基于許可鏈的SWIFT系統分布式架構*

朱建明, 丁慶洋, 高 勝,2

1(中央財經大學 信息學院,北京 100081)

2(糧食信息處理與控制教育部重點實驗室(河南工業大學),河南 鄭州 450001)

現代金融行業需要以安全、高效的金融通信系統為支撐.伴隨著資本的跨國流動,世界各國之間的金融機構業務往來日益密切,跨境金融通信也更加凸顯其重要性.現階段,諸多機構或組織提供跨境金融通信服務,但處于主導地位的依然是環球銀行金融電信協會(Society for Worldwide Interbank Financial Telecom-munications,簡稱SWIFT).該組織成立于1973年,旨在實現跨境支付的標準化,其目的在于解決各國金融通信不能適應于國際間支付清算快速增長所引發的效率問題.其業務的實質在于承擔起各國銀行之間的金融通信中間人角色.在過去的40多年間,該組織取得了巨大成功,銀行成員數量覆蓋了全球11 000家銀行、證券機構、市場基礎設施和企業用戶[1].但其交易速度慢、費用高、支撐技術架構僵化也為行業詬病.同時,其安全性也伴隨著近年來的黑客攻擊事件而備受關注.表1為近年來公開數據披露的SWIFT安全事件.數據來源根據公開數據整理.

Table 1 SWIFT security incident表1 SWIFT安全事件

SWIFT系統所遭受安全性攻擊,除本地金融機構防護措施不足以外,中心式系統構架也為攻擊者所利用.因而,建立一種安全、高效、低費用成本、技術架構靈活、考量金融機構數據隱私保護的跨國金融通信系統,完成實時跨境信息交互成為世界各國銀行的關注點,也成為計算機信息安全領域、金融領域的重要研究課題.

區塊鏈技術最初作為比特幣的底層支撐技術進入研究人員的視野,伴隨著該技術的不斷成熟,逐漸受到社會各界的重視[2],區塊鏈技術逐漸從以數字貨幣為代表的區塊鏈 1.0時代,進入以智能合約為代表的區塊鏈 2.0時代[3].區塊鏈作為一項解決信任問題的普適性技術框架,隨著網絡信息技術的發展,將被擴展到更多新的應用領域,將來必定會產生更加豐碩的研究成果[4].區塊鏈技術采用分布式架構,利用密碼學、共識算法、智能合約等技術,實現信息收集、流轉、共享等過程中的信息防篡改、防偽造和可追溯[5],區塊鏈為解決金融行業的問題提供了新的思路[6],其獨特的數據安全特性為研究人員解決跨境金融通信,保證跨境支付的安全、準確、高效率以及降低交易成本問題提供新的途徑,引發了產業界、學術界以及金融監管的高度重視.基于區塊鏈的跨境支付優化技術,已經成為產業界追蹤的熱點.一些初創公司為此提出了相應的解決方案,如Ripple Labs基于區塊鏈技術推出了名為 Ripple的數字競爭幣.與比特幣不同,該數字競爭幣以解決跨境以及跨幣種的貨幣轉化為主要目標,以 XRP為各種貨幣之間的價值中介,基于交易雙方信任的網關實現端對端組網的貨幣轉換,并通過消耗XRP的方式確保信息安全[7].除Ripple幣外,初創型企業Circle公司推出了名為Circle的跨境支付應用產品,該技術在比特幣錢包的基礎上進行了二次開發,意在解決傳統轉賬業務的低效率、高成本問題,其跨境支付業務的核心機制在于利用比特幣充當不同貨幣之間轉換的價值中介,通過錨定比特幣制定不同貨幣之間的匯率.該技術充分發揮了比特幣區塊鏈系統的安全性和健壯性,能夠提供較為便捷的貨幣轉賬服務.2017年 12月,該公司推出了Circle應用的新版本CENTRE,后者最大的特點在于該公司用CENTER Tokens代替比特幣充當貨幣價值中介,以解決比特幣價值不穩、政策風險大的問題.截止目前,該版本仍然處于概念期,尚未有成熟版本面世.對比現有的區塊鏈跨境支付優化技術方案與現有的SWIFT系統,不難發現：基于區塊鏈公鏈系統的Ripple技術和 Circle/CENTRE技術關注于資金的實時結算,其技術體系并沒有完全得到現有金融監管機構的認可,也沒有直接涉及到跨境金融通信系統安全保障問題.

基于上述問題,本文提出了一種以現有國際貨幣清算體系為基礎的、以不變革現有國際貨幣以及金融監管體系為前提的、基于許可鏈的跨境金融通信優化方案.為清晰說明該方案的運行機理,本文以SWIFT系統的報文業務為參照實例進行闡述.在優化過程中,結合當前金融業務實際情況,本文提出雙層混合式組網機制,即在由一級金融機構組成的主網絡層采用 P2P組網方式,在由隸屬一級金融機構的二級金融機構組成的附加網絡層采用星型拓撲網絡結構.與此相應,本文提出：在主網絡層,部署基于改進的實用拜占庭容錯(improved practical Byzantine tolerance,簡稱 IPBFT)共識機制的聯盟鏈;在附加網絡層,部署基于強領導式 Raft(raft of strong leadership,簡稱RSL)共識機制的私有鏈.借鑒原有SWIFT系統的報文加密機制,本文提出哈希加密和雙重加密相結合的數據保護機制,進而形成雙層、多鏈、分布式、可控匿名的基于區塊鏈技術的SWIFT報文傳輸系統.

本文第1節為相關工作介紹.第2節為基于許可鏈的SWIFT系統構架介紹.第3節為組網機制設計.第4節為各層區塊鏈的分布式共識機制.第5節為數據交互及查詢機制.第6節機構數據保護機制.第7節為安全性分析與證明.第8節為結語及展望.

1 相關工作

現階段,基于區塊鏈技術對 SWIFT系統進行優化的相關研究工作主要包括區塊鏈技術在信息安全領域的應用、SWIFT系統優化及其網絡安全事件分析、Ripple技術及其存在的問題、Ripple技術與SWIFT的對比分析等.劉敖迪等人對國內外的區塊鏈技術及其在信息安全領域的研究進展進行了總結,綜述了區塊鏈技術應用于身份認證、訪問控制、數據保護等研究領域的進展,并對各類研究的具體情況進行了對比,指出區塊鏈技術應用于信息安全領域面臨的挑戰[4].Michael等人通過對一些訪談、會議研討進行總結和梳理,指出將以區塊鏈技術為代表的分布式賬本技術應用于金融數據存儲和傳輸過程中,可以促進金融系統的可持續發展,并可以有效降低業務流程風險和運營成本.但同時也指出,對區塊鏈等分布式技術的預期,可能與企業內部以及企業之間的業務流程協調之間存在不符[8].

