【51CTO.com原創稿件】前言：商業活動中，在不涉及貨幣的前提下獲取信任往往是一件相當困難的事情。因此市場上也出現了各種各樣的認證機構和方法。而在網絡上，廣義信任的獲取則是數據流通領域一個無法回避的話題。為了確定信息的可靠，各類加密算法、認證體系與破解、黑客和攻擊行為一道，進行了長達數十年“道高一尺、魔高一丈”的較量。而比特幣所使用的區塊鏈技術則為這場攻防戰中的守方提供了一個可靠的全新思路。

讓我們來換一種姿勢理解比特幣背后的意義：利用區塊鏈這一核心技術，所有參與者依靠網絡和算力來共同維護一段數據的始終可靠，而代幣只是系統給予所有付出算力與網絡資源的參與者的一種激勵機制。

2008年，中本聰發表了比特幣白皮書《比特幣：一種點對點的現金支付系統》。2009年1月3日，比特幣網絡誕生，中本聰本人發布了開源的第一版比特幣客戶端，比特幣的故事由此開始了。作為比特幣的核心算法機制，區塊鏈憑借其去中心化、去信任、共同維護及高可靠等特點也終于在比特幣開始流行之后受到了市場的關注。

經過幾年的發展，利用比特幣算法的思路，很多企業已經在各種領域發展出了不同特點、不同應用的多種區塊鏈技術，他們或被開發用來維護一類數據的可靠、可追溯，或被開發用來單純的發幣，無數企業懷揣不同目的進入了這個領域，也造就了這一領域的飛速發展和無數一夜暴富的神話。而圍繞區塊鏈技術的不同應用方向，這一領域也形成風格各不相同的兩個圈子——幣圈和鏈圈。

鏈圈中的高峰對話

但拋開魚龍混雜、亂象叢生的幣圈。在鏈圈中耕耘的企業往往對區塊鏈技術本身有著更為深刻的執念，他們堅信這種新的數據流通體系能夠創造出一個更可信、更安全的網絡環境。與幣圈所關注的“如何一夜暴富”不同，主要由技術宅、極客型公司和大企業前沿部門組成的鏈圈似乎對區塊鏈真正的商業化應用及其技術發展方向更感興趣。而當這群鏈圈大咖聚在一起的時候，一場干貨滿滿的技術盛宴便會上演。2018年5月15日，在第四屆Think in Cloud大會上，一場名為“深入BlockChain，區塊鏈安全應用落地實踐”的專題討論會就是這樣一場區塊鏈的技術饕餮。

在本次區塊鏈專場中，UCloud安全中心負責人、高級總監宗澤，智鏈ChainNova CEO董寧，上海交通大學副教授夏虞斌，Intel中國安全辦公室資深安全解決方案架構師王立剛，中國人民保險集團總部業務主管李赫，Blockshine博聚科技高級區塊鏈工程師孟祥熙等來自區塊鏈上下游、產學研用等多個領域的專家齊聚一堂，就區塊鏈場景化應用以及安全機制等方面的議題開展了多場專題演講。

區塊鏈的商業模式與技術平臺

作為本次區塊鏈專題論壇的開場，智鏈ChainNova CEO董寧分享了關于區塊鏈商業模式的獨到見解，而這顯然也是廣大與會者最為關心的問題。

雖然董寧以智鏈CEO的身份開始了演講，但在商人身份的背后，董寧還擁有北京大學新一代信息技術研究院金融科技研究中心主任、工信部通信院“可信區塊鏈”副理事長、國際電聯分布式賬本技術焦點組Champion、Linux基金會Hyperledger超級賬本技術大使等多重身份。 

Gartner2017新技術成熟度曲線

一開場，董寧就為所有與會者潑了一盆“冷水”：根據Gartner公布的2017新技術成熟度曲線，目前區塊鏈技術正處在期望膨脹期的末端。而這意味著區塊鏈技術的發展即將進入之后的幻滅期。雖然在幻滅期中，很多技術分支會被市場遺忘，很多企業會退出這一領域；但隨之而來的成熟期將使區塊鏈迎來新生。

