5 月 20 日,工业和信息化部信息中心发布《2018 中国区块链产业白皮书》(简称《白皮书》),深入分析我国区块链技术在金融领域和实体经济的应用落地情况,系统阐述中国区块链产业的发展的六大特点和六大趋势。
“链上无限”2018中国区块链产业高峰论坛于5月20日北京市召开。论坛上,工业和信息化部信息中心总工程师童晓民、工业和信息化部信息中心工业经济研究所所长于佳宁、起风财经创始人罗智勇发布了《2018中国区块链产业白皮书》(简称《白皮书》),深入分析我国区块链技术在金融领域和实体经济的应用落地情况,系统阐述中国区块链产业的发展的六大特点和六大趋势。
工业和信息化部信息中心总工程师童晓民、工业和信息化部信息中心工业经济研究所所长于佳宁、起风财经创始人罗智勇共同发布《2018年中国区块链白皮书》
白皮书下载地址:http://www.miit.gov.cn/n1146290/n1146402/n1146445/c6180238/part/6180297.pdf
目录:
我国区块链产业生态初步形成,方兴未艾
1. 产业呈现高速发展,企业数量快速增加
截至2018年3月底,我国以区块链业务为主营业务的区块链公司数量已经达到了456家[2],产业初步形成规模。
从中国区块链产业的新成立公司数量变化来看,2014年该领域的公司数量开始增多,到2016年新成立公司数量显著提高,超过100家,是2015年的3倍多。2017年是近几年的区块链创业高峰期,由于区块链概念的快速普及,以及技术的逐步成熟,很多创业者涌入这个领域,新成立公司数量达到178家。
股权投资情况可以较好反映社会资本对与产业的关注和支持力度。涉及区块链公司股权投资事件数量为249起。从2016年开始,区块链领域的投资热度出现明显上升,投资事件达到60起,是2015年的5倍。2017年是近几年的区块链投资高峰期,投资事件数量接近100起。在2018年第一季度,区块链领域的投资事件数量就达到了68起。从目前趋势来看,由于区块链技术的落地速度也在加快,市场开始趋于理性,股权投资人更愿意投资能看到有具体落地场景的项目,预计今年区块链领域的投资会是一个高峰期。
从中国区块链公司融资轮次分布状况来看,目前有接近90%的投资事件集中在早期阶段(A轮及以前),另外有9%的投资事件属于战略投资,B轮及以后的投资事件占比仅为2%。因此,区块链产业目前还处于非常早期的阶段。随着整个产业的高速发展以及项目落地速度的加快,融资轮次将逐渐往后延伸,未来会出现更多进入中后期阶段的项目。区块链产业发展方兴未艾。
2. 从设备制造到产业应用,区块链产业链条脉络逐渐明晰
根据本次调研情况来看,目前我国区块链产业链条已经形成,从上游的硬件制造、平台服务、安全服务,到下游的产业技术应用服务,到保障产业发展的行业投融资、媒体、人才服务,各领域的公司已经基本完备,协同有序,共同推动产业不断前行。
从区块链产业细分领域新成立公司分布状况来看,截至2018年3月底,区块链领域的行业应用类公司数量最多,其中为金融行业应用服务的公司数量达到86家,为实体经济应用服务公司数量达到109家。此外,区块链解决方案、底层平台、区块链媒体及社区领域的相关公司数量均在40家以上[4]。
从区块链产业细分领域投资事件分布状况来看,行业应用服务相关的公司获投事件数最多,总共达到了113起,可见投资人对于有具体的应用场景,能够实际落地的项目越来越看重。底层平台领域的获投事件数为42起,区块链媒体及社区领域的获投事件数也达到了28起[5]。区块链领域正在吸引越来越多的创业者和资本入场,成为创新创业的新高地。随着区块链技术的发展以及应用的加速落地,产业规模将不断增加,该领域未来有望成为新的经济增长点。
3. 互联网巨头涌入快速推动我国区块链产业发展
