《安全高效可信互联——工行区块链创新平台10介绍》由会员分享,可在线阅读,更多相关《安全高效可信互联——工行区块链创新平台10介绍(4页珍藏版)》请在金锄头文库上搜索。
1、安全高效,可信互联工行区块链创新平台1.0介绍作者:万涛 邱玉华来源:中国金融电脑 2018年第4期区块链作为一种新兴技术,正在推动信息互联网向价值互联网转化。2017 年第四季度,中 国工商银行(以下简称“工行”)软件开发中心区块链与生物识别创新实验室(以下简称“实 验室”)以“自主研发,兼容并蓄”为原则,研究出工行首个自主可控的区块链1.0 平台,平 台具有安全高效、可信互联的特点。它自诞生之日起就瞄准企业级产品化运营能力,具备快速 构建上层应用业务的能力,能满足大规模用户数量的应用场景。工行区块链平台1.0 的核心价 值在于构建可信任的多中心体系,成为构建价值互联网的基础设施,本文主要从
2、产品架构、技 术特色与优势、应用前景等方面介绍工行区块链平台产品。一、工行区块链平台产品架构工行区块链平台可支持在应用平台云PaaS上部署,整个区块链平台在技术架构上划分为 区块层、合约层、交易层3 层结构,彼此相对独立(如图1 所示)。交易层:向应用层提供接入服务、CA安全认证、消息服务、流量控制等集成支撑框架功能。合约层:面向交易层提供基于Docker容器的智能合约动态管理,交易执行的可靠性控制 机制以及交易请求的同异步转换机制。区块层:提供区块链核心技术功能,集成国密算法、可插拔的共识算法管理。基础设施层:提供区块链基础服务。配套工具:各种产品支持工具,提供开发、测试、部署、运维的全生命
3、周期配套工具。工行区块链平台在外部对接方式上支持互联网直联、API接口互联、通讯前置互联、跨链 互联等多种接入方式,实现与合作方的数据传递。1工析粧華催翠祥巾心严二、工行区块链平台的技术特色和优势1. 三级多维度的高安全体系工行区块链平台打造企业级系统安全体系,提供可靠的企业级数据安全、用户隐私和交易 匿名、权限控制及数据隔离机制。节点须以用户身份登录,经授权才可加入网络,所有交易信 息须经数字签名才可记录在链上。工行区块链平台根据用户身份对链上数据进行加密,确保仅有经授权的节点才可访问链上 数据,实现链上数据的访问隔离。平台采用报文防重检查降低交易重复提交概率,通过交易限 流控制、柔性处理等
4、措施进行流量管控。同时,开展日志监控审计确保交易的安全。三级多维 度安全控制体系如图2 所示。接入安全:借鉴开放平台系统的安全控制机制,扩展实现了 REST协议双向CA接入控制的 安全控制功能,确保所有加入网络的节点须经过SSL的双向CA授权认证,且所有登录系统的 用户需经过身份认证才可访问内部数据。访问控制:设计基于区块链的用户访问控制机制,扩展实现了用户角色及权限控制功能, 赋予不同的角色不同的操作权限,根据用户访问权限矩阵严格控制不同用户角色对系统的访问 权限,保障数据访问的安全。交易安全:工行区块链支持交易匿名证书TCert颁发,区块链上每一笔交易都使用匿名 TCert 来进行签名,区
5、块链系统能验证交易的正确性及防篡改,同时保证了用户交易的隐私性 及匿名性。采用报文防重检查机制控制交易的重复提交,通过交易的限流控制,柔性处理等措 施进行流量管控,大幅提高了系统的安全性。数据安全:为满足国家对金融机构安全控制的需要,工行区块链平台引入了国密非对称加 密算法SM2、对称国密算法SM4以及哈希函数SM3的支持,完成整个区块链技术平台在数据签 名存储、传输及校验等环节对数据的安全控制,保证业务请求数据在传输及存储时防抵赖及防 篡改功能。同时对于用户信息存储按照机构、角色、用户等划分具体的访问控制权限控制,实 现用户加密数据在区块链内部的逻辑隔离,非授权用户无法访问存储在本地的加密后
