基于白名單技術(shù)的物聯(lián)網(wǎng)安全策略研究

摘 要：使用一種基于區(qū)塊鏈的監(jiān)控框架—白名單技術(shù)，以確保物聯(lián)網(wǎng)（IoT）設(shè)備的安全性。與集中式服務(wù)器不同，IoT設(shè)備分布于不同的地理位置，與物理系統(tǒng)緊密相連。由于IoT設(shè)備運(yùn)算資源和存儲(chǔ)資源有限，因此它們的安全解決方案受限。所提出的方法假定設(shè)備會(huì)被攻擊，需要能夠自動(dòng)隔離被攻擊的設(shè)備；或傳感網(wǎng)中存在惡意設(shè)備時(shí)，也將被隔離。為了在設(shè)備被攻擊時(shí)執(zhí)行安全策略，建議在監(jiān)控框架中使用區(qū)塊鏈，只要大多數(shù)設(shè)備未被攻擊就可執(zhí)行安全策略。通過(guò)使用許可的區(qū)塊鏈和附加硬件模塊，所提出的框架相較于無(wú)許可的區(qū)塊鏈框架（例如以太坊），具有顯著的低延遲和低開(kāi)銷優(yōu)勢(shì)，并實(shí)現(xiàn)了靈活的可擴(kuò)展性。

關(guān)鍵詞：區(qū)塊鏈；物聯(lián)網(wǎng)（IoT）；白名單；安全策略；容錯(cuò)性；PBFT協(xié)議

中圖分類號(hào)：TP309；TN919 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2025）08-00-07

0 引 言

隨著物聯(lián)網(wǎng)技術(shù)的普及，物聯(lián)網(wǎng)的安全性問(wèn)題愈加突出。越來(lái)越多的物聯(lián)網(wǎng)設(shè)備被連接到我們社會(huì)的不同系統(tǒng)中，如何保護(hù)這些設(shè)備不被攻擊，以及如何防止這些設(shè)備被用作攻擊他人的工具，變得異常緊迫。安全組織最近的研究表明，物聯(lián)網(wǎng)設(shè)備正日益成為黑客的目標(biāo)。

然而，保護(hù)物聯(lián)網(wǎng)設(shè)備—特別是那些暴露在公共場(chǎng)所的設(shè)備—免受攻擊具有挑戰(zhàn)性。由于無(wú)法始終保證物聯(lián)網(wǎng)設(shè)備的物理安全性，它們更容易被攻擊并落入黑客的完全控制之下。此外，物聯(lián)網(wǎng)設(shè)備資源有限的特性也增加了防止其固件和硬件組件被攻擊的難度。因此，本文提出的方法假定任何一個(gè)設(shè)備在某個(gè)階段都可能被攻擊，并在發(fā)生這種情況時(shí)自動(dòng)隔離該設(shè)備。這種方法不同于現(xiàn)有的側(cè)重于構(gòu)建安全設(shè)備的框架[1]，本方法采用區(qū)塊鏈作為基礎(chǔ)機(jī)制，只要網(wǎng)絡(luò)中大多數(shù)設(shè)備未被攻擊，整個(gè)系統(tǒng)的安全性就可以得到保障。

要將區(qū)塊鏈應(yīng)用于物聯(lián)網(wǎng)系統(tǒng)，必須解決以下問(wèn)題[2]：

（1）時(shí)間延遲：在無(wú)許可的區(qū)塊鏈框架（如以太坊）中，達(dá)成共識(shí)需要數(shù)分鐘。這對(duì)于延遲敏感的應(yīng)用（如智能電網(wǎng)、智慧城市等）是不可接受的。

（2）適用性：物聯(lián)網(wǎng)系統(tǒng)設(shè)備制造商類型和采用的協(xié)議復(fù)雜多樣，因此，所有設(shè)備都支持相同的區(qū)塊鏈框架是不切實(shí)際的。

（3）資源限制：由于區(qū)塊鏈的有效性依賴于足夠數(shù)量的參與設(shè)備，而物聯(lián)網(wǎng)設(shè)備資源有限，不太可能成為合適的區(qū)塊鏈客戶端。

本文實(shí)施了一種安全策略—物聯(lián)網(wǎng)白名單技術(shù)（以下簡(jiǎn)稱“白名單技術(shù)”），通過(guò)使用Hyperledger Fabric[3]和一個(gè)附加的硬件模塊解決了上述三個(gè)問(wèn)題。該技術(shù)的平均延遲為128.95 ms，而在以太坊上實(shí)施相同的技術(shù)則需要9.6 s。

此外，附加的硬件模塊允許現(xiàn)有設(shè)備加入框架而無(wú)需修改。Hyperledger Fabric的計(jì)算需求明顯低于無(wú)許可的區(qū)塊鏈框架，因?yàn)樗褂冒菡纪ト蒎e(cuò)（Practical Byzantine Fault Tolerance， PBFT）協(xié)議進(jìn)行共識(shí)。

本文提出的框架具有高度靈活性：資源受限的設(shè)備可以僅運(yùn)行區(qū)塊鏈客戶端的一部分，而資源強(qiáng)大的設(shè)備可以代表資源受限的設(shè)備運(yùn)行區(qū)塊鏈客戶端的全部功能[4]。

1 目的與背景

1.1 目的

IoT系統(tǒng)具有與物理世界接觸的能力，這些設(shè)備更容易受到攻擊，而它們的有限資源限制了采用完整安全解決方案的可能性[5]。

攻擊場(chǎng)景可以根據(jù)目標(biāo)進(jìn)行分類，如圖1所示。對(duì)這些攻擊場(chǎng)景的應(yīng)對(duì)措施通常假定底層組件是可信的。設(shè)備的安全性是網(wǎng)絡(luò)和系統(tǒng)安全的基礎(chǔ)。