環球銀行金融電信協會為應對頻發的安全事件以及區塊鏈技術興起對自身的沖擊,也展開了相關的研究工作,主要工作包括推出 SWIFT客戶安全控制框架[9].該文件為 SWIFT用戶建立了一套強制性/咨詢性的安全控制措施,用以提高本地客戶端的安全性,但其并沒有觸及 SWIFT系統的底層中心構架.此外,環球銀行金融電信協會也開展了一系列將區塊鏈技術應用于自身業務的研究[10],但相關技術方案與現有金融監管框架以及實際業務需求存在較大沖突,仍處于概念構建期和方案實驗期,技術方案并不成熟,難以實現大規模應用.

中國人民銀行數字貨幣研究項目組從SWIFT系統遭受的網絡攻擊為切入點,分析了SWIFT系統的安全問題,并對孟加拉國 SWIFT系統遭受攻擊進行了詳細分析,指出,SWIFT系統的安全性是基于用戶端電腦可信這一假設.并進一步指出,該事件暴露出的核心問題包括兩個：一是如何保證信息源頭的可信性;二是如何防范對中心節點過度信任所帶來的安全問題.最后,研究指出包括區塊鏈技術在內的互聯網技術的迅速發展可以實現對網絡安全問題的突破[11].

同時,采用區塊鏈技術解決國際金融通信以及價值轉換的Ripple技術體系也引起了研究者重視.Frederik等人對Ripple系統進行了介紹,指出：Ripple是一種基于信用網絡的分布式支付系統,在該支付系統中主要參與者包括用戶、做市商、驗證節點、Ripple協議;指出該系統中的交易類型分為6種類型,并對比了Ripple和Bitcoin的區別;在此基礎上,研究者分析了Ripple分叉問題,通過數學分析發現,當驗證者之間的驗證數據集的交叉率超過 40%時才能確保該系統的區塊鏈不發生分叉[6].Marcel等人以Ripple為典型代表,分析了分布式轉賬支付系統的優勢及便利性,同時指出,現有美國境內的監管政策以及措施并不適用于分布式支付系統[12].Adriano等人對Ripple的轉賬支付系統進行了深入分析,指出,在Ripple系統驗證節點存在中心化趨勢,即,只有少量的節點承擔著整個交易系統的交易驗證業務.進一步,研究者對該交易系統的隱私性進行了檢驗,研究發現,利用某用戶的單次交易信息便可以在系統中搜索得到該用戶在系統中全部交易信息[13].

除上述研究外,有的研究者對Ripple技術與SWIFT進行了對比分析,指出Ripple在提供便捷支付技術方案的同時,在應用過程中依然面臨諸多問題,如：利用交易雙方信任的網關作為交易的中介,無法拓展新的信任關系[14];匿名化和去中心化為金融行業的監管帶來困難,有可能被用于洗錢等不法活動[15,16];同時,由于該數字幣可以在公開市場進行交易,易成為市場炒作標的,幣值不穩,導致用戶使用的成本波動大等問題.

與Ripple Labs類似,初創型企業Circle也專注于解決跨境支付問題,其推出的跨境支付技術以比特幣作為不同貨幣之間價值中介,借助比特幣在全世界的交易網絡,完成法定貨幣在不同用戶之間的結轉.但由于近年來比特幣炒作氛圍濃厚,其與法定貨幣之間的匯率不穩,錨定比特幣充當價值中介,使得不同法定貨幣之間的轉換匯率不穩,為投機者利用該技術進行外匯套利提供了機會;同時,該應用產品設定業務場景較為簡單,難以滿足跨國銀行間的大額貨幣清算以及金融通信的業務需求;另外,不同國家之間對比特幣的監管政策不同,利用法定貨幣與比特幣之間進行直接交易存在巨大政策風險.2017年 12月,Circle公司發布新一代跨境支付產品CENTRE的白皮書[17],其突出改進在于提出利用該公司發行的數字代幣取代比特幣充當不同貨幣之間的價值轉換中介,但該項目尚未落地,所面臨的政策性不確定風險突出.

通過上述相關工作回顧不難發現：以Ripple和Circle為代表,基于區塊鏈技術的分布式轉賬系統雖然已經相對成熟,但在實際應用以及業務推廣過程中依然面臨諸多問題.而作為現行國際貨幣清算體系下的SWIFT系統,雖已經開始在相關方面做出探索,但技術方案仍不成熟.因而,鑒于 SWIFT系統在業務覆蓋和合規性審查方面已十分成熟,同時該系統面臨的安全性問題、成本問題、效率問題,本文將以SWIFT系統為參照實例對基于許可鏈的跨境金融通信機理進行闡述,以期為后續研究提供參考和借鑒.

2 基于許可鏈的SWIFT系統架構

2.1 SWIFT系統結構框架

SWIFT系統致力于解決全球金融機構的跨境通信問題,并提供標準化報文,在此基礎上助力于建立高效的國際貨幣清算體系.因而,SWIFT系統的關鍵核心在于實現國際金融機構的信息連通.現行的 SWIFT系統構架基于中心控制-區片存儲-區域審核-用戶接入的設計構架(具體拓撲結構如圖1所示).

如圖1所示,SWIFT系統拓撲結構由4部分組成：處于系統核心位置的是中心系統控制處理器,其他部分由上到下依次分為片處理機、地區處理機、訪問點.在該系統中：中心系統控制處理器是整個系統最核心的主控機,對整個系統的運行狀態進行檢測和控制;片處理器負責整個網絡中報文存儲轉發,目前,世界范圍內的報文存儲轉發由 4臺片處理器負責;地區處理機是系統端的門戶,主要負責對用戶發送報文的格式、語法、地址代碼等進行審核,審核通過的報文才能進一步地向片處理器進行傳送,從而分擔片處理器的工作負荷;訪問點則是被 SWIFT系統授權的,可以接入到系統中的端口,系統用戶利用本地邏輯終端和計算機系統,通過該端口接入系統.

現行的 SWIFT框架以中心控制系統管理整個系統的運行,參與該系統的金融機構之間交換的報文信息都要經過中心控制系統,一旦中心系統遭受攻擊或是攻擊者通過騙取中心節點信任的方式,便可輕易地發起對其他金融機構的攻擊.而利用中心控制系統進行業務處理模式也導致交易效率低下,如個人利用銀行接SWIFT系統進行跨境轉賬到賬日期為3天,遠遠長于Ripple和Cricle的轉賬時效.

2.2 BCSWIFT框架

基于中心控制思想設計的系統架構在一定時期內保證系統的高效運轉.然而,近年來一些安全攻擊事件(見表 1)、運營成本高、跨境支付到賬時效長的問題引起廣泛重視.為解決該系統運行中存在的問題,本文提出基于許可鏈的BCSWIFT構架.

BCSWIFT構架的核心關鍵在于不改變現有金融監管體系的前提下對SWIFT系統進行優化,將過分依賴于中心節點的中心化架構變革為分布式共識構架.

