區塊鏈聯盟鏈系統平臺梧桐鏈的技術架構解析

目前國內區塊鏈企業級底層技術主要是由單一技術公司開發、推動。為推動我國自主企業級區塊鏈技術發展，更好地助力技術與應用需求的融合，同濟大學聯合海航科技、歐冶金融、上海銀行、中國銀聯等企業，共同發起了梧桐鏈，希望通過整合項目經驗、產業和社區資源，研發與行業應用場景高度融合的具有自主知識產權的區塊鏈，塑造中國區塊鏈技術的核心競爭力，助推我國區塊鏈行業的快速發展。

梧桐鏈平臺是主要針對企業、機構的區塊鏈應用場景開發的聯盟鏈區塊鏈系統平臺。

設計上，梧桐鏈結合廣泛的社區經驗，從企業的實際需求和應用場景出發，目標成為國內領先的具有知識產權的聯盟鏈平臺標準。梧桐鏈的指導設計原則是：

自主創新：

梧桐鏈的底層是由研究院自主研發，完全自主可控，并非照搬照抄簡單修改包裝;真正掌握核心技術，自主實現密碼算法、智能合約引擎;

開源模式：

梧桐鏈將采用開源方式，由研究院和社區共同管理開發與維護;梧桐鏈借鑒優秀項目的設計，吸收借鑒成功經驗;

聚焦行業：

梧桐鏈將專注于金融、供應鏈及教育、衛生和文化等行業;

開放社區：

梧桐鏈社區將采取開放原則，打造開放生態鏈而不是封閉系統;

梧桐鏈技術架構

1.總體架構

梧桐鏈的技術架構如下圖所示，由底層平臺和基于底層平臺的對外應用模塊構成。底層平臺由網絡服務、數據存儲、權限管理、安全機制、共識機制、智能合約等部分構成。對外應用模塊可針對不同的應用場景進行系統化定制和提供開發API等。

區塊鏈聯盟鏈系統平臺梧桐鏈的技術架構解析

梧桐鏈支持基于私有云和公有云部署和擴展;支持節點可控授權接入，支持多種加密算法、多種共識算法;支持高性能自主智能合約引擎，提供對區塊鏈系統的治理和運維支持，可對整個網絡的運行狀態進行實時監控。

1.1. 網絡服務

梧桐鏈基于TCP/UDP的通訊協議，支持點對點P2P通訊。節點角色可根據使用情況定制擴展，分離出不參加共識而只存儲或讀取數據的節點，分擔主網絡的查詢負擔。

各個節點采用P2P網絡技術組織網絡，支持多節點的動態加入和退出。節點的加入和退出由權限管理控制，新加入的節點需要經過已經存在的節點一致同意才能夠成功。

1.2.數據存儲

梧桐鏈在運行期的數據保存在節點的內存中，當需要記錄一個新的區塊的時候，可以對于不同的數據，選擇與其相適應的持久化方案來保存區塊，包括但不限于關系型數據庫、NoSQL、文件系統等。

目前梧桐鏈已實現使用LevelDB存儲數據，并支持擴展到使用公有云存儲。

1.3.權限管理

權限管理負責所有參與梧桐鏈的節點權限的管理，對不同節點分別授予不同的權限。此外對于梧桐鏈的訪問和讀寫權限也有權限管理模塊負責，鏈上數據只有獲得授權的用戶才能夠訪問。

基于數據在節點間匿名驗證的考慮，梧桐鏈研發團隊正在開發零知識正明和環簽名算法，將在后續的版本中上線。

1.4.安全機制

梧桐鏈的設計上需要充分考慮企業級的安全性要求，采用符合國家和國際標準的加密機制，在服務器實施部署上也有相應的安全性保障措施。區塊和鏈式結構，哈希算法、非對稱加密和簽名算法均支持國密算法。

梧桐鏈基于PKI的證書體系做節點身份認證，CA服務器管理證書的發行和銷毀，節點使用數字證書進行驗證和加解密，防止出現節點證書重復使用、節點重復登錄、節點退出等事件引起的安全問題。

