梧桐鏈的技術架構如下圖所示,由底層平臺和基於底層平臺的對外應用模組構成。底層平臺由網路服務、資料儲存、許可權管理、安全機制、共識機制、智慧合約等部分構成。對外應用模組可針對不同的應用場景進行系統化定製和提供開發API等。
梧桐鏈支援基於私有云和公有云部署和擴充套件;支援節點可控授權接入,支援多種加密演算法、多種共識演算法;支援高效能自主智慧合約引擎,提供對區塊鏈系統的治理和運維支援,可對整個網路的執行狀態進行實時監控。
1.1. 網路服務
梧桐鏈基於TCP/UDP的通訊協議,支援點對點P2P通訊。節點角色可根據使用情況定製擴充套件,分離出不參加共識而只儲存或讀取資料的節點,分擔主網路的查詢負擔。
各個節點採用P2P網路技術組織網路,支援多節點的動態加入和退出。節點的加入和退出由許可權管理控制,新加入的節點需要經過已經存在的節點一致同意才能夠成功。
1.2.資料儲存
梧桐鏈在執行期的資料儲存在節點的記憶體中,當需要記錄一個新的區塊的時候,可以對於不同的資料,選擇與其相適應的持久化方案來儲存區塊,包括但不限於關係型資料庫、NoSQL、檔案系統等。
目前梧桐鏈已實現使用LevelDB儲存資料,並支援擴充套件到使用公有云儲存。
1.3.許可權管理
許可權管理負責所有參與梧桐鏈的節點許可權的管理,對不同節點分別授予不同的許可權。此外對於梧桐鏈的訪問和讀寫許可權也有許可權管理模組負責,鏈上資料只有獲得授權的使用者才能夠訪問。
基於資料在節點間匿名驗證的考慮,梧桐鏈研發團隊正在開發零知識正明和環簽名演算法,將在後續的版本中上線。
1.4.安全機制
梧桐鏈的設計上需要充分考慮企業級的安全性要求,採用符合國家和國際標準的加密機制,在伺服器實施部署上也有相應的安全性保障措施。區塊和鏈式結構,雜湊演算法、非對稱加密和簽名演算法均支援國密演算法。
梧桐鏈基於PKI的證書體系做節點身份認證,CA伺服器管理證書的發行和銷燬,節點使用數字證書進行驗證和加解密,防止出現節點證書重複使用、節點重複登入、節點退出等事件引起的安全問題。
梧桐鏈目前支援的密碼學演算法有:
1.5.共識機制
共識演算法是使梧桐鏈中各個節點達成- - 致的策略和方法。梧桐鏈採用模組化的設計,共識演算法模組為可插拔設計,內建多種共識演算法模組,使用者可根據系統型別和應用場景進行手動選擇或動態調整。此外,梧桐鏈預留共識模組的介面,使用者可根據自己的需求編寫並替換共識模組。
梧桐鏈已經實現Raft和PBFT共識演算法。
Raft是在Paxos基礎上實現的一種分散式- 致性演算法,結構簡單且具有與Paxos一樣的功能與效能,在聯盟鏈的場景下,梧桐鏈對Raft進行了適配區塊鏈的修改和實現,能夠在半數節點出現故障的情況下保證系統的一致性。
PBFT是一- 種拜占庭容錯演算法,能夠在節點數量不小於n=3f+1的情況下,容忍f個拜占庭節點,但由於其通訊效率較低,後續會在此基礎上進行改進。
此外,梧桐鏈研究團隊正在研究一種可擴 展的拜占庭容錯演算法,能夠根據網路環境和安全情況動態調整演算法,並可透過多節點並行,在不降低容錯的情況下提高tps。
1.6.智慧合約
梧桐鏈採用Docker容器方案來提供隔離安全環境,智慧合約執行在Docker容器中,能與鏈系統隔離,保證了合約執行的安全性。使用者可根據梧桐鏈技術文件,使用G0語言編寫智慧合約。Docker容器方案可提供良好的系統相容性。
梧桐鏈將實現自定義輕量級虛擬機器方案,智慧合約在虛擬機器中執行,確保和鏈上資料的隔離,避免安全風險。同時相比Docker容器方案更加高效,支援受控的I0,內建豐富的微服務介面。
