© 2016 IBM Corporation

高安全高性能区块链云服务平台 构建技术探索

IBM 中国系统与科技实验室 & IBM 大中华区系统部

安全 概述 案例 性能 部署 服务

© 2016 IBM Corporation

安全

概述

案例

性能

部署

服务

背景介绍

�基于分布式共享账本的区块链技术由于其不可篡改、可追溯、智能合约自动执行等优势可以有效帮助减少和消除业务摩擦，重新定义未来业务网络的结构并创造业务转型的新机遇

� 但是，区块链技术的发展尚处于相对早期的发展阶段，由于分布式账本的架构对于共识实现，账本复制及认证加密等方面的严苛要求，区块链网络的性能和扩展能力、共享账本及密钥安全保护等方面还面临很大的挑战和制约

� 硬件平台基于区块链技术特点所进行的针对性优化可以帮助有效缓解软件架构带来的对于新技术研究和推广造成的制约，从而促进企业利用区块链技术更早更快实现各种业务创新

� IBM在2016年10月份对外正式发布了基于IBM Bluemix的高安全区块链商业网络云服务(High Security Business Network，简称HSBN)，这种高安全高性能的区块链云服务到底是如何打造的？它是否也可以基于非IBM公有云的环境实现？此文档主要针对IBM在如何构建HSBN方面做了关键技术实现方面的概要阐述，其目的在于帮助客户或合作伙伴在自身的云环境中同样可以打造出类似的高安全高性能的区块链云服务，从而更快推动区块链应用的研究探索甚至规模化的推广以及为各种商业网络联盟的形成奠定坚实的技术基础。

2

IBM区块链产品/服务(均运行超级账本架构)

Docker

超级账本架构

基于IBM Bluemix 云进行管理 自我管理

*.* 任何 Docker 环境

IBM Blockchain Starter for Developers

公测 正在 IBM Bluemix 上面测试！

IBM Blockchain for High Security Business

Networks(HSBN)

GA 现已通过 IBM Bluemix 提供！

高安全商业网络 (High Security Business Network)

起步者 (Starter)

在几秒钟内开始编写链码

高性能和预留容量

集成式仪表板、日志和工具

业界一流的安全性、隔离性和细则支持

适用于合规和取证的成熟审计 环境

社区示例、教程和快速 启动指南

GA

IBM 为 x86、Power 和 z Systems 提供技术支持

GA

https://hub.docker.com/r/ibmblockchain/fabric/

支持超级账本架构 GA

IBM BlueMix服务计划：高安全商业网络（HSBN）

起步者计划 高安全计划

目的 开发 模拟商业网络

4 节点 + 证书颁发机构

通过 Bluemix 提供注册、监视、配置和文档仪表板

通过 SoftLayer 提供网络连接

云调配和自劣服务启劢

通过 Bluemix 提供服务管理与计费

通过 Bluemix 提供客户支持

环境 共享式多租户 隔离式单一租户

安全服务容器 (Secure Service Container)

业界最高的隔离水平

符合严格监管行业的要求（HSM 中保护的密钥）

提升性能

* 在 GA 版本中提供

�隔离的、高度安全的环境，与众不同的云托管平台

�操作系统、区块链节点及运行环境均为安全服务容器所保护，提供更让人放心的区块链云环境

�基于安全服务容器的BaaS还提供安全快速的通信、更高可用性及可扩展性、硬件加密和安全加密的虚拟机等性能优化选项

�基于硬件加密模块(HSM)保护的密钥

*

IBM 云服务计划

超级账本项目

© 2016 IBM Corporation

安全

概述

案例

性能

部署

服务

HSBN 探秘之安全实现

�区块链技术由于其账本为各方所共享，账本的安全是重中之重需要考虑的部分，在进行平台选型时必须在数据及应用的存储、访问和审计等多维度进行考察，以保证账本及应用的安全、不可篡改和访问控制。另外，区块链应用会涉及到频繁的加密、解密以及大量哈希计算，区块链的平台是否有专门的设计和加强高效的支持这些加解密的要求尤为重要。

