中国银行券区块链研究院：区块链标准化与金融行业标准现状分析

本文从央行发布的《区块链技术与金融应用评价规则》出发，从安全性和绩效两个方面对金融区块链的评价标准进行了解读。

原文标题：“谈金融行业的区块链标准，分析如何实现区块链标准化”a 6032文章：中国银行券区块链技术研究院检测部经理王璇

9月22日下午，由中国银行券区块链技术研究院主办的A.D小学X射线频谱沙龙举行了第七届网上活动——“金融行业区块链标准简介”

近几年来，CBC一直积极跟踪国内外区块链标准的进展情况，致力于推动金融行业区块链技术标准的制定，旨在配合监管部门推动区块链技术标准体系建设在金融业，增强我国在这一领域的国际话语权和法治能力。

2020年以来，《财务分布式分类帐技术安全规范》（JR/t0184-2020）和《区块链技术财务应用评价细则》（JR/T 0193-2020）自2020年以来陆续发布。这是中国人民银行唯一发布的两项金融区块链标准。

在本次沙龙，参加上述两项标准的中国钞票区块链技术研究院检测部经理王璇就区块链标准化做了主旨演讲。他简单地描述了区块链标准化的现状，并对网络谱进行了评价和分析。根据直播安排如下内容。

区块链标准化简介

2016年，区块链经过几年的发展，在应用领域和规模上都得到了快速发展，但也面临着性能、隐私、安全、监管、扩张等问题，在此背景下，区块链开始了标准化进程。

ISO于2016年成立tc307分布式分类帐技术委员会。同年，国内区块链技术与产业发展论坛成立，启动了一系列区块链集团标准实施方案。

因此，人们普遍认识到，2016年是区块链标准化的第一年。

国外标准化进展

在标准化过程中，国内外主要标准化组织积极参与区块链标准化。

国际标准化组织ISO

早些时候开始区块链标准化的组织。Tc307分布式分类帐技术委员会共有11个工作组，涵盖区块链和分布式分类账的各个方面，包括基本技术、安全、应用、治理等部分职能工作组。目前，已经出版并正在制定的标准有11项，其中已公布2项，即：“区块链和分布式分类帐技术——隐私和个人身份信息保护的考虑”和“区块链和分布式分类帐技术——区块链中智能合同和分布式分类帐技术系统的概述和交互”

IEEE电气和电子工程师学会

这是美国电子技术和信息科学工程师协会，也是世界上最大的非营利专业技术学院。2018年，IEEE区块链计划BLK成立。随后，多个下属社会成立了多个与区块链相关的标准委员会。截至目前，共有5个下属社团开展了区块链相关标准化工作，涉及7个委员会、35个工作组，56个项目涉及区块链技术、数字货币、金融应用、物联网应用、医疗应用、农业应用等领域。

国际电信联盟

它是联合国的一个重要专门机构，也是联合国历史最悠久的国际组织之一。2017年5月，成立分布式账本技术应用焦点小组（FG DLT），开展区块链技术标准研究。2019年8月1日，8项技术指标和技术报告全部顺利交付，任务正式完成。

我国标准化进展

国内区块链标准可以从国家标准、集团标准和行业标准中看出。

关于国家标准。我国国标很早就开始开展区块链标准的工作。目前正在起草三个标准，分别是：信息技术区块链和分布式账本技术参考体系结构、信息技术区块链和分布式会计技术证书存储应用指南，信息技术区块链和分布式会计技术智能合约实施规范。

国家标准制定了一系列区块链和分布式账本系统的标准规划，涉及22项相关标准，涉及术语、技术、应用等方面。我相信，这些成就将在今后几年中得到落实。

关于集团标准。中国的集团标准制定更加灵活，使得区块链等新兴技术的标准化工作得到快速推进。目前，在国家标准开放平台上可以找到32个已发布的区块链集团标准，涉及17个集团标准组织。

关于行业标准。从行业标准来看，金融区块链标准的作用更快。今年，我们先后发布了《金融分布式账本技术安全规范》（JR/t0184-2020）和《区块链技术金融应用评价规则》（JR/T 0193-2020）。也可以看出，金融业对区块链的关注。

