关键词： 深度学习   漏洞检测   抽象语法树   关键操作码   胶囊网络  

摘要： 近年来,加密货币比特币的出现带动了区块链技术的蓬勃发展,而智能合约技术是区块链技术中的一个技术高地。目前以太坊中的智能合约应用受到大量的关注,创造了海量的应用价值,同时也带来了密集的攻击活动,造成了一系列重大的经济损失案件。因此对智能合约进行漏洞检测是非常有必要的。传统的漏洞检测方法包括符号执行、形式化验证、模糊测试等,目前这些方法的检测效率低、可扩展性差、准确率低,往往需要人工再审查。随着深度学习技术的迅猛发展和硬件算力的不断提升,开始有研究人员将深度学习的方法应用到智能合约漏洞检测上。实验结果表明,此类方法取得了很好的检测性能。因此本文主要研究基于深度学习的智能合约漏洞检测方法,具体的研究内容包括如下四部分:(1)针对智能合约源码上下文被削弱的问题,本文提出一种面向抽象语法树的特征编码方式。该方式对抽象语法树进行先序遍历的同时提取当前节点的父节点和子节点构成三元子集,以此获取树节点在树状结构中的上下文。同时构建了一种基于卷积神经网络和注意力机制的漏洞检测模型,利用注意力机制来衡量节点的重要程度,结合卷积神经网络提取源码的语义特征。(2)考虑到程序的执行时序信息,本文提出了一种面向关键操作码的特征编码方式。该方式将操作码序列进行规范化,并根据选取的关键操作码重组得到关键操作码序列。并构建了一种基于双向LSTM和自注意力机制的漏洞检测模型,以关键操作码序列作为输入。(3)结合前面提出的两种特征编码方式,本文提出一种基于多特征的漏洞检测模型,从多个层面提取智能合约源代码的特征,使得捕获的特征更全面。该模型利用胶囊网络提取抽象语法树的语义特征,同时利用双向LSTM网络提取关键操作码特征,最后融合两种特征并利用Softmax分类器进行漏洞分类。实验结果表明,该模型能够有效提高漏洞检测性能。(4)基于以上的三部分研究内容,利用Web应用技术设计并实现了一个智能合约漏洞检测系统。该系统接受智能合约源代码作为输入进行训练和预测,并以可视化的形式展示智能合约项目的漏洞情况,帮助开发者了解项目的漏洞情况。

关键词： 区块链   信任评价   智能合约   PBFT  

摘要： 当前电子商务飞速地发展,在线交易规模逐步扩大,尤其是在疫情的冲击下,实体店铺的发展遇到更大阻力,但是与此同时,却给了电商巨大的发展空间。但是在其发展的过程中,也不断地暴露着诸多问题:第一是信息篡改的问题,用户信息全部由第三方平台保存,用户对交易参与方信任评价的信息存在被篡改的风险;第二是信息泄露问题,尽管用户可以进行匿名评价,但这种基于第三方的平台只能实现面向公众的信息隐藏,而非真正的匿名;第三是信任评价衡量维度单一,目前使用最为广泛的信任评价模型缺少交易金额等评判标准,其评价结果有失偏颇。本文将在线交易信任评价机制与区块链技术相融合,在信任评价过程中实现了去中心化与防篡改,同时增加了信息的透明度,避免了用户之间信息不平等的问题。针对现有信任评价系统不完善的问题,本文在考虑交易行为的同时考虑了共识行为,将信任值与节点共识相结合,提出了基于信任值的PBFT共识算法,通过节点筛选,鼓励节点诚实共识。其次,本文提出新的信任评价模型与匿名评价机制,添加多种衡量维度,实现全面评判。其中,匿名评价机制通过智能合约编写可链接环签名算法来实现。最后,本文根据文中提出的算法通过JAVA语言,基于Vue和Spring Boot编写了基于区块链的在线交易信任评价系统,并针对该系统进行了相关性能的测试。

