2022區(qū)塊鏈技術(shù)保障物聯(lián)網(wǎng)安全

區(qū)塊鏈技術(shù)保障物聯(lián)網(wǎng)安全2目錄關(guān)于CSA 2致謝 4序言 5簡(jiǎn)介 6區(qū)塊鏈概述 7事務(wù)傳播和區(qū)塊鏈建設(shè) 9智能合約 9鏈下存儲(chǔ)解決方案 10部署選項(xiàng) 10基于區(qū)塊鏈的物聯(lián)網(wǎng)架構(gòu) 11通信模型 11一個(gè)利用互操作性能力的豐富生態(tài)系統(tǒng) 13多個(gè)區(qū)塊鏈服務(wù)之間的共存 13基于區(qū)塊鏈技術(shù)的物聯(lián)網(wǎng)架構(gòu)模式 14用于物聯(lián)網(wǎng)安全的區(qū)塊鏈技術(shù)的選擇 14物聯(lián)網(wǎng)區(qū)塊鏈的安全服務(wù)總結(jié) 18結(jié)論 18參考文獻(xiàn) 19區(qū)塊鏈/分布式賬本技術(shù)工作組|用區(qū)塊鏈技術(shù)保障物聯(lián)網(wǎng)安全。 3區(qū)塊鏈/區(qū)塊鏈/分布式賬本技術(shù)工作組|用區(qū)塊鏈技術(shù)保障物聯(lián)網(wǎng)安全。PAGE6簡(jiǎn)介在過(guò)去的四年中，技術(shù)專家、首席數(shù)字官、營(yíng)銷經(jīng)理、記者、博客作者和研究機(jī)構(gòu)討論 司IDCFutureScape預(yù)測(cè)，到2020年，全球20%的貿(mào)易融資將納入?yún)^(qū)塊鏈。1、Coindesk報(bào)告說(shuō)，過(guò)去幾年，風(fēng)險(xiǎn)投資在區(qū)塊鏈的創(chuàng)業(yè)公司投資超過(guò)18億美元。2區(qū)塊鏈?zhǔn)且环N公共的和分布式的交易分類賬簿，它能夠承諾：提高數(shù)字資產(chǎn)所有權(quán)轉(zhuǎn)讓的速度、效率和安全性。消除中央主管（權(quán)利）機(jī)構(gòu)認(rèn)證所有權(quán)和清算交易的需要。通過(guò)提供透明和公開(kāi)的審計(jì)的分類賬目來(lái)減少欺詐和腐敗。使用可根據(jù)特定條件自動(dòng)激活、保護(hù)和驗(yàn)證可信操作(“智能合約”)的協(xié)議降低管理 成本。與采用區(qū)塊鏈相關(guān)的一個(gè)關(guān)鍵挑戰(zhàn)是需要確定相關(guān)的用例，這些用例將從區(qū)塊鏈技術(shù)的(IoT（脆弱性和挑戰(zhàn)聯(lián)系在一起，專家和組織IOTA物聯(lián)網(wǎng)本身正在改變消費(fèi)者的行為和業(yè)務(wù)流程。分布式邊緣物聯(lián)網(wǎng)設(shè)備采集和傳輸數(shù)據(jù)。 過(guò)讀。2014(IoTWG)一直致力于物聯(lián)網(wǎng)安全的最佳實(shí)踐的CSA/分布式分類賬技術(shù)工作組合作研究并記錄了區(qū)塊鏈可以開(kāi)始幫助確保物聯(lián)網(wǎng)系統(tǒng)安全的一些方法。因此，本文討論了兩種不同成熟度級(jí)別的技術(shù)：區(qū)塊鏈：通過(guò)支持快速發(fā)展的加密貨幣如比特幣、以太坊、萊特幣和達(dá)世幣，推動(dòng)了2017物聯(lián)網(wǎng)：一套快速成熟的技術(shù)，支持業(yè)務(wù)和任務(wù)流程的轉(zhuǎn)換。物聯(lián)網(wǎng)在消費(fèi)者、交通運(yùn)輸、能源、醫(yī)療、制造業(yè)、零售和金融等行業(yè)已經(jīng)達(dá)到了不同程度的成熟度。