梧桐鏈目前支持的密碼學算法有：

1.5.共識機制

共識算法是使梧桐鏈中各個節點達成- - 致的策略和方法。梧桐鏈采用模塊化的設計，共識算法模塊為可插拔設計，內置多種共識算法模塊，用戶可根據系統類型和應用場景進行手動選擇或動態調整。此外，梧桐鏈預留共識模塊的接口，用戶可根據自己的需求編寫并替換共識模塊。

梧桐鏈已經實現Raft和PBFT共識算法。

Raft是在Paxos基礎上實現的一種分布式- 致性算法，結構簡單且具有與Paxos一樣的功能與性能，在聯盟鏈的場景下，梧桐鏈對Raft進行了適配區塊鏈的修改和實現，能夠在半數節點出現故障的情況下保證系統的一致性。

PBFT是一- 種拜占庭容錯算法，能夠在節點數量不小于n=3f+1的情況下，容忍f個拜占庭節點，但由于其通訊效率較低，后續會在此基礎上進行改進。

此外，梧桐鏈研究團隊正在研究一種可擴展的拜占庭容錯算法，能夠根據網絡環境和安全情況動態調整算法，并可通過多節點并行，在不降低容錯的情況下提高tps。

1.6.智能合約

梧桐鏈采用Docker容器方案來提供隔離安全環境，智能合約運行在Docker容器中，能與鏈系統隔離，保證了合約執行的安全性。用戶可根據梧桐鏈技術文檔，使用G0語言編寫智能合約。Docker容器方案可提供良好的系統兼容性。

梧桐鏈將實現自定義輕量級虛擬機方案，智能合約在虛擬機中執行，確保和鏈上數據的隔離，避免安全風險。同時相比Docker容器方案更加高效，支持受控的I0，內置豐富的微服務接口。

依托于研究院測試平臺，在設計和開發過程中，梧桐鏈將引入智能合約安全測試體系，提供測試工具來檢測智能合約中的安全漏洞，幫助用戶發現并解決合約中的安全問題。

1.7.應用網關及SDK

SDK為開發者提供區塊信息寫入、查詢、讀取等操作，使得接入梧桐鏈的難度大大降低。目前梧桐鏈提供G0語言版本的SDK，更多語言的SDK正在開發中。同時提供HTTP Restfu1的應用網關，使得應用系統的接入更加簡單、靈活。

2. 梧桐鏈業務架構

梧桐鏈業務架構如下圖所示，由下而上分為云端管理層、開發框架層、業務組件層以及業務場景層。每一層都是相對獨立的模塊，通過接口與其他層相互調用，每一層都可以根據用戶需求提供不同的功能。

2.1. 云端管理層

云端管理層是對梧桐鏈基礎物理設備的模塊化、可視化管理，根據用戶的實際需求對梧桐鏈的基礎設施進行定制，提供多節點管理、租戶管理、存儲管理，CA認證、通信服務、負載均衡等功能。

節點管理：對云端的物理設備提供動態管理功能，保證云端的運行，使得物理機器的狀態對用戶來說是透明的。服務器通過虛擬化、集群技術進行資源整合，通過云端控制平臺按需生成相關主機資源。分布式計算和自動化管理，能夠跨平臺、分布式集群化部署，提升整體計算分析和計算資源利用率，實現整體計算成本的降低。

租戶管理：在多用戶的環境下共用相同的云端，確保各用戶間數據的隔離性，提供角色權限管理。

存儲管理：保證存儲可靠、高效。存儲服務器以主流云計算存儲技術為依托，通過集群文件系統組成一個統一的存儲池，為節點內的虛擬機提供邏輯磁盤存儲、非結構數據存儲以及整合備份服務。高可靠存儲虛擬化，跨平臺、可集中或分布式部署、面向資源的管理、提升整體存儲能力和資源利用率。

CA認證：負責發放和管理數字證書，承擔公鑰體系中公鑰的合法性檢驗的責任。

通信服務：負責云內各物理機器之間通信以及云與用戶之間通信，兼容HTTP和TCP協議。

負載均衡：能夠均衡應用程序的流量，將前端并發訪問轉發給后臺多臺云服務器，實現業務水平擴展，通過故障自動切換，及時地消除服務的單點故障，提升服務的可用性。

2.2.開發框架層

開發框架層也稱為技術組件層，為云端開發提供了相應的工具，用戶可采用這些工具對梧桐鏈進行開發并部署到云端管理平臺，搭建滿足自身需求的聯盟鏈。開發框架層通過API向下調用云端服務平臺的資源，向上為業務組件層提供服務，實時監控平臺的資源使用情況，能夠基于智能分析和數據挖掘提升數據的有效性，提高監控系統的實用價值，提高處理性能，并實現統一管理手段，并通過接口開放給用戶。包括環境部署、開發框架、運行環境及監控和大數據分析等模塊。

