【51CTO.com原創(chuàng)稿件】前言：商業(yè)活動中，在不涉及貨幣的前提下獲取信任往往是一件相當(dāng)困難的事情。因此市場上也出現(xiàn)了各種各樣的認證機構(gòu)和方法。而在網(wǎng)絡(luò)上，廣義信任的獲取則是數(shù)據(jù)流通領(lǐng)域一個無法回避的話題。為了確定信息的可靠，各類加密算法、認證體系與破解、黑客和攻擊行為一道，進行了長達數(shù)十年“道高一尺、魔高一丈”的較量。而比特幣所使用的區(qū)塊鏈技術(shù)則為這場攻防戰(zhàn)中的守方提供了一個可靠的全新思路。

讓我們來換一種姿勢理解比特幣背后的意義：利用區(qū)塊鏈這一核心技術(shù)，所有參與者依靠網(wǎng)絡(luò)和算力來共同維護一段數(shù)據(jù)的始終可靠，而代幣只是系統(tǒng)給予所有付出算力與網(wǎng)絡(luò)資源的參與者的一種激勵機制。

2008年，中本聰發(fā)表了比特幣白皮書《比特幣：一種點對點的現(xiàn)金支付系統(tǒng)》。2009年1月3日，比特幣網(wǎng)絡(luò)誕生，中本聰本人發(fā)布了開源的第一版比特幣客戶端，比特幣的故事由此開始了。作為比特幣的核心算法機制，區(qū)塊鏈憑借其去中心化、去信任、共同維護及高可靠等特點也終于在比特幣開始流行之后受到了市場的關(guān)注。

經(jīng)過幾年的發(fā)展，利用比特幣算法的思路，很多企業(yè)已經(jīng)在各種領(lǐng)域發(fā)展出了不同特點、不同應(yīng)用的多種區(qū)塊鏈技術(shù)，他們或被開發(fā)用來維護一類數(shù)據(jù)的可靠、可追溯，或被開發(fā)用來單純的發(fā)幣，無數(shù)企業(yè)懷揣不同目的進入了這個領(lǐng)域，也造就了這一領(lǐng)域的飛速發(fā)展和無數(shù)一夜暴富的神話。而圍繞區(qū)塊鏈技術(shù)的不同應(yīng)用方向，這一領(lǐng)域也形成風(fēng)格各不相同的兩個圈子——幣圈和鏈圈。

鏈圈中的高峰對話

但拋開魚龍混雜、亂象叢生的幣圈。在鏈圈中耕耘的企業(yè)往往對區(qū)塊鏈技術(shù)本身有著更為深刻的執(zhí)念，他們堅信這種新的數(shù)據(jù)流通體系能夠創(chuàng)造出一個更可信、更安全的網(wǎng)絡(luò)環(huán)境。與幣圈所關(guān)注的“如何一夜暴富”不同，主要由技術(shù)宅、極客型公司和大企業(yè)前沿部門組成的鏈圈似乎對區(qū)塊鏈真正的商業(yè)化應(yīng)用及其技術(shù)發(fā)展方向更感興趣。而當(dāng)這群鏈圈大咖聚在一起的時候，一場干貨滿滿的技術(shù)盛宴便會上演。2018年5月15日，在第四屆Think in Cloud大會上，一場名為“深入BlockChain，區(qū)塊鏈安全應(yīng)用落地實踐”的專題討論會就是這樣一場區(qū)塊鏈的技術(shù)饕餮。

在本次區(qū)塊鏈專場中，UCloud安全中心負責(zé)人、高級總監(jiān)宗澤，智鏈ChainNova CEO董寧，上海交通大學(xué)副教授夏虞斌，Intel中國安全辦公室資深安全解決方案架構(gòu)師王立剛，中國人民保險集團總部業(yè)務(wù)主管李赫，Blockshine博聚科技高級區(qū)塊鏈工程師孟祥熙等來自區(qū)塊鏈上下游、產(chǎn)學(xué)研用等多個領(lǐng)域的專家齊聚一堂，就區(qū)塊鏈場景化應(yīng)用以及安全機制等方面的議題開展了多場專題演講。

區(qū)塊鏈的商業(yè)模式與技術(shù)平臺

作為本次區(qū)塊鏈專題論壇的開場，智鏈ChainNova CEO董寧分享了關(guān)于區(qū)塊鏈商業(yè)模式的獨到見解，而這顯然也是廣大與會者最為關(guān)心的問題。

