朱建明, 丁慶洋, 高 勝,2

1(中央財經(jīng)大學(xué) 信息學(xué)院,北京 100081)

2(糧食信息處理與控制教育部重點實驗室(河南工業(yè)大學(xué)),河南 鄭州 450001)

現(xiàn)代金融行業(yè)需要以安全、高效的金融通信系統(tǒng)為支撐.伴隨著資本的跨國流動,世界各國之間的金融機構(gòu)業(yè)務(wù)往來日益密切,跨境金融通信也更加凸顯其重要性.現(xiàn)階段,諸多機構(gòu)或組織提供跨境金融通信服務(wù),但處于主導(dǎo)地位的依然是環(huán)球銀行金融電信協(xié)會(Society for Worldwide Interbank Financial Telecom-munications,簡稱SWIFT).該組織成立于1973年,旨在實現(xiàn)跨境支付的標準化,其目的在于解決各國金融通信不能適應(yīng)于國際間支付清算快速增長所引發(fā)的效率問題.其業(yè)務(wù)的實質(zhì)在于承擔起各國銀行之間的金融通信中間人角色.在過去的40多年間,該組織取得了巨大成功,銀行成員數(shù)量覆蓋了全球11 000家銀行、證券機構(gòu)、市場基礎(chǔ)設(shè)施和企業(yè)用戶[1].但其交易速度慢、費用高、支撐技術(shù)架構(gòu)僵化也為行業(yè)詬病.同時,其安全性也伴隨著近年來的黑客攻擊事件而備受關(guān)注.表1為近年來公開數(shù)據(jù)披露的SWIFT安全事件.數(shù)據(jù)來源根據(jù)公開數(shù)據(jù)整理.

Table 1 SWIFT security incident表1 SWIFT安全事件

SWIFT系統(tǒng)所遭受安全性攻擊,除本地金融機構(gòu)防護措施不足以外,中心式系統(tǒng)構(gòu)架也為攻擊者所利用.因而,建立一種安全、高效、低費用成本、技術(shù)架構(gòu)靈活、考量金融機構(gòu)數(shù)據(jù)隱私保護的跨國金融通信系統(tǒng),完成實時跨境信息交互成為世界各國銀行的關(guān)注點,也成為計算機信息安全領(lǐng)域、金融領(lǐng)域的重要研究課題.

區(qū)塊鏈技術(shù)最初作為比特幣的底層支撐技術(shù)進入研究人員的視野,伴隨著該技術(shù)的不斷成熟,逐漸受到社會各界的重視[2],區(qū)塊鏈技術(shù)逐漸從以數(shù)字貨幣為代表的區(qū)塊鏈 1.0時代,進入以智能合約為代表的區(qū)塊鏈 2.0時代[3].區(qū)塊鏈作為一項解決信任問題的普適性技術(shù)框架,隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展,將被擴展到更多新的應(yīng)用領(lǐng)域,將來必定會產(chǎn)生更加豐碩的研究成果[4].區(qū)塊鏈技術(shù)采用分布式架構(gòu),利用密碼學(xué)、共識算法、智能合約等技術(shù),實現(xiàn)信息收集、流轉(zhuǎn)、共享等過程中的信息防篡改、防偽造和可追溯[5],區(qū)塊鏈為解決金融行業(yè)的問題提供了新的思路[6],其獨特的數(shù)據(jù)安全特性為研究人員解決跨境金融通信,保證跨境支付的安全、準確、高效率以及降低交易成本問題提供新的途徑,引發(fā)了產(chǎn)業(yè)界、學(xué)術(shù)界以及金融監(jiān)管的高度重視.基于區(qū)塊鏈的跨境支付優(yōu)化技術(shù),已經(jīng)成為產(chǎn)業(yè)界追蹤的熱點.一些初創(chuàng)公司為此提出了相應(yīng)的解決方案,如Ripple Labs基于區(qū)塊鏈技術(shù)推出了名為 Ripple的數(shù)字競爭幣.與比特幣不同,該數(shù)字競爭幣以解決跨境以及跨幣種的貨幣轉(zhuǎn)化為主要目標,以 XRP為各種貨幣之間的價值中介,基于交易雙方信任的網(wǎng)關(guān)實現(xiàn)端對端組網(wǎng)的貨幣轉(zhuǎn)換,并通過消耗XRP的方式確保信息安全[7].除Ripple幣外,初創(chuàng)型企業(yè)Circle公司推出了名為Circle的跨境支付應(yīng)用產(chǎn)品,該技術(shù)在比特幣錢包的基礎(chǔ)上進行了二次開發(fā),意在解決傳統(tǒng)轉(zhuǎn)賬業(yè)務(wù)的低效率、高成本問題,其跨境支付業(yè)務(wù)的核心機制在于利用比特幣充當不同貨幣之間轉(zhuǎn)換的價值中介,通過錨定比特幣制定不同貨幣之間的匯率.該技術(shù)充分發(fā)揮了比特幣區(qū)塊鏈系統(tǒng)的安全性和健壯性,能夠提供較為便捷的貨幣轉(zhuǎn)賬服務(wù).2017年 12月,該公司推出了Circle應(yīng)用的新版本CENTRE,后者最大的特點在于該公司用CENTER Tokens代替比特幣充當貨幣價值中介,以解決比特幣價值不穩(wěn)、政策風(fēng)險大的問題.截止目前,該版本仍然處于概念期,尚未有成熟版本面世.對比現(xiàn)有的區(qū)塊鏈跨境支付優(yōu)化技術(shù)方案與現(xiàn)有的SWIFT系統(tǒng),不難發(fā)現(xiàn)：基于區(qū)塊鏈公鏈系統(tǒng)的Ripple技術(shù)和 Circle/CENTRE技術(shù)關(guān)注于資金的實時結(jié)算,其技術(shù)體系并沒有完全得到現(xiàn)有金融監(jiān)管機構(gòu)的認可,也沒有直接涉及到跨境金融通信系統(tǒng)安全保障問題.

基于上述問題,本文提出了一種以現(xiàn)有國際貨幣清算體系為基礎(chǔ)的、以不變革現(xiàn)有國際貨幣以及金融監(jiān)管體系為前提的、基于許可鏈的跨境金融通信優(yōu)化方案.為清晰說明該方案的運行機理,本文以SWIFT系統(tǒng)的報文業(yè)務(wù)為參照實例進行闡述.在優(yōu)化過程中,結(jié)合當前金融業(yè)務(wù)實際情況,本文提出雙層混合式組網(wǎng)機制,即在由一級金融機構(gòu)組成的主網(wǎng)絡(luò)層采用 P2P組網(wǎng)方式,在由隸屬一級金融機構(gòu)的二級金融機構(gòu)組成的附加網(wǎng)絡(luò)層采用星型拓撲網(wǎng)絡(luò)結(jié)構(gòu).與此相應(yīng),本文提出：在主網(wǎng)絡(luò)層,部署基于改進的實用拜占庭容錯(improved practical Byzantine tolerance,簡稱 IPBFT)共識機制的聯(lián)盟鏈;在附加網(wǎng)絡(luò)層,部署基于強領(lǐng)導(dǎo)式 Raft(raft of strong leadership,簡稱RSL)共識機制的私有鏈.借鑒原有SWIFT系統(tǒng)的報文加密機制,本文提出哈希加密和雙重加密相結(jié)合的數(shù)據(jù)保護機制,進而形成雙層、多鏈、分布式、可控匿名的基于區(qū)塊鏈技術(shù)的SWIFT報文傳輸系統(tǒng).

本文第1節(jié)為相關(guān)工作介紹.第2節(jié)為基于許可鏈的SWIFT系統(tǒng)構(gòu)架介紹.第3節(jié)為組網(wǎng)機制設(shè)計.第4節(jié)為各層區(qū)塊鏈的分布式共識機制.第5節(jié)為數(shù)據(jù)交互及查詢機制.第6節(jié)機構(gòu)數(shù)據(jù)保護機制.第7節(jié)為安全性分析與證明.第8節(jié)為結(jié)語及展望.

1 相關(guān)工作

現(xiàn)階段,基于區(qū)塊鏈技術(shù)對 SWIFT系統(tǒng)進行優(yōu)化的相關(guān)研究工作主要包括區(qū)塊鏈技術(shù)在信息安全領(lǐng)域的應(yīng)用、SWIFT系統(tǒng)優(yōu)化及其網(wǎng)絡(luò)安全事件分析、Ripple技術(shù)及其存在的問題、Ripple技術(shù)與SWIFT的對比分析等.劉敖迪等人對國內(nèi)外的區(qū)塊鏈技術(shù)及其在信息安全領(lǐng)域的研究進展進行了總結(jié),綜述了區(qū)塊鏈技術(shù)應(yīng)用于身份認證、訪問控制、數(shù)據(jù)保護等研究領(lǐng)域的進展,并對各類研究的具體情況進行了對比,指出區(qū)塊鏈技術(shù)應(yīng)用于信息安全領(lǐng)域面臨的挑戰(zhàn)[4].Michael等人通過對一些訪談、會議研討進行總結(jié)和梳理,指出將以區(qū)塊鏈技術(shù)為代表的分布式賬本技術(shù)應(yīng)用于金融數(shù)據(jù)存儲和傳輸過程中,可以促進金融系統(tǒng)的可持續(xù)發(fā)展,并可以有效降低業(yè)務(wù)流程風(fēng)險和運營成本.但同時也指出,對區(qū)塊鏈等分布式技術(shù)的預(yù)期,可能與企業(yè)內(nèi)部以及企業(yè)之間的業(yè)務(wù)流程協(xié)調(diào)之間存在不符[8].