6、的数据, 从而保障各个机构及用户角色之间的数据访问安全性。监控系统:实验室研发了针对区块链特色的监控系统平台,将区块链的运行环境及内部运 行情况纳入生产监控管理,实现区块链网络节点状态、区块高度、性能容量等监控预警。2. 高性能的处理机制双通道技术机制:工行区块链平台双通道技术机制将交易数据流及共识数据流进行分离, 实现交易请求接入/ 返回、心跳检测、数据同步、视图切换等低频数据流和拜占庭共识数据流 隔离,并使用不同的消息通道进行处理,大大提升了系统处理能力。异步转同步处理机制:在业界通用的区块链处理机制中,对于前端提交的联机交易请求都 需要进行联机转批量的处理,应用层需通过轮询的机制实现对异
7、步处理结果的确认。工行区块 链平台引入异步转同步处理机制,实现区块链中交易处理结果实时返回,相对于轮询机制对于 交易处理结果的应答及时性可从秒级提高到毫秒级精简架构流程:优化交易请求处理流程,将 NVP到VP节点之间的短连接调整为API接口调用方式,实现模板与模块之间的API调用,使 得系统TPS进一步提升。3. 高便捷的研发支撑技术智能合约多语言支持:为降低开发人员编程语言学习成本以及各个应用接入区块链技术平 台的门槛,促进便捷研发,区块链平台应用持续集成开发框架,提供多种编程语言智能合约支 持,包括JAVA、GO以及工行区块链平台的接入SDK、JAVA的智能合约编程工具和单元测试工 具,实
8、现智能合约的自动化构建管道,上层应用可轻松接入区块链,并可跨平台地快速开发、 部署以及持续集成测试。全流程图形化支持:实验室通过优化IDE,实现智能合约的开发、调试、联调、部署的一 体化的图像集成开发环境,常用功能的拖拉拽式开发,大大节省智能合约编写的门槛。持续集成支持:实验室通过重构和模拟底层接口类,完成测试用例的持久化和持续集成, 实现智能合约的自动化构建管道。通过抽象和模拟底层工行区块链平台接口类,实现智能合约 脱离Docker容器即可编译执行。4. 易扩展的可插拔技术跨链对接互访技术:目前通过体系外的业务应用层的API接口也可实现跨链数据访问,但 存在数据容易篡改,事务完整性难以保证,
9、区块生成后无法回滚等难题。实验室研究跨链技术,实现多个同/ 异构区块链的互联互通,共识管理及数据交换处理等 功能。云平台支持:把区块链平台纳入PaaS云平台管理,实现区块链节点间的集中监控,按需 分配资源。可插拔数据存储:通过构建数据访问层,支持多种可插拔数据存储架构,如关系型数据库 非关系型数据库KV云存储等多种海量存储方式。三、工行区块链金融创新实践工行积极探索区块链技术在公益扶贫、金融产品交易、见证服务等领域的应用创新,力争 用最好的技术、持续提升的服务创建金融科技新生态。金融产品交易平台以账户贵金属产品为切入点,支持不同机构加入联盟,共建金融产品交 易二级市场,为注册客户提供金融产品买
10、卖、转让及赠送等服务,支持客户与商家或个人直接 完成产品买卖。支持联盟链方式引入合作伙伴,形成开放性的金融资产交易平台,拓宽客户的 投融资渠道,打造金融资产交易平台生态圈。提高理财产品、贵金属、大额存单等资产的流动 性,拓展中间业务收入来源。工行脱贫攻坚基金区块链管理平台以区块链技术为基础,通过制定对接的接入标准和规范, 对外提供标准的接入和金融业务服务,实现脱贫基金的资金划拨管理、投后管理等功能,确保 资金划拨管理上链,使资金审批每个步骤都有迹可循,这让政府管理部门和银行机构自动加入 监管之中,使得整个审批过程真正透明,消除腐败滋生的可能。该项目于 2017 年5 月 16 日 顺利投产,随
11、着第一笔扶贫资金通过新的管理平台顺利拨付到位,标志着新的基金管理模式正 式投入使用,新的管理模式在扶贫工作管理上取得较好的成效。四、应用前景商业模式决定了区块链技术能发挥的作用,区块链技术丰富了商业模式的选择。工行区块 链平台 1.0 提供了高安全、高性能、高便捷、易扩展的区块链应用基础平台,通过此平台,各 领域的合作伙伴可以快速搭建上层区块链应用,帮助企业将精力聚焦在业务本身和商业模式的 运营上,形成一个“各尽其职、各取所需、共同成长”的商业生态,让用户、商户、机构在多 样化的应用场景中受益。后续,实验室将继续吸收业界其他区块链平台的优秀思想,把区块链与人工智能、大数据 生物识别等新兴技术融合,打造一个更加开放灵活、兼容并蓄、安全稳定、性能高效、部署便 捷的企业级区块链平台。
