网络安全等级保护下的区块链评估方法

工程科学学报 Chinese Journal of Engineering 网络安全等级保护下的区块链评估方法 朱岩张艺王迪秦博涵郭倩冯荣权赵章界 Research on blockchain evaluation methods under the classified protection of cybersecurity ZHU Yan,ZHANG Yi,WANG Di,QIN Bo-han,GUO Qian,FENG Rong-quan,ZHAO Zhang-jie 引用本文： 朱岩，张艺，王迪，秦博涵，郭倩，冯荣权，赵章界.网络安全等级保护下的区块链评估方法.工程科学学报，2020,42(10)： 1267-1285.doi:10.13374.issn2095-9389.2019.12.17.007 ZHU Yan.ZHANG Yi,WANG Di,QIN Bo-han,GUO Qian,FENG Rong-quan,ZHAO Zhang-jie.Research on blockchain evaluation methods under the classified protection of cybersecurity[].Chinese Journal of Engineering,2020,42(10):1267-1285. doi10.13374/.issn2095-9389.2019.12.17.007 在线阅读View online:https::/oi.org10.13374.issn2095-9389.2019.12.17.007 您可能感兴趣的其他文章 Articles you may be interested in 区块链技术及其研究进展 Survey of blockchain technology and its advances 工程科学学报.2019,41(11)：1361 https:/1doi.org/10.13374.issn2095-9389.2019.03.26.004 基于安全传输策略的网络化预测控制系统设计 Design of networked predictive control system based on secure transmission strategy 工程科学学报.2017,399y:1403 https:1doi.org10.13374.issn2095-9389.2017.09.014 一种面向网络长文本的话题检测方法 A topic detection method for network long text 工程科学学报.2019,41(9：外1208 https:/1doi.org10.13374j.issn2095-9389.2019.09.013 用户属性感知的移动社交网络边缘缓存机制 User-aware edge-caching mechanism for mobile social network 工程科学学报.2020,42(7)：930 https::/1doi.org/10.13374.issn2095-9389.2019.07.12.001 基于BP神经网络的机器人波动摩擦力矩修正方法 Wave friction correction method for a robot based on BP neural network 工程科学学报.2019,41(8)：1085 https:/oi.org/10.13374j.issn2095-9389.2019.08.014 剪切浓密床层孔隙网络模型与导水通道演化 Pore network model of tailings thickener bed and water drainage channel evolution under the shearing effect 工程科学学报.2019,41(8：987htps:/1doi.org/10.13374j.issn2095-9389.2019.08.004

网络安全等级保护下的区块链评估方法 朱岩 张艺 王迪 秦博涵 郭倩 冯荣权 赵章界 Research on blockchain evaluation methods under the classified protection of cybersecurity ZHU Yan, ZHANG Yi, WANG Di, QIN Bo-han, GUO Qian, FENG Rong-quan, ZHAO Zhang-jie 引用本文: 朱岩, 张艺, 王迪, 秦博涵, 郭倩, 冯荣权, 赵章界. 网络安全等级保护下的区块链评估方法[J]. 工程科学学报, 2020, 42(10): 1267-1285. doi: 10.13374/j.issn2095-9389.2019.12.17.007 ZHU Yan, ZHANG Yi, WANG Di, QIN Bo-han, GUO Qian, FENG Rong-quan, ZHAO Zhang-jie. Research on blockchain evaluation methods under the classified protection of cybersecurity[J]. Chinese Journal of Engineering, 2020, 42(10): 1267-1285. doi: 10.13374/j.issn2095-9389.2019.12.17.007 在线阅读 View online: https://doi.org/10.13374/j.issn2095-9389.2019.12.17.007 您可能感兴趣的其他文章 Articles you may be interested in 区块链技术及其研究进展 Survey of blockchain technology and its advances 工程科学学报. 2019, 41(11): 1361 https://doi.org/10.13374/j.issn2095-9389.2019.03.26.004 基于安全传输策略的网络化预测控制系统设计 Design of networked predictive control system based on secure transmission strategy 工程科学学报. 2017, 39(9): 1403 https://doi.org/10.13374/j.issn2095-9389.2017.09.014 一种面向网络长文本的话题检测方法 A topic detection method for network long text 工程科学学报. 2019, 41(9): 1208 https://doi.org/10.13374/j.issn2095-9389.2019.09.013 用户属性感知的移动社交网络边缘缓存机制 User-aware edge-caching mechanism for mobile social network 工程科学学报. 2020, 42(7): 930 https://doi.org/10.13374/j.issn2095-9389.2019.07.12.001 基于BP神经网络的机器人波动摩擦力矩修正方法 Wave friction correction method for a robot based on BP neural network 工程科学学报. 2019, 41(8): 1085 https://doi.org/10.13374/j.issn2095-9389.2019.08.014 剪切浓密床层孔隙网络模型与导水通道演化 Pore network model of tailings thickener bed and water drainage channel evolution under the shearing effect 工程科学学报. 2019, 41(8): 987 https://doi.org/10.13374/j.issn2095-9389.2019.08.004

工程科学学报.第42卷，第10期：1267-1285.2020年10月 Chinese Journal of Engineering,Vol.42,No.10:1267-1285,October 2020 https://doi.org/10.13374/j.issn2095-9389.2019.12.17.007;http://cje.ustb.edu.cn 网络安全等级保护下的区块链评估方法 朱岩区，张艺12，王迪，秦博涵，郭倩，冯荣权》，赵章界 1)北京科技大学计算机与通信工程学院.北京1000832)中国科学院软件研究所.北京1001903)北京大学数学科学学院，北京100871 4)北京信息安全测评中心，北京100101 ☒通信作者，E-mail:huyan(@ustb.edu.cn 摘要等级保护（简称等保）是我国信息安全的基本政策，随着区块链技术在各行业中的应用日趋广泛，有必要同步推进区 块链系统的等级保护测评工作，这将有利于推动该技术在我国的持续健康发展.有鉴于此，依据等保第三级的应用和数据安 全要求，给出了区块链系统中对等网络、分布式账本、共识机制和智能合约等核心技术的具体测评要求及实施方案，并从等 保2.0规定的控制点出发，分别对当前区块链系统运行数据与基于日志流程的安全审计机制进行了归纳与分析.通过上述评 估与分析可知区块链系统在软件容错、资源控制和备份与恢复等方面满足等保要求，而在安全审计、身份鉴别、数据完整性 等方面则有待进一步改进 关键词区块链：网络安全等级保护：对等网络：共识机制：评估与分析 分类号TP306 Research on blockchain evaluation methods under the classified protection of cybersecurity ZHU Yan,ZHANG Yi2),WANG Di,QIN Bo-han,GUO Qian,FENG Rong-quan,ZHAO Zhang-jie 1)School of Computer and Communication Engineering.University of Science and Technology Beijing,Beijing 100083,China 2)Institute of Software Chinese Academy of Sciences,Beijing 100190,China 3)School of Mathematics Sciences,Peking University,Beijing 100871,China 4)Beijing Information Security Test and Evaluation Center,Beijing 100101,China Corresponding author,E-mail:zhuyan@ustb.edu.cn ABSTRACT A blockchain is a cryptographic distributed database and network transaction accounting system.In the current era of major technological changes,blockchain technology,with its cryptographic structure,peer-to-peer (P2P)network,consensus mechanism,smart contract and other mechanisms,is decentralized,tamper-proof,and traceable and has become a hot spot in the development of informatization.Classified protection is one of the basic policies of information security in China.The implementation of the information security level protection system can not only guide various industries in performing security management in accordance with the equivalent security standards,but also ensure that supervision and evaluation institutions follow the laws and regulations,which is of significance to network security.As the application of blockchain technology in various industries is becoming more extensive,it is necessary to simultaneously promote the national classified protection of blockchain security assessment,which contributes to the sustainable and healthy development of blockchains in China.According to the revised assessment methods of grade protection,in addition to the status of universality requirements,evaluation specifications should be formulated for specific technologies and fields(such as cloud computing,mobile Internet,Internet of Things,industrial control,and big data).In view of the particularity of 收稿日期：2019-12-17 基金项目：国家科技部重点研发计划资助项目(2018YFB1402702):国家自然科学基金资助项目(61972032)：北京市经济和信息化局资助 项目(HTBH20200901573)