区块链技术不仅受到了创业企业的青睐,也受到了互联网巨头企业的广泛关注,互联网巨头企业纷纷拓展区块链业务,快速推动我国区块链产业发展。目前,腾讯、阿里巴巴、百度、京东等互联网行业巨头纷纷加入区块链技术的研究与场景应用中来。腾讯基于TrustSQL核心技术,打造领先的企业级区块链基础服务平台。目前,腾讯区块链已经落地供应链金融、医疗、数字资产、物流信息、法务存证、公益寻人等多个场景。例如,腾讯基于供应链场景下的真实交易数据,通过腾讯区块链技术及运营资源,构建“腾讯区块链+供应链金融解决方案”,从根本上改善小微企业的融资困境,助力地方产业转型升级。阿里巴巴基于区块链技术去中心化、分布式存储及防篡改的特性已落地了多个应用场景,包括公益、正品追溯、租赁房源溯源、互助保险等,并且申请专利数量已达到80件左右。百度金融先后与华能信托、长安新生等落地了国内首单区块链技术支持证券化项目和区块链技术支持交易所ABS项目。京东运用区块链技术搭建“京东区块链防伪追溯平台”,从解决商品的信任痛点出发,精准追溯到商品的存在性证明特质,让所有生产、物流、销售和售后信息分享进来,共同铸建完整且流畅的信息流,并且也采用区块链技术来解决ABS参与各方的信任问题,在区块链的系统架构上完成交易,确认资产的权属和资产的真实性。巨头涌入给我国区块链产业发展注入了新动能,产业蓄势待发,并将借着新时代的东风快速崛起。
地域分布相对集中,产业集聚效应明显
从中国区块链公司的地域分布状况来看,北京、上海、广东、浙江依然是区块链创业的集中地,四地合计占比超80%。其中,北京以175家公司、占比38%处于绝对的领先地位;上海以95家公司,占比21%位居第二;广东省以71家公司、占比16%位居第三;浙江省以36家公司、占比8%位居第四。除此以外,中国区块链创业活跃度前十名的省份还包括江苏、四川、福建、湖北、重庆、贵州。
从中国区块链创业活跃度靠前城市来看,北京、上海、深圳、杭州依然为中国大陆区块链创业活跃度最高的四座城市,公司占比达到78%。除此以外,中国区块链创业活跃度前十位城市还包括广州、成都、南京、厦门、重庆、贵阳。
随着区块链技术和应用的快速迭代,区块链向传统行业的扩展进程将进一步加快,未来区块链企业以及区块链领域项目与传统产业场景结合的需求将持续提升,因此地域分布将更加广泛。
区块链应用呈现多元化,从金融延伸到实体领域
区块链技术具备分布式、防篡改、高透明和可追溯的特性,非常符合让整个金融系统业务需求,因此目前已在支付清算、信贷融资、金融交易、证券、保险、租赁等细分领域落地应用。例如,民生银行与中信银行合作推出首个国内信用证区块链应用,中国平安的资产交易、征信两大应用场景都已上线,招商银行落地了国内首个区块链跨境支付应用,微众银行通过基于区块链的机构间对账平台把对账时间从T+1日缩短至T+0,实现了日准实时对账。
随着区块链技术创新发展逐步成熟,产业应用的实际效果愈发显现,区块链的应用已从金融领域延伸到实体领域,电子信息存证、版权管理和交易、产品溯源、数字资产交易、物联网、智能制造、供应链管理等领域。区块链技术开始与实体经济产业深度融合,形成一批“产业区块链”项目,迎来产业区块链“百花齐放”的大时代。例如,北京溯安链科技有限公司的溯源服务已经在广西小红薯、阳原杂粮、黑龙江富硒大米生产流通供应链得到了应用,这不仅满足了客户的区块链溯源需求,还提升了产品的附加值。安妮股份基于区块链的版权存证服务,已为百万作品提供了确权服务,部分解决了内容创作者的痛点和难点。发挥区块链技术在确权、授权与维权过程中的海量、快速、即时特性,逐步实现“创作即确权、使用即授权、发现即维权”。沃尔玛基于区块链的创新食品供应链协作模式使农场到门店的追溯过程从26小时减少至10秒,并且调阅文件仅需半分钟。
随着区块链的价值得到广泛的认可,越来越多的行业正在提出自己的区块链解决方案。从应用范围看,区块链技术几乎在所有的产业场景都能落地应用,原因是几乎所有的产业场景都涉及交易,都有降成本、提效率、优化产业诚信环境的需求,而这正是区块链技术落地应用后能迅速发挥的作用。
区块链技术应用落地的主战场是实体经济产业领域,区块链技术的价值也将集中体现为落地产业场景后带来的价值增量。目前,传统产业中的实物流并没有广泛转化为信息流,原因之一是很多实体经济企业,尤其是中小微企业并没有办法基于业务的数字化转型获得很大的实际收益,反而要承担信息泄露等一系列风险。所以不少企业并没有积极推动业务的数字化转型,导致实物流向信息流的映射存在不完整、不全面、不系统的情况。利用区块链技术,结合物联网和工业互联网技术应用,以及在基于新型供应链金融模式的推动下,大量交易信息已经开始由线下转向链上,企业的管理系统和机器设备的联网率开始提升,数字资产成为企业资产的重要组成部分,实体产业的商业模式也将实现前所未有的深度变革[6]。
实现“协作环节信息化”,助力实体经济降成本提效率
从目前实际的落地案例看,产业区块链技术落地应用要实事求是地为产业解决一些“小问题”,着力于提升产业协作环节的信息化水平,具体可从“降成本”和“提效率”两个方面推动传统产业的发展。
