2022區(qū)塊鏈技術保障物聯(lián)網(wǎng)安全

區(qū)塊鏈技術保障物聯(lián)網(wǎng)安全2目錄關于CSA 2致謝 4序言 5簡介 6區(qū)塊鏈概述 7事務傳播和區(qū)塊鏈建設 9智能合約 9鏈下存儲解決方案 10部署選項 10基于區(qū)塊鏈的物聯(lián)網(wǎng)架構 11通信模型 11一個利用互操作性能力的豐富生態(tài)系統(tǒng) 13多個區(qū)塊鏈服務之間的共存 13基于區(qū)塊鏈技術的物聯(lián)網(wǎng)架構模式 14用于物聯(lián)網(wǎng)安全的區(qū)塊鏈技術的選擇 14物聯(lián)網(wǎng)區(qū)塊鏈的安全服務總結 18結論 18參考文獻 19區(qū)塊鏈/分布式賬本技術工作組|用區(qū)塊鏈技術保障物聯(lián)網(wǎng)安全。 3區(qū)塊鏈/區(qū)塊鏈/分布式賬本技術工作組|用區(qū)塊鏈技術保障物聯(lián)網(wǎng)安全。PAGE6簡介在過去的四年中，技術專家、首席數(shù)字官、營銷經(jīng)理、記者、博客作者和研究機構討論 司IDCFutureScape預測，到2020年，全球20%的貿(mào)易融資將納入?yún)^(qū)塊鏈。1、Coindesk報告說，過去幾年，風險投資在區(qū)塊鏈的創(chuàng)業(yè)公司投資超過18億美元。2區(qū)塊鏈是一種公共的和分布式的交易分類賬簿，它能夠承諾：提高數(shù)字資產(chǎn)所有權轉讓的速度、效率和安全性。消除中央主管（權利）機構認證所有權和清算交易的需要。通過提供透明和公開的審計的分類賬目來減少欺詐和腐敗。使用可根據(jù)特定條件自動激活、保護和驗證可信操作(“智能合約”)的協(xié)議降低管理 成本。與采用區(qū)塊鏈相關的一個關鍵挑戰(zhàn)是需要確定相關的用例，這些用例將從區(qū)塊鏈技術的(IoT（脆弱性和挑戰(zhàn)聯(lián)系在一起，專家和組織IOTA物聯(lián)網(wǎng)本身正在改變消費者的行為和業(yè)務流程。分布式邊緣物聯(lián)網(wǎng)設備采集和傳輸數(shù)據(jù)。 過讀。2014(IoTWG)一直致力于物聯(lián)網(wǎng)安全的最佳實踐的CSA/分布式分類賬技術工作組合作研究并記錄了區(qū)塊鏈可以開始幫助確保物聯(lián)網(wǎng)系統(tǒng)安全的一些方法。因此，本文討論了兩種不同成熟度級別的技術：區(qū)塊鏈：通過支持快速發(fā)展的加密貨幣如比特幣、以太坊、萊特幣和達世幣，推動了2017物聯(lián)網(wǎng)：一套快速成熟的技術，支持業(yè)務和任務流程的轉換。物聯(lián)網(wǎng)在消費者、交通運輸、能源、醫(yī)療、制造業(yè)、零售和金融等行業(yè)已經(jīng)達到了不同程度的成熟度。物聯(lián)網(wǎng)是物理設備之間的互聯(lián)互通。作為連接的車輛、智能建筑、工業(yè)控制系統(tǒng)、無人機和機器人系統(tǒng)以及其他嵌入電子、軟件、傳感器、執(zhí)行器和網(wǎng)絡連接的物品，這些東西能夠使這些物體交換數(shù)據(jù)。本文描述了區(qū)塊鏈技術的頂層概述，并描繪了一套架構模式，這些模型使區(qū)塊鏈能夠作為一種技術來保護物聯(lián)網(wǎng)的能力。此外，本文還探討了用于物聯(lián)網(wǎng)安全的具體用例示例，盡管這些用例的技術實現(xiàn)將因公司而異.區(qū)塊鏈概述區(qū)塊鏈服務包括三個主要組件:自治節(jié)點網(wǎng)絡獨節(jié)點動生成將合的事注冊分布賬本中。于驗事務，不要中主 管（權利機或可的第方。區(qū)鏈服的所節(jié)點(也為區(qū)鏈平)協(xié)以保分 。每個節(jié)點都運行一個被稱為協(xié)商一致的程序機制。協(xié)商一致意見是節(jié)點在一組事務中如何更新區(qū)塊鏈的過程。達成共識確保網(wǎng)絡中的大多數(shù)節(jié)點都驗證了相同的事務集。分布式協(xié)商一致的目標是保持系統(tǒng)中足夠多數(shù)的分類賬本是正確和最新的(在一個粗略 時間尺度上)。