華為云區(qū)塊鏈服務(wù)BCS的設(shè)計(jì)原則及特點(diǎn)

區(qū)塊鏈成為近兩年熱點(diǎn)話(huà)題，因其通過(guò)分布式數(shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等技術(shù)的集成，可有效解決傳統(tǒng)交易模式中數(shù)據(jù)在系統(tǒng)內(nèi)流轉(zhuǎn)過(guò)程中的造假行為，從而構(gòu)建可信交易環(huán)境，打造可信社會(huì)。近年來(lái)各國(guó)政府機(jī)構(gòu)，國(guó)際貨幣基金組織以及標(biāo)準(zhǔn)、開(kāi)源組織和產(chǎn)業(yè)聯(lián)盟等在紛紛投入?yún)^(qū)塊鏈產(chǎn)業(yè)的拉通和應(yīng)用。隨著區(qū)塊鏈的產(chǎn)業(yè)價(jià)值的逐漸確定，區(qū)塊鏈迅速地成為一場(chǎng)全球參與競(jìng)逐的“軍備”大賽，中國(guó)也開(kāi)始從國(guó)家層面設(shè)計(jì)區(qū)塊鏈的發(fā)展道路（發(fā)改委委托信通院組織國(guó)內(nèi)主要區(qū)塊鏈公司進(jìn)行區(qū)塊鏈的頂層設(shè)計(jì)的研討，工信部的信軟司也在積極確定區(qū)塊鏈的頂層設(shè)計(jì)機(jī)構(gòu)）。2018 年，區(qū)塊鏈及相關(guān)行業(yè)加速發(fā)展，中國(guó)將領(lǐng)跑全球進(jìn)入“區(qū)塊鏈可信數(shù)字經(jīng)濟(jì)社會(huì)”，我們正面臨區(qū)塊鏈重大的產(chǎn)業(yè)機(jī)遇。

區(qū)塊鏈的應(yīng)用已由開(kāi)始的金融延伸到物聯(lián)網(wǎng)、智能制造、供應(yīng)鏈管理、數(shù)據(jù)存證及交易等多個(gè)領(lǐng)域，將為云計(jì)算、大數(shù)據(jù)、承載網(wǎng)絡(luò)等新一代信息技術(shù)的發(fā)展帶來(lái)新的機(jī)遇，其構(gòu)建的可信機(jī)制，將改變當(dāng)前社會(huì)商業(yè)模式，從而引發(fā)新一輪的技術(shù)創(chuàng)新和產(chǎn)業(yè)變革。

華為云區(qū)塊鏈服務(wù)（BCS：Blockchain Service）

華為云區(qū)塊鏈服務(wù) BCS 是基于開(kāi)源區(qū)塊鏈技術(shù)和華為在分布式并行計(jì)算、PaaS、數(shù)據(jù)管理、安全加密等核心技術(shù)領(lǐng)域多年積累基礎(chǔ)上推出的企業(yè)級(jí)區(qū)塊鏈云服務(wù)產(chǎn)品。

華為云區(qū)塊鏈服務(wù)是一種開(kāi)放易用、靈活高效的通用型基礎(chǔ)技術(shù)，聚焦于區(qū)塊鏈云技術(shù)平臺(tái)建設(shè)，幫助企業(yè)在華為云上快速、高效的搭建企業(yè)級(jí)區(qū)塊鏈行業(yè)方案和應(yīng)用，共同推動(dòng)區(qū)塊鏈應(yīng)用場(chǎng)景落地，打造基于區(qū)塊鏈的公共信任基礎(chǔ)設(shè)施和共贏(yíng)生態(tài)。

華為云區(qū)塊鏈服務(wù)基于可信、開(kāi)放、服務(wù)全球的華為云上運(yùn)行，華為云產(chǎn)品和服務(wù)具有華為獨(dú)有的新技術(shù)，以降低成本、彈性靈活、電信級(jí)安全、高效自助管理等優(yōu)勢(shì)惠及用戶(hù)，BCS 可以和華為云技術(shù)產(chǎn)品和行業(yè)解決方案無(wú)縫對(duì)接，幫助企業(yè)在安全、高效、不可篡改等基礎(chǔ)上輕松跨入云時(shí)代，快速部署新解決方案和應(yīng)用。

1. 區(qū)塊鏈服務(wù) BCS 的設(shè)計(jì)原則和產(chǎn)品定位

設(shè)計(jì)原則

· 簡(jiǎn)單易用

在開(kāi)源組件基礎(chǔ)上部署企業(yè)級(jí)分布式區(qū)塊鏈系統(tǒng)并非易事，不僅需要深入專(zhuān)業(yè)的區(qū)塊鏈知識(shí)，同時(shí)需要各種復(fù)雜的設(shè)計(jì)和配置，易出錯(cuò)。BCS 能幫助企業(yè)實(shí)現(xiàn)自動(dòng)化配置、部署區(qū)塊鏈應(yīng)用，并提供區(qū)塊鏈全生命周期管理，讓客戶(hù)簡(jiǎn)單使用區(qū)塊鏈系統(tǒng)，專(zhuān)注于上層應(yīng)用的創(chuàng)新和開(kāi)發(fā)。

· 成熟先進(jìn)

BCS 在 Hyperledger、Kubernetes 和 Docker 等開(kāi)源組件的基礎(chǔ)上搭建，為用戶(hù)提供成熟先進(jìn)的區(qū)塊鏈系統(tǒng)，華為云區(qū)塊鏈服務(wù)秉承源于開(kāi)源、優(yōu)于開(kāi)源、回饋開(kāi)源的原則，積極投入和引領(lǐng)了多個(gè)開(kāi)源社區(qū)的工作。

· 安全可靠

華為云區(qū)塊鏈服務(wù)在開(kāi)源的基礎(chǔ)上注重自主創(chuàng)新，目前在關(guān)鍵領(lǐng)域如共識(shí)算法、同態(tài)加密、零知識(shí)證明、電信級(jí)云安全，高速網(wǎng)絡(luò)連接、海量存儲(chǔ)等方面具有自主知識(shí)產(chǎn)權(quán)的專(zhuān)利和技術(shù)積累。BCS 是在華為云完善的用戶(hù)、秘鑰、權(quán)限管理、隔離處理、可靠的網(wǎng)絡(luò)安全基礎(chǔ)能力和運(yùn)營(yíng)安全基礎(chǔ)上推出的區(qū)塊鏈服務(wù)。

