吳 楠, 王良民, 宋香梅

1.江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院, 鎮(zhèn)江212013

2.華東師范大學(xué)上海市高可信計(jì)算重點(diǎn)實(shí)驗(yàn)室, 上海200062

物聯(lián)網(wǎng)安全技術(shù)專欄

1 引言

區(qū)塊鏈技術(shù)最早起源于中本聰先生發(fā)表的比特幣白皮書(shū)[1], 其去中心化、去信任化、開(kāi)放、信息不可更改、匿名、自治的特性[2]得到了廣泛研究和認(rèn)可, 并逐漸投入到實(shí)際的應(yīng)用場(chǎng)景中.除此之外, 區(qū)塊鏈技術(shù)還與其他技術(shù)相結(jié)合, 以解決其原有的安全隱患, 如車聯(lián)網(wǎng)信息安全問(wèn)題[3].物聯(lián)網(wǎng)是更復(fù)雜的車聯(lián)網(wǎng), 其包含了大量的高度異構(gòu)的設(shè)備, 而設(shè)備之間缺乏相互的信任機(jī)制, 可能存在非法竊聽(tīng)、拒絕服務(wù)等安全威脅, 需要加強(qiáng)設(shè)備身份安全管理.

區(qū)塊鏈?zhǔn)且环N去中心化、不可篡改的、可追蹤的多方分布式數(shù)據(jù)庫(kù)技術(shù), 它集成了P2P 網(wǎng)絡(luò)技術(shù)、非對(duì)稱加密技術(shù)、共識(shí)機(jī)制等多種技術(shù), 解決了數(shù)據(jù)的可信問(wèn)題[4].利用區(qū)塊鏈技術(shù)的安全機(jī)制, 物聯(lián)網(wǎng)可以建立一套可信的加密系統(tǒng), 從而維護(hù)數(shù)據(jù)的安全.盡管有較多的安全優(yōu)勢(shì), 區(qū)塊鏈也存在一些安全隱患.隱私威脅[5,6]、流量攻擊[7]、節(jié)點(diǎn)或礦池攻擊[8]、智能合約漏洞[9]等問(wèn)題都對(duì)區(qū)塊鏈技術(shù)的安全造成威脅, 解決方案與防范措施也在進(jìn)一步的研究當(dāng)中.

利用區(qū)塊鏈技術(shù)解決物聯(lián)網(wǎng)設(shè)備安全問(wèn)題, 一個(gè)可行的解決方案是探索區(qū)塊鏈應(yīng)用是否可以維護(hù)正常用戶的交易安全, 能否防范和追溯惡意用戶的攻擊行為, 利用怎樣的技術(shù)來(lái)解決上述身份管理問(wèn)題, 如果可行, 再研究將該管理方案應(yīng)用到物聯(lián)網(wǎng)安全管理的可能性.為此, 我們需要深入探索區(qū)塊鏈應(yīng)用的身份管理技術(shù), 并針對(duì)可能出現(xiàn)的身份安全問(wèn)題思考有效的解決方案, 本文以 Augur 系統(tǒng)為具體對(duì)象進(jìn)行研究.Augur 是首個(gè)基于以太坊平臺(tái)構(gòu)建的預(yù)測(cè)市場(chǎng)系統(tǒng), 這款應(yīng)用早期投入市場(chǎng)開(kāi)始使用, 并經(jīng)過(guò)多次測(cè)試與完善, 對(duì)區(qū)塊鏈技術(shù)的研究具有重要的參考價(jià)值.

本文致力于通過(guò) Augur 來(lái)探討區(qū)塊鏈應(yīng)用的身份管理方案.首先對(duì) Augur 的框架和原理進(jìn)行研究,然后從信任模型、身份認(rèn)證、隱私保護(hù)三個(gè)方面分析 Augur 在身份信息方面的管理方案和潛在風(fēng)險(xiǎn), 最后提出安全解決方案并考慮具體的實(shí)現(xiàn)細(xì)節(jié).

2 Augur的身份管理技術(shù)研究

2.1 Augur的基本介紹

Augur 是一個(gè)預(yù)測(cè)市場(chǎng)平臺(tái).在預(yù)測(cè)市場(chǎng)中, 個(gè)人可以針對(duì)未發(fā)生事件預(yù)測(cè)其結(jié)果; 那些預(yù)測(cè)結(jié)果正確的人可以贏得籌碼, 而那些預(yù)測(cè)不正確的人會(huì)則會(huì)損失本金.下面從框架結(jié)構(gòu)、系統(tǒng)代幣和運(yùn)行原理三個(gè)方面對(duì)Augur 做簡(jiǎn)要介紹.

2.1.1 框架結(jié)構(gòu)

Augur 節(jié)點(diǎn)需要與以太坊節(jié)點(diǎn)協(xié)同工作.Augur 的開(kāi)發(fā)團(tuán)隊(duì)為用戶設(shè)計(jì)了兩種接入Augur 網(wǎng)絡(luò)的方式, 用戶可根據(jù)實(shí)際情況或其他需求來(lái)選擇.

