《云安全聯盟：用區塊鏈技術保障物聯網安全（20頁）.pdf》由會員分享，可在線閱讀，更多相關《云安全聯盟：用區塊鏈技術保障物聯網安全（20頁）.pdf（20頁珍藏版）》請在三個皮匠報告上搜索。

1、用區塊鏈技術保障物聯網安全由 區 域 鏈/分 布 式 賬 本 工 作 組 提 供。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。2版權所有2018 云安全聯盟。您可以下載、存儲、顯示在您的計算機、查看、打印和鏈接到使用區塊鏈技術來確保物聯網:(a)該文件僅可用于您的個人、信息、非商業用途;(b)不得以任何方式修改或改變該報告;(c)文件不得重新分配;(d)不得移除商標、版權或其他通知。你可以引用美國版權法案中合理使用條款所允許的部分文件，使用區塊鏈技術來保證物聯網的內容可以把這些內容引用到相關論文中。關于關于 CSA云安全聯盟是一個非營利組織

2、，其使命是促進在云計算中提供安全保證的最佳實踐，并提供關于云計算用途的教育，以幫助確保所有其他形式的計算。云安全聯盟是由行業從業者、公司、協會和其他關鍵利益相關者組成的廣泛聯盟。如需進一步信息，請訪問我們的 www.cloudsecurityalliance.org 或在推特 cloudsa 上關注我們。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。3目錄目錄關于關于 CSA.2致謝致謝.4序言序言.5簡介簡介.6區塊鏈概述區塊鏈概述.7事務傳播和區塊鏈建設事務傳播和區塊鏈建設.9智能合約智能合約.9鏈下存儲解決方案鏈下存儲解決方案.10部署

3、選項部署選項.10基于區塊鏈的物聯網架構基于區塊鏈的物聯網架構.11通信模型通信模型.11一個利用互操作性能力的豐富生態系統一個利用互操作性能力的豐富生態系統.13多個區塊鏈服務之間的共存多個區塊鏈服務之間的共存.13基于區塊鏈技術的物聯網架構模式基于區塊鏈技術的物聯網架構模式.14用于物聯網安全的區塊鏈技術的選擇用于物聯網安全的區塊鏈技術的選擇.14物聯網區塊鏈的安全服務總結物聯網區塊鏈的安全服務總結.18結論結論.18參考文獻參考文獻.19區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。4致謝致謝主導者Sabri Khemissa主 要 貢

4、 獻 者Alex BrownGiuliana CarulloElier Cruz KevinFielder DougGardner JasKhehra ImreKocsis PaulLanois AshishMehta MattMurphy ToddNelson DenisNwanshi LucPoulin MichaelRozaBrian Russell Srinivas TatipamulaUdo Gustavo von BlcherCSA Staff:CSA 員工Hillary BaronKendall ScoboriaJohn Yeoh中文翻譯北京老李區塊鏈/分布式賬本技術工作組|用區

5、塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。5序言序言2016年10月份，攻擊者利用15萬個安全性不夠的物聯網終端設備對美國主要域名服務器提供商DYN的服務器發起DDOS惡意攻擊，導致美國大規?；ヂ摼W癱瘓，受害企業橫跨支付、餐飲、網絡社交、財經媒體等多個不同領域，包括PayPal、星巴克、Twitter、華爾街日報在內的眾多網站都無法訪問。物聯網安全威脅真正引起了人們的關注，但是，保障物聯網設備的安全具有極度的挑戰性，各設備之間的通信互信是物聯網安全的基石，由于大多IoT設備成本很低算力不足，傳統的安全技術在物聯網設備上過重而很難實施，區塊鏈技術有著先天的分布式可信模式，采

6、用輕量級區塊鏈技術保障物聯網設備的可信與安全成為云安全聯盟的獨特研究思路。本白皮書是物聯網與區塊鏈結合的投石問路之作，CSA全球與大中華區的專家們給廣大讀者又一專業奉獻。中國云安全與新興技術安全創新聯盟常務副理事長CSA云安全聯盟大中華區主席李雨航 Yale Li區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。6簡介簡介在過去的四年中，技術專家、首席數字官、營銷經理、記者、博客作者和研究機構討論并推廣了一種新的分布式模型，將區塊鏈技術應用于安全事務處理和存儲。國際數據公司 IDCFutureScape 預測，到 2020 年，全球 20%的貿易

7、融資將納入區塊鏈。1、Coindesk 報告說，過去幾年，風險投資在區塊鏈的創業公司投資超過 18 億美元。2、區域鏈的財團和聯盟已經涌現，例如企業以太坊聯盟，它是致力于識別跨部門的區塊鏈技術的新用例。區塊鏈是一種公共的和分布式的交易分類賬簿，它能夠承諾：1.提高數字資產所有權轉讓的速度、效率和安全性。2.消除中央主管（權利）機構認證所有權和清算交易的需要。3.通過提供透明和公開的審計的分類賬目來減少欺詐和腐敗。4.使用可根據特定條件自動激活、保護和驗證可信操作(“智能合約”)的協議降低管理成本。與采用區塊鏈相關的一個關鍵挑戰是需要確定相關的用例，這些用例將從區塊鏈技術的集成中獲益。物聯網(I