· 云鏈結(jié)合

區(qū)塊鏈只有與具體的企業(yè)應(yīng)用、行業(yè)場(chǎng)景相結(jié)合才能真正產(chǎn)生價(jià)值，華為云提供各種區(qū)塊鏈需要的無(wú)限可擴(kuò)展的資源和豐富多樣的云計(jì)算產(chǎn)品、定制化的各行業(yè)解決方案，BCS 和華為云結(jié)合可以給企業(yè)帶來(lái)更大的便利、價(jià)值和想象空間。

· 合作開(kāi)放

華為云專(zhuān)注于區(qū)塊鏈底層技術(shù)和平臺(tái)服務(wù)能力搭建，和各行業(yè)合作伙伴攜手合作，共同打造基于華為區(qū)塊鏈服務(wù)的可信行業(yè)區(qū)塊鏈解決方案和區(qū)塊鏈生態(tài)，共同推進(jìn)區(qū)塊鏈場(chǎng)景落地，幫助客戶(hù)實(shí)現(xiàn)商業(yè)成功。

產(chǎn)品定位

華為云區(qū)塊鏈服務(wù)致力于將自身技術(shù)使能企業(yè)的創(chuàng)新成長(zhǎng)，面向企業(yè)及開(kāi)發(fā)者提供一站式規(guī)劃、采購(gòu)、配置、開(kāi)發(fā)、上線(xiàn)和運(yùn)維的區(qū)塊鏈平臺(tái)服務(wù)，企業(yè)在華為云區(qū)塊鏈服務(wù)上可快速自主搭建一套基于企業(yè)自身業(yè)務(wù)高安全、高可靠、高性能的企業(yè)級(jí)區(qū)塊鏈系統(tǒng)，同時(shí)結(jié)合云服務(wù)特色的按需付費(fèi)、彈性伸縮和可視化的數(shù)據(jù)管理等特性，大幅提高用戶(hù)使用區(qū)塊鏈的效率，有效降低企業(yè)的初始成本和使用成本。

2. 區(qū)塊鏈服務(wù) BCS 的總體邏輯架構(gòu)

在設(shè)計(jì)原則的指導(dǎo)下，為解決區(qū)塊鏈在企業(yè)級(jí)場(chǎng)景下的一些突出問(wèn)題，包括系統(tǒng)性能、功能完備性、系統(tǒng)擴(kuò)展性、易用性等，華為云區(qū)塊鏈采用分層架構(gòu)設(shè)計(jì)、云鏈結(jié)合、優(yōu)化共識(shí)算法、容器、微服務(wù)架構(gòu)與可伸縮的分布式云存儲(chǔ)技術(shù)等創(chuàng)新技術(shù)方案。

華為云區(qū)塊鏈服務(wù)包括 4 層 2 列：

· 區(qū)塊鏈資源層

華為云 IaaS 和 PaaS 層，為區(qū)塊鏈系統(tǒng)提供無(wú)限擴(kuò)展的存儲(chǔ)、高速的網(wǎng)絡(luò)、按需購(gòu)買(mǎi)彈性伸縮和故障自動(dòng)恢復(fù)的節(jié)點(diǎn)等區(qū)塊鏈資源。

· 區(qū)塊鏈服務(wù)平臺(tái)

具有極強(qiáng)的可靠性和擴(kuò)展性，后續(xù)根據(jù)市場(chǎng)需求逐步支持 Corda 和 EEA 等優(yōu)秀區(qū)塊鏈框架，為上層應(yīng)用低成本、快速的提供高安全、高可靠、高性能的企業(yè)級(jí)區(qū)塊鏈系統(tǒng)。

· 合約層

目前提供 Hyperledger 標(biāo)準(zhǔn)智能合約接口，用戶(hù)可以根據(jù)不同應(yīng)用場(chǎng)景構(gòu)建不同的智能合約，后續(xù)將與合作伙伴一起為用戶(hù)打造通用場(chǎng)景智能合約庫(kù)，如供應(yīng)鏈管理和溯源、供應(yīng)鏈金融、數(shù)字資產(chǎn)、公益慈善和互聯(lián)網(wǎng)保險(xiǎn)等，企業(yè)可以在此基礎(chǔ)上快速構(gòu)建區(qū)塊鏈應(yīng)用場(chǎng)景。

· 業(yè)務(wù)應(yīng)用層

為最終用戶(hù)提供可信、安全、快捷的區(qū)塊鏈應(yīng)用。用戶(hù)可以使用華為云提供的各種解決方案（例如供應(yīng)鏈金融解決方案、游戲行業(yè)解決方案、供應(yīng)鏈溯源解決方案、新能源行業(yè)解決方案等），結(jié)合合約層快速搭建區(qū)塊鏈應(yīng)用。

·區(qū)塊鏈系統(tǒng)安全

由華為云安全提供，聯(lián)盟鏈最重要的特點(diǎn)是節(jié)點(diǎn)的可控性和賬本的安全，華為云安全可以為區(qū)塊鏈節(jié)點(diǎn)、賬本、智能合約以及上層應(yīng)用提供全方位的安全保障。

· 軟件開(kāi)發(fā)服務(wù)

用戶(hù)可以使用軟件開(kāi)發(fā)服務(wù)實(shí)現(xiàn)業(yè)務(wù)應(yīng)用、智能合約從開(kāi)發(fā)、測(cè)試到部署等CI/CD（Continuous Integration/Delivery）全系列流程。

華為云區(qū)塊鏈服務(wù)的分層架構(gòu)設(shè)計(jì)有利于幫助企業(yè)快速簡(jiǎn)單的落地區(qū)塊鏈場(chǎng)景，具體架構(gòu)圖如下圖：

3. 區(qū)塊鏈服務(wù) BCS 平臺(tái)功能特性

區(qū)塊鏈服務(wù)平臺(tái)是華為云區(qū)塊鏈服務(wù)的主體，包括區(qū)塊鏈服務(wù)管理平臺(tái)和區(qū)塊鏈底層技術(shù)兩部分。

區(qū)塊鏈服務(wù)管理平臺(tái)