随着我国数字经济发展,在企业内部,信息化水平往往已经比较高,各类管理系统已经非常先进,但是在企业之间协作的环节,很多情况下并没有被信息系统所覆盖。比如不同类型的机构进行在对账时,往往要从信息系统中导出电子表格,并用邮件发送。甚至需要打印表格、盖章后邮寄,对方收到后再与系统数据进行比对。整个业务流程并不复杂,但是消耗了很多人力物力,成本较高,而且制约了业务运行效率和用户体验的提升。因此,很多联盟链系统都实际上是在解决这个问题,提升企业之间协作环节的信息化水平。在这个领域,用传统中心化的数据库方式建设,成本相对较高,授权机制复杂,可扩展性较差,信息安全问题难以保障,多主体难以实现互信。而区块链技术则能够让多种业务主体平等交流,信息共享,实时核对数据一致性。这些基于区块链的系统,本质上是在“弱信任”环境中,有效实现多主体信息共享、有效协作的信息化手段。
用区块链的方式实现信息共享,除了成本低,效率高之外,还可以实现“信任传递”或“信任外溢”,基于区块链技术,由于上链信息不可篡改,因此在交易双方共同验证一笔交易之后,也可以让第三方信任这个信息,这实际上就使得这种可信的状态可以传导到第三方,进而实现数据的资产化。此外让机构从“黑盒”状态转为“白盒”状态,也就是机构运作机制透明化,使得自证清白变得非常容易,极大地降低多主体之间的互信成本。
进而,区块链将发挥“提高产业链协同效率”的作用。提升产业协同水平是推动中国制造迈向中高端的重要途径,也是建设现代化经济体系的重要要求。但是目前在很多产业,产业链协同效率仍然不高,在国际贸易领域这个问题尤为突出。例如:在国际贸易中,商品的原产地、检验检疫、通关等系列证明文件,各国标准不一,有关部门和外贸企业核验这些证书证明真实性、准确性的成本和难度都比较高,直接导致国际贸易商品流通速度慢,跨国协同难度高。在国际上难以通过设立统一的认证机构解决这些问题。基于区块链技术,打通各国商品流通信息,可以实现对国际贸易商品流通全过程的溯源,甚至互信实现快速通关,进而大大简化相关手续,提升效率。
技术滥用导致产业发展存在一定的风险,不可忽视
尽管区块链技术的正向价值逐步显现,但是产业发展过程中仍然伴随出现了一系列不可忽视的风险。一方面是合规性风险,在区块链发展的早期阶段,由于它本身具有传递价值的属性,因此引来了一些不是专注于技术应用,而是热衷于通过ICO(首次代币发行)进行非法集资、传销甚至是欺诈的行为。2017年9月,7部门联合发布《关于防范代币发行融资风险的公告》,直指野蛮生长的代币融资行为。与早期的互联网相似,区块链发展早期也要特别警惕资本市场的过分炒作和虚假宣传。一些区块链应用项目存在不切实际的宣传和炒作,使得市场估值偏离基本价值或者被赋予过高的期望。此外,还有一些项目从本质上并没有真正利用区块链技术,只是打着区块链的旗号,获得了与实际价值完全不相符的估值。有的项目的所谓创新脱离了实体经济的需求,完全是投机行为。
另一方面是技术层面的风险,尽管区块链融密码学、分布式存储等多项技术于一身,但这并不意味着它本身没有漏洞。例如,存在51%攻击、自私挖矿等攻击方式。区块链需要引入大量公共资源参与到体系中来,如参与计算的节点数太少,则会面临51%被攻击的可能性,严重威胁网络系统运作和价值。再如,私钥和终端安全。在当前区块链中,私钥存储在用户终端本地。如果用户的私钥被窃取,将给用户的数字资产造成严重的损失。又如,共识机制安全。目前,除PoW外,PoS、DPoS等多种共识机制虽然已经被提出,但是否能够实现真正的安全可信,尚不能完全证明。此外,还有可能通过传统的网络攻击方式,造成网络堵塞,迫使区块链网络出现硬分叉,进而导致对整个区块链系统的可信性受到质疑,网络体系的价值就会崩盘,给网络参与者造成惨重的集体损失。除了区块链本身的技术漏洞,网络参与主体责任划分、账本数据最终归属、成本偏高、交易区块具有选择性等问题,也会导致区块链技术落地应用时会面临较大风险。
产业政策体系逐步构建,产业发展环境持续优化
1. 区块链产业发展的政策体系逐步完善,各地政府积极从产业高度定位区块链技术