在BCSWIFT系統中,每個節點都參與維護全網的交易賬本,因而不存在中心控制節點.考慮到SWIFT系統中涉及到世界諸多國家的金融機構,需要對報文進行標準化,同時,世界各國對跨境金融業務具有較強的監管要求,因此,本文將節點類型劃分為用戶節點和協調節點;進一步地,將用戶節點劃分為記賬節點子群和驗證節點子群.用戶節點是 BCSWIFT系統的主體參與者,其中：記賬節點子群負責記錄本節點與其他節點之間的交易事項,發送報文、接受報文、維護本地賬本等;驗證節點子群從全體用戶節點之中隨機選擇,負責對系統中的報文進行合規性審查、驗證交易,只有通過驗證節點驗證的報文交易信息才能記錄到區塊鏈中;協調節點對整個系統進行維護,制定報文標準、仲裁交易糾紛、負責認證節點的篩選工作、對新近節點進行合規性審查、協調系統與其他監管系統的對接等(詳見第4.1節的表2和表3).圖2為BCSWIFT系統分布式結構圖,圖3為BCSWITF區塊鏈架構圖.

3 組網機制以及區塊鏈結構設計

現有SWIFT系統基于中心控制思想進行網絡布局,中心控制系統成為各個節點相互連通的信道中轉站,是實現世界各國金融機構發送報文進行信息溝通的關鍵節點.因而,系統的運行效率、信息傳播速度很大程度上依賴于中心控制器的處理能力和運轉速度.另外,網絡中的最低帶寬也成為限制全網運行效率和信息傳播速度的重要因素.為此,本文提出基于端對端組網方式和星型拓撲網絡向結合的混合式組網方式以適應 BCSWIFT系統的分布式共識機制,并在此基礎上提出了各個金融機構及其分支機構的區塊鏈數據結構.

3.1 組網機制設計

當前,根據參與方式的不同,區塊鏈部署形式一般可分為公有鏈、聯盟鏈、私有鏈,其中,聯盟鏈和私有鏈等非公有鏈又被稱為許可鏈(permissioned blockchain).聯盟鏈是區塊鏈三大部署形式之一,是由若干機構組成利益相關的聯盟,共同參與并維護具有準入機制的多中心化區塊鏈.聯盟鏈提供成員管理、認證、授權、審計等管理功能,經過聯盟認證的機構才能加入聯盟鏈,對聯盟鏈的寫入及查詢等操作均可通過聯盟授權控制.私有鏈是指各個節點的寫入權限僅有某個機構控制,而讀取權限可視需求有選擇地對外開放,或被任意程度地進行了限制的區塊鏈[18].進入聯盟鏈的成員具有對等地位,不存在絕對控制中心節點,因而在部署聯盟鏈的過程中,端對端(peer to peer,簡稱P2P)的組網方式便成為重要的聯盟鏈網絡拓撲結構.而私有鏈從某種程度上存在著類中心節點,星型拓撲(star topology)網絡被視為私有鏈的重要可參考網絡拓撲結構.

現行的SWIFT系統為每個加入到該系統中的金融機構提供訪問點,并設置相應的機構代碼,以保證數據結構的完整、清晰和易于處理.而分布于世界各國的金融機構往往在本國范圍內又擁有諸多分支機構和代理機構,這些分支機構和代理機構往往通過專線與主機構聯結,當需要利用 SWIFT系統接發報文時,便借助于主機構擁有的SWIFT訪問權限進行業務處理.此種方式一方面考慮到不同分支機構或代理機構的數量眾多,而且業務量規模分布不均衡,利用主機構統一的系統訪問權限可以避免為所有分支機構和代理機構申請 SWIFT系統訪問權限的成本;另一方面,有利于加強主機構對分支機構和代理機構的監管,也便于主機構進行統一的業務核算.基于此,本文提出P2P組網方式與星型拓撲網絡結構相結合的混合式組網方式.

為便于區分,本文將參與到 SWIFT系統中的金融機構進行縱向劃分,即,按照金融機構是否具有獨立的SWIFT系統訪問權限劃分為一級金融機構和二級金融機構.一級金融機構指獲得獨立SWIFT系統訪問權限的金融機構,包括各國銀行、證券公司以及從屬于銀行或證券公司但具有獨立 SWIFT系統訪問權限的子公司或代理機構;二級金融機構指沒有獨立的SWIFT系統訪問權限的金融機構的分支機構、代理機構或是子公司,同時,其對SWIFT系統的訪問權限需要借助其從屬的或者有合作關系的一級金融機構的訪問權限.

在一級金融機構中,采用P2P的組網方式;而在二級金融機構與其依賴的一級金融機構之間,采用星型拓撲網絡.

圖 4為 BCSWIFT系統混合式組網機制示意圖,在該組網機制中,本文將整個網絡劃分為兩層.上層由一級金融機構用戶組成,在此層次中,各參與者采用P2P的組網方式,以便于為BCSWIFT系統分布式共識提供健壯的網絡支撐.該層次也是BCSWIFT組網的主層,各參與者的跨境報文交換以及金融通信等BCSWIFT系統為用戶提供的主要業務也在該層完成;下層由二級金融機構用戶組成,在此層次中,各參與者采用星型拓撲的網絡機制與主層中的相對應的一級金融機構相連接,二級金融機構的跨境報文交換以及金融通信等業務通過向一級金融機構提交申請,借助一級金融機構的 BCSWIFT系統訪問權限的方式完成.該層次是主層次的輔助層,以此擴展BCSWIFT系統地域以及受眾群體的覆蓋范圍.

3.2 BCSWIFT主層聯盟鏈區塊數據結構

根據金融機構實體組織方式以及業務需求,本文提出了基于聯盟鏈的 BCSWIFT的混合式組網機制.與之相對應,本節提出雙層混合式網絡中,不同網絡層參與者的區塊數據結構.具體可以分為主層聯盟鏈區塊數據結構和附加層區塊數據結構.

主層聯盟鏈的區塊主要存儲 BCSWIFT系統中的各參與者報文交換信息,以滿足國際間跨境清算的需求.主層聯盟鏈中的區塊分為兩部分：區塊頭和區塊體.區塊頭中主要封裝當前區塊哈希值、前置區塊頭哈希值、驗證子群哈希值、版本號、Merkle根、時間戳,其中：當前區塊的哈希值是對經過驗證節點驗證之后的區塊利用 Hash256算法計算等到的函數值,前置區塊頭哈希值為父區塊的哈希值,驗證子群哈希值是由協調節點選出的驗證節點子群中所有驗證節點代碼組成的代碼集合的哈希值,版本號為整個區塊鏈系統的版本編號,Merkel根則是對區塊體中的數據進行Merkel計算后得到的,時間戳為經過驗證節點共同驗證后由協調節點設置;區塊體主要封裝報文信息,主要包括的事項有發送方代碼、發送時間、接受方代碼、報文類型、加密方式、報文內容、報文哈希、數字簽名、加密算法,其中,發送方代碼和接受方代碼沿用現有SWIFT系統中的代碼體系;報文類型的具體分類與現有SWIFT系統向一致;加密方式存儲報文的加密算法;報文內容存儲金融機構之間的交換的報文具體內容;數字簽名中存儲著報文交換雙方的數字簽名證書,以保證信息在信道中不被篡改.

