楊長春，章 陽，陳友榮，繆克雷，任條娟，王章權

1.常州大學 計算機與人工智能學院，江蘇 常州 213164

2.浙江樹人學院 信息科技學院，杭州 310015

隨著5G 商用的發(fā)展，自動化駕駛產業(yè)和車聯網（Ⅰnternet of vehicles，ⅠoV）產業(yè)進入黃金發(fā)展期。在車聯網中每一輛個體車均可作為節(jié)點活動，會產生大量且類型不同的數據，并進行相關數據廣播與共享，從而提高智能交通的服務質量。但是在數據共享方面車聯網面臨惡意節(jié)點共識攻擊、隱私竊取攻擊等安全挑戰(zhàn)，會對車聯網的數據共享產生不利影響，甚至形成數據“孤島”的困境[1-2]。區(qū)塊鏈技術具有去中心化和匿名性等特點，遵循同一記賬交易規(guī)則并在一致性共識算法下達成一致意見，因此可采用區(qū)塊鏈技術確保車聯網中車輛或道路基礎設施收到的消息是合法的，并對消息進行認證、完整性保護和隱私保護。

在區(qū)塊鏈中核心要素是一致性共識算法，可直接決定其在應用領域上的交易吞吐量[3]、交易時延[4]等特性。目前國內外學者提出DPOS[5]（delegated proof of stake）、PBFT[6]（practical byzantine fault tolerance）、CDBFT[7]（credit-delegated byzantine fault tolerance）、RPCA[8]（ripple protocol consensus algorithm）等一致性共識算法。其中，DPOS 采用委托權益證明機制，在這種共識方式下，惡意節(jié)點可在前期通過離線方式累積幣齡，再重新上線對當前區(qū)塊共識進行攻擊。PBFT 解決實用拜占庭容錯問題，但是不能有效排除異常節(jié)點，并且實現數據的一致性需要大量的通信資源，效率較低。CDBFT雖然改進PBFT，且建立一套信用評價機制和投票機制對節(jié)點進行篩選，但惡意節(jié)點可以選擇在前期累積信用值，獲得更多的權利后對共識過程發(fā)動攻擊?？傊珼POS、PBFT，CDBFT 均研究靜態(tài)節(jié)點的一致性共識，但存在共識效率較低和異步網絡節(jié)點通信時延高，因此不適用于拓撲變動頻繁的車聯網。此外，Schwartz等人[9]首次提出了RPCA。該算法通過可信任節(jié)點列表完成區(qū)塊共識，每隔幾秒能應用到所用節(jié)點，具有高效維護整個網絡的有效性和一致性等優(yōu)點。雖然RPCA等共識算法能形成節(jié)點間的共識一致性，但是由于區(qū)塊鏈網絡是分布式網絡，節(jié)點具有動態(tài)加入和退出網絡、拓撲結構動態(tài)變化等特性，給惡意節(jié)點的攻擊創(chuàng)造了條件[10]。惡意節(jié)點通過女巫攻擊、日蝕攻擊等攻擊，偽裝成正常節(jié)點參與共識或通過多個惡意節(jié)點偏差誘導正常節(jié)點的共識結果和效率，從而發(fā)起針對車聯網環(huán)境的虛假數據傳播和車輛跟蹤等惡意攻擊。該類攻擊具有隱蔽性強、周期長、危害性大等特點，將直接導致車輛做出錯誤決策或操作，甚至釀成交通事故。

綜上所述，目前RPCA仍存在以下兩個問題：（1）主要考慮靜態(tài)節(jié)點的區(qū)塊共識問題，沒有考慮具有節(jié)點動態(tài)移動的車聯網場景，且其共識效率較低；（2）惡意攻擊會影響到共識的安全和效率，但是目前Ripple較少涉及對惡意節(jié)點的檢測。因此針對上述問題，在RPCA的基礎上，提出面向惡意節(jié)點攻擊的車聯網節(jié)點一致性共識算法（node consistency consensus algorithm for malicious node attacks in ⅠoV，NCCA）。簡單地說，該文的貢獻如下：

