TBaaS平臺系統不僅符合金融級別的安全合規性要求,同時還具備了騰訊雲完備的能力,使用者在彈性、開放的雲平臺上能夠快速構建自己的IT基礎設施和區塊鏈服務。TBaaS騰訊雲區塊鏈開放平臺在支援Hyperledger1 Fabric區塊鏈網路技術的同時,也將支援BCOS, TrustSQL,Corda, EEA等不同區塊鏈底層技術,並打通周邊技術生態,為使用者提供一整套進行區塊鏈開發、測試,快速部署,彈性可控的企業級解決方案。
1.1 TBaaS為何做聯盟鏈
最早的區塊鏈技術起源於比特幣,以比特幣、以太坊為代表的眾多數字貨幣技術稱之為公有鏈;而針對企業市場、特別是金融行業,出現了以Linux基金會的開源專案超級賬本代表的聯盟鏈。公有鏈與聯盟鏈獨立發展出了各自不同的技術路徑,公有鏈使用工作量證明(PoW),即挖礦的方式達成共識並實現資料的防篡改,公有鏈往往伴隨著數字貨幣/代幣作為挖礦的獎勵,其基礎業務也一般以數字貨幣的交易為主體;而聯盟鏈針對的是特定的企業或組織,聯盟鏈的加入有一定的准入機制,透過數字證書的方式實現基於PKI的身份管理體系,交易或提案的發起,以參與方共同簽名驗證來達成共識,因此不需要工作量證明(PoW),也不存在數字貨幣/代幣,提高了交易達成的效率、節約了大量計算成本(算力硬體投入和電力能源消耗)。
騰訊雲區塊鏈TBaaS所做的聯盟鏈平臺,順應時代發展潮流,針對企業市場的需求,開創性的拋棄了數字貨幣、工作量證明等部分原初區塊鏈技術特性,而保留並發展了分散式賬簿、交易共識、資料防篡改等功能。同時,針對企業市場、金融市場的需求又增強了許可權管理、安全控制、隱私保護、監督/監管等能力。騰訊雲區塊鏈,專注於提供生產級別的、金融級別的安全可信的聯盟區塊鏈平臺。
1.2 TBaaS的設計原則
1)開放性
● Linux Foundation金牌會員, Hyperledger會員,金鍊盟會員2,可信區塊鏈會員3
● 原始碼開放給 Linux社羣,提供程式碼給合作伙伴與監管機構,供對方進行程式碼安全審查
● 程式碼相容社羣標準,資料遷移標準化,遷移成本可控
2)高可用性
● TBaaS 構建於成熟的騰訊雲平臺,整個平臺遵循等保四級高可用設計準則
3)極致效能
● 開源版本基礎上最佳化平臺引擎,單鏈實現3000+TPS,滿足生產系統大吞吐高併發效能需求
● 提供適用商業應用的多鏈、硬體加密、高效能SSD等解決方案,線性提升 TBaaS 處理效能
● 多角色節點成員動態加入/退出TBaaS服務
4) 自動化部署
● 滿足使用者個性化需求,一站式快速交付定製TBaaS服務
● 主動升級底層區塊鏈平臺和更新補丁
● 多角色節點成員動態加入/退出TBaaS服務
5) 智慧監控
● Kubernetes叢集7*24監控
● 提供立體化TBaaS平臺資料監控、智慧化資料分析、實時化故障告警和個性化資料包表配
置,實時、精準掌控業務和TBaaS平臺健康狀況
6) 高價效比
● 可根據使用者需求進行彈性伸縮
● 節約運維成本
● 節約監控開發成本
● 按包年或包月的計費模式,減少客戶前期投入成本
7) 全球互聯
● 擁有42個資料中心,觸達全球,助力客戶在騰訊雲區塊鏈 TBaaS 上跨地域部署
● 領先業界的多線BGP ,覆蓋國內、外主流運營商
電信 | 聯通 | 移動 | 鐵通 | 盈通 | 教育網 |天威 | 長寬 | 互通 | 中信 | 華數
● Tbps+網際網路頻寬資源
● Tbps級別內網互聯互通,多機房之間跨域容災
● 開放態度,接入具備友商雲能力
● 全方位網路安全基礎能力,包括DDoS防護,入侵監測、漏洞掃描,主機防護等
