胡梦露 应沈静 伍岳 陶骏
摘要:提出了一个轻型的基于区块链技术的网络架构,在舍弃了工作量证明(POW)特性后,其适合用物联网的技术应用,使用此方法构建了一种企业物联网,其包括三个层次:云存储、覆盖网络和企业局域网。深入研究并概述了企业物联网中各种核心组件以及功能,通过对安全性、完整性和可用性的深入分析,证明了所提出的基于区块链技术的企业物联网框架系统是安全的。模拟实验结果证明,此种方法造成的开销如流量、处理时间和能源消耗符合要求。
关键词:物联网;区块链;云存储;开销
中图分类号:TP393.2 文献标识码:A
Research of enterprise IoT based on block chain technology
Hu Menglu Ying Shenjing Wu Yue Tao Jun
College ofComputer and Software,Anhui Institute of Information Technology AnhuiWuhu 241000
Abstract:.A network architecture based on light block chain technology is proposed,after discarding the characteristics of workload proof(POW),it is suitable for the technical application of the IoT.Using this method,a kind of IoT is constructed,which includes three levels:cloud storage,overlay network and enterprise local area network.The core components and functions of enterprise IoT are studied and summarized,through in-depth analysis of the security,integrity and availability of enterprise IoT,the proposed framework system of enterprise IoT based on block chain technology is proved to be secure.The simulation results show that the overhead such as flow,processing time and energy consumption caused by this method meets the requirements
Key words:IoT;Block chain;Cloud storage;Overhead
1 介绍
物联网由产生、处理和交换大量安全关键数据的设备构成,因此物联网设备经常成为各种网络攻击的目标。大多数物联网网络设备功能一般,计算能力偏弱,这些设备必须把其大部分资源用来计算执行核心应用程序,所以不能在安全隐私方面耗费太多资源。传统的安全方法在能源消耗和处理开销方面往往代价昂贵,因此许多高度集中的安全框架并不适合规模巨大、多对一通信和有单点隐患的物联网。在保护用户隐私方面,现有的物联网系统缺陷明显,这会阻碍物联网应用服务程序提供正常的服务,因此物联网需要一种轻量级的、可伸缩的、分布式的安全隐私保护机制。区块链(BC)技术支持分布式的、安全的和机密的安全机制,其适合为物联网提供安全防护。
比特币交易系统采用了区块链技术,其生成公钥(PK)并广播到网络以用来进行资金交易事务。相关事务被用户存放到一个块结构中,一旦某个块被填满,则通过执行一个挖掘过程将该块链接到区块链上。挖掘块的节点被称为矿工的节点,需要进行一个工作证明(POW)的问题解答,成功解决问题的节点才能挖掘新的块。在物联网中采用区块链安全技术也存在的困难性,比如工作证明(POW)的消耗了较多的资源;交易的花费时间增加了;广播交易到网络的可扩展性变低了。因此本研究提出了一个新的轻量化的区块链技术,其不需要进行工作证明和货币交易,此框架依赖于层次结构和分布式信任,以维护BC的安全性和隐私性,所以更适合物联网的特定需求[1]。
本研究先对企业物联网的设计进行了全面的探讨。首先描述了物联网设备的初始化,然后解释了如何处理交易。一个本地私有的区块链被用来为物联网设备及其数据提供安全的访问控制,区块链还会产生一个不变的时间有序交易,链接到其他的特定服务。最后,使用模拟结果给出了定量分析,表明了本文设计的系统框架代价相对较小,在介绍了设计的主要组成部分后,深入讨论了基于区块链的企业物联网,并给出了仿真结果和安全性论证[2]。
2 区块链系统
区块链系统的主要组成部分如图1所示:
2.1 事务