（1）針對一致性共識算法，提出可信任節(jié)點列表改進和驗證節(jié)點確認方法。該方法通過驗證節(jié)點計算區(qū)域網絡可通信列表中全部節(jié)點的信用值分數，確定可信任節(jié)點列表，并定期更新驗證節(jié)點。改進交易集共識，采用贊成票和棄權票的投票機制，并通過票型權重的方式計算交易的投票票數，從而選擇出需要進行共識的交易集。改進共識過程中區(qū)塊驗證的節(jié)點選擇，主要通過選擇驗證節(jié)點完成共識，從而提高節(jié)點參與區(qū)塊共識的積極性，提高交易吞吐量，降低交易時延。

（2）針對惡意節(jié)點攻擊，結合車聯網網絡結構提出多區(qū)域協(xié)同檢測和單區(qū)域內局部檢測的惡意節(jié)點二輪檢測機制。第一階段進行多區(qū)域檢測，即根據節(jié)點的投票效率、交易時延、離線時間、加入可信任列表次數和提供無效區(qū)塊次數的評估因素，并通過FCM（fuzzy Cmeans）聚類實現節(jié)點的信用等級劃分，可初步劃分出惡意節(jié)點，提高惡意節(jié)點檢測的查全率。第二階段進行局部檢測，即通過對第一輪檢測出的惡意節(jié)點，與其周圍鄰接節(jié)點之間相互通信后節(jié)點的狀態(tài)差異值，進一步確認惡意節(jié)點，從而提高惡意節(jié)點檢測的查準率。對檢測后的節(jié)點執(zhí)行賦權和停權機制，即賦予驗證節(jié)點和正常節(jié)點相應權利，對惡意節(jié)點根據其檢測出的次數，逐步加重其停權的時間，甚至剔除其網絡，從而降低惡意節(jié)點對網絡共識的影響。

1 相關工作

目前部分學者側重于在主流共識算法的基礎上，研究能適用于車聯網時效性、異構性等特征的共識算法。如文獻[11]在PBFT 共識算法的基礎上，改進基于時間序列和八卦協(xié)議，實現智能交通中車聯網的信息通信和共識認證。文獻[12]提出一種累積信任證明機制，即根據車聯網中特定路側單元的累積信任選擇特定節(jié)點進行共識，并通過每個車輛向多個目標發(fā)生事務，從而避免單點故障。文獻[13]提出一種基于車聯網協(xié)同擁塞避免機制的改進PBFT共識算法，通過對驗證節(jié)點進行分組，選擇信道質量優(yōu)的節(jié)點作為先導節(jié)點，并用兩階段過程代替?zhèn)鹘y(tǒng)三階段，從而提高算法性能。文獻[14]在RPCA 的基礎上，創(chuàng)建本地物聯網驗證器，而不是使用現有的公共驗證器，從而消除網絡干擾。文獻[15]提出節(jié)點間連接狀態(tài)的評價機制，從而應對節(jié)點間通信質量的變化對區(qū)塊共識效率的影響。由于RPCA 的共識效率遠遠高于其他共識算法，且提出的信任節(jié)點列表符合車聯網網絡環(huán)境，可滿足短時間內交易響應和較高交易吞吐率需求，較其他共識算法更適用于車聯網網絡環(huán)境。但是RPCA 等共識算法均易遭受惡意節(jié)點的身份偽裝和潛伏擴散攻擊，因此部分學者側重于研究針對共識算法的惡意攻擊檢測算法，如文獻[16]提出一種自私挖礦攻擊檢測機制。該機制通過分析網絡中交易的大小，序號和區(qū)塊挖掘成本，為每個交易設置預期確認高度。最終根據預期的交易確認高度和區(qū)塊發(fā)布高度實現惡意檢測。文獻[17]提出一種基于深度學習的攻擊檢測算法。該算法通過主成分分析方法進行特征提取，通過神經網絡的多層感知器算法與訓練集獲得檢測模型。文獻[18]在隨機森林分類算法的基礎上，收集正常情況和惡意情況的數據，提出一種檢測攻擊者控制節(jié)點的檢測算法。文獻[19]提出一種基于霧計算的分布式入侵檢測算法。該算法選擇互信息特征選擇，并通過智能合約的方式實現攻擊檢測。文獻[20]在共識機制中采用反對票，提出將節(jié)點信用分數與等級作為選舉依據等方法，從而加快惡意節(jié)點的檢測效率。但是文獻[16-20]都是考慮靜態(tài)節(jié)點，沒有考慮車聯網中節(jié)點移動導致網絡動態(tài)變化，難以高效快速檢測惡意節(jié)點，無法直接應用到RPCA的惡意節(jié)點檢測。

