三位一体打造安全的未来物联网架构

作者：戴尔科技中国研发集团 林蓁蓁

 

随着物联网技术和产业持续升温，其中隐藏的安全问题逐渐成为大众关注的焦点。它持续影响着社会整体运行的各个环节，从拥有隐私数据的个人用户，到车企、钢铁生产等使用物联网的工业界，甚至监控城市运行的政府职能部门，都将依赖于可信、安全运行的物联网。如何为未来打造一个有效防攻击的物联网平台，成为摆在科学和技术专家面前的重大课题。

 

今天我们就来聊聊如何构建未来物联网的安全架构

 

在物联网领域，戴尔科技集团提出了IoT solution，它结合VMware和Dell EMC各自在虚拟化和存储领域多年的深耕，无疑是一个范例和继续开拓的基石。

 

上图是一个集成了存储、安全、网络、以及管理与编排的方案，采用了NSX-T、固件在线安全升级的技术，并充分利用ECS/Isilon的安全策略对用户权限进行管控，同时在数据层保障其传输，最大限度确保IoT领域整个数据周期的安全。

在此基础上，考虑物联网传感器分布的广泛性和分散性，以及一些用户场景下终端设备对数据要求的实时性等要求，基于以上方案所采用的最新产品和技术，一种去中心化和全局节点相结合的物联网架构应运而生。

边缘节点靠近用户，它可与所辖范围内的各终端组成去中心化网络，数据和指令在网络各成员间快速共享；多个边缘节点也可以协同合作，进一步组成自治网络。边缘去中心化网络利用其在地域和分片处理上的优势，在不影响数据安全性和完整性的前提下，提供高吞吐量和低延迟的数据服务，满足用户需求。上层的全局节点可以是云服务提供商，也可以是用户的数据中心，它们可提供数据永久化保存的介质，也可参与或监管各边缘网络的工作，这为传统存储提供了新的商业模式。

在这样的物联网结构下，系统的安全有赖于平台自身技术的安全性，也离不开应用层的合理设计，因此下文分别从平台安全和应用安全两方面探讨现有的安全技术，并在最后一个环节对尚未成熟商用的新技术进行简要介绍。

平台安全

去中心化网络中广泛使用分布式哈希表(DHT)，它存储系统所需的键值对，并提供查找和路由功能。所有的键值对和节点ID都以hash方式编码，hash码形成环状结构，键值对存储于hash距离最近的节点上。DHT能实现自治，使各节点能自发地组成网络而不需要中央节点参与；它有很强的容错性，在节点出错或掉线的情况下仍能正常工作；它方便扩展，满足节点数目的变化需求。

 

在物联网中，多个互不信任的数据提供和需求方加入系统，各个节点频繁加入或退出边缘网络，对DHT的安全性提出了挑战。现有多种措施保障DHT的全局查找和路由安全，预防恶意节点的各类攻击。

• 女巫攻击

单一的恶意节点具有多个身份标识，从而控制系统中的大部分节点，实现用多数票，击退网络上的真实节点。以此为基础，可以实现各种具体攻击，如污染路由表，篡改键值对等。

 

为防范此类攻击，可以引入中心化的认证机构验证节点的身份，或用硬件的物理特性作为身份的唯一标识，如MAC或序列号等。也有研究引入社交网络的概念，节点组成或加入小型社交网络，彼此验证身份。区块链中使用的工作量证明方法，需要强大的运算资源，通过对硬件资源的要求限制节点使用多重身份。

• 日蚀攻击

攻击者控制了某特定节点的大部分相邻节点，使该节点从网络上消失，得不到正确的网络视图，恶意节点能完全控制其对信息的访问。其中一种攻击手段是恶意节点不停向受害节点发送请求或自身IP地址，受害节点将其路由表刷新至只有恶意节点而并不自知。在电子支付场景中，当受害者从真实网络隔离开后，攻击者可以向其和网络其余节点同时发送两条不同的交易信息，且都能得到认可，达到双重支付的目的，获取非法利益。

 

有应对措施可以有效减少此类攻击。如在节点的路由表里只储存经CA认证过的、特定节点的信息；或用两张路由表，在路由时权衡特定可信节点和网络当前连接状况；或控制与其他节点的通信次数，避免连通信息被恶意节点独占等。此外，还可以对节点的ID位置进行统一配置，杜绝了恶意节点包围受害节点的情况，其中一种方法是cuckoorule。

Cuckoorule规定，网络中有一个可信组建分配节点IP。在一个节点加入网络中后，其周围一定范围内的节点将会被移走，它们的ID由可信组件重新计算，保证它们均匀且独立地分散在哈希环上，使恶意节点无法控制自己的位置，对受害者进行集中攻击。

上述措施防范了日蚀攻击，但由于增加了路由复杂性，限制了网络处理能力，或引入了信用机制，对性能会造成一定影响。系统的安全性总是和性能损失权衡之后的结果。

• 路由和存储攻击

在实现女巫攻击或日蚀攻击之后，恶意节点已经入侵系统，主要实施两类破坏行动。

存储攻击：提供对数据请求的错误相应。否认数据存在，或返回虚假数据。

路由攻击：破坏路由动作。恶意节点拒绝其它节点的查找请求，或把请求重定向到错误或其它恶意节点上，或返回虚假的数据信息。

为应对存储攻击，网络可将数据复制多份，以一定策略存储于网络不同位置；也可对于请求得到的数据进行验证，或在网络上发起对数据合法性的多数投票。为应对路由攻击，各节点的路由策略可以是同时向网络上的多个相邻节点发起路由请求，或在全网范围内的各处查找。

