張庭郡，劉琨鵬，尹毅峰，甘勇，2

（1.鄭州輕工業(yè)大學(xué)計算機與通信工程學(xué)院，鄭州450002；2.鄭州工程技術(shù)學(xué)院，鄭州450044）

0 引言

智能合約DAO 因以太坊Solidity 編程語言的安全漏洞損失6000 萬美金并且以太坊的硬分叉（Hardfork）；Parity 多簽名錢包因智能合約的漏洞造成損失1.82 億美金；BEC 也因此市值蒸發(fā)9 億；Binance 被黑客盜取7000 多Bitcoins。一系列的因為智能合約安全漏洞導(dǎo)致的損失也讓其安全性研究進(jìn)入國內(nèi)外研究者的視野。

近年來，Monero[2]、Zcash[3]和Mimblewimble[4]等的加密貨幣放棄了可編程性的前提下，在金融數(shù)字貨幣領(lǐng)域的隱私保護做出了貢獻(xiàn)。2016 年，Kosba 等人首次提出了Hawk[5]，這是一種既能保證合同安全又能保證連鎖隱私的智能合同隱私保護系統(tǒng)。2017 年，麻省理工學(xué)院基于加密貨幣交易投資平臺（Catalyst）開發(fā)了加密合約Enigma 協(xié)議。Oasis 實驗室試圖突破公共鏈的“不可能三角”，提高智能合約的可擴展性、安全性和隱私性，籌集了4500 萬美元用于構(gòu)建基于區(qū)塊鏈的云計算平臺研究Ekiden 協(xié)議[6]。Bunz 等人在Ethereum 等基于賬戶模型的智能合約平臺上引入了提供保密性和匿名性的Zether 協(xié)議[7]。2017 年，中國科學(xué)院與武漢大學(xué)密碼學(xué)專家合作，在賬戶模型下，采用同態(tài)加密和零知識證明，實現(xiàn)了分布式智能合約系統(tǒng)，保障了資產(chǎn)的平衡和轉(zhuǎn)移[8]。由此可見，智能合約中的安全和隱私保護技術(shù)已成為區(qū)塊鏈研究的重點。

虛迭代函數(shù)（Virtual Iteration Function）擁有快速生成高安全性，高可靠性和不可否認(rèn)性。同時虛迭代函數(shù)安全機制充分利用了哈希函數(shù)的出色功能和自編譯系統(tǒng)生成了唯一且不可否認(rèn)的收據(jù)[9-11]。

針對合約可能有多方簽訂的現(xiàn)實，本文基于雙方虛迭代函數(shù)安全機制，提出多方智能合約安全機制。多方用戶通過令牌環(huán)順序協(xié)商，基于虛迭代函數(shù)組成共享的多維虛置換函數(shù)。以此共享的密鑰空間為基礎(chǔ)，當(dāng)用戶建立合約時，用合約參數(shù)生成的密鑰快速大量地置換出迭代的安全子系統(tǒng)，以保證在無可信第三方的參與下安全的追溯、履行合約[12]。

1 模型設(shè)計

為了滿足智能合約的安全性和隱私性保護，前期研究使用虛迭代函數(shù)（VIF）加密智能合約所生成的收據(jù)。又因為適應(yīng)當(dāng)下的合約環(huán)境，不僅僅只是雙方合約，存在很多多方合約，所以改進(jìn)雙方MVIF 安全機制為多維虛置換函數(shù)（MVTF）為基礎(chǔ)的多方合約安全機制。

圖1 多方智能合約安全機制構(gòu)建模型

構(gòu)造安全機制的前提條件如下：

（1）多方合約用戶擁有相同的帶選取的n*n 的安全子系統(tǒng)

（3）多方合約用戶擁有相同單向函數(shù)構(gòu)造的自編譯器，用于確定安全子系統(tǒng)坐標(biāo)序列后的迭代加密。

如圖1 所示，安全機制構(gòu)建描述如下：

①多方合約用戶通過令牌環(huán)的方式交換映射安全子系統(tǒng)的密鑰陣列，形成多維虛置換函數(shù)空間。令牌環(huán)能夠保證多方用戶按照一定順序，不遺漏、不重復(fù)的形成多維虛置換函數(shù)（Multidimensional Virtual Transposition Function），最終使得每個用戶都擁有相同的共同組成的鑰控陣列，通過映射n*n 的安全子系統(tǒng)也就擁有相同的多維虛置換函數(shù)。

②多方用戶使用各自密鑰聯(lián)合在已擁有的多維虛置換函數(shù)中置換出相應(yīng)的多個安全子系統(tǒng)。每個用戶的密鑰代表多維虛置換函數(shù)中的一個維度的多個坐標(biāo)，通過密鑰的互換在MVTF 中置換出相同唯一且有順序的多個安全子系統(tǒng)。