綜上所述，針對惡意節(jié)點攻擊，目前算法側重于通過對靜態(tài)節(jié)點的狀態(tài)檢測，而對于車聯網環(huán)境中動態(tài)節(jié)點的研究相對較少，存在無法全面高效檢測到惡意節(jié)點的同時實現高效共識等問題。

2 算法原理

如圖1 所示，在由車聯網節(jié)點（車載智能終端）、基站和云服務平臺組成的車聯網中，車聯網節(jié)點易遭受到惡意節(jié)點攻擊。即惡意節(jié)點偽造成不同的身份，通過多個惡意節(jié)點圍繞網絡中某一正常節(jié)點進行信息偏差誘導，從而在網絡中自身和所誘導節(jié)點執(zhí)行惡意行為，如共識過程中多次延時或忽略正常節(jié)點消息行為，發(fā)送沖突虛假消息和多次執(zhí)行惡意投票行為等，最終實現對網絡正常共識的干擾與攻擊。

圖1 惡意節(jié)點攻擊場景Fig.1 Malicious node attack scenario

如圖2所示，針對上述惡意行為，結合基站的部署，將車聯網網絡劃分若干個蜂窩單區(qū)域?？紤]車聯網節(jié)點劃分為驗證節(jié)點、正常節(jié)點和惡意節(jié)點三類，且當車聯網網絡啟動時，每個單區(qū)域內通過節(jié)點投票，選舉出單區(qū)域初始驗證節(jié)點并建立可信任列表。其次，由驗證節(jié)點對區(qū)域內其他活動節(jié)點的行為進行評分，并在可信任列表中更新信用得分高的節(jié)點。接著，由驗證節(jié)點對交易集進行投票和區(qū)塊驗證共識。最后，經過幾輪共識后，為實現惡意攻擊，惡意節(jié)點表現出異常數據，因此由驗證節(jié)點對惡意節(jié)點進行惡意節(jié)點二輪檢測，并對檢測后的節(jié)點進行賦權和停權限制，從而保證區(qū)塊共識。

圖2 整體結構示意圖Fig.2 Overall structure diagram

同理，由多個單區(qū)域驗證節(jié)點投票選舉出多區(qū)域初始驗證節(jié)點，并建立多區(qū)域節(jié)點可信任列表，多區(qū)域后續(xù)工作流程同子區(qū)域流程基本相同。但是NCCA 仍需要解決以下三個問題：一是如何結合節(jié)點的行為特征和具體情況等信息，實現可信任列表的更新和驗證節(jié)點的確認；二是如何考慮驗證節(jié)點在交易集和區(qū)塊共識中的合理安排，保證區(qū)塊共識效率；三是如何進行惡意節(jié)點的檢測，在保證分區(qū)情況下提高惡意節(jié)點的查全率與查準率。這三個問題的具體解決如下。

2.1 可信任節(jié)點列表改進和驗證節(jié)點確認

在RPCA共識過程中，驗證節(jié)點都會維護一個信任節(jié)點列表，且只接受來自信任節(jié)點列表中節(jié)點的提案。考慮到RPCA 雖然比較高效，但是其防攻擊能力較弱。惡意節(jié)點可向正常節(jié)點發(fā)送沖突消息，忽略或延遲正常節(jié)點消息，導致網絡存在分叉風險并且讓共識算法失去活力，此時只能重啟系統(tǒng)，這將會造成巨大損失。為解決RPCA易遭受惡意節(jié)點攻擊問題，NCCA改進可信任節(jié)點列表，即當網絡啟動時，由單區(qū)域中所有節(jié)點進行自主投票選取N1個區(qū)域初始驗證節(jié)點。各單區(qū)域初始驗證節(jié)點投票組成多區(qū)域初始驗證節(jié)點列表。該列表中節(jié)點投票選擇N2個多區(qū)域初始驗證節(jié)點。若出現節(jié)點票數相同的情況時，則優(yōu)先選擇算力較大的節(jié)點確定為初始驗證節(jié)點。在確認完初始驗證節(jié)點后，區(qū)域內所有驗證節(jié)點通過公式（1）計算區(qū)域網絡可通信列表中全部節(jié)點的信用值分數，當節(jié)點信用值分數超過預定閾值時，即該節(jié)點加入其可信任列表，根據節(jié)點信用值得分高低順序進行添加。

