区块链智能合约安全的逆向实时模型检测方法

区块链中的智能合约具有不可篡改性、去中心化、自治化等优点,使分散应用程序能够在缺乏信任的环境中实现交互和融合.若智能合约自身存在安全隐患,可能会威胁到用户的个人信息和财产安全,造成难以预估的损失.针对智能合约存在的安全问题,提出了基于时间自动机的区块链智能合约安全性的逆向模型检测方法.采用逆向方法对以太坊中的智能合约源代码进行分析,提取合约的逻辑流程,并进一步分析合约是否存有明显的安全隐患,若有则对合约代码进行优化或改进;针对智能合约采用模型检测的方法进行合约建模、性质刻画及自动验证.若验证通过则证明改进合约满足安全性质,否则通过反例找出代码漏洞继续对合约进行优化.以投票合约为实例对所提逆向方法进行具体介绍,证明了所提方法的有效性,能够保证改进后的投票合约系统的完备性与安全性.

智能合约的合约安全和隐私安全研究综述

区块链作为对等网络中的一种分布式账本技术,集成了密码学、共识机制、智能合约等多种技术,提供一种新型信任体系构建方法.智能合约具有公开透明、实时更新、准确执行等显著特点,在区块链中为信息存储、交易执行和资产管理等功能的实现提供了更安全、高效、可信的方式.但是,智能合约本身仍然存在安全问题,影响了区块链技术的进一步推广使用.所以,近年来围绕智能合约安全问题的相关研究比较多,为了帮助相关人员更好地理解和掌握其中的研究思路,本文采用Mapping Study方法,通过收集2015年以来公开发表的关于智能合约安全问题的各类文献,并进一步通过文献筛查、问题设置、信息提取、结果获取和分析等步骤,总结智能合约安全相关研究的现状和未来发展趋势如下:(1)目前智能合约自身面临的安全问题和挑战主要体现在合约安全和隐私安全两方面(问题和挑战).在调查的45篇文献中,有29篇文献针对合约安全,16篇文献针对隐私安全;(2)智能合约安全保障目前采用的方法主要包括形式化验证、模糊测试、零知识证明、可信执行环境等(保障方法);(3)针对合约安全的研究目前主要集中在合约实现、测试阶段,而针对智能合约设计、部署及运维阶段的研究比较少;针对隐私安全的研究主要集中在合约数据隐私保护,而针对合约代码隐私安全的比较少(覆盖范围);(4)智能合约安全保障研究目前主要从合约实现人员、合约测试人员的角度进行,而从合约维护人员和合约用户角度展开的研究较少(研究角度);(5)未来研究应该围绕智能合约的全生命周期的每个阶段安全问题进一步推进,先验方法和后验方法、定性方法和定量方法、静态方法和动态方法的结合是大势所趋(发展趋势).综上,本文通过调研发现了现有研究的不足,并建议了进一步的研究方向.

智能合约安全与实施规范研究

自区块链2.0时代以来,以智能合约为代表的第二代区块链平台及应用呈爆发式增长,但随之而来的智能合约安全事件也频繁发生。区块链3.0时代,智能合约因其固有的去信任化、自动性、防篡改、可追溯等技术特性,必将被广泛应用。但是,在此前景之下,智能合约的安全性成为了区块链生态安全的基石。文章创新地提出了智能合约3.0—智慧合约的概念,并基于智能合约基础架构研究了智能合约安全威胁,提出了一套基本的智能合约安全实施规范,旨在为智能合约安全实施提供参考与借鉴。

区块链系统安全及应用安全初探

近年来,区块链技术发展迅猛且应用广泛,然而,区块链技术本身还在不断地发展和完善中,其在实际应用中面临的诸多隐私泄露及安全问题,制约着区块链的快速发展。本文以区块链安全技术为切入点,简单讨论了区块链技术本身及区块链应用在网络层、合约层、共识层、数据层、应用层的安全性。

智能合约漏洞检测技术综述

智能合约作为可信的去中心化应用,获得了广泛的关注,但其安全漏洞问题对其可靠性带来了巨大威胁.为此,研究者们利用各种前沿技术(如模糊测试、机器学习、形式化验证等)研究了多种漏洞检测技术,并取得了可观的效果.为了系统性地梳理与分析现有智能合约漏洞检测技术,搜集截至2021年7月关于智能合约漏洞检测的84篇论文,根据它们的核心方法进行分类,从每种技术的实现方法、漏洞类型、实验数据等方面展开分析,同时对比国内外研究现状在这些方面的差异.最后,对现有的智能合约漏洞检测技术进行总结,探讨面临的挑战,并展望了未来的研究方向.

