基于白名單技術的物聯網安全策略研究

摘 要：使用一種基于區塊鏈的監控框架—白名單技術，以確保物聯網（IoT）設備的安全性。與集中式服務器不同，IoT設備分布于不同的地理位置，與物理系統緊密相連。由于IoT設備運算資源和存儲資源有限，因此它們的安全解決方案受限。所提出的方法假定設備會被攻擊，需要能夠自動隔離被攻擊的設備；或傳感網中存在惡意設備時，也將被隔離。為了在設備被攻擊時執行安全策略，建議在監控框架中使用區塊鏈，只要大多數設備未被攻擊就可執行安全策略。通過使用許可的區塊鏈和附加硬件模塊，所提出的框架相較于無許可的區塊鏈框架（例如以太坊），具有顯著的低延遲和低開銷優勢，并實現了靈活的可擴展性。

關鍵詞：區塊鏈；物聯網（IoT）；白名單；安全策略；容錯性；PBFT協議

中圖分類號：TP309；TN919 文獻標識碼：A 文章編號：2095-1302（2025）08-00-07

0 引 言

隨著物聯網技術的普及，物聯網的安全性問題愈加突出。越來越多的物聯網設備被連接到我們社會的不同系統中，如何保護這些設備不被攻擊，以及如何防止這些設備被用作攻擊他人的工具，變得異常緊迫。安全組織最近的研究表明，物聯網設備正日益成為黑客的目標。

然而，保護物聯網設備—特別是那些暴露在公共場所的設備—免受攻擊具有挑戰性。由于無法始終保證物聯網設備的物理安全性，它們更容易被攻擊并落入黑客的完全控制之下。此外，物聯網設備資源有限的特性也增加了防止其固件和硬件組件被攻擊的難度。因此，本文提出的方法假定任何一個設備在某個階段都可能被攻擊，并在發生這種情況時自動隔離該設備。這種方法不同于現有的側重于構建安全設備的框架[1]，本方法采用區塊鏈作為基礎機制，只要網絡中大多數設備未被攻擊，整個系統的安全性就可以得到保障。

要將區塊鏈應用于物聯網系統，必須解決以下問題[2]：

（1）時間延遲：在無許可的區塊鏈框架（如以太坊）中，達成共識需要數分鐘。這對于延遲敏感的應用（如智能電網、智慧城市等）是不可接受的。

（2）適用性：物聯網系統設備制造商類型和采用的協議復雜多樣，因此，所有設備都支持相同的區塊鏈框架是不切實際的。

（3）資源限制：由于區塊鏈的有效性依賴于足夠數量的參與設備，而物聯網設備資源有限，不太可能成為合適的區塊鏈客戶端。

本文實施了一種安全策略—物聯網白名單技術（以下簡稱“白名單技術”），通過使用Hyperledger Fabric[3]和一個附加的硬件模塊解決了上述三個問題。該技術的平均延遲為128.95 ms，而在以太坊上實施相同的技術則需要9.6 s。

此外，附加的硬件模塊允許現有設備加入框架而無需修改。Hyperledger Fabric的計算需求明顯低于無許可的區塊鏈框架，因為它使用拜占庭容錯（Practical Byzantine Fault Tolerance， PBFT）協議進行共識。