其中，SCi,j表示第i個驗證節(jié)點的可通信列表中第j個節(jié)點的信用值得分，CRi,j表示第i個驗證節(jié)點的可通信列表中第j個節(jié)點的歷史信任值。δi,j表示第i個驗證節(jié)點的可通信列表中第j個節(jié)點的通信次數，ωi,j表示第i個驗證節(jié)點的可通信列表完成第j個節(jié)點的添加時所經歷過的中間傳遞損失因子。

驗證節(jié)點需在規(guī)定的時間戳內完成事務驗證，若產生超時情況，則采取2.3節(jié)中的賦權和停權機制，并更新該節(jié)點CR值。如果出現多個得分相同的節(jié)點，則隨機選擇節(jié)點加入可信任列表，同時將可通信列表中未能成功加入可信任列表的其他驗證節(jié)點，組成備用可信任節(jié)點群。當可信任列表中的節(jié)點異?；虺霈F意外無法正常工作時，則從備用可信任節(jié)點群中選擇節(jié)點進行切換。如當一次更新替換可信任列表中的驗證節(jié)點數量過高時，導致可信任列表中剩余驗證節(jié)點數量低于預設閾值，則可能發(fā)生了網絡分叉問題，這時便可以通過備用可信任節(jié)點群和剩余高信用值驗證節(jié)點交叉驗證，從而實現對可信任列表的維護與保障事務處理效率。同時，經過一定時間后，區(qū)域內驗證節(jié)點根據自身可信任列表中的節(jié)點信用值分數，重新投票選擇N1個驗證節(jié)點，并經過所有驗證節(jié)點驗證通過后進行驗證節(jié)點的更新。

2.2 交易集共識改進

每個驗證節(jié)點會不斷收到從網絡發(fā)送過來的交易，通過與本地賬本數據驗證后，將不合法的交易直接丟棄，合法的交易與之前未確認的交易匯總成節(jié)點本身的交易候選集。驗證節(jié)點收到其他驗證節(jié)點所認可的交易提案后，與自身的交易集進行對比，有相同交易則交易獲得票數一票。考慮到RPCA 的交易集需要驗證節(jié)點進行多輪投票，且在最終達成共識的交易集中每筆交易都至少獲得β1的驗證節(jié)點認可。因此NCCA在保證共識安全性的前提下，對投票機制采用贊成票和棄權票，允許驗證節(jié)點對交易投出棄權票，并通過票型權重的方式計算交易的投票票數，削弱惡意節(jié)點驗證風險，從而在保證交易安全的前提下，提高對惡意交易的篩選與共識安全。具體票數計算公式如下：

其中，vote_number表示交易的投票票數，vote_yes表示該區(qū)域中針對交易投贊成票的數量，vote_no表示該區(qū)域中針對交易投棄權票的數量，ζq表示對交易進行投票的節(jié)點身份q（驗證節(jié)點、正常節(jié)點、惡意節(jié)點）的權重，ζyes和ζno表示所對應節(jié)點身份中票型的權重因子，且ζyes+ζno=1，每筆交易按照投票結果從高到低進行排序。為減少RPCA共識輪次，達到總票數閾值v1后無須再等待驗證直接確認交易，達到閾值v2至v1范圍內的交易繼續(xù)等待其他驗證節(jié)點的驗證，進入下一次確認的判斷，否則將當前第一輪小于閾值v2和第二輪小于閾值v1的交易放棄，從而避免雙花攻擊，保證交易的安全性。最終確定交易集共識的最終結果。

在區(qū)塊驗證過程中，采用輪盤賭選擇法隨機選擇交易集中高信用值的驗證節(jié)點負責區(qū)塊生成。同時負責區(qū)塊生成的驗證節(jié)點計算哈希值并將所得值發(fā)送給其他驗證節(jié)點，然后統(tǒng)一收集反饋信息，當反饋信息中的認可比例達到一定閾值β2，則表明該區(qū)塊達成驗證共識，最終將區(qū)塊寫入到鏈上。

按照《獸用消毒劑鑒定技術規(guī)范》[8],配制成中和劑:為含0.5%卵磷脂、0.5%硫代硫酸鈉、3%吐溫-80及磷酸鹽緩沖液,再以金黃色葡萄球菌或白色念珠菌為受試菌,分6 組進行中和劑性能的鑒別,具體分組如表1 所示。

