區(qū)塊鏈技術在物聯網中的應用

陳 騫 郭少勇 代美玲 阮琳娜 亓 峰

北京郵電大學 北京 100876

引言

預計到2020年，物聯網中連接設備的數量將增長至500億，物聯網已經引起了人們的廣泛關注，隨著越來越多重要的設備(攝像頭、家用電器、手機、個人醫(yī)療設備)連接到網絡，物聯網將會與我們的日常生活無形且緊密地聯系在一起[1]。但同時，飛速壯大的物聯網生態(tài)體系面臨著不斷增加的設備種類、呈指數增長的數據流量以及越來越嚴峻的信息安全防護等難題，特別是在當前物聯網組網模式下，連入的設備通常采用中心化的代理模式或者服務器/用戶端模式進行通信，中心化云服務器需要處理數以百億設備產生的數據流量，這會給物聯網帶來極大的計算和成本壓力。同時，由于信息過于集中化，所有數據都需要通過中央服務器進行存儲轉發(fā)，導致物聯網極易受到攻擊，造成信息的泄露和丟失。這些問題有可能成為物聯網未來發(fā)展和應用的巨大障礙，而擁有去中心化和分布式特點的區(qū)塊鏈技術給這些問題提供了解決的可能性。本文將主要描述如何將區(qū)塊鏈技術運用到物聯網領域，并重點介紹我們所提出的基于信息中心網絡(ICN)和區(qū)塊鏈的去中心化物聯網。

1 基本概念

1.1 物聯網相關概念

物聯網(Internet of Things，IoT)通過網絡技術將傳感器、控制器和機器設備等連接起來，通過物物相連實現機器設備智能化管理和控制。物聯網通?？梢员欢x為一個真正的對象，一個分散的、具有較低的存儲容量和處理能力，同時旨在提高智能設備的可靠性和安全性[2]的對象。如圖1所示，從技術架構上看，物聯網可分為三層：感知層、網絡層和應用層。感知層包括一組支持因特網的設備，這些設備能夠感知、檢測對象，收集信息，并通過互聯網通信網絡實現與其他設備的信息交換。例如，射頻識別設備(RFID)、照相機、傳感器、全球定位系統(tǒng)(GPS)等是存在于感知層的一些設備；在設備性能、網絡限制和應用條件的約束下，將數據從感知層傳送到應用層是網絡層的任務。物聯網系統(tǒng)從通信方的能力考慮，選擇合適的短距離網絡通信技術(如藍牙和ZigBee)組合，利用這些通信技術，將來自于感知設備的信息傳送到附近的網關[3]。網關在完成信息收集之后，利用例如Wi-Fi、2G、3G、4G和電力線通信(PLC)等互聯網技術通過應用程序實現信息的遠距離傳輸；物聯網應用層負責信息接收和處理[4]，該層接收來自網絡層的數據，通過數據分析處理實現智能家居、智能城市、電力系統(tǒng)監(jiān)控、需求側能源管理以及可再生能源發(fā)電機的集成等應用功能。

圖1 物聯網層次圖

1.2 區(qū)塊鏈相關技術

區(qū)塊鏈技術最早作為比特幣底層的技術被提出，由于其具有去中心化、數據不可篡改、隱私保護性強等特點，自提出以來便得到社會各界的廣泛關注。區(qū)塊鏈技術最大的特點在于去中心化[5]，通過數據的存儲方式、共識機制、加密算法等一些關鍵技術的配合，在節(jié)點互不信任的系統(tǒng)中實現點對點的可信交易而無需第三方機構的參與，不僅提升了交易的效率，而且也保障了交易的安全性。接下來將簡要介紹支撐區(qū)塊鏈發(fā)展的一些關鍵性技術[6]。

1.2.1 數據存儲

在區(qū)塊鏈技術中，數據的存儲形式通過Merkle樹[7]完成，其將一段時間內的交易存儲在一個區(qū)塊中，并將其鏈接到最長的主鏈中。區(qū)塊結構如圖2所示，其中區(qū)塊結構分為區(qū)塊頭和區(qū)塊體兩個部分，區(qū)塊頭用于不同區(qū)塊之間的有序鏈接，區(qū)塊體則包含了經過共識機制驗證后的可信交易信息。由于最早時期區(qū)塊鏈被用于數字貨幣的交易，因此區(qū)塊體中的數據是用于雙方進行交易時的一些信息，但隨著區(qū)塊鏈被廣泛應用于各種領域，其存儲的內容也不僅限于交易信息，而是作為可以存放任何可信數據的一種分布式存儲系統(tǒng)。這也是區(qū)塊鏈技術能夠得到廣泛關注的原因之一。

