徐蜜雪, 苑 超, 王永娟, 付金華, 李 斌

(數(shù)學(xué)工程與先進計算國家重點實驗室(信息工程大學(xué)),河南 鄭州 450001)

區(qū)塊鏈起源于 2008年中本聰發(fā)表的比特幣白皮書.比特幣的成功促進了密碼貨幣的發(fā)展,從萊特幣開始,成百上千種密碼貨幣出現(xiàn)[1].從2013年開始,越來越多的密碼貨幣愛好者和研究人員開始關(guān)注支撐密碼貨幣的區(qū)塊鏈.隨著研究的深入,區(qū)塊鏈已經(jīng)不僅應(yīng)用在以比特幣為代表的加密貨幣中,在數(shù)字存證[2]、公益募捐[3]、物聯(lián)網(wǎng)[4]、網(wǎng)絡(luò)安全[5]等方面都獲得了很好的發(fā)展.以比特幣和以太坊(Ethereum)為代表公有鏈[6]發(fā)展勢頭迅猛,以超級賬本(hyperledger)[7]為代表的私有鏈[8]和聯(lián)盟鏈也獲得了很好的發(fā)展.區(qū)塊鏈的核心是去中心化、去信任、防篡改、防偽造、可溯源[9],在任何高價值數(shù)據(jù)的存儲、管理與分享中,區(qū)塊鏈都有應(yīng)用價值.區(qū)塊鏈從整體上可分為以可編程貨幣為特征的區(qū)塊鏈1.0、以可編程金融為特征的區(qū)塊鏈2.0和以可編程社會為代表的區(qū)塊鏈3.0.目前,正處于區(qū)塊鏈2.0向區(qū)塊鏈3.0過渡階段[10].區(qū)塊鏈3.0的核心是區(qū)塊鏈應(yīng)用落地,但是目前,區(qū)塊鏈應(yīng)用落地面臨著很多的挑戰(zhàn),例如安全性和隱私保護的限制、吞吐率的限制、存儲的限制等等.而以IOTA[11]中采用的有向無環(huán)圖(directed acyclic graph,簡稱 DAG)[12]為代表的新一代分布式賬本技術(shù)正處于快速發(fā)展階段,為加快區(qū)塊鏈的應(yīng)用落地提供了借鑒.在區(qū)塊鏈快速發(fā)展的過程中,安全問題是始終需要面對的問題.私鑰丟失、智能合約代碼漏洞[13]、自私挖礦[14]等已經(jīng)出現(xiàn)的安全問題都或多或少對區(qū)塊鏈的存在與發(fā)展帶來了傷害.目前,對區(qū)塊鏈安全問題的解決方案大多集中在傳統(tǒng)安全性防御階段,例如算法改進[15-17]、共識算法改進[18]等,這些方案只能在一定程度上緩解區(qū)塊鏈的安全問題,并不能從根本上解決.

擬態(tài)防御[19]是一種新的網(wǎng)絡(luò)安全防御技術(shù),其核心是動態(tài)異構(gòu)冗余,旨在為解決網(wǎng)絡(luò)空間不同領(lǐng)域相關(guān)應(yīng)用層次上的基于未知漏洞、后門或病毒木馬等不確定性威脅.目前的區(qū)塊鏈可以理解為簡單的同構(gòu)冗余,每個節(jié)點存儲相同的數(shù)據(jù),每個共識節(jié)點在每一個共識輪采用相同的共識算法,每個節(jié)點采用同樣的固定的簽名算法.這種同構(gòu)的靜態(tài)的結(jié)構(gòu)為攻擊者提供了便利,也是目前區(qū)塊鏈面臨安全性威脅的根本原因.本文將利用擬態(tài)防御技術(shù)核心的動態(tài)異構(gòu)冗余架構(gòu)(dynamic heterogeneous redundancy,簡稱DHR)[20],在區(qū)塊鏈原有的同構(gòu)冗余的基礎(chǔ)上增加動態(tài)、異構(gòu)的成分,從簽名機制和共識機制兩個角度構(gòu)建動態(tài)異構(gòu)區(qū)塊鏈,增強區(qū)塊鏈的安全性.這種思想被認為是一種區(qū)塊鏈的安全解決方案[21],本文對其進行了更為詳細合理的闡述.

