文:Aubrey
編輯:王巧
隨著5G的到來,物聯網時代將迎來新的爆發。物與物之間配合協作,徹底解放人的雙手。物聯網可以做很多人類無法做到的事情,效率更高、更便利甚至更安全。區塊鏈作為一項前沿的新技術,可以解決物聯網行業面臨的諸多難題,比如資料隱私和資料儲存安全性以及完整性等問題。
將區塊鏈技術運用到物聯網行業,各個創新者正在積極探索。那麼區塊鏈技術該如何與物聯網行業實現融合?該如何解決物聯網行業的安全性問題?
4月11日,長虹資訊保安燈塔實驗室首席科學家唐博、微眾銀行區塊鏈應用研究負責人蘇小康、Beosin成都鏈安智慧合約安全負責人嶽亮亮,在金聯盟舉辦的“巡迴Meetup2019”活動中,以“解開物聯網的安全桎梏”為主題,並結合相應的實踐案例來進行分享。
區塊鏈下物聯網安全
據報道,全球物聯網終端裝置數量預計在10年內將達數百億規模。屆時人均擁有的裝置數將達到兩位數,這個數值還會不斷增長。裝置間的協同互聯,會顯得越來越重要。
現在智慧家居雖然能實現聯網,裝置也很智慧,但是裝置之間卻是沒連線的。還有一點體現在,用語音跟每個智慧裝置進行互動的時候,它都必須要給每個裝置起一個不同的名字,比如小紅、小白、小黃,裝置一多,就會很不方便。
然而現在,像小米,亞馬遜,谷歌等知名公司推出的解決方案是以中心化為主的。百度的智慧音箱,小米的米家,可以控制各自旗下的裝置,以及跟他互聯的裝置。但是這也有一個問題,對於裝置製造廠商來說,他一臺裝置可能為了能讓它賣得好,需要在裝置上要建立對米家連線的支援,對亞馬遜的支援。每一個支援都是有成本的,消耗硬碟記憶體空間,對於終端廠商來說,就面臨著很大問題,一方面到底要支援哪個平臺?另一方面,要支援的平臺越多,對硬體的效能要求就越高,對這個裝置的製造工藝也是一個挑戰。
PPT截圖
在裝置之間互聯,主要的問題安全和信任問題,對於使用者跟裝置之間的關係,裝置跟裝置之間的關係,需要認證授權等機制來保護。
為了解決物聯網裡的多平臺多終端共存問題,實現裝置間聯動,解決使用者體驗很差等問題。我們率先提出基於區塊鏈的跨平臺互聯方案。透過聯盟鏈將各個裝置的運營服務平臺,監管機構以及檢測機構等相互連線,構建多中心化的核心架構,實現裝置互聯和資訊共享,利用智慧合約的可程式設計和強制執行等特點設計了一套聯動合約組合,保證裝置聯動過程中各個環節安全可靠執行,且公平體現各方的意志。
PPT截圖
基於這樣的合約,基於這樣的使用者場景,基於這樣的信任,在物聯網的環境中,可以保證一個物聯網的裝置從一個平臺到另外一個平臺的可信安全,同時又可以保證各個平臺之間的利益可管可控。
激勵規則是一個我們想到的能夠保證這個生態平衡的解決方案,這個方案會從三個方面進行激勵。第一,能力激勵。裝置運算能力相互協同引流;第二,服務激勵。服務匯入與服務提供的協同引流;第三,生態激勵。裝置及服務的組合排名。
這是一個基於物聯網的感知層、網路層和應用層的架構,在此基礎上的認證、授權和信任,包括聯動,分級和同步,上層的應用會實現資源的共享,實現信任的管理,安全審計。值得注意的是聯盟鏈下層,我們用到區塊鏈的安全套件和晶片安全服務,基於這些核心的技術,透過硬體提高安全等級,從而加強裝置認證授權過程的可靠性。
公眾聯盟鏈應用探索——WeIdentity
WeIdentity是一套分散式多中心的實體身份認證及可信資料交換解決方案。實現了一套符合W3C DID規範的分散式多中心的身份標識協議,和符合W3C VC規範的可驗證數字憑證技術,不僅使分散式多中心的身份註冊、標識和管理成為可能,機構也可以透過使用者授權合法合規地完成可信資料的交換。
現在,對於資料的歸屬權問題仍然存在很大爭議。其實我們認為這個資料是歸屬於實體的,這個實體可以是一個社會人,也可以是一個IOT的裝置。我們都知道產生資料如果不流通、不交換是沒有任何價值的,可是如果要流通和交換,能不能提供一種安全可信的環境,這就是這個方案要去實現的一個非常核心的目標。
數字身份也是未來發展的一個趨勢。第一,市場需求是非常巨大。大家對數字身份的關注度越來越高,而且政府部門、企業機構在政務服務領域、金融行業、物聯網行業等等各個行業都在提數字身份以及資料交換。第二,政策鼓勵。工信部以及政府機關單位,他們都認為要形成一種跨行業、跨領域、跨地域的資料應用。第三,行業處於發展期。從2018年下半年到現在已經有越來越多的企業及個人和組織開始投入資源去做數字身份。第四,隱私洩露事件頻發。個人隱私資料被一些不法機構濫用,對公眾和個人傷害是巨大的,但是也因此喚起了老百姓對個人隱私資料的關注,增強了公眾的資料保護意識。
而現階段,大量的資料卻沒有真正流通和交換起來,形成資料孤島和資料寡頭。
