用区块链技术保障物联网安全.pdf

区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。1UsingBlockchainTechnologytoSecuretheInternetofThings用区块链技术保障物联网安全Presented by the Blockchain/Distributed LedgerWorking Group由区域链/分布式账本工作组提供区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。22018CloudSecurityAllianceAllRightsReserved.Youmaydownload,store,displayonyourcomputer,view,print,andlinktoUsingBlockchainTechnologytoSecuretheInternetofThingssubjecttothefollowing:(a)theDocumentmaybeusedsolelyforyourpersonal,informational,non-commercialuse;(b)theReportmaynotbemodifiedoralteredinanyway;(c)theDocumentmaynotberedistributed;and(d)thetrademark,copyrightorothernoticesmaynotberemoved.YoumayquoteportionsoftheDocumentaspermittedbytheFairUseprovisionsoftheUnitedStatesCopyrightAct,providedthatyouattributetheportionstotheUsingBlockchainTechnologytoSecuretheInternetofThingspaper.版权所有2018云安全联盟。您可以下载、存储、显示在您的计算机、查看、打印和链接到使用区块链技术来确保物联网:(a)该文件仅可用于您的个人、信息、非商业用途;(b)不得以任何方式修改或改变该报告;(c)文件不得重新分配;(d)不得移除商标、版权或其他通知。你可以引用美国版权法案中合理使用条款所允许的部分文件，使用区块链技术来保证物联网的内容可以把这些内容引用到相关论文中。关 于 CSA(ABOUTCSA)TheCloudSecurityAllianceisanot-for-profitorganizationwithamissiontopromotetheuseofbestpracticesforprovidingsecurityassurancewithinCloudComputing,andtoprovideeducationontheusesofCloudComputingtohelpsecureallotherformsofcomputing.TheCloudSecurityAllianceisledbyabroadcoalitionofindustrypractitioners,corporations,associationsandotherkeystakeholders.Forfurtherinformation,visitusatcloudsecurityallianceandfollowusonTwittercloudsa.云安全联盟是一个非营利组织，其使命是促进在云计算中提供安全保证的最佳实践，并提供关于云计算用途的教育，以帮助确保所有其他形式的计算。云安全联盟由行业从业者、公司、协会和其他关键利益相关者组成的广泛联盟。如需进一步信息，请访问我们的cloudsecurityalliance和推特cloudsa跟着我们。区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。3TABLE OF CONTENTS目录ABOUT CSA.2关于CSAACKNOWLEDGMENTS.4致谢INTRODUCTION.5简介OVERVIEW OF BLOCKCHAIN TECHNOLOGY.8区块链概述TransactionPropagationandBlockchainConstruction.12事务传播和区块链建设SmartContracts. 12智能合约Off-ChainStorageSolutions.13链下存储解决方案DeploymentOptions.14部署选项INTERNET OF THINGS ARCHITECTURE BASED ON BLOCKCHAIN TECHNOLOGY.15基于区块链的物联网架构TheCommunicationModel.15通信模型ARichEcosystemforLeveragingInteroperabilityCapabilities.19一个利用互操作性能力的丰富生态系统CohabitationbetweenMultipleBlockchainServices.20多个区块链服务之间的共存TheIoTArchitecturePatternBasedonaBlockchainTechnology. 21基于区块链技术的物联网架构模式SelectionofBlockchainTechnologyforIoTSecurity. 22用于物联网安全的区块链技术的选择SUMMARY OF BLOCKCHAIN SECURITY SERVICES FOR THE IOT.30物联网区块链的安全服务总结CONCLUSION.31结论REFERENCES. 32参考文献区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。