百家争鸣 | 区块链与数据安全
文章顺序按嘉宾姓名首字母排序
“全球疫情是否会影响中国的房价”“是否现金为王”?
事关你的钱袋子,你想听听专家们交锋吗?
这档专栏,针对金融相关的热点,我们邀请不同的专家,从不同的角度和维度各抒己见。
今天这期,我们邀请了嘉宾夏平教授与朱嘉明教授, 主题是区块链与数据安全是零和博弈吗?他们观点有何争锋?
你怎么看?欢迎在文末留言,我们一起来讨论~辨析事理观点在碰撞,思考在延续。
夏平 | 区块链使数据更可靠,隐私更安全
随着数字时代的到来,移动互联网和大数据为人们提供便利的同时也带来隐患。一方面,精准推送的信息可以提高效率和提升体验;另一方面,数据的滥用、错误和泄露,将现代人置于前所未有的安全和隐私风险下。数据被视为数字经济的石油,是新的经济范式中重要的生产资料,因此数据挖掘和赋能极需要和隐私安全取得平衡。
区块链是一种基于新思维、复合型的技术,具有去中心化、信息不可篡改、透明可追溯、自信用等特点,从而使区块链拥有与其他技术所不同的独特优势。和传统信息系统由某一方独立构建和运营不同,一个合格的区块链系统需要将同一信息存储在众多节点上,通过不同节点间的独立运行来保障数据的完整与完好。作为一种新技术,区块链既为数据安全(不可篡改是数据安全的一个重要方面)提供了新思路,又因为其分散存储的特点提出了新挑战。
01 区块链用加密算法隔离身份信息与交易数据
早期的区块链技术,如比特币,因为交易结构简单,采取的是“全数据”上链;而之后发展的联盟链的技术,由于交易结构复杂多样、数据庞大,更多地是采取数据指纹上主链、原始数据链下或侧链的方式,从访问控制的角度,进一步加强数据安全保护。
02 区块链共识机制防范数据被篡改
共识机制是指区块链上各节点就区块数据达成全网一致共识的过程。区块链的价值之一在于对数据的共识治理,通过全网共识解决数据的真实性问题;数据的隐私则通过加密和零知识证明(一种共识机制)解决,从而解决数据“透明”(这里专指数据的真实性可公开验证)与隐私的矛盾。
03 零知识证明在保障隐私的同时实现共享
零知识证明是指证明者能够在不向验证者提供任何有用信息的情况下,满足验证的要求,即自己是某种权益的合法拥有者,给外界的“知识”为“零”。应用零知识证明技术,可以在密文情况下实现数据的关联关系验证,在保障数据隐私的同时实现数据共享。
04区块链+安全计算共筑“数据安全墙”
安全计算和区块链同属分布式计算领域。安全计算使对原始和加密后数据的运算获得等同的结果;换句话说,数据的加工和使用不再需要明码。而区块链则可以从访问控制的角度,从产生开始,全程跟踪和溯源数据,全生命周期管理。两者结合,就能够全面解决数据安全和隐私保护与数据流通和共享间的矛盾。
综上所述,数字时代,个人隐私保护是有办法实现的。可以畅想,未来用户可以完全自己掌握自己的命运,数据加密存储,任何第三方需要使用数据都用户授权后才能访问。
现代社会治理已经进入一个高度依赖数据获得快速响应和应对的阶段。这次新冠肺炎逐步演化为全球流行病,早期数据流通阻塞、加上人为因素,是疾病得以迅速蔓延的重要原因。而以区块链为代表的分布式计算技术,不仅能够解决数据流通中存在的问题,如部门间的数据壁垒、全局中的数据孤岛,还可以解决判断和响应过程中人为因素的干扰,使得决策更加客观、科学、有效。从积极意义上说,此次疫情引发的公共卫生事件,已经在促进中国数字化进程升阶。在这当中,也为区块链的快速发展提供了巨大机遇。比如,通过区块链+多方安全计算,实现部门间的数据互联互通;通过区块链+隐私保护技术,实现数字公民的建设;通过区块链智能合约实现智慧物流,降低物资分配的不信任。
数据的流通与共享是文明发展的必然阶段和过程,虽然不可忽视隐私保护和数据安全,但这个发展过程是不以人的意志为转移的。充分利用区块链等新兴技术,在经济与安全,社会与个人之间,平衡发展,需要不断摸索和勇于创新。
夏平
翼帆科技创始人,美国凯斯西储大学博士、耶鲁大学博士后。多年扎根于金融科技领域,2008年的全球金融危机,促使他开始思考金融工具的发展如何才能不会阶段性的反嗜实体经济。
2016年起,他开始专注分布式计算领域的技术创新和应用,聚焦区块链和多方安全计算。利用区块链溯源、不可更改等技术特点,在信息流和资金流的管理与耦合、数据不离属地的融合共享上取得了开创性成果,已申请多项技术专利。他曾在高盛和瑞银等国际投行供职,现任中国政法大学互联网金融学院研究员、和中国计算机学会区块链专委会委员。
朱嘉明 | 从技术角度讨论区块链与数据安全的内在关系
自2019年下半年,国家开始对区块链技术实施倡导和鼓励政策。区块链技术从专业化极强的小众领域课题,迅速走向大众视野。伴随区块链技术日益广泛的应用,人们愈来愈关注区块链如何在海量大数据的数据安全问题上,发挥重大的实际作用。所以,我们需要全面的,而不是片面的理解区块链与数据安全的关系,包括重新认知区块链技术相关的法律法规和公共治理模式等问题。本文主要从技术角度讨论区块链与数据安全的内在关系:
