http://www.nulj.cn

首页 所有文章 归档 留言 关于我

将供应链商业敏感隐私数据上链,你敢不敢?_微众银行区块链

编辑:李靖2020/6/20993次阅读阅读转载: 微众银行区块链

供应链是区块链的热门应用领域之一。区块链技术为其构建了一个透明可信的数据网络,促进供应链上下游企业数据流通,提升决策有效性,推动协同生产,实现供应链整体效率最大化。

随着贸易全球化与产业信息化的发展,供应链的重要性不言而喻。商品生产、销售过程不再由单一企业独立完成,而是由多家关联企业相互协作共同完成。

以手机供应链为例,从芯片设计、零部件生产、测试、组装、运输,再通过各地经销商辗转到商店出售,其中涉及供应商、制造商、分销商、零售商等多重角色,才最终到达消费者手中,而在这个过程中所形成的链式网络便是供应链。

类似地,我们日常生活接触的各类食品、药品、快消品、电子设备、汽车等,背后都离不开供应链的资源整合。

同样是多方协作的链式网络,区块链技术与供应链系统有很高的契合度,2019年世界经济论坛(The World Economic Forum)发布的《区块链在供应链中的包容性部署:数据保护》中提到——供应链是目前区块链和其他分布式账本技术发挥作用的最佳领域。

但是,该报告同时也强调——在供应链中应用区块链技术时,必须首先解决商业敏感隐私数据保护和数据合规的问题。

作为供应链系统中的各级参与企业,我们应该了解哪些供应链数据相关的隐私风险?如何用技术手段化解其背后的业务痛点?基于区块链构建的技术方案能够为现代供应链系统带来什么样的价值?且看本文一一分解。

 

隐私敏感的供应链数据

 

供应链联系着产品供应、制造、分销、零售等多环节的多个主体,更多的参与主体、更复杂的业务形态,带来了更加海量丰富的数据,其中不少属于商业敏感隐私数据,而正是这些商业敏感隐私数据让现代供应链系统得以高效运转,并对产品需求变化敏捷反应。

 

以流水线装配工“美丽”的一天为例——

早上开工时,美丽便收到销售前线产品需求上升的消息,下游企业为此向美丽增加了订单量。不巧的是美丽的上游企业由于设备更新无法满足新增需求,但通过供应链网络中数据,美丽得知另一家上游企业有额外库存,便联系该企业获得了所需零部件,顺利完成了最终交付。

 

在以上过程中,商业敏感隐私数据的流通,让供应链企业得以在生产资源缺乏的情况下仍然保持对市场需求快速反应。由此可见,及时有效地获得供应链数据,积极调整自身生产能力,并避免竞争对手获知,对于供应链企业来说,是重要竞争力指标。

一般而言,供应链中各项数据可以大致归类为 “四流”,即商流、信息流、资金流和物流,其中每一类都包含了大量商业敏感隐私数据。

除了数据本身的价值,基于以上供应链数据还可能进一步推断出商业合作模式、产品知识产权、商业合作关系、市场供求,甚至是国家之间相克相济的贸易往来等更机密、更宏观、更具战略性的敏感信息。

由此可见,这类商业敏感隐私数据若保护不当,贸然上链,势必会带来显著的隐私风险,并引发可能造成实际经济损失的各类商业风险。

供应链数据隐私保护的业务痛点

 

由于供应链数据的隐私敏感性,一般情况下,这些数据只能在有直接商业合作关系的供应链系统内实现局部流通。在充分竞争、虚实相间的商业大环境下,一方面,供应链企业希望了解行业整体的状况,以更好地调整自身战略,另一方面,又不希望公开自身的经营情况,导致竞争对手对自己知根知底。

 

因此,未来供应链升级若要通过行业大数据融合来提升行业整体效率,必须要解决的核心问题便是如何在有商业利益冲突的多个供应链系统之间实现供应链数据的互通互信。

 

这不仅仅是一个传统的信息安全问题,更关键的是在分布式多方协作供应链网络中构建出可信的数据生态,尊重每一个参与方的隐私诉求和商业利益,促成真实数据跨主体有序流通。针对实际业务场景,具体需要解决好以下四个层面的数据业务痛点。