1.3 TBaaS的服務能力
騰訊雲區塊鏈服務 TBaaS,是一個企業級的區塊鏈開放平臺,可一鍵式快速部署接入、擁有去中心化信任機制、支援私有鏈、聯盟鏈或多鏈,擁有私有化部署與豐富的運維管理等特色能力。TBaaS可廣泛應用於金融、醫療、零售、電商、遊戲、物聯網、物流供應鏈、公益慈善等行業中,重塑商業模式,提升客戶在行業內的影響力。
1.4 TBaaS的技術架構
騰訊雲區塊鏈TBaaS的技術特性有:
● 支援權威CA機構簽發數字證書;
● 硬體加速加密/解密;
● 支援國密SM1,SM2,SM3,SM4演算法;
● 容器化資源管理,支援多鏈;
● Devops運維監控;
● 儲存系統資料冗餘備份,安全可靠;
● 資料遷移標準化;
● 增量恢復技術加快使用者資料恢復;
● 冗餘物理鏈路設計,多鏈路高可靠路徑,無單點故障;
2. TBaaS產品特色
2.1 雲上服務
TBaaS上為客戶所提供的區塊鏈服務,遵循一個聯盟一個系統的原則,不同的聯盟鏈(不同的客戶),不僅在邏輯上是嚴格隔離的,在物理資源(機器硬體、網路、儲存…)同樣是互相獨立的系統,完全符合金融安全監管要求。
只有在同一個聯盟鏈系統中,才會有資源和資訊的共享,聯盟鏈有著安全可靠的准入機制,避免敏感資訊的洩漏。
TBaaS雲服務遵循標準的區塊鏈底層協議搭建,可以相容網路協議一致的友商雲平臺。在多雲融合的環境中,使用者可以按照業務需求搭建真正的跨雲平臺聯盟鏈,解耦使用者與底層技術平臺的強依賴性,提升區塊鏈平臺自身的可信度。
2.2 私有云服務
在金融、電信、政府、能源、教育、交通等行業中,使用者的核心業務需要自主可控。為了更好滿足這個訴求,TBaaS支援TCE私有化部署方式。TCE是騰訊雲企業級私有云解決方案,經過工信部可信雲認證,SLA分別達到99.95%的服務可用性和99.999%的資料可靠性,達到金融行業最高標準級別。TBaaS專有云部署方式搭建在穩健的TCE平臺,使用者可以自主管控整個TBaaS雲平臺。
整個私有云構建在微服務治理架構,引入業界優秀口碑Kubernetes進行大規模叢集和分散式應用的管理,充分體現Devops持續整合與持續交付的理念。TBaaS服務提供叢集和服務兩個層級的彈性伸縮能,能夠根據業務執行情況,監控容器的 CPU、記憶體、頻寬等指標進行自動擴縮服務,同時可以根據容器的部署情況,實現資源的彈性伸縮。TBaaS私有云平臺還支援高效部署,修改的業務程式碼進行快速構建、測試和打包整合,將整合的程式碼以灰度上線的方式快速部署到預釋出環境和現網環境上。
2.3 隱私保護
騰訊雲區塊鏈平臺採用基於數字證書的身份管理、多鏈隔離、資訊加密、智慧合約控制等手段保護私密資訊。
基於PKI的身份管理:TBaaS平臺採用雙重身份認證機制,首先透過騰訊雲官網帳完成帳號驗證;再進入到區塊鏈的許可權管理體系,所使用的使用者必須透過區塊鏈使用者管理中心註冊才能獲得相應身份證書,只有使用該安全證書籤名的客戶端節點才能發起交易請求或提案。
● 多鏈隔離:不同的組織的節點間可以建立不同的邏輯區塊鏈,透過資訊隔離,完成不同的組織、不同節點對賬簿的隱私保護。賬簿在各個組織的節點
● 資訊加密:在將資料儲存到區塊鏈上之前,可以把資料透過安全的加密方式,將敏感的隱私資料保護起來。另外,也可以將敏感的資料或檔案的透過雜湊的方式,將其資料指紋儲存在區塊鏈上,原始資料或檔案保以更安全的方式儲存。
● 智慧合約控制:透過智慧合約和訪問控制策略來限制訪問資料的角色和使用者,透過智慧合約的方式提供了更靈活的訪問許可權控制,可以針對節點,針對組織、針對角色、針對使用者制定不同的策略。