本文提出的框架具有高度靈活性：資源受限的設備可以僅運行區塊鏈客戶端的一部分，而資源強大的設備可以代表資源受限的設備運行區塊鏈客戶端的全部功能[4]。

1 目的與背景

1.1 目的

IoT系統具有與物理世界接觸的能力，這些設備更容易受到攻擊，而它們的有限資源限制了采用完整安全解決方案的可能性[5]。

攻擊場景可以根據目標進行分類，如圖1所示。對這些攻擊場景的應對措施通常假定底層組件是可信的。設備的安全性是網絡和系統安全的基礎。

本文假設單個設備被攻擊時，可以自動隔離受攻擊的設備，旨在檢測到不可信設備時隔離它們，確保IoT系統僅由可信設備組成。

目前現有的安全策略暴露出以下問題[6]：

（1）現有許多對策采用集中式方法，這種方法存在單點故障的風險，也可能無法監視所有網絡流量。

（2）可以通過在網絡中分布代理，但如果代理被攻擊，其部分系統將無法被監視。

（3）可以通過點對點投票機制提供容錯性。由于決策是協作完成的，只要大多數設備未被攻擊，就可以保證安全策略的執行。然而，由于未采用共識協議，其能力受到限制。

（4）如果任何信息都需要由設備共享，且信息需要實時更新，則現有的點對點方法無法解決該問題。

本文提出的方法是利用區塊鏈來執行安全策略，在不可信設備上實現可信計算。只要網絡中大多數設備未被攻擊，整個系統的安全性就可以得到保障[7]。與現有的集中式和分布式方法相比，這種方法提供了更高的安全保障。同時，通過共識協議，該方法能夠支持共享信息的實時更新。此外，該方法通過監視所有網絡流量，阻止來自惡意設備的流量，從而實現對其隔離[8]。物聯網安全方法的比較見表1。

在實施區塊鏈的安全策略時，采用Hyperledger Fabric和附加硬件模塊來解決之前提出的三個問題[9]。

（1）Hyperledger Fabric是專為需要控制成員資格的私有許可網絡設計的，這種環境在物聯網系統中很常見。與無許可區塊鏈相比，Hyperledger Fabric的一個優點是無需計算密集型的工作量證明（PoW）而快速收斂，能夠有效解決延遲問題（挑戰1）。

（2）引入了一個附加硬件模塊，使不支持所提出框架的設備能夠支持該框架（挑戰2）。

（3）只需通過與附加模塊配對，現有設備即可加入框架，無需對實際設備進行任何修改。區塊鏈客戶端以附加模塊的形式實現，能夠有效緩解設備資源受限的問題。另外，Hyperledger Fabric使用PBFT協議作為共識協議，而非PoW，有助于降低資源需求（挑戰3）。

現有基于區塊鏈的物聯網安全解決方案已被應用于安全固件更新、配置管理和能源交易等領域，這些應用無需解決上述問題[5]。白名單技術是首個嘗試提供通用監控框架的方案，可用于減輕針對設備的各種攻擊。

附加模塊作為系統中的額外組件[10]，雖然可能增加系統成本，但其優勢在于可適用于任何類型的設備。通過大規模生產，單個模塊的成本可以得到有效分攤。

1.2 Hyperledger Fabric

Hyperledger Fabric是Hyperledger項目中的一個區塊鏈框架[11]，旨在為私有或聯盟網絡提供許可區塊鏈框架。與公有區塊鏈框架（如比特幣和以太坊）不同，由于參與者的成員資格受控，它無需面對嚴苛的環境，因此能夠以有限的計算資源確保安全性，這也是其采用PBFT協議作為共識機制的原因。

圖2展示了Hyperledger Fabric框架的工作流程。當新交易發生時，它會被廣播至認證節點。每個認證節點執行智能合約，并根據其背書策略決定是否接受該交易。若交易獲得認證節點背書，則將其發送至提交節點。提交節點負責收集交易并生成區塊[12]。圖中將提交節點表示為單一實體，實際上它以分布式方式實現，以確保容錯性。提交節點的存在有效避免了計算資源浪費在無效區塊上。最后，通過PBFT協議將區塊存儲在提交節點中。

Fabric的分布式架構賦予其容錯能力，能夠有效應對節點故障。共享信息的一致性由共識協議保證。通過采用PBFT協議（而非PoW），Fabric實現了低延遲和低性能開銷。基于這些優勢，選擇Hyperledger Fabric作為底層區塊鏈框架，以保障物聯網系統的安全性。由于Fabric包含部分本文不需要的功能，因此本文對框架進行了重構。

2 相關工作

本文嘗試提供基于區塊鏈的監控框架，用于檢測和隔離受惡意固件攻擊或物理攻擊的受損設備。

在以往的研究中，物聯網安全框架的研究目標通常聚焦于通過設計環節確保其安全屬性，例如硬件-軟件代碼簽名、加密狗、開發環節的嚴謹性以及物聯網生態系統的安全要求等，以保護設備免受固件或物理攻擊。

盡管在固件和硬件的設計上已投入大量精力，但設備仍面臨被攻擊的風險。例如，攻擊者可通過替換閃存或工作內存（如DRAM）中的代碼來破壞固件[3]，或通過代碼注入和代碼重用來規避安全啟動和認證機制。此外，攻擊者還可利用故障注入、反向工程、微探針和虛假數據注入等手段對硬件實施物理攻擊[13]。

