赵天娇
中国人民银行天津分行 天津 300040
物联网是一项新技术,它允许虚拟网络和物理物品相互连接和沟通,从而创造出新的数字化服务。在当今的技术时代,物联网(IoT)是一种越来越流行的技术,它随着无处不在的计算而发展。智能家居、智能城市和智能交通是物联网应用的例子,它们改善了人们的生活。尽管物联网的使用正在快速增长,但它仍然面临着潜在的安全挑战,在可扩展性、保密性和完整性方面也存在瓶颈。当通过物联网网络连接的设备数量增加时,会产生大量数据,然而,这些数据并没有被加密;它并不支持隐私。在这方面,区块链技术可能会带来巨大的好处,因为它可以迅速确保获得的数据的匿名性[1]。此外,区块链可以通过跟踪设备的互动情况,协助解决金融交易中的大部分安全漏洞和可追溯性问题。跟踪物联网中的设备如何与其他物联网设备进行交易。区块链是抗黑客的,被黑客攻击的危险性很低,可以提高数据安全性。本文旨在分析物联网在金融交易领域的应用,并研究如何利用区块链技术,来改进物联网在金融交易领域的安全性。
物联网(IoT)即“万物相连的互联网”,它是一个由相互关联的机械和数字机器、计算设备、人或动物组成的组合系统,这些物体有其独特的标识,并能够在网络上传输数据,而不需要任何人与电脑或人与人之间的互动。物联网发展与研究呈指数级增长,在《2016—2045年新兴科技趋势报告》中,预测 2045 年将有超过一千亿设备连接互联网[2]。物联网可应用在以下领域:金融交易领域、工业领域、智慧城市领域和医疗保健领域等。虽然物联网已具有较多应用场景,但其安全和隐私泄漏问题尚未得到妥善解决。对目前的实际应用数据进行分析,存在物联网终端采集数据的安全可信度问题及终端设备的智能化度问题,这使得物联网终端必须具备可信的执行环境,必须解决数据源头的可靠性问题。
物联网平台技术架构体系如图1所示。
图1 物联网平台技术架构体系
在金融交易领域应用中,限制物联网发展的重要问题包括:隐私、安全问题和可扩展性,成为阻碍其广泛采用的重要问题[3]。不安全的物联网设备使其成为分布式拒绝服务(DDoS)攻击的主要目标。一些DDoS攻击已经在金融组织和加密货币市场造成了混乱。
在数据采集和传输方面,部署在金融交易领域物联网系统,提供了捕获数据、传输数据的能力,在人们的私人生活中进行密集的、无孔不入的数据收集,通过不可见的处理,并在没有任何人类或机器干预的情况下与其他网络设备进行通信和数据传播。在这些互动中,数据泄漏的可能性很大,可能引起严重的隐私和安全问题,造成金融组织和加密货币市场的混乱,传统的数据管理方式无法真正解决其存在的数据安全问题。因此隐私和安全问题是物联网中不可或缺的关注领域。机器认证对于确保这两点至关重要。在物联网中,每一个实际存在的物体都由一个独特的标识符(UI)组成,并可以通过网络自动交换数据。利用机器认证向传感器和仪表等设备提供有线和无线网络的授权,来验证机器对机器的通信,来实现机器之间的信息自主交换[4]。其次,物联网设备容易遭受黑客的 DDoS 攻击、数据窃取和远程劫持等,维护成本极高。物联网设备面临的典型安全问题包括:固件版本低、软硬件漏洞较多、权限设置不合理、网络端口过多、信息泄露等。
物联网的另一个问题是可扩展性问题,传统物联网的数据处理和存储普遍采用以云计算为中心的服务模式,势必对云中心的计算能力和存储能力带来极大的挑战。当通过物联网连接的设备数量增加时,目前集中的认证、授权管理制度和连接网络中各节点的方法将成为瓶颈。物联网设备创造的巨大数据量是任何一个组织都无法控制的。
因此,解决上述金融交易的隐私和安全问题、可扩展性问题,对物联网设备在金融交易领域应用中发挥重要作用至关重要。
区块链技术经过十几年的发展,已逐渐深入产业,并成为产业发展的催化剂,成为许多国家政府研究的热点。区块链系统由分布式数字账本组成,它存在于互联网上,在系统参与者之间共享:交易或事件被验证并记录在账本上,以后不能被修改或撤销。其中区块是代表一系列的交易往来活动,而链则是记录这些交易活动的一个个账本。