2.3 惡意節(jié)點檢測

由于RPCA中惡意節(jié)點偏向于虛假投票多個消息、延時或不進行消息驗證，其存在較高的隱匿概率，因此為保障共識算法的查全率與查準率，NCCA提出包含多區(qū)域協(xié)同檢測和單區(qū)域內局部檢測的惡意節(jié)點二輪檢測機制，并對檢測后的節(jié)點執(zhí)行賦權和停權機制，從而提高惡意節(jié)點的查準率和查全率，具體內容如下：

如圖3所示，第一階段檢測為多區(qū)域協(xié)同檢測。由多個區(qū)域內選擇具有較大算力的驗證節(jié)點作為多區(qū)域驗證節(jié)點。由多區(qū)域驗證節(jié)點獲得所代表多個區(qū)域節(jié)點的交易時延、投票效率、離線時間、加入可信任列表次數和提供無效區(qū)塊次數等評估因素，進行評價值評分。由于各評估因素中含有模糊評定，如不同情況下的交易時延，因此通過FCM聚類[21]計算每組評估因素在0-1間的隸屬度，并確定其屬于正常節(jié)點和惡意節(jié)點這兩個簇的程度。同時該驗證節(jié)點通過公式（3）計算各簇類的評價值，將簇類評價值低的簇類標記為惡意節(jié)點，另一個簇類節(jié)點標記為正常節(jié)點。

圖3 惡意檢測流程圖Fig.3 Malicious detection flowchart

其中，Vˉi表示第i個簇的得分，αij表示第i個簇內第j個節(jié)點的加入可信任列表次數，μij表示第i個簇內第j個節(jié)點的投票效率，υij表示第i個簇內第j個節(jié)點的提供無效區(qū)塊次數，χij表示第i個簇內第j個節(jié)點的交易時延，CNi表示第i個簇內的節(jié)點總數，ι1、ι2、ι3和ι4表示不同評估因素對應的權重參數。第一階段檢測保證了網絡中節(jié)點的查全率，篩選出區(qū)域內可能存在的惡意節(jié)點對象。為避免部分正常節(jié)點被誤檢，因此進行惡意節(jié)點的第二階段檢測。

第二階段檢測為單區(qū)域內局部檢測。由單區(qū)域內的驗證節(jié)點對第一輪檢測出來的惡意節(jié)點和驗證節(jié)點進行二輪判斷?？紤]到正常節(jié)點在交換數據后會更新自我狀態(tài)值，則將節(jié)點通信次數、通信時延與通信質量因素作為鄰接節(jié)點狀態(tài)值評估因素，其第一輪被判斷為惡意節(jié)點的鄰接節(jié)點通過公式（4）計算節(jié)點狀態(tài)信息，并發(fā)送給其所在區(qū)域的驗證節(jié)點。

其中，ηlk表示鄰接節(jié)點l記錄的惡意節(jié)點k狀態(tài)值，C_timeslk表示惡意節(jié)點k與其鄰接節(jié)點l的通信次數，C_delayslk表示惡意節(jié)點k與其鄰接節(jié)點l的通信時延，C_qualitylk表示惡意節(jié)點k與其鄰接節(jié)點l的通信質量。考慮到惡意節(jié)點會通過噪聲添加模擬偽造成正常節(jié)點的收斂狀態(tài)，但是鄰接節(jié)點記錄的通信次數、通信時延和通信質量不會被篡改，因此可通過公式（5）計算鄰接節(jié)點記錄的節(jié)點狀態(tài)差異值，并驗證惡意節(jié)點。

其中，nslk表示當前共識輪次下鄰接節(jié)點l記錄惡意節(jié)點k的狀態(tài)差異值，ηlk(N)表示第N輪共識完成后本節(jié)點對惡意節(jié)點k的狀態(tài)值，l表示惡意節(jié)點鄰接節(jié)點標號，m表示惡意節(jié)點k周圍鄰接節(jié)點個數。根據鄰接節(jié)點，在共識階段中，惡意節(jié)點k的狀態(tài)差異值nslk出現以下現象，則將該節(jié)點標記為惡意節(jié)點，加入惡意節(jié)點列表。