区块链技术已经上升到国家科技战略层面。2016年12月,《国务院关于印发“十三五”国家信息化规划的通知》中首次提及区块链,并将其与量子通信、人工智能、虚拟现实、大数据认知分析、无人驾驶交通工具等技术一起作为重点前沿技术,明确提出需加强区块链等新技术的创新、试验和应用,以实现抢占新一代信息技术主导权。其次,相关行业、国家和国际标准也在加速制定,解决区块链的关键技术标准问题,促进区块链产业生态化发展。为把握区块链产业发展机遇,抢占区块链产业发展制高点,各地政府及时出台区块链技术和产业发展扶持政策,让区块链产业迎来了一次新的爆发。
目前,各地政府积极从产业高度来定位区块链技术,把握技术升级带来的产业升级新机遇。例如,2018年3月河北省政府印发《关于加快推进工业转型升级建设现代化工业体系的指导意见》,提出积极培育发展区块链等未来产业,打造世界级高端高新产业集群。2018年4月国务院批复了《河北雄安新区规划纲要》,强调重点发展信息技术产业,要求超前布局区块链、太赫兹、认知计算等技术研发及试验。
为了便于读者了解我国目前区块链产业有关的政策,特将国家和地方的政策进行了汇编,具体政策内容请见本报告附件2和附件3。
2. 积极加强行业监管,有力防范金融风险
根据党的十九大的总体部署,防范和化解重大风险是未来中国三年的经济工作重点之一,而防范和化解重大风险的关键则是防控金融风险。因此,我国也积极加强行业监管,防范区块链发展过程中可能出现的金融风险,维护国家金融的稳定和安全,促进区块链产业规范健康发展,以更好地发挥区块链“价值互联网”的积极作用。
ICO本质上是区块链初创项目的融资工具,通常为早期投资者通过向ICO项目发起人支付比特币或以太币等主流虚拟货币,获得项目发起方基于区块链技术初始产生的加密数字代币。根据国家互联网金融安全技术专家委员会于2017年7月25日发布的《2017上半年国内ICO发展情况报告》,ICO融资规模和用户参与程度呈加速上升趋势,累计参与人次达10.5万。一些项目因早期天使融资失败,而转向ICO融资模式。因此,这些ICO项目风险均非常高,甚至涉及传销、欺诈[7]。
2017年9月4日,中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会联合发布《关于防范代币发行融资风险的公告》,明确代币发行融资本质上是一种未经批准非法公开融资的行为,涉嫌非法发售代币票券、非法发行证券以及非法集资、金融诈骗、传销等违法犯罪活动。并要求各类代币发行融资活动应当立即停止。已完成代币发行融资的组织和个人应当做出清退等安排,合理保护投资者权益,妥善处置风险。明确规定任何所谓的代币融资交易平台不得从事法定货币与代币、“虚拟货币”相互之间的兑换业务,不得买卖或作为中央对手方买卖代币或“虚拟货币”,不得为代币或“虚拟货币”提供定价、信息中介等服务。各金融机构和非银行支付机构不得直接或间接为代币发行融资和“虚拟货币”提供账户开立、登记、交易、清算、结算等产品或服务,不得承保与代币和“虚拟货币”相关的保险业务或将代币和“虚拟货币”纳入保险责任范围。
经过半年的集中整治,互联网金融领域总体风险水平明显下降,非法集资在互联网蔓延势头得到遏制。目前全国摸排出的首次货币发行(ICO)平台和比特币等虚拟货币交易场所已基本实现无风险退出[8]。
区块链是一项前沿技术,技术造成的新监管挑战也在要求监管技术的持续进步。金融科技细分领域的“Reg-Tech”(监管科技)。就是利用大数据、人工智能和区块链等的新技术,来解决监管合规问题,减少合规费用。区块链备案平台、基于区块链的监管体系等都属于Reg-Tech领域。国内已经出现从事监管科技的公司,他们主要为政府和各大银行等金融监管机构提供监管科技解决方案。
区块链产业细分领域发展情况
区块链各细分领域蓬勃发展,从硬件制造、基础设施到底层技术开发、平台建设,再到安全防护、行业应用,以及媒体社区等区块链行业服务机构,已经初步形成了一个完整的产业生态链。
(一)平台建设
1. 底层平台(公有链/联盟链/BaaS)
在区块链产业,平台级的机会是目前很多公司关注的方向。无论是创业公司还是大公司,纷纷在布局区块链底层平台,希望能抢占下一波红利。但是,由于区块链还处于非常早期的阶段,因此各家对于平台的理解和实践路径并不一样。目前,公有链、联盟链和BaaS是三种比较主流的平台模式。
(1)公有链
公有链是指向全世界所有人开放,每个人都能成为系统中的一个节点参与记账的区块链,它们通常将激励机制和加密数字验证相结合,来实现对交易的共识。
