5月8日,在由白帽汇安全研究院和北京华顺信安科技有限公司主办的2018区块链安全高峰论坛上,中国云体系产业创新战略联盟秘书长、云安全联盟大中华区秘书长沈寓实发表了以《区块链应用技术及前景展望》为主题的演讲,从世界网络空间发展趋势、区块链政策趋势,应用及前景展望等方面展开了探讨。事实上,国家对于区块链底层核心技术的研发和应用也在积极的推动当中,沈寓实就在演讲中透露,本月下旬云联盟的会上,工信部将发一个白皮书,内容为调研的公链发展情况。
以下为演讲内容精编,由整理。
一、世界网络空间发展趋势
我2006年在西雅图加入微软总部,当时正好是云时代的到来,十年之后,2016年我回到中国,作为千人计划,正好赶上区块链在中国发展,时代一轮一轮的发展。明显感觉到,我们进入了一个网络空间的大变革时代,这个变革是颠覆式的,也是裂变式的,更是持续发生的。
网络空间世界观——两重世界与五域重构
互联网和信息化浪潮已经遍及全球,完全融入到社会生活的各个领域,正在颠覆性地改变着人类的生活方式和生产方式,网络空间成为人类赖以生存的第二空间,成为人类独立于陆地、海洋、航空、航天之外的第五域——信息域(网络域)。未来社会将形成“双层社会”:现实社会(物理空间)与虚拟社会(网络空间),深度的缠绕,互控。网络空间已经成为人类赖以生存的“第二空间”,几乎和现实空间一样给人们提供了相同条件的活动场所。网络空间是物理空间的映射,并将反控物理空间。这个映射通过大数据的分析还有虚拟现实的重构,历史可以回顾,未来可以展望,也就是预测。网络空间将带来一系列全新课题,主权、治权、边界、规制,等等,世界范围的立法将进入2.0时代。
今天讨论技术问题,最开始大型机时代,技术比较集中,后来由于微软、苹果的推动,技术变得分散,后来进入到互联网、物联网、云的时代,现在到了区块链推动的小区块大数据,即将进入“集中+分散”的网络空间新时代。在这个过程中,信息互联网+价值互联网,价值的可信交换是这个时代的特征。
信息互联网向价值互联网转变
在人类文明的历史长河中,有两样东西的诞生,具有极为特殊的地位,甚至其他任何创造都无法与之相提并论,它们就是文字与货币。文字的发明,使得人类能够在精神层面做到可靠的交流与传承;而货币的发明,则让人类在物质层面能够做到这一点。如果没有这二者,人类作为一个群体将无法获得知识与财富的迭代与累积,也就不会有现在人类辉煌的文明成果。
有了区块链后,人类会加速进入到智能时代。Token(通证)就是各种代币的门票和语言。比如说以后想让人工智能、机器人服务,必须付Token,因为它不认法币,它只认加密货币。所以,创造一个好的Token、实际上是人类被机器排挤出很多生产活动之前,能够做到的最有意义的事情。互联网传输的内容,包括文字、图片、视频,是可以复制的。但区块链传输的是价值,是加密货币,是智能合约。互联网的治理方式是中心化的公司模式(BAT),而区块链(去中心化)是社区来决定的。互联网的APP大部分是不开源的,就像微信是不可能开源的。但区块链代码全部是开源的,这是比较有意思的一件事情。区块链新世界的创新创业,是个全新的蓝海。精彩,刚刚开始。
区块链技术构建网络空间超互联未来
基于区块链技术构建网络空间的超互联未来成为现在重要的课题。其中有三个很重要的东西:区块链+加密货币+AI,“互联网”进入“互链网”的时代。
2017年初,世界政府峰会发布了《在区块链上构建超互联未来》的文件。这次世界政府峰会上,来自超过130个国家的3000名领导人、政策制定者和专家齐聚一堂。
以“重塑数据主权、打造未来信息基础设施”为宗旨,融合区块链、可信连接、大数据、人工智能等技术,建立去中心化的数字对象路由体系,打造以“可信互联”为核心的、将“人”、“机”、“物”相融合的“三元计算”信息基础设施,从而形成以“可信互联”为核心的未来信息基础设施、实现重塑数据主权的全新的安全互信的互联网体系——一个全新的数字世界将来临。
我们提了一个词叫SPEAR,这是互链网时代的五个核心:
区块链是中国的重大机遇
此前,中国GDP占世界1/3,但后来错过几次工业革命的机会,中国落后挨打的根本原因之一就是科技落后,但是新一轮网络空间革命中我们占到了相对有利的位置,这是重大的历史机遇。