在動態(tài)異構(gòu)共識機制中,每一個共識節(jié)點在每一輪共識中通過密碼抽簽技術(shù)確定需要采用的共識機制,并完成共識.在傳播共識區(qū)塊的同時,需要同時提交共識節(jié)點相應(yīng)的密碼抽簽憑證.根據(jù)密碼抽簽憑證判斷此輪的最終共識節(jié)點,同時,其他節(jié)點對此共識節(jié)點的共識區(qū)塊和密碼抽簽憑證進行驗證.在動態(tài)異構(gòu)冗余簽名機制中,采用3種不同體制的簽名算法,這3種簽名算法結(jié)構(gòu)不同,難度不同,基于的困難問題也不同.攻擊者即使能夠成功偽造一種簽名算法,也無法使得更改后的數(shù)據(jù)生效.同時增加了動態(tài)的特性,在動態(tài)異構(gòu)冗余簽名機制中,會提前部署更多的簽名算法,例如基于格、基于編碼的后量子簽名算法,一旦有哪種簽名算法被破解,可以隨時更換.

本文第 1節(jié)重點介紹動態(tài)異構(gòu)冗余模型,同時對密碼抽簽技術(shù)進行簡要介紹.第 2節(jié)分別從安全性定義、共識機制、簽名機制和節(jié)點處理算法的角度對動態(tài)異構(gòu)區(qū)塊鏈的核心內(nèi)容進行介紹,并給出相應(yīng)的參數(shù)選擇方法,使其滿足定義的安全性.第 3節(jié)對第 2節(jié)提出的動態(tài)異構(gòu)共識機制和動態(tài)異構(gòu)冗余簽名機制的安全性進一步分析,并給出部分簽名算法效率測試結(jié)果.第4節(jié)對全文進行總結(jié).

1 準備知識

在本文中,H,H1,H2和H3表示4種不同的哈希算法,即H,H1,H2,H3:{0,1}*→{0,1}*.如果A和B都表示二進制串,則A||B表示A和B的級聯(lián).若f表示一個已知值,則F←f表示F取f的值.

1.1 動態(tài)異構(gòu)冗余架構(gòu)

動態(tài)異構(gòu)冗余架構(gòu)是一種基于架構(gòu)技術(shù)的融合式防御方法,其核心思想是引入結(jié)構(gòu)表征的不確定性,使異構(gòu)冗余架構(gòu)的執(zhí)行體具有動態(tài)化、隨機化的內(nèi)在屬性,并在空間上嚴格隔離異構(gòu)執(zhí)行體之間的協(xié)同途徑或同步機制.DHR理論上要求系統(tǒng)具有視在結(jié)構(gòu)表征的不確定性,包括非周期地從功能等價的異構(gòu)冗余體池中隨機地抽取若干個元素組成當前服務(wù)集,或者重構(gòu)、重組、重建異構(gòu)冗余體自身,或者借助虛擬化技術(shù)改變?nèi)哂鄨?zhí)行體內(nèi)在的資源配置方式或視在運行環(huán)境,或者對異構(gòu)冗余體做預(yù)防性或修復(fù)性的清洗、初始化等操作,使攻擊者在時空維度上很難有效地再現(xiàn)成功攻擊的場景.

