浪潮集团王伟兵:标识解析、标识密码、区块链是构成工业区块链的三个技术要素
2020年12月5日上午9点,2020世界区块链大会·武汉正式在武汉国际会展中心开幕。大会由巴比特主办,并得到了武汉市政府、江汉区政府、武汉市经信局、中国信通院等部门单位的大力支持。
浪潮集团区块链技术研究院首席架构师王伟兵曾表示,作为一种新技术,区块链在工业互联网领域,赋能价值更大。王伟兵在本次大会的演讲中同样强调了区块链在工业互联网领域的应用。
在题为《工业区块链与工业互联网》的主题演讲中,王伟兵提到,工业区块链更强调人与设备、设备与设备的协作,用标识密码学算法替换区块链的现有公钥密码学算法,使区块链更适合于工业领域。标识解析、标识密码、区块链是构成工业区块链的三个技术要素。
以下是巴比特整理的演讲全文:
感谢大会的邀请,我来分享一下我在工业区块链领域的一些认识和一些成果。我们认为区块链用于工业领域和工业互联网领域,它应该有一些跟传统区块链不一样的地方。互联网分成两个阶段,过去的10年和未来的10年,过去的10年是消费互联网,未来的10年是工业互联网。工业互联网有这样的认识,有的时候翻译成产业互联网,实际上我们认为它的内涵是一致的。
我们来分析一下消费互联网、工业互联网它有什么区别,一般来说消费互联网是连接人的,人和组织的链条,也包括人和人的链条。工业互联网加了一个元素就是物。工业互联网,物的因素要更多。我们比较一下消费互联网的几个特点,它整个是用DNS整个互联网的构建,全球有13个分节点;但是工业互联网进入了标准解析。消费互联网实际上有两个阶段,它最开始上到网站,都是明文的,但是现在的互联网上传不是明文的,引入了一些数字证书体系,做了互联网安全的收集。在这个问题上,在这两者工业互联网也有自己的一个方案。
介绍一下消费互联网的密码和技术,在互联网应用需要公钥。这个有一个例子,为了我知道是谁,为了建立信任,需要做设计。这是我们在互联网在区块链应用的一项技术。它的特点,比如说私钥到公钥到实名标识,由于它是云绑定的,所以往往会建一个数据库来管理文字和技术,CA中心来保存,你的公钥你身份的关系,是用数据库来完成。它的私钥和公钥是随机的,但是它是非常依赖互联网的,它的管理机制是非常复杂的。每一家网站每年都要支付一个数字证书的配置,就是因为它很复杂。互联网的管理对象都是人,但是在工业互联网它的用户是设备,所以说工业互联网有自己的一个认识。
(图1)
其实我说这个特性的意思是,我们在工业互联网领域,应该有自己的独特之处。在消费者互联网,把一个域名翻译成IP地址。在工业互联网用的就是解析体系,当然工业互联网不是简单的增加DNS加上解析,变成物的标识解析。而是一个耦合的,我们到底是不是使用物联网。这个就是很多人对标识体系不是很认识,比如说bbs.360.cn/newindex.php,bbs代表三级域名,360代表二级域名,cn代表顶级域名。后边的编码就是一个商品的编码,一个数字对象的编码。可以看出两者的对比。
(图2)
这个图看一下(图3),二级节点是55个,那个是85个。对于标识解析,国家已经建了一套机制,这套机制是什么呢?其实换成技术语言,大家可能看不懂是什么意思,换成技术语言的话,二级节点,各个运营商,联通、电信、移动每个省都有DNS红线,它底下是企业内网。系统管理员知道他是一些企业级的服务系统。实际上标识解析也是这样,只是它的运营方法不一样。现在标识解析刚刚推广,有一些量化的指标。这是一个标识解析。
(图3)