物聯(lián)網(wǎng)是物理設(shè)備之間的互聯(lián)互通。作為連接的車輛、智能建筑、工業(yè)控制系統(tǒng)、無(wú)人機(jī)和機(jī)器人系統(tǒng)以及其他嵌入電子、軟件、傳感器、執(zhí)行器和網(wǎng)絡(luò)連接的物品，這些東西能夠使這些物體交換數(shù)據(jù)。本文描述了區(qū)塊鏈技術(shù)的頂層概述，并描繪了一套架構(gòu)模式，這些模型使區(qū)塊鏈能夠作為一種技術(shù)來(lái)保護(hù)物聯(lián)網(wǎng)的能力。此外，本文還探討了用于物聯(lián)網(wǎng)安全的具體用例示例，盡管這些用例的技術(shù)實(shí)現(xiàn)將因公司而異.區(qū)塊鏈概述區(qū)塊鏈服務(wù)包括三個(gè)主要組件:自治節(jié)點(diǎn)網(wǎng)絡(luò)獨(dú)節(jié)點(diǎn)動(dòng)生成將合的事注冊(cè)分布賬本中。于驗(yàn)事務(wù)，不要中主 管（權(quán)利機(jī)或可的第方。區(qū)鏈服的所節(jié)點(diǎn)(也為區(qū)鏈平)協(xié)以保分 。每個(gè)節(jié)點(diǎn)都運(yùn)行一個(gè)被稱為協(xié)商一致的程序機(jī)制。協(xié)商一致意見(jiàn)是節(jié)點(diǎn)在一組事務(wù)中如何更新區(qū)塊鏈的過(guò)程。達(dá)成共識(shí)確保網(wǎng)絡(luò)中的大多數(shù)節(jié)點(diǎn)都驗(yàn)證了相同的事務(wù)集。分布式協(xié)商一致的目標(biāo)是保持系統(tǒng)中足夠多數(shù)的分類賬本是正確和最新的(在一個(gè)粗略 時(shí)間尺度上)。協(xié)商一致機(jī)制防止惡意的同行通過(guò)(a)追溯修改交易來(lái)破壞賬簿的完整性;(b)執(zhí)行語(yǔ)義未經(jīng)許可的交易(例如:“雙支出”和在加密貨幣設(shè)置中轉(zhuǎn)讓非自有資產(chǎn));或(c)阻止對(duì)正確事務(wù)請(qǐng)求的接受和預(yù)訂。在開(kāi)發(fā)區(qū)塊鏈服務(wù)防范特定攻擊時(shí)所選擇協(xié)商一致的方法，這些攻擊緩解措施并不完全是5151%的采礦哈希計(jì)算力，將有可能使攻擊者花費(fèi)雙倍花費(fèi)的硬幣或改51%的哈希率和傳播惡意交易將迅速破壞對(duì)加密貨幣的信心，并顯著降低惡（mining）過(guò)程中為自己創(chuàng)造收益。開(kāi)， 括在。三種在區(qū)塊鏈中的主要共識(shí)的機(jī)制:拜占庭容錯(cuò)（BFT）：拜占庭式容錯(cuò)(BFT)算法的設(shè)計(jì)是為了避免攻擊和軟件錯(cuò)誤引起的BFT[4]在參與的情況下提供了一致意見(jiàn)：惡意BFTPBFT的區(qū)塊鏈實(shí)現(xiàn)的例子是Linux基金會(huì)Hyperledgerfabric(0.6)和瑞波幣.由比特幣和以太坊(Ethereum)使用的“工作量證明”(POW)是一種廣為人知的建立共識(shí)的機(jī)制：在工作量證明（POW）一個(gè)單獨(dú)的節(jié)點(diǎn)可以向其他節(jié)點(diǎn)提供其結(jié)論，該節(jié)點(diǎn)可以由的成本特別高。計(jì)算資源消耗。被權(quán)益證明(POS)與POW節(jié)點(diǎn)在生成塊時(shí)獲得獎(jiǎng)勵(lì)。