现在世界变成了同一个世界,我们叫地球村,叫世界命运共同体。这个命运共同体让我们看到了科技的力量,科技要重构商业,数字经济跟实体经济不能是两张皮,必须要深度融合。我们要看到数字经济的威力。中国在物联网、人联网中的规模占比很有优势,前十大互联网公司中国就占了四个,中国还占有1/5的数据。
特别是近几年,我国成立网信办,将整个网信政府的力量打通,将网络空间技术作为新一代技术革命的核心力量、先导力量大力推动,其中一个要点是发展核心技术,还有一个要点是跟推动实体经济的发展融合。
近期的中兴事件,使我们认识到核心技术发展不能受制于人。核心技术有几类,一类是基础性、通用性,像芯片、操作系统、数据库,还有新的技术,特别是量子计算、区块链,还有新型的人工智能技术等等,当然还有杀手锏技术,所以我们要有深度布局。
二、区块链–基于信任的网络空间新时代
20世纪70年代以来,IT领域一直在螺旋发展,2008年,区块链的概念浮出水面。如今,在七大公有云发展基础之上,区块链技术及云+端的透明多中心边缘透明计算,将开启基于信任和价值的网络空间新时代。
区块链的发展大家都比较清楚,是跟比特币同时发展起来的。但是随着发展的演进,块链发展已经远远超越了跟比特币并列的阶段。区块链要解决的核心问题,是在不可信的网络上实现可信的认证和可信的交易。
区块链的发展可以分成 1.0、 2.0 和 3.0 三个阶段,其中 1.0 主要支撑虚拟货币, 2.0 和 3.0开始赋能实体产业。
区块链 1.0 是以比特币为代表的数字货币应用,其场景包括支付、流通等货币职能,比特币是区块链 1.0 的典型应用。
目前区块链技术最广泛、最成功的运用是以比特币为代表的数字货币。由于去中心化信用和频繁交易的特点,使得其具有较高交易流通价值。自比特币诞生以后,已经陆续出现了数百种的数字货币,围绕着数字货币生成、存储、交易形成了较为庞大的产业链生态。以比特币为例,参与机构主要可分为基础设施、交易平台、 ICO 融资服务、区块链综合服务等四类。
区块链1.0的典型特征如下:
1、以区块为单位的链状数据块结构: 区块链系统各节点通过一定的共识机制选取具有打包交易权限的区块节点,该节点需要将新区块的前一个区块的哈希值、当前时间戳、一段时间内发生的有效交易及其梅克尔树根值等内容打包成一个区块,向全网广播。由于每一个区块都是与前续区块通过密码学证明的方式链接在一起的,当区块链达到一定的长度后,要修改某个历史区块中的交易内容就必须将该区块之前的所有区块的交易记录及密码学证明进行重构,有效实现了防篡改。
2、全网共享账本: 在典型的区块链网络中,每一个节点都能够存储全网发生的历史交易记录的完整、一致账本,即对个别节点的账本数据的篡改、攻击不会影响全网总账的安全性。此外,由于全网的节点是通过点对点的方式连接起来的,没有单一的中心化服务器,因此不存在单一的攻击入口。同时,全网共享账本这个特性也使得防止双重支付成为现实。
3、非对称加密: 典型的区块链网络中,账户体系由非对称加密算法下的公钥和私钥组成,若没有私钥则无法使用对应公钥中的资产。
4、源代码开源: 区块链网络中设定的共识机制、规则等都可以通过一致的、开源的源代码进行验证。
比特币有非常大革命性的意义。一个没有法律保障的货币,只靠数学算法能够在世界上通行,这在没有区块链这种技术保障下之前是不可想象的。我们知道货币是主权的象征,背后必定有法律、有政府来背书的,各国都是这样,比特币没有这种背书,只是靠数学的算法来实现,所以技术上有非常大的可借鉴作用。当然在跟主权货币的关系上会有各种限制,使得其不能脱离于现在的体系独立运行。
区块链 2.0 是数字货币与智能合约相结合,对金融领域更广泛的场景和流程进行优化的应用。
利用区块链技术来转换许多不同的资产而不仅仅是比特币,通过转让来创建不同资产单元的价值。让所有的金融交易都可以被改造成在区块链上使用,包括股票、私募股权、众筹、债券、对冲基金和所有类型的金融衍生品:期货、期权等。
区块链应用于金融领域有着天生的绝对优势,主观来看,金融机构在区块链应用的探索上意愿最强,需要新的技术来提高运营效率,降低成本来应对整个全球经济当前现状。客观来看,金融行业市场空间巨大,些许的进步就能带来巨大收益。金融行业是对安全性、稳定性要求极高的行业,如果区块链在金融领域应用得以验证,那么将会产生巨大的示范效应,迅速在其他行业推广。