(1) 本地節(jié)點(diǎn)

運(yùn)行本地以太坊節(jié)點(diǎn)連入 Augur 網(wǎng)絡(luò) (如圖1 所示) 可以獲得最佳性能和整體體驗(yàn), 因?yàn)?Augur 會(huì)直接將RPC (Remote Procedure Call, 遠(yuǎn)程過(guò)程調(diào)用) 請(qǐng)求發(fā)送到本地節(jié)點(diǎn).用戶可以直接在本地節(jié)點(diǎn)通過(guò)瀏覽器了解網(wǎng)絡(luò)的最新信息, 并對(duì)本地?cái)?shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行更新.但這種接入模式需要消耗本地大量的計(jì)算資源和存儲(chǔ)資源, 并且可能需要長(zhǎng)時(shí)間運(yùn)作來(lái)保證數(shù)據(jù)的最新?tīng)顟B(tài).

圖1 利用本地節(jié)點(diǎn)接入的Augur 的網(wǎng)絡(luò)架構(gòu)Figure 1 Framework of network in Augur when using a local node

(2) 遠(yuǎn)程節(jié)點(diǎn)

為了減輕本地的負(fù)擔(dān), Augur 的開(kāi)發(fā)團(tuán)隊(duì)在 Rinkeby 測(cè)試網(wǎng)絡(luò)上維護(hù)一個(gè)公共的以太坊節(jié)點(diǎn), 如圖2 所示, 可供遠(yuǎn)程接入.通過(guò)與該遠(yuǎn)程以太坊節(jié)點(diǎn)交互, 本地節(jié)點(diǎn)可以獲取 Augur 網(wǎng)絡(luò)的信息, 參與Augur 交易過(guò)程, 但需要花費(fèi)更多時(shí)間.

圖2 利用遠(yuǎn)程節(jié)點(diǎn)接入的Augur 的網(wǎng)絡(luò)架構(gòu)Figure 2 Framework of network in Augur when using a hosted node

2.1.2 兩種代幣

Augur 基于以太坊平臺(tái)架構(gòu), 并使用其內(nèi)置的 ETH (以太幣) 進(jìn)行交易.以太幣的使用機(jī)制與非對(duì)稱密碼技術(shù)密不可分.

創(chuàng)建以太坊錢包地址的流程如下:

(1) 隨機(jī)生成一個(gè) 32 字節(jié)的隨機(jī)數(shù) (1 到 2256?1) 作為私鑰;

(2) 采用secp256k1 橢圓曲線數(shù)字簽名算法將私鑰映射成公鑰;

(3) 公鑰經(jīng)過(guò)Keccak-256 單向散列函數(shù)變成32 字節(jié), 取后20 字節(jié)作為地址.

圖3 以太坊非對(duì)稱加密機(jī)制Figure 3 Asymmetric cryptography of Ethereum

圖3 中兩個(gè)流程都是不可逆的, 這就保證了錢包地址的公開(kāi)不會(huì)泄漏私鑰的任何信息, 用戶只需保管好自己的私鑰, 知道自己和對(duì)方的地址就可以安全地進(jìn)行轉(zhuǎn)賬.

除了以太幣, Augur 中還有一種本地代幣——REP(信譽(yù)).市場(chǎng)創(chuàng)建者和報(bào)告者在進(jìn)行對(duì)應(yīng)的市場(chǎng)活動(dòng)時(shí)需要使用 REP.市場(chǎng)創(chuàng)建者需要用 REP 做抵押, 確保創(chuàng)建有效的市場(chǎng); 報(bào)告者通過(guò) REP 產(chǎn)生共識(shí)的結(jié)果.通過(guò)參與對(duì)事件結(jié)果的準(zhǔn)確報(bào)告, REP 持有者可以獲得平臺(tái)上的部分費(fèi)用.盡管REP 在Augur的運(yùn)行中發(fā)揮著核心作用, 但它并不用于在Augur 的市場(chǎng)上進(jìn)行交易, 交易者使用ETH 進(jìn)行結(jié)果份額的買賣.

2.1.3 運(yùn)行原理

Augur 市場(chǎng)遵循四個(gè)階段的進(jìn)展: 創(chuàng)建, 交易, 報(bào)告和結(jié)算.下面簡(jiǎn)要介紹這四個(gè)流程.

(1) 創(chuàng)建市場(chǎng)

任何人都可以利用 Augur 針對(duì)未來(lái)發(fā)生的事件創(chuàng)建市場(chǎng).首先, 市場(chǎng)創(chuàng)建者需要先確定市場(chǎng)的細(xì)節(jié):開(kāi)始時(shí)間和報(bào)告時(shí)間、市場(chǎng)類型、報(bào)告來(lái)源、指定報(bào)告者等等.然后, 市場(chǎng)創(chuàng)建者需要設(shè)置創(chuàng)建者費(fèi)用, 結(jié)算時(shí)市場(chǎng)根據(jù)合約向其支付.最后, 市場(chǎng)創(chuàng)建者確認(rèn)信息.一旦得到確認(rèn), 交易就開(kāi)始了.

(2) 進(jìn)行交易

市場(chǎng)參與者通過(guò)交易這些市場(chǎng)結(jié)果的份額來(lái)預(yù)測(cè)事件的結(jié)果.Augur 交易合約為平臺(tái)上創(chuàng)建的每個(gè)市場(chǎng)維護(hù)訂單.如果訂單簿上已有匹配訂單, 則立即履行買賣份額的請(qǐng)求; 如果沒(méi)有匹配的訂單, 或者請(qǐng)求只能部分填寫(xiě), 則剩余部分將作為新訂單放在訂單簿上.