雖然董寧以智鏈CEO的身份開始了演講，但在商人身份的背后，董寧還擁有北京大學(xué)新一代信息技術(shù)研究院金融科技研究中心主任、工信部通信院“可信區(qū)塊鏈”副理事長、國際電聯(lián)分布式賬本技術(shù)焦點組Champion、Linux基金會Hyperledger超級賬本技術(shù)大使等多重身份。 

Gartner2017新技術(shù)成熟度曲線

一開場，董寧就為所有與會者潑了一盆“冷水”：根據(jù)Gartner公布的2017新技術(shù)成熟度曲線，目前區(qū)塊鏈技術(shù)正處在期望膨脹期的末端。而這意味著區(qū)塊鏈技術(shù)的發(fā)展即將進入之后的幻滅期。雖然在幻滅期中，很多技術(shù)分支會被市場遺忘，很多企業(yè)會退出這一領(lǐng)域；但隨之而來的成熟期將使區(qū)塊鏈迎來新生。

而就現(xiàn)階段來講，區(qū)塊鏈的三種形式——公鏈、聯(lián)盟鏈和私鏈中，最有商業(yè)前景的仍然是聯(lián)盟鏈。首先，公鏈效率太低，且去中心化的結(jié)構(gòu)也與很多政府機構(gòu)強調(diào)監(jiān)管和控制的初衷不符。而私鏈的應(yīng)用又太小，無法獲得足夠廣闊的商業(yè)模式和市場認可。因此，聯(lián)盟鏈是目前區(qū)塊鏈商業(yè)落地中比較符合實際的選擇；而事實上，目前能夠落地的大多數(shù)區(qū)塊鏈也都屬于聯(lián)盟鏈這一范疇。

而在確定一個區(qū)塊鏈產(chǎn)品是否具備落地能力之前，區(qū)塊鏈公司更多應(yīng)該考慮兩點：一是區(qū)塊鏈產(chǎn)品是否能夠幫助用戶提升生產(chǎn)效率、優(yōu)化業(yè)務(wù)流程；二是區(qū)塊鏈產(chǎn)品是否能夠幫助企業(yè)壓縮生產(chǎn)流程中所產(chǎn)生的成本。

如果能夠做到這兩點，那么這個區(qū)塊鏈的產(chǎn)品才是有可能落地的，對應(yīng)的企業(yè)才有可能挨過區(qū)塊鏈技術(shù)的幻滅期。

區(qū)塊鏈+IoT，驅(qū)動未來社會

在對區(qū)塊鏈的整體商業(yè)模式進行展望之后，區(qū)塊鏈技術(shù)及產(chǎn)品的具體落地就成為了與會者最關(guān)心的議題。在本次區(qū)塊鏈技術(shù)專題論壇中，Blockshine博聚科技高級區(qū)塊鏈工程師孟祥熙也分享了自己在物聯(lián)網(wǎng)+區(qū)塊鏈這一商業(yè)模式中的一些思索和成功經(jīng)驗。 

[[229746]]

眾所周知，在未來的物聯(lián)網(wǎng)世界，越來越多的設(shè)備都會與網(wǎng)絡(luò)連接。而這些設(shè)備除了會在網(wǎng)絡(luò)上接受控制指令，更會產(chǎn)生海量的數(shù)據(jù)。而這些數(shù)據(jù)對于大數(shù)據(jù)分析、深度學(xué)習(xí)研究以及商業(yè)流程的優(yōu)化等領(lǐng)域來說都是非常寶貴的，是值得被交易的。既然這些數(shù)據(jù)有巨大的價值，且能夠被交易；那么如何保證這些被交易的物聯(lián)網(wǎng)數(shù)據(jù)是真實有效的呢？此時，區(qū)塊鏈的價值就凸顯出來了。

孟祥熙表示：區(qū)塊鏈可以保證數(shù)據(jù)的真實、不可篡改和可追溯。而未來，隨著區(qū)塊鏈存儲性能的提升，物聯(lián)網(wǎng)的所有數(shù)據(jù)都可以用區(qū)塊鏈的形式來存儲，保證所有數(shù)據(jù)來源真實，去向可追溯。這對數(shù)據(jù)的確權(quán)、數(shù)據(jù)收益的分配均有重大意義。也只有這些問題被解決之后，物聯(lián)網(wǎng)以及數(shù)據(jù)的價值才能被真正的體現(xiàn)。