圖2 區(qū)塊結構

1.2.2 共識機制

作為區(qū)塊鏈技術的核心技術之一，共識機制保障了存儲在區(qū)塊中數據的真實可信性，目前最普遍的共識機制是工作量證明(POW)，其思想是通過分布式節(jié)點計算一個復雜數學問題來競爭記賬權，從而保障數據一致性和共識的安全性。但目前共識機制存在的問題是性能效率比較低。

1.2.3 加密算法

加密算法同樣是為了滿足安全性需求而集成到區(qū)塊鏈中的加密技術，目前應用的加密算法主要包含哈希算法[8]和非對稱加密技術[9]。哈希算法是將一段信息轉換成固定長度的字符串，并且不同信息轉換成的字符串肯定是不一致的。哈希算法的主要目的是提取數據特征，用固定長度字符串標識信息。而非對稱加密算法則是用一對公私鑰組成的加密算法，用戶可通過其他用戶已知的公鑰信息與其進行數據加密及信息的交互，由于公私鑰的對應關系，只有用戶本身能夠對加密數據進行解密，而其他任何用戶都無法進行查看。

2 物聯網與區(qū)塊鏈融合模式

當前物聯網組網模式下，連入的設備通常采用中心化的代理模式或者服務器/用戶端模式進行通信，設備只能通過云服務器進行驗證連接。這樣中心化的代理模式已經應用了幾十年了，并且仍然在支持小規(guī)模物聯網網絡，正如我們現在所看到的，這滿足不了日益增長的物聯網生態(tài)體系的需求。隨之帶來的是中心控制的高成本、隱私保護難度逐年上升、個人入網極易受攻擊、多主體的高協(xié)同成本等問題。而區(qū)塊鏈的出現提供了一種可行的解決方案。

2.1 降低物聯網的運營成本

隨著物聯網技術的進一步應用，數以千億計的物聯網設備的管理和維護將給生產商、運營商和最終用戶帶來巨大的成本壓力。目前的物聯網應用普遍采用中心化的體系結構，即所有的數據流都匯總到單一的中心控制系統(tǒng)。雖然隨著云計算技術的普及和利用，現在物聯網運營商可以通過云端的服務器集群提供物聯網智能設備產生的數據存儲和交換服務，但是隨著連接設備數量的幾何級增長，中心化服務需要付出的計算、存儲和帶寬成本也會增加到無法負擔的程度。區(qū)塊鏈技術為物聯網提供了點對點直接互聯的方式進行數據傳輸，整個物聯網解決方案不需要引入大型數據中心進行數據同步和管理控制，包括數據采集、指令發(fā)送和軟件更新等操作都可以通過區(qū)塊鏈的網絡進行傳輸。區(qū)塊鏈技術主要從三方面解決了物聯網的構架瓶頸問題[10]。

1)點對點的分布式數據傳輸和存儲的構架。

2)分布式環(huán)境下數據的加密保護和驗證機制 。

3)方便可靠的費用結算和支付。

2.2 解決物聯網的隱私保護問題

隨著物聯網產業(yè)的不斷發(fā)展，數據安全和隱私保護問題受到越來越多的關注。在斯諾登事件[11]之后，由政府和大型企業(yè)控制的網絡服務的隱私被廣泛質疑。特別在物聯網領域，目前中心化服務構架的所有監(jiān)測數據和控制信號都由中央服務器存儲和轉發(fā)。這些中央服務器收集所有攝像頭傳輸過來的視頻信號、麥克風錄制的通話記錄，甚至用戶的奔跑節(jié)奏、心跳和血壓的信息都匯總到中央服務器，并且通過中央服務器轉發(fā)的信號還可以控制家庭中門窗、電燈和空調等設備的開啟，直接影響著用戶的日常生活。雖然物聯網運營商一直宣稱他們能夠有效保護用戶的數據安全和隱私，但是一系列的安全漏洞和隱私泄露事件的發(fā)生使用戶無法真正信任運營服務提供商能夠實現他們的承諾。事實上，政府安全部門可以通過未經授權的方式對存儲在中央服務器中的數據內容進行審查，而運營商也很有可能出于商業(yè)利益的考慮將用戶的隱私數據出售給廣告公司進行大數據分析，以實現針對用戶行為和喜好的個性化推薦，這些行為已經危害到物聯網設備使用者的基本權益，從而使很大一部分用戶拒絕接受連入網絡的智能設備。區(qū)塊鏈技術為物聯網提供了去中心化的可能性，只要數據不是被單一的云服務提供商控制，并且所有傳輸的數據都經過嚴格的加密處理，那么用戶的數據和隱私將會更加安全。在大數據分析技術被廣泛使用的今天，用戶可以自己利用數據的價值而不是被運營商進行劫持和外泄。

