如何评价区块链国家标准?
以后什么样的区块链会被归为“不合标准”,不合标准的又会受到什么处理?
区块链作为一种新兴的应用模式,在金融服务、供应链管理、文化娱乐、智能制造、社会公益和教育就业等领域有着广泛的应用价值。
近几年来,区块链技术和应用正经历快速发展的过程,市场上各种区块链产品和服务不断涌现,比如智链ChainNova的善粮味道大米。
与此同时,国内国际上尚未形成完善的区块链标准体系,使得行业发展碎片化,行业应用存在一定的盲目性,不利于区块链的应用落地和技术发展。
区块链的标准化有助于统一对区块链的认识,规范和指导区块链在各行业的应用,以及促进解决区块链的关键技术问题,对于区块链产业生态发展意义重大。
如何检测区块链智能合约的风险等级高低
随着上海城市数字化转型脚步的加快,区块链技术在政务、金融、物流、司法等众多领域得到深入应用。在应用过程中,不仅催生了新的业务形态和商业模式,也产生了很多安全问题,因而安全监管显得尤为重要。安全测评作为监管重要手段之一,成为很多区块链研发厂商和应用企业的关注热点。本文就大家关心的区块链合规性安全测评谈谈我们做的一点探索和实践。
一、区块链技术测评
区块链技术测评一般分为功能测试、性能测试和安全测评。
1、功能测试
功能测试是对底层区块链系统支持的基础功能的测试,目的是衡量底层区块链系统的能力范围。
区块链功能测试主要依据GB/T 25000.10-2016《系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型》、GB/T 25000.51-2016《系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》等标准,验证被测软件是否满足相关测试标准要求。
区块链功能测试具体包括组网方式和通信、数据存储和传输、加密模块可用性、共识功能和容错、智能合约功能、系统管理稳定性、链稳定性、隐私保护、互操作能力、账户和交易类型、私钥管理方案、审计管理等模块。
2、性能测试
性能测试是为描述测试对象与性能相关的特征并对其进行评价而实施和执行的一类测试,大多在项目验收测评中,用来验证既定的技术指标是否完成。
区块链性能测试具体包括高并发压力测试场景、尖峰冲击测试场景、长时间稳定运行测试场景、查询测试场景等模块。
3、安全测评
区块链安全测评主要是对账户数据、密码学机制、共识机制、智能合约等进行安全测试和评价。
区块链安全测评的主要依据是《DB31/T 1331-2021区块链技术安全通用要求》。也可根据实际测试需求参考《JR/T 0193-2020区块链技术金融应用评估规则》、《JR/T 0184—2020金融分布式账本技术安全规范》等标准。
区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。
二、区块链合规性安全测评
区块链合规性安全测评一般包括“区块链信息服务安全评估”、 “网络安全等级保护测评”和“专项资金项目验收测评”三类。
1、区块链信息服务安全评估
区块链信息服务安全评估主要依据国家互联网信息办公室2019年1月10日发布的《区块链信息服务管理规定》(以下简称“《规定》”)和参考区块链国家标准《区块链信息服务安全规范(征求意见稿)》进行。
《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务的健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。《规定》第九条指出:区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。
《区块链信息服务安全规范》是由中国科学院信息工程研究所牵头,浙江大学、中国电子技术标准化研究院、上海市信息安全测评认证中心等单位共同参与编写的一项建设和评估区块链信息服务安全能力的国家标准。《区块链信息服务安全规范》规定了联盟链和私有链的区块链信息服务提供者应满足的安全要求,包括安全技术要求和安全保障要求以及相应的测试评估方法,适用于指导区块链信息服务安全评估和区块链信息服务安全建设。标准提出的安全技术要求、保障要求框架如下:
图1 区块链信息服务安全要求模型
2、网络安全等级保护测评
网络安全等级保护测评的主要依据包括《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》。
