北京中電普華信息技術(shù)有限公司 閆 丹 陳渲穎 王 瑩

北京城市排水集團基建管理分公司 王蘭帥

針對當(dāng)前物聯(lián)網(wǎng)應(yīng)用的現(xiàn)狀、相關(guān)的安全問題，引入了基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的架構(gòu)體系。首先介紹了區(qū)塊鏈技術(shù)介紹的相關(guān)概念，引入了基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的架構(gòu)體系，論述了其整體架構(gòu)設(shè)計、關(guān)鍵技術(shù)和功能結(jié)構(gòu)設(shè)計。該產(chǎn)品在區(qū)塊鏈的基礎(chǔ)上實現(xiàn)了物聯(lián)網(wǎng)平臺的全過程，區(qū)塊鏈以物聯(lián)網(wǎng)為基礎(chǔ)打造基礎(chǔ)架構(gòu)，并通過去中心化的技術(shù)特點解決物聯(lián)網(wǎng)中日益嚴(yán)重的安全問題。

物聯(lián)網(wǎng)是新一代信息技術(shù)的高度集成和綜合運用，對新一輪產(chǎn)業(yè)變革和經(jīng)濟社會綠色、智能、可持續(xù)發(fā)展具有重要意義。物聯(lián)網(wǎng)技術(shù)發(fā)展引導(dǎo)了全球信息基礎(chǔ)設(shè)施的演進路徑，推動了傳統(tǒng)產(chǎn)品、設(shè)備、流程和服務(wù)向數(shù)字化、網(wǎng)絡(luò)化和智能化發(fā)展。隨著物聯(lián)網(wǎng)的發(fā)展和應(yīng)用，我們發(fā)現(xiàn)物聯(lián)網(wǎng)也面臨著種種的挑戰(zhàn)和痛點。

（1）在設(shè)備安全方面，終端數(shù)量龐大、種類繁多，網(wǎng)絡(luò)架構(gòu)的缺陷使得這些設(shè)備很容易受到攻擊。

（2）在個人隱私方面，重點表現(xiàn)在目前的架構(gòu)體系無法自證明凈，個人隱私數(shù)據(jù)特別容易被黑可攻擊而泄露。

（3）架構(gòu)僵化，目前的物聯(lián)網(wǎng)數(shù)據(jù)流都匯總到單一的中心控制系統(tǒng)，隨著低功耗廣域技術(shù)的持續(xù)演進，可以預(yù)見的是，未來物聯(lián)網(wǎng)設(shè)備將呈幾何級數(shù)增長，中心化服務(wù)成本難以負(fù)擔(dān)。

（4）傳輸通信，各個物聯(lián)網(wǎng)之間協(xié)議、標(biāo)準(zhǔn)、平臺等的不一致，導(dǎo)致形成設(shè)備的接入是物聯(lián)網(wǎng)發(fā)展的額難點和痛點。

1 區(qū)塊鏈技術(shù)

1.1 區(qū)塊鏈技術(shù)的特點

區(qū)塊鏈?zhǔn)且环N去中心化、不可篡改、可追溯、多方共同維護的分布式數(shù)據(jù)庫，可在互不了解的多方間建立可靠的信任，在沒有第三方中介機構(gòu)的協(xié)調(diào)下，劃時代地實現(xiàn)了可信的數(shù)據(jù)共享和點對點的價值傳輸，包括分布式賬本、非對稱加密和授權(quán)技術(shù)、共識機制、智能合約等技術(shù)。

隨著傳統(tǒng)業(yè)務(wù)發(fā)展相關(guān)需求的提出，出現(xiàn)業(yè)務(wù)與數(shù)據(jù)海量化趨勢，極大增加了數(shù)據(jù)管理難度，制約了相關(guān)業(yè)務(wù)的創(chuàng)新發(fā)展。傳統(tǒng)的中心化管理模式已不能滿足需求，因此國內(nèi)外許多研究機構(gòu)已經(jīng)將區(qū)塊鏈技術(shù)作為新的解決方案。

1.2 區(qū)塊鏈架構(gòu)