数据安全问题早于区块链,甚至早于互联网,是一个专业性很强、涉及交叉学科的宽泛领域。在互联网诞生之前,数据安全问题相对单纯,主要指数据存储的安全。因为互联网的诞生,数据安全问题开始复杂化,涉及数据的生产,存储,计算,分发,流转,消费等环节。互联网与数据安全问题不可分割。互联网体系的良好运作,需要通过各种技术管理措施确保网络数据的可用性、完整性和保密性作为前提。一旦依存于网络的数据安全发生问题,网络系统也就无法正常运行。所以,在互联网时代,数据安全的目标是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露。
迄今为止的区块链技术演进与应用的历史证明,区块链技术在数据安全方面的优势是显而易见的:(1)区块链技术的核心内容强调分布式,不仅是账本存储采用分布式,共识信息的传递和计算,信息的分发和消费均采用分布式和加密技术。当然,在区块链技术产生之前,数据存储安全已经采用了分布式的方式,保证数据存储不会由单一节点失效或出错而丢失。应该认为,分布式存储数据技术推动了区块链技术的诞生与发展。(2)在数据的采集环节,数据来源与数据清洗可记录在链,区块链技术同时确保记录的信息不可更改。(3)区块链使用多节点存储,同步信息依靠全网多节点广播。因此,攻击者很难确定攻击目标,传统单点攻击必然失效,对于针对数据源头的DDOS攻击提供了解决方案。
区块链对数据安全的组织与管理变革提供了技术方案,但是依然面临着挑战。(1)如何保证区块链记录的账本可靠性?一方面,区块链的链上数据容量有限,更多的是记录资产,无法覆盖到大数据;另一方面,区块链和数据安全都是面向数据本身的,而数据安全涉及的全周期流程包含:数据采集、数据存储、数据流转、数据服务、数据治理。区块链技术在数据安全的上述流程中可以起到数据确权和治理平权的作用,并不能涵盖全部周期。
(2)区块链技术如何确认身份信息,监管数据的流转与分发?数据采集可能与人和物相关,使用区块链身份体系DID(digital identity,数据身份),可以将数据采集者的个人身份在数字世界一一对应。在数据流转过程中,可通过将数据加水印,在每一个流转步骤中,加入操作者的DID信息,从而实现个人信息记录上链。当数据泄露时,可以追查。但是,这些方法,在身份认证和数据流转的环节,依然都有着局限性。
(3)区块链技术如何保护用户隐私?区块链结合隐私加密和隐私计算技术,可以实现在不泄露数据的前提下对数据进行计算和使用,并且帮助数据提供者、算法提供者、算力提供者根据贡献自动分配利益。这使得数据确权成为可能。(4)区块链如何结合数据治理技术?目前已经有了很多尝试。例如,区块链的多重签名技术,改变了以往数据库管理员把持生杀大权的数据治理模式,为多方共同管理和运营维护提供了技术手段,实现了数据的去中心化,运维和管理的去中心化或弱中心化。
区块链技术与数据安全,仅仅依靠技术手段远远不足以支撑数据安全的治理结构,还需要立法层面的支持。面对层出不穷的新型信息安全事件,特别是在物联网日益发达,可信计算与医疗和家居数据不断上链的今天,不断升级的黑客攻击手段,都给传统数据安全体系带来了巨大压力。《网络安全法》、《密码法》等顶层立法已相继出台,《数据安全法》、《个人信息保护法》等重点项目列入全国人大常委会立法规划并有序推进。相关部门积极研究制定数据安全管理、跨境流动、云计算以及关键信息基础设施安全保护等配套法律法规,构建完善包含设施层、网络层、数据层的综合安全治理体系。我国在构建自身数据安全治理体系的不断努力逐渐取得成效。与此同时,全球对于数据安全的关注持续升温,我国的数据安全治理体系也必须顾及国际协作。
总之,数据安全是一个很大的范畴,涉及管理安全、平台安全、信息安全、运维安全、业务安全五个维度,每一个维度都可与区块链技术紧密结合,形成模块化的数据安全中台,便于用户开发和使用。以保证数据安全为主要目标的数据服务技术处于日新月异的发展阶段,当下正在普及的多重签名、隐私保护、隐私计算等技术,特别是隐私计算技术,都可在保证数据安全前提下发挥数据价值。从数据的生产到数据的消费进行全流程的上链数据监管,并且自动生成监管报告,区块链正在助力数据安全管理的无人化和自动化。相信在不久的未来,伴随国际社会的“数据主权”意识不断加强,相关法律法规和公共治理模式的持续完善,区块链技术会与数据安全深度融合,为数据安全的发展提供全新的工具。
(本文写作得到了研究院陆斌泉和袁洪哲的帮助)
朱嘉明
数字资产研究院学术与技术委员会主席
中国投资协会数字资产研究中心专家组组长
● 欢迎关注人民数字FINTECH ●
百家争鸣