区块链作为一种新兴信息技术,构建的应用系统同样属于等级保护对象,需要按照规定开展等级保护测评。等级保护安全测评通用要求适用于评估区块链的基础设施部分,但目前并没有提出区块链特有的安全要求。因此,区块链安全测评扩展要求还有待进一步探索和研究。
3、专项资金项目验收测评
根据市经信委有关规定,信息化专项资金项目在项目验收时需出具安全测评报告。区块链应用项目的验收测评将依据上海市最新发布的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》开展。
三、区块链安全测评探索与实践
1、标准编制
上海测评中心积极参与区块链标准编制工作。由上海测评中心牵头,苏州同济区块链研究院有限公司、上海七印信息科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所等单位参加编写的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》已于2021年12月正式发布,今年3月1日起正式实施。上海测评中心参与编写的区块链国标《区块链信息服务安全规范》正处于征求意见阶段。
同时,测评中心还参与编写了国家人力资源和社会保障部组织,同济大学牵头编写的区块链工程技术人员初级和中级教材,负责编制“测试区块链系统”章节内容。
2、项目实践
近年来,上海测评中心依据相关技术标准进行了大量的区块链安全测评实践,包括等级保护测评、信息服务安全评估、项目安全测评等。在测评实践中,发现的主要安全问题如下:
表1 区块链主要是安全问题
序号
测评项
问题描述
1
共识算法
共识算法采用Kafka或Raft共识,不支持拜占庭容错,不支持容忍节点恶意行为。
2
上链数据
上链敏感信息未进行加密处理,通过查询接口或区块链浏览器可访问链上所有数据。
3
密码算法
密码算法中使用的随机数不符合GB/T 32915-2016对随机性的要求。
4
节点防护
对于联盟链,未能对节点服务器所在区域配置安全防护措施。
5
通信传输
节点间通信、区块链与上层应用之间通信时,未建立安全的信息传输通道。
6
共识算法
系统部署节点数量较少,有时甚至没有达到共识算法要求的容错数量。
7
智能合约
未对智能合约的运行进行监测,无法及时发现、处置智能合约运行过程中出现的问题。
8
服务与访问
上层应用存在未授权、越权等访问控制缺陷,导致业务错乱、数据泄露。
9
智能合约
智能合约编码不规范,当智能合约出现错误时,不提供智能合约冻结功能。
10
智能合约
智能合约的运行环境没有与外部隔离,存在外部攻击的风险。
3、工具应用
测评中心在组织编制《DB31/T 1331-2021 区块链技术安全通用要求》时,已考虑与等级保护测评的衔接需求。DB31/T 1331中的“基础设施层”安全与等级保护的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等相关要求保持一致,“协议层安全”、“扩展层安全”则更多体现区块链特有的安全保护要求。
测评中心依据DB31/T 1331相关安全要求,正在组织编写区块链测评扩展要求,相关成果将应用于网络安全等级保护测评工具——测评能手。届时,使用“测评能手”软件的测评机构就能准确、规范、高效地开展区块链安全测评,发现区块链安全风险,并提出对应的整改建议
如何辩别真正的区块链数字货币
某个数字货币是否是一个有价值的币种,在目前基本属于“天使轮”阶段而言,判定标准有三个,一是团队,二是经济模型,三是行业需求。
团队的随机性太大,在此不进行讨论。本文首先对数字货币的经济模型进行一个详尽地分析,在随后的文章中,笔者会根据不同行业对部分数字货币进行剖析。
严格来讲,本文所涉及的经济模型,并不完全等同于经济学中所述概念。特指在数字货币中,货币的共识机制与激励机制。
一、共识机制
共识机制是区块链系统中各个节点达成一致的策略和方法,应根据系统类型及应用场景的不同灵活选取。
常用的共识机制主要有PoW、PoS、DPoS、PBFT(及其变种)等。另外,基于区块链技术的不同应用场景,以及各种共识机制的特性,本文按照以下维度来评价各种共识机制的技术水平:
a) 合规监管:是否支持超级权限节点对全网节点、数据进行监管;
b) 性能效率:交易达成共识被确认的效率;
c) 资源消耗:共识过程中耗费的CPU、网络输入输出、存储等计算机资源;
d) 容错性:防攻击、防欺诈的能力。