（2）惡意節(jié)點k的狀態(tài)差異值 超出預先設置的閾值β4，即節(jié)點存在異常行為，導致狀態(tài)值發(fā)生異常波動。

如表1 所示，在經過惡意節(jié)點二輪檢測后，執(zhí)行節(jié)點的賦權和停權機制，即對驗證節(jié)點賦予投票權、區(qū)塊驗證權和區(qū)塊生成權，對普通正常節(jié)點賦予投票權和區(qū)塊驗證權，對惡意節(jié)點進行Ti時間的停權操作，即暫停惡意節(jié)點以上權力，并廣播信息，其中Ti表示第i次被檢測為惡意節(jié)點所對應的停權時間。為避免交易時延等正常行為造成正常節(jié)點的誤檢，驗證節(jié)點采用Sigmoid函數對惡意節(jié)點給予相應輪次的停權時間。停權時間初期緩慢增加，當節(jié)點多次被檢測為惡意節(jié)點，為加大惡意節(jié)點的懲罰力度，停權時間隨著輪次增幅加大。當節(jié)點停權時間超過500 s，仍檢測該節(jié)點為惡意節(jié)點，則將其剔除網絡。

表1 賦權和停權機制表Table 1 Empowerment and suspension mechanism table

3 實驗分析

3.1 實驗場景設置和參數選擇

為綜合評估NCCA 算法的性能，在Ⅰntel i7-11700 CPU 2.50 GHz八核，16 GB內存和RTX 3080顯卡的實驗環(huán)境下，創(chuàng)建多個虛擬機模擬車聯網節(jié)點，并使用Golang語言實現一個由車聯網驗證節(jié)點、正常節(jié)點和惡意節(jié)點三類組成的車聯網數據共享原型系統(tǒng)。通過收集模擬系統(tǒng)中節(jié)點的行為數據和評估因素進行實驗仿真。其中，車輛網場景考慮9 km×9 km的車聯網覆蓋區(qū)域，并均勻劃分為9 個區(qū)域大小均為3 km×3 km 的網格。在每個區(qū)域內隨機設置1個基站，整個區(qū)域隨機分布250個初始節(jié)點[22]，驗證節(jié)點比例為0.6。由初始節(jié)點隨機投票選舉出區(qū)域候選驗證節(jié)點，區(qū)域候選驗證節(jié)點計算其他節(jié)點的信用值，按信用值更新區(qū)域驗證節(jié)點，剩余節(jié)點設置為正常節(jié)點。

因此基于上述實驗場景，為了驗證NCCA 的性能，通過參考文獻查閱和實驗分析兩種方法確定了如表2所示的實驗參數[23-24]，分別采用基于典型證明類共識（POS）改進的DPOS、基于典型選舉類共識（PBFT）改進的CDBFT、類PBFT 的共識算法RPCA 和所提出的NCCA進行實驗對比，計算各個算法的交易吞吐量、平均交易時延和平均節(jié)點通信開銷。其中，交易吞吐量定義為交易發(fā)起到寫入區(qū)塊鏈中的總交易數與總時間的比值。平均交易時延定義為全部交易從發(fā)起到寫入區(qū)塊鏈的總時間與交易數的比值。平均節(jié)點通信開銷定義為完成所有交易數時平均每個節(jié)點需要發(fā)送的通信包數量。查全率定義為NCCA 檢測出的真實惡意節(jié)點數量與網絡中存在的真實惡意節(jié)點總量的百分比，查準率定義為NCCA 檢測出的真實惡意節(jié)點數量與算法認為是惡意節(jié)點的總數量百分比。