目前,公有链被看作是区块链领域最有前景的方向,因为它更符合区块链的本质,很可能成为下一个系统级的平台。公有链的优点包括:能够保护用户免受开发者的影响;所有交易数据都默认公开;访问门槛低,任何人只要有联网的计算机就能访问;能够通过社区激励机制更好地实现大规模的协作共享等等。
作为底层平台,公有链能够推动整个社会进入“可信数字化”时代,真正开启“价值互联网”的新篇章。一方面,基于区块链的激励模式推进分享经济向共享经济升级,这也符合创新、协调、绿色、开放、共享的新发展理念,是一种更高层次的新型平台经济;另一方面,基于底层公链的区块链应用也将迎来大爆发,DAPP时代即将来临。DAPP之于底层公链,就如同APP之于IOS和Android系统,未来可能会衍生出一个新的生态体系。
虽然公有链有很多优点,但是其存在的挑战依然很大。对于公有链来说,节点数越多意味着系统的安全性和公平性越高,这就带来了系统效率的低下,因为每增加一个节点,就需要多达成一次共识。节点数和效率就成为了一个悖论。例如:比特币每秒能处理7笔交易,以太坊每秒能处理20-30笔交易。由于TPS每秒的并发量太低,导致比特币和以太坊等公链普遍存在交易费用高、确认时间长、扩展性差等问题。此外,很多的公有链项目都是先搭建平台,再去找应用场景,这也为后面的实际落地带来了一定的挑战。
目前在公有链领域,我国技术处于世界先进水平,已经诞生了几家比较领先的底层平台公司。
(2)联盟链
联盟链是指若干个机构共同参与记账的区块链,即联盟成员之间通过对多中心的互信来达成共识。
联盟链的数据只允许系统内的成员节点进行读写和发送交易,并且共同记录交易数据。联盟链作为支持分布式商业的基础组件,更能满足分布式商业中的多方对等合作与合规有序发展要求。例如:联盟链会更适合组织机构间的交易和结算,类似于银行间的转账、支付,通过采用联盟链的形式,就能打造一个很好的内部生态系统来大幅提高效率。
联盟链和公链相比,在高可用、高性能、可编程,隐私保护上更有优势,它被认为是“部分去中心”或者是“多中心”的区块链。联盟链让节点数得到了精简,能够使得系统的运行效率更高、成本更低,在单位时间内能够确认的交易数量要比公链大很多,更容易在现实场景中落地。此外,联盟链相对于公有链非常重要的特点就是节点准入控制与国家安全标准支持,确保认证准入、制定监管规则符合监管要求,在可信安全的基础上提高交易速度。
(3)BaaS
BaaS通常是一个基于云服务的企业级的区块链开放平台,可一键式快速部署接入、拥有去中心化信任机制、支持私有链、联盟链或多链,拥有私有化部署与丰富的运维管理等特色能力。BaaS目前可广泛应用于金融、医疗、零售、电商、游戏、物联网、物流供应链、公益慈善等行业中,重塑商业模式,提升客户在行业内的影响力。
目前,大公司在BaaS方面的动作更加活跃,因为它们都有自己的云服务,并且生态体系内的业务场景丰富,适合根据具体的业务场景来试错和反推平台服务。此外,由于公有链的共识机制导致系统效率低下,而BaaS是基于对大公司的平台信任,去构建部分去中心化或者弱中心化的架构,从而在一定程度上达到可信化和效率的兼顾。BaaS服务将用户对公有云或者大公司的品牌信任注入到平台中,能够加快区块链的普及,降低用户的使用门槛,扩大区块链的使用场景。
腾讯区块链BaaS开放平台,定位于打造领先的企业级区块链基础服务平台,帮助客户从业务的角度理解区块链,专注于帮助企业快速搭建上层区块链应用场景。腾讯区块链以“区块链+”的战略定位,致力于连接应用场景,针对供应链金融、物流信息、公益寻人、法务存证、医疗处方等应用场景的痛点,推出行业级区块链解决方案。目前,腾讯区块链BaaS开放平台提供共享账本和数字资产两大业务模型。共享账本模型主要适用于解决信息不对称、提供存证证明等需要进行信息有效性共享的场景。数字资产模型主要针对可数字化的资产交易场景,通过与业务场景中进行有机结合,能够有效防止数据篡改,进行完整追溯,规避数据伪造风险。
华为云区块链服务BCS聚焦于区块链云技术平台建设,帮助企业在华为云上搭建企业级区块链行业方案和应用,共同推动区块链应用场景落地,打造基于区块链的公共信任基础设施和共赢生态。BCS基于华为云领先的云原生技术(如容器等)搭建,可最快5分钟完成区块链部署,同时提供多种安全、高效共识算法,用户可以在2000+TPS和10000+TPS共识算法上根据业务需求和场景进行选择。基于华为云全栈安全能力,BCS服务通过分层加密、国密支持、同态加密和零知识证明等安全技术,全面保护区块链系统的账户、节点、账本和数据,确保用户和交易信息安全。目前,BCS主要专注4大类9小类应用场景,包括数据资产、IoT、运营商和金融领域等,如:身份认证、数据存证/交易,新能源、公益捐赠、普惠金融等。