1、PoW(Proof of Work)工作量证明:依赖机器进行数学运算来获取记账权,资源消耗相比其他共识机制高、可监管性弱,同时每次达成共识需要全网共同参与运算,性能效率比较低,容错性方面允许全网50%节点出错。
优点:(1)安全性高,系统稳定性好;(2)节点间无需交换额外的信息即可达成共识;(3)破坏系统需要投入极大的成本;(4)算法简单,容易实现。
缺点:(1)需要投入硬件成本及能源成本;(2)区块的确认时间较长,而且需要等待多个确认;(3)由于比特币的先发优势,新的区块链必须找到一种不同的散列算法,否则就会面临比特币的算力攻击;(4)容易产生分叉。
2、PoS(Proof of Stake)权益证明:主要思想是节点记账权的获得难度与节点持有的权益成反比,相对于PoW,一定程度减少了数学运算带来的资源消耗,性能也得到了相应的提升,但依然是基于哈希运算竞争获取记账权的方式,可监管性弱。该共识机制容错性和PoW相同。
优点:(1)缩短了共识达成的时间;(2)不再需要大量消耗能源挖矿。
缺点:(1)还是需要挖矿,存在一定的资源浪费;(2)所有的确认都只是一个概率上的表达,而不是一个确定性的事情,理论上有可能存在其他攻击影响。
3、DPoS (Delegate Proof of Stake) 股份授权证明:与PoS的主要区别在于节点选举若干代理人,由代理人验证和记账。其合规监管、性能、资源消耗和容错性与PoS相似。
优点:(1)通过使用“代议制”,大幅提高达成共识的时间,为商业应用的开发提供了客观条件;(2)大幅度减少了资源消耗。
缺点:(1)存在“代表”作恶的情况,需要制定相应的约束条件及替代方案;(2)需要在总节点数量与“代表”数量之间做好平衡。
4、PBFT(Practical Byzantine Fault Tolerance)实用拜占庭容错:一种采用许可投票、少数服从多数来选举领导者进行记账的共识机制,但该共识机制允许拜占庭容错。该共识机制允许强监管节点参与,具备权限分级能力,性能更高,耗能更低,该算法每轮记账都会由全网节点共同选举领导者,允许33%的节点作恶,容错性为33%。
优点:(1)系统运转可以脱离币的存在,PBFT算法共识各节点由业务的参与方或者监管方组成,安全性与稳定性由业务相关方保证;(2)共识的时延大约在2~5秒钟,基本达到商用实时处理的要求;(3)共识效率高,可满足高频交易量的需求。
缺点:(1)当有1/3或以上记账人停止工作后,系统将无法提供服务;(2)当有1/3或以上记账人联合作恶,且其它所有的记账人被恰好分割为两个网络孤岛时,恶意记账人可以使系统出现分叉,但是会留下密码学证据。
二、激励机制
激励机制与共识机制有强关联性的,不夸张的说,在一定程度上,共识机制决定了激励机制的设计方式,也就是说,共识机制是激励机制的充分条件(规模极小的私有链除外)。就二者在区块链系统内的关系而言,共识机制的目的是产生区块,而激励机制则是给予区块生产者的奖励。
单就激励机制而言,即数字货币如何发放。其中涉及到总量是否恒定,数字货币总量如何分配(投资人、团队、矿工等),激活/解锁/释放/回购机制,数字货币权益等。
从二者关系看,数字货币分为两种:一种是区块链项目,拥有区块链完整的架构,其经济模型由共识机制与激励机制组成;另一种是部署于区块链上的分布式应用所发行的数字货币,仅需要设计优化后的激励机制以维系整个应用的良性运转即可。
2.1 区块链项目的激励机制
激励机制的设计源于以比特币为代表的区块链1.0时代。
比特币是一个完全开源的公链项目,没有众筹,没有项目方,整个区块链运行的关键在于三点:
第一是底层代码的准确性(已经经过了时间的检验);
第二是共识算法,采用PoW机制,简单易用,在前期运行比特币系统过程中,并无过多的资源浪费,这为大量普通网络节点接入比特币系统提供了便捷,然而在专业的比特币挖矿机器产生之后,难度系数增加,资源浪费在所难免,是为后话(中本聪可能低估了群体的智慧);
第三是,激励机制的设计,基于开源的公链必须提供给网络节点持续运行所必要的动力。比特币约每十分钟出一个区块,前21万个区块,大概需要4年时间,第一个四年期每个区块的激励为:50个比特币与该区块内所有的交易费用,随后的每21万个区块,奖励减半,在2140年比特币区块奖励将完全由区块中的交易费用构成。
几个要素构成了比特币的激励机制:
(1)比特币的发行总量为2100万枚,不增发;
