童曉民、工業和信息化部信息中心工業經濟研究所所長於佳寧、起風財經創始人羅智勇發布了《2018中國區塊鏈產業白皮書》(簡稱《白皮書》),深入分析我國區塊鏈技術在金融領域和實體經濟的應用落地情況,系統闡述中國區塊鏈產業的發展的六大特點和六大趨勢。
白皮書下載地址:http://www.miit.gov.cn/n1146290/n1146402/n1146445/c6180238/part/6180297.pdf
目錄:
我國區塊鏈產業生態初步形成,方興未艾
1. 產業呈現高速發展,企業數量快速增加
截至2018年3月底,我國以區塊鏈業務為主營業務的區塊鏈公司數量已經達到了456家[2],產業初步形成規模。
從中國區塊鏈產業的新成立公司數量變化來看,2014年該領域的公司數量開始增多,到2016年新成立公司數量顯著提高,超過100家,是2015年的3倍多。2017年是近幾年的區塊鏈創業高峰期,由於區塊鏈概念的快速普及,以及技術的逐步成熟,很多創業者湧入這個領域,新成立公司數量達到178家。
股權投資情況可以較好反映社會資本對與產業的關注和支持力度。涉及區塊鏈公司股權投資事件數量為249起。從2016年開始,區塊鏈領域的投資熱度出現明顯上升,投資事件達到60起,是2015年的5倍。2017年是近幾年的區塊鏈投資高峰期,投資事件數量接近100起。在2018年第一季度,區塊鏈領域的投資事件數量就達到了68起。從目前趨勢來看,由於區塊鏈技術的落地速度也在加快,市場開始趨於理性,股權投資人更願意投資能看到有具體落地場景的項目,預計今年區塊鏈領域的投資會是一個高峰期。
從中國區塊鏈公司融資輪次分布狀況來看,目前有接近90%的投資事件集中在早期階段(A輪及以前),另外有9%的投資事件屬於戰略投資,B輪及以後的投資事件佔比僅為2%。因此,區塊鏈產業目前還處於非常早期的階段。隨著整個產業的高速發展以及項目落地速度的加快,融資輪次將逐漸往後延伸,未來會出現更多進入中後期階段的項目。區塊鏈產業發展方興未艾。
2. 從設備製造到產業應用,區塊鏈產業鏈條脈絡逐漸明晰
根據本次調研情況來看,目前我國區塊鏈產業鏈條已經形成,從上游的硬體製造、平台服務、安全服務,到下游的產業技術應用服務,到保障產業發展的行業投融資、媒體、人才服務,各領域的公司已經基本完備,協同有序,共同推動產業不斷前行。
從區塊鏈產業細分領域新成立公司分布狀況來看,截至2018年3月底,區塊鏈領域的行業應用類公司數量最多,其中為金融行業應用服務的公司數量達到86家,為實體經濟應用服務公司數量達到109家。此外,區塊鏈解決方案、底層平台、區塊鏈媒體及社區領域的相關公司數量均在40家以上[4]。
從區塊鏈產業細分領域投資事件分布狀況來看,行業應用服務相關的公司獲投事件數最多,總共達到了113起,可見投資人對於有具體的應用場景,能夠實際落地的項目越來越看重。底層平台領域的獲投事件數為42起,區塊鏈媒體及社區領域的獲投事件數也達到了28起[5]。區塊鏈領域正在吸引越來越多的創業者和資本入場,成為創新創業的新高地。隨著區塊鏈技術的發展以及應用的加速落地,產業規模將不斷增加,該領域未來有望成為新的經濟增長點。
3. 互聯網巨頭湧入快速推動我國區塊鏈產業發展
區塊鏈技術不僅受到了創業企業的青睞,也受到了互聯網巨頭企業的廣泛關注,互聯網巨頭企業紛紛拓展區塊鏈業務,快速推動我國區塊鏈產業發展。目前,騰訊、阿里巴巴、百度、京東等互聯網行業巨頭紛紛加入區塊鏈技術的研究與場景應用中來。騰訊基於TrustSQL核心技術,打造領先的企業級區塊鏈基礎服務平台。目前,騰訊區塊鏈已經落地供應鏈金融、醫療、數字資產、物流信息、法務存證、公益尋人等多個場景。例如,騰訊基於供應鏈場景下的真實交易數據,通過騰訊區塊鏈技術及運營資源,構建「騰訊區塊鏈+供應鏈金融解決方案」,從根本上改善小微企業的融資困境,助力地方產業轉型升級。阿里巴巴基於區塊鏈技術去中心化、分散式存儲及防篡改的特性已落地了多個應用場景,包括公益、正品追溯、租賃房源溯源、互助保險等,並且申請專利數量已達到80件左右。百度金融先後與華能信託、長安新生等落地了國內首單區塊鏈技術支持證券化項目和區塊鏈技術支持交易所ABS項目。京東運用區塊鏈技術搭建「京東區塊鏈防偽追溯平台」,從解決商品的信任痛點出發,精準追溯到商品的存在性證明特質,讓所有生產、物流、銷售和售後信息分享進來,共同鑄建完整且流暢的信息流,並且也採用區塊鏈技術來解決ABS參與各方的信任問題,在區塊鏈的系統架構上完成交易,確認資產的權屬和資產的真實性。巨頭湧入給我國區塊鏈產業發展注入了新動能,產業蓄勢待發,並將借著新時代的東風快速崛起。