8、oT)長期以來一直與安全漏洞（脆弱性）和挑戰聯系在一起，專家和組織已經開始探索利用區塊鏈來保護物聯網的安全。像 IOTA 和可信物聯網聯盟這樣的組織已經開始通過應用區塊鏈來關注物聯網的安全性。物聯網本身正在改變消費者的行為和業務流程。分布式邊緣物聯網設備采集和傳輸數據進行處理。物聯網系統依靠這些數據向最終用戶提供先進的服務、自動化的特性和定制體驗。物聯網系統是動態和分布式的。它們包括設備、移動應用程序、網關、云服務、分析和機器學習過程、網絡基礎設施、網絡（WEB）服務、存儲系統、霧層和用戶。所有這些系統都可以寫入和讀取數據，這些數據可以被記錄為分類帳簿上的事務。自 2014 年以來，云安全聯盟

9、物聯網工作組(IoT WG)一直致力于物聯網安全的最佳實踐的文檔化。鑒于將區塊鏈技術應用于物聯網安全問題的潛在好處，物聯網工作組與 CSA 區塊鏈/分布式分類賬技術工作組合作研究并記錄了區塊鏈可以開始幫助確保物聯網系統安全的一些方法。因此，本文討論了兩種不同成熟度級別的技術：區塊鏈：區塊鏈：通過支持快速發展的加密貨幣如比特幣、以太坊、萊特幣和達世幣，推動了數字經濟的徹底變革和顛覆的技術推動。區塊鏈作為加密貨幣基礎的成功案例，在業界催生了新的研究，旨在是利用分布式分類賬目技術來保障系統和技術的安全。在 2017 年，許多商業計劃的重點是創建有限的原型和概念證明，這些概念主要是為了掌握這一復雜技術

10、的的復雜之處。物物聯聯網網：一套快速成熟的技術，支持業務和任務流程的轉換。物聯網在消費者、交通運輸、能源、醫療、制造業、零售和金融等行業已經達到了不同程度的成熟度。物聯網是物理設備之間的互聯互通。作為連接的車輛、智能建筑、工業控制系統、無人機和機器人系統以及其他嵌入電子、軟件、傳感器、執行器和網絡連接的物品，這些東西能夠使這些物體交換數據。本文描述了區塊鏈技術的頂層概述，并描繪了一套架構模式，這些模型使區塊鏈能夠作為一種技術來保護物聯網的能力。此外，本文還探討了用于物聯網安全的具體用例示例，盡管這些用例的技術實現將因公司而異.區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權201

11、8,云安全聯盟。保留所有權利。7區塊鏈概述區塊鏈概述一個區塊鏈服務，或者簡稱為區塊鏈，是一個事務存儲庫，將事務分組到塊中?！懊總€塊都包含上一個塊的散列。就產生了創建從成因塊到當前塊的一系列塊的效果。對每個塊的內容進行數字簽名，以確保記錄的事務的數據完整性。區塊鏈服務包括三個主要組件區塊鏈服務包括三個主要組件:(1 1)自治節點網絡自治節點網絡獨立節點自動生成并將合法的事務注冊到分布式賬本中。對于驗證事務，不需要中央主管（權利）機構或可信的第三方。區塊鏈服務的所有節點(也稱為區塊鏈平臺)協作以保持分類帳簿的一致性。每個節點都運行一個被稱為協商一致的程序機制。協商一致意見是節點在一組事務中如何更新

12、區塊鏈的過程。達成共識確保網絡中的大多數節點都驗證了相同的事務集。分布式協商一致的目標是保持系統中足夠多數的分類賬本是正確和最新的(在一個粗略的時間尺度上)。協商一致機制防止惡意的同行通過(a)追溯修改交易來破壞賬簿的完整性;(b)執行語義未經許可的交易(例如:“雙支出”和在加密貨幣設置中轉讓非自有資產);或(c)阻止對正確事務請求的接受和預訂。在開發區塊鏈服務防范特定攻擊時所選擇協商一致的方法，這些攻擊緩解措施并不完全是技術性的。以比特幣的“工作量證明”為例，要想在網絡中獲得 51%的哈希計算力，有一定的經濟抑制因素。即獲得 51%的采礦哈希計算力，將有可能使攻擊者花費雙倍花費的硬幣或改變近

