2017 年 1 月,兰德欧洲受英国标准机构(BSI)委托开展快速研究,探究标准在支持分布式分类技术(DLT)/ 区块链方面的潜在作用。这份报告记录了这项为期六周的研究成果。DLT/ 区块链指的是分布于多个地点(即一个分布式数据库)的数据库,它就像一个电子账本一样,可以用于记录和管理事务。虽然这项技术目前还处于早期阶段且挑战仍然艰巨,但很明显,DLT/区块链在多个领域都有着巨大的潜在机遇。此外,与 DLT/ 区块链相关的标准化工作近期也在逐渐开展,国际标准化组织(简称 ISO)还成立了区块链和电子分布式分类技术委员会。
背景和环境
分布式账本技术(DLT)近年来越来越受到人们的关注,它是一种在组织内部以及组织之间存储和更新数据的创新方法。DLT/ 区块链与其他数据库不同的关键特性,与它的分布式特性相关联。账本的副本由多方持有,通过各方商议添加数据,不需要第三方。这意味着 DLT/区块链:
记录不可变:理论上,账本上添加的数据是不变的、安全的且随着账本存在消失的,其内容由所有参与者共同决定。
非中介化:节点能够直接交互,不需要 媒介。这包括节点有能力直接发起数据或数字化资产传输(可能是一种专用的加密货币,如比特币,或者是现实世界资产的数字表示,如 土地所有权或法定货币)。
没有集中控制方。账本内容的增加或管理结构的更改需由多个参与者协商进行。
管理和共享数据的新机会。这些机会是通过使参与者能够对各种形式的数据进行存储和访问实现的。
这些系统提供了一系列透明可验证的交易记录。因此,DLT/ 区块链可以为账本持有者增加效率、信任和数据认同。虽然金融部门广泛对 DLT/ 区块链有初步兴趣,教育、创意产业、农业和食品行业(这里只列举了几个行业)也对区块链的应用进行了探索。
研究目标
随着 ISO 区块链和电子分布式账本技术 (ISO,2017a)委员会(ISO technical committee on Blockchain and electronic distributed ledger technologies)的建立,与 DLT/ 区块链相关的标准化工作也逐渐开始。在这一不断变化的背景 下,BSI(英国标准学会)委托兰德欧洲(RAND Europe)进行快速概括研究,了解与 DLT/ 区块链相关的、可能需要根据英国利益相关者的需求进行标准化的一些领域。本研究旨在帮助 BSI 找到制定 DLT/ 区块链相关标准策略的方法。此外,本研究将被 BSI 收入,用于 DLT/ 区块链 ISO 技术委员会的讨论中。更具体地说,这项研究的目的有三:
根据利益相关者的需要,探索标准在支持 DLT/ 区块链中的潜在作用;
确定哪些行业未来从 DLT/ 区块链标准中受益最大,加速区块链技术的实现;
确定共同开发 DLT/ 区块链相关标准的关键利益相关者。
方法
为了实现这些目标,兰德欧洲:
(a)快速总结了相关文献,探索了与 DLT/ 区块链相关的挑战和机会;
(b)对利益相关者进行了广泛咨询,旨在对证据审查的结论进行验证,并更好地了解在英国范围内制定标准的未来影响;
(c)综合证据,确定一系列需要 DLT/ 区块链群体进一步考虑的领域,探究标准 化对该领域的潜在作用。本研究的目的不是列出最终主题列表,而是激起 DLT/ 区块链群体的深入讨论,探究标准在支持区块链技术发展和应用方面的潜在作用。
分析得出的主要发现
我们的方法是先确定与 DLT/ 区块链相关的主要挑战和机会,并为利益相关者从其中推断出一组优先问题,这些问题有可能通过制定标准得到解决。
评估与 DLT/ 区块链相关的挑战和机遇
为了广泛了解 DLT/ 区块链技术以及标准可能如何影响区块链技术发展和应用,就有必要了解 DLT/ 区块链所面临的挑战,这些挑战不仅与市场和终端用户对该技术的发展和采用有关,还与治理和实施有关;还有该技术提供的改善商业实践等机会,如在操作层面上降低成本、增强交易系统韧性,以及该技术的特殊应用,如数字身份管理和智能合约。
表 1 对访谈和快速证据评估中得出的有关 挑战和机会的主要结论进行了总结。
标准在支持 DLT/ 区块链中的预期作用
标准在确保多个 DLT/ 区块链实施的互操作性方面能够发挥重要作用,这有助于降低生态系统的分散化风险
