地基之于建筑的重要性不言而喻。在互联网时代的地基就是TCP/IP协议，对于区块链技术来说就是开源的底层平台。

挪威科学院院士、IEEE区块链专委会主席、挪威斯塔万格大学教授容淳铭在近日2018中国区块链大会上带来了《建立开源的安全区块链生态系统》的主题演讲。他认为，区块链是一个事关一个国家或者经济实体数字化战略的重要技术。当天的演讲话题也主要围绕在，如何构建中国自主研发的开源区块链平台。他认为开源是非常必要的，并以为IBM为主力研发的超级账本为例，阐述开源平台的商业机会。

以下是演讲原文：

当下最热门的不论是比特币还是以太坊都起源于国外，而国际局势又比较复杂，希望中国能够建立一套自己的开源平台。

为什么一定要做开源？开源实际上是一个很重要的合作平台，而且开源其实也蕴含着较多的商业机会。

开源有几种类型：

第一种是MIT、BSD、ISC licenses，你可以随便使用，但是出了事别来找我，打个比方就是，行人可以随便吃路边的水果，但是吃出问题也别怪我。第二种是Apache license，与第一类基本相同，但是细节特征更多。而用的最多是GPL licenses，属于共享开源，如果基于我的代码发展，你也需要开源。

区块链几个特征，分布式、时间戳、数字签名、智能合约，在各行业都有着很大应用前景。但同时也面临着很多挑战，比如说可扩展性、能耗、安全和隐私。比如说，有些矿池越来越大的时候，实际上就变成了中心。不过也正是挑战的存在，才让研究者有活干。

如今的社会管理制度，很多时候不是所有都采取公开的投票方式，所以私有链和联盟链更加适用于企业。这里面临的挑战就是如何重新设计新的管理框架。还有一点，怎么样保证数据之间可以交换，链和链之间的数据，帐本的数据格式等。

需要注意的是，所谓的加密解密都是有一定的周期，实际上区块链的不可篡改性、电子签名都是建立在密码上面的，而密码都有一定的周期。比如之前的一种密码DES（Data Encryption Standard），大概20年左右就给破掉了。也就是说，不是所有的密码都会永远存在下去，过去20年~30年，密码的保密性和不可篡改性都会出现问题。更何况未来量子都会出现。

还有一个很重要的点是，在分布式情况下，怎么样去处理钥匙的分布？密码好做，但是钥匙难发，所以怎么样能够通过比如说多方计算的方式去保证钥匙的分布，这是一个难题。在智能合约方面，还需要做很多的工作，包括格式，包括语言应该怎么去进行操作。

我们将区块链对比互联网，想一想互联网为什么那么成功？其实互联网成功的地方就是在于一开始大家没有那么火爆，大家没有都跳进去，只是一个小团队在开始做，结果他们可以把数据格式和交换的方式给定义下来了，定义下来之后所有的信息交换都是基于同样的标准，也就是说他们有了一个同步的起点，TCP/IP协议。它即可保证互联网可以进行任何的交换，也保证了生存性，在一个局部的区域网里可以生存下来，连起来也可以生存下来。设计区块链的时候也要考虑到这一点，怎么样能够保证它一个生存性。

最主要问题还包括如何共享，如果没有共识机制，很多信息就会碰到一个问题——怎样进行互换和共享。举个例子，国外有个公司利用手机扫描手，根据四个指纹可以产生一个ID，在一定标准下生成ID，将ID转成DID放到链上。在每次使用的时候，都会用手机扫描你的手，看看生成的DID会不会和存证的达成一致，达成一致就可以进行各种各样的交易。实际上支付宝现在可以做各种各样的ID认证，以后这些放到链上面，根据链上面的认同就可以帮我们做到各种各样的事情。而未来，各类证书、文凭都可能存在链上，比如美国美国国土安全局在今年9月曾演示过一个POC项目，将申请签证的流程挪到区块链上，这样你原来申请过的信息、ID都会自动化存储，未来很可能是直接电子扫描就可以通关。同时也面临着密码每二三十年需要更新的问题。

欧盟今年5月份开始真正推行GDPR《通用数据保护条例》，美国人也觉得这个东西挺好的，所以加州也执行GDPR。其中有两个点很难做到：

一个是数据要有一个后悔的机会。现在你分享出去的数据，跟泼出去的水一样很难收回来，但是欧盟要求你做平台的时候允许用户有一个后悔的机会，要让他们能够把分享的数据拉回来。

另外一个是看数据去哪，欧盟的数据不能离开欧盟，说起来很容易，做起来很难。我们曾经和惠普、SAP一起做过欧盟的项目，实际上GDPR的律师也参与我们这个团队，欧盟的数据不离开欧盟，概念是什么？怎么样把这个法律的条文变成一个真正的计算机执行的模式可以去执行，也就是说数据不离开欧盟的证据在哪儿？以及在别的情况是不是可以离开？

所以实际上是一个很严格的要求，所以最近我们都发现在欧盟里面，比如说收到了垃圾邮件少了很多，就因为GDPR。很多人不敢发垃圾邮件，一旦发现你发垃圾邮件欧盟可以罚，2千万欧元起步价，小公司几乎受不了了。

这是很好的法律，其中牵涉到数据分享的问题，实际上数据经过了采集、储存、使用和删除这几个过程，采集要通过用户同意采集；存储的时候包括怎么样脱敏，加密存储和对异常的检测，使用怎么样进行分级的使用，安全里面怎么样最小化的授权，操作和审计。比如欧盟所说怎么去消除用户对于消除上传数据的权利，怎么样去证明它。

现在有个很重要、很火热的研究方向，就是多方安全计算MPC。如果能够实现，在生活里有很多应用可能，比如发射核导弹起码要有两个钥匙，并且要求两个钥匙分开两个地方放置，两个人同时操作，火箭才能发出去，这是很重要的保护方式。

回过来看，联盟链或者私链实际上是一个很重要的方向，因为目前实际中能真正应用的就是联盟链，其中Hyperledger比较公认的开源的国际社区。从它身上我们可以看到为什么开源合作有好处。

实际上，IBM通过开源进行捆绑了商业模式。Hyperledger最底层是开源的，但是IBM会在上层提供客户一个打包的服务，包括平台服务、解决方案，生态系统。也就是说在商业模式方面，存在着可以赚钱的地方。所以开源来说是一个很好的大家合作的平台，建立好开源之后，实际上还有一个优点，互相之间可以进行交换，因为在平台下面大家都是用同样的格式和同样交易方式，很多时候可以进行一个很自然的交换。

最主要到了安全这一块就更重要了，如上图所示，最基本的基础服务是开放的，而同时IBM会增加更多可以解决隐私问题的组件，帮助防攻击等。更进一步，包括对硬件的要求，比如说可以把钥匙放在硬件里，钥匙里硬件的要求怎么样，这些东西就可以进行一个包装。

也就是说开源只是给了一个很基础的功能，要真正做到商业化，需要在上层增加更多功能，需要重新去进行包装和研发。

总的来说，所有密码的标准都是可以重新制定，可以进行国家层面的管理，因为不可能把所有的东西都建立在一个被国外管理的基础上面，很多事情应该重新看看国内的一些平台。

所以并不是开源就没有商业模式，开源给我们带来的好处是互换性，开源的平台和平台之间信息的互换就没有问题。