環境部署工具包括了集成開發工具，測試工具，協議框架，以及P2P對等網絡等內容。

集成開發工具：是用于提供程序開發環境的工具，包括代碼編輯器、編譯器、調試器和圖形用戶界面等工具，集成了代碼編寫功能、分析功能、編譯功能、調試功能等一體化的開發軟件服務組件。

測試工具：用于測試的工具，包括測試管理等。

協議部署框架：共識協議部署在鏈上的框架，可插拔設計。

P2P對等網絡：用戶在云端部署區塊鏈網絡節點的工具。

開發框架工具包括了智能合約的開發與配置，共識協議的開發與配置，API的開發與配置，應用前端的開發與配置等內容。利用平臺提供的開發工具，用戶可對鏈上智能合約、共識協議、API和前端界面等進行開發。

智能合約開發與配置：通過智能合約可完成交易的條件執行，智能合約也：是交易上鏈的接口，支持多種主流語言編寫。

共識協議開發與配置：提供PBFT和RAFT共識算法，可自主開發共識協議。API開發與配置：接口的開發與配置工具。

應用前端開發與配置：前端界面的開發與配置工具。

運行環境提供了服務器環境配置，應用容器，數據訪問，業務規則引擎等功能。

服務器端環境：提供針對不同系統的服務器環境配置方案，用戶可根據需求快速在不同系統中完成部署。

應用容器：鏈碼的容器運行環境配置。

數據訪問：數據訪問規則，主要功能有增刪改服務、查詢、事務管理、并發等。并且使得底層的數據庫操作對其他層來說是透明的。

運行監控：通過標準的網絡管理協議來遠程監控鏈的運行狀態，提供了多項安全配置建議。

大數據分析：對鏈上產生的數據進行收集分析。

2.3.業務組件層

業務組件層將區塊鏈作為基礎，包括了區塊鏈公共服務、鏈上應用服務、基礎組件服務和相關服務組件，對業務進行封裝，向上層提供服務。客戶可以直接選擇需要使用的業務模塊，定制鏈上業務。

基礎組件服務提供了一系列的模板，例如合約模板、產品模板、權限控制模板、文檔模板、資產模板等，供開發者使用。服務組件則提供了客戶、部門、賬戶、權限、渠道等功能模塊。

2.4. 業務場景層

業務場景層是區塊鏈對外服務的，提供了業務服務組件和接口組件。業務場景層是對業務組件層的進一步封裝，用戶可以直接選擇業務場景，通過調用給定的API或者定制業務場景下的業務組件，直接在需要的業務場景下使用梧桐鏈服務。

業務服務組件中包括了規則的規劃、配置及執行，以及執行區塊鏈的條件及狀態等。接口組件為用戶其他應用提供一個實例化的API接口。

梧桐鏈應用場景

聯盟鏈適合多方參與、需要多方建立信任的場景。多方之間通過區塊鏈的可信數據，提高信息的透明度和共享度，從而簡化業務模式，降低傳統模式下的信任成本，提高效率。

區塊鏈的應用場景非常廣泛，下面列出基于梧桐鏈的-些典型場景，這些案例在日后將不斷維護更新。希望這些案例可以為讀者打開思路，基于區塊鏈的去中介化、共享可信賬本的特征，從建設產業生態的角度，跳出僅從自身的角度去看待問題的思維方式，結合自身的業務場景去發現更多潛在商業機會。

1. 供應鏈金融

1.1.應用背景

金融服務是現代社會經濟活動中必不可少的環節，而且扮演的角色越來越重要，然而現有金融體系非常復雜，面臨信息不對稱、不完整，甚至是欺詐帶來的巨大風險，因此帶來了金融服務體系更高的信用成本、決策周期，整個流程復雜、冗長、容易出錯。

