雲棲大會上螞蟻區塊鏈釋出了萬鏈互聯的基礎產品:通用安全跨鏈技術產品ODATS(Open Data Access Trusted Service)。ODATS打通了螞蟻區塊鏈、Hyperledger異構跨鏈,主打通用安全跨鏈,具備10W PPS跨鏈資料包處理能力,能夠在實際商用場景中落地使用。那麼什麼叫跨鏈?跨鏈核心問題幾何?ODATS有何魔力?以及螞蟻ODATS怎麼打造商用安全跨鏈平臺?現在就為你揭秘!
認識跨鏈
各行業乃至行業中某個領域根據自身的產業結構構建不同區塊鏈網路,每條鏈上都流轉著相應有價值的資訊與資產。但通常情況下,任何一個行業的價值都不可能完全孤立,往往有跨行業協作的業務需求,這也催生了區塊鏈應用落地的一大挑戰——多鏈資訊孤島。
比如一個簡單的資產跨鏈轉移例子:
基於區塊鏈搭建的供應鏈金融平臺上,流轉著Alice的一筆應收賬款資產,當Alice有轉讓需求,但接收方Bob卻在另外一個區塊鏈資產平臺上,如果兩個平臺業務上相通且區塊鏈平臺具有跨鏈能力的話,就可以使Alice的資產在其鏈上銷燬或者永久凍結,同時Bob所在的區塊鏈平臺確認Alice資產已凍結後,建立對等的合法的應收賬款資產給Bob。
這個過程的關鍵是要求Bob的區塊鏈能“看見”且“認證”Alice的資產狀態,進而誠實履行建立資產的任務。
整個跨鏈過程可以看成一個原子事務,一旦Alice資產永久凍結後,Bob所在的區塊鏈就必須給Bob發行對等的資產。兩條鏈上的狀態需要在一定時間內達成一致,不能永久處在一箇中間態,否則不能保障資產守恆以及不可雙花等基本要求。
跨鏈需求的本質可以定義成這麼一個跨鏈資訊互動模型:鏈A上面的資訊經過共識確定,可以安全可信地流轉到鏈B中,鏈B可以認證資訊,並且按照約定執行後續的跨鏈邏輯。
如何實現跨鏈技術
這就需要一種“可信連線技術”,能把一條鏈上的可信資料,真實可靠地告訴另外一條區塊鏈上,中途能像區塊鏈本身資料流轉一樣保證資料無法被篡改,那麼兩條鏈上的參與方就可以互信對方資料,就像是在一條鏈上一樣進行可信的業務協作了。
要實現這個跨鏈模型,首要解決的核心問題是跨鏈訊息的認證,常用跨鏈技術裡可以使用「側鏈機制」直接認證的,或者使用「公證人機制」間接認證;區塊鏈間異構特性帶來的資料結構差異,需要設計相關資料協議約定和引入橋接元件等方式解決資料差異性的問題;最後是完成跨鏈事務的設計,使得兩條鏈上的狀態能夠安全達成業務的一致性,且該事務具有原子性。
現有跨鏈技術能力已經有多種方案去解決以上基本問題,使鏈與鏈之間具備基本的互動能力。但在面對實際的業務場景,還需要解決哪些具體問題,面向未來萬鏈互聯的技術願景,跨鏈技術基礎架構還需要完善哪些技術能力?來看螞蟻區塊鏈跨鏈技術交出的創新答卷。
螞蟻區塊鏈ODATS跨鏈協議設計之道
螞蟻區塊鏈ODATS技術願景是為了超越價值流轉的邊界,構建跨鏈通訊基礎設施,承載區塊鏈價值網際網路。ODATS從實際業務場景出發打磨的商用跨鏈平臺,從底層協議到高可用元件實現與業務程式設計介面有著諸多豐富設計,現在為大家解讀ODATS在協議層不一樣的幾個重點設計要素,預覽跨鏈核心。
跨鏈協議的安全性、適用性
異構區塊鏈賬本上的可信資料的資料格式、驗證邏輯、驗證信任根都是獨立的,其規格可以透過區塊鏈自身協議定義清楚,任意客戶端包括另外一條鏈上的單位,原理上都可以直接認證。
但在實際跨鏈中更多存在中繼者/公證人等角色做了一層“橋接”,橋接過程中完成原資料的安全認證、資料格式轉化、資料重新宣告等動作,本質上這些行為是一種「證明轉化」:在不改變原有資料語義的前提下,進行資料格式轉化、資料證明的轉化、信任根的轉化,以便於驗證者安全簡便地解析和認證跨鏈資訊。
ODATS把以上過程梳理成協議,即“證明轉化協議”,使其可以清晰地去描述了流轉跨鏈訊息時資料格式驗證規格以及資料語義的信任根和安全性。
設計這種協議設計有什麼好處?