1. 真实性

真实性主要指供应链数据在存储阶段不被篡改,从而保证数据正确性、完整性。

供应链中数据来源广、存储分散、数据库管理系统漏洞、经手主体内控不足等,都使供应链数据面临篡改、植入、替换、伪造风险。一旦发生,直接影响供应链产品及服务质量,风险也将由点及链地进行扩散。

举个例子,如果汽车安全带生产商随意篡改质检数据,导致大量未达标的安全带流入市场,由于安全带的质量直接关系使用者的生命安全,这不但会引起公众恐慌,还有可能波及与该安全带生产商合作的车企,产生巨大的经济和信誉损失,甚至挫伤整个汽车产业。

 

2. 流通性

流通性主要指供应链数据在传输过程中的正确性、完整性。

供应链本身就是各参与企业间相互协作的产物,其间上下游企业数据的流通传输决定着供应链的响应效率,譬如上游生产商和供应商若能第一时间获取下游仓库库存信息,则能迅速调整生产策略,实现合理的资源配置。但是目前供应链企业间对于数据流通传输的意愿、数据流通的形式均未能达成一致,数据流通过程中仍然存在种种安全问题亟待解决。

供应链数据流通中,各参与方体量不同、参与深度不同及信任不对等,导致大家对信息分享意愿不足。其次,即使有些参与方愿意推动数据流通,也未必能掌握正确方式,致使违规情况时有发生。最后,在合规流通的情况下,该如何保障数据可信传输仍然没有标准答案。

 

3. 隐私性

隐私性主要指供应链数据在存储、流通、分析等各阶段中不被泄露及滥用。

供应链数据本身就经手方众多,数据在存储、流通、分析等多个环节都面临着较高的隐私泄露风险。据2017年波耐蒙研究所(Ponemon Institute)发布的研究报告,能够接触敏感信息的第三方平均数量相较2016年增加25%,且发生数据泄露的企业中56%是由其供应商造成的。

直接泄露的供应链隐私数据,包括企业核心产权技术、供货信息,资金流转情况等,直接关乎链上企业核心竞争力和行业发展。更不能忽视的是,当泄露的隐私数据经大数据分析技术进一步挖掘、预测与衍生,将可能造成更严重的经济安全、社会稳定等威胁。

4. 合规性

合规性主要指供应链数据在各实体、各流程间对于监管审计机构介入的包容性。

监管审计机构对于供应链隐私数据的合规使用越来越关注,全球都相继出台了各项隐私保护与监管政策,譬如我国最近颁布的《数据安全法(草案)》,以及国际上欧盟颁布的《通用数据保护条例》(GDPR)等。

而供应链本身参与方多,数据量大,审计难度大,加之更多第三方数字合作伙伴的加入,全流程、全数据的审批、预警、跟踪和管控变得富有挑战。

 

在以上四个层面数据业务痛点中,满足数据真实性是供应链数据大融合产生价值的基础,也是区块链技术着重解决的核心业务问题,但只有数据真实性无法有效解决供应链商业数据流通的动机难题。数据再真实,但缺乏价值,难以流通,有合规风险,都会对供应链数据的融合与行业升级带来阻碍,所以需要引入新的隐私保护技术,解决好以上这些相互关联的数据业务痛点。

基于VCL的供应链数据隐私解决方案

 

WeDPR目前已开源的公开可验证密文账本(Verifiable Confidential Ledger, VCL)是一套基于区块链的隐私数据流通和验真解决方案,基于区块链分布式、具有存储计算能力的底层平台,结合密码学算法、零知识证明等前沿隐私保护技术,保证多个参与方无须互相信任就能够完成业务协作,天然适配供应链场景中竞合关系多样化的多方数据协作。

 

首先,通过基于VCL提供的可验证数据加密算法,供应链企业可以对商业敏感隐私数据进行加密保护,将数据密文和其数字签名,上传至区块链。区块链作为一个分布式、防篡改的数据源,保证了密文数据的安全存储,避免了供应链中各方由于数据管理漏洞或内控不足带来的数据篡改风险,以此满足了真实性的需求。

 

其次,VCL零知识证明功能,可以为多个密文数据之间的逻辑关系、算术关系提供高效的密文态有效性验证和最小化信息披露。供应链企业可以选择性地向需要披露信息的协作方,提供所需证明,例如,下游的总库存小于某个阈值,上游企业可以提高产量,而不用提供单个仓库具体的敏感库存数据。