具體結構如圖5所示.

3.3 BCSWIFT附加層私有鏈區塊數據結構

BCSWIFT附加層由二級金融機構組成,是主層在地域和服務受眾群體范圍的擴展.二級金融機構借助一級金融機構的訪問權限實現跨境金融通信,二級金融機構處于星型網絡拓撲結構的末端位置.根據自身業務的實際需求,一級金融機構可以自行設置其與二級金融機構的數據處理方式,既可以采用中心式數據處理模式,又可以采用私有鏈或聯盟鏈的數據交互模式.考慮到一級金融機構與二級金融機構之間的組織與業務關系,本文采用私有鏈的方式實現二級金融機構與一級金融機構之間的跨境信息交互與存儲.

附加層私有鏈中的區塊主要存儲二級機構借助一級金融機構的 SWIFT訪問權限發送和接受的跨境報文信息.附加層私有鏈中的區塊分為兩部分：區塊頭和區塊體.區塊頭中主要封裝當前區塊哈希值、前置區塊頭哈希值、版本號、Merkle根、時間戳,其中,當前區塊的哈希值是對經過驗證節點驗證之后的區塊利用 Hash256算法計算等到的函數值,前置區塊頭哈希值為父區塊的哈希值,版本號為私有鏈系統的版本編號,Merkel根則是對區塊體中的數據進行Merkel計算后得到的,時間戳由一級金融機構在驗證完成后設置;區塊體主要封裝報文信息,主要包括的事項有發送方代碼、發送時間、接受方代碼、報文類型、加密方式、報文內容、數字簽名、加密算法,其中：發送方代碼為私有鏈系統中的機構代碼,接受方代碼沿用現有 SWIFT系統中的代碼體系,報文類型的具體分類與現有SWIFT系統向一致,加密方式存儲報文的加密算法,報文內容存儲金融機構之間的交換的報文具體內容.

具體結構如圖6所示.

4 分布式共識機制設計

考慮到BCSWIFT系統用戶的組織方式以及業務模式,本文將BCSWIFT系統劃分成雙層結構,即主層和附加層,并分別對應聯盟鏈和私有鏈.本節將提出主層聯盟鏈以及附加層私有鏈的共識機制.

4.1 用戶角色及職責

BCSWIFT系統采用雙層網絡架構：主層基于聯盟鏈建立分布式共識機制,以弱化對現行 SWIFT系統中心控制節點的依賴程度;附加層考慮到金融機構實體組織結構體系,采用私有鏈的區塊鏈部署方式以增強系統的健壯性.因而,用戶在不同網絡層中承擔著不同的角色,其擁有的權限與履行的職責也不近相同.表2和表3列出了BCSWIFT主層用戶和附加層用戶的角色及其職責.

不同的一級金融機構在業務規模和組織方式方面存在差異.對于擁有分支機構或代理機構的一級金融機構,本文提出通過構建私有鏈的方式,建立分支機構或代理機構與一級金融機構之間的跨境報文傳輸和存儲機制.表3為BCSWIFT附加層用戶角色及職責.

Table 2 BCSWIFT main network layer user roles and responsibilities表2 BCSWIFT主網絡層用戶角色及職責

Table 3 BCSWIFT additional network layer user roles and responsibilities表3 BCSWIFT附加網絡層用戶角色及職責

4.2 共識算法設計

4.2.1 相關定義

BCSWIFT系統中采用雙層網絡構架,在不同的網絡層采用相應的共識機制.本文提出,在主層采用基于實用拜占庭容錯[19]的改進的實用拜占庭容錯共識機制;在附加層采用基于 Raft[20]的強領導式共識機制.在相關共識機制中定義如下.

定義1(報文發送方Sen和接受方Rec).報文發送方是指請求通過BCSWIFT系統向其他金融機構發送報文信息的金融機構.報文發送方可以是一級金融機構SenF,也可以是二級金融機構SenS;報文發送方SenFID是一級金融機構在主網絡層唯一標識,報文發送方SenSID是二級金融機構在其隸屬的星型拓撲網絡中的唯一標識.與之類似,可以對Rec,RecFID和RecSID進行定義.對于同一金融機構而言,SenFID==RecFID或SenSID==RecSID.

定義2(報文信息Tele).報文信息是BCSWFIT系統中傳輸和存儲的主要內容,是指金融機構之間為實現跨境金融信息交互、完成跨境資產清算和結算以加密電文的形式傳輸的報文.報文信息通過TeleID(報文信息ID)全系統唯一標識,每一條報文對應唯一的一個ID,同時,一個ID也只能唯一對應一條報文信息.每一條報文信息在時間切片內只能被傳遞一次,但每條報文可以包含多項金融交易信息.主網絡層的報文主要由兩部分組成,即報文頭和報文體：報文頭主要包括發送方ID、接收方ID、發送時間(time)報文類型(type)、加密算法(encryption)、數字簽名(signature)、報文哈希值(HAS content);報文體由報文內容(content)組成,同一報文中的發送方ID不能等于接收方ID.在主網絡層中,發送方ID、接收方ID為SenFID,RecFID.二級金融機構發送或接受跨境報文信息,借助其隸屬的一級金融機構.因機構數據保護機制不同(見第6.3節),附加網絡層中的報文頭不再包含報文哈希值(HAS content)這一項.

定義3(協調節點Cor).協調節點是所有股東機構成立的管理委員會的代理機構在BCSWIFT系統中的投射.在收集到全網報文數據后,將待驗證數據發送到驗證群組,對合規數據進行建塊,并廣播最新聯盟鏈狀態.該節點不參與共識,只負責忠實維護系統的安全健壯、準確可靠.對新進節點進行審核,通過在現實世界中簽訂的合作協議,幫助新進入機構獲得系統的接入權,并對其進行業務指導,提供必要的軟件以及硬件基礎設施.協調節點對驗證節點進行動態隨機篩選,組織共識驗證過程.

定義4(用戶節點User).用戶節點是除協調節點以外的節點,是金融機構在BCSSWIFT的網絡投射.從網絡結構的角度劃分,用戶節點分為主網絡節點UserF和附加網絡節點UserS,即User=UserF∪UserS;從報文發送雙方的角度劃分,用戶節點分為報文發送方和報文接受方,即User=SenF∪SenS∪RecF∪RecS.

定義 5(驗證節點 Ver).驗證節點是對報文信息進行審核,參與共識,并將數據寫入區塊鏈的用戶節點.在主網絡層中,驗證節點VerF由協調節點從全部用戶節點中選出大于2/3組成驗證群組.在附加層中,驗證節點VerS為一級金融機構,該驗證節點對二級金融機構發送的報文信息進行審核,審核通過后,向主網絡層發起報文發送信息,并計入其私有鏈中.當二級金融機構接收到報文時,也由通過一級金融機構進行驗證,并計入其私有鏈.

