楊長春，章 陽，陳友榮，繆克雷，任條娟，王章權(quán)

1.常州大學(xué) 計算機(jī)與人工智能學(xué)院，江蘇 常州 213164

2.浙江樹人學(xué)院 信息科技學(xué)院，杭州 310015

隨著5G 商用的發(fā)展，自動化駕駛產(chǎn)業(yè)和車聯(lián)網(wǎng)（Ⅰnternet of vehicles，ⅠoV）產(chǎn)業(yè)進(jìn)入黃金發(fā)展期。在車聯(lián)網(wǎng)中每一輛個體車均可作為節(jié)點活動，會產(chǎn)生大量且類型不同的數(shù)據(jù)，并進(jìn)行相關(guān)數(shù)據(jù)廣播與共享，從而提高智能交通的服務(wù)質(zhì)量。但是在數(shù)據(jù)共享方面車聯(lián)網(wǎng)面臨惡意節(jié)點共識攻擊、隱私竊取攻擊等安全挑戰(zhàn)，會對車聯(lián)網(wǎng)的數(shù)據(jù)共享產(chǎn)生不利影響，甚至形成數(shù)據(jù)“孤島”的困境[1-2]。區(qū)塊鏈技術(shù)具有去中心化和匿名性等特點，遵循同一記賬交易規(guī)則并在一致性共識算法下達(dá)成一致意見，因此可采用區(qū)塊鏈技術(shù)確保車聯(lián)網(wǎng)中車輛或道路基礎(chǔ)設(shè)施收到的消息是合法的，并對消息進(jìn)行認(rèn)證、完整性保護(hù)和隱私保護(hù)。

在區(qū)塊鏈中核心要素是一致性共識算法，可直接決定其在應(yīng)用領(lǐng)域上的交易吞吐量[3]、交易時延[4]等特性。目前國內(nèi)外學(xué)者提出DPOS[5]（delegated proof of stake）、PBFT[6]（practical byzantine fault tolerance）、CDBFT[7]（credit-delegated byzantine fault tolerance）、RPCA[8]（ripple protocol consensus algorithm）等一致性共識算法。其中，DPOS 采用委托權(quán)益證明機(jī)制，在這種共識方式下，惡意節(jié)點可在前期通過離線方式累積幣齡，再重新上線對當(dāng)前區(qū)塊共識進(jìn)行攻擊。PBFT 解決實用拜占庭容錯問題，但是不能有效排除異常節(jié)點，并且實現(xiàn)數(shù)據(jù)的一致性需要大量的通信資源，效率較低。CDBFT雖然改進(jìn)PBFT，且建立一套信用評價機(jī)制和投票機(jī)制對節(jié)點進(jìn)行篩選，但惡意節(jié)點可以選擇在前期累積信用值，獲得更多的權(quán)利后對共識過程發(fā)動攻擊?？傊?，DPOS、PBFT，CDBFT 均研究靜態(tài)節(jié)點的一致性共識，但存在共識效率較低和異步網(wǎng)絡(luò)節(jié)點通信時延高，因此不適用于拓?fù)渥儎宇l繁的車聯(lián)網(wǎng)。此外，Schwartz等人[9]首次提出了RPCA。該算法通過可信任節(jié)點列表完成區(qū)塊共識，每隔幾秒能應(yīng)用到所用節(jié)點，具有高效維護(hù)整個網(wǎng)絡(luò)的有效性和一致性等優(yōu)點。雖然RPCA等共識算法能形成節(jié)點間的共識一致性，但是由于區(qū)塊鏈網(wǎng)絡(luò)是分布式網(wǎng)絡(luò)，節(jié)點具有動態(tài)加入和退出網(wǎng)絡(luò)、拓?fù)浣Y(jié)構(gòu)動態(tài)變化等特性，給惡意節(jié)點的攻擊創(chuàng)造了條件[10]。惡意節(jié)點通過女巫攻擊、日蝕攻擊等攻擊，偽裝成正常節(jié)點參與共識或通過多個惡意節(jié)點偏差誘導(dǎo)正常節(jié)點的共識結(jié)果和效率，從而發(fā)起針對車聯(lián)網(wǎng)環(huán)境的虛假數(shù)據(jù)傳播和車輛跟蹤等惡意攻擊。該類攻擊具有隱蔽性強、周期長、危害性大等特點，將直接導(dǎo)致車輛做出錯誤決策或操作，甚至釀成交通事故。

綜上所述，目前RPCA仍存在以下兩個問題：（1）主要考慮靜態(tài)節(jié)點的區(qū)塊共識問題，沒有考慮具有節(jié)點動態(tài)移動的車聯(lián)網(wǎng)場景，且其共識效率較低；（2）惡意攻擊會影響到共識的安全和效率，但是目前Ripple較少涉及對惡意節(jié)點的檢測。因此針對上述問題，在RPCA的基礎(chǔ)上，提出面向惡意節(jié)點攻擊的車聯(lián)網(wǎng)節(jié)點一致性共識算法（node consistency consensus algorithm for malicious node attacks in ⅠoV，NCCA）。簡單地說，該文的貢獻(xiàn)如下：