关键词： 智能合约   漏洞检测   多标记学习   操作码   分类器链  

摘要： 近年来,随着区块链技术的快速发展,智能合约开始被越来越多的人应用于实际生活中。智能合约利用区块链去中心化、可编程的特性,将传统合同转变为代码的形式部署在区块链平台上,极大地降低了交易的成本,提升了交易的效率。但是,智能合约带来这些便利的同时也带来了安全风险。智能合约漏洞引发的安全事件频发,造成大量经济损失,提前发现合约中的安全漏洞是预防漏洞被利用的关键途径之一。然而,现有智能合约漏洞检测方法在漏洞检测能力和效率上还不能完全满足大规模智能合约漏洞检测的需要。针对上述问题,本文对智能合约现状和现有智能合约漏洞检测技术存在的不足进行分析,并对基于机器学习的智能合约漏洞检测技术进行深入研究,主要研究工作及成果如下:(1)智能合约的特征提取及向量化是利用机器学习方法进行智能合约漏洞检测的第一步,特征处理结果对检测结果有重要的影响,目前还缺少一个有效的特征处理方法。针对这一问题,本文提出了一种基于智能合约文本的操作码向量化方法,该方法在考虑合约操作码结构特征的基础上,对操作码进行归类,使用N-Gram(N=2)算法以及TF-IDF算法将简化后的操作码转化为向量,并依据漏洞逻辑提取9维统计特征用于丰富向量表达,最大程度保留合约信息,充分反映智能合约的结构特征和调用关系。通过将该方法与其他特征提取方法对比实验,结果显示该方法使得逻辑回归模型训练时最高F1-score值能达到0.961,相比于其他特征提取方法取得了更好的效果。(2)一份智能合约可能存在多种漏洞,因此智能合约的漏洞检测是一个多标记学习问题,如果简单的将一种漏洞对应一个二分类模型,完全忽略标签之间潜在的相互关系,可能就会降低了分类器的检测能力。针对这一问题,本文将分类器链应用于智能合约漏洞检测中,提出一种基于改进分类器链的智能合约漏洞检测方法。该方法利用链对标签相关性建模,使用分类器链进行漏洞分类训练,充分反映不同漏洞发生原因的共同内在关联。实验对16439份以太坊上部署的已验证智能合约进行评估,最终得到的平均F1-score值达到0.963,相较于以往工作有了显著提升。同时,对于分类器链,提出链序列优化算法,将粒子群优化算法和遗传算法相结合,寻找漏洞标签顺序最优解,实验结果表明,最优解的F1-score值和汉明损失值分别为0.967和0.0166,相比于普通分类器链性能上有了明显提升。

关键词： 智能合约   日志审计   安全存储   访问控制   深度学习  

摘要： 信息系统的日志数据在监控系统运行状态、排查和定位软硬件故障和保障系统安全性与可靠性等方面都有着重要作用。日志审计可以充分发掘日志数据的分析价值,协助运维人员更好地监控和保障系统正常运行,及时识别系统错误和故障等异常信息。针对日志数据的存储与访问,当前信息系统面临着数据易被篡改、伪造和删除的安全风险,以及易发生数据未授权访问等问题。已有的日志存储与访问研究方法利用可搜索加密技术虽然实现了敏感日志数据的加密存储,但缺乏对密文检索过程的公平性和密文访问权限的控制等问题的研究。同时针对日志数据的分析,传统的依靠人工排查或基于规则匹配的分析方法,存在误报率和漏报率较高、实时性差等问题,难以满足当前大规模的、非结构化的日志数据的分析需求。智能合约具有公开透明、不可篡改和自动化执行等显著特点,为数据的存储与分析等提供了一种安全、高效和可信的方式。基于以上研究问题与背景,本文提出了基于智能合约的信息系统日志安全审计技术,以实现日志数据的安全存储、授权访问和高效自动化分析,主要包含以下三个工作点。第一,设计基于智能合约的日志安全存储与访问方法,智能合约作为可搜索加密过程的参与方,执行搜索陷门的比对和搜索密文的验证,从而无需第三方实体即可验证密文搜索结果的正确性。同时利用押金机制保障搜索过程中数据用户与云服务器之间的公平支付。第二,设计基于角色的访问控制合约,实现访问控制策略的公开透明和访问权限的自动化验证,确保仅拥有相应角色的数据用户,才能获取相应的密文数据访问权限,避免发生未经授权的访问。同时利用角色密钥与用户密钥的一对多的映射关系,将可搜索加密拓展至多对多用户模式。第三,设计基于智能合约的自适应日志分析方法,建立统一的基于区块链的日志安全审计分析平台。链上部署的日志模板相似度检查合约,与链下基于深度学习的日志异常检测分析模型相结合,可以充分挖掘日志数据的结构化特征和上下文关联信息,达到分析效率与检测准确度的有机统一,实现自动化的、高效的、准确的日志分析与异常检测。通过分析和实验得知,本文设计的日志安全存储与访问方法可以满足日志审计工作中,日志存储的完整性和机密性要求,保证数据的授权访问。同时,结合智能合约与深度学习技术的自适应日志分析方法,可以实现自动化的、高效的日志分析,在大规模日志数据集的分析与检测中,有着较好的准确性和实时性表现。