目前，已經(jīng)有很多區(qū)塊鏈產(chǎn)品遵循這一商業(yè)邏輯實現(xiàn)了落地，在農(nóng)業(yè)、保險等領(lǐng)域發(fā)揮著自己的作用，成為整個物聯(lián)網(wǎng)、區(qū)塊鏈產(chǎn)業(yè)落地應(yīng)用的燈塔。

區(qū)塊鏈在保險行業(yè)的應(yīng)用思考

當(dāng)然，除了物聯(lián)網(wǎng)之外，區(qū)塊鏈技術(shù)本身的金融屬性使其目前更容易被金融企業(yè)以及其他企業(yè)的金融屬性部分所采用。但從很多金融企業(yè)的視角來看，目前區(qū)塊鏈技術(shù)的應(yīng)用價值卻是存疑的。

對此，中國人民保險集團總部業(yè)務(wù)主管李赫直言不諱：首先，區(qū)塊鏈及智能合約能實現(xiàn)的功能和及其可靠性，現(xiàn)有的IT系統(tǒng)都能實現(xiàn)。而區(qū)塊鏈只不過是去掉了其中的中介機構(gòu)。其次，區(qū)塊鏈所實現(xiàn)的并不是業(yè)務(wù)性能的提升，而是業(yè)務(wù)模式的改變。相反的，區(qū)塊鏈不僅不能提升性能，從目前的區(qū)塊鏈效率來看，區(qū)塊鏈的性能與傳統(tǒng)架構(gòu)相比甚至是大幅度下降的。而更重要的一點則在于區(qū)塊鏈只能保證鏈內(nèi)生成信息的可信性，對于生成于鏈外的信息的可靠性，區(qū)塊鏈無能為力。最后，區(qū)塊鏈本身并不能直接作用于實體經(jīng)濟。

雖然從這些區(qū)塊鏈的短板來看，這種技術(shù)并不具備改變世界的能力。但金融類企業(yè)仍然可以利用區(qū)塊鏈的特點實現(xiàn)業(yè)務(wù)模式的轉(zhuǎn)變，從而達到業(yè)務(wù)進化的目的。

例如在車險信息共享領(lǐng)域，保險行業(yè)內(nèi)部會有一個公共的車險信息平臺，這一平臺會記錄不同公司、不同用戶的投保情況和出險記錄，供業(yè)內(nèi)企業(yè)進行查詢。由于這些信息的公開，最終導(dǎo)致各家企業(yè)的成本趨同，而最終車險的價格也會趨同。

而在區(qū)塊鏈技術(shù)的幫助下，行業(yè)協(xié)會便不用花費高額費用來建立和維護這種行業(yè)內(nèi)部的公共平臺。每個用戶只需將自己的信息通過區(qū)塊鏈貢獻出來，保險公司也把自己的信息貢獻出來，同樣可以形成一個可信的、包含所有數(shù)據(jù)的公共查詢平臺。從而降低了整個行業(yè)的業(yè)務(wù)成本，用戶也能通過這一業(yè)務(wù)模式的轉(zhuǎn)變而獲得保費降低的紅利。

雖然區(qū)塊鏈目前還面臨著多種問題，但金融行業(yè)已經(jīng)開始基于區(qū)塊鏈的特點，開始嘗試多種業(yè)務(wù)模式的更新和進化。

區(qū)塊鏈及數(shù)字貨幣的安全

作為一種以金融及其相關(guān)領(lǐng)域為主攻方向的技術(shù)，安全始終是所有區(qū)塊鏈的用戶最關(guān)心的。雖然所有的區(qū)塊鏈技術(shù)都號稱安全、可追溯，但從目前的情況來看，區(qū)塊鏈的安全形勢卻并不樂觀。 

[[229747]]

UCloud安全中心負責(zé)人、高級總監(jiān)宗澤發(fā)表演講

對此，UCloud安全中心負責(zé)人、高級總監(jiān)宗澤表示：截至到2018年4月，從公開信息渠道能夠確認的針對交易平臺和礦場的盜幣行為已經(jīng)造成了超過8.4億美元的損失。而這其中，發(fā)生在2018年的損失金額就已經(jīng)達到了5億美元。 