由于物聯網設備具有資源受限和缺乏物理安全性的特點，現有的通用計算機安全解決方案并不適用。本文方法兼容現有的預防技術，同時適用于設備可能遭受攻擊的場景。一旦設備被攻擊，系統可通過檢查是否違反安全策略來檢測攻擊行為，并利用區塊鏈強制執行安全策略。相較于通常假設自身安全的集中式或分布式方法[14]，本文方案提供了更高的安全保障級別。

3 白名單技術概述

白名單技術是一個基于區塊鏈的監控框架，它監控設備的網絡消息，并隔離不符合安全策略的（惡意）設備。簡而言之，白名單技術是通過區塊鏈技術監控設備的通信，并通過隔離不符合安全策略的設備來保護物聯網系統的安全。

3.1 威脅模型

白名單技術的主要目標是隔離違反安全策略設備的網絡消息。設備的行為可能會在被惡意軟件或物理攻擊感染后發生變化，但這種變化可能不可觀察，例如設備可能會竊聽網絡流量，但不向其他設備發送任何未經授權或惡意的消息。然而，如果被感染的設備試圖向未經授權的設備發送信息，該信息將被阻止。白名單技術旨在防止惡意設備通過發送未經授權或惡意的消息來影響系統[15]。

3.2 位置

白名單技術框架工作在應用層和網絡層之間[16]，但獨立于網絡層和應用層，如圖3所示。該框架監視應用層的消息，以檢查設備是否遵循安全規則。換言之，該框架可以在任何網絡協議之上工作，并監視任何應用層協議。如果網絡層不存在，它還可以在物理層工作。這意味著白名單技術框架具有很強的靈活性和通用性，適用于不同的網絡和應用層協議。

白名單技術使用區塊鏈客戶端實現，如圖4所示。系統由不同類型的設備組成，而這些設備可能不能直接支持該框架。如果設備支持該框架，則區塊鏈客戶端在設備上運行；若設備不支持，則可通過與附加能夠運行區塊鏈客戶端的硬件模塊配對后加入該框架[17]。

與附加模塊配對并不一定意味著需要物理連接。即，附加模塊可與設備物理連接[18]，也可以通過網絡遠程連接到設備。附加模塊具有兩個網絡接口：一個用于配對設備，另一個用于區塊鏈網絡。附加模塊與配對設備的首次連接應配置為僅允許與其配對設備通信。為了兼容更廣泛的設備類型，附加模塊應為其配對設備提供多樣化的網絡接口支持。

3.3 協議

白名單技術的協議流程如圖5所示。所有應用層消息均通過該框架進行處理，以確保其符合安全策略要求。當源設備A發送消息時，消息會先由其客戶端中的發送接口處理，該客戶端可位于設備本身或其配對的附加模塊中。發送接口將消息分發至所有認證節點，每個認證節點根據其認證策略判斷消息是否符合規范，并將結果發送至目標設備的接收接口。若消息被接受，則會被傳遞至目標設備B。根據驗證結果，安全策略可能需要通過提交節點執行共識協議進行更新，以確保共享安全策略的一致性。

3.4 分配

由于資源限制，區塊鏈客戶端可能僅包含部分邏輯組件。白名單技術支持靈活的組件分配，但發送接口和接收接口應成對分配，認證節點和提交節點也應成對分配。

如圖6所示，設備A通過附加模塊連接到框架。運行在設備A附加模塊上的區塊鏈客戶端包含完整的發送接口、接收接口、認證節點和提交節點。設備B的客戶端雖然組件相同，但其客戶端直接運行在設備B上。對于資源受限的設備C，它僅運行發送接口和接收接口。

本系統還可利用不參與目標系統消息交換的設備作為認證節點和提交節點。由于這些設備不進行消息交換，因此無需配備發送接口和接收接口。這種設計不僅能夠規避攻擊者的注意，還能減少運行區塊鏈客戶端所需的資源開銷。