公有链与联盟链/BaaS虽然采取了不同的策略和发展路径,但是两者依然会长期共存,甚至有些平台最后可能会殊途同归,或者通过跨链技术将分散的联盟链系统与公链相连接,形成更大范围的价值互联网产业生态。
2. 数字资产存储
区块链产业的发展需要有新型的数字资产存储方式,这就催生了数字钱包的诞生。对于数字钱包来说,安全性需求永远是排在第一位的。近几年,数字资产安全问题屡见不鲜,数字钱包作为区块链产业链上一个重要环节,需要打造更加安全可靠的存储环境。此外,对于普通用户来说,数字钱包的使用门槛依然很高,便捷性和易用性亟待提升。这些需求均在推动着数字钱包的不断迭代更新。
数字钱包提供钱包地址的创建、数字加密资产的转账、钱包地址的历史交易查询等功能。数字钱包按照密码学原理,可以创建一个或多个钱包地址,每个钱包地址对应一个密钥对:私钥和公钥。在数字加密资产的世界里,私钥是最重要的,它是数字加密资产所有权的唯一凭证,因为公钥和地址均能通过私钥推导出来。因此,私钥的生成和存储方式决定了数字加密资产的安全性,而数字钱包的主要作用就是帮助用户管理和使用私钥。另外,为了降低用户的使用门槛,助记词则成为明文私钥的另一种表现形式,它是为了帮助用户去记忆复杂的私钥,增加便捷性。
安全是数字钱包的根基,一个安全的数字钱包应该能在任何时候都让用户的私钥/助记词处于安全保护之下。在此原则下,加密数字钱包的设计应遵循以下安全体系:基础安全体系(存储安全、网络安全、内存安全、安装包安全)、密钥管理安全体系、开发流程安全体系和用户行为安全体系[9]。
目前,数字钱包类型主要分为冷钱包和热钱包等。冷钱包就是不联网的钱包,也叫离线钱包;热钱包就是保持联网上线的钱包,也就是在线钱包。冷钱包不联网会比热钱包更安全,因为它能保证私钥不接触网络,从而防止私钥被黑客窃取。IT桔子的数据显示,截至2018年3月底,中国开发数字钱包的相关公司数量大约有15家,基本上都是以开发热钱包为主。
此外,去中心化也是区块链领域数字钱包发展的一大特点。中心化钱包和去中心化钱包的最根本区别就是,私钥是否自持。去中心化钱包的特点包括:第一、私钥是用户自持,当然密码也是用户自持;第二、资产是存储在区块链上,而不是托管在中心化的服务器上,并且目前也无需实名认证,即可生成钱包;第三、无法实现“账户冻结”、“交易回滚”等操作。因此,去中心化钱包很难遭受黑客的集中攻击,用户也不用担心钱包服务商出现监守自盗的情况[10]。
3. 区块链技术解决方案
区块链解决方案主要是指在底层平台的基础上进行扩展,目的是便于开发者基于区块链技术开发出产品和应用,或者是服务商直接为客户提供针对具体业务场景的解决方案。
(二)区块链硬件制造和基础设施
区块链硬件制造和基础设施起源于区块链的共识机制之一——POW(ProofofWork,工作量证明机制),即全网计算节点通过算力竞争记账权,来获取经济奖励。此外,分布式记账是区块链的核心特征之一,而区块链硬件设备充当了记账节点的功能。随着区块链的价值体现,参与竞争记账的人数越来越多,造成全网算力的难度呈现出指数级上升,这对区块链硬件设备的产量和性能都提出了更高的要求,推动这个行业持续创新发展,转型升级,在国际上取得了领先地位。
1. 算力难度上升和记账节点增加推动区块链硬件制造产业蓬勃发展
区块链硬件制造的核心在于芯片的计算能力,因此在算力难度提升的情况下,竞争记账也经历了最早从个人计算机上的CPU(中央处理器)记账,到GPU(独立显卡)记账,再到专业矿机的诞生,以及专业矿机又从FPGA(可编程门阵列)过渡到ASIC(专用集成电路)等。区块链硬件制造在算力难度不断增加的驱动下蓬勃发展,芯片计算能力不断提升,它是整个区块链产业发展的基石。同时,计算力的提高也推动了其他领域的发展,例如:人工智能领域就十分依赖计算力,人工智能芯片TPU也同样是ASIC芯片,依靠区块链硬件设备起家的比特大陆和嘉楠耘智就在去年发布了AI芯片。