傳統的資料交換解決方案,第一難以形成國際標準。可能一個機構、一個企業內部是很容易對他的使用者做到唯一的標識,給使用者分配一個ID,但是這個ID不是一個國際化通用的ID,一旦涉及到要跨機構去流通、流轉時,很難去面向不同行業的不同的場景去使用,缺乏規範性,沒有一個國際的標準。
第二個資料的安全風險高,在傳輸資料和共享資料的過程中,傳統的解決方案一般會藉助中心化的平臺或者第三方的軟體,但因為引入了第三方,資料被駭客攻擊、被拖庫,甚至會被不法的機構拿去濫用的可能性也變高了,所以它的安全風險是比較高的。
第三個缺乏使用者的授權制度。傳統的B2B的資料交換,使用者是沒有任何參與感的,所以使用者也不知道怎麼去參與到這個資料交換的過程當中。
第四個就是資料的可信度不高。作為一個資料的接收方,資料的發投方把資料給我,我怎麼判斷這個資料是否真實、有沒有被改過、是不是具備權威性,所以這四個問題是傳統的解決方案是很難去解決的。
PPT截圖
這個方案做了三件非常重要的事情。第一,用了實體標識化(WeID)這樣的功能。為每個實體(人或物)在區塊鏈上生成符合國際規範(DID)的全球唯一ID。這也是考慮到日後的可擴充套件性,有點類似於我們用了一個http的協議做了一個網頁,這個網頁遵循的也是國際規範,這樣就可以很簡單得去打通其他的域名解析或網站的服務提供商。
第二,可驗證的電子化憑證(Credential) 。將物理世界中的紙質證明檔案電子化,並利用區塊鏈不可篡改的特性,將原始資料的Hash上鍊,並附上權威機構(Issuer)的簽名,確保資料不可偽造,可驗證權威性。
第三,也是非常重要的一點,就是使用者授權即交易(Authorization) 。原始資料的跨機構傳輸需要得到使用者的授權,授權記錄由User Agent上鍊,符合GDPR。使用者透過唯一ID,類似於CA證書,可以很容易透過私鑰簽名手段把一段授權的憑證,放到區塊鏈上去,這樣區塊鏈的參與機構就都能知道資料的流通是合法合規的。怎麼證明它是使用者的授權呢?我們有唯一的標識,資料的簽名是不可以被偽造的,這就是我們這個方案做的三件非常重要的事情。
PPT截圖
隨著5G時代的來臨,物聯網社會不斷的升級、更新,未來產生資料的源頭除了人以外,IOT裝置也能產生資料。譬如,空調裝置執行過程中有沒有遇到一些複雜的問題,有沒有上報一些資料以及它執行的狀況是否良好。IOT裝置本身是可以產生很多資料的,資料產生的本質也需要給每個裝置有唯一的ID,所以物聯網跟我們這套方案有非常強的契合點。
我們對於聯盟鏈的另一個探索就是分散式事件驅動架構——WeEvent
PPT截圖
WeEvent是一套跨機構、跨平臺的事件驅動架構,事件釋出方與事件訂閱方透過事件驅動的方式進行互動。另外,當需要處理一些複雜業務邏輯時,WeEvent可以透過流處理器來進行可程式設計擴充套件。
整個WeEvent的方案在能源、通訊、物流、金融、零售、製造方面有很大的用途,不管是做工業物聯網還是做智慧家居,特別是涉及智慧控制時,以及IOT裝置本身產生資料釋出事件以及跨平臺這些領域,都有非常強的應用場景。
智慧合約安全
區塊鏈技術是利用塊鏈式資料結構來驗證與儲存資料、利用分散式節點共識演算法來生成和更新資料、利用密碼學的方式保證資料傳輸和訪問的安全、利用由自動化指令碼程式碼組成的智慧合約來程式設計和運算元據的一種全新的分散式基礎架構與計算方式。
以下將秉承“全生態安全”的服務理念,對FISCO BCOS(2.0)的多個層次進行安全性分析:
資料層:節點資料的儲存。目前FISCO BCOS鏈主要應用場景為金融和存證行業,因此資料的儲存安全性和有效保密性是其關鍵點。目前採用的資料加密主要是:非對稱加密、同態加密;此外,針對資料加密特意釋出了對應的國密版。
資料儲存繼承以太坊儲存的同時,引入了分散式儲存。透過傳統資料庫的方式,將部分資料儲存至節點本地。落盤加密是在機構內部進行的。在機構的內網環境中,每個機構獨立的對節點的硬碟資料進行加密。當節點所在機器的硬碟被帶離機構,並讓節點在機構內網之外的網路啟動,硬碟資料將無法解密,節點無法啟動。進而無法盜取聯盟鏈上的資料。
PPT截圖
網路層:節點和節點之間怎麼互動、客戶端和節點之間怎麼互動。FISCO BCOS區塊鏈是由P2P網路節點構成,主要採用了SSL的加密方式。單鏈多賬本的機制,即引入了群組的概念,使聯盟鏈從原有一鏈一賬本的儲存/執行機制擴充套件為一鏈多賬本的儲存/執行機制,基於群組維度實現同一條鏈上的資料隔離和保密。引入了群組的機制,將同一區塊鏈網路又細分為不同的群組網路。
共識層:目前FISCO BCOS主要支援以下兩種共識機制:
PPT截圖
合約層:程式程式碼管理資料。目前FISCO BCOS沿用的是以太坊虛擬機器EVM,目前的業務合約仍主要採用是Solidity進行編碼。
PPT截圖