区块链有什么作用？区块链适用于哪些环境？

执行摘要

区块链是一种颠覆性技术，能够在未来几年改变企业之间的互动。其核心原则是根据分布式数字账本简化并保护业务网络内的交易。IBM 在区块链技术领域业绩斐然，为超级账本项目作出了重大贡献，而且在该项目的实施过程中还提供了咨询服务。

IBM 最近引入了一系列独特的区块链产品，这些产品可用于云应用和内部应用。High Security Business Network (HSBN) 是一种新的云产品，该产品旨在开发卓越性能并提高 IBM LinuxONE 的安全性和弹性。对于希望在内部利用具有此类服务质量的企业而言，IBM 可通过 IBM LinuxONE 和 Linux for z Systems 提供一个内部托管平台。

在本文中，我们将对区块链及其用例进行阐述，还将介绍 IBM 区块链解决方案的独特要素以及此类解决方案如何充分利用 IBM z Systems 在安全性、弹性、性能方面的独特优势。

背景

任何企业都无法独立存在。他们不仅与客户、供应商和合作伙伴密切合作，还会在业务网络内的不同地理位置和监管边界之间进行运营。业务网络内外的货物和服务可在我们通常所谓的市场中进行流通。在这些业务网络内，可通过受合同支配的交易来交换资产并创造价值。

纵观历史，信托工具的出现是为了交换价值，包括铸造的硬币、纸币、信用证和银行系统等等。与此同时，很多重要的创新项目已帮助克服了距离局限和低效问题，包括数据通信、信用卡系统、互联网和移动技术。
即便如此，很多业务交易仍然低效、昂贵而且易受攻击。举例来说，不动产交易的参与者（银行、业主、审计员、律师、产权公司、政府和保险公司）需要自行更新其交易记录。这些个体网络均具有复杂的孤岛，而这些孤岛不仅需要进行协调，而且容易被篡改。由于涉及到重复投入而且需要第三方验证或中介机构，因此便会产生相关费用。毫无疑问，这些网络非常低效，因为每位参与者都需要复制合同。此外，这些网络还非常易受攻击，因为如果中央系统由于意外事件而遭受攻击，便会影响到整个业务网络。意外事件包括欺诈、网络攻击或简单错误。这些事件会耗尽用户的信任，阻止资产的自动验证或认证，而且还会增加成本。

区块链是一种共享式账本技术，借助该技术，业务网络中的参与者能够查看“记录系统”并与该系统互动。区块链技术也被称之为分布式账本技术 (DLT)。借助区块链，可基于高价值有形资产（如房屋、钻石）与无形资产（如按揭、合同）的无障碍交易实现新的业务模式。可在包含客户、供应商、银行和合作伙伴的业务网络中提高参与者之间的联系，进而实现这一目的。通过共享共用账本，可更快、更有效地管理跨企业交易和流程（见图 1）。

图 1：业务网络中的分布式账本技术剖析

今天，大部分业务交易模式均建立在确保具有集中、权威的事实来源的基础之上，因此并不一定信任彼此的各相关方至少可以信任一家中央机构。各方通常拥有部分流程，而且各方在其各自公司系统内保留的数据之间也存在重叠部分。借助区块链，可通过加密和共识功能取代第三方中介机构，并籍此保留客户信任，而且所有区块链参与者均可证明其整体完整性。

区块链项目：从启动到生产

尽管共享式 IT 系统的业务优势显而易见，但从新的区块链的原始概念到工作生产系统的转变仍可谓是一种巨大的飞跃。区块链是一种相对新颖的技术，而且该技术的实施需要一系列新的技能和功能。作为区块链技术领域的思维领导者，IBM 在区块链领域经验丰富且进行了大量的投资，因此可确保避免管理复杂的多方 IT 项目这一陷阱。

IBM 是开放源码项目的领导者，同时也是 Linux Foundation 超级账本项目的最大贡献者，在该项目中，我们自行实施了区块链。在 2016 年初，该项目联盟的成员将 IBM 的项目负责人选为该项目的主席。IBM 已投入了大量资源来开发超级账本项目。此外，IBM 还是区块链咨询领域的领导者，其服务团队专注于我们的金融服务领域。IBM 的全球数字代理 iX 也能够与客户互动，进而有助于设计新的区块链用例。此外，借助 IBM Bluemix Garage 和用于用例识别的 Design Thinking 方法，可加速开发系列区块链应用。因为 IBM 在交付大型 IT 项目方面具有丰富经验，因此我们可以提供全面的功能以确保在新的区块链项目的各个阶段均能获得成功。