DHR系統(tǒng)一般由輸入代理、異構(gòu)構(gòu)件集、動態(tài)選擇算法、執(zhí)行體集和表決器組成(如圖 1所示),其中,異構(gòu)元素池、異構(gòu)構(gòu)件集和策略調(diào)度組成執(zhí)行體集的多維動態(tài)重構(gòu)支撐環(huán)節(jié).異構(gòu)元素池由標準化的軟硬件模塊組成,這些軟硬件模塊按某種規(guī)則或者策略組合出m種功能等價、結(jié)構(gòu)不同的構(gòu)件體,組成異構(gòu)構(gòu)件集.異構(gòu)構(gòu)件集中的元素,即構(gòu)件體,我們用Ei表示(i=1,2,…,m).異構(gòu)構(gòu)件集的構(gòu)造可以采用軟硬件模塊的重構(gòu)、重組、重建、重定義、虛擬化、策略調(diào)度等廣義動態(tài)化技術(shù)措施實現(xiàn).執(zhí)行體集由動態(tài)選擇算法從異構(gòu)構(gòu)件集中選出n個構(gòu)件體組成,執(zhí)行體集中的元素稱為執(zhí)行體,用Aj表示(j=1,2,…,n).任意時刻,DHR架構(gòu)系統(tǒng)的輸入代理將輸入轉(zhuǎn)發(fā)給執(zhí)行體集中的各執(zhí)行體,不同執(zhí)行體的輸出結(jié)果提交給表決器進行表決,得到系統(tǒng)輸出,DHR典型構(gòu)造如圖1所示.

這種DHR的典型構(gòu)造可以用DHR(m,n)來描述.

1.2 密碼抽簽技術(shù)

密碼抽簽是一種在分布式網(wǎng)絡(luò)中,通過去中心化的方式,利用密碼學(xué)技術(shù)完成可信、可認證的抽簽選舉的技術(shù).圖靈獎得主Sivio Micali的Algorand區(qū)塊鏈協(xié)議將密碼抽簽技術(shù)運用到了區(qū)塊鏈中.在Algorand中,系統(tǒng)需要創(chuàng)建并不斷更新一個參數(shù),稱為種子,種子不可能被攻擊者預(yù)測,也不可能被其控制.在每一輪共識過程中,Algorand根據(jù)種子公布一個可驗證的隨機函數(shù)(verifiable random functions,簡稱VRF).每個用戶利用自己的私鑰執(zhí)行 VRF,得到一個對應(yīng)的憑證.憑證滿足一定條件的用戶被認定為此共識輪的驗證者,每個驗證者完成一個區(qū)塊,并隨自己的憑證一起公布.此輪中,憑證的字典序最小的驗證者被認定為領(lǐng)導(dǎo)者.最后,所有的驗證者針對領(lǐng)導(dǎo)者的區(qū)塊運行拜占庭協(xié)議.密碼抽簽在區(qū)塊鏈中的應(yīng)用主要有以下優(yōu)勢.

· VRF的隨機性質(zhì)決定了驗證者和領(lǐng)導(dǎo)者的選舉過程很難被預(yù)測和操縱;

· 驗證者的選舉過程是秘密進行的,只有當用戶公布自己的憑證時才能證明自己的驗證者身份,但是此時區(qū)塊信息已經(jīng)公布,即使攻擊者可以瞬間腐化驗證者,但是公布的區(qū)塊信息已經(jīng)不能撤回;

· 領(lǐng)導(dǎo)者的產(chǎn)生是在所有的驗證者公布自己的憑證后,通過比較產(chǎn)生的,可以認為是公共選舉產(chǎn)生.

2 擬態(tài)區(qū)塊鏈解決方案

目前,多數(shù)區(qū)塊鏈可以視為一個靜態(tài)同構(gòu)冗余系統(tǒng),區(qū)塊鏈中的各個節(jié)點運用同樣的算法,保存同樣的數(shù)據(jù),這樣可以保證單點被攻擊時,整個系統(tǒng)還可以正常運行.但是當所有節(jié)點共同依賴的部件,比如簽名算法、共識算法等被攻擊時,整個系統(tǒng)仍然面臨安全威脅.本節(jié)將從安全性定義、動態(tài)異構(gòu)共識機制、動態(tài)異構(gòu)冗余簽名機制、共識節(jié)點處理算法等4個方面說明擬態(tài)區(qū)塊鏈應(yīng)該具有的性質(zhì),從而建立擬態(tài)區(qū)塊鏈系統(tǒng).

