“鍊上無限”2018中國區塊鍊産業高峰論壇于5月20日北京市召開。論壇上,工業和資訊化部資訊中心總工程師童曉民、工業和資訊化部資訊中心工業經濟研究所所長于佳甯、起風财經創始人羅智勇釋出了《2018中國區塊鍊産業白皮書》(簡稱《白皮書》),深入分析我國區塊鍊技術在金融領域和實體經濟的應用落地情況,系統闡述中國區塊鍊産業的發展的六大特點和六大趨勢。
工業和資訊化部資訊中心總工程師童曉民、工業和資訊化部資訊中心工業經濟研究所所長于佳甯、起風财經創始人羅智勇共同釋出《2018年中國區塊鍊白皮書》
白皮書下載下傳位址:http://www.miit.gov.cn/n1146290/n1146402/n1146445/c6180238/part/6180297.pdf
目錄:
我國區塊鍊産業生态初步形成,方興未艾
1. 産業呈現高速發展,企業數量快速增加
截至2018年3月底,我國以區塊鍊業務為主營業務的區塊鍊公司數量已經達到了456家[2],産業初步形成規模。
從中國區塊鍊産業的新成立公司數量變化來看,2014年該領域的公司數量開始增多,到2016年新成立公司數量顯著提高,超過100家,是2015年的3倍多。2017年是近幾年的區塊鍊創業高峰期,由于區塊鍊概念的快速普及,以及技術的逐漸成熟,很多創業者湧入這個領域,新成立公司數量達到178家。
股權投資情況可以較好反映社會資本對與産業的關注和支援力度。涉及區塊鍊公司股權投資事件數量為249起。從2016年開始,區塊鍊領域的投資熱度出現明顯上升,投資事件達到60起,是2015年的5倍。2017年是近幾年的區塊鍊投資高峰期,投資事件數量接近100起。在2018年第一季度,區塊鍊領域的投資事件數量就達到了68起。從目前趨勢來看,由于區塊鍊技術的落地速度也在加快,市場開始趨于理性,股權投資人更願意投資能看到有具體落地場景的項目,預計今年區塊鍊領域的投資會是一個高峰期。
從中國區塊鍊公司融資輪次分布狀況來看,目前有接近90%的投資事件集中在早期階段(A輪及以前),另外有9%的投資事件屬于戰略投資,B輪及以後的投資事件占比僅為2%。是以,區塊鍊産業目前還處于非常早期的階段。随着整個産業的高速發展以及項目落地速度的加快,融資輪次将逐漸往後延伸,未來會出現更多進入中後期階段的項目。區塊鍊産業發展方興未艾。
2. 從裝置制造到産業應用,區塊鍊産業鍊條脈絡逐漸明晰
根據本次調研情況來看,目前我國區塊鍊産業鍊條已經形成,從上遊的硬體制造、平台服務、安全服務,到下遊的産業技術應用服務,到保障産業發展的行業投融資、媒體、人才服務,各領域的公司已經基本完備,協同有序,共同推動産業不斷前行。
從區塊鍊産業細分領域新成立公司分布狀況來看,截至2018年3月底,區塊鍊領域的行業應用類公司數量最多,其中為金融行業應用服務的公司數量達到86家,為實體經濟應用服務公司數量達到109家。此外,區塊鍊解決方案、底層平台、區塊鍊媒體及社群領域的相關公司數量均在40家以上[4]。
從區塊鍊産業細分領域投資事件分布狀況來看,行業應用服務相關的公司獲投事件數最多,總共達到了113起,可見投資人對于有具體的應用場景,能夠實際落地的項目越來越看重。底層平台領域的獲投事件數為42起,區塊鍊媒體及社群領域的獲投事件數也達到了28起[5]。區塊鍊領域正在吸引越來越多的創業者和資本入場,成為創新創業的新高地。随着區塊鍊技術的發展以及應用的加速落地,産業規模将不斷增加,該領域未來有望成為新的經濟增長點。
3. 網際網路巨頭湧入快速推動我國區塊鍊産業發展
區塊鍊技術不僅受到了創業企業的青睐,也受到了網際網路巨頭企業的廣泛關注,網際網路巨頭企業紛紛拓展區塊鍊業務,快速推動我國區塊鍊産業發展。目前,騰訊、阿裡巴巴、百度、京東等網際網路行業巨頭紛紛加入區塊鍊技術的研究與場景應用中來。騰訊基于TrustSQL核心技術,打造領先的企業級區塊鍊基礎服務平台。目前,騰訊區塊鍊已經落地供應鍊金融、醫療、數字資産、物流資訊、法務存證、公益尋人等多個場景。例如,騰訊基于供應鍊場景下的真實交易資料,通過騰訊區塊鍊技術及營運資源,建構“騰訊區塊鍊+供應鍊金融解決方案”,從根本上改善小微企業的融資困境,助力地方産業轉型更新。阿裡巴巴基于區塊鍊技術去中心化、分布式存儲及防篡改的特性已落地了多個應用場景,包括公益、正品追溯、租賃房源溯源、互助保險等,并且申請專利數量已達到80件左右。百度金融先後與華能信托、長安新生等落地了國内首單區塊鍊技術支援證券化項目和區塊鍊技術支援交易所ABS項目。京東運用區塊鍊技術搭建“京東區塊鍊防僞追溯平台”,從解決商品的信任痛點出發,精準追溯到商品的存在性證明特質,讓所有生産、物流、銷售和售後資訊分享進來,共同鑄建完整且流暢的資訊流,并且也采用區塊鍊技術來解決ABS參與各方的信任問題,在區塊鍊的系統架構上完成交易,确認資産的權屬和資産的真實性。巨頭湧入給我國區塊鍊産業發展注入了新動能,産業蓄勢待發,并将借着新時代的東風快速崛起。
