【论文笔记06】智能合约的合约安全和隐私安全研究综述

这篇具有很好参考价值的文章主要介绍了【论文笔记06】智能合约的合约安全和隐私安全研究综述。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

计算机学报

原文作者:胡甜媛 李泽成 李必信 包骐豪*
原文标题:智能合约的合约安全和隐私安全研究综述*
原文链接:智能合约的合约安全和隐私安全研究综述 - 中国知网
原文来源: 计算机学报
笔记作者:quangaoyuan
笔记小编:quangaoyuan

0x00 关键词

区块链;智能合约;合约安全;隐私安全;映射研究

0x01 摘要

智能合约本身仍然存在安全问题,影响了区块链技术的进一步推广使用。本文采用Mapping Study方法(属于系统文献综述中的一种方法,意思是映射研究),通过收集2015年以来的关于智能合约安全问题的各类文献,总结智能合约安全相关研究的现状和未来发展趋势如下: 

(1)目前智能合约自身面临的安全问题和挑战主要体现在合约安全和隐私安全两方面(问题和挑战),在调查的45篇文献中,有29篇文献针对合约安全,16篇文献针对隐私安全;

(2)智能合约安全保障目前采用的方法主要包括形式化验证、模糊测试、零知识证明、可信执行环境等(保障方法);

(3)针对合约安全的研究目前主要集中在合约实现、测试阶段,而针对智能合约设计、部署及运维阶段的研究比较少;针对隐私安全的研究主要集中在合约数据隐私保护,而针对合约代码隐私安全的比较少(覆盖范围);

 (4)智能合约安全保障研究目前主要从合约实现人员、合约测试人员的角度进行,而从合约维护人员和合约用户角度展开的研究较少(研究角度);

(5)未来研究应该围绕智能合约的全生命周期的每个阶段安全问题进一步推进,先验方法和后验方法、定性方法和定量方法、静态方法和动态方法的结合是大势所趋(发展趋势),综上,本文通过调研发现了现有研究的不足,并建议了进一步的研究方向, 

0x02 引言

以太坊应用2016年1月至2020年6月16起重大攻击事件,13起由于智能合约被攻击导致的。

【论文笔记06】智能合约的合约安全和隐私安全研究综述

 目前对于区块链技术的安全和隐私保护,业界处于初级探索阶段。

本文主要贡献如下:

(1)分析了智能合约安全问题和挑战,从智能合约的生命周期出发,分析智能合约在设计、实现、测试、部署、运维不同阶段面临的安全问题和挑战,以及隐私安全涉及的合约代码安全和合约数据安全面临的安全问题和挑战,明确了研究目标.

(2)总结了智能合约安全保障方法.针对智能合约安全面临的问题和挑战,从智能合约生命周期的角度归纳整理不同阶段的安全保障方法,主要包括合约设计、合约实现、合约测试和合约部署及运维安全保障方法;从合约代码隐私和合约数据隐私角度归纳整理智能合约隐私安全保障方法.

(3)发现了现有方法存在的不足,针对不同的智能合约安全问题和保障方法,分析现有研究的优势和不足,大量研究集中在合约实现、测试阶段,其他阶段的相关研究较少;已有的智能合约测试方法未形成全面、体系的智能合约检测框架;对运行中的智能合约,未实现灵活、有效的合约维护、升级机制;已有的智能合约隐私保护方法存在性能不高、可扩展性较低、未实现完全去中心化等不足

(4)建议了进一步研究方向和目标,建议未来研究要做到先验方法和后验方法融合、定性方法和定量方法融合、静态方法和动态方法融合。 

0x03 基本术语

  1. 智能合约是被部署在区块链上可自动执行的数字化协议,也是可按照预设合约条款自动执行的计算机程序,主要包含相关代码和数据集。
  2. 具有代表性的智能合约应用平台主要是以太坊(Ethereum)和超级账本(Hyperledger Fabric).其中,以太坊作为公有链的代表,其智能合约主要采用Solidity语言编写;超级账本作为联盟链(私有,链)的代表,其智能合约又称为链码(Chaincode),由Java或Golang等语言编写。
  3. 目前,智能合约发展仍然处于初级阶段,区块链系统要求合约的数据及其在数据上运行的代码都要公开,每个矿工都要模拟,执行合约,该过程不仅涉及智能合约本身的安全问题,还存在隐私泄露的风险

本文认为智能合约安全主要体现为合约安全和隐私安全。

  • 合约安全主要针对合约设计文档、合约代码、合约运行状态等,要求智能合约不存在设计缺陷、代码漏洞等不足,涉及智能合约的设计、实现、测试、运维及部署等多个阶段
  • 隐私安全主要针对智能合约代码隐私及合约执行过程中涉及的相关数据隐私,要求保护程序代码以及程序执行过程中的交易数据不会被非授权节点,获取,主要体现在区块链系统的合约代码和合约数据两方面 

