近幾年,區(qū)塊鏈技術(shù)越來(lái)越受各國(guó)政府和研究機(jī)構(gòu)的關(guān)注和重視。智能合約作為區(qū)塊鏈2.0的代表技術(shù),以一段可編程的代碼形式部署到區(qū)塊鏈上,且一旦部署成功就無(wú)法修改。如果智能合約本身存在安全漏洞,那么就可能造成極大的損失。因此,在智能合約部署上鏈前,對(duì)其進(jìn)行安全審計(jì)是非常重要的。本文根據(jù)以太坊智能合約和Fabric智能合約的常見(jiàn)安全漏洞類(lèi)型與特征,設(shè)計(jì)與開(kāi)發(fā)了一個(gè)可擴(kuò)展的智能合約安全審計(jì)工具,并使用該工具實(shí)現(xiàn)了對(duì)以太坊智能合約源代碼和Fabric智能合約源代碼的安全審計(jì)。論文的主要研究?jī)?nèi)容如下:1.針對(duì)當(dāng)前檢測(cè)智能合約類(lèi)型單一和檢測(cè)效率低等問(wèn)題,設(shè)計(jì)了一種可擴(kuò)展的智能合約安全漏洞檢測(cè)模型,其主要分為預(yù)處理模塊、漏洞匹配檢測(cè)模塊和規(guī)則庫(kù)。該模型在漏洞匹配檢測(cè)算法不變的情況下,通過(guò)設(shè)計(jì)不同的ANTLR4文法規(guī)則和安全規(guī)則,可實(shí)現(xiàn)對(duì)不同區(qū)塊鏈平臺(tái)上的智能合約的安全審計(jì)。2.基于此模型,設(shè)計(jì)與開(kāi)發(fā)了一個(gè)可擴(kuò)展的智能合約安全審計(jì)工具——Contract Detection。該工具實(shí)現(xiàn)了對(duì)以太坊智能合約源代碼和Fabric智能合約源代碼的安全審計(jì),其設(shè)計(jì)與實(shí)現(xiàn)主要完成如下工作:首先,根據(jù)Solidity語(yǔ)... 

【文章來(lái)源】：重慶郵電大學(xué)重慶市

【文章頁(yè)數(shù)】：71 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

ANTLR的主要工作過(guò)程[45]

ESCVDM模型采用靜態(tài)檢測(cè)技術(shù),可以在不執(zhí)行智能合約的情況下進(jìn)行檢測(cè),提高了檢測(cè)效率。此外,ESCVDM模型使用自定義的規(guī)則進(jìn)行檢測(cè),提高了擴(kuò)展性。如圖3.1所示,ESCVDM模型主要架構(gòu)分為三大模塊,包括預(yù)處理模塊、漏洞匹配檢測(cè)模塊和安全規(guī)則庫(kù)。從圖3.1可知,ESCVDM模型通過(guò)ANTLR4工具完成預(yù)處理模塊。在預(yù)處理模塊中,通過(guò)自定義的文法規(guī)則(即.g4文件),將智能合約源代碼轉(zhuǎn)化成XML中間表示。在規(guī)則庫(kù)模塊中,將自定義的XPath檢測(cè)模式組成不同的規(guī)則,形成規(guī)則庫(kù)。在漏洞匹配檢測(cè)模塊中,將預(yù)處理模塊中生成的XML中間表示作為待匹配檢測(cè)對(duì)象,使用自定的規(guī)則對(duì)其進(jìn)行漏洞檢測(cè),輸出漏洞檢測(cè)報(bào)告。ESCVDM模型能夠根據(jù)不同的規(guī)則檢測(cè)不同區(qū)塊鏈平臺(tái)上的智能合約源代碼中是否存在漏洞,從而保證智能合約的安全。