然而，只有幾個(gè)節(jié)點(diǎn)可以參與POSPoS（PeerCoin）。交易分類帳分類賬的核心是哈希加密，這是一種數(shù)學(xué)算法，它將可變大小的數(shù)據(jù)映射到一個(gè)固定大小的字符串。所有的交易——A,B,C,D-都是散列-H(A)，H(B)，H(C)，H(D)-然后匯總成連續(xù)的哈希-H(hA|hB)，H(hC|hD)-構(gòu)成一棵Merkle樹(shù)。頂部散列，或Merkle樹(shù)根，是集成塊頭部。MerkletreeconnectingblocktransactionstoblockheaderMerkleroot分布式數(shù)據(jù)庫(kù)特定的加密貨幣的區(qū)塊鏈容量將驅(qū)動(dòng)特聯(lián)網(wǎng)和其他主機(jī)的存儲(chǔ)容量需求。下表為流行的加密貨幣在2017年8月14日提供區(qū)塊鏈容積。加密貨幣區(qū)塊鏈容積（截止于8/14/17比特幣151.74GB以太幣98.94GB以太坊經(jīng)典20.12GB萊特幣8.62GB達(dá)世幣達(dá)世幣3.69GB事務(wù)傳播和區(qū)塊鏈建設(shè)1、將新事務(wù)廣播到所有節(jié)點(diǎn)。2、每個(gè)節(jié)點(diǎn)將新事務(wù)收集到塊中。3、每個(gè)節(jié)點(diǎn)工作在塊的一致性算法上（一般來(lái)說(shuō)，這個(gè)任務(wù)在節(jié)點(diǎn)處理和耗電方面是昂貴的）。4、當(dāng)節(jié)點(diǎn)完成協(xié)商一致性算法處理時(shí)，它將該塊和處理結(jié)果廣播給所有節(jié)點(diǎn)，然后接收該工作的補(bǔ)償。（在比特幣的情況下，補(bǔ)償是由比特幣礦工處理和接收的交易費(fèi)用。）5、節(jié)點(diǎn)僅在其所有事務(wù)有效時(shí)才接受該塊。6、通過(guò)使用已接受塊的散列作為前一個(gè)散列，通過(guò)在鏈中創(chuàng)建下一個(gè)塊來(lái)表示對(duì)塊的接受。這種技術(shù)并不新鮮：它涉及數(shù)字簽名、密碼哈希算法、對(duì)等連接、分布式數(shù)據(jù)庫(kù)等等。 速。智能合約。 些或之。使用智能合約的物聯(lián)網(wǎng)系統(tǒng)的實(shí)現(xiàn)者必須考慮潛在的誤用案例，并安裝規(guī)則在合約中。 例（保留資金再（即一筆約交完成前，同可再次行驗(yàn)證送關(guān)。https://consensys.github.io/smart-contract-best-practices/。鏈下存儲(chǔ)解決方案負(fù)責(zé)實(shí)施區(qū)塊鏈技術(shù)的解決方案開(kāi)發(fā)人員應(yīng)該認(rèn)識(shí)到，沒(méi)有與使用公共區(qū)塊鏈網(wǎng)絡(luò)相關(guān)的機(jī)密性保護(hù)。即使是私有/許可的網(wǎng)絡(luò)也缺乏足夠的保密工具來(lái)支持在鏈上存儲(chǔ)敏感數(shù)據(jù)。區(qū)塊鏈/區(qū)塊鏈/分布式賬本技術(shù)工作組|用區(qū)塊鏈技術(shù)保障物聯(lián)網(wǎng)安全。1， 塊行。部署選項(xiàng)區(qū)塊鏈可以在三個(gè)區(qū)域內(nèi)部署:未經(jīng)許可的區(qū)域(public):每個(gè)節(jié)點(diǎn)都可以讀取和發(fā)送事務(wù)，也可以參與協(xié)商一致的過(guò)聯(lián)盟區(qū)域(例如部分許可):定義節(jié)點(diǎn)可以參與協(xié)商一致過(guò)程。