在区块链硬件领域,中国的相关公司具有绝对优势,全球大部分区块链硬件均由中国厂商生产。世界排名前三的区块链硬件设备厂商比特大陆、嘉楠耘智和亿邦科技,均是中国公司的。在算力的军备竞赛下,谁的区块链硬件算力更强,就能抢占更多的市场份额。芯片的设计和研发能力,是这场军备竞赛的决定性因素,因此,非常有力地促进了我国专用芯片设计产业的创新发展。
2. 区块链计算中心成为主流,共享计算模式落地应用
由于全网算力难度的上升,个人充当记账节点的时代也早已在算力竞争愈演愈烈中宣告结束,区块链计算中心开始成为主流,它为整个区块链产业的发展提供算力资源。区块链计算中心主要由矿池组成,其最基本职能就是将个人的算力聚集起来参与竞争记账。在经历了激烈的竞争以后,矿池的垄断效应越来越明显,很多小的矿池已经在这场游戏中被淘汰。
另外,共享计算的新型云计算概念被迅雷公司提出,它是一种以区块链技术为基础,通过已授权的智能硬件设备记录、汇总社会普通家庭中闲置的带宽、存储、计算等资源,并通过跨平台、低功耗的虚拟化技术,以及节点就近点对点访问的智能调度技术,提供实现更快、更易扩展、更环保的计算资源。通过基于此类智能硬件作为桥梁,可以把个体用户的闲置带宽、存储、算力等资源汇聚成能够为企业使用的优质资源,将企业和个人连接在一起,让个体用户的资源可以为企业所用。
(三)区块链安全防护
1. 区块链面临的安全问题与应对措施
(1)底层代码的安全性
区块链项目(尤其是公有链)的一个特点是开源。通过开放源代码,来提高项目的可信性,也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。2016年10月,国家互联网应急中心发布《开源软件源代码安全漏洞分析报告——区块链专题》,针对区块链领域的知名开源软件,结合漏洞扫描工具和人工审计的方式,在代码层面发现高危安全漏洞746个,中危漏洞3497个,数量较多的高危漏洞有不安全的随机数、不安全的JNI、空指针解引用等。2018年3月,慢雾安全团队披露了一起由于以太坊生态缺陷导致的亿级数字资产盗窃事件。攻击者利用以太坊节点Geth/ParityRPCAPI鉴权缺陷,恶意调用eth_sendTransaction盗取数字资产,持续时间长达两年。应对措施主要有两方面:一是使用专业的代码审计服务,二是了解安全编码规范,防患于未然。
(2)密码算法的安全性
以比特币为例,每个区块都对应一个散列值,采用SHA256算法计算得到。在现阶段,该算法依旧满足散列函数的三个特性,单向性、弱无碰撞性和强无碰撞性,是安全的。由于SHA1和MD5已经被密码学者找到碰撞,所以,不应选取这两个算法作为区块链中的散列算法。
比特币中的交易采用了椭圆曲线数字签名算法ECDSA,确保了交易的完整性。比特币中的椭圆曲线采用的是Koblitz曲线(secp256k1)而非美国国家标准与技术研究院(NIST)推荐的secp256r1。虽然当前并无证据,但有分析认为secp256r1有可能是被NIST选取的带后门的椭圆曲线,而比特币在无形中避开了这一风险[11]。
随着量子计算机的发展,越来越多的研究人员开始关注能够抵抗量子攻击的密码算法,如基于格的密码算法等。椭圆曲线密码并不能抵抗量子攻击,当对于密码的量子攻击在未来成为现实时,所有不能够抵抗量子攻击的密码算法都存在较大风险,需要被替换。不过,在比特币中,比特币地址是对公钥进行散列并使用base58编码后的结果,如果比特币资金存放在一个没有支出过的地址里,这意味着公钥尚未公开,则它们在量子计算机面前是安全的。应对措施有:作为设计者,一是在设计时采用现阶段安全的密码算法,同时关注抗量子攻击的密码研究的进展,在其成熟后优先考虑使用;二是参考比特币对于公钥地址的处理方式,降低公钥泄露所带来的潜在的风险。作为用户,尤其是比特币用户,每次交易后的余额都采用新的地址进行存储,确保有比特币资金存储的地址的公钥不外泄。
(3)共识机制的安全性
当前的共识机制有工作量证明(ProofofWork,PoW)、权益证明(ProofofStake,PoS)、授权权益证明(DelegatedProofofStake,DPoS)、实用拜占庭容错(PracticalByzantineFaultTolerance,PBFT)等。PoW面临51%攻击问题。由于PoW依赖于算力,当攻击者具备算力优势时,找到新的区块的概率将会大于其他节点,这时其具备了撤销已经发生的交易的能力。需要说明的是,即便在这种情况下,攻击者也只能修改自己的交易而不能修改其他用户的交易(攻击者没有其他用户的私钥)。在PoS中,攻击者在持有超过51%的Token量时才能够攻击成功,这相对于PoW中的51%算力来说,更加困难。在PBFT中,恶意节点小于总节点的1/3时系统是安全的。