大部分受访者提到的未来标准,都旨在确保当前或未来多个 DLT/ 区块链实施之间的互操 作性。随着区块链技术被更广泛的应用,使各种系统能够使用普遍理解的“语言”来“交谈”、保证交换数据的完整性就变得异常重要。特别是,在受到许可和未受到许可的 DLT/ 区块链措 施需要“交谈”时,互操作性可能就变得非常重要。互操作性标准可以帮助降低 DLT/ 区块链领域的碎片化风险,若碎片化发生,大量用例、应用程序和系统将无法相互作用。随着用例的应用涉及越来越多的部门,标准还可以帮助建立各部门内部和部门之间的可操作性,帮助建立一个有竞争力的市场。(米尔斯等人,2016; 拉马尔克,2016;欧茨和萨姆达拉,2016)
当涉及到新的 DLT/ 区块链架构与遗留系统 交互时,也需要互操作性。这将使公司能够为现有系统的过渡制定计划,而且它还将促进较新的系统与更广泛的网络进行交互,并与第三方利益相关者系统和基础设施中的前架构进行交互。例如,在实践中,依赖于适用于整个行业的标准,市场参与者才能就金融交易的消息 / 通信标准达成一致,来与分布账本进行交互。(欧茨和萨姆达拉,2016)
尽管采访参与者的观点有相同之处,但我们对于互操作性的实际作用,以及需要在多大程度上达到互操作性仍不清楚。互操作性标准需要与利益相关者的目标一致且相称,从而确保创新的蓬勃发展。两名被采访者表示,不需要让所有应用程序都遵守相同的数据交换协议, 但需要用标准来确保“系统”(如国家、制造 者、行业)之间以及新架构与遗留系统之间的交互。这一立场与另一篇文章(梅尼尔和米尔 斯,2016)中的立场相呼应,这篇文章调查了 60 个开发商、法律界、会计实务、金融服务业、监管机构和标准机构。尽管被调查者认同标准对互操作性的作用,但参加了梅尼尔和米尔斯 (2016 )报告的受访者认为,互操作性可能属于标准化的低优先级事项。同样,SWIFT 研究所(2016)认为,从长远来看,全面的技术标准化可能比适用于不同措施的互操作标准更有用。
标准可以用来统一术语和词汇,建立更强的词汇共识,这可以深化人们对技术的理解,帮助市场进步
对 DLT/ 区块链技术的不成熟感知,以及 DLT/ 区块链群体在使用有关该技术的术语(包括使用“DLT”和“区块链”)时的不清晰,被认为是阻碍该技术广泛应用的潜在挑战。人们缺乏对 DLT/ 区块链的定义及应用的认识,这被认为是阻碍区块链市场增长的障碍。在这方面,几位受访者建议就 DLT/ 区块链的定义和术语达成更广泛的共识。在文献(梅尼尔和米尔斯, 2016)中也有类似的观点,文章声称需采用分类和性能标准,标准中需包含了与 DLT/ 区块链相关的、以结果为导向的多组定义和分类。梅尼尔(2017)也提出了结果导向定义的必要性,将其作为生态系统中监管者和参与者评估 DLT/ 区块链的结果的一种方式,“而不是了解该技术运作方式的机制”。
然而,使术语标准化可能会是一个艰难的过程,因为许多公司在基于 DLT / 区块链开发系统、协议和服务时已经有了自己的定义和措施。一位受访者指出很难在短期内调和这些分歧。此外,DLT/ 区块链措施的使用及其在公司中的潜在角色可能会因商业部门而异。因此,与其试图创建一个完全标准化的、被所有人认同的定义列表,不如为该技术建立一个更简单的框架和指导,表明诸如如何将区块链作为替代方案(包括良好实践建议)。有受访者认为,与其试图制定权威术语定义,制定一个术语和定义的“术语表”可能更有助于使利益相关者进一步了解该技术。
通过制定标准解决 DLT/ 区块链的安全和韧性问题,以及相关的隐私和数据治理问题,有助于建立技术信任
依赖 DLT/ 区块链的组织需要仔细考虑终端用户数据的安全性和完整性。例如,DLT/ 区块链的分散性、分布式访问和网络中多个节点的管理权限可能会带来严重的安全风险,恶意实体可能通过多个“后门”来攻击系统。在这方面,几位被采访者建议,需要用标准化来确保网络的安全性和韧性,并促进信任,这对于该技术在中长期内的广泛采用是很重要的。此外,数据治理标准被认为是保护 DLT/ 区块链系统上的数据完整性、不被操纵的关键,这一标准还将减少人们对数据隐私的担心(梅尼 尔和米尔斯,20163)。与数据治理相关的标准可以覆盖个人记录的维护,以及数据所有权和数据传输原则(梅尼尔和米尔斯,20163)。梅尼尔(2017 6)进一步讨论了这一观点,提出了数据治理和责任标准应仔细考虑“数据聚合、共享和挖掘对公民自由的影响”。卡卡万德等人(2017)强调了需要用治理标准来促进 DLT/ 区块链实施,增强系统在面临隐私和网络安全风险时的韧性。在这方面,一名受访者建议说: (a)数据治理标准对培养终端用户和企业对技术的信任、促进技术的采用至关重要;(b)数 据治理标准可能会影响 DLT/ 区块链在协商和控制机制以及审核过程中的应用。