環(huán)球銀行金融電信協(xié)會為應(yīng)對頻發(fā)的安全事件以及區(qū)塊鏈技術(shù)興起對自身的沖擊,也展開了相關(guān)的研究工作,主要工作包括推出 SWIFT客戶安全控制框架[9].該文件為 SWIFT用戶建立了一套強制性/咨詢性的安全控制措施,用以提高本地客戶端的安全性,但其并沒有觸及 SWIFT系統(tǒng)的底層中心構(gòu)架.此外,環(huán)球銀行金融電信協(xié)會也開展了一系列將區(qū)塊鏈技術(shù)應(yīng)用于自身業(yè)務(wù)的研究[10],但相關(guān)技術(shù)方案與現(xiàn)有金融監(jiān)管框架以及實際業(yè)務(wù)需求存在較大沖突,仍處于概念構(gòu)建期和方案實驗期,技術(shù)方案并不成熟,難以實現(xiàn)大規(guī)模應(yīng)用.

中國人民銀行數(shù)字貨幣研究項目組從SWIFT系統(tǒng)遭受的網(wǎng)絡(luò)攻擊為切入點,分析了SWIFT系統(tǒng)的安全問題,并對孟加拉國 SWIFT系統(tǒng)遭受攻擊進行了詳細分析,指出,SWIFT系統(tǒng)的安全性是基于用戶端電腦可信這一假設(shè).并進一步指出,該事件暴露出的核心問題包括兩個：一是如何保證信息源頭的可信性;二是如何防范對中心節(jié)點過度信任所帶來的安全問題.最后,研究指出包括區(qū)塊鏈技術(shù)在內(nèi)的互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展可以實現(xiàn)對網(wǎng)絡(luò)安全問題的突破[11].

同時,采用區(qū)塊鏈技術(shù)解決國際金融通信以及價值轉(zhuǎn)換的Ripple技術(shù)體系也引起了研究者重視.Frederik等人對Ripple系統(tǒng)進行了介紹,指出：Ripple是一種基于信用網(wǎng)絡(luò)的分布式支付系統(tǒng),在該支付系統(tǒng)中主要參與者包括用戶、做市商、驗證節(jié)點、Ripple協(xié)議;指出該系統(tǒng)中的交易類型分為6種類型,并對比了Ripple和Bitcoin的區(qū)別;在此基礎(chǔ)上,研究者分析了Ripple分叉問題,通過數(shù)學(xué)分析發(fā)現(xiàn),當驗證者之間的驗證數(shù)據(jù)集的交叉率超過 40%時才能確保該系統(tǒng)的區(qū)塊鏈不發(fā)生分叉[6].Marcel等人以Ripple為典型代表,分析了分布式轉(zhuǎn)賬支付系統(tǒng)的優(yōu)勢及便利性,同時指出,現(xiàn)有美國境內(nèi)的監(jiān)管政策以及措施并不適用于分布式支付系統(tǒng)[12].Adriano等人對Ripple的轉(zhuǎn)賬支付系統(tǒng)進行了深入分析,指出,在Ripple系統(tǒng)驗證節(jié)點存在中心化趨勢,即,只有少量的節(jié)點承擔著整個交易系統(tǒng)的交易驗證業(yè)務(wù).進一步,研究者對該交易系統(tǒng)的隱私性進行了檢驗,研究發(fā)現(xiàn),利用某用戶的單次交易信息便可以在系統(tǒng)中搜索得到該用戶在系統(tǒng)中全部交易信息[13].

除上述研究外,有的研究者對Ripple技術(shù)與SWIFT進行了對比分析,指出Ripple在提供便捷支付技術(shù)方案的同時,在應(yīng)用過程中依然面臨諸多問題,如：利用交易雙方信任的網(wǎng)關(guān)作為交易的中介,無法拓展新的信任關(guān)系[14];匿名化和去中心化為金融行業(yè)的監(jiān)管帶來困難,有可能被用于洗錢等不法活動[15,16];同時,由于該數(shù)字幣可以在公開市場進行交易,易成為市場炒作標的,幣值不穩(wěn),導(dǎo)致用戶使用的成本波動大等問題.

與Ripple Labs類似,初創(chuàng)型企業(yè)Circle也專注于解決跨境支付問題,其推出的跨境支付技術(shù)以比特幣作為不同貨幣之間價值中介,借助比特幣在全世界的交易網(wǎng)絡(luò),完成法定貨幣在不同用戶之間的結(jié)轉(zhuǎn).但由于近年來比特幣炒作氛圍濃厚,其與法定貨幣之間的匯率不穩(wěn),錨定比特幣充當價值中介,使得不同法定貨幣之間的轉(zhuǎn)換匯率不穩(wěn),為投機者利用該技術(shù)進行外匯套利提供了機會;同時,該應(yīng)用產(chǎn)品設(shè)定業(yè)務(wù)場景較為簡單,難以滿足跨國銀行間的大額貨幣清算以及金融通信的業(yè)務(wù)需求;另外,不同國家之間對比特幣的監(jiān)管政策不同,利用法定貨幣與比特幣之間進行直接交易存在巨大政策風(fēng)險.2017年 12月,Circle公司發(fā)布新一代跨境支付產(chǎn)品CENTRE的白皮書[17],其突出改進在于提出利用該公司發(fā)行的數(shù)字代幣取代比特幣充當不同貨幣之間的價值轉(zhuǎn)換中介,但該項目尚未落地,所面臨的政策性不確定風(fēng)險突出.

通過上述相關(guān)工作回顧不難發(fā)現(xiàn)：以Ripple和Circle為代表,基于區(qū)塊鏈技術(shù)的分布式轉(zhuǎn)賬系統(tǒng)雖然已經(jīng)相對成熟,但在實際應(yīng)用以及業(yè)務(wù)推廣過程中依然面臨諸多問題.而作為現(xiàn)行國際貨幣清算體系下的SWIFT系統(tǒng),雖已經(jīng)開始在相關(guān)方面做出探索,但技術(shù)方案仍不成熟.因而,鑒于 SWIFT系統(tǒng)在業(yè)務(wù)覆蓋和合規(guī)性審查方面已十分成熟,同時該系統(tǒng)面臨的安全性問題、成本問題、效率問題,本文將以SWIFT系統(tǒng)為參照實例對基于許可鏈的跨境金融通信機理進行闡述,以期為后續(xù)研究提供參考和借鑒.

2 基于許可鏈的SWIFT系統(tǒng)架構(gòu)

2.1 SWIFT系統(tǒng)結(jié)構(gòu)框架

SWIFT系統(tǒng)致力于解決全球金融機構(gòu)的跨境通信問題,并提供標準化報文,在此基礎(chǔ)上助力于建立高效的國際貨幣清算體系.因而,SWIFT系統(tǒng)的關(guān)鍵核心在于實現(xiàn)國際金融機構(gòu)的信息連通.現(xiàn)行的 SWIFT系統(tǒng)構(gòu)架基于中心控制-區(qū)片存儲-區(qū)域?qū)徍?用戶接入的設(shè)計構(gòu)架(具體拓撲結(jié)構(gòu)如圖1所示).

如圖1所示,SWIFT系統(tǒng)拓撲結(jié)構(gòu)由4部分組成：處于系統(tǒng)核心位置的是中心系統(tǒng)控制處理器,其他部分由上到下依次分為片處理機、地區(qū)處理機、訪問點.在該系統(tǒng)中：中心系統(tǒng)控制處理器是整個系統(tǒng)最核心的主控機,對整個系統(tǒng)的運行狀態(tài)進行檢測和控制;片處理器負責(zé)整個網(wǎng)絡(luò)中報文存儲轉(zhuǎn)發(fā),目前,世界范圍內(nèi)的報文存儲轉(zhuǎn)發(fā)由 4臺片處理器負責(zé);地區(qū)處理機是系統(tǒng)端的門戶,主要負責(zé)對用戶發(fā)送報文的格式、語法、地址代碼等進行審核,審核通過的報文才能進一步地向片處理器進行傳送,從而分擔片處理器的工作負荷;訪問點則是被 SWIFT系統(tǒng)授權(quán)的,可以接入到系統(tǒng)中的端口,系統(tǒng)用戶利用本地邏輯終端和計算機系統(tǒng),通過該端口接入系統(tǒng).

現(xiàn)行的 SWIFT框架以中心控制系統(tǒng)管理整個系統(tǒng)的運行,參與該系統(tǒng)的金融機構(gòu)之間交換的報文信息都要經(jīng)過中心控制系統(tǒng),一旦中心系統(tǒng)遭受攻擊或是攻擊者通過騙取中心節(jié)點信任的方式,便可輕易地發(fā)起對其他金融機構(gòu)的攻擊.而利用中心控制系統(tǒng)進行業(yè)務(wù)處理模式也導(dǎo)致交易效率低下,如個人利用銀行接SWIFT系統(tǒng)進行跨境轉(zhuǎn)賬到賬日期為3天,遠遠長于Ripple和Cricle的轉(zhuǎn)賬時效.

2.2 BCSWIFT框架

基于中心控制思想設(shè)計的系統(tǒng)架構(gòu)在一定時期內(nèi)保證系統(tǒng)的高效運轉(zhuǎn).然而,近年來一些安全攻擊事件(見表 1)、運營成本高、跨境支付到賬時效長的問題引起廣泛重視.為解決該系統(tǒng)運行中存在的問題,本文提出基于許可鏈的BCSWIFT構(gòu)架.

BCSWIFT構(gòu)架的核心關(guān)鍵在于不改變現(xiàn)有金融監(jiān)管體系的前提下對SWIFT系統(tǒng)進行優(yōu)化,將過分依賴于中心節(jié)點的中心化架構(gòu)變革為分布式共識構(gòu)架.