4ACKNOWLEDGMENTS致 谢Initiative Lead:主导者SabriKhemissaKey Contributors:主要贡献者AlexBrownGiulianaCarulloElierCruzKevinFielderDougGardnerJasKhehraImreKocsisPaulLanoisAshishMehtaMattMurphyToddNelsonDenisNwanshiLucPoulinMichaelRozaBrianRussellSrinivasTatipamulaUdo Gustavo von BlcherCSA Staff:CSA员工HillaryBaronKendallScoboriaJohnYeohFirst draft of Chinese translation中文翻译初稿Yan北京老李区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。5简 介 (INTRODUCTION)Inthelastfouryears,technicalexperts,chiefdigitalofficers,marketingmanagers,journalists,bloggersandresearchinstitutionshavediscussedandpromotedanewdistributedmodelforsecuretransactionprocessingandstorageusingblockchaintechnology.IDCFutureScapepredictedthatby2020,20%ofglobaltradefinancewillincorporateblockchain在过去的四年中，技术专家、首席数字官、营销经理、记者、博客作者和研究机构讨论并推广了一种新的分布式模型，使用区块链技术用于安全事务处理和存储。国际数据公司 IDC FutureScape 预测，到 2020 年，20%的全球贸易融资将纳入区块链1. Coindeskreports thatventurecapitalistshaveinvestedover $1.8billion inblockchainstartups overthepastfewyearsCoindesk 报告说，过去几年，风险投资在区块链的创业公司投资超过 18 亿美2.Consortiums and alliances have sprouted up, such as the Enterprise Ethereum Alliance, which focus onidentifyingnewusescasesforblockchaintechnologyacrosssectors.财团和联盟已经涌现，例如企业以太坊联盟，它致力于识别跨部门的区块链技术的新用例。Blockchain,apublicanddistributedledgeroftransactionsgroupedintoblocks,promisesto:区块链是一种公共的和分布式的交易分类账簿，承诺：1. Increasespeed,efficiency,andsecurityofownershiptransferofdigitalassets2. Eliminateneedforcentralauthoritiestocertifyownershipandcleartransactions3. Reducefraudandcorruptionbyprovidingatransparentandpubliclyauditableledger4. Reduce administrative cost using agreements that can automatically activate, secure and certifytrustedactionsbasedonspecificconditions(“smartcontracts”).1.提高数字资产所有权转让的速度、效率和安全性。2.消除中央主管机构认证所有权和清算交易的需要。3.通过提供透明和公开的审计的分类账目来减少欺诈和腐败。4.使用可根据特定条件自动激活、保护和验证可信操作(“智能合约”)的协议降低管理成本。Akeychallengeassociatedwiththeadoptionofblockchainistheneedtoidentifyrelevantusecasesthatwouldbenefitfromtheintegrationofblockchaintechnology.TheInternetofThings(IoT)haslongbeenassociatedwithsecurityweaknessesandchallenges,andexpertsandorganizationshavebegunexploringtheuseofblockchaintosecuringtheIoTanizationslikeIOTAandtheTrustedIoTAlliancehavebeguntofocusonIoTsecuritythroughtheapplicationofblockchain.与采用区块链相关的一个关键挑战是需要确定相关的用例，这些用例将从区块链技术的集成中获益。物联网(IoT)长期以来一直与安全弱点和挑战联系在一起，专家和组织已经开始探索利用区块链来保护物联网的安全。像 IOTA 和可信物联网联盟这样的组织已经开始通过应用区块链来关注物联网的安全性。区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。6TheIoT,initsownright,istransformingconsumerbehaviorsandbusinessprocesses.DistributededgeIoTdevicescollectandtransmitdataforprocessing.IoTsystemsrelyuponthisdatatoprovideadvancedservices,automationfeaturesandtailoredexperiencestoendusers.IoTsystemsaredynamicanddistributed.Theyincludedevices,mobileapplications,gateways,cloudservices,analyticsandmachinelearningprocesses,networkinginfrastructure,webservices,storagesystems,foglayersandusers.Allofthesesystemswriteandreaddatathatcanberecordedastransactionsonaledger.