基于區塊鏈技術的企業物聯網研究

胡夢露 應沈靜 伍岳 陶駿

摘要：提出了一個輕型的基于區塊鏈技術的網絡架構，在舍棄了工作量證明（POW）特性后，其適合用物聯網的技術應用，使用此方法構建了一種企業物聯網，其包括三個層次：云存儲、覆蓋網絡和企業局域網。深入研究并概述了企業物聯網中各種核心組件以及功能，通過對安全性、完整性和可用性的深入分析，證明了所提出的基于區塊鏈技術的企業物聯網框架系統是安全的。模擬實驗結果證明，此種方法造成的開銷如流量、處理時間和能源消耗符合要求。

關鍵詞：物聯網;區塊鏈;云存儲;開銷

中圖分類號：TP393.2? 文獻標識碼：A

Research of enterprise IoT based on block chain technology

Hu Menglu Ying Shenjing Wu Yue Tao Jun

College ofComputer and Software，Anhui Institute of Information Technology AnhuiWuhu 241000

Abstract：.A network architecture based on light block chain technology is proposed，after discarding the characteristics of workload proof（POW），it is suitable for the technical application of the IoT.Using this method，a kind of IoT is constructed，which includes three levels：cloud storage，overlay network and enterprise local area network.The core components and functions of enterprise IoT are studied and summarized，through in-depth analysis of the security，integrity and availability of enterprise IoT，the proposed framework system of enterprise IoT based on block chain technology is proved to be secure.The simulation results show that the overhead such as flow，processing time and energy consumption caused by this method meets the requirements

Key words：IoT;Block chain;Cloud storage;Overhead

1 介紹

物聯網由產生、處理和交換大量安全關鍵數據的設備構成，因此物聯網設備經常成為各種網絡攻擊的目標。大多數物聯網網絡設備功能一般，計算能力偏弱，這些設備必須把其大部分資源用來計算執行核心應用程序，所以不能在安全隱私方面耗費太多資源。傳統的安全方法在能源消耗和處理開銷方面往往代價昂貴，因此許多高度集中的安全框架并不適合規模巨大、多對一通信和有單點隱患的物聯網。在保護用戶隱私方面，現有的物聯網系統缺陷明顯，這會阻礙物聯網應用服務程序提供正常的服務，因此物聯網需要一種輕量級的、可伸縮的、分布式的安全隱私保護機制。區塊鏈（BC）技術支持分布式的、安全的和機密的安全機制，其適合為物聯網提供安全防護。

比特幣交易系統采用了區塊鏈技術，其生成公鑰（PK）并廣播到網絡以用來進行資金交易事務。相關事務被用戶存放到一個塊結構中，一旦某個塊被填滿，則通過執行一個挖掘過程將該塊鏈接到區塊鏈上。挖掘塊的節點被稱為礦工的節點，需要進行一個工作證明（POW）的問題解答，成功解決問題的節點才能挖掘新的塊。在物聯網中采用區塊鏈安全技術也存在的困難性，比如工作證明（POW）的消耗了較多的資源;交易的花費時間增加了;廣播交易到網絡的可擴展性變低了。因此本研究提出了一個新的輕量化的區塊鏈技術，其不需要進行工作證明和貨幣交易，此框架依賴于層次結構和分布式信任，以維護BC的安全性和隱私性，所以更適合物聯網的特定需求[1]。

本研究先對企業物聯網的設計進行了全面的探討。首先描述了物聯網設備的初始化，然后解釋了如何處理交易。一個本地私有的區塊鏈被用來為物聯網設備及其數據提供安全的訪問控制，區塊鏈還會產生一個不變的時間有序交易，鏈接到其他的特定服務。最后，使用模擬結果給出了定量分析，表明了本文設計的系統框架代價相對較小，在介紹了設計的主要組成部分后，深入討論了基于區塊鏈的企業物聯網，并給出了仿真結果和安全性論證[2]。