以大宗商品領域為例，中國作為世界最主要的大宗商品生產國和消費國，在全球大宗商品領域具有舉足輕重的地位，然而隨著全球經濟進入下調周期，違約、騙貸事件頻出，大宗商品的信用危機也逐漸顯現。大宗商品信貸危機頻頻發生，從銅、鋁、鐵礦石等金屬融資，到大豆、棕櫚油等農產品融資;從青島港融資騙貸事件，到天津港融資欺騙案，大宗商品融資的問題不斷暴露，商品重復質押、虛假質押現象頻現，動產質押的風險管理問題開始受到各方的重視和審視，成為金融機構關注的焦點。

因質押物信息不對稱導致了重復質押、空單質押等風險事件的發生，嚴重挫傷了融資各方的相互信任，誠信經營難保障，倉儲監管成難點;金融秩序被擾亂，銀行貸款壞賬上升，趨向于減少貸款、加速收貸，同時，大宗貨物流通困難，貿易商資金鏈條緊張、貸款更難，經營發展陷入困境。

以鋼鐵產業鏈為例，涉及主要業務角色包括：鋼鐵企業、貿易商、物流商、倉儲企業、金融機構、電商平臺等。由于鋼貿信貸事件的沖擊，導致信用體系的崩潰。鋼鐵行業已經逐漸成為銀行的審慎行業。區塊鏈是指通過去中心化集體維護一個可靠數據庫的技術方案，從技術上保障了供應鏈中難以解決信任機制的問題。通過各方的加入，基于區塊鏈構建供應鏈金融服務平臺必將有效解決供應鏈資產的真實性、可承兌性、防偽性、不可抵賴性，將會對交易、融資產生重要影響。

1.2. 解決方案

面向產業鏈上下游，打造集倉單、增信、交易、金融于一體的，開放式區塊鏈供應鏈生態圈。

構建大宗資產供應鏈金融服務平臺，解決大宗資產的定義、申報、登記、檢驗、增信、背書、出質等核心環節，打通大宗資產的交易及融資的通道。同時：通過“技防+人防”的資產監管體系，實現區塊鏈流轉的數字資產與實物資產的賬實相符。

基于區塊鏈的供應鏈金融服務平臺將提供大宗動產擔保資產權屬登記及公示服務、大宗動產融資服務、大宗資產增信服務和企業數字資產（倉單、提單、應收賬款、票據）金融服務等核心功能，如下圖所示。供應鏈金融平臺將逐步打造成大宗交易及融資的基礎設施。

1.3.影響與意義

區塊鏈技術能有效的解決貨物在倉儲、物流、監管環節的信息不對稱問題，供應鏈金融服務平臺既為中小微企業提供了便捷有效的融資途徑，也為倉儲企業拓展了業務范圍。融資通道的建立必然要求通過真實、有效、唯一的資產載體，體現明確的質物權屬，并實現對權屬的精細化管理。供應鏈金融服務平臺能進一步促進大宗商品交易及融資信用體系的重塑，促進行業的規范性發展。

2.超級醫療賬本

2.1. 應用背景

2016年6月，國務院辦公廳印發《關于促進和規范健康醫療大數據應用發展的指導意見》，部署通過“互聯網+健康醫療”探索醫療服務新模式。《意見》提出要加強健康醫療大數據保障體系的建設，包括推進網絡可信體系的建設和加強健康醫療數據安全保障。這些政策加速推進了電子病歷信息化建設，圍繞以患者為中心的電子病歷信息系統建設，努力開展區域衛生信息平臺建設工作，實現區域內醫療機構的互聯互通和醫療信息的交換共享，提高區域醫療衛生服務水平和工作效率

現有病患醫療信息主要存儲于信息產生機構（醫院或第三方檢測機構），信息的互通主要通過紙質打印，阻礙了大范圍的大數據信息價值的挖掘及利用。一些醫療機構為了實現數據互聯互通的高效調閱，采取中心化的存儲方式（云端）建立了小范圍聯盟性質的信息共享系統。這種方式雖然在一定程度上提高了數據利用率，但是也對數據安全性提出了挑戰。單一云端數據庫一旦被攻擊或癱瘓，會造成不可估量的數據損失和信息泄露問題。