（1）針對一致性共識算法，提出可信任節(jié)點列表改進(jìn)和驗證節(jié)點確認(rèn)方法。該方法通過驗證節(jié)點計算區(qū)域網(wǎng)絡(luò)可通信列表中全部節(jié)點的信用值分?jǐn)?shù)，確定可信任節(jié)點列表，并定期更新驗證節(jié)點。改進(jìn)交易集共識，采用贊成票和棄權(quán)票的投票機(jī)制，并通過票型權(quán)重的方式計算交易的投票票數(shù)，從而選擇出需要進(jìn)行共識的交易集。改進(jìn)共識過程中區(qū)塊驗證的節(jié)點選擇，主要通過選擇驗證節(jié)點完成共識，從而提高節(jié)點參與區(qū)塊共識的積極性，提高交易吞吐量，降低交易時延。

（2）針對惡意節(jié)點攻擊，結(jié)合車聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)提出多區(qū)域協(xié)同檢測和單區(qū)域內(nèi)局部檢測的惡意節(jié)點二輪檢測機(jī)制。第一階段進(jìn)行多區(qū)域檢測，即根據(jù)節(jié)點的投票效率、交易時延、離線時間、加入可信任列表次數(shù)和提供無效區(qū)塊次數(shù)的評估因素，并通過FCM（fuzzy Cmeans）聚類實現(xiàn)節(jié)點的信用等級劃分，可初步劃分出惡意節(jié)點，提高惡意節(jié)點檢測的查全率。第二階段進(jìn)行局部檢測，即通過對第一輪檢測出的惡意節(jié)點，與其周圍鄰接節(jié)點之間相互通信后節(jié)點的狀態(tài)差異值，進(jìn)一步確認(rèn)惡意節(jié)點，從而提高惡意節(jié)點檢測的查準(zhǔn)率。對檢測后的節(jié)點執(zhí)行賦權(quán)和停權(quán)機(jī)制，即賦予驗證節(jié)點和正常節(jié)點相應(yīng)權(quán)利，對惡意節(jié)點根據(jù)其檢測出的次數(shù)，逐步加重其停權(quán)的時間，甚至剔除其網(wǎng)絡(luò)，從而降低惡意節(jié)點對網(wǎng)絡(luò)共識的影響。

1 相關(guān)工作

目前部分學(xué)者側(cè)重于在主流共識算法的基礎(chǔ)上，研究能適用于車聯(lián)網(wǎng)時效性、異構(gòu)性等特征的共識算法。如文獻(xiàn)[11]在PBFT 共識算法的基礎(chǔ)上，改進(jìn)基于時間序列和八卦協(xié)議，實現(xiàn)智能交通中車聯(lián)網(wǎng)的信息通信和共識認(rèn)證。文獻(xiàn)[12]提出一種累積信任證明機(jī)制，即根據(jù)車聯(lián)網(wǎng)中特定路側(cè)單元的累積信任選擇特定節(jié)點進(jìn)行共識，并通過每個車輛向多個目標(biāo)發(fā)生事務(wù)，從而避免單點故障。文獻(xiàn)[13]提出一種基于車聯(lián)網(wǎng)協(xié)同擁塞避免機(jī)制的改進(jìn)PBFT共識算法，通過對驗證節(jié)點進(jìn)行分組，選擇信道質(zhì)量優(yōu)的節(jié)點作為先導(dǎo)節(jié)點，并用兩階段過程代替?zhèn)鹘y(tǒng)三階段，從而提高算法性能。文獻(xiàn)[14]在RPCA 的基礎(chǔ)上，創(chuàng)建本地物聯(lián)網(wǎng)驗證器，而不是使用現(xiàn)有的公共驗證器，從而消除網(wǎng)絡(luò)干擾。文獻(xiàn)[15]提出節(jié)點間連接狀態(tài)的評價機(jī)制，從而應(yīng)對節(jié)點間通信質(zhì)量的變化對區(qū)塊共識效率的影響。由于RPCA 的共識效率遠(yuǎn)遠(yuǎn)高于其他共識算法，且提出的信任節(jié)點列表符合車聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境，可滿足短時間內(nèi)交易響應(yīng)和較高交易吞吐率需求，較其他共識算法更適用于車聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境。但是RPCA 等共識算法均易遭受惡意節(jié)點的身份偽裝和潛伏擴(kuò)散攻擊，因此部分學(xué)者側(cè)重于研究針對共識算法的惡意攻擊檢測算法，如文獻(xiàn)[16]提出一種自私挖礦攻擊檢測機(jī)制。該機(jī)制通過分析網(wǎng)絡(luò)中交易的大小，序號和區(qū)塊挖掘成本，為每個交易設(shè)置預(yù)期確認(rèn)高度。最終根據(jù)預(yù)期的交易確認(rèn)高度和區(qū)塊發(fā)布高度實現(xiàn)惡意檢測。文獻(xiàn)[17]提出一種基于深度學(xué)習(xí)的攻擊檢測算法。該算法通過主成分分析方法進(jìn)行特征提取，通過神經(jīng)網(wǎng)絡(luò)的多層感知器算法與訓(xùn)練集獲得檢測模型。文獻(xiàn)[18]在隨機(jī)森林分類算法的基礎(chǔ)上，收集正常情況和惡意情況的數(shù)據(jù)，提出一種檢測攻擊者控制節(jié)點的檢測算法。文獻(xiàn)[19]提出一種基于霧計算的分布式入侵檢測算法。該算法選擇互信息特征選擇，并通過智能合約的方式實現(xiàn)攻擊檢測。文獻(xiàn)[20]在共識機(jī)制中采用反對票，提出將節(jié)點信用分?jǐn)?shù)與等級作為選舉依據(jù)等方法，從而加快惡意節(jié)點的檢測效率。但是文獻(xiàn)[16-20]都是考慮靜態(tài)節(jié)點，沒有考慮車聯(lián)網(wǎng)中節(jié)點移動導(dǎo)致網(wǎng)絡(luò)動態(tài)變化，難以高效快速檢測惡意節(jié)點，無法直接應(yīng)用到RPCA的惡意節(jié)點檢測。