區(qū)塊鏈主要有三個分層結(jié)構(gòu)，分別是協(xié)議層、擴展層和應(yīng)用層。

協(xié)議層進一步分成了存儲層和網(wǎng)絡(luò)層，包含了底層數(shù)據(jù)區(qū)塊以及基礎(chǔ)數(shù)據(jù)、基本算法等；網(wǎng)絡(luò)層：包含組網(wǎng)方式、數(shù)據(jù)傳播機制和數(shù)據(jù)驗證機制等。擴展層進一步劃分為合約層和激勵層，主要的功能是基于區(qū)塊鏈的擴展和開發(fā)，讓區(qū)塊鏈的使用更方便、靈活和實用；激勵層就是指制定一些相關(guān)的制度和措施，保障參與節(jié)點參與區(qū)塊鏈安全的建設(shè)和維護；合約層包含有腳本代碼、算法、側(cè)臉應(yīng)用、智能合約等。應(yīng)用層是與實際業(yè)務(wù)有關(guān)，指區(qū)塊鏈的根據(jù)業(yè)務(wù)的落地和場景。

1.3 基于區(qū)塊鏈的物聯(lián)網(wǎng)安全的解決方案

區(qū)塊鏈技術(shù)的不可篡改、安全、可溯源、零知識證明技術(shù)能為設(shè)備間大規(guī)模協(xié)作提供去中心化的解決思路，解決了物聯(lián)網(wǎng)發(fā)展中亟待解決的技術(shù)需求，并且物聯(lián)網(wǎng)終端設(shè)備的分散化無疑也為去中心化的架構(gòu)供給了最佳的發(fā)揮空間。

物聯(lián)網(wǎng)安全是個棘手的問題，僅保證個人設(shè)備的安全是不夠的，還必須保護設(shè)備在連接方式、網(wǎng)絡(luò)、可擴展的安全。鑒于區(qū)塊鏈技術(shù)的應(yīng)用可增強物聯(lián)網(wǎng)的安全性，使得區(qū)塊鏈在該領(lǐng)域的應(yīng)用成為可能。

（1）設(shè)備認(rèn)證方面，目前設(shè)備接入物聯(lián)網(wǎng)是通過驗證白名單的方式進行的。白名單采用中心化的方式存儲，存在被篡改的風(fēng)險。利用區(qū)塊鏈技術(shù)，構(gòu)建安全的設(shè)備身份認(rèn)證系統(tǒng)，身份權(quán)限管理和多方共識有助于識別非法節(jié)點，及時阻止惡意節(jié)點的接入和作惡。

圖1 總體架構(gòu)圖

（2）擴展能力方面，現(xiàn)有的物聯(lián)網(wǎng)架構(gòu)采用中心化的架構(gòu)，但隨著物聯(lián)網(wǎng)的大規(guī)模推廣應(yīng)用，使用場景日益復(fù)雜化，該模式可能難以承載海量設(shè)備。利用區(qū)塊鏈“去中心化”機制，可以把設(shè)備接入、管理、協(xié)議轉(zhuǎn)換等能力下放置邊緣物聯(lián)代理，并將物聯(lián)代理和物管平臺通過區(qū)塊鏈串起來，物管平臺僅控制核心內(nèi)容或做備份使用，物聯(lián)代理為各業(yè)務(wù)范圍內(nèi)設(shè)備服務(wù)，通過靈活的協(xié)作模式和相關(guān)的共識機制完成原核心節(jié)點的內(nèi)容，隨著網(wǎng)絡(luò)擴展能力更強大，可保障保護物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)不被篡改，網(wǎng)絡(luò)的安全、可信運行。

（3）數(shù)據(jù)安全方面，物聯(lián)網(wǎng)是一個開放性的網(wǎng)絡(luò)，任何設(shè)備都是可以接入的，且接受的數(shù)據(jù)也是雙向的。區(qū)塊鏈技術(shù)可以解決物聯(lián)網(wǎng)的安全問題，傳輸?shù)牡絽^(qū)塊鏈上的數(shù)據(jù)，需要通過處理身份驗證的方式來進行訪問，保障了數(shù)據(jù)的安全。