总之，DHT网络的安全依赖于节点ID在哈希环上的均匀分布，多个数据副本，以及多重路由规则的保障。其中的大部分要素在现有的去中心化架构系统中都已经引入，如IPFS和区块链等。去中心化的物联网系统都可借鉴。

应用安全

在安全的平台之上，可以构建各类物联网应用。应用涉及各个业务层面，包括物联网设备的身份验证和管理、固件升级策略、设备安全性验证、以及数据的访问控制等。再向上层可以构建更大的物联网系统，它需要在各子网间进行协同及数据交换，并考虑其中的安全性问题。区块链作为去中心化系统的工具，可用于保障物联网安全。

例如，在固件升级方面，由固件发布者将新固件的hash存储到区块链中，在IoT设备将新固件下载后，可以获取并对比hash值的正确性，确保不会更新至恶意固件。此外，每个IoT设备的固件更新和验证情况也可以记录在区块链上，便于固件安全性的追踪和监测。

此外，去中心化存储系统IPFS可以和区块链结合，实现对访问权限的安全控制。每个IPFS存储节点都和区块链通信，将读写数据块的动作通过智能合约验证其合法性。智能合约根据对应的数据块ID进行验证，只有动作被交易验证通过，数据的存储才能正常进行。去中心化的区块链保证了访问权限的控制不易遭受单点攻击以及访问记录的不可篡改性。

在智能家居行业，基于区块链的物联网系统能提供很高的安全性。可以把它设计成由本地网络、覆盖网络及云存储组成的三层架构。该结构可以有效阻挡包括DoS攻击，篡改攻击，丢包攻击等多种攻击方式。本地网络层部署了一个小型区块链，记录了设备的加入和退出情况，并维护访问控制列表，用于存储和管理所属网络上的各种物联网设备。覆盖网络连接多个相同所有者的本地网络，可共享存储；覆盖网络间相互通信，并记录在相应的区块链上。在传感器数据存储阶段，云存储验证相应数据的区块ID和数据hash，以此验证传感器身份，再允许数据写入。数据读取阶段，也有相应的区块链交易流程保证数据的真实和正确性。

 

在应用层上，利用去中心化的特性，有平台之上的多种应用层方法，可从传感器设备，各参与节点，到数据系统本身，进一步增强物联网系统的安全性。

可信的多方参与环境

物联网由各类异构硬件组成，它们的数据处理能力大相径庭。如何在保障数据和隐私安全的前提下，在系统中实现计算资源合理调配和充分利用，也是关注的热点。例如，终端需要的人工智能分析结果，能否在不泄露客户信息的条件下，由边缘或云端执行完成，且终端对返回的结果完全可信。此处涉及密码学领域的同态加密和零知识证明技术。

• 同态加密

同态加密在数据不解密的条件下，对密文数据进行计算，结果解密之后和用明文进行同样计算得到的结果相同。根据支持密文运算的种类和次数，同态加密可分为部分同态，类同态和全同态加密。部分同态支持单一类型的密文域同态运算，如计算方法为仅有加法或乘法；类同态支持有限次数的加和乘计算；全同态可支持任意幂次的加和乘计算。

 

该技术适用于解决云计算场景下的数据安全问题。用户将加密的数据和计算方法传到云端，云端对加密数据计算后回传，由用户完成解密结果的运算，全过程中云端不会得到用户数据。它有许多潜在的应用场景，如多方计算下，各方用共同的公钥加密数据后在网络上进行传输和交换，聚合数据后算出最终结果，再用各自的私钥解密。在不了解对方数据的条件下，得到计算结果。

基于同态加密的广泛应用前景，工业界也在进行商业化尝试。MIT开发了Enigma项目，基于区块链技术，部署了链下同态加密，加强数据隐私保护。

微软开源了SEAL(Simple Encrypted Arithmetic Library)工具，用于提供同态加密方法。Intel的nGraph神经网络后端也引入了对SEAL的支持。但同态加密方法本身的性能还不适合商用场景。以下是业界基于SEAL做的其中一个测试。基于此，一些加速方案也在研发中，例如使用GPU和FPGA进行同态加密的硬件提速。

可以看出，同态加密虽然前景广阔，但还在探索实际商用之路。基于其性能瓶颈，在物联网领域，目前只能考虑应用于处理需求频率较低的隐私数据。

• 零知识证明

零知识证明用于在证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。它是一种基于概率的验证方式，分为交互式和非交互式两种，后者利用hash函数挑选每次验证的条件，可以在双方离线的状态下进行。零知识证明可以证明复杂度为NP的声明。它能有效保证数据本身的安全性，同时验证者的计算量小，适用于硬件异构的物联网场景。

目前Zcash采用了零知识证明方案实现了一套私有区块链，它在交易双方及交易细节都私有的前提下，保证了链上所有交易的合法性。此外，一些云服务提供商实现了用户密码的零知识证明，前者不保留任何用户密码信息，由用户向前者证明私有密码的合法性，进一步确保了用户使用云平台的数据安全。

尽管零知识证明是保障用户数据安全的又一利器，但相关文献和实验也表明目前完成证明需要花费的时间较长，还无法用于物联网这类需要实时处理大量数据的场合。

总之，可信的多方参与环境目前还处于实验室阶段，但它未来对于云计算和物联网场景下的安全措施将产生深远影响。

结语

在去中心化平台和应用方面，业界已经有各项成熟有效的安全策略可以借鉴，在多方参与环境方面，学术界和工业界正在紧密合作，未来可期。为了构建面向未来的物联网架构，在利用现有各类安全手段的基础上，需要着力实现去中心化平台、应用及多方参与环境三方的高效解决方案，打造安全、可扩展的下一代物联网平台。