0x04 综述方法

Mapping Study(映射研究)是系统性文献综述(Systematic Literature Review, SLR)的一种,其目的是对某一研究领域进行广泛的概述,

本文之所以选择Mapping Study作为调查方法,是因为本文的目标是分析智能合约安全的研究现状,总结现有研究取得的成果,探索智能合约安全的未来研究方向,

本文遵循系统性文件综述的方法,按照以下顺序进行调研分析:

(1)设置研究问题,针对智能合约安全定义相关研究问题,包括智能合约利益相关者、安全问题及挑战、安全保障方法、保障方法验证等;

【论文笔记06】智能合约的合约安全和隐私安全研究综述

(2)确定文献筛选策略并选择主要文献,针对智能合约安全主题,定制检索关键词,在选定数据库中检索相关研究,并筛选出主要文献;

【论文笔记06】智能合约的合约安全和隐私安全研究综述

【论文笔记06】智能合约的合约安全和隐私安全研究综述

(3)评估主要文献质量,定制质量评估标准,评估主要文献是否满足质量标准;

【论文笔记06】智能合约的合约安全和隐私安全研究综述

(4)定义信息抽取模板,抽取主要文献的关键信息:定制信息抽取模版,根据信息抽取模版中的规则抽取与研究问题相关的主要内容.

【论文笔记06】智能合约的合约安全和隐私安全研究综述

(5)抽取结果及分析,报告信息抽取的结果,并进行关联性、趋势性分析等

(6)讨论现有方法的不足,归纳总结未来可能的研究方向  

0x05 结论

45篇文献。

【论文笔记06】智能合约的合约安全和隐私安全研究综述

针对智能合约的合约安全和隐私安全,从问题及挑战、原因分析、保障方法和方法验证这4个角度进行总结,涵盖智能合约的设计、实现、测试、部署及运维多个阶段,涉及智能合约的代码隐私和数据隐私。

【论文笔记06】智能合约的合约安全和隐私安全研究综述

本文对智能合约安全进行了全面的调研,主要有以下研究发现.

【论文笔记06】智能合约的合约安全和隐私安全研究综述

GQ1:在智能合约安全保障过程中,共涉及合约设计人员、合约实现人员、合约测试人员、合约监管人员和合约用户这5类利益相关者.

GQ2:智能合约的安全和挑战主要包括合约安全和隐私安全,针对合约安全,主要体现在合约设计、实现及测试、部署及运维,隐私安全则主要关注合约代码隐私和合约数据隐私,针对5种不同类型的合约安全和隐私安全问题,智能合约面临着不同安全挑战.

【论文笔记06】智能合约的合约安全和隐私安全研究综述
GQ4:针对智能合约安全保障方法验证,合约安全保障方法主要通过分析、实践、举例的方式进行验证,GQ3:针对智能合约安全保障方法,合约设计相关研究主要通过定义抽取设计模式展开;合约实现及测试相关研究主要应用定理证明、模型检测、模糊测试、抽象语法树等技术检测智能合约缺陷;合约部署及运维主要分析日志或信息流图,监测合约异常行为,发现合约缺陷、EVM漏洞并制定相关防御策略;代码隐私保护方法主要集中在合约拆分、合约语,言设计和TEE技术应用;数据隐私主要结合零知识证明、安全多方计算等密码学技术对数据进行加密,或将数据加载至可信执行环境保护隐私, 

 【论文笔记06】智能合约的合约安全和隐私安全研究综述

 

FQ1:对于合约安全,设计文本、合约编码规范、实现语言、EVM机制、外部合约调用、运行环境等因素都可能与合约安全威胁产生相关;对于隐私安全,公有链公开透明的性质和合约隐私保护机制不健全对合约代码隐私产生威胁,此外,公开数据的恶意分析和合约用户泄漏都可能导致数据隐私威胁,

FQ2:已有的合约安全保障研究初步提出了合约设计理念、实现了大部分智能合约缺陷检测、完成了基本的合约运行状态监测,但是,安全可信的智能合约设计仍没有形成健全的体系;合约测试方法多样,每种方法可检测的缺陷类型有限,未形成全面、体系的智能合约缺陷检测框架,通用性不高;对于合约部署及运维安全,尚未实现灵活、有效的合约维护机制,

FQ3:已有的合约代码隐私保护方案能够实现智能合约代码核心内容保护,但存在应用场景不丰富、适用平台不广泛等问题;合约数据隐私保护方案结合密码学技术实现不同程度的合约数据隐私保护,主要存在性能和没有实现完全去中心化的问题FQ4:智能合约安全的未来研究方向针对合约安全和隐私安全展开,支持智能合约全方位、全生命周期的安全保障,基本思路是先验方法和后验方法结合、定性方法和定量方法结合、静态方法和动态方,法结合.