2.4 多鏈支援
一條邏輯上的區塊鏈是集合了特定組織、特定節點的私有區塊鏈系統,不同的組織間可以建立不同的邏輯區塊鏈,鏈間實現資料隔離,智慧合約可以部署在不同的邏輯區塊鏈之上。
在TBaaS系統中,支援使用者在同一個區塊鏈系統中建立多個不同的邏輯區塊鏈,即多鏈。多鏈中每一條鏈都是包含記賬節點、共識節點、智慧合約和賬簿的邏輯結構,它將參與者與資料(包含智慧合約)進行隔離,實現了不同角色的使用者訪問許可權不同,資料進行安全控制的基本要求。
多鏈結構,在不需要增加硬體裝置提高成本的前提下,可將熱點鏈拆分為若干並行鏈,使得資料可以並行寫入,提高並行效能。
透過多鏈的方式進行資訊隔離,充分符合使用者按照業務場景和參與方建立不同邏輯區塊鏈的實際需求,同時也避免了通訊風暴,節點只在自己的邏輯區塊鏈上進行通訊,提高了效率。
2.5 合約管理
鑑於智慧合約開發是區塊鏈應用的主要功能,所有區塊鏈業務能力圍繞智慧合約為核心,來實現智慧合同、自動觸發、安全隔離、業務定義、數字協議等功能。因此智慧合約是區塊鏈應用開發過程中最主要的部分,客戶需要花費大量的精力去編寫和除錯智慧合約。為了解決這一困難,TBaaS平臺提供完備的智慧合約整合開發除錯環境,大大縮短了使用者開發週期並減輕了開發壓力,以更便捷的方式輔助軟體開發。
與其它平臺不同,騰訊TBaaS平臺不僅可以對智慧合約進行詞法分析、語法檢查,還專門提供了智慧合約安全檢查服務,對合規性和安全性進行校驗,以防止類似於以太坊DAO安全事件的再次發生。
下圖為騰訊雲區塊鏈即服務的雲平臺上,智慧合約的生命週期示例圖:
2.6 共識機制
共識機制決定了區塊鏈的資料一致性的實現方式和適用場景,騰訊雲區塊鏈目前支援超級賬本原生共識機制的同時,未來也將支援使用者自定義的共識外掛和背書外掛,方便使用者根據自身業務需要進行靈活選擇和切換。
2.7 開放機制
騰訊雲區塊鏈TBaaS是一個開放的服務平臺,在支援超級賬本Hyperledger Fabric的同時,我們也支援BCOS,TrustSQL等優秀合作伙伴的區塊鏈底層平臺,在未來將支援R3 Corda,企業以太坊等區塊鏈等技術,並積極關注區塊鏈前沿科技的發展。
2.8 證書管理
與傳統的公有鏈不同,聯盟鏈對使用者身份的管理要求和隱私保護要求更高,騰訊雲區塊鏈與目前國內領先的證書服務提供商中國金融認證中心(CFCA)進行深度的戰略合作,支援在騰訊雲區塊鏈中使用CFCA簽發企業所需的各類證書,各類證書,用於身份認證、交易監控、交易安全、反欺詐等,為客戶帶來全平臺的證書可識別性和幾乎透明的權威CA證書使用體驗和一體化的使用者與證書管理服務。
2.9 硬體加密
騰訊雲已具備成熟的硬體加密能力和產品,騰訊雲區塊鏈可以直接與其無縫對接,幫助銀行、保險、證券等企業充分保護其資料儲存安全和傳輸安全,提升加密解密和簽名驗籤效率,實現金鑰安全管理,幫助客戶符合監管和等級保護要求。目前騰訊雲硬體加密支援絕大部分主流的國密演算法和各類國際通用演算法,例如SM1,SM2,SM3,SM4,DES,AES,RSA。
2.10 按需儲存
儲存膨脹是當前區塊鏈必然會面臨的一個問題,比特幣和以太坊當前的全賬本資料量已經十分龐大,不適合現今的主流網際網路移動端裝置進行快速訪問處理,區塊鏈在傳遞信任和價值的代價之一便是消耗了較傳統方案多得多的計算和儲存資源,如何讓儲存問題不成為企業上鍊的隱憂是騰訊雲區塊鏈著重探討的重要課題。一個優秀的儲存解決方案應該能不僅需要保證保證讀寫效能和資料高可用性,還應該在中心化集中儲存儲存和各節點獨立維護一個完整賬本之間取得恰當的平衡,幫助企業節省儲存成本。雲端儲存在可擴充套件性、按量計費、可靠性、可用性、安全性等方面將擁有無可比擬的巨大優勢。