2 區塊鏈系統

區塊鏈系統的主要組成部分如圖1所示：

2.1 事務

本地智能設備或物聯網覆蓋節點之間的通信稱為事務。在基于區塊鏈的企業物聯網中有不同的交易，企業區塊鏈中的網元都為特定的功能而設計。存儲事務是由設備存儲數據時生成的，服務提供商（SP）產生訪問事務來訪問云存儲，監視事務由物聯網管理員或服務提供商的系統自動生成，其周期性地監視設備信息。在企業物聯網中添加一個新設備是通過生成交易完成的，移除設備通過移除事務完成。上述所有事務都使用共享密鑰加密以確保通信的安全。系統使用輕量級散列函數檢測傳輸過程中事務內容的變化，所有交易信息和企業物聯網設備信息都存儲在一個本地區塊鏈中[3]。

2.2 本地區塊鏈

企業物聯網中具有一個本地區塊鏈負責跟蹤事務，其用一個策略頭結構來控制用戶輸入和傳出事務。從創建開始，每個設備相關事務都被作為一個不可更改的賬本并被鏈接在一起。區塊鏈中每個塊包含兩個頭部，分別是塊頭和策略頭，如圖1所示。塊頭具有前一個塊的哈希值，以保障區塊鏈不可變化。策略頭用來給設備授權并根據其執行所有者的控制策略。如圖1所示，策略頭有四個參數。請求者參數是指接收的覆蓋事務中的公鑰。對于本地設備，這個字段為設備ID，如圖1中策略頭第四行所示。策略頭中的第二列表示事務中請求的操作，它可以是：本地存儲數據、存儲云數據、訪問設備的存儲數據，以及監視訪問特定設備的實時數據。策略頭中的第三列是企業物聯網設備的ID，最后一列是表示與前面的屬性相匹配的事務應該進行的操作。

除了頭部，每個塊還包含一系列事務。每次交易的關鍵五個參數存儲在本地區塊鏈中，如圖1所示，前兩個參數用于將同一設備的事務相互連接，并在區塊鏈中唯一地識別每個事務，事務的相應設備ID被插入到第三個參數中。事務類型是指可以生成、訪問、存儲或監控交易。

2.3 礦工設備

企業物聯網中的礦工設備是集中處理企業物聯網的交易設備。礦工可以與企業物聯網中路由器或三層交換機等網關設備集成到一個獨立的設備，放置在物聯網邊緣設備和網關之間，類似于目前網絡中的網絡安全設備，礦工完成認證、授權、審計事務。

2.4 本地存儲

本地存儲是一種存儲設備，用于存儲本地數據。此存儲可以與礦工設備集成，也可以是單獨的設備。存儲采用先入先出（FIFO）的方法來存儲數據，并將每個設備的數據作為一個分類的賬本存儲在與設備相關的區塊鏈的存儲位置上。

3 基于區塊鏈的企業物聯網

企業物聯網運行分成三個部分：初始化、事務處理和共享覆蓋[4]。

3.1 初始化

網絡初始化需要把設備信息和相關策略添加到本地區塊鏈的過程。添加設備信息時，礦工使用AES算法生成一個共享密鑰并發起生成交易。礦工和設備之間的共享密鑰存儲在生成事務中。設備根據在圖2中的策略結構生成它自己的策略，并將策略頭添加到區塊鏈中的塊中。礦工使用在區塊鏈的塊中策略頭進行相應判斷。更新策略時，設備需要更新相關塊的策略頭。

