异构联盟系统中基于二层区块链的用户信任协商模型

杨 敏，张仕斌，张 航，刘 宁，甘 波

1.成都信息工程大学网络空间安全学院,成都610025

2.四川嘉陵江小龙门航电开发有限公司，四川南充637000

近年来，随着传感器、嵌入式产品、消费电子等设备的大量介入，网络规模日益拓展，系统之间经常需要交换信息，而逐渐呈现出复杂异构的特征.文献[1]指出同一环境中经常存在多种不同类型的物联网互联以共享数据，因而形成了异构网络系统.文献[2]针对不同电子政务系统间的信息交换及安全管理技术问题，提出了在异构信息系统之间实现电子政务有效共享和通用的数据交换平台架构.文献[3]将不同的物联网系统通过区块链技术有效地组合联盟系统，并提出了共享经济的概念.上述研究表明，由不同物联网系统、电子政务系统等形成的联盟系统可以有效地进行资源整合分配和信息共享，从而提升交互效率，降低成本，符合当前互联网的发展趋势.但是随之而来的安全问题也成为技术难点，如各联盟系统身份管理平台多样[4]、平台间的数据孤立分散、跨域用户的可信评估缺失以及多态跨域网络实体行为监管困难等问题.

为了解决异构联盟系统中的信任问题，本文从最关键的用户因素入手，给出了异构联盟系统中用户行为的定义，然后在此基础上引入了区块链技术，提出如何运用区块链技术解决异构系统中实体的信任问题，最后通过在线社交网络的应用场景验证了本文所提方法的有效性和可行性.

1 相关问题的研究

自2008年中本聪提出区块链概念以来[5]，研究人员开始利用区块链去中心化、去信任以及消息不可篡改性等特点，相继将其应用于物联网、医疗、金融等网络系统的数据共享中[6-11].区块链技术利用哈希函数的单向性、抗碰撞特性验证数据，实现数据的不可篡改，利用加密链式区块结构存储数据，利用分布式节点共识算法更新数据及利用零知识证明、智能合约等选择性共享数据以保护用户的隐私.本文从用户层面的安全性出发，设计了一种在异构联盟系统下基于区块链的用户信任协商模型，解决了传统的网络系统间数据不互联、不互通，网络用户统一监管困难的问题，同时实现用户对其历史行为不可赖账以及评估信任值不可篡改的去中心化用户管理.为了更好地理解异构网络下基于区块链的用户信任协商模型，下面将详细介绍用户行为和区块链相关知识.

1.1 用户行为相关问题研究

用户行为是指在异构联盟系统中用户发生的包括物理行为、空间行为或两者结合的所有可通过设备、网络观测记录的行为.物理行为又指用户的身体行为，如说话、面部表情、走路等能够在物理领域内被客观地观察或间接推断的行为.例如，用户A未经授权走进某管理中心这一行为能够被电子设备监测被称为物理行为.空间行为是指用户在网络空间中发生的一切可被客观观察的、直接或间接推断出的行为，用户在网站上浏览网页时，该网站服务器和本地浏览器会记录其浏览网页这一行为.在互联网时代，人们大多通过网络获取信息、完成业务，本文重点关注用户在网络中的行为，即空间行为.发生在同一网络环境下的用户空间行为称为横向行为，发生在跨域网络环境下的用户空间行为称为纵向行为.无论物理行为还是空间行为，用户的一个行为通常包含多个行为属性，这些行为属性一起构成了一个有意义的行为.如用户A想要登录系统1，必须输入相关用户名、密码等个人信息，输入用户名和密码这两个行为属性就构成了一次有意义的登录行为，A在系统1中所操作的一切行为都是横向行为，若A要与系统2中的用户B通信，那么就称用户A和B之间的交互行为为纵向行为.

