邓天钰

（新南威尔士大学，悉尼 肯辛顿区 2052124010）

0 引言

智能家居以家庭住宅为平台，利用物联网技术将家居生活有关的设施集成，为人们提供舒适、便利、安全和娱乐的居住环境。智能家具系统主要由终端设备、移动App、物联网云端及通信网络四部分组成[1-2]。各种终端设备与物联网云端连通，一部分终端设备可直接接入有线或无线网络从而与云端联通；另一部分设备以网关或只能手机为跳板与云端联通。联通后设备会将自身感知或收集到的数据发送至云端，云端对数据进行储存、管理与分析处理。智能家居的发展为人们带来了诸多益处，但同时也面临着严重的隐私安全问题，还可能造成用户财产损失，甚至威胁用户人身安全[3]。经过分析与总结，大多数研究侧重于挖掘智能家居系统安全漏洞，分析安全威胁，但研究仅关注于系统的单一层次或环节。本文研究和设计了一种混合式的系统来保证安全传输和更加高效的存储[4]。

1 混合法理论概念

随着云技术的发展和逐渐成熟，开始从以前的各种企业云逐渐演变为各种个人云，而企业云的身份验证功能也成功迁徙到个人云上，即轻型身份栈[5]。正如PC时代和智能手机时代共同经历的一样，会逐步从大家用一个PC，用一个电话到开始出现私人化，每个人都有自己的电脑和电话，历史总是有迹象可循，我们也会给智能家居提出了一个单一的家居身份，会给他们嵌入一个“grand id”来与外界互相沟通。除此之外，近几年由于分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式应用越来越广泛，开始出现了一种被人们称之为去中心化的数据库的技术，即区块链。

1.1 物联网系统的唯一ID

在这个部分里，提出了一个“单一的智能家居身份”的概念，也就是家中所有的智能嵌入式设备都会使用同一个“grand id”来与网络进行交互。首先，通过一个基于Raspberry PI的网关，以实现不同通信技术和协议之间的互操作性，同时将这个网关与个人云端直接相连。然后，将家中所有智能设备对服务端的请求转换成REST框架的http请求，并提供统一的REST统一资源标识符（URI）。在这些REST请求发往个人云端之前，家庭中的所有设备都必须要先创建一个唯一的“grand id”来代表自己。在此使用了基于SIMC的改进版AES加密算法，首先，将家中所有设备的id转化成32位长度的字符串，并将这个位片发到Raspberry PI的网关中进行传统AES算法并得到一个签名，然后，将此签名附加到JSON数据包中。个人云端收到后通过验证，然后就会发送一个http状态命令来授权设备的请求。这个方法加强了物联网设备在传输阶段的安全性[6]。因为，基于SIMC-AES加密算法的签名是会周期性进行变化的，所以黑客即使可以截获到数据包，也不可能冒充用户进行违法操作。同时，由于URI的缘故，黑客即使能破解数据包，也无法从中获取有效信息。

1.2 家庭安全授权方案

我们提出了一种用于物联网的轻型身份栈，以便为智能设备以及与其交互的用户提供数字身份。将智能家居的身份验证功能转移到个人云端服务上，将所有的智能家居设备全部连接到个人云端上，然后统一由用户授权的手机来给家中的嵌入式设备的使用和终止进行授权。此功能大大减轻了物联网企业服务端的运算压力，同时在这个安全授权方案中，我们通过FIDO（快速身份在线验证）模型为用户搭建了一种云端联合身份快速验证协议。该模型允许网络服务端提供无密码和多因子安全的服务。用户通过本地认证机制（例如指纹，人脸识别，PIN码等）将用户注册到在线服务端。用户只需重复本地身份验证操作就能完认证过程。当在该设备进行身份验证后，在一段时间内（2-3小时）用户将不再需要输入密码。在智能家居设备每一次开启或者进行网络连接的时，将首先触发身份验证程序，通过手持设备对智能家居设备与家庭网络的授权连接。与传统的“相互身份认证”协议相比，该方案要快三到四倍。此外，它还将使用将定期执行的保持活动协议，该协议将通过云平台向用户发送FIDO身份验证请求[7]，以确保设备的操作应在用户授权下进行。