另外，健康醫療數據共享和開放的難點在于健康醫療數據大多數是“能夠識別公民個人身份和涉及公民個人隱私的電子信息”。這樣的數據一旦開放共享，必然伴隨著個人身份和隱私信息泄露的風險。醫療健康大數據的共享和應用是政府管理、商業發展和技術創新的需要，但也給個人隱私安全帶來了威脅，這使得醫療領域的大數據共享變成了雙刃劍。如何在共享和開放中做到趨利避害，成為發展健康醫療大數據應用必須克服的關口。

2.2. 解決方案

超級醫療賬本基于區塊鏈的解決方案，建立患者電子病歷調閱系統和個人診療信息查詢安全保護系統。通過對醫療信息分級訪問和動態管理，實現向個人開放醫療信息。

整個方案將包含多個基于區塊鏈技術的子系統。例如，采用區塊鏈技術構建分布式結構體系和參與者共識協議，形成去中心的電子病歷數據庫系統;采用區塊鏈技術建立電子病歷云端非中心化數據庫調用體系，實現數據安全查閱; 建立跨醫院電子醫療信息患者查詢的測試平臺，實現安全病歷調閱。分析和評估區塊鏈技術在查詢個人醫療信息時對隱私保護的作用和效果，研究和分析向個人開放醫療信息的可行性。

超級醫療賬本方案核心功能包括：

1）構建分布式結構體系和參與者共識協議，形成去中心的電子病歷數據庫系統;

2）建立電子病歷非云端、非中心化數據庫調用體系;

3）建立個人查詢醫療信息時的隱私保護系統;

4）構建基于區塊鏈技術的電子病歷共享系統上的各項精準延展應用。

2.3.影響與意義

超級醫療解決方案的特色在于借助區塊鏈技術的不可篡改性、定向密鑰功能及全網儲存全網同步和認證等特點，維護醫療數據的安全性，推動醫療數據共享中信任機制的建設。

醫療信息數量大，格式復雜，對安全性要求非常高，目前國內缺乏專業的能夠存儲海量醫療數據的平臺和應用模式。企業云和個人云平臺能夠滿足普通數據的儲存，但目前仍然難以滿足健康醫療數據的特殊需求，如隱私安全、服務器性能、運行維護能力等技術要求都需要達到更高級別的標準。

采用區塊鏈技術的超級醫療賬本解決方案將成為醫療機構向個人開放醫療信息提供重要的底層系統，可為基于區塊鏈技術建立更多醫療大數據系統積累豐富的理論和實踐經驗。

3. 可信電子憑證平臺

3.1.應用背景

電子憑證是指證實業務的各類紙質憑證的電子化，常見的電子憑證主要來源于人們日常的消費支付，主要包括簽購單、繳費賬單、保單、企業小票等。近。年來，我國電子商務發展勢頭明顯，滲透到了每一個金融環節中，憑證電子化也逐漸成為趨勢。雖然電子憑證的出現為政企雙方以及廣大消費者的日常生活帶來極大便利，但是電子數據總會存在易偽造、易篡改、易刪除等問題，如何提高電子憑證的可溯源性，如何提升對電子憑證的收集、保全、審查能力等，實現數字社會的法治化，是社會、國家、企業、個人共同面臨的一個實際問題。

目前，電子憑證都依賴于第三方機構提供的存儲平臺（包括機房存儲、云存儲等），基于中心化架構實現，利用自身的信用或者公信力提供電子證據的存證、保全、追溯、驗證等服務。但在經濟利益的驅使下，中心化存儲的電子憑證可能存在被篡改、被刪除、丟失，或者公證機構和當事一方合謀做假等情況。信任問題導致中心化存儲的電子憑證司法效力不強，制約了憑證無紙化的推廣和發展。

3.2. 解決方案

以梧桐鏈作為支撐技術建立聯盟鏈平臺，并提出可信電子憑證解決方案，如下圖所示。該平臺的應用場景可以從電子簽購單逐漸延伸至電子合同、電子發票、電子保單、特定金融憑證和證明等通用的金融業務流程中，甚至可以更大范圍地擴展到更多的泛金融領域。從系統參與方來看，不僅包括銀聯、銀行、第三方收單機構、保險等金融機構，還可以納入政府、企業、監管機構等。