定義 6(記賬節點 Led).記賬節點是除驗證節點之外的節點,在隨機動態選出驗證節點后,剩余的節點成為記賬節點.在主網絡層中,記賬節點負責將自身以及二級金融機構報文信息進行收集,并向協調節點和驗證節點發送報文數據,待數據完成共識,接受聯盟鏈的區塊狀態,完成自身聯盟區塊鏈的數據更新.在主層中,記賬節點和驗證節點的角色可以互換.在附加層中,記賬節點是除中心節點以外的節點,負責自身數據與私有鏈驗證節點的交互,維護本地私有鏈.

定義 7(并行報文區塊鏈).在 BCSWIFT系統中,擁有二級金融機構(SFI)的一級金融機構節點(FIWS)同時維護兩條并行的區塊鏈,即主網絡層的聯盟鏈(consortium blockchain,簡稱 CBC)和附加層的私有鏈(private blockchain,簡稱PBC).在主網絡層中,通過IPBFT共識機制維護主網絡層的區塊鏈;在附加層中,通過RSL共識機制維護附加層中的區塊鏈.FIWS將通過驗證后的二級金融機構的報文信息寫入BCSWIFTPBC中;同時,主網絡層的驗證節點將該條報文信息寫入BCSWIFTCBC中.

4.2.2 共識算法

BCSWIFT共識算法的核心思想是：對于不同的網絡層采用不同的共識的算法,擁有二級金融機構的一級金融機構參與兩種共識機制,并維護兩條并行區塊鏈.IPBFT適用于主網絡層,RSL適用于 FIWS與其隸屬的SFI組成的星型拓撲網絡中.

(1) IPBFT算法

算法描述：IPBFT中,報文數據區塊的記賬權由協調節點享有;驗證節點負責對收集到的數據進行合規性審查,在審查完成后,將全部數據進行哈希運算并將結果返回到協調節點;協調節點在收集到超過全網 2N/3驗證節點的一致性驗證后,建立報文數據區塊,并將新生成的區塊與前置區塊相連接,同時將區塊的最新高度廣播到全網.通過驗證后的報文數據區塊將被永久記錄到BCSWIFTCBC中.

算法1.驗證節點對報文數據進行審核.

算法2.協調節點建立數據區塊并向全網廣播.

(2) RSL算法

算法描述：RSL算法中一級金融機構擁有控制權,并對接收到的二級金融機構的報文傳輸請求進行審核,審核通過后,將報文信息直接記錄到其私有鏈中,并向其他二級金融機構推送私有鏈的更新動態.

算法.一級金融機構對報文數據進行審核.

5 數據交互及查詢機制

報文傳輸是BCSWIFT系統的重要應用之一,也是本文著重考慮的業務場景.本文提出的BCSWIFT系統與現行的 SWIFT系統基于中心控制的業務處理方式不同,其核心業務處理思想是分布式共識機制.因此,其具體業務流程也存在較大區別.

5.1 報文數據交互機制

報文交互機制從信息傳遞的角度可以劃分為報文發送、報文傳輸、報文接受這3個階段.依據用戶主體的不同,可以劃分為一級金融機構與一級金融機構之間的報文傳輸、一級金融機構與二級金融機構之間的報文傳輸、二級金融機構與二級金融機構之間報文傳輸這3種類型,這3種報文根據其業務的請求發出者可以劃分為由一級金融機構發起的報文傳輸業務和由二級金融機構發起的報文傳輸業務.

報文傳輸以金融機構的業務需要為前提,當一級金融機構根據業務需求發送報文時,直接將報文編碼向BCSWIFT系統發起請求,報文信息通過驗證和共識后便會向報文接收方發送,一級金融機構接受到報文后將報文進行解密;如果報文接收方為二級金融機構,則將報文信息傳遞給二級金融機構,二級金融機構根據報文信息進行業務處理.當二級金融機構收到業務請求時,會向其所隸屬的一級金融機構進行報文傳輸請求,一級金融機構對報文信息進行重新編碼后,向 BCSWIFT系統發送請求,報文信息通過驗證和共識后便會向報文接收方發送,一級金融機構接受到報文后將報文進行解密;如果報文接收方為二級金融機構,則將報文信息傳遞給二級金融機構,二級金融機構根據報文信息進行業務處理.具體流程詳如圖7所示,BCSWIFT系統報文交互流程圖.

5.2 數據查詢機制

金融機構在處理跨境金融業務過程中,除了以報文為載體傳輸業務信息外,還需要諸如銀行對賬單等機構業務處理匯總數據,以實現資金或資產的清算、結算和交割.因而,BCSWIFT系統除為金融機構提供報文傳輸的交互機制外,還支持金融機構為完成資金或資產的清算、結算和交割等業務活動而向系統發起獲得報文記錄的查詢請求,而基于對金融機構業務數據進行保護的考慮(見第6節),數據的公開范圍和查詢權限受到限制.

數據查詢的種類根據發起金融機構的種類不同,可以劃分為由一級金融機構發起的查詢和由二級金融機構發起的查詢：一級金融機構發起的查詢可以分為附加層網絡的查詢和主網絡層的查詢,即對BCSWIFTPBC的數據查詢和對BCSWIFTCBC的數據查詢;二級金融機構發起的查詢可以分為附加層網絡的查詢和主網絡層的查詢,即對BCSWIFTPBC的數據查詢和對BCSWIFTCBC的數據查詢.

一級金融機構在附加網絡層具有最高權限,可以隨時調取BCSWIFTPBC的全部數據,而不需要經過二級金融機構的同意.一級金融機構雖具有數據訪問的最高權限,卻無法對 BCSWIFTPBC中的數據進行修改,從一定程度上可以避免一級金融機構的道德風險和操作風險.一級金融機構對BCSWIFTCBC的數據查詢則需要經過協調節點的審證,協調節點作為全體參與者組成的管理委員,在網絡中的投射可以很好地代表全體參與者的意愿,由其對查詢請求進行審證可以體現全部參與者的意愿,符合 BCSWIFT系統金融機構商業聯盟的根本運營性質.通過審證后,BCSWIFTCBC系統將返回查詢結果.審證標準包括兩個方面,即合理性和合規性：合理性是指一級金融機構請求查詢的數據在BCSWIFT聯盟中規定的數據查詢業務場景提供的數據范圍內;合規性則是指一級金融機構數據查詢的請求指令應該符合BCSWIFT聯盟的統一規范,同時請求指令發送的頻率在安全閾值范圍內.審證環節意在防止惡意節點通過數據查詢窺探其他節點的商業信息,也防止利用數據查詢進行“粉塵”攻擊,而并非賦予協調節點某種類中心化的權限.審證環節的主要流程也圍繞審證標準的 3個方面展開：首先是合理性審查,其次是合規性審查,再者是查詢次數限定.