綜上所述，針對惡意節(jié)點攻擊，目前算法側(cè)重于通過對靜態(tài)節(jié)點的狀態(tài)檢測，而對于車聯(lián)網(wǎng)環(huán)境中動態(tài)節(jié)點的研究相對較少，存在無法全面高效檢測到惡意節(jié)點的同時實現(xiàn)高效共識等問題。

2 算法原理

如圖1 所示，在由車聯(lián)網(wǎng)節(jié)點（車載智能終端）、基站和云服務(wù)平臺組成的車聯(lián)網(wǎng)中，車聯(lián)網(wǎng)節(jié)點易遭受到惡意節(jié)點攻擊。即惡意節(jié)點偽造成不同的身份，通過多個惡意節(jié)點圍繞網(wǎng)絡(luò)中某一正常節(jié)點進(jìn)行信息偏差誘導(dǎo)，從而在網(wǎng)絡(luò)中自身和所誘導(dǎo)節(jié)點執(zhí)行惡意行為，如共識過程中多次延時或忽略正常節(jié)點消息行為，發(fā)送沖突虛假消息和多次執(zhí)行惡意投票行為等，最終實現(xiàn)對網(wǎng)絡(luò)正常共識的干擾與攻擊。

圖1 惡意節(jié)點攻擊場景Fig.1 Malicious node attack scenario

如圖2所示，針對上述惡意行為，結(jié)合基站的部署，將車聯(lián)網(wǎng)網(wǎng)絡(luò)劃分若干個蜂窩單區(qū)域。考慮車聯(lián)網(wǎng)節(jié)點劃分為驗證節(jié)點、正常節(jié)點和惡意節(jié)點三類，且當(dāng)車聯(lián)網(wǎng)網(wǎng)絡(luò)啟動時，每個單區(qū)域內(nèi)通過節(jié)點投票，選舉出單區(qū)域初始驗證節(jié)點并建立可信任列表。其次，由驗證節(jié)點對區(qū)域內(nèi)其他活動節(jié)點的行為進(jìn)行評分，并在可信任列表中更新信用得分高的節(jié)點。接著，由驗證節(jié)點對交易集進(jìn)行投票和區(qū)塊驗證共識。最后，經(jīng)過幾輪共識后，為實現(xiàn)惡意攻擊，惡意節(jié)點表現(xiàn)出異常數(shù)據(jù)，因此由驗證節(jié)點對惡意節(jié)點進(jìn)行惡意節(jié)點二輪檢測，并對檢測后的節(jié)點進(jìn)行賦權(quán)和停權(quán)限制，從而保證區(qū)塊共識。

圖2 整體結(jié)構(gòu)示意圖Fig.2 Overall structure diagram

同理，由多個單區(qū)域驗證節(jié)點投票選舉出多區(qū)域初始驗證節(jié)點，并建立多區(qū)域節(jié)點可信任列表，多區(qū)域后續(xù)工作流程同子區(qū)域流程基本相同。但是NCCA 仍需要解決以下三個問題：一是如何結(jié)合節(jié)點的行為特征和具體情況等信息，實現(xiàn)可信任列表的更新和驗證節(jié)點的確認(rèn)；二是如何考慮驗證節(jié)點在交易集和區(qū)塊共識中的合理安排，保證區(qū)塊共識效率；三是如何進(jìn)行惡意節(jié)點的檢測，在保證分區(qū)情況下提高惡意節(jié)點的查全率與查準(zhǔn)率。這三個問題的具體解決如下。

2.1 可信任節(jié)點列表改進(jìn)和驗證節(jié)點確認(rèn)

在RPCA共識過程中，驗證節(jié)點都會維護(hù)一個信任節(jié)點列表，且只接受來自信任節(jié)點列表中節(jié)點的提案?？紤]到RPCA 雖然比較高效，但是其防攻擊能力較弱。惡意節(jié)點可向正常節(jié)點發(fā)送沖突消息，忽略或延遲正常節(jié)點消息，導(dǎo)致網(wǎng)絡(luò)存在分叉風(fēng)險并且讓共識算法失去活力，此時只能重啟系統(tǒng)，這將會造成巨大損失。為解決RPCA易遭受惡意節(jié)點攻擊問題，NCCA改進(jìn)可信任節(jié)點列表，即當(dāng)網(wǎng)絡(luò)啟動時，由單區(qū)域中所有節(jié)點進(jìn)行自主投票選取N1個區(qū)域初始驗證節(jié)點。各單區(qū)域初始驗證節(jié)點投票組成多區(qū)域初始驗證節(jié)點列表。該列表中節(jié)點投票選擇N2個多區(qū)域初始驗證節(jié)點。若出現(xiàn)節(jié)點票數(shù)相同的情況時，則優(yōu)先選擇算力較大的節(jié)點確定為初始驗證節(jié)點。在確認(rèn)完初始驗證節(jié)點后，區(qū)域內(nèi)所有驗證節(jié)點通過公式（1）計算區(qū)域網(wǎng)絡(luò)可通信列表中全部節(jié)點的信用值分?jǐn)?shù)，當(dāng)節(jié)點信用值分?jǐn)?shù)超過預(yù)定閾值時，即該節(jié)點加入其可信任列表，根據(jù)節(jié)點信用值得分高低順序進(jìn)行添加。