協(xié)商一致機制防止惡意的同行通過(a)追溯修改交易來破壞賬簿的完整性;(b)執(zhí)行語義未經(jīng)許可的交易(例如:“雙支出”和在加密貨幣設置中轉讓非自有資產(chǎn));或(c)阻止對正確事務請求的接受和預訂。在開發(fā)區(qū)塊鏈服務防范特定攻擊時所選擇協(xié)商一致的方法，這些攻擊緩解措施并不完全是5151%的采礦哈希計算力，將有可能使攻擊者花費雙倍花費的硬幣或改51%的哈希率和傳播惡意交易將迅速破壞對加密貨幣的信心，并顯著降低惡（mining）過程中為自己創(chuàng)造收益。開， 括在。三種在區(qū)塊鏈中的主要共識的機制:拜占庭容錯（BFT）：拜占庭式容錯(BFT)算法的設計是為了避免攻擊和軟件錯誤引起的BFT[4]在參與的情況下提供了一致意見：惡意BFTPBFT的區(qū)塊鏈實現(xiàn)的例子是Linux基金會Hyperledgerfabric(0.6)和瑞波幣.由比特幣和以太坊(Ethereum)使用的“工作量證明”(POW)是一種廣為人知的建立共識的機制：在工作量證明（POW）一個單獨的節(jié)點可以向其他節(jié)點提供其結論，該節(jié)點可以由的成本特別高。計算資源消耗。被權益證明(POS)與POW節(jié)點在生成塊時獲得獎勵。然而，只有幾個節(jié)點可以參與POSPoS（PeerCoin）。交易分類帳分類賬的核心是哈希加密，這是一種數(shù)學算法，它將可變大小的數(shù)據(jù)映射到一個固定大小的字符串。所有的交易——A,B,C,D-都是散列-H(A)，H(B)，H(C)，H(D)-然后匯總成連續(xù)的哈希-H(hA|hB)，H(hC|hD)-構成一棵Merkle樹。頂部散列，或Merkle樹根，是集成塊頭部。MerkletreeconnectingblocktransactionstoblockheaderMerkleroot分布式數(shù)據(jù)庫特定的加密貨幣的區(qū)塊鏈容量將驅動特聯(lián)網(wǎng)和其他主機的存儲容量需求。下表為流行的加密貨幣在2017年8月14日提供區(qū)塊鏈容積。加密貨幣區(qū)塊鏈容積（截止于8/14/17比特幣151.74GB以太幣98.94GB以太坊經(jīng)典20.12GB萊特幣8.62GB達世幣達世幣3.69GB事務傳播和區(qū)塊鏈建設1、將新事務廣播到所有節(jié)點。2、每個節(jié)點將新事務收集到塊中。3、每個節(jié)點工作在塊的一致性算法上（一般來說，這個任務在節(jié)點處理和耗電方面是昂貴的）。4、當節(jié)點完成協(xié)商一致性算法處理時，它將該塊和處理結果廣播給所有節(jié)點，然后接收該工作的補償。（在比特幣的情況下，補償是由比特幣礦工處理和接收的交易費用。）5、節(jié)點僅在其所有事務有效時才接受該塊。6、通過使用已接受塊的散列作為前一個散列，通過在鏈中創(chuàng)建下一個塊來表示對塊的接受。這種技術并不新鮮：它涉及數(shù)字簽名、密碼哈希算法、對等連接、分布式數(shù)據(jù)庫等等。 速。智能合約。 些或之。使用智能合約的物聯(lián)網(wǎng)系統(tǒng)的實現(xiàn)者必須考慮潛在的誤用案例，并安裝規(guī)則在合約中。 例（保留資金再（即一筆約交完成前，同可再次行驗證送關。https://consensys.github.io/smart-contract-best-practices/。鏈下存儲解決方案負責實施區(qū)塊鏈技術的解決方案開發(fā)人員應該認識到，沒有與使用公共區(qū)塊鏈網(wǎng)絡相關的機密性保護。即使是私有/許可的網(wǎng)絡也缺乏足夠的保密工具來支持在鏈上存儲敏感數(shù)據(jù)。區(qū)塊鏈/區(qū)塊鏈/分布式賬本技術工作組|用區(qū)塊鏈技術保障物聯(lián)網(wǎng)安全。1， 塊行。部署選項區(qū)塊鏈可以在三個區(qū)域內(nèi)部署:未經(jīng)許可的區(qū)域(public):每個節(jié)點都可以讀取和發(fā)送事務，也可以參與協(xié)商一致的過聯(lián)盟區(qū)域(例如部分許可):定義節(jié)點可以參與協(xié)商一致過程。