从安全性角度,看“可信数字底座”有何价值
万向区块链前言:万向区块链此前提出“可信数字底座”这一概念和技术,即将区块链与物联网、人工智能、隐私计算等数字化技术相融合,为数字经济的构建打造“基础设施”。安全是数字经济中的“命门”。本篇研究报告将从“安全性”这个角度,阐述“可信数字底座”在数字经济建设中的价值。
作者:万向区块链首席经济学家办公室王普玉
审核:万向区块链首席经济学家邹传伟
概念对比
1、数字底座
数字底座是信息化通用基础设施。数字底座从分布式数据中心、网络传输、安全保障、数据汇聚、共享融合到数据赋能,面向各类行业的治理、公共服务、产业发展,提供统一、标准化的数字化服务支撑。数字底座包括两层架构:设施底座和数据中枢。
2、可信数字底座
旨在打造以可信数据为基础的、从数据采集到储存交换到计算赋能都嵌入可信技术、并最终实现可信数据资产化的数据要素价值闭环的系统架构。
3、数字底座和可信数字底座的对比
(1)技术:数据底座强调的是围绕数据的可视、可用构建软硬件技术;可信数据底座是基于数据的可信构建软硬件。
(2)目的:数字底座要求数据能够汇聚、基于数据产生智能,最终实现持续的数字化运营。可信数字底座是发挥数据价值,用于变现、新产品研发等。
(3)功能:数字底座强调数据安全;可信数字底座强调数据安全、可信及不可篡改。
从上面对比可以总结出,数字底座和可信数字底座之间的关系并不是归属关系,只是在部分功能上存在重叠(如图1所示)。
图1:数字底座与可信数字底座对比
本文将围绕重叠部分——安全技术,讨论以华为的沃土数字化平台(如图2所示)作为中心化数字底座代表,分析其“3T+1M”安全解决方案的实现能力,从安全角度,对比与万向区块链可信数字底座(如图3所示)的区别。同时,探索可信数字底座价值。
图2:华为沃土数字化平台框架(数字底座)(数据来源:华为技术有限公司官网)
图3:可信数字底座技术框架和平台架构(数据来源:《可信数字底座白皮书》万向区块链)
安全技术对比
本部分参考《可信数字底座白皮书》,根据可信数字底座技术框架来进行分析,分为五个部分:硬件层、端感知层、数据通信层、数据资源层和数据赋能层。
1、硬件层
硬件层以数据为对象,提供运算、存储和网络资源。终端设备安全问题主要集中于设备固件和应用程序安全上,本地应用程序存在信息泄露和滥用的风险,对数据的存储和处理都未加密的明文固件。设备越来越轻量化,安全越来越难做。
(1)可信硬件层(万向区块链)
万向区块链采用一种区块链芯片,基于开源芯片RISC-V指令集开发架构并融合区块链开源特征。根据具体场景的威胁模型分析,提供抗硬件软件攻击的方法和措施,为数字底座从基础开始可信赋能,主要包含:安全启动,可信执行环境TEE,加解密算法,加密存储,远程证明等。
(2)麒麟芯片(华为)
华为鲲鹏包括底层芯片(手机麒麟芯片)和服务器及PC及芯片(昇腾芯片和鲲鹏芯片),鲲鹏920是业界首颗64核的数据中心处理器,性能比业界主流处理器高25%、内存带宽高60%;同时把CPU、桥片、网络和磁盘控制器“4合1”,是业界集成度最高的数据中心处理器。华为依赖于其强大的品牌效应,快速构建鲲鹏开源生态,华为自身负责基础设施搭建,产品主要借助于集成硬件进行拓展,鼓励更多合作伙伴加入到生态的建设。如鲲鹏整机建设,合作伙伴有东华软件、神州数码、拓维信等在内的多家公司。
鲲鹏920处理器内置数据加解密加速引擎,提升密钥和数据安全,即加解密引擎集成在CPU的片内,原始数据通过片内的总线传输到加密引擎来加密,避免数据泄露风险。在传输和存储中均是加密数据形态存在,即使丢失也能够确保数据内容不会泄露出去。
(3)对比分析
(1)市场:RISC-V提出到现在仅十几年时间,但相比ARM和X86,其指令集开源且低耗能广受市场好评,近年来众多公司加入RISC-V生态布局,大家一致认为未来属于RISC-V。这项技术本身不是壁垒,无论数字平台还是可信数字平台均可使用RISC-V开源指令集搭建架构来制造出属于自己的芯片。但区块链技术结合RISC-V有其特殊性,即利用开源的RISC-V打造虚拟机,可以很好的缩短硬件和软件行业的距离,并且带来更丰富的开发生态。
