張少魁

（上海東芃科技有限公司，上海 201203）

0 引 言

智慧城市的發(fā)展離不開大數(shù)據(jù)技術(shù)的同步發(fā)展，大數(shù)據(jù)為智慧城市的決策系統(tǒng)提供了最基本的信息來源。智慧城市通過物聯(lián)網(wǎng)（Internet of Things，IoT）將真實城市與數(shù)字城市聯(lián)系在一起，持續(xù)產(chǎn)生大量數(shù)據(jù)[1]。這些由物聯(lián)網(wǎng)采集到的數(shù)據(jù)格式千差萬別，需要對數(shù)據(jù)進行分類、存儲、清洗，同時利用人工智能、數(shù)據(jù)挖掘以及云計算等綜合技術(shù)提取有價值的信息到知識庫里，為智慧城市的發(fā)展提供強大的基礎(chǔ)動力。因此，城市物聯(lián)網(wǎng)大數(shù)據(jù)作為智慧城市的關(guān)鍵信息來源，其真實性和有效性對智慧城市系統(tǒng)的分析研判與輔助決策至關(guān)重要。

1 物聯(lián)網(wǎng)數(shù)據(jù)可靠性問題

在現(xiàn)實應(yīng)用場景中，物聯(lián)網(wǎng)感知設(shè)備的數(shù)據(jù)都會歸集到特定數(shù)據(jù)服務(wù)器，經(jīng)分析后以多種形式展示，提供給使用者進行分析和決策。但是當(dāng)物聯(lián)網(wǎng)感知設(shè)備實時采集的數(shù)據(jù)涉及經(jīng)濟糾紛或者法律責(zé)任時，難免會有人設(shè)法修改數(shù)據(jù)庫中的關(guān)鍵數(shù)據(jù)，攫取不當(dāng)利益或者逃避法律責(zé)任，給用戶財產(chǎn)安全甚至人身安全造成重大損失[2]。因此，如何保證物聯(lián)網(wǎng)數(shù)據(jù)的可靠性就成了各行業(yè)的共同難題，如建筑行業(yè)施工、監(jiān)理全生命周期關(guān)鍵數(shù)據(jù)的采集與存證，藥品冷鏈運輸全過程溫濕度和光照度等關(guān)鍵環(huán)境參數(shù)的采集與存證，消防行業(yè)中滅火器狀態(tài)和消防水泵管網(wǎng)壓力以及煙霧火災(zāi)報警器等日常維保信息等[3]。

2 技術(shù)研究背景

2.1 解決方案思路

從上文分析可以看出，物聯(lián)網(wǎng)數(shù)據(jù)從采集、傳輸、存儲、計算到?jīng)Q策使用的過程中，處理路徑上的多個環(huán)節(jié)都可能遭到惡意破壞。數(shù)據(jù)被惡意篡改有下面3類典型場景：一是采集時的源數(shù)據(jù)被污染；二是傳輸過程中數(shù)據(jù)被污染；三是使用者因利益惡意篡改數(shù)據(jù)，逃避監(jiān)管。只有同時消除這3類隱患，才能從根本上避免陷入數(shù)據(jù)被惡意篡改、數(shù)據(jù)真實性無法保證的囧境。

2.2 行業(yè)現(xiàn)有解決方案

物聯(lián)網(wǎng)行業(yè)針對前兩類隱患場景，主要采用的是數(shù)據(jù)源頭及傳輸過程加密方案（以下簡稱原方案）。原方案是在數(shù)據(jù)采集的源頭處進行加密，加密后的數(shù)據(jù)經(jīng)中間路由器轉(zhuǎn)發(fā)到目的服務(wù)器，過程如下：（1）物聯(lián)網(wǎng)邊緣采集設(shè)備在采集到數(shù)據(jù)后，采用與數(shù)據(jù)目的端匹配的加密算法進行數(shù)據(jù)加密后傳輸，以做好安全防護；（2）數(shù)據(jù)在傳輸?shù)阶罱K用戶的整個傳輸過程中，始終保持加密格式，可以在很大程度上避免傳輸過程中的信息被篡改。

由于數(shù)據(jù)從源端到目的端服務(wù)器的整個傳輸過程中的數(shù)據(jù)均做過加密處理，這在很大程度上能確保目的端接收到真實有效的數(shù)據(jù)，基本可以解決上文提到的前兩類隱患場景。

2.3 現(xiàn)有解決方案問題剖析

2.3.1 數(shù)據(jù)采集源頭問題分析

從原方案中看到，采用數(shù)據(jù)加密的方式可以從一定程度上保證數(shù)據(jù)在源端采集以及傳輸過程中的安全性，但是這種采集過程中的數(shù)據(jù)仍然存在被惡意篡改的可能性。

