用区块链技术保障物联网安全 2023

用区块链技术保障物联网安全 由区域链/分布式账本工作组提供 。 ——版权所有©2018云安全联盟。 您可以下载、存储、显示在您的计算机、查看、打印和链接到使用区块链技术来确保物联网:(a)该文件仅可用于您的个人、信息、非商业用途;(b)不得以任何方式修改或改变该报告;(c)文件不得重新分配;(d)不得移除商标、版权或其他通知。你可以引用《美国版权法案》中合理使用条款所允许的部分文件，使用区块链技术来保证物联网的内容可以把这些内容引用到相关论文中。 关于CSA 云安全联盟是一个非营利组织，其使命是促进在云计算中提供安全保证的最佳实践，并提供关于云计算用途的教育，以帮助确保所有其他形式的计算。云安全联盟是由行业从业者、公司、协会和其他关键利益相关者组成的广泛联盟。如需进一步信息，请访问我们的www.cloudsecurityalliance.org或在推特@cloudsa上关注我们。 目录 关于CSA2 致谢4 序言5 简介6 区块链概述7 事务传播和区块链建设9 智能合约9 链下存储解决方案10 部署选项10 基于区块链的物联网架构11 通信模型11 一个利用互操作性能力的丰富生态系统13 多个区块链服务之间的共存13 基于区块链技术的物联网架构模式14 用于物联网安全的区块链技术的选择14 物联网区块链的安全服务总结18 结论18 参考文献19 致谢 主导者 SabriKhemissa 主要贡献者AlexBrownGiulianaCarulloElierCruzKevinFielderDougGardnerJasKhehraImreKocsisPaulLanoisAshishMehtaMattMurphyToddNelsonDenisNwanshiLucPoulinMichaelRoza BrianRussellSrinivasTatipamula UdoGustavovonBlücher CSAStaff:CSA员工 HillaryBaronKendallScoboriaJohnYeoh 中文翻译 北京老李 序言 2016年10月份，攻击者利用15万个安全性不够的物联网终端设备对美国主要域名服务器提供商DYN的服务器发起DDOS恶意攻击，导致美国大规模互联网瘫痪，受害企业横跨支付、餐饮、网络社交、财经媒体等多个不同领域，包括PayPal、星巴克、Twitter、《华尔街日报》在内的众多网站都无法访问。 物联网安全威胁真正引起了人们的关注，但是，保障物联网设备的安全具有极度的挑战性，各设备之间的通信互信是物联网安全的基石，由于大多IoT设备成本很低算力不足，传统的安全技术在物联网设备上过重而很难实施，区块链技术有着先天的分布式可信模式，采用轻量级区块链技术保障物联网设备的可信与安全成为云安全联盟的独特研究思路。本白皮书是物联网与区块链结合的投石问路之作，CSA全球与大中华区的专家们给广大读者又一专业奉献。 中国云安全与新兴技术安全创新联盟常务副理事长 CSA云安全联盟大中华区主席 李雨航YaleLi 简介 在过去的四年中，技术专家、首席数字官、营销经理、记者、博客作者和研究机构讨论并推广了一种新的分布式模型，将区块链技术应用于安全事务处理和存储。国际数据公司IDCFutureScape预测，到2020年，全球20%的贸易融资将纳入区块链。 1、Coindesk报告说，过去几年，风险投资在区块链的创业公司投资超过18亿美元。 2、区域链的财团和联盟已经涌现，例如企业以太坊联盟，它是致力于识别跨部门的区块链技术的新用例。 区块链是一种公共的和分布式的交易分类账簿，它能够承诺： 1.提高数字资产所有权转让的速度、效率和安全性。 2.消除中央主管（权利）机构认证所有权和清算交易的需要。 3.通过提供透明和公开的审计的分类账目来减少欺诈和腐败。 4.使用可根据特定条件自动激活、保护和验证可信操作(“智能合约”)的协议降低管理成 本。 