地域分布相對集中,産業集聚效應明顯
從中國區塊鍊公司的地域分布狀況來看,北京、上海、廣東、浙江依然是區塊鍊創業的集中地,四地合計占比超80%。其中,北京以175家公司、占比38%處于絕對的領先地位;上海以95家公司,占比21%位居第二;廣東省以71家公司、占比16%位居第三;浙江省以36家公司、占比8%位居第四。除此以外,中國區塊鍊創業活躍度前十名的省份還包括江蘇、四川、福建、湖北、重慶、貴州。
從中國區塊鍊創業活躍度靠前城市來看,北京、上海、深圳、杭州依然為中國大陸區塊鍊創業活躍度最高的四座城市,公司占比達到78%。除此以外,中國區塊鍊創業活躍度前十位城市還包括廣州、成都、南京、廈門、重慶、貴陽。
随着區塊鍊技術和應用的快速疊代,區塊鍊向傳統行業的擴充程序将進一步加快,未來區塊鍊企業以及區塊鍊領域項目與傳統産業場景結合的需求将持續提升,是以地域分布将更加廣泛。
區塊鍊應用呈現多元化,從金融延伸到實體領域
區塊鍊技術具備分布式、防篡改、高透明和可追溯的特性,非常符合讓整個金融系統業務需求,是以目前已在支付清算、信貸融資、金融交易、證券、保險、租賃等細分領域落地應用。例如,民生銀行與中信銀行合作推出首個國内信用證區塊鍊應用,中國平安的資産交易、征信兩大應用場景都已上線,招商銀行落地了國内首個區塊鍊跨境支付應用,微衆銀行通過基于區塊鍊的機構間對賬平台把對賬時間從T+1日縮短至T+0,實作了日準實時對賬。
随着區塊鍊技術創新發展逐漸成熟,産業應用的實際效果愈發顯現,區塊鍊的應用已從金融領域延伸到實體領域,電子資訊存證、版權管理和交易、産品溯源、數字資産交易、物聯網、智能制造、供應鍊管理等領域。區塊鍊技術開始與實體經濟産業深度融合,形成一批“産業區塊鍊”項目,迎來産業區塊鍊“百花齊放”的大時代。例如,北京溯安鍊科技有限公司的溯源服務已經在廣西小蕃薯、陽原雜糧、黑龍江富硒大米生産流通供應鍊得到了應用,這不僅滿足了客戶的區塊鍊溯源需求,還提升了産品的附加值。安妮股份基于區塊鍊的版權存證服務,已為百萬作品提供了确權服務,部分解決了内容創作者的痛點和難點。發揮區塊鍊技術在确權、授權與維權過程中的海量、快速、即時特性,逐漸實作“創作即确權、使用即授權、發現即維權”。沃爾瑪基于區塊鍊的創新食品供應鍊協作模式使農場到門店的追溯過程從26小時減少至10秒,并且調閱檔案僅需半分鐘。
随着區塊鍊的價值得到廣泛的認可,越來越多的行業正在提出自己的區塊鍊解決方案。從應用範圍看,區塊鍊技術幾乎在所有的産業場景都能落地應用,原因是幾乎所有的産業場景都涉及交易,都有降成本、提效率、優化産業誠信環境的需求,而這正是區塊鍊技術落地應用後能迅速發揮的作用。
區塊鍊技術應用落地的主戰場是實體經濟産業領域,區塊鍊技術的價值也将集中展現為落地産業場景後帶來的價值增量。目前,傳統産業中的實物流并沒有廣泛轉化為資訊流,原因之一是很多實體經濟企業,尤其是中小微企業并沒有辦法基于業務的數字化轉型獲得很大的實際收益,反而要承擔資訊洩露等一系列風險。是以不少企業并沒有積極推動業務的數字化轉型,導緻實物流向資訊流的映射存在不完整、不全面、不系統的情況。利用區塊鍊技術,結合物聯網和工業網際網路技術應用,以及在基于新型供應鍊金融模式的推動下,大量交易資訊已經開始由線下轉向鍊上,企業的管理系統和機器裝置的聯網率開始提升,數字資産成為企業資産的重要組成部分,實體産業的商業模式也将實作前所未有的深度變革[6]。
實作“協作環節資訊化”,助力實體經濟降成本提效率
從目前實際的落地案例看,産業區塊鍊技術落地應用要實事求是地為産業解決一些“小問題”,着力于提升産業協作環節的資訊化水準,具體可從“降成本”和“提效率”兩個方面推動傳統産業的發展。