由于邊緣采集端上報的數(shù)據(jù)與硬件沒有關(guān)聯(lián)，輸入數(shù)據(jù)可以由任意的計算終端進行模擬，無法保證目的服務(wù)器收到的數(shù)據(jù)就是硬件設(shè)備在真實物理環(huán)境中采集到的數(shù)據(jù)，為數(shù)據(jù)的最終用戶帶來不可預(yù)知的風(fēng)險。

2.3.2 數(shù)據(jù)處理末端問題分析

原方案中，若邊緣采集設(shè)備可以正常采集數(shù)據(jù)并將數(shù)據(jù)加密后傳輸，那么在整個傳輸過程中，數(shù)據(jù)安全性就會受到很大程度的保護，不易被第三方破譯。但是當(dāng)數(shù)據(jù)傳輸?shù)侥康姆?wù)器后，存在數(shù)據(jù)解密后存儲到數(shù)據(jù)庫等非易失長期存儲介質(zhì)的過程以及由數(shù)據(jù)庫等介質(zhì)轉(zhuǎn)存到他應(yīng)用場景的現(xiàn)象，導(dǎo)致數(shù)據(jù)處理仍然存在安全漏洞。

當(dāng)數(shù)據(jù)通過加密方式傳輸?shù)侥康亩?，目的端服?wù)器會將解密后的數(shù)據(jù)存儲到系統(tǒng)數(shù)據(jù)庫。此時的關(guān)鍵數(shù)據(jù)絕大多數(shù)是明文格式，可以被用戶任意處理、變更以及刪除，第三方機構(gòu)或者監(jiān)管機構(gòu)無法通過技術(shù)或其他手段確保傳輸過程中的數(shù)據(jù)與數(shù)據(jù)庫中數(shù)據(jù)的絕對一致性，這就給監(jiān)管機構(gòu)或者利益相關(guān)方留下了信任盲區(qū)。

物聯(lián)網(wǎng)數(shù)據(jù)處理末端被惡意篡改的示意如圖1所示，左側(cè)數(shù)據(jù)傳輸?shù)侥康姆?wù)器之前是安全可信的，但右側(cè)的監(jiān)管機構(gòu)或者第三方使用者獲取到的數(shù)據(jù)仍然可能是經(jīng)過篡改的虛假數(shù)據(jù)，存在數(shù)據(jù)安全盲區(qū)。

圖1 物聯(lián)網(wǎng)數(shù)據(jù)處理末端被惡意篡改示意

3 數(shù)字簽名及智能合約安全系統(tǒng)解決方案

針對原方案提到的兩大安全隱患，本文提出了一種基于區(qū)塊鏈數(shù)字簽名及智能合約安全系統(tǒng)的解決方案（以下簡稱新方案），可以在不改變當(dāng)前系統(tǒng)結(jié)構(gòu)和框架的前提下非常便利地附加方案中的軟硬件技術(shù)設(shè)施，即可從根本上解決所提到的兩類關(guān)鍵安全隱患問題。

3.1 關(guān)鍵技術(shù)準備

區(qū)塊鏈具備多種優(yōu)秀技術(shù)特性，已經(jīng)在金融、稅務(wù)、物流、醫(yī)療以及物聯(lián)網(wǎng)等行業(yè)得到深入應(yīng)用，下面對新方案中相關(guān)的區(qū)塊鏈技術(shù)特性進行簡要分析。

（1）不可篡改。所有上鏈數(shù)據(jù)必須先進行數(shù)字簽名（當(dāng)前主要采用橢圓曲線數(shù)字簽名算法ECDSASecp256k1），達成共識后才可寫入數(shù)據(jù)塊，廣播到整個區(qū)塊鏈網(wǎng)絡(luò)上后便不能再做任何修改。（2）集體維護。區(qū)塊鏈網(wǎng)絡(luò)中包含若干出塊節(jié)點，共同維護一個內(nèi)容完全一致的賬本。（3）去中心化。區(qū)塊鏈網(wǎng)絡(luò)上所有出塊節(jié)點功能完全一致，沒有中心節(jié)點，任一個節(jié)點掉線不會影響整個區(qū)塊鏈網(wǎng)絡(luò)的正常運轉(zhuǎn)。（4）智能合約。區(qū)塊鏈上的數(shù)據(jù)需要在虛擬機中執(zhí)行智能合約后，由出塊節(jié)點完成共識后記錄到所有節(jié)點的區(qū)塊上。本方案將充分利用區(qū)塊鏈的這些特性，解決原方案中的兩類安全隱患。

3.2 方案總體設(shè)計原理

新方案不影響現(xiàn)網(wǎng)運行系統(tǒng)的穩(wěn)定性，可通過外部附加輕量的技術(shù)組件來保證整個系統(tǒng)源數(shù)據(jù)采集的真實性、傳輸過程中數(shù)據(jù)的保密性以及最終應(yīng)用端數(shù)據(jù)的可靠性。

