朱岩等：网络安全等级保护下的区块链评估方法 1273 14 -Hashrate 16 ·Difficulty (2020/3/5,13.329175×1019- 12 (2020/5/13.1.6104807×10) (2020/5/14,8.719201×101- 6 8 4 (2009/1/9,1.257632×107 (2009/1/9,1) 0 -2 2009/01 2010/11 2012/1 2014/09 016/07 2018/06 02005 20090 2010/1 2012/1 2014/09 016f07 2018/06 2020/05 Date Date 图4比特币全网算力图 图5共识机制难度变化趋势图（比特币） Fig.4 Bitcoin hashrate historical chart Fig.5 Consensus difficulty change trend diagram(Bitcoin) 值（通常是逐渐加一），从而使计算结果小于目标 方程为y=-1.44623×109×(1-e-0.00228.r) 阈值才能建造有效区块.我们将建造一个新的区 针对PoW的攻击是敌手B]以较大优势成为 块时的目标值记作日，挖矿难度为D,则区块链协 挖矿的获胜者，从而使用记账权改变或伪造交易 议中所有有效区块都需要满足一个条件U≤0≤1， 为取得挖矿成功，当前敌手采取的主要攻击包括： 式中0~[0,1是对区块头数据进行哈希并对得到 (a)共识过程攻击包括51%算力攻击B、暴力 的值进行归一化后生成的均匀分布的随机变量 破解1、私自挖矿B等.以51%算力攻击为例，它 由于哈希函数的特性，很多共识技术都是该式的 并不是指拥有全网51%以上的算力才能成功攻 特殊情况，例如： 击，而是算力超出51%这个门限，敌手计算出正确 ①在PoW情况下，0=1/D: 哈希值的速度就会比全网其他矿工更快，攻击成 ②在PoS情况下，0=bal(A)/D; 功率会大大增加 为了生成一个块，用户需要找到令U满足 (b)区块广播过程可受到日食攻击)、女巫攻 U≤0≤1的数据，即不断更改随机数，并计算包含 击B]等因素影响.其中，日食攻击是敌手通过阻 其的区块头哈希结果U,使其满足U≤0≤1，设 止正常节点通讯的方式影响共识；女巫攻击中敌 N为用户在找到一个有效块之前需要计算的数据 手会伪装成不同角色的区块链节点监视和干扰正 组合数.由于工作量证明PoW间隔很大，所以用 常网络 户每秒只能迭代r个组合，其中r由用户的挖掘设 资源控制（测评项①）的测评中考虑上述攻击 备确定.在权益证明PoS情况下，搜索空间较小， 对系统带来的影响，可通过提高资源控制难度保 因此可假设r=1.用户找到一个有效块所需的时 障系统安全.就区块链系统而言，随着系统节点不 间T与N有关：T=N/r,考虑累积概率分布： 断加入，全网总算力剧增，系统网络也愈加庞大， PT≤t=PN≤rt=1-PN>rtl= 敌手占据全网大部分算力的可能性极小，操控网 1-(1-'=1-exp(log(1-0)). 络难度巨大，因此可保证系统资源可控.但对于小 当0《1时，有1og(1-)≈-0，代入上式可得： 型区块链系统而言，全网算力较低，敌手可通过资 PT≤t≈1-exp(-0ri). 源控制的方式成功攻击系统 因此，用户找到一个有效块所需的时间T以 4.2实时备份（测评项②） 速率r呈指数分布.在PoW的情况下，这个速率等 交易的收集阶段过程为：(1)新交易产生后将 于rlD.在PoS的情况下，r=1,速率等于bal(A)/D, 实时地被该节点通过区块链网络广播至全网：(2)矿 生成有效区块的概率等于用户资金余额与流通货 工节点收集交易并验证交易的规范性（包括是否 币总量的比率，若将整个网络中的所有用户的资 前一笔交易属于未花费交易等)：(3)如果交易 金总额视为∑bal(a),则整个网络的块生成时间以 内容的正确性和逻辑性符合要求，则矿工会把交 速率∑，bal(a)/D呈指数分布.如图5所示我们收集 易存入内存的“未确认交易池”.因此，交易形成 了近些年比特币区块的难度值，并绘制了难度变 后，创建节点会通过P2P分布式对等网络实时广 化曲线图，是一个较为明显的指数分布曲线，拟合 播至全网，并由矿工节点收集验证其规范性，进而θ U ⩽ θ ⩽ 1 U ∼ [0,1] 值（通常是逐渐加一），从而使计算结果小于目标 阈值才能建造有效区块. 我们将建造一个新的区 块时的目标值记作 ，挖矿难度为 D，则区块链协 议中所有有效区块都需要满足一个条件 ， 式中 是对区块头数据进行哈希并对得到 的值进行归一化后生成的均匀分布的随机变量. 