随着我國數字經濟發展,在企業内部,資訊化水準往往已經比較高,各類管理系統已經非常先進,但是在企業之間協作的環節,很多情況下并沒有被資訊系統所覆寫。比如不同類型的機構進行在對賬時,往往要從資訊系統中導出電子表格,并用郵件發送。甚至需要列印表格、蓋章後郵寄,對方收到後再與系統資料進行比對。整個業務流程并不複雜,但是消耗了很多人力物力,成本較高,而且制約了業務運作效率和使用者體驗的提升。是以,很多聯盟鍊系統都實際上是在解決這個問題,提升企業之間協作環節的資訊化水準。在這個領域,用傳統中心化的資料庫方式建設,成本相對較高,授權機制複雜,可擴充性較差,資訊安全問題難以保障,多主體難以實作互信。而區塊鍊技術則能夠讓多種業務主體平等交流,資訊共享,實時核對資料一緻性。這些基于區塊鍊的系統,本質上是在“弱信任”環境中,有效實作多主體資訊共享、有效協作的資訊化手段。
用區塊鍊的方式實作資訊共享,除了成本低,效率高之外,還可以實作“信任傳遞”或“信任外溢”,基于區塊鍊技術,由于上鍊資訊不可篡改,是以在交易雙方共同驗證一筆交易之後,也可以讓第三方信任這個資訊,這實際上就使得這種可信的狀态可以傳導到第三方,進而實作資料的資産化。此外讓機構從“黑盒”狀态轉為“白盒”狀态,也就是機構運作機制透明化,使得自證清白變得非常容易,極大地降低多主體之間的互信成本。
進而,區塊鍊将發揮“提高産業鍊協同效率”的作用。提升産業協同水準是推動中國制造邁向中高端的重要途徑,也是建設現代化經濟體系的重要要求。但是目前在很多産業,産業鍊協同效率仍然不高,在國際貿易領域這個問題尤為突出。例如:在國際貿易中,商品的原産地、檢驗檢疫、通關等系列證明檔案,各國标準不一,有關部門和外貿企業核驗這些證書證明真實性、準确性的成本和難度都比較高,直接導緻國際貿易商品流通速度慢,跨國協同難度高。在國際上難以通過設立統一的認證機構解決這些問題。基于區塊鍊技術,打通各國商品流通資訊,可以實作對國際貿易商品流通全過程的溯源,甚至互信實作快速通關,進而大大簡化相關手續,提升效率。
技術濫用導緻産業發展存在一定的風險,不可忽視
盡管區塊鍊技術的正向價值逐漸顯現,但是産業發展過程中仍然伴随出現了一系列不可忽視的風險。一方面是合規性風險,在區塊鍊發展的早期階段,由于它本身具有傳遞價值的屬性,是以引來了一些不是專注于技術應用,而是熱衷于通過ICO(首次代币發行)進行非法集資、傳銷甚至是欺詐的行為。2017年9月,7部門聯合釋出《關于防範代币發行融資風險的公告》,直指野蠻生長的代币融資行為。與早期的網際網路相似,區塊鍊發展早期也要特别警惕資本市場的過分炒作和虛假宣傳。一些區塊鍊應用項目存在不切實際的宣傳和炒作,使得市場估值偏離基本價值或者被賦予過高的期望。此外,還有一些項目從本質上并沒有真正利用區塊鍊技術,隻是打着區塊鍊的旗号,獲得了與實際價值完全不相符的估值。有的項目的所謂創新脫離了實體經濟的需求,完全是投機行為。
另一方面是技術層面的風險,盡管區塊鍊融密碼學、分布式存儲等多項技術于一身,但這并不意味着它本身沒有漏洞。例如,存在51%攻擊、自私挖礦等攻擊方式。區塊鍊需要引入大量公共資源參與到體系中來,如參與計算的節點數太少,則會面臨51%被攻擊的可能性,嚴重威脅網絡系統運作和價值。再如,私鑰和終端安全。在目前區塊鍊中,私鑰存儲在使用者終端本地。如果使用者的私鑰被竊取,将給使用者的數字資産造成嚴重的損失。又如,共識機制安全。目前,除PoW外,PoS、DPoS等多種共識機制雖然已經被提出,但是否能夠實作真正的安全可信,尚不能完全證明。此外,還有可能通過傳統的網絡攻擊方式,造成網絡堵塞,迫使區塊鍊網絡出現硬分叉,進而導緻對整個區塊鍊系統的可信性受到質疑,網絡體系的價值就會崩盤,給網絡參與者造成慘重的集體損失。除了區塊鍊本身的技術漏洞,網絡參與主體責任劃分、賬本資料最終歸屬、成本偏高、交易區塊具有選擇性等問題,也會導緻區塊鍊技術落地應用時會面臨較大風險。
産業政策體系逐漸建構,産業發展環境持續優化
1. 區塊鍊産業發展的政策體系逐漸完善,各地政府積極從産業高度定位區塊鍊技術
區塊鍊技術已經上升到國家科技戰略層面。2016年12月,《國務院關于印發“十三五”國家資訊化規劃的通知》中首次提及區塊鍊,并将其與量子通信、人工智能、虛拟現實、大資料認知分析、無人駕駛交通工具等技術一起作為重點前沿技術,明确提出需加強區塊鍊等新技術的創新、試驗和應用,以實作搶占新一代資訊技術主導權。其次,相關行業、國家和國際标準也在加速制定,解決區塊鍊的關鍵技術标準問題,促進區塊鍊産業生态化發展。為把握區塊鍊産業發展機遇,搶占區塊鍊産業發展制高點,各地政府及時出台區塊鍊技術和産業發展扶持政策,讓區塊鍊産業迎來了一次新的爆發。