為企業(yè)提供快速創(chuàng)建、部署區(qū)塊鏈應(yīng)用、鏈代碼管理和監(jiān)控等全系統(tǒng)區(qū)塊鏈服務(wù)。具體如下：

通過(guò)設(shè)計(jì)以下模塊來(lái)實(shí)現(xiàn)區(qū)塊鏈系統(tǒng)全生命周期管理：

· 區(qū)塊鏈服務(wù)運(yùn)營(yíng)模塊

? 區(qū)塊鏈服務(wù)配置

BCS 提供的區(qū)塊鏈配置頁(yè)面簡(jiǎn)單易用，僅需配置幾個(gè)參數(shù)如：區(qū)塊鏈服務(wù)名稱(chēng)、部署區(qū)塊鏈服務(wù)的 Kubernetes 集群名稱(chēng)，彈性文件名稱(chēng)、共識(shí)算法類(lèi)型、節(jié)點(diǎn)參數(shù)等即可完成區(qū)塊鏈服務(wù)部署。

? 區(qū)塊鏈服務(wù)部署

配置完區(qū)塊鏈服務(wù)參數(shù)后，租戶(hù)點(diǎn)擊確認(rèn)按鈕，一鍵完成區(qū)塊鏈服務(wù)部署工作，PaaS 平臺(tái)將根據(jù)用戶(hù)配置的區(qū)塊鏈服務(wù)參數(shù)和內(nèi)置最佳實(shí)踐通過(guò) Kubernetes 將區(qū)塊鏈的各個(gè)節(jié)點(diǎn)以 Docker 容器運(yùn)行方式自動(dòng)部署到指定集群中，相對(duì)于自建區(qū)塊鏈系統(tǒng)，通過(guò) BCS 只需要五分鐘就可以部署一個(gè)完整的企業(yè)級(jí)區(qū)塊鏈系統(tǒng)

? 區(qū)塊鏈服務(wù)狀態(tài)監(jiān)控

通過(guò)區(qū)塊鏈服務(wù)列表可以查看到區(qū)塊鏈服務(wù)里節(jié)點(diǎn)的類(lèi)型、數(shù)量和狀態(tài)。方便管理員實(shí)時(shí)了解個(gè)區(qū)塊鏈服務(wù)的狀況。

? 區(qū)塊鏈服務(wù)節(jié)點(diǎn)管理

管理員可以根據(jù)業(yè)務(wù)需求和負(fù)載，按需購(gòu)買(mǎi)資源，在運(yùn)行時(shí)動(dòng)態(tài)彈性調(diào)整 Peer 節(jié)點(diǎn)和 Orderer 節(jié)點(diǎn)的數(shù)目，可以有效降低企業(yè)的初始和運(yùn)行成本，同時(shí)當(dāng)節(jié)點(diǎn)出現(xiàn)故障時(shí)，系統(tǒng)對(duì)故障節(jié)點(diǎn)進(jìn)行自動(dòng)恢復(fù)，保障區(qū)塊鏈應(yīng)用的可靠性。

· 區(qū)塊鏈服務(wù)智能合約管理

智能合約也稱(chēng)鏈代碼（Chaincode），鏈代碼將業(yè)務(wù)網(wǎng)絡(luò)交易封裝在代碼中，最終在一個(gè) Docker 容器內(nèi)運(yùn)行。租戶(hù)可以在華為軟件開(kāi)發(fā)服務(wù)或者線(xiàn)下進(jìn)行開(kāi)發(fā)和測(cè)試。目前華為云區(qū)塊鏈服務(wù)支持 Golang 語(yǔ)言編寫(xiě)代碼，后續(xù)會(huì)推出 Java 等多語(yǔ)言支持，租戶(hù)可以選擇擅長(zhǎng)的語(yǔ)言編寫(xiě)鏈代碼。

a. 智能合約安裝和實(shí)例化

鏈代碼首先需上傳安裝在 Peer 節(jié)點(diǎn)上，然后在通道上進(jìn)行實(shí)例化，實(shí)例化的過(guò)程需要參與方進(jìn)行共識(shí)，智能合約實(shí)例化過(guò)程將被記錄到區(qū)塊鏈中，實(shí)例化后，鏈代碼將在 Docker 容器中運(yùn)行。

所有通道成員都需要在運(yùn)行此鏈代碼的每個(gè) Peer 節(jié)點(diǎn)上安裝鏈代碼，且只需在一個(gè) Peer 節(jié)點(diǎn)上進(jìn)行鏈代碼實(shí)例化。如需使用相同的鏈代碼，通道成員必須在鏈代碼安裝期間為鏈代碼提供相同的名稱(chēng)和版本。

b. 智能合約觸發(fā)

智能合約實(shí)例化后，可以通過(guò)外部條件來(lái)觸發(fā)合約執(zhí)行的過(guò)程，支持定時(shí)觸發(fā)、事件觸發(fā)、交易觸發(fā)和其他合約觸發(fā)的方式。定時(shí)觸發(fā)是指滿(mǎn)足合約中預(yù)設(shè)的時(shí)間之后，節(jié)點(diǎn)就觸發(fā)時(shí)間達(dá)成共識(shí)之后，自動(dòng)觸發(fā)合約調(diào)用的過(guò)程。事件、交易和其他合約調(diào)用都是在一次新的請(qǐng)求共識(shí)過(guò)程中觸發(fā)合約執(zhí)行。

c. 智能合約更改和清理

等合約條款需要變更時(shí)需參與方對(duì)新的合約共同簽署后執(zhí)行合約升級(jí)，或者對(duì)過(guò)期作廢或者業(yè)務(wù)需求變更不再需要的合約進(jìn)行轉(zhuǎn)存和清理，升級(jí)和清理的過(guò)程需要多節(jié)點(diǎn)共識(shí)之后才能完成。

運(yùn)維監(jiān)控

為了租戶(hù)能夠快速準(zhǔn)確地識(shí)別系統(tǒng)的運(yùn)行狀態(tài)以及在運(yùn)行中滿(mǎn)足其他的運(yùn)維需求（如程序升級(jí)等），華為區(qū)塊鏈服務(wù)提供了完整、快捷、可視化的運(yùn)維監(jiān)控系統(tǒng)，包括監(jiān)控、告警等功能。