13、期的交易歷史。此外，獲得 51%的哈希率和傳播惡意交易將迅速破壞對加密貨幣的信心，并顯著降低惡意方的利益風險價值。此外，惡意方可以簡單地利用他們的哈希計算力在挖掘（mining）過程中為自己創造收益。在一個被許可的(封閉的)系統中，經濟不利因素可能不存在。許可系統還往往采用減少開采困難，允許在網絡中進行更快的事務。這些許可系統必須要符合傳統的網絡安全控制，包括彈性防護、基于硬件的錢包、網絡礦工限制訪問控制、身份管理和強大的審計能力，以確保潛在的監管介入、訴訟和刑事調查系統在內的不當行為。三種在區塊鏈中的主要共識的機制三種在區塊鏈中的主要共識的機制:拜拜占占庭庭容容錯錯（B BF FT T）：拜

14、占庭式容錯(BFT)算法的設計是為了避免攻擊和軟件錯誤引起的故障節點表現出任意的行為(拜占庭式的錯誤)。BFT4在參與的情況下提供了一致意見：惡意行為不當(拜占庭將軍問題)節點。然而，這種方法的缺點是，在形成區塊鏈網絡的節點數量上，可伸縮性限制。已經提出了 BFT 的替代方法，包括實用的拜占庭式容錯。目前使用PBFT 的區塊鏈實現的例子是 Linux 基金會 Hyperledger fabric(0.6)和瑞波幣.由由比比特特幣幣和和以以太太坊坊(E Et th he er re eu um m)使使用用的的“工工作作量量證證明明”(P PO OW W)是是一一種種廣廣為為人人知知的的建建立立

15、共共識識的機制：的機制：在工作量證明（POW）一個單獨的節點可以向其他節點提供其結論，該節點可以由網絡中的其他節點進行驗證。提交一個生成的塊的節點，為了能夠達成共識，還必須提供它執行的工作的證明，這是一個計算困難的任務(基于哈希函數的“密碼難題”)。工作量證明（POW）提供了良好的網絡穩定性。然而，工作量證明（POW）的成本特別高。計算資源消耗。被授予作為成功的塊生成的回報，“礦工”被激勵參與獲得一個秘密獎勵。權益證明權益證明(POS)(POS)與與 POWPOW 類似類似:節點在生成塊時獲得獎勵。然而，只有幾個節點可以參與到這個階段。實際上，下一個生成節點是基于累積的財富(即，即:“權益”)

16、?；?POS 的區塊鏈的挖掘（mining）過程通常稱為“偽造”或“鑄造”。推出PoS 的技術就是點點幣（PeerCoin）。8區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。(2 2)交易分類帳交易分類帳數據庫由塊組成，因此叫“區塊鏈”。每個塊包含一個有效的事務列表、一個時間戳和將當前塊鏈接到上一個塊的信息。通過每個塊的鏈接到前面的塊的鏈接創建分類賬。分類賬的核心是哈希加密，這是一種數學算法，它將可變大小的數據映射到一個固定大小的字符串。所有的交易A,B,C,D-都是散列-H(A)，H(B)，H(C)，H(D)-然后匯總成連續的哈希-H(h

17、A|hB)，H(hC|hD)-構成一棵 Merkle 樹。頂部散列，或 Merkle 樹根，是集成塊頭部。Merkle tree connecting block transactions to block header Merkle root(3 3)分布式數據庫分布式數據庫當添加新的事務時，會生成一個分類賬，并且可以在系統的節點上進行復制，這就是分布式賬簿。網絡上的每個節點都有自己的數據庫副本，可以訪問任何數據庫的歷史事務。特定的加密貨幣的區塊鏈容量將驅動特聯網和其他主機的存儲容量需求。下表為流行的加密貨幣在 2017 年8 月14 日提供區塊鏈容積。加密貨幣區塊鏈容積（截止于 8/14/

18、17比特幣151.74GB以太幣98.94GB以太坊經典20.12GB萊特幣8.62GB區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。9達世幣事務傳播和區塊鏈建設事務傳播和區塊鏈建設下面是區塊鏈事務的通用處理流程。當一個事務被提交到一個節點時，一個區塊鏈服務通常運行如下:1、將新事務廣播到所有節點。2、每個節點將新事務收集到塊中。3、每個節點工作在塊的一致性算法上（一般來說，這個任務在節點處理和耗電方面是昂貴的）。4、當節點完成協商一致性算法處理時，它將該塊和處理結果廣播給所有節點，然后接收該工作的補償。（在比特幣的情況下，補償是由比特幣礦工