(3) 報(bào)告結(jié)果

創(chuàng)建者設(shè)置的報(bào)告時(shí)間一到, 市場(chǎng)進(jìn)入報(bào)告結(jié)果階段, 其流程如圖4 所示, 具體細(xì)節(jié)白皮書(shū)[10]中都有體現(xiàn), 此處不再贅述.

圖4 報(bào)告流程圖Figure 4 Reporting flowchart

(4) 結(jié)算費(fèi)用

敲定結(jié)果后, 如果一個(gè)市場(chǎng)在沒(méi)有啟動(dòng)分叉的情況下最終敲定, 則所有投入錯(cuò)誤結(jié)果的REP 都會(huì)被沒(méi)收并根據(jù)用戶持有的REP 數(shù)量成比例地分發(fā)給投對(duì)的用戶; 如果市場(chǎng)敲定為無(wú)效, 則交易者將獲得與每個(gè)結(jié)果的份額相等數(shù)量的ETH.

2.2 Augur的身份管理技術(shù)分析

身份管理技術(shù)是指保護(hù)身份信息安全的管理技術(shù), 是應(yīng)用程序交易服務(wù)的基礎(chǔ), 包括信任模型、身份認(rèn)證、隱私保護(hù)等多個(gè)方面, 本文著重針對(duì)這三個(gè)方面分析Augur 采用的身份管理技術(shù), 并探討其存在的風(fēng)險(xiǎn).

2.2.1 信任模型

信任模型主要用于以前互不了解的用戶之間的交互[11].在交換各種潛在敏感信息之后, 參與者可以決定是否相互信任.

(1) Augur 管理方案

對(duì)于普通交易者, Augur 是一個(gè)無(wú)需信任的預(yù)測(cè)市場(chǎng)平臺(tái).通過(guò)對(duì) Augur 的交易過(guò)程和實(shí)現(xiàn)交易功能的智能合約代碼進(jìn)行分析, 也可以發(fā)現(xiàn), Augur 的交易過(guò)程中沒(méi)有對(duì)用戶私人信息的請(qǐng)求, 且Augur 中采用匿名交易, 用戶無(wú)法直接獲取與之交互的用戶信息, 也無(wú)法判斷其是否可信.

對(duì)于報(bào)告者, Augur 中的信譽(yù)代幣REP 是Augur 市場(chǎng)報(bào)告者達(dá)成共識(shí)使用的數(shù)字貨幣.在報(bào)告和爭(zhēng)議過(guò)程中, REP 持有人對(duì)某個(gè)結(jié)果投入越多的REP, 該結(jié)果就越有可能成為最終結(jié)果; 當(dāng)REP 持有人投注的結(jié)果為最終的共識(shí)結(jié)果時(shí), 系統(tǒng)會(huì)重新分配 REP, 實(shí)質(zhì)上是給與誠(chéng)實(shí)者以 REP 獎(jiǎng)勵(lì), 則 REP 的持有量一定程度上代表了該持有人的可信度.

(2) 潛在風(fēng)險(xiǎn)

在Augur 中, 所有的交易過(guò)程都是根據(jù)定好的規(guī)則, 由智能合約自動(dòng)執(zhí)行, 其安全性依賴于智能合約的安全性.但目前已經(jīng)發(fā)現(xiàn)針對(duì)智能合約的攻擊行為, 而Augur 并沒(méi)有對(duì)應(yīng)的防范措施.此外, REP 的獲取可以直接通過(guò)ETH 購(gòu)買的, 與持有人本身的信譽(yù)值并無(wú)直接聯(lián)系.這樣的信任模型有可能導(dǎo)致莊家通過(guò)大量購(gòu)買 REP 操控市場(chǎng)結(jié)果.事實(shí)上當(dāng)前 Augur 市場(chǎng)中流通的 REP 僅掌握在少數(shù)人的手中, 僅 62個(gè)地址擁有11 102 209 REP 代幣, 不可信的REP 持有人可能操控市場(chǎng)的結(jié)果, 損害參與者利益.

2.2.2 身份認(rèn)證

身份認(rèn)證是指對(duì)請(qǐng)求進(jìn)入系統(tǒng)的操作者確認(rèn)其身份信息, 目的是為了防止惡意用戶進(jìn)入系統(tǒng), 對(duì)未授權(quán)內(nèi)容進(jìn)行修改或破壞, 從而保證系統(tǒng)和數(shù)據(jù)的安全.

(1) Augur 管理方案

Augur 基于公有鏈構(gòu)造, 實(shí)現(xiàn)無(wú)權(quán)限化管理.它具有全球化的特點(diǎn), 任何地方的任何人都可以使用Augur 對(duì)未發(fā)生事件進(jìn)行預(yù)測(cè), 所有的信息對(duì)所有人都是公開(kāi)的.每個(gè)用戶平等地接入到Augur 系統(tǒng), 只要賬戶中有足夠的ETH (或REP), 就可以進(jìn)行任一交易活動(dòng).

(2) 潛在風(fēng)險(xiǎn)

由于沒(méi)有接入限制, 也難以追蹤實(shí)際身份, 惡意用戶可以不受控制地進(jìn)入Augur 系統(tǒng), 進(jìn)行漏洞測(cè)試及其他攻擊行為, 整個(gè)網(wǎng)絡(luò)隨著惡意用戶增加會(huì)變得難以防范風(fēng)險(xiǎn), 一旦系統(tǒng)無(wú)法吸引大量誠(chéng)實(shí)用戶進(jìn)行交易活動(dòng), 極有可能出現(xiàn)安全事件損害正常用戶的利益.

