基于区块链非同质化代币的软件订阅模型

在软件销售场景中软件订阅和支持模式将成为主流,同时中心化授权在效率和安全性上受服务端限制。针对存储订阅信息的服务端可能遭受攻击导致盗版问题,提出基于非同质化代币的软件订阅模型,编写以太坊智能合约并利用去中心化方案保证订阅信息不可篡改。应用非同质化代币表示软件订阅,在区块链上映射软件订阅的生命周期,软件订阅流程依据代币原生操作完成,同时支持订阅购买者和销售商通过与智能合约交互实现安全的软件销售。根据订阅流程中智能合约调用的手续费开销,在模式设计层面选择发布-订阅区块链预言机,解决以太币汇率变化等相关问题,在系统设计层面设计链上存证和链下支付策略,使得订阅服务流程中的交易手续费不受以太坊主网行情的影响。实验结果表明,该模型通过非同质化代币完整映射软件订阅场景,并保障信息的可信、公开和不可篡改。     

一种基于区块链的物联网攻击防御方案

为了解决目前物联网装置资源有限而导致的安全防护能力弱的问题,同时摆脱传统的中心化安全防护模式带来的单点故障和信任问题,可以采用一种去中心化的模式对物联网装置的身份信息进行可信存储和管理,用于防御通过假冒装置身份信息对物联网发起的攻击。区块链因其去中心化、不可篡改、可溯源等技术特征,为实现在去中心化模式下的物联网装置的安全防护提供了设计思路。针对上述物联网安全防护中可能存在的问题,提出了一种基于区块链的物联网攻击防御方案,以去中心化的方式可信地存储和管理装置身份信息,使得装置可以利用链上的身份信息确认通信双方的合法性。基于以太坊平台及其支持的智能合约技术,设计了物联网装置的攻击防御方案,通过创建以太坊私有链进行方案的仿真实验,结果证明了该方案的可行性。     

ContractGuard：面向以太坊区块链智能合约的入侵检测系统

以太坊智能合约本质上是一种在网络上由相互间没有信任关系的节点共同执行的已被双方认证程序。目前,大量的智能合约被用于管理数字资产,使智能合约成为黑客的重要攻击对象。常见的攻击方法是通过利用智能合约的漏洞来实现特定操作的入侵攻击。ContractGuard 是首次提出面向以太坊区块链智能合约的入侵检测系统,它能检测智能合约的潜在攻击行为。ContractGuard 的入侵检测主要依赖检测潜在攻击可能引发的异常控制流来实现。由于智能合约运行在去中心化的环境以及在高度受限的环境中运行,现有的IDS技术或者工具等以外部拦截形式的部署架构不适合于以太坊智能合约。为了解决这些问题,通过设计一个嵌入式的架构,实现了把 ContractGuard 直接嵌入智能合约的执行代码中,作为智能合约的一部分。在运行时刻,ContractGuard通过相应的context-tagged无环路径来实现入侵检测,从而保护智能合约。由于嵌入了额外的代码,ContractGuard一定程度上会增加智能合约的部署开销与运行开销,为了降低这两方面的开销,基于以太坊智能合约的特性对 ContractGuard 进行优化。实验结果显示,可有效地检测 83%的异常行为,其部署开销仅增加了36.14%,运行开销仅增加了28.17%。     

智能合约自毁案例探析

随着区块链近年的迅速发展,以太坊由于其开源性及图灵完备的特点,逐渐成为区块链最流行的平台,部署在以太坊上的智能合约数量呈现出一个爆发性的增长。基于此,笔者首先回顾了区块链以及智能合约的发展历程,在其基础上分析了智能合约Self-Destruct(自毁)的原因,最后通过两个案例来说明智能合约自毁背后可能隐藏的恶意攻击。     

一种基于运行时信息的以太坊智能合约防御技术

智能合约是区块链技术最成功的应用之一,已经被广泛集成到应用程序中,成为应用去中心化的常见实现方案.然而,智能合约由于其独有的金融特性,一直以来饱受安全攻击,各种新的恶意攻击类型层出不穷.现有的研究工作提出了多种有效检测合约漏洞的方法,但在实际应用中都存在着各种局限:仅针对已知的漏洞类型,需要修改合约代码来消除漏洞,链上开销过大.由于智能合约部署到链上后的不可修改性,这些针对特定漏洞类型的检测防御手段无法对原有的合约进行修复,因此很难及时地应对新型的漏洞和攻击.为此,提出了一种基于运行时信息的智能合约可升级防御技术,通过引入运行时的各种信息,为链下对攻击和漏洞的检测提供实时的数据.同时,设计了一套部署在合约上的访问控制机制,基于动态检测的结果,对合约的访问进行限制,从而在不需要修改合约代码的情况下实现动态的防御.由于以太坊本身的机制无法对实时攻击进行识别和拦截,为了减小这一影响,利用竞争(race condition)的机制来增强防御的效果.实验结果分析表明:该防御技术可以有效地检测并防御攻击,对于后续的攻击交易,可以实现100%的拦截成功率,对于首次检测到的实时攻击,利用竞争可以达到97.5%的成功率.     