19、處理和接收的交易費用。）5、節點僅在其所有事務有效時才接受該塊。6、通過使用已接受塊的散列作為前一個散列，通過在鏈中創建下一個塊來表示對塊的接受。這種技術并不新鮮：它涉及數字簽名、密碼哈希算法、對等連接、分布式數據庫等等。在當前的形勢下，有效結合這些離散技術的區塊鏈技術是必要的，因為提高計算能力和互聯網速度可以實現分布式計算。智能合約智能合約智能合約是在分類帳上執行的自執行代碼。使用智能合約，雙方進行交易。例如，一方可以提供服務，而另一方為該服務提供支付。智能合約強制執行交易規則，也可以執行與違約相關的懲罰。在物聯網的背景下，設備可以預先配置為基于區塊鏈上的契約地址與智能合約進行交互。這些設備

20、隨后可以進入彼此之間的事務處理。智能合約監視事務流程，并驗證在發布資金或 允許操作之前遵循了規則。使用智能合約的物聯網系統的實現者必須考慮潛在的誤用案例，并安裝規則在合約中。例如，一個智能合約開發人員可能會強制執行托管（保留資金）要求，直到完成智能合約條款的驗證。與智能合約一起工作時，考慮其他安全要求，包括需要避免在第一次合約交易完成之前再次執行合約的競爭條件（即第一筆合約交易完成之前，合同可以再次執行），驗證合約的發送方和接收方不使用相同的地址。確保只有授權的設備才能使用智能合約。您可以學習更多關于智能合約的安全知識。https:/consensys.github.io/smart-cont

21、ract-best-practices/。鏈下存儲解決方案鏈下存儲解決方案負責實施區塊鏈技術的解決方案開發人員應該認識到，沒有與使用公共區塊鏈網絡相關的機密性保護。即使是私有/許可的網絡也缺乏足夠的保密工具來支持在鏈上存儲敏感數據。3.69GB區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。10相反，許多組織需要建立起來“鏈下”存儲解決方案，這些解決方案可以用來存儲數據產品，而區塊鏈將這些產品的散列記錄為事務。這些鏈下存儲解決方案應該根據任何法規要求或行業最佳實踐進行加密。部署選項部署選項區塊鏈可以在三個三個區域內部署:未經許可的區域(publ

22、ic):每個節點都可以讀取和發送事務，也可以參與協商一致的過程。POW 一致性算法最適合于不受約束的區域。聯盟區域(例如部分許可):定義節點可以參與協商一致過程。讀取和發送交易可能是公開的或受限制的。拜占庭容錯（BFT）最好應用于聯盟部署，比如 Hyperledger一個由Linux 基金會管理的開源項目。許可區域(private):受信任的組織可以將事務寫入區塊鏈，而協商一致機制則無關緊要。這種部署對受監管的行業或屬于同一法律實體的組織最有效。例如由項目 R3 和金融機構的鏈核心所提議的垂直項目，很可能是由中央權威管理的私人區塊鏈。比特幣和以太坊是不受許可的區塊鏈實現，它們在支持分布式應用程

23、序(DAP)方面獲得了廣泛的支持。以太坊包括可以使用的 Solidity 編程語言。輕松構建智能合約，實現物聯網設備之間的自主點對點交易。解決方案，如 BTC 中繼，提供了在以太坊中解決智能合約的能力，并通過比特幣進行支付。區塊鏈實現是在區塊鏈網絡上構建服務的框架，例如加密 貨幣、分布式應用程序和智能合約。該框架描述了要使用的理論概念以及它們如何組合(例如，協商一致機制，數字簽名、密碼方法和通信屬性等內容)。由實現者指定并詳細說明實現框架的技術組件。右邊的圖提供了在設計基于塊的物聯網的安全解決方案時要考慮的技術組件。多個區塊鏈實現是可能的，并且每一個都提出了不同用法和服務的建議。在這些網絡之間

24、的“無信任交換”將可能使用一個名為雙向掛鉤”的中繼，允許訪問另一個區塊鏈的功能。Rootstock 是一個開放源代碼的智能合約平臺，采用雙向綁定的比特幣?；趨^塊鏈技術的物聯網架構基于區塊鏈技術的物聯網架構將區塊鏈技術應用到物聯網中，需要對物聯網的體系結構模式進行測試。區塊鏈服務，定義的模式應該包括以下三個部分:區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。10通信模型通信模型通信模型描述了直接在物聯網節點上安裝區塊鏈軟件，或者將應用程序編程接口(api)安裝到物聯網（IoT）節點上。下圖展示了一個通用的、接受的模型，結合了區塊鏈技術和物聯網

25、（IoT），當 IoT edge 設備具有強大的功能，使它們能夠承載事務節點軟件，存儲分類賬，并通過節點網絡維護通信。物聯網事務節點物聯網事務節點在前面的圖中，每個物聯網設備都承載了分類賬，并且能夠參與包括挖掘（mining）在內的區塊鏈事務。每個設備都配置了一個私有密鑰，或者包含了內部自生成的私有密鑰來參與網絡事務。這個最終狀態模型提供了三個基本功能，可以啟動使用區塊鏈服務:自主的物聯網設備網絡，包括自主協調(如：協商一致和點對點信息)任何物聯網的設備都可以創建運行加密特性的事務分類賬簿。一個分布式數據庫，其中任何物聯網設備都有最新版本的分類賬簿。硬件的限制使得采用這個模型在當前的時間內很難