本地智能设备或物联网覆盖节点之间的通信称为事务。在基于区块链的企业物联网中有不同的交易,企业区块链中的网元都为特定的功能而设计。存储事务是由设备存储数据时生成的,服务提供商(SP)产生访问事务来访问云存储,监视事务由物联网管理员或服务提供商的系统自动生成,其周期性地监视设备信息。在企业物联网中添加一个新设备是通过生成交易完成的,移除设备通过移除事务完成。上述所有事务都使用共享密钥加密以确保通信的安全。系統使用轻量级散列函数检测传输过程中事务内容的变化,所有交易信息和企业物联网设备信息都存储在一个本地区块链中[3]。
2.2 本地区块链
企业物联网中具有一个本地区块链负责跟踪事务,其用一个策略头结构来控制用户输入和传出事务。从创建开始,每个设备相关事务都被作为一个不可更改的账本并被链接在一起。区块链中每个块包含两个头部,分别是块头和策略头,如图1所示。块头具有前一个块的哈希值,以保障区块链不可变化。策略头用来给设备授权并根据其执行所有者的控制策略。如图1所示,策略头有四个参数。请求者参数是指接收的覆盖事务中的公钥。对于本地设备,这个字段为设备ID,如图1中策略头第四行所示。策略头中的第二列表示事务中请求的操作,它可以是:本地存储数据、存储云数据、访问设备的存储数据,以及监视访问特定设备的实时数据。策略头中的第三列是企业物联网设备的ID,最后一列是表示与前面的属性相匹配的事务应该进行的操作。
除了头部,每个块还包含一系列事务。每次交易的关键五个参数存储在本地区块链中,如图1所示,前两个参数用于将同一设备的事务相互连接,并在区块链中唯一地识别每个事务,事务的相应设备ID被插入到第三个参数中。事务类型是指可以生成、访问、存储或监控交易。
2.3 矿工设备
企业物联网中的矿工设备是集中处理企业物联网的交易设备。矿工可以与企业物联网中路由器或三层交换机等网关设备集成到一个独立的设备,放置在物联网边缘设备和网关之间,类似于目前网络中的网络安全设备,矿工完成认证、授权、审计事务。
2.4 本地存储
本地存储是一种存储设备,用于存储本地数据。此存储可以与矿工设备集成,也可以是单独的设备。存储采用先入先出(FIFO)的方法来存储数据,并将每个设备的数据作为一个分类的账本存储在与设备相关的区块链的存储位置上。
3 基于区块链的企业物联网
企业物联网运行分成三个部分:初始化、事务处理和共享覆盖[4]。
3.1 初始化
网络初始化需要把设备信息和相关策略添加到本地区块链的过程。添加设备信息时,矿工使用AES算法生成一个共享密钥并发起生成交易。矿工和设备之间的共享密钥存储在生成事务中。设备根据在图2中的策略结构生成它自己的策略,并将策略头添加到区块链中的块中。矿工使用在区块链的块中策略头进行相应判断。更新策略时,设备需要更新相关块的策略头。
3.2 事务处理
企业物联网中的智能设备可以直接通信,也可以与物联网外部的实体通信。物联网中的智能设备可以请求获取另一台智能设备的数据来提供某些服务,例如,当有人进入企业仓库时,灯泡从运动传感器请求数据并打开灯。为了实现对物联网事务的控制,矿工应该将共享密钥分发给需要通信的设备。分配密钥时,矿工检查策略头或请求区块链所有者的许可,然后为各设备分配共享密钥。在接收到密钥之后,只要密钥有效,设备就直接进行通信;如果设备拒绝密钥授予权限,矿工通过向相关设备发送控制消息,将分布式密钥标记为无效。设备存储本地存储上的数据是企业物联网内部的另一种可能产生的事务数据。如果在本地存储数据,则需要使用共享密钥对进行存储的设备进行身份验证。为了授予密钥,设备需要向矿工发送请求,在得到存储许可后,矿工生成一个共享密钥并发送密钥给设备和本地存储。接收密钥后,本地存储将生成一个包含共享密钥的起始存储位置。经过共享密钥验证后,设备就可以将数据直接存储在本地存储中。
设备将数据存储在云平台上,此过程称为存储事务。在云平台存储数据是一个匿名过程,为了存储数据,请求者发起一个起始进程,进程包含块号和一个用于匿名的身份验证的散列。云存储可以由服务提供者管理,也可以由企业付费后自己管理。
其他的事务还包括监视事务,这种交易表现为:按照企业物联网管理员的要求监视设备或通过服务提供商来处理设备数据以实现一些个性化服务。
3.3 共享覆盖层
如果一个企业的物联网位于两个不同的物理区域,则每个区域都需要单独的矿工和本地存储。为了减少成本和开销,企业物联网定义了共享覆盖,共享覆盖包括至少两个不同物理位置的物联网,由一个共享矿工集中管理,在逻辑上成为一个物联网,在共享覆盖中,每一个物理区域都有自己单独的生成事务,所有设备的生成事务都被共享叠加到逻辑区域的生成事务中。共享叠加需要两个物理位置不同的物联网通过其网关在因特网中建立虚拟专用网络(VPN)连接,网关之间也可以租用专线电路进行连接,矿工通过VPN或者专线电路对各个区域的设备进行联系和管理[5]。
4 网络系统分析
4.1 安全分析
有三个主要的安全需求需要通过安全设计来解决,即:机密性、完整性和可用性。保密性确保只有经过授权的用户能够读取消息。完整性保证消息在没有做改动的情况下发送到目的地。可用性保障每个服务或数据都可供用户使用。安全性设计提高了企业物联网可用性,以避免设备受到恶意请求的攻击[6]。
