2022HyperledgerFabric2.0架构安全报告.docx
HyperledgerFabric2.0架构安全报告目录序言3致谢4执行摘要6主要调查结果71简介8LI概述-Fabric实现贸易金融的工作流81.1 2FabriC架构威胁模型的范围112风险识别流程132.1 风险识别方法132.2 商业交易业务逻辑的威胁评估132.3 基于STRIDE模型的威胁分析142.4 第1步-识别FabriC2.0许可链网络的子系统142.5 第2步-解构/描绘FabriC2.0授权的网络可信边界(物理和逻辑)161.2 6第3步-在FabriC2.0授权网络运行时,交易金融工作流程的详细说明192.7 第4步使用STRlDE识别金融交易流程中的漏洞202.8 第5步通过对漏洞的可能性和影响进行评级以定义风险222.9 第6步-按功能区域将漏洞分组243发现273.1 业务层(Gartner区块链安全模型)273.2 风险/IAM流程和技术/IT层(Gartner的区块链安全模型)281.1 3调查结果对贸易金融Fabric网络的影响293.4 威胁缓解策略的建议293.5 事件响应策略推荐314Fabric2.0许可制网络的加密组件建议315术语33执行摘要作为用价值互联网取代信息互联网的基础平台(Carter,2019),区块链技术正获得迅速应用(GlobalBlockchainBusinessCouncil,2020)(GlobalBlockchainBusinessCounci1,2020:霍夫曼等人,2020:Gartner,2020<,由企业带来对外部业务工作流程的可追溯性和透明性,以及在不受信任和竞争激烈的业务环境中灌输信任和效率(IBM,2020)o考虑到许多外部业务工作流程涉及数字资产(欧盟委员会,2020)或其他高价值数据形式的交易和价值保管,隐私、保密性、完整性和可用性等网络安全属性无疑占据了区块链领域的中心舞台(Birge等,2018)。1任何这些属性的妥协都可能导致严重的商业影响,即贸易损失、所有权损失和/或利益相关者之间的信任损失(Chia等,2019)。在这份面向金融行业安全和风险管理领导者和监管机构的HyperledgerFabric2.0(Fabric2.0)i架构安全报告中,我们旨在通过两种方式减轻上述业务影响:1.我们首先确定Fabric2.0的架构对网络安全属性(隐私、机密性、完整性、可用性)的风险(Angelis等,2019),同时在基于云的环境中作为贸易金融业务的许可区块链企业网络实施。2.我们提供与NIST一致的完全可实施的“安全控制检查表”网络安全框架的控制措施2可主动预防、检测和应对上述风险,从而减轻因交易损失、信任损失和所有权损失而对贸易融资业务流程造成的下游业务影响。由于本报告是云安全联盟(CSA)3的一部分,因此特意选择了个云环境容纳Fabric网络,以利用CSA的专业知识安全地管理Fabric2.0许可区块链网络的物理基础设施。确定的风险范围和建议的相应安全对策已限制在HyPerIedgerFabric2.0网络环境的设计和开发阶段,以便使新加入IlypcrlcdgerFabric的安全和风险管理领导者能够快速了解评估运营成本所需的相关组织风险,同时平衡安全需求与业务优先级。主要调查结果风险识别流程包括在云环境中的HyperledgerFabric2.0许可区块链网络上运行的典型进口商和出口商之间的贸易融资工作流程(Copigneaux&EuropeanParliament,2020)。它贯穿于Gartner的区块链安全模型(Gartner,2018)的所有三个层面,即业务、风险和IAM流程以及技术/IT层,并包括以下内容:1 .对贸易融资业务逻辑:机密性和隐私的威胁评估以及执行和弹性2 .区块链网络和IAM流程与贸易金融工作流运行时的威胁建模当涉及到贸易金融业务逻辑和有效载荷保密性和隐私时,Fabric2.0许可的区块链网络发现在设计和默认方面是天然安全的。它还可以防止对手在执行流程中操纵贸易融资的业务逻辑。Fabric2.0架构威胁分析确定了14种高影响和高可能性威胁,其中50%源自具有“提升权限”的受损管理凭据。上述发现表明,结构系统和证书颁发机构的分散管理,再加上缺乏可靠的治理策略保护管理通道和凭据不受危害,可能会大大扩大攻击面,从而有助于从在贸易融资网络中“建立立足点”,可能会危及整个Fabric网络,并导致贸易损失、所有权损失以及贸易融资工作流程中进口商和出口商之间的信任损失,从而造成严重的业务影响。1简介1.l概述-Fabric实现贸易金融的工作流HyperledgerFabric2.0许可区块链网络用于描述贸易融资工作流中的简单交易":从一方到另一方的货物销售一一来自不同国家的买方和卖方之间的传统复杂交易,没有共同的可信中介方确保出口商得到承诺的钱,进口商得到承诺的货物。Fabric具有不变记录交易的永久性和分布跨多参与者网络的交易定义和验证(IBM,2020年)的固有属性。通过连接所有授权交易,金融参与者进口商和进口商银行、出口商和出口商银行、承运人和监管机构使用Fabric区块链分别在所有参与者之间同步分布式账本的交易状态,实现了这种传统工作流程的透明度和可追溯性。为Fabric网络开发的基于软件的智能合约嵌入了贸易金融的业务逻辑:即进口商银行向出口商银行作出付款承诺,但分两期付款。出口商从监管部门取得清关证明,将货物交给承运人,并取得收据。收据的产生会触发从进口商银行到出口商银行的第一笔付款分期付款。当货物到达目的港时,进行第二次也是最后一次付款,流程结束。