表2 實驗參數Table 2 Experimental parameters

3.2 實驗結果分析

在交易吞吐量方面，實驗主要對不同惡意節(jié)點數量下DPOS、CDBFT、RPCA 和NCCA 的交易吞吐量進行分析。實驗方案選擇共識節(jié)點數量為250，依次存在惡意節(jié)點數為10、20、30、40、50、60、70和表2中其他參數。如圖4 所示，隨著惡意節(jié)點數量的上升，增加了部分區(qū)塊共識的時間，導致DPOS、CDBFT、RPCA 和NCCA 的交易吞吐量總體均呈下降趨勢。但NCCA 的交易吞吐量明顯高于其他共識算法，且受惡意節(jié)點影響下降趨勢不顯著。這是因為：在應對惡意節(jié)點的攻擊方面，NCCA采用對不同身份的節(jié)點給予不同的投票權重，通過限制惡意節(jié)點的投票權重，選擇高信用值的驗證節(jié)點完成區(qū)塊驗證共識，從而減少惡意節(jié)點對投票共識過程的影響。同時針對網絡中存在的惡意節(jié)點，提出一種多區(qū)域協(xié)同檢測和單區(qū)域內局部檢測的惡意節(jié)點二輪檢測機制，能夠高效區(qū)分出正常節(jié)點和惡意節(jié)點，對檢測出的正常節(jié)點進行賦權和惡意節(jié)點的停權操作，從而降低惡意節(jié)點對區(qū)塊共識效率的影響，最終有效提高交易吞吐量。而DPOS和CDBFT均未考慮到車聯網中節(jié)點的離線問題，隨著惡意節(jié)點數量的增加，網絡中代表節(jié)點遭受到惡意攻擊次數增加，而易發(fā)生節(jié)點離線的狀況，此時則需重新發(fā)起投票進行共識，從而導致算法投票次數較多，DPOS和CDBFT的交易吞吐量處于相對較低的水平。RPCA 在共識過程中需要每個驗證節(jié)點參與區(qū)塊共識，隨著惡意節(jié)點數量的上升，惡意節(jié)點將攻擊可信任列表中節(jié)點或偽造節(jié)點，影響到交易集與區(qū)塊驗證共識，并通過延時驗證等惡意行為導致交易吞吐量下降。因此NCCA 交易吞吐量要始終優(yōu)于DPOS、CDBFT和RPCA的交易吞吐量。

圖4 惡意節(jié)點數量對交易吞吐量的影響Fig.4 Ⅰnfluence of number of malicious nodes on transaction throughput

在平均交易時延方面，實驗主要對不同惡意節(jié)點數量下DPOS、CDBFT、RPCA 和NCCA 的平均交易時延進行分析。實驗方案選擇共識節(jié)點數量為250，依次選擇惡意節(jié)點數為10、20、30、40、50、60、70 和表2 中其他參數。如圖5 所示，隨著惡意節(jié)點數量的上升，共識算法被攻擊的次數增加，導致DPOS、CDBFT、RPCA 和NCCA的平均交易時延均呈上升趨勢，但NCCA的平均交易時延明顯低于其他共識算法，其性能得到了一定的改善。這是因為：NCCA采用可信任節(jié)點列表改進和驗證節(jié)點確認，在驗證節(jié)點生成可信列表時，考慮在通信過程中節(jié)點傳遞損失因子等關鍵參數，將信用值高且性能良好的節(jié)點加入到可信任列表中。在惡意檢測中綜合考慮節(jié)點的行為評估因素與狀態(tài)值情況，實現動態(tài)的節(jié)點權力分配，降低受多次延時、忽略正常節(jié)點消息等惡意行為的概率，最終將平均交易時延維持在較低水平。而DPOS與CDBFT僅通過信譽值或代幣累積時長構建區(qū)塊節(jié)點，缺乏對節(jié)點綜合性能的評估。面對數量增加的惡意節(jié)點，無法有效區(qū)分代表節(jié)點是否異常而需要重新發(fā)起投票選舉，因此其平均交易時延數值處于較高水平且呈逐漸上升趨勢。RPCA 通過預先設置的方式選擇驗證節(jié)點，在驗證節(jié)點的性能受到影響或惡意攻擊時，無法進行自動調整。隨著惡意節(jié)點數量上升，導致其成功攻擊次數上升，且每個驗證節(jié)點均需要參與區(qū)塊共識，因此其平均交易時延上升明顯。因此NCCA的平均交易時延優(yōu)于DPOS、CDBFT和RPCA的平均交易時延。

圖5 惡意節(jié)點數量對平均交易時延的影響Fig.5 Ⅰnfluence of number of malicious nodes on average transaction delay