其中，SCi,j表示第i個驗證節(jié)點的可通信列表中第j個節(jié)點的信用值得分，CRi,j表示第i個驗證節(jié)點的可通信列表中第j個節(jié)點的歷史信任值。δi,j表示第i個驗證節(jié)點的可通信列表中第j個節(jié)點的通信次數(shù)，ωi,j表示第i個驗證節(jié)點的可通信列表完成第j個節(jié)點的添加時所經(jīng)歷過的中間傳遞損失因子。

驗證節(jié)點需在規(guī)定的時間戳內(nèi)完成事務(wù)驗證，若產(chǎn)生超時情況，則采取2.3節(jié)中的賦權(quán)和停權(quán)機(jī)制，并更新該節(jié)點CR值。如果出現(xiàn)多個得分相同的節(jié)點，則隨機(jī)選擇節(jié)點加入可信任列表，同時將可通信列表中未能成功加入可信任列表的其他驗證節(jié)點，組成備用可信任節(jié)點群。當(dāng)可信任列表中的節(jié)點異?；虺霈F(xiàn)意外無法正常工作時，則從備用可信任節(jié)點群中選擇節(jié)點進(jìn)行切換。如當(dāng)一次更新替換可信任列表中的驗證節(jié)點數(shù)量過高時，導(dǎo)致可信任列表中剩余驗證節(jié)點數(shù)量低于預(yù)設(shè)閾值，則可能發(fā)生了網(wǎng)絡(luò)分叉問題，這時便可以通過備用可信任節(jié)點群和剩余高信用值驗證節(jié)點交叉驗證，從而實現(xiàn)對可信任列表的維護(hù)與保障事務(wù)處理效率。同時，經(jīng)過一定時間后，區(qū)域內(nèi)驗證節(jié)點根據(jù)自身可信任列表中的節(jié)點信用值分?jǐn)?shù)，重新投票選擇N1個驗證節(jié)點，并經(jīng)過所有驗證節(jié)點驗證通過后進(jìn)行驗證節(jié)點的更新。

2.2 交易集共識改進(jìn)

每個驗證節(jié)點會不斷收到從網(wǎng)絡(luò)發(fā)送過來的交易，通過與本地賬本數(shù)據(jù)驗證后，將不合法的交易直接丟棄，合法的交易與之前未確認(rèn)的交易匯總成節(jié)點本身的交易候選集。驗證節(jié)點收到其他驗證節(jié)點所認(rèn)可的交易提案后，與自身的交易集進(jìn)行對比，有相同交易則交易獲得票數(shù)一票?？紤]到RPCA 的交易集需要驗證節(jié)點進(jìn)行多輪投票，且在最終達(dá)成共識的交易集中每筆交易都至少獲得β1的驗證節(jié)點認(rèn)可。因此NCCA在保證共識安全性的前提下，對投票機(jī)制采用贊成票和棄權(quán)票，允許驗證節(jié)點對交易投出棄權(quán)票，并通過票型權(quán)重的方式計算交易的投票票數(shù)，削弱惡意節(jié)點驗證風(fēng)險，從而在保證交易安全的前提下，提高對惡意交易的篩選與共識安全。具體票數(shù)計算公式如下：

其中，vote_number表示交易的投票票數(shù)，vote_yes表示該區(qū)域中針對交易投贊成票的數(shù)量，vote_no表示該區(qū)域中針對交易投棄權(quán)票的數(shù)量，ζq表示對交易進(jìn)行投票的節(jié)點身份q（驗證節(jié)點、正常節(jié)點、惡意節(jié)點）的權(quán)重，ζyes和ζno表示所對應(yīng)節(jié)點身份中票型的權(quán)重因子，且ζyes+ζno=1，每筆交易按照投票結(jié)果從高到低進(jìn)行排序。為減少RPCA共識輪次，達(dá)到總票數(shù)閾值v1后無須再等待驗證直接確認(rèn)交易，達(dá)到閾值v2至v1范圍內(nèi)的交易繼續(xù)等待其他驗證節(jié)點的驗證，進(jìn)入下一次確認(rèn)的判斷，否則將當(dāng)前第一輪小于閾值v2和第二輪小于閾值v1的交易放棄，從而避免雙花攻擊，保證交易的安全性。最終確定交易集共識的最終結(jié)果。

在區(qū)塊驗證過程中，采用輪盤賭選擇法隨機(jī)選擇交易集中高信用值的驗證節(jié)點負(fù)責(zé)區(qū)塊生成。同時負(fù)責(zé)區(qū)塊生成的驗證節(jié)點計算哈希值并將所得值發(fā)送給其他驗證節(jié)點，然后統(tǒng)一收集反饋信息，當(dāng)反饋信息中的認(rèn)可比例達(dá)到一定閾值β2，則表明該區(qū)塊達(dá)成驗證共識，最終將區(qū)塊寫入到鏈上。