本文假設(shè)單個(gè)設(shè)備被攻擊時(shí)，可以自動(dòng)隔離受攻擊的設(shè)備，旨在檢測(cè)到不可信設(shè)備時(shí)隔離它們，確保IoT系統(tǒng)僅由可信設(shè)備組成。

目前現(xiàn)有的安全策略暴露出以下問(wèn)題[6]：

（1）現(xiàn)有許多對(duì)策采用集中式方法，這種方法存在單點(diǎn)故障的風(fēng)險(xiǎn)，也可能無(wú)法監(jiān)視所有網(wǎng)絡(luò)流量。

（2）可以通過(guò)在網(wǎng)絡(luò)中分布代理，但如果代理被攻擊，其部分系統(tǒng)將無(wú)法被監(jiān)視。

（3）可以通過(guò)點(diǎn)對(duì)點(diǎn)投票機(jī)制提供容錯(cuò)性。由于決策是協(xié)作完成的，只要大多數(shù)設(shè)備未被攻擊，就可以保證安全策略的執(zhí)行。然而，由于未采用共識(shí)協(xié)議，其能力受到限制。

（4）如果任何信息都需要由設(shè)備共享，且信息需要實(shí)時(shí)更新，則現(xiàn)有的點(diǎn)對(duì)點(diǎn)方法無(wú)法解決該問(wèn)題。

本文提出的方法是利用區(qū)塊鏈來(lái)執(zhí)行安全策略，在不可信設(shè)備上實(shí)現(xiàn)可信計(jì)算。只要網(wǎng)絡(luò)中大多數(shù)設(shè)備未被攻擊，整個(gè)系統(tǒng)的安全性就可以得到保障[7]。與現(xiàn)有的集中式和分布式方法相比，這種方法提供了更高的安全保障。同時(shí)，通過(guò)共識(shí)協(xié)議，該方法能夠支持共享信息的實(shí)時(shí)更新。此外，該方法通過(guò)監(jiān)視所有網(wǎng)絡(luò)流量，阻止來(lái)自惡意設(shè)備的流量，從而實(shí)現(xiàn)對(duì)其隔離[8]。物聯(lián)網(wǎng)安全方法的比較見(jiàn)表1。

在實(shí)施區(qū)塊鏈的安全策略時(shí)，采用Hyperledger Fabric和附加硬件模塊來(lái)解決之前提出的三個(gè)問(wèn)題[9]。

（1）Hyperledger Fabric是專為需要控制成員資格的私有許可網(wǎng)絡(luò)設(shè)計(jì)的，這種環(huán)境在物聯(lián)網(wǎng)系統(tǒng)中很常見(jiàn)。與無(wú)許可區(qū)塊鏈相比，Hyperledger Fabric的一個(gè)優(yōu)點(diǎn)是無(wú)需計(jì)算密集型的工作量證明（PoW）而快速收斂，能夠有效解決延遲問(wèn)題（挑戰(zhàn)1）。

（2）引入了一個(gè)附加硬件模塊，使不支持所提出框架的設(shè)備能夠支持該框架（挑戰(zhàn)2）。

（3）只需通過(guò)與附加模塊配對(duì)，現(xiàn)有設(shè)備即可加入框架，無(wú)需對(duì)實(shí)際設(shè)備進(jìn)行任何修改。區(qū)塊鏈客戶端以附加模塊的形式實(shí)現(xiàn)，能夠有效緩解設(shè)備資源受限的問(wèn)題。另外，Hyperledger Fabric使用PBFT協(xié)議作為共識(shí)協(xié)議，而非PoW，有助于降低資源需求（挑戰(zhàn)3）。

現(xiàn)有基于區(qū)塊鏈的物聯(lián)網(wǎng)安全解決方案已被應(yīng)用于安全固件更新、配置管理和能源交易等領(lǐng)域，這些應(yīng)用無(wú)需解決上述問(wèn)題[5]。白名單技術(shù)是首個(gè)嘗試提供通用監(jiān)控框架的方案，可用于減輕針對(duì)設(shè)備的各種攻擊。

附加模塊作為系統(tǒng)中的額外組件[10]，雖然可能增加系統(tǒng)成本，但其優(yōu)勢(shì)在于可適用于任何類型的設(shè)備。通過(guò)大規(guī)模生產(chǎn)，單個(gè)模塊的成本可以得到有效分?jǐn)偂?/p>

1.2 Hyperledger Fabric

Hyperledger Fabric是Hyperledger項(xiàng)目中的一個(gè)區(qū)塊鏈框架[11]，旨在為私有或聯(lián)盟網(wǎng)絡(luò)提供許可區(qū)塊鏈框架。與公有區(qū)塊鏈框架（如比特幣和以太坊）不同，由于參與者的成員資格受控，它無(wú)需面對(duì)嚴(yán)苛的環(huán)境，因此能夠以有限的計(jì)算資源確保安全性，這也是其采用PBFT協(xié)議作為共識(shí)機(jī)制的原因。

圖2展示了Hyperledger Fabric框架的工作流程。當(dāng)新交易發(fā)生時(shí)，它會(huì)被廣播至認(rèn)證節(jié)點(diǎn)。每個(gè)認(rèn)證節(jié)點(diǎn)執(zhí)行智能合約，并根據(jù)其背書(shū)策略決定是否接受該交易。若交易獲得認(rèn)證節(jié)點(diǎn)背書(shū)，則將其發(fā)送至提交節(jié)點(diǎn)。提交節(jié)點(diǎn)負(fù)責(zé)收集交易并生成區(qū)塊[12]。圖中將提交節(jié)點(diǎn)表示為單一實(shí)體，實(shí)際上它以分布式方式實(shí)現(xiàn)，以確保容錯(cuò)性。提交節(jié)點(diǎn)的存在有效避免了計(jì)算資源浪費(fèi)在無(wú)效區(qū)塊上。最后，通過(guò)PBFT協(xié)議將區(qū)塊存儲(chǔ)在提交節(jié)點(diǎn)中。