网络安全等级保护下的区块链评估方法 朱    岩1) 苣，张    艺1,2)，王    迪1)，秦博涵1)，郭    倩1)，冯荣权3)，赵章界4) 1) 北京科技大学计算机与通信工程学院，北京 100083    2) 中国科学院软件研究所，北京 100190    3) 北京大学数学科学学院，北京 100871    4) 北京信息安全测评中心，北京 100101 苣通信作者，E-mail：zhuyan@ustb.edu.cn 摘    要    等级保护（简称等保）是我国信息安全的基本政策，随着区块链技术在各行业中的应用日趋广泛，有必要同步推进区 块链系统的等级保护测评工作，这将有利于推动该技术在我国的持续健康发展. 有鉴于此，依据等保第三级的应用和数据安 全要求，给出了区块链系统中对等网络、分布式账本、共识机制和智能合约等核心技术的具体测评要求及实施方案，并从等 保 2.0 规定的控制点出发，分别对当前区块链系统运行数据与基于日志流程的安全审计机制进行了归纳与分析. 通过上述评 估与分析可知区块链系统在软件容错、资源控制和备份与恢复等方面满足等保要求，而在安全审计、身份鉴别、数据完整性 等方面则有待进一步改进. 关键词    区块链；网络安全等级保护；对等网络；共识机制；评估与分析 分类号    TP306 Research  on  blockchain  evaluation  methods  under  the  classified  protection  of cybersecurity ZHU Yan1) 苣 ，ZHANG Yi1,2) ，WANG Di1) ，QIN Bo-han1) ，GUO Qian1) ，FENG Rong-quan3) ，ZHAO Zhang-jie4) 1) School of Computer and Communication Engineering, University of Science and Technology Beijing, Beijing 100083, China 2) Institute of Software Chinese Academy of Sciences, Beijing 100190, China 3) School of Mathematics Sciences, Peking University, Beijing 100871, China 4) Beijing Information Security Test and Evaluation Center, Beijing 100101, China 苣 Corresponding author, E-mail: zhuyan@ustb.edu.cn ABSTRACT    A blockchain is a cryptographic distributed database and network transaction accounting system. In the current era of major  technological  changes,  blockchain  technology,  with  its  cryptographic  structure,  peer-to-peer  (P2P)  network,  consensus mechanism,  smart  contract  and  other  mechanisms,  is  decentralized,  tamper-proof,  and  traceable  and  has  become  a  hot  spot  in  the development of informatization. Classified protection is one of the basic policies of information security in China. The implementation of  the  information  security  level  protection  system  can  not  only  guide  various  industries  in  performing  security  management  in accordance  with  the  equivalent  security  standards,  but  also  ensure  that  supervision  and  evaluation  institutions  follow  the  laws  and regulations, which is of significance to network security. As the application of blockchain technology in various industries is becoming more extensive, it is necessary to simultaneously promote the national classified protection of blockchain security assessment, which contributes to the sustainable and healthy development of blockchains in China. According to the revised assessment methods of grade protection, in addition to the status of universality requirements, evaluation specifications should be formulated for specific technologies and fields (such as cloud computing, mobile Internet, Internet of Things, industrial control, and big data). In view of the particularity of 收稿日期: 2019−12−17 基金项目: 国家科技部重点研发计划资助项目（2018YFB1402702）；国家自然科学基金资助项目（61972032）；北京市经济和信息化局资助 项目（HTBH_20200901_573） 工程科学学报，第 42 卷，第 10 期：1267−1285，2020 年 10 月 Chinese Journal of Engineering, Vol. 42, No. 10: 1267−1285, October 2020 https://doi.org/10.13374/j.issn2095-9389.2019.12.17.007; http://cje.ustb.edu.cn

·1268 工程科学学报，第42卷，第10期 blockchain technology,China has initiated the formulation of blockchain evaluation specifications,but has not applied the level protection standards to the formulation of blockchain evaluation specifications.Therefore,the assessment requirements and enforcement proposals are specified for the blockchain's core technologies,such as P2P network,distributed ledger,consensus mechanism,and smart contracts,according to the application and data security layer requirements at Level 3.Moreover,the current running data of blockchains and their security audit mechanism based on the log workflow were summarized and analyzed respectively in compliance with the control points specified in classified protection 2.0.Our investigation indicates that blockchains can satisfy the requirements of evaluation items in three aspects,namely,software fault tolerance,resource control,and backup and recovery.However,further improvements are needed for other aspects,including security audit,access control,identification and authentication,and data integrity. KEY WORDS blockchain;classified protection of cybersecurity;peer-to-peer network;consensus mechanism;assessment and analysis 区块链是一种密码学化的分布式数据库和网 功能组成为单元提出安全评估要求，并结合具体 络交易记账系统，可不依赖于可信第三方提供安 区块链进行分析.上述工作通过对区块链进行系 全的电子交易服务川在当前科技重大变革的时 统化的测评，将有利于推动区块链技术在我国的 代，区块链技术凭借其密码化结构、P2P网络、共 持续健康发展 识机制、智能合约等机制，具有去中心化、防篡 1等级保护概述 改、可追溯等特性，成为当前信息化发展的热点 区块链的应用已延伸到医疗、版权)、法律、媒 等级保护是我国关于信息安全的基本政策 体、资产管理等多个领域 基本思想是对不同的保护对象分等级，以便按照 当前，与互联网相连的计算机系统都有可能 标准进行管理和监督，等级保护工作在国外早已 遭受来自世界范围的攻击，这不仅会影响系统的 纷纷开展：美国国防部20世纪80年代成立国家计 正常使用，甚至会影响信息化社会的稳定与国家 算机安全中心，90年代公布的橘皮书带动了国际 安全.我国信息安全等级保护（简称等保）制度的 的安全评估工作：随后，欧洲借鉴橘皮书的经验， 实施，不仅能引导各行业按照等保标准进行安全 公布了欧洲白皮书，并首次提出信息安全的保密 管理，还可以使监管、测评机构有法可依、有章可 性、完整性、可用性，国际的信息安全研究再上新 循，对网络安全具有重要意义.随着等级保护2.0 台阶；1996年，美国政府同加拿大及欧共体吸收了 时代？的到来，信息安全等级保护制度也正式更名 包括欧洲白皮书、加拿大的CTCPEC以及国际标 网络安全等级保护制度.《中华人民共和国网络 准化组织ISO:SC27WG3的安全评估标准在内的 安全法》第二十一条、第三十一条规定我国实行 各国先进经验，制定了通用安全评估准则(CC). 网络安全等级保护制度，国家对关键信息基础设 我国在充分借鉴他国前提下，从信息系统建 施在网络安全等级保护的基础上实行重点保护 设、管理和使用等方面入手，建立计算机信息系统 区块链技术起源于国外，在我国正处于发展 安全等级保护制度，并制定安全评估标准.国家 阶段，其测试评价工作也正在同步推进.按照等级 标准《GBT22239一2019信息安全技术网络安全 保护修订思路和方法，除了具有普适性的通用要 等级保护基本要求》在开展信息安全等级保护工 求外，还应针对特定技术及领域（如云计算、移动 作的过程中起到了非常重要的作用山.为了进一 互联、物联网、工业控制、大数据等)制定测评规 步完善等级保护的适用性、时效性、可操作性，近 范.鉴于区块链技术的特殊性，我国已经启动了区 年来出现的网络新技术，包括移动互联网、云计算凶 块链测评规范的制定工作，例如，中国区块链测评 大数据町、物联网和工业控制五个领域，分别 联盟出台了“区块链与分布式记账信息系统评估 依据GB/T22239一2019修订的思路和方法进行面 规范”，然而，上述工作并没有将等级保护标准应 向领域的等级保护标准制定 用于区块链测评规范制定中 11安全等级保护的定级标准 针对目前仍然鲜有参照等保2.0标准开展区 安全等级的划分是根据等保对象在国家安全、 块链测评研究的现状，而国家关键信息基础设施 经济建设、社会生活中的重要程度，遭到破坏后对 的安全保护等级至少为第三级，因此本文将以“等 国家安全、社会秩序、公共利益及公民、法人和其 保三级”的应用和数据安全要求为依托，以区块链 他组织的合法权益的危害程度等因素确定.表1

blockchain  technology,  China  has  initiated  the  formulation  of  blockchain  evaluation  specifications,  but  has  not  applied  the  level protection standards to the formulation of blockchain evaluation specifications. Therefore, the assessment requirements and enforcement proposals are specified for the blockchain’s core technologies, such as P2P network, distributed ledger, consensus mechanism, and smart contracts, according to the application and data security layer requirements at Level 3. Moreover, the current running data of blockchains and  their  security  audit  mechanism  based  on  the  log  workflow  were  summarized  and  analyzed  respectively  in  compliance  with  the control  points  specified  in  classified  protection  2.0.  Our  investigation  indicates  that  blockchains  can  satisfy  the  requirements  of evaluation  items  in  three  aspects,  namely,  software  fault  tolerance,  resource  control,  and  backup  and  recovery.  However,  further improvements are needed for other aspects, including security audit, access control, identification and authentication, and data integrity. KEY  WORDS    blockchain； classified  protection  of  cybersecurity； peer-to-peer  network； consensus  mechanism； assessment  and analysis 区块链是一种密码学化的分布式数据库和网 络交易记账系统，可不依赖于可信第三方提供安 全的电子交易服务[1] . 在当前科技重大变革的时 代，区块链技术凭借其密码化结构、P2P 网络、共 识机制、智能合约等机制，具有去中心化、防篡 改、可追溯等特性，成为当前信息化发展的热点. 区块链的应用已延伸到医疗[2]、版权[3]、法律[4]、媒 体、资产管理[5] 等多个领域. 当前，与互联网相连的计算机系统都有可能 遭受来自世界范围的攻击，这不仅会影响系统的 正常使用，甚至会影响信息化社会的稳定与国家 安全. 我国信息安全等级保护[6] （简称等保）制度的 实施，不仅能引导各行业按照等保标准进行安全 管理，还可以使监管、测评机构有法可依、有章可 循，对网络安全具有重要意义. 随着等级保护 2.0 时代[7] 的到来，信息安全等级保护制度也正式更名 网络安全等级保护制度[8] . 《中华人民共和国网络 安全法》[9] 第二十一条、第三十一条规定我国实行 网络安全等级保护制度，国家对关键信息基础设 施在网络安全等级保护的基础上实行重点保护. 区块链技术起源于国外，在我国正处于发展 阶段，其测试评价工作也正在同步推进. 按照等级 保护修订思路和方法，除了具有普适性的通用要 求外，还应针对特定技术及领域（如云计算、移动 互联、物联网、工业控制、大数据等）制定测评规 范. 鉴于区块链技术的特殊性，我国已经启动了区 块链测评规范的制定工作，例如，中国区块链测评 联盟出台了“区块链与分布式记账信息系统评估 规范”. 然而，上述工作并没有将等级保护标准应 用于区块链测评规范制定中. 针对目前仍然鲜有参照等保 2.0 标准开展区 块链测评研究的现状，而国家关键信息基础设施 的安全保护等级至少为第三级，因此本文将以“等 保三级”的应用和数据安全要求为依托，以区块链 功能组成为单元提出安全评估要求，并结合具体 区块链进行分析. 上述工作通过对区块链进行系 统化的测评，将有利于推动区块链技术在我国的 持续健康发展. 1    等级保护概述 等级保护是我国关于信息安全的基本政策. 基本思想是对不同的保护对象分等级，以便按照 标准进行管理和监督. 等级保护工作在国外早已 纷纷开展：美国国防部 20 世纪 80 年代成立国家计 算机安全中心，90 年代公布的橘皮书带动了国际 的安全评估工作；随后，欧洲借鉴橘皮书的经验， 公布了欧洲白皮书，并首次提出信息安全的保密 性、完整性、可用性，国际的信息安全研究再上新 台阶；1996 年，美国政府同加拿大及欧共体吸收了 包括欧洲白皮书、加拿大的 CTCPEC 以及国际标 准化组织 ISO:SC27WG3 的安全评估标准在内的 各国先进经验，制定了通用安全评估准则（CC）. 我国在充分借鉴他国前提下，从信息系统建 设、管理和使用等方面入手，建立计算机信息系统 安全等级保护制度[10] ，并制定安全评估标准. 国家 标准《GB/T 22239—2019 信息安全技术 网络安全 等级保护基本要求》在开展信息安全等级保护工 作的过程中起到了非常重要的作用[11] . 为了进一 步完善等级保护的适用性、时效性、可操作性，近 年来出现的网络新技术，包括移动互联网、云计算[12]、 大数据[13]、物联网[14] 和工业控制五个领域，分别 依据 GB/T 22239—2019 修订的思路和方法进行面 向领域的等级保护标准制定. 1.1    安全等级保护的定级标准 安全等级的划分是根据等保对象在国家安全、 经济建设、社会生活中的重要程度，遭到破坏后对 国家安全、社会秩序、公共利益及公民、法人和其 他组织的合法权益的危害程度等因素确定. 表 1 · 1268 · 工程科学学报，第 42 卷，第 10 期