2.1 擬態(tài)區(qū)塊鏈的安全性定義

在比特幣系統(tǒng)中,當區(qū)塊深度大于6時,可以被認為是大概率安全的.在Algorand系統(tǒng)中,由于采用基于VRF的 PoS,并結(jié)合拜占庭容錯協(xié)議(Byzantine fault-tolerant algorithm,簡稱 BFT)[22],可以通過設(shè)置錯誤參數(shù)保證平均 1.9兆年出現(xiàn)一次分叉.擬態(tài)區(qū)塊鏈的共識機制可以包含傳統(tǒng)公有鏈的工作量證明協(xié)議(proof of work,簡稱PoW)、權(quán)益證明協(xié)議(proof of stake,簡稱PoS),也可以包含小規(guī)模節(jié)點投票的代表權(quán)益證明協(xié)議(delegated proof of stake,簡稱DPoS)和BFT,擬態(tài)區(qū)塊鏈可以使得安全性假設(shè)拓展至:存在單一共識機制的分叉攻擊,也可以保證區(qū)塊的不可篡改性.state(blockr)表示第r個區(qū)塊產(chǎn)生前的總狀態(tài),定義擬態(tài)區(qū)塊鏈的區(qū)塊不可篡改如下.

區(qū)塊不可篡改.對區(qū)塊鏈某一狀態(tài)STATE=state(blockr)和預(yù)先設(shè)置的可分叉參數(shù)ρ,在本區(qū)塊后的ρ區(qū)塊后STATE不存在于歷史狀態(tài)中的概率是可忽略的.

傳統(tǒng)區(qū)塊鏈一旦簽名算法出現(xiàn)問題,交易是可以偽造的.以比特幣為例,如果使用的簽名算法 ECDSA被攻擊成功,那么用戶地址對應(yīng)的比特幣將全部丟失.擬態(tài)區(qū)塊鏈的簽名機制通過先執(zhí)行后表決的 DHR模型,使得在安全性假設(shè)拓展至:單一簽名算法產(chǎn)生的簽名可偽造的情況下,也可以保證交易的不可偽造.tx表示用戶的某次交易信息,sign(·)表示用戶的簽名,定義動態(tài)異構(gòu)區(qū)塊鏈交易的不可偽造如下:

交易不可偽造.對某一已經(jīng)在鏈上的完整交易信息(tx,sign(H(tx)))和預(yù)先設(shè)置的可更改參數(shù)ρ′(ρ′>ρ),即使某種簽名算法是可偽造的,設(shè)tx所在區(qū)塊的序列為r,則序列大于r+ρ′的區(qū)塊中存在被偽造的交易的概率是可忽略的.

2.2 動態(tài)異構(gòu)共識機制

目前,區(qū)塊鏈大多只存在一種共識算法,當然也有的區(qū)塊鏈采用兩種或者多種共識算法串行運行的機制,例如 Elastico采用工作量證明+拜占庭容錯協(xié)議,2-hop采用工作量證明+權(quán)益證明機制,Algorand采用權(quán)益證明+拜占庭容錯協(xié)議等等.共識算法是保證區(qū)塊鏈安全的重要因素,現(xiàn)存的共識算法,無論是公有鏈中常用的工作量證明、權(quán)益證明,還是聯(lián)盟鏈中常用的實用拜占庭容錯算法等的安全性都是在某些假設(shè)下保證的.例如工作量證明的安全性要求系統(tǒng)中超過 50%的算力是誠實的,但是已有研究成果說明采取某些措施后,可以得到 50%以上的算力,同時在某些條件下甚至只需要1/3的算力,同樣可以對系統(tǒng)造成嚴重的危害[23,24].

