區塊鏈安全研究綜述
發布時間:2020-01-13所屬分類:計算機職稱論文瀏覽:1次
摘 要: 摘要:區塊鏈是一種去信任化的分布式新型計算范式�����,是一種帶激勵的基于博弈論共識的分布式賬本技術.區塊鏈的出現促進了信息互聯網向價值互聯網的轉化����,加快了可編程貨幣、可編程金融和可編程社會的產生.區塊鏈對金融����、物聯網、征信等領域勢必會產生革命性的
摘要:區塊鏈是一種去信任化的分布式新型計算范式�����,是一種帶激勵的基于博弈論共識的分布式賬本技術.區塊鏈的出現促進了信息互聯網向價值互聯網的轉化�����,加快了可編程貨幣�����、可編程金融和可編程社會的產生.區塊鏈對金融��、物聯網����、征信等領域勢必會產生革命性的影響,在提高生產效率、降低生產成本以及保護數據安全等方面����,區塊鏈將發揮重要的作用.區塊鏈對數據安全、網絡安全將產生積極的影響�����,同時區塊鏈本身也面臨著嚴重的安全問題�����,受到研究者的廣泛關注.本文將分層介紹區塊鏈的基本技術原理.重點從算法����、協議、使用�����、實現����、系統的角度出發,對區塊鏈的技術存在的安全問題進行分模塊介紹�����,討論區塊鏈面臨的安全問題的本質原因�����,主要分析協議安全性中的共識算法問題����、實現安全性中的智能合約問題、以及使用安全性中的數字貨幣交易所安全問題.最后��,分析了現有區塊鏈安全保護措施存在的缺陷�����,給出了區塊鏈安全問題的解決思路����,并明確了區塊鏈安全的未來研究方向.
關鍵詞:區塊鏈;安全;智能合約;分布式系統;共識算法
i前言
區塊鏈起源于中本聰的論文[1],在論文中并沒有直接提出“blockchain”這個詞�����,而是提到了“achainofblock”.2009年誕生的比特幣就是世界上第一個去中心化的數字加密貨幣����,這之后加密貨幣一詞多指此類設計��,比特幣是目前為止區塊鏈最成功的應用�����,目前已有上千種以區塊鏈技術作為底層技術的加密貨幣��,其中的一些加密貨幣也受到了人們的認可��,例如萊特幣����、以太幣M等等.現存的加密貨幣大多由兩種方式產生����,一種是在已有加密貨幣的基礎上做改進,這種方式中最有代表性的是在比特幣基礎上做硬分叉�����,例如比特幣現金(BCH)��、比特幣黃金(BCG)等等.另外一種方式就是完全原創的加密貨幣����,這種方式最有代表性的就是以太幣����、EOS?.并且大多數的加密貨幣都有自己的特性�����,例如達氏幣《��、門羅幣W��、零幣W等以隱私保護為特性;EOS�����、ZILm等以交易速率為特性.當然并不是所有的加密貨幣都對應著—條區塊鏈��,真正有區塊鏈的加密貨幣非常少����,大多數的加密貨幣都僅僅是有一個虛擬的概念.區塊鏈最開始的應用領域僅僅局限在加密貨幣�����,后來逐漸向更多的金融領域拓展.隨著2013年以太坊的誕生,區塊鏈的應用領域逐漸向其它方面拓展����,其中智能合約與區塊鏈的結合起到了主要的作用.以太坊的應用中,以Cryptokitties為代表的區塊鏈游戲和發行TOKEN是最有代表性的����,然而受到交易速率以及隱私保護方面缺陷的影響,以太坊的現實應用仍然比較局限.2015年��,Hyperledger項目推出�����,其中以IBM為主要貢獻者的Fabric項目受到了大家的廣泛認可.Fabric考慮到現實的應用環境�����,犧牲了部分去中心化的特性��,在隱私保護與交易速率方面基本滿足現實應用需求.
目前區塊鏈的應用領域已經十分廣泛��,2018年由工業和信息化部主編的《2018年中國區塊鏈產業白皮書》中提到了供應鏈金融����、物聯網等22個重點應用領域.當然區塊鏈的應用領域并不僅僅局限在這22個領域����,任何高價值數據的管理��、流通與共享都可以用區塊鏈.另外區塊鏈在數據安全�����、網絡安全方面也起到重要的作用.美國國防部正在嘗試利用區塊鏈技術創建一個黑客無法入侵的安全信息服務系統��,北約也在探索使用區塊鏈技術開發下一代軍事系統��,以實現北約網絡防御平臺的現代化��,我軍也在積極探索區塊鏈在軍事領域的應用價值.區塊鏈在越來越多的重要場景中被應用��,在這些場景中安全性是非常重要的�����,但是目前區塊鏈本身存在嚴重的安全問題.從2016年的“TheDAO”事件開始����,區塊鏈上智能合約的安全問題層出不窮.據不完全統計�����,從2011年到2018年4月份,區塊鏈安全事件中��,共識機制安全事件造成的損失達3100萬美元��,礦工安全事件損失的金額達6328美元��,普通用戶安全事件造成的損失達1.73億美元��,智能合約安全事件造成的損失達12.4億美元����,交易平臺安全事件造成的損失達13.44億美元,其他安全事件造成的損失達1260萬美元.