3.2 事務處理

企業物聯網中的智能設備可以直接通信，也可以與物聯網外部的實體通信。物聯網中的智能設備可以請求獲取另一臺智能設備的數據來提供某些服務，例如，當有人進入企業倉庫時，燈泡從運動傳感器請求數據并打開燈。為了實現對物聯網事務的控制，礦工應該將共享密鑰分發給需要通信的設備。分配密鑰時，礦工檢查策略頭或請求區塊鏈所有者的許可，然后為各設備分配共享密鑰。在接收到密鑰之后，只要密鑰有效，設備就直接進行通信;如果設備拒絕密鑰授予權限，礦工通過向相關設備發送控制消息，將分布式密鑰標記為無效。設備存儲本地存儲上的數據是企業物聯網內部的另一種可能產生的事務數據。如果在本地存儲數據，則需要使用共享密鑰對進行存儲的設備進行身份驗證。為了授予密鑰，設備需要向礦工發送請求，在得到存儲許可后，礦工生成一個共享密鑰并發送密鑰給設備和本地存儲。接收密鑰后，本地存儲將生成一個包含共享密鑰的起始存儲位置。經過共享密鑰驗證后，設備就可以將數據直接存儲在本地存儲中。

設備將數據存儲在云平臺上，此過程稱為存儲事務。在云平臺存儲數據是一個匿名過程，為了存儲數據，請求者發起一個起始進程，進程包含塊號和一個用于匿名的身份驗證的散列。云存儲可以由服務提供者管理，也可以由企業付費后自己管理。

其他的事務還包括監視事務，這種交易表現為：按照企業物聯網管理員的要求監視設備或通過服務提供商來處理設備數據以實現一些個性化服務。

3.3 共享覆蓋層

如果一個企業的物聯網位于兩個不同的物理區域，則每個區域都需要單獨的礦工和本地存儲。為了減少成本和開銷，企業物聯網定義了共享覆蓋，共享覆蓋包括至少兩個不同物理位置的物聯網，由一個共享礦工集中管理，在邏輯上成為一個物聯網，在共享覆蓋中，每一個物理區域都有自己單獨的生成事務，所有設備的生成事務都被共享疊加到邏輯區域的生成事務中。共享疊加需要兩個物理位置不同的物聯網通過其網關在因特網中建立虛擬專用網絡（VPN）連接，網關之間也可以租用專線電路進行連接，礦工通過VPN或者專線電路對各個區域的設備進行聯系和管理[5]。

4 網絡系統分析

4.1 安全分析

有三個主要的安全需求需要通過安全設計來解決，即：機密性、完整性和可用性。保密性確保只有經過授權的用戶能夠讀取消息。完整性保證消息在沒有做改動的情況下發送到目的地。可用性保障每個服務或數據都可供用戶使用。安全性設計提高了企業物聯網可用性，以避免設備受到惡意請求的攻擊[6]。

表1總結了基于區塊鏈的物聯網設計框架是如何實現上述的安全要求，具體如表1：

物聯網系統需要防止兩個關鍵的安全攻擊，第一個是分布式拒絕服務（DDoS）攻擊，攻擊者使用多個受感染的物聯網設備壓倒特定的目標節點。第二是鏈接攻擊，攻擊者在具有相同共享密鑰的多個事務或數據臺賬之間建立鏈接，目的是找出使用區塊鏈的匿名用戶所對應的IP地址，這種攻擊會危及用戶的隱私[7]。

對于DDoS攻擊，基于區塊鏈的物聯網具有分層次防御。第一，攻擊者不可能在企業物聯網設備上的安裝惡意軟件，因為這些設備不能直接訪問，所有的交易都是由礦工檢查的。第二，假設攻擊者還是設法感染了物聯網設備，經過礦工授權后，所有的傳出流量都必須檢查策略頭。由于構成DDoS攻擊流量的請求將不被授權，它們將被阻止進入企業物聯網。這兩種保護可以覆蓋物聯網中的任何用戶。

為了防止鏈接攻擊，每個設備的數據通過一個唯一的密鑰加密存儲[8]。

4.2 性能分析

基于區塊鏈的物聯網架構在網絡設備和礦工設備上產生了提高安全性和隱私性的計算開銷，為了評估這些開銷，在MATLAB模擬器中對物聯網進行了模擬。首先模擬了一種不使用加密、散列和區塊鏈處理事務的方案，其被稱為基類方案。其次模擬了基于區塊鏈技術的物聯網，模擬網絡設備每5秒通過微傳感器將數據直接發送到礦工。每種模擬網絡持續運行5分鐘，計算這個持續時間段里各種事務的平均結果。云存儲直接連接到礦工，用于存儲數據和塊號[9]。