关键词： 区块链   数据共享系统   智能合约   星际文件系统   基因组学数据  

摘要： 基因组学数据和其衍生的表型数据是高价值和具有高度敏感性的,其中的基因组学数据更是涉及到隐私性问题。这些现在往往都各自存储在不同的科研机构的中心化的服务器中,它们的共享和传输存在数据安全、隐私泄密、有效监管和访问控制的问题。不同的科研机构之间,也缺乏信任机制,导致科研数据的共享访问困难。传统的加密方式和Web开发相结合比如单纯的属性加密虽然可以在数据共享或者传输的过程当中解决访问控制问题,但通常会有安全性问题和信任缺失的问题。针对这些可能存在的问题,本文设计与实现了一个基因组学数据共享平台,在保证数据的隐私性和安全性的同时,提升共享数据的效率,并且将数据访问相关的权限以及审批过程的关键信息存储在Fabric区块链网络当中,保证全局的可信度和安全。本系统主要采用B/S架构,使用SSM框架进行后端搭建,对于数据的存储选择的是传统关系型数据库和IPFS分布式数据库相结合的方式。系统主要包括角色权限管理,数据文件管理,智能合约管理和审批流程管理四个模块,通过将访问控制和超级账本中的CA机制相结合实现了主体原始数据在星际文件系统中分布式加密存储以及关键信息在区块链上加密共享的模式。在最后,对上述方案进行了实现效果以及整体安全性的测试,验证和对照。可以得出结论,该方案可以在实现较高效的数据共享,也能抵御外部明文攻击,以及添加了有效的隐私保护功能,要优于现有的某个单一方案。

关键词： 地理标志茶   联盟链   茶叶溯源   智能合约  

摘要： 随着人们对高品质生活质量的追求,对食品质量的档次要求越来越高,对食品安全越发看重。茶叶属于食品,有助于健康。消费者、监管部门和企业对茶叶质量监控也日益加强。茶叶溯源涉及从种植采摘、生产到物流及销售所有环节,涉及数据量较大。传统茶叶溯源系统中各大企业独立建设,信息不流通,存在数据存储中心化的问题,易形成信息孤岛,数据存在误操作、被攻击和被篡改的可能,使得溯源数据缺乏权威性、安全性和可靠性,从而导致整个茶叶供应链溯源系统失去监管保障功能,信誉度受损。本文通过联盟链技术构建一个地理标志茶溯源系统,对促进茶产业数字化和现代化有一定的现实意义。地理标志茶属于各个地方的特色茶叶,具有地域保护性,有较高知名度,联盟链属于区块链技术的一种,具有去中心化、数据透明、数据可追溯、数据防篡改等特点。本文旨在设计并实现基于联盟链的地理标志茶溯源系统,使茶叶在流通过程中的信息互联,形成具有可追溯、可共享、数据透明的茶叶溯源链,从而实现对地理标志茶的全过程监管,对茶叶质量问题提供保障,加强流通环节中监管部门和各参与方之间的信息融通,解决了传统茶叶溯源系统信息孤岛化,数据不可信不安全的问题。本文完成的主要工作如下:(1)通过阅读地理标志茶和区块链相关文献和多途径调研收集整理地理标志茶品牌、相关法律法规和开发保护的建议。(2)通过对联盟链相关技术的深入学习和对地理标志茶业务流程的全面了解,构建了基于联盟链的地理标志茶溯源模型,包括系统数据模型、系统用例模型、系统动态模型、业务流程模型、总体架构模型、溯源码模型等。设计了符合地理标志茶业务逻辑的智能合约并进行了测试和验证,实现了联盟链中地理标志茶溯源业务逻辑的数据存储和查询等功能。(3)使用Hyperledger Fabric联盟链软件在云服务器上部署了多节点的联盟链网络,开发了地理标志茶溯源微信小程序和基于B/S架构的地理标志茶溯源后台管理系统,实现了数据在Fabric和My SQL中录入、查询等功能并对溯源系统进行了功能和性能测试,并部署了一套Prometheus+c Adivor+Grafana的监控系统对整个地理标志茶溯源系统的软硬件资源进行全方位的运维监控。