目前,各地政府積極從産業高度來定位區塊鍊技術,把握技術更新帶來的産業更新新機遇。例如,2018年3月河北省政府印發《關于加快推進工業轉型更新建設現代化工業體系的指導意見》,提出積極培育發展區塊鍊等未來産業,打造世界級高端高新産業叢集。2018年4月國務院批複了《河北雄安新區規劃綱要》,強調重點發展資訊技術産業,要求超前布局區塊鍊、太赫茲、認知計算等技術研發及試驗。
為了便于讀者了解我國目前區塊鍊産業有關的政策,特将國家和地方的政策進行了彙編,具體政策内容請見本報告附件2和附件3。
2. 積極加強行業監管,有力防範金融風險
根據黨的十九大的總體部署,防範和化解重大風險是未來中國三年的經濟工作重點之一,而防範和化解重大風險的關鍵則是防控金融風險。是以,我國也積極加強行業監管,防範區塊鍊發展過程中可能出現的金融風險,維護國家金融的穩定和安全,促進區塊鍊産業規範健康發展,以更好地發揮區塊鍊“價值網際網路”的積極作用。
ICO本質上是區塊鍊初創項目的融資工具,通常為早期投資者通過向ICO項目發起人支付比特币或以太币等主流虛拟貨币,獲得項目發起方基于區塊鍊技術初始産生的加密數字代币。根據國家網際網路金融安全技術專家委員會于2017年7月25日釋出的《2017上半年國内ICO發展情況報告》,ICO融資規模和使用者參與程度呈加速上升趨勢,累計參與人次達10.5萬。一些項目因早期天使融資失敗,而轉向ICO融資模式。是以,這些ICO項目風險均非常高,甚至涉及傳銷、欺詐[7]。
2017年9月4日,中國人民銀行、中央網信辦、工業和資訊化部、工商總局、銀監會、證監會、保監會聯合釋出《關于防範代币發行融資風險的公告》,明确代币發行融資本質上是一種未經準許非法公開融資的行為,涉嫌非法發售代币票券、非法發行證券以及非法集資、金融詐騙、傳銷等違法犯罪活動。并要求各類代币發行融資活動應當立即停止。已完成代币發行融資的組織和個人應當做出清退等安排,合理保護投資者權益,妥善處置風險。明确規定任何所謂的代币融資交易平台不得從事法定貨币與代币、“虛拟貨币”互相之間的兌換業務,不得買賣或作為中央對手方買賣代币或“虛拟貨币”,不得為代币或“虛拟貨币”提供定價、資訊中介等服務。各金融機構和非銀行支付機構不得直接或間接為代币發行融資和“虛拟貨币”提供賬戶開立、登記、交易、清算、結算等産品或服務,不得承保與代币和“虛拟貨币”相關的保險業務或将代币和“虛拟貨币”納入保險責任範圍。
經過半年的集中整治,網際網路金融領域總體風險水準明顯下降,非法集資在網際網路蔓延勢頭得到遏制。目前全國摸排出的首次貨币發行(ICO)平台和比特币等虛拟貨币交易場所已基本實作無風險退出[8]。
區塊鍊是一項前沿技術,技術造成的新監管挑戰也在要求監管技術的持續進步。金融科技細分領域的“Reg-Tech”(監管科技)。就是利用大資料、人工智能和區塊鍊等的新技術,來解決監管合規問題,減少合規費用。區塊鍊備案平台、基于區塊鍊的監管體系等都屬于Reg-Tech領域。國内已經出現從事監管科技的公司,他們主要為政府和各大銀行等金融監管機構提供監管科技解決方案。
區塊鍊産業細分領域發展情況
區塊鍊各細分領域蓬勃發展,從硬體制造、基礎設施到底層技術開發、平台建設,再到安全防護、行業應用,以及媒體社群等區塊鍊行業服務機構,已經初步形成了一個完整的産業生态鍊。
(一)平台建設
1. 底層平台(公有鍊/聯盟鍊/BaaS)
在區塊鍊産業,平台級的機會是目前很多公司關注的方向。無論是創業公司還是大公司,紛紛在布局區塊鍊底層平台,希望能搶占下一波紅利。但是,由于區塊鍊還處于非常早期的階段,是以各家對于平台的了解和實踐路徑并不一樣。目前,公有鍊、聯盟鍊和BaaS是三種比較主流的平台模式。
(1)公有鍊
公有鍊是指向全世界所有人開放,每個人都能成為系統中的一個節點參與記賬的區塊鍊,它們通常将激勵機制和加密數字驗證相結合,來實作對交易的共識。
目前,公有鍊被看作是區塊鍊領域最有前景的方向,因為它更符合區塊鍊的本質,很可能成為下一個系統級的平台。公有鍊的優點包括:能夠保護使用者免受開發者的影響;所有交易資料都預設公開;通路門檻低,任何人隻要有聯網的計算機就能通路;能夠通過社群激勵機制更好地實作大規模的協作共享等等。