· 監(jiān)控

負(fù)責(zé)收集系統(tǒng)中運(yùn)行的狀態(tài)數(shù)據(jù)，并且可視化的呈現(xiàn)出來(lái)。系統(tǒng)中的狀態(tài)數(shù)據(jù)包括系統(tǒng)的訪(fǎng)問(wèn)量、耗時(shí)、節(jié)點(diǎn)的健康狀態(tài)以及比較底層的機(jī)器資源（CPU、內(nèi)存、硬盤(pán)）使用狀況等，通過(guò)可視化監(jiān)控可以實(shí)時(shí)了解整個(gè)區(qū)塊鏈系統(tǒng)的狀態(tài)。

· 告警

對(duì)系統(tǒng)中比較嚴(yán)重的情況如欺詐節(jié)點(diǎn)、賬本篡改、機(jī)器故障等情況通過(guò)郵件等方式通知到相關(guān)人員，以便及時(shí)處理。

區(qū)塊鏈底層技術(shù)

· 共識(shí)算法

共識(shí)機(jī)制按照共識(shí)的過(guò)程分兩類(lèi)，第一類(lèi)是概率一致的共識(shí)、工程學(xué)上最終確認(rèn)；第二類(lèi)是絕對(duì)一致之后再共識(shí)，共識(shí)即確認(rèn)。華為云區(qū)塊鏈服務(wù)定位為面向企業(yè)提供區(qū)塊鏈服務(wù)因此采用第二類(lèi)的共識(shí)機(jī)制，BCS 提供多種安全、高效共識(shí)算法，用戶(hù)可以根據(jù)不同的使用場(chǎng)景以及安全和性能等不同需求選擇合適的共識(shí)算法：

? SOLO 模式：只需要一個(gè)共識(shí)節(jié)點(diǎn)，簡(jiǎn)單、快速，建議在開(kāi)發(fā)測(cè)試環(huán)節(jié)使用。

? 基于 Kafka/Zookeeper 高速共識(shí)算法：總節(jié)點(diǎn)數(shù)沒(méi)有特定要求，能容忍半數(shù)以下節(jié)點(diǎn)發(fā)生故障。

? FBFT 快速拜占庭容錯(cuò)算法：使用 3f+1 個(gè)節(jié)點(diǎn)，能容忍最多 1/3 拜占庭錯(cuò)誤節(jié)點(diǎn)。

詳細(xì)對(duì)比見(jiàn)下圖（f：fault）：

· 共享賬本

包括區(qū)塊賬本、狀態(tài)賬本和歷史賬本三種賬本：

? 區(qū)塊賬本：記錄智能合約的交易記錄，保存在文件中。

? 狀態(tài)賬本：保存智能合約數(shù)據(jù)的最新狀態(tài)，保存在 KV（Key-Value）數(shù)據(jù)庫(kù)中。

? 歷史賬本：保存所有智能合約執(zhí)行交易的歷史記錄索引，保存在 KV 數(shù)據(jù)庫(kù)中。

· 持久存儲(chǔ)

華為區(qū)塊鏈服務(wù)將共享賬本存在華為云彈性文件服務(wù)（Scalable File Service），SFS為用戶(hù)的彈性云服務(wù)器（ECS）提供一個(gè)完全托管的共享文件存儲(chǔ)環(huán)境，符合標(biāo)準(zhǔn)文件協(xié)議（NFS），能夠彈性伸縮至 PB 規(guī)模，具備可擴(kuò)展的性能，為海量數(shù)據(jù)、高帶寬型應(yīng)用提供有力支持。

· P2P 網(wǎng)絡(luò)

網(wǎng)絡(luò)中的節(jié)點(diǎn)之間通過(guò) Gossip 協(xié)議來(lái)進(jìn)行狀態(tài)同步和數(shù)據(jù)分發(fā)。Gossip 協(xié)議是 P2P領(lǐng)域的常見(jiàn)協(xié)議，用于進(jìn)行網(wǎng)絡(luò)內(nèi)多個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)分發(fā)或信息交換。其設(shè)計(jì)簡(jiǎn)單，容易實(shí)現(xiàn)，同時(shí)容錯(cuò)性較高。

· 智能合約引擎

運(yùn)行在隔離安全 Docker 容器中，華為區(qū)塊鏈服務(wù)實(shí)時(shí)監(jiān)控智能合約在運(yùn)行時(shí)是否存在高危函數(shù)調(diào)用和容器逃逸行為，預(yù)防惡意智能合約對(duì)區(qū)塊鏈系統(tǒng)的威脅。

· 區(qū)塊鏈安全隱私

華為云區(qū)塊鏈服務(wù)高度重視區(qū)塊鏈安全和隱私，除了華為云安全和 Hyperledger 自有安全措施外，BCS 還支持如下安全和隱私措施：

? 支持國(guó)密算法和企業(yè)用戶(hù)簽名策略多樣性：支持 SM2/SM3/SM4，使用基于硬件的可信計(jì)算環(huán)境保護(hù)秘鑰安全性，效果較同樣支持國(guó)密算法的同類(lèi)產(chǎn)品有較大提升；

? 加法同態(tài)加密：保護(hù)交易數(shù)據(jù)的隱私。

? 零知識(shí)證明：保護(hù)交易參與方的隱私。

? 為每個(gè)租戶(hù)提供完整的 CA 證書(shū)管理體系，確保用戶(hù)通過(guò) PKI 證書(shū)體系保障交易身份認(rèn)證、數(shù)據(jù)傳輸安全和交易內(nèi)容隱私保護(hù)等需求。

· 接口適配

目前支持業(yè)務(wù)應(yīng)用通過(guò) Fabric 原生 SDK 調(diào)用智能合約，后續(xù)為了方便用戶(hù)快速接入?yún)^(qū)塊鏈系統(tǒng)，將提供 SQL API 和 Restful API 的方式接入，用戶(hù)可以在 SDK、SQL API和 Restful API 之間選擇適合的方式調(diào)用智能合約接入?yún)^(qū)塊鏈系統(tǒng)。

4. 區(qū)塊鏈服務(wù) BCS 系統(tǒng)安全保障

聯(lián)盟鏈相對(duì)于公有鏈一個(gè)非常重要的特點(diǎn)就是節(jié)點(diǎn)準(zhǔn)入控制與國(guó)家安全標(biāo)準(zhǔn)支持，確保認(rèn)證準(zhǔn)入、制定監(jiān)管規(guī)則符合監(jiān)管要求，在可信安全的基礎(chǔ)上提高交易速度才是有價(jià)值的。華為云區(qū)塊鏈服務(wù)在云安全的基礎(chǔ)上為區(qū)塊鏈服務(wù)提供高安全環(huán)境。主要通過(guò)以下幾個(gè)方面來(lái)提供安全保障：