數(shù)字簽名及智能合約安全方案架構(gòu)如圖2所示，其中數(shù)據(jù)在實心箭頭上的傳輸路徑簡單示意了原方案的數(shù)據(jù)安全應(yīng)用架構(gòu)。右上方虛線部分（“監(jiān)管”除外）是新方案引入的兩個重要元素，它們分別由區(qū)塊鏈邊緣硬件和區(qū)塊鏈軟件作為載體。其中硬件部分解決了數(shù)據(jù)采集源頭偽造數(shù)據(jù)的問題，硬件和軟件部分共同解決了處理末端數(shù)據(jù)被篡改的安全隱患。

圖2 數(shù)字簽名及智能合約安全方案架構(gòu)

加密區(qū)塊鏈盒/模塊表示區(qū)塊鏈邊緣數(shù)據(jù)加密的硬件采集設(shè)備組件，它可與原有物聯(lián)網(wǎng)采集設(shè)備直連，或者以集成電路模組形式直接嵌入。區(qū)塊鏈硬件與原有物聯(lián)網(wǎng)采集設(shè)備共同負責(zé)解決數(shù)據(jù)源采集時的數(shù)據(jù)可信問題。區(qū)塊鏈是指一套區(qū)塊鏈軟件系統(tǒng)，數(shù)據(jù)源是由區(qū)塊鏈邊緣采集硬件直接輸入，保證系統(tǒng)末端的數(shù)據(jù)使用者可以得到一份真實的源數(shù)據(jù)。這套新引入的區(qū)塊鏈軟件系統(tǒng)主要用來解決數(shù)據(jù)應(yīng)用側(cè)數(shù)據(jù)的保真問題。

3.2.1 數(shù)據(jù)源頭真實性問題解決

新方案中提到的區(qū)塊鏈硬件元素主要解決系統(tǒng)物聯(lián)網(wǎng)邊緣設(shè)備采集數(shù)據(jù)源的真實性問題[4]。邊緣硬件數(shù)字簽名及智能合約預(yù)處理流程如圖3所示，虛線框中的物理實體可以是獨立的區(qū)塊鏈加密盒，也可以是集成到物聯(lián)網(wǎng)邊緣采集設(shè)備中的集成電路模組。

圖3 邊緣硬件數(shù)字簽名及智能合約預(yù)處理流程

以采集設(shè)備內(nèi)部嵌入?yún)^(qū)塊鏈集成電路模組為例，數(shù)據(jù)源保真的具體實現(xiàn)流程分析如下。（1）數(shù)據(jù)采集最邊緣加密。物聯(lián)網(wǎng)邊緣硬件設(shè)備根據(jù)與服務(wù)器協(xié)商的算法，根據(jù)業(yè)務(wù)需求對關(guān)鍵、敏感數(shù)據(jù)進行安全加密，保證傳輸過程中不泄漏。（2）區(qū)塊鏈上鏈合約數(shù)據(jù)規(guī)范化。根據(jù)實際業(yè)務(wù)需求，把要上鏈的數(shù)據(jù)按照智能合約接口要求完成數(shù)據(jù)格式的規(guī)范化。（3）物聯(lián)網(wǎng)邊緣物理設(shè)備溯源。新方案中區(qū)塊鏈邊緣數(shù)據(jù)采集硬件中均在出廠時包含一組全球唯一的非對稱加密私鑰，只能內(nèi)部讀取并參與計算。需要上鏈的數(shù)據(jù)可通過硬件中的私鑰進行數(shù)字簽名，完成原始數(shù)據(jù)與采集設(shè)備的唯一性綁定，便于數(shù)據(jù)溯源。（4）觸發(fā)智能合約。物聯(lián)網(wǎng)硬件數(shù)字簽名后的數(shù)據(jù)上傳網(wǎng)絡(luò)，自動執(zhí)行智能合約，將數(shù)據(jù)更新到區(qū)塊鏈賬本中[5]。

上述流程從物聯(lián)網(wǎng)邊緣采集設(shè)備即數(shù)據(jù)產(chǎn)生的源頭開始執(zhí)行，保證了物聯(lián)網(wǎng)前端數(shù)據(jù)采集的可信性和安全性。

3.2.2 數(shù)據(jù)處理末端問題解決方案詳解

區(qū)塊鏈硬件要素從源頭解決了系統(tǒng)輸入數(shù)據(jù)的真實性和安全性，但是沒有解決信息處理末端數(shù)據(jù)被惡意篡改的安全隱患。在新方案中將引入的區(qū)塊鏈軟件系統(tǒng)和前述硬件設(shè)備結(jié)合起來，即可從根本上保證整個環(huán)節(jié)數(shù)據(jù)的真實性，為數(shù)據(jù)使用者和決策者提供可靠的信息基礎(chǔ)。

