智能合约安全与实施规范研究

自区块链2.0时代以来,以智能合约为代表的第二代区块链平台及应用呈爆发式增长,但随之而来的智能合约安全事件也频繁发生。区块链3.0时代,智能合约因其固有的去信任化、自动性、防篡改、可追溯等技术特性,必将被广泛应用。但是,在此前景之下,智能合约的安全性成为了区块链生态安全的基石。文章创新地提出了智能合约3.0—智慧合约的概念,并基于智能合约基础架构研究了智能合约安全威胁,提出了一套基本的智能合约安全实施规范,旨在为智能合约安全实施提供参考与借鉴。     

智能合约自毁案例探析

随着区块链近年的迅速发展,以太坊由于其开源性及图灵完备的特点,逐渐成为区块链最流行的平台,部署在以太坊上的智能合约数量呈现出一个爆发性的增长。基于此,笔者首先回顾了区块链以及智能合约的发展历程,在其基础上分析了智能合约Self-Destruct(自毁)的原因,最后通过两个案例来说明智能合约自毁背后可能隐藏的恶意攻击。     

智能合约漏洞检测工具研究综述

智能合约是区块链平台实现交易的重要组件,为多方交易间信任问题提供了一种有效的解决方案.智能合约不仅管理高价值代币还具有不可更改等特性,导致近年来智能合约多次遭受安全威胁.目前出现了大量关于智能合约安全性的研究,其中智能合约漏洞检测成为主要关注点.文中系统分析了智能合约安全问题,从是否执行合约的角度将漏洞检测工具分为静态检测工具和动态检测工具,并对检测工具进行对比分析,重点分析现有检测工具的漏洞检测能力,介绍了 16种检测技术的原理及优缺点;最后,对如何提高智能合约安全性进行展望,提出了 3个可能提高智能合约安全性的研究方向.     

智能合约安全漏洞研究综述

智能合约是一种基于区块链平台运行,为缔约的多方提供安全可信赖能力的去中心化应用程序。智能合约在去中心化应用场景中扮演着重要的角色,被广泛地应用于股权众筹、游戏、保险、物联网等多个领域,但同时也面临着严重的安全风险。相比于普通程序而言,智能合约的安全性不仅影响合约参与多方的公平性,还影响合约所管理的庞大数字资产的安全性。因此,对智能合约的安全性及相关安全漏洞开展研究显得尤为重要。本文系统分析了智能合约的特性及其带来的全新安全风险;提出了智能合约安全的三层威胁模型,即来自于高级语言、虚拟机、区块链三个层面的安全威胁;并以世界上最大的智能合约平台——以太坊为例,详细介绍了15类主要漏洞;并总结了智能合约安全研究在漏洞方面的进展和挑战,包括自动漏洞挖掘、自动漏洞利用和安全防御三个方面的研究内容;最后,本文对智能合约未来安全研究进行了展望,提出了两个潜在的发展方向。     

基于区块链和智能合约的物联网访问控制架构

为解决传统的中心化的物联网(Internet of Things,IoT)访问控制解决方案中存在的单点失效、规模受限等安全问题,基于以太坊区块链和智能合约技术,采用中心化与去中心化相结合的方法,提出了一个面向IoT的访问控制架构.该架构中设计了多个访问控制合约、一个设备管理合约、一个管理员管理合约等多种合约,来实现去中...     

智能合约安全漏洞检测研究进展

智能合约是运行在区块链合约层的计算机程序,能够管理区块链上的加密数字货币和数据,实现多样化的业务逻辑,扩展了区块链的应用.由于智能合约中通常涉及大量资产,吸引了大量攻击者试图利用其中的安全漏洞获得经济利益.近年来,随着多起智能合约安全事件的发生(例如TheDAO、Parity安全事件等),针对智能合约的安全漏洞检测技术成为国内外研究热点.提出智能合约安全漏洞检测的研究框架,分别从漏洞发现与识别、漏洞分析与检测、数据集与评价指标这3个方面分析现有检测方法研究进展.首先,梳理安全漏洞信息收集的基本流程,将已知漏洞根据基础特征归纳为13种漏洞类型并提出智能合约安全漏洞分类框架;然后,按照符号执行、模糊测试、机器学习、形式化验证和静态分析5类检测技术对现有研究进行分析,并讨论各类技术的优势及局限性;第三,整理常用的数据集和评价指标;最后,对智能合约安全漏洞检测的未来研究方向提出展望.     