地域分布相對集中,產業集聚效應明顯
從中國區塊鏈公司的地域分布狀況來看,北京、上海、廣東、浙江依然是區塊鏈創業的集中地,四地合計佔比超80%。其中,北京以175家公司、佔比38%處於絕對的領先地位;上海以95家公司,佔比21%位居第二;廣東省以71家公司、佔比16%位居第三;浙江省以36家公司、佔比8%位居第四。除此以外,中國區塊鏈創業活躍度前十名的省份還包括江蘇、四川、福建、湖北、重慶、貴州。
從中國區塊鏈創業活躍度靠前城市來看,北京、上海、深圳、杭州依然為中國大陸區塊鏈創業活躍度最高的四座城市,公司佔比達到78%。除此以外,中國區塊鏈創業活躍度前十位城市還包括廣州、成都、南京、廈門、重慶、貴陽。
隨著區塊鏈技術和應用的快速迭代,區塊鏈向傳統行業的擴展進程將進一步加快,未來區塊鏈企業以及區塊鏈領域項目與傳統產業場景結合的需求將持續提升,因此地域分布將更加廣泛。
區塊鏈應用呈現多元化,從金融延伸到實體領域
區塊鏈技術具備分散式、防篡改、高透明和可追溯的特性,非常符合讓整個金融系統業務需求,因此目前已在支付清算、信貸融資、金融交易、證券、保險、租賃等細分領域落地應用。例如,民生銀行與中信銀行合作推出首個國內信用證區塊鏈應用,中國平安的資產交易、徵信兩大應用場景都已上線,招商銀行落地了國內首個區塊鏈跨境支付應用,微眾銀行通過基於區塊鏈的機構間對賬平台把對賬時間從T+1日縮短至T+0,實現了日准實時對賬。
隨著區塊鏈技術創新發展逐步成熟,產業應用的實際效果愈發顯現,區塊鏈的應用已從金融領域延伸到實體領域,電子信息存證、版權管理和交易、產品溯源、數字資產交易、物聯網、智能製造、供應鏈管理等領域。區塊鏈技術開始與實體經濟產業深度融合,形成一批「產業區塊鏈」項目,迎來產業區塊鏈「百花齊放」的大時代。例如,北京溯安鏈科技有限公司的溯源服務已經在廣西小紅薯、陽原雜糧、黑龍江富硒大米生產流通供應鏈得到了應用,這不僅滿足了客戶的區塊鏈溯源需求,還提升了產品的附加值。安妮股份基於區塊鏈的版權存證服務,已為百萬作品提供了確權服務,部分解決了內容創作者的痛點和難點。發揮區塊鏈技術在確權、授權與維權過程中的海量、快速、即時特性,逐步實現「創作即確權、使用即授權、發現即維權」。沃爾瑪基於區塊鏈的創新食品供應鏈協作模式使農場到門店的追溯過程從26小時減少至10秒,並且調閱文件僅需半分鐘。
隨著區塊鏈的價值得到廣泛的認可,越來越多的行業正在提出自己的區塊鏈解決方案。從應用範圍看,區塊鏈技術幾乎在所有的產業場景都能落地應用,原因是幾乎所有的產業場景都涉及交易,都有降成本、提效率、優化產業誠信環境的需求,而這正是區塊鏈技術落地應用後能迅速發揮的作用。
區塊鏈技術應用落地的主戰場是實體經濟產業領域,區塊鏈技術的價值也將集中體現為落地產業場景後帶來的價值增量。目前,傳統產業中的實物流並沒有廣泛轉化為信息流,原因之一是很多實體經濟企業,尤其是中小微企業並沒有辦法基於業務的數字化轉型獲得很大的實際收益,反而要承擔信息泄露等一系列風險。所以不少企業並沒有積極推動業務的數字化轉型,導致實物流向信息流的映射存在不完整、不全面、不系統的情況。利用區塊鏈技術,結合物聯網和工業互聯網技術應用,以及在基於新型供應鏈金融模式的推動下,大量交易信息已經開始由線下轉向鏈上,企業的管理系統和機器設備的聯網率開始提升,數字資產成為企業資產的重要組成部分,實體產業的商業模式也將實現前所未有的深度變革[6]。
實現「協作環節信息化」,助力實體經濟降成本提效率
從目前實際的落地案例看,產業區塊鏈技術落地應用要實事求是地為產業解決一些「小問題」,著力於提升產業協作環節的信息化水平,具體可從「降成本」和「提效率」兩個方面推動傳統產業的發展。