由于哈希函数的特性，很多共识技术都是该式的 特殊情况，例如： ①在 PoW 情况下， θ = 1/D ； ②在 PoS 情况下， θ = bal(A) /D ； U ⩽ θ ⩽ 1 U ⩽ θ ⩽ 1 r = 1 T = N/r 为了生成一个块 ，用户需要找到令 U 满足 的数据，即不断更改随机数，并计算包含 其的区块头哈希结 果 U，使其满足 ， 设 N 为用户在找到一个有效块之前需要计算的数据 组合数. 由于工作量证明 PoW 间隔很大，所以用 户每秒只能迭代 r 个组合，其中 r 由用户的挖掘设 备确定. 在权益证明 PoS 情况下，搜索空间较小， 因此可假设 . 用户找到一个有效块所需的时 间 T 与 N 有关： ，考虑累积概率分布： P{T ⩽ t} = P{N ⩽ rt} = 1− P{N > rt} = 1−(1−θ) rt = 1−exp(log (1−θ) rt). 当 θ ≪ 1 时，有 log(1−θ) ≈ −θ ，代入上式可得： P{T ⩽ t} ≈ 1−exp(−θrt). θr r = 1 bal(A)/D ∑ abal(a) ∑ abal(a) /D 因此，用户找到一个有效块所需的时间 T 以 速率 呈指数分布. 在 PoW 的情况下，这个速率等 于 r/D. 在 PoS 的情况下， ，速率等于 ， 生成有效区块的概率等于用户资金余额与流通货 币总量的比率，若将整个网络中的所有用户的资 金总额视为 ，则整个网络的块生成时间以 速率 呈指数分布. 如图 5 所示我们收集 了近些年比特币区块的难度值，并绘制了难度变 化曲线图，是一个较为明显的指数分布曲线，拟合 y = −1.44623×109 ×(1−e −0.00228x 方程为 ). 针对 PoW 的攻击是敌手[33] 以较大优势成为 挖矿的获胜者，从而使用记账权改变或伪造交易. 为取得挖矿成功，当前敌手采取的主要攻击包括： （a）共识过程攻击包括 51% 算力攻击[34]、暴力 破解[35]、私自挖矿[36] 等. 以 51% 算力攻击为例，它 并不是指拥有全网 51% 以上的算力才能成功攻 击，而是算力超出 51% 这个门限，敌手计算出正确 哈希值的速度就会比全网其他矿工更快，攻击成 功率会大大增加. （b）区块广播过程可受到日食攻击[37]、女巫攻 击[38] 等因素影响. 其中，日食攻击是敌手通过阻 止正常节点通讯的方式影响共识；女巫攻击中敌 手会伪装成不同角色的区块链节点监视和干扰正 常网络. 资源控制（测评项①）的测评中考虑上述攻击 对系统带来的影响，可通过提高资源控制难度保 障系统安全. 就区块链系统而言，随着系统节点不 断加入，全网总算力剧增，系统网络也愈加庞大， 敌手占据全网大部分算力的可能性极小，操控网 络难度巨大，因此可保证系统资源可控. 但对于小 型区块链系统而言，全网算力较低，敌手可通过资 源控制的方式成功攻击系统. 4.2    实时备份（测评项②） 交易的收集阶段过程为：（1）新交易产生后将 实时地被该节点通过区块链网络广播至全网；（2）矿 工节点收集交易并验证交易的规范性（包括是否 前一笔交易属于未花费交易等[39] ）；（3）如果交易 内容的正确性和逻辑性符合要求，则矿工会把交 易存入内存的“未确认交易池”. 因此，交易形成 后，创建节点会通过 P2P 分布式对等网络实时广 播至全网，并由矿工节点收集验证其规范性，进而 2009/01 2010/11 2012/10 2014/09 2016/07 2018/06 2020/05 −2 0 2 4 6 8 10 12 14 Hashrate Date Hashrate/(1018 hash·s−1 ) (2009/1/9, 1.257632×107 ) (2020/5/14, 8.719201×1019) (2020/3/5, 13.329175×1019) 图 4    比特币全网算力图 Fig.4    Bitcoin hashrate historical chart Date (2009/1/9, 1) (2020/5/13, 1.6104807×1013) 2009/01 2010/11 2012/10 2014/09 2016/07 2018/06 2020/05 0 4 8 12 16 Difficulty Difficulty/1012 图 5    共识机制难度变化趋势图（比特币） Fig.5    Consensus difficulty change trend diagram（Bitcoin） 朱    岩等： 网络安全等级保护下的区块链评估方法 · 1273 ·