在BCSWIFT系統(tǒng)中,每個節(jié)點都參與維護全網(wǎng)的交易賬本,因而不存在中心控制節(jié)點.考慮到SWIFT系統(tǒng)中涉及到世界諸多國家的金融機構(gòu),需要對報文進行標準化,同時,世界各國對跨境金融業(yè)務(wù)具有較強的監(jiān)管要求,因此,本文將節(jié)點類型劃分為用戶節(jié)點和協(xié)調(diào)節(jié)點;進一步地,將用戶節(jié)點劃分為記賬節(jié)點子群和驗證節(jié)點子群.用戶節(jié)點是 BCSWIFT系統(tǒng)的主體參與者,其中：記賬節(jié)點子群負責(zé)記錄本節(jié)點與其他節(jié)點之間的交易事項,發(fā)送報文、接受報文、維護本地賬本等;驗證節(jié)點子群從全體用戶節(jié)點之中隨機選擇,負責(zé)對系統(tǒng)中的報文進行合規(guī)性審查、驗證交易,只有通過驗證節(jié)點驗證的報文交易信息才能記錄到區(qū)塊鏈中;協(xié)調(diào)節(jié)點對整個系統(tǒng)進行維護,制定報文標準、仲裁交易糾紛、負責(zé)認證節(jié)點的篩選工作、對新近節(jié)點進行合規(guī)性審查、協(xié)調(diào)系統(tǒng)與其他監(jiān)管系統(tǒng)的對接等(詳見第4.1節(jié)的表2和表3).圖2為BCSWIFT系統(tǒng)分布式結(jié)構(gòu)圖,圖3為BCSWITF區(qū)塊鏈架構(gòu)圖.

3 組網(wǎng)機制以及區(qū)塊鏈結(jié)構(gòu)設(shè)計

現(xiàn)有SWIFT系統(tǒng)基于中心控制思想進行網(wǎng)絡(luò)布局,中心控制系統(tǒng)成為各個節(jié)點相互連通的信道中轉(zhuǎn)站,是實現(xiàn)世界各國金融機構(gòu)發(fā)送報文進行信息溝通的關(guān)鍵節(jié)點.因而,系統(tǒng)的運行效率、信息傳播速度很大程度上依賴于中心控制器的處理能力和運轉(zhuǎn)速度.另外,網(wǎng)絡(luò)中的最低帶寬也成為限制全網(wǎng)運行效率和信息傳播速度的重要因素.為此,本文提出基于端對端組網(wǎng)方式和星型拓撲網(wǎng)絡(luò)向結(jié)合的混合式組網(wǎng)方式以適應(yīng) BCSWIFT系統(tǒng)的分布式共識機制,并在此基礎(chǔ)上提出了各個金融機構(gòu)及其分支機構(gòu)的區(qū)塊鏈數(shù)據(jù)結(jié)構(gòu).

3.1 組網(wǎng)機制設(shè)計

當前,根據(jù)參與方式的不同,區(qū)塊鏈部署形式一般可分為公有鏈、聯(lián)盟鏈、私有鏈,其中,聯(lián)盟鏈和私有鏈等非公有鏈又被稱為許可鏈(permissioned blockchain).聯(lián)盟鏈是區(qū)塊鏈三大部署形式之一,是由若干機構(gòu)組成利益相關(guān)的聯(lián)盟,共同參與并維護具有準入機制的多中心化區(qū)塊鏈.聯(lián)盟鏈提供成員管理、認證、授權(quán)、審計等管理功能,經(jīng)過聯(lián)盟認證的機構(gòu)才能加入聯(lián)盟鏈,對聯(lián)盟鏈的寫入及查詢等操作均可通過聯(lián)盟授權(quán)控制.私有鏈是指各個節(jié)點的寫入權(quán)限僅有某個機構(gòu)控制,而讀取權(quán)限可視需求有選擇地對外開放,或被任意程度地進行了限制的區(qū)塊鏈[18].進入聯(lián)盟鏈的成員具有對等地位,不存在絕對控制中心節(jié)點,因而在部署聯(lián)盟鏈的過程中,端對端(peer to peer,簡稱P2P)的組網(wǎng)方式便成為重要的聯(lián)盟鏈網(wǎng)絡(luò)拓撲結(jié)構(gòu).而私有鏈從某種程度上存在著類中心節(jié)點,星型拓撲(star topology)網(wǎng)絡(luò)被視為私有鏈的重要可參考網(wǎng)絡(luò)拓撲結(jié)構(gòu).

現(xiàn)行的SWIFT系統(tǒng)為每個加入到該系統(tǒng)中的金融機構(gòu)提供訪問點,并設(shè)置相應(yīng)的機構(gòu)代碼,以保證數(shù)據(jù)結(jié)構(gòu)的完整、清晰和易于處理.而分布于世界各國的金融機構(gòu)往往在本國范圍內(nèi)又擁有諸多分支機構(gòu)和代理機構(gòu),這些分支機構(gòu)和代理機構(gòu)往往通過專線與主機構(gòu)聯(lián)結(jié),當需要利用 SWIFT系統(tǒng)接發(fā)報文時,便借助于主機構(gòu)擁有的SWIFT訪問權(quán)限進行業(yè)務(wù)處理.此種方式一方面考慮到不同分支機構(gòu)或代理機構(gòu)的數(shù)量眾多,而且業(yè)務(wù)量規(guī)模分布不均衡,利用主機構(gòu)統(tǒng)一的系統(tǒng)訪問權(quán)限可以避免為所有分支機構(gòu)和代理機構(gòu)申請 SWIFT系統(tǒng)訪問權(quán)限的成本;另一方面,有利于加強主機構(gòu)對分支機構(gòu)和代理機構(gòu)的監(jiān)管,也便于主機構(gòu)進行統(tǒng)一的業(yè)務(wù)核算.基于此,本文提出P2P組網(wǎng)方式與星型拓撲網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合的混合式組網(wǎng)方式.

為便于區(qū)分,本文將參與到 SWIFT系統(tǒng)中的金融機構(gòu)進行縱向劃分,即,按照金融機構(gòu)是否具有獨立的SWIFT系統(tǒng)訪問權(quán)限劃分為一級金融機構(gòu)和二級金融機構(gòu).一級金融機構(gòu)指獲得獨立SWIFT系統(tǒng)訪問權(quán)限的金融機構(gòu),包括各國銀行、證券公司以及從屬于銀行或證券公司但具有獨立 SWIFT系統(tǒng)訪問權(quán)限的子公司或代理機構(gòu);二級金融機構(gòu)指沒有獨立的SWIFT系統(tǒng)訪問權(quán)限的金融機構(gòu)的分支機構(gòu)、代理機構(gòu)或是子公司,同時,其對SWIFT系統(tǒng)的訪問權(quán)限需要借助其從屬的或者有合作關(guān)系的一級金融機構(gòu)的訪問權(quán)限.

在一級金融機構(gòu)中,采用P2P的組網(wǎng)方式;而在二級金融機構(gòu)與其依賴的一級金融機構(gòu)之間,采用星型拓撲網(wǎng)絡(luò).

圖 4為 BCSWIFT系統(tǒng)混合式組網(wǎng)機制示意圖,在該組網(wǎng)機制中,本文將整個網(wǎng)絡(luò)劃分為兩層.上層由一級金融機構(gòu)用戶組成,在此層次中,各參與者采用P2P的組網(wǎng)方式,以便于為BCSWIFT系統(tǒng)分布式共識提供健壯的網(wǎng)絡(luò)支撐.該層次也是BCSWIFT組網(wǎng)的主層,各參與者的跨境報文交換以及金融通信等BCSWIFT系統(tǒng)為用戶提供的主要業(yè)務(wù)也在該層完成;下層由二級金融機構(gòu)用戶組成,在此層次中,各參與者采用星型拓撲的網(wǎng)絡(luò)機制與主層中的相對應(yīng)的一級金融機構(gòu)相連接,二級金融機構(gòu)的跨境報文交換以及金融通信等業(yè)務(wù)通過向一級金融機構(gòu)提交申請,借助一級金融機構(gòu)的 BCSWIFT系統(tǒng)訪問權(quán)限的方式完成.該層次是主層次的輔助層,以此擴展BCSWIFT系統(tǒng)地域以及受眾群體的覆蓋范圍.

3.2 BCSWIFT主層聯(lián)盟鏈區(qū)塊數(shù)據(jù)結(jié)構(gòu)

根據(jù)金融機構(gòu)實體組織方式以及業(yè)務(wù)需求,本文提出了基于聯(lián)盟鏈的 BCSWIFT的混合式組網(wǎng)機制.與之相對應(yīng),本節(jié)提出雙層混合式網(wǎng)絡(luò)中,不同網(wǎng)絡(luò)層參與者的區(qū)塊數(shù)據(jù)結(jié)構(gòu).具體可以分為主層聯(lián)盟鏈區(qū)塊數(shù)據(jù)結(jié)構(gòu)和附加層區(qū)塊數(shù)據(jù)結(jié)構(gòu).

主層聯(lián)盟鏈的區(qū)塊主要存儲 BCSWIFT系統(tǒng)中的各參與者報文交換信息,以滿足國際間跨境清算的需求.主層聯(lián)盟鏈中的區(qū)塊分為兩部分：區(qū)塊頭和區(qū)塊體.區(qū)塊頭中主要封裝當前區(qū)塊哈希值、前置區(qū)塊頭哈希值、驗證子群哈希值、版本號、Merkle根、時間戳,其中：當前區(qū)塊的哈希值是對經(jīng)過驗證節(jié)點驗證之后的區(qū)塊利用 Hash256算法計算等到的函數(shù)值,前置區(qū)塊頭哈希值為父區(qū)塊的哈希值,驗證子群哈希值是由協(xié)調(diào)節(jié)點選出的驗證節(jié)點子群中所有驗證節(jié)點代碼組成的代碼集合的哈希值,版本號為整個區(qū)塊鏈系統(tǒng)的版本編號,Merkel根則是對區(qū)塊體中的數(shù)據(jù)進行Merkel計算后得到的,時間戳為經(jīng)過驗證節(jié)點共同驗證后由協(xié)調(diào)節(jié)點設(shè)置;區(qū)塊體主要封裝報文信息,主要包括的事項有發(fā)送方代碼、發(fā)送時間、接受方代碼、報文類型、加密方式、報文內(nèi)容、報文哈希、數(shù)字簽名、加密算法,其中,發(fā)送方代碼和接受方代碼沿用現(xiàn)有SWIFT系統(tǒng)中的代碼體系;報文類型的具體分類與現(xiàn)有SWIFT系統(tǒng)向一致;加密方式存儲報文的加密算法;報文內(nèi)容存儲金融機構(gòu)之間的交換的報文具體內(nèi)容;數(shù)字簽名中存儲著報文交換雙方的數(shù)字簽名證書,以保證信息在信道中不被篡改.