依託於研究院測試平臺,在設計和開發過程中,梧桐鏈將引入智慧合約安全測試體系,提供測試工具來檢測智慧合約中的安全漏洞,幫助使用者發現並解決合約中的安全問題。
1.7.應用閘道器及SDK
SDK為開發者提供區塊資訊寫入、查詢、讀取等操作,使得接入梧桐鏈的難度大大降低。目前梧桐鏈提供G0語言版本的SDK,更多語言的SDK正在開發中。同時提供HTTP Restfu1的應用閘道器,使得應用系統的接入更加簡單、靈活。
2. 梧桐鏈業務架構
梧桐鏈業務架構如下圖所示,由下而上分為雲端管理層、開發框架層、業務元件層以及業務場景層。每一層都是相對獨立的模組,透過介面與其他層相互呼叫,每一層都可以根據使用者需求提供不同的功能。
2.1. 雲端管理層
雲端管理層是對梧桐鏈基礎物理裝置的模組化、視覺化管理,根據使用者的實際需求對梧桐鏈的基礎設施進行定製,提供多節點管理、租戶管理、儲存管理,CA認證、通訊服務、負載均衡等功能。
節點管理:對雲端的物理裝置提供動態管理功能,保證雲端的執行,使得物理機器的狀態對使用者來說是透明的。伺服器透過虛擬化、叢集技術進行資源整合,透過雲端控制平臺按需生成相關主機資源。分散式計算和自動化管理,能夠跨平臺、分散式叢集化部署,提升整體計算分析和計算資源利用率,實現整體計算成本的降低。
租戶管理: 在多使用者的環境下共用相同的雲端,確保各使用者間資料的隔離性,提供角色許可權管理。
儲存管理: 保證儲存可靠、高效。儲存伺服器以主流雲端計算儲存技術為依託,透過叢集檔案系統組成一個統一的儲存池,為節點內的虛擬機器提供邏輯磁碟儲存、非結構資料儲存以及整合備份服務。高可靠儲存虛擬化,跨平臺、可集中或分散式部署、面向資源的管理、提升整體儲存能力和資源利用率。
CA認證:負責發放和管理數字證書,承擔公鑰體系中公鑰的合法性檢驗的責任。
通訊服務:負責雲內各物理機器之間通訊以及雲與使用者之間通訊,相容HTTP和TCP協議。
負載均衡:能夠均衡應用程式的流量,將前端併發訪問轉發給後臺多臺雲伺服器,實現業務水平擴充套件,透過故障自動切換,及時地消除服務的單點故障,提升服務的可用性。
2.2.開發框架層
開發框架層也稱為技術元件層,為雲端開發提供了相應的工具,使用者可採用這些工具對梧桐鏈進行開發並部署到雲端管理平臺,搭建滿足自身需求的聯盟鏈。開發框架層透過API向下呼叫雲端服務平臺的資源,向上為業務元件層提供服務,實時監控平臺的資源使用情況,能夠基於智慧分析和資料探勘提升資料的有效性,提高監控系統的實用價值,提高處理效能,並實現統一管理手段,並透過介面開放給使用者。包括環境部署、開發框架、執行環境及監控和大資料分析等模組。
環境部署工具包括了整合開發工具,測試工具,協議框架,以及P2P對等網路等內容。
整合開發工具:是用於提供程式開發環境的工具,包括程式碼編輯器、編譯器、偵錯程式和圖形使用者介面等工具,整合了程式碼編寫功能、分析功能、編譯功能、除錯功能等一體化的開發軟體服務元件。
測試工具: 用於測試的工具,包括測試管理等。
協議部署框架: 共識協議部署在鏈上的框架,可插拔設計。
P2P對等網路: 使用者在雲端部署區塊鏈網路節點的工具。
開發框架工具包括了智慧合約的開發與配置,共識協議的開發與配置,API的開發與配置,應用前端的開發與配置等內容。利用平臺提供的開發工具,使用者可對鏈上智慧合約、共識協議、API和前端介面等進行開發。
智慧合約開發與配置: 透過智慧合約可完成交易的條件執行,智慧合約也:是交易上鍊的介面,支援多種主流語言編寫。
共識協議開發與配置: 提供PBFT和RAFT共識演算法,可自主開發共識協議。API開發與配置:介面的開發與配置工具。