面向智能合约漏洞检测的改进符号执行研究

由于区块链不可窜改的特性,部署到区块链上的智能合约不可更改.为了提高合约的安全性,防止智能合约出现整数溢出、短地址攻击、伪随机等问题,在合约部署之前需对合约进行漏洞检测.针对智能合约的整数溢出漏洞利用符号执行进行分析研究,对现有符号执行方法进行调查发现检测速度较慢,从而提出一种自底向上求解约束的改进符号执行方法,并结合深度优先与广度优先进行路径选择从而提高符号执行的代码覆盖率.实验结果表明,改进符号执行在选取的100份含溢出漏洞的智能合约中检测正确率达84％,平均检测效率提高了20％,在中等规模智能合约中检测效率提升显著,检测结果正确率较高.     

智能合约安全综述

区块链为构建社会价值传递和信任机制提供了一种新的技术。区块链的快速发展促进了智能合约与人工智能、大数据、物联网等技术的深入融合,其安全性受到重点关注。近几年,区块链与智能合约安全研究取得了较大进展,基于区块链智能合约,对智能合约的运行机制、链上安全和链外安全的最新相关研究成果进行归类、分析、比较、总结和讨论,并展望了智能合约安全性的研究方向和趋势。     

智能合约的合约安全和隐私安全研究综述

区块链作为对等网络中的一种分布式账本技术,集成了密码学、共识机制、智能合约等多种技术,提供一种新型信任体系构建方法.智能合约具有公开透明、实时更新、准确执行等显著特点,在区块链中为信息存储、交易执行和资产管理等功能的实现提供了更安全、高效、可信的方式.但是,智能合约本身仍然存在安全问题,影响了区块链技术的进一步推广使用.所以,近年来围绕智能合约安全问题的相关研究比较多,为了帮助相关人员更好地理解和掌握其中的研究思路,本文采用Mapping Study方法,通过收集2015年以来公开发表的关于智能合约安全问题的各类文献,并进一步通过文献筛查、问题设置、信息提取、结果获取和分析等步骤,总结智能合约安全相关研究的现状和未来发展趋势如下:(1)目前智能合约自身面临的安全问题和挑战主要体现在合约安全和隐私安全两方面(问题和挑战).在调查的45篇文献中,有29篇文献针对合约安全,16篇文献针对隐私安全;(2)智能合约安全保障目前采用的方法主要包括形式化验证、模糊测试、零知识证明、可信执行环境等(保障方法);(3)针对合约安全的研究目前主要集中在合约实现、测试阶段,而针对智能合约设计、部署及运维阶段的研究比较少;针对隐私安全的研究主要集中在合约数据隐私保护,而针对合约代码隐私安全的比较少(覆盖范围);(4)智能合约安全保障研究目前主要从合约实现人员、合约测试人员的角度进行,而从合约维护人员和合约用户角度展开的研究较少(研究角度);(5)未来研究应该围绕智能合约的全生命周期的每个阶段安全问题进一步推进,先验方法和后验方法、定性方法和定量方法、静态方法和动态方法的结合是大势所趋(发展趋势).综上,本文通过调研发现了现有研究的不足,并建议了进一步的研究方向.     

BETASCO: 面向智能合约分片的联盟区块链系统

基于区块链的去中心化应用已在加密数字货币、云存储、物联网等多个领域提供健壮、可信且持久的服务, 然而区块链的吞吐能力难以满足去中心化应用日益增长的性能需求. 分片是当前主流的区块链性能优化技术, 但现有的区块链分片主要面向用户和用户之间的转账交易, 并不完全适用于以智能合约调用交易为主的去中心化应用. 针对此问题, 设计并实现面向智能合约分片的联盟区块链系统BETASCO. BETASCO为每个智能合约提供一个分片作为独立执行环境, 通过基于分布式散列表的合约定位服务将交易路由至目标智能合约所在的分片, 并通过智能合约间的异步调用机制满足跨智能合约的通信和协作需求. BETASCO通过节点虚拟化允许一个节点加入多个分片, 支持同一组节点上多个智能合约的并行执行. 实验结果表明, BETASCO整体吞吐能力可随智能合约数量的增加而线性增长, 且执行单个智能合约的吞吐能力与HyperLedger Fabric相当.     

