核心价值主张
"监管机构和第三方审计师可以独立检测日志篡改,无需信任日志生产者。"
1 执行摘要
VCP防篡改验证演示将合规从基于声明("请相信我")转变为基于证明("验证,而非信任"),通过展示:
- 传统日志如何在不被检测的情况下被篡改
- 加密哈希链如何在事件之间创建数学依赖关系
- 任何修改如何破坏链条并立即可被检测
- 第三方如何在不访问原始交易数据的情况下验证完整性
| 属性 | 值 |
|---|---|
| 类型 | 概念验证 / 教育演示 |
| 运行时 | 仅客户端(浏览器) |
| 外部依赖 | 无 |
| 构建要求 | 无(原生HTML/CSS/JS) |
| 加密API | Web Crypto API(浏览器原生) |
| 目标部署 | GitHub Pages / 静态托管 |
2 目的与目标
为监管科技公司、审计公司和合规官员提供一个可立即理解的防篡改技术演示:
- 可在5分钟内评估
- 无需技术设置即可在内部共享
- 可作为产品集成讨论的参考
- 可向非技术利益相关者(高管、合规负责人)展示
| 目标 | 成功标准 |
|---|---|
| 即时理解 | 用户在60秒内理解价值 |
| 零摩擦 | 无需安装、无需账户、无需配置 |
| 技术可信度 | 真实的加密操作(SHA-256) |
| 业务相关性 | 审计就绪的术语和输出 |
| 可共享性 | 可下载的证据包供内部分发 |
3 目标受众
主要受众
| 角色 | 需求 | 演示价值 |
|---|---|---|
| 监管科技产品经理 | 评估集成可行性 | 查看工作中的验证逻辑 |
| 合规官 | 了解技术能力 | 非技术性解释 + 证明 |
| 审计主管(四大) | 评估方法论有效性 | 加密验证步骤 |
| CTO / 工程VP | 技术尽职调查 | 源代码检查 |
次要受众
| 角色 | 需求 | 演示价值 |
|---|---|---|
| 监管机构(技术人员) | 了解验证机制 | 独立验证能力 |
| 机构客户(买方) | 评估经纪商透明度 | 防篡改日志的证据 |
| 开发者 | 实现参考 | 可复制粘贴的模式 |
4 事件数据模型
事件模式
{
"event_id": "string (UUIDv7格式)",
"trace_id": "string",
"timestamp_ms": "number (自纪元以来的毫秒数)",
"event_type": "string (SIG|ORD|ACK|EXE)",
"payload": "object",
"prev_hash": "string (64位十六进制 或 'GENESIS')",
"event_hash": "string (64位十六进制)"
}
事件类型
| 类型 | 名称 | 描述 |
|---|---|---|
| SIG | 信号 | AI/算法决策点 |
| ORD | 订单 | 订单创建 |
| ACK | 确认 | 交易所接受 |
| EXE | 执行 | 交易成交 |
5 加密实现
算法
SHA-256
输出
64位十六进制字符
实现
Web Crypto API
哈希计算
event_hash 计算方式如下:
event_hash = SHA-256(prev_hash + canonical_json(event_core))
规范化JSON
为确保确定性哈希计算,JSON按以下方式规范化:
- 键排序: 所有嵌套级别按字母顺序排列
- 稳定stringify: 一致的数字/字符串表示
- 无空格: 紧凑格式
关键洞察: 如果任何事件被修改,其event_hash将改变,下一个事件的prev_hash将不再匹配,链条被破坏,篡改被检测到。
6 篡改场景
演示实现了三种代表常见审计日志攻击的篡改场景:
负载修改(事后编辑)
审计术语:负载修改
内部人员在事后修改执行价格以隐藏抢跑证据。
目标: 第一个EXE事件(事件#3)
修改字段: payload.price
原值: "1.08523" → 篡改后: "1.09999"
事件删除(遗漏)
审计术语:遗漏,证据销毁
内部人员删除事件以隐藏订单确认证据。
目标: 第一个ACK事件(事件#2)
效果: 事件从链中移除
检测: prev_hash引用不存在的哈希
事件重排序(序列篡改)
审计术语:时间线操纵
内部人员交换事件顺序以误导执行时间线。
目标: 事件#2和#3
效果: ACK和EXE事件交换
检测: 交换点处的prev_hash链接断裂
7 证据包格式
证据包是包含完整审计文档的ZIP文件:
vcp-evidence-pack-{timestamp}.zip
├── original.jsonl # 原始事件链
├── tampered.jsonl # 篡改后的事件链
├── verification_report.json # 详细验证结果
└── README.txt # 验证说明
注意: 证据包包含审计师和监管机构进行独立验证所需的所有材料。
8 使用案例
监管科技潜在客户销售演示
场景:评估VCP集成的产品经理
"将此功能添加到您的产品中只需几天,而不是几个月。"
合规官员教育
场景:向非技术合规团队解释防篡改技术
"合规变成证明,而不是声明。"
审计公司技术评估
场景:四大审计团队评估方法论
"标准加密技术,可审计的实现。"
监管机构技术简报
场景:向监管机构技术人员展示
"无需数据披露即可独立验证。"
9 限制与范围
此演示能做什么
- 概念演示
- 教育工具
- 参考实现
- 验证逻辑证明
- 可共享的工件
此演示不能做什么
- 生产系统
- 实时能力
- 完整VCP实现
- 安全密钥管理
- 性能优化
10 相关标准
| 标准 | 相关性 |
|---|---|
| RFC 8785 (JCS) | JSON规范化方案 |
| NIST FIPS 180-4 | SHA-256规范 |
| RFC 4122 / RFC 9562 | UUID规范 |
| MiFID II RTS 25 | 监管背景 |
| EU AI Act Article 12 | AI日志记录要求 |
对演示或VCP集成有疑问?