(2)PoW共识机制决定了比特币的分配方式为算力产生,100%分配给矿工;
(3 )约每十分钟产生一个区块,区块初始奖励为50个比特币,每21万个区块之后产量减半,具有“通缩”属性,无回购销毁机制;
(4) 比特币交易需要支付给矿工一定的数据打包费用。
以上是第一套区块链的激励机制:稳定的数字货币供应,维持整个系统运转的矿工团体及数字货币分配方式,数字货币释放机制,数字货币交易方式。这也成为区块链项目中激励机制设计的基础框架。
随着比特币知名度的上升,用户群体日益扩大,资源浪费,效率偏低等问题逐渐凸显,后续区块链项目在激励机制设计上开始进行改进。
比如为了减少资源消耗而采取的PoS共识算法,在此种算法下新“挖掘”出的数字货币为全员共享而非矿工独享,客观上打压了矿工的积极性,从而采用了数字货币“通胀”的形式,即增发一定数量的数字货币,然而数字货币的增发必然会造成贬值,因此,需要将新增的一部分数字货币返还持币者作以补偿。
再比如为了提高效率而采取DPoS共识算法,设计机制与PoS类似,只不过将新增数字货币的分配方式从由代码约定改为了由超级节点主观分发。
总而言之,激励机制的设计是不断进化中的,但是仍然未摆脱经典模式的基本框架。
2.2 分布式应用的激励机制
分布式应用是指,部署与通用公有链或者行业公有链上的应用,如果把公链理解为操作系统,那么分布式应用就是适配于这个系统的Applications。通常情况下,这些应用都会在所部署的公链上发行数字货币,暂且称之为应用型数字货币。由于应用基于公链创建,所有特性受制于公链所能提供的功能。
应用型数字货币的经济模型中,不需要进行共识机制的设计,只需要设计健康的激励机制即可。
比如,头部数字货币交易所Binance发布了一种数字货币,简称“BNB”,它是基于以太坊区块链的ERC20标准数字货币。
BNB总量被限定为2亿个,并承诺永不增发。50%数字货币对外发售,40%团队持有,早期的天使投资人持有10%。持有BNB的用户,在Binance平台上进行交易,可享受用足额BNB抵扣并享受5年内手续费逐级递减的折扣;除了享受手续费折扣外,持有BNB的用户可以享受众多的空投活动。在这些权益之外,BNB项目团队会在每季度拿出当季净利润的20%用于回购BNB并销毁,直至所有BNB总量为1亿个为止,具备了“通缩”属性。
应用型数字货币的经济模型大体如下:数字货币总量一般恒定;数字货币分配方式为:早期投资者与项目团队持有一定比例的数字货币(约50%);持有数字货币享受该分布式应用的部分权益。
当然,在数字货币数量(是否增发需根据所部属平台和项目需求而定)、分配方式、比例和持币权益方面都能依据项目需求进行调整。
三、如何设计数字货币的经济模型
在这里,应该明确一个理念,价值回归。我们可以将它延伸理解为互联网下的共享经济模式在区块链领域的扩展。即区块链项目的价值是由参与者共同创造的,应该由区块链参与者共享。
那么如果要为一个区块链项目或者分布式应用设计一个合理的经济模型,应该从哪些方面加以考虑呢?
3.1 共识机制的选用
对区块链项目而言,经济模型的设计比较难,即便现有的几大区块链项目,其经济模型的设计也并非尽善尽美的。
在共识算法的选择上,要参照符合监管,利于性能效率提升,尽量避免过度的资源消耗,具有一定的容错性四个方面加以考虑。
结合主流的共识算法如PoW、PoS、DPoS、PBFT(及其变种)等,其中DPoS、PBFT(及其变种)两种算法在上述四方面能够做到一个较好的平衡。目前国内的区块链项目多采用PBFT及其变种算法作为共识机制即是例证。
当然,随着未来人类科技的不断进步,更新的、更能够得到有效监管、效率更高的算法可能会逐渐被人发现并加以运用。
3.2 激励机制的设计
激励机制的重要性无需赘言。在确定采取何种共识机制之后,下一步就需要设计合理的激励机制以保证区块链项目的良好运转和持续发展。
下面将从数字货币总量、分配方式、释放/回购机制、持币权益四个方面进行探讨。
(1)数字货币总量供应
数字货币的总量依据所属行业及项目需求而定,避免预期价格异常而导致与法币兑换差额较大:例如,一个关于资产管理的区块链项目,预期资产管理市值为50亿美元,发行数字货币的数量应不少于50亿枚为佳。
(2) 数字货币分配方式
这里的分配方式是指,在所发行数字货币的总数中,早期投资者、团队、社区等分别持有的数量。
在当前市场中,为了维持价格的稳定,防止游子恶意做空,促进区块链项目生态健康,团队持有一定比例的数字货币是十分必要的。