也可以针对安全制定数据治理标准,以保护终端用户的数据。另外,两名受访者认为,标准可能会使流程针对加密或如何处理用户节点而定义,从而帮助将网络安全控制嵌入 DLT/区块链服务(布莱德曼和姗帕布莱,2016)。所列出领域中的标准也可以用来证实交易的真实性,因此也可以推动系统信任和韧性的增长。然而,考虑到区块链技术仍处于萌芽阶段,当进行标准制定时,可能需要调查标准可能发挥的作用(包括以现有标准为基础来制定的可能性),进一步研究并了解安全标准应集中在哪些活动上。
标准可以在数字身份管理中发挥作用,并促进终端用户对区块链技术的信任
为了培养终端用户对区块链技术的信任,受访者普遍认为,很重要的是要允许终端用户和企业管理并验证交易对象。然而,现今仍存在一些用于身份验证和数字身份管理的流程(包括几个专有流程)。这就意味着,为了使数字身份的相关标准发挥作用,需要充分重视目标身份的性质(即主权、国家或世界身份)以及认证流程的目标。
一些受访者将其与互联网 / 网络进行了比较,提到了终端用户对各种互联网 / 网络平台的越来越不信任。他们认为,为了实现 DLT/ 区块链的跨部门采用,需要有健全的规范来保护终端用户的数字身份。一位被采访者声称,鉴于该技术的分布式特性,不仅需要对平台提供者采用验证机制,对系统中其他终端用户也是一样,这是在系统中建立信任的关键(参见政府科学 办公室对验证和互操作性的讨论,2016)。这将明显不同于当前的主流安全 / 信任机制,在现有机制中,终端用户在通过网络与中央权威(如公共部门或企业)交互时,进行的是自我身份验证。出于这个原因,另一位受访者认为,对、于 DLT/ 区块链实现来说,数字身份认证可能需要模拟线下世界中一对一的人类信任机制。这就是说可能需要修改现有的安全、电子身份和电子签名标准,以反映未来 DLT/ 区块链系统的操作复杂性。
从跨部门的角度来看,标准可以帮助管理 与身份、责任、义务和合规相关的风险(梅尼 尔和米尔斯,2016)。特别地,为确保 KYC/ AML 合规,通过基于 DLT/ 区块链的解决方案 (施瑞尔等人,2016)实现的用于金融交易的 数字身份验证可能与现有流程有所不同。这就 强调了在 DLT/ 区块链实施中评估和验证交易者 身份,更改现有标准以反映不断变化的业务实 践的重要性。标准还可以告知终端用户某个特 定的 DLT/ 区块链解决方案 / 平台在诸如“隐私 设计”、散列法效力以及数字身份保护措施上 的重视程度。在这种情况下,一名受访者建议, 可能需要特别制订标准,以满足特定 DLT/ 区块 链解决方案实施部门的要求。
标准可能会在看重来源追踪的行业中发挥作用
几位受访者提到了来源和利用 DLT/ 区块 链 进 行 来 源 追 踪(provenance tracking) 的 能 力 (即提供完整交易纪录的能力)对于释放其创 新潜力至关重要。特别是在实物交易行业中, DLT/ 区块链的来源追踪能力在将产品的数字身 份(和历史)与实物属性联系起来时至关重要, 这样才能达成商品跟踪(格林斯潘和兹哈维, 2016)。药品、单源产品供应链、钻石交 易和转让等行业可能会从标准(包括可适用的 特定部门标准)中受益,这为不同区域和国家的利益相关者提供了一个在产品和服务的整个 生命周期中,对它们进行验证、转让和交易的 方法。
有效实现来源跟踪的关键是数据——以及 多个利益相关方(可以是人类或自动化系统, 如机器)是如何进行数据交换的。这意味着标 准有机会,特别是在数据类型方面的标准,去 定义数据的存储方式,根据产品类型定义可能 的加密需求和级别,以及数据可以以及应当存 储的时间长度(INT01)。另一个需要考虑的方 面是标识化(tokenisation)机制(克里斯提迪 斯和迪威斯基托斯,2016),以及交易的复杂 性是否能使 DLT/ 区块链得到有效应用(格林斯 潘,2016)。然而,一位受访者表示,在考虑 广泛应用 DLT/ 区块链进行来源追踪之前,需要 建立基于 DLT/ 区块链的供应链交易规范。DLT/ 区块链的来源追踪用例仅限于小型试点,而对 于基于 DLT/ 区块链的解决方案的适用规模尚不 能完全确定。这表明,在讨论标准作用之前, 可能需要对用例和本体进行进一步的研究,以 强化 DLT/ 区块链设计,从而进行来源追踪。