1.3 基于区块链的物联网信息安全与储存

如今区块链技术的应用在数据安全存储领域有突破性进展。通过区块链技术可以将用户设备的除ID，地址等之外的其余次要信息，类似时区，使用频率等存储在基于区块链技术的存储系统中。使用加密的链结构存储数据，使用P2P网络技术和共识机制验证和通信分布式节点等技术，加以集成以形成一种新的数据存储方法。由此，区块链可以搭建起一个弱集中的分布式数据库，这种数据储存系统不需要一个庞大的服务器机群来当作硬件。区块链数据库的去中心化和可追溯性等特点，保证任何一个数据节点的失效都不会影响区块链网络存储的数据，同时数据也可以通过时间戳回溯来进行修复。这种加密的链结构存储数据，能够同时满足高效数据存储和数据安全的需求[8]。

这三个部分共同组成了本文用来解决问题的方法，物联网企业通过给每一个家庭分配一个轻量级云端数据栈来负责处理智能家居设备的数据运算和安全授权等任务。分担了企业内部服务器的压力，同时避免了因网络波动等特殊情况导致用户无法正常使用设备的情况。此外，为了方便管理和加强链路传输的安全性，将每一个家庭下的所有智能家居设备统一用一个会定期更改的唯一ID来与互联网交互，最后将用户的次要信息存储在以区块链为基础的分布式数据库中，既不需要额外添加昂贵的设备，也不需要更改现有服务器集群的存储结构，就可以满足日渐增长的用户数据存储需求。

2 实验

2.1 安全性能实验

为了评估本文使用的联邦身份快速身份验证协议的成本，模拟了一个典型的智能家庭网络环境，并使用了通用广播互身份身份验证协议作为控制组。然后，在两种协议中记录网络延迟，并通过比较方法评估联邦身份快速认证协议的性能。将Kaa IoT云平台设置为中心节点，该平台将向实验中的所有从节点广播。结果表明，FIDO构建的联邦身份快速认证协议的性能要好得多，并且具有较高的容错能力。

2.2 区块链存储系统性能实验

建立了一个具有100个存储节点的仿真环境，每个节点的最大存储容量为3TB。我们利用普通的HDFS存储系统，RSA和DSA加密算法以及通用的分布式数据存储系统作为控制组来评估我们的混合方法的容量。通过不断增加链接中的数据量来观察这三种方法的数据存储容量。当数据量介于200到600之间时，三种方法之间都不会发生数据丢失，但是当数据量保持增加（超过800）时，HDFS和分布式数据存储系统具有明显的数据丢失，而我们的区块链存储系统在数据负载平衡方面仍然保持稳定。因此，作为存储系统的区块链比传统数据库具有更高的性能，还可以帮助物联网公司节省设备采购成本。

2.3 实验结果分析

当网络中的节点数超过30个时，与传统的相互身份验证协议相比，此混合方法在网络延迟方面具有显着优势。此外，这种混合方法始终可以更好地平衡其他数据库的存储负载。在其他存储系统的数据负载平衡受到严重波动（尤其是节点数超过60个）的情况下，此方法呈平稳上升趋势。总而言之，本文提出的这种混合方法具有快速而可靠的安全认证协议，并能够以高性价比处理大数据存储。

3 结论

基于智能家具数据安全威胁，本文探索了智能家居的数据传输和数据存储之间的关系以及技术效果，着重专注于相互身份复杂性、低效率及高成本的存储系统，以存储出现在智能家居数据传输和数据存储中的客户端私有数据，并提出针对这些问题的解决方法。

（1）在智能家居的数据传输领域，相互身份认证是一个问题，传输效率低下，并且设备的ID将被存储在物理设备中，安全性难以得到保障。同时在数据存储领域，如果数据库被入侵，整个数据将被黑客窃取。本次研究结合针对家庭的安全授权方案，以确保在用户授权下执行设备的操作，而且它比传统的共同身份更快。

（2）通过物联网系统的唯一ID提供一个“grand id”，并定期更改其内部签名，以确保黑客即使截获该信息也无法获得该信息。

（3）通过区块链技术构建一个去中心化数据库，以实现即使其中一个崩溃也不会影响其余的情况。