基于区块链智能合约的代币系统

针对传统代币中存在的公信力不足、监管困难等问题,结合区块链和智能合约技术,设计了一种去中心化的区块链代币系统。以此区块链代币系统为基础,通过部署代币合约、众筹合约,构建了一个基于区块链的众筹系统,实现了基本的众筹功能。同时设计了资金管理合约,实现了众筹成功后对发起者的监督和资金的管理。最后通过以太坊平台进行系统测试,分析了该代币系统的功能性、安全性以及时间性能。结果表明,基于区块链的代币系统在实现代币基本功能的同时,能够有效提升代币的安全性和功能性。     

基于符号执行的智能合约漏洞检测方案

随着区块链技术的应用推广,智能合约的数量呈现爆发式增长,而智能合约的漏洞将给用户带来巨大损失。但目前研究侧重于以太坊智能合约的语义分析、符号执行的建模与优化等,没有详细描述利用符号执行技术检测智能合约漏洞流程,以及如何检测智能合约常见漏洞。为此,在分析以太坊智能合约的运行机制和常见漏洞原理的基础上,利用符号执行技术检测智能合约漏洞。首先基于以太坊字节码构建智能合约执行控制流图,再根据智能合约漏洞特点设计相应的约束条件,利用约束求解器生成软件测试用例,检测常见的整型溢出、权限控制、Call注入、重入攻击等智能合约漏洞。实验结果表明,所提检测方案具有良好的检测效果,对Awesome-Buggy-ERC20-Tokens漏洞库中70份含漏洞的智能合约的漏洞检测正确率达85%。     

结合区块链技术的改进K-匿名激励机制方案

在基于位置服务中,[K]-匿名激励机制可以激励移动用户帮助其他用户实现[K]-匿名位置的隐私保护。然而,目前的[K]-匿名激励机制方案存在过度中心化、易单点失效、用户参与积极性不足等问题。当前,基于区块链的智能合约技术具有去中心化、安全性高、可验证等特性,可用来有效构建可编程金融,为解决[K]-匿名激励机制存在的问题提供了新思路。该方案结合区块链智能合约技术与改进的[K]-匿名激励算法,基于以太坊实验环境开发了[K]-匿名激励机制系统,将公有区块链中通用代币作为激励发放给参与用户,提出了一种可以提高参与用户积极性的保证金准入机制。相较于相关工作,改进后的激励算法在[K]-匿名组合生成方面节省了30%~40%的时间开销,该算法由智能合约实现,合约在区块链上自动执行,从而保证激励机制的安全性及可信性。     

面向智能合约链上升级的松耦合模型研究

针对已部署到区块链上的智能合约无法实现升级的问题,结合以太坊技术提出了一种松耦合的新型智能合约模型。该模型将传统的智能合约拆分为接口合约集、逻辑合约集、数据合约集三个子集。以此松耦合智能合约模型为基础,设计了一个客户实名转账获取代币的业务场景,通过部署代币合约、接口合约、逻辑合约和数据合约,实现了基本的实名转账功能。最后通过以太坊平台进行系统测试,分析了实名转账场景的功能性、可升级性及成本花销。结果表明基于该模型设计的智能合约,在实现基本功能的同时,能够允许在上链之后对其合约子集进行升级,且能有效降低升级成本,相比传统的链下升级方案,松耦合模型合约的升级成本降低了32.43%,部署成本仅增加了24.16%。     

基于区块链的智能门禁可信监控系统

为解决传统智能门禁中用户生物特征易被盗取、监控数据易被伪造等问题,提出一种基于以太坊区块链的智能门禁监控系统。利用智能合约将用户身份信息与监控数据写入区块链,配合硬件设计的身份识别与入侵检测,实现链上链下的协同工作,有效避免集中管理造成的数据篡改以及暴力窃取链下用户信息等潜在问题。根据区块链不可篡改的特性,利用代理合约实现智能合约的升级,达到提升系统扩展性的目的。实验结果表明,在保证身份识别以及监控数据可信的基础上,系统性能可以达到实际应用所需效果。     

智能合约安全漏洞研究综述

智能合约是一种基于区块链平台运行,为缔约的多方提供安全可信赖能力的去中心化应用程序。智能合约在去中心化应用场景中扮演着重要的角色,被广泛地应用于股权众筹、游戏、保险、物联网等多个领域,但同时也面临着严重的安全风险。相比于普通程序而言,智能合约的安全性不仅影响合约参与多方的公平性,还影响合约所管理的庞大数字资产的安全性。因此,对智能合约的安全性及相关安全漏洞开展研究显得尤为重要。本文系统分析了智能合约的特性及其带来的全新安全风险;提出了智能合约安全的三层威胁模型,即来自于高级语言、虚拟机、区块链三个层面的安全威胁;并以世界上最大的智能合约平台——以太坊为例,详细介绍了15类主要漏洞;并总结了智能合约安全研究在漏洞方面的进展和挑战,包括自动漏洞挖掘、自动漏洞利用和安全防御三个方面的研究内容;最后,本文对智能合约未来安全研究进行了展望,提出了两个潜在的发展方向。     

区块链中攻击方式的研究

随着以数字加密货币为代表的区块链1.0技术和以以太坊为代表的区块链2.0技术的发展,区块链技术的安全性成为了研究热点问题,区块链系统的数据层、网络层、共识层、激励层、合约层与应用层均存在可被攻击者利用的漏洞,本文通过分析比特币、以太坊等平台中常见的攻击方式,提出了全新的区块链中攻击方式的分类方法,本文提出的攻击分类方法体现出不同攻击方式间的差异性与关联性,并从多个角度归纳了各类攻击的特点,最后,本文根据各类攻击特点总结了区块链中攻击方式的预防措施和检测方法,并指出了区块链中攻击问题的未来研究方向.     