具體結(jié)構(gòu)如圖5所示.

3.3 BCSWIFT附加層私有鏈區(qū)塊數(shù)據(jù)結(jié)構(gòu)

BCSWIFT附加層由二級金融機構(gòu)組成,是主層在地域和服務(wù)受眾群體范圍的擴展.二級金融機構(gòu)借助一級金融機構(gòu)的訪問權(quán)限實現(xiàn)跨境金融通信,二級金融機構(gòu)處于星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)的末端位置.根據(jù)自身業(yè)務(wù)的實際需求,一級金融機構(gòu)可以自行設(shè)置其與二級金融機構(gòu)的數(shù)據(jù)處理方式,既可以采用中心式數(shù)據(jù)處理模式,又可以采用私有鏈或聯(lián)盟鏈的數(shù)據(jù)交互模式.考慮到一級金融機構(gòu)與二級金融機構(gòu)之間的組織與業(yè)務(wù)關(guān)系,本文采用私有鏈的方式實現(xiàn)二級金融機構(gòu)與一級金融機構(gòu)之間的跨境信息交互與存儲.

附加層私有鏈中的區(qū)塊主要存儲二級機構(gòu)借助一級金融機構(gòu)的 SWIFT訪問權(quán)限發(fā)送和接受的跨境報文信息.附加層私有鏈中的區(qū)塊分為兩部分：區(qū)塊頭和區(qū)塊體.區(qū)塊頭中主要封裝當前區(qū)塊哈希值、前置區(qū)塊頭哈希值、版本號、Merkle根、時間戳,其中,當前區(qū)塊的哈希值是對經(jīng)過驗證節(jié)點驗證之后的區(qū)塊利用 Hash256算法計算等到的函數(shù)值,前置區(qū)塊頭哈希值為父區(qū)塊的哈希值,版本號為私有鏈系統(tǒng)的版本編號,Merkel根則是對區(qū)塊體中的數(shù)據(jù)進行Merkel計算后得到的,時間戳由一級金融機構(gòu)在驗證完成后設(shè)置;區(qū)塊體主要封裝報文信息,主要包括的事項有發(fā)送方代碼、發(fā)送時間、接受方代碼、報文類型、加密方式、報文內(nèi)容、數(shù)字簽名、加密算法,其中：發(fā)送方代碼為私有鏈系統(tǒng)中的機構(gòu)代碼,接受方代碼沿用現(xiàn)有 SWIFT系統(tǒng)中的代碼體系,報文類型的具體分類與現(xiàn)有SWIFT系統(tǒng)向一致,加密方式存儲報文的加密算法,報文內(nèi)容存儲金融機構(gòu)之間的交換的報文具體內(nèi)容.

具體結(jié)構(gòu)如圖6所示.

4 分布式共識機制設(shè)計

考慮到BCSWIFT系統(tǒng)用戶的組織方式以及業(yè)務(wù)模式,本文將BCSWIFT系統(tǒng)劃分成雙層結(jié)構(gòu),即主層和附加層,并分別對應(yīng)聯(lián)盟鏈和私有鏈.本節(jié)將提出主層聯(lián)盟鏈以及附加層私有鏈的共識機制.

4.1 用戶角色及職責(zé)

BCSWIFT系統(tǒng)采用雙層網(wǎng)絡(luò)架構(gòu)：主層基于聯(lián)盟鏈建立分布式共識機制,以弱化對現(xiàn)行 SWIFT系統(tǒng)中心控制節(jié)點的依賴程度;附加層考慮到金融機構(gòu)實體組織結(jié)構(gòu)體系,采用私有鏈的區(qū)塊鏈部署方式以增強系統(tǒng)的健壯性.因而,用戶在不同網(wǎng)絡(luò)層中承擔著不同的角色,其擁有的權(quán)限與履行的職責(zé)也不近相同.表2和表3列出了BCSWIFT主層用戶和附加層用戶的角色及其職責(zé).

不同的一級金融機構(gòu)在業(yè)務(wù)規(guī)模和組織方式方面存在差異.對于擁有分支機構(gòu)或代理機構(gòu)的一級金融機構(gòu),本文提出通過構(gòu)建私有鏈的方式,建立分支機構(gòu)或代理機構(gòu)與一級金融機構(gòu)之間的跨境報文傳輸和存儲機制.表3為BCSWIFT附加層用戶角色及職責(zé).

Table 2 BCSWIFT main network layer user roles and responsibilities表2 BCSWIFT主網(wǎng)絡(luò)層用戶角色及職責(zé)

Table 3 BCSWIFT additional network layer user roles and responsibilities表3 BCSWIFT附加網(wǎng)絡(luò)層用戶角色及職責(zé)

4.2 共識算法設(shè)計

4.2.1 相關(guān)定義

BCSWIFT系統(tǒng)中采用雙層網(wǎng)絡(luò)構(gòu)架,在不同的網(wǎng)絡(luò)層采用相應(yīng)的共識機制.本文提出,在主層采用基于實用拜占庭容錯[19]的改進的實用拜占庭容錯共識機制;在附加層采用基于 Raft[20]的強領(lǐng)導(dǎo)式共識機制.在相關(guān)共識機制中定義如下.

定義1(報文發(fā)送方Sen和接受方Rec).報文發(fā)送方是指請求通過BCSWIFT系統(tǒng)向其他金融機構(gòu)發(fā)送報文信息的金融機構(gòu).報文發(fā)送方可以是一級金融機構(gòu)SenF,也可以是二級金融機構(gòu)SenS;報文發(fā)送方SenFID是一級金融機構(gòu)在主網(wǎng)絡(luò)層唯一標識,報文發(fā)送方SenSID是二級金融機構(gòu)在其隸屬的星型拓撲網(wǎng)絡(luò)中的唯一標識.與之類似,可以對Rec,RecFID和RecSID進行定義.對于同一金融機構(gòu)而言,SenFID==RecFID或SenSID==RecSID.

定義2(報文信息Tele).報文信息是BCSWFIT系統(tǒng)中傳輸和存儲的主要內(nèi)容,是指金融機構(gòu)之間為實現(xiàn)跨境金融信息交互、完成跨境資產(chǎn)清算和結(jié)算以加密電文的形式傳輸?shù)膱笪?報文信息通過TeleID(報文信息ID)全系統(tǒng)唯一標識,每一條報文對應(yīng)唯一的一個ID,同時,一個ID也只能唯一對應(yīng)一條報文信息.每一條報文信息在時間切片內(nèi)只能被傳遞一次,但每條報文可以包含多項金融交易信息.主網(wǎng)絡(luò)層的報文主要由兩部分組成,即報文頭和報文體：報文頭主要包括發(fā)送方ID、接收方ID、發(fā)送時間(time)報文類型(type)、加密算法(encryption)、數(shù)字簽名(signature)、報文哈希值(HAS content);報文體由報文內(nèi)容(content)組成,同一報文中的發(fā)送方ID不能等于接收方ID.在主網(wǎng)絡(luò)層中,發(fā)送方ID、接收方ID為SenFID,RecFID.二級金融機構(gòu)發(fā)送或接受跨境報文信息,借助其隸屬的一級金融機構(gòu).因機構(gòu)數(shù)據(jù)保護機制不同(見第6.3節(jié)),附加網(wǎng)絡(luò)層中的報文頭不再包含報文哈希值(HAS content)這一項.

定義3(協(xié)調(diào)節(jié)點Cor).協(xié)調(diào)節(jié)點是所有股東機構(gòu)成立的管理委員會的代理機構(gòu)在BCSWIFT系統(tǒng)中的投射.在收集到全網(wǎng)報文數(shù)據(jù)后,將待驗證數(shù)據(jù)發(fā)送到驗證群組,對合規(guī)數(shù)據(jù)進行建塊,并廣播最新聯(lián)盟鏈狀態(tài).該節(jié)點不參與共識,只負責(zé)忠實維護系統(tǒng)的安全健壯、準確可靠.對新進節(jié)點進行審核,通過在現(xiàn)實世界中簽訂的合作協(xié)議,幫助新進入機構(gòu)獲得系統(tǒng)的接入權(quán),并對其進行業(yè)務(wù)指導(dǎo),提供必要的軟件以及硬件基礎(chǔ)設(shè)施.協(xié)調(diào)節(jié)點對驗證節(jié)點進行動態(tài)隨機篩選,組織共識驗證過程.

定義4(用戶節(jié)點User).用戶節(jié)點是除協(xié)調(diào)節(jié)點以外的節(jié)點,是金融機構(gòu)在BCSSWIFT的網(wǎng)絡(luò)投射.從網(wǎng)絡(luò)結(jié)構(gòu)的角度劃分,用戶節(jié)點分為主網(wǎng)絡(luò)節(jié)點UserF和附加網(wǎng)絡(luò)節(jié)點UserS,即User=UserF∪UserS;從報文發(fā)送雙方的角度劃分,用戶節(jié)點分為報文發(fā)送方和報文接受方,即User=SenF∪SenS∪RecF∪RecS.