③用戶通過自編譯器將上一步選出的多個安全子系統(tǒng)按順序迭代，構(gòu)建虛迭代函數(shù)（VIF），加密合約獲得相應(yīng)收據(jù)進(jìn)行保存，用于以后合約的安全調(diào)用與執(zhí)行的認(rèn)證。

④多用戶再次進(jìn)行合約時只需重復(fù)b 步驟，就可以快速大量的置換出大量的安全加密方式應(yīng)用于之后的智能合約認(rèn)證收據(jù)。

2 具體實現(xiàn)

表1 中列舉了本文所用的基本符號及其定義。

表1 本文基本符號及含義

2.1 四維虛置換函數(shù)模型

本文擬構(gòu)造的多維虛置換模型是一個內(nèi)部置換陣列待定的多維置換函數(shù)，其置換陣列的每個排列元素對應(yīng)一個安全子系統(tǒng)，每個協(xié)議用戶擁有自己的初始密鑰，用于對多維虛置換函數(shù)的置換混淆控制，并非只控制置換網(wǎng)絡(luò)的一個維度。圖2 以四維虛置換簡易模型為例，因為置換空間中包含了n4個候選安全子系統(tǒng)，鑰控陣列的作用是實現(xiàn)虛函數(shù)中的多態(tài)性重載原理，以鑰控陣列實參決定安全子系統(tǒng)被等概率調(diào)用執(zhí)行，最終使置換網(wǎng)絡(luò)獲得一個唯一性的內(nèi)部置換陣列。

如圖3 中所示，每個維度代表一個用戶所控制的鑰控數(shù)列，其中以顏色表示第四維度。途中每一個方塊空間都隱射一個安全子系統(tǒng)，公式（2）中的n*n 個子系統(tǒng)均勻分布在整個n4的四維虛置換空間中。假設(shè)公式（4）中所定的x=5，則最終如圖確定五個安全子系統(tǒng)，分別記作S1(),S2(),S3(),S4(),S5()，然后經(jīng)過自編譯器迭代出如公式（1）。

2.2 多維虛置換函數(shù)構(gòu)建及應(yīng)用

多維智能合約安全機制利用Hash 函數(shù)優(yōu)良特性和自編譯系統(tǒng)的不可讀特性，將前期研究的合約雙方共享虛迭代函數(shù)擴展用于多維虛置換函數(shù)，利用隨機迭代子系統(tǒng)的方法提出了多維虛置換函數(shù)空間的構(gòu)造方案，提出更加安全高效的基于多維虛置換機制的密鑰交換算法。為合約多方快速提供大量安全的調(diào)用合約密鑰?？梢杂赏ㄐ哦喾礁髯缘膫坞S機序列產(chǎn)生器來共享多維虛置換機制，這種安全多維虛置換機制將成為密鑰交換協(xié)議的核心。身密鑰及偽隨機生成的鑰控數(shù)列生成的鑰控數(shù)列，它映射到公式（2）中，用于后續(xù)組成虛置換函數(shù)的鑰控陣列，因此可以看成通過Ki[]n 控制虛置換函數(shù)中的安全子系統(tǒng)的分布。

圖2 四維虛置換函數(shù)模型

如表2 所示，多維虛置換函數(shù)的構(gòu)建及在智能合約安全機制中的應(yīng)用如下：

（1）初始階段

用戶初始化：m 個合約用戶都擁有上次合約SC'和自己所持有的私鑰。

函數(shù)初始化：同時每個合約用戶都有自編譯器以及待選的n*n 個安全子系統(tǒng)如公式（2）。

（2）準(zhǔn)備階段

步驟1：各合約用戶通過偽隨機函數(shù)R()將已有的SC'偽隨機生成鑰控數(shù)列。此時的鑰控數(shù)列還只是初步生成形參，并沒有實際控制的函數(shù)能力，并不能傳給其他用戶。

表3 多維虛置換函數(shù)的構(gòu)建及應(yīng)用

（3）虛置換函數(shù)組成階段

各合約用戶通過Token 令牌環(huán)機制依次將自己的獨有的鑰控數(shù)列Ki[]n 發(fā)送給其他用戶，這樣各用戶就擁有本身鑰控數(shù)列的同時擁有除自己以外的補集，如公式（4）。最終每個用戶都獲得由m 個鑰控數(shù)列組成的多維虛置換函數(shù)。多維虛置換函數(shù)可看成是由nm個安全子系統(tǒng)構(gòu)成的m 維空間，其中每個小空間都映射著公式（2）中的一個安全子系統(tǒng)，且概率相同的分布在多維虛置換函數(shù)中。各合約用戶將保存SMVTF()用于以后的合約安全機制中。