[[229748]]

Coincheck因漏洞被攻擊后網(wǎng)站負責(zé)人向公眾道歉

另一方面，越來越多的黑客也開始將手中掌握的僵尸網(wǎng)絡(luò)直接用于挖礦，而非過去的DDOS攻擊。通過盜取被木馬感染的肉雞的計算資源，黑客可以更快速、更隱蔽的直接獲取經(jīng)濟利益。而且由于代幣交易的匿名性質(zhì)，這種行為更難被追責(zé)或起訴。相對于DDOS攻擊的高風(fēng)險，這種盜竊計算資源用以挖礦的手段顯然“利潤更高、更安全”。

對此，宗澤表示：目前，僅UCloud平臺檢測到的挖礦木馬及其變種就已經(jīng)超過了30個。以感染率較高的ddg木馬為例，僅目前能夠追查到的3個電子錢包地址就已經(jīng)出售了90-100萬美元的比特幣。而這些贓款所對應(yīng)的比特幣全部由被木馬所控制的肉雞挖礦所得。當(dāng)然，ddg木馬應(yīng)該還有更多未被發(fā)現(xiàn)的電子錢包地址。除此之外，一些網(wǎng)站、甚至WiFi路由都可能被黑客攻陷并掛載挖礦腳本，讓訪問這些網(wǎng)站和連接這些WiFi的設(shè)備成為黑客們攫取利潤的工具。

造成這一切的原因非常簡單：雖然區(qū)塊鏈技術(shù)所使用的算法和架構(gòu)本身相對很安全，但圍繞在區(qū)塊鏈周邊的交易平臺、礦場以及電子錢包等應(yīng)用卻仍舊缺乏有效的保護，以至于黑客依然有很多可乘之機。而敏銳的黑客們也嗅到了電子代幣生態(tài)圈所蘊含的價值，正在瘋狂開發(fā)各種手段來實現(xiàn)盜竊計算資源和用戶代幣的目的。

目前，針對代幣領(lǐng)域，已經(jīng)發(fā)現(xiàn)的攻擊手段包括以下幾種：木馬控制肉雞挖礦、利用交易平臺網(wǎng)站漏洞盜幣、利用電子錢包漏洞盜幣、劫持交易平臺或電子錢包域名盜幣、面向交易平臺員工的釣魚以獲取權(quán)限等幾種。而除此之外，黑客們還開發(fā)出了一些更具威脅性的攻擊手段，而這些攻擊手段甚至已經(jīng)嚴重威脅到了區(qū)塊鏈最核心的節(jié)點通訊機制。 

[[229749]]

日食攻擊示意圖

2018年，研究者們發(fā)現(xiàn)，黑客可以通過一種名為日食攻擊的方式將區(qū)塊鏈中的節(jié)點與其他節(jié)點進行隔離。利用網(wǎng)絡(luò)層上持續(xù)不斷的攻擊，黑客可以霸占受害節(jié)點與區(qū)塊鏈中其他P2P節(jié)點之間的通訊連接，從而將節(jié)點隔離在一個封閉的網(wǎng)絡(luò)環(huán)境中。而一旦被隔離的節(jié)點超過一定數(shù)量，整個區(qū)塊鏈的數(shù)據(jù)一致性就會徹底崩盤，進而給攻擊者留下重復(fù)支付的空間。如果這種攻擊方法被黑客廣泛采用，那么區(qū)塊鏈得以存在和發(fā)展的基礎(chǔ)將不復(fù)存在，后果不堪設(shè)想。

作為網(wǎng)絡(luò)數(shù)據(jù)可信流通的一種全新思路，區(qū)塊鏈的誕生能夠讓數(shù)據(jù)變得更可靠，并降低可信認證的成本。但因為區(qū)塊鏈技術(shù)本身的稚嫩以及周邊生態(tài)環(huán)境的惡劣，目前的區(qū)塊鏈和代幣市場仍舊充滿了各式各樣的安全威脅。網(wǎng)絡(luò)攻防“道高一尺、魔高一丈”的現(xiàn)狀仍沒有得到根本性的改變，網(wǎng)絡(luò)安全仍舊任重而道遠。