考慮到現(xiàn)有的單個共識機制或者多個共識機制的串行模式都會受到某些攻擊威脅,本文認為,隨機性、動態(tài)性是共識機制安全性的根本保證.所以借鑒擬態(tài)防御的思想,本文給出的異構(gòu)共識機制中存在 3種不同的共識算法.同時,動態(tài)異構(gòu)共識機制借用了密碼抽簽技術(shù),在每一共識輪中,每個共識參與者需要根據(jù)上一個區(qū)塊的哈希值以及目前的區(qū)塊序號形成的哈希值的簽名值做一個密碼抽簽憑證,這里的密碼抽簽憑證有兩個功能:一是密碼抽簽憑證最小的用戶在某些勝選的共識算法中具有重要地位,比如PBFT的leader;另外一個功能是根據(jù)密碼抽簽憑證確定每個節(jié)點在此共識輪中需要采用的共識算法.下面給出動態(tài)異構(gòu)共識機制的具體步驟.

為了更好地描述動態(tài)異構(gòu)共識機制的安全性,對一切與共識不符的行為定義為敵手做出如下假設(shè):

假設(shè)1:至少兩種共識參與共識協(xié)議的敵手不會超過系統(tǒng)的1/3.

步驟1(確定共識節(jié)點).假設(shè)此時的共識輪為r,此輪共識的節(jié)點數(shù)量為nr,sigi(·)表示利用第i個共識參與節(jié)點用當前私鑰進行的簽名.

其中,Co1,Co2,Co3表示3種不同的共識算法,這里選定PoW、Casper的PoS和PBFT分別作為3種不同的共識算法.

(2) 以Casper的PoS勝選為例,假設(shè)參與投票的PoS權(quán)益為rigr,則超過2rigr/3投注率的區(qū)塊blockr即作為第r輪最終的區(qū)塊,即Blockr←blockr;

圖2給出了動態(tài)共識過程.

根據(jù)Decker等人的測試結(jié)果[25],比特幣中1KB消息的傳播至95%的節(jié)點只需要1s,1MB消息傳播到95%的節(jié)點不超過1m.而比特幣在線用戶數(shù)量超過150萬,根據(jù)gossip協(xié)議規(guī)模和傳播效率的關(guān)系,動態(tài)異構(gòu)共識節(jié)點在千級時,1MB消息傳播到95%節(jié)點不超過6s.

為了給出區(qū)塊可分叉參數(shù)ρ的值,首先考慮共識協(xié)議都至多1/3敵手可以參與節(jié)點共識,若區(qū)塊共識權(quán)益總量為d,設(shè)事件X是該區(qū)塊共識中敵手的數(shù)量,對事件離散化處理后,根據(jù)二項分布B(d,1/3)可知:

如果區(qū)塊共識是PoW,則敵手生成區(qū)塊的平均成功概率滿足:

如果區(qū)塊共識是PoS或PBFT,將d看做整數(shù)處理,d的值越大,表示離散化程度越高,則敵手生成區(qū)塊的平均成功概率滿足:

然后考慮如果存在某個共識算法是可以完全被控制的,即其敵手成功生成區(qū)塊的概率為 1,設(shè)置一個足夠小的安全參數(shù)ε并認為其可以忽略,如果認為共識算法的出現(xiàn)是均勻的,則可分叉參數(shù)ρ滿足如下條件:

所以,

設(shè)置可分叉參數(shù)ρ是滿足條件的最小整數(shù),則得到如下計算結(jié)果(見表1).

Table 1 Example of parameters selection表1 參數(shù)選取示例

由表1可知,PoS和PBFT敵手攻擊成功概率與共識權(quán)益總量分割細度幾乎無關(guān).共識節(jié)點數(shù)量足夠的大時,可分叉參數(shù)ρ的取值只與安全參數(shù)ε相關(guān).當ρ設(shè)置為 52時,分叉出現(xiàn)的概率即可以忽略不計,所以只需要 52塊后,即可確認區(qū)塊不可篡改.