讀取和發(fā)送交易可能是公開Hyperledger許可區(qū)域(private):受信任的組織可以將事務寫入?yún)^(qū)塊鏈，而協(xié)商一致機制則無關緊要。這種部署對受監(jiān)管的行業(yè)或屬于同一法律實體的組織最有效。例如由項目R3比特幣和以太坊是不受許可的區(qū)塊鏈實現(xiàn)，它們在支持分布式應用程序(DAP)方面獲得SolidityBTC多個區(qū)塊鏈實現(xiàn)是可能的，并且每一個都提出了不同用法基于區(qū)塊鏈技術的物聯(lián)網(wǎng)架構義 :區(qū)塊鏈/區(qū)塊鏈/分布式賬本技術工作組|用區(qū)塊鏈技術保障物聯(lián)網(wǎng)安全。PAGE10通信模型通信模型描述了直接在物聯(lián)網(wǎng)節(jié)點上安裝區(qū)塊鏈軟件，或者將應用程序編程接口(api)安裝到物聯(lián)網(wǎng)（IoT）節(jié)點上。下圖展示了一個通用的、接受的模型，結合了區(qū)塊鏈技術和物聯(lián)網(wǎng)IoTedge物聯(lián)網(wǎng)事務節(jié)點在前面的圖中，每個物聯(lián)網(wǎng)設備都承載了分類賬，并且能夠參與包括挖掘（mining）在內(nèi)的區(qū)塊鏈事務。每個設備都配置了一個私有密鑰，或者包含了內(nèi)部自生成的私有密鑰來參與網(wǎng)絡事務。這個最終狀態(tài)模型提供了三個基本功能，可以啟動使用區(qū)塊鏈服務:自主的物聯(lián)網(wǎng)設備網(wǎng)絡，包括自主協(xié)調(diào)(如：協(xié)商一致和點對點信息)任何物聯(lián)網(wǎng)的設備都可以創(chuàng)建運行加密特性的事務分類賬簿。一個分布式數(shù)據(jù)庫，其中任何物聯(lián)網(wǎng)設備都有最新版本的分類賬簿。硬件的限制使得采用這個模型在當前的時間內(nèi)很難實現(xiàn)。具有如下挑戰(zhàn):1CPU2、小存儲:在分類帳簿中添加的事務量會增加，即使處理小的事務數(shù)據(jù)也會變得很麻煩。3一些公司，如IOTA，提出了“區(qū)塊鏈”微型傳感器的新方法，包括以下內(nèi)容及解決方案:簡化挖礦（mining）處理過程，減少硬件需求。實現(xiàn)與物聯(lián)網(wǎng)交互相關的微事務。保持輕量級的帳簿基于云計算的物聯(lián)網(wǎng)區(qū)塊鏈網(wǎng)絡在啟用云的區(qū)塊鏈網(wǎng)絡中，事務和挖礦（mining）節(jié)點都位于云和預置環(huán)境。根據(jù)實現(xiàn) 不同，節(jié)點可能是企業(yè)服務器、企業(yè)/個人電腦或智能設備。基于云的虛擬機和物聯(lián)網(wǎng)設備（手機或平板電腦)，需要擁有足夠的硬件資源(CPU、RAM、存儲等)。具有有限硬件資源的物聯(lián)網(wǎng)設備作為區(qū)塊鏈客戶端。他們不存儲分布式賬本。這些客戶機通過api與上游的基于云的區(qū)塊鏈事務節(jié)點交互。api可能是HTTPREST或JSONRPC。（簽名）密鑰。對于許可區(qū)域(私有區(qū)塊鏈服務)，對挖礦（mining）節(jié)點的訪問可能僅限于授權的操作比特幣的實現(xiàn)使用“瘦客戶端”來提出這種功能，也叫簡化支付驗證(SPV)，它不存儲API(BCCAPI)的節(jié)點通信。一個利用互操作性能力的豐富生態(tài)系統(tǒng)離利用互操作能力圍繞區(qū)塊鏈技術開發(fā)一個生態(tài)系統(tǒng)將是一個加速其采用的機會。這個潛在的生態(tài)系統(tǒng)將提供簡化物聯(lián)網(wǎng)集成到區(qū)塊鏈服務的功能。APIAPIAPI多個區(qū)塊鏈服務之間的共存api。Eachblockchainservicecanrunindifferentcontexts,suchaspersonalhomenetwork,enterpriseandtheInternet.每次區(qū)塊鏈服務可以運行在不同的語境中，如個人的家庭網(wǎng)絡，企業(yè)和互聯(lián)網(wǎng)。