2.2.3 隱私保護(hù)

信息系統(tǒng)中隱私通常是指數(shù)據(jù)擁有者不愿意透露的敏感數(shù)據(jù).傳統(tǒng)隱私保護(hù)常基于中心化實(shí)體進(jìn)行.

(1) Augur 管理方案

從 Augur 的合約地址處可以查到進(jìn)行 Augur 交易活動(dòng)的信息.比如, 創(chuàng)建市場(chǎng)和購(gòu)買 REP 的信息是用明文記錄的, 可以通過(guò)解析還原.這在一定程度上會(huì)泄漏某個(gè)錢包的交易隱私.

當(dāng)然, Augur 是匿名進(jìn)行操作的, 其匿名性體現(xiàn)在錢包地址與錢包所有者沒(méi)有直接聯(lián)系, 即無(wú)法將交易信息與真實(shí)世界中的用戶進(jìn)行對(duì)應(yīng), 從而保證了交易者的隱私安全.

(2) 潛在風(fēng)險(xiǎn)

區(qū)塊鏈中的匿名并不是完全的匿名, 交易者只是用錢包地址作為交易標(biāo)識(shí)[12], 還是可以利用區(qū)塊鏈交易記錄之間的相關(guān)性可用于推測(cè)隱私信息.區(qū)塊鏈中的所有交易都存儲(chǔ)在公開(kāi)的全局賬本中, 任何人都有訪問(wèn)權(quán)限, 包括攻擊者.通過(guò)分析其相互的關(guān)聯(lián), 攻擊者可以逐漸實(shí)現(xiàn)去匿名, 甚至發(fā)現(xiàn)匿名地址對(duì)應(yīng)用戶的真實(shí)身份信息.

2.3 設(shè)計(jì)缺陷攻擊

在當(dāng)前的管理方案下, Augur 系統(tǒng)仍存在安全問(wèn)題, 攻擊者可以利用漏洞進(jìn)行攻擊.本節(jié)討論一種典型的攻擊方式.設(shè)計(jì)缺陷攻擊是指 Augur 中一種利用設(shè)計(jì)規(guī)則“操控” 市場(chǎng)結(jié)果, 從而通過(guò)交易者的預(yù)測(cè)活動(dòng)獲利的攻擊行為.每個(gè)市場(chǎng)結(jié)果的報(bào)告是共識(shí)的結(jié)果, 無(wú)法由單個(gè)個(gè)體控制, 各 REP 持有人會(huì)盡量誠(chéng)實(shí)的報(bào)告, 最后的市場(chǎng)結(jié)果會(huì)大概率接近真實(shí)結(jié)果, 那么創(chuàng)建一個(gè)無(wú)效市場(chǎng)會(huì)較為簡(jiǎn)單, 設(shè)計(jì)缺陷攻擊就是利用這個(gè)來(lái)控制最后的無(wú)效結(jié)果[13].

用戶通過(guò)創(chuàng)建一個(gè)易被判定成無(wú)效的市場(chǎng), 并設(shè)定一個(gè)與事實(shí)嚴(yán)重不符的預(yù)期結(jié)果, 然后通過(guò)虛買虛賣吸引用戶投資.若市場(chǎng)被確定為“無(wú)效”, 則市場(chǎng)操縱者可投入較少成本獲取較大收益率; 若市場(chǎng)從各預(yù)測(cè)結(jié)果中選出了正確結(jié)果, 市場(chǎng)操縱者也可能通過(guò)收集足夠多的 REP 代幣來(lái)確定市場(chǎng)的走向, 對(duì)市場(chǎng)公平造成嚴(yán)重威脅.下面討論解決方案及具體的實(shí)現(xiàn)細(xì)節(jié).

3 基于信譽(yù)評(píng)估的安全解決方案

3.1 方案研究

Augur 要求創(chuàng)建者在創(chuàng)建市場(chǎng)階段設(shè)置兩個(gè)債券: 有效債券和報(bào)告?zhèn)? 分別用以保證市場(chǎng)的有效性和指定報(bào)告者的按時(shí)報(bào)告.但有效債券并不能杜絕設(shè)計(jì)缺陷攻擊, 因?yàn)橛行脑O(shè)定無(wú)法與市場(chǎng)規(guī)模對(duì)應(yīng)起來(lái), 攻擊者不受有效債券的約束, 市場(chǎng)參與者也無(wú)法相信市場(chǎng)的有效性.

另一種解決方案是通過(guò)對(duì)市場(chǎng)進(jìn)行約束來(lái)保證市場(chǎng)的有效性.比如在定義市場(chǎng)時(shí)要求創(chuàng)建者明確事件來(lái)源, 對(duì)于模糊術(shù)語(yǔ)由UI 自動(dòng)設(shè)定.但這樣的方式顯然難以適應(yīng)各式各樣的市場(chǎng)類型.此外, Augur 可以引入一種新的參與者角色: 市場(chǎng)驗(yàn)證者.對(duì)于創(chuàng)建者創(chuàng)建出來(lái)的市場(chǎng), 需要先經(jīng)過(guò)驗(yàn)證者的有效性檢驗(yàn).這種方案一定程度上可以減小市場(chǎng)無(wú)效的可能, 但還是無(wú)法避免攻擊者通過(guò)大量持有REP 代幣操縱市場(chǎng)結(jié)果的可能.