朱岩等：网络安全等级保护下的区块链评估方法 1269· 表1定级要素与安全等级的关系 Table 1 Relation between grading elements and safety level 程度 公民、法人、其他组织 社会秩序、社会公共利益 国家安全 Degree Citizens,corporations and other organizations Social order,public interest National security 损害 第一级 第二级 第三级 General damage Level 1 Level 2 Level3 严重损害 第二级 第三级 第四级 Significant damage Level 2 Level3 Level4 特别严重损害 第三级 第四级 第五级 Especially significant damage *Level 3 Level 4 Level 5 Classified protection 1.0 is level 2. 给出了定级要素与安全等级之间的对应关系，其 语言而不是特定领域语言(DSL)编写智能合约 中，从第一级到第五级等级保护对象遭到破坏后 上述区块链系统的不同特征无疑增大了区块 所产生的损失依次增加 链测评的难度，然而，无论何种区块链，按照其系 1.2等保2.0版与1.0版应用层控制点对比 统框架均可以划分为网络层、共识层、交易层、合 等级保护2.0的标准是在等级保护1.0的基础 约层，如图1所示.区块链系统的核心部分包括： 上重新确立并发展的.在应用层面上，如表2所 分布式对等网络（网络层）、共识机制（共识层）、 示，等级保护三级2.0通用标准将原有1.0标准中 分布式账本（交易层）、智能合约（合约层）等.有 的应用安全、数据安全及备份恢复两个层面合并 鉴于此，本文将分别针对区块链系统上述各个部 为应用和数据安全；将通信完整性、通信保密性纳 分进行测评 入网络和通信安全层；此外，在1.0基础上增加了 3分布式对等网络测评 剩余信息保护和个人信息保护两个控制点 2区块链框架 分布式对等网络是仅包含具有等效控制和操 作能力节点的计算机网络.区块链信息系统底层 目前，主流的区块链系统包括比特币川、以太 拓扑结构是分布式对等网络，各个节点通过对等 坊叼和超级账本，并各具特点.简单地讲，比特 网络进行数据通信以支撑上层功能.网络的五层 币是最早真正意义的去中心化区块链系统，共识 模型可以分为物理层、数据链路层、网络层、传输 采用工作量证明获得记账权.它只能处理简单的 层、应用层.区块链系统小世界模型的P2P网 脚本，并不具备图灵完备的智能合约执行能力.以 络是以P协议、TCP协议为基础存在于应用层面 太坊是一个允许用户按照自己的意愿创建复杂操 上的逻辑覆盖网络，特点主要有非中心化、扩展性 作并具备图灵完备的智能合约功能的可编程区块 强及负载均衡9，这些特点为区块链系统高效稳 链，它的出现将区块链带入了智能合约7时代；BM 定运行提供了强有力的保证 的超级账本系统是一种可插拔、可扩展的模块化 区块链系统维护一个在启动时可以连接的对 区块链平台，它的中心化程度较高，支持通用编程 等节点列表0，在系统新节点接入已有网络时，首 表2等级保护1.0与2.0三级应用层控制点对比 Table 2 Comparison of application layer control points in classified protection 1.0 and 2.0 at level 3 版本 类别 控制点 Version Category Control points 应用安全 身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制 Application security Identity authentication,access control,security audit,communication integrity, 等级保护1.0 communication confidentiality,software fault tolerance,resource control Classified protection 1.0 数据安全及备份恢复 数据完整性、数据保密性、备份和恢复 Data security and backup Data integrity,data confidentiality,backup and recovery recovery 身份鉴别、访问控制、安全市计、软件容错、资源控制、数据完整性、数据保密性 等级保护2.0 应用和数据安全 数据备份和恢复、剩余信息保护、个人信息保护 Classified protection 2.0 Identity authentication,access control,security audit,software fault tolerance,resource Application and data security control,data integrity,data confidentiality,data backup and recovery,residual information protection,personal information protection

给出了定级要素与安全等级之间的对应关系，其 中，从第一级到第五级等级保护对象遭到破坏后 所产生的损失依次增加. 1.2    等保 2.0 版与 1.0 版应用层控制点对比 等级保护 2.0 的标准是在等级保护 1.0 的基础 上重新确立并发展的. 在应用层面上，如表 2 所 示，等级保护三级 2.0 通用标准将原有 1.0 标准中 的应用安全、数据安全及备份恢复两个层面合并 为应用和数据安全；将通信完整性、通信保密性纳 入网络和通信安全层；此外，在 1.0 基础上增加了 剩余信息保护和个人信息保护两个控制点. 2    区块链框架 目前，主流的区块链系统包括比特币[1]、以太 坊[15] 和超级账本[16] ，并各具特点. 简单地讲，比特 币是最早真正意义的去中心化区块链系统，共识 采用工作量证明获得记账权. 它只能处理简单的 脚本，并不具备图灵完备的智能合约执行能力. 以 太坊是一个允许用户按照自己的意愿创建复杂操 作并具备图灵完备的智能合约功能的可编程区块 链，它的出现将区块链带入了智能合约[17] 时代；IBM 的超级账本系统是一种可插拔、可扩展的模块化 区块链平台，它的中心化程度较高，支持通用编程 语言而不是特定领域语言（DSL）编写智能合约. 上述区块链系统的不同特征无疑增大了区块 链测评的难度，然而，无论何种区块链，按照其系 统框架均可以划分为网络层、共识层、交易层、合 约层，如图 1 所示. 区块链系统的核心部分包括： 分布式对等网络（网络层）、共识机制（共识层）、 分布式账本（交易层）、智能合约（合约层）等. 有 鉴于此，本文将分别针对区块链系统上述各个部 分进行测评. 3    分布式对等网络测评 分布式对等网络是仅包含具有等效控制和操 作能力节点的计算机网络. 区块链信息系统底层 拓扑结构是分布式对等网络，各个节点通过对等 网络进行数据通信以支撑上层功能. 网络的五层 模型可以分为物理层、数据链路层、网络层、传输 层、应用层. 区块链系统小世界模型[18] 的 P2P 网 络是以 IP 协议、TCP 协议为基础存在于应用层面 上的逻辑覆盖网络，特点主要有非中心化、扩展性 强及负载均衡[19] ，这些特点为区块链系统高效稳 定运行提供了强有力的保证. 区块链系统维护一个在启动时可以连接的对 等节点列表[20] ，在系统新节点接入已有网络时，首 表 1 定级要素与安全等级的关系 Table 1 Relation between grading elements and safety level 程度 Degree 公民、法人、其他组织 Citizens, corporations and other organizations 社会秩序、社会公共利益 Social order, public interest 国家安全 National security 损害 General damage 第一级 Level 1 第二级 Level 2 第三级 Level 3 严重损害 Significant damage 第二级 Level 2 第三级 Level 3 第四级 Level 4 特别严重损害 Especially significant damage 第三级 *Level 3 第四级 Level 4 第五级 Level 5 * Classified protection 1.0 is level 2. 表 2 等级保护 1.0 与 2.0 三级应用层控制点对比 Table 2 Comparison of application layer control points in classified protection 1.0 and 2.0 at level 3 版本 Version 类别 Category 控制点 Control points 等级保护1.0 Classified protection 1.0 应用安全 Application security 身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制 Identity authentication, access control, security audit, communication integrity, communication confidentiality, software fault tolerance, resource control 数据安全及备份恢复 Data security and backup recovery 数据完整性、数据保密性、备份和恢复 Data integrity, data confidentiality, backup and recovery 等级保护2.0 Classified protection 2.0 应用和数据安全 Application and data security 身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、 数据备份和恢复、剩余信息保护、个人信息保护 Identity authentication, access control, security audit, software fault tolerance, resource control, data integrity, data confidentiality, data backup and recovery, residual information protection, personal information protection 朱    岩等： 网络安全等级保护下的区块链评估方法 · 1269 ·