那么，在現(xiàn)階段如何才能最大限度的提升區(qū)塊鏈落地應(yīng)用的安全性呢？答案其實很簡單：上云！

安全屋——數(shù)據(jù)的可信流通平臺

作為國內(nèi)中立云服務(wù)提供商的代表，UCloud在安全方面的投入及研究始終保持領(lǐng)先。而在數(shù)據(jù)流通的安全機制方面，UCloud更是與國內(nèi)領(lǐng)先的上海交通大學(xué)合作，推出了TEE+安全屋的全新解決方案。對此，上海交通大學(xué)副教授夏虞斌也在本次區(qū)塊鏈安全應(yīng)用專題討論中做了詳細介紹。 

[[229750]]

上海交通大學(xué)副教授夏虞斌發(fā)表演講

夏虞斌表示：在傳統(tǒng)的云平臺上，數(shù)據(jù)雖然可以被加密存儲，但其在流通環(huán)節(jié)中卻很難做到加密。內(nèi)存、網(wǎng)卡、總線、CPU以及虛擬化平臺層中的數(shù)據(jù)很可能都以明文方式存在和傳輸，這就使得數(shù)據(jù)安全很難得到根本上的保證。

因此，在云平臺上的數(shù)據(jù)提供方和算法提供方（數(shù)據(jù)使用方）之間很難達成真正的信任。雙方之間的任何合作都只能建立在對云平臺的安全依賴上。這種依賴需要基于五種假設(shè)：所有管理員均可信、攻擊者無法接觸硬件設(shè)備、云端軟件設(shè)計均為安全的、云端硬件均為安全的、云端CPU是安全的。而且這五種假設(shè)必須同時成立，云端數(shù)據(jù)的流通才能真正做到安全。但顯而易見的是，在多數(shù)情況下，這些假設(shè)是無法同時成立的。

基于安全處理器的系統(tǒng)及平臺

而UCloud所推出的安全屋平臺則可以通過軟件+硬件的方法讓內(nèi)存、網(wǎng)卡、總線、虛擬化平臺層中流通的數(shù)據(jù)均以加密形式存在，將未經(jīng)授權(quán)的數(shù)據(jù)使用和拷貝情況降至最低。同時，利用新一代處理器所擁有的安全黑箱機制，保證在CPU中明文數(shù)據(jù)的處理能夠在一個物理隔離的黑箱中完成；從而徹底杜絕數(shù)據(jù)泄露的風(fēng)險。

通過這一解決方案，數(shù)據(jù)提供方與數(shù)據(jù)的眾多使用方之間可以建立起以技術(shù)為保障的完全信任，為數(shù)據(jù)的商業(yè)化提供強大保障，進而推動以數(shù)據(jù)為基礎(chǔ)的全新商業(yè)模式的出現(xiàn)。當(dāng)然，這一技術(shù)對區(qū)塊鏈的部署以及運行在云端的交易平臺同樣有效。同時，UCloud在云平臺整體安全性上的多重技術(shù)保障亦能讓區(qū)塊鏈及周邊應(yīng)用生態(tài)獲得更可靠的安全運行環(huán)境。

區(qū)塊鏈的未來仍舊充滿光明

在本次Think in Cloud大會的區(qū)塊鏈安全應(yīng)用落地時間專題論壇中，參與演講的多位嘉賓不僅探討了區(qū)塊鏈技術(shù)的商業(yè)模式以及在不同行業(yè)中的應(yīng)用現(xiàn)狀，更詳細地剖析了區(qū)塊鏈作為一種可信技術(shù)目前所面臨的各種實際安全威脅以及對應(yīng)的解決方案。

坦率地說，區(qū)塊鏈技術(shù)目前仍舊處在相當(dāng)稚嫩的階段，而且能夠?qū)崿F(xiàn)商業(yè)或落地的場景也十分有限，但其前景仍舊是充滿光明和希望的。另一方面，區(qū)塊鏈本身及其周邊生態(tài)雖然面臨著多種安全風(fēng)險，但與之相對應(yīng)的解決方法也同樣存在。而隨著技術(shù)的進步，區(qū)塊鏈本身的安全性以及能夠為其可信性提供支持的各種解決方案將會更加成熟。屆時，區(qū)塊鏈技術(shù)將會迎來真正的成熟期，其商業(yè)化前景也將更加廣泛。 

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】