4 白名單技術架構

4.1 原型

白名單技術采用數字簽名方案驗證消息的真實性。

（1）GEN（1λ）：輸入安全參數1λ，生成一對公鑰和私鑰（PK，SK）。

（2）SIG（SK，m）：輸入私鑰SK和消息m，生成簽名σ。

（3）VER（PK，m，σ）：輸入公鑰PK、消息m和簽名σ，如果成功使用公鑰PK驗證消息m上的簽名σ，則生成1，否則生成0。

當客戶端加入框架時，它使用GEN生成PK和SK，并以ID的形式發布PK[19]。客戶端包括發送接口、接收接口、認證節點和提交節點[20]。

（1）發送接口

名稱：SENDERINTERFACE（m）

功能：用于向區塊鏈網絡發送交易或消息M。

算法：接收輸入m，生成消息M=（m，PKsender，q，σsender）。其中，PKsender表示客戶端的公鑰，發送接口運行于該客戶端。q為序列號，每次執行算法時自動遞增。將PKsender和q包含在M中，可在系統范圍內唯一標識消息，同時防止重放攻擊。若攻擊者能夠重復使用q，則可重發先前消息，這可能被用于虛假命令或數據注入，因此確保q的唯一性至關重要。σsender是通過簽名算法SIG（SKsender， m||q）生成的數字簽名。

（2）接收接口

名稱：RECEIVERINTERFACE（R，M）

功能：用于接收區塊鏈網絡中的交易或消息M以及所有認證節點的響應消息R，并通過運算評估消息的可靠性。

算法：接收來自所有認證節點的響應消息R，這些節點均由同一消息發送者認證。其中，R=（r，PKsender，q，σsender，σend）。R中的所有PKsender、q和σsender均相同。

M是從發送者接收到的原始消息。若滿足以下條件，則RECEIVERINTERFACE生成1：

①對于大多數（gt;n/2）R，R.r為1（即接受）。

②VER（PKpeer，R.r||R.PKsender||R.q||R.σsender， R.σend）為1。

③R.PKsender等于M.PKsender。

④R.q等于M.q。

此外，由于客戶端的公鑰已發布，PKpeer是已知的。還需驗證M的簽名是否有效，即VER（M.PKsender，M.m||M.q，M.σsender）應為1。若上述任一條件不滿足，則生成0。

（3）認證節點

名稱：ENDORSINGPEER（M）

功能：用于對交易或消息M進行認證操作，即對其進行合法性驗證并簽署認可證書。

算法：接收來自源設備發送接口生成的消息M。僅當VER（M.PKsender，M.m||M.q，M.σsender）為1時，生成響應消息R；否則，忽略M。其中，R=（r，M.PKsender，M.q，M.σsender，σend）。R.r = CHECKPOLICY（M.m，M.PKsender，M.q，T），其中CHECKPOLICY為用戶自定義函數：若M.m被接受，則生成1；否則生成0。T為所有節點共享的狀態，其定義應由用戶提供。R.σend=SIG（SKpeer，R.r||M.PKsender||M.q||M.σsender），其中SKpeer為節點運行客戶端的私鑰。

若需要更新共享狀態，則向所有節點發送更新消息U=（u，M.PKsender，M.q，M.σsender，σcom）。其中，u為用戶定義的消息，用于更新共享狀態；σcom=SIG（SKpeer，u||M.PKsender||M.q||M.σsender）。

（4）提交節點

名稱：COMMITTINGPEER（U）

功能：用于將已經背書的交易或消息U打包成區塊，并將其寫入區塊鏈中，從而達成共識。

算法：接收來自所有認證節點的更新消息U，這些節點均由同一發送者和消息觸發。其中，U=（u，PKsender，q，σsender，σcom）。U中的所有PKsender、q和σsender均相同。若滿足以下條件，則更新共享狀態T：

①對于U中大多數（gt;n/2）的U，U.u相同。

②VER（PKcom，U.u||U.PKsender||U.q||U.σsender， U.σcom）為1。

其中，PKcom為發送U的節點的公鑰。若不滿足上述條件，則忽略U。狀態更新通過調用用戶定義函數UPDATESTATE（U.u，T）實現。

用戶可提供以下兩個函數和兩個數據結構，它們可通過智能合約實現，但其延遲比白名單技術長一個數量級：

①CHECKPOLICY（m，PKsender，q，T）：若m被接受，則生成1；否則生成0。該函數可檢查多個安全策略。

②UPDATESTATE（u，T）：通過處理請求u來更新T。

③T：用戶定義的共享狀態數據結構。

4.2 白名單技術協議

白名單技術協議的序列圖如圖7所示。協議始于源設備發送應用層消息A=（m）。由于白名單技術協議對應用層透明，源設備在無需了解白名單技術框架的情況下即可發送A。

為了將A傳遞到目標設備，需通過白名單技術檢查其合規性。為此，客戶端的發送接口向所有其他客戶端廣播消息m。當客戶端接收到m時，獨立判斷是否應接受A。若決定接收，則生成響應消息R并發送至目標設備的接收接口。若RECEIVERINTERFACE返回1，接收接口將A傳遞給目標設備；否則，A將被丟棄。通過這種方式，若源設備的消息違反安全策略，則將其隔離。