1.2 区块链及应用相关问题研究

目前区块链技术的发展分为3个阶段.第1个阶段是区块链1.0，以比特币为首的公有链的应用为代表.区块链体系由大家共同维护，无需专门消耗人力物力，去中心化结构能够大大提高安全性，同时数据存储在加密链式的区块中，对所有节点公开透明，数据的公开性避免了做假账现象的发生，节点间主要通过工作量证明机制（proof of work,PoWS）共识机制实现数据的生成和更新.但挖矿所产生的资源浪费使区块的生成过程变得缓慢，依靠代币及数据的完全透明性等缺点使区块链1.0技术无法普及到除货币体系以外的行业中.第2个阶段是区块链2.0，主要是在以太坊平台之上，各节点参与撰写智能合约，无须彼此信任，合约中的代码在一定条件下会自发执行.节点可以通过智能合约选择性地共享数据以保护隐私，同时权益证明机制（proof of stake,PoS）、授权股权证明机制（delegated proof of stake,DPoS）等新的共识机制的出现使区块链2.0的应用领域从最初的货币体系拓展到经济、金融、市场等领域.但由于PoS、DPoS等共识机制仍需要挖矿，交易速度受到限制，无法实现商用.第3个阶段是区块链3.0，以Hyperledger为首的联盟链为代表，采用拜占庭容错协议（pratical Byzantine fault tolerance,PBFT）的共识机制.区块链3.0架构是超越货币、金融范围的区块链应用，是商用化的一个里程碑阶段，它能够构建如游戏币、电子发票、虚拟货币、数据资产等虚拟资产的可信安全生态，实现虚拟资产全生命周期监管.

用户在网络中的行为可能受到生理、心理、环境、时间等因素的影响，具有随机性、多样性等复杂特征，传统的单一系统下对用户横向行为可信监管研究卓有成效.然而，在当今数字化时代下，各行各业都开通了网上营业系统，一个用户在不同的系统中扮演的角色各异，导致其在网络中的行为也更加复杂难以管控，因此，多态跨域行为监管已经成为研究的热点和难点.如果把若干个相互关联的系统组成联盟系统，将用户在不同网络中产生的行为看成数据资产，那么将区块链3.0应用到异构联盟系统用户行为监管问题将能够解决用户行为数据的全生命周期管理，同时通过无代币存在的共识机制实现联盟系统中用户的信任协商，构建可信安全架构.

共识机制[11-13]是区块链技术最重要的部分，目标是使所有节点能够在互不信任的前提下，基于各自的利益最大化自觉地保存由诚实节点发布的信息.区块链技术发展的不同阶段产生的共识机制特点各异，目前常见的共识机制总结如表1所示.

2 异构联盟系统中基于二层区块链的用户信任协商模型

在异构联盟系统中，基于区块链3.0技术的用户信任协商起着重要的作用，应用过程中涉及的相关概念如下：

1）异构联盟系统

基于价值、利益具有关联性的同行业或跨行业的机构或组织为了分享彼此间的某些信息而形成的异构联盟网络系统.

2）联盟链

区块链3.0常用到一种共识机制，其本质上仍是一种私有链，只是比单个小组织开发的私有链更大，却没有公有链规模大，可以理解为它是介于私有链和公有链之间的一种区块链.联盟区块链的每个区块生成由所有的预选节点共同决定，其他接入节点可以参与交易，但不过问记账过程.例如，有10个金融、电商、政府、银行等异构网络组成的联盟系统，每个系统都运行着一个节点，为了使每个区块生效需要获得其中5个系统的确认（1/2确认）.一般而言，联盟链的共识节点都需要生成一个数字证书，使其身份可以验证.如果出现异常状况，可以启用监管机制和治理措施做出跟踪惩罚或进一步的治理措施以减少损失.

表1 共识机制类别及特点Table 1 Consensus mechanism categories and characteristics

3）联盟成员

联盟链上所包含的所有成员系统，在本文中是指价值、利益具有关联性的同行业或跨行业间的机构或组织所形成的异构网络系统，可以由集合M表示，定义为一个网络系统都包含一定数量的用户，可由集合为其编号，m，1＜j＜n，其中，m表示联盟成员数目，n表示每个成员系统中的用户数目.例如，N22表示联盟成员2系统中的第2个用户的编号，其他编号以此类推.

2.1 异构联盟链的系统组成

传统的网络系统对用户的信任数据都是孤立分散的，用户在某一个系统中的数据不能在其他系统中共享，然而随着互联网的不断发展，系统间的联系逐渐加强.如果用户的信任信息能够在各个系统之间协商，则会为用户管理带来极大的便利，区块链的出现在提供安全保障的基础上使数据共享成为可能.本文提出的信任协商模型包含3个重要的组件，即用户行为区块链、可信评估系统、用户信任区块链，具体架构如图1所示.

