洪兴宇 闫丽丽 孙一航 顾家乐 曾虹婷

成都信息工程大学 网络空间安全学院 四川 成都 610225

引言

近年来，网络安全问题日益突出，这对安全人才提出了广泛而迫切的需求[1]。CTF比赛是安全人才培养方式的一种重要探索，CTF比赛起源于美国，覆盖网络安全、系统安全和密码学等领域，涉及协议分析、软件逆向、漏洞挖掘与利用、密码分析等知识点。目前，国内高水平的网络安全赛事普遍以CTF形式存在。然而传统的竞赛平台仍存在许多如竞赛结果难以溯源，提交内容被篡改、抄袭行为等问题。因此，本文提出一种基于区块链的CTF平台，利用区块链的可溯源、不可篡改等特性来进一步增强CTF竞赛的公平公正真实，打击篡改、作弊等有失竞赛精神的行为。

1 系统分析及整体架构

本文基于区块链技术搭建一个公平、公正的CTF平台。基于区块链网络的特性，系统应满足以下要求：①信息可溯源性：将主要的答题信息提取摘要值等相关信息以区块的形式封装打包，区块之间以链式的方式相互连接，每个区块有各自的头部标识，可通过此结构进行溯源。②信息防篡改性：在增加答题分数之前，应当提交的答题信息进行篡改验证，验证方式为对比摘要值。③传输保密性：在信息传输过程中需要使用加密的方式对数据进行保护。

系统分为四种节点，即普通节点、题目节点、检验节点、计分节点。各节点分工明确，通过区块链网络进行数据交互。

①普通节点。即参与比赛的选手答题的节点，主要负责向题目节点获取题目、生成答题信息、对答题信息进行摘要提取、区块打包等工作。②题目节点。本节点主要负责生成包含动态flag的题目和相应题目信息。③检验节点。本节点主要负责利用收到的答题信息以及区块链上的信息进行得分校验，并统计得分情况。④计分节点。本节点主要负责统计检验节点的加分信息，进行实时的加分统计并形成临时排行榜。比赛结束也将自动生成最终排行榜以及其他榜单信息。

2 基于区块链的CTF竞赛模式构建原理

（1）区块结构。每个区块由区块有和区块体两部分构成。其中，区块头封装了当前区块标记、前一区块的哈希值、当前区块的生成时间戳、随机数、当前区块哈希值，区块体包含了答题信息的摘要值。

（2）整体工作流程。本平台工作流程如图1。具体步骤如下：①首先普通节点即选手的答题节点通过web客户端向题目节点发送题目请求。②题目节点收到请求后将生成带有动态flag的题目发给普通节点。③题目节点同时会生成一段信息包括题目名称、答题人、时间、flag并打包发送给检验节点存储下来。④当选手完成题目并提交之后，普通节点将自动生成一段答题信息包括题目名称、flag、答题时间、分数等信息，通过摘要算法对其提取摘要打包到区块链上并获取相应区块的ID。⑤普通节点将这段答题信息加上区块ID再发往检验节点。⑥在收到来自普通节点的消息后，检验节点将通过区块ID从区块链中提取到相应题目的摘要值并对收到的答题信息进行摘要提取。⑦检验节点将二者比较，若摘要值不同，则判定答题信息被篡改，若摘要值相同，则用答题信息里的动态flag与从题目节点里的flag进行比较，若flag比较相同，则说明得分有效，发信息给计分节点进行加分，并保留答题记录，记录包含内容有答题人、答题时间，提交的flag等信息。若检验节点收到第二次相同题目的信息后，则将在摘要比较之后进行答题记录遍历，历史flag对比。若发现有一样的flag，则判定作弊行为。否则发信息给计分节点进行加分。⑧最后，计分节点对收到的加分信息进行对应加分，并进行临时排名。当比赛结束时，生成最终排名并公布。

图1 工作流程图

3 结束语

本文在针对当前主流CTF竞赛平台存在的部分问题。利用了区块链的不可否认性、可溯源性等性质，结合传统的CTF平台模式设计了一种更加公平公正真实的竞赛模式，当出现篡改或者抄袭问题时都可以通过区块链进行溯源追责。本文所述模式能够有效减少抄袭，篡改等不符合竞赛精神的行为，提高网络安全竞赛氛围。但在具体篡改检测方法上，还需要做进一步的探索工作。