而就現階段來講，區塊鏈的三種形式——公鏈、聯盟鏈和私鏈中，最有商業前景的仍然是聯盟鏈。首先，公鏈效率太低，且去中心化的結構也與很多政府機構強調監管和控制的初衷不符。而私鏈的應用又太小，無法獲得足夠廣闊的商業模式和市場認可。因此，聯盟鏈是目前區塊鏈商業落地中比較符合實際的選擇；而事實上，目前能夠落地的大多數區塊鏈也都屬于聯盟鏈這一范疇。

而在確定一個區塊鏈產品是否具備落地能力之前，區塊鏈公司更多應該考慮兩點：一是區塊鏈產品是否能夠幫助用戶提升生產效率、優化業務流程；二是區塊鏈產品是否能夠幫助企業壓縮生產流程中所產生的成本。

如果能夠做到這兩點，那么這個區塊鏈的產品才是有可能落地的，對應的企業才有可能挨過區塊鏈技術的幻滅期。

區塊鏈+IoT，驅動未來社會

在對區塊鏈的整體商業模式進行展望之后，區塊鏈技術及產品的具體落地就成為了與會者最關心的議題。在本次區塊鏈技術專題論壇中，Blockshine博聚科技高級區塊鏈工程師孟祥熙也分享了自己在物聯網+區塊鏈這一商業模式中的一些思索和成功經驗。 

[[229746]]

眾所周知，在未來的物聯網世界，越來越多的設備都會與網絡連接。而這些設備除了會在網絡上接受控制指令，更會產生海量的數據。而這些數據對于大數據分析、深度學習研究以及商業流程的優化等領域來說都是非常寶貴的，是值得被交易的。既然這些數據有巨大的價值，且能夠被交易；那么如何保證這些被交易的物聯網數據是真實有效的呢？此時，區塊鏈的價值就凸顯出來了。

孟祥熙表示：區塊鏈可以保證數據的真實、不可篡改和可追溯。而未來，隨著區塊鏈存儲性能的提升，物聯網的所有數據都可以用區塊鏈的形式來存儲，保證所有數據來源真實，去向可追溯。這對數據的確權、數據收益的分配均有重大意義。也只有這些問題被解決之后，物聯網以及數據的價值才能被真正的體現。

目前，已經有很多區塊鏈產品遵循這一商業邏輯實現了落地，在農業、保險等領域發揮著自己的作用，成為整個物聯網、區塊鏈產業落地應用的燈塔。

區塊鏈在保險行業的應用思考

當然，除了物聯網之外，區塊鏈技術本身的金融屬性使其目前更容易被金融企業以及其他企業的金融屬性部分所采用。但從很多金融企業的視角來看，目前區塊鏈技術的應用價值卻是存疑的。

對此，中國人民保險集團總部業務主管李赫直言不諱：首先，區塊鏈及智能合約能實現的功能和及其可靠性，現有的IT系統都能實現。而區塊鏈只不過是去掉了其中的中介機構。其次，區塊鏈所實現的并不是業務性能的提升，而是業務模式的改變。相反的，區塊鏈不僅不能提升性能，從目前的區塊鏈效率來看，區塊鏈的性能與傳統架構相比甚至是大幅度下降的。而更重要的一點則在于區塊鏈只能保證鏈內生成信息的可信性，對于生成于鏈外的信息的可靠性，區塊鏈無能為力。最后，區塊鏈本身并不能直接作用于實體經濟。

雖然從這些區塊鏈的短板來看，這種技術并不具備改變世界的能力。但金融類企業仍然可以利用區塊鏈的特點實現業務模式的轉變，從而達到業務進化的目的。

例如在車險信息共享領域，保險行業內部會有一個公共的車險信息平臺，這一平臺會記錄不同公司、不同用戶的投保情況和出險記錄，供業內企業進行查詢。由于這些信息的公開，最終導致各家企業的成本趨同，而最終車險的價格也會趨同。