(2)安全:无论ARM和X86在过去都经历过Spectre攻击,在区块链技术加持下的RISC-V还未真正大面积普及,无法通过数据判断两项技术的安全性。从理论上分析,无论ARM、X86还是RISC-V均有其特有的安全机制,例如ARM为其微处理器提供了ARM Trustzone技术,RISC-V内核对应的安全机制之一是Multizone。根据RISC-V基金会安全工作组的重要专家Cesare Garlati对两种安全技术的对比,无论ARM还是RISC-V架构,都是基于隔离机制的安全理念,但ARM在硬件安全时是将两个域硬编码到硬件中,而RISC-V则是由软件定义域,通过硬件强化。在软件方面,ARM V8-A采用OP-TEE软件模型,其配置和工具大多来自ARM生态合作伙伴。RISC-V MultiZone安全软件模型的代码量比较小,运行速度更快。此外,市场认为安全问题是持续优化的过程,而RISC-V因为其开源特征,一旦发现潜在风险,会及时被社区人员发现并快速提出解决方案。
2、端感知层
设备(网关、传感器、RFID等)通过感知层获取外部环境信息,属于物联网的信息源。感知层的特点包括:大量的端节点数目;多样的终端类型;复杂的部署环境、无人户外部署等。因此,感知层受到的安全威胁如图4所示,具体可以归为三类:物理攻击,身份攻击和资源攻击。
图4:LPWAN物联网感知层的安全问题及安全技术
安全防御也基于三类问题提出解决方案:第一是硬件物理安全机制;第二是证实身份合法性的认证授权机制;第三是访问控制机制。
(1)可信数字底座——BoAT(Blockchain of AI Things)
BoAT(Blockchain of AI Things),通过与区块链网络约定的方式直接或间接调用链上智能合约,将物联网终端所采集或生成的数据传递给智能合约做链上处理。BoAT在开放的协议栈层次体系上,叠加的一层区块链客户端协议。应用可以向这层区块链客户端协议,请求区块链交易、智能合约调用等区块链业务。区块链客户端协议再进一步结合密钥生命周期管理、设备Attestation等,构成了基于模组的区块链软件框架(BoAT Framework),或称为区块链设备钱包(Device Boat Wallet)。区块链模组对不同蜂窝模组类型的针对性适配,解决物联网数据碎片化、离散化、差异化问题。
BoAT基于平台安全架构(PSA),为具体业务场景提供该领域通用的安全解决方案,使物联网设备基于PSA安全实现闭环落地,发挥PSA安全的乘法效应:安全容器×分布式密码学=高阶安全保护。安全的两项重要技术分别是安全容器和密码学。其中,安全容器的安全性会随着时间推移而下降,层出不穷的攻击,往往令依赖于安全容器的设备在其生命周期内遭受的安全失效,这是软件无法解决的。而密码学的安全性高度依赖于密钥的安全存储和使用,但密钥安全和使用方便之间的矛盾难以调和,令其往往成为短板。目前区块链技术下主流做法是应用分布式密码学将密钥拆分为多个独立分片,单一分片泄露不会影响体系安全。如果利用安全容器存储密钥分片,进一步降低分片泄露可能。
(2)华为数字底座
根据华为《IoT安全技术白皮书》,针对IoT不同应用场景、具备不同处理能力的终端,提供与其能力匹配、端云协同的关键安全技术族。主要从终端防攻击能力和恶意终端检测与隔离两方面着手:
第一、终端防攻击能力
对于弱终端(如LPWA智能抄表、智能照明、智能停车等)需满足基本安全能力,如数据传输层加密协议DTLS或DTLS+、终端可信DICE、FOTA升级、安全启动等;对于强终端(比如车联网T-Box、OBU等),还进一步需满足安全证书管理、入侵检测、加密认证、TPM等。
第二、恶意终端检测与隔离
通过为NB-IoT网络提供管道侧的放海量终端浪涌式风暴检测服务;基于大数据分析检测NB-IoT终端异常,实现对设备正确、可疑、异常三种状态可视检测,并将确定的恶意终端进行隔离;支持网络访问黑白名单等手段来增强海量物联网终端异常行为的检测与隔离能力。
(3)对比分析
硬件攻击防御:
无论中心化模式还是去中心化模式,硬件攻击防御模式类似,包括物理世界的防拆卸措施(如安装防拆装置、防拆卸警报等)、外部设施嵌入监视和系统端对硬件实时动态数据的监控来判断。此外,华为通过公私钥方式管理设备,即设备被盗走,如果没有正确的私钥也无法打开嵌入设备的公钥;华为为防止设备在治安混乱的国家或地区安全,采用此类方法管理。