IBM 在 2016 年发布的报告中指出, 2017 年会有 14%的金融市场机构和 15%的银行会采用区块链技术商用解决方案,65%的银行在三年内会采用区块链技术。
在金融领域,除去数字货币应用,区块链也逐渐在跨境支付、供应链金融、保险、数字票据、资产证券化、银行征信等泛金融领域开始了应用。
1) 跨境支付
该领域的痛点在于到账周期长、费用高、交易透明度低。以第三方支付公司为中心,完成支付流程中的记账、结算和清算,到账周期长,比如跨境支付到账周期在三天以上,费用较高。以 PayPal 为例,普通跨境支付交易手续费率为 4.4%+0.3 美元,提现到国内以美元进账,单笔一次 35 美元,以人民币进账为 1.2%的费用。
区块链去中介化、交易公开透明和不可篡改的特点,没有第三方支付机构加入,缩短了支付周期、降低费用、增加了交易透明度。在这一领域,Ripple 支付体系已经开始了的实验性应用,主要为加人联盟内的成员商业银行和其他金融机构提供基于区块链协议的外汇转账方案。国内金融机构中,招商银行落地了国内首个区块链跨境支付应用,民生银行、中国银联等也在积极推进。
2) 数字票据
该领域痛点在于三个风险问题。操作风险:由于系统中心化,一旦中心服务器出问题,整个市场瘫痪;市场风险:根据数据统计,在 2016 年,涉及金额达到数亿以上的风险事件就有七件,涉及多家银行;道德风险:市场上存在”一票多卖”、虚假商业汇票等事件。
区块链去中介化、系统稳定性、共识机制、不可篡改的特点,减少传统中心化系统中的操作风险、市场风险和道德风险。
目前,国际区块链联盟 R3 联合以太坊、微软共同研发了一套基于区块链技术的商业票据交易系统,包括高盛、摩根大通、瑞士联合银行、巴克莱银行等著名国际金融机构加入了试用,并对票据交易、票据签发、票据赎回等功能进行了公开测试。与现有电子票据体系的技术支撑架构完全不同,该种类数字票据可在具备目前电子票据的所有功能和优点的基础上,进一步融合区块链技术的优势,成为了一种更安全、更智能、更便捷的票据形态。
在国内,浙商银行上线了第一个基于区块链技术的移动数字汇票应用,央行和恒生电子等也在测试区块链数字票据平台。
3) 征信管理
该领域的痛点在于:数据缺乏共享,征信机构与用户信息不对称;正规市场化数据采集渠道有限,数据源争夺战耗费大量成本;数据隐私保护问题突出,传统技术架构难以满足新要求等。
在征信领域,区块链具有去中心化、去信任、时间戳、非对称加密和智能合约等特征,在技术层面保证了可以在有效保护数据隐私的基础上实现有限度、可管控的信用数据共享和验证。国内目前中国平安在开展区块链征信方向的探索,创业公司如 LinkEye、布比区块链等也在这一领域进行尝试。
4) 资产证券化
这一领域业务痛点在于底层资产真假无法保证;参与主体多、操作环节多交易透明度低出现信息不对称等问题,造成风险难以把控。数据痛点在于各参与方之间流转效率不高、各方交易系统间资金清算和对账往往需要大量人力物力、资产回款方式有线上线下多种渠道,无法监控资产的真实情况,还存在资产包形成后,交易链条里各方机构对底层资产数据真实性和准确性的信任问题。
区块链去中介化、共识机制、不可篡改的特点,增加数据流转效率,减少成本,实时监控资产的真实情况,保证交易链条各方机构对底层资产的信任问题。
在所有交易所中,纳斯达克证券交易所表现最为激进。其目前已正式上线了 FLinq 区块链私募证券交易平台。此外,纽交所、澳洲交易所、韩国交易所也在积极推进区块链技术的探索与实践。国内多家金融机构、百度、京东、蚂蚁金服等也在积极推进基于区块链技术的资产证券化业务,其中百度金融先后与华能信托、长安新生等落地了国内首单区块链技术支持证券化项目和区块链技术支持交易所 ABS 项目。
5) 供应链金融
这一领域的痛点在于融资周期长、费用高。以供应链核心企业系统为中心,第三方增信机构很难鉴定供应链上各种相关凭证的真伪,造成人工审核的时间长、融资费用高。
区块链去中介化、共识机制、不可篡改的特点,不需要第三方增信机构鉴定供应链上各种相关凭证的真实性,降低融资成本、减少融资的周期。
易见股份与 IBM 合作发布了国内首个区块链供应链金融服务系统 “易见区块“;宜信、点融网与富金通、群星金融等机构也推出了相关应用。