隨著我國數字經濟發展,在企業內部,信息化水平往往已經比較高,各類管理系統已經非常先進,但是在企業之間協作的環節,很多情況下並沒有被信息系統所覆蓋。比如不同類型的機構進行在對賬時,往往要從信息系統中導出電子表格,並用郵件發送。甚至需要列印表格、蓋章後郵寄,對方收到後再與系統數據進行比對。整個業務流程並不複雜,但是消耗了很多人力物力,成本較高,而且制約了業務運行效率和用戶體驗的提升。因此,很多聯盟鏈系統都實際上是在解決這個問題,提升企業之間協作環節的信息化水平。在這個領域,用傳統中心化的資料庫方式建設,成本相對較高,授權機制複雜,可擴展性較差,信息安全問題難以保障,多主體難以實現互信。而區塊鏈技術則能夠讓多種業務主體平等交流,信息共享,實時核對數據一致性。這些基於區塊鏈的系統,本質上是在「弱信任」環境中,有效實現多主體信息共享、有效協作的信息化手段。
用區塊鏈的方式實現信息共享,除了成本低,效率高之外,還可以實現「信任傳遞」或「信任外溢」,基於區塊鏈技術,由於上鏈信息不可篡改,因此在交易雙方共同驗證一筆交易之後,也可以讓第三方信任這個信息,這實際上就使得這種可信的狀態可以傳導到第三方,進而實現數據的資產化。此外讓機構從「黑盒」狀態轉為「白盒」狀態,也就是機構運作機制透明化,使得自證清白變得非常容易,極大地降低多主體之間的互信成本。
進而,區塊鏈將發揮「提高產業鏈協同效率」的作用。提升產業協同水平是推動中國製造邁向中高端的重要途徑,也是建設現代化經濟體系的重要要求。但是目前在很多產業,產業鏈協同效率仍然不高,在國際貿易領域這個問題尤為突出。例如:在國際貿易中,商品的原產地、檢驗檢疫、通關等系列證明文件,各國標準不一,有關部門和外貿企業核驗這些證書證明真實性、準確性的成本和難度都比較高,直接導致國際貿易商品流通速度慢,跨國協同難度高。在國際上難以通過設立統一的認證機構解決這些問題。基於區塊鏈技術,打通各國商品流通信息,可以實現對國際貿易商品流通全過程的溯源,甚至互信實現快速通關,進而大大簡化相關手續,提升效率。
技術濫用導致產業發展存在一定的風險,不可忽視
儘管區塊鏈技術的正向價值逐步顯現,但是產業發展過程中仍然伴隨出現了一系列不可忽視的風險。一方面是合規性風險,在區塊鏈發展的早期階段,由於它本身具有傳遞價值的屬性,因此引來了一些不是專註於技術應用,而是熱衷於通過ICO(首次代幣發行)進行非法集資、傳銷甚至是欺詐的行為。2017年9月,7部門聯合發布《關於防範代幣發行融資風險的公告》,直指野蠻生長的代幣融資行為。與早期的互聯網相似,區塊鏈發展早期也要特別警惕資本市場的過分炒作和虛假宣傳。一些區塊鏈應用項目存在不切實際的宣傳和炒作,使得市場估值偏離基本價值或者被賦予過高的期望。此外,還有一些項目從本質上並沒有真正利用區塊鏈技術,只是打著區塊鏈的旗號,獲得了與實際價值完全不相符的估值。有的項目的所謂創新脫離了實體經濟的需求,完全是投機行為。
另一方面是技術層面的風險,儘管區塊鏈融密碼學、分散式存儲等多項技術於一身,但這並不意味著它本身沒有漏洞。例如,存在51%攻擊、自私挖礦等攻擊方式。區塊鏈需要引入大量公共資源參與到體系中來,如參與計算的節點數太少,則會面臨51%被攻擊的可能性,嚴重威脅網路系統運作和價值。再如,私鑰和終端安全。在當前區塊鏈中,私鑰存儲在用戶終端本地。如果用戶的私鑰被竊取,將給用戶的數字資產造成嚴重的損失。又如,共識機制安全。目前,除PoW外,PoS、DPoS等多種共識機制雖然已經被提出,但是否能夠實現真正的安全可信,尚不能完全證明。此外,還有可能通過傳統的網路攻擊方式,造成網路堵塞,迫使區塊鏈網路出現硬分叉,進而導致對整個區塊鏈系統的可信性受到質疑,網路體系的價值就會崩盤,給網路參與者造成慘重的集體損失。除了區塊鏈本身的技術漏洞,網路參與主體責任劃分、賬本數據最終歸屬、成本偏高、交易區塊具有選擇性等問題,也會導致區塊鏈技術落地應用時會面臨較大風險。
產業政策體系逐步構建,產業發展環境持續優化
1. 區塊鏈產業發展的政策體系逐步完善,各地政府積極從產業高度定位區塊鏈技術
區塊鏈技術已經上升到國家科技戰略層面。2016年12月,《國務院關於印發「十三五」國家信息化規劃的通知》中首次提及區塊鏈,並將其與量子通信、人工智慧、虛擬現實、大數據認知分析、無人駕駛交通工具等技術一起作為重點前沿技術,明確提出需加強區塊鏈等新技術的創新、試驗和應用,以實現搶佔新一代信息技術主導權。其次,相關行業、國家和國際標準也在加速制定,解決區塊鏈的關鍵技術標準問題,促進區塊鏈產業生態化發展。為把握區塊鏈產業發展機遇,搶佔區塊鏈產業發展制高點,各地政府及時出台區塊鏈技術和產業發展扶持政策,讓區塊鏈產業迎來了一次新的爆發。