26、實現。具有如下挑戰:1、低處理:區塊鏈服務的計算需要較高的 CPU、內存和電源能力。在區塊鏈平臺上，主要的潛在硬件是挖掘（mining）POW;智能合約的執行和加密原始執行。2、小存儲:在分類帳簿中添加的事務量會增加，即使處理小的事務數據也會變得很麻煩。3、有限的連通性:一個物聯網設備可以利用低帶寬的互聯網或無線電訪問，這在下載期間的性能問題并與分類賬同步時都會引入性能問題。一些公司，如 IOTA，提出了“區塊鏈”微型傳感器的新方法，包括以下內容及解決方案:簡化挖礦（mining）處理過程，減少硬件需求。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所

27、有權利。11實現與物聯網交互相關的微事務。保持輕量級的帳簿基基于于云云計計算算的的物物聯聯網網區區塊塊鏈鏈網網絡絡在啟用云的區塊鏈網絡中，事務和挖礦（mining）節點都位于云和預置環境。根據實現的不同，節點可能是企業服務器、企業/個人電腦或智能設備?；谠频奶摂M機和物聯網設備（手機或平板電腦)，需要擁有足夠的硬件資源(CPU、RAM、存儲等)。具有有限硬件資源的物聯網設備作為區塊鏈客戶端。他們不存儲分布式賬本。這些客戶機通過 api 與上游的基于云的區塊鏈事務節點交互。api 可能是 HTTP REST 或JSON RPC。物聯網設備收集數據轉發到事務節點以進行區塊鏈服務的處理，或者通過指向

28、在云中運行的區塊鏈節點參與智能合約事務。在這種情況下，特聯網設備仍然配置了私有密匙來簽署它們的數據。然后將已簽名的數據發送到事務節點進行處理。為了安全地發送數據，特聯網設備和事務節點之間必須有一個單獨的信任協議。例如，一對一的關系可以在兩個設備(一個物聯網設備和一個事務節點)之間使用白名單和雙向身份驗證功能。還應該使用硬件安全性來安全地存儲私有（簽名）密鑰。對于許可區域(私有區塊鏈服務)，對挖礦（mining）節點的訪問可能僅限于授權的操作人員。在一個聯合區域(部分許可的區塊鏈服務)或許可區域(私人區塊鏈服務)，成員可以決定實現該體系結構模式以提高安全性或用于法規遵從性目的。比特幣的實現使用“

29、瘦客戶端”來提出這種功能，也叫簡化支付驗證(SPV)，它不存儲所有分類賬的完整副本。這些“瘦客戶機”與使用比特幣客戶端 API(BCCAPI)的節點通信?？梢栽诙鄠€特聯網設備之間交換消息。這些消息包含的數據被集成到參與交換到事務節點的特聯網設備的事務中。物聯網設備之間的通信協議和消息格式超出了區塊鏈實現的范圍:這些通信是指機器對機器的通信，如消息隊列遙測傳輸(MQTT)。一個利用互操作性能力的豐富生態系統離利用互操作能力一個利用互操作性能力的豐富生態系統離利用互操作能力區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。12圍繞區塊鏈技術開發一個生

30、態系統將是一個加速其采用的機會。這個潛在的生態系統將提供簡化物聯網集成到區塊鏈服務的功能。服務提供商，如塊密碼，提供 API 功能，簡化物聯網與區塊鏈服務客戶和服務之間的交互。API 中間層允許開發物聯網上與不同區塊鏈服務通信的特性，方法是關注服務的價值而不是區塊鏈技術的技術實現。解決方案提供商，例如信用，提供了快速構建私有區塊鏈服務的框架。這些框架在事務節點上運行每個節點都由客戶端通過 API 訪問。這些框架還提供了與其他塊鏈服務交互的功能。多個區塊鏈服務之間的共存多個區塊鏈服務之間的共存如下圖所示，另一個概念集中于多個區塊鏈服務，每個服務提供不同的特性和貨幣，它們的數量將增長。這些區塊鏈服

31、務將提出互補的功能。每個區塊鏈服務都可以與其他服務進行綁定，或者使用第三方提供的 api。Each blockchain service can run in different contexts,such as personal home network,enterpriseand the Internet.每次區塊鏈服務可以運行在不同的語境中，如個人的家庭網絡，企業和互聯網?；趨^塊鏈技術的物聯網架構模式基于區塊鏈技術的物聯網架構模式CSA 物聯網和區塊鏈/分布式分類技術工作組提出了以下系統，在多區塊鏈服務中，物聯網客戶端可以進行協作。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安