為了測試系統的性能，需要分析評估以下三個因素，包開銷：事務傳輸中的對應數據包的長度;時間開銷：礦工處理事務的時間，為礦工收到事務到把事務響應發給請求者的時間;能源消耗：指礦工處理交易所消耗的能源。礦工是企業物聯網中能耗最高的設備，因為它不但要處理所有事務，而且要執行大量散列和加密。其他設備的能量消耗僅限于為自身事務加密。

對包開銷的分析結果如表2所示：

表2描述了包開銷的大小，表內容包括訪問和存儲事務，它們都具有相同的包大小，使用加密和散列增加了數據包的有效載荷的大小，但是考慮到低層協議報頭的長度，數據有效載荷的增加對性能影響很小。

對時間開銷的分析結果如圖2所示：

對能源消耗的分析如表3所示：

基于區塊鏈的框架使能量消耗比基類僅僅增加了0.05兆焦，這些所增加的開銷同提供的安全和隱私的優點相比是完全可以忽略的[10]。

5 總結

物聯網安全近年來受到學術界和工業界的廣泛關注，由于區塊鏈技術處理開銷較高，基于傳統區塊鏈技術的安全解決方案不能較好地適用于物聯網。本文提出了一種輕型的利用區塊鏈技術來解決物聯網安全的方法，并根據此方法構建了一個企業物聯網，介紹了企業物聯網的各種核心組件，并討論了與之相關的各種交易和流程，對其安全性和隱私性進行了全面的分析。仿真結果表明，此方法所產生的開銷低，適合管理的低資源特性的物聯網設備。在未來的工作中，將繼續研究基于區塊鏈的安全框架在其他網絡領域中的應用[11]。

參考文獻：

[1]袁勇，王飛躍.區塊鏈技術發展現狀與展望[J].自動化學報，2016（4）：58-63

[2]曹繼軍，肖立權.超級計算系統互聯網絡帶內管理的實現與評測[J].計算機學報，2016，39（9）：1718-1731

[3]Douglas E.Comer.用TCP/IP進行網絡互連（第二卷）[M].北京：電子工業出版社，2009

[4]劉瑩，徐恪.Internet多播體系結構[M].北京：科學出版社，2008

[5]陶駿，匡磊，等.基于MPLS VPN和MSDP的跨域組播網絡設計[J].計算機科學，2017，44（6A）：263-265

[6]顏云生，陶駿，等.基于AHP算法的電子書包評估系統[J].計算機系統應用，2017，26（8）：49-54

[7]馬駿，郭淵博.一種基于時間約束的分層訪問控制方案[J].計算機研究與發展，2017，2：328-330

[8]吉光亞，田浩東.基于相位恢復算法的多圖像加密技術[J].懷化學院學報，2018.11：151-152

[9]趙江華，穆舒婷.科學數據眾包處理研究[J].計算機研究與發展，2017，2：284-285

[10]沈文婷，于佳.具有密鑰可恢復能力的云存儲完整性檢測方案[J].軟件學報，2016，27（6）：1452-1462

[11]林曉軒.區塊鏈技術在金融業的應用[J].金融市場研究，2016，（2）：80-82

基金項目：安徽省教育廳質量工程項目（2018jyxm0320），“新工科背景下網絡工程專業方向課程體系研究”，蕪湖市科技項目（2019yf49），“基于北斗的ADS-B網絡系統研制”，安徽省教育廳拔尖人才資助項目（gxbjZD2020104），“跨域組播網絡設計

作者簡介：胡夢露（1999— ），女，安徽宿州人，本科，主要研究方向為物聯網技術;應沈靜（2000— ），女，浙江麗水人，本科，主要研究方向為網絡管理;伍岳（1989— ），安徽蕪湖人，講師，主要研究方向為網絡安全;陶駿（1978— ），男，安徽蕪湖人，碩士，副教授，主要研究方向為網絡管理。