根據安全策略檢查結果，客戶端可能需要更新其狀態。此時，客戶端會向其他客戶端廣播更新消息U以同步狀態。

在PBFT協議中，指揮官向所有中尉發送消息。每個中尉將接收到的消息轉發給其他中尉，并接收來自其他中尉的轉發消息。若大多數接收到的消息一致，則達成共識并接受消息。在Hyperledger Fabric中，認證節點扮演指揮官的角色，而提交節點扮演中尉的角色。認證節點創建區塊收集交易，并將區塊分發給所有提交節點。每個提交節點執行與PBFT協議中中尉相同的任務以達成共識。

在白名單技術中，發送接口扮演指揮官的角色，其他客戶端則扮演中尉的角色。發送接口通過向所有客戶端發送消息m來觸發協議。每個客戶端生成更新消息U，類似于PBFT中的轉發消息。不同之處在于，白名單技術中U僅在必要時生成，并通過客戶端間交換以達成共識。

4.3 安全屬性

假設存在一個概率多項式時間的攻擊者A，且A已成功攻擊了系統中的一個設備。接下來，A的目標是通過發送非法消息破壞或觸發系統中的其他設備故障，若A能夠使健康設備接受非法消息，則A獲勝；而挑戰者C獲勝的條件是使被A攻擊的設備隔離，即被攻擊設備發送的非法消息不會被健康設備接受[19-21]。

攻擊者A可通過攻擊認證節點、提交節點、發送接口或接收接口來嘗試贏得授權。

定理1：只要被攻擊的認證節點不超過總認證節點數n的一半，安全策略就能被執行。

證明：攻擊者A可能試圖攻擊認證節點并說服它們接受非法消息，從而違反安全策略。此類攻擊需成功攻擊大多數認證節點，因為只有多數認證節點批準時，非法消息才會被接受。因此，若被攻擊的認證節點少于總數的一半，非法消息將被拒絕。

定理2：只要被攻擊的提交節點不超過總提交節點數n-1的三分之一，共享狀態就能得到正確維護。

證明：攻擊者A可能試圖攻擊提交節點，通過非法更改共享狀態來扭曲決策。由于Hyperledger Fabric采用PBFT算法，只要被攻擊的提交節點數量少于總數n-1的三分之一，此類攻擊將不會成功。

定理3：僅攻擊發送接口不會導致除連接到該接口的源設備外的其他設備被隔離。

證明：被攻擊的發送接口可能更改消息M=（m，PKsender，q，σsender）。然而，若發送接口將m替換為不符合安全策略的非法消息，該消息將被丟棄。具體來說：

①只要序列號q在預定的時間窗口內唯一，任何重復使用的q將導致相關消息被丟棄。

②若簽名σsender與m、PKsender或q不匹配，M將被認證節點忽略。

③若發送接口將M發送至錯誤的目標設備，且消息不符合安全策略，M將被丟棄。

④若向不同客戶端發送相同序列號的不同消息，相關消息也會被丟棄。

因此，即使發送接口被攻擊，系統的安全性質仍得以保持。

若接收接口被攻擊，連接到該接口的目標設備可能接受非法消息，因為由接收接口最終決定消息是否被接受。此時，攻擊者A獲勝，因為目標設備接受了非法消息；但挑戰者C也在某種意義上獲勝，因為源設備被隔離，其他設備拒絕了非法消息。影響僅限于目標設備，系統整體安全性未受影響。

在白名單技術中，區塊鏈用于維護共享狀態，但不會存儲任何消息或用戶數據。具體而言，區塊鏈中存儲的內容由用戶定義的策略決定。在本框架中，僅白名單信息存儲在區塊鏈中。

5 不足及改進方向

本文假設設備身份驗證和識別通過現有安全技術實現。當前框架的主要限制是身份盜用問題：若設備成功盜用另一設備的身份并冒充，框架可能允許其執行未經授權的任務。由于本文聚焦于安全策略的強制執行，身份盜用問題超出研究范圍。然而，所提出的框架與現有設備識別技術兼容，可通過集成這些技術解決身份盜用問題。