6) 保险业务
随着区块链技术的发展,未来关于个人的健康状况、事故记录等信息可能会上传至区块链中,使保险公司在客户投保时可以更加及时、准确地获得风险信息,从而降低核保成本、提升效率。区块链的共享透明特点降低了信息不对称,还可降低逆向选择风险;而其历史可追踪的特点,则有利于减少道德风险,进而降低保险的管理难度和管理成本。
目前,英国的区块链初创公司 Edgelogic 正与 Aviva 保险公司进行合作,共同探索对珍贵宝石提供基于区块链技术的保险服务。国内的阳光保险于 2016 年采用区块链技术作为底层技术架构,推出了“阳光贝”积分,成为国内第一家落地区块链应用的保险公司。中国平安、众安保险、中国人寿等多家保险公司也在推进区块链技术应用落地。
区块链 3.0 应用是超越货币和金融范围的泛行业去中心化应用,特别是在政府、医疗、科学、文化和艺术等领域的应用。
尽管区块链技术还存在可扩展性、隐私和安全、开源项目不够成熟等问题,但是已有的应用充分证明了区块链的价值。未来一段时间内,随着区块链技术不断成熟,其应用将带来以下几个方面的价值:
一是推动新一代信息技术产业的发展。
随着区块链技术应用的不断深入,将为云计算、大数据、物联网、人工智能等新一代信息技术的发展创造新的机遇。例如,随着万向、微众等重点企业不断推动BaaS平台的深入应用,必将带动云计算和大数据的发展。这样的机遇将有利于信息技术的升级换代,也将有助于推动信息产业的跨越式发展。
二是为经济社会转型升级提供技术支撑。
随着区块链技术广泛应用于金融服务、供应链管理、文化娱乐、智能制造、社会公益以及教育就业等经济社会各领域,必将优化各行业的业务流程、降低运营成本、提升协同效率,进而为经济社会转型升级提供系统化的支撑。例如,随着区块链技术在版权交易和保护方面应用的不断成熟,将对文化娱乐行业的转型发展起到积极的推动作用。
三是培育新的创业创新机会。
国内外已有的应用实践证明,区块链技术作为一种大规模协作的工具,能推动不同经济体内交易的广度和深度迈上一个新的台阶,并能有效降低交易成本。例如,万向将结合“创新聚能城”建设,构建区块链的创业创新平台,既为个人和中小企业创业创新提供平台支撑,又为将来应用区块链技术奠定了基础。可以预见的未来是:随着区块链技术的广泛运用,新的商业模式会大量涌现,为创业创新创造新的机遇。
四是为社会管理和治理水平的提升提供技术手段。
随着区块链技术在公共管理、社会保障、知识产权管理和保护、土地所有权管理等领域的应用不断成熟和深入,将有效提升公众参与度,降低社会运营成本,
提高社会管理的质量和效率,对社会管理和治理水平的提升具有重要的促进作用。例如,蚂蚁金服将区块链运用于公益捐款,为全社会提升公益活动的透明度和信任度树立了榜样,也为区块链技术用于提升社会管理和治理水平提供了实践参考。
2018年,区块链是进入到百链竞发的阶段。
每条水平公链,都是未来世界中最重要的基础设施,也是未来信用社会的基石。
每条垂直公链,都是一个独立品牌的通证经济体,拥有自己的通证本位币(或称为加密代币)以及多阶、多维、多态的通证、拥有自己社群独有的治理理念、治理机构和治理体系。伟大的通证经济体,通常也是诞生于某一款简单和能抓准用户痛点的杀手级应用。
公链是重大的基础设施,我们知道基础设施是国家的命脉,第一是交通,第二是能源。信息基础设施号称是第三大基础设施,信息基础设施原来就是有线网、无线网、数据中心,现在公链也是重要的信息基础设施,而且是未来信用社会的基石。大家会看到它井喷式的发展,当然也会有内在的时间节奏,并不是明天就喷发,但是前景可以预测。
三、区块链发展的政策趋势
区块链作为未来可信网络体系的基石,种种机遇与挑战纷至沓来。面对区块链技术高速发展在多层面、多领域的重要作用,受到全球的高度关注。中国和其他各国出台了一系列政策与法规,一方面鼓励区块链技术的创新发展,另一方面也为技术的应用及落地指引方向。
国际就不讲了,都在抢占区块链做全球布局。中国在2016年发布了《区块链白皮书》,“十三五”规划中明确将区块链与人工智能、云计算并列为战略性前沿技术和颠覆性技术。本月下旬云联盟的会上工信部将再发一个白皮书,是工信部信息中心联合调研的公链发展情况。整个国家对于区块链底层核心技术的研发和应用,特别是非核心金融领域应用发展在积极的推动。