按照《獸用消毒劑鑒定技術(shù)規(guī)范》[8],配制成中和劑:為含0.5%卵磷脂、0.5%硫代硫酸鈉、3%吐溫-80及磷酸鹽緩沖液,再以金黃色葡萄球菌或白色念珠菌為受試菌,分6 組進(jìn)行中和劑性能的鑒別,具體分組如表1 所示。

2.3 惡意節(jié)點檢測

由于RPCA中惡意節(jié)點偏向于虛假投票多個消息、延時或不進(jìn)行消息驗證，其存在較高的隱匿概率，因此為保障共識算法的查全率與查準(zhǔn)率，NCCA提出包含多區(qū)域協(xié)同檢測和單區(qū)域內(nèi)局部檢測的惡意節(jié)點二輪檢測機(jī)制，并對檢測后的節(jié)點執(zhí)行賦權(quán)和停權(quán)機(jī)制，從而提高惡意節(jié)點的查準(zhǔn)率和查全率，具體內(nèi)容如下：

如圖3所示，第一階段檢測為多區(qū)域協(xié)同檢測。由多個區(qū)域內(nèi)選擇具有較大算力的驗證節(jié)點作為多區(qū)域驗證節(jié)點。由多區(qū)域驗證節(jié)點獲得所代表多個區(qū)域節(jié)點的交易時延、投票效率、離線時間、加入可信任列表次數(shù)和提供無效區(qū)塊次數(shù)等評估因素，進(jìn)行評價值評分。由于各評估因素中含有模糊評定，如不同情況下的交易時延，因此通過FCM聚類[21]計算每組評估因素在0-1間的隸屬度，并確定其屬于正常節(jié)點和惡意節(jié)點這兩個簇的程度。同時該驗證節(jié)點通過公式（3）計算各簇類的評價值，將簇類評價值低的簇類標(biāo)記為惡意節(jié)點，另一個簇類節(jié)點標(biāo)記為正常節(jié)點。

圖3 惡意檢測流程圖Fig.3 Malicious detection flowchart

其中，Vˉi表示第i個簇的得分，αij表示第i個簇內(nèi)第j個節(jié)點的加入可信任列表次數(shù)，μij表示第i個簇內(nèi)第j個節(jié)點的投票效率，υij表示第i個簇內(nèi)第j個節(jié)點的提供無效區(qū)塊次數(shù)，χij表示第i個簇內(nèi)第j個節(jié)點的交易時延，CNi表示第i個簇內(nèi)的節(jié)點總數(shù)，ι1、ι2、ι3和ι4表示不同評估因素對應(yīng)的權(quán)重參數(shù)。第一階段檢測保證了網(wǎng)絡(luò)中節(jié)點的查全率，篩選出區(qū)域內(nèi)可能存在的惡意節(jié)點對象。為避免部分正常節(jié)點被誤檢，因此進(jìn)行惡意節(jié)點的第二階段檢測。

第二階段檢測為單區(qū)域內(nèi)局部檢測。由單區(qū)域內(nèi)的驗證節(jié)點對第一輪檢測出來的惡意節(jié)點和驗證節(jié)點進(jìn)行二輪判斷?？紤]到正常節(jié)點在交換數(shù)據(jù)后會更新自我狀態(tài)值，則將節(jié)點通信次數(shù)、通信時延與通信質(zhì)量因素作為鄰接節(jié)點狀態(tài)值評估因素，其第一輪被判斷為惡意節(jié)點的鄰接節(jié)點通過公式（4）計算節(jié)點狀態(tài)信息，并發(fā)送給其所在區(qū)域的驗證節(jié)點。

其中，ηlk表示鄰接節(jié)點l記錄的惡意節(jié)點k狀態(tài)值，C_timeslk表示惡意節(jié)點k與其鄰接節(jié)點l的通信次數(shù)，C_delayslk表示惡意節(jié)點k與其鄰接節(jié)點l的通信時延，C_qualitylk表示惡意節(jié)點k與其鄰接節(jié)點l的通信質(zhì)量?？紤]到惡意節(jié)點會通過噪聲添加模擬偽造成正常節(jié)點的收斂狀態(tài)，但是鄰接節(jié)點記錄的通信次數(shù)、通信時延和通信質(zhì)量不會被篡改，因此可通過公式（5）計算鄰接節(jié)點記錄的節(jié)點狀態(tài)差異值，并驗證惡意節(jié)點。

其中，nslk表示當(dāng)前共識輪次下鄰接節(jié)點l記錄惡意節(jié)點k的狀態(tài)差異值，ηlk(N)表示第N輪共識完成后本節(jié)點對惡意節(jié)點k的狀態(tài)值，l表示惡意節(jié)點鄰接節(jié)點標(biāo)號，m表示惡意節(jié)點k周圍鄰接節(jié)點個數(shù)。根據(jù)鄰接節(jié)點，在共識階段中，惡意節(jié)點k的狀態(tài)差異值nslk出現(xiàn)以下現(xiàn)象，則將該節(jié)點標(biāo)記為惡意節(jié)點，加入惡意節(jié)點列表。