若設備向不屬于目標系統的設備發送消息，則超出框架的防護范圍。這是因為框架的核心目標是通過防止惡意設備發送未經授權或惡意消息來保護系統。若目標設備未知，安全屬性無法強制執行。對于某些應用場景，這可能引發信息泄漏的風險，因為框架目前依賴于目標設備拒絕非法消息。未來可通過擴展框架，允許其他網絡組件（如接入點、交換機和路由器）拒絕非法消息，從而防止信息泄漏到未知設備。

當前框架的實現基于假設消息未被加密，或即使消息被加密，認證節點仍可獲取所有必要信息。例如，對于白名單檢查，唯一需要的信息是源設備的ID，而對于通信策略檢查，還需消息類型。因此，客戶端僅在消息類型未加密時可直接工作。若消息被加密，則需擴展框架：當源設備和目標設備交換對稱密鑰以加密通信時，其客戶端也應擁有該密鑰。發送加密消息時，源設備的客戶端解密消息并提取必要信息以檢查安全策略。提取的信息需使用另一密鑰加密并廣播至其他客戶端。為此，所有客戶端需維護相同的加密密鑰，但源設備和目標設備的通信密鑰僅保留在源設備和目標設備中。

當前框架的實現不支持共享狀態的強內存一致性。若多個提交節點同時發起更新請求（由不同認證節點觸發），共享狀態可能不一致。框架目前保證更新信息U的原子處理，并確保來自同一提交節點的更新順序一致，這足以滿足案例研究的安全策略需求。然而，若來自不同提交節點的U的順序至關重要，則需引入更強的一致性模型，這將是未來工作的重點。

若大多數設備屬于同一類型或通過相同類型的附加硬件模塊連接到框架，則框架的安全性可能被削弱。在這種情況下，若存在可遠程利用的漏洞，大多數設備（或附加硬件模塊）可能被輕易攻破。因此，在實際部署中，應在多樣化設備上運行客戶端，并使用多種類型的附加硬件模塊，以避免單一設備類型主導系統，從而增強安全性。

在白名單技術中，延遲隨節點數量增加而線性增長。若設備數量大幅增加，可擴展性可能成為問題。為提升可擴展性，可采用以下方法：

（1）多線程：通過多線程并行檢查簽名，而非逐個串行檢查，以減少延遲。

（2）分層拓撲：將設備分組，由組長做出中間決策，接收接口和提交節點基于中間決策做出最終決策。

（3）早期終止：在達成共識后終止接收消息。若大多數響應（R）或更新請求（U）相同，則可忽略剩余的R和U，以加速收斂。

此外，設備被隔離可能并非由于遭受攻擊，而是因短暫錯誤所致。為應對這種情況，可擴展白名單技術以支持自動恢復機制。若設備能證明其良性狀態，框架應允許其重新加入。驗證方法可包括遠程證明（CA）、自我修復或簡單重啟（針對短暫攻擊的情況）。

6 結 語

本文提出了一種基于白名單技術的物聯網安全框架，通過區塊鏈強制執行安全策略，有效隔離惡意設備并防止非法消息傳播。框架在Hyperledger Fabric上實現，利用PBFT協議確保一致性和容錯性。理論分析和案例研究表明，該框架在多數認證節點和提交節點未被攻擊的情況下，能夠有效維護系統安全。然而，該框架在身份盜用、信息泄漏和一致性模型方面存在局限性，未來將通過集成現有技術、擴展網絡組件支持和引入更強一致性模型進一步改進。該框架為物聯網系統提供了一種高效、可擴展的安全解決方案，具有廣泛的應用前景。

參考文獻

[1] TREND M. New wave of attacks aiming to rope home routers into IoT botnets [R/OL]. Shibuya City， Japan： Trend Micro， 2020.

[2] TREND M. Mirai botnet exploit weaponized to attack IoT devices via CVE-2020-5902 [R/OL]. Shibuya City， Japan： Trend Micro， 2020 [2023-10-10]. https：//blog.trendmicro.com/trendlabs-security-intelligence/mirai-botnet-exploit-weaponized-to-attack-iot-devices-via-cve-2020-5902/.