2.3 動態(tài)異構(gòu)冗余簽名機制

簽名算法的安全性是區(qū)塊鏈發(fā)展過程中面臨的重要問題.防篡改、防偽造是區(qū)塊鏈最重要的特征,但是這些特征的前提是區(qū)塊鏈中簽名算法、私鑰生成算法等是安全的.但是現(xiàn)在認為安全的橢圓曲線算法、RSA算法、哈希算法等隨著密碼分析技術(shù)、計算技術(shù)、量子計算機等的發(fā)展,可能會變得不夠安全.IBM和Google等公司不斷宣布關(guān)于量子計算機研究的最新進展,2017年,IBM 宣布 50比特的量子計算機原型機也已研制成功,在2018年的美國物理學(xué)會上,Google實驗室的公布了最新一代量子處理器Bristlecone,這是一款72位量子位處理器,錯誤率只有1%.最為重要的是,Google實驗室謹慎且樂觀地認為:如果一切運行良好的話,量子霸權(quán)將在未來幾個月到來.因此,考慮到未來區(qū)塊鏈的安全性,采用抗量子的簽名算法是十分必要的.但是抗量子的簽名算法比基于公鑰的簽名算法復(fù)雜度高很多,目前在橢圓曲線算法相對安全的時期換用抗量子的簽名算法會帶來較高的代價.但是一旦量子計算機的性能達到攻擊橢圓曲線算法的能力,將瞬間對區(qū)塊鏈系統(tǒng)帶來致命的打擊,因此我們要事先對抗量子簽名算法進行部署準備.

除了量子計算機的威脅外,計算技術(shù)、密碼分析技術(shù)的發(fā)展也對目前的簽名算法帶來威脅,并且一旦某種簽名算法被攻破,則與其采用相同體制,或者基于相同計算難題的簽名算法都將受到威脅.受到擬態(tài)防御思想的啟發(fā),對異構(gòu)冗余系統(tǒng)攻擊的難度大于對同構(gòu)冗余系統(tǒng)的攻擊難度,同時,對同構(gòu)冗余系統(tǒng)的攻擊難度又大于對單一系統(tǒng)的攻擊難度.本文認為:目前的區(qū)塊鏈系統(tǒng)在系統(tǒng)級是單一系統(tǒng),雖然從用戶級來看是同構(gòu)冗余的,為了達到更高的安全等級,本文考慮將單一系統(tǒng)調(diào)整為異構(gòu)冗余系統(tǒng).這里考慮的異構(gòu)冗余部分主要集中在簽名算法方面,當然考慮的不是對單一算法的改進,例如環(huán)簽名、聚合簽名、門限簽名、多重簽名等,一旦某一種密碼體制受到攻擊,在此密碼體制之上的簽名變種都會受到致命的打擊.本文主要考慮的是采用不同密碼體制的異構(gòu)冗余.

本文給出了異構(gòu)簽名算法,其思想簡單,主要是采用 3種簽名算法代替之前的單一的簽名算法.如果考慮對于每一個消息,消息發(fā)出者分別利用自己的3個私鑰形成3個簽名,消息的大小為現(xiàn)有系統(tǒng)的3倍,這會影響每個區(qū)塊容納消息的數(shù)量,進一步影響區(qū)塊鏈系統(tǒng)的吞吐率.因此,本節(jié)決定采用先執(zhí)行后表決的 DHR模型,進行交易的輸入腳本中只有一個簽名和該簽名對應(yīng)的公鑰哈希,輸出腳本中包含 3個簽名對應(yīng)的公鑰哈希,使得每個消息的大小與現(xiàn)有消息的大小基本相同.在動態(tài)異構(gòu)區(qū)塊鏈中的每個節(jié)點都擁有 6種簽名算法的公私鑰對,其中 3個公私鑰對{(Pk1,Sk1),(Pk2,Sk2),(Pk3,Sk3)}在現(xiàn)行區(qū)塊鏈系統(tǒng)中使用,另外 3個公私鑰對{(Pk4,Sk4),(Pk5,Sk5),(Pk6,Sk6)}作為備用.

為了更好地敘述先決策后表決的DHR模型,需要對交易做出假設(shè).

假設(shè)2:公鑰是一次性公鑰;交易類型是1對1交易,且交易后發(fā)送方對應(yīng)地址無余額.