讀取和發(fā)送交易可能是公開(kāi)Hyperledger許可區(qū)域(private):受信任的組織可以將事務(wù)寫入?yún)^(qū)塊鏈，而協(xié)商一致機(jī)制則無(wú)關(guān)緊要。這種部署對(duì)受監(jiān)管的行業(yè)或?qū)儆谕环蓪?shí)體的組織最有效。例如由項(xiàng)目R3比特幣和以太坊是不受許可的區(qū)塊鏈實(shí)現(xiàn)，它們?cè)谥С址植际綉?yīng)用程序(DAP)方面獲得SolidityBTC多個(gè)區(qū)塊鏈實(shí)現(xiàn)是可能的，并且每一個(gè)都提出了不同用法基于區(qū)塊鏈技術(shù)的物聯(lián)網(wǎng)架構(gòu)義 :區(qū)塊鏈/區(qū)塊鏈/分布式賬本技術(shù)工作組|用區(qū)塊鏈技術(shù)保障物聯(lián)網(wǎng)安全。PAGE10通信模型通信模型描述了直接在物聯(lián)網(wǎng)節(jié)點(diǎn)上安裝區(qū)塊鏈軟件，或者將應(yīng)用程序編程接口(api)安裝到物聯(lián)網(wǎng)（IoT）節(jié)點(diǎn)上。下圖展示了一個(gè)通用的、接受的模型，結(jié)合了區(qū)塊鏈技術(shù)和物聯(lián)網(wǎng)IoTedge物聯(lián)網(wǎng)事務(wù)節(jié)點(diǎn)在前面的圖中，每個(gè)物聯(lián)網(wǎng)設(shè)備都承載了分類賬，并且能夠參與包括挖掘（mining）在內(nèi)的區(qū)塊鏈?zhǔn)聞?wù)。每個(gè)設(shè)備都配置了一個(gè)私有密鑰，或者包含了內(nèi)部自生成的私有密鑰來(lái)參與網(wǎng)絡(luò)事務(wù)。這個(gè)最終狀態(tài)模型提供了三個(gè)基本功能，可以啟動(dòng)使用區(qū)塊鏈服務(wù):自主的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)，包括自主協(xié)調(diào)(如：協(xié)商一致和點(diǎn)對(duì)點(diǎn)信息)任何物聯(lián)網(wǎng)的設(shè)備都可以創(chuàng)建運(yùn)行加密特性的事務(wù)分類賬簿。一個(gè)分布式數(shù)據(jù)庫(kù)，其中任何物聯(lián)網(wǎng)設(shè)備都有最新版本的分類賬簿。硬件的限制使得采用這個(gè)模型在當(dāng)前的時(shí)間內(nèi)很難實(shí)現(xiàn)。具有如下挑戰(zhàn):1CPU2、小存儲(chǔ):在分類帳簿中添加的事務(wù)量會(huì)增加，即使處理小的事務(wù)數(shù)據(jù)也會(huì)變得很麻煩。3一些公司，如IOTA，提出了“區(qū)塊鏈”微型傳感器的新方法，包括以下內(nèi)容及解決方案:簡(jiǎn)化挖礦（mining）處理過(guò)程，減少硬件需求。實(shí)現(xiàn)與物聯(lián)網(wǎng)交互相關(guān)的微事務(wù)。保持輕量級(jí)的帳簿基于云計(jì)算的物聯(lián)網(wǎng)區(qū)塊鏈網(wǎng)絡(luò)在啟用云的區(qū)塊鏈網(wǎng)絡(luò)中，事務(wù)和挖礦（mining）節(jié)點(diǎn)都位于云和預(yù)置環(huán)境。