3 區(qū)塊鏈與物聯網融合應用場景

3.1 基于ICN和區(qū)塊鏈的去中心化物聯網

3.1.1 去中心化物聯網通信概述

去中心化物聯網通信功能覆蓋整個物聯網的網絡層，它可以增強現有的基于NGN功能體系結構的物聯網網絡層通信能力，包括去中心化的管理能力、數據通信安全性、物聯網設備和應用可靠性。

對于上層，該服務可以提供去中心化、不安全和不可信網絡環(huán)境中如[ITU-T Y.2068]所規(guī)定的所有通信功能。并支持采用切片通信模式的物聯網設備和屬于不同物聯網域的物聯網應用之間的直接通信。對于底層，盡管這些終端設備屬于不同的物聯網域，但該服務可以支持物聯網設備和網關可信訪問能力。構成此服務的所有實體都可以由左側管理功能進行管理。物聯網特定的數據安全功能將在該服務中實現，而現在備受關注的網絡安全也同樣能通過該服務得到實現。

3.1.2 去中心化物聯網通信需求

去中心化的物聯網通信需要滿足以下需求。

1)服務能力：提供[ITU-T Y.2068/Y.4401]中指定的所有通信能力。

2)數據傳輸安全：物聯網數據透明地傳輸給物聯網傳輸網絡提供商。即雖然IoT數據是通過第三方的傳輸網絡傳輸的，但是網絡提供者不能通過使用例如深度報文檢測(DPI)的分組檢測技術獲得數據內容。

3)數據傳輸可靠性：物聯網數據共享過程不會受到傳輸網絡中斷的影響。

4)切片數據隔離：切片模式可用于多個IoT應用程序和設備之間的數據共享。不同的數據共享平面可以彼此隔離。

5)數據和通信實體的可信度：在去中心化物聯網通信環(huán)境中，物聯網設備、網關、應用程序和相關數據是可信的。

3.1.3 去中心化的物聯網通信架構

去中心化的物聯網通信功能架構將描述功能層的通信能力，以確保它能夠滿足上小節(jié)中定義的所有通信要求。功能架構由物聯網通信功能組及其關系組成。

去中心化物聯網通信架構的實現視圖由功能實體及其高層關系組成。這種實現視圖中的通信架構組成了三個域，如圖3所示，包括基于區(qū)塊鏈的去中心化命名服務域、ICN承載域和物聯網通信域。

1)命名服務域：它構成了去中心化的命名服務器，可以相互協(xié)作為ICN提供可信任的數據命名服務。命名服務器的功能實體包括命名注冊、命名解析和區(qū)塊鏈。該域的區(qū)塊鏈節(jié)點為通信領域和承載ICN網絡領域的節(jié)點提供安全可信的命名服務。區(qū)塊鏈存儲節(jié)點的名稱，其中包括承載網絡節(jié)點和通信節(jié)點的ICN以及用于數據非對稱加密的公鑰。此外，區(qū)塊鏈還為節(jié)點提供命名服務和公鑰管理服務。

2)ICN承載域：IoT數據由ICN承載網絡在該域傳輸。ICN具有廣泛的優(yōu)勢，如內容緩存可減少擁塞并提高交付速度，簡化網絡設備配置，并在數據層面將安全性構建到網絡中。ICN允許用戶在不知道主機實體的情況下浮動數據請求。ICN可以比當前的互聯網更有效地處理用戶移動性和安全問題。

3)通信域：在該域中，物聯網應用和物聯網設備可靠、透明地共享切片的物聯網數據。物聯網設備使用其私鑰對數據進行簽名以確保數據源的可信性，然后使用授權的物聯網應用方的公鑰對數據進行加密。這保證了授權的物聯網應用方可以獲得數據內容，同時也保證了數據安全。如果物聯網設備數據要被多個授權的物聯網應用程序共享，則可以分別使用授權的物聯網應用程序的公鑰加密，并將加密的數據分別分發(fā)到ICN承載網絡。這可以實現多個授權數據共享中的數據安全共享。

