在刚刚结束的2019第四届中国网络信息安全峰会上,思源科技集团首席科学家、总规划师李天白在会上发表了题为“用“数字细胞”技术全面推进区块链技术应用”的主题演讲,以下是李天白在会上的演讲内容实录,未经整理。
思源科技集团首席科学家、总规划师李天白
思源对大家来讲相对陌生,思源从2014年到现在基本上投入了十几亿自己的资金投入可信计算的研发,在我们这个地方这些年逐渐取得了一些技术成果和理论上的探索,希望借这个会议跟大家一起分享一下我们基于可信计算语义内的思考,以及我们具体做出来的产品,让大家对整个信息安全领域里是非还有一些可能性的探索,共同的建立这样一个话题。
我们主导的概念就是自主安全与可信这三个核心话题,所谓的自主,也就是说区块链技术带来了一个最重要的概念就是把刚才沈博士讲的密码的基因,密码的私钥管理权完全放在个人手里,或者是用户手里,或者是客户手里,讲的是自主使用权利,而传统的任何IT系统大多数的建设方针是中心化,去中心和自主正好是一个配对的概念,用一个中心的验证系统来验证用户,用分别权限的方法使用数据,这种方法天生的带来大量的安全隐患,也就是今天我们面临的很多安全隐患是范式本身造成的,而并不是说我们在系统里跟沈院士讲的,刚才说我们采取查病毒,打补丁,防火墙,这一系列措施是源于这个基础范式的差异所带来的根本性的问题。如果改变范式本身,网络安全就变成另外一个话题。
我们简单说一下现在所面临的问题,第一个就是去中心应用,刚才咱们说的自主框架下管理密码学基础的应用成为全球的潮流和趋势,也是解决安全问题,刚才说可信计算的基石性的概念。未来的计算不得不向这个方向转换,随着计算设备广泛的深入网络,物联网可能不是人的数量进入计算,传统大概人是计算主体,或者服务是计算主体,物联网如果介入可能有几千亿自主计算结点介入到网络,这种概念下传统基于中心式认真模型都会面临基础性的问题,这些思路里,如何安全的交换数据,如何去有效的隐私化的保证的情况下去分享数据,这两个框架应该成为一个核心的话题。
传统的区块链,现在可以叫传统的区块链了,区块链技术又天生有两个问题亟待解决,一个是直觉性,所谓操作的直观性,用起来直观性相对来讲非常之弱。第二,环保,绿色性相对非常不足,一个比特币的计算资源耗尽了亚马逊、脸书、谷歌云计算资源的能源之总和,为了挖矿这三家公司提供的云计算电能消耗量不及一个比特币的挖矿消耗机,必须要改变去中心,首先是必然的趋势,但是现在的范式,或者说沿着现有的POS,POW的范式下进行互动操作也是不合适的,为了解决这些问题,我们逐渐的形成了一些新的思路。
什么是dapp,简单做一个概述,实际上就是公司钥盾,第二就是云知识验证,通过签名,解决数字签名证明沈院士讲的可追溯,可加密,可确认,不可篡改等等一系列的特性。第三是讲端到端,用户的服务结点直透性,我用他,我给谁,这是一个端到端,不是一个客户端到服务器中转的概念,是一个直达用户,直达两个连接点的概念。密码学的要素导致了如果我向一个端到端加密用你的公钥加密你的数据,只能用私钥解开,不能有中间的防火墙或者过滤率拦截这个东西,拦截也没有用。区块链也是重要的关于签名技术,我们围绕着这样的启发和整个产业趋势,实际上这种技术可以延展到更多的领域,更多的实验方法。
自主,简单的道理,就是私钥要放在真正的拥有者,我产生数据,或者是我的数据,我的数据如果用我的公钥加密,私钥可以确保一定在我的手上,不在任何人手上,不可能放到任何中心结点上,才能确保我的签名,也就是我自己的签名,因为只要往任何一个别的结点可以去托管,这件事情从法理上已经不符,没法去确认你对这个东西主权的声明和确认。
第二,我们讲的是用签名来进行验证权利,签名替代了传统我们用特征方法,不管是单因子还是多因子的确权方式,就是传统的ID+密码,或者是你加个手机验证,加个指纹等等,都是多因子验证,是带着生物特征的,生物特征的验证方式都是相对来讲并不安全,而且可以存在着任何劫持和重造的概念,我劫持了你的指纹可以用下一个设备模拟你。私钥的特性是不一样,没法从中间截取到任何,中间没有验证的过程,只有验签和解签的过程,这个过程确保了特征不可能被截取掉。
云存储,实际上刚才我们说任何数据放在云里如何确保安全,如果私钥放到手里,用公钥加密的数据随便放到云上,没人可以破解你的信息,就确保整个数据可信性和确认性的问题。明文其实很好,任何计算,最后如果能处理一定是明文的,明文只能是运行在一个运行中的砂箱里,这个闸口不得不释放出来,只要是保证安全运行状态下是明文的,这个数据在中间的传输以及共享过程中就不可能被破坏。