根據(jù)實(shí)現(xiàn) 不同，節(jié)點(diǎn)可能是企業(yè)服務(wù)器、企業(yè)/個(gè)人電腦或智能設(shè)備?；谠频奶摂M機(jī)和物聯(lián)網(wǎng)設(shè)備（手機(jī)或平板電腦)，需要擁有足夠的硬件資源(CPU、RAM、存儲(chǔ)等)。具有有限硬件資源的物聯(lián)網(wǎng)設(shè)備作為區(qū)塊鏈客戶端。他們不存儲(chǔ)分布式賬本。這些客戶機(jī)通過(guò)api與上游的基于云的區(qū)塊鏈?zhǔn)聞?wù)節(jié)點(diǎn)交互。api可能是HTTPREST或JSONRPC。（簽名）密鑰。對(duì)于許可區(qū)域(私有區(qū)塊鏈服務(wù))，對(duì)挖礦（mining）節(jié)點(diǎn)的訪問(wèn)可能僅限于授權(quán)的操作比特幣的實(shí)現(xiàn)使用“瘦客戶端”來(lái)提出這種功能，也叫簡(jiǎn)化支付驗(yàn)證(SPV)，它不存儲(chǔ)API(BCCAPI)的節(jié)點(diǎn)通信。一個(gè)利用互操作性能力的豐富生態(tài)系統(tǒng)離利用互操作能力圍繞區(qū)塊鏈技術(shù)開(kāi)發(fā)一個(gè)生態(tài)系統(tǒng)將是一個(gè)加速其采用的機(jī)會(huì)。這個(gè)潛在的生態(tài)系統(tǒng)將提供簡(jiǎn)化物聯(lián)網(wǎng)集成到區(qū)塊鏈服務(wù)的功能。APIAPIAPI多個(gè)區(qū)塊鏈服務(wù)之間的共存api。Eachblockchainservicecanrunindifferentcontexts,suchaspersonalhomenetwork,enterpriseandtheInternet.每次區(qū)塊鏈服務(wù)可以運(yùn)行在不同的語(yǔ)境中，如個(gè)人的家庭網(wǎng)絡(luò)，企業(yè)和互聯(lián)網(wǎng)?；趨^(qū)塊鏈技術(shù)的物聯(lián)網(wǎng)架構(gòu)模式CSA物聯(lián)網(wǎng)和區(qū)塊鏈/分布式分類技術(shù)工作組提出了以下系統(tǒng)，在多區(qū)塊鏈服務(wù)中，物聯(lián)網(wǎng)客戶端可以進(jìn)行協(xié)作。區(qū)塊鏈服務(wù)1是一個(gè)專注的企業(yè)實(shí)施:事務(wù)節(jié)點(diǎn)是托管在云中的企業(yè)計(jì)算機(jī)或服務(wù)器。2事務(wù)節(jié)點(diǎn)是個(gè)人計(jì)算機(jī)和其他設(shè)備或云訂閱。物聯(lián)網(wǎng)區(qū)塊鏈客戶是智能設(shè)備，如冰箱、溫度傳感器和安全攝像頭。用于物聯(lián)網(wǎng)安全的區(qū)塊鏈技術(shù)的選擇APIAPI1、物聯(lián)網(wǎng)發(fā)現(xiàn)可伸縮2、信任的溝通3、消息身份驗(yàn)證/簽名(事件鏈)4、物聯(lián)網(wǎng)配置和更新5、安全固件映像的發(fā)布和更新。1.物聯(lián)網(wǎng)發(fā)現(xiàn)可伸縮智能城市和大型企業(yè)物聯(lián)網(wǎng)的部署將導(dǎo)致數(shù)千或數(shù)萬(wàn)個(gè)必須協(xié)同工作的物聯(lián)網(wǎng)設(shè)備[28] 法網(wǎng)。例如，在比特幣內(nèi)部，一組硬編碼的DNS種子為新用戶和設(shè)備提供了引導(dǎo)服務(wù)。這些DNS的IP地供 ，。