本文第2節將介紹區塊鏈的基本技術原理��,第3節對區塊鏈安全的背景知識進行介紹����,主要對區塊鏈安全進行分類,分為算法安全��、協議安全����、實現安全��、使用安全和系統安全��,并將區塊鏈安全分類與區塊鏈基礎架構進行對應.第4節將按照第3節中對區塊鏈安全的分類分別對區塊鏈安全問題進行分析.第5節將針對第4節中的區塊鏈安全分析討論并給出相應的區塊鏈安全應對機制以及未來研究方向.第6節將對全文進行總結.
2區塊鏈基礎技術原理
區塊鏈起源于比特幣�����,比特幣是最簡單也是最典型的區塊鏈架構.后期的區塊鏈也基本延續了比特幣的基礎架構�����,主要由數據層、網絡層����、共識層、激勵層��、合約層和應用層構成.但是隨著區塊鏈的發展��,區塊鏈的基礎架構已經不完全按照這6個模塊構建��,一些傳統的模塊己經被弱化��,甚至被丟棄,同時一些新的模塊也被采用.例如����,以Fabric為代表的聯盟鏈缺少了激勵模塊,而增加了相應的身份認證模塊;以IOTA間和Byteball間為代表的有向無環圖(directedacyclicgraph�����,DAG)放棄了傳統的單鏈模式��,采用了圖的交易結構.根據目前區塊鏈的發展趨勢��,將區塊鏈的技術框架分為4個模塊����,具體如圖1所示.
2.1網絡層
網絡層負責區塊鏈節點之間的通信,主要包括區塊鏈網絡的組網方式和區塊鏈節點之間的通信機制.在組網方式上�����,區塊鏈采用對等網絡(peer-to ̄peernetworking����,P2P)的組網技術,具有去中心化的特性.不同的區塊鏈節點分布在不同的物理位置��,且所有節點的關系平等,不存在中心權威節點.目前規模最大的區塊鏈網絡是比特幣�����,近一年可訪問的比特幣節點數量平均為10589個�����,主要來自美國����、德國、中國��、法國等國家.
P2P通信是區塊鏈中一切活動的前提�����,根據結構關系可以將P2P系統細分為四種拓撲形式@1:
(1)中心化拓撲�����,即存在一個中心節點保存了其他所有節點的索引信息����,索引信息一般包括節點IP地址、端口����、節點資源等.由于去中心的要求,目前區塊鏈不會使用中心化拓撲的P2P網絡.
(2)全分布式非結構化拓撲����,移除了中心節點,在P2P節點之間建立隨機網絡����,就是在一個新加入節點和P2P網絡中的某些節點間隨機建立連接通道,從而形成一個隨機的拓撲結構����,比較典型的是Gnutella.比特幣也采用的是類似的網絡結構,但是����,比特幣通常使用像TorrentTracker的IRC通道來找到連接到節點的節點.
3)全分布式結構化拓撲的P2P網絡主要是采用分布式散列表(distributedhashtable)組織網絡,所以也稱作DHT網絡.
(4)半分布式拓撲吸取了中心化結構和全分布式非結構化拓撲的優點�����,選擇性能較高的結點作為超級節點�����,超級節點需要索引其他部分節點的信息,網絡中流轉的包首先在超級節點轉發�����,然后才是超級節點傳遞給葉子節點��,這樣信息傳播速度可以得到保證.
2.2交易層
交易層是實現區塊鏈系統任務的具體內容部分��,可以在滿足共識條件后�����,使得兩個地址之間完成價值數據的傳遞.基于賬本和基于UTXO的交易模式中��,交易層信息主要包含輸入部分����、輸出部分和交易信息部分.但是隨著對區塊鏈效率的更高要求,NXT社區提出了有向無環圖與區塊鏈結合的方式來存儲交易信息��,這個時候更多還是類似側鏈的解決思路��,不同的鏈條存儲不同類型的交易�����,在之后某個節點需要合并的時候�����,幾個分支再歸并到一個區塊.真正將DAG與區塊鏈結合的是IOTA的Tangle協議����,Tangle里的一個Bundle可以包含多個TX信息,其中某些交易可以是價值TX包括token的收入和支出��,也可以是非價值TX包括一段數據?與比特幣區塊相比�����,Bundle通常TX含量非常少�����,而且可以被節點獨立完成并提交到公共賬本中�����,下表給出Bundle和比特幣Block的對比.