金融交易领域是区块链技术的重要应用领域。最知名的加密货币——比特币,就是区块链技术为之而生的。区块链利用去中心化来建立链式数据库,记录所有发生在不同网络中的金融交易,并不可篡改[5]。参与者进行金融交易,不需要第三方的中介机构,避免了第三方中介机构引发的交易延迟问题,交易方之间会有更快的对账。此外,区块链通过允许有权限访问网络的人查看和监控以前的交易来促进透明度。可以准确定位任何数据泄露的来源,并立即采取纠正措施。
虽然区块链最初是为了管理加密货币而设计的,但其去中心化的性质、更高的安全性、完整性、保护性和隐私性,使其与物联网的整合得到了改善。区块链工作原理如图2所示。
图2 区块链工作原理
在金融交易领域应用区块链技术,可利用两个层级的安全机制来保证安全。
在执行交易业务过程中使用了RFID技术(射频识别)。来自RFID无源标签的数据被RFID阅读器捕捉和收集,并被置于服务器(本地系统)中。存储在服务器中的数据是使用区块链机制存储的。这里,哈希值被分割,其中一部分存储在云端,是第一层的安全机制。第二层安全是通过用M2M认证来验证客户端实现的。想要访问区块链中的数据的用户需要首先得到认证,认证过程由RSA算法提供。
密钥是使用RSA机制生成。实现用户和物联网系统之间的相互认证。密钥大小从1024到4096位不等。该机制中,公钥被保存在服务器上,私钥被交给客户。加密解密过程中,使用随机方法生成OTP(一次性密码),使用公钥对OTP进行加密并发送给用户[6]。如果客户是一个有效的用户,那么能够使用他的私钥解密,并将OTP发送给服务器。密钥以证书的形式进行交换。OTP、证书、私钥和公钥被保存在数据库中,由服务器和客户填写其字段。
用户认证之后,可以进入物联网系统,访问区块链数据。一般情况下,生成的哈希值被作为账本的一部分保存在区块链中,而不被分割。使用哈希密码组合从用户名、MAC地址、IP地址、机器名称和请求日期来识别用户。因此,当用户提出交易请求时,我们的应用程序可以重新生成哈希值,并与已经生成的哈希值进行比较,以确保密码相同或不同[7]。为了确保生成的哈希值安全,它被分成两部分。从物联网系统生成的数据与哈希值的一部分一起存储在本地。另一部分哈希值被存储到云端。验证过程中,哈希值的一部分从本地存储中取出,另一部分从云端下载。然后从物联网数据中生成哈希值,再进行比较,以检查它是否生成了相同的哈希值。如果哈希值不匹配,它将被视为无效的数据。图3描述此过程。
图3 确保生成的哈希值安全
请求访问物联网系统的终端用户需进行注册,他的机器的信息最初被捕获,如用户名、MACId、IP地址、机器名称、日期和时间等参数,客户端使用RSA生成的密钥进行认证,请求被发送到管理员处进行审批[8]。用户得到认证后,产生会话密钥,即可访问物联网。用户进入一个购物页面,选择商品并使用RFID无源卡进行支付,无源卡包含用户的支付细节。用户将RFID无源卡在RFID阅读器上刷卡,即可成功付款。交易完成后,会话密钥就失效了。支付完成后,交易编号、价格、日期和时间、用户名和付款方式等字段将使用SHA-1算法生成哈希值,并被分成两部分,存储在不同的地方。即使区块链或云端被黑客攻击,也只能获得一半的哈希密钥信息。两个层级的安全机制有助于增强交易过程的安全性。
物联网目前有数十亿的链接设备,这个数字预计会持续上升。在物联网,每个设备都可以产生和交易数据。这种新的数字化服务,提高了现实世界的信息化水平。但由于缺乏固有的安全保障措施,物联网数据可能被攻击和截取,出现隐私和安全风险。这些问题在阻碍了物联网应用的发展。例如,单点故障会损害物联网系统的可用性和服务质量。服务器瘫痪,会导致所有相关的物联网应用和服务暂停。集中式数据库将多个物联网设备产生的所有数据保存在一个区域,容易成为攻击者的目标。区块链技术具有设计安全的特点,协助解决物联网的重大安全问题,更好地保障物联网在金融交易领域应用中的数据安全问题。物联网和区块链技术将很大程度上影响未来世界的自动化与信息化实现。