問(wèn)題的關(guān)鍵在于REP 持有人的可信度.REP 作為一種可以流通的代幣, 同時(shí)也作為“信譽(yù)” 的象征,所有流程的安全進(jìn)行依賴于 REP 持有人是可信的.但 REP 的獲取可以通過(guò) ETH 直接購(gòu)買, 這種方式與持有人的可信程度毫無(wú)關(guān)系.為此, 本方案通過(guò)部署一個(gè)信譽(yù)系統(tǒng), 該信譽(yù)系統(tǒng)向Augur 交易者提供關(guān)于市場(chǎng)創(chuàng)建者的可信度的信息.然后, 交易者使用此信息來(lái)決定是否參與該創(chuàng)建者創(chuàng)建的市場(chǎng).

3.2 系統(tǒng)架構(gòu)

3.2.1 整體架構(gòu)

信譽(yù)系統(tǒng)與 Augur 系統(tǒng)的結(jié)合采用外包過(guò)濾的方式, 如圖5 所示.改進(jìn)前交易者直接接入 Augur 系統(tǒng)進(jìn)行交易; 加入了信譽(yù)系統(tǒng)之后, 交易者實(shí)際上會(huì)先進(jìn)入信譽(yù)系統(tǒng)獲取其他交易者的信譽(yù)信息, 再進(jìn)入Augur 系統(tǒng), 避免與惡意用戶進(jìn)行交易; 成功交易后, 交易信息又會(huì)自動(dòng)進(jìn)入到信譽(yù)系統(tǒng), 用于更新各交易者的信譽(yù)值.

圖5 改進(jìn)后的 Augur 系統(tǒng)整體架構(gòu)Figure 5 Improved architecture of overall system of Augur

3.2.2 信譽(yù)系統(tǒng)架構(gòu)

本信譽(yù)系統(tǒng)使用自動(dòng)執(zhí)行的智能合約來(lái)實(shí)現(xiàn)該信譽(yù)系統(tǒng), 系統(tǒng)由三個(gè)主要部分組成, 如圖6 所示.

(1) Augur 市場(chǎng)合約: 在市場(chǎng)結(jié)果敲定后能自動(dòng)執(zhí)行的程序代碼;

(2) 信譽(yù)合約: 自動(dòng)更新各用戶信譽(yù)數(shù)據(jù), 且保證其安全不可篡改;

(3) 公告板(BB): 保存評(píng)級(jí)分?jǐn)?shù)的參數(shù).

Augur 市場(chǎng)智能合約為信譽(yù)系統(tǒng)提供用戶參與市場(chǎng)行為記錄, 保證了信譽(yù)系統(tǒng)輸入信息的可靠性; 信譽(yù)合約自動(dòng)更新信譽(yù)信息, 保證了用戶信譽(yù)信息的不可篡改; 公告板是實(shí)現(xiàn)公共認(rèn)證通道的一種方式, 每個(gè)人都能夠讀取所有數(shù)據(jù), 保證了信譽(yù)信息的開(kāi)放性.一旦信息在 BB 上發(fā)布, 任何人都可以獲取特性用戶的信譽(yù)指標(biāo)信息, 并選擇適當(dāng)?shù)姆椒▉?lái)計(jì)算該用戶的信譽(yù)值.

3.3 信譽(yù)指標(biāo)的選擇

根據(jù)文獻(xiàn)[14]的評(píng)價(jià)指標(biāo)體系構(gòu)建原則, 本文選取信譽(yù)指標(biāo)主要有以下標(biāo)準(zhǔn):

(1) 可由Augur 系統(tǒng)獲取的客觀統(tǒng)計(jì)的數(shù)據(jù)量, 不以個(gè)人意志為轉(zhuǎn)移, 這樣就杜絕了惡意評(píng)價(jià)與惡意節(jié)點(diǎn)的影響, 用戶的信譽(yù)值只與其行為有關(guān);

(2) 指標(biāo)之間沒(méi)有直接相關(guān)性, 從不同階段選取關(guān)鍵量作為指標(biāo);

圖6 信譽(yù)系統(tǒng)體系結(jié)構(gòu)Figure 6 Architecture of reputation system

(3) 各指標(biāo)量可量化, 易于進(jìn)行數(shù)學(xué)統(tǒng)計(jì)與計(jì)算.

在本系統(tǒng)中, 通過(guò)歷史行為判斷一個(gè)交易者是否可信, 主要從他參與創(chuàng)建市場(chǎng)、報(bào)告結(jié)果和爭(zhēng)議結(jié)果這三個(gè)流程中的表現(xiàn)判斷.根據(jù)以上標(biāo)準(zhǔn),本文選擇了6 個(gè)數(shù)值類型的指標(biāo)作為對(duì)交易者信譽(yù)評(píng)估的依據(jù):創(chuàng)建的有效市場(chǎng)和無(wú)效市場(chǎng)、報(bào)告的正確結(jié)果和錯(cuò)誤結(jié)果以及爭(zhēng)議的正確結(jié)果和錯(cuò)誤結(jié)果, 匯總?cè)绫? 所示.其中, 創(chuàng)建的有效市場(chǎng)、報(bào)告的正確結(jié)果和爭(zhēng)議的正確結(jié)果為正評(píng)級(jí), 即指標(biāo)數(shù)值越大, 該交易者信譽(yù)值越高; 另外三個(gè)指標(biāo)為負(fù)評(píng)級(jí), 指標(biāo)數(shù)值越大, 該交易者信譽(yù)值越低.