（2）惡意節(jié)點k的狀態(tài)差異值 超出預(yù)先設(shè)置的閾值β4，即節(jié)點存在異常行為，導(dǎo)致狀態(tài)值發(fā)生異常波動。

如表1 所示，在經(jīng)過惡意節(jié)點二輪檢測后，執(zhí)行節(jié)點的賦權(quán)和停權(quán)機(jī)制，即對驗證節(jié)點賦予投票權(quán)、區(qū)塊驗證權(quán)和區(qū)塊生成權(quán)，對普通正常節(jié)點賦予投票權(quán)和區(qū)塊驗證權(quán)，對惡意節(jié)點進(jìn)行Ti時間的停權(quán)操作，即暫停惡意節(jié)點以上權(quán)力，并廣播信息，其中Ti表示第i次被檢測為惡意節(jié)點所對應(yīng)的停權(quán)時間。為避免交易時延等正常行為造成正常節(jié)點的誤檢，驗證節(jié)點采用Sigmoid函數(shù)對惡意節(jié)點給予相應(yīng)輪次的停權(quán)時間。停權(quán)時間初期緩慢增加，當(dāng)節(jié)點多次被檢測為惡意節(jié)點，為加大惡意節(jié)點的懲罰力度，停權(quán)時間隨著輪次增幅加大。當(dāng)節(jié)點停權(quán)時間超過500 s，仍檢測該節(jié)點為惡意節(jié)點，則將其剔除網(wǎng)絡(luò)。

表1 賦權(quán)和停權(quán)機(jī)制表Table 1 Empowerment and suspension mechanism table

3 實驗分析

3.1 實驗場景設(shè)置和參數(shù)選擇

為綜合評估NCCA 算法的性能，在Ⅰntel i7-11700 CPU 2.50 GHz八核，16 GB內(nèi)存和RTX 3080顯卡的實驗環(huán)境下，創(chuàng)建多個虛擬機(jī)模擬車聯(lián)網(wǎng)節(jié)點，并使用Golang語言實現(xiàn)一個由車聯(lián)網(wǎng)驗證節(jié)點、正常節(jié)點和惡意節(jié)點三類組成的車聯(lián)網(wǎng)數(shù)據(jù)共享原型系統(tǒng)。通過收集模擬系統(tǒng)中節(jié)點的行為數(shù)據(jù)和評估因素進(jìn)行實驗仿真。其中，車輛網(wǎng)場景考慮9 km×9 km的車聯(lián)網(wǎng)覆蓋區(qū)域，并均勻劃分為9 個區(qū)域大小均為3 km×3 km 的網(wǎng)格。在每個區(qū)域內(nèi)隨機(jī)設(shè)置1個基站，整個區(qū)域隨機(jī)分布250個初始節(jié)點[22]，驗證節(jié)點比例為0.6。由初始節(jié)點隨機(jī)投票選舉出區(qū)域候選驗證節(jié)點，區(qū)域候選驗證節(jié)點計算其他節(jié)點的信用值，按信用值更新區(qū)域驗證節(jié)點，剩余節(jié)點設(shè)置為正常節(jié)點。

因此基于上述實驗場景，為了驗證NCCA 的性能，通過參考文獻(xiàn)查閱和實驗分析兩種方法確定了如表2所示的實驗參數(shù)[23-24]，分別采用基于典型證明類共識（POS）改進(jìn)的DPOS、基于典型選舉類共識（PBFT）改進(jìn)的CDBFT、類PBFT 的共識算法RPCA 和所提出的NCCA進(jìn)行實驗對比，計算各個算法的交易吞吐量、平均交易時延和平均節(jié)點通信開銷。其中，交易吞吐量定義為交易發(fā)起到寫入?yún)^(qū)塊鏈中的總交易數(shù)與總時間的比值。平均交易時延定義為全部交易從發(fā)起到寫入?yún)^(qū)塊鏈的總時間與交易數(shù)的比值。平均節(jié)點通信開銷定義為完成所有交易數(shù)時平均每個節(jié)點需要發(fā)送的通信包數(shù)量。查全率定義為NCCA 檢測出的真實惡意節(jié)點數(shù)量與網(wǎng)絡(luò)中存在的真實惡意節(jié)點總量的百分比，查準(zhǔn)率定義為NCCA 檢測出的真實惡意節(jié)點數(shù)量與算法認(rèn)為是惡意節(jié)點的總數(shù)量百分比。