Elastic Smart Contracts in Blockchains

In this paper, we deal with questions related to blockchains in complex Internet of Things (IoT)-based ecosystems. Such ecosystems are typically composed of IoT devices, edge devices, cloud computing software services, as well as people, who are decision makers in scenarios such as smart cities. Many decisions related to analytics can be based on data coming from IoT sensors, software services, and people. However, they are typically based on different levels of abstraction and granularity. This poses a number of challenges when multiple blockchains are used together with smart contracts. This work proposes to apply our concept of elasticity to smart contracts and thereby enabling analytics in and between multiple blockchains in the context of IoT. We propose a reference architecture for Elastic Smart Contracts and evaluate the approach in a smart city scenario, discussing the benefits in terms of performance and self-adaptability of our solution.      

基于区块链智能合约的数字身份可验证凭证零知识认证和管理架构

数字身份认证和管理系统是计算机和互联网应用的安全基础设施,当前的数字身份认证和管理系统暴露出了许多的问题,例如,数字身份的中心化存储和管理、数字身份的自主权特性较差、数字身份的隐私无保障、数字身份的认证过程不公开透明等。伴随着区块链技术的发展,其去中心、防篡改、可追溯和安全透明等特点受到了越来越多的关注,各种基于区块链的数字身份认证和管理架构相继出现,然而这些架构仍然不同程度存在上述问题。对此,本文将区块链智能合约技术、非交互式零知识证明技术、可验证凭证数字身份等结合,提出了一个基于区块链智能合约的数字身份可验证凭证零知识认证和管理架构,并详细描述了架构角色和协议流程等,其中,在协议流程中,服务提供商根据服务授权要求构造零知识证明约束条件验证程序,用户基于该程序生成零知识证明,该零知识证明可以在不透露身份和私钥的情况下向服务提供商证明用户是身份的所有者,且身份满足服务授权要求,而服务提供商对零知识证明的认证和管理等都是在智能合约中完成的,实现了认证和授权的公开透明和安全。此外,本文设计了该架构的原型系统,并基于原型系统,评估了架构中智能合约的成本和时间开销,同时讨论了基于智能合约进行零...     

智慧楼宇通信技术架构及关键技术研究

为满足智慧楼宇中复杂的应用场景的通信需求,本研究对智慧楼宇的通信网络架构进行研究,通信网络采用线性、环形和树形多种结构,通信层采用BACnet通信网络标准协议,使楼宇中复杂专有的设备得到统一的管理和调配。采用STM32F103ZET6处理器对通信网关进行设计,支持并行和串行通信方式,具有RS-485接口和CAN接口,使用TJA1050芯片作为接口控制器。根据智慧楼宇中的网络负载情况提出基于队列的MAC协议的通信网络,路由节点从接受到的数据包中提取队列长度指示符,并更新序号列表和时隙分配列表进行动态时隙分配。实验结果显示本研究通信网络的平均数据包延迟时间最短,数据包延迟时间低于300ms,在数据负载突发时段,数据包延迟时间保持在500ms以下。     

DC-Hunter:一种基于字节码匹配的危险智能合约检测方案

近年来，智能合约中的漏洞检测任务已受到越来越多的关注。然而，缺少源代码和完备的检测特征限制了检测的效果。在本文中，我们提出了DC-Hunter：一种基于字节码匹配的智能合约漏洞检测方案。它可以通过已知的漏洞合约找到类似的漏洞合约，并且可以直接应用于现实世界中的智能合约，无需源码和预先定义的漏洞特征。为了让提出的方法更加切实可行，我们应用程序切片来降低无关代码的影响，通过规范化减少编译器版本带来的差异，并使用图嵌入算法来捕捉函数的结构信息，从而显著减少误报和漏报。此外，借助DC-Hunter我们揭露了一种新型的危险合约。我们发现有一些合约是伪漏洞合约，专门用于诱骗他人尝试进行攻击，从而窃取攻击者的以太币，这种合约称为"蜜罐合约"。我们实现了DC-Hunter的原型，并将其应用于现实世界的智能合约，共有183份危险的合约被报出并确认，其中包括160份漏洞合约和23份蜜罐合约。     