身份攻击防御:
当通信两端彼此信任,可通过身份认证许可双方进行通信并传输数据。身份认证包括用户向系统出示自己的身份证明和系统查核用户的身份证明,这是判明和确定通信双方真实身份的两个重要环境。进行身份认证的技术方法主要是密码学方法,包括使用对称加密算法、公开密钥密码算法、数字签名算法、数字证书等。
对称加密算法是根据Shannon理论建立的一种变换过程,该过程将一个密钥和一个数据充分混淆和置乱,非法用户在不知密钥的情况下无法获得原始数据信息。典型的对称加密算法包括DES和AES。
公钥密码算法需要2个密钥和2个算法,即发送方使用接收方的公钥打包信息,接收方在收到信息后使用自己的私钥解密即可阅读信息。典型的公钥密码算法包括RSA公钥密码算法和数字签名标准DSS。
数字签名属于公钥的一种,区别在于发送方在发送信息前,先使用自己的私钥对信息签名,验证者使用签名者公钥进行验证,这样实现了只有拥有合法私钥的人才能产生数字签名(不可伪造性)和得到用户公钥的人才可以进行验证(可验证性)的功能。
数字证书也称公钥证书,是由证书认证机构(CA)签发的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。最简单的数字证书包含了一个公开密钥、名称以及证书授权中心的数字签名。一般来说,数字证书主要包括证书所有者的信息、证书所有者的公钥、证书颁发机构的签名、证书的有效时间和其他信息等。根据用途不同,数字证书可以分为服务器证书(SSL证书)、电子邮件证书、客户端个人证书等。
不同于传统的设备认证“挑战-应答”方法,物联网应用环境下,一些感知节点的资源有限,包括计算资源、存储资源和通信资源,实现“挑战-应答”机制可能需要付出很大的代价,这种情况下通常使用轻量级认证。当前为了实现轻量级的要求,通常使用对称密钥,但其安全性与传统设备安全相比还是存在劣势。
以上介绍的几种方法均是通过密码学技术实现,无论在传统中心化方案还是区块链技术均可使用,那么基于区块链技术的身份认证又有什么优势?目前主流观点是打破权力和数据在中心化机构的垄断,利用共识机制和分布式存储,能够从整个社会层面更安全。
资源攻击:
无论物理攻击还是用户身份攻击,都是为获取数据库中的数据。除了以上防御措施外,还需要通过密码学对数据库中的数据进行加密保存,对高安全需求的数据还需构建数据传输可信通道和数据处理及存储的可信空间。
去中心化方式最大的优势是所有数据访问和调用记录,会通过智能合约运行的记录被上链存储,相关人员无法做出修改和删除。相反,中心化管理方式容易被质疑,操作系统属于中心化机构、数据存储在中心化数据存储,对数据做手脚成本非常低,但事实是否这样?我们从上海车展特斯拉女车主维权的事件来简单看看该问题,涉事司机认为车辆肇事原因是特斯拉刹车系统出现异常,并要求特斯拉公司公开数据;经过多次沟通及相关监管机构介入,最终特斯拉向《中国市场监管报》提供了河南“刹车失灵”事故前的原始数据。然而涉事司机对数据提出质疑,认为特斯拉提供数据并非原始数据,要求特斯拉进一步公布数据来源、提取方式、制作方式及筛选原则。这里关于特斯拉提取的数据是否作假问题,在技术领域出现巨大争议。通过相关资料显示,特斯拉在车辆信息采集中使用的是EDR系统,主要用来记录车辆在发生碰撞事故时与车辆动态系统和安全系统相关的数据,从而有助于了解车辆系统的运行情况。EDR数据是一式两份,车辆黑匣子中存储一份,还有一份是上传至特斯拉云端。对EDR数据作假,需要多家公司合作,这个可能性很低。即使特斯拉与云服务公司合作实现云端数据作假,但对车辆黑匣子内数据作假可能性基本为零。
综上,从可信角度,中心化平台也拥有一套成熟的数据管理方法来证明数据的真实性。值得一提的是,为避免上海车展类似事件发生,特斯拉上线了EDR查询软件,所有车主均可实时查询行驶数据。在传统方式有一套成熟的解决方案时,去中心化解决方案是否能撼动传统模式的市场地位?这里需要打上问号。
3、数据通信层
依托网络实现端到端,节点到节点的数据传输和转发,将感知层获取的信息及时、准确、可靠、安全地传输到目的地。感知层异构多元的特点,使数据通信层面临的安全风险也多样化。因此对网络层提出了接入安全,网路协议安全,路由安全,鉴权认证等要求。