假設(shè)是合理的:首先,前向安全的簽名體制公鑰或者 Monero中的一次性公鑰都可以滿足公鑰的一次性;另外,其他交易模型可以根據(jù)1對1交易推出.

由于r≥t,ρ′≥ρ,可知r+ρ′≥r+ρ,即在確認攻擊者已經(jīng)完成攻擊后可以進行決策,這是一種變形的DHR(6,3)構(gòu)造.不妨設(shè)置ρ′為60,則要求用戶在提交交易后110個塊內(nèi)最好保持可提示狀態(tài),以便于監(jiān)督是否有敵手通過雙花和分叉對其進行攻擊.動態(tài)異構(gòu)冗余簽名機制還帶來了一個天然的優(yōu)點,即在交易發(fā)布的60個塊內(nèi)可以撤銷交易,這種撤銷不是通過更改原有數(shù)據(jù),而是通過共識添加一個操作,使得撤銷是可以追溯的.

2.4 共識節(jié)點處理算法

根據(jù)動態(tài)異構(gòu)共識機制要求,共識算法產(chǎn)生速度要基本一致,可以通過調(diào)整難度參數(shù)diff來改變共識的時間,使其保持在穩(wěn)定狀態(tài);txs是在該階段節(jié)點收集到的交易集合.下面結(jié)合第2.2節(jié)和第2.3節(jié)中對于動態(tài)異構(gòu)共識機制和動態(tài)異構(gòu)冗余簽名機制的描述,形成動態(tài)異構(gòu)區(qū)塊鏈共識節(jié)點處理算法(見表2).

Table 2 Node processing algorithm表2 節(jié)點處理算法

3 擬態(tài)區(qū)塊鏈安全性和性能分析

3.1 擬態(tài)區(qū)塊鏈安全性分析

· 1/n攻擊

1/n攻擊是指如果攻擊者能夠獲得超過1/n的共識權(quán)力,就會導(dǎo)致網(wǎng)絡(luò)振蕩、系統(tǒng)崩潰.攻擊者可以通過DoS攻擊來阻止誠信的節(jié)點進行正常共識,從而降低自身所需要的共識權(quán)重.在擬態(tài)區(qū)塊鏈中存在 3種不同的共識算法,在動態(tài)異構(gòu)區(qū)塊鏈中,共識節(jié)點的形成是通過密碼抽簽完成的,且每個共識節(jié)點在每個共識輪中要完成的共識任務(wù)是不確定的,因此與之前的1/n攻擊相比,在擬態(tài)區(qū)塊鏈中只擁有單一共識權(quán)力的1/n是無法完成攻擊任務(wù)的,因此,擬態(tài)區(qū)塊鏈可以有效地抵御1/n攻擊.

· 類自私挖礦攻擊

自私挖礦攻擊是指共識節(jié)點完成共識任務(wù)后,并不在第一時間內(nèi)公布自己的共識區(qū)塊,而在此基礎(chǔ)上繼續(xù)進行下一輪的共識任務(wù),然后在適當?shù)臅r候,同時公布自己的多個共識區(qū)塊,達到自己獲利以及使其他用戶工作無效的目的.目前,在原始的自私挖礦攻擊的基礎(chǔ)上發(fā)展出了多種更加有效的攻擊方法.在擬態(tài)區(qū)塊鏈中,由于每個共識輪中共識節(jié)點的產(chǎn)生是通過密碼抽簽的形式產(chǎn)生,需要大部分共識節(jié)點的密碼抽簽憑證的比較.因此,共識過程具有更強的隨機性與不可預(yù)測性,而且遇到PoS類和PBFT類的共識,自私挖礦產(chǎn)生的區(qū)塊不能被超過2/3共識節(jié)點認可,所以可以有效抵御類自私挖礦攻擊.