首要的考慮是安全性,“證明轉化協議”將安全規格“量化”出來,這是跨鏈機制的核心,等同於區塊鏈的共識機制,是業務評估其承載價值能力的最重要基礎。
其次是適用性,就如同面向各式各樣的實際的區塊鏈場景,業務通常會根據場景情況使用不同的共識演算法與參與方信任模型去構建出適用場景的信任邊界以及安全度等維度不盡相同的區塊鏈,當在跨鏈時,面向不同規格的區塊鏈例項,也需要根據信任關係和安全等級去靈活構建跨鏈網路。
統一的分散式自治跨鏈身份
身份體系是通訊的基礎,目前很多跨鏈解決方案中並未重視區塊鏈身份體系的搭建,區塊鏈跨鏈標識往往只能在區域性跨鏈使用,跨鏈作為面向萬鏈互聯的基礎設施,區塊鏈身份體系將會是重要基礎。
現在的開放的網際網路的安全通訊裡,已有一份健全且久經考驗的體系:PKI基礎設施。開放的跨鏈網際網路絡有著與現有網際網路一致的需求:開放、安全通訊、分散式自治,而不一樣的點是該區塊鏈證書的物件是一條鏈及鏈上物件,對於鏈的身份,這裡涉及到如何開放地定義鏈的“唯一標識”,對於鏈上的物件,包括賬號以及合約等,如何出域對外可驗證。
業務引入了職能與PKI體系類似,而更輕量級且更具分散式自治及擴充套件性的“分散式身份”體系,設計區塊鏈證書,描述區塊鏈的唯一認證根以及其安全更新與公開弔銷,讓業務在由區塊鏈組成的價值網際網路裡進行安全跨鏈,做到“有根可尋”且“安全可控”。
資料安全與隱私保護
隱私保護及資料安全是區塊鏈面向實際場景的重要問題,而跨鏈流程往往意味著鏈上資料要面臨隱私公開和資料要在安全域外不可靠流轉等安全敏感問題。就如資料要上鍊就要公開被全網共識一樣,貌似資料隱私安全天生就站立在跨鏈的對立面。但隨著各類鏈上隱私保護方案的研究與落地應用,跨鏈要解決資料隱私安全問題也是面向實際生產場景的首要任務。
與“中繼鏈”以及“預言機”等集中型的重型跨鏈中繼解決方案不一樣,螞蟻區塊鏈採用的是跨鏈路由形態。在聯盟鏈場景中,這類跨鏈中繼中心會是落地障礙,其引入了跨鏈兩方外新的信任體和資料安全域,這讓跨鏈協作的業務變得更為複雜的同時,中繼中心也是資料安全的殺手。
跨鏈路由與證明轉化協議以及身份體系結合,互聯的兩條區塊鏈各自的安全信任域內各自部署“證明轉化”的跨鏈路由,路由上可管控資料進出身份,資料可以按需出域,路由間透過TLS安全通道P2P直連,使資料直接到達信任的彼岸,實現跨鏈資料按需出入與傳輸可控。
以上解決的是跨鏈資料的物理隔離安全,其內容安全同樣也存在需求,證明轉化裡還支援鏈下可驗證/可信計算,支援引入ZKP和TEE等可信計算技術,完成跨鏈資料出域的同時,支援內容的隱私保護。
螞蟻區塊鏈打造的面向實際生產的跨鏈技術,不僅僅以上三點設計,再往上還有跨鏈事務和通用程式設計等更為重要的業務介面的設計。螞蟻區塊鏈跨鏈技術將落地更多場景,以及展開社羣共創相關工作,以後將與大家做更多分享!