图1 基于区块链的信任协商模型的基本框架Figure 1 Basic framework of trust negotiation model based on blockchain

图1中用户行为区块是第1级区块链，保障用户行为可追溯.将用户行为经由可信评估系统后得到用户信任值，形成的第2级区块链保证用户可信值不可篡改，对用户在网络中的行为起到一定监管的作用.可信评估系统则是利用数学理论与方法对用户行为建模，鉴于用户在网络中的行为具有随机性、模糊性、复杂性等特殊性质，可以借助云模型理论对网络系统下用户行为所具有的不确定性问题进行定量描述，借助模糊综合评价理论构建网络用户行为可信评价模型.

2.2 异构联盟链的系统运行机制

本文在对比表1涉及的5种共识机制的优缺点及适用范围后，针对所述场景提出了一种基于改进的授权拜占庭容错协议的共识机制（improved delegated Byzantine fault tolerance,IdBFT），其工作过程如下：

1）假设有M个联盟系统，联盟成员根据社会影响力、服务质量等多个维度对其所在的联盟系统进行初始投票，选出F个成员作为受托节点（授权代表），由它们共同签署（生产）新区块，剩下的成员作为审计节点，轮流检验每个被签署的新区块是否真实有效，其中F满足3F+1≤M；

2）如果F个授权代表节点中的的某一个或几个错过了签署新区块或者产生了错误的区块，客户端就会自动将其选票移走，因此错过签署区块的“董事们”将被移出董事会，由剩余的审计节点作为替补，充当授权代表；

3）联盟成员要想成为代表，必须拥有一个能表征其真实身份的数字证书，并且在每笔交易数据的“头部”引用.

信任协商模型的具体工作步骤如下：

步骤1 假设联盟系统的注册格式一致，某一用户向某一联盟系统Si提交注册请求并提交用户的公钥作为标识，系统Si作为主节点广播用户的注册请求并给请求编号，此时除Si以外的成员由系统中存在该用户且社会影响力排名靠前的n个节点（视具体情况选择n的数目）分别作为从节点1,2,………………,n，Si发送预准备类型信息给从节点，同时进入准备阶段.

步骤2 从节点1收到信息后，查看其信任评估值，若信任值正常，则返回准备类型信息给主节点和其他n-2个从节点，若低于阈值则丢弃该消息.

步骤3 若从节点1收到剩余n-2个从节点发出的均同意主节点分配编号的准备类型的消息，则n个从节点都进入确认阶段；若从节点2,3,………………,n中该用户的信任值低于阈值，则不发送任何消息给从节点1.

步骤4 若Si收到这n个从节点的确认消息，则同意该用户的注册请求，将用户的公钥信息记录到Item，并用主节点及所有从点的私钥签名，Si广播Item确认消息，剩余节点轮流校验签署的区块是否真实有效，并更新数据.

步骤5 返回步骤1.

2.3 用户行为数据区块链（第1层区块链）

用户在网络上产生的行为数据作为Item块，一个数据块由多个Item块组成，包含了一个用户在某段时间内在网络中产生的所有行为.通过层层计算哈希值生成Merkle树，由联盟系统中的授权代表提交Merkle根到联盟链上，剩余节点完成校验工作，形成类似于比特币区块链上的一笔交易.交易公开透明、可追溯，通过这种方式实现用户行为不可篡改，用户对已发生的行为不可抵赖，这对用户在网络中的行为规范起到了监管控制的作用.

用户行为数据块块包含了用户编号Nij、用户数字签名、用户在网络中产生的行为、时间戳等重要信息，具体构成如图2所示.

图2 用户行为数据块Figure 2 User behavior data block

行为数据块经过层层哈希算法生成Merkle树，由当值代表节点将Merkle根锚定到联盟链上.生成区块的过程采用IdBFT共识机制，稳定在每3～5 s生成一个区块，其数据处理速度足以满足用户在网络中产生行为的速度.用户行为区块链如图3所示.

2.4 用户信任区块链（第2层区块链）

用户行为经过评估系统后得到一个信任值，将用户编号、数字签名、时间戳、信任值存放到数据块中，形成信任Item块.产生区块链的过程与行为区块链类似，此处不再赘述，示意图如图4所示.