而在區塊鏈技術的幫助下，行業協會便不用花費高額費用來建立和維護這種行業內部的公共平臺。每個用戶只需將自己的信息通過區塊鏈貢獻出來，保險公司也把自己的信息貢獻出來，同樣可以形成一個可信的、包含所有數據的公共查詢平臺。從而降低了整個行業的業務成本，用戶也能通過這一業務模式的轉變而獲得保費降低的紅利。

雖然區塊鏈目前還面臨著多種問題，但金融行業已經開始基于區塊鏈的特點，開始嘗試多種業務模式的更新和進化。

區塊鏈及數字貨幣的安全

作為一種以金融及其相關領域為主攻方向的技術，安全始終是所有區塊鏈的用戶最關心的。雖然所有的區塊鏈技術都號稱安全、可追溯，但從目前的情況來看，區塊鏈的安全形勢卻并不樂觀。 

[[229747]]

UCloud安全中心負責人、高級總監宗澤發表演講

對此，UCloud安全中心負責人、高級總監宗澤表示：截至到2018年4月，從公開信息渠道能夠確認的針對交易平臺和礦場的盜幣行為已經造成了超過8.4億美元的損失。而這其中，發生在2018年的損失金額就已經達到了5億美元。 

[[229748]]

Coincheck因漏洞被攻擊后網站負責人向公眾道歉

另一方面，越來越多的黑客也開始將手中掌握的僵尸網絡直接用于挖礦，而非過去的DDOS攻擊。通過盜取被木馬感染的肉雞的計算資源，黑客可以更快速、更隱蔽的直接獲取經濟利益。而且由于代幣交易的匿名性質，這種行為更難被追責或起訴。相對于DDOS攻擊的高風險，這種盜竊計算資源用以挖礦的手段顯然“利潤更高、更安全”。

對此，宗澤表示：目前，僅UCloud平臺檢測到的挖礦木馬及其變種就已經超過了30個。以感染率較高的ddg木馬為例，僅目前能夠追查到的3個電子錢包地址就已經出售了90-100萬美元的比特幣。而這些贓款所對應的比特幣全部由被木馬所控制的肉雞挖礦所得。當然，ddg木馬應該還有更多未被發現的電子錢包地址。除此之外，一些網站、甚至WiFi路由都可能被黑客攻陷并掛載挖礦腳本，讓訪問這些網站和連接這些WiFi的設備成為黑客們攫取利潤的工具。

造成這一切的原因非常簡單：雖然區塊鏈技術所使用的算法和架構本身相對很安全，但圍繞在區塊鏈周邊的交易平臺、礦場以及電子錢包等應用卻仍舊缺乏有效的保護，以至于黑客依然有很多可乘之機。而敏銳的黑客們也嗅到了電子代幣生態圈所蘊含的價值，正在瘋狂開發各種手段來實現盜竊計算資源和用戶代幣的目的。

目前，針對代幣領域，已經發現的攻擊手段包括以下幾種：木馬控制肉雞挖礦、利用交易平臺網站漏洞盜幣、利用電子錢包漏洞盜幣、劫持交易平臺或電子錢包域名盜幣、面向交易平臺員工的釣魚以獲取權限等幾種。而除此之外，黑客們還開發出了一些更具威脅性的攻擊手段，而這些攻擊手段甚至已經嚴重威脅到了區塊鏈最核心的節點通訊機制。 

[[229749]]

日食攻擊示意圖

2018年，研究者們發現，黑客可以通過一種名為日食攻擊的方式將區塊鏈中的節點與其他節點進行隔離。利用網絡層上持續不斷的攻擊，黑客可以霸占受害節點與區塊鏈中其他P2P節點之間的通訊連接，從而將節點隔離在一個封閉的網絡環境中。而一旦被隔離的節點超過一定數量，整個區塊鏈的數據一致性就會徹底崩盤，進而給攻擊者留下重復支付的空間。如果這種攻擊方法被黑客廣泛采用，那么區塊鏈得以存在和發展的基礎將不復存在，后果不堪設想。