32、全。版權2018,云安全聯盟。保留所有權利。13區塊鏈服務 1 是一個專注的企業實施:事務節點是托管在云中的企業計算機或服務器。物聯網區塊鏈客戶是部署在企業地區區塊鏈服務 2 的傳感器和智能設備，是一個消費智能家居:事務節點是個人計算機和其他設備或云訂閱。物聯網區塊鏈客戶是智能設備，如冰箱、溫度傳感器和安全攝像頭。物聯網設備是區塊鏈服務的客戶端的架構，主要是由當前業界的努力所采用的實現區塊鏈技術。用于物聯網安全的區塊鏈技術的選擇用于物聯網安全的區塊鏈技術的選擇區塊鏈技術可以幫助保護物聯網設備。物聯網設備可以配置為利用公共區塊鏈服務或通過安全 API 與云中的私有區塊鏈節點通信。將區塊鏈技術納入

33、物聯網系統的安全框架中，使物聯網設備能夠安全地發現彼此，使用分布式密鑰管理技術對那些機器對機器的事務進行加密，并驗證軟件映像更新的完整性和真實性，以及策略更新?；诒緢蟾嬷性敿毭枋龅臐撛诩軜嬆Ｊ?，物聯網設備將通過 API 與區塊鏈事務節點進行通信，甚至允許受限設備參與區塊鏈服務。為了確保安全性，在將物聯網設備引導到特定的區塊鏈服務時應該注意。下面是物聯網發現的一個用例，它支持將一個物聯網設備注冊到一個事務節點中。物聯網設備必須首先配置憑據，可以用來證明授權，以便將其添加到事務節點。必須在安全的環境中進行這種憑據供應，以防范特定物聯網設備生態系統的威脅。我們對區塊鏈技術的回顧和市場計劃的發展，突

34、出了五個需要考慮的特點。使用區塊鏈技術保護物聯網時:1、物聯網發現可伸縮2、信任的溝通3、消息身份驗證/簽名(事件鏈)4、物聯網配置和更新區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。145、安全固件映像的發布和更新。1.1.物聯網發現可伸縮物聯網發現可伸縮智能城市和大型企業物聯網的部署將導致數千或數萬個必須協同工作的物聯網設備28的激活。通常，這些設備將在自主機器對機器的事務中相互協調。這些設備還必須能夠發現合法的對等點和服務進行交互。物聯網系統可以利用公共和私有的區塊鏈實現來利用可擴展的物聯網發現。例如，在比特幣內部，一組硬編碼的 DNS

35、 種子為新用戶和設備提供了引導服務。這些DNS 種子可以在物聯網設備中預先配置。物聯網設備查詢這些地址，并提供完整節點的 IP地址。然后物聯網設備將自己注冊到一個節點，并請求網絡上的其他物聯網設備列表。當供應時，物聯網設備可以開始點對點通信，同時向網絡中鄰居傳播同伴發現信息。命名 DNS 種子地址的預配置(硬編碼)降低了執行中間人攻擊的能力。物聯網設備在選擇一個節點注冊之前，從多個 DNS 種子接收信息。必須使用 DNS 安全來確保根服務器的名稱解析，并減輕 DNS 欺騙攻擊。命名 DNS 種子地址應該硬編碼到固件中;案例 5 提供了一種保護固件映像分布和更新的方法。一個私有的區塊鏈服務也可以

36、支持引導和注冊物聯網設備到網絡上。事務節點將在提供可信節點列表之前對物聯網設備進行身份驗證，物聯網設備的注冊?？梢园ㄒ韵聝热莸膽{證:在安裝過程中安裝的物聯網設備上安裝的安全憑據必須被生成，并提供一個安全的過程，這可能是區塊鏈實現的一部分。物聯網設備的所有者或安裝技術人員提供的憑據將初始化設備注冊到安全服務器，以獲得物聯網的特定憑證。在這兩種情況下，必須強制執行注冊過程，以確保只有合法的物聯網設備才能添加到區塊鏈服務中。必須對所描述的所有通信進行身份驗證和加密，以確保機密完整性。有關在區塊鏈上注冊設備標識的能力的進一步信息，請訪問受信任的物聯網聯盟，以查閱在區塊鏈中注冊身份標識而開發的區塊鏈

37、api。2、信任的溝通、信任的溝通在某些情況下，例如公共部署，物聯網設備需要使用安全通信通道來交換構建事務所需的數據，以便存儲到分類帳簿中。這個分類賬也可以用來存儲公共加密密鑰。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。15如果交換必須保密，物聯網設備(發送方)將加密消息發送到對等物聯網設備(接收方)使用接收器物聯網設備的公鑰，該設備存儲在區塊鏈服務中。為了方便這個安全的事務，物聯網發送者請求它的事務節點從物聯網接收器的公鑰到區塊鏈分類。物聯網發送者使用物聯網接收器的公鑰對消息進行加密。只有接收者可以用他們的私鑰解密消息。關鍵的協議算法，