物聯(lián)網(wǎng)數(shù)據(jù)處理末端信息交叉驗證失敗流程如圖4所示，物聯(lián)網(wǎng)邊緣硬件采集到數(shù)據(jù)后，除了現(xiàn)有系統(tǒng)正常的數(shù)據(jù)流動外，同時由區(qū)塊鏈硬件在源頭處對所采集數(shù)據(jù)進行加密、簽名后上傳區(qū)塊鏈，從而保證上鏈的數(shù)據(jù)是真實可靠的。

圖4 物聯(lián)網(wǎng)數(shù)據(jù)處理末端信息交叉驗證失敗流程

當(dāng)出現(xiàn)數(shù)據(jù)使用者惡意篡改數(shù)據(jù)庫信息導(dǎo)致的數(shù)據(jù)使用末端的數(shù)據(jù)失真場景時，末端使用者可以對比現(xiàn)有系統(tǒng)數(shù)據(jù)庫與區(qū)塊鏈上數(shù)據(jù)的一致性，若一致則數(shù)據(jù)可信，即可正常進行信息計算并基于此進行數(shù)據(jù)決策；若兩份數(shù)據(jù)不一致，則數(shù)據(jù)庫中的數(shù)據(jù)肯定有失真，需要查找數(shù)據(jù)源污染的根本原因。

通過區(qū)塊鏈真實數(shù)據(jù)流的校準，末端使用者可以信任使用來自源端采集的數(shù)據(jù)，解決了原方案的安全隱患。

4 方案優(yōu)勢及應(yīng)用價值

新方案除了具備目前市面上物聯(lián)網(wǎng)數(shù)據(jù)處理方案的基礎(chǔ)特征外，還具備如下獨特的技術(shù)優(yōu)勢：一是邊緣硬件設(shè)備唯一溯源；二是智能合約自動完成關(guān)鍵信息上鏈，邊緣硬件采集完數(shù)據(jù)并將數(shù)據(jù)規(guī)范化處理后上傳區(qū)塊鏈；三是數(shù)據(jù)計算交叉認證，所有邊緣硬件采集的數(shù)據(jù)被立即固定到區(qū)塊鏈上，傳統(tǒng)數(shù)據(jù)處理流程中的任一環(huán)節(jié)均可開放雙向接口與區(qū)塊鏈上數(shù)據(jù)交叉認證，保證數(shù)據(jù)的真性；四是硬件易部署，可部署在采集設(shè)備內(nèi)，也可使用線路直連方式安裝，對現(xiàn)有系統(tǒng)的影響較小；五是軟件易維護，區(qū)塊鏈軟件獨立安裝運行，與現(xiàn)有系統(tǒng)采用通用接口進行數(shù)據(jù)互通及信息交叉認證。

基于新方案的物聯(lián)網(wǎng)邊緣數(shù)據(jù)采集和處理系統(tǒng)，在數(shù)據(jù)全生命周期內(nèi)可以保證數(shù)據(jù)的真實性，因此可以廣泛應(yīng)用于各種物聯(lián)網(wǎng)數(shù)據(jù)處理的領(lǐng)域，特別是對數(shù)據(jù)真實性高度敏感的行業(yè)，如能源管理、碳排放、醫(yī)療健康以及冷鏈物流等，為這些行業(yè)的數(shù)據(jù)采集、分析和處理提供基礎(chǔ)技術(shù)保障。

5 結(jié) 語

物聯(lián)網(wǎng)作為近年來全面發(fā)展的一個新技術(shù)行業(yè)，其行業(yè)數(shù)據(jù)的真實性和安全性問題一直備受關(guān)注。物聯(lián)網(wǎng)邊緣數(shù)據(jù)采集方案一直在迭代更新，解決了很多應(yīng)用領(lǐng)域的棘手難題，但數(shù)據(jù)源頭的真實性和數(shù)據(jù)處理末端的問題一直沒有得到根本解決。

新方案以很小的代價以及高級別的安全等級解決了原有物聯(lián)網(wǎng)數(shù)據(jù)全生命周期應(yīng)用方案中的兩個關(guān)鍵數(shù)據(jù)安全隱患問題，為物聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全加固提供了堅實的技術(shù)基礎(chǔ)，已經(jīng)在多個醫(yī)院與工廠的節(jié)能管理中應(yīng)用部署，項目數(shù)據(jù)的多個關(guān)聯(lián)方均對數(shù)據(jù)的可靠性和真實性給予了充分肯定，項目實施也取得了良好的經(jīng)濟效益和社會影響力。