总的来说,任何共识机制都有其成立的条件,作为攻击者,还需要考虑的是,一旦攻击成功,将会造成该系统的价值归零,这时攻击者除了破坏之外,并没有得到其他有价值的回报。对于区块链项目的设计者而言,应该了解清楚各个共识机制的优劣,从而选择出合适的共识机制或者根据场景需要,设计新的共识机制。
(4)智能合约的安全性
智能合约具备运行成本低、人为干预风险小等优势,但如果智能合约的设计存在问题,将有可能带来较大的损失。2016年6月,以太坊最大众筹项目TheDAO被攻击,黑客获得超过350万个以太币,后来导致以太坊分叉为ETH和ETC。2017年11月7日Parity多重签名合约漏洞导致93万个以太币永久丢失。
应对措施主要有两方面:一是对智能合约进行安全审计,二是遵循智能合约安全开发原则[12]。智能合约的安全开发原则有:对可能的错误有所准备,确保代码能够正确的处理出现的bug和漏洞;谨慎发布智能合约,做好功能测试与安全测试,充分考虑边界;保持智能合约的简洁;关注区块链威胁情报,并及时检查更新;清楚区块链的特性,如谨慎调用外部合约等。
(5)数字钱包的安全性
数字钱包主要存在三方面的安全隐患:第一,设计缺陷。2014年底,某签报因一个严重的随机数问题(R值重复)造成用户丢失数百枚数字资产。第二,数字钱包中包含恶意代码。2017年,有网友使用某投资微信群推荐的钱包软件,导致数字资产丢失[13]。第三,电脑、手机丢失或损坏导致的丢失资产。应对措施主要有四个方面:一是确保私钥的随机性;二是在软件安装前进行散列值校验,确保数字钱包软件没有被篡改过;三是使用冷钱包;四是对私钥进行备份。
2. 区块链安全服务
针对目前区块链存在的底层代码、密码算法、共识机制、智能合约、数字钱包等安全问题,该领域也出现了一些提供安全服务的公司,它们主要通过技术手段、代码审计帮助客户解决各种区块链安全问题。
3. 量子技术发展带来的安全挑战和应对
量子计算机就是建立在量子实体(如光子、电子、原子、离子)基础上运行量子比特的计算机,由于量子计算机具有基于量子比特的并行处理信息的能力,理论上其计算能力随量子比特位数的增加呈指数级增加,因此相比经典计算机具有超级强大的计算能力。国际上,Google、IBM、微软等公司都投入了巨资研发量子计算机的硬件及软件,2017年IBM公司宣布研制出具有50个量子比特的量子计算原型机,2018年Google公司发布了72个量子比特的量子芯片,微软公司主要针对拓扑量子计算进行研发,2018年宣布取得重大进展。国内也有多个科研机构及阿里巴巴、腾迅、百度等互联网公司在量子计算领域进行前沿研究。
量子计算机将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易,目前最常用的ECDSA、RSA、DSA等在理论上都不能承受量子攻击。根据理论预测,对于一定长度的基于非对称椭圆曲线加密算法ECC密钥,用目前超级计算机需要几十年才能破解的密码如果采用具有数千个量子比特的量子计算机及Shor算法预计数十分钟就可以破解。可见,一些量子算法将对目前区块链所采用的公钥密码体系产生严重的威胁,必须提出应对量子计算的安全策略。
为了应对量子计算机给密码带来的安全威胁,目前主要可以采用基于抗量子计算密码和量子密钥的方法。抗量子计算密码的优势在于,将抗量子计算密码应用于互联网中不需要添加额外的硬件设备,特别是昂贵的量子硬件系统,有利于快速大规模普及应用。量子密钥的优势在于其具有更高的基于物理上的安全性,而目前主要的缺点在于需要基于相对昂贵的量子硬件系统,将来量子硬件设备会进一步集成化和降低成本,这将有利于量子密钥的广泛应用。在今后的实际应对策略中,可以根据具体应用的安全需求,将两种策略组合使用。
白皮书全文下载地址:http://www.miit.gov.cn/n1146290/n1146402/n1146445/c6180238/part/6180297.pdf
本文主要内容引自 搜狐科技
33 thoughts on “工信部发布《2018中国区块链产业白皮书》:量子计算机将给密码体系带来重大安全威胁”