为了让整个技术得以广泛的使用,就必须解决另外一个非常扰人的问题,在验证体系里,虽然说数字签名这种方法非常行之有效,但这里面有一个重要的话题必须要解决,也就是说我们可以用公钥确定一个使用者,或者是一个用户的身份。我怎么去验证他有私钥,任何一个方法,我们最简明的验证是我给你出道题,我出题我知道题目,你用你的私钥,因为公私钥正好是对称的算法,你用私钥做一次加密我给你,我用公钥去解是不是这道题,如果是就证明你持有私钥,如果不是就证明你完全不持有私钥,这是在数字签名里一个最简明的方法。
但是,这里面出了一个问题,这个challenge,怎么给你出这道题,出这道题是一个非常复杂的工程结构的概念,我签名很容易,怎么出题是个大问题,涉及到一次交互,我给你出题,你也得证明是我给你出的题,一来一往叫交互式验证签名,如何实现我一次请求就把这个事情做完,不需要你出题我也能证明我就是我,或者我持有私钥,做到这一点和真正做到非交互证明,这个技术一旦实现就带来一个非常巨大的效益,就是我们任何的网络请求是可以一次请求就可以跟任何的服务结点取得一个可信的连接,而这个连接就不需要消耗大量的网络资源,不需要消耗过多的网络规则,因为规则制定成本和相互之间的成本都是非常之高的东西。
第二,也带来安全隐患,只要出题,出题之前不可能建立一个可信的信道,这个信道只要是不可信的,就可能被拦截篡改劫持,也就是说这就是个安全的话题,同时也是个绿色和可用的基本话题。为了解决这个问题,必须要解决掉一个最重要的概念,就是非交互式的证明的解决范式,有了这个范式实际上整个去中心化应用才可以得到最广泛的使用和最恰当的使用方法。
我们后来发现这个问题是可以解决的,去年以色列整个信息安全大会围绕的核心话题就是非交互式验证,这是个全球都在试图解决的核心应用于可信计算领域关键的技术话题,我们在这里面做了一个思考,发现了一个事情,解决的答案在问题里面,为什么这么讲?因为云知识证明,如果从纯科学的角度来讲是宽泛的概念,如果应用到数据安全这个领域问题就得解了,因为很简单。如果把任何一个数据,数据是多维度的,有发送者,有接受者,有产生的时间,有数据本体,和一些我们要去送达的目标,在网络上有一个网络上的特征,我要送达的地址,等等这一系列,包括我设备本身,这一系列构成了完整多维的信息,而这个信息天生的就具备着不会重复,多样性和指向性。
如果说我们做一个简单的道理对结构化数据直接迁移,我本身叫传递数据,数据本身就是需要结构化的,对这个结构本身的签名实际下就等同于这个challenge,我出数据的时候也给我自己出了一道题,我自己也答了这个题,这个过程中得到了最简明的方法,这个方法就是用数据本身解决数据自己的问题,自问自答。
有了这样的技术之后,我们为这个东西做了一个工程上实际使用的工程范式和具体工作实践,建造了一个CDTP的协议,密码学的数据交换协议,大家可以看里面的结构就是这样去实现的,首先任何的计算,基于dapp的计算都是要先声明算法,因为每个算法不一样,产生的公私钥的算法不一样,如果基于不同算法两者之间完全不能通讯,为了能够得到广泛的使用,第一个在位置要声明自己使用的是哪一套,第二个是设备的指纹,设备指纹完全可以用公私钥的方法把公钥和私钥加密的结果放在可信的安全基因,就是TSB上面,可以形成一个稳定的设备指纹。接着是发送者的公钥和DIS一样的,我们现在所采用的大部分定制方法,方法可以随意声明的,大家可以在网络上用配套名指向下一个服务的方法。
还有接受者的公钥也在这里声明,就是给你发的,不是给别人发的。还有一个是路由器识别的指令,这个东西到底需要寄存,转发,还是其他的指令。剩下是发送者的时间窗,你可以自己去定义,主要用于防存放,如果你要重复播放这个东西,可以拒绝这个服务,拒绝你这个信息点
还有把具体的信息送达到哪里,中间的路由器可以把你的信息送达到指定的位置,下面是具体要传输的数据,还有数据本身的加密方法,如果纯用端到端加密到大数据来说不太现实,按照法律的要求不允许你加密,这个数据一个是加密范式,如果完全用于可信计算就完全是端到端加密,这样才能做到可信,必须符合这种规则才能让你进行交互。