与采用区块链相关的一个关键挑战是需要确定相关的用例，这些用例将从区块链技术的 集成中获益。物联网(IoT)长期以来一直与安全漏洞（脆弱性）和挑战联系在一起，专家和组织已经开始探索利用区块链来保护物联网的安全。像IOTA和可信物联网联盟这样的组织已经开始通过应用区块链来关注物联网的安全性。 物联网本身正在改变消费者的行为和业务流程。分布式边缘物联网设备采集和传输数据进行处理。物联网系统依靠这些数据向最终用户提供先进的服务、自动化的特性和定制体验。物联网系统是动态和分布式的。它们包括设备、移动应用程序、网关、云服务、分析和机器学习过程、网络基础设施、网络（WEB）服务、存储系统、雾层和用户。所有这些系统都可以写入和读取数据，这些数据可以被记录为分类帐簿上的事务。 自2014年以来，云安全联盟物联网工作组(IoTWG)一直致力于物联网安全的最佳实践的文档化。鉴于将区块链技术应用于物联网安全问题的潜在好处，物联网工作组与CSA区块链/分布式分类账技术工作组合作研究并记录了区块链可以开始帮助确保物联网系统安全的一些方法。因此，本文讨论了两种不同成熟度级别的技术： 区块链：通过支持快速发展的加密货币如比特币、以太坊、莱特币和达世币，推动了数字经济的彻底变革和颠覆的技术推动。区块链作为加密货币基础的成功案例，在业界催生了新的研究，旨在是利用分布式分类账目技术来保障系统和技术的安全。在2017年，许多商业计划的重点是创建有限的原型和概念证明，这些概念主要是为了掌握这一复杂技术的的复杂之处。 物联网：一套快速成熟的技术，支持业务和任务流程的转换。物联网在消费者、交通运输、能源、医疗、制造业、零售和金融等行业已经达到了不同程度的成熟度。物联网是物理设备之间的互联互通。作为连接的车辆、智能建筑、工业控制系统、无人机和机器人系统以及其他嵌入电子、软件、传感器、执行器和网络连接的物品，这些东西能够使这些物体交换数据。 本文描述了区块链技术的顶层概述，并描绘了一套架构模式，这些模型使区块链能够作为一种技术来保护物联网的能力。此外，本文还探讨了用于物联网安全的具体用例示例，尽管这些用例的技术实现将因公司而异. 区块链概述 一个区块链服务，或者简称为区块链，是一个事务存储库，将事务分组到块中。“每个块都包含上一个块的散列。就产生了创建从成因块到当前块的一系列块的效果。对每个块的内容进行数字签名，以确保记录的事务的数据完整性。 区块链服务包括三个主要组件: (1)自治节点网络 独立节点自动生成并将合法的事务注册到分布式账本中。对于验证事务，不需要中央主管 （权利）机构或可信的第三方。区块链服务的所有节点(也称为区块链平台)协作以保持分类帐簿的一致性。 每个节点都运行一个被称为协商一致的程序机制。协商一致意见是节点在一组事务中如何更新区块链的过程。达成共识确保网络中的大多数节点都验证了相同的事务集。 分布式协商一致的目标是保持系统中足够多数的分类账本是正确和最新的(在一个粗略的时间尺度上)。协商一致机制防止恶意的同行通过(a)追溯修改交易来破坏账簿的完整 性;(b)执行语义未经许可的交易(例如:“双支出”和在加密货币设置中转让非自有资产);或(c)阻止对正确事务请求的接受和预订。 在开发区块链服务防范特定攻击时所选择协商一致的方法，这些攻击缓解措施并不完全是技术性的。以比特币的“工作量证明”为例，要想在网络中获得51%的哈希计算力，有一定的经济抑制因素。即获得51%的采矿哈希计算力，将有可能使攻击者花费双倍花费的硬币或改变近期的交易历史。 此外，获得51%的哈希率和传播恶意交易将迅速破坏对加密货币的信心，并显著降低恶意方的利益风险价值。此外，恶意方可以简单地利用他们的哈希计算力在挖掘（mining）过程中为自己创造收益。 在一个被许可的(封闭的)系统中，经济不利因素可能不存在。许可系统还往往采用减少开采困难，允许在网络中进行更快的事务。