中鈔區塊鏈研究院:淺談區塊鏈標準化現狀與金融行業標準- 鏈聞ChainNews


從央行頒布的《區塊鏈技術金融應用評估規則》,解讀金融區塊鏈在安全和性能方面的評估標準。

原文標題:《淺談金融行業區塊鏈標準,分析區塊鏈如何實現標準化》
撰文:王暄,中鈔區塊鏈技術研究院測試部經理

9 月22 日下午,由中鈔區塊鏈技術研究院主辦的公元小學X 絡譜沙龍舉行了第七期線上活動——《金融行業區塊鏈標準淺談》

過去的幾年中,中鈔一直積極跟踪國內外區塊鏈標准進展,致力於推動金融行業區塊鏈技術標準的製定,旨在配合監管單位推動金融行業區塊鏈技術標準體系建設,提升我國在該領域的國際話語權和規則制定權。

2020 年以來,中鈔區塊鏈技術研究院參編的《金融分佈式賬本技術安全規範》(JR/T0184-2020)和《區塊鏈技術金融應用評估規則》(JR/T 0193-2020)先後發布。這也是目前僅有的兩份由中國人民銀行發布的金融區塊鏈標準

在此沙龍上,參與上述兩份標準的中鈔區塊鏈技術研究院測試部經理王暄帶來主題演講《區塊鏈標準化淺談》。 他深入淺出講述目前區塊鏈標準化進展情況,並對絡譜進行評估分析。 以下內容根據直播整理。

區塊鏈標準化簡介

2016 年,區塊鏈經過了幾年的發展,不管是應用領域還是規模都在高速發展,但同時也面臨這些問題,包括性能、隱私、安全、監管、擴容等。 在這樣的大背景之下,區塊鏈開始了標準化的歷程。

國際標準化組織ISO 在2016 年成立了TC307 分佈式賬本技術委員會,同年,國內區塊鏈技術和產業發展論壇成立,並開始一系列區塊鏈團體標準的實施計劃。

所以,社會廣泛認可2016 年是區塊鏈標準化的元年。

國外標準化進展

在標準化過程中,國內外各大標準化組織都積極參與區塊鏈標準化的工作。

中鈔區塊鏈研究院:淺談區塊鏈標準化現狀與金融行業標準

國際標準化組織ISO

較早開始區塊鏈標準化工作的組織。 TC307 分佈式賬本技術委員會下設11 個工作組,基本涵蓋了區塊鍊和分佈式賬本的各個方面,包含了基礎技術、安全、應用、治理以及一些職能性工作組。 目前已經發布和製定中的標準一共11 份,其中2 份已經發布,分別是:《區塊鍊和分佈式賬本技術–隱私和個人身份信息保護注意事項》和《區塊鍊和分佈式賬本技術–區塊鏈中的智能合約和分佈式賬本技術系統的概述及其交互》。

IEEE 電器和電子工程師協會

這是一個美國的電子技術與信息科學工程師的協會,也是世界上最大的非營利性專業技術學會。 在2018 年成立了IEEE 區塊鏈計劃BLK,後續又陸續在多個下設的學會成立了區塊鏈相關的標準委員會,到目前為止,一共有5 個下屬學會開展區塊鏈相關的標準化工作,涉及7 個委員會、35 個工作小組、56 個標準項目;項目涵蓋了區塊鏈技術、數字貨幣、金融應用、物聯網應用、醫療應用、農業應用等多個領域。

ITU 國際電信聯盟

這是聯合國的一個重要專門機構,也是聯合國機構中歷史最長的一個國際組織。 在2017 年5 月成立分佈式賬本技術應用焦點組(FG DLT),開展區塊鏈技術標準研究工作。 於2019 年8 月1 日成功交付所有8 份技術指標和技術報告,正式完成使命。

國內標準化進展

國內區塊鏈標準,可從國家標準、團體標準和行業標準三方面來看。

關於國家標準。我國國標很早開始開展區塊鏈標準工作,目前有三項標準正在起草中,分別是:《信息技術區塊鍊和分佈式賬本技術參考架構》、《信息技術區塊鍊和分佈式記賬技術存證應用指南》、《信息技術區塊鍊和分佈式記賬技術智能合約實施規範》。

中鈔區塊鏈研究院:淺談區塊鏈標準化現狀與金融行業標準

國標針對區塊鍊和分佈式賬本體系製定的系列標準計劃,涵蓋了22 項相關標準,涉及術語、技術、應用等多個方面,相信在未來的幾年會陸續有成果落地。

關於團體標準。我國的團體標準制定更具靈活性,使得區塊鍊等新興技術的標準化工作得以迅速推進。 目前在全國標準公開平台上能查詢到32 項已發布的區塊鏈團體標準,涉及17 個團體標準組織。

關於行業標準。行業標準方面,金融區塊鏈標準工作步伐較快,在今年陸續發布了《金融分佈式賬本技術安全規範》(JR/T0184-2020)和《區塊鏈技術金融應用評估規則》(JR/T 0193-2020)。 這也可以看出金融行業對區塊鏈的關注和重視。

