文：Aubrey

编辑：王巧

随着5G的到来，物联网时代将迎来新的爆发。物与物之间配合协作，彻底解放人的双手。物联网可以做很多人类无法做到的事情，效率更高、更便利甚至更安全。区块链作为一项前沿的新技术，可以解决物联网行业面临的诸多难题，比如数据隐私和数据存储安全性以及完整性等问题。

将区块链技术运用到物联网行业，各个创新者正在积极探索。那么区块链技术该如何与物联网行业实现融合？该如何解决物联网行业的安全性问题？

4月11日，长虹信息安全灯塔实验室首席科学家唐博、微众银行区块链应用研究负责人苏小康、Beosin成都链安智能合约安全负责人岳亮亮，在金联盟举办的“巡回Meetup2019”活动中，以“解开物联网的安全桎梏”为主题，并结合相应的实践案例来进行分享。

区块链下物联网安全

据报道，全球物联网终端设备数量预计在10年内将达数百亿规模。届时人均拥有的设备数将达到两位数，这个数值还会不断增长。设备间的协同互联，会显得越来越重要。

现在智能家居虽然能实现联网，设备也很智能，但是设备之间却是没连接的。还有一点体现在，用语音跟每个智能设备进行交互的时候，它都必须要给每个设备起一个不同的名字，比如小红、小白、小黄，设备一多，就会很不方便。

然而现在，像小米，亚马逊，谷歌等知名公司推出的解决方案是以中心化为主的。百度的智能音箱，小米的米家，可以控制各自旗下的设备，以及跟他互联的设备。但是这也有一个问题，对于设备制造厂商来说，他一台设备可能为了能让它卖得好，需要在设备上要建立对米家连接的支持，对亚马逊的支持。每一个支持都是有成本的，消耗硬盘内存空间，对于终端厂商来说，就面临着很大问题，一方面到底要支持哪个平台？另一方面，要支持的平台越多，对硬件的性能要求就越高，对这个设备的制造工艺也是一个挑战。

PPT截图

在设备之间互联，主要的问题安全和信任问题，对于用户跟设备之间的关系，设备跟设备之间的关系，需要认证授权等机制来保护。

为了解决物联网里的多平台多终端共存问题，实现设备间联动，解决用户体验很差等问题。我们率先提出基于区块链的跨平台互联方案。通过联盟链将各个设备的运营服务平台，监管机构以及检测机构等相互连接，构建多中心化的核心架构，实现设备互联和信息共享，利用智能合约的可编程和强制执行等特点设计了一套联动合约组合，保证设备联动过程中各个环节安全可靠执行，且公平体现各方的意志。

PPT截图

基于这样的合约，基于这样的用户场景，基于这样的信任，在物联网的环境中，可以保证一个物联网的设备从一个平台到另外一个平台的可信安全，同时又可以保证各个平台之间的利益可管可控。

激励规则是一个我们想到的能够保证这个生态平衡的解决方案，这个方案会从三个方面进行激励。第一，能力激励。设备运算能力相互协同引流；第二，服务激励。服务导入与服务提供的协同引流；第三，生态激励。设备及服务的组合排名。

这是一个基于物联网的感知层、网络层和应用层的架构，在此基础上的认证、授权和信任，包括联动，分级和同步，上层的应用会实现资源的共享，实现信任的管理，安全审计。值得注意的是联盟链下层，我们用到区块链的安全套件和芯片安全服务，基于这些核心的技术，通过硬件提高安全等级，从而加强设备认证授权过程的可靠性。

公众联盟链应用探索——WeIdentity

WeIdentity是一套分布式多中心的实体身份认证及可信数据交换解决方案。实现了一套符合W3C DID规范的分布式多中心的身份标识协议，和符合W3C VC规范的可验证数字凭证技术，不仅使分布式多中心的身份注册、标识和管理成为可能，机构也可以通过用户授权合法合规地完成可信数据的交换。

现在，对于数据的归属权问题仍然存在很大争议。其实我们认为这个数据是归属于实体的，这个实体可以是一个社会人，也可以是一个IOT的设备。我们都知道产生数据如果不流通、不交换是没有任何价值的，可是如果要流通和交换，能不能提供一种安全可信的环境，这就是这个方案要去实现的一个非常核心的目标。

数字身份也是未来发展的一个趋势。第一，市场需求是非常巨大。大家对数字身份的关注度越来越高，而且政府部门、企业机构在政务服务领域、金融行业、物联网行业等等各个行业都在提数字身份以及数据交换。第二，政策鼓励。工信部以及政府机关单位，他们都认为要形成一种跨行业、跨领域、跨地域的数据应用。第三，行业处于发展期。从2018年下半年到现在已经有越来越多的企业及个人和组织开始投入资源去做数字身份。第四，隐私泄露事件频发。个人隐私数据被一些不法机构滥用，对公众和个人伤害是巨大的，但是也因此唤起了老百姓对个人隐私数据的关注，增强了公众的数据保护意识。