今天，IBM 技术精湛的从业人员与全球很多正在进行原型设计并交付新的区块链系统的企业开展了合作。成功的关键在于充分信赖区块链联盟中的每个部分以及交付生产系统所采用的技术。

IBM 的区块链项目
超级账本项目由 IBM、Cisco、Intel、Linux Foundation 以及其他公司提供支持，而且已经创建了基于标准的开源区块链平台以加速采用并开发相关服务。Linux Foundation 的超级账本项目旨在借助区块链实现真正的业务价值。IBM 已向 Linux Foundation 开源项目提供了 44,000 行代码，而且积极改进了业务应用的区块链网络。

IBM 非常重视安全性，目前正在与 Linux Foundation 的超级账本项目进行协作，旨在确保区块链网络本身能够进行自我验证，同时确保不可改变性并避免降级。此外，IBM 的产品还专注于区块链子集实施，该实施仅限于已通过身份服务器验证的已知合作伙伴和值得信赖的合作伙伴。这就是超级账本项目为何采用更适合于业务网络而非公有 DLT 的联盟/私有分布式账本技术 (DLT) 的原因。
区块链网络的基本功能包括：将共享账本作为单一事实来源、业务逻辑智能合同、通过安全（加密）实现防篡改、采用数字资产作为记录存储库等等。IBM 区块链计划通过超级账本项目添加以下功能，籍此大幅提高其满足业务需求的能力：
• 授权（参与者身份）
• 私有（不可链接身份）
• 可设计性（身份和所有权）
• 共识方法（模块协议）
• 机密性（许可控制）
• 通过架构和平台方面的长期体验实现可扩展性

Linux Foundation 的超级账本项目旨在提供最安全、可用的区块链实施方案，非常适于大型企业及其合作伙伴借助超级账本项目构建新的可信系统。
适用于区块链的新的云服务：高度安全业务网络 (HSBN)
现在，区块链网络既可作为一种 IBM 公有云产品，也可作为能够在 Linux 上进行部署的一种内部自托管技术（见图 2）。

图 2：IBM 区块链产品（均可超级账本网络上运行）

IBM 具有两种能够借助 IBM Bluemix 让区块链应用在公有云基础架构上运行的产品。
1) 我们的多用途云产品 Starter Plan，以 IBM Softlayer 为基础；
2) 新的区块链云产品高度安全业务网络 (HSBN) 最初在 7 月 14 日发布时为测试版，后自 10 月 20 日起作为普遍可用版本推出。
HSBN 可为云生产环境提供独特的安全和合规价值，而且在区块链 PoC 入门部署选项方面颇具灵活性。
HSBN 以 IBM LinuxONE（见图 3）为基础，可提供一系列独特的区块链应用功能，具体包括：
• 具有彼此独立、高度安全的环境，能够将 HSBN 与其他托管在云端的产品区别开来；
• 操作系统、网络和节点均可在 IBM Secure Service Container 中共存；
• 进行性能优化，可实现对等通信、可用性、可扩展性和加密。

图 3：HSBN on IBM LinuxONE 可在多客户拓扑中运行独立区块链网络

因此，IBM 客户可在模拟生产部署的非常安全的云环境中对其具有 4 个以上节点的认证中心区块链网络进行测试。

区块链 HSBN 云服务产品自 2016 年 10 月 20 日之后普遍可用。随后，还会推出一种内部部署版本。
这种自托管的内部部署超级账本版本可在 Docker 容器中封装，由 IBM 提供支持，同样自 2016 年 10 月 20 日之后全面推出。

利用 LinuxONE 或 Linux on z Systems 在内部运行区块链应用

若要实施区块链，不仅要求具备一流的服务质量（尤其在安全方面），而且还要求具有卓越的性能、弹性、可扩展性并且可与现有系统进行集成。在这种情况下，我们理所当然会选择借助 LinuxONE 和 z Systems 来交付我们在该领域的一流产品。71% 的 财富 500 强企业针对其最可信的核心系统采用了 z Systems，而且该平台可以承担大量开发工作，进而使开发人员能够专注于开发其他新的业务关键应用。