（4）應(yīng)用循環(huán)階段

步驟1：各合約用戶同樣通過Token 令牌環(huán)機制依次將自己的坐標(biāo)數(shù)列Ski(x )發(fā)送給其他用戶，最終獲得全部坐標(biāo)。其中x 為坐標(biāo)個數(shù)，也是最后確定安全子系統(tǒng)的個數(shù)，也是最后迭代的次數(shù)。

步驟2：各合約用戶將完整的Sk 帶入第3 階段保存的多維虛置換函數(shù)中，快速置換出相應(yīng)的x 個安全子系統(tǒng)。因為第三階段中得到的公式（4）相同，所以映射到公式（2）的x 個安全子系統(tǒng)也相同。

步驟3：通過自編譯器將步驟2 中所得的x 個安全子系統(tǒng)按照一定順序迭代生成虛迭代函數(shù)，如公式（5）將簽署的智能合約通過VIF(x)加密生成相應(yīng)的合約收據(jù)保存下來，用于后續(xù)對合約的調(diào)用和執(zhí)行時的認(rèn)證，以保證合約的安全性和隱私性。

步驟4：各合約用戶再次簽訂其他合約時，僅需循環(huán)步驟1、2、3 就可以快速置換出相應(yīng)的虛迭代函數(shù)，生成安全的合約認(rèn)證收據(jù)。

3 安全性分析及性能評估

本文的多方智能合約安全機制主要針對智能合約的隱私保護問題，通過多維虛置換函數(shù)快速大量的生成不可偽造的，加密方式不斷變動的智能合約收據(jù)，以此確保合約查詢、執(zhí)行等權(quán)限的安全。

針對智能合約收據(jù)生成階段容易遭受的攻擊類型分析如下：

（1）防合約用戶假冒攻擊：收據(jù)最終是通過加密簽署的合約得到的收據(jù)，因此假冒合約用戶得到函數(shù)也因未參與簽署合約而無法得到合約內(nèi)容，進(jìn)而無法獲取合約收據(jù)。因此安全機制能夠抵擋合約用戶假冒攻擊。

（2）防拒接服務(wù)攻擊：本安全機制采用令牌環(huán)的方式交換鑰控數(shù)列，因此個體用戶不會影響整個虛置換函數(shù)構(gòu)建過程的有序不重復(fù)，從而保證每個用戶都可以同步獲得鑰控陣列。因此安全機制能夠抵擋拒接服務(wù)攻擊。

（3）防重放攻擊：由于多方用戶每進(jìn)行一次合約便會更新虛迭代函數(shù)，如果敵人在第n+1 次合約時重放第n 次合約的認(rèn)證收據(jù)，由于收據(jù)加密的迭代函數(shù)都已更新改變，所以不會被授權(quán)查詢、執(zhí)行合約。因此能抵擋重放攻擊。

（4）防竊聽攻擊：每個用戶的鑰控數(shù)列只能控制虛置換函數(shù)的一個維度，所以竊聽者竊聽單個或多個用戶都無法得到完整的虛置換函數(shù)；同理決定迭代函數(shù)的坐標(biāo)也是由每個用戶共同協(xié)商的，竊聽者也無法得到正確的虛迭代函數(shù)。因此能抵擋竊聽攻擊。

相比一般的加密算法，本安全機制采用動態(tài)的流密碼，因此置換速度于計算速度都快速能夠快速大量的置換出多次合約所需要的虛迭代函數(shù)。同時基于多維虛置換的安全機制適用于智能合約多方用戶，大量簽署合約，大量查詢、執(zhí)行合約的現(xiàn)狀。

4 結(jié)語

本文基于雙方虛迭代函數(shù)安全機制，針對智能合約的實際應(yīng)用進(jìn)行了改進(jìn)，設(shè)計出無需可信第三方的多方智能合約安全機制。通過多維虛置換函數(shù)的加入，讓多方用戶控制多個維度構(gòu)建虛置換函數(shù)，對多維虛置換函數(shù)的置換混淆控制，能夠快速形成多種虛置換函數(shù)適用于不同用戶情況下合約的快速簽署。通過多方用戶控制置換坐標(biāo)，能夠快速大量的生成多種虛迭代函數(shù)適用于同種用戶下的合約快速簽署。虛迭代函數(shù)加密生成的合約收據(jù)保護合約查詢、執(zhí)行等權(quán)限的安全。在以后的智能合約安全與隱私保護技術(shù)中有很大的實用價值。