Characterizing and Detecting Gas-Inefficient Patterns in Smart Contracts

Ethereum blockchain is a new internetware with tens of millions of smart contracts running on it.Different from general programs,smart contracts are decentralized,tamper-resistant and permanently running.Moreover,to avoid resource abuse,Ethereum charges users for deploying and invoking smart contracts according to the size of contract and the operations executed by contracts.It is necessary to optimize smart contracts to save money.However,since developers are not familiar with the operating environment of smart contracts(i.e.,Ethereum virtual machine)or do not pay attention to resource consumption during development,there are many optimization opportunities for smart contracts.To fill this gap,this paper defines six gas-inefficient patterns from more than 25,000 posts and proposes an optimization approach at the source code level to let users know clearly where the contract is optimized.To evaluate the prevalence and economic benefits of gas-inefficient patterns,this paper conducts an empirical study on more than 160,000 real smart contracts.The promising experimental results demonstrate that 52.75%of contracts contain at least one gas-inefficient pattern proposed in this paper.If these patterns are removed from the contract,at least 0.30 can be saved per contract.     

Hybrid Smart Contracts for Securing IoMT Data

Data management becomes essential component of patient healthcare. Internet of Medical Things (IoMT) performs a wireless communication between E-medical applications and human being. Instead of consulting a doctor in the hospital, patients get health related information remotely from the physician. The main issues in the E-Medical application are lack of safety, security and privacy preservation of patient’s health care data. To overcome these issues, this work proposes block chain based IoMT Processed with Hybrid consensus protocol for secured storage. Patients health data is collected from physician, smart devices etc. The main goal is to store this highly valuable health related data in a secure, safety, easy access and less cost-effective manner. In this research we combine two smart contracts such as Practical Byzantine Fault Tolerance with proof of work (PBFT-PoW). The implementation is done using cloud technology setup with smart contracts (PBFT-PoW). The accuracy rate of PBFT is 90.15%, for PoW is 92.75% and our proposed work PBFT-PoW is 99.88%.     

一种智能合约微服务化框架

区块链具有分布式、不可篡改、去中心化、历史可追溯等特点,但难以落地.智能合约的引入,有效地解决了这一难题.然而,智能合约的开发和运维存在部署效率低、监控工具不成熟等问题.受DevOps自动化工具支持微服务持续交付、持续监控的启发,针对上述问题,提出了一种用于智能合约微服务化改造的框架.随后,结合支持DevOps的工具设计原型平台Mictract,完成智能合约的部署和监控.在Hyperledger Fabric官方链码Marbles上的案例研究表明,该框架和原型平台能够显著提升智能合约部署和监控的自动化水平.     

基于双网架构的智能家居系统研究与设计

智能家居系统的关键是建立一个高可靠性、易安装又便于控制的网络。目前不管采用Lonworks有线技术还是Zigbee无线技术组网,都有各自的缺点和局限性。本文提出了一种基于Lonworks-Zigbee双网架构的智能家居系统解决方案,并从系统组成、硬、软件实施、关键技术等环节进行了详细的分析和阐述。     

面向合同的智能合约的形式化定义及参考实现

智能合约是区块链系统的核心组件,在现实中广泛应用.然而,目前没有关于智能合约的统一定义,在不同的区块链平台上,智能合约的实现也相差甚远.这样将影响公众对智能合约的认知,也对产业的发展造成障碍.回顾了智能合约的发展历史,梳理其概念的变化过程.归纳智能合约的本质,对现有智能合约的实现进行了分析和对比.给出了面向合同的智能合约的形式化定义,为智能合约的标准化奠定基础.提出了独立于区块链平台的、通用的智能合约实现方法.在目前广泛应用的联盟链区块链平台Hyperledger Fabric上面进行了具体实现.最后对未来工作进行了展望.