38、如基于橢圓曲線密碼學算法(ECDH)，應該用來創建密鑰來保護諸如內容加密密鑰(CEK)和/或通信加密密鑰(TEKs)之類的事務。在這個用例中，區塊鏈服務充當分布式公共密鑰基礎結構29。公共密鑰存儲在事務中:當一個新的物聯網設備注冊到一個私有或公共的區塊鏈服務(見上一節)時，將創建一個新的事務。該事務由物聯網屬性(包括其公鑰)組成。如果物聯網設備必須更新其證書，則重新注冊。被撤銷的證書也可以作為事務添加到區塊鏈服務中。在分類帳簿中記錄的有擔保的交易記錄提供了在他們的一生中物聯網設備鍵的一致性。在區塊鏈中實現了使用多種類型的加密密鑰。用于確保區塊鏈交易的密鑰通常被稱為錢包參數。在這個用例中討論的參

39、數代表了身份密鑰，可以用來生成加密密鑰(TEKs)或內容加密密鑰(CEKs)進行通信，來保護物聯網設備點對點之間的通信。物物聯聯網網身身份份密密鑰鑰（參參數數）:用于生成密鑰材料的非對稱密鑰，可用于加密物聯網設備之間的消息內容和流量。錢包鑰匙（參數）錢包鑰匙（參數）:用于存儲在分類帳簿中的交易;可能包括物聯網身份密鑰。3、半自治機器對機器的操作、半自治機器對機器的操作物聯網技術的一個關鍵驅動力是機器能夠以半自治的方式協同工作以實現特定目標的能力。區塊鏈可以使用智能合約功能作為這些自治事務的安全助推器。智能合約可以寫下來，包括合同的規則、處罰和條件。物聯網相關設備可以配置一個API 來與智能合約

40、進行交互，從而與對等設備或服務簽訂協議。每個事務必須在執行之前滿足協定的條件，并且所有的事務都被寫入到區塊鏈。智能合約可以強制執行訪問限制，比如誰(物聯網設備)可以進入事務。每個事務都與物聯網節點的錢包參數簽名，錢包應該存儲在硬件安全容器中。在區塊鏈上的事務記錄確保了事務不能被拒絕(例如，當一個服務提供者的物聯網設備與一個消費者的物聯網設備進行交易時)。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。164 4、物聯網配置和更新控制、物聯網配置和更新控制隨著更多的物聯網設備的誕生，區塊鏈技術在可信的安全配置領域是有希望連接到云服務。以下是三種安

41、全措施以下是三種安全措施:1、分類賬簿可以托管物聯網屬性，例如最后一個版本的驗證的固件和配置細節。在引導過程中，特聯網設備要求事務節點從分類帳簿中獲取配置。通過對公共分類賬簿的內容進行分析，可以在分類賬簿中對配置進行加密，以避免物聯網的網絡拓撲的發現。2、分類賬簿可以為每個特聯網設備托管最新配置文件的哈希值。物聯網設備從云服務下載最新的可信配置文件(或設置時間)，然后利用事務節點 API 來檢索和匹配存儲在區塊鏈上的哈希值。這允許管理員定期刷錯誤的配置，并在其網絡中重新啟動物聯網設備，并加載新的配置。3、上述第 2 條所討論的過程可以應用于物聯網設備的固件映像，盡管這可能，在物聯網設備上需要額

42、外的帶寬容量。5 5、安全固件映像的發布和更新、安全固件映像的發布和更新類似于支持從云服務提供商下載可信配置，區塊鏈技術也可以支持物聯網設備的可信存 檔（固件）的過程。物聯網設備開發人員也可以實現他們自己的區塊鏈或使用公共區塊鏈。開發人員可以將最新已知的可信映像的哈希用于其設備家族，并將這些哈希加載到區塊鏈中。該方法通過三種方式支持增強物聯網設備的安全性:1、物聯網設備可以通過 API 進行配置，在重復的基礎上下載新的固件映像。因為大多數物聯網設備不需要內存中保存或存儲數據，所以它們可以在需要時被覆蓋。例如，可以通過在供應商的區塊鏈上驗證映像哈希來啟用每日或每周的映像更新過程。2、物聯網設備可

43、以使用基于塊的映像更新過程來驗證供應商提供的所有更新。3、物聯網設備可以使用上面的方法 1 或2 來驗證所有更新，此外還需要設備所有者批準固件的更新(使用安全的方法)物聯網企業應加強在總賬中固件的數字答名，提高當前標準軟件簽名的方法,而不是在應用更新之前將其發布在其網站上，物聯網設備從分類賬簿中獲得新固件的數字簽名，然后使用維護公鑰驗證它。此維護公鑰可以在 fabric 和硬件級別進行融合（無更改/更新功能）警警告告:必須確保制造商維護私鑰，以避免損害所有固件。獲取私鑰的攻擊者可以使用看似“有效”的數字簽名來提供可用的惡意固件。在所有設備上改變制造商的公鑰的過程需要付出巨大的努力?；诠碳?/p>