自定義的規(guī)則決定著可檢測(cè)智能合約安全漏洞的類(lèi)型。為了方便智能合約漏洞匹配檢測(cè),本文的規(guī)則庫(kù)是基于XML數(shù)據(jù)格式來(lái)存儲(chǔ)的。本文通過(guò)自定義XPath檢測(cè)模式,組成不同的規(guī)則,并存儲(chǔ)在規(guī)則庫(kù)中。規(guī)則庫(kù)形成過(guò)程如圖3.2所示。一個(gè)規(guī)則被存儲(chǔ)到規(guī)則庫(kù)中需要經(jīng)過(guò)多個(gè)步驟,如圖3.2所示,主要包括:

【參考文獻(xiàn)】：
期刊論文
[1]智能合約安全漏洞挖掘技術(shù)研究[J]. 付夢(mèng)琳,吳禮發(fā),洪征,馮文博.  計(jì)算機(jī)應(yīng)用. 2019(07)
[2]智能合約:架構(gòu)及進(jìn)展[J]. 歐陽(yáng)麗煒,王帥,袁勇,倪曉春,王飛躍.  自動(dòng)化學(xué)報(bào). 2019(03)
[3]基于區(qū)塊鏈的眾籌智能合約設(shè)計(jì)[J]. 張帥,延安,賈敏智.  計(jì)算機(jī)工程與應(yīng)用. 2019(08)
[4]基于區(qū)塊鏈的智能合約技術(shù)與應(yīng)用綜述[J]. 賀海武,延安,陳澤華.  計(jì)算機(jī)研究與發(fā)展. 2018(11)
[5]ERC20智能合約整數(shù)溢出系列漏洞披露[J]. 陳力波,殷婷婷,倪遠(yuǎn)東,張超.  信息技術(shù)與網(wǎng)絡(luò)安全. 2018(08)
[6]區(qū)塊鏈智能合約漏洞 修復(fù)困難[J]. 高楓.  計(jì)算機(jī)與網(wǎng)絡(luò). 2018(12)
[7]區(qū)塊鏈技術(shù):架構(gòu)及進(jìn)展[J]. 邵奇峰,金澈清,張召,錢(qián)衛(wèi)寧,周傲英.  計(jì)算機(jī)學(xué)報(bào). 2018(05)
[8]The DAO被攻擊事件分析與思考[J]. 伍旭川,劉學(xué).  金融縱橫. 2016(07)
[9]區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望[J]. 袁勇,王飛躍.  自動(dòng)化學(xué)報(bào). 2016(04)
[10]基于XML的軟件安全靜態(tài)檢測(cè)方法研究[J]. 周寬久,鄭紅波,賴(lài)曉晨,劉春燕,遲宗正.  計(jì)算機(jī)工程與應(yīng)用. 2010(28)

博士論文
[1]軟件源代碼安全分析研究[D]. 張立勇.西安電子科技大學(xué) 2011

碩士論文
[1]針對(duì)以太坊智能合約代碼的安全檢測(cè)系統(tǒng)[D]. 談辰.電子科技大學(xué) 2019
[2]基于區(qū)塊鏈的智能合約研究與實(shí)現(xiàn)[D]. 楊茜.西南科技大學(xué) 2018
[3]基于抽象語(yǔ)法樹(shù)的代碼靜態(tài)缺陷檢測(cè)工具開(kāi)發(fā)[D]. 方登輝.北京郵電大學(xué) 2018
[4]基于抽象語(yǔ)法樹(shù)和改進(jìn)粒子群算法的代碼同源性分析[D]. 張劉毅.東南大學(xué) 2017
[5]基于DSL和區(qū)塊鏈技術(shù)的可編程智能合約設(shè)計(jì)與實(shí)現(xiàn)[D]. 朱忠寧.華南理工大學(xué) 2017
[6]基于靜態(tài)檢測(cè)的代碼審計(jì)技術(shù)研究[D]. 羅琴靈.貴州大學(xué) 2015
[7]基于靜態(tài)分析的代碼安全缺陷檢測(cè)系統(tǒng)[D]. 趙迎釗.電子科技大學(xué) 2012
[8]源碼審核技術(shù)中的詞法分析研究[D]. 肖鋒.西安電子科技大學(xué) 2009



本文編號(hào)：3508965