· 日蝕攻擊

日蝕攻擊通常與 51%攻擊相結(jié)合,攻擊者首先發(fā)送代幣給接收方,等待交易上鏈后,通過非正常途徑產(chǎn)生大量節(jié)點與想要隱瞞的接收方節(jié)點鏈接,然后通過強大的共識權(quán)力造成區(qū)塊分叉,新的區(qū)塊包含將原本代幣發(fā)送給其他接收方的交易以多次獲利.擬態(tài)區(qū)塊鏈的下一輪共識與密碼抽簽結(jié)果一起公布,只擁有某種強大共識權(quán)力的攻擊者不一定會成為下一輪共識節(jié)點,而且分叉需要公布大量連續(xù)區(qū)塊,在難度調(diào)節(jié)機制中,某類共識塊的連續(xù)出現(xiàn)將會提升該類共識塊的出塊難度.因此,擬態(tài)區(qū)塊鏈可以使得日蝕攻擊更加困難.

· 量子計算機威脅

傳統(tǒng)區(qū)塊鏈用的傳統(tǒng)非對稱簽名體系對于量子計算中的 shor算法是不安全的,隨著量子計算機的可計算能力提高,如果不提供一種可以抵抗量子計算的實用策略,區(qū)塊鏈上的高價值數(shù)據(jù)會有很大的安全隱患.但是現(xiàn)有較為安全的后量子非對稱簽名體制公鑰長度過長、簽名速度過慢,對于區(qū)塊鏈的性能和存儲都有不利影響.動態(tài)異構(gòu)冗余簽名機制通過將后量子簽名算法公鑰哈希H2(Pk2)存放在區(qū)塊上,直到出現(xiàn)問題和需要修改的個例才使用后量子簽名算法,同時實現(xiàn)不安全的簽名算法的快速替換,將可能存在問題的區(qū)塊迅速固化.這樣做的好處是:在沒發(fā)生問題時,不會使區(qū)塊的性能和存儲下降過多.

3.2 動態(tài)異構(gòu)冗余簽名機制性能分析

初始使用的3個簽名機制是SM2算法、基于編碼的CFS簽名算法[26]和傳統(tǒng)RSA算法.其中,本節(jié)對SM2算法嵌入了openssl進行了測試,并與比特幣中使用的ECDSA算法做了比較,測試環(huán)境見表3.

Table 3 Test environment表3 測試環(huán)境

得到如下測試結(jié)果,見表4.

Table 4 Test result表4 測試結(jié)果

根據(jù)各算法的驗證速度可知,擬態(tài)區(qū)塊鏈快速處理能力受限于SM2算法的驗證時間和共識算法時間.

4 總 結(jié)

區(qū)塊鏈的安全問題是影響區(qū)塊鏈發(fā)展的重要問題.從網(wǎng)絡(luò)密碼分析的角度看,在算法、協(xié)議、實現(xiàn)、使用與系統(tǒng)的各個方面,區(qū)塊鏈都存在安全問題.而區(qū)塊鏈逐漸被應(yīng)用在金融、網(wǎng)絡(luò)安全等其他核心環(huán)境中,在這些環(huán)境中,安全性要求都特別高,因此要使得區(qū)塊鏈能夠真正得到實際應(yīng)用,解決其安全性是首要條件.本文從擬態(tài)防御的角度出發(fā),分別設(shè)計了動態(tài)異構(gòu)共識機制和動態(tài)異構(gòu)冗余簽名機制,從而搭建了擬態(tài)區(qū)塊鏈架構(gòu).對擬態(tài)區(qū)塊鏈的安全性進行了定義和分析,提出了參數(shù)選取方案,并且對簽名機制進行了效率測試.目前,我們的擬態(tài)區(qū)塊鏈架構(gòu)的動態(tài)異構(gòu)共識機制還屬于動態(tài)異構(gòu)階段,未來將進一步考慮動態(tài)異構(gòu)冗余架構(gòu),增強區(qū)塊鏈的安全性.另外,動態(tài)異構(gòu)冗余簽名機制還需要解決后量子密碼算法公鑰量大、算法速度慢的問題,未來會考慮有效的部署方案.