这些许可系统必须要符合传统的网络安全控制，包括弹性防护、基于硬件的钱包、网络矿工限制访问控制、身份管理和强大的审计能力，以确保潜在的监管介入、诉讼和刑事调查系统在内的不当行为。 三种在区块链中的主要共识的机制: 拜占庭容错（BFT）：拜占庭式容错(BFT)算法的设计是为了避免攻击和软件错误引起的故障节点表现出任意的行为(拜占庭式的错误)。BFT[4]在参与的情况下提供了一致意见：恶意行为不当(拜占庭将军问题)节点。然而，这种方法的缺点是，在形成区块链网络的节点数量上，可伸缩性限制。已经提出了BFT的替代方法，包括实用的拜占庭式容错。目前使用 PBFT的区块链实现的例子是Linux基金会Hyperledgerfabric(0.6)和瑞波币. 由比特币和以太坊(Ethereum)使用的“工作量证明”(POW)是一种广为人知的建立共识的机制：在工作量证明（POW）一个单独的节点可以向其他节点提供其结论，该节点可以由网络中的其他节点进行验证。提交一个生成的块的节点，为了能够达成共识，还必须提供它执行的工作的证明，这是一个计算困难的任务(基于哈希函数的“密码难题”)。工作量证明 （POW）提供了良好的网络稳定性。然而，工作量证明（POW）的成本特别高。计算资源消耗。被授予作为成功的块生成的回报，“矿工”被激励参与获得一个秘密奖励。 权益证明(POS)与POW类似:节点在生成块时获得奖励。然而，只有几个节点可以参与到这个阶段。实际上，下一个生成节点是基于累积的财富(即，即:“权益”)。基于POS的区块链的挖掘（mining）过程通常称为“伪造”或“铸造”。推出PoS的技术就是点点币 （PeerCoin）。 (2)交易分类帐 数据库由块组成，因此叫“区块链”。每个块包含一个有效的事务列表、一个时间戳和将当前块链接到上一个块的信息。通过每个块的链接到前面的块的链接创建分类账。 分类账的核心是哈希加密，这是一种数学算法，它将可变大小的数据映射到一个固定大小的字符串。所有的交易——A,B,C,D-都是散列-H(A)，H(B)，H(C)，H(D)-然后汇总成连续的哈希-H(hA|hB)，H(hC|hD)-构成一棵Merkle树。顶部散列，或Merkle树根，是集成块头部。 MerkletreeconnectingblocktransactionstoblockheaderMerkleroot (3)分布式数据库 当添加新的事务时，会生成一个分类账，并且可以在系统的节点上进行复制，这就是分布式账簿。网络上的每个节点都有自己的数据库副本，可以访问任何数据库的历史事务。 特定的加密货币的区块链容量将驱动特联网和其他主机的存储容量需求。下表为流行的加密货币在2017年8月14日提供区块链容积。 加密货币 区块链容积（截止于8/14/17 比特币 151.74GB 以太币 98.94GB 以太坊经典 20.12GB 莱特币 8.62GB 达世币 3.69GB 事务传播和区块链建设 下面是区块链事务的通用处理流程。当一个事务被提交到一个节点时，一个区块链服务通常运行如下: 1、将新事务广播到所有节点。 2、每个节点将新事务收集到块中。 3、每个节点工作在块的一致性算法上（一般来说，这个任务在节点处理和耗电方面是昂贵的）。 4、当节点完成协商一致性算法处理时，它将该块和处理结果广播给所有节点，然后接收 该工作的补偿。（在比特币的情况下，补偿是由比特币矿工处理和接收的交易费用。）5、节点仅在其所有事务有效时才接受该块。 6、通过使用已接受块的散列作为前一个散列，通过在链中创建下一个块来表示对块的接 受。 这种技术并不新鲜：它涉及数字签名、密码哈希算法、对等连接、分布式数据库等等。在当前的形势下，有效结合这些离散技术的区块链技术是必要的，因为提高计算能力和互联网速度可以实现分布式计算。 智能合约 智能合约是在分类帐上执行的自执行代码。使用智能合约，双方进行交易。例如，一方可