目前,各地政府積極從產業高度來定位區塊鏈技術,把握技術升級帶來的產業升級新機遇。例如,2018年3月河北省政府印發《關於加快推進工業轉型升級建設現代化工業體系的指導意見》,提出積極培育發展區塊鏈等未來產業,打造世界級高端高新產業集群。2018年4月國務院批複了《河北雄安新區規劃綱要》,強調重點發展信息技術產業,要求超前布局區塊鏈、太赫茲、認知計算等技術研發及試驗。
為了便於讀者了解我國目前區塊鏈產業有關的政策,特將國家和地方的政策進行了彙編,具體政策內容請見本報告附件2和附件3。
2. 積極加強行業監管,有力防範金融風險
根據黨的十九大的總體部署,防範和化解重大風險是未來中國三年的經濟工作重點之一,而防範和化解重大風險的關鍵則是防控金融風險。因此,我國也積極加強行業監管,防範區塊鏈發展過程中可能出現的金融風險,維護國家金融的穩定和安全,促進區塊鏈產業規範健康發展,以更好地發揮區塊鏈「價值互聯網」的積極作用。
ICO本質上是區塊鏈初創項目的融資工具,通常為早期投資者通過向ICO項目發起人支付比特幣或以太幣等主流虛擬貨幣,獲得項目發起方基於區塊鏈技術初始產生的加密數字代幣。根據國家互聯網金融安全技術專家委員會於2017年7月25日發布的《2017上半年國內ICO發展情況報告》,ICO融資規模和用戶參與程度呈加速上升趨勢,累計參與人次達10.5萬。一些項目因早期天使融資失敗,而轉向ICO融資模式。因此,這些ICO項目風險均非常高,甚至涉及傳銷、欺詐[7]。
2017年9月4日,中國人民銀行、中央網信辦、工業和信息化部、工商總局、銀監會、證監會、保監會聯合發布《關於防範代幣發行融資風險的公告》,明確代幣發行融資本質上是一種未經批准非法公開融資的行為,涉嫌非法發售代幣票券、非法發行證券以及非法集資、金融詐騙、傳銷等違法犯罪活動。並要求各類代幣發行融資活動應當立即停止。已完成代幣發行融資的組織和個人應當做出清退等安排,合理保護投資者權益,妥善處置風險。明確規定任何所謂的代幣融資交易平台不得從事法定貨幣與代幣、「虛擬貨幣」相互之間的兌換業務,不得買賣或作為中央對手方買賣代幣或「虛擬貨幣」,不得為代幣或「虛擬貨幣」提供定價、信息中介等服務。各金融機構和非銀行支付機構不得直接或間接為代幣發行融資和「虛擬貨幣」提供賬戶開立、登記、交易、清算、結算等產品或服務,不得承保與代幣和「虛擬貨幣」相關的保險業務或將代幣和「虛擬貨幣」納入保險責任範圍。
經過半年的集中整治,互聯網金融領域總體風險水平明顯下降,非法集資在互聯網蔓延勢頭得到遏制。目前全國摸排出的首次貨幣發行(ICO)平台和比特幣等虛擬貨幣交易場所已基本實現無風險退出[8]。
區塊鏈是一項前沿技術,技術造成的新監管挑戰也在要求監管技術的持續進步。金融科技細分領域的「Reg-Tech」(監管科技)。就是利用大數據、人工智慧和區塊鏈等的新技術,來解決監管合規問題,減少合規費用。區塊鏈備案平台、基於區塊鏈的監管體系等都屬於Reg-Tech領域。國內已經出現從事監管科技的公司,他們主要為政府和各大銀行等金融監管機構提供監管科技解決方案。
區塊鏈產業細分領域發展情況
區塊鏈各細分領域蓬勃發展,從硬體製造、基礎設施到底層技術開發、平台建設,再到安全防護、行業應用,以及媒體社區等區塊鏈行業服務機構,已經初步形成了一個完整的產業生態鏈。
(一)平台建設
1. 底層平台(公有鏈/聯盟鏈/BaaS)
在區塊鏈產業,平台級的機會是目前很多公司關注的方向。無論是創業公司還是大公司,紛紛在布局區塊鏈底層平台,希望能搶佔下一波紅利。但是,由於區塊鏈還處於非常早期的階段,因此各家對於平台的理解和實踐路徑並不一樣。目前,公有鏈、聯盟鏈和BaaS是三種比較主流的平台模式。
(1)公有鏈
公有鏈是指向全世界所有人開放,每個人都能成為系統中的一個節點參與記賬的區塊鏈,它們通常將激勵機制和加密數字驗證相結合,來實現對交易的共識。
目前,公有鏈被看作是區塊鏈領域最有前景的方向,因為它更符合區塊鏈的本質,很可能成為下一個系統級的平台。公有鏈的優點包括:能夠保護用戶免受開發者的影響;所有交易數據都默認公開;訪問門檻低,任何人只要有聯網的計算機就能訪問;能夠通過社區激勵機制更好地實現大規模的協作共享等等。