二級金融機構發起對 BCSWIFTPBC的數據查詢請求,由其隸屬的一級金融機構負責審核.通過審核后,系統向二級金融機構返回查詢結果.二級金融機構對BCSWIFTCBC的數據查詢請求由其隸屬的一級金融機構審核,并重新以一級金融機構的名義向協調中心發送查詢請求,審證通過后,將 BCSWIFTCBC返回的查詢結果向二級金融傳遞.具體流程如圖8所示.

6 機構業務數據私密性保護

跨境金融通信是金融機構處理跨境業務的必要條件,便捷、安全、準確的跨境金融通信體系,是金融機構在跨境金融業務領域的核心競爭力之一.同時,金融機構在業務處理中積累的大量業務數據,也成為其重要的數據資產,甚至一些重要的數據信息成為了金融機構的核心商業機密.因而,保護包括跨境報文信息在內的業務數據,是金融機構保持其競爭力的重要途徑.其數據保護機制按照BCSWIFT系統的報文處理流程可以劃分為3個方面,即報文傳輸過程中的信息私密性保護、報文驗證過程中的信息私密性保護、報文存儲以及查詢過程中的信息私密性保護.

6.1 報文傳輸過程中的信息私密性保護

借鑒現有SWIFT系統中報文傳送的加密機制,除廣泛應用的對稱加密算法外,本文提出采用非對稱密碼、數字簽名、哈希加密的方式保證數據在傳輸過程中的信息安全性.

· 非對稱密碼體制(asymmetric cryptosystem)在密鑰分配、密鑰管理以及實現不可否認方面相較于對稱密碼體制具有較大優勢[18],因而在區塊鏈技術體系,如比特幣[21]中被廣泛應用.利用非對稱密碼體制,報文發送方在發送報文之前首先要獲取報文接收方發布的公鑰.利用該密鑰將明文加密成為密文,接收方解密時,使用私鑰對密文進行處理以獲得明文.利用私鑰可以計算得出公鑰,但是利用公鑰卻難以計算得到私鑰,使得非對稱密碼體制在加密方面具有極高的安全性.在BCSWIFT系統中采用非對稱密碼體制,可以較好地解決現有 SWIFT系統中報文加密密鑰的分配問題,防止報文被截取以及報文接發過程中的抵賴問題;

· 數字簽名(digital signature)[22]主要用于對數字消息進行簽名,以防止消息的冒名偽造或篡改,也可以用于通信雙方的身份鑒別.在 BCSWIFT系統中,報文發送方利用簽名密鑰對報文信息進行簽名加密,接受方利用驗證密鑰對報文內容進行解密.通過采用數字簽名技術,BCSWIFT系統可以防范攻擊者假冒發送方發送報文信息或是對報文信息進行偽造;同時,加之以報文ID號和時間戳,BCSWIFT系統可以防止報文重放,也可以有效防止發送者抵賴曾經簽署過的報文信息;

· 哈希加密也被稱為哈希函數(Hash function)[23],是一種從明文到密文的不可逆映射.利用哈希函數可以將任意長度的信息加密為固定字符長度的輸出,且一旦明文數據出現微小的變動,整個加密后的哈希值將發生巨大變動.在 BCSWIFT系統中,哈希函數可以對報文區塊進行加密,并存儲于后一區塊中,進而形成前后相連的鏈式數據結構.同時,利用哈希函數對整個報文進行加密,生成的哈希值放置于報文頭,以防止攻擊者對報文數據的惡意篡改.

6.2 報文驗證過程中的信息私密性保護

在主網絡層,報文驗證過程中,報文信息保護主要考慮各個金融機構在報文傳輸中的數據不被惡意竊取和集中化收集,以窺探其運營狀況.其主要的安全風險在于協調節點以及驗證節點在收集到全網報文數據后,構建報文數據區塊的過程中以及驗證節點在收到協調節點發送的數據區塊后,在完成共識前,對金融機構報文數據的竊取和集中化收集.

通過對報文數據進行加密傳輸,讓報文數據以密文的形式在全網中進行傳輸,只要確保密碼算法的安全性,就可以保障數據的安全性.但密文傳輸使得協調節點在審核報文消息是否合規的處理過程中面臨巨大問題,因為驗證節點并不允許對報文數據進行解密,無法直接查看報文的具體信息.

為解決報文審核以及共識過程對數據公開性的要求與金融機構報文數據隱私保護之間的矛盾,需要在驗證內容上尋找平衡閾值,既可以不妨礙分布式共識機制的運行,也可以最大限度地降低其道德風險.本文提出對報文中的信息進行分類審核,同時采用雙重加密的技術手段加以解決.

本文研究認為：報文信息與數字資產不同,只存在重放而不存在“雙花”,因而不驗證信息的具體內容也可以實現對報文的合規性審查.將驗證節點的報文審核內容限定在報文ID、發送時間、發送方ID、接受方ID、報文類型的合規性審查、報文哈希、報文數字簽名的完整性“報文頭”中的內容進行審核,而不對報文的具體內容,即“報文體”進行審查是最合理的平衡閾值.該種審核機制類似于將一條報文信息看做是一封信,驗證節點可以便捷地實現對信封上的公開信息進行校驗,而無法探知信紙中記錄的具體內容.不僅可以提高審核效率,還可以保證報文的信息機密性.通過審核和共識的報文信息將會被打包成為數據區塊,并記錄到BCSWIFTCBC中.

為確保報文數據不被惡意收集和窺探,本文提出采用雙重加密的方式.所謂雙重加密,是指報文在傳輸過程中利用非對稱加密算法(諸如 RSA等)和對稱加密進行雙重加密：第一重加密是利用非對稱加密算法對報文體進行加密,發送方利用接受收方的公鑰進行加密,接收方通過其私鑰進行解密,便可以得知報文體內容;第二重加密是利用對稱加密算法對報文頭和加密后的報文體進行加密,報文發送方將經過雙重加密的報文數據進行廣播,廣播接收方包括報文接收方、報文驗證方、記賬節點、協調節點等.但在此過程中,真正可以查看報文完整信息的只有報文接收方,而其他各方雖接受到報文,但只限于查看報文頭,驗證節點利用報文頭信息進行驗證,形成共識.通過共識驗證后的報文數據將被打包進入主層聯盟鏈以及相應的附加層私有鏈.進一步地,雙重加密過程中采用兩種不同的非對稱加密算法和對稱加密算法可以進一步提高數據的安全性,增加攻擊者破譯難度.

在雙重加密中,第 1重加密是為了確保報文體的數據隱私性,將報文體以密文的形式在系統中傳輸,在報文發送方發送報文以后,只有報文接收方可以解密得到相關報文體的明文;第 2重加密主要用于保證報文廣播中的安全性和便于驗證.具體而言：首先是為防止報文在傳輸信道中被截取以后可以輕易獲得報文,只要確保第 2重加密中采用的加密方法具有密碼學意義上的安全性,就可以確保報文被截取以后的安全性;其次,對第 2重對稱加密進行解密以后得到的明文是一致的,即報文頭和采用第1重加密后的報文體密文,便于進行共識.