表1总结了基于区块链的物联网设计框架是如何实现上述的安全要求,具体如表1:
物联网系统需要防止两个关键的安全攻击,第一个是分布式拒绝服务(DDoS)攻击,攻击者使用多个受感染的物联网设备压倒特定的目标节点。第二是链接攻击,攻击者在具有相同共享密钥的多个事务或数据台账之间建立链接,目的是找出使用区块链的匿名用户所对应的IP地址,这种攻击会危及用户的隐私[7]。
对于DDoS攻击,基于区块链的物联网具有分层次防御。第一,攻击者不可能在企业物联网设备上的安装恶意软件,因为这些设备不能直接访问,所有的交易都是由矿工检查的。第二,假设攻击者还是设法感染了物联网设备,经过矿工授权后,所有的传出流量都必须检查策略头。由于构成DDoS攻击流量的请求将不被授权,它们将被阻止进入企业物联网。这两种保护可以覆盖物联网中的任何用户。
为了防止链接攻击,每个设备的数据通过一个唯一的密钥加密存储[8]。
4.2 性能分析
基于區块链的物联网架构在网络设备和矿工设备上产生了提高安全性和隐私性的计算开销,为了评估这些开销,在MATLAB模拟器中对物联网进行了模拟。首先模拟了一种不使用加密、散列和区块链处理事务的方案,其被称为基类方案。其次模拟了基于区块链技术的物联网,模拟网络设备每5秒通过微传感器将数据直接发送到矿工。每种模拟网络持续运行5分钟,计算这个持续时间段里各种事务的平均结果。云存储直接连接到矿工,用于存储数据和块号[9]。
为了测试系统的性能,需要分析评估以下三个因素,包开销:事务传输中的对应数据包的长度;时间开销:矿工处理事务的时间,为矿工收到事务到把事务响应发给请求者的时间;能源消耗:指矿工处理交易所消耗的能源。矿工是企业物联网中能耗最高的设备,因为它不但要处理所有事务,而且要执行大量散列和加密。其他设备的能量消耗仅限于为自身事务加密。
对包开销的分析结果如表2所示:
表2描述了包开销的大小,表内容包括访问和存储事务,它们都具有相同的包大小,使用加密和散列增加了数据包的有效载荷的大小,但是考虑到低层协议报头的长度,数据有效载荷的增加对性能影响很小。
对时间开销的分析结果如图2所示:
对能源消耗的分析如表3所示:
基于区块链的框架使能量消耗比基类仅仅增加了0.05兆焦,这些所增加的开销同提供的安全和隐私的优点相比是完全可以忽略的[10]。
5 总结
物联网安全近年来受到学术界和工业界的广泛关注,由于区块链技术处理开销较高,基于传统区块链技术的安全解决方案不能较好地适用于物联网。本文提出了一种轻型的利用区块链技术来解决物联网安全的方法,并根据此方法构建了一个企业物联网,介绍了企业物联网的各种核心组件,并讨论了与之相关的各种交易和流程,对其安全性和隐私性进行了全面的分析。仿真结果表明,此方法所产生的开销低,适合管理的低资源特性的物联网设备。在未来的工作中,将继续研究基于区块链的安全框架在其他网络领域中的应用[11]。
参考文献:
[1]袁勇,王飞跃.区块链技术发展现状与展望[J].自动化学报,2016(4):58-63
[2]曹继军,肖立权.超级计算系统互联网络带内管理的实现与评测[J].计算机学报,2016,39(9):1718-1731
[3]Douglas E.Comer.用TCP/IP进行网络互连(第二卷)[M].北京:电子工业出版社,2009
[4]刘莹,徐恪.Internet多播体系结构[M].北京:科学出版社,2008
[5]陶骏,匡磊,等.基于MPLS VPN和MSDP的跨域组播网络设计[J].计算機科学,2017,44(6A):263-265
[6]颜云生,陶骏,等.基于AHP算法的电子书包评估系统[J].计算机系统应用,2017,26(8):49-54
[7]马骏,郭渊博.一种基于时间约束的分层访问控制方案[J].计算机研究与发展,2017,2:328-330
[8]吉光亚,田浩东.基于相位恢复算法的多图像加密技术[J].怀化学院学报,2018.11:151-152
[9]赵江华,穆舒婷.科学数据众包处理研究[J].计算机研究与发展,2017,2:284-285
[10]沈文婷,于佳.具有密钥可恢复能力的云存储完整性检测方案[J].软件学报,2016,27(6):1452-1462
[11]林晓轩.区块链技术在金融业的应用[J].金融市场研究,2016,(2):80-82
基金项目:安徽省教育厅质量工程项目(2018jyxm0320),“新工科背景下网络工程专业方向课程体系研究”,芜湖市科技项目(2019yf49),“基于北斗的ADS-B网络系统研制”,安徽省教育厅拔尖人才资助项目(gxbjZD2020104),“跨域组播网络设计
作者简介:胡梦露(1999— ),女,安徽宿州人,本科,主要研究方向为物联网技术;应沈静(2000— ),女,浙江丽水人,本科,主要研究方向为网络管理;伍岳(1989— ),安徽芜湖人,讲师,主要研究方向为网络安全;陶骏(1978— ),男,安徽芜湖人,硕士,副教授,主要研究方向为网络管理。