下面列出了此工作流程的详细信息。1 .进口商以货币作为交换向出口商索要货品2 .出口商接受贸易协议3 .进口商向银行申请以出口商为受益人的信用证(LC)4 .进口商银行开具以出口商为受益人的信用证,并支付给出口商银行5 .出口商银行代表出口商接受信用证6 .出口商向监管部门申请E/L7 .监管部门向出口商提供E/L8 .出口商准备装运并交给承运人9 .(a)承运人在验证E/L后接受货物,并且(b)向出口商提供B/L10 .出口商银行向进口商银行索要一半货款11 .进口商银行将一半金额转给出口商银行12 .承运人将货物运送到目的地13 .进口商银行将余款支付给出口商银行以银行为中介的传统贸易金融工作流程及其相应的Pabric实现分别如图1和图2所示。图1:贸版用娜蜘脩溷云环境AHZTlSFabnc Client出I ItiiM络用户Walicc出口向用户图2:云环境下的贸易金融FabriC实现区块链网络通常具有相当大的实施成本。一个组织可以将其区块链实施与另一个合并以降低这些成本。在图2中,进口商组织和进口商银行共同代表云端指定为“进口商”的Fabric节点,而出口商组织和出口商银行共同代表云端指定为“出口商”的Fabric节点。通过在Fabric网络中称为“身份”的有效证书和密钥,允许访问Fabric节点。每个Fabric利益相关者组织都拥有自己的证书颁发机构(CA),用于向其用户颁发“身份”o为了使这些“身份”在登录期间可用,它们通常存储在称为“钱包”的存储库中,并且可以通过“Fabric客户端”轻松访问,如图2所ZFo贸易金融业务工作流包含在位于对等节点上的链码(即智能合约)中。进口商组织的用户通过向出口商提交“货物”交易请求激活此工作流程。LinUX基金会的AccordProject"用于使这种基于软件的贸易金融工作流程与典型商业协议中的实际法律条款和义务绑定,以具有法律约束力。Accord项目是一项非营利性协作计划,旨在为称为智能法律合同的具有法律效力的机器可读协议开发生态系统和开源工具(欧盟委员会,2019年);目标是帮助减少创建和管理商业关系时的摩擦和交易成本(Linux基金会项目,2017)0下面的图3和图4描绘了使用Accord项目的Cicero和Ergo工具为贸易金融工作流程开发的可执行智能合法供应协议的各个部分。SmartLegalSupplyAgreementforTradeFinanceThts SUPPLY AGREEMENT (togete< with al schedules attached hece<o, the eAQceemenf) ts entered mto as of (ExecutionDale) (the 4Execubon Dale) between (Exporter), a Delaware corpocaboo CExportere). hw)g a PnnClPel place o< busess at 12345 Main Street. California 92705. and (tenportef, a co>any organized and existing under the lews of Sweden (Importer), w<h a iaca of bus*ms al 39E. TunaVagon Stockholm SE114 55 1.SUPPty and Purchase of Products (Expoflec) saN SUPPty and (lmpoder) sal purchase Product) (the "Products=Shipment) m accordance with the terms of this agreement2 CrecMwocthmess QuaIificatBon for lmpoctec The (lmpof1ef Shae Onty be able to import (Product) based on their cr(Mwofttwwss as determined m the sole and OXCiUSfVe <krebon of th (lmpoctectOCBank)Letter Of Issue Dale (lssueDele) (ImpoctecCfe(Mworttwness) L,C Number ImportefLOCNumbef) (ImpoctectOCBank)I hereby issues thts rrevocaMe documentary Letter of Credit. (ImpodefLOCNumbecJ) to (lmoder) kx (IfnPOdefLOCAmount) An initial payment of ( (lmpodrLOCAmout),2 %) will be made mmedte<y upon sgh< by a draft drawn against (lmp<MtecL0C8ank) m accocdnce with (ImpoflefLOCNumbef)The draft slob acco>afwd by the foAowmg documents1 (OfdoreOfladmg)2 (Pdnglsl)3 (lnv«ce»The refwnvg % NImPoCteeIOCAmoUnt)2 ) Wll be made upon acceptance of te (Product) b th© (knpoftec) defined in SeCtlOa