物联网本身正在改变消费者的行为和业务流程。分布式边缘物联网设备采集和传输数据进行处理。物联网系统依靠这些数据向最终用户提供先进的服务、自动化的特性和定制体验。物联网系统是动态和分布式的。它们包括设备、移动应用程序、网关、云服务、分析和机器学习过程、网络基础设施、网络（WEB）服务、存储系统、雾层和用户。所有这些系统都可以写入和读取数据，这些数据可以被记录为分类帐上的事务。TheCloudSecurityAllianceIoTWorkingGroup(IoTWG)hasfocusedondocumentingbestpracticesforIoTsecuritysince2014.GiventhepotentialbenefitsassociatedwithapplyingblockchaintechnologytotheIoTsecurityproblem,theIoTWGhaspartneredwiththeCSABlockchain/DistributedLedgerTechnologyWorkingGrouptoresearchanddocumentsomeofthewaysthatblockchaincanbeginhelpingtosecureIoTsystems.Assuch,thispaperaddressestwotechnologiesatdifferentmaturitylevels:自 2014 年以来，云安全联盟物联网工作组(IoT WG)一直致力于物联网安全的最佳实践的文档化。鉴于将区块链技术应用于物联网安全问题的潜在好处，物联网工作组与 CSA 区块链/分布式分类账技术工作组合作研究并记录了区块链可以开始帮助确保物联网系统安全的一些方法。因此，本文讨论了两种不同成熟度级别的技术：Blockchain: AtechnologyenablerthathasdrivenradicalchangeanddisruptionthroughoutthedigitaleconomythroughitssupportofrapidlyevolvingcryptocurrenciessuchasBitCoin,Ethereum,LitecoinandDash.Blockchainssuccessasafoundationforcryptocurrencieshasspawnednewresearchwithintheindustryaimedatsecuringsystemsandtechnologiesusingthedistributedledgertechnology.In2017,manybusinessinitiativesfocusedoncreatinglimitedprototypesandproofs-of-conceptsthatservemostlytomastertheintricaciesofthiscomplextechnology.区块链：通过支持快速发展的加密货币如比特币、以太坊、莱特币和达世币，推动了数字经济的彻底变革和颠覆的技术推动。区块链作为加密货币基础的成功，在业界催生了新的研究，目的是旨在利用分布式分类账目技术来保障系统和技术的安全。在 2017 年，许多商业计划的重点是创建有限的原型和概念证明，这些概念主要是为了掌握这一复杂技术的的复杂之处。区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。7The Internet of Things: Afast-maturingsetoftechnologiesthatsupportthetransformationofbusinessandmissionprocesses.TheIoThasreachedvaryinglevelsofmaturityacrosssectorssuchasconsumer,transportation,energy,healthcare,manufacturing,retailandfinancial.TheIoTistheinter-networkingofphysicaldevicessuchasconnectedvehicles,smartbuildings,industrialcontrolsystems,droneandroboticssystemsandotheritemsembeddedwithelectronics,software,sensors,actuatorsandnetworkconnectivitythatenabletheseobjectstoexchangedata.物联网：一套快速成熟的技术，支持业务和任务流程的转换。物联网在消费者、交通运输、能源、医疗、制造业、零售和金融等行业已经达到了不同程度的成熟度。物联网是物理设备之间的互联互通。作为连接的车辆、智能建筑、工业控制系统、无人机和机器人系统以及其他嵌入电子、软件、传感器、执行器和网络连接的物品，这些东西能够使这些物体交换数据。Thispaperdescribesahigh-leveloverviewofblockchaintechnologyandoutlinesasetofarchitecturalpatternsthatenableblockchaintobeusedasatechnologytosecureIoTcapabilities.Specificuse-caseexamplesofblockchainforIoTsecurityarealsoexplored,althoughtechnicalimplementationofthoseusecaseswillvaryacrosscompanies.