· 安全可信的云平臺(tái)：安全合規(guī)與標(biāo)準(zhǔn)遵從

20+全球權(quán)威認(rèn)證，并持續(xù)增加滿(mǎn)足全球不同區(qū)域與行業(yè)合規(guī)需求，主要包括中國(guó)公安部信息安全等級(jí)保護(hù)三級(jí)，可信云，金牌運(yùn)維，CSA STAR 金牌認(rèn)證，CSA CSTAR和 PCI-DSS 等。確保云平臺(tái)安全合規(guī)和標(biāo)準(zhǔn)遵從。

· 身份認(rèn)證和訪(fǎng)問(wèn)控制

對(duì)公有云租戶(hù)中的區(qū)塊鏈服務(wù)用戶(hù)，租戶(hù)的訪(fǎng)問(wèn)控制能力是通過(guò)統(tǒng)一身份認(rèn)證服務(wù)（IAM –Identity and Access Management）提供的。IAM 是面向企業(yè)租戶(hù)的安全管理服務(wù)。通過(guò) IAM，租戶(hù)可以集中管理用戶(hù)、安全憑證（例如訪(fǎng)問(wèn)密鑰），以及控制用戶(hù)管理權(quán)限和用戶(hù)可訪(fǎng)問(wèn)的云資源權(quán)限。使用 IAM，租戶(hù)管理員可以管理用戶(hù)賬號(hào)（比如員工、系統(tǒng)或應(yīng)用程序），并且可以控制這些用戶(hù)賬號(hào)對(duì)租戶(hù)名下資源具有的操作權(quán)限。

當(dāng)租戶(hù)企業(yè)存在多用戶(hù)協(xié)同操作資源時(shí)，使用 IAM 可以避免與其他用戶(hù)共享賬號(hào)密鑰，按需為用戶(hù)分配最小權(quán)限，也可以通過(guò)設(shè)置登錄驗(yàn)證策略、密碼策略、訪(fǎng)問(wèn)控制列表來(lái)確保用戶(hù)賬戶(hù)的安全，從而降低租戶(hù)的企業(yè)信息安全風(fēng)險(xiǎn)。

· 區(qū)塊鏈服務(wù)租戶(hù)數(shù)據(jù)隔離

華為云對(duì)云端數(shù)據(jù)的隔離是通過(guò)虛擬私有云（VPC – Virtual Private Cloud）實(shí)施，它將不同租戶(hù)間的網(wǎng)絡(luò)深度隔離，保證了不同租戶(hù)間的數(shù)據(jù)不會(huì)被越權(quán)獲取。通過(guò)VPC，租戶(hù)可以完全掌控自己的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)不同租戶(hù)間在二、三層網(wǎng)絡(luò)的完全隔離：一方面，結(jié)合 VPN 或云專(zhuān)線(xiàn)，將 VPC 與租戶(hù)內(nèi)網(wǎng)的傳統(tǒng)數(shù)據(jù)中心互聯(lián)，實(shí)現(xiàn)租戶(hù)應(yīng)用和數(shù)據(jù)從租戶(hù)內(nèi)網(wǎng)向云上的平滑遷移；另一方面，利用 VPC 的安全組功能，按需配置安全與訪(fǎng)問(wèn)規(guī)則，滿(mǎn)足租戶(hù)更細(xì)粒度的網(wǎng)絡(luò)隔離。在華為云區(qū)塊鏈服務(wù)中區(qū)塊鏈聯(lián)盟成員獨(dú)立為單獨(dú)的一個(gè)租戶(hù)，每個(gè)租戶(hù)單獨(dú)運(yùn)行在一個(gè) VPC 中，利用華為云 VPC 數(shù)據(jù)隔離機(jī)制來(lái)保障每個(gè)聯(lián)盟成員的數(shù)據(jù)隔離和權(quán)限隔離，從而滿(mǎn)足區(qū)塊鏈系統(tǒng)的多中心化，多方參與，多方共識(shí)和不可篡改等獨(dú)立、安全原則。

· 區(qū)塊鏈服務(wù)賬本存儲(chǔ)安全

華為云區(qū)塊鏈服務(wù)將租戶(hù)的賬本存儲(chǔ)的云彈性文件存儲(chǔ)系統(tǒng)中在確保彈性擴(kuò)展的基礎(chǔ)上通過(guò)一系列的安全措施保障賬本的安全。

? 密鑰保護(hù)與管理

云彈性文件存儲(chǔ)系統(tǒng)對(duì)接密鑰管理服務(wù) KMS（Key Management Service），KMS是一種安全、可靠、簡(jiǎn)單易用的密鑰托管服務(wù)，幫助用戶(hù)集中管理密鑰，保護(hù)密鑰安全，它通過(guò)使用硬件安全模塊 HSM（Hardware Security Module），為租戶(hù)創(chuàng)建和管理密鑰，防止密鑰明文暴漏在 HSM 之外，從而防止密鑰泄露，保護(hù)密鑰安全。KMS 對(duì)密鑰的所有操作都會(huì)進(jìn)行訪(fǎng)問(wèn)控制及日志跟蹤，提供所有密鑰的使用記錄，滿(mǎn)足審計(jì)和合規(guī)性要求。

? 數(shù)據(jù)機(jī)密性保證

用戶(hù)主密鑰 CMK（Customer Master Key）由 KMS 生成、管理和銷(xiāo)毀。華為云提供整卷加密功能。

? 可靠性保證

三副本備份，數(shù)據(jù)持久性高達(dá) 99.99995%。通過(guò) VBS（Volume BackupService） 實(shí)現(xiàn)云硬盤(pán)的備份與恢復(fù)，且支持通過(guò)彈性文件系統(tǒng)備份創(chuàng)建新的彈性文件系統(tǒng)。