金融行业标准导论

目前，有两种金融区块链标准。其中，《区块链技术与金融评价规则》（JR/T 0193-2020）于今年7月10日正式发布。

本标准由中国人民银行科技部提出并起草，涉及央行、金融机构、研究机构、科技公司等单位。内容主要分为四个方面：总则、基本要求评价、性能评价和安全评价。

总则

在《标准》的总体原则中，首先确定了评价目标：区块链金融的应用，并对评价的三个方面进行了说明；其次，对评价的启动条件进行了约束；第三，提出了四种评价方法，包括材料检验法、观察系统法、评价体系法和评价体系法，第四，根据评估中发现的问题的严重程度进行分级，分为严重问题、一般问题和建议问题；第五，确定了三种判断结果。

本标准以评价规则为最小单位，对具体内容进行了探讨。从单个评估规则的分析来看，将有五个字段。序列号指示求值规则的编号。实施要求是区块链金融应用的具体要求。评价方法与《通则》中的四种评价方法相对应。结果判断描述了评价和判断的基本步骤和预期结果。目前适用对象包括金融业务系统和科技产品。

基本要求评估

评估规则的第二个重要部分是基本需求的评估，主要从区块链必要的技术要素入手，提出相关的要求和评估方法。一般来说，区块链可以分为两个层次：接口层和平台层。

界面层

接口层从外部交互的角度定义了四个接口的相关需求和评估方法

• 外部接口是指区块链访问外部数据并参与协商一致过程的接口要求；
• 用户界面是指区块链向上层应用业务层提供的接口要求；
• 管理界面是指区块链管理和运维所需的接口要求；
• 系统间接口是指不同区块链之间的接口要求。

本部分共涉及18个评价子项。

平台层

平台层分为9个区块链平台核心功能，包括207个评价项目。在一定程度上借鉴了现行ISO、国家标准在制定参考框架方面的一些思路。在具体内容上，也对金融业提出了具体要求。

账本技术：账本用于保存区块链网络参与者之间的交易记录和状态数据。账本技术从数据存储方式、账簿结构、数据可追溯性、数据同步、数据归档、数据扩展、数据碎片化等维度规定了相应的评估规则。

共识一致：主要是指区块链中每个节点对区块链中交易或状态的验证、记录和修改达成共识的方法，包括共识算法、一致性、节点数、一致性、容错阈值、可靠性、可扩展性等。

智能合约：达成共识后区块链中可执行代码的要求，标准包括虚拟机、编程语言、编译、正确性、可靠性、业务隔离、生命周期管理、版本控制等评估规则。

事件分发：是区块链系统事件通知的功能组件，对完整性和一致性提出了要求。

状态管理：负责对分布式账本中的状态信息进行跟踪；对各种区块链状态的查询要求。

会员管理：负责分布式账本中会员身份的校验、创建、更新和删除；本标准从用户注册、用户身份识别、用户权限变更、用户角色授权、用户账户冻结、解冻等维度制定规则，用户和用户注销事务信息。

密钥管理：主要为区块链提供所需的加密算法和相应的功能；标准中的加密管理规则包括密钥生成、密钥存储、密钥更新、密钥使用、密钥销毁和归档，基本涉及密钥使用的全生命周期。

节点通信：主要指区块链中常用的点对点通信协议，从组网方式、消息转发、节点加入、节点退出等方面制定相应的规则。

交易系统：负责将接收到的交易数据加入区块链台账；本标准制定了智能合约部署交易、智能合约呼叫交易、原生交易和交易原子性的评估规则。

绩效评估

评估规则主要包括五个方面：

第一，交易绩效。本文主要研究两种相对高频的交易类：主交易和智能合约呼叫交易。该场景包括在最小的软硬件条件下，异常恢复后的吞吐量、最大吞吐量和性能。

第二，查询性能。对于不同的查询内容，场景涉及吞吐量的符合性和异常恢复后的性能。

交易性能和查询性能也是区块链系统最直观的表现。

三是同步性能。同步过程中有广播速率、冗余率和消息广播延迟三种情况，分别是无事务时的同步性能、满负荷和异常恢复

四是部署效率。主要评估部署时间。场景包括：系统搭建、系统扩展、节点升级、节点添加和删除。

五是数据增长率。主要评估的是数据增长率的峰值和平均值，可以分为两种情况：无事务场景和满载场景。

部署效率和数据增长率主要用于为区块链金融应用的运维提供数据依据。

安全评估

标准的第四部分是安全评价部分。由于行业的特殊性，金融业一直把安全风险作为重中之重。这也是评估规则的重点。本部分基本符合《金融分布式账户安全技术规范》（jr/t0184-2020）的内容。