.1270 工程科学学报，第42卷，第10期 Bitcoin Ethereum Hyperledger 含约层（脚本） Language Bitcoin script Solidty/Vyper Go/Java Contact layer (Script) Runtime Bitcoin script engine EVM Docker environment 交易层（交易） Transaction layer Merkel tree、 Merkel patricia tree. Leveldb、 (Transaction) block linkedlist block linkedlist block linkedlist 共识层（区块） Consensus layer PoW PoW/PoS Solo/Kafka/PBFT (Block) 网络层（数据报文） Network layer P2P network (Data message) 图1区块链框架 Fig.I Blockchain framework 先节点会通过“种子”得到对等节点P列表.节点 及预期效果，同时，给出了区块链系统的测评结 间通常采用TCP协议与相邻节点建立连接，建立 果，可以看出，除第②、③、④、⑧测评项通过外， 连接时也会有认证“握手”的通信过程用来确定 其他5项均未达到等保三级要求 P2P协议版本、软件版本、节点P、区块高度等 4共识机制测评 为了能够被更多节点发现，新节点会将带有自身 IP地址的信息发送给相邻节点，并要求其返回其 共识机制3-24是区块链系统成员节点在对区 已知的对等节点的P地址列表 块链的操作（如建块、交易验证等）上达成一致确 表3列举了针对区块链中分布式对等网络的 认的方式.由于区块链是去中心化分布式系统，没 测评标准，并对身份鉴别、软件容错、资源控制、 有中心化记账节点确保每笔交易在所有节点上的 数据完整性、审计等五个类别逐项对区块链P2P 记录一致，因此共识机制的作用就是实现区块链 网络P1-四进行了分析.测评项包括：①节点接入控 各节点之间的数据一致性和操作同步性，它是区 制，②自我保护与自适应，③并发连接限制，④连 块链系统的关键技术之一， 接超时限制，⑤单播通讯防篡改，⑥广播通信防篡 现有的主流共识技术主要有工作量证明 改，⑦转发通信防篡改，⑧网络状态获取更新和 (PoW)26-2刃、拜占庭容错共识(PBFT)28-29、权益证 ⑨网络节点动态监测 明(PoS)B0和授权权益证明(DPoS)B等.采用了 值得说明的是，已建立连接的节点会定期发 PoW协议的区块链，它适用于较大规模网络，也是 送信息维持连接，如果某个节点长达90min没有 至今为止最成熟的共识协议.与之相比，PBFT则 通信，则结束会话.P2P网络节点连接不超过117 更适用于小型的全连通网络.区块链可根据需求 个输入连接，向其他节点发起8个输出连接，超过 并结合实际情况（如节点数量、容错性、性能效率 数量的P地址会被忽略 等指标)选择适合的共识算法.本节将对PoW协 比特币采用P2P网络，每个节点邻接边数为 议予以测评. 8,如图2(a)所示我们测量了近3个月时间内比特 共识机制的测评以共识算法的资源耗费和共 币网络规模的变化情况，可以看出，目前该网络规 识所达到的效果两方面为核心，测评项主要包括 模可达60万个节点，大约需要7~10次转发可实 共识资源控制、备份与恢复、共识效果三方面，具 现交易的全网广播，由图2(b)可知，2009年之后网 体包括：①共识资源控制，②实时备份，③系统热 络规模呈增长趋势，因此对P2P网络的要求日益 冗余，④共识容错性，⑤共识有效性和⑥共识结果 严格 一致性 区块链网络测评需要对网络规模、节点地理 PoW的共识过程如图3所示，其目标是所有 分布、节点中断可用性方面的网络稳定性以及有 节点共同建立包含最近交易的新区块，共识主要 关传输信息、传播时间等数据进行收集与分析，并 分为交易收集、候选区块创建、工作量证明（挖 总结区块链对等网络的实际使用情况，完成测评 矿)、广播区块、区块组装到链和交易回收几个 工作.表3中提供了针对每个测评项的实施方法 阶段，并由通常的区块链节点（交易节点）与矿工

先节点会通过“种子”得到对等节点 IP 列表. 节点 间通常采用 TCP 协议与相邻节点建立连接，建立 连接时也会有认证“握手”的通信过程用来确定 P2P 协议版本、软件版本、节点 IP、区块高度等. 为了能够被更多节点发现，新节点会将带有自身 IP 地址的信息发送给相邻节点，并要求其返回其 已知的对等节点的 IP 地址列表. 表 3 列举了针对区块链中分布式对等网络的 测评标准，并对身份鉴别、软件容错、资源控制、 数据完整性、审计等五个类别逐项对区块链 P2P 网络[21−22] 进行了分析. 测评项包括：①节点接入控 制，② 自我保护与自适应，③并发连接限制，④连 接超时限制，⑤单播通讯防篡改，⑥广播通信防篡 改，⑦转发通信防篡改，⑧网络状态获取更新和 ⑨网络节点动态监测. 值得说明的是，已建立连接的节点会定期发 送信息维持连接，如果某个节点长达 90 min 没有 通信，则结束会话. P2P 网络节点连接不超过 117 个输入连接，向其他节点发起 8 个输出连接，超过 数量的 IP 地址会被忽略. 比特币采用 P2P 网络，每个节点邻接边数为 8，如图 2（a）所示我们测量了近 3 个月时间内比特 币网络规模的变化情况，可以看出，目前该网络规 模可达 60 万个节点，大约需要 7～10 次转发可实 现交易的全网广播，由图 2（b）可知，2009 年之后网 络规模呈增长趋势，因此对 P2P 网络的要求日益 严格. 区块链网络测评需要对网络规模、节点地理 分布、节点中断可用性方面的网络稳定性以及有 关传输信息、传播时间等数据进行收集与分析，并 总结区块链对等网络的实际使用情况，完成测评 工作. 表 3 中提供了针对每个测评项的实施方法 及预期效果，同时，给出了区块链系统的测评结 果，可以看出，除第②、③、④、⑧测评项通过外， 其他 5 项均未达到等保三级要求. 4    共识机制测评 共识机制[23−24] 是区块链系统成员节点在对区 块链的操作（如建块、交易验证等）上达成一致确 认的方式. 由于区块链是去中心化分布式系统，没 有中心化记账节点确保每笔交易在所有节点上的 记录一致，因此共识机制的作用就是实现区块链 各节点之间的数据一致性和操作同步性，它是区 块链系统的关键技术之一. 现有的主流共识技术[25] 主要有工作量证明 （PoW） [26−27]、拜占庭容错共识（PBFT） [28−29]、权益证 明（PoS） [30] 和授权权益证明（DPoS） [31] 等. 采用了 PoW 协议的区块链，它适用于较大规模网络，也是 至今为止最成熟的共识协议. 与之相比，PBFT 则 更适用于小型的全连通网络. 区块链可根据需求 并结合实际情况（如节点数量、容错性、性能效率 等指标）选择适合的共识算法. 本节将对 PoW 协 议予以测评. 共识机制的测评以共识算法的资源耗费和共 识所达到的效果两方面为核心，测评项主要包括 共识资源控制、备份与恢复、共识效果三方面，具 体包括：①共识资源控制，②实时备份，③系统热 冗余，④共识容错性，⑤共识有效性和⑥共识结果 一致性. PoW 的共识过程如图 3 所示，其目标是所有 节点共同建立包含最近交易的新区块，共识主要 分为交易收集、候选区块创建、工作量证明（挖 矿[32] ）、广播区块、区块组装到链和交易回收几个 阶段，并由通常的区块链节点（交易节点）与矿工 Bitcoin Ethereum Hyperledger Solidty/Vyper Go/Java Docker Leveldb、 block linkedlist Merkel patricia tree、 block linkedlist Merkel tree、 block linkedlist PoW P2P network Runtime environment 含约层（脚本） Language Contact layer (Script) 交易层（交易） Transaction layer (Transaction) 共识层（区块） Consensus layer (Block) 网络层（数据报文） Network layer (Data message) PoW/PoS Solo/Kafka/PBFT Bitcoin script Bitcoin script engine EVM 图 1    区块链框架 Fig.1    Blockchain framework · 1270 · 工程科学学报，第 42 卷，第 10 期