表2 實驗參數(shù)Table 2 Experimental parameters

3.2 實驗結(jié)果分析

在交易吞吐量方面，實驗主要對不同惡意節(jié)點數(shù)量下DPOS、CDBFT、RPCA 和NCCA 的交易吞吐量進(jìn)行分析。實驗方案選擇共識節(jié)點數(shù)量為250，依次存在惡意節(jié)點數(shù)為10、20、30、40、50、60、70和表2中其他參數(shù)。如圖4 所示，隨著惡意節(jié)點數(shù)量的上升，增加了部分區(qū)塊共識的時間，導(dǎo)致DPOS、CDBFT、RPCA 和NCCA 的交易吞吐量總體均呈下降趨勢。但NCCA 的交易吞吐量明顯高于其他共識算法，且受惡意節(jié)點影響下降趨勢不顯著。這是因為：在應(yīng)對惡意節(jié)點的攻擊方面，NCCA采用對不同身份的節(jié)點給予不同的投票權(quán)重，通過限制惡意節(jié)點的投票權(quán)重，選擇高信用值的驗證節(jié)點完成區(qū)塊驗證共識，從而減少惡意節(jié)點對投票共識過程的影響。同時針對網(wǎng)絡(luò)中存在的惡意節(jié)點，提出一種多區(qū)域協(xié)同檢測和單區(qū)域內(nèi)局部檢測的惡意節(jié)點二輪檢測機(jī)制，能夠高效區(qū)分出正常節(jié)點和惡意節(jié)點，對檢測出的正常節(jié)點進(jìn)行賦權(quán)和惡意節(jié)點的停權(quán)操作，從而降低惡意節(jié)點對區(qū)塊共識效率的影響，最終有效提高交易吞吐量。而DPOS和CDBFT均未考慮到車聯(lián)網(wǎng)中節(jié)點的離線問題，隨著惡意節(jié)點數(shù)量的增加，網(wǎng)絡(luò)中代表節(jié)點遭受到惡意攻擊次數(shù)增加，而易發(fā)生節(jié)點離線的狀況，此時則需重新發(fā)起投票進(jìn)行共識，從而導(dǎo)致算法投票次數(shù)較多，DPOS和CDBFT的交易吞吐量處于相對較低的水平。RPCA 在共識過程中需要每個驗證節(jié)點參與區(qū)塊共識，隨著惡意節(jié)點數(shù)量的上升，惡意節(jié)點將攻擊可信任列表中節(jié)點或偽造節(jié)點，影響到交易集與區(qū)塊驗證共識，并通過延時驗證等惡意行為導(dǎo)致交易吞吐量下降。因此NCCA 交易吞吐量要始終優(yōu)于DPOS、CDBFT和RPCA的交易吞吐量。

圖4 惡意節(jié)點數(shù)量對交易吞吐量的影響Fig.4 Ⅰnfluence of number of malicious nodes on transaction throughput

在平均交易時延方面，實驗主要對不同惡意節(jié)點數(shù)量下DPOS、CDBFT、RPCA 和NCCA 的平均交易時延進(jìn)行分析。實驗方案選擇共識節(jié)點數(shù)量為250，依次選擇惡意節(jié)點數(shù)為10、20、30、40、50、60、70 和表2 中其他參數(shù)。如圖5 所示，隨著惡意節(jié)點數(shù)量的上升，共識算法被攻擊的次數(shù)增加，導(dǎo)致DPOS、CDBFT、RPCA 和NCCA的平均交易時延均呈上升趨勢，但NCCA的平均交易時延明顯低于其他共識算法，其性能得到了一定的改善。這是因為：NCCA采用可信任節(jié)點列表改進(jìn)和驗證節(jié)點確認(rèn)，在驗證節(jié)點生成可信列表時，考慮在通信過程中節(jié)點傳遞損失因子等關(guān)鍵參數(shù)，將信用值高且性能良好的節(jié)點加入到可信任列表中。在惡意檢測中綜合考慮節(jié)點的行為評估因素與狀態(tài)值情況，實現(xiàn)動態(tài)的節(jié)點權(quán)力分配，降低受多次延時、忽略正常節(jié)點消息等惡意行為的概率，最終將平均交易時延維持在較低水平。而DPOS與CDBFT僅通過信譽值或代幣累積時長構(gòu)建區(qū)塊節(jié)點，缺乏對節(jié)點綜合性能的評估。面對數(shù)量增加的惡意節(jié)點，無法有效區(qū)分代表節(jié)點是否異常而需要重新發(fā)起投票選舉，因此其平均交易時延數(shù)值處于較高水平且呈逐漸上升趨勢。RPCA 通過預(yù)先設(shè)置的方式選擇驗證節(jié)點，在驗證節(jié)點的性能受到影響或惡意攻擊時，無法進(jìn)行自動調(diào)整。隨著惡意節(jié)點數(shù)量上升，導(dǎo)致其成功攻擊次數(shù)上升，且每個驗證節(jié)點均需要參與區(qū)塊共識，因此其平均交易時延上升明顯。因此NCCA的平均交易時延優(yōu)于DPOS、CDBFT和RPCA的平均交易時延。

圖5 惡意節(jié)點數(shù)量對平均交易時延的影響Fig.5 Ⅰnfluence of number of malicious nodes on average transaction delay