基于區(qū)塊鏈技術的物聯(lián)網(wǎng)架構模式CSA物聯(lián)網(wǎng)和區(qū)塊鏈/分布式分類技術工作組提出了以下系統(tǒng)，在多區(qū)塊鏈服務中，物聯(lián)網(wǎng)客戶端可以進行協(xié)作。區(qū)塊鏈服務1是一個專注的企業(yè)實施:事務節(jié)點是托管在云中的企業(yè)計算機或服務器。2事務節(jié)點是個人計算機和其他設備或云訂閱。物聯(lián)網(wǎng)區(qū)塊鏈客戶是智能設備，如冰箱、溫度傳感器和安全攝像頭。用于物聯(lián)網(wǎng)安全的區(qū)塊鏈技術的選擇APIAPI1、物聯(lián)網(wǎng)發(fā)現(xiàn)可伸縮2、信任的溝通3、消息身份驗證/簽名(事件鏈)4、物聯(lián)網(wǎng)配置和更新5、安全固件映像的發(fā)布和更新。1.物聯(lián)網(wǎng)發(fā)現(xiàn)可伸縮智能城市和大型企業(yè)物聯(lián)網(wǎng)的部署將導致數(shù)千或數(shù)萬個必須協(xié)同工作的物聯(lián)網(wǎng)設備[28] 法網(wǎng)。例如，在比特幣內(nèi)部，一組硬編碼的DNS種子為新用戶和設備提供了引導服務。這些DNS的IP地供 ，。DNSDNSDNS安全來確保根服務器的名稱解DNSDNS5可以包括以下內(nèi)容的憑證:聯(lián)，， 。物聯(lián)網(wǎng)設備的所有者或安裝技術人員提供的憑據(jù)將初始化設備注冊到安全服務器，以獲得物聯(lián)網(wǎng)的特定憑證。備，，閱 鏈api。2、信任的溝通如果交換必須保密，物聯(lián)網(wǎng)設備(發(fā)送方)將加密消息發(fā)送到對等物聯(lián)網(wǎng)設備(接收方) 用接收器物聯(lián)網(wǎng)設備的公鑰，該設備存儲在區(qū)塊鏈服務中。只有接收者可以用他們的私鑰解密消息。關鍵的協(xié)議算法，如基于橢圓曲線密碼學算法(ECDHCEK)和/或通信加密密鑰(TEKs)之類的事務。29在區(qū)塊鏈中實現(xiàn)了使用多種類型的加密密鑰。用于確保區(qū)塊鏈交易的密鑰通常被稱為錢包參數(shù)。在這個用例中討論的參數(shù)代表了身份密鑰，可以用來生成加密密鑰(TEKs)或內(nèi)容加密密鑰(CEKs)進行通信，來保護物聯(lián)網(wǎng)設備點對點之間的通信。物聯(lián)網(wǎng)身份密鑰（參數(shù)）:用于生成密鑰材料的非對稱密鑰，可用于加密物聯(lián)網(wǎng)設備之間的消息內(nèi)容和流量。錢包鑰匙（參數(shù)）:用于存儲在分類帳簿中的交易;可能包括物聯(lián)網(wǎng)身份密鑰。3、半自治機器對機器的操作物聯(lián)網(wǎng)技術的一個關鍵驅動力是機器能夠以半自治的方式協(xié)同工作以實現(xiàn)特定目標的能力。區(qū)塊鏈可以使用智能合約功能作為這些自治事務的安全助推器。智能合約可以寫下來，包括合同的規(guī)則、處罰和條件。物聯(lián)網(wǎng)相關設備可以配置一個API4、物聯(lián)網(wǎng)配置和更新控制隨著更多的物聯(lián)網(wǎng)設備的誕生，區(qū)塊鏈技術在可信的安全配置領域是有希望連接到云服務。以下是三種安全措施:1、分類賬簿可以托管物聯(lián)網(wǎng)屬性，例如最后一個版本的驗證的固件和配置細節(jié)。在引2、分類賬簿可以為每個特聯(lián)網(wǎng)設備托管最新配置文件的哈希值。物聯(lián)網(wǎng)設備從云服務下載最新的可信配置文件(或設置時間)，然后利用事務節(jié)點API來檢索和匹配存儲在區(qū)塊鏈325、安全固件映像的發(fā)布和更新類似于支持從云服務提供商下載可信配置，區(qū)塊鏈技術也可以支持物聯(lián)網(wǎng)設備的可信存檔發(fā)。 :1API2、物聯(lián)網(wǎng)設備可以使用基于塊的映像更新過程來驗證供應商提供的所有更新。312fabric（無更改/更新功能）警告:必須確保制造商維護私鑰，以避免損害所有固件。獲取私鑰的攻擊者可以使用看似“有效”的數(shù)