最后是发送者拿自己的私钥对上面的结构进行一次完整的签名,一旦达成这样一个东西,首先是一个数据分装协议,这个数据包一旦诞生,就产生了一个重要的后果,这条数据已经完全不可篡改,只要动一点儿东西就可以证明数据被动了,而且也不是你的数据,别人也解不开包,发送者也无可抵赖,只要产生签名,你只要拿着私钥,没有给别人,这很简单,只能是你造出来的数据,不能是别人造出来的,通过这个协议,跟刚才沈院士讲的道理是一样的,实现了一个基础的可信计算的单元,这个单元可以细颗粒到信息本身,任何一种信息都可以用这种方法构造,不管是微波传输还是用有线传输,信号是物体载体,无法破坏数据本身,数据已经脱离信道的概念而独立存在了,不管是物理存储还是用各种方法存储,数据本身由于二进制,任何进制的特性是完全抽象的特征,就可以脱离于这些东西而建立一个非常可信的存储结点,或者是使用结点。
一般传统的安全范式都是基于信道的保全,最早大家利用了密码学也主要是用来把信道进行健全,实际上我们和一个服务器去取得一个交换数据的能力,标准的方法就是先建立一个connection,用一系列方法绑定一个认证的权限把数据在这个通道里流转,不管怎么做,不管信道中间数据是否是加密还是不加密的,数据产生的时候并不是真正加密的,而是进入信道中间的加密,这个过程中如果是信道,我们都知道保障体系,并没有完整的,虽然大家现在去做一些规范,要求我们的协议必须是HTTPS的,这些目的是想通过更安全可认证的方法建立一个可信的通道,但是这种技术完全摆脱了对于任何信道的依赖,这样的话就能够建立一个更加简捷的安全范式,这个范式完全基于算法和密码学,是一个坚实理论上的东西,而不是靠工程保障或者循环,因为你只要过度复杂的过程都会导致各种安全隐患,只要有任何逻辑不周就会引发下一个漏斗,如果在信息本身,在使用者和制造者之间建立一个唯一单点式的,甚至都不是通道,这些问题就已经被迎刃而解了,其实信道、存储都可以变得非常的开放,不在乎是什么样的网络上或者什么样的存储,是一个端到端的消费模型,而不是一个传输,依赖型的模型。
这种方法已经在国家、企业,包括刚才沈院士介绍的这套体系里是得到广泛应用的,也就是说这种东西是天然的防欺诈的,不需要去另设置防欺诈的系统,可以建立可信计算的体系,这是一个核心的地方。在这个基础上,我们做了一个crypto-passport的产品,中文叫密罩,是如何把私钥寄存在一个可转移的文件里,用户的身份就可以在设备中迁移,这一点非常重要,因为我们任何计算设备都有可能损毁,手机可能会坏掉和丢失,一个计算的服务器,因为依赖于这个东西,服务器实际上也要配备自己的公私钥才能有效验证自己是这个服务的产生,服务器也可能损毁,但你不能因为一个服务器损毁原来的可信信道就完全丧失了,必须有一套机制可以让私钥在设备之间进行迁移,而且还要鉴定在迁移过程中的合法性等等一系列的保障措施来建立一个安全的迁移的方法,这个就是密罩的方法和完整解决方案,通过这个解决方案在可信的安全基上迁移这些关键的认证能力。
第二,我们也接入了一个兼容性的东西,现在大量的应用,说白了大家不管是使用什么东西都是A和B打交道,有大量寄存的服务,都是基于传统框架开发的,但是验证体系完全是公私钥,如何在之间搭一个桥,如何让强认证方法和现有的验证方法进行完美的兼容,我们做了一整套兼容协议,这些兼容协议能够用简单的方法,不管是扫一下码,还是通过一个设备,还是通过什么方式利用公私钥更加安全的访问现有的外部应用。
后来我们做另外一个工程实践,大家可以在搜索Crypto Mail,这个应用实际上是一个客户端,后面连接的服务我们叫密码学邮箱,这个邮箱不是传统的邮箱,是完全E2E的,存储也不是传统的邮箱存储,只是靠邮箱这种方法,同时通过一个兼容现有的邮箱,和现有的邮件系统互相传递信息,但本身并不是邮箱,只是整个E2E存储和交换系统。
实际上是一个标准Data范式下的应用,让一个邮件地址具备的完整应用能力,应用不需要再去写一个什么整体或者是完整的包,直接寄生在一个地址下就可以实现整个应用完整的框架,这个框架和用户进行消息,基于消息和实践驱动的完整交互,其实是应用体系,并不是一个完全简单的邮件体系,我们简单说是邮件服务更像一个MQ服务,标准的内核就是一个MQ,MQ只是说每一条信息都是E2E加密的,我消费的时候实际上是开放状态的消费,你有主权就可以消费这个信息,同时任何的送达也是端到端加密的,这样就可以让两个使用对象和提供服务的对象之间进行完整安全的交换数据能力,所以说可以做到E2E,端到端的消息存储,同时我们为了让他具备高度的可定制化,在框架下提供了大量可定制使用能力,包括我们建了很多其他的拓展性服务,在这个基石上可以做一些but,可以做到可信的分发以及节群新型存储体的交互和使用方法,在这个基石上可以延伸出整个外延,在各个操作系统下的客户端,也就是意味着你拿客户端是可以在服务器上,或者是在个人的PC上,任何的手机上,都可以执行其定制化的编程和使用。