? 數(shù)據(jù)刪除與銷(xiāo)毀

華為云致力于保護(hù)租戶(hù)數(shù)據(jù)在刪除過(guò)程中及刪除后不至泄露，包括內(nèi)存刪除，數(shù)據(jù)安全（軟）刪除，磁盤(pán)數(shù)據(jù)刪除，加密數(shù)據(jù)防泄漏和物理磁盤(pán)報(bào)廢等。

· 華為云全棧防護(hù)體系

以上幾種安全措施是華為云安全為區(qū)塊鏈服務(wù)提供的最重要安全措施，華為云還為區(qū)塊鏈平臺(tái)提供全棧防護(hù)體系包括不限于：網(wǎng)絡(luò)安全，DDOS 攻擊防護(hù)，應(yīng)用安全（WAF 等，安全掃描），虛擬機(jī)安全，容器安全，數(shù)據(jù)安全和運(yùn)營(yíng)安全等等。通過(guò)華為云全棧防護(hù)體系可以確保用戶(hù)的區(qū)塊鏈系統(tǒng)免受各種安全威脅。

5. 區(qū)塊鏈服務(wù) BCS 的技術(shù)特色和優(yōu)勢(shì)

在安全、可靠和高性能的華為云平臺(tái)的基礎(chǔ)上，根據(jù)“簡(jiǎn)單易用、成熟可靠、云鏈結(jié)合”等設(shè)計(jì)原則設(shè)計(jì)出來(lái)華為云區(qū)塊鏈服務(wù)獨(dú)特的架構(gòu)，能為企業(yè)和開(kāi)發(fā)者提供企業(yè)級(jí)區(qū)塊鏈服務(wù)，具備以下幾個(gè)方面的技術(shù)特色和優(yōu)勢(shì)：

高性?xún)r(jià)比

· 一站式開(kāi)發(fā)、測(cè)試

通過(guò)華為軟件開(kāi)發(fā)服務(wù)可以快速開(kāi)發(fā)、測(cè)試和部署區(qū)塊鏈業(yè)務(wù)應(yīng)用和智能合約代碼，為用戶(hù)簡(jiǎn)化 CI/CD 流程，降低用戶(hù)開(kāi)發(fā)和集成成本。DevCloud 是集華為研發(fā)實(shí)踐、前沿研發(fā)理念、先進(jìn)研發(fā)工具為一體的研發(fā)云平臺(tái)；面向開(kāi)發(fā)者提供研發(fā)工具服務(wù)，讓軟件開(kāi)發(fā)簡(jiǎn)單高效。

· 一鍵上鏈

讓企業(yè)和開(kāi)發(fā)者最快 5 分鐘完成企業(yè)級(jí)商用區(qū)塊鏈服務(wù)的部署和運(yùn)行，相對(duì)自建區(qū)塊鏈能節(jié)省 80%的開(kāi)發(fā)和部署成本。

· 按需付費(fèi)

用戶(hù)可以根據(jù)需求對(duì)使用的資源進(jìn)行動(dòng)態(tài)調(diào)整，根據(jù)需要付費(fèi)，能減少 60%的初始成本和運(yùn)行使用成本。

· 全程運(yùn)維和監(jiān)控管理

BCS 和華為云平臺(tái)，為區(qū)塊鏈客戶(hù)提供全系列的系統(tǒng)狀態(tài)、性能和交易情況的監(jiān)控，運(yùn)維，報(bào)警能力，能為用戶(hù)降低運(yùn)維成本。

高性能

· 高效接入

華為云具備電信的高速網(wǎng)絡(luò)通信能力，和高并發(fā)、快速接入的能力，能最大可能的滿(mǎn)足用戶(hù)對(duì)區(qū)塊鏈高效接入的需求。

· 高性能共識(shí)

BCS 為用戶(hù)提供多種高效共識(shí)算法（SOLO，基于 Kafka 的 CFT 故障錯(cuò)誤容忍，F(xiàn)BFT），F(xiàn)BFT 是對(duì)拜占庭容錯(cuò)共識(shí)算法進(jìn)行深度優(yōu)化，在安全和效率達(dá)到最佳平衡點(diǎn)。用戶(hù)可以在 2000+TPS 和 10000+TPS 共識(shí)算法上根據(jù)業(yè)務(wù)需求和場(chǎng)景進(jìn)行選擇。

· 秒級(jí)共識(shí)

用戶(hù)可以根據(jù)業(yè)務(wù)需求將交易速度設(shè)置到到秒級(jí)甚至更低，滿(mǎn)足業(yè)務(wù)性能需求

· 高效的存儲(chǔ)速度

BCS 將區(qū)塊鏈賬本存儲(chǔ)到華為云高效彈性存儲(chǔ)文件中，能最大程度滿(mǎn)足用戶(hù)海量快速存儲(chǔ)需求，根據(jù)市場(chǎng)需求逐步推出區(qū)塊數(shù)據(jù)存儲(chǔ)到關(guān)系型數(shù)據(jù)庫(kù)的能力，從不同角度滿(mǎn)足用戶(hù)對(duì)存儲(chǔ)速度的要求。

高安全

區(qū)塊鏈業(yè)務(wù)存在以下安全需求：

· 聯(lián)盟鏈的特點(diǎn)：節(jié)點(diǎn)、賬本的可控制，滿(mǎn)足監(jiān)管和準(zhǔn)入需求。

· 通過(guò)分布式賬本實(shí)現(xiàn)不可篡改的加密交易數(shù)據(jù)。

· 交易可追溯不可抵賴(lài)。

· 隱私保護(hù)：交易匿名，交易不可關(guān)聯(lián)。

· 可監(jiān)管和審計(jì)。

華為 BCS 通過(guò)三種途徑保護(hù)區(qū)塊鏈安全：

· 使用華為云安全保護(hù)區(qū)塊鏈系統(tǒng)可靠運(yùn)行。

· 基于 Hyperledger 的安全體系通過(guò)證書(shū)管理，鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)等手段實(shí)現(xiàn)不可篡改、隱私保護(hù)的能力。

· BCS 在此基礎(chǔ)上對(duì)高安全要求用戶(hù)提供更進(jìn)一步的安全隱私保護(hù)，如通過(guò)硬件保護(hù)密鑰，同態(tài)加密和零知識(shí)證明等。

高可用

· 高可用架構(gòu)