Decentralized cloud manufacturing-as-a-service (CMaaS) platform architecture with configurable digital assets

Contemporary Cloud Manufacturing-as-a-Service (CMaaS) platforms now promise customers instant pricing and access to a large capacity of manufacturing nodes. However, many of the CMaaS platforms are centralized with data flowing through an intermediary agent connecting clients with service providers. This paper reports the design, implementation and validation of middleware software architectures which aim to directly connect client users with manufacturing service providers while improving transparency, data integrity, data provenance and retaining data ownership to its creators. In the first middleware, clients have the ability to directly customize and configure parts parametrically, leading to an instant generation of downstream manufacturing process plan codes. In the second middleware, clients can track the data provenance generated in a blockchain based decentralized architecture across a manufacturing system. The design of digital assets across a distributed manufacturing system infrastructure controlled by autonomous smart contracts through Ethereum based ERC-721 non-fungible tokens is proposed to enable communication and collaboration across decentralized CMaaS platform architectures. The performance of the smart contracts was evaluated on three different global Ethereum blockchain test networks with the centrality and dispersion statistics on their performance provided as a reference benchmark for future smart contract implementations.     

Cooperative Detection Method for DDoS Attacks Based on Blockchain

Distributed Denial of Service (DDoS) attacks is always one of the major problems for service providers. Using blockchain to detect DDoS attacks is one of the current popular methods. However, the problems of high time overhead and cost exist in the most of the blockchain methods for detecting DDoS attacks. This paper proposes a blockchain-based collaborative detection method for DDoS attacks. First, the trained DDoS attack detection model is encrypted by the Intel Software Guard Extensions (SGX), which provides high security for uploading the DDoS attack detection model to the blockchain. Secondly, the service provider uploads the encrypted model to Inter Planetary File System (IPFS) and then a corresponding Content-ID (CID) is generated by IPFS which greatly saves the cost of uploading encrypted models to the blockchain. In addition, due to the small amount of model data, the time cost of uploading the DDoS attack detection model is greatly reduced. Finally, through the blockchain and smart contracts, the CID is distributed to other service providers, who can use the CID to download the corresponding DDoS attack detection model from IPFS. Blockchain provides a decentralized, trusted and tamper-proof environment for service providers. Besides, smart contracts and IPFS greatly improve the distribution efficiency of the model, while the distribution of CID greatly improves the efficiency of the transmission on the blockchain. In this way, the purpose of collaborative detection can be achieved, and the time cost of transmission on blockchain and IPFS can be considerably saved. We designed a blockchain-based DDoS attack collaborative detection framework to improve the data transmission efficiency on the blockchain, and use IPFS to greatly reduce the cost of the distribution model. In the experiment, compared with most blockchain-based method for DDoS attack detection, the proposed model using blockchain distribution shows the advantages of low cost and latency. The remote authentication mechanism of Intel SGX provides high security and integrity, and ensures the availability of distributed models.     

基于数据流传播路径学习的智能合约时间戳漏洞检测

智能合约是一种被大量部署在区块链上的去中心化的应用. 由于其具有经济属性, 智能合约漏洞会造成潜在的巨大经济和财产损失, 并破坏以太坊的稳定生态. 因此, 智能合约的漏洞检测具有十分重要的意义. 当前主流的智能合约漏洞检测方法(诸如Oyente和Securify)采用基于人工设计的启发式算法, 在不同应用场景下的复用性较弱且耗时高, 准确率也不高. 为了提升漏洞检测效果, 针对智能合约的时间戳漏洞, 提出基于数据流传播路径学习的智能合约漏洞检测方法Scruple. 所提方法首先获取时间戳漏洞的潜在的数据传播路径, 然后对其进行裁剪并利用融入图结构的预训练模型对传播路径进行学习, 最后对智能合约是否具有时间戳漏洞进行检测. 相比而言, Scruple具有更强的漏洞捕捉能力和泛化能力, 传播路径学习的针对性强, 避免了对程序整体依赖图学习时造成的层次太深而无法聚焦漏洞的问题. 为了验证Scruple的有效性, 在真实智能合约的数据集上, 开展Scruple方法与13种主流智能合约漏洞检测方法的对比实验. 实验结果表明, Scruple在检测时间戳漏洞上的准确率, 召回率和F1值分别可以达到0.96, 0.90和0.93, 与13种当前主流方法相比, 平均相对提升59%, 46%和57%, 从而大幅提升时间戳漏洞的检测能力.