作為底層平台,公有鏈能夠推動整個社會進入「可信數字化」時代,真正開啟「價值互聯網」的新篇章。一方面,基於區塊鏈的激勵模式推進分享經濟向共享經濟升級,這也符合創新、協調、綠色、開放、共享的新發展理念,是一種更高層次的新型平台經濟;另一方面,基於底層公鏈的區塊鏈應用也將迎來大爆發,DAPP時代即將來臨。DAPP之於底層公鏈,就如同APP之於IOS和Android系統,未來可能會衍生出一個新的生態體系。
雖然公有鏈有很多優點,但是其存在的挑戰依然很大。對於公有鏈來說,節點數越多意味著系統的安全性和公平性越高,這就帶來了系統效率的低下,因為每增加一個節點,就需要多達成一次共識。節點數和效率就成為了一個悖論。例如:比特幣每秒能處理7筆交易,以太坊每秒能處理20-30筆交易。由於TPS每秒的並發量太低,導致比特幣和以太坊等公鏈普遍存在交易費用高、確認時間長、擴展性差等問題。此外,很多的公有鏈項目都是先搭建平台,再去找應用場景,這也為後面的實際落地帶來了一定的挑戰。
目前在公有鏈領域,我國技術處於世界先進水平,已經誕生了幾家比較領先的底層平台公司。
(2)聯盟鏈
聯盟鏈是指若干個機構共同參與記賬的區塊鏈,即聯盟成員之間通過對多中心的互信來達成共識。
聯盟鏈的數據只允許系統內的成員節點進行讀寫和發送交易,並且共同記錄交易數據。聯盟鏈作為支持分散式商業的基礎組件,更能滿足分散式商業中的多方對等合作與合規有序發展要求。例如:聯盟鏈會更適合組織機構間的交易和結算,類似於銀行間的轉賬、支付,通過採用聯盟鏈的形式,就能打造一個很好的內部生態系統來大幅提高效率。
聯盟鏈和公鏈相比,在高可用、高性能、可編程,隱私保護上更有優勢,它被認為是「部分去中心」或者是「多中心」的區塊鏈。聯盟鏈讓節點數得到了精簡,能夠使得系統的運行效率更高、成本更低,在單位時間內能夠確認的交易數量要比公鏈大很多,更容易在現實場景中落地。此外,聯盟鏈相對於公有鏈非常重要的特點就是節點准入控制與國家安全標準支持,確保認證准入、制定監管規則符合監管要求,在可信安全的基礎上提高交易速度。
(3)BaaS
BaaS通常是一個基於雲服務的企業級的區塊鏈開放平台,可一鍵式快速部署接入、擁有去中心化信任機制、支持私有鏈、聯盟鏈或多鏈,擁有私有化部署與豐富的運維管理等特色能力。BaaS目前可廣泛應用於金融、醫療、零售、電商、遊戲、物聯網、物流供應鏈、公益慈善等行業中,重塑商業模式,提升客戶在行業內的影響力。
目前,大公司在BaaS方面的動作更加活躍,因為它們都有自己的雲服務,並且生態體系內的業務場景豐富,適合根據具體的業務場景來試錯和反推平台服務。此外,由於公有鏈的共識機制導致系統效率低下,而BaaS是基於對大公司的平台信任,去構建部分去中心化或者弱中心化的架構,從而在一定程度上達到可信化和效率的兼顧。BaaS服務將用戶對公有雲或者大公司的品牌信任注入到平台中,能夠加快區塊鏈的普及,降低用戶的使用門檻,擴大區塊鏈的使用場景。
騰訊區塊鏈BaaS開放平台,定位於打造領先的企業級區塊鏈基礎服務平台,幫助客戶從業務的角度理解區塊鏈,專註於幫助企業快速搭建上層區塊鏈應用場景。騰訊區塊鏈以「區塊鏈+」的戰略定位,致力於連接應用場景,針對供應鏈金融、物流信息、公益尋人、法務存證、醫療處方等應用場景的痛點,推出行業級區塊鏈解決方案。目前,騰訊區塊鏈BaaS開放平台提供共享賬本和數字資產兩大業務模型。共享賬本模型主要適用於解決信息不對稱、提供存證證明等需要進行信息有效性共享的場景。數字資產模型主要針對可數字化的資產交易場景,通過與業務場景中進行有機結合,能夠有效防止數據篡改,進行完整追溯,規避數據偽造風險。
華為雲區塊鏈服務BCS聚焦於區塊鏈雲技術平台建設,幫助企業在華為雲上搭建企業級區塊鏈行業方案和應用,共同推動區塊鏈應用場景落地,打造基於區塊鏈的公共信任基礎設施和共贏生態。BCS基於華為雲領先的雲原生技術(如容器等)搭建,可最快5分鐘完成區塊鏈部署,同時提供多種安全、高效共識演算法,用戶可以在2000+TPS和10000+TPS共識演算法上根據業務需求和場景進行選擇。基於華為雲全棧安全能力,BCS服務通過分層加密、國密支持、同態加密和零知識證明等安全技術,全面保護區塊鏈系統的賬戶、節點、賬本和數據,確保用戶和交易信息安全。目前,BCS主要專註4大類9小類應用場景,包括數據資產、IoT、運營商和金融領域等,如:身份認證、數據存證/交易,新能源、公益捐贈、普惠金融等。
公有鏈與聯盟鏈/BaaS雖然採取了不同的策略和發展路徑,但是兩者依然會長期共存,甚至有些平台最後可能會殊途同歸,或者通過跨鏈技術將分散的聯盟鏈系統與公鏈相連接,形成更大範圍的價值互聯網產業生態。