(1)可信数字底座——工业级智能网关(eCube-A)
eCube-A全称边缘数据网关,对现场数据收集和现场级别的数据策略起着非常重要的作用。边缘计算网关具有强大的边缘计算能力,并具有工业级的智能网关,支持远程自定义配置、远程部署、网关状态监测等技术。利用边缘计算网关体系结构和MQTT协议,实现了对云服务的访问,并通过大数据平台构建了工业物联网平台,实现了数据实时响应、数据模型分析判断、设备远程维护下载等功能。
BoAT区块链应用框架,如图5所示,支持的5G蜂窝物联网边缘网关产品,分担了部署在云端的计算资源,承载边缘测AI算法的推理与应用,在物联网边缘节点实现数据优化、实时响应、敏捷链接、模型分析等业务,具备访问区块链和调用智能合约的能力,物联网应用可以通过BoAT,在数据上传到云的同时将数据上链,实现“链上-云上”数据可信应对。
图5:区块链模组支持下的物联网业务栈(数据来源:《BoAT区块链模组产品白皮书1.0》摩联科技)
(2)华为数字底座安全保障
华为边缘网关提供了完备的安全保护方案,包括安全启动、TPM、TCM、VPN、容器、IPsec、CA证书等技术共同构筑边缘测安全。同时,华为最新上线了智能边缘小站IES,将云基础设施和云服务部署到企业现场,适合对应用访问时延、数据本地化留存即本地系统交互等有高要求的场景,可便捷的将云端丰富应用部署到本地。IES是整机柜设计,实现软硬件一体化安全,实现对设备、数据、云边网络多级保护。
(3)对比分析
基于区块链应用框架的工业级智能网关(ecube-A),与中心化ecube-A最大区别在于开放的协议栈层次体系上,增加了一层区块链客户端协议,方便上层应用可以向这层请求区块链交易、智能合约调用等区块链业务,所以它更多是从功能上增强区块链技术的可用性,而智能网关安全,包括接入安全,网路协议安全,路由安全,鉴权认证仍然依赖于中心化机构提出的一套技术解决方案。
4、数据资源层
数据资源层位于数据感知层和通信层之上,基于应用层的数据处理需求和数据合规及可信需要,对数据进行整理和存储。数据资源层面临的安全问题主要为:物理或网络攻击引起的数据完整性机密性的损坏;数据采集和共享过程中侵犯信息保护法律法规及泄露用户隐私或商业机密的风险。
(1)基于区块链技术的可信数据
利用区块链技术+隐私计算技术搭建可信数据资源层,保障数据从采集到应用过程中明确数据主权以及数据责任主体,保障数据不可篡改,确保隐私数据的可控协作。
可信区块链管理平台是支撑可信数字底座区块链网络的高效管理运维平台,为可信数字底座提供底层支撑,保障可信数据底座的底层区块链网络的安全、高效、可信运转。提供包括监控服务、区块链网络管理、智能合约管理、运维管理等全方位服务、降低区块链应用的开发、管理、运维等方面的门槛。可信区块链管理平台包含了区块链网络管理、联盟治理、区块链浏览器、智能合约管理、运维与监控、日志管理等。
(2)华为数据底座——ROMA
华为认为企业数字化转型中,数字平台的建设60%的时间和支出用于集成工作,打通四个边界,实现企业“内部互通、内外互通、多云互通”。
第一是连接应用与数据,打通数据边界;包括两方面:①以数据、消息、API和物联网为集成对象,开发配置化,降低技术门槛;②支持异构数据源间相互同步,实现对软件包实现非侵入式改造。
第二是连接企业与合作伙伴,打通生态价值边界;包括:①打通地域限制,实现企业资源分布式共享;②跨网安全对接,实现企业与供应商、客户合作厂商合作协同生态。
第三是连接云上云下,打通企业系统边界;分别是:①无差别引入公有云服务,帮助企业应用上云、用云、跨云协同;②实现多云环境下,核心业务、SaaS、移动电商等业务无缝对接。
第四是连接IT与OT,打通物理与数字边界;分别是:①设备数字化,助力物联网设备智能化创新;②提供开放框架,支持多种协议,简化设备连接方式,构建智能应用。
图6:华为ROMA集成管理
这其中主要应用了五项核心技术,分别是:
FDI数据集成组件( Fast Data Integration ),实现跨数据源、跨网络、跨云等的快速灵活、无侵入式的数据集成。