定義 5(驗證節(jié)點 Ver).驗證節(jié)點是對報文信息進行審核,參與共識,并將數(shù)據(jù)寫入?yún)^(qū)塊鏈的用戶節(jié)點.在主網(wǎng)絡(luò)層中,驗證節(jié)點VerF由協(xié)調(diào)節(jié)點從全部用戶節(jié)點中選出大于2/3組成驗證群組.在附加層中,驗證節(jié)點VerS為一級金融機構(gòu),該驗證節(jié)點對二級金融機構(gòu)發(fā)送的報文信息進行審核,審核通過后,向主網(wǎng)絡(luò)層發(fā)起報文發(fā)送信息,并計入其私有鏈中.當二級金融機構(gòu)接收到報文時,也由通過一級金融機構(gòu)進行驗證,并計入其私有鏈.

定義 6(記賬節(jié)點 Led).記賬節(jié)點是除驗證節(jié)點之外的節(jié)點,在隨機動態(tài)選出驗證節(jié)點后,剩余的節(jié)點成為記賬節(jié)點.在主網(wǎng)絡(luò)層中,記賬節(jié)點負責(zé)將自身以及二級金融機構(gòu)報文信息進行收集,并向協(xié)調(diào)節(jié)點和驗證節(jié)點發(fā)送報文數(shù)據(jù),待數(shù)據(jù)完成共識,接受聯(lián)盟鏈的區(qū)塊狀態(tài),完成自身聯(lián)盟區(qū)塊鏈的數(shù)據(jù)更新.在主層中,記賬節(jié)點和驗證節(jié)點的角色可以互換.在附加層中,記賬節(jié)點是除中心節(jié)點以外的節(jié)點,負責(zé)自身數(shù)據(jù)與私有鏈驗證節(jié)點的交互,維護本地私有鏈.

定義 7(并行報文區(qū)塊鏈).在 BCSWIFT系統(tǒng)中,擁有二級金融機構(gòu)(SFI)的一級金融機構(gòu)節(jié)點(FIWS)同時維護兩條并行的區(qū)塊鏈,即主網(wǎng)絡(luò)層的聯(lián)盟鏈(consortium blockchain,簡稱 CBC)和附加層的私有鏈(private blockchain,簡稱PBC).在主網(wǎng)絡(luò)層中,通過IPBFT共識機制維護主網(wǎng)絡(luò)層的區(qū)塊鏈;在附加層中,通過RSL共識機制維護附加層中的區(qū)塊鏈.FIWS將通過驗證后的二級金融機構(gòu)的報文信息寫入BCSWIFTPBC中;同時,主網(wǎng)絡(luò)層的驗證節(jié)點將該條報文信息寫入BCSWIFTCBC中.

4.2.2 共識算法

BCSWIFT共識算法的核心思想是：對于不同的網(wǎng)絡(luò)層采用不同的共識的算法,擁有二級金融機構(gòu)的一級金融機構(gòu)參與兩種共識機制,并維護兩條并行區(qū)塊鏈.IPBFT適用于主網(wǎng)絡(luò)層,RSL適用于 FIWS與其隸屬的SFI組成的星型拓撲網(wǎng)絡(luò)中.

(1) IPBFT算法

算法描述：IPBFT中,報文數(shù)據(jù)區(qū)塊的記賬權(quán)由協(xié)調(diào)節(jié)點享有;驗證節(jié)點負責(zé)對收集到的數(shù)據(jù)進行合規(guī)性審查,在審查完成后,將全部數(shù)據(jù)進行哈希運算并將結(jié)果返回到協(xié)調(diào)節(jié)點;協(xié)調(diào)節(jié)點在收集到超過全網(wǎng) 2N/3驗證節(jié)點的一致性驗證后,建立報文數(shù)據(jù)區(qū)塊,并將新生成的區(qū)塊與前置區(qū)塊相連接,同時將區(qū)塊的最新高度廣播到全網(wǎng).通過驗證后的報文數(shù)據(jù)區(qū)塊將被永久記錄到BCSWIFTCBC中.

算法1.驗證節(jié)點對報文數(shù)據(jù)進行審核.

算法2.協(xié)調(diào)節(jié)點建立數(shù)據(jù)區(qū)塊并向全網(wǎng)廣播.

(2) RSL算法

算法描述：RSL算法中一級金融機構(gòu)擁有控制權(quán),并對接收到的二級金融機構(gòu)的報文傳輸請求進行審核,審核通過后,將報文信息直接記錄到其私有鏈中,并向其他二級金融機構(gòu)推送私有鏈的更新動態(tài).

算法.一級金融機構(gòu)對報文數(shù)據(jù)進行審核.

5 數(shù)據(jù)交互及查詢機制

報文傳輸是BCSWIFT系統(tǒng)的重要應(yīng)用之一,也是本文著重考慮的業(yè)務(wù)場景.本文提出的BCSWIFT系統(tǒng)與現(xiàn)行的 SWIFT系統(tǒng)基于中心控制的業(yè)務(wù)處理方式不同,其核心業(yè)務(wù)處理思想是分布式共識機制.因此,其具體業(yè)務(wù)流程也存在較大區(qū)別.

5.1 報文數(shù)據(jù)交互機制

報文交互機制從信息傳遞的角度可以劃分為報文發(fā)送、報文傳輸、報文接受這3個階段.依據(jù)用戶主體的不同,可以劃分為一級金融機構(gòu)與一級金融機構(gòu)之間的報文傳輸、一級金融機構(gòu)與二級金融機構(gòu)之間的報文傳輸、二級金融機構(gòu)與二級金融機構(gòu)之間報文傳輸這3種類型,這3種報文根據(jù)其業(yè)務(wù)的請求發(fā)出者可以劃分為由一級金融機構(gòu)發(fā)起的報文傳輸業(yè)務(wù)和由二級金融機構(gòu)發(fā)起的報文傳輸業(yè)務(wù).

報文傳輸以金融機構(gòu)的業(yè)務(wù)需要為前提,當一級金融機構(gòu)根據(jù)業(yè)務(wù)需求發(fā)送報文時,直接將報文編碼向BCSWIFT系統(tǒng)發(fā)起請求,報文信息通過驗證和共識后便會向報文接收方發(fā)送,一級金融機構(gòu)接受到報文后將報文進行解密;如果報文接收方為二級金融機構(gòu),則將報文信息傳遞給二級金融機構(gòu),二級金融機構(gòu)根據(jù)報文信息進行業(yè)務(wù)處理.當二級金融機構(gòu)收到業(yè)務(wù)請求時,會向其所隸屬的一級金融機構(gòu)進行報文傳輸請求,一級金融機構(gòu)對報文信息進行重新編碼后,向 BCSWIFT系統(tǒng)發(fā)送請求,報文信息通過驗證和共識后便會向報文接收方發(fā)送,一級金融機構(gòu)接受到報文后將報文進行解密;如果報文接收方為二級金融機構(gòu),則將報文信息傳遞給二級金融機構(gòu),二級金融機構(gòu)根據(jù)報文信息進行業(yè)務(wù)處理.具體流程詳如圖7所示,BCSWIFT系統(tǒng)報文交互流程圖.

5.2 數(shù)據(jù)查詢機制

金融機構(gòu)在處理跨境金融業(yè)務(wù)過程中,除了以報文為載體傳輸業(yè)務(wù)信息外,還需要諸如銀行對賬單等機構(gòu)業(yè)務(wù)處理匯總數(shù)據(jù),以實現(xiàn)資金或資產(chǎn)的清算、結(jié)算和交割.因而,BCSWIFT系統(tǒng)除為金融機構(gòu)提供報文傳輸?shù)慕换C制外,還支持金融機構(gòu)為完成資金或資產(chǎn)的清算、結(jié)算和交割等業(yè)務(wù)活動而向系統(tǒng)發(fā)起獲得報文記錄的查詢請求,而基于對金融機構(gòu)業(yè)務(wù)數(shù)據(jù)進行保護的考慮(見第6節(jié)),數(shù)據(jù)的公開范圍和查詢權(quán)限受到限制.

數(shù)據(jù)查詢的種類根據(jù)發(fā)起金融機構(gòu)的種類不同,可以劃分為由一級金融機構(gòu)發(fā)起的查詢和由二級金融機構(gòu)發(fā)起的查詢：一級金融機構(gòu)發(fā)起的查詢可以分為附加層網(wǎng)絡(luò)的查詢和主網(wǎng)絡(luò)層的查詢,即對BCSWIFTPBC的數(shù)據(jù)查詢和對BCSWIFTCBC的數(shù)據(jù)查詢;二級金融機構(gòu)發(fā)起的查詢可以分為附加層網(wǎng)絡(luò)的查詢和主網(wǎng)絡(luò)層的查詢,即對BCSWIFTPBC的數(shù)據(jù)查詢和對BCSWIFTCBC的數(shù)據(jù)查詢.

一級金融機構(gòu)在附加網(wǎng)絡(luò)層具有最高權(quán)限,可以隨時調(diào)取BCSWIFTPBC的全部數(shù)據(jù),而不需要經(jīng)過二級金融機構(gòu)的同意.一級金融機構(gòu)雖具有數(shù)據(jù)訪問的最高權(quán)限,卻無法對 BCSWIFTPBC中的數(shù)據(jù)進行修改,從一定程度上可以避免一級金融機構(gòu)的道德風(fēng)險和操作風(fēng)險.一級金融機構(gòu)對BCSWIFTCBC的數(shù)據(jù)查詢則需要經(jīng)過協(xié)調(diào)節(jié)點的審證,協(xié)調(diào)節(jié)點作為全體參與者組成的管理委員,在網(wǎng)絡(luò)中的投射可以很好地代表全體參與者的意愿,由其對查詢請求進行審證可以體現(xiàn)全部參與者的意愿,符合 BCSWIFT系統(tǒng)金融機構(gòu)商業(yè)聯(lián)盟的根本運營性質(zhì).通過審證后,BCSWIFTCBC系統(tǒng)將返回查詢結(jié)果.審證標準包括兩個方面,即合理性和合規(guī)性：合理性是指一級金融機構(gòu)請求查詢的數(shù)據(jù)在BCSWIFT聯(lián)盟中規(guī)定的數(shù)據(jù)查詢業(yè)務(wù)場景提供的數(shù)據(jù)范圍內(nèi);合規(guī)性則是指一級金融機構(gòu)數(shù)據(jù)查詢的請求指令應(yīng)該符合BCSWIFT聯(lián)盟的統(tǒng)一規(guī)范,同時請求指令發(fā)送的頻率在安全閾值范圍內(nèi).審證環(huán)節(jié)意在防止惡意節(jié)點通過數(shù)據(jù)查詢窺探其他節(jié)點的商業(yè)信息,也防止利用數(shù)據(jù)查詢進行“粉塵”攻擊,而并非賦予協(xié)調(diào)節(jié)點某種類中心化的權(quán)限.審證環(huán)節(jié)的主要流程也圍繞審證標準的 3個方面展開：首先是合理性審查,其次是合規(guī)性審查,再者是查詢次數(shù)限定.