DNSDNSDNS安全來(lái)確保根服務(wù)器的名稱解DNSDNS5可以包括以下內(nèi)容的憑證:聯(lián)，， 。物聯(lián)網(wǎng)設(shè)備的所有者或安裝技術(shù)人員提供的憑據(jù)將初始化設(shè)備注冊(cè)到安全服務(wù)器，以獲得物聯(lián)網(wǎng)的特定憑證。備，，閱 鏈api。2、信任的溝通如果交換必須保密，物聯(lián)網(wǎng)設(shè)備(發(fā)送方)將加密消息發(fā)送到對(duì)等物聯(lián)網(wǎng)設(shè)備(接收方) 用接收器物聯(lián)網(wǎng)設(shè)備的公鑰，該設(shè)備存儲(chǔ)在區(qū)塊鏈服務(wù)中。只有接收者可以用他們的私鑰解密消息。關(guān)鍵的協(xié)議算法，如基于橢圓曲線密碼學(xué)算法(ECDHCEK)和/或通信加密密鑰(TEKs)之類的事務(wù)。29在區(qū)塊鏈中實(shí)現(xiàn)了使用多種類型的加密密鑰。用于確保區(qū)塊鏈交易的密鑰通常被稱為錢包參數(shù)。在這個(gè)用例中討論的參數(shù)代表了身份密鑰，可以用來(lái)生成加密密鑰(TEKs)或內(nèi)容加密密鑰(CEKs)進(jìn)行通信，來(lái)保護(hù)物聯(lián)網(wǎng)設(shè)備點(diǎn)對(duì)點(diǎn)之間的通信。物聯(lián)網(wǎng)身份密鑰（參數(shù)）:用于生成密鑰材料的非對(duì)稱密鑰，可用于加密物聯(lián)網(wǎng)設(shè)備之間的消息內(nèi)容和流量。錢包鑰匙（參數(shù)）:用于存儲(chǔ)在分類帳簿中的交易;可能包括物聯(lián)網(wǎng)身份密鑰。3、半自治機(jī)器對(duì)機(jī)器的操作物聯(lián)網(wǎng)技術(shù)的一個(gè)關(guān)鍵驅(qū)動(dòng)力是機(jī)器能夠以半自治的方式協(xié)同工作以實(shí)現(xiàn)特定目標(biāo)的能力。區(qū)塊鏈可以使用智能合約功能作為這些自治事務(wù)的安全助推器。智能合約可以寫下來(lái)，包括合同的規(guī)則、處罰和條件。物聯(lián)網(wǎng)相關(guān)設(shè)備可以配置一個(gè)API4、物聯(lián)網(wǎng)配置和更新控制隨著更多的物聯(lián)網(wǎng)設(shè)備的誕生，區(qū)塊鏈技術(shù)在可信的安全配置領(lǐng)域是有希望連接到云服務(wù)。以下是三種安全措施:1、分類賬簿可以托管物聯(lián)網(wǎng)屬性，例如最后一個(gè)版本的驗(yàn)證的固件和配置細(xì)節(jié)。在引2、分類賬簿可以為每個(gè)特聯(lián)網(wǎng)設(shè)備托管最新配置文件的哈希值。物聯(lián)網(wǎng)設(shè)備從云服務(wù)下載最新的可信配置文件(或設(shè)置時(shí)間)，然后利用事務(wù)節(jié)點(diǎn)API來(lái)檢索和匹配存儲(chǔ)在區(qū)塊鏈325、安全固件映像的發(fā)布和更新類似于支持從云服務(wù)提供商下載可信配置，區(qū)塊鏈技術(shù)也可以支持物聯(lián)網(wǎng)設(shè)備的可信存檔發(fā)。 :1API2、物聯(lián)網(wǎng)設(shè)備可以使用基于塊的映像更新過(guò)程來(lái)驗(yàn)證供應(yīng)商提供的所有更新。312fabric（無(wú)更改/更新功能）警告:必須確保制造商維護(hù)私鑰，以避免損害所有固件。獲取私鑰的攻擊者可以使用看似“有效”的數(shù)