MQS消息集成组件( Message Queue Service ),提供发布订阅、消息轨迹资源统计监控报警等一套完整的消息云服务。
API管理组件,实现从API设计、开发、管理到发布的全生命周期管理和端到端集成。
LINK设备集成,基于边缘框架和安全的数据通道,实现设备快速接入、数据采集等物联网应用。
CBS多云管理组件,实现跨云调度和跨云集成能力支持企业业务应用上云和跨云集成,把内网延伸至安全的公有云。
华为通过ROMA融合集成平台,已可以做到16个流程域、2200个以上的应用系统间协同、30000个以上的集成功能点、2.3亿次日均运行任务、以及140亿日数据流量。
安全方面,ROMA给企业员工设置不同的访问权限,以达到不同员工之间的权限隔离,通过统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以安全的控制资源的访问。其次,ROMA应用了安全防护机制,提供数据安全(敏感数据加密)、系统安全、网络安全(防火墙防入侵)、业务安全(租户隔离)等多层安全防护机制。
图7:华为OneAccess统一身份与访问管理架构图
(3)对比分析
平台侧功能与商业模式有着紧密的关系,区块链技术赋能数字底座最大程度实现可视化、公平性,数据上链避免联盟内任何人作假,且实现共同治理商业生态。而ROMA构建开放社区,是基于对中心化企业华为的信任。技术侧所涉及的技术在前面均有涉及,不在本部分重述。
5、数据赋能层
基于丰富且可信的数据资源,通过数据共享,交易,挖掘赋能数字城市生态应用。数据赋能层面主要面临的安全信任问题主要表现为:两方或多方数据流转场景下的信任问题,数据挖掘算法安全问题,业务应用层面的流程和数据保护安全问题。
(1)可信数字底座解决方案
可信数字底座从数据产生到传输,再到交易和共享拥有一套完整的方案。区块链技术的不可篡改、可追溯特征,从源头保证了数据的可信及安全性。在数据交易中,通过MPC、零知识证明等加密技术为数据交易和共享提供多种合作方式,保证数据安全。
(2)华为数字底座解决方案
中心化数据可以实现数据安全性的保障,但其不具备可信证明的功能。
安全方面除了前面在各技术层的安全保障外,华为在安全与运维方面提出智能化安全态势感知能力,包括安全运维、定期物联网安全评估、安全报告和基于最佳实践策略自动识别安全事件。如在车联网中,采集端侧车内日志或事件,及其他系统车辆日志和安全事件,在车联网安全运营中心进行统一处理和分析,自动检测安全事件并生成告警,评估风险的严重性,在Dashboard呈现或邮件通知运营人员。
在隐私保护方面,主要的关注点是不可关联、透明性和可干预性。随着差分隐私保护技术逐渐成熟,未来一定会大面积应用在各行业用户数据保护中,技术配合相应的安全机制也能够达到类似GDPR相关法律法规的要求。
(3)对比分析
除去安全角度,区块链技术的最大魅力在于其共识机制和治理,通过一套完备的激励及治理体系,对数据的贡献者给予工分激励,引导企业、平台参与到可信数字底座的建设中来,鼓励更多参与方加入生态,实现参与方之间的有效的价值流转和治理。在多方参与的商业模式中,中心化解决方案也能够制定完整的共识机制和治理方案,但无法做到彼此利益的真正绑定,彼此的目标不一致;但在去中心化解决方案中,token或积分能够将多方利益绑定,一旦任何一方做出有损生态建设的行为,将会在token或积分的价值上有所反应,并影响到所有参与者。在去中心化模式下,大家积极维护生态利益,也等同于维护着自己的利益。
思考与建议
本文从安全角度对比了华为的沃土数字化平台和万向可信数字底座的区别,从技术对比可以发现,中心化平台有一套完整的数据安全保护方案,在一定程度上能够应对外部攻击和数据篡改问题,同时证明数据的真实性。以文中特斯拉案例我们可以发现,中心化模式下的数据真实性并不是单纯从技术层面实现,还需结合制度层面的管理。相比之下,去中心化的数据真实性是从纯技术角度来实现,成本更低且受影响因素更小。从市场角度看,相比中心化模式这很重要,但并不是区块链的主要优势;从前面分析可以看出,可信数字底座最主要优势在于其完备的激励与治理体系,这是中心化平台所不具备的,激励与治理体系才能鼓励数据流转、交易,更好的发挥数据要素价值。