二級金融機構(gòu)發(fā)起對 BCSWIFTPBC的數(shù)據(jù)查詢請求,由其隸屬的一級金融機構(gòu)負責(zé)審核.通過審核后,系統(tǒng)向二級金融機構(gòu)返回查詢結(jié)果.二級金融機構(gòu)對BCSWIFTCBC的數(shù)據(jù)查詢請求由其隸屬的一級金融機構(gòu)審核,并重新以一級金融機構(gòu)的名義向協(xié)調(diào)中心發(fā)送查詢請求,審證通過后,將 BCSWIFTCBC返回的查詢結(jié)果向二級金融傳遞.具體流程如圖8所示.

6 機構(gòu)業(yè)務(wù)數(shù)據(jù)私密性保護

跨境金融通信是金融機構(gòu)處理跨境業(yè)務(wù)的必要條件,便捷、安全、準確的跨境金融通信體系,是金融機構(gòu)在跨境金融業(yè)務(wù)領(lǐng)域的核心競爭力之一.同時,金融機構(gòu)在業(yè)務(wù)處理中積累的大量業(yè)務(wù)數(shù)據(jù),也成為其重要的數(shù)據(jù)資產(chǎn),甚至一些重要的數(shù)據(jù)信息成為了金融機構(gòu)的核心商業(yè)機密.因而,保護包括跨境報文信息在內(nèi)的業(yè)務(wù)數(shù)據(jù),是金融機構(gòu)保持其競爭力的重要途徑.其數(shù)據(jù)保護機制按照BCSWIFT系統(tǒng)的報文處理流程可以劃分為3個方面,即報文傳輸過程中的信息私密性保護、報文驗證過程中的信息私密性保護、報文存儲以及查詢過程中的信息私密性保護.

6.1 報文傳輸過程中的信息私密性保護

借鑒現(xiàn)有SWIFT系統(tǒng)中報文傳送的加密機制,除廣泛應(yīng)用的對稱加密算法外,本文提出采用非對稱密碼、數(shù)字簽名、哈希加密的方式保證數(shù)據(jù)在傳輸過程中的信息安全性.

· 非對稱密碼體制(asymmetric cryptosystem)在密鑰分配、密鑰管理以及實現(xiàn)不可否認方面相較于對稱密碼體制具有較大優(yōu)勢[18],因而在區(qū)塊鏈技術(shù)體系,如比特幣[21]中被廣泛應(yīng)用.利用非對稱密碼體制,報文發(fā)送方在發(fā)送報文之前首先要獲取報文接收方發(fā)布的公鑰.利用該密鑰將明文加密成為密文,接收方解密時,使用私鑰對密文進行處理以獲得明文.利用私鑰可以計算得出公鑰,但是利用公鑰卻難以計算得到私鑰,使得非對稱密碼體制在加密方面具有極高的安全性.在BCSWIFT系統(tǒng)中采用非對稱密碼體制,可以較好地解決現(xiàn)有 SWIFT系統(tǒng)中報文加密密鑰的分配問題,防止報文被截取以及報文接發(fā)過程中的抵賴問題;

· 數(shù)字簽名(digital signature)[22]主要用于對數(shù)字消息進行簽名,以防止消息的冒名偽造或篡改,也可以用于通信雙方的身份鑒別.在 BCSWIFT系統(tǒng)中,報文發(fā)送方利用簽名密鑰對報文信息進行簽名加密,接受方利用驗證密鑰對報文內(nèi)容進行解密.通過采用數(shù)字簽名技術(shù),BCSWIFT系統(tǒng)可以防范攻擊者假冒發(fā)送方發(fā)送報文信息或是對報文信息進行偽造;同時,加之以報文ID號和時間戳,BCSWIFT系統(tǒng)可以防止報文重放,也可以有效防止發(fā)送者抵賴曾經(jīng)簽署過的報文信息;

· 哈希加密也被稱為哈希函數(shù)(Hash function)[23],是一種從明文到密文的不可逆映射.利用哈希函數(shù)可以將任意長度的信息加密為固定字符長度的輸出,且一旦明文數(shù)據(jù)出現(xiàn)微小的變動,整個加密后的哈希值將發(fā)生巨大變動.在 BCSWIFT系統(tǒng)中,哈希函數(shù)可以對報文區(qū)塊進行加密,并存儲于后一區(qū)塊中,進而形成前后相連的鏈式數(shù)據(jù)結(jié)構(gòu).同時,利用哈希函數(shù)對整個報文進行加密,生成的哈希值放置于報文頭,以防止攻擊者對報文數(shù)據(jù)的惡意篡改.

6.2 報文驗證過程中的信息私密性保護

在主網(wǎng)絡(luò)層,報文驗證過程中,報文信息保護主要考慮各個金融機構(gòu)在報文傳輸中的數(shù)據(jù)不被惡意竊取和集中化收集,以窺探其運營狀況.其主要的安全風(fēng)險在于協(xié)調(diào)節(jié)點以及驗證節(jié)點在收集到全網(wǎng)報文數(shù)據(jù)后,構(gòu)建報文數(shù)據(jù)區(qū)塊的過程中以及驗證節(jié)點在收到協(xié)調(diào)節(jié)點發(fā)送的數(shù)據(jù)區(qū)塊后,在完成共識前,對金融機構(gòu)報文數(shù)據(jù)的竊取和集中化收集.

通過對報文數(shù)據(jù)進行加密傳輸,讓報文數(shù)據(jù)以密文的形式在全網(wǎng)中進行傳輸,只要確保密碼算法的安全性,就可以保障數(shù)據(jù)的安全性.但密文傳輸使得協(xié)調(diào)節(jié)點在審核報文消息是否合規(guī)的處理過程中面臨巨大問題,因為驗證節(jié)點并不允許對報文數(shù)據(jù)進行解密,無法直接查看報文的具體信息.

為解決報文審核以及共識過程對數(shù)據(jù)公開性的要求與金融機構(gòu)報文數(shù)據(jù)隱私保護之間的矛盾,需要在驗證內(nèi)容上尋找平衡閾值,既可以不妨礙分布式共識機制的運行,也可以最大限度地降低其道德風(fēng)險.本文提出對報文中的信息進行分類審核,同時采用雙重加密的技術(shù)手段加以解決.

本文研究認為：報文信息與數(shù)字資產(chǎn)不同,只存在重放而不存在“雙花”,因而不驗證信息的具體內(nèi)容也可以實現(xiàn)對報文的合規(guī)性審查.將驗證節(jié)點的報文審核內(nèi)容限定在報文ID、發(fā)送時間、發(fā)送方ID、接受方ID、報文類型的合規(guī)性審查、報文哈希、報文數(shù)字簽名的完整性“報文頭”中的內(nèi)容進行審核,而不對報文的具體內(nèi)容,即“報文體”進行審查是最合理的平衡閾值.該種審核機制類似于將一條報文信息看做是一封信,驗證節(jié)點可以便捷地實現(xiàn)對信封上的公開信息進行校驗,而無法探知信紙中記錄的具體內(nèi)容.不僅可以提高審核效率,還可以保證報文的信息機密性.通過審核和共識的報文信息將會被打包成為數(shù)據(jù)區(qū)塊,并記錄到BCSWIFTCBC中.

為確保報文數(shù)據(jù)不被惡意收集和窺探,本文提出采用雙重加密的方式.所謂雙重加密,是指報文在傳輸過程中利用非對稱加密算法(諸如 RSA等)和對稱加密進行雙重加密：第一重加密是利用非對稱加密算法對報文體進行加密,發(fā)送方利用接受收方的公鑰進行加密,接收方通過其私鑰進行解密,便可以得知報文體內(nèi)容;第二重加密是利用對稱加密算法對報文頭和加密后的報文體進行加密,報文發(fā)送方將經(jīng)過雙重加密的報文數(shù)據(jù)進行廣播,廣播接收方包括報文接收方、報文驗證方、記賬節(jié)點、協(xié)調(diào)節(jié)點等.但在此過程中,真正可以查看報文完整信息的只有報文接收方,而其他各方雖接受到報文,但只限于查看報文頭,驗證節(jié)點利用報文頭信息進行驗證,形成共識.通過共識驗證后的報文數(shù)據(jù)將被打包進入主層聯(lián)盟鏈以及相應(yīng)的附加層私有鏈.進一步地,雙重加密過程中采用兩種不同的非對稱加密算法和對稱加密算法可以進一步提高數(shù)據(jù)的安全性,增加攻擊者破譯難度.

在雙重加密中,第 1重加密是為了確保報文體的數(shù)據(jù)隱私性,將報文體以密文的形式在系統(tǒng)中傳輸,在報文發(fā)送方發(fā)送報文以后,只有報文接收方可以解密得到相關(guān)報文體的明文;第 2重加密主要用于保證報文廣播中的安全性和便于驗證.具體而言：首先是為防止報文在傳輸信道中被截取以后可以輕易獲得報文,只要確保第 2重加密中采用的加密方法具有密碼學(xué)意義上的安全性,就可以確保報文被截取以后的安全性;其次,對第 2重對稱加密進行解密以后得到的明文是一致的,即報文頭和采用第1重加密后的報文體密文,便于進行共識.