朱岩等：网络安全等级保护下的区块链评估方法 1271 表3分布式对等网络测评 Table 3 Distributed peer-to-peer network assessment 类别 测评项 实施 预期效果 实际测评结果说明 达标 Categories Items Implementation Expected Effectiveness Description of actual Y/N evaluation results 查看连人区块链是否 当节点连人系统时，对其进 节点接人时没有对身份 身份鉴别 节点接入控制 行身份认证，控制节点接人 进行认证 需要认证 否 Identification Node link control Check if the connection to the When nodes are connected, The identity is not the system authenticates authenticated when the node is Blockchain requires authentication themto restrict node access. connected. 网络抖动对传输不会造成太 软件容错 自我保护与自适应 网络不稳定时查看信息传输情况 网络抖动时，区块链 大影响，系统运行稳定 系统运行稳定 是 Software fault Self-protection and self-Inspect information transmission Network jitter does not have tolerance when the network is unstable. Blockchain system runs stably 上 adaptation much impact on transmission. Blockchain runs stably. when network jitter occurs. 对最大并发连接进行限制. 节点连接不超过117个输入 并发连接限制 查看节点最大连接数目 防止系统资源耗尽 连接，向其他节点发起 Concurrent connection View the maximum number of 8个输出连接 Limit maximum concurrent 是 restriction connections on nodes connections to prevent system Node connections do not exceed 117 input connections resource exhaustion and 8 output connections. 资源控制 某个节点超过30min没有新 Resource control 自动结束长期无应答的会话消息，则发送心跳消息，长达 查看相关网络配置 防止系统资源占用 90min没有通信，则结束会话 连接超时限制 Automatically end long-term If there is no communication Connection timeout limit View related network for more than 30 minutes,a unanswered sessions to configurations heartbeat message is sent.End prevent system resource usage. the session if there is no communication for 90 minutes. 查看数据传输是否加密防 数据在点对点通信过程中不 不能保障数据在单播通信过 单播通信防篡改 篡改安全 被篡改 程中的完整性 否 Anti-tampering of unicast Check whether data transmission is Data is not tampered with in The integrity of data in unicast N encrypted and tamper-proof the process of point-to-point communication cannot be communication. guaranteed. 能否提供通信多播，广播功能.通 信过程中数据是否防篡改 数据在广播通信过程中 不能保障数据在广播通信过 程中的完整性 广播通信防篡改 Check whether the system can 不被篡改 数据完整性 Multicast communication provide communication multicast, Data is not tampered with The Bitcoin system does not 否 Data integrity guarantee the integrity of data tamper-proof broadcast function and tamper- during broadcast in the broadcast proof data in the process of communication communication process communication 不能保障数据在转发通信过 转发通信防篡改 转发功能及数据防篡改 数据在某节点通过转发时 程中的完整性 Forwarding Data tampering prevention in 不被篡改 The integrity of data in the 否 ommunication tamper Data is not tampered with process of forwarding proof forwarding communication when forwarded by a node. communication cannot be guaranteed 存在单个节点的状态更新记 录.但更新记录不进行全网 查看日志是否记录 能够为系统的稳定运行提供 交换，无法获取全网状态 网路状态获取更新 可信的节点数据 There is a status update record Network status get 节点状态信息 Ability to provide trusted node for a single node.However, 否 update Check whether the log records node status information. data for stable operation of the update records are not system. exchanged in the whole 安全市计 network,the whole network Security audit status cannot be obtained. 网络节点动态监测 是否对在线节点数量 具备对节点动态增加和减少区块链系统具备全网节点数 的识别能力 量实时统计能力 进行统计 The Bitcoin system does not 是 Network node dynamic Statistics on the number of Ability to recognize nodes have the real-time statistical monitoring online nodes dynamically increasing and ability of the number of nodes decreasing. in the whole network. 节点共同实现，下述评测内容在此共识过程基础 4.1 共识资源控制（测评项①） 上进行评测 区块链共识机制中矿工不断修改区块头

节点共同实现，下述评测内容在此共识过程基础 上进行评测. 4.1    共识资源控制（测评项①） 区块链共识机制中矿工不断修改区块头 表 3 分布式对等网络测评 Table 3 Distributed peer-to-peer network assessment 类别 Categories 测评项 Items 实施 Implementation 预期效果 Expected Effectiveness 实际测评结果说明 Description of actual evaluation results 达标 Y/N 身份鉴别 Identification 节点接入控制 Node link control 查看连入区块链是否 需要认证 Check if the connection to the Blockchain requires authentication 当节点连入系统时，对其进 行身份认证，控制节点接入 When nodes are connected, the system authenticates themto restrict node access. 节点接入时没有对身份 进行认证 The identity is not authenticated when the node is connected. 否 N 软件容错 Software fault tolerance 自我保护与自适应 Self-protection and self￾adaptation 网络不稳定时查看信息传输情况 Inspect information transmission when the network is unstable. 网络抖动对传输不会造成太 大影响，系统运行稳定 Network jitter does not have much impact on transmission. Blockchain runs stably. 网络抖动时，区块链 系统运行稳定 Blockchain system runs stably when network jitter occurs. 是 Y 资源控制 Resource control 并发连接限制 Concurrent connection restriction 查看节点最大连接数目 View the maximum number of connections on nodes 对最大并发连接进行限制， 防止系统资源耗尽 Limit maximum concurrent connections to prevent system resource exhaustion 节点连接不超过117个输入 连接，向其他节点发起 8个输出连接. Node connections do not exceed 117 input connections and 8 output connections. 是 Y 连接超时限制 Connection timeout limit 查看相关网络配置 View related network configurations 自动结束长期无应答的会话 防止系统资源占用 Automatically end long-term unanswered sessions to prevent system resource usage. 某个节点超过30 min没有新 消息，则发送心跳消息，长达 90 min没有通信，则结束会话 If there is no communication for more than 30 minutes, a heartbeat message is sent. End the session if there is no communication for 90 minutes. 是 Y 数据完整性 Data integrity 单播通信防篡改 Anti-tampering of unicast 查看数据传输是否加密防 篡改安全 Check whether data transmission is encrypted and tamper-proof 数据在点对点通信过程中不 被篡改 Data is not tampered with in the process of point-to-point communication. 不能保障数据在单播通信过 程中的完整性 The integrity of data in unicast communication cannot be guaranteed. 否 N 广播通信防篡改 Multicast communication tamper-proof 能否提供通信多播，广播功能，通 信过程中数据是否防篡改 Check whether the system can provide communication multicast, broadcast function and tamper￾proof data in the process of communication 数据在广播通信过程中 不被篡改 Data is not tampered with during broadcast communication. 不能保障数据在广播通信过 程中的完整性 The Bitcoin system does not guarantee the integrity of data in the broadcast communication process. 否 N 转发通信防篡改 Forwarding communication tamper￾proof 转发功能及数据防篡改 Data tampering prevention in forwarding communication 数据在某节点通过转发时 不被篡改 Data is not tampered with when forwarded by a node. 不能保障数据在转发通信过 程中的完整性 The integrity of data in the process of forwarding communication cannot be guaranteed 否 N 安全审计 Security audit 网络状态获取更新 Network status get update 查看日志是否记录 节点状态信息 Check whether the log records node status information. 能够为系统的稳定运行提供 可信的节点数据 Ability to provide trusted node data for stable operation of the system. 存在单个节点的状态更新记 录，但更新记录不进行全网 交换，无法获取全网状态 There is a status update record for a single node. However, update records are not exchanged in the whole network, the whole network status cannot be obtained. 否 N 网络节点动态监测 Network node dynamic monitoring 是否对在线节点数量 进行统计 Statistics on the number of online nodes 具备对节点动态增加和减少 的识别能力 Ability to recognize nodes dynamically increasing and decreasing. 区块链系统具备全网节点数 量实时统计能力 The Bitcoin system does not have the real-time statistical ability of the number of nodes in the whole network. 是 Y 朱    岩等： 网络安全等级保护下的区块链评估方法 · 1271 ·

1272 工程科学学报，第42卷，第10期 12(a) 12(b) (2020/5/14,718874) --Active nodes -Active nodes 2020/5/14,718874 10 10 8 8 6 4 (2020/2/1,585209) 2 (2009/19,14) 0 0 2020/02/01 2020/0221 2020/03/12 2020/04/01 2020/04/21 2020/05/11 2009/01 2010/1 2012/1 2014/09 016/07 2018/06 2020/05 Date Date 图2比特币P2P网络规模变化图.(a)近3个月比特币网络规模变化图：(b)2009年之后比特币网络规模变化图 Fig2 Scale change of Bitcoin P2P network:(a)scale change of Bitcoin P2P network in last three months,(b)scale change of Bitcoin P2P network since 2009 2 Transaction node Mining node Nodes Kth consensus Create transaction Broadcast transaction Create candidate blocks Proof of work Broadcast block Broadcast block 白 Verify candidate Verify candidate blocks blocks Block assembly to Block assembly to chain chain (K+1)h consensus -4 图3共识过程时序关系图 Fig.3 Consensus timing diagram BlockHeaderf的随机数Nn,并计算区块头的SHA 以比特币为例进行评测分析 2562哈希值，直到区块头哈希值小于难度值Tm (1)全网平均算力 上述关系可由下式表示：SHA2562 BlockHeadern)<Tm 算力是衡量在一定的网络消耗下生成新块的 矿工在短时间内消耗大量的计算资源以求得满足 单位总计算能力：全网算力，即网络中所有参与挖 要求的随机数，进而争夺记账权.若挖矿成功，则 矿的矿机算力综合，比特币的全网算力是所有参 N作为该矿工的工作量证明.该证明生成困难（生 与挖矿的比特币矿机算力的总和.如图4所示我 日攻击下的平均挖矿计算复杂性为0(V226/T), 们收集了2009年1月至2020年5月的全网平均 任何节点可通过上面的公式轻易验证该矿工为成 算力，并画出了分布趋势图.可以看出，随着比特 功者.系统经过十余年的运行，挖矿难度越来越 币在线活跃地址数的增加和计算能力的迅捷发 大，带来了大量（电力）资源消耗，这意味着系统运 展，比特币全网算力也有了较大的提升 行成本的增加，共识周期的延长，严重影响系统稳 (2)区块生成时间分布 定性，因此应将全网平均算力和区块生成时间分 假设区块链中一个节点的地址为A,且其余额 布等作为资源控制（测评项①）的测评指标，下述 为bal(A),在挖矿过程中，该节点不断修改随机数的