應用前端開發與配置: 前端介面的開發與配置工具。
執行環境提供了伺服器環境配置,應用容器,資料訪問,業務規則引擎等功能。
伺服器端環境: 提供針對不同系統的伺服器環境配置方案,使用者可根據需求快速在不同系統中完成部署。
應用容器:鏈碼的容器執行環境配置。
資料訪問: 資料訪問規則,主要功能有增刪改服務、查詢、事務管理、併發等。並且使得底層的資料庫操作對其他層來說是透明的。
執行監控: 透過標準的網路管理協議來遠端監控鏈的執行狀態,提供了多項安全配置建議。
大資料分析: 對鏈上產生的資料進行收集分析。
2.3.業務元件層
業務元件層將區塊鏈作為基礎,包括了區塊鏈公共服務、鏈上應用服務、基礎元件服務和相關服務元件,對業務進行封裝,向上層提供服務。客戶可以直接選擇需要使用的業務模組,定製鏈上業務。
基礎元件服務提供了一系列的模板,例如合約模板、產品模板、許可權控制模板、文件模板、資產模板等,供開發者使用。服務元件則提供了客戶、部門、賬戶、許可權、渠道等功能模組。
2.4. 業務場景層
業務場景層是區塊鏈對外服務的,提供了業務服務元件和介面元件。業務場景層是對業務元件層的進一步封裝, 使用者可以直接選擇業務場景,透過呼叫給定的API或者定製業務場景下的業務元件,直接在需要的業務場景下使用梧桐鏈服務。
業務服務元件中包括了規則的規劃、配置及執行,以及執行區塊鏈的條件及狀態等。介面元件為使用者其他應用提供一個例項化的API介面。
梧桐鏈應用場景
聯盟鏈適合多方參與、需要多方建立信任的場景。多方之間透過區塊鏈的可信資料,提高資訊的透明度和共享度,從而簡化業務模式,降低傳統模式下的信任成本,提高效率。
區塊鏈的應用場景非常廣泛,下面列出基於梧桐鏈的-些典型場景,這些案例在日後將不斷維護更新。希望這些案例可以為讀者開啟思路,基於區塊鏈的去中介化、共享可信賬本的特徵,從建設產業生態的角度,跳出僅從自身的角度去看待問題的思維方式,結合自身的業務場景去發現更多潛在商業機會。
1. 供應鏈金融
1.1.應用背景
金融服務是現代社會經濟活動中必不可少的環節,而且扮演的角色越來越重要,然而現有金融體系非常複雜,面臨資訊不對稱、不完整,甚至是欺詐帶來的巨大風險,因此帶來了金融服務體系更高的信用成本、決策週期,整個流程複雜、冗長、容易出錯。
以大宗商品領域為例,中國作為世界最主要的大宗商品生產國和消費國,在全球大宗商品領域具有舉足輕重的地位,然而隨著全球經濟進入下調週期,違約、騙貸事件頻出,大宗商品的信用危機也逐漸顯現。大宗商品信貸危機頻頻發生,從銅、鋁、鐵礦石等金屬融資,到大豆、棕櫚油等農產品融資;從青島港融資騙貸事件,到天津港融資欺騙案,大宗商品融資的問題不斷暴露,商品重複質押、虛假質押現象頻現,動產質押的風險管理問題開始受到各方的重視和審視,成為金融機構關注的焦點。
因質押物資訊不對稱導致了重複質押、空單質押等風險事件的發生,嚴重挫傷了融資各方的相互信任,誠信經營難保障,倉儲監管成難點;金融秩序被擾亂,銀行貸款壞賬上升,趨向於減少貸款、加速收貸,同時,大宗貨物流通困難,貿易商資金鍊條緊張、貸款更難,經營發展陷入困境。
以鋼鐵產業鏈為例,涉及主要業務角色包括:鋼鐵企業、貿易商、物流商、倉儲企業、金融機構、電商平臺等。由於鋼貿信貸事件的衝擊,導致信用體系的崩潰。鋼鐵行業已經逐漸成為銀行的審慎行業。區塊鏈是指透過去中心化集體維護一個可靠資料庫的技術方案,從技術上保障了供應鏈中難以解決信任機制的問題。透過各方的加入,基於區塊鏈構建供應鏈金融服務平臺必將有效解決供應鏈資產的真實性、可承兌性、防偽性、不可抵賴性,將會對交易、融資產生重要影響。