作為網絡數據可信流通的一種全新思路，區塊鏈的誕生能夠讓數據變得更可靠，并降低可信認證的成本。但因為區塊鏈技術本身的稚嫩以及周邊生態環境的惡劣，目前的區塊鏈和代幣市場仍舊充滿了各式各樣的安全威脅。網絡攻防“道高一尺、魔高一丈”的現狀仍沒有得到根本性的改變，網絡安全仍舊任重而道遠。

那么，在現階段如何才能最大限度的提升區塊鏈落地應用的安全性呢？答案其實很簡單：上云！

安全屋——數據的可信流通平臺

作為國內中立云服務提供商的代表，UCloud在安全方面的投入及研究始終保持領先。而在數據流通的安全機制方面，UCloud更是與國內領先的上海交通大學合作，推出了TEE+安全屋的全新解決方案。對此，上海交通大學副教授夏虞斌也在本次區塊鏈安全應用專題討論中做了詳細介紹。 

[[229750]]

上海交通大學副教授夏虞斌發表演講

夏虞斌表示：在傳統的云平臺上，數據雖然可以被加密存儲，但其在流通環節中卻很難做到加密。內存、網卡、總線、CPU以及虛擬化平臺層中的數據很可能都以明文方式存在和傳輸，這就使得數據安全很難得到根本上的保證。

因此，在云平臺上的數據提供方和算法提供方（數據使用方）之間很難達成真正的信任。雙方之間的任何合作都只能建立在對云平臺的安全依賴上。這種依賴需要基于五種假設：所有管理員均可信、攻擊者無法接觸硬件設備、云端軟件設計均為安全的、云端硬件均為安全的、云端CPU是安全的。而且這五種假設必須同時成立，云端數據的流通才能真正做到安全。但顯而易見的是，在多數情況下，這些假設是無法同時成立的。

基于安全處理器的系統及平臺

而UCloud所推出的安全屋平臺則可以通過軟件+硬件的方法讓內存、網卡、總線、虛擬化平臺層中流通的數據均以加密形式存在，將未經授權的數據使用和拷貝情況降至最低。同時，利用新一代處理器所擁有的安全黑箱機制，保證在CPU中明文數據的處理能夠在一個物理隔離的黑箱中完成；從而徹底杜絕數據泄露的風險。

通過這一解決方案，數據提供方與數據的眾多使用方之間可以建立起以技術為保障的完全信任，為數據的商業化提供強大保障，進而推動以數據為基礎的全新商業模式的出現。當然，這一技術對區塊鏈的部署以及運行在云端的交易平臺同樣有效。同時，UCloud在云平臺整體安全性上的多重技術保障亦能讓區塊鏈及周邊應用生態獲得更可靠的安全運行環境。

區塊鏈的未來仍舊充滿光明

在本次Think in Cloud大會的區塊鏈安全應用落地時間專題論壇中，參與演講的多位嘉賓不僅探討了區塊鏈技術的商業模式以及在不同行業中的應用現狀，更詳細地剖析了區塊鏈作為一種可信技術目前所面臨的各種實際安全威脅以及對應的解決方案。

坦率地說，區塊鏈技術目前仍舊處在相當稚嫩的階段，而且能夠實現商業或落地的場景也十分有限，但其前景仍舊是充滿光明和希望的。另一方面，區塊鏈本身及其周邊生態雖然面臨著多種安全風險，但與之相對應的解決方法也同樣存在。而隨著技術的進步，區塊鏈本身的安全性以及能夠為其可信性提供支持的各種解決方案將會更加成熟。屆時，區塊鏈技術將會迎來真正的成熟期，其商業化前景也將更加廣泛。 

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】