交易信息不僅可以是代幣數量��,也可以是存儲信息索引、證書ID�����、智能合約代碼等.智能合約是一套以數字形式定義的承諾����,在比特幣中智能合約以腳本方式完成簡單的延遲交易和條件交易,在以太坊中的虛擬機中實現了可以編寫智能合約的圖靈完備腳本語言.隨著區塊鏈體系結構的進步����,智能合約也可能會有新的表現形式.
2.3共識層
共識層中封裝的是相應的共識算法,正如TechTarget的解釋“在計算機科學中�����,共識算法是一種用在分布式過程或系統中�����,實現單一數據值的協議”�����,分布式過程中各個節點表現不一致��,所以共識算法必須要有一定的容錯能力.常見的共識機制有工作量證明共識(proofofwork����,PoW)、權益證明共識(proofofstack����,PoS)、實用拜占庭容錯協議(practicalByzantinefaulttolerance�����,PBFT)授權權益證明共識(delegateproofofstack����,DPoS)、基于DAG的共識�����,Paxosl12]共識算法以及對Paxos改進的共識RAFT【13〗等.
PoW可以容忍小于1/2的錯誤節點����,是迄今為止使用最為廣泛的共識機制,但是此類共識要求計算大量的哈希會造成資源浪費問題和中心化問題
.PoS是針對PoW缺陷產生的替代技術�����,用戶必須具有系統中的一些權益,每次投票都會消耗掉用戶的權益�����,這使得如果在使用PoS的區塊鏈系統中進行51%攻擊更加困難.正如以太坊研宄員VladZamfir提到的��,在PoS中重復51%攻擊的代價,可類比為每增長一個攻擊區塊,都會毀掉所有礦機.
PBFT可以容忍小于1/3的錯誤節點��,已經被HyperledgerFabric0.6采用.PBFT使用了較少的共識參與者,因此運行非常高效��,但是不足之處在于是中心化程度過高�����,不能作為公有鏈共識.
在DPoS共識中����,所有擁有token的節點都是權益持有者,權益持有者按照權益投票選舉見證者����,再由見證者代表自己進行投票共識.通常見證節點采用輪詢方式��,一個節點只能產生一個區塊�����,這樣可以防止“雙重支付攻擊”,一旦見證節點做壞��,權益持有者就會投票決定其退出并選擇其他更好的見證者.
基于DAG的共識算法可以支持高并發的共識�����,從結構上提高了區塊鏈的可擴展性��,但是以DAG作為基礎架構的區塊鏈項目IOTA����,由于早期采用了中心化協調器來保證系統的可用性,因此存在一些安全性隱患.
RAFT是一種可以形式化證明安全性的共識算法�����,通過邏輯分離保證狀態的一致性�����,與PBFT相同,RAFT也被部署在Fabric0.6中作為可插拔的組件起作用.
相關論文推薦:區塊鏈隱私保護研究綜述
摘 要 區塊鏈技術的核心特征是“去中心化”和“去信任化”�����,作為分布式總賬技術�����、智能合約基礎平臺����、分布式新型計算范式,可以有效構建可編程貨幣�����、可編程金融和可編程社會�����,勢必將對金融及其他領域帶來深遠影響����,并驅動新一輪技術變革和應用變革.但是區塊鏈技術在提高效率�����、降低成本����、提高數據安全性的同時�����,也面臨嚴重的隱私泄露問題�����,得到研究者的廣泛關注.將介紹區塊鏈技術架構����,定義區塊鏈技術中身份隱私和交易隱私的概念����,分析區塊鏈技術在隱私保護方面存在的優勢和不足,并分類描述現有研究中針對區塊鏈隱私的攻擊方法�����,例如交易溯源技術和賬戶聚類技術;然后詳細介紹針對區塊鏈網絡層、交易層和應用層的隱私保護機制����,包括網絡層惡意節點檢測和限制接入技術、區塊鏈交易層的混幣技術�����、加密技術和限制發布技術�����,以及針對區塊鏈應用的防御機制;最后��,分析了現有區塊鏈隱私保護技術存在的缺陷��,展望了未來發展方向.此外�����,還討論針對惡意使用區塊鏈技術的監管方法.