2. 數字資產存儲
區塊鏈產業的發展需要有新型的數字資產存儲方式,這就催生了數字錢包的誕生。對於數字錢包來說,安全性需求永遠是排在第一位的。近幾年,數字資產安全問題屢見不鮮,數字錢包作為區塊鏈產業鏈上一個重要環節,需要打造更加安全可靠的存儲環境。此外,對於普通用戶來說,數字錢包的使用門檻依然很高,便捷性和易用性亟待提升。這些需求均在推動著數字錢包的不斷迭代更新。
數字錢包提供錢包地址的創建、數字加密資產的轉賬、錢包地址的歷史交易查詢等功能。數字錢包按照密碼學原理,可以創建一個或多個錢包地址,每個錢包地址對應一個密鑰對:私鑰和公鑰。在數字加密資產的世界裡,私鑰是最重要的,它是數字加密資產所有權的唯一憑證,因為公鑰和地址均能通過私鑰推導出來。因此,私鑰的生成和存儲方式決定了數字加密資產的安全性,而數字錢包的主要作用就是幫助用戶管理和使用私鑰。另外,為了降低用戶的使用門檻,助記詞則成為明文私鑰的另一種表現形式,它是為了幫助用戶去記憶複雜的私鑰,增加便捷性。
安全是數字錢包的根基,一個安全的數字錢包應該能在任何時候都讓用戶的私鑰/助記詞處於安全保護之下。在此原則下,加密數字錢包的設計應遵循以下安全體系:基礎安全體系(存儲安全、網路安全、內存安全、安裝包安全)、密鑰管理安全體系、開發流程安全體系和用戶行為安全體系[9]。
目前,數字錢包類型主要分為冷錢包和熱錢包等。冷錢包就是不聯網的錢包,也叫離線錢包;熱錢包就是保持聯網上線的錢包,也就是在線錢包。冷錢包不聯網會比熱錢包更安全,因為它能保證私鑰不接觸網路,從而防止私鑰被黑客竊取。IT桔子的數據顯示,截至2018年3月底,中國開發數字錢包的相關公司數量大約有15家,基本上都是以開發熱錢包為主。
此外,去中心化也是區塊鏈領域數字錢包發展的一大特點。中心化錢包和去中心化錢包的最根本區別就是,私鑰是否自持。去中心化錢包的特點包括:第一、私鑰是用戶自持,當然密碼也是用戶自持;第二、資產是存儲在區塊鏈上,而不是託管在中心化的伺服器上,並且目前也無需實名認證,即可生成錢包;第三、無法實現「賬戶凍結」、「交易回滾」等操作。因此,去中心化錢包很難遭受黑客的集中攻擊,用戶也不用擔心錢包服務商出現監守自盜的情況[10]。
3. 區塊鏈技術解決方案
區塊鏈解決方案主要是指在底層平台的基礎上進行擴展,目的是便於開發者基於區塊鏈技術開發出產品和應用,或者是服務商直接為客戶提供針對具體業務場景的解決方案。
(二)區塊鏈硬體製造和基礎設施
區塊鏈硬體製造和基礎設施起源於區塊鏈的共識機制之一——POW(ProofofWork,工作量證明機制),即全網計算節點通過算力競爭記賬權,來獲取經濟獎勵。此外,分散式記賬是區塊鏈的核心特徵之一,而區塊鏈硬體設備充當了記賬節點的功能。隨著區塊鏈的價值體現,參與競爭記賬的人數越來越多,造成全網算力的難度呈現出指數級上升,這對區塊鏈硬體設備的產量和性能都提出了更高的要求,推動這個行業持續創新發展,轉型升級,在國際上取得了領先地位。
1. 算力難度上升和記賬節點增加推動區塊鏈硬體製造產業蓬勃發展
區塊鏈硬體製造的核心在於晶元的計算能力,因此在算力難度提升的情況下,競爭記賬也經歷了最早從個人計算機上的CPU(中央處理器)記賬,到GPU(獨立顯卡)記賬,再到專業礦機的誕生,以及專業礦機又從FPGA(可編程門陣列)過渡到ASIC(專用集成電路)等。區塊鏈硬體製造在算力難度不斷增加的驅動下蓬勃發展,晶元計算能力不斷提升,它是整個區塊鏈產業發展的基石。同時,計算力的提高也推動了其他領域的發展,例如:人工智慧領域就十分依賴計算力,人工智慧晶元TPU也同樣是ASIC晶元,依靠區塊鏈硬體設備起家的比特大陸和嘉楠耘智就在去年發布了AI晶元。
在區塊鏈硬體領域,中國的相關公司具有絕對優勢,全球大部分區塊鏈硬體均由中國廠商生產。世界排名前三的區塊鏈硬體設備廠商比特大陸、嘉楠耘智和億邦科技,均是中國公司的。在算力的軍備競賽下,誰的區塊鏈硬體算力更強,就能搶佔更多的市場份額。晶元的設計和研發能力,是這場軍備競賽的決定性因素,因此,非常有力地促進了我國專用晶元設計產業的創新發展。
2. 區塊鏈計算中心成為主流,共享計算模式落地應用