Fabric的分布式架構(gòu)賦予其容錯(cuò)能力，能夠有效應(yīng)對(duì)節(jié)點(diǎn)故障。共享信息的一致性由共識(shí)協(xié)議保證。通過(guò)采用PBFT協(xié)議（而非PoW），F(xiàn)abric實(shí)現(xiàn)了低延遲和低性能開(kāi)銷?；谶@些優(yōu)勢(shì)，選擇Hyperledger Fabric作為底層區(qū)塊鏈框架，以保障物聯(lián)網(wǎng)系統(tǒng)的安全性。由于Fabric包含部分本文不需要的功能，因此本文對(duì)框架進(jìn)行了重構(gòu)。

2 相關(guān)工作

本文嘗試提供基于區(qū)塊鏈的監(jiān)控框架，用于檢測(cè)和隔離受惡意固件攻擊或物理攻擊的受損設(shè)備。

在以往的研究中，物聯(lián)網(wǎng)安全框架的研究目標(biāo)通常聚焦于通過(guò)設(shè)計(jì)環(huán)節(jié)確保其安全屬性，例如硬件-軟件代碼簽名、加密狗、開(kāi)發(fā)環(huán)節(jié)的嚴(yán)謹(jǐn)性以及物聯(lián)網(wǎng)生態(tài)系統(tǒng)的安全要求等，以保護(hù)設(shè)備免受固件或物理攻擊。

盡管在固件和硬件的設(shè)計(jì)上已投入大量精力，但設(shè)備仍面臨被攻擊的風(fēng)險(xiǎn)。例如，攻擊者可通過(guò)替換閃存或工作內(nèi)存（如DRAM）中的代碼來(lái)破壞固件[3]，或通過(guò)代碼注入和代碼重用來(lái)規(guī)避安全啟動(dòng)和認(rèn)證機(jī)制。此外，攻擊者還可利用故障注入、反向工程、微探針和虛假數(shù)據(jù)注入等手段對(duì)硬件實(shí)施物理攻擊[13]。

由于物聯(lián)網(wǎng)設(shè)備具有資源受限和缺乏物理安全性的特點(diǎn)，現(xiàn)有的通用計(jì)算機(jī)安全解決方案并不適用。本文方法兼容現(xiàn)有的預(yù)防技術(shù)，同時(shí)適用于設(shè)備可能遭受攻擊的場(chǎng)景。一旦設(shè)備被攻擊，系統(tǒng)可通過(guò)檢查是否違反安全策略來(lái)檢測(cè)攻擊行為，并利用區(qū)塊鏈強(qiáng)制執(zhí)行安全策略。相較于通常假設(shè)自身安全的集中式或分布式方法[14]，本文方案提供了更高的安全保障級(jí)別。

3 白名單技術(shù)概述

白名單技術(shù)是一個(gè)基于區(qū)塊鏈的監(jiān)控框架，它監(jiān)控設(shè)備的網(wǎng)絡(luò)消息，并隔離不符合安全策略的（惡意）設(shè)備。簡(jiǎn)而言之，白名單技術(shù)是通過(guò)區(qū)塊鏈技術(shù)監(jiān)控設(shè)備的通信，并通過(guò)隔離不符合安全策略的設(shè)備來(lái)保護(hù)物聯(lián)網(wǎng)系統(tǒng)的安全。

3.1 威脅模型

白名單技術(shù)的主要目標(biāo)是隔離違反安全策略設(shè)備的網(wǎng)絡(luò)消息。設(shè)備的行為可能會(huì)在被惡意軟件或物理攻擊感染后發(fā)生變化，但這種變化可能不可觀察，例如設(shè)備可能會(huì)竊聽(tīng)網(wǎng)絡(luò)流量，但不向其他設(shè)備發(fā)送任何未經(jīng)授權(quán)或惡意的消息。然而，如果被感染的設(shè)備試圖向未經(jīng)授權(quán)的設(shè)備發(fā)送信息，該信息將被阻止。白名單技術(shù)旨在防止惡意設(shè)備通過(guò)發(fā)送未經(jīng)授權(quán)或惡意的消息來(lái)影響系統(tǒng)[15]。

3.2 位置

白名單技術(shù)框架工作在應(yīng)用層和網(wǎng)絡(luò)層之間[16]，但獨(dú)立于網(wǎng)絡(luò)層和應(yīng)用層，如圖3所示。該框架監(jiān)視應(yīng)用層的消息，以檢查設(shè)備是否遵循安全規(guī)則。換言之，該框架可以在任何網(wǎng)絡(luò)協(xié)議之上工作，并監(jiān)視任何應(yīng)用層協(xié)議。如果網(wǎng)絡(luò)層不存在，它還可以在物理層工作。這意味著白名單技術(shù)框架具有很強(qiáng)的靈活性和通用性，適用于不同的網(wǎng)絡(luò)和應(yīng)用層協(xié)議。

白名單技術(shù)使用區(qū)塊鏈客戶端實(shí)現(xiàn)，如圖4所示。系統(tǒng)由不同類型的設(shè)備組成，而這些設(shè)備可能不能直接支持該框架。如果設(shè)備支持該框架，則區(qū)塊鏈客戶端在設(shè)備上運(yùn)行；若設(shè)備不支持，則可通過(guò)與附加能夠運(yùn)行區(qū)塊鏈客戶端的硬件模塊配對(duì)后加入該框架[17]。