现在考虑 DLT/ 区块链的技术方面相关标准可能还为时过早
目前,在技术标准(如数据存储的格式、 区块的大小、通信协议)及其对 DLT/ 区块链应 用的影响方面,各方的共识仍然有限。一些受 访者质疑了对 DLT/ 区块链技术本身实行标准化 过程的必要性。他们建议只对 DLT/ 区块链内的 特定应用程序实施标准化过程,并不一定要在 其他应用上实施。制定和采用技术方面的标准 可能会限制未来应用的开发。因为技术和用例仍在积极的发展中,这样的标准可能并不会有用。
然而,一名受访者表达了相反的观点,即 技术方面的标准可能会提高技术表现,尤其是交易处理时间的缩短。此外,技术的标准化, 例如消息传递结构标准,可能会被用在金融服 务中来协调交换的信息,最终满足 KYC 需求。 该受访者还建议,当涉及到技术标准时,应该 采取谨慎的方法,因为并非所有的技术都需要 标准化。
最后,在技术标准的制定(或不制定)上, 一个关键的观点是市场在支持技术增长方面的作用。考虑到技术相对来说还不成熟,针对技 术方面的标准可能会在这个阶段产生相反的效果。受访者强调,市场和基于行业的利益相关 者可以在技术标准制定方面发挥更大的作用。这一立场反映在了另一篇文献中,该文章认为,随着某些软件占据主导地位,技术方面的标准将会自然而然地在这些软件的应用程序编程接 口(APIs)中产生(梅尼尔和米尔斯,2016)。
标准可能对 DLT/ 区块链起支持作用的领域
我们确定了一些领域,在这些领域中标准可能会在不同程度上克服挑战,帮助 DLT/ 区块链生态系统创新、增长、更有竞争力。
我们列出的主题清单并不是最终的,我们的意图也不是强制性的;相反,这一列表包含的话题十分广泛,并将受益于 DLT/ 区块链人士对其的进一步探索和考量。文献综述和有关标准作用的采访中的证据表明,在近期和不久的将来,我们需要一种渐进的方法来制定标准。
现在考虑 DLT/ 区块链的技术相关标准可能还为时过早。虽然大多数受访者认为,从长远来看, 标准会影响 DLT/ 区块链的发展和应用,但很多人也认为我们可能需要更多的时间来制定一种更明智的方法,用这种方法来决定应该先考虑区块链技术及其应用在哪些方面。
在图 1 中,我们列出了优先领域,并大致表现了制定优先领域相关标准的相对时间线。在此重申,我们的分析表明,尽管多数人同意标准对于支持 DLT/ 区块链增长的总体重要性,人们却对于需要制定标准的领域,以及制定和执行标准的时间线持有不同意见。
在图 2 中,我们描述了以下各个方面:(a) 已经确定的领域,在这些领域中,标准可以支持 DLT/ 区块链发展,(b)可能会因 DLT/ 区块链标准的出现而受益的行业,以及(c)与 DLT/ 区块链相关的总体挑战和机会。
结语
我们的分析表明,DLT/ 区块链带来的机会是巨大的;然而,也有许多挑战需要应对。在这方面,我们注意到,标准可能会在支持该技 术发展方面发挥作用,例如,标准可以作为促 成者,为区块链 /DLT 的开发和采用,及区块链 的市场创造必要的空间。
然而,就像任何新兴技术一样,开发和引入标准的时机(可能建立在现有标准上)至关重要。过早的干预可能会将利益相关者困在从长远来看并非最有效的解决方案之中,在这个过程中,还可能会扼杀创新。与某一技术相关的标准策略若是出现的过晚,就可能会错过机会,无法最大化该技术所能带来的好处。虽然这是一个以快速变化和不确定为特征的领域,我们仍可以采取措施更好地了解当前现状、驱动因素和影响部门。
作者
兰德欧洲是一个非盈利性的政策研究机构,旨在通过研究和分析,帮助改善涉及公共利益的政策和决策。兰德欧洲的客户包括欧洲需要进行严格、独立、多学科分析的政府、机构、非政府组织和公司。
编译:韩晓涵,上海社会科学院互联网研 究中心研究助理。
(本文选自《信息安全与通信保密》2017年第十二期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。