由於全網算力難度的上升,個人充當記賬節點的時代也早已在算力競爭愈演愈烈中宣告結束,區塊鏈計算中心開始成為主流,它為整個區塊鏈產業的發展提供算力資源。區塊鏈計算中心主要由礦池組成,其最基本職能就是將個人的算力聚集起來參與競爭記賬。在經歷了激烈的競爭以後,礦池的壟斷效應越來越明顯,很多小的礦池已經在這場遊戲中被淘汰。
另外,共享計算的新型雲計算概念被迅雷公司提出,它是一種以區塊鏈技術為基礎,通過已授權的智能硬體設備記錄、匯總社會普通家庭中閑置的帶寬、存儲、計算等資源,並通過跨平台、低功耗的虛擬化技術,以及節點就近點對點訪問的智能調度技術,提供實現更快、更易擴展、更環保的計算資源。通過基於此類智能硬體作為橋樑,可以把個體用戶的閑置帶寬、存儲、算力等資源匯聚成能夠為企業使用的優質資源,將企業和個人連接在一起,讓個體用戶的資源可以為企業所用。
(三)區塊鏈安全防護
1. 區塊鏈面臨的安全問題與應對措施
(1)底層代碼的安全性
區塊鏈項目(尤其是公有鏈)的一個特點是開源。通過開放源代碼,來提高項目的可信性,也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。2016年10月,國家互聯網應急中心發布《開源軟體源代碼安全漏洞分析報告——區塊鏈專題》,針對區塊鏈領域的知名開源軟體,結合漏洞掃描工具和人工審計的方式,在代碼層面發現高危安全漏洞746個,中危漏洞3497個,數量較多的高危漏洞有不安全的隨機數、不安全的JNI、空指針解引用等。2018年3月,慢霧安全團隊披露了一起由於以太坊生態缺陷導致的億級數字資產盜竊事件。攻擊者利用以太坊節點Geth/ParityRPCAPI鑒權缺陷,惡意調用eth_sendTransaction盜取數字資產,持續時間長達兩年。應對措施主要有兩方面:一是使用專業的代碼審計服務,二是了解安全編碼規範,防患於未然。
(2)密碼演算法的安全性
以比特幣為例,每個區塊都對應一個散列值,採用SHA256演算法計算得到。在現階段,該演算法依舊滿足散列函數的三個特性,單向性、弱無碰撞性和強無碰撞性,是安全的。由於SHA1和MD5已經被密碼學者找到碰撞,所以,不應選取這兩個演算法作為區塊鏈中的散列演算法。
比特幣中的交易採用了橢圓曲線數字簽名演算法ECDSA,確保了交易的完整性。比特幣中的橢圓曲線採用的是Koblitz曲線(secp256k1)而非美國國家標準與技術研究院(NIST)推薦的secp256r1。雖然當前並無證據,但有分析認為secp256r1有可能是被NIST選取的帶後門的橢圓曲線,而比特幣在無形中避開了這一風險[11]。
隨著量子計算機的發展,越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法,如基於格的密碼演算法等。橢圓曲線密碼並不能抵抗量子攻擊,當對於密碼的量子攻擊在未來成為現實時,所有不能夠抵抗量子攻擊的密碼演算法都存在較大風險,需要被替換。不過,在比特幣中,比特幣地址是對公鑰進行散列並使用base58編碼後的結果,如果比特幣資金存放在一個沒有支出過的地址里,這意味著公鑰尚未公開,則它們在量子計算機面前是安全的。應對措施有:作為設計者,一是在設計時採用現階段安全的密碼演算法,同時關注抗量子攻擊的密碼研究的進展,在其成熟後優先考慮使用;二是參考比特幣對於公鑰地址的處理方式,降低公鑰泄露所帶來的潛在的風險。作為用戶,尤其是比特幣用戶,每次交易後的餘額都採用新的地址進行存儲,確保有比特幣資金存儲的地址的公鑰不外泄。
(3)共識機制的安全性
當前的共識機制有工作量證明(ProofofWork,PoW)、權益證明(ProofofStake,PoS)、授權權益證明(DelegatedProofofStake,DPoS)、實用拜占庭容錯(PracticalByzantineFaultTolerance,PBFT)等。PoW面臨51%攻擊問題。由於PoW依賴於算力,當攻擊者具備算力優勢時,找到新的區塊的概率將會大於其他節點,這時其具備了撤銷已經發生的交易的能力。需要說明的是,即便在這種情況下,攻擊者也只能修改自己的交易而不能修改其他用戶的交易(攻擊者沒有其他用戶的私鑰)。在PoS中,攻擊者在持有超過51%的Token量時才能夠攻擊成功,這相對於PoW中的51%算力來說,更加困難。在PBFT中,惡意節點小於總節點的1/3時系統是安全的。