安全

防篡改区块链保护和数据滥用保护均与其共享网络业务模型直接相关。如果区块链的完整性受影响，那么其共享网络业务模型也会失效。

IBM 的 LinuxONE 旨在最大程度上保护区块链实施，而区块链实施取决于参与者对于部署的信任程度。

实体分离

区块链网络包含多个在多租户配置中托管的实体。所需的第一级保护在于保护彼此的实体，以便确保租户之间不存在漏洞。

如果两个竞争对手均为同一经授权区块链的成员，则必须将他们的各自信息予以分离，确保他们仅能查看并参与彼此均感兴趣的活动。

平台在维持横向安全性方面的能力可通过评估保证级别或 EAL 标准进行认证。大部分平台依赖于基于软件的隔离，因此大部分操作系统和虚拟化管理程序的评估保证等级仅为 EAL4（中级到高级）。

IBM 的 LinuxONE 可进一步实施隔离，进而将固件和硬件进行分离。这种技术被称之为逻辑分区 (LPAR)，可实现 EAL5 级别的安全性（最高级别的商用认证之一）。

垂直保护

LPAR 技术能够保护两种实体，但该网络也需要防止网络犯罪。如今，通过特权用户的帐户实施攻击威胁是最严重的漏洞之一。在这种垂直攻击中，黑客会盗用很多 IT 员工所拥有的全权限访问凭证来非法访问数据或进行相关操作。

借助基于 LPAR 构建的技术，可防止 LinuxONE 上的区块链实施受到垂直攻击。IBM 的 Secure Services Container（见图 4）是一种特别的 LPAR，可在类似于设备的安全、已签署、可信的容器中压缩所有软件。

图 4：LinuxONE 或 Linux on z Systems 的 Secured Service Container 分区剖析

可利用固件验证软件未被篡改，或防止在运行后访问分区。如果区块链环境安装在 Secure Services Container 中，则该环境根本无法操作。

Secured Service Containers 可提供以下最高级的安全功能：
• 防止滥用特权用户凭证：可防止根用户、系统管理员或其他特权用户访问或滥用区块链操作环境和数据。
• 防止安装恶意软件。
• 防止对等节点有意或无意将信息从一方环境泄露至另一方。
• 高度安全：在 SSC 中保护身份、通信和数据隐私。对于我们的普遍可用版本而言，可利用我们的防篡改加密卡（见下一节）实施“安全密钥”，进而提升安全性。

保护加密数据

IBM z Systems LPAR 技术可防止横向操作，而 Secure Services Container 技术可防止垂直操作。不过，特权用户仍可对区块链容器内的数据进行快照。除非用户可以访问加密密钥，否则该数据将会进行加密，而且毫无用处。因此，保护这些密钥是确保整体安全方案成功的关键。

为了实现加密密钥的最高级别安全性，LinuxONE 采用专用的防篡改加密卡（Crypto Express5S 卡），该加密卡可在硬件内的 Secure Enclave 内存储加密密钥。籍此，IBM 解决方案便可实现最高级别的安全合规标准（已认证为最高级别 FIPS 140-2 第 4 级）。

IBM z Systems 可为区块链应用提供其他关键属性（性能、集成和可用性）

确保区块链应用完全安全非常重要，但也应处理其他服务级别考虑事项，包括性能、可扩展性、可用性以及与其他应用进行集成。

性能

区块链实施了新的“记录系统”，但共享了事务性应用所需的很多属性；其事务处理率高达数百个事务/每秒；共识计算速度非常快；区块链块快速且可扩展,可读取并写入相应功能；可加速加密。

IBM 的 LinuxONE 产品和 Linux on z Systems 专业引擎 (IFL) 可交付大型应用所需的高容量向上扩展/向外扩展。此外，IBM 的 LinuxONE 产品和 Linux on z Systems 专业引擎还可确保能够通过其可扩展 I/O 系统、超大容量存储器空间 (10TB)、业内速度最快的商业微处理器以及规模最大的缓存（z 运行 Open Source 软件的速度比 Intel 平台快 2-3 倍）来交付并处理大量数据。IBM 的 LinuxONE 产品和 Linux on z Systems 专业引擎还可借助区块链加密和区块链密码的内置片上加速器利用平台硬件。

此外，LinuxONE 服务器还可提供利用 CPACF（CP 协助密码术功能）和 SIMD（单指令多数据）进行芯片上硬件加速。CPACF 和 SIMD 能够将加密速度提高至软件加密的 32 倍。

可扩展性

区块链应用规模的设置颇具挑战性：对等节点的数量取决于网络之中内部合作伙伴和外部合作伙伴的数量以及项目的具体成熟度。共识算法和加密需求将对资源消耗产生影响。此外，由于事务在通常的主要班次之外的事件也会运行，因此交易高峰时期很有可能不可预知，而且会不同于典型的办公室开放时间。
IBM 的 LinuxONE 产品以及 Linux on IBM z Systems 可提供无可匹敌的向上扩展功能，而且可借助几乎无限的扩展推动应用的发展。LinuxONE 最多具有 141 个核心引擎、10TB 内存和 640 个专用 I/O 处理器，可处理要求苛刻的工作量。借助按需扩容 (CoD) 功能，无需中断或由微码激活，即可增加容量。