與附加模塊配對(duì)并不一定意味著需要物理連接。即，附加模塊可與設(shè)備物理連接[18]，也可以通過(guò)網(wǎng)絡(luò)遠(yuǎn)程連接到設(shè)備。附加模塊具有兩個(gè)網(wǎng)絡(luò)接口：一個(gè)用于配對(duì)設(shè)備，另一個(gè)用于區(qū)塊鏈網(wǎng)絡(luò)。附加模塊與配對(duì)設(shè)備的首次連接應(yīng)配置為僅允許與其配對(duì)設(shè)備通信。為了兼容更廣泛的設(shè)備類型，附加模塊應(yīng)為其配對(duì)設(shè)備提供多樣化的網(wǎng)絡(luò)接口支持。

3.3 協(xié)議

白名單技術(shù)的協(xié)議流程如圖5所示。所有應(yīng)用層消息均通過(guò)該框架進(jìn)行處理，以確保其符合安全策略要求。當(dāng)源設(shè)備A發(fā)送消息時(shí)，消息會(huì)先由其客戶端中的發(fā)送接口處理，該客戶端可位于設(shè)備本身或其配對(duì)的附加模塊中。發(fā)送接口將消息分發(fā)至所有認(rèn)證節(jié)點(diǎn)，每個(gè)認(rèn)證節(jié)點(diǎn)根據(jù)其認(rèn)證策略判斷消息是否符合規(guī)范，并將結(jié)果發(fā)送至目標(biāo)設(shè)備的接收接口。若消息被接受，則會(huì)被傳遞至目標(biāo)設(shè)備B。根據(jù)驗(yàn)證結(jié)果，安全策略可能需要通過(guò)提交節(jié)點(diǎn)執(zhí)行共識(shí)協(xié)議進(jìn)行更新，以確保共享安全策略的一致性。

3.4 分配

由于資源限制，區(qū)塊鏈客戶端可能僅包含部分邏輯組件。白名單技術(shù)支持靈活的組件分配，但發(fā)送接口和接收接口應(yīng)成對(duì)分配，認(rèn)證節(jié)點(diǎn)和提交節(jié)點(diǎn)也應(yīng)成對(duì)分配。

如圖6所示，設(shè)備A通過(guò)附加模塊連接到框架。運(yùn)行在設(shè)備A附加模塊上的區(qū)塊鏈客戶端包含完整的發(fā)送接口、接收接口、認(rèn)證節(jié)點(diǎn)和提交節(jié)點(diǎn)。設(shè)備B的客戶端雖然組件相同，但其客戶端直接運(yùn)行在設(shè)備B上。對(duì)于資源受限的設(shè)備C，它僅運(yùn)行發(fā)送接口和接收接口。

本系統(tǒng)還可利用不參與目標(biāo)系統(tǒng)消息交換的設(shè)備作為認(rèn)證節(jié)點(diǎn)和提交節(jié)點(diǎn)。由于這些設(shè)備不進(jìn)行消息交換，因此無(wú)需配備發(fā)送接口和接收接口。這種設(shè)計(jì)不僅能夠規(guī)避攻擊者的注意，還能減少運(yùn)行區(qū)塊鏈客戶端所需的資源開(kāi)銷。

4 白名單技術(shù)架構(gòu)

4.1 原型

白名單技術(shù)采用數(shù)字簽名方案驗(yàn)證消息的真實(shí)性。

（1）GEN（1λ）：輸入安全參數(shù)1λ，生成一對(duì)公鑰和私鑰（PK，SK）。

（2）SIG（SK，m）：輸入私鑰SK和消息m，生成簽名σ。

（3）VER（PK，m，σ）：輸入公鑰PK、消息m和簽名σ，如果成功使用公鑰PK驗(yàn)證消息m上的簽名σ，則生成1，否則生成0。

當(dāng)客戶端加入框架時(shí)，它使用GEN生成PK和SK，并以ID的形式發(fā)布PK[19]?？蛻舳税òl(fā)送接口、接收接口、認(rèn)證節(jié)點(diǎn)和提交節(jié)點(diǎn)[20]。

（1）發(fā)送接口

名稱：SENDERINTERFACE（m）

功能：用于向區(qū)塊鏈網(wǎng)絡(luò)發(fā)送交易或消息M。

算法：接收輸入m，生成消息M=（m，PKsender，q，σsender）。其中，PKsender表示客戶端的公鑰，發(fā)送接口運(yùn)行于該客戶端。q為序列號(hào)，每次執(zhí)行算法時(shí)自動(dòng)遞增。將PKsender和q包含在M中，可在系統(tǒng)范圍內(nèi)唯一標(biāo)識(shí)消息，同時(shí)防止重放攻擊。若攻擊者能夠重復(fù)使用q，則可重發(fā)先前消息，這可能被用于虛假命令或數(shù)據(jù)注入，因此確保q的唯一性至關(guān)重要。σsender是通過(guò)簽名算法SIG（SKsender， m||q）生成的數(shù)字簽名。

（2）接收接口

名稱：RECEIVERINTERFACE（R，M）

功能：用于接收區(qū)塊鏈網(wǎng)絡(luò)中的交易或消息M以及所有認(rèn)證節(jié)點(diǎn)的響應(yīng)消息R，并通過(guò)運(yùn)算評(píng)估消息的可靠性。

