木星链 木星链
Ctrl+D收藏木星链
首页 > DYDX > 正文

区块链:北大教授陈钟:关于央行《规范》中的智能合约及基础软硬件安全解读

作者:

时间:1900/1/1 0:00:00

本文来源:金融自动化

作者:北京大学信息科学技术学院教授、区块链研究中心主任?陈钟

2020年2月5日,中国人民银行正式发布《金融分布式账本技术安全规范》金融行业标准。《规范》的发布,能有效引导金融科技领域的所有机构加强行业自律,落实安全责任,推动分布式账本科技的有序发展。本文重点对《规范》中的智能合约及基础软硬件安全进行解读。

智能合约

1.概述。智能合约是以信息化方式传播、验证或执行合同的计算机协议。其在分布式账本上体现为可自动执行的计算机程序。

智能合约概念最早在1994年由学者NickSzabo提出,最初被定义为一套以数字形式定义的承诺。区块链技术的出现重新定义了智能合约。智能合约是区块链的核心构成要素,是由事件驱动的、具有状态的、运行在可复制的共享区块链数据账本上的计算机程序,能够主动或被动地实现数据处理、接受、储存和发送等价值,以及控制和管理各类链上智能资产等功能。可以说智能合约是分布式账本技术区别于传统信息化技术最重要的标志之一。

声音 | 北大教授肖耿:随着区块链、数字监管技术不断成熟,离岸城市群已经不需要物理的边界:“2019新华网思客年会”23日在广州举行。香港国际金融学会会长、北京大学汇丰商学院教授肖耿表示,过去40年中国经济取得巨大成就,一个重要原因就是中国融入了全球供应链。未来40年最重要的挑战是怎么样能够和谐地融入全球经济金融体系,其中很重要的一个抓手是建设一批离岸城市群。“离岸经济为什么重要?因为我们需要跟全球联通。随着5G、区块链、数字监管技术不断成熟,离岸城市群已经不需要物理的边界。[2019/11/24]

智能合约的运作机理如图1所示,智能合约经各方签署后,以程序代码的形式附着在区块链数据上,经P2P网络传播和节点验证后记入区块链的特定区块中。智能合约封装了预定义的若干状态及转换规则、触发合约执行的情景、特定情景下的应对行动等。区块链可实时监控智能合约的状态,并通过核查外部数据源、确认满足特定触发条件后激活并执行合约。

声音 | 北大教授刘晓蕾:数字货币试点推出宜早不宜迟:据中国证券报消息,北大光华管理学院金融系教授刘晓蕾表示,目前整个数字资产发展尚不成熟。数字货币的推出、试运行及完善都需要时间。我国数字货币的设计计划采取双层运营体系,商业银行和央行的协作尤为重要。这些都需要试点和相当长一段时间的磨合及试运行,才能不断完善。数字资产定价权之争虽然还未来到,但应未雨绸缪,尽快推出人民币数字货币试点。[2019/8/20]

图1????智能合约运行原理

相信在未来的数字经济中,几乎所有的契约型的约定都可以利用智能合约,将业务逻辑以代码的形式实现、编译并部署,完成既定规则的条件触发和自动执行,可以保障所有约定的可靠执行,避免篡改、抵赖和违约。

从智能合约的概念提出,到现在开始进行规模化应用,我们可以看到智能合约的执行离不开以基础软件和基础硬件为核心构建的可信执行环境。考虑到金融场景的高可靠性要求,在《规范》中,明确要求了“智能合约宜在可信的软件/硬件支持的环境中执行”。

声音 | 北大教授徐远:关于区块链技术需思考的四个问题:据财新网消息,2018年9月23日北大数字金融中心“区块链理论与应用”讨论班第一次课上,北大国家发展研究院金融学副教授徐远指出,关于区块链技术需思考四个问题:区块链技术和现有数据库技术,如何比较,孰优孰劣?区块链技术的瓶颈在哪里?数据库技术是一种线上技术,它和线下场景怎么结合?在什么样的场景下可以得到比较好的应用,比较安全有效?[2018/9/26]

2.基于基础软硬件的可信执行环境。基础软硬件为上层提供物理资源和计算驱动,是分布式账本系统的基础支持。通过基础软硬件为智能合约提供可信执行环境(TrustedExecutionEnvironment,简称TEE)是当前相对安全有效的智能合约运行安全的保护方式。