可用性

区块链应用依赖于能够在多个节点分布工作负载的共享式账本。不过，由于所有对等节点均参与到共识和账本复制的网络中，因此如果某个节点发生宕机，则可能会影响到整个网络（例如再也不可能达成共识），或者当网络恢复时，对等节点可能无法恢复共享式账本。如可重建节点，则需要花费时间并具备处理能力，而且在重建阶段，服务级别可能会受到影响。因此，更为可取的做法是确保高可用性，而非依赖于恢复网络。

IBM 的 LinuxONE 和 Linux on IBM z Systems 产品可提供市场上的大部分可用服务器。此产品无与伦比的设计点有助于：
• 通过所有关键系统组件的内置冗余功能以及各种测试和故障分析防止出现错误。
• 利用各种错误检测和纠正功能隔离问题。
• 不中断地安装、升级并维护硬件和固件，避免出现宕机。
• 利用自动故障转移功能加速恢复并将系统影响降至最低。这样就产生了领先的业务连续性和灾难恢复解决方案 (GDPS)，可确保实现自动、可靠、快速恢复以及既定站点交换。

借助这些功能，LinuxONE 和 IBM z Systems 能够启用需要全天候可用性的区块链系统。

集成

不同账本的客户端网络必须能够调用现有应用并查找其他记录系统上的交易。示例可能为基于 CICS、IMS、DB2 或批处理系统的事务处理中间件的 SCM 或 ERP 系统。

在 IBM z Systems 上，可利用现有应用对区块链进行共同定位，而这些应用对于网络中的单个业务至关重要。可通过这种共同定位并利用 API 和微服务等新技术以最优的方式集成区块链和当前的业务流程。
通过对现有 z/OS 系统上具有数据和交易的区块链对等节点进行共同定位，可将 z/OS 数据访问的延迟降低 20%，并将吞吐量提高 100% 以上。Hipersockets 和共享式内存 (Shared Memory) 本地通信可将区块链链码/智能合同应用以及 z/OS 上的现有工作负载之间的延迟通信降至最低。此外，通过采用 Hipersockets，无需对区块链和 z/OS 之间的流量进行加密。

结论
IBM 的 LinuxONE 和 Linux for z Systems z Systems 可为高度安全、灵活且可适应性强的区块链应用。这些应用可确保业务合作伙伴之间能够互相信任、协作，并取得客户信任。z Systems 拥有各行业企业内的可信 IT 系统的经验证的跟踪记录。
IBM 的 High Security Blockchain Network 可作为一种云服务提供，直接利用 LinuxONE 的高级托管功能，并显著降低新的区块链系统的入门价格。企业可选择从这种云产品开始，或借助 LinuxONE 或 Linux on z Systems 在内部实施区块链应用。
IBM 是唯一能够帮助您成功实施区块链的企业，该公司为超级账本项目作出了重大贡献，具备多个行业的专业咨询知识，而且现在还推出了多款针对区块链托管的云解决方案和内部部署解决方案。
区块链已成为新的风向标，而 IBM 能够帮助您抓住这一机遇。

作者
Daniel Kohen，执行架构师，WW zChampion 区块链工作组领导者
Nick Dudeney, zClient 架构师，WW zChampion 区块链工作组领导者
Richard Gamblin，数字转型架构师 – WW zChampion API/移动工作组领导者
感谢以下人员对于本项目的贡献：
Andrea Corbelli，zSystems 和 LinuxONE 技术销售经理
Iain Neville，IBM z Systems 执行 IT 专家
Paul DiMarzio, z Systems 分析、认知、IoT 和区块链全球组合营销经理
Bryan Gobin，特殊情况战略师和区块链 SME
Thomas Shepherd，执行 IT 专家 - 经认证的 IBM 思维领导者 - IBM zChampion - Mobile on z Systems 领导者
Shuhichi Hayashi, zChampion、zCA（zClient 架构师）
Kentaroh Ishimatsu, zChampion、IT 架构师、IBM Systems HW 销售人员
Karsten Johannsen，高级管理解决方案销售人员 - BDE Systems HW 解决方案
Nigel Williams, z Systems API 支持和安全 IT 专家
Eric Phan, z Systems IT 专家
Guillaume Hoareau，区块链和主机安全 IT 架构师