本文描述了区块链技术的顶层概述，并描绘了一套架构模式，这些模型使区块链能够作为一种技术来保护物联网的能力。此外，还探讨了用于物联网安全的具体用例示例，尽管这些用例的技术实现将因公司而异.区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。8OVERVIEW OF BLOCKCHAIN TECHNOLOGY 区块链概述Ablockchainservice,orsimplya“blockchain,”isatransactionrepositorywheretransactionaregroupedintoblocks.“Everyblockcontainsahashofthepreviousblock.Thishastheeffectofcreatingachainofblocksfromthegenesisblocktothecurrentblock”3.Thecontentsofeachblockisdigitallysignedtoensuredataintegrityofrecordedtransactions.一个区块链服务，或者简称为区块链，是一个事务存储库，将事务分组到块中。“每个块都包含上一个块的散列。就产生了创建从成因块到当前块的一系列块的效果。对每个块的内容进行数字签名，以确保记录的事务的数据完整性。Ablockchainserviceincludesthreemaincomponents:区块链服务包括三个主要组件:(1)Anetworkofautonomousnodes(1)自治节点网络Independentnodesautonomouslygenerateandregisterlegitimatetransactionsintothedistributedledger.Neitheracentralauthoritynoratrustedthirdpartyisnecessarytovalidatetransactions.Allnodesoftheblockchainservice(alsocalledtheblockchainplatform)collaboratetomaintainaconsistencyoftheledger.独立节点自动生成并将合法的事务注册到分布式账本中。对于验证事务，不需要中央主管机构或可信的第三方。区块链服务的所有节点(也称为区块链平台)协作以保持分类帐的一致性。Eachnoderunsaprogrammedmechanism,calledaconsensus.Theconsensusistheprocessbywhichnodesagreeonhowtoupdatetheblockchainasaresultofasetoftransactions.Achievingconsensusensuresthemajorityofnodesinthenetworkhavevalidatedthesamesetoftransactions.每个节点都运行一个被称为协商一致的程序机制。协商一致意见是节点在一组事务中如何更新区块链的过程。达成共识确保网络中的大多数节点都验证了相同的事务集。Thegoalofdistributedconsensusistokeeptheledgersofasufficientmajorityofthesystempeerscorrectanduptodate(ataroughlygranulartimescale).Consensusmechanismsguardagainstmaliciouspeersthatcancorrupttheintegrityoftheledgerby(a)retroactivelymodifyingtransactions;(b)performingsemanticallyunpermittedtransactions(e.g.“double-spending”andtransferringnot-ownedassetsinacryptocurrencysetting);or(c)blockingtheacceptanceandbookingofcorrecttransactionrequests.分布式协商一致的目标是保持系统中足够多数的分类账本是正确和最新的(在一个粗略的时间尺度上)。协商一致机制防止恶意的同行通过(a)追溯修改交易来破坏账簿的完整性;(b)执行语义未经许可的交易(例如:“双支出”和在加密货币设置中转让非自有资产);或(c)阻止对正确事务请求的接受和预订。Theconsensusapproachchosenduringthedevelopmentoftheblockchainserviceguardsagainstspecificattacks.Theseattackmitigationsarenotpurelytechnicalinnature.WithBitcoins“ProofofWork,”forexample,thereisaneconomicdisincentivetogainingcontrolof51percentofthehashpowerwithinthenetwork.Gaining51percentofthemininghashratewouldpotentiallyallowanattackertodouble-spendcoinsoralterarecenthistoryoftransactions.在开发区块链服务防范特定攻击时所选择协商一致的方法，这些攻击缓解措施并不完全是技术性的。以比特币的“工作量证明”为例，要想在网络中获得 51%的哈希计算力，有一定的经济抑制因素。即获得 51%的采矿哈希计算力，将有可能使攻击者花费双倍花费的硬币或改变近期的交易历史。区块链/分布式账本技术工作组|用区块链技术保障物联网安全。