通过jr/t0184-2020《金融分布式账本安全技术规范》，对区块链提出的安全架构进行如下分析：

核心安全：区块链最重要的部分，并提出相关的安全要求

在安全架构中，核心区块链模块的安全性分为智能合约、账户数据、共识协议和节点通信四个部分。

智能合约部分从一致性、正确性、可靠性、业务隔离、版本控制、访问控制、原子性、攻击防范、安全性验证等九个方面制定了评估要求和评估方法；

在账簿数据部分，提出了账簿完整性、保密性、一致性等七项要求和方法；

一致性协议还从一致性、容错性、可扩展性、激励相容性等方面提出了12条评价规则；

节点通信还建立了保密性、完整性和认证三个评价准则。

相关安全模块：区块链和安全相关模块和组件的要求

安全模块和功能，包括身份管理，隐私保护和密码算法。

身份管理从身份、账户、凭证、节点识别等方面提出了相应的评价规则；

隐私保护从隐私保护策略、技术和景观审计等方面提出了安全评估规则；

密码算法的关键点如下：利用算法的基本要求、算法的要求（即完整性、真实性、机密性等）给出相应的评价规则。

基础环境安全：提出区块链基础环境所依赖的安全要求

基本环境安全分为基本硬件和基本软件两部分。

基本硬件包括基本条件、物理安全和网络安全，主要涉及区块链中使用的物理设备的安全要求、部署环境等；提出了三类17条评价规则。

该软件从基本条件、数据存储、时间同步和操作系统等10个方面提出了26条评价规则。它主要针对区块链所依赖的其他软件或软件条件。

监管运维支持：区块链监管运营维护相关安全要求

共有3个类别和18个项目。

监管支持：监管职能和特性的技术支持要求。它包括六个方面：基本要求、系统监督、信息管理、事件处理、交易干预和合同监督。

运行维护要求：评估支持的功能，以确保安全运行。

治理机制：治理结构评价及相关管理机制。

网络频谱的评价与分析

自规则发布以来，CBPM区块链技术研究院在研究标准的同时，也对目前在标准中实施的评价规则和网络频谱进行了评估分析。

1分类账技术：网络频谱中使用的底层链brochain采用高性能存储引擎，采用Merkle Patricia trie等逻辑存储结构，通过分区功能实现归档、扩展和碎片化功能，满足标准要求。

2协商一致协议：采用定制的BFT协商算法，通过保持块频率和事务超时机制，保证业务端交易的确定性和终止性，满足3F+1节点中不超过f个恶意节点。

3智能合约：支持坚固的语言，与官方编译器兼容。

4节点通信：系统合同用于管理节点的加入和退出。黑名单和SSL握手是用来满足节点认证要求的。通过Mac、签名验证和消息中的数据加密，保证了通信的完整性和保密性。

5事件分发：除了自定义事件外，还提供了与区块链中间件相结合的合同部署、合同更新、事务事件和块事件。

6密钥管理：满足国家机密标准SM2非对称密码算法、SM3摘要算法和SM4分组密码算法的要求，提供软硬件加密机和SDK方案，帮助企业级用户进行密钥生命周期管理和密码操作。

7状态管理：提供各种区块链状态数据的查询功能，方便业务系统的访问和验证。

8会员管理：通过身份合同提供身份生命周期功能，支持隐私保护政策。

9交易系统：支持智能合约的部署和调用，但不支持代币和其他本机传输事务。

10接口管理：在节点RPC和中间件restful中，为不同场景和业务提供不同样式的用户界面和管理接口。

11基本环境安全：通过信息系统安全等级保护评价。

12隐私保护：区块链和应用层两层隐私策略。

13监管支持与运维：区块链及应用层多维监控报警机制，完善运维规范和应急处理规则。

14安全治理：制定了一套安全管理措施，包括安全机制的建设、实施、监督、检查和更新，节点管理和干预可通过管理方的权限进行。

这个问题到此为止。请期待下一个。