作為底層平台,公有鍊能夠推動整個社會進入“可信數字化”時代,真正開啟“價值網際網路”的新篇章。一方面,基于區塊鍊的激勵模式推進分享經濟向共享經濟更新,這也符合創新、協調、綠色、開放、共享的新發展理念,是一種更高層次的新型平台經濟;另一方面,基于底層公鍊的區塊鍊應用也将迎來大爆發,DAPP時代即将來臨。DAPP之于底層公鍊,就如同APP之于IOS和Android系統,未來可能會衍生出一個新的生态體系。
雖然公有鍊有很多優點,但是其存在的挑戰依然很大。對于公有鍊來說,節點數越多意味着系統的安全性和公平性越高,這就帶來了系統效率的低下,因為每增加一個節點,就需要多達成一次共識。節點數和效率就成為了一個悖論。例如:比特币每秒能處理7筆交易,以太坊每秒能處理20-30筆交易。由于TPS每秒的并發量太低,導緻比特币和以太坊等公鍊普遍存在交易費用高、确認時間長、擴充性差等問題。此外,很多的公有鍊項目都是先搭建平台,再去找應用場景,這也為後面的實際落地帶來了一定的挑戰。
目前在公有鍊領域,我國技術處于世界先進水準,已經誕生了幾家比較領先的底層平台公司。
(2)聯盟鍊
聯盟鍊是指若幹個機構共同參與記賬的區塊鍊,即聯盟成員之間通過對多中心的互信來達成共識。
聯盟鍊的資料隻允許系統内的成員節點進行讀寫和發送交易,并且共同記錄交易資料。聯盟鍊作為支援分布式商業的基礎元件,更能滿足分布式商業中的多方對等合作與合規有序發展要求。例如:聯盟鍊會更适合組織機構間的交易和結算,類似于銀行間的轉賬、支付,通過采用聯盟鍊的形式,就能打造一個很好的内部生态系統來大幅提高效率。
聯盟鍊和公鍊相比,在高可用、高性能、可程式設計,隐私保護上更有優勢,它被認為是“部分去中心”或者是“多中心”的區塊鍊。聯盟鍊讓節點數得到了精簡,能夠使得系統的運作效率更高、成本更低,在機關時間内能夠确認的交易數量要比公鍊大很多,更容易在現實場景中落地。此外,聯盟鍊相對于公有鍊非常重要的特點就是節點準入控制與國家安全标準支援,確定認證準入、制定監管規則符合監管要求,在可信安全的基礎上提高交易速度。
(3)BaaS
BaaS通常是一個基于雲服務的企業級的區塊鍊開放平台,可一鍵式快速部署接入、擁有去中心化信任機制、支援私有鍊、聯盟鍊或多鍊,擁有私有化部署與豐富的運維管理等特色能力。BaaS目前可廣泛應用于金融、醫療、零售、電商、遊戲、物聯網、物流供應鍊、公益慈善等行業中,重塑商業模式,提升客戶在行業内的影響力。
目前,大公司在BaaS方面的動作更加活躍,因為它們都有自己的雲服務,并且生态體系内的業務場景豐富,适合根據具體的業務場景來試錯和反推平台服務。此外,由于公有鍊的共識機制導緻系統效率低下,而BaaS是基于對大公司的平台信任,去建構部分去中心化或者弱中心化的架構,進而在一定程度上達到可信化和效率的兼顧。BaaS服務将使用者對公有雲或者大公司的品牌信任注入到平台中,能夠加快區塊鍊的普及,降低使用者的使用門檻,擴大區塊鍊的使用場景。
騰訊區塊鍊BaaS開放平台,定位于打造領先的企業級區塊鍊基礎服務平台,幫助客戶從業務的角度了解區塊鍊,專注于幫助企業快速搭建上層區塊鍊應用場景。騰訊區塊鍊以“區塊鍊+”的戰略定位,緻力于連接配接應用場景,針對供應鍊金融、物流資訊、公益尋人、法務存證、醫療處方等應用場景的痛點,推出行業級區塊鍊解決方案。目前,騰訊區塊鍊BaaS開放平台提供共享賬本和數字資産兩大業務模型。共享賬本模型主要适用于解決資訊不對稱、提供存證證明等需要進行資訊有效性共享的場景。數字資産模型主要針對可數字化的資産交易場景,通過與業務場景中進行有機結合,能夠有效防止資料篡改,進行完整追溯,規避資料僞造風險。
華為雲區塊鍊服務BCS聚焦于區塊鍊雲技術平台建設,幫助企業在華為雲上搭建企業級區塊鍊行業方案和應用,共同推動區塊鍊應用場景落地,打造基于區塊鍊的公共信任基礎設施和共赢生态。BCS基于華為雲領先的雲原生技術(如容器等)搭建,可最快5分鐘完成區塊鍊部署,同時提供多種安全、高效共識算法,使用者可以在2000+TPS和10000+TPS共識算法上根據業務需求和場景進行選擇。基于華為雲全棧安全能力,BCS服務通過分層加密、國密支援、同态加密和零知識證明等安全技術,全面保護區塊鍊系統的賬戶、節點、賬本和資料,確定使用者和交易資訊安全。目前,BCS主要專注4大類9小類應用場景,包括資料資産、IoT、營運商和金融領域等,如:身份認證、資料存證/交易,新能源、公益捐贈、普惠金融等。