BlockHeadern Nn SHA 2562 Tn SHA 2562 (BlockHeadern) < Tn Nn O ( √ 2 256/T ) 的随机数 ，并计算区块头的 哈希值 ，直到区块头哈希值小于难度值 . 上述关系可由下式表示： . 矿工在短时间内消耗大量的计算资源以求得满足 要求的随机数，进而争夺记账权. 若挖矿成功，则 作为该矿工的工作量证明. 该证明生成困难（生 日攻击下的平均挖矿计算复杂性为 ） ， 任何节点可通过上面的公式轻易验证该矿工为成 功者. 系统经过十余年的运行，挖矿难度越来越 大，带来了大量（电力）资源消耗，这意味着系统运 行成本的增加，共识周期的延长，严重影响系统稳 定性，因此应将全网平均算力和区块生成时间分 布等作为资源控制（测评项①）的测评指标，下述 以比特币为例进行评测分析. （1）全网平均算力. 算力是衡量在一定的网络消耗下生成新块的 单位总计算能力；全网算力，即网络中所有参与挖 矿的矿机算力综合，比特币的全网算力是所有参 与挖矿的比特币矿机算力的总和. 如图 4 所示我 们收集了 2009 年 1 月至 2020 年 5 月的全网平均 算力，并画出了分布趋势图. 可以看出，随着比特 币在线活跃地址数的增加和计算能力的迅捷发 展，比特币全网算力也有了较大的提升. （2）区块生成时间分布. bal(A) 假设区块链中一个节点的地址为 A，且其余额 为 ，在挖矿过程中，该节点不断修改随机数的 2020/02/01 2020/02/21 2020/03/12 2020/04/01 2020/04/21 2020/05/11 0 2 4 6 8 10 12 Active nodes Date Active nodes/10 5 (2020/2/1, 585209) (2020/5/14, 718874) (a) Active nodes Date 0 2 4 6 8 10 12 (b) Active nodes/10 5 (2009/1/9, 14) (2020/5/14, 718874) 2009/01 2010/11 2012/10 2014/09 2016/07 2018/06 2020/05 图 2    比特币 P2P 网络规模变化图. （a）近 3 个月比特币网络规模变化图；（b） 2009 年之后比特币网络规模变化图 Fig.2    Scale change of Bitcoin P2P network: (a) scale change of Bitcoin P2P network in last three months; (b) scale change of Bitcoin P2P network since 2009 Transaction node Mining node Nodes Broadcast transaction Broadcast block Proof of work Create transaction Create candidate blocks Verify candidate blocks Block assembly to chain Verify candidate blocks Block assembly to chain Broadcast block (K+1)th consensus Kth consensus 图 3    共识过程时序关系图 Fig.3    Consensus timing diagram · 1272 · 工程科学学报，第 42 卷，第 10 期

朱岩等：网络安全等级保护下的区块链评估方法 1273 14 -Hashrate 16 ·Difficulty (2020/3/5,13.329175×1019- 12 (2020/5/13.1.6104807×10) (2020/5/14,8.719201×101- 6 8 4 (2009/1/9,1.257632×107 (2009/1/9,1) 0 -2 2009/01 2010/11 2012/1 2014/09 016/07 2018/06 02005 20090 2010/1 2012/1 2014/09 016f07 2018/06 2020/05 Date Date 图4比特币全网算力图 图5共识机制难度变化趋势图（比特币） Fig.4 Bitcoin hashrate historical chart Fig.5 Consensus difficulty change trend diagram(Bitcoin) 值（通常是逐渐加一），从而使计算结果小于目标 方程为y=-1.44623×109×(1-e-0.00228.r) 阈值才能建造有效区块.我们将建造一个新的区 针对PoW的攻击是敌手B]以较大优势成为 块时的目标值记作日，挖矿难度为D,则区块链协 挖矿的获胜者，从而使用记账权改变或伪造交易 议中所有有效区块都需要满足一个条件U≤0≤1， 为取得挖矿成功，当前敌手采取的主要攻击包括： 式中0~[0,1是对区块头数据进行哈希并对得到 (a)共识过程攻击包括51%算力攻击B、暴力 的值进行归一化后生成的均匀分布的随机变量 破解1、私自挖矿B等.以51%算力攻击为例，它 由于哈希函数的特性，很多共识技术都是该式的 并不是指拥有全网51%以上的算力才能成功攻 特殊情况，例如： 击，而是算力超出51%这个门限，敌手计算出正确 ①在PoW情况下，0=1/D: 哈希值的速度就会比全网其他矿工更快，攻击成 ②在PoS情况下，0=bal(A)/D; 功率会大大增加 为了生成一个块，用户需要找到令U满足 (b)区块广播过程可受到日食攻击)、女巫攻 U≤0≤1的数据，即不断更改随机数，并计算包含 击B]等因素影响.其中，日食攻击是敌手通过阻 其的区块头哈希结果U,使其满足U≤0≤1，设 止正常节点通讯的方式影响共识；女巫攻击中敌 N为用户在找到一个有效块之前需要计算的数据 手会伪装成不同角色的区块链节点监视和干扰正 组合数.由于工作量证明PoW间隔很大，所以用 常网络 户每秒只能迭代r个组合，其中r由用户的挖掘设 资源控制（测评项①）的测评中考虑上述攻击 备确定.在权益证明PoS情况下，搜索空间较小， 对系统带来的影响，可通过提高资源控制难度保 因此可假设r=1.用户找到一个有效块所需的时 障系统安全.就区块链系统而言，随着系统节点不 间T与N有关：T=N/r,考虑累积概率分布： 断加入，全网总算力剧增，系统网络也愈加庞大， PT≤t=PN≤rt=1-PN>rtl= 敌手占据全网大部分算力的可能性极小，操控网 1-(1-'=1-exp(log(1-0)). 络难度巨大，因此可保证系统资源可控.但对于小 当0《1时，有1og(1-)≈-0，代入上式可得： 型区块链系统而言，全网算力较低，敌手可通过资 PT≤t≈1-exp(-0ri). 源控制的方式成功攻击系统 因此，用户找到一个有效块所需的时间T以 4.2实时备份（测评项②） 速率r呈指数分布.在PoW的情况下，这个速率等 交易的收集阶段过程为：(1)新交易产生后将 于rlD.在PoS的情况下，r=1,速率等于bal(A)/D, 实时地被该节点通过区块链网络广播至全网：(2)矿 生成有效区块的概率等于用户资金余额与流通货 工节点收集交易并验证交易的规范性（包括是否 币总量的比率，若将整个网络中的所有用户的资 前一笔交易属于未花费交易等)：(3)如果交易 金总额视为∑bal(a),则整个网络的块生成时间以 内容的正确性和逻辑性符合要求，则矿工会把交 速率∑，bal(a)/D呈指数分布.如图5所示我们收集 易存入内存的“未确认交易池”.因此，交易形成 了近些年比特币区块的难度值，并绘制了难度变 后，创建节点会通过P2P分布式对等网络实时广 化曲线图，是一个较为明显的指数分布曲线，拟合 播至全网，并由矿工节点收集验证其规范性，进而

θ U ⩽ θ ⩽ 1 U ∼ [0,1] 值（通常是逐渐加一），从而使计算结果小于目标 阈值才能建造有效区块. 我们将建造一个新的区 块时的目标值记作 ，挖矿难度为 D，则区块链协 议中所有有效区块都需要满足一个条件 ， 式中 是对区块头数据进行哈希并对得到 的值进行归一化后生成的均匀分布的随机变量. 由于哈希函数的特性，很多共识技术都是该式的 特殊情况，例如： ①在 PoW 情况下， θ = 1/D ； ②在 PoS 情况下， θ = bal(A) /D ； U ⩽ θ ⩽ 1 U ⩽ θ ⩽ 1 r = 1 T = N/r 为了生成一个块 ，用户需要找到令 U 满足 的数据，即不断更改随机数，并计算包含 其的区块头哈希结 果 U，使其满足 ， 设 N 为用户在找到一个有效块之前需要计算的数据 组合数. 由于工作量证明 PoW 间隔很大，所以用 户每秒只能迭代 r 个组合，其中 r 由用户的挖掘设 备确定. 在权益证明 PoS 情况下，搜索空间较小， 因此可假设 . 用户找到一个有效块所需的时 间 T 与 N 有关： ，考虑累积概率分布： P{T ⩽ t} = P{N ⩽ rt} = 1− P{N > rt} = 1−(1−θ) rt = 1−exp(log (1−θ) rt). 当 θ ≪ 1 时，有 log(1−θ) ≈ −θ ，代入上式可得： P{T ⩽ t} ≈ 1−exp(−θrt). θr r = 1 bal(A)/D ∑ abal(a) ∑ abal(a) /D 因此，用户找到一个有效块所需的时间 T 以 速率 呈指数分布. 在 PoW 的情况下，这个速率等 于 r/D. 在 PoS 的情况下， ，速率等于 ， 生成有效区块的概率等于用户资金余额与流通货 币总量的比率，若将整个网络中的所有用户的资 金总额视为 ，则整个网络的块生成时间以 速率 呈指数分布. 如图 5 所示我们收集 了近些年比特币区块的难度值，并绘制了难度变 化曲线图，是一个较为明显的指数分布曲线，拟合 y = −1.44623×109 ×(1−e −0.00228x 方程为 ). 针对 PoW 的攻击是敌手[33] 以较大优势成为 挖矿的获胜者，从而使用记账权改变或伪造交易. 为取得挖矿成功，当前敌手采取的主要攻击包括： （a）共识过程攻击包括 51% 算力攻击[34]、暴力 破解[35]、私自挖矿[36] 等. 以 51% 算力攻击为例，它 并不是指拥有全网 51% 以上的算力才能成功攻 击，而是算力超出 51% 这个门限，敌手计算出正确 哈希值的速度就会比全网其他矿工更快，攻击成 功率会大大增加. （b）区块广播过程可受到日食攻击[37]、女巫攻 击[38] 等因素影响. 其中，日食攻击是敌手通过阻 止正常节点通讯的方式影响共识；女巫攻击中敌 手会伪装成不同角色的区块链节点监视和干扰正 常网络. 资源控制（测评项①）的测评中考虑上述攻击 对系统带来的影响，可通过提高资源控制难度保 障系统安全. 就区块链系统而言，随着系统节点不 断加入，全网总算力剧增，系统网络也愈加庞大， 敌手占据全网大部分算力的可能性极小，操控网 络难度巨大，因此可保证系统资源可控. 但对于小 型区块链系统而言，全网算力较低，敌手可通过资 源控制的方式成功攻击系统. 4.2    实时备份（测评项②） 交易的收集阶段过程为：（1）新交易产生后将 实时地被该节点通过区块链网络广播至全网；（2）矿 工节点收集交易并验证交易的规范性（包括是否 前一笔交易属于未花费交易等[39] ）；（3）如果交易 内容的正确性和逻辑性符合要求，则矿工会把交 易存入内存的“未确认交易池”. 因此，交易形成 后，创建节点会通过 P2P 分布式对等网络实时广 播至全网，并由矿工节点收集验证其规范性，进而 2009/01 2010/11 2012/10 2014/09 2016/07 2018/06 2020/05 −2 0 2 4 6 8 10 12 14 Hashrate Date Hashrate/(1018 hash·s−1 ) (2009/1/9, 1.257632×107 ) (2020/5/14, 8.719201×1019) (2020/3/5, 13.329175×1019) 图 4    比特币全网算力图 Fig.4    Bitcoin hashrate historical chart Date (2009/1/9, 1) (2020/5/13, 1.6104807×1013) 2009/01 2010/11 2012/10 2014/09 2016/07 2018/06 2020/05 0 4 8 12 16 Difficulty Difficulty/1012 图 5    共识机制难度变化趋势图（比特币） Fig.5    Consensus difficulty change trend diagram（Bitcoin） 朱    岩等： 网络安全等级保护下的区块链评估方法 · 1273 ·