金融行業標準介紹

目前,金融區塊鏈標準有2 項。 其中《區塊鏈技術金融應用評估規則》(JR/T 0193-2020)於今年7 月10 日正式發布

該標準由中國人民銀行科技司提出並負責起草,涉及央行、金融機構、研究機構、科技公司等多家單位參編。 內容主要分為總則、基本要求評估、性能評估、安全評估四個方面

總則

在標準總則中,首先確定了使用的評估目標:區塊鏈金融應用,並說明了評估的三個方面;其次,對評估的啟動條件進行了約束;第三,提出了四種評估方法,包括查驗材料、查看系統、訪談人員、測試系統;第四,對評估發現的問題按嚴重程度進行了等級劃分: 分為嚴重性問題、一般性問題、建議性問題;第五,定義了三種判定結果。

該標準以評估規則為最小單位,進行具體內容論述。 從單條評估規則來分析,會包含5 個字段,序號標明了評估規則的編號,實現要求是對區塊鏈金融應用提出的具體要求,評估方法對應總則中四種評估方法,結果判定說明了評估判定的基本步驟和期望結果,適用對象目前包含金融業務系統和科技產品。

基本要求評估

評估規則的第二個重要部分就是基本要求評估,主要從區塊鏈必要的技術要素出發,提出了相關要求和評估方法。 從區塊鏈層次架構上總的來說可以分為兩個層次:接口層和平台層。

中鈔區塊鏈研究院:淺談區塊鏈標準化現狀與金融行業標準

接口層

接口層主要從對外交互的角度,定義了四種接口的相關要求和測評方法:

  • 外部接口是指區塊鏈訪問外部數據參與共識過程的接口要求;
  • 用戶接口是指區塊鏈提供給上層應用業務層調用的接口要求;
  • 管理接口是指提供的區塊鏈管理和運維所需的接口要求;
  • 系統間接口是指不同區塊鏈間的接口要求。

這部分共涉及18 個評估子項。

平台層

平台層劃分了9 個區塊鏈平台核心功能,共包含207 個評估項。 劃分在一定程度的參照目前的ISO、國標等在製定的參考架構的一些思路。 在具體內容上,也針對金融行業提出具體要求。

賬本技術:賬本用來保存區塊鍊網絡參與者之間的交易記錄和狀態數據,賬本技術這塊從數據存儲方式、賬本結構、數據可追溯、數據同步、數據歸檔、數據擴容、數據分片等維度指定了相應的評估規則。

共識協議:主要指區塊鏈中各節點對區塊鏈中交易或狀態的驗證、記錄和修改等行為達成一致確認的方法;這一部分包括了共識算法、一致性、節點數量、共識、容錯閾值、可靠性、可擴展性等幾個方面。

智能合約:對區塊鏈中經過共識的可執行代碼的要求;標準中包含了虛擬機、編程語言、編譯、正確性、可靠性、業務隔離性、生命週期管理、版本控制等方面的評估規則。

事件分發:對區塊鏈系統實現事件通知的功能組件;也提出了完整性、一致性等要求。

狀態管理:負責跟踪分佈式賬本中的狀態信息;對各種區塊鏈狀態的查詢要求。

成員管理:負責分佈式賬本中成員身份的驗證、創建、更新、刪除;在標準中從用戶註冊、用戶身份識別、用戶權限變更、用戶角色授權、用戶賬戶凍結和解凍、用戶註銷、用戶信息查詢、用戶交易幾個維度來製定規則。

密鑰管理:主要為區塊鏈提供所需的密碼算法和相應功能;標準中密碼管理規則包括:密鑰生成、密鑰存儲、密鑰更新、密鑰使用、密鑰銷毀和歸檔,基本涉及密鑰使用的全生命週期。

節點通訊:主要指區塊鏈常用的點對點通訊協議;從組網方式、消息轉發、節點加入、節點退出等方面來製定相應規則。

交易系統:負責接收到的交易數據添加到區塊鏈賬本中;標準制定了針對智能合約部署交易,智能合約調用交易、原生交易、交易原子性四個子項的評估規則。

性能評估

評估規則主要包括5 個方面:

第一,交易性能。主要針對是是兩種相對高頻的交易類型:原生交易和智能合約調用交易,場景涉及最小軟硬件條件下的吞吐率,最大吞吐率以及異常恢復後的性能情況。

第二,查詢性能。針對不同的查詢內容,場景涉及吞吐率的符合性以及異常恢復後的性能情況。

交易性能和查詢性能也是區塊鏈系統對外最直觀的性能體現。

第三,同步性能。主要針對同步時消息的廣播速率,消息的冗餘率和廣播時延,也分了三種場景,分別是無交易時,滿負載時以及異常恢復後的同步性能

第四,部署效率。主要是評估的部署耗時,考慮場景包括:系統搭建、系統擴容,節點升級以及節點增刪。

第五,數據增長率。主要評估的是數據增長率的峰值和平均值,分為無交易場景和滿負載場景。

部署效率和數據增長率主要是為區塊鏈金融應用運維提供數據依據。

安全評估

標準的第四部分是安全評估部分。 由於行業特殊性,金融行業一直將安全風險視為重中之重。 這也是評估規則標準中的關注重點,本部分基本與《金融分佈式賬本技術安全規範》(JR/T0184-2020)的內容對標。