SQ1:该领域的研究始于2015年,2016年仅有少量相关研究成果发表,2018年开始研究成果数量增长迅速,并有继续上升的趋势,

SQ2:18篇文献发表在软件工程或安全领域的顶级期刊和会议,说明智能合约安全是一个备受关注的新兴课题

0x06 未来研究方向

合约安全研究

1.设计安全保障技术

智能合约设计模式的研究仍然处于起步阶段,相关研究数量有限,需要对已经整理好的模式,进行扩展,为Solidity语言创建一个结构化的、信息量大的设计模式库,涵盖典型的和常见的编码场景,作为合约实现人员的指导;

也可以在自动代码生成框架中应用设计模式,用来提取代码构件,这些构件可以被集成到自动代码生成框架中,Solidity设计模式可以与其他智能合约平台中发展的编码实践进行比较,进一步揭示出更抽象的设计模式,这些模式独立于底层实现框架,对一般的智能合约有效

2.实现及测试安全保障技术

针对主流的智能合约缺陷检测原理,可以将智能合约缺陷检测技术划分为:基于定理证明的缺陷检测、基于模型检测的缺陷检测、基于模糊测试的缺陷检测、基于语法树的缺陷检测和其他缺陷检测。

3.部署及运维安全保障技术

目前,针对智能合约运行环境安全检测的研究数量较少,本文仅涉及1项相关研究,即EVM漏洞检测工具EVMFuzzer,该工具目前主要检测EVM执行结果不一致的漏洞,

针对合约运行状态的监测,ContractGuard[36]由于嵌入了额外的代码,一定程度上会增加智能合约的部署开销与运行开销, Vultron[20]检测方法不适用于不使用内部记账逻辑,的智能合约,无法检测时间截依赖性或交易顺序依赖性等缺陷.AEGIS[21]系统保护已部署的智能合约,实现攻击模式的动态更新,但是该工具对于新攻击模式的引入依赖于预定投票群体达成共识,攻击模式以纯文本的形式公开,可能被潜在攻击者利用.对于智能合约缺陷修复,EVMPatch8]对存在缺陷的合约进行打补丁,但是可能导致修复后的合约代码产生更高gas消耗

隐私安全研究

1.合约代码隐私保护

保护用户隐私的智能合约编程框架Hawk可以为部分智能合约代码提供隐私性,但Hawk不是完全去中心化的,存在一个管理者作为可信第三方进行监督,此外,对于简单合约,由于Hawk利用zk-SNAKRs保证资金转移和合约执行的正确性,导致较高计算开销。

目前,Hawk由于效率较低,不能直接部署在大多数区块链系统上对于通过定义智能合约语言Zkay保护智能合约中的关键信息,该方法需要结合语言发展不断引人新的语言特性,以支持更丰富的智能合约代码隐私保护。

此外,智能合约代码形式多样,通过对部分私有代码元素进行加密是否能全面保护私有信息不被泄露需要进一步验证,并且为了执行Zkay合约,需要将其转换为具有相同功能且具有隐私保护能力的Solidity合约在以太坊上执行,推广使用难度较高

与Hawk,Zkay不同,结合TEE的Coco框架具有更好的通用性,理论上可以实现任意区块链系统的隐私保护,然而,Coco框架是针对联盟链的优化技术,对现有比特币、以太坊等架构影响有限 。

2.合约数据隐私保护

根据隐私保护技术对智能合约隐私保护方法进行分类,可以分为基于软件的合约数据隐私保护方法和基于硬件的合约数据隐私保护方法,基于软件的隐私保护方法就是使用密码学技术,主要包括零知识证明、同态加密和安全多方计算;基于硬件的隐私保护方法就是使用可信执行环境.