·1274 工程科学学报，第42卷，第10期 放至“未确认交易池”，实现本地和异地节点的数 从而建立起难度值的延续影响，保障共识数据区 据备份 块顺序不变 区块组装到链工作的具体过程为：(1)验证 当主链高度超过其他分支六块（可实现在1h 挖矿的正确性：(2)验证失败则丢弃区块，否则 内能以99.9%的概率确认2单笔交易)以上，分支 将区块附加在已有区块链之后.节点寻找新区块 的区块交易将会被进一步解析，未处理的交易会 的父区块，并链接到父区块完成区块的组装.每 被重新放入“未确认交易池”.分支的交易回收过 个节点不断地将共识区块写入自己的账本中，从 程能够避免交易丢失进而保证了一定程度上共识 而达到全网节点具有相同数据副本的实时备份 的有效性 效果Io 综上，共识机制在不同阶段皆采用了一定的 综上，区块链在交易、区块产生及共识的过程 机制验证交易数据的正确性和逻辑性，保证了共 中都达到了全网节点数据备份效果，测评项②得 识有效性（测评项⑤）的达标 到保证 4.5共识结果一致性（测评项⑥） 4.3系统热冗余（测评项③）和共识容错性（测 由PoW交易收集、候选区块创建、工作量证 评项④) 明（挖矿）、广播区块、区块组装到链和交易回收 区块链系统节点是去中心化并包含少数恶意 几个处理过程可得，区块链系统的安全性主要受 节点的，达到100%的共识显然很难实现，因此系 挖矿节点的影响，已有挖矿算力对系统安全分析 统测评应充分采纳统计学中的小概率事件思想： 的结果表明当严格遵循共识规则的挖矿节点算力 只要共识度超过95%即代表完全共识.由于目前 超过（微弱）多数时，可保证系统内所有节点得到 区块链系统在2h内能以99.9999%的概率确认单 相同共识，共识结果具有一致性（测评项⑥） 笔交易，因此可认为共识容错性（测评项④）达到 如表4所示，文献[43]展示了不同的区块链参 标准.依据上述标准，区块链系统节点是互为冗余 数选择（区块间隔、公共节点、挖矿池、陈腐块率 的，少数节点的故障并不影响系统稳定性和可用 和区块大小)对区块链网络传输的影响.通过以上 性，因此系统热冗余（测评项③）达到要求 测评，表5总结了PoW共识区块链系统在每个测 4.4共识有效性（测评项⑤） 评项的达标情况：从备份与恢复及共识效果来看， 在交易收集阶段，矿工节点通过规范性验证 PoW共识区块链系统均可满足测评项①②③④ 检查交易中签名正确性、货币是否存在、货币是 ⑤⑥要求 否二次使用等交易数据内容，以此保证了被共识 交易的有效性（测评项⑤），然而，上述验证过程并 表4不同区块链参数选择对网络传输影响 不能完全保证交易的绝对有效性，如“门头沟 Table 4 Impact of parameter selection on network transmission in (Mt.Gox)事件”中交易所受到的延展性攻击 different blockchainss Parameter Bitcoin Litecoin Dogecoin Ethereum 因此测评工作应根据最新的CVE(Common Vulnerabilities&Exposures)漏洞加以展开 区块间隔 10 min 2.5 min 1 min 10-20s Block interval 10 min 2.5 min 1 min 10-20s 候选区块创建阶段由矿工完成，具体为：(1) 公共节点 新建候选区块以及Coinbase交易（创币交易，即含 Public nodes 6000 800 600 4000 挖矿奖励的新交易)：(2)从“未确认交易池”中按 挖矿池 16 12 12 13 优先级提取交易并写入前述区块中：(3)计算区块 Mining pools 陈腐块率% 头部信息并将其填充到新创建的候选区块中.在 Stale block rate 0.41 0.273 0.619 6.8 第一步前矿工可计算本次挖矿可得奖励，奖励 区块大小WKB 534.8 6.11 8 由当前区块奖励与将要打包进区块的交易费用总 Block size 1.5 和两部分组成，因此，验证Coinbase交易中奖励的 5 分布式账本测评 真实性和有效性可保证矿工工作的正确性（测评 项⑤) 分布式账本是在各个成员之间同步共享、 PoW共识算法根据整个网络的哈希速率动态 序列化、防篡改的分布式数据存储结构，并可为区 调整难度值，当前调整周期为2周，调整值将会写 块链系统提供运行过程中产生的各种类型数据的 入区块头部并参与下一阶段的工作量证明计算， 写入与查询服务，针对数字货币交易，区块链系统

放至“未确认交易池”，实现本地和异地节点的数 据备份. 区块组装到链工作的具体过程为：（ 1）验证 挖矿的正确性；（ 2）验证失败则丢弃区块，否则 将区块附加在已有区块链之后. 节点寻找新区块 的父区块，并链接到父区块完成区块的组装. 每 个节点不断地将共识区块写入自己的账本中，从 而达到全网节点具有相同数据副本的实时备份 效果[40] . 综上，区块链在交易、区块产生及共识的过程 中都达到了全网节点数据备份效果，测评项②得 到保证. 4.3    系统热冗余（测评项③）和共识容错性（测 评项④） 区块链系统节点是去中心化并包含少数恶意 节点的，达到 100% 的共识显然很难实现，因此系 统测评应充分采纳统计学中的小概率事件思想： 只要共识度超过 95% 即代表完全共识. 由于目前 区块链系统在 2 h 内能以 99.9999% 的概率确认单 笔交易，因此可认为共识容错性（测评项④）达到 标准. 依据上述标准，区块链系统节点是互为冗余 的，少数节点的故障并不影响系统稳定性和可用 性，因此系统热冗余（测评项③）达到要求. 4.4    共识有效性（测评项⑤） 在交易收集阶段，矿工节点通过规范性验证 检查交易中签名正确性、货币是否存在、货币是 否二次使用等交易数据内容，以此保证了被共识 交易的有效性（测评项⑤），然而，上述验证过程并 不能完全保证交易的绝对有效性 ，如“门头沟 （ Mt.Gox）事件”中交易所受到的延展性攻击[41] ， 因 此 测 评 工 作 应 根 据 最 新 的 CVE（ Common Vulnerabilities & Exposures）漏洞加以展开. 候选区块创建阶段由矿工完成，具体为：（1） 新建候选区块以及 Coinbase 交易（创币交易，即含 挖矿奖励的新交易）；（2）从“未确认交易池”中按 优先级提取交易并写入前述区块中；（3）计算区块 头部信息并将其填充到新创建的候选区块中. 在 第一步前矿工可计算本次挖矿可得奖励，奖励 由当前区块奖励与将要打包进区块的交易费用总 和两部分组成，因此，验证 Coinbase 交易中奖励的 真实性和有效性可保证矿工工作的正确性（测评 项⑤）. PoW 共识算法根据整个网络的哈希速率动态 调整难度值，当前调整周期为 2 周，调整值将会写 入区块头部并参与下一阶段的工作量证明计算， 从而建立起难度值的延续影响，保障共识数据区 块顺序不变. 当主链高度超过其他分支六块（可实现在 1 h 内能以 99.9% 的概率确认[42] 单笔交易）以上，分支 的区块交易将会被进一步解析，未处理的交易会 被重新放入“未确认交易池”. 分支的交易回收过 程能够避免交易丢失进而保证了一定程度上共识 的有效性. 综上，共识机制在不同阶段皆采用了一定的 机制验证交易数据的正确性和逻辑性，保证了共 识有效性（测评项⑤）的达标. 4.5    共识结果一致性（测评项⑥） 由 PoW 交易收集、候选区块创建、工作量证 明（挖矿）、广播区块、区块组装到链和交易回收 几个处理过程可得，区块链系统的安全性主要受 挖矿节点的影响，已有挖矿算力对系统安全分析 的结果表明当严格遵循共识规则的挖矿节点算力 超过（微弱）多数时，可保证系统内所有节点得到 相同共识，共识结果具有一致性（测评项⑥）. 如表 4 所示，文献 [43] 展示了不同的区块链参 数选择（区块间隔、公共节点、挖矿池、陈腐块率 和区块大小）对区块链网络传输的影响. 通过以上 测评，表 5 总结了 PoW 共识区块链系统在每个测 评项的达标情况：从备份与恢复及共识效果来看， PoW 共识区块链系统均可满足测评项①②③④ ⑤⑥要求. 5    分布式账本测评 分布式账本[44] 是在各个成员之间同步共享、 序列化、防篡改的分布式数据存储结构，并可为区 块链系统提供运行过程中产生的各种类型数据的 写入与查询服务. 针对数字货币交易，区块链系统 表 4    不同区块链参数选择对网络传输影响[43] Table 4    Impact of parameter selection on network transmission in different blockchains[43] Parameter Bitcoin Litecoin Dogecoin Ethereum 区块间隔 Block interval 10 min 10 min 2.5 min 2.5 min 1 min 1 min 10−20 s 10−20 s 公共节点 Public nodes 6000 800 600 4000 挖矿池 Mining pools 16 12 12 13 陈腐块率/% Stale block rate 0.41 0.273 0.619 6.8 区块大小/KB Block size 534.8 6.11 8 1.5 · 1274 · 工程科学学报，第 42 卷，第 10 期