在平均節(jié)點通信開銷方面，實驗主要對不同惡意節(jié)點數(shù)量下DPOS、CDBFT、RPCA和NCCA的平均節(jié)點通信開銷進(jìn)行分析。實驗方案選擇共識節(jié)點數(shù)量為250，依次選擇惡意節(jié)點數(shù)為10、20、30、40、50、60、70 和表2中其他參數(shù)。如圖6 所示，隨著惡意節(jié)點數(shù)量的增加，在區(qū)塊驗證和交易廣播等階段節(jié)點間通信次數(shù)與質(zhì)量受到干擾，導(dǎo)致DPOS、CDBFT、RPCA 和NCCA 的平均通信開銷呈上升趨勢，但NCCA的平均節(jié)點通信開銷低于其他共識算法。這是因為：NCCA采用惡意節(jié)點二輪檢測機(jī)制，減少參與區(qū)塊共識的惡意節(jié)點數(shù)量。選擇信用值高的驗證節(jié)點進(jìn)行共識驗證，在保證區(qū)塊的共識效率的同時降低通信開銷。在交易集共識過程中設(shè)置棄權(quán)票與投票系數(shù)，允許驗證節(jié)點對交易投出棄權(quán)票，通過票型權(quán)重的方式削弱惡意節(jié)點驗證影響，避免交易集共識受到惡意節(jié)點干擾而增加通信次數(shù)，最終保證了區(qū)塊共識效率。而DPOS與CDBFT在代表節(jié)點的共識上需要經(jīng)過多個階段，惡意節(jié)點數(shù)量的增加將導(dǎo)致節(jié)點重復(fù)多次廣播投票等信息，因此其平均節(jié)點通信開銷出現(xiàn)上升趨勢且數(shù)值處于較高水平。RPCA 中的每個驗證節(jié)點都需要對自身交易集進(jìn)行廣播，隨著惡意節(jié)點數(shù)量的增加，受到的惡意攻擊數(shù)上升，驗證節(jié)點則需要重新完成交易集共識與區(qū)塊驗證共識。因此NCCA 的平均節(jié)點通信開銷遠(yuǎn)優(yōu)于DPOS、CDBFT和RPCA的平均節(jié)點通信開銷。

圖6 惡意節(jié)點數(shù)量對平均節(jié)點通信開銷的影響Fig.6 Ⅰnfluence of number of malicious nodes on average node communication overhead

在惡意節(jié)點查全率與查準(zhǔn)率方面，實驗主要對不同惡意節(jié)點數(shù)量下算法檢測惡意節(jié)點的完整性與準(zhǔn)確率進(jìn)行分析。實驗方案選擇共識節(jié)點數(shù)量為250，依次選擇惡意節(jié)點數(shù)為10、20、30、40、50、60、70 和表2 中其他參數(shù)。如圖7所示，隨著惡意節(jié)點數(shù)量的上升，NCCA的查全率與查準(zhǔn)率均維持在一個較高的水平，且NCCA的查準(zhǔn)率會略高于查全率。這是因為：NCCA結(jié)合節(jié)點的當(dāng)前投票效率、交易時延、離線時間、加入可信任列表次數(shù)和提供無效區(qū)塊次等信息，實現(xiàn)節(jié)點評價值劃分。并結(jié)合與鄰接節(jié)點的通信次數(shù)、通信時延與通信質(zhì)量進(jìn)行惡意節(jié)點的二輪劃分，從而能夠全面并準(zhǔn)確地區(qū)分出惡意節(jié)點與正常節(jié)點。由于NCCA 在區(qū)塊驗證共識中選擇高信用值的驗證節(jié)點，部分惡意節(jié)點存在共識驗證完成時還未進(jìn)行惡意攻擊，在共識過程中其表現(xiàn)出來的行為特征與正常節(jié)點無明顯差異，因此算法的查準(zhǔn)率會略高于查全率。

圖7 惡意節(jié)點數(shù)量對查全率與查準(zhǔn)率的影響Fig.7 Ⅰnfluence of number of malicious nodes on recall and precision

4 結(jié)束語

該文針對車聯(lián)網(wǎng)中節(jié)點具有移動性和異構(gòu)性而易遭受惡意攻擊，在RPCA 的基礎(chǔ)上，提出一種面向惡意節(jié)點攻擊的車聯(lián)網(wǎng)節(jié)點共識算法（NCCA）。首先，NCCA將車聯(lián)網(wǎng)劃分為若干個蜂窩單區(qū)域，改進(jìn)可信任列表，并定期更新驗證節(jié)點，改進(jìn)交易集共識投票權(quán)重和區(qū)塊驗證。其次，根據(jù)節(jié)點的參與區(qū)塊共識情況與行為信息，提出惡意節(jié)點二輪檢測機(jī)制，第一階段根據(jù)節(jié)點評估因素進(jìn)行多區(qū)域協(xié)同檢測惡意節(jié)點，第二階段為根據(jù)鄰接節(jié)點狀態(tài)差異值進(jìn)行單區(qū)域內(nèi)局部檢測惡意節(jié)點。將車聯(lián)網(wǎng)節(jié)點分為驗證節(jié)點、正常節(jié)點和惡意節(jié)點三類，對驗證節(jié)點與正常節(jié)點進(jìn)行賦權(quán)，對惡意節(jié)點進(jìn)行停權(quán)懲罰。最后通過對算法交易吞吐量、平均交易時延、平均節(jié)點通信開銷、查全率和查準(zhǔn)率的分析，得出NCCA能有效檢測出車聯(lián)網(wǎng)中的惡意節(jié)點，在保證節(jié)點參與區(qū)塊共識安全性的同時降低惡意節(jié)點對區(qū)塊共識的影響。通過降低性能較差的正常節(jié)點和惡意節(jié)點對區(qū)塊共識效率的影響，從而提高交易吞吐量和降低平均交易時延和平均節(jié)點通信開銷。但是NCCA 沒有考慮到惡意節(jié)點多融合攻擊問題和基于硬件的實測工作，因此下一階段目標(biāo)研究將共識算法移植至基于樹莓派硬件的車聯(lián)網(wǎng)節(jié)點，開展進(jìn)一步的實測工作，并開展適用于多融合攻擊手段情況下車聯(lián)網(wǎng)節(jié)點的共識算法研究，提高對惡意節(jié)點的全方面檢測與防御。