[3] ALLADI T， CHAMOLA V， SIKDAR B， et al. Consumer IoT： security vulnerability case studies and solutions [J]. IEEE consumer electronics magazine， 2020， 9（2）： 17-25.

[4]王珺，馬建煒，羅金喜.一種應用于邊緣計算的區塊鏈分片方案[J].物聯網學報，2023，7（4）：88-100.

[5]蔣偉進，羅田甜，楊瑩，等.物聯網環境下基于區塊鏈技術的私有數據訪問控制模型[J].物聯網學報，2022，6（4）：169-182.

[6] SRIDHAR S， SMYS S. Intelligent security framework for IoT devices cryptography based end-to-end security architecture [C]// Proceedings of the International Conference on Inventive Systems and Control （ICISC）. Coimbatore， India， 2017： 1-5.

[7]李嘉豪，李冬梅，張曉梅.基于區塊鏈的輕量級物聯網醫療數據訪問控制方案[J].重慶郵電大學學報（自然科學版），2024，36（1）：98-105.

[8] PAHL M， DONINI L. Securing IoT microservices with certificates [C]// Proceedings of the IEEE/IFIP Network Operations and Management Symposium （NOMS）. Taipei， Taiwan， China， 2018： 1-5.

[9] KUUSIJ?RVI J， SAVOLA R， SAVOLAINEN P， et al. Mitigating IoT security threats with a trusted network element [C]// Proceedings of the 11th International Conference on Internet Technologies and Secured Transactions （ICITST）. Barcelona， Spain： IEEE， 2016： 260-265.

[10]林飛龍，岳躍棟，鄭建輝，等.一種基于區塊鏈的身份鑒證與授權機制[J].計算機科學，2023，50（z1）：775-783.

[11] RULLO A， SERRA E， BERTINO E， et al. Shortfall-based optimal security provisioning for Internet of Things [C]// Proceedings of the IEEE 37th International Conference on Distributed Computing Systems （ICDCS）. Atlanta， GA， USA： IEEE， 2017： 2585-2586.

[12] RAMACHANDRAN G， HART D. A P2P intrusion detection system based on mobile agents [C]// Proceedings of the 42nd Annual Southeast Regional Conference， [S.l.]： [s.n.]， 2004： 185-190.

[13] GERVAIS A， KARAME G O， WüST K， et al. On the security and performance of proof of work blockchains [C]// Proceedings of the ACM SIGSAC Conference on Computer and Communications Security （CCS）. [S.l.]： ACM， 2016： 3-16.

[14] BABAR S， STANGO A， PRASAD N， et al. Proposed embedded security framework for Internet of Things （IoT） [C]// Proceedings of the 2nd International Conference on Internet of Things and Embedded Systems. Chennai， India： IEEE， 2011.

[15]鄧艷，葉新榮，余斌，等.基于區塊鏈的物聯網設備自主管控方案[J].計算機系統應用，2023，32（8）：75-85.

[16] LIANG J， JIANG Y， WANG M， et al. DeepFuzzer： accelerated deep greybox fuzzing [J]. IEEE transactions on dependable and secure computing， 2019.

[17]于寶洋，張文波，郝穎.面向物聯網主從鏈結構的認證機制[J].沈陽理工大學學報，2023，42（2）：15-21.

[18] GAO J， YANG X， JIANG Y， et al. Semantic learning based cross-platform binary vulnerability search for IoT devices [J]. IEEE transactions on industrial informatics， early access， 2019.

[19] MARKANTONAKIS K， AKRAM R N， HOLLOWAY R. A secure and trusted boot process for avionics wireless networks [C]// Proceedings of the Integrated Communications Navigation and Surveillance （ICNS）. Herndon， VA， USA： IEEE， 2016： 19-21.

[20]李步杰，姜江，趙青松.區塊鏈賦能5G在軍事物聯網中的應用探討[J].物聯網技術，2023，13（6）：94-96.

[21] VIVEK S S， RAMASAMY R. Forward secure on-device encryption scheme withstanding cold boot attack [C]// Proceedings of the IEEE 2nd International Conference on Cyber Security and Cloud Computing （CSCloud）. New York， NY， USA： IEEE， 2015： 488-493.