在平均節(jié)點通信開銷方面，實驗主要對不同惡意節(jié)點數量下DPOS、CDBFT、RPCA和NCCA的平均節(jié)點通信開銷進行分析。實驗方案選擇共識節(jié)點數量為250，依次選擇惡意節(jié)點數為10、20、30、40、50、60、70 和表2中其他參數。如圖6 所示，隨著惡意節(jié)點數量的增加，在區(qū)塊驗證和交易廣播等階段節(jié)點間通信次數與質量受到干擾，導致DPOS、CDBFT、RPCA 和NCCA 的平均通信開銷呈上升趨勢，但NCCA的平均節(jié)點通信開銷低于其他共識算法。這是因為：NCCA采用惡意節(jié)點二輪檢測機制，減少參與區(qū)塊共識的惡意節(jié)點數量。選擇信用值高的驗證節(jié)點進行共識驗證，在保證區(qū)塊的共識效率的同時降低通信開銷。在交易集共識過程中設置棄權票與投票系數，允許驗證節(jié)點對交易投出棄權票，通過票型權重的方式削弱惡意節(jié)點驗證影響，避免交易集共識受到惡意節(jié)點干擾而增加通信次數，最終保證了區(qū)塊共識效率。而DPOS與CDBFT在代表節(jié)點的共識上需要經過多個階段，惡意節(jié)點數量的增加將導致節(jié)點重復多次廣播投票等信息，因此其平均節(jié)點通信開銷出現上升趨勢且數值處于較高水平。RPCA 中的每個驗證節(jié)點都需要對自身交易集進行廣播，隨著惡意節(jié)點數量的增加，受到的惡意攻擊數上升，驗證節(jié)點則需要重新完成交易集共識與區(qū)塊驗證共識。因此NCCA 的平均節(jié)點通信開銷遠優(yōu)于DPOS、CDBFT和RPCA的平均節(jié)點通信開銷。

圖6 惡意節(jié)點數量對平均節(jié)點通信開銷的影響Fig.6 Ⅰnfluence of number of malicious nodes on average node communication overhead

在惡意節(jié)點查全率與查準率方面，實驗主要對不同惡意節(jié)點數量下算法檢測惡意節(jié)點的完整性與準確率進行分析。實驗方案選擇共識節(jié)點數量為250，依次選擇惡意節(jié)點數為10、20、30、40、50、60、70 和表2 中其他參數。如圖7所示，隨著惡意節(jié)點數量的上升，NCCA的查全率與查準率均維持在一個較高的水平，且NCCA的查準率會略高于查全率。這是因為：NCCA結合節(jié)點的當前投票效率、交易時延、離線時間、加入可信任列表次數和提供無效區(qū)塊次等信息，實現節(jié)點評價值劃分。并結合與鄰接節(jié)點的通信次數、通信時延與通信質量進行惡意節(jié)點的二輪劃分，從而能夠全面并準確地區(qū)分出惡意節(jié)點與正常節(jié)點。由于NCCA 在區(qū)塊驗證共識中選擇高信用值的驗證節(jié)點，部分惡意節(jié)點存在共識驗證完成時還未進行惡意攻擊，在共識過程中其表現出來的行為特征與正常節(jié)點無明顯差異，因此算法的查準率會略高于查全率。

圖7 惡意節(jié)點數量對查全率與查準率的影響Fig.7 Ⅰnfluence of number of malicious nodes on recall and precision

4 結束語

該文針對車聯網中節(jié)點具有移動性和異構性而易遭受惡意攻擊，在RPCA 的基礎上，提出一種面向惡意節(jié)點攻擊的車聯網節(jié)點共識算法（NCCA）。首先，NCCA將車聯網劃分為若干個蜂窩單區(qū)域，改進可信任列表，并定期更新驗證節(jié)點，改進交易集共識投票權重和區(qū)塊驗證。其次，根據節(jié)點的參與區(qū)塊共識情況與行為信息，提出惡意節(jié)點二輪檢測機制，第一階段根據節(jié)點評估因素進行多區(qū)域協(xié)同檢測惡意節(jié)點，第二階段為根據鄰接節(jié)點狀態(tài)差異值進行單區(qū)域內局部檢測惡意節(jié)點。將車聯網節(jié)點分為驗證節(jié)點、正常節(jié)點和惡意節(jié)點三類，對驗證節(jié)點與正常節(jié)點進行賦權，對惡意節(jié)點進行停權懲罰。最后通過對算法交易吞吐量、平均交易時延、平均節(jié)點通信開銷、查全率和查準率的分析，得出NCCA能有效檢測出車聯網中的惡意節(jié)點，在保證節(jié)點參與區(qū)塊共識安全性的同時降低惡意節(jié)點對區(qū)塊共識的影響。通過降低性能較差的正常節(jié)點和惡意節(jié)點對區(qū)塊共識效率的影響，從而提高交易吞吐量和降低平均交易時延和平均節(jié)點通信開銷。但是NCCA 沒有考慮到惡意節(jié)點多融合攻擊問題和基于硬件的實測工作，因此下一階段目標研究將共識算法移植至基于樹莓派硬件的車聯網節(jié)點，開展進一步的實測工作，并開展適用于多融合攻擊手段情況下車聯網節(jié)點的共識算法研究，提高對惡意節(jié)點的全方面檢測與防御。