表1 信譽(yù)指標(biāo)的符號(hào)說(shuō)明Table 1 Symbolic description of reputation indicator

其中, 正評(píng)級(jí)和負(fù)評(píng)級(jí)分別表示對(duì)增加某用戶的信譽(yù)值, 該指標(biāo)會(huì)有正面效果或負(fù)面效果.

3.4 信譽(yù)計(jì)算

3.4.1 層次分析法

層次分析法是將每個(gè)因素按照一定的層次進(jìn)行劃分, 然后定量表達(dá)其相對(duì)重要性, 并使用數(shù)學(xué)方法確定每個(gè)元素的相對(duì)重要性的次序, 從而便于進(jìn)行評(píng)價(jià)與決策, 適用于本方案中的信譽(yù)評(píng)估.本文使用層次分析法確定每種可信度評(píng)估方法的指標(biāo)權(quán)重.從而盡可能提高評(píng)價(jià)方法的準(zhǔn)確度.

3.4.2 信譽(yù)評(píng)價(jià)方法

利用選好的6 個(gè)信譽(yù)指標(biāo), 本文采用求和法、綜合評(píng)價(jià)法和有效率評(píng)價(jià)法三種信譽(yù)評(píng)價(jià)方法.

(1) 求和法

直接對(duì)統(tǒng)計(jì)好的信譽(yù)指標(biāo)進(jìn)行求和, 即用正評(píng)級(jí)之和減去負(fù)評(píng)級(jí)之和.

其中偶數(shù)項(xiàng)指標(biāo)為負(fù)評(píng)級(jí).

(2) 綜合評(píng)價(jià)法

綜合評(píng)價(jià)法是根據(jù)6 個(gè)信譽(yù)評(píng)價(jià)指標(biāo)的重要程度, 為每個(gè)信譽(yù)指標(biāo)確定權(quán)重, 再加權(quán)計(jì)算得出各用戶綜合信譽(yù)值.本評(píng)價(jià)方法的層次結(jié)構(gòu)模型如圖7 所示, 利用該層次結(jié)構(gòu)計(jì)算出本方法中的各指標(biāo)權(quán)重:

然后確定本方法的信譽(yù)計(jì)算公式:

其中偶數(shù)項(xiàng)指標(biāo)為負(fù)評(píng)級(jí).

圖7 綜合評(píng)價(jià)法層次結(jié)構(gòu)圖Figure 7 Hierarchy chart of comprehensive evaluation method

(3) 有效率評(píng)價(jià)法

有效率評(píng)價(jià)法先根據(jù)信譽(yù)指標(biāo)算出三個(gè)市場(chǎng)活動(dòng)的有效參與率.

市場(chǎng)有效率指交易者創(chuàng)建的有效市場(chǎng)占總創(chuàng)建市場(chǎng)個(gè)數(shù)的比率, 記為E1.根據(jù)定義, 市場(chǎng)有效率E1的計(jì)算公式為E1=A1/(A1+A2).

報(bào)告有效率指交易者報(bào)告的正確結(jié)果占總報(bào)告次數(shù)的比率, 記為E2.根據(jù)定義, 報(bào)告有效率E2 的計(jì)算公式為E2=A3/(A3+A4).

爭(zhēng)議有效率指交易者爭(zhēng)議的正確結(jié)果占總爭(zhēng)議次數(shù)的比率, 記為E3.根據(jù)定義, 爭(zhēng)議有效率E3 的計(jì)算公式為E3=A5/(A5+A6).

以三個(gè)有效率作為參數(shù), 采用層次分析法確定其相對(duì)重要程度, 再計(jì)算得出各用戶信譽(yù)值.本評(píng)價(jià)方法的層次結(jié)構(gòu)模型如圖8 所示, 利用該層次結(jié)構(gòu)計(jì)算出有效率評(píng)價(jià)法中的各指標(biāo)權(quán)重:

然后確定本方法的信譽(yù)計(jì)算公式:

圖8 有效率評(píng)價(jià)法層次結(jié)構(gòu)圖Figure 8 Hierarchy chart of efficiency evaluation method

4 實(shí)驗(yàn)仿真與分析

4.1 實(shí)驗(yàn)環(huán)境

本實(shí)驗(yàn)環(huán)境如下.操作系統(tǒng): Windows 10; 處理器配置: Intel(R) Core(TM) m3-6Y30 CPU @ 0.90 GHz 1.50 GHz; 內(nèi)存配置: 8.00 GB 64 位; MATLAB 版本: R2015b(8.6.0.267246).

4.2 綜合評(píng)價(jià)法權(quán)重及信譽(yù)計(jì)算方法

(1) 對(duì)于目標(biāo)層, 準(zhǔn)則層構(gòu)建出如下比較矩陣M1:

(2) 對(duì)于同一準(zhǔn)則下的各因素兩兩比較, 構(gòu)建出比較矩陣M21,M22:

(3) 分別求得上述各比較矩陣的最大特征值及特征向量并進(jìn)行一致性檢驗(yàn), 計(jì)算結(jié)果如表2 所示.

表2 各比較矩陣的計(jì)算結(jié)果情況Table 2 Computational results of comparison matrices

各矩陣皆通過(guò)一致性檢驗(yàn).