四、区块链应用及前景展望
区块链应用是解决底层的价值传输,底层的信任问题,所以应用是全方位的、裂变性的。
一是数字身份,我们参与了很多智慧城市的建设,区块链将应用于新一代的数字身份验证。比如你在北京不一定有北京户口,但是可以全国拿到基于区块链的数字身份。从过去的权威机构掌控的中心化身份转化为区块链多中心或者去中心化灵活的身份,ID as a service,这是一个很重要的应用趋势。
二是医疗,这也是数字生态的发展趋势,互联网使得人们的生活进入数字化。但是我们进入数字时代后,对于隐私安全、对于个性化的定制、对于资产的保护越来越重要。我们跟很多医疗机构也有合作,基于区块链的技术,医疗大数据也可以成为个人的数字资产,可以在个人数字中心进行交换,这个数据量是极大的,数据又是非常有特点的,整个智慧医疗要将看病变为预防。
三是数据中心,基于区块链和人工智能的数据中心,使得数字产权、金融服务、个人服务有保障。打通全球通证经济新时代。现在国家央行、发改委也在积极研究,因为整个数字货币的趋势是不可逆转的。
五、区块链的安全性探析
最后简单讲一下区块链的安全,区块链在信息安全上的的优势主要在于以下三个方面:
1.利用高冗余的数据库保障信息的数据完整性
2.利用密码学的相关原理进行数据验证,保证不可篡改
3.在权限管理方面,运用了多私钥规则进行访问权限控制
除了这三大优势外,区块链的安全性还面临着一些挑战。
1) 算法安全性—针对共识机制的挑战
a、对于区块链中的共识算法,是否能实现并保障真正的安全,需要更严格的证明和时间的考验。采用的非对称加密算法可能会随着数据、密码学和计算技术的发展而变的越来越脆弱,未来可能具有一定的破解性。
b、量子计算对现有公钥密码带来的影响是颠覆性的,2017年IBM宣布成功搭建和测试了两种新机器。
c、算法方面也曾出现过随机数漏洞事件,比如2014年12月,blockchain.info爆出随机数问题。
2)使用安全性
区块链技术一大特点就是不可逆、不可伪造,但前提是私钥是安全的。私钥是用户生成并保管的,没有第三方参与。私钥一旦丢失,便无法对账户的资产做任何操作。私钥托管容易造成监守自盗以及黑客盗取;区块链钱包的口令存在被恢复的危险;私钥一旦丢失,便无法对账户的资产做任何操作。最重要的是所有的数字货币系统,比如2017年12月,朝鲜黑客攻击了韩国加密货币交易所,导致价值76亿韩元(约合699万美元)的加密货币被盗。
3)实现安全性
由于区块链大量应用了各种密码学技术,属于算法高度密集工程,在实现上比较容易出现问题。历史上有过此类先例,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说区块链整个大厦的基础将轰然倒塌,不会有一个幸存者。
国家互联网应急中心在2016年10月曾选取了25款具有代表性的区块链软件进行检测,在代码层面发现高危安全漏洞和安全隐患共746个,所以区块链的代码安全性是非常令人担忧的。此外,还有去年11月的parity钱包事件,就是由于误操作,库代码被抹掉掉,导致多重签名智能合约无法使用。
4)协议安全性
基于PoW共识过程的区块链主要面临的是51%攻击问题,即节点通过掌握全网超过51%的算力就有能力成功篡改和伪造区块链数据。最开始创建比特币系统时,51%算力是考虑到电子货币中攻击者用更大代价的货币来换取较小价值的比特币是不划算的。但区块链应用前景广阔,不排除攻击者为了某种目的不惜成本地攻击,且理论上技术手段可实现。
5)系统安全性
综合运用算法/协议/使用/实现漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击,会对密码系统造成极大的危害。
就目前区块链中的安全性而言,仍然需要保持谨慎的态度,避免过于乐观而引发大规模安全事件。建议国家或机构投入大量人力开展区块链安全问题研究,制定具有我国独立知识产权的区块链相关安全规范和标准,提升区块链安全监控能力,保障区块链产业健康发展和持续创新。
今天分享了我的一些观点,关于整个网络空间变革中区块链的地位,它在底层技术还有应用上的发展,以及安全上亟待突破的问题,期待和大家共同推进这个重大的变革。谢谢!