基于深度学习的软件安全漏洞挖掘

软件的高复杂性和安全漏洞的形态多样化给软件安全漏洞研究带来了严峻的挑战.传统的漏洞挖掘方法效率低下且存在高误报和高漏报等问题,已经无法满足日益增长的软件安全性需求.目前,大量的研究工作尝试将深度学习应用于漏洞挖掘领域,以实现自动化和智能化漏洞挖掘.对深度学习应用于安全漏洞挖掘领域进行了深入的调研和分析.首先,通过梳理和分析基于深度学习的软件安全漏洞挖掘现有研究工作,概括其一般工作框架和技术方法;其次,以深度特征表示为切入点,分类阐述和归纳不同代码表征形式的安全漏洞挖掘模型;然后,分别探讨基于深度学习的软件安全漏洞挖掘模型在具体领域的应用,并重点关注物联网和智能合约安全漏洞挖掘;最后,依据对现有研究工作的整理和总结,指出该领域面临的不足与挑战,并对未来的研究趋势进行展望.

安全关键系统中操作系统的安全分析

随着计算机软件的广泛使用,软件安全成为普遍关注的问题。在分析安全相关标准的基础上,建议采用基于产品和基于过程相结合的方法开发操作系统。选取面向安全领域的综合化系统,建立分区操作系统功能到通用计算平台安全功能需求的映射关系,开展失效和危害分析,导出安全需求及缓解措施,借鉴模块化开发的思想,建立操作系统的安全合约,随使用的具体系统,从需求、架构、行为、性能等四个层次,分析其安全合约中的失效是否可接受,从而完成系统安全评估。采用方法的OS安全合约可支持多个项目不同应用的重用。

建筑工程的安全监理

对建筑工程实施施工安全监理是《建设工程安全生产管理条例》赋予监理单位的法律责任.文章从安全技术措施的审查、开工前施工准备阶段的安全监理、主体施工阶段的安全监理、装饰装修阶段的安全监理、季节性施工的安全监理等几个方面论述了监理工程师如何搞好建筑工程的安全监理工作.

区块链资产窃取攻击与防御技术综述

自中本聪提出比特币以来,区块链技术得到了跨越式发展,特别是在数字资产转移及电子货币支付方面。以太坊引入智能合约代码,使其具备了同步及保存智能合约程序执行状态,自动执行交易条件并消除对中介机构需求,Web3.0开发者可利用以太坊提供的通用可编程区块链平台构建更加强大的去中心化应用。公链系统具备的特点,如无须中央节点控制、通过智能合约保障交互数据公开透明、用户数据由用户个人控制等,使得它在区块链技术发展的过程中吸引了更多的用户关注。然而,随着区块链技术的普及和应用,越来越多的用户将自己的数字资产存储在区块链上。由于缺少权威机构的监管及治理,以太坊等公链系统正逐步成为黑客窃取数字资产的媒介。黑客利用区块链实施诈骗及钓鱼攻击,盗取用户所持有的数字资产来获取利益。帮助读者建立区块链资产安全的概念,从源头防范利用区块链实施的资产窃取攻击。通过整理总结黑客利用区块链环境实施的资产窃取攻击方案,抽象并归纳威胁模型的研究方法,有效研究了各类攻击的特征及实施场景。通过深入分析典型攻击方法,比较不同攻击的优缺点,回答了攻击能够成功实施的根本原因。在防御技术方面,针对性结合攻击案例及攻击实施场景介绍了钓鱼检测、代币授权检测、代币锁定、去中心化代币所属权仲裁、智能合约漏洞检测、资产隔离、供应链攻击检测、签名数据合法性检测等防御方案。对于每一类防御方案,给出其实施的基本流程及方案,明确了各防护方案能够在哪类攻击场景下为用户资产安全提供防护。

Web3.0下的区块链相关技术进展

区块链是Web3.0构建可信互联、价值互联的关键技术。作为一种新的去中心化基础设施,区块链自身技术也在不断发展。结合Web3.0背景,介绍了区块链的去中心化身份、智能合约、激励机制和隐私保护等相关技术进展和问题,以助力实现基于Web3.0的数据安全共享、业务流通、用户权益保障,从而达到更加公平的价值分配和价值流动。