(3) 数字货币释放/回购机制
在比特币中即“挖矿”,在非PoW共识机制的区块链项目中,数字货币的有三种形式释放:一种是前期预售;第二种就是行为(包括但不限于:交易、运动、内容生产)释放;最后一种为线性释放,即固定周期内释放固定数量的数字货币,直至全部释放完毕(三种方法也可同时使用)。
回购机制是项目方对持币者的回馈措施之一,使用回购销毁的方式对市值进行管理,对所有持币者进行“分红”。
(4) 数字货币权益
根据区块链赋予不同的行业来看,一般具有交易、应用中消费、持币享受平台利润分成(类似于持股)、空投等福利。
四、案例示范
项目名称:X
代币名称:XT
核心产品:基于AI大数据的数字货币智能投顾平台
1 行业背景
寻找行业痛点:资产管理需要专业的团队与知识,然而现在大多数数字货币投资者并不具备;数字货币市场行情波动巨大,在行情下挫中,投资者无法对资产进行保值。
2 自身优势
在股票、期货市场深耕多年,有成熟、高素质资产管理团队;AI大数据团队技术实力强劲。
3 市场调研
进行市场调研之后,预估未来5年内,资产管理的市值约为10亿美元。
4 数字货币总量
在考虑预期资产管理市值、开发周期与难度后,考虑发行基于以太坊ERC20数字货币XT,数量20亿枚,永不增发。
5 分配方式
早期投资人持有10%,团队持有20%,商务运营10%,社区建设10%,投资者持有50%。
6 数字货币释放/回购机制
释放机制分为三类:
第一类:商务运营持币部分为全部解锁,用途限定为商务及运营活动;
第二类:社区建设部分的释放机制为,社区成员发布独家资讯、合作平台发布独家项目进展等行为,根据参与ID数,释放相应比例XT(发布者与参与者各获得50%),直至全部释放完成(释放完成之后,后续奖励来源于平台利润池);
第三类:投资者持主流数字货币,在平台中进行资产管理,根据兑换比例,释放一定数量的XT,早期投资人与团队持有部分同步,按比例解锁;
回购机制为:所得利润(以XT计)的50%返还给持币者;剩余进入平台利润池中,按月对利润池中的50%的XT进行销毁,直至XT总量为10亿枚;其余作为平台生态建设基金;
7 数字货币权益
利润分成:持有XT,是为平台用户,可以享受平台利润50%的分成;
平台治理:参与平台活动享受XT奖励、其他项目方的空投活动;
功能定制:可基于平台AI大数据,投资者可购买针对个人交易策略进行优化的服务
区块链是什么,如何评价区块链
首先不要把区块链想的过于高深,他是一个分布在全球各地、能够协同运转的数据库存储系统,区别于传统数据库运作——读写权限掌握在一个公司或者一个集权手上(中心化的特征),区块链认为,任何有能力架设服务器节点的人都可以参与其中。来自全球各地的掘金者在当地部署了自己的节点,并连接到区块链网络中,成为这个分布式数据库存储系统中的一个节点;一旦加入,该节点享有同其他所有节点完全一样的权利与义务(去中心化、分布式的特征)。与此同时,对于在区块链上开展服务的人,可以往这个系统中的任意的节点进行读写操作,最后全世界所有节点会根据某种机制的完成一次又依次的同步,从而实现在区块链网络中所有节点的数据完全一致。
区块链本身是一种技术,因此,它本身不可能是骗局,就像近年来正火的“p2p”金融一样,有多少骗子是披着P2P的概念,非法吸收公众资金,骗取老百姓的血汗钱的?但“P2P”有罪吗,它只是是互联网金融的一种个人对个人的模式而已,它不仅创造了利润,还使成千上万人摆脱了贫困,使扶贫者与被扶贫者达到双赢。币汇数字货币交易平台
问题的存在,不可能阻碍区块链的发展步伐,诸如简单支付验证、侧链、闪电网络协议等技术的提出和深入研究,已经是区块链实实在在解决的问题了。
区块链技术的标准化是什么?
2016年9月,国际标准化组织(ISO)成立了区块链和分布式记账技术委员会(ISO/TC 307),负责制定区块链和分布式记账技术领域的国际标准。2017年3月,中国电子技术标准化研究院承担ISO/TC 307国内技术对口单位。2019年12月,工业和信息化部组织筹建全国区块链和分布式记账技术标准化技术委员会,秘书处承担单位为中国电子技术标准化研究院。目前,中国电子技术标准化研究院负责对区块链系统进行是否符合区块链标准的软件测试,测试通过后,颁发相关证书。深圳区块链行业将加快标准化发展。2020年6月11日,第四届中国区块链开发大赛暨区块链国家标准及系统测试标准广东研讨会在深圳举行,首个可专业进行国家标准申报测试的区块链标准化测评工作站在深圳率先成立。