目前智能合约隐私保护的方法核心仍然集中在密码学技术,复杂的密码学技术原理和隐私保护过程对交易数量、交易处理效率产生限制,也是制约智能合约隐私保护技术的主要因素,不同的隐私保护技术都有其各自的优势和不足,如何针对区块链技术的不同应用场景,因地制宜定制不同隐私保护策略是未来研究方向之一.文章来源地址https://www.toymoban.com/news/detail-464033.html

到了这里,关于【论文笔记06】智能合约的合约安全和隐私安全研究综述的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023安全与软工顶会/刊中区块链智能合约相关论文

    主要整理了2023年四大安全顶会、四大软工顶会和两个软工顶刊中,有关区块链智能合约的相关论文。 搜索方式 是:在 dblp 中该顶会的页面列表直接使用 Ctrl + F 搜索 block 、smart contract,所以如若名字中没有,可能会有遗漏。 搜集包含有: 软工顶会:ISSTA、FSE、ASE、ICSE 软工顶

    2024年02月13日
    浏览(62)
  • Aztec.nr:Aztec的隐私智能合约框架——用Noir扩展智能合约功能

    前序博客有: Aztec的隐私抽象:在尊重EVM合约开发习惯的情况下实现智能合约隐私 Aztec.nr,为: 面向Aztec应用的,新的,强大的智能合约框架 使得开发者可直观管理私有状态 基于Noir构建,Noir为Aztec Labs作为核心贡献者开发的通用zk编程语言。 使得开发者使用Noir来编写隐私智

    2024年02月08日
    浏览(35)
  • 论文阅读---联邦忘却学习研究综述

    论文:联邦忘却学习研究综述 federated unlearning-联邦忘却学习 摘要 联邦忘却学习撤销用户数据对联邦学习模型的训练更新,可以进一步保护联邦学习用户的数据安全。 联邦忘却学习在联邦学习框架的基础上,通过迭代训练,直接删除等方式,撤销用户本地局部模型对全局模型

    2024年03月12日
    浏览(110)
  • 《多智能体博弈学习研究进展--罗俊仁,张万鹏》论文笔记

    目录 一、引言 二、多智能体学习简介 2.1多智能体学习系统组成  2.2 多智能体学习概述  2.3 多智能体学习研究方法分类   三、 多智能体博弈学习框架  3.1 多智能体博弈基础模型及元博弈  3.1.1 多智能体博弈基础模型   3.1.2 元博弈模型 3.2 均衡解概念与博弈动力学 3.2.1 均

    2024年02月02日
    浏览(44)
  • 小样本图像目标检测研究综述——张振伟论文阅读

    目前,小样本图像目标检测方法多基于经典的俩阶段目标检测算法Faster R-CNN作为主干网络,当然也有将YOLO,SSD一阶段目标检测算法作为主干网络的。 检测过程中不仅需要提取分类任务所关注的高层语义信息,还要获取低层级像素级信息实现目标的定位。 1.2.1 基于度量学习方

    2024年02月13日
    浏览(49)
  • 【论文阅读】异构联邦学习综述:最新进展与研究挑战

    这是关于一篇异构联邦学习的综述,希望能从这篇文章对联邦学习有一个大致的了解。作者从一开始就呈现了文章总体的思维导图,非常具有指引效果。 这是论文地址: Heterogeneous Federated Learning: State-of-the-art and Research Challenges 通俗的来说就是: 允许多个设备或数据源在不共

    2024年02月04日
    浏览(49)
  • 端到端流式语音识别研究综述——语音识别(论文研读)

    语音识别是实现人机交互的一种重要途径,是自然语言处理的基础环节,随着人工智能技术的发展,人机交互等大量应用场景存在着流式语音识别的需求。流式语音识别的定义是一边输入语音一边输出结果,它能够大大减少人机交互过程中语音识别的处理时间。目前在学术研

    2024年02月04日
    浏览(41)
  • 论文阅读--通用对象检测中的遮挡处理研究综述

    Title: Occlusion Handling in Generic Object Detection: A Review Abstract: The significant power of deep learning networks has led to enormous development in object detection. Over the last few years, object detector frameworks have achieved tremendous success in both accuracy and efficiency. However, their ability is far from that of human beings due to seve

    2024年02月10日
    浏览(46)
  • 论文阅读-基于深度学习的多模态情感分析研究综述

    非核心 原文链接:基于深度学习的多模态情感分析研究综述 - 中国知网 (cnki.net) 深度学习完成多模态情感分析综述。主要介绍 多模态情感分析 的概念、背景、意义。总结了 多模态融合技术和交互技术 ,讨论多模态情感分析 未来发展 。 目前经典的多模态情感分析研究已经

    2024年02月04日
    浏览(54)
  • 论文阅读:图神经网络应用于知识图谱推理的研究综述

    论文链接:图神经网络应用于知识图谱推理的研究综述 (1)知识图谱以节点和边的图结构存储数据,GNN可以 有效整合知识图谱结构特征及属性特征 ,通过节点的 领域信息聚合并更新节点 ,利用其强大的信息传播能力学习数据间的语义关系和潜在信息,使其可以很好地学习

    2024年04月10日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包