TEE通过处理器上的安全区域提供了与常规操作系统隔离的计算环境,保证TEE中的计算不受常规操作系统的影响,进而保证加载到TEE中的代码和数据的机密性和完整性。TEE还能够对运行的程序及结果出具远程证明,因此其他用户不需要重新运行程序,只需验证远程证明的真实性和有效性即可确认在TEE中运行的程序及其结果的正确性。由于智能合约的计算在可信执行环境中完成,因此运行时数据不会被泄露。对于需要保密的账本数据,明文仅在运行时可见,并且通过密钥管理组件存储密钥,因此数据不会被任何非授权用户获取。在充分保护数据隐私的基础上,数据所有者仍然可以通过“函数级”授权,允许其他用户通过调用指定的智能合约使用数据并保留使用记录。

北大教授蔡剑:区块链技术不改造可能会失效:近日北京大学光华管理学院管理实践教授蔡剑表示,现有的区块链技术如果不改造可能就会失效,很容易被解构和重构,也将可以做假。对区块链和比特币的争论把一个好的技术和一个代币等同起来,是有问题的。区块链这种技术的价值是需要整个社会体系里面在区块链之上有一个社会货币定价的准则。[2018/3/16]

《规范》也提到了“系统宜有针对不同操作系统的软件版本,宜支持三种及以上的操作系统或系统版本”,“应保证不同节点使用的硬件设备具备一定的异构性”,这些要求都对分布式账本的大规模应用提出了新的挑战。

产业界有各种不同的可信执行环境实现形态,有的是基于芯片的实现形态,有的是基于软件的实现形态,不管形式如何变化,我们看到:隔离机制、算力共享、业务开放都是其具备的共同特点。不同的TEE环境之间如何实现一致和协同,是后续要重点关注的问题。

3.智能合约安全。智能合约未来拥有极为广阔的应用场景,但它本质是一段程序,不可避免地存在漏洞,且其漏洞能够直接转化为经济利益。自2013年以太坊诞生以来,智能合约的安全问题日渐得到重视。从TheDAO安全事件到BEC的BatchOverFlow,因智能合约漏洞直接或间接导致了上亿美元的经济财产损失(如图2所示)。

北大教授蔡剑:“人民币+区块链”未来有望超越比特币:北大教授教授蔡剑日前参加了清华大学加密经济学研讨会,他在会上表示,“人民币+区块链”未来有可能超越比特币,不希望区块链重复p2p和互联网的泡沫。他指出,泡沫是一定会产生的,只有等泡沫破灭价值才会显露。此外,监管也是一个技术问题,要考虑监管成本和监管回报,只有当监管回报大于监管成本,监管才有效益。目前还没有出现创造巨大财富的区块链企业。[2018/3/11]

图2????智能合约安全事件造成的经济损失(万美元)

《规范》中对智能合约自身的安全性提出了一系列的要求,比如:“智能合约的执行应有原子性,支持执行过程中发生错误时的回滚操作。一旦出现异常,所有的执行应被回撤,以避免中间态导致数据不一致”。通过TEE保护的数据在一个智能合约的计算过程中不应被泄露,用户仅能在一个智能合约完成运行后才能获得计算结果。

在金融场景中,存在着大量的既有信息系统和数据库,仅计算链上数据的智能合约不能完全满足需求,在许多业务场景下,智能合约不得不与链下数据或信息系统进行交互。但是智能合约与链下的数据交换会破坏智能合约计算的原子性,因此可能造成区块链上受保护数据的隐私泄露。在需要与链下交互的智能合约中,除不安全区间外,其他区间在各自区间内的计算都应保证其原子性。

《规范》中也规定了“智能合约应经过相关专业技术人员的审计,并保留审计记录”。一般情况下,区块链上的所有用户都可以看到基于区块链的智能合约,这会导致包括安全漏洞在内的所有漏洞都可见,并且可能无法迅速修复。

所以,要在合约上线之前对安全性进行审计和分析,将函数之间的依赖关系、调用关系抽取出来,提取各个数据流的前后流向关系等关联信息。综合这些信息来探知函数内部是否存在异常行为、内存结构是否被破坏、控制流是否进入非法边界,从而审计合约是否存在安全威胁。