(4) 計(jì)算總權(quán)重, 并得出最后的信譽(yù)計(jì)算公式.計(jì)算結(jié)果如表3 所示.

最后得出信譽(yù)計(jì)算公式, 如(4).

表3 各因素的總權(quán)重Table 3 Total weight of each factor

其中偶數(shù)項(xiàng)指標(biāo)為負(fù)評(píng)級(jí).

4.3 有效率評(píng)價(jià)法權(quán)重及信譽(yù)計(jì)算方法

(1) 構(gòu)建出如下比較矩陣 M

(2) 求取各有效率權(quán)重, 結(jié)果如表4 所示.

表4 M 矩陣的計(jì)算結(jié)果Table 4 Computation results of matrix M

M 矩陣通過(guò)一致性檢驗(yàn).

(3) 計(jì)算出信譽(yù)計(jì)算方法, 如公式5.

4.4 方法評(píng)價(jià)性能測(cè)試

本測(cè)試方法統(tǒng)計(jì)了在不同評(píng)價(jià)誤差下各評(píng)價(jià)方法準(zhǔn)確評(píng)價(jià)用戶的個(gè)數(shù).評(píng)價(jià)誤差是指一個(gè)用戶在根據(jù)各評(píng)價(jià)方法計(jì)算出的信譽(yù)排名和根據(jù)性能指標(biāo)計(jì)算出的信譽(yù)排名之間的差距不超過(guò)總樣本的百分比.比如當(dāng)設(shè)定的評(píng)價(jià)誤差為5% 時(shí), 根據(jù)兩種評(píng)價(jià)方法計(jì)算出的該用戶排名和根據(jù)市場(chǎng)有效率計(jì)算出的該用戶排名不超過(guò)10 的用戶算作準(zhǔn)確評(píng)價(jià).本實(shí)驗(yàn)仿真定制了200 個(gè)特定特性的用戶進(jìn)行評(píng)價(jià), 判斷針對(duì)該種類型用戶, 哪種評(píng)價(jià)方法的準(zhǔn)確度更高.

4.4.1 利用市場(chǎng)有效率來(lái)檢驗(yàn)評(píng)價(jià)性能

本實(shí)驗(yàn)針對(duì)用戶特征為創(chuàng)建市場(chǎng)較多, 而參與報(bào)告或爭(zhēng)議結(jié)果較少, 該類用戶的信譽(yù)主要評(píng)判標(biāo)準(zhǔn)為市場(chǎng)有效率的大小, 即對(duì)于主要參與創(chuàng)建市場(chǎng)的用戶, 創(chuàng)建的市場(chǎng)有效率越高, 該用戶的信譽(yù)度越高.三種評(píng)價(jià)方法對(duì)應(yīng)的評(píng)價(jià)結(jié)果如圖9 所示.

從圖像中可以看出, 對(duì)于主要參與創(chuàng)建市場(chǎng)的用戶, 綜合評(píng)價(jià)法的評(píng)價(jià)準(zhǔn)確度較高.因?yàn)樵诳紤]各指標(biāo)權(quán)重時(shí), 考慮的市場(chǎng)狀況因素的明顯重要性, 因此對(duì)于市場(chǎng)活躍度高的用戶, 綜合評(píng)價(jià)法有較強(qiáng)的敏感性.所以對(duì)于該類用戶, 適合用綜合評(píng)價(jià)法進(jìn)行安全性評(píng)價(jià).

4.4.2 利用有效參與度來(lái)檢驗(yàn)評(píng)價(jià)性能

本實(shí)驗(yàn)針對(duì)參與市場(chǎng)活動(dòng)正確率較高的用戶, 根據(jù)參與活動(dòng)的頻率來(lái)評(píng)價(jià)其可信度, 即對(duì)于能夠創(chuàng)建有效市場(chǎng)且正確報(bào)告和爭(zhēng)議結(jié)果的用戶, 參與市場(chǎng)有效活動(dòng) (創(chuàng)建有效市場(chǎng)或報(bào)告/爭(zhēng)議正確結(jié)果) 越多,其計(jì)算出的信譽(yù)值越高.三種評(píng)價(jià)方法對(duì)應(yīng)的評(píng)價(jià)結(jié)果如圖10 所示.

從圖像中可以看出, 對(duì)于行為誠(chéng)信度高(創(chuàng)建市場(chǎng)有效率高, 報(bào)告和爭(zhēng)議結(jié)果正確率高) 的用戶, 求和法的評(píng)價(jià)準(zhǔn)確度較高.因?yàn)榫C合評(píng)價(jià)法中錯(cuò)誤權(quán)重普遍高于正確權(quán)重, 因此相同比例下, 用戶參與市場(chǎng)活動(dòng)越多, 即不誠(chéng)信參與次數(shù)越多, 會(huì)影響該用戶的整體評(píng)價(jià).而有效率評(píng)價(jià)法僅僅重視有效率而忽視用戶的參與度, 比如用戶只進(jìn)行一次正確評(píng)價(jià)即可獲得較高的評(píng)價(jià).所以對(duì)于該類用戶, 適合用求和法進(jìn)行評(píng)價(jià).