1.2. 解決方案
面向產業鏈上下游,打造集倉單、增信、交易、金融於一體的,開放式區塊鏈供應鏈生態圈。
構建大宗資產供應鏈金融服務平臺,解決大宗資產的定義、申報、登記、檢驗、增信、背書、出質等核心環節,打通大宗資產的交易及融資的通道。同時:透過“技防+人防”的資產監管體系,實現區塊鏈流轉的數字資產與實物資產的賬實相符。
基於區塊鏈的供應鏈金融服務平臺將提供大宗動產擔保資產權屬登記及公示服務、大宗動產融資服務、大宗資產增信服務和企業數字資產(倉單、提單、應收賬款、票據)金融服務等核心功能,如下圖所示。供應鏈金融平臺將逐步打造成大宗交易及融資的基礎設施。
1.3.影響與意義
區塊鏈技術能有效的解決貨物在倉儲、物流、監管環節的資訊不對稱問題,供應鏈金融服務平臺既為中小微企業提供了便捷有效的融資途徑,也為倉儲企業拓展了業務範圍。融資通道的建立必然要求透過真實、有效、唯一的資產載體,體現明確的質物權屬,並實現對權屬的精細化管理。供應鏈金融服務平臺能進一步促進大宗商品交易及融資信用體系的重塑,促進行業的規範性發展。
2.超級醫療賬本
2.1. 應用背景
2016年6月,國務院辦公廳印發《關於促進和規範健康醫療大資料應用發展的指導意見》,部署透過“網際網路+健康醫療”探索醫療服務新模式。《意見》提出要加強健康醫療大資料保障體系的建設,包括推進網路可信體系的建設和加強健康醫療資料安全保障。這些政策加速推進了電子病歷資訊化建設,圍繞以患者為中心的電子病歷資訊系統建設,努力開展區域衛生資訊平臺建設工作,實現區域內醫療機構的互聯互通和醫療資訊的交換共享,提高區域醫療衛生服務水平和工作效率
現有病患醫療資訊主要儲存於資訊產生機構(醫院或第三方檢測機構),資訊的互通主要透過紙質列印,阻礙了大範圍的大資料資訊價值的挖掘及利用。一些醫療機構為了實現資料互聯互通的高效調閱,採取中心化的儲存方式(雲端)建立了小範圍聯盟性質的資訊共享系統。這種方式雖然在一定程度上提高了資料利用率,但是也對資料安全性提出了挑戰。單一雲端資料庫一旦被攻擊或癱瘓,會造成不可估量的資料損失和資訊洩露問題。
另外,健康醫療資料共享和開放的難點在於健康醫療資料大多數是“能夠識別公民個人身份和涉及公民個人隱私的電子資訊”。這樣的資料一旦開放共享,必然伴隨著個人身份和隱私資訊洩露的風險。醫療健康大資料的共享和應用是政府管理、商業發展和技術創新的需要,但也給個人隱私安全帶來了威脅,這使得醫療領域的大資料共享變成了雙刃劍。如何在共享和開放中做到趨利避害,成為發展健康醫療大資料應用必須克服的關口。
2.2. 解決方案
超級醫療賬本基於區塊鏈的解決方案,建立患者電子病歷調閱系統和個人診療資訊查詢安全保護系統。透過對醫療資訊分級訪問和動態管理,實現向個人開放醫療資訊。
整個方案將包含多個基於區塊鏈技術的子系統。例如,採用區塊鏈技術構建分散式結構體系和參與者共識協議,形成去中心的電子病歷資料庫系統;採用區塊鏈技術建立電子病歷雲端非中心化資料庫呼叫體系,實現資料安全查閱; 建立跨醫院電子醫療資訊患者查詢的測試平臺,實現安全病歷調閱。分析和評估區塊鏈技術在查詢個人醫療資訊時對隱私保護的作用和效果,研究和分析向個人開放醫療資訊的可行性。
超級醫療賬本方案核心功能包括:
1) 構建分散式結構體系和參與者共識協議,形成去中心的電子病歷資料庫系統;
2) 建立電子病歷非雲端、非中心化資料庫呼叫體系;
3) 建立個人查詢醫療資訊時的隱私保護系統;
4) 構建基於區塊鏈技術的電子病歷共享系統上的各項精準延展應用。
2.3.影響與意義