�软件架构结合部署平台针对性的能力优化为以上要求提供了很多针对性的设计和支持， HSBN基于LinuxONE实现：

- 基于固件实现的安全服务容器(SSC)，帮助有效防范来自内部及外部的各种潜在风险，确保账本数据及账链代码的安全

- 利用协处理器及SIMD寄存器及指令集支持各种加密算法大幅提升性能

- 所有商业服务器中最高的EAL5+分区安全隔离等级，确保多个区块链账本、账链代码、节点协同部署时的安全隔离

- 利用PCIe密码卡支持进行秘钥保护，充分保障秘钥安全

5

© 2016 IBM Corporation

安全

概述

案例

性能

部署

服务

HSBN 探秘之安全服务容器

6

© 2016 IBM Corporation

安全

概述

案例

性能

部署

服务

HSBN 探秘之性能提升

�性能 1. LinuxONE通过内臵的CPACF芯片进行HASH运算，将哈希性能提升近十倍

2. SIMD指令集将椭圆曲线加密的速度提升了数十倍, 同时大幅节省CPU开销

3. 基于HyperLedger官方性能测试工具Busywork: - LinuxONE使用2颗IFL处理器即可达到350TPS，4颗达到700TPS，随后吞吐率线性增长，

12颗时达到2000TPS。 - 同等测试场景下，基于多台x86服务器进行测试最好性能不超过400TPS。

4. 安全服务容器在充分保证区块链系统和数据安全的前提下仍然能够保持高效，性能无下降

7

© 2016 IBM Corporation

安全

概述

案例

性能

部署

服务

�部署架构 1. 区块链的分布式架构不同于大家所熟悉的分布式架构，此分布式非彼分布式。

2. 正常情况下，基于区块链的每一笔交易需要所有验证节点参与达成共识，并且每一笔交易在每一个验证节点都需要执行。

3. 对于一个繁忙的业务而言，这种架构对于节点间通讯及每个节点的处理能力提出了很高的要求。

4. 对于企业私有链或多企业共建的联盟链而言，基于统一环境进行部署并基于逻辑分布式架构进行配臵可以更高效的满足上述的要求(a distributed configuration on a centralized environment)。

5. LinuxONE基于逻辑分布式的部署架构可以很好的提供高可用高吞吐的区块链网络（与物理分布式相比，基于LinuxONE的逻辑分布式部署模式可以提升7倍吞吐 以及 82%响应时间提升 ）

8

HSBN探秘之部署架构

� 区块链账本由一个机构的多个部门或者多个机构持有和共同维护

区块链架构

� 多个节点共同构成一个分布式网络

� 网络中的每个节点都保持全量数据的一份拷贝 � 网络中的每个验证节点都承担全量工作

� 频繁的共识及账本复制需要导致增加节点集群整体处理能力未必随之增大（甚至会减少）

� 传统分布式架构由同一个机构持有 传统分布式架构

� 多个节点共同构成一个分布式集群 � 集群中的每一个节点承担全量工作的一个子集 � 集群中的每一个节点保存全量数据的一个子集

� 当集群节点的信息交互经过优化后，随着集群规模的扩大集群的业务处理能力可以随之增大

您也可以轻松构建高安全高性能企业级区块链云服务平台

IBM LinuxONE +

超级账本 (Hyperledger)

为企业级区块链 落地提供最强保障

9 商用服务器中最高等级国际安全认证(EAL 5+)

9 独有安全服务容器(SSC)设计杜绝来自内外部

的数据及代码的未授权访问

9 针对区块链常用加密算法在硬件/微码/超级账

本等方面进行专门优化并大幅提升性能(10x

Hash/50x ECC)

9 强大扩展能力轻松支持区块链业务的快速成长

9 与现存关键数据和交易系统无缝衔接

9 分布式配臵+集中化平台高效规避网络瓶颈(7x

吞吐/减少 82% 响应时间)

9 全冗余架构为关键节点提供最高等级稳定性

从哪里起步

High Security BaaS Consensus as a Service Identity/CA as a Service

LinuxONE 社区云 https://developer.ibm.com/linuxone/

IBM中国系统中心 LinuxONE云平台

9

培训/研讨会 原型测试

动手体验

高安全BaaS

© 2016 IBM Corporation

安全

概述

案例

性能

部署

服务

� IBM在区块链基础技术平台的研究及各行业区块链业务应用方面均投入了大量的资源，针对客户和合作伙伴的具体需求，IBM在企业级区块链应用探索研究及规划投产方面可以给客户提供最为专业化的支持和保障

�可定制的专业化服务 1. 区块链技术培训

2. 区块链业务场景研讨（结合IBM专业的设计思维方法论）

3. 区块链应用设计

4. 区块链应用开发和试投产支持

5. 区块链基础技术平台的部署规划和实施（保护区块链相关技术组件及底层平台的实施）

6. 超级账本 Fabric相关问题的支持

7. 区块链运行底层平台及相关软件（非超级账本 Fabric部分）的技术支持

* 除了现场服务支持团队之外，还有官方提供的本地及全球实验室二线、三线技术支持体系

（ 中国本地实验室可以提供HyperLedger Fabric以及Linux技术平台及相关软件端到端服务支持 ）

10

IBM可以提供的增值专业化服务