區塊鏈在不同場景下的對儲存系統要求不同,騰訊雲區塊鏈提供了多種儲存層解決方案,以適應不同的需求。以Hyperledger Fabric為例,儲存分為三部分,賬本資料,狀態資料和歷史資料,賬本資料支援使用傳統塊儲存解決方案,例如效能更好的CBS雲硬碟或者成本更低,運維更簡便的CFS,並支援快照映象等備份和快速複製需求,方便新節點加入區塊鏈後快速同步賬本;狀態資料和歷史資料除了使用原生的GoLevel DB和CouchDB以外,未來可以使用騰訊雲端的MongoDB方案。
另外區塊鏈本身毫無疑問也是一個巨大的資料來源,目前騰訊雲已經支援大資料解決方案與其無縫對接,滿足客戶在區塊鏈上的大資料需求。
2.11 企業互聯
雲端企業客戶通常擁有若干個自己的VPC,VPC之間天然隔離,騰訊雲區塊鏈以VPC的形式部署和提供服務,將區塊鏈部署於一個獨立的VPC中,不佔用使用者的VPC配額,同時支援將區塊鏈VPC與其他多個使用者的VPC快速打通,不受限於網路地址重疊與繁瑣的路由配置等因素的影響,方便使用者直接透過自己的VPC訪問自己的組織和節點,讓客戶無需為客戶網路互聯和後續拓展擔心。
除此以外,作為一個開放的平臺,騰訊雲區塊鏈對使用者已有的IT基礎設施投資充分保護,能夠支援使用者複用現有VPC和使用者自有IDC內的基礎設施,作為區塊鏈的一部分節點。
2.12 網路管理
TBaaS平臺依託於騰訊雲基礎設施,提供高速、低延遲的區塊鏈網路,為區塊鏈各個節點間提供無阻塞、無超載的高可靠性的通訊,通訊保護符合金融級別安全級別標準。
騰訊雲區塊鏈的網路遵照聯盟鏈的准入機制,採用多組織聯合,區域自治的方式,多鏈隔離等技術,實現了網路既可以靈活的拓展,又可以實現自適應的管理模式。
● 許可網路:騰訊雲區塊鏈網路的成員,首先必須有著經過嚴格的身份核實,才能加入到某區塊鏈網路,參與方發起申請後需經過組織方的認可才能接入,實現了聯盟鏈的准入機制。
● 區域自治:區塊鏈網路透過不同組織的劃分,實現了區域的劃分和不同組織的自治管理。組織內部的通訊,無需全網廣播,而組織之間的通訊透過各自的錨節點來進行,既減少了不必要的通訊量,又保證了資訊的私密性。
2.13 策略和許可權管理
聯盟鏈僅對成員開放,這種准入機制,以及區塊鏈上的讀寫許可權、參與記賬的許可權,需要按照聯盟的規則來制定。這些機制和規則的集合構成了策略和許可權的管理。
許可權和策略管理是共識機制的一部分,許可權控制的基礎是依託於不同策略下達成的共識,策略管理在許可權的定義中處於核心地位。策略的制定包含通道策略和共識策略。TBaaS提供了圖形化等更加友好的許可權和策略方式,幫助客戶更好地實現針對不同使用者和不同業務邏輯的共識定製。
聯盟鏈針對企業級的管理和監控需求,對使用者的許可權、角色,和各種共識策略、訪問策略進行了全方位的增強。TBaaS為使用者提供了完善的管理機制,透過這種靈活的許可權策略管理,從而實現了對不同使用者訪問許可權的控制。
2.14 賬號管理
騰訊雲區塊鏈中,一個組織的帳號分為根賬號和子賬號,根帳號是這個組織的管理員,是組織資源的所有者;子帳號可以有資源建立的許可權,預設不擁有所建立資源的許可權,子帳號的許可權可以控制到單個API介面的粒度。擁有相同功能的多個子帳號可以建組,透過組進行許可權管理。
騰訊雲區塊鏈的登入體系和敏感操作支援雙層安全保護,在使用者名稱和密碼之外,再加一層MFA裝置,MFA裝置可以安裝到智慧手機等移動裝置上。
騰訊雲區塊鏈的帳號可以透過郵箱註冊,也可以關聯QQ、微信等第三方帳號。