公有鍊與聯盟鍊/BaaS雖然采取了不同的政策和發展路徑,但是兩者依然會長期共存,甚至有些平台最後可能會殊途同歸,或者通過跨鍊技術将分散的聯盟鍊系統與公鍊相連接配接,形成更大範圍的價值網際網路産業生态。
2. 數字資産存儲
區塊鍊産業的發展需要有新型的數字資産存儲方式,這就催生了數字錢包的誕生。對于數字錢包來說,安全性需求永遠是排在第一位的。近幾年,數字資産安全問題屢見不鮮,數字錢包作為區塊鍊産業鍊上一個重要環節,需要打造更加安全可靠的存儲環境。此外,對于普通使用者來說,數字錢包的使用門檻依然很高,便捷性和易用性亟待提升。這些需求均在推動着數字錢包的不斷疊代更新。
數字錢包提供錢包位址的建立、數字加密資産的轉賬、錢包位址的曆史交易查詢等功能。數字錢包按照密碼學原理,可以建立一個或多個錢包位址,每個錢包位址對應一個密鑰對:私鑰和公鑰。在數字加密資産的世界裡,私鑰是最重要的,它是數字加密資産所有權的唯一憑證,因為公鑰和位址均能通過私鑰推導出來。是以,私鑰的生成和存儲方式決定了數字加密資産的安全性,而數字錢包的主要作用就是幫助使用者管理和使用私鑰。另外,為了降低使用者的使用門檻,助記詞則成為明文私鑰的另一種表現形式,它是為了幫助使用者去記憶複雜的私鑰,增加便捷性。
安全是數字錢包的根基,一個安全的數字錢包應該能在任何時候都讓使用者的私鑰/助記詞處于安全保護之下。在此原則下,加密數字錢包的設計應遵循以下安全體系:基礎安全體系(存儲安全、網絡安全、記憶體安全、安裝包安全)、密鑰管理安全體系、開發流程安全體系和使用者行為安全體系[9]。
目前,數字錢包類型主要分為冷錢包和熱錢包等。冷錢包就是不聯網的錢包,也叫離線錢包;熱錢包就是保持聯網上線的錢包,也就是線上錢包。冷錢包不聯網會比熱錢包更安全,因為它能保證私鑰不接觸網絡,進而防止私鑰被黑客竊取。IT桔子的資料顯示,截至2018年3月底,中國開發數字錢包的相關公司數量大約有15家,基本上都是以開發熱錢包為主。
此外,去中心化也是區塊鍊領域數字錢包發展的一大特點。中心化錢包和去中心化錢包的最根本差別就是,私鑰是否自持。去中心化錢包的特點包括:第一、私鑰是使用者自持,當然密碼也是使用者自持;第二、資産是存儲在區塊鍊上,而不是托管在中心化的伺服器上,并且目前也無需實名認證,即可生成錢包;第三、無法實作“賬戶當機”、“交易復原”等操作。是以,去中心化錢包很難遭受黑客的集中攻擊,使用者也不用擔心錢包服務商出現監守自盜的情況[10]。
3. 區塊鍊技術解決方案
區塊鍊解決方案主要是指在底層平台的基礎上進行擴充,目的是便于開發者基于區塊鍊技術開發出産品和應用,或者是服務商直接為客戶提供針對具體業務場景的解決方案。
(二)區塊鍊硬體制造和基礎設施
區塊鍊硬體制造和基礎設施起源于區塊鍊的共識機制之一——POW(ProofofWork,工作量證明機制),即全網計算節點通過算力競争記賬權,來擷取經濟獎勵。此外,分布式記賬是區塊鍊的核心特征之一,而區塊鍊硬體裝置充當了記賬節點的功能。随着區塊鍊的價值展現,參與競争記賬的人數越來越多,造成全網算力的難度呈現出指數級上升,這對區塊鍊硬體裝置的産量和性能都提出了更高的要求,推動這個行業持續創新發展,轉型更新,在國際上取得了領先地位。
1. 算力難度上升和記賬節點增加推動區塊鍊硬體制造産業蓬勃發展
區塊鍊硬體制造的核心在于晶片的計算能力,是以在算力難度提升的情況下,競争記賬也經曆了最早從個人計算機上的CPU(中央處理器)記賬,到GPU(獨立顯示卡)記賬,再到專業礦機的誕生,以及專業礦機又從FPGA(可程式設計門陣列)過渡到ASIC(專用內建電路)等。區塊鍊硬體制造在算力難度不斷增加的驅動下蓬勃發展,晶片計算能力不斷提升,它是整個區塊鍊産業發展的基石。同時,計算力的提高也推動了其他領域的發展,例如:人工智能領域就十分依賴計算力,人工智能晶片TPU也同樣是ASIC晶片,依靠區塊鍊硬體裝置起家的比特大陸和嘉楠耘智就在去年釋出了AI晶片。