而现阶段，大量的数据却没有真正流通和交换起来，形成数据孤岛和数据寡头。

传统的数据交换解决方案，第一难以形成国际标准。可能一个机构、一个企业内部是很容易对他的用户做到唯一的标识，给用户分配一个ID，但是这个ID不是一个国际化通用的ID，一旦涉及到要跨机构去流通、流转时，很难去面向不同行业的不同的场景去使用，缺乏规范性，没有一个国际的标准。

第二个数据的安全风险高，在传输数据和共享数据的过程中，传统的解决方案一般会借助中心化的平台或者第三方的软件，但因为引入了第三方，数据被黑客攻击、被拖库，甚至会被不法的机构拿去滥用的可能性也变高了，所以它的安全风险是比较高的。

第三个缺乏用户的授权制度。传统的B2B的数据交换，用户是没有任何参与感的，所以用户也不知道怎么去参与到这个数据交换的过程当中。

第四个就是数据的可信度不高。作为一个数据的接收方，数据的发投方把数据给我，我怎么判断这个数据是否真实、有没有被改过、是不是具备权威性，所以这四个问题是传统的解决方案是很难去解决的。

PPT截图

这个方案做了三件非常重要的事情。第一，用了实体标识化(WeID)这样的功能。为每个实体（人或物）在区块链上生成符合国际规范（DID）的全球唯一ID。这也是考虑到日后的可扩展性，有点类似于我们用了一个http的协议做了一个网页，这个网页遵循的也是国际规范，这样就可以很简单得去打通其他的域名解析或网站的服务提供商。

第二，可验证的电子化凭证(Credential) 。将物理世界中的纸质证明文件电子化，并利用区块链不可篡改的特性，将原始数据的Hash上链，并附上权威机构(Issuer)的签名，确保数据不可伪造，可验证权威性。

第三，也是非常重要的一点，就是用户授权即交易(Authorization) 。原始数据的跨机构传输需要得到用户的授权，授权记录由User Agent上链，符合GDPR。用户通过唯一ID，类似于CA证书，可以很容易通过私钥签名手段把一段授权的凭证，放到区块链上去，这样区块链的参与机构就都能知道数据的流通是合法合规的。怎么证明它是用户的授权呢？我们有唯一的标识，数据的签名是不可以被伪造的，这就是我们这个方案做的三件非常重要的事情。

PPT截图

随着5G时代的来临，物联网社会不断的升级、更新，未来产生数据的源头除了人以外，IOT设备也能产生数据。譬如，空调设备运行过程中有没有遇到一些复杂的问题，有没有上报一些数据以及它运行的状况是否良好。IOT设备本身是可以产生很多数据的，数据产生的本质也需要给每个设备有唯一的ID，所以物联网跟我们这套方案有非常强的契合点。

我们对于联盟链的另一个探索就是分布式事件驱动架构——WeEvent

PPT截图

WeEvent是一套跨机构、跨平台的事件驱动架构，事件发布方与事件订阅方通过事件驱动的方式进行互动。另外，当需要处理一些复杂业务逻辑时，WeEvent可以通过流处理器来进行可编程扩展。

整个WeEvent的方案在能源、通讯、物流、金融、零售、制造方面有很大的用途，不管是做工业物联网还是做智能家居，特别是涉及智能控制时，以及IOT设备本身产生数据发布事件以及跨平台这些领域，都有非常强的应用场景。

智能合约安全

区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。

以下将秉承“全生态安全”的服务理念，对FISCO BCOS（2.0）的多个层次进行安全性分析：

数据层：节点数据的存储。目前FISCO BCOS链主要应用场景为金融和存证行业，因此数据的存储安全性和有效保密性是其关键点。目前采用的数据加密主要是：非对称加密、同态加密；此外，针对数据加密特意发布了对应的国密版。

数据储存继承以太坊存储的同时，引入了分布式存储。通过传统数据库的方式，将部分数据存储至节点本地。落盘加密是在机构内部进行的。在机构的内网环境中，每个机构独立的对节点的硬盘数据进行加密。当节点所在机器的硬盘被带离机构，并让节点在机构内网之外的网络启动，硬盘数据将无法解密，节点无法启动。进而无法盗取联盟链上的数据。

PPT截图

网络层：节点和节点之间怎么交互、客户端和节点之间怎么交互。FISCO BCOS区块链是由P2P网络节点构成，主要采用了SSL的加密方式。单链多账本的机制，即引入了群组的概念，使联盟链从原有一链一账本的存储/执行机制扩展为一链多账本的存储/执行机制，基于群组维度实现同一条链上的数据隔离和保密。引入了群组的机制，将同一区块链网络又细分为不同的群组网络。

共识层：目前FISCO BCOS主要支持以下两种共识机制：

PPT截图

合约层：程序代码管理数据。目前FISCO BCOS沿用的是以太坊虚拟机EVM，目前的业务合约仍主要采用是Solidity进行编码。

PPT截图