（4）某終端設(shè)備被攻擊后，將會導(dǎo)致整個物聯(lián)網(wǎng)系統(tǒng)的崩潰或癱瘓。利用區(qū)塊鏈技術(shù)，將平臺權(quán)利下放，并對網(wǎng)關(guān)進行升級，將網(wǎng)關(guān)用區(qū)塊鏈連接起來，共同監(jiān)控、標(biāo)識和處理設(shè)備的網(wǎng)絡(luò)活動，保障并提升網(wǎng)絡(luò)安全。

2 基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的安全體系架構(gòu)設(shè)計

2.1 整體架構(gòu)

基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的安全體系架構(gòu)，其所處外部環(huán)境的總體架構(gòu)分為感知層、網(wǎng)絡(luò)層、業(yè)務(wù)與應(yīng)用支撐層、應(yīng)用層。感知層主要功能是數(shù)據(jù)收集；網(wǎng)絡(luò)層利用各種網(wǎng)絡(luò)傳輸，將從感知層的獲取的各類信息傳輸?shù)綉?yīng)用層；應(yīng)用層就是處理功能，該層就是將物聯(lián)網(wǎng)技術(shù)與行業(yè)領(lǐng)域結(jié)合，從而實現(xiàn)廣泛領(lǐng)域的物物互聯(lián)的應(yīng)用解決方案，具體如圖1所示。

業(yè)務(wù)與應(yīng)用支撐層包含物聯(lián)管理平臺、物聯(lián)網(wǎng)區(qū)塊鏈的支撐平臺。物聯(lián)管理平臺處于平臺層，部署在云平臺上，在業(yè)務(wù)架構(gòu)中的定位是管道，打通應(yīng)用層、平臺層、感知層三層之間的數(shù)據(jù)通信，物聯(lián)管理平臺負(fù)責(zé)感知層的邊設(shè)備、端設(shè)備的接入，接收邊、端設(shè)備上報的數(shù)據(jù)，以及對設(shè)備下發(fā)控制命令，對邊緣物聯(lián)代理進行設(shè)備管理等工作，并將設(shè)備上報的業(yè)務(wù)數(shù)據(jù)導(dǎo)入到數(shù)據(jù)中臺，對業(yè)務(wù)主站開放接口，供主站讀取設(shè)備的業(yè)務(wù)數(shù)據(jù)、告警信息，并下發(fā)設(shè)備的控制命令。物聯(lián)網(wǎng)區(qū)塊鏈支撐平臺主要提供區(qū)塊鏈技術(shù)相關(guān)的存儲、共識、加密、交易、合約和身份等方面的支撐能力，包含區(qū)塊鏈網(wǎng)絡(luò)運行所需要的基礎(chǔ)環(huán)境和組件，如數(shù)據(jù)存儲、運行容器等，包含用于物聯(lián)網(wǎng)設(shè)備身份認(rèn)證共識、訪問控制策略執(zhí)行、數(shù)據(jù)隱私保護等的核心區(qū)塊鏈功能，包含用于區(qū)塊鏈接入訪問授權(quán)、節(jié)點管理、賬本管理、跨鏈管理等服務(wù)。

2.2 關(guān)鍵技術(shù)

2.2.1 共識支撐能力

基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的體系中，共識機制建立了一個能保證隱私、安全和無需信任的交易的去中心化的、不斷拓展的通用物聯(lián)網(wǎng)。共識支撐能力指算法的選擇和怎樣運用等功能。在共識形成過程中，相關(guān)節(jié)點都會分布式計算交易的合法性并且將結(jié)果跟其他節(jié)點共識達成一致，物聯(lián)網(wǎng)的智能設(shè)備不參與計算，只進行數(shù)據(jù)的加密和傳輸，并且把數(shù)據(jù)傳輸作為交易向整個區(qū)塊鏈廣播。運行智能合約交互處理區(qū)塊鏈與共識的相關(guān)事務(wù)，進行區(qū)塊節(jié)點的一致性處理和網(wǎng)絡(luò)層事務(wù)的交互。

2.2.2 設(shè)備安全能力

物聯(lián)網(wǎng)區(qū)塊鏈的設(shè)備安全能力包括對設(shè)備鑒權(quán)和設(shè)備追蹤，應(yīng)用的身份、通信、私有數(shù)據(jù)等方面的加密技術(shù)。物聯(lián)網(wǎng)區(qū)塊鏈可以支持身份與許可管理，也支持匿名交易。