BCS 運(yùn)行在高可用華為云上以及基于 Kubernetes 和 Docker 構(gòu)建，具備快速拉起，節(jié)點(diǎn)和成員彈性伸縮能力以及節(jié)點(diǎn)故障自動(dòng)恢復(fù)能力，從架構(gòu)根本上保障區(qū)塊鏈系統(tǒng)的高可用能力

· 高可用的接入和存儲(chǔ)方式

提供原生 SDK、SQL-API 和 Restful API 三種智能合約調(diào)用方式，用戶(hù)可以根據(jù)不同業(yè)務(wù)需求和使用習(xí)慣選擇可用的接入方式。區(qū)塊鏈賬本使用云彈性存儲(chǔ)系統(tǒng)進(jìn)行存儲(chǔ)，具備安全、彈性擴(kuò)充、海量存儲(chǔ)和自動(dòng)備份的能力，實(shí)現(xiàn)存儲(chǔ)的高可用。同時(shí)為區(qū)塊提供文件存儲(chǔ)和關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)兩種可選方式，用戶(hù)也可以通過(guò)關(guān)系型數(shù)據(jù)庫(kù)的高可用性來(lái)保障區(qū)塊的穩(wěn)定和可用。

· 提供全球部署和多種部署方式

華為云區(qū)塊鏈服務(wù)將逐步實(shí)現(xiàn)在華為云不同管理域和全球合作云上部署的能力，逐步具備區(qū)塊鏈全球部署能力，最大程度實(shí)現(xiàn)區(qū)塊鏈的多中心化的能力，保障區(qū)塊鏈系統(tǒng)的安全和高可用。華為云區(qū)塊鏈服務(wù)實(shí)現(xiàn)聯(lián)盟鏈和私有鏈的部署方式，能滿(mǎn)足不同企業(yè)和用戶(hù)對(duì)區(qū)塊鏈系統(tǒng)的部署要求。

華為對(duì)區(qū)塊鏈的整體構(gòu)想

華為區(qū)塊鏈的整體構(gòu)想是：聚焦典型應(yīng)用領(lǐng)域，以區(qū)塊鏈平臺(tái)為核心，聯(lián)合網(wǎng)絡(luò)和可信硬件執(zhí)行環(huán)境（終端+芯片），形成三位一體的端到端區(qū)塊鏈框架，實(shí)現(xiàn)軟件+硬件結(jié)合，提供更快、更安全的區(qū)塊鏈端到端解決方案。

可信硬件執(zhí)行環(huán)境：加強(qiáng)硬件能力，軟硬結(jié)合，大幅提升區(qū)塊鏈的安全性和性能

安全和性能是制約區(qū)塊鏈網(wǎng)絡(luò)發(fā)展的兩個(gè)關(guān)鍵技術(shù)因素，所有的區(qū)塊鏈都是在這兩者之間尋求平衡。目前的技術(shù)主要是在共識(shí)算法和共識(shí)機(jī)制等軟件層面進(jìn)行提升，而未來(lái)通過(guò)可信硬件環(huán)境提供芯片層級(jí)的區(qū)塊鏈安全和性能加速，是業(yè)界考慮的一個(gè)重要方向。

我們?cè)概c各方產(chǎn)業(yè)伙伴一起，構(gòu)建安全高效的區(qū)塊鏈網(wǎng)絡(luò)。

網(wǎng)絡(luò)：網(wǎng)絡(luò)要納入到區(qū)塊鏈中，成為區(qū)塊鏈中重要一環(huán)

面對(duì)區(qū)塊鏈未來(lái)發(fā)展，網(wǎng)絡(luò)面臨兩個(gè)問(wèn)題：

· 隨著 hyperledger 等技術(shù)的改進(jìn)，區(qū)塊鏈的應(yīng)用領(lǐng)域已經(jīng)發(fā)生改變，支持的節(jié)點(diǎn)數(shù)也在不斷增加。在當(dāng)前 P2P 架構(gòu)網(wǎng)絡(luò)下小量節(jié)點(diǎn)的互聯(lián)沒(méi)有問(wèn)題，但面對(duì)未來(lái)區(qū)塊鏈的節(jié)點(diǎn)數(shù)的激增，對(duì)于上百節(jié)點(diǎn)的區(qū)塊鏈，P2P 大面積的發(fā)送廣播報(bào)文，將會(huì)對(duì)網(wǎng)絡(luò)帶寬產(chǎn)生極大的浪費(fèi)。

· 區(qū)塊鏈早期的設(shè)計(jì)是去中心化，以降低集中核心故障或存在數(shù)據(jù)不可信的影響。而隨著聯(lián)盟鏈的普遍使用，當(dāng)初的去中心正在向多中心的方向進(jìn)行發(fā)展，區(qū)塊鏈僅解決分布式部署下，數(shù)據(jù)中心的賬本一致性問(wèn)題，而網(wǎng)絡(luò)在承載中的可靠性尚未考慮。

華為認(rèn)為網(wǎng)絡(luò)設(shè)備要納入?yún)^(qū)塊鏈的鏈條，增強(qiáng)網(wǎng)內(nèi)可靠性。伴隨著邊緣計(jì)算的普及，當(dāng)前的網(wǎng)絡(luò)設(shè)備已經(jīng)部分具備一定的計(jì)算能力，依托網(wǎng)絡(luò)邊緣的計(jì)算能力，將網(wǎng)絡(luò)設(shè)備納入?yún)^(qū)塊鏈，即保證了網(wǎng)絡(luò)設(shè)備的安全性，同時(shí)將網(wǎng)絡(luò)信息作為鏈上信息的一環(huán)，一方面緩解云平臺(tái)的在大量節(jié)點(diǎn)下對(duì)計(jì)算和存儲(chǔ)的壓力，另一方面也對(duì)未來(lái)大量的 IoT 設(shè)備的合法接入進(jìn)行認(rèn)證管理。針對(duì)區(qū)塊鏈設(shè)計(jì)網(wǎng)絡(luò)演進(jìn)是未來(lái)考慮的一個(gè)方向。

華為對(duì)區(qū)塊鏈未來(lái)發(fā)展判斷

區(qū)塊鏈?zhǔn)情_(kāi)放的數(shù)字價(jià)值的流轉(zhuǎn)，其構(gòu)建一種新型的價(jià)值網(wǎng)絡(luò)，用技術(shù)為信任背書(shū)，對(duì)其未來(lái)的發(fā)展判斷如下：