关键词： 合同   智能合约   法律问题  

摘要： 智能合约是一种基于区块链技术、使用计算机编程语言来表示合同内容及规则的一种合同,其工作原理是当一个预先定义的条件被触发时,智能合约就执行相应的合同条款。由于计算机程序的自动干预,可以避免人为因素的影响,从而完成合约的自动执行。与传统合同相比,智能合约具有自动执行性、去中心性、匿名性以及不可篡改等特征,使得学界对于智能合约的性质界定多有争议。因为智能合约符合合同的要约与承诺构造,且智能合约并非属于民事合同、商事合同以及行政合同,所以基于合同法的审视,它应当属于一种新型合同。但关于此新型合同在缔约过程中存在对合同内容解释困难、容易产生合同欺诈以及限制当事人意思自由的问题,因此应当在合同法中明确智能合约的内容解释标准,确保合同当事人能够准确知悉合约中规定的双方权利义务分配。另外,智能合约的开发者也要充分履行在交易行为全过程的提醒和说明义务,设置智能识别系统,全程参与智能合约的交易行为。对于智能合约可能限制当事人意思表示的情况,可以根据事前避免、事中阻止和事后救济的思路,利用技术和法律手段共同解决该问题。关于此新型合同的效力认定,存在效力认定困难的问题,应当在合同法中明确智能合约的生效时间、主体行为能力、意思表示真实性以及内容合法性的判断,明确智能合约的生效条件。关于此新型合同的履行变更困境,应当在合同法中明确智能合约的变更、合约可撤销以及合约解除的要求。综上,关于智能合约在其应用与实践中的法律挑战,应当具体问题具体分析,通过综合智能合约的特征与《民法典》倡导的精神作出应对。

关键词： 智能合约   合同制度   法律规制  

摘要： 区块链作为一项技术革新,在数字化产业变革中极具重要性,从而被世界各国大力的推动,智能合约作为区块链“2.0”的代表性应用,在区块链的产业推动中进入人们的视野。区块链平台运行的智能合约相比于传统合同,在商业交易中解决了合同订立需要反复协商的时间成本、支付提供担保的第三方的中介费用,以及合同履行的低效率等问题。在它的履行中不依赖人的参与,在计算机识别到预先条件后,会按照合约中设定条款运行,达到当事人订立合同的目的,这使得订立合同的履行成本降低,交易变得高效、便捷。但智能合约高速发展下法律的滞后性导致对其法律规范的不足,同时对于智能合法律性质的争论使智能合约在现有法律制度的适用上同样出现了困难。本文首先对智能合约的基本理论进行分析,认为智能合约在技术上的革新性并不影响其合同属性,依旧是合同的一种表现形式,未脱离传统合同理论的框架。其次基于其本身的特性,在应用中存在着技术风险,以及对于合同制度中的基本原则以及具体制度的挑战等问题,依据现有的法律制度并不能保障智能合约的健康发展。进而在分析了美国、俄罗斯、英国对智能合约进行的规范后,总结国外在进行法律规制中的经验,提出在我国的法律规制建设中,通过法律制度建设以及行业规范建设两个方面来进行完善。最后对我国在智能合约法律规制的具体举措上进行探讨,通过确立智能合约的法律原则、健全智能合约法律制度、建立智能合约行业规范措施等方式,对智能合约的应用进行系统的规范。

关键词： 区块链   有向无环图   智能合约   共识方法   双花攻击  

摘要： 区块链是一种分布式账本技术。当下,区块链与智能合约技术相结合,在各领域有广阔的前景。目前,支持智能合约的传统区块链系统通常采用链式账本结构将所有交易按时间顺序组织在一起。这种对全部交易严格排序的账本结构对区块链的吞吐量和交易确认延迟造成了较大的负面影响,而如IOTA等高性能有向无环图区块链系统对智能合约的支持不佳,从而使得区块链的应用场景受到限制。 为此,本文提出了一种全新的区块链账本Paradag,它是支持合约的、高性能的、且具备足够安全性的。本文主要研究内容包括: (1)平行互连式有向无环图区块链账本结构研究。研究设计了一种兼顾对智能合约的支持以及高并发的区块链账本结构。将不同智能合约的交易分散到不同的子链,以实现不同智能合约的交易的并发执行;在子链间添加额外的边来表达不同合约交易的见证关系,以抵御双花攻击。 (2)信任值更新规则集研究。根据上述账本结构,设计了信任值更新规则集。信任值是衡量一个区块可信度的指标,以可信度激励的方式避免网络节点间的分歧。另外,还通过数学方法证明了规则集的可行性。 (3)两阶段确认的Paradag共识方法研究。根据上述成果,研究并设计了适用于Paradag的两阶段确认的Po W共识方法,并分析了该共识方法可能面临的双花攻击,以及其对攻击的抵御能力。 (4)Paradag性能与安全性的评估。通过理论分析和实验发现,Paradag能够在满足区块链安全性要求的基础上,达到不低于1 000笔交易/秒的吞吐量和小于1分钟的交易确认延迟,充分说明了本研究对提高区块链吞吐量和降低交易确认延迟的有效性。