展?望

在金融业务模式中,风险突出表现为三点:现有监管能力无法实时有效获取人员、交易、资金数据导致的数据不可控风险;交易自身真实性不明和是否有风险导致的场景不可知风险;不符合已有金融法规或处于模糊、灰色地带的规范不完备风险。

分布式账本技术与金融的融合发展当前仍处于相对初步的阶段,在技术成熟度、自主创新度、场景契合度以及制度规则完备程度等方面还面临一些实际挑战,本《规范》是为了落实《中国金融业信息技术“十三五”发展规划》140号文印发)和《金融科技)》209号文印发)的要求,规范分布式账本技术在金融领域的应用,提升分布式账本技术的信息安全保障能力而编制,可以说恰逢其时。

我们看到,金融科技的高速发展降低了企业从事金融业务的门槛,但金融科技企业普遍内控机制薄弱、消费者权益保护存在不足、信息不透明、监管难度大。同时,金融科技打破风险传导的时空限制,使得风险传播速度更快。金融产品交叉性和关联性不断增强,风险难以识别,风险隐蔽性更大,传统监管措施很难奏效。

为了防范金融创新引发的风险,监管部门坚持“凡是金融活动都应纳入监管”的原则,提出了更多合规要求,客观上也增加了金融机构合规成本。

随着《规范》的推出,在统一了安全要求的情况下,分布式账本技术必将在金融领域得到快速应用,基于分布式账本技术的监管科技也将会是金融科技发展的必然产物,通过分布式账本的使用将可以大幅降低监管与合规的成本,原因如下:一是分布式账本能够变成监管者与受监管对象之间的共享数据记录库,打破了组织间的壁垒;二是分布式账本能够轻松实现交易数据的子集以实时的方式与监管者分享;三是分布式账本可以实现“包含监管的”业务模式,在其中监管者利用智能合约实时验证交易,规则合约化。

随着分布式账本技术在金融机构的规模化应用,我们将会看到:金融监管部门可以基于分布式账本对金融机构进行主动监管,推动监管模式由事后监管向事中监管转变,提高监管效率。金融机构可以通过以智能合约为核心的自动化手段增强合规能力,减少合规工作的资源付出。可以说,分布式账本技术客观上改变了监管部门与受监管对象的关系,减少监管摩擦并增进合规效果,进而可以对金融产业的发展形成良性的促进作用。

标签:区块链数字货币比特币数字资产区块链dapp开发个人买卖数字货币违法吗比特币走势图怎么看数字资产什么意思

DYDX热门资讯
BTC:行情分析:比特币走势承压缓慢回调,局势在低位震荡中寻找一丝上行机会   

今日新闻甘肃省兰州市区块链技术与应用研讨会如期召开。研讨会围绕区块链三观、产业、政务应用、商业应用以及国家信息中心主导的BSN区块链服务网络等主题展开了热烈的讨论.

1900/1/1 0:00:00
比特币:QKL123研报 | “数字黄金”比特币,减半后稀缺性将超黄金

摘要:减半后,比特币稀缺性将会超过黄金,未来四年稀缺性估值可达10万美元!除了供给稀缺之外,比特币还有其他“数字黄金”特性.

1900/1/1 0:00:00
ELE:大多数TON投资者选择退出以获得72%的退款

5月12日,Telegram正式终止了其计划中的区块链项目——Telegram开放网络及其相应GRAM通证.

1900/1/1 0:00:00
ETH:自媒体:四川金融办下文,要求企业退出虚拟货币挖矿

吴说区块链独家获悉,4月29日四川省金融工作领导小组办公室下发《关于引导企业有序退出虚拟货币“挖矿”活动的通知》。目前这一通知正在各县市落地中.

1900/1/1 0:00:00
LAYER:巴比特专栏 | 曹寅:从杜尚到 First Supper,艺术的去中心化革命

作者感谢刘嘉颖的修改意见。传统的艺术作品在创作者和观众之间存在一道非此即彼的界限,这条界限就像博物馆陈列架前的红外信号,无形却刺耳,虽然艺术界总是在口头上鼓励观众能够从知觉和心灵上更靠近艺术创作.

1900/1/1 0:00:00
区块链:观察 | “新基建”下,区块链助力工业互联网的四个发力点

全球疫情仍未得到有效控制,为应对风险,国家也提出了“新基建”来拉动经济增长,缓解全球经济下行风险.

1900/1/1 0:00:00