4.4.3 利用爭(zhēng)議率來(lái)檢驗(yàn)評(píng)價(jià)性能

本實(shí)驗(yàn)針對(duì)參與爭(zhēng)議活動(dòng)較多, 而其他市場(chǎng)活動(dòng)活躍度低的用戶.一般認(rèn)為, 若用戶大多數(shù)交易行為只進(jìn)行爭(zhēng)議結(jié)果活動(dòng), 存在勾結(jié)嫌疑, 其爭(zhēng)議總次數(shù)越多, 信譽(yù)值應(yīng)該越低.本實(shí)驗(yàn)評(píng)價(jià)結(jié)果如圖11 所示.

圖9 市場(chǎng)有效率評(píng)價(jià)結(jié)果圖Figure 9 Evaluation result based on market efficiency

圖10 有效參與度評(píng)價(jià)結(jié)果圖Figure 10 Evaluation result based on efficient participation

從圖像中可以看出, 對(duì)于爭(zhēng)議率高的用戶, 三種方法的準(zhǔn)確率都不高, 在評(píng)價(jià)誤差較大時(shí), 有效率評(píng)價(jià)法的評(píng)價(jià)準(zhǔn)確度稍高一些.一方面, 綜合評(píng)價(jià)法更注重市場(chǎng)狀況, 而求和法同等重視各種因素; 另一方面,該類用戶的識(shí)別不是根據(jù)誠(chéng)信度, 而是根據(jù)用戶對(duì)哪一種交易活動(dòng)的選擇與頻率來(lái)判斷, 不易通過(guò)常規(guī)方法來(lái)判斷誠(chéng)信度.

4.4.4 結(jié)論

根據(jù)實(shí)驗(yàn)結(jié)果, 可以得出以下結(jié)論: (1) 對(duì)于創(chuàng)建市場(chǎng)活躍度高的用戶, 適合用綜合評(píng)價(jià)法來(lái)進(jìn)行評(píng)估用戶信譽(yù)值; (2) 對(duì)于參與誠(chéng)信度較高的用戶, 適合利用求和法來(lái)進(jìn)行信譽(yù)值評(píng)估; (3) 對(duì)于某些特征的潛在惡意用戶, 簡(jiǎn)單的信譽(yù)評(píng)估方法難以準(zhǔn)確評(píng)估其信譽(yù)值, 但在評(píng)價(jià)誤差要求較寬松的情況下, 對(duì)于爭(zhēng)議率較高的用戶, 有效率評(píng)價(jià)法的準(zhǔn)確評(píng)價(jià)率略高.

4.5 性能分析

4.5.1 效率分析

Augur 系統(tǒng)搭建在以太坊平臺(tái)上, 而且訪問(wèn)過(guò)程還有網(wǎng)頁(yè)跳轉(zhuǎn)的消耗, 訪問(wèn)效率極低; 而外包的信譽(yù)系統(tǒng)能較快連接上, 甚至可以設(shè)計(jì)成為同時(shí)接入.因此信譽(yù)系統(tǒng)所增加的效率代價(jià)是可以接受的.

4.5.2 安全性分析

Augur 基于公有鏈, 不便對(duì)身份進(jìn)行直接限制和約束, 信譽(yù)評(píng)估可用于判斷用戶的可信度, 該信譽(yù)指標(biāo)根據(jù)該用戶以往參與市場(chǎng)的表現(xiàn)統(tǒng)計(jì)而來(lái), 通過(guò)智能合約技術(shù)保證其不為第三方控制, 具有較高的可信度, 對(duì)于判斷用戶的可信有重要的參考價(jià)值.通過(guò)提供每個(gè)用戶的信譽(yù)值, 一方面可以激勵(lì)用戶誠(chéng)實(shí)參與市場(chǎng)活動(dòng), 若用戶的不良行為將會(huì)被記錄下來(lái), 并永久地對(duì)其信譽(yù)值產(chǎn)生影響; 另一方面可以加強(qiáng)對(duì)市場(chǎng)的控制, 為交易者選擇有效市場(chǎng)提供依據(jù), 便于維護(hù)Augur 的正常運(yùn)行.

利用信譽(yù)指標(biāo)獲得一個(gè)用戶的信譽(yù)值可以有多種計(jì)算方法.通過(guò)評(píng)價(jià)性能測(cè)試, 可以得出不同的用戶類型適合使用不同的信譽(yù)評(píng)估方法進(jìn)行評(píng)價(jià), 而信譽(yù)系統(tǒng)可以為市場(chǎng)交易者提供各用戶的歷史行為, 各用戶可在公告板自行查看和檢驗(yàn)信譽(yù)值并做出決策.同時(shí), 也便于監(jiān)管部門及時(shí)發(fā)現(xiàn)惡意用戶并進(jìn)行風(fēng)險(xiǎn)控制和管理.

5 總結(jié)

隨著物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展, 其安全問(wèn)題也引起越來(lái)越多的關(guān)注.區(qū)塊鏈技術(shù)為物聯(lián)網(wǎng)安全問(wèn)題提供解決途徑.本文以Augur 系統(tǒng)為例, 研究了區(qū)塊鏈應(yīng)用的身份管理技術(shù)及潛在風(fēng)險(xiǎn), 并提出采用基于信譽(yù)評(píng)估的安全解決方案應(yīng)對(duì)攻擊行為, 對(duì)區(qū)塊鏈應(yīng)用的安全威脅應(yīng)對(duì)有積極參考作用, 也為物聯(lián)網(wǎng)管理設(shè)備身份安全提供了新思路.