基于消息和实践驱动的网络模型带来了一个大的好处,和我们在自己的工程实践中发现一个最大的好处,我编写服务变得更简单,因为是一个消息驱动的,也就是说我增长服务特性的时候只需要做一个很简单的事情增加消息类型,再增加一个可以补取MQ的处理结点,他们就可以自主不断的延展递升自己的处理能力,变成非常开放的框架,和互联网的结合也是简单而完美的方案。
因为是邮件寻址的,天生就是分散的框架,需要一个MNS的服务就可以把整个体系以及把分布的东西彻底分离开,我们的基础服务是开元的,大家可以验证其安全性,各自利用自己的系统就可以结成一个重大的网络,而不是中心化网络的服务体系。
未来建造的整个框架是希望整个同行在一起,大家共同去做,我分享一些我们做的,也希望大家一起做的,因为这是一个很大的事情,可发展的空间很大。我们的理解里,传统的软件,在APP上能够用到的软件更多一个是人到人,这里面有微信,一系列的软件支撑着人到人之间的交互以及社交性服务。还有一条线路是今天用淘宝,用各种东西建立的服务,实际上我们今天逐渐在和互联网建立服务能力,物联网也在跟服务建立能力,实际上这是一个基本的框架,在这个框架下,由于密邮的特性可以扩展他的能力,比如说人可以加助理,可以增加处理信息的能力,人还可以用MIT做出的模型是数字有声,完全可以把一个人的特性活在网络空间里,让他进行各种服务。接着物联网可以用数字孪生来进行模拟化和处理并行的数据和演示的交互,服务业可以生成出一个代理把打交道的通道直接建立起来,中间还可以建立一个标准范式,这个基础上就可以构造出一个完整的网络服务能力和网络交互框架。
除此之外,这个里面只解决了端到端通讯的问题,另外一个更重要的话题就是在网络上如何安全,隐私化去分享信息,这正是区块链擅长的,区块链在这个里面并不只是账本式的应用,而且其中有一个最重要的启示就是哈希证明,也就是说我的具体数据完全不需要到网上,但我可以在使用数据的时候证明其合法性,这是一个方面。另外,比如说我们在这次给数字城市是这样做的,公安局认证完了之后,你这个PK与真正的数字带生物特征的数字文件,实际上是交给你个人的,通过一个安全的E2E的网络交给你,只是这个证明的哈希值被放到网上,你使用的公钥放在网上,公安局用他的公钥证明你的合法性,链上的数据只有两条,你有身份证,你的年龄是多大,这是最广泛使用的场景,18岁以下不能在国外买酒,或者是多大情况下不能去购买一些东西,这个年龄是关键数据,但不及设计到用户隐私。阿里和其他公司在使用这个数据的时候安全不再需要,今天我们搞论坛要实名认证,用这套系统完全杜绝了这个现象,只是一个PK,公民的信息是隐藏在后面,关键的时候才能使用,比如说办一个证照有可能会使用,这样的话能够通过这个链来去开放这些数据,得到一些关键数据的共享而保护了隐私,同时用一个流动的数据去解决真正数据可靠的传递,让网络在共享数据与保护数据之间取得一个优雅的平衡,让数据既可以使用又可以保护其关键的部分。
我们在传统区块链的基础上又发展出了几个利用数字细胞技术发展出了几种新型链的模型,比如说异构链,我们理解这样一个东西,如果任何链的可信系统处理是five系统,一条链是管增加数据的,另一条是管变更数据的,把两个东西,可信数据把两个数据同时放到网上上,形成一个异构结构,大家使用最终的数据是用两条孪生的链去构造一个可增加和变更数据的共享数据体。
还有一个平衡分布矩阵结构的链,还有一个是信息链,是指是让今天所有基于交易的区块链,或者是其他的链能够连接起来,链和链之间进行交换数据和基于低压式模型的数据转移,既减少了全量的备份,同时让每个链的活跃性以及分布性达到最佳,形成一系列数据的开放分享系统。
今天非常有幸跟大家简要分享一下我们的分析,也欢迎大家加我的电邮,或者用秘邮联系我,这两个地址都可以,这个是一个微信群,欢迎大家加入,随时和大家交流,今后大家可以一起合作做一些事情,谢谢大家。