3.1.4 去中心化的物聯網通信架構部署

去中心化物聯網通信架構的部署由其功能組件及其高層次關系組成。去中心化IoT通信架構的部署視圖如圖4所示。

去中心化物聯網通信架構的部署視圖也由三個域組成：應用域、物聯網通信域和物聯網設備域。

1)物聯網應用域：包括可直接連接到去中心化物聯網通信服務或使用物聯網應用網關的物聯網應用。

2)物聯網通信域：包括ICN和基于命名尋址形成網絡的區(qū)塊鏈節(jié)點，為物聯網應用和設備提供去中心化的通信服務。ICN和區(qū)塊鏈功能可以組合為一個節(jié)點，也可以分別組合為不同的節(jié)點。區(qū)塊鏈可以建立為公有鏈、聯盟鏈或私有鏈。

圖3 去中心化物聯網通信架構

3)物聯網設備域：有兩種類型的物聯網設備使用基于ICN和區(qū)塊鏈的去中心化物聯網通信服務，一種是IoT通信網關，它支持多個設備的數據訪問，另一種是物聯網設備。

3.2 基于區(qū)塊鏈的多層物聯網

在對基于區(qū)塊鏈的多層物聯網進行網絡建模時將物聯網劃分為多層次的去中心化網絡，并在各級網絡中采用區(qū)塊鏈技術，保證整個物聯網的安全性和可信性。網絡模型將整個物聯網劃分為兩部分：邊緣層和高層次層，如圖5所示。

3.2.1 邊緣層

圖4 去中心化IoT通信架構的部署視圖

圖5 提出的網絡模型概觀

邊緣層為本地化的物聯網提供實體的同時也為高層次層提供接口。在安全性方面，設備通過通用唯一標識(UUID)和相應的無縫哈希算法[12]進行身份驗證，功能強大的設備可以選擇支持數據傳輸的非對稱加密算法。通常，邊緣層與當前的集中式網絡模型一致，而集中式網絡模型主要的特征就是：云服務器管理設備數據并處理請求。但是，邊緣層仍然與當前常見的物聯網云服務系統(tǒng)不同。

1)由于在單個邊緣層中設備的數量較少，相應的網絡效率就比較高。根據目前的應用情況，限制中心網絡能力的主要因素之一是有限的網絡帶寬。物聯網設備一般通過心跳信號與云保持聯系。當許多設備聯網時，經常會出現對服務器的高并發(fā)訪問的情況。此時，即使云服務器的計算能力足以處理高并發(fā)請求，互聯網的帶寬限制、網絡的不穩(wěn)定性以及服務提供商的約束依然會造成物聯網實際應用中的延遲、擁塞甚至喪失響應等問題。作為比較，根據帶寬，邊緣層可以在一定程度上限制設備的數量以避免這種應用問題。相應地，由于云服務的靈活性，云服務器在邊緣層可以通過重新部署來減少性能的損耗，從而避免資源浪費。

2)邊緣層中的設備傾向于在地理上或區(qū)域上集中。理論上講，邊緣層只是一個邏輯概念，不應該限制設備的所處區(qū)域。但實際上，由于邊緣層與局域網相似，設備的區(qū)域化可以更加有利于云資源的實際管理和優(yōu)化配置?？偠灾?，邊緣層是由指定的云平臺或私有數據中心管理的小型中心物聯網，具有某種類型的安全條例。

3.2.2 高層次層

高層次層是連接邊緣層并實現物聯網廣域網功能的重要部分。實際上，邊緣層可以由中心節(jié)點在內部定義，從整個網絡結構來看，只需要為高層提供一個數據訪問接口來表示邊緣層身份。換句話說，邊緣層相當于屬于它所連接的較高層的一個節(jié)點，該邏輯也適用于高層次之間的連接。因此，完整的網絡模型將具有以下結構：將邊緣層視為第0層，將高級層視為第1層，然后處理第2層、第3層等。與邊緣層不同，在高層中，網絡是分散的。同一圖層中的所有節(jié)點都以分布式方式運行，基于拜占庭容錯(BFT)[13]算法來維護分布式記錄的區(qū)塊鏈，所有節(jié)點屬于一個特定的層，這種方式易于實現自我管理并存在一定程度的容錯性。多層網絡模型的優(yōu)點如下。