图3 用户行为区块链Figure 3 User behavior blockchain

图4 用户信任区块链Figure 4 User trust blockchain

3 基于二层区块链的用户信任协商模型的应用及安全性分析

3.1 基于二层区块链的用户信任协商模型的应用

近年来，随着社交网络的迅速发展，随之而来的用户安全问题也引起了广泛地关注，特别是用户间跨社交网络通信、交换数据等行为，在方便用户的同时也使得恶意用户窃取、篡改信息更加容易.因此，本文将二层区块链的用户信任协商模型应用在跨平台社交网络中，将若干个有关联的在线社交网络平台组成联盟系统，实现用户信任信息在联盟系统间共享，同时在用户注册某一社交网络时，联盟系统间通过共识机制核实用户的信任值是否超过可信阈值，进而决定是否同意该用户的注册请求，防止恶意用户登录系统，实现跨社交网络平台下的用户行为监管.其中，用户的信任值是通过评估系统产生的，本文采用一种基于云模型理论[14]和模糊综合评价法相结合的可信评估系统.社交网络间信任协商的具体工作过程如下：

步骤1 建立行为属性云.对横向行为数据按其行为特征提取成m个行为属性.根据每一个行为属性的样本数据，以样本均值代替总体均值得到期望，以样本方差代替总体方差得到熵和超熵，还原出云的数字特征，从而得到m个行为属性云.

步骤2 建立等级云.先给出n个评价等级，设每个等级区间范围为[rmin,rmax]，根据文献[15]的方法确定每一个等级云的数字特征，进而得到n个等级云.

步骤3 通过计算m个行为云对n个等级云的隶属度得到模糊关系矩阵.根据模糊熵权法[16]得到每一个行为属性的权重.

步骤4 将隶属度矩阵与权重向量相乘得到横向行为数据的信任值T1.用相同的步骤计算纵向行为数据的信任值T2，用户的综合信任值T=αT1+βT2（α和β分别表示横向行为和纵向行为对整体信任值的影响，其取值视具体情况而定）.

步骤5 计算出用户信任值后经层层哈希形成Merkle根，由当值的在线社交网络系统将Merkle根锚定到区块链，形成用户信任区块链.

步骤6 若某一用户在某一社交网络注册，则该社交网络通过改进的共识机制查看信任链上联盟成员中该用户的信任信息，若综合信任值T大于某一阈值，则同意该用户的注册请求.

3.2 基于二层区块链的用户信任协商模型的安全性分析

本文所提出的基于二层区块链的用户信任协商模型可以从以下3个方面保障社交网络环境的安全性.

1）防恶意用户.当某一用户或某一群体企图在社交网络中发起Spam、Sybil、谣言攻击时，在第1层用户行为区块链上，用户发生过的每一个行为都存在区块体中，形成Merkle根被锚定到区块链上.由于Merkle根是通过哈希算法生成，且哈希函数具有单向性、抗碰撞性的特征，任意一个行为被修改都能够使Merkle根的值发生改变，这意味着用户行为可被追溯且不可篡改.因此，用户行为区块链保障了用户行为的真实性，但是仅仅通过第1层区块链不能判定该用户是否为恶意用户，还需要将用户行为经过可信评估系统得到的用户的信任值，形成第2层区块链，即用户信任区块链.用户的信任值能被所有联盟系统查看，一旦发现可疑用户便立即做上标记，联盟系统则根据可信值对该用户设置访问权限，或者禁止该用户加入系统.综上所述，通过二层区块链能从用户层面保障网络环境的安全.

2）防恶意代表节点.考虑最坏的情况，若提交数据的f个授权代表节点共同发起恶意篡改数据攻击，由于采用IdBFT共识机制，只要满足3f+1＜M便可以抵御攻击.举例如下：若10个网络系统组成联盟系统，则在授权代表系统最多为2个的前提下能确保系统的安全.因为在这种情况下，即使这2个代表节点都是恶意节点，整个系统的安全性能也不受影响.

3）用户身份隐私保护.在本文所提出的基于二层区块链的用户信任协商模型中，所有联盟系统的用户均采用编号的方式进行存储，成员系统在进行信任协商时看到的仅仅是用户编号，却无法获得用户的真实身份信息，从而保障了用户的权益.

4 结语

随着物联网的不断发展，不同系统间信息共享需求逐渐增大，本文将物联网系统拓展到一切价值、利益具有关联性的同行业或跨行业的机构或组织所形成的异构网络系统，基于改进的dBFT(delegated Byzantine fault tolerance)共识机制提出了基于二级区块链的用户信任协商模型，解决了用户数据难以共享而导致的多态跨域网络实体行为监管困难等问题.该模型基于区块链独特的加密特性，保障了用户行为不可篡改、不可抵赖，对用户行为起到一定监管规范的作用；利用共识机制将用户信任值在联盟成员间协商，防止恶意用户同时在联盟成员中注册.该模型为跨域用户管理提供了一种新思路，同时区块链去中心化的特点为Web3.0的到来打下了基础.