这里介绍一个算法,这个算法在密码学界已经用到了,这里有一个标准。它是一个叫标识密码学,翻译成身份,基于身份的密码学。标识密码学它的私钥,比如说你的身份证号、手机号,它的公钥是算出来的,是随机的,是用你的私钥推导出来的。标识密码它的私钥肯定就是你的标识,你的身份,你的ID。因为它已经实名了,比如说你的邮箱账号它已经是私钥了,不需要证书了。所以说可以看它的一个特点,标识就是一个公钥,由公钥推导出私钥来。它是不需要数据库的,你的私钥是由哪一家企业(生成)——无论是设备的使用企业还是设备的生产企业——就以这个企业为一个可信的第三方。我们只要知道这个私钥是哪一个KJC开头的,我们就可以验算,它实际上用算法代替了数据,我们认为它很适合于智慧城市、工业互联网、大量设备的场景。有一个设备,有一个手机号,就可以证明。做一个人脸识别,发一个验证码验证,确认私钥之后,就可以做数字签名。要是别人给你出签名,别人给你加密,用你的标识来加密,根本不用问你。
我们公钥密码很多的内容是SM2,在这一些要求很多很高的环节下,它是可以的。SM9是公布的一个标准,一个算法。SM这两个词是商密的意思,工业互联网是用商密。然后我们把公钥密码和标识密码用到工业互联网领域,公钥适合于人,企业有一个编码,企业的密钥还是传统的公钥。但是设备我们用标识密码。
构成工业区块链的三个技术要素,标识解析、标识密码、区块链。上面有两个特点,标识是分两种,跟DNS不一样,DNS只对计算机做解析,互联网的解析是有两种解析对象,一种是矿泉水贴了一个码,这个就是被动标识解析。主动的载体就是设备、机床,或者说现在的一个生产线,叫主动标识载体。SM9是面对主动标识载体,一户一码一密钥。
怎么实现呢?用传统的SM9+标识解析+区块链赋能工业互联网。实施的时候我们已经自建了这套体系,原来叫签章、数字签名,把它的证书导过来,但是设备做这种加强,工业互联网安全,要有一个密钥生成中心,就是SM9+KGC。有人说要自动的去下单,有的时候是一个数字对象。然后标识解析,某一个工业互联网区块链是上层,密码学是底层,支撑标识解析,支持工业互联网,支持我们一些应用。
这是我们浪潮在工业区块链方向的工作,我们在开源Gmssl库为基础进行改造增强,现在开源的资源比较少,实现支持SM9的TLS双向认证。向服务器证明你的身份。我们改造了一个库,让他支持TLS,在这个协议上基础上来证明是可用的。我们把现在的区块链进行改造,支持SM9的密钥,有的区块链是支持商密算法,默认算法应该是SM2,我们改变区块链算法,支持SM2。为此我们也做了一些对SM9的改进,这是应用的一个场景,生产线上带光电传感的需要改造,基于安卓的一致性很好的场景。
(图4)
接下来,我们更细节来说说SM2、SM9,贯穿了组织、人、产品、件、设备的一套机制,包括认证,也跟标识解析进行打通。SM9也好,KGC也好,它的算法,国家标准不能面面俱到,主私钥的安全性很高。发你给你会担心,所以SM9有两个问题,一个是主私钥的安全,我们想把主钥划到多个节点去。以安全多方计算,把密钥拆分多个,协作在一起才可以,黑客攻击一两个节点没有用。节点归不同的人管。
这是我们对工业互联网、工业区块链的理解,区块链要分成两级,一级链、二级链,可以按行业、区域来搭建,这样它的性能更好,它满足个性化的要求程度更好。这是我们这套体系的一个逻辑,前面讲的一套方法,企业去实施,它对搭建CA、SM9的KGC,下一步就是把这些设备放到标识解析上去,可以做一些扫码认证,设备和认证身份,普通的商品可以利用手机扫码认证商品是不是真的。最后一个就是要解决跨企业的、跨组织交叉认证的问题。
(图5)
最后这是我们做的一个场景,QID,现在在供应链领域还是做得不错的,因为要分销、零售,包括保修,定制化的配件,贯穿供应链的一个事情,需要利用区块链和标识解析,组建一个跨供应链的共享机制,包括溯源、安全、实名认证体系。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場