雙重加密中,密鑰的管理也較為便捷.第1重加密和第2重加密采用不同種類加密方法,系統(tǒng)中每一個節(jié)點保存有第1重非對稱加密方法的公鑰P和私鑰S,和第2重對稱加密算法的密鑰K.非對稱加密算法的私鑰由節(jié)點自身保存,公鑰由節(jié)點進入系統(tǒng)之初向全網(wǎng)節(jié)點發(fā)送.報文發(fā)送方在發(fā)送報文時,利用接收方的P對報文體加密,利用第2重對稱加密算法對報文頭和加密后的報文體進行加密.報文接收方接收到報文后,利用自身的K先對報文頭和加密后的報文體進行解密,再用自身的S對采用非對稱加密算法加密后的報文體進行解密,進而得知全部報文信息.非報文接收方節(jié)點只利用自身節(jié)點保存的密鑰K對報文頭和加密后的報文體進行解密,數(shù)據(jù)查看范圍限于報文頭的明文和報文體的密文.

其過程中主要的安全威脅來源于報文在小概率范圍內(nèi)被截取和破譯之外,攻擊者基于相同的報文內(nèi)容重寫報文,發(fā)起的重放攻擊.重放攻擊會使整個報文系統(tǒng)記錄的跨境金融數(shù)據(jù)出現(xiàn)巨大偏差,將迫使參與節(jié)點耗費巨大的人力和算力尋找重放信息,造成的損失不可估計.為此,本文提出在報文頭中加入報文信息整體的哈希以及非對稱加密算法對報文體信息進行加密的方法避免重放攻擊.當攻擊者基于相同的報文體內(nèi)容進行重放攻擊時,報文ID號必須是唯一且區(qū)別于其他任何一條報文信息的.報文ID的不可重復(fù)性致使攻擊者進行重放攻擊時,報文信息哈希值會發(fā)生巨大變化,因而驗證者可以輕易識破重放攻擊.同時,采用雙重加密機制不僅可以保證數(shù)據(jù)私密性,也為攻擊者破譯報文體信息增加了難度,也進一步降低了重放攻擊成功的概率.

在附加網(wǎng)絡(luò)層中,FIWS可以對報文的全部信息進行校驗,通過審核的報文將利用其自身的BCSWIFT系統(tǒng)訪問權(quán)限向主網(wǎng)絡(luò)層發(fā)送報文,待到主網(wǎng)絡(luò)層完成共識,再將SFI的報文信息記入到BCSWIFTPBC中.

6.3 報文存儲以及查詢過程中的信息私密性保護

利用非對稱密碼體制、數(shù)字簽名、屬性加密以及哈希函數(shù),使得報文數(shù)據(jù)在BCSWIFT系統(tǒng)中的傳輸和流轉(zhuǎn)完全以密文的形式存在,即使攻擊者獲取了 BCSWIFTCBC中的全部數(shù)據(jù),只要加密算法具有安全性,也難以實現(xiàn)對數(shù)據(jù)的暴力解密,更無法實現(xiàn)對數(shù)據(jù)的篡改.同樣,參與 BCSWIFT系統(tǒng)的金融機構(gòu)在未取得其他金融機構(gòu)授權(quán)(私鑰)的前提下,也無法探知其他金融機構(gòu)報文數(shù)據(jù).

同時,為保證金融機構(gòu)的業(yè)務(wù)清算和結(jié)算,每個金融機構(gòu)也維護本地數(shù)據(jù)庫,該數(shù)據(jù)庫只記錄與其自身有關(guān)的報文.因而,即使該數(shù)據(jù)庫遭到攻擊,其數(shù)據(jù)流失范圍僅限于其自身業(yè)務(wù)數(shù)據(jù)和部分與其有報文交互記錄的其他金融機構(gòu)的數(shù)據(jù),而不會威脅到全網(wǎng).但需要提出的是：本地數(shù)據(jù)庫遭到攻擊,會造成附加網(wǎng)絡(luò)層中的一級金融機構(gòu)和其所轄屬的二級金融機構(gòu)的報文數(shù)據(jù)泄露.因而,一級金融機構(gòu)仍要采用諸如物理隔離、安全防護墻等技術(shù)手段和管理方法確保本地數(shù)據(jù)庫的安全性.

數(shù)據(jù)查詢是必要的,是用戶節(jié)點確保本地數(shù)據(jù)庫與全網(wǎng)保持一致的重要方式,也是實現(xiàn)仲裁的重要手段.在主網(wǎng)絡(luò)層,數(shù)據(jù)查詢的請求要經(jīng)過協(xié)調(diào)節(jié)點的審證,通過審證后的查詢請求將會被返回查詢結(jié)果.在附加網(wǎng)絡(luò)層,如果只是涉及附加網(wǎng)絡(luò)層的內(nèi)部查詢,則有一級金融機構(gòu)進行審核,通過審核后的查詢請求將會被返回查詢結(jié)果;如果涉及主網(wǎng)絡(luò)層的查詢,則由一級金融機構(gòu)向協(xié)調(diào)節(jié)點提交查詢請求,通過審證后的查詢請求將會被返回查詢結(jié)果,并進一步返回到二級金融機構(gòu).此種機制設(shè)計是為了加強對攻擊者惡意偽裝成為誠實節(jié)點對系統(tǒng)進行DOS攻擊的識別,并有效降低DOS攻擊的概率.

7 安全分析與證明

安全性對于金融通信至關(guān)重要,也是許可鏈在構(gòu)建 SWIFT系統(tǒng)中的重要優(yōu)勢之一.基于許可鏈的BCSWIFT系統(tǒng)面臨的信息安全風(fēng)險主要包括兩個方面：一是原有 SWFIT系統(tǒng)中固有的信息安全風(fēng)險,二是BCSWIFT系統(tǒng)分布式共識過程中隱含的風(fēng)險.本節(jié)將集中對這兩個方面安全性進行分析并給出證明.

7.1 對原有SWFIT系統(tǒng)信息安全風(fēng)險的分析

現(xiàn)階段,SWFIT系統(tǒng)中面臨的信息安全隱患包括假冒、報文被截取(讀取或復(fù)制)、修改、重播、報文丟失、報文發(fā)送方以及接收方否認等.同時,采用中心控制的報文系統(tǒng)對中心控制系統(tǒng)依賴程度過高,中心控制點的操作風(fēng)險和道德風(fēng)險較大.對于信息安全的防范應(yīng)以安全目標為導(dǎo)向,采用相應(yīng)的安全措施解決現(xiàn)有的安全威脅.BCSWIFT系統(tǒng)的安全目標與其他基于計算機技術(shù)的信息系統(tǒng)安全目標一致,其核心要點分為 4個：信息保密性、完整性、可用性以及可追溯性[24,25].考慮到BCSWIFT系統(tǒng)中不同網(wǎng)絡(luò)層的重要性不同,本文將該部分的安全分析限于主網(wǎng)絡(luò)層中.表4對BCSWIFT系統(tǒng)中的安全風(fēng)險、安全目標與安全措施之間的關(guān)系進行了梳理.

Table 4 Correspondences between security objectives, security risks and security measures in BCSWIFT表4 BCSWIFT系統(tǒng)中的安全目標、安全風(fēng)險與安全措施之間的對應(yīng)關(guān)系

定理1.采用非對稱密鑰體系、雙重加密可以確保報文信息的保密性.

證明：非對稱密鑰體系為報文數(shù)據(jù)的全網(wǎng)廣播實現(xiàn)共識提供了密碼學(xué)技術(shù)支撐,在主網(wǎng)絡(luò)層報文廣播過程中,每一個節(jié)點保有全網(wǎng)其他節(jié)點的公鑰,在發(fā)送報文過程中,利用接收節(jié)點的公鑰對報文體進行加密,接收節(jié)點利用其自身私鑰對報文體進行解密.解密得到的報文頭和報文體密文足以確保驗證節(jié)點完成驗證實現(xiàn)共識,同時也確保了數(shù)據(jù)的分布式存儲.對報文體利用非對稱加密算法進行的數(shù)據(jù)加密,使得報文的全部信息只有接受方可以探知,保護了數(shù)據(jù)的隱私性.綜上可知,采用非對稱密鑰體系和雙重加密可以確保報文信息保密性.

定理2.數(shù)字簽名技術(shù)、哈希加密可以確保報文信息的完整性.

證明：數(shù)字簽名技術(shù)、哈希加密使得數(shù)據(jù)一旦被修改就會發(fā)生巨大變化,因而報文被修改以后信息就會作廢,無法通過共識.攻擊者修改過的報文會輕易被誠實節(jié)點探知,其攻擊意圖會被識破,無法達到攻擊意圖,信息完整性得以確保.

定理3.數(shù)字簽名技術(shù)、報文標識技術(shù)可以確保信息的可用性.

證明：數(shù)字簽名是發(fā)送節(jié)點的標識,攻擊者在無法得到全網(wǎng)節(jié)點數(shù)字簽名的前提下無法實現(xiàn)假冒.報文采用唯一的報文ID進行標識,重放的報文其ID會在系統(tǒng)中出現(xiàn)重復(fù),而一旦出現(xiàn)重復(fù)ID報文會被判定無效,重放攻擊便宣告失敗;同時,報文哈希也使得攻擊者難以在報文ID不可重復(fù)的前提下,通過分解報文、復(fù)制報文體實現(xiàn)重放攻擊.以上使得報文信息可用性得以確保.

定理4.數(shù)字簽名技術(shù)、非對稱密鑰體系、鏈式聯(lián)結(jié)可以確保信息的可追溯性.