超級醫療解決方案的特色在於藉助區塊鏈技術的不可篡改性、定向金鑰功能及全網儲存全網同步和認證等特點,維護醫療資料的安全性,推動醫療資料共享中信任機制的建設。
醫療資訊數量大,格式複雜,對安全性要求非常高,目前國內缺乏專業的能夠儲存海量醫療資料的平臺和應用模式。企業雲和個人雲平臺能夠滿足普通資料的儲存,但目前仍然難以滿足健康醫療資料的特殊需求,如隱私安全、伺服器效能、執行維護能力等技術要求都需要達到更高階別的標準。
採用區塊鏈技術的超級醫療賬本解決方案將成為醫療機構向個人開放醫療資訊提供重要的底層系統,可為基於區塊鏈技術建立更多醫療大資料系統積累豐富的理論和實踐經驗。
3. 可信電子憑證平臺
3.1.應用背景
電子憑證是指證實業務的各類紙質憑證的電子化,常見的電子憑證主要來源於人們日常的消費支付,主要包括籤購單、繳費賬單、保單、企業小票等。近.年來,我國電子商務發展勢頭明顯,滲透到了每一個金融環節中,憑證電子化也逐漸成為趨勢。雖然電子憑證的出現為政企雙方以及廣大消費者的日常生活帶來極大便利,但是電子資料總會存在易偽造、易篡改、易刪除等問題,如何提高電子憑證的可溯源性,如何提升對電子憑證的收集、保全、審查能力等,實現數字社會的法治化,是社會、國家、企業、個人共同面臨的一個實際問題。
目前,電子憑證都依賴於第三方機構提供的儲存平臺(包括機房儲存、雲端儲存等),基於中心化架構實現,利用自身的信用或者公信力提供電子證據的存證、保全、追溯、驗證等服務。但在經濟利益的驅使下,中心化儲存的電子憑證可能存在被篡改、被刪除、丟失,或者公證機構和當事一方合謀做假等情況。信任問題導致中心化儲存的電子憑證司法效力不強,制約了憑證無紙化的推廣和發展。
3.2. 解決方案
以梧桐鏈作為支撐技術建立聯盟鏈平臺,並提出可信電子憑證解決方案,如下圖所示。該平臺的應用場景可以從電子籤購單逐漸延伸至電子合同、電子發票、電子保單、特定金融憑證和證明等通用的金融業務流程中,甚至可以更大範圍地擴充套件到更多的泛金融領域。從系統參與方來看,不僅包括銀聯、銀行、第三方收單機構、保險等金融機構,還可以納入政府、企業、監管機構等。
平臺實質用於儲存電子憑證雜湊值、時間戳等資訊,經節點共識後寫入聯盟鏈,保障了資訊的開放、透明、公正、安全,形成各參與方對資料的信任,資料實時同步至各節點,業務不會受某單一節點服務的風險影響。主要功能包括:
1)雲端儲存,為企業提供安全、可靠的電子憑證託管服務,為持卡人提供便捷可信的電子憑證查詢途徑。電子憑證上送後,由銀聯等機構按約定演算法計算電子憑證摘要,並在區塊鏈中記錄電子憑證摘要等資訊,返回用於查詢的索引。
2)雲驗證,為企業、持卡人提供校驗電子憑證的服務和方式。使用第三方託管服務的企業在獲取電子憑證後,可與從區塊鏈獲取的電子憑證摘要進行比對,以驗證電子憑證真偽,無須擔心託管模式下的憑證被惡意篡改。
3.3. 影響與意義
區塊鏈技術提供了一種可靠的建立信任的方式,降低了互信成本,使憑證電子化服務變得更可信、更高效、更安全,解決了以下四個問題:
1)能夠有效鑑定電子憑證真偽,無須擔心被惡意篡改或偽造:
2)第三方託管模式能有效降低企業系統建設和運維的成本,而從具有公信力的第三方查詢和獲取電子憑證的方式,為企業及使用者提供了安全可靠的獲取渠道
3)解決資料儲存行業面臨的信任瓶頸,有助於業務開展;
4)以記錄電子憑證摘要、流轉記錄等方式,使得電子憑證可追溯,滿足了業務監管和審查的需求。
未來,網際網路環境將從依賴於權威、制度轉變為逐步依靠技術達成信任,而基於區塊鏈的可信電子憑證應用將使業務參與各方的合法權益得到了真正的保證,有助於徹底實現憑證無紙化。
網址:http://wutongchain.com/