在區塊鍊硬體領域,中國的相關公司具有絕對優勢,全球大部分區塊鍊硬體均由中國廠商生産。世界排名前三的區塊鍊硬體裝置廠商比特大陸、嘉楠耘智和億邦科技,均是中國公司的。在算力的軍備競賽下,誰的區塊鍊硬體算力更強,就能搶占更多的市場佔有率。晶片的設計和研發能力,是這場軍備競賽的決定性因素,是以,非常有力地促進了我國專用晶片設計産業的創新發展。
2. 區塊鍊計算中心成為主流,共享計算模式落地應用
由于全網算力難度的上升,個人充當記賬節點的時代也早已在算力競争愈演愈烈中宣告結束,區塊鍊計算中心開始成為主流,它為整個區塊鍊産業的發展提供算力資源。區塊鍊計算中心主要由礦池組成,其最基本職能就是将個人的算力聚集起來參與競争記賬。在經曆了激烈的競争以後,礦池的壟斷效應越來越明顯,很多小的礦池已經在這場遊戲中被淘汰。
另外,共享計算的新型雲計算概念被迅雷公司提出,它是一種以區塊鍊技術為基礎,通過已授權的智能硬體裝置記錄、彙總社會普通家庭中閑置的帶寬、存儲、計算等資源,并通過跨平台、低功耗的虛拟化技術,以及節點就近點對點通路的智能排程技術,提供實作更快、更易擴充、更環保的計算資源。通過基于此類智能硬體作為橋梁,可以把個體使用者的閑置帶寬、存儲、算力等資源彙聚成能夠為企業使用的優質資源,将企業和個人連接配接在一起,讓個體使用者的資源可以為企業所用。
(三)區塊鍊安全防護
1. 區塊鍊面臨的安全問題與應對措施
(1)底層代碼的安全性
區塊鍊項目(尤其是公有鍊)的一個特點是開源。通過開放源代碼,來提高項目的可信性,也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對于區塊鍊系統的攻擊變得更加容易。2016年10月,國家網際網路應急中心釋出《開源軟體源代碼安全漏洞分析報告——區塊鍊專題》,針對區塊鍊領域的知名開源軟體,結合漏洞掃描工具和人工審計的方式,在代碼層面發現高危安全漏洞746個,中危漏洞3497個,數量較多的高危漏洞有不安全的随機數、不安全的JNI、空指針解引用等。2018年3月,慢霧安全團隊披露了一起由于以太坊生态缺陷導緻的億級數字資産盜竊事件。攻擊者利用以太坊節點Geth/ParityRPCAPI鑒權缺陷,惡意調用eth_sendTransaction盜取數字資産,持續時間長達兩年。應對措施主要有兩方面:一是使用專業的代碼審計服務,二是了解安全編碼規範,防患于未然。
(2)密碼算法的安全性
以比特币為例,每個區塊都對應一個散列值,采用SHA256算法計算得到。在現階段,該算法依舊滿足散列函數的三個特性,單向性、弱無碰撞性和強無碰撞性,是安全的。由于SHA1和MD5已經被密碼學者找到碰撞,是以,不應選取這兩個算法作為區塊鍊中的雜湊演算法。
比特币中的交易采用了橢圓曲線數字簽名算法ECDSA,確定了交易的完整性。比特币中的橢圓曲線采用的是Koblitz曲線(secp256k1)而非美國國家标準與技術研究院(NIST)推薦的secp256r1。雖然目前并無證據,但有分析認為secp256r1有可能是被NIST選取的帶後門的橢圓曲線,而比特币在無形中避開了這一風險[11]。
随着量子計算機的發展,越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼算法,如基于格的密碼算法等。橢圓曲線密碼并不能抵抗量子攻擊,當對于密碼的量子攻擊在未來成為現實時,所有不能夠抵抗量子攻擊的密碼算法都存在較大風險,需要被替換。不過,在比特币中,比特币位址是對公鑰進行散列并使用base58編碼後的結果,如果比特币資金存放在一個沒有支出過的位址裡,這意味着公鑰尚未公開,則它們在量子計算機面前是安全的。應對措施有:作為設計者,一是在設計時采用現階段安全的密碼算法,同時關注抗量子攻擊的密碼研究的進展,在其成熟後優先考慮使用;二是參考比特币對于公鑰位址的處理方式,降低公鑰洩露所帶來的潛在的風險。作為使用者,尤其是比特币使用者,每次交易後的餘額都采用新的位址進行存儲,確定有比特币資金存儲的位址的公鑰不外洩。
(3)共識機制的安全性
目前的共識機制有工作量證明(ProofofWork,PoW)、權益證明(ProofofStake,PoS)、授權權益證明(DelegatedProofofStake,DPoS)、實用拜占庭容錯(PracticalByzantineFaultTolerance,PBFT)等。PoW面臨51%攻擊問題。由于PoW依賴于算力,當攻擊者具備算力優勢時,找到新的區塊的機率将會大于其他節點,這時其具備了撤銷已經發生的交易的能力。需要說明的是,即便在這種情況下,攻擊者也隻能修改自己的交易而不能修改其他使用者的交易(攻擊者沒有其他使用者的私鑰)。在PoS中,攻擊者在持有超過51%的Token量時才能夠攻擊成功,這相對于PoW中的51%算力來說,更加困難。在PBFT中,惡意節點小于總節點的1/3時系統是安全的。