算法：接收來(lái)自所有認(rèn)證節(jié)點(diǎn)的響應(yīng)消息R，這些節(jié)點(diǎn)均由同一消息發(fā)送者認(rèn)證。其中，R=（r，PKsender，q，σsender，σend）。R中的所有PKsender、q和σsender均相同。

M是從發(fā)送者接收到的原始消息。若滿足以下條件，則RECEIVERINTERFACE生成1：

①對(duì)于大多數(shù)（gt;n/2）R，R.r為1（即接受）。

②VER（PKpeer，R.r||R.PKsender||R.q||R.σsender， R.σend）為1。

③R.PKsender等于M.PKsender。

④R.q等于M.q。

此外，由于客戶端的公鑰已發(fā)布，PKpeer是已知的。還需驗(yàn)證M的簽名是否有效，即VER（M.PKsender，M.m||M.q，M.σsender）應(yīng)為1。若上述任一條件不滿足，則生成0。

（3）認(rèn)證節(jié)點(diǎn)

名稱：ENDORSINGPEER（M）

功能：用于對(duì)交易或消息M進(jìn)行認(rèn)證操作，即對(duì)其進(jìn)行合法性驗(yàn)證并簽署認(rèn)可證書(shū)。

算法：接收來(lái)自源設(shè)備發(fā)送接口生成的消息M。僅當(dāng)VER（M.PKsender，M.m||M.q，M.σsender）為1時(shí)，生成響應(yīng)消息R；否則，忽略M。其中，R=（r，M.PKsender，M.q，M.σsender，σend）。R.r = CHECKPOLICY（M.m，M.PKsender，M.q，T），其中CHECKPOLICY為用戶自定義函數(shù)：若M.m被接受，則生成1；否則生成0。T為所有節(jié)點(diǎn)共享的狀態(tài)，其定義應(yīng)由用戶提供。R.σend=SIG（SKpeer，R.r||M.PKsender||M.q||M.σsender），其中SKpeer為節(jié)點(diǎn)運(yùn)行客戶端的私鑰。

若需要更新共享狀態(tài)，則向所有節(jié)點(diǎn)發(fā)送更新消息U=（u，M.PKsender，M.q，M.σsender，σcom）。其中，u為用戶定義的消息，用于更新共享狀態(tài)；σcom=SIG（SKpeer，u||M.PKsender||M.q||M.σsender）。

（4）提交節(jié)點(diǎn)

名稱：COMMITTINGPEER（U）

功能：用于將已經(jīng)背書(shū)的交易或消息U打包成區(qū)塊，并將其寫(xiě)入?yún)^(qū)塊鏈中，從而達(dá)成共識(shí)。

算法：接收來(lái)自所有認(rèn)證節(jié)點(diǎn)的更新消息U，這些節(jié)點(diǎn)均由同一發(fā)送者和消息觸發(fā)。其中，U=（u，PKsender，q，σsender，σcom）。U中的所有PKsender、q和σsender均相同。若滿足以下條件，則更新共享狀態(tài)T：

①對(duì)于U中大多數(shù)（gt;n/2）的U，U.u相同。

②VER（PKcom，U.u||U.PKsender||U.q||U.σsender， U.σcom）為1。

其中，PKcom為發(fā)送U的節(jié)點(diǎn)的公鑰。若不滿足上述條件，則忽略U。狀態(tài)更新通過(guò)調(diào)用用戶定義函數(shù)UPDATESTATE（U.u，T）實(shí)現(xiàn)。

用戶可提供以下兩個(gè)函數(shù)和兩個(gè)數(shù)據(jù)結(jié)構(gòu)，它們可通過(guò)智能合約實(shí)現(xiàn)，但其延遲比白名單技術(shù)長(zhǎng)一個(gè)數(shù)量級(jí)：

①CHECKPOLICY（m，PKsender，q，T）：若m被接受，則生成1；否則生成0。該函數(shù)可檢查多個(gè)安全策略。

②UPDATESTATE（u，T）：通過(guò)處理請(qǐng)求u來(lái)更新T。

③T：用戶定義的共享狀態(tài)數(shù)據(jù)結(jié)構(gòu)。

4.2 白名單技術(shù)協(xié)議

白名單技術(shù)協(xié)議的序列圖如圖7所示。協(xié)議始于源設(shè)備發(fā)送應(yīng)用層消息A=（m）。由于白名單技術(shù)協(xié)議對(duì)應(yīng)用層透明，源設(shè)備在無(wú)需了解白名單技術(shù)框架的情況下即可發(fā)送A。

為了將A傳遞到目標(biāo)設(shè)備，需通過(guò)白名單技術(shù)檢查其合規(guī)性。為此，客戶端的發(fā)送接口向所有其他客戶端廣播消息m。當(dāng)客戶端接收到m時(shí)，獨(dú)立判斷是否應(yīng)接受A。若決定接收，則生成響應(yīng)消息R并發(fā)送至目標(biāo)設(shè)備的接收接口。若RECEIVERINTERFACE返回1，接收接口將A傳遞給目標(biāo)設(shè)備；否則，A將被丟棄。通過(guò)這種方式，若源設(shè)備的消息違反安全策略，則將其隔離。

根據(jù)安全策略檢查結(jié)果，客戶端可能需要更新其狀態(tài)。此時(shí)，客戶端會(huì)向其他客戶端廣播更新消息U以同步狀態(tài)。

在PBFT協(xié)議中，指揮官向所有中尉發(fā)送消息。每個(gè)中尉將接收到的消息轉(zhuǎn)發(fā)給其他中尉，并接收來(lái)自其他中尉的轉(zhuǎn)發(fā)消息。若大多數(shù)接收到的消息一致，則達(dá)成共識(shí)并接受消息。在Hyperledger Fabric中，認(rèn)證節(jié)點(diǎn)扮演指揮官的角色，而提交節(jié)點(diǎn)扮演中尉的角色。認(rèn)證節(jié)點(diǎn)創(chuàng)建區(qū)塊收集交易，并將區(qū)塊分發(fā)給所有提交節(jié)點(diǎn)。每個(gè)提交節(jié)點(diǎn)執(zhí)行與PBFT協(xié)議中中尉相同的任務(wù)以達(dá)成共識(shí)。