證明：每一個發(fā)送節(jié)點都具有特定的數(shù)字簽名,使得發(fā)送方難以否認.而一旦報文數(shù)據(jù)經(jīng)過驗證和共識便被記錄到區(qū)塊鏈中,前后聯(lián)結(jié)的數(shù)據(jù)區(qū)塊使得數(shù)據(jù)極易被發(fā)現(xiàn),也不易發(fā)生丟失,協(xié)調(diào)節(jié)點仲裁機制也使得接受節(jié)點難以否認曾接受到報文信息.因而,數(shù)字簽名、非對稱密鑰體系、鏈式聯(lián)結(jié)使得信息具有可追溯性.

定理5.分布式共識機制可以最大化降低中心控制節(jié)點的操作風(fēng)險和道德風(fēng)險.

證明：分布式共識機制大大降低了中心控制節(jié)點在報文傳輸過程中的數(shù)據(jù)權(quán)限,中心節(jié)點被協(xié)調(diào)中心所取代,協(xié)調(diào)節(jié)點的行為處于全網(wǎng)監(jiān)督中,其不誠實行為將輕易地被全網(wǎng)節(jié)點所發(fā)現(xiàn),降低了其操作風(fēng)險和道德風(fēng)險的發(fā)生概率和危害性.

7.2 分布式共識機制中的安全風(fēng)險分析

本文所提出的BCSWIFT系統(tǒng)基于許可鏈技術(shù)體系,除SWIFT系統(tǒng)中面臨的固有信息安全風(fēng)險外,分層網(wǎng)絡(luò)組網(wǎng)方式、分布式共識機制中也面臨著共識機制可信度、網(wǎng)絡(luò)不可信、篡改報文數(shù)據(jù)、區(qū)塊分叉等問題.本節(jié)將對此進行安全性分析.

定理6.驗證共識機制是可信的.

證明：在 BCSWIFT系統(tǒng)中采用“審核即驗證”的模式,驗證節(jié)點即審核節(jié)點,通過審核的報文即為通過驗證的報文.主網(wǎng)絡(luò)層采用改進的拜占庭共識機制,多于2N/3的驗證節(jié)點返回的報文驗證合格數(shù)據(jù)集具有一致性時,共識即達成.而同時加入到系統(tǒng)的主體通過合約等方式規(guī)定了權(quán)利與義務(wù),節(jié)點具有高可信度.進而,主網(wǎng)絡(luò)層的共識機制具有可信性.在附加網(wǎng)絡(luò)層中,一級金融機構(gòu)和二級金融機構(gòu)為利益共同體,同時,考慮實體機構(gòu)的組織構(gòu)架方式,一級金融機構(gòu)節(jié)點具有權(quán)威性,其通過審核的報文即可以向主網(wǎng)絡(luò)層發(fā)送請求,進而附加網(wǎng)絡(luò)層的共識機制具有可信性.綜上可以證明,BCSWIFT系統(tǒng)的驗證共識機制具有可信性.

定理7.網(wǎng)絡(luò)環(huán)境具有可信性.

證明：一方面,基于許可鏈的BCSWIFT系統(tǒng)中節(jié)點,無論是在主網(wǎng)絡(luò)層還是附加網(wǎng)絡(luò)層,實體組織之間都具有高度的相互信任機制,主網(wǎng)絡(luò)層中新近節(jié)點進入系統(tǒng),都要經(jīng)過嚴格的審核,只有確認新近節(jié)點具有高度可信性后,節(jié)點才會被批準加入到系統(tǒng)中;附加網(wǎng)絡(luò)層中,二級金融機構(gòu)是一級金融機構(gòu)的下屬機構(gòu),其進入附加網(wǎng)絡(luò)中以二級金融機構(gòu)服從一級金融機構(gòu)管轄為前提;另一方面,各個金融機構(gòu)之間的業(yè)務(wù)通信往往通過網(wǎng)絡(luò)專線,確保了網(wǎng)絡(luò)傳輸?shù)陌踩?

基于以上兩點,本文認為BCSWIFT系統(tǒng)網(wǎng)絡(luò)環(huán)境具有可信性.

定理8.報文數(shù)據(jù)在BCSWFT系統(tǒng)中難以被篡改.

證明：在 BCSFIT系統(tǒng)中,報文數(shù)據(jù)在經(jīng)過哈希加密、非對稱加密、雙重加密后,以密文的形式在系統(tǒng)中進行流轉(zhuǎn),其安全機制已在第7.1節(jié)證明.另外,共識通過的報文信息一旦寫入?yún)^(qū)塊鏈,由區(qū)塊鏈的基本特性可知,其數(shù)據(jù)具有不可篡改性.因而,報文在BCSWIFT系統(tǒng)中難以被篡改.

定理9.BCSWIFT系統(tǒng)不存在分叉風(fēng)險.

證明：在主網(wǎng)絡(luò)層中,BCSWIFT系統(tǒng)采用IPBFT共識機制,BCSWIFTCBC的記賬權(quán)由協(xié)調(diào)節(jié)點享有,協(xié)調(diào)節(jié)點在對區(qū)塊狀態(tài)更新后將區(qū)塊鏈數(shù)據(jù)摘要發(fā)送到各個節(jié)點.各個節(jié)點的區(qū)塊鏈實時與協(xié)調(diào)節(jié)點相一致,故在BCSWIFTCBC中不存在分叉問題.在附加網(wǎng)絡(luò)層,BCSWIFTPBC的記賬權(quán)由一級金融機構(gòu)享有,一級金融機構(gòu)對數(shù)據(jù)進行審核后,將二級金融機構(gòu)的請求記錄到該鏈中,向其他節(jié)點發(fā)送區(qū)塊摘要,故在 BCSWIFTPBC中不存在分叉問題.因而,雙層多鏈的BCSWIFT系統(tǒng)不存在分叉風(fēng)險.

定理10.BCSWIFT系統(tǒng)可以有效防止攻擊者通過攻擊協(xié)調(diào)節(jié)點選取驗證子群進行作惡.

證明：協(xié)調(diào)節(jié)點所承擔的職責(zé)中包含篩選驗證節(jié)點的角色職責(zé),但協(xié)調(diào)節(jié)點的篩選結(jié)果并非是由其自身主觀決定,而是通過隨機動態(tài)的篩選過程得出的隨機篩選結(jié)果.在得出驗證子群的篩選結(jié)果之前,協(xié)調(diào)節(jié)點并無法進行預(yù)測,也無法改變篩選結(jié)果,除非所有參與者一致通過改變篩選結(jié)果的決議.因而在攻擊者在小概率范圍內(nèi)對協(xié)調(diào)節(jié)點成功實施攻擊后,其自身依然難以通過選取特定的驗證子群進行作惡.

8 結(jié)語及研究展望

本文以SWIFT系統(tǒng)的安全、成本和效率問題為切入點,介紹了相關(guān)工作以及現(xiàn)有SWIFT系統(tǒng)的中心式架構(gòu),聚焦于報文傳輸這一基本業(yè)務(wù)場景,提出了BCSWIFT框架,并對該框架進行了詳細說明.結(jié)合實際運營環(huán)境對報文傳輸?shù)膮⑴c者進行重新分類,介紹了報文傳輸?shù)膮^(qū)塊結(jié)構(gòu)、共識機制、業(yè)務(wù)流程、數(shù)據(jù)保護措施等,最后對框架的安全性進行了證明.本文提出的雙層架構(gòu)和多鏈融合思想以及多種共識機制并存和數(shù)據(jù)保護措施具有通用性的實踐指導(dǎo)意義;同時,聚焦于報文傳輸這一基本業(yè)務(wù)場景,為實現(xiàn)基于區(qū)塊鏈技術(shù)的國際跨境支付業(yè)務(wù)的優(yōu)化打開了新的突破口,為進一步推動區(qū)塊鏈技術(shù)在國際跨境金融業(yè)務(wù)中的應(yīng)用奠定了堅實的基礎(chǔ),也為包括國際跨境金融業(yè)務(wù)在內(nèi)的現(xiàn)代金融也的發(fā)展提供了巨大助力.

本文的不足之處在于以報文傳輸業(yè)務(wù)作為參照實例,尚未涉及SWIFT系統(tǒng)中的其他增值業(yè)務(wù)(如跟單信用證、信用擔保等),未來可以進一步探索基于區(qū)塊鏈以及智能合約技術(shù)優(yōu)化SWIFT系統(tǒng)增值業(yè)務(wù)以及完善國際跨境金融業(yè)務(wù)監(jiān)管.另外,BCSWIFT系統(tǒng)的效率問題也是未來的重要研究方向.本文提出的BCSWIFT系統(tǒng)是基于許可鏈,許可鏈包括私有鏈和聯(lián)盟鏈,是一種多中心化體系結(jié)構(gòu),而并非是完全的去中心化體系,雖然會在一定程度上降低效率,但是可以提高系統(tǒng)信任.而且許可鏈效率不是很低,Vukolic指出,BFT類投票共識每秒可達到上萬筆交易[26].根據(jù)聯(lián)盟鏈HyperLedger Farbic白皮書,其所采用的PBFT共識能實現(xiàn)每秒約2 000筆交易[27].本文所提出的BCSWIFT系統(tǒng)的共識機制中,主層聯(lián)盟鏈的IPBFT共識算法正是以BFT類共識機制為基礎(chǔ),并加以改善的共識算法.因而,我們謹慎地認為,系統(tǒng)的交易效率并沒有呈現(xiàn)斷崖式下降.

限于本文的寫作目的主要在于研究和論述基于許可鏈的 SWIFT系統(tǒng)與共識機制,強調(diào)其中的技術(shù)方案以及實現(xiàn)機制,有關(guān)BCSWIFT系統(tǒng)交易效率檢測以及優(yōu)化問題可以基于本文的研究成果,同時結(jié)合SWIFT運營的實際情況開展進一步的研究.