在該體系架構(gòu)下，設(shè)備工作之前通過身份鑒定獲得系統(tǒng)的識別和鑒定，整個鑒定過程不需要借助第三方設(shè)備和技術(shù)來實現(xiàn)，進一步提升了鑒定的效率，保障了數(shù)據(jù)的準(zhǔn)確性，同時保障了數(shù)據(jù)的安全且有不可偽造的特征，所以在進行傳輸和交易的過程中，通過區(qū)塊鏈技術(shù)，實現(xiàn)唯一記錄的功能，這樣就能夠更好地保護數(shù)據(jù)安全。同時，區(qū)塊鏈技術(shù)可長期對設(shè)備進行監(jiān)督和管理，如果物聯(lián)網(wǎng)中的數(shù)據(jù)信息出現(xiàn)了異常情況，區(qū)塊鏈技術(shù)就會立刻通過數(shù)據(jù)保護程序來發(fā)放相應(yīng)的指令，防止信息的泄露，阻擋網(wǎng)絡(luò)病毒和黑客的攻擊。

2.2.3 網(wǎng)絡(luò)自治管理

物聯(lián)網(wǎng)區(qū)塊鏈應(yīng)用之間通過點對點網(wǎng)絡(luò)協(xié)議相互通信，利用P2P網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備節(jié)點對物聯(lián)網(wǎng)接入設(shè)備進行鑒權(quán)，并進行互聯(lián)，并且構(gòu)建基于本地和云端的數(shù)據(jù)存儲倉庫。

基于區(qū)塊鏈的物聯(lián)網(wǎng)安全體系架構(gòu)，設(shè)備作為輕節(jié)點存在，利用區(qū)塊鏈實現(xiàn)數(shù)據(jù)的分布式傳輸和不可逆的加密處理。經(jīng)過模擬研究，該架構(gòu)可擴展，能有效解決物聯(lián)網(wǎng)設(shè)備無法滿足區(qū)塊鏈算力需求和賬本存儲的問題，保障了物聯(lián)網(wǎng)之中數(shù)據(jù)的準(zhǔn)確性和安全性就會起到更好的保障作，

2.3 系統(tǒng)功能結(jié)構(gòu)設(shè)計

基于區(qū)塊鏈的物聯(lián)網(wǎng)業(yè)務(wù)平臺，是“去中心化”的。該體系架構(gòu)保證了參與的實體基于“去中心化”的特點相互協(xié)作，保障功能的正常進行。

在該架構(gòu)下，物聯(lián)網(wǎng)業(yè)務(wù)平臺中的參與方之間相互獨立。應(yīng)用、業(yè)務(wù)、設(shè)備作為業(yè)務(wù)平臺的組成部分，共同提供物聯(lián)網(wǎng)服務(wù)。此外，在“去中心化”工作模式下，不再考慮參與者是在系統(tǒng)側(cè)還是在終端側(cè)。不同類型的物聯(lián)網(wǎng)業(yè)務(wù)平臺可以建立在相同或不同的通信底層基礎(chǔ)設(shè)施（例如，網(wǎng)絡(luò)、云、大數(shù)據(jù)、安全、管理等）上。

結(jié)語：本文結(jié)合傳統(tǒng)物聯(lián)網(wǎng)應(yīng)用和區(qū)塊鏈相關(guān)技術(shù)的分析，闡述了目前物聯(lián)網(wǎng)應(yīng)用的現(xiàn)狀、相關(guān)的安全問題、區(qū)塊鏈技術(shù)介紹、基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的架構(gòu)體系、關(guān)鍵技術(shù)和功能結(jié)構(gòu)?；趨^(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的安全體系架構(gòu)利用區(qū)塊鏈的數(shù)據(jù)不可篡改、不可偽造、可追蹤可溯源，系統(tǒng)架構(gòu)去中心化等特性，保障了物聯(lián)網(wǎng)的安全性和可擴展性，還支持異構(gòu)系統(tǒng)的兼容，并且基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用的體系不只是技術(shù)上的匹配，還衍生出了無限的商業(yè)可能。