在白名單技術(shù)中，發(fā)送接口扮演指揮官的角色，其他客戶端則扮演中尉的角色。發(fā)送接口通過(guò)向所有客戶端發(fā)送消息m來(lái)觸發(fā)協(xié)議。每個(gè)客戶端生成更新消息U，類似于PBFT中的轉(zhuǎn)發(fā)消息。不同之處在于，白名單技術(shù)中U僅在必要時(shí)生成，并通過(guò)客戶端間交換以達(dá)成共識(shí)。

4.3 安全屬性

假設(shè)存在一個(gè)概率多項(xiàng)式時(shí)間的攻擊者A，且A已成功攻擊了系統(tǒng)中的一個(gè)設(shè)備。接下來(lái)，A的目標(biāo)是通過(guò)發(fā)送非法消息破壞或觸發(fā)系統(tǒng)中的其他設(shè)備故障，若A能夠使健康設(shè)備接受非法消息，則A獲勝；而挑戰(zhàn)者C獲勝的條件是使被A攻擊的設(shè)備隔離，即被攻擊設(shè)備發(fā)送的非法消息不會(huì)被健康設(shè)備接受[19-21]。

攻擊者A可通過(guò)攻擊認(rèn)證節(jié)點(diǎn)、提交節(jié)點(diǎn)、發(fā)送接口或接收接口來(lái)嘗試贏得授權(quán)。

定理1：只要被攻擊的認(rèn)證節(jié)點(diǎn)不超過(guò)總認(rèn)證節(jié)點(diǎn)數(shù)n的一半，安全策略就能被執(zhí)行。

證明：攻擊者A可能試圖攻擊認(rèn)證節(jié)點(diǎn)并說(shuō)服它們接受非法消息，從而違反安全策略。此類攻擊需成功攻擊大多數(shù)認(rèn)證節(jié)點(diǎn)，因?yàn)橹挥卸鄶?shù)認(rèn)證節(jié)點(diǎn)批準(zhǔn)時(shí)，非法消息才會(huì)被接受。因此，若被攻擊的認(rèn)證節(jié)點(diǎn)少于總數(shù)的一半，非法消息將被拒絕。

定理2：只要被攻擊的提交節(jié)點(diǎn)不超過(guò)總提交節(jié)點(diǎn)數(shù)n-1的三分之一，共享狀態(tài)就能得到正確維護(hù)。

證明：攻擊者A可能試圖攻擊提交節(jié)點(diǎn)，通過(guò)非法更改共享狀態(tài)來(lái)扭曲決策。由于Hyperledger Fabric采用PBFT算法，只要被攻擊的提交節(jié)點(diǎn)數(shù)量少于總數(shù)n-1的三分之一，此類攻擊將不會(huì)成功。

定理3：僅攻擊發(fā)送接口不會(huì)導(dǎo)致除連接到該接口的源設(shè)備外的其他設(shè)備被隔離。

證明：被攻擊的發(fā)送接口可能更改消息M=（m，PKsender，q，σsender）。然而，若發(fā)送接口將m替換為不符合安全策略的非法消息，該消息將被丟棄。具體來(lái)說(shuō)：

①只要序列號(hào)q在預(yù)定的時(shí)間窗口內(nèi)唯一，任何重復(fù)使用的q將導(dǎo)致相關(guān)消息被丟棄。

②若簽名σsender與m、PKsender或q不匹配，M將被認(rèn)證節(jié)點(diǎn)忽略。

③若發(fā)送接口將M發(fā)送至錯(cuò)誤的目標(biāo)設(shè)備，且消息不符合安全策略，M將被丟棄。

④若向不同客戶端發(fā)送相同序列號(hào)的不同消息，相關(guān)消息也會(huì)被丟棄。

因此，即使發(fā)送接口被攻擊，系統(tǒng)的安全性質(zhì)仍得以保持。

若接收接口被攻擊，連接到該接口的目標(biāo)設(shè)備可能接受非法消息，因?yàn)橛山邮战涌谧罱K決定消息是否被接受。此時(shí)，攻擊者A獲勝，因?yàn)槟繕?biāo)設(shè)備接受了非法消息；但挑戰(zhàn)者C也在某種意義上獲勝，因?yàn)樵丛O(shè)備被隔離，其他設(shè)備拒絕了非法消息。影響僅限于目標(biāo)設(shè)備，系統(tǒng)整體安全性未受影響。

在白名單技術(shù)中，區(qū)塊鏈用于維護(hù)共享狀態(tài)，但不會(huì)存儲(chǔ)任何消息或用戶數(shù)據(jù)。具體而言，區(qū)塊鏈中存儲(chǔ)的內(nèi)容由用戶定義的策略決定。在本框架中，僅白名單信息存儲(chǔ)在區(qū)塊鏈中。

5 不足及改進(jìn)方向

本文假設(shè)設(shè)備身份驗(yàn)證和識(shí)別通過(guò)現(xiàn)有安全技術(shù)實(shí)現(xiàn)。當(dāng)前框架的主要限制是身份盜用問(wèn)題：若設(shè)備成功盜用另一設(shè)備的身份并冒充，框架可能允許其執(zhí)行未經(jīng)授權(quán)的任務(wù)。由于本文聚焦于安全策略的強(qiáng)制執(zhí)行，身份盜用問(wèn)題超出研究范圍。然而，所提出的框架與現(xiàn)有設(shè)備識(shí)別技術(shù)兼容，可通過(guò)集成這些技術(shù)解決身份盜用問(wèn)題。