總的來說,任何共識機制都有其成立的條件,作為攻擊者,還需要考慮的是,一旦攻擊成功,将會造成該系統的價值歸零,這時攻擊者除了破壞之外,并沒有得到其他有價值的回報。對于區塊鍊項目的設計者而言,應該了解清楚各個共識機制的優劣,進而選擇出合适的共識機制或者根據場景需要,設計新的共識機制。
(4)智能合約的安全性
智能合約具備運作成本低、人為幹預風險小等優勢,但如果智能合約的設計存在問題,将有可能帶來較大的損失。2016年6月,以太坊最大衆籌項目TheDAO被攻擊,黑客獲得超過350萬個以太币,後來導緻以太坊分叉為ETH和ETC。2017年11月7日Parity多重簽名合約漏洞導緻93萬個以太币永久丢失。
應對措施主要有兩方面:一是對智能合約進行安全審計,二是遵循智能合約安全開發原則[12]。智能合約的安全開發原則有:對可能的錯誤有所準備,確定代碼能夠正确的處理出現的bug和漏洞;謹慎釋出智能合約,做好功能測試與安全測試,充分考慮邊界;保持智能合約的簡潔;關注區塊鍊威脅情報,并及時檢查更新;清楚區塊鍊的特性,如謹慎調用外部合約等。
(5)數字錢包的安全性
數字錢包主要存在三方面的安全隐患:第一,設計缺陷。2014年底,某簽報因一個嚴重的随機數問題(R值重複)造成使用者丢失數百枚數字資産。第二,數字錢包中包含惡意代碼。2017年,有網友使用某投資微信群推薦的錢包軟體,導緻數字資産丢失[13]。第三,電腦、手機丢失或損壞導緻的丢失資産。應對措施主要有四個方面:一是確定私鑰的随機性;二是在軟體安裝前進行散列值校驗,確定數字錢包軟體沒有被篡改過;三是使用冷錢包;四是對私鑰進行備份。
2. 區塊鍊安全服務
針對目前區塊鍊存在的底層代碼、密碼算法、共識機制、智能合約、數字錢包等安全問題,該領域也出現了一些提供安全服務的公司,它們主要通過技術手段、代碼審計幫助客戶解決各種區塊鍊安全問題。
3. 量子技術發展帶來的安全挑戰和應對
量子計算機就是建立在量子實體(如光子、電子、原子、離子)基礎上運作量子比特的計算機,由于量子計算機具有基于量子比特的并行處理資訊的能力,理論上其計算能力随量子比特位數的增加呈指數級增加,是以相比經典計算機具有超級強大的計算能力。國際上,Google、IBM、微軟等公司都投入了巨資研發量子計算機的硬體及軟體,2017年IBM公司宣布研制出具有50個量子比特的量子計算原型機,2018年Google公司釋出了72個量子比特的量子晶片,微軟公司主要針對拓撲量子計算進行研發,2018年宣布取得重大進展。國内也有多個科研機構及阿裡巴巴、騰迅、百度等網際網路公司在量子計算領域進行前沿研究。
量子計算機将會給現在使用的密碼體系帶來重大的安全威脅。區塊鍊主要依賴橢圓曲線公鑰加密算法生成數字簽名來安全地交易,目前最常用的ECDSA、RSA、DSA等在理論上都不能承受量子攻擊。根據理論預測,對于一定長度的基于非對稱橢圓曲線加密算法ECC密鑰,用目前超級計算機需要幾十年才能破解的密碼如果采用具有數千個量子比特的量子計算機及Shor算法預計數十分鐘就可以破解。可見,一些量子算法将對目前區塊鍊所采用的公鑰密碼體系産生嚴重的威脅,必須提出應對量子計算的安全政策。
為了應對量子計算機給密碼帶來的安全威脅,目前主要可以采用基于抗量子計算密碼和量子密鑰的方法。抗量子計算密碼的優勢在于,将抗量子計算密碼應用于網際網路中不需要添加額外的硬體裝置,特别是昂貴的量子硬體系統,有利于快速大規模普及應用。量子密鑰的優勢在于其具有更高的基于實體上的安全性,而目前主要的缺點在于需要基于相對昂貴的量子硬體系統,将來量子硬體裝置會進一步內建化和降低成本,這将有利于量子密鑰的廣泛應用。在今後的實際應對政策中,可以根據具體應用的安全需求,将兩種政策組合使用。
原文釋出時間為:2018-05-22
本文來自雲栖社群合作夥伴新智元,了解相關資訊可以關注“AI_era”。
原文連結:
工信部釋出《2018中國區塊鍊産業白皮書》:量子計算機将給密碼體系帶來重大安全威脅