44、譽的更新于固件信譽的更新(事物鏈事物鏈)：分類帳簿的事務歷史交易能力可以聚合新固件的符號，避免被安裝惡意軟件和后門固件，為社區專家提高固件安全固件的信任力.當固件信譽在分類帳簿中達到特定的選票級別的分類賬簿，物聯網設備的所有者/管理員還應該配置物聯網的自動更新。這種在區塊鏈服務中對物聯網設備的“接受”可能基于設備在分類帳簿中的固件信譽，這將產生以下好處：1、避免使用與區塊鏈服務相連接脆弱的設備。2、在物聯網設備上執行安全更新流程。3、在區塊鏈服務中定義最低要求的安全要求。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。17物聯網的區塊鏈安全服務

45、總結物聯網的區塊鏈安全服務總結結論結論實施物聯網解決方案的組織，繼續面臨著識別安全技術和方法的挑戰，確定能夠減輕對物聯網（IoTs）的獨特威脅。區塊鏈技術有望在應對這些挑戰中發揮重要作用。利基（Niche）安全廠商將開始提供這些服務，可以立即利用區塊鏈實現提供的完整性和真實性服務。在本文中，我們強調了在使用區塊鏈技術保護連接設備時需要考慮的特性。然而，由于物聯網的硬件限制，我們得出結論：在幾十萬或更多的物聯網設備的背景下，這些設備中有許多不能作為事務節點(生成事務、提供協商一致性等)，因此不屬于安全區塊鏈。許多設備將受益于安全性。許多設備將受益于區塊鏈服務提供的安全性和其他功能，這些服務通過網

46、絡的上游事務節點或專門的中間商提供。這些上游功能可用于保護物聯網設備(配置和更新控制、安全固件更新)和通信(物聯網發現、可信通信、消息認證/簽名)。我們希望這個文件能夠鼓勵商業領袖和開發人員擁抱區塊鏈這個機會，來擴展這項技術的能力以確保物聯網的安全。區塊鏈/分布式賬本技術工作組|用區塊鏈技術保障物聯網安全。版權2018,云安全聯盟。保留所有權利。18參考文獻參考文獻1 IDCF utureScapehttps:/ Venture Capital https:/ https:/en.bitcoin.it/wiki/Block_chain4Leslie Lamport,Robert Shostak

47、,and Marshall Pease.The Byzantine generals problem.ACMTrans.Program.Lang.Syst.,4:382401,July 1982.http:/citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.126.9525&rep=rep1&type=pdf5Miguel Castro and Barbara Liskov.Practical Byzantine fault tolerance and proactiverecovery.ACM Trans.Comput.Syst.,20(4)

48、:398461,November 2002.http:/citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.84.6725&rep=rep1&type=pdf6 Nakamoto,Satoshi.“Bitcoin:A peer-to-peer electronic cash system.”(2008):28.https:/bitcoin.org/bitcoin.pdf7Vasin,Pavel.“Blackcoins proof-of-stake protocol v2.”(2014)https:/blackcoin.co/blackcoin-p

49、os-protocol-v2-whitepaper.pdf8What is IOTA?https:/iota.readme.io/v1.1.0/docs9Trustless exchange and pegging of BTC in Ethereumhttps:/ http:/www.rsk.co/11On Public and Private Blockchainshttps:/blog.ethereum.org/2015/08/07/on-public-and-private-blockchains/12Bitcoin https:/bitcoin.org/13The Quest for

50、 Scalable Blockchain Fabric:Proof-of-Work vs.BFT Replicationhttp:/ https:/www.ethereum.org/15BTC Relay http:/btcrelay.org/16Ethereum Blockchain as a Service now on Azurehttps:/ https:/www.hyperledger.org/18IBM Blockchain on Bluemix https:/ R3 https:/ Core https:/ Client Security https:/en.bitcoin.it

51、/wiki/Thin_Client_Security22BCCAPI(Bitcoin Client API)https:/en.bitcoin.it/wiki/BCCAPI23Machine-to-Machine https:/en.wikipedia.org/wiki/Machine_to_machine24Blockcypher https:/ http:/credits.vision/26Drivechains sidechains and hybrid 2-way peg designshttp:/www.the- of Things http:/ Says 8.4 Billion Connected“Things”Will Be in Use in 2017,Up 31Percent From 2016 http:/ Public Key Infrastructurehttp:/www.weboftrust.info/downloads/dpki.pdf30Cryptocurrency Statistics https:/