 

相比之下,传统的数据哈希上链模式,无法做到在不披露数据明文的前提下实现链上数据的关联验证,在保障数据隐私性的过程中,牺牲了数据的流通性,限制了数据的效用。VCL则打破了这一限制,同时满足了流通性和隐私性的需求,消除了供应链企业潜在隐私顾虑,提升供应链各方参与数据协作的意愿。

 

最后,数据密文上链将会对传统的监管审计流程带来变革,以往需要通过在明文数据的基础上对供应链数据进行核验,审查其是否满足特定的指标阈值以及账目之间是否满足会计准则。对于这些确定性的数值关系检验流程,VCL零知识证明功能可以很大程度取代原有流程,并实现自动化数据审计和预警,同时基于链上数据难以篡改的特性,密文数据项内容和对应事件记录时间的真实性,都可以得到有效保证,由此满足了合规性的需求。

VCL提供了供应链商业敏感隐私数据上链的无忧体验,实现了链上数据“互通可验不可见”的隐私保护效果,能够有效满足供应链数据在有商业利益冲突的多个供应链系统之间实现互通互信,同时支持隐私保护下的监管审计诉求,每产生一个数值关系证明仅需毫秒,支持上万TPS并发吞吐量,具备有效支撑现代供应链系统中的大数据处理能力。

 

除了供应链之外,类似技术能力还能扩展到其他需要基于密文账本进行数据流通和融合应用场景。VCL提供数据隐私特性除了能够用于构建数据协作平台,激发参与机构进行隐私数据协作意愿之外,对于新一代监管科技的升级也很有价值。在下一话中,我们将着重以跨境贸易监管为例,解析其中的数据隐私需求和业务痛点,敬请关注下回分解。

VCL代码仓库地址:

https://github.com/WeBankBlockchain/WeDPR-Lab-Core

---END---

 往期集锦

 

第20论|双11过后,你的数据还好吗?

第19论|数字化契约如何守护?解析聚合签名的妙用

第18论|数字化契约如何守护?解析盲签名的妙用

第17论|数字化契约如何守护?解析多方门限签名的妙用

第16论|数字化契约如何守护?解析群/环签名的妙用

第15论|数字化契约如何守护?密码学数字签名共性解析

第14论|硬件化方案坚不可摧?揭秘可信硬件TEE的是非功过

第13论|密码学原语如何应用?走近门限密码算法

第12论|密码学原语如何应用?解析密文同态性的妙用

第11论|密码学原语如何应用?解析密码学承诺的妙用

第10论|密码学原语如何应用?解析密码学特有的数据编解码

第9论|密码学原语如何应用?解析单向哈希的妙用

第8论|密钥繁多难记难管理?认识高效密钥管理体系

第7论|密码密钥傻傻分不清?认识密码学中的最高机密

第6论|密码学技术如何选型?终探量子计算通信的安全模型

第5论|密码学技术如何选型?再探工程能力边界的安全模型

第4论|密码学技术如何选型?初探理论能力边界的安全模型

第3论|密码学技术何以为信?深究背后的计算困难性理论

第2论|隐私合规风险知几何?数据合规商用需过九重关

第1论|隐私和效用不可兼得?隐私保护开辟商业新境地

上下滑动查看更多
感谢阅读,如果觉得本文对您有帮助,请给我点个,或者把本文的网址复制分享其它好友。
本文网址:http://www.nulj.cn/k/1376.html复制
写博客不容易,服务器成本也很高,感谢谢支持。微信打赏红包

发表评论

李靖的博客

大家好,我是李靖,不是封神榜的托塔天王李靖。我只是一个普通的上班族,1991年出生于湖南邵阳市。我喜欢看书/看电影/摄影/打手游。感谢你访问我的博客,我在博客中会经常分享我喜欢的文章。创建这个博客记录生活,让我学会很多知识也认识了很多朋友。
关于我的更多资料>>

支持博主

写博客不容易,服务器成本也很高。您可以用微信给我发个小红包。疾风知劲草,板荡识诚臣。你的支持就是我的动力。谢谢!
垃圾信息处理邮箱tousu117@163.com icp备案号 粤ICP备10034762号 互联网安全管理备案 不良信息举报平台 Copyright 2021 www.nulj.cn All Rights Reserved