若設(shè)備向不屬于目標(biāo)系統(tǒng)的設(shè)備發(fā)送消息，則超出框架的防護(hù)范圍。這是因?yàn)榭蚣艿暮诵哪繕?biāo)是通過(guò)防止惡意設(shè)備發(fā)送未經(jīng)授權(quán)或惡意消息來(lái)保護(hù)系統(tǒng)。若目標(biāo)設(shè)備未知，安全屬性無(wú)法強(qiáng)制執(zhí)行。對(duì)于某些應(yīng)用場(chǎng)景，這可能引發(fā)信息泄漏的風(fēng)險(xiǎn)，因?yàn)榭蚣苣壳耙蕾囉谀繕?biāo)設(shè)備拒絕非法消息。未來(lái)可通過(guò)擴(kuò)展框架，允許其他網(wǎng)絡(luò)組件（如接入點(diǎn)、交換機(jī)和路由器）拒絕非法消息，從而防止信息泄漏到未知設(shè)備。

當(dāng)前框架的實(shí)現(xiàn)基于假設(shè)消息未被加密，或即使消息被加密，認(rèn)證節(jié)點(diǎn)仍可獲取所有必要信息。例如，對(duì)于白名單檢查，唯一需要的信息是源設(shè)備的ID，而對(duì)于通信策略檢查，還需消息類型。因此，客戶端僅在消息類型未加密時(shí)可直接工作。若消息被加密，則需擴(kuò)展框架：當(dāng)源設(shè)備和目標(biāo)設(shè)備交換對(duì)稱密鑰以加密通信時(shí)，其客戶端也應(yīng)擁有該密鑰。發(fā)送加密消息時(shí)，源設(shè)備的客戶端解密消息并提取必要信息以檢查安全策略。提取的信息需使用另一密鑰加密并廣播至其他客戶端。為此，所有客戶端需維護(hù)相同的加密密鑰，但源設(shè)備和目標(biāo)設(shè)備的通信密鑰僅保留在源設(shè)備和目標(biāo)設(shè)備中。

當(dāng)前框架的實(shí)現(xiàn)不支持共享狀態(tài)的強(qiáng)內(nèi)存一致性。若多個(gè)提交節(jié)點(diǎn)同時(shí)發(fā)起更新請(qǐng)求（由不同認(rèn)證節(jié)點(diǎn)觸發(fā)），共享狀態(tài)可能不一致。框架目前保證更新信息U的原子處理，并確保來(lái)自同一提交節(jié)點(diǎn)的更新順序一致，這足以滿足案例研究的安全策略需求。然而，若來(lái)自不同提交節(jié)點(diǎn)的U的順序至關(guān)重要，則需引入更強(qiáng)的一致性模型，這將是未來(lái)工作的重點(diǎn)。

若大多數(shù)設(shè)備屬于同一類型或通過(guò)相同類型的附加硬件模塊連接到框架，則框架的安全性可能被削弱。在這種情況下，若存在可遠(yuǎn)程利用的漏洞，大多數(shù)設(shè)備（或附加硬件模塊）可能被輕易攻破。因此，在實(shí)際部署中，應(yīng)在多樣化設(shè)備上運(yùn)行客戶端，并使用多種類型的附加硬件模塊，以避免單一設(shè)備類型主導(dǎo)系統(tǒng)，從而增強(qiáng)安全性。

在白名單技術(shù)中，延遲隨節(jié)點(diǎn)數(shù)量增加而線性增長(zhǎng)。若設(shè)備數(shù)量大幅增加，可擴(kuò)展性可能成為問(wèn)題。為提升可擴(kuò)展性，可采用以下方法：

（1）多線程：通過(guò)多線程并行檢查簽名，而非逐個(gè)串行檢查，以減少延遲。

（2）分層拓?fù)洌簩⒃O(shè)備分組，由組長(zhǎng)做出中間決策，接收接口和提交節(jié)點(diǎn)基于中間決策做出最終決策。

（3）早期終止：在達(dá)成共識(shí)后終止接收消息。若大多數(shù)響應(yīng)（R）或更新請(qǐng)求（U）相同，則可忽略剩余的R和U，以加速收斂。

此外，設(shè)備被隔離可能并非由于遭受攻擊，而是因短暫錯(cuò)誤所致。為應(yīng)對(duì)這種情況，可擴(kuò)展白名單技術(shù)以支持自動(dòng)恢復(fù)機(jī)制。若設(shè)備能證明其良性狀態(tài)，框架應(yīng)允許其重新加入。驗(yàn)證方法可包括遠(yuǎn)程證明（CA）、自我修復(fù)或簡(jiǎn)單重啟（針對(duì)短暫攻擊的情況）。

6 結(jié) 語(yǔ)

本文提出了一種基于白名單技術(shù)的物聯(lián)網(wǎng)安全框架，通過(guò)區(qū)塊鏈強(qiáng)制執(zhí)行安全策略，有效隔離惡意設(shè)備并防止非法消息傳播?？蚣茉贖yperledger Fabric上實(shí)現(xiàn)，利用PBFT協(xié)議確保一致性和容錯(cuò)性。理論分析和案例研究表明，該框架在多數(shù)認(rèn)證節(jié)點(diǎn)和提交節(jié)點(diǎn)未被攻擊的情況下，能夠有效維護(hù)系統(tǒng)安全。然而，該框架在身份盜用、信息泄漏和一致性模型方面存在局限性，未來(lái)將通過(guò)集成現(xiàn)有技術(shù)、擴(kuò)展網(wǎng)絡(luò)組件支持和引入更強(qiáng)一致性模型進(jìn)一步改進(jìn)。該框架為物聯(lián)網(wǎng)系統(tǒng)提供了一種高效、可擴(kuò)展的安全解決方案，具有廣泛的應(yīng)用前景。

參考文獻(xiàn)

[1] TREND M. New wave of attacks aiming to rope home routers into IoT botnets [R/OL]. Shibuya City， Japan： Trend Micro， 2020.