· 從應(yīng)用維度上，2018 年是區(qū)塊鏈的應(yīng)用元年，在標(biāo)準(zhǔn)沒(méi)有完善前，在不同行業(yè)的試用是重點(diǎn)，政府?dāng)?shù)據(jù)存證、IoT 領(lǐng)域物流和車(chē)聯(lián)網(wǎng)的應(yīng)用、運(yùn)營(yíng)商云網(wǎng)協(xié)同和供應(yīng)鏈金融將進(jìn)入首發(fā)試用陣容。本質(zhì)上這些領(lǐng)域急需借助區(qū)塊鏈構(gòu)建公開(kāi)透明的營(yíng)商環(huán)境。

· 從技術(shù)維度上，安全是構(gòu)建區(qū)塊鏈需要考慮的重要問(wèn)題，國(guó)密算法將會(huì)成為區(qū)塊鏈在國(guó)內(nèi)主要市場(chǎng)應(yīng)用標(biāo)準(zhǔn)，區(qū)塊鏈的框架將包含云，管，端三層，以軟件+硬件相配合的方式，構(gòu)建高度可靠的安全能力。

· 從區(qū)塊鏈產(chǎn)業(yè)發(fā)展上看，中美歐會(huì)成為區(qū)塊鏈應(yīng)用的重要區(qū)域，區(qū)塊鏈不會(huì)曇花一現(xiàn)，我們可以依靠區(qū)塊鏈在技術(shù)競(jìng)爭(zhēng)中占據(jù)先機(jī)，而這些需要明朗的產(chǎn)業(yè)政策給予保障，目前看到國(guó)內(nèi)從中央到地方政府機(jī)構(gòu)都在努力構(gòu)建區(qū)塊鏈的孵化環(huán)境，推動(dòng)區(qū)塊鏈產(chǎn)業(yè)健康發(fā)展。這就為我們發(fā)展區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)造了良好環(huán)境。

基于以上判斷，為有效推動(dòng)區(qū)塊鏈產(chǎn)業(yè)的快速發(fā)展，實(shí)現(xiàn)建立可信社會(huì)的目標(biāo)，有如下建議：

· 依托聯(lián)盟，形成產(chǎn)業(yè)合作，加速我國(guó)區(qū)塊鏈標(biāo)準(zhǔn)快速落地

區(qū)塊鏈技術(shù)尚未成熟，從國(guó)內(nèi)外的標(biāo)準(zhǔn)推動(dòng)來(lái)看，區(qū)塊鏈標(biāo)準(zhǔn)在 2017 年有推進(jìn)但速度較慢，這極大影響了區(qū)塊鏈的產(chǎn)業(yè)節(jié)奏；同時(shí)安全一直是區(qū)塊鏈技術(shù)的核心，但涉及到算法，系統(tǒng)等的標(biāo)準(zhǔn)問(wèn)題仍然存在。因此，建議以國(guó)家機(jī)構(gòu)牽頭，借助產(chǎn)業(yè)的力量，通過(guò)聯(lián)盟加速區(qū)塊鏈標(biāo)準(zhǔn)的制定，特別是跨鏈、加密算法等重點(diǎn)標(biāo)準(zhǔn)在國(guó)內(nèi)的落地，占領(lǐng)區(qū)塊鏈產(chǎn)業(yè)在國(guó)際上的話(huà)語(yǔ)權(quán)。

· 構(gòu)建區(qū)塊鏈產(chǎn)業(yè)孵化環(huán)境，推動(dòng)區(qū)塊鏈產(chǎn)業(yè)發(fā)展

鼓勵(lì)從企業(yè)到政府的區(qū)塊鏈應(yīng)用試點(diǎn)，在國(guó)內(nèi)建立區(qū)塊鏈的應(yīng)用孵化環(huán)境，在應(yīng)用中發(fā)現(xiàn)問(wèn)題，逐步推進(jìn)?，F(xiàn)在有些區(qū)塊鏈項(xiàng)目說(shuō)的多，做的少，以炒概念而獲得投資為目標(biāo)，這對(duì)整個(gè)區(qū)塊鏈產(chǎn)業(yè)的健康發(fā)展是不利的。因此，建議國(guó)家或重點(diǎn)企業(yè)積極進(jìn)行試點(diǎn)，推動(dòng)區(qū)塊鏈應(yīng)用孵化，優(yōu)化產(chǎn)業(yè)環(huán)境，加速產(chǎn)業(yè)成熟，在新一輪的區(qū)塊鏈?zhǔn)袌?chǎng)競(jìng)爭(zhēng)中獲得先機(jī)。

· 清晰化區(qū)塊鏈技術(shù)和應(yīng)用的產(chǎn)業(yè)政策

目前我國(guó)的區(qū)塊鏈產(chǎn)業(yè)政策由各部門(mén)和部分省市分別進(jìn)行小范圍的推廣，結(jié)合我國(guó)在互聯(lián)網(wǎng)+的發(fā)展思路，政府需要明確清晰的區(qū)塊鏈產(chǎn)業(yè)政策，展開(kāi)對(duì)區(qū)塊鏈技術(shù)的支持、標(biāo)準(zhǔn)的推進(jìn)、區(qū)塊鏈方案的研發(fā)、示范性工程的建立等等一系列行動(dòng)。特別是對(duì)區(qū)塊鏈應(yīng)用的監(jiān)管和放權(quán)并舉，推動(dòng)區(qū)塊鏈技術(shù)和應(yīng)用在市場(chǎng)中良性發(fā)展。

· 積極參與開(kāi)源社區(qū)，倡導(dǎo)企業(yè)間區(qū)塊鏈技術(shù)的互通交流

鼓勵(lì)在參加國(guó)際區(qū)塊鏈開(kāi)源社區(qū)，快速完善區(qū)塊鏈能力的同時(shí)，加強(qiáng)國(guó)內(nèi)企業(yè)間的合作，對(duì)區(qū)塊鏈技術(shù)進(jìn)行攻關(guān)、方案研討、技術(shù)貢獻(xiàn)等，聚攏產(chǎn)業(yè)力量，提高國(guó)內(nèi)企業(yè)在國(guó)際區(qū)塊鏈技術(shù)競(jìng)爭(zhēng)中的影響力，實(shí)現(xiàn)產(chǎn)業(yè)共贏(yíng)。