通過《金融分佈式賬本技術安全規範》(JR/T0184-2020),提出的一套區塊鏈安全架構解析如下:

中鈔區塊鏈研究院:淺談區塊鏈標準化現狀與金融行業標準

核心安全:區塊鏈最重要的組成部分,提出相關的安全要求

在安全架構中,將區塊鏈核心模塊的安全分為智能合約、賬本數據、共識協議、節點通訊四個部分。

智能合約部分從一致性、正確性、可靠性、業務隔離、版本控制、訪問控制、原子性、攻擊防範、安全驗證等9 個方面製定了評估要求和評估方法;

賬本數據部分則提出了賬本完整性、保密性和一致性等7 個方面的要求和方法;

共識協議也提出從一致性、容錯性、可擴展、激勵相容等12 個方面製定了評估規則;

節點通訊也制定了三方面的評估規則,包括:保密性、完整性、身份驗證。

相關安全模塊:對區塊鏈中和安全相關的模塊和組件提出要求

安全模塊和功能,包括身份管理,隱私保護和密碼算法。

身份管理從身份、賬戶、憑證、節點標識等方面提出了相應的評價規則;

隱私保護從隱私保護策略、技術和景觀審計等方面提出了安全評估規則;

密碼算法主要從算法的基本要求、使用算法達到的要求(也就是能夠達到完整性、真實性、保密性等)給出了相應評估規則。

基礎環境安全:提出區塊鏈依賴的基礎環境所需要滿足的安全要求

基礎環境安全又分為基礎硬件和基礎軟件兩部分。

基礎硬件包括基本條件、物理安全和網絡安全;主要涉及區塊鏈使用的物理設備、部署環境等方面所需要涉及的安全要求;提出了3 大類17 項評估規則。

基礎軟件則是從基本條件、數據存儲、時間同步、操作系統等10 個方面,提出了26 項評估規則。 主要針對區塊鏈依賴的其他軟件或者軟性的條件。

監管運維支撐:區塊鏈監管運維相關的安全要求

總共包含3 類18 項。

監管支撐:為監管功能和特性提供技術支撐的要求。 包括了:基本要求、系統監管、信息管理、事件處理、交易乾預、合約監管6 個方面。

運維要求:對保證安全運行所需支持的功能的評估。

治理機制:對治理結構以及相關的管理機制的評估。

絡譜評估分析

規則發布以來,中鈔區塊鏈技術研究院在研讀標準的同時,也針對標準中的評估規則與絡譜目前的實現進行評估分析。

中鈔區塊鏈研究院:淺談區塊鏈標準化現狀與金融行業標準

1. 賬本技術 :絡譜使用的底層鏈brochain 使用高性能存儲引擎,使用Merkle Patricia Trie 等邏輯存儲結構,通過分區功能實現歸檔、擴容和分片功能,滿足標準要求。

2. 共識協議:採用定制的bft 共識算法,通過保持出塊頻率和交易超時機制確保業務側的交易確定性和終止性,並且滿足3f+1 個節點中不超過f 個惡意節點。

3. 智能合約:支持Solidity 語言,兼容官方編譯器。

4. 節點通訊:通過系統合約的方式管理節點加入退出,黑白名單和SSL 握手的方式滿足節點身份驗證要求,通過消息中的MAC、簽名校驗及數據加密保證了通訊的完整性和保密性。

5. 事件分發:除自定義事件外,和區塊鏈中間件結合提供合約部署、合約更新、交易事件、塊事件。

6. 密鑰管理:滿足國密標準的SM2 非對稱密碼算法、SM3 摘要算法、以及SM4 分組密碼算法要求;提供軟硬件加密機及SDK 方案幫助企業級用戶進行密鑰全生命週期管理和密碼運算。

7. 狀態管理:提供了各種區塊鏈狀態數據的查詢功能,便於業務系統訪問和驗證。

8. 成員管理:通過身份合約提供身份全生命週期功能,支持隱私保護策略。

9. 交易系統:支持智能合約部署和調用,但不支持代幣等原生轉賬交易。

10. 接口管理:提供了節點RPC 和中間件RESTful 兩層的不同風格的用戶接口和管理接口供不同場景和業務使用。

11. 基礎環境安全:通過信息系統安全等級保護評測。

12. 隱私保護 :區塊鍊和應用層雙層隱私策略。

13. 監管支撐與運維:區塊鍊和應用層多維度監控和報警機制,完善的運維規範和應急處理規則。

14. 安全治理:制定了包括安全機制建設、實施、監督檢查及更新的一套安全管理辦法,並可通過有管理方權限進行節點管理和乾預。

本期分享到此結束,敬請期待下期分享。

來源鏈接:mp.weixin.qq.com

.



Source link