雙重加密中,密鑰的管理也較為便捷.第1重加密和第2重加密采用不同種類加密方法,系統中每一個節點保存有第1重非對稱加密方法的公鑰P和私鑰S,和第2重對稱加密算法的密鑰K.非對稱加密算法的私鑰由節點自身保存,公鑰由節點進入系統之初向全網節點發送.報文發送方在發送報文時,利用接收方的P對報文體加密,利用第2重對稱加密算法對報文頭和加密后的報文體進行加密.報文接收方接收到報文后,利用自身的K先對報文頭和加密后的報文體進行解密,再用自身的S對采用非對稱加密算法加密后的報文體進行解密,進而得知全部報文信息.非報文接收方節點只利用自身節點保存的密鑰K對報文頭和加密后的報文體進行解密,數據查看范圍限于報文頭的明文和報文體的密文.

其過程中主要的安全威脅來源于報文在小概率范圍內被截取和破譯之外,攻擊者基于相同的報文內容重寫報文,發起的重放攻擊.重放攻擊會使整個報文系統記錄的跨境金融數據出現巨大偏差,將迫使參與節點耗費巨大的人力和算力尋找重放信息,造成的損失不可估計.為此,本文提出在報文頭中加入報文信息整體的哈希以及非對稱加密算法對報文體信息進行加密的方法避免重放攻擊.當攻擊者基于相同的報文體內容進行重放攻擊時,報文ID號必須是唯一且區別于其他任何一條報文信息的.報文ID的不可重復性致使攻擊者進行重放攻擊時,報文信息哈希值會發生巨大變化,因而驗證者可以輕易識破重放攻擊.同時,采用雙重加密機制不僅可以保證數據私密性,也為攻擊者破譯報文體信息增加了難度,也進一步降低了重放攻擊成功的概率.

在附加網絡層中,FIWS可以對報文的全部信息進行校驗,通過審核的報文將利用其自身的BCSWIFT系統訪問權限向主網絡層發送報文,待到主網絡層完成共識,再將SFI的報文信息記入到BCSWIFTPBC中.

6.3 報文存儲以及查詢過程中的信息私密性保護

利用非對稱密碼體制、數字簽名、屬性加密以及哈希函數,使得報文數據在BCSWIFT系統中的傳輸和流轉完全以密文的形式存在,即使攻擊者獲取了 BCSWIFTCBC中的全部數據,只要加密算法具有安全性,也難以實現對數據的暴力解密,更無法實現對數據的篡改.同樣,參與 BCSWIFT系統的金融機構在未取得其他金融機構授權(私鑰)的前提下,也無法探知其他金融機構報文數據.

同時,為保證金融機構的業務清算和結算,每個金融機構也維護本地數據庫,該數據庫只記錄與其自身有關的報文.因而,即使該數據庫遭到攻擊,其數據流失范圍僅限于其自身業務數據和部分與其有報文交互記錄的其他金融機構的數據,而不會威脅到全網.但需要提出的是：本地數據庫遭到攻擊,會造成附加網絡層中的一級金融機構和其所轄屬的二級金融機構的報文數據泄露.因而,一級金融機構仍要采用諸如物理隔離、安全防護墻等技術手段和管理方法確保本地數據庫的安全性.

數據查詢是必要的,是用戶節點確保本地數據庫與全網保持一致的重要方式,也是實現仲裁的重要手段.在主網絡層,數據查詢的請求要經過協調節點的審證,通過審證后的查詢請求將會被返回查詢結果.在附加網絡層,如果只是涉及附加網絡層的內部查詢,則有一級金融機構進行審核,通過審核后的查詢請求將會被返回查詢結果;如果涉及主網絡層的查詢,則由一級金融機構向協調節點提交查詢請求,通過審證后的查詢請求將會被返回查詢結果,并進一步返回到二級金融機構.此種機制設計是為了加強對攻擊者惡意偽裝成為誠實節點對系統進行DOS攻擊的識別,并有效降低DOS攻擊的概率.

7 安全分析與證明

安全性對于金融通信至關重要,也是許可鏈在構建 SWIFT系統中的重要優勢之一.基于許可鏈的BCSWIFT系統面臨的信息安全風險主要包括兩個方面：一是原有 SWFIT系統中固有的信息安全風險,二是BCSWIFT系統分布式共識過程中隱含的風險.本節將集中對這兩個方面安全性進行分析并給出證明.

7.1 對原有SWFIT系統信息安全風險的分析

現階段,SWFIT系統中面臨的信息安全隱患包括假冒、報文被截取(讀取或復制)、修改、重播、報文丟失、報文發送方以及接收方否認等.同時,采用中心控制的報文系統對中心控制系統依賴程度過高,中心控制點的操作風險和道德風險較大.對于信息安全的防范應以安全目標為導向,采用相應的安全措施解決現有的安全威脅.BCSWIFT系統的安全目標與其他基于計算機技術的信息系統安全目標一致,其核心要點分為 4個：信息保密性、完整性、可用性以及可追溯性[24,25].考慮到BCSWIFT系統中不同網絡層的重要性不同,本文將該部分的安全分析限于主網絡層中.表4對BCSWIFT系統中的安全風險、安全目標與安全措施之間的關系進行了梳理.

Table 4 Correspondences between security objectives, security risks and security measures in BCSWIFT表4 BCSWIFT系統中的安全目標、安全風險與安全措施之間的對應關系

定理1.采用非對稱密鑰體系、雙重加密可以確保報文信息的保密性.

證明：非對稱密鑰體系為報文數據的全網廣播實現共識提供了密碼學技術支撐,在主網絡層報文廣播過程中,每一個節點保有全網其他節點的公鑰,在發送報文過程中,利用接收節點的公鑰對報文體進行加密,接收節點利用其自身私鑰對報文體進行解密.解密得到的報文頭和報文體密文足以確保驗證節點完成驗證實現共識,同時也確保了數據的分布式存儲.對報文體利用非對稱加密算法進行的數據加密,使得報文的全部信息只有接受方可以探知,保護了數據的隱私性.綜上可知,采用非對稱密鑰體系和雙重加密可以確保報文信息保密性.

定理2.數字簽名技術、哈希加密可以確保報文信息的完整性.

證明：數字簽名技術、哈希加密使得數據一旦被修改就會發生巨大變化,因而報文被修改以后信息就會作廢,無法通過共識.攻擊者修改過的報文會輕易被誠實節點探知,其攻擊意圖會被識破,無法達到攻擊意圖,信息完整性得以確保.

定理3.數字簽名技術、報文標識技術可以確保信息的可用性.

證明：數字簽名是發送節點的標識,攻擊者在無法得到全網節點數字簽名的前提下無法實現假冒.報文采用唯一的報文ID進行標識,重放的報文其ID會在系統中出現重復,而一旦出現重復ID報文會被判定無效,重放攻擊便宣告失敗;同時,報文哈希也使得攻擊者難以在報文ID不可重復的前提下,通過分解報文、復制報文體實現重放攻擊.以上使得報文信息可用性得以確保.