總的來說,任何共識機制都有其成立的條件,作為攻擊者,還需要考慮的是,一旦攻擊成功,將會造成該系統的價值歸零,這時攻擊者除了破壞之外,並沒有得到其他有價值的回報。對於區塊鏈項目的設計者而言,應該了解清楚各個共識機制的優劣,從而選擇出合適的共識機制或者根據場景需要,設計新的共識機制。
(4)智能合約的安全性
智能合約具備運行成本低、人為干預風險小等優勢,但如果智能合約的設計存在問題,將有可能帶來較大的損失。2016年6月,以太坊最大眾籌項目TheDAO被攻擊,黑客獲得超過350萬個以太幣,後來導致以太坊分叉為ETH和ETC。2017年11月7日Parity多重簽名合約漏洞導致93萬個以太幣永久丟失。
應對措施主要有兩方面:一是對智能合約進行安全審計,二是遵循智能合約安全開發原則[12]。智能合約的安全開發原則有:對可能的錯誤有所準備,確保代碼能夠正確的處理出現的bug和漏洞;謹慎發布智能合約,做好功能測試與安全測試,充分考慮邊界;保持智能合約的簡潔;關注區塊鏈威脅情報,並及時檢查更新;清楚區塊鏈的特性,如謹慎調用外部合約等。
(5)數字錢包的安全性
數字錢包主要存在三方面的安全隱患:第一,設計缺陷。2014年底,某簽報因一個嚴重的隨機數問題(R值重複)造成用戶丟失數百枚數字資產。第二,數字錢包中包含惡意代碼。2017年,有網友使用某投資微信群推薦的錢包軟體,導致數字資產丟失[13]。第三,電腦、手機丟失或損壞導致的丟失資產。應對措施主要有四個方面:一是確保私鑰的隨機性;二是在軟體安裝前進行散列值校驗,確保數字錢包軟體沒有被篡改過;三是使用冷錢包;四是對私鑰進行備份。
2. 區塊鏈安全服務
針對目前區塊鏈存在的底層代碼、密碼演算法、共識機制、智能合約、數字錢包等安全問題,該領域也出現了一些提供安全服務的公司,它們主要通過技術手段、代碼審計幫助客戶解決各種區塊鏈安全問題。
3. 量子技術發展帶來的安全挑戰和應對
量子計算機就是建立在量子實體(如光子、電子、原子、離子)基礎上運行量子比特的計算機,由於量子計算機具有基於量子比特的並行處理信息的能力,理論上其計算能力隨量子比特位數的增加呈指數級增加,因此相比經典計算機具有超級強大的計算能力。國際上,Google、IBM、微軟等公司都投入了巨資研發量子計算機的硬體及軟體,2017年IBM公司宣布研製出具有50個量子比特的量子計算原型機,2018年Google公司發布了72個量子比特的量子晶元,微軟公司主要針對拓撲量子計算進行研發,2018年宣布取得重大進展。國內也有多個科研機構及阿里巴巴、騰迅、百度等互聯網公司在量子計算領域進行前沿研究。
量子計算機將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易,目前最常用的ECDSA、RSA、DSA等在理論上都不能承受量子攻擊。根據理論預測,對於一定長度的基於非對稱橢圓曲線加密演算法ECC密鑰,用目前超級計算機需要幾十年才能破解的密碼如果採用具有數千個量子比特的量子計算機及Shor演算法預計數十分鐘就可以破解。可見,一些量子演算法將對目前區塊鏈所採用的公鑰密碼體系產生嚴重的威脅,必須提出應對量子計算的安全策略。
為了應對量子計算機給密碼帶來的安全威脅,目前主要可以採用基於抗量子計算密碼和量子密鑰的方法。抗量子計算密碼的優勢在於,將抗量子計算密碼應用於互聯網中不需要添加額外的硬體設備,特別是昂貴的量子硬體系統,有利於快速大規模普及應用。量子密鑰的優勢在於其具有更高的基於物理上的安全性,而目前主要的缺點在於需要基於相對昂貴的量子硬體系統,將來量子硬體設備會進一步集成化和降低成本,這將有利於量子密鑰的廣泛應用。在今後的實際應對策略中,可以根據具體應用的安全需求,將兩種策略組合使用。
白皮書全文下載地址:http://www.miit.gov.cn/n1146290/n1146402/n1146445/c6180238/part/6180297.pdf
【加入社群】
新智元 AI 技術 + 產業社群招募中,歡迎對 AI 技術 + 產業落地感興趣的同學,加小助手微信號: aiera2015_3 入群;通過審核後我們將邀請進群,加入社群後務必修改群備註(姓名 - 公司 - 職位;專業群審核較嚴,敬請諒解)。
※新數學框架「終極演算法」理論提出,或讓機器誕生意識
※施堯耘:量子計算終將實現;段路明:大規模量子計算還任重道遠
TAG:新智元 |