朱岩等：网络安全等级保护下的区块链评估方法 1275· 表5共识机制测评 Table 5 Consensus mechanism assessment 类别 测评项 实施 预期效果 实际测评结果说明 达标 Categories Items Implementation Expected effectiveness Description of actual Y/N evaluation results 共识机制消耗计算机资源 PoW共识机制计算资源耗费较 共识资源控制 检测计算机中资源 大，但系统资源可控 资源控制 使用情况. 应该最小化原则 Resource control Consensus resource Check the use of Consensus mechanisms should PoW consumes a lot of computing resources,but the control minimize the consumption of resources in the computer system resources are computer resources. controllable. 查看节点是否同步了 节点实时备份区块链中产生的 新共识区块 全网节点具有相同的数据副本 交易数据 实时备份 Check whether the node All network nodes have the Real-time backup of transaction 是 Real-time backup has synchronized the new same data replica. data generated in Bitcoin system consensus block by nodes. 备份与恢复 节点之间互为冗余，单一或少 Backup and recovery 查看节点瘫痪后 数节点故障不影响系统稳定性 业务连续性未被中断 和可用性 系统热冗余 系统可用性 System hot redundancy View system availability Business continuity not Nodes are redundant to each 是 after node paralysis interrupted. other and single or few node failures do not affect the stability and availability of the system. 存在共识國值.使得超过國值 的节点达到共识即代表全网共 系统可容纳5%的节点共识错 设置异常节点，查看共 识完成 误.95%以上的节点 共识容错性 识情况 There is a consensus threshold, 共识成功即可 Consensus fault tolerance Set exception nodes and so that the node exceeding the The system can accommodate 是 threshold reaches the consensus,5%node consensus errors.More view consensus. which means that the consensus than 95%of the nodes are of the whole network is successful. completed. 非法交易共识失败.通过对交 易进行正确性和逻辑性验证， 共识效果 使恶意造假交易的代价昂贵， Consensus effect 发起非法交易.查看共 避免恶意共识 共识有效性 识是否失败 Illegal transaction consensus 非法交易不能被共识通过 Consensus Effectiveness Initiate an illegal failed.By verifying the Illegal transactions cannot be transaction to see if the correctness and logic of the passed by consensus. consensus failed transaction,the cost of malicious fraudulent transactions is expensive and avoids malicious consensus. 发起合法交易.查看共 忠诚参与方共识结果 对于合法交易区块链系统达成 共识结果一致性 识结果是否满足一致 共识后写人区块链 具有一致性 是 Consensus consistency Initiate a legal transaction and see if the consensus Loyal participant consensus After agreeing on the legal results are consistent. transaction of Bitcoin system,it result is consistent is written into the blockchain. 中的分布式账本被设计用来存储当前时间段内发 5.1 账本格式规范性（测评项①） 生的交易信息，并通过密码学哈希(hash)函数来维 区块链具有严格的结构定义，每个块糊由区 护交易信息的完整性和抗抵赖性等功能 块头和区块体构成，如表7所示，并且数据长度有 分布式账本的测评是针对区块链中所存储信 明确的数据格式规范.区块头包含区块版本V、难 息的结构、功能及安全机制展开的.在表6中，我 度D、前区块哈希PreH、默克尔树根M、随机数 们将测评项划分为软件容错、访问控制、数据完 N和时间戳T等信息，第个区块头可表示为 整性、数据保密性和账本功能等5个基本方面，同 BlockHeadern:=(VnllDllMlTPreHnlINn). 时，还把分布式账本特有的抵赖性、同步性、幂等 区块体存储了块中的交易数量和交易列表 性三个功能点作为账本功能予以重点列出.据此， 图6表示了区块链系统的交易结构，且结构中信 分布式账本的测评项包括：①账本格式规范性，②账 息大多有标准长度限制.交易由交易版本和若干 本访问控制，③存储完整性，④存储保密性，⑤数 个输入段(Vin)与输出段(Vout)构成，每个输入段 据抗抵赖，⑥账本数据同步和⑦账本数据幂等. 与特定的一个“未花费过的”交易输出通过哈希函

中的分布式账本被设计用来存储当前时间段内发 生的交易信息，并通过密码学哈希（hash）函数来维 护交易信息的完整性和抗抵赖性等功能. 分布式账本的测评是针对区块链中所存储信 息的结构、功能及安全机制展开的. 在表 6 中，我 们将测评项划分为软件容错、访问控制、数据完 整性、数据保密性和账本功能等 5 个基本方面，同 时，还把分布式账本特有的抵赖性、同步性、幂等 性三个功能点作为账本功能予以重点列出. 据此， 分布式账本的测评项包括：①账本格式规范性，②账 本访问控制，③存储完整性，④存储保密性，⑤数 据抗抵赖，⑥账本数据同步和⑦账本数据幂等. 5.1    账本格式规范性（测评项①） PreH n BlockHeadern := (Vn||Dn||Mn||Tn||PreHn||Nn) 区块链具有严格的结构定义，每个块[45] 由区 块头和区块体构成，如表 7 所示，并且数据长度有 明确的数据格式规范. 区块头包含区块版本 V、难 度 D、前区块哈希 、默克尔树根 M、随机数 N 和时间 戳 T 等信息 ，第 个区块头可表示为 . 区块体存储了块中的交易数量和交易列表. 图 6 表示了区块链系统的交易结构，且结构中信 息大多有标准长度限制. 交易由交易版本和若干 个输入段（Vin）与输出段（Vout）构成，每个输入段 与特定的一个“未花费过的”交易输出通过哈希函 表 5 共识机制测评 Table 5 Consensus mechanism assessment 类别 Categories 测评项 Items 实施 Implementation 预期效果 Expected effectiveness 实际测评结果说明 Description of actual evaluation results 达标 Y/N 资源控制 Resource control 共识资源控制 Consensus resource control 检测计算机中资源 使用情况. Check the use of resources in the computer 共识机制消耗计算机资源 应该最小化原则 Consensus mechanisms should minimize the consumption of computer resources. PoW共识机制计算资源耗费较 大，但系统资源可控 PoW consumes a lot of computing resources, but the system resources are controllable. 是 Y 备份与恢复 Backup and recovery 实时备份 Real-time backup 查看节点是否同步了 新共识区块 Check whether the node has synchronized the new consensus block 全网节点具有相同的数据副本 All network nodes have the same data replica. 节点实时备份区块链中产生的 交易数据 Real-time backup of transaction data generated in Bitcoin system by nodes. 是 Y 系统热冗余 System hot redundancy 查看节点瘫痪后 系统可用性 View system availability after node paralysis 业务连续性未被中断 Business continuity not interrupted. 节点之间互为冗余，单一或少 数节点故障不影响系统稳定性 和可用性 Nodes are redundant to each other and single or few node failures do not affect the stability and availability of the system. 是 Y 共识效果 Consensus effect 共识容错性 Consensus fault tolerance 设置异常节点，查看共 识情况 Set exception nodes and view consensus. 存在共识阈值，使得超过阈值 的节点达到共识即代表全网共 识完成 There is a consensus threshold, so that the node exceeding the threshold reaches the consensus, which means that the consensus of the whole network is completed. 系统可容纳5%的节点共识错 误. 95%以上的节点 共识成功即可 The system can accommodate 5% node consensus errors. More than 95% of the nodes are successful. 是 Y 共识有效性 Consensus Effectiveness 发起非法交易，查看共 识是否失败 Initiate an illegal transaction to see if the consensus failed 非法交易共识失败. 通过对交 易进行正确性和逻辑性验证， 使恶意造假交易的代价昂贵， 避免恶意共识 Illegal transaction consensus failed. By verifying the correctness and logic of the transaction, the cost of malicious fraudulent transactions is expensive and avoids malicious consensus. 非法交易不能被共识通过 Illegal transactions cannot be passed by consensus. 是 Y 共识结果一致性 Consensus consistency 发起合法交易，查看共 识结果是否满足一致 Initiate a legal transaction and see if the consensus result is consistent 忠诚参与方共识结果 具有一致性 Loyal participant consensus results are consistent. 对于合法交易区块链系统达成 共识后写入区块链 After agreeing on the legal transaction of Bitcoin system, it is written into the blockchain. 是 Y 朱    岩等： 网络安全等级保护下的区块链评估方法 · 1275 ·