加入收藏 | 设为首页 |

首个“金融区块链标准”支持监管机构访问最底层数据 实施穿透式

隐私 时间:2020-02-29 浏览:
近日,央行正式发布《金融分布式账本技术安全规范》(JR/T 0184—2020)金融行业标准。标准规定了金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算

  该文指出了当前区块链技术存在的主要不足,尤其指出安全方面缺乏体系化安全防护。一是区块链普遍采用国际通用的密码算法、虚拟机、智能合约等核心构件,这些构件并非完全自主可控,增加了受攻击的风险。二是区块链存在内生的安全缺陷,也就是51%攻击问题。三是区块链仍处于早期阶段,在安全方面可能存在未知漏洞。

  记者注意到,该规范中相关条例的规定已经为解决上述问题提供了解决思路。尤其是技术监管方面的加强,有助于安全性的提高。具体来看,

  《规范》明确,金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。在此框架基础上,对每一方面的安全要求进行了细化。例如,在基础硬件方面,对网络、通信传输、硬件加密设备的安全要求均进行了详细说明。

  在账本数据方面,《规范》对账本的完整性、一致性、保密性等提出要求。要保证账本数据的生成、传输、存储、调用等操作不可被非授权方式更改或破坏。对账本数据的写入和修改,需经各节点达成共识,当数据分叉时,应存在可用规则进行数据选择。要用密码技术保证账本数据中的敏感数据在传输和存储过程中的保密性。

  智能合约方面,要支持非图灵完备智能合约和图灵完备智能合约,要支持执行过程中发生错误时的回滚操作,一旦出现异常,所有执行应当被回撤。智能合约执行应具备一致性,合约在所有金融分布式账本网络节点上的执行结果应完全相同,多个节点同时实现合约时,应保证数据的完整性且数据同步不互相干扰。

  值得一提的是,《规范》在隐私保护方面有较为全面的要求。要求信息收集应遵循最小化原则,个人信息收集应仅限于一切与信息收集目的相关且必要的数据。应将隐私信息按照敏感程度分级,并设置对应的隐私保护策略。“分布式账本提供的信息保密性和隐私保护的程度与执行效率方面存在制约关系,相关方应根据具体场景选择不同的方法合计数,制定隐私保护策略,达到满足系统目标的平衡状态”。

  《规范》中提及的隐私保护技术包括认证授权、局部广播、零知识证明、同态加密等算法组合。