定理4.數字簽名技術、非對稱密鑰體系、鏈式聯結可以確保信息的可追溯性.

證明：每一個發送節點都具有特定的數字簽名,使得發送方難以否認.而一旦報文數據經過驗證和共識便被記錄到區塊鏈中,前后聯結的數據區塊使得數據極易被發現,也不易發生丟失,協調節點仲裁機制也使得接受節點難以否認曾接受到報文信息.因而,數字簽名、非對稱密鑰體系、鏈式聯結使得信息具有可追溯性.

定理5.分布式共識機制可以最大化降低中心控制節點的操作風險和道德風險.

證明：分布式共識機制大大降低了中心控制節點在報文傳輸過程中的數據權限,中心節點被協調中心所取代,協調節點的行為處于全網監督中,其不誠實行為將輕易地被全網節點所發現,降低了其操作風險和道德風險的發生概率和危害性.

7.2 分布式共識機制中的安全風險分析

本文所提出的BCSWIFT系統基于許可鏈技術體系,除SWIFT系統中面臨的固有信息安全風險外,分層網絡組網方式、分布式共識機制中也面臨著共識機制可信度、網絡不可信、篡改報文數據、區塊分叉等問題.本節將對此進行安全性分析.

定理6.驗證共識機制是可信的.

證明：在 BCSWIFT系統中采用“審核即驗證”的模式,驗證節點即審核節點,通過審核的報文即為通過驗證的報文.主網絡層采用改進的拜占庭共識機制,多于2N/3的驗證節點返回的報文驗證合格數據集具有一致性時,共識即達成.而同時加入到系統的主體通過合約等方式規定了權利與義務,節點具有高可信度.進而,主網絡層的共識機制具有可信性.在附加網絡層中,一級金融機構和二級金融機構為利益共同體,同時,考慮實體機構的組織構架方式,一級金融機構節點具有權威性,其通過審核的報文即可以向主網絡層發送請求,進而附加網絡層的共識機制具有可信性.綜上可以證明,BCSWIFT系統的驗證共識機制具有可信性.

定理7.網絡環境具有可信性.

證明：一方面,基于許可鏈的BCSWIFT系統中節點,無論是在主網絡層還是附加網絡層,實體組織之間都具有高度的相互信任機制,主網絡層中新近節點進入系統,都要經過嚴格的審核,只有確認新近節點具有高度可信性后,節點才會被批準加入到系統中;附加網絡層中,二級金融機構是一級金融機構的下屬機構,其進入附加網絡中以二級金融機構服從一級金融機構管轄為前提;另一方面,各個金融機構之間的業務通信往往通過網絡專線,確保了網絡傳輸的安全性.

基于以上兩點,本文認為BCSWIFT系統網絡環境具有可信性.

定理8.報文數據在BCSWFT系統中難以被篡改.

證明：在 BCSFIT系統中,報文數據在經過哈希加密、非對稱加密、雙重加密后,以密文的形式在系統中進行流轉,其安全機制已在第7.1節證明.另外,共識通過的報文信息一旦寫入區塊鏈,由區塊鏈的基本特性可知,其數據具有不可篡改性.因而,報文在BCSWIFT系統中難以被篡改.

定理9.BCSWIFT系統不存在分叉風險.

證明：在主網絡層中,BCSWIFT系統采用IPBFT共識機制,BCSWIFTCBC的記賬權由協調節點享有,協調節點在對區塊狀態更新后將區塊鏈數據摘要發送到各個節點.各個節點的區塊鏈實時與協調節點相一致,故在BCSWIFTCBC中不存在分叉問題.在附加網絡層,BCSWIFTPBC的記賬權由一級金融機構享有,一級金融機構對數據進行審核后,將二級金融機構的請求記錄到該鏈中,向其他節點發送區塊摘要,故在 BCSWIFTPBC中不存在分叉問題.因而,雙層多鏈的BCSWIFT系統不存在分叉風險.

定理10.BCSWIFT系統可以有效防止攻擊者通過攻擊協調節點選取驗證子群進行作惡.

證明：協調節點所承擔的職責中包含篩選驗證節點的角色職責,但協調節點的篩選結果并非是由其自身主觀決定,而是通過隨機動態的篩選過程得出的隨機篩選結果.在得出驗證子群的篩選結果之前,協調節點并無法進行預測,也無法改變篩選結果,除非所有參與者一致通過改變篩選結果的決議.因而在攻擊者在小概率范圍內對協調節點成功實施攻擊后,其自身依然難以通過選取特定的驗證子群進行作惡.

8 結語及研究展望

本文以SWIFT系統的安全、成本和效率問題為切入點,介紹了相關工作以及現有SWIFT系統的中心式架構,聚焦于報文傳輸這一基本業務場景,提出了BCSWIFT框架,并對該框架進行了詳細說明.結合實際運營環境對報文傳輸的參與者進行重新分類,介紹了報文傳輸的區塊結構、共識機制、業務流程、數據保護措施等,最后對框架的安全性進行了證明.本文提出的雙層架構和多鏈融合思想以及多種共識機制并存和數據保護措施具有通用性的實踐指導意義;同時,聚焦于報文傳輸這一基本業務場景,為實現基于區塊鏈技術的國際跨境支付業務的優化打開了新的突破口,為進一步推動區塊鏈技術在國際跨境金融業務中的應用奠定了堅實的基礎,也為包括國際跨境金融業務在內的現代金融也的發展提供了巨大助力.

本文的不足之處在于以報文傳輸業務作為參照實例,尚未涉及SWIFT系統中的其他增值業務(如跟單信用證、信用擔保等),未來可以進一步探索基于區塊鏈以及智能合約技術優化SWIFT系統增值業務以及完善國際跨境金融業務監管.另外,BCSWIFT系統的效率問題也是未來的重要研究方向.本文提出的BCSWIFT系統是基于許可鏈,許可鏈包括私有鏈和聯盟鏈,是一種多中心化體系結構,而并非是完全的去中心化體系,雖然會在一定程度上降低效率,但是可以提高系統信任.而且許可鏈效率不是很低,Vukolic指出,BFT類投票共識每秒可達到上萬筆交易[26].根據聯盟鏈HyperLedger Farbic白皮書,其所采用的PBFT共識能實現每秒約2 000筆交易[27].本文所提出的BCSWIFT系統的共識機制中,主層聯盟鏈的IPBFT共識算法正是以BFT類共識機制為基礎,并加以改善的共識算法.因而,我們謹慎地認為,系統的交易效率并沒有呈現斷崖式下降.

限于本文的寫作目的主要在于研究和論述基于許可鏈的 SWIFT系統與共識機制,強調其中的技術方案以及實現機制,有關BCSWIFT系統交易效率檢測以及優化問題可以基于本文的研究成果,同時結合SWIFT運營的實際情況開展進一步的研究.