1)能夠顯著提升區(qū)塊鏈技術的應用效率，降低其部署難度。目前區(qū)塊鏈技術的主要問題[14]是記錄塊對節(jié)點能力要求較高，而節(jié)點數量較多時分布式一致性算法的響應速度就會很慢。將節(jié)點部署在多層網絡模型中時，高層中的每個節(jié)點至少具有一個數據中心，并且具有足夠的計算能力。另外，我們還可以將每層節(jié)點的數量限制為23～26，以減少區(qū)塊鏈記錄所需的時間和空間成本。

2)多層網絡模型可以使整個物聯網具有強大的自我調整能力和抗風險能力，并且可以對物聯網進行抗風險能力的調整，達到減少資源損耗的目的。區(qū)塊鏈被部署在每個高層次層中，這意味著即使單個高層次層被破壞，其他層也可以提供區(qū)塊鏈記錄，大大保證了整個物聯網的安全性和可信性。

3.3 物聯網中基于藍牙低能耗(BLE)設備的區(qū)塊鏈網關

在對隱私越來越重視的今天，人們非常關注物聯網設備的安全管理和訪問控制等問題。因此，有人提出了一種基于區(qū)塊鏈的連接網關，該區(qū)塊鏈網關自適應且安全地維護區(qū)塊鏈網絡中物聯網設備、用戶的隱私和偏好。在網關的保護下，可以有效避免個人隱私的泄漏。此外，這項設計還使用區(qū)塊鏈網絡作為數據處理和維護的基礎架構來解決隱私糾紛問題。

這項技術被稱為基于隱私意識的區(qū)塊鏈連接網關(BC網關)，采用區(qū)塊鏈網絡作為管理隱私偏好的基礎架構，如圖6所示。即BC網關使用了一種區(qū)塊鏈隱私保護技術[15]來保護和管理用戶信息，避免信息被篡改或者泄露。因此，當傳統(tǒng)物聯網設備正常使用時，BC網關可以為用戶隱私提供有力的保護。此外，基于區(qū)塊鏈的用戶信息管理可以有效地解決用戶與IoT應用程序提供商之間存在的爭議問題。

圖6 BC網關的架構

一般來說，涉及建議的BC網關的場景中主要有三種參與者類型：1)物聯網設備的所有者或管理員；2)BC網關管理員；3)最終用戶。

BC網關通過用戶在區(qū)塊鏈網絡中的賬戶來判斷用戶和用戶偏好，因此，用戶可以使用相同的帳戶連接到不同的BC網關，而不用為每個網關都注冊一個賬戶。隨著Android和iOS等主流智能手機平臺的發(fā)展，BLE標準[16]已成為智能手機、可穿戴設備以及眾多物聯網設備進行通信的實際標準。BC網關關注用戶附近基于BLE標準設備的相關情況，在現有技術中，BC網關為用戶提供類似REST的界面，以便使用以下命令訪問基于BLE的設備。

1)鎖定/解鎖BLE設備。

2)發(fā)現連接到網關的設備。

3)將讀取或寫入請求發(fā)送至BLE設備。

4)請求接收BLE設備特性的通知或指示。

BC網關將保持與相關的物聯網設備的連接。因此，網關可以扮演調解人的角色，將請求轉發(fā)給指定的設備，并集成來自設備的響應。最后，BC網關為用戶提供接口來管理他們的隱私偏好，并根據用戶的偏好確定是否可以將個人數據轉發(fā)給物聯網設備。

4 結語

隨著技術的不斷進步，物聯網技術的發(fā)展和應用在最近幾年取得了顯著的成果，目前在世界范圍內已經有數十億個傳感器和智能控制器投入使用，預計在未來幾年這個數字還會成倍地增長。物聯網終端設備數量的幾何級擴張使得中心化部署方案的缺陷越發(fā)顯露，區(qū)塊鏈的出現為此提供了一種可行的應對策略。其去中心化的架構直接顛覆了物聯網舊有的中心架構，不但大大減輕中心計算的壓力，而且釋放了物聯網組織結構的更多可能，為創(chuàng)新提供了更大空間。其次，記錄的準確性和不可篡改性也讓隱私安全變得有據可循，而且在安全方面更易于防御和處理。在未來萬物互聯的時代，區(qū)塊鏈技術必定能在其中發(fā)揮獨一無二的作用，為網絡業(yè)務和服務的創(chuàng)新帶來無限的可能。