[2] TREND M. Mirai botnet exploit weaponized to attack IoT devices via CVE-2020-5902 [R/OL]. Shibuya City， Japan： Trend Micro， 2020 [2023-10-10]. https：//blog.trendmicro.com/trendlabs-security-intelligence/mirai-botnet-exploit-weaponized-to-attack-iot-devices-via-cve-2020-5902/.

[3] ALLADI T， CHAMOLA V， SIKDAR B， et al. Consumer IoT： security vulnerability case studies and solutions [J]. IEEE consumer electronics magazine， 2020， 9（2）： 17-25.

[4]王珺，馬建煒，羅金喜.一種應(yīng)用于邊緣計(jì)算的區(qū)塊鏈分片方案[J].物聯(lián)網(wǎng)學(xué)報(bào)，2023，7（4）：88-100.

[5]蔣偉進(jìn)，羅田甜，楊瑩，等.物聯(lián)網(wǎng)環(huán)境下基于區(qū)塊鏈技術(shù)的私有數(shù)據(jù)訪問(wèn)控制模型[J].物聯(lián)網(wǎng)學(xué)報(bào)，2022，6（4）：169-182.

[6] SRIDHAR S， SMYS S. Intelligent security framework for IoT devices cryptography based end-to-end security architecture [C]// Proceedings of the International Conference on Inventive Systems and Control （ICISC）. Coimbatore， India， 2017： 1-5.

[7]李嘉豪，李冬梅，張曉梅.基于區(qū)塊鏈的輕量級(jí)物聯(lián)網(wǎng)醫(yī)療數(shù)據(jù)訪問(wèn)控制方案[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2024，36（1）：98-105.

[8] PAHL M， DONINI L. Securing IoT microservices with certificates [C]// Proceedings of the IEEE/IFIP Network Operations and Management Symposium （NOMS）. Taipei， Taiwan， China， 2018： 1-5.

[9] KUUSIJ?RVI J， SAVOLA R， SAVOLAINEN P， et al. Mitigating IoT security threats with a trusted network element [C]// Proceedings of the 11th International Conference on Internet Technologies and Secured Transactions （ICITST）. Barcelona， Spain： IEEE， 2016： 260-265.

[10]林飛龍，岳躍棟，鄭建輝，等.一種基于區(qū)塊鏈的身份鑒證與授權(quán)機(jī)制[J].計(jì)算機(jī)科學(xué)，2023，50（z1）：775-783.

[11] RULLO A， SERRA E， BERTINO E， et al. Shortfall-based optimal security provisioning for Internet of Things [C]// Proceedings of the IEEE 37th International Conference on Distributed Computing Systems （ICDCS）. Atlanta， GA， USA： IEEE， 2017： 2585-2586.

[12] RAMACHANDRAN G， HART D. A P2P intrusion detection system based on mobile agents [C]// Proceedings of the 42nd Annual Southeast Regional Conference， [S.l.]： [s.n.]， 2004： 185-190.

[13] GERVAIS A， KARAME G O， WüST K， et al. On the security and performance of proof of work blockchains [C]// Proceedings of the ACM SIGSAC Conference on Computer and Communications Security （CCS）. [S.l.]： ACM， 2016： 3-16.

[14] BABAR S， STANGO A， PRASAD N， et al. Proposed embedded security framework for Internet of Things （IoT） [C]// Proceedings of the 2nd International Conference on Internet of Things and Embedded Systems. Chennai， India： IEEE， 2011.

[15]鄧艷，葉新榮，余斌，等.基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備自主管控方案[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2023，32（8）：75-85.

[16] LIANG J， JIANG Y， WANG M， et al. DeepFuzzer： accelerated deep greybox fuzzing [J]. IEEE transactions on dependable and secure computing， 2019.

[17]于寶洋，張文波，郝穎.面向物聯(lián)網(wǎng)主從鏈結(jié)構(gòu)的認(rèn)證機(jī)制[J].沈陽(yáng)理工大學(xué)學(xué)報(bào)，2023，42（2）：15-21.

[18] GAO J， YANG X， JIANG Y， et al. Semantic learning based cross-platform binary vulnerability search for IoT devices [J]. IEEE transactions on industrial informatics， early access， 2019.

[19] MARKANTONAKIS K， AKRAM R N， HOLLOWAY R. A secure and trusted boot process for avionics wireless networks [C]// Proceedings of the Integrated Communications Navigation and Surveillance （ICNS）. Herndon， VA， USA： IEEE， 2016： 19-21.

[20]李步杰，姜江，趙青松.區(qū)塊鏈賦能5G在軍事物聯(lián)網(wǎng)中的應(yīng)用探討[J].物聯(lián)網(wǎng)技術(shù)，2023，13（6）：94-96.

[21] VIVEK S S， RAMASAMY R. Forward secure on-device encryption scheme withstanding cold boot attack [C]// Proceedings of the IEEE 2nd International Conference on Cyber Security and Cloud Computing （CSCloud）. New York， NY， USA： IEEE， 2015： 488-493.