版权2018,云安全联盟。保留所有权利。9Also,gaining51percentofthehashrateandpropagatingmalicioustransactionswouldrapidlydestroyconfidenceinthecryptocurrencyandsignificantlydecreasethevalueofthemaliciouspartysstake.Inaddition,thatmaliciouspartycouldsimplyemploytheirhashpowertowardtheprocessofminingtogenerategainsforthemselves.此外，获得 51%的哈希率和传播恶意交易将迅速破坏对加密货币的信心，并显著降低恶意方的利益风险价值。此外，恶意方可以简单地利用他们的哈希计算力在挖掘过程中为自己创造收益。Inapermissioned(closed)system,economicdisincentives maynotbepresent.Permissionedsystemsalsooftenemployreducedminingdifficultywhichallowsforfastertransactionswithinthenetwork.Thesepermissionedsystemsmustbeoutfittedwithtraditionalcybersecuritycontrolsthatincluderesiliencesafeguards,hardware-basedwallets,accesscontrolsthatrestrictaccesstonetworkminers,identitymanagementandstrongauditcapabilitiestoenablepotentialregulatoryinvolvement,litigation,andcriminalinvestigationofmisbehaviorwithinthesystem.在一个被许可的(封闭的)系统中，经济不利因素可能不存在。许可系统还往往采用减少开采困难，允许在网络中进行更快的事务。这些许可系统必须要符合传统的网络安全控制，包括弹性防护、基于硬件的钱包、网络矿工限制访问控制、身份管理和强大的审计能力，以确保潜在的监管介入、诉讼和刑事调查系统在内的不当行为。Threepredominantmechanismsprovideconsensusinablockchain:三种在区块链中的主要共识的机制: Byzantine Fault Tolerance (BFT) Algorithms aredesignedtoavoidattacksandsoftwareerrorsthatcausefaultynodestoexhibitarbitrarybehavior(Byzantinefaults).BFT4providesconsensusdespiteparticipationofmaliciouslymisbehaving(Byzantine)nodes.Adrawbackofthisapproach,however,isthescalabilitylimitintermsofnumberofnodesthatformtheblockchainnetwork5.AlternativeapproachestoBFThavebeenproposed,includingPracticalByzantineFaultTolerance(PBFT)5.ExamplesofblockchainimplementationscurrentlyexploitingPBFTareLinuxFoundationHyperledgerfabric(0.6)andRipple.拜占庭容错（BFT）:拜占庭式容错(BFT)算法的设计是为了避免攻击和软件错误引起的故障节点表现出任意的行为(拜占庭式的错误)。BFT4在参与的情况下提供了一致意见。恶意行为不端(拜占庭)节点。然而，这种方法的缺点是，在形成区块链网络的节点数量上，可伸缩性限制5。已经提出了 BFT 的替代方法，包括实用的拜占庭式容错5。目前使用 PBFT 的区块链实现的例子是 Linux 基金会 Hyperledger fabric (0.6)和瑞波币. Proof-of-Work (POW), usedbyBitcoinandEthereum,isthewidelyknownmechanismforestablishingconsensus.InPOW,asinglenodecanprovideitsconclusionstoothersnodes,whichcanbeinturnvalidatedbytheothernodesinthenetwork.Anodesubmittingageneratedblock,inordertohavetheconsensusreached,mustalsoprovideproofoftheworkitperformed,whichisacomputationallydifficulttask(a“cryptographicallyhardpuzzle”basedonhashfunctions).POWprovidesgreatnetworkstability6.However,POWisparticularlycostlybecauseofthecomputationalresourcesexpended.“Miners”areincentivizedtoparticipatetoearnacryptomonetaryreward,whichisgrantedinreturnforasuccessfulblockgeneration.由比特币和以太坊(Ethereum)使用的“工作量证明”(POW)是一种广为人知的建立共识的机制。在工作量证明（POW）一个单独的节点可以向其他节点提供其结论，该节点可以由网络